Waterdichte systemen bestaan niet meer

Anno 2016 is het niet langer de vraag voor bedrijven OF er een inbraak op hun systemen plaatsvindt maar WANNEER.

Uit de Breach Level Index (BLI) van het Nederlandse beveiligings- en security bedrijf Gemalto over 2015 blijkt dat er elke seconde wereldwijd 22 datarecords lekken. In het overgrote deel gaat het daarbij om een inbraak in systemen maar ook onbedoeld verlies of blootstelling van de gegevens komt veelvuldig voor.

Per inbraak meer data

In 2015 vonden wereldwijd 1.673 datalekken plaats waarbij 707 miljoen datarecords aangetast. Bij 46 datalekken werden telkens meer dan 1 miljoen gegevens buitgemaakt.12 procent van het totaal aantal datalekken vond in Europa plaats, in totaal gaat het daarbij om 209 incidenten. 8 hiervan vonden in Nederland plaats.

In totaal hebben er in 2015 weliswaar minder datalekken plaatsgevonden maar het aantal datarecords dat hierbij is aangetast is behoorlijk gestegen.

Identiteitsfraude

In 2013 en 2014 werden nog voornamelijk financiële gegevens, zoals creditcardgegevens, buit gemaakt. In 2015 blijkt dat kwaadwillende hackers voornamelijk gegevens stelen om hiermee identiteitsfraude te kunnen plegen.

Beveiliging

Zorgwekkend is dat er slechts in 4 procent van de gevallen sprake was van versleutelde data. Het beveiligen van persoonsgegevens wordt steeds belangrijker. Maak daarbij zeker gebruik van twee-factor authenticatie en encryptietechnieken. Als onderdeel van je privacybeleid zou je dit in een beveiligings- en securitybeleid dienen op te nemen en in de organisatie in te voeren.

 

Geld verdienen aan een app

In 2011 schreef ik een blog wie kan geld verdienen aan een app. In die blog vermeldde ik dat het auteursrecht op de software berust bij de maker daarvan. Inmiddels is medio 2015 het auteurscontractenrecht in werking getreden. Wat zijn de consequenties voor software?

Auteurscontractenrecht

Het auteurscontractenrecht is bedoeld om de positie van natuurlijke personen als maker van auteursrechtelijk beschermde werken ten opzichte van de exploitanten hiervan te versterken. Het moet gaan om natuurlijke personen die maker zijn, dus bijvoorbeeld freelancers, en hun rechten laten exploiteren door een derde. De exploitant zorgt ervoor dat het werk voor het publiek beschikbaar wordt.

Vooral schrijvers, filmmakers en musici maken vaak gebruik van een exploitant.

Inhoud auteurscontractenrecht

De punten die het meest zijn besproken inzake het auteurscontractenrecht betreffen:

Het recht op een billijke vergoeding voor de maker. Er dient een redelijke, minimale vergoeding te worden betaald aan de maker. Deze vergoeding kan per branche door overheid worden vastgesteld.

De bestsellersbepaling. Als een werk een enorm succes wordt en de verhouding tussen de vergoeding die de maker heeft ontvangen enorm afwijkt van de opbrengsten door exploitatie van dat werk heeft de maker recht op een aanvullende vergoeding.

Non-usus. Als een werk niet voldoende wordt geëxploiteerd door een exploitant dan mag een maker de overdracht of licentie ontbinden.

Akte verplicht bij exclusieve licentie. Overdracht van auteursrechten was alleen mogelijk bij akte. Ook voor het verstrekken van een exclusieve licentie is voortaan een akte verplicht.

Software

In eerste instantie was er behoorlijk veel onduidelijkheid of deze nieuwe regelgeving ook zou gelden voor software. In beginsel is het antwoord hierop ja maar alleen wanneer bijvoorbeeld een programmeur een app ontwikkelt en die laat exploiteren door een uitgeverij in apps.

Volgens de nadere Memorie van Antwoord zal het auteurscontractenrecht vaak niet van toepassing zijn in de softwarebranche.

Alleen wanneer het hoofddoel van de overeenkomst exploitatie van het werk betreft geldt het auteurscontractenrecht. De nieuwe regelgeving geldt dus niet in het geval er sprake is van een overeenkomst van opdracht die direct met de eindgebruiker wordt gesloten of wanneer het werk specifiek voor een opdrachtgever wordt vervaardigd.

Beleidsregels meldplicht datalekken

Vandaag heeft het College bescherming persoonsgegevens (CBP, dat vanaf januari 2016 Autoriteit Persoonsgegevens zal heten)  de definitieve beleidsregels gepubliceerd inzake de meldplicht datalekken die per 1 januari 2016 ingaat.

Op basis van de beleidsregels kunnen organisaties beoordelen of er sprake is van een datalek dat gemeld dient te worden bij het CBP en mogelijk de betrokkenen.

Datalek

Er is sprake van een datalek als er een beveiligingsincident is opgetreden waarbij persoonsgegevens verloren zijn gegaan of waarbij onrechtmatige verwerking van de persoonsgegevens niet kan worden uitgesloten.

Melding

Als een datalek leidt tot ernstige nadelige gevolgen voor de bescherming van persoonsgegevens of wanneer hier een aanzienlijke kans op bestaat dient een melding binnen 72 uur plaats te vinden aan het CBP. In de afweging of er sprake is van (een aanzienlijke kans op) ernstige nadelige gevolgen moet rekening worden gehouden met de aard van de persoonsgegevens. Als er sprake is van gevoelige gegevens (zoals bijzondere persoonsgegevens, financiële gegevens, inloggegevens etc.) zal een melding sneller verplicht zijn.

Daarnaast dienen betrokkenen afzonderlijk te worden geïnformeerd als een datalek waarschijnlijk ongunstige gevolgen zal hebben voor hun persoonlijke levenssfeer.De melding aan betrokkenen kan achterwege worden gelaten op het moment dat de persoonsgegevens dusdanig zijn versleuteld (door encryptie, hashing) dat deze onbegrijpelijk of ontoegankelijk zijn voor derden.

Boete

Bij overtreding kan het CBP een boete opleggen die kan oplopen tot 820.000 Euro. Wanneer de overtreding niet opzettelijk is gepleegd of het gevolg is van ernstig verwijtbare nalatigheid, volgt er eerst een bindende aanwijzing van het CBP voordat over wordt gegaan tot oplegging van een boete.

Verantwoordelijke

De verplichting tot het doen van een melding rust op de verantwoordelijke. Verwerking van persoonsgegevens wordt vaak uitbesteed aan bewerkers. Het is aldus zaak om goede afspraken met bewerkers te maken zodat je als verantwoordelijke tijdig en op de juiste wijze geïnformeerd wordt.

 

 

 

Databank mag worden doorverkocht

money-718614_1920
CC0 Public Domain

Op 22 oktober 2015 oordeelde de voorzieningenrechter in Amsterdam dat een deurwaarder een database met daarin de gegevens van 10.000 “topvrouwen” uit het bedrijfsleven mag doorverkopen aan een derde partij.

Achtergrond

Woman Capital is een headhuntersbureau en was eerder door de rechter veroordeeld een bedrag van meer dan € 54.000,- te betalen aan een voormalig partner van het bureau. Omdat Woman Capital niet in staat was dit bedrag te betalen werd door een deurwaarder beslag gelegd op de database van Woman Capital met daarin de profielen van 10.000 vrouwen opgenomen. De deurwaarder was van plan de database te veilen.

Privacy

In reactie hierop heeft een groot aantal vrouwen bezwaar gemaakt op basis van schending van hun privacy. De deurwaarder is vervolgens een kort geding gestart om duidelijkheid te verkrijgen. De rechter oordeelde dat verkoop is toegestaan en de privacy van personen in de database voldoende is gewaarborgd. Dit voornamelijk omdat de deurwaarder in de veilingvoorwaarden had opgenomen dat alleen organisaties die in dezelfde branche opereren een bod mochten uitbrengen op de database.

Hieruit vloeit voort dat degenen die mogen bieden op het databestand gebonden zullen zijn aan dezelfde regelgeving met betrekking tot persoonsgegevens en privacy als Woman Capital en dezelfde discretie in acht dienen te nemen. Voldoende aannemelijk is dan ook dat de koper van het databestand dit voor hetzelfde doel als Woman Capital zal gebruiken. Hiermee zijn de gegevens van de personen die zijn opgenomen in het databestand en hun privacy vooralsnog voldoende gewaarborgd.

Juiste beslissing?

Helaas zijn via de website van Woman Capital geen voorwaarden of privacyverklaring (meer) toegankelijk. Ik vraag me namelijk af of hierin bijvoorbeeld was opgenomen dat gegevens niet zouden worden verkocht aan derde partijen. Als dit het geval zou zijn geweest, lijkt doorverkoop niet zonder meer mogelijk.

Het feit dat de rechter doorverkoop heeft toegestaan heeft volgens mij ook te maken met de omstandigheid dat iedere “topvrouw” aan de koper van de database een verzoek kan richten tot verwijdering uit de database. De koper moet aan zo’n verzoek voldoen en daarmee is de confidentialiteit toch nog gewaarborgd.

Op de website van Woman Capital lees ik dat het College Bescherming Persoonsgegevens een onderzoek zou zijn gestart. Mocht dat daadwerkelijk zo zijn dan ben ik benieuwd naar de bevindingen van het CBP.

 

Mini-congres Meldplicht Datalekken

Op 18 november a.s. geef ik samen met ir. Ed Muylkens van EMCS IT Services een presentatie op het mini-congres over de meldplicht datalekken. Het mini-congres wordt georganiseerd door EMCS IT Services in samenspraak met Tribes en het Juristencollectief. Het Juristencollectief is een samenwerking waarin ik vanuit LegalTech met andere juristen zelfstandig samenwerk en op die manier krachten bundel voor ondernemers.

Meldplicht Datalekken
Vanaf 1 januari a.s. bent u verplicht inbreuken op de beveiliging van privacygevoelige data te melden bij het College Bescherming Persoonsgegevens (CBP) en de betrokkenen. U heeft daar vast al over gelezen in de media. Dit is het gevolg van de wetswijziging Meldplicht Datalekken en de uitbreiding van de boetebevoegdheid voor het College Bescherming Persoonsgegevens (CBP) die de Eerste Kamer op 26 mei 2015 heeft aangenomen.

Wat betekent dit en wat zijn de gevolgen voor u?
Boetes voor overtreding van de wet kunnen oplopen tot € 810.000 of 10% van uw jaaromzet. U dient daarom stappen te ondernemen om u daartegen te beschermen. Dit ongeacht het aantal dossiers met privacy gevoelige informatie. Ook heeft deze wet gevolgen voor contracten met bestaande klanten en relaties.
Kom naar ons minicongres. Daar verneemt u wat dit voor u en uw bedrijf betekent.

Onderwerpen tijdens het mini-congres
De volgende onderwerpen zullen aan bod komen tijdens het mini-congres:
-Op welke gegevens is de Wet bescherming persoonsgegevens van toepassing? Wat mag wel en wat niet?
-Welke effecten heeft de nieuwe meldplicht datalekken op uw bedrijf?
-Wie is er aansprakelijk als de Wet bescherming persoonsgegevens niet wordt gevolgd en welke risico’s loopt u?
-Welke maatregelen moeten worden genomen op het gebied van informatiebeveiliging? Onderverdeeld naar techniek, organisatie en menselijke gedrag.
-Hoe realiseert u op praktische wijze informatiebeveiliging in uw bedrijf?

Wanneer, waar & hoe aan te melden?
De workshop wordt gehouden op 18 november a.s. op de Tribes lokatie, Flight Forum 840 in Eindhoven. Uw gastheer van Tribes is Jan-Joris Bernaards. Aanvang 13.00 uur, einde 17.00 uur aansluitend een netwerkborrel.
Kosten € 75 ex. BTW voor externen. Relaties van Tribes, Het Juristencollectief of EMCS IT Services betalen € 50 ex. BTW.
Aanmelden kan via mail: contact@emcs-it-services.nl, onder vermelding van de bedrijfsnaam, naam bezoeker(s), mailadres en telefoonnummer. U ontvangt dan een bevestiging.

Webshops voldoen niet aan regelgeving

shopping-cart-152462_640Vandaag kwam in het nieuws dat webshops massaal de regelgeving aan hun laars lappen. Vanaf juni 2014 gelden nieuwe regels voor het consumentenrecht in geval van koop op afstand. Indien u aldus producten en/of diensten verkoopt via een webshop geldt deze nieuwe regelgeving. In het kort zal ik hieronder de regels aanstippen.

Gegevens die verplicht zijn
De volledige naam van uw onderneming, het vestigingsadres, e-mailadres en telefoonnummer maar ook het KvK en btw-nummer zijn verplicht om te vermelden op uw website.

Stappen bestelproces
Alle stappen in het bestelproces dienen helder te worden getoond zowel in het totaaloverzicht als tijdens de afzonderlijke stappen. Nummer deze stappen bijvoorbeeld.

Algemene voorwaarden
De algemene voorwaarden dienen te worden meegenomen in het bestelproces waarbij rekening dient te worden gehouden met het volgende:
algemene voorwaarden gelden alleen als ze vooraf worden aangeboden;
de voorwaarden moeten eenvoudig kunnen worden gelezen en opgeslagen (in bijvoorbeeld een pdf formaat);
bij voorkeur dient klant akkoord te gaan met de voorwaarden bijv. door checkbox;

Betalingsverplichting
Met ingang van de nieuwe wetgeving wordt het ook verplicht duidelijk kenbaar te maken dat door het plaatsen van een bestelling een betaalplicht ontstaat voor de consument. Dit kan door het opnemen van een aparte bestelknop met daarop “bestelling met betaalplicht”. Het lijkt overbodig maar toch wordt het in de wet expliciet omschreven.

Herroeping/bedenktermijn
De bedenktermijn voor de consument wordt verlengd tot 14 dagen (dat was 7 dagen). Het is aan te raden op de website heel duidelijk aan te geven op welke wijze kan worden herroepen. Hiervoor dient gebruik te worden gemaakt van een modelformulier. Dit herroepen dient bovendien kosteloos te kunnen (dus zonder administratiekosten).
Tot op heden geldt dat in geval van het verstrekken van diensten het herroepingsrecht niet van toepassing is wanneer je als aanbieder als bent gestart met de uitvoering van de dienstverlening. Denk bijvoorbeeld aan toegang tot een online leslokaal waarbij de consument direct na betaling volledige toegang heeft. Deze uitzondering wordt vervangen door een strengere variant. Een consument kan alleen dan niet meer van een overeenkomst tot het leveren van diensten af als de overeenkomst volledig is nagekomen binnen de bedenktermijn. Dit is vrijwel nooit haalbaar.

Helderheid totaalprijs
Op de website dient de totaalprijs die de consument moet betalen duidelijk te zijn dus inclusief alle (verzend-)kosten en evt. toeslagen.

Geld terug
Vanaf juni dient u binnen 14 dagen geld terug te betalen op rekening van de consument in geval van herroeping/retournering door de consument.

Vragen?
Bent u webshop eigenaar en heeft u vragen? Neem dan vrijblijvend contact met me op.

Facebook veroordeeld tot het verstrekken van NAW-gegevens plaatser van wraakporno

CC BY-SA 3.0
CC BY-SA 3.0

Enige tijd geleden behandelde Peter R. de Vries in het programma Internetpesters aangepakt de zaak van Chantal uit Werkendam. Voor degenen die de uitzending hebben gemist, deze kan hier worden teruggekeken.

Achtergrond
In januari 2015 had iemand een nepaccount van haar op Facebook aangemaakt en plaatste daarop een seksfilmpje dat ooit gemaakt was door de toenmalige vriend van Chantal. Dit filmpje werd ontzettend vaak gedeeld en toen Chantal er achter kwam heeft ze Facebook verzocht het nepaccount te sluiten en ook aangifte gedaan bij de politie.

Helaas ondernam de politie niet voldoende snel actie en zodoende werd ook Peter R. de Vries ingeschakeld. Omdat ook met hulp van hem het niet lukte te achterhalen wie de persoon was die het nepaccount had aangemaakt en het filmpje had geplaatst werd besloten een rechtszaak te starten tegen Facebook. Tijdens deze zaak werd geëist dat Facebook deze gegevens aan Chantal diende te verstrekken.

Gegevens gewist
Facebook stelde dat de desbetreffende gegevens gewist zouden zijn, conform hun beleid en dat blijven ze tot op heden volhouden. In het huidige tijdperk lijkt het zeer onwaarschijnlijk dat dit ook werkelijk het geval is en dat absoluut niet te achterhalen valt wie destijds het nepaccount heeft aangemaakt en het filmpje heeft geplaatst.

Uitspraak
Op 25 juni 2015 deed de rechter uitspraak in Kort Geding en wees de vorderingen van Chantal toe.

Tegen de achtergrond van voornoemde feiten en omstandigheden is de voorzieningenrechter van oordeel dat Facebook, door op de valreep te volstaan met de mededeling dat zij niet meer over de gevraagde gegevens beschikt bij het naleven van haar – in dit geval in beginsel aanwezige – rechtsplicht jegens eiseres tot het verstrekken van NAW-gegevens met betrekking tot degene die onrechtmatig jegens eiseres heeft gehandeld, onvoldoende zorgvuldigheid in acht heeft genomen. Daarmee heeft Facebook op haar beurt naar het oordeel van de voorzieningenrechter onrechtmatig gehandeld jegens eiseres.

Van Facebook kan op zijn minst worden gevergd om alles in het werk te stellen om na te gaan of de gegevens toch niet nog ergens traceerbaar zijn en, zo zij erbij blijft dat dit niet het geval is, om aan eiseres antwoord te geven op de onder 4.8 en 4.9 genoemde vragen. In het verlengde daarvan ligt besloten dat in het geval Facebook volhardt in haar standpunt dat geen enkel gegeven meer te vinden is, eiseres in dit geval recht op en belang heeft bij een onafhankelijk onderzoek naar de juistheid van de mededelingen van Facebook op dit punt.

Dit betekent dat Facebook uiterlijk op 9 juli a.s. de NAW-gegevens van de persoon die het nepaccount heeft aangemaakt, gebruikt en het verwijderd. Mocht Facebook hier niet toe in staat zijn (vanwege het feit dat zij bij het standpunt blijven dat gegevens zijn verwijderd) dan dient Facebook medewerking te verlenen aan een onafhankelijk onderzoek. Ik ben erg benieuwd naar de uitkomsten hiervan.