Laptopdiefstallen met een juridisch staartje
In de Amerikaanse media werden er diverse gevallen gemeld van diefstallen van laptops die de persoonsgegevens van enkele duizenden personen bevatten, zoals namen, adressen, geboortedata en sociale zekerheidsnummers. Telkens ging het om laptops van medewerkers van overheidsdiensten, scholen en grote bedrijven. Daarbij moest de betrokken instantie met het schaamrood op de wangen toegeven dat de persoonlijke gegevens niet beveiligd waren, zodat aan de betrokkenen gemeld werd om extra op te letten voor mogelijke identiteitsdiefstal.
Dergelijke incidenten zijn zeker niet nieuw en kwamen in het verleden waarschijnlijk even vaak voor. Wel nieuw is dat de publieke opinie stilaan gevoelig wordt voor zulke incidenten, getuige de verontwaardigde toon waarmee de media de berichten publiceren. De Amerikaanse autoriteiten hebben ondertussen al een miljoenenboete opgelegd aan enkele ondernemingen, wegens het onzorgvuldig omspringen met persoonlijke gegevens.
Hoewel in Europa nog geen gelijkaardige berichten over verlies van persoonsgegevens werden gepubliceerd, kan je verwachten dat de publieke opinie en de gerechtelijke autoriteiten gelijkaardig zullen reageren. In Europa bestaat sinds 1995 (in België al sinds 1992) een strenge richtlijn die strikte waarborgen, en de bijhorende straffen, oplegt bij de verwerking van persoonsgegevens. Daarbij treden de nationale Europese instanties die zich met de bewaking van persoonsgegevens bezighouden, zoals de Belgische Privacycommissie, almaar meer op de voorgrond om een juiste toepassing en afdwinging van de wetgeving af te eisen. Naast de strafmaatregelen opgelegd door de privacywetgeving, mogen overigens ook de mogelijke schadeclaims van de gedupeerden niet vergeten worden.
Wie persoonsgegevens verwerkt, dient volgens de richtlijn en de nationale wetgeving een ‘passend’ beveiligingsniveau te verzekeren, rekening houdend met enerzijds de stand van de techniek en de kosten voor de beveiliging en anderzijds de aard van de persoonsgegevens en de risico’s verbonden aan de verwerking. De wetgeving gebiedt met andere woorden om een zorgvuldige afweging te maken tussen beveiligingsmaatregelen en risico’s, wat eigenlijk parafraseert wat elke IT-manager met gezond verstand ook wel weet.
De wet legt geen precieze technische maatregelen op, zodat de vraag rijst wat een passend beveiligingsniveau is voor bijvoorbeeld een laptop. Als op een laptop de adresgegevens van de vijftig leden van de tennisclub worden bewaard, zal een eenvoudige wachtwoordbeveiliging allicht volstaan. Maar als op de laptop de sociale zekerheidsgegevens of kredietkaartgegevens van meerdere duizenden personen worden bewaard, dan lijkt mij dat een state-of-the-art beveiliging nodig zal zijn die minstens de desbetreffende bestanden encrypteert met een voldoende krachtig algoritme. In zo’n geval moet ook worden gewaakt over de andere aspecten van de (fysieke) beveiliging van de laptop en over een constante update van de beveiliging.
Met het voorbeeld van de kredietkaartgegevens kan je zelfs de vraag stellen of het, gezien de hoeveelheid diefstallen en het belang van de data, überhaupt wel toegelaten is om dergelijke gegevens op een laptop, of palmcomputer, op te slaan. Aan de rechter om dat te beoordelen.
Patrick Van Eecke is advocaat, gespecialiseerd in IT-recth. Hij doceert tevens aan queen Mary University (Londen) en Universiteit Antwerpen.
