Beheer

Privacy
De ethiek achter de GDPR

De ethieklessen van de GDPR

Hoe zwart of wit is een datalek? IT'ers krijgen te maken met ethische dilemma's.

GDPR eu © CC0: Pixabay.com,  Harakir
9 april 2018

Er was eens een bedrijf in Nederland. Geen groot bedrijf, geen klein bedrijf. Opererend in een willekeurige sector. Een bedrijf dat persoonsgegevens opslaat en verwerkt. Persoonsgegevens die bestaan uit een naam, mailadres, een adres, een geboortedatum en een rekeningnummer.

Op een dag krijgt het bedrijf een mailtje. “Goedemorgen. Wat een interessante data hebben jullie op jullie servers staan. Ik kon zien dat mevrouw Janssen op de Bloemvlinder 137 woont. En dat de heer Pietersen vandaag zijn 47e verjaardag viert. En dat in een kwartier. Niet zo slim dat jullie RDP op jullie server open hebben staan. Dit mailtje om jullie te waarschuwen. Ik zal niets met deze informatie doen.”

Paniek in de tent, natuurlijk. Het lek wordt gedicht, de inlog wordt veranderd. En iedereen gaat weer verder met het werk. Een netwerkbeheerder googelt nog even wat het bedrijf moet doen in dit soort gevallen. Is het een datalek? Hij vraagt het aan zijn manager. Die vindt van niet. Er zijn geen gegevens op straat beland, het lek is gedicht, het was een eerlijke hacker. De manager meldt niets aan de directie.

Het zit de netwerkbeheerder niet lekker. De hacker zegt wel dat hij niets met de gegevens heeft gedaan, maar dat valt niet te controleren. En het is ook niet zeker of de persoon maar een kwartier binnen is geweest. Of dat er geen anderen de open toegang hebben ontdekt. Er is namelijk geen monitoringtool.

Wil hij wel werken voor een manager die of bedrijf dat dit soort lekken onder de pet houdt?

Een ethisch dilemma: gaat de netwerkbeheerder het vertellen aan de directie of bij de Autoriteit Persoonsgegevens? Moeten daarna klanten worden ingelicht? Hun gegevens zijn immers bekeken, maar de kans dat ze echt op straat zijn beland, is klein. Moet je klanten ongerust maken, onnodig wellicht? En als het antwoord op al deze vragen nee is, wil hij wel werken voor een manager die of bedrijf dat dit onder de pet houdt?

Allemaal ethische vraagstukken die de General Data Protection Regulation ons brengt, vanaf 25 mei 2018. Een datalek moet dan worden gemeld aan verantwoordelijken (bijvoorbeeld de opdrachtgever en in dit geval de directie). De AP hoeft pas te worden ingelicht als daadwerkelijk een lek heeft plaatsgevonden. Onder de vorige wet, de Wet bescherming persoonsgegevens, moet je een lek melden als niet kan worden uitgesloten dat onrechtmatige verwerking van persoonsgegevens kan plaatsvinden.

Wanneer heeft een lek echt plaatsgevonden? Wanneer is er sprake van ernstige gevolgen? Antwoorden zijn niet altijd zwart of wit. Wat een organisatie antwoordt, kan afhangen van de bedrijfscultuur. Daar komt ook ethiek bij kijken. Zowel van de organisatie als van de medewerkers.

Bovenstaand voorbeeld is een willekeurig voorbeeld bij een willekeurig bedrijf in Nederland. Het zou zomaar jouw werkgever kunnen zijn. Wat zou jij doen als jij die netwerkbeheerder bent?

Reactie toevoegen
1
Reacties
Jos de Weerdt 09 mei 2018 16:46

Wat vergeten is in dit item dat uit de Wet Bescherming Persoonsgegevens de meldplicht rond Datalekken al in 2016 van kracht geworden is.
Onder de GDPR wijzigt daar wel wat in, vooral het feit dat je wel alle datalekken moet registreren, maar niet meer 'per sé' ieder datalek bij de AP moet melden.

Verder zijn de eerdere reacties wel 'rare reclame'.