Nieuws & blogs

Waar moet je rekening mee houden bij het elektronisch verwerken van gegevens?

24 juli 2014

In dit artikel wordt aandacht besteed aan de (juridische) gevolgen van het elektronisch verwerken van gegevens. Het verwerkingsbegrip omvat alle handelingen die ten aanzien van gegevens kunnen worden verricht. Gedacht kan worden aan het opslaan, kopiëren, wijzigen of openbaar maken van gegevens. Tegenwoordig wordt de verwerking van gegevens steeds vaker elektronisch ofwel digitaal uitgevoerd. In dit document worden in vogelvlucht de belangrijkste vraagstukken die hieruit voortvloeien behandeld. In dit artikel wordt in de eerste plaats aandacht besteed aan de manieren waarop de digitalisering van het verwerkingsproces plaats kan vinden. Vervolgens wordt gekeken naar de mogelijke risico’s hiervan. Ten slotte wordt beknopt ingegaan op de maatregelen die kunnen worden getroffen om deze risico’s in te perken. Hierbij wordt tevens gekeken naar de mogelijke rol die De IT-jurist hierbij kan spelen.

Digitalisering van gegevens
In de huidige informatiemaatschappij worden steeds meer processen geautomatiseerd. Dit vindt allereerst plaats in het bedrijfsleven. Zo handelen zij elektronisch, gebruiken zij digitaal systeem voor hun voorraadbeheer en voeren zij een elektronische administratie. Bovendien kunnen zij tevens digitale producten en diensten aanbieden. Overheidsinstanties communiceren daarnaast steeds vaker digitaal met hun burgers. Diezelfde burgers ten slotte worden ook steeds meer bekwaam in het uitvoeren van digitale handelingen. Gedacht kan niet alleen het via internet afsluiten overeenkomsten of het doen van een belastingaangifte.

Het belangrijkste gevolg van automatisering is gegevens die eerst op analoog (bijvoorbeeld op papier) waren vastgelegd steeds meer gedigitaliseerd opgeslagen en verwerkt. Net als analoge data kunnen ook digitale gegevens een bepaalde waarde vertegenwoordigen. Deze waarde kan zich op verschillende manieren uiten. Digitale gegevens kunnen allereerst een product vormen. Dit kan een website zijn, maar ook een digitaal opgemaakt document met de tekst van een advies of een boek. Het gaat dan om het digitaal opslaan of digitaal creëren van toegevoegde waarde. Digitale gegevens kunnen daarnaast van ‘waarde’ zijn voor het voldoen aan (wettelijke) plichten. Zo moet ook de elektronische administratie van een organisatie worden bewaard op grond van de fiscale bewaarplicht. Ten slotte kan de waarde van gegevens ook worden gevonden in het feit dat zij informatie over a. een organisatie of b. een persoon bevatten die niet voor een ieder bestemd is. In het eerste geval kan gedacht worden aan bijvoorbeeld interne stukken waarin bedrijfsstrategieën zijn neergelegd. In het tweede geval kan het gaan om privacygevoelige data, zoals gegevens over de gezondheid van een persoon.

Risico’s digitalisering van gegevens
Het grote voordeel van automatisering is met name dat processen en handelingen efficiënter kunnen worden doorlopen respectievelijk uitgevoerd. Aan de hiermee gepaard gaande digitalisering van gegevens zijn echter risico’s verbonden. Deze vloeien voornamelijk voort uit de specifieke eigenschappen die digitale data bevatten. Digitale gegevens zijn in de eerste plaats eenvoudig te kopiëren en zij kunnen daarmee ook elders worden opgeslagen, gebruikt of zelfs worden gepubliceerd. Deze handelingen, die zoals gezegd allen kunnen worden geschaard onder deverwerking van digitale gegevens, komen vaak in beginsel slechts toe aan degene die de gegevens als eerste digitaal heet gecreëerd of beschikbaar gemaakt. Dit kan bijvoorbeeld de maker zijn van een digitaal product als een website of een databank. Daarnaast kan het ook zo zijn dat deze handelingen in beginsel slechts zijn voorbehouden aan degene op wie de gegevens betrekking hebben. Dat is met name het geval wanneer het om privacygevoelige gegevens gaat. Vanwege het feit dat handelingen met digitale gegevens in beginsel eenvoudig zijn te verrichten is het goed mogelijk dat deze plaatsvinden zonder de toestemming of zelfs zonder medeweten van de rechthebbende. Een digitaal opgeslagen bedrijfsstrategie kan bijvoorbeeld worden gekopieerd naar een USB-stick door een werknemer. Een auteursrechtelijk beschermd digitaal werk kan door een derde eenvoudig worden gekopieerd en voor zijn profijt worden gedistribueerd. Een hacker kan ongemerkt binnendringen in een databank met privacygevoelige gegevens. Het feit dat aan de verwerking van digitale gegevens dergelijke risico’s zijn verbonden heeft de wetgever doen besluiten om aan verwerking van bepaalde categorieën gegevens regels te verbinden. Een voorbeeld hiervan is de Wet bescherming persoonsgegevens (Wbp), waarin ten aanzien van de verwerking van privacygevoelige persoonsgegevens regels worden gesteld.

Het tweede risico dat aan de digitalisering van gegevens kleeft is het feit dat digitale gegevens niet lang houdbaar zijn. Het verwerken van de gegevens is namelijk slechts mogelijk wanneer er gebruik wordt gemaakt van de hiervoor benodigde hard- en software. Zo zal het openen van een document dat is opgemaakt in een oude versie van WordPerfect en dat is opgeslagen op een floppydisk tegenwoordig niet altijd eenvoudig zijn. De beperkte houdbaarheid van digitale gegevens kan onder andere betekenen dat het voldoen aan wettelijke bewaarplichten als de fiscale bewaarplicht een complexe aangelegenheid wordt. Deze kunnen immers eisen dat de gegevens gedurende de bewaarplicht te allen tijde uitgelezen kunnen worden. Wanneer er op enig moment besloten wordt gebruik te maken van een nieuw softwarepakket voor bijvoorbeeld het uitvoeren van de administratie kan dat betekenen dat de data die is opgeslagen met de oude software niet meer inzichtelijk kan worden gemaakt. Het omzetten van de gegevens naar een bestandsformaat waarmee de nieuwe software kan werken (converteren) is bovendien niet onder alle omstandigheden toegestaan. Dit kan betekenen dat het voldoen aan bewaarplichten een uitdaging kan zijn wanneer digitale data moeten worden bewaard.

Inperken van risico’s
De hierboven beschreven risico’s eisen dat er zorgvuldig met digitale gegevens wordt omgegaan. Hiermee wordt recht gedaan aan de waarde die digitale gegevens kunnen vertegenwoordigen. Belangrijk is allereerst dat waardevolle gegevens niet in handen komen van onbevoegden. Uiteraard kunnen deze onbevoegden van buitenaf komen. Het is echter ook goed mogelijk dat binnen een organisatie onbevoegden toegang hebben tot digitale gegevens. Daarbij hoeft niet per se zo te zijn dat zij die toegang zich moedwillig verschaffen. Het kan bijvoorbeeld voorkomen dat de gegevens niet voor hen zijn afgeschermd. Mismanagement op het gebied van het beheren van digitale gegevens is dan de oorzaak van een kritieke situatie.

Het is dus belangrijk dat organisaties, een beleid voeren ten aanzien van het verwerken van digitale gegevens. Bij dit opstellen van dit beleid zal aan onder andere de volgende zaken aandacht moeten besteed. Het is allereerst belangrijk om een inventarisatie te maken van de digitale gegevens die binnen de organisatie worden verwerkt. Er daarbij moeten worden bekeken wie bevoegd is tot het verwerken van die gegevens en wie niet. Hieruit volgt dat de toegang tot de gegevens afdoende voor zowel externe als internet onbevoegden moet worden afgeschermd door beveiligingsmaatregelen. Hiervan kunnen niet alleen het opzetten van een firewall en het versleutelen van gegevens onderdeel zijn, maar bijvoorbeeld ook het instellen van toegangsniveaus voor verschillende categorieën data. Voor het beveiligen van gegevens zijn (internationale) standaarden ontwikkeld. Een voorbeeld hiervan is de NEN-ISO Code voor Informatiebeveiliging. 

Een tweede onderdeel van het beleid ten aanzien van het verantwoord verwerken van elektronische gegevens wordt gevormd door het verzorgen van een verwerkingsproces dat in overeenstemming is met de geldende regelgeving. Hiervoor is nodig dat in kaart wordt gebracht op welke manieren gegevens worden verwerkt. Vervolgens wordt een complianceonderzoek uitgevoerd waarmee bekeken wordt of verwerkingsmethoden inderdaad conform de regelgeving zijn en waar dit vereist wordt veranderingen worden doorgevoerd.

Een derde belangrijk aspect van een verantwoord gegevens beleid is het rekening houden met bewaarplichten. Vastgesteld moet onder andere worden welke gegevens bewaard moeten blijven. Daarnaast moeten de  maatregelen worden getroffen waarmee het bewaren van de gegevens aan de normen gaat voldoen. Hieronder kan vallen het systematisch opslaan van gegevens en het beschermen van de gegevens tegen vervalsing. De problemen die ontstaan door de beperkte houdbaarheidsdatum van digitale gegevens kunnen onder andere worden opgelost door het gebruik van open standaarden (bijvoorbeeld het pdf- formaat) en op een zorgvuldige wijze converteren van oude data. Ook voor het bewaren van gegevens zijn standaarden ontwikkeld. Een voorbeeld hiervan is de NEN-ISO norm voor Informatie- en Archiefmanagement.

Andre Kamps

Andre Kamps is partner bij IT-juridisch adviesbureau De IT-jurist B.V. Hij heeft uitgebreide kennis en ervaring op het gebied van IT-overeenkomsten, escrow, internetrecht, intellectueel eigendom en IT-recht. Hij werkt samen met Stichting IT-notaris. Stichting IT-notaris is het specialisatieorgaan van alle IT-notarissen in Nederland. Stichting IT-notaris heeft zich als doel gesteld een bijdrage te leveren aan de rechtszekerheid in de informatiemaatschappij.

"Al bloggend op weg naar PLEIT2014"
Op de site van De Advocatenwijzer is al menig artikel verschenen over ICT en recht. In de aanloop naar PLEIT2014 zullen wij wekelijks een blog plaatsen over dit onderwerp. De artikelen dienen ter kennisneming en inspiratie voor deelnemers, (potentiële) cliënten en andere geïnteresseerden. Ben je jurist op het gebied van ICT recht (in de breedste zin des woords) en wil je een interessant en prikkelend artikel delen over dit thema? Stuur je blog naar: pleit@deadvocatenwijzer.nl. Zo gaan wij samen al bloggend op weg naar PLEIT2014!