Het privacyrecht is inmiddels een serieus specialisme met jaarlijks tientallen beschikkingen, vonnissen en richtsnoeren. Een overzicht daarvan is nuttig, maar kan je daarin ook bredere ontwikkelingen ontdekken? In deze blogserie worden tien privacytrends van 2014 besproken. Dit is de negende trend: security staat in de schijnwerpers.

Deze serie van privacytrends is eerder gepubliceerd in Mediaforum 2015/2, p. 50-54. Zie hier, hier, hier, hier, hier, hier, hier en hier de vorige trends.

Een ander onderwerp dat mede door de Snowden-onthullingen meer aandacht krijgt is informatiebeveiliging. Zo gaan grote bedrijven communicatie van begin tot eind versleutelen: WhatsApp (overgenomen door Facebook) heeft alle apps end-to-end versleuteld en Google ontwikkelt een Gmail-encryptie plugin.

Maar ook het CBP vindt security belangrijk: in 2015 is dit voor het CBP zelfs een van de vijf thema’s waarop het zich richt. Het meest opvallende voorbeeld uit 2014 vond ik dat het CBP naar aanleiding van het OpenSSL-lek (bekend als Heartbleed) in de gaten hield of voldoende onveilige beveiligingscertificaten werden ingetrokken. Ook sloot het CBP in 2014 het onderzoek naar de beveiliging bij SWIFT af – een onderzoek dat was gestart omdat uit de Snowden-onthullingen zou blijken dat de NSA dat internationale betalingsnetwerk had gehackt. Het CBP vond geen overtredingen van de Wbp-beveiligingsnorm.

Verder publiceerde het CBP in 2014 haar bevindingen over de beveiliging bij het Groene Hart ziekenhuis. De beschikking is aardig omdat het CBP hierin aangeeft hoe je met legacy-systemen waarop bedrijfskritieke processen draaien moet omgaan: die moeten in een quarantaine-netwerk worden geplaatst. Ook deed het CBP onderzoek naar de beveiliging van Suwinet, een systeem waarin overheidsinstellingen gegevens over werk en inkomen kunnen uitwisselen. Het onderzoek legt de nadruk op beveiliging van toegang: die moet beperkt zijn, zowel qua mensen die toegang krijgen, als gegevens waartoe ze toegang krijgen. Zo bleek in dit geval onder meer dat het Ierse Ministerie van Sociale Zaken toegang had tot de gegevens van alle mensen in Suwinet, hoewel zij slechts toegang zou hoeven te hebben tot Ieren die in Nederland hebben gewerkt. Het systeem was dan ook niet goed genoeg beveiligd.

Informatiebeveiliging kreeg ook meer aandacht in de rechtspraak. Zo bespreekt de rechtbank Amsterdam uitgebreid of de verkoper van Diginotar zijn beveiligingsgarantie, afgegeven in het kader van de verkoop van Diginotar aan een Amerikaanse partij, had geschonden. Dat is zo en de verkoper moet een schadevergoeding betalen, omdat door die slechte beveiliging Diginotar gehackt kon worden en uiteindelijk failliet is gegaan. De rechtbank Midden-Nederland heeft verder in een procedure over de beveiliging van het LSP (de nieuwe naam van het Elektronisch Patiëntendossier) zich in een civiele procedure gebogen over de vraag wanneer een systeem veilig genoeg is (in de zin van artikel 13 Wbp). De rechtbank sluit aan bij een beveiligingsstandaard en komt tot de conclusie dat aan die standaard is voldaan. Hiertegen is hoger beroep ingesteld.