Articles

Moeilijke verstandhouding in ICT-recht - Bijlage bij De Standaard - Fokus Legal Success

Moeilijke verstandhouding in ICT-recht - Bijlage bij De Standaard - Fokus Legal Success

Moeilijke verstandhouding in ICT-recht - Bijlage bij De Standaard - Fokus Legal Success

16.03.2017 BE law

Privacy, cybercriminaliteit, hacking… ICT-recht is een rechtstak die de laatste jaren voortdurend nieuwe uitdagingen op haar bord kreeg. Met de wet op het ethisch hacken en de GDPR-richtlijnen duiken opnieuw belangrijke dossiers op.

Maar weinig ‘ethische’ hackers weten het: zelfs als je in een computersysteem inbreekt om daarna de eigenaars te kunnen wijzen op de kwetsbaarheden, ben je illegaal bezig. Gelukkig komt aan die absurde situatie binnenkort een einde, door een wettelijk kader om ethisch hacken toe te laten. Bedrijven plaatsen daarvoor een standaardverklaring op hun website waarmee ze hackers toestemming geven om hun systemen aan te vallen en hen te waarschuwen voor gaten in de beveiliging.

White hackers
Voor Filip Waeytens van het beveiligingsbedrijf WSec komt de nieuwe wet eigenlijk te laat. “De dagen dat ik als jonge gast voor de sport hackte, zijn al lang voorbij”, lacht hij, “daar heb ik geen tijd meer voor.” Waeytens wordt nu door bedrijven zelf ingehuurd om hun IT-systemen te testen en hen te helpen om de kwetsbaarheden te dichten. “Ik werk altijd met een contract tussen mij en het bedrijf, dus ik bevind mij al jaren niet meer in een grijze zone”, zegt hij.

 

Het overgrote deel van de Belgische kmo’s heeft totaal geen kennis over en ligt ook niet wakker van IT-veiligheid

Filip Waeytens

 

Praktische problemen
“Op zich vind ik het wel goed dat white hat hackers een juridisch kader hebben om hun werk te doen, maar ik voorzie toch nog wel enkele praktische problemen. Hoe ga je bijvoorbeeld het onderscheid maken tussen ethische hackers en criminelen?” Waeytens geeft als voorbeeld een hacker die een kwetsbaarheid vindt bij een bedrijf. Hij zou kunnen proberen om de fout eerst ten gelde te maken, door ze bijvoorbeeld zelf uit te buiten of ze op de zwarte markt te verkopen. Wordt hij betrapt, kan hij eenvoudigweg aanvoeren dat hij ‘ethisch aan het hacken was”.

IT-veiligheid houdt niet wakker
Of de wet nu ook het algemene IT-landschap veiliger zal maken, is twijfelachtig. Afhankelijk van in welke business bedrijven zitten, hebben ze er totaal geen kennis van en liggen ze ook niet wakker van IT-veiligheid. Waeytens: “Banken bijvoorbeeld wel, voor hen is security wel een issue en zij hebben de middelen en manschappen om hier mee om te gaan. Maar de gemiddelde kmo?”.

 

Ik zou elk bedrijf aanraden om zo snel mogelijk in kaart te brengen hoe ze persoonsgegevens verwerken

Erik Valgaeren

 

GDPR verandert alles
Nog een heet hangijzer dat op de bedrijven afkomt, is de nieuwe GDPR-reglementering die de EU klaarstoomde, regels die de privacy van burgers beter beschermen en die in heel Europa in werking gaan vanaf mei 2018. “Er is geen enkele economische activiteit meer waar geen data bij genereerd wordt”, zegt advocaat Erik Valgaeren van het kantoor Stibbe. “Ongeveer elke bedrijfsleider, ziekenhuisdirecteur, schoolhoofd of hoofd van een advocatenkantoor moet hiervan op de hoogte zijn.”

Iedereen geïnformeerd
De GDPR-regels voorzien bijvoorbeeld dat organisaties burgers moeten informeren over hoe data wordt verzameld en verwerkt en wat ermee gebeurt. Op eenvoudig verzoek moet data gewist kunnen worden, ook als de gegevens ondertussen bij derden zijn beland. Bovendien moeten bedrijven elk datalek binnen 72 uur melden, behalve als duidelijk kan aangetoond worden dat er geen gevaar is voor de verzamelde persoonsgegevens.

 

GDPR-compliant zijn geeft bedrijven een concurrentieel voordeel: met ons mag je in alle vertrouwen handelen

Erik Valgaeren

 

Concrete maatregelen en toezicht
“Het privacyrecht hanteerde in de verwerking van persoonsgegevens vage begrippen als ‘legitimiteit’, ‘finaliteit’ en ‘proportionaliteit’”, zegt Valgaeren. “In de GDPR zitten die ook, maar daar wordt ook voorzien in zeer concrete en gedetailleerde maatregelen en toezicht, zoals Impactassessments, het aanstellen van een Data Protection Officer en het voeren van een integraal IT-veiligheidsbeleid.”

Gegevens in kaart
De advocaat raadt dan ook elk bedrijf aan om zo snel mogelijk in kaart te brengen hoe ze persoonsgegevens verwerken, delen en verspreiden, ook al omdat de sancties niet van de poes zijn. Die kunnen oplopen tot vier procent van de groepsomzet of twintig miljoen euro. Sowieso wordt voor het hoogste bedrag gekozen. “Dit speelt over alle divisies heen. Niet alleen de juridische dienst moet er zich mee bezighouden, ook HR, marketing en IT zijn betrokken.”

Kans om te onderscheiden
Hoewel dit in eerste instanties dus wel wat kopzorgen en kosten met zich meebrengt, ziet Valgaeren toch ook positieve kanten aan het verhaal. “GDPR is vooral een kans om je te onderscheiden. Als ze compliant zijn, kunnen bedrijven hiermee een concurrentieel voordeel halen tegenover concurrenten: ‘Met ons mag je in alle vertrouwen handelen.’”

Bron: De Standaard - bijlage Fokus Legal Success - Frederic Petitjean

Team

Related news

02.07.2019 NL law
Debate night: HR Analytics: opportunity or threat?

Seminar - On 2 July 2019, Stibbe's Digital Economy Group will host a debate night in Amsterdam on the hot topic of HR analytics. During Stibbe's debate night, speakers from the world of business, politics, science and law will exchange views on HR analytics, how they can be used in practice, and their development in the context of employment and privacy law.

Read more

06.06.2019 BE law
TMT Roundtable: Getting a handle on software quality

Roundtable - Erik Valgaeren, TMT Partner at Stibbe Brussels, and his team organize a roundtable on software quality in our Brussels office on June 6th, 2019. Software quality is a recurring theme in many matters handled by our TMT team. Whether our assistance relates to preparing tender documents, contracting effectively, assessing proper performance or allocating ownership and accountability in challenging IT projects, questions concerning software quality always arise.

Read more

06.06.2019 NL law
Masterclass: Alcohol and drug testing in the workplace

Masterclass - Stibbe will host a masterclass entitled 'Alcohol and drug testing in the workplace' on 6 June in Amsterdam. During this masterclass, employment law expert Johan Zwemmer and privacy experts Frederiek Fernhout and Judica Krikke will discuss the Dutch Data Protection Authority's general prohibition of these tests and discuss whether and how employers should implement.

Read more

07.06.2019 BE law
Part three - GDPR and public law: To retroact or not?

Articles - Since the General Data Protection Regulation (“GDPR”) became applicable almost one year ago, multiple questions have arisen about its interaction with other fields of law. In this three-part blog series of “GDPR and public law”, we discuss three capita selecta of the interaction of GDPR with public law and government. In this blog we discuss the retroactive application of GDPR.

Read more

06.06.2019 NL law
Masterclass: Alcohol- en drugstesten op de werkvloer

Masterclass - Stibbe in Amsterdam organiseert op 6 juni de masterclass 'Alcohol- & drugstesten op de werkvloer'. Tijdens deze masterclass bespreken arbeidsrechtexpert Johan Zwemmer en privacydeskundigen Frederiek Fernhout en Judica Krikke het algemene verbod van de Autoriteit Persoonsgegevens op deze testen voor werkgevers en leggen zij onder meer uit hoe hiermee moet worden omgegaan.

Read more

Our website uses functional cookies for the functioning of the website and analytic cookies that enable us to generate aggregated visitor data. We also use other cookies, such as third party tracking cookies - please indicate whether you agree to the use of these other cookies:

Privacy – en cookieverklaring