27/03/17

Een nieuwsgierige werknemer is nog geen hacker: waar ligt de grens?

De digitalisering van onze maatschappij test onze nieuwsgierigheid. Nieuwtjes zijn maar een vingerklik verwijderd. In zoverre het gaat om persoonlijke informatie wordt onze zelfbeheersing op de proef gesteld. Dat geldt ook op de werkvloer. Werknemers hebben veelal toegang tot alle en dus ook gevoelige informatie op het interne netwerk. Het kan werknemers ertoe verleiden om te gaan snuisteren in informatie die niet voor hen bestemd is en die niet noodzakelijk is voor de uitoefening van hun eigen job. Is dit strafbaar? Een recent arrest van het Hof van Cassatie werpt een nieuw licht op deze problematiek.

Nieuwsgierigheid is niet strafbaar

De Amerikaanse verkiezingen brachten met Russia-gate hacking prominent in de media: er is sprake van hacking wanneer een onbevoegde persoon een informaticanetwerk binnentreedt.

De Belgische wetgever stelde niet alleen hacking door een buitenstaander strafbaar (externe hacking), maar eveneens de overschrijding van de toegangsbevoegdheid voor personen die wel toegang hebben tot het netwerk (interne hacking). De voorwaarde is dat deze personen zich toegang verschaffen tot deze gegevens met de bedoeling om te schaden of misbruik te maken van deze gegevens. Loutere nieuwsgierigheid wordt dus niet (strafrechtelijk) bestraft.

Er is bijvoorbeeld sprake van hacking wanneer een verpleger het elektronisch patiëntendossier opzoekt van een bekende zanger die in behandeling is in het ziekenhuis om deze gegevens dan aan een sensatieblad te verkopen. De verpleger had geen bevoegdheid om deze gegevens te raadplegen en raadpleegde ze met een bedrieglijk oogmerk, namelijk munt te slaan uit deze persoonlijke informatie.

Wie een access-all-areas-machtiging heeft, kan niet hacken

Het hof van beroep te Gent oordeelde dat er eveneens sprake is van interne hacking indien een persoon die in principe gerechtigd was om bepaalde gegevens te consulteren dit deed om een andere redenen dan louter de uitoefening van zijn functie. De concrete aanleiding was de opzoeking door een personeelslid van de informaticadienst van vertrouwelijke documenten op de interne server. Het hof van beroep besloot dat er wel degelijk sprake was van interne hacking, niettegenstaande de informaticadienst per definitie toegangsbevoegheid heeft tot het gehele netwerk. Het arrest argumenteerde dat het personeelslid deze bevoegdheid had afgewend van haar doelstelling, namelijk het onderhoud van het interne informaticanetwerk.

Klopt niet, besliste het Hof van Cassatie eind januari. Niet de doelstelling van de toegang is bepalend, wel de bevoegdheid. Indien iemand de bevoegdheid heeft om zich toegang te verschaffen tot alle documenten, kan er geen sprake zijn van een interne hacking. Een access-all-areas-machtiging sluit dus een veroordeling voor hacking uit.



De "heilige drievuldigheid" voor elk bedrijf: selecteren, informeren en beschermen

Ook al is nieuwsgierigheid niet strafrechtelijk te sanctioneren, toch moet de werkgever op zijn hoede zijn. Elke onderneming, instelling of administratie beschikt vandaag over persoonlijke en vaak zeer gevoelige gegevens: financiële gegevens van klanten of burgers, medische informatie van patiënten, of gegevens over het koopgedrag. Het is dan ook de verantwoordelijkheid van wie deze gegevens verzamelt om ze goed te beschermen. Volgend jaar worden nieuwe Europese regels van toepassing die de bescherming, verwerking en controle op deze gegevens nog versterken (de Algemene Verordening Gegevensbescherming of GDPR, zie ook Eubelius Spotlights juni 2016).

Bedrijven en overheden moeten dan ook zorgen voor "interne hygiëne" en snuisteren in gevoelige gegevens tegengaan. Weliswaar blijkt uit dit recente arrest dat het afwenden van de doelstelling om gegevens te raadplegen niet strafbaar is, maar dit moet de werkgever er niet van weerhouden om hier deontologische sancties aan te koppelen.

Bovendien houden bedrijven en overheden best de "heilige drievuldigheid" van een goede databescherming in het oog. Eén, bedenk of uw bedrijf of overheid wel noodzakelijk alle gegevens nodig heeft die u opvraagt (selecteer). Vaak blijkt dat veel gegevens worden opgevraagd die nooit worden gebruikt. Twee, informeer uw werknemers zeer duidelijk welke gegevens ze waarvoor mogen gebruiken, welke de grenzen hiervan zijn en welke de sancties bij overtreding (informeer). Drie, bescherm persoonsgegevens ook intern. Zeker voor zeer gevoelige gegevens of dossiers is het nuttig om na te denken over aparte wachtwoorden, locaties of mappen. Selecteer ook wie toegang krijgt tot alle gegevens vanuit de noodwendigheden van de job.

Catherine Van de Heyning
catherine.vandeheyning@eubelius.com

Tom Bauwens
tom.bauwens@eubelius.com

dotted_texture