Overslaan en naar de inhoud gaan

De ethieklessen van de GDPR

Er was eens een bedrijf in Nederland. Geen groot bedrijf, geen klein bedrijf. Opererend in een willekeurige sector. Een bedrijf dat persoonsgegevens opslaat en verwerkt. Persoonsgegevens die bestaan uit een naam, mailadres, een adres, een geboortedatum en een rekeningnummer.
GDPR eu
© CC0: Pixabay.com
CC0: Pixabay.com

Op een dag krijgt het bedrijf een mailtje. “Goedemorgen. Wat een interessante data hebben jullie op jullie servers staan. Ik kon zien dat mevrouw Janssen op de Bloemvlinder 137 woont. En dat de heer Pietersen vandaag zijn 47e verjaardag viert. En dat in een kwartier. Niet zo slim dat jullie RDP op jullie server open hebben staan. Dit mailtje om jullie te waarschuwen. Ik zal niets met deze informatie doen.”

Paniek in de tent, natuurlijk. Het lek wordt gedicht, de inlog wordt veranderd. En iedereen gaat weer verder met het werk. Een netwerkbeheerder googelt nog even wat het bedrijf moet doen in dit soort gevallen. Is het een datalek? Hij vraagt het aan zijn manager. Die vindt van niet. Er zijn geen gegevens op straat beland, het lek is gedicht, het was een eerlijke hacker. De manager meldt niets aan de directie.

Het zit de netwerkbeheerder niet lekker. De hacker zegt wel dat hij niets met de gegevens heeft gedaan, maar dat valt niet te controleren. En het is ook niet zeker of de persoon maar een kwartier binnen is geweest. Of dat er geen anderen de open toegang hebben ontdekt. Er is namelijk geen monitoringtool.

Wil hij wel werken voor een manager die of bedrijf dat dit soort lekken onder de pet houdt?

Een ethisch dilemma: gaat de netwerkbeheerder het vertellen aan de directie of bij de Autoriteit Persoonsgegevens? Moeten daarna klanten worden ingelicht? Hun gegevens zijn immers bekeken, maar de kans dat ze echt op straat zijn beland, is klein. Moet je klanten ongerust maken, onnodig wellicht? En als het antwoord op al deze vragen nee is, wil hij wel werken voor een manager die of bedrijf dat dit onder de pet houdt?

Allemaal ethische vraagstukken die de General Data Protection Regulation ons brengt, vanaf 25 mei 2018. Een datalek moet dan worden gemeld aan verantwoordelijken (bijvoorbeeld de opdrachtgever en in dit geval de directie). De AP hoeft pas te worden ingelicht als daadwerkelijk een lek heeft plaatsgevonden. Onder de vorige wet, de Wet bescherming persoonsgegevens, moet je een lek melden als niet kan worden uitgesloten dat onrechtmatige verwerking van persoonsgegevens kan plaatsvinden.

Wanneer heeft een lek echt plaatsgevonden? Wanneer is er sprake van ernstige gevolgen? Antwoorden zijn niet altijd zwart of wit. Wat een organisatie antwoordt, kan afhangen van de bedrijfscultuur. Daar komt ook ethiek bij kijken. Zowel van de organisatie als van de medewerkers.

Bovenstaand voorbeeld is een willekeurig voorbeeld bij een willekeurig bedrijf in Nederland. Het zou zomaar jouw werkgever kunnen zijn. Wat zou jij doen als jij die netwerkbeheerder bent?

Reacties

Om een reactie achter te laten is een account vereist.

Inloggen Word abonnee

Bevestig jouw e-mailadres

We hebben de bevestigingsmail naar %email% gestuurd.

Geen bevestigingsmail ontvangen? Controleer je spam folder. Niet in de spam, klik dan hier om een account aan te maken.

Er is iets mis gegaan

Helaas konden we op dit moment geen account voor je aanmaken. Probeer het later nog eens.

Maak een gratis account aan en geniet van alle voordelen:

Heb je al een account? Log in

Maak een gratis account aan en geniet van alle voordelen:

Heb je al een account? Log in