Een deontologie voor de informaticus en privacy: het onzichtbare controleerbaar en beheersbaar gemaakt. Georges Lichtenstein & Paul De Hert1 Een deontologie voor de informaticus en privacy: het onzichtbare controleerbaar en beheersbaar gemaakt...................................................................................................................1 A.Inleiding..............................................................................................................................1 1. Opzet...............................................................................................................................1 2. Achtergrond....................................................................................................................3 B.Wet verwerking persoonsgegevens.....................................................................................4 1. Geautomatiseerde verwerking ........................................................................................4 1.1. Persoonsgegeven..................................................................................................5 1.2. Verwerking van persoonsgegevens......................................................................5 1.3. Verwerker versus verantwoordelijke voor de verwerking..................................6 2. Verplichtingen inzake beveiliging en vertrouwelijkheid van gegevensverwerking.......7 2.1. Beperking van de toegang tot het bestand...........................................................7 2.2. Beveiliging van persoonsgegevens......................................................................8 2.3. Verplichting tot toezicht.....................................................................................10 2.4. Opstellen van “security policies”.......................................................................10 3. Strafbepalingen.............................................................................................................11 C.Controle van elektronische on-linecommunicatie (C.A.O. nr. 81) ..................................12 12 JUNI 2002. - Koninklijk besluit waarbij algemeen verbindend wordt verklaard de collectieve arbeidsovereenkomst nr. 81 van 26 april 2002, gesloten in de Nationale Arbeidsraad, tot bescherming van de persoonlijke levenssfeer van de werknemers ten opzichte van de controle op de elektronische on-linecommunicatiegegevens (1) , B.S., 29.06.2002, 12699.............................................................................................................13 D.Strafrechtelijke bepalingen................................................................................................14 1. Fabrieksgeheim (art. 309 SW)......................................................................................14 2. Hacking (art. 550bis SW) .............................................................................................15 E.Compliance en Compliance Officer..................................................................................16 F.Besluit................................................................................................................................18
A. Inleiding 1. Opzet Alle artsen zweren trouw aan de “eed van Hippocrates” (eerbiedigen van het beroepsgeheim en de persoonlijke levenssfeer van de patiënt, vóór alles het belang van de zieke dienen, ...), waarin de ethische principes geformuleerd worden die algemeen geldend waren in de oudheid.2 Ook bedrijfsrevisoren dienen een eed af te leggen voor de Rechtbank van Koophandel voor ze erkenning genieten. Een advocaat mag pas pleiten voor de rechtbank nadat hij in een plechtige zitting voor het Hof van Beroep eveneens een eed aflegt.3 In alle gevallen staan de belangen van de patiënt respectievelijk cliënt centraal en onderwerpt men zich aan een ethische code. Over de naleving van deze deontologische code waken 1
Georges LICHTENSTEIN is doctoraartsstudent aan de V.U. Brussel en onderzoeker bij het Institute for European Studies van de V.U. Brussel Prof. Dr. Paul DE HERT is Docent aan de V.U. Brussel en Hoofddocent te Leiden 2 http://195.234.184.64/hippocrates-tekst.htm#EED_VAN_HIPPOCRATES 3 zie eedformule, art. 429 Ger. W.
1
beroepsverenigingen zoals de Orde van Geneesheren, de Orde van bedrijfsrevisoren en de Orde van Advocaten. Het afgelopen decennium wordt gekenmerkt door vele ontwikkelingen, maar wellicht de opvallendste is de invloed op de meest elementaire van alle menselijke activiteiten: communicatie en toegang tot informatie.4 Computers zijn al gekend van voor de tweede wereldoorlog. Pas de laatste 40 jaar is hun verspreiding exponentieel toegenomen. Onze samenleving is de laatste decennia geëvolueerd van een industriële- naar een informatie- en communicatiemaatschappij.5 ‘Niemand zal er vandaag de dag nog aan twijfelen dat Informatica- en Communicatietechnologie (ICT) een cruciale rol speelt in het economische leven. Het behoorlijk functioneren van netwerken, systemen en toepassingen is van groot belang voor talloze overheden, bedrijven en particulieren die in grote mate “afhankelijk” zijn van hun ICT infrastructuur en, bij uitbreiding, ook van hun informatiebeheerders’.6 Computer ethiek buigt zich over de praktische morele vragen die computers en informatietechnologie oproepen, zoals de auteursrechtelijke status van software en juridische aspecten van computercriminaliteit. Die ethiek is relevant, omdat de overheid en de rechtspraak de razendsnelle ontwikkelingen niet bijhouden.7 Het opleggen van een ethische code aan de informaticus moet hem aanzetten elke handeling ethisch af te wegen. Tegenwoordig heeft bijna iedereen toegang tot computers en het Internet. Een doorsnee gebruiker is perfect in staat om deze complexe apparatuur te bedienen en sommigen worden beschouwd als deskundig op het vlak van informatica. De informaticus beseft echter dat ‘de’ deskundige niet bestaat. Er is een belangrijk aspect dat computers bijzonder maakt, nl. de onzichtbare factor. James H. Moor wijst terecht op het feit dat het grootste werk dat door computers verricht wordt aan de gebruiker onzichtbaar voorbij gaat .8 Deze onzichtbaarheid van de werking van computers stelt heel wat ethische vragen betreffende de organisatie, het computersysteem en/of –netwerk, de samenleving en de rol daarin van de IT-medewerkers (Informatietechnologiemedewerkers of informatici) en de verantwoordelijkheid van werkgevers of beleidsverantwoordelijken. Dezen hebben trouwens meestal te weinig technische kennis, waardoor de IT-medewerker dikwijls onbewust een enorme macht krijgt. Het onderwerp ‘insider threat in IT’ draait om de IT-medewerker die bij machte is om bedrijven te ruïneren, levens op het spel te zetten en gezien de wereldwijde vervlechting van systemen (bijv. het Internet) problemen op wereldschaal te veroorzaken.9 Bovendien blijkt het mechanisme van de zelfregulering dat dikwijls in relatie met het Internet gebruikt wordt, niet altijd te werken. Zelf- of autoregulering ontstaat wanneer een individu eenzijdig beslist om een bepaalde lijn van handelen te trekken waaraan het zich houdt. Bepaalde netwerkgemeenschappen leggen dergelijke gedragslijn op en sociale controle wordt
4
CHESHER? M. & KAURA, R., E-commerce en zakelijke communicatie, Bedrijfsstrategieën voor elektronisch zakendoen, Academic Service, 2000, 312 p. 5 Belgische Kamer van Volksvertegenwoordigers, Parl. st. Wetsontwerp inzake informaticacriminaliteit, Nr.213/1 en Nr.214/1, DOC500213/001, DOC500214/001, 3 november 1999. 6 http://www.adm.be 7 VAN RAAIJ, B., Filosofen in de ban van de ‘Helse machien’, Desidius, 4 (2) 22-26, 1991, gepubliceerd op http://www.tbm.tudelft.nl/webstaf/getjanl/raaij1991.html 8 MOOR, J. H., ‘What is computer ethics?’, http://www.southernct.edu/organizations/rccs/resources/teaching/teaching_mono/moor/moor_definition.html 9 SPEE, A.J.A.M., Insider threat in IT (de factor mens beschouwd), Erasmus Universiteit Rotterdam (EURAC), 2003-2004, 41 p., gepubliceerd https://www.platforminformatiebeveiliging.nl/tikiwiki/tikiwikidownload_file.php?fileId=57.
2
beschouwd als uiterst belangrijk. Dit systeem kent echter ook bepaalde sancties voor wie er zich niet aan houdt.10 In deze bijdrage wensen we een kritische kijk te geven op de problematiek van het professionalisme van de informaticus. We toetsen gedragscodes aan de huidige praktijk binnen de informaticasector en zoeken een antwoord op de vraag welke professionals we wensen in het bedrijfsleven. Van de informaticus wordt verwacht dat hij nadenkt over de wijze waarop hij als professioneel denkt en overeenkomstig ethisch handelt. Bovendien wordt nagegaan over welke macht de informaticus beschikt en hoe hij deze kan aanwenden.11 Hierbij zal de nadruk liggen op de eerbiediging van de privacy, meer bepaald wordt nagegaan wat de Wet Verwerking van Persoonsgegevens (B)terzake zegt, vervolgens kijken we naar de bevoegdheden in verband met de controle van elektronische on-linecommunicatie (C), en besteden we aandacht aan enkele strafrechtelijke bepalingen (D) . Bovendien zal bij deze bespreking getracht worden om na te gaan in hoeverre het opleggen van dergelijke deontologische code wenselijk is. Tenslotte zal stilgestaan worden bij de functie van compliance officer als bewaker van de ethische gedragsregels (E).
2. Achtergrond Op 8 december 1992 wordt de ‘Wet tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens’ uitgevaardigd.12 Na het Verdrag van de Raad van Europa van 28 januari 1981 tot bescherming van personen ter zake van de geautomatiseerde verwerking van persoonsgegevens13 vaardigen het Europees Parlement en de Raad Richtlijn 95/46/EG, betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrij verkeer van die gegevens, uit op 24 oktober 1995.14 Deze richtlijn geeft aanleiding tot de aanpassing van de Belgische wet op 11 december 1998.15 Als in het vervolg van deze tekst wordt gesproken van of verwezen wordt naar de ‘Wet verwerking persoonsgegevens’ (WVP), wordt steeds de gecoördineerde versie van de wet – d.i. de Wet van 8 december 1992, zoals gewijzigd door de Wet van 11 december 1998 – bedoeld.16 Bij de geautomatiseerde verwerking van persoonsgegevens zal de informaticus uiteraard een cruciale rol spelen. Hij zal betrokken worden bij de organisatie, ontwikkeling, implementatie en het technische beheer van het systeem, zij het dat dit niet altijd over dezelfde fysische persoon moet gaan. Verhoudingen tussen burgers onderling zijn veelal onderworpen aan regelend recht, behalve in de gevallen waar de overheid de burger tegen zichzelf wil beschermen, bijvoorbeeld
10
VERBIEST, Th., WERY, E., Le droit de l’internet et de la société de l’information, De Boeck & Larcier, 2001, 648 p. 11 CORDOBA, J., Are we information systems professionals? A critical view, paper presented at the Young Operational Research Conference, Bath, April 4 to 6, 2005 zie terzake http://www.hull.ac.uk/php/sbsjrc/Publications/Are%20we%20IS%20professionals.pdf 12 B.S. 18 maart 1993, 5801. 13 ETS, N° 108, Convention for the Protection of Individuals with regard to Automatic Processing of Personal Data Strasbourg, 28.I.1981 14 Advies van het Europees Parlement van 11 maart 1992 (PB nr. C 94 van 13.4.1992 blz. 198), bevestigd op 2 december 1993 (PB nr. C 342 van 20.12.1993, blz.30); gemeenschappelijk standpunt van de Raad van 20 februari 1995 (PB nr. C 93 van 13.4.1995, blz.1) en besluit van her Europees Parlement van 15 juni 1995 (PB nr. C 166 van 1995) 15 B.S. 3 februari 1999, 3049. 16 DE BOT, D. Verwerking van persoonsgegevens, Antwerpen, Kluwer, 2001, 403 p. l.c., p.1.
3
minderjarigen of consumenten. Deze regels hebben vaak betrekking op de openbare orde en goede zeden.17 Het lijkt vanzelfsprekend dat de informaticus de wet respecteert. Het strafwetboek bepaalt welke gedragingen strafbaar gesteld worden en waaraan elke burger onderworpen is. In het belang van deze bijdrage zullen we in het bijzonder aandacht besteden aan art. 309 SW, betreffende de bescherming van bedrijfsgeheimen, en het artikel 550bis SW dat ingevoegd werd bij Wet van 28 november 2000 betreffende informaticacriminaliteit welke voor de informaticus bepaalde repercuties inhoudt.18 Eind januari 2005 werd door Antwerp Digital Mainport (ADM) een gedragscode voor informatiebeheerders gepubliceerd.19 Hoewel de opstellers het woord informaticus niet in hun tekst gebruiken, gaat het hier om een onvervalste deontologische code voor de informaticus. “De informatiebeheerder wordt er beschreven als eenieder die toegangsrechten heeft die dat van het functioneel gebruik van de gegevens overschrijden. Het gaat met name om de systeembeheerders, databeheerders, applicatiebeheerders, netwerkbeheerders, consultants, veiligheidsbeheerders enzovoort”.20 Hoewel in Nederland de Vereniging voor Register Informatici (VRI) reeds in november 2004 een gedragscode opstelde voor register informatici21, wordt het opstellen van dergelijke interprofessionele gedragscode voor de informatiebeheerder beschouwd als een primeur voor de Belgische en Europese informaticasector.22
B. Wet verwerking persoonsgegevens 1. Geautomatiseerde verwerking En IT-professional dient steeds het welzijn van het publiek in overweging te nemen en de belangen van de samenleving voorrang te geven op private- of bedrijfsbelangen. Informatiesystemen hebben een grote impact op de openbare orde, de privacy en economische belangen.23
17
EPPINGA, R., GEERINK, B., DEN HOED, M., DE NOOIJER, J., PAUW, B., Praktisch Informaticarecht, samenvatting Recht en Informatica, 2003, 35 p., http://www.students.cs.uu.nl/~ogik/samentent/RI_Samenvatting_boek.pdf 18 B.S. 3 februari 2001. 19 http://www.adm.be 20 http://www.adm.be 21 http://www.vri.net/index.php?topic=ethics 22 KORDEL, L., Gedragscode voor informatiebeheerders, zie http://www.taxtoday.be/nl/modules/themes/themesarticle.jsp?idarticle=WKBE-FIO-FIFI-CEAID53801110211@nl 23 OZ, E., Ethical Standards for Information Systems Professionals: A Case for a Unified Code, MIS Quarterly, 1992, p.423-433, l.c. p. 425, http://www.misq.org/archivist/vol/no16/issue4/effyoz.pdf.
4
1.1. Persoonsgegeven De WVP heeft een heel nieuw begrippenkader gecreëerd. Zo wordt onder ‘persoonsgegevens’ verstaan ‘Iedere informatie betreffende een geïdentificeerde of identificeerbare natuurlijke persoon’.24 Het gaat hier dus over een fysieke persoon, hoewel sommige auteurs stellen dat de wet wel degelijk kan gelden voor gegevens die verband houden met een rechtspersoon, voor zover zij direct afhangen van gegevens die op hun beurt betrekking hebben op een natuurlijke persoon.25 Persoonsgegevens moeten onderscheiden worden van louter persoonlijke of anonieme gegevens. Dit zijn gegevens die wel betrekking hebben op een persoon, maar niet op een geïdentificeerde of identificeerbare persson.26 Is een IP-adres27 bijvoorbeeld een persoonsgegeven? Een IP-adres is meestal niet onmiddellijk toe te wijzen aan een persoon en zou in die context niet beschouwd worden als een persoonsgegeven. Onder de noemer anonieme gegevens vallen zowel de absoluut anonieme gegevens als de feitelijk anonieme of gecodeerde gegevens. 28Het zal echter mogelijk zijn om mits tussenkomst van een Internet Service Provider (ISP) om toch na te gaan op welk fysisch adres een IP-adres op een bepaald ogenblik was toegewezen. In tegenstelling tot de absoluut anonieme gegevens sluiten feitelijk geanonimiseerde gegevens herleiding tot een persoon niet uit.29 De informatie afkomstig van de ISP kan aanleiding geven tot identificatie van de gebruiker. Vermits de WVP zowel de direct als indirect identificeerbare persoonsgegevens wenst te beschermen kan in die context ook het IP-adres beschouwd worden als persoonsgegeven. De wetgever heeft deze status van een IP-adres erkend door voor de identificatie van een IP-adres in strafrechtelijke onderzoeken, de tussenkomst van een magistraat te eisen (art. 46bis SW). De afbakening tussen feitelijk geanonimiseerde gegevens enerzijds en persoongegevens anderzijds is niet eenvoudig.30 De wet beschermt niet het recht van rechtspersonen op privacy. Betreffende het recht op bescherming van bedrijfsgeheimen komen we later terug. Het gaat om natuurlijke personen die direct of indirect identificeerbaar moeten zijn.31
1.2. Verwerking van persoonsgegevens Bij een verwerking komen in heel wat gevallen meerdere personen tussen, waarvan er dikwijls wel één over de mogelijkheid beschikt om de betrokkenen te identificeren. Ingevolge het standpunt van de wetgever zal in deze gevallen sprake zijn van persoonsgegevens, in 24
Art. 1 §1 WVP; zie ook VERBIEST, Th., en WERY, E., Le droit de l’internet et de la société de l’information, Brussel, De Boeck en Larcier, p. 413. 25 DE BOT, D., l.c., p. 24, zie ook PIPERS, A., Het respect voor de privacy, Handboek (Uw rechten en plichten), Brussel, Politeia, p. 28 26 CALLENS, S., ‘Het juridisch statuut van het medisch persoonsgegeven’, in Etische perspectieven, 1995/1, nr.5, o.c., p. 30. 27 IP: Internet Protocol.Een IP-adres is meestal een dynamisch gegeven dat enkel wordt toegewezen voor de duur van de Internet connectie. Bij een volgende sessie zal het toegekende IP-adres volledig anders zijn. 28 CALLENS, S., o.c., p. 30. 29 CALLENS, S., o.c., p. 30. 30 CALLENS, S., o.c., p. 30. 31 zie terzake DE BOT, D. p. 65 e.v.
5
hoofde van al diegenen die gegevens verwerken.32 In art. 1 §3 en §4 WVP maakt de wet het onderscheid tussen de geautomatiseerde verwerking, respectievelijk het houden van een manueel bestand. Het begrip verwerking moet zeer ruim worden opgevat als elke activiteit die men met persoonsgegevens kan doen.33 Uiteraard zullen wij ons hier beperken tot de geautomatiseerde verwerking omdat juist in deze context de toegangsrechten van de informaticus die van het functioneel gebruik van de bestanden en de daarin verwerkte gegevens overschrijden. De wet legt de nadruk op de “verwerking” van persoonsgegevens. Worden er geen persoonsgegevens bewerkt, dan is er ook geen verwerking.34 Art.1 §2 WVP omschrijft een bestand als ‘het geheel van persoonsgegevens, samengesteld en bewaard op een logisch gestructureerde wijze met het oog op een systematische raadpleging ervan. Het onderscheid met een dossier is dit van de systematische toegang, d.w.z. dat er geen verplichting is om alle gegevens binnen een bestand door te nemen om een welbepaald gegeven terug te vinden.35 Uiteraard is elk bestand dat geautomatiseerd verwerkt wordt per definitie systematisch toegankelijk.36 Zo menen wij dat een tekst (bijv. een brief), die handelt over een persoon en die op een computersysteem wordt bewaard, in die context beschouwd kan worden als een persoonsgegeven. Onder verwerking wordt verstaan het geheel van bewerkingen in verband met de registratie en de bewaring van persoonsgegevens, alsook de wijziging, de uitwissing, de raadpleging of de verspreiding van gegevens.37 Zowel bij het ontwerp van dergelijk systeem als bij het onderhoud en de opvolging zal de tussenkomst van een informaticus onontbeerlijk zijn. Hij zal zich dan ook bewust moeten zijn van het dwingende karakter van de regels uit de privacywetgeving.38
1.3. Verwerker versus verantwoordelijke voor de verwerking De verwerker is ‘de natuurlijke persoon of rechtspersoon, de feitelijke vereniging of het openbaar bestuur die alleen of samen met anderen het doel en de middelen voor de verwerking van de persoonsgegevens bepaalt’39 of… aan wie de organisatie en de uitvoering van de verwerking werden toevertrouwd’. De WVP spreekt niet over de ‘bewerker’ zoals de Wet van 8 december 1992 dit wel deed. Men ging er vanuit dat er slechts één enkele en permanente bewerker was. Het begrip ‘verwerker’ sluit beter aan bij de praktijk waar er dikwijls beroep gedaan wordt op meerdere verwerkers, waarvan sommige slechts een kortere tijd een rol spelen bij de verwerking.40 De verwerker is meestal een onderaannemer aan wie bepaalde verwerkingsactiviteiten worden toevertrouwd, bijv. het verzorgen van een mailing, 32
DE BOT, D., l.c., p. 30. DE BOT, D., l.c., p. 65. 34 DE BOT, D., l.c., p. 65. 35 Cass. 16 mei 1997, JT, 1997, blz. 779, zie ook Comp., 1997, 161-164, met noot DUMORTIER, J.; zie ook Senaatscommissie, Verslag van 27 oktober 1992, Gedr. St. , Senaat, B.Z., 1991-1992, 445/2, 48 36 LAMBRECHT, D., ‘De bescherming van de privacy in de Belgische wetgeving. Overzicht van de bestaande wetgeving en een blik vooruit naar de op handen zijnde veranderingen’, jura falconis, Leuven, www.law.kuleuven.ac.be/jura/37n3/lambrecht.htm; zie ook DE BOT, D., l.c., p. 66. 37 VAN RAEMDONCK, K., ‘De verwerking van persoonsgegevens in de banksector’, R.W., 1996-1997, 897914 en 937-947. 38 www.adm.be, ‘informatiebescherming, respect voor privacy’ 39 Art. 1 §4. 40 DE BOT, D., l.c., p. 53. 33
6
het invoeren of aanpassen van een adressenbestand, e.a.41 De verwerker wordt hier geviseerd omdat hij rechtstreeks of onrechtstreeks zal betrokken worden bij de manipulatie en het praktisch beheer van de gegevens. Onder de ‘verantwoordelijke van de verwerking wordt de natuurlijke persoon of de rechtspersoon of de feitelijke vereniging verstaan die bevoegd is om te beslissen over het doel van de verwerking of over de soorten gegevens die erin moeten voorkomen’. 42
2. Verplichtingen inzake beveiliging en vertrouwelijkheid van gegevensverwerking 2.1. Beperking van de toegang tot het bestand Art. 16 WVP legt de verantwoordelijke van de verwerking van persoonsgegevens een aantal verplichtingen op inzake beveiliging en vertrouwelijkheid van gegevensverwerking.43 ‘De verantwoordelijke van de verwerking moet ervoor zorgen dat de personeelsleden slechts toegang tot persoonsgegevens en bevoegdheden om deze te verwerken, krijgen in zoverre dit nodig is voor de uitoefening van hun functie of voor de behoeften van de dienst’ (Art. 16 § 2, 2°).44 Het gaat om een dubbele regel. Vooreerst moet de toegang beperkt worden tot de personen die de gegevens en/of de verwerkingmogelijkheden nodig hebben voor de uitoefening van hun taken of de behoeften van hun dienst. Vervolgens mag aan die toegangsgerechtigde personen enkel toegang worden verleend tot de gegevens en verwerkingsmogelijkheden die ze daartoe nodig hebben.45 De niet-geautoriseerde gebruikers krijgen hierbij geen toegang. In de praktijk wil dit zeggen dat de werkgever verplicht wordt om ten aanzien van de verwerking van persoonsgegevens functieprofielen met hun respectieve autorisatieniveaus vast te leggen.46 Het zal meestal de informaticus zijn die op vraag van de verantwoordelijke voor de verwerking de opgestelde bevoegdheidsprofielen zal moeten implementeren. De wetgever heeft onvoldoende rekening gehouden met de praktijk van de informaticus, die naar de praktijk toe instaat voor de goede werking van het systeem en van wie veronderstelt wordt dat hij alle nodige middelen gebruikt om het informaticasysteem, waarop de gegevens opgeslagen zijn functioneel te houden. Hij heeft in principe toegang tot elk onderdeel van het systeem en dus ook tot elk bestand. Nieuwsgierigheid kan hier snel leiden tot het doorbreken
41
DUMORTIER, J. ‘De nieuwe wetgeving over de verwerking van persoonsgegevens’, in DUMORTIER, J. e.a. Rencente ontwikkelingen in informatica- en telecommunicatierecht, Brugge, Die Keure, p. 73 – 126, l.c., p. 93. 42 LAMBRECHT, D., o.c., p.5 43 DE BOT, D., l.c., p. 247. 44 DUMORTIER, J., l.c., p. 93. 45 DE BOT, D., l.c., p. 256 : hier dient de grens tussen « need to know », betreffende gegevens die nodig zijn voor de uitoefening van zijn functie, en “nice to know”, waarbij men toegang krijgt tot gegevens die niet noodzakelijk, maar wel nuttig zijn in de uitoefening van zijn taak, getrokken te worden. 46 DUMORTIER, J., l.c., p.93
7
van toegangsbevoegdheden. Wanneer we de strafrechtelijke interne hacking bekijken komen we hier op terug. Juist omwille van zijn bevoegdheid om door te dringen tot elk onderdeel van het ICT-systeem, zal voor wat de informaticus betreft niet voldaan worden aan de in de wet opgelegde verplichting tot beperking van de toegangrechten. Een deontologische code kan hier uitkomst bieden. De informaticus zal meer algemeen als werknemer van de ‘verantwoordelijke van de verwerking’, maar soms ook als zelfstandige ‘verwerker’ of als aangeduide voor de verwerking, diegene zijn die praktische uitwerking moet geven aan de verplichtingen die de wet aan zijn werkgever oplegt. De vraag die hierbij gesteld kan worden is ten eerste of hij hiervoor is opgeleid en ten tweede of dit geen al te zware verantwoordelijkheid is die men op zijn schouders legt. Het instellen van een orgaan dat deze taak van hem overneemt lijkt ons dan ook aangewezen (infra: compliance officer).
2.2. Beveiliging van persoonsgegevens Artikel 16 §4 legt aan de verantwoordelijke voor de verwerking (of zijn vertegenwoordiger in België) alsmede de verwerker de principiële verplichting op om gepaste technische en organisatorische maatregelen te treffen om de veiligheid van de persoonsgegevens te waarborgen. Een interessante gids die ons op weg kan helpen bij het verwerven van inzicht in de principes die aan de basis liggen van de bescherming van persoonsgegevens vinden we ongetwijfeld in Aanbeveling van de OESO. 47 9 principes moeten ieder die betrokken is bij de werking van een informaticasysteem helpen om zich bewust te zijn van zijn verantwoordelijkheden: onderwijs, uitwisseling van informatie en een opleiding kan leiden tot een beter begrip van veiligheid in de praktijk. ‘Elke inspanning om de veiligheid van informaticasystemen en netwerken te verbeteren moeten echter in overeenstemming zijn met de waarden in de democratische samenleving in het algemeen en met het evenwicht tussen de noodzaak van het vrije verkeer van informatie en de bescherming van de privacy in het bijzonder’.48 a. Waartegen moeten de persoonsgegevens worden beveiligd? De aangewende middelen moeten de persoonsgegevens beschermen “tegen toevallige of ongeoorloofde vernietiging, tegen toevallig verlies, evenals tegen de wijziging van of de toegang tot, en iedere andere niet toegelaten verwerking van persoonsgegevens”.49 Ook hierin ligt een belangrijke verantwoordelijkheid voor de informaticus. Hij wordt verondersteld om geen foutieve voorstelling te geven van zijn eigen capaciteiten en zal wanneer bepaalde problemen zijn eigen bekwaamheid overstijgen zelf de professionele hulp inroepen voor technische bijstand.50 De informaticus mag enkel handelingen stellen die nodig zijn om de integriteit van het computersysteem of – netwerk te verzekeren. Hij waakt er tevens over dat de handelingen die hij stelt niet tot het verlies of de beschadiging van gegevens tot gevolg kunnen hebben.51 47
OESO, “Guidelines for the security of information systems”, Paris, 2002, 30 p.; http://www.ftc.gov/bcp/conline/edcams/infosecurity/popups/OECD_guidelines.pdf ; OESO staat voor Organisatie voor economische samenwerking en ontwikkeling. 48 OESO, l.c., p. 9 49 DE BOT, D., l.c. p. 249. 50 www. adm.be, zie ‘ethische integriteit van de informatiebeheerder’, Wanneer de taak van informatiebeheerder over verschillende mensen in de onderneming verdeeld is, en bijvoorbeeld het veiligheidsbeheer wordt uitgevoerd door een Security Administrator, dan mag alleen de veiligheidsbeheerder handelingen stellen die een impact hebben op het veiligheidsbeheer. Andere actoren op het vlak van het informatiebeheer onthouden zich dan van dergelijke handelingen. 51 www.adm.be
8
b. Gepaste technische en organisatorische maatregelen? De verantwoordelijke zal instaan voor de fysische en logische beveiliging van het systeem. De fysische52 maatregelen zullen erop gericht zijn om te voorkomen dat het systeem zou vernietigd worden, de logische53 maatregelen zijn eerder gericht op de bescherming van de softwaretoepassingen, dus hoofdzakelijk tegen hacking of informaticapiraterij.54 De maatregelen moeten een passend beveiligingsniveau verzekeren, rekening houdend enerzijds, met de stand van de techniek terzake en de kosten voor de toepassing van de maatregelen en, anderzijds, met de aard van de te beveiligen gegevens en de potentiële risico’s (Art. 16 § 4, 2°lid). De wet voorziet dus in 4 criteria om te bepalen wat een “passend beveiligingsniveau” is nl. de mogelijkheden of stand van de techniek (1); de kosten voor de toepassing van de maatregelen (2); de aard van de te beveiligen gegevens (3) en de potentiële risico’s (4).55 Het 3° lid bepaald dat de gepaste maatregelen kunnen vastgesteld worden bij koninklijk besluit. b.1. De informaticus zal een voortdurende inspanning moeten leveren om op de hoogte te blijven van de stand van de techniek en van de maatschappelijke aangelegenheden die een impact hebben op de manier waarop hij zijn functie uitoefent.56 De verantwoordelijke wordt immers bij wet verplicht om zich te informeren of de diverse technieken die er op de markt zijn om gegevens te verwerken en de verwerking ervan te beveiligen en hij moet ze evalueren.57 De verantwoordelijke mag zich daarbij wel beperken tot de beveiligingstechnieken die gecommercialiseerd werden en dus het stadium van het prototype zijn ontgroeid. Bovendien mag hij zich bij deze beoordeling ook beperken tot die technische middelen waar hij daadwerkelijk kan over beschikken.58 Hij zal zich hierbij laten bijstaan voor technisch advies van zijn informaticus, die geacht wordt hierover een zekere expertise te bezitten of op te bouwen. b.2. Bij het bepalen van het “passende” beveiligingsniveau, mag de verantwoordelijke rekening houden met de kosten hieraan verbonden. Er wordt echter geen precisering gegeven van het begrip “kosten”. Algemeen wordt aangenomen dat de verantwoordelijke niet te zuinig mag zijn. Dit betekent niet dat de kosten onbeperkt zijn, maar wel dat ze voldoende hoog en belangrijk moeten zijn, met dien verstande dat ze redelijk moeten blijven ten opzichte van
52
Zie terzake DE BOT, D., het systeem dient beschermd te worden tegen vuur, vriesweer en het achter slot en grendel of in beveiligde lokalen plaatsen van computers. 53 Hier betreffen het eigenlijk software-technische maatregelen, zoals het encrypteren, paswoordbeveiligde toegang e.d.m. 54 PIPERS, A. en DE HERT, P., Handboek privacy, Persoonsgegevens in België, Brussel, Politeia, Losbl., o.c., 154. 55 PIPERS, A. en DE HERT, P. o.c., p. 155-157, zie ook DE BOT, D., l.c., p.253. 56 www.adm.be 57 POULLET, Y., ‘Protection des données à caractère personnel et obligation de sécurité’, in HUBIN, J. en POULLET, Y., (ed.) La sécurité informatique, entre technique et droit, Diegem, Kluwer Edition Juridiques Belgique, 1998, 195-224, l.c. , 217 ; PIPERS, A. en DE HERT, P., o.c., 156. 58 DE BOT, D., l.c., p. 253.
9
zowel de financiële middelen van de verantwoordelijke als van het voordeel dat uit de verwerking zal worden gehaald.59 M.a.w. er zal moeten over gewaakt worden dat de kosten in verhouding staan tot het belang dat ze hebben in de verwerking. Ook in dit geval zal de mening van de informaticus, die het systeem heeft ontwikkeld, of instaat voor de implementatie of het onderhoud ervan zijn mening duidelijk meetellen. Hierbij zal hij zich objectief en onpartijdig opstellen in de uitvoering van zijn functie.60 Hij mag zich daarbij niet laten leiden door persoonlijke belangen in de adviezen die hij geeft aan zijn werkgever. b.3. De aard van de te beveiligen gegevens zal een rol spelen bij de keuze van de middelen. Bijzondere categorieën van gegevens, meer gevoelige meer bepaald deze waar het risico op discriminatie groter is, zullen een ander niveau van bescherming vereisen dan andere gegevens.61 Wellicht moet ook rekening gehouden worden met het maatschappelijk en/of economisch belang van de gegevens.62 b.4. Tenslotte zullen de potentiële risico’s die een beveiligingsprobleem voor de gegevens inhouden van belang zijn bij de keuze van het beveiligingsniveau. Hiermee bedoelt men in hoeverre de gegevens wederrechtelijk gebruikt kunnen worden.
2.3. Verplichting tot toezicht Artikel 16 § 1, 2° WVP stelt dat de verantwoordelijke van de verwerking moet indien hij de verwerking toewijst aan een verwerker “toezien op de naleving van die maatregelen”. De wet geeft zelf een opsomming van de wijze waarop dit toezicht kan georganiseerd worden, bijvoorbeeld door een contractuele verbintenis op te stellen met de verwerker. Hier wordt een argument aangehaald dat toelaat om de verwerker te verplichten een gedragscode op te stellen waaraan zijn werknemer zich dient te houden. Het toezicht kan echter ook op een andere wijze uitgeoefend worden, bijvoorbeeld door een auditcontrole ter plaatse.63
2.4. Opstellen van “security policies” Artikel 16 §§ 2, 3 WVP vraagt aan de organisaties die persoonsgegevens verwerken dat ze ten behoeve van alle medewerkers op het terrein van veiligheid en vertrouwelijkheid duidelijke “policies” op te stellen en toe te passen.64 De policy moet de grondbeginselen bevatten voor de bescherming van bedrijfsinformatie, de bedrijfsregels en de verantwoordelijkheden aangeven en verplichtingen van de
59
POULLET, Y., l.c., p. 218. www.adm.be 61 Het gaat hier om gegevens in verband met de raciale of etnische afkomst, de politieke opvattingen, de godsdienstige of levensbeschouwelijke overtuiging of het lidmaatschap van een vakvereniging , de seksuele geaardheid enz… 62 DE BOT, D., l.c., p. 253 63 DE BOT, D. l.c., p. 261. 64 DUMORTIER, J., l.c. p. 93 60
1
personeelsleden. Dit document bepaalt de informatiebedrijfsmiddelen die onmisbaar zijn voor de organisatie en vermeldt tevens dat het management de verantwoordelijkheid draagt over de beveiliging en integriteit van de informatica-infrastructuur. In een ‘beveiligingsbeleidsdocument’ kunnen de prioriteiten en verantwoordelijkheden, maar ook de beperkingen duidelijk bepaald worden.65 Naast het opstellen van gebruikersprofielen waarin bepaald wordt wie toegang heeft tot welk deel van het bestand, dient er binnen het bedrijf voldoende informatie gegeven te worden betreffende de veiligheidsaspecten. Zo legt art. 16 § 2, 3° WVP aan de verantwoordelijke van de verwerking op om ‘alle personen die onder zijn gezag handelen, kennis te geven van de bepaling van deze wet en haar uitvoeringsbesluiten, evenals van alle relevante voorschriften betreffende de bescherming van de persoonlijke levenssfeer die bij het verwerken van persoonsgegevens gelden”. Het gaat hier dus om een opleidings- en vormingsverplichting. De informatieverplichting geldt ten aanzien van alle personeelsleden onder het gezag van de verantwoordelijke. Hoewel dit niet uitdrukkelijk door de wet wordt opgelegd, is het aangewezen dat ook de verwerker een gelijkaardige opleiding verzorgt ten aanzien van zijn personeelsleden.66 De informatie moet betrekking hebben op de bepalingen van de wet en haar uitvoeringsbesluiten en alle relevante voorschriften inzake de bescherming van de persoonlijke levenssfeer bij het verwerken van persoonsgegevens. Op die manier komt men tot de conclusie dat ieder personeelslid moet geïnformeerd worden over de bepalingen van de wetgeving.67 De wetgever heeft echter niet bepaald op welke wijze deze vormingsplicht dient georganiseerd te worden. Hij kan dan ook gebruik maken van brochures, papieren of elektronische huisblad, een opleidingsprogramma enz. Ook kan de opleiding on-line geregeld worden zodat de gebruiker ze op eigen tempo kan raadplegen en kan ingespeeld worden op concrete vragen van personeelsleden.68
3. Strafbepalingen De Wet verwerking persoonsgegevens is een wetgeving van openbare orde. In die context kan men deze wet echt beschouwen als een bijzondere strafwet. Hoofdstuk VIII WVP dwingt de naleving van de meeste wetsbepalingen strafrechtelijk af. Wij zullen ons beperken tot inbreuken op de verplichtingen opgelegd bij artikel 16 § 1 WVP. Art. 38 WVP stelt: “met een geldboete van honderd frank tot twintigduizend frank wordt gestraft de [verantwoordelijke voor de verwerking], zijn vertegenwoordiger in België, zijn aangestelde of lasthebber die een van de verplichtingen opgelegd bij artikel 15 of 16 § 1 niet nakomt”. Dit artikel houdt in dat de verantwoordelijke voor de verwerking een verwerker moet kiezen die voldoende waarborgen biedt ten aanzien van de technische en organisatorische beveiligingsmaatregelen, toeziet op de naleving van deze maatregelen en met de verwerker een overeenkomst sluit waarin minimaal een aantal in de wet opgesomde bepalingen voorkomen.69 65
VAN TROYEN, P., LICHTENSTEIN, G. & HAELTERMAN, H., ‘IS Security Management, De opbouw van een programma ter beveiliging van informatie en informatiesystemen’, in Private Veiligheid, 2001, nummer 7, p.16 -19, o.c., p.18. 66 DE BOT, D., l.c. p. 257. 67 HENDRICKX, F., ‘Privacy en arbeidsrecht’, in Jura Falconis, Leuven, http://www.law.kuleuven.ac.be/jura/35n4/hendrix.htm#N_48_ 68 DE BOT, D., l.c., p. 259. 69 DE BOT, D. , l.c., p. 366.
1
De nadruk ligt in dit artikel op de verantwoordelijke voor de verwerking. Inzake het vereiste opzet moet rekening gehouden worden met het belang van de hier strafrechtelijk gesanctioneerde bepaling in het wettelijk stelsel. De wetgever heeft er willen voor zorgen dat bij uitbesteding of toevertrouwen van de verwerking een aantal basisverplichtingen moeten worden nageleefd.70 Uit het samen lezen van artikel 38 WVP, strafbepalingen en de reeds besproken waarden die beschermt worden door artikel 16 § 4 WVP lijkt dat onachtzaamheid voldoende is voor het strafbare karakter. De dader overtreedt, niet met de doelbewuste wil een strafbaar feit te plegen, maar uit gebrek aan voorzorg of voorzichtigheid.71 Artikel 16 § 4 spreekt over de noodzaak de gepaste en organisatorische middelen te implementeren die de persoonsgegevens beschermen tegen toevallige of ongeoorloofde vernietiging, tegen toevallig verlies …(supra). Het woord ‘toevallig’ is hier cruciaal. De wetgever heeft gewild dat de verantwoordelijke voor de verwerking ook strafbaar is voor fouten van de verwerker. Bij de interpretatie van het begrip “fout” rijst de vraag welke drempel men toepast en of men een subjectief of een objectief foutcriterium moet hanteren (culpa lata of culpa levissima). 72 De rechtspraak blijkt de regel betreffende de lichtste fout in abstracto (culpa levissima in abstracto) toe te passen, waarbij niet de persoonlijke situatie van de dader in rekening wordt gebracht, maar van de gemiddelde redelijke en vooruitziende persoon.73 Zo kan men de vraag stellen of de verantwoordelijke van de verwerking, die in de contractuele overeenkomst met de verwerker bepaalt dat deze op zijn beurt een gedragscode moet opleggen aan zijn informatici, die bij de verwerking zullen worden ingeschakeld, handelt als een gemiddelde redelijke en vooruitziende persoon? Wij menen dat hij hiermee strafrechtelijke vervolging voor fouten gemaakt door zijn personeel kan afwenden. Uiteraard zal de verwerker of zijn personeelslid zich voor deze fouten wel moeten verantwoorden.
C. Controle van elektronische on-linecommunicatie (C.A.O. nr. 81) 74 Art. 314bis SW en art. 190 ter D van de wet van 21 maart 1991 over de hervorming van sommige economische overheidsbedrijven, verbieden het afluisteren of controleren van privécommunicatie of – telecommunicatie tijdens de overbrenging ervan. Cruciaal is hierbij dat het gaat over private communicatie, dus niet in werkverband en dat het afluisteren gebeurd tijdens de overbrenging ervan.75 In principe mag de controle op de elektronische communicatiegegevens geen inmenging in de persoonlijke levenssfeer van de werknemer tot gevolg hebben.76 Eén van de doelstellingen om een netwerk uit te bouwen in het algemeen, of het Internet ter beschikking te stellen in het bijzonder, is de rentabiliteit van de werknemers te verhogen. Het misbruik dient dan ook niet
70
DE BOT, D., l.c., p. 366. VAN DEN WYNGAERT, C., Strafrecht, strafprocesrecht & internationaal strafrecht, Antwerpen, Maklu, l.c., p. 276. 72 VAN DEN WIJNGAERT, C., l.c., p. 276. 73 VAN DEN WIJNGAERT, C., l.c., p. 280. 74 Collectieve Arbeidsovereenkomst 75 HORVAT, S., ‘Werkgever mag internetgebruik werknemer controleren’, Juristenkrant, 2005, N° 117, p. 1. 76 www.adm.be; zie ook VERBIEST, Th., “La surveillance de l’usage d’Internet dan les entreprises: quelle légalité ? « , L’Echo, 20 janvier 2000, http://www.droit-technologie.org, zie ook : VERBIEST Th. & WERY, E., l.c., p. 184. 71
1
getolereerd te worden.77 Wat in Amerika, Engeland,… reeds langer aan duidelijkheid niets te wensen overlaat is sinds kort voor de Belgische e-mailgebruiker ook een stuk duidelijker geworden. Eind april 2002 is de grijze zone opgeklaard : in de Nationale Arbeidsraad van 26 april sloten de werknemers- en werkgeversorganisaties C.A.O-81 waardoor werkgevers voortaan wel kunnen controleren wat hun medewerkers uitvoeren! Weliswaar enkel in bepaalde gevallen.78 Tegelijk met het opstellen van C.A.O. nr. 81 werden er controlemiddelen ontwikkeld die vaak inherent zijn aan het beheer van het informaticasysteem zelf en die bijvoorbeeld dienen om de goede werking van het netwerk te waarborgen door onder andere overbelasting of virusproblemen te voorkomen. Hierdoor kan de werkgever controles uitvoeren op elektronische communicatiegegevens die de werknemer verstuurt of ontvangt via het netwerk van de onderneming.Wanneer deze controle betrekking heeft op persoonsgegevens moet een en ander verenigbaar zijn met de basisnormen die het recht voor elk individu op de eerbiediging van zijn persoonlijke levenssfeer waarborgen.79 De rechtspraak heeft trouwens recentelijk geoordeeld dat het recht op privacy van de werknemer betreffende zijn telefoonen Internetgebruik niet absoluut is.80 De rechtspraak bepaalt dat volgens de arbeidsovereenkomstenwet de werknemer immers verplicht is gedurende de uitvoering van de arbeidsovereenkomst de welvoeglijkheid en de goede zeden in acht te nemen (art. 16 C.A.O.), het werk zorgvuldig, eerlijk en nauwkeurig te verrichten op tijd plaats en wijze zoals overeengekomen (art. 17,1° C.A.O.) en te handelen volgens de bevelen en de instructies van de werkgever (art. 17, 2° C.A.O.).81 De informaticus die belast wordt met dergelijke controle zal steeds de wettelijkheid van zijn opdracht moeten nagaan. Art. 5 § 1 C.A.O. nr. 81 bepaalt dat de controle op de elektronische onlinecommunicatiegegevens maar is toegestaan mits een of meer van de volgende doeleinden worden nagestreefd : “1° het voorkomen van ongeoorloofde of lasterlijke feiten, feiten die strijdig zijn met de goede zeden of de waardigheid van een andere persoon kunnen schaden; 2°de bescherming van economische, handels- en financiële belangen van de onderneming die vertrouwelijk zijn alsook het tegengaan van ermee in strijd zijnde praktijken; 3° de veiligheid en/of de goede technische werking van de IT-netwerksystemen van de onderneming, met inbegrip van de controle op de kosten die ermee gepaard gaan alsook de fysieke bescherming van de installaties van de onderneming; 4° het te goeder trouw naleven van de in de onderneming geldende beginselen en regels voor het gebruik van on-linetechnologieën”.82 De informaticus kan enkel overgaan tot controle van elektronische onlinecommunicatiegegevens wanneer aan de wettelijke voorwaarden voldaan is.83 In geval van ongeoorloofde of lasterlijke feiten, feiten die strijdig zijn met de goede zeden of de waardigheid van een andere persoon kunnen schaden, als bedoeld in § 1, 1° van artikel 5, kunnen in het bijzonder bestaan in het kraken van computers, waaronder het op 77
VERBIEST, Th. & WERY, E., l.c., p.184. http://www.cao-81.be/cao81/home.htm 79 http://users.pandora.be/allemeesch/KlinPsy/wettekst/CAO81-ned.htm 80 HORVAT, S., ‘Werkgever mag internetgebruik werknemer controleren’,Juristenkrant, 2005, n° 117; zie ook ‘Baas mag internetgebruik personeel controleren’, De Standaard, 10 november 2005 81 Wet van 3 juli 1978 betreffende de arbeidsovereenkomsten, B.S., 22.08.1978. 82 12 JUNI 2002. - Koninklijk besluit waarbij algemeen verbindend wordt verklaard de collectieve arbeidsovereenkomst nr. 81 van 26 april 2002, gesloten in de Nationale Arbeidsraad, tot bescherming van de persoonlijke levenssfeer van de werknemers ten opzichte van de controle op de elektronische onlinecommunicatiegegevens (1) , B.S., 29.06.2002, 12699 83 www.adm.be 78
1
ongeoorloofde wijze kennis nemen van elektronische on-linecommunicatiegegevens inzake personeelsbeheer of vertrouwelijke medische bestanden of nog het raadplegen van pornografische of pedofiele sites alsook van sites die aanzetten tot discriminatie, rassenscheiding, haat of geweld jegens een groep, een gemeenschap of de leden ervan, wegens ras, huidskleur, afkomst, religie of nationale of etnische afstamming van deze leden of van sommigen onder hen.84 De praktijken die in strijd zijn met de financiële, economische en handelsbelangen van de onderneming, als bedoeld in § 1, 2° van dit artikel, kunnen in het bijzonder de vorm aannemen van afbrekende reclame als bepaald in artikel 23, 6° van de wet van 14 juli 1991 betreffende de handelspraktijken en de voorlichting en bescherming van de consument, verspreiding van bestanden en schending van zakengeheimen, met inbegrip van onderzoek en ontwikkeling, productieprocessen en alle mogelijke vertrouwelijke gegevens.85
D. Strafrechtelijke bepalingen Zoals we al verschillende keren hebben aangehaald kunnen bepaalde handelingen die gesteld worden door de informaticus aanleiding geven tot een strafrechtelijke vervolging. Zoals elke burger dient de informaticus zich te houden aan de wet.86 Behalve de reeds aangehaalde artikelen uit het strafwetboek zullen we in dit deel stilstaan bij die artikelen van het strafwetboek, waarbij het niet altijd even duidelijk is wat de juiste draagwijdte ervan is voor de informaticus als onderaannemer of wanneer hij werkt in dienstverband. Betreffende het materieel en procedureel aspect van de wet informaticacriminaliteit besteedden we al voldoende aandacht in andere artikelen.87
1. Fabrieksgeheim (art. 309 SW) Het kopiëren van computerprogramma's of computerbestanden tegen de wil in van de houder ervan, is moreel en maatschappelijk afkeurenswaardig. Velen voelen dan ook de behoefte om zulk gedrag, wanneer het zich voordoet, te bestraffen. Een specifieke strafbaarstelling van het kopiëren van computergegevens kent het Belgisch recht niet. In welbepaalde gevallen kunnen o.m. de artikelen 458 (beroepsgeheim) of 193 e.v. (valsheid in geschriften) van het SW een oplossing bieden. De toepasbaarheid is echter beperkt.88 De informaticus dient er zich van bewust te zijn dat hij bepaalde verantwoordelijkheden heeft tegenover de firma waarvoor hij werkt. Art. 309 SW bepaalt immers dat “hij die geheimen van de fabriek waarin hij werkzaam is geweest of nog is, kwaadwillig of bedrieglijk aan anderen meedeelt, gestraft wordt met een gevangenisstraf van drie maanden tot drie jaar en met een geldboete van vijftig frank tot
84
http://users.pandora.be/allemeesch/KlinPsy/wettekst/CAO81-ned.htm, Het plegen van deze feiten kunnen bestraft worden volgens de bepalingen in het strafwetboek in casu 550bis SW. 85 http://users.pandora.be/allemeesch/KlinPsy/wettekst/CAO81-ned.htm; zie ook art. 309 SW 86 hierbij vermelden we art. 314bis SW betreffende het geheim van privé-communicatie en telecommunicatie; art. 210bis SW valsheid in informatica; 504quater SW Informaticabedrog; … 87 KOOPS, B.-J., DE HERT, P. & LICHTENSTEIN, G., Computer Crime Law Survey website http://rechten.uvt.nl/ccls/, zie ook: HAELTERMAN, H. en LICHTENSTEIN, G., Informaticacriminaliteit en de wet van 28 november 2000, Private Veiligheid, 2001, Nr. 7, 12 – 14; zie tevens: LICHTENSTEIN, G. Opsporing verzocht, Op weg naar een virtuele politie?, Private Veiligheid, 2001, Nr. 7, 24 – 28; zie ook: DE HERT, P. en LICHTENSTEIN, G., De Wet van 28 november 2000 inzake informaticacriminaliteit en het formeel strafrecht, CBR (jaarboek), 2003, Maklu, Antwerpen, 63 p. zie ook: DE HERT, P. & LICHTENSTEIN, G., De betekenis van het europees verdrag cybercriminaliteit voor het vooronderzoek en de internationale samenwerking, Vigiles, 2004, Nr. 5, p. 153 – 169. 88 HELSEN, P., ‘Diefstal van Computergegevens’, in Jura Falconis, http://www.law.kuleuven.ac.be/jura/34n2/helsen.htm
1
tweeduizend frank”. Het is de feitenrechter die bepaalt wat men onder fabrieksgeheim moet verstaan.89 Volgens het arbeidsrecht is de werknemer verplicht:… Zowel gedurende de overeenkomst als na het beeindigen daarvan, zich ervan te onthouden: 1° fabrieksgeheimen, zakengeheimen of geheimen in verband met persoonlijke of vertrouwelijke aangelegenheden, waarvan hij in de uitoefening van zijn beroepsactiviteit kennis kan hebben, bekend te maken; 2° daden van oneerlijke concurrentie te verrichten of daaraan mede te werken.90 Zo besliste het hof van Cassatie dat het kenbaar maken aan een mededingende firma van wijzigingen aan een in gebruik zijnde machine, die grondige verbeteringen uitmaken en waarvan betrokkene slechts dankzij zijn werkzaamheid bij zijn vorige werkgever kennis heeft kunnen nemen, schending uitmaakt van het fabrieksgeheim.91 Dezelfde redenering kan doorgetrokken worden voor informatie die een informaticus doorgeeft aan een concurrerende firma, of een collega informaticus, die aanleiding kan geven tot een belangrijke verbetering van een in die firma gebruikt softwarepakket. Indien kan aangetoond worden dat deze verbetering enkel mogelijk was dankzij de kennis die de informaticus heeft opgedaan in het bedrijf waar hij zelf werkt. Hij zal zelfs indien hij zelf betrokken was bij de ontwikkeling van het pakket in zijn eigen bedrijf, zelfs als hij dit pakket volledig zelf heeft ontworpen, niet vrijelijk kunnen beschikken over zijn kennis. Hij dient er zich van bewust te zijn dat alle informatie en communicatie van de onderneming in beginsel als vertrouwelijk moet beschouwd en behandeld worden.92
2. Hacking (art. 550bis SW) Art. 550bis §1 SW bepaalt dat “hij die, terwijl hij weet dat hij daartoe niet gerechtigd is, zich toegang verschaft tot en informaticasysteem of zich daarin handhaaft, wordt gestraft met gevangenisstraf van drie maanden tot en jaar en met geldboete van zesentwintig frank tot vijfentwintig duizend frank of met een van die straffen alleen…” Het betreft hier de zogenaamde externe hacking waarbij een derde zich toegang verschaft tot een informaticasysteem waarop hij geen enkel toegangsrecht heeft. Aan dit misdrijf werd in verschillende publicaties voldoende aandacht besteed.93 Art. 550bis §2 is echter voor het belang van deze bijdrage belangrijker: “hij die, met bedrieglijk opzet of met het oogmerk om te schaden, zijn toegangsbevoegdheid tot een informaticasysteem overschrijdt, wordt gestraft met gevangenisstraf van zes maanden tot twee 89
Cass. 26 juni 1975, Pas. 1975, I, 1043 users.pandora.be/erwin_vb/Bescherming%20van%20Software.doc 91 Cass. 19 februari 1960, Arr. Verbr., 1960, 572 en Pas., 1960, I, 709. 92 www.adm.be 93 Wet van 28 november 2000 inzake informaticacriminaliteit, B.S., 28 november 2000. Voor eerste commentaren op de wet: DUMORTIER, J., VAN OUDENHOVE, B. & VAN EECKE, P., 'De nieuwe Belgische wetgeving inzake informaticacriminaliteit’, Vigiles, 2001, nr. 2, 44-62; DE VILLENFAGNE, F. & DUSOLLIER, S., 'La Belgique sort enfin ses armes contre la cybercriminalité: à propos de la loi du 28 novembre 2000 sur la criminalité informatique', www.droit-technologie.org, 16 maart 2001, 28p. (eveneens gepubliceerd in Auteur&Media, 2001, nr. 1, 60-81; GOOSSENS, F., 'Wetgeving', T. Strafr., 2001, 105-110; VERBIEST, Th. & WERY, E., Le droit de l'internet et de la société de l'information, Brussel, Larcier, 2001, 24-38; VALGAEREN, E. & MICHIELSEN, P., 'New Act on Computer Crimes', World Internet Law Report, 2001, vol. 2, nr. 3, 3-4; EVRARD, S., 'Le projet de loi relative à la criminalité informatique', Revue de droit intellectuel, 1999, nr. 1-2, 5-26; DERUYCK, F., 'Is de wetgever met de wetsontwerpen inzake de informaticacriminaliteit on-line of off-line?', in BYTTEBIER, K., FELTKAMP, R., & JANSSENS, E. (eds.), Internet & Recht, Antwerpen, Maklu, 2001, 531-547; LAUREYS, T., Wet op de Informatica Criminaliteit, Gent, Mys & Breesch, 2001, 117p. zie ook: DE HERT, P., ‘De wet van 28 november 2000 inzake informaticacriminaliteit en het materieel strafrecht. Een wet die te laat komt of een wet die er nooit had moeten komen?’, Tijdschrift voor Strafrecht, 2001, vol. 2/6, 286-335. 90
1
jaar en met geldboete van zesentwintig frank tot vijfentwintigduizend frank of met een van deze straffen alleen”. Het gaat hier om een bevoegdheidsoverschrijding met een bijzonder opzet, dus om op een onrechtmatige wijze enige winst of enig voordeel te bekomen). Dit bijzonder opzet vormt hier een constitutief element van het misdrijf.94 Met andere woorden, interne hacking – door een bediende, arbeider, ambtenaar of zelfstandige consultant, vanuit een onderneming, instelling, bestuur of organisatie – is enkel strafbaar als de schuldige (bijv. een al te nieuwsgierige bediende [informaticus] dossiers inkijkt waarvan hij geacht wordt geen kennis te nemen) een speciale bedoeling heeft, zoals het zich onrechtmatig verrijken of kwaadwilligheid.95 Het bewijs van dit bedrieglijk opzet zal niet altijd eenvoudig zijn als informaticus- netwerkbeheerder, die in principe toegang heeft tot het volledige netwerk, dergelijke feiten pleegt.96 Gaat het enkel over een indiscretie, dan is er geen sprake van een inbreuk op het strafrecht.97 Stel dat de informaticus wil weten welke bestanden over hem in het netwerk werden opgeslagen of getransfereerd, zonder dat hij eventueel dit bestand wenst te vernietigen of te wijzigen. Hij is enkel en alleen gedreven door zijn nieuwsgierigheid. Hij zou bijvoorbeeld gebruik kunnen maken van een automatisch zoekprogramma dat hem een signaal geeft als er ergens een tekst of bestand is of verschijnt waar zijn naam in voorkomt. Buiten het feit dat waarschijnlijk de WVP op deze situatie toepasbaar is, kan men minstens stellen dat hij met dergelijke acties zijn toegangsbevoegdheden overtreedt. Rechtspraak zal terzake moeten uitmaken of een bedrieglijk opzet aan de basis ligt. Uiteraard kunnen in dit geval wel arbeidrechtelijke sancties op basis van een arbeidsovereenkomst of gedragscode opgelegd worden. De informaticus kan zich in principe enkel toegang verschaffen tot bestanden van gebruikers en deze raadplegen, indien hij hiervoor een uitdrukkelijke opdracht of toestemming heeft gekregen van de gebruiker of betrokkene.98
E. Compliance en Compliance Officer Zoals we al bespraken legt art. 16 § 1, 2 WVP de verantwoordelijke van de verwerking van persoonsgegevens een controletaak op in verband met de naleving van de in de WVP opgelegde maatregelen tot beveiliging en vertrouwelijkheid van de verwerking. Vooral in de financiële wereld is men bewust van het feit dat werknemers zich dienen te houden aan gedragscodes, instructies en procedures. Er wordt m.a.w. aandacht besteed aan de principes van “behoorlijk bestuur”, waarbij men regelmatig wenst vast te stellen in hoeverre men “compliant” is met de wet- en regelgeving en met de regels en gedragscode die de organisatie zelf heeft vastgesteld.99 Daartoe werd de Commissie Corporate Governance geïnstalleerd op 22 januari 2004, die op 1 januari 2005 haar Corporate Governance Code voorstelde.100 Deze Corporate Governance Code wordt nu opgelegd aan alle financiële instellingen en beursgenoteerde ondernemingen. Het ware misschien wenselijk dergelijke functie ook te creëren in andere bedrijven waar privacy van klanten een belangrijk economisch goed vormen. Veel organisaties besluiten in de compliance-functie te voorzien 94
VAN DEN WIJNGAERT, C., l.c., p. 268. X, ‘Deel 4. Zich beschermen tegen “aanvallen” op het internet, http://80.236.157.219/information_society/consumers/consumers_internetguide/Userguide_nl-04.htm 96 Zie ook VANDROMME, S., ‘interne hacker minder gauw strafbaar dan externe’, in Juristenkrant, 2004, n° 90, p. 1 & 4. 97 DE VILLENFAGNE, F., & DUSSOLLIER, S., « Analyse de la loi du 28 novembre 2000 sur la criminalité informatique », http://www.droit-technologie.org/dossiers/analyse_loi_281100_criminalite_informatique.pdf 98 www.adm.be 99 http://www.compliance-instituut.nl/contact.html 100 www.barco.com/investors/Downloads/CorporateGovernance/Barco_corp_gov_charter_NL_20050503.pdf 95
1
door de aanstelling van een externe compliance officer. Uit oogpunt van kostenbeheersing is de externe functionaris bovendien doorgaans gunstiger dan de aanstelling van een interne.101 Men heeft ingezien dat het opleggen van een deontologische code zijn belang heeft, indien deze gekoppeld wordt aan (arbeidsrechtelijke) sancties. We hopen in deze bijdrage te hebben aangetoond dat het echter niet steeds gemakkelijk is om bepaalde overtredingen van een gedragscode vast te stellen en te bewijzen. Hier kan de functie van een compliance officer aan belang winnen. Hij vormt de spil van de onderneming.102 Zijn taken en bevoegdheden liggen verankerd in de toezichtswetgeving. Hij zal instaan voor de beoordeling van de aangepastheid van de interne richtlijnen en procedures en zo nodige voorstellen tot bijsturing formuleren.103 Voor veel instellingen is het trouwens een hele opgave om continu te monitoren welk wet- en regelgeving op de organisatie van toepassing is of wordt. Compliance officers zijn dan ook in deze materie gespecialiseerd en hebben een methodiek ontwikkeld om snel screening te doen of de organisatie voldoet op het vlak van “compliance”.104 Binnen de onderneming is Compliance een onafhankelijke functie die er op toeziet dat de interne procedures overeenstemmen met de geldende bepalingen en daaraan meewerkt in het kader van het integriteitsbeleid dat volgende gebieden kan bestrijken: beroepsethiek, behoorlijk bestuur, respect voor de privacy van medewerkers en klanten, enz.105 In het kader van de uitoefening van zijn taken kan hij beschikken over verschillende middelen om via interne audits toezicht te houden op de integriteit van het personeel. Hierdoor is hij ideaal geplaatst om risico’s in te schatten en adviserend op te treden naar de Raad van Bestuur van de onderneming of organisatie. Bovendien kan hij ingezet worden om daar waar nodig het personeel voor te lichten over wettelijke en reglementaire bepalingen waaraan ze zich dienen te houden. De compliance officer zal naast permanente vorming aandacht hebben voor de sensibilisering van het personeel. Deze permanente vorming kan zowel gebeuren via gestructureerde lessen, gedrukte documenten of on-line via een intranet. Hij kan daartoe richtlijnen in het kader van de compliance voor de medewerkers op basis van het eisenniveau vastgesteld door de onderneming definiëren.106 Bovendien zal de compliance officer procedures helpen definiëren met het oog op informatie beveiliging. Hiervoor kan hij samenwerken met de Information Security Administrator. Verder zal hij instaan voor de implementatie van het integriteitsbeleid met inachtneming van de geldende wettelijke en reglementaire bepalingen, alsook het implementeren van adequate interne controlemaatregelen.107 Hij zal onderzoeken en opvolging van inbreuken op wetten en reglementen op interne deontologie verrichten en advies verstrekken aan de Human Resource Manager die eventueel inbreuken op de gepaste wijze en in overeenstemming met de geldende onderrichtingen kan beteugelen. In geval van strafrechtelijke inbreuken dient hij de bevoegde overheid hiervan in kennis te stellen.
101
http://www.compliance-instituut.nl/files/Brochure%20ComplianceSupport.pdf http://www.compliance-instituut.nl/comploff.html 103 http://www.dexia.com/n/docs/2004_compliance/20031216_Compliance_Charte_NL.pdf 104 http://www.compliance-instituut.nl/contact.html 105 http://www.dexia.com/n/docs/2004_compliance/20031216_Compliance_Charte_NL.pdf 106 http://www.dexia.com/n/docs/2004_compliance/20031216_Compliance_Charte_NL.pdf 107 http://www.dexia.com/n/docs/2004_compliance/20031216_Compliance_Charte_NL.pdf 102
1
F. Besluit De hedendaagse commerciële en industriële sectoren zijn er meestal van overtuigd dat Information Systems Security –IS Security – de sleutel is tot een efficiënt management voor alle organisaties. De beveiliging van informatiesystemen en informatie wordt zeker niet beschouwd als een overbodige luxe.108 Spijtig genoeg wordt de beveiliging echter meestal gericht op het systeem of de informatie zelf. Het is verbazend dat de systeemontwikkelaar, netwerkontwerper, performance- of beveiligingsspecialist steeds opnieuw een ongefundeerd vertrouwen en carte blanche krijgt om met het elektronische zenuwcentrum van een organisatie te doen wat hij wil.109 Terwijl de IT-auditors zich veelal bezig houden met risico’s die door menselijk handelen ontstaan, wordt het menselijk handelen zelf zelden uitvoerig onder de loep genomen.110 Het gegevensbeschermingsrecht is niet uitsluitend geschreven op maat van de arbeidsverhouding. Vandaar dat nuttig gebruik kan gemaakt worden van de Gedragscode van de Internationale Arbeidsorganisatie met betrekking tot de bescherming van persoonsgegevens van werknemers in 1996.111 Het doel van deze code is een leidraad te bieden voor het opstellen van regels in verband met de bescherming van persoonsgegevens van werknemers. Het gaat niet om een juridisch bindende tekst, maar de inhoud kan wel dienen als richtsnoer in de ontwikkeling van wetgeving, rechtspraak, collectieve arbeidsovereenkomsten, arbeidsreglementen, en andere beleidsmaatregelen op nationaal, sectorieel of ondernemingsvlak. De code werd aanvaard tijdens een vergadering van Internationale arbeidsorganisatiedeskundigen handelend over werknemersprivacy, gehouden in Genève van 1 tot 7 oktober 1996. Er zijn voldoende argumenten om ook de informaticus een deontologische code op te leggen. Enerzijds dient de vraag gesteld in hoeverre dergelijke gedragscode de risico’s met betrekking tot opzettelijk schadelijk handelen vanwege het ITpersoneel kan voorkomen. Anderzijds dient dergelijke ethische code de informaticus aan te zetten zich over elk handeling ethische vragen te stellen. Alle individuele pogingen ten spijt om informatici gedragscodes op te leggen, lijkt het noodzakelijk tot een algemene ethische code te komen voor ICT-professionals. Wanneer we verschillende codes naast elkaar leggen, merken we dat er slechts kleine verschillen zijn. Eén enkele, coherente code voor professioneel handelen, zal beter de doelstellingen van dergelijke ethische codes bereiken. Gezien het feit dat nationale grenzen vervagen in het domein van de informatica en communicatie technologie, menen wij Johnson en Snapper te moeten volgen wanneer ze stellen dat één internationaal erkende code aanleiding zal geven tot een beter begrip van de ICT-professional en tot een groter vertrouwen in zijn handelen tegenover de samenleving, werkgevers, klanten en collega’s.112 Hun voorstel tot het opstellen van één internationaal aanvaarde gedragscode voor informatici steunt op 5 peilers: • Inspiration: dergelijke code moet aanzetten om meer ethisch te handelen • Sensitivity: hij moet de informaticus aanzetten om zich meer bewust te zijn van de morele aspecten van zijn functie.
108
VAN TROYEN, P., LICHTENSTEIN, G. & HAELTERMAN, H., o.c., p.16. SPEE, o.c., p. 2 110 SPEE, o.c., p. 2 111 ILO, Protection of workers' personal data. An ILO code of practice, Genève, ILO, 1997, 47p. 112 JOHNSON, D.G., & SNAPPER, J.W., Etical Issues in the Use of Computers, Wadsworth Publishing Company, Belmont, CA, 1985 109
1
• •
•
Discipline: dit komt neer op het opleggen van bepaalde regels die de informaticus moet aanzetten te waken over zijn integriteit Advice: de code moet de mogelijkheid inbouwen advies in te winnen in geval de informaticus geconfronteerd wordt met complexe problemen die hem voor een ethische keuze stellen Awareness: de informaticus moet eerlijke en open zijn werkgever en klanten meedelen wat er van hem verwacht kan worden bij de uitoefening van zijn functie.
Hoewel ze verschillende bewoordingen gebruiken, blijken zowel de gedragscode opgesteld door het Nederlandse VRI als het Belgische ADM op deze 5 peilers te steunen en geven beiden blijk van een terechte bekommernis van het publiek om te kunnen vertrouwen op het ontwikkelen en implementeren van integere informatie systemen en het ethisch gebruik ervan. In deze bijdrage hebben we tevens aangetoond dat het opstellen van gedragsregels onvoldoende is. Ethische codes hebben pas zin indien het personeel op de hoogte is van het kwaliteitsniveau dat de onderneming eist, m.a.w. als er terzake een degelijke vorming wordt voorzien en als deze gedragscode ook controleerbaar en eventueel sanctioneerbaar wordt gemaakt. We hebben aangetoond dat niet alle regels in het gemeen recht in staat zijn om alle inbreuken op privacy te beteugelen. Ten dien einde zullen binnen bedrijven de nodige mechanismen aanwezig moeten zijn die wel in staat zijn een antwoord te bieden op privacyincidenten. Een deontologisch code is een dergelijk mechanisme. Wij opteren tevens in overeenstemming met de regels van het ‘behoorlijk bestuur’ voor de installatie van een onafhankelijke functie die gespecialiseerd is in de voortdurende monitoring en bijsturing van de bedrijfscompliance. Het opleggen van dergelijke functie onder de vorm van een compliance officer is het overwegen waard, zeker in die bedrijven waar “persoonsgegevens” verwerkt worden.
1