Wiebe Barkey DMInterface Splijtbakweg HJ Almere. mr. drs. Paul Pols ICTRecht B.V. Panamalaan 8B 1019AZ Amsterdam

Vergelijkbare documenten
Wiebe Barkey DMInterface Splijtbakweg HJ Almere. mr. drs. Paul Pols ICTRecht B.V. Panamalaan 8B 1019AZ Amsterdam

2.1.1 Informatie die u verstrekt bij het aanmelden voor een account

Privacyreglement Magspirit

ELEKTRONISCHE HANDTEKENINGEN IN CLIENT ONLINE

Verwerkingsstatuut AVG

Gegevensverwerking. Artikel 1 - Definities

De Digitale Handtekening uitgelegd

PRIVACY REGLEMENT

a. persoonsgegeven: elke gegevens betreffende een geïdentificeerde of identificeerbare natuurlijke persoon

Privacy Gedragscode Keurmerk RitRegistratieSystemen

1.5. Bewerker: Degene die ten behoeve van de Verantwoordelijke persoonsgegevens verwerkt, zonder aan zijn rechtstreeks gezag te zijn onderworpen.

Privacy Statement. Hieronder vindt u een overzicht van de persoonsgegevens die wij verwerken:

Verwerkersovereenkomst

Bijlage Gegevensverwerking. Artikel 1 - Definities

VERWERKERSOVEREENKOMST

PRIVACYVERKLARING VAN ROEY VASTGOED

PRIVACYVERKLARING BOEK9.NL

Op grond waarvan mag Robuusteiken deze persoonsgegevens verwerken? 3. Is het noodzakelijk om persoonsgegevens aan Robuusteiken te verstrekken?

Is het noodzakelijk om persoonsgegevens aan Greentogether te verstrekken? 4

Algemene Verordening Gegevensbescherming

Privacyreglement Picos B.V.

A. Stichting Aeres Groep, hierbij vertegenwoordigd door <<naam>>, te noemen: Opdrachtgever,

Privacyreglement Spoor 3 BV. Artikel 1. Begripsbepalingen. Voor zover niet uitdrukkelijk anders blijkt, wordt in dit reglement verstaan onder:

c) persoonsgegeven: elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon;

Documentinformatie: Wijzigingslog:

Concept Bewerkersovereenkomst uitvoering

Verwerkersovereenkomst

Privacyreglement Stichting Werkcarrousel

Staatsblad van het Koninkrijk der Nederlanden

Privacyreglement Werkvloertaal 26 juli 2015

PRIVACYBELEID

SNEL EFFECTIEF & LEUK

Privacy reglement Geluk in werken

Documentinformatie: Wijzigingslog:

Privacy Statement. Toepasselijkheid. Overzicht persoonsgegevens

Template voor bewerkersovereenkomst

PRIVACYVERKLARING MR. W.B.M. VONDENHOFF ADVOCAAT

Reglement bescherming persoonsgegevens Nieuwegein

Verwerkersovereenkomst VOORBEELD SJABLOON VERWERKERSOVEREENKOMST PERCEPTIE VAN VERWERKER

Privacyreglement. Drive The Care Company b.v. Sint Martinusstraat CK Venlo Telefoon

PRIVACYVERKLARING TVR Metaal B.V. In deze privacyverklaring wordt uitgelegd welke persoonsgegevens TVR Metaal B.V. verwerkt en voor welke doeleinden.

Verwerkersovereenkomst

Dit is het privacybeleid van Easy Fit B.V., gevestigd aan Faradaystraat 11, 2014 EN in Haarlem (hierna: Easy Fit, Easy in Shape, we, wij of ons ).

Verwerkersovereenkomst voor SaaS-diensten

Privacy Statement Double You Media

Privacy Gedragscode RitRegistratieSystemen Privacy Gedragscode RRS

Artikel 3 Categorieën personen, opgenomen in het bestand Het bestand bevat uitsluitend gegevens van cliënten opdrachtgevers en medewerkers.

EXQUISE NEXT GENERATION

AKJ Privacyverklaring. Goedgekeurd MT 28 mei 2018 Datum volgende evaluatie 1 mei 2021

PRIVACYREGLEMENT. maakt werk van de apotheek. Stichting Bedrijfsfonds Apotheken. Paragraaf 1. Algemene bepalingen

Privacyreglement. ALTRA Jeugd- en Opvoedhulp

ARTIKEL 1 - ALGEMENE EN BEGRIPSBEPALINGEN

Privacyreglement van De Zaak van Ermelo

Verwerkersovereenkomst

Privacyverklaring. R B.V. Assurantiekantoor Flevo

Gedragscode Privacy RRS

Verwerkersovereenkomst ARVODI-2016 Contractnummer:

PRIVACYVERKLARING Coöperatieve Vereniging van Vletterlieden W.A.

Privacy Verklaring. Ik, Priscilla Vreugdenhil Loopbaanadvies & Coaching, vind jouw privacy net zo belangrijk als jij. Daarom doe ik er alles

PRIVACYVERKLARING van Coby Verhuur BV

Privacy statement MediaPower

BLAD GEMEENSCHAPPELIJKE REGELING

Verwerkersovereenkomst

Privacyreglement CURA XL

Privacyreglement Vakpaspoort SF-BIKUDAK Verwerking (persoons)gegevens SF-BIKUDAK.

Verwerkersovereenkomst Duurza.am

Digitaal certificaat Ondertekenen en encryptie. De meest recente versie van dit document kunt u vinden op:

1.2. Persoonsgegevens Elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon.

Gedragscode Privacy RRS

Privacyreglement OCA(Zorg)

KvK-nummer Koldingweg 6, 9723 HK Groningen

Privacyverklaring van Enpuls B.V.

Privacyverklaring Eurofins Agro Testing Wageningen b.v.

Privacyreglement. Inhoudsopgave. Melius Zorg Privacyreglement

Privacybeleid Kantoor Roulette (Site & Browser Plug-in)

Privacy Visie Beterburen

THUISZORG GEZELLIG PRIVACYREGLEMENT T HUISZORG GEZELLIG VECHTSTRAAT AS ZWOLLE

5.1 Inzage van gegevens U heeft recht op inzage van uw persoonsgegevens en een kopie daarvan te ontvangen.

Gebruikt u mijn gegevens ook als u die van iemand anders hebt gekregen?

PRIVACYREGELING RITREGISTRATIESYSTEEM < NAAM BEDRIJF > Versienummer: 1.4 Datum wijziging: < 1 september 2013 > Ingangsdatum: < 1 september 2013 >

BIJLAGE: VERWERKING PERSOONSGEGEVENS. Indien - Trends ICT bv - Trends IT - Technetworks bv

Klachtenprocedure Internet

Wij, als InPrintMatter BV, hechten veel waarde aan een goed beheer van uw privacy gevoelige gegevens.

1. Verantwoordelijke NV, ingeschreven bij de Kamer van Koophandel onder nummer (hierna: Verwerkingsverantwoordelijke),

R e g i s t r a t i e k a m e r. ..'s-gravenhage, 27 december Ons kenmerk 99.O Onderwerp Monitoring computernetwerk

PRIVACY STATEMENT KLANTEN LOOGMAN TANKEN EN WASSEN BV, LOOGMAN CARWASH BV, HOLLAND CARWASH BV, HUUREENBOX BV EN GOLFCENTRUM AMSTELDIJK BV.

Verwerkersvoorwaarden versie 1.02

Verwerkersovereenkomst

PRIVACYVERKLARING. Publicatiedatum/laatste wijziging Inleiding

Voorwaarden voor Gegevensverwerking Versie 1.0

PRIVACYVERKLARING 1. WERKINGSSFEER

Privacy Statement Anderz Organiseren. 1. Inleiding en bedrijfsgegevens

PRIVACYREGLEMENT PUBLIEKE XS-KEYS behorend bij XS-Key Systeem van Secure Logistics BV

Privacy Statement Flower Force BV

Privacyverklaring Notarieel Juridisch Advies Mr. Michelle Senden

PRIVACYREGLEMENT AVAQ GROEP. Allround Security Company B.V., Allround Security Company B.V.B.A. en Vidocq B.V. maken onderdeel uit van AVAQ B.V.

Privacy verklaring. Waarom deze privacyverklaring? Welke gegevens worden door ons verwerkt? Gegevens van onze leden

Privacy statement ROM3D

Dit is de privacyverklaring van de Fotoclub Houten ( hierna aan te duiden als FCH ), Centraalspoor 8, 3994 VC Houten.

Protocol datalekken Samenwerkingsverband ROOS VO

Transcriptie:

Wiebe Barkey DMInterface Splijtbakweg 117 1333 HJ Almere mr. drs. Paul Pols ICTRecht B.V. Panamalaan 8B 1019AZ Amsterdam Betreft: juridisch kader RPost Registered Email dienst Datum: 29-03-2011 Inleiding DM Interface heeft ICTRecht verzocht te onderzoeken wat het juridische kader is dat van toepassing is op de diensten die door RPost Communications Limited en/of RPost US Inc (hierna: RPost) worden geboden met betrekking tot de verzending en ontvangst van e-mail binnen het Nederlandse rechtssysteem. Daarnaast is gevraagd te schetsen waaraan organisaties moeten voldoen in hun omgang met persoons- en andere vertrouwelijke gegevens en in hoeverre de diensten van RPost hierin kunnen voorzien. De Registered Email dienst van RPost RPost biedt verschillende diensten aan op het gebied van het versturen en ontvangen van e-mail via de dienst Registered Email 1. Meer specifiek zullen in dit advies de mogelijkheden worden besproken met betrekking tot het authentiseren van de partijen, het vaststellen van de inhoud, het leveren van bewijs van ontvangst en de omgang met persoonsgegevens gedurende dit proces. Om gebruik te kunnen maken van de Registered Email dienst, moet de verzender zich allereerst te registreren, waarmee zijn identiteit wordt vastgelegd zodat deze verzender op een later moment geauthentiseerd kan worden. In dit kader kan gewerkt worden met het PKIcertificaat van een verzender of vindt authenticatie plaats in het kader van de totstandkoming van de overeenkomst, inclusief identificatie van de betreffende partij en verstrekking van betalingsgegevens. Voor de authenticatie van de verzender bij het versturen van e-mail worden verschillende opties aangeboden, waaronder een plug-in voor Microsoft Outlook en Lotus Notes. Wanneer er via de bij de plug-ins behorende Send Registered -knop e-mail verstuurd wordt, zal deze gekoppeld worden aan een unieke code die de geregistreerde verzender authentiseert. Alleen geautoriseerde en geauthentiseerde verzenders kunnen via Rpost e-mail versturen. Ontvangers van e-mail die op deze wijze wordt verstuurd hebben geen speciale software nodig om deze e-mail te kunnen ontvangen of de verzender daarvan te kunnen authentiseren. 1 Registered Email, RPost en esignoff zijn geregistreerde merken in de Verenigde Staten van RPost Communications Limited.

Het vaststellen van de inhoud (inclusief bijlages) van via de Registered Email dienst verstuurde e-mail is mogelijk doordat deze e-mail via de servers van RPost naar de ontvanger wordt verzonden. Ter verificatie van de inhoud van de e-mail, wordt een met Triple DES versleutelde kopie in combinatie met een SHA-1 'hash' aan het ontvangstbewijs gehecht (Registered Receipt). Op deze wijze kan de inhoud van een e-mail op een later moment worden geverifieerd, zonder dat de feitelijke inhoud van de e-mail daarvoor opgeslagen hoeft te worden door RPost. De hash-code van de originele e-mail kan als digitale vingerafdruk van de verstuurde e-mail worden gezien, terwijl de versleutelde kopie van de e-mail door RPost ontsleuteld kan worden tot de originele e-mail inclusief eventuele bijlages. Door het ontvangstbewijs van een bepaalde e-mail ter verificatie nogmaals naar RPost te sturen, kunnen de versleutelde versie en de bijbehorende hash-code van de originele e-mail met een onversleutelde versie vergeleken worden, om vast te stellen of de beide e-mails overeenkomen. De partij die de e-mail ter verificatie aan RPost voorlegt zal vervolgens een rapport ontvangen met een overzicht van de resultaten van de vergelijking en de originele inhoud van de e-mail. Naast het vaststellen van de authenticiteit van de verzender en de inhoud van de e-mail kan de Registered Email dienst van RPost gebruikt worden om vast te stellen op welk tijdstip een e- mail is verstuurd en ontvangen. In alle gevallen zal met behulp van de Registered Email dienst kunnen worden aangetoond dat een e-mail is afgeleverd aan de e-mailserver van de ontvanger. Veelal zal daarnaast kunnen worden aangetoond dat een e-mail feitelijk door de ontvanger geopend is. Genoemde tijdstippen zijn gelinkt aan een atoomklok en worden standaard weergegeven in Coordinated Universal Time (UTC) en zo mogelijk ook in de lokale tijdzone. Het leveren van bewijs met Registered Email dienst in Nederland Het Nederlandse civiele recht kent een bewijsstelsel dat gekwalificeerd kan worden als gebaseerd op de vrije bewijsleer. Binnen dit stelsel kan bewijs worden geleverd door alle middelen, waarbij de waardering van het bewijs aan het oordeel van de rechter wordt overgelaten 2, tenzij de wet voor specifieke gevallen anders heeft bepaald. In het algemeen geldt voor het leveren van bewijs de regel dat wie iets stelt ook degene is die het gestelde moet bewijzen. Feiten en rechten die door de ene partij in een conflict zijn gesteld worden als vaststaand aangenomen, tenzij ze door de andere partij voldoende gemotiveerd zijn betwist 3. In de praktijk is de bewijslastverdeling tussen de partijen vaak bepalend voor de uitkomst van rechtszaken. Om deze reden wordt de bewijslast vaak gelijk gesteld aan een bewijsrisico. Om aan de bewijslast te kunnen voldoen zal overtuigend bewijs geleverd moeten worden, aangezien de beoordeling van het bewijs aan de rechter is overgelaten. Normaliter is het voor zowel de verzender als de ontvanger relatief eenvoudig om bepaalde aanpassingen aan een originele e-mail uit te voeren, zonder dat deze aanpassingen direct kenbaar zullen zijn. Zelfs als er met behulp van getuigenverklaringen vast zou komen te staan dat een e-mail met een bepaalde inhoud op een bepaald moment is verzonden, levert dit bovendien nog geen bewijs dat deze e-mail ook is ontvangen 4. In het geval van een conflict kan de verzender normaliter dan ook niet voldoen aan de bewijslast die op hem of haar rust als de ontvangst van een e-mail 2 Artikel 152 lid 1 Wetboek van Burgerlijke Rechtsvordering 3 Artikel 149 lid 1 Wetboek van Burgerlijke Rechtsvordering 4 Rb. Arnhem 6 maart 2006, LJN AV3919

gemotiveerd wordt betwist. De combinatie van de verschillende elementen van de Registered Email dienst leidt ertoe dat er overtuigend bewijs kan worden geleverd dat een e-mail met een door een onafhankelijke derde verifieerbare inhoud op een vastgesteld moment voor een identificeerbare ontvanger is afgeleverd. Zowel de verzender als de ontvanger kunnen de inhoud van een e-mail verifiëren door deze te laten vergelijken met de versleutelde versie van de via de Registered Email dienst verzonden originele e-mail, als ze over het ontvangstbewijs beschikken. Op het moment dat een e-mail via de Registered Email dienst wordt verzonden, wordt zowel het tijdstip van ontvangst als het tijdstip van aflevering aan de ontvanger door RPost vastgesteld. Om te bewijzen dat een e-mail ontvangen is, wordt de communicatie van het RPost Registration System met de mailserver van de ontvanger opgeslagen en de uitkomst van het proces omgezet in een voor leken leesbare status. In het geval van een betwisting van de ontvangst van de e-mail kan de volledige technische 'Delivery Audit Trail' overlegd worden, waaruit zal blijken dat de e-mailserver van de ontvanger de e-mail namens hem of haar op een vastgesteld tijdstip geaccepteerd heeft. In gevallen waarbij de ontvanger zijn e-mailadres voor een bepaald doel aan de verzender heeft verstrekt, is het risico dat een e-mail vervolgens de mailbox niet bereikt voor de ontvanger 5. In andere gevallen kan er voor de volledigheid gebruik gemaakt worden van een bepaling in de algemene voorwaarden die ertoe strekt dat onder 'ontvangst' van e-mail aflevering aan de e-mailserver van de ontvanger zal worden verstaan. E-mail wordt tegenwoordig ook vaak gebruikt om overeenkomsten aan te gaan. Een overeenkomst wordt gesloten door aanbod en aanvaarding daarvan 6. De vorm van deze verklaringen is vrij en de totstandkoming van een overeenkomst kan daarom onder andere op elektronische wijze 7 of zelfs mondeling plaatsvinden. In het geval van betwisting en in het licht van hetgeen is beschreven met betrekking tot het Nederlandse bewijsstelsel, is het echter belangrijk dat de totstandkoming van de overeenkomst te bewijzen is. Wanneer een overeenkomst wordt gesloten met esignoff kan aangetoond worden dat de partijen, op een door een onafhankelijke derde vastgesteld moment, een niet te vervalsen tekst overeen zijn gekomen. Voor bepaalde overeenkomsten is wettelijk bepaald dat deze alleen in schriftelijke vorm geldig of onaantastbaar tot stand kunnen komen. Overeenkomsten die elektronisch (bijvoorbeeld via e-mail) tot stand komen voldoen ook aan deze eis als er aan vier criteria is voldaan. Deze vier criteria voor elektronische overeenkomsten zijn dat de overeenkomst raadpleegbaar moet zijn voor de partijen, de authenticiteit van de overeenkomst in voldoende mate is gewaarborgd en bovendien het moment van totstandkoming van de overeenkomst en de identiteit van de partijen met voldoende zekerheid kunnen worden vastgesteld 8. De esignoff dienst van RPost kan dankzij de combinatie van de toegankelijkheid van e-mail, de bewijsbaarheid van de inhoud van de originele e-mail, de vaststelling van het tijdstip door 5 Krachtens artikel 3:37 lid 3 Burgerlijk Wetboek 6 Artikel 6:217 lid 1 Burgerlijk Wetboek 7 Specifiek voor elektronische overeenkomsten geldt voorts het vereiste dat de ontvangst van de aanvaarding bevestigd moet worden. 8 Artikel 6:227a Burgerlijk Wetboek

een onafhankelijke derde en de authenticatie van de partijen dienen om aan deze vier criteria te voldoen. De esignoff dienst kan daarbij worden aangemerkt als een geavanceerde elektronische handtekening, die op unieke wijze aan de ondertekenaar is verbonden, het mogelijk maakt op de ondertekenaar te identificeren, tot stand komt met middelen die de ondertekenaar onder zijn uitsluitende controle kan houden en op zodanige wijze aan het elektronisch bestand waarop zij betrekking heeft is verbonden dat elke wijziging achteraf van de gegevens kan worden opgespoord 9. In dit kader kan worden verwezen naar het feit dat de toegang tot de mailbox van de ontvanger onder zijn exclusieve controle kan worden gehouden en dat de ontvanger daarnaast kan worden geïdentificeerd aan de hand van zijn IP-adres in combinatie met de datum en tijd en de beweging van de muis waarmee een digitale representatie van een handtekening wordt gezet. Zorgplicht met betrekking tot persoonsgegevens en andere vertrouwelijke gegevens Indien persoonsgegevens worden verwerkt dienen de nodige maatregelen te worden genomen om de betreffende persoonsgegevens te beschermen. Vertrouwelijke gegevens zijn ook te zien als persoonsgegevens indien deze gegevens herleidbaar zijn tot een bepaald individu 10. In Nederland wordt de omgang met persoonsgegevens beheerst door de Wet bescherming persoonsgegevens (hierna: Wbp), die een uitwerking is van de Europese richtlijn 95/46/EG betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens. Uit de Wbp volgt dat er sprake is van een zorgplicht van de verantwoordelijke, die zich uit in: Beveiligingsplicht: volgens deze verplichting moet de geboden beveiliging bescherming bieden tegen 'verlies' of enige vorm van 'onrechtmatige verwerking' van persoonsgegevens. Dit kan worden gedaan door te zorgen dat de beveiliging dusdanig sterk is dat onbevoegden niet bij deze gegevens kunnen komen. Deze beveiligingsplicht is van toepassing op alle stappen die worden genomen betreffende het proces van gegevensverwerking. Passende technische en organisatorische maatregelen: de maatregelen dienen in overeenstemming te zijn met de stand van de techniek en de kosten van de maatregelen. De invulling van het criterium 'passende maatregelen' is niet nader ingevuld en wordt ter beoordeling van experts overgelaten. Het gebruik van encryptie wordt in dit kader gezien als een passende maatregel. Encryptie zorgt voor een versleuteling van de betreffende gegevens, als gevolg waarvan alleen degene die in bezit is van de juiste sleutel toegang kan verkrijgen tot de gegevens. Met encryptie kan derhalve worden voorkomen dat een onbevoegde derde zich toegang tot de gegevens kan verschaffen. Het gevolg van encryptie is dat de versleutelde gegevens niet meer aangemerkt kunnen worden als persoonsgegevens, tenzij iemand zowel over de versleutelde gegevens als de sleutel kan beschikt. Wat betreft het criterium van passende organisatorische maatregelen kan worden gedacht aan het minimaliseren van het aantal personen dat toegang heeft tot belangrijke computersystemen. 9 Artikel 3:15a lid 2 Burgerlijk Wetboek 10 Artikel 1 sub a Wet bescherming persoonsgegevens.

Voorkomen van onnodige verwerking: de genomen maatregelen dienen er verder mede op gericht te zijn om onnodige verwerking van persoonsgegevens te voorkomen. Uit de Kamerstukken volgt de volgende omschrijving: het beschermen van de persoonlijke levenssfeer door middel van een samenhangend geheel van ICT-maatregelen waardoor persoonsgegevens worden verminderd of geëlimineerd en/of onnodige of ongewenste verwerking van persoonsgegevens wordt tegengegaan, zonder verlies van functionaliteit 11. Het gebruik van de techniek 'hashing' is hiervan een voorbeeld. Deze techniek houdt in dat er gebruikt gemaakt wordt van een hash-code die berekend wordt en die dient als een digitale vingerafdruk. Op deze wijze kan de authenticiteit van de originele data op een later moment vastgesteld worden, zonder dat deze data daarvoor door RPost hoeft te worden opgeslagen. Het gevolg van deze maatregel is dat onnodige verwerking van de betreffende gegevens wordt tegengegaan. Indien niet wordt voldaan aan de eisen van de Wbp en iemand schade lijdt als gevolg van het feit dat met betrekking tot zijn gegevens in strijd is gehandeld met de Wbp of de daarop gebaseerde bepalingen, dan kan deze schade verhaald worden op de verantwoordelijke. Verder heeft het College bescherming persoonsgegevens bevoegdheden die dienen ter handhaving en naleving van de Wbp. De Wet bescherming persoonsgegevens ziet niet op de verwerking van bedrijfsgegevens en het bovenstaande is dus in principe niet wettelijk verplicht voor de verwerking van bedrijfsgegevens. Dit kan echter anders zijn indien de bedrijfsgegevens herleidbaar zijn tot een individu, zoals een werknemer of een klant, in welk geval deze gegevens wel de wettelijke bescherming van de Wbp genieten. Ook wanneer bedrijfsgegevens niet zijn aan te merken als persoonsgegevens in de zin van de Wbp, is dit echter nog geen vrijbrief om onzorgvuldig met deze gegevens om te springen. De verantwoordelijke moet zich gedragen naar de normen zoals in het 'maatschappelijke verkeer betaamt'. Als deze norm niet wordt nageleefd kan dit leiden tot een onrechtmatige daad 12. Hier zou bijvoorbeeld sprake van kunnen zijn in het geval dat vertrouwelijke bedrijfsgegevens van een wederpartij in handen vallen een derde, terwijl dit relatief eenvoudig voorkomen had kunnen worden en daardoor de redelijke belangen van de wederpartij geschaad worden. De omgang met persoons- en vertrouwelijke gegevens in het kader van Registered Email Wanneer er gebruikt gemaakt wordt van de Registered Email dienst zullen e-mails via de servers van RPost van de verzender naar de ontvanger worden verstuurd. Aangezien dergelijke e-mails persoonsgegevens kunnen bevatten is het van belang hoe RPost omgaat met dergelijke gegevens. Met de term persoonsgegevens wordt op alle gegevens gedoeld die kunnen dienen om een bepaald persoon te identificeren. Binnen de Europese Economische Ruimte mogen persoonsgegevens landsgrenzen overschrijden, maar deze mogen alleen naar derde landen worden verstuurd als deze landen een passend beschermingsniveau voor gegevensbescherming kennen 13. Voor de Verenigde Staten 11 Kamerstukken II 1997/98, 25892, nr. 22; Hand. II 23 november 1999, nr. 25-1868. 12 Artikel 6:162 lid 1 Burgerlijk Wetboek. 13 Artikel 76 Wet Bescherming Persoonsgegevens

betekent dit vereiste dat een passend beschermingsniveau alleen geboden wordt door bedrijven en organisaties die zich hebben verplicht om de Safe Harbor regels toe te passen. Deze regels houden in dat personen geïnformeerd moeten worden met betrekking tot hoe hun gegevens worden verzameld en gebruikt, personen de mogelijkheid moeten hebben tot opt-out voor het verzamelen en versturen van hun gegevens naar derden, gegevens alleen mogen worden verstuurd naar derden die zich ook aan de Safe Harbor regels hebben verbonden, er redelijke maatregelen moeten worden genomen ter beveiliging van de gegevens en om de integriteit van de gegevens zeker te stellen, personen informatie die over hen is verzameld moeten kunnen corrigeren en laten verwijderen en dat er effectieve procedures moeten zijn om zeker te stellen dat de regels worden nageleefd 14. In het kader van de Registered Email dienst worden e-mails die potentieel persoonsgegevens bevatten verstuurd via servers in de Verenigde Staten. RPost is sinds januari 2008 Safe Harbor gecertificeerd om dergelijke persoonsgegevens uit de Europese Unie (die de Europese Economische Ruimte omvat) te mogen ontvangen 15. Specifiek wat betreft de uitvoering van de Registered Email dienst kan verder opgemerkt worden dat via RPost verstuurde e-mails niet integraal door RPost opgeslagen hoeven te worden om de inhoud daarvan op een later moment te kunnen verifiëren. Op basis van de inhoud van de e-mails wordt een hash-code berekend die als digitale vingerafdruk van de e- mail dient, aan de hand waarvan de feitelijke verificatie van verzonden e-mails plaats vindt. Daarnaast is het mogelijk om de inhoud en bijlages van met behulp van de Registered Email dienst te versleutelen, als gevolg waarvan de versleutelde inhoud en bijlages niet meer aangemerkt kunnen worden als persoonsgegevens tijdens de verzending. Deze twee technische omstandigheden zorgen ervoor dat de toegestane verwerkingen van persoonsgegevens door RPost in de praktijk ook tot het minimum beperkt kunnen worden. Conclusie met betrekking tot de dienstverlening van RPost Met behulp van de Registered Email dienst kan bewijs worden geleverd dat een e-mail met een vast te stellen inhoud (inclusief bijlage) op een door een onafhankelijke derde vastgesteld moment is verzonden door een geverifieerde verzender en afgeleverd aan de ontvanger. De Registered Email dienst levert onder de besproken omstandigheden voldoende bewijs om te voldoen aan de bewijsopdracht die op een verzender van een e-mail zal rusten in geval van betwisting door een wederpartij. De Registered Email dienst kan in combinatie met esignoff gebruikt worden om online overeenkomsten aan te gaan, inclusief overeenkomsten die normaliter schriftelijk zouden moeten worden aangegaan. RPost is Safe Harbor gecertificeerd en in dat kader bevoegd persoonsgegevens uit de Europese Unie en Europese Economische Ruimte te ontvangen. De verwerking van persoonsgegevens kan daarbij tot een minimum worden beperkt door gebruik te maken van hashing en encryptie. Op deze wijze kan een invulling worden gegeven aan de plicht om op een verantwoorde wijze om te gaan met persoonsgegevens en andere vertrouwelijke informatie. 14 Export.gov, U.S.-EU Safe Harbor Overview, 03/02/2011 <https://www.export.gov/safeharbor/eu/eg_main_018476.asp> 15 Export.gov, Safe Harbor - Organization Information, 28-03-2011 <http://safeharbor.export.gov/companyinfo.aspx?id=10983>

2024 © DocPlayer.nl Privacy Policy | Terms of Service | Feedback