classificatie

Gegevensclassificatie is een techniek die wordt gebruikt om gegevens te ordenen en te categoriseren in verschillende afzonderlijke klassen of groepen. Deze methoden zijn essentieel voor talloze toepassingen, zoals gegevensanalyse en machine leren, evenals gegevensbeveiliging, gegevensbeheer en naleving van regelgeving.

Gegevensclassificatie is het proces van het ordenen en categoriseren van gegevens in verschillende groepen en typen op basis van de inhoud en structuur. Voor het effectiever beheren en beschermen van gegevens, het naleven van beleid en regelgeving, het verbeteren van de beveiliging en het ondersteunen van gegevensanalyse en andere activiteiten.

Het doel van gegevensclassificatie is om ervoor te zorgen dat gegevens op de juiste manier worden beveiligd, dat gegevensnaleving wordt gehandhaafd en dat gegevensbeheer effectief is. Het exacte proces kan variëren op basis van de specifieke behoeften en overwegingen.

Door te identificeren welke gegevens gevoelig of vertrouwelijk zijn, kan men passende beveiligingsmaatregelen nemen om die gegevens beschermen.

Voor de naleving van regelgeving en om aan de wettelijke verplichtingen te voldoen, normen te handhaven met betrekking tot de opslag, verwerking en verzending van bepaalde soorten gegevens. Het verkeerd classificeren van gegevens kan leiden tot non-compliance en hoge boetes.

Weten welke gegevens men heeft en hoe deze zijn geclassificeerd, kan helpen bij het beheren en verminderen van het potentiële risico die gepaard gaat met een datalek.

Door gegevens correct te classificeren, kan ongeautoriseerde toegang tot gevoelige informatie beter voorkomen worden en de privacy van individuen beter beschermt.

Wanneer gegevens correct zijn geclassificeerd, kunnen deze effectiever worden gebruikt voor besluitvorming, analyses en het creëren van strategieën.

Correcte gegevensclassificatie kan helpen bij incidentrespons door potentiële gegevenscompromissen te identificeren in het geval van een inbreuk.

En kan ook leiden tot aanzienlijke kostenbesparingen, zoals het opslaan van minder gevoelige gegevens op goedkopere, laagbeveiligde opslag.

Gegevensclassificatie organiseert gegevens in categorieën op basis van verschillende kenmerken, zoals gevoeligheid, wettelijke vereisten, waarden en meer.

De eerste stap is het definiëren van welke gegevens worden geclassificeerd en de criteria voor de classificatie ervan. Dit kan onder andere het type gegevens, de gevoeligheid of de plek waar de gegevens vandaan komen omvatten.

Nadat de criteria zijn gedefinieerd, moeten labels of tags worden gegenereerd die overeenkomen met de classificatie. Labels kunnen ‘Vertrouwelijk’, ‘Openbaar’, ‘Intern’, enzovoort zijn.

De gegevens worden vervolgens geclassificeerd op basis van de gedefinieerde criteria en labels. Dit kan handmatig worden gedaan, waarbij een gegevenseigenaar labels toewijst aan de datasets, of automatisch, waarbij software of algoritmen worden gebruikt om gegevens te classificeren.

Afhankelijk van de classificatie worden de juiste beveiligingsmaatregelen vervolgens op de gegevens toegepast. Gegevens die als vertrouwelijk zijn geclassificeerd, kunnen bijvoorbeeld worden gecodeerd, met toegang beperkt tot alleen bepaalde personen.

Regelmatige audits moeten worden uitgevoerd om ervoor te zorgen dat de classificaties nauwkeurig zijn en dat beveiligingsmaatregelen werken zoals bedoeld. Aanpassingen moeten indien nodig worden gemaakt, met name wanneer nieuwe typen gegevens worden geïntroduceerd of wanneer de gevoeligheid van gegevens verandert.

Het vergroten van het bewustzijn van het personeel over het belang van dataclassificatie en het trainen om verschillende soorten data te verwerken, is ook essentieel voor de implementatie van dataclassificatie.

Het classificatieschema moet voortdurend worden gemonitord en onderhouden om de effectiviteit ervan te garanderen, met name naarmate de behoeften van de organisatie en het datalandschap evolueren.

Taggen ervan met een classificatieniveau op basis van de data-elementen die het bevat. Een document kan bijvoorbeeld worden geclassificeerd als ‘Vertrouwelijk’ als het gevoelige gegevens bevat, zoals creditcardnummers of persoonlijk identificeerbare informatie (PII).

Deze aanpak classificeert gegevens op basis van de elementen rondom de gegevens, ook wel metagegevens genoemd. Dit kan de applicatie omvatten die de data heeft gecreëerd, waar de data zich bevindt, wanneer de data is gecreëerd, wie de data bezit, etc. Bijvoorbeeld het classificeren van e-mails op basis van onderwerpregels, afzender- en ontvangeradressen.

Classificatie afhankelijk van de gebruiker die de data creëert of verwerkt om de data handmatig te classificeren. Deze classificatie is afhankelijk nt op de kennis en discretie van de gebruiker. Een documentmaker classificeert bijvoorbeeld een bestand als “Intern” op basis van de informatie die het bevat.

Openbaar: Dit zijn gegevens die bedoeld zijn voor openbaar gebruik. Het omvat marketingmateriaal, bedrijfswebsites en andere openbare documenten die geen risico vormen als ze worden geopend, verkeerd worden behandeld of openbaar worden gemaakt.

Gegevens die bedoeld zijn om binnen de organisatie te blijven, maar niet vertrouwelijk zijn. Voorbeelden hiervan zijn interne nieuwsbrieven, e-mailberichten en interne bedrijfsbeleidsregels. Verlies van interne gegevens kan kleine ongemakken veroorzaken, maar is in de meeste gevallen niet schadelijk.

Gevoelige gegevens die, als ze openbaar worden gemaakt, ernstige gevolgen kunnen hebben. Het omvat bedrijfsgeheimen, intellectueel eigendom of bepaalde soorten werknemers- of klantgegevens. Toegang tot vertrouwelijke gegevens is doorgaans beperkt tot specifieke personen.

De meest gevoelige gegevens waarvoor wettelijke verplichtingen gelden voor de bescherming ervan. Creditcardnummers, persoonlijk identificeerbare informatie (PII) en beschermde gezondheidsinformatie (PHI) worden bijvoorbeeld allemaal geclassificeerd als beperkt. Ongeautoriseerde openbaarmaking van deze gegevens kan leiden tot ernstige juridische en financiële gevolgen.

Gegevensgevoeligheidsniveaus verwijzen naar de mate van risico die kan ontstaan ​​als de gegevens worden gecompromitteerd. Er zijn doorgaans drie niveaus: hoog, gemiddeld en laag.

Gegevens met hoge gevoeligheid: dit omvat gegevens waarvan de ongeoorloofde openbaarmaking ernstige nadelige gevolgen kan hebben voor een organisatie of personen. Voorbeelden hiervan zijn geclassificeerde informatie, handelsgeheimen, persoonlijk identificeerbare informatie (PII), creditcardgegevens en medische dossiers.

Gegevens met gemiddelde gevoeligheid: deze gegevens zijn minder gevoelig, maar kunnen nog steeds een aanzienlijke impact hebben als ze worden vrijgegeven of gewijzigd. Voorbeelden hiervan zijn interne communicatie, niet-vertrouwelijke bedrijfsdocumenten en persoonlijke e-mails.

Gegevens met lage gevoeligheid: dit omvat informatie die openbaar kan worden gemaakt zonder enig risico voor de organisatie of personen. Het kan bestaan ​​uit reeds openbaar beschikbare gegevens of niet-gevoelige en niet-vertrouwelijke gegevens, zoals de openbaar beschikbare rapporten van een bedrijf, openbare website-inhoud en persberichten.

Handmatige classificatie hierbij wijst de gegevenseigenaar of een geautoriseerde gebruiker de gegevens handmatig een label toe dat de classificatie ervan aangeeft. Deze methode kan nauwkeurig zijn, maar is arbeidsintensief en tijdrovend.

Geautomatiseerde classificatie bij geautomatiseerde classificatie analyseren softwaretechnologieën gegevens en wijzen ze classificatie toe op basis van vooraf bepaalde regels en beleidsregels. Deze methode is sneller en minder arbeidsintensief, maar is mogelijk niet zo nauwkeurig bij complexe datasets.

Gebruikersgestuurde of gebruikersondersteunde classificatie: dit is een combinatie van handmatige en geautomatiseerde classificatie. Gebruikers wijzen labels toe aan een subset van gegevens en machine learning-algoritmen extrapoleren hiervan om de rest van de gegevens te classificeren.

Op inhoud gebaseerde classificatie deze methode classificeert gegevens op basis van de inhoud binnen het gegevensobject. Bijvoorbeeld, een document met gevoelige creditcardgegevens zou worden geclassificeerd als vertrouwelijk.

Contextgebaseerde classificatie deze methode classificeert gegevens op basis van factoren rondom de gegevens, zoals de maker, het tijdstip van creatie, de gebruikte applicatie of de locatie van de gegevens.

Machine Learning-classificatie bij deze methode worden algoritmen getraind om patronen en kenmerken te herkennen, die worden gebruikt om nieuwe of bestaande gegevens te classificeren. Deze methode kan grote hoeveelheden gegevens verwerken en de nauwkeurigheid in de loop van de tijd verbeteren.

Algemene verordening gegevensbescherming (AVG) is de verordening van de Europese Unie voor gegevensbescherming en privacy. Het stelt strenge richtlijnen vast voor het verzamelen, opslaan en verwerken van gegevens voor EU-ingezetenen en vereist het categoriseren van persoonlijke gegevens op basis van gevoeligheid en het bijbehorende risico.

Payment Card Industry Data Security Standard (PCI-DSS) is van toepassing op elke organisatie die creditcardtransacties verwerkt. Het bepaalt manieren om kaarthoudergegevens te beveiligen tijdens en na een financiële transactie. Het vereist dat organisaties kaarthoudergegevens beschermen en controleren.

Health Insurance Portability and Accountability Act (HIPAA) is van toepassing op zorgverleners, zorgverzekeraars en bedrijven die medische dossiers verwerken en opslaan. Het vereist de bescherming van persoonlijk identificeerbare e-informatie en andere medische gegevens.

California Consumer Privacy Act (CCPA) en Virginia Consumer Data Protection Act (VCDPA) zijn wetten en regels op staatsniveau die de privacyrechten van consumenten afdwingen en vereisen dat bedrijven die persoonlijke gegevens van staatsburgers verwerken, privacyprocedures en -beschermingen volgen.

ISO/IEC 27001 internationale norm specificeert de vereisten voor een informatiebeveiligingsbeheersysteem (ISMS) en bevat bepalingen voor het omgaan met gevoelige gegevens.

Sarbanes-Oxley Act (SOX) stelt strenge eisen aan bedrijven die in de VS zijn genoteerd om ervoor te zorgen dat ze financiële en boekhoudkundige gegevens nauwkeurig beheren.

Door gevoelige gegevens te identificeren en classificeren, kunnen organisaties passende beveiligingsmaatregelen implementeren, zoals encryptie en toegangscontrole, om ongeautoriseerde toegang te voorkomen en te beschermen tegen datalekken.

Gegevensclassificatie helpt organisaties te voldoen aan verschillende voorschriften en wetten voor gegevensbescherming, zoals AVG, HIPAA en CCPA, door ervoor te zorgen dat de juiste bescherming is ingesteld voor gevoelige en persoonlijke gegevens.

Georganiseerde gegevens kunnen efficiënter worden opgehaald, waardoor het gemakkelijker wordt om specifieke informatie te vinden en snellere besluitvorming mogelijk wordt.

Het bevordert het begrip van de waarde en gevoeligheid van gegevens onder werknemers, waardoor goede gegevensverwerkingspraktijken worden bevorderd.

Het verwijderen van onnodige gegevens kan helpen onnodige kosten van opslag, datalekken en boetes voor niet-naleving te voorkomen.

Het verbetert het begrip van hoe gegevens gedurende de levenscyclus moeten worden behandeld. Van creatie en opslag tot distributie en verwijdering.

Classificatie zorgt ervoor dat gegevens up-to-date, relevant en nauwkeurig zijn, wat na verloop van tijd leidt tot een verbeterde gegevenskwaliteit.

bezorgd!

Moeten we bezorgd zijn over onze privacy?

GDPR-naleving is een must voor vrijwel elk bedrijf dat gegevens van EU-ingezetenen verwerkt.

De Algemene Verordening Gegevensbescherming (AVG) is bedoeld om de privacy van EU-ingezetenen te beschermen. De verordening is van toepassing op bedrijven die persoonlijke gegevens verwerken van zelfs al is het maar één klant die in Europa woont. Bedrijven die de verordening overtreden, riskeren boetes tot € 20 miljoen of 4% van de jaarlijkse wereldwijde omzet, afhankelijk van wat het hoogst is.

1. U heeft als EU-inwoner het recht om te weten wat er met u gegevens wordt gedaan.

De AVG legt duidelijk vast welke informatie gegevensbeheerders en gegevensverwerkers verplicht zijn te verstrekken op verzoek:

Wie bent u?

Waarom heeft u mijn gegevens?

Waar heeft u ze vandaan?

Hoe lang heeft u ze?

Hoe en waar worden ze verwerkt?

2. Stilte en inactiviteit zijn geen tekenen meer van toestemming voor het verwerken van persoonlijke gegevens

Onder de AVG moet toestemming vrijelijk worden gegeven en specifiek zijn voor elke verwerkingsactiviteit. Het moet een verklaring zijn van duidelijke permissieve actie.

3. Gevoelige persoonlijke informatie moet zorgvuldiger worden behandeld

Volgens de AVG is deze informatie extra gevoelig en mag deze niet vrij worden gebruikt, gedeeld en verwerkt zonder expliciete toestemming van de betrokkene:

Religieuze of filosofische overtuigingen.

Fysieke en mentale gezondheid.

Gegevens over seksleven.

Ras of etnische afkomst.

Vakbondslidmaatschap.

Politieke opvattingen.

Biometrische en genetische gegevens.

3. De termijn voor melding van een datalek is 72 uur

Zo moeten gebruikers binnen 72 uur op de hoogte worden gesteld van elk type datalek. Betrokkenen moeten rechtstreeks geïnformeerd worden als het resultaat van het lek hen aanzienlijke schade kan berokkenen (bijv. openbaarmaking van hun bankrekeninggegevens of gevoelige gegevens met betrekking tot hun kinderen).

4. Recht om vergeten te worden: u moet uit alle back-ups kunnen verdwijnen

De gebruiker kan op elk moment verzoeken om zijn of haar informatie te verwijderen. U moet alle records met persoonlijke gegevens verwijderen en deze nooit meer gebruiken. Dit omvat databaserecords, back-upkopieën, bestanden en alle kopieën die mogelijk naar een archief zijn verplaatst.

Volgens de wet is er minder dan een maand de tijd om dit te doen.

5. U heeft het recht om de gegevens naar een ander verwerkingssysteem over te dragen

Met andere woorden, u als betrokkene heeft het recht om je gegevens naar een concurrent over te dragen. Dit recht geeft individuen meer macht om over te stappen naar een andere gegevensbeheerder/verwerker.

1. IS ER OVERWOGEN OF ECHT ALLE GEGEVENS NODIG ZIJN

Controleer wat voor soort persoonlijke gegevens er over u zijn opgeslagen. Zijn deze gegevens echt nodig? De beste manier voor een privacybewuste toekomst is om alleen het absolute minimum aan persoonlijke gegevens te verzamelen.

2. VERSLEUTEL ALLE PERSOONLIJKE GEGEVENS

Versleuteling versleutelt gegevens op een manier die ze onbegrijpelijk maakt voor degenen die niet over de decoderingssleutels beschikken. Het woord “versleuteling” wordt slechts 4 keer genoemd in de GDPR-tekst:

“…maatregelen implementeren om die risico’s te beperken, zoals versleuteling.” (P51. (83))

“…passende waarborgen, waaronder encryptie” (P121 (4.e))

“…waaronder onder meer, indien van toepassing: (a) de pseudonimisering en encryptie van persoonsgegevens.” (P160 (1a))

“…onbegrijpelijk voor iedereen die niet bevoegd is om er toegang toe te krijgen, zoals encryptie” (P163 (3a))

Maar wat als er een ​​legitieme reden is, zoals kostenefficiëntie of prestatieverlies, dat encryptie niet gebruikt kan worden als onderdeel van gegevensbeschermingsbeleid?

In zo’n geval moet er ofwel voldoende bewijs verzamelen zijn om de beweringen te staven of alternatieve methoden gebruikt zijn, zoals pseudonimisering.

3. BESCHOUW HTTPS ALS EEN ESSENTIEEL ONDERDEEL VAN UW AANVRAAG

“Contactformulieren” bevatten vaak persoonlijke gegevens zoals e-mails, telefoonnummers of huisadressen. Als deze informatie wordt opgeslagen en verstuurd als platte tekst, wordt de deur geopend voor hackers en kwaadwillende.

Is er encryptie gebruikt voor de “contactformulieren”. Informeer hoe u gegevens worden opgeslagen en voor hoe lang.

Controleer of HTTPS is gebruikt, een veilige versie van het HTTP-communicatieprotocol.

Het versleutelt alle gegevens die tussen u en een server worden verzonden met behulp van de SSL/TLS-cryptografische protocollen. Wanneer een gebruiker een HTTPS-verbinding aanvraagt, wordt er een SSL-certificaat naar hem/haar verzonden, dat de sleutel bevat die nodig is om de beveiligde verbinding te starten.

Daarom is het belangrijk om een ​​SSL-certificaat van een betrouwbare certificeringsinstantie te ontvangen en dat deze correct geïnstalleerd is. En het certificaat niet vatbaar is voor de kwetsbaarheden van het protocol.

4. ZIJN TOESTEMMINGSFORMULIEREN OP ORDE

Vergeet alle vooraf aangevinkte vakjes. Men kan niet langer wegkomen met impliciete, opt-out toestemming. De AVG vereist “een verklaring van duidelijke bevestigende actie” of “een vrijelijk gegeven, specifieke, geïnformeerde en ondubbelzinnige toestemming van de gebruiker”.

Toestemmingsformulieren moeten standaard op “nee” staan ​​of leeg zijn. Op die manier dwingt u gebruikers niet om zich actief af te melden.

5. VRAAG SPECIFIEK NAAR DE DERDE PARTIJEN

Als persoonlijke gegevens wordt doorgegeven aan derden, dan moeten deze geïdentificeerd zijn en benoem worden in de toestemmingsformulieren.

6. ZIJN DE ALGEMENE VOORWAARDENOVEREENKOMST GESCHEIDEN VAN ANDERE TOESTEMMINGSFORMULIEREN

De Algemene Voorwaardenovereenkomst staan apart en heeft geen binding met enige vorm van verwerking van persoonlijke gegevens.

7. ZIJN DE ALGEMENE VOORWAARDENSECTIE ZEER ZICHTBAAR

Onder de AVG mogen de Algemene Voorwaarden niet langer verborgen of begraven zijn in de kleine lettertjes.

U moeten immers erkennen dat u de Algemene Voorwaarden hebt gelezen en ermee akkoord gaat voordat u toegang krijgt.

8. KIJK OF UW TOESTEMMING EENVOUDIG IN TE TREKKEN IS

Vanwege het nieuwe AVG-principe – heeft u het recht om vergeten te worden – en moet u zich op elk moment kunnen afmelden en u toestemming kunnen intrekken.

9. LET OP HET COOKIEBELEID

Het officiële AVG-document vermeldt cookies in de volgende context (overweging 30):

Natuurlijke personen kunnen worden gekoppeld aan online-identificatoren […] zoals internetprotocoladressen, cookie-identificatoren of andere identificatoren […]. Dit kan sporen achterlaten die, met name in combinatie met unieke identificatoren en andere informatie die door de servers wordt ontvangen, kunnen worden gebruikt om profielen van de natuurlijke personen te maken en hen te identificeren.

Simpel gezegd, de cookies waarmee u wordt geïdentificeerd via je apparaten (advertentie-, analyse- en functionele cookies) vallen onder de AVG. Het gebruik van dergelijke cookies moet worden vermeden of er moet een wettelijke basis zijn voor het verzamelen en verwerken van persoonsgegevens:

Wettelijke verplichtingen.

Legitieme belangen (zolang ze geen inbreuk maken op individuele rechten).

Vereisten voor de uitvoering van een contract (d.w.z. het verzamelen van betalingsgegevens van contractanten).

Expliciete toestemming.

Volgens de AVG geeft het voor het eerst bezoeken van een website niet automatisch toestemming voor het verwerken van persoonsgegevens. Het weergeven van berichten als “Als u deze website gebruikt, accepteert u cookies” wordt niet beschouwd als een “vrijwillig gegeven toestemming” (Overweging 42).

Gedetailleerde toestemming is nog steeds van toepassing. Dus als men u gedrag wil volgen en u gegevens voor advertenties worden gebruikt , moet u toestemming geven voor elke activiteit.

Volgens de best practices van de AVG moet men u toestaan ​​u toestemming eenvoudig in te trekken. En de toegang voor gebruikers die hun toestemming onthouden, kunnen niet worden geblokkeerd. En nadat u bent uitgelogd, moeten de cookies en sessies vernietigen zijn/worden.

10. INFORMEER OVER LOGBOEKEN MET U IP-ADRESSEN

Controleer of systeem IP-adressen of locatiegegevens gebruikt zijn bij authenticatie. Als logboeken dergelijke gegevens bevatten, informeer dan naar de manier waarop ze opgeslagen zijn en hoe lang ze bewaard blijven. Vraag om versleuteling van de logs en zorg ervoor dat ze geen bijzonder gevoelige gegevens bevatten, zoals wachtwoorden.

11. ZIJN ALLE PERSOONLIJKE GEGEVENS VERWIJDERD NADAT ZE NAAR BETALINGSGATEWAYS ZIJN DOORGEGEVEN

Het gebruik van betalingsgateways betekent vaak dat er persoonlijke gegevens worden verzameld.

In de meeste gevallen blijven deze gegevens in systemen staan, wat illegaal is volgens de AVG. Een applicatie moet alle persoonlijke gegevens binnen een bepaalde periode verwijderen (bijv. 60 dagen).

12. ZIJN U GEBRUIKERSGEGEVENS VERWIJDERD TOEN U UITGESCHREVEN BENT

Volgens het recht om vergeten te worden van de AVG, ben u als gebruiker vrij om account te laten verwijderen, samen met al u persoonlijke gegevens. De taak van bedrijven is om duidelijk te laten zien dat deze gegevens inderdaad worden verwijderd en ook uit al de back-ups worden gewist.

persoonsgegevens

Verstrekken van persoonsgegevens

Organisaties mogen niet zomaar persoonsgegevens verstrekken (doorgeven) aan andere organisaties of personen. De algemene regel is dat verstrekken van persoonsgegevens alleen mag als dit verenigbaar is met het doel waarvoor de gegevens zijn verzameld. Hiervoor gelden echter strenge eisen, waaraan niet snel zal worden voldaan.

  1. Verstrekking moet verenigbaar zijn met doel
  2. Bepalen of verstrekking verenigbaar is
  3. Verstrekking is verenigbaar
  4. Verstrekking is niet verenigbaar

Verstrekking moet verenigbaar zijn met doel

Wil een organisatie persoonsgegevens verstrekken aan een andere organisatie? Doorgaans zijn de persoonsgegevens niet (mede) met dat doel verzameld. Daarom zal dat vaak niet toegestaan zijn. Er moet immers een duidelijk doel zijn om persoonsgegevens te mogen verzamelen. En mogen de gegevens vervolgens niet voor een ander doel worden verwerkt (verstrekken is een vorm van verwerken). Dat is een van de hoofdregels voor de bescherming van persoonsgegevensen wordt ‘doelbinding’ genoemd.

Deze eis van doelbinding is streng, maar de AVG geeft wel wat ruimte: verdere verwerking van persoonsgegevens is toegestaan als die verwerking verenigbaar is met het oorspronkelijke doel waarvoor de gegevens zijn verzameld. Dat houdt in dat er een concreet, logisch en nauw verband moet zijn tussen het oorspronkelijke doel en de verdere verwerking. En dat de verdere verwerking ook aansluit bij de verwachtingen van de betrokkene(n).

Is er voor de verstrekking van persoonsgegevens aan een andere organisatie geen toestemming gekregen van de betrokkene(n)? En volgt de verstrekking ook niet uit een wettelijke bepaling? Dan mogen de gegevens alleen worden verstrekt als het doel van de verstrekking verenigbaar is met het oorspronkelijke doel waarvoor de gegevens verzameld zijn.

Bepalen of verstrekking verenigbaar is

Bij de vraag of een verstrekking verenigbaar is, spelen verschillende factoren een rol. Bijvoorbeeld:

  • Is er een verband met het doel waarvoor de gegevens zijn verzameld?
  • Binnen welk kader zijn de persoonsgegevens verzameld? Dat wil zeggen: wat is de verhouding tussen de organisatie en de betrokkene(n)?
  • Wat is de aard van de gegevens? Dat wil zeggen: hoe gevoelig zijn de gegevens? Gaat het bijvoorbeeld om bijzondere persoonsgegevens en/of strafrechtelijke persoonsgegevens?
  • Wat zijn de (mogelijke) gevolgen van een verstrekking?
  • Zijn er passende waarborgen, zoals versleuteling of pheudonimisering van de gegevens?
  • Wat zijn de verwachtingen van de betrokkene(n)?

Verstrekking van persoonsgegevens aan een andere organisatie zal hier echter niet snel aan voldoen. Want vaak:

  • staat het doel van de verstrekking of van die andere organisatie juist ver af van het oorspronkelijke doel;
  • kan verstrekking aan een andere organisatie juist wel vergaande gevolgen hebben;
  • kan verstrekking voor de betrokkene(n) verrassend kan zijn. 

Verstrekking is verenigbaar

Is de verstrekking van persoonsgegevens toch verenigbaar? Dan mogen de gegevens verstrekt worden. Als dit op basis van dezelfde grondslag gebeurt als de grondslag op basis waarvan de gegevens verzameld zijn. Dan is er dus geen nieuwe grondslag nodig voor de verstrekking van de gegevens.

Verstrekking is niet verenigbaar

Is de verstrekking van persoonsgegevens niet verenigbaar? Dan mogen de gegevens alleen verstrekken als de betrokkene toestemming geeft om de gegevens (ook) voor de nieuwe doelstelling te verwerken. Of als de wetgever met het oog op specifieke, zwaarwegende belangen bepaald heeft dat de al verzamelde gegevens ook voor andere doeleinden mogen worden gebruikt. 

doxing

Het verzamelen of delen van andermans persoonsgegevens om die persoon te intimideren is sinds 1 januari 2024 strafbaar. Dit wordt ook wel doxing genoemd. De overheid neemt verschillende maatregelen om doxing tegen te gaan.

Persoonlijke informatie delen strafbaar

Vanaf 1 januari 2024 is doxing strafbaar. Doxing komt veel voor en heeft vaak grote impact. Zeker als privégegevens op het internet blijven staan. Slachtoffers kunnen bijvoorbeeld hun werk niet meer normaal doen of voelen zich thuis niet meer veilig. Doxing is vaak gericht tegen journalisten, politici, rechters of hulpverleners. Maar ook andere mensen kunnen ermee te maken krijgen.

Een adres of telefoonnummer delen om iemand bang te maken of lastig te vallen?

Sinds 1 januari 2024 is dat officieel strafbaar.
Deze vorm van criminaliteit noemen we doxing.
Doxing betekent het delen van persoonsgegevens om iemand te intimideren.

Dat komt van dropping docs. Documenten lekken, dus.

Denk aan het delen van een telefoonnummer,  
informatie over iemands werk of een adres.

Hoe doxers aan die gegevens komen?
Bijvoorbeeld via sociale media of online registers.

Veel gegevens zijn vindbaar.

Het doel van het delen?
Iemand lastigvallen of intimideren.

Doxing kan grote gevolgen hebben voor slachtoffers.

Ze voelen zich vaak angstig en onveilig en dat kan lang duren.
Zeker als de gegevens op het internet blijven staan.

Slachtoffers kunnen beroemdheden, politieagenten, hulpverleners, politici…
en journalisten zijn.

Iemand is het dan niet eens met hun mening of wat ze doen…
en verspreidt privé-informatie.

Maar ook andere mensen kunnen ermee te maken krijgen.

Misschien heb je ruzie met iemand en  deelt diegene je adres op het internet?  

Of heb je een boze ex die een intieme foto van jou verspreidt via WhatsApp…
met je telefoonnummer erbij?

Misschien krijg je zo’n bericht wel  eens doorgestuurd van iemand?

Dat mag dus niet.
Sinds 1 januari 2024 kan doxing leiden  tot een gevangenisstraf of een geldboete.

Ben je zelf slachtoffer van doxing, dan  kun je aangifte doen bij de politie.
Die probeert de dader te vinden.

Het helpt om screenshots te maken en tekstberichten en e-mails te bewaren.

Je kunt ook proberen de informatie offline te halen.


Doe dat zelf bij het online platform.

Of vraag hulp bij HelpWanted.
Zoek ook steun bij familie, vrienden of de huisarts.

Weten wat je zelf kunt doen tegen doxing of hoe je een slachtoffer helpt?

Ga naar rijksoverheid.nl/doxing

Maatregelen tegen doxing

Vanaf 1 januari 2024 zijn er meer mogelijkheden om doxing te bestrijden. Zo kunnen:

  • slachtoffers aangifte doen van doxing;
  • daders makkelijker vervolgd en bestraft worden;
  • politie en het Openbaar Ministerie na een aangifte direct een opsporingsonderzoek starten. Eerder kon dit alleen als er ook andere strafbare feiten waren gepleegd, zoals bedreiging;
  • slachtoffers gerichter hulp krijgen bij het verwijderen van gegevens, bijvoorbeeld via HelpWanted of door een bevel van de officier van justitie;
  • platforms makkelijker beoordelen of persoonsgegevens verwijderd moeten worden.

Maximale straf voor doxing

Voor doxing staat maximaal 2 jaar gevangenisstraf of een geldboete van € 22.500. De maximale gevangenisstraf kan met een derde verhoogd worden, als de doxing gericht is tegen personen met een specifiek beroep. Zoals politici, rechters, journalisten of hulpverleners. 

Doxing, ofwel het delen van iemands persoonsgegevens met als doel deze persoon te intimideren. We zien het steeds vaker en in steeds extremere vormen. Tegen politieagenten, journalisten, hulpverleners, politici. De mensen die dagelijks strijden voor onze veiligheid en onze rechtsstaat kunnen hierdoor niet meer onbezorgd hun mening verkondigen, of zijn niet meer in staat hun werk te doen. Maar ook andere mensen krijgen ermee te maken. Denk bijvoorbeeld aan iemand met een boze ex, die erachter komt dat persoonlijke gegevens online zijn gedeeld om hen angst aan te jagen. Daar mag je niet zomaar mee wegkomen. Daarom is doxing vanaf nu strafbaar.

Wat betekent dit? 

Heel concreet betekent het strafbaar stellen het volgende: als je iemand doxt, bijvoorbeeld om diegene bang te maken, veel last te bezorgen, of moeilijkheden te geven in hun werk, dan kun je daarvoor een gevangenisstraf of een geldboete krijgen.

Doe je dit bij mensen met bepaalde specifieke beroepen, zoals journalisten, advocaten, of politieagenten, dan kan dat ertoe leiden dat je straf zwaarder wordt.

Waarom is deze wet zo belangrijk? 

We leven in een land waarin iedereen het recht heeft om zijn of haar mening te uiten. Als je dat doet en je vrijheden vervolgens worden ingeperkt omdat je gegevens op straat komen te liggen, dan mogen we dat niet accepteren. Veel intimiderend gedrag is al strafbaar, maar het delen van persoonsgegevens was dat niet. Tot nu dus! Met deze nieuwe wet kunnen politie en Openbaar Ministerie eerder en makkelijker optreden tegen doxing.


Als jij gedoxt wordt, bedenk dan dat je er niet alleen voor staat. Zoek hulp en doe in elk geval aangifte bij de politie.