Moet een organisatie bepaalde data onversleuteld beschikbaar houden?

22 juli 2019

Mag een organisatie sowieso alle data versleutelen als zij dat wil, of moet sommige informatie volgens de wet in een leesbaar formaat opgeslagen worden? Bijvoorbeeld omdat de Belastingdienst of Justitie dit eisen.

Er is in Nederland géén wetgeving die het gebruik van encryptie (versleuteling van gegevens) verbiedt of juist verplicht. De Algemene verordening persoonsgegevens (AVG) schrijft een adequate beveiliging van persoonsgegevens voor. In de praktijk zal dat vaak betekenen dat er encryptie moet worden toegepast op bestanden. Heel strikt genomen zouden ook andere oplossingen mogelijk moeten zijn, zolang dat er maar voor zorgt dat persoonsgegevens niet zomaar blootstaan aan misbruik of ongeautoriseerd gebruik. Wat de wet wél zegt, is dat encryptie ongedaan gemaakt moet worden als justitie gerechtigd is om toegang tot data te vorderen. Uw organisatie mag in zo’n situatie dus niet weigeren een wachtwoord of een sleutel af te geven als ze daarover beschikt. Deze voorwaarde geldt zowel voor de eigen bedrijfsdata als voor eventuele klantdata.

Uitzondering mogelijk

Het is dan weer niet zo dat een organisatie in staat móet zijn om versleutelde data te ontgrendelen. Als de klant op eigen houtje bepaalde data versleutelt en die bij een andere partij parkeert (zoals bij een online backup met zogeheten clientside encrypted data), dan is de organisatie niet verplicht een achterdeur of kopie van het wachtwoord te eisen. Wat u niet kunt ontgrendelen, hoeft u niet te ontgrendelen.