Interessante vraag via Twitter:
Interessant vraagstuk, heb navraag gedaan bij #authoriteitpersoonsgegevens. Deze kan mij niet vertellen of “als een curator tijdens faill. afhandeling de domeinnamen laat verlopen” Het een ‘datalek’ is. #zouwelmoeten
De achterliggende gedachte is dat een ander de domeinnaam dan kan registreren en bijvoorbeeld mail bestemd voor het oude bedrijf kan opvangen. Daarmee zou die ander dan persoonsgegevens te pakken krijgen, zoals gegevens van oude klanten of zelfs gevoelige dossiers die worden nagemaild.
Een datalek onder de AVG is een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot misbruik of verlies van persoonsgegevens (artikel 4). Ik zie zeker wel hoe dit ‘kapen’ van de domeinnaam kan leiden tot enige vorm van misbruik va persoonsgegevens, maar ik zet mijn vraagtekens bij het element “inbreuk op de beveiliging”. Welke beveiliging wordt er immers doorbroken?
Ik kan een domeinnaam an sich moeilijk als een beveiligingsmaatregel zien, zodat het opheffen of laten verlopen daarvan (door een curator of gewoon uit slordigheid) volgens mij ook geen inbreuk of schending daarvan is. Het voelt wat creatief om te zeggen, de domeinnaam is deel van de beveiliging van de e-mail (want wie de domeinnaam beheerst, beheerst de routering van de mail) en het opheffen daarvan is dus een beveiligingsschending. Alsof de curator het mailserverwachtwoord op internet zet. Mja. Het kan, maar lekker voelt het niet.
Dat neemt niet weg dat het bepaald onzorgvuldig is om dit zomaar te doen, zelfs in een faillissement. Al is het maar omdat klanten en leveranciers gewoonlijk via de mail contact zullen zoeken, toch iets waar je rekening mee moet houden.
Arnoud
https://blog.iusmentis.com/2019/01/10/is-het-een-datalek-als-de-curator-een-domeinnaam-opheft/