Uploads, Overheidswebsites en virusscanning

Virus

Het vraagstuk rondom virus-scanning en opschonen van geüploade bestanden lijkt in eerste instantie eenvoudig, maar wat nu als de overheid dit wil gaan doen. Tegen welke juridische en principiële problemen ga je aanlopen als je dit wilt gaan doen (als overheidsdienst zijnde).

Als IT-er zou je zeggen, alle uploads scannen en opschonen, heel eenvoudig en duidelijk. Dit is ook geen probleem in de commerciële wereld. Hoogstens moet je een vermelding hierover opnemen in je disclaimer. Maar voor de overheid gelden hier helaas andere  regels, of bestaat hier op zijn minst grote onduidelijkheid over.

Het probleem zit hem in het eigenaarschap van het document en het niet mogen aanpassen van uploads (en opschonen van een virus, past de inhoud aan.) Weigeren van mogelijk geïnfecteerde bestanden is ook niet toegestaan. Want wie garandeert dat er geen false positives voorkomen.

Wat er nu meestal wordt toegepast is een waarschuwingssysteem. Als iemand een ‘geïnfecteerd’ document upload, wordt het bestand aangemerkt als geïnfecteerd. Wil iemand later het document gaan gebruiken, wordt er een melding getoond dat het bestand mogelijk geïnfecteerd is en wordt de downloader verzocht het bestand zelf nogmaals te controleren.

Het is een omweg, en in eerste instantie lijkt dit een vreemde werkwijze. Maar op deze manier voldoe je als overheidsinstantie wel aan de verschillende regelgevingen.