image

Ben ik strafbaar als ik de zoekmachine van HaveIBeenPwned gebruik?

zondag 4 maart 2018, 13:27 door Arnoud Engelfriet, 25 reacties

Ict-jurist Arnoud Engelfriet geeft elke week antwoord op een interessante vraag over beveiliging, recht en privacy. Heb jij een vraag? Stuur hem naar juridischevraag@security.nl.

Vraag: Vorige week zette beveiligingsonderzoeker Troy Hunt meer dan 500 miljoen gelekte wachtwoorden online. Met zijn zoekmachine kun je in bijna 4,9 miljard gestolen records kijken of je credentials ooit bij een website zijn gestolen. Maar is dit wel legaal? Hij heeft nu immers een gigantische hoeveelheid gestolen gegevens in zijn bezit. Is dat heling? Ben ik strafbaar als ik dit gebruik?

Antwoord: Nee, je bent niet strafbaar als je via HaveIBeenPwned.com kijkt of je wachtwoord ergens gelekt is.

Het is natuurlijk strafbaar om met een gestolen of gelekt wachtwoord op andermans account in te breken. Ook als het wachtwoord ondertussen publiekelijk bekend is geworden en ook als men nalatig is met het aanpassen van het wachtwoord. Het is en blijft andermans account, en dus computervredebreuk als je daar willens en wetens op inlogt.

Het is echter ook strafbaar (art. 139d lid 2 Strafrecht) om een "computerwachtwoord, toegangscode of daarmee vergelijkbaar gegeven waardoor toegang kan worden gekregen tot een geautomatiseerd werk of een deel daarvan" voorhanden te hebben, beschikbaar te stellen of te verspreiden. Vereist is dan wel dat je dit doet met het oogmerk dat iemand er computervredebreuk mee gaat Ben ik strafbaar als ik de zoekmachine van HaveIBeenPwned gebruik?plegen (of vertrouwelijke communicatie mee gaat afluisteren).

Het is dat oogmerk waardoor Hunts site legaal is. Het doel van die site is zo evident niet om inbreken makkelijker te maken dat ik er geen seconde aan twijfel dat hier niet op vervolgd wordt. De site is opgezet om mensen te informeren en te laten checken of hun account gehackt is. Natuurlijk zou je dat met andermans mailadres of accountnaam kunnen controleren, maar het lijkt onmogelijk om enkel met een mailadres te komen tot een wachtwoord of hash daarvan.

Wie op de homepage een mailadres invult, krijgt een lijst van sites waar een account behorende bij dat mailadres is gecompromitteerd, maar geen hashes of wachtwoorden die daarbij hoorden. Je kunt ook zoeken op wachtwoord, maar dan krijg je geen e-mailadressen te zien of zelfs maar sites waar deze gelekt zijn. Ook kun je wachtwoorden downloaden als groot zipbestand, maar ook dan krijg je verder geen informatie.

Ik zie dus nergens een manier om misbruik te maken van die gegevens. En daarmee kan er geen sprake zijn van een strafbaar feit.

Arnoud Engelfriet is Ict-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. Hij schreef twee boeken, De wet op internet en Security: Deskundig en praktisch juridisch advies.

Reacties (25)
04-03-2018, 14:05 door Anoniem
Het feit dat je kunt zien in welk lek een e-mailadres is gevonden kan potentieel wel misbruik mogelijk maken. Dat iemand een account bij eeb websites zoals adultfriendfinder heeft is misschien niet direct iets waarmee iemand te koop wil staan. Dat maakt iemand potentieel chantabel. Het zou dus beter zijn als deze informatie naar dat e-mailadres gestuurd zou worden.
04-03-2018, 16:42 door Anoniem
Arnoud, je probeert ons wijs te maken dat het oogmerk om anderen te informeren de ultieme escape is om van iets illegaals iets legaals te maken. Zo werkt het recht niet. Als je een rechter een oordeel moet geven zal deze zeker kijken naar eventueel nobele intenties, maar ook naar de proportionaliteit. En bij Troy Hunt is er een serieus gebrek aan proportionaliteit.

Hunt verzamelt alle persoonsgegevens waar hij maar zijn handen op kan leggen, zolang het maar lijkt of ze gelekt zijn. Het maakt Hunt niet uit waar die gegevens vandaan komen. Het maakt Hunt niet uit of ze echt gelekt zijn. Het maakt Hunt niet uit welke persoonsgegevens het zijn. Hunt kan niet aantonen of de gegevens echt zijn, Hunt kan niet aantonen of de gegevens echt gelekt zijn. Het enige wat je zeker weet als je bij Hunt je gegevens laat vergelijken is of je persoonsgegevens bij hem in bezit zijn. Daar is niets proportioneels en nobels aan, ook al wil Hunt je dat graag doen geloven. Ook valt er veel af te dingen op hoe Troy Hunt om gaat met miljarden persoonsgegevens die niet aan hem toebehoren. Hunt kan niet aantonen of de gegevens bij hem in goede handen zijn en waarom het nodig is dat hij de gegevens zelf heeft. Als hij weet heeft dat er lekken zijn dan zou hij ook kunnen volstaan met het bewaren van de locaties waar de gegevens teruggevonden kunnen worden, wanneer ze gezien zijn en daarvoor persoonsgegevens als e-mailadressen of namen als hashes op te slaan met een link naar de bronnen. Maar dat vertikt Hunt, waarschijnlijk omdat hij dan zijn bronnen moet prijsgeven. Hunt speelt dus niet alleen met miljarden persoonsgegevens maar ook voor eigen rechter.

De wetgever was het al bekend dat persoonsgegevens hoe dan ook ooit kunnen lekken en je ze elders kan tegen komen. Daar is geen Troy Hunt voor nodig om dat te bewijzen. Zeker niet op de buitensporige wijze die Hunt het beste dunkt.

Ik zie wat Hunt doet als een vorm van handelen met illegaal verkregen persoonsgegevens. Het klinkt heel nobel, maar uiteindelijk doet Hunt het ook voor eigen gewin. Het levert een goede bijverdienste op om op conferenties te kunnen spreken, reiskosten en hotelovernachtingen betaald te krijgen, feestjes te bezoeken en het eigen netwerk van handelsrelaties uit te breiden. Guru spelen is niet enkel nobel, al willen guru's dat graag laten geloven om hun eigen ruitjes niet in te gooien. Of dat alles proportioneel is laat ik liever aan een rechter dan aan een of andere jurist met een karig onderbouwde mening.
04-03-2018, 16:51 door Anoniem
Door Anoniem: Het feit dat je kunt zien in welk lek een e-mailadres is gevonden kan potentieel wel misbruik mogelijk maken. Dat iemand een account bij eeb websites zoals adultfriendfinder heeft is misschien niet direct iets waarmee iemand te koop wil staan. Dat maakt iemand potentieel chantabel. Het zou dus beter zijn als deze informatie naar dat e-mailadres gestuurd zou worden.

Dat gebeurt dan ook voor zulke gevoelige sites. Daar kan je niet naar zoeken zonder je emailadres eerst te bevestigen. Staat gewoon op de site uitgelegd.
04-03-2018, 19:34 door Anoniem
Toch even een testje gedaan:


Oh no — pwned!

Pwned on 1 breached site and found no pastes (subscribe to search sensitive breaches)

Notify me when I get pwned Donate

Breaches you were pwned in

A "breach" is an incident where a site's data has been illegally accessed by hackers and then released publicly. Review the types of data that were compromised (email addresses, passwords, credit cards etc.) and take appropriate action, such as changing passwords.
Adobe logo

Adobe: In October 2013, 153 million Adobe accounts were breached with each containing an internal ID, username, email, encrypted password and a password hint in plain text. The password cryptography was poorly done and many were quickly resolved back to plain text. The unencrypted hints also disclosed much about the passwords adding further to the risk that hundreds of millions of Adobe customers already faced.

Compromised data: Email addresses, Password hints, Passwords, Usernames

Dat is dus 5 jaar geleden en netjes een melding gehad van Adobe en ww gewijzigd.
04-03-2018, 21:13 door Anoniem
Door Anoniem: Arnoud, je probeert ons wijs te maken dat het oogmerk om anderen te informeren de ultieme escape is om van iets illegaals iets legaals te maken. Zo werkt het recht niet. Als je een rechter een oordeel moet geven zal deze zeker kijken naar eventueel nobele intenties, maar ook naar de proportionaliteit. En bij Troy Hunt is er een serieus gebrek aan proportionaliteit.

Gebrek aan proportionaliteit? Valt wel mee, hij geeft niet weer welk password voor een e-mailadres gebruikt is. Losse tabel waar je alleen e-mailadressen in opslaat. En een andere tabel voor enkel de passwords. Zonder tuple!
De diensten die hij aanbied zijn gewoon legitiem.

Het maakt Hunt niet uit of ze echt gelekt zijn. Het maakt Hunt niet uit welke persoonsgegevens het zijn.
Jij kan niets zeggen over hoe hij zijn database heeft ingericht! Hoe weet je dat hij andere "persoonsgegevens" opslaat?
Zijn database is naar mijn idee best verantwoord opgebouwd. Zolang er maar geen tuple is tussen email en password.

Als het geen gelekte database is, hoe komt hij er anders aan? Natuurlijk zijn die gewoon gelekt! Iets met klok en klepel. Je hebt blijkbaar commentaar terwijl je niet weet hoe scriptkiddies / anonymous / etc die databases publiceren.

Ik ben al jaren wachtwoordverzamelaar. Heb goed nagedacht over datamodel van mijn database, zodat het niet misbruikt kan worden. De ruwe (gelekte databases) data zijn extreem goed beschermd (encrypted op offline opslag). Mijn doel is een grafiek van gemiddeld wachtwoordgebruik per jaar (per domain en lekkage), er is voor mij dus geen reden om e-mailadressen (of andere gegevens) op te slaan.

Ik maak alleen gebruik van publiekelijke lekkages. Ik pleeg geen computervredebreuk.
Dit zou pas een probleem worden als ik alle bekende wachtwoorden per e-mailadres ga publiceren. Maar die data kan niet worden opgevraagd bij de gemaakte database.

Naar schatting heb ik 500 miljoen gebruikers (niet alle databases zijn geimporteerd, omdat ik conversie moet maken per software). Het grootste lek wat ik heb gevonden is ~45 miljoen gebruikers (.sql.tar.gz in world readable dir, nadat ik contact opnam zijn de bestanden verwijderd. en niemand anders had de bestanden gedownload).

Als ik met de juiste query's bij Google dit soort zooi kan vinden (en via social networks), lijkt me dit in ieder geval geen computervredebreuk. Ik gok dat Troy Hunt de zelfde methodes gebruikt. Dit is vrij triviaal.
04-03-2018, 21:38 door Anoniem

Ook kun je wachtwoorden downloaden als groot zipbestand, maar ook dan krijg je verder geen informatie.

Mensen hebben de gewoonte wachtwoorden te hergebruiken. Met een tooltje zou je een dergelijke wachtwoordenlijst kunnen loslaten op een passwordfile of WPA handshake en zelfs op slecht beveiligde webportals. Dergelijke gegevens publiceren kan dus zeker kwaad doen, keerzijde is dat beheerders snel kunnen controleren of veel gebruikers snel hun wachtwoorden moeten wijzigen.

Hoe dat juridisch zit is natuurlijk een ander verhaal. Mag je dan ook lijsten met codes van alarmsystemen of pincodes publiceren?
04-03-2018, 22:19 door Anoniem
Door Anoniem: Arnoud, je probeert ons wijs te maken dat het oogmerk om anderen te informeren de ultieme escape is om van iets illegaals iets legaals te maken. Zo werkt het recht niet. Als je een rechter een oordeel moet geven zal deze zeker kijken naar eventueel nobele intenties, maar ook naar de proportionaliteit. En bij Troy Hunt is er een serieus gebrek aan proportionaliteit.

[...]

Wat een belachelijke comment. Hoe Hunt data verzamelt, hoe hij ermee om gaat én hoe hij aantoont of data wel echt gelekt is beschrijft hij ontzettend uitvoerig op zijn blog. Misschien moet je die maar eens lezen...
05-03-2018, 04:26 door Anoniem
Door Anoniem:
Mag je dan ook lijsten met codes van alarmsystemen of pincodes publiceren?

0000
0001
.....
9998
9999. ben ik nu strafbaar?

Het gaat er om dat gepubliceerde gegevens niet te herleiden zijn tot een specifiek bedrijf/gebruiker/locatie. Als jou e-mail adres piet@example.com is, en je wachtwoord piet1234, dan vraag je er om. Als je wachtwoord asdFrfRffefGwf3242Fsf is, dan komt die niet eens voor in de top 1 miljoen passwords. En niemand kan raden waar het wifi-netwerk is wat ik met dat wachtwoord heb beveiligd.

Naar mijn mening zoek je problemen die er niet zijn.
05-03-2018, 08:51 door Anoniem
Door Anoniem:
Hoe dat juridisch zit is natuurlijk een ander verhaal. Mag je dan ook lijsten met codes van alarmsystemen of pincodes publiceren?

Ik kan jou wel een lijst met pincodes sturen hoor! Begint met 0000 en eindigt met 9999. Als je alle vijfcijferige pincodes wil, kan dat ook. Mag jij daar iemands account mee hacken.
05-03-2018, 09:45 door Anoniem
Door Anoniem: Arnoud, je probeert ons wijs te maken dat het oogmerk om anderen te informeren de ultieme escape is om van iets illegaals iets legaals te maken. Zo werkt het recht niet. Als je een rechter een oordeel moet geven zal deze zeker kijken naar eventueel nobele intenties, maar ook naar de proportionaliteit. En bij Troy Hunt is er een serieus gebrek aan proportionaliteit.

Hunt verz..... knip

Of dat alles proportioneel is laat ik liever aan een rechter dan aan een of andere jurist met een karig onderbouwde mening.

Als jij meent het te moeten opnemen tegen een jurist, doe dat dan niet anoniem. Arnoud geeft zijn mening en je maakt hem gewoon uit voor "een of andere jurist" met een "karig onderbouwde mening". Terwijl je blijk geeft van het niet gelezen te hebben van de uitleg van Troy over hoe hij met de gevonden wachtwoorden omgaat. En of de bron klopt, kom nou, als hij eraan kan komen kan een andere er ook aan komen en is dat voor mij bewijs dat de wachtwoorden en mail adressen op straat liggen. Je geeft zelfs blijk van het kennen van hoe een rechter iets zal beoordelen, heb jij daarvoor geleerd?

Laat ik dit zeggen, ik ben blij met Troy Hunt voor de manier waarop hij aan bewustwording doet, er is niks mis mee om daar wat aan te verdienen. En ik ben blij met "een juristje" als Arnoud, tenminste iemand die Internet begrijpelijk verjuridificeerd. (ohh een nieuw woord) maar jullie weten wel wat ik bedoel.
05-03-2018, 10:02 door Anoniem
Door Anoniem:
Hoe dat juridisch zit is natuurlijk een ander verhaal. Mag je dan ook lijsten met codes van alarmsystemen of pincodes publiceren?

Een lijst van dat soort codes is natuurlijk vrij simpel te tonen. Dit zijn meestal 4- tot 8-cijferige codes, dus in Excel zo aan te maken. Zolang je niet weet, wie, wat, waar gebruikt, totaal zinloos.
05-03-2018, 10:09 door User2048
Troy Hunt beheert een grote database met emailadressen. Emailadressen zijn persoonsgegevens. Voor zover ik kan nagaan heeft Troy Hunt geen wettelijke grondslag voor het verwerken van deze persoonsgegevens. Dus is hij illegaal bezig.
05-03-2018, 10:17 door Anoniem
Door Anoniem: Arnoud, je probeert ons wijs te maken dat het oogmerk om anderen te informeren de ultieme escape is om van iets illegaals iets legaals te maken. Zo werkt het recht niet. Als je een rechter een oordeel moet geven zal deze zeker kijken naar eventueel nobele intenties, maar ook naar de proportionaliteit. En bij Troy Hunt is er een serieus gebrek aan proportionaliteit.

Je draait het om. Het is legaal totdat het illegaal is en het voorhanden hebben van inlogdata is pas illegaal als er het oogmerk is om die te gebruiken voor inbraak of andere kwaadaardige doeleinden. Dat is hier niet het geval, dus is het niet illegaal. Nooit geweest ook.

Zo simpel is het.
05-03-2018, 10:56 door Anoniem
Door User2048: Troy Hunt beheert een grote database met emailadressen. Emailadressen zijn persoonsgegevens. Voor zover ik kan nagaan heeft Troy Hunt geen wettelijke grondslag voor het verwerken van deze persoonsgegevens. Dus is hij illegaal bezig.

gaan we pastebin dan ook de nek omdraaien?
05-03-2018, 11:02 door Anoniem
Door User2048: Troy Hunt beheert een grote database met emailadressen. Emailadressen zijn persoonsgegevens. Voor zover ik kan nagaan heeft Troy Hunt geen wettelijke grondslag voor het verwerken van deze persoonsgegevens. Dus is hij illegaal bezig.

Het ligt aan jouw definitie van "vitaal", maar ik zie echt wel een grondslag voor de verwerking.

Peter
05-03-2018, 11:36 door Anoniem
Dit lijkt me een verwerking van persoonsgegevens op zeer grote schaal waar geen wettelijke grondslag voor is.
Ik heb daar overigens al jaren een domain search staan en krijg, na domain verificatie netjes bericht wanneer hier hits op zijn waarna ik de betreffende gebruikers op de hoogte stel, maar juridisch gezien ben ik het deze keer niet met Arnoud eens, het oogmerk van de site maakt de verwerking niet ineens correct.
05-03-2018, 14:58 door Anoniem
Arnoud, je probeert ons wijs te maken dat het oogmerk om anderen te informeren de ultieme escape is om van iets illegaals iets legaals te maken. Zo werkt het recht niet. Als je een rechter een oordeel moet geven zal deze zeker kijken naar eventueel nobele intenties, maar ook naar de proportionaliteit. En bij Troy Hunt is er een serieus gebrek aan proportionaliteit.

Er is vooralsnog geen enkele aanwijzing dat je gelijk hebt, en dat Troy Hunt serieus het risico loopt veroordeeld te worden.
05-03-2018, 14:59 door Anoniem
Je draait het om. Het is legaal totdat het illegaal is en het voorhanden hebben van inlogdata is pas illegaal als er het oogmerk is om die te gebruiken voor inbraak of andere kwaadaardige doeleinden. Dat is hier niet het geval, dus is het niet illegaal. Nooit geweest ook.

Inderdaad.
05-03-2018, 15:00 door Anoniem
Voor zover ik kan nagaan heeft Troy Hunt geen wettelijke grondslag voor het verwerken van deze persoonsgegevens. Dus is hij illegaal bezig.

Wis jij ook even de email adressen en telefoon nummers die jij op slaat in jouw email pakket, of op jouw telefoon ? Immers heb jij geen wettelijke grondslag dergelijke zaken op te slaan. Daardoor ben je vast heel strafbaar bezig ! ;)
05-03-2018, 15:01 door Anoniem
Dat is dus 5 jaar geleden en netjes een melding gehad van Adobe en ww gewijzigd.

Mooi toch zo'n dubbele check ? En bij lang niet iedere breach zijn mensen zo netjes geinformeerd.
05-03-2018, 17:25 door Anoniem
Door Anoniem:
Voor zover ik kan nagaan heeft Troy Hunt geen wettelijke grondslag voor het verwerken van deze persoonsgegevens. Dus is hij illegaal bezig.

Wis jij ook even de email adressen en telefoon nummers die jij op slaat in jouw email pakket, of op jouw telefoon ? Immers heb jij geen wettelijke grondslag dergelijke zaken op te slaan. Daardoor ben je vast heel strafbaar bezig ! ;)

Maak het nog gekker.
Het is voor jou vitaal om die e-mail adres op te slaan om evt reactie te kunnen geven wanneer je een bericht hebt, richting de oorspronkelijke gebruiker. Dus gegevens opslaan in je e-mail pakket volstrekt legaal.
Troy hunts verwerking van e-mail adressen gebeurt volgens onze huidige normen op nette bewuste wijze, en in verbinding met site, doel van de site etc is ook hier gebruik en opslag van e-mail adressen & wachtwoorden legaal totdat zijn werk anders geinterpreteerd wordt. Aangezien zijn website gericht is op het bewust maken van gelekte e-mail adressen en wachtwoorden, zijn desbetreffende email adressen en wachtwoorden geheel vitaal voor het werken van zijn site. Daarmee is de discussie die ontstaan is, om Arnoud tegen te spreken volstrekt teniet gedaan. Jullie mogen met een betere argument komen.
05-03-2018, 19:24 door Anoniem
Best schokkend dat sommige hier van mening zijn dat privacy voor anderen er niet toe doet als iemand die persoonsgegevens verzamelt goede bedoelingen heeft. Terwijl het uitgangspunt van de wetgever in Nederland, en in veel andere landen, privacy zelfs zo belangrijk heeft gevonden dat het in de grondwet vast ligt schuiven een paar figuren die grondwet graag opzij. En waarmee? Ik lees geen sterke onderbouwingen als argumenten dat Troy Hunt proportioneel bezig is.

Claimen dat een grondwet te negeren is zou toch beter beargumenteerd moeten worden dan met zwakke antwoorden dat hij goed bezig zou zijn (dat is geen argument), iets legaal is totdat het tegendeel is bewezen (wat onzin is als er (grond)wetten zijn die bescherming centraal stellen tenzij er noodzakelijke uitzondering van toepassing is) of dat de wet niet zou gelden omdat hij maar enkele soorten persoonsgegevens zou opslaan (alsof niet de bescherming van persoonsgegevens maar het aantal soorten er toe zou doen). Wat is nou echt de meerwaarde van wat Troy Hunt met miljarden persoonsgegevens doet?
06-03-2018, 08:34 door Anoniem
Door Anoniem: Best schokkend dat sommige hier van mening zijn dat privacy voor anderen er niet toe doet als iemand die persoonsgegevens verzamelt goede bedoelingen heeft. Terwijl het uitgangspunt van de wetgever in Nederland, en in veel andere landen, privacy zelfs zo belangrijk heeft gevonden dat het in de grondwet vast ligt schuiven een paar figuren die grondwet graag opzij. En waarmee? Ik lees geen sterke onderbouwingen als argumenten dat Troy Hunt proportioneel bezig is.

Claimen dat een grondwet te negeren is zou toch beter beargumenteerd moeten worden dan met zwakke antwoorden dat hij goed bezig zou zijn (dat is geen argument), iets legaal is totdat het tegendeel is bewezen (wat onzin is als er (grond)wetten zijn die bescherming centraal stellen tenzij er noodzakelijke uitzondering van toepassing is) of dat de wet niet zou gelden omdat hij maar enkele soorten persoonsgegevens zou opslaan (alsof niet de bescherming van persoonsgegevens maar het aantal soorten er toe zou doen). Wat is nou echt de meerwaarde van wat Troy Hunt met miljarden persoonsgegevens doet?

Je hebt hier wel een betere argument dan de anderen, maar laat ik deze ook even bespreken. Proportioneel is een eigenschap die een verhouding bespreekt. de persoonsgegevens afwegen tegen hetgene wat ermee gedaan wordt. In het geval van de website van Troy Hunt wekt zijn website bewustwoording op, en zorgt ervoor dat mensen zich meer aan gaan trekken van hun eigen wegwerp handelingen. In dit geval het weggeven van persoonlijke gegevens aan websites waarvan de eigenaren ervan onvoldoende te vertrouwen zijn in het beschermen ervan.

Ik zou wel een onderbouwing voor het tweede deel van uw argument willen horen. Wat van die enkele soorten persoonsgegevens zou een onderbouwing zijn voor het onzorgvuldig omgaan met persoonsgegevens zijn? Er is namelijk al onderbouwing geweest voor de manier waarop Troy Hunt de persoonsgegevens scheidt en vervolgens terug aanlevert. Waarmee naar mijn mening en blijkbaar die van Arnoud in ieder geval is voldaan aan de huidige privacy wetgevingen.
06-03-2018, 10:19 door Anoniem
Wat mij verbaasd is dat mensen massaal hun wachtwoord bij zo'n dienst gaan lopen controleren.

Wie weet er precies was deze 'Troy' doet met alle zoekresultaten? Die zijn misschien nog wel veel interessanter dan de database zelf.
06-03-2018, 11:53 door Anoniem
Door Anoniem: Wis jij ook even de email adressen en telefoon nummers die jij op slaat in jouw email pakket, of op jouw telefoon ? Immers heb jij geen wettelijke grondslag dergelijke zaken op te slaan. Daardoor ben je vast heel strafbaar bezig ! ;)
Deze vergelijking is onzin. Persoonlijke contactenlijst is een verwerking "door een natuurlijke persoon bij de uitoefening van een zuiver persoonlijke of huishoudelijke activiteit" en valt dus buiten de scope van de Wbp / AVG. De website van Troy Hunt is dit niet en valt dus wel degelijk in het toepassingsgebied van de AVG.

Door User2048: Troy Hunt beheert een grote database met emailadressen. Emailadressen zijn persoonsgegevens. Voor zover ik kan nagaan heeft Troy Hunt geen wettelijke grondslag voor het verwerken van deze persoonsgegevens. Dus is hij illegaal bezig.
Ik zie wel degelijk een wettelijke grondslag, namelijjk "behartiging van de gerechtvaardigde belangen van de verwerkingsverantwoordelijke of van een derde". Het maatschappelijke belang van deze informatie bestaat wel degelijk en Troy probeert de gegevens zo te presenteren, dat de impact op de belangen van de betrokkene zo klein mogelijk is.

Het zoeken van een e-mailadres van een derde kan men ook nog als zinvol zien, zodat bijvoorbeeld de lezers van security.nl ook hun familie en kennis kunnen waarschuwen. Voor bepaalde websites weegt het belang van de betrokkene om deze informatie geheim te houden echter zwaarder (bijv. adultfriendfinder) en daarom bestaat deze mogelijkheid voor zulke websites niet. Hier kan enkel iemand met toegang tot de inbox van het e-mailadres dit opvragen. Men kan nog daarover discussiëren, of Troy de juiste websites als "sensitief" heeft gedeclareerd.

Troy maakt ook niet de lijst met passwords openbaar. Men kan wel een lijst met hash-waarden van de meest voorkomende downloaden. Het feit dat ze als hash worden gegeven maakt vrij duidelijk dat de lijst niet voor misbruik bedoeld is en ook niet (direct) hiervoor kan worden gebruikt. Als ik deze lijst voor computervredebreuk wil gebruiken, moet ik eerst zelf de hashes kraken, maar dan ben ik illegaal bezig en niet Troy.

Daarom ben ik het helemaal met Arnoud eens dat de website legaal is. Het gebruik van de website voor het bedoelde oogmerk is dan natuurlijk ook legaal. Als ik de website met een ander oogmerk gebruik, kan het wel illegaal zijn.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.