Is het strafbaar om andermans data te wissen omdat er anders sprake is van een datalek?
woensdag 29 juli 2020, 11:12 door Arnoud Engelfriet, 26 reacties
Heb jij een interessante vraag op het snijvlak van privacy, cybersecurity en recht? Stuur je vraag naar juridischevraag@security.nl. Elke week geeft ict-jurist Arnoud Engelfriet in deze rubriek antwoord.
Juridische vraag: Recent kwam in het nieuws dat duizenden onbeveiligde databases worden gewist door een aanvaller die alleen het woord "Meow" achterlaat. Het gaat om per abuis onbeveiligd toegankelijke databases, soms met en soms zonder persoonsgegevens. Het motief is onduidelijk, dus nu vroeg ik me af of je dit zou kunnen rechtvaardigen vanuit zaakwaarneming? Die bedrijven veroorzaken datalekken, dat moet zo snel mogelijk gestopt dus dan zelf maar ingrijpen?
Antwoord: Als ik de berichtgeving goed begrijp, dan gaat het om een robot die het internet afzoekt naar bekende plekken waar databases wel eens per abuis worden neergezet. Het is natuurlijk niet de bedoeling, maar helaas worden zulke databases nog wel eens ergens in productie genomen waar ze direct benaderbaar zijn via internet.
De motieven van de dader lijken onduidelijk - de speculatie is "omdat het kan", er wordt immers geen nadere informatie gegeven en alleen de term "meow" achtergelaten in de database. Dat past niet echt bij een white hat hacker die datalekken wil stoppen. Maar een bijeffect is wel dat een hoop datalekken zo opgeruimd worden.
Het gaat me te ver om te zeggen dat dit legitiem kan zijn als een vorm van zaakwaarneming. Bij zaakwaarneming bemoei je je met andermans zaken omdat daar een onmiddellijke noodzaak voor is. Je ziet een vlam in de pan bij de buurman die even naar buiten was, je slaat een ruitje in en draait het gas uit. Zoiets.
Het is bij die vlam niet nodig eerst de buurman te vragen (als je weet dat die er niet is) of dat wel mag, de noodzaak is evident dus grijp je in. Maar bij zo'n open database ligt dat anders voor mij, dan is contact opnemen wel echt nodig. Alleen: er staat zelden bij van wie de database is, laat staan hoe je de FG van dat bedrijf benadert om het datalek te melden. Dat maakt het dus even lastig.
Het is strafbaar om andermans data te wissen of ontoegankelijk te maken, ook als je meent dat die data toegankelijk is vanwege een datalek. Het moet wel een heel acute en grote situatie zijn wil wissen door een derde ook maar enigszins gerechtvaardigd zijn. Ik kan dat niet bedenken, in ieder geval niet zonder discussie met de eigenaar.
Alleen weet ik niet wat dan wél te doen met zo'n openbare database waar geen contactgegevens bij staan. Jullie wel?
Arnoud Engelfriet is Ict-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. Hij schreef twee boeken, De wet op internet en Security: Deskundig en praktisch juridisch advies.
Reacties (26)
Maar een bijeffect is wel dat een hoop datalekken zo opgeruimd worden.
Datalekken in de zin waarin een gewoon persoon deze zou definieren ja: data die (potentieel) in handen van onbevoegden kan komen.Maar in de zin van de AVG is het wissen van persoonsgegevens OOK een datalek! Dus als dit je gebeurt met een database van je bedrijf dan moet je dat evengoed bij AP melden als datalek! In die zin is er dus geen datalek "opgeruimd" of "voorkomen" dus.
Wanneer je anno 2020 een publiek toegankelijke database hebt met andermans informatie erin dan vind ik persoonlijk dat het wel vergelijkbaar is met een vlam in de pan bij de buren.
Buren die al een gratis airfryer hebben gekregen en toch liever met ossewit gaan koken met een 40 liter pan op een gasbrandertje van de camping onder een polyester gespannen driekanten doek in de keuken.
Jammer dat alleen de meeste rechters nog in de eeuw leven van heksen verbranden.
Buren die al een gratis airfryer hebben gekregen en toch liever met ossewit gaan koken met een 40 liter pan op een gasbrandertje van de camping onder een polyester gespannen driekanten doek in de keuken.
Jammer dat alleen de meeste rechters nog in de eeuw leven van heksen verbranden.
Als je de beheerder niet kunt achterhalen dan benader je de hosting provider / colo provider.
Alleen weet ik niet wat dan wél te doen met zo'n openbare database waar geen contactgegevens bij staan. Jullie wel?
Je zou de DB kunnen encrypten en de key naar het bedrijf sturen.Daar zitten allerlei haken en ogen aan, maar: data blijft op zich toegankelijk voor het bedrijf, maar de onmiddellijke publieke toegang is wel tegengehouden.
Hugo.
29-07-2020, 12:04 door
Reinder
Bij zaakwaarneming bemoei je je met andermans zaken omdat daar een onmiddellijke noodzaak voor is. Je ziet een vlam in de pan bij de buurman die even naar buiten was, je slaat een ruitje in en draait het gas uit. Zoiets.
Het probleem met real-world analogieën is natuurlijk dat ze op het Internet vaak slecht opgaan. De buurman uit het voorbeeld is onderhevig aan de beperkingen van de echte wereld. Waarschijnlijk is hij die enige die op dat moment ter plaatse is, de enige die het ziet, en tevens de enige die kan ingrijpen. Op het Internet gaan die regels natuurlijk niet op; als de database toegankelijk is zonder beveiliging, is die bereikbaar en toegankelijk voor de gehele wereld, en de kans dat iemand anders diezelfde database gaat vinden is dan ook bijzonder veel groter dan de kans dat iemand anders dan een buurtbewoner die vlam in de pan ziet. Ik denk dat het gerechtvaardigd is om te stellen dat bij dat veel realistischer en groter risico ook een andere interpretatie van "zaakwaarneming" past. In dit geval, wegens het ontbreken van verder informatie, dus het wegnemen van het risico. Zoals het dichtdraaien van de gaskraan het probleem oplost, zo ook lost het weghalen van de data daar het probleem op.
Wanneer je anno 2020 een publiek toegankelijke database hebt met andermans informatie erin dan vind ik persoonlijk dat het wel vergelijkbaar is met een vlam in de pan bij de buren.
Persoonlijke meningen hebben juridisch helaas weinig waarde.
Door Anoniem: Wanneer je anno 2020 een publiek toegankelijke database hebt met andermans informatie erin dan vind ik persoonlijk dat het wel vergelijkbaar is met een vlam in de pan bij de buren.
Je hebt een ontzettende tunnelvisie dat meest erge dat kan gebeuren is dat data lekt .
Je overweegt niet de mogelijkheid dat _verlies_ van de data vele malen ergen kan zijn dat lekkage.
Een 'vlam in de pan bij de buren' is daarom geen goede analogie.
Zou, hypothetisch , een bedrijf failliet gaan omdat een zelfbenoemde dataheld besloot alles te wissen waar hij bij kon - dan zou die dataheld naar ik verwacht daar zeer zeker voor aansprakelijk zijn. En "maar hullie deden het fout want iemand die keek kon het zien" is daar geen excuus voor.
Door Anoniem: Wanneer je anno 2020 een publiek toegankelijke database hebt met andermans informatie erin dan vind ik persoonlijk dat het wel vergelijkbaar is met een vlam in de pan bij de buren.
Zou je even nader kunnen toelichten wat je *precies* bedoelt met "publiek toegankelijk" en "andermans informatie"?!? Want voor een rechter wordt elk woord gewikt en gewogen, zijn punten en komma's belangrijk.
Publiek toegankelijk - is dat helemaal zonder wachtwoord en met een webbrowser? Of ook met een default wachtwoord? Of met een specifieke client applicatie? Of als ik er een klein scriptje tegenaan moet gooien? Of een specifieke exploit? En in hoeverre mag jij kijken of de informatie van een ander is? Hoe veel mag je grasduinen in de data in de hoop "andermans informatie" tegen te komen?
Ik ben me er van bewust dat het conservatoir bewijsbeslag zich niet leent voor dit soort gevallen, maar kan men het niet zo wringen (bv. via een collectieve actie procedure) om de toegang tot de database te blokkeren door middel van een rechterlijk verlof?
Door Anoniem:
Daar zitten allerlei haken en ogen aan, maar: data blijft op zich toegankelijk voor het bedrijf, maar de onmiddellijke publieke toegang is wel tegengehouden.
Hugo.
Alleen weet ik niet wat dan wél te doen met zo'n openbare database waar geen contactgegevens bij staan. Jullie wel?
Je zou de DB kunnen encrypten en de key naar het bedrijf sturen.Daar zitten allerlei haken en ogen aan, maar: data blijft op zich toegankelijk voor het bedrijf, maar de onmiddellijke publieke toegang is wel tegengehouden.
Hugo.
Dan kan je toch net zo goed gewoon de melding naar het bedrijf sturen, hoef je niks voor te encrypten.
Door Anoniem:
Maar in de zin van de AVG is het wissen van persoonsgegevens OOK een datalek! Dus als dit je gebeurt met een database van je bedrijf dan moet je dat evengoed bij AP melden als datalek! In die zin is er dus geen datalek "opgeruimd" of "voorkomen" dus.
Maar een bijeffect is wel dat een hoop datalekken zo opgeruimd worden.
Datalekken in de zin waarin een gewoon persoon deze zou definieren ja: data die (potentieel) in handen van onbevoegden kan komen.Maar in de zin van de AVG is het wissen van persoonsgegevens OOK een datalek! Dus als dit je gebeurt met een database van je bedrijf dan moet je dat evengoed bij AP melden als datalek! In die zin is er dus geen datalek "opgeruimd" of "voorkomen" dus.
Maar de ongeautoriseerde inzage van die 'derde persoon/hacker' op voorhand is al een datalek.
Of je het bij de AP moet melden is nog maar de vraag. Er bestaat geen meldplicht voor alle datalekken.
"Alleen weet ik niet wat dan wél te doen met zo'n openbare database waar geen contactgegevens bij staan. Jullie wel?"
Verkopen op het darkweb :P
Verkopen op het darkweb :P
Juristen hebben mij geleerd elk antwoord over een juridische vraag te beginnen met: Dat ligt eraan. De omstandigheden zijn zozeer van belang dat die rechtmatigheid dan wel onrechtmatigheid bepalen.
Aanvullend wat hierboven al is genoemd:
- Openbaarheid van data op zich hoeft niet verkeerd te zijn. Bijvoorbeeld: de data kan bedoeld openbaar zijn.
- Wissen van data op zich hoeft niet automatisch ook een datalek te zijn. Bijvoorbeeld: de data kan nog steeds binnen die organisatie beschikbaar zijn. Dan is het wissen van die data niet automatisch schadelijk voor betrokkenen.
Aanvullend wat hierboven al is genoemd:
- Openbaarheid van data op zich hoeft niet verkeerd te zijn. Bijvoorbeeld: de data kan bedoeld openbaar zijn.
- Wissen van data op zich hoeft niet automatisch ook een datalek te zijn. Bijvoorbeeld: de data kan nog steeds binnen die organisatie beschikbaar zijn. Dan is het wissen van die data niet automatisch schadelijk voor betrokkenen.
Door Anoniem:
Daar zitten allerlei haken en ogen aan, maar: data blijft op zich toegankelijk voor het bedrijf, maar de onmiddellijke publieke toegang is wel tegengehouden.
Hugo.
Alleen weet ik niet wat dan wél te doen met zo'n openbare database waar geen contactgegevens bij staan. Jullie wel?
Je zou de DB kunnen encrypten en de key naar het bedrijf sturen.Daar zitten allerlei haken en ogen aan, maar: data blijft op zich toegankelijk voor het bedrijf, maar de onmiddellijke publieke toegang is wel tegengehouden.
Hugo.
Met "de key naar het bedrijf sturen" verlies je de voorwaarde "waar geen contactgegevens bij staan" een beetje uit het oog.
Ik zou een abuse contact voor het domein/ip-adres waar de db draait opzoeken en daar melding te maken, zij weten vast wie iets aan die melding heeft.
Je zou de DB kunnen encrypten en de key naar het bedrijf sturen.
Daar zitten allerlei haken en ogen aan, maar: data blijft op zich toegankelijk voor het bedrijf, maar de onmiddellijke publieke toegang is wel tegengehouden.
Daar zitten allerlei haken en ogen aan, maar: data blijft op zich toegankelijk voor het bedrijf, maar de onmiddellijke publieke toegang is wel tegengehouden.
Je zou ook het bedrijf kunnen inlichten zonder schade aan te richten. En ja, database encrypted en key verschaffen is ook schade aan richten, bijvoorbeeld als je daarmee de bedrijfsactiviteiten stil legt. Enige logica om op een normale manier iets te melden, zonder aan de data te komen, lijkt sommigen vreemd.
Ik zou een abuse contact voor het domein/ip-adres waar de db draait opzoeken en daar melding te maken, zij weten vast wie iets aan die melding heeft.
Vele malen logischer, dan een criminele handeling, zoals databases van derden versleutelen.
Wie heeft vastgesteld dat dit een datalek is? Een telefoongids staan ook privacy gegevens in, echter als ieder persoon heeft aangegeven akkoord te gaan de gegeven publiek beschikbaar te stellen, en de gegevens worden volgens de bedoelde service verwerkt, dan is dit geen datalek. De database is weleens slecht beveiligd, maar dat is dan voor risico van de database eigenaar.
Het verwijderen van gegevens is naar mijn inzien strafbaar. Alleen het verwijderen van je eigen record is te verantwoorden, omdat je zelf eigenaar bent van je eigen gegevens.
Het verwijderen van gegevens is naar mijn inzien strafbaar. Alleen het verwijderen van je eigen record is te verantwoorden, omdat je zelf eigenaar bent van je eigen gegevens.
Door Anoniem: Maar de ongeautoriseerde inzage van die 'derde persoon/hacker' op voorhand is al een datalek.
Of je het bij de AP moet melden is nog maar de vraag. Er bestaat geen meldplicht voor alle datalekken.
daat denkt het AP heel anders over want elke verkeerd geadresseerde brief moet gemeld worden. Het voordeel voor het AP is een ongekende macht en controle boven alles met de gewenste groei in budget en omvang met natuurlijke hogere beloningen voor de topOf je het bij de AP moet melden is nog maar de vraag. Er bestaat geen meldplicht voor alle datalekken.
Een wat meer in detail. De website van het AP ligt er op dit moment uit, Je kunt nog wel een datelekmelding doen.
Zou dat er uit liggen van een website nu een datalek zijn? .
Tsja het is wat met dingen die wel of niet mogen en geen zak voorstellen en zwaar gestraft worden.. terwijl andere dingen die impact hebben op mensenlevens en dus de ziel met een luttele "foei" wordt afgewezen.
Zo is er in Nederland een afgewerkte dodenlijst van buitenlandse geheime diensten maar een terrorist als
Dzjochar Tsarnajev wordt vandaag weer vrijgesproken van een death penalty.
Hou je volk angstig en ontevreden dan kun je de mieren onder de loep in de hete zon goed te bestuderen.
Zo is er in Nederland een afgewerkte dodenlijst van buitenlandse geheime diensten maar een terrorist als
Dzjochar Tsarnajev wordt vandaag weer vrijgesproken van een death penalty.
Hou je volk angstig en ontevreden dan kun je de mieren onder de loep in de hete zon goed te bestuderen.
01-08-2020, 06:00 door
botbot
Men vergeet hier wel eventjes 1 ding. Gemakshalve. Wie zegt dat het niet de bedoeling was op een open database server aan het internet te hebben. Met of zonder persoonsgegevens. Je weet niet hoe die data verkregen is. Klaar. Die data kan we verkregen zijn doordat mensen een formuliertje hebben ingevuld:
vul hier een email adres in: ______________ en maak kans op een gratis Telsa Model X, let op! Je email adres wordt wel vrijgegeven in een open database. Gaat u hiermee akkoord? [ ] Ja [ ] Nee.
Weet ik veel? Ik noem maar wat.
Het hebben van een open database is geen brandende keuken. Ongeacht de inhoud van de database. Tevens staat er ook bij dat het niet *altijd* gaat om persoonsgegevens. Dan is het helemaal niet aan een ander om te bepalen of die data weggehaald mag worden of niet.
Is het dom om een database zo open aan het internet te hangen? Ja tuurlijk. Misschien gaat het om een dev database met random dummy data. En bestaat die data gewoon random letters, dan nog kan het heel irritant zijn als hij leeg gehaald wordt. En dat kan de eigenaar geld kosten om opnieuw in te richten. Het is simpelweg een vorm van eigenrichting om maar te bepalen dat de data weg kan, alleen maar omdat de database open aan het internet hangt.
Je mag niet inbreken omdat de voordeur open stond. Is het DOM? Ja. Maar het is nog steeds zo dan domheid an sich niet verboden is.
vul hier een email adres in: ______________ en maak kans op een gratis Telsa Model X, let op! Je email adres wordt wel vrijgegeven in een open database. Gaat u hiermee akkoord? [ ] Ja [ ] Nee.
Weet ik veel? Ik noem maar wat.
Het hebben van een open database is geen brandende keuken. Ongeacht de inhoud van de database. Tevens staat er ook bij dat het niet *altijd* gaat om persoonsgegevens. Dan is het helemaal niet aan een ander om te bepalen of die data weggehaald mag worden of niet.
Is het dom om een database zo open aan het internet te hangen? Ja tuurlijk. Misschien gaat het om een dev database met random dummy data. En bestaat die data gewoon random letters, dan nog kan het heel irritant zijn als hij leeg gehaald wordt. En dat kan de eigenaar geld kosten om opnieuw in te richten. Het is simpelweg een vorm van eigenrichting om maar te bepalen dat de data weg kan, alleen maar omdat de database open aan het internet hangt.
Je mag niet inbreken omdat de voordeur open stond. Is het DOM? Ja. Maar het is nog steeds zo dan domheid an sich niet verboden is.
01-08-2020, 06:04 door
botbot
Door Anoniem: "Alleen weet ik niet wat dan wél te doen met zo'n openbare database waar geen contactgegevens bij staan. Jullie wel?"
Verkopen op het darkweb :P
Verkopen op het darkweb :P
Hetzelfde als bij een fiets die je niet afgesloten op straat ziet staan. Afblijven.
01-08-2020, 07:31 door
Eric-Jan H te D
Zou het niet mooi zijn om de database beveiligd achter te laten ipv te wissen ;-)
Door Eric-Jan H te D: Zou het niet mooi zijn om de database beveiligd achter te laten ipv te wissen ;-)
Inderdaad. Wel wat lastig om
a) anoniem te blijven
b) de onbekende beheerders van de db te benaderen
c) het te beveiligen zonder contact, want dan zul je de login gegevens toch moeten openbaren, en is het alsnog onveilig.
Aan de ene kant zou het wel mooi zijn, aan de andere kant leren de beheerders dan nog steeds niet wat ze moeten doen.
Dan krijg je een beetje het email-probleem. Email (pop3/imap/smtp) is het grootste gedocht dat er bestaat op internet, een crime om te beheren, veel te veel misbruik, spam, malwareverpreiding, virusverspreiding, phishing, onbetrouwbaar, niet geencrypt, en elke lul kan ermee om gaan omdat de beheerders van email-servers achter de schermen door allerlei hoepels springen om het ook voor de nitwits die 17,5 miljoen PDF mails van 25MB rond gaan pompen vanuit hun websjop want: "Ja dat kan toch gewoon", om vervolgens te gaan klagen bij de provider: "Dat het stuk is" , waarna de provider weer door hoepels gaat springen om het toch enigsinds te fixen voor ze, om volgende maand weer hetzelfde riedeltje te krijgen van de websjop-beheerders.
Nee dat moet je ook niet willen. Dan ben ik eigenlijk eerder gezegd nog voorstander van: "Tyf die boel maar leeg".
Maar de beste oplossing is natuurlijk gewoon simpelweg dat de beheerder van de database door hoepels moet springen om het *onveilig* neer te zetten. Dat hij default simpelweg gewoon de keuze heeft uit:
a) een veilige db opzetten, en dat proces zo gebruiksvriendelijk mogelijk maken
b) heeeeel ingewikkeld moet gaan zitten doen om het openbaar aan het internet te hangen.
Dat zou imho de meeste problemen al oplossen. Puntje is wel dat alle database-aanbieders eraan mee moeten werken.
PostgreSQL, MySQL, MariaDB, MSSQL, iedereen. Want anders kiezen de websjop eigenaars gewoon voor AndereDB, die wel "makkelijk" te installeren is.
Het ligt er nog steeds aan: bevat die database alleen de gegevens van bijvoorbeeld Chinezen in China? Dan is de Europese GDPR helemaal niet van toepassing... Er wordt in de casus te makkelijk van uit gegaan dat onze wetgeving geldig is.
Mag je zo'n database veranderen in Meow? Ik kan me niet voorstellen dat het onder enige omstandigheid 'mag'.
Mag je zo'n database veranderen in Meow? Ik kan me niet voorstellen dat het onder enige omstandigheid 'mag'.
Door Anoniem: Het ligt er nog steeds aan: bevat die database alleen de gegevens van bijvoorbeeld Chinezen in China? Dan is de Europese GDPR helemaal niet van toepassing... Er wordt in de casus te makkelijk van uit gegaan dat onze wetgeving geldig is.
Wel als de database binnen de EU wordt gehost. De GDPR maakt geen onderscheid op basis van data-subject. Het gaat immers om alle verwerkingen van alle natuurlijke personen in de EU, ongeacht hun nationaliteit.
Door [Account Verwijderd]:
Wel als de database binnen de EU wordt gehost. De GDPR maakt geen onderscheid op basis van data-subject. Het gaat immers om alle verwerkingen van alle natuurlijke personen in de EU, ongeacht hun nationaliteit.
Door Anoniem: Het ligt er nog steeds aan: bevat die database alleen de gegevens van bijvoorbeeld Chinezen in China? Dan is de Europese GDPR helemaal niet van toepassing... Er wordt in de casus te makkelijk van uit gegaan dat onze wetgeving geldig is.
Wel als de database binnen de EU wordt gehost. De GDPR maakt geen onderscheid op basis van data-subject. Het gaat immers om alle verwerkingen van alle natuurlijke personen in de EU, ongeacht hun nationaliteit.
'Chinezen in China'. Nee dus volgens je eigen verhaal.
Ik denk dat het gerechtvaardigd is om te stellen dat bij dat veel realistischer en groter risico ook een andere interpretatie van "zaakwaarneming" past. In dit geval, wegens het ontbreken van verder informatie, dus het wegnemen van het risico. Zoals het dichtdraaien van de gaskraan het probleem oplost, zo ook lost het weghalen van de data daar het probleem op.
Mm dus een auto van de buurman die hem niet op slot heeft zet je dan maar in je eigen garage om zo het risico maar weg te nemen dat ie gestolen word?
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Cybersecurity Trainer / Full Stack Developer
Ben je toe aan een nieuwe job waarmee je het verschil maakt? Wil jij je security kennis graag delen en hands-on laten zien hoe cybersecurity in de praktijk echt werkt? Werk je net als wij graag samen met enthousiaste en gedreven collega's? Bij ons geen bureaucratie maar open communicatie en een werkomgeving gericht op samenwerking.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?