Is het strafbaar om andermans data te wissen omdat er anders sprake is van een datalek?
Heb jij een interessante vraag op het snijvlak van privacy, cybersecurity en recht? Stuur je vraag naar juridischevraag@security.nl. Elke week geeft ict-jurist Arnoud Engelfriet in deze rubriek antwoord.
Juridische vraag: Recent kwam in het nieuws dat duizenden onbeveiligde databases worden gewist door een aanvaller die alleen het woord "Meow" achterlaat. Het gaat om per abuis onbeveiligd toegankelijke databases, soms met en soms zonder persoonsgegevens. Het motief is onduidelijk, dus nu vroeg ik me af of je dit zou kunnen rechtvaardigen vanuit zaakwaarneming? Die bedrijven veroorzaken datalekken, dat moet zo snel mogelijk gestopt dus dan zelf maar ingrijpen?
Antwoord: Als ik de berichtgeving goed begrijp, dan gaat het om een robot die het internet afzoekt naar bekende plekken waar databases wel eens per abuis worden neergezet. Het is natuurlijk niet de bedoeling, maar helaas worden zulke databases nog wel eens ergens in productie genomen waar ze direct benaderbaar zijn via internet.
De motieven van de dader lijken onduidelijk - de speculatie is "omdat het kan", er wordt immers geen nadere informatie gegeven en alleen de term "meow" achtergelaten in de database. Dat past niet echt bij een white hat hacker die datalekken wil stoppen. Maar een bijeffect is wel dat een hoop datalekken zo opgeruimd worden.
Het gaat me te ver om te zeggen dat dit legitiem kan zijn als een vorm van zaakwaarneming. Bij zaakwaarneming bemoei je je met andermans zaken omdat daar een onmiddellijke noodzaak voor is. Je ziet een vlam in de pan bij de buurman die even naar buiten was, je slaat een ruitje in en draait het gas uit. Zoiets.
Het is bij die vlam niet nodig eerst de buurman te vragen (als je weet dat die er niet is) of dat wel mag, de noodzaak is evident dus grijp je in. Maar bij zo'n open database ligt dat anders voor mij, dan is contact opnemen wel echt nodig. Alleen: er staat zelden bij van wie de database is, laat staan hoe je de FG van dat bedrijf benadert om het datalek te melden. Dat maakt het dus even lastig.
Het is strafbaar om andermans data te wissen of ontoegankelijk te maken, ook als je meent dat die data toegankelijk is vanwege een datalek. Het moet wel een heel acute en grote situatie zijn wil wissen door een derde ook maar enigszins gerechtvaardigd zijn. Ik kan dat niet bedenken, in ieder geval niet zonder discussie met de eigenaar.
Alleen weet ik niet wat dan wél te doen met zo'n openbare database waar geen contactgegevens bij staan. Jullie wel?
Arnoud Engelfriet is Ict-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. Hij schreef twee boeken, De wet op internet en Security: Deskundig en praktisch juridisch advies.
Maar in de zin van de AVG is het wissen van persoonsgegevens OOK een datalek! Dus als dit je gebeurt met een database van je bedrijf dan moet je dat evengoed bij AP melden als datalek! In die zin is er dus geen datalek "opgeruimd" of "voorkomen" dus.
Buren die al een gratis airfryer hebben gekregen en toch liever met ossewit gaan koken met een 40 liter pan op een gasbrandertje van de camping onder een polyester gespannen driekanten doek in de keuken.
Jammer dat alleen de meeste rechters nog in de eeuw leven van heksen verbranden.
Daar zitten allerlei haken en ogen aan, maar: data blijft op zich toegankelijk voor het bedrijf, maar de onmiddellijke publieke toegang is wel tegengehouden.
Hugo.
Het probleem met real-world analogieën is natuurlijk dat ze op het Internet vaak slecht opgaan. De buurman uit het voorbeeld is onderhevig aan de beperkingen van de echte wereld. Waarschijnlijk is hij die enige die op dat moment ter plaatse is, de enige die het ziet, en tevens de enige die kan ingrijpen. Op het Internet gaan die regels natuurlijk niet op; als de database toegankelijk is zonder beveiliging, is die bereikbaar en toegankelijk voor de gehele wereld, en de kans dat iemand anders diezelfde database gaat vinden is dan ook bijzonder veel groter dan de kans dat iemand anders dan een buurtbewoner die vlam in de pan ziet. Ik denk dat het gerechtvaardigd is om te stellen dat bij dat veel realistischer en groter risico ook een andere interpretatie van "zaakwaarneming" past. In dit geval, wegens het ontbreken van verder informatie, dus het wegnemen van het risico. Zoals het dichtdraaien van de gaskraan het probleem oplost, zo ook lost het weghalen van de data daar het probleem op.
Persoonlijke meningen hebben juridisch helaas weinig waarde.
Je hebt een ontzettende tunnelvisie dat meest erge dat kan gebeuren is dat data lekt .
Je overweegt niet de mogelijkheid dat _verlies_ van de data vele malen ergen kan zijn dat lekkage.
Een 'vlam in de pan bij de buren' is daarom geen goede analogie.
Zou, hypothetisch , een bedrijf failliet gaan omdat een zelfbenoemde dataheld besloot alles te wissen waar hij bij kon - dan zou die dataheld naar ik verwacht daar zeer zeker voor aansprakelijk zijn. En "maar hullie deden het fout want iemand die keek kon het zien" is daar geen excuus voor.
Zou je even nader kunnen toelichten wat je *precies* bedoelt met "publiek toegankelijk" en "andermans informatie"?!? Want voor een rechter wordt elk woord gewikt en gewogen, zijn punten en komma's belangrijk.
Publiek toegankelijk - is dat helemaal zonder wachtwoord en met een webbrowser? Of ook met een default wachtwoord? Of met een specifieke client applicatie? Of als ik er een klein scriptje tegenaan moet gooien? Of een specifieke exploit? En in hoeverre mag jij kijken of de informatie van een ander is? Hoe veel mag je grasduinen in de data in de hoop "andermans informatie" tegen te komen?
Daar zitten allerlei haken en ogen aan, maar: data blijft op zich toegankelijk voor het bedrijf, maar de onmiddellijke publieke toegang is wel tegengehouden.
Hugo.
Dan kan je toch net zo goed gewoon de melding naar het bedrijf sturen, hoef je niks voor te encrypten.
Maar in de zin van de AVG is het wissen van persoonsgegevens OOK een datalek! Dus als dit je gebeurt met een database van je bedrijf dan moet je dat evengoed bij AP melden als datalek! In die zin is er dus geen datalek "opgeruimd" of "voorkomen" dus.
Maar de ongeautoriseerde inzage van die 'derde persoon/hacker' op voorhand is al een datalek.
Of je het bij de AP moet melden is nog maar de vraag. Er bestaat geen meldplicht voor alle datalekken.
Verkopen op het darkweb :P
Aanvullend wat hierboven al is genoemd:
- Openbaarheid van data op zich hoeft niet verkeerd te zijn. Bijvoorbeeld: de data kan bedoeld openbaar zijn.
- Wissen van data op zich hoeft niet automatisch ook een datalek te zijn. Bijvoorbeeld: de data kan nog steeds binnen die organisatie beschikbaar zijn. Dan is het wissen van die data niet automatisch schadelijk voor betrokkenen.
Daar zitten allerlei haken en ogen aan, maar: data blijft op zich toegankelijk voor het bedrijf, maar de onmiddellijke publieke toegang is wel tegengehouden.
Hugo.
Met "de key naar het bedrijf sturen" verlies je de voorwaarde "waar geen contactgegevens bij staan" een beetje uit het oog.
Ik zou een abuse contact voor het domein/ip-adres waar de db draait opzoeken en daar melding te maken, zij weten vast wie iets aan die melding heeft.
Daar zitten allerlei haken en ogen aan, maar: data blijft op zich toegankelijk voor het bedrijf, maar de onmiddellijke publieke toegang is wel tegengehouden.
Je zou ook het bedrijf kunnen inlichten zonder schade aan te richten. En ja, database encrypted en key verschaffen is ook schade aan richten, bijvoorbeeld als je daarmee de bedrijfsactiviteiten stil legt. Enige logica om op een normale manier iets te melden, zonder aan de data te komen, lijkt sommigen vreemd.
Vele malen logischer, dan een criminele handeling, zoals databases van derden versleutelen.
Het verwijderen van gegevens is naar mijn inzien strafbaar. Alleen het verwijderen van je eigen record is te verantwoorden, omdat je zelf eigenaar bent van je eigen gegevens.
Of je het bij de AP moet melden is nog maar de vraag. Er bestaat geen meldplicht voor alle datalekken.
Een wat meer in detail. De website van het AP ligt er op dit moment uit, Je kunt nog wel een datelekmelding doen.
Zou dat er uit liggen van een website nu een datalek zijn? .
Zo is er in Nederland een afgewerkte dodenlijst van buitenlandse geheime diensten maar een terrorist als
Dzjochar Tsarnajev wordt vandaag weer vrijgesproken van een death penalty.
Hou je volk angstig en ontevreden dan kun je de mieren onder de loep in de hete zon goed te bestuderen.
vul hier een email adres in: ______________ en maak kans op een gratis Telsa Model X, let op! Je email adres wordt wel vrijgegeven in een open database. Gaat u hiermee akkoord? [ ] Ja [ ] Nee.
Weet ik veel? Ik noem maar wat.
Het hebben van een open database is geen brandende keuken. Ongeacht de inhoud van de database. Tevens staat er ook bij dat het niet *altijd* gaat om persoonsgegevens. Dan is het helemaal niet aan een ander om te bepalen of die data weggehaald mag worden of niet.
Is het dom om een database zo open aan het internet te hangen? Ja tuurlijk. Misschien gaat het om een dev database met random dummy data. En bestaat die data gewoon random letters, dan nog kan het heel irritant zijn als hij leeg gehaald wordt. En dat kan de eigenaar geld kosten om opnieuw in te richten. Het is simpelweg een vorm van eigenrichting om maar te bepalen dat de data weg kan, alleen maar omdat de database open aan het internet hangt.
Je mag niet inbreken omdat de voordeur open stond. Is het DOM? Ja. Maar het is nog steeds zo dan domheid an sich niet verboden is.
Verkopen op het darkweb :P
Hetzelfde als bij een fiets die je niet afgesloten op straat ziet staan. Afblijven.
Inderdaad. Wel wat lastig om
a) anoniem te blijven
b) de onbekende beheerders van de db te benaderen
c) het te beveiligen zonder contact, want dan zul je de login gegevens toch moeten openbaren, en is het alsnog onveilig.
Aan de ene kant zou het wel mooi zijn, aan de andere kant leren de beheerders dan nog steeds niet wat ze moeten doen.
Dan krijg je een beetje het email-probleem. Email (pop3/imap/smtp) is het grootste gedocht dat er bestaat op internet, een crime om te beheren, veel te veel misbruik, spam, malwareverpreiding, virusverspreiding, phishing, onbetrouwbaar, niet geencrypt, en elke lul kan ermee om gaan omdat de beheerders van email-servers achter de schermen door allerlei hoepels springen om het ook voor de nitwits die 17,5 miljoen PDF mails van 25MB rond gaan pompen vanuit hun websjop want: "Ja dat kan toch gewoon", om vervolgens te gaan klagen bij de provider: "Dat het stuk is" , waarna de provider weer door hoepels gaat springen om het toch enigsinds te fixen voor ze, om volgende maand weer hetzelfde riedeltje te krijgen van de websjop-beheerders.
Nee dat moet je ook niet willen. Dan ben ik eigenlijk eerder gezegd nog voorstander van: "Tyf die boel maar leeg".
Maar de beste oplossing is natuurlijk gewoon simpelweg dat de beheerder van de database door hoepels moet springen om het *onveilig* neer te zetten. Dat hij default simpelweg gewoon de keuze heeft uit:
a) een veilige db opzetten, en dat proces zo gebruiksvriendelijk mogelijk maken
b) heeeeel ingewikkeld moet gaan zitten doen om het openbaar aan het internet te hangen.
Dat zou imho de meeste problemen al oplossen. Puntje is wel dat alle database-aanbieders eraan mee moeten werken.
PostgreSQL, MySQL, MariaDB, MSSQL, iedereen. Want anders kiezen de websjop eigenaars gewoon voor AndereDB, die wel "makkelijk" te installeren is.
Mag je zo'n database veranderen in Meow? Ik kan me niet voorstellen dat het onder enige omstandigheid 'mag'.
Wel als de database binnen de EU wordt gehost. De GDPR maakt geen onderscheid op basis van data-subject. Het gaat immers om alle verwerkingen van alle natuurlijke personen in de EU, ongeacht hun nationaliteit.
Wel als de database binnen de EU wordt gehost. De GDPR maakt geen onderscheid op basis van data-subject. Het gaat immers om alle verwerkingen van alle natuurlijke personen in de EU, ongeacht hun nationaliteit.
'Chinezen in China'. Nee dus volgens je eigen verhaal.
Mm dus een auto van de buurman die hem niet op slot heeft zet je dan maar in je eigen garage om zo het risico maar weg te nemen dat ie gestolen word?
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Consultant Assets & Security
Wij zoeken een gemotiveerde en kundige collega die samen met ons onder andere zorg draagt voor het ontwikkelen en beheren van onze assets en in het bijzonder de informatiebeveiliging van deze assets. Iets voor jou? Meer weten of direct solliciteren!
FULLTIME EN PARTTIME DOCENTEN CYBER SECURITY
Hogeschool van Amsterdam
Wil jij ICT-studenten wegwijs maken in de snel veranderende wereld van IT-beveiliging? De Hogeschool van Amsterdam (HvA) is voor de opleiding HBO-ICT op zoek naar meerdere enthousiaste docenten Cyber Security.
Certified Secure LIVE Online
Certified Secure is LIVE. Cross Site Scripting vinden en voorkomen? Met z'n allen een volledige kubernetes cluster compromitteren? Of gewoon voorkomen dat een collega op een phishing mail klikt? Ontwikkel ook terwijl je thuiswerkt je Hacker Mindset!
Zoals altijd zijn ook onze LIVE trainingen hands-on en met persoonlijke begeleiding van ervaren Certified Secure instructeurs. Direct vanuit je browser en dus zonder nasty extra software!
Neem contact met ons op voor de mogelijkheden voor jouw team.