Mag je als journalist onderzoek doen naar een datalek bij een politieke partij?
Heb jij een interessante vraag op het snijvlak van privacy, cybersecurity en recht? Stuur je vraag naar juridischevraag@security.nl. Elke week geeft ict-jurist Arnoud Engelfriet in deze rubriek antwoord.
Juridische vraag: De gegevens van 92.901 leden en oud-leden van de Nederlandse politieke partij Forum voor Democratie zijn gelekt. De administratieserver had een fout waardoor je zonder controle lidmaatschapsgegevens kon opvragen (namen, e-mailadressen, telefoonnummers en rekeningnummers van leden en oud-leden). Ik verbaas me erover dat dit legaal is, dit is toch een enórme berg gegevens? Waarom mag een journalist hiermee wegkomen?
Antwoord: Hoofdregel is natuurlijk dat ook journalisten zich aan de wet moeten houden. Maar er is een uitzondering: als het absoluut noodzakelijk is voor het aan de kaak stellen van een ernstige misstand, dan mag je verder gaan. Inclusief dus inbreken in een computersysteem, wanneeer dat dus de enige manier is om vast te stellen dat daar inderdaad een lek zit.
De omvang van het lek vaststellen mag ook, want dat is dan deel van het nieuws. Maar dan krijg je het dilemma: is het nodig om 92.901 records te downloaden om te controleren of je werkelijk álle ledengegevens te pakken kunt krijgen? Kun je niet volstaan met enkele records te zoeken (op je eigen naam, of op de naam van bekende leden, zodat je geen nodeloze schade aanricht) om zo de omvang van het probleem vast te stellen?
In de al wat oudere Nieuwe Revu-zaak werd het hacken van de mailbox van de toenmalige Staatssecretaris van Defensie legaal geacht, maar het vervolgens snuffelen in de mails dan weer niet. Voor het nieuwsfeit “is die mailbox zwak beveiligd” was op zich aanleiding, maar “hij doet mogelijk staatszaken in de privémailbox” was te theoretisch. En Henk Krol kreeg in 2013 ook een boete voor het grasduinen in EPD dossiers na bewezen te hebben dat een arts een zwak wachtwoord had, zij het dat meewoog dat hij dat voor de televisiecamera deed.
Mijn eerste gevoel bij deze zaak is dat omdat het hier gaat om zeer gevoelige gegevens, je in je recht staat om vast te stellen hoe ernstig de zaak precies is. Dan is downloaden van de gehele dataset wel nodig, al is het maar om te kunnen reageren op de onvermijdelijke downplaying die menig organisatie zou doen bij een dergelijk nieuwsbericht. Natuurlijk moet je die dataset vervolgens ergens in een kluis stoppen en verder niet aankomen.
Arnoud Engelfriet is Ict-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. Hij schreef twee boeken, De wet op internet en Security: Deskundig en praktisch juridisch advies.
https://www.accountant.nl/nieuws/2020/10/ledenaantal-fvd-voor-accountant-niet-te-achterhalen
om te mogen pen-testen/hacken in de eigen europese cloud opslag om de beveiliging en encryptie te testen
en dat van andere internationale op privacy gebouwde cloudopslag,een goed voorbeeld was van een duitse universiteit die
wist te hacken in cloudopslag services van mega.
Wellicht dat deze journalist zich geroepen voelden door de eu
om bij de app van fvd eens rond te gaan neuzen om de privacy en encryptie te testen.
Onlangs werd er door een europese "klimaat-held" een speech gehouden over het gevaar van rechts-extremisme
EU-nl-2022
Nu was er op hoe de democratie daarvoor werkte ook wel wat aan te merken. Waardoor er ook een aantal mensen lid zijn geworden van dat forum. Dat het zelf nu ook niet helemaal goed meer weet.
Ik ben geen journalist maar ik hoef er ook niet voor in databases te kijken om te begrijpen wat daar speelt. Dus bodem van mijn rechtsgevoel zegt dat al die mensen recht hebben op hun privacy, en dat je daar dus ook als journalist respect voor moet hebben. Nog los van wat de wetten zeggen. Het is meer een ethische vraag. Ik vind heel dat forum een potje eikels. Maar heb wel nog vertrouwen in de journalistiek. Ook juist daarom eigenlijk. Een potje valsspelen moet je dan niet doen. Tenzij ze bezig zijn een staatsgreep te doen. Dan zou het eventueel kunnen. Anders moet je als goeie journalist niet eens in zo een database willen kijken. Als een goeie journalist mij een gewetensvraag stelt dan antwoord ik ook als die een oprechte vraag stelt en ik daar uitleg over wil geven. Anders is het jatten. Dat hoor je niet te willen doen. Zelfs niet bij een club van eikels. Zelf interessert het me helemaal niks wie er in die database staat. Daar moeten mensen vrij in zijn. En die vrijheid moeten we allemaal bewaken. Ook die van eikels. Daar ligt ook precies de grens van de ethiek in de journalistiek. Wie die wet breekt lees ik niet meer. Té bijdehand zijn verkoopt niet.
om te mogen pen-testen/hacken in de eigen europese cloud opslag om de beveiliging en encryptie te testen
en dat van andere internationale op privacy gebouwde cloudopslag,een goed voorbeeld was van een duitse universiteit die
wist te hacken in cloudopslag services van mega.
Wellicht dat deze journalist zich geroepen voelden door de eu
om bij de app van fvd eens rond te gaan neuzen om de privacy en encryptie te testen.
Onlangs werd er door een europese "klimaat-held" een speech gehouden over het gevaar van rechts-extremisme
EU-nl-2022
Wellicht is jouw hele betoog ook gewoon speculatie?
De rol van de journalistiek is onder andere om namens het algemene belang misstanden te onderzoeken en deze namens het algemene belang kenbaar te maken. Dat is een controlerende functie binnen onze democratie. Dat kan op eigen initiatief ("ik heb een goede vraag: hoe zit het met..."), dat kan op aanwijzen ("gut, wij van doelgroep x willen graag weten wat y..."), dat kan na tips ("joh, ik heb net gezien dat de ledenadministratie van FvD slecht beveiligd is, is dat nieuwswaardig?"), etc.
Ik vind (en dat is mijn mening, maar ik ben zeker niet de enige) dat als je als politieke partij (of wat voor organisatie ook die afhankelijk is van z'n leden) zulke slechte beveiliging hebt dat de gegevens van die leden eenvoudig uitgelezen kunnen worden via internet, je aan de schandpaal genageld moet worden voor je slechte beveiliging. En dan boeit het een stuk minder of je een politieke organisatie bent of dat je de lokale carnavalsvereniging bent. Er is gewoon iets goed mis met je security en daar moet je iets mee doen. En dan is druk van buitenaf door publicatie in dit geval een goede motivator.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
No more ransomware!
De nieuwe Ransomware Awareness Experience training biedt een realistische maar vooral leuke introductie in de wereld van ransomware. De deelnemers ervaren hoe eenvoudig een organisatie het slachtoffer kan worden van ransomware en leren meteen hoe een besmetting kan worden voorkomen!
Security Trainer
Heb jij net als de rest van ons een passie voor cybersecurity en wil je in een team werken met mensen die minstens zo enthousiast en gedreven zijn als jij? Lijkt het je tof om wereldwijd security trainingen te geven en je security kennis over te dragen? Dan zijn wij op zoek naar jou!
Are you ready for a challenge?