image

Mag je als journalist onderzoek doen naar een datalek bij een politieke partij?

woensdag 7 december 2022, 11:16 door Arnoud Engelfriet, 5 reacties

Heb jij een interessante vraag op het snijvlak van privacy, cybersecurity en recht? Stuur je vraag naar juridischevraag@security.nl. Elke week geeft ict-jurist Arnoud Engelfriet in deze rubriek antwoord.

Juridische vraag: De gegevens van 92.901 leden en oud-leden van de Nederlandse politieke partij Forum voor Democratie zijn gelekt. De administratieserver had een fout waardoor je zonder controle lidmaatschapsgegevens kon opvragen (namen, e-mailadressen, telefoonnummers en rekeningnummers van leden en oud-leden). Ik verbaas me erover dat dit legaal is, dit is toch een enórme berg gegevens? Waarom mag een journalist hiermee wegkomen?

Antwoord: Hoofdregel is natuurlijk dat ook journalisten zich aan de wet moeten houden. Maar er is een uitzondering: als het absoluut noodzakelijk is voor het aan de kaak stellen van een ernstige misstand, dan mag je verder gaan. Inclusief dus inbreken in een computersysteem, wanneeer dat dus de enige manier is om vast te stellen dat daar inderdaad een lek zit.

De omvang van het lek vaststellen mag ook, want dat is dan deel van het nieuws. Maar dan krijg je het dilemma: is het nodig om 92.901 records te downloaden om te controleren of je werkelijk álle ledengegevens te pakken kunt krijgen? Kun je niet volstaan met enkele records te zoeken (op je eigen naam, of op de naam van bekende leden, zodat je geen nodeloze schade aanricht) om zo de omvang van het probleem vast te stellen?

In de al wat oudere Nieuwe Revu-zaak werd het hacken van de mailbox van de toenmalige Staatssecretaris van Defensie legaal geacht, maar het vervolgens snuffelen in de mails dan weer niet. Voor het nieuwsfeit “is die mailbox zwak beveiligd” was op zich aanleiding, maar “hij doet mogelijk staatszaken in de privémailbox” was te theoretisch. En Henk Krol kreeg in 2013 ook een boete voor het grasduinen in EPD dossiers na bewezen te hebben dat een arts een zwak wachtwoord had, zij het dat meewoog dat hij dat voor de televisiecamera deed.

Mijn eerste gevoel bij deze zaak is dat omdat het hier gaat om zeer gevoelige gegevens, je in je recht staat om vast te stellen hoe ernstig de zaak precies is. Dan is downloaden van de gehele dataset wel nodig, al is het maar om te kunnen reageren op de onvermijdelijke downplaying die menig organisatie zou doen bij een dergelijk nieuwsbericht. Natuurlijk moet je die dataset vervolgens ergens in een kluis stoppen en verder niet aankomen.

Arnoud Engelfriet is Ict-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. Hij schreef twee boeken, De wet op internet en Security: Deskundig en praktisch juridisch advies.

Reacties (5)
07-12-2022, 11:29 door Anoniem
Tellen van het werkelijk aantal betalende forum-leden is ook een belangrijk journalistiek doel. Zeker gezien de ophef en de onduidelijkheid over het leden aantal icm het feit dat politieke partijen subsidie krijgen afhankelijk van het aantal leden, lijkt het mij ook legitiem om naar het aantal betalende leden te kijken.

https://www.accountant.nl/nieuws/2020/10/ledenaantal-fvd-voor-accountant-niet-te-achterhalen
07-12-2022, 11:32 door Anoniem
Het vaststellen van de omvang kan lastig zijn zonder alles te downloaden. In het voorval van FVD lijkt er sprake te zijn geweest van een eenvoudige direct object reference kwetsbaarheid waarbij gegevens op basis van een numerieke ID (lidnummer?) opvraagbaar zijn. In mijn ervaring zijn dergelijke ID-ranges niet volledig dekken. Er ontbreken meestal wel ID's omdat leden hun gegevens laten verwijderen, vanwege administratieve handelingen zoals het opnieuw registreren van leden waarbij de oude registratie vervalt, etc.. Die gaten zijn ook zelden uniform verdeeld; hoe verder terug in de tijd hoe meer gaten je kan verwachten. Zoeken tot je het hoogste ID vind of een statistische steekproef nemen is daardoor problematisch. Het is daarmee nog steeds de vraag of het proportioneel is om dan maar alle data te downloaden, maar het kan wel noodzakelijk zijn voor het aantonen van de (exacte) omvang.
07-12-2022, 17:05 door Anoniem
De europese commissie geeft opdracht aan universiteiten
om te mogen pen-testen/hacken in de eigen europese cloud opslag om de beveiliging en encryptie te testen
en dat van andere internationale op privacy gebouwde cloudopslag,een goed voorbeeld was van een duitse universiteit die
wist te hacken in cloudopslag services van mega.

Wellicht dat deze journalist zich geroepen voelden door de eu
om bij de app van fvd eens rond te gaan neuzen om de privacy en encryptie te testen.

Onlangs werd er door een europese "klimaat-held" een speech gehouden over het gevaar van rechts-extremisme

EU-nl-2022
08-12-2022, 02:04 door Anoniem
Wat bij dat forum inmiddels wel duidelijk is, is dat ze daar de democratie graag willen snappen. Maar er zelf eigenlijk geen flauw idee over hebben. Want het praat inmiddels als kippen zonder koppen.

Nu was er op hoe de democratie daarvoor werkte ook wel wat aan te merken. Waardoor er ook een aantal mensen lid zijn geworden van dat forum. Dat het zelf nu ook niet helemaal goed meer weet.

Ik ben geen journalist maar ik hoef er ook niet voor in databases te kijken om te begrijpen wat daar speelt. Dus bodem van mijn rechtsgevoel zegt dat al die mensen recht hebben op hun privacy, en dat je daar dus ook als journalist respect voor moet hebben. Nog los van wat de wetten zeggen. Het is meer een ethische vraag. Ik vind heel dat forum een potje eikels. Maar heb wel nog vertrouwen in de journalistiek. Ook juist daarom eigenlijk. Een potje valsspelen moet je dan niet doen. Tenzij ze bezig zijn een staatsgreep te doen. Dan zou het eventueel kunnen. Anders moet je als goeie journalist niet eens in zo een database willen kijken. Als een goeie journalist mij een gewetensvraag stelt dan antwoord ik ook als die een oprechte vraag stelt en ik daar uitleg over wil geven. Anders is het jatten. Dat hoor je niet te willen doen. Zelfs niet bij een club van eikels. Zelf interessert het me helemaal niks wie er in die database staat. Daar moeten mensen vrij in zijn. En die vrijheid moeten we allemaal bewaken. Ook die van eikels. Daar ligt ook precies de grens van de ethiek in de journalistiek. Wie die wet breekt lees ik niet meer. Té bijdehand zijn verkoopt niet.
08-12-2022, 09:04 door Anoniem
Door Anoniem: De europese commissie geeft opdracht aan universiteiten
om te mogen pen-testen/hacken in de eigen europese cloud opslag om de beveiliging en encryptie te testen
en dat van andere internationale op privacy gebouwde cloudopslag,een goed voorbeeld was van een duitse universiteit die
wist te hacken in cloudopslag services van mega.

Wellicht dat deze journalist zich geroepen voelden door de eu
om bij de app van fvd eens rond te gaan neuzen om de privacy en encryptie te testen.

Onlangs werd er door een europese "klimaat-held" een speech gehouden over het gevaar van rechts-extremisme

EU-nl-2022

Wellicht is jouw hele betoog ook gewoon speculatie?

De rol van de journalistiek is onder andere om namens het algemene belang misstanden te onderzoeken en deze namens het algemene belang kenbaar te maken. Dat is een controlerende functie binnen onze democratie. Dat kan op eigen initiatief ("ik heb een goede vraag: hoe zit het met..."), dat kan op aanwijzen ("gut, wij van doelgroep x willen graag weten wat y..."), dat kan na tips ("joh, ik heb net gezien dat de ledenadministratie van FvD slecht beveiligd is, is dat nieuwswaardig?"), etc.

Ik vind (en dat is mijn mening, maar ik ben zeker niet de enige) dat als je als politieke partij (of wat voor organisatie ook die afhankelijk is van z'n leden) zulke slechte beveiliging hebt dat de gegevens van die leden eenvoudig uitgelezen kunnen worden via internet, je aan de schandpaal genageld moet worden voor je slechte beveiliging. En dan boeit het een stuk minder of je een politieke organisatie bent of dat je de lokale carnavalsvereniging bent. Er is gewoon iets goed mis met je security en daar moet je iets mee doen. En dan is druk van buitenaf door publicatie in dit geval een goede motivator.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.