Belachelijke lage straf...

Straks horen we weer dat het OM in hoger beroep gaat. Let maar op.

Terechte veroordeling lijkt me, maar naar mijn mening zou ook NextSelect voor nalatigheid veroordeeld moeten worden voor het niet serieus nemen van basale cyber hygiëne en het daarmee in gevaar brengen van honderdduizenden festivalgangers, artiesten en crewleden van dancefestivals.

Prima dat je deze enthousiaste PEN-tester met een voorwaardelijk, en met een hap uit zijn geld uitlegt dat 'ie te ver is gegaan.
Gratis tickets regelen voor jezelf is een indicatie dat er geen kwade opzet is geweest rondom alle persoonsgegevens. Dat zou bij stalken op phishen anders zijn geweest.

Maar een database waar alles-ooit-ever inzit? en tegen het internet aan, alleen gescheiden door een front-end-server, en een kleuter-wachtwoord?

Ben benieuwd wie daarover op zijn of haar donder krijgt.

man man wat een farce..echt weer op z'n Nederlands....2 jaar gevangenisstraf had beter geweest..wat een afgang..

Ik snap het wel. Gevangenisstraf heeft geen zin want die straf kan toch niet uitgevoerd worden.

Euh wat is "serversite-broncode"? Een nieuw woord bedacht?

Je kan ook de vraag stellen waarom kan je bij de broncode als je in de frontend inlogt met welkom01?

NextSelect zou de deuren moeten sluiten omdat ze ongeschikt zijn dit soort systemen tel leveren. Als er nou een echte straf op datalekken zou zijn ipv een mailtje rond te moeten sturen, zou dit misschien eens verbeteren.

Rechtvaardig zou zijn dat de CEO dezelfde straf als de hacker krijgt opgelegd wegens criminele nalatigheid.

Leuk detail is dat de gevangenis als straf in de Middeleeuwen werd geïntroduceerd met de bedoeling dat de straf ook werd uitgevoerd. Ook toen werden mensen veroordeeld maar vervolgens werd de straf nooit uitgevoerd. Precies het zelfde probleem wat we nu hebben.

De admin die het wachtwoord Welkom01 heeft ingesteld mag ook wel een straf krijgen.

Er zit op dit punt wel een zekere logica in: beveiliging niet/nauwelijks uitgevoerd = straf niet/nauwelijks uitgevoerd.

Maar het is ook typisch Nederlands om de verwijzing naar die slechte beveiliging ("geraden/gegokte/ berekende inloggegevens", zoals genoemd in de tenlastelegging) dan buiten de tekst van het vonnis te houden, alsof ze niet relevant zijn. Officieel zijn ze niet relevant voor de strafmaat, maar stiekem hoogstwaarschijnlijk toch wel (vandaar die lichte straf).

Het eindresultaat is dat de verantwoordelijkheid van de organisatie om verwerkte persoonsgegevens adequaat te beveiligen, in het vonnis volledig buiten beeld wordt gehouden, en dat de zeer slechte beveiliging dus NIET wordt genoemd als verzachtende omstandigheid.

Dat had mijns inziens wel gemoeten, omdat daarmee expliciet zou zijn gemaakt dat organisaties die persoonsgegevens te grabbel gooien, daarna niet kunnen verwachten dat de dader een zware straf krijgt. Door het impliciet te houden, krijgen organisaties van de rechter nog steeds een vrijbrief om zelf geen verantwoordelijkheid te nemen voor een veilige gegevensverwerking.

Het enige wat hier nu nog aan gedaan kan worden, is dat een festivalganger, een artiest of een crewlid een klacht indient bij de AP over de organisatie. Een artiest of crewlid zal dit niet doen, want die heeft belang bij prettig contact met de disfunctionerende organisatie (ons kent ons, we gaan het elkaar niet moeilijk maken). En een festivalganger? Ach ja, festivalgangers...

Zelfs als iemand hierover wèl een klacht zou indienen bij de AP, dan weten we al hoe dat gaat. De AP gaat die klacht dan jarenlang op de plank leggen (want niet urgent, de gegevens zijn toch al gelekt, je kunt een put ook rustig over vijf jaar dempen, of over vijf jaar vergeten dat die put er ooit was).

Het idee dat de AP zelf, ambtshalve, iets zou gaan ondernemen in deze casus, is al helemaal vergezocht.

Kortom, de overheidsinstanties met een taak of verantwoordelijkheid in dezen (rechter, AP) doen er weer alles aan om het kernprobleem waarom het gaat, in de praktijk NIET op te lossen.

Het is daarom hoog tijd dat een nalatige omgang met verwerkte persoonsgegevens strafbaar gesteld wordt voor zowel uitvoerenden als hun leidinggevenden (chain of command) van verwerkingsverantwoordelijken en verwerkers. Zeg maar een nieuw "artikel 138abc" of "artikel 138d" in het Wetboek van Strafrecht.

De reden dat zo'n wetsartikel er nog niet is, is waarschijnlijk dat de leiders van big tech en grote data-bedrijven alsmede overheidsmanagers dat niet willen. Want dan zouden ze verantwoordelijk gehouden kunnen worden voor hun daden, en dàt mag van hen natuurlijk niet!

Bovendien zou een dergelijk artikel in het Wetboek van Strafrecht de digitaliseringagenda bemoeilijken, omdat het moeilijker zou worden de kosten van het met digitale systemen aantasten van privacy te externaliseren (lees: te negeren en over de schutting te gooien naar de slachtoffers / data-subjecten).

M.J.

typefout , duidelijk voor server SIDE broncode.

En het is een terecht onderscheid met bv client-side broncode (zeker webbased clients, aka javascript) aangezien dat noodzakelijkerwijs beschikbaar is.

Ook reverse engineering van client applicaties is _niet_ illegaal , doch het hacken van servers (en op die manier toegang krijgen tot source code ) wel .


Ik kreeg de indruk dat dit password (ook) op een remote access tot de server zat , waarna verdere bron code (git repo ?) beschikbaar was.

Je kan die vraag stellen - maar ook het verbreken van een slechte beveiliging en misbruik maken van de verkregen toegang is een misdrijf .


De AP kan dat opleggen.


Opmerkelijk hoe weinig ITers praten over HUN verantwoordelijkheid als het gaat om configuratie fouten.

Zou het de CEO persoonlijk zijn die dit password gekozen heeft en een schriftelijke dienstopdracht gegegeven dat het Welkom01 moest zijn ?

Waarom vinden "we" het niet rechtvaardig als de developer/systeem beheerder die achter het toetsenbord zat en dit password intikte dezelfde straf krijgt, niet op staande voet ontslagen kan worden, geen 6 maandsalarissen mag terugstorten ?
Altijd weer het voetvolk dat alle begrip heeft voor 'ons' in drukte/werkcultuur, alles beter weet, en alle verantwoordelijkheid als het wel misging naar boven afschuift want de mensen die niks weten van ons vak (roepen we altijd) hadden "het" natuurlijk wel goed "managen" als het dan eens misgegaan is. Daarna gaan we weer lekker klagen over 'micromanagers' die zo vervelend zijn en het niet aan 'de specialisten van de werkvloer' overlaten. Nou, als zelfs het zetten van passwords blijkbaar een 'verantwoordelijkheid van de CEO' is verdien je een micromanager. (of vervanging door een AI)

Persoonlijk zou ik deze man geen hogere straf geven. Ja, hij is te ver gegaan en ziet dat gelukkig zelf ook in. Voorderest heeft hij niks met de persoonsgegevens gedaan (deze had hij bijvoorbeeld ook kunnen verkopen aan de hoogste bieder).

De organisatie van de feesten moeten ze naar mijn mening wel aanpakken. Roekeloos met mensen hun persoonlijke gegevens omgaan, een beroerde technische infrastructuur waardoor de man in kwestie met een achterlijk simpel wachtwoord kon inloggen en zo bij de gegevens kon komen. Dit laat zien dat de organisatie helemaal niet bezig was met het veilig houden van de gevoelige informatie van hun klanten.