Achtergrond
image

Have I Been Pwned heeft van de FBI 630 miljoen wachtwoorden ontvangen. Kan zoiets ook in Nederland gebeuren?

woensdag 17 december 2025, 14:18 door Arnoud Engelfriet, 12 reacties

Heb jij een interessante vraag op het snijvlak van privacy, cybersecurity en recht? Stuur je vraag naar juridischevraag@security.nl. Elke week geeft ict-jurist Arnoud Engelfriet in deze rubriek antwoord.

Juridische vraag: De website Have I Been Pwned heeft van de FBI 630 miljoen wachtwoorden ontvangen. Deze wachtwoorden werden volgens de website aangetroffen na de inbeslagname van meerdere apparaten van een verdachte. Het doet mij raar aan dat de politie zo 'gestolen' data deelt met een private partij. Kan dat ook in Nederland?

Antwoord:Als je het zo algemeen stelt, doet het inderdaad raar aan. De politie treft iets aan (spullen of data) bij een verdachte in het kader van een strafrechtelijk onderzoek, en geeft die dan onderhands aan zomaar een private partij.

Dat zou zo algemeen niet kunnen in Nederland. Als de politie zaken in beslag neemt, dan worden die of teruggegeven, of verbeurd verklaard. In dat laatste geval wordt de Staat er eigenaar van (art. 9 Strafrecht) en gewoonlijk worden ze dan verkocht. Zaken die op zichzelf verboden zijn (bijvoorbeeld vuurwapens) worden juist vernietigd. Er is dus geen formele route om die spullen zomaar aan iemand mee te geven.

Hier is het echt niet zomaar, HIBP is een maatschappelijk initiatief van grote bewezen waarde dat al lange tijd samenwerkt met de FBI om de maatschappij veiliger te maken. In 2021 maakte HIBP-initiatiefnemer Troy Hunt bekend een samenwerking met de FBI opgezet te hebben waarbij de dienst wachtwoorden uploadt en Hunt ze ontsluit via zijn zoekdienst. De FBI noemde dit toen een "belangrijke publiek/private samenwerking".

Ook in Nederland kunnen dergelijke constructies worden opgezet. Waarborgen zijn dan wel nodig, zoals het afschermen van de wachtwoorden vergelijkbaar met hoe HIBP dat doet. De AVG is precies hier dan niet relevant, omdat de FBI alleen de wachtwoorden deelt ("Pwned Password") en niet gebruikersnaam/wachtwoord combinaties. Een wachtwoord an sich kan ik niet als een persoonsgegeven zien.

Arnoud Engelfriet is ict-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als chief knowledge officer bij juridisch adviesbureau ICTRecht en blogt dagelijks over internetrecht. Hij schreef onder meer de boeken ICT&Recht en AI&Algorithms, en verzorgt de opleiding tot Certified Cybersecurity Compliance Officer.

Reacties (12)
Reageer met quote
17-12-2025, 14:53 door Anoniem
Dit bestaat in Nederland toch ook onder de naam No More Leaks?

https://www.politie.nl/informatie/wat-is-no-more-leaks.html
https://www.security.nl/posting/758930/Politie+gaat+hashes+van+gestolen+inloggegevens+met+bedrijven+delen
Reageer met quote
17-12-2025, 15:04 door Anoniem
Nederland heeft met europol dit ook gedaan in verleden. Dus ja de constructie omschreven wordt actief ook hier gebruikt.
https://www.security.nl/posting/893450/Politiediensten+delen+44+miljoen+gestolen+wachtwoorden+met+HIBP

De getallen zijn echter niets zeggend omdat het de nummers zijn voor ontdubbeling met andere bronnen. Veel van die miljoenen data zal reeds al bekend zijn uit eerdere datalekken.
Reageer met quote
18-12-2025, 10:46 door [Account Verwijderd]
Door Anoniem: Dit bestaat in Nederland toch ook onder de naam No More Leaks?

https://www.politie.nl/informatie/wat-is-no-more-leaks.html
https://www.security.nl/posting/758930/Politie+gaat+hashes+van+gestolen+inloggegevens+met+bedrijven+delen
Het delen van gegevens, wil nog niet zeggen dat dit door inbeslagname is verkregen.

In het Wetboek van Strafvordering staat precies aangegeven wat vatbaar is voor inbeslagname en wat de politie ermee moet doen. Dus het klopt wat Arnoud zegt dat dit in Nederland aan regels is gebonden.
Reageer met quote
18-12-2025, 10:55 door Anoniem
Hier is het echt niet zomaar, HIBP is een maatschappelijk initiatief van grote bewezen waarde dat al lange tijd samenwerkt met de FBI om de maatschappij veiliger te maken.
Nee, het is een onethische toko die handelt in gesloten waren, dat heet heling volgens mij.
Reageer met quote
18-12-2025, 11:44 door [Account Verwijderd] - Bijgewerkt: 18-12-2025, 11:48
Door Anoniem:
Hier is het echt niet zomaar, HIBP is een maatschappelijk initiatief van grote bewezen waarde dat al lange tijd samenwerkt met de FBI om de maatschappij veiliger te maken.
Nee, het is een onethische toko die handelt in gesloten waren, dat heet heling volgens mij.
Have I Been Pwned" (HIBP) is geen vorm van heling. In de juridische zin verwijst heling naar het opzettelijk verkrijgen, verhandelen of in bezit hebben van gestolen lichamelijke goederen, wat helemaal niet van toepassing is op wat HIBP doet. En als opzet of schuld al niet bewezen kan worden, is er ook geen sprake van het misdrijf van heling.
Reageer met quote
18-12-2025, 23:41 door Anoniem
Door VM:
Door Anoniem:
Hier is het echt niet zomaar, HIBP is een maatschappelijk initiatief van grote bewezen waarde dat al lange tijd samenwerkt met de FBI om de maatschappij veiliger te maken.
Nee, het is een onethische toko die handelt in gesloten waren, dat heet heling volgens mij.
Have I Been Pwned" (HIBP) is geen vorm van heling. In de juridische zin verwijst heling naar het opzettelijk verkrijgen, verhandelen of in bezit hebben van gestolen lichamelijke goederen, wat helemaal niet van toepassing is op wat HIBP doet. En als opzet of schuld al niet bewezen kan worden, is er ook geen sprake van het misdrijf van heling.
Opzet lijkt me in geval van HIBP overduidelijk, het verzamelen is waarvoor ze überhaupt bestaan. De beperking dat het alleen voor lichamelijke goeden geld was bij mij niet bekend. Blijkbaar mag je wel handelen in gestolen data, persoonsgegevens zelfs, wat mij betreft is dat nog steeds een onethische praktijk.
Reageer met quote
19-12-2025, 08:55 door Anoniem
Door Anoniem:
Hier is het echt niet zomaar, HIBP is een maatschappelijk initiatief van grote bewezen waarde dat al lange tijd samenwerkt met de FBI om de maatschappij veiliger te maken.
Nee, het is een onethische toko die handelt in gesloten waren, dat heet heling volgens mij.

Wat een onzin. Niks onethish aan; sterker nog veel mensen gebruiken HIBP juist om hun beveiliging te verbeteren/op peil te brengen. Ik zelf wordt actief op de hoogte gebracht als een of ander bedrijf weer mijn gegevens heeft gelekt; en geloof me: op een uitzondering na hebben die nog nooit ZELF aan mij gemeld dat mijn gegevens gelekt zijn. Zonder HIBP zou ik dus niet weten waar mijn gegevens allemaal gelekt zijn.

Blijf jij maar lekker in het ongewisse.
Reageer met quote
19-12-2025, 11:11 door Anoniem
Door Anoniem:
Door VM:
Door Anoniem:
Hier is het echt niet zomaar, HIBP is een maatschappelijk initiatief van grote bewezen waarde dat al lange tijd samenwerkt met de FBI om de maatschappij veiliger te maken.
Nee, het is een onethische toko die handelt in gesloten waren, dat heet heling volgens mij.
Have I Been Pwned" (HIBP) is geen vorm van heling. In de juridische zin verwijst heling naar het opzettelijk verkrijgen, verhandelen of in bezit hebben van gestolen lichamelijke goederen, wat helemaal niet van toepassing is op wat HIBP doet. En als opzet of schuld al niet bewezen kan worden, is er ook geen sprake van het misdrijf van heling.
Opzet lijkt me in geval van HIBP overduidelijk, het verzamelen is waarvoor ze überhaupt bestaan. De beperking dat het alleen voor lichamelijke goeden geld was bij mij niet bekend. Blijkbaar mag je wel handelen in gestolen data, persoonsgegevens zelfs, wat mij betreft is dat nog steeds een onethische praktijk.
Voor jou misschien duidelijk, maar opzet moet bewezen worden. En dat is niet jouw taak, maar de taak van het OM als we het hebben over het Strafrecht.
Reageer met quote
19-12-2025, 12:23 door Anoniem
Dat kan niet in Nederland gebeuren aangezien we hier maar 18 miljoen inwoners hebben en geen FBI.
Reageer met quote
22-12-2025, 15:39 door Anoniem
DIVD doet dit al: https://www.divd.nl/newsroom/articles/operation-endgame-divd-2024-00019/
Reageer met quote
23-12-2025, 11:24 door Anoniem
Beter zoeken naar het antwoord op de vraag:
"Wie zegt allemaal dat dat niet kan gebeuren?"

PII kan misbruikt worden voor allerlei criminele doelen.
Schaduwzijde van het grote internet-verdienmodel: namelijk data.

En data kunnen nog altijd in verkeerde handen vallen
en dus tot grote persoonlijke schade leiden.

Maar hoogstwaarschijnlijk gebeurt er niets en laten we het weer met z'n allen gebeuren.
Reageer met quote
10-01-2026, 10:08 door Anoniem
Dat kan in nederland ook gebeuren. Sterker nog niemand die zich afvraagt van de afluister praktijken van de FBI onder het sax system van wat bekent is gemaakt van paar jaar geleden toen kevin mitnick nog actief hacker was. En de evolutie rondom het sax system van de fbi. Dan is de vraag zijn de wachtwoorden gepubliceerd door hackers of opzettelijk gelijkt door de fbi voor orde verstoring.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.

Zoeken
search
Image