Heb jij een interessante vraag op het snijvlak van privacy, cybersecurity en recht? Stuur je vraag naar juridischevraag@security.nl. Elke week geeft ict-jurist Arnoud Engelfriet in deze rubriek antwoord.
Juridische vraag: Door een hack bij mijn telecomprovider zijn al mijn persoonsgegevens gestolen. Nu zijn er bedrijven die via een soort van lek-check laten zien wat er gestolen is en dit op naam, adres, email, iban etc zoekbaar aanbieden. Indirect verwerken en verspreiden zij zo opnieuw de gestolen data. Hebben zij daar een grondslag voor?
Antwoord: Om bij het begin te beginnen: het is strafbaar (art. 139g Sr) om gegevens te verwerven of voorhanden te hebben waarvan je redelijkerwijs kunt vermoeden dat ze uit misdrijf zijn verkregen. De Odido-datadump voldoet aan die omschrijving.
Vereist bij dit strafwetartikel is dat de gegevens "niet-openbaar" zijn, en daar kunnen we ondertussen over twisten. De gegevens zijn niet alleen te vinden via een specifieke .onion link of een in Nederland onbekende site, maar ook via vrij makkelijke kanalen, al moet je nog even nadenken over de Google-zoekopdracht. De wetgever was niet duidelijk over het criterium voor "niet-openbaar".
Verder geldt een uitzondering voor een openbaarmaking die het algemeen belang dient, en daar beroepen alle datalek-checkers zich natuurlijk op. Dat is belangrijk, want zonder algemeen belang is het een strafbaar feit om de data te ontsluiten en daarmee verbiedt ook de AVG de verwerking (artikel 5 lid 1 onder a, geen rechtmatig doel).
Wat is dat algemeen belang? Naar zijn aard is dat vrij generiek. Het heeft maatschappelijk nut, de mensen vragen erom, er is behoefte in brede zin. Gezien de zeer beperkte communicatie vanuit Odido snap ik goed dat mensen concreet willen weten wat er gelekt is, en een checker komt aan die behoefte tegemoet. Dat is wel algemeen belang.
Daar staat tegenover dat er al diverse aanbieders zijn, waaronder het bekende en vertrouwde Have I Been Pwned. Ook onze politie heeft een kopie, dus je kunt (in theorie) een inzageverzoek onder de Wet politiegegevens bij ze doen. Formeel weegt "anderen doen het ook" niet mee bij een algemeen-belang afweging, want je zegt bij nieuws ook niet dat de nieuwswaarde vervallen is als drie kranten het al gebracht hebben. Maar ik vermoed dat dit hier zeker een discussie gaat zijn mocht dit bij de (straf)rechter komen.
Aangenomen dat de checker in het algemeen belang handelt, kom je bij de vraag welke grondslag. Er zijn er twee die relevant lijken:
1) vitale belangen van de betrokkene
2) gerechtvaardigd belang van de aanbieder of een derde
Punt 1 klinkt relevant, maar "vitaal belang" wordt zo beperkt uitgelegd dat je er niet aan komt tenzij het echt om leven en dood gaat. (En dan nog zijn er genoeg mitsen en maren.)
Gerechtvaardigd belang dus. Dit belang is dan gelijk aan het algemeen belang dat de aanbieder van de dienst nastreeft (en dus niet het belang van de betrokkene, want die is niet een 'derde' volgens dit artikel). Daar moet deze dan een belangenafweging bij doen: is voldoende rekening gehouden met de privacy van de betrokkenen die allemaal in die dataset zitten, had dit met minder ingrijpende middelen gekund en is het allemaal netjes ingericht?
Een eerste checkvraag voor mij is altijd hoe men de AVG-rechten van betrokkenen respecteert. Kun je zonder gedoe verlangen dat je uit de checker wordt gehaald? Ik heb vele van deze diensten gezien en zelden zit dat er netjes in.
Tweede vraag is hoe de dienst beveiligd is. Het is natuurlijk niet de bedoeling dat bezoekers de dataset kunnen downloaden of leegtrekken met systematische zoekopdrachten.
Derde is hoe en of je de data met derden deelt, zoals je websitebouwer of de plek waar je de eigenlijke dataset hebt neergezet. Ik weet van diverse partijen die de dienst door AI laten schrijven. Dat is nogal spannend, want dan geef je dus die data zonder voorbehoud aan een Amerikaanse partij die er alles mee mag doen. Dat ligt onder de AVG op zijn zachtst gezegd nogal gevoelig. Los daarvan is de kans groot dat je code niet zo veilig is als je zou hopen.
Arnoud Engelfriet is ict-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als chief knowledge officer bij juridisch adviesbureau ICTRecht en blogt dagelijks over internetrecht. Hij schreef onder meer de boeken ICT&Recht en AI&Algorithms, en verzorgt de opleiding tot Certified Cybersecurity Compliance Officer.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Medior Information Security Officer
Als Medior Information Security Officer in Rotterdam versterk je onze digitale veiligheid in een organisatie die volop in cloudtransitie is. Je werkt met moderne cloud technologie én uitdagende legacy. Krijg jij energie van échte impact? Dan is dit jouw plek.
Senior Information Security Officer
Stap in de rol van Senior Information Security Officer in Rotterdam waar je iedere dag zichtbaar impact maakt op hoe we onze organisatie beschermen. Klaar om verder te lezen en te ontdekken waar jij het verschil kunt maken?
Digital Designer
Ben jij een Grafisch vormgever, UI/UX-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, en op zoek naar een unieke en uitdagende baan waar je al je creativiteit in kwijt kan? Dan ben je bij Certified Secure aan het juiste adres! Je werkt samen met onze security developers aan onze Gamified Cybersecurity Challenges.
