Data recovery op een tweedehands computer

ambulance-recovery.jpgEen lezer mailde me:

Onlangs kocht ik een tweedehands PC in een computerzaak. Omdat ik had gehoord dat daar vaak nog persoonlijke gegevens op staan, dacht ik, ik laat eens wat recovery software los. En ja hoor, stapels privemails, persoonlijke bestanden en zelfs een complete belastingaangifte! Ik heb het gelijk gewist (met speciale software die alle sectoren drie keer overschrijft) maar vroeg me nu wel af of ik strafbaar gehandeld heb.

Op tweedehands laptops of harde schijven blijkt steeds vaker data achter te blijven. Security.nl heeft in maart twee studenten onderzoek laten doen. Zij vonden allerlei persoonlijke informatie, zoals incasso machtigingen, medische gegevens, belastingdocumenten, bedrijfsinformatie, C.V.’s, een dagboek, sollicitatiebrieven, inkooporders, faxen, e-mails, porno en veel privé-foto’s en filmpjes. In een ander geval werd zelfs de handleiding voor een SCUD-raket aangetroffen op een tweedehands harde schijf.

De tweedehands computer is van jou, dus die mag je binnenstebuiten keren, onderzoeken en leegpluizen op elke manier die je goeddunkt. Het is dus niet strafbaar om te kijken of er nog data van de vorige eigenaar is achtergebleven.

Wat wel strafbaar kan zijn, is het publiceren of gebruiken van die data. Je schendt dan vaak iemands privacy, omdat je moet weten dat die data privé is en niet voor publicatie bestemd. (En dan heb ik het nog niet eens over opzettelijk misbruik zoals de vorige eigenaar chanteren of bedreigen.)

Natuurlijk kan het -zoals bij dat Security.nl-onderzoek- journalistiek relevant zijn om te melden dat je zulke data gevonden hebt. Maar het lijkt me niet dat je daarbij ook de materialen zelf moet laten zien. Wat voegt dat toe boven de mededeling dat je die data gezien hebt?

Arnoud

11 reacties

  1. Wat is in dit geval de postitie van de computerzaak?

    Het geleverde goed voldoet nl wellicht niet aan de verwachtingen die je er als koper aan stelt. (gebruikt: ja – vol met andermens data; nou nee toch liever niet)

  2. Heeft de winkel hier wel een verplichting. Zij verkopen immers enkel een PC met lege HD. Oke, een tweede hands PC waarbij verwijderde data relatief makkelijk terug te halen is maar dat lijkt me meer ook een zorg van de eerste verkopende partij.

    Zelf zou ik om deze reden dus nooit een HD van mij wegdoen. PC verkopen prima maar dan wel met een nieuwe HD.

  3. @Maarten: je zegt het zelf al – “met een lege HD”. De vraag is dus, is zo’n HD wel echt leeg te noemen? Zo niet, dan is sprake van wanprestatie omdat niet is geleverd wat is beloofd.

    Aan de andere kant kan de winkelier betogen dat je moet weten dat tweedehands computers nog data kunnen bevatten. Hij heeft gewoon zoals het hoort de harddisk geformatteerd, en dus heeft hij keurig gehandeld zoals je mocht verwachten. Dat dat formatteren alleen de bestandsindex wist en niet elke sector overschrijft, tsja dat is nu eenmaal gebruikelijk in de branche.

  4. @Arnoud reactie-3

    En dan nu een stapje verder: op de disc staat duidelijk gevaarlijke, strafbare data. (overduidelijk dus kp, staatsgeheimen, fraudezaken )

    De koper komt er thuis achter en doet aangifte. Politie klopt aan bij de winkelier en confronteert hem/haar met aangifte. Wat dan?

  5. Dan niet zo veel, want de winkelier wist niet van de data en had maatregelen genomen om van eventueel aanwezige data af te zijn. Bij KP is er een uitspraak van de Hoge Raad die zegt dat als jij je best hebt gedaan deze meteen na ontvangst te wissen, je niet strafbaar bent.

  6. Waarom niet, Alex? Elk handboekje computers voor beginners legt je uit dat formatteren de manier is om een harde schijf leeg te krijgen.

    (In dat arrest ging het om de vraag of het in je Prullenbak/Recycle bin plaatsen van bestanden genoeg was. Volgens het HR zou dat kunnen, als dit de beste manier was die de verdachte kende. Niet iedereen weet van DoD 5220.22-M-niveau wissen van bestanden.)

  7. Als je die discussie gaat voeren, hoever wil je gaan? Ik denk dat we toch niet per see heel veel verder hoeven te gaan dan het formatteren van de hd of verwijderen van het filesystem (“snelformatteren”). Is 1 keer volledig formatteren dan genoeg? Of moet je tenminste 1 keer de hd vullen met enkel 1’en? Of dat minimaal 5 keer? Ongetwijfeld zullen er recovery services zijn die dan nog beweren fragmenten data terug te kunnen halen…

  8. Alex, je kunt de argumentatie ook andersom voeren: De verkoper heeft de computer met data op de harde schijf verkocht. Kennelijk vindt hij het niet erg om zijn gegevens aan derden ter inzage te geven…

    Freeaqingme, men zegt dat met de moderne harde schijven eenmalig overschrijven genoeg is… anderen mopperen over “bad block remapping”.

    Ik ben het met Arnoud eens dat een leeg bestandssysteem op de schijf zetten “naar maatschappelijk gebruik” voldoende is; meer dan eenmaal overschrijven van alle data verwacht ik niet. (Eenmaal overschrijven kost al een aanzienlijke hoeveelheid tijd met een moderne schijf.)

  9. Ik zou zeggen dat de winkelier ofwel geen verplichting heeft en dus niet eens hoeft te formateren ofwel wel een verplichting heeft dan minimaal een maal te overschrijven met een willekeurig patroon. Ja dat kost tijd maar de verkoper hoeft er niet bij te zitten wachten.

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.