Via een lezer (dank) vond ik een interessante discussie bij Tweakers: een bedrijf werd besproken op het forum van de techsite, waarna het bedrijf bij het beheer ging klagen dat er hackpogingen werden ondernomen vanuit Tweakers. Waarop het beheer van Tweakers meldde dat personen die zoiets zouden doen, een ban zouden krijgen. Herrie in de tent natuurlijk, onder meer over de vraag of T.net wel mocht kijken naar IP-adressen die door dat bedrijf waren aangeleverd. En waar stond dat dan in de wet?
De pest met internetrecht is dat er bar weinig concrete aanknopingspunten zijn om een onderbouwde uitspraak te kunnen doen. Zo zijn er eigenlijk geen fatsoenlijke rechtsbronnen die over persoonsgegevens in ICT-security gaan, laat staan zo specifiek als wat hier aan de hand is. Je kunt als jurist weinig meer doen dan speculeren, pardon je deskundige mening geven. Dus nou ja, dat doen we dan maar.
Het bedrijf leverde IP-adressen aan van vermeende kwaadwillenden, en Tweakers bekeek of die IP-adressen op dat moment ook in gebruik waren bij ingelogde gebruikers. Dat is een verwerking van persoonsgegevens, omdat het hier immers gaat om IP-adressen van personen (of proxy’s maar dat terzijde).
De Wbp noemt 6 gronden voor verwerking van persoonsgegevens, waarvan normaal de toestemming en de eigen dringende noodzaak de twee meest relevante gronden zijn. (Een derde is de noodzaak in verband met nakoming overeenkomst, bv. een adres geven aan de post omdat je een bestelling wilt versturen.)
Van een eigen dringende noodzaak is sprake als je een eigen belang hebt dat zwaarder weegt dan de privacy, en waarbij de maatregel die je neemt echt absoluut nodig is om dat belang te dienen. Het kan niet een onsje minder en er is geen alternatief. In principe moet je hierbij een opt-out bieden als dat enigszins te doen is.
Op je site IP-adressen loggen om hackpogingen te signaleren, is wat mij betreft een evident voorbeeld. Het kicken of bannen van je gebruikers wegens overtreding van de gebruiksvoorwaarden lijkt me er ook onder vallen, en wellicht is dat wel te rechtvaardigen als gebruik ten behoeve van nakoming overeenkomst. Het bewijzen van wanprestatie vind ik daar wel onder passen.
(Overigens – maar dit is offtopic denk ik – vind ik niet dat “ik heb geen zin meer in je, ga van mijn server” rechtsgeldig is. T.net heeft een overeenkomst met zijn gebruikers en die mag niet zomaar per direct en zonder grond worden opgezegd.)
Specifiek hier zit het punt dat partij A een persoonsgegeven* verstrekt aan B, waarna B daarmee aan de slag gaat. A heeft een noodzaak (loggen/decteren intruders) en B ook (schorsen van wanpresterende gebruikers) maar mag je die noodzaken combineren?
Ik ben geneigd te zeggen van wel. Als T.net een noodzaak heeft om in te grijpen bij hackpogingen waarbij T.net een wezenlijke schakel was, dan mag ze daarbij ook extern aangedragen bewijs hanteren. Het zou wat gek zijn dat T.net zelf bewijs moet vergaren als een derde klaagt “er hackt iemand vanaf jullie site”. Meer algemeen wil het er bij mij niet in dat een op zich legitieme wet een blokkade zou opleveren voor op zich legitiem gedrag. Wat zou het alternatief zijn, dat T.net zijn gebruikers vraagt “jongens mag ik van jullie nagaan wie er crimineel bezig is ja/nee”?
Arnoud
[blockquote]Het bedrijf leverde IP-adressen aan van vermeende kwaadwillenden[/blockquote]En dat maakt de discussie nou zo interessant! Het is niet bewezen dat ze kwaadwillend waren! Mogelijk had iemand gewoon een slechte review op die site geschreven en als “wraak” verwijdert het bedrijf de review en zorgt nog voor een schop na doot de T.net account ook even te blokkeren zodat de review daar ook niet meer naartoe kan… Dus stel dat achteraf blijkt dat dit bedrijf onterecht heeft geklaagd en de betrokken leden nu hardstikke boos zijn op T.net en nu elders gaan klagen over hoe “fout” T.net met hun accounts omging. Stel dat de betrokken leden door de ban ook nog eens reputatieschade kregen omdat ze nu voor hackers worden uitgemaakt. En reputatieschade is uit te drukken in kosten omdat men opdrachten en/of reclame-inkomsten misloopt. Kunnen de leden deze dan op T.net verhalen en kan T.net dit weer op het bedrijf verhalen?
Ik snap niet dat de crew Tweakers.net uberhaupt de tijd vrij maakt om iemand te helpen met een intern project.
Waarom niet simpelweg wachten tot er aangifte wordt gedaan? Dan komt het bij de aangewezen partij hier in Nederland om onderzoek te doen.
Wim, volgens mij moet je er in principe van uitgaan dat een externe partij dit soort gegevens ter goeder trouw aanlevert. Je mag best doorvragen als dingen jou niet duidelijk zijn en/of wanneer je de zaak niet helemaal vertrouwt… Ik zie een zekere overeenkomst met de zaak waarbij een ISP gedwongen werd de NAW gegevens van een porno-uploader aan de filmproducente te geven. Bij een duidelijke onrechtmatige daad jegens een derde heb je zekere plichten om de derde te helpen met het voorkomen van verdere schade en/of het verkrijgen van een schadevergoeding. Een goede vraag is natuurlijk of T.net in dit geval de meest geëigende partij is om IP adressen te matchen met gebruikers, of dat het incassobureau eigenlijk bij de ISP langs moet.
Ja, de aanname dat het ter goeder trouw gebeurt is logisch. Maar het gaat erom dat het bedrijf juist geen goede bedoelingen had! In theorie kan hierdoor (reputatie)schade ontstaan waardoor er een claim kan volgen. Kan deze uiteindelijk weer op het bedrijf verhaald worden? De leden moeten deze schade op Tweakers verhalen want die hebben geen relatie met het bedrijf. Tweakers zou het dan weer op het bedrijf moeten verhalen. Nu denk ik niet dat er snel schade ontstaat maar een lid dat regelmatig reviews plaatst en plotseling is verbannen zal zeker vragen opleveren waardoor er een geruchtenstroom ontstaat. Die geruchten kunnen dan weer reputatieschade opleveren.
Als het bedrijf ten onrechte iemand beschuldigt van een wetsovertreding is dat al snel smaad of laster en kan het als onrechtmatige daad voor de rechter gebracht worden. T.net zou bestraft kunnen worden als zij gebruikers sancties oplegt zonder redelijke zorgvuldigheidseisen in acht te nemen.
Probleem is dat Tweakers niet hoeft te melden waarom de ban is uitgedeeld dus weet je als lid niet van de smaad af. Het enige dat je weet is dat er vervolgens over jou op Tweakers gesproken wordt en wordt gezegd dat jij wegens hacking van de site bent geschopt. (Als er al over jou wordt gesproken.) Sowieso is het al vervelend dat je die account kwijt bent en je dus tijd ( = geld) en moeite moet besteden om het weer ongedaan te krijgen. De kans dat het bedrijf dus wegens smaad voor de rechter komt is dus enorm klein. Het zal eerder gebeuren dat Tweakers voor de rechter komt om tekst en uitleg te moeten geven over de (onterechte) ban, mits het lid bereid is om zoveel moeite te ondernemen. Overigens, Tweakers kent een betaald lidmaatschap dus een ban kost een betalend lid het abonnementsgeld. Er is dus zeker een schade om te verhalen, maar alleen aan de lage kant.
Er is nog een aantal dingen dat ik niet snap. * Waarom denkt het klagende bedrijf dat de hackpogingen iets met tweakers.net te maken hebben? Is dit echt alleen omdat er toevallig een slechte review op tweakers.net staat? * Zelfs als de hackpogingen gedaan zijn door gebruikers met een account op tweakers.net, wat heeft tweakers.net dan met die hackpogingen te maken? Ik neem aan dat men niet open en bloot de hackpogingen heeft gecoordineerd op tweakers.net (a la “ik zie net dat op poort xxx een verouderde versie van software yyy staat”; reactie: “oh daar kan je op manier zzz in binnendringen”). Als de hackpogingen helemaal buiten tweakers.net om zijn gedaan, dan kan je daarmee toch moeilijk de gebruiksvoorwaarden van tweakers.net hebben overtreden?
Tweakers.net moet erg oppassen dat ze zich niet te snel voor het karretje van een klagend bedrijf laat spannen. Zijn er echt harde bewijzen voor die hackpogingen? Misschien probeert het bedrijf wel met valse middelen iemand op tweakers.net monddood te maken…
Het lijkt mij dat voordat je als partij gegevens gaat geven je eerst in ieder geval wat onderbouwing vraagt om het hacken aannemelijk te maken en ten tweede dataannemelijk wordt gemaakt dat jij daar (indirect) iets mee te maken hebt. Zo niet dan stuur je ze met de IP adressen door naar de ISP.
MathFox ziet overeenkomsten met een ISP die gedwongen wordt gegevens door te geven, maar die ISP krijgt door ‘dit IP adres op Zus en zo tijdstip heeft daarnaartoe geupload, van wie is dit’ Die ISP kan dan verifieren dat via dit IP adres inderdaad verbinding is gemaakt met de plaats waarnaar geupload is en heeft dan enige onderbouwing dat er nioet zomaar iets wordt verzonnen. T.net heeft geen enkele mogelijkheid om te controleren of er ook maar iets van klopt en zomaar aannemen dat men op het internet te goedertrouw is is meer dan één brug te ver.
Ik zag op Tweakers een zinnige reactie, die ik hier graag herhaal en uitbreid.
Stel dat er camerabeelden zijn van een inbreker, die een Albert Heijntas gebruikt voor het vervoeren van de buit. Als het slachtoffer van de inbraak de beelden toont aan AH, zou die dan gelijk de bonuskaart intrekken als ze de inbreker zouden herkennen? Dat zou alleen zinnig zijn als die AH-tas van cruciaal belang is bij de inbraak en door het intrekken van de bonuskaart (of desnoods een winkelverbod) nieuwe of herhaalde inbraken voorkomen zouden worden.
En wat nu als blijkt dat het eigenlijk geen beelden waren van een inbraak, maar gewoon van iemand die voor de 4e keer die week aan de deur kwam voor oude kranten, wat de klager vervelend vond? We weten allemaal ook wel hoe onterecht het begrip ‘hacken’ soms wordt rondgestrooid, of dat nu uit onwetendheid of kwaadaardigheid is.
Ik denk dat er maar één situatie is waarin Tweakers terecht de gebruikers geblokkeerd zou hebben, namelijk als op het forum specifiek het hacken van dat bedrijf besproken was en de IP-adressen van de gebruikers die dat deden kwamen overeen met de aangeleverde IP-adressen. In alle andere gevallen moet Tweakers er vanaf zien om gebruikers te straffen voor iets dat gewoon een straf- of misschien wel civiel rechtelijke zaak zou moeten zijn.
Dat vind ik een mooie. Echter, ik vind wel dat het aan Tweakers/AH is om te besluiten wanneer zij iemands gedrag gepast of ongepast vinden. Zolang ze dat maar vooraf melden en het geen verboden discriminatie oid oplevert. Ik vind dat de “Bond voor 80 op de snelweg” best mensen mag schorsen als die in Wegmisbruikers komen waar ze met 170 over de snelweg racen. OOk al staat het gedrag van het lid helemaal los van wat hij bij de Bond doet.
Mogelijk dat de hacker vanaf Tweakers naar de site van het bedrijf is gegaan om deze vervolgens te hacken. Je kunt in de (IIS) log zien waar je bezoekers vandaan komen en dus die betreffende sites over deze hackers waarschuwen. Zo ook met Tweakers.