Mag je onderzoeken naar een datalek bij een politieke partij?

De gegevens van 92.901 leden en oud-leden van de Nederlandse politieke partij Forum voor Democratie zijn gelekt. Dat meldde Tweakers donderdag. De administratieserver had een fout waardoor je zonder controle lidmaatschapsgegevens kon opvragen (namen, e-mailadressen, telefoonnummers en rekeningnummers van leden en oud-leden). Auw. De journalisten van RTL Nieuws kregen 92.901 records te pakken. Wat de vraag opriep: mag dat eigenlijk wel, zo’n lijst downloaden, gaat dat niet te ver?

Het lek is ondertussen gedicht, en afgezien van een melding bij de AP en een dreiging met aangifte tegen iedereen die de gegevens misbruikt lijkt er niets meer van te komen. Maar het punt blijft: had je als journalist zo ver mogen gaan?

Hoofdregel is natuurlijk dat ook journalisten zich aan de wet moeten houden. Maar er is een uitzondering: als het absoluut noodzakelijk is voor het aan de kaak stellen van een ernstige misstand, dan mag je verder gaan. Inclusief dus inbreken in een computersysteem, wanneeer dat dus de enige manier is om vast te stellen dat daar inderdaad een lek zit.

De omvang van het lek vaststellen mag ook, want dat is dan deel van het nieuws. Maar dan krijg je het dilemma: is het nodig om 92.901 records te downloaden om te controleren of je werkelijk álle ledengegevens te pakken kunt krijgen? Kun je niet volstaan met enkele records te zoeken (op je eigen naam, of op de naam van bekende leden, zodat je geen nodeloze schade aanricht) om zo de omvang van het probleem vast te stellen?

In de al wat oudere Nieuwe Revu-zaak werd het hacken van de mailbox van de toenmalige Staatssecretaris van Defensie legaal geacht, maar het vervolgens snuffelen in de mails dan weer niet. Voor het nieuwsfeit “is die mailbox zwak beveiligd” was op zich aanleiding, maar “hij doet mogelijk staatszaken in de privémailbox” was te theoretisch. En Henk Krol kreeg in 2013 ook een boete voor het grasduinen in EPD dossiers na bewezen te hebben dat een arts een zwak wachtwoord had, zij het dat meewoog dat hij dat voor de televisiecamera deed.

Mijn eerste gevoel bij deze zaak is dat omdat het hier gaat om zeer gevoelige gegevens, je in je recht staat om vast te stellen hoe ernstig de zaak precies is. Dan is downloaden van de gehele dataset wel nodig, al is het maar om te kunnen reageren op de onvermijdelijke downplaying die menig organisatie zou doen bij een dergelijk nieuwsbericht. Natuurlijk moet je die dataset vervolgens ergens in een kluis stoppen en verder niet aankomen.

Weet er iemand een andere manier om dit lek te valideren op zo’n manier dat de scope vast komt te staan maar zónder dat je alle records downloadt?

Arnoud

37 reacties

  1. Mogelijk zou de impact iets beperkt kunnen worden door maar van enkele personen de volledige gegevens binnen te halen, en van de rest alleen de (achter)naam. Op die manier kan je aantonen welk type gegevens beschikbaar waren en van hoeveel (unieke)mensen. Ook haal je daarmee argumenten onderuit dat het niet mogelijk zou zijn om alles binnen te halen (e.g. “slimme algoritmen”), mochten de journalisten maar enkele records hebben opgehaald. Nog steeds weet je wie er lid is of was van deze partij, maar de gegevens zijn bij het mogelijke lekken van deze journalistieke dataset iets minder geschikt voor identiteitsfraude. In plaats van namen zou je ook postcodes kunnen proberen, mogelijk nog steeds genoeg om aan te tonen dat het unieke records zijn.

    1. Ik gok dat dit lek het type was waar je niet weet wat de achternaam van iemand is voordat je alle gegevens van die persoon binnen hebt gehaald. Je vraagt dus alle gegevens van ‘lid/1’ op en daarna ‘lid/2’ en ‘lid/3’ etc. Dan heb je dus alle gegevens voor dat lid al binnen, of je wil of niet. Het lijkt mij onwaarschijnlijk dat je alle gegevens van alle leden in 1 keer binnen krijgt.

      Dan heb je vervolgens de keuze als journalist, haal ik de gegevens van de eerste 10 leden op (of tot je bijvoorbeeld de gegevens van Baudet hebt) of haal je alle gegevens op en ga ja daarin vervolgens grasduinen om te zien of ze toevallig ook nog andere wetten overtreden?

      1. Grasduinen mag niet, je verkrijgt die data ter onderbouwing van een reeds vermoede misstand A en dan mag je niet gaan kijken of er ook misstand B is. Dat is die Revu-uitspraak: aantonen dat de mailbox van de stas slecht beveiligd is, is gedaan door in te loggen en het startscherm van de mailbox te zien. Dan gaan kijken of hij wellicht staatszaken in de privemailbox doet, is een heel ander punt en dat mag niet.

        1. Je vroeg ook:

          Weet er iemand een andere manier om dit lek te valideren op zo’n manier dat de scope vast komt te staan maar zónder dat je alle records downloadt?

          Als je dan de omvang van het lek (‘van hoeveel leden zit er data in deze database’) zou willen bepalen, dan kun je dat ook doen door gewoon alles te downloaden en alleen bij te houden of je een ‘200’ of ‘404’ terug krijgt en dan op te tellen hoeveel ‘200’ je krijgt, zonder de data op te slaan.

          Maar ze zijn dus gaan grasduinen in die data; het maakt eigenlijk niet uit of ze alles wel of niet gedownload hebben ter verificatie, toen die verificatie eenmaal voorbij was zijn ze gaan grasduinen (en dat weten we zeker, want ze hebben er over geschreven).

  2. Nadat je enkele records hebt gedownload kan je daarna alles naar /dev/null sturen zodat je niets opslaat. Je kan wel zien of er een record was en dus tellen maar je slaat verder niets op (behalve heel kort in het geheugen….)

    1. Probleem: zodra je het meldt, dicht de wederpartij snel het lek en zegt dan “Er is geen sprake van dat alle records konden worden gedownload, u kon door een freak accident enkele geisoleerde records krijgen”. Volgens mij is het enige mogelijke verweer dan “welles, ik heb hier de hele dataset”?

      1. Ja, maar de journalistiek heeft een meld/alarmfunctie. Die hoeven niet sluitend te bewijzen en een latere discussie kunnen winnen. Dat is aan de opsporingsinstanties. Dat die onderbemensd/ondegefinancierd zijn betekent niet dat we die rol op de journalistiek moeten afwentelen.

        1. Als journalist wil je je eigen reputatie kunnen beschermen. Als jij in een artikel iets claimt en de andere partij bestempeld jou als nepnieuw (of erger), dan wil jij je claim kunnen onderbouwen. Als het zelfs zo ver gaat dat er aangifte van smaad / laster wordt gedaan, dan heb je helemaal je onderbouwing nodig.

  3. De scope vastleggen kun je door alle records te downloaden en dan per record per veld de veldlengte vast te leggen en by bv telefoon nummer een check of het het patroon van een telefoon nummer heeft en niet aaaaaaaaaa (wat ook veld lengte 10 heeft) Bij bankrekening een 11 proef en de IBAN code. En van elke 100e sla je de complete set op of alle 2e kamer leden die je er uit filtered oid.

    Tegen “ze hebben alleen maar random data opgehaald” doe je niet veel anders dan alles opslaan en dat dan zeer goed beveiligen.

    Kan een notaris oid hier iets in betekenen of moet die dan exact opschrijven wat hij ziet of loopt die klem dat hij registratie maakt van een potentieel strafbaar feit?

    1. check of het het patroon van een telefoon nummer heeft en niet aaaaaaaaaa (wat ook veld lengte 10 heeft)

      Ik had ooit een afspraak met de CEO van een Nederlandse mobiele operator. De (nieuwe) receptioniste belde hem om te vertellen dat zijn afspraak er was en na een kwartier kwam hij nog niet naar beneden om me te halen. Ik belde hem zelf en hij zei dat hij nog niet gebeld was door de receptie. Bij navraag bleek dat de receptioniste hem had gebeld op het nummer dat in het systeem stond, 06-12345678 en geen gehoor had gekregen. Toen de man opmerkte dat dat toch overduidelijk een foutief nummer was zei ze: iedereen heeft hier een supermooi nummer, dus nee, dat zag ik niet.

      (Overigens had de CEO inderdaad een nummer wat eindigde op 6 keer hetzelfde cijfer).

    2. Mij lijkt gezien het nieuwsbelang/algemeen belang dat de notaris hier geen blaam zal treffen als hij registreert wat hij ziet gebeuren. Zelfs als het een strafbaar feit zou zijn, dan nog constateert de notaris alleen wat er is gebeurd en vanwege zijn beroepsgeheim is hij dan niet verplicht aangifte te doen (dat is trouwens niemand, bij dit feit).

  4. Ik denk dat het belangrijkste een goede procedure zou zijn. Zoals ik het zou doen: alle records downloaden op een beveiligd systeem waar je alleen toegang toe krijgt als er meerdere collega’s meekijken. Vervolgens gericht zoeken (partijprominenten inderdaad) om de ernst vast te stellen, en dan gaat het systeem op slot.

    Dan kun je wederhoor toepassen. Geeft de organisatie het lek toe en komt de hoeveelheid ongeveer overeen met je dataset dan is het klaar. Ontkent de organisatie of geven ze een veel lager aantal, dan zullen ze ook moeten kunnen vertellen welke records wel gelekt waren. Dan kun je met steekproeven bevestigen dat de andere gegevens niet gevoelig zijn.

    Op die manier kun je van tevoren een belangenafweging maken en aantonen dat je niet bent gaan snuffelen, maar je beperkt hebt tot wat redelijkerwijs noodzakelijk is. Als een politieke partij liegt over de omvang van een datalek dan zou voor mij het belang van nieuwsgaring snel zwaarder wegen dan het privacybelang van de leden. Juist omdat die nieuwsgaring ook in het belang van hun privacy is.

  5. Het hangt van de organisatie van de database af. Als je kunt vaststellen dat lidmaatschapsnummers opeenvolgend worden uitgegeven met 1000 als laagste en 93900 als hoogste, kun je als steekproef van een paar honderd nummers de volledige gegevens opvragen. Met het succespercentage van deze opvragingen kun je een goede schatting maken van hoeveel records er gelekt hadden kunnen worden.

    1. Allereerst kom je bij artikel 22 lid 1 sub c Uitvoeringswet AVG uit, die het verbod opheft voor het verwerken van het bijzondere persoonsgegeven ‘politieke voorkeur’ door politieke partijen. Daarmee is het voor zo’n partij ‘gewoon’ een gegeven dat ze van leden en oud-leden bewaart, net als zeg het adres, datum laatste ALV bijgewoond of wel/niet donateur. De vraag is dan hoe lang je dat mag bewaren.

      Gedurende hele lidmaatschap lijkt me niet meer dan logisch, anders kun je het lidmaatschap niet waarmaken. Maar hoe lang mag je gegevens van oud-leden nog bewaren? Vaak is er nog contact nadien, al is het maar proberen ze weer lid te maken. Bij de KNHB werkt men (op advies van advocatenkantoor en sponsor CMS) met een termijn van twee jaar, wat mij redelijk lijkt maar waar geen harde onderbouwing voor is.

  6. Ik zou dit niet per se kunnen bestempelen als ‘zeer gevoelige gegevens’. De meeste mensen die lid worden van een partij doen dat om die partij te steunen en komen daar dan ook openlijk voor uit. En dan vind ik het lekken van die andere gegevens niet zo spannend meer. En dan ook niet meer gerechtvaardigd om maar alles te downloaden om de ernst te onderzoeken, behalve misschien juist met het argument dat het gaat om triviale gegevens (naam, e-mail, tel, rek. nr.), die de meeste mensen toch te pas en onpas met iedereen delen.

    Misschien omdat het om een controversiële partij gaat, die nogal wat teweeg brengt bij tegenstanders, dat in dit specifieke geval de afweging anders is… Maar is dat iets wat meespeelt? Zou het juridisch verschil mogen maken als het om, noem eens wat, de PVDA ging?

    Dat we van een pornosite verwachten discreter om te gaan met persoonsgegevens dan bv webwinkel van een supermarkt, kan iedereen, ook de beheerders van de pornosite wel beamen, maar van een politieke partij… Meestal zullen zij zich niet als controversieel bestempelen…

    1. De AVG definieert je politieke voorkeur als een bijzonder persoonsgegeven, iets dus dat eigenlijk niemand over je mag bijhouden om welke reden dan ook. Of dat in een context nou wel of niet ernstig, beschamend of opmerkelijk is, doet er niet toe: het moet buiten beeld blijven.

      Een politieke partij mag het natuurlijk wel bijhouden van haar leden, maar daarmee is niet gezegd dat die leden het dus automatisch willen prijsgeven. Je kunt heel goed je politieke voorkeur voor je willen houden, stel jij bent de enige D’66-er in een FVD-studentenhuis of je wilt de SP steunen maar je al decennia VVD-stemmende ouders zijn mordicus tegen?

      1. Los daarvan zijn ook gegevens van oud-leden gelekt, mensen die bijvoorbeeld in de beginfase lid geworden zijn maar dat later opgezegd hebben toen de FvD meer begon te radicaliseren, en daardoor niet meer met de partij geassocieerd willen worden. Ook is het niet gezegd dat iedereen die lid is van een politieke partij daar openlijk voor uit wil komen, net als dat niet iedereen die geld doneert aan een goed doel daar openlijk voor uitkomt

      2. ‘De AVG definieert je politieke voorkeur als een bijzonder persoonsgegeven’

        Waarom eigenlijk? In een beschaafd land weten we toch allemaal dat links of rechts voorkeuren zijn en dat we er samen moeten uitkomen? Net zoals de een liever rijst eet en de ander liever pasta eet. Who cares?

        En ik vind juist iemand die NIET voor zijn politeke voorkeuren wil uitkomen eerder verdacht dan iemand die dat wel wil. Iemand die dat niet wil heeft vast een dieper doel: een staatsgreep of revolutie of andere niet-democratische destabilisatie van de maatschappij bewerkstelligen.

        En dan nog… Het lijkt me dat lidmaatschap van een politieke partij slechts losjes gelinkt is aan politieke voorkeur. De politieke partijen zijn namelijk allemaal nogal opportunistisch en niet erg fundamenteel. En ook zijn er over de jaren nogal wat veranderingen in ledenaantallen (en stemmen) van de diverse politieke partijen, wat erop duidt dat de ‘politieke voorkeur’ van iemand ook nogal veranderlijk is in de tijd. Kortom: lidworden in 2020 van de VVD zegt (misschien) iets over iemand zijn politieke voorkeur in 2020, maar niets, of toch niet veel, over zijn politieke voorkeur in 2022. De VVD kan veranderd zijn, en de persoon kan veranderd zijn.

        Naar aanleiding van het gedoe met de regenboogarmbanden in Qatar heb ik hier wat over nagedacht, met name over wat nu eigenlijk ‘politiek’ is. Qatar en de FIFA zeggen: Politieke boodschappen zijn verboden in het voetbal (en daar kan ik inkomen), maar respect voor iedereen, de rechten van de mens, dat is toch geen politiek meer, dat stadium zijn we al zeker 50 jaar voorbij. Of is ‘de aarde is plat’ ook een politieke mening?

        Maar wellicht zie ik ‘politiek’ te nauw.

        1. De reden om de politieke voorkeur als bijzonder persoonsgegeven te betitelen is om te voorkomen dat mensen elkaar anders behandelen omdat ze dit weten. Een werkgever zou kunnen zeggen, ik neem geen sp-stemmers aan want die gaan maar vakbonden oprichten en de OR actief lopen maken. En in het klein: ook op verjaardagsfeestjes kan “ik stem al jaren lang XXX” enórm de sfeer verpesten, probeer het eens bij het kerstdiner.

          1. Tja….

            Ik zou juist denken dat mensen die zo graag andere mensen anders willen behandelen, die zo graag een reden willen om eens lekker op een ander te vitten, toch wel een reden vinden. Is het niet politieke voorkeur, dan is het wel kledingstijl of muzikale voorkeur of een spraakgebrek.

            Die werkgever zou dat kunnen doen, maar een rationeel handelende werkgever zal dat niet doen. Zhij loopt dan namelijk grote kans een goede werknemer te missen, en zhij weet ook dat juist varieteit tot succes leidt.

            Ook komt het wat betuttelend op mij over, alsof mensen hun politieke voorkeuren niet zelf kunnen verdedigen (ALS anderen er al een punt van maken), alsof mensen met (bepaalde) politieke voorkeuren tegen zichzelf in bescherming genomen moeten worden.

            Ik zie niet in wat er mis is met “ik stem al jaren lang XXX”. Wat je eigenlijk zegt is: ‘XXX heeft al jaren een marketingaanpak die bij mij aanslaat”

            ‘Bescherming tegen politieke vervolging’ zou voor mij nog wel een reden zijn om er een bijzonder persoonsgegeven van te maken, maar politieke vervolging is in onze contreien ook al iets van vele generaties terug, is eerder iets theoretisch wat ze in verre onbeschaafde landen doen, dus of dat nog wel een valabele reden is….

            1. Dat zou kunnen, maar politiek is nou eenmaal iets gevoeliger dan muziekstijl. Verder moet je niet vergeten dat dit een Europese wet is, die dus in heel Europa het beoogde effect moet hebben. Niet alle landen zijn op hetzelfde punt waar het gaat om omgang met politieke oppositie of vakbonden.

              Ik zou héél graag naast je staan als jij bij het kerstdiner aankondigt al jaren op BIJ1 te stemmen.

              1. Ik hoop/verwacht te Kerstdineren met mensen die mijn politieke voorkeur respecteren. Als ik zou weten dat dat niet zo is, zou mijn keuze eerder zijn om niet met hen te dineren dan mijn mond te houden. Ik zou een dergelijke uitlating van een ander zien als een fait-divers, of als een uitnodiging voor een beschaafd debatje, meer niet.

                Wel is het natuurlijk zo dat een mening van een stroming niet meteen ‘politiek’ wordt omdat die stroming een entiteit heeft opgericht die aan verkiezingen deelneemt. Er zijn bepaalde stromingen in de samenleving die uitlatingen doen die dom, of zelfs gevaarlijk, of zelfs ronduit crimineel zijn. Het feit dat zij daar zelf het label ‘politiek’ op plakken is daarbij irrelevant.

              2. Ik zou hier nog aan willen toevoegen dat het hoe algemeen geaccepteerd het lidmaatschap van een bepaalde beweging of partij is ook met de jaren veranderd. Politieke voorkeur is geen onveranderlijk gegeven, en hoe er naar partijen gekeken wordt ook niet. Dat wat ooit heel radicaal was kan na een aantal jaar breed geaccepteerd zijn. Dat wat ooit vrij breed geaccepteerd en progessief was, kan na een aantal jaar volkomen onacceptabel of zelfs verboden zijn. Ook na vele jaren kan het nog dus nog schadelijk voor de reputatie zijn als duidelijk wordt dat iemand ooit lid is geweest van een bepaalde partij of vereniging, zelfs als die persoon al eerder is gestopt, of zich jarenlang sterk heeft gemaakt voor een andere koers binnen zo’n partij.

                En daarnaast is er ook een breder belang, namelijk dat het gezond is voor de ontwikkeling van een maatschappij als mensen veilig, dat wil zeggen zonder directe negatieve gevolgen voor reputatie, carriere, of omgeving, lid kunnen worden van een partij of vereniging die strijd tegen de norm of staat voor een bepaald belang dat op dat moment niet geaccepteerd is. Voor verandering is afwijking van de norm noodzakelijk. We hebben bijvoorbeeld niet de openstelling van het burgelijk huwelijk voor mensen van hetzelfde geslacht gekregen omdat het altijd al mogelijk was om zonder gediscrimineerd of vervolgd te worden mogelijk was om open homosexueel te zijn of als homosexueel binnen een politieke partij hiervoor te pleiten. Voor de maatschappij als geheel is het om dit soort redenen van extra belang dat dergelijke informatie bijzonder beschermd wordt.

                1. “En daarnaast is er ook een breder belang, namelijk dat het gezond is voor de ontwikkeling van een maatschappij als mensen veilig, dat wil zeggen zonder directe negatieve gevolgen voor reputatie, carriere, of omgeving, lid kunnen worden van een partij of vereniging die strijd tegen de norm of staat voor een bepaald belang dat op dat moment niet geaccepteerd is.”

                  Helemaal akkoord. Maar of je dat ‘politiek’ moet noemen….? Het valt in ieder geval niet onder wat ik als ‘politiek’ zie.

                  Strijden voor logische rechten (zoals het homohuwelijk) is geen politiek, maar is het verspreiden van een verlicht inzicht. Als de verlichte persoon eenmaal verlicht is, wil hij niet meer terug, dat is het verschil met politiek.

          1. Dat weet ik, maar dat station zijn we gepasseerd. [Wel, tenminste als we de populistische partijen kunnen tegenhouden die terugwillen daarnaartoe].

            En bovendien…. in beide gevallen was het gewoon een stok zoeken om de hond te slaan. De daawerkelijke machthebbers wilden bepaalde mensen (mond)dood maken, en zouden daar wel een manier voor gevonden, met of zonder dat de politieke voorkeuren van de slachtoffers bekend waren. Het maakt dus eigenlijk niet uit of ze het registreren of niet.

            Ik het geval van de gebroeders De Witt was het eigenlijk een oproer/burgeroorlog. Natuurlijk hadden de slachtoffers een andere politieke mening, maar dat is niet waarom ze vermoord zijn: dat was omdat ze macht hadden/kregen die anderen wilden.

            1. In Nederland zijn “we” dit station al een tijdje gepasseerd, maar in andere EU landen zijn de herinneringen aan politieke onderdrukking aanzienlijk verser, denk aan de communistische machthebbers in Oost-EUropa en Franco in Spanje. Heel begrijpelijk dat zo’n verbod in de GDPR terecht komt.

  7. Het lek is ondertussen gedicht, en afgezien van een melding bij de AP en een dreiging met aangifte tegen iedereen die de gegevens misbruikt lijkt er niets meer van te komen.

    Zijn de 93k betrokkenen zelf niet geïnformeerd? Ik ben benieuwd naar de afweging.

    De partij mag de bijzondere persoonsgegevens dan wel verwerken, maar het verbod van artikel 9 AVG is er niet voor niets; het blijven bijzondere persoonsgegevens. De app beoogde kopen van en verkopen aan andere FVD’ers te faciliteren. Het omgekeerde kan óók het geval zijn; personen/bedrijven die liever géén zaken doen met FVD’ers (denk discriminatie, financiële schade en reputatieschade).

  8. Volledig ter beantwoording van de technische vraag en geenzins uitlatend over de juridische toelaatbaarheid:

    • Vierogenprincipe, code review en code execution en wipen.
    • Alle records downloaden en in het moment real-time tweewegversleutelen.
    • De bestanden mee aan de een en de sleutel(s) mee aan de ander.
    • Samen een aantal records bekijken ter vaststelling juistheid en volledigheid.
    • Systeem volledig overschrijven/wipen.

    Zoiets?

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.