Vallen encrypted data ook onder de AVG als ik ze elders opsla?

Een lezer vroeg me:

Pas heb ik ‘Advanced Data Protection’ van Apple op mijn iCloud-account geactiveerd. Toen kwam bij mij de volgende gedachte op: Als mijn data volledig versleuteld is, en ik ben de enige die sleutels heeft, maakt het dan (voor AVG/GDPR) uit waar die data opgeslagen is?
Wanneer persoonsgegevens buiten de EU (eigenlijk de Economische Ruimte) opgeslagen worden, gelden daar allerlei eisen voor die kort gezegd neerkomen op het tegenhouden van buitenlandse datagraaiers. De ideale oplossing is als het land erkend is als adequaat, zoals is gebeurd bij Zuid-Korea of het Verenigd Koninkrijk, maar je kunt ook goochelen met dingen als bindende bedrijfsvoorschriften of de model contractuele clausules.

Als het niet gaat om persoonsgegevens, dan gelden al die regels niet. En daar zit hem de kneep: is een encrypted blob nu wel of niet een (set) persoonsgegeven(s)? Het antwoord daarop beantwoordt meteen de vraag of de AVG van toepassing is. Er is niet zoiets als “een beetje van toepassing”, je valt onder de AVG en de héle berg eisen, of je valt er volledig buiten.

Het onleesbaar maken van persoonsgegevens is in de terminologie van de AVG een vorm van pseudonimiseren, de herleidbaarheid onmogelijk maken tenzij je beschikt over extra informatie. Een decryptiesleutel is daarvan een voorbeeld. Dus wie de definities letterlijk leest, ontkomt niet aan de conclusie dat dit gewoon onder de AVG valt – die blob bevat persoonsgegevens, ze zijn heel goed beveiligd maar ze zitten er toch echt in.

Vorige week blogde ik over het Breyer-arrest en haar opvolger. Een IP-adres is daar een voorbeeld van een persoonsgegeven, omdat het via wettige middelen kan worden herleid tot een persoon. En in die opvolger werd bepaald dat je de analyse over herleidbaarheid moet doen vanuit het perspectief van de ontvanger van de gegevens. Dat het in abstracto voor iemand mogelijk is om de identificatie te doen (de decryptie) is niet genoeg, kon specifiek die ontvanger dit doen met redelijke en wettige middelen?

Vertaald naar deze casus is dan dus goed verdedigbaar dat die buitenlandse partij zich niet aan de AVG hoeft te houden. Die mag dus alles doen dat hij wil (binnen het contract) met die blob. Niet erg, want het is een encrypted blob dus wat gaat hij doen?

Maar voor de klant van die hostingpartij blijft de blob gewoon persoonsgegevens bevatten. Hij kan immers de encryptie triviaal ongedaan maken, hij heeft namelijk de sleutel. En dat betekent ook dat hij de data niet op een buitenlandse server mag zetten, tenzij het land waar hij dat doet adequaat is, er BCR of MCC zijn of een van de andere uitzonderingen van toepassing zijn. De regels zijn dus precies hetzelfde als wanneer je plaintext gegevens ergens wilt parkeren.

Ik geef toe, dat doet vreemd aan want juist als je gegevens sterk versleutelt dan zou er niets mee moeten kunnen gebeuren. En dan zijn er ook geen risico’s voor betrokkenen. Maar bekijk het eens zo: als de sleutel toch ooit uitlekt, en die blob staat in een land waar persoonsgegevens vogelvrij zijn, dan zou de hostingpartij die lekker kunnen ontsleutelen en met de gegevens aan de haal gaan – waar mensen dan niets tegen kunnen doen. En ook dat is niet de bedoeling.

Arnoud

14 reacties

  1. Aka “What Colour are your bits?” – https://archive.is/oj74g:

    The idea of Monolith is that it will mathematically combine two files with the exclusive-or operation. You take a file to which someone claims copyright, mix it up with a public file, and then the result, which is mixed-up garbage supposedly containing no information, is supposedly free of copyright claims even though someone else can later undo the mixing operation and produce a copy of the copyright-encumbered file you started with. Oh, happy day! The lawyers will just have to all go away now, because we’ve demonstrated the absurdity of intellectual property!

      1. Ik kende het essay al en ik blijf altijd met het handhavingsprobleem zitten.

        Wiskundig gaat de kleur verloren, maar juridisch houdt iets na bewerking de de kleur. Je zal echter na de bewerking juridisch wel moeten bewijzen dat iets voor bewerking die kleur had en dat is lastig als het wiskundig geen kleur meer heeft.

        Tenzij degene die het wil bewijzen over de sleutel beschikt en het dus terug kan transformeren zou je zeggen. Maar dan loop je tegen een probleem aan: Neem een bestand met random gegenereerde data van 1MB en ik kan een ‘sleutel’ daarbij maken die elk ander bestand van 1MB reproduceert. Als jij met een sleutel komt die het transformeert in een auteursrechtelijke foto, kom ik met een sleutel die er mijn laatste belasting aangifte van maakt bij wijze van spreken.

        Als je wil bewijzen welke kleur het bestand heeft moet je getuigen hebben van het creeeren van het bestand of bewijs dat degene die het gepubliceerd heeft ook de sleutel heeft gepubliceerd die er een auteursrechtelijk beschermd werk van maakt. Anders kan je iedereen framen door een zelfgemaakte sleutel voor hun bestand te maken.

        1. Je loopt nu tegen het andere geval aan waar juridisch en wiskundig hetzelfde woord twee verschillende betekenissen hebben, wat tot ernstige miscommunicatie leidt, namelijk het woord “bewijs”.

          1. Alleen al, omdat als je wiskundig aantoont dat je met een sleutel een auteursrechtelijk beschermd bestand krijgt je niets bewezen hebt.

            Iedereen kan immers achteraf een ‘sleutel’ produceren die elk willekeurig ander evengroot bestand oplevert.

            Je zal echt moeten bewijzen dat zowel bestand als sleutel van dezelfde persoon/groep afkomstig is en bij elkaar horen. Juridisch is het wiskundige bewijs dus onvoldoende om de claim aan te tonen.

        2. Dat verhaal gaat op met een triviale encryptie met alleen exclusive or met een one-time-pad sleutel. Maar met een serieuze encryptiemethode van enige kwaliteit kun je zo’n sleutel natuurlijk niet zomaar maken. Dat haalt het hele verhaal onderuit.

          1. Ook bij een andere encryptietechniek kun je pretenderen dat het een one-time pad was, en een bestand construeren dat een willekeur gegeven werk oplevert (zolang dat maar kleiner of even groot is als het versleutelde bericht). Ofwel, dat je dit kan doen bewijst helemaal niets.

  2. Ik ben vanuit het oogpunt van fotografie geïnteresseerd hierin. Als een foto namelijk geen persoonsgegeven bevat is alles veel makkelijker. Een foto met de naam “Wedstrijd 2 november Nijverdal” met daarop een sporter met een volgnummer is met wat googlewerk te herleiden naar Marietje Jansen, want de deelnemerslijsten staan vaak openbaar op internet (geen idee of ik daar iets van moet vinden). Afhankelijk van de foto en de context kan het herleid worden naar een persoon. Een foto van de Dam in Amsterdam kan een herkenbaar persoon bevatten, maar ik wens eenieder veel succes om die persoon daadwerkelijk te vinden – dus geen persoonsgegeven.

    Ik lees de definitie in de AVG vooral als een identificerend gegeven dat ook echt bedoeld is om makkelijk en snel alle gegevens van die persoon in een database te vinden, en niet iets dat je alleen maar bij elkaar kunt schrapen door alle mensen in Nederland langs te lopen met een foto in je hand. Daar tussenin zit nog iets dat niet bedoeld was om een persoon te identificeren maar middels combinatie van gegevens wel te herleiden is – ook dat zijn persoonsgegevens. Dus ik volg deze definitiekwestie met interesse.

    1. Ook zonder rugnummer kan een foto van een natuurlijk persoon zomaar een persoonsgegeven zijn, want de definitie in artikel 4 lid 1 AVG spreekt over “een geïdentificeerde of identificeerbare natuurlijke persoon”. Zonder naam kan een foto heus een persoonsgegeven zijn.

  3. “Een IP-adres is daar een voorbeeld van een persoonsgegeven, omdat het via wettige middelen kan worden herleid tot een persoon” Ik blijf het nog steeds heel moeilijk hiermee hebben, omdat ik er van uitga dat uitsluitend een IPnummer -zonder nadere identificatie of een ander uniek gegeven van het individueel gebruikte toestel, zoals IMEI of MAC- niet per se tot 1 enkele persoon is te herleiden. Een eenvoudig voorbeeld is een router in een huishouden met 2 ouders en 2 kinderen: alle gezinsleden delen (naar de buitenwereld toe) hetzelfde (vaste of veranderlijke) IPadres. Alleen met en mits toevoeging van het individueel gebruikte unieke identificatienummer van het toestel zelf, in combinatie met het IP-nummer zou het te herleiden zijn tot 1 enkele persoon.

    1. Het is volgens mij genoeg dat je het IP-adres naar de abonnementshouder kunt herleiden om van een persoonsgegeven te spreken. Mijn auto staat op mijn naam, en mijn kenteken is dus een persoonsgegeven, het maakt daarvoor niet uit wie het ding bestuurt of zelfs maar of er iemand in zit op het moment dat iemand het kenteken verwerkt.

      Natuurlijk is het goed mogelijk dat de abonnementshouder niet de dingen doet die hem worden verweten (zoals auteursrechtinbreuk) en dat de persoonsgegevens dus niet correct zijn voor het aanpakken van die verweten dingen. Maar dat is een andere discussie, waar in ieder geval voor juristen best uit kan komen “wellicht was het je huisgenoot maar jij draait er toch voor op”. Hoe dan ook: enkel omdat je de NAW van de abonnementshouder zonder onredelijk ingewikkelde maatregelen kunt koppelen aan een IP-adres en timestamp, is het IP-adres een persoonsgegeven.

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.