Het Openbaar Ministerie (OM) wilde de tienduizenden Nederlandse slachtoffers van de Genesis Market niet naar de Australische website Have I Been Pwned doorsturen, las ik bij Security.nl. Bij Genesis Market werden onder meer persoonsgegevens van zo’n 50.000 Nederlanders verhandeld, en na het oprollen van deze dienst ontwikkelde de politie de site Check Je Hack waar men kan nagaan of de eigen gegevens er ook in zitten. Maar deze uitleg doet wel enige wenkbrauwen fronsen.
De site Have I Been Pwned is wereldwijd volgens mij de bekendste zoekmachines om na te gaan of je mailadres in een bekend datalek voorkomt. Sinds 2021 is het bij de Amerikaanse FBI bijvoorbeeld standaard om dergelijke datasets te delen met de dienst. Het doet dus wat gek aan als men in Nederland dan zegt, wat is dat voor vage site:
“Bovendien wil je mensen die zich zorgen maken over hun onlineveiligheid, mensen bij wie mogelijk alle alarmbellen rinkelen, niet doorverwijzen naar een onbekende Engelstalige website en hen vragen om daar hun gegevens in te voeren. Zoiets wil je alleen doen op een website die je vertrouwt. Bovendien mogen wij dit soort gegevens niet zomaar delen met een private website. En dat willen we vooral ook niet”, laat [officier van justitie Jacqueline] Bonnes verder weten.Ik zie hier twee argumenten. Allereerst dus het “onbekend” argument, en ten tweede een juridisch argument. Om met dat laatste te beginnen: het is inderdaad niet direct duidelijk op welke AVG-grondslag de politie of het OM persoonsgegevens naar een niet-Europese private partij mag verstrekken. Al is het maar omdat overdracht van persoonsgegevens naar buiten de EU momenteel wat ingewikkeld ligt.
Het “onbekend” argument doet voor de lezer hier denk ik gek aan, omdat ‘iedereen’ die site kent als de plek waar je moet wezen. De site wordt overal gepromoot waar het gaat over gelekte wachtwoorden, zoals in het standaardwerk Laat je niet hack maken van journalist Daniel Verlaan. Maar ik kan niet ontkennen dat de site in het Engels is en niet dezelfde huisstijl heeft als een Nederlandse overheidssite. Ook weet ik niet hoe veel Nederlanders weten wat ‘gepwnd’ zijn betekent. Dus ik snap dat je dan als overheidsdienst even achter de oren krabt of het handig is deze dienst aan te raden.
Arnoud
Los van dat het naar het buitenland gaat (Australië?), algemeen belang kan hier prima als AVG-grondslag worden gebruikt toch?
Dat vereist een wettelijke regeling waarin uitgewerkt is welke gegevens, waarom en hoe beveiligd et cetera. Dat kan niet gewoon een keuze van het bestuursorgaan zijn.
Ik had nog nooit van die hele checkjehack website gehoord. Net even geprobeerd, en vind de gebruikservaring maar karig. Als je daar je emailadres invult:
Gaat er dan een ambtenaar met de hand de registers door of iets dergelijks in die 5 minuten? Bij haveIbeenpwnd krijg je resultaten in ~1 seconde.
Wat voor mij het grote nadeel is, is dat het voor zover ik zie niet mogelijk is om een heel maildomein te checken. Bij HaveIbeenpwned kan dat wel, daar heb ik een alert op staan dat als randomadres@mijndomein.nl aangetroffen wordt ik een mail krijg
Oh vet. Ik gebruik inderdaad ook een vergelijkbare constructie, en meende dat dat voorheen niet mogelijk was. Zojuist alsnog gedaan, thanks 🙂
Bij HaveIbeenpwned? Kan al minstens een jaar of drie, vier, toen heb ik dat ergens ingesteld zodat het met catchall werkt 😉
Dus nadat de AVG leken heeft geleerd meldingen ongelezen weg te klikken (cookiepopups) gaan we ze nu leren op “vreemde” websites hun persoonsgegevens in te voeren. Ga naar checkjehack.nu en vul je email in en je weet nu zeker dat spammers nu je persoonsgegevens hebben.
Ik heb even snel een steekproef gehouden om te zien hoeveel mensen Haveibeenpwnd kennen. Uit dit volkomen representatieve onderzoek kwam een uitslag van nul procent; niemand had ooit van die site gehoord. Mijn ouders niet, en mijn ooms en tantes en aangetrouwden in de familie app-group ook niet. Omdat ik dacht dat deze uitslag misschien toch niet zo representatief was, heb ik hem herhaald in mijn app-groep voor security professionals in de IT. Daar kende iedereen de site. Extrapolerend kunnen we dus met een aan zekerheid grenzende mate van waarschijnlijkheid stellen dat 50% van de Nederlandse bevolking de site kent.
Zo vreemd is de keuze dus niet geweest. Ik denk dat een probleem is dat juist de mensen die meer gevoelig zijn voor phising en scams ook de groep is die zo’n site niet kent, en die na een vervelende ervaring met phising ook niet meer vertrouwt.
Eens dat je bij ‘leken’ wilt benadrukken dat er geen info wordt achtergelaten bij ‘willeukerige’ buitenlandse sites. Dat is heel simpel op te lossen: pas https://www.politie.nl/informatie/checkjehack.html#check aan en zet er een link naar de vertrouwde site. Met een korte NL-talige uitleg erbij wat te doen en waarom die EN-talige site: omdat die een enorm veel beter zicht heeft op in welke datasets je zit opgenomen.
De politie hoeft ook niet de Genesis Market dataset te delen, die hebben ze ook daar al lang.
Terzijde: mag de politie mijn persoonsgegevens verwerken (onder de politiewet?) en mag Have I Been Pwned dat (onder de AVG)? Incl. recht op vergetelheid? https://haveibeenpwned.com/Privacy zegt dat je mailadres niet wordt verwijderd, maar geeft een m.i. terechte uitleg waarom alleen (op z’n goed Nederlands) wordt geflagged als zijnde ‘niet tonen’
De status van HIBP heb ik al eens besproken. Ik denk dat de politie deze gegevens mag verwerken onder de Wet politiegegevens binnen de algemene taakstelling van art. 3 Politiewet, hulp geven aan zij die dat behoeven. Ik vind het echt niet nodig dat er een enorm regime opgetuigd moet worden zodat mensen het internetequivalent kunnen doen van het bureau bellen met “zit mijn schemerlamp bij de spullen van die dief”.
Ik stoor me vooral aan de terloopse verdediging: ‘buitenlands(talig) = minder betrouwbaar’, en dat niemand daar ook maar van opkijkt.
Buitenlandstalig betekent gebruikersonvriendelijker. De gemiddelde Nederlander heeft wel een redelijke kennis van het Engels, maar dat is niet het niveau dat nodig is om de (specialistische) uitleg te begrijpen zoals die op HaveIBeenPwned getoond wordt. Een uitleg in begrijpelijk Nederlands is zeker gewenst voor de computergebruikers die geen beveiligingsexperts zijn.
Heb je daar een paar voorbeelden bij? Ik heb moeite om in te zien wat een Nederlandse vertaling nodig hebben voor de gemiddelde Nederlander.
Een deel van een beschrijving:
Als ik dit lees, denk ik: Engels op C nivo.Ik haal daar uit: – Datum datalek: October 2019 – 1.2 billion records – Bedrijf met datalek: PDL – 622 million unieke e-mailadressen – Client heeft de server niet voldoende beveiligd
Ik denk dat iedereen dit er uit kan halen.
Je mist de nuance dat het een klant van PDL was die de data lekte; er wordt expliciet genoemd dat de server niet van PDL was. “Data Enrichment” geeft mij ook een goede indicatie van op welke wijze de gegevens verwerkt worden, maar wat zegt dat de gemiddelde computergebruiker?
Daarbij komt nog: Hoe ernstig moet je het betreffende datalek inschatten? In dit geval zijn er geen wachtwoorden buitgemaakt, dus ik zie geen reden voor urgente actie. Bij de Genesis Market ligt de situatie compleet anders en moeten de getroffenen gedetailleerd advies krijgen over hoe (verdere) schade te voorkomen.
Wat je nu opnoemt heeft niets tot weinig met de taal te maken waarin het geschreven is. Jargon is voor de gemiddelde gebruiker lastig, ongeacht de taal waar de jargon in is geschreven.
Als volgens jou het jargon problematisch is, ja dat is zo. Maar dat het jargon in een vreemde taal is helpt ook niet. HIBP is een hele nuttige website voor computerveiligheidprofessionals, maar de gemiddelde consument heeft het een en ander aan extra uitleg nodig.
Ik denk deze voor de doorsnee Nederlandse gebruiker prima te gebruiken is. En daarnaast dat de het Engelse publiek evenveel problemen heeft met het jaron als het Nederlandse publiek. Mijn aanbeveling zou zijn om de tekst van de taal in het Engels te houden, en te verbeteren op het punt van de begrijpbaarheid en volledigheid. Als er AVG issues zijn dan zou ik één Europees alternatief verkiezen boven dan ieder land zijn eigen versie maakt.
Waarom zou ik als ‘leek’ die site van de politie automatisch wél vertrouwen? Nederlandse overheid + ict is te vaak niet zo’n heel goede combinatie. Daarnaast is de titel van de site erg onhandig gekozen. Ja lekker kort en het rijmt een soort van. Maar hier ga je dus heen om te controleren of de online inbraak die je zonet geprogrammeerd hebt kans van slagen heeft, of wat? :facepalm: En succes met uitleggen waarom mensen deze site met één dataset moeten gebruiken maar voor alle andere duizenden lekken toch echt naar die ingewikkelde Engelse site moeten.