Een lezer vroeg me:
Steeds vaker merk ik dat telefoontjes binnenkomen op telefoonnummers die alleen gevonden kunnen zijn door het gebruik van informatie uit datalekken. Bijvoorbeeld een verkoper die je op je niet publieke privénummer belt of mailt op je privé mailadres, omdat je werkt bij een bepaald bedrijf. Is het gebruik van gelekte informatie op zichzelf eigenlijk strafbaar?Sinds de Wet Computercriminaliteit III in 2019 is apart strafbaar gesteld het verwerven, voorhanden hebben, aan een ander bekend maakt of geeft, of uit winstbejag hebben of gebruiken van niet-openbare gegevens. Het criterium daarbij is of je “weet of redelijkerwijs moet vermoeden dat het door misdrijf verkregen gegevens betreft.”
Voor de zekerheid is nog als uitzondering toegevoegd dat je niet strafbaar bent wanneer je te goeder trouw mocht aannemen dat het in het algemeen belang was om dit te doen. Dit is met name bedoeld om klokkenluiders en journalisten te beschermen. Een simpel voorbeeld is een stukje uit een datalek publiceren als de organisatie ontkent dat het datalek zich überhaupt had voorgedaan, want dat is technisch het bekend maken van door misdrijf verkregen gegevens. Maar dat is hier dan nodig voor het nieuwsbelang.
Mensen gaan bellen voor verkoopgesprekken op uit datalekken verkregen telefoonnummers dient natuurlijk niet het algemeen belang. Ik zou dat wel het “uit winstbejag gebruiken” noemen, zodat aan dat element van het artikel is voldaan.
De lastiger vraag is of de organisatie wist of moest vermoeden dat de telefoonnummers uit misdrijf verkregen waren. De meeste salesorganisaties schuimen niet zelf internet af op zoek naar willekeurige telefoonnummers, maar kopen die als bestand ergens in. En als de verkoper van die gegevens in het contract verklaart alles legaal verkregen te hebben, dan denk ik dat bewijs van “wist of moest vermoeden” bij de koper heel lastig te leveren wordt.
Natuurlijk kunnen we dan naar die verkoper gaan kijken, want ergens was er iemand die de data uit het lek schraapte en ging bundelen. Dat is niet onmogelijk, maar vooral veel werk. Met de AVG in de hand kun je van de bellende organisatie eisen dat men meldt waar de data vandaan komt (art. 14 lid 2 onder f AVG), al is mijn ervaring dat het gedoe is om meer te krijgen dan “van diverse hoog aangeschreven leveranciers en uit openbare bronnen”.
Arnoud
Ik denk dat het een heel positieve impact zou hebben om het gewoon altijd illegaal te maken om zulke data uberhaupt te kopen en verkopen.
Helaas zitten de grootste professionele privacyschenders in de VS, buiten bereik van het EU recht. (Misschien komt er ooit nog iets in de VS dat op privacybescherming lijkt, maar ik zou er niet te hard op rekenen.)
Wat ook nog een probleem kan zijn is dat veel telefoonnummers die tegenwoordig worden uitgegeven tweedehands zijn. Dus het kan zomaar komen van een vorige eigenaar.
Dat zou automatisch betekenen dat na X jaar een bepaald percentage niet meer klopt en alleen al om die reden niet legaal kan zijn.
Dan is er best iets voor te zeggen om ergens een tijdslimiet te zetten (bijv 2 of 3 jaar) en als je niet kunt aantonen dat het vermeende legaal verkrijgen in die periode gebeurd is, dat je dan sowieso hangt.
Dat zal extra druk zetten op de verkopers van die telefoonnummers, want die moeten er een ‘legale verkrijgingsdatum’ bij vermelden anders heeft het geen waarde voor de koper, en zal misschien ook extra handvatten geven om die verkopers aan te pakken (valsheid in geschrifte als ze lijsten recyclen en van een fictieve datum voorzien)
Ik ga die laatste wel een keer proberen. Tot nu toe heb ik nauwelijks reactie op inzageverzoeken gehad. Mocht ik weer verkooptelefoontjes krijgen dan ga ik me hier eens op beroepen.