Een lezer vroeg me:
Mijn buurman (op leeftijd) is al jaren klant bij Odido en maakt zich grote zorgen dat zijn gegevens buitgemaakt zijn bij die recente hack. Ik zou hem duidelijkheid kunnen geven door even op die Onion-site te kijken waar dat eerste lek is gepubliceerd. Maar ben ik dan strafbaar?TLDR: ja, je bent strafbaar als je die dataset gaat downloaden. Ook als je daarvoor niet zelf hoefde in te breken bij Odido, en ook als je “alleen maar” op het Dark Web (de juristenterm voor wat je niet met Google vindt) hoeft te wezxen.
Het iets langere antwoord. Naast computervredebreuk is apart strafbaar wat wel “gegevensdiefstal” heet. Dit staat in artikel 138c Strafrecht:
Met gevangenisstraf van ten hoogste een jaar of geldboete van de vierde categorie wordt gestraft degene die opzettelijk en wederrechtelijk niet-openbare gegevens die zijn opgeslagen door middel van een geautomatiseerd werk, voor zichzelf of voor een ander overneemt of doorgeeft.Dit is primair bedoelt voor wie het uit een (rechtmatige) bron kopieert. Betrok je het uit een onrechtmatige bron, dan komen we eerder bij heling van gegevens, artikel 139g:
Met gevangenisstraf van ten hoogste een jaar of geldboete van de vierde categorie wordt gestraft degene die niet-openbare gegevens (…) verwerft of voorhanden heeft, terwijl hij ten tijde van de verwerving of het voorhanden krijgen van deze gegevens wist of redelijkerwijs had moeten vermoeden dat deze door misdrijf zijn verkregen;In beide gevallen is nodig dat de gegevens “niet-openbaar” zijn. Maar wat is “niet-openbaar”? Ze staan immers vrijelijk toegankelijk op internet, zij het dat je even moet weten wat het Onion Router-project is en je een tijdje moet snuffelen voor je het 56 tekens tellende .onion adres te pakken hebt.
Uit de Memorie van Toelichting haal ik alleen het contrast tussen “je kreeg het van één persoon via een besloten kanaal” en “algemeen toegankelijk via internet”. In een zaak uit 2024 werd het overnemen van films (ook gegevens) van een obscure site van een ander als “openbaar toegankelijk” genoemd.
Het onderscheid tussen het “Surface web”, “Deep web” en “Dark web” wordt bij juristen regelmatig gemaakt. De achterliggende gedachte is dat iets dat gewoon direct via zoekmachines te vinden is, evident telt als openbaar. Harder moeten zoeken of spitten in data (deep web) is dan een grijs gebied, en -in ieder geval in mijn stellige overtuiging – het Dark Web is dan niet meer openbaar.
Dit past ook bij de achterliggende bedoeling van de wet: mensen kunnen tegenhouden die dingen verspreiden die door misdrijf zijn verkregen. Dat wordt pas ondoenlijk en onwenselijk als “iedereen” bij die gegevens kan. Daar zijn we nu nog niet, en in het belang van de slachtoffers moet dat zo blijven.
Artikel 139g kent een uitzondering voor “degene die te goeder trouw heeft kunnen aannemen dat het algemeen belang” die handeling eiste. Ik zie wel hoe “de buurman maakt zich grote zorgen dus ik heb voor hem gekeken” daar onder kan vallen.
Tegelijkertijd kun je die check alleen doen door het hele bestand te downloaden. Dat staat daarna op jouw laptop, en kan door onoplettendheid of wat dan ook een eigen leven gaan leiden. Op zijn minst vind ik dit dus enorm riskant.
Arnoud
Dat is allemaal fijn, maar als Odido klant krijg je alleen een vaag mailtje dat er mogelijk wat gegevens van jou zijn gestolen en welke dat zouden kunnen zijn.
Dit soort wetgeving, hoe goed ook bedoeld, zorgt er dus voor dat je afhankelijk bent van een slecht communicerende organisatie om te bepalen welke gegevens er echt zijn gestolen en waar je dus op moet letten.
Het is nu een deel bestand, maar ik vrees dus als het zo doorgaat dat ik dus de wet moet overtreden als het hele bestand er staat om er achter te komen welke gegevens men over mij heeft gestolen.
Bovendien is dit niet te rijmen met een bijzonder nuttige site als Have I been pwnd,
Have I been pwnd doet het voor ALLE adressen in de bestanden die hij archiveert. Dus dan van je wel onder de algemeen belang uitzondering
Zie ook https://datagelekt.nl/odido/
Ja maar het blijft dus raar dat iemand wel alles mag gebruiken voor het algemeen belang. En dat algemeen belang is dat individuen kunnen checken.
Maar als individu mag je dat zelf niet. Dus jouw gestolen data moet eerst naar een ander voor je er zelf bij mag.
Dat klopt gewoon niet.
Daarbij zegt een site als have I been owns doorgaans of je in de Lek zit, maar wat er over je gelekt is melden ze niet.
Moet ik dan eerst bij hun kijken of ik er in zit en zo ja dan beredeneren dat ik een belang he te weten wat er dan in zit om misbruik te kunnen mitigeren voor ik zelf ga kijken?
Dus … de hele set staat nu op Have I been pwnd en mijn data zit erbij.
Van Odido alleen nog maar algemene mailtjes gekregen met wat voor data er in het algemeen gelekt is. Ik weet nu dus nog steeds niet welke exacte data Odido van mij gelekt heeft en waar ik op moet letten.
Zo weet ik niet meer of ik mij met mijn paspoort of rijbewijs had geïdentificeerd. Die laatste is recent verlengd en als ik die heb gebruikt is er dus een oud nummer gelekt. Als het de eerste is dan gat het om mijn huidige nummer. Lijkt mij belangrijke info.
Mijn IBAN is sowieso gelekt, dat is een probleem bij organisaties die kak makkelijk aannemen dat jij de beller bent als je de laatste vier cijfers daarvan kan oplepelen.
Welke aantekeningen Odido bij mij account heeft gemaakt en die ook gelekt zijn kan ik ook alleen in de data zijn.
Ik zal binnenkort dus wel een crimineel zijn, want ik verdom het om in onwetendheid hierover te blijven door de onkunde en inactiviteit van Odido.
Een vogeltje heeft mij ingefluisterd dat mijn paspoort in de lek stond. Alleen zo stokoud dat deze al meer dan 8 jaar geleden is verlopen en vervangen.
Ik snap niet waarom Odido mij dat niet kon mailen…
Misschien omdat ze anders het verwijt krijgen dat ze (a) vertrouwelijke gegevens versturen via een inherent onveilige weg, namelijk SMTP. (b) vertrouwelijke gegevens versturen terwijl het e-mail adres misschien nu van iemand anders is
Ze communiceren hun gepersonalisserde reclames en rekeningen ook op dat adres, dus dat laatste is een k*t smoes als ze dat zouden zeggen.
En wat dat eerste betreft kunnen ze mij prima mailen welke gegevens gelekt zijn, inclusief dat het een verlopen paspoort betreft, zonder de details van die ID documenten te geven. En als ze niet weten dat het verlopen is, kunnen ze mailen dat het ID nummer gelekt is en eventueel de laatste drie letters/cijfers vermelden oid.
Wat kwalijker is, is dat ze zelf nu laatste cijfers van IBAN niet meer als ID gebruiken vanwege dit lek, maar veel andere partijen in NL helaas nog wel. Het is nu dus makkelijker geworden voor anderen om zich als mij voor te doen.
Ik ben nu dus al mijn registraties naar een ander e-mail adres aan het overzetten die in de verste verte niet meer lijkt op het gelekte adres.
Je kan bij Odido een inzageverzoek doen en een kopie opvragen van alle gegevens uit hun klantenservicesysteem. Dan weet je exact wat er gelekt is en blijf je binnen de wet. Wel jammer dat Odido dit niet proactief verstrekt en dat het formulier voor het indienen van een inzageverzoek weer een hoop persoonsgegevens van je vraagt, wat best een (mentale) drempel opwerpt…
Als je denkt dat ik Odido op dit moment nog meer persoonsgegevens ga verstrekken dan zit er denk ik een steekje los.
Odido heeft hele basale beveiliging verzuimd te implementeren.
De dump is duidelijk uit salesforce. Salesforce heeft een optie om het aantal requests dat een account doet te veperken. Als je die limiet bereikt moet je die actief laten verhogen. Als ze alleen al dat op een redelijke limiet hadden gezet – hoeveel raadplegingen doet een persoon u maximaal op een dag – dan was de medewerker onverwacht tegen een blokkade opgelopen. Dan hadden ze het lek veel eerder ontdekt en was er hooguit een fractie van de data gelekt.
Dat er geen alarm bel afgaat als een account duizenden records opvraagt is ook een bewijs van ofwel ongelovelijke onkunde danwel nalatigheid.
De boel is nu al gelekt, dus heeft weinig nut om nog weg te gaan. Maar mag hopen dat ze zwaar onder curatele gesteld worden en de komende jaren regelmatig geaudit worden.
Voor zover ik artikel 12 lid 6 AVG goed begrijp, mag er alleen om aanvullende informatie ter bevestiging van de identiteit van de betrokkene gevraagd worden als er redenen zijn om te twijfelen aan de identiteit van de betrokkene. Dus niet bij voorbaat (‘want lekker efficiënt’) en dan alleen zoveel als nodig is. Een inzageverzoek is verder volgens mij vormvrij. Het gebruik van dat formulier lijkt me dan ook niet verplicht.
Helemaal eens en dus (nog) een indicatie dat de processen bij Odido voor verbetering vatbaar zijn.
Een betere en veiliger methode voor de briefschrijver, is simpelweg checken op Have I been Pawned
Als een e-mailadres daar verschijnt in de context van de Odidohack, weet je vrij zeker dat er ook andere gegevens zijn gelekt.
Maar niet welke.
Hoi Arnoud, is dit een gewijzigd standpunt tov deze post uit 2023? Of zijn er nuances waardoor dit als 2 verschillende situaties beoordeeld moet worden?
https://blog.iusmentis.com/2023/12/15/is-het-legaal-om-in-datalekken-te-snuffelen/
Heb je de tweede helft van deze post wel gelezen? Het hele stuk vanaf:
Hoe passen buitenlandse websites in de classificatie “Surface web”, “Deep web” en “Dark web”? En dan specifiek websites in landen waar de overheid niets echt genegen is om de Nederlandse justitie te helpen, zeker als hun eigen burgers er geen last van hebben.
Even voor je beeldvorming: de data is niet via het darkweb beschikbaar, maar via het “surface web”. Valt dit dan ook onder publiek beschikbare data? ShinyHunters heeft de data namelijk publiek geplaatst op http:///, dus het is niet via het darkweb te verkrijgen (proces is darkweb site heeft een “download button” die verwijst naar een surface web site http://ip.
Daarnaast: als een securityonderzoeker in het “algemeen belang” de dataset gebruikt om daaruit een doorzoekbare database te maken—vergelijkbaar met hoe Have I Been Pwned werkt—ben je dan strafbaar bezig? Het idee is dat de dataset wordt gedownload om Nederlandse slachtoffers te helpen inzicht te krijgen of zij wel of niet gelekt zijn, en om zichtbaar te maken wélke typen gegevens zijn gelekt (zonder de daadwerkelijke waarden te tonen).
En als dit strafbaar is: waarom zou dit dan wél zijn toegestaan voor partijen als Have I Been Pwned?
Is het nog steeds strafbaar als ik een tooltje bouw, wat de data binnenstreamt en regel voor regel (ik ga gemakshalve even uit van een csv achtig format) besluit of de data relevant is voor mij en alleen de relevante regels daadwerkelijk opsla?
Het regel voor regel afgaan (op basis van vergelijken, beoordelen) is toch net zo goed een verwerking als het opslaan van alleen de relevante regels?
Als ik mijn probleem influister bij een kennis buiten de EU, in een jurisdictie die niet zo panisch is over het downloaden van gestolen gegevens, zodat dat die even mijn gelekte gegevens uit de dataset kan oppikken, en die kennis mailt mij daarna alleen de gegevens gerelateerd aan mij, ben ik dan ook strafbaar?
Handigere manier: https://tweakers.net/nieuws/245292/politietool-laat-klanten-odido-checken-of-ze-slachtoffer-datalek-zijn.html
Geeft een non antwoord.
Ja ik zit erin, maar geen woord over welke gegevens.