Categorie: Security

About Security

Subscribe Feeds

Zou de Nederlandse politie gestolen wachtwoorden aan een private dienst mogen geven?

Geplaatst op in Security, 10 reacties

Een lezer vroeg me:

De website Have I Been Pwned heeft van de FBI 630 miljoen wachtwoorden ontvangen. Deze wachtwoorden werden volgens de website aangetroffen na de inbeslagname van meerdere apparaten van een verdachte. Het doet mij raar aan dat de politie zo ‘gestolen’ data deelt met een private partij. Kan dat in Nederland?
Als je het zo algemeen stelt, doet het inderdaad raar aan. De politie treft iets aan (spullen of data) bij een verdachte in het kader van een strafrechtelijk onderzoek, en geeft die dan onderhands aan zomaar een private partij.

Dat zou zo algemeen niet kunnen in Nederland. Als de politie zaken in beslag neemt, dan worden die of teruggegeven, of verbeurd verklaard. In dat laatste geval wordt de Staat er eigenaar van (art. 9 Strafrecht) en gewoonlijk worden ze dan verkocht. Zaken die op zichzelf verboden zijn (bijvoorbeeld vuurwapens) worden juist vernietigd. Er is dus geen formele route om die spullen zomaar aan iemand mee te geven.

Hier is het echt niet zomaar, HIBP is een maatschappelijk initiatief van grote bewezen waarde dat al lange tijd samenwerkt met de FBI om de maatschappij veiliger te maken. In 2021 maakte HIBP-initiatiefnemer Troy Hunt bekend een samenwerking met de FBI opgezet te hebben waarbij de dienst wachtwoorden uploadt en Hunt ze ontsluit via zijn zoekdienst. De FBI noemde dit toen een “belangrijke publiek/private samenwerking”.

Ook in Nederland kunnen dergelijke constructies worden opgezet. Waarborgen zijn dan wel nodig, zoals het afschermen van de wachtwoorden vergelijkbaar met hoe HIBP dat doet. De AVG is precies hier dan niet relevant, omdat de FBI alleen de wachtwoorden deelt (“Pwned Password”) en niet gebruikersnaam/wachtwoord combinaties. Een wachtwoord an sich kan ik niet als een persoonsgegeven zien.

Arnoud

Mag een sigarettengezichtsscanner iedereen scannen die in de rij staat bij de kassa?

Geplaatst op in Ondernemingsvrijheid, Privacy, Security, 12 reacties
"3D Face Scanner on Digitopolis" by davepatten is licensed under CC BY-NC-SA 2.0

Een lezer vroeg me:

Op diverse plekken staan zuilen voor sigarettenverkoop, die gezichten scannen om te bepalen of men oud genoeg is. Mij is opgevallen dat deze dingen gezichten scannen van iedereen in de rij. Ik zie het lampje van de scanner iedere keer branden wanneer iemand voor de kassa verschijnt, dus niet pas als je sigaretten afrekent of in de scanner kijkt. Mag dat zomaar?
Ik zie wel hoe dit zo kan werken. Vanwege gebruiksgemak scant het ding de hele tijd naar gezichten, maar meestal zal dat geen nuttige scan opleveren omdat mensen te ver weg staan of niet recht in de camera kijken. De scans worden niet opgeslagen, dus de praktische impact is beperkt.

Er is geen expliciete wettelijke regel waaruit blijkt dat je moet melden dat je een gezichtsscan uitvoert. Vanaf 2 augustus zal onder de AI Act de transparantie-eis (artikel 50) van kracht worden. Deze verplicht “gebruiksverantwoordelijken” van AI-systemen (zoals biometrische gezichtsherkenning) waarmee je directe interactie hebt, expliciet aan te laten geven dat je met een AI interacteert. Zo’n scanner zal dus bij iedere scan moeten melden “ik scan nu je gezicht”.

Heel recent verscheen arrest C-422/24 van het Hof van Justitie. Hier ging het over de vraag waar een opname met een bodycam door een controleur in het openbaar vervoer onder valt binnen de AVG. Het Hof noemt dit een “directe verkrijging” van persoonsgegevens, en eist dat er dan ook direct informatie wordt verschaft aan de betrokkenen. De locatie moet daarom voorzien zijn van bordjes (“Inspecteurs hebben bodycams”) en verwijzingen naar uitgebreidere informatie.

Dit arrest is met een beetje goede wil zo te lezen dat ook zo’n gezichtsscanner een bordje moet krijgen als deze de gehele ruimte scant. Ik twijfel daar wel over, omdat het niet de bedoeling is dat iedereen gescand wordt, maar de scanner gewoon een zeker bereik heeft en dus toevallig gezichten aanstraalt waar vervolgens niets mee gebeurt.

Arnoud

Is het strafbaar om een ‘evil twin’ wifi-netwerk aan te bieden?

Geplaatst op in Security, 12 reacties
Photo by Addy Spartacus on Unsplash

Een 44-jarige Australische man die via een ‘evil twin’ wifi-netwerk phishingaanvallen uitvoerde is in Australië veroordeeld tot een gevangenisstraf van zeven jaar en vier maanden. Dat meldde Security.nl onlangs. Diverse onderzoekers vroegen me of dat ook bij ons zo zou uitpakken.

Bij een evil twin-aanval maak je kort gezegd een wifi-netwerk met dezelfde naam om zo de laptops en telefoons in de buurt met dit malafide wifi-netwerk verbinding te laten maken. Het kán dan zijn dat je wachtwoorden of certificaten toegezonden krijgt, maar deze man had het simpeler ingericht:

Wanneer slachtoffers met dit malafide netwerk verbinding maakten werden ze doorgestuurd naar een webpagina die hen vroeg om in te loggen met een e-mail- of socialmedia-account. In werkelijkheid ging het om een phishingpagina die inloggegevens op de apparatuur van de verdachte opsloeg. Inloggegevens die slachtoffers invulden werden door de verdachte daarna gebruikt om op hun socialmedia- en e-mailaccounts in te loggen en zo allerlei gevoelige informatie te stelen.
Op deze manier verkrijg je natuurlijk een berg wachtwoorden, en daar kun je dan makkelijk mee inloggen en allerlei zaken uithalen. Het spreekt voor zich dat dat laatste computervredebreuk is. Maar het enkele omleiden naar jouw netwerk, is dat al strafbaar?

De strafwet kent geen letterlijk verbod op het opzetten van een wifi-netwerk met als SSID de naam van een ander, ook niet als jouw intentie kwaadwillend is. Je moet dus zoeken naar zaken als denial of service (je hindert toegang tot het andere netwerk) of het aftappen van communicatie (men beoogt het andere netwerk het connectieverzoek te sturen).

Met name die laatste lijkt me relevant. Art. 139c Wetboek van Strafrecht verbiedt

opzettelijk en wederrechtelijk met een technisch hulpmiddel gegevens [aftappen of opnemen] die niet voor hem bestemd zijn en die worden verwerkt of overgedragen door middel van telecommunicatie of door middel van een geautomatiseerd werk.
De lezing is dan dat door het nepnetwerk op te zetten, de slachtoffers jou gegevens sturen die niet voor jou bestemd zijn. Immers men wilde het échte netwerk met die naam hebben.

Indirect is hiermee het enkele opzetten van dat nepnetwerk ook strafbaar, namelijk als poging (art. 45 WvSr) tot het plegen van strafbaar aftappen. Er moet dan een “een begin van uitvoering” zijn, wat hier eenvoudig te bewijzen is omdat het netwerk zich voordoet als het echte netwerk en daar in de buurt ook opgesteld staat.

Arnoud

 

 

Mag Google met verplichte registratie andere appwinkels buiten de deur houden?

Geplaatst op in Ondernemingsvrijheid, Security, 9 reacties

Een lezer vroeg me:

Allerlei partijen maken zich zorgen (F-Droid, EFF) over de plannen van Google voor de verplichte registratie van app-ontwikkelaars. Volgens Google zou dit gebruikers juist tegen “bad actors” moeten beschermen, maar het maakt het downloaden van apps via alternatieve app stores behoorlijk riskant. Is dit werkelijk toegestaan onder de EU Digital Markets Act?
De Digital Markets Act is in 2022 ingevoerd om eindelijk niet meer achter Big Tech aan te hoeven rennen. Het klassieke mededingingsrecht biedt natuurlijk de optie om alle vormen van machtsmisbruik aan te pakken, maar als je zo veel geld (en advocaten) hebt als FAANG en MANGO dan duurt het jaren, zo niet decennia voordat dit definitief uitgevochten is. En ondertussen is je markt allang kapot.

De DMA benoemt simpelweg een trits praktijken die niet mogen, en een pakket met eisen waar “poortwachters” van grote “kernplatformdiensten” aan moeten voldoen. De Commissie kan bij overtreding direct ingrijpen en boetes of bindende aanwijzingen opleggen. Natuurlijk kun je dan naar het Hof van Justitie, maar een stuk gestroomlijnder is het.

Eén van die eisen is dat een ecosysteem zoals Android meerdere afrekenmogelijkheden en appstores moet kunnen hebben (art. 6 lid 4). Voor Android is F-Droid de bekendste, en die heeft grote moeite met Google’s voorgenomen openstelling van deze optie bij Android.

De reden is dat Google er meteen de voorwaarde bij stelt dat iedere Android developer zich bij Google moet registreren. Dit maakt gebruik van F-Droid heel moeilijk: zij kunnen niet afdwingen dat hun gebruikers dat doen, en de enige optie is dan dat F-Droid zichzelf voordoet als de maker van alle via hun appwinkel aangeboden apps. En dat werkt natuurlijk niet.

Google draagt als reden aan dat ze zo malafide apps buiten de deur wil houden. Een formele identiteitscheck zal bad actors immers wel afschrikken (niet lachen daar achterin). Maar Google hééft al een uitgebreide set maatregelen hier tegen (Play Protect) dus dat voelt wat gezocht.

Mag het van de DMA, die eis van Google? Heel algemeen lijkt het erop van wel:

Het wordt de poortwachter niet belet maatregelen, voor zover die strikt noodzakelijk en evenredig zijn, te treffen om ervoor te zorgen dat softwareapplicaties of appstores van derden de integriteit van de door hem ter beschikking gestelde hardware of besturingssystemen, niet in gevaar brengen, op voorwaarde dat dergelijke maatregelen naar behoren gemotiveerd worden door de poortwachter.
Op het eerste gezicht kun je Google’s “zorgen om malware” en gekozen maatregel van identiteitscontrole dus niet terzijde schuiven. Ik maak me zorgen dat het effect op F-droid te subtiel is, veel mensen nemen al snel genoegen met “dit moet voor de security”. Het wetsartikel eist natuurlijk een uitgebreide motivatie, en die zou ik dus wel eens willen lezen.

Arnoud

“Canadees databevel dreigt een gat te slaan in Europese soevereiniteit”

Geplaatst op in Innovatie, Regulering, Security, 21 reacties

Een Canadese rechtbank heeft de Franse cloudprovider OVHcloud bevolen om klantgegevens die in Europa zijn opgeslagen over te dragen, las ik bij The Register. Dit ondermijnt mogelijk de claims van de provider met betrekking tot de bescherming van digitale soevereiniteit.

Zoals The Register uitlegt, heeft de Canadese politie (RCMP) in april 2024 een bevel gegeven aan de Franse cloudprovider OVHcloud om abonnee- en accountgegevens te verstrekken gekoppeld aan vier IP-adressen op OVH-servers in Frankrijk, het Verenigd Koninkrijk en Australië. Dit als deel van een Canadees strafrechtelijk onderzoek.

Het bevel werd in eerste instantie gegeven aan de Canadese dochter, maar die kan technisch noch organisatorisch bij die gegevens. Heise vertelt verder:

Nevertheless, on September 25, the Ontario Court of Justice, presided over by Judge Heather Perkins-McVey, ruled that the French parent company must hand over the data to the Canadian authorities. Her reasoning is based on a broad interpretation of “virtual presence”: since OVH operates globally and offers services in Canada, the company is subject to Canadian jurisdiction, regardless of where the physical servers are located.
Dit is problematisch voor het Franse bedrijf, omdat artikel 48 AVG én Frans recht (de Blocking Statute) het afgeven van zulke gegevens verbiedt tenzij er een in Europa geldig bevel is gegeven. De Franse wet zet er zelfs celstraf en een boete tot 90.000 euro per overtreding op. Maar de Canadese rechter zal dit als contempt of court zien, met vergelijkbare strafmogelijkheden.

De zaak doet sterk denken aan waar mensen bij de US Cloud Act bang voor zijn. Ik blijf moeite houden met de vanzelfsprekendheid waarmee mensen aannemen dat bedrijven dan de Amerikaanse (of Canadese) regels gaan volgen omdat hun wet dat zegt.

Praktisch zie ik het ergens nog wel: wie banger is voor economische sancties van de Yanks dan voor boetes van de EU kan eieren voor z’n geld kiezen. Maar in het openbaar dat hardop zeggen kan ik me niet voorstellen bij een beursgenoteerd bedrijf.

De Canadese zaak kan dus een mooie testcase worden, als in het (nu lopende) hoger beroep wordt bepaald dat de Canadese rechter dat bevel inderdaad mag geven. En zuiver naar Canadees recht kijkend zie ik niet waarom niet. Dat recht hoeft immers geen rekening te houden met wat een ander land in hun wet heeft staan.

Arnoud

 

2 journalisten staande gehouden bij Brussels Airport, drone in beslag genomen

Geplaatst op in Security, 22 reacties
Photo by Shawn on Unsplash

Afgelopen vrijdag hebben beveiligingsmedewerkers van de Federale Politie in België twee journalisten staande gehouden aan de rand van Brussels Airport, beter bekend als luchthaven Zaventem. Dat meldde Dronewatch vorige week, op bevestiging van de Belgische politie. Een gevoelige kwestie, overal in Europa maken mensen zich zorgen over opdringerige drones.

Uit het artikel:

Welke media de journalisten vertegenwoordigden en wat precies hun doel was, is vooralsnog niet bekend. Mogelijk wilden ze demonstreren dat het niet onmogelijk is om met een drone in de buurt van een luchthaven op te stijgen, in het kader van de recente verhoogde staat van paraatheid in België en andere Europese landen. Het kan ook zijn dat de journalisten slechts wilden poseren met een drone in de hand, zonder deze daadwerkelijk te laten vliegen.
Het is natuurlijk speculatie, maar ik zie wel hoe een journalist kan denken “hoe goed is die verhoogde staat van paraatheid bij ons eigenlijk”. In juridische taal: die ziet dan een mogelijke misstand en wil dat onderzoeken. Maar als het verboden is om met drones bij vliegvelden te vliegen, pleeg je dan een strafbaar feit. Of niet?

Ook journalisten moeten zich aan de wet houden. Een perskaart geeft je het recht om (soms) onder het lint bij een afzetting te mogen, en nog wat voordeeltjes, maar is geen excuus om de wet te mogen schenden.

In uitzonderlijke gevallen kan het zo zijn dat een misstand aantonen niet anders kan dan door de wet te overtreden. Dan mag het, mits je niet verder gaat dan strikt noodzakelijk voor het vergaren van dat bewijs. Het standaardvoorbeeld is uit 1995: een journalist vroeg een rijbewijs aan op naam van de minister, om zo aan te tonen dat dat kon – nadat de minister openbaar had gezegd dat dit écht niet mogelijk was binnen de geldende procedures. Valsheid in geschrifte, maar hier strikt noodzakelijk.

In een zaak over een ‘gat’ in het bancaire systeem van automatische incasso werd de journalist juist veroordeeld. Die wilde aantonen dat je eenvoudig geld kon incasseren via dat systeem zonder enige controle, maar daarbij had hij € 739.435,80 geïncasseerd van allerlei mensen. Had 1 euro bij een collega afgeboekt, dan had je het punt ook gemaakt.

In de Nieuwe Revu-zaak kraakte men de privémailbox van de staatssecretaris van Defensie. Dat mocht, maar vervolgens gaan snuffelen in die mailbox mocht niet. De reden is simpel: er was (enige) nieuwswaarde over de veiligheid van zo’n mailbox, maar geen enkele aanleiding om te zoeken naar specifieke berichten.

Sindsdien heb ik voor mezelf de vuistregel dat je strafbare feiten mag plegen om een misstand te verifiëren. Je moet al weten dat er iets mis is, en het bewijs daarvan is dan alleen te krijgen met het strafbare feit. En dat pleeg je dan zónder schade aan derden en met zo klein mogelijke impact. En je artikel wordt géén praktische handleiding over hoe dat feit te plegen.

Hier was dus de vraag “zit de dronebeveiliging wel goed bij Zaventem”. Is dan “we laten een drone vliegen en kijken of we gepakt worden (want we dragen ook bivakmutsen)” een logische reactie? Enerzijds: het is ernstig, want het speelt in op sentimenten van hybride Russische oorlogshandelingen. Anderzijds: er is net allerlei detectiespul ingezet en daarna meldde niemand meer drones. Mijn advies zou dan zijn: doe eens niet.

Arnoud

 

 

 

Roblox controleert leeftijd van Nederlandse gebruikers met gezichtsscan, mag dat?

Geplaatst op in Privacy, Security, 6 reacties
Photo by Oberon Copeland @veryinformed.com on Unsplash

Nederlanders die games spelen via het platform Roblox moeten binnenkort hun leeftijd laten controleren als ze chatberichten naar andere gebruikers willen sturen. Dat las ik bij RTL Nieuws. De implementatie is opmerkelijk: men gebruikt je camera om het gezicht te scannen en dan een AI een slag te  laten doen naar je leeftijd.

Roblox is een online platform waar gebruikers zelf games kunnen maken en spelen die door anderen zijn gemaakt, in plaats van dat het één game is. De dienst is populair bij kinderen, omdat Roblox als een van de weinigen ook expliciet dertienminners toelaat. Uiteraard maken mensen daar grof misbruik van, wat weer tot allerlei rechtszaken tegen Roblox heeft geleid.

Doel van de leeftijdsherkenning is om zo volwassenen en kinderen gescheiden te houden. ID-kaarten scannen is lastig, onder meer omdat lang niet alle kinderen die hebben. En bovendien weet je dan niet of een volwassene een ID van zijn of haar kind gebruikt (of andersom). Vandaar dus de gezichtsscan.

De werking van het systeem lijkt niet openbaar, maar de kern is simpel genoeg. Train een AI model op een hoop foto’s van mensen met een gegeven leeftijd, en laat het model afleiden hoe je leeftijden onderscheidt. Daarbij is “ongeveer” meestal goed genoeg; of je nu 14 of 16 bent maakt niet heel veel uit in hun opzet. Of je 8 of 14 bent wel, en dát gaat eigenlijk wel goed zo te lezen.

Of het mag, is eigenlijk dezelfde vraag als of platforms zoals Linkedin identiteits– of leeftijdsverificatie mogen doen. De complicatie is vooral dat bij minderjarigen de ouders beslissen. Als een site toestemming vraagt voor gebruik van persoonsgegevens, dan moet bij een minderjarige de ouder(s) die geven.

Alleen: is bij identiteits- of leeftijdscontrole toestemming wel de grondslag? Het is “vrijwillig” in de zin dat je het niet hoeft te doen, maar dan niet mag chatten met anderen. Ik zou dat als FG niet héél vrijwillig vinden, en zonder vrijwilligheid geen toestemming.

Noodzaak in verband met de dienstverlening (overeenkomst) zou voor mij de logische zijn: veiligheid in deze context is zó zwaarwegend dat je er gewoon niet aan ontkomt. Met diezelfde redenering krijg je denk ik ook het gerechtvaardigd belang makkelijk rond. Ouderlijke toestemming is bij beiden niet strikt relevant.

Uiteraard staat of valt een en ander wel met een goede implementatie. “Roblox belooft dat de beelden meteen na de scan worden gewist.” zegt RTL. En dat zal best, maar er zijn genoeg redenen om je daar zorgen over te maken.

Arnoud

Wat als de Autoriteit Persoonsgegevens straks toch Linkedin weer terugfluit met haar AI-training?

Geplaatst op in Ondernemingsvrijheid, Privacy, Security, 8 reacties
Photo by Greg Bulla on Unsplash

Een lezer vroeg me:

LinkedIn is inmiddels begonnen met het trainen van AI modellen met data van Europese gebruikers die geen opt-out deden. Ik had gelezen dat de Autoriteit Persoonsgegevens een onderzoek was gestart, maar heb daar niets meer over gehoord. Stel nu dat men op zeker moment oordeelt dat deze hele verwerking onrechtmatig was. Dan kunnen ze een verbod opleggen, maar kan dat dan ook met terugwerkende kracht?
Voor wie het gemist had: LinkedIn gaat gegevens van Europese gebruikers toch inzetten om AI-modellen te trainen. Het betreft openbare berichten en er wordt met een opt-out gewerkt, waardoor het (denk ik) legaal is onder de AVG. Maar zeker weten doe je dat pas na een onderzoek van de toezichthouder.

Onderzoeken door AVG-toezichthouders kunnen inderdaad rustig langer dan een jaar duren. Daar is weinig aan te doen; grote partijen gebruiken ieder slordigheidje om de boete aan te vechten tot aan het Hof van Justitie. Dus zekerheid over de legaliteit van deze keuze moet helasa nog lang op zich laten wachten.

Als uit het onderzoek blijkt dat de verwerking inderdaad onrechtmatig is, dan heeft de toezichthouder een trits bevoegdheden onder de AVG. Naast boetes is een verwerkingsverbod zeker mogelijk. Dit staat in artikel 58 lid 2 onder f AVG, en direct daarna staat nóg een hele leuke “het rectificeren of wissen van persoonsgegevens of het beperken van verwerking”. Wat je in strijd met de wet gebruikt, moet je weggooien.

Specifiek bij AI-modellen is dit een hele venijnige. Waar je in een databank dan het record wist, moet je hier én je model én je trainingsdata ontdoen van die gegevens. Voor trainingsdata is dat nog tot daar aan toe (zeg me dat je data governance praktijken hanteert), maar voor het AI model is de consequentie meestal dat je die geheel van de markt moet halen. Want een model bijstellen zodat deze de persoonsgegevens van Yann of Aleid vergeet, is eigenlijk niet mogelijk.

Arnoud

Mag onze vereniging WhatsApp gebruiken om de leden te informeren?

Geplaatst op in Security, Uitingsvrijheid, 3 reacties
Photo by marcmanhart on Pixabay

Een lezer vroeg me:

Onze (relatief kleine) hengelsportvereniging heeft moeite de leden goed te bereiken. We gebruiken nieuwsbrieven, ALV’s, en social media maar toch krijgen we vaak te horen dat mensen iets niet wisten of net dat kanaal niet lezen. De secretaris is daarom een WhatsApp-groep begonnen en dat lijkt eigenlijk heel goed te lopen. Het is op basis van vrijwilligheid, en alle berichten zetten we ook op onze andere kanalen. Mag dat zo?
Hier lijkt me eigenlijk niets mis mee. De community is op basis van vrijwilligheid binnen een breed gedragen tool. Je deelt alle informatie ook buiten deze tool zodat het niet verplicht is.

Een twijfelpunt kan natuurlijk zijn dat WhatsApp een Big Tech platform uit de VS is. Ik snap goed dat mensen daar zorgen over hebben; datagraaiers, AI-training, meelezen, noem maar op. Maar voor mij is die vrijwilligheid dan doorslaggevend: je hóeft niet het WhatsApp kanaal te gebruiken, alle informatie staat ook op de site en de socials van de vereniging.

Iets lastiger wordt het als het WhatsApp kanaal meer wordt dan een extra aankondigingskanaal. Mensen kunnen reageren, er kunnen discussies ontstaan en daaruit kunnen besluiten en dergelijke ontstaan die mensen buiten de groep niet meekrijgen.

Dat kan een tweedeling in de vereniging geven, hoewel dat ook op de social media al kan ontstaan. Dit is niet perse een probleem van WhatsApp maar van de inzet. Een tip kan dus zijn de WhatsApp groep echt alleen voor notificaties te gebruiken, en dus alleen het bestuur de mogelijkheid te geven berichten te plaatsen.

Arnoud

Is het mogelijk iemand strafrechtelijk te vervolgen voor AVG-schendingen?

Geplaatst op in Ondernemingsvrijheid, Security, 23 reacties
Photo by Bermix Studio on Unsplash

Een lezer vroeg me:

Laatst las ik dat privacyorganisatie noyb bij het Oostenrijkse OM een klacht heeft ingediend om Clearview AI en de managers van het bedrijf strafrechtelijk te vervolgen. Is zoiets ook in Nederland mogelijk?
Inderdaad heeft Oostenrijk in Artikel 63 van haar Datenschutzgesetz uitgewerkt dat de rechter, onder andere voor “onrechtmatige zelfverrijking” door middel van onrechtmatig verkregen persoonsgegevens, een gevangenisstraf tot een jaar kan opleggen.

De AVG erkent dat landen deze mogelijkheid hebben. Artikel 84 AVG eist dat lidstaten sancties invoeren voor overtredingen die niet in de AVG zelf al staan. Het strafrecht is dan een optie. Overweging 149 suggereert daarbij dat het afpakken van winst verkregen uit AVG-schendingen een optie zou kunnen zijn.

Omdat de AVG gebaseerd is op economische regels, kan zij zelf geen bepalingen van strafrecht introduceren. Lidstaten moeten dus zelf kiezen of en zo ja welke strafbaarstelling men invoert. Nederland heeft (zonder echte motivatie) geen algemene regels van strafrecht ingevoerd.

Mijn vermoeden is dat de wetgever denkt dat het bestuursrecht adequaat is voor handhaving. Uiteindelijk is een boete een boete, en gevangenisstraf voor bestuurders is niet echt een Nederlandse traditie.

Wel zijn er natuurlijk allerlei artikelen van strafrecht die specifiek zien op delicten gepleegd met persoonsgegevens, zoals:

  • Gegevensdiefstal (art. 138c), wat ook kan met niet-openbare persoonsgegevens
  • Aftappen van gegevens (art. 139c), idem
  • Verwerven of openbaar maken niet-openbare persoonsgegevens (art. 139g)
  • Vervalsen van identiteitsdocumenten (art. 231)
  • Misbruik van biometrische persoonsgegevens (art. 231a)
  • Identiteitsdiefstal (art. 231b)
  • Wraakporno of deepfake-porno maken of verspreiden (art. 254ba)
  • Doxing oftewel overlast geven door misbruik persoonsgegevens (art. 285d)
  • Afpersing (art. 317) met bv. wissen van belangrijke gegevens
  • Afdreiging (art. 318) met openbare van als privé te beschouwen persoonsgegevens
(Ik vergeet er vast de nodige.)

Hier is dan de gedachte dat dit zo ernstig is dat gevangenisstraf gepast zal zijn. Ook gaat het hier zelden om gebruikelijke, legitieme verwerkingen waarbij een toezichthouder af en toe binnenstapt. En vaak gaan ze samen met andere misdrijven, dus dan is het logisch dat je de politie het voortouw laat nemen.

Arnoud