Wie is aansprakelijk voor dat #cloudbleed-lek van Cloudflare?

| AE 9280 | Cloud, Privacy | 10 reacties

Door een bug in de html-parser van CloudFlare konden gevoelige gegevens van klanten van het bedrijf lekken en stond data in de cache van zoekmachines. Na een melding van Google heeft de dienst voor optimilisatie van websites het lek in zeven uur gedicht. Dat meldde Tweakers, met meer details in The Register. De clouddienst had een klassieke buffer overflow-fout, waardoor willekeurige data van andere websites of databases meegestuurd kon worden bij een opvraging van een webpagina. En via Twitter de vraag (dank, Sven): “Is CF responsible for ‘breaches’ at each of those exposed companies?”

Volgens Tweakers zou er geen misbruik zijn gemaakt van de bug, die ontdekt werd door Google’s anti-zerodayproject Project Zero. Maar het lijkt mij nogal ernstig: de bug zorgde voor een abusievelijke opname van data in webpagina’s, maar onzichtbaar voor gewone gebruikers. De data kon echter van alles bevatten, van wachtwoorden tot persoonsgegevens. En dat wordt dan ook nog gecrawled door Google en collega’s, dus in caches overal zit nog dergelijke data. Auw. Wie gaat dat vergoeden?

In het algemeen is er geen wettelijke regeling wie aansprakelijk is voor het lekken van vertrouwelijke informatie. Dit wordt dan ook eigenlijk altijd contractueel geregeld: klant en leverancier spreken af welke data vertrouwelijk moet worden behandeld, welke schade of boete mag worden geclaimd en wanneer sprake is van een overtreding (dan wel overmacht of andere situatie zonder aansprakelijkheid). Dat kan gaan van “leverancier vergoedt elke cent van elke gelekte byte” tot “leverancier is nooit aansprakelijk, hooguit bij opzettelijk lekken”. Of klanten Cloudflare kunnen aanspreken, is dus een kwestie van in de contracten duiken.

Specifiek voor persoonsgegevens ligt dat iets anders in Europa. Daar zegt de wet (de Wbp, en straks de Privacyverordening) dat de aansprakelijkheid voor schade door datalekken ligt bij de (verwerkings-)verantwoordelijke, oftewel de partij die bepaalt waarom die gegevens zijn verzameld en wat daarmee gebeurt (juridisch: die doel en middelen vaststelt van de verwerking). Dat is dus in principe de partij die zaken doet met de personen, bijvoorbeeld een webwinkel of forum die klant- of gebruikersgegevens krijgt.

Alle partijen die die gegevens vervolgens opslaan of gebruiken in opdracht van die verantwoordelijke, heten bewerkers en zijn naar de betrokkenen toe op dit mnoment niet direct aan te spreken. Het is de verantwoordelijke die de claims krijgt – maar hij kan ze wel verhalen natuurlijk op die bewerkers. Daarvoor wordt het juridisch instrument van de bewerkersovereenkomst gehanteerd, een aanvulling op het ICT-contract die specifieke afspraken over persoonsgegevens bevat. Als klant moet je je dus melden bij je webwinkel, forum et cetera met je schadeclaim, en zij kunnen het dan bij hun hoster verhalen die het weer bij Cloudflare gaat halen.

Onder de Privacyverordening wordt dat strenger, dan kun je ook bij verwerkers (zoals ze dan gaan heten) direct een schadeclaim indienen als benadeelde partij. Dan mag je dus als klant of gebruiker van een internetdienst die bij Cloudflare zit, direct bij Cloudflare je schade gaan halen. En ja, Cloudflare valt onder de Privacyverordening ook al zitten ze nog zo hard in de VS.

Het blijft bij privacyclaims echter altijd een hele lastige wat die schade dan precies is, in geld uitgedrukt. Daar zijn ook onder de Verordening geen concrete handvatten over. Ik blijf het herhalen: het wordt tijd voor een staffel met forfaitaire schadebedragen, van zeg 50 euro voor lekken NAW gegevens tot 2.500 voor lekken medisch dossier.

Arnoud

Wetsvoorstel moet digitaal leren met nepnaam veiliger maken

| AE 9265 | Cloud, Privacy | 21 reacties

Kinderen die op school met digitale lesmethoden werken, hoeven niet meer hun eigen naam in te vullen. Dat stond in het papieren AD afgelopen weekend. De ministerraad heeft namelijk ingestemd met een wetsvoorstel van die strekking, hoewel exacte details nog ontbreken. Kort gezegd komt het erop neer dat bij gebruik van clouddiensten door scholen moet worden gewerkt met pseudoniemen of codes, zodat bij datalekken niet gelijk alle details van de leerlingen op straat liggen. Het idee is loffelijk maar moet dat nu echt zo met een wet?

De tekst van het wetsvoorstel wordt helaas pas openbaar nadat de Raad van State er advies over heeft gegeven, dus het is nog even speculeren. Ik hoop op een voorstel dat gewoon zegt, scholen mogen alleen pseudonimeen van leerlingen aan leveranciers doorgeven. In combinatie met een verbod voor leveranciers om meer dan dat te vragen. Het is immers echt nergens voor nodig om werkelijke persoonsgegevens van leerlingen te hebben om een dienst aan een school te leveren.

Ik ben een beetje bang dat er komt te staan dat de leverancier ontvangen persoonsgegevens moet pseudonimiseren. (Of, nog erger, dat dit in overleg moet worden vastgesteld.) Want dan schiet je er weinig mee op, dan is die brondata er nog steeds en dus blijft de kwetsbaarheid bestaan.

En ja ik weet het, de Privacyverordening roept op tot pseudonimiseren en staat toe dat dit gebeurt door de partij die vervolgens gaat werken met de gepseudonimiseerde gegevens. Het is niet verplicht dat je de sleutel en de pseudonieme data in aparte bedrijven bewaart. Dus het zou legaal zijn als een dienstverlener zo gaat werken, en het wetsvoorstel zou dan weinig toevoegen behalve dan dat dit móet in plaats van slechts een beste praktijk te zijn. (Sorry, de tekst van de Verordening is wat raar.)

Je kunt je natuurlijk sowieso afvragen wat dit wetsvoorstel gaat toevoegen bovenop die Verordening. Want ook daar staat al in dat je persoonsgegevens zo veel mogelijk moet beperken, dat je bij voorkeur pseudonimiseert dus en natuurlijk dat je adequaat beveiligt en daar afspraken over maakt met je verwerkers (voorheen je bewerkers), zoals die clouddienstverleners dus. Hooguit zou dat dan nog zijn dat het black letter law wordt in plaats van ahem een beste praktijk, of een richtsnoer van de toezichthouder waar een leverancier van kan zeggen dat zij toch alternatieve feitenandere inzichten hebben over hoe het zo veilig mogelijk te doen.

Arnoud