“Overheid schaadt burgers met principieel ‘nee’ tegen digitale afpersing”

| AE 13370 | Informatiemaatschappij | 13 reacties

Tumisu / Pixabay

Ransomware, kwaadaardig software waarmee criminelen digitale gegevens gijzelen, is een explosief probleem. Uit principe weigert de overheid afpersers losgeld te betalen. Zo opende een recent Follow The Money-artikel over het lastige dilemma voor slachtoffers van ransomware: als je niet betaalt, worden gestolen gegevens op straat gegooid. Dat kan anderen duperen, denk aan zorgdossiers van patiënten of financiële gegevens van je klanten. Moet je dan maar betalen? Of is dat zelfs verplicht vanuit de AVG?

Het idee achter ransomware was ooit vrij simpel: betaal en je krijgt de sleutel voor je gegevens terug. Dat werkte prima voor consumenten, maar er blijken profijtelijker doelwitten te zijn: bedrijven, grote instellingen en gemeenten. Daar kun je meer halen door niet alleen te dreigen met “anders zijn al je gegevens weg” (want men heeft vast wel iets van backups) maar ook te dreigen met “anders publiceren we je gegevens”. En dat hakt erin: bedrijfsgeheimen op straat, maar ook gevoelige informatie of gegevens waarmee men mensen kan hacken. Dat zet even wat extra druk om te betalen.

Het FTM artikel documenteert het overheidsbeleid: niet betalen, we onderhandelen niet met criminelen. Maar daar is genoeg kritiek op uit te oefenen, getuige twee geciteerde deskundigen:

[Rickey Gevers] De overheid heeft in dit soort gevallen een zorgplicht. Ze moet er gewoon alles aan doen om te voorkomen dat informatie van burgers openbaar wordt.

[Floor Terra] niet betalen ‘een mooi ideaal’. ‘Maar op de lange termijn schrikt die strategie alleen criminelen af als ieder onderdeel van de overheid zich daaraan consequent houdt.

Het is voor mij een heel lastig ethisch dilemma. Vooral omdat voor mij voorop staat dat je slachtoffers van een datalek niet gaat verwijten dat het hun schuld is, en dat ze dan maar moeten betalen. Vaak zit daar de ondertoon in van victim blaming, ja natuurlijk doen die criminelen het maar ja jij deed ook wat fout he. Daar is natuurlijk niemand mee geholpen.

Een zwaarwegend argument is voor mij dat je die criminelen niet kunt vertrouwen, ook niet als je betaalt. Want dan komen ze zes maanden later nog een keer, of je opnieuw wilt betalen anders publiceren ze alsnog. En dan lees ik in het artikel “Als data later uitlekt, of als ze zich niet aan de afspraken houden, betaalt niemand ze meer.” Maar dat geloof ik niet. Er is een sterke druk om te betalen, en maar weinig mensen kunnen écht nagaan hoe betrouwbaar ransomware-groepen nu zijn. Dan kun je geen goede beslissing maken, en “op deze site lazen wij dat deze groep onbetrouwbaar is” is dan niet heel sterk.

Ook wordt wel gesteld dat uit de AVG volgt dat je moet betalen om een datalek te voorkomen. Dit omdat je een beveiligingsplicht hebt, en als betalen van criminelen het datalek tegengaat dan is dat maar de “beveiligingsmaatregel” die je moet nemen. Ik vind dat te makkelijk, en vooral: dit is heel erg victim blaming, mensen vertellen dat ze verplicht zijn te doen wat een dader tegen ze zegt. Dat kan echt niet.

Ondertussen ligt er natuurlijk wel gevoelige informatie van je bedrijf of persoonlijke informatie van je klanten, cliënten of burgers op straat. Dat is buitengewoon ernstig, en dáár moet wat aan gedaan worden. Maar dat kan denk ik alleen de overheid: investeren in fundamenteel aanpakken van ransomware, maar ook het opbouwen van beveiligingsexpertise, het opstellen van kwaliteitseisen, randvoorwaarden voor verzekeraars (alleen cyberverzekering indien bedrijf XYZ gecertificeerd), zulke dingen. Ik denk dat het productiever is daar over na te denken dan mensen te verwijten dat ze niet betalen.

Arnoud

 

Kan de AP wat doen tegen een bioscoop die geen contant geld wil?

| AE 13156 | Ondernemingsvrijheid | 38 reacties

Een lezer vroeg me:

Ik las dat er een rechtszaak speelt van privacy-activist Michiel Jonker tegen de weigering van de Autoriteit Persoonsgegevens (AP) om handhavend op te treden tegen de weigering van arthouse-bioscoop Focus Filmtheater in Arnhem om contante betaling te accepteren. Hoe kansrijk acht jij deze zaak?
Er spelen hier twee dingen. Allereerst gaat het hier om een zaak tegen de Autoriteit Persoonsgegevens, die dit niet belangrijk genoeg vindt (of niet genoeg redenen ziet) om handhavend tegen op te treden. En ten tweede is het zeer de vraag of die weigering inderdaad in strijd met de AVG is.

Deze rechtszaak gaat dus niet direct om de vraag “mag een bioscoop contant geld weigeren vanwege de AVG”. Die vraag is aan de AP voorgelegd: wilt u de AVG handhaven tegen een bioscoop die dit doet. De AP wilde dat niet, en dan kun je de rechter vragen te verklaren dat de AP dat wel moet doen. (Een beetje zoals je het OM iemand kunt laten vervolgen via de artikel 12-route bij het Gerechtshof Arnhem.)

De rechter beantwoordt dan niet de juridische vraag, maar kijkt of het AP met een goede analyse tot haar besluit (om er niets aan te doen) is gekomen. Dat kan zijn omdat de AP een goed antwoord op de vraag heeft, maar ook omdat ze bijvoorbeeld een goede motivatie hebben gegeven waarom dit geen prioriteit moet krijgen. En in dat geval kom je niet eens meer toe aan de juridische vraag. Een bestuursorgaan als de AP heeft veel ruimte om daarin zelf te beslissen, dus de kans is gewoonlijk groot dat de rechter de AP gelijk geeft in haar weigering tot handhaven.

Uit het nieuwsbericht haal ik dat de AP hier echter inhoudelijke redenen heeft aangevoerd:

Volgens de AP is niemand verplicht om contant geld als wettig betaalmiddel te accepteren. Tevens stelt de toezichthouder dat de bioscoop via haar algemene voorwaarden een “contract” met de bioscoopbezoekers tot stand brengt, waaruit een noodzaak zou voortvloeien om persoonsgegevens van de bioscoopbezoekers te verwerken.
Hier zitten twee juridische argumenten in. Allereerst dus het punt dat er geen wettelijke plicht is om wettige betaalmiddelen te aanvaarden. Dat klopt. De wet zegt alleen dat wie een geldschuld hééft bij iemand, deze heeft voldaan door met een wettig betaalmiddel het bedrag te voldoen.

Achteraf pas zeggen “ik wil die lening giraal terug” is niet mogelijk (voorbeeld). Maar zeg je het bij het aangaan van de afspraak (juridisch: je neemt een betalingsvoorwaarde op in je aanbod) dan is dat prima. Dit is bijvoorbeeld waarom je bij sommige winkels zo’n sticker “Hier alleen pinnen” ziet: dat is een algemene voorwaarde, een betalingsvoorwaarde die voor het sluiten van de koop wordt getoond. Dat is dus bindend. Als je het vooraf zegt, mag je wettige betaalmiddelen geheel weigeren.

Het tweede punt is of je door contant geld te weigeren en pinbetaling te eisen, de AVG overtreedt. Het argument is dan dat je die pinbetaling vraagt om de overeenkomst uit te voeren (art. 6 lid 1 sub b AVG), maar dat de daarmee verwerkte persoonsgegevens boventallig oftewel niet noodzakelijk zijn om die overeenkomst uit te voeren. Er is immers een alternatief, namelijk contant betalen, dat net zo goed mogelijk is. (Het bewijs: je kon al die jaren aan de kassa contant betalen.)

Ik noem dit wel de innovatieparadox: er is nooit een noodzaak om iets nieuws te doen, want het bestaande werkt prima en heeft eigenlijk altijd minder persoonsgegevens nodig. Dat kan in het algemeen niet waar zijn. Je moet dus kijken naar specifiek de situatie rond pinbetaling: waarom wil een bioscoop met alleen pinbetaling werken, en wat doen ze met de gegevens?

Als de reden bijvoorbeeld is (zoals deze bioscoop aangeeft) de zorg om berovingen, en de pingegevens worden direct na de transactie weggegooid, dan zou ik het wel redelijk vinden. Men biedt ook een alternatief, namelijk de bioscoopbon. Ik moet zeggen dat ik dan alleen nog héél algemene tegenargumenten kan bedenken (“het gaat om het principe”) en dat vind ik in concrete situaties nooit erg sterk. Ik denk dus dat ook inhoudelijk de bioscoop erg sterk staat en de zaak dus weinig kansrijk is.

Arnoud

Banken en verzekeraars mogen niet zomaar meewerken aan ransomware-betalingen

| AE 12276 | Ondernemingsvrijheid | 26 reacties

De VS waarschuwen banken en verzekeraars dat ze mogelijk de wet overtreden wanneer ze ransomware-losgeld betalen aan criminelen, las ik bij Trouw onlangs. Allereerst omdat je dan met verdachte transacties te maken hebt (je gaat ineens in bitcoin betalen) en ten tweede omdat je nog wel eens aan partijen in sanctielanden (zoals Noord-Korea, Wannacry) blijkt te betalen, en dat is keihard verboden. Ook in Nederland moeten financiële instellingen betalingen melden die met ransomware te maken hebben. Dat kan nog wel eens knap ingewikkeld worden.

Een tijd geleden schreef ik over wat een instantie moet doen die zijn data of systemen gegijzeld ziet. Als betalen werkelijk de beste optie is (er is geen goede backup, er is urgentie, etc) dan zullen mensen daar toch snel toe geneigd zijn. En ik moet zeggen, ik begrijp dat wel als je slachtoffer bent. Ook al is het zakelijk, het doet echt pijn zo’n datagijzeling.

Daar staat natuurlijk tegenover dat je een crimineel businessmodel in stand houdt, wat maatschappelijk niet wenselijk is. Maar er is geen algemene regel dat je geen losgeld mag betalen, of niet het verdienmodel van criminelen in stand mag houden. Ik zie het echt als een stukje nood, als je dat zelf doet. Doe je het als professioneel ingeschakelde hulppersoon, zoals een cybersecuritybedrijf of verzekeraar, dan wordt dat anders. Dan is het echt een zakelijke keuze dat je criminelen wilt belonen in plaats van strafbare feiten op wilt (laten) sporen, en dan wordt het een heel ander verhaal voor mij.

In Trouw lees ik dat verzekeraars niet direct aan gijzelnemers betalen. Hooguit wordt soms een slachtoffer schadeloos gesteld dat zelf koos voor betaling. Ik denk dat dat nog net door de beugel kan, aangenomen dat er natuurlijk niet aangespoord is om “gewoon te betalen en dan krijg je het van ons vergoed”.

Arnoud

Is achterafbetalen een wettelijk beveiligingsgat?

| AE 10739 | Ondernemingsvrijheid | 53 reacties

Criminelen verkopen duizenden gehackte Nederlandse accounts voor webwinkels, las ik bij Tweakers. Onderzoek van RTL Nieuws had onthuld dat logins voor accounts bij webshops eenvoudig te krijgen zijn in het criminele circuit, zodat je eenvoudig een bestelling kunt plaatsen bij een nieuw adres en daar op achterafbetaling laat leveren. Tegen de tijd dat de accounthouder… Lees verder

Telt inroepen van PayPal aankoopbescherming als annulering?

| AE 9478 | Ondernemingsvrijheid | 19 reacties

Een lezer vroeg me: Bij een webwinkel had ik wat besteld, en betaald met Paypal. Het object kreeg ik echter maar niet, dus ik heb via PayPal de Aankoopbescherming ingeroepen. De verkoper reageerde echter niet, waardoor ik mijn geld terugkreeg van Paypal. Maar nu eist de verkoper via een incassobureau betaling, en zeggen ze dat… Lees verder

Hoezo mag internetshoppen vanaf 2018 alleen nog met een apart betaalkastje?

| AE 9030 | Ondernemingsvrijheid | 25 reacties

Vanaf 2018 moeten we alle internetaankopen afrekenen met een nieuw ‘pasjeskastje’, omdat de Europese bankentoezichthouder dat veiliger vindt, las ik in de Financiële Telegraaf. De Europese Bank Autoriteit (EBA) heeft nieuwe regels opgesteld voor veilige financiële transacties, en daaruit volgt dat alle transacties boven de 10 euro vanaf eind volgend jaar met een identificatie-apparaatje goedgekeurd… Lees verder

Niet kunnen betalen wegens iDeal-storing is het probleem van de winkelier

| AE 7993 | Ondernemingsvrijheid | 13 reacties

Stel je koopt online een ticket voor een festival dat morgen begint, en iDeal heeft een storing. Wat moet je dan als consument? Nou, niet naar de andere kant van Nederland reizen om contant te betalen. Dat maak ik op uit een recent vonnis van de rechtbank Utrecht. En de ticketverkoper kan ook niet eisen… Lees verder

Hoe bewijs ik dat mijn grootouders niet online gokken?

| AE 6731 | Security | 85 reacties

Een lezer vroeg me: Bij mijn grootouders is ongeveer 5.000 euro van de bankrekening gehaald. Dit is gebeurd via internetbankieren, er zijn credits bij een online casino gekocht via iDeal. Nu zegt de bank dat de transacties zijn gemaakt vanaf hetzelfde IP-adres als altijd. Zij schuiven de schuld dus terug, en mijn grootouders moeten nu… Lees verder

Rechtbank: Bitcoin is geen geld maar slechts ruilmiddel

| AE 6647 | Innovatie | 58 reacties

Bitcoins zijn in Nederland geen geld. En als je bitcoins koopt maar niet geleverd krijgt, kun je de wisselkoerswaarde niet als schade claimen. Dat bepaalde de rechtbank Overijssel vorige week in bij mijn weten de eerste rechtszaak ooit over de cryptovaluta. Uit het vonnis blijkt dat de partijen op 8 augustus 2012 hadden afgesproken dat… Lees verder

Mogen kinderen betalen in sociale games?

| AE 2708 | Informatiemaatschappij | 44 reacties

Via internetspellen als Farmville en Happy Harvest betalen kinderen soms tientallen euro’s voor zaken als het onderhouden van een digitaal tuintje, las ik bij Adformatie. Hoogleraar Jeugd en Media Patti Valkenburg wil paal en perk stellen aan deze praktijk, onder meer door een vernieuwde Kinder- en Jeugdreclamecode. Deze code bevat -voor zover ik kan zien-… Lees verder