Mag je onderzoeken naar een datalek bij een politieke partij?

De gegevens van 92.901 leden en oud-leden van de Nederlandse politieke partij Forum voor Democratie zijn gelekt. Dat meldde Tweakers donderdag. De administratieserver had een fout waardoor je zonder controle lidmaatschapsgegevens kon opvragen (namen, e-mailadressen, telefoonnummers en rekeningnummers van leden en oud-leden). Auw. De journalisten van RTL Nieuws kregen 92.901 records te pakken. Wat de vraag opriep: mag dat eigenlijk wel, zo’n lijst downloaden, gaat dat niet te ver?

Het lek is ondertussen gedicht, en afgezien van een melding bij de AP en een dreiging met aangifte tegen iedereen die de gegevens misbruikt lijkt er niets meer van te komen. Maar het punt blijft: had je als journalist zo ver mogen gaan?

Hoofdregel is natuurlijk dat ook journalisten zich aan de wet moeten houden. Maar er is een uitzondering: als het absoluut noodzakelijk is voor het aan de kaak stellen van een ernstige misstand, dan mag je verder gaan. Inclusief dus inbreken in een computersysteem, wanneeer dat dus de enige manier is om vast te stellen dat daar inderdaad een lek zit.

De omvang van het lek vaststellen mag ook, want dat is dan deel van het nieuws. Maar dan krijg je het dilemma: is het nodig om 92.901 records te downloaden om te controleren of je werkelijk álle ledengegevens te pakken kunt krijgen? Kun je niet volstaan met enkele records te zoeken (op je eigen naam, of op de naam van bekende leden, zodat je geen nodeloze schade aanricht) om zo de omvang van het probleem vast te stellen?

In de al wat oudere Nieuwe Revu-zaak werd het hacken van de mailbox van de toenmalige Staatssecretaris van Defensie legaal geacht, maar het vervolgens snuffelen in de mails dan weer niet. Voor het nieuwsfeit “is die mailbox zwak beveiligd” was op zich aanleiding, maar “hij doet mogelijk staatszaken in de privémailbox” was te theoretisch. En Henk Krol kreeg in 2013 ook een boete voor het grasduinen in EPD dossiers na bewezen te hebben dat een arts een zwak wachtwoord had, zij het dat meewoog dat hij dat voor de televisiecamera deed.

Mijn eerste gevoel bij deze zaak is dat omdat het hier gaat om zeer gevoelige gegevens, je in je recht staat om vast te stellen hoe ernstig de zaak precies is. Dan is downloaden van de gehele dataset wel nodig, al is het maar om te kunnen reageren op de onvermijdelijke downplaying die menig organisatie zou doen bij een dergelijk nieuwsbericht. Natuurlijk moet je die dataset vervolgens ergens in een kluis stoppen en verder niet aankomen.

Weet er iemand een andere manier om dit lek te valideren op zo’n manier dat de scope vast komt te staan maar zónder dat je alle records downloadt?

Arnoud

Kun je miljoenen eisen van de Staat voor GGD-datalekken?

stevepb / Pixabay

De miljoenen slachtoffers van het datalek bij de GGD moeten honderden euro’s schadevergoeding krijgen, zo eist de stichting ICAM die een collectieve rechtszaak tegen het ministerie van Volksgezondheid is gestart. Dat meldde Security.nl onlangs. Eerder dit jaar bleek dat callcentermedewerkers van de GGD privégegevens van ruim 6,5 miljoen Nederlanders te koop aanboden via berichtendienst Telegram. De claim komt neer op 500 euro per potentieel getroffen persoon en €1500 voor bewezen lekken. Kan dat zomaar?

Massaclaims wegens privacyschendingen zijn een relatief nieuw begrip. Sinds de AVG staat vast dat je je schade vergoed kunt krijgen als je persoonsgegevens worden misbruikt of gelekt, maar het grote probleem is nog steeds wat die schade dan moet zijn. Een tientje is een bedrag dat iedere rechter wel zou willen toekennen denk ik, maar daarvoor ga je niet naar de rechter. Vijfhonderd euro is een logischer bedrag, maar dan kijken rechtbanken skeptisch: kunt u dat onderbouwen, het liefst met bonnetjes?

Bonnetjes komen bij zaakschade (de deuk in de auto van de collega) wel aan de orde, maar bij immateriële schade zoals potentiële problemen bij datalekken is dat niet echt een optie. Je zou echt concreet facturen van vervangen pinpassen moeten aandragen, een credit monitoring dienst of noem eens een optie – en daar zit hem het probleem, want wat kún je als je data gelekt wordt? Helemaal niets, en meestal merk je er ook niet (direct) iets van. En heel cru gezegd dan heb je dus geen schade.

Nee, daar klopt iets niet. En dan is het wel logisch om bedrijven bij de les te houden door dit soort claims. Vele kleintjes maken een grote, en hopelijk worden bedrijven die data lekken daar wél bang van. Daarom zijn dit goede stappen.

Natuurlijk is het wat lastig dat het hier gaat om een overheidsinstantie, namelijk de GGD. Stel dat die moet betalen, dan zal dat uit overheidsmiddelen gebeuren. En dan is het logisch te denken dat we dat volgend jaar terugzien in de belastingaanslag. Dus het sentiment “duurbetaalde advocaten pakken 20% van geld dat wij opbrengen” snap ik wel.

Zo direct kun je het wat mij betreft niet stellen. Het is zeker niet zo dat als de GGD een miljoen moet betalen, zij fluitend de hand ophouden bij Financiën die dan de tweede schijf 0,0001% verhoogt om het goed te maken. Eerder gaat dit uit het budget voor volgend jaar, of uit de reserves die de GGD zou hebben. Dat doet ook pijn want dan functioneert de gezondheidsvoorziening nog slechter.

Aan de andere kant: hoe moet je dan wél een overheid bij de les houden als grote groepen mensen schade (kunnen) leiden door hun wan-ICT?

Arnoud

Kan Ancestry.com eigenaar worden van je DNA?

Pas op, las ik op vele plekken: de genealogiesite Ancestry.com claimt eigendom op je DNA. Ze hebben een dienst waarbij je DNA wordt getest om verwanten te vinden in hun database, maar de voorwaarden zeggen dat men jouw DNA eeuwig en gratis mag gebruiken ter identificatie van “you or a genetic relative.” Oftewel, die wordt hun eigendom en ze mogen er mee doen wat ze willen. Maar zoals eigenlijk altijd met berichten over dat diensten eigendom claimen op iets van hun gebruikers: nee, dit klopt niet.

De dienst AncestryDNA claimt de “World’s Largest Consumer DNA Database” met het DNA van meer dan 3 miljoen mensen, waarmee je “ethnic mix” kunt ontdekken, en “discover distant relatives, and find new details about your unique family history with a simple DNA test.” Allemaal leuk en aardig, maar uiteraard moest daar weer een jurist goed voor gaan zitten want stel er komen claims:

By submitting DNA to AncestryDNA, you grant AncestryDNA and the Ancestry Group Companies a royalty-free, worldwide, sublicensable, transferable license to host, transfer, process, analyze, distribute, and communicate your Genetic Information for the purposes of providing you products and services, conducting Ancestry’s research and product development, enhancing Ancestry’s user experience, and making and offering personalized products and services. In other words: we use your Genetic Information to provide products and services to you and improve our products and services for all our users. In addition, you understand that by providing any DNA to us, you acquire no rights in any research or commercial products that may be developed by AncestryDNA using your Genetic Information.

Mooi is dat. Dus ten eerste claimen zij het recht om alles te mogen doen met jouw DNA – niet alleen naar jou, maar naar al hun gebruikers. Oftewel dat gaat gewoon de database in. En ten tweede heb jij nergens recht op. Ja, je mag het rapport lezen maar daar houdt het wel mee op.

Maar is dat “claimt eigendom op je DNA”? Volstrekt niet. Allereerst niet omdat dat er niet staat. Sterker nog, het tegendeel staat een alinea hoger:

AncestryDNA does not claim any ownership rights in the DNA that is submitted for testing.

En ten tweede en belangrijker, omdat DNA niet iets is waar het concept eigendom überhaupt voor kan gelden. Ja, DNA bestaat wel (in tegenstelling tot data) maar wordt niet gezien als tastbaar fysiek object. Je hebt er dus geen eigendomsrechten op, en je kunt die dus ook niet overdragen. En zelfs als dat wel kon, dan ten derde zou zoiets een schriftelijke verklaring met handtekening vereisen.

(Je kunt natuurlijk zeggen dat dit spitsvondige juristerij is, want een eeuwigdurende onbeperkte licentie met sublicentierechten is effectief hetzelfde als de eigendom. Maar ik vind de fout net zo basaal als mensen die spreken van een BSN nummer of de programmeertaal HTML.)

In Europa is dit nog een best lastige dienst om goed op te zetten. Genetische informatie wordt onder de Privacyverordening gezien als een bijzonder persoonsgegeven (art. 9.1 AVG). Die mag dus niet worden verwerkt zonder een specifieke grond, en voor diensten als deze zie ik eigenlijk alleen de uitdrukkelijke toestemming (art. 9.2(a) AVG) als mogelijke grond.

Natuurlijk geef je toestemming voor verwerking van je DNA als je dat uploadt (pardon, instuurt) naar deze dienst. Maar dat DNA wordt vervolgens gematcht tegen hun hele database, waarna je kennelijk informatie over potentiële verwanten krijgt. En dát mag niet zomaar. De in de voorwaarden geëiste toestemming is daar te generiek voor – en bovendien mág dergelijke toestemming niet in voorwaarden opgeëist worden, dat moet apart.

Arnoud

Linkedin brak Nederlandse wet met personeelsadvertentie met vraag naar etnische afkomst

Juridische foutje-bedankt van de maand: bij een personeelsadvertentie van zakelijkesocialmediasite LinkedIn werd naar ras en etnische afkomst van de sollicitant gevraagd, onder verwijzing naar Amerikaanse positieve-discriminatiewetgeving. Dat ontdekte Bas van de Haterd eerder deze week. De fout werd per direct opgelost, want dat mag natuurlijk absoluut niet.

Wie zijn CV wilde insturen naar LinkedIn, kreeg als laatste set vragen deze (optionele) items te zien:

Schermafbeelding-2013-06-09-om-13.58.43-550x242

In de VS stimuleert men positieve discriminatie op ras en geslacht, om zo meer minderheden aan het werk te krijgen. Dit is met name bij leveranciers van de overheid van belang. Op zijn minst móet je ras en geslacht bijhouden voor statistische doeleinden.

In Nederland mag een werkgever eenvoudigweg niet vragen naar bijzondere persoonsgegevens, en ook niet naar zaken die tot directe of indirecte discriminatie kunnen leiden. Bijzondere persoonsgegevens gaann over iemands godsdienst of levensovertuiging, ras, politieke gezindheid, gezondheid, seksuele leven en (belangrijk bij het werk) het lidmaatschap van een vakvereniging.

Van discriminatie is sprake als er zonder objectieve grond een onderscheid wordt gemaakt. Een werkgever mag bv. vragen dat iemand goed Nederlands spreekt als dat voor de functie relevant is, maar niet automatisch Polen uitsluiten omdat hij denkt dat die geen goed Nederlands kunnen spreken.

Ras en achtergrond mag je eigenlijk nooit vragen, behalve in heel bijzondere gevallen wanneer dat echt objectief relevant is (een acteur die Sinterklaas moet spelen). Een bekend voorbeeld is aan een vrouw vragen of ze zwanger is/gaat worden, dat mag niet want kan indirect tot uitsluiting van die vrouw leiden wegens haar geslacht. Bij mannen zou je zoiets nooit vragen immers.

Je mag zulke dingen niet vragen, ook niet in de “je hóeft niet te antwoorden maar”-vorm. Het punt is dat ook bij die vrijwillige vragen de ondertoon is “mensen die het niet invullen hebben een streepje minder”.

Gelukkig bleek dit een slordig foutje. Een woordvoerder van Linkedin liet Bas meteen weten:

 ‘’De vragen op ons sollicitatieformulier in Nederland over geslacht, etniciteit en ras zijn onjuist toegevoegd en wij hebben deze dan ook direct verwijderd toen dit onder onze aandacht werd gebracht. Deze vragen zijn onbedoeld toegevoegd op het Nederlandse formulier door een bug in de Applicant Tracking System (ATS) software die we gebruiken. We hebben nauw samengewerkt met Jobvite, onze ATS supplier, om dit aan te passen en zullen blijven samenwerken met Jobvite om ervoor te zorgen dat dit niet meer gebeurt.’’

Gevalletje “verkeerde vinkje aangezet”?

Arnoud

Mag je medische gegevens uit forumberichten gebruiken voor onderzoek?

persoonskaarten-privacy-archief.pngEen lezer vroeg me:

Voor mijn werk als onderzoeker wil ik nagaan hoe mensen over hun medicijngebruik praten op internetforums. Ik weet dat het verwerken van medische persoonsgegevens niet zomaar mag, maar hoe zit het in deze situatie? Het zijn immers openbare forums waar je zonder account op kunt. Geldt de privacywet dan ook nog?

Het is normaal inderdaad verboden om medische informatie te verwerken. De Wbp eist toestemming of een specifieke wettelijke grond (art. 21 Wbp). Dit is vanwege het karakter van deze persoonsgegevens strenger dan bij normale persoonsgegevens. Er is dus géén grond à la de “eigen dringende noodzaak” die normaal wel (bij uitzondering) kan gelden om persoonsgegevens zonder toestemming te gebruiken.

Maar als de gegevens “door de betrokkene duidelijk zelf openbaar zijn gemaakt”, dan geldt dit verbod niet (art. 23 Wbp). Als iemand dus zelf meldt diabetes te hebben, dan valt verwerking van dat gegeven dus niet meer onder dit verbod.

Dat wil echter niet zeggen dat het gegeven dus vogelvrij is. De hoofdregel van de Wbp dat er toestemming, overeenkomst of dringende noodzaak moet zijn, geldt ook nu. Wie geen toestemming heeft om medische feiten te publiceren en ook geen eigen dringende noodzaak kan aantonen, schendt alsnog de Wbp. Ik moet dus in deze blog nog steeds een reden hebben om te melden dat iemand diabetes heeft, ook al staat dat op zijn eigen openbare Facebook. (Die reden zal bij een blog de vrije meningsuiting zijn.)

Specifiek voor wetenschappelijk onderzoek of statistiek is er nog een uitzondering op dit verbod, namelijk wanneer:

a. het onderzoek een algemeen belang dient,
b. de verwerking voor het betreffende onderzoek of de betreffende statistiek noodzakelijk is,
c. het vragen van uitdrukkelijke toestemming onmogelijk blijkt of een onevenredige inspanning kost en
d. bij de uitvoering is voorzien in zodanige waarborgen dat de persoonlijke levenssfeer van de betrokkene niet onevenredig wordt geschaad.

Als een dergelijk onderzoek kan voldoen aan deze vier eisen, dan is het dus óók toegestaan. Het grote struikelblok hier zal denk ik lid c zijn: waarom kun je niet gewoon iedereen een berichtje sturen en vragen of je hun berichten mag gebruiken?

Het is overigens een misverstand dat wetenschappelijk of statistisch onderzoek altijd mag onder de privacywet. Het enige dat er over dergelijk onderzoek in de wet staat, is dat als de gegevens legaal verkregen zijn (dus toestemming, overeenkomst of noodzaak) je óók statistisch onderzoek mag doen op die gegevens (art. 9 lid 3 Wbp). Maar had je überhaupt geen grond om die gegevens te verwerken, dan is verwerken voor statistiek ook niet toegestaan.

Arnoud