Tag: datalek

About datalek

Subscribe Feeds

Mag een bedrijf een datalek-publicatie offline halen?

Geplaatst op in Ondernemingsvrijheid, Privacy, 3 reacties

persoon-persoonsgegeven-veilig-hek-beschermd-lek-dataEen lezer vroeg me:

Kan een bedrijf als Ashley Madison iedere website offline halen die hun gelekte data publiceert? Ik snap dat ze bepaalde rechten hebben op die data, maar er is toch ook zoiets als het algemeen belang, kunnen weten of je getroffen bent door deze datalek?

Vorige maand werden bij de datingsite data gestolen van 32 miljoen gebruikers, inclusief namen, adressen en creditcardtransacties. Kort daarna verschenen diverse sites waar deze data op gepubliceerd werd, zoals https://ashleymadisonleakeddata.com/

Wie nu op die site kijkt, ziet echter “I received a takedown notice from Avid Dating Life Media, Inc. so I’m forced to shut down this site”. De datingdienst heeft onder de Digital Millennium Copyright Act een bezwaar gestuurd: deze publicatie schendt ons auteursrecht en moet onmiddellijk offline. Onder het Amerikaans auteursrecht moet een hoster daar gehoor aan geven, en pas daarna gaan we eens uitzoeken hoe het zit.

Althans, áls er een geldig auteursrecht wordt geschonden. En dat kun je je ten zeerste afvragen. Voor auteursrecht is vereist dat de maker enige creativiteit in het werk stopte. Enkel veel data verzamelen of hard werken om het werk te maken, is gewoonweg niet genoeg. Niet bij ons en niet in de VS.

Ik zou werkelijk niet weten welke creativiteit er zit in een klantenbestand. In Europa bestaat er nog het databankrecht, waarmee je als producent van een dataverzameling rechten kunt claimen. Maar dat recht kennen ze niet in de VS.

Natuurlijk kun je zo’n bestand je “intellectual property” noemen, maar dat is een term zonder juridische betekenis. Data is geen eigendom, en “intellectueel eigendom” is jargon voor auteursrecht, octrooien en dergelijke. Meer niet. Je kunt je dus bij de rechter niet op je IP beroepen als je geen auteursrecht (of dergelijk recht) kunt aanwijzen.

Dus nee, ik heb geen idee op welke grond Ashley Madison meent dat zij een takedown mogen doen van die data.

Daar staat wel tegenover dat publicatie van die data de privacy schendt van de getroffen gebruikers. Daarmee zou je dus wel tegen de wet handelen. Alleen is dat niet iets waar het bedrijf iets tegen kan doen: een privacyschending is het probleem van de getroffen burger, niet van het bedrijf.

Bovendien geldt in de VS dan nog de specifieke regel dat je als hoster nóóit gehouden bent data te verwijderen op welke grond dan ook (zelfs als de inhoud strafbaar is), behalve bij auteursrechtinbreuk. Bij ons is dat breder: je moet als hoster optreden bij iedere evidente overtreding van de wet, dus ook bij privacyzaken. In Europa zou een getroffen persoon dus kunnen eisen dat zijn data offline gaat.

Arnoud

Oh ja, en we krijgen per 1 januari een datalekmeldplicht en boetes op brakke beveiligingen

Geplaatst op in Privacy, Security, 20 reacties

disc-data-weg-bewaren-kruis.jpgOp 1 januari 2016 treedt de Wet Datalekmeldplicht in werking. Vanaf dat moment moeten bedrijven bij de toezichthouder én de consument melding doen van datalekken, oftewel inbraken en beveiligingslekken waardoor persoonsgegevens zijn ontvreemd. Wordt er niet gemeld, of blijkt na melding dat een bedrijf nalatig was, dan kunnen tot acht ton aan bestuurlijke boetes worden opgelegd. En als je die wet goed leest, dan zie je dat er óók boetes kunnen worden opgelegd voor wie de beveiliging überhaupt niet op orde had.

Veel mensen denken bij de term ‘datalek’ aan een grootschalige inbraak waarbij alle klantgegevens worden gedownload, of een publicatie op een Russische hackersite van patiëntdossiers. De wettelijke definitie is echter veel breder. Iedere inbreuk op de beveiliging van persoonsgegevens wordt gezien als een datalek. En de wet (art. 13 Wbp) noemt “verlies of enige vorm van onrechtmatige verwerking” als een inbreuk. Ook wanneer gegevens binnen een organisatie dus op te vragen zijn door ongeautoriseerde medewerkers, is strikt gesproken sprake van een datalek. Voor webwinkels of sites met online inschrijf- of bestelformulieren zou al sprake zijn van een datalek wanneer deze formulieren niet over een beveiligde verbinding (SSL) worden verzonden.

Wie data op deze manier lekt, moet dat melden bij de toezichthouder en vaak ook bij de getroffen consument. Een datalek moet bij de toezichthouder worden gemeld wanneer deze “leidt tot de aanzienlijke kans op ernstige nadelige gevolgen” of daadwerkelijk die gevolgen heeft, en bij de betrokkene als het lek “waarschijnlijk ongunstige gevolgen zal hebben voor diens persoonlijke levenssfeer”. Dit zijn vrij vage criteria, en dat is dan meteen een zwak punt: een bedrijf kan met een stalen gezicht volhouden dat die diefstal van 200.000 patiëntgegevens toch niet een aanzienlijke kans heeft op nadelige gevolgen, laat staan op ernstige. Maar dat is dan iets waar de rechter of het Cbp al dan niet met giecheltoets wat van kan vinden.

De boetebevoegdheid van de toezichthouder wordt uitgebreid – of eigenlijk ingevoerd want die hebben ze nu in de praktijk niet. Onder het nieuwe regime kunnen boetes tot in theorie acht ton worden opgelegd voor het ten onrechte niet melden van een datalek. Maar niet alleen dat: de boetebevoegdheid geldt voor zo ongeveer elke serieuze plicht die je hebt onder de Wet bescherming persoonsgegevens: verwerken zonder grondslag (art. 8) of op onzorgvuldige manier (art. 6-10), het niet nakomen van informatieplichten (art. 33 en 35) en misbruik van het BSN (art. 24). En tot mijn vreugde ook: het niet hebben van een passende beveiliging (art. 13 Wbp). Een brakke beveiliging hebben is dus vanaf 1 januari wel degelijk strafbaar (pardon: sanctioneerbaar met een bestuursrechtelijke boete).

Wel moet het Cbp in principe eerst een bindende aanwijzing geven voordat boetes mogen worden opgelegd. Maar daar is dan weer een uitzondering op voor het geval men opzettelijk of ernstig verwijtbaar handelt. Dat is een vage norm, maar in de praktijk zal zich dat wel wijzen denk ik.

Ja, hier word ik wel een beetje vrolijk van. Ik snap alleen niet waarom het vrijwel nergens in het nieuws gaat over die boetebevoegdheid op beveiliging maar alleen over het al dan niet moeten melden van datalekken?

Arnoud

Kabinet zwakt wetsvoorstel meldplicht datalekken af

Geplaatst op in Ondernemingsvrijheid, Privacy, 21 reacties

persoon-persoonsgegeven-veilig-hek-beschermd-lek-dataHet kabinet gaat de voorgestelde meldplicht voor datalekken beperken, las ik bij Tweakers. Bedrijven en organisaties zijn volgens de nieuwe voorstellen alleen verplicht melding te maken van datalekken als deze als ‘ernstig’ zijn te kwalificeren in plaats van zodra er een “aanmerkelijke kans” is dat er verlies of misbruik kan ontstaan, zo staat in de nota van wijziging.

Tsja. Het is subtiel woordenspel; in beide situaties moet de melder interpreteren of een diefstal of lek onder de wet valt. Ik weet niet of we daar heel gelukkig van worden. Ik denk dat met alle formuleringen die we gaan verzinnen, een melder of zijn slimme ICT-jurist een interpretatie weet te verzinnen waarom zijn lek er niet onder valt. “Nee sorry Heartbleed is geen ernstig datalek want er is geen aanwijzing in onze logs dat iemand het servergeheugen heeft leeggetrokken.”

Nee weet je: eigenlijk ben ik gewoon tégen een meldplicht. Mensen worden daar melddoof van – zie de cookiewet. Als je mensen om de haverklap vertelt dat er iets is, dan gaan ze dat negeren. Er is iets ernstig mis met je systeem als je denkt dat de oplossing is om mensen te waarschuwen. (Of je bent erg lui.)

Bovendien, specifiek bij datalekken, wat kún je doen? Stel mijn naam en huisadres worden gelekt. Wat moet ik dan? Verhuizen? Dat gaat toch niet? Ja oké bij een mailadres kan dat wel maar moet ik dan een ander mailadres nemen omdat een of andere nieuwsbriefbeheerder zo dom is een lekke database te hebben?

Nee. De vervuiler betaalt. Als jij zo dom bent, dan mag jij mij een vergoeding betalen als er overlast betaalt. In juridische termen: dan gaan we de directie eens aansprakelijk stellen voor verlies of diefstal van persoonsgegevens. En ja ik weet dat die schade moeilijk te kwantificeren is, dus daarom moet er in de wet komen te staan dat persoonsgegevens een vast bedrag waard zijn, zeg €150. En vervolgens moet de beheerder dus bij een datalek aan alle nieuwsbrieflezers €150 de man betalen.

Wedden dat bedrijven dan wél serieus gaan investeren in dichttimmeren van hun persoonsgegevendatabanken?

Arnoud

Tijd voor wettelijke productveiligheidsaansprakelijkheid?

Geplaatst op in Ondernemingsvrijheid, Security, 24 reacties

Een brakke ICT-beveiliging is niet strafbaar, maar wordt dat niet eens tijd? Vandaag de dag is ICT-veiligheid net zo essentieel als hardwareveiligheid. Apparatuur mag niet ontploffen en mag niet hackbaar zijn, punt. En misschien is dat laatste nog wel erger: dat je laptop ontploft is heel naar voor jou, maar dat 100.000 patiëntdossiers op straat liggen is toch 100.000 keer erger. Maar gek genoeg is de leverancier van de apparatuur waardoor die dossiers lekten, niet aansprakelijk en die ontploftelaptopfabrikant wel.

Kun je zoiets regelen? In theorie wel. Dat van dat niet ontploffen is namelijk al wettelijk geregeld. Een produkt is gebrekkig, indien het niet de veiligheid biedt die men daarvan mag verwachten, zo staat in art. 6:186 BW. Uiteraard in alle redelijkheid en met de presentatie en te verwachten gebruik van het product in het achterhoofd, plus kijkend naar de stand der techniek van toen het product uitkwam. Is een product dan toch fysiek onveilig, dan is de producent aansprakelijk – en dat is naast de feitelijk producent ook de Europese importeur.

Even heel simpel copypasten van het wetsartikel en je krijgt “Een ICT-product is gebrekkig indien het niet de beveiliging van gegevens biedt die men daarvan mag verwachten, gezien het beoogde gebruik, de stand der techniek ten tijde van verkoop en het te verwachten kennisniveau van de doelgroep”. Natuurlijk hou je nog steeds het probleem van hoe je de schade meet van een gelekt persoonsgegeven, maar dat is een andere discussie.

Met zo’n regel zou je dus kunnen zeggen dat het lekken van bedrijfsdossiers door een lekke consumentenrouter geen gebrek is: het beoogde gebruik was een toevallig voorbijfietsende wifizoekende buiten te houden, dit soort industriële spionage valt daarbuiten. Net zoals je geen fietsslot gebruikt om nucleaire wapens te beveiligen (ahem). En met die “stand der techniek”-opmerking voorkom je aansprakelijkheid voor later ontdekte hacks die je niet had kunnen weten bij het bouwen – maar hacks die je hád moeten weten, maken je product wel gebrekkig.

Dat van dat kennisniveau had ik bedacht omdat je bij ICT-producten vaak toch wel enig meedenken mag verwachten. Maar hoe veel, dat hangt dan af van de doelgroep. Die consument wil draadloos internet in z’n huis, en niet hoeven nadenken over wat nu een veilige WPA2 key is en of je nou wel of niet TKIP moest gebruiken en hoe je het serienummer van je Apple-laptop achterhaalt voor op de MAC-whitelist. Die router moet dus gewoon zo veilig mogelijk zijn ingesteld en een lang willekeurig wachtwoord met een sticker op de achterkant hebben.

Nadeel: dit leidt wel tot beperkte functionaliteit, want als die consument dan met een handige forumpost in de hand zijn netwerk gaat tweaken, krijgt hij allemaal disclaimers om z’n oren. (Net zoals ik laatst met mijn nieuwe mp3speler: wil je harder dan standje 15 dan moet je eerst bevestigen dat je dat op eigen gehoorsrisico doet. Want ik zou ze eens productaansprakelijk kunnen houden voor gehoorschade omdat ik het geluid op maximaal zet.)

Zou dit kunnen werken? Een verschil waar ik mee zit is dat een product meestal precies dat is: één product. Je kunt die batterij testen en anti-ontplofmaatregelen nemen, en dat gaat dan gewoon goed in die laptop. De batterij wordt niet ineens deel van een complex systeem met drie verschillende protocollen over elkaar heen en interactie met vijftien apparaten van verschillende leveranciers die allemaal nét even anders werken. En dat heb je wel bij computerapparatuur.

Arnoud