Illegale handel in privégegevens miljoenen Nederlanders uit coronasystemen GGD

| AE 12476 | Privacy, Regulering | 19 reacties

Er wordt grootschalig gehandeld in miljoenen adresgegevens, telefoon- en burgerservicenummers, afkomstig uit de twee belangrijkste coronasystemen van de GGD. Dat ontdekte RTL Nieuws onlangs. De politie heeft twee personen gearresteerd die worden verdacht van deze illegale datahandel. Het gaat om handel in data uit twee coronasystemen van de GGD: CoronIT, waar de privégegevens van Nederlanders die een coronatest hebben gedaan in staan, en HPzone Light, het systeem voor het bron- en contactonderzoek van de GGD.

Op vrijdag 22 januari kregen politie en OM meldingen van de GGD dat er op Telegram persoonsgegevens uit een GGD-systemen te koop zouden worden aangeboden. Dat lees ik dan weer in het persbericht van de politie, met een overigens wel érg stoere foto van een arrestatie. “Het stelen en verkopen of doorverkopen van persoonsgegevens is een ernstig misdrijf”, zo meldt men.

En dat is het zeker, maar vroegen diverse lezers, waar staat dat dan? De AVG kent geen bepalingen van strafrecht, en data is niets zeg ik altijd. Maar specifiek bij strafrecht ligt dat anders. Daar kun je dingen stelen die in het handelsverkeer niets zijn. Alleen moet het dan wel gaan om dingen die uniek zijn, niet-kopieerbaar. En daar voldoen persoonsgegevens niet aan: de ‘gestolen’ gegevens staan nog steeds in de database van de GGD. Er is “alleen maar” een kopie gemaakt.

Desondanks is dit wel degelijk strafbaar. Je kunt diverse insteken kiezen. Zo is er artikel 139c Strafrecht, dat meestal de “diefstal van gegevens” strafbaar stelt:

Met gevangenisstraf van ten hoogste twee jaren of geldboete van de vierde categorie wordt gestraft hij die opzettelijk en wederrechtelijk met een technisch hulpmiddel gegevens aftapt of opneemt die niet voor hem bestemd zijn en die worden verwerkt of overgedragen door middel van telecommunicatie of door middel van een geautomatiseerd werk.
Weliswaar mochten de medewerkers in kwestie in de databases, de kopie die ze downloadden hoorde niet tot hun werk en die is dus opzettelijk én wederrechtelijk gemaakt. En artikel 139e stelt dan ook het bezit en publiceren van die gegevens strafbaar (tot zes maanden cel)

Strenger is artikel 139g Strafrecht, dat in lid 1 bepaalt:

1. Met gevangenisstraf van ten hoogste een jaar of geldboete van de vierde categorie wordt gestraft degene die niet-openbare gegevens:

  • a.verwerft of voorhanden heeft, terwijl hij ten tijde van de verwerving of het voorhanden krijgen van deze gegevens wist of redelijkerwijs had moeten vermoeden dat deze door misdrijf zijn verkregen;

  • b.ter beschikking van een ander stelt, aan een ander bekend maakt of uit winstbejag voorhanden heeft of gebruikt, terwijl hij weet of redelijkerwijs moet vermoeden dat het door misdrijf verkregen gegevens betreft.

Dit artikel ziet dus op de heling of doorverkoop van die gegevens.

Dan is er ook nog een wetsartikel tegen identiteitsfraude, artikel 231b Strafrecht:

Hij die opzettelijk en wederrechtelijk identificerende persoonsgegevens () van een ander gebruikt met het oogmerk om zijn identiteit te verhelen of de identiteit van de ander te verhelen of misbruiken, waardoor uit dat gebruik enig nadeel kan ontstaan, wordt gestraft met een gevangenisstraf van ten hoogste vijf jaren of geldboete van de vijfde categorie.

Het enige punt is dat ik hierbij geen voorbereidings-artikel kan vinden, oftewel een artikel waarin staat dat het verwerven van persoonsgegevens met het oogmerk dit misdrijf te plegen apart strafbaar is. Ik denk dus dat dit het niet gaat worden.

Dat gezegd hebbende, dit is een uniek geval en vooral dat de politie zo streng en voortvarend optreedt. Ik hoop dat het veel consequenties heeft, dan zit de schrik er straks goed in.

Arnoud

Wat kan ik als mijn werkgever mijn bsn en medisch dossier lekt?

| AE 12299 | Privacy, Security | 19 reacties

Een lezer vroeg me:

De laptop van mijn leidinggevende is recent gestolen. Helaas was het systeem niet versleuteld, waardoor gevoelige persoonsgegevens (zoals mijn naam, geboortedatum, BSN, handtekening en medische gegevens) door de dief te lezen zouden kunnen zijn. Ik ben netjes geïnformeerd en het lek wordt gemeld, maar ik vind dit niet genoeg. Wat kan ik juridisch doen tegen mijn werkgever?
Allereerst: erg jammer en vervelend dat er anno 2020 nog steeds werkgevers zijn die dus dit soort gevoelige gegevens rondsjouwen zonder zelfs maar full-disk encryptie. Het is erg pijnlijk om daar via een datalekmelding achter te moeten komen.

De procedure is zo te lezen netjes gevolgd: de werknemer moet worden geïnformeerd en de AP ook, want de gegevens zijn zeer gevoelig en misbruik daarvan kan zeker tot schade bij de werknemer(s) leiden. Ook als het maar een handjevol mensen was – BSN en medische gegevens tellen als zeer gevoelig ook bij kleine hoeveelheden.

Dat wil niet zeggen dat de kous daarmee af is. De werknemer kan desondanks immers schade lijden door het lek, en volgens de AVG is de werkgever daar gewoon voor aansprakelijk stellen.

Het lastige hierbij is natuurlijk aan te tonen wat je schade is, zeker als er nog geen kwaadwillend gebruik van je gegevens is gemaakt. En bij diefstal van een laptop is de kans reëel dat dat ook niet gaat gebeuren; waarschijnlijk herinstalleert de dief Windows en verkoopt hij het ding tweedehands. Je kunt dan natuurlijk gaan monitoren op misbruik maar je zult waarschijnlijk niets tegenkomen.

Het gaat me wat ver om te zeggen dat een werkgever maar gewoon een bedrag moet geven bij wijze van forfaitaire schadevergoeding. Maar zonder concreet aangetoonde schade kan de werknemer verder niet zo veel. Bij financiële gegevens zou je nog kunnen eisen dat de werkgever een monitoringdienst betaalt om op het ahem “dark web” te kijken of je creditcard daar opduikt, maar voor bsn’s of medische dossiers is er niet echt zo’n markt.

Arnoud

Data is niets maar een man uit Spijkenisse kon ze wel stelen?

| AE 12187 | Regulering, Security | 15 reacties

Met de aanhouding van een 53-jarige man uit Spijkenisse is voorkomen dat mogelijk vele honderdduizenden persoonsgegevens op straat kwamen te liggen. Dat las ik bij Politie.nl vorige week (via). Een bedrijf in Utrecht ontdekte dat persoonsgegevens in strijd met de wet werden gebruikt (mooi stukje beveiliging/organisatorisch de AVG op orde hebben!) en deed aangifte, waarna de politie vrij snel bij deze verdachte uitkwam. Goede actie, en hopelijk zijn de gegevens niet ondertussen al ergens anders naartoe. Maar, zo kreeg ik dan de vraag: dat kan toch niet, data is toch niets, hoe kan het dan worden gestolen?

In de pers moet je altijd uitkijken met termen als “diefstal van gegevens” want de meeste journalisten zitten niet zo op de juridische nuances. Van diefstal is alleen sprake als je “een goed” wegneemt zonder daartoe bevoegd te zijn, en dan ook nog eens met het doel je dat goed zelf toe te eigenen. Iets dat geen goed is, kun je dus niet stelen.

Data is in het algemeen geen goed; de definitie daarvan vereist kort gezegd dat de houder ervan als enige er wat mee kan doen (en dat er enige waarde aan het goed verbonden is). Dit volgt uit het Runescape-arrest dat bepaalde dat die criteria niet gelden voor gegevens in het algemeen, maar wel specifiek voor gegevens die objecten in virtuele werelden vertegenwoordigen. Als jij dat zwaard hebt, dan de rest van de deelnemers niet. Idem voor belminuten (op dezelfde dag beslist), als ik ze opbel dan kun jij dat daarna niet meer.

Persoonsgegevens zijn duplicatief, je kunt ze kopiëren. Daarmee voldoen ze niet aan die beperkte criteria en dus zijn het geen goederen. Alle wetgeving over eigendom is daarmee niet van toepassing. Dat is waarom ik “data is niets” zeg. Je kunt niet “je data terug” eisen, want de term “jouw” kan juridisch alleen op eigendom geplakt worden. Het is of je data blauw noemt, dat klopt gewoon niet.

Dat wil niet zeggen dat data juridisch vogelvrij is. Je kunt bij een data-beheerder gewoon contractueel afspreken dat hij je een kopie geeft wanneer je dat vraagt. En bij het strafrecht zijn er – vanwege het eerdere Computergegevens-arrest – aparte regels gemaakt over het wegmaken of kopiëren van data in strijd met andermans recht. En dat is wat deze meneer ten laste gelegd gaat worden. We noemen dat dan wel ‘data-diefstal’ maar we bedoelen het overnemen van gegevens na computervredebreuk (artikel 138ab lid 2 Strafrecht) of wederrechtelijk aftappen van gegevens (artikel 139c).

Arnoud

Politie test koppelen cameradata tegen dieven in Roermond

| AE 10843 | Informatiemaatschappij | 41 reacties

De politie en de TU Eindhoven testen een systeem om data uit verschillende bronnen, met name camera’s, te koppelen en te analyseren, om winkeldieven uit Oost-Europa in een vroeg stadium te herkennen. Dat meldde Tweakers afgelopen maandag. De camera’s zijn die uit de anpr-nummerplaatherkenning, gekoppeld aan een database die de politie heeft over voertuigen die… Lees verder

Heb ik onder de AVG recht op beelden van de diefstal van mijn motorfiets?

| AE 10802 | Privacy | 21 reacties

Een lezer vroeg me: Enkele dagen geleden is mijn motor gestolen die voor mijn huis geparkeerd stond. De plaatselijke supermarkt heeft dit feit opgenomen met één van hun beveiligingscamera’s. Heb ik recht op inzage? Het recht op inzage in camerabeelden komt uit de Algemene Verordening Gegevensbescherming, en geldt dus alleen voor camerabeelden waar jouw persoonsgegevens… Lees verder

Licentiecodes meenemen van je werk is geen diefstal

Een licentiecode meenemen van je werk als je ontslag neemt, is geen diefstal of heling. Dat vonniste de rechtbank Den Haag onlangs. De verdachte in deze strafzaak had ontslag genomen en wilde kennelijk met die licentiecode goede sier maken bij de nieuwe werkgever, iets dat de oude werkgever zó ernstig vond dat men aangifte deed,… Lees verder

Mag de eigenaar van een gestolen laptop deze opsnuffelen bij een legitieme koper?

| AE 9571 | Regulering, Security | 32 reacties

Een lezer vroeg me: Onlangs kreeg ik de politie aan de deur: ik zou in het bezit zijn van een gestolen laptop! Bij navraag bleek het te gaan om een tweedehands die ik keurig in een computerwinkel had gekocht (met bon, reële prijs, semi-bekende keten wiens naam ik even niet noem) dus niets aan de… Lees verder

Jaar cel voor hacken en phishing, maar creditcardgegevens kun je niet stelen

| AE 9128 | Regulering | 20 reacties

Een man uit Amsterdam heeft vrijdag een celstraf van één jaar gekregen omdat hij verschillende websites heeft gehackt, e-mailadressen heeft gestolen en zich in phishing-e-mails heeft voorgedaan als een creditcardbedrijf. Dat meldde Nu.nl onlangs. Hij had ook creditcardgegevens te pakken gekregen, maar deze heeft hij niet gestolen want dat kan juridisch niet, zo blijkt uit… Lees verder

Denk je een tip te geven, krijg je een knorrige bedrijfsjurist op je dak

| AE 8093 | Iusmentis, Ondernemingsvrijheid | 19 reacties

Als je de directeur van AT&T een tip durft te geven, dan krijg je een knorrige bedrijfsjurist op je dak, las ik bij Ars Technica (dank, tipgevers!). “AT&T has a policy of not entertaining unsolicited offers to adopt, analyze, develop, license or purchase third-party intellectual property… from members of the general public,” zo klonk het… Lees verder