Tag: emailadres

About emailadres

Subscribe Feeds

FBI deelt voortaan uitgelekte wachtwoorden met Have I Been Pwned, mag dat van de AVG?

Geplaatst op in Innovatie, Security, 14 reacties

De FBI gaat uitgelekte wachtwoorden die het tijdens onderzoeken tegen gekomen is, in het vervolg delen met de website Have I Been Pwned. Dat meldde Tweakers onlangs. De wachtwoorden die de FBI met Have I Been Pwned deelt, zullen worden voorzien van een SHA-I en NTLM-hashparen, zodat ook HIBP-eigenaar Troy Hunt de wachtwoorden niet in plain text heeft. Wat de interessante vraag opriep: mag dat van de AVG?

De eerste vraag is dan natuurlijk, verwerkt HIBP dan persoonsgegevens? Want een wachtwoord is weliswaar persoonlijk maar zegt op zich niets over de persoon. Klopt, maar dat is natuurlijk gekoppeld aan een e-mailadres en dat is wél een persoonsgegeven (uitgaande van wim.tenbrink@example.com-achtige mailadressen, over info@ heb ik het even niet).

Emailadressen worden verwerkt: als je in de dienst je mailadres opgeeft, meldt deze in welke breaches je opgenomen bent. Natuurlijk wordt het wachtwoord niet getoond. Zoals de site het uitlegt:

When email addresses from a data breach are loaded into the site, no corresponding passwords are loaded with them. Separately to the pwned address search feature, the Pwned Passwords service allows you to check if an individual password has previously been seen in a data breach. No password is stored next to any personally identifiable data (such as an email address) and every password is SHA-1 hashed.
Desondanks: ja, HIBT verwerkt dus persoonsgegevens want ze hebben een lijst met mailadressen met daaraan gekoppeld de informatie waar deze slachtoffer van datalekken zijn geworden. En dan krijg je dus de vraag of de AVG van toepassing is, omdat dat Hunt in Australië gevestigd is met zijn site.

Er zitten bergen mailadressen van Europeanen in die gelekte databases, waardoor je kunt gaan kijken naar artikel 3 lid 2 AVG. Want dat regelt situaties waarin de AVG van toepassing is ondanks dat de verwerkingsverantwoordelijke niet in de EU is gevestigd. Eis is dan dat

de verwerking verband houdt met: a) het aanbieden van goederen of diensten aan deze betrokkenen in de Unie, ongeacht of een betaling door de betrokkenen is vereist; of b) het monitoren van hun gedrag, voor zover dit gedrag in de Unie plaatsvindt.
Optie b (monitoren van gedrag) lijkt me vrij evident niet van toepassing, Hunt monitort helemaal niemand. Dus dan is de vraag of Hunt diensten aanbiedt aan deze betrokkenen (want goederen zijn er natuurlijk niet). Is die dienst dan de website, waarin je je mailadres invult en “ja” te horen krijgt, of de achterliggende dienst waarbij hij data verzamelt en koppelt ten behoeve van die website-dienst?

In het eerste geval geldt de AVG zonder twijfel, maar dan gaat het meteen goed met de grondslag en dergelijke: jij vraagt dan om die dienst (“Have I been pwned? :O”) en je krijgt die geleverd (“yes :(“) waarbij de verwerking best wel noodzakelijk is en bovendien voldoet aan dataminimalisatie.

In het tweede geval vraag jij nergens om – Hunt verzamelt immers zonder opdracht ieders gegevens uit allerlei lekkages en zet die in zijn database. Maar dan kun je meteen er achteraan stellen dat Hunt ook geen diensten aan jou levert, hij doet dat voor zijn eigen plezier. Pas wanneer jij gaat zoeken, is sprake van een dienst – en dan zitten we weer bij geval 1. Dus volgens mij gaat deze dienst goed, AVG-technisch.

Arnoud

Kan ik mijn provider dwingen mijn mailadres gereserveerd te houden als ik overstap?

Geplaatst op in Ondernemingsvrijheid, 13 reacties

Een lezer vroeg me:

Ik heb een e-mailadres bij mijn internetprovider. Kan ik bij een overstap naar een nieuwe internetprovider mijn vorige provider dwingen om mijn oude e-mailadres niet vrij te geven? Dit om te voorkomen dat iemand anders mijn oude e-mailadres registreert en bijvoorbeeld zich als mij voordoet of wachtwoordresets op mijn online accounts kan uitvoeren?

Er is wettelijk geen recht op emailadresportabiliteit, zoals dat er wel is met nummerportabiliteit. Bij 06-nummers heb je immers het recht die mee te nemen als je van provider overstapt.

Met enige regelmaat zie ik deze discussie opspelen bij de politiek. Er zou een wetswijziging voor nodig zijn, en dan is standaard het argument dat dat te weinig op zou leveren tegenover het gedoe dat je nodig hebt. Immers wie dat wil kan een provideronafhankelijk mailadres nemen (al is het maar Hotmail of Gmail) en veel hoeft dat niet te kosten. Als ondernemer zou je dus wel gek zijn om dat niet te doen.

De AVG lijkt voor mensen een nieuwe grond hiervoor te bieden: als ik mijn mailadres dan niet mag meenemen, dan kan ik toch zeker wel voorkomen dat iemand anders met míjn naam gaat mailen? Dat is immers mijn persoonsgegeven.

En ja, dat is natuurlijk zo. Maar als jij Jan de Vries heet, en zes maanden na je opzegging wil een andere heer de Vries dat mailadres, kun je dan echt nog zeggen dat het nog jouw adres is? Ik zou daar toch wel de nodige moeite mee voelen.

Natuurlijk zit er een zeker securityrisico aan het ‘achterlaten’ van je mailadres. Wachtwoordresets zijn achteraf mogelijk als een aanvaller daar de moeite voor neemt. Ik kan daar alleen maar op zeggen dat je dus moet zorgen dat je mailadres afgekoppeld wordt van je accounts wanneer je overstapt van provider.

Arnoud

Mag een appartementenbeheerder wel of niet mailadressen van bewoners aan de VVE geven?

Geplaatst op in Privacy, 26 reacties

Op Tweakers las ik:

Als bestuur van de VVE willen wij graag onze leden informeren. Hiervoor hebben we een Facebook pagina en diverse mededelingenborden in het complex. … Onze beheerder heeft alle emailadressen van onze leden in beheer. Allemaal via expliciet akkoord van ieder lid. So far so good. We hebben aan onze beheerder gevraagd of wij als bestuur die lijst ook kunnen gebruiken om onze leden te informeren. Beheerder says no. Want AVG.

Het doet inderdaad wat raar aan dat een beheerder -aangesteld door de VVE- beschikt over persoonsgegevens, en die dan niet zou mogen verstrekken aan de VVE zelf op grond van de privacywet. Maar ik zie zulke dingen vaak gebeuren, en er zitten meestal twee punten van onduidelijkheid in: (1) wie is ‘eigenaar’ van de gegevens en (2) wie heeft welke grondslag (en hoe ver strekt dat).

Wat eigendom betreft, dat is eigenlijk een foute term. Op data kan helemaal geen eigendom rusten. Je kunt die route dus niet gebruiken om te bepalen of iemand wel of niet iets mag doen. Werken met persoonsgegevens mag alleen als er een grondslag is, zoals toestemming of een wettelijke plicht.

Soms wordt de term ‘eigenaarschap’ gebruikt om te verwijzen naar de discussie over verantwoordelijke- en verwerkerschap. De verantwoordelijke is dan de ‘eigenaar’ van de gegevens, en de verwerker een uitvoerende partij. Door te communiceren dat die verwerker “geen eigenaar” is, onderstreep je die gezagsrelatie.

Ik zou in de meeste gevallen geneigd zijn die beheerder als verwerker aan te merken. Hij krijgt gegevens over de eigenaren/bewoners via de VVE met als doel het praktisch beheer van het appartementencomplex uit te voeren. De leden van de VVE informeren hoort daar bij, en dat dat met toestemming gebeurt is al helemaal netjes. Maar ik zie beheer van het complex als een taak van de VVE, en dus de VVE formeel als beslisser over hoe die taak wordt uitgevoerd. Daarmee is het de VVE die beslist welke persoonsgegevens nodig zijn, inclusief dus de keuze om per e-mail de leden te gaan informeren.

Vanuit dat perspectief is de beheerder dus gehouden die persoonsgegevens te verstrekken, omdat de verantwoordelijke beslist over wat er gebeurt. Dat hun softwaresysteem een export niet toestaat (zo lees ik in het topic) doet daar niet aan af. Dan is die software niet AVG-compliant.

De vervolgvraag is of het bestuur de leden mag mailen als ze die lijst te pakken hebben. Dat komt neer op welke grondslag ze daarvoor zouden hebben. Toestemming is er niet, want die is gegeven in de context van de beheersituatie – maandag komt de glazenwasser, wilt u geen fietsen in de hal zetten want de brandweer – en het bestuur wil de leden over andere kwesties informeren – 12 mei is de jaarvergadering, de servicekosten worden per 1 januari geïndexeerd, wie wil er secretaris worden. Tenzij de toestemmingsvraag daar nadrukkelijk rekening mee hield, kan het bestuur niet op die toestemming varen.

Zonder toestemming kom je bij de recente discussie over het mogen mailen van je leden. Ik denk dat dat wel mag als het duidelijk een belang heeft voor de vereniging en geen reclame is. De zaken die ik hierboven noemde, zoals de jaarvergadering of een oproep het bestuur in te gaan, lijken mij prima aan dat criterium te voldoen.

Binnen de grondslag van het legitiem eigen belang denk ik dat je als verenigingslid dergelijke mails gewoon te dulden hebt. Een afmeldmogelijkheid zou netjes zijn, maar hoeft niet. In ieder geval niet bij verenigingen van deze omvang, waar toch enige betrokkenheid bij het verenigingsleven vereist is omdat het gaat om een gezamenlijk appartementencomplex.

Arnoud