Sinds wanneer zijn gehashte MAC-adressen persoonsgegevens?

hashcodesDe Verkeersinformatiedienst (VID) volgt al jarenlang de bewegingen van miljoenen auto’s op de weg. Deze data zijn geen persoonsgegevens en niet herleidbaar, stelt het bedrijf, maar dat is dubbel onjuist. Dat meldde Computerworld onlangs, op basis van mijn antwoord dat “Hashing is absoluut een privacyvriendelijke oplossing, maar daarmee blijven de data nog steeds persoonsgegevens, ze zijn immers niet onherleidbaar geanonimiseerd”. Maar, zo mailden veel mensen me: een hash is toch niet meer tot een persoon te herleiden, je weet niet meer wie het is, hoezo is het dan nog steeds een persoonsgegeven?

Vaak wordt gedacht dat een gegeven pas een persoonsgegeven is als je weet om wie het gaat. Er zou een naam of contactgegevens nodig zijn, en zolang je die maar niet hebt, zou er niets aan de hand zijn. Dit is echter onjuist en wel hierom, zoals dat heet.

Een persoonsgegeven is volgens de wet een gegeven dat direct of indirect tot een persoon te herleiden. Als je iemands naam of contactgegevens hebt, dan heet dat “direct herleidbaar”. Maar heb je die niet, maar zegt wat je hebt wel iets over een persoon, dan is het indirect identificeerbaar en dus alsnog een persoonsgegeven. “Die man met de hoed daar achterin” is dus net zo goed een persoonsgegeven als “Wim ten Brink”.

Ik vind dat niet meer dan logisch: een naam is niet perse een groter privacyprobleem dan een IP-adres. Sterker nog, ik denk dat ik vaker gevolgd/gemonitord wordt via mijn IP-adres dan via mijn voor- en achternaam. En de regels over persoonsgegevens zijn gemaakt om te zorgen dat dergelijke privacyproblemen verminderd worden. “Geen naam = geen persoongegeven” zou dan een maas in de wet zijn waar een Google Modular Data Center doorheen kan.

De Artikel 29-werkgroep, het samenwerkingsverband van privacytoezichthouders, heeft dit al in 2007 gesignaleerd in haar Advies over het begrip ‘persoonsgegeven’. In de context van medisch onderzoek worden patiëntgegevens vaak gepseudonimiseerd (“patiënt X123”), maar dat is niet genoeg: dat gegeven gaat over één patiënt en is dus nog steeds een persoonsgegeven. Althans, als het redelijkerwijs mogelijk is om die gegevens terug te herleiden:

Zijn de gebruikte codes uniek voor elke persoon, dan doet het risico van identificatie zich voor als het mogelijk is de encryptiesleutel te achterhalen. Het risico dat de systemen door een buitenstaander worden gekraakt, de waarschijnlijkheid dat iemand binnen de organisatie van de verzender (ondanks het beroepsgeheim) de sleutel ter beschikking stelt en de haalbaarheid van indirecte identificatie zijn dus allemaal factoren waarmee rekening moet worden gehouden om te bepalen of de betrokkenen kunnen worden geïdentificeerd met alle middelen waarvan mag worden aangenomen dat zij redelijkerwijs door degene die voor de verwerking verantwoordelijk is dan wel door enig ander persoon in te zetten zijn, en of de informatie dus als “persoonsgegevens” moet worden beschouwd.

Een hash functie is ook een “encryptie” in de zin van deze analyse. Een hash is weliswaar niet omkeerbaar, maar je kunt wel met een nieuwe invoer kijken of deze dezelfde hash geeft. Dus het probleem is hetzelfde.

Zoals het Cbp het zegt in haar richtsnoeren beveiliging van persoonsgegevens:

Het toepassen van cryptografische bewerkingen op identificerende gegevens leidt op zichzelf tot pseudonimisering (het identificerende gegeven wordt vervangen door een ander identificerend gegeven) en niet tot anonimisering (de gegevens worden omgezet naar “een vorm die identificatie van de betrokkene feitelijk niet langer mogelijk maakt”84[1]).

Dit betekent dus dat persoonsgegevens hashen er niet voor zorgt dat je onder de Wbp uit komt.

Maar er is een sprankje hoop: dat je onder de Wbp valt, wil niet zeggen dat je dus toestemming moet vragen aan iedereen. Er is die uitzondering voor de eigen dringende noodzaak, en daarbij moet je een afweging maken of de privacy van de betrokkenen zwaarder weegt of niet dan jouw noodzaak. Onderdeel van die afweging is hoe makkelijk of moeilijk het is om mensen te identificeren (direct of indirect). Dus als je werkt met hashes dan zit je eerder aan de goede kant dan wanneer je met blote IP-adressen of e-mailadressen gaat werken.

Wél zit je vast aan alle andere regels uit de Wbp, zoals het moeten geven van inzage, het uitleggen wat je doet en het omgaan met een verwijderverzoek.

Arnoud

Hyperlinken mogelijk strafbaar feit

Sites die links naar illegale bestanden aanbieden kunnen medeplichtig zijn aan een strafbaar feit, juicht BREIN op Boek 9. ‘Internetpiraten’ grotendeels vrijgesproken, kopt daarentegen Nu.nl. Toch was er, zoals Planet terecht opmerkt, sprake van een principiële overwinning voor Brein in een recente strafzaak tegen twee eDonkey-sites. Update (23 december 2010) het vonnis is vernietigd in hoger beroep omdat het OM lui achter BREIN aanliep en geen eigen onderzoek heeft gedaan.

Via eDonkey kunnen mensen bestanden met elkaar uitwisselen. Daarbij wordt gebruik gemaakt van hashcodes, die uniek zijn voor een bestand. Wie dus een bepaald bestand zoekt, moet weten welke hashcode het heeft. Op de sites Releases4u en Shareconnector van de verdachten was te zien welke code bij illegaal aangeboden films en muziek hoorde.

Nu werden er inderdaad opzettelijk en zonder toestemming werken verspreid, dus de aanbieders op eDonkey pleegden een misdrijf. Ben je nu medeplichtig aan dat misdrijf als je de hashcodes aanbiedt waarmee anderen de werken kunnen verspreiden? Ja, oordeelde de rechtbank:

[H]et handelen van de bij de website betrokken personen, onder wie verdachte als administrator, [kan] in beginsel beschouwd worden als medeplichtigheid aan de door de gebruikers van de website gepleegde inbreuken op auteursrechten door middel van het uploaden, doordat met de website de gelegenheid wordt geboden tot snelle verspreiding van de bestanden.

Wel moet worden bewezen dat bezoekers van de website via de aangeboden hashcodes werken hebben gevonden en die vervolgens ook weer hebben verspreid (geupload). Want zonder plegers geen medeplichtigen. Dat lukte in dit geval niet, waardoor de verdachten werden vrijgesproken.

Het vonnis bespreekt ook nog de vraag of de beheerders van de site schuldig waren aan medeplegen van de inbreuk. Bij medeplegen pleeg je het misdrijf zelf, in samenwerking met anderen. Er moet dan sprake zijn van “bewuste, nauwe en volledige samenwerking” tussen de betrokkenen. Bij medeplichtigheid help je of geef je gelegenheid tot het plegen. De mate van samenwerking mag dan een stuk minder zijn.

De legaliteit van torrentsites, maar ook van linksites in het algemeen, komt met dit vonnis onder druk te staan. De bekende vraag zijn hyperlinks legaal heeft er daarmee weer een nuance bij.

Arnoud

Torrents aanbieden: geen inbreuk op auteursrecht, wel onrechtmatig

Hosting provider Leaseweb moet illegale torrentsite afsluiten, zo kopt BREIN na haar gewonnen zaak tegen Leaseweb. Maar wat is er illegaal aan torrents? Het zijn niet meer dan inhoudsopgaven en verwijzingen.

Bittorrent is het populairste peer-to-peer filesharing systeem ter wereld. Zoals bij alle filesharing systemen wisselen de gebruikers bestanden met elkaar uit. Het unieke aan Bittorrent is dat er niet één persoon is die het hele bestand verstuurt. Elk bestand wordt in delen opgehakt, en elk deel wordt afzonderlijk verstuurd. Zodra iemand een deel heeft, deelt hij dat deel ook weer met iedereen die op zoek is naar dat bestand. Dit bespaart natuurlijk nogal wat bandbreedte.

Om dit mogelijk te maken, heb je een zogeheten torrent-bestand of gewoon een “torrent” nodig. Een torrent is grofweg een lijstje dat aangeeft hoe je een werk in delen ophakt, en wat dan de hash-waarde is van elk deel. Zeg maar “dit boek heeft 390 pagina’s: op pagina 1 staan 622 woorden, op pagina 2 598, …”. Vervolgens kun je overal op zoek gaan naar de pagina’s, en wat je binnenkrijgt controleren en in de juiste volgorde zetten.

Het verspreiden van muziek, films of andere werken is zonder toestemming van de maker inbreuk op het auteursrecht. Maar een torrent is geen kopie van het werk. Het is hooguit een inhoudsopgave, een beschrijving van de pagina’s van het werk. Dat kan dus geen inbreuk op het auteursrecht zijn.

In de recente zaak BREIN/Leaseweb (met dank aan ISPam voor de platte tekst) legt de rechtbank uit:

In dit kort geding, waarin geen nader onderzoek naar de feiten mogelijk is, kan niet zonder meer worden vastgesteld of het handelen van Everlasting kan worden aangemerkt als een zelfstandige openbaarmaking in de zin van de Auteurswet (of WNR). De werken worden immers rechtstreeks van gebruiker naar gebruiker gekopieerd en de rol van de server beperkt zich tot het regelen van het up- en downloaden. In een bodemprocedure kan uitvoerig onderzoek worden gedaan naar alle aspecten van dit (relatief nieuwe) technische proces. In dit kort geding kan in ieder geval wel worden vastgesteld dat Everlasting structureel inbreuken op auteursrechten en naburige rechten faciliteert en dat (de houder van) Everlasting zich hiervan bewust moet zijn. Het handelen van Everlasting is derhalve onrechtmatig, omdat het in strijd is met de jegens de rechthebbenden in acht te nemen zorgvuldigheid.

Vrijwel dezelfde benadering werd ook gevolgd door de rechtbank in Den Haag in januari:

Omdat de werken rechtstreeks van gebruiker naar gebruiker worden gekopieerd en de rol van de server zich in dit opzicht beperkt tot het regelen van het proces van uploaden en downloaden, kan de voorzieningenrechter Stichting Brein niet volgen in haar standpunt dat het handelen van de websitehouder moeten worden aangemerkt als zelfstandige openbaarmaking.

[D]e websitehouder [faciliteert] structureel inbreuken op auteursrechten en naburige rechten. Reeds gelet op de aard van de bestanden kan het niet anders, dan dat de websitehouder zich hiervan bewust is. Voorts is van belang dat met de website inkomsten gegenereerd worden omdat een gebruiker – alvorens torrents te kunnen downloaden – een bedrag dient te betalen. Onder deze omstandigheden moet voorshands worden geoordeeld dat het handelen van de websitehouder onrechtmatig is, niet omdat de websitehouder inbreuk maakt op de aan de rechthebbenden toekomende auteurs- of naburige rechten, maar omdat zijn handelen in strijd is met de jegens de rechthebbenden in acht te nemen zorgvuldigheid.

Arnoud