FBI deelt voortaan uitgelekte wachtwoorden met Have I Been Pwned, mag dat van de AVG?

De FBI gaat uitgelekte wachtwoorden die het tijdens onderzoeken tegen gekomen is, in het vervolg delen met de website Have I Been Pwned. Dat meldde Tweakers onlangs. De wachtwoorden die de FBI met Have I Been Pwned deelt, zullen worden voorzien van een SHA-I en NTLM-hashparen, zodat ook HIBP-eigenaar Troy Hunt de wachtwoorden niet in plain text heeft. Wat de interessante vraag opriep: mag dat van de AVG?

De eerste vraag is dan natuurlijk, verwerkt HIBP dan persoonsgegevens? Want een wachtwoord is weliswaar persoonlijk maar zegt op zich niets over de persoon. Klopt, maar dat is natuurlijk gekoppeld aan een e-mailadres en dat is wél een persoonsgegeven (uitgaande van wim.tenbrink@example.com-achtige mailadressen, over info@ heb ik het even niet).

Emailadressen worden verwerkt: als je in de dienst je mailadres opgeeft, meldt deze in welke breaches je opgenomen bent. Natuurlijk wordt het wachtwoord niet getoond. Zoals de site het uitlegt:

When email addresses from a data breach are loaded into the site, no corresponding passwords are loaded with them. Separately to the pwned address search feature, the Pwned Passwords service allows you to check if an individual password has previously been seen in a data breach. No password is stored next to any personally identifiable data (such as an email address) and every password is SHA-1 hashed.
Desondanks: ja, HIBT verwerkt dus persoonsgegevens want ze hebben een lijst met mailadressen met daaraan gekoppeld de informatie waar deze slachtoffer van datalekken zijn geworden. En dan krijg je dus de vraag of de AVG van toepassing is, omdat dat Hunt in Australië gevestigd is met zijn site.

Er zitten bergen mailadressen van Europeanen in die gelekte databases, waardoor je kunt gaan kijken naar artikel 3 lid 2 AVG. Want dat regelt situaties waarin de AVG van toepassing is ondanks dat de verwerkingsverantwoordelijke niet in de EU is gevestigd. Eis is dan dat

de verwerking verband houdt met: a) het aanbieden van goederen of diensten aan deze betrokkenen in de Unie, ongeacht of een betaling door de betrokkenen is vereist; of b) het monitoren van hun gedrag, voor zover dit gedrag in de Unie plaatsvindt.
Optie b (monitoren van gedrag) lijkt me vrij evident niet van toepassing, Hunt monitort helemaal niemand. Dus dan is de vraag of Hunt diensten aanbiedt aan deze betrokkenen (want goederen zijn er natuurlijk niet). Is die dienst dan de website, waarin je je mailadres invult en “ja” te horen krijgt, of de achterliggende dienst waarbij hij data verzamelt en koppelt ten behoeve van die website-dienst?

In het eerste geval geldt de AVG zonder twijfel, maar dan gaat het meteen goed met de grondslag en dergelijke: jij vraagt dan om die dienst (“Have I been pwned? :O”) en je krijgt die geleverd (“yes :(“) waarbij de verwerking best wel noodzakelijk is en bovendien voldoet aan dataminimalisatie.

In het tweede geval vraag jij nergens om – Hunt verzamelt immers zonder opdracht ieders gegevens uit allerlei lekkages en zet die in zijn database. Maar dan kun je meteen er achteraan stellen dat Hunt ook geen diensten aan jou levert, hij doet dat voor zijn eigen plezier. Pas wanneer jij gaat zoeken, is sprake van een dienst – en dan zitten we weer bij geval 1. Dus volgens mij gaat deze dienst goed, AVG-technisch.

Arnoud