reset Archives - Ius Mentis

Een lezer vroeg me:

Via een kennis kwam ik te weten dat er een datalek inclusief wachtwoorden is geweest bij een site die ik al lang niet meer gebruik. Ik wilde desondanks het wachtwoord wijzigen, maar bleek dat te zijn vergeten. Tot mijn verbazing ontbrak echter de “wachtwoord vergeten” procedure. Is dat niet verplicht onder de AVG?

De AVG eist van iedere dienstverlener dat die persoonsgegevens ‘adequaat’ beschermt tegen onbevoegde toegang, misbruik en datalekken. Daar zit geen harde lijst met eisen aan vast, een verwerkingsverantwoordelijke moet zelf inschatten wat ‘adequaat’ in zijn situatie inhoudt. (Doe je dat niet of niet goed, dan krijg je een boete.)

Deel van adequate beveiliging is ook om kunnen gaan met de gevolgen van datalekken en ander problemen met wachtwoord-beveiligingen. Het kunnen veranderen van wachtwoorden is dus eigenlijk wel een vereiste. Maar hoe je dat implementeert, daar heb je echt nog steeds enige vrijheid in.

Het is logisch en laagdrempelig om een wachtwoord vergeten-optie toe te voegen, dus wat mij betreft is dat een “verplicht tenzij”: dit moet je gewoon hebben, tenzij je uit kunt leggen (en ook uit hébt gelegd in je AVG compliance documentatie*) waarom in jouw situatie zo’n resetmogelijkheid niet opgaat en wat je dan als alternatief hebt bedacht.

Ik zou zelf geen reden kunnen bedenken waarom je zonder een reset-optie wilt werken. Het alternatief is dat mensen de helpdesk moeten benaderen, maar dat duurt langer dan zelf resetten en dat is dan een langere periode waarin accounts kwetsbaar zijn. Er is natuurlijk het risico dat kwaadwillenden andermans account proberen te resetten, maar dat is hooguit overlast en daar zijn op zich ook weer genoeg maatregelen tegen.

Bij de AVG werkt het zo dat als je het niet vooraf bedacht en toegelicht hebt in je schriftelijke documentatie, het niet telt. Zonder documentatie ben je niet compliant, art. 5 lid 2 AVG.

Arnoud

Via Twitter kreeg ik de vraag:

[V]raag me af of het ook niet gewoon strafbaar is (via gekocht domein www reset en account kapen), @ictrecht?

Iets meer achtergrond: het Twitteraccount voor @recensiekoning “keerde terug” met nieuwe eigenaren, waar oude eigenaar Arjan Lubach niet zo blij mee was. Hij had jarenlang een blog onder die naam, maar stopte er in 2014 mee. De domeinnaam is toen op zeker moment kennelijk verlopen, en nu was er iemand anders die deze naam wel wat leek, de domeinnaam registreerde en daarmee een password reset kon doen op het bijbehorende Twitteraccount.

Het lijkt me niet strafbaar om een verlopen domeinnaam te registreren en daar dan een vergelijkbare dienst bij op te gaan zetten. Als een domeinnaam verlopen is, dan mag een ieder die opnieuw registreren. Dat er dan nog bezoekers voor de oude site komen, of dat men zo meelift op de bekendheid van de oude site, lijkt mij niet onrechtmatig. Dit is volgens mij niet anders dan een oud V&D-pand huren en er een warenhuis in beginnen.

Het Twitteraccount kapen is dubieuzer. Als je heel formeel gaat doen, dan wordt hier met een truc toegang verkregen tot dat account: je krijgt een password reset gemaild naar dat domein dat je net geregistreerd had, en vervolgens kun je inloggen op dat account. Dat is dan naar de letter van de wet computervredebreuk.

Ik aarzel hier wel een tikje over, zeker in situaties waarin het Twitteraccount net zo ongebruikt blijkt als de site. Het zou dan niet uit moeten maken dat dat Twitteraccount formeel nog steeds actief is. Dat Twitter accounts niet opruimt en domeinnaamregistries wel, moet niet het verschil zijn tussen computervredebreuk en legaal ergens gaan zitten.

Maar ik kan niet ontkennen dat het account actief ís en dat je het dus overneemt van de oude eigenaar. Hooguit zou je dan kunnen zeggen dat wat Twitter betreft de eigenaar de partij is met dat e-mailadres. Dus door dat domein te gebruiken, ben je ook gerechtigd tot het Twitteraccount. Dan is er geen sprake van computervredebreuk, dat is dan gewoon een nieuw slot plaatsen op het door jou gehuurde pand. Maar ook dat voelt wat geconstrueerd.

Arnoud

Tag: reset

Moet je van de AVG een wachtwoordresetoptie bieden?

Een Twitteraccount kapen via een verlopen domein, hoe legaal is dat?