Juridische vraag: YouPorn steelt mijn surfgeschiedenis
Heb jij een uitdagende vraag over beveiliging, recht en privacy, stel hem aan ICT-jurist Arnoud Engelfriet en maak kans op zijn boek
"De wet op internet".
Arnoud is van alle markten thuis, maar vindt vooral in technische / hacking vragen een uitdaging. Vragen over licenties worden niet behandeld, aangezien die geen raakvlak met beveiliging hebben. De Juridische vraag is een rubriek op Security.nl, waar wetgeving en security centraal staan. Elk kwartaal kiest Arnoud de meest creatieve vraag, die dan zijn boek zal ontvangen.
Vraag: Recent werd bekend dat het Nederlandse bedrijf YouPorn via Javascript je browsergeschiedenis uitleest. Ze worden in de VS hiervoor nu aangeklaagd. Nu vroeg ik me af, is het onder Nederlands recht legaal om dit te doen?
Antwoord: Die truc om de surfgeschiedenis uit te lezen is al vrij oud, maar om een of andere reden wordt er pas sinds korte tijd heftig over gegild. Waar het in het kort op neerkomt, is dat webbrowsers bezochte hyperlinks met een andere kleur weergeven dan nog niet bezochte hyperlinks. Door met een Javascript nu een heleboel hyperlinks (onzichtbaar) in een webpagina te zetten en dan de kleur daarvan op te vragen, kun je zien of de bezoeker recent die hyperlinks heeft bezocht.
Strafbaar lijkt het me niet: ik vind dit geen "binnendringen" in je computer (computervredebreuk, art. 138ab Strafrecht) of diefstal van gegevens (art. 139c lid 1 Strafrecht).
Op die manier snuffelen in iemands browsergeschiedenis valt wél onder de Wet Bescherming Persoonsgegevens wanneer je dat gesnuffel kunt koppelen aan een persoon. Dat hoeft niet per se met naam en adres te zijn: een cookie dat uniek is voor die bezoeker zou al genoeg moeten zijn. Ga je dus met die gegevens concluderen dat gebruiker 28f36c0cf7897fc39f135fb042815975 een man is die vaak naar dierenporno kijkt en op zoek is naar een Opel Astra, dan verwerk je zijn persoonsgegevens. Je hebt daarvoor zijn "ondubbelzinnige toestemming" nodig en die heb je niet. En dan mag het niet - tenzij je een "aantoonbare noodzaak" hebt om dit te doen die zwaarder weegt dan de privacy. Maar ik zou niet weten wat dat zou kunnen zijn.
Ook mag je zonder nadere toestemming gegevens verzamelen en gebruiken die noodzakelijk zijn voor de uitvoering van de overeenkomst. Zo hoef je als webwinkel niet toestemming te vragen om je adres aan TNT Post te mogen geven. De post moet dit weten om je bestelling te bezorgen, dus mag de winkel dit afgeven. Bij zo'n site als YouPorn zou je kunnen zeggen dat je de gegevens nodig hebt om het video-aanbod beter op de bezoeker af te stemmen. Maar heel sterk zou ik dat niet vinden.
Alles bij elkaar denk ik dat je wel kunt eisen dat de site daarmee ophoudt en jouw gegevens vernietigt. Mocht je aan kunnen tonen dat je schade hebt, dan kun je daar een claim voor indienen bij het bedrijf. Maar zonder bonnetjes als bewijs van de schade is zo'n claim kansloos.
Arnoud Engelfriet is ICT-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. In 2008 verscheen zijn boek "De wet op internet".
Ga je dus met die gegevens concluderen dat gebruiker 28f36c0cf7897fc39f135fb042815975 een man is die vaak naar dierenporno kijkt en op zoek is naar een Opel Astra,
He Arnoud, dat zou onder ons blijven en trouwens die Astra heb ik verkocht hahahahaha
Maar even serieus:
Het is een goede zaak dat de wet je hierin bescherming biedt alleen in Nederland is de weg naar je recht en hele zware, lange en vooral ook dure weg. Daarnaast zijn er nog te weinig advocaten die zich gespecialiseerd hebben in het hele Internet, Data, Privacy gebeuren ( en rechters mijns inziens ook) Het zou wel wat laag drempeligger kunnen vind ik. Het hoeft niet zo erg als in Amerika te worden waar iedereen elkaar aan het aanklagen is, maar het kan wat makkelijker dan dat het nu het geval is.
Dat Syzygy zijn astra verkocht heeft (want marktplaats/vetteastra.php kleurt paars) is toch een gegeven. dat gejat wordt.
Ik ga er wel van uit dat ze niet alle 24.776.235.224.566.224.567 urls op het interweb in de pagina zetten maar dat ze meer kijken of er ook bezoek is op hisporn.com herporn.com emoporn.com etc ;)
A joh, met dat dingetje van jou merkt niemand het.
Dat is geen fout, dat is vaak een feature van de website die door je webbrowser ondersteund wordt.
Wie zegt dat het hier gaat om "toevallige programmeerfouten"? Mijn eigen gutfeeling zegt dat hedendaagse browsers (en operating systems) vol zitten met ingebouwd backdoors. die "af en toe ontdekt worden " als security lek :-)
Deze backdoors maken het mogelijk dat privacy en data jackhalzen (bijna) alle gegevens van je computer kunnen rippen "at their demand"
Wat die "privacy browser sessies" zijn volgens mij ook gewoon belazerij.
Als je dit niet wil, reverse engineer je browser (of schrijf er zelf eentje) en kijk waar deze data (tijdelijk) word opgeslagen.
Wis deze bestanden dan handmatig voor opstarten en na het afsluiten van je browsers.
Nederland heeft hoogste aantal taps van de wereld per hoofd van de bevolking, maar tegen hierboven genoemde zaken kun je niets doen zonder bonnetje.
Dat is Nederlandse rechtspraak.
Na het browsen naar een specifieke site krijg ik ineens reclame van dat merk bij openen gmail.
Dat was nb. enkele dagen later. Advertentie verscheen in bovenbalk van dat specifieke bedrijf.
Bij nazoeken bleek cookie van de bewuste site op de schijf.
Google leest dus al je cookies.
De plee trek je ook door na gebruik, dus sindsdien wis ik alles wat maar gewist kan worden na gebruik van browser.
Het kan nog erger: zoek ook maar eens op "Browser Fingerprinting". Wat is daar aan te doen?
Deze posting is gelocked. Reageren is niet meer mogelijk.
Information Security Officer (2fte)
Een uitdagende rol waarbij jij, op basis van security, de vertaalslag maakt tussen business en IT en direct bijdraagt aan de veiligheid van informatie binnen de gemeente Almere. Dat is in een notendop waar jij als Information Security Officer mee bezig bent. Interesse gewekt? Door groei van de organisatie zijn we op zoek naar twee nieuwe collega’s.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
