image

Juridische vraag: YouPorn steelt mijn surfgeschiedenis

woensdag 15 december 2010, 10:30 door Arnoud Engelfriet, 12 reacties

Heb jij een uitdagende vraag over beveiliging, recht en privacy, stel hem aan ICT-jurist Arnoud Engelfriet en maak kans op zijn boek
"De wet op internet".

Arnoud is van alle markten thuis, maar vindt vooral in technische / hacking vragen een uitdaging. Vragen over licenties worden niet behandeld, aangezien die geen raakvlak met beveiliging hebben. De Juridische vraag is een rubriek op Security.nl, waar wetgeving en security centraal staan. Elk kwartaal kiest Arnoud de meest creatieve vraag, die dan zijn boek zal ontvangen.

Vraag: Recent werd bekend dat het Nederlandse bedrijf YouPorn via Javascript je browsergeschiedenis uitleest. Ze worden in de VS hiervoor nu aangeklaagd. Nu vroeg ik me af, is het onder Nederlands recht legaal om dit te doen?

Antwoord: Die truc om de surfgeschiedenis uit te lezen is al vrij oud, maar om een of andere reden wordt er pas sinds korte tijd heftig over gegild. Waar het in het kort op neerkomt, is dat webbrowsers bezochte hyperlinks met een andere kleur weergeven dan nog niet bezochte hyperlinks. Door met een Javascript nu een heleboel hyperlinks (onzichtbaar) in een webpagina te zetten en dan de kleur daarvan op te vragen, kun je zien of de bezoeker recent die hyperlinks heeft bezocht.

Strafbaar lijkt het me niet: ik vind dit geen "binnendringen" in je computer (computervredebreuk, art. 138ab Strafrecht) of diefstal van gegevens (art. 139c lid 1 Strafrecht).

Op die manier snuffelen in iemands browsergeschiedenis valt wél onder de Wet Bescherming Persoonsgegevens wanneer je dat gesnuffel kunt koppelen aan een persoon. Dat hoeft niet per se met naam en adres te zijn: een cookie dat uniek is voor die bezoeker zou al genoeg moeten zijn. Ga je dus met die gegevens concluderen dat gebruiker 28f36c0cf7897fc39f135fb042815975 een man is die vaak naar dierenporno kijkt en op zoek is naar een Opel Astra, dan verwerk je zijn persoonsgegevens. Je hebt daarvoor zijn "ondubbelzinnige toestemming" nodig en die heb je niet. En dan mag het niet - tenzij je een "aantoonbare noodzaak" hebt om dit te doen die zwaarder weegt dan de privacy. Maar ik zou niet weten wat dat zou kunnen zijn.

Ook mag je zonder nadere toestemming gegevens verzamelen en gebruiken die noodzakelijk zijn voor de uitvoering van de overeenkomst. Zo hoef je als webwinkel niet toestemming te vragen om je adres aan TNT Post te mogen geven. De post moet dit weten om je bestelling te bezorgen, dus mag de winkel dit afgeven. Bij zo'n site als YouPorn zou je kunnen zeggen dat je de gegevens nodig hebt om het video-aanbod beter op de bezoeker af te stemmen. Maar heel sterk zou ik dat niet vinden.

Alles bij elkaar denk ik dat je wel kunt eisen dat de site daarmee ophoudt en jouw gegevens vernietigt. Mocht je aan kunnen tonen dat je schade hebt, dan kun je daar een claim voor indienen bij het bedrijf. Maar zonder bonnetjes als bewijs van de schade is zo'n claim kansloos.

Arnoud Engelfriet is ICT-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. In 2008 verscheen zijn boek "De wet op internet".

Reacties (12)
15-12-2010, 11:30 door Syzygy

Ga je dus met die gegevens concluderen dat gebruiker 28f36c0cf7897fc39f135fb042815975 een man is die vaak naar dierenporno kijkt en op zoek is naar een Opel Astra,

He Arnoud, dat zou onder ons blijven en trouwens die Astra heb ik verkocht hahahahaha

Maar even serieus:

Het is een goede zaak dat de wet je hierin bescherming biedt alleen in Nederland is de weg naar je recht en hele zware, lange en vooral ook dure weg. Daarnaast zijn er nog te weinig advocaten die zich gespecialiseerd hebben in het hele Internet, Data, Privacy gebeuren ( en rechters mijns inziens ook) Het zou wel wat laag drempeligger kunnen vind ik. Het hoeft niet zo erg als in Amerika te worden waar iedereen elkaar aan het aanklagen is, maar het kan wat makkelijker dan dat het nu het geval is.
15-12-2010, 12:29 door N4ppy
Met gevangenisstraf van ten hoogste een jaar of geldboete van de vierde categorie wordt gestraft hij die opzettelijk en wederrechtelijk met een technisch hulpmiddel gegevens aftapt of opneemt die niet voor hem bestemd zijn en die worden verwerkt of overgedragen door middel van telecommunicatie of door middel van een geautomatiseerd werk
Maar er worden hier toch opzettelijk met een technisch hulpmiddel (javascript) gegevens afgetapt die niet voor youporn bestemd zijn?

Dat Syzygy zijn astra verkocht heeft (want marktplaats/vetteastra.php kleurt paars) is toch een gegeven. dat gejat wordt.

Ik ga er wel van uit dat ze niet alle 24.776.235.224.566.224.567 urls op het interweb in de pagina zetten maar dat ze meer kijken of er ook bezoek is op hisporn.com herporn.com emoporn.com etc ;)
15-12-2010, 13:45 door sjonniev
Sorry, maar misbruik maken van fouten in lokale browsers om lokaal opgeslagen data op te halen noem ik wel degelijk binnendringen....
16-12-2010, 01:35 door Rubbertje
En is er geen sprake van een vorm van 'Stalken'? Het is een soort achtervolgen wat de site doet. Ze willen weten waar je geweest bent. Als ik een mooie vrouw op straat achtervolg, dan weet ik haar naam en adres etc ook niet, maar zij kan het toch heel erg hinderlijk vinden en daar aangifte van doen. Dat achtervolgen is in feite precies hetzelfde wat YourPorn ook doet met zijn bezoekers.
16-12-2010, 06:28 door Above
Leuk een aardig maar nu na het kijken van wat porno op Youporn.com heb ik gelijk een mega erectie in de vroege morgen.
16-12-2010, 10:58 door Syzygy
Door Above: Leuk een aardig maar nu na het kijken van wat porno op Youporn.com heb ik gelijk een mega erectie in de vroege morgen.

A joh, met dat dingetje van jou merkt niemand het.
16-12-2010, 12:14 door Mysterio
Youporn.com had dat al gezien want hij was al bij erectiestoornis.nl geweest. Nu gaan ze je gegevens verkopen aan een pillenboer die je een passend recept zal sturen.
16-12-2010, 12:45 door cjkos
Door sjonniev: Sorry, maar misbruik maken van fouten in lokale browsers om lokaal opgeslagen data op te halen noem ik wel degelijk binnendringen....

Dat is geen fout, dat is vaak een feature van de website die door je webbrowser ondersteund wordt.
17-12-2010, 14:42 door Dev_Null
maar misbruik maken van fouten in lokale browsers om lokaal opgeslagen data op te halen noem ik wel degelijk binnendringen....

Wie zegt dat het hier gaat om "toevallige programmeerfouten"? Mijn eigen gutfeeling zegt dat hedendaagse browsers (en operating systems) vol zitten met ingebouwd backdoors. die "af en toe ontdekt worden " als security lek :-)

Deze backdoors maken het mogelijk dat privacy en data jackhalzen (bijna) alle gegevens van je computer kunnen rippen "at their demand"

Wat die "privacy browser sessies" zijn volgens mij ook gewoon belazerij.
Als je dit niet wil, reverse engineer je browser (of schrijf er zelf eentje) en kijk waar deze data (tijdelijk) word opgeslagen.
Wis deze bestanden dan handmatig voor opstarten en na het afsluiten van je browsers.
20-12-2010, 14:31 door Anoniem
Alles bij elkaar denk ik dat je wel kunt eisen dat de site daarmee ophoudt en jouw gegevens vernietigt. Mocht je aan kunnen tonen dat je schade hebt, dan kun je daar een claim voor indienen bij het bedrijf. Maar zonder bonnetjes als bewijs van de schade is zo'n claim kansloos.

Nederland heeft hoogste aantal taps van de wereld per hoofd van de bevolking, maar tegen hierboven genoemde zaken kun je niets doen zonder bonnetje.

Dat is Nederlandse rechtspraak.
20-12-2010, 14:50 door Anoniem
Google steelt dat ook

Na het browsen naar een specifieke site krijg ik ineens reclame van dat merk bij openen gmail.
Dat was nb. enkele dagen later. Advertentie verscheen in bovenbalk van dat specifieke bedrijf.
Bij nazoeken bleek cookie van de bewuste site op de schijf.

Google leest dus al je cookies.

De plee trek je ook door na gebruik, dus sindsdien wis ik alles wat maar gewist kan worden na gebruik van browser.

Het kan nog erger: zoek ook maar eens op "Browser Fingerprinting". Wat is daar aan te doen?
09-02-2011, 14:33 door Anoniem
Doet de nederlandse <a href="http://www.youporn.nl/">youporn</a> dit ook?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.