image

Juridische vraag: Gehackte klant wil logbestand van hoster

woensdag 31 augustus 2011, 09:58 door Arnoud Engelfriet, 15 reacties

Heb jij een uitdagende vraag over beveiliging, recht en privacy, stel hem aan ICT-jurist Arnoud Engelfriet en maak kans op zijn boek
"De wet op internet".

Arnoud is van alle markten thuis, maar vindt vooral in technische / hacking vragen een uitdaging. Vragen over licenties worden niet behandeld, aangezien die geen raakvlak met beveiliging hebben. De Juridische vraag is een rubriek op Security.nl, waar wetgeving en security centraal staan. Elk kwartaal kiest Arnoud de meest creatieve vraag, die dan zijn boek zal ontvangen.

Vraag: Bij ons hostingbedrijf komt het helaas soms voor dat klantensites of accounts gehackt worden. De klanten vragen ons dan om logs (met daarin datum, tijd & IP-adres) om zo te achterhalen hoe de inbreker binnengekomen is en of aangifte zinvol is. De vraag is echter of we deze gegevens wel mogen verstrekken aan onze klanten. Je zou kunnen stellen dat de logs (vanuit klantperspectief) benodigd zijn om de beveiliging van de webapplicatie te kunnen controleren. Maar ze bevatten persoonsgegevens, en dus zegt de Wet bescherming persoonsgegevens dat we ze niet aan derden mogen afgeven.

Antwoord: Het klopt, een logfile met IP-adressen en tijdstippen van bezoeken valt al heel snel onder de Wet bescherming persoonsgegevens. Een IP-adres wordt over het algemeen als persoonsgegeven gezien, omdat het meestal in gebruik is bij één persoon. Deze is te identificeren via zijn internetprovider. Hoewel dat in de praktijk een heel gedoe is, is deze mogelijkheid voor de Wbp genoeg. Natuurlijk zijn er ook IP-adressen die niet aan één persoon te koppelen zijn (bijvoorbeeld het IP-adres van een bedrijfsproxy of een webserver), maar als vuistregel is het aan te bevelen alle IP-adressen te behandelen of het persoonsgegevens zijn.

Persoonsgegevens mogen alleen worden verwerkt in overeenstemming met de regels van de Wbp. Een belangrijke regel is dat je ze alleen mag gebruiken voor het doel waarvoor je ze verzamelt. Afgifte aan derden is alleen toegestaan als dat past binnen dat doel, of wanneer de derde een zó zwaar belang heeft dat de privacy van de gelogde personen moet wijken. Een misdrijf gepleegd jegens de klant kan daar best onder vallen. Ik denk dus dat het wel kan, mits de hoster maar voldoende kan nagaan of de logs ook werkelijk de inbreker betreffen.

In 2009 schreef ik over het opeisen van camerabeelden. Daar was de conclusie dat afgifte aan de bewoner niet mocht - maar dat had vooral te maken met de vrijstelling waar de woningstichting zich op beriep. Die vrijstelling stelt strengere regels dan de wet.

Een praktische oplossing zou nog kunnen zijn dat je de klant opdracht laat geven de logs voor hem te maken. Dan is hij de 'verantwoordelijke' en beslist hij wat er met de logs gebeurt. Maar dat betekent wel dat de klant volledige toegang tot 'zijn' logs moet krijgen, iets waar (om mij onnavolgbare redenen) hostingbedrijven meestal geen zin in hebben.

Arnoud Engelfriet is ICT-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. In 2008 verscheen zijn boek "De wet op internet".

Reacties (15)
31-08-2011, 10:09 door Anoniem
Vanuit het oogpunt van de klant, kun je dan niet zeggen -als de hoster de logs niet wil afstaan- : "die logbestanden bevatten de verkeersgegevens van mijn website en dus wil ik er de beschikking over hebben". Of geldt dat argument van "verkeersgegevens" enkel voor de hoster?
31-08-2011, 10:45 door Anoniem
Gaat het hier om een webhoster of andere vorm van hosting.

Bij webhosting is het heel normaal dat de klant zelf de logbestanden kan bekijken.
Daarnaast kan de klant zelf ook een logbestand aanmaken met de gegevens die bij elke aanvraag al beschikbaar zijn.
31-08-2011, 10:45 door Anoniem
En wat willen de klanten dan met deze log gegevens ? Zelf op zoek gaan naar de dader(s) ?. Volgens mij hebben we sinds de invoering van de Wet Computercriminaliteit de mogelijkheid om hacken als een strafbaar feit te bestempelen. En aangezien de politie onderzoek doet naar mogelijke strafbare feiten lijkt me de koninklijke weg eenvoudig vast te stellen: de klant doet aangifte bij de politie, de politie gaat naar de hosting provider met het verzoek de specifieke logfiles ter beschikking te stellen ten behoeve van het onderzoek....
31-08-2011, 10:46 door Anoniem
En wat willen de klanten dan met deze log gegevens ? Zelf op zoek gaan naar de dader(s) ?. Volgens mij hebben we sinds de invoering van de Wet Computercriminaliteit de mogelijkheid om hacken als een strafbaar feit te bestempelen. En aangezien de politie onderzoek doet naar mogelijke strafbare feiten lijkt me de koninklijke weg eenvoudig vast te stellen: de klant doet aangifte bij de politie, de politie gaat naar de hosting provider met het verzoek de specifieke logfiles ter beschikking te stellen ten behoeve van het onderzoek....
31-08-2011, 10:56 door Anoniem
In de logfiles staat niets, wat de webapplicatie zelf al niet wist (via de omgevingsvariabelen die gezet worden). Er staat niets nieuws in, alleen zijn de gegevens netjes gestructureerd weggeschreven en als ik logfiles niet krijg, kan ik vrij eenvoudig (doch wat omslachtiger dan de normale logfiles) een webapp zodanig aanpassen dat ik logging voortaan zelf opsla.
31-08-2011, 11:18 door Anoniem
"Je zou kunnen stellen dat de logs (vanuit klantperspectief) benodigd zijn om de beveiliging van de webapplicatie te kunnen controleren. Maar ze bevatten persoonsgegevens, en dus zegt de Wet bescherming persoonsgegevens dat we ze niet aan derden mogen afgeven."

Ik werk op een security operations center, en we wisselen iedere dag met klanten logfiles uit met daarin IP adressen. Ook komt het regelmatig voor dat er juridische akties voortvloeien uit incidenten. Het uitwisselen van deze gegevens heeft nog nooit een probleem opgeleverd.

PS: Als ik ooit te maken zou hebben met een hosting partij die zou weigeren om mij de logfiles te verstrekken nadat mijn systemen gehacked worden, dan is deze partij mij direkt kwijt als klant.
31-08-2011, 11:55 door Anoniem
Indien je iemand herkent die in een pand van een klant van je inbreekt, weiger je dan ook de naam van de inbreker aan de klant te verstrekken, omdat die naam een persoonsgegeven is ?
31-08-2011, 12:01 door Anoniem
Er staan in logs meestal geen informatie die de klant zelf niet had kunnen achterhalen. Als je een webapplicatie host, kun je dus ook zelf gaan loggen. Is het feit dat er geen onbereikbare info in de logs staat geen argument om de logs toch af te geven? Of werkt dat juridisch niet?
31-08-2011, 16:20 door Anoniem
De wet heeft niet kunnen voorkomen dat de dader misbruik maakte van de machteloze situatie waarin het slachtoffer verkeerde.

Zodoende kan er alleen rechtvaardig worden gehandeld door de dader in een soortgelijke hulpeloze situatie te doen belanden door, in dit specifieke geval, zijn identiteit vrij te geven zodat het slachtoffer aangifte kan doen.
31-08-2011, 16:53 door Anoniem
Door Anoniem: Ik werk op een security operations center, en we wisselen iedere dag met klanten logfiles uit met daarin IP adressen. Ook komt het regelmatig voor dat er juridische akties voortvloeien uit incidenten. Het uitwisselen van deze gegevens heeft nog nooit een probleem opgeleverd.

Je zou versteld staan als je wist wat je als beheerder vaak allemaal doet om de klant van dienst te zijn, terwijl die zaken gewoonweg illegaal zijn.

PS: Als ik ooit te maken zou hebben met een hosting partij die zou weigeren om mij de logfiles te verstrekken nadat mijn systemen gehacked worden, dan is deze partij mij direkt kwijt als klant.

Zelfs als die partij zich terecht beroept op de wet?

Gelukkig geldt, zoals al eerder aangegeven, dat bij webhosting de meeste klante al rechtstreeks toegang hebben tot de eigen logbestanden. En dat die dus gesplitst zijn om te voorkomen dat een klant toegang heeft tot de bestanden van andere klanten. Het niet hebben van die scheiding en het daarom niet verstrekken van de gegevens is dus wel een reden om op te stappen.

Peter
31-08-2011, 18:46 door Anoniem
"Zodoende kan er alleen rechtvaardig worden gehandeld door de dader in een soortgelijke hulpeloze situatie te doen belanden door, in dit specifieke geval, zijn identiteit vrij te geven zodat het slachtoffer aangifte kan doen. "

Dit is enkel een mening, en deze mening is gebaseerd op moraliteit, en niet op de vraag hoe dit wettelijk zit. Bij een juridische vraag heb je weinig aan dit soort reacties (zeker wanneer dergelijk handelen leidt tot niet-ontvankelijkheid van een aanklacht tegen de dader).
31-08-2011, 19:05 door Anoniem
Door Anoniem:
De wet heeft niet kunnen voorkomen dat de dader misbruik maakte van de machteloze situatie waarin het slachtoffer verkeerde.

Wie zegt dat het slachtoffer machteloos was? Hij was misschien gewoon te lui om de laatste updates op osCommerce of Joomla te installeren.

Zodoende kan er alleen rechtvaardig worden gehandeld door de dader in een soortgelijke hulpeloze situatie te doen belanden door, in dit specifieke geval, zijn identiteit vrij te geven zodat het slachtoffer aangifte kan doen.

Ik betwijfel of het slachtoffer aangifte gaat doen. Als hij dat wil doen, dan kan hij beter niet de logregels opvragen en zelf aan de politie overhandigen. De veiligste weg is om aangifte te doen en gelijk de provider te vragen om het bewijsmateriaal veilig te stellen. Politie kan dan (veel) later gewoon dat bewijsmateriaal opvragen en het is dan afkomstig van onverdachte bron.

Ik heb regelmatig de situatie dat iemand vraagt om veiligstelling van bewijsmateriaal. Vaak omdat men nog niet weet of ze aangifte gaan doen, maar om het, voor het geval dat, toch bewaard te hebben. Dat varieert van logregels, mailboxen tot complete machines. Maar een paar keer is vervolgens door de politie om dat bewijsmateriaal gevraagd. Een aantal keer natuurlijk omdat er uiteindelijk geen aangifte is gedaan. Een aantal gevallen omdat onderzoek niet oppertuun bleek te zijn.

Peter
02-09-2011, 11:34 door Anoniem
"Een misdrijf gepleegd jegens de klant kan daar best onder vallen. Ik denk dus dat het wel kan, mits de hoster maar voldoende kan nagaan of de logs ook werkelijk de inbreker betreffen."
Dit artikel begrijp ik niet. De klant heeft geen opsporingsbevoegdheid dus kan niets opeisen. Hij/zij moet langs de politie om aangifte te doen en de politie kan dan op zijn beurt met een dwangbevel komen. Waar ga ik hier de mist in Arnoud?
02-09-2011, 17:12 door GerBNL
Beste Arnoud. Is het niet redelijk te stellen dat de loggegevens van de bezoeken aan een site behoren bij de site en als zodanig eigenlijk van de klant - de eigenaar van de site - zijn en dat de hoster in dit geval gezien moet worden als de derde partij die in de zin van de Wbp juist geen recht op die gegevens heeft? (ook al heeft deze er bijna automatisch wel toegang toe)

Er is hier sprake van meerdere relaties en producten, de vraag is waar het logbestand hoort? mijns inziens:

Product: Goedlopende site
site uitbater (1e partij) - site bezoeker (2e partij) -
papierspoor met persoonsgegevens voortkomende uit het product: logbestand
hoster (3e partij)

Product: Hosting
hoster (1e partij) - site uitbater (2e partij) -
papierspoor met persoonsgegevens voortkomende uit het product: facturen ed. -
bijvoorbeeld een nieuwsgierige journalist (3e partij)
06-09-2011, 08:55 door Patio
Het lijkt wel of de vraagsteller bij DigiNotar werkt...
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.