Juridische vraag: Gehackte klant wil logbestand van hoster
Heb jij een uitdagende vraag over beveiliging, recht en privacy, stel hem aan ICT-jurist Arnoud Engelfriet en maak kans op zijn boek
"De wet op internet".
Arnoud is van alle markten thuis, maar vindt vooral in technische / hacking vragen een uitdaging. Vragen over licenties worden niet behandeld, aangezien die geen raakvlak met beveiliging hebben. De Juridische vraag is een rubriek op Security.nl, waar wetgeving en security centraal staan. Elk kwartaal kiest Arnoud de meest creatieve vraag, die dan zijn boek zal ontvangen.
Vraag: Bij ons hostingbedrijf komt het helaas soms voor dat klantensites of accounts gehackt worden. De klanten vragen ons dan om logs (met daarin datum, tijd & IP-adres) om zo te achterhalen hoe de inbreker binnengekomen is en of aangifte zinvol is. De vraag is echter of we deze gegevens wel mogen verstrekken aan onze klanten. Je zou kunnen stellen dat de logs (vanuit klantperspectief) benodigd zijn om de beveiliging van de webapplicatie te kunnen controleren. Maar ze bevatten persoonsgegevens, en dus zegt de Wet bescherming persoonsgegevens dat we ze niet aan derden mogen afgeven.
Antwoord: Het klopt, een logfile met IP-adressen en tijdstippen van bezoeken valt al heel snel onder de Wet bescherming persoonsgegevens. Een IP-adres wordt over het algemeen als persoonsgegeven gezien, omdat het meestal in gebruik is bij één persoon. Deze is te identificeren via zijn internetprovider. Hoewel dat in de praktijk een heel gedoe is, is deze mogelijkheid voor de Wbp genoeg. Natuurlijk zijn er ook IP-adressen die niet aan één persoon te koppelen zijn (bijvoorbeeld het IP-adres van een bedrijfsproxy of een webserver), maar als vuistregel is het aan te bevelen alle IP-adressen te behandelen of het persoonsgegevens zijn.
Persoonsgegevens mogen alleen worden verwerkt in overeenstemming met de regels van de Wbp. Een belangrijke regel is dat je ze alleen mag gebruiken voor het doel waarvoor je ze verzamelt. Afgifte aan derden is alleen toegestaan als dat past binnen dat doel, of wanneer de derde een zó zwaar belang heeft dat de privacy van de gelogde personen moet wijken. Een misdrijf gepleegd jegens de klant kan daar best onder vallen. Ik denk dus dat het wel kan, mits de hoster maar voldoende kan nagaan of de logs ook werkelijk de inbreker betreffen.
In 2009 schreef ik over het opeisen van camerabeelden. Daar was de conclusie dat afgifte aan de bewoner niet mocht - maar dat had vooral te maken met de vrijstelling waar de woningstichting zich op beriep. Die vrijstelling stelt strengere regels dan de wet.
Een praktische oplossing zou nog kunnen zijn dat je de klant opdracht laat geven de logs voor hem te maken. Dan is hij de 'verantwoordelijke' en beslist hij wat er met de logs gebeurt. Maar dat betekent wel dat de klant volledige toegang tot 'zijn' logs moet krijgen, iets waar (om mij onnavolgbare redenen) hostingbedrijven meestal geen zin in hebben.
Arnoud Engelfriet is ICT-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. In 2008 verscheen zijn boek "De wet op internet".
Bij webhosting is het heel normaal dat de klant zelf de logbestanden kan bekijken.
Daarnaast kan de klant zelf ook een logbestand aanmaken met de gegevens die bij elke aanvraag al beschikbaar zijn.
Ik werk op een security operations center, en we wisselen iedere dag met klanten logfiles uit met daarin IP adressen. Ook komt het regelmatig voor dat er juridische akties voortvloeien uit incidenten. Het uitwisselen van deze gegevens heeft nog nooit een probleem opgeleverd.
PS: Als ik ooit te maken zou hebben met een hosting partij die zou weigeren om mij de logfiles te verstrekken nadat mijn systemen gehacked worden, dan is deze partij mij direkt kwijt als klant.
Zodoende kan er alleen rechtvaardig worden gehandeld door de dader in een soortgelijke hulpeloze situatie te doen belanden door, in dit specifieke geval, zijn identiteit vrij te geven zodat het slachtoffer aangifte kan doen.
Je zou versteld staan als je wist wat je als beheerder vaak allemaal doet om de klant van dienst te zijn, terwijl die zaken gewoonweg illegaal zijn.
Zelfs als die partij zich terecht beroept op de wet?
Gelukkig geldt, zoals al eerder aangegeven, dat bij webhosting de meeste klante al rechtstreeks toegang hebben tot de eigen logbestanden. En dat die dus gesplitst zijn om te voorkomen dat een klant toegang heeft tot de bestanden van andere klanten. Het niet hebben van die scheiding en het daarom niet verstrekken van de gegevens is dus wel een reden om op te stappen.
Peter
Dit is enkel een mening, en deze mening is gebaseerd op moraliteit, en niet op de vraag hoe dit wettelijk zit. Bij een juridische vraag heb je weinig aan dit soort reacties (zeker wanneer dergelijk handelen leidt tot niet-ontvankelijkheid van een aanklacht tegen de dader).
De wet heeft niet kunnen voorkomen dat de dader misbruik maakte van de machteloze situatie waarin het slachtoffer verkeerde.
Wie zegt dat het slachtoffer machteloos was? Hij was misschien gewoon te lui om de laatste updates op osCommerce of Joomla te installeren.
Ik betwijfel of het slachtoffer aangifte gaat doen. Als hij dat wil doen, dan kan hij beter niet de logregels opvragen en zelf aan de politie overhandigen. De veiligste weg is om aangifte te doen en gelijk de provider te vragen om het bewijsmateriaal veilig te stellen. Politie kan dan (veel) later gewoon dat bewijsmateriaal opvragen en het is dan afkomstig van onverdachte bron.
Ik heb regelmatig de situatie dat iemand vraagt om veiligstelling van bewijsmateriaal. Vaak omdat men nog niet weet of ze aangifte gaan doen, maar om het, voor het geval dat, toch bewaard te hebben. Dat varieert van logregels, mailboxen tot complete machines. Maar een paar keer is vervolgens door de politie om dat bewijsmateriaal gevraagd. Een aantal keer natuurlijk omdat er uiteindelijk geen aangifte is gedaan. Een aantal gevallen omdat onderzoek niet oppertuun bleek te zijn.
Peter
Dit artikel begrijp ik niet. De klant heeft geen opsporingsbevoegdheid dus kan niets opeisen. Hij/zij moet langs de politie om aangifte te doen en de politie kan dan op zijn beurt met een dwangbevel komen. Waar ga ik hier de mist in Arnoud?
Er is hier sprake van meerdere relaties en producten, de vraag is waar het logbestand hoort? mijns inziens:
Product: Goedlopende site
site uitbater (1e partij) - site bezoeker (2e partij) -
papierspoor met persoonsgegevens voortkomende uit het product: logbestand
hoster (3e partij)
Product: Hosting
hoster (1e partij) - site uitbater (2e partij) -
papierspoor met persoonsgegevens voortkomende uit het product: facturen ed. -
bijvoorbeeld een nieuwsgierige journalist (3e partij)
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
