Heb jij een uitdagende vraag over beveiliging, recht en privacy, stel hem aan ICT-jurist Arnoud Engelfriet. Arnoud geeft elke week in een artikel antwoord op een interessante vraag. Vanwege het grote aantal inzendingen kunnen niet alle vragen beantwoord worden.
Vraag: Als ik bijvoorbeeld op een Nederlandse website een beveiligingslek of andere kwetsbaarheid heb gevonden, mag ik daar dan over publiceren? Of ben ik dan strafbaar bezig als ik mensen op de kwetsbaarheid wil wijzen?
Antwoord: Het publiceren over beveiligingsfouten en lekken is een juridisch lastige kwestie. Enerzijds moet dat kunnen, want we hebben vrijheid van meningsuiting en het is belangrijk om fouten aan de kaak te stellen. Anderzijds breng je data en mogelijk mensen in gevaar, omdat je publicatie kwaadwillenden kan helpen het lek te misbruiken.
Het is dus zaak om bij dergelijke publicaties zorgvuldig te zijn. Publiceer niet meer dan nodig, en probeer voorbeeldcode zo te maken dat wel het lek aangetoond wordt maar misbruik niet een kwestie is van een ander IP adres invullen.
Ook is het wel zo netjes om de betreffende bedrijven eerst in te lichten en ze een kan te geven het lek te dichten. Dit is dan ook een kernaspect van responsible disclosure: eerst het probleem oplossen en daarna erover publiceren.
Niet elk bedrijf zal de fout repareren. Sommige bedrijven stoppen fouten liever onder de pet of dreigen met rechtszaken. Dat laatste is gewoonlijk bluf (tenzij je schade hebt aangericht met je "ontdekking") maar dat men je negeert komt helaas wel regelmatig voor. Dat is waarom je bij responsible disclosure ook een deadline stelt als men niet reageert.
Arnoud Engelfriet is ICT-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. Hij schreef twee boeken, De wet op internet en Security: Deskundig en praktisch juridisch advies.
Deze posting is gelocked. Reageren is niet meer mogelijk.