image

Juridische vraag: zijn e-mailadressen in de cc een datalek?

woensdag 23 december 2015, 12:04 door Arnoud Engelfriet, 16 reacties

ICT-jurist Arnoud Engelfriet geeft elke week antwoord op een interessante vraag over beveiliging, recht en privacy. Heb jij een vraag? Stuur hem naar juridischevraag@security.nl.

Vraag: recent kreeg ik een aankondiging van een webwinkel. Ik niet alleen, nog 254 andere mensen ook. Ja, exact 254, want ik kon de mailadressen van iedereen zien in het cc: veld. Is dat nu ook een datalek? Wat voor boete staat erop?

Antwoord: Per 1 januari bevat de Wbp een meldplicht datalekken, maar belangrijker: vanaf dat moment mag de Autoriteit Persoonsgegevens (de new, tough Cbp) boetes opleggen voor overtreding van zo ongeveer elke bepaling uit de privacywet. De voor mij belangrijkste bevoegdheid is die van het schenden van je beveiligingsplicht, kort gevolgd door de verwerking zonder grondslag.

Een verwerking zonder grondslag wil zeggen, je doet iets met persoonsgegevens maar je treedt buiten de gegeven toestemming of je kunt geen rechtvaardiging geven onder je dringend eigen belang of onder een overeenkomst die je hebt. En ja, dat kan al zo simpel zijn als het gebruiken van het cc: veld in plaats van bcc: als je meerdere ongerelateerde mensen wilt mailen.

In oktober publiceerde het CBP concept-beleidsregels over boetes. Deze zijn nog niet definitief maar ik verwacht niet dat ze héél anders gaan worden. In het kort classificeert men overtredingen in drie categorieën (licht, middel, zwaar). Per categorie is er een basisboete en een bandbreedte, en de boete wordt vastgesteld als de basis plus of min ten hoogste de bandbreedte. De exacte hoogte van de plusmin volgt uit het concrete geval.

Het verwerken van gegevens zonder grondslag of het hergebruiken voor niet toegestane doelen valt in categorieën middel of zwaar, zo blijkt uit het concept. Daarmee ligt de boete in beginsel op zijn minst op 120.000 euro, de ondergrens van de bandbreedte van categorie twee (middel). De omvang van de inbreuk weegt mee, dus hoe meer adressen hoe duurder het wordt.

Een boete kan echter pas opgelegd worden nadat een aanwijzing over de overtreding niet is opgevolgd, of als blijkt dat sprake is van opzettelijk of grof nalatig handelen. Die gaat nog een lastige worden bij cc-foutjes, omdat dat vrijwel altijd onnadenkend gebeurt. Je wilt bcc, je klikt niet goed en je drukt te snel op verzenden. Dat kan ik geen 'opzet' noemen. Van grof nalatig, of beter gezegd 'het gevolg van ernstig verwijtbare nalatigheid', is sprake

indien de overtreding het gevolg is van grof, aanzienlijk onzorgvuldig, onachtzaam dan wel onoordeelkundig handelen.

Ik denk dat de term 'grof' op al die andere kwalificaties slaat, dus grof onzorgvuldig, grof onachtzaam of grof onoordeelkundig. En dat houdt dan in dat je niet zomaar onachtzaam of onzorgvuldig moet zijn geweest maar best wel heel erg. En dán wordt het spannend, want is dit iets dat iedereen zou moeten weten en niet moeten laten gebeuren, of is dit het soort dikkevingerfout dat iedereen kan overkomen en dus 'gewoon' onzorgvuldig is?

Arnoud Engelfriet is ICT-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. Hij schreef twee boeken, De wet op internet en Security: Deskundig en praktisch juridisch advies.

Reacties (16)
23-12-2015, 12:34 door Anoniem
De vraag is alleen: welke nadelen gaan de mensen van wie het e-mailadres is 'gelekt' hier van ondervinden? Ik denk 'geen'. Je e-mailadres is namelijk al lang bekend bij 100+ spammers. Moet dat niet meetellen in de vraag of de eigenaar van de webwinkel een boete krijgt of niet?
23-12-2015, 13:32 door Preddie
Arnoud, hartelijk dank weer voor jou bijdrage.

Twee weken terug heeft het CBP (toekomstig Autoriteit Persoonsgegevens) de definitieve beleidsregels voor het melden van datalekken gepubliceerd, deze hier zijn hier terug te vinden;

https://cbpweb.nl/sites/default/files/atoms/files/beleidsregels_meldplicht_datalekken.pdf
23-12-2015, 13:33 door Anoniem
Het gaat niet om of je nadeel onder vind, maar het feit dat er gegevens wordt gedeeld met derden (in dit geval dat je klant bent en wat je email adres is en mogelijk meer). En daarmee wordt je privacy geschonden, jij hebt deze informatie met het bedrijf gedeeld om zaken te doen, niet om verder te verspreiden.

Misschien vind je het niet erg als bol.com dit doet, maar misschien wel als het een mailing van de pabo of de parenclub waar je lid van bent. Ook de inhoud kan informatie lekken, bij voorbeeld een aanbieding voor suikerziekte patiënten, of aids patiënten.....
23-12-2015, 15:14 door Anoniem
Voor de meeste bedrjven zou ik een CC in plaats van BCC in een mailing zien als een grove nalatigheid. Het geeft namelijk aan dat de processen niet op orde zijn, want een mailing moet niet handmatig vanuit het mailprogramma van een medewerker verstuurd worden, maar via een gestandaardiseerd en grotendeels geautomatiseerd proces, waarbij de persoon die de mailing klaar zet ook niet de individuele adressen op de lijst van ontvangers kan zien.
Alleen voor kleinschalige instellingen, bijv. de lokale bridgeclub, kan ik me voorstellen dat dit te veel procedurele overhead oplevert, maar als ze voor hun ledenadministratie gebruik maken van een SaaS oplossing dan hoort ook daar dit goed ingeregeld te zijn,
23-12-2015, 15:19 door Martijn Brinkers
Ter illustratie waarom het lekken van email adressen via CC schadelijk kan zijn zie bijvoorbeeld:

http://www.theguardian.com/technology/2015/sep/02/london-clinic-accidentally-reveals-hiv-status-of-780-patients

Er zijn voldoende technische maatregelen mogelijk waarmee je dit soort fouten kan voorkomen.
23-12-2015, 15:25 door Preddie
Door Anoniem:
Misschien vind je het niet erg als bol.com dit doet, maar misschien wel als het een mailing van de pabo of de parenclub waar je lid van bent. Ook de inhoud kan informatie lekken, bij voorbeeld een aanbieding voor suikerziekte patiënten, of aids patiënten.....

Dit laatste is volgens mij een belangrijk gegeven. Daarnaast kan de samenstelling van de e-mail adressen van belang zijn.

Om een voorbeeld te geven; wanneer het adres wit_konijntje765@emaildomain.nl betreft en het onderdeel is van een mail van de katholieke kerk heeft dit een andere impact dan wanneer het adres jan_kooistra1974_zeist@emaildomein.nl in deze zelfde mailing staat. In dat geval kan de context bepalen dat we het hier over een "bijzonder persoonsgegeven" hebben.
23-12-2015, 15:29 door Anoniem
hoewel ik het verzenden onder CC ipv BCC nog kan begrijpen (het is delen van ongewenste privacy gegevens) geld dit ook voor Ransomware.

Wat ik begijp is dat het moet gaan om 'grove nalatigheid' Ransomware als polymorphic bestand is relatief onmogelijk om te stoppen tenzij er uitgebreide en dure maatregelen getroffen worden. (mcAfee TIE bijv) Er zijn ook enkele goedkopere en zelfs gratis oplossingen beschikbaar waarvan ik nog niet heb mogen ervaren dat het werkt.
Nu Ransomware zelfs via een Angler exploit kit kan worden verspreid via drive-by-download op malicious websites is het uitermate moeilijk aan te pakken.

Iemand moet gaan vertellen aan die éénmanszaak op de hoek dat hij zijn computer niet meer mag gebruiken om naar telegraaf.nl te gaan omdat de advertenties besmet zijn met malware die een mogelijke infectie van Ransomware tot gevolg kunnen hebben. Terwijl deze groenteman heilig gelooft in zijn Virusscanner die aaaaaaalles stopt. En vergeet dat hij na zijn besmetting van ransomware ook nog moet melden aan het DPA om een mogelijke boete mis te lopen.

schieten we nou niet iets te ver door??
23-12-2015, 17:43 door Anoniem
Als de groenteboer kan aantonen dat ie gewoon netjes een uptodate Windows + uptodate AV gebruikte, is grove nalatigheid al vrij moeilijk hard te maken. Heeft die man misschien op 'FlashUpdate.exe' of op 'HardePorno.exe' geklikt ? Of heeft de goede man nergens op geklikt en is hij slachtoffer van een 0day-exploit ? Regel is echter altijd: offline backups, of je nu groenteboer of ITer bent ...

On-topic: Ik deel de mening dat bedrijven die structureel mailings versturen wel degelijk grof nalatig zijn als het een keer fout gaat; zoals al eerder beargumenteerd zijn die bedrijven bekend met de materie en zouden dus ook van de risico's (en veel gemaakte fouten) op de hoogte moeten zijn. Een MKBer die voor het eerst een kerst-mailing handmatig verstuurd is echt heel anders dan een grote bank die het doet (die zou namelijk beter moeten weten; ook als het een stagaire betreft !)... volgens mij kun je dat - in theorie - juridisch best aannemelijk maken, toch ?
24-12-2015, 11:01 door Anoniem
Door Anoniem: Als de groenteboer kan aantonen dat ie gewoon netjes een uptodate Windows + uptodate AV gebruikte, is grove nalatigheid al vrij moeilijk hard te maken. Heeft die man misschien op 'FlashUpdate.exe' of op 'HardePorno.exe' geklikt ? Of heeft de goede man nergens op geklikt en is hij slachtoffer van een 0day-exploit ? Regel is echter altijd: offline backups, of je nu groenteboer of ITer bent ...

Misschien begrijp ik je verhaal niet goed maar; een geupdate versie van Windows gaat NIET helpen tegen ransomware. Een geupdate versie gaat NIET helpen tegen ransomware. Hoewel offline backups de gouden regel is bij ransomware (in het algemeen eigenlijk)
Tenzij het DPA 'genoegen' neemt met bovenstaande maatregelen om 'grove nalatigheid' uit te sluiten.

Dan is het ronduit stupide. Grove nalatigheid uitsluiten door maatregelen die niet gaan werken. .. .
24-12-2015, 11:27 door Anoniem
Het gaat niet om of je nadeel onder vind, maar het feit dat er gegevens wordt gedeeld met derden

Natuurlijk speelt dat wel bij de vraag of er een boete wordt opgelegd, en hoe hoog de boete moet zijn; keer het eens om. Vind je dat een webwinkel die je creditcard gegevens enzo lekt, waarna deze wordt misbruikt om voor duizenden euro's spullen te kopen op jouw naam, niet een hogere boete moet krijgen, dan een webwinkel die enkel een email adres lekt ? Dat beiden niet moeten gebeuren, dat moge duidelijk zijn.
24-12-2015, 12:19 door Anoniem
Een lijst met e-mails in een bepaalde context maakt fishing mailtjes kansrijker. Ook een neutrale webwinkel heeft wat mij betreft een groot probleem als ze cc gebruiken.

De kans dat misbruik wordt gemaakt van het lek is mischien niet zo groot maar kunnen grote impact hebben als het voorkomt.
24-12-2015, 13:53 door Anoniem
Een correct ingestelde mailserver en client zouden een mega waarschuwing moeten geven wanneer er meet dan 5 mensen op een TO staan. Eigenlijk zou blind carbon copy default moeten zijn.
Dit is dus in mijn optiek een grove nalatigheid.
Dus datalek EN boete waardig.
99% van in mijn mailbox aankomende spam is op deze manier geharvest uit mongolen zonder virusscanner en email adres harvesting malware.
Als ik niet bekend zou zijn geworden vanwege to ipv bcc zou ik 99% minder spam hebben.
25-12-2015, 18:58 door Anoniem
Deze situatie wordt vrij sterk vertroebeld door twee simpele feiten: Verreweg de meeste mensen hebben nul idee hoe ze netjes en effectief email schrijven*, waarmee ze onoordeelkundig zijn, en de software die veelal gebruikt wordt biedt zeg maar een op de eigen voeten gerichte donderbus als standaardfeature aan, met die "handige" reply-to-all en meer van dat moois. Waarmee de software inadequaat blijkt en de softwareschrijvers daarmee zelf onoordeelkundig te noemen zijn. Aangezien de "autoriteit" die hier mag vingerzwaaien het ook niet beter weet, is het vrij lastig om hier een heldere en zinvolle richtlijn te geven. Laten we deze status quo even buiten beschouwing dan is de redenatie vrij simpel:

Wat mij betreft is "oeps 255 adressen in de CC" eigenlijk niet verdedigbaar, en je zorgt maar dat je software dat niet zomaar zonder meer toestaat, of dat zelfs makkelijk vergisbaar maakt door plaatsing van knoppen ofzo. Die software gebruik jij als (evident inadequaat) gereedschap en het is toch echt jouw taak (danwel die van je werkgever) om voor adequate gereedschappen te zorgen. Daaruit volgt dat als je software dit soort foutjes makkelijk maakt dan pak je andere software.


Oh, en mijn (dagelijkse gebruiks)emailadres is _niet_ "al lang bekend bij 100+ spammers", aangezien ik er geen filters op heb zitten en toch nauwlijks spam krijg. Die dan direct gerapporteerd wordt, en dat heeft zelfs wel eens zichtbaar effect gesorteerd. Dit tegenvoorbeeld laat zien dat je niet zomaar jouw situatie op andermans situatie mag projecteren.

Op een ander adres wel eens gehad dat ik me ergens inschreef (zo'n louche kamerzoeksite, er zijn geen andere, een .nl ja) en prompt bergen met spam kreeg. Dat viel op omdat ik het adres daarvoor nergens anders voor gebruikt had, en daarnaa ook niet, dat weet ik heel zeker. Duurde zeven jaar voordat die spamvloed een beetje ophield. Een keer adres aan de verkeerde geven, gelijk bergen spam. Zou toch mooi geweest zijn als ik die ongevraagde doorverkoper had kunnen rapporteren bij d'ene of d'andere autoriteit, maar de laatste keer dat ik dat probeerde bleek het webformulier zelf geen kaas gegeten te hebben van hoe dit normaliter gebeurt en daarnaast veel te veel persoonlijke informatie van mij te eisen. Ik hoef niet op het beklaagdenbankje, dat moet die spammer. Overheid en IT, altijd lachen.

* Iedereen die "top post" valt daaronder, en dat zijn heel veel negens van de emailende bevolking. Geen wonder dat iedereen email haat want iedereen krijgt bergen slecht leesbare, slecht geformatteerde, illiterate rommel ook als je de spam negeert. Weet je ook gelijk waarom de vlucht naar "social media", en dan weer de vlucht verder van facebook naar twitter naar instagram geen soelaas biedt. "We" doen het met ons allen echt zelf elkaar aan, hoor.
26-12-2015, 00:12 door Anoniem
Door Anoniem: Een correct ingestelde mailserver en client zouden een mega waarschuwing moeten geven wanneer er meet dan 5 mensen op een TO staan. Eigenlijk zou blind carbon copy default moeten zijn.
Dit is dus in mijn optiek een grove nalatigheid.
Dus datalek EN boete waardig.
99% van in mijn mailbox aankomende spam is op deze manier geharvest uit mongolen zonder virusscanner en email adres harvesting malware.
Als ik niet bekend zou zijn geworden vanwege to ipv bcc zou ik 99% minder spam hebben.

Ik vind dat je daar een punt heb ik heb daar een oplossing voor :-) Als anderen de oplossing hebben hoe dit af te dwingen in andere mailservers zou het best aardig zijn omdat hier te vertellen...

In elke organisatie is er verloop van mensen en worden nieuwe mensen aangenomen. Ook als er een interne richtlijn om BCC te gebruiken.. Op een gegeven moment maakt iemand die fout.....

In hoeverre is een organisatie nalatig, als het geen policy forceert om onzorgvuldig gebruik van het CC te voorkomen?
Ik ben IMHO van mening dat de organisatie daar ook verantwoordelijkheid draagt.

Voor de organisatie waar ik voor werk, heb ik een policy op de uitgaande mailserver gemaakt, die uitgaande mail met meer dan 15 adressen in TO of CC bounced met een 55x fout. Op deze manier voorkom ik dat collega's deze fout kunnen maken..

Natuurlijk willen jullie ook weten hoe ik dat gedaan heb... :-)
Onze "edge" mail server draait geen Exchange maar Postfix. Daar kan je dit in de "header_checks" regelen.

Hoe?
Postfix header_checks: (one line)
/^To: .*@.*,.*@.*,.*@.*,.*@.*,.*@.*,.*@.*,.*@.*,.*@.*,.*@.*,.*@.*,.*@.*,.*@.*,.*@.*,.*@.*,.*@.*/ REJECT Gebruik het BCC vak voor meerdere ontvangers ipv. het AAN: of CC: vak - mail is NIET bezorgd / Use BCC for multiple recipients - Mail was NOT delivered

#(volgende lline)
/^Cc: .*@.*,.*@.*,.*@.*,.*@.*,.*@.*,.*@.*,.*@.*,.*@.*,.*@.*,.*@.*,.*@.*,.*@.*,.*@.*,.*@.*,.*@.*/ REJECT Gebruik het BCC vak voor meerdere ontvangers ipv. het AAN: of CC: vak - mail is NIET bezorgd / Use BCC for multiple recipients - Mail was NOT delivered

Uiteraard moet je dan nog wel regelen dat deze header_checks alleen gebruikt worden op de uitgaande mail en niet op de inkomende mail !
30-12-2015, 14:24 door Anoniem
Het zijn wel erg hoge boetes die die Autoriteit straks (over drie dagen) kan opleggen! En zo te zien ook nog minimumboetes. Wie heeft dat verzonnen/wie heeft niet op zitten letten?
02-01-2016, 11:36 door Anoniem
Ik maak voor elke (!) inschrijving waar ik mijn mailadres moet achterlaten een alias aan. Op moment dat ik merk dat een mailadres wordt misbruikt zie ik meteen waar er niet goed is omgegaan met mijn gegevens... Bovendien ben IK in controle over het niet meer ontvangen van nieuwsbrieven, spam of ander gedoe... Ik kan altijd de alias verwijderen...
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.