Achtergrond

Juridische vraag: mag een browserextensie je voor oplichters waarschuwen?

woensdag 22 juni 2016, 14:36 door Arnoud Engelfriet, 7 reacties

ICT-jurist Arnoud Engelfriet geeft elke week antwoord op een interessante vraag over beveiliging, recht en privacy. Heb jij een vraag? Stuur hem naar juridischevraag@security.nl.

Vraag: ik las over een Chrome-extensie die op elke webpagina zoekt naar IBAN, telefoonnummer, e-mailadressen en dergelijke van oplichters. De gegevens worden vergeleken met een blacklist van 10.000+ fraudeurs (die elke nacht wordt bijgewerkt) en je krijgt een waarschuwingspop-up als je op een pagina komt met die gegevens. Mag dat?

Antwoord: allereerst de vraag: hoe komt deze extensie aan zijn gegevens? Als ik het goed begrijp, dan scant hij webpagina’s op e-mailadressen, bankrekeningen en adressen en matcht hij die tegen een lijst. Zo’n extensie kan die gegevens makkelijk uitlezen, en een lijst binnenhalen met brongegevens is ook niet heel moeilijk. Ik zie alleen niet wat de beheerders van die lijsten daarvan vinden. Dat zóu een probleem met databankrecht kunnen zijn, want op lijsten met verdachte gegevens als deze kan databankrecht zitten als de beheerder er substantieel in geïnvesteerd heeft. Dus even navragen (en een bronvermelding) lijkt me wel verstandig.

Belangrijker is echter de vraag, mag dat wel van de Wbp? Want hoe logisch het ook klinkt dat je nu gewoon een Google-opdracht in een extensie stopt, de Wbp ziet zulke dingen altijd anders. Als jij zelf gegevens gaat verwerken, dan moet jij dat verantwoorden en “Google doet het ook” is géén verantwoording. Waarom heb jij het recht die gegevens zo te ontsluiten?

Meer specifiek ziet de toezichthouder zwarte lijsten als deze als een soort verwerking waar voorafgaand verlof voor nodig is, vanwege de impact die zulke lijsten kunnen hebben. Je zult eens door een paar boze klanten als oplichter worden aangemerkt en dan levenslang via zulke extensies worden gehinderd.

Oh ja, en ik lees nog dat mensen dan bezwaar kunnen maken bij de extensie-beheerder: haal mij van de lijst. Maar het is zeker geen automatisme dat mensen op grond van de Wbp bezwaar kunnen maken tegen opname op zo’n lijst. Ik zie zo’n openbare lijst als een stukje vrijheid van meningsuiting, mensen willen waarschuwen voor oplichting is een legitiem doel en de Wbp mag daar niet zomaar doorheen fietsen.

Dus nou ja, mag het? In principe niet, want een zwarte lijst vereist toestemming. Maar als je de lijst kunt verantwoorden als aan de kaak stellen van misstanden, dan mag het denk ik wél.

Belangrijkste zal zijn dat je de lijst actueel en juist houdt, want wie achterhaalde gegevens als zwarte lijst inzet, heeft een probleem.

Arnoud Engelfriet is ICT-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. Hij schreef twee boeken, De wet op internet en Security: Deskundig en praktisch juridisch advies.

Juridische vraag: betekent de #daohack het einde van slimme contracten?

Juridische vraag: mag je persoonsgegevens eigenlijk wel gebruiken in een aangifte?

Reacties (7)

22-06-2016, 15:47 door Anoniem

De vraag stelling klinkt mij erg als een oplichter die hier zelf last van heeft. (pure specualtie)

22-06-2016, 16:33 door Anoniem

"Zo’n extensie kan die gegevens makkelijk uitlezen, en een lijst binnenhalen met brongegevens is ook niet heel moeilijk. Ik zie alleen niet wat de beheerders van die lijsten daarvan vinden"

Volgens mij speelt dat niet want de extensie werkt kennelijk met een lijst die door de maker van de extensie zelf
wordt onderhouden. Dit zou hooguit een probleem worden als iemand anders een extensie ontwikkelt voor Firefox
en die dan zonder toestemming koppelt aan dezelfde lijst.

Het lijkt me dat het vergelijken van de inhoud van een webpagina met een lijst van verdachte nummers niet "een
verwerking van persoonsgegevens" is. Volgens mij is de enige verwerking van persoonsgegevens het samenstellen
van die lijst. En dat doet niet de gebruiker maar de aanbieder van de extensie.

Kortom het antwoord op de vraag "mag een browserextensie voor oplichters waarschuwen" lijkt me een onconditioneel ja.
Of de aanbieder van die extensie zomaar bedrijven op een lijst mag plaatsen is daar geen factor in.

22-06-2016, 17:22 door Anoniem

Wellicht is er geen bezwaar te maken op bescherming van persoonsgegevens, maar de "oplichters" zullen wel de onderhouders van de extensie/lijst kunnen beschuldigen van smaad en laster als ze onterecht op de lijst staan lijkt mij? En dan schade uit inkomstenderving claimen.

22-06-2016, 20:52 door Anoniem

Ehhh... dit is toch al besproken?!?

N.a.v. een item op tweakers.
http://blog.iusmentis.com/2016/06/17/mag-browserextensie-waarschuwen-oplichters/
https://gathering.tweakers.net/forum/list_messages/1696179

22-06-2016, 21:42 door Anoniem

@Anoniem 20:52 : niet iedereen leest zijn blog of Tweakers.

Ik zie trouwens dat de website een mogelijkheid biedt om je af te melden (https://smartprotect.io/ zie FAQ)

23-06-2016, 11:03 door Anoniem

Het is een beetje een

Ik zie trouwens dat de website een mogelijkheid biedt om je af te melden (https://smartprotect.io/ zie FAQ)[/quote]
Het is een beetje een warrig verhaal. Aan de ene kant wordt er geschreven dat de gegevens verkregen worden door
scrapen van forums en sociale media (ongestructureerde gegevens dus), aan de andere kant staat er "benader de
bron en zorg dat het daar verwijderd wordt" als remedie tegen foute vermeldingen.

Niet alleen is algemeen bekend hoe lastig het kan zijn om dingen verwijderd te krijgen uit forums en sociale media
zonder keiharde juridische actie dan wel intimidatie via een prive detective ofzo, maar ook lijkt het me onwaarschijnlijk
dat de scraper van deze meneer die wijzigingen dan weer binnen 48 uur verwerkt. Een tekstuele melding op zo'n
plek dat de melder het intrekt en excuses aanbiedt gaat ie vast niet automatisch verwerken.
En het kan altijd weer ergens anders heen gecopieerd zijn.

Het lijkt me dat dit alleen opgelost kan worden door een blacklist-blacklist bij te houden, een lijst van nummers die
weliswaar als fraude gemeld is maar die dat toch niet is. Dat zal die meneer dan toch echt zelf moeten doen.

Het lijkt allemaal net te veel op de manier waarop "spammer blacklists" werken. Sta je er op terwijl dat niet klopt,
geen probleem meneer gewoon stoppen met spammen en dan verwijderen we je vanzelf. Jaja.

Die pagina toont overigens dat er maar 103 gebruikers zijn dus een al te groot probleem zal het niet vormen als je
als bedrijf onterecht vermeld staat.

23-06-2016, 15:23 door Anoniem

Je kunt in het ongelijk worden gesteld door een rechter als de benadeelde zegt dat zijn naam niet in de publiciteit mag. Meestal worden verdachten met initialen aangeduid. Op tv worden verdachten geblurred. De reden? Verdachten genieten ook bescherming en willen na veroordeling mogelijk een eerlijk bestaan opbouwen en niet herkend worden. Naming and shaming leidt tot het niet kunnen doorbreken van crimineel gedrag in het verleden.

Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Bitcoin:

Vacature

Junior DevOps Engineer

Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?

Lees meer

Vacature

Cybersecurity Trainer / Streamer

Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.

Lees meer

Is geen nieuwe auto krijgen ook al schade onder de AVG?

20-11-2024 door Arnoud Engelfriet

Juridische vraag: Ik las in een recent arrest dat een garagebedrijf onder de AVG(!) aansprakelijk werd gehouden voor een ...

12 reacties

Lees meer