image

Is het strafbaar om online gelekte data te bekijken?

woensdag 13 december 2023, 10:28 door Arnoud Engelfriet, 4 reacties

Heb jij een interessante vraag op het snijvlak van privacy, cybersecurity en recht? Stuur je vraag naar juridischevraag@security.nl. Elke week geeft ict-jurist Arnoud Engelfriet in deze rubriek antwoord.

Juridische vraag: Wanneer een organisatie gehackt wordt en de interne data online wordt gepubliceerd, is het dan legaal om dit als burger te bekijken? Of moet je dan journalist zijn? Laten we er even vanuit gaan dat ik niet het doel heb om mensen te intimideren met het tot me nemen van de gelekte data.

Antwoord: De laatste zin verwijst naar het verbod op doxxing, dat per 1 januari van kracht zal worden (wetsvoorstel). Daar hoef je je geen zorgen over te maken, omdat dit verbod gaat over het verspreiden van informatie, niet om het bekijken of op je eigen harde schijf hebben.

Er is echter een relevanter verbod, namelijk artikel 139g Strafrecht. Dit stelt strafbaar dat iemand niet-openbare gegevens verwerft of voorhanden heeft

terwijl hij ten tijde van de verwerving of het voorhanden krijgen van deze gegevens wist of redelijkerwijs had moeten vermoeden dat deze door misdrijf zijn verkregen;

Let op dat het hierbij niet uitmaakt of het gaat om persoonsgegevens (AVG) of andersoortige gegevens, zoals bedrijfsgeheime broncode of meetgegevens van sensoren. Het enige criterium is of de gegevens openbaar waren of niet.

Dat criterium geldt overigens voor de verkrijger op het moment van verkrijging. En specifiek bij zo’n online gezet datalek gaat dat dan mis: de gegevens zijn dan al openbaar, iedereen kan er immers in snuffelen. Dat die openbaarmaking onrechtmatig is, is niet relevant. Zoals bij invoering van dit artikel werd gezegd:

Gegevens die op het internet zijn geplaatst, zijn openbaar mits het publiek toegang heeft tot de internetpagina waar de teksten zijn weergegeven (vgl. Hof Amsterdam 23 november 2009, NJFS 2010,29). Het downloaden van openbare gegevens van internet is dus niet strafbaar op grond van deze strafbepalingen.

Het enkel snuffelen uit nieuwsgierigheid is dus niet strafbaar. Als je de gegevens voor wat anders gaat gebruiken, dan krijg je wel allerlei wettelijke bezwaren. Ze overnemen in een eigen bestand (je AI trainen, je marketingdata verrijken of een waarschuwingssite bouwen, ik noem er een paar) kan al snel in strijd zijn met de AVG als er persoonsgegevens in zitten. De gegevens kunnen beschermd zijn door auteursrecht of databankrecht. Een herpublicatie kan smaad opleveren. En ga zo maar door.

Arnoud Engelfriet is Ict-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. Hij schreef twee boeken, De wet op internet en Security: Deskundig en praktisch juridisch advies.

Reacties (4)
13-12-2023, 14:23 door Anoniem
Snuffelen lijkt me een vorm van bekijken of beluisteren.
Hoe zit het dan met beeld- en geluidsmateriaal dat je online aantreft?
13-12-2023, 16:22 door Anoniem
Door Anoniem: Snuffelen lijkt me een vorm van bekijken of beluisteren.
Hoe zit het dan met beeld- en geluidsmateriaal dat je online aantreft?

Dat is het risico van online zijn.

Het is gelukkig niet strafbaar, wat ook onhaalbaar is technisch.
14-12-2023, 15:10 door Anoniem
Als het openbaar op internet staat mag je het tot je nemen?

Dag Stichting Brein, die films staan gewoon openbaar op internet!
14-12-2023, 20:04 door Anoniem
Wat strafbaar moet worden is dat organisaties stelselmatig zulke zwakke security maatregelen nemen of erger nog achterwege laten dat het gewoon een logisch gevolg is dat de data op staat komt te liggen in een dergelijke situatie. Je behoort een verantwoordelijke custodian te zijn van gegevens en dat ben je dus niet als je de informatiebeveiliging willens en wetens van een dusdanig niveau laat zijn dat een data lek gewoon een logisch gevolg is van de puinzooi die je er van maakt. Je behoort het risico in te schatten of te laten inschatten door experts met verstand van zaken. Als je dat niet doet of het negeert kun je domweg niet zeggen dat er sprake is van een verantwoordelijke omgang met de betrokken gegevens. Maar we gaan zien hoe NIS2 hier een rol gaat spelen.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.