Hoeveel cybercriminelen zitten er al vast?
Dweilen met de spreekwoordelijke kraan open.

Wat een geweldige tijden waren de lock-downs voor de cybercrimineel.

Gaat de beoogde MP hier het verschil maken?

Wanneer gaat de wal het schip keren?

Volgens mij deed de Nederlandse Politie ook mee aan dit onderzoek. Het is daarom erg opvallend dat een Nederlandse politieorganisatie besluit om persoonsgegevens van slachtoffers te delen. Eerder deed de FBI dat al, waarna Arnoud Engelfriet naar de juridische aspecten keek in zijn blog op https://blog.iusmentis.com/2021/06/01/fbi-deelt-voortaan-uitgelekte-wachtwoorden-met-have-i-been-pwned-mag-dat-van-de-avg/. Tijd voor een nieuwe vraag, nu ook de Nederlandse politie besluit om dit soort persoonsgegevens te delen?

Overigens lijkt het erop dat de informatie uit deze dataset op de website van de politie zelf gecontroleerd kan worden: https://www.politie.nl/informatie/checkjehack.html/.

Een los emailadres is niet gevoelig persoonsgegeven, vind persoonlijk dat hier het hogere doel (van zelf kunnen checken of je 'slachtoffer' bent) het aanleveren door de deze politiediensten rechtvaardigd.
Delen zou ik het niet noemen: het is niet dat de hele dataset als een makkelijk pakketje voor willekeurig elke internetgebruiker daar te downloaden valt. Bovendien.. die data circuleert nu toch echt óók al op het darkweb..
Dat de dataset verzameld en raadpleegbaar via HIBP gecheckt kan worden past bij de nobele doelstellingen van HIBP.
Er zijn veel particulieren en organisaties extra geholpen door de dienst die daar geleverd wordt.

Politie is weer lekker markt verstorend bezig, waarom geven ze deze schat aan informatie alleen aan Microsoft?!? (Have I Been Pwned is van MS) Alsof het een taak van de politie is om het bijna monopoly van Micro$soft te beschermen.

Dit soort info zouden ze moeten delen met al dit soort diensten, zoals ook: https://scatteredsecrets.com

Nee, het is alleen maar Microsoft die de gehele dataset krijgt op leuke dingen mee te doen....What could possibly go wrong?
spoiler: https://arstechnica.com/information-technology/2024/04/microsoft-blamed-for-a-cascade-of-security-failures-in-exchange-breach-report/

Een veel gehoord argument, maar juridisch weinig steekhoudend. Het overnemen van (niet-openbare) gegevens uit 'illegale bron' is in Nederland strafbaar (Artikel 139g Wetboek van strafrecht). Daarnaast heeft de AP recent nog laten weten dat óók als informatie openbaar gemaakt is, dat er nog steeds een grondslag nodig is voordat deze gegevens verwerkt mogen worden (Handreiking scraping door particulieren en private organisaties).

De enige (mogelijk) steekhoudende argumentatie is een algemeen en gerechtvaardigd belang vanuit HIBP om deze gegevens te verwerken. Helaas mis ik nog steeds een goede analyse van de belangen aan beide kanten. Ik zie de Europese meldplicht voor datalekken als belangrijk onderdeel van deze belangenafweging. HIBP en andere partijen stellen dat zij invulling geven aan het notificeren van slachtoffers. Echter is die verplichting al neergelegd bij de organisaties die persoonsgegevens verwerken. Dit is in veel gevallen dubbel op, waardoor er mijns inziens géén noodzaak meer is voor private partijen om dit op te pakken. De privacy inbreuk voor slachtoffers, door het verder verzamelen van deze (illegaal verkregen) persoonsgegevens, valt voor mij dan ook zwaarder dan het 'recht' van een private organisatie om zo'n database aan te leggen.

Als HIBP in Nederland gevestigd zou zijn is de kans groot dat dit strafbaar zou zijn. Vergelijkbaar verwacht ik dat de verwerking van persoonsgegevens onrechtmatig zou zijn als HIBP onder de AVG zou vallen. De reden dat daar nu geen sprake van is, komt omdat het een Australische organisatie is en niet alle verwerkingen onder de AVG vallen.

De echte test zou een aangifte en onderzoek vanuit het OM zijn naar dit soort diensten. Het Nederlandse ScatteredSecrets zou een mooie case zijn. Zij doen in feite hetzelfde doen als HIBP, maar vallen wél onder het Nederlandse straf- en privacyrecht.

Waar staat dat de Nederlandse politie deze gegevens met HIBP heeft gedeeld?

Het is een internationale actie dus de data is bij meer politie organisaties in andere landen in bezit, die dit met HIBP gedeeld kunnen hebben.

Het staat er niet super duidelijk, maar dit is een citaat van het persbericht van de politie zelf:

Have I Been Pwned is NIET van Microsoft, lees https://haveibeenpwned.com/About