Acties tegen botnets door SURFnet en bij SURFnet aangesloten instellingen: privacy & data protectie aspecten

Acties tegen botnets door SURFnet en bij SURFnet aangesloten instellingen: privacy & data protectie aspecten Een expert opinion

Auteur(s):

Prof. Dr. Ronald Leenes

Versie:

1.0

Datum:

Oktober 2013

Radboudkwartier 273 3511 CK Utrecht

Postbus 19035 3501 DA Utrecht

030 - 2 305 305 [email protected] www.surfnet.nl

ING Bank NL54INGB0005936709 KvK Utrecht 30090777 BTW NL 0089.60.173.B01

Acties tegen botnets door SURFnet en bij SURFnet aangesloten instellingen: privacy & data protectie aspecten

Prof. dr. Ronald Leenes Universiteit van Tilburg TILT – Tilburg Institute for Law, Technology, and Society Postbus 90153 5000 LE Tilburg [email protected] PI.lab http://pilab.nl/ Oktober 2013

Deze publicatie is gelicenseerd onder een Creative Commons Naamsvermelding 3.0 Unported licentie Meer informatie over deze licentie vindt u op http://creativecommons.org/licenses/by/3.0/deed.nl


Inhoudsopgave Samenvatting ......................................................................................................................................... 4 1 Inleiding ........................................................................................................................................... 6 2 Anti-botnetacties ............................................................................................................................. 7 3 Botnet data ...................................................................................................................................... 9 4 SURFnet en botnetdata ................................................................................................................ 12 4.1 Toepasselijkheid van de Wbp ................................................................................................ 12 4.2 Randvoorwaarden vanuit de Wbp .......................................................................................... 18 4.3 Verwerking en verstrekking van botnetdata ........................................................................... 20 5 Omgang met de data..................................................................................................................... 25 Literatuur .............................................................................................................................................. 27

Deze publicatie is gelicenseerd onder een Creative Commons Naamsvermelding 3.0 Unported licentie Meer informatie over deze licentie vindt u op http://creativecommons.org/licenses/by/3.0/deed.nl


Samenvatting

Botnets vormen een van de grootste uitdagingen in de internetmaatschappij. De bestrijding van botnets kan niet alleen bestaan uit de klassieke strafrechtelijke aanpak van opsporing en vervolging van daders. Ook het botnet zelf zal aangepakt (liefst ontmanteld) moeten worden. Bovendien zullen (potentiële) slachtoffers van het botnet moeten worden gewaarschuwd dat hun relaties met allerhande dienstverleners mogelijkerwijs gecompromitteerd zijn doordat de botnet operators beschikken over allerhande vertrouwelijke informatie, zoals usernames/passworden en allerlei andere identificerende gegevens. SURFnet is één van de private partijen die regelmatig met botnets te maken krijgt. In het verleden heeft SURFnet meerdere malen een faciliterende rol gespeeld bij het ontmantelen van botnets. Een belangrijke vraag hierbij is welke juridische ruimte er bestaat voor SURFnet om informatie (al dan niet actief) verkregen uit een botnet te gebruiken, bijvoorbeeld om gebruikers binnen bij SURFnet aangesloten instellingen te waarschuwen of anti-botnetacties uit te voeren. Naast het strafrecht speelt hierbij het dataprotectierecht een belangrijke rol, omdat gegevens verkregen uit botnets persoonsgegevens betreffen. De strafrechtelijke aspecten zijn beschreven in een expert opinion geschreven door prof.dr. Bert-Jaap Koops. Deze notitie beschrijft de privacyrechtelijke aspecten van het gebruik van botnetdata. In de voor deze notitie beperkt beschikbare tijd was het niet mogelijk om een uitgewerkte analyse te geven van alle privacy en data protectie aspecten. De notitie geeft daarom een globale indicatie van de rechtmatigheid van gegevensverwerking. Het bevat geen juridisch advies. Botnet Command & Control Servers (C&C-servers) zijn er op gericht gegevens te verzamelen vanuit de geïnfecteerde computers in het botnet. Deze data omvat onder meer gegevens van de gebruiker van de apparatuur, zoals naam, adres, geboortedatum, telefoonnummer, gebruikersnamen en wachtwoorden, rekeningnummers, etc. Daarnaast is het door de gebruiker gebruikte IP-adres, of IP adressen, beschikbaar bij de C&C-server. Het betreft hier persoonsgegevens zoals gedefinieerd in de Wet bescherming persoonsgegevens (Wbp). De Wbp is derhalve van toepassing op de verwerking van botnetdata. Een belangrijke voorwaarde voor het mogen verkrijgen en verwerken van botnet data is de rechtvaardigingsgrond voor verwerking van die gegevens. Artikel 8 Wbp bevat een limitatieve opsomming van rechtvaardigingsgronden. In het geval van verwerking van botnetdata door SURFnet en aangesloten instellingen is betoogd dat er mogelijkheden zijn om de botnetdata te gebruiken op basis van artikel 8 f Wbp. Het belang van vergroten van de veiligheid van het internet, het voorkomen danwel verminderen van identiteitsfraude, en het beperken van schade door botnets kunnen in mijn ogen bepaalde verwerking van persoonsgegevens vergaard uit botnet C&C servers rechtvaardigen, te meer daar het privacybelang van de betrokkenen (slachtoffers) hiermee gediend kan zijn. De verwerking en eventuele verstrekking van botnetdata moet beperkt blijven tot ‘welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden’ (art. 7 Wbp). Dit doel (of doelen) moeten worden vastgelegd voordat de gegevensverzameling begint en moet duidelijk zijn zodat tijdens de verzameling van gegevens kan worden getoetst of bepaalde gegevens noodzakelijk zijn voor dat doel. Het doel (of doelen) moeten bij het College Bescherming Persoonsgegevens wordt gemeld (art. 27 Wbp). Voor de botnet data zal SURFnet restrictieve doelen moeten opstellen die kunnen gaan in de richting van: • • •

het duiden van de aard en ernst van het botnet en het duiden van de door het botnet verkregen gegevens (emails, wachtwoorden, etc); het waarschuwen van betrokkenen dat hun computersysteem is geïnfecteerd door een botnet; het waarschuwen van partijen die mogelijk benadeeld kunnen zijn door acties voortvloeiende uit het botnet;


• •

in het licht hiervan, dat relevante gegevens worden verstrekt aan relevante derden, waaronder de bij SURFnet aangesloten instellingen die de gedupeerden/slachtoffers kunnen waarschuwen; het nemen van maatregelen ter beperking van de activiteit van botnets.

Artikel 10 lid 1 en artikel 11 van de Wbp leggen voorwaarden op ten aanzien voor de bewaartermijn van de data en welke data mogen worden gebruikt. De data mogen niet langer worden bewaard dan noodzakelijk voor de doelen die hierboven zijn aangeduid, danwel zal moeten worden geanonimiseerd. Tevens zal data die niet relevant is voor het gestelde doel moeten worden verwijderd. Dit betekent dat SURFnet (en aangesloten instellingen) alle data die betrekking heeft op apparatuur met IP-adressen buiten die verstrekt door de aangesloten instellingen, verwijderen bij binnenkomst. SURFnet (en aangesloten instellingen) mag geen informatie verwerken van klanten van andere internet service providers. Relevante vervolgvragen zijn wat SURFnet en aangesloten instellingen met de botnetdata mogen doen. SURFnet mag, als koepelorganisatie, de data mijns inziens verstrekken aan de aangesloten instellingen. De zorgplicht van SURFnet en aangesloten instellingen lijkt mij zich te beperken tot SURFnet gebruikers. Het is met andere woorden niet aan SURFnet om data te filteren en de verschillende ISP’s pakketjes met gegevens van hun klanten te verstrekken. Wellicht dat het wel te verdedigen is dat de hele dataset overgedragen wordt aan de bevoegde opsporingsinstantie(s) omdat een dergelijke verstrekking het algemeen belang van voorkomen van (verder) misbruik van persoonsgegevens en het verbeteren van de veiligheid op internet dient. SURFnet en aangesloten instellingen mogen SURFnet gebruikers waarschuwen dat ze slachtoffer zijn van een botnet. Wanneer het technisch mogelijk is om vast te stellen welke relaties mogelijk getroffen zijn door het botnet, dan lijkt me verdedigbaar dat de betrokkenen geïnformeerd mogen worden over de identiteit van de wederpartij wanneer dit instellingen/organisaties betreft en waarborgen worden getroffen dat geen inhoudelijke informatie (username/password, rekeningnummers etc) wordt verstrekt aan betrokkene en instelling. Bij de verwerking van de botnetdata geldt dat SURFnet en aangesloten instellingen zorg moeten dragen dat alleen de strikt noodzakelijke informatie wordt verwerkt en dat daar waar mogelijk pseudonimisering en anonimisering van gegevens plaatsvindt. Verder verdient het aanbeveling een heldere gedragscode op te stellen waarin staat wat SURFnet en aangesloten instellingen op het vlak van bestrijding van botnets en waarschuwing van gebruikers doen, hoe ze daarbij handelen, en welke waarborgen daarbij in acht worden genomen. Afstemming en overleg met andere internet service providers en overleg met het Cbp over de rechtmatigheid van verwerking van botnetdata door SURFnet is wenselijk. Afstemming en overleg met de Autoriteit Consument en Markt is wenselijk om invulling te geven aan een (vrijwillige) meldplicht.


1

Inleiding

Botnets vormen een van de grootste uitdagingen in de internetmaatschappij. Ze vormen een groot maatschappelijk probleem vanwege de diversiteit aan strafbare feiten die ermee kunnen worden gepleegd, hun (voor geïnfecteerde gebruikers) onzichtbare en hun grensoverschrijdende karakter, en de aanzienlijke schade die botnetaanvallen kunnen opleveren. De bestrijding van botnets kan niet alleen bestaan uit de klassieke strafrechtelijke aanpak van opsporing en vervolging van daders; ook het botnet zelf zal aangepakt (liefst ontmanteld) moeten worden, om te voorkomen dat het door anderen wordt overgenomen wanneer de oorspronkelijke daders opgepakt worden. Bovendien is strafrechtelijk optreden tegen botnets moeilijk vanwege het grensoverschrijdende karakter. Daarom is het wenselijk dat activiteiten worden ondernomen, door overheid maar mogelijk ook door private partijen, om botnets te bestrijden. SURFnet is één van de private partijen die regelmatig met botnets te maken krijgt. In het verleden heeft SURFnet meerdere malen een faciliterende rol gespeeld bij het ontmantelen van botnets. Inmiddels is er nationaal en internationaal discussie ontstaan over het nut en de noodzaak van dergelijke ontmantelings-acties. In bepaalde situaties kan het observeren van een botnet een meer verstandige zet zijn dan het onschadelijk maken, omdat een nieuwe botnetversie snel opgezet kan worden en het tijd en moeite kost om een nieuwe versie te analyseren. SURFnet vindt het belangrijk om beleid te ontwikkelen over hoe en of SURFnet betrokken kan zijn bij toekomstige acties ter bestrijding van botnets (hierna: anti-botnetacties). Een belangrijk aandachtspunt daarbij is de vraag welke juridische ruimte er bestaat voor een private actor zoals SURFnet om informatie (al dan niet actief) verkregen uit een botnet, te gebruiken, bijvoorbeeld om gebruikers binnen bij SURFnet aangesloten instellingen te waarschuwen of anti-botnetacties uit te voeren zoals het infiltratie van het netwerk. Naast het strafrecht speelt hierbij het privacyrecht een belangrijke rol, omdat gegevens verkregen uit botnets persoonsgegevens betreffen. Gegeven het belang van het verstrekken van duidelijkheid omtrent wat een private partij zoals SURFnet wel en niet kan met botnet data heeft SURFnet opdracht gegeven tot een tweetal expert opinions. De eerste betreft de strafrechtelijke aspecten van anti-botnetacties en is geschreven door 1 prof.dr. Bert-Jaap Koops . Onderhavige rapportage betreft de data protectie aspecten. In deze notitie wordt een expert opinion gegeven in de vorm van een globaal overzicht van de toelaatbaarheid van botnet gegevensverwerking door SURFnet en gerelateerde partijen in het licht van de Wet bescherming persoonsgegevens. Het overzicht en het antwoord op de vraag naar toelaatbaarheid van gegevensverwerking door SURFnet cs. zijn globaal. In de voor deze notitie beperkt beschikbare tijd was het niet mogelijk om een uitgewerkte analyse te geven van alle privacy en data protectie aspecten. De notitie geeft daarom een globale indicatie van de rechtmatigheid van gegevensverwerking. Het bevat geen juridisch advies; partijen die botnetdata aangereikt krijgen of zelf willen verwerven wordt aangeraden specifieker advies te vragen bij het College bescherming persoonsgegevens. De notitie begint met een classificatie van anti-botnetacties, overeenkomstig het overzicht dat is gehanteerd in de strafrechtelijke notitie. Vervolgens wordt bezien hoe gegevensverwerking van botnetdata kan worden geduid in het licht van de Wbp. In de conclusie wordt geprobeerd een globale indicatie te geven van de rechtmatigheid van het gebruik van botnetdata door SURFnet en bij SURFnet aangesloten instellingen.

1

Zie: http://www.surfnet.nl/Documents/Expert%20opinion%20mei%202013-1.pdf

6/27


2

Anti-botnetacties

Bij anti-botnetacties kan worden gedacht aan een breed scala van activiteiten. Dat varieert van enerzijds observatie via infiltratie en manipulatie tot het overnemen, neerhalen en ontmantelen van een botnet. In Himma-Dittrich’s taxonomie van ‘intrusion response’ (2005) gaat het om de twee hoogste niveaus – 3 en 4 – van actie, namelijk: •

•

‘cooperative response’, waarbij het slachtoffer van een aanval of bedreiging in samenwerking met anderen gezamenlijke maatregelen treft om een bedreiging te identificeren, af te zwakken of te elimineren; ‘non-cooperative response’, waarbij het slachtoffer eenzijdige maatregelen treft om een bedreiging te identificeren, af te zwakken of te elimineren met middelen die causaal interacteren met systemen op afstand (hetzij van een aanvaller hetzij van derden die zouden 2 kunnen bijdragen aan het bestrijden van de bedreiging).

De acties kunnen verschillende niveaus hebben van ingrijpendheid (‘levels of force’, in HimmaDittrich’s taxonomie): • • •

goedaardig (‘benign’), bijvoorbeeld sniffen of detectie door middel van een pot honing; gemiddeld, bijvoorbeeld het terugtraceren van een aanvalspad of het vergaren van bewijs van een locatie op afstand; agressief, zoals het manipuleren van data of systemen op afstand, of het uitschakelen van 3 systemen.

Voor de strafbaarheid is vooral het laatste onderscheid relevant, niet alleen omdat het om verschillende maten gaat van mogelijke schade die de actie bij een systeem aanricht, maar ook omdat het om verschillende typen ingrijpen gaat. In concreto kunnen de volgende anti-botnetacties worden onderscheiden, ongeveer in volgorde van toenemende ingrijpendheid: 1. observatie en registratie: a. passief/registrerend, bijvoorbeeld nazoeken van DNS-informatie, registreren van netflowinformatie, en eventueel Deep Packet Inspection (DPI) van langskomend netwerkverkeer b. actief/zoekend, dat wil zeggen het aantrekken van netwerkverkeer dat met een botnet samenhangt; hierbij moet ook onderscheid gemaakt worden tussen: I. informatie over het botnet, bijvoorbeeld verkeerspatronen die met het botnet samenhangen; II. informatie verkregen door het botnet, dat wil zeggen gegevens die door het botnet (vermoedelijk) illegaal worden verzameld, zoals kredietkaartgegevens, wachtwoorden of bedrijfsinformatie;

2 3

Dittrich en Himma 2005. Ibid.

7/27


2. infiltratie en manipulatie, bijvoorbeeld het spoofen van Command & Control-verkeer, IPspoofing en het installeren van remote exploits; 3. overnemen en neerhalen, bijvoorbeeld sinkholing (het routeren van botnetverkeer naar een server onder eigen beheer in plaats van naar de Command and Control-server (C&C-server)), het anderszins overnemen van een C&C-server, het blokkeren van botnetverkeer, of het ontmantelen van een botnet; acties op dit niveau kunnen gericht zijn op: a. het botnet als geheel, dan wel de C&C-server; b. een geïnfecteerde computer, bijvoorbeeld het op afstand desinfecteren van een bot. Deze notitie analyseert anti-botnetacties van de categorie 1b (actieve observatie en registratie van informatie over en door het botnet). Daarbij zal het vooral gaan over het door SURFnet of een aangesloten organisatie ontvangen van botnet data om daarmee vervolgens acties te ondernemen, zoals het waarschuwen van gedupeerden of het uitvoeren van meer ingrijpende anti-botnet acties, zoals infiltratie of overnemen en neerhalen van een botnet.

8/27


3

Botnet data

Volgens het NCSC rapport ‘nadere analyse Pobelka’ (2013) richten de meeste botnets zich op het manipuleren van financiële transacties tijdens het internetbankieren. Malafide software nestelt zich hierbij in de browser van de nietsvermoedende gebruiker (een zogenaamde ‘Man in the Browser’ aanval) en zal het gegevensverkeer van en naar de bankserver manipuleren met het oogmerk geld naar de criminele beheerder(s) van het botnet door te sluizen. De gebruiker merkt daar niets van omdat het plaatsvindt binnen beveiligde verbinding tussen browser van de gebruiker en de bank waarbij het ‘slotje’ in de browser gewoon zichtbaar is. Ook andere gegevens, met name inloggegevens van allerlei online diensten, worden door botnets buitgemaakt en naar de C&C-servers doorgegeven. Het gaat hierbij bijvoorbeeld om toegangscodes voor email diensten(zoals Gmail), content management systemen (CMS) en FTP diensten. In beginsel kunnen alle gegevens die via zogenaamde GET en POST parameters aan webservers worden doorgegevens via het botnet worden verzameld. De totale set die wordt vergaard vanuit een geïnfecteerde computer kan dus zeker bestaan uit rekeningnummers, naam, adres, geboortedatum, telefoonnummer, wachtwoorden, etc. Daarnaast is het door de gebruiker gebruikte IP-adres, of IP adressen, beschikbaar bij de C&C-server. In veel gevallen gaat het om gevoelige gegevens omdat onbevoegden, wanneer ze in het bezit zijn van deze informatie, acties kunnen uitvoeren die verstrekkende gevolgen voor het slachtoffer kunnen hebben. Dat valt eenvoudig in te zien wanneer wordt bedacht dat de C&C-server in de loop der tijd kan beschikken over een verzameling van gegevens uit verschillende contexten (internetbankieren, sociale netwerken, email-diensten, door de gebruiker beheerde websites, etc) die zijn buitgemaakt op de geïnfecteerde computer. De gegevens vallen in veel gevallen ook onder het begrip persoonsgegevens zoals dat in de Wet bescherming persoonsgegevens (Wbp) wordt gehanteerd. Artikel 1 onder a Wbp definieert een persoonsgegeven als: “elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon”. Niet ieder van de hierboven genoemde gegevens lijkt te voldoen aan het criterium dat ze verwijzen naar een identificeerbare (of geïdentificeerde) natuurlijke persoon. De koppeling tussen een IP adres of een bankrekeningnummer kan immers zeker niet door iedereen worden gelegd. De Artikel 29 4 Werkgroep heeft in haar opinie 4/2007 echter een ruime definitie gegeven van identificeerbaar: “In overweging 26 van de richtlijn wordt bijzondere aandacht geschonken aan de term ‘identificeerbaar’: ‘om te bepalen of een persoon identificeerbaar is, moet worden gekeken naar alle middelen waarvan mag worden aangenomen dat zij redelijkerwijs door degene die voor de verwerking verantwoordelijk is dan wel door enig ander persoon in te zetten zijn om genoemde persoon te identificeren’. (cursivering door RL) Dit houdt in dat een slechts hypothetische mogelijkheid om iemand te onderscheiden niet voldoende is om die persoon als ‘identificeerbaar’ te beschouwen. Indien, rekening houdende met ‘alle middelen waarvan mag worden aangenomen dat zij redelijkerwijs door degene die voor de verwerking verantwoordelijk is dan wel door enig ander persoon in te zetten zijn’, die mogelijkheid niet bestaat of verwaarloosbaar is, mag de persoon niet als ‘identificeerbaar’ worden beschouwd en geldt de informatie niet als ‘persoonsgegeven’. Bij de toepassing van het criterium ‘alle middelen waarvan mag worden aangenomen dat zij redelijkerwijs door degene die voor de verwerking

4

De Artikel 29 Werkgroep is een op grond van artikel 29 van de Dataprotectierichtlijn 95/46/EG ingestelde werkgroep bestaande uit vertegenwoordigers van de nationale toezichthouders op de naleving van de richtlijn die adviseert over de toepassing van de richtlijn.

9/27


verantwoordelijk is dan wel door enig ander persoon in te zetten zijn’ moet in het bijzonder rekening worden gehouden met alle relevante factoren. De kosten van identificatie zijn een van die factoren, maar niet de enige. Het beoogde doel, de wijze waarop de verwerking is gestructureerd, het voordeel dat de voor de verwerking verantwoordelijke ervan verwacht, de belangen die voor de betrokken personen op het spel staan, het risico van organisatorische tekortkomingen (bijvoorbeeld inbreuken op de vertrouwelijkheidsplicht) en technische storingen moeten allemaal in aanmerking worden genomen” (p. 15-16) en “Nationale gegevensbeschermingsautoriteiten hebben te maken gehad met gevallen waarin enerzijds door de voor de verwerking verantwoordelijke werd aangevoerd dat slechts verspreide stukjes informatie werden verwerkt, zonder verwijzing naar een naam of een ander direct identificatiemiddel, en dat de gegevens niet als persoonsgegevens moesten worden beschouwd en daarom niet onder de regels voor gegevensbescherming vielen. Anderzijds heeft de verwerking van die informatie slechts nut als die het mogelijk maakt specifieke personen te identificeren en op een bepaalde wijze te behandelen. In dergelijke gevallen waarin het doel van de verwerking impliceert dat personen worden geïdentificeerd, kan worden verondersteld dat de voor de verwerking verantwoordelijke over ‘redelijkerwijs in te zetten middelen’ beschikt om de betrokkene te identificeren. Aan te voeren dat personen niet identificeerbaar zijn als het doel van de verwerking nu juist die identificatie is, komt neer op een contradictio in terminis. De informatie moet dan ook worden beschouwd als informatie betreffende identificeerbare personen, wat betekent dat voor de verwerking de regels inzake gegevensbescherming gelden.” (p. 16-17). In welke mate bepaalde gegevens gebruikt kunnen worden om de betrokken feitelijk te identificeren zal afhangen van de gegevens zelf (vgl een bankrekeningnummer versus een IP adres) en wie over de gegevens beschikt. Gegevens kunnen direct (bijv. naam) identificeren, maar ook indirect (IP adressen, zie hieronder) of door middel van het combineren van verschillende gegevens. Ook IP-adressen vallen binnen het bereik (meestal) van het begrip persoonsgegeven. Dat is des te meer zo voor wat betreft het IP-adres van een klant van een Internet service provider (ISP) vanuit het perspectief van die ISP. De ISP kan namelijk op basis van de DHCP logbestanden afleiden welk 5 welke klant op welk moment beschikte over welk IP-adres. Dat geldt ook voor bij SURFnet aangesloten instellingen die zowel vaste en dynamische IP-adressen verstrekken aan de apparatuur van medewerkers en studenten. Hierdoor zijn deze instellingen dus in staat om van een deel van de botnetdata te bepalen bij welke natuurlijke persoon deze horen. De bestanden die zijn buitgemaakt op botnets zijn op basis van voorgaande op te vatten zijn als bestanden met persoonsgegevens. 6

Hoewel juridisch niet bijzonder relevant kan binnen de botnetdata onderscheid worden gemaakt in twee soorten gegevens: verkeersgegevens en inhoudelijke gegevens. De verkeersgegevens (ook wel ‘high-level data’ genoemd) betreffen gegevens over welke IP-adressen met elkaar hebben gecommuniceerd en op welk moment. Deze gegevens zijn, met moeite, te herleiden naar natuurlijke

5

6

Er kunnen meerdere personen zijn die gebruik maken van hetzelfde IP-adres, denk aan de situatie van bewoners van een (studenten)huis die gezamenlijk gebruik maken van één enkele huisrouter die verbonden is met het internet. Het voor de buitenwereld zichtbare IP-adres is voor al die gebruikers gelijk. We hebben immers vastgesteld dat IP-adressen doorgaans eveneens opgevat kunnen worden als persoonsgegevens, waardoor zowel verkeersgegevens als communicatie-inhoudelijke gegevens persoonsgegevens kunnen betreffen.

10/27


personen, maar leveren ook zonder identificatie informatie op. Op basis van de IP adressen kan de data worden gefilterd naar ISP die het IP-adres heeft verstrekt (bijv. IP-adressen in de range 131.174.41.xxx zijn uitgegeven door de Radboud Universiteit, die in de range 137.56.133.xxx door Tilburg University) en naar organisatie (bank, dienstverlener) aan de andere kant van de communicatie. Deze informatie kan dus worden gebruikt om ISPs op de hoogte stellen welke computers binnen hun netwerk zijn geïnfecteerd. Dienstverleners zoals banken kunnen op de hoogte worden gesteld omtrent slachtoffers onder hun klanten. De low-level informatie betreft de informatie die tussen browser en dienstverlener wordt uitgewisseld zoals inloggegevens, rekeningnummers, namen, adressen, maar ook de inhoud van emailberichten, etc. Low-level data betreft de meer gevoelige informatie.

11/27


4

SURFnet en botnetdata

In het recente verleden is van verschillende C&C-servers informatie buitgemaakt en is deze informatie aangeboden aan SURFnet teneinde hem de mogelijkheid te bieden actie te ondernemen richting de gedupeerden, bijvoorbeeld door hen te informeren of door het nemen van technische maatregelen om de geïnfecteerde computers te reinigen. Het bekendste netwerk waarvan de data is buitgemaakt is het Pobelka-botnet. De informatie op de verkregen C&C-server van het Pobelka-net is in december 2012 in handen gekomen van Digital Investigation (NCSC 2013) die de informatie aan SURFnet en andere instanties heeft aangeboden. De vraag die in het navolgende wordt behandeld is hoe SURFnet hier in het licht van de dataprotectieregel-geving mee om moet gaan. Daartoe zal eerst moeten worden bepaald of de gegevens rechtmatig kunnen worden verkregen, en als dat het geval is, vervolgens wat er met de gegevens mag worden gedaan en welke waarborgen daarbij gehanteerd kunnen/moeten worden.

4.1

Toepasselijkheid van de Wbp

De Wet bescherming persoonsgegevens (Wbp) is van toepassing wanneer er persoonsgegevens worden verwerkt. Hierboven is al betoogd dat de botnetdata in het algemeen als persoonsgegevens moeten worden bestempeld. Ook aan de andere ingangseisen van de Wbp is voldaan. Er is sprake van geautomatiseerde verwerking (art. 2 Wbp), geen van de uitzonderingen in art. 2 (bijv. persoonlijke of huishoudelijke doeleinden) of art. 3 (journalistieke, artistieke of literaire doeleinden) zijn van toepassing. De volgende vraag is wat de rol van SURFnet is. Deze lijkt eenduidig die van verantwoordelijke te zijn. Artikel 1 onder d bepaalt dat de verantwoordelijke is: “de natuurlijke persoon, rechtspersoon of ieder ander die of het bestuursorgaan dat, alleen of te zamen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt;” SURFnet bepaalt in de onderhavige context welke gegevens worden verworven en wat daarmee wordt gedaan (doel) en met welke middelen. De Wbp bepaalt dat persoonsgegevens alleen mogen worden verzameld voor “welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden” (art. 7 Wbp). SURFnet zal voorafgaand aan de verwerving en verwerking van de botnetgegevens moeten vaststellen welke gegevens zullen worden verwerkt en voor welk doel. Voordat we echter aan deze vraag toekomen moet eerst worden vastgesteld of SURFnet bevoegd is om de persoonsgegevens te verwerken. Verwerking van persoonsgegevens mag slechts plaatsvinden wanneer dit door (ten minste) één van de in artikel 8 limitatief opgesomde gronden is gerechtvaardigd. Artikel 8 Wbp Persoonsgegevens mogen slechts worden verwerkt indien: a. de betrokkene voor de verwerking zijn ondubbelzinnige toestemming heeft verleend; b. de gegevensverwerking noodzakelijk is voor de uitvoering van een overeenkomst waarbij de betrokkene partij is, of voor het nemen van precontractuele maatregelen naar

12/27


aanleiding van een verzoek van de betrokkene en die noodzakelijk zijn voor het sluiten van een overeenkomst; c. de gegevensverwerking noodzakelijk is om een wettelijke verplichting na te komen waaraan de verantwoordelijke is onderworpen; d. de gegevensverwerking noodzakelijk is ter vrijwaring van een vitaal belang van de betrokkene; e. de gegevensverwerking noodzakelijk is voor de goede vervulling van een publiekrechtelijke taak door het desbetreffende bestuursorgaan dan wel het bestuursorgaan waaraan de gegevens worden verstrekt, of f. de gegevensverwerking noodzakelijk is voor de behartiging van het gerechtvaardigde belang van de verantwoordelijke of van een derde aan wie de gegevens worden verstrekt, tenzij het belang of de fundamentele rechten en vrijheden van de betrokkene, in het bijzonder het recht op bescherming van de persoonlijke levenssfeer, prevaleert. Voor onderhavige casus vallen de meeste gronden direct af. Er is geen sprake van ondubbelzinnige toestemming van de betrokkenen (a.); de betrokkenen zullen zich er doorgaans niet eens van bewust zijn dat hun computer deel uitmaakt van een botnet. SURFnet zou aan alle personen binnen haar personenkring (de studenten en medewerkers van de aangesloten instellingen) vooraf toestemming kunnen vragen om gegevens die SURFnet op het botnet buitmaakt te mogen verwerken, maar dat schept mogelijk onnodige onrust. Lang niet iedere aangeschrevene zal immers in de botnetdata voorkomen. Bovendien omvat de buitgemaakte data naar alle waarschijnlijkheid gegevens over aanzienlijke aantallen niet SURFnet gebruikers die door SURFnet niet zijn te consulteren. Een laatste reden waarom ondubbelzinnige toestemming als verwerkingsgrond niet gelukkig is, is dat de toestemming zal moeten worden geadministreerd. Aangezien de botnetdata veel meer personen omvat dan alleen de SURFnet personenkring, is ‘b. uitvoering overeenkomst’ als rechtvaardigingsgrond niet aan de orde. Deze grond kan wel in beeld komen voor verdere verwerking van gegevens na rechtmatige verwerving. Daartoe zullen dan wel alle gegevens die betrekking hebben op niet bij SURFnet gebruikers worden verwijderd uit de dataset. De term 'wettelijke verplichting' heeft betrekking op iedere verplichting tot gegevensverwerking die krachtens een algemeen verbindend voorschrift wordt opgelegd, binnen de grenzen van artikel 10, 7 eerste lid, van de Grondwet en artikel 8 van het EVRM . Dat betekent dat een dergelijke verplichting alleen bij of krachtens een wet in formele zin in het leven kan worden geroepen voor zover dit in een democratische samenleving noodzakelijk is onder meer in het belang van het economische welzijn van het land. Of aan deze voorwaarde is voldaan, zal uiteindelijk door de rechter kunnen worden 8 getoetst. Er is geen wettelijke plicht voor SURFnet of aangesloten instellingen om de in het botnet vergaarde informatie te verwerken (grond c). Bij vitaal belang van de betrokkene moet blijkens overweging 31 van de richtlijn worden gedacht aan 9 verwerkingen ter bescherming van een belang dat voor het leven van de betrokkene essentieel is. De verwerkingsgrond van onderdeel d dient eng te worden geïnterpreteerd: er moet een dringende medische noodzaak aanwezig zijn de gegevens van de betrokkene te verwerken. Het moet gaan om een zaak van leven of dood. Hiervan is in onderhavige casus geen sprake. SURFnet is geen bestuursorgaan. Art. 8 onder e valt dan ook voor de verwerking van botnetdata door SURFnet niet aan te merken als rechtvaardigheidsgrond. Wanneer wordt betoogd dat het leveren van

7 8 9

Europees Verdrag tot bescherming van de rechten van de mens en de fundamentele vrijheden. Kamerstukken II 1997/98, 25 892, nr. 3, blz. 83 Kamerstukken II 1997/98, 25 892, nr. 7, blz. 6.

13/27


veilige en betrouwbare internetvoorzieningen en het voorkomen van misbruik van persoonsgegevens wel een bestuursrechtelijke taak van SURFnet betreft, dan loopt de onderbouwing van de rechtmatigheid van de verwerking parallel aan die voor toepasselijkheid van art. 8 onderdeel f hieronder, waardoor we niet verder in hoeven te gaan op de toepasselijkheid van art. 8 e. Veel van de bij SURFnet aangesloten instellingen zijn wel (publiek- of privaatrechtelijke) bestuursorganen. Levering van bepaalde gegevens door SURFnet aan de aangesloten instellingen 10 (de bestuursorganen) is mogelijk te rechtvaardigen op basis van art. 8 onder e Wbp. De Memorie van toelichting bij de Wbp stelt over de relatie tussen de gegevensverwerking en vervulling van de publiekrechtelijke taak: “De gegevensverwerking moet wel noodzakelijk zijn voor de vervulling van de betrokken taak van het bestuursorgaan. Als er geen gedetailleerde wettelijke regels bestaan voor deze taakuitoefening, dient bijzondere aandacht te worden besteed aan de vraag of wel sprake is van een rechtmatige taakuitoefening. Om deze reden spreekt onderdeel e ook van een 'goede vervulling' van de taak. Bij de beoordeling van de noodzaak van de betrokken verwerking 11 zullen verder de beginselen van proportionaliteit en subsidiariteit een belangrijke rol spelen.” Wanneer het bieden van veilige internet verbindingen en het voorkomen van misbruik van persoonsgegevens is op te vatten als noodzakelijk voor het uitvoeren van de publiekrechtelijke taak van de onderwijsinstellingen (als onderdeel van goed onderwijs en goed onderzoek verzorgen) dringt zich een parallel op met een zaak waarin het Cbp in 2004 heeft geoordeeld. Het Cbp oordeelde toen ten aanzien van de verstrekking van noodzakelijke persoonsgegevens van ingeschreven studenten aan de commissie Rekenschap (commissie Schutte) door de Technische Universiteit Delft. “Naar het oordeel van het CBP kan de gevraagde verstrekking gebaseerd worden op artikel 8, onder c (wettelijke verplichting) in combinatie met artikel 8, onder e: goede vervulling van een publiekrechtelijke taak door het bestuursorgaan waaraan de gegevens worden verstrekt, in dit 12 geval toezicht door de Minister van Onderwijs.” Deze uitspraak ondersteunt de verstrekking van botnetdata door SURFnet aan aangesloten instellingen, vooropgesteld dat SURFnet zelf over een rechtvaardigingsgrond voor de verwerking van de botnetdata beschikt. Van belang bij verstrekking aan aangesloten instellingen is dat verstrekking van gegevens alleen kan worden gebaseerd op art. 8 e voor zoverre het gegevens betreft die noodzakelijk zijn voor de goede vervulling van de publiekrechtelijke taak. In casu betekent dit dat SURFnet alleen gegevens aan een aangesloten instelling mag verstrekken over personen die tot die 13 instelling behoren en is de verstrekking van de totale gegevensset overmatig. Onderdelen a. tot en met e. verwijzen naar specifieke doelen. Onderdeel f van artikel 8 biedt een ruime restcategorie voor de verwerking van persoonsgegevens; het gerechtvaardigde belang van de verantwoordelijke. Deze grond ziet in eerste instantie op de uitoefening van reguliere bedrijfsactiviteiten van de verantwoordelijke. Dit valt onder meer af te leiden overweging 30 van de richtlijn die uitdrukkelijk verklaart dat persoonsgegevens in het kader van wettige activiteiten, zoals

10 11 12 13

Dat neemt niet weg dat een SURFnet nog steeds een zelfstandige rechtvaardigingsgrond moet hebben voor de verwerving van de gegevens uit het botnet. Kamerstukken II 1997/98, 25 892, nr. 3, blz. 84. http://www.cbpweb.nl/wbpnaslag/2/Paginas/wbp-artikel-8-e.aspx Oordeel van het Cbp 29 januari 2004 z2003-1428. Deze beperking geldt mijns inziens in het algemeen wanneer SURFnet botnetdata aan derden verstrekt. SURFnet zal de gegevens daar waar mogelijk moeten filteren naar relevantie voor de ontvanger. Die filtering kan zowel betrekking hebben op persoonsniveau (gefilterd op bijvoorbeeld IP ranges) als op gegevenstype (bijv. een bij SURFnet aangesloten instelling krijgt bijvoorbeeld geen gegevens die betrekking hebben op een transactie van de betrokkene met een bank).

14/27


‘het dagelijkse beheer van ondernemingen en andere organisaties’ in beginsel kunnen worden gebruikt en aan derden verstrekt. In het geval van verwerving van botnetdata is echter geen sprake van een normale bedrijfsactiviteit van SURFnet. 14

Artikel 8. f staat echter ook open voor ondersteunende en nauw verwante activiteiten. Als voorbeelden daarvoor noemt de Memorie van Toelichting bij de Wbp fraudebestrijding en direct marketing. Het Cbp schrijft over de toelaatbaarheid van de verwerking van persoonsgegevens in het kader van fraudebestrijding: “In de regel moet een rechtvaardiging voor gegevensverwerking aanwijsbaar zijn in de individuele persoon over wie gegevens worden vergaard. Dit leidt uitzondering indien bijvoorbeeld een bedrijf daadwerkelijk wordt of dreigt te worden geconfronteerd met stelselmatige fraude waarvan hijzelf slachtoffer is. Onder dergelijke omstandigheden kan een gegevensverwerking met het oog op fraudebestrijding ten aanzien van alle klanten 15 gerechtvaardigd zijn.” Een rechtvaardiging voor de verwerking van verkeersgegevens in het licht van verbetering van de veiligheid van het netwerk kan ook worden gevonden in Directive 2009/136/EC (ter wijziging van Directive 2002/58/EC). Recital 53 van die Directive stelt dat: “The processing of traffic data to the extent strictly necessary for the purposes of ensuring network and information security, i.e. the ability of a network or an information system to resist, at a given level of confidence, accidental events or unlawful or malicious actions that compromise the availability, authenticity, integrity and confidentiality of stored or transmitted data, and the security of the related services offered by, or accessible via, these networks and systems, by providers of security technologies and services when acting as data controllers is subject to Article 7(f) of Directive 95/46/EC. This could, for example, include preventing unauthorised access to electronic communications networks and malicious code distribution and stopping ‘denial of service’ attacks and damage to computer and electronic 16 communication systems.” Hoewel Directive 2002/58/EC slechts van toepassing is op openbare elektronische 17 communicatiediensten en SURFnet en aangesloten instellingen hier niet onder vallen , geeft deze overweging wel aan dat van internet service providers mag worden verwacht dat zij actief de veiligheid van de door hen geleverde diensten moeten waarborgen, waarbij analyse van verkeersgegevens een rol mag spelen. Het laat tevens zien dat er wel beperkingen zijn wat is toegestaan in het licht van netwerkbeveiliging. De verwerking moet zich tot verkeersgegevens beperken en de inhoud van de 18 communicatie buiten beschouwing laten. Het doel van de verwerking is met deze overweging gegeven: “network and information security”.

14 15 16

17 18

Kamerstukken II 1997/98, 25 892, nr. 3, blz. 87; http://www.cbpweb.nl/wbpnaslag/2/Paginas/wbp-artikel-8-f.aspx. http://www.cbpweb.nl/wbpnaslag/2/Paginas/wbp-artikel-8-f.aspx. Zie ook de lezing van Alain Pannetrat (CNIL) tijdens de ENISA workshop on Botnet Detection, Measurement, Disinfection and Defence, Keulen, 10 maart 2011. Beschikbaar via: http://www.enisa.europa.eu/activities/Resilience-and-CIIP/critical-applications/botnets/workshop-presentations/alainpattetrat Zie de behandeling van art. 11.3a Tw hieronder (en voetnoot 25). Het verschil tussen verkeersgegevens en inhoud is problematisch aangezien verkeersgegevens vaak ook informatie geven over de inhoud van de communicatie. We hoeven hier echter op dit punt niet nader stil te staan, omdat hier niet de vraag voorligt of verkeersgegevens al dan niet iets over de inhoud van de communicatie zeggen, maar of de inhoud van de communicatie mag worden bekeken, bijvoorbeeld om vast te stellen dat een stukje botnetdata informatie bevat die van dien aard is dat de betrokkene waarop de gegevens betrekking hebben moet worden geïnformeerd.

15/27


Dit is eveneens van belang voor een beroep op art. 7 onder f Wbp als rechtvaardigingsgrond voor de verwerking van persoonsgegevens verkregen uit de botnetdata. Een mogelijk doel dat in onderhavige casus kan worden geformuleerd dat past binnen dit kader, is het bevorderen van het veiligheid van het internet binnen de SURFnet gebruikersgroep en het aanpakken van beveilingsproblemen. Dit belang geldt zowel voor de aangesloten instellingen als voor SURFnet fungerend als koepel van de instellingen in het hoger onderwijs. Dat een koepelorganisatie met een beroep op artikel 8 f Wbp gegevens mag verwerken ter behartiging van een gerechtvaardigd belang van de leden, vindt ondersteuning in het volgende citaat uit de MvT van de Wbp: “Een koepelorganisatie kan bijvoorbeeld in het belang van de bij haar aangesloten organisaties een registratie aanhouden van geconstateerde fraudegevallen.” (Kamerstukken II 1997/98, 25 892, nr. 3, blz. 89) In artikel 8 f is een toetsingskader besloten. De verwerking is uitsluitend toelaatbaar indien zij noodzakelijk is met het oog op belang van de verantwoordelijke of een derde en het belang van degene van wie de gegevens worden verwerkt niet prevaleert. De bepaling impliceert een motiveringsplicht voor de verantwoordelijke. Hij dient voor zichzelf verschillende vragen te beantwoorden, zoals: • •

• •

Is er werkelijk een belang dat verwerking van persoonsgegevens rechtvaardigt? Wordt met de verwerking een inbreuk gemaakt op belangen of fundamentele rechten van degene wiens gegevens worden verwerkt en zo ja, dient dan – afhankelijk van de ernst van de inbreuk – gegevensverwerking niet achterwege te blijven? Kan het doel dat met de verwerking wordt nagestreefd ook langs andere weg – zonder verwerking – worden bereikt? Is de verwerking in de mate die is beoogd evenredig aan het nagestreefde doel? (Kamerstukken II 1997/98, 25 892, nr. 3, blz. 86)

De noodzakelijkheidseis die in artikel 8 onder f besloten ligt, veronderstelt dat de verantwoordelijke op dergelijke vragen een bevredigend antwoord heeft. Desgevraagd dienen deze antwoorden ook zichtbaar te worden gemaakt, zodat zij eventueel door de rechter kunnen worden getoetst. De verantwoordelijke zal bij de afweging het proportionaliteits- en subsidiariteitsbeginsel in acht moeten nemen. Als het belang van de verantwoordelijke anderszins of met minder ingrijpende middelen kan worden gediend, dan is de voorgenomen gegevensverwerking niet toegestaan. De noodzaak van verwerking van de persoonsgegevens zal in verhouding tot het doel moeten worden beoordeeld. Dat betekent dat, alle belangen in ogenschouw genomen, de voorgenomen gegevensverwerking als noodzakelijk voor het doel moet worden beschouwd (Kamerstukken II 1997/98, 25 892, nr. 3, blz. 87). De verantwoordelijke zal op basis van art. 8 f Wbp ook de belangen van de betrokkenen moeten meewegen. Deze tweede toets vergt een nadere afweging, waarbij de belangen van de betrokkene een zelfstandig gewicht in de schaal leggen tegenover het belang van de verantwoordelijke. Met deze tweede toets wordt het proportionaliteitsvereiste nog eens extra benadrukt. Deze extra toets is aan het slot van het voorschrift opgenomen door middel van de zinsnede «tenzij het belang of de fundamentele rechten en vrijheden van de betrokkene, in het bijzonder het recht op bescherming van de persoonlijke levenssfeer, prevaleert». (Kamerstukken II 1997/98, 25 892, nr. 3, blz. 87). Het belang van verwerking van de persoonsgegevens moet zwaarder zijn dan de inbreuk op de persoonlijke levenssfeer die daarmee gemoeid gaat.

16/27


In het geval van de botnetdata kunnen het belang van de verantwoordelijke (SURFnet en aangesloten instellingen) en het belang van de betrokkenen (slachtoffers van het botnet) heel goed parallel lopen omdat SURFnet er naar streeft om de schade van het botnet zo veel mogelijk te beperken. Ook is goed te verdedigen dat de betrokkenen baat hebben bij het voorkomen van misbruik van gegevens en privacy inbreuken door botnets. Er is dus eerder sprake van een verbetering (of mogelijkheid tot herstel) van de privacy van de betrokkenen dan van een inbreuk wanneer SURFnet of aangesloten instellingen de botnetdata gebruiken om de betrokkenen te waarschuwen en/of the helpen. Het verwerken van de botnetdata is in dit licht noodzakelijk om slachtoffers te identificeren. Naast de plicht belangen van verantwoordelijke en betrokkene zorgvuldig af te wegen en hiertoe onderzoek te verrichten (onderzoeksplicht), moet de verantwoordelijk waarborgen voor de betrokkene bieden om diens belangen minimaal te schaden. Maatregelen in dit verband kunnen zijn, het opstellen van een gedragscode waarin voorschriften zijn opgenomen over het gebruik van de botnet data en de personen aan wie ze kunnen worden verstrekt, maar ook technische maatregelen (anonimiseren, dataminimalisatie, selectieve verstrekking van gegevens aan relevante derden, etc) vallen hieronder. Ik kom daar later op terug. Als voorbeeld van een verwerking op basis van het gerechtvaardigde belang van de verantwoordelijke behandelt de MvT de analyse van klantgegevens door een bank. Deze casus biedt enige verwantschap toont met het onderwerp van deze studie. “De belangen van de betrokkene zullen in mindere mate gewicht in de schaal leggen naarmate in zijn belang meer waarborgen voor een zorgvuldig gebruik van de gegevens zijn genomen. Zo kan een bank er een gerechtvaardigd belang bij hebben de betalingsverkeergegevens van bepaalde cliënten - bij voorbeeld cliënten die regelmatig op hun rekening rood staan of hoge kredieten hebben opgenomen en aflossingsproblemen hebben - te analyseren, bij voorbeeld om deze personen te kunnen adviseren met het doel hun betaalgedrag efficiënter te doen zijn. Duidelijk is dat een dergelijke analyse gerechtvaardigd is nadat de desbetreffende cliënten zijn benaderd met het verzoek een dergelijke analyse te mogen doen en zij in de gelegenheid zijn gesteld daartegen bezwaar te maken. Het ongevraagd analyseren en adviseren van de cliënt op basis van een analyse van zijn persoonlijke gegevens, zal in het algemeen niet door de onderhavige bepaling kunnen 19 worden gedragen.” Dit voorbeeld laat zien dat het verwerking van persoonsgegevens teneinde de betrokkenen te ’beschermen’ gerechtvaardigd is, maar dat daarbij de overige belangen (met name die van bescherming van de persoonlijke levenssfeer) in ogenschouw moeten worden genomen. De botnetcasus verschilt overigens wel van de bankcasus in die zin dat de verwerking van de gegevens hier (ook) op gericht is om vast te stellen wie benaderd moet worden. Het voorbeeld maakt eveneens duidelijk dat zorgvuldig moet worden nagegaan welke gegevens waarvoor verwerkt mogen worden. Voorbeelden van situaties waarin geen gerechtvaardigd belang bestaat zijn illustratief voor de grenzen. “de opslag van persoonsgegevens door een particulier recherchebureau zonder concrete onderzoeksopdracht louter voor het geval omtrent die personen mogelijk alsnog een dergelijke opdracht wordt ontvangen; - het opslaan van klantgegevens terwijl de rekening reeds is betaald ter fine van direct marketing zonder dat concrete voornemens bestaan om op

19

Kamerstukken II 1997/98, 25 892, nr. 3, blz. 88.

17/27


deze wijze een klantrelatie in stand te houden of waarbij de klant heeft laten weten daarin niet meer geïnteresseerd te zijn; - het bewaren van gegevens omtrent bezoekers van een pand terwijl deze reeds lang de instelling hebben verlaten en de gegevens niet meer van nut kunnen zijn om onregelmatigheden op te sporen omdat inmiddels is gebleken dat zich geen 20 onregelmatigheden hebben voorgedaan.” De bovenstaande beschouwing laat zien dat er mogelijkheden zijn om de botnetdata te gebruiken op basis van artikel 8 f Wbp. Het belang van vergroten van de veiligheid van het internet, voorkomen danwel verminderen van identiteitsfraude, beperken van schade door botnets kan in mijn ogen bepaalde verwerking van persoonsgegevens vergaard uit botnet C&C servers rechtvaardigen, te meer daar het belang van de betrokkenen (slachtoffers) hiermee gediend kan zijn. Dit betekent overigens niet dat daarmee de weg volledig vrij en zonder restricties is. Alvorens de complicaties nader te beschouwen is het zinvol om eerst een blik te werpen op de algemene randvoorwaarden die de Wbp stelt aan de verwerking van persoonsgegevens.

4.2

Randvoorwaarden vanuit de Wbp

Artikel 7 Wbp bepaalt dat persoonsgegevens alleen mogen worden verzameld voor ‘welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden’ (art. 7 Wbp). Dit betekent dat de verantwoordelijke helder zal moeten formuleren welke gegevens voor welke doelen worden verwerkt. Dit vereist inzicht in het soort gegevens dat in de botnetdata voorkomt en zorgvuldige bepaling van 21 doelen. Het doel moet worden bepaald voordat de gegevensverzameling begint en moet duidelijk zijn zodat tijdens de verzameling van gegevens kan worden getoetst of bepaalde gegevens noodzakelijk zijn voor dat doel. Het doel (of doelen) moeten uitdrukkelijk zijn omschreven, wat onder meer betekent dat het bij het College Bescherming Persoonsgegevens wordt gemeld (zie art. 27 Wbp). Voor de botnet data zal SURFnet restrictieve doelen moeten opstellen die kunnen gaan in de richting van: • • • •

•

het duiden van de aard en ernst van het botnet en het duiden van de door het botnet verkregen gegevens (emails, wachtwoorden, etc); het waarschuwen van betrokkenen dat hun computersysteem is geïnfecteerd door een botnet; het waarschuwen van partijen die mogelijk benadeeld kunnen zijn door acties voortvloeiende uit het botnet; in het licht hiervan, dat relevante gegevens worden verstrekt aan relevante derden, waaronder de bij SURFnet aangesloten instellingen die de gedupeerden/slachtoffers kunnen 22 waarschuwen; het nemen van maatregelen ter beperking van de activiteit van botnets.

Nadat gegevens zijn verzameld mogen ze worden gebruikt (verder verwerkt) indien deze verwerking verenigbaar is met het doel waarvoor de gegevens zijn verzameld (art. 9 lid 1 Wbp). Bij de afweging of verwerking onverenigbaar is met het oorspronkelijke vergaringsdoel moet de verantwoordelijke in ieder geval rekening houden met:

20 21 22

Kamerstukken II 1997/98, 25 892, nr 6 , blz 34. Zie voor handreikingen opinie 3/2013 on purpose limitation van de Artikel 29 werkgroep, 00569/13/EN WP 203. http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/files/2013/wp203_en.pdf Het gaat met name om organisaties die op basis van de botnetdata gerichte actie kunnen ondernemen. ISPs kunnen in veel gevallen een koppeling leggen tussen IP adressen in de botnetdata en hun ‘klanten’. Banken, bijvoorbeeld, zullen een dergelijke identificatie op basis van IP adres waarschijnlijk niet kunnen uitvoeren.

18/27


Artikel 9 lid 2 Wbp a. de verwantschap tussen het doel van de beoogde verwerking en het doel waarvoor de gegevens zijn verkregen; b. de aard van de betreffende gegevens; c. de gevolgen van de beoogde verwerking voor de betrokkene; d. de wijze waarop de gegevens zijn verkregen en e. de mate waarin jegens de betrokkene wordt voorzien in passende waarborgen. Verder zijn van direct belang artikel 10 lid 1 en artikel 11 van de Wbp die respectievelijk betrekking hebben op de bewaartermijn van persoonsgegevens en de relevantie van de gegevens voor het verwerkingsdoel. Artikel 10 Wbp 1. Persoonsgegevens worden niet langer bewaard in een vorm die het mogelijk maakt de betrokkene te identificeren, dan noodzakelijk is voor de verwerkelijking van de doeleinden waarvoor zij worden verzameld of vervolgens worden verwerkt. Artikel 11 Wbp voegt hier aan toe dat alleen gegevens mogen worden verwerkt die ter zake dienend zijn en niet bovenmatig zijn en ze moeten bovendien een juist beeld geven van de betrokkene (toereikend). Artikel 11 Wbp 2. Persoonsgegevens worden slechts verwerkt voor zover zij, gelet op de doeleinden waarvoor zij worden verzameld of vervolgens worden verwerkt, toereikend, ter zake dienend en niet bovenmatig zijn. 3. De verantwoordelijke treft de nodige maatregelen opdat persoonsgegevens, gelet op de doeleinden waarvoor zij worden verzameld of vervolgens worden verwerkt, juist en nauwkeurig zijn. Met name artikel 11 lid 1 is hier van belang. Er kan hier een onderscheid worden gemaakt tussen de situaties waarin volledige datasets verkregen uit botnet C&C-servers ter beschikking van SURFnet komen (zoals in het Citadel geval), en situaties waarin SURFnet of aangesloten instellingen zelfstandig beslissen gegevens uit een botnet of C&C-server te gaan verzamelen. In het tweede geval heeft de verantwoordelijke veel meer te kiezen ten aanzien van doelen en middelen en welke gegevens worden verzameld. In het eerste geval is de gegevensset min of meer gegeven en ligt de aard en vorm van persoonsgegevens vast. Op basis van artikel 11 lid 1 kan echter worden gesteld dat een selectie en filtering van gegevens zal moeten plaatsvinden voordat SURFnet de data nader kan analyseren. De selectie en filtering valt in strikte zin onder verwerking van persoonsgegevens en lijkt aanleiding te geven tot een vicieuze cirkel: alleen noodzakelijke gegevens mogen worden verwerkt, maar om vast te stellen of de gegevens noodzakelijk zijn, moeten ze worden verwerkt. De uitweg is beperkte verwerking om vast te stellen of verdere verwerking gerechtvaardigd is. Dit volgt 23 uit Artikel 29 Werkgroep opinie 02/2012 over gezichtsherkenning. De werkgroep stelt hierin dat verwerking van persoonsgegevens (in dat geval biometrische gegevens) is toegestaan teneinde te bepalen of verdere verwerking gerechtvaardigd is. In het Citadel geval moet van de verantwoordelijke

23

Article 29 Working Party. Opinion 02/2012 on facial recognition in online and mobile services, 00727/12/EN WP 192.

19/27


worden verwacht dat de gegevens in een eerste verwerkingsslag worden gefilterd op noodzakelijke gegevens voor de beoogde doelen en dat de rest wordt vernietigd. In dit licht kan een onderscheid worden gemaakt tussen gegevenssets die betrekking hebben op een bepaald individu (eigenlijk IP adres) en gegevens binnen zo’n set. De verantwoordelijke kan de gegevens die betrekking hebben op de IP-adressen die buiten het eigen domein liggen in beginsel uitfilteren. Met andere woorden SURFnet kan alle data die betrekking heeft op apparatuur met IPadressen buiten die welke zijn verstrekt door de aangesloten instellingen, verwijderen bij binnenkomst. Een dergelijke filterplicht is vergelijkbaar met de behandeling van no-hits bij automatische 24 kenteken herkenning (ANPR) bij de politie. Het Cbp heeft in januari 2010 geoordeeld dat “de politiekorpsen Rotterdam-Rijnmond en IJsselland in strijd met de Wet politiegegevens (Wpg) handelen door ‘no-hits’ voortvloeiend uit het gebruik van automatische kentekenherkenning (ANPR) 120 respectievelijk 10 dagen te verwerken. Automatische kentekenherkenning mag op grond van de Wpg voor de uitvoering van de dagelijkse politietaak onder voorwaarden worden toegepast. Alleen de ‘hits’ (dat zijn de kentekens die in de automatische vergelijking leiden tot een ‘match’ met een kenteken in het vergelijkingsbestand) mogen worden bewaard. Een 'no-hit' betekent dat een gescand kenteken niet voorkomt in het vergelijkingsbestand en dat dit kenteken dus niet wordt gezocht in het kader van de ANPR-actie. Deze kentekens moeten direct worden vernietigd.” Van de data overgebleven na filtering moeten alle inhoudelijke gegevens worden verwijderd die niet noodzakelijk zijn voor het omschreven doel. Het kan bijvoorbeeld wel noodzakelijk zijn vast te stellen of de dataset login-gegevens van relevante betrokkenen bevat omdat deze kunnen worden geïnformeerd over mogelijk misbruik van die gegevens, terwijl email berichten wellicht niet relevant zijn en derhalve moeten worden verwijderd.

4.3

Verwerking en verstrekking van botnetdata

De op een botnet C&C-server buitgemaakte dataset bevat naar alle waarschijnlijkheid gegevens over een grote verzameling personen waarvan maar een fractie SURFnet gebruikers betreft. Bovendien zal de dataset informatie bevatten die buiten het directe werkveld van SURFnet ligt. Zo zullen er inloggegevens aanwezig zijn van onder bij SURFnet aangesloten instellingen vallende apparatuur, maar ook van Facebook, Twitter en dergelijke, en zullen ook gegevens van bankrekeningen etc in de botnetdata aanwezig zijn. Dit levert verschillende complicaties op waarbij relevante vragen zijn: 25

a. Mag SURFnet gegevens verwerken van niet SURFnet gebruikers (geoperationaliseerd als IP adressen in ranges buiten die van de aangesloten instellingen)? b. Mag/moet SURFnet gegevens verstrekken aan andere ISPs? c. Mag SURFnet gegevens verwerken die betrekking hebben interacties van SURFnet gebruikers met partijen buiten de SURFnet personenkring? Bijvoorbeeld, mag SURFnet gegevens over banktransacties van studenten verwerken, bijvoorbeeld om de betreffende studenten te waarschuwen dat hun betalingsverkeer mogelijk is gecompromitteerd. d. Indien c bevestigend kan worden beantwoord, mag SURFnet gegevens verstrekken aan de communicatiepartner (bijv. een bank) van de SURFnet gebruiker?

24 25

Zie http://www.cbpweb.nl/Pages/pb_20100128_anpr.aspx De term SURFnet gebruikers betreft personen die tot de SURFnet personenkring behoren: medewerkers en studenten van bij SURFnet aangesloten instellingen.

20/27


In paragraaf 4.2 is betoogd dat de verwerkingsgrond op basis waarvan SURFnet en aangesloten instellingen de botnetdata mogen verwerken, het gerechtvaardigde belang (art. 8 onder f Wbp) van het bieden van een veilige infrastructuur en het tegengaan van misbruik van gegevens van de betrokkenen binnen de personenkring van het hoger onderwijs is. Een dergelijk rechtvaardiging gaat niet op voor de verwerking van gegevens die betrekking hebben op niet SURFnet gebruikers. De zorgplicht van SURFnet en aangesloten instellingen lijkt mij zich te beperken tot de eigen personenkring. Het is met andere woorden niet aan SURFnet om data te filteren en de verschillende ISPs pakketjes met gegevens van hun klanten te verstrekken. Er is geen zorgplicht die dit verplicht en art. 8 onder f Wbp laat het mijns inziens ook niet toe een dergelijke handeling te scharen onder gerechtvaardigd belang van SURFnet. Een andere mening over de reikwijdte van de zorgplicht van een ISP wordt ingenomen door 26 27 Ivanov in een lezing tijdens de eerste genoemde ENISA botnet workshop , waarin hij op basis van de Duitse implementatie van Directive 95/46/EC betoogt dat verstrekking van botnet data aan andere ISPs gerechtvaardigd is ter behartiging van de gerechtvaardigde belangen van die andere internet-providers, wanneer deze andere ISPs een gerechtvaardigd belang hebben in het detecteren, localiseren en tegengaan van onrechtmatig gebruik van hun netwerk. In zijn optiek mogen in een dergelijk geval IP-adres, timestamp en type aanval worden verstrekt. De ontvangende ISP mag de gegevens slechts gebruiken voor het verbeteren van de beveiliging. Naar mijn idee worden door dergelijke verstrekkingen buiten de eigen kring concepten zoals ‘doelbinding’, ‘zorgplicht’ en ‘gerechtvaardigde belangen van de verwerker’ zodanig opgerekt dat ze hun regulerende karakter verliezen. De uitwisseling van IP-adres, timestamp en type aanval tussen ISP’s is gebruikelijk en een belangrijke bron van informatie voor SURFcert en andere cert’s. ISP’s maken gebruik van honeypots en/of firewall/IDSen die aanvallen detecteren. Wanneer geen uitwisseling plaatsvindt van IP-adressen, timestamps en type aanval wordt verdediging lastig. Een mogelijke uitweg uit dit dilemma is verstrekking van het IP-adres minus het laatste octet, waardoor de ontvangende ISP wel informatie ontvangt over de aanval, maar vervolgens zelf actie zal moeten ondernemen om zijn eigen gebruikers te beschermen door eigen onderzoek naar de aanval. Wellicht dat het wel te verdedigen is dat de hele dataset overgedragen wordt aan de bevoegde opsporingsinstantie omdat een dergelijke verstrekking het algemeen belang van voorkomen van (verder) misbruik van persoonsgegevens en het verbeteren van de veiligheid op internet dient. Dat wil evenwel niet zeggen dat SURFnet geen actie moet of kan ondernemen richting derden. Voor openbare elektronische communicatiediensten geldt een meldplicht bij datalekken aan de Autoriteit Consument en Markt. Hoewel SURFnet geen openbare elektronische communicatiedienst in de zin 28 van de Telecommunicatiewet is en het in onderhavig geval niet gaat om datalekken in strikte zin, ligt

26 27 28

Zie: http://www.enisa.europa.eu/activities/Resilience-and-CIIP/critical-applications/botnets/workshop-presentations/ivoivanov-presentation Zie: http://www.enisa.europa.eu/activities/Resilience-and-CIIP/critical-applications/botnets/presentations-from-theworkshop-botnets-measurement-detection-disinfection-and-defence Zie uitspraak hoger beroep College van Beroep voor het bedrijfsleven, 22-6-2012, AWB 08/170 AWB 09/700, volgend op de uitspraak van rechtbank Rotterdam van 27-3-2009, AWB 08/519 TELEC-T1, http://uitspraken.rechtspraak.nl/inziendocument?id=ECLI:NL:RBROT:2009:BH9324

21/27


informering van de Autoriteit Consument en Markt conform art. 13a Tw wel in de rede, omdat de 29 botnetdata ook/vooral niet SURFnet gebruikers betreft. Artikel 11.3a Tw 1. De aanbieder van een openbare elektronische communicatiedienst stelt de Autoriteit Consument en Markt onverwijld in kennis van een inbreuk op de beveiliging, bedoeld in artikel 11.3, die nadelige gevolgen heeft voor de bescherming van persoonsgegevens die zijn verwerkt in verband met de levering van een openbare elektronische communicatiedienst in de Europese Unie. 2. De aanbieder, bedoeld in het eerste lid, stelt degene wiens persoonsgegevens het betreft onverwijld in kennis van een inbreuk in verband met persoonsgegevens indien de inbreuk waarschijnlijk ongunstige gevolgen zal hebben voor diens persoonlijke levenssfeer. 3. De kennisgeving aan de Autoriteit Consument en Markt en de persoon wiens persoonsgegevens het betreft, omvat in ieder geval de aard van de inbreuk in verband met persoonsgegevens, de instanties waar meer informatie over de inbreuk kan worden verkregen en de aanbevolen maatregelen om de negatieve gevolgen van de inbreuk te beperken. De kennisgeving aan de Autoriteit Consument en Markt omvat tevens de gevolgen van de inbreuk op de persoonsgegevens en de maatregelen die de aanbieder voorstelt of heeft getroffen om de inbreuk aan te pakken. 4. Indien de aanbieder van een openbare elektronische communicatiedienst geen kennisgeving als bedoeld in het tweede lid doet, kan de Autoriteit Consument en Markt, indien het van oordeel is dat de inbreuk in verband met persoonsgegevens waarschijnlijk ongunstige gevolgen zal hebben voor de persoonlijke levenssfeer van de persoon wiens persoonsgegevens het betreft, van de aanbieder verlangen dat hij die persoon alsnog in kennis stelt van de inbreuk. 5. De kennisgeving, bedoeld in het tweede lid, is niet vereist indien de aanbieder naar het oordeel van de Autoriteit Consument en Markt gepaste technische beschermingsmaatregelen heeft genomen waardoor de persoonsgegevens die het betreft, versleuteld of anderszins onbegrijpelijk zijn voor een ieder die geen recht heeft op toegang tot die gegevens. 6. De aanbieder van een openbare elektronische communicatiedienst houdt een overzicht bij van alle inbreuken in verband met persoonsgegevens. Dit overzicht bevat in elk geval de feiten en de in het derde lid bedoelde gegevens. 7. Bij of krachtens algemene maatregel van bestuur kunnen nadere regels worden gegeven met betrekking tot de in dit artikel bedoelde eisen met betrekking tot het verstrekken van informatie en de kennisgeving. De vier deelvragen kunnen nu meer expliciet worden beantwoord.

29

Merk op dat de melding aan gedupeerden dat zij het slachtoffer zijn van het botnet zoals dat in de vorige paragraaf is behandeld past bij de verplichtingen die aanbieders van openbare elektronische communicatiediensten hebben op basis van art. 11.3a lid 2 TW.

22/27


In antwoord op de eerste deelvraag – of SURFnet gegevens mag verwerken van niet SURFnet gebruikers (anders dan om vast te stellen dat het gaat om personen buiten de eigen kring) – is het antwoord volgens mij: nee. Het gerechtvaardigd belang van de verwerker beperkt zich tot de veiligheid van het eigen netwerk. De aangesloten instellingen mogen de gegevens van eigen gebruikers verwerken en SURFnet als koepelorganisatie mag de gegevens van de betrokkenen binnen de aangesloten instellingen verwerken. Dat alles wel in het licht van het gerechtvaardigde doel: gericht waarschuwen van betrokkenen en verbeteren van de veiligheid. Het antwoord op de tweede deelvraag – mag/moet SURFnet data verstrekken aan andere ISP’s – luidt volgens mij eveneens: nee. Er is geen zorgplicht en het gerechtvaardigd belang van de verwerker 30 beperkt zich tot de veiligheid van het eigen netwerk en strekt zich niet uit tot andere ISP’s. De derde vraag – mag SURFnet gegevens verwerken van interacties met partijen buiten de eigen personenkring – is lastiger te beantwoorden. Het betreft bij deze vraag niet alleen de vaststelling dat er een slachtoffer is binnen de eigen gelederen, maar ook met welke partijen dit slachtoffer heeft gecommuniceerd en welke relaties derhalve mogelijk zijn gecompromitteerd. Een vraag die hierbij aan de orde is of SURFnet of de aangesloten instellingen wel vast kunnen stellen welke partijen het hier betreft. Kan SURFnet, bijvoorbeeld, op basis van de botnet data bepalen dat student Wellinga (m/v) opererend vanuit IP-adres 137.56.133.59 (een IP-adres binnen de Tilburg University range) heeft gecommuniceerd met de Rabobank, Gmail, Facebook, en dat van die communicatie informatie zoals username/password, rekeningnummers etc in de botnet data voorkomt? Ik heb geen goed beeld over hoe de data die is (of kan worden) buitgemaakt op botnet C&C servers er uit ziet. De assumptie is dat ten minste verkeersgegevens (IP-adressen van beide partijen, datum en tijd, etc) beschikbaar zijn en dat er verder informatie beschikbaar kan zijn over rekeningnummers, usernames, passwords, pincodes, TANs, telefoonnummers, etc. SURFnet/aangesloten instellingen kunnen op basis van de verkeersgegevens vaststellen welke van hun gebruikers in de botnetdata voorkomen. Op basis van IP-adressen is het in beginsel vast te stellen met welke derden zij hebben gecommuniceerd. Daartoe zullen IP-adressen moeten worden gekoppeld aan instellingen (zoals banken). Dat is geen triviale taak voor zover het niet webgebaseerde diensten betreft. Dat de website van de Rabobank is te bereiken via IP-adres 145.72.70.20 is eenvoudig te achterhalen. Lastiger is het om vast te stellen via welk IP-adres internetbankieren plaatsvindt. Ook van communicatie die plaatsvindt via applicaties, zoals Skype of Messenger kan het lastiger zijn vast te stellen welke IP-adressen daarvoor worden gebruikt. Het vaststellen van de identiteit van dienstverlenende communicatiepartner is dus wellicht niet eenvoudig. Bovendien zijn er erg veel dienstverleners die mogelijk in de botnetdata voorkomen waardoor het aanleggen en bijhouden van tabellen van te waarschuwen instanties misschien ondoenlijk is. Het waarschuwen van de betrokkenen binnen de eigen personenkring over mogelijk gecompromitteerde 31 relaties is derhalve technisch wellicht lastig en praktisch ondoenlijk. Wanneer het technisch wel mogelijk blijkt om vast te stellen welke relaties mogelijk getroffen zijn door het botnet, dan lijkt het me verdedigbaar dat de betrokkenen geïnformeerd mogen worden over de identiteit van de wederpartij wanneer dit instellingen/organisaties betreft en waarborgen worden getroffen dat geen inhoudelijke informatie (username/password, rekeningnummers etc) wordt verstrekt

30

31

Ik ga er van uit dat SURFnet wel bevoegd, maar niet verplicht is de gegevens te verstrekken aan de bevoegde opsporingsinstanties. Dit is gebaseerd op art. 161 WvS “Ieder die kennis draagt van een begaan strafbaar feit is bevoegd daarvan aangifte of klachte te doen.” Het strafbare feit in casu kan wellicht worden geduid als computer vredebreuk (art. 138a WvS). Zoals een bekend voetballer ooit zei, “ieder nadeel heb z’n voordeel”. Als de betrokkene geïnformeerd kan worden over mogelijk gecompromitteerde relaties, geldt dat ook voor de wederpartij (bank bijvoorbeeld).

23/27


aan betrokkene en instelling. De melding aan betrokkene (bijv, een student) en instelling (bijv. bank) zou dus bijvoorbeeld moeten zijn: “Geachte Welling, u bent mogelijk slachtoffer van een botnet (bekend onder de naam ‘BadBo’). Er zijn gegevens aangetroffen in de op het botnet buitgemaakte gegevens die betrekking hebben op communicatie tussen IP-adres 137.56.133.59, dat volgens onze gegevens op 6 mei 2013 om 14:23 door u in gebruik was, en de Rabobank.” “Geachte Rabobank, u bent mogelijk slachtoffer van een botnet (bekend onder de naam ‘BadBo’). Er zijn gegevens aangetroffen in de op het botnet buitgemaakte gegevens die betrekking hebben op communicatie van één van onze medewerkers/studenten met de Rabobank vanaf een computer met IP-adres 137.56.133.59 op 6 mei 2013 om 14:23.” Dit vergt aan de kant van SURFnet/aangesloten instelling dat de identiteit schuilgaand achter het IPadres moet worden achterhaald (ten minste een e-mail adres) omdat anders niet met de betrokkene kan worden gecommuniceerd. Verder moet een contactpunt worden bepaald met de instelling aan de andere kant van de communicatie teneinde de betrokken instantie te kunnen informeren. Deze instantie zal op basis van de eigen loggegevens moeten achterhalen welke klant op het betreffende tijdstip vanaf het door SURFnet/instelling doorgegeven IP-adres heeft gecommuniceerd. Verstrekking van naam van de betrokkene is onnodig en onwenselijk. Daarmee is een deel van de derde en vierde deelvraag beantwoord. SURFnet/aangesloten instelling mag gegevens verstrekken aan communicatiepartners van SURFnet gebruikers. Er mag niet meer informatie worden verstrekt dan de ontvangende organisatie nodig heeft om de identiteit vast te stellen van de betrokkene. IP-adres en timestamp zullen derhalve doorgaans voldoende zijn aangezien transacties aan de kant van de dienstverlener worden gelogd.

24/27


5

Omgang met de data

In de voorgaande paragrafen is aangeduid of gegevens mogen worden verwerkt en verstrekt. De Wbp kent ook bepalingen omtrent de aard van de data en de verwerking daarvan. Een eerste vereiste is hiervoor al aan de orde geweest: dataminimalisatie. Dit beginsel komt tot uitdrukking in de artikelen 11 lid 1 Wbp en art. 10 lid 1 Wbp. In casu betekenen deze bepalingen dat de botnetdata geschoond moet worden en ontdaan van gegevens die niet strikt noodzakelijk zijn voor het nagestreefde doel. Ik heb al aangegeven dat SURFnet op een zeker moment de gegevens van niet SURFnet gebruikers dient te verwijderen alvorens nadere verwerking plaats te laten vinden. Mutatis mutandis zullen gegevens uit de basisset worden verstrekt aan derden dan zullen daaruit eerst de gegevens betreffende SURFnet gebruikers moeten worden gefilterd. Ook binnen verdere verwerking geldt dat niet relevante gegevens moeten worden verwijderd. De inhoudelijke data (zoals buitgemaakte usernames/passwords) zijn niet noodzakelijk voor de gestelde doelen – waarschuwen en verbeteren van de veiligheid –, en dienen derhalve te worden verwijderd. Wanneer informatie over een transactie tussen twee partijen in de dataset voorkomt kan worden aangenomen dat de relatie tussen die partijen mogelijk is gecompromitteerd, dat hoeft niet vastgesteld 32 te worden aan de hand van de inhoudelijke data zelf. Wanneer het niet nodig is om de betrokkenen te kunnen identificeren in de data, dan zal de data moeten worden geanonimiseerd of gepseudonimiseerd. Identificatie is noodzakelijk wanneer de betrokkene moet worden gewaarschuwd, maar er zijn verwerkingen denkbaar waarbij het niet gaat om de betrokkene, maar om de inhoud van de communicatie, bijvoorbeeld om vast te stellen wat voor soort diensten kwetsbaar zijn of in welke tijdstippen het botnet actief is. Voor dergelijke, meer onderzoeksmatige, activiteiten zal de data moeten worden ontdaan van identificerende kenmerken. Pseudonimisering is niet eenvoudig, zeker omdat de pseudoniemen mogelijk zijn te koppelen aan personalia in registers die zich bij dezelfde organisatie en onder verantwoordelijkheid van dezelfde verantwoordelijke bevinden. Dat deze koppeling niet door iedereen, en zeker niet eenvoudig, gelegd kan worden, doet hier niet aan af. De Artikel 29 Werkgroep schrijft hieromtrent in haar opinie 4/2007: “Gegevens kunnen zodanig worden gepseudonimiseerd dat de gegevens kunnen worden teruggevoerd tot hun oorsprong door gebruik te maken van ofwel correspondentielijsten van identiteiten en de bijbehorende pseudoniemen, ofwel algoritmen voor tweerichtingsversleuteling. Identiteiten kunnen ook zodanig worden verhuld dat re-identificatie onmogelijk is, bijvoorbeeld door middel van eenrichtingsversleuteling, waardoor over het algemeen geanonimiseerde gegevens ontstaan. De effectiviteit van de procedure die voor de pseudonimisering wordt toegepast, is afhankelijk van een aantal factoren: in welk stadium de procedure wordt toegepast, hoe sterk de beveiliging tegen herleiding is, de omvang van de populatie waarvan de betrokkene deel uitmaakt, de mogelijkheid om afzonderlijke transacties of records aan dezelfde persoon te koppelen, enz. De pseudoniemen moeten willekeurig en onvoorspelbaar zijn. Het aantal mogelijke pseudoniemen moet zo groot zijn dat nooit meer dan eens hetzelfde pseudoniem wordt gekozen. Is een hoge mate van beveiliging vereist, dan moet het aantal mogelijke pseudoniemen ten minste even groot zijn als het aantal waarden van veilige cryptografische hashfuncties.

32

Ware dit niet zo dan had de botnet C&C de data waarschijnlijk niet bewaard.

25/27


Herleidbare gepseudonimiseerde gegevens kunnen worden beschouwd als informatie over indirect identificeerbare personen (cursivering door RL). Door gebruik van een pseudoniem kunnen gegevens worden herleid tot de betrokkene, zodat diens identiteit kan worden vastgesteld, maar dit is slechts mogelijk in welbepaalde omstandigheden. In dergelijke gevallen zijn de regels voor gegevensbescherming van toepassing, maar de betrokkenen lopen bij de verwerking van dergelijke indirect identificeerbare informatie meestal slechts een gering risico. De regels worden in die gevallen dan ook soepeler toegepast dan bij de verwerking van informatie over direct identificeerbare personen.” (p. 19)

26/27


Literatuur Dittrich, D. en K.E. Himma (2005), 'Active Response to Computer Intrusions', in: H. Bidgoli. The Handbook of Information Security. Hoboken, N.J.: John Wiley & Sons (paginanummers verwijzen naar de online versie: http://papers.ssrn.com/sol3/papers.cfm?abstract_id=790585).

NCSC (2013), ‘Nadere analyse Pobelka-botnet’ door de Pobelska-taskforce (NSCS In samenwerking met AIVD, MIVD, NCTV, OM en Politie), 28 maart 2013: https://www.ncsc.nl/binaries/nl/actueel/nieuwsberichten/analyse-dataset-pobelka-botnetafgerond/2/Nadere%2Banalyse%2BPobelka.pdf

27/27

Acties tegen botnets door SURFnet en bij SURFnet aangesloten instellingen: privacy & data protectie aspecten

Recommend Documents