Een lezer vroeg me:
Je zult vast hebben gelezen over de aCropalypse, een kwetsbaarheid in Google- en Windows screenshot apps die bij het croppen weggesneden informatie behielden in het bestand. Wie zo’n screenshot dan publiceert, onthult daarmee meer informatie dan zhij wil. Op forums (zoals die ik beheer) staat het dus vol met potentieel kwetsbare screenshots – denk aan weggeknipte naam- en adresgegevens, privéberichten of misschien wel privéfoto’s. Er zijn tools om dat te doen, ook in batch op alle mediabestanden op het forum. Mijn moderators en ik vragen ons af of wij dat zouden mogen doen, en of we wellicht verplicht zijn vanuit onze ICT-zorgplicht om dit te doen nu we weten van deze enorme kwetsbaarheid?
Dit is inderdaad een hele pijnlijke: in plaats van een afbeelding te vervangen met zijn bijknipsel, worden de twee achter elkaar in hetzelfde bestand gestopt. Wie dus een beetje snuffelt in het bestand, kan zo het origineel terughalen. Concreet voorbeeld in deze tweet, waarbij men de volledige creditcardgegevens haalt uit een afgelakte(!) en bijgeknipte crop van een screenshot van een mail waarin (zogenaamd) de plaatser een creditcard uitgereikt krijgt. Hetzelfde kan dus spelen met huisadressen, herkenbare foto’s van je kinderen of contactgegevens die je niet bedoelde te delen.
Wie dus screenshots ergens heeft gepubliceerd of gedeeld die waren bijgewerkt met deze tools (de Markup tool van Google Pixel, Snip & Sketch for Windows 10 en Snipping Tool for Windows 11) kan dus een serieus probleem hebben. Weghalen en vervangen is dus het devies, alleen waar stonden ze ook allemaal weer?
Een forumbeheerder of image-hostingorganisatie kan in principe bij alle afbeeldingen, en zou ze met een detectie-script kunnen controleren en opschonen. Alle afbeeldingen worden dan ontdaan van de originele informatie, zodat alleen het (beoogde) screenshot met eventuele strepen en andere tekeningen overblijft. Daarmee zou de kwetsbaarheid verholpen zijn, althans voor de kopie op die site – als een derde al een kopie gedownload heeft, dan is daar niets meer aan te doen.
Nergens in de wet staat een expliciet verbod, ook nergens in de wet staat een expliciete plicht om zoiets te doen. Je komt dan inderdaad uit bij de zorgplicht voor een dienstverlener, die bepaalt dat je moet doen wat een “goed opdrachtnemer” zou doen (art. 7:401 BW). Dat is net zo’n vage term als de redelijkheid en billijkheid, dus het komt neer op een geschikte redenering.
Als eerste zullen mensen misschien denken, als beheerder of hoster ben je niet aansprakelijk voor wat mensen op je site publiceren. Dat klopt (art. 6:196c BW en vanaf 1 januari 2024 artikel 6 DSA, zie mijn nieuwe boek) maar betekent niet dat je dus niet mág ingrijpen. Het betekent alleen dat als er claims komen over die inhoud, je daar geen gehoor aan hoeft te geven. De huidige wet zegt “niet aansprakelijk”, de DSA voegt toe dat het moet gaan om “illegal information” maar dat lijkt niet echt een serieuze beperking van de oude regel te zijn. Ook staat er zowel nu als in de DSA dat je geen actieve zoekplicht hebt. Als je dus in het algemeen weet dat de aCropalypse bestaat, of dat er bij jouw forum best eens screenshots kunnen zijn die hieraan lijden, dan nog móet je niet in actie komen. Dat beperkt dus je zorgplicht.
Tegelijkertijd: het mág wel, want niets in de wet verbiedt je om actief te gaan zoeken. En het is ook niet zo dat je dan automatisch aansprakelijk wordt voor de afbeeldingen die je hebt gemist, juist omdat je dit automatisch doet met een tool die checkt op technische kenmerken. Ook over andersoortige claims over de opgeschoonde afbeeldingen maak ik me geen zorgen, je hebt immers geen idee wat daar staat omdat je het met een automatische tool deed, dus hoezo weet je dan ineens dat er iets anders mis kon zijn? Ik zie ook niets in het argument dat je dan ineens ook op criterium X of eigenschap Y zou moeten gaan controleren omdat je hebt laten zien dit te kunnen.
De enige reële tegenwerping die ik kan bedenken is bij afbeeldingen die je incorrect bewerkt. Dan maak je concreet iets stuk in een publicatie van een gebruiker. Maar ten eerste is de kans daarop vrij klein, wederom omdat je het met een tool doet die specifiek dit probleem oplost, en de oplossing is vrij rechttoe rechtaan, namelijk het weghalen van de ‘oude’ afbeelding die technisch eenduidig herkenbaar is in het bestand. Ten tweede zie ik zo even niet de schade: je beoogde een screenshot te plaatsen, wat er nu staat ís een screenshot, wat is er nu precies mis?
Arnoud