Het Openbaar Ministerie (OM) wilde de tienduizenden Nederlandse slachtoffers van de Genesis Market niet naar de Australische website Have I Been Pwned doorsturen, las ik bij Security.nl. Bij Genesis Market werden onder meer persoonsgegevens van zo’n 50.000 Nederlanders verhandeld, en na het oprollen van deze dienst ontwikkelde de politie de site Check Je Hack waar men kan nagaan of de eigen gegevens er ook in zitten. Maar deze uitleg doet wel enige wenkbrauwen fronsen.
De site Have I Been Pwned is wereldwijd volgens mij de bekendste zoekmachines om na te gaan of je mailadres in een bekend datalek voorkomt. Sinds 2021 is het bij de Amerikaanse FBI bijvoorbeeld standaard om dergelijke datasets te delen met de dienst. Het doet dus wat gek aan als men in Nederland dan zegt, wat is dat voor vage site:
“Bovendien wil je mensen die zich zorgen maken over hun onlineveiligheid, mensen bij wie mogelijk alle alarmbellen rinkelen, niet doorverwijzen naar een onbekende Engelstalige website en hen vragen om daar hun gegevens in te voeren. Zoiets wil je alleen doen op een website die je vertrouwt. Bovendien mogen wij dit soort gegevens niet zomaar delen met een private website. En dat willen we vooral ook niet”, laat [officier van justitie Jacqueline] Bonnes verder weten.
Ik zie hier twee argumenten. Allereerst dus het “onbekend” argument, en ten tweede een juridisch argument. Om met dat laatste te beginnen: het is inderdaad niet direct duidelijk op welke AVG-grondslag de politie of het OM persoonsgegevens naar een niet-Europese private partij mag verstrekken. Al is het maar omdat overdracht van persoonsgegevens naar buiten de EU momenteel wat ingewikkeld ligt.
Het “onbekend” argument doet voor de lezer hier denk ik gek aan, omdat ‘iedereen’ die site kent als de plek waar je moet wezen. De site wordt overal gepromoot waar het gaat over gelekte wachtwoorden, zoals in het standaardwerk Laat je niet hack maken van journalist Daniel Verlaan. Maar ik kan niet ontkennen dat de site in het Engels is en niet dezelfde huisstijl heeft als een Nederlandse overheidssite. Ook weet ik niet hoe veel Nederlanders weten wat ‘gepwnd’ zijn betekent. Dus ik snap dat je dan als overheidsdienst even achter de oren krabt of het handig is deze dienst aan te raden.
Arnoud