Hoe gaan deelnemers van No More Leaks om met persoonsgegevens?
De afgelopen jaren zijn honderden miljoenen (combinaties van) gebruikersnamen en wachtwoorden onrechtmatig openbaar geworden via datalekken. Lijsten met uitgelekte inloggegevens, zogenaamde combolijsten, worden door criminelen aangeboden op het internet en worden ook aangetroffen in strafrechtelijke onderzoeken. In het kader van No More Leaks verzamelt de politie combolijsten met inloggegevens, die verkregen zijn bij de uitvoering van de politietaak (artikel 3 Politiewet) en uit strafrechtelijke onderzoeken. De toetsing om lijsten vanuit strafrechtelijke onderzoeken te delen ligt voor wat betreft het opsporingsbelang bij de leider van het desbetreffende onderzoek, de betrokken zaaksofficier van justitie.
Om deze combolijsten met inloggegevens te kunnen delen, worden de inloggegevens gehasht met een sterk wiskundige algoritme. De precieze werkwijze van dit hashen kan hier niet worden gedeeld, we willen criminelen natuurlijk niet slimmer maken dan ze al zijn. Gehashte inloggegevens zijn gepseudonimiseerde persoonsgegevens die door het gebruik van aanvullende gegevens aan een persoon kunnen worden gekoppeld. De hashes betreffen dus nog steeds persoonsgegevens. Cryptografische hashmethoden zijn echter ontworpen om het zo moeilijk mogelijk te maken om van een hashwaarde terug te rekenen naar het oorspronkelijke gegeven.
Waarvoor gebruikt de politie persoonsgegevens?
De combolijsten met inloggegevens worden veelvuldig door criminelen gebruikt om strafbare feiten te plegen. Ze zijn belangrijk gereedschap in de gereedschapskist van de crimineel. De politie hanteert bij de bestrijding van cybercrime een integrale aanpak, waarbij wordt bekeken welke acties (voorkomen, verstoring, vervolging), of een combinatie daarvan, het meest effectief zijn. De persoonsgegevens in No More Leaks worden verzameld om te delen met participerende partijen, zodat zij deze vervolgens als controlelijst meenemen in hun inlogproces, als extra beveiligingsmaatregel. Als er vervolgens wordt ingelogd met een inlogcombinatie die voorkomt op de controlelijst, krijgt de klant - de accounthouder met het gelekte wachtwoord – bericht van het desbetreffende participerende bedrijf om zijn of haar wachtwoord te veranderen. Zo wordt het hele systeem veiliger: malafide inlogpogingen worden dan aan de voorkant ondervangen.
Met wie worden deze gegevens gedeeld?
De effectiviteit van No More Leaks groeit wanneer de politie meer lijsten aan bedrijven kan verstrekken. Een eenmalige verstrekking is onvoldoende om dit probleem tegen te gaan. Er worden immers regelmatig bedrijven en instellingen gehackt waarbij persoonsgegevens worden buitgemaakt. Incidentele verstrekking op grond van artikel 19 Wet politiegegevens (hierna: Wpg) zou daarmee voortdurend moeten worden gedaan. Een samenwerkingsverband zoals bedoeld in artikel 20 Wpg, waarbij structureel de lijsten met hashes kunnen worden verstrekt aan de participerende partijen, is efficiënter. Ten aanzien van het samenwerkingsverband is een convenant opgesteld waarin allerlei randvoorwaarden zijn opgenomen zoals grondslagen, inspanningen, beveiliging en intellectuele eigendomsrechten. Om mee te kunnen doen met No More Leaks, dienen partijen dit convenant of de toetredingsbepaling hiervan te ondertekenen.
Waar slaat de politie de persoonsgegevens op?
De gegevens worden op voor de politie beschikbare systemen intern opgeslagen. Er wordt geen aanvullende informatie opgeslagen of aangeleverd aan de deelnemers.
Hoe worden de persoonsgegevens beveiligd?
De politie neemt passende technische en organisatorische maatregelen om deze gegevens te beveiligen. De politie gebruikt moderne technieken om persoonsgegevens te beveiligen. Verder wordt er niet alleen naar de techniek gekeken, maar ook naar hoe de politie als organisatie met persoonsgegevens omgaat. Zo is er een autorisatieproces voor toegang tot systemen, informatie, gebouwen, werkruimten en speciale zones zodat medewerkers slechts toegang krijgen tot de voor hen relevante onderdelen en gegevens.