Legitimate Interest Assessment Abuse Informatie - juli 2021

Door: Privacy Management Partners

Download het volledige rapport as pdf - Heeft u feedback, mail ons via feedback@abuse.nl.

Waarom

Het Anti Abuse Netwerk is een samenwerking van partijen in de aanpak van abuse. Doelstelling van AAN is het verbeteren van de samenwerking tussen bedrijfsleven, overheid, non-profitsector en de wetenschap op het slimmer organiseren van de informatiedeling op abuse. Abuse is het misbruik maken van internetvoorzieningen. Door de eindgebruiker, systeemeigenaar of een handelingsbekwame partij te informeren over een gesignaleerde abuse, kan deze de abuse beëindigen. Hiermee wordt zowel de systeemcomponent van de eindgebruiker veiliger als het internetgebruik als geheel en daarmee de veiligheid van andere internetgebruikers..

Vraagstelling

Abuse informatie kan als persoonsgegeven worden opgevat. Eén van de vraagstukken bij het verwerken en delen van abuse informatie is hoe dit zich verhoudt tot de Algemene Verordening Gegevensverwerking (AVG). De vraag in dit onderzoek is wat de mogelijkheden zijn om in het particuliere domein abuse informatie te ontvangen, te veredelen en te delen op basis van gerechtvaardigd belang. Dit onderzoek wordt uitgevoerd middels een Legitimate Interest Assessment (LIA).

Scope

Wat wordt in dit onderzoek als abuse beschouwd? De AAN-partijen werken op dit moment aan de aanpak van zogenoemde abuse van technologie. Deze bestaat uit:

  1. Ongewenste configuraties, waardoor het voor een kwaadwillende mogelijk is een systeem te misbruiken.
  2. Kwetsbaarheden van een systeem waardoor een kwaadwillende misbruik kan maken door het iets anders te laten doen dan waarvoor het origineel bedoeld was.
  3. Ongewenst gebruik waarbij een systeem wordt gebruikt voor het uitvoeren van activiteiten die ongewenst of zelfs illegaal zijn. In deze situaties wordt de eindgebruiker, c.q. systeemeigenaar of beheerder van het systeem geïnformeerd op de abuse, waarna deze de abuse kan beëindigen.

Buiten scope

Wat valt buiten scope van dit onderzoek? Onder abuse kan ook ongewenste content (bijvoorbeeld kinderporno) of het lekken van persoonsgegevens worden verstaan. Dit wordt (nog) niet door AAN-partijen aangepakt en vergt in relatie tot de AVG andere afwegingskaders.
Ook zijn er partijen die informatie met elkaar delen aangaande ‘bedreigende’ IP-adressen. Hierdoor kan een systeemeigenaar of een beheerder het systeem beveiligen tegen dit IP-adres en onderzoeken of vanuit dit IP-adres al kwaad is geschied.
Abuse informatie die zich kwalificeert als strafrechtelijke gegevens ligt niet in de scope van dit onderzoek. Een signaal dat iemand slachtoffer is van een strafbaar feit is overigens geen strafrechtelijk gegeven met betrekking tot het slachtoffer. Er is sprake van een strafrechtelijk gegeven als er een herleidbaarheid is tot de plegers van het strafbare feit. Als dit type informatie, dus met mogelijke herleidbaarheid tot de plegers, in de toekomst wel in scope komt van de abuse meldingen, dan dient er een nieuwe afweging plaats te vinden.

Processen

Er zijn in hoofdlijnen drie processen:

  1. Ontvangen van bulk abuse-signalen door een centraal meldpunt vanuit vertrouwde notifiers. Bij dit meldpunt zijn partijen aangesloten met een onafhankelijk netwerk met eigen verbindingen naar het internet. Een aangesloten partij is een ‘AS-beheerder’ en beheert AS- blokken met IP-nummers. Het centraal meldpunt ontdubbelt de ontvangen meldingen en splitst deze op en verstrekt deze naar de aangesloten deelnemers. In de context van dit onderzoek zijn er twee centrale meldpunten.
    Voor internet access providers is dat meldpunt het Abuse Information Exchange. De deelnemers van het Abuse Information Exchange hebben een directe klantrelatie met de eindgebruiker en informeren de betreffende eindgebruiker dat deze abuse heeft. Dit kan een zakelijke eindgebruiker of een consument zijn.
    Hosting, managed service providers en andere digitale dienstverleners met een eigen aansluiting op het internet (AS-beheerder) zijn aangesloten op het meldpunt CleanNetworks van NBIP. Deze bij CleanNetworks deelnemende partijen hebben meestal geen directe klantrelatie met de eindgebruiker, maar leveren diensten aan digitale dienstverleners die blokken van IP-adressen ‘huren’ van de AS-beheerder. Ook kan deze ‘huurder’ weer diensten leveren aan andere digitale dienstverleners die IP-adressen huren van deze huurder. De abuse kan de zakelijke of consument eindgebruiker treffen, maar kan ook op een systeemcomponent van een digitale dienstverlener plaatsvinden. De abuse meldingen worden in het domein van de deelnemer van het meldpunt opgesplitst en doorgestuurd naar een ‘handelingsbekwame partij’ die de technische en organisatorische mogelijkheden heeft om de abuse te beëindigen.
  2. Het centrale meldpunt verstrekt op geaggregeerd niveau aan een niet-deelnemer dat deze abuse heeft in diens domein. Dit wordt ongevraagd informeren genoemd. Deze partij wordt daarmee bewust van de abuse en kan daarop actie ondernemen. Ook ontstaat hiermee benchmark informatie waardoor het voor de markt duidelijker wordt hoe AS-beheerders presteren op de aanpak van abuse in het eigen domein.
  3. Het actief scannen van Nederlandse IP-adressen op een bepaald type kwetsbaarheid of misconfiguratie en de betreffende eindgebruiker/systeemeigenaar hierop informeren. Deze kan daarop die abuse beëindigen. Dit proces wordt uitgevoerd door DIVD.

Notificeren en verhelpen van abuse

Conclusies

  1. Voor zover de abuse informatie kwalificeert als persoonsgegevens (wat meestal niet het geval is), kan de informatie worden verwerkt op grond van artikel 6(1)(f) AVG (gerechtvaardigd belang). Een voorwaarde hiervoor is dat deze informatie wordt uitgesplitst naar de partij die de abuse kan verhelpen en dat deze zich netjes aan de basisvoorwaarden van de AVG houdt.
  2. Deze conclusie geldt niet als de abuse informatie kwalificeert als strafrechtelijke gegevens over daders (out-of-scope van dit rapport). Indien dit soort informatie in de toekomst in de scope komt, dient een nieuwe afweging gemaakt te worden. Zo is bijvoorbeeld het verwerken van strafrechtelijke gegevens als dienstverlening aan derden niet toegestaan zonder vergunning op grond van de Wet op de particuliere beveiligingsorganisaties en recherchebureaus. Bij gebrek daaraan is een vergunning van de Autoriteit Persoonsgegevens (AP) vereist (art. 33 lid 4 UAVG). Het is wél toegestaan om strafrechtelijke gegevens te verwerken om je eigen belangen of dat van je personeel te beschermen (art. 33 lid 2 UAVG). Als abuse-informatie die kwalificeert als strafrechtelijke persoonsgegevens in de toekomst wél in scope komt van de activiteiten van AAN, dan adviseren wij een wetswijziging in art. 33 UAVG op dit punt.
  3. Geaggregeerde informatie is -mits de groepsgrootte groot genoeg is- geen persoonsgegeven. Het verstrekken van geaggregeerde abuse informatie aan niet-aangesloten partijen valt dan ook niet onder de AVG, zodat er vanuit dat punt geen belemmeringen zijn om het te doen.