Online datalek-checkers bieden de mogelijkheid te zoeken op gelekte persoonsgegevens. Hebben zij daar wel een grondslag voor?
In dit artikel:
Bij een recente datadiefstal bij telecombedrijf Odido zijn persoonsgegevens buitgemaakt. Daarna verschenen commerciële "datalek-checkers" die de gelekte informatie doorzoekbaar aanbieden op naam, adres, e‑mail, IBAN enz. Ict‑jurist Arnoud Engelfriet bespreekt of die aanbieders daar een rechtsgrond voor hebben en welke risico’s meespeLen.
Strafrechtelijk geldt artikel 139g Sr: het is verboden gegevens te verwerven of te hebben waarvan je redelijkerwijs kunt vermoeden dat ze uit een misdrijf stammen. Volgens Engelfriet valt de Odido‑dump onder die omschrijving. Een voorwaarde in dat wetsartikel is dat het om “niet‑openbare” gegevens gaat, maar dat begrip is onduidelijk: de gegevens circuleren niet alleen via obscure .onion‑links maar zijn via relatief eenvoudige kanalen te vinden.
Datalek‑checkers beroepen zich op een uitzondering: openbaarmaking in het algemeen belang. Engelfriet erkent dat er maatschappelijk nut is—getroffenen willen weten wat er gelekt is, en bestaande diensten (zoals Have I Been Pwned) en zelfs de politie beschikken over kopieën—maar benadrukt dat “anderen doen het ook” formeel geen juridische rechtvaardiging geeft bij toetsing door een (straf)rechter.
Onder de AVG zijn twee mogelijke rechtsgronden relevant: vitale belangen van betrokkenen (in de praktijk zeer beperkt toepasbaar) en een gerechtvaardigd belang van de aanbieder. Voor dat laatste moet een zorgvuldige belangenafweging plaatsvinden: is het doel voldoende gewichtig, zijn minder ingrijpende middelen mogelijk, en zijn de privacyrechten van betrokkenen adequaat gewaarborgd?
Engelfriet noemt drie praktische toetspunten die vaak ontbreken bij zulke diensten: 1) respect voor AVG‑rechten (kunnen betrokkenen zich eenvoudig laten verwijderen?), 2) beveiliging van de dienst tegen downloaden of massale scraping, en 3) hoe en met wie de data technisch en juridisch gedeeld worden (bijvoorbeeld sitebouwers, hosting of het gebruik van Amerikaanse AI‑diensten brengt extra risico’s met zich mee). Als deze waarborgen onvoldoende zijn, is zowel strafrechtelijke als AVG‑handhaving relevant en kunnen aanbieders zich blootstellen aan juridische stappen of sancties.
Achtergrond: Arnoud Engelfriet is een ervaren internetrechtjurist en behandelt deze kwestie vanuit zowel strafrechtelijk als privacyperspectief.