Vestiging Amsterdam

  • Jollemanhof 12
  • 1019 GW Amsterdam
Telefoon
020 663 1941
E-mail
info@ictrecht.nl
KvK
34216164
btw
NL8223.30.040.B01
Terug naar overzicht

Is een (gehasht) wachtwoord een persoonsgegeven?

13 september 2013 Door

De Apple iPhone 5c en 5s zijn deze week aangekondigd. Eén van de nieuwe snufjes betreft Touch ID: je kunt je identificeren aan de hand van jouw eigen vingerafdruk. Daarmee wordt het overbodig om steeds jouw Apple ID wachtwoord in te voeren. Een vingerafdruk is natuurlijk, per definitie, een persoonsgegeven. Dat bracht mij echter tot de vraag of een ‘normaal’ wachtwoord eigenlijk een persoonsgegeven is? Immers: zo goed als iedere online dienstverlener waarbij je toegang kan hebben tot een eigen account hanteert een inlogprocedure waarbij je meestal aan de hand van een gebruikersnaam en een wachtwoord kan inloggen. Betreffen die inloggevens persoonsgegevens?

Dit is een belangrijke vraag, omdat op de verwerking van persoonsgegevens de Wet bescherming persoonsgegevens van toepassing kan zijn. Persoonsgegevens moeten in overeenstemming met deze wet worden verwerkt. Zo mogen persoonsgegevens alleen worden verwerkt voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden. Daarover moet je de gebruiker informeren door middel van een privacy verklaring. Het is dus cruciaal om te bepalen welke persoonsgegevens je als online dienstverlener verwerkt.

Wat zijn persoonsgegevens?

Om te beoordelen of inloggegevens als gebruikersnaam en wachtwoord persoonsgegevens zijn is het allereerst van belang om vast te stellen wat persoonsgegevens zijn. De wet definieert persoonsgegevens als alle gegevens die informatie kunnen verschaffen over een geïdentificeerde of identificeerbare natuurlijke persoon.

Is een gebruikersnaam een persoonsgegeven?

De gebruikersnaam is meestal een unieke naam zoals de eigen naam van de gebruiker, zijn/haar e-mailadres, of een pseudoniem/nickname. Een gebruikersnaam dient per definitie voor de identificatie van een natuurlijk persoon. We kunnen daarbij dus kort zijn: een gebruikersnaam (pseudoniem of niet) is een persoonsgegeven.

Is een (gehasht) wachtwoord een persoonsgegeven?

Maar hoe zit dit dan met een wachtwoord? Het wachtwoord (of password) betreft een geheime reeks aan tekens, gekoppeld aan de gebruikersnaam, waardoor degene die de combinatie kent toegang verschaft tot de online service. Dat wachtwoord is echter niet bekend bij de online dienstverlener, maar wordt door haar enkel in een gehashte vorm opgeslagen. Kan een persoon dan nog wel geïdentificeerd worden aan de hand van het gehashte bestand alleen?

Een gehasht wachtwoord betreft een opgeslagen versie van een wachtwoord dat niet te herleiden is tot het oorspronkelijke wachtwoord: er wordt namelijk gebruik gemaakt van een onomkeerbaar algoritme. Daardoor kan uit het wachtwoord wel de gehasthe vorm worden berekend (en worden gecontroleerd), maar uit de gehashte vorm niet het wachtwoord (en worden herleid).

Dus: zelfs al zou je het algoritme kennen waarmee de wachtwoorden worden gehasht, dan nog weet je niet wat het wachtwoord is. Je kan met de gehasthe vorm van een wachtwoord dus geen persoon identificeren. Het bij de online dienstverlener opgeslagen gehashte wachtwoord betreft in mijn optiek dus geen persoonsgegeven.

Het wachtwoord zelf – dus de niet-gehasthe reeks aan tekens die de gebruiker invoert om te kunnen inloggen – kan wat mij betreft wel als persoonsgegeven worden gezien. Het wachtwoord is immers juist bedoeld om, in combinatie met de gebruikersnaam, de gebruiker te identificeren. Daarbij maakt het niet uit of het wachtwoord zo simpel is als bijvoorbeeld de geboortedatum van de gebruiker (en dus an sich al direct een persoon zou kunnen identificeren), of een onleesbare reeks als @8vnv))32$V1 (en daarmee enkel in combinatie met de gebruikersnaam een persoon kan identificeren).

Is er sprake van verwerking van persoonsgegevens?

Met een antwoord op de vraag of er sprake is van persoonsgegevens zijn we er echter nog niet. Immers: Voor de toepasselijkheid van de Wet bescherming persoonsgegevens is het verder van belang om te beoordelen of er sprake is van een verwerking van persoonsgegevens. Een verwerking van persoonsgegevens betreft iedere handeling met betrekking tot persoonsgegevens – waaronder ook het in beeld brengen, doorzenden, met elkaar in verband brengen van persoonsgegevens, maar ook het afschermen(!) van persoonsgegevens. Zowel het invoeren van een wachtwoord, het controleren van het wachtwoord, als het hashen van een wachtwoord betreft dus een verwerking van persoonsgegevens. Van belang is wel dat er enige feitelijke macht moet kunnen worden uitgevoerd over die gegevens. Dat is het geval bij voornoemde handelingen: door middel van een volledig automatische procedure wordt het ingevoerde wachtwoord afgeschermd, gecontroleerd en gehasht.

Kortom: De wet bescherming persoonsgegevens is dus van toepassing op een inlogprocedure met gebruikersnaam en wachtwoord. In principe ben je dus onder meer verplicht om een privacy verklaring te hanteren, waarin de gebruiker wordt uitgelegd dat zijn/haar gebruikersnaam en wachtwoord worden verwerkt met als doel om te beoordelen of de gebruiker daadwerkelijk degene is die hij zegt dat hij is (authenticatie). Ook zal de gebruiker moeten worden geïnformeerd dat het wachtwoord in gehashte vorm wordt opgeslagen, zodat deze adequaat beveiligd is.

De vraag die dan nog overblijft is: wie is verantwoordelijk voor deze verwerkingen? Is dat de online dienstverlener, of de gebruiker zelf? Wordt vervolgt…

Wouter Dammers

Oud-medewerker en legal partner LAWFOX

Wouter Dammers is advocaat en oprichter van LAWFOX Advocatuur. LAWFOX is de ICTRecht-partner voor juridische geschillen. Hij ondersteunt zijn cliënten op een flexibele en innoverende manier bij juridische conflicten in de ICT. Focus, flexibiliteit en nieuwsgierigheid zijn dé kerneigenschappen van deze advocaat. Via LAWFOX vult Wouter ICTRecht aan in het mogelijk maken van de gang naar de rechter.


Er zijn 5 reacties

  1. Maar dan ietwat complkexer. Als ik een website bouw gebruik ik meestal OpenID zodat de gebruikers inloggen via Google, Facebook of een andere OpenID provider. Het enige wat ik van de provider ontvang is een unieke ID die ik vervolgens kan opslaan. Ook kan ik de provider om meer informatie vragen, zoals naam en email adres.
    De bedoeling van OpenID is ook dat de provider tegen de bezoeker vertelt: Site X wil toegang tot de volgende gegevens: [lijst van gegevens]. Gaat U hiermee akkoord? En dat zou dan de privacy-verklaring kunnen zijn.
    Toch?
    Ik sla dus geen gegevens van de bezoeker op, behalve dan de unieke ID die de provider mij geeft. Overige informatie vraag ik op bij de provider en de provider heeft ervoor gezorgd dat ik die gegevens ook mag opvragen.
    Is dit voldoende?

  2. Dit vind ik een interessante redenatie. Ik ben zelf geen juridisch expert, maar ik had ooit begrepen dat een gegeven een persoonsgegeven is wanneer er iemand is die a.d.h.v. dat gegeven in staat is om een persoon te identificeren.

    Die uitleg was gegeven in het kader van kentekens. De gemiddelde burger of bedrijf is niet in staat om, gegeven een kenteken, een persoon op gemakkelijke manier te identificeren, behalve als hij een auto met dat kenteken toevallig ziet langsrijden. Opsporingsinstanties hebben echter toegang tot gegevens van de RDW en kunnen middels die toegang wél heel snel de koppeling leggen. En omdat die laatste daartoe in staat is, zouden kentekens persoonsgegevens zijn.

    Als ik exact deze redenatie toepas op gehashte wachtwoorden, zou ik kunnen concluderen dat elke dienstverlener die (toevallig) hetzelfde hashingalgoritme gebruikt als ik in staat is om, gegeven het gehashte wachtwoord dat ik oplever, snel te kunnen herkennen of die hash ook voorkomt in zijn database. Indien dat het geval is, is er met zekerheid te zeggen dat welke gebruiker hetzelfde wachtwoord heeft als het wachtwoord dat we hebben opgezocht.

    Ik vraag me af waarom dit dan anders zou zijn.

    Het enige verschil dat ik me kan voorstellen is dat bijv. een kenteken een unieke persoon zal opleveren uit een database en een gehasht wachtwoord niet per sé, want verschillende mensen kunnen hetzelfde wachtwoord gebruiken.

  3. Dank voor je reactie Wim. Leuke casus. Ik zal jouw vraagstelling binnenkort behandelen in een aparte blog, goed?

    Ook Mark bedankt voor je reactie. Jouw uitleg klopt: als een entiteit de persoon kan identificeren is het gegeven een persoonsgegeven. Ook als je het zelf niet kan identificeren, maar met behulp van een ander wel, dan is het een persoonsgegeven. Die uitleg wordt bijvoorbeeld ook gegeven voor de argumentatie dat IP-adressen persoonsgegevens kunnen zijn (je kunt (in theorie) bij een hostingprovider de contactgegevens opvragen van meneer/mevrouw X achter IP-adres Y. Indirect kan je dus persoon X herleiden met IP-adres Y).

    Jouw vervolgredenatie klopt wat mij betreft ook, met de aantekening dat een wachtwoord an sich niet per sé een persoonsgegeven hoeft te zijn maar in combinatie met een gebruikersnaam wat mij betreft wel.

  4. Een aparte blogpost over het gebruik van OpenID? LEUK! 🙂
    Het interessante hierbij is dat je de provider vraagt om bepaalde informatie en de provider dit verzoek voorlegt aan de bezoeker, die eenmalig toestemming moet geven.
    Deze toestemming behoor je later ook weer in te kunnen trekken, hoewel weinig providers duidelijk maken hoe. Maar het komt er op neer dat het de provider is die de persoonsgegevens beheert en deze doorgeeft, na toestemming te hebben ontvangen, aan een derde partij tot de toestemming weer wordt ingetrokken.
    Het enige dat ik in principe hoef te bewaren is de ID die de provider mij heeft gegeven. Meer bewaren is overigens wel practisch maar dat hoeft geen unieke data te zijn. De ID maakt de account al uniek. En de ID is gekoppeld aan mijn domein dus als ik dat ID vanaf een andere site probeer te gebruiken dan is deze onbekend.

  5. Zijn ontegensprekelijk persoonlijke gegevens zoals je geslacht nog steeds persoonsgegevens als ze opgeslagen worden zonder link met andere gegevens zoals de username? Stel dat je bij elk bezoek het geslacht toevoegt aan een lange lijst (om later percentages te kunnen tonen op je site – bezocht door 60% vrouwen), zijn dat dan nog persoonsgegevens? Ik vermoed van niet aangezien je ze niet kan gebruiken om de personen die je site hebben bezocht te identificeren. In het beste geval hebben enkel mannen of vrouwen je site bezocht en kan je de helft van de mensheid uitsluiten.

    Moet je de persoon in praktijk kunnen terugvinden of enkel in theorie?
    Er zijn aanwijzingen voor ‘in praktijk’: zo zou een cookie met een uniek ID anders ook onder de privacywetgeving vallen, terwijl ik lees dat dit enkel zo is als er nog andere informatie bijstaat zoals bijvoorbeeld een IP.
    Er zijn ook aanwijzingen voor ‘in theorie’ want dat terugvinden van een persoon gebaseerd op een IP-adres werkt ook niet altijd (IP-adressen worden soms gedeeld – NAT, proxy), en het toegang hebben tot de logs van providers is voor zowat iedereen ook enkel ‘in theorie’ mogelijk, en in praktijk enkel door ook die verkregen informatie als persoonsgegevens te behandelen.

    Het lijkt me in elk geval voorzichtig uit te gaan van de veronderstelling wat nu in theorie kan, later misschien ook in praktijk zal kunnen.

    Daarom dat mijn definitie van persoonsgegevens – maar ik vermoed dat die niet helemaal overeenkomt met die van de wet – zou zijn: gegevens die genoeg informatie bevatten om een individu met een redelijke kans te identificeren. Dus voornamen niet, geboortedata ook niet, voornaam, achternaam en geboortedatum in combinatie wel. Cookies met Unieke ID’s ook (hier lijk ik niet op 1 lijn met de wet te zitten*). De informatiewaarde van een entiteit lijkt me dus belangrijk. Zo is de informatiewaarde van het gegeven geslacht slechts 1 bit, daarmee kan je niemand identificeren. De informatiewaarde van de combinatie voornaam, achternaam en geboortedatum is veel hoger en waarschijnlijk genoeg om iemand uniek te identificeren, de informatiewaarde van een cookie zo goed als zeker.
    (* de wet is heel eigenaardig. Unieke ID’s mag, maar unieke ID’s met extra informatie zoals hobby’s, die niet helpen iemand te identificeren, niet omdat dat een profiel zou zijn. Als er hier een probleem is, dan is dat er met de unieke ID’s, niet met het profiel, maar ik dwaal af.)

    Aangezien het hashen van een wachtwoord de informatiewaarde niet vermindert** denk ik niet dat je enig onderscheid kan maken tussen paswoorden of gehashte paswoorden en leidt dit enkel maar af van de echte vraag, namelijk hoeveel informatie een paswoord bevat.
    (**het legt wel een maximum op gebaseerd op de lengte van de hash, dus als de hash zeer klein is of de input zeer groot is vorige zin technisch niet juist, maar normaalgezien is er meer ruimte voor informatie in de hash dan er in een normaal paswoord zit)

    Aangezien paswoorden gegenereerd door dingen zoals KeePass gemakkelijk genoeg random bits bevatten om iedereen op deze planeet uniek te identificeren ben ik van mening dat je paswoorden best als persoonsgegevens behandelt. Dus ook zonder extra gelinkte informatie zoals een username.

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *

Uw persoonsgegevens gebruiken wij alleen voor het plaatsen en verwerken van uw reactie. Lees de privacyverklaring voor meer informatie