De online game Habbo Hotel heeft de 15-jarige Hans Schröder voor de rechter gesleept omdat hij een groot beveiligingslek constateerde en hier netjes melding van maakte. Habbo Hotel was hem in eerste instantie dankbaar om hem vervolgens voor computervredebreuk aan te klagen. Een minderjarige, die voorkomt dat duizenden persoonsgegevens op straat komen te liggen, op deze manier publiekelijk ‘belonen’…..
/> Dan zou je zeggen dat Habbo Hotel erg zeker van zijn zaak is en op zijn minst zelf netjes voldoet aan alle regels uit de Wet Bescherming Persoonsgegevens (WBP). Of toch niet?
Lek
/> Schröder ontdekte in 2011 samen met een vriend dat middels het help-systeem van het spel makkelijk toegang kon worden verkregen tot de (persoons)gegevens van alle gebruikers. Na het aanmaken van een account kregen zij namelijk automatisch een inlog en toegang tot het help-systeem. Door het account in het help-systeem werden zij automatisch als medewerker van Habbo Hotel gekwalificeerd en zodoende konden zij informatie inzien van gebruikers.
Aan NUtech vertelt Schröder:
“Je kon bij gegevens van 15.000 mensen komen die helptickets hadden aangemaakt. Dan zag je gebruikersnaam, e-mailadres, titel van het bericht en de inhoud. Je kon alle informatie gewoon exporteren. Daar kun je ook behoorlijk misbruik van maken en dat moest worden gemeld.”
In eerste instantie reageerde Habbo Hotel nog dankbaar, maar later deden zij toch aangifte van computervredebreuk. Nadat het Openbaar Ministerie (OM) oordeelde dat er geen strafrechtelijk onderzoek zou worden gestart, nam Habbo Hotel hier geen genoegen mee.
Artikel 12 Strafvordering
/> Met een zogeheten “artikel 12 Sv-procedure” probeerde Habbo Hotel de minderjarige jongen alsnog voor de rechter te slepen. Dit artikel bepaalt namelijk dat als je als slachtoffer het oneens bent met zo’n afwijzing, je het gerechtshof kunt vragen om het OM te verplichten tóch te gaan vervolgen.
Schröder en vriend werden vervolgens verhoord, maar Habbo Hotel trok zich vervolgens terug en liet de aanklacht vallen. Waarom? Stonden ze juridisch niet sterk, bang voor reputatieschade of overtreden ze zelf ook de regels?
Computervredebreuk
/> Habbo Hotel beschuldigde de jongens van computervredebreuk, oftewel het opzettelijk en wederrechtelijk binnendringen in een computersysteem of netwerk (artikel 138ab lid 1 sr). Dit is een misdrijf en hierop staat een straf van maximaal 1 jaar cel of geldboete van 16.750 euro .
Op basis van de bovengenoemde informatie – die wellicht wat eenzijdig is – is het zeer de vraag of het handelen van de jongens kan worden gekwalificeerd als computervredebreuk. Als de jongens daadwerkelijk automatisch als medewerker van Habbo Hotel werden aangemerkt en zodoende de gegevens konden inzien, lijkt mij dat geen vorm van het opzettelijk en wederrechtelijk binnendringen.
Expliciete toestemming
/> Na de beschuldigingen van Habbo Hotel zou je verwachten dat zij zelf netjes conform de wet omgaan met de persoonsgegevens van de gebruikers van het online spel. Een korte blik op hun privacyverklaring en de registratieprocedure leert echter dat dit niet het geval is.
In haar privacyverklaring stelt Habbo:
Habbo NL vindt het belangrijk om de door jou verstrekte gegevens en overige informatie die in overeenstemming met dit Privacybeleid wordt verkregen met alle zorgvuldigheid en vertrouwelijkheid te behandelen. Daarom houdt Habbo NL zich zowel aan de Wet Bescherming Persoonsgegevens (WBP), de Telecommunicatiewet (Tw) als aan de gedragscodes van de DDMA (Dutch Dialogue Marketing Association) en Emma (E-mailMarketing Associatie Nederland).
We pakken er dan maar even een van de belangrijkste bepalingen uit de Wet Bescherming Persoonsgegevens (WBP) uit. Artikel 8 lid 1 WBP stelt dat persoonsgegevens slechts mogen worden verwerkt indien de betrokkene voor de verwerking zijn ondubbelzinnige toestemming heeft verleend.
In de privacyverklaring staat bijvoorbeeld dat jouw persoonsgegevens aan allerlei derden kan worden verstrekt:
Naast de hierboven genoemde doeleinden kunnen we jouw Persoonlijke Informatie ook openbaar maken aan:
- (mogelijke) kopers, investeerders, adviseurs en andere derden die betrokken zijn bij een mogelijke of daadwerkelijke verkoop..etc..met betrekking tot Habbo……
- Service providers die door ons… zijn ingeschakeld om werkzaamheden te verrichten of diensten te verlenen, zoals hosting, reclame en marketing….
- Instanties die zich bezighouden met het beoordelen van kredietwaardigheid…..
- Overheids- en officiële instanties, voor zover wettelijk vereist….
- Onze verzekeraars en adviseurs…….
Volgens diezelfde verklaring ga jij hier als gebruiker mee akkoord:
Door gebruik te maken van de Website ga je er mee akkoord dat wij jouw Persoonlijke Informatie verzamelen, vastleggen en verwerken op de wijze zoals in dit Privacybeleid beschreven.
Ja zo werkt het dus niet, althans niet volgens de wet. Dit is absoluut geen expliciete toestemming!
Voor dit laatste kan je denken aan een tekst- waarin duidelijk staat omschreven aan welke derden jouw persoonsgegevens worden verstrekt – in het registratieformulier met daarbij een hokje dat je dient aan te kruisen waarin je toestemming verleent aan Habbo Hotel voor deze verwerking.
Maar elke vorm van deze expliciete toestemming – heb zelf het registratieproces even doorlopen -ontbreek als jij je als gebruiker wilt registreren.
Beveiliging
/> Tevens vereist de WBP dat Habbo zorgt voor passende technische en organisatorische maatregelen ten uitvoer om persoonsgegevens te beveiligen tegen verlies of tegen enige vorm van onrechtmatige verwerking.
Habbo Hotel laat aan NUtech weten:
“De veiligheid van de gebruikers is enorm belangrijk voor ons en we zijn gedreven een leuke en veilig community te bieden. Mocht die ooit in gevaar komen dan zullen we altijd in het belang van de gebruikers handelen.”
Oké, Habbo gebruikt wel netjes SSL bij de registratieprocedure. Echter, hoe handel je in het belang van gebruikers als je goedwillende tipgevers gaat vervolgen en hoe serieus neem je eigenlijk je beveiliging als je dit soort triviale lekken open laat staan?
Meld je nu aan voor één van de nieuwsbrieven van ICTRecht en blijf op de hoogte van onderwerpen zoals AI, contracteren, informatiebeveiliging, e-commerce, privacy, zorg & ICT en overheid.