Is een (gehasht) wachtwoord een persoonsgegeven?

De Apple iPhone 5c en 5s zijn deze week aangekondigd. Eén van de nieuwe snufjes betreft Touch ID: je kunt je identificeren aan de hand van jouw eigen vingerafdruk. Daarmee wordt het overbodig om steeds jouw Apple ID wachtwoord in te voeren. Een vingerafdruk is natuurlijk, per definitie, een persoonsgegeven. Dat bracht mij echter tot de vraag of een 'normaal' wachtwoord eigenlijk een persoonsgegeven is? Immers: zo goed als iedere online dienstverlener waarbij je toegang kan hebben tot een eigen account hanteert een inlogprocedure waarbij je meestal aan de hand van een gebruikersnaam en een wachtwoord kan inloggen. Betreffen die inloggevens persoonsgegevens?

Dit is een belangrijke vraag, omdat op de verwerking van persoonsgegevens de Wet bescherming persoonsgegevens van toepassing kan zijn. Persoonsgegevens moeten in overeenstemming met deze wet worden verwerkt. Zo mogen persoonsgegevens alleen worden verwerkt voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden. Daarover moet je de gebruiker informeren door middel van een privacy verklaring. Het is dus cruciaal om te bepalen welke persoonsgegevens je als online dienstverlener verwerkt.

Wat zijn persoonsgegevens?

Om te beoordelen of inloggegevens als gebruikersnaam en wachtwoord persoonsgegevens zijn is het allereerst van belang om vast te stellen wat persoonsgegevens zijn. De wet definieert persoonsgegevens als alle gegevens die informatie kunnen verschaffen over een geïdentificeerde of identificeerbare natuurlijke persoon.

Is een gebruikersnaam een persoonsgegeven?

De gebruikersnaam is meestal een unieke naam zoals de eigen naam van de gebruiker, zijn/haar e-mailadres, of een pseudoniem/nickname. Een gebruikersnaam dient per definitie voor de identificatie van een natuurlijk persoon. We kunnen daarbij dus kort zijn: een gebruikersnaam (pseudoniem of niet) is een persoonsgegeven.

Is een (gehasht) wachtwoord een persoonsgegeven?

Maar hoe zit dit dan met een wachtwoord? Het wachtwoord (of password) betreft een geheime reeks aan tekens, gekoppeld aan de gebruikersnaam, waardoor degene die de combinatie kent toegang verschaft tot de online service. Dat wachtwoord is echter niet bekend bij de online dienstverlener, maar wordt door haar enkel in een gehashte vorm opgeslagen. Kan een persoon dan nog wel geïdentificeerd worden aan de hand van het gehashte bestand alleen?

Een gehasht wachtwoord betreft een opgeslagen versie van een wachtwoord dat niet te herleiden is tot het oorspronkelijke wachtwoord: er wordt namelijk gebruik gemaakt van een onomkeerbaar algoritme. Daardoor kan uit het wachtwoord wel de gehasthe vorm worden berekend (en worden gecontroleerd), maar uit de gehashte vorm niet het wachtwoord (en worden herleid).

Dus: zelfs al zou je het algoritme kennen waarmee de wachtwoorden worden gehasht, dan nog weet je niet wat het wachtwoord is. Je kan met de gehasthe vorm van een wachtwoord dus geen persoon identificeren. Het bij de online dienstverlener opgeslagen gehashte wachtwoord betreft in mijn optiek dus geen persoonsgegeven.

Het wachtwoord zelf – dus de niet-gehasthe reeks aan tekens die de gebruiker invoert om te kunnen inloggen – kan wat mij betreft wel als persoonsgegeven worden gezien. Het wachtwoord is immers juist bedoeld om, in combinatie met de gebruikersnaam, de gebruiker te identificeren. Daarbij maakt het niet uit of het wachtwoord zo simpel is als bijvoorbeeld de geboortedatum van de gebruiker (en dus an sich al direct een persoon zou kunnen identificeren), of een onleesbare reeks als @8vnv))32$V1 (en daarmee enkel in combinatie met de gebruikersnaam een persoon kan identificeren).

Is er sprake van verwerking van persoonsgegevens?

Met een antwoord op de vraag of er sprake is van persoonsgegevens zijn we er echter nog niet. Immers: Voor de toepasselijkheid van de Wet bescherming persoonsgegevens is het verder van belang om te beoordelen of er sprake is van een verwerking van persoonsgegevens. Een verwerking van persoonsgegevens betreft iedere handeling met betrekking tot persoonsgegevens – waaronder ook het in beeld brengen, doorzenden, met elkaar in verband brengen van persoonsgegevens, maar ook het afschermen(!) van persoonsgegevens. Zowel het invoeren van een wachtwoord, het controleren van het wachtwoord, als het hashen van een wachtwoord betreft dus een verwerking van persoonsgegevens. Van belang is wel dat er enige feitelijke macht moet kunnen worden uitgevoerd over die gegevens. Dat is het geval bij voornoemde handelingen: door middel van een volledig automatische procedure wordt het ingevoerde wachtwoord afgeschermd, gecontroleerd en gehasht.

Kortom: De wet bescherming persoonsgegevens is dus van toepassing op een inlogprocedure met gebruikersnaam en wachtwoord. In principe ben je dus onder meer verplicht om een privacy verklaring te hanteren, waarin de gebruiker wordt uitgelegd dat zijn/haar gebruikersnaam en wachtwoord worden verwerkt met als doel om te beoordelen of de gebruiker daadwerkelijk degene is die hij zegt dat hij is (authenticatie). Ook zal de gebruiker moeten worden geïnformeerd dat het wachtwoord in gehashte vorm wordt opgeslagen, zodat deze adequaat beveiligd is.

De vraag die dan nog overblijft is: wie is verantwoordelijk voor deze verwerkingen? Is dat de online dienstverlener, of de gebruiker zelf? Wordt vervolgt...

Terug naar overzicht