Redactioneel
prof. mr. G.J. Zwenne1 Het artikel is in de opmaak van het tijdschrift rechts als pdf beschikbaar.Dark Web Monitoring
Wat is Dark Web Monitoring? Dark Web Monitoring of DWM is een dienst, waarbij er regelmatig of voortdurend op het darkweb wordt gezocht naar bepaalde, doorgaans onrechtmatige informatie. Als je bezorgd bent dat jouw gevoelige gegevens—zeg: creditcardgegevens, burgerservicenummer of een medisch dossier—door een datalek in verkeerde handen zijn gevallen, kun je met behulp van DWM nagaan of jouw gegevens op het darkweb worden verhandeld en wat die gegevens waard zijn. Een organisatie die is getroffen door een cyberaanval kan van een DWM-dienst gebruik maken als schadebeperkende maatregel en ook om een inschatting te maken van de risico's die individuen lopen doordat hun gegevens zijn gelekt.
DWM wordt aangeboden door verschillende publieke en private partijen, denk aan: TNO, Norton, MarkMonitor, KPMG en Experian. Deze dienstverleners hebben daarvoor hun eigen methoden en werkwijzen, maar in alle gevallen is duidelijk dat er in het kader van de dienstverlening persoonsgegevens worden verwerkt. Vaak ook zogeheten bijzondere categorieën van persoonsgegevens, zoals gezondheidsgegevens, of gegevens van strafrechtelijke aard. En soms ook het burgerservicenummer.
De Algemene Verordening Gegevensbescherming of AVG verbiedt de verwerking van dergelijke gegevens.2 Er zijn weliswaar uitzonderingen op dat verwerkingsverbod maar daarvan kan, waar het gaat om DWM, maar in beperkte mate gebruik worden gemaakt. In sommige gevallen kan mogelijk worden gezegd dat de dienstverlener deze persoonsgegevens verwerkt met de uitdrukkelijke toestemming van het individu ten behoeve van wie de dienst wordt verleend.3 In veel gevallen kan daarvan echter niet worden uitgegaan, al was het maar omdat er altijd ook gegevens worden verwerkt betreffende anderen die daarvoor geen toestemming hebben gegeven.
Impliceert dit dat de AVG niet toestaat dat DWN-diensten worden aangeboden? Dat zou, gelet op de bedoeling van de uniewetgever om individuen een hoog beschermingsniveau te bieden,4 niet goed uit te leggen zijn.
Op welke wijze kan dan worden onderbouwd dat gegevensverwerkingen in het kader van DWM wél onder de AVG zijn toegestaan? Het GC/CNIL-arrest van Hof van Justitie van de EU,5 in dit tijdschrift besproken door Spruyt,6 biedt misschien een uitweg. In dat arrest heeft het Hof de vraag beantwoord of het verwerkingsverbod voor bijzondere en strafrechtelijke gegevens van toepassing is op een internetzoekmachine. Het Hof stelt vast dat het verwerkingsverbod wél van toepassing is op de zoekmachine, maar wijst er vervolgens op dat de AVG wel toestaat dat die zoekmachine, om redenen van algemeen zwaarwegend belang,7 bijzondere en strafrechtelijke gegevens verwerkt als dat strikt noodzakelijk blijkt ter bescherming van het in artikel 11 van het Handvest neergelegde recht op vrijheid van informatie.8
Natuurlijk. DWM-diensten zijn niet gemakkelijk op te vatten als strikt noodzakelijk voor de bescherming van het recht op vrijheid van informatie. Maar het lijkt niet te vergezocht om ervan uit te gaan dat DWM strikt noodzakelijk is voor het effectueren van het in artikel 8 van het Handvest neergelegde recht op gegevensbescherming. Hoe anders moet er bescherming worden geboden aan de individuen van wie persoonsgegevens op het darkweb worden verhandeld?
Verder is misschien niet zonder betekenis dat het Hof in het GC/CNIL-arrest heeft bepaald dat de zoekmachine pas hoeft over te gaan tot de beoordeling of de verwerking van de bijzondere en strafrechtelijke gegevens strikt noodzakelijk is, als daarom wordt verzocht door degenen op wie deze gegevens betrekking hebben.9 En dus niet al wanneer de persoonsgegevens door de zoekmachine worden geïndexeerd.10 Voor DWM-diensten lijkt ook dat mogelijkheden te bieden.