De Koninklijke Nederlandse Voetbalbond (KNVB) krijgt veel kritiek voor het gegeven dat ze hackers hebben betaald om persoonlijke gegevens van Oranjespelers Niet openbaar te maken. Tegelijkertijd zijn er ook experts die begrip hebben voor het besluit van de voetbalbond. “Als je als enige partij niet betaalt, verander je het verdienmodel niet.”
Dat zeggen advocaten en juristen tegen verschillende media.
KNVB houdt ‘verwerpelijk verdienmodel’ in stand
Het nieuws dat de KNVB de Russische hackersgroep LockBit heeft betaald om vertrouwelijke gegevens van spelers van het Nederlands elftal en andere professionele voetballers niet te publiceren, sloeg dinsdag in als een bom. “Het voorkomen van een dergelijke verspreiding weegt voor de KNVB uiteindelijk zwaarder dan het principe om ons niet te laten afpersen. Daarom werden er onder deskundige begeleiding afspraken gemaakt over het niet-publiceren en verwijderen van gegevens”, zei de bond in een reactie.
Anderen zagen dat niet zo. Aleid Wolfsen, bestuursvoorzitter van de Autoriteit Persoonsgegevens, was zeer kritisch over het feit dat de KNVB besloot om losgeld te betalen. “Als je losgeld betaalt heb je geen enkele garantie dat cybercriminelen jouw gestolen gegevens alsnog niet doorverkopen. Bovendien houd je zo een verwerpelijk verdienmodel in stand, dat de privacy van mensen ondermijnt”, zo vertelde Wolfsen tegenover het Algemeen Dagblad.
Een woordvoerder van het ministerie van Veiligheid en Justitie zette de woorden van de AP-bestuursvoorzitter kracht bij. “Wij raden het betalen van losgeld ten zeerste af. Je financiert criminelen om zo een volgende aanval te kunnen plegen en het is geen garantie dat je je gegevens terug krijgt”, zo zei hij.
‘Pijn zal alleen maar groter worden’
Omdat de KNVB niet kan garanderen dat de buitgemaakte gegevens in de toekomst alsnog gebruikt kunnen worden, bijvoorbeeld voor identiteitsfraude, adviseert de voetbalbond gedupeerden om alert te blijven voor eventueel misbruik. “Er is dus betaald, maar de leden moeten tóch beducht zijn op misbruik. Dan had je net zo goed niet kunnen betalen”, zo stelt Jan Gerrit Kroon, een advocaat bij Blue Legal die gespecialiseerd is in privacy en ICT-recht, tegenover het Algemeen Dagblad.
Kroon vindt het onverstandig dat de KNVB losgeld heeft betaald. “De bad guy wordt op deze manier toch beloond. Normaal gesproken zou je niet verwachten dat de KNVB zulke bijzondere gegevens in haar ledenadministratie heeft, dat het zo schadelijk is dat die op straat zouden komen te liggen.”
Dave Maasland, directeur van cybersecuritybureau ESET Nederland, vreest dat het in de toekomst alleen nog maar erger zal worden. “Natuurlijk is de KNVB niet in zijn eentje verantwoordelijk hiervoor, en zullen we hier allemaal mee om moeten leren gaan. Maar dat ransomware-bendes nog altijd miljoenen verdienen gaat de maatschappij op lange termijn pijn blijven doen. Die pijn zal alleen maar groter worden als we niet sneller in actie komen”, waarschuwt hij.
‘KNVB heeft de spagaat goed uitgelegd’
Er is ook steun voor de KNVB. Lisette Meij, jurist en oprichter van Lime Legal, noemt het betalen van het losgeld op LinkedIn ‘de minst egoïstische keuze’ die de bond kon nemen. “Op deze manier proberen ze de schade voor de slachtoffers (de personen van wie de gegevens gelekt zijn) te beperken. Bovendien moeten we niet de illusie hebben dat als de KNVB niet betaald zou hebben, dit verdienmodel niet meer zou bestaan.”
Tegenover Het Algemeen Dagblad benadrukt ze dat de slachtoffers het grootste risico zouden lopen als de voetbalbond het losgeld niet had betaald. “Je hoort vaak dat door het betalen je het verdienmodel in stand houdt. Maar als jij als enige partij niet betaalt, verander je het verdienmodel niet. Daarmee zorg je dus alleen dat het risico dat de gegevens van betrokken personen straks op straat liggen gigantisch is.”
Privacyadvocaat Menno Weij van BDO Legal valt zijn vakgenoot bij. “Het klopt dat je daarmee het verdienmodel financiert, maar het is een illusie dat het kwaad verdwijnt als je niet betaalt”, zo zegt hij in een interview met BNR. Partijen die uit principe weigeren losgeld te betalen, weten volgens hem zeker dat hun gegevens door dit verdienmodel op straat komen te liggen. “Dus je weet dat de gegijzelden hoe dan ook met de gebakken peren zitten, als het om hun gegevens gaat.”
Weij is ervan overtuigd dat de KNVB goed heeft gehandeld in deze situatie. “Ik denk dat de KNVB de spagaat goed heeft uitgelegd: geen enkele keuze was goed, maar alles afwegende heeft de bond op basis van extern advies gekozen voor deze route. Ze zetten het belang voorop van degenen van wie de gegevens gegijzeld waren.”
