De nieuwe Nederlandse netwerksite Blytes is al dagen bijna permanent onbereikbaar. En dat is misschien maar goed ook, want de site en oprichter Tim van Elsloo handelt in strijd met de wet. De 16-jarige van Elsloo kan op veel sympathie en publiciteit rekenen met zijn initiatief, dat bij nadere inspectie nog niet klaar is voor gebruik.

In strijd met privacywet

Zo staan er geen algemene voorwaarden en geen privacybeleid op de site. En zeker dat laatste moet volgens de Wet Bescherming Persoonsgegevens, bevestigt de woordvoerder van het College Bescherming Persoonsgegevens (CBP). Het CBP kan nog niet ingaan op de specifieke kwestie Blytes. "Over de specifieke website kunnen wij geen uitspraken doen omdat we deze niet hebben onderzocht", luidt het antwoord.

Jurist en onderzoeker Jan-Jaap Oerlemans, gespecialiseerd in online privacy en cybercrime verduidelijkt: "Je hebt algemene voorwaarden, dat valt onder het civielrecht. Die moeten ter hand worden gesteld. Dat kan ook elektronisch, maar je moet het gemakkelijk kunnen opslaan en uitprinten. Nu worden de algemene voorwaarden niet ter hand gesteld en ben je er ook niet aan gebonden.

Ook moet gebruikers uitgelegd worden hoe met hun gegevens wordt omgegaan en met wie ze contact kunnen opnemen als ze vragen hebben. Dat valt onder de informatieplicht en een privacyreglement zou als apart op de website geplaatst moeten worden. Hij handelt nu in strijd met de Wet Bescherming Persoonsgegevens."

Ook is Van Elsloo volgens het Register niet aangemeld bij het College Bescherming Persoonsgegevens als verwerker van privacygevoelige data. In het geval van een sociaal netwerk is dat verplicht. Oerlemans: “Als hij 16 is denk ik niet dat hij op de hoogte is van alle regelgeving. Misschien is het een idee dat hij naar de online juridische rechtswinkel de Clinic gaat om op weg te worden geholpen. Want iedereen wordt geacht de wet te kennen, dus hij ook. En hij zal zich er ook aan moeten houden.”

Vol beveiligingsgaten

De kous is nog niet af, want Blytes.nl heeft ook serieuze beveiligingsproblemen. Zo wordt er nergens gebruik gemaakt van een versleutelde verbinding via https (SSL) bij het invoeren van persoonlijke data.

Daarnaast meldt de ethische hacker Jobert Abma dat er geen bescherming is tegen het geautomatiseerd raden van wachtwoorden, zogeheten brute force aanvallen. Normaal blokkeert een account na een aantal verkeerde inlogpogingen, maar op Blytes kun je miljoenen keren blijven proberen.

Ook zijn er diverse meldingen van ernstige gaten in de site, onder meer voor Cross Site scripting (XSS), SQL injectie en Cross-site request forgery. Een andere ethisch hacker, Remon van AnthraxMedia, heeft verschillende gaten ontdekt. Hij heeft een proof of concept gepubliceerd, nadat Van Elsloo volgens Remon niet reageert op meldingen en waarschuwingen.

Jurist Jan-Jaap Oerlemans concludeert: “Je hebt volgens de wet ook een beveiligingsplicht. Data versleuteld opslaan op de server, SSL gebruiken, dat zijn toch wel basic dingen. In artikel 13 van de Wet Bescherming Persoonsgegevens staat dat je de noodzakelijke technische en organisatorische maatregelen moet nemen. Bij dat soort gegevens en zo veel gegevens gaat het toch om een vrij hoog niveau van maatregelen die je moet nemen.”

Tim van Elsloo was nog niet bereikbaar voor commentaar op de bevindingen.

ICT-jurist Arnoud Engelfriet mailt Webwereld: "Mijn kantoor ICTRecht biedt Tim een gratis algemene voorwaarden/privacystatement aan alsmede een audit om te zorgen dat zijn site legaal wordt."

Valse start

Inmiddels heeft Tim van Elsloo de site zelf offline gehaald met de melding: "Helaas. Ik heb moeten besluiten de website nu helemaal offline te zetten. Redenen hiervoor zijn het feit dat Blytes op dit moment niet blijkt te voldoen aan een aantal (wettelijke) randvoorwaarden, zoals WBP en AV, de aanhoudende druk op de server en hack-pogingen. [...] Om die redenen heb ik ervoor gekozen om de site vooralsnog offline te zetten, zodat ik in de tussentijd kan zorgen dat voldaan wordt aan de wettelijke eisen, dat de veiligheids-bugs eruit gehaald worden en ik ondertussen ook Blytes kan blijven ontwikkelen, zodat ik mijn belofte over nieuwe, coole dingen kan waarmaken. Tot later!"

Update 13.09 uur: commentaar van hacker Remon toegevoegd.

Update 2: Aanbod van ICT Recht toegevoegd.

Update 3 woe 12.35 uur: Van Elsloo erkent dat Blytes niet aan de wet voldoet en heeft de site offline gehaald totdat de privacy en security op orde zijn.