Wie zich op internet voor een ander uitgeeft, moet volgens de Tweede Kamer maximaal vijf jaar cel kunnen krijgen. Dat meldde RTL Nieuws gisteren. Identiteitsfraude is op zichzelf niet strafbaar; pas als je iets strafbaars doet mét die identiteit kan een sttrafbaar feit ontstaan, bijvoorbeeld oplichting of smaad. Maar hoe ze dat gaan definiëren en wat de toegevoegde waarde is, ontgaat me.

Identiteitsfraude is al een paar jaar een behoorlijk hot item. Het is immers nogal makkelijk om andermans identiteit aan te nemen en dan dingen te bestellen, rare berichten op forums te plaatsen of anderszins misbruik te maken van die identiteit. Bedenk maar eens hoe veel bedrijven ondertussen een kopietje paspoort van je hebben. Of hoe veel databases je NAW-gegevens en bankrekeningnummer bevatten en hoe makkelijk die kraakbaar zijn; dan is een automatische incasso op internet zo ingevuld.

Maar: al die dingen zijn al strafbaar. Het op valse naam bestellen van spullen of afboeken van geld heet oplichting. Onder iemands naam een goedenaamaantastend bericht plaatsen (“hoi ik ben Henk en ik ben een oplichter”) is smaad. Enzovoorts. In april meldde de minister dan ook dat “een afzonderlijke delictsomschrijving juridisch geen toegevoegde waarde heeft”. Maar de Kamer wil toch graag “iets doen”, en dit is iets dus laten we het maar doen.

Helaas kan ik de Kamerstukken nog niet vinden, maar waarschijnlijk zal het wetsvoorstel gaan werken met deze definitie van identiteitsfraude:

Het opzettelijk (en) (wederrechtelijk of zonder toestemming) verkrijgen, toe-eigenen, bezitten of creëren van valse identificatiemiddelen en het daarmee begaan van een wederrechtelijk gedraging, of het verrichten van een dergelijke handeling met de intentie om daarmee een wederrechtelijke gedraging te begaan.

En dan denk ik gelijk, ja, “om een wederrechtelijke gedraging te begaan”, dat is dan mooi circulair. Het wordt strafbaar iets strafbaars te doen als je daarbij een valse identiteit gebruikt. Wat pak je daarmee aan dat nog niet strafbaar was dan?

Update (9:44) met dank aan de Piratenpartij een link naar het werkelijke voorstel:

?Hij die opzettelijk en wederrechtelijk identificerende persoonsgegevens, niet zijnde biometrische persoonsgegevens, van een ander gebruikt met het oogmerk om zijn identiteit te verhelen of de identiteit van de ander te verhelen of misbruiken, waardoor uit dat gebruik enig nadeel kan ontstaan, wordt gestraft met een gevangenisstraf van ten hoogste vijf jaren of geldboete van de vijfde categorie.

Het zou dan voldoende zijn dat ‘enig nadeel’ ontstaat, dat is dus een stuk breder dan “wederrechtelijke gedraging”. (En ‘verhelen’ betekent hier ‘verstoppen, verbergen’ en niet “door heling verhandelen”.)

Ik blijf zitten met onduidelijkheden. Wat is ‘misbruiken’? Onder mijn naam ergens reaguren en en zo mij belachelijk maken? Dan is het wel érg breed. Verder vraag ik me af of een undercoverjournalist nu ook strafbaar is: die bezorgt zijn onderwerp ook nadeel, die komt immers negatief in het nieuws. Of wordt dat dan net als satire en parodie opgelost door te zeggen, het is niet wederrechtelijk?

Zinniger lijkt mij om een strafverzwaring op te nemen bij delicten als oplichting. “Indien het feit begaan wordt gebruikmakend van de identiteit van een ander, wordt de maximale straf verhoogd met 3 jaren” of iets dergelijks. Die constructie kennen we bijvoorbeeld bij smaad en laster. Smaad is strafbaar met maximaal zes maanden cel. Smaadschrift (dus smaad op papier of op internet) is extra strafbaar, een jaar cel. En het heet laster als je wéét dat het niet waar is, twee jaar cel. Op die manier laat je duidelijk zien dat je die varianten van smaad nóg erger vindt. Hetzelfde zou m.i. goed passen bij identiteitsfraude.

Je kunt ook de “wederrechtelijke gedraging” eruit gooien maar dan krijg je allerlei problemen met bv. Twitterparodieaccounts of imitaties op televisie. Dat kun je dan wel weer oplossen door te zeggen dat wanneer sprake is van een legitieme meningsuiting je niet strafbaar bent, maar echt elegant voelt dat niet. Plus, er zullen ook andere situaties zijn. Wat te denken van de identiteit van een overleden of langdurig ziek familielid aannemen om zo zijn Facebook te beheren? Mailen vanuit het account van een zieke collega?

Hebben jullie een suggestie hoe je identiteitsfraude die géén oplichting, smaad of zo is zou kunnen definiëren?

Arnoud

Kent u onze boekenserie Deskundig en praktisch juridisch advies al? Webwinkels, hosting, software, security en meer!

Een lezer vroeg me:

Via PRISM blijkt de Amerikaanse geheime dienst National Security Agency (NSA) ons allemaal af te luisteren. In Nederland is dat hartstikke illegaal. Kan ik daar aangifte van doen en wat gaat Justitie dan doen aan deze buitenlandse daders?

Het is inderdaad strafbaar om digitale communicatie af te tappen of op te nemen zonder toestemming. Opsporingsdiensten mogen dit soms wel, maar dan is er een bevel van de rechter-commissaris nodig. En onze eigen geheime dienst de AIVD mag dit soms ook. De NSA is geen Nederlandse geheime dienst dus mag dit niet.

Het is niet bij voorbaat uitgesloten dat een ambtenaar vervolgd kan worden voor handelingen in het buitenland. Zo hadden we medio jaren negentig een incident met een Nederlandse agent van wie Turkije de uitlevering wilde nadat een door hem gearresteerde Turkse man in een politiecel was overleden. Dus in theorie kan Nederland een onderzoek opstarten en dan de VS verzoeken om uitlevering van de mogelijke dader(s). De kans dat de VS daadwerkelijk tot uitlevering overgaat is natuurlijk nihil in deze situatie, dus heel erg praktisch lijkt me deze optie niet. Een aangifte lijkt me dan ook kansloos, die wordt binnen 5 minuten geseponeerd.

In Duitsland lijkt Justitie wél te overwegen een vervolging in te stellen. Dat heeft volgens mij vooral te maken met het feit dat de Duitse Justitie is verplicht te vervolgen bij misdrijven. En ik gok dat er ook een zekere echo van het Stasi-verleden mee zal spelen bij de afweging om te gaan vervolgen.

Arnoud

Kent u onze boekenserie Deskundig en praktisch juridisch advies al? Webwinkels, hosting, software, security en meer!

Het lokaliseren van verdachten met stealth-sms’jes is een heimelijke opsporingsmethode die onwettig is, meldde Webwereld dinsdag. Het Gerechtshof in Den Bosch bepaalde dat deze techniek een inbreuk op de privacy oplevert, en dergelijke opsporingstechnieken vereisen eenvoudigweg altijd een specifieke wettelijke grondslag. Justitie maakt zich geen zorgen: er is vast wel een ander artikel dat we kunnen gebruiken.

Een stealth-sms is eigenlijk niets meer dan een leeg sms-bericht. Omdat sms met ontvangstbevestiging werkt, laat de telefoon van een onderpolitiebelangstellingstaande op die manier weten waar hij is (de dichtsbijzijnde GSM-mast dus). En via triangulatie en een paar berichtjes kom je dan aardig dicht bij de locatie van die telefoon. Dat kun je één keer doen of regelmatig, en in het laatste geval weet je structureel waar de eigenaar is.

Nou is structureel kijken waar iemand is een typisch voorbeeld van wat we een inbreuk op de privacy zouden noemen. En wanneer de politie dergelijke opsporingsmiddelen gebruikt, betekent dit dat er een wetsartikel in het Wetboek van Strafvordering moet staan dat dit toestaat. Dat is namelijk de regel bij strafvordering: de politie mag alleen wat in de wet genoemd is als toegestaan. Als het wetboek een firewall was dan had er dus inderdaad default deny gestaan.

Maar omdat je dan ook het vragen van een vuurtje of het mogen bekijken van een winkelruit moet gaan regelen, is er een ondergrens: het moet wel gaan om iets dat de grondrechten van de burger op een ‘betekenisvolle’ (niet-triviale) manier schendt. Als daar geen sprake van is, dan is het genoeg als dit via artikel 2 Politiewet gerechtvaardigd kan worden: nodig voor het politiewerk.

Het Hof stelt tevens vast dat de stealth SMS “risicovol is voor de integriteit en beheersbaarheid van de opsporing”. Ook die moeten namelijk gewaarborgd zijn om een opsporingsmiddel in te mogen zetten. Er was qua documentatie alleen een intern niet-openbaar document, waaruit niet duidelijk werd hoe een officier toestemming moest geven. Bovendien bleken in de praktijk rechercheurs zélf het middel in te zetten en achteraf te beslissen of navragen bij de officier nuttig was. En zelf vind ik nog het meest ergerlijk dat inzet van een stealth sms alleen bij de strafvervolging gemeld werd als dat in het nadeel was van de verdachte (daarom hebben ze dus discovery in de VS).

De inzet van de stealth sms levert daarmee een “onherstelbaar vormverzuim” op, maar in tegenstelling tot wat de borrelpraat over vormfouten zegt, levert dat de verdachte niets op: de inbreuk op zijn privacy was zeer gering omdat de stealth sms maar beperkt was ingezet. Daarmee heeft de vormfout geen consequentie.

Het signaal van het Hof is wél duidelijk dat dit middel nu eens wettelijk geregeld moet worden. En het steekt me dan dat Justitie doet of er niets aan de hand is: “de procedures verbeteren” is niet hetzelfde als “zorgen dat we binnen de wettelijke kaders blijven”. Ja, er waren eerdere rechters die daar anders over dachten maar de arresten (ook deze) in hoger beroep wegen toch zwaarder als jurisprudentie.

Of is dit de manier waarop dit soort nieuwe ontwikkelingen deel moeten worden van de opsporing? Een paar rechtszaken, stevige heisa en dán eens een nieuwe wet gaan maken? Ik weet het niet, het voelt een beetje cynisch.

Arnoud

Kent u onze boekenserie Deskundig en praktisch juridisch advies al? Webwinkels, hosting, software, security en meer!

“Invloed social media op verklaringen”, samenvat Rechtspraak.nl het droogjes. In een strafzaak over poging tot moord waren de nodige getuigenverklaringen beschikbaar, maar uit reacties op een helaas geanonimiseerde website ontstond het vermoeden dat sommige van die getuigen best wel eens “anders dan de waarheid” zouden kunnen hebben verklaard. Waarom verklaringen op een website “invloed van social media” heten?

In 2012 was er een schietpartij in een woonwijk in Middelburg. Vrijwel direct daarna verschenen “op de website [naam website]” berichten met details daarover, kennelijk van getuigen dus. (Zouden ze Twitter.com bedoelen? Social media én website en typisch waar direct na een ophefmakende gebeurtenis berichten gaan komen.) Latere getuigenverklaringen leken niet helemaal overeen te komen met wat daar te lezen was, en dan moet je je als strafrechter toch even kritisch gaan opstellen.

Het is frustrerend hoe weinig details er zijn over precies welke berichten en waarom die twijfel opriepen over de getuigenverklaringen. Maar wat ook meewoog was dat een getuige had verklaard dat diverse mensen hadden afgesproken valse verklaringen te gaan doen. Er was al een tijd sprake was van oplopende spanningen tussen de verdachte en anderen, en die getuigen kwamen uit die groep anderen. Dus ja dan zou ik ook vraagtekens gaan stellen.

Een intrigerend punt dat de rechter aansnijdt is dat het mogelijk is “dat de verklaring (mede) is beïnvloed door informatie verkregen nadien van derden of mogelijke via social media.” Daarvan zou hier sprake zijn geweest (wat we dus niet kunnen analyseren wegens gebrek aan feiten) maar het punt op zich is al intrigerend genoeg. Als een gebeurtenis de nodige tweets, foto’s en dergelijke oproept dan kun je je als pseudo-getuige aardig geloofwaardig voordoen. Lees je in, prent wat dingen uit de foto’s in je hoofd en verwijder even je Facebookupdate dat je die avond ergens anders was. Wie heel gehaaid is, gaat meetwitteren op basis van wat hij leest en versterkt zo zijn geloofwaardigheid als aanwezige.

Dat klinkt ergens wel als een bug in het bewijsrecht. Maar hoe los je dat op?

Arnoud

Kent u onze boekenserie Deskundig en praktisch juridisch advies al? Webwinkels, hosting, software, security en meer!

Over PRISM, aftappen en datagraaien valt juridisch weinig te zeggen – de NSA doet wat ze wil. Maar als je als private partij een bevel krijgt om de NSA of hun vriendjes bij de FBI – of zelfs maar onze politie – te helpen door data af te geven, dan kom je wél in een juridisch thuisland. Want moet je daaraan meewerken, en wat kun je doen om dat aan de kaak te stellen? Dat is nog best lastig, zeker als je van zo’n club een gag order krijgt dat je niemand mag vertellen dát je hebt moeten meewerken. Een creatieve oplossing daartegen las ik in de Guardian: een dodemansknop, beter gezegd dodemansbordje dat zegt “Ik ben niet getapt” en dat haal je weg zodra je wél moest gaan tappen.

Steeds meer bedrijven publiceren transparency reports, met daarin het aantal overheidsverzoeken om data en wat daarmee is gebeurd. Bij mijn weten doet in Nederland alleen Leaseweb dat, maar in de VS alle grote jongens: Google, Facebook, Microsoft, Yahoo en meer. Algemene gegevens kun je daaruit halen, maar specifiek wie of wat

Ook bij ons kan zo’n zwijgbevel worden gegeven. Art. 126bb strafvordering bepaalt dat wie een vordering krijgt tot aftappen of afgeven van gegevens, “in het belang van het onderzoek geheimhouding in acht omtrent al hetgeen hem terzake van de vordering bekend is.” Op zich logisch want het is niet handig als je meteen na een tapbevel de verdachte gaat bellen om hem te melden dat je wordt getapt.

Daar staat tegenover dat lid 1 van datzelfde artikel bepaalt dat de getapte persoon zelf juist wél moet worden geïnformeerd “zodra het belang van het onderzoek dat toelaat”. Mits die persoon natuurlijk te vinden is, wat bij grootschalig datagraaien nog wel eens een punt kan zijn.

Strikt gesproken mag je van dat vijfde lid dus niet eens melden “ik kreeg gisteren een tapbevel” zonder enige details over wie of wat of hoezo. Dat kan vér gaan. In dit arrest noemt de advocaat-generaal het een “enorme inbreuk op iemands privéleven” dat je bijvoorbeeld je familie, vrienden en kennissen niet mag vertellen dat je informatie over hen moest geven. Maar ik denk niet dat het zó ver gaat dat je geen jaarlijks statistisch overzicht mag publiceren van het aantal tapverzoeken, wettelijke grondslagen en zo nog wat generieke informatie.

Maar goed, die dodemansknop. Is dát een inbreuk op de “geheimhouding in acht nemen” plicht uit 126bb? Enerzijds ja, want je onthult dát je moest gaan tappen of afgeven. Anderzijds nee, want concreet wordt hier niemand wijzer van: wie is er dan getapt, wat voor gegevens moesten worden afgeven en hoezo en waarom? Was dit een onderzoek van de fiscus of een moordzaak?

Het argument “stoppen met zeggen dat je niet getapt bent is wat anders dan zeggen dat je wél getapt bent” komt bij mij niet door de giecheltoets. Bij jullie wel?

Arnoud

Kent u onze boekenserie Deskundig en praktisch juridisch advies al? Webwinkels, hosting, software, security en meer!

Bij dit soort berichten weet ik nou nooit of het écht een relevant juridisch onderwerp is of dat men een haakje zoekt om op #iphone5s mee te kunnen liften. Hoe dan ook, Wired meldde dat gebruikers van de iPhone 5S met vingerafdruksensor nog wel eens raar op kunnen kijken als ze ooit als verdachte worden gehoord: je kunt dan verplicht worden je vinger op je telefoon te leggen om de autoriteiten zo een doorzoeking te laten uitvoeren. Dat is anders wanneer er een wachtwoord op zit, want je bent in de VS wettelijk beschermd tegen self-incrimination. En ja, bij ons werkt dat ook zo.

Dat je als verdachte niet tegen jezelf hoeft te getuigen, is een basisprincipe uit het strafrecht. De belangrijkste gedachte erachter is om oneigenlijke dwanguitoefening – wat klinkt als een eufemisme voor marteling maar dat terzijde – op de verdachte te voorkomen. Dat principe is niet absoluut – zie de recente discussie over ontsleutelplichten. Maar het gaat alleen over gegevens in je hoofd, dingen die je weet en die Justitie graag ook zou willen weten.

Dingen die je hébt, mag Justitie zelf in beslag nemen en onderzoeken om daarmee de waarheid aan het licht te brengen. Ze mogen je kluis openen met een lasbrander (of een handige slotenmaker), onder de vloer kijken, je harddisk kopiëren, je tuin omspitten en je administratie meenemen als daar bewijs te verwachten valt.

Ook je telefoon mag in beslag worden genomen en onderzocht als bewijs. Daar is speciale apparatuur voor, die veelal in staat is je telefoonwachtwoord te passeren en gewoon de ruwe data te klonen van de interne opslagmedia. Zo kan de daar genoemde XRV media in een “Physical mode” gewoon een telefoon uitlezen:

A physical extraction is separated out into two distinct stages, the initial ‘dump’ whereby the raw data is recovered from the device and then the second stage ‘decode’ – where XRY can automatically reconstruct the data into something meaningful; such as a deleted SMS without the need for manual carving of data.

Maar goed, dat kost tijd en een specialist in het lab. En die tijd kun je je nu als agent besparen door te zeggen, leg even je vinger op die sensor en dan kijk ik zélf in je adresboek of verzondensmssenmapje in het belang van het onderzoek. Dat is geen strijd met dat “tegen jezelf getuigen” want je verklaart niets, je zegt niets. Je doet alleen maar iets, je legt je vinger neer. Maar wat nu als je dat niet wil, kan de opsporingsambtenaar dan je hand pakken en fysiek de vinger op de sensor forceren?

Het is wettelijk toegestaan om gedwongen een vingerafdruk af te nemen, maar het moet dan eigenlijk gaan om identificatie van de verdachte (art. 27a Strafvordering). Dat is toch wel even iets anders dan een vingerafdruk inzetten om een telefoon te openen. Maar bij een ernstig misdrijf mag er meer (art. 55c):

De foto’s en vingerafdrukken [van de verdachte] kunnen ook worden verwerkt voor het voorkomen, opsporen, vervolgen en berechten van strafbare feiten en het vaststellen van de identiteit van een lijk.

Met enige goede wil is “openen van zijn telefoon” wel te rekenen onder “opsporen van strafbare feiten”, als de data op die telefoon daar deel van uitmaakt. Maar getest bij de strafrechter is het nog nooit.

Een héél bijdehante agent kan misschien nog een vingerafdruk van het glaasje water halen, daar een latexvinger mee construeren en zo zelf bij de telefoon. Dáár zou ik dan wel eens een strafrechter over willen horen.

Arnoud

Kent u onze boekenserie Deskundig en praktisch juridisch advies al? Webwinkels, hosting, software, security en meer!

De Britse politie heeft registrars van piraterijsites brieven gestuurd met de eis de domeinnaam te blokkeren, las ik bij Tweakers. De sites MisterTorrent, SumoTorrent en ExtraTorrent zouden volgens de auteursrechtafdeling van de Britse politie in strijd zijn met de wet, dus of men even in wilde grijpen. Met een ondertoon dat de bobbies anders even hun ouders de registry (ICANN) zouden wijzen op het feit dat de registrars dan de aansluitvoorwaarden zouden overtreden en dus geschorst zouden worden als domeinnaamuitgevers. Excuse me?

Als een dienst werkelijk in strijd handelt met toepasselijke wetgeving, dan mag de politie daar natuurlijk tegen optreden. Ze kunnen dan de site-eigenaren zelf aanpakken, maar als dat niet lukt dan is aanspreken van de hostingprovider of andere tussenpersoon ook een optie.

In Nederland is dit wettelijk geregeld: een hostingprovider moet op grond van artikel 54a Strafrecht dingen offline halen als de officier van justitie dat zegt. Wel moet die officier daar een machtiging van de rechter-commissaris voor hebben. Dat is een onafhankelijke toetsing – maar de site-eigenaar of hoster wordt niet vooraf gehoord.

Hoe het zit met een domeinnaamprovider is bij mijn weten nog nooit getest. Ik gok omdat de meeste sites domeinnaam en hosting bij dezelfde partij hebben, zodat het nooit aan de orde kwam. Maar het kan natuurlijk best dat de site bij partij A ondergebracht is en de domeinnaam bij partij B.

Het is juridisch eigenlijk al onduidelijk of een domeinnaamprovider een hostingprovider is, een partij die “een telecommunicatiedienst verleent bestaande in de doorgifte of opslag van gegevens die van een ander afkomstig zijn” zoals in dat wetsartikel staat. ‘Gegevens’ slaat eigenlijk op de inhoud van de site, als je de wetsgeschiedenis leest. Maar je kunt zeggen, de dns records van de site zijn ook gegevens (hoewel maar weinig) en die komen van de klant dus dan is dns de dienst van opslag/doorgifte van gegevens van een ander afkomstig.

Oké maar stel. Dan zou de politie dus met zo’n bevel een dns blokkade kunnen eisen, als de rechter-commissaris dat goed vindt. En dan moet je als domeinnaamregistrar daaraan gehoor geven. Je mag niet protesteren dat dit te ver gaat, dat er op de site ook legaal spul staat. Dat heeft (als het goed is) die rechter-commissaris meegenomen in de beslissing die machtiging te geven.

In deze zaak is echter geen sprake van een bevél maar van een verzoek. En dan wel een van een geniepig soort – als je niet doet wat wij zeggen dan gaan wij even jouw leverancier bellen en zeggen dat jij willens en wetens iets illegaals faciliteert. Want in zijn algemene voorwaarden staat dat jij dit niet mag, dus dan raak jij je accreditatie kwijt.

Ja, daar word ik cynisch van. Natuurlijk, áls er sprake is van overtreding van de voorwaarden dan mag de registry ingrijpen. Maar ís dat wel zo? Die agenten weten donders goed dat zij op hun blauwe uniformen vertrouwd gaan worden, en dat de dreiging van negatieve publiciteit dan genoeg kan zijn voor bot afsluiten door die registry. Een CEO die twee agenten op bezoek krijgt, heeft geen zin meer in een diepgravend juridisch onderzoek door de huisjurist – eruit met die lastpakken. En dat voelt als machtsmisbruik door die auteursrechtpolitie.

Arnoud

Kent u onze boekenserie Deskundig en praktisch juridisch advies al? Webwinkels, hosting, software, security en meer!

Gisteren diende de rechtszaak rond de Leidseschooldreiger: het 4chanbericht waarin werd gedreigd een leraar Nederlands en zo veel mogelijk scholieren in Leiden te vermoorden. Ik mocht als getuige-deskundige uitleggen wat een proxy is en aangeven hoe ik 4chan zou omschrijven. Hoe serieus moet je 4chan-dreigingen nemen?

In april 2013 verscheen op internetafvoerputje 4chan een dreigbericht dat leidde tot schoolsluiting en politiebewaking in Leiden. Oordeel zelf:

Tomorrow, I will shoot my Dutch teacher, and as many students as I can. It will be on the news tomorrow. It’s a school in a Dutch city called Leiden, and for more proof, I will be using a 9mm Colt Defender. I will be carrying a note with me when I go into the school which will explain why I did it. If he message of the note will not be published, a friend of mine will post here on 4chan a day later. Oh, and I’m using a proxy, the police is not gonna find me before tomorrow.

Vandaag stond de verdachte terecht die het bericht zou hebben geplaatst. Volgens hemzelf was dit een Amerikaan geweest die zijn laptop even had geleend in het internetcafé in Costa Rica waar hij toen was. De officier geloofde daar weinig van: Amerikanen kunnen ‘Leiden’ niet echt goed spellen, en bovendien waarom zou ‘ie. Terwijl deze jongen problemen had op zijn school in Leiden en eerder een spreekbeurt over school shootings zou hebben gehouden.

Ik mocht als getuige-deskundige uitleggen wat 4chan was, eigenlijk /b/ dus maar dat onderscheid is subtieler dan dat tussen hacker en cracker. Het afvoerputje van het internet noemde ik het, een shockblog (oké, shockforum) waar het doel is zo grof en hard mogelijk te zijn. Branie schoppen, reacties uitlokken. En met excuses aan alle meelezende /b/tards, normale mensen lezen daar niet.

Heel apart vond ik nog dat de politie het IP-adres onderzocht en daarbij binnendrong in de router die aan dat adres hing. Toegegeven, dat binnendringen was een kwestie van de algemeen bekende admin/admin combinatie intypen maar binnendringen blijft het. Dringende noodzaak onder de Politiewet of strafbaar feit door ambtenaar gepleegd in het buitenland?

De meeste discussie ging over de vraag hoe je het bericht moest opvatten. Dat het als grap bedoeld was, was wel duidelijk, maar als je gezien de achtergrond en andere recente gebeurtenissen serieus mag opvatten, dan kan zo’n grap tóch best eens strafbaar zijn. En nou ja, school shootings en internetdreigingen waren wel een actueel onderwerp. Dus vanuit dat standpunt begrijp ik de zorg wel over hoe serieus het bericht te nemen.

De rechter was bepaald ICT-cluevol. Op zeker moment kwam bijvoorbeeld de vraag langs, waarom heeft u het bericht niet zelf gewist. Had u een wachtwoord ingesteld, had u de cookies laten staan? En dat is nu net een punt waarop 4chan uniek is: het forum werkt niet met registratie en accounts, maar met een wachtwoord per bericht (dat eventueel in een cookie opgeslagen wordt) waarmee je herkend wordt als auteur.

In de 4chanzaak uit 2011 (die van de “een router is geen computer”-discussie) speelde ook deze vraag. Als je weet dat 4chan een onzinforum is en dat er een disclaimer staat met “only a fool would take anything seriously here”, is dan een bericht daar niet evident altijd een grap? Het Hof oordeelde toen (met instemming van de Hoge Raad):

Eerdere schoolshootings zijn immers ook op voorhand via internet aangekondigd en dit gebeurt meestal anoniem en via sites waarbij de maker van het bericht moeilijk te achterhalen is. Uit de voornoemde reactie, geplaatst binnen korte tijd na de posting van de verdachte, blijkt dat niet alle lezers het bericht als een geintje hebben beschouwd. Dat er mensen hebben gereageerd die het wel als een grap hebben gezien doet hier niets aan af.

De Officier kwam nog met de scherpe opmerking dat de ‘jongere’ generatie alles weet van elkaar: alles is publiek, en privacy komt pas om de hoek kijken als het achteraf niet meer leuk was. Jongeren denken niet na over hoe iets overkomt bij anderen, zo zegt ze. Tsja. Snap het standpunt maar daar kun je tegenover stellen dat je dan als ‘oudere’ generatie zou kunnen bedenken dát zo’n bericht afreageren is en niet bedoeld is anders dan shockeren, stoer doen.

Enigszins ergerlijk vond ik de redenering van de officier uit het requisitoir: de gevolgen konden ernstig zijn want kinderen lopen gevaar op zo’n school, dús is de dreiging serieus te nemen. En dús is de bedreiging strafbaar. Maar ze raakt wel aan het dilemma. School shootings zijn helaas serieuze realiteit. Je moet dus dreigingen serieus nemen, want je kunt het je niet veroorloven de fout in te gaan hiermee. Alleen, moet je dan elke bedreiging ook maar strafbaar verklaren?

De officier wilde eigenlijk een onvoorwaardelijke celstraf eisen, maar gezien de jurisprudentie maakt die geen kans. Ze eist dan ook 150 uur werkstraf met een voorwaardelijke celstraf van 1 maand.

Wat vinden jullie? Is een bedreiging gepost op een digitaal afvoerputje serieus te nemen?

Arnoud

Kent u onze boekenserie Deskundig en praktisch juridisch advies al? Webwinkels, hosting, software, security en meer!

De Taskforce Opsporing Vuurwerkbommenmakers spoort de bestellers van zwaar, illegaal vuurwerk op om ze te waarschuwen. Dat meldde Tweakers gisteren. Hoe die kopers worden opgespoord, is niet duidelijk, maar volgens de taskforce wordt er in ieder geval niets onderschept of afgetapt.

In 2011 had deze Taskforce ook al een creatieve videoaanpak: vuurwerkbommenfilmers kregen op Youtube een responsvideo met een streng pratende agent (met de grootste flaporen die ik ooit in uniform heb gezien) dat wat zij lieten zien, een misdrijf was. En dat scheen nog best te helpen ook.

Deze keer gaat men nog wat verder: kopers van illegaal vuurwerk worden geïdentificeerd en per e-mail aangeschreven dat wat zij doen een misdrijf is, hetgeen in een videoboodschap wordt toegelicht. Ook krijgt men per post een brief waarin een en ander nog eens wordt toegelicht.

Oké, goeie actie in principe want illegaal vuurwerk is elk jaar weer goed voor vele ongelukken en gedoe, om van de geluidsoverlast nog maar niet te spreken. Maar eh hoe wéten ze dat? Volgens Tweakers kent men alle details van de bestellingen en bij welke webwinkel dit is gebeurd. Er wordt bezworen dat men geen e-mails aftapt, wat ik nog geloof ook want dan moet je dus van iedere Nederlander de mails lezen op zoek naar de term “vuurwerk” en dan onderzoeken of dat illegaal is. Ja, de NSA en de AIVD kan dat vast maar dat ga je niet onthullen voor een wetsovertreding van deze orde. Plus, het werkt niet als ik via een formulier op een site bestel want daar zit niet per se een e-mail aan vast.

Ik zie dan vier opties:

1. Die webwinkels zijn gevorderd gegevens van Nederlandse klanten af te geven. Dat kan, en verklaart hoe men aan alle gegevens komt, maar die shops zitten in het buitenland denk ik dan dus hoe ga je daar vorderen?


2. Nederlandse webwinkels die illegaal vuurwerk aanbieden zijn gevorderd. Vermijdt het jurisdictieprobleem. Maar als je weet dat er zo’n webwinkel is, moet je die dan niet gewoon sluiten ipv de transactie door te laten gaan en dan Agent Flapoor een boze video te laten inspreken?


3. Nederlandse banken zijn gevorderd gegevens van transacties naar zulke webwinkels af te geven. Geen buitenlandsejurisdictieproblemen daar, maar hoe weet je dan de besteldetails?


4. De Nederlandse douane onderschept vuurwerkpakketjes (er zijn vast wel snuffelhonden die dat kunnen ruiken), opent die en geeft de klantgegevens aan de TaskForce.

Allemaal voelen nogal raar aan. Optie 2 lijkt me de meest logische gezien de feiten, maar kennelijk is de bestelling vervolgens niet tegengehouden. Dat doet dan weer gek aan. En waarom zou die winkelier zwijgen hierover? Optie 4 kan ook maar waarom dan niet meteen ook het pakket tegenhouden?

Een nepwebshop door de taskforce lijkt ook nog een optie. Dan heb je zelf alle gegevens. Maar dat riekt naar uitlokking, hoewel dat afhangt van hoe de site opgezet zou zijn. Het is niet verboden mensen gelegenheid te geven een misdrijf te plegen, zolang je ze maar niet óverhaalt om dat te doen. Dus zochten ze toch al illegaal vuurwerk, dan mag je je voordoen als een illegaalvuurwerkverkoper, maar wie gewoon vuurwerk zoekt mag je geen illegale Cobra’s voorhouden als lokkertje.

Hoe zouden jullie als Taskforcedirecteur deze uitdaging realiseren?

Arnoud

Kent u onze boekenserie Deskundig en praktisch juridisch advies al? Webwinkels, hosting, software, security en meer!

Een lezer vroeg me:

Regelmatig kom ik netwerkschijven of draadloze netwerken tegen die niet goed beveiligd zijn. Je kunt met enkele simpele muisklikken gegevens zien van mensen die zelf denken dat ze goed voor de buitenwereld beveiligd zijn. Graag wil ik deze mensen helpen en ze vertellen dat ze een beveiligingsprobleem hebben. Aan de andere kant wil ik niet in de problemen komen en voorkomen dat een dag later de politie op de stoep staat. Wat zegt de wet hierover?

Antwoord: Het is helaas een feit dat veel mensen niet weten hoe zich te beveiligen, en voor mensen die dat wél weten ligt het dan nog wel eens voor de hand om die mensen dan maar even een handje te helpen. En die hulp varieert van een .txt bestandje achterlaten met “Dit is niet slim” of het SSID aanpassen tot proactief een wachtwoord op iemands netwerk zetten.

Formeel is het strafbaar om op iemand anders netwerk binnen te gaan, ook als je goede bedoelingen hebt. De wet noemt het “binnendringen” (art. 138ab Strafrecht) als je jezelf toegang verschaft tot een computer of netwerk terwijl je weet dat je daar niet mag zijn. Of de computer/het netwerk beveiligd zijn, is daarbij sinds 2008 niet meer van belang.

Heel misschien kan er hier toch een rechtvaardiging bestaan. De wet noemt namelijk in het algemeen het principe van ‘zaakwaarneming’ (art. 6:198 BW). Je mag andermans problemen gaan oplossen als daar een goede reden voor is en die persoon dat niet zelf kan doen. Als je buren op vakantie zijn en de kat zit hongerig alleen thuis, dan mag je de deur forceren en het dier naar een dierenarts of asiel brengen. (En de rekening is dan voor je buren.) Dat is dan geen inbraak maar een gerechtvaardigd binnentreden op grond van zaakwaarneming.

Als je dan zegt, het onbeveiligd zijn van het netwerk is net zo erg als het hongerig zijn van de kat, dan kun je daarmee rechtvaardigen dat je binnendringt in het onbeveiligde netwerk en dit gaat oplossen. Wel moet je dan zo min mogelijk schade toebrengen en de buurman informeren dat jij dit hebt gedaan. Ja, met je naam en 06 erbij dus want je bent geen crimineel maar een buurman met een beveiligingstip. Toch?

Arnoud

Kent u onze boekenserie Deskundig en praktisch juridisch advies al? Webwinkels, hosting, software, security en meer!

Een lezer vroeg me:

Ik ben webdesigner en zit met een probleem. Ik heb een heel vervelend ex-vriendje die regelmatig in het hackerscircuit te vinden is. Hij vindt het de laatste paar maanden leuk om elke dag mijn domein of IP-adres op allerlei blacklists te zetten, waardoor ik geen van mijn klanten kan mailen. Ik kan dat wel oplossen maar dan moet ik elke dag weer met die zwartelijstbeheerders overleggen, maar het kost me behoorlijk veel klanten en veel frustratie. Wat kan ik doen?

Dit is een hele moeilijke. Juridisch zou er wel wat aan te doen zijn: dit riekt voor mij naar stalking – structureel iemand lastigvallen. Ook kun je het gooien op een oneerlijke handelspraktijk, of gewoon op de maatschappelijke zorgvuldigheid – dit moet niet mogen, dus mag het niet. Het grote punt zal zijn dat er bewijs moet komen dat hij het is. En hoewel het voor de hand ligt, is er echt meer nodig dan “wie behalve hij zou dat doen”. Anders kan hij eenvoudig ontkennen en houdt het snel op.

Andere oplossingen weet ik zo even niet. Vaak is er met de blacklist-beheerders wel afspraken te maken. Zij moeten toch ook zien dat het steeds hetzelfde IP-adres is en dat de vraagsteller steeds met een goede uitleg komt. Na hoe veel keer zeg je dan, we negeren deze blacklistmelding.

Hebben jullie nog suggesties?

Arnoud

Kent u onze boekenserie Deskundig en praktisch juridisch advies al? Webwinkels, hosting, software, security en meer!

Weet u nog, de Taskforce Opsporing Vuurwerkbommenmakers? Vuurwerkkopers dachten dat ze online vuurwerk bestelden in Polen. Maar in werkelijkheid hadden ze te maken met websites van de Taskforce Opsporing Vuurwerkbommenmakers, zo geeft de Taskforce nu toe aan de NOS. Ik zat me al af te vragen hoe men in vredesnaam die gegevens te pakken kon krijgen (e-mail onderscheppen? banken vorderen?) maar het was dus een nepshop (goeie, Bram!). Dus dan pak ik gelijk door: mag dat wel, zo’n nepvuurwerkwinkel? Of is dat uitlokking?

Van uitlokking is in ons strafrecht sprake als je iemand op andere gedachten brengt, hem overhaalt het strafbare feit te plegen terwijl hij dat zelf niet van plan was. In het lokfiets-arrest bepaalde de Hoge Raad dat je iemand niet uitlokt door een onafgesloten fiets neer te zetten op een plek waar vaak fietsen steelt. Een fiets is een fiets, en de dief kiest er nog altijd zelf voor om die te stelen. Zou een agent na het plaatsen naar een stel junks toegaan en zeggen “hee daar staat me een mooie fiets, en onafgesloten ook nog”, dan wordt het al twijfelachtiger. En is het de duurste racefiets met gouden kettingen en ingebouwde radio die je kunt vinden, dan lijkt het me ook niet te kunnen.

In deze situatie is dus een lokwebwinkel opgezet, die te koop staand vuurwerk adverteerde maar in werkelijkheid persoonsgegevens verzamelde. Kopers werden vervolgens aangeschreven en gewaarschuwd. In de politiereactie bij het NOS-bericht wordt zorgvuldig om de vraag heen gedanst of dit privacytechnisch wel mag, qua Wbp en Wet politiegegevens zeg maar. Want het verzamelen is gedaan door een stichting (en die mag meer dan de politie) maar wel in sámenwerking met de politie (en dan val je ook als burger toch al snel onder de politieverantwoordelijkheid). Maar dat even terzijde, want ik vind de uitlokvraag veel interessanter.

Je kunt natuurlijk zeggen, winkel is winkel net als fiets is fiets. Je kiest er zelf voor om ergens illegaal vuurwerk te gaan kopen. Maar: is dat wel zo? Een winkel moet, om gevonden te worden, wel reclame maken. En de definitie van reclame, “iemand overhalen iets te kopen bij jou”, past best wel bij “iemand overhalen een strafbaar feit te begaan”.

Natuurlijk, hij was al van plan om vuurwerk te kopen dus écht andere gedachten zijn het niet. Als ze nu hadden geadverteerd op trefwoord ‘furby’ en dan “Vergeet dat stomme beest, koop een Megahyperknaller van 180 decibel en verras uw buren”, ja dan had ik het wel uitlokking genoemd.

Maar was deze koper ook van plan om illegaal vuurwerk te kopen? Daarvoor zou je de advertenties en de webshop moeten weten, en die blijken niet meer te achterhalen. (Wie heeft ze nog?) Dat kan best eens subtiel zijn. Als ik zoek naar sterretjes of simpele pijlen en ik zie allemaal advertenties voor die Megahyperknaller, word ik dan uitgelokt dat illegaal stuk vuurwerk te kopen?

Arnoud

Kent u onze boekenserie Deskundig en praktisch juridisch advies al? Webwinkels, hosting, software, security en meer!

Israël heeft het uploaden van seksueel getinte foto’s en filmpjes zonder toestemming van de personen in beeld verboden, om ‘wraakporno’ tegen te gaan, las ik bij Tweakers. Wie seksueel expliciete afbeeldingen van een ander publiceert, is strafbaar als hij geen toestemming heeft. Daarmee wil men het fenomeen ‘revenge porn’ oftewel wraakporno aan banden leggen: het publiceren van expliciet privébeeld om zo de ex-partner terug te pakken. En hoe zit dat in Nederland?

In Nederland is geen aparte wetgeving tegen wraakporno. Er zijn twee sporen waarlangs een dergelijke publicatie kan worden aangepakt: smaad en portretrecht.

Van smaad is sprake als je opzettelijk iemands eer of goede naam aanrandt. Dat kan ook per foto: in 2008 werd een man veroordeeld voor het verspreiden van naaktfoto’s van zijn exvriendin via internet. Door deze foto’s te voorzien van haar naam, was het duidelijk dat zijn doel was haar reputatie te beschadigen.

Wel moet daarbij sprake zijn van een publiek aanbieden, zo leerden we afgelopen juli. Een filmpje met één persoon delen via WhatsApp is geen smaad; daarmee komt het filmpje niet “voor het publiek” beschikbaar en dat is een vereiste bij smaad.

Een ander discusiepunt is of de publicatie wel bedoeld is om iemands reputatie te beschadigen. Dat klinkt evident, maar in de Manon Thomas-zaak werd in hoger beroep bepaald dat daar geen sprake van was. Kennelijk is het voor een BN-er een compliment als je naakt over internet gaat?

Thomas kreeg wél gelijk op het punt van portretrecht. Wie herkenbaar in beeld is (wat ook zonder je gezicht mogelijk is, bv. omdat mensen je naam erbij zetten), kan zich verzetten tegen publicatie van dat beeld. Daarbij onderscheidt de wet twee situaties. Als de foto’s in opdracht van het model zijn gemaakt, dan is toestemming nodig. Zijn de foto’s zonder opdracht gemaakt (zoals bij straatkiekjes) dan is een belangenafweging nodig tussen nieuwswaarde en privacy (of ander portretrechtbelang).

Veel wraakporno is door het slachtoffer zelf gemaakt of door diens toenmalige partner, je mag dan veronderstellen dat dit in opdracht is gemaakt. De expartner mag dit dan niet publiceren zonder toestemming. Echter, als de partner de foto’s stiekem maakte dan zou je inderdaad spreken van een portret zonder opdracht, zodat het slachtoffer zou moeten aantonen dat de privacy zwaarder weegt dan de publicatiewaarde. Maar de nieuwswaarde van zulke foto’s lijkt me minimaal en de privacyschending maximaal, dus dat zou wel een héél uitzonderlijke situatie moeten zijn die publciatie rechtvaardigt.

Een aparte wet tegen dit fenomeen lijkt me dus niet echt nodig. Maar ja, het klinkt stoer.

Arnoud

Kent u onze boekenserie Deskundig en praktisch juridisch advies al? Webwinkels, hosting, software, security en meer!

Een 23-jarige man die vijfduizend e-books verspreidde via de torrentsite The Pirate Bay, mag niet worden vervolgd voor auteursrechtenschending. bij Nu.nl. Hoewel het uploaden van ebooks strafbaar is, is het Openbaar Ministerie in deze zaak niet ontvankelijk omdat ze in strijd heeft gehandeld met haar eigen beleid.

Opzettelijke inbreuk op auteursrecht is een misdrijf, zo staat in de wet (art. 31 Auteurswet). Maar in Nederland wordt niet ieder misdrijf vervolgd. De politie en het OM beslissen welke zaken belangrijk genoeg zijn om te vervolgen. Om dat een beetje formeel vast te leggen, is er een Aanwijzing intellectuele-eigendomsfraude opgesteld door het OM die de criteria noemt waaronder besloten kan worden tot strafrechtelijke vervolging van auteursrechtinbreuk. En die Aanwijzing opent heel duidelijk met:

Het uitgangspunt van het openbaar ministerie bij de bestrijding van inbreuken op intellectuele-eigendomsrechten is dat in beginsel civielrechtelijke handhaving door de rechthebbende zelf, voorop dient te staan

Afwijkingen van dit uitgangspunt kunnen zich voordoen bij

• Bedreiging van de volksgezondheid of de veiligheid van de samenleving
• Grootschalige namaak en piraterij, gepleegd in beroep of bedrijf, die de markt verstoren
• Het bestaan van aanwijzingen van betrokkenheid van criminele organisaties of georganiseerde criminaliteit
• Recidive
• Niet voldoen aan transactievoorstel van de offcier van justitie ex art. 74 WvSr.

Wie e-books op internet zet, valt niet evident onder deze vijf punten. Daarmee is eigenlijk de discussie al klaar: dit is geen taak voor het OM.

Sterker nog, iets verderop staat:

Schadelijk en zeer marktverstorend is internetpiraterij. Men biedt via de site bestanden met muziek, films en/of games ter download aan. ‘Prerelease’-materiaal is daarbij zeer gewild. Vaak levert dit geen geldelijk gewin op voor de aanbieders, maar vormt het wel een ernstige inbreuk met grote economisch schade voor de branche. Civielrechtelijk handhaven staat hier voorop. Wanneer duidelijk wordt dat de aanbieder zich niks gelegen laat liggen aan civielrechtelijke handhavingsmodaliteiten (geconstateerde recidive), is strafvorderlijk optreden geïndiceerd.

Wanneer het dus gaat om niet-commerciële inbreuk, dan ligt de bal in eerste instantie bij Brein en collega’s. Pas als iemand zich ‘niks’ gelegen laat aan hun dwangsommen en vonnissen, zou het OM alsnog in actie kunnen komen. Maar daarvan was hier geen sprake.

Als je als Openbaar Ministerie dergelijk beleid formuleert, dan is dat bindend voor het OM. Zulk beleid is een belofte aan de samenleving, dit is hoe wij als OM zullen handelen. En belofte maakt schuld. Omdat het hier gaat om een first offender die zonder winstoogmerk eenmalig een grote bak e-books heeft gedeeld, valt hij buiten de Aanwijzing zodat het OM hem niet mág vervolgen.

Volgens mij is dit principe al vrij oud en het verbaast me dan ook hogelijk dat het OM überhaupt heeft gemeend te moeten vervolgen. Als ik nu “ga bóeven vangen” zeg, dan ben ik vast een tendentieuze auteursrechthater.

Arnoud

Kent u onze boekenserie Deskundig en praktisch juridisch advies al? Webwinkels, hosting, software, security en meer!

Het gerechtshof in Leeuwarden heeft een boete vernietigd die geheel geautomatiseerd was uitgevaardigd, meldde Tweakers vorige week. Uit het arrest blijkt dat het gaat om een boete voor het niet APK-gekeurd zijn van een auto, wat volautomatisch wordt geconstateerd en beboet waarna de eigenaar mag bewijzen dat de auto wél gekeurd was. Ook na herhaald aandringen krijgt het Hof geen naam van een specifieke opsporingsambtenaar die het nietgekeurdzijn heeft geconstateerd, waarop de boete wordt vernietigd.

Het is een terechte uitspraak, maar het fascineert me wel: waarom hechten we zo veel waarde aan de handmatige observatie van faalbare mensen en eigenlijk nauwelijks aan rekenwerk waarvan we met grote waarschijnlijkheid kunnen zeggen dat het klopt?

Is dat omdat computers niet flexibel zijn, geen redelijkheid toevoegen? Genoeg koppige ambtenaren die niet veel beter zijn dan computers qua flexibiliteit. Dat een computer fouten kan maken? Vast, maar minder dan een mens.

De enige echte reden die ik kan bedenken is dat het aanvechten van een gecomputeriseerde boete als heel moeilijk wordt ervaren. Je belandt gelijk in de bureaucratische nachtmerrie van “computer says no” en bedrijfsprocessen die vrolijk doortuffen naar beslaglegging, detentie, aanmelden bij BKR (bij niet-betalen facturen) ongeacht hoe duidelijk je verhaal is. Sorry, u heeft geen keuze gemaakt uit opties 1 t/m 4 dus uw bezwaar wordt niet in behandeling genomen. Ach, wilde u een keuze “overig” en een invulveld? Nee die had de ontwikkelaar niet meegenomen in de UI, staat voor de volgende sprint in april gepland. U wilt dan mailen? Sorry, ons bestuursorgaan is niet voor elektronische communicatie opengesteld. Sorry, ik laat me even gaan. Maar dat werk dus.

Toch weet ik het niet. Is het echt wenselijk dat we blijven zitten bij alles handmatig door Bromsnor laten afhandelen, en maar hopen dat die het goed ziet, fair is naar iedereen, nooit vermoeid het verkeerde nummer noteert en vooral altijd netjes blijft werken? Terwijl genoeg onderzoek laat zien dat mensen dat niet kúnnen?

Arnoud

Kent u onze boekenserie Deskundig en praktisch juridisch advies al? Webwinkels, hosting, software, security en meer!

Een lezer vroeg me:

De NS gebruikt een driekantsleutel (zie plaatje) om treindeuren te openen en sluiten. Volgens mij is het hebben van zon sleutel niet strafbaar. Maar mag ik nu voor geïnteresseerden een 3d cad bestand maken zodat ze voor hun privébezit zo’n sleutel mogen printen? Of ben ik dan aansprakelijk voor strafbare zaken die zij uithalen? Kan ik dat oplossen door bijvoorbeeld het bestand onder GPL vrij te geven? Daar staat immers een beperking van aansprakelijkheid in.

Een sleutel hebben (echt of nagemaakt) is inderdaad niet strafbaar. Het gebruiken van zo’n sleutel om ergens binnen te gaan wel, dat is lokaalvredebreuk en dat is een strafbaar feit. Specifiek een regel tegen het onbevoegd sluiten van treindeuren weet ik zo niet.

Een sleutel namaken is op zich niet strafbaar, tenzij je weet (of moet weten) dat de opdrachtgever met die sleutel strafbare feiten wil gaan plegen. Dan ben je immers medeplichtig.

Met een disclaimer of licentie met aansprakelijkheidsbeperking kom je er niet in die situatie. Of dat nu een opensourcelicentie is of een maatwerktekst. Net zo min als je vingers in je oren doen en heel hard LALALA zingen als de opdrachtgever uitlegt wat hij er mee gaat doen. De tekst uit de GPL zegt alleen dat de maker niet aansprakelijk is naar de gebruiker van de software, dus als iemands 3d printer oververhit en ontploft door dit model dan ben je beschermd via de licentie. Maar de NS heeft niets te maken met die tekst.

Als de sleutel ook een legitiem doel heeft (bv. verwarmingsradiatoren openen) en dat is serieus vol te houden, dan kun je het op die grond gooien. Maar zet er dan niet bij “Uiteraard niet bedoeld om de trein snel uit te komen ;)” of zo. Dan sta je wellicht toch weer strafbare feiten uit te lokken.

Kortom, het gaat niet per se om de sleutel of het 3d cad bestand waarmee de sleutel te printen is. Minstens zo belangrijk is hoe je dit presenteert, waartoe je mensen aanzet of uitlokt.

Arnoud

Kent u onze boekenserie Deskundig en praktisch juridisch advies al? Webwinkels, hosting, software, security en meer!

Een Amerikaanse rechter heeft bepaald dat Microsoft data moet afgeven aan Justitie, ondanks het feit dat die data op een server in Ierland staat en onder beheer is van Microsofts Ierse dochter. Dat meldde Slashdot gisteren. Microsoft had de search warrant aangevochten met de stelling dat de Ierse dochter buiten Amerikaanse jurisdictie valt, maar de rechter bepaalt nu dat dit geen relevant argument is bij clouddatavorderingen.

Het gelinkte Reuters-artikel legt uit dat het ging om e-maildata van een klant die op servers in Ierland stond. Deze servers worden beheerd door Microsofts Ierse dochter. Toen het moederbedrijf het bevel kreeg deze data af te geven, stapte men naar de rechter – zoals het bedrijf al meerdere malen had gemeld te zullen doen, in een poging angst over wereldwijd Patriotactdatagraaien bij Europese bedrijven en instellingen weg te nemen.

Het argument van Microsoft was gestoeld in twee eeuwen jurisprudentie: de Amerikaanse Justitie kan geen bevel geven om een buitenlands huis (of kantoorgebouw) te doorzoeken, ook niet als dat huis van een Amerikaan is. Daar mag men simpelweg niet in zoeken. En wat is nu het verschil tussen een server en een kantoorgebouw?

De rechter ziet het echter anders: het gaat hier niet om fysiek bezoeken van een locatie maar om het opvragen van data. En het is óók twee eeuwen jurisprudentie dat een Amerikaan die iets heeft dat moet komen brengen als de rechter daarom vraagt. Ook al ligt het iets in kwestie in een ander land. En als je die doctrine loslaat op e-mail dan moet Microsoft Inc de data dus maar gaan halen in Ierland. Of haar dochter bevelen dit te doen, wat ze juridisch kan aangezien dochterbedrijven moeten doen wat hun moederbedrijven zeggen.

Microsoft gaat bezwaar maken tegen deze beslissing. Een goede zaak, want dan krijgen we eindelijk eens écht duidelijkheid over hoe ver Amerikaans clouddatagraaien nu mag gaan. (Overigens gaat het hier niet om de Patriot Act maar de Stored Communications Act, qua concept vergelijkbaar met ons Wetboek van Strafvordering. En nu vraag ik me dus af of onze wet ook zo te lezen zou zijn als toepasselijk op data op een in het buitenland gehoste server van een Nederlands bedrijf. Ik kan er alleen niets over vinden…

Arnoud

Kent u onze boekenserie Deskundig en praktisch juridisch advies al? Webwinkels, hosting, software, security en meer!

Soms gaan mijn juridische tenen echt zó krom staan bij het lezen van een vonnis, dat wil je niet weten. In een vonnis van medio april werd een man strafrechtelijk veroordeeld voor het inzetten van een “heimelijk geplaatst track&trace-systeem” dat hij onder iemands auto had gehangen.

De man had eind 2012 een Haicom GPRS tracker gekocht, een GPS/GSM-combinatie die zijn locatie periodiek doorbelt zodat live tracking van waar het apparaat zich bevindt, mogelijk wordt. Hij had dit apparaat bevestigd onder de auto van een ander, met als doel te achterhalen waar deze ander zijn boot had verstopt. Ik neem aan door te zien waar die meneer heenrijdt en dan na te gaan of dat een loods voor een boot is.

Toen de eigenaar het ding ontdekte, deed hij aangifte waarna de plaatser werd vervolgd. Maar er is in het strafrecht geen artikel dat het wederrechtelijk continu vaststellen van iemands locatie verbiedt. Nou ja misschien stalken, het opzettelijk en wederrechtelijk stelselmatig inbreuk maken op iemands persoonlijke levenssfeer. Maar dat was niet ten laste gelegd. Dus wat nu?

De officier had artikel 139d Strafrecht van stal gehaald. Volgens dit artikel is het strafbaar om een gesprek, telecommunicatie of andere gegevensoverdracht af te tappen of op te nemen als je daar niet toe bevoegd bent. Oké, maar welke gesprekken of telecommunicatie worden (wordt? Ruud, help) er afgeluisterd als je een GPS/GSM-tracker plaatst?

Je wilt misschien je schoenen uitdoen als je ook last hebt van krommende juridische tenen, want dit is dan wat de rechtbank zegt:

Door een SIM-kaart in het track&trace-systeem te plaatsen heeft verdachte dit systeem zodanig ingericht dat hij door middel van een geautomatiseerd werk, te weten een computer, via de door de leverancier meegeleverde software kon inloggen en vervolgens kon beschikken over de gegevens die via gsm-masten werden overgedragen.

Oftewel: er wordt wederrechtelijk telecommunicatie met de GSM mast afgetapt. Meneer krijgt via een GSM (gprs) verbinding data binnen over de locatie van een GPS-apparaat, en dat mag niet. Want, eh, ja want. Want. Ja. Eh.

De rechtbank is van oordeel dat in het onderhavige geval het door middel van een geautomatiseerd werk (computer) oproepen van alle door het technisch hulpmiddel (track&trace-systeem) opgevangen signalen uit de ether (interceptie) dient te worden aangemerkt als aftappen.

Want ja eh dat is aftappen. Hùh.

Ik snap hier werkelijk niets van. De GSM-communicatie is legaal, want meneer heeft zelf de SIM-kaart gekocht en het abonnement (prepaid?) geactiveerd. Dat men vervolgens ongewenste/ongepaste/strafbare data over die verbinding transporteert, maakt het nog geen áftappen van die verbinding. Net zo min als wanneer ik een strafbare uiting per mail verzend.

Als je zegt, maar hij mócht die GPS-data niet overdragen: prima, maar waar staat dat in de wet? Plus, dan nog tápt hij deze niet. Dat gaat inherent over het meeluisteren/meekijken bij andermans dataoverdracht.

Dus nee. Hier klopt echt weinig van. (Ik denk wel dat dit soort track&trace strafbaar is, maar dan als stalking dus.) Het voelt als, dit moet niet legaal zijn dus laten we de wet zo uitleggen dat het niet legaal is. En dat is écht verkeerd.

Waarmee niet gezegd is dat de rechtbank de ballen verstand heeft van techniek – ze weten er meer van dan de politie want die schrijft consequent “gsp” als ‘ie “gps” bedoelt. Maar dat terzijde.

Arnoud

Kent u onze boekenserie Deskundig en praktisch juridisch advies al? Webwinkels, hosting, software, security en meer!

Het Team High Tech Crime van de Nederlandse politie is een server van Blackshades binnengedrongen en heeft op die manier informatie veiliggesteld, meldde Nutech onlangs. Dit in het kader van een strafrechtelijk traject tegen de beheerders, waarbij ook invallen in 34 Nederlandse huizen werden gedaan. Hoogst opmerkelijk, want er is nog steeds geen wettelijke grondslag voor het binnendringen van servers door de politie.

Blackshades is een remote access tool dat als malware wordt verspreid om zo op afstand geïnfecteerde computers te kunnen overnemen. Eén van de features is het gijzelen van bestanden totdat er wordt betaald, een steeds populair wordende truc.

Om dergelijke netwerken te kunnen beheren, zijn zogeheten command & control servers nodig. En het Team High Tech Crime wist toegang te krijgen tot deze servers, ongeveer zoals ze deden in 2010 met het Bredolab-netwerk.

Er was toen veel discussie of dat wel mag eigenlijk, hackende politie. Het idee is namelijk dat de politie niets mag, tenzij dit wettelijk geregeld is. (En nou ja, kleine dingen die de grondrechten van de burger niet raken zijn toegestaan in artikel 3 Politiewet). En nergens in de wet staat dat ze in mogen breken in een c&c server van een criminele botnetbeheerder.

Er ligt al een tijdje een wetsvoorstel Computercriminaliteit III waarin expliciet een dergelijke bevoegdheid opgenomen is:

1. In geval van verdenking van een [ernstig misdrijf] kan de officier van justitie, indien het onderzoek dit dringend vordert, bevelen dat een opsporingsambtenaar als bedoeld in artikel 141, onder b, of een buitengewoon opsporingsambtenaar als bedoeld in artikel 142, eerste lid, onder b, binnendringt in een geautomatiseerd werk of een daarmee in verbinding staande gegevensdrager, bij de verdachte in gebruik, en met een technisch hulpmiddel onderzoek doet …

De Memorie van Toelichting noemt dit een “nieuwe bevoegdheid voor opsporingsambtenaren”. En dat geeft gelijk een leuk juridisch argument: als het in een nieuwe wet toegestaan wordt, dan is het onder de huidige dús niet toegestaan.

In het Nutech-artikel wordt gemeld dat de rechter-commissaris hiervoor een machtiging heeft afgegeven. Leuk, maar onder welk artikel dan? Ik kan niet bedenken welk wetsartikel men hiervoor zou inzetten. Hooguit het in beslag nemen van de server en deze dan doorzoeken. Dat mag al, hoewel je dan wel fysiek de server mee moet kunnen nemen. En dat is volgens mij niet gebeurd.

We hebben het hier al over gehad maar zou het een goed idee zijn, zo’n hackbevoegdheid?

Arnoud

Kent u onze boekenserie Deskundig en praktisch juridisch advies al? Webwinkels, hosting, software, security en meer!

Boetes voor onverzekerde voertuigen die geautomatiseerd worden opgelegd, zijn niet per se onrechtmatig, meldde de NOS vrijdag. Het Hof Arnhem-Leeuwarden bepaalde dit in vervolg op een arrest waar ik in februari over blogde. Bij een man was geautomatiseerd vastgesteld dat zijn bromfiets onverzekerd zou zijn, waarna een boete door verbalisant ’404040′ werd opgelegd. Omdat dat verwees naar een computer, was dat te weinig om dit te mogen doen. Omdat het OM nu heeft uitgelegd hoe het werkt, mag het wel.

In februari werd de boete voor het onverzekerd zijn van de bromfiets nog afgewezen met het argument dat niet kon worden vastgesteld dat de boete door een bevoegd ambtenaar werd opgelegd. Het systeem kwam niet verder dan “verbalisant 404040″ en dat was de computer van het CJIB.

In reactie daarop komt het OM nu met nadere toelichting. Bevoegd ambtenaren moeten de sanctie opleggen, maar in de wet staat dat de gedraging waar de sanctie op staat, ook “op geautomatiseerde wijze” mogen vaststellen. Dus niet zelf zien maar op een computerfoto. En bij de RDW-verzekeringscontrole werkt dat zo. De computer van de RDW zoekt kentekens na, en als deze niet in het juiste bestand staan dan wordt dit doorgegeven aan het CJIB. Het CJIB verstuurt dan volautomatisch een beschikking.

Mag dat? Eh ja, zegt het Hof enigszins tot mijn verbazing. Er is ergens bij het CJIB een bevoegd ambtenaar aanwezig, maar die beslist niet per geval dat de boete juist is opgelegd. Alleen, dat hoeft niet, zo constateert het Hof nu na de wetsgeschiedenis er nog eens op nageplozen te hebben:

Anderzijds kan uit de totstandkomingsgeschiedenis van artikel 3, tweede lid, WAHV evenmin worden afgeleid dat bij de sanctieoplegging geen gebruikt mag worden gemaakt van de mogelijkheden die de automatisering biedt en dat de aangewezen ambtenaar, nadat op geautomatiseerde wijze een gedraging is vastgesteld, afzonderlijk en individueel moet beslissen of een sanctie wordt opgelegd.

Verder is het zo dat er in de praktijk eerst een tussenstap wordt genomen: je krijgt een brief dat je onverzekerd bent. Reageer je, dan gaat er (zo zegt het CJIB) een mens naar je dossier kijken en wordt dán pas besloten. Door die mens. Zo worden de bijzondere situaties opgevangen.

Vorige keer vroeg ik me af: is het echt wenselijk dat we blijven zitten bij alles handmatig door Bromsnor laten afhandelen, en maar hopen dat die het goed ziet, fair is naar iedereen, nooit vermoeid het verkeerde nummer noteert en vooral altijd netjes blijft werken? Dat gaf veel reacties, met name over de zorg van correct geprogrammeerd zijn van het systeem maar ook de flexibiliteit van de mens: een computer snapt bijzondere gevallen niet.

Aan die zorg komt het systeem tegemoet – je mag piepen en dan kijkt er iemand naar. Dat is een oplossing, maar vereist wel dat de burger de wet kent en weet wat ertegen te doen is. En dat vind ik niet fair – het zou de overheid moeten zijn die weet wat de wet is en geen onjuiste boetes uitschrijft. Bezwaarschriften zouden een uitzondering moeten zijn voor de absoluut niet te voorziene situaties.

Alleen: alles handmatig doen werkt niet meer, met deze aantallen boetes. Dus hoe moet het dan wel?

Arnoud

Kent u onze boekenserie Deskundig en praktisch juridisch advies al? Webwinkels, hosting, software, security en meer!