Quantcast
Channel: Strafrecht – Ius Mentis
Viewing all 101 articles
Browse latest View live

Moet GeenStijl het IP-adres van haar reaguurders afgeven?

0
0

vordering-geenstijl-126nd-gegevensEen dikke vette vordering/machtiging/bevel van het Arrondissementsparket Amsterdam en een echte officier van justitie. Of GeenStijl even naam, adres, woonplaats alsook historische gegevens en ip-adressen van een drietal reaguurders wil overhandigen. Dat schreef het shockblog eerder deze week. Nee, was de reactie. Maar eh, heb je zo veel te willen dan als er een bevel van de officier ligt met een vordering tot afgifte?

De vordering tot afgifte van gegevens is gebaseerd op artikel 126nd Strafvordering. Bij verdenking van een ernstig misdrijf (zoals gedefinieerd in art. 67 Strafrecht) mag de officier van Justitie gegevens vorderen die van belang zijn voor het onderzoek. Voor een vordering als deze is wel vereist dat de rechter-commissaris toestemming geeft, maar die is er.

De vordering noemt zelf niet wat het strafbare feit zou zijn. Gezien de aard van de comments zou het kunnen gaan om beweerdelijke groepsbelediging (discriminatie) art. 137c Strafrecht, en dat is een ernstig misdrijf, zo staat in dat artikel 67, als je dat “in vereniging” doet. En er zijn hier drie mensen die gezamenlijk reaguren.

Klaar als een klontje dus, zou je zeggen. En dan kun je wel stoer doen als stijlloos blog, maar afgeven ga je.

Nou, niet per se. Het gaat hier niet om zomaar een vordering aan zomaar iemand die gegevens heeft, maar om een vordering aan een journalistiek medium. Want wat je ook van GS mag vinden, ze zijn journalistiek bezig. En dán mag je niet zomaar gegevens vorderen; journalisten hebben recht op bescherming van hun bronnen. Het beleid van het OM is dan ook

In ieder geval lijkt het toepassen van dwangmiddelen gerechtvaardigd als dat het enige effectieve middel is om een zeer ernstig delict op te helderen. Het moet dan gaan om die misdrijven waarbij het leven, de veiligheid of de gezondheid van personen ernstig is geschaad of in gevaar kan worden gebracht. Daarvan zal in beginsel sprake zijn bij het opsporen van de verdachte van bijvoorbeeld een reeks van ernstige zedenmisdrijven, het traceren van een hoeveelheid explosieven of het inrekenen van een voortvluchtige moordenaar.

en ja dat is juridisch bindend tegen het OM te werpen.

Je kunt je natuurlijk wel afvragen in hoeverre hier sprake is van een journalistiek relevante bron. Het ligt wat anders dan in de Crimesite-zaak waarbij IP-adressen van potentiële getuigen werden gevraagd in verband met een misdrijf dat elders werd gepleegd (een mishandeling op straat). Hier gaat het om informatie over de dader vanwege een uiting die ze op de site zelf hebben gedaan. Het voelt wat gek om in dat verband te spreken van een brón die de journalist wil beschermen.

Arnoud

Kent u onze boekenserie Deskundig en praktisch juridisch advies al? Webwinkels, hosting, software, security en meer!


De strafbaarheid van luisteren naar iemands broekzak

0
0

broekzak-telefoon-afluisterenEen rechter in Amerika heeft besloten dat broekzakbellers hun recht op privacy verliezen door het per ongeluk bellen van derden, las ik bij Webwereld (en ik reageerde bij RTL waar ze me advocaat durven te noemen).

Uit het Amerikaanse arrest blijkt maar weer eens hoe anders men daar tegen privacy aankijkt. Privacy heb je als je thuis de gordijnen dicht doet, punt. Als jij niet goed oplet en anderen komen iets over je te weten, sucks to be you en moet je de handleiding maar lezen volgende keer. ZOals men het in dit arrest formuleert:

Under the plain-view doctrine, if a homeowner neglects to cover a window with drapes, he would lose his reasonable expectation of privacy with respect to a viewer looking into the window from outside his property.

De grens daarbij ligt bij wat mensen met “technology in general public use” niet meer kunnen. Die NSA-satelliet die dwars door je dak heen filmt, schendt dus je privacy. Die drone boven je achtertuin filmt daar legaal. Of natuurlijk wanneer de ander het initieert: als ik je telefoon pak, mezelf bel en het toestal dan met uitgeschakeld scherm terug in je zak steek, dan ben ik aan het afluisteren.

Die telefoon in je broekzak die een billenbelletje pleegt, is dus ook legaal. Algemeen bekende technologie waarvan eveneens algemeen bekend is hoe je dat voorkomt: je telefoon locken, of de appstore doorsnuffelen op zoek naar anti-butt dial apps. Oftewel, je doet je best maar om het te voorkomen want anders is het jouw probleem. Ja, dat is een tikje hard.

Bij ons ligt dat anders. Het is strafbaar een gesprek af te luisteren of op te nemen als je daar geen deelnemer aan bent en ook niet in opdracht van een deelnemer handelt (art. 139a Strafrecht als het in een besloten ruimte is en 139b Strafrecht elders). En dat is precies de situatie als je een broekzakbelletje krijgt en vervolgens meeluistert naar wat je via die broekzak kunt horen. Natuurlijk, je initieert het afluisteren niet, maar zodra je doorkrijgt dat je per abuis gebeld bent en iets hoort dat eigenlijk een gesprek zonder jou had moeten zijn, kom je toch een heel eind in het strafrechtelijk gebied. Ik denk dat je over de grens gaat zelfs.

Wat vinden jullie? Amerikaans: je moet maar opletten? Of Europees: hang op in plaats van als nieuwsgierig Aagje mee te luisteren?

Arnoud

Kent u onze boekenserie Deskundig en praktisch juridisch advies al? Webwinkels, hosting, software, security en meer!

IP-adressen ministerie gekaapt door Bulgaren, mag dat?

0
0

class-a-ip-address.pngIP-adressen van het ministerie van Buitenlandse Zaken zijn vorig jaar een week lang in handen gekomen van Bulgaarse criminelen, meldde de Volkskrant vorige week. Middels een BGP Hijack wist men internetverkeer van en naar deze IP-adressen te kapen, waarmee men in theorie in staat zou zijn geweest malware of phishingmails te versturen die niet te onderscheiden zouden zijn van echte. Volgens het ministerie zijn er ‘geen signalen van daadwerkelijk misbruik’. Tentamenvraag: welk strafrechtartikel wordt hier overtreden?

Wat er gebeurt bij een BGP hijack is dat een aanvaller hard gaat roepen dat hij een snellere route weet voor IP-verkeer naar een aantal specifieke IP-adressen. Dat is op zich een standaardfeature uit het Border Gateway Protocol (BGP): iedereen vertelt elkaar voor welke IP-adressen hij verkeer kan routeren, en zo kan iedereen snel bepalen waar pakketjes het beste heen kunnen.

Zo’n route-advertentie kan per ongeluk gebeuren, maar een slimme aanvaller kan het ook met opzet uitvoeren. Het kan zelfs zodanig dat het slachtoffer het niet merkt: de aanvaller stuurt dan het verkeer (eventueel licht gemanipuleerd) door naar de IP-adressen van het slachtoffer. Hij kan dan bijvoorbeeld meelezen of heel specifieke data manipuleren.

Dit voelt strafbaar, maar noem eens een wetsartikel dat hiervoor geschreven is? Computervredebreuk is dit niet, want er wordt niet binnengedrongen in een computer van Buitenlandse Zaken. Een denial-of-service aanval is het ook niet echt te noemen, de computers van het ministerie hadden nergens last van en draaiden geen millihertz harder door deze aanval.

Op Twitter noemt cyberofficier Lodewijk van Swieten artikel 161sexies als een mogelijke optie, en dat lijkt mij ook het beste passen:

Hij die opzettelijk enig geautomatiseerd werk of enig werk voor telecommunicatie vernielt, beschadigt of onbruikbaar maakt, stoornis in de gang of in de werking van zodanig werk veroorzaakt, of een ten opzichte van zodanig werk genomen veiligheidsmaatregel verijdelt, wordt gestraft: …

De computers van BuZa zijn niet vernield, beschadigd of onbruikbaar. De discussie moet dus gaan over de vraag of er sprake is van een “stoornis” in de gang of werking van die computer. Ik blijf zitten met datzelfde argument: die computers gaan niet stuk. Het netwerk er rondom ook niet. Dan blijft over dat je spreekt van verstoren van de BGP route-tabellen of internetrouters richting de BuZa-computers. Oftewel, als je met opzet valselijk zegt “ik weet een snellere route naar 127.0.0.1″ dan verstoor je de werking van de ‘echte’ routers daarheen en dan kun je dus een celstraf krijgen.

Zelf dacht ik nog aan art. 139c Strafrecht:

Met gevangenisstraf van ten hoogste twee jaren of geldboete van de vierde categorie wordt gestraft hij die opzettelijk en wederrechtelijk met een technisch hulpmiddel gegevens aftapt of opneemt die niet voor hem bestemd zijn en die worden verwerkt of overgedragen door middel van telecommunicatie of door middel van een geautomatiseerd werk.

Hiermee zeg je in feite: een BGP hijack laat jou luisteren naar verkeer/datacommunicatie dat eigenlijk voor BuZa bestemd is, en dat is aftappen van verkeer. Even los nog van of je dat doet enkel om mee te luisteren (MITM) of om mensen op te lichten (met een nepserver). Maar volgens mij gaat dat niet op wanneer je die IP-adressen alleen als afzender gebruikt, bijvoorbeeld voor een spamrun of om phishingmails te sturen die je vervolgens naar een andere server doorsturen. En zelfs als je het laat sturen naar een server met een BuZa-IP: tap je dan verkeer van BuZa af? Je initieert het zelf immers.

Meer algemeen zit je met het probleem dat die BGP routers zich in allerlei landen bevinden, zodat je niet weet wie er jurisdictie heeft. En trouwens: wordt het niet eens tijd om BGP te voorzien van een beveiliging zodat dit soort trucs niet meer mogelijk zijn?

Arnoud

Kent u onze boekenserie Deskundig en praktisch juridisch advies al? Webwinkels, hosting, software, security en meer!

In één nacht het internet scannen, hoe strafbaar is dat?

0
0

telnetHet begon als grap, las ik in De Correspondent. Een onderzoeker wilde kijken hoeveel apparaten Telnet gebruikten. Op heel internet dus. “Hij bedacht daarom een list en liet een botnet het vuile werk opknappen.” Ook goeiemorgen. Een botnet van 30.000 computers die uiteindelijk concludeerden dat van 1,3 miljard IP-adressen een reactie kwam en van 2,3 miljard niet. Lachen? Strafbaar?

Het scannen van al die IP-adressen lijkt me op zich niet strafbaar. Dat is niet meer dan een groots opgezette portscan, en ik blijf erbij dat die alleen strafbaar zijn als je ze doet met als bedoeling vervolgens binnen te dringen. Dit onderzoekje had dat oogmerk niet.

Echter, mijn juridische broek zakt af van dit stukje in de onderzoeksopzet:

Als de onderzoeker een computer aantrof met Telnet en daar met root:root kon inloggen, installeerde hij er een Nmap-scanner. Die ging dan weer op zoek naar andere kwetsbare computers waar ook weer een Nmap-scanner geïnstalleerd kon worden.

Hier wordt dus wél binnengedrongen. En niet alleen dat: dag, uit naam van de wetenschap kom ik even uw computer inzetten. Oké, heel ethisch allemaal want het botje draait op de achtergrond en wist zichzelf bij het resetten van de computer. Maar toch. Zit er niet iets van “vraag consent voor je mensen mee laat doen” in deze tak van onderzoek?

De zaak deed me denken aan de hack van Nieuwe Revu, waarbij het wachtwoord van de Hotmailbox van toenmalid staatssecretaris Jack de Vries werd gebruteforced “om te zien of die wel voldoende beveiligd waren”. Nu kun je je afvragen hoe nieuwswaardig het is dat je met een bulldozer door mensen hun voordeur komt, net zoals je je hier kunt afvragen hoe nieuwswaardig het is dat 1,3 miljard IP-adressen syn-ack zeggen als je op poort 23 syn zegt. Maar ook in die zaak verbaasde het mij meer dat men achteloos 14.000 computers infecteerde met een botnet om ze zo op de achtergrond mee te laten bruteforcen.

Heb ik iets gemist? Is het zwaaien met de vlag ‘wetenschap’ een rechtvaardiging om botnetsoftware te installeren zolang de software maar ethisch afgesteld is? Mag ik even een wetenschappelijk hapje van uw lunch, zoiets?

Arnoud

Afkomstig van de blog Internetrecht door Arnoud Engelfriet. Koop mijn boek!

Een Spotify-account overnemen versus de Wet computercriminaliteit

0
0

account-suspended.pngWeer een interessante Tweakersdiscussie, ditmaal over een jongen die een Spotify premium account generator gebruikt had dat van een politie-stagiair bleek te zijn. Die wist de jongen te traceren en dreigde met aangifte wegens creditcardfraude. Hoe strafbaar is dat dan, een Spotify-account overnemen?

De agent-in-opleiding noemt art. 232 Strafrecht als basis. Dat artikel stelt strafbaar het vervalsen, manipuleren of namaken van een betaalkaart om daar voordeel uit te trekken. Het namaken van een boekenbon valt hieronder, net als het manipuleren van het saldo op een prepaidkaart.

Hier gaat dat niet op: de inloggende jongen heeft niets gedaan met de creditcard als zodanig. Hij heeft ingelogd op het account van een ander. Daarvoor is primair de computervredebreuk (art. 138ab Strafrecht bedacht: wederrechtelijk binnendringen in een geautomatiseerd werk, zoals een server van Spotify. Daarbij maakt het niet uit of je een technische truc hebt gebruikt of het wachtwoord hebt afgekeken of geraden. Als je er niet mag zijn, heb je binnengedrongen. Zelfs als het wachtwoord gewoon op internet stond (zoals bij het Welkom123-wachtwoord van het LCMS).

Ook is er een artikel over het gebruiken van betaaldiensten zonder daarvoor te betalen (art. 326c Strafrecht), hoewel je je daarbij kunt afvragen of dat ook geldt als er op zich gewoon betaald wordt voor de dienst (hoewel door een ander). Het idee van dit artikel is volgens mij meer het strafbaar stellen van descramblers of gebruik van kraaksoftware voor beveiligde diensten.

In de draad noemt een aantal mensen het diefstal. Dát betwijfel ik heel erg. Weliswaar heeft de HR in het Runescape arrest en het gelijktijdige SMS-bundelarrest bepaald dat je ook virtuele dingen en zelfs creditstegoeden kunt stelen, maar het ging daar om concrete items met waarde die worden verbruikt. Bij Spotify is er niet zoiets. Je kunt niet 1 unit Spotify van iemand verbruiken, zoals je een SMS uit een bundel of een credit verbruikt. Daarom kun je Spotify niet stelen.

Tenzij je zegt: hij heeft het account zélf gestolen. Dan moet je aantonen dat een Spotify-account (naam en wachtwoord) een concreet item is met waarde (het is premium, dus ja), en dat je de macht daarover jezelf kunt toeëigenen (kan, verander het wachtwoord). Alleen zit ik dan nog met het punt van verbruik. Een SMS uit een bundel is verbruik, een Watt elektriciteit is verbruik, maar hoe is inloggen op Spotify ‘verbruik’?

Arnoud

Afkomstig van de blog Internetrecht door Arnoud Engelfriet. Koop mijn boek!

Is het strafbaar een USB-killer in je tas te hebben?

0
0

usb-killerEen Russische onderzoeker heeft een USB-stick ontwikkeld waarmee het mogelijk is om computers te vernielen, las ik bij Security.nl. De USB-killer stuurt een stroomstoot op -220 Volt naar het moederbord van de computer waar je hem insteekt, en dat is redelijk fataal. Oké, leuk, maar dan wordt het juridisch interessant: stel je stopt die in je tas, met het idee dat een dief zo zijn laptop opblaast als hij het ding vindt en in dat apparaat steekt. Mag dat dan?

Het vernielen van een computersysteem (fysiek stukmaken) is strafbaar, art. 161sexies Strafrecht. Of je dat nu doet door het ding in de sloot te gooien of door een hoog voltage op een USB-poort te zetten, doet daarbij niet ter zake. Stuk is stuk. Echter, de wet eist hier wel “gemeen gevaar”, oftewel gevaar in het algemeen. Als je bijvoorbeeld een huis in brand steekt, dan schep je ‘gemeen gevaar’ voor alle huizen in de buurt. Maar specifiek één ding vernielen is nog geen “gemeen gevaar”.

Natuurlijk is één ding vernielen wel strafbaar, art. 350 Strafrecht. Het maakt in zoverre uit dat bij deze vorm van vernieling er maximaal twee jaar cel kan worden opgelegd, en bij “gemeen gevaar”-vernieling zes jaar.

Echter, hier zet je niet zelf opzettelijk die spanning erop. Je hebt een voorwerp in bezit waarmee dat kan, in de stille hoop dat een dief zelf zo onoplettend is. Dan maak je dus zelf niets stuk. Toch loop je ook dan tegen de strafwet aan. Er zijn namelijk twee redenen waarom dit strafbaar kan zijn (art. 47 Strafrecht:

  1. Uitlokken: in dit geval door gelegenheid of middelen geven om het misdrijf te plegen.
  2. Doen plegen: middels een ander het misdrijf laten gebeuren.

Bij uitlokken loop je tegen het probleem aan dat de dader (als het goed is) zijn eigen laptop opblaast, en dat is niet strafbaar. Ook het uitlokken daarvan is dus niet strafbaar.

Meer kans maak je met “doen plegen”. Dat houdt in dat je niet zelf het misdrijf pleegt, maar een ander dit laat doen. En dan niet in de zin van iemand ompraten (dat is uitlokken namelijk) maar door hem als willoos werktuig in te zetten. Hij had geen idee, kon er niets aan doen en was zich er niet van bewust, maar door jouw snode plannetje deed hij het toch. En dat lijkt me aardig te passen bij wat hier gebeurt. De truc is dat het ding een onschuldige USB-stick lijkt, waarvan iedereen weet dat je die gewoon in je computer kunt steken. Oftewel: jij vernielt die laptop, weliswaar op afstand en met een (willoze) handlanger, maar toch.

Natuurlijk kun je zeggen, ik haalde niemand over, het ding zat in mijn tas en die werd nota bene geját door deze persoon. Maar de intentie van deze USB-killer is duidelijk om schade aan te richten bij een ander. Daar zit een oogmerk van eigenrichting in, en dat is in het strafrecht Niet De Bedoeling. En dan word je al heel snel strafbaar geacht via een constructie als “doen plegen”.

(Meelezende elektrotechnici, waarom is het voltage hier zo belangrijk? Ik dacht altijd dat je dood ging van ampères, niet van volts.)

Arnoud

Afkomstig van de blog Internetrecht door Arnoud Engelfriet. Koop mijn boek!

OM mag opnamen van geweldsincidenten tonen om daders te vinden

0
0

dome-camera.jpgHet Openbaar Ministerie mag in de openbare ruimte opgenomen camerabeelden van ernstige publieke geweldincidenten in het openbaar tonen om zo dader(s) van dit geweld te kunnen opsporen, las ik (alweer een tijdje geleden) op Rechtspraak.nl. Sorry, ik loop wat achter. De Hoge Raad introduceert meteen maar een checklist met 7 factoren waarmee getoetst kan worden of het legitiem is om te publiceren uit camerabeelden die misdrijven vastleggen.

Het arrest komt uit de zogeheten kopschopper-zaak. In 2013 schopten acht jongens een ander tegen het hoofd bij een vechtpartij op de Eindhovense Vestdijk. Justitie koos ervoor beelden hiervan naar buiten te brengen in de hoop de daders te identificeren. Deze publicatie leidde bij het Gerechtshof tot strafvermindering vanwege “de “enorme media-aandacht” die aan het incident is gegeven en “de hetze die daardoor jegens hem in de diverse media, onder welke internet, is ontketend”.”

In cassatie moet het HR nu aangeven of en wanneer het publiceren van zulke camerabeelden toegestaan is. In beginsel is het publiceren van beelden een inbreuk op de privacy, ook als de beelden van de openbare weg komen. In de context van opsporing door het OM is publicatie toegestaan afhankelijk van deze factoren:

  1. het publieke dan wel private karakter van de plaats welke op het beeldmateriaal waarneembaar is waar of van de situatie waarin de betrokkene zich bevindt;
  2. de persoon van de betrokkene, waaronder diens leeftijd of bijzondere kwetsbaarheid;
  3. de hoedanigheid van de betrokkene, zoals de publieke bekendheid van de betrokkene, dan wel of hij verdachte is van een (ernstig) strafbaar feit;
  4. de mate van herkenbaarheid van de betrokkene op het beeldmateriaal en de aard en indringendheid van de informatie die door of in samenhang met het beeldmateriaal wordt verstrekt omtrent de identiteit, uiterlijke kenmerken of gedragingen van de betrokkene;
  5. het doel waarmee het beeldmateriaal is vergaard en geopenbaard, waarbij aan de orde kan komen of het gaat om opsporing of identificatie van verdachten van (ernstige) strafbare feiten en of voorzienbaar is dat het beeldmateriaal wordt gebruikt op een wijze die verder gaat dan hetgeen redelijkerwijze nodig is voor het te bereiken doel;
  6. de wijze van vergaring en openbaarmaking van het beeldmateriaal, waarbij aan de orde kan komen of het beeldmateriaal is gemaakt en gepubliceerd met toestemming van de betrokkene, of de beeldopnamen zijn gemaakt op publieke plaatsen waar opnameapparatuur normaliter wordt gebruikt met een gelegitimeerd en voorzienbaar doel, en of er sprake is van een naar tijd en reikwijdte beperkt gebruik dan wel dat de beelden integraal zijn vrijgegeven aan het algemene publiek;
  7. de mate waarin het beeldmateriaal in overeenstemming met de toepasselijke regelgeving is verkregen en verspreid.

Het is dus een factor of de beelden van de openbare weg zijn, maar niet de enige. Als het gaat om iets kleins, dan is publicatie van de beelden nog steeds een te zwaar middel. Wel vind ik een mooie (factor 6) dat de wijze van vergaring meeweegt: als je weet dat ergens camera’s normaliter hangen, dan kun je minder snel bezwaar maken als die beelden dan ook worden gepubliceerd. Maar ook weegt mee (factor 5) of de kans groot is dat de beelden worden misbruikt door langdurige herpublicatie op andere plaatsen (hoi Dumpert).

Verder bevestigt de HR dat een rechtbank rekening mag houden met de gevolgen van publicatie van de beelden, ook als deze publicatie op zichzelf niet tegen de regels was. Dat bevreemdt me een beetje. Als deze toets ertoe leidt dat het gebruik legitiem was, hoezo moet dat dan gevolgen hebben voor de straf?

Arnoud

Afkomstig van de blog Internetrecht door Arnoud Engelfriet. Koop mijn boek!

“Google kan op afstand beveiliging smartphones uitzetten”

0
0

android-screen-lock-wachtwoord-passwordGoogle kan de schermbeveiliging van een Android-telefoon op afstand uitzetten als een rechter daarom vraagt, las ik bij de NOS. Een Amerikaanse district attorney onthulde dat onlangs. Dit schijnt nieuws te zijn, maar dan toch korte termijn: vanaf binnenkort hebben Androidtoestellen diskencryptie en dan heb je niets aan deze truc.

Het is op zich niet nieuw dat Google als leverancier van een product door Justitie gevraagd wordt dit product open te maken. Dergelijke procedures bestaan nu ook al, van de fabrikant van een brandkast vragen deze open te maken tot een portier vragen aan te wijzen waar kamer 613 zich bevindt.

Wel nieuw (voor mij) is dat Google dit ook op afstand kan. Juridisch lijkt me dat niet erg spannend; een brandkastfabrikant kan ook per telefoon melden wat de stappen zijn om die kluis open te maken, zou ik denken.

Spannender wordt het als we straks verplichte versleuteling hebben in Android (vanaf versie 6.0). Dan kan Google niet meer op afstand de code van het lockscreen wijzigen of toegang verschaffen tot de informatie. Tenzij ze een achterdeur inbouwen, iets dat weer ter discussie gesteld wordt naar aanleiding van Parijs – hoewel die aanslagen niets te maken hadden met sterke encryptie.

Helaas kan ik de tekst niet vinden van dit wetsvoorstel. Maar hoe dan ook, het fundamentele punt blijft: hoe ga je mensen dwingen hun wachtwoord af te geven als ze dat niet willen?

Als alternatief kun je natuurlijk zeggen, dan verplichten we dienstverleners om alleen nog encryptie met achterdeurtjes te bouwen. Dat idee zwerft ook al twintig jaar rond in de politiek, dus dat zal ook wel weer afgestoft worden bij dit soort voorstellen. Waarom mag Joost weten: iedereen snapt toch dat een dergelijk achterdeurtje gekraakt zál worden en dat het dus een heel slecht idee is?

Arnoud

Afkomstig van de blog Internetrecht door Arnoud Engelfriet. Koop mijn boek!


Mag de politie rechercheren op Facebook of Twitter?

0
0

twitter-agent-politieDe politie rechercheerde op Facebook niet volgens de regels in de recente jihadzaak, maar dit heeft geen gevolgen voor het vonnis. Dat las ik bij RTL Z. Er was stelselmatig op onjuiste wijze informatie gewonnen via Facebook, en dat is in strijd met de regels die de politie moet volgen bij informatie inwinnen.

Het vonnis laat zien hoe de zaak in zijn werk ging. De zes verdachten in deze zaak hadden diverse socialemediaaccounts, zoals Facebook en Twitter. De politie wilde de daar beschikbare informatie monitoren en besloot daarom nepaccounts aan te maken (op namen van “Aboe Noewas” en “Ab Bashir”) die zelf openbare informatie plaatsten, maar ook berichten en Facebook-vriendschapsverzoeken stuurden naar de verdachten. Dat werkte, en men kreeg zo toegang tot de informatie die deze verdachten plaatsten. Die werd vervolgens gelogd voor later gebruik.

Nu is er op zich weinig mis met een nepaccount aanmaken en anderen gaan bevrienden of volgen, maar specifiek voor de politie ligt dat anders. Die mogen niets doen dat de grondrechten van de burger schendt, tenzij daar een grondslag in het wetboek van strafvordering voor gevonden wordt. Die werd gevonden in artikel 126j Strafvordering:

In geval van verdenking van een misdrijf kan de officier van justitie in het belang van het onderzoek bevelen dat een opsporingsambtenaar (…) zonder dat kenbaar is dat hij optreedt als opsporingsambtenaar, stelselmatig informatie inwint over de verdachte.

Taalkundig sluit dit best goed aan bij “onder een nepnaam op Facebook een verdachte bevrienden en zien wat hij post”. Toch maakte de verdediging bezwaar: de bevelen waren over een zeer beperkte periode gegeven, en er werd veel langer gevolgd en geregistreerd. Het OM stelde daar tegenover dat een politieagent in het algemeen gewoon mag rondkijken wat mensen in het openbaar doen en zeggen. Artikel 3 Politiewet geeft haar die bevoegdheid, zolang er geen inbreuk op de grondrechten plaatsvindt.

De rechtbank duikt in de wetsgeschiedenis van artikel 126j en merkt dan op:

‘Zoals de politie, al dan niet in burger, op straat mag surveilleren en rondkijken, zo mag een rechercheur vanachter zijn computer hetzelfde doen op internet. Een uitdrukkelijke wettelijke grondslag is daarvoor niet nodig’. Daarbij wordt door de Minister opgemerkt dat deze bevoegdheid om rond te kijken op een openbaar netwerk niet de bevoegdheid impliceert om stelselmatig voor de uitoefening van de politietaak gegevens van internet te downloaden en in een politieregister op te slaan.

Het meelezen met actuele berichten die iemand post op Facebook op Twitter, zou je nog kunnen zien als gewoon rondkijken. Maar je kunt veel meer: zodra je bevriend bent met iemand, kun je terug in zijn geschiedenis en oude berichten lezen. Daarmee had de politie dat alleen mogen doen onder een artikel 126j-bevel voor de gehele periode dat er werd gevolgd en gelogd.

Een vormverzuim dus, zoals dat juridisch heet. In politieseries is dan meteen de hele zaak stuk en kunnen de verdachten triomfantelijk naar huis. Maar in de Nederlandse rechtspraktijk werkt het niet zo. De rechtbank kijkt eerst hoe ernstig de gevolgen waren en beslist dan of bijvoorbeeld dat bewijs buiten beeld moet blijven, of dat strafvermindering wordt opgelegd. Grof gezegd hangt dat helemaal af van hoe ernstig de inbreuk is en in hoeverre de verdachte daardoor geen eerlijk proces meer krijgt.

De rechter gaat in dit geval behoorlijk soepel om met het verzuim:

De verzamelde gegevens waren publiekelijk toegankelijk. Het betreft dus een andere (en minder ernstige) situatie dan de situatie waarin informatie wordt verzameld in een afgesloten ‘ruimte’ (bijvoorbeeld een woning). Van belang in dit verband is ook dat verdachten hun Facebookpagina’s met name gebruikten om uit te dragen waar zij voor stonden, voor hun boodschap; het was hen er juist om te doen dat anderen kennis namen van de inhoud van hun pagina’s.

Oftewel: omdat de verdachten zelf bedoeld hadden de informatie wijd te verspreiden via Facebook, mogen ze nu niet klagen dat de politie die informatie heeft opgevangen. Ook al gebeurde dat met een onrechtmatig opgezet nepaccount. De dingen die met bevel hadden moeten gebeuren, worden geëxcuseerd met de opmerking dat “als de politie aan de officieren van justitie had gevraagd om bevelen ex artikel 126j Sv af te geven, dan zouden deze zonder enige twijfel zijn verstrekt.” Oftewel, niets aan de hand, opgelost & topicslotje. Dat gaat wel erg snel.

Het precedent is dus duidelijk. De politie mag incidenteel kijken op Facebook of Twitter. Wil men mensen structureel volgen of vriend worden, dan is in principe een bevel nodig. Maar belangrijk is wel hoe openbaar de verdachte de informatie maakt. Als het hun evidente bedoeling is informatie zelf wijd te verspreiden, dan mag de politie gerust meekijken. Vriend worden van een persoon met afgeschermd account die daar privédingen deelt met een beperkte groep, zou dus een specifiek bevel vergen. Ik moet zeggen, daar kan ik me wel in vinden.

Arnoud

Afkomstig van de blog Internetrecht door Arnoud Engelfriet. Koop mijn boek!

Mag je Mein Kampf opnieuw uitbrengen nu het auteursrecht vervallen is?

0
0

verbodEen lezer vroeg me:

Het auteursrecht op “Mein Kampf” van Adolf Hitler is per 1 januari verlopen. Mag je dat boek dan nu in Nederland uitbrengen?

Hoofdregel van het auteursrecht is dat dit recht vervalt op 1 januari 70 jaar na het sterfjaar. Bij overlijden in 1945 kom je dus inderdaad uit op 1 januari 2016. Dat geldt voor “Mein Kampf” net zo goed als voor andere werken. De Nederlandse vertaling “Mijn Kamp” van Steven Barends is nog wél auteursrechtelijk beschermd, omdat die auteur pas in 2008 overleed. (Bij het dagboek van Anne Frank ligt dit complexer, omdat dit dagboek pas na overlijden van de auteur voor het eerst gepubliceerd werd.)

Het auteursrecht op de Duitse tekst is dus verlopen. In beginsel mag je dit boek dan nu uitgeven zonder toestemming van de ex-rechthebbenden. Ook het maken van een vertaling en die uitgeven is nu in beginsel legaal. Met publiek domein werken mag je doen wat je wilt.

In beginsel, want in Nederland is dit boek verboden om te verhandelen. In 1987 bepaalde de Hoge Raad dat het boek aanzette tot haat en geweld tegen bevolkingsgroepen (art. 137e Strafrecht) en daarom van de markt moest. Dat verbod staat dus los van auteursrechten en vervalt dus ook niet enkel omdat de auteursrechten nu vervallen zijn.

Echter, hoe sterk dat verbod nog is, valt te bezien. In 2014 werd een antiquair vrijgesproken onder dit artikel. Zijn verkoop van een oud exemplaar van het boek was niet strafbaar, hoewel de rechtbank opmerkt dat het aanbieden van dit boek “in beginsel” strafbaar kan zijn. Echter, de rechtbank ziet dat de maatschappelijke ontwikkelingen sinds het verbod uit 1987 flink veranderd zijn. Het boek is via internet makkelijker beschikbaar, er waren plannen voor wetenschappelijke edities, de Tweede Kamer stemde zeven jaar eerder vóór vrijgave van het boek en bovendien ging het hier om één oud exemplaar aangeboden aan verzamelaars. De kans dat die verkoop zou leiden tot verder haatzaaien of geweld, is daarmee marginaal.

Dit betekent niet dat het verbod nu van tafel is. Het komt sterk neer op de omstandigheden: met welk doel verkoop je het boek, is het een herdruk of een oud exemplaar en hoe maak je reclame?

Ik heb nog geen concrete plannen gezien van mensen die het boek willen gaan verkopen. Jullie wel?

Arnoud

Afkomstig van de blog Internetrecht door Arnoud Engelfriet. Koop mijn boek!

Mag de politie zeggen “U twittert wel heel veel”?

0
0

twitter-agent-politieTwitterende tegenstanders van azc’s moeten rekening houden met een bezoekje van de politie. Mag dat? Dat schreef NRC vorige week. „Wij hebben orders gekregen om u te vragen op uw toon te letten. Uw tweets kunnen opruiend overkomen”, kreeg een Sliedrechtenaar te horen nadat hij had getwitterd over een AZC-bijeenkomst. Iets strafbaars zei hij niet, dus dat roept dan de vraag op, waar bemoeit die agent zich mee? En hoezo gaan ze dan langs je huis om wat te zeggen van je tweet?

In principe heeft een agent het recht zich te bemoeien met wat je in de openbaarheid doet, als dat de openbare orde raakt. Dat staat zo in artikel 3 Politiewet:

De politie heeft tot taak in ondergeschiktheid aan het bevoegd gezag en in overeenstemming met de geldende rechtsregels te zorgen voor de daadwerkelijke handhaving van de rechtsorde en het verlenen van hulp aan hen die deze behoeven.

Als een agent je ziet terwijl je hard fietsend op een rood stoplicht afkomt, dan mag hij je manen af te remmen, ook al ben je nog niet door rood gefietst. Dit artikel geldt dus niet alleen bij daadwerkelijk gepleegde strafbare feiten. Ik zie het principiële verschil niet tussen mensen op straat waarschuwen niet door rood te rijden en mensen op straat waarschuwen geen strafbare dingen te gaan roepen.

Artikel 3 is overigens niet bedoeld voor activiteiten waarbij de politie inbreuk maakt (“een meer dan geringe”, althans) op grondrechten van burgers. Een huis doorzoeken of iemands mailbox lezen kan dus niet op grond van dit artikel, daar is een specifiek bevel voor nodig onder het Wetboek van Strafvordering.

Maar, zo weten we ondertussen, de politie mag kijken wat er in het openbare internet allemaal gebeurt. In de jihadzaak van december werd over rechercheren op internet gezegd:

Zoals de politie, al dan niet in burger, op straat mag surveilleren en rondkijken, zo mag een rechercheur vanachter zijn computer hetzelfde doen op internet. Een uitdrukkelijke wettelijke grondslag is daarvoor niet nodig’. Daarbij wordt door de Minister opgemerkt dat deze bevoegdheid om rond te kijken op een openbaar netwerk niet de bevoegdheid impliceert om stelselmatig voor de uitoefening van de politietaak gegevens van internet te downloaden en in een politieregister op te slaan.

Op internet rondkijken is dus hetzelfde als op straat surveilleren. En als je op straat iemand hoort schreeuwen “Laat ze oprotten die teringleiers, we gaan met z’n allen naar het gemeentehuis”, dan mag je als agent even een praatje aanknopen. Ook als men slechts volstrekt legale bedoelingen heeft en niet meer wil dan oproepen tot een legale betoging bij het gemeentehuis om onvrede te brengen. (“Teringleiers” roepen in een politieke discussie lijkt me niet direct strafbare groepsbelediging.) Je zit in een grijs gebied met zo’n oproep, en deel van de taak van de politie is die grijze gebieden netjes houden.

Hetzelfde argument werd aangehaald bij het raadplegen van Google Earth in een belastingfraudezaak. Men citeert de minister:

Zoals de politie, al dan niet in burger, op straat mag surveilleren en rondkijken, zo mag een rechercheur vanachter zijn computer hetzelfde doen op Internet. Een uitdrukkelijke wettelijke grondslag is daarvoor niet nodig, mits dat optreden gerekend kan worden tot de uitvoering van de politietaak (zie artikel 2 [nu artikel 3, AE] Politiewet 1993).

Een keertje kijken op Google Earth viel hieronder, omdat het incidenteel was en een openbare bron. Twitter en Facebook zou ik in principe hier ook onder rekenen, in ieder geval zolang het openbaar is en je geen kunstgrepen met nepaccounts en bevrienden uit hoeft te halen. Immers, zelfs je volgen op Twitter is nog niet automatisch een “meer dan geringe” inbreuk.

Tegelijk lijkt het me zeker nogal heftig om een agent aan je deur te krijgen, heftiger dan op straat te horen “kan het even wat minder meneer”. Op straat is het direct gerelateerd aan je actie, en als men een week later thuis langskomt dan mis je die link. Maar ik zie dat als inherent aan het medium Twitter: men kan moeilijk direct er wat van zeggen, dus logisch dat het even duurt. Ik denk niet dat mensen onder de indruk zijn als de politie terug gaat twitteren “@jijdaarmetdiehashtag even dimmen meneertje”.

Arnoud

Afkomstig van de blog Internetrecht door Arnoud Engelfriet. Koop mijn boek!

Apple moet encryptie-loper maken van Amerikaanse rechter

0
0

sleutel-key-encryptie-decryptieIn een rechtszaak waarin FBI eist dat Apple helpt om een iPhone te ontgrendelen, heeft de Amerikaanse overheid een klinkende overwinning behaald. Apple moet speciale software ontwikkelen om het iPhone-kraken te ondersteunen. Dat meldde Webwereld vorige week. De software is aangepaste firmware met als doel een bruteforceaanval op het wachtwoord mogelijk te maken.

De FBI heeft Apples hulp nodig, omdat de iPhone gebruikt is door een schutter in een schietpartij en men hoopt op het toestel bewijs te vergaren. Maar de telefoon is versleuteld, en zonder wachtwoord kom je er dan niet in. Ook Apple niet: er is geen master key of achterdeur ingebouwd.

Men zou natuurlijk het toestel kunnen brute forcen, alleen blokkeert een iPhone na tien pogingen. De eis van de FBI ging dan ook hierover: maak aangepaste firmware die niet na tien pogingen de boel vergrendelt. Zo kan de FBI gewoon alle mogelijke wachtwoorden uitproberen. Opmerkelijk vind ik nog dat de software mag zijn voorzien van een toestelspecifieke koppeling, zodat de FBI dit handige tooltje niet generiek kan inzetten op alle telefoons die ze vanaf nu vinden. Rechter met clue. Uit het bevel:

Apple’s reasonable technical assistance shall accomplish the following three important functions: (1) it will bypass or disable the auto-erase function whether or not it has been enabled; (2) it will enable the FBI to submit passcodes to the SUBJECT DEVICE for testing electronically via the physical device port, Bluetooth, Wi-Fi, or other protocol available on the SUBJECT DEVICE and (3) it will ensure that when the FBI submits passcodes to the SUBJECT DEVICE, software running on the device will not purposefully introduce any additional delay between passcode attempts beyond what is incurred by Apple hardware.

Het is in zoverre een noviteit dat het met versleutelde telefoons nog nooit geprobeerd is. Maar op zich heeft het een basis: de rechter kan nu ook al fabrikanten van apparatuur verplichten mee te werken aan het openen, ontgrendelen en dergelijke daarvan. Punt was alleen altijd dat dat meestal wat makkelijker was; een slotenmaker kan een loper hebben, een autofabrikant weet hoe de motorkap open moet en als dat alles faalt dan is er altijd wel iemand die zijn weg weet met een lasbrander. Het probleem is hier redelijk acuut, omdat er niemand anders is dan Apple die in staat is deze beveiliging te doorbreken.

Dit is dus niet hetzelfde als een achterdeur moeten inbouwen in de encryptie, iets dat de FBI al een hele tijd wil. Het is een tussenoplossing die schippert tussen de belangen van Apple en die van de opsporingsdiensten. Ik ben heel benieuwd of Apple daadwerkelijk met dergelijke software komt.

Arnoud

Afkomstig van de blog Internetrecht door Arnoud Engelfriet. Koop mijn boek!

Is dat een warrant canary in je jaarverslag of ben je blij de NSA te zien?

0
0

warrant-canaryInternetforum Reddit heeft donderdag een stuk tekst verwijderd dat gebruikt werd om aan te geven dat de site nog nooit in het geheim data heeft moeten overhandigen aan de Amerikaanse overheid, bij Nu.nl. De site heeft al jaren deze warrant canary in haar jaarlijks transparantierapport staan om een signaal te kunnen geven als men een National Security Letter of FISA-bevel krijgt, twee controversiële geheime bevelen die zonder gerechtelijke toetsing worden gegeven. Nu.nl zegt dat het dus ‘aannemelijk’ is dat zo’n bevel er is geweest, maar dat gaat me iets te snel.

Een warrant canary is een juridische truc om toch te kunnen laten weten dat je een opvraag- of tapbevel hebt gekregen waar een gag order (zwijglast) bij zit. Het idee is dat je zegt “Het afgelopen jaar kregen wij geen opvraag- of tapbevelen” en dat je die tekst weghaalt zodra je wél zo’n bevel kreeg. Zo zeg je het niet expliciet (wat immers niet mag) maar niemand kan jou bevelen te liegen. Is het idee.

Reddit publiceert een jaarlijkse canary gericht tegen National Security Letters en FISA-bevelen, beide controversiële bevelen omdat er geen voorafgaande gerechtelijke toetsing aan zit én je er altijd je mond over moet houden. Tot enkele jaren terug beweerde Justitie zelfs dat het niet toegestaan was bij de rechter zo’n bevel aan te vechten.

Dit jaar ontbreekt de canary. Het idee is dat daaruit dan volgt dat er een dergelijk bevel is gegeven, immers je mag niet liegen in je jaarverslag. Plus, niemand kan je dwingen iets te zeggen waar je niet achter staat. Aldus de Amerikaanse theorie: compelled speech is iets zeer onwenselijks in het Amerikaanse recht, dus reddit kan niet worden gedwongen die kanarietekst te herhalen als ze dat niet wil.

Ik blijf erbij: dit werkt niet. Ook niet in de VS – in het algemeen is compelled speech inderdaad een probleem, maar hier maak je zélf dat probleem door steeds iets te zeggen waarmee je straks de geest van een zwijglast kunt omzeilen. En als er iets is waar rechters een hekel aan hebben, dan is het wel aan bijdehante figuren die niet gewoon doen wat in de wet staat en daar met een zeer spitsvondig argument grijnzend omheen gaan draaien.

Het zou een zeer gedurfde actie van Reddit zijn om langs deze weg te laten weten dat er een geheim bevel met last is geweest. Maar ik denk dat ze dan écht een serieus probleem hebben bij de rechter. Mijn eerste gedachte naar aanleiding van de CEO’s reactie (“I’ve been advised not to say anything one way or the other.”) was dat hij van zijn eigen jurist had gehoord wat voor risico eraan zit, en toen dacht, ik haal het ding eruit want zulke strafrechtszaken dan wel mijn aandeelhouders voorliegen, daar heb ik geen zin in.

Arnoud

Afkomstig van de blog Internetrecht door Arnoud Engelfriet. Koop mijn boek!

Mag je persoonsgegevens eigenlijk wel gebruiken in een aangifte?

0
0

Een lezer vroeg me:

Ons bedrijf neemt inkomende telefoongesprekken op voor kwaliteits- en trainingsdoeleinden. Dit wordt ook keurig gemeld. Alleen nu is er iemand die onze receptioniste ernstig heeft bedreigd. Alleen, nu zegt onze security officer dat we geen aangifte mogen doen met de opname omdat we die niet voor dit doel verkregen hebben (art. 9 Wbp). Klopt dat?

De vraag klinkt absurd, maar onder de Wbp moet je toch altijd even verder kijken.

Wie persoonsgegevens wil verwerken, moet daar een grondslag voor hebben. Dat kan toestemming zijn, uitvoering van een overeenkomst of een eigen dringende noodzaak. Het opnemen voor trainings-of servicedoeleinden zie ik als nodig voor uitvoering overeenkomst. Ook de aanloop tot contracteren valt daaronder, net als klantenservice achteraf.

Echter, met een grondslag ben je er nog niet. Er is ook het principe van doelbinding (art. 9 Wbp):

Persoonsgegevens worden niet verder verwerkt op een wijze die onverenigbaar is met de doeleinden waarvoor ze zijn verkregen.

Je moet dus concreet nagaan waarom (binnen die grondslag) je de gegevens exact kreeg. En dan mag je de gegevens alleen gebruiken (binnen die grondslag) voor dat doel. Vraag je bijvoorbeeld een geboortedatum om na te gaan of de klant 18 is, dan mag je niet de klant op zijn verjaardag een felicitatie sturen. Dat is immers een ander doel, hoewel ze beiden binnen het ‘uitvoeren overeenkomst’ gerekend zouden kunnen worden.

Hierbij moet je kijken naar zaken als het soort gegevens, de relatie tussen de doelen, de gevolgen van het nieuwe gebruik, de wijze van verkrijging van de gegevens en de waarborgen tegen misbruik die je inbouwt bij het nieuwe gebruik. Dit is een open norm, dus het komt neer op een goede onderbouwing.

Specifiek bij aangifte is er gelukkig een escape. Artikel 43 Wbp bepaalt dat je artikel 9 (de doelbinding) mag negeren bij “de voorkoming, opsporing en vervolging van strafbare feiten”. Aangifte doen en daarbij die opgenomen gesprekken aanleveren als bewijs is dus legaal, ongeacht het doel waarvoor die gesprekken ooit zijn opgenomen.

Zou je wat anders willen, bijvoorbeeld de opname aan een tv-programma als Opgelicht?! geven, dan zul je dat wél moeten rechtvaardigen onder de doelbindng. Dat lijkt me iets lastiger. Aan de andere kant, het voelt ongepast om bij crimineel handelen je te beroepen op je privacy.

Arnoud

Afkomstig van de blog Internetrecht door Arnoud Engelfriet. Koop mijn boek!

Filmproducent Klaas de Jong gaat internet aanklagen wegens films downloaden

0
0

adsl-filter-internet-censuur.pngProducent Klaas de Jong, mede verantwoordelijk voor bioscoophits als Michiel de Ruyter en Verliefd op Ibiza, heeft aangifte bij de politie gedaan tegen Ziggo, Telfort, KPN en Vodafone, zo las ik bij het Parool. Hij meent dat die strafrechtelijk aan te pakken zijn omdat ze downloadsites toegankelijk maken. Nope, nee, nada, kansloos, vergeet het maar.

Naar de letter van de wet heeft De Jong een punt: art. 31 Auteurswet stelt opzettelijke inbreuk strafbaar (zes maanden cel) en omdat het misdrijven zijn (art. 33), zijn ook medeplichtigen strafbaar. En dat ben je als je opzettelijk gelegenheid en middelen verschaft. Als je dan zegt, die providers wéten van de toegankelijkheid van die sites, dan zou je kunnen spreken van opzettelijk middelen (internettoegang en routering richting die sites) verschaffen kunnen spreken.

Alleen, er speelt meer dan alleen die letter van de wet (en dan negeer ik art. 54a Sr nog even, dat bepaalt dat providers niet worden vervolgd voor doorgifte van informatie van en naar klanten). Het beleid van het OM telt namelijk óók, en dat beleid is hier vrij simpel: er wordt niet vervolgd tegen inbreuken op intellectuele-eigendomsrechten zoals auteursrechten. Daarop zijn maar vier uitzonderingen:

  1. Bedreiging van de volksgezondheid of de veiligheid van de samenleving.
  2. Grootschalige namaak en piraterij, gepleegd in beroep of bedrijf, die de markt verstoren.
  3. Het bestaan van aanwijzingen van betrokkenheid van criminele organisaties of georganiseerde criminaliteit.
  4. Recidive.

Alleen uitzondering 2 zou misschien op kunnen gaan. Echter, het moet dan gaan om

grootschalige en zeer verspreid voorkomende inbreuken die dermate omvangrijk zijn dat civielrechtelijk optreden ernstig bemoeilijkt wordt, terwijl de inbreuk grote economische schade aan de rechthebbende toebrengt, omdat de afzet van zijn producten en de daaraan verbonden goodwill ernstig bedreigd worden.

Bij online auteursrechtinbreuken en het faciliteren daarvan is dit niet aan de orde.

Dat beleid staat al sinds 2006 en heeft de status van ‘recht’: handelt het OM in strijd met dat beleid, dan is ze niet-ontvankelijk. In december 2010 werd het OM niet-ontvankelijk verklaard in een strafzaak over twee e-Donkey indexeringsites; Releases4U en ShareConnector. In het arrest werd bepaald dat vervolging nooit had gemogen, want:

Volgens het hof blijkt uit het dossier niet dat er op het moment waarop de officier van justitie besloot tot de toepassing van dwangmiddelen jegens de verdachten sprake was van een redelijk vermoeden van schuld overeenkomstig de criteria als opgenomen in die Aanwijzing. Daarnaast heeft het hof vastgesteld dat niet is gebleken dat na ontvangst van de dossiers van stichting Brein door of op last van het openbaar ministerie nader onderzoek heeft plaatsgevonden voordat het openbaar ministerie besloot tot strafrechtelijke handhaving over te gaan.

Door toch te vervolgen, werden “de beginselen van een behoorlijke procesorde geschonden”. Dat klinkt heftig maar betekent gewoon dat dit niet had gemogen, einde rechtszaak.

Die aangifte is dus volslagen kansloos.

Arnoud

Afkomstig van de blog Internetrecht door Arnoud Engelfriet. Koop mijn boek!


Twitch-pestkop krijgt 50.000 dollar niet terug van streamers

0
0

patent-trolEen achttienjarige internettrol op livestreamsite Twitch zal zijn gedoneerde 50.000 dollar (omgerekend zo’n 44.000 euro) niet terugkrijgen van streamers, nadat hij ze probeerde voor de gek te houden. Dat meldde Nu.nl onlangs. De grapjas doneerde mensen enkele honderden dollars (omgerekend enkele honderden euro’s) via Paypal, en annuleerde de transactie na dertig dagen zodat het geld werd teruggehaald. Wat nogal pijnlijk is als de ontvanger het in alle vrolijkheid had uitgegeven in de tussentijd. Oké, hilarisch. Maar mag het?

Een grap strafrechtelijk duiden valt nog niet mee. Natuurlijk, er zijn zaken zoals oplichting en identiteitsfraude maar die veronderstellen allemaal dat je zelf enig geldelijk gewin wilt halen uit je actie. Zo luidt de wettelijke definitie van oplichting:

Hij die, met het oogmerk om zich of een ander wederrechtelijk te bevoordelen, hetzij door het aannemen van een valse naam of van een valse hoedanigheid, hetzij door listige kunstgrepen, hetzij door een samenweefsel van verdichtsels, iemand beweegt tot de afgifte van enig goed, tot het verlenen van een dienst, tot het ter beschikking stellen van gegevens, tot het aangaan van een schuld of tot het teniet doen van een inschuld, wordt, als schuldig aan oplichting, gestraft met gevangenisstraf van ten hoogste vier jaren of geldboete van de vijfde categorie.

Je moet dus jezelf of een ander willen bevoordelen. En daar gaat het al mis: welk (zakelijk) voordeel haal je uit deze grap? Je wilt de ander benádelen, door hem ongewild 250 dollar te laten uitgeven onder het voorwendsel dat hij die van jou gedoneerd kreeg.

Valsheid in geschrifte? Je zegt immers, hier is geld, en daarna is hier geen geld. Maar nee, het geschrift is echt, je zegt echt, hier is geld. En het geld komt er ook. Dat je het daarna weer weghaalt, maakt de mededeling niet ‘vals’. Hij is incompleet maar dat is nog niet hetzelfde als vals.

Ik kan zo ook geen ander wetsartikel bedenken dat dit strafbaar stelt. Natuurlijk kunnen benadeelden wel een civiele claim bij hem indienen, een schenking die geen schenking blijkt, lijkt me onrechtmatig en dus tot schadevergoeding verplichtend. Maar goed, ga je voor 250 dollar iemand aanklagen?

Paypal had een simpeler oplossing: die weigerde de transacties terug te rollen (haha, payrollen), waardoor de ouders van de jongeman ineens elfduizend dollar armer waren. Want donaties blijken uitgezonderd van het refund-beleid. Zo winnen de kleine lettertjes dan uiteindelijk.

Arnoud

Afkomstig van de blog Internetrecht door Arnoud Engelfriet. Koop mijn boek!

Is een boevenopsporingspagina op Facebook nuttig of een schandpaal?

0
0

stocks-schandpaalVergeet je iets te betalen bij een bedrijf in Zeeland, dan loop je kans dat je wordt ontmaskerd op Facebook, meldde PZC vorige week. Winkeliers met camerabeelden van vermeende diefstal kunnen die plaatsen in de facebookgroep ‘Vergeten te betalen? Zeeland’. Het lijkt effectief – diverse nietbetalers hebben zich bij de winkelier gemeld. Maar mag het?

Schandpaalsite, zal misschien uw eerste reactie zijn. Of juist: eindelijk de criminelen achter de vodden gezeten. En dat is hier exact het probleem. De maatschappelijke opvattingen lopen hierover uiteen, en dan loop je binnen de wet een tikje vast.

Natuurlijk, we hebben wetgeving die zegt dat je niet zomaar iemands gezicht mag publiceren. Portretrecht, en de Wet bescherming persoonsgegevens. Maar beide wetten toepassen op deze casus komt uiteindelijk neer op een belangenafweging. Wat weegt zwaarder, het belang van de winkelier om mensen herkenbaar te tonen op een site met als doel ze te shamen om alsnog te betalen, of het belang van de winkeluitloper om niet herkenbaar te zijn onder de vlag “Winkeldief” dan wel “Vergeten te betalen”.

Persoonlijk vond ik daarbij nog creatief de aanpak om eerst onherkenbare beelden te publiceren met iets van “Je weet wie je bent en je hebt een week om langs te komen anders gaat het balkje eraf”. Dat komt tegemoet aan de belangenafweging onder de Wbp om de privacy zo veel mogelijk te beschermen.

In 2004 werd het nog door de rechter eigenrichting genoemd en diffamerend en stigmatiserend voor de geportretteerde om een foto op te hangen met “Deze vrouw heeft hier gestolen”. Maar 2004 is ICT-technisch de middeleeuwen, dus of de opvattingen uit die tijd nu nog gelden, daar ben ik niet van overtuigd.

Wie de Wbp streng leest, concludeert dat camerabeelden met daarop een nietbetalende wegloper strafrechtelijke persoonsgegevens zijn, en die mag je gewoon nooit verwerken (art. 22 Wbp). In die lezing is het ook niet toegestaan om te zeggen dat Volkert van der G. een moordenaar is, dus ik heb daar moeite mee, maar goed. In 2015 werd een wetsvoorstel gedaan om een uitzondering te maken voor publicatie van dergelijke beelden door particulieren in geval van diefstal of vernieling. Ik kan niet vinden wat de actuele status is, maar het zal nog wel even duren voordat dat wet is (ik gok dat de Europese Privacyverordening dit in gaat halen en dan kan dit voorstel meteen de prullenbak in, want je mag geen nationale wetten over persoonsgegevens meer maken dan).

En dit is het lastige aan het recht: je moet ergens een grens trekken, maar soms kan dat niet. Dan kies je maar voor normen als “A tenzij B zwaarder weegt”, zodat de rechter het in een concreet geval kan inschatten. In 2004 was “Deze vrouw heeft gestolen” dus nog diffamerende eigenrichting, maar hoe kijken we anno 2016 aan tegen “Vergeten te betalen”?

Arnoud

Afkomstig van de blog Internetrecht door Arnoud Engelfriet. Koop mijn boek!

De cloud is (even) gered, Microsoft hoeft geen Europese klantgegevens af te geven

0
0

simpsons-cloud-diefstal-data-fotoMicrosoft hoeft e-mails die opgeslagen zijn bij zijn datacenters in Ierland niet over te dragen aan de Amerikaanse rechter. Dat las ik bij Tweakers. In het langverwachte hoger beroep bepaalde het gerechtshof dat de Amerikaanse Justitie geen grond heeft om een Amerikaans moederbedrijf te dwingen data op te halen bij haar niet-Amerikaanse dochters. Daarmee is de cloud even gered, maar ik twijfel er geen seconde aan dat dit naar de Supreme Court gaat.

In 2014 bepaalde de Amerikaanse rechter dat Microsoft Inc. (de Amerikaanse moeder) gehouden kon worden om gegevens van een klant van haar Ierse dochtermaatschappij af te geven als de FBI dat wilde. De wettelijke basis hiervoor (de Stored Communications Act, niet de Patriot Act, mijn excuses voor de verwarring) was twee eeuwen jurisprudentie die zegt dat een Amerikaan die iets heeft dat moet komen brengen als de rechter daarom vraagt. Ook al ligt het iets in kwestie in een ander land. En als je die doctrine loslaat op e-mail dan moet Microsoft Inc de data dus maar gaan halen in Ierland. Of haar dochter bevelen dit te doen, wat ze juridisch kan aangezien dochterbedrijven moeten doen wat hun moederbedrijven zeggen.

Het Hof heeft een fundamentele reden om deze redenering af te wijzen:

When, in 1986, Congress passed the Stored Communications Act as part of the broader Electronic Communications Privacy Act, its aim was to protect user privacy in the context of new technology that required a user’s interaction with a service provider. Neither explicitly nor implicitly does the statute envision the application of its warrant provisions overseas. Three decades ago, international boundaries were not so routinely crossed as they are today, when service providers rely on worldwide networks of hardware to satisfy users’ 21st–century demands for access and speed and their related, evolving expectations of privacy.

Als een wet alleen gemaakt is om gegevens bij Amerikaanse bedrijven op te vragen, dan moet je vanuit rechtszekerheid er vanuit kunnen gaan dat die wat alleen daarvoor gebruikt zal worden. De wet heeft dus geen bevoegdheid geschapen om bij digitale gegevens zo’n wereldwijd ga-maar-halenbevel af te geven. Misschien dat het vandaag de dag handig was geweest als dat er stond, maar wetten worden niet opgerekt vanuit wat vandaag handig is. Zeker strafrecht niet.

De deur staat hiermee nog op een klein kiertje: als het Congres deze wet wijzigt zodat er wél staat dat het mag, dan moet het natuurlijk. Maar het Congres heeft wel wat anders aan z’n hoofd, en je weet als politicus nu al dat je álle ICT-bedrijven over je heen krijgt als je dat gaat proberen. Die kans acht ik niet heel groot.

Waarschijnlijker lijkt me dat de Supreme Court er nog wat over gaat zeggen. Voor Justitie is dit een nogal vervelende uitspraak, dus die zullen zeker proberen een fundamentele uitspraak van het hoogste Hof te krijgen. Dus het blijft nog even spannend. Spannender in ieder geval dan Privacy Shield – ja, leuk lapje tegen het bloeden maar dat houdt écht geen stand als, pardon wanneer de zaak weer bij het Hof van Justitie komt.

Arnoud

Afkomstig van de blog Internetrecht door Arnoud Engelfriet. Koop mijn boek!

Is het strafbaar om je Netflix-wachtwoord te delen?

0
0

login-inloggen-pin-number-nummer-password-wachtwoordWanneer is het strafbaar om je wachtwoord te delen? Recent werd er in de VS weer een arrest gewezen hierover, wat eigenlijk meer vragen opriep dan het beantwoordde. Maar de wachtwoorddeler werd wel veroordeeld, dus paniek in de tent: is wachtwoorden delen dan altijd strafbaar?

Computervredebreuk is kort gezegd een computer binnendringen. In de Amerikaanse wet spreken ze ook van “exceeding authorization”, om ook strafbaar te stellen dat je verder gaat dan je mocht in een computer waar je op zich mocht zijn. Wie als gewone gebruiker ergens mag inloggen en an het beheerswachtwoord raadt, gaat zijn autorisatie te buiten en pleegt dan computervredebreuk.

In deze zaak waren twee werknemers bij een concurrent gaan werken, en een derde werknemer had zijn wachtwoord uitgeleend zodat zij bij de klantendatabase konden. Dat wachtwoordgebruik werd gezien als een vorm van computervredebreuk. Die concurrent mocht niet in die computer zijn, ook niet met een login die technisch gewoon werkt.

Ik denk dat we in Nederland op dezelfde conclusie uit zouden komen. Als je ergens niet mag zijn in een computer, dan mag je dat ook niet met een geleend wachtwoord. (Dat noemen we een valse sleutel onder art. 138ab Strafrecht.)

Wel maakt het zoals altijd uit hoe je aan het wachtwoord kwam en wat je ermee doet. En dat maakt het gelijk zo lastig bij dingen als Netflix: dat zijn geen bedrijfsdatabanken waar ongeautoriseerde toegang eenvoudig aan af te meten is. Met een Netflix-wachtwoord neem je gewoon de dienst af zoals die bedoeld is. Netflix controleert op het aantal gelijktijdige logins. Kennelijk dus geen probleem wíe er het wachtwoord gebruikt, zolang het maar binnen het maximum blijft. Het lijkt me dan ook sterk dat dát een vorm van binnendringen is wanneer je andermans wachtwoord gebruikt.

Je loopt in Nederland misschien eerder tegen art. 326c Strafrecht aan: het afnemen van een betaaldienst zonder daarvoor te betalen. Maar ook dan: is het wel wederrechtelijk gezien de aard van de dienst? De dienst wordt niet twee keer afgenomen waar één keer normaal is. Netflix regelt dat zelf. Dus wat is het probleem dat het strafrecht moet oplossen?

Arnoud

Afkomstig van de blog Internetrecht door Arnoud Engelfriet. Koop mijn boek!

Hoe kan WhatsApp alle Duitse klanten uitzonderen van haar Facebookkoppeling?

0
0

whatsappFacebook moet WhatsApp-data wissen van Duitse privacywaakhond, meldde Tweakers vorige week. De privacytoezichthouder van de deelstaat Hamburg (waar Facebook gevestigd is) heeft bepaald dat de recente Facebook/Whatsapp-koppeling in strijd is met de Duitse Wet bescherming persoonsgegevens. Facebook mag nu geen gegevens van Duitse WhatsApp-gebruikers meer hebben. Maar hoe kan Facebook dat doen, vroegen diverse mensen me.

De reden voor het Duitse stakingsbevel is dat WhatsApp nooit vooraf heeft gevraagd of zij gegevens aan andere bedrijven mag geven. Zoiets mag alleen met toestemming, ook als het gaat om je nieuwe moederbedrijf. En die toestemming heeft WhatsApp noch Facebook geregeld. Dat is dus gewoon een overtreding van de privacywet, de Wbp.

(Facebook kletst dan ook uit haar nek in haar persbericht dat zij zich zou houden aan Europese privacywetgeving. Allereerst omdat die er niet is – de Richtlijn is geen wet maar een instructie om wetten te máken. En ten tweede omdat in heel Europa die wetten hetzelfde zijn, en de Duitse interpretatie correct is.)

Maar goed, stel dat WhatsApp zegt, prima, we houden ons hieraan, we blokkeren dit voor Duitsers. Hoe moet dat dan? Want er is geen paspoortcontrole als je WhatsApp neemt, dus hoe weten zij dan welke accounts Duits zijn?

Er zijn natuurlijk diverse benaderingen te verzinnen. Accounts met Duitse telefoonnummers (kengetal +49) zullen vermoedelijk aan personen uit Duitsland behoren. Je kunt een landinstelling doen via je account. De taalinstelling zegt misschien ook iets (hoewel Oostenrijk en Zwitserland, en wellicht België, daar anders over zullen denken). Wellicht logt WhatsApp de landen waar je bent, het land waar je 90% van de tijd bent zal dan wel ‘jouw’ land zijn. Een optelsom van een aantal van die factoren zou voor mij een prima manier zijn. Maar toegegeven, 100% zekerheid heb je niet.

Is dat een probleem? Voor de wet niet. Wetten bepalen zelden hoe je dingen moeten doen, ze zeggen wat het gewenste eindresultaat is en verlangen van jou dat je dat doet of uitlegt waarom dat niet kan. En de lat bij dat laatste ligt hoog. In het algemeen moet je alles doen dat je redelijkerwijs kan om aan zo’n bevel te voldoen.

Honderd procent zekerheid wordt niet verlangd, en het is dus geen argument dat je die niet kunt geven. Laat maar zien wat je wél kunt doen en hoe goed dat resultaat is.

Arnoud

Afkomstig van de blog Internetrecht door Arnoud Engelfriet. Koop mijn boek!

Viewing all 101 articles
Browse latest View live