Een lezer vroeg me:

Als er bij een strafzaak versleutelde bestanden worden aangetroffen, kunnen deze in ontsleutelde vorm dan als bewijs dienen? Immers je kunt niet 100% vaststellen dat de gebruikte sleutel echt is, en in theorie is het dan mogelijk dat de deskundige die de ontsleuteling uitvoert, iets anders eruit haalt dan er in ging.

Er zijn geen specifieke regels over hoe om te gaan met versleutelde digitale bestanden in het strafrecht. We moeten dus terugvallen op de algemene regels: er moet wettig en overtuigend bewijs zijn van de schuld van de verdachte.

Wettig wil zeggen dat het op de juiste, wettelijk vastgelegde wijze is verkregen en dus bekeken mag worden als bewijs. Overtuigend betekent dat er geen redelijke twijfel meer is aan wat het bewijs inhoudelijk laat zien.

Heel formeel zijn er maar vijf categorieën van bewijs in het strafrecht (art. 339) en digitale bestanden staan daar niet bij. Wel de verklaring van de verdachte of van getuigen, de eigen waarneming van de rechter, schriftelijke stukken en verklaringen van deskundigen. Digitale bewijsstukken worden eigenlijk altijd via die laatste categorie ingevoerd: een deskundige legt dan uit wat er uit de digitale informatie te halen is (en hoe dat is gebeurd), en die verklaring is dan formeel het bewijsstuk.

Een deskundige zal dus in zo’n geval uitleggen wat encryptie is en hoe je van plaintext naar ciphertext en weer terug gaat, en hoe dat dan werkt met een sleutel. Hij zal vervolgens laten zien wat er gebeurt als je de (bijvoorbeeld gevonden of door de verdachte gegeven) sleutel loslaat op de aangetroffen ciphertext. De uitkomst (de ontsleutelde tekst) is dan deel van zijn verklaring en daarmee wettig bewijs.

Of het overtuigend is, is lastiger. De eerste vraag is of iemand daar een punt van maakt. Als de verdachte bijvoorbeeld bekent en de sleutel vrijwillig afgeeft, dan is de deskundige snel klaar en is er geen reden om te twijfelen aan het feit dat die plaintext de echte is.

Is de sleutel ergens aangetroffen, dan zal een belangrijke factor worden hoe en door wie. Is er een geel briefje naast de monitor gevonden, of heeft een politieagent drie weken lang handmatig bruteforceaanvallen ondernomen met voor de hand liggende wachtwoorden? Twijfel hierbij kan bijdragen aan de overtuiging van het bewijs (we geloven niet dat dit echt de juiste plaintext is) of zelfs aan de wettige status (de verdachte is onder druk gezet om zijn wachtwoord te geven bijvoorbeeld, wat in strijd is met de wet).

In theorie is het inderdaad denkbaar dat de gevonden ciphertext ooit met sleutel A versleuteld is, maar dat je met sleutel B die ciphertext in een andere plaintext terugdraait. Daarmee zou dus nepbewijs worden vervaardigd: de tekst vertelt iets dat niet echt in het versleutelde bestand stond.

Het zal dan neerkomen op wie het meest wordt geloofd: de deskundige die uitlegt dat dit de echte decryptie is van de aangetroffen ciphertext, of de deskundige die daar twijfel kan zaaien. Je krijgt dan een afweging van alle omstandigheden: hoe werd de sleutel in kwestie gevonden, waaruit blijkt dat die aan de verdachte te koppelen is, wie heeft er baat bij het vervalsen van de decryptie, welke mogelijkheden waren daarvoor, is er in de beweerdelijk valse plaintext iets te vinden dat duidt op een vervalsing en ga zo maar door.

Mijn onderbuikgevoel is dat dit geen sterk verhaal zou zijn zonder zeer specifieke aanwijzingen. In theorie kan het, maar de wet eist geen 100% zekerheid van schuld – er mag geen redelijke twijfel zijn. 99% zekerheid kan best voldoen aan dat criterium.

Arnoud

Afkomstig van de blog Internetrecht door Arnoud Engelfriet. Koop mijn boek!

Een lezer vroeg me:

Mag je met een Kapture armband rondlopen en alles opnemen dat in je buurt gezegd wordt?

De Kapture armband is een simpel apparaatje dat continu een minuut aan geluid opneemt dat in de buurt te horen is. De opname staat in een buffertje dat continu wordt overschreven. Twee drukken op een knop zorgt er voor dat de laatste minuut permanent wordt opgeslagen en naar je mobiel wordt gestuurd.

Het is legaal in Nederland om gesprekken op te nemen waar je deelnemer aan bent. Dus als je de armband daarvoor gebruikt, zit je goed.

Lastiger wordt het als de armband dingen opneemt waar je zelf niet aan deelneemt. Denk aan het gesprek achter je in de bus of iemand die toevallig voor je loopt en net wat harder praat. Dat zijn geen eigen gesprekken, dus die regel hierboven geldt niet. Maar het zijn wél gesprekken aan de openbare weg, dus hoe zit dat dan?

Gesprekken in een woning of besloten ruimte mogen niet worden opzettelijk opgenomen zonder dat een deelnemer daarmee instemt (art. 139a Strafrecht). Het maakt dus niet uit of het heimelijk gebeurt – tenzij je de eigenaar bent van de ruimte en de opnameapparatuur duidelijk zichtbaar ophangt.

Gesprekken buiten de woning mogen niet heimelijk worden opgenomen (art. 139b Strafrecht). Buiten rondlopen met een prominente boom-microfoon is dus altijd legaal, dat ziet en snapt iedereen.

Maar die armband lijkt me een stuk minder prominent, dus daar kun je echt een probleem hebben als die het gesprek achter je opneemt. Voor de wet doet het er niet toe of het gesprek in de openbare ruimte werd gevoerd. Het gaat erom dat mensen niet verwachten opgenomen te worden, ook niet in de bus en ook niet op straat als ze vlakbij iemand anders lopen.

Arnoud

Afkomstig van de blog Internetrecht door Arnoud Engelfriet. Koop mijn boek!

Microsoft-dochter Skype heeft in België een boete van 30.000 euro gekregen, omdat de dienst geen informatie over gesprekken vrij kon geven in een politieonderzoek. Dat meldde Nu.nl vorige week. De Belgische autoriteiten wilden toegang tot Skype-gesprekken, maar volgens het bedrijf waren die technisch niet te verstrekken. Bovendien zou de Belgische justitie geen rechtsmacht hebben omdat Skype in Luxemburg gevestigd zit.

Wanneer in een land een strafbaar feit is begaan, kan de lokale Justitie (politie en het openbaar ministerie, of hoe dat ter plaatse heet) daar natuurlijk onderzoek naar doen. Ook als het strafbaar feit (mede) via internetdiensten wordt gepleegd.

Daar kunnen buitenlandse partijen bij betrokken zijn die informatie hebben die nodig is voor het onderzoek. De meest voor de hand liggende manier om daarmee om te gaan is een rechtshulpverzoek bij Justitie in dat buitenland. Zo kan onze politie een verzoek bij de Amerikaanse FBI indienen als een verdachte mailt via Gmail of Microsoft Outlook.com. Deze beoordeelt dan het verzoek en haalt de gegevens op, zodat wij weer verder kunnen.

De Belgische rechtbank gaat echter een stapje verder. Skype adverteert haar diensten in België, en wordt daarmee geacht in België te opereren. Een niet onbekend argument, hoewel het hier natuurlijk gaat om strafrecht en niet om burgerlijk recht. Maar ik vind er wel wat voor te zeggen: als je de lusten wilt van zaken in een land, dan ook de strafrechtelijke lasten.

Het blijft een lastige. In de Eerste Wereldoorlog hadden we de zaak van het Azewijnse paard, dat vanuit Duitsland met een touw Nederland uit getrokken werd. Was dat nu een exporthandeling in Nederland (in strijd met de wet op dat moment)? Ja, want door het touw verbond men zich met het in Nederland bevindende paard en dus werd de strafbare handeling in Nederland gepleegd.

Als je dat als analogie loslaat op internet, dan is best verdedigbaar dat een communicatielijn naar een Belgische klant ertoe leidt dat je onder Belgisch recht valt. Zeker als je welbewust mikt op dat land. Dat je dan feitelijk lastiger aan te pakken bent (want je hebt geen directeur die d cel in kan of een bankrekening waar een boete van afgehaald kan worden) is een praktisch detail.

Arnoud

Afkomstig van de blog Internetrecht door Arnoud Engelfriet. Koop mijn boek!

Een lezer vroeg me:

Is scrapen van een website computervredebreuk? Er wordt immers iets gedaan met het systeem waar geen toestemming voor is.

Bij scrapen wordt kort gezegd alle informatie van een website opgehaald met een geautomatiseerd proces. Vaak is dat bedoeld voor metazoekmachines zoals prijsvergelijkers, die overal de prijs vandaan halen om de beste match te kunnen tonen. Maar gescrapete informatie kan natuurlijk voor allerlei doelen worden gebruikt.

Over scrapen is juridisch veel te doen. Bronwebsites vinden het vaak niet leuk, en proberen er met gebruiksvoorwaarden, auteursrecht of databankrecht wat tegen te doen. In 2015 won Ryanair nog een zaak tegen een scrapende prijsvergelijker. Het Hof van Justitie bepaalde toen dat Ryanair in principe in haar voorwaarden scrapen mag verbieden. Een scraper mag dat dan niet doen (hoewel nog een open vraag is óf een scraper gebonden is aan die voorwaarden).

Die uitspraak is civiel recht, contractenrecht om precies te zijn. Als een scraper in strijd handelt met de voorwaarden, pleegt ze contractbreuk en moet ze de schade vergoeden. Maar dat is juridisch iets heel anders dan strafrecht, waarbij je boetes of celstraf krijgt.

Van het misdrijf computervredebreuk (art. 138ab Strafrecht) is sprake als je opzettelijk en wederrechtelijk binnendringt in een computersysteem. Het is niet vereist dat je een beveiliging kraakt; genoeg is dat je weet dat je niet mag zijn waar je bent.

Echter, bij scrapen kom je nergens waar je niet mag zijn. Je vraagt data op die openbaar en welbewust toegankelijk is gemaakt. Er worden geen URL’s geraden of speciale queries gedraaid die eigenlijk niet de bedoeling zijn. Het gebruik van die data is niet de bedoeling, maar dat gebeurt een stap later. Daarom zie ik dit niet als strafbaar feit.

Arnoud

Afkomstig van de blog Internetrecht door Arnoud Engelfriet. Koop mijn boek!

Sven Olaf K., de hacker die in 2013 verantwoordelijk was voor de grootste cyberaanval tot dan toe, krijgt een voorwaardelijke celstraf van een half jaar. Dat meldde Nu.nl gisteren. In 2013 ging het internet bijna stuk vanwege een ddos aanval op Spamhaus, een bekende dienst die spammerszwartelijsten publiceert. De timing was opmerkelijk genoeg vlak nadat een bedrijf waar Olaf K. aan verbonden was, op die lijst verschenen was. Dat feit, plus diverse chats met medeverdachten, was voor de rechtbank genoeg bewijs.

Uit het vonnis blijkt dat K. ten laste werd gelegd dat hij het delict van het ddos’en zou hebben gemedepleegd. Oftewel, hij had niet in zijn eentje die aanval uitgevoerd, maar hij werkte in nauw verband met anderen om het delict gezamenlijk te laten gebeuren. (Dus niet samen met de botnetslachtoffers maar samen met andere beheerders.) En dat samenwerken hoeft niet heel formeel:

Bij de beoordeling of aan die eis is voldaan, kan rekening worden gehouden met onder meer de intensiteit van de samenwerking, de onderlinge taakverdeling, de rol in de voorbereiding, de uitvoering of de afhandeling van het delict en het belang van de rol van de verdachte, diens aanwezigheid op belangrijke momenten en het zich niet terugtrekken op een daartoe geëigend tijdstip.

Andere verdachten verklaarden op meerdere manieren dat K. een belangrijke rol had. Zo zie ik bijvoorbeeld in het vonnis een chatdiscussie waarbij iemand tegen K. zegt, als je spamhaus plat wilt, praat dan met N. Waarop hij zeg: “take it down”, waarna [nickname N] binnen een minuut antwoordt: “spamhaus.org down”. Verderop ontstaat in chats het plan om een efficiënte DNS-gebaseerde ddos te doen, hoewel het programma dat K. wil ontwikkelen, niet blijkt te werken. En als laatste lees ik dan “yeah i know, we did that” in reactie op dit bericht. Tsja, dan weet ik het ook wel. (Het waren allemaal Skype-chats en kennelijk heeft Justitie de inhoud gevorderd bij Microsoft.)

Het betoog van de verdediging dat het “erg lastig, of beter gezegd onmogelijk, (lijkt) om een substantiële bijdrage aan een delict te leveren op het moment dat je geen enkel zicht hebt op de exacte handelingen van anderen” mist feitelijke grondslag. Uit de chatgesprekken blijkt dat de verdachte frequent contact had met de uitvoerders van de aanvallen, ook overlegde hoe de aanvallen zouden worden voortgezet, dat hij adviseerde, aanjoeg en mogelijkheden aandroeg.

De rechtbank acht dan ook wettig en overtuigend bewezen dat K. wel degelijk nauw betrokken was bij de uitvoering van de ddos.

Ook bleek de verdachte IP-adressen te hebben gekaapt, wat dus inderdaad een stoornis blijkt te zijn in een geautomatiseerd werk (art. 161sexies Strafrecht). Doel van die kaping was de goede werking van de Spamhaus zwarte lijst te verstoren. Dat werkte maar gedeeltelijk: slechts drie mails werden abusievelijk als spam gemarkeerd. Maar voor 161sexies is geen grote schade vereist.

Arnoud

Afkomstig van de blog Internetrecht door Arnoud Engelfriet. Koop mijn boek!

In juli 2014 zouden diefstallen zijn gepleegd en in het geheim filmopnamen zijn gemaakt tijdens twee nachtelijke feesten in het huis van aangevers die op Snapchat zouden zijn geplaatst. Dat meldde de rechtbank Noord-Holland vorige week vrijdag. Een van de verdachten werd veroordeeld voor het openbaar maken van een stiekem gemaakte video. Maar is Snapchat wel openbaar, je deelt het toch maar met een beperkt aantal mensen?

Wat die diefstallen en de video met elkaar te maken hebben, weet ik niet precies, maar het gaat mij dus om die video. De verdachte had stiekem gefilmd hoe een dame seks met hem had, en die video op Snapchat gezet.

Het is strafbaar om stiekem video’s (of foto’s) te maken van mensen wanneer dat in niet-openbare ruimtes gebeurt (art. 139f Strafrecht). Ja, ook met een mobiele telefoon of andere gewone camera, niet alleen met bewakingscamera’s of zo. En vervolgens verbiedt 139g Strafrecht het openbaar maken van zo’n video.

In deze zaak was de video in een niet-openbare ruimte gemaakt – het bubbelbad bij een woning. Dus dat artikel 139f was overtreden, stond vast. Maar die openbaarmaking, hoe zit dat dan?

“Openbaar maken” betekent in de context van het strafrecht niet perse dat je zelf de hele wereld direct benaderd moet hebben, zoals wanneer je het op Youtube zou zetten. Ook als je een kleinere groep mensen bedient, kan dat nog steeds “openbaar” zijn. Het moet gaan om “een bredere kring van betrekkelijk willekeurige derden”. In al wat oudere jurisprudentie (Hyves!) werd bepaald hoe dat wordt ingevuld bij online acties. Zijn 20 familieleden meer of minder openbaar dan 10 willekeurige fans?

Uiteindelijk kwam daar een arrest van de Hoge Raad voorbij met het criterium:

de tekst op de Hyves-pagina van de verdachte zichtbaar was voor personen die kennelijk naar eigen inzicht en zonder enige restrictie over de uitlating konden beschikken,

Dat criterium zie je terug in deze zaak:

Door het heimelijk gemaakte filmpje op Snapchat te plaatsen, heeft verdachte dit ter kennis willen brengen van het publiek, te weten ofwel alle overige gebruikers van Snapchat ofwel de groep door verdachte goedgekeurde contacten, hetgeen eveneens een groep van zekere omvang betreft. Daarmee heeft verdachte het heimelijk vervaardigde filmpje openbaar gemaakt in de zin van de wet.

In mijn woorden: die groep van mensen waar het filmpje naartoe gestuurd was, was betrekkelijk willekeurig. Iedereen had in principe daar bij kunnen horen. Bovendien mocht iedereen het filmpje doorsturen, de verdachte had niets gedaan om dat te verhinderen. En daarmee geef je het aan de openbaarheid prijs.

Bij WhatsApp zou dit denk ik ook opgaan in een groepsapp waar willekeurige mensen lid van kunnen worden. Bij doorsturen naar één persoon zou ik dat minder snel zien, tenzij uit de context blijkt dat je verdere verspreiding best leuk zou vinden.

Arnoud

Afkomstig van de blog Internetrecht door Arnoud Engelfriet. Koop mijn boek!

Een lezer vroeg me:

Sinds de verkiezing van Trump is er veel te doen over fakenieuws en hoe dat geholpen zou hebben bij de verkiezing. Maar waarom wordt er niet opgetreden tegen al dat nepnieuws? Het is toch valsheid in geschrifte, compleet verzonnen ‘nieuws’ uitbrengen alsof het serieus en waar is?

Ik vrees dat dit juridisch wel érg ingewikkeld zou worden. Inderdaad is valsheid in geschrifte strafbaar, maar het gaat dan wel om een specifieke handeling (art. 225 Strafrecht):

Hij die een geschrift dat bestemd is om tot bewijs van enig feit te dienen, valselijk opmaakt of vervalst, met het oogmerk om het als echt en onvervalst te gebruiken of door anderen te doen gebruiken, wordt als schuldig aan valsheid in geschrift gestraft, met gevangenisstraf van ten hoogste zes jaren of geldboete van de vijfde categorie.

Het moet allereerst dus gaan om een geschrift. Oké, elektronisch telt ook, dus daar is aan voldaan bij zo’n nepsite. Maar dan komt het: het geschrift moet bestemd zijn om tot bewijs van een of ander te dienen. En daar gaat het mis. ‘Bewijs’ betekent hier niet “er wordt iets verteld als waarheid”, het geschrift moet de functie van bewijsstuk hebben. Een diploma, een identiteitskaart, een bioscoopkaartje, dat soort zaken. Een onware mededeling is dus niet strafbaar onder dit artikel.

Meer algemeen loop je al heel snel tegen de vrijheid van meningsuiting aan. Naast gewone verslaggeving is ook de satire en parodie een belangrijk deel van de uitingsvrijheid. En een nepbericht wordt meestal onder die noemer gebracht. Zo hebben wij in Nederland natuurlijk al jaren het geweldige De Speld: nepnieuws maar wel altijd met een duidelijke hint én een grappige ondertoon. Geen twijfel over dat dat legaal is, ook al zijn er regelmatig mensen die de Speld voor waar aannemen. Dat noemen we “er in trappen” maar dat maakt het bericht niet strafbaar.

Alleen is er nooit echt gedacht aan de situatie dat mensen opzettelijk legitiem uitziende berichten gaan maken die echt nep zijn en zonder een spoortje van humor of poging daartoe. Natuurlijk, je had altijd mensen die leugens verkondigde, maar die kwamen niet door het filter van krant of televisie heen. Dat loste zichzelf dus altijd wel op. En een krant die een vals bericht verspreidde, rectificeerde dat (meestal vrijwillig, anders via de rechter) en dan kwam het weer goed. Of het bleek een grap en dan lachten we erom. Deze situatie is dus echt nieuw: echt keihard nepnieuws dat gepresenteerd wordt als volkomen echt, en niet eens een poging om het onder satire te rangschikken.

Ik zou het lastig vinden als officier van justitie hier wat aan te doen. Waar begin je? Wanneer zeg je, dit is geen poging tot humor meer maar echt volksverlakkerij? Hoe vermijd je de schijn van vooringenomenheid, je treedt wel op tegen dat fakenieuws over Mark Rutte maar niet tegen dat over Wilders. Hoe ga je om met de reactie, je snapt de grap niet. Nee, ik zou mijn handen er niet aan willen branden.

Arnoud

Afkomstig van de blog Internetrecht door Arnoud Engelfriet. Koop mijn boek!

Een stel uit Texas klaagt het bedrijf Toyota aan omdat een van haar medewerkers naaktfoto’s van hun telefoon had geplukt en geupload naar een swingers-website, las ik bij The Register. Ze hadden de telefoon afgegeven omdat daar een financieringsovereenkomst op getoond werd, en die moest even achter getoond worden aan de directeur. Maar bij thuiskomst bleek er iets meer gedaan dan een financiële PDF gescrolld. Ahem. Mag dat?

Nou nee, wat denk je zelf. Die foto’s zijn privéportretten, en de verspreiding daarvan is strafbaar (art. 35 Auteurswet). Ook is het simpelweg een auteursrechtovertreding.

Iets lastiger: mocht die medewerker rondneuzen op de telefoon, even aannemend dat hij de foto’s vervolgens niet doorstuurde maar alleen bekeek? Nee. Ook dat is strafbaar en wel als computervredebreuk: het binnendringen in een geautomatiseerd werk, waar een smartphone zonder meer onder valt.

Voor binnendringen is niet vereist dat er een beveiliging wordt omzeild. Genoeg is dat je weet dat je niet mag zijn op de plek waar je bent. Als je toegang krijgt om dat bewijsstuk in pdf-vorm te bekijken, dan moet je weten dat je niet ook in de map Foto’s/Privé mag kijken. Doe je dat toch, dan zie ik dat als een vorm van binnendringen, net als wanneer je in een winkel een openstaande deur naar het magazijn binnenwandelt.

Het kan natuurlijk gebeuren dat je per ongeluk op een knop drukt die je dan naar een Recente Downloads-map of Afbeeldingen-map brengt, en dat je daar thumbnails ziet van ahem privémateriaal. Dat zou dan nog net op de grens zijn, maar als dat gebeurt moet je wel direct stoppen met bladeren. Doorklikken doe je met maar één doel en dat is welbewust die foto’s bekijken.

Arnoud

Afkomstig van de blog Internetrecht door Arnoud Engelfriet. Koop mijn boek!

Een lezer vroeg me:

In het filmpje laat een student nav zijn gestolen iPhone een andere smartphone stelen maar deze keer met spyware erop om een documentaire te maken over de kwestie wie de dief is, maar ook om de privacy aspecten aan de kaak te stellen.

Het filmpje (een slordige 20 minuten) is zeer het bekijken waard, al is het maar om te realiseren wat er zoal kan met zulke apparaten. De documentairemaker voorziet een Android-smartphone van een compleet onverwijderbare spyware-app waarmee hij op afstand de telefoon kan benaderen. Vervolgens laat hij deze met enige moeite stelen (wat nog niet meeviel trouwens) waarna hij vastlegt wat er allemaal gebeurt met de telefoon.

Uitlokking van diefstal? Meh. Volgens de Hoge Raad is dat pas een ding als je iemand brengt “tot andere handelingen dan die waarop zijn opzet reeds tevoren was gericht.” Enkel een waardevol object onbeheerd achterlaten daar waar vaak gestolen wordt, is geen uitlokking. Dus nee, dit is totaal geen issue.

Met de geïnstalleerde spyware kan het toestel precies worden gevolgd, kunnen foto’s en video’s worden gemaakt en kan de microfoon worden uitgeluisterd. Zo kon men bijvoorbeeld ontdekken dat de telefoon een andere simkaart kreeg, en kon vervolgens alles worden geregistreerd dat vervolgens werd gedaan.

In hoeverre mag dat nou, al dat meekijken. Er is geen wet die dit keihard verbiedt (of toestaat), zoals wel vaker in het ICT- of internetrecht moet je een belangenafweging maken. Informatie achterhalen over je eigen telefoon valt onder de informatievrijheid en dat is een grondrecht. Maar de privacy is óók een grondrecht, zelfs tot op zekere hoogte voor de dader van een misdrijf. De schandpaal is immers afgeschaft, heet dat dan onder beschaafde juristen.

Voor mij komt uiteindelijk die afweging in het voordeel van de documentairemaker uit, vooral omdat hij een en ander netjes in beeld brengt en er geen heksenjacht van maakt. Hij maakt een punt – je kunt alles achterhalen als je iemands telefoon beheerst – en is er niet op uit die dader als persoon te beschuldigen of te veroordelen. En het punt wordt mooi in beeld gebracht, met een minimale privacyschending.

En wat nu als de telefoon ondertussen tweedehands is doorverkocht? Dan zit je dus bij een mogelijk onschuldige derde te kijken. Dit is een beetje dezelfde discussie waarom je je eigen gestolen fiets niet terug mag pakken als je die ergens ziet staan. Het komt neer op de vraag hoe groot de kans is dat de huidige houder van dat ding te goeder trouw is, en hoe zwaar je dat belang wilt laten wegen tegen het eigendomsbelang van de bestolen partij. Hier zie ik ook dat niet: de maker laat overtuigend zien dat het echt de dief is die de telefoon verderop gebruikt.

Alles bij elkaar zie ik dus niets strafbaars aan het maken en publiceren van deze documentaire. (En wie aan de Wbp denkt: de belangenafweging uit art. 8 sub f valt uit in het voordeel van de documentairemaker, mede gezien de uitingsvrijheid die als legitiem belang heeft te gelden.)

Het zou anders worden als iemand het zou houden bij een data-dump an sich, of de data gebruikt om de dader te lokaliseren en dat publiceert met een “Pak hem” bordje erbij.

Arnoud

Afkomstig van de blog Internetrecht door Arnoud Engelfriet. Koop mijn boek!

Een lezer vroeg me:

Als er bij een strafzaak versleutelde bestanden worden aangetroffen, kunnen deze in ontsleutelde vorm dan als bewijs dienen? Immers je kunt niet 100% vaststellen dat de gebruikte sleutel echt is, en in theorie is het dan mogelijk dat de deskundige die de ontsleuteling uitvoert, iets anders eruit haalt dan er in ging.

Er zijn geen specifieke regels over hoe om te gaan met versleutelde digitale bestanden in het strafrecht. We moeten dus terugvallen op de algemene regels: er moet wettig en overtuigend bewijs zijn van de schuld van de verdachte.

Wettig wil zeggen dat het op de juiste, wettelijk vastgelegde wijze is verkregen en dus bekeken mag worden als bewijs. Overtuigend betekent dat er geen redelijke twijfel meer is aan wat het bewijs inhoudelijk laat zien.

Heel formeel zijn er maar vijf categorieën van bewijs in het strafrecht (art. 339) en digitale bestanden staan daar niet bij. Wel de verklaring van de verdachte of van getuigen, de eigen waarneming van de rechter, schriftelijke stukken en verklaringen van deskundigen. Digitale bewijsstukken worden eigenlijk altijd via die laatste categorie ingevoerd: een deskundige legt dan uit wat er uit de digitale informatie te halen is (en hoe dat is gebeurd), en die verklaring is dan formeel het bewijsstuk.

Een deskundige zal dus in zo’n geval uitleggen wat encryptie is en hoe je van plaintext naar ciphertext en weer terug gaat, en hoe dat dan werkt met een sleutel. Hij zal vervolgens laten zien wat er gebeurt als je de (bijvoorbeeld gevonden of door de verdachte gegeven) sleutel loslaat op de aangetroffen ciphertext. De uitkomst (de ontsleutelde tekst) is dan deel van zijn verklaring en daarmee wettig bewijs.

Of het overtuigend is, is lastiger. De eerste vraag is of iemand daar een punt van maakt. Als de verdachte bijvoorbeeld bekent en de sleutel vrijwillig afgeeft, dan is de deskundige snel klaar en is er geen reden om te twijfelen aan het feit dat die plaintext de echte is.

Is de sleutel ergens aangetroffen, dan zal een belangrijke factor worden hoe en door wie. Is er een geel briefje naast de monitor gevonden, of heeft een politieagent drie weken lang handmatig bruteforceaanvallen ondernomen met voor de hand liggende wachtwoorden? Twijfel hierbij kan bijdragen aan de overtuiging van het bewijs (we geloven niet dat dit echt de juiste plaintext is) of zelfs aan de wettige status (de verdachte is onder druk gezet om zijn wachtwoord te geven bijvoorbeeld, wat in strijd is met de wet).

In theorie is het inderdaad denkbaar dat de gevonden ciphertext ooit met sleutel A versleuteld is, maar dat je met sleutel B die ciphertext in een andere plaintext terugdraait. Daarmee zou dus nepbewijs worden vervaardigd: de tekst vertelt iets dat niet echt in het versleutelde bestand stond.

Het zal dan neerkomen op wie het meest wordt geloofd: de deskundige die uitlegt dat dit de echte decryptie is van de aangetroffen ciphertext, of de deskundige die daar twijfel kan zaaien. Je krijgt dan een afweging van alle omstandigheden: hoe werd de sleutel in kwestie gevonden, waaruit blijkt dat die aan de verdachte te koppelen is, wie heeft er baat bij het vervalsen van de decryptie, welke mogelijkheden waren daarvoor, is er in de beweerdelijk valse plaintext iets te vinden dat duidt op een vervalsing en ga zo maar door.

Mijn onderbuikgevoel is dat dit geen sterk verhaal zou zijn zonder zeer specifieke aanwijzingen. In theorie kan het, maar de wet eist geen 100% zekerheid van schuld – er mag geen redelijke twijfel zijn. 99% zekerheid kan best voldoen aan dat criterium.

Arnoud

Afkomstig van de blog Internetrecht door Arnoud Engelfriet. Koop mijn boek!

Een lezer vroeg me:

Mag je met een Kapture armband rondlopen en alles opnemen dat in je buurt gezegd wordt?

De Kapture armband is een simpel apparaatje dat continu een minuut aan geluid opneemt dat in de buurt te horen is. De opname staat in een buffertje dat continu wordt overschreven. Twee drukken op een knop zorgt er voor dat de laatste minuut permanent wordt opgeslagen en naar je mobiel wordt gestuurd.

Het is legaal in Nederland om gesprekken op te nemen waar je deelnemer aan bent. Dus als je de armband daarvoor gebruikt, zit je goed.

Lastiger wordt het als de armband dingen opneemt waar je zelf niet aan deelneemt. Denk aan het gesprek achter je in de bus of iemand die toevallig voor je loopt en net wat harder praat. Dat zijn geen eigen gesprekken, dus die regel hierboven geldt niet. Maar het zijn wél gesprekken aan de openbare weg, dus hoe zit dat dan?

Gesprekken in een woning of besloten ruimte mogen niet worden opzettelijk opgenomen zonder dat een deelnemer daarmee instemt (art. 139a Strafrecht). Het maakt dus niet uit of het heimelijk gebeurt – tenzij je de eigenaar bent van de ruimte en de opnameapparatuur duidelijk zichtbaar ophangt.

Gesprekken buiten de woning mogen niet heimelijk worden opgenomen (art. 139b Strafrecht). Buiten rondlopen met een prominente boom-microfoon is dus altijd legaal, dat ziet en snapt iedereen.

Maar die armband lijkt me een stuk minder prominent, dus daar kun je echt een probleem hebben als die het gesprek achter je opneemt. Voor de wet doet het er niet toe of het gesprek in de openbare ruimte werd gevoerd. Het gaat erom dat mensen niet verwachten opgenomen te worden, ook niet in de bus en ook niet op straat als ze vlakbij iemand anders lopen.

Arnoud

Afkomstig van de blog Internetrecht door Arnoud Engelfriet. Koop mijn boek!

Microsoft-dochter Skype heeft in België een boete van 30.000 euro gekregen, omdat de dienst geen informatie over gesprekken vrij kon geven in een politieonderzoek. Dat meldde Nu.nl vorige week. De Belgische autoriteiten wilden toegang tot Skype-gesprekken, maar volgens het bedrijf waren die technisch niet te verstrekken. Bovendien zou de Belgische justitie geen rechtsmacht hebben omdat Skype in Luxemburg gevestigd zit.

Wanneer in een land een strafbaar feit is begaan, kan de lokale Justitie (politie en het openbaar ministerie, of hoe dat ter plaatse heet) daar natuurlijk onderzoek naar doen. Ook als het strafbaar feit (mede) via internetdiensten wordt gepleegd.

Daar kunnen buitenlandse partijen bij betrokken zijn die informatie hebben die nodig is voor het onderzoek. De meest voor de hand liggende manier om daarmee om te gaan is een rechtshulpverzoek bij Justitie in dat buitenland. Zo kan onze politie een verzoek bij de Amerikaanse FBI indienen als een verdachte mailt via Gmail of Microsoft Outlook.com. Deze beoordeelt dan het verzoek en haalt de gegevens op, zodat wij weer verder kunnen.

De Belgische rechtbank gaat echter een stapje verder. Skype adverteert haar diensten in België, en wordt daarmee geacht in België te opereren. Een niet onbekend argument, hoewel het hier natuurlijk gaat om strafrecht en niet om burgerlijk recht. Maar ik vind er wel wat voor te zeggen: als je de lusten wilt van zaken in een land, dan ook de strafrechtelijke lasten.

Het blijft een lastige. In de Eerste Wereldoorlog hadden we de zaak van het Azewijnse paard, dat vanuit Duitsland met een touw Nederland uit getrokken werd. Was dat nu een exporthandeling in Nederland (in strijd met de wet op dat moment)? Ja, want door het touw verbond men zich met het in Nederland bevindende paard en dus werd de strafbare handeling in Nederland gepleegd.

Als je dat als analogie loslaat op internet, dan is best verdedigbaar dat een communicatielijn naar een Belgische klant ertoe leidt dat je onder Belgisch recht valt. Zeker als je welbewust mikt op dat land. Dat je dan feitelijk lastiger aan te pakken bent (want je hebt geen directeur die d cel in kan of een bankrekening waar een boete van afgehaald kan worden) is een praktisch detail.

Arnoud

Afkomstig van de blog Internetrecht door Arnoud Engelfriet. Koop mijn boek!

Een lezer vroeg me:

Is scrapen van een website computervredebreuk? Er wordt immers iets gedaan met het systeem waar geen toestemming voor is.

Bij scrapen wordt kort gezegd alle informatie van een website opgehaald met een geautomatiseerd proces. Vaak is dat bedoeld voor metazoekmachines zoals prijsvergelijkers, die overal de prijs vandaan halen om de beste match te kunnen tonen. Maar gescrapete informatie kan natuurlijk voor allerlei doelen worden gebruikt.

Over scrapen is juridisch veel te doen. Bronwebsites vinden het vaak niet leuk, en proberen er met gebruiksvoorwaarden, auteursrecht of databankrecht wat tegen te doen. In 2015 won Ryanair nog een zaak tegen een scrapende prijsvergelijker. Het Hof van Justitie bepaalde toen dat Ryanair in principe in haar voorwaarden scrapen mag verbieden. Een scraper mag dat dan niet doen (hoewel nog een open vraag is óf een scraper gebonden is aan die voorwaarden).

Die uitspraak is civiel recht, contractenrecht om precies te zijn. Als een scraper in strijd handelt met de voorwaarden, pleegt ze contractbreuk en moet ze de schade vergoeden. Maar dat is juridisch iets heel anders dan strafrecht, waarbij je boetes of celstraf krijgt.

Van het misdrijf computervredebreuk (art. 138ab Strafrecht) is sprake als je opzettelijk en wederrechtelijk binnendringt in een computersysteem. Het is niet vereist dat je een beveiliging kraakt; genoeg is dat je weet dat je niet mag zijn waar je bent.

Echter, bij scrapen kom je nergens waar je niet mag zijn. Je vraagt data op die openbaar en welbewust toegankelijk is gemaakt. Er worden geen URL’s geraden of speciale queries gedraaid die eigenlijk niet de bedoeling zijn. Het gebruik van die data is niet de bedoeling, maar dat gebeurt een stap later. Daarom zie ik dit niet als strafbaar feit.

Arnoud

Afkomstig van de blog Internetrecht door Arnoud Engelfriet. Koop mijn boek!

Sven Olaf K., de hacker die in 2013 verantwoordelijk was voor de grootste cyberaanval tot dan toe, krijgt een voorwaardelijke celstraf van een half jaar. Dat meldde Nu.nl gisteren. In 2013 ging het internet bijna stuk vanwege een ddos aanval op Spamhaus, een bekende dienst die spammerszwartelijsten publiceert. De timing was opmerkelijk genoeg vlak nadat een bedrijf waar Olaf K. aan verbonden was, op die lijst verschenen was. Dat feit, plus diverse chats met medeverdachten, was voor de rechtbank genoeg bewijs.

Uit het vonnis blijkt dat K. ten laste werd gelegd dat hij het delict van het ddos’en zou hebben gemedepleegd. Oftewel, hij had niet in zijn eentje die aanval uitgevoerd, maar hij werkte in nauw verband met anderen om het delict gezamenlijk te laten gebeuren. (Dus niet samen met de botnetslachtoffers maar samen met andere beheerders.) En dat samenwerken hoeft niet heel formeel:

Bij de beoordeling of aan die eis is voldaan, kan rekening worden gehouden met onder meer de intensiteit van de samenwerking, de onderlinge taakverdeling, de rol in de voorbereiding, de uitvoering of de afhandeling van het delict en het belang van de rol van de verdachte, diens aanwezigheid op belangrijke momenten en het zich niet terugtrekken op een daartoe geëigend tijdstip.

Andere verdachten verklaarden op meerdere manieren dat K. een belangrijke rol had. Zo zie ik bijvoorbeeld in het vonnis een chatdiscussie waarbij iemand tegen K. zegt, als je spamhaus plat wilt, praat dan met N. Waarop hij zeg: “take it down”, waarna [nickname N] binnen een minuut antwoordt: “spamhaus.org down”. Verderop ontstaat in chats het plan om een efficiënte DNS-gebaseerde ddos te doen, hoewel het programma dat K. wil ontwikkelen, niet blijkt te werken. En als laatste lees ik dan “yeah i know, we did that” in reactie op dit bericht. Tsja, dan weet ik het ook wel. (Het waren allemaal Skype-chats en kennelijk heeft Justitie de inhoud gevorderd bij Microsoft.)

Het betoog van de verdediging dat het “erg lastig, of beter gezegd onmogelijk, (lijkt) om een substantiële bijdrage aan een delict te leveren op het moment dat je geen enkel zicht hebt op de exacte handelingen van anderen” mist feitelijke grondslag. Uit de chatgesprekken blijkt dat de verdachte frequent contact had met de uitvoerders van de aanvallen, ook overlegde hoe de aanvallen zouden worden voortgezet, dat hij adviseerde, aanjoeg en mogelijkheden aandroeg.

De rechtbank acht dan ook wettig en overtuigend bewezen dat K. wel degelijk nauw betrokken was bij de uitvoering van de ddos.

Ook bleek de verdachte IP-adressen te hebben gekaapt, wat dus inderdaad een stoornis blijkt te zijn in een geautomatiseerd werk (art. 161sexies Strafrecht). Doel van die kaping was de goede werking van de Spamhaus zwarte lijst te verstoren. Dat werkte maar gedeeltelijk: slechts drie mails werden abusievelijk als spam gemarkeerd. Maar voor 161sexies is geen grote schade vereist.

Arnoud

Afkomstig van de blog Internetrecht door Arnoud Engelfriet. Koop mijn boek!

In juli 2014 zouden diefstallen zijn gepleegd en in het geheim filmopnamen zijn gemaakt tijdens twee nachtelijke feesten in het huis van aangevers die op Snapchat zouden zijn geplaatst. Dat meldde de rechtbank Noord-Holland vorige week vrijdag. Een van de verdachten werd veroordeeld voor het openbaar maken van een stiekem gemaakte video. Maar is Snapchat wel openbaar, je deelt het toch maar met een beperkt aantal mensen?

Wat die diefstallen en de video met elkaar te maken hebben, weet ik niet precies, maar het gaat mij dus om die video. De verdachte had stiekem gefilmd hoe een dame seks met hem had, en die video op Snapchat gezet.

Het is strafbaar om stiekem video’s (of foto’s) te maken van mensen wanneer dat in niet-openbare ruimtes gebeurt (art. 139f Strafrecht). Ja, ook met een mobiele telefoon of andere gewone camera, niet alleen met bewakingscamera’s of zo. En vervolgens verbiedt 139g Strafrecht het openbaar maken van zo’n video.

In deze zaak was de video in een niet-openbare ruimte gemaakt – het bubbelbad bij een woning. Dus dat artikel 139f was overtreden, stond vast. Maar die openbaarmaking, hoe zit dat dan?

“Openbaar maken” betekent in de context van het strafrecht niet perse dat je zelf de hele wereld direct benaderd moet hebben, zoals wanneer je het op Youtube zou zetten. Ook als je een kleinere groep mensen bedient, kan dat nog steeds “openbaar” zijn. Het moet gaan om “een bredere kring van betrekkelijk willekeurige derden”. In al wat oudere jurisprudentie (Hyves!) werd bepaald hoe dat wordt ingevuld bij online acties. Zijn 20 familieleden meer of minder openbaar dan 10 willekeurige fans?

Uiteindelijk kwam daar een arrest van de Hoge Raad voorbij met het criterium:

de tekst op de Hyves-pagina van de verdachte zichtbaar was voor personen die kennelijk naar eigen inzicht en zonder enige restrictie over de uitlating konden beschikken,

Dat criterium zie je terug in deze zaak:

Door het heimelijk gemaakte filmpje op Snapchat te plaatsen, heeft verdachte dit ter kennis willen brengen van het publiek, te weten ofwel alle overige gebruikers van Snapchat ofwel de groep door verdachte goedgekeurde contacten, hetgeen eveneens een groep van zekere omvang betreft. Daarmee heeft verdachte het heimelijk vervaardigde filmpje openbaar gemaakt in de zin van de wet.

In mijn woorden: die groep van mensen waar het filmpje naartoe gestuurd was, was betrekkelijk willekeurig. Iedereen had in principe daar bij kunnen horen. Bovendien mocht iedereen het filmpje doorsturen, de verdachte had niets gedaan om dat te verhinderen. En daarmee geef je het aan de openbaarheid prijs.

Bij WhatsApp zou dit denk ik ook opgaan in een groepsapp waar willekeurige mensen lid van kunnen worden. Bij doorsturen naar één persoon zou ik dat minder snel zien, tenzij uit de context blijkt dat je verdere verspreiding best leuk zou vinden.

Arnoud

Afkomstig van de blog Internetrecht door Arnoud Engelfriet. Koop mijn boek!

Een lezer vroeg me:

Sinds de verkiezing van Trump is er veel te doen over fakenieuws en hoe dat geholpen zou hebben bij de verkiezing. Maar waarom wordt er niet opgetreden tegen al dat nepnieuws? Het is toch valsheid in geschrifte, compleet verzonnen ‘nieuws’ uitbrengen alsof het serieus en waar is?

Ik vrees dat dit juridisch wel érg ingewikkeld zou worden. Inderdaad is valsheid in geschrifte strafbaar, maar het gaat dan wel om een specifieke handeling (art. 225 Strafrecht):

Hij die een geschrift dat bestemd is om tot bewijs van enig feit te dienen, valselijk opmaakt of vervalst, met het oogmerk om het als echt en onvervalst te gebruiken of door anderen te doen gebruiken, wordt als schuldig aan valsheid in geschrift gestraft, met gevangenisstraf van ten hoogste zes jaren of geldboete van de vijfde categorie.

Het moet allereerst dus gaan om een geschrift. Oké, elektronisch telt ook, dus daar is aan voldaan bij zo’n nepsite. Maar dan komt het: het geschrift moet bestemd zijn om tot bewijs van een of ander te dienen. En daar gaat het mis. ‘Bewijs’ betekent hier niet “er wordt iets verteld als waarheid”, het geschrift moet de functie van bewijsstuk hebben. Een diploma, een identiteitskaart, een bioscoopkaartje, dat soort zaken. Een onware mededeling is dus niet strafbaar onder dit artikel.

Meer algemeen loop je al heel snel tegen de vrijheid van meningsuiting aan. Naast gewone verslaggeving is ook de satire en parodie een belangrijk deel van de uitingsvrijheid. En een nepbericht wordt meestal onder die noemer gebracht. Zo hebben wij in Nederland natuurlijk al jaren het geweldige De Speld: nepnieuws maar wel altijd met een duidelijke hint én een grappige ondertoon. Geen twijfel over dat dat legaal is, ook al zijn er regelmatig mensen die de Speld voor waar aannemen. Dat noemen we “er in trappen” maar dat maakt het bericht niet strafbaar.

Alleen is er nooit echt gedacht aan de situatie dat mensen opzettelijk legitiem uitziende berichten gaan maken die echt nep zijn en zonder een spoortje van humor of poging daartoe. Natuurlijk, je had altijd mensen die leugens verkondigde, maar die kwamen niet door het filter van krant of televisie heen. Dat loste zichzelf dus altijd wel op. En een krant die een vals bericht verspreidde, rectificeerde dat (meestal vrijwillig, anders via de rechter) en dan kwam het weer goed. Of het bleek een grap en dan lachten we erom. Deze situatie is dus echt nieuw: echt keihard nepnieuws dat gepresenteerd wordt als volkomen echt, en niet eens een poging om het onder satire te rangschikken.

Ik zou het lastig vinden als officier van justitie hier wat aan te doen. Waar begin je? Wanneer zeg je, dit is geen poging tot humor meer maar echt volksverlakkerij? Hoe vermijd je de schijn van vooringenomenheid, je treedt wel op tegen dat fakenieuws over Mark Rutte maar niet tegen dat over Wilders. Hoe ga je om met de reactie, je snapt de grap niet. Nee, ik zou mijn handen er niet aan willen branden.

Arnoud

Afkomstig van de blog Internetrecht door Arnoud Engelfriet. Koop mijn boek!

Een stel uit Texas klaagt het bedrijf Toyota aan omdat een van haar medewerkers naaktfoto’s van hun telefoon had geplukt en geupload naar een swingers-website, las ik bij The Register. Ze hadden de telefoon afgegeven omdat daar een financieringsovereenkomst op getoond werd, en die moest even achter getoond worden aan de directeur. Maar bij thuiskomst bleek er iets meer gedaan dan een financiële PDF gescrolld. Ahem. Mag dat?

Nou nee, wat denk je zelf. Die foto’s zijn privéportretten, en de verspreiding daarvan is strafbaar (art. 35 Auteurswet). Ook is het simpelweg een auteursrechtovertreding.

Iets lastiger: mocht die medewerker rondneuzen op de telefoon, even aannemend dat hij de foto’s vervolgens niet doorstuurde maar alleen bekeek? Nee. Ook dat is strafbaar en wel als computervredebreuk: het binnendringen in een geautomatiseerd werk, waar een smartphone zonder meer onder valt.

Voor binnendringen is niet vereist dat er een beveiliging wordt omzeild. Genoeg is dat je weet dat je niet mag zijn op de plek waar je bent. Als je toegang krijgt om dat bewijsstuk in pdf-vorm te bekijken, dan moet je weten dat je niet ook in de map Foto’s/Privé mag kijken. Doe je dat toch, dan zie ik dat als een vorm van binnendringen, net als wanneer je in een winkel een openstaande deur naar het magazijn binnenwandelt.

Het kan natuurlijk gebeuren dat je per ongeluk op een knop drukt die je dan naar een Recente Downloads-map of Afbeeldingen-map brengt, en dat je daar thumbnails ziet van ahem privémateriaal. Dat zou dan nog net op de grens zijn, maar als dat gebeurt moet je wel direct stoppen met bladeren. Doorklikken doe je met maar één doel en dat is welbewust die foto’s bekijken.

Arnoud

Afkomstig van de blog Internetrecht door Arnoud Engelfriet. Koop mijn boek!

Een lezer vroeg me:

In het filmpje laat een student nav zijn gestolen iPhone een andere smartphone stelen maar deze keer met spyware erop om een documentaire te maken over de kwestie wie de dief is, maar ook om de privacy aspecten aan de kaak te stellen.

Het filmpje (een slordige 20 minuten) is zeer het bekijken waard, al is het maar om te realiseren wat er zoal kan met zulke apparaten. De documentairemaker voorziet een Android-smartphone van een compleet onverwijderbare spyware-app waarmee hij op afstand de telefoon kan benaderen. Vervolgens laat hij deze met enige moeite stelen (wat nog niet meeviel trouwens) waarna hij vastlegt wat er allemaal gebeurt met de telefoon.

Uitlokking van diefstal? Meh. Volgens de Hoge Raad is dat pas een ding als je iemand brengt “tot andere handelingen dan die waarop zijn opzet reeds tevoren was gericht.” Enkel een waardevol object onbeheerd achterlaten daar waar vaak gestolen wordt, is geen uitlokking. Dus nee, dit is totaal geen issue.

Met de geïnstalleerde spyware kan het toestel precies worden gevolgd, kunnen foto’s en video’s worden gemaakt en kan de microfoon worden uitgeluisterd. Zo kon men bijvoorbeeld ontdekken dat de telefoon een andere simkaart kreeg, en kon vervolgens alles worden geregistreerd dat vervolgens werd gedaan.

In hoeverre mag dat nou, al dat meekijken. Er is geen wet die dit keihard verbiedt (of toestaat), zoals wel vaker in het ICT- of internetrecht moet je een belangenafweging maken. Informatie achterhalen over je eigen telefoon valt onder de informatievrijheid en dat is een grondrecht. Maar de privacy is óók een grondrecht, zelfs tot op zekere hoogte voor de dader van een misdrijf. De schandpaal is immers afgeschaft, heet dat dan onder beschaafde juristen.

Voor mij komt uiteindelijk die afweging in het voordeel van de documentairemaker uit, vooral omdat hij een en ander netjes in beeld brengt en er geen heksenjacht van maakt. Hij maakt een punt – je kunt alles achterhalen als je iemands telefoon beheerst – en is er niet op uit die dader als persoon te beschuldigen of te veroordelen. En het punt wordt mooi in beeld gebracht, met een minimale privacyschending.

En wat nu als de telefoon ondertussen tweedehands is doorverkocht? Dan zit je dus bij een mogelijk onschuldige derde te kijken. Dit is een beetje dezelfde discussie waarom je je eigen gestolen fiets niet terug mag pakken als je die ergens ziet staan. Het komt neer op de vraag hoe groot de kans is dat de huidige houder van dat ding te goeder trouw is, en hoe zwaar je dat belang wilt laten wegen tegen het eigendomsbelang van de bestolen partij. Hier zie ik ook dat niet: de maker laat overtuigend zien dat het echt de dief is die de telefoon verderop gebruikt.

Alles bij elkaar zie ik dus niets strafbaars aan het maken en publiceren van deze documentaire. (En wie aan de Wbp denkt: de belangenafweging uit art. 8 sub f valt uit in het voordeel van de documentairemaker, mede gezien de uitingsvrijheid die als legitiem belang heeft te gelden.)

Het zou anders worden als iemand het zou houden bij een data-dump an sich, of de data gebruikt om de dader te lokaliseren en dat publiceert met een “Pak hem” bordje erbij.

Arnoud

Afkomstig van de blog Internetrecht door Arnoud Engelfriet. Koop mijn boek!

Een man uit Amsterdam heeft vrijdag een celstraf van één jaar gekregen omdat hij verschillende websites heeft gehackt, e-mailadressen heeft gestolen en zich in phishing-e-mails heeft voorgedaan als een creditcardbedrijf. Dat meldde Nu.nl onlangs. Hij had ook creditcardgegevens te pakken gekregen, maar deze heeft hij niet gestolen want dat kan juridisch niet, zo blijkt uit het vonnis.

De man had tussen 2014 en 2016 via diverse phishingmails en -sites zich voorgedaan als creditcardfaciliteerder ICS om zo mensen over te halen hun logingegevens te verstrekken. Op die manier kreeg hij creditcarddata te pakken. Justitie wilde dit aanpakken door hem verduistering (onrechtmatig verwerven van een goed anders dan door diefstal) ten laste te leggen. Op zich niet ondenkbaar, want digitale goederen zoals Runescape-objecten of belminuten zijn te stelen, dus waarom creditcarddata niet?

Nou ja, omdat het verschil tussen die objecten en minuten enerzijds en creditcarddata anderzijds is dat die laatste niet “individualiseerbaar” is. Een belminuut is na een minuut op, en een virtueel zwaard kan worden afgepakt en is dan weg. Een creditcardnummer kan wel worden gekopieerd en gebruikt, maar daarmee is het nummer nog niet op.

Wél wordt hier het phishen van dergelijke gegevens gezien als oplichting. Iets dat vroeger niet kon – toen moest er zaken of geld worden afgetroggeld – maar sinds een paar jaar wel: het aftroggelen van informatie met listige kunstgrepen is ook oplichting. En oplichting is ook een ernstig misdrijf met stevige strafmaxima, dus dat is wel een billijke uitkomst. Ook het scannen en binnendringen van diverse websites (om daar de phishingsites te hosten) wordt strafbaar geacht, gewoon ouderwets computervredebreuk.

Leuk detail nog: bewijs was verkregen uit zijn laptop, die in de slaapkamer was aangetroffen bij een huiszoeking. Op de laptop had een politieagent de programma’s Sendblaster Pro, Gr3eNoX Exploit Scanner, Havij en een phishingwebsite gezien, waarna hij deze in beslag nam. Volgens de verdachte had dat niet gekund, omdat de laptop een screensaver had die de agent dan moet hebben weggeklikt. En dat zou dan onrechtmatig zijn, want bij een huiszoeking mag je niet zomaar in een computer kijken. Hoe dat precies zit met die screensaver wordt niet duidelijk, maar de rechtbank gelooft de agent dat deze de programma’s zag en herkende, waarmee de doorzoeking rechtmatig was.

En oh ja wie nog denkt dat rechtbanken technofoob zijn, moet dit vonnis sowieso even lezen.

Arnoud

Afkomstig van de blog Internetrecht door Arnoud Engelfriet. Koop mijn boek!

De politie gaat tien nieuwe cyberteams oprichten om cybercriminaliteit beter te kunnen bestrijden. Dat las ik bij Nu.nl. De teams gaan uit minimaal tien rechercheurs bestaan, die al in dienst zijn bij de politie. Zij worden ondersteund door digitaal specialisten die beschikken over specifieke ICT-kennis. NRC vult aan dat de focus mede komt te liggen op jihadistische propaganda opsporen. Alleen: hoe dan?

NRC legt uit:

Sympathisanten van IS gebruiken sociale media om zieltjes te winnen. De ‘Internet Referal Unit’ van de Nationale Politie gaat actief op zoek naar hun propaganda en vraagt providers de berichten te verwijderen. Ook zal het team producenten van de propaganda helpen opsporen. Nog deze maand worden vijf gespecialiseerde politiemedewerkers geworven voor de nieuwe eenheid.

Dat ‘vragen’ intrigeert mij dan. Is dit een journalistieke vrijheid? De politie heeft immers gewoon de bevoegdheid te eisen dat strafbare berichten worden verwijderd (art. 54a Strafrecht). Wel is daarvoor een machtiging van de rechter-commissaris voor nodig, omdat het immers gaat om het inperken van iemands meningsuiting. Maar zo kan een Nederlandse provider gewoon worden gedwongen iets weg te halen dat hier strafbaar is.

Wellicht dat men het houdt bij ‘vragen’ omdat veel van deze providers of platforms in het buitenland zitten. Het is dan praktisch niet echt mogelijk dingen te gaan eisen. En dan blijft vragen over. Maar hoe effectief is dat?

Op Netkwesties wijst Peter Olsthoorn erop dat dit nog best een kluif kan worden.

… de website Netherlands-embassy.ru. Dis is een nepsite, deels gekopieerd van de echte site van ambassade in Moskou. Het Russische ministerie van Buitenlandse Zaken haalde wel een link naar de nepsite weg, maar niet de site zelf. Buitenlandse Zaken vraagt daar tevergeefs om.

En als dat al niet lukt, hoe zou het weghalen van een bericht dan wel moeten lukken?

Het alternatief is het sluiten van vele convenanten of verdragen met andere landen over wat wel of niet strafbaar is, inclusief protocol over wederzijdse bijstand. Dan zou dus de Amerikaanse FBI op verzoek van onze politie een Amerikaanse provider iets gaan verbieden omdat beide landen het strafbaar vinden. En dat wordt nog lastig; in de VS is eigenlijk geen enkele uiting strafbaar behalve het gerichte aanzetten tot geweld. Dus hoe kun je ooit zo’n convenant opstellen?

Arnoud

Afkomstig van de blog Internetrecht door Arnoud Engelfriet. Koop mijn boek!