Driekwart van de Nederlanders is voorstander van een verbod op het gebruik van smartphones op de fiets, meldde Nu.nl onlangs. Dit bleek uit onderzoek van het ministerie van Infrastructuur en Milieu, in de opmaat naar een wettelijk verbod op smartphonegebruik dan wel -vasthouden voor fietsers. De discussie gaat namelijk over dat laatste punt: moeten we het gebruik verbieden, of sowieso het vásthouden?

Op dit moment is het niet expliciet verboden om op de fiets een smartphone vast te houden of te bedienen. Er is natuurlijk de algemene regel (Koos z’n kapstok) dat je het verkeer niet in gevaar mag brengen (of potentieel in gevaar, staat er dan, wat volgens mij een pleonasme is). Maar tot dusverre heeft er nog geen rechter bevestigd dat smartphonen op de fiets daar onder valt.

Ditzelfde probleem hadden we destijds met telefoneren in de auto, en daar is dus een expliciet verbod tegen opgenomen. Gekozen is toen voor het verbieden van het vasthouden van de telefoon, ongeacht wat je ermee doet. Dit vanwege de bewijsproblematiek voor de politie, het is vrijwel onmogelijk om van buitenaf te zien of iemand specifiek zit te bellen, appen of wat dan ook. Maar vásthouden kun je wel zien.

Bij fietsers is misschien wél praktischer om te zien of iemand zit te appen of alleen maar de telefoon in zijn hand houdt (bijvoorbeeld omdat hij belt met een oortje in, of omdat hij superirritante muziek afspeelt). En om nou alle fietsers te verplichten een handsfreekit op het stuur te monteren is ook zo wat.

Een boete op telefoons vasthouden kan er dus zomaar komen. Maar of dat veel gaat opleveren, betwijfel ik. Natuurlijk zullen sommige fietsers dan minder (of niet meer) gaan appen en doen, maar een boete is onvoldoende prikkel daarvoor.

Het veel lastiger punt is dat fietsers zwakke verkeersdeelnemers zijn, en dat daarom in de Wegenverkeerswet (art. 185) is opgenomen dat de bestuurder van een motorvoertuig in principe altijd aansprakelijk is voor schade aan de fiets of fietser. De uitzondering is bij overmacht, oftewel wanneer de bestuurder helemaal niets kon doen om het ongeluk te vermijden. Deze uitzondering is zéér beperkt: je kunt immers altijd remmen en je kunt altijd alle plotselinge bewegingen anticiperen, is de lijn in de rechtspraak. Er moet jou geen enkel verwijt te maken zijn.

Je kunt dit alleen oplossen door de wet aan te passen: “in geval van overmacht of in geval de fietser door gebruik van “een apparaat dat bestemd is voor het gebruik van mobiele openbare telecommunicatiediensten” afgeleid was” of zoiets erin zetten. Maar daar zag de minister in 2015 nog geen heil in:

Smartphonegebruik, zowel bij automobilist als fietser, kan bijdragen aan ongeval. Dit geldt echter evenzeer voor rood licht negatie, zonder verlichting fietsen en snelheidsovertredingen. De mogelijkheid om schade te verhalen bij fietsers die dit gedrag vertonen is er nu ook al. Ik ben er daarom geen voorstander van om specifieke gedragingen, zoals appen op de fiets, in art. 185 WVW op te nemen.

Ik heb de tekst van het verbod nog niet gezien, maar kan me moeilijk voorstellen dat dit er nu ineens wel in gaat komen.

Arnoud

Afkomstig van de blog Internetrecht door Arnoud Engelfriet. Koop mijn boek!

De Belastingdienst mag de foto’s die langs de snelweg zijn genomen met camera’s die zijn voorzien van automatische nummerplaatherkenning niet gebruiken, oordeelt de Hoge Raad. Dat meldde Tweakers afgelopen vrijdag. Door te datagraaien in de nummerplaatinfo vastgelegd door deze zogeheten ANPR-camera’s kon de Belastingdienst achterhalen dat een aantal zakelijke rijders een onjuiste ritregistratie had opgevoerd. De Hoge Raad acht dit in strijd met de wet: zonder aparte wettelijke regeling mag de overheid niet in databanken met persoonsgegevens grabbelen.

ANPR-camera’s zijn langs de weg aangebrachte camera’s die automatische kentekenherkenning kunnen uitvoeren. Deze worden door het Korps landelijke politiediensten opgehangen om onder meer gestolen auto’s te traceren en te kunnen vangen, of om verdachten of voortvluchtigen te kunnen achtervolgen. Dit is toegestaan onder de Wet politiegegevens, het broertje met platte pet van de Wet bescherming persoonsgegevens.

Function creep is ook de overheid niet vreemd, dus verbaast het niet dat de Belastingdienst zich al snel meldde om ook eens wat informatie over kentekens te achterhalen. Specifiek: ter verificatie van de rittenregistratie van zakelijke rijders, die immers niet meer dan 500 kilometer per jaar privé mogen rijden. Met de ANPR-registraties is na te gaan of de opgegeven privéritten kloppen, waarna bij discrepanties een naheffing kan worden opgelegd. De Belastingdienst kreeg toegang onder een convenant met de KLPD.

Dat mag alleen niet. Persoonsgegevens mogen alleen worden gebruikt voor de doelen waarvoor ze zijn verzameld, en delen met andere organisaties is al helemaal niet de bedoeling. Bij de overheid mag er iets meer, maar daar geldt een harde, duidelijke regel: dan moet in een wet zijn vastgelegd wat men gaat delen en waarom. De reden daarvoor is vrij simpel, dan kan het parlement beslissen of dit een gewenst overheidshandelen is en kan de rechter concreet toetsen of de wet wordt nageleefd.

De Hoge Raad is hier vrij snel klaar: er is geen wet die zegt dat dit mag, dus mag dit niet. Natuurlijk heeft de Belastingdienst altijd een kapstokartikel over het heffen van belasting, het controleren van aangiftes of het verkrijgen van informatie, maar een wet die raakt aan de privacy moet specifiek zijn. En dat zijn kapstokwetten per definitie niet.

Natuurlijk ziet iedereen de bui al hangen dat er dan nu snel een wetje komt om dit te regelen. Dat voelt als een makkelijke truc, maar juridisch gezien klopt het: zo ongeveer alles mág, als het maar expliciet in een wet vastligt.

Arnoud

Afkomstig van de blog Internetrecht door Arnoud Engelfriet. Koop mijn boek!

Een lezer vroeg me:

Er zijn veel dumps van gehackte wachtwoorddatabases (b.v. LinkedIn) beschikbaar op internet. Is het strafbaar om (1) deze in je bezit te hebben (2) hashes in zo’n dump te kraken en (3) gekraakte wachtwoorden publiek te maken in b.v. presentaties of publicaties?

Het is op dit moment algemeen niet strafbaar om in het bezit te zijn van gegevens die door misdrijf zijn verkregen. Bezitten van dergelijke waar noemen we ‘heling’ maar dat geldt alleen bij fysieke goederen, niet bij informatie. Heb je bijvoorbeeld een foto of een PDF met jaarcijfers in je bezit die iemand anders heeft gedownload na een computervredebreuk, dan ben jij niet strafbaar.

Specifiek voor wachtwoorden is dat anders: het is strafbaar om een computerwachtwoord, toegangscode of daarmee vergelijkbaar gegeven waardoor toegang kan worden gekregen tot een geautomatiseerd werk of een deel daarvan te hebben (of te verkopen of te verspreiden, et cetera). Zie artikel 139d lid 2 Strafrecht. Dus hebben en publiceren daarvan is strafbaar.

Ik denk dat dit artikel ook gaat over hashes. Hoewel dat strikt gesproken geen wachtwoorden zijn (je kunt er niet mee inloggen) is het meestal wel mogelijk om die wachtwoorden terug te halen, en daarom zou ik ze “daarmee vergelijkbaar” noemen. Een hash die goed gesalt is en daarmee niet terug te rekenen is, zou een uitzondering zijn.

Er ligt een wetsvoorstel bij de Eerste Kamer om de strafwet te wijzigen

zodanig dat het strafbaar wordt om niet-openbare gegevens voorhanden te hebben als die door misdrijf verkregen zijn en jij dat wist of had moeten weten.

Daarmee zou dus ook het bezit van die PDF met jaarcijfers ineens strafbaar zijn (een jaar cel). Er is een uitzondering (lid 2) voor handelen in het algemeen belang, zoals bij journalisten die met gestolen bronmateriaal een grote misstand aan de kaak willen stellen.

Arnoud

Afkomstig van de blog Internetrecht door Arnoud Engelfriet. Koop mijn boek!

De Amerikaanse FBI zou sinds 2007 medewerkers van de Geek Squad, een computerreparatiedienst van elektronicaketen Best Buy, betaald hebben om als informanten te dienen. Dat meldde Tweakers onlangs. De reparateurs spitten door binnengebrachte computers heen op zoek naar bijvoorbeeld kinderporno. De truc daarachter zou zijn dat de reparateurs dat kunnen zonder gerechtelijk bevel of zelfs maar verdenking, en dat die dan daarna een aangifte doen dat wél grond is voor een verdenking en juridische actie. Hoe zou dat in Nederland uitpakken?

Ook bij ons geldt natuurlijk dat de politie niet zomaar in computers mag snuffelen. Een officier van justitie zou bevel geven tot doorzoeking, en meestal is daarvoor toestemming van de rechter-commissaris nodig. Dat vereist al een stevige verdenking van een misdrijf, op de bonnefooi eens gaan zoeken is niet toegestaan.

Privépersonen zijn niet aan die regels gebonden. Als een reparateur dus bij herstelwerk iets strafbaars aantreft, dan is hij bevoegd daar aangifte van te doen. Hij heeft geen toestemming nodig van een overheidsinstantie om te zoeken naar strafbare informatie of om aangifte te mogen doen.

Het maakt zelfs niet uit of de reparateur toestemming van de eigenaar had om op die plek te gaan zoeken. Snuffelen zonder grondslag kan een probleem zijn – contractbreuk, misschien zelfs computervredebreuk – maar dat maakt het aldus verkregen bewijsmateriaal niet onbruikbaar voor Justitie. In theorie zou de reparateur dan vervolgd worden voor die computervredebreuk, parallel aan de rechtszaak tegen de eigenaar voor hetgeen dat er gevonden is middels die computervredebreuk.

Het punt is hier alleen wel: dit is niet zomaar wat tegenkomen, of zelfs maar snuffelen uit nieuwsgierigheid en wat tegenkomen. Dit is werken in opdracht van de politie. En dán val je ook als burger onder die regels voor de politie. Bewijs dat uit zo’n betaalde snuffelopdracht komt, is dus onbruikbaar bij ons.

De elektronicaketen ontkent overigens dat ze zo’n regeling getroffen hebben. Ik kan me ook moeilijk voorstellen dat de FBI dat wél zou aanbieden, al is het maar omdat de kans dat je wat strafbaars vindt, toch vrij klein is. Nog los van de discussie over rechtmatig verkregen bewijs.

Arnoud

Afkomstig van de blog Internetrecht door Arnoud Engelfriet. Koop mijn boek!

Een man is strafrechtelijk veroordeeld op basis van bewijs verkregen met een politie-keylogger. Dat meldde Tweakers vorige week. De politie heeft eind 2013 de woning van de man in het geheim betreden, waarbij op de aangetroffen laptop en desktop een keylogger werd geïnstalleerd. Zo kreeg men inzicht in zijn internetgedrag en pogingen dat te verhullen. Maar mocht dat wel?

Het vonnis laat zien dat de man in beeld kwam naar aanleiding van een onderzoek bij Facebook. Het bedrijf had accounts ontdekt die door dezelfde persoon werden gebruikt om mannen te chanteren middels valselijk verkregen seksueel materiaal. Het IP-adres kon door de politie worden getraceerd naar een bungalowpark in Nederland, waar -zo ontstond het vermoeden- de dader zou wonen.

Na nader onderzoek werd een verdachte aangehouden. In de paar dagen dat hij in voorarrest zat, betrad een politieteam die bungalow om daar een keylogger op de computer te installeren. Deze tool registreerde toetsaanslagen en maakte schermafbeeldingen wanneer op die desktop of laptop gebruik werd gemaakt van communicatieprogramma’s zoals Skype of een internetbrowser. Hierdoor kreeg het onderzoeksteam inzicht in het internetgedrag op deze computers en kon de afscherming door het gebruik van een VPN-verbinding worden omzeild. Dat leverde genoeg bewijs op om nogmaals tot arrestatie over te gaan, en ditmaal ook tot vervolging.

Een verweer van de verdediging was dat die keylogger onrechtmatig was toegepast en dat de resultaten van het hulpmiddel niet betrouwbaar zijn en daarom niet mogen worden gebruikt voor het bewijs. Er zouden onregelmatigheden zijn zoals chatteksten die wel op de gemaakte schermafbeeldingen zijn te zien, maar niet terugkomen in de geregistreerde toetsaanslagen.

In Nederland is het gebruik van dergelijke technische hulpmiddelen gereguleerd in het Besluit technische hulpmiddelen strafvordering. Dit Besluit heeft tot doel de betrouwbaarheid en herleidbaarheid te waarborgen van de gegevens die daarmee zijn verkregen. Het hulpmiddel moet voldoen aan technische eisen; van de keuring moet door een keuringsdienst een rapport worden opgemaakt en de keuring moet plaatsvinden overeenkomstig een goedgekeurd keuringsprotocol. Dat was hier het geval. En de Hoge Raad had eerder bepaald dat als zo’n keuringsrapport er is, de rechter in principe moet aannemen dat het hulpmiddel betrouwbaar is.

Dat er onregelmatigheden blijken te zijn, kan een tegenargument zijn. Echter, die waren hier niet – althans niet zo zwaar dat het tot uitsluiting van het bewijs zou moeten leiden. De meeste toetsaanslagen klopten wél met de screenshots (en andersom), dus die paar missers zien we dan als afrondingsfouten, zeg maar.

Ook merkwaardig was dat de keylogger verdwenen was na de tweede aanhouding. Onduidelijk blijft wat er is gebeurd – heeft een virusscanner het ding verwijderd als malware, is er de remote destruct optie ingeroepen? – maar dat maakt niet uit. Want zelfs als die verwijdering op de raarst mogelijke manier is gebeurd, dan nog staat vast dat het verkregen bewijsmateriaal betrouwbaar is. De keylogger was immers gekeurd en volgens de regels geïnstalleerd.

Als laatste was er nog het argument dat de keylogger meer opnam dan was toegestaan in het bevel van de Officier van Justitie dat de toestemming gaf voor het installeren van de keylogger. Zo waren er op de screenshots tabbladen te zien van andere applicaties dan waar de keylogger bij zou moeten komen. Maar dat maaktook niet uit: dat op schermafdrukken meer is te zien dan alleen de ingestelde programma’s, maakt naar het oordeel van de rechtbank nog niet dat sprake is van een verzuim.

Bij mijn weten de eerste keer dat zó expliciet een keylogger/spyware rechtmatig wordt verklaard bij de rechtbank. En het laat zien dat je als verdediging van goeden huize moet komen om daar dan nog gaten in te schieten.

Arnoud

Afkomstig van de blog Internetrecht door Arnoud Engelfriet. Koop mijn boek!

De FBI heeft een man aangehouden die Newsweek-auteur Kurt Eichenwald, waarvan bekend was dat hij epilepsie heeft, een epilepsie-triggerend Twitterbericht zou hebben gestuurd. Dat meldde Ars Technica onlangs. De arrestatie zou de eerste keer zijn voor online geweldpleging (“assault”). De FBI trekt de vergelijking met een bom of miltvuur via de post sturen naar iemand. Hoe zou dat in Nederland uitpakken?

Het is al langer bekend dat mensen met epilepsie gevoelig kunnen zijn voor bepaalde afbeeldingen. Er zijn patronen waar men sneller hoofdpijn van krijgt, en met animaties kunnen zelfs aanvallen worden opgewekt bij mensen die daar gevoelig voor zijn. Een berucht voorbeeld is een Pokémon-aflevering uit 1997 die met stroboscopische effecten kinderen hoofdpijn of aanvallen zou hebben bezorgd.

Dat was natuurlijk per ongeluk, maar hoe zit het als je dat nu opzettelijk doet, zo’n afbeelding sturen naar iemand van wie je weet dat hij er gevoelig voor is? Dan kom je in het strafrecht uit bij mishandeling (art. 300 Strafrecht): Mishandeling wordt gestraft met gevangenisstraf van ten hoogste drie jaren of geldboete van de vierde categorie. Het gaat dan meestal over fysieke mishandeling, zoals slaan of schoppen. Maar gezien het resultaat dat zo’n afbeelding kan hebben, lijkt het mij evident dat ook dit een vorm van mishandeling is.

Opzet wil zeggen dat je daadwerkelijk de bedoeling had het misdrijf te plegen. Bij deze Amerikaanse meneer lijkt daar wel sprake van, hij voorzag het bericht van de tekst “You deserve a seizure”. Daar valt weinig anders van te maken dan dat hij het wilde.

Had hij nou een andere tekst gebruikt, dan had hij wellicht kunnen zeggen dat het maar een grapje was of niet zo bedoeld. Dan wordt het juridisch iets lastiger, want je voelt aan dat dat niet geheel geloofwaardig is maar opzet bewijzen zal niet lukken. Gelukkig kent het strafrecht dan de constructie van voorwaardelijke opzet: de dader weet dat zijn daad een bepaald negatief gevolg kan hebben, maar neemt dat op de koop toe. Hoe je zo’n tweet ook voorziet van tekst, als je weet dat zo’n plaatje een toeval kan opwekken en je stuurt het dan naar een bekende epilepticus, dan is dat voorwaardelijke opzet en dan ben je net zo goed strafbaar.

Een plaatje zomaar ergens publiceren zonder specifieke doelgroep zou geen voorwaardelijke opzet zijn. Hoe weet je dan dat die daad dat gevolg kan hebben? Dat voelt wat mager. Een epilepsie-forum uitzoeken zou wél voorwaardelijke opzet zijn overigens, je hoeft niet een specifieke persoon op het oog te hebben. Tenzij je het op het forum plaatst met twaalf disclaimers en waarschuwingen en duidelijk maakt dat mensen zichzelf hiermee kunnen testen maar wel iemand erbij moeten hebben om ze eventueel te helpen. En zo kan ik nog wel even doorgaan (en ongetwijfeld gaat Wim dat hieronder doen ook).

Arnoud

Afkomstig van de blog Internetrecht door Arnoud Engelfriet. Koop mijn boek!

Voor het nieuwe programma What the #Hack?! gaat presentator en rapper Yes-R internetgebruikers confronteren met hun onvoorzichtige sociale mediagedrag. Dat meldde RTL gisteren. Het programma wil aantonen hoe onveilig mensen online zijn, onder meer door met social engineering en keyloggers (naar ik aanneem via Trojans verspreid) te gebruiken. Wat de vraag oproept: mag dat dan, mensen hacken omdat je een televisieprogramma gaat maken?

Een journalist heeft onder de wet geen andere positie dan andere burgers. Je moet je aan precies dezelfde regels houden als anderen, ook waar het gaat over strafrecht en ook als het nieuwsbelang in het gedrang zou komen. Inbreken of privécommunicatie aftappen is strafbaar, dus ook voor journalisten. Dus dan is het antwoord vrij snel duidelijk: nee, dat mag niet.

Het recht zou het recht niet zijn als “ja, toch wel” ook geen mogelijk antwoord was. Want soms heb je belangwekkende kwesties die gewoon aan de kaak gesteld móeten worden, en dat je dan als journalist de wet moet overtreden dat neem je dan voor lief. De rechter neemt de nieuwswaarde wel degelijk mee, en kan je zelfs vrijspreken als blijkt dat je daad puur ingegeven was door het brengen van zo’n algemeen belangwekkend nieuwsitem en dat je zo zorgvuldig mogelijk te werk bent gegaan. Met name is dan van belang dat je geen schade hebt aangericht en niet meer hebt gedaan dan nodig voor je item.

De AVROTROS ziet een dergelijk belang met hun programma:

We willen met het programma impact hebben op de kijkers van NPO 3 op een manier die hen aanspreekt. Het daadwerkelijk laten zien wat de gevaren zijn, is de de enige manier om awareness te creëren

Daar zit natuurlijk wat in. Een theoretisch verhaal heeft veel minder impact dan een daadwerkelijke hack bij echte mensen: kijk, zo makkelijk was het om Marieke haar Facebook over te nemen en met deze truc kregen we Ali zijn WhatsApp-berichtenlogs toegemaild. Maar is het dan ook nodig om dat te doen zonder toestemming te vragen? Had je niet kunnen zeggen, ben jij een echte internetfreak, meld je aan en we kijken hoe hackbaar jij bent? Dan heb je toestemming én echte mensen.

Weliswaar wordt er met een quitclaim gewerkt (hier tekenen dat wij mogen uitzenden) maar die wordt pas achteraf getekend. Wanneer iemand die weigert te tekenen, is er dus geen toestemming – ook niet voor het binnendringen op hun computer of het aftappen van hun datacommunicatie. En dat maakt het strafbaar.

Wat vinden jullie? Slimme manier van awareness creëren of gewoon strafbaar?

Arnoud

Afkomstig van de blog Internetrecht door Arnoud Engelfriet. Koop mijn boek!

Het Openbaar Ministerie (OM) mag de inhoud van versleutelde berichten uit speciale telefoons gebruiken als bewijs in strafzaken, las ik bij Nu.nl. De Blackberry van een verdachte in een grote drugszaak had PGP gebruikt om zijn berichten te versleutelen, en het OM wist die te kraken.

Het verweer in deze zaak sluit aan bij de recente discussie over het mogen doorzoeken van telefoons. De rechtbank hier volgt de Hoge Raad, die uiteindelijk soort van vond dat het wettelijk voldoende is geregeld met de algemene bevoegdheid om dingen te mogen doorzoeken, in combinatie met gepaste terughoudendheid die men bij de politie en het OM mag verwachten. Namelijk:

Het uitlezen van de telefoon heeft in dit geval plaatsgevonden in het kader van een onderzoek naar een buitengewoon ernstig feit, namelijk de grootschalige handel in en de productie van synthetische drugs en daarnaast wordt een telefoon zoals hier aan de orde enkel gebruikt om versleutelde berichten te verzenden en bevat het in die zin nagenoeg verder geen privacygevoelige informatie vergeleken met bijvoorbeeld reguliere smartphones. Verdachte heeft zich bovendien op zijn zwijgrecht beroepen, wat de mogelijkheden beperkte om op andere wijze zicht te krijgen op de betrokkenen bij het feit en op ieders rol.

In maart maakte de politie bekend 3,6 miljoen met PGP versleutelde berichten te kunnen lezen. Encryptiesleutels daarvoor waren namelijk op de servers van aanbieder Ennetcom beschikbaar, in plaats van alleen op de telefoons zelf. De berichten in deze zaak zaten daar dus tussen.

Uit de ontsleutelde berichten blijkt dat er druk werd gecommuniceerd over het opzetten en beheren van een synthethischedrugslab. Deze berichten waren volgens de rechtbank verzonden en ontvangen door de verdachte, gezien de strekking van de berichten en verklaringen van andere verdachten. Dat levert dan het bewijs op van zijn betrokkenheid bij de productie van de drugs.

Ik blijf er moeite mee houden dat “het moet in de wet geregeld zijn” vertaald wordt naar “we mogen je rugzak doorzoeken dus ook je telefoon”. Maar ik vermoed dat na uitspraken als deze er weinig noodzaak meer zal komen bij de wetgever om nog een apart wetsartikel te gaan invoeren.

Arnoud

Afkomstig van de blog Internetrecht door Arnoud Engelfriet. Koop mijn boek!

Een dikke 18 procent van de Britten en Amerikanen denkt dat het legaal is om de telefoon van je partner van spyware te voorzien, las ik bij Boing Boing. Bij kinderen was dat zelfs meer dan 50%, waarbij wel vrijwel iedereen van de ja-zeggers vond dat er wel een reden tot zorg moest zijn. Dat was ook bij volwassenen vaak een reden, maar de angst dat de partner vreemdging woog ook zwaar mee. En tsja, als er dan gewoon appjes zijn waarmee je dat kunt nagaan, waarom niet?

Het is in principe verboden om spyware op iemands telefoon te installeren. Er zijn wetten genoeg: de cookiewet verbiedt het installeren van software zonder duidelijke toestemming van de eigenaar, en de strafwet (art. 139c Sr) verbiedt het afluisteren van privételecommunicatie.

Voor strafbaarheid is wel vereist dat het afluisteren wederrechtelijk is, en dat wordt ingewikkeld als je in een relatie zit. Zeker als je getrouwd bent (oké, in gemeenschap van goederen) kom je al snel tot de conclusie dat er weinig strafbaars is: het is dan immers ook jouw telefoon, en je eigen spullen mag je voorzien van spyware als je wilt.

De cookiewet zou iets meer mogelijkheden moeten bieden, omdat toestemming daar nadrukkelijk door de betrokkene zelf moet worden gegeven. Maar ook dan kun je zeggen dat je als partner gemachtigd bent om namens elkaar privacytoestemming te geven. Dat kan dus ook behoorlijk ingewikkeld worden. Maar uiteindelijk kom je dan bij het algemene punt dat de strafwet (of de cookiewet) niet echt bedoeld is voor binnen relaties. Privacy en snuffelen moet je samen oplossen.

Bij kinderen geldt eigenlijk hetzelfde verhaal. Ook kinderen hebben privacy, maar daar staat de ouderlijke zorgplicht tegenover. Kort gezegd moet je als ouder een duidelijke reden hebben, een aanleiding die maakt dat je niet anders kúnt dan die spyware inzetten. En ik denk ook dat je het achteraf moet vertellen en bespreken, maar dat is niet helemaal een juridisch argument.

Zou je dit bij een losse scharrel doen of die leuke persoon m/v op het werk of in het café, dan wordt het natuurlijk anders. Dat is vrij evident strafbaar. Alleen is het dan weer lastiger om erachter te komen dat dat gebeurt.

Wie heeft er tips om zulke spyware te detecteren? Of beter, hoe voorkom je dat je partner/scharrel/ex/buurman zoiets op je telefoon zet, in een situatie waarin ahem niet te voorkomen is dat je op enig moment het fysiek beheer over je telefoon even kwijt bent.

Arnoud

Afkomstig van de blog Internetrecht door Arnoud Engelfriet. Koop mijn boek!

Een rechter in Zwitserland heeft een man veroordeeld vanwege het liken van lasterlijke berichten over een dierenrechtenactivist op Facebook, las ik bij de NOS. Met zijn likes zou hij de posts uitdrukkelijk hebben onderschreven, en daarmee zeg maar medeplichtig zijn aan het plegen van de laster. Dat vonden ze bij de NOS raar: liken is toch de basis van Facebook, dus hoezo kan dat nou strafbaar zijn?

Wat betreft het delict laster ligt het op zich relatief simpel. Wie een smadelijke bewering verspreidt wetende dat deze in strijd is met de waarheid, pleegt laster. Dat is Ouder Dan Het Internet, en op zich dus ook gewoon strafbaar om op internet te doen. Een Facebookbericht waarin je dus schadelijke onwaarheden verspreidt, is net zo goed lasterlijk als een krantenartikel.

Maar liken is natuurlijk niet hetzelfde als zelf een artikel schrijven. Alleen, dat is niet vereist om van smaad of laster te kunnen spreken. Je pleegt ook die misdrijven als je de betreffende beweringen verder verspreidt – althans als je dat doet op een positieve manier. Dan ga je achter de inhoud staan, en doe je in feite hetzelfde als de oorspronkelijke uiter van de bewering.

Het komt dus neer op de vraag wat een like nu precies betekent. Heel naïef kun je zeggen: er stáát “Dit vind ik leuk”, dus wat je doet is zeggen dat je die inhoud leuk vindt. Dat is een positieve uiting, en het bericht verschijnt ook nog eens op je tijdlijn. Dat is dus een manier van verspreiding waarbij jij achter de inhoud gaat staan, en dan kom je dus bij laster terecht.

In de praktijk heeft een like meer functies. Facebook kent niet echt een uitgebreid vocabulaire: ook als je een bericht juist stom vindt maar wel wilt delen (“gatver moet je dít nou zien, wat een schande”) dan moet je het liken. Vanuit dat perspectief zou het geen laster zijn om een bericht verder te verspreiden via dat mechanisme.

Uiteindelijk komt het er dus op neer wat je intenties waren, althans hoe dit overkomt bij de rest van de wereld. Dat is een vrij subjectieve inschatting, waardoor het voor een rechter dus geen eenvoudige kwestie zal worden. In een zaak uit 2007 werd een hyperlink naar opruiende teksten strafbaar geacht:

In het geval van de verdachte zijn die relevante omstandigheden dat zij een moslima is met een meer dan gewone belangstelling voor het jihadistisch-salafistisch gedachtegoed en dat zij actief is deze geloofsovertuiging uit te dragen via het internet door daar allerlei bestanden en stukken op te plaatsen. In ruim drie maanden tijd heeft de verdachte meer dan 65 artikelen geplaatst op het internet. […] Gelet op het voorgaande en met haar kennis van zaken aangaande de islam kan het plaatsen van de betreffende links door de verdachte, niet anders worden gezien dan als een strafbare handeling als bedoeld in artikel 132 van het Wetboek van Strafrecht, te weten – kort gezegd – het verspreiden van geschriften waarvan zij ernstige reden heeft te vermoeden dat die opruiend zijn.

Die lijn doortrekkend zou dus een like strafbaar zin als iemand ernstige reden had moeten hebben om te vermoeden dat sprake is van laster, en je enigszins in de materie zit waar het artikel over gaat. Je zou die strafbaarheid dan weer wel kunnen weerleggen door er expliciet afstand van te nemen.

Arnoud

Afkomstig van de blog Internetrecht door Arnoud Engelfriet. Koop mijn boek!

De Amerikaanse staat North Carolina mag mensen die zijn veroordeeld wegens een zedendelict niet verbannen van de sociale media zoals Facebook. Dat meldde Nu.nl vorige week. De verbanwet is in strijd met de free speech-artikelen uit de Amerikaanse Grondwet, waaronder (net als bij ons) ook het recht valt om kennis te nemen van informatie. Een categorisch socialmediaverbod -ook indien beperkt tot social media waar kinderen komen- is dan ook in strijd met dat grondrecht.

De betreffende wet was aangenomen in de Amerikaanse staat in 2008, met als doel kinderen te beschermen tegen sex offenders die immers via social media gemakkelijk contact zouden kunnen leggen. Letterlijk luidt het verbod:

It is unlawful for a sex offender who is registered in accordance with Article 27A of Chapter 14 of the General Statutes to access a commercial social networking Web site where the sex offender knows that the site permits minor children to become members or to create or maintain personal Web pages on the commercial social networking Web site.

Daar is weinig juridisch aan: als een social media site (“Facilitates the social introduction between two or more persons for the purposes of friendship, meeting other persons, or information exchanges”) minderjarigen toelaat, dan mag je er niet komen. Gewoon nooit niet, ongeacht of je in de buurt komt van die minderjarigen of alleen maar -zoals de eiser in deze zaak- op je Facebook roept dat je blij bent dat je verkeersboete wordt kwijtgescholden.

Maar dat gaat dus zomaar niet, dat is véél te lomp en ongenuanceerd omdat we het hier hebben over een zeer belangrijke bron van kennis, informatie en uitwisseling van gedachten. Het Supreme Court formuleert het zo in haar beslissing de wet ongeldig te verklaren:

Social media allows users to gain access to information and communicate with one another about it on any subject that might come to mind… By prohibiting sex offenders from using those websites, North Carolina with one broad stroke bars access to what, for many, are the principal sources for knowing current events, checking ads for employment, speaking and listening in the modern public square, and otherwise exploring the vast realms of human thought and knowledge. These websites can provide perhaps the most powerful mechanisms available to a private citizen to make his or her voice heard.

Mooie grote woorden altijd in zo’n arrest, maar er zit natuurlijk wel wat in. En het algemene principe erachter -je kunt niet zomaar iemand toegang tot een belangrijke informatiebron ontzeggen- geldt ook bij ons. Een wet in Nederland van diezelfde strekking zou zonder twijfel in strijd zijn met artikel 10 EVRM, de informatievrijheid.

Een socialmediaverbod kán wel, maar moet dan op de persoon toegesneden zijn. Een voorbeeld is deze zaak uit 2013, waarin een meneer op straffe van dwangsommen werd verboden nog socialmediaprofielen aan te maken, omdat hij maar bleef doorgaan met zijn ex-partner zwart te maken en te belagen met allerhande teksten. Eerdere contactverboden en dergelijke hadden geen effect. En ja, dat was dus een buitengewoon grof middel dat hier werd ingezet maar meneer had het er kennelijk naar gemaakt.

Arnoud

Afkomstig van de blog Internetrecht door Arnoud Engelfriet. Koop mijn boek!

Een van de hoofdverdachten in de strafzaak rond douanier Gerrit G. doet aangifte tegen de politie, las ik bij Nu.nl. De politie zou hem hebben bedreigd om zo zijn smartphone te ontgrendelen. De telefoon zat namelijk achter een vingerafdrukslot, en hij wilde niet meewerken aan het zetten van die afdruk. Daarop zou gedreigd zijn om zijn vingers te breken. Dat is natuurlijk onrechtmatig, maar iets fundamenteler is wel de vraag of je móet meewerken aan het vingerafdrukken ter ontgrendelen van je telefoon.

Het is een vast principe dat je geen wachtwoorden of pincodes hoeft te geven als verdachte. Dat valt onder het recht niet gedwongen te mogen worden om tegen jezelf te getuigen. Maar dat gaat alleen over dingen die je wéét. Dingen die je hébt, mag Justitie gerust afpakken en onderzoeken om daarmee de waarheid aan het licht te brengen. Ze mogen je kluis openen met een lasbrander (of een handige slotenmaker), onder de vloer kijken, je harddisk kopiëren, je tuin omspitten en je administratie meenemen als daar bewijs te verwachten valt. Of je telefoon leegtrekken, waar genoeg speciale apparatuur voor is.

Het is wettelijk toegestaan om gedwongen een vingerafdruk af te nemen, maar het moet dan eigenlijk gaan om identificatie van de verdachte (art. 27a Strafvordering). Dat is toch wel even iets anders dan een vingerafdruk inzetten om een telefoon te openen. Maar bij een ernstig misdrijf mag er meer (art. 55c):

De foto’s en vingerafdrukken [van de verdachte] kunnen ook worden verwerkt voor het voorkomen, opsporen, vervolgen en berechten van strafbare feiten en het vaststellen van de identiteit van een lijk.

Met enige goede wil is “openen van zijn telefoon” wel te rekenen onder “opsporen van strafbare feiten”, als de data op die telefoon daar deel van uitmaakt. Maar getest bij de strafrechter is het nog nooit.

Wat is nu het veiligdste slot op je telefoon dat tevens praktisch bruikbaar is?

Arnoud

Afkomstig van de blog Internetrecht door Arnoud Engelfriet. Koop mijn boek!

De Eerste Kamer nam gisteravond een wet aan waarmee de geheime diensten het internet op grote schaal kunnen aftappen, en de verzamelde mailtjes en appjes drie jaar mogen bewaren. Dat las ik bij RTL Nieuws. Maar de wet gaat niet alleen over aftappen: de nieuwe wet maakt het ook mogelijk dat de AIVD kennissen van verdachten mag hacken. Wat diverse lezers de vraag deed opperen: wat mag je daartegen doen, als je de AIVD in je firewall ziet?

Het idee achter dat stukje van de Hackwet is dat de meeste criminelen (althans, verdachten) wel enigszins op de hoogte zijn van elementaire ICT-beveiliging. Kennissen zijn dat waarschijnlijk minder, dus dat biedt dan een interessant secundair kanaal van informatie.

Dat de AIVD iets mag, wil natuurlijk niet zeggen dat je daar automatisch alle gelegenheid voor moet bieden. De wet eist niet dat jouw netwerk aftapbaar of anderszins toegankelijk is voor overheidsdiensten (behalve als je aanbieder van een openbaar telecomnetwerk bent, maar dat terzijde). Als je dus je ICT zo stevig dichttimmert dat de gleufhoeden zuchtend elders heengaan, dan is dat helemaal prima.

Sowieso is het natuurlijk heel verstandig om anno 2017 je netwerk en ICT-middelen goed te beveiligen; malware, spionage vanuit andere landen en gewone criminelen liggen natuurlijk óók op de loer. Dus voorzie alles van encryptie, werk je software bij, installeer een goede firewall en uitgebreide logging en zorg voor moeilijk voor derden toegankelijke backups.

Het opzetten van honeypots waar de aanvaller lang mee bezig is, is al een iets actievere tegenmaatregel. Het idee is dan dat je hem afleidt met een interessante maar neppe bron, bijvoorbeeld een groot bestand dat je iets van “ISIS full membership addresses Netherlands.xlsx” noemt en waar men dan jarenlang decryptie op loslaat voordat men ontdekt dat het gewoon een nepbestand is. Daar is weinig mis mee, dat is hooguit verspilling van iemands tijd.

Lastiger wordt het bij de actievere vormen van verdediging, zoals terughacken, -ddossen en anderszins -slaan van de aanvaller. Een voorbeeld is het neerzetten van dergelijke lokbestanden maar dan voorzien van malware, waarmee je hoopt dat de aanvaller dan wordt geïnfecteerd. Het digitale equivalent van een kluis waarin een kruisboog op scherp staat, met touwtje verbonden aan de deur. Auw.

Dergelijke handelingen zijn natuurlijk strafbaar; verspreiding van malware maar ook het uitvoeren van een DDOS aanval of inbreken in iemands systeem is niet toegestaan onder het Wetboek van Strafrecht. Ook niet als die iemand dat net bij jou zelf stond te doen. Natuurlijk is de kans klein dat de AIVD aangifte gaat doen van een terughack of malware-infectie, maar je weet in het algemeen natuurlijk nooit of het die dienst is dan wel een echte crimineel die een onschuldige derde z’n computer gebruikte om bij jou binnen te dringen. Dus nee, dat zou ik niet doen.

Arnoud

Afkomstig van de blog Internetrecht door Arnoud Engelfriet. Koop mijn boek!

Vanwege mijn vakantie deze week geen nieuwe blogs. In plaats daarvan een terugblik op de afgelopen tien jaar: ik heb vijf populaire blogs geselecteerd en kijk er anno 2017 graag nog eens naar met jullie.

Vandaag: Mag een stiekem gemaakte geluidsopname gebruikt worden als bewijs?, met bijna 100 reacties en 85.000 views (robots niet meegeteld) een zeer populair onderwerp kennelijk.

Regelmatig krijg ik in diverse varianten de vraag of een stiekem gemaakte geluidsopname van een gesprek gebruikt mag worden als bewijs. Dit meestal naar aanleiding van mijn artikel Opnemen van gesprekken, waarin dat met zoveel woorden staat:

Een telefoongesprek opnemen dat je zelf voert, mag je dus opnemen – ook wanneer je dat niet meldt aan de tegenpartij. Alleen het heimelijk opnemen van zo’n gesprek zonder deelnemer te zijn is dus strafbaar (tenzij je toestemming hebt van één van de deelnemers).

Gebruik als bewijs is eigenlijk altijd toegestaan. In het gewone (civiele) recht gelden namelijk geen specifieke eisen voor hoe het bewijs verkregen mag zijn. De rechter mag zelf alles beoordelen op de merites. Hij hoeft bewijs niet uit te sluiten omdat het een stiekeme opname is. Wel zou hij het bewijs anders kunnen waarderen: een informeel gesprekje op de vrijmibo zal minder bewijskracht hebben over de intenties van een bedrijf dan een formele verklaring van de directie bij een persconferentie. Maar dat gaat dan over de inhoud, niet over de vorm.

Toch hoor ik nog regelmatig dat mensen zeggen, dit is onrechtmatig verkregen bewijs en dus onbruikbaar. Dat klopt dus niet, naar Nederlands recht. Te veel Amerikaanse rechtbankseries gekeken. En nee, ook niet als een agent het zegt: ook in strafzaken mogen stiekeme opnames worden gebruikt als bewijs. Alleen opnames gemaakt door de politie zijn onrechtmatig verkregen bewijs als er geen taplast of andere toestemming conform het Wetboek van Strafvordering is gegeven.

Er is wel een grens: als er sprake is van inbreuk op iemands privacy en die inbreuk “rechtens ontoelaatbaar” is. Dat is een vrij hoge lat, waar je bij zakelijke gesprekken niet snel aan zult zitten. Héél misschien bij een rechtszaak over een echtscheiding, maar zelfs daar geen garanties. Ik heb in ieder geval nog steeds geen vonnis gevonden waarin een illegale gespreksopname als bewijs terzijde werd geschoven vanwege deze grond. (Vanwege kwaliteitsproblemen, authenticiteitsproblemen of gewoon te weinig concreets, ja dat wel.)

Voor bedrijven die gesprekken opnemen, geldt natuurlijk wel de privacywet (Wbp en straks AVG). Zij moeten mensen melden dat ze gesprekken opnemen en waarom, moeten op verzoek een kopie van de opname verstrekken en moeten opnames goed beveiligen. Maar ook wanneer die wet wordt geschonden, mag de opname als bewijs worden gebruikt. Dat er dan een boete voor het schenden van de privacywet volgt, staat daar helemaal los van.

Arnoud

Afkomstig van de blog Internetrecht door Arnoud Engelfriet. Koop mijn boek!

Vanwege mijn vakantie deze week geen nieuwe blogs. In plaats daarvan een terugblik op de afgelopen tien jaar: ik heb vijf populaire blogs geselecteerd en kijk er anno 2017 graag nog eens naar met jullie.

Vandaag: Wanneer URL-manipulatie strafbaar is als computervredebreuk,

De man die de kersttoespraak van koningin Beatrix op internet vond, heeft zich strafbaar gemaakt. Zoiets zei ik Eerste Kerstdag [2012] tegen de NOS. En dat maakte nogal wat los. URL’s zijn toch openbare adressen, wat op een server staat is niet geheim, er wordt niets gekraakt, dit is toch pure domheid van de RVD, en ga zo maar door. Ja ja dat klopt allemaal en de RVD is ook een stel prutsers maar het blijft een feit dat binnendringen óók zonder iets te kraken strafbaar is.

Sinds 2006 hebben we een brede definitie van computervredebreuk: ieder opzettelijk en wederrechtelijk “binnendringen” in een computersysteem is strafbaar, ook als er niets wordt gekraakt, omzeild, geïnjecteerd of vervalst. Zodra je ergens bent waarvan je wéét dat je er niet mag zijn, ben je formeel al in overtreding. En ik zie werkelijk niet waarom dat wél zou gelden bij een SQL injectie en niet bij een trivialer vorm van URL-manipulatie – zoals bij de kersttoespraakurl waarbij het een kwestie was van jaartal en UID aanpassen. Beiden zijn aanpassen van URLs.

Ik blijf het een hele moeilijke kwestie vinden. Volgens mij komt het uiteindelijk 99% neer op de intentie van het manipuleren van die URL. Een logische voor de hand liggende URL intypen (uit de comments: nl.wikipedia.org/wiki en dan eh Arnoud_Engelfried) voelt heel anders dan met getallen gaan spelen in de hoop dat je iets krijgt waarvan je wéét dat het er nog niet is. Zoals op 24 december de video van de kersttoespraak die is aangekondigd voor de 25e.

Wat me opviel bij teruglezen van de discussie is dat veel mensen een wezenlijk verschil zien tussen een ID aanpassen en dingen als SQL injectie of buffer overflows, die je toch ook via de URL doet. Zit hem het verschil dan in hoe moeilijk het is om dit te doen? Een ID aanpassen kan een kind, een buffer overflow exploiteren vereist toch enige expertise (of een gegoogeld script).

Of gaat het erom dat een ID duidelijk herkenbaar is als een ID, zodat aanpassen daarvan in de lijn der verwachtingen ligt? Zo van, hier zit een grote rode knop, natúúrlijk gaan mensen daarop klikken. Natuurlijk gaan mensen 201112253998 veranderen in 201212254003. Dat is gewoon, eh, een logisch volgend getal, beetje rare interface maar ik blader gewoon. En SQL injectie is dan anders omdat dat volstrekt onlogisch is om te doen. Niemand heet “Robert’); DROP TABLE students –” immers. Of Robert Oot dan wel Jennifer Null.

Peins peins.

Arnoud

Afkomstig van de blog Internetrecht door Arnoud Engelfriet. Koop mijn boek!

Een lezer vroeg me:

Onlangs kreeg ik de politie aan de deur: ik zou in het bezit zijn van een gestolen laptop! Bij navraag bleek het te gaan om een tweedehands die ik keurig in een computerwinkel had gekocht (met bon, reële prijs, semi-bekende keten wiens naam ik even niet noem) dus niets aan de hand. Maar men bleek me te hebben opgespoord door ‘Absolute Software’ van het bedrijf LoJack/CompuTrace. Het bedrijf geeft te kennen dat het geen middelen schuwt om via een voorgeïnstalleerde backdoor informatie te vergaren betreffende het “gestolen” goed, waaronder: hard drive mining, keystrokes/typed data, screen images en position. Is dat wel legaal, zeker in mijn situatie?

Het kopen van gestolen goed heet normaal ‘heling’ en is strafbaar. Echter, de wet (art. 3:86 BW beschermt de consument die gestolen goed koopt bij een bedrijf of winkel. Deze wordt gewoon eigenaar van het goed, en kan niet worden vervolgd voor heling.

Steeds meer ICT-producten zoals laptops, tablets of telefoons worden voorzien van “phone home”-achtige software, waarmee de eigenaar op afstand kan zien waar het apparaat zich bevindt. Vaak is die software ook voorzien van aanvullende features, waarmee kan worden rondgekeken op de telefoon en waarmee de camera kan worden bediend om de huidige houder vast te leggen. (Zie deze mooie documentaire over wat er allemaal kan.)

Informatie achterhalen over je eigen laptop valt onder de informatievrijheid en dat is een grondrecht. Maar de privacy is óók een grondrecht, zelfs tot op zekere hoogte voor de dader van een misdrijf. De schandpaal is immers afgeschaft, heet dat dan onder beschaafde juristen. En hier gaat het niet om een dief maar om een gewone eerlijke burger die iets legaal kocht in een winkel. Hoezo mag diens privacy worden geschonden door de oude eigenaar van het apparaat? Dit is typisch zo’n balans uit het internetrecht waar niet meteen een eenduidig antwoord op is.

Voor mij zou denk ik uiteindelijk de doorslag geven hoe groot de kans is dat een gestolen laptop via een winkel terecht komt bij een particulier die te goeder trouw is. Als de overgrote meerderheid die laptop in strafbare hoedanigheid verwerft, dan zou ik weinig moeite hebben met de privacyaspecten van deze zaak. Zeker als de gegevens ook nog eens alleen voor aangifte en opsporing gebruikt worden, en niet voor eh documentaires of andere openbaarmakingen door het slachtoffer.

Arnoud

Afkomstig van de blog Internetrecht door Arnoud Engelfriet. Koop mijn boek!

Onder het begrip vasthouden moet ook worden verstaan het met een hand bedienen van een telefoon terwijl deze geplaatst is in een telefoonhouder die bevestigd is op het dashboard. Dat bepaalde de rechtbank Noord-Nederland vorige maand (pas dinsdag gepubliceerd) in een van de vele vonnissen rond wat je nu wel en niet mag doen met een telefoon als bestuurder van een motorvoertuig. Een tikje vreemd misschien want het ding zit niet in je hand. Maar dit is waarom rechters do-what-I-mean compilers van het recht zijn.

Een man kreeg in december vorig jaar een boete voor het vasthouden van een mobiele telefoon tijdens het besturen van een motorvoertuig (art. 61a Reglement verkeersregels en verkeerstekens). Maar hij ging in bezwaar, want:

Betrokkene heeft ter zitting aangevoerd dat hij zijn mobiele telefoon niet heeft vastgehouden. Betrokkene heeft zijn mobiel altijd in een dashmount die geïnstalleerd is aan de linkerkant van het dashboard bij de linker raamstijl. Betrokkene heeft zijn arm altijd ter hoogte van de raamstijl, hetgeen voor hem een comfortabele houding is.

Taalkundig gezien is dus inderdaad geen sprake van overtreding van het verbod: de man hield de telefoon niet fysiek vast. Hij bediende deze wel, maar met een vinger het scherm aanraken kun je moeilijk taalkundig als ‘vasthouden’ aanduiden. Maar wetsteksten worden op meer manieren gelezen dan enkel taalkundig. Ook het doel van een wet, en hoe het artikel was bedoeld door de wetgever, weegt zwaar bij bepalen of iets er nu onder valt of niet.

In dit geval was het doel van dit wetsartikel de verkeersveiligheid verhogen. Het is al decennia bekend dat handmatig telefoneren en het gelijktijdig besturen van een motorvoertuig, invalidenvoertuig of bromfiets vormt een gevaar voor de verkeersveiligheid vormt. Een belangrijk aspect daarvan is dat je dan maar één hand over had om het voertuig te besturen (denk aan schakelen of sturen). Vandaar dat het verbod is geformuleerd als “vasthouden”.

Datzelfde probleem doet zich voor als je de smartphone weliswaar in een carkit hebt zitten maar vervolgens een hand gebruikt om deze te bedienen. Ook dan is die hand niet beschikbaar om het stuur te bedienen et cetera. Daarom rekent de rechter dit nu ook onder het verbod. Dit was de bedoeling van de wet en daarom is dit een overtreding van de wet.

En nee, het betekent niet dat je nu te allen tijde twee handen aan het stuur moet hebben of dat je niet mag bellen met een handsfreekit. Het betekent grofweg dat je van je telefoon af moet blijven tijdens het rijden. Dus ook niet een gesprek accepteren, als dat via een toets op je scherm of telefoon gaat.

Arnoud

Afkomstig van de blog Internetrecht door Arnoud Engelfriet. Koop mijn boek!

Translink, het bedrijf achter de ov-chipkaart, gaf reisgegevens door aan DUO. Dat meldde Tweakers gisteren. DUO gebruikte deze gegevens om studenten op te sporen die zouden frauderen met een uitwonende beurs. En de ophef zit hem dan in het feit dat die reisgegevens werden verstrekt zonder dat daar een officier van justitie aan te pas komt. Wat in Nederland totaal geen ding is, maar iedereen praat elkaar na dat dat nodig zou zijn.

TransLink Systems (TLS) beheert reisgegevens van alle personen die reizen met een ov-chipkaart in Nederland, waaronder natuurlijk een heleboel studenten met reisproduct. Uit die reisgegevens zijn allerlei interessante gegevens af te leiden, waaronder waar iemand woont: als iemand zegt uitwonend student te zijn in Amsterdam, maar elke dag zijn er veel korte ritjes in Deventer en af en toe retourtreinritten naar Amsterdam Amstel, dan kun je vraagtekens zetten bij dat uitwonend zijn.

DUO vond dat laatste zo interessant dat ze structureel die gegevens besloot op te vragen bij TLS. Daarbij werd gewerkt met een risicoprofiel, er werd dus niet zomaar bij iedereen meegekeken.

Maar dat is niet genoeg natuurlijk: dergelijke reisgegevens zijn persoonsgegevens, en dat moet dus netjes gebeuren binnen de Wet bescherming persoonsgegevens. Hier gaat het dan ook nog eens om een overheidsinstantie (DUO is de Dienst Uitvoering Onderwijs van het Ministerie van Onderwijs, Cultuur en Wetenschap) en dan moet het al helemáál strak geregeld zijn: er moet een wettelijke regeling zijn die specifiek hierover gaat en die fatsoenlijk rekening houdt met de privacy van eerlijke mensen.

In de zaak van een student in mei ging het mis op dat eerste. Er is geen wettelijke grondslag voor wat DUO deed. Een protocol tussen DUO en TLS is geen wet.

Ook de Algemene Wet Bestuursrecht is geen wet, althans geen voldoende precieze wettelijke grondslag zoals onder de Wbp vereist:

Naar het oordeel van de rechtbank voldoen de artikelen 5:16 en 5:17 van de Awb niet aan dit vereiste. Deze artikelen bepalen dat een toezichthouder bevoegd is inlichtingen te vorderen en bevoegd is inzage te vorderen van zakelijke gegevens en bescheiden. Uit de memorie van toelichting volgt dat onder zakelijke gegevens moet worden verstaan ‘gegevens die gebruikt worden ten dienste van het maatschappelijk verkeer’. Zoals hierboven al is overwogen zijn de door verweerder opgevraagde Trans Link gegevens op de persoon van eiser herleidbaar. Deze gegevens zijn daarmee niet langer zakelijk in de zin van artikel 5:17 Awb.

Daarmee is het niet toegestaan die gegevens te vergaren. Gezien de ernst van de onrechtmatige verwerking worden de aldus verkregen gegevens uitgesloten van het bewijs. Dat is in Nederland uitzonderlijk bij gewone rechtszaken, maar het ging hier dus om een overheidsinstantie en die worden veel strenger daarop afgerekend.

DUO heeft al aangekondigd geen gebruik meer te maken van deze constructie om reisgegevens op te vragen totdat de Centrale Raad van Beroep zich over hoger beroep heeft gebogen.

En die officier van justitie dan? Die is totaal irrelevant, ook als het niet om overheidsinstanties zou gaan. Persoonsgegevens afgeven moet als de wet dat eist, en toezichthouders zoals DUO kunnen dat onder omstandigheden eisen. Privépartijen ook, onder het Lycos/Pessers arrest. Daar zit allemaal geen gerechtelijk bevel tussen of toetsing door een officier van justitie. Die kreet is een amerikaanserechtbankfictie. Het is eigenlijk nog veel simpeler: waar in de wet staat dat dit mag?

Arnoud

Afkomstig van de blog Internetrecht door Arnoud Engelfriet. Koop mijn boek!

Een softwareontwikkelaar van Volkswagen is in de VS tot 40 maanden cel veroordeeld voor zijn aandeel in het sjoemelsoftwareschandaal, las ik bij Reuters. De man was volgens het vonnis deelnemer aan een samenzwering met als doel een “stunning fraud on the American consumer.” Wat gelijk behoorlijk wat ophef gaf: je kunt dus strafrechtelijk de cel in gaan wanneer je doet wat je baas zegt.

In theorie is dat inderdaad mogelijk. Artikel 51 Wetboek van Strafrecht bepaalt dat zowel natuurlijke personen als rechtspersonen (bedrijven, verenigingen, stichtingen etc) strafrechtelijk vervolgd kunnen worden. In dit geval was Volkswagen als bedrijf degene die de sjoemel oftewel fraude heeft begaan, dus is vervolging tegen het bedrijf mogelijk.

Maar volgens lid 2 van dat artikel zijn de natuurlijke personen binnen het bedrijf óók te vervolgen wanneer het gaat om “hen die tot het feit opdracht hebben gegeven, alsmede tegen hen die feitelijke leiding hebben gegeven aan de verboden gedraging”. Dat is dus een risico voor die werknemers, maar er staat een belangrijke beperking: ze moeten op een of andere manier een bevoegdheid hebben gehad om het strafbare feit te initiëren of uit te laten voeren. Dus kort gezegd zijn managers en projectleiders persoonlijk te vervolgen, maar de onderknuppels en stagiairs niet.

(Natuurlijk ben je wel persoonlijk te vervolgen ongeacht je positie als je zelf strafbare feiten begaat zonder dat daar een opdracht of iets dergelijks aan ten grondslag ligt. Denk aan een boekhouder die facturen vervalst om daar zelf beter van te worden, of een programmeur die bedrijfsdata verkoopt aan de concurrent. Pas als de handeling het bedrijf redelijkerwijs kan worden toegerekend, komt aansprakelijkheid van het bedrijf in zicht.)

Uit de berichten kan ik niet helemaal halen wat precies de rol was van deze ontwikkelaar, maar ik krijg niet het idee dat hij helemaal onderaan de boom zat en zich verplicht voelde dit te bouwen. Hij is echter ook weer geen manager of directeur, zodat het niet meteen te zeggen is hoe hij onder Nederlands recht strafbaar zou zijn. Ik denk van wel, wanneer hij senior genoeg zou zijn om enige inspraak of beslisbevoegdheid te hebben in het ontwerp of de invoering van deze software.

Wat moet je nu doen als ontwikkelaar, stel dat je zo’n opdracht krijgt. Allereerst zeg ik er wel bij dat het moet gaan om écht duidelijk strafbare zaken en dat dit ook voor jou kenbaar had moeten zijn. Verstuur je facturen die een ander vervalste, dan ben je natuurlijk niet strafrechtelijk aansprakelijk. Die kenbaarheid zal de doorslag geven verwacht ik. Daarbij speelt jouw professionele kennis een grote rol. Had je dit kunnen weten, had iedereen in jouw gebied dit kunnen weten of had dit alleen maar na diepgaande juridische analyses duidelijk kunnen worden?

Bij twijfel is mijn advies altijd, escaleren naar boven en/of naar Juridische Zaken. Je mag verwachten dat daar mensen zitten die dan ook zeggen, oei dit kan strafbaar zijn, laten we het niet doen. Dus dan komt er vanzelf een rem op. En de bedrijfsjurist is normaal ook iemand met als taak het bedrijf beschermen tegen claims, waardoor je ook daarvan mag verwachten dat deze er een stokje voor steekt als het duidelijk strafbaar is. Het is nooit verkeerd om iets aan de bedrijfsjurist te vragen bij zulke twijfels, en naar je manager toe lijkt me dat ook goed verkoopbaar: je wilt weten waar de grenzen liggen zodat je het netjes kunt bouwen binnen de wet.

De Volkswagenzaak is uniek omdat hier tot het hoogste niveau ingestemd lijkt te zijn geweest met de fraude. Dan heb je niemand meer om naar te escaleren of om te laten voorkomen dat er strafbare zaken gebeuren. Dan houdt het juridisch wel een beetje op. Klokkenluiden kan natuurlijk, maar heeft altijd grote persoonlijke gevolgen want of het OM er wat mee doet is altijd de vraag, maar dat je werkgever achter jou aankomt is vrijwel een gegeven. Ontslag nemen ligt voor de hand maar dat raakt mensen natuurlijk gigantisch in hun persoonlijke levenssfeer. Daar heb ik ook geen oplossing voor.

Arnoud

Afkomstig van de blog Internetrecht door Arnoud Engelfriet. Koop mijn boek!

De Nederlandse politie werkt aan een Pokémon Go-achtige app genaamd Automon waarmee burgers kentekens kunnen scannen en punten krijgen voor een ‘hit’. Dat meldde Tweakers onlangs. De app gaat een overlay tonen met informatie uit politieregisters over het al dan niet gestolen zijn van de auto op basis van kenteken. Maar wacht even, mogen burgers op die manier wel door de politie worden ingeschakeld?

In principe mogen burgers natuurlijk helpen bij de opsporing van gestolen goederen, zoals auto’s. Wie auto ziet en reden heeft te vermoeden dat die gestolen is, heeft natuurlijk het volste recht daar aangifte van te doen. En dat mag ook zijn op basis van iemands bericht op internet “Mijn auto met kenteken XX-123-XX is gestolen, wie ziet hem”. Of met een app die helpt met dergelijke informatie gestructureerd te verschaffen.

Anders ligt het als de politie een burger opdraagt of verzoekt bepaalde informatie te achterhalen. In dat geval valt diens handelen onder dezelfde regels als die voor de politie zelf gelden. Een door de politie ingehuurde IT-specialist mag dus niet ineens computervredebreuk plegen, het daardoor verkregen bewijs zou onrechtmatig zijn. Terwijl als die IT-er dat ongevraagd deed, het bewijs wél bruikbaar was (maar hij natuurlijk nog steeds wel strafbaar.)

Met een app als deze zit je ergens in het midden. Enerzijds vraagt de politie je om mee te helpen, anderzijds zou je dit een nogal ongerichte vraag kunnen noemen. Dit is geen inhuuropdracht, meer een “Opsporing verzocht” in een nieuw jasje. En er is niets mis met kijken naar Opsporing Verzocht en dan driftig gaan zoeken naar auto’s met het genoemde kenteken, dus waarom zou dat bij een app anders zijn?

Wat mij eigenlijk vooral interesseert, is met welke database deze app praat. Er is of komt dus een database met daarin kentekens en “gestolen ja/nee”, en die app kan daarbij. Die database lijkt me dan publieke informatie te noemen, want iedereen die de betreffende API call weet, kan die informatie ophalen. Dat voelt wel opmerkelijk, dat die informatie openbaar zou zijn?

Arnoud

Afkomstig van de blog Internetrecht door Arnoud Engelfriet. Koop mijn boek!