Quantcast
Channel: Strafrecht – Ius Mentis

Verdachte doet aangifte van dreiging en dwang bij ontgrendelen smartphone

0
0

Een van de hoofdverdachten in de strafzaak rond douanier Gerrit G. doet aangifte tegen de politie, las ik bij Nu.nl. De politie zou hem hebben bedreigd om zo zijn smartphone te ontgrendelen. De telefoon zat namelijk achter een vingerafdrukslot, en hij wilde niet meewerken aan het zetten van die afdruk. Daarop zou gedreigd zijn om zijn vingers te breken. Dat is natuurlijk onrechtmatig, maar iets fundamenteler is wel de vraag of je móet meewerken aan het vingerafdrukken ter ontgrendelen van je telefoon.

Het is een vast principe dat je geen wachtwoorden of pincodes hoeft te geven als verdachte. Dat valt onder het recht niet gedwongen te mogen worden om tegen jezelf te getuigen. Maar dat gaat alleen over dingen die je wéét. Dingen die je hébt, mag Justitie gerust afpakken en onderzoeken om daarmee de waarheid aan het licht te brengen. Ze mogen je kluis openen met een lasbrander (of een handige slotenmaker), onder de vloer kijken, je harddisk kopiëren, je tuin omspitten en je administratie meenemen als daar bewijs te verwachten valt. Of je telefoon leegtrekken, waar genoeg speciale apparatuur voor is.

Het is wettelijk toegestaan om gedwongen een vingerafdruk af te nemen, maar het moet dan eigenlijk gaan om identificatie van de verdachte (art. 27a Strafvordering). Dat is toch wel even iets anders dan een vingerafdruk inzetten om een telefoon te openen. Maar bij een ernstig misdrijf mag er meer (art. 55c):

De foto’s en vingerafdrukken [van de verdachte] kunnen ook worden verwerkt voor het voorkomen, opsporen, vervolgen en berechten van strafbare feiten en het vaststellen van de identiteit van een lijk.

Met enige goede wil is “openen van zijn telefoon” wel te rekenen onder “opsporen van strafbare feiten”, als de data op die telefoon daar deel van uitmaakt. Maar getest bij de strafrechter is het nog nooit.

Wat is nu het veiligdste slot op je telefoon dat tevens praktisch bruikbaar is?

Arnoud

Afkomstig van de blog Internetrecht door Arnoud Engelfriet. Koop mijn boek!


Mag je je verzetten tegen de Aftap- en Hackwet?

0
0

De Eerste Kamer nam gisteravond een wet aan waarmee de geheime diensten het internet op grote schaal kunnen aftappen, en de verzamelde mailtjes en appjes drie jaar mogen bewaren. Dat las ik bij RTL Nieuws. Maar de wet gaat niet alleen over aftappen: de nieuwe wet maakt het ook mogelijk dat de AIVD kennissen van verdachten mag hacken. Wat diverse lezers de vraag deed opperen: wat mag je daartegen doen, als je de AIVD in je firewall ziet?

Het idee achter dat stukje van de Hackwet is dat de meeste criminelen (althans, verdachten) wel enigszins op de hoogte zijn van elementaire ICT-beveiliging. Kennissen zijn dat waarschijnlijk minder, dus dat biedt dan een interessant secundair kanaal van informatie.

Dat de AIVD iets mag, wil natuurlijk niet zeggen dat je daar automatisch alle gelegenheid voor moet bieden. De wet eist niet dat jouw netwerk aftapbaar of anderszins toegankelijk is voor overheidsdiensten (behalve als je aanbieder van een openbaar telecomnetwerk bent, maar dat terzijde). Als je dus je ICT zo stevig dichttimmert dat de gleufhoeden zuchtend elders heengaan, dan is dat helemaal prima.

Sowieso is het natuurlijk heel verstandig om anno 2017 je netwerk en ICT-middelen goed te beveiligen; malware, spionage vanuit andere landen en gewone criminelen liggen natuurlijk óók op de loer. Dus voorzie alles van encryptie, werk je software bij, installeer een goede firewall en uitgebreide logging en zorg voor moeilijk voor derden toegankelijke backups.

Het opzetten van honeypots waar de aanvaller lang mee bezig is, is al een iets actievere tegenmaatregel. Het idee is dan dat je hem afleidt met een interessante maar neppe bron, bijvoorbeeld een groot bestand dat je iets van “ISIS full membership addresses Netherlands.xlsx” noemt en waar men dan jarenlang decryptie op loslaat voordat men ontdekt dat het gewoon een nepbestand is. Daar is weinig mis mee, dat is hooguit verspilling van iemands tijd.

Lastiger wordt het bij de actievere vormen van verdediging, zoals terughacken, -ddossen en anderszins -slaan van de aanvaller. Een voorbeeld is het neerzetten van dergelijke lokbestanden maar dan voorzien van malware, waarmee je hoopt dat de aanvaller dan wordt geïnfecteerd. Het digitale equivalent van een kluis waarin een kruisboog op scherp staat, met touwtje verbonden aan de deur. Auw.

Dergelijke handelingen zijn natuurlijk strafbaar; verspreiding van malware maar ook het uitvoeren van een DDOS aanval of inbreken in iemands systeem is niet toegestaan onder het Wetboek van Strafrecht. Ook niet als die iemand dat net bij jou zelf stond te doen. Natuurlijk is de kans klein dat de AIVD aangifte gaat doen van een terughack of malware-infectie, maar je weet in het algemeen natuurlijk nooit of het die dienst is dan wel een echte crimineel die een onschuldige derde z’n computer gebruikte om bij jou binnen te dringen. Dus nee, dat zou ik niet doen.

Arnoud

Afkomstig van de blog Internetrecht door Arnoud Engelfriet. Koop mijn boek!

Terugblik: Mag een stiekem gemaakte geluidsopname gebruikt worden als bewijs?

0
0

Vanwege mijn vakantie deze week geen nieuwe blogs. In plaats daarvan een terugblik op de afgelopen tien jaar: ik heb vijf populaire blogs geselecteerd en kijk er anno 2017 graag nog eens naar met jullie.

Vandaag: Mag een stiekem gemaakte geluidsopname gebruikt worden als bewijs?, met bijna 100 reacties en 85.000 views (robots niet meegeteld) een zeer populair onderwerp kennelijk.

Regelmatig krijg ik in diverse varianten de vraag of een stiekem gemaakte geluidsopname van een gesprek gebruikt mag worden als bewijs. Dit meestal naar aanleiding van mijn artikel Opnemen van gesprekken, waarin dat met zoveel woorden staat:

Een telefoongesprek opnemen dat je zelf voert, mag je dus opnemen – ook wanneer je dat niet meldt aan de tegenpartij. Alleen het heimelijk opnemen van zo’n gesprek zonder deelnemer te zijn is dus strafbaar (tenzij je toestemming hebt van één van de deelnemers).

Gebruik als bewijs is eigenlijk altijd toegestaan. In het gewone (civiele) recht gelden namelijk geen specifieke eisen voor hoe het bewijs verkregen mag zijn. De rechter mag zelf alles beoordelen op de merites. Hij hoeft bewijs niet uit te sluiten omdat het een stiekeme opname is. Wel zou hij het bewijs anders kunnen waarderen: een informeel gesprekje op de vrijmibo zal minder bewijskracht hebben over de intenties van een bedrijf dan een formele verklaring van de directie bij een persconferentie. Maar dat gaat dan over de inhoud, niet over de vorm.

Toch hoor ik nog regelmatig dat mensen zeggen, dit is onrechtmatig verkregen bewijs en dus onbruikbaar. Dat klopt dus niet, naar Nederlands recht. Te veel Amerikaanse rechtbankseries gekeken. En nee, ook niet als een agent het zegt: ook in strafzaken mogen stiekeme opnames worden gebruikt als bewijs. Alleen opnames gemaakt door de politie zijn onrechtmatig verkregen bewijs als er geen taplast of andere toestemming conform het Wetboek van Strafvordering is gegeven.

Er is wel een grens: als er sprake is van inbreuk op iemands privacy en die inbreuk “rechtens ontoelaatbaar” is. Dat is een vrij hoge lat, waar je bij zakelijke gesprekken niet snel aan zult zitten. Héél misschien bij een rechtszaak over een echtscheiding, maar zelfs daar geen garanties. Ik heb in ieder geval nog steeds geen vonnis gevonden waarin een illegale gespreksopname als bewijs terzijde werd geschoven vanwege deze grond. (Vanwege kwaliteitsproblemen, authenticiteitsproblemen of gewoon te weinig concreets, ja dat wel.)

Voor bedrijven die gesprekken opnemen, geldt natuurlijk wel de privacywet (Wbp en straks AVG). Zij moeten mensen melden dat ze gesprekken opnemen en waarom, moeten op verzoek een kopie van de opname verstrekken en moeten opnames goed beveiligen. Maar ook wanneer die wet wordt geschonden, mag de opname als bewijs worden gebruikt. Dat er dan een boete voor het schenden van de privacywet volgt, staat daar helemaal los van.

Arnoud

Afkomstig van de blog Internetrecht door Arnoud Engelfriet. Koop mijn boek!

Wanneer URL-manipulatie strafbaar is als computervredebreuk

0
0

Vanwege mijn vakantie deze week geen nieuwe blogs. In plaats daarvan een terugblik op de afgelopen tien jaar: ik heb vijf populaire blogs geselecteerd en kijk er anno 2017 graag nog eens naar met jullie.

Vandaag: Wanneer URL-manipulatie strafbaar is als computervredebreuk,

De man die de kersttoespraak van koningin Beatrix op internet vond, heeft zich strafbaar gemaakt. Zoiets zei ik Eerste Kerstdag [2012] tegen de NOS. En dat maakte nogal wat los. URL’s zijn toch openbare adressen, wat op een server staat is niet geheim, er wordt niets gekraakt, dit is toch pure domheid van de RVD, en ga zo maar door. Ja ja dat klopt allemaal en de RVD is ook een stel prutsers maar het blijft een feit dat binnendringen óók zonder iets te kraken strafbaar is.

Sinds 2006 hebben we een brede definitie van computervredebreuk: ieder opzettelijk en wederrechtelijk “binnendringen” in een computersysteem is strafbaar, ook als er niets wordt gekraakt, omzeild, geïnjecteerd of vervalst. Zodra je ergens bent waarvan je wéét dat je er niet mag zijn, ben je formeel al in overtreding. En ik zie werkelijk niet waarom dat wél zou gelden bij een SQL injectie en niet bij een trivialer vorm van URL-manipulatie – zoals bij de kersttoespraakurl waarbij het een kwestie was van jaartal en UID aanpassen. Beiden zijn aanpassen van URLs.

Ik blijf het een hele moeilijke kwestie vinden. Volgens mij komt het uiteindelijk 99% neer op de intentie van het manipuleren van die URL. Een logische voor de hand liggende URL intypen (uit de comments: nl.wikipedia.org/wiki en dan eh Arnoud_Engelfried) voelt heel anders dan met getallen gaan spelen in de hoop dat je iets krijgt waarvan je wéét dat het er nog niet is. Zoals op 24 december de video van de kersttoespraak die is aangekondigd voor de 25e.

Wat me opviel bij teruglezen van de discussie is dat veel mensen een wezenlijk verschil zien tussen een ID aanpassen en dingen als SQL injectie of buffer overflows, die je toch ook via de URL doet. Zit hem het verschil dan in hoe moeilijk het is om dit te doen? Een ID aanpassen kan een kind, een buffer overflow exploiteren vereist toch enige expertise (of een gegoogeld script).

Of gaat het erom dat een ID duidelijk herkenbaar is als een ID, zodat aanpassen daarvan in de lijn der verwachtingen ligt? Zo van, hier zit een grote rode knop, natúúrlijk gaan mensen daarop klikken. Natuurlijk gaan mensen 201112253998 veranderen in 201212254003. Dat is gewoon, eh, een logisch volgend getal, beetje rare interface maar ik blader gewoon. En SQL injectie is dan anders omdat dat volstrekt onlogisch is om te doen. Niemand heet “Robert’); DROP TABLE students –” immers. Of Robert Oot dan wel Jennifer Null.

Peins peins.

Arnoud

Afkomstig van de blog Internetrecht door Arnoud Engelfriet. Koop mijn boek!

Mag de eigenaar van een gestolen laptop deze opsnuffelen bij een legitieme koper?

0
0

Een lezer vroeg me:

Onlangs kreeg ik de politie aan de deur: ik zou in het bezit zijn van een gestolen laptop! Bij navraag bleek het te gaan om een tweedehands die ik keurig in een computerwinkel had gekocht (met bon, reële prijs, semi-bekende keten wiens naam ik even niet noem) dus niets aan de hand. Maar men bleek me te hebben opgespoord door ‘Absolute Software’ van het bedrijf LoJack/CompuTrace. Het bedrijf geeft te kennen dat het geen middelen schuwt om via een voorgeïnstalleerde backdoor informatie te vergaren betreffende het “gestolen” goed, waaronder: hard drive mining, keystrokes/typed data, screen images en position. Is dat wel legaal, zeker in mijn situatie?

Het kopen van gestolen goed heet normaal ‘heling’ en is strafbaar. Echter, de wet (art. 3:86 BW beschermt de consument die gestolen goed koopt bij een bedrijf of winkel. Deze wordt gewoon eigenaar van het goed, en kan niet worden vervolgd voor heling.

Steeds meer ICT-producten zoals laptops, tablets of telefoons worden voorzien van “phone home”-achtige software, waarmee de eigenaar op afstand kan zien waar het apparaat zich bevindt. Vaak is die software ook voorzien van aanvullende features, waarmee kan worden rondgekeken op de telefoon en waarmee de camera kan worden bediend om de huidige houder vast te leggen. (Zie deze mooie documentaire over wat er allemaal kan.)

Informatie achterhalen over je eigen laptop valt onder de informatievrijheid en dat is een grondrecht. Maar de privacy is óók een grondrecht, zelfs tot op zekere hoogte voor de dader van een misdrijf. De schandpaal is immers afgeschaft, heet dat dan onder beschaafde juristen. En hier gaat het niet om een dief maar om een gewone eerlijke burger die iets legaal kocht in een winkel. Hoezo mag diens privacy worden geschonden door de oude eigenaar van het apparaat? Dit is typisch zo’n balans uit het internetrecht waar niet meteen een eenduidig antwoord op is.

Voor mij zou denk ik uiteindelijk de doorslag geven hoe groot de kans is dat een gestolen laptop via een winkel terecht komt bij een particulier die te goeder trouw is. Als de overgrote meerderheid die laptop in strafbare hoedanigheid verwerft, dan zou ik weinig moeite hebben met de privacyaspecten van deze zaak. Zeker als de gegevens ook nog eens alleen voor aangifte en opsporing gebruikt worden, en niet voor eh documentaires of andere openbaarmakingen door het slachtoffer.

Arnoud

Afkomstig van de blog Internetrecht door Arnoud Engelfriet. Koop mijn boek!

Bedienen van telefoon in houder is ook een vorm van vasthouden

0
0

Onder het begrip vasthouden moet ook worden verstaan het met een hand bedienen van een telefoon terwijl deze geplaatst is in een telefoonhouder die bevestigd is op het dashboard. Dat bepaalde de rechtbank Noord-Nederland vorige maand (pas dinsdag gepubliceerd) in een van de vele vonnissen rond wat je nu wel en niet mag doen met een telefoon als bestuurder van een motorvoertuig. Een tikje vreemd misschien want het ding zit niet in je hand. Maar dit is waarom rechters do-what-I-mean compilers van het recht zijn.

Een man kreeg in december vorig jaar een boete voor het vasthouden van een mobiele telefoon tijdens het besturen van een motorvoertuig (art. 61a Reglement verkeersregels en verkeerstekens). Maar hij ging in bezwaar, want:

Betrokkene heeft ter zitting aangevoerd dat hij zijn mobiele telefoon niet heeft vastgehouden. Betrokkene heeft zijn mobiel altijd in een dashmount die geïnstalleerd is aan de linkerkant van het dashboard bij de linker raamstijl. Betrokkene heeft zijn arm altijd ter hoogte van de raamstijl, hetgeen voor hem een comfortabele houding is.

Taalkundig gezien is dus inderdaad geen sprake van overtreding van het verbod: de man hield de telefoon niet fysiek vast. Hij bediende deze wel, maar met een vinger het scherm aanraken kun je moeilijk taalkundig als ‘vasthouden’ aanduiden. Maar wetsteksten worden op meer manieren gelezen dan enkel taalkundig. Ook het doel van een wet, en hoe het artikel was bedoeld door de wetgever, weegt zwaar bij bepalen of iets er nu onder valt of niet.

In dit geval was het doel van dit wetsartikel de verkeersveiligheid verhogen. Het is al decennia bekend dat handmatig telefoneren en het gelijktijdig besturen van een motorvoertuig, invalidenvoertuig of bromfiets vormt een gevaar voor de verkeersveiligheid vormt. Een belangrijk aspect daarvan is dat je dan maar één hand over had om het voertuig te besturen (denk aan schakelen of sturen). Vandaar dat het verbod is geformuleerd als “vasthouden”.

Datzelfde probleem doet zich voor als je de smartphone weliswaar in een carkit hebt zitten maar vervolgens een hand gebruikt om deze te bedienen. Ook dan is die hand niet beschikbaar om het stuur te bedienen et cetera. Daarom rekent de rechter dit nu ook onder het verbod. Dit was de bedoeling van de wet en daarom is dit een overtreding van de wet.

En nee, het betekent niet dat je nu te allen tijde twee handen aan het stuur moet hebben of dat je niet mag bellen met een handsfreekit. Het betekent grofweg dat je van je telefoon af moet blijven tijdens het rijden. Dus ook niet een gesprek accepteren, als dat via een toets op je scherm of telefoon gaat.

Arnoud

Afkomstig van de blog Internetrecht door Arnoud Engelfriet. Koop mijn boek!

Translink deelde reisgegevens studenten met DUO voor fraudebestrijding

0
0

Translink, het bedrijf achter de ov-chipkaart, gaf reisgegevens door aan DUO. Dat meldde Tweakers gisteren. DUO gebruikte deze gegevens om studenten op te sporen die zouden frauderen met een uitwonende beurs. En de ophef zit hem dan in het feit dat die reisgegevens werden verstrekt zonder dat daar een officier van justitie aan te pas komt. Wat in Nederland totaal geen ding is, maar iedereen praat elkaar na dat dat nodig zou zijn.

TransLink Systems (TLS) beheert reisgegevens van alle personen die reizen met een ov-chipkaart in Nederland, waaronder natuurlijk een heleboel studenten met reisproduct. Uit die reisgegevens zijn allerlei interessante gegevens af te leiden, waaronder waar iemand woont: als iemand zegt uitwonend student te zijn in Amsterdam, maar elke dag zijn er veel korte ritjes in Deventer en af en toe retourtreinritten naar Amsterdam Amstel, dan kun je vraagtekens zetten bij dat uitwonend zijn.

DUO vond dat laatste zo interessant dat ze structureel die gegevens besloot op te vragen bij TLS. Daarbij werd gewerkt met een risicoprofiel, er werd dus niet zomaar bij iedereen meegekeken.

Maar dat is niet genoeg natuurlijk: dergelijke reisgegevens zijn persoonsgegevens, en dat moet dus netjes gebeuren binnen de Wet bescherming persoonsgegevens. Hier gaat het dan ook nog eens om een overheidsinstantie (DUO is de Dienst Uitvoering Onderwijs van het Ministerie van Onderwijs, Cultuur en Wetenschap) en dan moet het al helemáál strak geregeld zijn: er moet een wettelijke regeling zijn die specifiek hierover gaat en die fatsoenlijk rekening houdt met de privacy van eerlijke mensen.

In de zaak van een student in mei ging het mis op dat eerste. Er is geen wettelijke grondslag voor wat DUO deed. Een protocol tussen DUO en TLS is geen wet.

Ook de Algemene Wet Bestuursrecht is geen wet, althans geen voldoende precieze wettelijke grondslag zoals onder de Wbp vereist:

Naar het oordeel van de rechtbank voldoen de artikelen 5:16 en 5:17 van de Awb niet aan dit vereiste. Deze artikelen bepalen dat een toezichthouder bevoegd is inlichtingen te vorderen en bevoegd is inzage te vorderen van zakelijke gegevens en bescheiden. Uit de memorie van toelichting volgt dat onder zakelijke gegevens moet worden verstaan ‘gegevens die gebruikt worden ten dienste van het maatschappelijk verkeer’. Zoals hierboven al is overwogen zijn de door verweerder opgevraagde Trans Link gegevens op de persoon van eiser herleidbaar. Deze gegevens zijn daarmee niet langer zakelijk in de zin van artikel 5:17 Awb.

Daarmee is het niet toegestaan die gegevens te vergaren. Gezien de ernst van de onrechtmatige verwerking worden de aldus verkregen gegevens uitgesloten van het bewijs. Dat is in Nederland uitzonderlijk bij gewone rechtszaken, maar het ging hier dus om een overheidsinstantie en die worden veel strenger daarop afgerekend.

DUO heeft al aangekondigd geen gebruik meer te maken van deze constructie om reisgegevens op te vragen totdat de Centrale Raad van Beroep zich over hoger beroep heeft gebogen.

En die officier van justitie dan? Die is totaal irrelevant, ook als het niet om overheidsinstanties zou gaan. Persoonsgegevens afgeven moet als de wet dat eist, en toezichthouders zoals DUO kunnen dat onder omstandigheden eisen. Privépartijen ook, onder het Lycos/Pessers arrest. Daar zit allemaal geen gerechtelijk bevel tussen of toetsing door een officier van justitie. Die kreet is een amerikaanserechtbankfictie. Het is eigenlijk nog veel simpeler: waar in de wet staat dat dit mag?

Arnoud

Afkomstig van de blog Internetrecht door Arnoud Engelfriet. Koop mijn boek!

Whoa, kun je echt de cel in gaan omdat je in opdracht sjoemelsoftware programmeert?

0
0

Een softwareontwikkelaar van Volkswagen is in de VS tot 40 maanden cel veroordeeld voor zijn aandeel in het sjoemelsoftwareschandaal, las ik bij Reuters. De man was volgens het vonnis deelnemer aan een samenzwering met als doel een “stunning fraud on the American consumer.” Wat gelijk behoorlijk wat ophef gaf: je kunt dus strafrechtelijk de cel in gaan wanneer je doet wat je baas zegt.

In theorie is dat inderdaad mogelijk. Artikel 51 Wetboek van Strafrecht bepaalt dat zowel natuurlijke personen als rechtspersonen (bedrijven, verenigingen, stichtingen etc) strafrechtelijk vervolgd kunnen worden. In dit geval was Volkswagen als bedrijf degene die de sjoemel oftewel fraude heeft begaan, dus is vervolging tegen het bedrijf mogelijk.

Maar volgens lid 2 van dat artikel zijn de natuurlijke personen binnen het bedrijf óók te vervolgen wanneer het gaat om “hen die tot het feit opdracht hebben gegeven, alsmede tegen hen die feitelijke leiding hebben gegeven aan de verboden gedraging”. Dat is dus een risico voor die werknemers, maar er staat een belangrijke beperking: ze moeten op een of andere manier een bevoegdheid hebben gehad om het strafbare feit te initiëren of uit te laten voeren. Dus kort gezegd zijn managers en projectleiders persoonlijk te vervolgen, maar de onderknuppels en stagiairs niet.

(Natuurlijk ben je wel persoonlijk te vervolgen ongeacht je positie als je zelf strafbare feiten begaat zonder dat daar een opdracht of iets dergelijks aan ten grondslag ligt. Denk aan een boekhouder die facturen vervalst om daar zelf beter van te worden, of een programmeur die bedrijfsdata verkoopt aan de concurrent. Pas als de handeling het bedrijf redelijkerwijs kan worden toegerekend, komt aansprakelijkheid van het bedrijf in zicht.)

Uit de berichten kan ik niet helemaal halen wat precies de rol was van deze ontwikkelaar, maar ik krijg niet het idee dat hij helemaal onderaan de boom zat en zich verplicht voelde dit te bouwen. Hij is echter ook weer geen manager of directeur, zodat het niet meteen te zeggen is hoe hij onder Nederlands recht strafbaar zou zijn. Ik denk van wel, wanneer hij senior genoeg zou zijn om enige inspraak of beslisbevoegdheid te hebben in het ontwerp of de invoering van deze software.

Wat moet je nu doen als ontwikkelaar, stel dat je zo’n opdracht krijgt. Allereerst zeg ik er wel bij dat het moet gaan om écht duidelijk strafbare zaken en dat dit ook voor jou kenbaar had moeten zijn. Verstuur je facturen die een ander vervalste, dan ben je natuurlijk niet strafrechtelijk aansprakelijk. Die kenbaarheid zal de doorslag geven verwacht ik. Daarbij speelt jouw professionele kennis een grote rol. Had je dit kunnen weten, had iedereen in jouw gebied dit kunnen weten of had dit alleen maar na diepgaande juridische analyses duidelijk kunnen worden?

Bij twijfel is mijn advies altijd, escaleren naar boven en/of naar Juridische Zaken. Je mag verwachten dat daar mensen zitten die dan ook zeggen, oei dit kan strafbaar zijn, laten we het niet doen. Dus dan komt er vanzelf een rem op. En de bedrijfsjurist is normaal ook iemand met als taak het bedrijf beschermen tegen claims, waardoor je ook daarvan mag verwachten dat deze er een stokje voor steekt als het duidelijk strafbaar is. Het is nooit verkeerd om iets aan de bedrijfsjurist te vragen bij zulke twijfels, en naar je manager toe lijkt me dat ook goed verkoopbaar: je wilt weten waar de grenzen liggen zodat je het netjes kunt bouwen binnen de wet.

De Volkswagenzaak is uniek omdat hier tot het hoogste niveau ingestemd lijkt te zijn geweest met de fraude. Dan heb je niemand meer om naar te escaleren of om te laten voorkomen dat er strafbare zaken gebeuren. Dan houdt het juridisch wel een beetje op. Klokkenluiden kan natuurlijk, maar heeft altijd grote persoonlijke gevolgen want of het OM er wat mee doet is altijd de vraag, maar dat je werkgever achter jou aankomt is vrijwel een gegeven. Ontslag nemen ligt voor de hand maar dat raakt mensen natuurlijk gigantisch in hun persoonlijke levenssfeer. Daar heb ik ook geen oplossing voor.

Arnoud

Afkomstig van de blog Internetrecht door Arnoud Engelfriet. Koop mijn boek!


Politie werkt aan Pokémon Go-achtige app voor opsporing gestolen auto’s

0
0

De Nederlandse politie werkt aan een Pokémon Go-achtige app genaamd Automon waarmee burgers kentekens kunnen scannen en punten krijgen voor een ‘hit’. Dat meldde Tweakers onlangs. De app gaat een overlay tonen met informatie uit politieregisters over het al dan niet gestolen zijn van de auto op basis van kenteken. Maar wacht even, mogen burgers op die manier wel door de politie worden ingeschakeld?

In principe mogen burgers natuurlijk helpen bij de opsporing van gestolen goederen, zoals auto’s. Wie auto ziet en reden heeft te vermoeden dat die gestolen is, heeft natuurlijk het volste recht daar aangifte van te doen. En dat mag ook zijn op basis van iemands bericht op internet “Mijn auto met kenteken XX-123-XX is gestolen, wie ziet hem”. Of met een app die helpt met dergelijke informatie gestructureerd te verschaffen.

Anders ligt het als de politie een burger opdraagt of verzoekt bepaalde informatie te achterhalen. In dat geval valt diens handelen onder dezelfde regels als die voor de politie zelf gelden. Een door de politie ingehuurde IT-specialist mag dus niet ineens computervredebreuk plegen, het daardoor verkregen bewijs zou onrechtmatig zijn. Terwijl als die IT-er dat ongevraagd deed, het bewijs wél bruikbaar was (maar hij natuurlijk nog steeds wel strafbaar.)

Met een app als deze zit je ergens in het midden. Enerzijds vraagt de politie je om mee te helpen, anderzijds zou je dit een nogal ongerichte vraag kunnen noemen. Dit is geen inhuuropdracht, meer een “Opsporing verzocht” in een nieuw jasje. En er is niets mis met kijken naar Opsporing Verzocht en dan driftig gaan zoeken naar auto’s met het genoemde kenteken, dus waarom zou dat bij een app anders zijn?

Wat mij eigenlijk vooral interesseert, is met welke database deze app praat. Er is of komt dus een database met daarin kentekens en “gestolen ja/nee”, en die app kan daarbij. Die database lijkt me dan publieke informatie te noemen, want iedereen die de betreffende API call weet, kan die informatie ophalen. Dat voelt wel opmerkelijk, dat die informatie openbaar zou zijn?

Arnoud

Afkomstig van de blog Internetrecht door Arnoud Engelfriet. Koop mijn boek!

Mag je in een Tesla met autopilot een telefoon in je hand houden?

0
0

Een tipgever (dank!) wees me op deze tweet van Vincent Evers:

Reed met @Tesla autopilot en politie hield me aan. Flinke boete. Rechter hoe lang blijft deze regel?

De staandehouding bleek echter niet te zijn geweest vanwege het loslaten van het stuur (wat op een snelweg in principe redelijk risicoloos kan als je de Autopilot van Tesla aan hebt), maar vanwege het feit dat hij als bestuurder van een motorvoertuig een telefoon in de hand hield. Iets dat apart in de wet verboden is, los van of het gevaar geeft of niet.

Ik ben er nog niet uit of het inschakelen van de Autopilot-feature van een Tesla en dan het stuur loslaten nu verboden is. Er is immers geen expliciete regel om te allen tijde je handen aan het stuur te hebben. In de praktijk kom je dan al snel uit bij het kapstokartikel 5 van de Wegenverkeerswet: gevaar of potentieel gevaar (het verschil blijft me ontgaan) veroorzaken op de openbare weg.

Het argument zou dan zijn dat als je het stuur loslaat, je bij een plotseling veranderde situatie niet op tijd het stuur terug kunt pakken om uit te wijken. Zeker als je ondertussen wat anders aan het doen was, nog los van of dat een telefoon vasthouden betrof of een roman lezen. In al die situaties ben je niet in staat om snel genoeg weer de aandacht terug te krijgen om het voertuig veilig verder te laten rijden.

Een gang naar de rechter lijkt me absoluut kansloos. De wet is duidelijk, en hoewel een rechter best een eindje deze op mag rekken wanneer een harde handhaving onredelijk is, is hier gewoon keihard een specifieke regel tegen. Ook nog eens vanuit een veiligheidsbelang (je aandacht op de weg houden) en dat overtreed je ook wanneer je een stuurondersteuning aan hebt staan. Ik zie dus geen reden waarom een rechter hier van de wet af zou kunnen wijken.

Arnoud

Afkomstig van de blog Internetrecht door Arnoud Engelfriet. Koop mijn boek!