Internetrecht door Arnoud Engelfriet

Hela, een zinvolle disclaimer. Stel je werkt bij een bedrijf en je krijgt elke ochtend deze tekst in een popup voor je neus:

This computer system is owned by Kennametal Inc. The entire System, including all related equipment, networks and network devices, is provided for authorized Kennametal business use and all use should be consistent with that purpose. Use of the System constitutes consent to monitoring of any activity of communication by Kennametal Inc. During monitoring, information on the System may be examined, recorded, copied and used for other authorized purposes. Unauthorized or improper use of the System may subject user tot disciplinary action, up to and including termination.

Zou je daarvan onder de indruk raken? Ik zou zelf vooral geïrriteerd zijn na de eerste drie dagen en een programmaatje installeren dat de popup meteen wegklikt, maar voor de werkgever in dit vonnis was het een goed argument in een ontslagzaak. De werknemer bleek namelijk diverse malen de software van Kennametal gebruikt te hebben om voor eigen rekening en tegen betaling gereedschappen te ontwerpen voor derden. Iets dat ook precies is wat Kennametal doet.

Zoals de rechter het formuleert:

Deze handelwijze van [werknemer] kan niet gerechtvaardigd worden door de afwijzing van zijn (herhaalde) verzoek om salarisverhoging, daar een goed werknemer niet op deze wijze reageert op een dergelijke, voor hem teleurstellende afwijzing.

Het gevraagde ontslag wordt verleend, maar vanwege het 40-jarige dienstverband krijgt de man wel een vergoeding van 31.419,36 euro mee naar huis.

Via Boek9.nl.

Arnoud

Af en toe word ik moe van de excuses waar sommige agenten mee komen om een zaak maar niet in behandeling te hoeven nemen. Via GeenStijl een berichtje over ouders die met een verborgen camera de oppas van hun kind filmden en enkele schokkende zaken zagen. UpdateDit was een hoax, niets te zien, doorlopen graag. Zij stapten naar de politie, maar:

We zijn natuurlijk ook met de hele film naar de politie gegaan maar die zeiden dat je niet zomaar iemand zonder toestemming mag filmen in verband met de privacywetgeving en dat ze er daarom niks mee gaan doen.

Dit is eenvoudigweg niet juist. “Toestemming” is niet wat er in de wet staat over verborgen camera’s. Artikel 139f Strafrecht zegt dat je strafbaar bent als je

gebruik makende van een technisch hulpmiddel waarvan de aanwezigheid niet op duidelijke wijze kenbaar is gemaakt, opzettelijk en wederrechtelijk van een persoon, aanwezig in een woning of op een andere niet voor het publiek toegankelijke plaats, een afbeelding vervaardigt;

Een verborgen camera is zo’n “technisch hulpmiddel”, en die mag je dus niet “opzettelijk en wederrechtelijk” inzetten. Maar “wederrechtelijk” is niet hetzelfde als “zonder toestemming van de gefilmde persoon”. Je kunt wel degelijk een eigen recht hebben om te filmen ondanks ontbrekende toestemming. Wel zal je een gedegen afweging moeten doen van de belangen van alle partijen; de oppas heeft ook recht op privacy en je mag niet zonder concrete aanwijzingen dat die zich misdraagt, gaan filmen zonder dat te melden. (Ja, als je het meldt dan mag het wel.)

Maar wederom: ook al zijn de beelden onrechtmatig verkregen, ze zijn bruikbaar als bewijs. Alleen als de politie zelf via verborgen camera’s beelden verzamelt, wordt het bewijs onbruikbaar. In deze Hoge-Raaduitspraak merkte de advocaat-generaal nog op

dat de Strafkamer van Uw Raad toelaatbaar acht dat zelfs een door diefstal verkregen bewijsmiddel dat aan de politie is overhandigd als basis dient voor een vermoeden dat uiteindelijk tot een succesvolle strafvervolging leidt.

In 2004 oordeelde het Gerechtshof Amsterdam dat beelden van cameratoezicht gewoon gebruikt mogen worden, ook al had de gemeente (die de camera’s had opgehangen) zich niet aan haar privacyreglement voor cameratoezicht gehouden.

Het hof is van oordeel dat de door de raadsman gereleveerde verzuimen -ook indien van het bestaan van de gestelde schendingen wordt uitgegaan- geen aan het openbaar ministerie toe te rekenen verzuimen opleveren (…)

Evenzo in deze zaak uit Dordrecht:

Indien immers al sprake zou zijn van schending van verdachtes rechten, dan is dat niet in het kader van de opsporing door opsporingsambtenaren veroorzaakt.

Daar kan ik één uitspraak van de politierechter in 2000 tegenover zetten. Die oordeelde dat beelden van illegaal cameratoezicht (in de openbare ruimte) niet gebruikt mochten worden, maar zonder uitgebreide motivatie.

Ik snap dit niet. Even afgezien van “de pliesie schrijft alleen maar bonnen uit want da’s makkelijk” en aanverwante onzin: waarom deze houding? Meer algemeen: waarom zou het erg zijn dat burgers langs illegale weg bewijs hebben van wandaden? Als ze illegaal zijn verkregen, schrijf dan een boete daarvoor uit. Maar waarom zou het bewijs dan van tafel moeten?

Arnoud

De Revu wordt niet gestraft voor het infecteren van 14.000 computers en het hacken van de mailbox van de geanonimiseerde Staatssecretaris van Defensie, zo las ik gisteren bij Security.nl. De politierechter vond dat het nieuwsfeit dat de mailbox te kraken was, belangrijk genoeg is om de hoofdredacteur vrij te spreken van het strafbare feit. De auteur van het artikel werd ook vrijgesproken, omdat hij niet betrokken was bij het daadwerkelijke inbreken. Hij kreeg de informatie achteraf en maakte daar een artikel van.

Ik heb hier grote moeite mee. Journalisten staan niet boven de wet en hebben niet het recht om 14.000 pc’s te infecteren om daarmee aan te tonen dat een wachtwoord te raden is door die pc’s er lekker veel te laten proberen. Ik heb sterk het vermoeden dat de politierechter onvoldoende rekenschap heeft gegeven van wat er nu feitelijk is gedaan. Als het nieuwsfeit was geweest “Voordeur huis staatssecretaris blijkt met bulldozer te forceren”, dan was het vonnis volgens mij heel anders uitgevallen.

De overwegingen uit het vonnis wijzen er namelijk sterk op dat de rechter zich heeft laten overtuigen door het beveiligingsaspect van de zaak. Immers, zo staat in het vonnis:

Hierbij wordt voorop gesteld dat de vraag of de privé emailboxen van bewindslieden voldoende beveiligd zijn tegen inbraken van buitenaf, op zichzelf een zaak is die het algemeen belang raakt. … Verdachte heeft betoogd dat het plegen van de onderhavige strafbare feiten noodzakelijk was voor de onderbouwing van de stelling in het artikel dat het schortte aan die beveiliging.

Nu wil ik best geloven dat beveiliging van zulke mailboxen op zich een belangwekkend iets is voor journalisten, maar dat betekent nog niet dat elk hackje daarmee nieuwswaardig is. Zeker niet als het hackje gewoon een lompe brute force aanval is. Iedereen weet dat je met genoeg proberen elk wachtwoord weet te raden.

Bovendien -en dit is een juridische blog- lijkt het vonnis me in strijd met wat de Hoge Raad tot nu toe steeds zegt over dit soort “nieuwsmaak”-acties. Zoals ik vorig jaar december blogde, in 1995 luidde het oordeel nog dat een vervalste aanvraag voor een rijbewijs niet onder de vrije nieuwsgaring valt, ook niet als je wilde aantonen dat aanvragen voor een rijbewijs onder valse naam mogelijk zijn (27 juni 1995, NJ 1995/711, niet online). En in december 2006 oordeelde de Hoge Raad hetzelfde in een zaak over een ‘gat’ in het bancaire systeem van automatische incasso.

In die laatste zaak citeerde men instemmend het Gerechtshof, dat had bepaald:

Nu het aan de verdachte ten laste gelegde het doel van zijn onderzoek (publiekelijk bewijs te vergaren voor zijn stellingen) voorbij is geschoten en hem andere, minder verstrekkende methodes ten dienste stonden, oordeelt het hof de jegens verdachte ingezette strafvervolging ter voorkoming van (soortgelijke) strafbare feiten en ter bescherming van de rechten van anderen, meer in het bijzonder van die van bovenaangegeven (rechts)personen, zowel passend als geboden.

Bij de incassozaak had de journalist een groot aantal incasso-opdrachten verstuurd voor soms substantiële bedragen van rekeningen van volslagen onbekenden. Hij had ook kunnen volstaan, aldus het Hof, met 1 grote incasso van een betrokken partij (bv. de directeur van de betrokken bank). En die analogie kun je zonder moeite doortrekken naar hier: was het nu echt nodig om 14.000 pc’s te infecteren om aan te tonen dat je met genoeg pc’s een wachtwoord kunt kraken?

En feit blijft (zoals Brenno de Winter al schreef) dat Revu het echte nieuws gemist heeft.

Anders nieuwswaardig feit is dat Hyves kennelijk goed functioneert als distributieplatform voor het verspreiden van virussen die een botnet bouwen. Gebruikers vertrouwen de website, terwijl nu blijkt dat er zeer kwaadaardige content op kan staan. Ook dit werd niet als nieuwswaardig feit gesignaleerd.

Waar ik nu heel bang voor ben, is dat al die scriptkiddies die eerst riepen “ik bewijs mensen een dienst door de beveiliging te checken” nu gaan roepen “oh ik ben journalist want ik onderzoek maatschappelijke misstanden door onvoldoende beveiliging”.

Arnoud
Afbeelding afkomstig van Revu.

Een lezer vroeg me:

Onlangs ging mijn computer defect. Deze had twee harde schijven, waarvan ik er een voor Windows gebruikte en de andere voor diverse data. Ik zat nog in de garantieperiode, dus heb de computer meteen teruggebracht ter reparatie. Er bleek nogal wat stuk, kreeg ik later te horen: het moederbord en de grafische kaart waren volledig kapot, en de schijf met de Windows installatie was ook gecrasht en niet meer te repareren. Dat was allemaal vervangen, maar mijn dataschijf (waar dus niets mis mee was) bleek ook maar geherformatterd. Gelukkig had ik een recente backup maar ik vraag me toch af of dat zomaar kan?

Bij computerdefecten is het vaak onvermijdelijk dat er gegevens kwijtraken, dus het is een goede zaak dat de vraagsteller backups heeft gemaakt. (Hoe oud is jullie laatste backup?) Hier is de data verdwenen tijdens de reparatie. In deze zaak (met dank aan Alex’ gastpost over data recovery) bleken na een reparatie allerlei gegevens van een harde schijf verdwenen te zijn. Daar keek de klant nogal van op:

Vast staat daarnaast dat [gedaagde] niet aan [eiser] heeft meegedeeld dat het formatteren van de harde schijven een standaardonderdeel is van de reparatieprocedure; niet heeft gevraagd of er gegevens op de harde schijven stonden of dat daarvan kopieën waren gemaakt; niet heeft gewaarschuwd voor de gevolgen van de formattering en dat hij [eiser] niet de gelegenheid heeft gegeven om voorzorgsmaatregelen te nemen om het wissen van de bestanden te voorkomen terwijl hij evenmin zelf maatregelen heeft genomen om de bestanden te behouden.

Dit was volgens de rechter onzorgvuldig gedrag van de reparateur. Hij had niet zomaar die harde schijf mogen formatteren.

Als de schijf dusdanig defect is dat een low-level formatteeractie de enige mogelijkheid is om de data terug te krijgen, dan mag het natuurlijk wel. Alleen zou ik dan wel verwachten dat daarover iets gemeld wordt in het verslag van wat er gerepareerd of vervangen is. De eerste stap is dus opheldering vragen: waarom is die schijf opnieuw geformatteerd?

Ik vermoed alleen dat het antwoord iets zal zijn als “bij grote reparaties is het beleid dat we alle gegevensdragers in originele staat terugbrengen”. En dat is dus net iets te onzorgvuldig om legaal te zijn.

Arnoud

Nee, ik heb het gecontroleerd: het is géén 1 april. (Wel wintertijd trouwens.) De klacht van de Bond van Wetsovertreders over privacyschending van haar inbrekende leden door camera’s in huizen is echt, hoewel ik niet uitsluit dat die alleen maar ingediend is om publiciteit voor die Bond te genereren. De kop bij Nu.nl is wat misleidend: het gaat niet om het ophangen van een camera maar om het publiceren op internet van die videobeelden.

Op het filmpje is te zien hoe een man de huiskamer doorzoekt en met een voorwerp (een tasje, denk ik) weer wegloopt. Na aangifte van de bewoner van het huis heeft de politie Drenthe de film online gezet om hem zo op te sporen. Volgens het portretrecht (art. 22 Auteurswet) mag dat:

In het belang van de openbare veiligheid alsmede ter opsporing van strafbare feiten mogen afbeeldingen van welke aard ook door of vanwege de justitie worden verveelvoudigd of openbaar gemaakt.

Ik denk dus niet dat die klacht ergens toe zal leiden. Een klacht tegen de eigenaar heeft marginaal meer kans: artikel 139f Wetboek van Strafrecht bepaalt dat je strafbaar bent als je

gebruik makende van een technisch hulpmiddel waarvan de aanwezigheid niet op duidelijke wijze kenbaar is gemaakt, opzettelijk en wederrechtelijk van een persoon, aanwezig in een woning of op een andere niet voor het publiek toegankelijke plaats, een afbeelding vervaardigt;

of kort gezegd als je geen sticker op de deur hebt dat je beveiligingscamera’s hebt hangen in je huis. Het idee is dat je gasten jouw huis als besloten en dus private ruimte zullen beschouwen, en die privacyverwachting mag je niet zomaar doorbreken.

Maar hoe zit het dan met ongenode gasten? Nou, die hebben pech want dit strafwetsartikel is niet voor hen bedoeld. De minister van Justitie meldde bij de invoering van het artikel:

Dit ligt anders wanneer een persoon wederrechtelijk de woning van de rechthebbende betreedt. Deze persoon zal geen aanspraak kunnen maken op eerbiediging van zijn persoonlijke levenssfeer door de rechthebbende van de woning die hij wederrechtelijk heeft betreden. Dit heeft tot gevolg dat de rechthebbende, indien deze van de inbreker beelden heeft vervaardigd met een camera waarvan de aanwezigheid niet op duidelijke wijze kenbaar is gemaakt, niet wederrechtelijk handelt.

Oftewel een inbreker heeft geen privacy als hij andermans huis betreedt. beep Beste Bond, u bent af, ga direct naar de gevangenis, ga niet langs start, u ontvangt geen 200 dollar.

Update (23 november): de Ombudsman heeft de klacht afgewezen.

Omdat er geen redelijke twijfel kon bestaan dat de man een ernstig strafbaar feit heeft begaan, vindt de ombudsman dat politie en justitie een juiste afweging hebben gemaakt.

Met verwijzing naar zijn rapport over Overvallersgezocht waarin de publicatie van beveiligingscamerabeelden juist werd afgekeurd.

Arnoud

Honderden studenten hebben maandenlang bijna gratis pizza’s kunnen bestellen via de website Justeat.nl, meldde Nu.nl vrijdag. Er bleek een fout in de website te zitten waardoor je eenvoudig de prijs kon manipuleren net voordat de betaalprocedure bij een externe partij in gang werd gezet. Tweakers meldt:

De kwetsbaarheid bleek ontstellend simpel te misbruiken, blijkt uit een test van Tweakers.net: het aanpassen van de html-code bleek genoeg om goedkoop pizza of shoarma te bestellen. Het lek zat bij Just-Eat op de pagina, waar de bestellingsmethode gekozen kon worden. Daar werden in verborgen input-velden de parameters voor de betaling doorgegeven, waaronder het bedrag in centen.

De reacties die ik her en der lees, zijn allemaal in de trant van “dom bedrijf, hadden ze dat lek maar moeten fiksen”. Zeker nu bekend is dat het lek al een jaar open ligt. Maar ligt dat nu aan mij of is dit gewoon crimineel?

Als je zo’n fout ontdekt en het dan meldt, dan ben je keurig bezig. Wil je het een keertje testen om zeker te weten dat die fout er (nog) in zit, nou vooruit. Maar voor 30.000 euro aan pizza’s bestellen, dat heeft toch niets meer met white-hat hacken te maken? Dat is gewoon profiteren van een domme fout.

Ik begrijp dit echt niet. Stel de supermarkt laat een prijstang onbeheerd liggen in het schap. Dan zullen er heus mensen proberen om wat goedkope prijsjes op dure producten te plakken en die te gaan afrekenen? Maar het lijkt me evident dat dat gewoon oplichting is. Waarom zou het voor hidden input fields anders zijn dan voor prijsstickers?

(Overigens heb ik nul komma nul sympathie voor directeur Laurens Groenendijk van Just-Eat die meende laatdunkend te moeten spreken van “slimste jongetjes van de klas”, terwijl het een fout die ie zelf een jaar lang heeft laten liggen. Ik hoop dat z’n rechtsbijstandsverzekeraar niet uitkeert.)

Arnoud

En dat gebeurt nog in mijn woonplaats ook. De Eindhovense politie heeft beelden geweigerd die een echtpaar had gemaakt van een inbraak in hun auto, omdat de beelden “onrechtmatig verkregen” zouden zijn. Uit het Eindhovens Dagblad:

Een woordvoerder van de politie benadrukt dat die, gelet op de Wet Bescherming Persoonsgegevens, inderdaad niets kan met het bewijsmateriaal. ” De videocamera is gericht op openbaar terrein en de beelden zijn daardoor onrechtmatig verkregen. Juridisch gezien kun je er niets mee. Een burger mag zijn eigen huis beschermen met camera’s zolang die op privéterrein gericht zijn. Cameratoezicht instellen op openbaar terrein is voorbehouden aan de burgemeester.”

Dat mag dan allemaal wel zo zijn, maar dat neemt niet weg dat de beelden gewoon bruikbaar zijn als bewijs. Het is vaste jurisprudentie van de Hoge Raad dat “onrechtmatig” bewijs dat burgers op eigen initiatief verzamelen, gewoon gebruikt kan worden. Alleen bewijs dat de politie zelf in strijd met de wet verzamelt, moet buiten de rechtszaal blijven.

Overigens is het absoluut niet gezegd dat het filmen van de openbare weg dus een privacyschending is. In april blogde ik over cameratoezicht door de buren, waar ik het gerechtshof Leeuwarden aanhaalde dat filmen van de eigen auto niet in strijd met de privacywetgeving achtte.

Het klinkt nogal als “we hebben geen zin om er iets aan te doen” als ik zo vrij mag zijn. Of zie ik ergens een wetje over het hoofd?

Arnoud

Een lezer mailde me:

Wie is eigenaar van een zakelijke mailbox wanneer de werknemer ontslag neemt of komt te overlijden. Kunnen nabestaanden de inhoud claimen? Mogen wij als bedrijf daarin kijken? Wat moet je doen met mail die na vertrek of overlijden nog binnenkomt?

Dit is een lastige situatie. In oktober 2007 blogde ik over een artikel van advocate Eva Visser over de contractuele situatie als de eigenaar van een e-mailaccount komt te overlijden. Waarschijnlijk kun je dan als erfgenaam aanspraak maken op voortzetting van het contract, zodat je de toegang tot de mailbox kunt eisen.

Hier ligt het iets anders: het gaat om een zakelijke mailbox, en er is dus geen contract dat je als erfgenaam zou kunnen overnemen. (Een arbeidscontract eindigt automatisch bij overlijden van de werknemer.) Toegang eisen tot privémails uit deze mailbox lijkt me dus iets moeilijker. Ik denk dat je hier eigenlijk alleen op de coulance van het bedrijf kunt gooien.

Een ander punt is wat collega’s mogen doen met die mailbox. Er komen tenslotte zakelijke mails op binnen en het bedrijf moet nu eenmaal verder. Ik adviseer bedrijven altijd dat je dan wel in de mailbox mag kijken, maar dat je wel heel zorgvuldig moet zijn met wat je aantreft. De collega die erin kijkt moet met andere woorden strikt vertrouwelijk omgaan met wat hij in de mailbox aantreft, en het liefst alles weggooien wat niet zakelijk relevant is.

Ik moet nog steeds een lijstje maken met accounts, wachtwoorden en wie te contacteren als ik kom te overlijden. Jullie ongetwijfeld ook. Maar waar begin je met zoiets? En wil je wel dat bv. je ouders in al je mailboxen kunnen om je vrienden te mailen dat je dood bent? Want dan lezen ze wellicht ook mails die ouders niet zouden moeten lezen.

Arnoud

Dat heb ik me ook al jaren afgevraagd: waarom worden wachtwoorden op websites altijd als bolletjes of sterretjes getoond? Jakob Nielsen heeft er nu onderzoek naar gedaan, en wat blijkt:

Usability suffers when users type in passwords and the only feedback they get is a row of bullets. Typically, masking passwords doesn’t even increase security, but it does cost you business due to login failures.

Het idee achter die sterretjes is dat iemand die op je scherm meekijkt, niet kan meelezen wat je wachtwoord is. Maar hoe vaak komt dat tegenwoordig nog voor? De meeste wachtwoorden worden vandaag de dag gestolen met Trojans en phishingsites, en die kijken gewoon naar wat je intypt en niet naar wat er op het scherm komt te staan. Dus aan de veiligheid draagt het niets bij.

Nielsen doelt met die “login failures” op mensen die niet kunnen zien wat ze intypen en dus vaker fouten maken met hun wachtwoord. Ik vraag me af of dat nog steeds een probleem is. Wie gebruikt er geen password-manager voor websitewachtwoorden?

Overigens: degenen die mijn blog er ouderwets uit vinden zien, kunnen maar beter niet Nielsen’s site bekijken.

Arnoud

Een lezer mailde me:

Onlangs kocht ik een tweedehands PC in een computerzaak. Omdat ik had gehoord dat daar vaak nog persoonlijke gegevens op staan, dacht ik, ik laat eens wat recovery software los. En ja hoor, stapels privemails, persoonlijke bestanden en zelfs een complete belastingaangifte! Ik heb het gelijk gewist (met speciale software die alle sectoren drie keer overschrijft) maar vroeg me nu wel af of ik strafbaar gehandeld heb.

Op tweedehands laptops of harde schijven blijkt steeds vaker data achter te blijven. Security.nl heeft in maart twee studenten onderzoek laten doen. Zij vonden allerlei persoonlijke informatie, zoals incasso machtigingen, medische gegevens, belastingdocumenten, bedrijfsinformatie, C.V.’s, een dagboek, sollicitatiebrieven, inkooporders, faxen, e-mails, porno en veel privé-foto’s en filmpjes. In een ander geval werd zelfs de handleiding voor een SCUD-raket aangetroffen op een tweedehands harde schijf.

De tweedehands computer is van jou, dus die mag je binnenstebuiten keren, onderzoeken en leegpluizen op elke manier die je goeddunkt. Het is dus niet strafbaar om te kijken of er nog data van de vorige eigenaar is achtergebleven.

Wat wel strafbaar kan zijn, is het publiceren of gebruiken van die data. Je schendt dan vaak iemands privacy, omdat je moet weten dat die data privé is en niet voor publicatie bestemd. (En dan heb ik het nog niet eens over opzettelijk misbruik zoals de vorige eigenaar chanteren of bedreigen.)

Natuurlijk kan het -zoals bij dat Security.nl-onderzoek- journalistiek relevant zijn om te melden dat je zulke data gevonden hebt. Maar het lijkt me niet dat je daarbij ook de materialen zelf moet laten zien. Wat voegt dat toe boven de mededeling dat je die data gezien hebt?

Arnoud