Internetrecht door Arnoud Engelfriet

Een lezer vroeg me:

Ons bedrijf gaat buiten camera’s ophangen omdat er regelmatig dingen gestolen worden uit de auto’s op het parkeerterrein. Er worden netjes borden opgehangen, maar er is nu discussie over hoe lang de beelden bewaard mogen worden. Ik had gehoord dat dat maar drie dagen mag zijn, maar collega’s hebben het over een week, 24 uur of zelfs drie maanden. Welke termijn geldt er nu?

De wet noemt geen expliciete termijn voor het bewaren van camerabeelden. Camerabeelden zijn persoonsgegevens, en het maken van camerabeelden valt dus onder de Wet Bescherming Persoonsgegevens. Artikel 10 lid 1 bepaalt dat je persoonsgegevens (en dus camerabeelden) niet langer … dan noodzakelijk” mag bewaren voor de doelen waarvoor je ze verzamelt.

Je mag dus op zich de beelden zo lang bewaren als je zelf nodig acht, mits je maar kunt uitleggen waarom die termijn absoluut noodzakelijk is. Zoek je bijvoorbeeld bewijs van stelselmatig gedrag dat alleen op zondag plaatsvindt (diefstal uit auto’s bij een kerk bijvoorbeeld), dan zul je beelden van meerdere zondagen moeten bewaren om ze te kunnen vergelijken.

Er is één plek waar een termijn wordt genoemd. De vrijstelling voor videocameratoezicht bepaalt dat

De persoonsgegevens moeten uiterlijk 24 uur nadat de opnamen zijn gemaakt, of na -afhandeling van de incidenten, worden verwijderd.

Dit betekent dus niet dat het verboden is beelden langer dan 24 uur te bewaren. Het betekent alleen dat je geen beroep op de vrijstelling kunt doen. Moet je beelden dus langer dan 24 uur bewaren, dan zul je een melding moeten doen bij het CBP van je videocamerabewakingssysteem, en daarbij moeten vertellen hoe lang je de beelden dan wel bewaart.

24 uur lijkt me trouwens wel heel erg kort, ik kan me niet voorstellen dat in de praktijk bedrijven echt elke dag de opnames bekijken. Het zou een goede zaak zijn als deze termijn naar een week wordt opgerekt, al was het maar omdat je dan legaal verklaart wat iedereen toch al doet.

Arnoud

Het publiceren van naaktfoto’s op internet is op zichzelf genomen geen belediging. Dat blijkt uit een arrest van het Hof Leeuwarden van vorige week. De zaak was het hoger beroep in de Manon-Thomaszaak van vorig jaar april, waarin de verspreiding van foto’s en filmpje van de presentatrice naast auteursrechtenschending ook een belediging jegens haar werd genoemd. De veroordeling vanwege de auteursrechten blijft in stand.

De insteek “belediging” bij de rechtbank was gebaseerd op het idee dat publicatie van naaktfoto’s een inbreuk opleveren op het grondrecht van onaantastbaarheid van het lichaam. Die inbreuk is een “aantasting van de eer en goede naam”. Diezelfde redenering werd gehanteerd in een smaadzaak uit 2008 waarbij verspreiding van naaktfoto’s via filesharing als smaadschrift werd gezien. Ook daar was het enkele feit dat het naaktfoto’s waren, genoeg om van smaad te kunnen spreken.

Het Hof acht hier de context juist van wezenlijk belang:

Het plaatsen van een (privé)filmpje waarop een persoon naakt te zien is, is als zodanig en op zichzelf niet te beschouwen als het beledigen bij afbeelding.

Goed, het gaat om belediging en niet om smaad maar de achterliggende gedachte is dezelfde. Uit de context moet blijken dat je de bedoeling had om iemands eer en goede naam aan te tasten. Dat blijkt niet uit het enkele feit dat je een naaktfoto online zet. (Ik kan geen legitieme andere reden bedenken om zonder overleg een naaktfoto online te zetten, maar goed.)

De schending van de auteursrechten blijft grond om de verdachte te veroordelen. Wel wordt de oorspronkelijke veroordeling wat genuanceerd. De foto’s waren namelijk in eerste instantie alleen gepubliceerd in gedeelde mappen op MSN van zes contactpersonen. Dat is volgens het Hof geen openbaarmaking in de zin van de Auteurswet. Het publiceren op Youtube is dat natuurlijk wel.

Naast auteursrecht werd ook nog het portretrecht opgevoerd: het openbaar maken van een portret zonder daartoe gerechtigd zijn is namelijk ook een strafbaar feit (artikel 30 Auteurswet, en ja ik moest dat ook even nazoeken). Opmerkelijk genoeg oordeelt het Hof dat wél sprake is van publicatie van een portret wanneer je die portretfoto in zo’n gedeelde map zet.

Opmerkelijk, maar begrijpelijk, want het Hof vindt schending van de privacy (waar het portretrecht over gaat) belangrijker dan de commerciële belangen van de fotograaf:

Het hof heeft hierbij in aanmerking genomen hetgeen met betrekking tot openbaarmaking in artikel 12 van de Auteurswet is opgenomen en de strekking van de Auteurswet die er op gericht is het commerciële belang van de auteursgerechtigde te beschermen.

[Bij de schending van het portretrecht] spelen niet alleen commerciële belangen een rol maar ook privacy-belangen van de geportretteerde.

De 180 uur werkstraf waartoe hij in eerste instantie werd veroordeeld, wordt verlaagd naar dertig uur. Ook wordt het smartengeld dat de man moet betalen verlaagd van 5.000 naar 3.000 euro. Wel is hij zijn computer kwijt - die is immers gebruikt om het misdrijf “schenden auteursrecht” te begaan.

Arnoud

Een lezer vroeg me:

Op de basisschool van mijn kind wil men voor de jongste groepen permanent enkele camera’s in de klas hangen. Ouders krijgen dan een wachtwoord waarmee ze op elk moment van de dag kunnen inloggen en zien hoe hun kind het doet in de klas. Maar ik wil dit eigenlijk niet, hoe kan ik hier bezwaar tegen maken?

Bij cameratoezicht op het werk geldt de regel dat de ondernemingsraad instemming moet geven. Cameratoezicht valt namelijk onder de Wet Bescherming Persoonsgegevens, en op grond van de Wet op de Ondernemingsraad heeft de OR daar instemmingsrecht voor.

Een sterk vergelijkbare regeling staat er in de Wet medezeggenschap op scholen, artikel 13 sub i:

Het bevoegd gezag van een school … behoeft de voorafgaande instemming van het deel van de medezeggenschapsraad dat uit en door de ouders of de leerlingen is gekozen, voor elk door het bevoegd gezag te nemen besluit met betrekking tot … vaststelling of wijziging van een regeling over het verwerken van en de bescherming van persoonsgegevens van ouders en leerlingen;

Wil een school dus cameratoezicht in de klas invoeren, dan moet ze dat in zo’n regeling (reglement) opnemen en vervolgens de medezeggenschapsraad / ouderraad daarover laten stemmen. Ik vraag me af of er veel scholen zijn die dit een goed idee vinden. Je kinderen in de gaten houden op school lijkt me zowel voor het kind als voor de docent nogal een belasting. Elk foutje dat je maakt, wordt meteen vastgelegd en kan op de ouderavond aan de orde komen.

Een andere aspect is dat zo’n livestream wel goed beveiligd moet worden. Die beelden gaan over internet en zijn alleen bestemd voor ouders. Gewoon een webpagina met een wachtwoord lijkt me zwaar onvoldoende. Op zijn minst zou de videostream zelf beschermd moeten zijn met encryptie, alleen zit je dan weer met het probleem dat veel ouders de benodigde software niet aan de gang zullen kunnen krijgen.

Trouwens, ik krijg dit soort vragen ook wel over kinderdagverblijven. Deze wet geldt alleen niet voor kdv’s, hoewel ze wel vaak ouderraden hebben. Weet iemand of dat gebaseerd is op een wettelijke regel, of zou dat gewoon vrijwillig ingesteld worden?

Arnoud

Het Openbaar Ministerie mag gevorderde bewakingsbeelden van een bewakingscamera van een bank gewoon gebruiken als bewijs in een strafzaak tegen een fietsendief. Dat oordeelde de politierechter Zutphen vorige week. Dat die beelden gevoelige persoonsgegevens over het ras van de verdachte zouden bevatten, was voor de rechter niet relevant.

In mijn blog van de 9e reageerde ik op een arrest van 23 maart waarin de Hoge Raad het gebruik van camerabeelden door het Openbaar Ministerie verbood omdat ze niet op de juiste wijze gevorderd waren. Op camerabeelden zijn namelijk het ras of de afkomst van de gefilmde personen te zien, en daarmee zijn die beelden aan te merken als “bijzondere persoonsgegevens” waarvoor extra zware regels gelden voordat het OM ze mag gebruiken in een strafzaak. Zo moet het gaan om een ernstig misdrijf en moet de rechter-commissaris toestemming hebben gegeven voor de opeising.

De politierechter oordeelt nu dat in gevallen als deze (opvragen beelden uit de openbare ruimte) er géén sprake is van een privacyschending. Beter gezegd: de strenge regels rond het opeisen van bijzondere persoonsgegevens gelden niet voor situaties als deze, omdat

het belang om zich onbespied in de openbare ruimte te begeven, niet het privacy-belang is dat de regeling van artikelen 126nc en verder Sv beoogt te beschermen.

De redenering erachter lijkt te zijn dat de politie niet op zoek was naar gegevens over het ras van de verdachte en dus geen bijzondere persoonsgegevens heeft opgevraagd. In de zaak waar de HR over oordeelde, werd expliciet gevraagd om pasfoto’s en dus ook om informatie over het ras/afkomst van de betrokken personen:

De vordering strekte er dan ook toe om tegelijk met een persoon identificerende gegevens, ook gevoelige gegevens, zoals uit een foto blijkende informatie omtrent huidskleur van de betrokken reizigers, te verkrijgen.

Ik heb echter grote moeite om deze redenering te volgen. Gaat het er nu om dat je een pasfoto opvraagt in plaats van een overzichtsbeeld? Of dat je moet weten dat op pasfoto’s het ras goed zichtbaar is? In beide gevallen heeft de politie niet gevraagd om te weten wat het ras van de gefotografeerde of gefilmde personen is, maar in beide gevallen is het wel inherent aan het opvragen van beelden dat je dat te weten komt.

Op zich ben ik het 100% eens met de stelling dat de regels over persoonsgegevens over ras en afkomst niet bedoeld waren om te voorkomen dat mensen gefilmd worden door bewakingscamera’s, maar ze lezen er wel op. Er is dus m.i. geen ruimte meer voor een belangenafweging of de privacyschending te verwaarlozen is of slechts als “bijvangst” (bijkomstige schade?) gezien man worden. Een hoger beroep zou dus zeker kansrijk zijn.

Het blijft een bijzonder onbevredigende situatie. Ik zie alleen nog steeds geen oplossing. De redenering “de wet is hier niet voor bedoeld dus die laat ik buiten beschouwing” is me te makkelijk, en geeft bovendien te veel ruimte voor willekeur. Dat moeten we niet hebben, zeker niet in het strafrecht.

Oh en @Matthijs: ik erger me al heel lang aan de toepasselijkheid van de kaartenbakwet op beelden.

Arnoud

Cameratoezicht is ondertussen onvermijdelijk. En bij enkel gefilmd worden blijft het niet: steeds meer camera’s krijgen automatische-gezichtsherkenningssoftware zodat ook nog eens bijgehouden kan worden waar je allemaal heen gaat. maar daar heeft Adam Harvey, onderzoeker bij NYU’s Interactive Telecommunications Program, nu een oplossing (via) voor gevonden: hij heeft de algoritmes gereverse-engineerd waarmee gezichtsherkenning werkt, en vervolgens patronen ontwikkeld die die algoritmes verstoren. De voorbeeldpatronen, onderdeel van zijn scriptie, laten enkele mooie voorbeelden zien.

Gezichtsherkenning werkt aan de hand van patroonherkenning. Een roze ellipsvormig ding waarbinnen een roodachtig langwerpig item en twee wittige objecten daarboven zal wel een gezicht zijn. Een bekende techniek, in vrijwel alle camera’s met gezichtsherkenning gebruikt, is gebaseerd op de Viola-Jones techniek. Deze deelt een afbeelding op in blokjes en probeert elk blokje te classificeren als bv. “oog” of “mond” of “wenkbrauw”. Met voldoende herkende (geclassificeerde) blokjes kan een gezicht worden herkend. Deze make-up verstoort die herkenning, zo bleek uit het onderzoek van Harvey.

Ben benieuwd of ik met zulke make-up het casino in kom.

Arnoud

Een denial-of-serviceaanval is strafbaar, maar als je naast je eigenlijke doelwit ook nog eens andere websites onderuit schoffelt, wordt dat gezien als een aanval op de telecommunicatie-infrastructuur. Dat blijkt uit een vonnis van de rechtbank Rotterdam dat gisteren verscheen. De verdachte kreeg vijftien maanden cel, waarvan vijf voorwaardelijk, voor het platleggen van twee Nederlandse sites, www.turkishplace.nl en www.turkplace.nl, in 2009. Die aanvallen waren zo groot dat ook andere klanten van de hostingproviders daar last van ondervonden. Hierdoor kon de rechter een zwaarder artikel uit de kast halen: het veroorzaken van “gemeen gevaar voor goederen of voor de verlening van diensten”, waar tot zes jaar cel op staat.

Uit het vonnis blijkt dat de aanvallen werden ondernomen “omdat hij het niet eens was met de wijze waarop hij door de eigenaren van deze websites werd bejegend.” Nu.nl meldt dat hij stoorde zich aan de inhoud van de Turkse sites, wat niet helemaal hetzelfde is maar het was in ieder geval een flinke forumruzie.

De aanvallen waren zo zwaar dat de (toch relatief grote) providers er grote last van hadden. En daarvoor hebben we artikel 161sexies Strafrecht over het verstoren van de werking van de telecommunicatieinfrastructuur.

De providers [provider 2] en [provider 1] faciliteren het internetverkeer van ruim 50.000 klanten. De infrastructuur van deze providers kan derhalve worden gezien als een vitale infrastructuur. Het is een feit van algemene bekendheid dat het uitvoeren van een (d)dos aanval op een dergelijke vitale infrastructuur vergaande financieel-economische schade tot gevolg kan hebben en een groot aantal klanten kan treffen dat van de diensten van voornoemde providers gebruik maakt. Het is niet voorstelbaar dat de verdachte, gezien zijn kennis en expertise op computergebied, niet heeft onderkend dat de door hem uitgevoerde (d)dos aanvallen gemeen gevaar voor de verlening van diensten teweeg konden brengen.

Tot eenzelfde conclusie kwam de rechtbank in de DoS-kabouterzaak uit 2005.

Naast de denial-of-serviceaanval had de verdachte via een SQL-injectie-exploit logingegevens achterhaald, waarna hij hij een lijst met 1.000 creditcardgegevens had weten te verkrijgen. Dit wordt gezien als overdragen van gegevens “die door wederrechtelijk afluisteren, aftappen of opnemen van een gesprek, telecommunicatie of andere gegevensoverdracht of andere gegevensverwerking” (art. 139e Strafrecht) zijn verkregen. Het vonnis heeft het over binnenkomen in de “live help” middels een SQL-injectie, wat zomaar deze attack zou kunnen zijn.

Het is me niet duidelijk of die lijst van dezelfde server kwam als waar hij was binnengedrongen. Ik vermoed dat daarom niet is gekozen voor 138a lid 2 Strafrecht, dat een strafverzwaring biedt als je na computervredebreuk gegevens ontvreemdt van het systeem waar je op binnengedrongen bent. Hoewel hij voor het overnemen van gegevens uit de systemen van Fok! weer wel voor overtreding van dit lid 2 wordt veroordeeld.

Eén van die creditcards had de verdachte volgens eigen zeggen gebruikt om een PlayStation mee te kopen. Daar wordt hij echter niet voor veroordeeld, omdat een enkele bekentenis niet genoeg is voor een veroordeling. En dat is wat anders dan “de politie heeft het bewijs niet wettig in handen gekregen” in het Nu.nl artikel.

Wat mij betreft een prima vonnis, waar men toch vrij snel mee is gekomen gezien de technische complexiteit. Een pluimpje voor het Team High Tech Crime lijkt me op zijn plaats dus.

(Ik was trouwens even verrast toen ik op Nu.nl las welke sites het waren, gezien de tijd en de aard van de aanvallen dacht ik dat het de aanvallers op Geenstijl/Dumpert/Spitsnieuws/Tweakers/Fok waren. Ook daar was rond die tijd een zware DoS aanval gaande en werd een SQL database gehackt. Weet iemand wat daarvan terechtgekomen is eigenlijk?)

Arnoud

Straatrovers, inbrekers en zakkenrollers dreigen vrijuit te gaan indien in hun strafzaak gebruik wordt gemaakt van beelden van bewakingscamera’s, las ik bij Security management. Men baseert zich op een artikel in De Telegraaf waarin wordt gemeld dat camerabeelden niet zomaar door justitie kunnen worden opgeëist als bewijs, omdat het ’gevoelige informatie’ kan bevatten over iemands ras. Dat zou de Hoge Raad geoordeeld hebben.

Het was even spitten, maar ik vond een arrest van 23 maart waarin de offficier van justitie persoonsgegevens had gevorderd (naam, adres, postcode, woonplaats en eventuele foto) van de gebruikers van kaarthouders van een OV-chipkaart die in een bepaalde tijdsperiode op bepaalde metrostations hadden in- en uitgecheckt. Dit op grond van artikelen 126nd en 126nf Strafvordering, dat expliciet zegt dat foto’s en andere van deze gevoelige persoonsgegevens wel mogen worden gevorderd, maar alleen:

1. in geval van verdenking van een ernstig misdrijf waar (kort gezegd) minstens 4 jaar cel op staat, en
2. na voorafgaande schriftelijke machtiging, op vordering van de officier van justitie te verlenen door de rechter-commissaris.

Omdat die machtiging er niet was, oordeelde de Hoge Raad dat de pasfoto’s van de ovchipkaarthouders niet mochten worden afgegeven. Zij verwerpt daarbij het standpunt dat artikel 126nf alleen zou gelden als de officier de intentie zou hebben het ras van de mensen op de foto te willen weten. Ook als ‘bijvangst’ mag een officier geen gegevens over ras of etnische afkomst opvragen zonder machtiging van de rechter-commissaris.

Hiermee is er dus een grond om tegen elk gebruik van opgeëiste camerabeelden te ageren: er is geen machtiging voor gevraagd. Bovendien zal lang niet bij elke beroving of inbraak sprake zijn van een misdrijf dat een “ernstige inbreuk op de rechtsorde” oplevert, zodat die machtiging niet altijd gegeven zal worden.

Het lijkt me niet echt een wenselijke uitkomst, want het doorkruist compleet het mogen opvragen van camerabeelden. Maar ik zie niet 1-2-3 een antwoord hierop.

Update: in dit arrest vindt Gerechtshof Arnhem juist dat

Het gaat immers om beelden die (anders dan in het geval van de Hoge Raad) niet aan [bank] waren toevertrouwd, maar om een opname van een beveiligingscamera waarvan de aanwezigheid op allerlei plekken in de publieke ruimte en in het bijzonder bij pinautomaten van algemene bekendheid is. Om meer of anders dan een foto- of videoregistratie van de (bij een duidelijke opname voor het bewijs bruikbare) fysionomie van degene die voor een bepaalde geldtransactie van de pinautomaat in kwestie gebruik heeft gemaakt, gaat het hier niet. Van een (aan de beelden of de opnamen daarvan) voorafgegane verwerking van gevoelige persoonsgegevens als bedoeld in artikel 16 Wet bescherming persoonsgegevens, is bij deze registratie geen sprake geweest. Het verbod van artikel 18 van de wet doet zich (daarom) evenmin gelden. Het beeldmateriaal in kwestie kon daarom op de voet van artikel 126nd/ud van het Wetboek van Strafvordering worden gevorderd en kan en mag om die reden voor het bewijs worden gebruikt en het hof doet dat.

Arnoud

Ja, daar stond ik even van te kijken. Ik heb op diverse plekken rondgetoeterd dat het niet duidelijk is of skimmen strafbaar is. Dit vanuit de gedachte dat er pas sprake is van oplichting als er werkelijk iets wordt gekocht met een nagemaakte kaart. Maar een lezer wees me op diverse vonnissen, zoals bv. rechtbank Zwolle en eerder rechtbank Breda, waarin het wel degelijk strafbaar werd geacht om skimapparatuur voorhanden te hebben en te proberen deze op pinautomaten te installeren.

In de wet staat namelijk een apart artikel dat gewoon het namaken van een betaalpas verbiedt (art. 232 lid 1 Strafrecht):

Hij die opzettelijk een betaalpas, waardekaart, enige andere voor het publiek beschikbare kaart of een voor het publiek beschikbare drager van identiteitsgegevens, bestemd voor het verrichten of verkrijgen van betalingen of andere prestaties langs geautomatiseerde weg, valselijk opmaakt of vervalst, met het oogmerk zichzelf of een ander te bevoordelen, wordt gestraft met gevangenisstraf van ten hoogste zes jaren of geldboete van de vijfde categorie.

Er hoeft dus geen sprake te zijn van daadwerkelijk ‘bevoordelen’ of daadwerkelijk zaken kopen of rekeningen plunderen. Zolang dat oogmerk er maar is, ben je al strafbaar. Wie legitiem onderzoek doet naar kwetsbaarheden in betaalkaarten hoeft zich dus geen zorgen te maken, want zo’n onderzoeker heeft niet het oogmerk zich te ‘bevoordelen’ (wetenschappelijke roem is geen ‘voordeel’ in de zin van de strafwet).

Nu waren er in de aangehaalde zaken nog geen betaalpassen nagemaakt. Het ging zuiver om het skimmen: het aanbrengen van apparatuur waarmee de gegevens konden worden gekopieerd die nodig zijn om betaalkaarten na te maken. Daar is geen expliciet artikel voor, maar we hebben wel de algemene regel van “poging tot” in het strafrecht. Zoals dat zo mooi heet: “wanneer het voornemen van de dader zich door een begin van uitvoering heeft geopenbaard” ben je al strafbaar als pleger van een poging tot een misdrijf.

Is het ophangen van een skiminstallatie een poging tot vervalsen van een betaalpas? Ja, zegt de rechtbank Breda:

Het plaatsen van een camera op een pinautomaat, waarmee de pincodes van de ingevoerde passen kunnen worden opgenomen, kan echter volgens de rechtbank niet anders worden uitgelegd dan te zijn gericht op de voltooiing van het misdrijf skimmen. … De pincode is bedoeld om te voorkomen dat onbevoegden betalingen doen langs geautomatiseerde weg ten laste van bevoegde gebruikers. Het kopiëren van de pincodes is een wezenlijk onderdeel van skimmen. Derhalve is het plaatsen van een camerabalk op zichzelf al een begin van uitvoering van het misdrijf skimmen.

Ook de rechtbank Zwolle redeneert op die manier. In die zaak werd nog geschermd dat de verdachte zelf niet de kennis had om de passen te maken, zodat het onmogelijk voor hem zou zijn om het misdrijf te plegen. Maar nee:

De omstandigheid dat verdachte mogelijk niet over de apparatuur en kennis beschikt om zelf de volgende stap in het valselijk opmaken van de bankpassen te kunnen zetten, wat daar verder ook van zij, doet aan het oordeel van de rechtbank niets af. Blijkens de verklaring van verdachte worden deze volgende stappen immers door anderen in de organisatie uitgevoerd. Aangezien verdachte het medeplegen van dit feit wordt verweten, is het niet vereist dat verdachte zelf ook tot het daadwerkelijk valselijk opmaken van bankpassen in staat zou zijn.

‘Medeplegen’ wil zoveel zeggen als samenwerken met een ander om zo in vereniging het misdrijf te plegen. Je bent allebei evenveel dader, zeg maar. Dit is strenger dan “medeplichtig”, waarbij je alleen maar gelegenheid, hulpmiddelen of assistentie hoeft te hebben geleverd.

Beiden rechtbanken leggen een gevangenisstraf op: in Breda 21 maanden, in Zwolle 6 maanden. Wat precies het verschil verklaart, kan ik zo niet vinden. Misschien omdat in Breda er meer apparaten geïnstalleerd waren.

Arnoud
Foto: Paul Wiegmans.

Een lezer vroeg me:

Ik heb aan de achterkant van mijn huis een PTZ (pan/tilt/zoom, beweegbare) camera opgehangen na een aantal inbraken in de buurt. [Arnoud: zie het plaatje] Deze kan door middel van sensoren (ook op eigen grond) worden bestuurd en inzoomen. Het opnameapparaat is zo geprogrammeerd dat hij alleen filmt wat er op eigen grond gebeurt, maar toch klagen mijn buren nu dat ik in hun tuin zou kunnen filmen (de camera hangt vijf meter hoog). Zij eisen dat de camera eraf moet wegens privacyschending. Wat moet ik doen?

Camerabewaking op privéterrein is in beginsel toegestaan, maar “filmen van de buren” niet. Je moet er dus voor zorgen dat de buren inderdaad niet in beeld komen.

Nu is dat softwarematig doorgevoerd, maar met het soort camera dat je op het plaatje ziet is dat voor de buren natuurlijk niet na te gaan. Technisch gezien kan het ding van links tot rechts alles filmen.

De oplossing lijkt me simpel: een metalen plaatje ernaast of een stuk zwart plakband op de glazen bol. Dan is het fysiek onmogelijk dat de camera de buurman filmt, en dan zie ik juridisch gezien het probleem niet meer.

Wel moet er natuurlijk nog een bordje bij bij voordeur en achterpoort.

Arnoud

De afscherming van online archieven blijkt makkelijk te omzeilen, meldde Webwereld gisteren. Dit geldt voor bijvoorbeeld het Haags Gemeentearchief, maar ook voor de Financial Times en Elsevier. Zoekmachine-expert Henk van Ess ontdekte het lek en publiceerde de truc in een aantal filmpjes. De trucs blijken simpel:

Zo is met een bookmark-truc het online-ontoegankelijke deel van het Haagse Gemeentearchief toch gewoon in te zien. Voor het maximum van zes leesbare artikelen bij opinieweekblad Elsevier is het nog eenvoudiger. Het uitschakelen van JavaScript volstaat om meer artikelen te kunnen zien.

U voelt ‘m al aankomen: mag dat eigenlijk wel, zo’n beveiliging kraken en uitleggen hoe dat kan? Het gaat immers om beveiligingen wegens auteursrechten, en artikel 29a Auteurswet zegt dat het omzeilen van “doeltreffende technische voorzieningen” onrechtmatig is.

Bij de Elsevier-truc heb ik daar geen twijfel over: ja, dat mag. Het aan- of uitschakelen van Javascript is een doodnormale handeling. Ik kan dat moeilijk als omzeilen van een beveiliging zien. Ok, als je het doet specifiek om de Elsevier-’beveiliging’ te omzeilen wordt het misschien iets anders, maar dan zou ik graag dat woord “doeltreffend” eens willen benadrukken in artikel 29a.

Er is bij de invoering van dit wetsartikel niet heel uitgebreid ingegaan op wanneer een beveiliging nu “doeltreffend” is. De minister liet het bij de opmerking dat het “uiteindelijk aan de rechter” is om dit te toetsen. Het proefschrift van Kamiel Koelman over auteursrecht en technische voorzieningen (PDF, 1,5MB, pagina 88 e.v.) gaat er iets dieper op in maar begint al meteen met “Het is echter onduidelijk wat ermee wordt bedoeld”.

Het verdrag waar de bepaling uit komt, eist dat de beveiliging “de beoogde bescherming bereikt”. Een cirkelredenering natuurlijk: een beveiliging is doeltreffend als hij beveiligt. Maar uit de literatuur blijkt dat als het doorbreken “geen bijzondere inspanning vergt” of als de ‘beveiliging’ slechts een “signalerend of waarschuwend effect” produceert, er geen sprake kan zijn van doorbreken.

In 2007 oordeelde een Finse rechter als eerste (en tot dusverre als enige) over het kraken van zo’n beveiliging. Uit het door Ars Technica vertaalde vonnis:

[S]ince a Norwegian hacker succeeded in circumventing CSS protection used in DVDs in 1999, end-users have been able to get with easy tens of similar circumventing software from the Internet even free of charge,” wrote the court. “Some operating systems come with this kind of software pre-installed…. CSS protection can no longer be held ‘effective’ as defined in law

Oftewel, als de kraak wijd en zijd bekend is en zelfs gewoon standaard met Linux meekomt, dan kan niet langer sprake zijn van het doorbreken van een ‘doeltreffende’ voorziening. Ik zou zeggen: deze ‘kraak’ is evenzo gebaseerd op standaardfunctionaliteit van webbrowsers en kan dus met de beste wil van de wereld niet onrechtmatig zijn.

In het filmpje over toegang tot het Haagse Gemeentearchief wordt aan de bookmark een code toegevoegd die links naar afbeeldingen herschrijft. Henk legt niet uit hoe dat werkt maar ik vermoed dat het een dieplink is naar de afbeeldingen die dus zelf niet beveiligd zijn. Dit is een bekende dommigheid: men beveiligt wel de webpagina waar de afbeelding op moet verschijnen maar niet de afbeelding zelf.

De redenering lijkt me dezelfde. Je kunt zelfs zeggen dat er geen beveiliging wordt doorbroken omdat de afbeeldingen zelf onbeveiligd online staan. Wie de URL weet van zo’n afbeelding, kan deze intypen en het plaatje zien. Hoe is dat onrechtmatig?

Arnoud