Internetrecht door Arnoud Engelfriet

Diverse lezers wezen me op dit GeenStijlbericht over een gestolen laptop die de politie niet wilde terughalen. Op de bekende tendentieuze, ongefundeerde en nodeloos kwetsende wijze werd daar melding gemaakt van een poepdure hipstermachine die in 020-Gaza beneden zijn stand weg stond te kwijnen in het onrechtmatige bezit van werkschuw steeltuig. En de pliesie zat achterover want ja die wetgeving mevrouwtje, terwijl de Find My Mac gewoon zegt waar ie staat.

De ophef is in dit geval een tikje onterecht: de locatie die Find My Mac aangeeft, is een flatgebouw en preciezer dan dat is het niet te krijgen. Dus wat móet je dan als politie, de hele flat gaan doorzoeken?

Maar stel, de locatie zou wel precies genoeg zijn. De laptop werd gestolen ergens op het platteland, en de GPS-coördinaten zijn nauwkeurig genoeg om die ene boerderij eruit te pikken die zich tussen de akkers bevindt. Is dat dan bewijs genoeg voor een doorzoeking?

De wet eist een redelijk vermoeden van schuld, en het is de (onafhankelijke) rechter-commissaris die bepaalt of dat vermoeden genoeg onderbouwd is om een doorzoeking van een woning te rechtvaardigen. De afweging komt volgens mij neer op de vraag hoe betrouwbaar die Find My Mac-informatie is. En dan kom je gelijk bij de vraag, hoe weten we dat het wáár is, wat daar staat? Dat dat echt een gestolen laptop is en dat die zich daar bevindt.

Ook een complicatie kan zijn dat de laptop ondertussen doorverkocht is, waarbij de huidige bezitter geheel legaal eigenaar is geworden. Dat is namelijk een kronkel in onze wet: wie te goeder trouw een goed verwerft, wordt daar soms eigenaar van ook als deze eerder gestolen was. Er zijn wel mogelijkheden om als eigenaar je spullen terug te krijgen, maar triviaal zijn die niet. En wat daar met name steekt, is dat meestal de rechter daarover moet beslissen en dat kan rustig een jaar (of meer) duren.

Stel je fiets wordt gestolen en later zie je iemand daarop fietsen. Dan mag je die iemand aanhouden en overdragen aan de politie. Je mag alleen niet de fiets terughalen, want in de tussentijd is hij juridisch bezitter daarvan geworden. En dan is hij rechthebbende (art. 3:119 BW) tenzij jij kunt bewijzen dat het jouw fiets is. Dat zal niet meevallen zo midden op straat. Dus dan gaat de fiets mee naar de politie (als bewijs).

Bij een laptop zou je kunnen zeggen, ik weet het wachtwoord en mijn naam en foto staan bij het account. Dat zou ik wel eens uitgeprobeerd willen zien bij oom agent.

Arnoud

Media Markt heeft in vijf vestigingen in Nederland personeelsleden met geheime camera’s gefilmd, las ik bij z24. Een ‘mystery shopper’ met verborgen camera filmde zijn interactie met het personeel, en achteraf werden werknemers hiermee geconfronteerd. In het artikel verdedigt de Media Markt zich met het argument dat men de beelden alleen voor “interne trainingsdoeleinden” zou inzetten, wat net zoiets is als een verbeterde gebruikservaring of zorgvuldig geselecteerde derden: klinkt goed, het zegt alleen niets. Wanneer mag je nu je personeel filmen?

Er zijn twee wetten die een rol spelen bij cameratoezicht: de strafwet en de Wet bescherming persoonsgegevens. Die laatste speelt een rol zodra je beelden opslaat op een manier dat je er eenvoudig in kunt zoeken, meestal bij digitale opslag omdat er dan timecodes en zo aan vast zitten. Als je alleen live meekijkt (een deurbelcamera bijvoorbeeld) is er geen sprake van een verwerking. En ja, camerabeelden zijn persoonsgegevens want je kunt er kenmerken van mensen op zien. Bijzondere persoonsgegevens zelfs.

Met de strafwet zijn we snel klaar. Een aangebrachte camera die de openbare ruimte filmt, mag mits er duidelijk voor is gewaarschuwd. Een camera die een besloten ruimte filmt, vereist een waarschuwing én een belangenafweging. Ook bij niet-aangebrachte camera’s, dus ja als je op een verjaardag met de handycam gaat zwaaien dan moet je dat even aankondigen.

Volgens het College Bescherming Persoonsgegevens (Cbp) mag een personeelslid alleen worden gefilmd als er een vermoeden is van fraude of diefstal, staat er in het artikel. Dat is nou ook weer wat streng geformuleerd. De nieuwslezers van RTL worden echt niet gefilmd omdat ze verdacht worden van fraude. Wél is het zo dat als je het niet vooraf bekend maakt, je dit moet melden bij het Cbp en die kunnen dan een voorafgaand onderzoek starten om te bepalen of het door de beugel kan.

Hoofdregel bij de Wet bescherming persoonsgegevens is dat je toestemming nodig hebt om iemands persoonsgegevens te verwerken. Dat geldt dus ook voor cameratoezicht. Maar in de meeste gevallen wordt op het werk zonder toestemming gefilmd. Je valt dan terug op de “eigen dringende noodzaak die zwaarder weegt dan de privacy” zoals dat heet. Een belangenafweging. En wat het Cbp hiermee zegt, is dat die afweging eigenlijk altijd neerkomt op dat het niet mag, tenzij bij zo’n vermoeden van fraude of diefstal.

Filmen voor trainingsdoeleinden of evaluatie van iemands performance lijkt me op zich geen probleem, mits het vooraf gemeld is. En hoe heimelijker het gefilm, hoe meer je daarbij zult moeten uitleggen vooraf. De camera-opstelling bij de interne training lijkt me geen probleem, maar zo’n mystery shopper voelt wel iets ernstiger. Hoewel je natuurlijk bij die melding niet hoeft te zeggen “de persoon met de camera is 1.80 lang en heeft rood haar” of zo. Zeggen dát er gemystershopt met camera wordt, zou al genoeg moeten zijn.

Wel denk ik dat de beelden in principe alleen aan de medewerker zelf (en zijn manager en HR) vertoond mogen worden. Ze vertonen in de bioscoop waar al het personeel verplicht moest opdraven, gaat me iets te ver. Dat leidt al snel tot voor gek staan. En ik denk dat dáár dan ook de ophef vandaan komt. Als de mysteryshopper alleen had gefilmd bij wijze van ondersteunend bewijs, en ze waren alleen vertoond als de medewerker de gang van zaken zou betwisten, dan zie ik het probleem niet.

Arnoud

Een lezer vroeg me:

Op mijn site wil ik een contactformulier toevoegen. Nu las ik dat je dan verplicht een SSL-verbinding (https) toe te passen, dat is nogal een dure grap voor mij. En toen zag ik dat jij op je blog geen SSL-verbinding hanteert, niet bij je contactformulier en niet bij het plaatsen van reacties. Dus mag ik dan concluderen dat het niet hoeft?

Met een contactformulier sturen mensen persoonsgegevens in. De wet eist dat je die persoonsgegevens ‘adequaat’ beveiligt tegen misbruik en ongeautoriseerde toegang. Een SSL-beveiliging is de meest voor de hand liggende en simpelste manier om dit te doen, vandaar dat vrijwel iedereen dat middel toepast bij bestel- en contactformulieren.

De wet zegt echter nergens létterlijk dat SSL-beveiliging verplicht is. Sterker nog de wet bepaalt eigenlijk nergens überhaupt letterlijk welke maatregelen genomen moeten worden. Je moet als beheerder/exploitant van een site zelf bepalen welke maatregelen gepast zijn gezien de aard van de informatie en het mogelijk misbruik daarvan.

Bij een bestelformulier op een website stuur je allerlei gegevens op waarmee je een juridisch bindende bestelling plaatst, vaak inclusief betaalgegevens (creditcardnummer). Die kunnen worden gesnift en hergebruikt, en dat is wel ernstig genoeg om beveiliging bij het verzenden te vereisen.

Maar bij een blogcommentaarformulier? Oké stel iemand zit in hetzelfde internetcafé als jij, monitort het draadloze netwerk en onderschept je naam en reactie. En dan? Dan kan hij ook reageren op mijn blog. En de reactie te weten komen, drie seconden voordat deze online gaat voor de hele wereld. Nou en?

Het enige stukje echt vertrouwelijke informatie is het e-mailadres, dat ik als beheerder wel zie maar de andere reageerders niet. Tsja. Is de kans op misbruik van dat e-mailadres groot genoeg om een SSL verbinding op dat formulier te rechtvaardigen?

Arnoud

De grootste DDoS-aanval uit de geschiedenis, heet het met enige retoriek. Zelfbenoemd spambestrijder Spamhaus was vijf dagen onbereikbaar door een gigantische hoeveelheid dataverkeer. De reden heeft te maken met het feit dat Spamhaus de hosters Cyberbunker en CB3ROB als spammer of spammersvriend had aangemerkt. Dit omdat deze geen maatregelen nemen als Spamhaus vindt dat hun… Lees verder

Hier krijg ik búitengewoon veel jeuk van. Aanbieders van clouddiensten die niet gevestigd zijn in Europa moeten verplicht en compleet duidelijk maken dat data toegankelijk kan zijn voor geheime diensten en onderworpen aan surveillance door buitenlandse autoriteiten, meldde Webwereld gisteren. NEE. Gewoon NIET. Het wérkt niet, mensen om toestemming vragen nadat je ze een door… Lees verder

Ik heb een paar arresten gemist geloof ik. In NRC Handelsblad van gisteren stond een artikel over de cloud, met daarin de intrigerende opmerking: Ja, Softlayer is een Amerikaans bedrijf, waarvoor Amerikaanse wetten gelden. Maar alleen voor informatie die als eerste in de VS is opgeslagen: „Het Amsterdamse deel is Nederlands. Informatie die hier als… Lees verder

Het College bescherming persoonsgegevens (CBP) heeft een richtsnoer uitgebracht voor de beveiliging van persoonsgegevens, meldde Nu.nl. Het is al jaren een lastige discussie: wat moet je doen qua beveiliging van persoonsgegevens. De wet houdt het bij “adequate” maatregelen, maar dat is inderdaad nogal vaag en multi-interpretabel. En zeker als het gaat om techniek willen mensen… Lees verder

Grmbl. Weet u nog, die zaak uit 2011 waarin IP-beheersclub RIPE een rechtszaak begon tegen het OM vanwege een IP-adresbevriesbevel? Het vonnis is er, maar wat een teleurstelling: géén inhoudelijke uitspraak of het mag maar een afwijzing op de formele grond dat RIPE “onvoldoende belang” heeft bij de ingestelde eis. In 2011 werd RIPE bevolen… Lees verder

Een lezer vroeg me: Vorig jaar blogde je over de Amerikaanse cloud en de risico’s daarvan. Maar wat maakt een cloudprovider “Amerikaans”? Moet je dan kijken naar de rechtsvorm van het bedrijf, de locatie van de servers, wat men op de site zet of welk ander criterium geldt er? Met de term “Amerikaanse cloud” bedoelde… Lees verder

De Nokia Xpress browser voor Asha en Lumia-toestellen heeft een proxy-server die vertrouwelijk HTTPS-verkeer middels een eigen certificaat ontsleutelt, zonder dat gebruikers zijn geïnformeerd. Dat schreef Webwereld vrijdag. Met die proxserver versnellen ze het verkeer naar mobiele apparaten, wat op zich handig is, maar dat bij versleuteld verkeer doen is opmerkelijk: alsof de taxichauffeur je… Lees verder