Geenstijl lacht zich rot: op concurrerend forum Fok! is een grote ruzie aan de gang over het lezen van privéberichten door het beheer. Fok! biedt namelijk gebruikers de mogelijkheid om elkaar persoonlijke berichtjes te kunnen sturen (in forumjargon ook wel pb’s of pm’s geheten). In de policy belooft het beheer deze niet te lezen, maar dit zou toch gebeurd zijn. Als gevolg van de ruzie is nu het hele systeem van persoonlijke berichten platgegooid door het beheer.

Zoals gebruikelijk bij dit soort ruzies is het volstrekt onduidelijk wat er nu precies gebeurd is. Volgens twee Fok!kers merkten zij dat webadressen die zij alleen in privéberichten hadden uitgewisseld, waren opgevraagd door iemand anders. Dat was voor hen aanleiding om een honeypot op te zetten: men kondigde aan een kopie van de hele Fok!-site op te gaan zetten en alle bezoekers daarheen te halen. Als beheer van Fok! werkelijk meelas, dan zouden ze daar gegarandeerd actie op ondernemen natuurlijk.

De beheerder zelf meldt juist dat hij pas na tips van derden over deze kopiesite besloten had de privéberichten te gaan lezen van de vermoedelijke daders.

Het is juridisch echter zeer twijfelachtig om om wat voor reden dan ook berichten te lezen die bedoeld zijn voor privécommunicatie, zoals ik vorig jaar al schreef. Voor beheerders van forums kan het zelfs een strafbaar feit zijn om kennis te nemen van gegevens die gebruikers uitwisselen (art. 273d Wetboek van Strafrecht) wanneer hij daar geen toestemming voor heeft.

De beheerder beroept zich op de privacy-policy van dit systeem. Die vermeldt dat berichten gecodeerd zijn zodat beheerders ze niet zomaar kunnen lezen. Echter, “Misbruik van het systeem wordt niet getolereerd” en “In dit geval hebben de administrators de mogelijkheid om berichten te decoderen en alsnog in te zien”. Dat is een bindende voorwaarde, die de eventuele strafbaarheid van het inzien opzij zet.

De vraag is echter wel wat dan het “misbruik” is. Of het opzetten van een concurrentsite misbruik is, betwijfel ik. Zeker nu die site helemaal niet blijkt te bestaan, kun je moeilijk volhouden dat er sprake is van misbruik.

Arnoud

Kwaadwillende hackers hebben op een internetforum voor epileptici berichten achtergelaten waarin middels Javascript en animated gifs allerlei felgekleurde, knipperende plaatjes waren verwerkt, meldt Tweakers. Zulke afbeeldingen kunnen een epileptische aanval oproepen bij mensen die daar gevoelig voor zijn.

Een rotstreek, zeker. En strafbaar ook: dit is gewoon mishandeling, soms zelfs mishandeling met de dood tot gevolg.

Je zou zelfs kunnen betogen dat hier sprake is van mishandeling met terroristisch oogmerk: het doel is ongetwijfeld om bezoekers van die fora angst aan te jagen zodat ze niet meer vrijelijk berichten gaan lezen. En het angst aanjagen van een deel van de bevolking heet in de wet een ‘terroristisch oogmerk’ (art. 83a Strafrecht). Hoewel dat oogmerk wel lastig te bewijzen zal zijn bij een stel verveelde pubers.

Volgens Wired zou dit de groep ‘Anonymous‘ zijn. Inderdaad, dezelfde club die een tijd geleden ook Scientology onder vuur nam.

Arnoud

Twee lezers hadden ruzie over de regels rond draadloos internetten:

Ik had altijd begrepen dat de insteek over draadloze netwerken is, “mag je alleen gebruiken als het open staat en de SSID duidelijk aangeeft dat je binnen mag”. Maar mijn discussiepartner zegt nu juist dat de regel is, “Als er geen ‘foei ten strengste verboden’ in de SSID staat dan mag het”. Wat is het nu?

Je gebruikt andermans netwerk illegaal als dat opzettelijk en wederrechtelijk gebeurt (art. 138a lid 1 Strafrecht). Ook als daarbij geen beveiliging wordt omzeild of misleid.

De nuance daarbij is dat je wel moet weten (of had moeten weten) dat je niet op dat netwerk mocht zijn. Bij een netwerk met “boe ga weg” als netwerknaam lijkt me dat vrij duidelijk. Een netwerk met “Open WIFI, kom binnen” mag je gewoon gebruiken. De vraag is dan wat je mag bij een netwerk met “linksys” of “default” als SSID. Kun je daar iets uit afleiden over het al of niet binnen mogen komen?

Een ander punt is dat ‘opzettelijk’. Hoe actief moet dat zijn? Veel laptops en PDA’s zijn ingesteld om zich automatisch op alle netwerken in de buurt aan te melden. Meld je je dan opzettelijk aan op zo’n netwerk? Ik zou denken van niet, maar een uitgemaakte zaak is het niet.

Dat maakt het heel lastig voor de politie om een zaak rond te krijgen. Zij moeten bewijzen dat jij had moeten weten dat je niet op dat netwerk had mogen zitten. En natuurlijk moeten ze eerst zien dat jij op andermans wifi zit. Dat zal niet meevallen. Er zijn een paar arrestaties geweest, maar die hebben nooit tot een veroordeling geleid.

Staat jullie netwerk open of dicht?

Arnoud

De beveiliging van Corsairs Padlock USB-stick blijkt op eenvoudige wijze te kraken: het solderen van een weerstand tegen een van de chips binnenin de stick blijkt genoeg om de pincodebeveiliging te omzeilen. Dat meldde -wie anders- Tweakers gisteren. Nu is dit soort hardware-hacken volstrekt legaal. Deze keer dan ook een iets andere vraag: als je als koper van zo’n stick bent afgegaan op de belofte van beveiliging, heb je dan nu een juridische claim richting de fabrikant?

Wie iets koopt, heeft zekere verwachtingen van het product. Daar moet het product dan ook aan voldoen (art. 7:17 BW). Een belangrijke vraag daarbij is wat voor mededelingen de verkoper heeft gedaan: je mag er als consument in principe vanuit gaan dat die kloppen en dat het product dus kan wat de verkoper belooft.

De Corsair Padlock wordt aangeprezen door de fabrikant als:

Flash Padlock is the best way to secure your data while on the go. This prevents any unauthorized access or “Brute Force” attack to the data on Flash Padlock. Users can program in a PIN, much like they do for an ATM machine, to lock/unlock their data.

Dat klinkt veelbelovend: het systeem biedt de beste manier om je data te beveiligen en voorkomt elke ongeautoriseerde toegang tot de data. Maar noch de whitepaper noch de app note gaan hier dieper op in. Veel onderzoek kan ik dus niet doen. Ik kan als koper dan ook weinig anders dan het bedrijf op haar blauwe ogen geloven dat dit wel de beste manier zal zijn.

Als het product vervolgens die belofte niet nakomt, dan schendt de verkoper de overeenkomst en op grond daarvan mag ik deze ontbinden zodat ik mijn geld terugkrijg. Normaal moet ik de verkoper eerst de kans geven het product te vervangen of te repareren, maar dat heeft hier weinig zin natuurlijk.

Daar staat tegenover dat deze stick slechts 15 euro kost. Hoeveel beveiliging mag je daarvoor verwachten? Bij een fietsslot van 15 euro moet ik ook niet gek staan kijken als mijn fiets op zeker moment toch weg is. Ik mag niet verwachten dat mijn fiets met zo’n fietsslot tegen elke fietsendief bestand is, ik moet weten dat dat soort lui met accu-aangedreven slijptollen rondloopt en daarmee alles openkrijgt.

Maar gaat dat verhaal voor pinbeveiligingen op USB-sticks ook op? Lastige vraag. Wat weet de gemiddelde koper van USB-sticks over de mogelijkheden en onmogelijkheden van beveiliging?

Wat vinden jullie? Behoor ik mijn geld terug te krijgen nu deze stick zo slecht beveiligd blijkt, of had ik moeten weten dat je voor 15 euro weinig veiligheid koopt?

Arnoud

Het is toegestaan om te achterhalen hoe dingen werken. Heb je een mooie grafische kaart gekocht, en wil je weten welke signalen deze afgeeft, dan mag je gerust met je multimeter aan de slag. Wil je zien hoe je televisie er van binnen uitziet, veel plezier met de schroevendraaier. De garantie vervalt natuurlijk wel, maar dat terzijde.

Wil je met die informatie een eigen product bouwen, dan mag dat ook. Ideeën en technische principes zijn vrij. Daar is één uitzondering op: je kunt tegen octrooien aanlopen natuurlijk. Voor een octrooi maakt het niet uit of je het product zelf gemaakt hebt of hebt afgekeken: als het doet wat in het octrooi staat, pleeg je inbreuk.

Afgezien van octrooien is het reverse engineeren van de werking van hardware dus legaal. Dat is erg handig voor bijvoorbeeld open source zoals Linux, waarvoor minder aanstuursoftware (drivers) voor hardware beschikbaar is dan bij Windows. Een open source-ontwikkelaar mag dus kijken welke commando’s er van de driver op de PC naar een hardwarekaart (of terug) gestuurd worden en welk effect dat heeft. Hij kan daarmee zijn eigen driver maken die op het juiste moment de juiste commando’s stuurt. Dit mag: artikel 45l Auteurswet bepaalt dat een licentienemer van de software mag achterhalen hoe de software werkt “teneinde de daaraan ten grondslag liggende ideeën en beginselen te achterhalen.” Daaronder valt ook het achterhalen van de communicatie tussen de driversoftware en de hardware.

Een nadeel van deze aanpak is dat je dan niet zeker weet dat je alle situaties gehad hebt. Misschien is er wel een commando dat alleen gestuurd wordt als de kaart erg warm wordt, of wanneer iemand een resolutie van 1194×768 pixels gebruikt en een 3D-bal wil laten stuiteren als screensaver.

Een betere oplossing is dan ook de bestaande driver pakken en deze disassembleren: de binaire code uit elkaar halen om zo in één keer te zien wat de driver allemaal voor commando’s kan versturen en ontvangen. Daarmee is dan een nieuwe driver te maken die hetzelfde doet, maar dan voor Linux.

Deze oplossing ligt juridisch iets lastiger. Software is beschermd door auteursrecht. Bij reverse engineeren moet je de software uitvoeren om te kunnen zien wat hij doet. Dat is normaal inbreuk op het auteursrecht. Maar voor deze vorm van reverse engineering is er artikel 45m.

Dit artikel zegt dat je mag reverse engineeren om interoperabiliteit van je eigen software met andere software tot stand te brengen. Bijvoorbeeld dus je eigen driver maken om de (embedded) software in de grafische kaart te kunnen besturen. Het recht is in zoverre beperkt dat je alleen datgene mag reverse engineeren wat je nodig hebt om je eigen driver te kunnen maken.

Dit artikel is natuurlijk ook relevant voor andere soorten software, zoals de vele open source alternatieven voor gesloten software zoals Microsoft Office. Daar kom ik binnenkort op terug, want de situatie is daar iets minder rooskleurig dan bij drivers.

Hoe dan ook, je mag dus een driver reverse engineeren en met de gevonden informatie je eigen driver maken. Wat niet mag, is stukken van de oorspronkelijke driver overnemen in je eigen driver. Dan pleeg je inbreuk op het auteursrecht. Je mag alleen achterhalen wat de driver doet, en vervolgens moet je je eigen software schrijven die dezelfde activiteiten verricht. Zonder te kijken op welke slimme manier de oorspronkelijke software dit doet.

Dat zal bij drivers gelukkig niet altijd een groot probleem zijn. De implementatie van een driver is namelijk voor een groot deel bepaald door de hardware. Er moet nu eenmaal code 0×31337 gestuurd worden om een bepaald beeld op het scherm te tonen, en als de printer de code 0xDEADBEEF stuurt, dan is het papier op en moet het printen tijdelijk ophouden. Daardoor zit er weinig creatieve ruimte voor programmeurs bij het schrijven van drivers. Hoewel dus een nieuwe driver voor een deel zal lijken op het origineel, komt dat door die technisch bepaalde factoren. En iets dat hetzelfde is vanwege een technische eis, is geen inbreuk op het auteursrecht.

Bij dit soort activiteiten wordt wel de bewijslast omgekeerd: als beide drivers hetzelfde doen, moet de maker van de nieuwe driver bewijzen dat hij geen code heeft overgenomen van de oorspronkelijke driver. Vandaar de clean-room praktijk: laat de ene persoon achterhalen en documenteren wat de driver doet, en laat een andere persoon op basis van die documentatie een nieuwe driver schrijven. De andere persoon kan dan geen code hebben overgenomen, want daar had hij geen toegang toe. En de eerste persoon heeft geen code geschreven, en heeft dus ook geen inbreuk gepleegd.

Deze bepalingen zijn dwingend recht. Dat betekent dat dit recht niet in een softwarelicentie (EULA) verboden kan worden. Staat het toch in een EULA, dan zal de rechter die clausule negeren.

Arnoud

Het persbureau Novum Nieuws is veroordeeld voor computervredebreuk. Novum, opgericht als concurrent voor ANP, bleek regelmatig ingebroken te hebben op de servers van het ANP om zo toegang tot ANP-nieuws te krijgen. Daarbij maakte het bedrijf gebruik van inlogcodes van McPro, RTV Utrecht en Sky Radio. Het gebruik van andermans inlogcode (gebruikersnaam en wachtwoord) is een vorm van computervredebreuk. Bij mijn weten is dit de eerste keer dat een rechtspersoon (bedrijf) veroordeeld wordt voor dit misdrijf.

Er was nog wat discussie over welke vorm van computervredebreuk het nu was, maar de rechtbank maakte daar korte metten mee. Het OM had ten laste gelegd dat een “technische ingreep” (een computerkraak of exploit) was gebruikt, maar het bedrijf verweerde zich door te zeggen dat men gewoon een bestaand wachtwoord had gebruikt. Dat vond de rechter juist, maar ook gebruik van andermans wachtwoord is een strafbaar feit. En terecht.

De rechtbank legde het bedrijf een geldboete op van € 4.000 (waarvan € 2.000 voorwaardelijk). Dit is lager dan de eis van 11.250 euro. Het OM had onvoldoende onderbouwd hoe zij tot haar eis kwam. Bovendien nam de rechtbank het ANP kwalijk dat zij kennelijk te weinig had gedaan om zich te beschermen tegen dit soort ongeautoriseerd gebruik door derden. Er zijn tenslotte genoeg eenvoudige technische maatregelen om dit te voorkomen, zoals het beperken van het aantal IP-adressen dat gebruik mag maken van de dienst.

In haar motivatie is de rechtbank hard:

Novum heeft zeer kwalijk gehandeld door zich ten behoeve van haar nieuwsgaring via aan derden verleende inlogcodes de toegang te verschaffen tot de Artos nieuwsserver van het ANP en daarvan ook veelvuldig gebruik te maken. Wetende dat aan haar als opkomend concurrent van het ANP geen toegang tot die server zou worden verleend, heeft Novum die toegang gezocht en gevonden via een bevriende relatie, de eigenaar/directeur van de zaak McPro. Na afloop van het contract tussen McPro en het ANP is Novum gebruik gaan maken van de inlogcodes die aan RTV Utrecht en Sky Radio waren verleend (periode [E]). Aldus van de informatie van het ANP profiterend heeft Novum haar eigen positie in haar concurrentie met het ANP willen versterken.

De oprichter/voormalig commercieel directeur en de voormalig hoofdredacteur werden veroordeeld tot een boete van € 2000, waarvan € 1000 voorwaardelijk met een proeftijd van 2 jaar. Ook deze eis is lager dan de geëiste voorwaardelijke taakstraf van 80 uur met een proeftijd van 2 jaar. Hoewel zij niet persoonlijk de ‘hack’ pleegden, gebeurde dit wel onder hun feitelijke leiding en daarom werden ook zij vervolgd.

Een eerder kort geding van ANP tegen Novum werd in juli 2005 door het Gerechtshof Amsterdam afgewezen omdat het bewijs niet duidelijk genoeg was. ANP moest, aldus het Hof, maar een bodemprocedure beginnen. ANP heeft er echter voor gekozen aangifte te doen van computervredebreuk.

Arnoud

Een groep anonieme hackers heeft de oorlog verklaard aan de omstreden Scientology-beweging, meldde Tweakers gisteren. Het initiatief voor deze serie aanvallen komt van een groep die zich “Project Chanology” noemt.

Directe aanleiding voor deze actie is de actie van Scientology tegen een gelekt video-interview van Tom Cruise. Diverse sites kregen een takedown notice om de film te verwijderen. Enkele daarvan waren gerelateerd aan 4chan, een internetfenomeen dat verantwoordelijk is voor allerlei internet-ongein (zoals de de lolcat) maar ook serieuze vormen van internetvandalisme.

Security.NL meldt dat er meer dan 488 DDoS-aanvallen zijn uitgevoerd op Scientology-websites, goed voor een dataverkeer van gemiddeld 21 megabytes per seconde oftewel de inhoud van zo’n 3 DVD’s per minuut. Best veel, maar niet uitzonderlijk voor verstikkingsaanvallen.

Op internet heeft Scientology een slechte reputatie, door de keiharde manier waarop zij tegenstanders en kritiek aanpakt, zoals schrijfster Karin Spaink en internetprovider XS4All halverwege de jaren negentig ondervonden. Het is mede dankzij hun standvastig optreden dat ik nu IT-jurist ben trouwens.

Hoe begrijpelijk de weerstand tegen Scientology ook is, het is nog geen excuus voor dit soort vigilante justice. Al was het maar vanwege de kans op onschuldige slachtoffers, zoals een Nederlandse school die een paar minuten per ongeluk op de korrel werd genomen omdat de aanvallers het verkeerde IP-adres hadden gebruikt (oh noes!). Bovendien: Scientology van het net proberen te krijgen is precies hetzelfde als wat de beweging altijd kwalijk wordt genomen.

Kritiek leveren mag best, zelfs als je daarbij gebruik maakt van gelekt materiaal zoals die Tom Cruise video. Dat bepaalde het Gerechtshof in die eerder genoemde zaak tegen XS4All en Spaink:

Naar ’s hofs oordeel kan in deze bijzondere omstandigheden niet worden gezegd dat een beperking van de informatievrijheid op grond van de handhaving van het auteursrecht nodig is in de zin van artikel 10 EVRM en evenmin dat het belang van [F] en de Providers en het algemeen belang bij de informatievrijheid van artikel 10 lid 1 EVRM in verhouding tot dat van Scientology c.s. bij handhaving van hun auteursrecht in dit geval minder zwaar weegt. Derhalve behoort het eerstgenoemde belang niet te wijken voor het belang van Scientology c.s. en slaagt het beroep op artikel 10 lid 1 EVRM.

Maar dit is natuurlijk van een heel andere orde dan Scientology proberen van internet te pesten met dit soort computercriminaliteit. Ook Scientology heeft het recht om haar mening te uiten. Uit jurisprudentie over datzelfde artikel 10 lid 1 EVRM blijkt dat je heel ver mag gaan daarin. Pas wanneer je de democratie zelf aanvalt, overschrijdt je een grens. Maar zelfs dan is het de taak van de overheid, en niet zelfbenoemde vigilantes met te veel vrije tijd om daar wat aan te doen.

Arnoud

Een slimme lezer las mijn artikel over digitaal spoorzoeken en bedacht het volgende:

Een verzender verstuurd daadwerkelijk een bericht dat zo is vormgegeven dat het lijkt dat het vervalst is. Hiermee lokt hij bijvoorbeeld een levering, dienst of toezegging uit en probeert onder zijn eigen toezeggingen uit te komen door zijn bericht als onecht aan te merken.

Aangezien de ontvanger er belang bij kan hebben om een onecht bericht voor echt door te laten gaan, hebben beide partijen dus een motief om te “knoeien” met een emailbericht. Met andere woorden, welke conclusie moet een rechter trekken als je kunt aantonen dat een email niet in orde lijkt?

Elektronisch bewijs is in theorie triviaal te vervalsen, dat klopt. Er zijn het afgelopen jaar een paar zaken geweest waarbij b.v. MSN chatlogs gebruikt werden als bewijs, maar daarbij waren partijen het eens over de inhoud van de log. De discussie ging over hoe het gezegde moest worden geïnterpreteerd.

De rechter moet bij bewijs altijd afwegen wat de partijen zeggen over het bewijs, en dan concluderen wat hem het meest logisch voorkomt. De eerste vraag is dus altijd of de partijen het bewijs wel in twijfel trekken. Als beiden het eens zijn, of zelfs maar er niets over zeggen, dan mag de rechter niet zelfstandig nog eens gaan kijken of het bewijs technisch wel klopt.

De rechter hoeft dus geen verstand te hebben van techniek. Hij moet alleen maar kunnen inschatten welke deskundige het meest overtuigend overkomt. Degene die uitlegt dat er met bewijs geknoeid is, of degene die aantoont dat dit toch echt een legitiem bericht was?

De partijen zullen dus zelf moeten aantonen of het bewijs klopt. Alleen maar roepen dat het bewijs vervalst zou kunnen zijn, is niet genoeg. Je zult wel moeten aangeven waarom dat waarschijnlijker is dan dat het bericht echt is. Waarom zou een hacker nu net jouw draadloze netwerk uitkiezen om muziek mee te verspreiden, en dan ook nog eens jouw account gebruiken? Om die reden verloor Jammie Thomas haar rechtszaak. Plus natuurlijk het feit dat zij geen draadloos netwerk had. Oeps.

In het geval van de vraagsteller hebben we persoon A, die een bestelling plaatst bij B met daarin opzettelijk aangebrachte wijzigingen. B ziet deze niet en handelt de bestelling keurig af. Achteraf zou A dan kunnen claimen dat hij de bestelling niet geplaatst heeft. Maar waarom zou hij? Dan moet hij het bestelde natuurlijk teruggeven. Dat is hooguit leuk voor 13jarigen die een keer iemand willen pesten.

Ik zou me kunnen voorstellen dat persoon A iets beledigends over B wil publiceren, en dat doet vanaf zijn eigen account maar in een vaag cybercafé in Duitsland, met meer spelfouten dan normaal en met nog wat dingen die hij normaal niet doet. Hij kan dan achteraf claimen dat zijn account gehackt was, of dat iemand anders er in geslaagd is het bericht te plaatsen onder zogenaamd zijn naam. Dat zou hij kunnen winnen. Maar ik zou dan wel verwachten dat hij het bericht meteen weghaalt of laat halen. Gaat hij eerst verdedigen dat het bericht niet beledigend was, en daarna pas roepen dat hij gehackt was, dan zal dat niet geloofwaardig overkomen.

Het zal dus altijd afhangen van alle omstandigheden van de zaak.

Arnoud

Door dit zegel te verbreken, aanvaardt u de licentievoorwaarden. Dat is een bekende tekst bij EULA’s of software-licenties. Omdat je de CD met de software niet uit de envelop krijgt zonder het zegel te verbreken, kan de maker van de software nu eenvoudig bewijzen dat je de EULA geaccepteerd hebt.

Niet helemaal, zoals uit de foto hiernaast blijkt. Dit was een zeer creatieve oplossing van ene Wellington Grey. En ja, hij mag nu de software installeren en gebruiken. Hij heeft deze rechtmatig verkregen, en dan zegt art. 45j Auteurswet dat je de software mag gebruiken. Het blijft natuurlijk verboden om deze te kopiëren en te verspreiden.

De rest van de presentatie gaat verder over de DMCA en waarom die dit zou verbieden als hij ook op niet-digitale zaken van toepassing zou zijn. De analyse rammelt nogal; de DMCA verbiedt het hacken van beveiliging van software, maar welke beveiliging wordt hier gehackt? Een knopje “Akkoord met licentie” omzeilen is echt geen beveiliging van de software. Maar dat is iets voor een andere keer.

De hierboven getoonde foto is gemaakt door Wellington Grey en is beschikbaar onder de Creative Commons 3.0 BY-SA licentie.

Arnoud

Verspreiden gestolen computerinformatie wordt strafbaar, meldde NU.nl donderdag. Het is nu verboden om in te breken in computersystemen en gegevens daaruit over te nemen, maar nergens staat dat anderen die die gegevens verder verspreiden, ook strafbaar zijn. Virtuele heling is dus legaal, en minister Hirsch Ballin wil nu verandering in brengen.

In zijn brief aan de Tweede Kamer legt de minister verder uit wat je nu al kunt doen aan gestolen informatie die mensen op internet verspreiden. Laat ik eens een poging wagen dit in minder ambtelijke taal te vertalen.

Ten eerste heb je meestal auteursrecht op de gegevens. Een tekst of foto is auteursrechtelijk beschermd, en kopiëren mag dan niet zonder jouw toestemming.

Mensen kunnen trouwens niet wegkomen met “ja maar ik citeer alleen maar uit de tekst”. Je mag namelijk alleen citeren uit rechtmatig gepubliceerd werk, en dus niet uit gestolen teksten.

Ten tweede heb je bij foto’s en films portretrecht. Ook hier weer: het gaat om materiaal dat je niet zelf gepubliceerd hebt, privéfoto’s dus. Zonder toestemming mogen zulke foto’s niet worden gepubliceerd.

Een voorbeeld: in 2005 werd de digitale camera van prinses Maxima gestolen. De foto’s daaruit doken op in de Telegraaf en de Privé. Dat werd verboden met een beroep op het portretrecht. Een beroep op de vrije nieuwsgaring werd afgewezen; zulke privéfoto’s hebben zelden tot nooit nieuwswaarde. En om het nieuwsfeit te melden dat de camera gestolen was (jaja, slim bedacht) hoef je de foto’s zelf niet te laten zien natuurlijk.

Daar kun je zowel de plaatser van de gegevens als diens provider op aanspreken. Ook kun je aangifte doen bij de politie, want opzettelijke inbreuk op auteursrecht of portretrecht is een misdrijf.

Als het gaat om bedrijfsgegevens, dan is er nog een derde optie. Het onthullen van bedrijfsgeheimen is namelijk strafbaar. En Hirsch Ballin wil dus een vergelijkbare bepaling voor privégegevens van natuurlijke personen invoeren.

Wat ik nog miste in het antwoord, is een beroep op de Wet Bescherming Persoonsgegevens. Gestolen foto’s, maar ook tekstuele informatie met daarin gegevens over jezelf zijn persoonsgegevens en mogen alleen met toestemming worden verwerkt. En die is er natuurlijk niet. Een “aantoonbare noodzaak” is dan het enige toegelaten alternatief, maar dat zal er ook niet snel zijn bij publiceren van gestolen informatie.

Mede via Volledig bericht, pardon Boek 9.

Arnoud