Internetrecht door Arnoud Engelfriet

Een lezer vroeg me:

Mijn zoon zit in groep 8 van de basisschool en is al een paar jaar heel intensief bezig met computers. Hij is er echt goed in, maar haalt daardoor ook dingen uit die hem in de problemen brengen. Hij hackt het wachtwoord van de docent en zet rare plaatjes in een presentatie, bijvoorbeeld. En nu zitten vriendjes hem te pushen om daarmee door te gaan, bv. door Facebook van klasgenootjes te hacken. Wanneer wordt dat strafbaar, en wat kan ik doen?

Raden of achterhalen van wachtwoorden is eigenlijk altijd strafbaar als computervredebreuk. Deze jongen komt dus echt in problemen terecht als hij hiermee doorgaat. Als hij nog geen twaalf is, dan is hij nu niet strafbaar. Vanaf twaalf jaar begint het strafrecht te lopen, en tot je achttiende val je dan onder het jeugdstrafrecht.

Meestal wordt er bij wetsovertredingen door minderjarigen geprobeerd deze bij bureau HALT een alternatieve straf te laten uitvoeren. Alleen, de regels rond HALT zijn niet geschreven voor computercriminaliteit. Naar HALT mag je (op basis van vrijwilligheid) bij wat ik maar even vandalisme en kleine criminaliteit (winkeldiefstal of oplichting tot € 150 euro) noem. Computervredebreuk staat niet in het Besluit aanwijzing Halt-feiten (ex art. 77e Strafrecht).

Er is een restartikel voor “feiten van geringe ernst” met weinig schade waarbij “een pedagogische benadering” passend is. Met toestemming van de officier van justitie mag dan alsnog een Halt-aanpak worden gekozen. Halt noemt zelf hacken bij digitaal pesten als voorbeeld uit die restcategorie.

Ik heb alleen geen idee wat de gepaste “pedagogische benadering” is bij een twaalfjarige zuivere hacker. Pesten via Hyveshacken is één ding, het smartboard van de school automatisch New Kids Turbo laten vertonen iets heel anders. (En inbreken in het cijfersysteem van je middelbare school nóg weer iets anders.) Wat zouden jullie aanraden? Doe hem op een hackersclub?

Arnoud

In de categorie párdon: De softwareclient van ESEA, een e-sportswebsite en -community, heeft enige tijd Bitcoins gemined op de computers van gebruikers. Dat las ik bij Tweakers. Een programma dat valsspelen bij hun online spellen moest tegengaan, bleek op de achtergrond stevig te rekenen op zoek naar de virtuele valuta Bitcoin. Nadat eerst werd gemeld dat het een vergeten 1-aprilgrap was, ging het daarna ineens om een al drie weken draaiende client die € 2900 aan Bitcoin had gevonden. En, zo werd gesteld, diverse grafische kaarten had opgeblazen. “lol that got aggressive quickly” om de baas aldaar te citeren. Joh.

ESEA biedt toegang tot online spellen, onder meer Counter Strike. Om valsspelen te voorkomen, moet je een anticheatprogramma draaien. Dat programma draait continu en kan niet uitgeschakeld worden, natuurlijk. Maar het is niet de bedoeling dat die software op de achtergrond ondertussen naar Bitcoins gaat zoeken. Zeker niet omdat dat proces nogal arbeidsintensief is, en daarmee tot een zware belasting van CPU of grafische kaart kan leiden. Ja, grafische kaart – die blijken efficiënter in het rekenwerk dat nodig is om Bitcoins te vinden.

Die zware belasting kan zó zwaar zijn dat je apparatuur er eerder van stuk gaat. Oftewel, concrete, hardwarematige schade is mogelijk door dit geintje. Wat is hieraan te doen?

Strafrechtelijk niet heel veel, vrees ik. Natuurlijk, er is een artikel dat het “verspreiden of ter beschikking stellen van programma’s die bestemd zijn om schade aan te richten in een geautomatiseerd werk” strafbaar stelt. Maar is zo’n bitcoin mining trojan bestemd om schade aan te richten? Dat lijkt me niet, want het is de bedoeling dat je PC goed blijft werken en braaf bitcoins zoekt. Met “bestemd” wordt echt gedoeld op virussen die dingen gaan wissen of kapotmaken, of de werking van je PC opzettelijk onderuit trekken.

De cookiewet biedt misschien een uitweg: het is immers verboden om zonder voorafgaande specifieke toestemming data (cookies, maar ook plugins, browserbalken, add-ons, updates et cetera) via een netwerk op iemands PC te parkeren. En die bitcoinminer is er vast niet via een USB-stick op gekomen. In Nederland zou de OPTA dus een boete kunnen opleggen.

Civielrechtelijk kun je natuurlijk een schadeclaim indienen bij ESEA: zij hebben je grafische kaart overbelast, dat is concrete schade dus die kun je verhalen. Alleen: je moet wél bewijzen dat de schade het directe gevolg was van de bitcoinzoekactie van het bedrijf. Dus niet, je gamet toch al zo veel dus hij zou toch een dezer dagen wel de geest geven. En hoe bewijs je dat?

Arnoud

De garantie op een telefoon mag niet vervallen als een gebruiker zijn telefoon root of jailbreakt, zo vatte Tweakers mij samen vorige week. Wettelijke garantie oftewel conformiteit is namelijk geen binair ding dat vervalt zodra je ergens waar dan ook iets geks doet. Het is een wettelijk recht dat je telefoon (of ander apparaat) moet doen wat je ervan mag verwachten. Zolang de jailbreak of andere ongeautoriseerde actie los staat van de oorzaak van het conformiteitsgebrek, is de winkel nog steeds verplicht dat gebrek gratis te herstellen.

Al minstens tien jaar hebben we het systeem van wettelijke garantie: een product moet gewoon doen wat je er (redelijkerwijs) van mag verwachten. Fabrikanten (en winkels) mogen daarnaast aanvullende garanties verlenen als ze daar zin in hebben, maar dat moet bóvenop de wettelijke garantie gebeuren. Rechten inperken is niet toegestaan, en mensen wijsmaken dat ze alleen recht hebben op fabrieksgarantie of dat ze garantie móeten kopen om ergens aanspraak op te maken ook niet. In 2011 werd nog een flinke boete opgelegd voor dergelijke grappen.

Aan aanvullende garanties mogen voorwaarden worden gesteld, en de voorwaarde “deze vervalt volledig als u gaat zitten hobbyen” is bij een aanvullende garantie op zich legaal. Maar die voorwaarde tast niet je wettelijke garantie aan.

Het systeem van wettelijke garantie werkt genuanceerd: bepaal de oorzaak van de fout, en ga dan na of deze oorzaak redelijkerwijs verwacht mocht worden. Daarbij kun je van alles meewegen, zoals de leeftijd van het apparaat, het soort gebruik, het verwachte gebruik, mededelingen bij de verkoop (‘showroommodel’) en ga zo maar door. Een toetsenbord dat na 2 jaar intensief gebruik letteraanduidingen op bepaalde toetsen kwijt is, is niet nonconform, net zoals een batterij die na drie jaar minder capaciteit heeft. Dat is gewoon slijtage. Een toets die na 2 jaar compleet van dat toetsenbord áf valt, lijkt me wel een conformiteitsgebrek – afhankelijk van de te verwachten kwaliteit natuurlijk.

Of je een apparaat zelf hebt aangepast, staat dus in principe los van de vraag of je wettelijke garantie hebt. De vraag is dan eigenlijk of de eigen aanpassing (mede) de oorzaak is van het probleem. Zo niet, dan is de winkel gehouden het probleem te herstellen of je gratis een nieuw apparaat te geven. Dat ik mijn firmware flash, betekent niet dat de batterij straffeloos binnen een uur leeg mag lopen, tenzij mijn nieuwe firmware continu wifi en GPS aan laat staan en héél veel radioverkeer genereert natuurlijk. Garantie is een lokale variabele die per feature op ja/nee/beetje kan staan.

Als de fout los staat van het jailbreaken of aanpassen, dan moet de winkel de telefoon dus herstellen of vervangen. Volgens mij is daarbij een open vraag of ze dan een standaard firmware mogen terugzetten. Je zou zeggen van niet, want de firmware heeft dan immers niets te maken met de fout. Maar het onderzoek naar de fout kan bemoeilijkt worden door die custom firmware, en je zult sowieso moeten beginnen bij de vraag óf de firmware de fout maakt. Stock firmware terugzetten en zien of het probleem dan weg is, is de meest geëigende weg om die vraag te beantwoorden.

De gebruiker is dan wel bepaalde data kwijt, maar dat risico kun je wel bij de gebruiker leggen lijkt me.

Arnoud

Minister van Veiligheid en Justitie Ivo Opstelten wil de politie de mogelijkheid geven om fors in te grijpen tegen hackers, meldde NRC en vele andere media. In een nieuw wetsvoorstel tegen cybercrime stelt hij voor de politie een terughackbevoegdheid en een webcamgluurrecht te geven. Oh ja, en weigeren je wachtwoord te geven wordt strafbaar. Het… Lees verder

Een lezer wees me op een site waar je open webcams kunt bekijken. Al deze webcams zijn op afstand te bekijken, omdat ze hun video-opnames live streamen via het web. Configuratiefoutje of over het hoofd gezien door de eigenaar, waarschijnlijk. Mag dat? Laten we even aannemen dat de eigenaar er niet bewust voor gekozen heeft… Lees verder

Op Twitter kreeg ik de intrigerende vraag: Is het illegaal om in de trein de wifi hotspot van m’n telefoon ‘tmobile’ te noemen? En het verkeer te bekijken? Op zich mag je natuurlijk je hotspot noemen wat je wilt, maar met specifiek die naam doe je alsof dit een hotspot is van het bedrijf T-Mobile…. Lees verder

Oké dus toch. Meeliften bij het internet van de buren is wel degelijk computervredebreuk, bepaalde de Hoge Raad gisteren. In 2011 had het Gerechtshof nog bepaald dat hiervan geen sprake is omdat een router geen “geautomatiseerd werk” is in de zin van de strafwet. Maar het was toch echt de bedoeling van de wetgever om… Lees verder

Henk Krol is schuldig bevonden aan computervredebreuk en krijgt een boete van 750 euro, meldde Webwereld vrijdag. De rechtbank vindt wel dat hij zorgvuldig te werk ging bij het in kaart brengen van het lek. Vorig jaar had de politicus van een tipgever gehoord dat patiëntgegevens eenvoudig in te zien waren: er bleken accounts te… Lees verder

Minister Opstelten van Veiligheid en Justitie wil niet dat bedrijven en organisaties aangifte doen tegen hackers met goede bedoelingen, die veiligheidsproblemen aankaarten, las ik bij Tweakers. In een brief aan de Tweede Kamer beschrijft hij dat het ‘de voorkeur’ heeft dat een bedrijf beleid ontwikkelt voor responsible disclosure en daarin verklaart geen aangifte te zullen… Lees verder

De man die de kersttoespraak van koningin Beatrix op internet vond, heeft zich strafbaar gemaakt. Zoiets zei ik Eerste Kerstdag tegen de NOS. En dat maakte nogal wat los. URL’s zijn toch openbare adressen, wat op een server staat is niet geheim, er wordt niets gekraakt, dit is toch pure domheid van de RVD, en… Lees verder