Internetrecht door Arnoud Engelfriet

Een lezer wees me op een apart forumdraadje, waarin de poster schreef over een rare brief van de Bovenregionale Recherche Noord- en Oost Nederland:

Bij de Bovenregionale Recherche Noord- en Oost Nederland is informatie binnen gekomen. Uit deze informatie blijkt dat met een op uw naam gesteld IP-adres handelingen zijn verricht op internetomgevingen waarbinnen het mogelijk was om in een zogenoemde chat-omgeving met anderen te communiceren over kinderpornografie en seksueel kindermisbruik. Daarnaast was tevens de mogelijkheid aanwezig om binnen deze internet omgeving te beschikken over kinderpornografisch beeldmateriaal.

Ehm, wat moet je dáár nou weer mee. Mijn eerste gedachte is: nep, oplichter met vage bedoelingen. Maar de brief verzoekt nergens om betaling of registratie of wat dan ook. Meer dan “scan uw PC eens” en “we houden u in de gaten” zit er niet in. En dat BRNON bestaat echt, en is nog best wel digitaal actief ook.

Belangrijker: de ontvanger van de brief is gaan bellen met de recherche, en die hebben hem gemeld dat zij dit inderdaad hebben verstuurd. Men had een log uit 2009 gevonden met meneers IP-adres erin en vond daarom het versturen van die brief gepast. Op zich kan dat, als iemand niet verdacht is maar wél in de kijker komt dan mag men hem toch even aanspreken.

Mogelijk is die log (zoals een ander daar speculeert) gevonden bij een inbeslagname of digitaal onderzoek, en zijn de toen gelogde IP-adressen gematcht met de huidige eigenaren daarvan. Dat zou wel een beetje dom zijn, want er is in het algemeen geen enkele relatie tussen een gebeurtenis in 2009 en de huidige eigenaar van dat IP-adres.

Is er via de Wet bewaarplicht gematcht met gegevens van toen? Lijkt me sterk, die wet gaat namelijk een jaar terug en dit was uit 2009. Dus graven in NAW-logs uit 2009 van de provider zie ik niet gebeuren. Maar een andere verklaring kan ik niet bedenken. Jullie wel?

De vraagsteller zou een verzoek om inzage in zijn politiedossier kunnen doen, met een beroep op de Wet politiegegevens (de tegenhanger van de Wet bescherming persoonsgegevens als het gaat om politiedossiers). Misschien komen er dan meer stukken naar boven waarmee de aanleiding te reconstrueren is.

Arnoud

Adobe heeft kritieke beveiligingslekken in Photoshop, Illustrator en Flash gedicht, maar de patch is er alleen voor klanten die upgraden naar Photoshop CS6, meldde Tweakers onlangs. Daarna ontstond er geheel voorspelbaar de nodige ophef, waarna Adobe op haar aankondiging terugkwam.

De kritiek kwam min of meer neer op “we zijn gewend dat security patches gratis zijn”, plus “het is heel dom om juist securitypatches niet gratis weg te geven want dat zorgt alleen voor meer ongepatchte systemen”. En die kritiek is zeer terecht.

In Nederland kunnen we daar nog een argument aan toevoegen: software móet veilig zijn want anders is deze niet conform de gewekte verwachtingen. Net zoals een magnetron veilig moet zijn. Dat is namelijk het logisch gevolg van het Hoge Raad arrest van begin deze maand, dat bepaalde dat software gekocht kon worden.

Dat was wenselijk “omdat de kooptitel een uitgewerkte regeling geeft inzake conformiteit, klachtplicht en verjaring”, zo formuleerde onze hoogste rechter het. En deel van die conformiteitsregel is dat de verkoper gratis tot herstel of vervanging van het product moet overgaan als het product fouten blijkt te bevatten die je niet hoefde te verwachten.

Wel vraag ik me al langer af hoe ver dat precies gaat. Je hebt immers geen recht op een foutloos product. Als je moet weten dat bepaalde dingen mis kunnen gaan, dan is dat deel van de verwachting. Een bank verkleurt over de jaren. De letters op je toetsenbord slijten eraf. En software wordt gehackt.

Arnoud

Gesprekken van passagiers van de Rotterdamse vervoersmaatschappij RET worden elektronisch afgeluisterd en gebruikt voor beveiligingsdoeleinden, meldde Elsevier. In eerste instantie wilde men niet toelichten hoe of wat, maar na enige herrie kwam men met “Op onze stations hangen camera’s met microfoons waarmee live meegekeken en -geluisterd kan worden door een meldkamer.” Want tsja, beveiliging hè.

Het afluisteren van gesprekken is strafbaar, ook als dat in de openbare ruimte gebeurt. Wanneer je heimelijk een gesprek opneemt waar je geen deelnemer aan bent, pleeg je een strafbaar feit (art. 139b Strafrecht). Het moet gaan een gespreksopname, dus een camera die alleen activeert wanneer het geluidsniveau boven de X decibel komt, is niet verboden.

Ook moet het opnemen met een technisch hulpmiddel gebeuren. Horen wat men verderop in de tram met elkaar bespreekt, is niet strafbaar. Met een richtmicrofoon meeluisteren is wél strafbaar. (Niet dat je ooit in de tram een richtmicrofoon zou willen gebruiken, wat ik zo al hoor dóór mijn mp3speler heen is al erg genoeg.)

Roepen dat je het doet om de beveiliging is dus niet genoeg. En roepen dat het hetzelfde is als een bewaker op de tram zetten die het hoort is óók niet genoeg. Een bewaker zet je niet zomaar op elke tram, maar een microfoon kan wel en omdat afluisteren daarmee eenvoudiger wordt, zijn hiervoor de regels strenger.

Een sticker op de deur én de microfoons pontificaal in beeld maakt de opnames niet meer heimelijk, en dan is het weer wel toegestaan. Je vraagt je dan ook af wie er op het idee kwam die microfoons te verstoppen.

Arnoud
PS: Nee, geen Pirate Bay/Brein blog vandaag. Ik werd even iets te depressief gisteren van de uitspraken.

Het meenemen van broncode van de (ex-)werkgever is niet illegaal en valt niet onder het stelen van bedrijfsgeheimen, las ik bij Webwereld. In een ‘bizarre’ uitspraak bepaalde de New Yorkse hogerberoepsrechter dat een werknemer die handelsgeheimen had meegenomen van zijn werkgever, geen diefstal heeft gepleegd en ook de wet op de handelsgeheimen niet had geschonden. “Deze uitspraak is een slag in het gezicht van de federale overheid die juist alles wil doen om industriële en bedrijfsspionage hard wil aanpakken”. Eh wacht, lees ik hier een ronkend persbericht van Justitie of een nieuwsbericht in de categorie “buitenland / en dan dit”?

Het ging in deze zaak om een programmeur die broncodes van zijn ex-werkgever had geupload naar een server van een derde. Die broncodes waren deel van het “high-frequency trading” systeem van de werkgever, en dus commercieel erg waardevol want bij dergelijke aandelenhandel kan een minuut het verschil maken tussen winst en verlies. Ik kan niet achterhalen waarom, maar op zijn laatste dag uploadde hij 500.000 regels broncode naar een Duitse server.

Diefstal van handelsgeheimen en intellectueel eigendom, brieste de werkgever en deed aangifte. In eerste instantie werd meneer veroordeeld, maar in hoger beroep werd dus anders beslist.

Het punt van diefstal eerst maar, want dat is het makkelijkst. Het is strafbaar in New York om enig goed te verhandelen, verzenden of over te dragen dat door diefstal of ander misdrijf is verkregen (zeg maar: heling). Maar is sprake van een ‘goed’ als je alleen gegevens kopieert? Nee, zegt dit Gerechtshof. Het moet gaan om een tastbaar fysiek object, en daarvan is hier geen sprake.

Wat daar bizar aan is, zie ik niet helemaal. Dat is precies wat onze Hoge raad ook vindt. Hoewel ze in de VS intellectueel eigendom al snel als echt eigendom behandelen, is dat in het geval van ‘diefstal’ dus niet juist.

Ook is het strafbaar om opzettelijk een handelsgeheim te verspreiden, over te dragen, te uploaden of in een product te verwerken als je daarmee een ander dan de eigenaar ervan benadeelt. Bij ons is het strafbaar voor een werknemer om “bijzonderheden waarvan hem geheimhouding is opgelegd” bekend te maken of niet-publieke gegevens uit een computersysteem van de werkgever bekend te maken of uit winstbejag te gebruiken (art. 273 Strafrecht). Dat is dus breder, hoewel je je bij het enkele uploaden kunt afvragen of uploaden naar een server waarvan alleen jij het wachtwoord hebt, “bekend maken” is.

Maar in New York is van een ‘handelsgeheim’ pas sprake als het gaat om informatie over een product dat bestemd is voor de handel. En nu wordt het leuk: is een highfrequencytradingsoftwareprogramma een “product bestemd voor de handel”?

Nee, aldus het Hof (goh). De software zelf wordt niet in de handel gebracht, en dat is toch echt de betekenis van “bestemd voor de handel”. Natuurlijk zou je die term kunnen oprekken, maar dat mag niet: in de Amerikaanse wet kent men namelijk ook de generieke frase “met invloed op de handel” (affecting trade) die bedoeld is om alles te dekken dat buiten “bestemd voor de handel” valt. Maar hee, die generieke frase is hier niet gebruikt. Dus kennelijk wilde de wetgever alleen specifiek handelsgeheimen beschermen over “producten bestemd voor de handel”. Want zo werkt strafrecht: termen worden beperkt uitgelegd, zéker als er een bredere term bestaat die hier nadrukkelijk niet gebruikt is.

Ook hier weer: wat is er ‘bizar’ aan deze uitspraak? Het is toch volstrekt logisch dat je bij een vermeende wetsovertreding kijkt welk wetsartikel is overtreden? Strafwetten gaan oprekken om nieuwe situaties te dekken is héél eng. Toegegeven, dit handelen van meneer zou best strafbaar mogen zijn an sich. Maar dan pas je dus de wet aan die kennelijk ontoereikend is.

Arnoud

Deeltje zoveel in de vraag: Mag je camerabeelden gebruiken als bewijs in een strafzaak? Hier is veel over te doen, omdat camerabeelden worden gezien als “bijzondere persoonsgegevens” en daarmee de privacywet in werking treedt. De wet kent dan ook extra waarborgen voordat de politie die gegevens mag gebruiken.

Eén zo’n waarborg is dat de politie niet zomaar mag vragen om camerabeelden. Zij moet de juiste wettelijke grondslag hebben om beelden te mogen vorderen, omdat die wettelijke grondslag ervoor zorgt dat de belangenafweging juist wordt uitgevoerd. Zomaar vragen verstoort die afweging. Zo kan een betrokkene zich verplicht voelen de beelden af te geven omdat een agent het vraagt, zonder te beseffen dat dat eigenlijk niet hoeft.

Maar wat nu als de beelden toch bij de politie terechtgekomen zijn zonder zo’n vordering? Kan de dader dan ongestraft vrijuit? Nou, zo makkelijk gaat dat ook weer niet. Want die regel die ik net uitlegde, is er om de cameraman te beschermen en niet om de dader te beschermen. Zoals de rechter hier de wetgever samenvat:

Degene die de politie informatie verschafte kon immers - voordat daarvoor een vordering vereist was - een probleem krijgen met de persoon wiens gegevens werden verstrekt.

Zijn de beelden al te makkelijk opgevraagd, dan kan de cameraman daar een probleem van maken, bijvoorbeeld een klacht bij de korpschef. Maar de verdachte kan niets met die situatie, want zijn belang hier is irrelevant.

Maar eh die privacywet dan? Die verdachte staat er toch op en daarmee vallen de beelden toch onder de Wet bescherming persoonsgegevens?

Nou nee, zegt de rechter: de verdachte kán niet in zijn privacy zijn aangetast - omdat hij immers ontkende überhaupt in de juwelierszaak te zijn geweest!

Arnoud

Virtuele goederen, zoals de meubi’s bij Habbo en de amuletten in Runescape, kun je stelen. Dat wisten we al een tijdje maar de Hoge Raad geeft er nu definitief haar zegen aan. En op dezelfde dag bepaalt ze ook dat je belminuten en sms’jes kunt stelen. En dát was voor mij in ieder geval nieuws.

Om van diefstal te kunnen spreken, moet er een “goed” zijn, oftewel een voor menselijke beheersing vatbaar tastbaar iets dat kan worden weggenomen. Elektriciteit valt onder die definitie (prima te hanteren met rubber handschoenen immers), maar computergegevens niet (kopiëren is geen stelen, hoi Tim).

Op het eerste gezicht leek het dan ook gek dat bij een Habbo-zaak diefstal met geweld, oftewel beroving, ten laste werd gelegd. Twee jongens hadden een ander met een mes gedwongen zijn meubi’s af te geven in het spel namelijk. Maar zijn die meubi’s wel te stelen? Het zijn toch computergegevens in de servers van Habbo? Idem voor een Runescape-zaak met ongeveer dezelfde omstandigheden.

Ja, die dingen kun je stelen, aldus de rechtbank in beide zaken. Zulke virtuele goederen zijn gemáákt om te worden verplaatst en weggegeven. Daarmee zit de mogelijkheid van stelen (wegnemen) er in gebouwd. Even IT-technisch: wanneer een systeem alleen de atomaire actie “verplaatsen” kent en niet “kopiëren” dan is het diefstal de verplaatsbare objecten te verplaatsen zonder toestemming van hun eigenaar.

Voor virtuele goederen kan ik dat nog wel volgen, maar in een ander arrest bepaalde de Hoge Raad hetzelfde voor belminuten en sms’jes. In die zaak had een man een simkaart van een bedrijf weten te verkrijgen en was hij daarmee gaan bellen, wat opviel toen de rekening van € 2.645,39 binnenkwam. Hij werd vervolgd, en wel voor diefstal - nee, niet van de sim maar van de belminuten en de 100 euro aan sms’jes.

Volgens het gerechtshof was er inderdaad sprake van diefstal, omdat belminuten en sms’jes gewoon ‘goederen’ zijn die je kunt wegnemen. Immers, wie ze gebruikt, maakt ze op, en ze vertegenwoordigen nog waarde ook. En “gelet op de functie die belminuten en sms-berichten in het maatschappelijke verkeer vertegenwoordigen” moeten we ze dus gewoon als goederen zien. De Hoge Raad is het daarmee eens, want

Ook een niet-stoffelijk object kan [onder ’steelbaar goed’] worden begrepen, mits het gaat om een object dat naar zijn aard geschikt is om aan de feitelijke heerschappij van een ander te worden onttrokken.

En tsja, de mogelijkheid een sms-bericht te versturen (want daar komt het op neer) voldoet aan die definitie. Dat object, die teller in de databank bij de telecomprovider, ben je kwijt als het aangepast wordt in die databank. Sjonge.

Mijn oude prof aan de TU Eindhoven zei ooit “het verschil tussen hardware en software is dat hardware pijn doet als het op je voet valt”. Dat vond ik altijd wel een mooi criterium, ook voor de vraag of iets te stelen is. Maar juridisch gezien klopt dat niet meer; ook niet-tastbare zaken zijn dus prima te stelen als hun functie is dat ze kunnen worden verbruikt of verplaatst. Dataverkeer zal er zeker onder vallen nu, en credits in een spel ook.

Wie weet er nog meer dingen die volgens dit criterium kunnen worden gestolen?

Update (18 april): de Hoge Raad bepaalde vandaag dat ook credits gestolen (verduisterd) kunnen worden. Die credits konden worden gekocht via een telefoon en daarna doorgezet naar andere diensten.

Arnoud

Een lezer wees me op een discussie bij Fok! over ebooks en DRM daarop:

volgens mij mag je best je eigen drm eraf slopen. weet niet of FOK daar posts over wilt zien ivm de discussie die kan ontstaan, maar drm is vaak reteirritant.

Dat het irritant is, klopt zonder meer. Maar dat je het eraf mag slopen, nee, dat niet.

De Auteurswet kent speciale artikelen over het omzeilen of uitschakelen van kopieerbeveiligingen. Het belangrijkste is artikel 29a: het bewust omzeilen van “doeltreffende technische voorzieningen” is onrechtmatig, oftewel kan leiden tot schadeclaims van de rechthebbende. (Het is niet strafbaar en je krijgt dus geen boetes of celstraf.)

Er is bij de invoering van dit wetsartikel niet heel uitgebreid ingegaan op wanneer een beveiliging nu “doeltreffend” is. De minister liet het bij de opmerking dat het “uiteindelijk aan de rechter” is om dit te toetsen. Het proefschrift van Kamiel Koelman over auteursrecht en technische voorzieningen (PDF, 1,5MB, pagina 88 e.v.) gaat er iets dieper op in maar begint al meteen met “Het is echter onduidelijk wat ermee wordt bedoeld”.

Tot nu toe is er in Europa één vonnis geweest over dit onderwerp, en wel in Finland. De Finse rechter oordeelde toen dat de CSS beveiliging van DVD’s niet doeltreffend was, omdat de crack zó wijd en zijd bekend was dat iedereen deze meteen kon downloaden en toepassen.

Bij ebooks is het meestal niet zó eenvoudig om die beveiligingen eraf te halen, dus ik denk dat de rechter die best nog eens “doeltreffend” zou kunnen vinden.

Natuurlijk heb je het recht om kopieën voor eigen gebruik te maken van werk. Maar a) dat geldt niet voor boeken en b) artikel 29a maakt geen uitzondering voor het geval dat je dat recht zou willen uitoefenen. Oftewel, het blijft onrechtmatig om een doeltreffende beveiliging te omzeilen als je dat doet voor een legitiem doel.

De wet heeft een mogelijkheid voor de minister om nadere maatregelen te stellen als blijkt dat er daadwerkelijk problemen ontstaan met dit verbod. Daarmee kan de minister rechthebbenden verplichten aan de gebruiker van een werk middelen te verschaffen om van de wettelijke auteursrechtbeperkingen te profiteren, ondanks de beveiliging.

Ik zie het niet snel gebeuren dat zo’n verplichting er komt, want dit is een té obscuur probleem. Een klein stukje citeren uit een ebook kun je ook door overtypen, en dat is zo ongeveer de enige auteursrechtelijke uitzondering die Kamerleden direct zullen snappen. De meeste noobs hebben geen echte last van DRM, want ze denken dat dat gewoon zo hoort.

Arnoud

Een hele tijd geleden hadden we voor ICTRecht een Customer Relationship Management-systeem, oftewel een klantenadministratie nodig. Ik heb toen wat offertes opgevraagd, en dat hebben we geweten. Wát een gebral en loze marketingtaal krijg je dan. Eéntje maakte het helemaal mooi: graag wilde hij in een verkennend gesprek de mogelijkheden inventariseren en gelijk even ons datacenter inspecteren zodat hij kon bepalen welke server het beste geplaatst kon worden.

Eh, wat. Een server? Een datacenter? Ik heb een kastje onder de printer waar onze router in staat, bedoelt u dat? Niet helemaal: meneer had inderdaad in het hoofd een server te komen hangen in een datacenter, uiteraard met de optie van full managed hosting en wat al niet meer. Toen ik zei dat ik het liever gewoon in een webbased systeem wilde doen, reageerde hij met een verontwaardigde snuif: meneer u weet toch dat dat onveilig is? Hackers, wormen en andere rare figuren.

Die houding kom ik vaker tegen als het gaat om persoonsgegevens of gevoelige klantdata. Zodra iemand data ergens online wil opslaan reageert er meteen iemand met OMGWTFWBP en blijkt die data helemaal niet naar buiten te mogen. Beveiliging is cruciaal, de kans op aansprakelijkheid is aanwezig en de USA PATRIOT ACT is er natuurlijk ook nog.

Ik heb het allemaal al eens gehoord, maar wat niemand me kan uitleggen: waarom is het slimmer dat een klein kantoortje met (toen nog) zeven man personeel en een tweesterrenslotje in een bedrijfsverzamelpand een server neerzet, dan dat ze de opslag en verwerking laten doen door een partij die daar haar core business van maakt?

Onze klantdata staat bij 37signals in de VS en daar voel ik me prima en legaal bij. Ze hebben zelfs (op ons verzoek) een bewerkersovereenkomst/safeharborcontract getekend, zoals de wet vereist. En ik ga er zonder meer vanuit dat een bedrijf als dit veel en veel meer deskundige aandacht kan geven aan de beveiliging van wat ik daar opsla dan ik zelf. Dus waarom zou ik dat zelf moeten doen?

Arnoud

Wat heeft een A-klasse IP-adres te maken met cyberstalking? Ik dacht dat IP-adresklassen waren afgeschaft, maar de term dook ineens op in een recent arrest waarbij de vraag was of vanaf een bepaald IP-adres mails waren verstuurd.

Het ging om een geval van cyberstalking, via sms en e-mail, waarbij op zeker moment werd gedreigd naaktfoto’s op internet te zetten van het slachtoffer. Ook werd het bedrijf van het slachtoffer negatief gerecenseerd op diverse sites en werd op Kinky een seksadvertentie (seksuele massages) gezet met haar telefoonnummer erbij. Maar het was niet alleen cyber: ook het raam van haar woning werd op zeker moment beklad met teksten.

De verdachte werd veroordeeld maar ging in hoger beroep, onder meer met de klacht dat de rechtbank ten onrechte had bepaald dat de berichten door de verdachte waren geplaatst, omdat alleen van het afzenderipadres was uitgegaan. En dat zou nog eens van Hotmailservers zijn geweest en niet de PC van de verdachte.

In het arrest reageert het Hof daar als volgt op:

De rechtbank is er terecht van uitgegaan dat het een feit van algemene bekendheid is dat IP-adressen unieke adressen zijn, die zijn te herleiden tot individuele computers of routers. Dat geldt ook als een IP-adres behoort tot de zogenaamde A-klasse (waarvoor slechts de eerste cijfers indicatief zijn) en (met name) als sprake is van een statisch IP-adres. Feitelijk onjuist is dus de bewering dat een statisch IP-adres dat tot de A-klasse behoort in zijn geheel slechts naar een mailserver of provider kan worden herleid.

Hoe dit nu precies op de klacht ingaat, begrijp ik niet. Sterker nog, ik begrijp niet goed wat A-klassen te maken hebben met de vraag of het IP-adres van de verdachte was, of beter gezegd of de verdachte achter de PC zat en de mails verstuurde. Misschien dat men hier wat details uit de exacte klacht wegliet. In ieder geval is het lastig dat het IP-adres is geanonimiseerd in het vonnis.

Wel juist is het volgende:

vormen de negatieve berichten waar [geïntimeerde] zich op beroept in onderling verband gelezen - en met name ook gelezen in het licht van de onbestreden mails die [appellant] in ieder geval zelf heeft gestuurd - naar het oordeel van het hof sterke aanwijzingen voor het gelijk van [geïntimeerde]. Elke redelijke twijfel daarover is in dit hoger beroep inmiddels weggenomen door de berichten die na het bestreden vonnis zijn verstuurd onder de naam [naam 4]. Zowel het taalgebruik als de inhoud van die berichten rechtvaardigt voorshands de conclusie dat deze van [appellant] afkomstig zijn.

De inhoud en aard van de berichten zijn natuurlijk ook prima bewijs dat het de verdachte moet zijn geweest die ze verstuurde. Natuurlijk, in theorie is er van alles denkbaar met überhackers die iemand te grazen willen nemen, maar dat is bepaald onwaarschijnlijk. En uiterst onwaarschijnlijke opties mag een rechtbank buiten beschouwing laten.

Iemand enig idee waar de verdachte heen zou hebben gewild met het klasse-A-argument?

Arnoud

Met excuses voor de vele afko’s: RIPE start een proefproces tegen het Openbaar Ministerie (OM), het Korps Landelijke Politiediensten (KLPD) en het Team High Tech Crime (THTC) om vast te stellen of het politiebevel tot bevriezing van IP-ranges wel rechtmatig en wettig is. RIPE moest immers vier IP-ranges blokkeren maar niemand wist waarom. Ik speculeerde artikel 126ni Strafvordering maar dat was het niet: het was gewoon artikel 2 Politiewet, de “daadwerkelijke handhaving van de rechtsorde”. En RIPE stapt nu naar de rechter omdat je niet zomaar met dat kapstokartikel zo’n vérgaand bevel kunt instellen.

Artikel 2 Politiewet omschrijft in algemene bewoordingen de taak van de politie: zorgen voor de daadwerkelijke handhaving van de rechtsorde en het verlenen van hulp aan hen die deze behoeven. Dit alles “in ondergeschiktheid aan het bevoegde gezag en in overeenstemming met de geldende rechtsregels”. Op grond van dit artikel mag de politie ambtsbevelen (artikel 184 Strafrecht) geven, en wie die niet opvolgt is strafbaar.

Alleen: dan moet dat bevel wel gegeven mogen worden op grond van de Politiewet. En dat is waar hier de schoen wringt. Uitgangspunt is namelijk dat de politie alleen mag vorderen op grond van een expliciete grondslag, zoals artikel 126ni Strafvordering, die regelt wat er mag worden gevorderd, wie daarover beslist en hoe ver de vordering kan gaan. Daarmee is artikel 2 Politiewet in principe géén grondslag voor vorderingen. Zo vond de HR in 2009 (en evenzo in 2008) dat ontruiming van een kraakpand niet op dit artikel mag worden gebaseerd. Bij een onbevoegd gegeven bevel kan de politie (de staat) aansprakelijk worden gesteld voor onrechtmatige daad.

Natuurlijk (het is immers recht) is daar een uitzondering op, zo blijkt uit de rechtspraak van de Hoge Raad. Als een bevel slechts een beperkte inbreuk op grondrechten maakt, dan mag het ook op grond van de Politiewet worden gegeven. Iemand wegsturen die op straat zich hinderlijk gedraagt, is bijvoorbeeld mogelijk onder deze wet.

Het argument van de politie zal hier dus zijn dat een bevel tot bevriezen van iemands IP-adres ook slechts een beperkte inbreuk op de grondrechten van de betrokken personen (en van RIPE) betreft. Je wordt niet echt in je privacy of persoonlijke levenssfeer geraakt, je raakt geen eigendom kwijt (ook een grondrecht), je vrije meningsuiting wordt niet gesmoord, je kunt alleen tijdelijk even je IP-ranges niet aanpassen.

Dat zou ik echter wat al te makkelijk vinden. We hébben dat artikel 126ni Strafvordering dat specifiek regelt dat bij ernstige misdrijven waarbij dat dringend noodzakelijk is, de officier kan bevelen dat bepaalde gegevens bevroren moeten worden. Het is dan wel erg raar dat je bij een minder ernstig misdrijf als eenvoudig agent gewoon artikel 2 Politiewet kunt inroepen. Wat is dan immers nog het nut van dit ni-artikel? Waarom bij die ernstige zaken niet ook gewoon artikel 2?

Arnoud