Internetrecht door Arnoud Engelfriet

Een lezer vroeg me:

Het is wat vroeg, maar ik was al begonnen met mijn belastingaangifte. En nu vroeg ik me ineens af, stel dat ik een zakelijk gekocht tuinmeubel privé gebruik in mijn achtertuin. Dat mag natuurlijk niet van de Belastingdienst, maar er staat een hoog hek om mijn tuin dus knappe inspecteur die daar achter komt. Via Google Earth zou hij het wel kunnen zien, maar mag hij dat eigenlijk wel? Is dat geen onrechtmatig verkregen bewijs?

De Belastingdienst verbiedt op zich niet zo heel veel, alleen ongewenste praktijken kunnen leiden tot extra heffingen. Zo mag je best zo’n meubel privé gebruiken, alleen merkt de Belastingdienst het dan aan als loon in natura zodat je een forse naheffing krijgt.

Hoe dan ook, inderdaad moeten ze er wel eerst achter komen. En dat zal niet meevallen met een grote schutting. Maar inderdaad kijkt Google Earth daar overheen, en als de inspecteur dus de moeite neemt daar gebruik van te maken dan heb je echt een probleem. Roepen dat het onrechtmatig verkregen bewijs is, gaat je niet helpen.

Ook de politie mag in deze openbare bron kijken, zo blijkt uit een recent vonnis. In deze fiscale strafzaak werd de maat van een advocatenkantoor vervolgd wegens belastingontduiking en valsheid in geschrifte. Zo werden er facturen en orderbonnen vervalst, en zouden er producten zakelijk gekocht zijn om die vervolgens privé te gebruiken zonder dit aan te geven als loonuitkering.

Onder meer had men bonnen gevonden voor lichtgele Bubble Club fauteuils, en daarna Google Earth geraadpleegd om te constateren dat deze in de eigen achtertuin van deze maat stonden.

Geverbaliseerd is hoe via Google Earth het privéadres van verdachte is opgezocht en hoe vervolgens is ingezoomd op de tuin van verdachte, waarin verbalisante twee gele stoelen zag staan die volgens haar grote gelijkenis vertonen met de door verdachte gekochte stoelen.

Ik had dat proces-verbaal graag gelezen, want verbalisantentaal is een wonderlijk mengsel van taalgebruik, waarbij elke zin moet beginnen met “ik, verbalisante”. Dus je krijgt dan iets als “ik, verbalisante, dubbelklikte op het icoon van Google Earth, waarna ik het adres invulde dat mij bekend was als het privéadres van verdachte invoerde. Daarna constateerde ik, verbalisante, dat de applicatie een inzoomende animatie vertoonde naar Nederland en vervolgens een afbeelding liet zien welke mij, verbalisante, voorkwam als een bovenaanzicht van het privéadres van verdachte inclusief diens achtertuin. Daarna zag ik, verbalisante, in deze kennelijke achtertuin twee gele stoelen staan die volgens mij grote gelijkenis vertonen met de door verdachte gekochte stoelen.”

Hoe dan ook: mag deze agente dit doen en de uitdraai vervolgens als bewijs gebruiken?

Die vraag is serieuzer dan je zou denken, want de politie mag bij de opsporing in principe alleen de middelen gebruiken die in de wet zijn aangewezen als opsporingsmiddel. (Weet u nog, het gedoe om het IP-bevriezingsbevel tegen RIPE uit december?) Het via Google Earth inzoomen op een private plaats is geen in de wet genoemde opsporingsmethode, betoogde de verdachte dan ook. En iemands achtertuin is toch een privéplek, zodat je er niet met de generieke regel uit artikel 2 Politiewet komt. Die mag alleen worden gebruikt als dat slechts een ‘geringe’ inbreuk op de privacy oplevert.

De rechtbank gaat daar niet in mee. Het via Google Earth inzoomen op een of meer plaatsen kan niet worden aangemerkt als het gebruik van bijzondere technische opsporingsmiddelen, “nu iedere burger bij het gebruik van het internet, zulks kan doen.” Dat gaat mij wat snel; een burger kan ook een camera plaatsen of een afluisterapparaatje installeren, en toch is dat wel degelijk een bijzonder middel.

Maar in de memorie van toelichting bij de Wet Computercriminaliteit II had de minister expliciet gezegd:

Zoals de politie, al dan niet in burger, op straat mag surveilleren en rondkijken, zo mag een rechercheur vanachter zijn computer hetzelfde doen op Internet. Een uitdrukkelijke wettelijke grondslag is daarvoor niet nodig, mits dat optreden gerekend kan worden tot de uitvoering van de politietaak (zie artikel 2 Politiewet 1993).

De rechtbank vindt, met deze uitspraak in het achterhoofd, het een keertje kijken op Google Earth een geringe inbreuk op de privacy die moet kunnen zonder speciale bevoegdheid. Ik denk met mede de overweging dat als de agente een pootje had gekregen van een collega en zo over de schutting had gekeken, er ook geen sprake was geweest van onrechtmatig verkregen bewijs. (”Ik, verbalisante, ontving vervolgens een zogeheten ‘pootje’ van medeverbalisante en verhief mij aldus tot ongeveer een decimeter boven de schutting van het huis van verdachte, alzo ik constateerde…”).

De verdachte krijgt een geldboete van € 17.000 en een taakstraf van 40 uur.

Arnoud

De bedenkers van spookfacturen zitten niet stil: het nieuwste exemplaar is afkomstig van IPV6Register te Rotterdam, las ik bij ISPam. Deze grapjassen versturen faxen met de bekende truc van vragen om correctie van gegevens en dat opvatten als een akkoord voor een dure onzinnige dienst.

In dit geval wordt 189 euro gevraagd op een fax die eruit ziet als een factuur, met ook nog eens “Ipv6 registratie” als omschrijving. Hoe je een IPv6 registreert, is me volstrekt onduidelijk. En dan komt het: die fijne kleine lettertjes die alles anders maken:

Op grond van de aan ons op basis van deze offerte verleende opdracht welke als factureringsgrondslag dient, leveren wij u de navolgende dienst.

Yeah right. Welke dienst dan wel? Dan moet je wel héél goed lezen:

U ontvangt een inlogcode en wachtwoord waarmee u toegang krijgt tot het ipv6 register hierin vindt u een overzicht van gecertificeerde ipv6 hardware en diensten.

Opmerkelijk genoeg meldt ISPam dat

De kleine letters geven prijs, dat dit een offerte is: “Dit is een aanbieding en geen factuur.”. Verdere actie jegens IPV6Register is dan ook niet mogelijk.

En dat terwijl de nieuwsbron, het Steunpunt Acquisitiefraude, spreekt van “nodig”. Dat is correct - actie is niet nodig, je kunt de fax weggooien.

Maar niet mogelijk? Dat klopt echt niet: wie deze fax invult en retourneert, kan wel degelijk actie ondernemen om die vordering van 189 euro ongedaan te maken. De strekking van de fax is duidelijk: u moet dit bedrag betalen voor registratie van uw IPv6. De kleine lettertjes geven daar een draai aan, maar daarmee kom je echt niet weg bij de rechter.

In een andere zaak met een bijdehand opgemaakte fax was de rechter snel klaar met de kleine lettertjes:

In de fax wordt niet alleen de aandacht getrokken naar de in een kader geplaatste, vetgedrukte nietszeggende tekstgedeelten in normale lettergrootte, terwijl de essentialia klein en niet vet zijn gedrukt, maar ook lijkt de te maken keuze -wel of geen automatische verlenging- te verwijzen naar het telefoongesprek waarin is gevraagd of [gedaagde partij] de gratis vermelding wel of niet tegen betaling wilde voortzetten.

Het Hof Den Haag oordeelde in 2008 dat je niet vastzit aan een contract wanneer zo’n fax alleen in de kleine lettertjes meldt dat sprake is van een aanbod. Ik heb er dan ook geen twijfel over dat je niet hoeft te betalen als je deze fax toch zou tekenen en terugsturen, hoewel het natuurlijk wel een irritant gedoe gaat zijn om dit bedrijf daarvan te overtuigen.

Er loopt een proefproces van MKB Nederland over acquisitiefraude, maar dat zal nog wel even duren.

Arnoud

Een curator mag niet zonder meer privélaptops onderzoeken, ondanks dat er mogelijk bewijs van faillissementsfraude op te vinden is. Dat las ik gisteren op Webwereld naar aanleiding van een arrest uit Den Bosch. In deze zaak wilde de curator toegang tot gegevens op de privélaptop van de bedrijfsjurist van een failliet bedrijf, omdat hij vermoedens had van fraude.

In het originele vonnis vond de rechter het toegelaten dat de curator toegang mocht krijgen tot de laptop, maar in dit hoger beroep wordt dat echter teruggedraaid. De laptop was geen eigendom van het failliete bedrijf, dus kan de curator die niet zomaar opeisen. Wél heeft hij recht op inzage in de bedrijfsgegevens op die laptop. Hij mag een kopie van de data laten maken en deponeren bij een notaris om deze zo veilig te stellen.

Vervolgens is de vraag of de curator er ook iets mee mag doen. Mag hij de gegevens doorzoeken, of mag hij forensisch onderzoeksbedrijf IRS aan het werk zetten? Omdat het hier gaat om privacy, geeft het Hof geen algemene rechtsregel. Bij inbreuken op de privacy is het altijd afhankelijk van alle omstandigheden van het geval of het mag. Het Hof weegt dan ook de privacy van de jurist en het bedrijfsbelang van de curator tegen elkaar af. Wegen jullie mee?

In het voordeel van de jurist:

1. het betreft een laptop in privé-eigendom;
2. de privélaptop bevat ook “privacygevoelige privacybestanden”;
3. de bedrijfsjurist werkte voor zakelijke doeleinden altijd via het zakelijke netwerk, zodat de betreffende gegevens ook via dat netwerk te vinden (zouden moeten) zijn.

In het voordeel van de curator:

1. de curator heeft recht op de aan de failliet toebehorende informatie over haar administratie;
2. de curator heeft belang heeft bij onderzoek daarvan;
3. de bedrijfsjurist werkte dagelijks op deze laptop in het kader van zijn werk;
4. de bedrijfsjurist was lid van het managementteam en dicht bij het bestuur werkzaam;
5. de laptop is zowel zakelijk als privé gebruikt, zodat de bedrijfsjurist daarmee zelf heeft bewerkstelligd dat de gegevens vermengd zijn geraakt;
6. niet is uit te sluiten dat zakelijke bestanden uitsluitend op de harde schijf van de laptop zijn opgeslagen.

De curator had aangeboden dat de jurist er de hele tijd bij mocht blijven, zodat hij kon piepen als er sprake zou zijn van privégegevens. Maar dat vond het Hof niet genoeg. De curator had namelijk te weinig instrumenten om toezicht op IRS te houden, bv. een contract waarin stond hoe IRS met de gegevens om zou gaan.

Collega Wouter Dammers van Solv advocaten maakt me nieuwsgierig met zijn opmerking dat de curator “op andere wijze(n) inzicht kunnen krijgen in de betreffende zakelijke gegevens, zonder een inbreuk te maken op de bescherming van de persoonlijke levenssfeer van de bedrijfsjurist.”

Ik ben heel benieuwd hoe dan. Dit is namelijk écht een lastig probleem. Je ontkomt er niet aan dat je als onderzoeker privégegevens tegenkomt als je gaat zoeken. Afgaan op wat de jurist in dit geval zegt, gaat niet: hij zou natuurlijk te kwader trouw belastende gegevens zogenaamd als privédata kunnen aanmerken zodat je daar niet kijkt.

Oftewel: hoe doorzoek je een privélaptop naar zakelijke gegevens zonder kennis te nemen van privégegevens?

(Ook het doorzoeken van een bedrijfspc mag niet zomaar trouwens.)

Arnoud

Ja, daar stond ik even van te kijken. Ik heb op diverse plekken rondgetoeterd dat het niet duidelijk is of skimmen strafbaar is. Dit vanuit de gedachte dat er pas sprake is van oplichting als er werkelijk iets wordt gekocht met een nagemaakte kaart. Maar een lezer wees me op diverse vonnissen, zoals bv. rechtbank Zwolle en eerder rechtbank Breda, waarin het wel degelijk strafbaar werd geacht om skimapparatuur voorhanden te hebben en te proberen deze op pinautomaten te installeren.

In de wet staat namelijk een apart artikel dat gewoon het namaken van een betaalpas verbiedt (art. 232 lid 1 Strafrecht):

Hij die opzettelijk een betaalpas, waardekaart, enige andere voor het publiek beschikbare kaart of een voor het publiek beschikbare drager van identiteitsgegevens, bestemd voor het verrichten of verkrijgen van betalingen of andere prestaties langs geautomatiseerde weg, valselijk opmaakt of vervalst, met het oogmerk zichzelf of een ander te bevoordelen, wordt gestraft met gevangenisstraf van ten hoogste zes jaren of geldboete van de vijfde categorie.

Er hoeft dus geen sprake te zijn van daadwerkelijk ‘bevoordelen’ of daadwerkelijk zaken kopen of rekeningen plunderen. Zolang dat oogmerk er maar is, ben je al strafbaar. Wie legitiem onderzoek doet naar kwetsbaarheden in betaalkaarten hoeft zich dus geen zorgen te maken, want zo’n onderzoeker heeft niet het oogmerk zich te ‘bevoordelen’ (wetenschappelijke roem is geen ‘voordeel’ in de zin van de strafwet).

Nu waren er in de aangehaalde zaken nog geen betaalpassen nagemaakt. Het ging zuiver om het skimmen: het aanbrengen van apparatuur waarmee de gegevens konden worden gekopieerd die nodig zijn om betaalkaarten na te maken. Daar is geen expliciet artikel voor, maar we hebben wel de algemene regel van “poging tot” in het strafrecht. Zoals dat zo mooi heet: “wanneer het voornemen van de dader zich door een begin van uitvoering heeft geopenbaard” ben je al strafbaar als pleger van een poging tot een misdrijf.

Is het ophangen van een skiminstallatie een poging tot vervalsen van een betaalpas? Ja, zegt de rechtbank Breda:

Het plaatsen van een camera op een pinautomaat, waarmee de pincodes van de ingevoerde passen kunnen worden opgenomen, kan echter volgens de rechtbank niet anders worden uitgelegd dan te zijn gericht op de voltooiing van het misdrijf skimmen. … De pincode is bedoeld om te voorkomen dat onbevoegden betalingen doen langs geautomatiseerde weg ten laste van bevoegde gebruikers. Het kopiëren van de pincodes is een wezenlijk onderdeel van skimmen. Derhalve is het plaatsen van een camerabalk op zichzelf al een begin van uitvoering van het misdrijf skimmen.

Ook de rechtbank Zwolle redeneert op die manier. In die zaak werd nog geschermd dat de verdachte zelf niet de kennis had om de passen te maken, zodat het onmogelijk voor hem zou zijn om het misdrijf te plegen. Maar nee:

De omstandigheid dat verdachte mogelijk niet over de apparatuur en kennis beschikt om zelf de volgende stap in het valselijk opmaken van de bankpassen te kunnen zetten, wat daar verder ook van zij, doet aan het oordeel van de rechtbank niets af. Blijkens de verklaring van verdachte worden deze volgende stappen immers door anderen in de organisatie uitgevoerd. Aangezien verdachte het medeplegen van dit feit wordt verweten, is het niet vereist dat verdachte zelf ook tot het daadwerkelijk valselijk opmaken van bankpassen in staat zou zijn.

‘Medeplegen’ wil zoveel zeggen als samenwerken met een ander om zo in vereniging het misdrijf te plegen. Je bent allebei evenveel dader, zeg maar. Dit is strenger dan “medeplichtig”, waarbij je alleen maar gelegenheid, hulpmiddelen of assistentie hoeft te hebben geleverd.

Beiden rechtbanken leggen een gevangenisstraf op: in Breda 21 maanden, in Zwolle 6 maanden. Wat precies het verschil verklaart, kan ik zo niet vinden. Misschien omdat in Breda er meer apparaten geïnstalleerd waren.

Update (7 december 2011) in een andere zaak wordt voor onder meer skimmen én het ook echt namaken van de passen, alsmede oplichting, een straf van negenendertig maanden cel opgelegd.

Arnoud
Foto: Paul Wiegmans.

Gisteren werd ik gewezen op een juridisch probleem bij Tweakers: een gebruiker meldde opgelicht te zijn na een aankoop op het Vraag&Aanbod-deel van de communitysite. Hij had betaald (weliswaar een zeer lage prijs, maar goed, het is tweedehands) maar de verkoper liet vervolgens niets meer van zich horen. En als je dan gaat zoeken en de naam van die verkoper op sites als Opgelicht.nl aantreft, dan ga je je toch zorgen maken. Maar wat kun je doen?

Op sites als Tweakers’ Vraag&Aanbod of Marktplaats.nl komt dit helaas vaker voor. Net als bij oplichting in een schimmig achterafsteegje is het vaak heel moeilijk om de oplichter te pakken te krijgen als die eenmaal er vandoor is met het geld. Maar het is hier misschien iets makkelijker, want er is één ding dat die oplichter altijd achterlaat: zijn IP-adres. En aan de hand daarvan zijn in principe zijn NAW-gegevens te achterhalen bij de provider. En daarmee kun je dan weer een civiele procedure starten om je geld terug te krijgen - of aangifte doen, al is mijn ervaring dat dat laatste weinig uithaalt tenzij iemand echt grootschalig bezig is.

Punt is natuurlijk wel dat een Tweakers (of Marktplaats, of Ebay, of…) niet zomaar IP-adressen van gebruikers mag afgeven. Die adressen zijn persoonsgegevens en de site heeft dan een wettelijke plicht om deze geheim te houden. Afgifte aan derden mag in principe alleen als daar een wettelijke basis voor is. Het verbaast dan ook niet dat Tweakers hier streng in is in haar algemene voorwaarden:

Tweakers.net zal geen andere gegevens verstrekken aan partij(en) dan de gegevens die in de advertentie zijn gebruikt, uitgezonderd in gevallen zoals bedoeld in artikel 8. Om die reden is een feedbacksysteem ingevoerd dat door de gebruiker zelf wordt geïnitieerd en dat helpt te bepalen met wie u zaken doet.

Toch zal dit Tweakers niet in alle gevallen helpen. Het kan namelijk soms verplicht zijn om IP-adressen af te geven aan een derde, ook aan een private partij. Dat blijkt immers uit het arrest Lycos/Pessers, waarbij Pessers wilde weten wie smadelijke zaken over hem op een Lycos-website had gezet. Uit die zaak blijkt dat er vier eisen zijn om als gedupeerde persoonsgegevens op te mogen eisen:

1. de mogelijkheid dat de informatie, op zichzelf beschouwd, jegens de derde onrechtmatig en schadelijk is, is voldoende aannemelijk;
2. de gedupeerde heeft een reëel belang bij de verkrijging van de persoonsgegevens;
3. aannemelijk is dat er in het concrete geval geen minder ingrijpende mogelijkheid bestaat om de persoonsgegevens te achterhalen;
4. afweging van de betrokken belangen van de gedupeerde, de tussenpersoon en de betrokken gebruiker (voor zover kenbaar) brengt mee dat het belang van de gedupeerde behoort te prevaleren.

Het is dus geen uitgemaakte zaak dat je een IP-adres kunt opeisen, maar ook geen vanzelfsprekendheid dat het nooit hoeft.

In oktober vorig jaar werd deze eis geherformuleerd in een rechtszaak tegen Gmail:

1. Het moet voldoende aannemelijk zijn dat sprake is van onrechtmatig handelen van de desbetreffende gebruiker.
2. Het dient buiten redelijke twijfel te zijn dat degene van wie de gevraagde persoonlijke gegevens ter beschikking dienen te worden gesteld ook daadwerkelijk degene is die zich aan dit handelen schuldig zou hebben gemaakt.

Een groot struikelblok is meteen al de eerste eis. Die is geschreven voor situaties waarin een publicatie op internet zelf onrechtmatig is: een smadelijke website, of een illegaal geüpload muziek- of filmwerk bijvoorbeeld. Dat is nog wel enigszins objectief te beoordelen, hoewel bij smaad lang niet altijd. Maar hier is niet zozeer de advertentie onrechtmatig, maar de afhandeling ervan. En dat is een heel stuk lastiger na te gaan voor Tweakers: wie spreekt er de waarheid? Is deze klagende persoon werkelijk gedupeerd of wil hij om andere redenen dat IP-adres te pakken krijgen?

Ik zou zeggen dat één klacht over een advertentie onvoldoende is. Als Tweakers echter vele klachten van verschillende gedupeerden ontvangt, en die allemaal legitiem overkomen, dan zou zij wel gehouden kunnen zijn het IP-adres af te geven. Maar dan zou ik op zijn minst een stapeltje aangiften willen zien als Tweakers zijnde.

Arnoud