Internetrecht door Arnoud Engelfriet

De Revu wordt niet gestraft voor het infecteren van 14.000 computers en het hacken van de mailbox van de geanonimiseerde Staatssecretaris van Defensie, zo las ik gisteren bij Security.nl. De politierechter vond dat het nieuwsfeit dat de mailbox te kraken was, belangrijk genoeg is om de hoofdredacteur vrij te spreken van het strafbare feit. De auteur van het artikel werd ook vrijgesproken, omdat hij niet betrokken was bij het daadwerkelijke inbreken. Hij kreeg de informatie achteraf en maakte daar een artikel van.

Ik heb hier grote moeite mee. Journalisten staan niet boven de wet en hebben niet het recht om 14.000 pc’s te infecteren om daarmee aan te tonen dat een wachtwoord te raden is door die pc’s er lekker veel te laten proberen. Ik heb sterk het vermoeden dat de politierechter onvoldoende rekenschap heeft gegeven van wat er nu feitelijk is gedaan. Als het nieuwsfeit was geweest “Voordeur huis staatssecretaris blijkt met bulldozer te forceren”, dan was het vonnis volgens mij heel anders uitgevallen.

De overwegingen uit het vonnis wijzen er namelijk sterk op dat de rechter zich heeft laten overtuigen door het beveiligingsaspect van de zaak. Immers, zo staat in het vonnis:

Hierbij wordt voorop gesteld dat de vraag of de privé emailboxen van bewindslieden voldoende beveiligd zijn tegen inbraken van buitenaf, op zichzelf een zaak is die het algemeen belang raakt. … Verdachte heeft betoogd dat het plegen van de onderhavige strafbare feiten noodzakelijk was voor de onderbouwing van de stelling in het artikel dat het schortte aan die beveiliging.

Nu wil ik best geloven dat beveiliging van zulke mailboxen op zich een belangwekkend iets is voor journalisten, maar dat betekent nog niet dat elk hackje daarmee nieuwswaardig is. Zeker niet als het hackje gewoon een lompe brute force aanval is. Iedereen weet dat je met genoeg proberen elk wachtwoord weet te raden.

Bovendien -en dit is een juridische blog- lijkt het vonnis me in strijd met wat de Hoge Raad tot nu toe steeds zegt over dit soort “nieuwsmaak”-acties. Zoals ik vorig jaar december blogde, in 1995 luidde het oordeel nog dat een vervalste aanvraag voor een rijbewijs niet onder de vrije nieuwsgaring valt, ook niet als je wilde aantonen dat aanvragen voor een rijbewijs onder valse naam mogelijk zijn (27 juni 1995, NJ 1995/711, niet online). En in december 2006 oordeelde de Hoge Raad hetzelfde in een zaak over een ‘gat’ in het bancaire systeem van automatische incasso.

In die laatste zaak citeerde men instemmend het Gerechtshof, dat had bepaald:

Nu het aan de verdachte ten laste gelegde het doel van zijn onderzoek (publiekelijk bewijs te vergaren voor zijn stellingen) voorbij is geschoten en hem andere, minder verstrekkende methodes ten dienste stonden, oordeelt het hof de jegens verdachte ingezette strafvervolging ter voorkoming van (soortgelijke) strafbare feiten en ter bescherming van de rechten van anderen, meer in het bijzonder van die van bovenaangegeven (rechts)personen, zowel passend als geboden.

Bij de incassozaak had de journalist een groot aantal incasso-opdrachten verstuurd voor soms substantiële bedragen van rekeningen van volslagen onbekenden. Hij had ook kunnen volstaan, aldus het Hof, met 1 grote incasso van een betrokken partij (bv. de directeur van de betrokken bank). En die analogie kun je zonder moeite doortrekken naar hier: was het nu echt nodig om 14.000 pc’s te infecteren om aan te tonen dat je met genoeg pc’s een wachtwoord kunt kraken?

En feit blijft (zoals Brenno de Winter al schreef) dat Revu het echte nieuws gemist heeft.

Anders nieuwswaardig feit is dat Hyves kennelijk goed functioneert als distributieplatform voor het verspreiden van virussen die een botnet bouwen. Gebruikers vertrouwen de website, terwijl nu blijkt dat er zeer kwaadaardige content op kan staan. Ook dit werd niet als nieuwswaardig feit gesignaleerd.

Waar ik nu heel bang voor ben, is dat al die scriptkiddies die eerst riepen “ik bewijs mensen een dienst door de beveiliging te checken” nu gaan roepen “oh ik ben journalist want ik onderzoek maatschappelijke misstanden door onvoldoende beveiliging”.

Arnoud
Afbeelding afkomstig van Revu.

Op een afgeschermde Hyvespagina een opmerking plaatsen kan smaad zijn, ook als er maar een man of twintig toegang heeft tot die Hyve. Dat blijkt uit een arrest van het Gerechtshof Leeuwarden van vorige week. Dit bevestigt het vonnis van de politierechter van vorig jaar in deze zaak. Ik klaagde toen dat het vonnis niet gepubliceerd was, maar gelukkig publiceert het Hof haar arrest wel.

De opmerking in kwestie kwam neer op “ik moet mijn kind meegeven aan een pedo”, waarmee de plaatser haar ex-partner bedoelde. Zo’n opmerking is eigenlijk altijd smaad, maar hier speelde dus de juridische kwestie of deze vrouw wel de vereiste “ruchtbaarheid” wilde geven aan de opmerking. Smaad is namelijk alleen strafbaar als er ruchtbaarheid wordt gegeven, als de opmerking “ter kennis van het publiek” wordt gebracht of dat in ieder geval je bedoeling was. Volgens de Hoge Raad wordt met “publiek” een relatief brede kring van betrekkelijk willekeurige derden bedoeld.

Het Hof bepaalt nu dat zo’n afgeschermde Hyve ook telt als zo’n relatief brede kring, zodat uitlatingen die daar staan ook onder smaad kunnen vallen.

Het betrof immers niet een beperkt aantal geadresseerden die -zoals de raadsman de vergelijking maakt- in de beslotenheid van de huiskamer vertrouwelijke informatie krijgt toevertrouwd. In het onderhavige geval gaat het om een in potentie ruimere kring van personen, die kennelijk naar eigen inzicht en zonder enige restrictie over de uitlatingen mocht beschikken, waarbij daarnaast een verdere verspreiding van de gewraakte tekst door de oorspronkelijk geadresseerden -gezien de aard van de beschuldiging- voor de verdachte niet alleen in theorie voorzienbaar was maar ook op voorhand feitelijk te verwachten viel.

Het is jammer dat geen aandacht werd besteed aan de lijn die de rechtbank Amsterdam vorige zomer inzette. De rechtbank oordeelde toen dat je op een besloten forum niet voor het publiek spreekt, in een kennelijke poging het grondrecht vrije meningsuiting eens wat nadrukkelijker neer te zetten. In een arrest van het Hof Amsterdam van vlak daarna werd de intrigerende opmerking gemaakt dat “Niet gebleken is dat de website bijvoorbeeld met een wachtwoord was beschermd”, wat me toen al deed afvragen of een website met een wachtwoord niet openbaar zou zijn.

Arnoud
Foto: Robert Gaal, Flickr, CC-BY 2.0.

Communitysites zoals Hyves, Web-log en Myspace geven veel te makkelijk toe aan claims van derden over inbreuk op auteursrechten. Zonder enig overleg met de gebruiker of zelfs maar controle van de juistheid van de claim verwijderen de beheerders materiaal waarover geklaagd wordt. Dat blijkt uit een onderzoek (PDF) onder de zeven belangrijkste communitysites dat (mijn) juridisch adviesbureau ICTRecht in maart en april 2009 heeft uitgevoerd. Ook te lezen op Nu.nl.

Zie het persbericht op de ICTRecht blog voor alle details; hieronder een samenvatting.

We plaatsten het Peter Pan-verhaal ‘The Little White Bird‘, waarvan de auteursrechten vervallen waren, op weblogs en profielpagina’s aangemaakt bij communitysites Web-log.nl, punt.nl, Netlog.com, Hyves.nl, WaarBenJij.Nu, Blogger.com en Myspace.com. Vervolgens stuurden we een sommatie namens de fictieve ‘Peter Pan Heritage Foundation’ om verwijdering van deze berichten te eisen.

Vrijwel alle sites, inclusief marktleider Hyves, reageerden direct door het bericht, of zelfs de gehele weblog of profiel, te verwijderen. Het eigen beleid over dergelijke klachten werd niet gevolgd. Klachten van de houder van de weblog/profiel mochten niet baten: er was een claim over auteursrecht, dus de pagina moest weg. “Auteursrecht kan niet zomaar vervallen lijkt me”, aldus een helpdeskmedewerker. Alleen Blogger.com en Punt.nl verwijderden het materiaal niet, om procedurele redenen.

Notice en takedown is een leuk idee, maar in de praktijk blijkt het veel te makkelijk voor een zogenaamde rechthebbende om van alles weg te krijgen. Ik vind dat bijzonder ernstig. Het laat maar weer eens zien hoe makkelijk rechthebbenden het hebben en hoe weinig tegengas ze krijgen. Tussenpersonen zoals providers of hosters van communitysites zouden meer op moeten komen voor de belangen van hun gebruikers, ook als die mogelijk rechten schenden.

(Uiteraard waren we geïnspireerd door het Multatuli-project van burgerrechtenorganisatie Bits of Freedom uit 2004.)

Arnoud

Een helaas veel voorkomende vraag:

Mijn partner en ik zijn gescheiden. Nu wonen de kinderen bij mij, maar hij (soms zij) is het daar niet mee eens en is een site (of een Hyve of een weblog) begonnen waarin hij zijn ongenoegen daarover spuit. Dat is tot daaraan toe, maar hij heeft er nu ook foto’s (soms filmpjes) van de kinderen bij gezet. Dat wil ik niet, zeker niet nu hij er allemaal rare teksten over hen bijzet. Kan ik daar als ouder iets tegen doen?

Persoonlijke gegevens over een minderjarige, inclusief hun naam en portretfoto’s, mag je alleen publiceren met toestemming van de ouders. Ja, ook als je zelf de minderjarige bent. En ja, al die kinderprofielen op Hyves, Habbo en elders schenden de privacywet. Maar dat terzijde.

Het probleem is hier dat de twee ouders nu verschillende opvattingen hebben: de ene ouder vindt het prima dat het kind met naam en gezicht op internet te zien is, en de andere wil het niet hebben. Als de publicerende ouder geen ouderlijke macht meer over het kind heeft, dan is het duidelijk dat deze fout zit als hij (zij) tegen de wil van de ouder-verzorger ingaat.

Het komt ook voor dat beide ouders formeel nog de gezamenlijke macht hebben over de kinderen. Dan is het vrees ik niet goed geregeld wat er moet gebeuren als de ene ouder toestemming geeft voor een publicatie en de andere deze weigert. De Wet Bescherming Persoonsgegevens houdt hier geen rekening mee, en ik kon ook niets vinden over deze problematiek in de jurisprudentie.

Op grond van het portretrecht zou je als verzorger wel iets moeten kunnen doen aan de foto’s: het privacybelang van het kind is evident, en er is weinig tot geen rechtvaardiging te bedenken waarom je bij zo’n protestsite een foto van je kind moet laten zien. Die foto’s of films zijn dus wel weg te krijgen. Maar de naam en leeftijd en dergelijke? Dat wordt heel erg moeilijk vrees ik.

Dit zijn van die zaken waar je eigenlijk geen juridisch antwoord op zou willen hoeven geven. :S

Arnoud

Collega-jurist Danny Mekic’ kwam onlangs met de interessante observatie: hoe zit het met vertrouwen van gadgets op sociale netwerksites zoals Hyves?

Gadgets of widgets zijn kleine applicaties die je op een webpagina, blog of iets dergelijks kunt opnemen. Daarmee kun je bijvoorbeeld laten zien of je online bent op MSN, spelletjes toevoegen, het weerbericht in jouw stad laten zien of andere al dan niet nuttige dingen voor je bezoekers doen. Maar die applicaties kunnen ook allerlei persoonsgegevens verzamelen en daarmee enge dingen doen.

Vrij weinig mensen staan daarbij stil. Mensen vertrouwen Hyves, schrijft Danny terecht. Hyves heeft toch een privacypolicy? Dus dan zal het wel goed zitten met die privacyaspecten.

In de Hyves privacy policy staat echter:

Verder is het zo dat Hyves derden de mogelijkheid geeft om applicaties te ontwikkelen op basis van de Hyves API te ontwikkelen. Dit zijn, kort gezegd, applicaties die gebruik maken van Hyves. Deze applicaties worden gemaakt door derde partijen die niet aan Hyves gelieerd zijn. Ze worden dus niet door, voor of namens Hyves gemaakt. Hyves heeft geen invloed op de werking van deze applicaties of wat er met jouw gegevens gebeurt, als je gebruik maakt van een dergelijke applicatie. Als je een applicatie toestemming geeft voor het gebruik van jouw (persoons)gegevens, valt dit dan ook buiten de verantwoordelijkheid van Hyves. Je kunt je gegeven toestemming altijd zelf weer intrekken.

Kortom, Hyves stelt zich niet aansprakelijk voor privacyschendingen door gadgets of widgets.

Bij de zin “wij stellen ons niet aansprakelijk” zou u nu moeten denken “dat hoeft ook niet, dat doe ik wel”. Maar gaat dat hier op? Ik denk van niet.

De Hyves API is een generieke omgeving waarbinnen elke mogelijke applicatie ontwikkeld kan worden. Hyves heeft daar weinig tot geen invloed op. Tenzij men allerlei speciale maatregelen gaat nemen. Hyves zou bijvoorbeeld het systeem zo kunnen bouwen dat alleen gecertificeerde applicaties kunnen werken. Aan certificatie kunnen dan eisen worden gesteld, zoals het zich houden aan de privacywetgeving.

Maar daarmee halen ze zich een gigantische berg werk op de hals. Plus: is het wel realistisch om te verwachten dat men kan controleren op mogelijke privacyschendingen? Ik denk het niet. Microsoft probeerde dit al eerder met gesigneerde ActiveX controls maar echt lekker werken doet dat niet. Waarom zou het voor Hyves anders zijn?

Het enige wat ik nog kan bedenken, is dat Hyves bij installatie van een widget een waarschuwing toont dat zij niet aansprakelijk zijn. Maar goed, dat wordt dan toch blindelings weggeklikt. Dus meer dan dit kan Hyves niet doen, denk ik.

Arnoud
PS excuses voor de flauwe grap in het plaatje, maar ik wist niks beters ter illustratie van een API(E).

Intrigerend. Via SOLV vond ik een vonnis over stalking via internet, waarbij de dader onder andere een website en Hyve had aangemaakt met de naam en foto van zijn slachtoffer. Perfect dus voor een blogpost, maar toen ik het vonnis wilde lezen, kreeg ik slechts: Deze uitspraak is ingetrokken door de centrale redactie.

Nu zag ik in de bespreking bij Solv de nodige namen en andere persoonlijke details genoemd. Vonnissen op rechtspraak.nl worden altijd geanonimiseerd, maar in dit geval was dat niet gebeurd. Alleen zou ik dan verwachten dat men het vonnis alsnog snel anonimiseert in plaats van het geheel weg te laten.

Mogelijkerwijs besloot de redactie dat de privacy van de slachtoffers dusdanig zwaar woog dat het hele vonnis maar offline moest. Jammer, maar begrijpelijk. Want het is toch een intrigerende uitspraak als je leest:

In het licht van bovenstaand, verbiedt de rechter [gedaagde] onder meer om zich in woord en/of geschrift, of dat nu via internet, weblog, e-mail, sms, krant, persoonlijke schrijvens en circulaires of anderszins is, uit te laten omtrent [eisers] of zijn relatie met (één van) hen of zijn gevoelens jegens één van hen.

(anonimisering door mij)

Arnoud

Een afgeschermd Hyves-profiel kan in geval van smaad als openbaar worden beschouwd, meldde Nu.nl gisteren. Bij een afgeschermde Hyve kunnen alleen mensen die als ‘vriend’ zijn toegevoegd, iemands profiel of krabbels (berichten) lezen. Voor smaad (art. 261 Strafrecht) is echter nodig dat de uitlating in het openbaar gedaan wordt. Wat je tijdens het afwassen tegen je moeder zegt (hoi mam!) kan dus geen smaad zijn. Wat je op een zeepkist in het park zegt, is openbaar en kan dus smaad zijn.

De politierechter in Assen heeft afgelopen maandag besloten dat een afgeschermde Hyve eerder te vergelijken is met een zeepkist in het park dan de keuken van mijn moeder. Irritant is wel dat dat vonnis dus nergens te vinden is (wie het heeft, mag het mailen, graag!) zodat ik de motivatie niet kan nalezen of bespreken. Update (9 november 2009) het vonnis is bevestigd in hoger beroep.

In een vonnis van afgelopen juni bepaalde de rechtbank Amsterdam nog dat een internetforum (Polinco) geen openbaar medium was, omdat men niet onverhoeds tegen de uitlatingen op het forum aan kon lopen. In een recent arrest van het Gerechtshof in Amsterdam werd deze redenering echter juist weer onderuit gehaald:

Door gebruik te maken van het internet heeft verdachte welbewust gekozen voor een medium met een groot potentieel publieksbereik en kon via zijn website ook daadwerkelijk een groot publiek worden bereikt. Daaraan doet niet af dat internetgebruikers de website van verdachte moesten aanklikken en aldus “niet ongevraagd” zoals bij het medium radio of televisie, met verdachte’s opinies in aanraking kwamen. Niet gebleken is dat de website bijvoorbeeld met een wachtwoord was beschermd. Het is een feit van algemene bekendheid dat het gebruik van internet een enorme vlucht heeft genomen en het hof ziet geen reden voor wat het publieksbereik betreft een onderscheid te maken tussen radio en televisie enerzijds en internet anderzijds.

Intrigerend hier vind ik die opmerking over wachtwoorden. Zou het arrest anders zijn uitgevallen als er wel een wachtwoord op de site had gezeten? Want dan zou de smadelijke Hyve ook niet verboden hoeven worden. Een systeem met autorisatie op basis van een vriendenlijst lijkt me toch sterk vergelijkbaar

Hoe openbaar vinden jullie dat afgeschermde Hyves-krabbels of profielen zijn?

Arnoud

“Ik stem toe met de voorwaarden en ben ouder dan 13 jaar.” Wie zich op een Nederlandstalig forum registreert dat phpBB gebruikt, moet op deze zin klikken om de registratie te voltooien. Die zin is rechtstreeks afkomstig uit de Amerikaanse versie, waar de Children’s Online Privacy Protection Act eist dat forumbeheerders uitdrukkelijke toestemming van de ouders moeten vragen voordat ze personen onder de 13 jaar lid mogen laten worden van het forum.

De Nederlandse wet is veel strenger. Voor personen onder de zestien jaar is toestemming van diens ouders of verzorgers nodig.

Minderjarigen (personen onder de achttien) kunnen alleen overeenkomsten sluiten als zij daarvoor toestemming hebben van hun ouders of verzorgers. Een overeenkomst zonder toestemming kan altijd door de ouders worden teruggedraaid. De wederpartij heeft dan pech; hij kan zich niet beroepen op bijvoorbeeld het feit dat hij dacht dat de koper meerderjarig was. Registratie bij (lid worden van) een forum is ook een overeenkomst en valt dus ook onder deze regel.

De toestemming wordt verondersteld te zijn gegeven als de overeenkomst voor personen van diezelfde leeftijd gebruikelijk is. Een twaalfjarige kan dus rechtsgeldig een blikje cola kopen op het station. Een zeventienjarige kan een mountainbike kopen. De ouders van deze twee kunnen daar niets tegen beginnen.

Internet is natuurlijk erg populair onder jongeren, dus je kunt goed verdedigen dat lid worden van een internetforum gebruikelijk is. Daarmee is het voor jongeren toegestaan om zich zonder expliciete toestemming van hun ouders op te geven. Zou je denken.

De spelbreker hier is namelijk de artikel 5 van de Wet Bescherming Persoonsgegevens. Bij registratie op een forum geef je namelijk persoonsgegevens aan de site. Daarvoor is toestemming van de ouders nodig als de minderjarige de leeftijd van zestien jaren nog niet heeft bereikt.

En die toestemming moet altijd expliciet worden gegeven. De regel hierboven van “verondersteld te zijn gegeven” geldt hier niet.

Het “ik ben ouder dan dertien” moet in Nederland dus “ik ben minimaal zestien” worden.

En dat realiseren zich maar weinig sites. Habbo Hotel: “wanneer je jonger bent dan 12 jaar”). Myspace “verklaart en garandeert u dat … u 14 jaar of ouder bent”. Sugababes en Superdudes: “Je moet minimaal 13 jaar zijn om lid te mogen worden”. Hyves: stelt geen eisen. TMF: idem. De Nederlandse vertalers van phpBB bevelen zelfs aan de hele controle te verwijderen.

De Richtsnoeren persoonsgegevens op internet van het College Bescherming Persoonsgegevens leggen uit waarom:

De dagelijkse gang van zaken op internet is dat veel jongeren gedetailleerde informatie over zichzelf en hun vrienden en kennissen publiceren op internet, op een eigen website of in sociale netwerkomgevingen. Zo lang de betrokkenen geen hinder ondervinden van dergelijke publicaties, kan het wettelijk toestemmingsvereiste daarbij soms zinloos lijken. Bij publicatie op internet moet echter rekening worden gehouden met het feit dat de gevolgen pas jaren later merkbaar kunnen worden, door koppeling van gegevens over een persoon door de tijd heen, of omdat een jongere zich in een nieuwe omgeving (bijvoorbeeld bij wisseling van school) op een andere manier wil kunnen ontwikkelen dan voorheen.

Arnoud

Steeds meer mensen bloggen of gebruiken sociale netwerken zoals Hyves, Linkedin, Myspace en Facebook. De meeste daarvan zijn puur voor privé: berichtjes uitwisselen met je vrienden, foto’s delen enzovoorts. Slechts een enkeling (met name Linkedin) richt zich primair op zakelijke netwerken. Toch worden die sites vooral onder werktijd gebruikt. Mag dat eigenlijk wel?

De Britse Trade Union Congress (TUC) heeft onlangs een paper gepubliceerd over sociale netwerken en de relatie tot het werk. Emerce citeert uit de conclusie:

“Dat sommige werkgevers de netwerken blokkereren, is een overreactie,” schrijft de TUC. Ze vindt dat goede werkgevers hun werknemers in ieder geval tijdens pauzes moeten toestaan om sociale handelingen te verrichten op hun Facebook of MySpace profiel. De belangrijkste reden: de netwerken zijn een onlosmakelijk onderdeel van de levens van veel werknemers geworden.

Nederlandse vakbonden hebben zich, zover bekend, nog niet over dit onderwerp uitgesproken, meldt Emerce er nog achteraan. We hebben natuurlijk wel het CBP-rapport Goed werken in netwerken (wat ik al kort noem in mijn gids Bloggen op het werk) en niet te vergeten het proefschrift Wangedrag van werknemers van Miranda Koevoets (2006).

Uitgangspunt is dat je als werknemer een zekere beperking op je vrijheid hebt te accepteren. Je wordt tenslotte betaald om te werken en niet om te twitteren. Maar dat betekent niet dat elk privé-telefoontje verboden is of even je Hotmail checken reden kan zijn voor ontslag. Laat staan dat de werkgever zomaar alle internetverkeer mag monitoren. Het CBP schrijft hierover:

In het algemeen zal een beperkte vorm van privé-gebruik worden toegestaan evenals bij telefoneren gebruikelijk is. In zijn algemeenheid is een totaal verbod op privé-gebruik van e-mail en internet niet aanvaardbaar. Alleen bij communicatiefaciliteiten met een specifieke doelstelling, kan het privé-gebruik verboden worden. De werknemer moet dan wel andere communicatiemogelijkheden ter beschikking hebben.

Overigens zou ook bij een algeheel verbod op privé-gebruik de werkgever nog niet het recht hebben om continue het gebruik te controleren. Dit zou immers een ingrijpende en niet-evenredige inmenging in het functioneren van de werknemers betekenen. Continue controle wordt door de Arbeidsomstandighedenwetgeving dan ook met reden als schadelijk gezien voor de gezondheid en het welzijn van de werknemer en zal in het algemeen ook niet kunnen worden gekwalificeerd als goed werkgeverschap.

En het draait om dat laatste. Een werkgever heeft de taak zich als “goed werkgever” te gedragen. Koevoets komt tot de conclusie (p. 78) dat dit betekent dat de privacy van de werknemer onder normale omstandigheden boven monitoren of loggen gaat. Pas bij een redelijk vermoeden van wangedrag mag de werkgever gaan observeren (zie ook cameratoezicht op het werk). Een essentieel element daarbij is het vooraf bekendmaken van het beleid over monitoren en toezicht.

Heeft de werkgever zo’n redelijk vermoeden, dan mag hij dus een werknemer in de gaten houden om te kijken of het vermoeden bevestigd kan worden. Blijkt na zulk toezicht dat de werknemer inderdaad onrechtmatig bezig is, dan kunnen aldus Koevoets de volgende sancties worden opgelegd:

de officiële, schriftelijke waarschuwing of berisping; overplaatsing; het passeren voor een periodieke verhoging; het intrekken van emolumenten; functieverlaging met de daarbij behorende loonsverlaging; vermindering van vakantiedagen; de schorsing of non-actiefstelling met of zonder behoud van loon; het inhouden van het loon; de boete; opzegging van de arbeidsovereenkomst, opzegging wegens een dringende reden en ontbinding door de kantonrechter, zowel wegens verandering in de omstandigheden, als wegens een dringende reden, als wegens wanprestatie.

De betreffende maatregel dient noodzakelijk te zijn ter beëindiging van de ongewenste situatie.

Arnoud

Een erg lastige vorm van computercriminaliteit is social engineering: niet een computer hacken maar de persoon er voor. Je voordoen als je slachtoffer, dat helaas zijn wachtwoord is vergeten (”en mijn gebruikersnaam is er-o-o-tee”) en zielig doen tot de helpdesk het wachtwoord verandert. Meer voorbeelden bij Microsoft en Securityfocus.

Daar heb je natuurlijk wel de nodige informatie over je slachtoffer bij nodig. Vroeger moest je dan diens vuilnisbak plunderen in de hoop een brief of bankafschrift te vinden. Tegenwoordig is dat een stuk makkelijker: bekijk iemands Hyves-profiel, blader door zijn Linkedin-contactenlijst of lees zijn weblog.

In Emerce een waarschuwend artikel over de risico’s van zulke Web 2.0-sites. Men citeert XS4All:

Met Web 2.0-toepassingen wordt van mensen verwacht dat ze informatie géven. Dat is wezenlijk anders dan de aard van het web een paar jaar geleden. Toen was internet er vooral om informatie tót je te nemen. Hoe meer je geeft, hoe meer risico je loopt. We vinden het verstandig om internetgebruikers erop te wijzen dat dat hun eigen risico is.

XS4All biedt ook een veiligheidstraining waar deze aspecten aan de orde komen.

Je voordoen als iemand anders kan computervredebreuk zijn. Het probleem is natuurlijk dat dat bijzonder lastig te bewijzen is als iemand jou je wachtwoord weet te ontfutselen. Dat laat geen sporen na die een echte ‘hack’ wel nalaat.

UPDATE: (6 september) ook Corcom heeft er een stukje over.

Arnoud