Tag: Strafrecht

About Strafrecht

Subscribe Feeds

Als de inspecteurs binnenvallen, gaan bij Uber alle schermen op zwart

Geplaatst op in Informatiemaatschappij, Ondernemingsvrijheid, 9 reacties

Als Uber in 2014 in Europa wil starten met taxidienst Uberpop, ontstaat er een strijd met de autoriteiten om deze dienst die gebruikmaakt van chauffeurs zonder vergunning te legaliseren. Dat meldde het FD onlangs. “Please hit the kill switch ASAP … Access must be shut down in AMS‘. Zo citeert men dan Uber CEO Travis Kalanick, die geschrokken reageert op een inval van de Inspectie Leefomgeving en Transport, die toezicht houdt op de taxidiensten. De schermen gaan dan ook op zwart, zodat niemand nog bij de informatie kan. Dat zou stevige juridische gevolgen moeten hebben.

Uit gelekte interne stukken blijkt dat Uber tot het uiterste gaat om Uberpop – haar illegale snordersdienst gepromoot als Web 2.0 sociale deeldienst – erdoor te drukken. Inclusief de inzet van Neelie Kroes, over wiens pro-Uber tweet ik me al in 2014 verbaasde omdat ze toen nog Eurocommissaris was. Maar dat terzijde. Zoals FD zegt, het was “direct duidelijk dat de taxidienst verboden is, en alleen een wetswijziging [kan] Uberpop uit de illegaliteit houden.” En de toezichthouder mag ze daar aan houden, en kan desnoods een inval doen om de bewijzen te verzamelen.

Uber ziet dat uiteraard anders, maar krijgt tot mijn (positieve) verrassing van Zuidaskantoor De Brauw te horen dat je daar echt aan moet meewerken.

Wat de advocaten niet lijken te weten, is dat Uber nog een plan achter de hand heeft om de handhaving te frustreren: het blokkeren van alle computers tijdens een inval. En dat is precies wat Uber eind maart en begin april 2015 tijdens twee invallen door de ILT doet. ‘Het lijkt er sterk op dat hier de wet is overtreden’, zegt Brendan Newitt, advocaat bij De Roos & Pen. ‘De toegang tot informatie is vergrendeld. Daarmee werkte Uber niet mee aan de vordering van de inspecteur. Dat is een economisch delict en ook een strafbaar feit vanuit het strafrecht. De administratie moet beschikbaar en inzichtelijk zijn.’
Dit is typisch zo’n nieuw probleem dat dankzij ict ontstaat. Vroeger stond je administratie op papier ergens in een kamer. Maar heel weinig bedrijven hadden dan een mega-versnipperaar of houtkachel paraat om alles te verbranden, en wie dat overwoog wist in ieder geval heel zeker dat hij iets deed dat niet de bedoeling was. Met ict middelen lijkt het allemaal minder erg, waardoor je vaker over dit soort trucs leest.

Het deed me denken aan de actie van Centric-directeur Gerard Sanderink, die zijn telefoon op afstand liet wissen bij een inval. Dat kostte hem een miljoen aan dwangsommen. Verschil is hier: dit is een inval door een toezichthouder in het kader van handhaving van een wet, geen actie in het kader van een civiel geschil. De medewerkingsplicht is een stuk groter en de straffen ook een stuk ernstiger. Kort gezegd, als je een inval van een toezichthouder krijgt dan werk je mee en verschaf je alle informatie (art. 5:20 Algemene wet bestuursrecht). Dat betekent dus ook dat je wachtwoorden verstrekt, toegang geeft tot databases en wat er maar nodig is. Dit is bestuursrecht, “tegen jezelf getuigen” is daarbij geen argument. De straf kan tot drie maanden cel oplopen, en dwangsommen kunnen worden opgelegd tot alle informatie wordt verstrekt.

Ook is het strafrecht hier in beeld, nu het gaat om het niet toegankelijk maken van de administratie. Vorig jaar werd nog een ondernemer veroordeeld tot een taakstraf voor het niet voeren van een administratie, een collega kreeg een boete van 4000 euro. Dat waren kleine ondernemers, de theoretische maxima zijn vier jaar cel of € 22.500 boete. Heel erg in theorie zou Nederland nu een verzoek tot uitlevering van Kalanick kunnen doen, zowel in de VS als hier is het immers strafbaar om je administratie te verhullen. Maar dan moet de politieke wil wel heel erg groot zijn.

Arnoud

Minister: providers die illegaal materiaal hosten zijn moeilijk te vervolgen edit

Geplaatst op in Regulering, 5 reacties

Het is voor de Nederlandse politie moeilijk om hostingproviders strafrechtelijk te vervolgen als ze illegaal materiaal hosten. Dat meldde Tweakers vorige week. In antwoord op Kamervragen meldt Ye?ilgöz van Justitie dan ook dat de politie voornamelijk inzet op samenwerking met de sector. Meer zou lastig zijn: hostingproviders kunnen onder de Europese wet niet aansprakelijk worden gesteld voor het gedrag van hun klanten. Eh, ja, maar iets ingewikkelder.

Deze discussie heeft niets te maken met de Europese regels over aansprakelijkheid van providers. Aansprakelijkheid is civiel (burgerlijk) recht, hier gaat het om strafrecht. Als je strafbaar bent, krijg je een boete of celstraf. Als je aansprakelijk bent, moet je iemands schade vergoeden.

Het klopt in zoverre dat toen de civiele regels over aansprakelijkheid van providers werden gemaakt, Nederland gekozen heeft voor ook een regel van strafrecht, artikel 54a Wetboek van Strafrecht. Die zegt, een provider is niet strafrechtelijk aan te pakken als hij na een bevel van de rechter-commissaris meteen het contentitem weghaalt waar het om gaat.

Dat leek destijds een goed idee, nadeel blijkt ondertussen dat dit gelezen wordt als “je moet per URL een bevel geven en dan halen we specifiek die URL offline”. Waardoor criminele klanten bij wijze van spreken één letter veranderen in de abs_path en het weer online zetten. En er is geen juridische basis om providers te bevelen een klant te weren of een hele site offline te halen.

Er wordt nu gewerkt aan nieuwe Europese regels die meer strafrechtelijke armslag moeten geven, zodat een provider ook strafrechtelijk te vervolgen zou worden wanneer hij weigert een klant geheel af te sluiten die grootschalig de strafwet overtreedt.

Arnoud

OM eist 5 jaar van winkelier die breekijzer verkoopt, pardon tegen leverancier PGP Safe-telefoons

Geplaatst op in Regulering, Security, 19 reacties

Het Openbaar Ministerie heeft een gevangenisstraf van vijf jaar geëist tegen een 56-jarige Huizenaar die wordt verdacht van het leveren van versleutelde PGP Safe-telefoons. Dat meldde Security.nl onlangs. Ik kreeg er veel mails over: bij de GAMMA koop je toch ook breekijzers, zaklampen en handige rugzakken, hoezo zijn die dan niet aansprakelijk als inbrekers daar inslaan en de buurt leeghalen? Wat is het verschil tussen een cryptofoon en een breekijzer, juridisch gezegd?

Er staat al een belangrijke hint in het artikel: de verdachte wist dat zijn producten en diensten vooral door criminelen bij strafbare feiten werden gebruikt, aldus het Openbaar Ministerie. En dat maakt het wel anders dan een bouwmarkt die wellicht een strafbaar feit kan vermoeden als iemand loog, een plastic badkuip en grote vuilniszakken komt kopen. Die kán daaruit wel vermoeden dat hier een misdrijf gepland wordt, maar echt zekerheid heb je niet.

Als je het echt wéét, dan wordt het een ander verhaal. We komen dan bij medeplichtigheid terecht namelijk (art. 48 Sr), in de vorm van opzettelijk gelegenheid, middelen of inlichtingen verschaffen tot het plegen van het misdrijf. Als de bouwmarktklant dus vraagt, hoe maak ik het beste een lijk weg, en de winkel wijst op de hierboven genoemde producten, dan is de winkel strafrechtelijk een medeplichtige wanneer dat misdrijf ook werkelijk wordt gepleegd.

Weinig criminelen zullen in zo’n situatie echter letterlijk zeggen “ik wil een lijk wegmaken kunt u helpen”, precies om deze reden. En bij de bouwmarkt is “ik ben een huis aan het opknappen, de badafvoer is volkómen verstopt” natuurlijk een reële reden om loog en een badkuip te kopen.

Voor cryptofoons valt eenzelfde redenering ook op te zetten, er zijn genoeg redenen om zo’n ding te hebben. Industriële spionage, persoonlijke veiligheid, het leuk vinden om zoiets te hebben, bezorgd zijn over tracking door Google of Apple, noem ze maar op. Enkel verkopen van zo’n product maakt dus zeer zeker niet dat je medeplichtig bent, zelfs niet als de koper als naam een bekende crimineel opgeeft.

In januari blogde ik over een VPN-dienst die door Justitie werd aangepakt wegens medeplichtigheid. Het ging om een vpn aanbieder die nadrukkelijk zichzelf profileert als handige dienst voor criminelen, bijvoorbeeld door te adverteren op hackfora en andere plekken waarvan bekend is dat crimineeltjes (‘scriptkiddies’ en dergelijke) er actief zijn. Ook zouden reclameberichten nadrukkelijk wijzen op het niet gevonden kunnen worden door opsporingsdiensten.

Eenzelfde argumentatie zou hier moeten opgaan. De vraag is natuurlijk waaruit dat “daadwerkelijk weten” gaat blijken, dat zullen we als bewijs naar voren zien komen in de rechtszaak. Ik ben benieuwd, hebben jullie ideeën?

Arnoud

 

 

Hoe zwaar weegt gezichtsherkenning in het strafrecht?

Geplaatst op in Regulering, 17 reacties

Het lijkt erop dat degene die op 5 augustus 2017 om 2.31 uur bij de geldautomaat is gefilmd, ook in de politiedatabase staat: Thomas. Zo introduceert Nu.nl een strafzaak waarin gezichtsherkenning door het politiesysteem CATCH centraal stond in het bewijs. Nadat ook twee onderzoekers de gezichten met elkaar vergelijken, concludeert het Centrum voor Biometrie namelijk dat Thomas veel overeenkomsten en geen significante verschillen vertoont met de persoon die om half drie ’s nachts pint. Hebbes, zegt de statistiek. Nope, zegt de rechtbank Den Bosch.

De strafzaak (vonnis) gaat over een hele trits feiten, niet alleen een keer pinnen met andermans pinpas, maar ook witwassen en lidmaatschap van een criminele organisatie. De rechtszaak is namelijk onderdeel van een groter onderzoek naar een bende die bankrekeningen plundert. En kennelijk is ‘Thomas’ (de naam is nep) de leider van dat netwerk want hij heeft statistisch gezien gepind met een gestolen pas?

Herkennen van mensen van foto’s is natuurlijk altijd lastig. Maar hier werd niet door menselijke getuigen of rechercheurs gekeken; het gaat om een automatisch gezichtsherkenningssysteem dat CATCH heet. De cijfers zijn schokkend: jaarlijks gaan zo’n duizend foto’s van verdachten door de database met 1.3 miljoen mensen. En dat levert dan 98 keer een match op. Nee, niet 980 of 98%, acht-en-negentig. Net geen honderd. Ja, ik val ook van mijn stoel.

Waarschijnlijk komt dat lage aantal omdat de meeste beveiligingscamera’s de kwaliteit van een aardappel hebben, als ik de beelden van Opsporing Verzocht mag geloven. Plus, veel criminelen weten natuurlijk dat ze hun gezicht moeten bedekken om niet te makkelijk herkend te worden. En men zal vast ook alleen een match willen geven als het systeem het heel zeker weet.

Maar hoe zeker is zeker? Dat weten we niet, en dat is ook fundamenteel lastig. Al is het maar vanwege de vraag of de werkelijke dader wel in het systeem zit. Anders krijg je gewoon “de best matchende persoon is deze” en als dat ook een hoog percentage betrouwbaarheid geeft, dan is de conclusie “dit is hem” snel gelegd. Natuurlijk kijken er dan nog mensen naar, maar “even checken, dit is hem toch” is heel wat anders dan “hier zijn duizend gezichten, welke is het”.

De rechtbank is er dan ook héél snel klaar mee:

De rechtbank is van oordeel dat in dit geval de ‘hit’ op verdachte in het zgn. CATCH-systeem (Centrale Automatische Technologie voor herkenning) onvoldoende is om te concluderen dat verdachte – buiten redelijke twijfel – als pinner kan worden aangemerkt. De opmerking dat twee onderzoekers zagen dat er veel overeenkomsten waren en geen significante afwijkingen, acht de rechtbank niet zodanig overtuigend dat de ‘hit’ als basis voor een bewezenverklaring kan dienen. Nu er buiten de herkenning geen andere bewijsmiddelen voorhanden zijn die verdachte verbinden aan een van de ten laste gelegde feiten, is de rechtbank van oordeel dat verdachte dient te worden vrijgesproken.

Bij een strafzaak moet het gaan om wettig en vooral overtuigend bewijs. Oftewel, geen redelijke twijfel. Enkel “hij lijkt best goed” is niet hetzelfde als “er is geen twijfel dat dit hem is”. Tussen de regels door lees ik dat de rechtbank alléén een fotoherkenning te weinig vindt. Had zijn telefoon even uitgepeild, een vingerafdruk genomen of iets anders dat hem op de plaats delict zet. Maar dit is echt te weinig.

Arnoud

Wacht, Marktplaatsoplichting is geen oplichting?

Geplaatst op in Informatiemaatschappij, 22 reacties

Een verrassing voor velen: de bekendste vorm van online oplichting, namelijk gewoon het geld pakken en niet leveren, is juridisch geen oplichting. Kwam recent nog langs en het blijft verwarrend. Maar de kern is dat we niet iedere vorm van wanprestatie tot een strafbaar feit willen verheffen, zeker omdat het wetsartikel voor oplichting uitgaat van echt een of andere truc.

In het gewone spraakgebruik spreken we al snel van oplichting als iets tegenvalt en je je geld (of spullen) kwijt bent. De Van Dale stelt het gelijk aan bedriegen, wat dan weer “met opzet misleiden” betekent. Maar juridisch gezien zitten er heel wat meer haken en ogen aan. Dit is wat de wet zegt (art. 326 Strafrecht):

Hij die, met het oogmerk om zich of een ander wederrechtelijk te bevoordelen, hetzij door het aannemen van een valse naam of van een valse hoedanigheid, hetzij door listige kunstgrepen, hetzij door een samenweefsel van verdichtsels, iemand beweegt tot de afgifte van enig goed, tot het verlenen van een dienst, tot het ter beschikking stellen van gegevens, tot het aangaan van een schuld of tot het teniet doen van een inschuld, wordt, als schuldig aan oplichting, gestraft met gevangenisstraf van ten hoogste vier jaren of geldboete van de vijfde categorie.
De juridische definitie van “oplichting” eist dus heel wat meer dan alleen een stukje voor de gek houden of misleiden. Je moet echt een vuile truc uithalen. Dat kan dus met een valse naam of hoedanigheid, of door (oud-juridische taal is echt ongelofelijk prachtig) listige kunstgrepen of (nóg prachtiger) een samenweefsel van verdichtsels uit te halen. Maar doe je dat allemaal niet, dan is het dus geen oplichting.

Het simpelste voorbeeld: ik zet op Marktplaats een telefoon te koop voor een lage prijs, mensen betalen me dat geld, ik sluit mijn account en lever nooit en te nimmer die telefoon. Sterker nog, ik héb niet eens een telefoon. Ik ben nu juridisch niet strafbaar, want welke valse naam of hoedanigheid heb ik gebruikt, wat was mijn listige kunstgreep of samenweefsel van verdichtsel dan? Die zijn er niet.

Natuurlijk, ik pleeg wanprestatie en ben dus civielrechtelijk voor de rechter te dagen. Ook heb ik (als ik professioneel handelaar ben) waarschijnlijk een oneerlijke handelspraktijk gepleegd en ben ik bestuurlijk te beboeten als de ACM heel veel zin heeft. En ik ben mijn account op Marktplaats kwijt, inclusief al mijn reviews en geschiedenis en dat doet ook pijn. Maar strafbaar, in de zin van een strafblad, boete en de cel in? Nee.

De kern is dat als je alléén maar niet levert (en dat ook niet van plan was), dat je dan geen oplichter bent omdat dat “valse voorwendselen of samenweefsel van verdichtsels” vereist. Je moet echt een truc uithalen om oplichter te zijn.

In 2016 zette de Hoge Raad de principes hierover nog eens op een rijtje. De kern is dat je niet iedere vorm van bedrog tot het misdrijf oplichting (vier jaar cel) wil verheffen. Het moet wel een ernstig geval zijn. Men citeert een voorbeeld van een internetondernemer die wist dat hij niet kon leveren maar desondanks de webshop open hield:

Niet elke vorm van bewust oneerlijk zakendoen levert het in artikel 326 van het Wetboek van Strafrecht strafbaar gestelde misdrijf ‘oplichting’ op. Dat geldt eveneens wanneer kan worden bewezen dat men is benadeeld door een persoon die niet van plan of in staat was zijn verplichting na te komen en die zich in strijd met de waarheid heeft voorgedaan als een bonafide (ver)koper.
Natuurlijk staan kopers dan een tikje in de kou. Maar er zijn genoeg andere middelen, zoals betalen met een beschermd middel (zoals de creditcard), onderzoek doen naar betrouwbaarheid (de reviews) of kopen bij bekende webwinkels (met keurmerken zoals Thuiswinkel Waarborg) of achteraf betalen dan wel bij het ophalen/ontvangen. (Oh ja, en in theorie de verkoper dus voor de rechter slepen, maar wie doet dat nou.) Het is dan eigenlijk niet meer nodig dat het strafrecht hier tegen ingezet kan worden.

Specifiek in de internetcontext zijn wel ontzettend vervelend de figuren die een gewoonte maken van niet leveren maar wel het geld houden. Daar is een oplossing voor bedacht, die recent in het strafrecht is beland (art. 326e Strafrecht):

Hij die een beroep of een gewoonte maakt van het door middel van een geautomatiseerd werk verkopen van goederen of verlenen van diensten tegen betaling met het oogmerk om zonder volledige levering zich of een ander van de betaling van die goederen of diensten te verzekeren, wordt gestraft met gevangenisstraf van ten hoogste vier jaren of geldboete van de vijfde categorie.

Hiermee is het dus wel mogelijk om grootschalige internetbedriegers aan te pakken, maar blijven de individuele “je zei dat je zou leveren dus ik ga aangifte doen” gevallen buiten het strafrecht. Ik ken nog geen veroordelingen onder dit artikel.

Arnoud

Man van 22 is schuldig aan uitvoeren van ddos-aanvallen, maar krijgt geen straf

Geplaatst op in Regulering, Security, 14 reacties

Een man van 22 uit Scheemda is schuldig bevonden aan het uitvoeren van twee ddos-aanvallen op vrienden, las ik bij Tweakers. Hij krijgt daarvoor geen straf opgelegd. Het OM verdenkt hem van het uitvoeren van 76 aanvallen, maar de rechter acht dat slechts van twee bewezen. En gezien de beperkte schade van die twee, dat het feit in 2017 is begaan en het blanco strafblad tot dan toe is straf niet meer nodig. Opmerkelijk detail: meneer deed mee aan het Hack Right programma (een alternatief straftraject) maar rondde het niet af omdat hij daarvoor had moeten bekennen.

Het doet voor mensen gek aan dat iemand schuldig is aan een strafbaar feit (hier zelfs een misdrijf) maar desondanks geen straf krijgt. Maar dat kan: als de rechter geen reden ziet om straf op te leggen, dan hoeft dat natuurlijk niet. Zou de dader hier een beter mens van worden, of zou de maatschappij er beter van worden? Zo niet, dan is het verspilling van middelen.

In de comments zie ik nog de nodige discussie over dat HackRight programma. Dit is een speciaal programma om jonge hackers (men bedoelt: cybercriminelen) weer op het rechte pad te krijgen:

HackRight kan als alternatief voor een straf maar ook als onderdeel van of náást een straf opgelegd worden. Alleen jongeren die bekennen, geen zeer ernstige vormen van hacking hebben gepleegd en bereid zijn zich op een positieve manier te ontwikkelen, komen ervoor in aanmerking. Bovendien moet het om een eerste cyberdelict gaan. ‘Want dan is de kans dat ze hun gedrag veranderen het grootst’, licht Martijn Egberts toe. ‘Hack_Right bestaat uit vier modules, die je kunt zien als vier puzzelstukjes: herstel, training, alternatief en coaching. Elke module voegt iets toe aan de gedragsverandering van de jongeren.’
De term straftraject is wat verwarrend. Straf legt alleen de rechter op, en hier gaat het om een transactie, een schikking die je als verdachte met het OM afspreekt. Dat kan, maar betekent niet dat je veroordeeld bent. De rechter kan je niet veroordelen tot bijwonen van Hack Right, om de eenvoudige redenen dat dit niet in het wetboek van strafrecht als straf staat (artikel 9 Wetboek van Strafrecht).

Dat gezegd hebbende, je krijgt wel een strafblad als je hieraan meedoet want een OM-schikking of transactie wordt daarop vermeld. Dus als je als jongere in deze situatie zit, áltijd eerst met een advocaat overleggen.

Arnoud

Politie brengt app uit waarmee slachtoffer onderzoek kan doen naar misdrijf

Geplaatst op in Regulering, 14 reacties

De Nederlandse politie en het openbaar ministerie brengen op 1 juni een app uit waarmee burgers zelf onderzoek kunnen doen naar het misdrijf waar ze slachtoffer van zijn geworden. Dat meldde Tweakers maandag. Mensen kunnen onder andere getuigeninterviews afnemen en foto’s als bewijs uploaden. Het gaat om een kleinschalige proef in zes basisteams in vier politie-eenheden: Oost-Nederland, Oost-Brabant, Noord-Nederland en Rotterdam. Mensen die aangifte doen van diefstal krijgen de mogelijkheid aangeboden om via de app zelf onderzoek te doen. De app documenteert dan voortgang en bewijs, zodat alles als een mooi pakketje naar de politie kan. Wat natuurlijk de vraag oproept hoe dat zit met de bewijskracht.

‘Het is niet zo dat wij burgers vragen om ons werk te doen’, benadrukt initiatiefnemer Oscar Dros. ‘We zien het echt als een vorm van samenwerking. Mensen komen steeds vaker zelf in actie, of wij nu wel of niet met hun aangifte aan de slag gaan. Wij proberen het onderzoek door burgers met deze app zo goed mogelijk te ondersteunen.’

Mensen leveren nu ook al steeds vaker bewijsmateriaal aan, maar de aard en kwaliteit wisselt nogal. Met zo’n app kun je daar sturing in aanbrengen. Getuigen interviewen, foto’s opslaan, of zelfs een video opsturen waarin je achter de dader aanrent, ik kan het me allemaal zo voorstellen.

Maar mag dat wel, is dat wel rechtmatig verkregen bewijs? Wie deze blog langer leest, weet dat het korte antwoord bij burgerbewijs is: ja dat mag, er gelden geen regels voor hoe gewone mensen bewijs mogen vergaren om het bruikbaar te laten zijn. Al breek je in om het te krijgen, het is toelaatbaar. Los daarvan ben je wel strafbaar voor inbraak, maar dat tast het bewijs niet aan. (Wel kun je een inhoudelijke discussie over de betrouwbaarheid krijgen, heb jij na de inbraak het bewijs gemanipuleerd.)

Als de politie zélf op onderzoek uit gaat, moeten ze zich aan de regels van het wetboek van strafvordering houden. Die zijn een stuk strenger, zomaar een camera ergens ophangen of stiekem foto’s maken mag niet binnen een strafrechtelijk onderzoek. En als een agent een burger inzet om bij te dragen aan zijn werk, dan valt die burger ook onder die strenge regels. De politie kan niet aan de regels ontsnappen door een privédetective in te huren, zeg maar.

Nu wordt het ingewikkeld: als je als politie deze app uitdeelt, rekruteer je dan een burger om jouw werk te doen, of geef je mensen een technisch hulpmiddel voor vrijwillig werk dat buiten strafvordering valt?

Ik neig zelf naar het laatste, omdat je mensen niet concreet instrueert om achter de dader aan te gaan of om te surveilleren bij een bekend drugspand om zo een transactie vast te leggen. Die app komt op mij over als een standaardisatiepoging voor soorten bewijs. In plaats van duizend fotoformaten te moeten kunnen lezen van honderden soorten gegevensdragers, krijg je nu de foto altijd via hetzelfde kanaal.

Arnoud

Tegenwoordig weet iedereen wél wat ACAB betekent

Geplaatst op in Uitingsvrijheid, 64 reacties

Weet u nog, dat rechters niet mogen googelen? Dat was een zaak uit 2011 waarin de Hoge Raad bepaalde dat een rechtbank niet zomaar in Google mag kijken om te zien hoe bekend een afkorting is, om vervolgens iemand die die afkorting gebruikte te veroordelen. Die afkorting was ACAB, in 2011 redelijk bekend maar ten tijde van de overtreding een stuk minder. De rechtbank had op zijn minst de bevindingen aan de verdediging voor moeten leggen. Maar nu in 2018 is er een nieuw arrest (Hof Amsterdam) waarin googlen wél mag.

In deze zaak ging het om exact dezelfde afkorting. De verdachte zong tijdens een voetbalwedstrijd de tekst “ACAB, ACAB” en keek daarbij naar politieagenten. Deze arresteerden hem voor belediging van een ambtenaar in functie. De verdachte verklaarde niet te weten wat deze term betekende. Dat voelde voor mij ook wat onwaarschijnlijk, en met mij het Gerechtshof.

Het Hof pakt Google erbij, stelt de zoekperiode in op beperkt tot uiterlijk de datum van het delict(!), en constateert dat over de afkorting (en de beledigende betekenis daarvan) zeer veel nieuwsberichten zijn gepubliceerd, zowel door regionale als landelijke media. En dat vind ik dan leuk: die berichten kwamen mede naar aanleiding van die zaak uit 2011 waarin juist werd gezegd dat Googelen niet mag om de bekendheid van een term vast te stellen.

Het Hof concludeert nu dat gezien de landelijke bekendheid van de uitspraak en de term deze nu wel algemeen bekend geacht wordt te zijn. Daarop wordt de man veroordeeld voor belediging. En dat klopt dus – met zo veel bekendheid in pers en online over die uitspraak, kun je vandaag de dag niet meer volhouden dat je dit niet wist. Al helemaal niet in een voetbalcontext, wat mij betreft.

Arnoud (Dat ik in deze blog nergens hoef te zeggen wat ACAB betekende, zegt natuurlijk ook wel wat.)

Politie en FBI geven elkaar toegang tot databank met vingerafdrukken

Geplaatst op in Privacy, Regulering, 38 reacties

De Nederlandse politie krijgt toegang tot databanken met daarin vingerafdrukken van miljoenen Amerikanen, las ik bij Tweakers. Omgekeerd kan de FBI de Nederlandse strafdatabank met vingerafdrukken van 1,3 miljoen veroordeelden en verdachten benaderen. Zo moeten beide politiediensten makkelijker vingerafdrukken kunnen matchen aan bekende daders (of verdachten) uit eerdere onderzoeken. Een nogal opmerkelijke stap, die veel vragen opriep bij lezers, maar ik moet zelf zeggen dat ik het niet meteen de grootste inbreuk van 2018 vindt. Nee, een vingerafdrukdatabank, dát is eng.

Voor de duidelijkheid: de bedoeling is nadrukkelijk niet dat het gehele vingerafdrukbestand met naam en rugnummer als zipfile naar de VS gaat. De organisatorische opzet komt erop neer dat de FBI een vingerafdruk van een person of interest heeft, ze die opsturen naar onze politie die kijkt of er een match is. Het antwoord gaat als “nee” dan wel “ja” terug, in het geval “ja” voorzien van een willekeurig gekozen identificatienummer. Dat nummer neemt de FBI dan op in een ouderwets rechtshulpverzoek “graag ontvangen wij wat u weet over deze persoon”.

Door deze dubbele slag voorkom je dat er al te makkelijk gespit wordt zonder dat het opvalt. Er wordt niets verstrekt zonder rechtshulpverzoek, iets dat al tijden de procedure is. En zo’n verzoek wordt alleen toegewezen bij ernstige misdrijven. Het enige nieuwe is dus feitelijk dat je voorheen als FBI iets van een naam moest hebben om aan te geven wie je zocht, en dat je nu op basis van een vingerafdruk kunt aangeven wie je waarschijnlijk bedoelt. Dat is op zich wel een mooie privacyconstructie.

Zo ongeveer de enige vorm van misbruik die ik kan bedenken, is dat je met een vingerafdruk van een betrekkelijk onschuldige nu kunt gaan vissen in de FBI databank (of de FBI bij ons) of er in die databank iets bekend is. Je zou als FBI dan dus bijvoorbeeld irritante toeristen (die met vingerafdruk zich moeten registreren bij bezoek aan de VS) kunnen matchen, en als er een “ja, 481” terugkomt dan gooi je ze het land uit omdat ze op het inreisformulier hebben gezegd “nooit met Justitie in aanraking geweest”. Maar in die situatie heb je de namen ook al, dus of dat nu veel toevoegt?

Enger vind ik de opmerkingen in Trouw dat men bij de politie liever een nationale vingerafdrukdatabase zou hebben (gekoppeld aan het paspoort) waar alle Nederlanders in moeten zitten. Dat idee is al in 2011 afgeschoten, “Een ingrijpend besluit, waar we wekelijks ongemak van ondervinden” aldus de initiatiefnemers van dit databankdelen. De redenen voor afschaffen waren technische problemen, zoals twijfel over de veiligheid van de opslag maar ook onbetrouwbare matching.

Met name dat laatste zou voor mij genoeg reden zijn dit niet te willen: ik schrik te lezen dat bij vingerafdrukken 1 op 10.000 gevallen vals positieven geven. Bij een databank met zelfs maar 1,3 miljoen mensen heb je dus 130 matches voor elke vingerafdruk, bij een databank met 17 miljoen Nederlanders zijn dat er dan 1.700. Hoe kun je daar überhaupt nog in zoeken als politie? Waar filter je dan op, zonder bias te introduceren zoals “nu iedereen met een zwaar strafblad, en de 5 die overblijven maar even ophalen”? Hoe meer ik er over nadenk, hoe enger ik dat vind.

Arnoud

Openbaar Ministerie adviseert ethisch hackers uitgebreid te loggen

Geplaatst op in Regulering, 12 reacties

Het Openbaar Ministerie adviseert mensen die op zoek gaan naar lekken in systemen een logbestand bij te houden, las ik bij Tweakers vorige week. Zo kunnen deze mensen aantonen dat ze zich aan eisen voor responsible disclosure houden en eventueel strafvervolging ontlopen. Een stap in de goede richting; het doet raar aan om mensen te vervolgen die met open kaart en goede bedoelingen een beveiligingsprobleem aankaarten. Maar -de comments lezende- toch maken mensen zich best wat zorgen over dat loggen, leg je zo niet je hoofd op het hakblok?

De wet is wat het testen van andermans systemen betreft duidelijk: dat mag niet, punt. Er is sprake van computervredebreuk als je binnengaat in een computersysteem, beveiligd of niet, terwijl je weet of had moeten weten dat je daar niet mag zijn. Je bedoelingen doen daarbij niet ter zake, dus of je nu binnengaat om data te kopiëren voor eigen gewin of om te dubbelchecken dat de database écht idioot slecht beveiligd is, is naar de letter van de wet hetzelfde misdrijf.

De praktijk van slechte beveiliging anno 2018 laat echter zien dat er grote behoefte is aan mensen die problemen signaleren, bij voorkeur voordat het écht grote problemen worden. Liever een ethisch hacker in je mail dan een datalek in de krant, zeg maar. Maar vanwege die strenge wet is het dan zoeken tussen de belangen van beide partijen, en het gebruikelijke compromis komt dan uit bij responsible disclosure: op een nette manier de organisatie inlichten en afspraken maken over wanneer het wordt hersteld en wanneer het wordt gepubliceerd. Werkt de organisatie niet mee, dan mag je publiceren zonder toestemming.

Je komt dan in strafrechtelijk vaarwater. Eerder publiceerde de overheid daarom al de aanbeveling voor organisaties om responsible disclosure-beleid te publiceren, met daarin een stappenplan voor jouw organisatie om hoe om te gaan met zulke tips van buitenaf. Deel daarvan is de toezegging dat er geen aangifte (of civielrechtelijke stappen) wordt gedaan. En het OM pakt nu op dat punt door en zegt in feite dat wanneer iemand handelt binnen zulk beleid, zij niet tot vervolging zullen overgaan. Dus ook als het bedrijf vervolgens alsnog aangifte doet.

Natuurlijk moet je wel kunnen aantonen dat je werkelijk responsible oftewel ethisch hebt gewerkt. Daarbij is loggen van groot belang, vandaar het advies. En toegegeven, dan documenteer je dus je misdrijf en die informatie is te pakken te krijgen als men wél besluit je te vervolgen en daarbij je computer doorzoekt. Dat is inderdaad een tweesnijdend zwaard. Maar als je dát anders wilt doen, dan moet je in de wet opnemen dat het binnendringen in een slecht beveiligd systeem niet strafbaar is, en dat heeft dan weer hele vergaande gevolgen de andere kant op.

Arnoud