Internetrecht door Arnoud Engelfriet

Een lezer vroeg me:

Op onze interne servers krijgt personeel een loginscherm met daarop een tekst à la “Welkom bij Initech, gelieve in te loggen – uitsluitend voor werkdoeleinden gebruiken”. Nu zegt onze ISO auditor dat deze tekst problematisch is, omdat met name dat ‘welkom’ zou maken dat inbrekers kunnen claimen er niet wederrechtelijk te zijn. Dus het moet worden “Verboden toegang – uitsluitend geautoriseerd personeel – misbruik wordt vervolgd als misdrijf”. Dat vind ik niet echt vriendelijk naar mijn personeel, is er een tussenweg? Is dit echt zo krom, juridisch?

Dit is een broodje aap-verhaal dat geen enkele juridische basis kent. Het recht werkt niet zo en de inhoud van zo’n loginscherm gaat echt het verschil niet maken wanneer iemand vervolgd wordt voor computervredebreuk.

Natuurlijk komt dit verhaal uit Amerika, maar ook daar lijkt het nergens op een werkelijke zaak te herleiden (deze en deze bijvoorbeeld zijn vrij oude bronnen al). Ik kan in Nederland geen enkele rechtszaak rond computervredebreuk vinden waarbij het zelfs maar een discussie was wat de loginbanner of MOTD vermeldde.

Het recht kijkt nooit naar één specifiek aspect van de zaak, zoals zo’n logintekst. Bij rechtszaken wordt altijd gekeken naar de volledige omstandigheden van het geval. Het criterium is immers of de inbreker had moeten weten dat hij op verboden terrein was toen hij de handeling verrichte die hem ten laste werd gelegd. Dat zal nooit afhangen enkel van een zo’n tekstje. Je moet bijvoorbeeld nog steeds inloggen op het systeem van de vraagsteller, en als je een wachtwoord raadt dan moet je weten dat dat niet mag. Dus ga je alsnog nat.

Ik kan werkelijk geen situatie bedenken waarin die tekst relevant is. Heel misschien als er een gast/gast account is op zo’n systeem én je dingen kunt doen die niet gewenst zijn vanaf zo’n gastenaccount. Dan mocht je naar binnen (“welkom”) en mocht je inloggen zonder bekend te zijn (gast/gast) en was je in staat iets te doen dat niet de bedoeling was, hoe kon je dan weten dat dat laatste het geval was. Maar dat voelt weinig realistisch.

Arnoud

Af en toe kom je gekke zaken tegen als je op ‘internet’ zoekt op Rechtspraak.nl. Zo ook deze zaak over een relatief simpele afpersing zo lijkt het: een man breekt in bij een bedrijf, kopieert persoonsgegevens en eist bitcoins anders zal hij deze openbaar maken. Je zou zeggen dat dat strafbaar is, en omdat hij nog gepakt werd ook zouden we dat gaan zien. Maar wat zegt de rechtbank: niet strafbaar, want nergens in de wet staat dat zulk openbaar maken verboden is. Eh, wat?

De man wist binnen te dringen in de webserver van een verhuurmakelaar middels een PHP-zwakheid. Hij kon daardoor bij de database en wist gegevens van 18.500 klanten te downloaden (waaronder emailadressen, bankrekeningnummers, werkgeversverklaringen en kopieën van identiteitsbewijzen van personen die zich hadden ingeschreven). Vervolgens nam hij contact op met het bedrijf en eiste 10.000 euro in bitcoin onder het dreigement dat hij de gegevens anders op internet zou zetten.

Omdat dat contact onder meer per telefoon ging, wist de politie de man te achterhalen. Hij werd vervolgens vervolgd voor afpersing (art. 317 Sr). Dat is normaal dreigen met geweld om zo iets te krijgen dat niet van jou is maar er is ook een digitale variant in lid 2:

Met dezelfde straf wordt gestraft hij die de dwang, bedoeld in het eerste lid, uitoefent door de bedreiging dat gegevens die door middel van een geautomatiseerd werk zijn opgeslagen, onbruikbaar of ontoegankelijk zullen worden gemaakt of zullen worden gewist.

Al die exploitanten van ransomware zijn dus strafbaar onder dit artikel. Maar deze man had een iets andere insteek: niet wissen, maar openbaar maken oftewel reputatieschade (en mogelijk een AVG boete) als je niet betaalt. En daarvan zegt de rechtbank terecht, dat stáát er niet, in lid 2. Zo werkt strafrecht, dit wetboek lezen we heel letterlijk om te voorkomen dat mensen worden veroordeeld voor iets dat niet expliciet verboden was verklaard.

Ik blijf dan wel even bladeren om te zien hoe meneer wél voor dit feit veroordeeld had kunnen worden. Een mogelijkheid is artikel 318:

Hij die, met het oogmerk om zich of een ander wederrechtelijk te bevoordelen, door bedreiging met smaad, smaadschrift of openbaring van een geheim iemand dwingt hetzij tot de afgifte van enig goed dat geheel of ten dele aan deze of aan een derde toebehoort, hetzij tot het aangaan van een schuld of het teniet doen van een inschuld, hetzij tot het ter beschikking stellen van gegevens, wordt als schuldig aan afdreiging, gestraft met gevangenisstraf van ten hoogste vier jaren of geldboete van de vijfde categorie.

Je zou dan zeggen dat deze klantendatabase een “geheim” (bedrijfsgeheim) is, en er wordt dan gedreigd met openbaarmaking daarvan. Dan kom je dus bij afdreiging en dat is strafbaar. Maar ik kan geen jurisprudentie vinden die dat punt maakt.

Arnoud

De school als afleveradres voor maaltijdbezorging en postpakketten: sommige scholen willen het niet meer hebben. Dat meldde NRC onlangs. Leerlingen mogen dan dus geen maaltijden meer bestellen via bijvoorbeeld Deliveroo, UberEats en Thuisbezorgd. Ik voel me echt oud als ik dan bedenk dat ik op de middelbare school hooguit een zak chips bij een supermarkt een eind verderop kon kopen, of (als ie al open was) ergens een frietje. Maar goed, ik krijg er vragen over (ja, echt) of een school dat wel mag – en omdat men met een app bestelt vanaf een smartphone is dit internetrecht, dus ik ga een antwoord schrijven.

Het korte antwoord is natuurlijk dat een school dit mag reguleren, om de eenvoudige reden dat zij bepalen wie er op hun terreinen mogen komen. Het is immers hun eigendom (ook als ze het huren, slimmerik uit 5vwo ergens in Gouda). Als zij niet willen dat bezorgers van post dan wel voedsel op het terrein komen, dan is dat hun goed recht en dat jij als scholier ze hebt gevraagd, doet daar niet aan af. Je bent niet bevoegd mensen uit te nodigen op andermans terrein.

Die ene middelbare school uit Overijssel die (blijkens een boze mail van een 14-jarige havist) aankondigde dat “wie Deliveroo op zijn telefoon open heeft op school, de telefoon mag inleveren voor de dag” gaat wat mij betreft dan weer een stapje te ver. Het innemen van een telefoon als sanctie kan alleen als dat a) in het schoolreglement benoemd is als sanctie bij bepaald gedrag en b) die sanctie proportioneel is gezien dat gedrag. We hebben hier meer discussies over gehad, en ik denk dat dat alleen kan als je echt onrechtmatige dingen doet met de telefoon zelf. Ik wil nog net daaronder rekenen dat je overlast veroorzaakt in de klas, maar op een rustig moment en buiten de les een vette hap bestellen voor op school kan ik niet als overlast zien.

Ook het laten bezorgen van pakketten komt voor, aldus NRC. „De school is een uitermate goede plek om dingen af te laten leveren waarvan je niet wilt dat ze ouders ze zien”, zegt directeur De Zoete. „Maar ook dat willen we liever niet hebben.” Eh ja, ik word oud inderdaad. U ook?

Arnoud

“De Nederlandse legal tech-markt is nog onvoldoende rijp en te onvolwassen om de vorm van geïntegreerde dienstverlening die we voor ogen hebben, succesvol te laten zijn.” Dat las ik half december in Advocatie. Merkwaardig, ik had niet het idee dat de rijpheid van de technologieleveranciers het grote probleem was bij de adoptie van legal tech… Lees verder

Een lezer vroeg me: Zoals vele ontwikkelaars neus ik vaak op Stack Overflow naar oplossingen voor mijn programmeerproblemen. Ik zie dan vaak broncode die de oplossing implementeert, maar ik weet dat ik die niet zomaar mag copypasten in verband met licentieproblemen. Maar wat mag ik dan wel? Stackoverflow is de bekendste site voor programmeurs om… Lees verder

Keiharde onderhandelingen, contracten onder druk tekenen of aandelen moeten afstaan. Dit soort zaken verwacht je misschien bij bedrijven, maar niet op universiteiten. Dat schreef de NOS onlangs. Universiteiten blijken soms maanden tot jaren met studenten te steggelen over contracten rondom uitvindingen en software die studenten maken. Dat verrast natuurlijk wel, want een universiteit is toch… Lees verder

Wanneer iemand zijn online pseudonieme account wil laten verwijderen, mag de beheerder van die site geen aanvullende informatie eisen bovenop het kunnen inloggen op dat account. Dat bepaalde (pdf) de Oostenrijkse privacytoezichthouder onlangs. Bij registratie op een advertentiesite hoefde je niet meer te doen dan een nepnaam en een mailadres op te geven, maar als… Lees verder

De universiteit van Maastricht kampt mogelijk nog de hele kerstvakantie met hinder van een grote cyberaanval, waardoor nagenoeg alle universiteitssystemen platliggen. Dat meldde de NOS eind vorig jaar. Het gaat om ransomware, software die data versleutelt tenzij losgeld wordt betaald – in dit geval het Clop virus. Er is aangifte gedaan en volgens universiteitsblad Observant… Lees verder

Legal tech, ik schrijf er het hele jaar al over. Technologie die de juridische sector gaat veranderen. Niet alleen maar efficiënter werken, maar op een heel nieuwe manier werken. Het maakt bijvoorbeeld nogal wat uit of je sneller in je standaardcontract kunt werken, of dat je standaardcontract gewoon staat met twee klikken en je daarna… Lees verder

Sonos’s “recycle mode” intentionally bricks good devices so they can’t be reused. Dat twitterde Ralph waldo cybersyn onlangs. Alle mooie woorden over sustainability en minimale impact op het milieu ten spijt blijkt de maker van de slimme netwerkmuziekspelers apparaten in de “recycle mode” gewoon keihard onbruikbaar te maken en weg te gooien. Dat gaf de… Lees verder