Wanneer URL-manipulatie strafbaar is als computervredebreuk

| AE 9566 | Strafrecht | 10 reacties

Vanwege mijn vakantie deze week geen nieuwe blogs. In plaats daarvan een terugblik op de afgelopen tien jaar: ik heb vijf populaire blogs geselecteerd en kijk er anno 2017 graag nog eens naar met jullie.

Vandaag: Wanneer URL-manipulatie strafbaar is als computervredebreuk,

De man die de kersttoespraak van koningin Beatrix op internet vond, heeft zich strafbaar gemaakt. Zoiets zei ik Eerste Kerstdag [2012] tegen de NOS. En dat maakte nogal wat los. URL’s zijn toch openbare adressen, wat op een server staat is niet geheim, er wordt niets gekraakt, dit is toch pure domheid van de RVD, en ga zo maar door. Ja ja dat klopt allemaal en de RVD is ook een stel prutsers maar het blijft een feit dat binnendringen óók zonder iets te kraken strafbaar is.

Sinds 2006 hebben we een brede definitie van computervredebreuk: ieder opzettelijk en wederrechtelijk “binnendringen” in een computersysteem is strafbaar, ook als er niets wordt gekraakt, omzeild, geïnjecteerd of vervalst. Zodra je ergens bent waarvan je wéét dat je er niet mag zijn, ben je formeel al in overtreding. En ik zie werkelijk niet waarom dat wél zou gelden bij een SQL injectie en niet bij een trivialer vorm van URL-manipulatie – zoals bij de kersttoespraakurl waarbij het een kwestie was van jaartal en UID aanpassen. Beiden zijn aanpassen van URLs.

Ik blijf het een hele moeilijke kwestie vinden. Volgens mij komt het uiteindelijk 99% neer op de intentie van het manipuleren van die URL. Een logische voor de hand liggende URL intypen (uit de comments: nl.wikipedia.org/wiki en dan eh Arnoud_Engelfried) voelt heel anders dan met getallen gaan spelen in de hoop dat je iets krijgt waarvan je wéét dat het er nog niet is. Zoals op 24 december de video van de kersttoespraak die is aangekondigd voor de 25e.

Wat me opviel bij teruglezen van de discussie is dat veel mensen een wezenlijk verschil zien tussen een ID aanpassen en dingen als SQL injectie of buffer overflows, die je toch ook via de URL doet. Zit hem het verschil dan in hoe moeilijk het is om dit te doen? Een ID aanpassen kan een kind, een buffer overflow exploiteren vereist toch enige expertise (of een gegoogeld script).

Of gaat het erom dat een ID duidelijk herkenbaar is als een ID, zodat aanpassen daarvan in de lijn der verwachtingen ligt? Zo van, hier zit een grote rode knop, natúúrlijk gaan mensen daarop klikken. Natuurlijk gaan mensen 201112253998 veranderen in 201212254003. Dat is gewoon, eh, een logisch volgend getal, beetje rare interface maar ik blader gewoon. En SQL injectie is dan anders omdat dat volstrekt onlogisch is om te doen. Niemand heet “Robert’); DROP TABLE students –” immers. Of Robert Oot dan wel Jennifer Null.

Peins peins.

Arnoud

Terugblik: Mag een stiekem gemaakte geluidsopname gebruikt worden als bewijs?

| AE 9559 | Strafrecht | 5 reacties

Vanwege mijn vakantie deze week geen nieuwe blogs. In plaats daarvan een terugblik op de afgelopen tien jaar: ik heb vijf populaire blogs geselecteerd en kijk er anno 2017 graag nog eens naar met jullie.

Vandaag: Mag een stiekem gemaakte geluidsopname gebruikt worden als bewijs?, met bijna 100 reacties en 85.000 views (robots niet meegeteld) een zeer populair onderwerp kennelijk.

Regelmatig krijg ik in diverse varianten de vraag of een stiekem gemaakte geluidsopname van een gesprek gebruikt mag worden als bewijs. Dit meestal naar aanleiding van mijn artikel Opnemen van gesprekken, waarin dat met zoveel woorden staat:

Een telefoongesprek opnemen dat je zelf voert, mag je dus opnemen – ook wanneer je dat niet meldt aan de tegenpartij. Alleen het heimelijk opnemen van zo’n gesprek zonder deelnemer te zijn is dus strafbaar (tenzij je toestemming hebt van één van de deelnemers).

Gebruik als bewijs is eigenlijk altijd toegestaan. In het gewone (civiele) recht gelden namelijk geen specifieke eisen voor hoe het bewijs verkregen mag zijn. De rechter mag zelf alles beoordelen op de merites. Hij hoeft bewijs niet uit te sluiten omdat het een stiekeme opname is. Wel zou hij het bewijs anders kunnen waarderen: een informeel gesprekje op de vrijmibo zal minder bewijskracht hebben over de intenties van een bedrijf dan een formele verklaring van de directie bij een persconferentie. Maar dat gaat dan over de inhoud, niet over de vorm.

Toch hoor ik nog regelmatig dat mensen zeggen, dit is onrechtmatig verkregen bewijs en dus onbruikbaar. Dat klopt dus niet, naar Nederlands recht. Te veel Amerikaanse rechtbankseries gekeken. En nee, ook niet als een agent het zegt: ook in strafzaken mogen stiekeme opnames worden gebruikt als bewijs. Alleen opnames gemaakt door de politie zijn onrechtmatig verkregen bewijs als er geen taplast of andere toestemming conform het Wetboek van Strafvordering is gegeven.

Er is wel een grens: als er sprake is van inbreuk op iemands privacy en die inbreuk “rechtens ontoelaatbaar” is. Dat is een vrij hoge lat, waar je bij zakelijke gesprekken niet snel aan zult zitten. Héél misschien bij een rechtszaak over een echtscheiding, maar zelfs daar geen garanties. Ik heb in ieder geval nog steeds geen vonnis gevonden waarin een illegale gespreksopname als bewijs terzijde werd geschoven vanwege deze grond. (Vanwege kwaliteitsproblemen, authenticiteitsproblemen of gewoon te weinig concreets, ja dat wel.)

Voor bedrijven die gesprekken opnemen, geldt natuurlijk wel de privacywet (Wbp en straks AVG). Zij moeten mensen melden dat ze gesprekken opnemen en waarom, moeten op verzoek een kopie van de opname verstrekken en moeten opnames goed beveiligen. Maar ook wanneer die wet wordt geschonden, mag de opname als bewijs worden gebruikt. Dat er dan een boete voor het schenden van de privacywet volgt, staat daar helemaal los van.

Arnoud

Terugblik: Stilzwijgende verlenging aan banden gelegd?

| AE 9563 | Contracten | 5 reacties

Vanwege mijn vakantie deze week geen nieuwe blogs. In plaats daarvan een terugblik op de afgelopen tien jaar: ik heb vijf populaire blogs geselecteerd en kijk er anno 2017 graag nog eens naar met jullie.

Vandaag: Stilzwijgende verlenging aan banden gelegd?, over de Abonnementenwet (ook wel de “Wet-Van Dam”) die in 2009 ingevoerd werd om stilzwijgende verlengingen van sportschoolabonnementen, tijdschriften en dergelijke in te korten: altijd per maand opzegbaar, behalve kranten en maandbladen elk kwartaal.

Lidmaatschappen en abonnementen kunnen binnenkort niet meer stilzwijgend verlengd worden, meldde Nu.nl donderdag. Een initiatiefswetsvoorstel van PvdA-Tweede Kamerlid Martijn van Dam heeft als doel die praktijken sterk aan banden te leggen. Het voorstel moet nog door Tweede en Eerste Kamers, maar er zit in ieder geval schot in. Een goede zaak lijkt mij. Volgens onderzoek van Maurice de Hond ergert 54% zich aan jaarlijkse stilzwijgende verlenging en heeft 40% een abonnement waar men eigenlijk al vanaf had gewild.

Dat “binnenkort” was in 2009 wat optimistisch, de wet werd pas in 2011 van kracht en toen kregen we ook nog eens een stevige discussie over overgangsrecht. Want bedrijven vonden dit niet leuk en trokken alles uit de kast om maar niet mee te hoeven in deze wet. Want hoewel Van Dam bij invoering in de memorie van toelichting had gezegd

Deze wijziging voorziet niet in overgangsrecht. Daardoor is deze wijziging ook van toepassing op reeds gesloten overeenkomsten.

werd er in de maanden daarna toch flink geroepen dat er wél overgangsrecht geldt. Er is immers de Overgangswet Nieuw Burgerlijk Wetboek, die in 1969 (ja, 69) is aangenomen om de overgang van het ‘oude’ BW naar wat we nu hebben mogelijk te maken. In die wet werd geregeld hoe de nieuwe wet zou uitpakken voor bestaande contracten en andere zaken. Prima, dat was nodig destijds, maar is die wet werkelijk ook geldig voor álle wijzigingen van het BW die na 1969 doorgevoerd werden?

Nee, natuurlijk niet, maar als een serieus kijkende advocaat dit beweert, dan gaan mensen daar toch even over nadenken. En dat creëert de gewenste onzekerheid waardoor men mensen nog een forse tijd aan jaarlijkse verlenging kon houden. Ten onrechte: in april 2013 vonniste de rechtbank dat de Wet Van Dam gewoon van toepassing was vanaf 1 december 2011, ook voor lopende overeenkomsten.

Dit soort grappen gaan we nog vaker zien. De eerstvolgende keer wordt mei 2018, wanneer de AVG van kracht wordt. Deze is al in 2016 aangenomen, en er is twee jaar gegund om compliant te worden met deze wet. Maar je wéét gewoon dat er hele hordes gaan gillen in 2018 dat dit onverwacht was en dat er nu overgangsrecht of soepele handhaving moet komen. Ergerlijk.

Arnoud

Terugblik: Gaat Getty Images procederen in Nederland?

| AE 9557 | Auteursrecht | 28 reacties

Vanwege mijn vakantie deze week geen nieuwe blogs. In plaats daarvan een terugblik op de afgelopen tien jaar: ik heb vijf populaire blogs geselecteerd en kijk er anno 2017 graag nog eens naar met jullie. Vandaag: Gaat Getty Images procederen in Nederland?, met verreweg de meeste reacties ooit (924 stuks). In 2009 blogde ik over… Lees verder

Mag een webshop je bij registratie akkoord laten gaan met de verkoopvoorwaarden?

| AE 9549 | Contracten, Webwinkels | 8 reacties

Een lezer vroeg me: Bij een webshop waar ik laatst bestelde, moest ik een account maken. Oké, maar daarbij moest ik ook akkoord gaan met de verkoopvoorwaarden. Daarin bleek te staan dat deze op ieder moment konden wijzigen en dat ik maar bij elke bestelling moest controleren of ik nog akkoord was. Een beetje slinkse… Lees verder

De opmars van de blockchain en haar gevolgen voor het contractenrecht

| AE 9552 | Innovatie | 4 reacties

Wezenlijk nieuw in het recht zijn de mogelijkheden voor nieuwe diensten op basis van blockchaintechnologie. Deze technologie is ontwikkeld in 2009 als onderdeel van de virtuele valuta bitcoin. Het betaalsysteem Bitcoin is in 2009 op de markt gebracht als opensourcesoftware door – vermoedelijk – de Japanner Satoshi Nakamoto. Het betaalsysteem realiseert een virtuele valuta: geen… Lees verder

Sollicitanten niet meer vogelvrij op sociale media

| AE 9547 | Privacy | 73 reacties

Even het Twitter-account of de Facebook-site van een potentiële werknemer checken is niet toegestaan, meldde het FD vorige week. De Autoriteit Persoonsgegevens bracht een opiniestuk uit dat er nog eens op wijst dat dit eigenlijk gewoon niet toegestaan is, in ieder geval niet zonder stevige belangenafweging. Waanzin, noemt Quote het en je kunt je natuurlijk… Lees verder

Incassobureau dreigt wanbetaler met filmpje op YouTube

| AE 9543 | Privacy | 20 reacties

Incassobureau Straetus uit Flevoland dreigt wanbetalers en oplichters met het online zetten van beelden op YouTube. Dat meldde de NOS onlangs. De directeur van het bureau spreekt de wanbetaler aan op zijn schulden terwijl de camera het gesprek vastlegt. Met dat extra drukmiddel wil men betaling afdwingen, zo te lezen met name bij partijen die… Lees verder