Is het strafbaar mijn wachtwoord van online diensten te delen met vrienden?

| AE 7067 | Security | 22 reacties

login-inloggen-pin-number-nummer-password-wachtwoordEen lezer vroeg me:

Het is vaak tegen de gebruikersvoorwaarden om mijn login gegevens van een digitale dienst zoals een krantenabonnement of streamingdienst met anderen te delen. Maar is het ook strafbaar? En hoe zit het als ik er een vergoeding voor vraag, zodat de ander en ik allebei de helft van het abonnement betalen?

Het is strafbaar om gebruik te maken van een betaaldienst zonder daarvoor te betalen (art. 326c Strafrecht). Het moet dan wel gaan om een “dienst die via telecommunicatie aan het publiek wordt aangeboden”, zoals betaaltelevisie. Gratis parkeren in een (private) parkeergarage valt hier niet onder.

Eis is dat je een technische ingreep pleegt (‘hacken’) of met behulp van valse signalen je toegang verschaft tot die betaaldienst. De vraag is dus of het gebruik van andermans wachtwoord telt als een vals signaal. Ik twijfel daarover, omdat elders (bij computervredebreuk bijvoorbeeld) altijd “valse signalen of een valse sleutel” wordt gebruikt, waarbij het wachtwoord als ‘sleutel’ wordt aangemerkt. Die term is hier weggelaten, is dat dan opzettelijk of niet?

Uit de wetsgeschiedenis blijkt dat het moet gaan om

enig teken dat bij de ontvanger, ongeacht of dit een natuurlijke persoon of een geautomatiseerd werk is, een gevolg bewerkstelligt dat gebaseerd is op (geprogrammeerde) veronderstellingen die onjuist blijken te zijn, terwijl degene die het teken geeft, weet dat hij met dat teken, gegeven die veronderstellingen, dat gevolg uitlokt.

In dit arrest had het gerechtshof in Arnhem er geen moeite mee het bellen vanaf andermans vaste lijn naar een 09xx-nummer (om credits op te waarderen) onder “vals signaal” te rekenen. De redenering was: het gebruiken van een valse sleutel (een identificatiemiddel) levert het geven van een vals signaal op want daardoor denkt de wederpartij dat hij met een ander te maken heeft, in die zaak de eigenaar van de telefoonlijn (waardoor die de rekening krijgt).

In dit geval is de sleutel echt want het wachtwoord hoort bij een normaal, betalend account. Maar het signaal dat je afgeeft is vals in die zin dat je je voordoet als die accounteigenaar in plaats van als een derde. En daarmee is het formeel dus strafbaar om je wachtwoord van zo’n betaaldienst te delen.

Arnoud

Deel dit artikel

  1. Het lijkt me dat dan in de algemene voorwaarden zal moeten staan dat de inlog persoonlijk en niet overdraagbaar is? Inloggen om de krant te lezen lijkt me anders niet een “vals signaal”, ongeacht van welke computer dat gedaan wordt of wie dan op dat moment toevallig naar het beeldscherm kijkt. Als ik mijn papieren krant aan mijn buurman geef als ik ‘m uit heb, ben ik immers ook niet strafbaar; waarom zou dat ineens wel een probleem zijn als het digitaal is.

    • Niet omdat het digitaal is, omdat er een wachtwoord op zit. Volgens mij is het inherent aan wachtwoorden dat ze persoonsgebonden zijn tenzij anders afgesproken.

      Het zou wat gek zijn als ik accounts bij diensten koop en vervolgens de hele wereld laat inloggen. Waarom zou iemand dat willen als dienstverlener? Dat ondermijnt toch het hele businessmodel? Daarom denk ik dus dat het omgekeerd is: een inlog is niet overdraagbaar of deelbaar tenzij in de AV staat van wél.

      • Voor veel zaken is dit totaal onzinnig, zoals boeken. Boeken heb je altijd kunnen uitlenen toen het nog dode bomen waren. Nu dat e-books populair worden kan het niet meer, door de drm.

        Als je gelijk hebt, dan kan het ook niet door je login voor het account uit te lenen. Komen we dan nu in de vreemde situatie dat je dan je hele e-reader uit moet lenen en je dus feitelijk je hele boeken collectie uitleent als je iemand één boek wil lenen en dan dus zelf geen van je andere boeken meer kan lezen? (Of mis ik iets en mag je je gekochte e-books toch op meer dan 1 reader installeren?)

      • Ik heb een (digitaal) abonnement bij de Volkskrant. Email adres is iets als ikenmijn_vrouw@mijndomain.nl. Zij leest het op de iPad. Ik op mijn computer. Moet ik nu bang zijn dat de samenleespolitie morgenochtend voor de deur staat?

        Zo niet, wat is er dan zo anders aan mijn vrouw dan aan de buurman? (Juridisch dan, in het dagelijks leven lukt het me meestal wel om ze uit elkaar te houden. Scheelt weer een paar ongemakkelijke momenten.)

        Gevoelsmatig is het niet de sleutel die vals is, maar de is het een overtreding van de algemene voorwaarden. Ook als ik van de buren een sleutel krijg om de kat eten te wegen, en ik geef die sleutel aan mijn neef, dan heeft die neem nog geen valse sleutel. Ik heb hoogstens de voorwaarden die mijn buren stelde overtreden.

    • Als ik mijn papieren krant aan mijn buurman geef als ik ‘m uit heb, ben ik immers ook niet strafbaar; waarom zou dat ineens wel een probleem zijn als het digitaal is.

      Het lijkt me dan ook niet strafbaar als je je tablet met het krantje erop doorgeeft terwijl je al ingelogd bent of als je samen met iemand anders naar je streamingdienst kijkt. Alleen als je een derde onafhankelijk van jou je account laat gebruiken.

  2. Ik zou denken dat het wel uit moet maken wat voor digitaal product het is. Het is zo normaal om een krant te delen dat mensen niet snel in zullen zien dat het delen van de digitale versie niet zou mogen. Zeker niet als er niets in de AV staat. Maar is het niet vooral een theoretische discussie omdat elke krant wel een regeltje in zn AV zal zetten?

    Ik worstel toch ook nog een beetje met het feit of het wel een vals signaal is. Als ik iemand de sleutel van mijn huis geef, dan is het ook niet opeens een vals signaal want ik geef hem expliciet toestemming om mijn huis binnen te gaan. Als ik iemand mijn un/pw geef voor een online dienst (die dat niet verbiedt in de AV) dan geef ik hem toestemming om die pagina’s te bezoeken. Waarom zou dat opeens wel een vals signaal zijn?

  3. Ik vind die vergelijking met dat telefoon-arrest nergens op slaan. Bovendien vind ik de conclusie daarin erg ver gezocht om het maar strafbaar te maken.

    In deze zaak is de sleutel niet vals, maar mogelijk slechts oneigenlijk gebruikt, gebaseerd op de algemene voorwaarden. De dienst geeft op basis van die sleutel toegang. Als ze dat niet verder beperken (technisch of via de gebruiksvoorwaarden), waarom zou het dan standaard wel beperkt moeten zijn?

    In de MMO wereld wordt voor zover ik weet altijd expliciet genoemd dat(/of) een account niet gedeeld mag worden. Bij Netflix (en Ziggo hotspots) mag je je wachtwoord juist wel delen met huisgenoten. Alleen doen sommigen dat bij Netflix dat ook met vrienden en delen ze de kosten (precies dit geval).

    Dat lijkt mij alleen een zaak tussen beide partijen en niet iets waar de overheid achteraan moet.

  4. Maar het signaal dat je afgeeft is vals in die zin dat je je voordoet als die accounteigenaar in plaats van als een derde. En daarmee is het formeel dus strafbaar om je wachtwoord van zo’n betaaldienst te delen.

    Eh, dan is jet toch de gene die het gedeelde wachtwoord gebruikt die strafbaar is, en niet de gene die zijn/haar eigen wachtwoord deelt?

  5. Maar het signaal dat je afgeeft is vals in die zin dat je je voordoet als die accounteigenaar in plaats van als een derde. En daarmee is het formeel dus strafbaar om je wachtwoord van zo’n betaaldienst te delen.
    En wat als de eigenaar overleden is en jij bent de erfgenaam? Heb jij dan geen recht om de laatste kranten te lezen totdat het abonnement afloopt? Stel dat de overleden eigenaar een gamer was met voor duizenden euro’s aan games in zijn Steam account; mag je die dan niet erven door als hem in te loggen?

    Verder word er veel gesproken over de buurman, maar mag je je vrouw en kinderen wel je wachtwoord vertellen zodat ze de krant kunnen lezen? En wat als je het wachtwoord nooit afgeeft maar alleen in de app instelt zodat ze alleen maar op het kranten icoontje hoeven te clicken om de krant te lezen en verder niets hoeven te doen?

    • Als erfgenaam van het account is het jouw account geworden, dan is er geen sprake meer van een vals signaal. Je bent immers dan echt de accounthouder. Tenzij de dienst ophoudt na overlijden, in welk geval men de dienst mag staken zodra men erachter komt dat er een erfgenaam het account gebruikt. Maar dat valt buiten de strafwet.

      Ik zou zeggen dat het strafbaar is zodra het wachtwoord gebruikt wordt door een persoon die redelijkerwijs niet beoogd was door de beheerder. Als Netflix zegt dat je het mag delen met huisgenoten dan is dat dus beoogd en daarmee legaal. Maar ze beoogden vast niet dat jij iedereen op je school of werk het wachtwoord geeft.

      Instellen in plaats van vertellen maakt niet uit: het gaat om het genereren van het autorisatiesignaal naar de dienstverlener. Als dat niet mag, dan is het signaal vals.

      • edit: Oeps, was niet als een reactie op bovenstaande post bedoeld …

        Een vraagje voor iedereen hier: Wie is er nog oprecht verbaasd dat men massaal dit soort wetten overtreedt?

        Ik heb zelf vroeger genoeg gedownload van usenet, toen iedereen nog in de veronderstelling was dat dit mocht. Maar de laatste jaren heb ik eigenlijk alles gewoon gekocht. Hoe meer ik echter over auteursrechten en aanverwante zaken leer, hoe minder ik de behoefte voel me netjes aan de wet te houden.

        En eerlijk gezegd, hoe minder ik het doe. Mijn DVDs en Blurays staan allemaal op een plex server zodat ik ze thuis gemakkelijk kan bekijken op elk apparaat. Bijkomend voordeel, de media waarop het kwam blijft onbeschadigd. Wel voor iedere kopie een beveiliging moeten omzeilen.

        Ik heb kopieerheffing moeten betalen over de meeste opslag media in huis. Die gaat nu 30% omlaag omdat downloaden niet meer mag. Alleen zijn alle legale bronnen tegen kopieren beveiligd. De heffing mag dus gerust met 99% omlaag als downloaden niet meer mag; totdat men uberhaupt weer legale bronnen verkoopt die men ook legaal mag kopieren thuis.

  6. Maar het signaal dat je afgeeft is vals in die zin dat je je voordoet als die accounteigenaar in plaats van als een derde. En daarmee is het formeel dus strafbaar om je wachtwoord van zo’n betaaldienst te delen.

    Is het daarmee niet juist niet strafbaar om een “geleende” username/password combi te gebruiken i.p.v. om het uitlenen. Met andere woorden: de persoon die het gaat gebruiken doet zich voor als een ander, de persoon die het uitleend niet. Of zijn beiden verkeerd bezig omdat a) de lener zich als iemand anders voordoet (wat niet de bedoeling is), en b) de lener zijn inloggegevens beschikbaar stelt aan de ander, terwijl hij weet dat de ander dit voor een zeker doel (“misbruik”) gaat gebruiken?

  7. Voor de interpretatie van ‘vals’ in ‘vals signaal’ wordt in de wetshistorie Kamerstukken II 1990-1991 21551 nr. 7 verwezen naar de uitdrukking ‘valse sleutels’. Daarover wordt deze interpretatie aangehangen (Kamerstukken II 1990-1991 21551 nr. 6):

    Bij arrest van de Hoge Raad van 20 mei 1986 (NJ 1987, 130) is vastgesteld dat een huissleutel die wordt gebruikt tot opening van een slot door iemand die daartoe niet is gerechtigd, een valse sleutel is. Niet is vereist dat ten aanzien van de sleutel enige beveiligingsmaatregel is genomen. Voldoende is dat de sleutel tegen de wil van de rechthebbende uit zijn macht is verloren gegaan.
    Er geldt dus dat de eigenaar van de sleutel bepaalt wat ermee gebeurt. Datzelfde beeld komt naar voren in dat arrest over gebruik van iemand anders telefoonlijn:
    Het hof is van oordeel dat verdachte door zonder daartoe gerechtigd te zijn via de telefoonaansluiting van aangever heeft ingebeld bij Zigiz/Keesing Games B.V., gebruik heeft gemaakt van een valse sleutel. Daarmee gaf hij immers het valse signaal aan Zigiz/Keesing Games B.V., zijnde een aanbieder van online-gokspelletjes, dat [benadeelde 1] degene is die de opwaarding voor zijn rekening zal willen nemen.
    De redenering die het Hof hier opzet, is dat de sleutel vals is omdat [benadeelde 1] geen toestemming heeft gegeven dat een ander ermee mocht bellen. Zou [benadeelde 1] wel toestemming hebben gegeven, dan is het signaal dat [benadeelde 1] de opwaarding voor zijn rekening zal willen nemen juist en niet vals.

    Het lijkt me onjuist om het criterium van een valse sleutel bij de aanbieder van de dienst te leggen. Immers, dat hij het niet toestaat dat een account wordt gedeeld, kun je degene die logindata van iemand anders gebruikt niet kwalijk nemen: hij hoeft niet op de hoogte te zijn van contractuele afspraken.

    Dat er geen valse sleutel wordt gebruikt, betekent niet automatisch dat het signaal ook niet vals is. Toch denk ik niet dat de wetgever het inloggen met iemand anders account met diens toestemming strafbaar heeft willen stellen. Het artikel is aanvankelijk geschreven voor phishing: je belt en doet voorkomen dat je de aansluiting van Pietje gebruikt, en daarom wordt niet jij maar Pietje gefactureerd. Onwenselijk en dus strafbaar. Maar stel dat je bij Pietje thuis zit, en Pietje geeft jou toestemming om zijn telefoon te gebruiken, dan denkt de aanbieder abusievelijk dat Pietje belt. Het signaal bepaalt aan wie er gefactureerd moet worden, en dat signaal klopt in dit geval. Wordt het nou echt anders als Pietje een abonnement heeft waarmee hij onbeperkt kan bellen?

  8. Of het formeel strafbaar is om een account te delen.. Zou het niet weten. De redenatie vind ik wel aardig, hoe houdbaar deze is kom je pas achter als het te laat is 🙂

    De vraag is natuurlijk ook of het delen van een account daadwerkelijk onder het strafrecht valt of dient te vallen. Een ander niet onaanzienlijk puntje is toch wel de bewijslast. Je kan misschien wel een wetsartikel, of artikel in de AV vinden, maar dat wil niet zeggen dat je het kan bewijzen. Dat laatste lijkt mij nu net een niet onaanzienlijk puntje… Tipje van de sluier: IP adres is ontoereikend, er zijn voldoende scenario’s te bedenken waarom je zelfs meerdere keren per dag van IP adres wissel..

Laat een reactie achter

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren en <em> en <strong> voor italics en vet.

(verplicht)

Volg de reacties per RSS