Ik moet van mijn school andermans telefoon doorsnuffelen!

| AE 9874 | Beveiliging | 27 reacties

Een lezer vroeg me:

Voor mijn opleiding moet ik een vak volgen over forensische ICT. De opdracht is nu om een telefoon te doorzoeken, en de docent meldde trots dat hij deze op Marktplaats heeft gekocht, om de klus interessanter te maken. Het zijn dus echte telefoons met echte data. Ik voel me daar niet comfortabel bij, mag ik dit wel?

Wat een rare opdracht, en niet eens vanwege de juridische kant. Hoe kun je nu studenten beoordelen die allemaal z贸 verschillende input krijgen? Je zult net de telefoon van de directeur van Bits of Freedom krijgen en je buurman die van Samantha van der Plas, hoe kun je dat ooit met elkaar vergelijken?

Juridisch gezien denk ik niet dat dit door de beugel kan. Natuurlijk wordt de school eigenaar van die telefoon wanneer een docent die koopt, en het is toegestaan je eigendom te doorzoeken of er andere schoolactiviteiten mee te ondernemen. Maar dat recht houdt op wanneer andermans persoonsgegevens in het gedrang komen.

(Als priv茅persoon-koper kun je iets sneller klaar zijn. Volgens de wet behoor je eigenaar te worden van het hele toestel, zonder enige last of beperking (art. 7:15 lid 1 BW). Als er toch nog data van iemand op blijkt te staan, dan is dat dus een beperking die er niet hoort te zijn. Daar kun je de verkoper dus op aanspreken, hij moet deze tekortkoming in de koopovereenkomst herstellen. Heel formeel moet het toestel dus terug, waarna de verkoper het wist en het opnieuw aan je geeft. Praktisch gezien zou ik geen bezwaar zien tegen even namens de verkoper die data wissen, dat is effectief hetzelfde en scheelt een hoop rompslomp.)

De school weet donders goed dat die telefoon vol zit met persoonsgegevens van een ander, dat is immers het hele doel van die opdracht. Er is geen toestemming van die mensen om daarmee te werken. (Enkel dat iemand zijn telefoon verkoopt is nog geen uitdrukkelijke specifieke toestemming voor gebruik van die persoonsgegevens.) Er is ook geen contract dat dit onderzoek rechtvaardigt.

Je komt dan uit bij de eigen dringende noodzaak: ik kan niet anders, en ik heb rekening gehouden met de privacy. De belangenafweging is dan simpel, kom nou toch. Je kunt immers prima zo’n telefoon voorzien van nepdata en dan de studenten aan de slag laten gaan. En daarmee is er dus geen legitiem eigen belang om hiermee te gaan werken. Met een beetje goede wil kun je dit zelfs het opzettelijk verzorgen van een datalek noemen, een ongeautoriseerde verwerking.

Het lastige is alleen: hoe vertel je dat die docent?

Arnoud

Deel dit artikel

  1. Het lastige is alleen: hoe vertel je dat die docent?

    Aangezien de docent forensische ICT geeft, is de enige oplossing een brief met uitgeknipte krantenletters.

    Het is inderdaad wonderlijk dat de docent dit zo doet. Juist in een gecontroleerde omgeving (lees docent zet dummy data op de telefoon) kan je zien wat een student allemaal te weten kan komen (en wat hij/zij mist).

  2. Sorry hoor Arnoud maar ik ben het voor het eerst hartgrondig met je oneens. Juridisch natuurlijk geen speld tussen te krijgen maar je bent de domheid van de verkoper aan het verjuridificeren. Er is immers ook nog zoiets als gezond verstand en eigen verantwoordelijkheid. Domheid wordt IRL nu eenmaal niet beloond. Verkoop je je oude telefoon zonder te wissen dan loop je dit risico. (En als je dan de directeur van BoF zou zijn, heb je gelijk aangetoond volstrekt ongeschikt te zijn voor je functie )

    Wat betreft de vraagsteller: compleet ongeschikt voor het vak van forensisch onderzoeker. Als je niet de intrinsieke nieuwsgierigheid hebt om gewoon te willen weten wat je van elk! apparaat af kan halen, moet je echt een ander vak zoeken. De ethische toets komt natuurlijk, maar pas wanneer je moet beslissen wat je met de gevonden data doet.

    En wat betreft de opdracht: voor een examen inderdaad iedereen dezelfde Cellebrite UFED geven maar voor de echte leer ervaring is het onbekende altijd beter. Tot zover mijn ochtend-rant 馃槈

    • Sorry Alex maar dit is natuurlijk complete onzin. De ethische vraag komt juist v贸贸r je er iets mee doet. Als later jouw baas komt met de telefoon van zijn vrouw en vraagt of je daar even naar wil kijken moet je v贸贸raf beslissen of je dat doet of niet.

      Ook in dit geval is het prima van te voren die afweging te maken en aangezien het hier een les forensische ICT in de praktijk is en geen ethische les, moet je als docent zorgen dat je een normale leer omgeving aanbiedt.

      De eigen schuld dikke bult, zou werken bij de directeur van BoF maar niet bij mijn ouders of mijn buurman.

      Tot zover mijn tegen-rant 馃檪

      • Mee eens. In mijn oude dagen als computersleutelaar voor een winkel troffen wij wel eens eh.. onwelvoegelijke zaken aan op schijven. Als je iets strafbaars vond dan moest je de politie inlichten. Nou gebeurde dit onderzoek altijd in opdracht van klanten dus daar was geen probleem mee. Er is echter het duidelijke verschil tussen (voldoende grond voor) starten met onderzoek en (voldoende grond voor of de verplichting om) iets te doen met wat je vindt.

        Hoort bij zo’n vakgebied ook niet een zekere professionaliteit, trouwens? Zelfs militairen moeten/mogen een illegaal bevel weigeren. Hoe dat in de praktijk uitpakt is natuurlijk weer iets anders.

  3. Het lastige is alleen: hoe vertel je dat die docent?
    Verwijzen naar deze blog? Veel ICT-docenten kunnen het wel waarderen als studenten zelf op onderzoek uitgaan en hun mening kunnen onderbouwen met een bron :).

    Valt dit onder het strafwet / zijn leerlingen zelf strafbaar? Of is het risico een boete opgelegd door de AP?

    Hoe kun je nu studenten beoordelen die allemaal z贸 verschillende input krijgen?
    Leerlingen hoeven gelukkig niet voor elke lesactiviteit objectief beoordeeld te worden.

    • Laat me raden, nu wens je dat je het niet had opgezocht?

      Op je telefoon gedaan trouwens? Wel goed wissen voor je hem verkoopt, voor je het weet is je reputatie om zeep geholpen bij jonge forensisch ICT-ers.

      Als de docent de telefoons doorverkoopt aan zijn studenten voor het onderzoek zitten ze toch gewoon in de situatie van een priv茅-koper? Dan kunnen ze gewoon forensisch onderzoek doen op de telefoon, want hun eigendom. Alleen moeten ze alles wat ze vinden wissen omdat ze het niet mogen bewaren? Lijkt mij niet toch, het is de oorspronkelijke eigenaar zijn data en hij heeft het opgeslagen, niet de koper. Dan os het opslaan met toestemming gebeurd.

      Ik zie pas een probleem als je die data met de docent gaat delen. Maar een verslag zonder de specifieke data te delen waarin je geanonimiseerd verteld wat voor dat je op het toestel hebt gevonden en hoe je die hebt gevonden bevat geen persoonsgegevens.

      • Je gaat nu voorbij aan het feit dat je al nooit de data dat van die telefoon had mogen trekken. Omdat dat al een verwerking van persoonsgegevens is waar je voor zover ik het begrijp een geldige reden en toestemming voor nodig hebt. Het lijkt mij dat die er beide niet zijn. En sowieso wat arnoud al aangeeft deze opdracht is prima te doen met vooraf speciaal geprepareerde telefoons, kan je ook nog eens verschillende scenario’s testen.

  4. Sorry dat ik het even over de tech-boeg gooi, maar wat kun je halen uit een tweedehands iPhone? Die moet je wel resetten voordat je hem verkoopt (of je moet het normaal vinden dat iemand ook direct bij je mail, je telefoonboek en je whatsapp kan). Als je die hebt gereset, dan kom je toch echt niet meer bij de data die er op stond? Je moet een iCloud account opgeven, en als die niet overeenkomt met de eerder gebruikte account dan kun je toch helemaal niets? Getuige de rel die de FBI veroorzaakte toen ze Apple wilden dwingen om de telefoon van een terrorist te ulocken omdat ze er zelf niet meer uit kwamen.

    Ik ga er dan ook van uit dat er geen iPhones op Marktplaats staan waar je ook het iCloud wachtwoord van de vorige eigenaar bij krijgt. En als dat al wel zo zou zijn, dan is het weinig interessante materie voor een studie forensische ICT…

  5. Het kan natuurlijk zijn dat dit een test om ethiek gaat (betwijfel ik). Iedereen een onvoldoende als niet in het rapport staat dat dit tijdens normale bedrijfsvoering natuurlijk geen probleem is, maar gezien dit – zoals aangegeven door de docent – een telefoon van marktplaats is met persoonlijke gegevens,

  6. Je moet als student gewoon deze opdracht in de klas/collegezaal tijdens de les en plein public ter discussie stellen. Dit is een perfect moment om eens met zijn allen na te denken over ethiek in het vak en op welke manier de opleiding beroepsethiek kan overdragen en onderwijzen aan studenten. In het onderwijs vorm je mensen en (beroeps-)ethiek hoort bij die vorming, zeker bij een vak als forensische ICT.

    • Dit is sowieso een moment om na te denken over je toekomst. Als je nu (terecht, naar mijn mening) bezwaren hebt, wilt weigeren maar bang bent dat dat voor jou slecht uit pakt, hoe werkt dat dan uit in de beroepspraktijk waar je in terecht zult komen? Aan de andere kant: als de “good guys” dit soort beroepen niet meer aandurven, waar moet het dan heen met de forensische ICT?

  7. Je komt dan uit bij de eigen dringende noodzaak: ik kan niet anders, en ik heb rekening gehouden met de privacy. De belangenafweging is dan simpel, kom nou toch. Je kunt immers prima zo鈥檔 telefoon voorzien van nepdata en dan de studenten aan de slag laten gaan. En daarmee is er dus geen legitiem eigen belang om hiermee te gaan werken. Met een beetje goede wil kun je dit zelfs het opzettelijk verzorgen van een datalek noemen, een ongeautoriseerde verwerking.

    Mee eens, behalve dat het zo veel werk is om een telefoon te voorzien van overtuigende nepdata, dat het in de praktijk ondoenlijk wordt, behalve als je het een van de opdrachten maakt. Dat kan best. Je geeft elke student een blanke testtelefoon en zegt: ga er maar een tijdje mee spelen zoals een gewone gebruiker zou doen, gebruik niet je eigen accounts maar nieuwe, en laat maar wat leuke dingetjes achter voor je medestudenten; en dan laat je naderhand studenten elkaars testtelefoon onderzoeken.

  8. Ik haal voorals nergens uit dat het n铆et om nepdata gaat. Ik lees vooral dat de leraar het wat spannender/echter wil maken in de hoofden van de studenten. Het blijft natuurlijk forensische IT – die kids moeten straks wel gewoon aan de slag kunnen en zonder scrupules iemands criminele activiteiten bloot kunnen leggen.

    Als iemand in opleiding zich nu al zorgen maakt over iemand anders privacy, dan is die opleiding misschien niets voor die persoon. Tis een beetje een patholoog anatoom die in de les geen weefselmonster wilt nemen, want lijkschendig.

      • Goed, ik bedoelde het een stukje genuaceerder dan dat. Een patholoog zal ook de wet overtreden wanneer ie thuis op de keukentafel ongevraagd een autopsie begint te doen, net zoals een onderzoeker die zelf judge en jury wil spelen ipv van z’n onderzoeksresultaten als bv. bewijs aan te leveren.

        Ik heb het over onderzoeken van andersmans hardware/software uit hoofde van een offici毛le functie. Op het moment dat er een reden is/de opdracht komt om iets te onderzoeken, dan werken emoties zoals ‘ik voel me er niet goed bij om nu op ‘Mijn Documenten’ te klikken’ tegenproductief naar mijn mening. Een zuster in opleiding die bang is voor naalden, if you will.

        Om goed werk te leveren zijn vaardigheden nodig, zowel technisch als mentaal, en school probeert hier m.i door middel van zo’n opdracht aan bij te dragen.

          • Sure, maar zoals gezegd, ik ken het precieze verhaal niet, en zo lang de leraar geen uitleg kan geven hier denk ik niet dat wij zomaar moeten concluderen dat hier iets gebeurt wat echt niet kan. Zonder uitleg is het zelfs mogelijk dat de leraar zit te wachten op een ‘Nee, sorry, hier kan ik niet aan meewerken.’ De vraagsteller zal dat dan wel bij de leraar kenbaar moeten maken, ipv van meteen juridisch advies in te winnen zonder om opheldering te vragen in iets van in eerste instantie een interne aangelegenheid is (ik ga ervanuit dat zulks allemaal niet gebeurd is aangezien de vraag verder nergens melding van maakt).

Laat een reactie achter

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren en <em> en <strong> voor italics en vet.

(verplicht)

Volg de reacties per RSS