Via Reddit:
Ik ben recent verhuisd naar een nieuw huurappartement (voor 1 persoon). Bij het intrekken heb ik 1 toegangstag gekregen voor het complex. Mijn vriendin komt regelmatig langs en blijft soms slapen, en praktisch gezien zou een tweede tag heel handig zijn. Volgens de regels is het officieel “1 persoon = 1 tag”, dus extra tags zijn eigenlijk niet toegestaan. [Mag ik er zelf eentje bijmaken?]Allereerst is het de vraag of dat wel kan, zelf een tag (laten) bijmaken. Simpele RFID-tags of druppels zijn inderdaad vaak triviaal te klonen, maar bij moderne apps lukt dat niet.
Er zijn vast trucs, maar dan kom je al snel in een schimmig gebied terecht. Een aspect daarvan werd in de comments aangestipt:
Afhankelijk van het type tag en het gebruikte systeem kan kopiëren zelfs worden aangemerkt als onbevoegde toegang of het omzeilen van beveiligingsmaatregelen.Deze opmerking wijst op twee mogelijke serieuze juridische problemen. Allereerst het auteursrecht. In al wat oudere Amerikaanse jurisprudentie (Skylink en Lexmark) werd bepaald dat het klonen van een draadloze garagedeuropener telt als kraken van een toegangsbeveiliging van de software van het origineel. En dat is strafbaar plus kan tot enorme schadeclaims leiden.
Weliswaar kwam daar in hoger beroep een forse correctie, maar het beeld is blijven hangen dat iedere vorm van kopiëren, namaken of soms zelf aanroepen van andermans software in strafrechtgebied terecht komt. Ik meen onterecht
Een voor mij serieuzer probleem is of we hier te maken hebben met computervredebreuk. Door zo’n tag te klonen, creëer je wat strafrechtelijk een “valse sleutel” heet. De sleutel klopt technisch, maar is niet officieel en dús vals. (Ook een gestolen echte sleutel gebruiken telt wel als “valse sleutel”.)
Binnendringen in een computersysteem met een valse sleutel is strafbaar. En dat computersysteem is dus het kastje dat de toegangscontrole regelt. Ik realiseer me dat ik hiermee de normale verwachtingen van dit strafbaar feit oprek, maar dat is in lijn met de jurisprudentie.
In 2024 blogde ik over een geval waarbij een werknemer foto’s maakte van e-mails die hij nodig had voor een arbeidsgeschil:
Maar omdat hij ziek was, en het toch ook moeilijk “je werk” genoemd kan worden om bewijs te screenshotten voor een arbeidsgeschil, vindt de rechter dit een vorm van binnendringen met valse sleutel.Hier zou het argument dan zijn dat je alleen naar binnen mag met een originele tag, fob of druppel. En jouw tag is hoe dan ook niet origineel, dus dring je binnen.
Tegenargument is dat je op zich wel naar binnen mag daar, en dat daar ook geen doelbinding aan zit: het is je woning. Niet je werkplek terwijl je ziek bent of na diensturen. Maar het gaat niet om in het huis zijn, het gaat om in die computer zijn. En daar mag je niet zijn met een nepsleutel.
Arnoud
Beste Engelfriet,
Leuke invalshoek, alleen zou ik dit gewoon als het huurrecht leggen ;). Een huurder heeft tags zodat ze zicht en grip heeft op de hoeveelheid sleutels in aanloop. Dit zou betekenen dat huurders dat niet meer kan vertrouwen, omdat er altijd een derde de sleutel kan hebben. Grote kans dat dit gewoon tegen de standaard gebruikersvoorwaarden is ;).
Waarom praat je 😉 met smileys 😉 Dit is raar 😉
Ik zou verwachten dat op de “1 persoon = 1 tag” regel wel een uitzondering mogelijk moet zijn. Hoe gaan ze anders bijvoorbeeld om met iemand die een schoonmaker voor zijn appartement heeft? Een schoonmaker verbieden of jou verplichten thuis te zijn, lijkt mij onredelijk. En natuurlijk is jouw vriendin een “schoonmaakster” als ze even helpt met de afwas na het eten. De huurder heeft niet gemeld hoeveel de schoonmaker schoonmaakt.
Is het een nepsleutel als het door degene die het pand mag betreden wordt gekopieerd? Of is het een kopie van de echte sleutel?
1 persoon = 1 tag, dat is een significante beperking van het woongenot. Ik zou vooral ook even kijken of die beperking voldoende zichtbaar was geadverteerd.
Terzijde: als een sleutel schijnbaar zo makkelijk is te kopiëren, voldoet de verhuurder aan enige zorgplicht?
Er zijn toch prima cilinderslot-sleutels (tot en met SKG 3*) die door door de toonder ervan bij elke hakkenbar nagemaakt kunnen worden? Waarom zou het kunnen kopiëren van een digitale sleutel een schending van de zorgplicht zijn terwijl we het dupliceren van fysieke sleutels normaal vinden?
Oeh ja maar cyber en tags en hacken.
Inderdaad, maar ik hoorde zojuist weer het credo “wat in de fysieke wereld illegaal is, is dat ook in de virtuele wereld” — en daar hoort natuurlijk het omgekeerde ook bij: “wat in de fysieke wereld legaal is, is dat ook in de virtuele wereld” — want anders maak je het wel heel makkelijk om allerlei dingen die legaal zijn, illegaal te maken door ergens een computer in de keten te plaatsen, en dat kan natuurlijk niet de bedoeling zijn. (Al zien we dat natuurlijk continue, denk aan het uitlenen van eboeken versus papieren boeken, of the weghalen van “gekochte” digitale extra’s bij doorverkoop van een Tesla auto, allemaal ter vergroting van de winst van de betrokken bedrijven).
Daarnaast: waar een “druppel” toegang verstrekt, zou er natuurlijk ook altijd een analoog alternatief (de klassieke sleutel) moeten zijn, want computers zijn natuurlijk wel eens offline (elektriciteitsstoring, grote hack, gemiste update, vervallen licentie, etc.) — en het mag niet zo zijn dat je dan je huis niet meer in kunt.
Tja, als een digitaal slot niet aan de zorgplicht zou voldoen omdat het eventueel te hacken is, kun je net zo goed redeneren dat een SKG * of ** ondermaats is omdat de kans op inbraak groter is (of zelfs een SKG *** slot met een ongecertificeerde sleutel, omdat namaken daarvan makkelijker is).
De oorsprong van de regel 1 persoon = 1 sleutel ligt er vermoedelijk in dat de sleutel niet alleen toegang geeft tot het prive-gedeelte maar ook tot algemene ruimtes (’toegang tot het complex’). Dus dat daarom alle bewoners ook een gezamenlijk belang hebben bij het voorkomen van ongeautoriseerde toegang en elke extra sleutel is een extra risico. Zo hadden we in mijn complex ook parkeerplaatsen en voordat we de aantallen technisch inperkten stonden er toevallig heel veel meer verschillende auto’s dan dat er appartementen waren, inderdaad middels gekopieerde sleutels. Regels stellen over hoeveel sleutels je mag hebben en optreden tegen illegale kopieen lijkt me daarom een redelijk belang.
1 sleutel per appartement lijkt me daarentegen dan wel weer aan de beperkte kant en je rechten als bewoner teveel inperken om gebruik te kunnen maken van het gehuurde. Alleen al omdat je bijvoorbeeld je sleutel kwijt kunt raken en dan niet per definitie buitengesloten moet zijn. De oplossing hier zie ik daarom meer in het aanhangig maken van uitbreiding van de regels naar 2 per persoon, maar niet meer dan dat. Dat lijkt een aardige afweging van ieders belang.
Het handige van digitale beveiligingen is juist dat er dan prima per slot per pas toegang kan worden geregeld. Een ‘bezoekerspas’ heeft niet meer toegang nodig dan de woning en de router er naar toe.
Zeker, maar die ‘route ernaartoe’ zal vrijwel onvermijdelijk een risico voor anderen impliceren, alhoewel het precieze risico kan verschillen afhankelijk van de inrichting van het complex en bijvoorbeeld welke afgesloten tussendeuren er dan zijn.
Dat is toch heel makkelijk op te lossen: Ons systeem registreert of een pas binnen staat en laat dan niet nog iemand binnen tot die eerste er weer uit is. Ook hebben we vaste plekken.
Als je weet aan wie je een tag hebt gegeven, dan kan je met die persoon zelf afspraken maken over de parkeerplek.
Is dat diezelfde wetgeving waaronder het strafbaar is om je eigen tractor te repareren, omdat er een “beveiliging” is ingebouwd die je dan moet omzeilen ? Die moet echt zo snel mogelijk om zeep geholpen worden.
Ik heb er moeite mee om dit als computervredebreuk te zien. Er wordt niet binnengedrongen in een geautomatiseerd werk voor de opslag of verwerking van gegevens, maar in een huis. Het slot is alleen niet mechanisch, maar elektronisch.
Of iets een valse sleutel is wordt bepaald door de bestemming die door de eigenaar is gegeven aan het voorwerp. Als ik een ijzerdraadje gebruik om mijn woning binnen te komen, dan is dat ijzerdraadje geen valse sleutel, omdat ik bevoegd ben om deze bestemming aan dat middel te verbinden.
Ik focus op de server waar jouw gekloonde tag tegen zegt “ik ben tag 123 wil je de deur open doen”. Die server laat jij gegevens verwerken (namelijk “ja 123 mag naar binnen”) en verzenden (SIG_DEUROPEN). Maar met die tag mag jij niet in die server zijn.
Maar het gaat er toch om ‘wie’ er binnen mag (geautoriseerd is), en niet hoe? Als ik een ouderwetse sleutel zou hebben, die bij de hakkenbar laat namaken en met de kopie naar binnenga, mag dat. Ik ben er immers rechtmatig. En omgekeerd, iemand mijn sleutel vindt of steelt en die vervolgens gebruikt zonder dat hij geautoriseerd is, is niet rechtmatig bezig.
Nu is het digitaal en gaan we het wel onrechtmatig vinden dat een geautoriseerde bezoeker geen kopie van een sleutel mag gebruiken? Dan klopt of de wetgeving of onze interpretatie daarvan niet.
Ik ben het met Alex eens, ik vind dit wel moeilijk. Het is niet dat ik een shell op die server krijg, of dat ik instructies laat uitvoeren (bv door SQL injection) die eigenlijk zouden zijn voorbehouden aan de daarop draaiende software.
Als ik een analogie met een portier zou maken: het is niet dat ik in de portierslounge inbreek om op het knopje “deur open” te drukken. Het is meer dat ik enthousiast zwaai naar de portier en dat hij de deur voor me open doet, ook al woon ik er niet.
Zie ook deze vrijspraak https://www.bijzonderstrafrecht.nl/home/vrijspraak-computervredebreuk-rb-wijdt-overwegingen-aan-het-bestanddeel-binnendringen “er zijn onvoldoende aanknopingspunten die houvast bieden voor de vaststelling dat zij toegang hebben verkregen tot het geautomatiseerde werk met de daarop opgeslagen afgeschermde gegevens”
Je originele tag geeft aan “ik ben 123” en de gekoonde tag geeft aan “ik ben 123”. Wat is nu precies het probleem? En naar binnen is hier niet in de server, maar in het huis.
Veel interesanter vind ik de vraag: mag je als huurder een kopie maken van normale sleutel? Zo nee, dan heb je een punt.
Je ben op geen enkel moment in de server met die tag. Je hebt geen toegang tot het systeem, je krijgt toegang tot het gebouw.
Het is een niet triviaal detail: de ‘valse’ sleutel, nog de echte sleutel geeft je toegang tot een computer systeem. Ze geven beide toegang tot een ruimte. Een ruimte waar je toestemming van de bewoner/huurder hebt om te zijn (we hebben het immers over sleutels die de bewoner uitdeelt, niet een inbreker die iets namaakt).
Dat deze hele vraag een ICT vraag is geeft al aan hoe doorgeslagen en absurd we omgaan met dit soort zaken.
Dat lijkt me dan ook een gevalletje ‘dat is niet de bedoeling in de letter van de wet, maar het is natuurlijk niet de geest van de wet’.
Wanneer je met een Arduino waar je een pincode voor moet intoetsen (of in dit geval, een RFID moet lezen) al kan claimen dat elke deur open maken ‘computervredebreuk’ zou zijn, dan wordt die regel toch echt een beetje misbruikt voor zaken waar ie niet voor is bedoeld.
Volgens mij wordt er niet ingebroken in het computersysteem.
Sensor systeem registreert een identificatie en geeft de opdracht een deur te openen.
Een analogie : Computersysteem opent de deur door middel van een lussensor voor een auto (courant bij het buiten rijden). Breek je dan in het systeem als je met een andere auto langskomt? (bv. vervangwagen)
Nu is één sleutel wel zeer beperkend. Ik begrijp dat een tweede (en verder) minimale rechten hebben. Het is zelfs onverstandig, want nu zal een sleutel moeten doorgegeven worden, dan is het veel beter als er een extra is. Dan is het verschil duidelijk.
Als je een wachtwoord afkijkt (shoulder surfing) en daarna zelf inlogt, dan breek je wel degelijk in. Ik zie het verschil niet tussen een gekloonde tag en een afgekeken wachtwoord.
Met een tag log je niet in, dus die analogie gaat niet op.
De wet heeft het niet over inloggen maar binnendringen. Met een sleutel of een tag dring je net zo goed binnen.
Maar je dringt dan toch het gebouw binnen en niet de computer?
Met die redenatie zouden mensen die in de winkels barcodes van goedkope producten afhalen en op dure producten plakken ook schuldig zijn aan het binnendringen van de kassa.
Ik denk dat je gelijk hebt dat dit inderdaad een vorm van binnendringen kan zijn. Verschil voor mij is wel dat de barcode puur inputdata is in een proces, terwijl de tag een autorisatie voor het proces is. Er is jurisprudentie dat een vervalste incasso-opdracht géén binnendringen is, omdat je geautoriseerd bent zulke opdrachten in te dienen.
Die tag is ook puur input voor een proces: Het proces deur openen.
Die tag geeft geen enkele toegang tot het computer systeem.
Aangezien je met de orginele tag van de bewoner deze ervoor mag houden om de deur te openen – je bent dus geautoriseerd om het systeem te gebruiken – zou ik zeggen dat dit net als de vervalste incasso geen binnendringen kan zijn.
Het verschil daartussen is dat je bij het afkijken en gebruiken van een wachtwoord geen toestemming hebt en bij het kopiëren van de tag wél toestemming hebt van de houder ervan (aannemende dat de vraagsteller alleen de eigen tag kopiëert).
Aleen gaat het hier om een woonhuis. Wie toegang heeft tot een woonhuis bepaalt niet de verhuurder, maar de huurder. (Wie er woont is wat anders, maar wie je als bewoner binnen laat, dat gaat verhuurder niets aan)
Dus wat dringt die persoon met die gekloonde tag binnen. Niet het computer systeem, maar het huis. En het huis heeft deze persoon gewoon toestemming voor om binnen te gaan!
Mijn vraag is ‘Welke malloot heeft bedacht dat je maar 1 ‘sleutel’ voor je huis krijgt? Heeft nog nooit iemand gehoord van reserve sleutels?
Helaas zijn met de huidige woning nood mensen gedwongen elke woning die ze kunnen krijgen te accepteren, maar ik zou nooit mijn huidige woning verlaten om bij deze malloot te gaan huren.
Het is heel normaal om andere personen de toegang tot jouw huis te geven. Schoonmaakers, babysitters, werklui die in je huis bezig zijn.
Waarom is het uberhaupt toegestaan dat een verhuurder dit soort beperkingen oplegt aan een bewoner?