Arnoud Engelfriet, auteur op Ius Mentis

Wetsvoorstel computercriminaliteit: terughackbevoegdheid, webcammeekijkrecht, decryptiebevel en wereldwijde rechtsmacht bij cybercrime

Geplaatst op 3 mei 20133 mei 2013 in Security, 55 reacties

team-high-tech-crime Minister van Veiligheid en Justitie Ivo Opstelten wil de politie de mogelijkheid geven om fors in te grijpen tegen hackers, meldde NRC en vele andere media. In een nieuw wetsvoorstel tegen cybercrime stelt hij voor de politie een terughackbevoegdheid en een webcamgluurrecht te geven. Oh ja, en weigeren je wachtwoord te geven wordt strafbaar.

Het wetsvoorstel bevat een al lang liggend verlanglijstje van Justitie om meer bevoegdheden te krijgen. Zo wordt het apart strafbaar gesteld om gegevens te ‘helen’, oftewel gegevens over te nemen die niet openbaar zijn. Dit naar aanleiding van de Manon Thomas-zaak, waarin er strafrechtelijk weinig te doen was tegen de publicatie van via computervredebreuk verkregen privéfoto’s van de bekende Nederlandse. Dat kan nu wel – een jaar cel – maar “overnemen van niet-openbare gegevens” is gelijk wel een pondje zwaarder dan “publicatie van gevoelige privégegevens”.

De gegevens hoeven niet via computervredebreuk verkregen te zijn. Een laptop ouderwets jatten en dan de inhoud op pastebin zetten is ook strafbaar als dit wet wordt. Netjes is wel dat er een expliciete uitzondering is opgenomen voor serieuze journalistiek:

Niet strafbaar is degene die te goeder trouw heeft kunnen aannemen dat het algemeen belang bekendmaking van de gegevens vereiste.

Het decryptiebevel. Tsja. Zoals de minister zelf al zegt:

De verdachte kan zich erop beroepen niet in staat te zijn aan het bevel te voldoen omdat hij niet in staat is de sleutel te reproduceren.

Dat levert dan overmacht op, waardoor hij niet strafbaar is. Maar de rechter mag wel zijn conclusies trekken over hoe geloofwaardig dit overkomt en wat dat betekent voor de rest van het bewijs. Opmerkelijk is nog dat het bevel alleen gegeven mag worden bij terrorisme en kinderporno, want dan durft niemand er tegen te zijn.

Verder wordt de gerechtelijke toets bij weghaalbevelen voor tussenpersonen (zoals hostingpartijen) toch niet geschrapt. Wel wordt de regeling herschreven maar voor zover ik kan zien, is dat vooral een verduidelijking. De belangrijkste aanvulling is dat er nu eindelijk een klachtmogelijkheid is tegen een dergelijk bevel.

Meest controversieel is toch wel de hackbevoegdheden die Justitie gaat krijgen onder dit wetsvoorstel. Men mag binnendringen in een computer, router of cloudserver waar de verdachte gebruik van maakt (ja, ook als hij niet de enige is) en deze “onderzoeken” om vast te stellen wie de eigenaar is of waar het apparaat staat. Maar ook alle gegevens overnemen “die noodzakelijk zijn om de waarheid aan het licht te brengen” – de wettelijke definitie van “bewijs vergaren”. Wel moet sprake zijn van een ernstig delict, en er moet toestemming zijn van de rechter-commissaris.

Hiermee mag dus ook de cloud gehackt worden – en neemt Nederland dus rechtsmacht aan voor alle cloudservers waar ze bij kunnen.

Aangenomen wordt dat bevoegdheden als de ontoegankelijkmaking of het veiligstellen van gegevens tot de eigen territoriale beschikkingsmacht behoort voor zover de Nederlandse strafwet toepasselijk is op het strafbare feit dat wordt opgespoord. De noodzaak tot onverwijld optreden maakt dit onvermijdelijk en ook volkenrechtelijk goed verdedigbaar. Dit betekent dat wanneer de plaats van opslag van de gegevens niet bekend is, zelfstandig kan worden opgetreden.

En wij maar piepen als de FBI gaat datagraaien in Europese computers onder hun Patriot Act.

Met een apart bevel mag men ook communicatie aftappen, vertrouwelijke communicatie opnemen en de verdachte stelselmatige observeren – inderdaad, de politie mag dan je webcam stiekem aanzetten en meekijken. Hiervoor komt een aanvulling op het Besluit technische hulpmiddelen strafvordering, waarin nu al staat wanneer de politie met richtmicrofoons of camera’s mag afluisteren of meekijken.

De hiervoor te gebruiken software lijkt nog te moeten worden ontwikkeld:

De softwareapplicatie dient te zijn gecertificeerd. De eisen voor de certificatie worden neergelegd in het Besluit technische hulpmiddelen strafvordering. Dit brengt met zich mee dat de mogelijkheid bestaat om technische hulpmiddelen van verschillende leveranciers te betrekken, op voorwaarde dat deze middelen aan de wettelijke eisen voldoen.

Harde eis: In het geval dat de software wordt herkend, is het van essentieel belang dat deze niet te herleiden is tot de politie. Eh.

Arnoud

Britten introduceren weeswerkenwet

Geplaatst op 2 mei 20131 mei 2013 in Intellectuele rechten, 14 reacties

Met de Enterprise and Regulatory Reform Bill hebben de Britten een weeswerkenwet met “seismic repercussions” voor fotografen, meldde BJP gisteren. Deze wet bepaalt dat werken waarvan de maker niet te achterhalen is, via een collectief licentiesysteem gebruikt mogen worden. En de aardschok voor fotografen zit hem in wanneer een werk een weeswerk is.

Een weeswerk is algemeen gesproken een werk waarvan de rechthebbende niet kan worden achterhaald, maar dat nog geen publiek domein is. Gebruiken van een weeswerk mag dus niet (behalve onder citeren of thuisgebruik, et cetera) maar toestemming vragen is niet mogelijk. En dat leidt tot vervelende situaties, zeker als het werk in een verouderd formaat is en dus moet worden gedigitaliseerd of bewerkt om het te behouden. Of zelfs maar wanneer je als bibliotheek het werk beschikbaar wil stellen aan het publiek, zoals je altijd doet als bieb.

Iedereen is het er eigenlijk wel over eens dat dit weeswerkenprobleem moet worden opgelost. Maar hoe dat moet gebeuren, weet eigenlijk niemand. Het probleem is namelijk fundamenteel dat je een ontkenning moet bewijzen als gebruiker: de rechthebbende moet onmogelijk te vinden zijn. Maar dat jij hem of haar niet hebt gevonden, kan ook betekenen dat je niet hard genoeg hebt gezocht. Dus hoe trek je daar de grens?

Het klinkt dan als een oplossing om te zeggen dat je een “diligent search”, oftewel stevig je zoekbest, moet hebben gedaan en dan niets hebt gevonden. Maar wat is een ‘diligent’ search? Wanneer heb je genoeg je best gedaan bij een foto die je ergens op een website vond?

Het FUD-verhaal van Andrew Orlowski dat nu rondzingt op Slashdot en elders, komt er op neer dat als er geen metadata in de foto staat, je meteen mag stoppen met zoeken. En omdat Instagram en collega’s bij het uploaden alle metadata strippen, zijn alle foto’s op social media nu publiek domein. Eh, nee. Dát staat niet in die wet. Zonder metadata is je zoektocht moeilijker, maar even de foto in Google Afbeeldingen gooien is nul moeite en levert vaak meteen zeer nuttige resultaten. Ik zou dus zeggen dat wie géén zoekresultaten van Google (en TinEye) kan overleggen, niet ‘diligent’ handelde.

De achterliggende discussie specifiek voor foto’s vind ik eigenlijk nog interessanter. Ik riep al eens het failliet van het plaatjesauteursrecht uit, en ik zie nu weer precies dezelfde argumenten langskomen: plaatjes zijn de olie, de grondstof van de internetcultuur en die moet iedereen kunnen gebruiken – versus, foto’s maken kost geld en vereist deskundigheid en ervaring, dat wordt nu onmogelijk dus je maakt een branche kapot op deze manier.

In de comments zei ik toen: als de overgrote meerderheid van de bevolking iets vindt, dan moet je daar als wetgever wat mee doen. Niet per se het volk haar zin geven, maar blijven zitten op een uitgangspunt uit 1912 is echt onwenselijk.

Voorbeeld: fietsers reden massaal rechtsaf door rood. Dat was tegen de wet, maar het gebeurde zó massaal en het verbod werd zo onzinnig geacht, dat daar nu een wettelijke uitzondering voor is gemaakt (art. 68 RVV, moet wel met bordje aangegeven zijn).

Fietsers reden ook massaal zonder licht ‘s nachts. Dat werd door fietsers óók onzinnig geacht (auto’s hebben zelf toch licht, en er staan lantaarnpalen, en de automobilist is toch aansprakelijk) maar daar is de wet niet op veranderd. Nou ja, een beetje: volgens art. 35 RVV is naast verlichting op de fiets ook toegestaan dat “de bestuurder een wit of geel licht voert op zijn borst” en/of dat “de bestuurder of een achter de bestuurder gezeten passagier een rood licht voert op zijn rug.”

Daarnaast is er flink geïnvesteerd in campagnes om fietsers licht te laten voeren, en zijn daarna intensieve boetecampagnes opgezet. En zo creëer je draagvlak, ik zie nu véél minder fietsers die fietsen zonder licht (no pun intended).

Beide keuzes zijn democratisch gezien legitiem. Een vergelijking in het auteursrecht zou kunnen zijn dat je bv. nietcommercieel hergebruik toestaat, of dat je een heffing bij providers neerlegt die het dan weer aan klanten kunnen doorberekenen (“Nu Hyves Premium met recht om drie filmpjes te plaatsen”). Of alle auteursrechten onder Buma/Stemra schuiven en zo één loket bieden. Maar er moet íets gebeuren.

Arnoud

Mag je sollicitanten googelen?

Geplaatst op 1 mei 201324 april 2013 in Ondernemingsvrijheid, 46 reacties

In onze vacatures bij ICTRecht nemen wij sinds kort de standaardzin “NB: een Google-onderzoek maakt deel uit van de procedure.” op. Dat gaf enige discussie op: mag dat eigenlijk wel dan, sollicitanten googelen? En welke eisen gelden daarbij?

Heel formeel is het googelen van een sollicitant een geautomatiseerde verwerking van zijn persoonsgegevens. Je doorzoekt immers een databank op zoek naar persoonlijke informatie (persoonsgegevens) van een natuurlijk persoon. In beginsel is daarvoor dus toestemming nodig, ondubbelzinnige toestemming om precies te zijn. Die is een beetje moeilijk te krijgen in een personeelsadvertentie. Onze advertenties mélden dat we dit doen, en ik meen dat je dan de toestemming kunt afleiden uit het feit dat iemand dan toch solliciteert.

Je kunt het ook gooien op de “eigen dringende noodzaak”, de uitzondering in de privacywet waarmee je zonder toestemming mag handelen. Je noodzaak moet dan zwaarder wegen dan de privacy van de persoon. Dat vereist een belangenafweging, en daarbij zal meespelen welke bronnen je raadpleegt. Openbare, zelf gepubliceerde bronnen zoals een homepage of openbare LinkedIn-pagina zijn daarmee wel te raadplegen, maar gaan snuffelen op Facebook vanaf het privéaccount van de HR-medewerker lijkt me niet kunnen. Sterker nog, je kunt je afvragen of je als werkgever überhaupt wel op Facebook moet gaan kijken, dat is immers privé en dus niet relevant voor het werk.

De NVP Sollicitatiecode gaat hierbij nog een stapje verder: naast toestemming verkrijgen moet je ook aan de sollicitant je resultaten melden (met bronvermelding) en bespreken wat je gevonden hebt. Dit is niet wettelijk verplicht maar wel een goede best practice. Zeker omdat de kans op persoonsverwisseling of onjuist interpreteren van gegevens best aanwezig is bij Google.

Een complicatie daarbij zijn nog de “bijzondere persoonsgegevens”, gegevens over iemands ras, gezondheid, seksuele voorkeur en dergelijke. Die mag je eigenlijk helemáál niet verwerken, dus wat moet je dan als je die tegenkomt in een openbare databank zoals Google? Gelukkig is er een uitzondering in de Wbp: wanneer zulke gegevens “door de betrokkene duidelijk openbaar zijn gemaakt”, geldt het verbod niet. En ook bij uitdrukkelijke toestemming van de betrokkene zelf, mag je ernaar kijken. Een datingprofiel of een foto die die persoon zelf online zette, mag je dus bekijken als potentieel werkgever.

In ons geval gaat het er ons niet om of we gekke dingen vinden, om daarmee mensen af te wijzen. Sterker nog: het maakt ons niet uit of je gekke dingen doet in je privétijd. Ik zou het raarder vinden als iemand solliciteert voor ICT-jurist en dan niets gepubliceerd heeft. Dan ben je óf heel goed, óf heel slecht in de ICT.

En in dat verband: wat vinden jullie van mijn standaardvraag tijdens het eerste gesprek “We hebben je gegoogeld maar niets geks gevonden. Hoe kan dat?”?

Arnoud

Wat mag ik met een opgenomen zakelijk gesprek?

Geplaatst op 29 april 201321 april 2013 in Privacy, 6 reacties

Een lezer vroeg me:

In een zakelijk conflict heb ik een gesprek met de helpdesk van de wederpartij opgenomen. Nu heb ik in een brief aan de bedrijfsjurist hiernaar verwezen, en deze wil nu een kopie van de opname. Mag ik deze afgeven? Hoe zit het met de privacy van de wederpartij?

Een gesprek opnemen waar je zelf deelnemer aan bent, is eigenlijk altijd toegestaan. De strafwet verbiedt alleen het afluisteren van andermans gesprekken.

Wanneer je dat gesprek alleen bewaart en gebruikt als bewijs, is dat volkomen legaal. Ook de wet bescherming persoonsgegevens zit hier niet in de weg: hoewel een gespreksopname met naam en tijdstip een persoonsgegeven is, is een dergelijk beperkt gebruik gerechtvaardigd onder je “dringende eigen noodzaak”, je moet immers bewijs kunnen verzamelen van zakelijke gesprekken. En dan mag dat, ook zonder toestemming te vragen. Bedrijven die structureel gesprekken opnemen, moeten het wél melden onder de Wbp, dat hoort bij de informatieplicht (die zin is dus een gesproken privacystatement, zeg maar).

Naast de Wbp is er ook nog ‘gewoon’ de privacy, de persoonlijke levenssfeer. Het is niet echt prettig om opgenomen te worden zonder dat te weten. Maar een werknemer die een zakelijk gesprek voert met een klant, heeft daar eigenlijk geen privacyverwachting in. Vergelijk het met een zakelijke brief, ook daar is niets privé aan.

Het afgeven van een kopie van het gesprek, of een transcriptie, lijkt me een redelijk verzoek. Als het ooit bij de rechter komt, zul je het toch ook moeten overleggen als bewijs en dan krijgt de wederpartij ook al een kopie. En je zou zelfs kunnen zeggen dat er een récht op afgifte is: de persoon wiens persoonsgegevens worden verwerkt, heeft recht van inzage en daaronder vallen ook het opvragen van kopieën van geluidsopnames, zo blijkt uit het Dexia-arrest van de Hoge Raad.

Arnoud

Mag je je LinkedIn-contacten spammen?

Geplaatst op 26 april 201321 april 2013 in Privacy, 24 reacties

Een lezer vroeg me:

Ik word een erg moe van de vele (ik gok een stuk of 10 per week) emails die ik van mijn LinkedIn-contacten krijg met volgens mij ordinaire reclame:
– hoera, mijn boek is uit
– ik geef een workshop voor 500 euro
– mijn website is vernieuwd
– ik verloot een ipad aan nieuwe klanten
– binnenkort heb ik een event waar ik jou voor wil uitnodigen. het kost slechts 280 euro
– ik heb nu toch weer een nieuw product, poehee dat is echt gaaf en nieuw
– ik heb een hele bijzondere mededeling over een klus die ik ga doen, ik ben echt heel interessant, huur mij dus ook in
Het zijn altijd onpersoonlijke mails, gericht aan iedereen en niet persoonlijk aan mij. Het doel is vrijwel altijd commercieel en ze doen weinig onder voor een nieuwsbrief. Is dat eigenlijk ook geen spam, of moet ik dat maar accepteren omdat ik ooit iemand heb toegelaten als LinkedIn-contact?

Ik ken de frustratie, en het is voor mij een reden om niet of nauwelijks naar LinkedIn-berichten te kijken. Erg jammer, maar ja.

Is het spam? Volgens de wet wel: zonder toestemming, ongevraagd en met commercieel oogmerk is spam, ook als het maar een paar berichten zijn (dus geen bulkmail). Want ja, spammen kan ook via andere communicatiekanalen dan e-mail. Dat weten we uit de Hyveskrabbelspamzaak uit 2009.

Er is echter een uitzondering voor zelf opengestelde zakelijke communicatiemiddelen:

Indien de gebruiker, bedoeld in het eerste lid, een rechtspersoon is dan wel een natuurlijke persoon die handelt in de uitoefening van zijn beroep of bedrijf, geldt met betrekking tot het door middel van elektronische berichten overbrengen van ongevraagde communicatie voor commerciële, ideële of charitatieve doeleinden dat geen voorafgaande toestemming is vereist:
a. indien de verzender bij het overbrengen van de communicatie gebruik maakt van elektronische contactgegevens die door de gebruiker daarvoor zijn bestemd en bekendgemaakt, en deze zijn gebruikt in overeenstemming met de door de gebruiker aan die contactgegevens verbonden doeleinden

Wie op LinkedIn zit, handelt daarbij normaliter zakelijk oftewel “in de uitoefening van zijn beroep of bedrijf”. En dan wordt de vraag dus: heb je door het connecten met iemand je LinkedIn-berichtenbox opengesteld voor dit soort “poe hee wat gaaf mijn workshop”-berichten?

De LinkedIn User Agreement is niet heel duidelijk over of dit soort communicatie nu toegestaan is. Men verbiedt wel “unsolicited or unauthorized advertising” maar die tekst lijkt meer te gaan over het ongevraagd lastigvallen van onbekenden. Ik denk niet dat een statusupdate met commercieel oogmerk hieronder valt.

Wat vinden jullie? Is LinkedIn bedoeld voor dit soort updates, en geef je dus toestemming om ze te krijgen als je op dit netwerk gaat zitten?

Arnoud

Help, de helpdesk moet gaan skypen

Geplaatst op 24 april 201321 april 2013 in Privacy, 43 reacties

skype-chat Een lezer vroeg me:

Bij ons bedrijf werkt de adviesdesk nu per telefoon, chat en e-mail. De directie wil echter naar Skype: zo kunnen klanten de medewerker dus zien, en dat zou de klant prettig vinden. Echter, niet alle werknemers voelen zich daar prettig bij want soms moet je vervelende gesprekken voeren en als klanten je dan kunnen zien, dan kunnen ze je later herkennen. Mag een werknemer weigeren Skype met video te gebruiken?

Een werkgever mag eenzijdig aanwijzingen geven hoe het werk moet worden uitgevoerd. Wel moet hij als goed werkgever de privacy respecteren. Het komt dus neer op een afweging van belangen: hoe groot is de privacy en hoe groot is het bedrijfsbelang? Kan een goed werkgever zoiets verlangen van werknemers, past dit binnen een goede uitvoering van de functie?

Natuurlijk is er de Wet bescherming persoonsgegevens, die gaat ook over video-opnames van werknemers. Maar die wet (net zoals de wet over cameratoezicht) gaat vooral over het structureel volgen en registreren van werknemers, en dat is hier niet aan de orde. Ja, oké, als alle gesprekken opgenomen worden en in een archief gaan, maar dat speelde niet bij de vraagsteller.

Mij lijkt dat een werkgever dit wel kan eisen. Het raakt natuurlijk aan de privacy van de werknemer, maar omdat het gaat om klantcontact tijdens het uitvoeren van het werk lijkt me dat op zich niet een héél zwaar belang.

Natuurlijk, er kunnen situaties zijn waarin een boze klant nu de werknemer kan herkennen en/of beelden kan publiceren of misbruiken. Maar de theoretische mogelijkheid dát dat kan gebeuren, is niet genoeg. Pas als dat structureel een risico is, bv. bij medewerkers van een uitkeringsfraude-controleur, kan ik me voorstellen dat je niet zomaar iedereen zichtbaar wil hebben voor de klanten.

Zouden jullie bezwaar hebben tegen verplicht videobellen in plaats van gewoon bellen?

Arnoud

Doorverkopen van Google-bril Glass verboden

Geplaatst op 23 april 201321 april 2013 in Innovatie, 23 reacties

not-for-resale Google verbiedt ontwikkelaars die al een testversie van de bril Glass hebben, hun apparaat te verkopen, uit te lenen of weg te geven, las ik bij Nu.nl. De algemene voorwaarden van de online bril vermelden “Je mag het apparaat niet doorverkopen, maar je mag het apparaat wel cadeau doen” en stellen dat Google de diensten gekoppeld aan de bril mogen afsluiten als je dat toch niet. Eh. Was er niet zoiets als eigendomsrecht?

Zowel in de VS als hier geldt dat als een bedrijf een product heeft verkocht, de koper dit mag doorverkopen. Dat is immers wat “verkoop” impliceert: het eigendom gaat over, en de eigenaar mag zelf beslissen wat hij ermee doet. Algemene voorwaarden die “over het graf” heen regeren wat de koper mag doen, zijn al heel snel onredelijk. Zo kun je bijvoorbeeld niet bepalen dat na drie jaar de eigendom automatisch teruggaat naar de verkoper.

Natuurlijk, het is mogelijk om een product aan iemand beschikbaar te stellen zonder dat deze eigenaar wordt. Je kunt iets uitlenen of verhuren (zoals een leasetelefoon) en dan kun je in de huurvoorwaarden allerlei zaken verbieden. Doorverkopen hóef je dan eigenlijk niet te verbieden: de verkrijger kán een gehuurd of geleend apparaat niet verkopen want hij is er geen eigenaar van. (Oké formeel kan hij het wel verkopen maar niet leveren.)

Google spreekt echter expliciet van ‘verkopen’ in de voorwaarden, wat volgens mij impliceert dat ze de transactie waarbij je een Glass verkrijgt, als een eigendomsoverdracht zien.

Google gebruikt echter een truc die vrij uniek is voor connected producten: ze verbieden je niet zozeer de Glass te verkopen, maar ze schakelen het op afstand uit zodat je er de dienst niet meer mee kunt afnemen als je dat doet. Dat zou net zoiets zijn als een telecomprovider die zegt, als je je telefoon verkoopt dan zetten we de IMEI op een zwarte lijst.

Ik ben er nog niet uit of dat nou mag. Het vóelt nogal onredelijk want het gaat in tegen het systeem van eigendomsoverdracht. Tegelijkertijd, ze mógen mensen weigeren hun dienst te laten afnemen. Maar welk redelijk doel dient dat verbod hier, bij Google? Ik kan er geen bedenken. Maar heel expliciet een regel die hiertegen gebruikt kan worden, weet ik zo ook niet. Misbruik van bevoegdheid?

Ik snap ook niet goed wat Google hiermee wil bereiken. Wat is het probléém van doorverkopen van je Glass? Als ze nu gewoon eisen dat je een persoonsgebonden account moet hebben, dan moet de koper zelf een eigen account maken en dan is het niet meer relevant welke bril hij concreet gebruikt. Ik mis iets, denk ik.

Arnoud

Maar hij staat dáár!

Geplaatst op 22 april 201321 april 2013 in Security, 21 reacties

imac-hij-staat-daar Diverse lezers wezen me op dit GeenStijlbericht over een gestolen laptop die de politie niet wilde terughalen. Op de bekende tendentieuze, ongefundeerde en nodeloos kwetsende wijze werd daar melding gemaakt van een poepdure hipstermachine die in 020-Gaza beneden zijn stand weg stond te kwijnen in het onrechtmatige bezit van werkschuw steeltuig. En de pliesie zat achterover want ja die wetgeving mevrouwtje, terwijl de Find My Mac gewoon zegt waar ie staat.

De ophef is in dit geval een tikje onterecht: de locatie die Find My Mac aangeeft, is een flatgebouw en preciezer dan dat is het niet te krijgen. Dus wat móet je dan als politie, de hele flat gaan doorzoeken?

Maar stel, de locatie zou wel precies genoeg zijn. De laptop werd gestolen ergens op het platteland, en de GPS-coördinaten zijn nauwkeurig genoeg om die ene boerderij eruit te pikken die zich tussen de akkers bevindt. Is dat dan bewijs genoeg voor een doorzoeking?

De wet eist een redelijk vermoeden van schuld, en het is de (onafhankelijke) rechter-commissaris die bepaalt of dat vermoeden genoeg onderbouwd is om een doorzoeking van een woning te rechtvaardigen. De afweging komt volgens mij neer op de vraag hoe betrouwbaar die Find My Mac-informatie is. En dan kom je gelijk bij de vraag, hoe weten we dat het wáár is, wat daar staat? Dat dat echt een gestolen laptop is en dat die zich daar bevindt.

Ook een complicatie kan zijn dat de laptop ondertussen doorverkocht is, waarbij de huidige bezitter geheel legaal eigenaar is geworden. Dat is namelijk een kronkel in onze wet: wie te goeder trouw een goed verwerft, wordt daar soms eigenaar van ook als deze eerder gestolen was. Er zijn wel mogelijkheden om als eigenaar je spullen terug te krijgen, maar triviaal zijn die niet. En wat daar met name steekt, is dat meestal de rechter daarover moet beslissen en dat kan rustig een jaar (of meer) duren.

Stel je fiets wordt gestolen en later zie je iemand daarop fietsen. Dan mag je die iemand aanhouden en overdragen aan de politie. Je mag alleen niet de fiets terughalen, want in de tussentijd is hij juridisch bezitter daarvan geworden. En dan is hij rechthebbende (art. 3:119 BW) tenzij jij kunt bewijzen dat het jouw fiets is. Dat zal niet meevallen zo midden op straat. Dus dan gaat de fiets mee naar de politie (als bewijs).

Bij een laptop zou je kunnen zeggen, ik weet het wachtwoord en mijn naam en foto staan bij het account. Dat zou ik wel eens uitgeprobeerd willen zien bij oom agent.

Arnoud

Is een vinkje ook goed of moet het echt een handtekening zijn?

Geplaatst op 19 april 201315 april 2013 in Privacy, 15 reacties

Kennelijk is er weer eens een workshop Digitaal contracteren geweest of zo, want ik kreeg deze week een aardig stapeltje mails met vragen hoe je digitaal mensen akkoord kunt laten gaan met een of ander. Vaak gaat het dan over privacyspecifieke zaken, maar ook zaken als ontvangstbevestigingen of gewoon akkoord op een contract wil men het liefst zo eenvoudig mogelijk doen, dus graag met een digitaal vinkje.

Hoofdregel uit de wet is dat rechtshandelingen vormvrij zijn. Oftewel, alle handelingen die juridisch enig gevolg hebben, mogen worden verricht op elke wijze die je maar kunt bedenken, ténzij in de wet staat dat het op een specifieke manier (vorm) moet. Ik kan bijvoorbeeld akkoord geven op een contract door “ja” te zéggen in plaats van een krabbel te zetten op papier. Ook zou ik rooksignalen kunnen sturen vanaf het dak van mijn huis, maar de vraag is of de wederpartij dat ziet – en natuurlijk moet een handeling wel aankomen bij de wederpartij.

Je mag hier als partijen van afwijken. De wederpartij bij dat contract kan bepalen dat er pas een contractsluiting is wanneer ik die krabbel zet, en mijn mondelinge “ja” is dan niet rechtsgeldig. Maar dat hoeft niet. Alleen bij een paar heel specifieke contracten is een geschrift vereist: koop van een huis, een arbeidscontract met concurrentiebeding en, eh, een verzekeringspolis. Meer kan ik er eigenlijk niet bedenken.

Er is dus geen enkele reden om per se een handtekening op papier te eisen. Nou ja, eentje dan: een stuk papier met handtekening levert sterker bewijs op. Wat op dat stuk papier – een akte – staat, is in principe dwingend bewijs tussen de partijen over de afspraak. “Jamaar ik had het anders bedoeld dan het er staat” is na ondertekening dus geen argument meer.

Dit geldt ook bij toestemming onder de privacywet. De regels voor zulke toestemming zijn strenger dan voor ‘gewoon’ een rechtshandeling: de privacywet eist “vrije, specifieke en op informatie berustende” toestemming. Maar ook hier geldt niet dat die toestemming schriftelijk moet zijn gegeven of dat deze pas gegeven is als men een krabbel op papier heeft geproduceerd. Wederom, die handtekening is handig als bewijs, maar dat is het dan.

Maar Arnoud, waarom doet iedereen dan zo moeilijk over digitale handtekeningen en certificaten en PKI-infrastructuren? Tsja, ik heb werkelijk géén idee. Juridisch nodig is het bepaald niet. Technologie-fetishisme noemde ik het eens: het zo leuk vinden van techniek dat we er allerlei regeltjes voor gaan maken om het “goed te regelen” zonder dat iemand zich nu afvraagt of dit wel geregeld moet worden of waarom. Menig organisatie heeft bérgen regels en bijbehorende compliancedocumenten voor digitale handtekeningen, terwijl voor de krabbel op papier er zelden meer is dan “deze moet worden gezet”. Zucht.

Arnoud