Iedereen zei “huh”: Europees Hof: wet vingerafdrukken afstaan paspoort ongeldig, geen gevolgen

Het Europese Hof van Justitie heeft geoordeeld dat de wet dat burgers vingerafdrukken moeten toestaan voor identiteitsbewijzen ongeldig is. Dat las ik bij Tweakers. Toch geldt de wet nog steeds, tot een betere wet eind 2026 ingaat. Dit riep vele vragen op, dus laten we even kijken wat hier nu precies aan de hand was.

In 2019 is een Europese Verordening (2019/1157) aangenomen. Deze betrof “de versterking van de beveiliging van identiteitskaarten van burgers van de Unie en van verblijfsdocumenten”, en bevatte een bepaling over vingerafdrukken (artikel 3 lid 5):

De identiteitskaart bevat een opslagmedium dat aan de hoogste veiligheidseisen voldoet en dat een gezichtsopname en twee vingerafdrukbeelden van de houder van de kaart bevat, in een digitaal formaat.
Iedereen die zo’n kaart kreeg, was verplicht diens vingerafdrukken af te geven (behalve kinderen onder 6 en mensen bij wie dat fysiek onmogelijk was).

In 2021 moest iemand in Duitsland (Wiesbaden) een nieuwe ID-kaart, maar hij wilde echter niet dat de nieuwe kaart zijn vingerafdrukken zou bevatten. De gemeente zag dat anders: in de wet staat dat dat moet, en hij viel niet onder de uitzonderingen.

Daarop stapte de man naar de rechter. Hij had daarbij zowel inhoudelijke als formele argumenten. De inhoudelijke spreken voor zich, maar de formele hebben wat meer uitleg nodig. Er zijn in de EU verschillende routes om tot een bindende wet te komen. Welke route te nemen, hangt af van het onderwerp en het doel van de regeling. Een regel over consumentenrecht gaat via een heel andere route dan een maatregel ter beveiliging van de gemeenschappelijke grenzen, bijvoorbeeld.

Regels over “reisdocumenten” kunnen worden ingevoerd via artikel 21, lid 2 van het Verdrag betreffende de Werking van de EU (VWEU), dat voorschrijft dat de “gewone wetgevingsprocedure” wordt gebruikt. Maar in artikel 77(3) VWEU staan regels over “paspoorten, identiteitskaarten, verblijfsvergunningen en daarmee gelijkgestelde documenten”, maar die mogen alleen ingevoerd worden via “een bijzondere wetgevingsprocedure”.

Bent u daar nog? In gewone taal: niet Parlement en Raad hadden moeten stemmen (en met 50%+1 stem meerderheid aannemen) over deze wet, maar alleen de Raad (en met unanimiteit) na ‘raadplegen’ van het Parlement. Oftewel, verkeerde regel toegepast bij invoering, en ja dat maakt een wet ongeldig.

Het Hof toetst ook inhoudelijk de bezwaren op grond van AVG en bescherming van persoonlijke levenssfeer, maar concludeert dat deze regeling door de beugel kan. Ook de burger heeft er belang bij dat identiteitskaarten moeilijker na te maken zijn, en twee vingerafdrukken er op zetten helpt daarbij. En omdat de wet de hoogste beveiliging eist én hergebruik verbiedt, is het restrisico op misbruik aanvaardbaar.

In deze situatie vindt het Hof het een té zware maatregel om per direct de wet buiten werking te stellen. Dit zou de beveiliging van identiteitskaarten immers weer omlaag halen, en verplichten dat gemeenten zulke kaarten zonder biometrie gaan afgeven, terwijl daar geen inhoudelijke reden (zoals privacyschending) voor is.

En als je dan meeneemt dat er in 2026 sowieso een nieuwe Verordening hierover komt die ook vingerafdrukken eist, dan zou dat allemaal wel heel veel gedoe zijn. Daarom mag deze wet toch van kracht blijven.

Arnoud

 

 

Hoge Raad oordeelt dat website geen geautomatiseerd werk is

Een man uit Tiel die voor het inbreken op de website van een Haagse huisartsenpost was aangeklaagd is in hoger beroep terecht door het gerechtshof Den Haag vrijgesproken, omdat een website geen geautomatiseerd werk is. Dat las ik bij Security.nl vorige week. De Hoge Raad verwierp met dat argument de door het OM ingestelde cassatie tegen dat arrest. En ik erger me er dood aan.

Zoals ik in 2022 blogde bij het arrest:

Na een veroordeling in eerste instantie ging de man in hoger beroep. En daar werd hij vrijgesproken vanwege de semantische discussie dat een website geen “geautomatiseerd werk” is zoals de wet dat bedoelt, namelijk “een inrichting die bestemd is om langs elektronische weg gegevens op te slaan, te verwerken en over te dragen”.
Een website is immers niet meer dan een verzameling software en data, en een “inrichting” is een fysiek ding. Zoals mijn oude prof aan de TU altijd zei: hardware is het deel dat wél pijn doet als het op je voet valt.

Ik meende destijds dat de HR een website wél een inrichting vond, afgaande op een arrest over ddos-aanvallen, waarin men “website” zo las dat “onderliggende serverhardware en netwerkinfrastructuur” er gewoon bij hoorde.

Men ziet het echter anders:

Het hof heeft de vermelding “de website van [A]” opgevat als de aanduiding in de tenlastelegging van het geautomatiseerde werk dat is binnengedrongen of waarvan een gedeelte is binnengedrongen. Daarbij heeft het hof overwogen dat die website als zodanig “feitelijk slechts bestaat uit een samenstel van gegevens, geen fysieke vorm heeft en derhalve het karakter van ‘inrichting’ ontbeert”. Het hof heeft de verdachte vrijgesproken omdat – in cassatie niet bestreden – een dergelijke website op zichzelf niet als een geautomatiseerd werk kan worden aangemerkt.
Op zich niet heel raar, als je constateert dat met “website” wordt bedoeld “alleen de software en data” dan moet de conclusie zijn dat er dus niet gezegd is dat men in de “inrichting” (de hardware) is binnengedrongen.

Blijft over het argument dat je bij “website” in het gewone spraakgebruik de hardware meeleest. Maar dat gaat niet op:

De onder 2.6.1 weergegeven uitleg die het hof heeft gegeven aan de tenlastelegging en het daarin voorkomende begrip “een (gedeelte van) een geautomatiseerd werk”, welk werk bestond uit “de website van [A]” is, mede in het licht van wat onder 2.5 is vooropgesteld en het ontbreken van een concrete aanduiding op welke daar bedoelde inrichting de tenlastelegging ziet, niet onverenigbaar met de bewoordingen van de tenlastelegging en moet in cassatie worden geëerbiedigd.
Het is kennelijk onder juristen nog niet aanvaard dat als je zegt “website” dat je dan bedoelt “oftewel de daar onder liggende servers”. Dat moet je er dus bij zetten (zoals Michael Berndsen destijds betoogde). Alleen deed het Hof Den Haag daar in 2020 ook weer moeilijk over, omdat de server meestal van iemand anders is dan de website:
Dat geldt eveneens ten aanzien van het tweede en derde gedachtestreepje, aangezien de webserver en/of het netwerk en/of de computer(s)(systemen) achter het Facebook-account waarop de verdachte trachtte in te loggen niet toebehoren aan [slachtoffer 2]. Het tweede en het derde gedachtestreepje uit de tenlastelegging kunnen naar het oordeel van het hof daarom evenmin wettig en overtuigend bewezen worden verklaard.
Je komt dan uit bij de constructie “er is ingebroken bij de website van Wim ten Brink, althans de servers toebehorend aan Pauperhosting BV althans de servers behorende bij Cloudflare Inc” en ik heb daar gewoon ontzettend veel moeite mee.

Arnoud

 

 

 

Mag een winkel beveiligingscamera’s de pinapparaten laten filmen?

Een lezer vroeg me:

Een grote, bekende winkel heeft camera’s boven de balies hangen. Hierop zijn de pinpads van de pinapparaten haarscherp zichtbaar. Er wordt geen gebruik gemaakt van privacy masking, waardoor het kinderspel is om pincodes van klanten op de beelden te bekijken. Mijn vraag is: mag een winkel de pincodes van klanten filmen?
Op het eerste gezicht lijkt me dit een foutje. Men wil de balies filmen zodat bijvoorbeeld winkeldieven en onrustmakers op beeld vastliggen. Daartoe is een camera opgehangen op een gunstige plek, en niemand heeft daarbij gedacht aan de zichtbaarheid van de pinpads.

Een dergelijke fout is in dit geval een AVG issue, namelijk artikel 32 dat adequate beveiliging van persoonsgegevens vergt, en meer algemeen van artikel 24 dat eist dat je passende technische en organisatorische maatregelen neemt om naleving van de AVG te borgen. Voor mij zou het dus voor de hand liggen om een mask in te stellen bij de camerabeheersoftware, zodat precies de pinpads niet meer herkenbaar vastgelegd worden.

Je zou als winkel de afweging anders in kunnen steken, uitgaande van de aanname dat de beelden veilig opgeslagen staan en alleen bekeken worden als sprake is van een incident. Daarbij kijkt men op tijdcode bepaalde beelden terug, dus dat Wim ’s ochtends om half tien 1-2-3-4 typte zal niemand zien als we om drie uur kijken hoe Hans zich misdroeg.

Blijft over het risico van datalekken, hier dus het laten stelen van de beeldopnames. Als je de beelden automatisch wist na zeg een dag dan is dat risico redelijk beperkt, en wellicht is een opstelling mogelijk waarbij toegang tot de beelden via het netwerk onmogelijk is. (Ik realiseer me dat veel camerasystemen netwerktoegang eisen.)

Je maakt dan de afweging dat het restrisico acceptabel is, met de bijkomstige aanname dat mensen gewend zijn hun pincode af te schermen bij het typen, zodat de kans dát er een pincode in beeld komt heel klein is. Tel daarbij op dat een eventuele beelddief óók nog de pinpas van de gefilmde te pakken zou moeten krijgen, en ik zou snappen dat je dit een verwaarloosbaar risico vindt.

Arnoud

Kan ik een datalekkend bedrijf laten vervolgen wegens doxing?

Een lezer vroeg me:

Een bedrijf lekt mijn persoonlijke gegevens online. Criminelen gebruiken deze gegevens om mij schade te berokkenen. Is het bedrijf nu te vervolgen voor doxing?
Nee. ‘Doxing’ is in de wet gedefinieerd als het publiceren van persoonsgegevens “met het oogmerk om die ander vrees aan te jagen dan wel aan te laten jagen, ernstige overlast aan te doen dan wel aan te laten doen of hem in de uitoefening van zijn ambt of beroep ernstig te hinderen” (art. 285d Strafrecht).

Het lekken van persoonsgegevens gebeurt normaliter niet met het doel om de klant of relatie bang te maken, overlast te bezorgen of te hinderen in zijn werk. Dat kan natuurlijk best het gevólg zijn van het datalek, maar strafbare doxing is het pas als dat de bedoeling was van de persoon (of bedrijf) die het veroorzaakte.

Mij lijkt logischer dat de crimineel aan te pakken is wegens doxing, omdat deze de gegevens publiceert met schade-oogmerk. Grote kans dat dit een vorm van vrees of overlast is die dit wetsartikel bedoelt. En afhankelijk van de schade zijn er nog meer artikelen denkbaar uit het wetboek van strafrecht, denk aan oplichting of afpersing (chantage).

Arnoud

Canada wil Flipper Zero verbieden, tool zou gebruikt worden voor autodiefstal

Flipper Zero” by Turbospok is licensed under CC BY-SA 4.0

Canada is van plan om de import, verkoop en het gebruik van de Flipper Zero en soortgelijke multitools te verbieden. Dat meldde Tweakers onlangs. In het land neemt autodiefstal enorme vormen aan, procentueel het tienvoudige van Nederland. Dan moet je iets doen, Flippers verbieden is iets dus laten we dat doen. Maar hoe haalbaar is dat?

De Flipper Zero is een “portable multi-tool for pentesters and geeks in a toy-like body,” aldus de fabrikant. Het ding heeft ongeveer alles dat je nodig hebt voor (old school) hacking, van een simpel schermpje en handige knoppen tot USB, Bluetooth en pogo pin aansluitingen. Het platform is open source en kan dus volledig worden aangepast, inclusief custom firmware.

Die custom firmware kwam een tijdje geleden in het nieuws: de custom firmware “Flipper Xtreme” maakte het wel heel makkelijk om een soort van denial of service aanval te doen op iPhones door een berg Bluetooth connectieverzoeken te sturen. Inclusief knopje dat “iOS attack” heet. Niet handig, juridisch gezien.

Door het gemak, de aansprekende vormgeving en het concreetmakende aspect springt er hacktechnisch nu even uit. Je kunt er bijvoorbeeld ook een laadpas voor elektrische auto’s mee simuleren en dan gratis laden (al duurt dat extreem lang en moet je dit 200 euro kostende ding met ducttape aan een laadpaal vastzetten). En ja, dat kan met meer dingen maar dit is een specifiek ding met een herkenbare merknaam dus dat is een mooi verhaal.

In Canada is het een stuk negatiever:

On Thursday, the Innovation, Science and Economic Development Canada agency said it will “pursue all avenues to ban devices used to steal vehicles by copying the wireless signals for remote keyless entry, such as the Flipper Zero, which would allow for the removal of those devices from the Canadian marketplace through collaboration with law enforcement agencies.” A social media post by François-Philippe Champagne, the minister of that agency, said that as part of the push “we are banning the importation, sale and use of consumer hacking devices, like flippers, used to commit these crimes.”
Wederom: er zijn tientallen manieren om die draadloze signalen op te vangen en te kopiëren, maar dat zijn geen leuk vormgegeven doosjes met een eenvoudige UI en een aansprekende merknaam. Sorry Raspberry Pi, maar de Zero heeft de coolfactor.

In Canada is autodiefstal een enorm probleem, en kennelijk is een populaire truc daarbij het klonen van het signaal dat de draadloze autosleutel (fob) uitzendt om de deur open te doen. De Flipper Zero kan zeker signalen opvangen en opnieuw uitzenden, maar bij autosleutels heeft dat niet zo heel veel zin:

[The most prevalent] attack requires a high-power transceiver that’s not capable with the Flipper Zero. These attacks are carried out using pricy off-the-shelf equipment and modifying it using a fair amount of expertise in radio frequency communications. (…) The Flipper Zero is also incapable of defeating keyless systems that rely on rolling codes, a protection that’s been in place since the 1990s that essentially transmits a different electronic key signal each time a key is pressed to lock or unlock a door.
Mogelijk dat bij de Canadese overheid wat verwarring is ontstaan over een hype-tje uit 2022, toen bleek dat je het signaal om de laadpoort van een Tesla te openen eenvoudig kon klonen, waardoor je met een Flipper Zero mensen kon trollen. Als je dat deurtje kunt openen, dan kun je vast ook de motor starten, zeg maar.

Hoe dan ook, de regering wil nu dus deze apparaten gaan verbieden. Maar hoe zou dat gaan, en dan heb ik het niet over de handhaafbaarheid maar over “hoe schrijf je dat eenduidig op”.

In Nederland geldt een verbod op het maken, hebben of verspreiden van hacktools. Daarbij geldt wel een specifieke eis: zo’n tool moet “hoofdzakelijk geschikt gemaakt of ontworpen [zijn] tot het plegen van een [computer]misdrijf”, zoals computervredebreuk of het aftappen van signalen (art. 139d Sr). Het is dus niet genoeg dat je er zo’n misdrijf mee kunt plegen, het ding moet er voor bestemd zijn.

In discussies over booter-sites benadruk ik altijd dat het dan al snel neerkomt op intentie van de maker. Heb je zo’n zwarte achtergrond met groene letters, l33tspeek en alleen betalen via bitcoin, dan komt dat heel anders over dan een gezellig witte achtergrond met rommelige knutselspullen en een schattig dolfijntje. Mij spreekt dan ook aan dat men de compliance-documentatie online zet in plaats van een disclaimer over illegale zaken.

Canada heeft dat niet direct, maar maakt het strafbaar (art. 342 Penal Code) om “causes to be used, directly or indirectly, a computer system with intent to commit an offence” zoals computervredebreuk of aftappen van signalen. Wie een kastje verkoopt en daarbij aanmoedigt dat je er een auto mee steelt, loopt dus tegen de strafwet aan. Een verkoper die neutraal spreekt van een pentest tool waarmee je je eigen auto kunt openen, is niet strafbaar.

Je kunt natuurlijk in zo’n strafbepaling woorden als “with intent” vervangen door “with ability”. Dan is iedere Flipper Zero inderdaad direct strafbaar, want ze hebben dan bepaalde hack-capability (andermans laadpoort openen is juridisch gezien ongeautoriseerd). Alleen krijg je dan zo’n breed verbod dat je dan tegen de meer algemene eis aanloopt dat strafbepalingen afgekaderd moeten zijn. Termen als “zou kunnen” of “mogelijk” zijn dus niet echt de bedoeling.

Mijn gevoel bij het nieuwsbericht is dat het vooral ging om reageren op de hype, laten zien dat je iets van plan bent. Voordat hier een wetsvoorstel voor is gedaan, zijn we rustig een jaar verder en heeft een ander product weer de hype.

Arnoud

Maakt het bij camerabeeldbewijs uit of de camera legaal de openbare weg filmt?

Dat bericht van laatst over vernietigen van camerabeelden maakte veel los. Wis je gewoon beelden omdat je geen zin hebt in discussie, ben je strafbaar. Eén aspect licht ik er even uit: het bezwaar dat je eigenlijk de openbare weg niet mag filmen. Wat doet dat er toe?

Op LinkedIn kreeg ik bijvoorbeeld deze reactie:

Formeel gezien mag je al helemaal geen beelden van de openbare ruimte maken, laat staan opslaan. Dus als de politie eventueel beelden van je Ring deurbel wil hebben, omdat ze mogelijk vermoeden dat er een misdrijf op staat, volstaat het om aan te geven dat je de openbare ruimte die zichtbaar is binnen het beeldgebied van je camera, middels een filter wegfiltert (blurred of afdekt) voordat e.e.a. opgenomen wordt, e.e.a. conform de voorschriften van de AP.
Het is natuurlijk prima als je met een filter zorgt dat je niet nodeloos de openbare weg filmt. En als de politie dan beelden bij je vordert, dan is dat vrij simpel: u mag de blokjes hebben maar meer heb ik niet. De enige echte eis is natuurlijk dat je ook echt een filter hébt – niet bluffen als oom agent aan de deur staat met een vordering, en ook niet snel naar boven rennen en een blurretje doen.

Dat je de openbare weg “helemaal niet” mag filmen, is wat mij betreft wel echt te kort door de bocht. Als die openbare weg onvermijdelijk is bij je bewakingstaak, of het anderszins noodzakelijk is dat je ook die opneemt, dan mag dat prima. Je krijgt wel met de AVG te maken, maar dat is niet hetzelfde als “dat mag niet”.

Veel mensen die de openbare weg filmen met een aangebrachte camera zullen de AVG schenden, al is het maar omdat ze geen duidelijke waarschuwing hebben (of een privacyverklaring). En die duidelijke waarschuwing geeft nóg een probleem: het is strafbaar om met een aangebrachte camera de openbare weg te filmen als dat niet duidelijk is aangekondigd (art. 441b Strafrecht).

Het is niet strafbaar om de AVG te overtreden (dat is bestuursrecht, iets heel anders). Het WvSr overtreden is natuurlijk wel strafbaar, maar dan geldt nog steeds dat wetsovertreding door een burger geen reden is om bewijs uit te sluiten. Alleen wetsovertreding door de politie kan die discussie starten. En dan nog: in Nederland zegt de rechter dan ‘foei’ en gebruikt ie het bewijs toch met de toverformule “de verdediging is niet in haar belangen geschaad”.

Arnoud

Amnesty: Europese landen gebruiken dubieuze AI-technologieën bij grensbewaking

a couple of men standing on top of a lush green field
Photo by Carl Tronders on Unsplash

Europese landen gebruiken in toenemende mate digitale technologieën om migratie in te perken, waardoor de kans op „discriminatie, racisme en disproportionele en onwettige surveillance” wordt vergroot. Dat las ik bij NRC vorige week. Men zet daar namelijk een AI-leugendetector in, en omdat ik dus de hele AI Act aan het doorakkeren ben wilde ik me hier even boos over maken.

Uit het artikel:

Sinds 2018 wordt het systeem in ieder geval gebruikt door Hongarije, Griekenland en Letland. Het systeem analyseert „details van gelaatsuitdrukkingen met behulp van gezichts- en emotieherkenningstechnologieën”. Het systeem „toetst” of migranten antwoorden over bijvoorbeeld hun herkomst naar waarheid beantwoorden. Er is geen wetenschappelijke consensus dat leugendetectors, ook die gerund worden door AI, betrouwbare resultaten afleveren.
Het betreffende systeem heet iBorderCtrl en komt uit een Europees researchproject dat al een paar jaar loopt. De kern is dat men een machine learning model heeft getraind om emotieherkenning te doen om zo de mate van eerlijkheid van antwoorden van migranten in te schatten.

Er is een zeer hardnekkige overtuiging dat als we maar goed genoeg ons best doen, het ons moet lukken om mensen eerlijk te beoordelen met een computersysteem. Waar dat vandaan komt weet ik niet (“techno-optimisme”) maar elke keer als je dan even verder kijkt wat erachter zit, dan schrik je je wezenloos.

Het model van iBorderCtrl kent bijvoorbeeld diverse factoren zoals “knippert met linkeroog” of “beweegt hoofd”, en als je genoeg van die factoren zou hebben dan zou je met hoge betrouwbaarheid de leugenaars van de eerlijkerds kunnen scheiden. Dat vereist “alleen maar” een dataset met leugenaars en eerlijkerds met een hoop van die factoren. Dit is een beetje lastig om in het wild voor elkaar te krijgen, al is het maar omdat het niet eenvoudig is leugenaars te betrappen.

Hoe loste men dat op? Ga even op de grond zitten want anders val je van je stoel:

To create the dataset, 32 participants (actors) were assigned a “truthful” or “deceptive” role to perform during the interview. Each participant had to answer 13 questions (see Table 1) with each answer segmented in many vectors. According to the authors, this procedure generated 86,586 vectors. The dataset consisted of 10 participants classified as having Asian/Arabic ethnic background and 22 as White European background, and 22 classified as male and 10 as female.
Inderdaad, we doen grenscontroles op basis van een ML-model dat met n=32 is opgebouwd waarbij de antwoorden geacteerd zijn. Was er iemand bij die zei dat dit een leuk idee was maar zeker niet in de praktijk ingezet kon worden?

De AI Act bepaalt dat systemen voor grenscontrole hoogrisico kunnen zijn, wanneer ze specifiek een van deze usecases betreffen:

  1. Leugendetectors gebruikt door publieke autoriteiten
  2. Risico-assessments bij grenscontroles
  3. Onderzoek van visum- en asielaanvragen
  4. Het detecteren, herkennen en identificeren van personen (behalve bij verificatie van reisdocumenten)
Een hoogrisico-AI moet aan strenge eisen voldoen, waaronder de eis van een kwalitatief goede dataset (artikel 10, lid 2-5). In de woorden van artikel 3:
Training, validation and testing datasets shall be relevant, sufficiently representative, and to the best extent possible, free of errors and complete in view of the intended purpose. They shall have the appropriate statistical properties, including, where applicable, as regards the persons or groups of persons in relation to whom the high-risk AI system is intended to be used.
Hoe je dat precies voor elkaar krijgt, leer je op mijn opleiding AI Compliance Officer, maar het moge duidelijk zijn dat dit systeem niet zal voldoen. Toch blijft het gewoon doorhobbelen, want de Europese IT-systemen voor grenscontroles zijn tot 2030(!) vrijgesteld van de plicht aan de AI Act te voldoen (artikel 83).

Arnoud

 

 

Is het strafbaar om beveiligingscamerabeelden te wissen als daar een strafbaar feit op te zien is?

Uit een recente discussie alhier:

Stel je voor dat mijn camera beelden opneemt van iemand uit de buurt die een misdrijf begaat (zeg, iemand zwaar lichamelijk letsel toebrengt). Als de politie dan weet dat ik een camera heb zullen ze die beelden willen hebben, en die dan vorderen zodat die als bewijs kunnen dienen. Wat nu als ik bij mezelf denk “Ja die persoon die ken ik, die is zeer agressief, dus als die weet dat hij dankzij mijn camerabeelden veroordeeld is dan komt ‘ie vast verhaal halen, of wraak nemen op mij of mijn gezinsleden”, en daarom wis ik die beelden direct. Is dat dan strafbaar?
Dat is een goeie vraag. Je hoort vaak dat “vernielen van bewijs” strafbaar is, maar laten we eens nagaan hoe dat precies zit. Artikel 189 Strafrecht regelt onder meer de strafbaarheid van het wegmaken van bewijs (tot 6 maanden cel):
[Strafbaar is] hij die nadat enig misdrijf is gepleegd, met het oogmerk om het te bedekken of de nasporing of vervolging te beletten of te bemoeilijken, voorwerpen waarop of waarmede het misdrijf gepleegd is of andere sporen van het misdrijf vernietigt, wegmaakt, verbergt of aan het onderzoek van de ambtenaren van de justitie of politie onttrekt;
We nemen even aan dat het gaat om een misdrijf, zoals een overval, beroving of mishandeling, dat op beeld is vastgelegd door je camera. Bij overtredingen (je filmt iemand die door rood licht rijdt) is dit artikel niet van toepassing.

Strafbaar is dus het wegmaken van “sporen van het misdrijf”. De videobeelden van het misdrijf zijn aan te merken als dergelijke sporen. Je maakt die weg, want je gooit de data erop weg zodat er niets meer te onderzoeken over is. De enige vraag is dan nog of je dit doet met het genoemde oogmerk: het misdrijf bedekken (verhullen, verbergen) of de opsporing/vervolging bemoeilijken.

De vraagsteller noemt een heel ander motief, namelijk angst voor jezelf. Er is echter een uitspraak uit 2013 waarin een discotheek-eigenaar videobeelden van een mishandeling voor zijn deur had gewist met als motivatie de reputatie van de disco te beschermen. Dat was geen legitiem motief: alleen de angst om zélf vervolgd te worden op basis van die beelden, of directe bloedverwanten beschermen kan een uitzondering zijn (lid 3). Het motief van angst voor jezelf is uiteindelijk nog steeds het oogmerk om het te willen wissen om zo nasporing of vervolging te bemoeilijken. Oftewel: waarom je de vervolging wilde bemoeilijken, doet er niet toe.

Ik kan angst voor represailles goed billijken, maar met deze beperkte uitzondering in de wet zie ik niet hoe je dat juridisch kunt rechtvaardigen. Behalve wellicht als noodweer, je zat acuut hoog in je angst en wiste in totale paniek de beelden want de verdachte stond met een knuppel voor de deur, zoiets. Mijn conclusie is dus: ja, als je videobeelden wist terwijl je weet dat er een misdrijf op staat, dan is dat strafbaar.

Ben je bang dat je voor zulk wissen vervolgd zou worden, dan is denk ik de enige tip om structureel en automatisch beelden te wissen. Gebeurt het wissen namelijk altijd automatisch na 72 uur en hoor je pas daarna dat je daarmee bewijs hebt gewist, dan ben je niet strafbaar want dan ontbreekt de opzet. De reden dat ik “altijd” en “structureel” zeg is omdat je dat kunt aantonen. Wis je nooit iets en nu nét die ene video met dat misdrijf erop, dan is het buitengewoon ongeloofwaardig dat je niet wist van die gebeurtenis.

Arnoud

IT’er die klant met gestolen data afperste moet ex-werkgever 65.000 euro betalen

data, security, keyboard
Photo by TheDigitalWay, Pixabay

Een IT’er die bij een klant van zijn werkgever medische gegevens stal, en daarmee de klant vervolgens probeerde af te persen, moet zijn inmiddels ex-werkgever 65.000 euro betalen. Dat las ik bij Security.nl.

Uit het vonnis valt te halen dat dat de IT’er verantwoordelijk was voor het afpersen van een grote klant met gestolen medische gegevens. Dat leidde tot een strafrechtelijk traject, en deze civiele procedure sloot daar weer op aan. Dat is namelijk een handigheidje uit het procesrecht: als er een definitief strafvonnis is, dan is dat dwingend bewijs in een latere procedure.

Hier was de strafzaak nog niet definitief: de IT’er kon nog in hoger beroep. Daarom mag de rechter het vonnis niet als dwingend bewijs accepteren, maar vanuit de regel van vrije bewijslast er wel naar kijken. Dit kwam erop neer dat de rechter er van uitgaat dat het vonnis juist is, totdat de IT’er met tegenbewijs komt.

Het begint nog rechttoe rechtaan genoeg:

In het strafvonnis is overwogen dat na onderzoek is gebleken dat op 27 maart 2021 een dataoverdracht heeft plaatsgevonden van de server van [eiseres] via een IP-adres dat door [gedaagde] gebruikt bleek te zijn. Verder is overwogen dat die gegevens beveiligd waren met een certificaat waarover [gedaagde] beschikte. Dit heeft geleid tot nader onderzoek naar [gedaagde] , onder meer door een huiszoeking in zijn woning op 22 april 2021. Bij die gelegenheid is in zijn woning een USB-stick aangetroffen met daarop datasets die omstreeks het tijdstip van de download op een telefoon (Microsoft Lumia) van [gedaagde] zijn beland. Op die USB-stick stonden ook het voor toegang tot de server van [eiseres] benodigde certificaat en bijbehorende wachtwoord. Dit alles is in dit geding niet door [gedaagde] bestreden.
De ex-werknemer kwam echter met de verklaring dat derden op zijn thuisnetwerk hadden ingebroken omdat hij een gemakkelijk te raden wachtwoord had. Daar gelooft de rechter niets van, en om weer eens te laten zien dat rechters écht wel verstand van IT hebben citeer ik gewoon het vonnis:
[Verdachte geeft] geen enkele verklaring voor het feit dat het bestand, het certificaat en het bijbehorende wachtwoord op een usb stick terecht zijn gekomen (en tegelijk ook op zijn Microsoft Lumia telefoon), die in zijn woning lag. Een usb stick pleegt immers niet verbonden te zijn met een netwerk. Bovendien vraagt het veel meer toelichting dan geboden als [gedaagde] heeft willen betogen dat op het toevallige moment dat de usb stick met computer of telefoon verbonden was de download (zonder dat hij daar erg in had) plaatsvond én naar zijn telefoon én naar de usb stick.
En nog even los van het technische: de kantonrechter “probeert zich een voorstelling te maken” van waarom zo’n derde dit zou doen, want wat schiet die ermee op? Die doet dan een ingewikkelde inbraak van buitenaf, maar heeft de data dan op gegevensdragers waar die vervolgens niet bij kan. En waarom dan deze meneer de gegevens in de digitale schoenen schuiven?

Alles bij elkaar gelooft de rechter er dus niets van, en de technische bewijsvoering is overtuigend genoeg dat het feit vanaf de apparatuur van de IT-er is gepleegd. Maar is dat genoeg om hem tot schadevergoeding te dwingen? In het arbeidsrecht is dat geen eenvoudige vraag want werknemers zijn vrij stevig beschermd, zelfs bij handelen dat riekt naar opzettelijk de fout in gaan.

In dit geval was de complicatie dat die grote klant zo te lezen de werkgever aansprakelijk had gesteld voor de schade. Dat wil je als werkgever dan verhalen (regres nemen), maar dat vereist bij de werknemer opzet of bewuste roekeloosheid (art. 7:661 BW). En let op: het moet dan gaan om opzet op het willen aanrichten van de schade, niet enkel maar opzet op het verrichten van de handeling.

De rechter vindt dat hier aan opzet is voldaan – downloaden en afpersen is iets dat je alleen doet als je dat ook echt van plan was. Dan wil je schade veroorzaken. Daarom moet de IT-er alle schade vergoeden, wat oploopt tot een bedrag van € 64.795,28.

Arnoud

Vooruit, nog één keer over de privetelefoon en werkapps

Een lezer vroeg me:

Mijn werkgever eist dat ik een app op mijn privételefoon installeer. Ik maak me zorgen over misbruik van mijn persoonsgegevens door de app-leverancier. Er staat op de site van de app niets over privacy, en de werkgever reageerde verbaasd dat ik hiernaar vroeg. Welke AVG argumenten kan ik gebruiken om mijn zorgen kracht bij te zetten?
We hebben het natuurlijk al vaker gehad over zakelijke apps op de eigen telefoon. In 2018 bijvoorbeeld over een tweefactorauthenticatieapp en in 2019 zelfs een geval waarbij de werknemer ook maar snel een telefoon moest kopen(!) zodat daar een werkapp op gezet kon worden.

De strekking van het antwoord is steeds hetzelfde: de werkgever moet zorgen voor de spullen waarmee het werk wordt uitgevoerd. Als er dus apps nodig zijn voor werkzaken, dan moet de werkgever een apparaat geven waar die app op gebruikt kan worden. Of dat nou gaat om tijdschrijven, authenticatie, e-mail of wat anders is niet relevant.

De enige echte uitzondering is je loonstrookje. Als de werkgever die via een digitale omgeving beschikbaar stelt, dan heb je twee keuzes: of je installeert de app, of je meldt dat je je loonstrookje op papier wilt hebben. Dat laatste is je wettelijk recht, maar er is géén recht om een specifiek digitaal kanaal aan te wijzen zoals een pdf per mail.

Er is nog een soort-van uitzondering: als het normaal is dat een werknemer zelf voor die spullen zorgt, dan heeft de werknemer daar ook nu voor te zorgen. Het clichévoorbeeld is de professioneel kok die eigen messen meeneemt omdat die op zijn handen zijn afgestemd. Dit haakt in op “goed werknemerschap”: je moet redelijk en constructief zijn naar je werkgever toe. En als een app geen problemen of risico’s geeft (bv. een 2FA authenticator), dan is het best onredelijk om dan ‘nee’ te zeggen.

Als de werkgever een app aanwijst voor het werk, dan is de werkgever natuurlijk wel aansprakelijk voor wat die app doet. Dat raakt dus aan de AVG maar ook aan andere wetten, zoals in 2021 behandeld. Dit betekent dat hij onder de AVG de benodigde informatie moet verstrekken over wat de app verzamelt en doet op het gebied van persoonsgegevens. Dat mag in eerste instantie op het niveau van “hier is de privacyverklaring van de app-leverancier” maar hij mag niet verwijzen naar de helpdesk en je het zelf laten uitzoeken. (Voor de fijnproevers: het maakt daarbij niet uit of de app-leverancier kwalificeert als verwerker of verwerkingsverantwoordelijke.)

Als de app-leverancier in het geheel niets meldt over privacy, dan zou ik ernstig de wenkbrauwen optrekken. Het is haast ondenkbaar dat een app anno 2024 niets verzamelt, dus hier klopt iets niet. Dus daar drukt de zorgplicht van de werkgever extra zwaar.

Arnoud