Huh, afpersen is niet verboden als je dreigt met openbaarmaking?

| AE 11711 | Privacy, Regulering | 16 reacties

Af en toe kom je gekke zaken tegen als je op ‘internet’ zoekt op Rechtspraak.nl. Zo ook deze zaak over een relatief simpele afpersing zo lijkt het: een man breekt in bij een bedrijf, kopieert persoonsgegevens en eist bitcoins anders zal hij deze openbaar maken. Je zou zeggen dat dat strafbaar is, en omdat hij nog gepakt werd ook zouden we dat gaan zien. Maar wat zegt de rechtbank: niet strafbaar, want nergens in de wet staat dat zulk openbaar maken verboden is. Eh, wat?

De man wist binnen te dringen in de webserver van een verhuurmakelaar middels een PHP-zwakheid. Hij kon daardoor bij de database en wist gegevens van 18.500 klanten te downloaden (waaronder emailadressen, bankrekeningnummers, werkgeversverklaringen en kopieën van identiteitsbewijzen van personen die zich hadden ingeschreven). Vervolgens nam hij contact op met het bedrijf en eiste 10.000 euro in bitcoin onder het dreigement dat hij de gegevens anders op internet zou zetten.

Omdat dat contact onder meer per telefoon ging, wist de politie de man te achterhalen. Hij werd vervolgens vervolgd voor afpersing (art. 317 Sr). Dat is normaal dreigen met geweld om zo iets te krijgen dat niet van jou is maar er is ook een digitale variant in lid 2:

Met dezelfde straf wordt gestraft hij die de dwang, bedoeld in het eerste lid, uitoefent door de bedreiging dat gegevens die door middel van een geautomatiseerd werk zijn opgeslagen, onbruikbaar of ontoegankelijk zullen worden gemaakt of zullen worden gewist.

Al die exploitanten van ransomware zijn dus strafbaar onder dit artikel. Maar deze man had een iets andere insteek: niet wissen, maar openbaar maken oftewel reputatieschade (en mogelijk een AVG boete) als je niet betaalt. En daarvan zegt de rechtbank terecht, dat stáát er niet, in lid 2. Zo werkt strafrecht, dit wetboek lezen we heel letterlijk om te voorkomen dat mensen worden veroordeeld voor iets dat niet expliciet verboden was verklaard.

Ik blijf dan wel even bladeren om te zien hoe meneer wél voor dit feit veroordeeld had kunnen worden. Een mogelijkheid is artikel 318:

Hij die, met het oogmerk om zich of een ander wederrechtelijk te bevoordelen, door bedreiging met smaad, smaadschrift of openbaring van een geheim iemand dwingt hetzij tot de afgifte van enig goed dat geheel of ten dele aan deze of aan een derde toebehoort, hetzij tot het aangaan van een schuld of het teniet doen van een inschuld, hetzij tot het ter beschikking stellen van gegevens, wordt als schuldig aan afdreiging, gestraft met gevangenisstraf van ten hoogste vier jaren of geldboete van de vijfde categorie.

Je zou dan zeggen dat deze klantendatabase een “geheim” (bedrijfsgeheim) is, en er wordt dan gedreigd met openbaarmaking daarvan. Dan kom je dus bij afdreiging en dat is strafbaar. Maar ik kan geen jurisprudentie vinden die dat punt maakt.

Arnoud

Beter blijf je van je telefoon en WhatsApp af als de ACM binnenvalt

| AE 11666 | Regulering, Security | 20 reacties

De Autoriteit Consument & Markt (ACM) heeft aan een bedrijf een boete van 1.84 miljoen euro opgelegd omdat ze een onderzoek van de ACM heeft belemmerd. Dat meldde de toezichthouder onlangs. Medewerkers van het bedrijf dat wordt onderzocht voor het maken van concurrentievervalsende afspraken, hebben WhatsApp groepen verlaten en chats gewist tijdens een inval van de ACM. Die viel daar binnen omdat het bedrijf werd verdacht van overtreding van de Mededingingswet, zeg maar kartelvorming. En dan is het natuurlijk wel héél erg de bedoeling dat iedereen van zijn spullen afblijft en geen bewijs gaat zitten vernietigen.

De inval gebeurde in 2018, het bedrijf wordt niet genoemd omdat het onderliggende onderzoek naar die kartelvorming nog niet is afgerond. Het bedrijf zou met andere bedrijven samenspannen om de markt te verpesten, maar vanwege anonimisering is niet precies duidelijk op welke manier. Het zou bijvoorbeeld prijsafspraken kunnen zijn (samen gelijkluidende offertes maken, of afspreken dat de rest even wat hoger offreert zodat jij deze keer de opdracht krijgt), of samen coördineren hoe een concurrent uit de markt te houden, of ga zo maar door.

In ieder geval iets dat de ACM ernstig genoeg vond om een onaangekondigde inval te doen. Doel daarvan is om bewijs te vergaren om de zaak rond te krijgen, iets wat lastig is omdat dergelijke verboden afspraken (“onderling afgestemde feitelijke gedragingen”) natuurlijk niet formeel in notulen vastliggen. In dit geval bleken medewerkers dus WhatsApp in te zetten om af te stemmen met die andere partijen – althans waarschijnlijk, want vlak na de inval bleken mensen uit relevante groepen te zijn gestapt en chats te hebben gewist.

De ACM was daar natuurlijk niet blij mee, maar het is goed te lezen dat de directie zelf dat ook niet was:

Volgens de advocaat hebben zij, toen hij en de leidinggevende medewerker rond 13:30 uur erachter kwamen dat één van de hierboven genoemde werknemers chats had gewist, de relevante werknemers van de Onderneming onmiddellijk de instructie gegeven van al hun app-berichten af te blijven en uit geen enkele app-groep te stappen dan wel berichten te wissen.

Het bedrijf gaf vervolgens volledige medewerking aan het onderzoek en verstrekte zelfs meer informatie dan waar ze van de wet verplicht toe waren. Dat laat voor mij wel zien dat dit geen bewuste tactiek was om die berichten te laten wissen en dan te zeggen “ja sorry eigengereide medewerker, had niet mogen gebeuren”.

Desondanks kiest de ACM er voor om een boete van 1.8 miljoen euro op te leggen, als duidelijk signaal dat dit écht niet door de beugel kan. En vooral als signaal dat je als werkgever moet zorgen dat je werknemers dit niet kunnen doen, ook niet op eigen houtje. Ik verwacht dus dat de nodige bedrijven nu beleid gaan maken dat WhatsApp niet meer mag en/of dat de chats centraal gelogd moeten worden. Maar ja, als mensen de Mededingingswet willen gaan overtreden dan verzinnen ze daar ook weer een oplossing voor.

Arnoud

Wat gaan we in het mededingingsrecht doen met de internetplatforms?

| AE 11662 | Regulering | 7 reacties

De laatste maanden zeker, maar misschien al de laatste paar jaar proef ik steeds meer politieke wil om de grote internetplatforms te reguleren. Die zijn te groot, te eigenzinnig en te onbereikbaar voor ‘gewone’ juridische maatregelen. Dat verrast wel een beetje na vele jaren waarin die platforms alles mochten zonder enige begrenzing, maar misschien gaat zoiets met grote golfbewegingen. Het instrument dat dan nu aan komt golven is het mededingingsrecht: het recht dat de markt beschermt tegen misbruik en machtsposities. Al te grote bedrijven kunnen worden opgesplitst, partijen die hun macht (dominante positie) misbruiken kunnen daar grof voor worden beboet of anders gestraft, en ga zo maar door. Maar wat doen we met die platforms?

Het grote probleem is volgens mij dat platforms niet echt voldoen aan de klassieke definitie van een monopolist of almachtige partij. Het gaat in het mededingingsrecht niet om monopolies maar om dominante posities in de markt namelijk, je kunt dus prima worden aangesproken terwijl er toch echt concurrenten zijn. Dat is niet nieuw door internet, al meer dan 100 jaar kennen we bedrijven die machtig zijn en daar graag misbruik van maken door bijvoorbeeld prijzen op te drijven, mensen dwingen ongerelateerde andere producten of diensten af te nemen of door de concurrent van de markt te pesten.

Nieuw is volgens mij wel de schaal waarop dit gebeurt. Ik ken geen enkel historisch voorbeeld dat zo groot en invloedrijk was als Facebook, Google en consorten. En tegelijkertijd doet zich hier de rare situatie voor dat die bedrijven eigenlijk een stuk makkelijker te mijden zijn dan de klassieke monopolisten. Een andere zoekmachine is maar één klik verwijderd, een stuk makkelijker dan dat je naar een ander dorp moet voor een alternatieve supermarkt, om eens wat te noemen.

Dat komt door het netwerkeffect, heet het dan. Een partij als Facebook is zo waardevol omdat iedereen er zit. Je kunt wel weg, maar je klanten of leveranciers zitten er nog dus daarom wil je niet weg. En niemand wil weg, om die reden. Dus gaat niemand weg, en dus kan Facebook alles maken. Dat is wel echt iets nieuws. Maar er zit meer achter.

Een van de lastige discussies hierbij blijf ik vinden wat “de markt” nu precies is. Neem Apple. We vinden dat die best wel agressief is in bijvoorbeeld de iTunes Store: 30% van je omzet inleveren aan iemand die “alleen maar” de appstore heeft? Is dat nu iets waar het mededingingsrecht wat van moet vinden? Misschien, als Apple de smartphonebesturingssysteemmarkt in handen heeft. Maar algemeen bekend is dat Android op veel meer telefoons staat dan Apple, dus kennelijk is Apple een kleine. Of moet je kijken naar de high end smartphones, zeg maar de Iphone en misschien een dikke Samsung? Dan is Apple natuurlijk mega-machtig in die niche, maar is dat wel een terechte definitie van de markt?

Ook de ‘echte’ platforms zijn nogal verschillend. Ik las deze analyse over de verschillende types platforms en de juridische duiding van hun positie. Hierin de interessante stelling dat platforms zoals Apple eigenlijk heel welkom zijn, omdat ze nieuwe markten creëren en daarmee echt waarde toevoegen.

Thompson says that platforms are important to society: “they create the possibility for products that never existed previously, and are the foundation for huge amounts of innovation” so there should “be more and larger platforms, not fewer and smaller.” But platforms can be abusive, so “regulators should simultaneously encourage the formation of new platforms while ensuring those platforms do not abuse their position.”

De regels zouden vooral moeten voorkomen dat platforms hun eigen producten voorrang geven of zonder enige reden extra geld gaan vragen. Maar de aandacht van regulators zou vooral uit moeten gaan naar een ander soort platforms: de aggregators, die bestaande content of diensten bundelen om zo hun bezoekers een “extra gebruikservaring” te bieden. Deze partijen zijn vooral bezig met de gebruikers bij elkaar houden en die dienstverleners te dwingen tot speciale privileges. Dat is veel ernstiger, is dan het idee.

But for Thompson, aggregators are much more suspect because “the incentives are warped from the beginning” — they incentivize third parties to make themselves attractive to the aggregator, not users (think of search-engine optimization).

Dit onderscheid had ik nog niet eerder gezien. Ik zie er wel wat in, hoewel ik ook genoeg aggegrators ken die wat mij betreft wél waarde toevoegen.

Welke uitwas van de grote internetbedrijven moet wat jullie betreft mededingingsrechtelijk worden aangepakt?

Arnoud

Nederlandse regering kan providers verplichten netwerkapparatuur te vervangen

| AE 11652 | Regulering | 9 reacties

De Nederlandse regering heeft een Algemene Maatregel van Bestuur gepubliceerd waarmee zij providers kan verplichten bepaalde netwerkapparatuur uit hun netwerk te halen. Dat meldde Tweakers vorige week. De AMvB bevat de bevoegdheid om een bedrijf aan te merken als ‘verdacht’ (zeg maar even) en dus niet gewenst om aan Nederlandse providers apparatuur of dienstverlening te… Lees verder

Cannabistelers kunnen een bankrekening krijgen, blockchainondernemers nu ook?

| AE 11626 | Ondernemingsvrijheid, Regulering | 6 reacties

ABN Amro moet onderneming Project C, een beoogd deelnemer aan het wietteeltexperiment van de overheid, alsnog een zakelijke bankrekening geven. Dat meldde RTL Z vorige week. De rechtbank Amsterdam vonniste dat de bank zich niet kan beroepen op contractsvrijheid en het algemene beeld dat wietbedrijven een integriteitsrisico onder de Wft vormen. Daarmee kan Project C… Lees verder

Mag de politie de telefoon van een getuige leegtrekken?

| AE 11564 | Regulering | 13 reacties

Via Twitter een ietwat verontrustend item van de BBC over speciale apparatuur waarmee de politie telefoons in één keer geheel uit kan lezen. Die technologie wordt ingezet bij arrestaties, maar kennelijk ook bij telefoons van getuigen. En dan heb ik het over alles, van foto’s tot chatberichten, cache-informatie en prullenbakbestanden. De journaliste vraagt zich af… Lees verder

Wanneer gaat hengelen naar een beloning over in afpersing?

| AE 11556 | Regulering | 6 reacties

Pretpark Walibi Holland gaat aangifte doen tegen een ontwikkelaar die een datalek meldde bij het bedrijf en om vier gratis toegangskaarten vroeg. Dat meldde Tweakers vorige week. De aangifte zou zijn vanwege chantage dan wel afpersing. De ontwikkelaar verwijst naar eerdere toezeggingen van het park dat kaartjes een gebruikelijke beloning zijn. Natuurlijk is het buitengewoon… Lees verder

Duitse politie haalt datacentrum voor darknetmarktplaatsen offline

| AE 11519 | Regulering | 8 reacties

De Duitse politie heeft donderdagavond een datacentrum voor darknetmarktplaatsen offline gehaald en zeven verdachten gearresteerd. Dat meldde Tweakers onlangs. De servers werden onder meer gebruikt voor darknetmarktplaats Wall Street Market en een aanval op Deutsche Telekom-routers. De beheerder van het dc omschrijft haar diensten als bulletproof hosting en heeft beleid dat men zich niet actief… Lees verder