Particuliere handhaving gaat het helemaal worden onder de AVG

| AE 10615 | Privacy, Regulering | 18 reacties

De Autoriteit Persoonsgegevens heeft te maken met bestuursruzies en ervaren personeelsleden verlaten de organisatie op een moment dat de privacywaakhond juist hard aan de slag moet door de invoering van de AVG. Dat las ik bij Tweakers en achter de betaalmuur van het Financieele Dagblad. En in andere media las ik dat meneer Schrems (de killer van de Safe Harbor) rechtszaken begonnen is tegen Google, Facebook, Instagram en WhatsApp wegens overtreding van de AVG. Daar werd ik erg blij van, want ik zie weinig heil meer in bestuursrechtelijke handhaving van privacywetgeving. U kunt zich mijn teleurstelling dan ook voorstellen toen ik las dat dat het ging om handhavingsverzoeken bij vier Europese privacy-autoriteiten. Maar toch.

Het rommelt al een tijdje bij de Autoriteit Persoonsgegevens, het FD artikel verraste me vooral door de uitgebreide roddels over voorzitter Aleid Wolfsen. Maar dat de toezichthouder nu weinig proactief handhaaft (terwijl er al sinds 2016 boetes op alles onder de Wbp staan) zal voor niemand nieuws zijn.

Meer algemeen vraag ik me al geruime tijd af of dit überhaupt wel de beste manier is om de AVG te gaan handhaven. Een toezichthouder kan naar zijn aard alleen enkele gevallen bestrijden, tenzij er natuurlijk vele honderden mensen werken. Maar dan nog – de ACM en de AFM/DNB zijn hele grote jongens, toch lees ik niet wekelijks over handhaving en boetes.

Persoonlijk zie ik meer in handhaving in de breedte: veel handhaving, niet perse de grote gevallen maar vooral volume draaien. Ik zou bijvoorbeeld de angst voor de AVG al veel groter worden als ieder bedrijf in Nederland een brief krijgt “graag uw register binnen drie werkdagen uploaden naar” en iedereen 1000 euro boete die dat niet doet, of daarin geen trefwoorden voor personeel, klanten en nieuwsbrief in opgenomen heeft. Pakkans is immers een veel praktischer factor waar mensen op letten, veel meer dan de straf als je gepakt wordt.

Toezichthouders zijn echter naar hun aard meer gefocust op de grote overtredingen. Logisch wel, omdat die natuurlijk ook veel grover zijn en meer impact hebben. De koppeling van Facebook en WhatsApp is natuurlijk een veel grotere overtreding dan het niet hebben van een register bij een kapper (hoewel beiden tot miljoenenboetes kunnen leiden). Dus ik snap wel dat men eerder daar achteraan gaat.

De actie van Schrems, althans wat ik dacht dat zijn actie was, zou dan ook veel effectiever kunnen lijken in de praktijk. Zoek als belangenorganisatie relevante overtredingen en dien namens de getroffen categorie betrokkenen een collectieve claim in. Dat kan namelijk expliciet onder de AVG (artikel 80), zij het met de beperking dat men dan geen schadevergoeding namens betrokkenen mag eisen. Dat laatste is wat jammer, maar een stevige uitspraak (met dwangsom) dat iets moet stoppen kan in de praktijk ook al heel wat opleveren. En misschien weten meelezende advocaten nog trucs om het schadevergoedingsverbod te omzeilen?

Gezien het belang van privacy zie ik dan ook meer heil in dit soort handhaving-in-het-klein dan in de grote bestuurlijke route. De enige uitdaging blijft dan hoe dit te financieren, want zeker zonder schadevergoeding moet je wel erg principieel zijn om je hiervoor in te zetten.

Arnoud

Moet ik aangifte doen van computervredebreuk tijdens de les?

| AE 10567 | Regulering, Security | 25 reacties

Een lezer vroeg me:

Mijn docent voor het vak IT Security gaf net aan hoe makkelijk het is onbeveiligde PHPMyAdmin omgevingen te vinden met een Google-zoekopdracht en daar dan op in te loggen. We kregen zelfs een live demonstratie. Voor zover ik weet, is dit computervredebreuk en dat is een ernstig misdrijf. Ben ik nu verplicht aangifte te doen?

Het was inderdaad bepaalt niet handig van die docent om in een lesomgeving een demonstratie te geven van hoe makkelijk het is om slecht beveiligde systemen van derden te vinden. Natuurlijk is het relevant voor een vak als IT security om te melden dat dingen vaak misgaan, maar daarvoor hoef je niet te laten zien hoe je dit exact nagaat bij derden.

Echt problematisch is zo’n live demonstratie. (Ik neem maar aan dat dit geen eigen server was die als demonstratie-object werd gebruikt.) Want ja, het is strafbaar als computervredebreuk om binnen te dringen in een computersysteem van een derde. Of daarbij een beveiliging wordt doorbroken of een security zwakheid wordt geëxploiteerd doet er in principe niet toe. Zodra je weet of moet weten dat je daar niet mag zijn in dat systeem, is sprake van een strafbaar feit.

Iedereen is bevoegd om aangifte te doen van een strafbaar feit wanneer hij daar kennis van heeft (art. 161 Wetboek van Strafvordering). Als student bij dat vak kun je dus als je dat wilt naar de politie en melden dat dit is gebeurd. Persoonlijk zou ik eerder naar de decaan of opleidingsdirecteur stappen, ik denk dat dat meer kans maakt om tot een gedragsaanpassing te komen.

Verplicht is het niet. De wet (artikel 160 Strafvordering) noemt een aantal misdrijven waarbij aangifte verplicht is, maar het gaat dan eigenlijk altijd over zeer ernstige misdrijven waarbij mensenlevens in gevaar komen, zoals moord en doodslag, verkrachting en ontvoering. Computervredebreuk en aanverwante misdrijven (zoals ddos aanvallen) horen daar niet bij.

Arnoud

Rechter staat ontsleutelde berichten van pgp-smartphones toe als bewijs

| AE 10547 | Regulering | 14 reacties

De rechtbank in Amsterdam heeft een crimineel veroordeeld mede op basis van informatie die werd verkregen door het ontsleutelen van een grote hoeveelheid berichten die via pgp-telefoons werden verstuurd. Dat meldde Tweakers vorige week. Uit het ontsleutelde berichtenverkeer blijkt hoe de verdachte een sturende rol had bij een liquidatiepoging en hoe de schutters aan hem verantwoording moesten afleggen toen die poging mislukte. Het is voor zover ik weet de eerste keer dat ontsleuteld PGP-verkeer als bewijs is gebruikt in een strafzaak.

De uitspraak is een uitvloeisel uit de Ennetcom-zaak uit 2016. Ennetcom is een Nederlands bedrijf dat met PGP (Pretty Good Privacy) beveiligde BlackBerry-telefoons aanbood. Hiermee kunnen gebruikers in principe onkraakbare e-mails en dergelijke berichten sturen. Deze systemen gebruiken servers in Canada. Na een inval bij het bedrijf kreeg men de Canadese rechter zo ver beslag op die servers en bijbehorende data te leggen, om zo deze inhoud te kunnen gebruiken voor forensisch onderzoek in strafzaken waarbij verdachten deze telefoons gebruikten.

Dat was bijzonder prettig voor Justitie, want die servers bevatten cruciale informatie over sleutelmanagement waarmee het ineens heel eenvoudig werd om het theoretisch haast onkraakbare PGP te verwijderen van berichten. Kort gezegd, die informatie helpt het aantal mogelijke sleutels te reduceren tot enkele honderdduizenden per bericht, iets dat een beetje computer in de lunchpauze kan nalopen. De inhoud van die berichten is dan ineens beschikbaar in een strafzaak.

De Canadese rechter wees dat toe, maar beperkte de toegang tot specifieke berichten voor specifieke strafzaken om te voorkomen dat de Nederlandse autoriteiten een ‘fishing expedition’ zouden gaan uitvoeren in deze grote hoeveelheid data. Per verzoek zou een Nederlandse rechter een bevel moeten afgeven. Dat was nog even ingewikkeld, want het Nederlands recht kent het concept van een court order eigenlijk helemaal niet. Bij ons toetst de rechter-commissaris bevelen van de officier van justitie, dat is een andere manier van werken. Uiteindelijk kwam men uit bij de mogelijkheid van een bevel onder het Wetboek van Strafvordering tot toegang tot opgeslagen data bij een provider (artikel 126ng), dat door de rechter-commissaris moet worden goedgekeurd. Dit bleek genoeg voor de Canadese rechter.

In deze zaak werden ook een aantal PGP berichten gevonden in het opsporingstraject, die met de Canadese informatie konden worden ontsleuteld. Dat bleek een cruciale stap: de berichten lieten zien welke belangrijke rol de verdachte had in de onderzochte liquidatiepoging.

Het bezwaar van de verdediging betrof de manier waarop deze berichten te pakken waren gekregen. Dat artikel 126ng zou de verkeerde grondslag zijn geweest, er is op de verkeerde manier gewerkt en er zou te weinig toezicht zijn geweest vanuit de rechter-commissaris. En nog veel meer, zo veel dat de rechtbank korzelig opmerkt “dat het niet eenvoudig is geweest tot een begrijpelijke samenvatting van de verschillende onderdelen van het door [de advocaat] gevoerde verweer te komen.” Ik ga dat zelf dan ook niet doen, vooral omdat de rechtbank héél snel klaar is met de analyse:

De gekozen constructie biedt voldoende waarborgen om voor zoveel mogelijk tegemoet te komen aan de privacy-belangen van de overige Ennetcom-gebruikers. Naar het oordeel van de rechtbank is dan ook sprake van een rechtmatige constructie om te beoordelen of binnen het onderzoek Tandem toegang verleend kan worden tot de Ennetcom?data.

Dat is voor de juridische theorie een tikje jammer, want nu weet je niet waar de grenzen liggen. Maar ik kan zo snel geen inhoudelijk tegenargument bedenken. Die data is legaal in Canada door de politie aldaar in beslag genomen, en wordt onder toeziend oog van twéé gerechtelijke instanties vrijgegeven conform specifieke regels waardoor er niet kan worden gegrasduind. Ook hier wordt er met een specifiek protocol op verder gewerkt.

Een terecht punt van de verdediging was wel dat er tussen de verkregen berichten communicatie van en naar de advocaat aanwezig was. Dat mag natuurlijk niet, dergelijke communicatie is beschermd en mag niet onder ogen van de politie komen.

Probleem was wel dat in deze brondata die communicatie niet evident als zodanig te herkennen is. Er waren geen zakelijke mailadressen van de advocaat gebruikt of andere identifiers waarmee je dit vooraf weg kon filteren. Er was wel een communicatiepartij die als “adv” bekend stond, maar moet je daaruit concluderen dat je te maken hebt met een Nederlandse advocaat wiens communicatie vertrouwelijk moet blijven? De rechtbank vindt dat te ver gaan.

Ook als aangenomen wordt dat deze ‘adv’ een advocaat is, betekent dat niet dat deze berichten niet in het dossier mochten worden gevoegd. Onder omstandigheden, bijvoorbeeld als moedwillig slordig met de inhoud van de berichten wordt omgesprongen door deze zonder restricties uit handen te geven, bestaat daartegen geen bezwaar. Met betrekking tot de berichten van ‘adv’ die in het dossier zitten, geldt dat die tussen twee onbekende PGP-gebruikers zijn doorgezonden, zonder dat daarbij een beperking is aangebracht. Ten aanzien van deze berichten is geen sprake van een vormverzuim.

Na het beslag op de Canadese server en data heeft de politie een bericht uitgestuurd waarin staat dat verschoningsgerechtigden (zoals advocaten) zich konden melden, waarna hun berichten als geheim zouden worden gemarkeerd. Klinkt netjes, nietwaar? Maar geen advocaat die reageerde – terecht, want dan onthul je immers dat je via dat netwerk communicatie met je cliënt had en dat suggereert dat die cliënt misschien maar eens onderzocht moest worden.

Dit alles levert echter geen onherstelbaar vormverzuim op. Ik zou zelf ook niet weten wat je méér had moeten doen als OM om uit te sluiten dat er advocaatcommunicatie in zo’n bestand zit. De berichten werden nu echter eruit gehaald door een niet bij de zaak betrokken officier.

Wél een vormverzuim deed zich voor bij een aantal notities (ik denk conceptberichten) die begonnen met “Geachte Mr Inez Weski” maar nooit waren verzonden naar deze advocaat. Hoewel je strikt gesproken dan niet spreekt van communicatie met een advocaat, valt ook zo’n concept onder de geheimhouding voor advocaten. Dit bericht was evident voor een advocaat bedoeld en had dus verwijderd moeten zijn. Dat vormverzuim is ernstig: die berichten hadden nooit in het dossier moeten zitten, en moeten dus verwijderd worden. Bewijs dat daaruit afgeleid is, wordt daarmee uitgesloten.

Arnoud

Games met verhandelbare lootboxes zijn onwettig

| AE 10545 | Ondernemingsvrijheid, Regulering | 34 reacties

De Nederlandse Kansspelautoriteit heeft tien populaire games met lootboxes onderzocht en stelt dat vier daarvan de gokwet overtreden, las ik. De namen van de games worden niet genoemd, maar volgens de NOS zou het gaan om de zeer populaire spellen Fifa18, Dota2, PubG en Rocket League. De bedrijven krijgen acht weken de tijd hun games… Lees verder

Licentiecodes meenemen van je werk is geen diefstal

Een licentiecode meenemen van je werk als je ontslag neemt, is geen diefstal of heling. Dat vonniste de rechtbank Den Haag onlangs. De verdachte in deze strafzaak had ontslag genomen en wilde kennelijk met die licentiecode goede sier maken bij de nieuwe werkgever, iets dat de oude werkgever zó ernstig vond dat men aangifte deed,… Lees verder

‘Amerikaanse politie ontgrendelt iPhones met vingers overledenen’

| AE 10476 | Regulering | 13 reacties

Politiediensten in de VS zouden regelmatig iPhones met de Touch ID-beveiliging ontgrendelen, door de vinger van overledenen op de vingerafdrukscanner te houden. Dat meldde Tweakers vorige week. De reden erachter zou zijn dat men zo een stuk goedkoper die telefoon kan ontgrendelen, een forensisch specialist is duur en Apple werkt zelf niet mee zonder gerechtelijk… Lees verder

Mag ik onder de Sleepwet onthullen hoe ik door de AIVD gehackt werd?

| AE 10463 | Regulering | 21 reacties

Een lezer vroeg me: Ietwat hypothetisch, maar stel de AIVD, politie of een ander overheidsorgaan hackt mij (hallo aluhoedje!) en ik ontdek dat, verzamel de technische details (manier hoe ze zijn binnen gekomen) en deel dit op een blog. Dan valt te argumenteren dat ik de werkwijze van de overheid onthul en daarmee zelfs staatsgeheime… Lees verder

Smartphone in autohouder bedienen tijdens het rijden mag wel

| AE 10442 | Regulering | 22 reacties

Het gerechtshof in Leeuwarden heeft besloten dat het bedienen van een smartphone die in een houder is geplaatst niet gelijkstaat aan het vasthouden van een telefoon. Vorig jaar augustus bepaalde de rechtbank nog dat dit een overtreding is van de Wegenverkeerswet, die het tijdens het rijden vasthouden van een telefoon verbiedt. De rechtbank oordeelde dat… Lees verder

Mag een site je laten zien of je gehackt bent?

| AE 10428 | Regulering | 7 reacties

Een lezer vroeg me: Vorige week zette beveiligingsonderzoeker Troy Hunt meer dan 500 miljoen gelekte wachtwoorden online. Met zijn zoekmachine kun je in bijna 4,9 miljard gestolen records kijken of je credentials ooit bij een website zijn gestolen. Maar is dit wel legaal? Hij heeft nu immers een gigantische hoeveelheid gestolen gegevens in zijn bezit…. Lees verder

AIVD en MIVD maken rechtmatig gebruik van persoonsgegevens in bulkdownloads

| AE 10401 | Regulering | 25 reacties

De inlichtingendiensten AIVD en MIVD gaan “rechtmatig” om met datasets met persoonsgegevens die online worden aangeboden. Dat las ik vorige week bij Nu.nl. Deze conclusie volgt uit het rapport 55 over het verwerven van op internet aangeboden bulkdatasets van de Commissie van Toezicht op de Inlichtingen- en Veiligheidsdiensten. Dat “online aangeboden” moet je met aanhalingstekens… Lees verder