Wijkagent Jan trok alles en iedereen na en dat is computervredebreuk, wacht wat?

| AE 11237 | Regulering | 23 reacties

De politieman die op de diensttelefoon de ‘opsporingsapp’ raadpleegt, moet iedere klik kunnen verantwoorden. Dat las ik in NRC Handelsblad. Ene agent Jan kon dat niet. Hij klikte maar raak: meer dan 6.000 bevragingen in het ‘Basisvoorziening informatie – Integrale bevraging’ (BVI-IB) systeem van de politie, en nog vanaf zijn privételefoon ook. Voor een deel werkgerelateerd – het natrekken van dure auto’s die hij op vakantie langs zag komen – maar ook echt privé, zoals het natrekken van een vriend van zijn zoon en de auto van zijn zwager. En dat werd een zaak wegens, wat krijgen we nou: computervredebreuk. Nee, die moest ik ook drie keer lezen.

Dat je als agent niet zomaar Jan (haha) en alleman gaat bevragen in het informatiesysteem, dat snap ik zeker nog wel. Een disciplinaire straf had me dan ook volkomen logisch geleken. Ook het gebruik van de privételefoon is vast tegen interne regels, dus daar een tik voor op de vingers lag ook wel in de lijn der verwachting. Maar de politie gooide het op computervredebreuk, nadat Jan in beeld was gekomen bij een onderzoek naar een hennepkwekerij en daarbij was gebleken hóe vaak en hóe veel mensen hij in dat systeem onderzocht.

Computervredebreuk is het opzettelijk en wederrechtelijk binnendringen in een computersysteem, terwijl je weet dat je daar niet hoort te zijn. Of je een beveiliging doorbreekt, is al vele jaren niet meer relevant. Als Jan mij dus zijn telefoon geeft, en ik pak die BVI-IB app en ik check de buurman, dan pleeg ik een strafbaar feit. Maar Jan zelf mág die basisvoorziening inzetten, dat is deel van zijn werk. Dus hoe wordt excessief een dienst gebruiken computervredebreuik?

De rechtbank ziet inderdaad een vorm van binnendringen in het opzoekgedrag van Jan:

De rechtbank is daarom van oordeel dat verdachte bij de niet werk gerelateerde bevragingen de grenzen van zijn autorisatie ver te buiten is gegaan. Die autorisatie was verdachte immers juist uitsluitend ter beschikking gesteld met betrekking tot de uitoefening van zijn werk binnen de politie. … Door zijn inloggegevens te gebruiken voor doeleinden die ver buiten de grenzen van zijn autorisatie vallen, heeft verdachte onbevoegd gebruik gemaakt van de servers van de politie. Naar het oordeel van de rechtbank is verdachte daarmee opzettelijk en wederrechtelijk binnengedrongen in een geautomatiseerd werk (…)

Het heeft me nooit lekker gezeten dat ergens mogen inloggen maar dan inhoudelijk te ver gaan, kan leiden tot een strafbaar feit. Want dat is waar dit op neerkomt. Ik snap het achterliggende argument echt wel, maar volgens mij wordt hier echt op een oneigenlijke manier dit misdrijf ingezet om een ernstig ambtsfalen aan te pakken. Want wat is nu “ver te buiten” gaan?

Arnoud

Europese Commissie berispt gamewinkel Steam voor ‘geoblocking’

| AE 11221 | Ondernemingsvrijheid, Regulering | 5 reacties

De Europese Commissie heeft Valve, de maker van gamewinkel Steam, en vijf uitgevers van games op de vingers getikt voor het zogenoemde ‘geoblocking’. Dat meldde Nu.nl vorige week. Deze activiteit is in strijd met de mededingingsregels in de Europese Unie. Steam en de uitgevers hanteerden regiogebonden activatiesleutels voor games, waarbij de prijzen per regio voor dezelfde sleutel konden verschillen. Zo kon je dus niet elders in Europa shoppen voor een goedkopere licentie. Tevens bleken er afspraken te zijn voor een marktverdeling binnen de EU, wat een harde no-no is in de EU.

Sinds december 2018 geldt de Geoblockingverordening in de EU. Deze kent strenge regels tegen onderscheid maken op geografische afkomst. Dat gaat primair over verkoop op afstand – een Belgische webshop die Spaanse klanten weert of Duitsers hogere prijzen rekent – maar óók over dienstverlening op afstand. En een game zoals via Steam geleverd valt nu eenmaal onder het regime van dienstverlening.

Hoofdregel uit de Verordening is dat je géén onderscheid mag maken op basis van nationaliteit, verblijfplaats of plaats van vestiging van de klant. De enige echte uitzondering betreft situaties waarin een wettelijke regel (je mag bepaalde dingen niet verkopen in Duitsland, of een auteursrecht verbiedt jou te leveren naar Frankrijk) anders bepaalt. Dat is hier niet aan de orde met Steam, die spellen zijn allemaal gewoon in de hele EU legaal speelbaar en moeten dus vanuit de hele EU kunnen worden gekocht tegen dezelfde voorwaarden – althans, dezelfde in het kader van nationaliteit of afkomst. (Studentenkortingen mogen dus nog steeds, bijvoorbeeld.)

De overtreding zou hem zitten in deze handeling:

Valve and the five PC video game publishers agreed, in breach of EU antitrust rules, to use geo-blocked activation keys to prevent cross-border sales, including in response to unsolicited consumer requests (so-called “passive sales”) of PC video games from several Member States (i.e. Czechia, Estonia, Hungary, Latvia, Lithuania, Poland, Slovakia, and in some cases Romania). This may have prevented consumers from buying cheaper games available in other Member States.

In de kern komt dit erop neer dat Valve (de beheerder van de dienst Steam) andere activatiesleutels voor games uitgeeft afhankelijk van de locatie van de koper. Die kunnen dan niet aan andere landen worden doorverkocht, of vanuit andere landen worden gekocht. Zo ontstaat een mogelijkheid voor prijsdiscriminatie op basis van locatie, en dat is dus in strijd met deze verordening.

Een complicatie daarbij is nog wel dat de Verordening niet echt geschreven is voor streaming content en downloads, zoals games. Daarmee is het twijfelachtig of je rechtstreeks deze Verordening in kunt roepen bij online gameverkoop. De Commissie houdt dan ook een slag om de arm, en gooit het enerzijds op geoblocking en anderzijds op een ‘gewone’ overtreding van artikel 101 (voor oudgediende juristen: artikel 81) EU Verdrag, het verbod om marktverpestende afspraken te maken.

De bedrijven mogen zich nu verweren tegen de Commissie. En uiteindelijk kan (en, naar ik hoop, zal) de boel naar het Hof van Justitie gaan dat hier een definitieve uitspraak over kan doen.

Arnoud

Minister wil data over criminelen makkelijker kunnen delen

| AE 11179 | Privacy, Regulering | 11 reacties

Minister Grapperhaus van Justitie en Veiligheid wil dat het eenvoudiger wordt om gegevens over criminelen te delen, las ik bij Security.nl op gezag van een interview in de Telegraaf. Het delen van gegevens over criminelen tussen overheidsinstanties is problematisch, omdat de AVG daar strenge regels over stelt. “Er kan nog zoveel worden gewonnen met uitwisseling van informatie. Het mag alleen geen inbreuk maken op de privacy, dan gaan misdadigers zich beroepen op fouten”, aldus de minister. De oplossing lijkt me vrij simpel, maar dat kan aan mij liggen.

Het klopt natuurlijk dat de AVG zeer streng is over de omgang met strafrechtelijke gegevens en andere informatie over strafbare activiteiten. Strenger dan voorheen: waar de Wbp dergelijke gegevens ‘bijzondere persoonsgegevens’ noemde, kent de AVG er een apart regime voor dat grofweg neerkomt op “daar mag je niets mee doen”. Letterlijk:

Persoonsgegevens betreffende strafrechtelijke veroordelingen en strafbare feiten of daarmee verband houdende veiligheidsmaatregelen mogen op grond van artikel 6, lid 1, alleen worden verwerkt onder toezicht van de overheid of indien de verwerking is toegestaan bij Unierechtelijke of lidstaatrechtelijke bepalingen die passende waarborgen voor de rechten en vrijheden van de betrokkenen bieden. Omvattende registers van strafrechtelijke veroordelingen mogen alleen worden bijgehouden onder toezicht van de overheid.

Heel plat zou je dan kunnen zeggen, er is geen probleem want je kunt als Nederlandse overheid dus gewoon een wetje maken waarin je zegt welke gegevens worden uitgewisseld en voor welk doel. Maar in de Uitvoeringswet (zeg maar de Nederlandse kop op de AVG) zijn nog wat extra beperkingen gesteld. Verwerken van die gegevens mag (artikel 31 UAVG) alleen als in de UAVG daar een grond voor is.

Artikel 32 noemt daarbij algemene gronden, zoals aparte toestemming, vitaal belang en kennelijk zelf openbaar gemaakt. Maar daar heb je als overheid vrij weinig aan. De meest passende grondslag staat volgens mij in artikel 33:

Persoonsgegevens van strafrechtelijke aard mogen worden verwerkt, indien: (…)
b. de verwerking geschiedt door en ten behoeve van publiekrechtelijke samenwerkingsverbanden van verwerkingsverantwoordelijken of groepen van verwerkingsverantwoordelijken, indien:
1°. de verwerking noodzakelijk is voor de uitvoering van de taak van deze verwerkingsverantwoordelijken of groepen van verwerkingsverantwoordelijken; en
2°. bij de uitvoering is voorzien in zodanige waarborgen dat de persoonlijke levenssfeer van de betrokkene niet onevenredig wordt geschaad;

Een aantal samenwerkende gemeenten valt onder dit sub b als ze dit doen om zich verplaatsende criminaliteit te signaleren en te bestrijden. De vraag is dan dus, welke noodzaak is er tot uitwisseling (iets dat je dus even moet uitwerken) en welke waarborgen moeten we nemen. Bij dat laatste moet je denken aan een onterechte vermelding, zoals na een vrijspraak in hoger beroep of een persoonsverwisseling.

“Het is bijzonder dat we die informatie niet kunnen uitwisselen”, zo citeert de Telegraaf burgemeester Aboutaleb na diens constatering dat hij gegevens over een criminele ondernemer niet aan de gemeente Nissewaard (voormalig Spijkenisse en Bernisse) mocht geven.

Dat klinkt alsof de AVG er keihard aan in de weg staat, een misverstand dat ik vaker hoor. De AVG verbiedt weinig echt keihard en categorisch: vrijwel altijd mág het wel mits je maar een goed verhaal hebt. En bij de overheid betekent dat, werk het maar eens uit in een wet of regeling en leg daarbij uit hoe je met die mensen wilt omgaan. Ik vind het bijzonderder dat dat kennelijk een probleem is, zeggen wat je van plan bent.

Arnoud

Mag een vereniging haar leden ongevraagd mailings toesturen?

| AE 11162 | Regulering | 7 reacties

Via Twitter: Databank en nieuwsbrief NOvA Tuchtrecht Updates gelanceerd en verplichte nieuwsbrief. Inderdaad, de Orde van Advocaten verzorgt elke twee weken een nieuwsbrief met tuchtrechtelijke uitspraken, iets waar advocaten ongetwijfeld meer over willen weten. Maar het verbaast wel dat er geen opt-in wordt gevraagd, zomaar nieuwsbrieven sturen is juridisch gezien een tikje twijfelachtig zal ik… Lees verder

Politie mocht iPhone verdachte onder dwang via duim ontgrendelen

| AE 11158 | Regulering, Security | 10 reacties

De politie heeft in een onderzoek naar een phishingbende de iPhone van een verdachte onder dwang via zijn duim mogen ontgrendelen, las ik bij Security.nl. In drie vonnissen besliste de rechtbank Noord-Holland dat deze opsporingstechniek legitiem is, ook nu er geen specifieke wettelijke regeling is. Dat bevestigt de eerdere lijn uit februari waarin ook de… Lees verder

Mag je van de GDPR geen cloud-based office dienst meer inzetten?

| AE 11154 | Privacy, Regulering | 29 reacties

It is currently impossible for Sweden’s public sector to purchase web-based office services (word processing, email and text/video chat) that comply with the European General Data Protection Regulation (GDPR). Dat las ik bij de Open Source Observatory. Men ging af op een studie van de Zweedse National Procurement Services die focust op de impact van… Lees verder

Waarom moeten artsen binnenkort hun BIG nummer op Twitter zetten?

| AE 11150 | Regulering | 19 reacties

Huisartsen en andere zorgverleners zijn verbaasd over de manier waarop ze vanaf 1 april hun registratienummer moeten tonen. Dat las ik bij RTL Nieuws. Als voorbeeld noemen ze dat dit nummer onder meer bij hun Twitter-account moeten staan als ze zich daar als arts bekendmaken. Grote ophef en protest, niet alleen bij artsen maar ook… Lees verder

Hoe belangrijk zijn emoji in een vonnis?

| AE 11142 | Regulering | 11 reacties

Amerikaanse rechtbanken kunnen niet omgaan met emoji (emoticons), las ik bij The Verge. Santa Clara University law professor Eric Goldman heeft onderzoek gedaan naar emoji’s in vonnissen, en zag opvallend vaak dat deze gewoon maar werden weggelaten hoewel ze steeds vaker in zaken een rol spelen. Dat heeft een basale reden, de databanken waar vonnissen… Lees verder

Nederlandse politie wil gebruikmaken van particuliere DNA-databank in VS

| AE 11115 | Privacy, Regulering | 11 reacties

De coldcaseteams van de Amsterdamse en Rotterdamse politie willen de Amerikaanse particuliere DNA-databank GEDmatch inzetten om de identiteit van onbekende doden te achterhalen. Dat meldde NRC gisteren. GEDmatch is een openbare, Amerikaanse databank waarin genetische gegevens van allerlei mensen zitten, en daarin kan iedereen zoeken op potentiële matches. Daarmee is in theorie de mogelijkheid voor… Lees verder

Wanneer is het hebben van een Remote Acces Tool en een Keylogger strafbaar?

| AE 11106 | Regulering, Security | 22 reacties

In december werd een man veroordeeld voor het voorhanden hebben en verspreiden van Blackshades software. De rechtbank merkte dit aan als medeplichtigheid tot computervredebreuk, omdat deze software gebruikt kan worden om een inbraak in andermans computer te vergemakkelijken. Wat diverse lezers ertoe bracht om me te vragen, hoezo is het strafbaar om die software te… Lees verder