Wanneer gaat hengelen naar een beloning over in afpersing?

| AE 11556 | Regulering | 3 reacties

Pretpark Walibi Holland gaat aangifte doen tegen een ontwikkelaar die een datalek meldde bij het bedrijf en om vier gratis toegangskaarten vroeg. Dat meldde Tweakers vorige week. De aangifte zou zijn vanwege chantage dan wel afpersing. De ontwikkelaar verwijst naar eerdere toezeggingen van het park dat kaartjes een gebruikelijke beloning zijn. Natuurlijk is het buitengewoon raar om voor dit niveau ‘afpersing’ naar de politie te stappen, en de PR is bepaald onhandig ingestoken. Al snel werd de keutel ingetrokken. Maar zit er juridisch een punt achter?

Het datalek in kwestie is overigens geen AVG-datalek, maar een financieel lek: je kunt per dag zien hoe veel tickets men verkoopt en wat de prijs per ticket was. Zonder enige rare actie, behalve dan F12 drukken in je browser. (Geen paniek, nog een keer F12 en deze blog is weer normaal.) In iets meer detail:

Ze hebben hun webshop (gezien de urls) afgenomen van het bedrijf Dept Agency. Deze shop zit vrij slordig in elkaar. De data die je in je browser krijgt, bevat precies hoeveel kaarten er totaal zijn voor een dag, en hoeveel er nog te koop zijn. Daarnaast staat de prijs erbij, dus een simpel rekensommetje laat zien wat er aan de spookhuizen en toegangskaarten verdiend wordt in de voorverkoop per dag. Openbaar. In je browser. Via element inspecteren. In een developer-vriendelijk, realtime JSON formaat.

De ontwikkelaar gaf deze technische blunder door aan Walibi, inclusief een stukje van de informatie als bewijs dat het lek er inderdaad zat. Hij gebruikte daarbij het mailonderwerp ‘Datalek ruilen voor kaartjes?’, kennelijk refererend aan eerder contact waarbij Walibi had aangeven dat kaartjes soms als beloning worden gegeven voor het melden van datalekken. Maar de directeur van Walibi (waarom die directrice genoemd wordt ontgaat me overigens, het is toch geen school) las hierin een strafbaar feit, namelijk afpersing:

Walibi laat zich niet chanteren. U zult dus geen tickets van ons ontvangen. Begin van dit jaar niet, nu niet en volgend jaar ook niet. U hoeft ons dus niet weer te mailen. Wij zullen wel aangifte tegen u doen.

Even los van de bepaald onhandige inschatting hier, is dit nu überhaupt afpersing te noemen? Het flauwe antwoord is nee, want afpersing is (art. 317 Strafrecht) kort gezegd dreigen met geweld om jezelf te bevoordelen. Ze bedoelen dan ook afdreiging (art. 318 Strafrecht):

Hij die, met het oogmerk om zich of een ander wederrechtelijk te bevoordelen, door bedreiging met smaad, smaadschrift of openbaring van een geheim iemand dwingt hetzij tot de afgifte van enig goed dat geheel of ten dele aan deze of aan een derde toebehoort, hetzij tot het aangaan van een schuld of het teniet doen van een inschuld, hetzij tot het ter beschikking stellen van gegevens, wordt als schuldig aan afdreiging, gestraft met gevangenisstraf van ten hoogste vier jaren of geldboete van de vijfde categorie.

Het stukje ‘dwingen’ is makkelijk hier, de ontwikkelaar zou die vier kaartjes (kaartjes zijn “enig goed”) willen hebben met zijn mail. Maar wat is dan de ‘dreiging’, het andere essentiële bestanddeel van dit delict? Dat zou dan waarschijnlijk een gang naar de pers zijn, betaal me of ik maak openbaar dat je een datalek hebt.

Dat is wat de ontwikkelaar zou hebben gezegd, aldus het pretpark:

Jullie lekken wederom data wat betreft omzet. Zullen we de bron van [sic] de datalek en het niet publiceren van data dit jaar ruilen voor 4 kaartjes voor volgende week zondag, inclusief Fastlane Gold Single + RIP Pass, Below en Clinic?

Dit stukje doet mij ook de wenkbrauwen fronzen. Het hele punt van belonen is voor het mélden van datalekken, je betaalt mensen niet voor hun stilzwijgen maar voor hun speurwerk. En ja, binnen de letter van de wet is het als afdreiging te construeren als je zegt “ik zal een geheim niet publiceren als je me geld geeft” wanneer dat publiceren op zichzelf wederrechtelijk is.

Bij de reacties lees ik dan de ontwikkelaar die stelt dat je de zin moet lezen in de context van eerdere communicatie. Dat snap ik gezien de voorgeschiedenis, en ik weet vrij zeker dat de directeur die niet kent en daarom de zin zo heftig oppakt. Het bewijst maar des te meer dat wanneer je met bedrijven communiceert, je in het bedrijfs moet communiceren.

Arnoud

Goh, Nederland heeft knappe inzichten over soevereiniteit in cyberspace

| AE 11551 | Regulering | 7 reacties

De brief van minister Blok aan de Tweede Kamer over soevereiniteit in cyberspace is een tour de force op juridisch gebied. Dat hoor je ook niet vaak van Kamerstukken, dus daar gaan we eens goed voor zitten. De brief werd van de zomer verstuurd en onlangs publiek gemaakt. Het doet me goed te zien dat het concept cyberspace als zodanig kennelijk juridisch erkend wordt, maar je maakt dingen wel een stuk ingewikkelder op die manier. De uitkomsten zijn overigens zeker wel verrassend en vernieuwend.

Het grootste probleem met cybervraagstukken is dat het de nationale soevereiniteit doorbreekt. Als een botnet met Europese slachtoffercomputers wordt gecommandeerd door een Braziliaan via een vpn een command&controlserver in Korea om een Nederlandse bank plat te leggen, welke actie neem je dan als Nederlandse politie? In hoeverre zou bijvoorbeeld de soevereiniteit van Korea worden aangetast als je die server terughackt en uitzet? Of die van Brazilië omdat ze die dader daar wilden aanpakken? (Dit is belangrijk omdat uit internationaal recht volgt dat je andermans soevereiniteit niet schendt; je komt dan richting de oorlogsdaden.)

Wanneer doorkruist een cyberactie nu de soevereiniteit? Het antwoord zou volgens Nederland liggen in het effect in het land waar dit gebeurt. Hoe ernstiger dat effect, hoe meer je aan iemands soevereiniteit knabbelt. Effecten die gelijk zijn aan ingrijpen met fysiek geweld zijn het extreemste voorbeeld: dat is eigenlijk gewoon keihard verboden. Het lamleggen van die Nederlandse bank is dus een schending van internationaal recht als dat door een staat zou gebeuren, bijvoorbeeld.

Minstens zo interessant is het zorgvuldigheidsbeginsel: dat je rekening houdt met andere landen wanneer je als soevereine staat handelt. Je opereert weliswaar soeverein maar niet volledig in isolatie, immers. Dat beginsel werkt een-op-een ook in de cyberwereld:

In de cybercontext betekent het zorgvuldigheidsbeginsel dat staten moeten optreden tegen: (1) cyberactiviteiten die worden uitgevoerd door personen op hun grondgebied of waarbij gebruik wordt gemaakt van zaken of netwerken op hun grondgebied of waar zij anderszins controle over hebben; (2) die inbreuk maken op een recht van een andere staat; en (3) waarvan zij op de hoogte zijn of zouden moeten zijn.

Brazilië of Korea zou dus moeten ingrijpen als die Nederlandse bank wordt platgelegd. En niet “dat zou leuk zijn” maar “dat moeten ze van het internationaal recht”. Wel moet het dan gaan om een ernstige inbreuk op de rechten van in dit geval Nederland. Eén enkele phishmail uit Nigera schept dus nog niet meteen zo’n verplichting.

Wat nu als zo’n land daar niet meteen gehoor aan geeft? Want dan komen we bij waar het echt om draait, zou de Nederlandse politie dan die C&C server plat mogen leggen op afstand, of die Braziliaan mogen spearphishen om de login te pakken te krijgen? Die zorgvuldigheidseis is een soort van opstapje daarheen. Als een land – zeg Brazilië – te kort zou schieten daarin, en Nederland ondervindt vervolgens ernstige schade, dan mag Nederland doorpakken en zelf maatregelen nemen. Terughacken dus.

Niet dat terughacken nu automatisch de meest logische actie is. Je moet altijd eerst kijken of er legale alternatieven zijn, zoals Brazilië blokkeren op de AMS-IX, diplomaten uitzetten of een andere handeling die ook wel pijn doet maar duidelijk binnen je eigen rechten valt. Pas als dat niet lukt, dan kun je opschalen naar internationale actie – die dan wel tijdelijk en voor compensatie vatbaar moet zijn.

(Als goed jurist moet ik nu openen door te zeggen dat Nederland een lange traditie heeft met dit soort inzichten: Hugo de Groot formuleerde in 1609 zeer gezaghebbende principes over het recht op de internationale zeeën. Kort gezegd, iedereen heeft daar dezelfde (namelijk geen) exclusieve rechten, omdat geen land dit in eigendom kan hebben. Bij deze.)

Arnoud
PS: vergeet je ticket voor the Future is Legal op 15 november niet, ze gaan hard!

Duitse politie haalt datacentrum voor darknetmarktplaatsen offline

| AE 11519 | Regulering | 8 reacties

De Duitse politie heeft donderdagavond een datacentrum voor darknetmarktplaatsen offline gehaald en zeven verdachten gearresteerd. Dat meldde Tweakers onlangs. De servers werden onder meer gebruikt voor darknetmarktplaats Wall Street Market en een aanval op Deutsche Telekom-routers. De beheerder van het dc omschrijft haar diensten als bulletproof hosting en heeft beleid dat men zich niet actief bemoeit met wat klanten doen “except child porn and anything related to terrorism.” De inval lijkt te suggereren dat dat beleid niet geheel binnen de wet blijft, maar ik kreeg bezorgde hosters in de mail of zij ook strafrechtelijk aansprakelijk gehouden kunnen worden als er een strafbare klant tussen zit.

Bij Emerce een fascinerend verhaal over de geschiedenis van deze cyberbunker. In principe is onder de wet iedere hoster gelijk – je bent als partij die gegevens van klanten opslaat en doorgeeft als hoofdregel niet aansprakelijk voor die gegevens. Dat zou immers ook onwerkbaar zijn, hoe moet je dan iedere klant op ieder moment toetsen.

Het is dan ook weer niet de bedoeling dat je bewust de andere kant op kijkt. In de wet (art. 6:196c BW) staat dan ook dat zodra je actief bewust bent van bepaalde onrechtmatige inhoud, je moet ingrijpen. De bekende notice-takedownpolicies zijn op dat stukje gebaseerd. En voor de duidelijkheid: dat gaat over álle wetsovertredingen, niet alleen auteursrechtschendingen of strafbare zaken. Een NTD verzoek gebaseerd op de AVG behoort dus ook gewoon te werken, zij het dat de overtreding wel onmiskenbaar (evident) juist moet zijn en dat is bij AVG-dingen niet perse het geval.

Maar dat is civiel recht. Strafrecht kent zijn eigen regime, in dit geval artikel 54a Strafrecht, waarin staat:

Een tussenpersoon die een telecommunicatiedienst verleent bestaande in de doorgifte of opslag van gegevens die van een ander afkomstig zijn, wordt als zodanig niet vervolgd indien hij voldoet aan een bevel van de officier van justitie, na schriftelijke machtiging op vordering van de officier van justitie te verlenen door de rechter-commissaris, om alle maatregelen te nemen die redelijkerwijs van hem kunnen worden gevergd om de gegevens ontoegankelijk te maken.

De definitie is grofweg hetzelfde. Je moet een hoster (of access provider) zijn, een partij die gegevens van anderen opslaat en doorgeeft. Die definitie is breed genoeg om ook diensten als Skype of Twitter te vangen. Je kunt dan volgens de normale regels van het strafrecht worden vervolgd voor die handelingen, je bent immers formeel gezien behulpzaam en dus op zijn minst medeplichtig als die handelingen strafbaar zijn.

Maar dit artikel zegt van niet. Althans, wanneer je op bevel van de officier van justitie meteen die gegevens ontoegankelijk maakt. Dat bevel mag dan weer niet zomaar worden gegeven, er moet een machtiging van de onafhankelijke rechter-commissaris worden verkregen. Daar zit dus een stukje gerechtelijke toetsing. Dit mag je “alleen met gerechtelijk bevel” noemen, alleen laat je dan wel zien dat je meer vaart op Amerikaanse rechtbankseries dan Nederlandse wetboeken. De RC is de gerechtelijke instantie die zegt dat de officier mag eisen dat het weggaat. Bevalt dat je niet, dan kun je naar de ‘echte’ rechtbank maar dan sta je dus al in het strafbankje – geen gehoor geven aan een bevoegd gegeven bevel op zijn minst, of als men echt boos is dus medeplichtigheid aan dat strafbare feit.

Wanneer je je echter structureel inhoudelijk gaat bemoeien met wat je klanten doen, dan kun je niet meer spreken van een “tussenpersoon als zodanig”. Dan kun je je dus niet meer beroepen op de bescherming van artikel 54a, en je zou dan als medeplichtige van het handelen van die klanten gezien kunnen worden. Ik denk dat diezelfde situatie kan ontstaan als je je ook nadrukkelijk profileert als bulletproof hoster: je moet weten dat dat een bepaald type klanten aantrekt, met name vaak het type dat illegale zaken op het oog heeft. Dat voelt voor mij niet meer als de opstelling als neutraal tussenpersoon.

Arnoud

Mag een AI-politiecamera je beboeten voor een plak roggebrood in de hand bij het rijden?

| AE 11528 | Regulering | 16 reacties

Een lezer vroeg me: Onlangs werd bekend dat de politie ‘slimme camera’s’ gaat inzetten tegen automobilisten die met hun smartphone in de hand aan het appen of bellen zijn. Maar hoe kunnen ze met zo’n camera zien of ik een telefoon vasthoud of bijvoorbeeld een navigatie-unit of zelfs een plak roggebrood? Die is ook zwart… Lees verder

Hoe ver kun je gaan met antiwettelijke systemen ontwikkelen?

| AE 11488 | Regulering | 17 reacties

Coercion-resistant design, ik vertaal het maar als antiwettelijke systemen maar het is het niet helemaal. De Engelse term kwam ik vorige week tegen bij BoingBoing, hij blijkt uit 2016 te dateren en refereert naar technische tegenmaatregelen die onwelgevallige juridische eisen omzeilen of zinloos maken. Het bekendste voorbeeld is de warrant canary, een tekstje in je… Lees verder

Politiekorpsen VS mogen Ring-video’s eeuwig bewaren en onbeperkt delen, en bij ons?

| AE 11469 | Privacy, Regulering | 7 reacties

Politiekorpsen in de VS die van buurtbewoners video’s ontvangen van slimme deurbel Ring mogen dat beeldmateriaal eeuwig bewaren en onbeperkt delen met bijvoorbeeld andere korpsen of overheidsinstanties. Dat las ik bij Tweakers. Het vervolgt eerdere berichten dat Ring in de afgelopen jaren samenwerkingsovereenkomsten heeft gesloten met vierhonderd korpsen in de VS, die zo toegang krijgen… Lees verder

Is het inbouwen van backdoors in je encryptiesoftware verplicht?

| AE 11462 | Regulering, Security | 11 reacties

Een lezer vroeg me: In Australië is sinds vorig jaar een wet van kracht die techleveranciers verplicht om backdoors in te bouwen in hun software als die end-to-end encryptie toepast. Hoe zit dat in Nederland, geldt die plicht bij ons ook zo? Eind vorig jaar is in Australië inderdaad een wet aangenomen, de Assistance and… Lees verder

Je blijft echt gewoon bestuurder als je de AutoPilot van je Tesla aanzet

| AE 11430 | Ondernemingsvrijheid, Regulering | 11 reacties

Het gerechtshof in Leeuwarden stelt dat de bestuurder van een ‘zelfrijdende’ Tesla terecht is beboet, omdat hij tijdens het rijden zijn telefoon vasthad. Dat meldde Nu.nl gisteren. Hiermee wordt de uitspraak in eerste instantie van afgelopen november bevestigd. De Tesla-bestuurder was Vincent Evers, die stelde dat niet hij de bestuurder van de Tesla was, maar… Lees verder

De werkelijkheid van het tv-cliche van de cc naar je advocaat

| AE 11362 | Regulering | 22 reacties

Het verschoningsrecht voor advocaten en notarissen geldt net zo goed voor correspondentie in cc-mails. Dat las ik bij MR online. Die uitspraak kwam in reactie op de opstelling van het Openbaar Ministerie dat ze mails met de advocaat in cc wel degelijk mogen inzien, dergelijke mails zijn niet geheim (attorney-client privileged, als je Amerikaanse series… Lees verder

Vanaf vandaag mag je geen telefoon meer vasthouden op de fiets

| AE 11359 | Regulering | 51 reacties

De Nederlandse overheid waarschuwt dat het vanaf maandag 1 juli verboden is om tijdens het fietsen een smartphone, tablet, muziekspeler of camera vast te houden. Dat meldde Tweakers vrijdag. Wie dat toch doet riskeert een boete van 95 euro. Vanaf vandaag mogen ‘bestuurders van een voertuig tijdens het rijden’ niet langer een ‘mobiel elektronisch apparaat… Lees verder