Rechter beveelt politie in te loggen op WhatsApp-account overleden slachtoffer

| AE 13326 | Regulering, Security | 3 reacties

Pexels / Pixabay

De rechter-commissaris in Den Haag heeft de politie bevolen om in te loggen op het WhatsApp- en Google-account van een overleden slachtoffer en zo de WhatsApp-communicatie en Google Takeout veilig te stellen voor zover die gegevens relevant zijn voor het onderzoek. Dat las ik bij Security.nl. Opmerkelijk, want de wet voorziet niet in een specifieke bevoegdheid hiervoor maar gezien de jurisprudentie zou het moeten kunnen.

Het slachtoffer is vermoedelijk door een misdrijf om het leven gekomen, en de politie had het vermoeden dat de WhatsApp- en Google Takeout communicatie relevant bewijs kon geven. Deze uit de telefoon van het slachtoffer halen lukte niet, omdat de telefoons onvindbaar waren. Een vordering bij WhatsApp-moederbedrijf Meta heeft geen zin vanwege de e2e encryptie, en Google zou volgens de officier makkelijk twee jaar over een rechtshulpverzoek doen en het dan waarschijnlijk afwijzen.

Blijft over de optie van de backup terugzetten. Daarvoor is technisch nodig dat je de sim van de verdwenen telefoon dupliceert (de provider kan dit), deze in een nieuwe telefoon plaatst en dan het WhatsApp-account herstelt. Alle backupdata wordt dan teruggezet, en daarna kun je deze lezen vanaf je nieuwe telefoon. Alleen, nergens in de wet is geregeld dat opsporingsambtenaren dit mogen doen. Je zou het zelfs een vorm van hacken kunnen noemen, binnendringen in andermans account bij WhatsApp immers.

De rechter-commissaris ziet in deze specifieke vorm van binnendringen weinig crimineels:

Het betreft stappen die een gebruiker zelf ook kan of zelfs moet zetten op het moment dat deze geen toegang meer heeft tot een account. Het terugzetten van een back-up (zoals bij WhatsApp) kan als een gebruikelijke handeling worden beschouwd, een back-up is immers bedoeld voor de situatie waarin er onverhoopt geen toegang meer tot de gegevens bestaat. Ook het moeten invoeren van bepaalde codes of het invullen van beveiligingsvragen om toegang te verkrijgen tot een account (zoals bij Google) is niet ongebruikelijk. … Het aanvragen van een duplicaat simkaart en het afvangen van een verificatiecode gebeurt niet alleen met toestemming van de nabestaande, maar valt naar het oordeel van de rechter-commissaris ook binnen de rechtmatige uitoefening van de politietaak gelet op artikel 3 van de Politiewet en de artikelen 141 en 142 Sv.
Het helpt natuurlijk zeer dat die nabestaande van het slachtoffer ook wilde wat er was gebeurd, en dus toestemming wilde geven. Of dat juridisch genoeg is om het binnendringen rechtmatig te maken, kun je over twisten: een nabestaande kan ook niet per definitie toestemming geven om een garagebox van de overledene open te breken. Maar de rechter-commissaris gebruikt het hier als een van de argumenten die maken waarom het binnendringen door de politie rechtmatig is.

Natuurlijk krijg je na deze actie toegang tot alle logs van alle chats, maar de vordering was beperkt tot bepaalde gesprekken in de elf dagen tot het overlijden. De overige data mag dus niet worden gebruikt.

Arnoud

Wacht even, dat Telegram-sluitbevel was een vrijwillig verzoek? Ik snap er nu niks meer van

| AE 13307 | Regulering | 11 reacties

Weet u nog: het Openbaar Ministerie had in oktober twee kanalen van complotdenkers op chatapp Telegram laten blokkeren, zo blogde ik destijds. Een week later bleek het anders te liggen: er is geen takedown-bevel aan Telegram gegeven, maar het bleek gewoon een handig gebruik van de telefoon van een verdachte. Dacht ik toen. Want nu komt BNR met bewijs dat er kanalen door de beheerders zijn gesloten na druk vanuit politie en Justitie.

De namen van de kanalen duizelen me een beetje, maar zo te lezen gaat het hier om een ander kanaal dan die met de telefoon van de verdachte zijn gesloten. Zoals BNR het beschrijft:

Twee agenten brachten 8 oktober een huisbezoek aan de beheerder. De Officier van Justitie had telefonisch overleg met de politie ter plaatse en dreigde de man met strafvervolging als hij het kanaal niet ter plekke zou verwijderen.
Daarop koos de man eieren voor zijn geld en sloot hij het kanaal. Dat doet raar aan: de normale manier is dat je de dienst Telegram sommeert het kanaal te sluiten. Dat werkte hier alleen niet, aldus het OM:
‘Aangezien Telegram zelf stelt: ‘To this day, we have disclosed 0 bytes of user data to third parties, including governments’, heeft de rechter-commissaris er in dit geval vanaf gezien Telegram te proberen te betrekken’, schrijft een woordvoerder.
Dat snap ik, en ik zie ook wel dat de volgende stap dan is om de beheerder zelf aan te spreken. Alleen, met welke wettelijke bevoegdheid doe je dat? De drie geciteerde deskundige juristen bij BNR weten het alle drie niet te noemen.

Mij lijkt een inroep van 54a Strafrecht logisch:

Een tussenpersoon die een communicatiedienst verleent bestaande in de doorgifte of opslag van gegevens die van een ander afkomstig zijn, wordt bij een strafbaar feit dat met gebruikmaking van die dienst wordt begaan als zodanig niet vervolgd indien hij voldoet aan een bevel als bedoeld in artikel 125p van het Wetboek van Strafvordering.
Je zou dan stellen dat de beheerder een tussenpersoon is, door het in stand houden van de groep verleent hij dan de dienst van doorgifte van gegevens van anderen (de chattende gebruikers). Punt is wel dat je dan niet alleen de officier van justitie nodig hebt, maar ook de rechter-commissaris. En die lijkt hier niet in beeld te zijn geweest. (Nog los van dat het ietwat discutabel is of een losse Telegram gebruiker te zien moet zijn als een provider.)

BNR heeft het proces-verbaal erbij geleverd, waarin te lezen is hoe de agenten het instaken. Zij, verbalisanten, gaven een gedragsaanwijzing (artikel 509hh Strafvordering), waarvoor inderdaad alleen een officier nodig is. Alleen, een gedragsaanwijzing heeft maar beperkte mogelijkheden:

2 De gedragsaanwijzing kan inhouden dat de verdachte wordt bevolen:

a.zich niet op te houden in een bepaald gebied,

b.zich te onthouden van contact met een bepaalde persoon of bepaalde personen,

c.zich op bepaalde tijdstippen te melden bij de daartoe aangewezen opsporingsambtenaar,

d.zich te doen begeleiden bij hulpverlening die van invloed kan zijn op het plegen van strafbare feiten door de verdachte.

De aanwijzing hier was een verbod “Red Pill Journals of informatie van vergelijkbare aard of inhoud te delen op het internet en/of via sociale media”. Ik kan dat hooguit een zeer gezochte invulling van lid 2 sub b noemen: “het internet en/of sociale media” zijn dan “bepaalde personen”, nee sorry waar ik zei “gezochte invulling” bedoelde ik “komt niet door de giecheltoets” stop de tijd. Ik snap dit niet.

Of nou ja, praktisch snap ik het wel: dit soort kanalen kunnen erg kwalijke effecten hebben, dus dat je daar als politie of officier bovenop zit en in wilt grijpen dat is heel logisch. Alleen moet zoiets wel via de regels, juist omdat het gaat om meningsuitingen. Ik had dus zelf ingezet op 54a en dat bij de rechter laten toetsen.

Arnoud

Met historisch akkoord herschrijft Brussel de regels voor het internet, nou nou nou

| AE 13299 | Ondernemingsvrijheid, Regulering | 4 reacties

ColiN00B / Pixabay

De Europese Unie laat een tijdperk van zelfregulatie achter zich met de invoering van ingrijpende nieuwe regels voor internetbedrijven, zo noemt NRC het. Nu.nl is iets feitelijker: De EU-lidstaten, de Europese Commissie en het Europees Parlement zijn het in de nacht van vrijdag op zaterdag eens geworden over definitieve, strengere wetgeving die de macht van grote internetbedrijven als Google en Meta moet beperken en consumenten beter moet beschermen. Voor de juristen: er is politieke overeenstemming over de definitieve tekst van de Digital Services Act, de laatste in een reeks Europese wetten die gedrag en aansprakelijkheid van de grote platforms moet reguleren. Ik lees veel gejuich, maar let op, er is nog géén definitieve tekst laat staan een wet die binnenkort van kracht gaat zijn.

De DSA is formeel de opvolger van de e-commerce richtlijn uit 2000 die de basis legde voor de internetwereld zoals die nu is. De kern was vrij simpel: hands off, laat bedrijven groeien en zorg voor duidelijke informatieverstrekking. Aansprakelijkheid is een begrijpelijke zorg van dienstverleners, dus die wordt beperkt tot notice/takedown en dan zal het zichzelf wel reguleren. Eh, ja nee niet helemaal zoals het bedoeld was. We zitten nu met enorme platforms die nauwelijks verantwoordelijkheid nemen, machtsconcentraties waar de mededingingswet niet tegen kan en diepe informatiebubbels waar je u tegen zegt.

Het doel van de nieuwe wet is om hier een tegenwicht aan te stellen. Transparantie staat voorop, net als het betrekken van mensenrechten in bedrijfsbeslissingen en het eerlijk omgaan met klachten en belangen van gebruikers. En voor de héle grote jongens nog een hele trits aan extra regels op het gebied van transparantie, meewerken met onderzoekers en onderzoeken welke “zorgvuldig geselecteerde partners” dingen mogen doen met je klanten. Heel groot ben je overigens als je 10% van de EU-burgers als klant hebt.

Voor bedrijven die zaken moeten doen met die grote jongens zou er veel positiefs moeten komen: duidelijke regels, een eerlijk speelveld, geen arbitraire regelwijzigingen en zelfs mogen concurreren met de eigen business van die platforms. Consumenten zouden minder last moeten hebben van illegale inhoud, krijgen toegang tot online dispuutoplossing plus inzicht met opt-out tegen gepersonaliseerde reclame en contentselectie. En zo kan ik nog wel even doorgaan.

Negatieve noten zijn er natuurlijk ook. Er is geen recht op end-to-end encryptie opgenomen, en ook do-not-track wordt niet ondersteund. Een fundamenteel probleem dat nog niet is opgelost, is dat iedere rechtbank in de EU een verbod kan uitspreken dat dan in de hele EU moet worden gerespecteerd. Denk aan een Ierse rechtbank die een website verbiedt die (vrijwel overal legale) abortuspillen verkoopt, of een Hongaarse rechter die optreedt tegen educatieve publicaties met homostellen. Daar zal dan uiteindelijk het Hof van Justitie wat van moeten vinden, maar dat duurt natuurlijk de nodige jaren.

Desondanks, het signaal is duidelijk: de tijd van terughoudendheid vanuit de wetgever is voorbij. De grote jongens, en tot op zekere hoogte iedereen met een online dienst, moet zich aan nieuwe, strenge regels houden die echt tot verandering zouden moeten leiden. Ik ben benieuwd naar de finale tekst.

Arnoud

 

 

Boete voor wie volgeladen elektrische auto bij laadpaal laat staan

| AE 13276 | Regulering | 50 reacties

Eigenaren van elektrische auto’s riskeren een boete van 95 euro als zij hun auto, nadat deze is opgeladen, bij een laadpaal laten staan. Dat meldde NRC onlangs. Daarbij maakt het niet uit hoelang de volgeladen auto daar blijft staan, aldus het Hof Arnhem-Leeuwarden dat hierover uitspraak deed in hoger beroep. De uitspraak zal een strop… Lees verder

Amsterdam verliest rechtszaak over bericht in Berichtenbox MijnOverheid

| AE 13261 | Regulering | 17 reacties

Een heffingsambtenaar van de gemeente Amsterdam moet een nieuwe beslissing nemen op het bezwaar van een Amsterdammer tegen een niet tijdig ingediende aanslag. Dat meldde Security.nl onlangs. Dit vanwege een opmerkelijke reden: het niet aanvinken van het vinkje “stuur mij een mail als ik een nieuw bericht heb” heel gek, en een bestuursorgaan moet nagaan… Lees verder

Minister: providers die illegaal materiaal hosten zijn moeilijk te vervolgen edit

| AE 13256 | Regulering | 5 reacties

Het is voor de Nederlandse politie moeilijk om hostingproviders strafrechtelijk te vervolgen als ze illegaal materiaal hosten. Dat meldde Tweakers vorige week. In antwoord op Kamervragen meldt Ye?ilgöz van Justitie dan ook dat de politie voornamelijk inzet op samenwerking met de sector. Meer zou lastig zijn: hostingproviders kunnen onder de Europese wet niet aansprakelijk worden… Lees verder

Als Microsoft je account blokkeert, moeten ze wel bewijs aandragen waarom

| AE 13246 | Ondernemingsvrijheid, Regulering | 6 reacties

Microsoft heeft het e-mail- en OneDrive-account van eisende partij geblokkeerd, las ik bij ITenRecht.nl. Een verhaal dat we vaker hebben gehoord: MS scant uploads tegen een lijst van bekende kinderpornografie, en blokkeert je account wanneer men een match tegenkomt. Ook als het toevallig of onbedoeld was. Een nieuwe uitspraak voegt daar nu een nuance aan toe: MS… Lees verder

Wie belasting ontduikt met cryptomunten, moet snel aangiftes verbeteren

| AE 13196 | Regulering | 18 reacties

Advocaten adviseren cliënten die stiekem bitcoins bezitten om oude belastingaangiftes te verbeteren. Dat meldde Trouw een tijdje terug. De fiscus kan binnenkort namelijk zelf nagaan of iemand cryptomunten bezit, en aangezien ze vanwege een nieuwe Europese wet kunnen ontdekken dat je die niet opgegeven had als bezit, is het maar beter om dat nu zelf… Lees verder

EU-sancties tegen Russische staatsmedia RT en Sputnik van kracht

| AE 13201 | Regulering, Uitingsvrijheid | 24 reacties

De Europese Commissie verbiedt per direct de toegang in de EU tot de zenders van het Russische RT en het persbureau Sputnik. Dat meldde RTL Nieuws afgelopen woensdag. De gestrafte media zijn volgens de EU ‘instrumenten van het Kremlin’ om Russische propaganda in de oorlog tegen Oekraïne te verspreiden. De wettelijke maatregel geldt voor de transmissie… Lees verder

Ddos’er die fiscus, banken en Tweakers aanviel, krijgt 200 uur taakstraf

| AE 13188 | Regulering | 8 reacties

Een taakstraf van 200 uur en een voorwaardelijke jeugddetentie van 180 dagen voor het uitvoeren van ddos-aanvallen op banken, de Belastingdienst en bedrijven, meldde Tweakers – dat zelf ook werd getroffen. Omdat ze verslag deed van de aanvallen, en de aanvaller – die Tweakers Jelle noemt, omdat ie zo heet – het leuk vond om meer… Lees verder