Nederlandse politie wil gebruikmaken van particuliere DNA-databank in VS

| AE 11115 | Privacy, Regulering | 11 reacties

De coldcaseteams van de Amsterdamse en Rotterdamse politie willen de Amerikaanse particuliere DNA-databank GEDmatch inzetten om de identiteit van onbekende doden te achterhalen. Dat meldde NRC gisteren. GEDmatch is een openbare, Amerikaanse databank waarin genetische gegevens van allerlei mensen zitten, en daarin kan iedereen zoeken op potentiële matches. Daarmee is in theorie de mogelijkheid voor de politie om ook te zoeken naar bijvoorbeeld een verdachte, of een bloedverwant van een slachtoffer. Maar het roept de nodige vragen op, omdat juridisch niet duidelijk is of men dit überhaupt mag.

Genetische informatie zoals DNA valt onder de AVG onder de strenge regels voor bijzondere persoonsgegevens. Deze mogen niet zomaar worden gebruikt, omdat er zeer gevoelige informatie uit afgeleid kan worden. Je eigen DNA in zo’n databank plaatsen mag in principe wel, wanneer daarbij duidelijk wordt gezegd wat en hoe er gaat gebeuren – je geeft dan uitdrukkelijke toestemming. Maar een complicatie is dat DNA ook informatie over anderen bevat, en dan kun je dus zeggen dat je andermans persoonsgegevens staat te uploaden.

Voor de politie en het OM geldt de AVG niet. Zij moeten zich houden aan de Wet politiegegevens en het Wetboek van Strafvordering. Onder de Wet politiegegevens mag er iets meer; als verwerking “onvermijdelijk is voor het doel van de verwerking” waarvoor andere gegevens worden gebruikt. Ik denk niet dat je daar snel aan komt met genetisch materiaal uit een openbare databank.

In het Wetboek van Strafvordering staan een aantal bevoegdheden over inzet en onderzoek van DNA-materiaal, en er is ook een Besluit DNA-onderzoek in strafzaken met nadere regels. Maar het probleem is eigenlijk vrij simpel: al deze regels gaan uit van matches in individuele zaken. Er is DNA bij het slachtoffer gevonden en dat willen we matchen aan de verdachte, even kort door de bocht. Er is gewoon geen regel die toeziet op het gebruik van grootschalige bronnen van DNA-materiaal. Dat is niet gek, want die regels zijn gemaakt voordat dergelijke databanken bestonden.

Dit maakt de situatie voor de cold case teams erg ingewikkeld, want in principe geldt voor opsporingsdiensten dan de regel dat het niet mag. De politie mag niets tenzij de wet zegt van wel, even weer heel kort door de bocht. Maar dat voelt specifiek bij het oplossen van oude zaken wel heel erg cru. Dit is wellicht de laatste kans om de zaak nog op te lossen, en het gaat om ernstige zaken zoals moord zodat het maatschappelijk belang wel héél zwaarwegend voelt.

Voor het identificeren van slachtoffers ligt dat anders. De AVG geldt niet bij overledenen, en datzelfde geldt op de Wet politiegegevens. Ik denk dus dat DNA materiaal wel mag worden gebruikt om te achterhalen wie een onbekende is, mits dat uitsluitend wordt ingezet voor het doel van informeren van de nabestaanden.

Arnoud

Wanneer is het hebben van een Remote Acces Tool en een Keylogger strafbaar?

| AE 11106 | Regulering, Security | 22 reacties

In december werd een man veroordeeld voor het voorhanden hebben en verspreiden van Blackshades software. De rechtbank merkte dit aan als medeplichtigheid tot computervredebreuk, omdat deze software gebruikt kan worden om een inbraak in andermans computer te vergemakkelijken. Wat diverse lezers ertoe bracht om me te vragen, hoezo is het strafbaar om die software te hebben? Er zijn zo veel tools voor remote access, hoe moet je nu weten wanneer dat wel of niet strafbaar is?

Het enkele feit dat software geschikt is voor remote access maakt deze natuurlijk niet meteen een hulpmiddel voor computervredebreuk. De wet spreekt van “ontworpen of geschikt gemaakt” voor het misdrijf (art. 139d lid 2 Strafrecht), en niet alle binnengaan of binnendringen in andermans computer is een misdrijf. Een ICT-bedrijf kan immers prima legaal bij de klant zijn computer binnengaan om onderhoud te plegen onder een contract, of op verzoek inloggen om een probleem te herstellen.

Dergelijke software kan ook door criminelen worden gebruikt om stiekem bij mensen binnen te dringen, en dan bijvoorbeeld data te gijzelen of te verkrijgen, of om de computer als springplank voor een aanval elders te gebruiken. Dat zijn misdrijven.

Hoe zie je dan het verschil? Zoals ik wel vaker zeg, dat zie je aan de intentie van hoe de software wordt vermarket en hoe deze in de markt bekend staat. De software Blackshades staat bekend als hackingtool:

Blackshades is the name of a malicious trojan horse used by hackers to control infected computers remotely. The malware targets the computers using Microsoft Windows -based operating systems. According to US officials, over 500,000 computer systems have been infected worldwide with the software. … Blackshades infects computer systems by downloading onto a victim’s computer when the victim accesses a malicious webpage (sometimes downloading onto the victim’s computer without the victim’s knowledge, known as a drive-by download) or through external storage devices, such as USB flash drives.

De rechtbank is dan ook van oordeel dat de Blackshades software hoofdzakelijk is ontworpen om het plegen van computervredebreuk mogelijk te maken. Daarmee is bezit van deze software dus strafbaar. Dat de software ook gebruikt kan worden voor legale activiteiten is dan niet relevant; het gaat erom of hij hoofdzakelijk bedoeld is voor illegale zaken. En gezien hoe deze software algemeen bekend staat, en het soort features dat aan boord is, is dat hier dus het geval.

De verdachte wilde zich aansluiten bij de reeds bestaande Blackshades organisatie, en kreeg dat op zeker moment ook voor elkaar. Bovendien had hij wetenschap van alle functionaliteiten en illegale mogelijkheden van deze software. Dat maakt hem ook strafbaar voor het voorhanden hebben van die software, én voor medeplichtigheid aan misdrijven zoals binnendringen en denial of service aanvallen.

Arnoud

Marechaussee mocht onder dwang vingerafdruk afnemen om telefoon te ontgrendelen

| AE 11100 | Regulering | 26 reacties

De Koninklijke Marechaussee mocht onder dwang de vingerafdruk van een verdachte afnemen om zijn telefoon te ontgrendelen, las ik bij Security.nl. De rechtbank Noord-Holland bepaalde dat dit legitiem was bij een verdachte die vorig jaar augustus was aangehouden op Schiphol aangehouden wegens het invoeren van drugs. De verdachte had betoogd dat dit in strijd was met het beginsel dat je niet tegen jezelf hoeft te getuigen, maar de rechtbank vindt dat onterecht.

In Nederland is niet expliciet geregeld dat opsporingsambtenaren vingers mogen zetten op sensors waarmee apparatuur van verdachten wordt ontgrendeld. Er is wel een algemene regel dat vingerafdrukken mogen worden genomen, maar het moet dan eigenlijk gaan om identificatie van de verdachte (art. 27a Strafvordering). Dat is toch wel even iets anders dan een vingerafdruk inzetten om een telefoon te openen. Maar bij een ernstig misdrijf mag er meer (art. 55c):

De foto’s en vingerafdrukken [van de verdachte] kunnen ook worden verwerkt voor het voorkomen, opsporen, vervolgen en berechten van strafbare feiten en het vaststellen van de identiteit van een lijk.

Met enige goede wil is “openen van zijn telefoon” wel te rekenen onder “opsporen van strafbare feiten”, als de data op die telefoon daar deel van uitmaakt, schreef ik in 2013. De rechter lijkt het nu met me eens te zijn, getuige de simpele opmerking dat

Een dergelijk bevel is vergelijkbaar met het (onder dwang) afnemen van vingerafdrukken voor opsporingsonderzoek. Het gaat om biometrisch materiaal wat onafhankelijk van de wil van verdachte bestaat en wat zonder zijn medewerking zou kunnen worden verkregen (…)

Complicatie was nog dat tegen de verdachte was gezegd “geef je pincode of ik forceer je vinger op de telefoon en unlock ‘m zo”. Het vragen om pincodes is wezenlijk anders, dat is wél een getuigenis die je dan vraagt. Het doet raar aan, want je hebt als agent gewoon de bevoegdheid om een vingerafdruk fysiek af te nemen als de verdachte tegenstribbelt. Dus waarom dan vragen om pincodes?

Maar omdat hier het ontgrendelen met de vinger wél legaal mogelijk was, ziet de rechtbank deze vraag niet als een verplichting om te getuigen tegen jezelf. Zeg maar hetzelfde als “zeg waar de huissleutel ligt of ik knal de deur open met deze stormram”.

Arnoud

OM vervolgt internetoplichters niet als ze slachtoffers terugbetalen

| AE 11091 | Regulering | 13 reacties

Het Openbaar Ministerie is een proef gestart waarbij internetoplichters niet worden vervolgd als ze hun slachtoffers terugbetalen. Dat las ik bij Security.nl Alleen zogeheten “first offenders” die mensen voor maximaal 300 euro hebben opgelicht komen in aanmerking. “Strafvervolging is van secundair belang”, zo wordt de politie geciteerd. Het gaat namelijk vaak om minderjarigen of jongere… Lees verder

Ja, deden ze dat maar – Privacygroep klaagt Amazon, Apple en Netflix aan om schenden AVG

| AE 11085 | Privacy, Regulering | 47 reacties

Privacyorganisatie noyb heeft grote techbedrijven aangeklaagd, omdat die de Algemene verordening gegevensbescherming (AVG) zouden schenden. Dat meldde Nu.nl onlangs. Dat klonk interessant, maar het bleek tegen te vallen: ze hebben gewoon een klacht ingediend bij de Oostenrijkse Autoriteit Persoonsgegevens, in de hoop dat die de techbedrijven Netflix, Amazon, Spotify, YouTube en Apple (en nog een… Lees verder

Deliveroo-bezorgers zijn toch werknemers en geen zzp’ers

| AE 11075 | Ondernemingsvrijheid, Regulering | 26 reacties

Bezorgers die voor Deliveroo maaltijden bezorgen worden door het bedrijf ten onrechte als zzp’ers aangemerkt, oordeelde de rechter in twee zaken die vakbond FNV aanspande. Dat las ik bij Nu.nl vorige week. De bezorgers zijn feitelijk gewoon werknemers en moeten als zodanig behandeld worden; dat Deliveroo ze zzp’er noemt, is daarbij niet relevant (in tegenstelling… Lees verder

200.000 particuliere beveiligingscamera’s in politiedatabase

| AE 11065 | Regulering, Security, Uitingsvrijheid | 19 reacties

De afgelopen jaren hebben bedrijven en particulieren meer dan 200.000 beveiligingscamera’s in een database van de politie laten registreren, las ik bij Security.nl. Het gaat om de database “Camera in Beeld”, die informatie over beveiligingscamera’s in Nederland bevat. Het register stelt de politie in staat om snel camerabeelden te vorderen van strafbare feiten en andere… Lees verder

Wanneer is het aanbieden van een stresstest legaal of juist strafbaar?

| AE 11053 | Ondernemingsvrijheid, Regulering | 4 reacties

De FBI heeft in samenwerking met de High Tech Crime Unit van de Nederlandse politie en het Britse National Crime Agency vijftien websites offline gehaald waar ddos-diensten werden aangeboden. Dat las ik bij Tweakers onlangs. De diensten presenteerden zichzelf als ‘stresstesters’, sites waar je tegen betaling de capaciteiten van je eigen site kunt testen om… Lees verder

Je kunt als zzp’er eindelijk je btw nummer (oftewel je bsn) van je site halen

| AE 11045 | Ondernemingsvrijheid, Regulering | 21 reacties

De Autoriteit Persoonsgegevens heeft de minister van Financiën een verbod opgelegd waardoor de Belastingdienst vanaf 1 januari 2020 niet langer het burgerservicenummer mag gebruiken in het btw-identificatienummer van zzp’ers. Dat meldde Tweakers onlangs. De eis was vele zelfstandig ondernemers een doorn in het oog, omdat het btw-nummer verplicht vermeld moet worden op facturen – maar… Lees verder

Twee verdachten aangehouden voor contactloos zakkenrollen op festival

| AE 11029 | Regulering | 24 reacties

Twee personen zijn zaterdag aangehouden op verdenking van contactloos zakkenrollen op een festival in Deventer, las ik bij Nu.nl. De politie van de stad had dat eerder op Facebook gemeld. Deze vorm van diefstal houdt in dat je met speciale apparatuur rondloopt en die tegen broekzakken van anderen houdt om zo kleine bedragen af te… Lees verder