Marechaussee mocht onder dwang vingerafdruk afnemen om telefoon te ontgrendelen

| AE 11100 | Regulering | 26 reacties

De Koninklijke Marechaussee mocht onder dwang de vingerafdruk van een verdachte afnemen om zijn telefoon te ontgrendelen, las ik bij Security.nl. De rechtbank Noord-Holland bepaalde dat dit legitiem was bij een verdachte die vorig jaar augustus was aangehouden op Schiphol aangehouden wegens het invoeren van drugs. De verdachte had betoogd dat dit in strijd was met het beginsel dat je niet tegen jezelf hoeft te getuigen, maar de rechtbank vindt dat onterecht.

In Nederland is niet expliciet geregeld dat opsporingsambtenaren vingers mogen zetten op sensors waarmee apparatuur van verdachten wordt ontgrendeld. Er is wel een algemene regel dat vingerafdrukken mogen worden genomen, maar het moet dan eigenlijk gaan om identificatie van de verdachte (art. 27a Strafvordering). Dat is toch wel even iets anders dan een vingerafdruk inzetten om een telefoon te openen. Maar bij een ernstig misdrijf mag er meer (art. 55c):

De foto’s en vingerafdrukken [van de verdachte] kunnen ook worden verwerkt voor het voorkomen, opsporen, vervolgen en berechten van strafbare feiten en het vaststellen van de identiteit van een lijk.

Met enige goede wil is “openen van zijn telefoon” wel te rekenen onder “opsporen van strafbare feiten”, als de data op die telefoon daar deel van uitmaakt, schreef ik in 2013. De rechter lijkt het nu met me eens te zijn, getuige de simpele opmerking dat

Een dergelijk bevel is vergelijkbaar met het (onder dwang) afnemen van vingerafdrukken voor opsporingsonderzoek. Het gaat om biometrisch materiaal wat onafhankelijk van de wil van verdachte bestaat en wat zonder zijn medewerking zou kunnen worden verkregen (…)

Complicatie was nog dat tegen de verdachte was gezegd “geef je pincode of ik forceer je vinger op de telefoon en unlock ‘m zo”. Het vragen om pincodes is wezenlijk anders, dat is wél een getuigenis die je dan vraagt. Het doet raar aan, want je hebt als agent gewoon de bevoegdheid om een vingerafdruk fysiek af te nemen als de verdachte tegenstribbelt. Dus waarom dan vragen om pincodes?

Maar omdat hier het ontgrendelen met de vinger wél legaal mogelijk was, ziet de rechtbank deze vraag niet als een verplichting om te getuigen tegen jezelf. Zeg maar hetzelfde als “zeg waar de huissleutel ligt of ik knal de deur open met deze stormram”.

Arnoud

OM vervolgt internetoplichters niet als ze slachtoffers terugbetalen

| AE 11091 | Regulering | 13 reacties

Het Openbaar Ministerie is een proef gestart waarbij internetoplichters niet worden vervolgd als ze hun slachtoffers terugbetalen. Dat las ik bij Security.nl Alleen zogeheten “first offenders” die mensen voor maximaal 300 euro hebben opgelicht komen in aanmerking. “Strafvervolging is van secundair belang”, zo wordt de politie geciteerd. Het gaat namelijk vaak om minderjarigen of jongere meerderjarigen. Een lezer vroeg me daarop: mag dat wel, dat het OM er zo voor kiest om daders van strafbare feiten eigenlijk zonder enige echte consequentie weg te laten komen?

De bedragen waarvoor mensen zijn opgelicht door deze ‘beginners’ variëren van enkele tientjes tot maximaal zo’n 300 euro, dus je zou kunnen zeggen dat het om relatief kleinschalige criminaliteit gaat. Het is dan de vraag een heel strafrechtelijk traject wel de moeite waard is, gezien ook de te verwachten straf die de rechter aan het eind zou opleggen. Worden we daar beter van als maatschappij? En zo niet, is dan niet een alternatief beter waarbij je zegt, geld terugbetalen en we houden je in de gaten vriend?

En ja, zoiets mag het Openbaar Ministerie beslissen. Het OM heeft grote beleidsvrijheid in besluiten wie ze wel of niet vervolgt en welke straf ze dan eist. Dit heet het opportuniteitsbeginsel, en het basisidee is dat het OM zelf moet afwegen waar de beste plek is waar het zware middel van het strafrecht wordt ingezet, gezien de beperkte middelen die men nu eenmaal heeft.

Die vrijheid wordt in de praktijk vertaald naar zogeheten aanwijzingen, waar individuele officieren op kunnen varen. De op deze blog het meest voorbij komende Aanwijzing is die van IE-fraude, en deze komt er kort gezegd op neer dat je niet vervolgt behalve bij georganiseerde misdaad of dreigingen voor de volksgezondheid (nepmedicijnen, zeg maar). Zo’n aanwijzing is bindend: het OM mag er niet van afwijken als ze iemand vervolgt.

Ik moet zeggen dat ik deze aanpak creatief en nuttig vind. Vooral vanwege het argument in Tubantia dat natuurlijk ook na een veroordeling slachtoffers hun geld kunnen terugkrijgen, maar dat dat héél lang duurt en je zeker niet weet of het geld er nog is na zo’n traject. Het voelt ergens verkeerd dat je daders vervolgens laat gaan, maar in deze specifieke situatie kan ik dat billijken.

Arnoud

Ja, deden ze dat maar – Privacygroep klaagt Amazon, Apple en Netflix aan om schenden AVG

| AE 11085 | Privacy, Regulering | 47 reacties

Privacyorganisatie noyb heeft grote techbedrijven aangeklaagd, omdat die de Algemene verordening gegevensbescherming (AVG) zouden schenden. Dat meldde Nu.nl onlangs. Dat klonk interessant, maar het bleek tegen te vallen: ze hebben gewoon een klacht ingediend bij de Oostenrijkse Autoriteit Persoonsgegevens, in de hoop dat die de techbedrijven Netflix, Amazon, Spotify, YouTube en Apple (en nog een paar) gaat aanpakken. Dat is een loffelijk streven en daar hebben we die toezichthouders ook voor, maar echt opschieten doet het niet. Ik had zo graag gehad dat ze zélf een rechtszaak waren begonnen. Want ik geloof er heilig in dat private handhaving de toekomst van de AVG gaat worden.

De kracht van een wet zit hem altijd in de handhaving. De hele reden dat iedereen zo hard is gaan rennen vanwege de AVG, is omdat men vreesde voor hoge boetes die door actieve toezichthouders zouden worden opgelegd. En de AVG kent natuurlijk megaboetes, daar is iedereen het over eens. Maar mijn grote zorg is altijd geweest dat de handhaving zeer beperkt zou zijn, zodat voor kleinere bedrijven de sfeer zou ontstaan van “wij worden niet gepakt” / “dit gaat over megabedrijven”.

Gelukkig zie ik langzaam maar zeker wat handhaving, zoals de Fransen die Google aanpakken met een boete van 50 miljoen voor de vaagtaal in hun privacyverklaring (“onze verscheidenheid aan diensten verwerkt diverse persoonsgegevens op allerlei manieren om uw gebruikservaring te optimaliseren”). In Nederland laat de AP zich ook zien met steekproefonderzoeken in de private sector. Maar het blijft mondjesmaat, en ik denk dat dat onvermijdelijk is bij handhaving door de overheid. Massale handhaving (de 100% controle) zie je eigenlijk nergens.

De AVG kent echter nog een ander mechanisme, dat behoorlijk onderbelicht is gebleven. Op grond van artikel 79 AVG mag iedere betrokkene een rechtszaak starten tegen een onrechtmatig gebruik van zijn persoonsgegevens, en daarbij zelfs schadevergoeding (artikel 82 AVG) eisen. Het praktische probleem daarbij is natuurlijk dat de kosten van een rechtszaak snel op kunnen lopen, en dat er op dit moment geen duidelijkheid is wat die schade dan in Euro’s zou moeten zijn. Er zijn nog geen richtsnoeren voor privacyschendingen op dat gebied.

Er is echter nóg een mechanisme waardoor dit interessanter gaat worden: artikel 80 AVG stelt de mogelijkheid voor massaclaims open, door organisaties die consumenten vertegenwoordigen op een bepaald gebied. Precies, zoals noyb dus. Zij mogen namens betrokkenen naar de rechter, en kunnen daarbij massa-schadeclaims indienen “indien het lidstatelijke recht daarin voorziet”. En dat kan zelfs zonder specifieke opdracht of mandaat van die betrokkenen, als het nationaal recht daarin voorziet.

In Nederland is het op dit moment zo dat een belangenorganisatie geen schadevergoeding kan eisen in een massaclaim (art. 3:305a BW). Daar wordt al jaren aan gesleuteld, zonder al te veel succes. De angst bij bedrijven voor massaclaims is natuurlijk groot, dus het lobbywerk heeft de mogelijkheden hier fors ingeperkt. Ik zie in de AVG echter meer ruimte voor zo’n organisatie, en omdat de AVG boven nationaal recht gaat, is dat lobbywerk misschien eenvoudig te passeren. Daarmee zou de weg vrij zijn voor een AVG-claimclub die namens consumenten (maar zonder aparte machtiging per consument) grote bedragen gaat halen.

Mijn stellige overtuiging is dat zodra er een paar van die clubs een actie starten, we vrij snel duidelijkheid krijgen over wat de schade van gebruik van een persoonsgegeven zou moeten zijn. En zelfs al is dat maar tien euro voor basale gegevens, een claim voor een miljoen van die gegevens loopt toch snel op. Ik zou als bedrijf héél wat zenuwachtiger worden van een private organisatie die tien miljoen wil komen halen, dan van een toezichthouder die dreigt met een boete van datzelfde bedrag.

Arnoud

Deliveroo-bezorgers zijn toch werknemers en geen zzp’ers

| AE 11075 | Ondernemingsvrijheid, Regulering | 26 reacties

Bezorgers die voor Deliveroo maaltijden bezorgen worden door het bedrijf ten onrechte als zzp’ers aangemerkt, oordeelde de rechter in twee zaken die vakbond FNV aanspande. Dat las ik bij Nu.nl vorige week. De bezorgers zijn feitelijk gewoon werknemers en moeten als zodanig behandeld worden; dat Deliveroo ze zzp’er noemt, is daarbij niet relevant (in tegenstelling… Lees verder

200.000 particuliere beveiligingscamera’s in politiedatabase

| AE 11065 | Regulering, Security, Uitingsvrijheid | 19 reacties

De afgelopen jaren hebben bedrijven en particulieren meer dan 200.000 beveiligingscamera’s in een database van de politie laten registreren, las ik bij Security.nl. Het gaat om de database “Camera in Beeld”, die informatie over beveiligingscamera’s in Nederland bevat. Het register stelt de politie in staat om snel camerabeelden te vorderen van strafbare feiten en andere… Lees verder

Wanneer is het aanbieden van een stresstest legaal of juist strafbaar?

| AE 11053 | Ondernemingsvrijheid, Regulering | 4 reacties

De FBI heeft in samenwerking met de High Tech Crime Unit van de Nederlandse politie en het Britse National Crime Agency vijftien websites offline gehaald waar ddos-diensten werden aangeboden. Dat las ik bij Tweakers onlangs. De diensten presenteerden zichzelf als ‘stresstesters’, sites waar je tegen betaling de capaciteiten van je eigen site kunt testen om… Lees verder

Je kunt als zzp’er eindelijk je btw nummer (oftewel je bsn) van je site halen

| AE 11045 | Ondernemingsvrijheid, Regulering | 21 reacties

De Autoriteit Persoonsgegevens heeft de minister van Financiën een verbod opgelegd waardoor de Belastingdienst vanaf 1 januari 2020 niet langer het burgerservicenummer mag gebruiken in het btw-identificatienummer van zzp’ers. Dat meldde Tweakers onlangs. De eis was vele zelfstandig ondernemers een doorn in het oog, omdat het btw-nummer verplicht vermeld moet worden op facturen – maar… Lees verder

Twee verdachten aangehouden voor contactloos zakkenrollen op festival

| AE 11029 | Regulering | 24 reacties

Twee personen zijn zaterdag aangehouden op verdenking van contactloos zakkenrollen op een festival in Deventer, las ik bij Nu.nl. De politie van de stad had dat eerder op Facebook gemeld. Deze vorm van diefstal houdt in dat je met speciale apparatuur rondloopt en die tegen broekzakken van anderen houdt om zo kleine bedragen af te… Lees verder

Australisch parlement stemt in met omstreden ‘anti-encryptiewet’

| AE 11020 | Regulering | 18 reacties

De Australische senaat heeft donderdag ingestemd met de omstreden wet die techbedrijven zoals Apple en Facebook verplicht om mee te werken bij het ongedaan maken van encryptie bij het onderscheppen van communicatie. Dat meldde Tweakers vorige week. De wet is omstreden omdat in het Angelsaksische rechtsgebied het doorbreken van encryptie door opsporingsdiensten als controversieel geldt,… Lees verder

Leerling van school gestuurd na pesten van leraren op Instagram

| AE 11002 | Regulering | 39 reacties

Het Frits Philips lyceum heeft een leerling van school gestuurd naar aanleiding van een ‘meme-account’ op Instagram, las ik bij Omroep Brabant. “Memes zijn foto’s of heel korte video’s die vaak gaan over herkenbare situaties of grappen bevatten”, zo voegt men voor de duidelijkheid toe. De term ‘grap’ is hier – zoals wel vaker bij… Lees verder