Mag een vereniging haar leden ongevraagd mailings toesturen?

| AE 11162 | Regulering | 7 reacties

Via Twitter: Databank en nieuwsbrief NOvA Tuchtrecht Updates gelanceerd en verplichte nieuwsbrief. Inderdaad, de Orde van Advocaten verzorgt elke twee weken een nieuwsbrief met tuchtrechtelijke uitspraken, iets waar advocaten ongetwijfeld meer over willen weten. Maar het verbaast wel dat er geen opt-in wordt gevraagd, zomaar nieuwsbrieven sturen is juridisch gezien een tikje twijfelachtig zal ik maar zeggen. Toch denk ik dat er in deze situatie meer mag dan in het algemene geval van “bedrijf wil reclame sturen aan mogelijke klanten”.

De Nederlandse Orde van Advocaten (NOvA) lanceerde onlangs haar website Tuchtrecht Updates, met daarop uitspraken van alle tuchtcolleges voor de advocatuur gerangschikt naar onderwerp, instantie en datum. Daaraan gekoppeld een nieuwsbrief, want:

De NOvA vindt het voor een behoorlijke uitoefening van de praktijk belangrijk dat alle advocaten van deze uitspraken kennisnemen. Alle advocaten ontvangen daarom elke twee weken van Boom Juridisch per e-mail een nieuwsbrief met de meest relevante disciplinaire uitspraken. Zo bent u altijd op de hoogte van de belangrijkste tuchtrechtelijke ontwikkelingen.

Dat gaf dus wat boosheid, want hoezo stuurt men zonder voorafgaande opt-in aan de leden van deze organisatie zomaar nieuwsbrieven?

Of het netjes is, laat ik in het midden maar ik denk dat het juridisch wel mag. De regel dat nieuwsbrieven opt-in vereisen is gebaseerd op artikel 11.7 Telecommunicatiewet (het spamverbod) en dat is nadrukkelijk beperkt tot “ongevraagde communicatie voor commerciële, ideële of charitatieve doeleinden”. Andersoortige communicatie mag ongevraagd worden verstuurd.

Een nieuwsbrief met de laatste aanbiedingen is natuurlijk commerciële communicatie, maar een nieuwsbrief met relevant nieuws voor je vereniging vind ik echt een heel ander verhaal. Zeker als de Orde zich op het standpunt stelt dat je deze informatie gewoon moet weten als advocaat. Dan kom je op het niveau van de aankondiging van de ALV van de schaakvereniging of de melding van Ziggo dat dit weekend het internet eruit gaat voor werkzaamheden (het servicebericht). Daar is echt geen opt-in voor nodig.

Arnoud

Politie mocht iPhone verdachte onder dwang via duim ontgrendelen

| AE 11158 | Regulering, Security | 10 reacties

De politie heeft in een onderzoek naar een phishingbende de iPhone van een verdachte onder dwang via zijn duim mogen ontgrendelen, las ik bij Security.nl. In drie vonnissen besliste de rechtbank Noord-Holland dat deze opsporingstechniek legitiem is, ook nu er geen specifieke wettelijke regeling is. Dat bevestigt de eerdere lijn uit februari waarin ook de Marechaussee dit mocht doen.

In deze zaak ging het om verdenkingen van phishing (juridisch: diefstal in vereniging en oplichting), waarbij de verdachten in voorlopige hechtenis waren genomen. Daarbij werd een iPhone aangetroffen, die de politie wilde ontgrendelen waarvoor de vinger van de verdachte nodig was. Die weigerde dat, waarop de officier besloot dat de verdachte weerspannig was en hem liet boeien, waarna de vinger door een agent op de telefoon werd gezet. Daarna was de telefoon toegankelijk voor onderzoek.

Het juridische probleem hierachter is dat er geen specifieke regels zijn over het doorzoeken van telefoons die als bewijs in beslag zijn genomen. Dat moet eigenlijk wel, omdat dergelijke apparaten tegenwoordig veel persoonlijke informatie bevatten. Om diepgaand te treden in de privacy van een verdachte, is een wettelijke regeling nodig. Denk aan huiszoeking of snuffelen in iemands mailbox.

De Hoge Raad bepaalde in 2017 dat de politie terughoudend moet zijn met telefoondoorzoekingen. Even kijken naar “een gering aantal bepaalde gegevens” bij een concrete aanleiding kan nog net, de gehele telefoon van 0 tot 255 doornemen zou te ver gaan tenzij daar héél zwaarwegende redenen voor zijn. In de praktijk komt dit erop neer dat hoe ernstiger de verdenking, hoe verder men mag kijken.

Leuk en aardig maar als die telefoon niet open gaat, dan houdt al het onderzoek snel op. De laatste jaren is er dan ook veel discussie geweest over hoe de politie een telefoon mag open forceren als ze niet zelf de pincode of andere unlockinformatie kan achterhalen. De vinger op de sensor forceren werd al snel een centraal punt in die discussie. Is dat nu gewoon een vingerafdruk nemen (zoals al sinds jaar en dag gebeurt) of is dit iemand dwingen tegen zichzelf te getuigen?

De lijn die bij dit nemo tenetur-beginsel in mensenrecht-jurisprudentie getrokken wordt, is of de gedwongen actie iets is dat al dan niet onafhankelijk van de wil van de verdachte plaats kan vinden. Hem fotograferen of een vingerafdruk afnemen voor het dossier, is iets dat kan of hij dat nu wil of niet. Zeggen waar het lijk ligt, vereist zijn wil. Je mag in die lijn dan ook wel een verdachte dwingen in de lens te kijken of zijn vinger op een stempelkussen te duwen en daarna op een papiertje, maar niet op een kaart te markeren waar het lijk te vinden is.

Anders dan de situatie waarin verdachte wordt gedwongen de toegangscode van zijn telefoon te geven, hetgeen een verklaring van verdachte vereist, maakt het plaatsen van de duim van verdachte op zijn iPhone naar het oordeel van de rechtbank geen inbreuk op het nemo tenetur-beginsel. Het betreft hier namelijk het dulden van een onderzoeksmaatregel die geen actieve medewerking van verdachte vereist. Daar komt bij dat de vingerafdruk met een zeer geringe mate van dwang is verkregen. Dat met het plaatsen van de duim van verdachte op de iPhone toegang wordt verkregen tot mogelijk wilsafhankelijke en voor hem belastende gegevens, maakt dit naar het oordeel van de rechtbank niet anders.

De rechtbank weegt daarbij mee dat er maar weinig andere mogelijkheden waren, onder meer omdat een telefoon zich na een bepaald aantal pogingen permanent vergrendelt. En de verwachting was zeer groot dat er wat te vinden zou zijn. Dat alles bij elkaar maakt dat het ontgrendelen legitiem wordt geacht.

De uiteindelijk gevonden informatie blijkt vervolgens ook relevant voor de strafzaak. Ik ben dan nog wel benieuwd hoe dit uit zou pakken als blijkt dat de politie verkeerd zat, maar de lijn dat een vinger afdwingen mag, lijkt daarmee wel definitief gezet.

Arnoud

Mag je van de GDPR geen cloud-based office dienst meer inzetten?

| AE 11154 | Privacy, Regulering | 29 reacties

It is currently impossible for Sweden’s public sector to purchase web-based office services (word processing, email and text/video chat) that comply with the European General Data Protection Regulation (GDPR). Dat las ik bij de Open Source Observatory. Men ging af op een studie van de Zweedse National Procurement Services die focust op de impact van de US CLOUD Act, waarmee data vanuit Europa ineens opgevraagd kan worden door Amerikaanse diensten, en dat is dan in strijd met de AVG/GDPR. Dus einde van de cloud-based office in Europa? Nou, niet helemaal.

Er is veel onduidelijkheid over de US CLOUD Act, en dat is niet gek want die wet is er stilletjes en zonder al te veel voorafgaande discussie gekomen middenin het getouwtrek tussen Microsoft en de FBI over afgifte van data bij een Europese dochter van het Office-cloudbedrijf. Kort en goed zegt die wet, niet zeuren maar doen. Afgeven die hap, ook als die in het buitenland staat. Letterlijk (paragraaf 2713):

Electronic communication service providers and remote computing service providers must comply with the obligations of [this Act] to preserve, backup, or disclose the contents of a wire or electronic communication and any record or other information pertaining to a customer or subscriber within such provider’s possession, custody, or control, regardless of whether such communication, record, or other information is located within or outside of the United States.

Zo’n bevel kan aan Microsoft in Redmond, Washington worden gegeven. Die zou dan haar Duitse dochter kunnen opdragen die gegevens door te geven, want je zit nu eenmaal in een concern. Maar dat kan eigenlijk niet, want binnen de regels voor concerns kán een moeder niet direct bevelen wat een dochterbedrijf moet doen. Aandelen geven wel zeggenschap, maar geen bestuursbevoegdheid. Je moet dus het bestuur overtuigen, en dat kan eigenlijk alleen door te zeggen dat je het bestuur eruit gooit als ze niet doen wat je zegt. Dat zou nogal opvallen, en als in de statuten van die dochter ook nog vervelende dingen staan dan wordt dit helemaal een heilloze route.

Meer effect zou je als FBI hebben als je direct die Duitse dochter pakt en zegt, afgeven die hap, strikte geheimhouding en anders Gitmo for you. Maar ook dat wordt dan nog knap ingewikkeld, want dat mág helemaal niet. In de AVG is hier namelijk een specifiek artikel over opgenomen, artikel 48:

Elke rechterlijke uitspraak en elk besluit van een administratieve autoriteit van een derde land op grond waarvan een verwerkingsverantwoordelijke of een verwerker persoonsgegevens moet doorgeven of verstrekken, mag alleen op enigerlei wijze worden erkend of afdwingbaar zijn indien zij gebaseerd zijn op een internationale overeenkomst, zoals een verdrag inzake wederzijdse rechtsbijstand, tussen het verzoekende derde landen en de Unie of een lidstaat, onverminderd andere gronden voor doorgifte uit hoofde van dit hoofdstuk.

Een bevel onder de CLOUD Act voldoet niet aan die omschrijving. (Een rechtshulpverzoek aan de Duitse federale politie natuurlijk wel, maar die toetsen dan naar Duits recht en daar hoort iets meer openbaarheid en toetsing aan grondrechten bij.) Daarmee zou die Duitse dochter dus niet mee mogen werken op straffe van hoge boetes. Een vervelende spagaat; je moet iets afgeven op straffe van hoge boetes of zelfs celstraf, maar je mag het niet afgeven op straffe van minstens zo hoge boetes en dreiging van sluiting van je bedrijf (een verwerkingsverbod). Wat moet je dan doen als directie?

Arnoud

Waarom moeten artsen binnenkort hun BIG nummer op Twitter zetten?

| AE 11150 | Regulering | 19 reacties

Huisartsen en andere zorgverleners zijn verbaasd over de manier waarop ze vanaf 1 april hun registratienummer moeten tonen. Dat las ik bij RTL Nieuws. Als voorbeeld noemen ze dat dit nummer onder meer bij hun Twitter-account moeten staan als ze zich daar als arts bekendmaken. Grote ophef en protest, niet alleen bij artsen maar ook… Lees verder

Hoe belangrijk zijn emoji in een vonnis?

| AE 11142 | Regulering | 11 reacties

Amerikaanse rechtbanken kunnen niet omgaan met emoji (emoticons), las ik bij The Verge. Santa Clara University law professor Eric Goldman heeft onderzoek gedaan naar emoji’s in vonnissen, en zag opvallend vaak dat deze gewoon maar werden weggelaten hoewel ze steeds vaker in zaken een rol spelen. Dat heeft een basale reden, de databanken waar vonnissen… Lees verder

Nederlandse politie wil gebruikmaken van particuliere DNA-databank in VS

| AE 11115 | Privacy, Regulering | 11 reacties

De coldcaseteams van de Amsterdamse en Rotterdamse politie willen de Amerikaanse particuliere DNA-databank GEDmatch inzetten om de identiteit van onbekende doden te achterhalen. Dat meldde NRC gisteren. GEDmatch is een openbare, Amerikaanse databank waarin genetische gegevens van allerlei mensen zitten, en daarin kan iedereen zoeken op potentiële matches. Daarmee is in theorie de mogelijkheid voor… Lees verder

Wanneer is het hebben van een Remote Acces Tool en een Keylogger strafbaar?

| AE 11106 | Regulering, Security | 22 reacties

In december werd een man veroordeeld voor het voorhanden hebben en verspreiden van Blackshades software. De rechtbank merkte dit aan als medeplichtigheid tot computervredebreuk, omdat deze software gebruikt kan worden om een inbraak in andermans computer te vergemakkelijken. Wat diverse lezers ertoe bracht om me te vragen, hoezo is het strafbaar om die software te… Lees verder

Marechaussee mocht onder dwang vingerafdruk afnemen om telefoon te ontgrendelen

| AE 11100 | Regulering | 26 reacties

De Koninklijke Marechaussee mocht onder dwang de vingerafdruk van een verdachte afnemen om zijn telefoon te ontgrendelen, las ik bij Security.nl. De rechtbank Noord-Holland bepaalde dat dit legitiem was bij een verdachte die vorig jaar augustus was aangehouden op Schiphol aangehouden wegens het invoeren van drugs. De verdachte had betoogd dat dit in strijd was… Lees verder

OM vervolgt internetoplichters niet als ze slachtoffers terugbetalen

| AE 11091 | Regulering | 13 reacties

Het Openbaar Ministerie is een proef gestart waarbij internetoplichters niet worden vervolgd als ze hun slachtoffers terugbetalen. Dat las ik bij Security.nl Alleen zogeheten “first offenders” die mensen voor maximaal 300 euro hebben opgelicht komen in aanmerking. “Strafvervolging is van secundair belang”, zo wordt de politie geciteerd. Het gaat namelijk vaak om minderjarigen of jongere… Lees verder

Ja, deden ze dat maar – Privacygroep klaagt Amazon, Apple en Netflix aan om schenden AVG

| AE 11085 | Privacy, Regulering | 47 reacties

Privacyorganisatie noyb heeft grote techbedrijven aangeklaagd, omdat die de Algemene verordening gegevensbescherming (AVG) zouden schenden. Dat meldde Nu.nl onlangs. Dat klonk interessant, maar het bleek tegen te vallen: ze hebben gewoon een klacht ingediend bij de Oostenrijkse Autoriteit Persoonsgegevens, in de hoop dat die de techbedrijven Netflix, Amazon, Spotify, YouTube en Apple (en nog een… Lees verder