De strafbaarheid van gestolen naaktfoto’s

simpsons-cloud-diefstal-data-fotoNooit gedacht dat ik ooit ‘fap’ in een juridische blog zou gebruiken, maar vooruit. De Amerikaanse FBI onderzoekt de diefstal van naaktfoto’s van tientallen actrices en artiesten in de Verenigde Staten, meldde Tweakers. De foto’s zouden zijn ontvreemd na inbraken op Apple’s iCloud en aangeboden op de beruchte site 4chan. Hetgeen aanleiding gaf voor allerlei figuren om dit “The Fappening” te noemen. Ondertussen wordt er hard opgetreden en vele forums zijn bezig links en foto’s te verwijderen.

In Nederland hebben we een aantal jaren terug iets vergelijkbaars meegemaakt. In deze zaak had iemand privéfoto’s van een televisiepresentatrice gekopieerd en verspreid na inbraak op haar thuisnetwerk. Hij kreeg hiervoor een werkstraf en 3.000 euro boete, hoewel de Hoge Raad uiteindelijk de zaak gedeeltelijk ongeldig verklaarde omdat er onjuist was gedagvaard.

Dat het verkrijgen van die foto’s strafbaar is, lijkt me niet echt een discussie. Ook niet als het bleek te gaan om misbruik van een zwak wachtwoord – voor computervredebreuk is niet nodig dat je een sterke beveiliging omzeilt of hele ingewikkelde dingen doet.

Het publiceren van deze foto’s is evenzo strafbaar. Dit levert namelijk op “het openbaar maken van een portret zonder daartoe gerechtigd te zijn” (art. 30 Auteurswet). En natuurlijk kun je ook als slachtoffer een schadeclaim indienen (onrechtmatige daad, schending van portretrecht) wanneer zo’n privéfoto wordt gepubliceerd.

Ik zie diverse persmedia de beelden publiceren, vermoedelijk vanuit het idee dat dit hoort bij hun taak van het publiek informeren over het nieuwsfeit dat die foto’s gestolen zijn. Maar als het gaat om gestolen privéfoto’s dan is de rechtspraak streng: er is eigenlijk géén nieuwsbelang te bedenken dat rechtvaardigt dat je die foto publiceert. Dat weten we bijvoorbeeld uit deze zaak waarin de digitale camera van prinses Maxima gestolen werd. Dat nieuwsfeit melden mocht (natuurlijk) maar wat foto’s uit die camera erbij diende geen algemeen belang.

Maar mag je ze hebben op je eigen computer, in het kader van je deelname aan The Fappening of gewoon uit nieuwsgierigheid? Dat is een lastige. Momenteel is het niet strafbaar om digitale gegevens te bezitten die uit misdrijf zijn verkregen. Digitale heling is dus niet strafbaar. In het nieuwe wetsvoorstel computercriminaliteiter zal dit veranderen: er komt tot een jaar cel te staan op het verwerven of voorhanden hebben van “niet-openbare gegevens” wanneer je wist of redelijkerwijs had moeten vermoeden dat deze door misdrijf zijn verkregen (nieuw art. 139f Strafrecht). Echter:

Degene die door misdrijf verkregen gegevens via het internet openbaar maakt is op grond van deze bepaling strafbaar, maar niet de persoon die via het internet openbaar gemaakte gegevens download. Zonder deze beperking zou het van het internet downloaden van gegevens die eerder door misdrijf zijn verkregen en door een ander zijn geupload in het algemeen strafbaar worden.

Wel is er een apart lid dat bepaalt dat als je het eenmaal weet en je ze uit winstbejag bewaart of gaat gebruiken (ahem) je alsnog strafbaar bent. Denk aan bedrijfsgeheimen die je downloadt van pastebin en daarna gebruikt om je eigen bedrijf te verbeteren.

En toch nog even een vraag voor de “vrijheid van meningsuiting/informatievrijheid staat voorop”-mensen: mogen deze foto’s nu eeuwig online blijven, nu ze ondertussen effectief publiek zijn geworden? Er zijn vertoningen op televisie geweest, diverse kranten hebben foto’s afgedrukt en ga zo maar door. Of mag in dit geval misschien de privacy het toch winnen?

Arnoud

Microsoft vecht bevel tot afgifte Europese e-mails aan

Microsoft gaat in beroep tegen een rechterlijk bevel om e-mails van Europese gebruikers te overhandigen aan de Amerikaanse overheid, las ik bij Webwereld. In april had de Amerikaanse Justitie een bevel gegeven aan de Amerikaanse moeder tot afgifte van mails opgeslagen bij Microsofts Ierse dochtermaatschappij. Het bevel wordt nu door de rechtbank bevestigd, maar Microsoft gaat dus in hoger beroep.

Wie rechtsmacht heeft in de cloud, blijft een lastige vraag. Het lijkt logisch uit te gaan van waar de servers staan, maar dan wordt het met de flexibiliteit van de cloud wel erg makkelijk om van jurisdictie naar jurisdictie te hoppen.

Kijken waar het bedrijf gevestigd is, is dan misschien beter. Maar hoe ga je dan om met buitenlandse dochters? Het doet gek aan dat je die niets zou mogen vragen terwijl ze toch net zo goed deel van het binnenlandse bedrijf zijn.

Binnen het Amerikaanse strafrecht komt deze vraag neer op de vraag hoe je een cloudmailopeising moet kwalificeren: een doorzoeking of een opvraging? Dit zijn grofweg de twee manieren om als Justitie iets te pakken te krijgenL langsgaan of het laten brengen.

Als je het ziet als een doorzoeking, dan is het bevel onterecht: Amerikaanse Justitie of politie mag geen buitenlandse panden doorzoeken, ook niet als ze eigendom zijn van een Amerikaan. Maar als je het ziet als een opeising dan mag het wel: een Amerikaan kan worden gedwongen naar zijn buitenlandse huis te gaan en daar iets op te halen als dat nodig is voor een strafrechtelijk onderzoek.

De rechtbank bevestigt nu dat ze lezing twee hanteert. Microsoft mag de mail dus gaan halen – of kan het haar dochter laten brengen, dat is om het even.

Het is goed dat Microsoft in beroep gaat, want dit maakt het wel érg makkelijk om wereldwijd dingen op te eisen die digitaal opgeslagen staan. Hoewel ik niet meteen een juridisch argument weet tegen het feit dat data geen pand is en dus wel een ding moet zijn, oftewel iets dat opeisbaar is in plaats van doorzoekbaar.

Arnoud

Kabinet wil notice/takedown van extremistische uitingen opvoeren

Het kabinet wil verspreiding van online radicaliserende, haatzaaiende, gewelddadige jihadistische informatie tegengaan, maakte men vorige week bekend. Onderdeel daarvan is een specialistisch team dat notice/takedownbevelen gaat geven aan tussenpersonen zoals Facebook. “Ook maakt het team afspraken met internetbedrijven over effectieve blokkeringen.”

Onder de huidige wet is het mogelijk een bevel tot verwijdering te geven van een strafbare uiting (art. 54a Strafrecht). Wel vereist dit een machtiging van de onafhankelijke rechter-commissaris – de Nederlandse variant op wat in de VS een “gerechtelijk bevel” heet. Er is dus géén rechtszaak nodig waarin de tussenpersoon of de plaatser gehoord hoeft te worden.

Het persbericht lijkt te suggereren dat men het eerst vrijwillig wil vragen. Er is immers een notice/takedown gedragscode waar diverse internetbedrijven zich aan hebben gecommitteerd (al kan ik geen lijst vinden) en via die code mag iedereen vragen of iets weggehaald kan worden als het evident onrechtmatig is.

Iedereen? Nou ja bijna iedereen: volgens mij mag de politie echt niet vrijwillig vragen. Bevoegdheden van politie en Justitie zijn wettelijk geregeld, en alles dat men doet moet te herleiden zijn tot een bevoegdheid. En omgekeerd, als iets te herleiden is tot zo’n bevoegdheid dan móet men die gebruiken.

Inclusief de bij die bevoegdheid opgenomen grenzen. Dat is namelijk het punt: in de wet zijn waarborgen opgenomen, en die kun je dan niet zomaar passeren door het “vrijwillig vragen” te noemen. Zeker als je bedenkt dat veel mensen niet weten wanneer de politie iets vraagt en wanneer ze iets beveelt, of hoe je effectief “nee” kunt zeggen als de ondertoon is “dan komen we terug met een bevel en gaat je hele tent op z’n kop, plus je riskeert dan zelf vervolgd te worden”.

In het wetsvoorstel computercriminaliteit III werd overigens in eerste instantie voorgesteld die toets door de rechter-commissaris te schrappen. Maar de tekst zoals die er nu ligt, vereist wél (in nieuw art. 125p Sr) een machtiging van de rechter-commissaris.

Ik heb geen idee van hoe zeer Facebook of Twitter onder de indruk zal zijn van een Nederlands bevel.

Arnoud

Inbeslagname van criminele bitcoins

bitcoin-cc-by-sa-flickr-zach-copleyIn de jacht op crimineel verkregen vermogen heeft het Openbaar Ministerie (OM) er een nieuw wapen bij, meldde het AD onlangs. Men kan bitcoins in beslag nemen als deze door criminele activiteiten verkregen zijn. Er was altijd twijfel of dat wel mocht, maar het OM heeft ondertussen drie gerechtelijke uitspraken verkregen waarin dit werd toegestaan. Daarmee is je criminele geld verstoppen in bitcoins geen optie meer. Maar hee, data was toch “niets”, juridisch gezien?

Ik zeg regelmatig dat data niets is inderdaad. En elke keer zegt er dan iemand dat daar wel wat nuances aan zitten. Oké oké, dat is ook terecht. Helemaal als je het hebt over strafrecht versus civiel recht. Negentig procent van de blogs en discussies hier gaat over civiel recht – tussen burgers onderling. Strafrecht is echt een heel ander beest, Linux versus Windows zeg maar. Soms lijken dingen op elkaar of werken ze ongeveer hetzelfde maar dat is meer toeval dan design.

Eén van die dingen die in het strafrecht echt anders werken is wanneer iets een ‘voorwerp’ is, een item dat gestolen of door misdrijf verkregen kan worden. We weten uit het Runescape-arrest dat dit kan met virtuele goederen in online spellen en dergelijke. Dit zegt alleen niets over de status van dat iets in het civiele of burgerlijke recht. Het is dus niet zo dat virtuele goederen dankzij deze uitspraak in eigendom gehouden kunnen worden, civielrechtelijk. Ga je scheiden, dan hoef je dus niet je World of Warcraft-bezit in de boedelscheiding te betrekken.

Bij de Runescape-uitspraak was het kerncriterium dat de virtuele goederen ‘verplaatsbaar’ waren: slechts één persoon kon ze tegelijk bezitten, kopiëren is niet mogelijk. En ze vertegenwoordigden waarde. Die criteria gaan wat mij betreft net zo hard op voor bitcoins, dus bitcoins zijn te stelen. En in beslag te nemen, want daarbij geldt dezelfde eis – het moet een voorwerp zijn, een ding.

In het strafrecht dus – dit maakt bitcoins nog geen voorwerpen, geen zaken zoals het civiel recht dat noemt. De status van bitcoins in het civiel recht is nog onduidelijk. Het is geen geld in ieder geval. Zaken (fysieke dingen waar je eigenaar van kunt zijn) lijken het ook niet te zijn. Je moet er belasting over betalen maar dat is gebaseerd op de waarde van de bitcoins en niet op het eigendom/bezit daarvan.

Wie die bitcoinbeslagvonnissen heeft, ik hoor graag van je. Het is erg frustrerend dat dergelijke vonnissen niet standaard online komen.

Arnoud

Hoe bewijs je van wie een bommelding afkomstig is?

webmail-mail-email-valsBewijs leveren over wat er langs digitale weg is gebeurd, is niet eenvoudig. Het is heel simpel om tooltjes en webdiensten in te zetten zoals proxies, waardoor bijvoorbeeld een e-mail met een bommelding niet snel tot de dader te herleiden is. Met dit probleem zag ROC De Sumpel zich in juni vorig jaar geconfronteerd: men ontving e-mails met de melding dat het pand de volgende dag met twee bommen zou worden opgeblazen. Het IP-adres liep dood bij een online maildienst waar je zelf je afzenderadres mag invullen. Wat nu?

Uit het vonnis wordt helaas niet precies duidelijk hoe men bij de verdachte is uitgekomen die uiteindelijk voor de strafrechter mocht verschijnen. Het lijkt erop dat men is nagegaan wie de schoolwebsite heeft bezocht, en bij de hoster van de e-maildienst heeft nagevraagd of deze IP-adressen ook zijn gebruikt voor het versturen van de dreigmails. Dat voelt een tikje kort door de bocht, hoewel het wel een creatieve is want wie wil gaan dreigmailen, wil waarschijnlijk eerst even het e-mailadres van de school opzoeken.

Er bleek slechts één IP-adres te zijn dat op de bewuste datum de contactpagina van de school bezocht had. Vervolgens heeft het hostingbedrijf bevestigd dat dit IP-adres via de e-maildienst van hun klant is gebruikt, en dat IP-adres bleek aan een leerling van de school te koppelen. Genoeg reden om eens met deze heer te gaan praten, lijkt me.

Deze kwam echter met een verklaring: een kennis had met zijn toestemming met het programma ‘TeamViewer’ de besturing van zijn computer overgenomen en zo de e-mailberichten geschreven en verstuurd. Giecheltoets, anyone? Zeker omdat hij pas tijdens de zitting met die verklaring komt. Dat lijkt dan niet echt geloofwaardig meer. Nog afgezien van wie anderen laat teamviewen op zijn computer en toelaat dat die dan dreigmails gaat sturen.

Hoewel? Tijdens het verhoor kwam hij met het verhaal dat een kennis met “zijn VPN” de mails had verstuurd. Teamviewer is geen VPN maar beide verhalen wijzen erop dat hij iemand anders via zijn IP-adres een bericht liet sturen. Ook zie ik opmerkingen over TOR voorbij komen. Dus is dit nu een consequent verhaal waarbij de ICT-details vermangeld zijn in de juridische procedure, of verzon hij hier ter plekke smoesjes om een onbekende derde naar voren te kunnen schuiven?

De rechtbank is niet overtuigd: de verdachte krijgt 240 uur taakstraf plus drie maanden voorwaardelijke celstraf.

Arnoud

Computers mogen toch wel boetes uitschrijven?

Boetes voor onverzekerde voertuigen die geautomatiseerd worden opgelegd, zijn niet per se onrechtmatig, meldde de NOS vrijdag. Het Hof Arnhem-Leeuwarden bepaalde dit in vervolg op een arrest waar ik in februari over blogde. Bij een man was geautomatiseerd vastgesteld dat zijn bromfiets onverzekerd zou zijn, waarna een boete door verbalisant ‘404040’ werd opgelegd. Omdat dat verwees naar een computer, was dat te weinig om dit te mogen doen. Omdat het OM nu heeft uitgelegd hoe het werkt, mag het wel.

In februari werd de boete voor het onverzekerd zijn van de bromfiets nog afgewezen met het argument dat niet kon worden vastgesteld dat de boete door een bevoegd ambtenaar werd opgelegd. Het systeem kwam niet verder dan “verbalisant 404040” en dat was de computer van het CJIB.

In reactie daarop komt het OM nu met nadere toelichting. Bevoegd ambtenaren moeten de sanctie opleggen, maar in de wet staat dat de gedraging waar de sanctie op staat, ook “op geautomatiseerde wijze” mogen vaststellen. Dus niet zelf zien maar op een computerfoto. En bij de RDW-verzekeringscontrole werkt dat zo. De computer van de RDW zoekt kentekens na, en als deze niet in het juiste bestand staan dan wordt dit doorgegeven aan het CJIB. Het CJIB verstuurt dan volautomatisch een beschikking.

Mag dat? Eh ja, zegt het Hof enigszins tot mijn verbazing. Er is ergens bij het CJIB een bevoegd ambtenaar aanwezig, maar die beslist niet per geval dat de boete juist is opgelegd. Alleen, dat hoeft niet, zo constateert het Hof nu na de wetsgeschiedenis er nog eens op nageplozen te hebben:

Anderzijds kan uit de totstandkomingsgeschiedenis van artikel 3, tweede lid, WAHV evenmin worden afgeleid dat bij de sanctieoplegging geen gebruikt mag worden gemaakt van de mogelijkheden die de automatisering biedt en dat de aangewezen ambtenaar, nadat op geautomatiseerde wijze een gedraging is vastgesteld, afzonderlijk en individueel moet beslissen of een sanctie wordt opgelegd.

Verder is het zo dat er in de praktijk eerst een tussenstap wordt genomen: je krijgt een brief dat je onverzekerd bent. Reageer je, dan gaat er (zo zegt het CJIB) een mens naar je dossier kijken en wordt dán pas besloten. Door die mens. Zo worden de bijzondere situaties opgevangen.

Vorige keer vroeg ik me af: is het echt wenselijk dat we blijven zitten bij alles handmatig door Bromsnor laten afhandelen, en maar hopen dat die het goed ziet, fair is naar iedereen, nooit vermoeid het verkeerde nummer noteert en vooral altijd netjes blijft werken? Dat gaf veel reacties, met name over de zorg van correct geprogrammeerd zijn van het systeem maar ook de flexibiliteit van de mens: een computer snapt bijzondere gevallen niet.

Aan die zorg komt het systeem tegemoet – je mag piepen en dan kijkt er iemand naar. Dat is een oplossing, maar vereist wel dat de burger de wet kent en weet wat ertegen te doen is. En dat vind ik niet fair – het zou de overheid moeten zijn die weet wat de wet is en geen onjuiste boetes uitschrijft. Bezwaarschriften zouden een uitzondering moeten zijn voor de absoluut niet te voorziene situaties.

Alleen: alles handmatig doen werkt niet meer, met deze aantallen boetes. Dus hoe moet het dan wel?

Arnoud

Mag de politie een Blackshades-command en control server hacken?

blackshadesHet Team High Tech Crime van de Nederlandse politie is een server van Blackshades binnengedrongen en heeft op die manier informatie veiliggesteld, meldde Nutech onlangs. Dit in het kader van een strafrechtelijk traject tegen de beheerders, waarbij ook invallen in 34 Nederlandse huizen werden gedaan. Hoogst opmerkelijk, want er is nog steeds geen wettelijke grondslag voor het binnendringen van servers door de politie.

Blackshades is een remote access tool dat als malware wordt verspreid om zo op afstand geïnfecteerde computers te kunnen overnemen. Eén van de features is het gijzelen van bestanden totdat er wordt betaald, een steeds populair wordende truc.

Om dergelijke netwerken te kunnen beheren, zijn zogeheten command & control servers nodig. En het Team High Tech Crime wist toegang te krijgen tot deze servers, ongeveer zoals ze deden in 2010 met het Bredolab-netwerk.

Er was toen veel discussie of dat wel mag eigenlijk, hackende politie. Het idee is namelijk dat de politie niets mag, tenzij dit wettelijk geregeld is. (En nou ja, kleine dingen die de grondrechten van de burger niet raken zijn toegestaan in artikel 3 Politiewet). En nergens in de wet staat dat ze in mogen breken in een c&c server van een criminele botnetbeheerder.

Er ligt al een tijdje een wetsvoorstel Computercriminaliteit III waarin expliciet een dergelijke bevoegdheid opgenomen is:

1. In geval van verdenking van een [ernstig misdrijf] kan de officier van justitie, indien het onderzoek dit dringend vordert, bevelen dat een opsporingsambtenaar als bedoeld in artikel 141, onder b, of een buitengewoon opsporingsambtenaar als bedoeld in artikel 142, eerste lid, onder b, binnendringt in een geautomatiseerd werk of een daarmee in verbinding staande gegevensdrager, bij de verdachte in gebruik, en met een technisch hulpmiddel onderzoek doet …

De Memorie van Toelichting noemt dit een “nieuwe bevoegdheid voor opsporingsambtenaren”. En dat geeft gelijk een leuk juridisch argument: als het in een nieuwe wet toegestaan wordt, dan is het onder de huidige dús niet toegestaan.

In het Nutech-artikel wordt gemeld dat de rechter-commissaris hiervoor een machtiging heeft afgegeven. Leuk, maar onder welk artikel dan? Ik kan niet bedenken welk wetsartikel men hiervoor zou inzetten. Hooguit het in beslag nemen van de server en deze dan doorzoeken. Dat mag al, hoewel je dan wel fysiek de server mee moet kunnen nemen. En dat is volgens mij niet gebeurd.

We hebben het hier al over gehad maar zou het een goed idee zijn, zo’n hackbevoegdheid?

Arnoud

GSM-tracker onder iemands auto hangen is aftappen van GSM-masten, wtf?

haicom-tracker-gps-gsmSoms gaan mijn juridische tenen echt zó krom staan bij het lezen van een vonnis, dat wil je niet weten. In een vonnis van medio april werd een man strafrechtelijk veroordeeld voor het inzetten van een “heimelijk geplaatst track&trace-systeem” dat hij onder iemands auto had gehangen.

De man had eind 2012 een Haicom GPRS tracker gekocht, een GPS/GSM-combinatie die zijn locatie periodiek doorbelt zodat live tracking van waar het apparaat zich bevindt, mogelijk wordt. Hij had dit apparaat bevestigd onder de auto van een ander, met als doel te achterhalen waar deze ander zijn boot had verstopt. Ik neem aan door te zien waar die meneer heenrijdt en dan na te gaan of dat een loods voor een boot is.

Toen de eigenaar het ding ontdekte, deed hij aangifte waarna de plaatser werd vervolgd. Maar er is in het strafrecht geen artikel dat het wederrechtelijk continu vaststellen van iemands locatie verbiedt. Nou ja misschien stalken, het opzettelijk en wederrechtelijk stelselmatig inbreuk maken op iemands persoonlijke levenssfeer. Maar dat was niet ten laste gelegd. Dus wat nu?

De officier had artikel 139d Strafrecht van stal gehaald. Volgens dit artikel is het strafbaar om een gesprek, telecommunicatie of andere gegevensoverdracht af te tappen of op te nemen als je daar niet toe bevoegd bent. Oké, maar welke gesprekken of telecommunicatie worden (wordt? Ruud, help) er afgeluisterd als je een GPS/GSM-tracker plaatst?

Je wilt misschien je schoenen uitdoen als je ook last hebt van krommende juridische tenen, want dit is dan wat de rechtbank zegt:

Door een SIM-kaart in het track&trace-systeem te plaatsen heeft verdachte dit systeem zodanig ingericht dat hij door middel van een geautomatiseerd werk, te weten een computer, via de door de leverancier meegeleverde software kon inloggen en vervolgens kon beschikken over de gegevens die via gsm-masten werden overgedragen.

Oftewel: er wordt wederrechtelijk telecommunicatie met de GSM mast afgetapt. Meneer krijgt via een GSM (gprs) verbinding data binnen over de locatie van een GPS-apparaat, en dat mag niet. Want, eh, ja want. Want. Ja. Eh.

De rechtbank is van oordeel dat in het onderhavige geval het door middel van een geautomatiseerd werk (computer) oproepen van alle door het technisch hulpmiddel (track&trace-systeem) opgevangen signalen uit de ether (interceptie) dient te worden aangemerkt als aftappen.

Want ja eh dat is aftappen. Hùh.

Ik snap hier werkelijk niets van. De GSM-communicatie is legaal, want meneer heeft zelf de SIM-kaart gekocht en het abonnement (prepaid?) geactiveerd. Dat men vervolgens ongewenste/ongepaste/strafbare data over die verbinding transporteert, maakt het nog geen áftappen van die verbinding. Net zo min als wanneer ik een strafbare uiting per mail verzend.

Als je zegt, maar hij mócht die GPS-data niet overdragen: prima, maar waar staat dat in de wet? Plus, dan nog tápt hij deze niet. Dat gaat inherent over het meeluisteren/meekijken bij andermans dataoverdracht.

Dus nee. Hier klopt echt weinig van. (Ik denk wel dat dit soort track&trace strafbaar is, maar dan als stalking dus.) Het voelt als, dit moet niet legaal zijn dus laten we de wet zo uitleggen dat het niet legaal is. En dat is écht verkeerd.

Waarmee niet gezegd is dat de rechtbank de ballen verstand heeft van techniek – ze weten er meer van dan de politie want die schrijft consequent “gsp” als ‘ie “gps” bedoelt. Maar dat terzijde.

Arnoud

Amerikaanse rechter claimt rechtsmacht over data op Europese Microsoft-servers

cloud-flag-usaEen Amerikaanse rechter heeft bepaald dat Microsoft data moet afgeven aan Justitie, ondanks het feit dat die data op een server in Ierland staat en onder beheer is van Microsofts Ierse dochter. Dat meldde Slashdot gisteren. Microsoft had de search warrant aangevochten met de stelling dat de Ierse dochter buiten Amerikaanse jurisdictie valt, maar de rechter bepaalt nu dat dit geen relevant argument is bij clouddatavorderingen.

Het gelinkte Reuters-artikel legt uit dat het ging om e-maildata van een klant die op servers in Ierland stond. Deze servers worden beheerd door Microsofts Ierse dochter. Toen het moederbedrijf het bevel kreeg deze data af te geven, stapte men naar de rechter – zoals het bedrijf al meerdere malen had gemeld te zullen doen, in een poging angst over wereldwijd Patriotactdatagraaien bij Europese bedrijven en instellingen weg te nemen.

Het argument van Microsoft was gestoeld in twee eeuwen jurisprudentie: de Amerikaanse Justitie kan geen bevel geven om een buitenlands huis (of kantoorgebouw) te doorzoeken, ook niet als dat huis van een Amerikaan is. Daar mag men simpelweg niet in zoeken. En wat is nu het verschil tussen een server en een kantoorgebouw?

De rechter ziet het echter anders: het gaat hier niet om fysiek bezoeken van een locatie maar om het opvragen van data. En het is óók twee eeuwen jurisprudentie dat een Amerikaan die iets heeft dat moet komen brengen als de rechter daarom vraagt. Ook al ligt het iets in kwestie in een ander land. En als je die doctrine loslaat op e-mail dan moet Microsoft Inc de data dus maar gaan halen in Ierland. Of haar dochter bevelen dit te doen, wat ze juridisch kan aangezien dochterbedrijven moeten doen wat hun moederbedrijven zeggen.

Microsoft gaat bezwaar maken tegen deze beslissing. Een goede zaak, want dan krijgen we eindelijk eens écht duidelijkheid over hoe ver Amerikaans clouddatagraaien nu mag gaan. (Overigens gaat het hier niet om de Patriot Act maar de Stored Communications Act, qua concept vergelijkbaar met ons Wetboek van Strafvordering. En nu vraag ik me dus af of onze wet ook zo te lezen zou zijn als toepasselijk op data op een in het buitenland gehoste server van een Nederlands bedrijf. Ik kan er alleen niets over vinden…

Arnoud

Mag ik een NS-treinsleutel 3d printen?

treinsleutel-3d-printenEen lezer vroeg me:

De NS gebruikt een driekantsleutel (zie plaatje) om treindeuren te openen en sluiten. Volgens mij is het hebben van zon sleutel niet strafbaar. Maar mag ik nu voor geïnteresseerden een 3d cad bestand maken zodat ze voor hun privébezit zo’n sleutel mogen printen? Of ben ik dan aansprakelijk voor strafbare zaken die zij uithalen? Kan ik dat oplossen door bijvoorbeeld het bestand onder GPL vrij te geven? Daar staat immers een beperking van aansprakelijkheid in.

Een sleutel hebben (echt of nagemaakt) is inderdaad niet strafbaar. Het gebruiken van zo’n sleutel om ergens binnen te gaan wel, dat is lokaalvredebreuk en dat is een strafbaar feit. Specifiek een regel tegen het onbevoegd sluiten van treindeuren weet ik zo niet.

Een sleutel namaken is op zich niet strafbaar, tenzij je weet (of moet weten) dat de opdrachtgever met die sleutel strafbare feiten wil gaan plegen. Dan ben je immers medeplichtig.

Met een disclaimer of licentie met aansprakelijkheidsbeperking kom je er niet in die situatie. Of dat nu een opensourcelicentie is of een maatwerktekst. Net zo min als je vingers in je oren doen en heel hard LALALA zingen als de opdrachtgever uitlegt wat hij er mee gaat doen. De tekst uit de GPL zegt alleen dat de maker niet aansprakelijk is naar de gebruiker van de software, dus als iemands 3d printer oververhit en ontploft door dit model dan ben je beschermd via de licentie. Maar de NS heeft niets te maken met die tekst.

Als de sleutel ook een legitiem doel heeft (bv. verwarmingsradiatoren openen) en dat is serieus vol te houden, dan kun je het op die grond gooien. Maar zet er dan niet bij “Uiteraard niet bedoeld om de trein snel uit te komen ;)” of zo. Dan sta je wellicht toch weer strafbare feiten uit te lokken.

Kortom, het gaat niet per se om de sleutel of het 3d cad bestand waarmee de sleutel te printen is. Minstens zo belangrijk is hoe je dit presenteert, waartoe je mensen aanzet of uitlokt.

Arnoud