Categorie: Regulering

About Regulering

Subscribe Feeds

Mag ik mensen met openstaande netwerken of schijven helpen?

Geplaatst op in Regulering, Security, 26 reacties

netwerk-verkennen-kijkenEen lezer vroeg me:

Regelmatig kom ik netwerkschijven of draadloze netwerken tegen die niet goed beveiligd zijn. Je kunt met enkele simpele muisklikken gegevens zien van mensen die zelf denken dat ze goed voor de buitenwereld beveiligd zijn. Graag wil ik deze mensen helpen en ze vertellen dat ze een beveiligingsprobleem hebben. Aan de andere kant wil ik niet in de problemen komen en voorkomen dat een dag later de politie op de stoep staat. Wat zegt de wet hierover?

Antwoord: Het is helaas een feit dat veel mensen niet weten hoe zich te beveiligen, en voor mensen die dat wél weten ligt het dan nog wel eens voor de hand om die mensen dan maar even een handje te helpen. En die hulp varieert van een .txt bestandje achterlaten met “Dit is niet slim” of het SSID aanpassen tot proactief een wachtwoord op iemands netwerk zetten.

Formeel is het strafbaar om op iemand anders netwerk binnen te gaan, ook als je goede bedoelingen hebt. De wet noemt het “binnendringen” (art. 138ab Strafrecht) als je jezelf toegang verschaft tot een computer of netwerk terwijl je weet dat je daar niet mag zijn. Of de computer/het netwerk beveiligd zijn, is daarbij sinds 2008 niet meer van belang.

Heel misschien kan er hier toch een rechtvaardiging bestaan. De wet noemt namelijk in het algemeen het principe van ‘zaakwaarneming’ (art. 6:198 BW). Je mag andermans problemen gaan oplossen als daar een goede reden voor is en die persoon dat niet zelf kan doen. Als je buren op vakantie zijn en de kat zit hongerig alleen thuis, dan mag je de deur forceren en het dier naar een dierenarts of asiel brengen. (En de rekening is dan voor je buren.) Dat is dan geen inbraak maar een gerechtvaardigd binnentreden op grond van zaakwaarneming.

Als je dan zegt, het onbeveiligd zijn van het netwerk is net zo erg als het hongerig zijn van de kat, dan kun je daarmee rechtvaardigen dat je binnendringt in het onbeveiligde netwerk en dit gaat oplossen. Wel moet je dan zo min mogelijk schade toebrengen en de buurman informeren dat jij dit hebt gedaan. Ja, met je naam en 06 erbij dus want je bent geen crimineel maar een buurman met een beveiligingstip. Toch?

Arnoud

Overheid spoort onlinekopers zwaar vuurwerk op

Geplaatst op in Regulering, 56 reacties

taskforce-vuurwerkbommenDe Taskforce Opsporing Vuurwerkbommenmakers spoort de bestellers van zwaar, illegaal vuurwerk op om ze te waarschuwen. Dat meldde Tweakers gisteren. Hoe die kopers worden opgespoord, is niet duidelijk, maar volgens de taskforce wordt er in ieder geval niets onderschept of afgetapt.

In 2011 had deze Taskforce ook al een creatieve videoaanpak: vuurwerkbommenfilmers kregen op Youtube een responsvideo met een streng pratende agent (met de grootste flaporen die ik ooit in uniform heb gezien) dat wat zij lieten zien, een misdrijf was. En dat scheen nog best te helpen ook.

Deze keer gaat men nog wat verder: kopers van illegaal vuurwerk worden geïdentificeerd en per e-mail aangeschreven dat wat zij doen een misdrijf is, hetgeen in een videoboodschap wordt toegelicht. Ook krijgt men per post een brief waarin een en ander nog eens wordt toegelicht.

Oké, goeie actie in principe want illegaal vuurwerk is elk jaar weer goed voor vele ongelukken en gedoe, om van de geluidsoverlast nog maar niet te spreken. Maar eh hoe wéten ze dat? Volgens Tweakers kent men alle details van de bestellingen en bij welke webwinkel dit is gebeurd. Er wordt bezworen dat men geen e-mails aftapt, wat ik nog geloof ook want dan moet je dus van iedere Nederlander de mails lezen op zoek naar de term “vuurwerk” en dan onderzoeken of dat illegaal is. Ja, de NSA en de AIVD kan dat vast maar dat ga je niet onthullen voor een wetsovertreding van deze orde. Plus, het werkt niet als ik via een formulier op een site bestel want daar zit niet per se een e-mail aan vast.

Ik zie dan vier opties:

  1. Die webwinkels zijn gevorderd gegevens van Nederlandse klanten af te geven. Dat kan, en verklaart hoe men aan alle gegevens komt, maar die shops zitten in het buitenland denk ik dan dus hoe ga je daar vorderen?
  2. Nederlandse webwinkels die illegaal vuurwerk aanbieden zijn gevorderd. Vermijdt het jurisdictieprobleem. Maar als je weet dat er zo’n webwinkel is, moet je die dan niet gewoon sluiten ipv de transactie door te laten gaan en dan Agent Flapoor een boze video te laten inspreken?
  3. Nederlandse banken zijn gevorderd gegevens van transacties naar zulke webwinkels af te geven. Geen buitenlandsejurisdictieproblemen daar, maar hoe weet je dan de besteldetails?
  4. De Nederlandse douane onderschept vuurwerkpakketjes (er zijn vast wel snuffelhonden die dat kunnen ruiken), opent die en geeft de klantgegevens aan de TaskForce.

Allemaal voelen nogal raar aan. Optie 2 lijkt me de meest logische gezien de feiten, maar kennelijk is de bestelling vervolgens niet tegengehouden. Dat doet dan weer gek aan. En waarom zou die winkelier zwijgen hierover? Optie 4 kan ook maar waarom dan niet meteen ook het pakket tegenhouden?

Een nepwebshop door de taskforce lijkt ook nog een optie. Dan heb je zelf alle gegevens. Maar dat riekt naar uitlokking, hoewel dat afhangt van hoe de site opgezet zou zijn. Het is niet verboden mensen gelegenheid te geven een misdrijf te plegen, zolang je ze maar niet óverhaalt om dat te doen. Dus zochten ze toch al illegaal vuurwerk, dan mag je je voordoen als een illegaalvuurwerkverkoper, maar wie gewoon vuurwerk zoekt mag je geen illegale Cobra’s voorhouden als lokkertje.

Hoe zouden jullie als Taskforcedirecteur deze uitdaging realiseren?

Arnoud

Dreigen op 4chan: niet voor normale mensen?

Geplaatst op in Regulering, 53 reacties

shoot-schieten-leiden-dreigenGisteren diende de rechtszaak rond de Leidseschooldreiger: het 4chanbericht waarin werd gedreigd een leraar Nederlands en zo veel mogelijk scholieren in Leiden te vermoorden. Ik mocht als getuige-deskundige uitleggen wat een proxy is en aangeven hoe ik 4chan zou omschrijven. Hoe serieus moet je 4chan-dreigingen nemen?

In april 2013 verscheen op internetafvoerputje 4chan een dreigbericht dat leidde tot schoolsluiting en politiebewaking in Leiden. Oordeel zelf:

Tomorrow, I will shoot my Dutch teacher, and as many students as I can. It will be on the news tomorrow. It’s a school in a Dutch city called Leiden, and for more proof, I will be using a 9mm Colt Defender. I will be carrying a note with me when I go into the school which will explain why I did it. If he message of the note will not be published, a friend of mine will post here on 4chan a day later. Oh, and I’m using a proxy, the police is not gonna find me before tomorrow.

Vandaag stond de verdachte terecht die het bericht zou hebben geplaatst. Volgens hemzelf was dit een Amerikaan geweest die zijn laptop even had geleend in het internetcafé in Costa Rica waar hij toen was. De officier geloofde daar weinig van: Amerikanen kunnen ‘Leiden’ niet echt goed spellen, en bovendien waarom zou ‘ie. Terwijl deze jongen problemen had op zijn school in Leiden en eerder een spreekbeurt over school shootings zou hebben gehouden.

Ik mocht als getuige-deskundige uitleggen wat 4chan was, eigenlijk /b/ dus maar dat onderscheid is subtieler dan dat tussen hacker en cracker. Het afvoerputje van het internet noemde ik het, een shockblog (oké, shockforum) waar het doel is zo grof en hard mogelijk te zijn. Branie schoppen, reacties uitlokken. En met excuses aan alle meelezende /b/tards, normale mensen lezen daar niet.

Heel apart vond ik nog dat de politie het IP-adres onderzocht en daarbij binnendrong in de router die aan dat adres hing. Toegegeven, dat binnendringen was een kwestie van de algemeen bekende admin/admin combinatie intypen maar binnendringen blijft het. Dringende noodzaak onder de Politiewet of strafbaar feit door ambtenaar gepleegd in het buitenland?

De meeste discussie ging over de vraag hoe je het bericht moest opvatten. Dat het als grap bedoeld was, was wel duidelijk, maar als je gezien de achtergrond en andere recente gebeurtenissen serieus mag opvatten, dan kan zo’n grap tóch best eens strafbaar zijn. En nou ja, school shootings en internetdreigingen waren wel een actueel onderwerp. Dus vanuit dat standpunt begrijp ik de zorg wel over hoe serieus het bericht te nemen.

De rechter was bepaald ICT-cluevol. Op zeker moment kwam bijvoorbeeld de vraag langs, waarom heeft u het bericht niet zelf gewist. Had u een wachtwoord ingesteld, had u de cookies laten staan? En dat is nu net een punt waarop 4chan uniek is: het forum werkt niet met registratie en accounts, maar met een wachtwoord per bericht (dat eventueel in een cookie opgeslagen wordt) waarmee je herkend wordt als auteur.

In de 4chanzaak uit 2011 (die van de “een router is geen computer”-discussie) speelde ook deze vraag. Als je weet dat 4chan een onzinforum is en dat er een disclaimer staat met “only a fool would take anything seriously here”, is dan een bericht daar niet evident altijd een grap? Het Hof oordeelde toen (met instemming van de Hoge Raad):

Eerdere schoolshootings zijn immers ook op voorhand via internet aangekondigd en dit gebeurt meestal anoniem en via sites waarbij de maker van het bericht moeilijk te achterhalen is. Uit de voornoemde reactie, geplaatst binnen korte tijd na de posting van de verdachte, blijkt dat niet alle lezers het bericht als een geintje hebben beschouwd. Dat er mensen hebben gereageerd die het wel als een grap hebben gezien doet hier niets aan af.

De Officier kwam nog met de scherpe opmerking dat de ‘jongere’ generatie alles weet van elkaar: alles is publiek, en privacy komt pas om de hoek kijken als het achteraf niet meer leuk was. Jongeren denken niet na over hoe iets overkomt bij anderen, zo zegt ze. Tsja. Snap het standpunt maar daar kun je tegenover stellen dat je dan als ‘oudere’ generatie zou kunnen bedenken dát zo’n bericht afreageren is en niet bedoeld is anders dan shockeren, stoer doen.

Enigszins ergerlijk vond ik de redenering van de officier uit het requisitoir: de gevolgen konden ernstig zijn want kinderen lopen gevaar op zo’n school, dús is de dreiging serieus te nemen. En dús is de bedreiging strafbaar. Maar ze raakt wel aan het dilemma. School shootings zijn helaas serieuze realiteit. Je moet dus dreigingen serieus nemen, want je kunt het je niet veroorloven de fout in te gaan hiermee. Alleen, moet je dan elke bedreiging ook maar strafbaar verklaren?

De officier wilde eigenlijk een onvoorwaardelijke celstraf eisen, maar gezien de jurisprudentie maakt die geen kans. Ze eist dan ook 150 uur werkstraf met een voorwaardelijke celstraf van 1 maand.

Wat vinden jullie? Is een bedreiging gepost op een digitaal afvoerputje serieus te nemen?

Arnoud

Britse politie vraagt registrars om blokkade torrentsites

Geplaatst op in Intellectuele rechten, Ondernemingsvrijheid, Regulering, 22 reacties

seized-domain-name-city-londen-policeDe Britse politie heeft registrars van piraterijsites brieven gestuurd met de eis de domeinnaam te blokkeren, las ik bij Tweakers. De sites MisterTorrent, SumoTorrent en ExtraTorrent zouden volgens de auteursrechtafdeling van de Britse politie in strijd zijn met de wet, dus of men even in wilde grijpen. Met een ondertoon dat de bobbies anders even hun ouders de registry (ICANN) zouden wijzen op het feit dat de registrars dan de aansluitvoorwaarden zouden overtreden en dus geschorst zouden worden als domeinnaamuitgevers. Excuse me?

Als een dienst werkelijk in strijd handelt met toepasselijke wetgeving, dan mag de politie daar natuurlijk tegen optreden. Ze kunnen dan de site-eigenaren zelf aanpakken, maar als dat niet lukt dan is aanspreken van de hostingprovider of andere tussenpersoon ook een optie.

In Nederland is dit wettelijk geregeld: een hostingprovider moet op grond van artikel 54a Strafrecht dingen offline halen als de officier van justitie dat zegt. Wel moet die officier daar een machtiging van de rechter-commissaris voor hebben. Dat is een onafhankelijke toetsing – maar de site-eigenaar of hoster wordt niet vooraf gehoord.

Hoe het zit met een domeinnaamprovider is bij mijn weten nog nooit getest. Ik gok omdat de meeste sites domeinnaam en hosting bij dezelfde partij hebben, zodat het nooit aan de orde kwam. Maar het kan natuurlijk best dat de site bij partij A ondergebracht is en de domeinnaam bij partij B.

Het is juridisch eigenlijk al onduidelijk of een domeinnaamprovider een hostingprovider is, een partij die “een telecommunicatiedienst verleent bestaande in de doorgifte of opslag van gegevens die van een ander afkomstig zijn” zoals in dat wetsartikel staat. ‘Gegevens’ slaat eigenlijk op de inhoud van de site, als je de wetsgeschiedenis leest. Maar je kunt zeggen, de dns records van de site zijn ook gegevens (hoewel maar weinig) en die komen van de klant dus dan is dns de dienst van opslag/doorgifte van gegevens van een ander afkomstig.

Oké maar stel. Dan zou de politie dus met zo’n bevel een dns blokkade kunnen eisen, als de rechter-commissaris dat goed vindt. En dan moet je als domeinnaamregistrar daaraan gehoor geven. Je mag niet protesteren dat dit te ver gaat, dat er op de site ook legaal spul staat. Dat heeft (als het goed is) die rechter-commissaris meegenomen in de beslissing die machtiging te geven.

In deze zaak is echter geen sprake van een bevél maar van een verzoek. En dan wel een van een geniepig soort – als je niet doet wat wij zeggen dan gaan wij even jouw leverancier bellen en zeggen dat jij willens en wetens iets illegaals faciliteert. Want in zijn algemene voorwaarden staat dat jij dit niet mag, dus dan raak jij je accreditatie kwijt.

Ja, daar word ik cynisch van. Natuurlijk, áls er sprake is van overtreding van de voorwaarden dan mag de registry ingrijpen. Maar ís dat wel zo? Die agenten weten donders goed dat zij op hun blauwe uniformen vertrouwd gaan worden, en dat de dreiging van negatieve publiciteit dan genoeg kan zijn voor bot afsluiten door die registry. Een CEO die twee agenten op bezoek krijgt, heeft geen zin meer in een diepgravend juridisch onderzoek door de huisjurist – eruit met die lastpakken. En dat voelt als machtsmisbruik door die auteursrechtpolitie.

Arnoud

Het zwijgrecht van de verdachte versus de vingerafdruksensor in de iPhone

Geplaatst op in Regulering, 25 reacties

iphone-vingerafdrukBij dit soort berichten weet ik nou nooit of het écht een relevant juridisch onderwerp is of dat men een haakje zoekt om op #iphone5s mee te kunnen liften. Hoe dan ook, Wired meldde dat gebruikers van de iPhone 5S met vingerafdruksensor nog wel eens raar op kunnen kijken als ze ooit als verdachte worden gehoord: je kunt dan verplicht worden je vinger op je telefoon te leggen om de autoriteiten zo een doorzoeking te laten uitvoeren. Dat is anders wanneer er een wachtwoord op zit, want je bent in de VS wettelijk beschermd tegen self-incrimination. En ja, bij ons werkt dat ook zo.

Dat je als verdachte niet tegen jezelf hoeft te getuigen, is een basisprincipe uit het strafrecht. De belangrijkste gedachte erachter is om oneigenlijke dwanguitoefening – wat klinkt als een eufemisme voor marteling maar dat terzijde – op de verdachte te voorkomen. Dat principe is niet absoluut – zie de recente discussie over ontsleutelplichten. Maar het gaat alleen over gegevens in je hoofd, dingen die je weet en die Justitie graag ook zou willen weten.

Dingen die je hébt, mag Justitie zelf in beslag nemen en onderzoeken om daarmee de waarheid aan het licht te brengen. Ze mogen je kluis openen met een lasbrander (of een handige slotenmaker), onder de vloer kijken, je harddisk kopiëren, je tuin omspitten en je administratie meenemen als daar bewijs te verwachten valt.

Ook je telefoon mag in beslag worden genomen en onderzocht als bewijs. Daar is speciale apparatuur voor, die veelal in staat is je telefoonwachtwoord te passeren en gewoon de ruwe data te klonen van de interne opslagmedia. Zo kan de daar genoemde XRV media in een “Physical mode” gewoon een telefoon uitlezen:

A physical extraction is separated out into two distinct stages, the initial ‘dump’ whereby the raw data is recovered from the device and then the second stage ‘decode’ – where XRY can automatically reconstruct the data into something meaningful; such as a deleted SMS without the need for manual carving of data.

Maar goed, dat kost tijd en een specialist in het lab. En die tijd kun je je nu als agent besparen door te zeggen, leg even je vinger op die sensor en dan kijk ik zélf in je adresboek of verzondensmssenmapje in het belang van het onderzoek. Dat is geen strijd met dat “tegen jezelf getuigen” want je verklaart niets, je zegt niets. Je doet alleen maar iets, je legt je vinger neer. Maar wat nu als je dat niet wil, kan de opsporingsambtenaar dan je hand pakken en fysiek de vinger op de sensor forceren?

Het is wettelijk toegestaan om gedwongen een vingerafdruk af te nemen, maar het moet dan eigenlijk gaan om identificatie van de verdachte (art. 27a Strafvordering). Dat is toch wel even iets anders dan een vingerafdruk inzetten om een telefoon te openen. Maar bij een ernstig misdrijf mag er meer (art. 55c):

De foto’s en vingerafdrukken [van de verdachte] kunnen ook worden verwerkt voor het voorkomen, opsporen, vervolgen en berechten van strafbare feiten en het vaststellen van de identiteit van een lijk.

Met enige goede wil is “openen van zijn telefoon” wel te rekenen onder “opsporen van strafbare feiten”, als de data op die telefoon daar deel van uitmaakt. Maar getest bij de strafrechter is het nog nooit.

Een héél bijdehante agent kan misschien nog een vingerafdruk van het glaasje water halen, daar een latexvinger mee construeren en zo zelf bij de telefoon. Dáár zou ik dan wel eens een strafrechter over willen horen.

Arnoud

Een dodemansknop tegen aftappen en datagraaien?

Geplaatst op in Ondernemingsvrijheid, Regulering, 41 reacties

prismOver PRISM, aftappen en datagraaien valt juridisch weinig te zeggen – de NSA doet wat ze wil. Maar als je als private partij een bevel krijgt om de NSA of hun vriendjes bij de FBI – of zelfs maar onze politie – te helpen door data af te geven, dan kom je wél in een juridisch thuisland. Want moet je daaraan meewerken, en wat kun je doen om dat aan de kaak te stellen? Dat is nog best lastig, zeker als je van zo’n club een gag order krijgt dat je niemand mag vertellen dát je hebt moeten meewerken. Een creatieve oplossing daartegen las ik in de Guardian: een dodemansknop, beter gezegd dodemansbordje dat zegt “Ik ben niet getapt” en dat haal je weg zodra je wél moest gaan tappen.

Steeds meer bedrijven publiceren transparency reports, met daarin het aantal overheidsverzoeken om data en wat daarmee is gebeurd. Bij mijn weten doet in Nederland alleen Leaseweb dat, maar in de VS alle grote jongens: Google, Facebook, Microsoft, Yahoo en meer. Algemene gegevens kun je daaruit halen, maar specifiek wie of wat

Ook bij ons kan zo’n zwijgbevel worden gegeven. Art. 126bb strafvordering bepaalt dat wie een vordering krijgt tot aftappen of afgeven van gegevens, “in het belang van het onderzoek geheimhouding in acht omtrent al hetgeen hem terzake van de vordering bekend is.” Op zich logisch want het is niet handig als je meteen na een tapbevel de verdachte gaat bellen om hem te melden dat je wordt getapt.

Daar staat tegenover dat lid 1 van datzelfde artikel bepaalt dat de getapte persoon zelf juist wél moet worden geïnformeerd “zodra het belang van het onderzoek dat toelaat”. Mits die persoon natuurlijk te vinden is, wat bij grootschalig datagraaien nog wel eens een punt kan zijn.

Strikt gesproken mag je van dat vijfde lid dus niet eens melden “ik kreeg gisteren een tapbevel” zonder enige details over wie of wat of hoezo. Dat kan vér gaan. In dit arrest noemt de advocaat-generaal het een “enorme inbreuk op iemands privéleven” dat je bijvoorbeeld je familie, vrienden en kennissen niet mag vertellen dat je informatie over hen moest geven. Maar ik denk niet dat het zó ver gaat dat je geen jaarlijks statistisch overzicht mag publiceren van het aantal tapverzoeken, wettelijke grondslagen en zo nog wat generieke informatie.

Maar goed, die dodemansknop. Is dát een inbreuk op de “geheimhouding in acht nemen” plicht uit 126bb? Enerzijds ja, want je onthult dát je moest gaan tappen of afgeven. Anderzijds nee, want concreet wordt hier niemand wijzer van: wie is er dan getapt, wat voor gegevens moesten worden afgeven en hoezo en waarom? Was dit een onderzoek van de fiscus of een moordzaak?

Het argument “stoppen met zeggen dat je niet getapt bent is wat anders dan zeggen dat je wél getapt bent” komt bij mij niet door de giecheltoets. Bij jullie wel?

Arnoud

De invloed van social media op getuigenverklaringen

Geplaatst op in Regulering, 7 reacties

social-media“Invloed social media op verklaringen”, samenvat Rechtspraak.nl het droogjes. In een strafzaak over poging tot moord waren de nodige getuigenverklaringen beschikbaar, maar uit reacties op een helaas geanonimiseerde website ontstond het vermoeden dat sommige van die getuigen best wel eens “anders dan de waarheid” zouden kunnen hebben verklaard. Waarom verklaringen op een website “invloed van social media” heten?

In 2012 was er een schietpartij in een woonwijk in Middelburg. Vrijwel direct daarna verschenen “op de website [naam website]” berichten met details daarover, kennelijk van getuigen dus. (Zouden ze Twitter.com bedoelen? Social media én website en typisch waar direct na een ophefmakende gebeurtenis berichten gaan komen.) Latere getuigenverklaringen leken niet helemaal overeen te komen met wat daar te lezen was, en dan moet je je als strafrechter toch even kritisch gaan opstellen.

Het is frustrerend hoe weinig details er zijn over precies welke berichten en waarom die twijfel opriepen over de getuigenverklaringen. Maar wat ook meewoog was dat een getuige had verklaard dat diverse mensen hadden afgesproken valse verklaringen te gaan doen. Er was al een tijd sprake was van oplopende spanningen tussen de verdachte en anderen, en die getuigen kwamen uit die groep anderen. Dus ja dan zou ik ook vraagtekens gaan stellen.

Een intrigerend punt dat de rechter aansnijdt is dat het mogelijk is “dat de verklaring (mede) is beïnvloed door informatie verkregen nadien van derden of mogelijke via social media.” Daarvan zou hier sprake zijn geweest (wat we dus niet kunnen analyseren wegens gebrek aan feiten) maar het punt op zich is al intrigerend genoeg. Als een gebeurtenis de nodige tweets, foto’s en dergelijke oproept dan kun je je als pseudo-getuige aardig geloofwaardig voordoen. Lees je in, prent wat dingen uit de foto’s in je hoofd en verwijder even je Facebookupdate dat je die avond ergens anders was. Wie heel gehaaid is, gaat meetwitteren op basis van wat hij leest en versterkt zo zijn geloofwaardigheid als aanwezige.

Dat klinkt ergens wel als een bug in het bewijsrecht. Maar hoe los je dat op?

Arnoud

Politie heeft wettelijke bevoegdheid nodig om stealth-sms’jes te versturen

Geplaatst op in Regulering, 16 reacties

sms-belasting-telefoon.pngHet lokaliseren van verdachten met stealth-sms’jes is een heimelijke opsporingsmethode die onwettig is, meldde Webwereld dinsdag. Het Gerechtshof in Den Bosch bepaalde dat deze techniek een inbreuk op de privacy oplevert, en dergelijke opsporingstechnieken vereisen eenvoudigweg altijd een specifieke wettelijke grondslag. Justitie maakt zich geen zorgen: er is vast wel een ander artikel dat we kunnen gebruiken.

Een stealth-sms is eigenlijk niets meer dan een leeg sms-bericht. Omdat sms met ontvangstbevestiging werkt, laat de telefoon van een onderpolitiebelangstellingstaande op die manier weten waar hij is (de dichtsbijzijnde GSM-mast dus). En via triangulatie en een paar berichtjes kom je dan aardig dicht bij de locatie van die telefoon. Dat kun je één keer doen of regelmatig, en in het laatste geval weet je structureel waar de eigenaar is.

Nou is structureel kijken waar iemand is een typisch voorbeeld van wat we een inbreuk op de privacy zouden noemen. En wanneer de politie dergelijke opsporingsmiddelen gebruikt, betekent dit dat er een wetsartikel in het Wetboek van Strafvordering moet staan dat dit toestaat. Dat is namelijk de regel bij strafvordering: de politie mag alleen wat in de wet genoemd is als toegestaan. Als het wetboek een firewall was dan had er dus inderdaad default deny gestaan.

Maar omdat je dan ook het vragen van een vuurtje of het mogen bekijken van een winkelruit moet gaan regelen, is er een ondergrens: het moet wel gaan om iets dat de grondrechten van de burger op een ‘betekenisvolle’ (niet-triviale) manier schendt. Als daar geen sprake van is, dan is het genoeg als dit via artikel 2 Politiewet gerechtvaardigd kan worden: nodig voor het politiewerk.

Het Hof stelt tevens vast dat de stealth SMS “risicovol is voor de integriteit en beheersbaarheid van de opsporing”. Ook die moeten namelijk gewaarborgd zijn om een opsporingsmiddel in te mogen zetten. Er was qua documentatie alleen een intern niet-openbaar document, waaruit niet duidelijk werd hoe een officier toestemming moest geven. Bovendien bleken in de praktijk rechercheurs zélf het middel in te zetten en achteraf te beslissen of navragen bij de officier nuttig was. En zelf vind ik nog het meest ergerlijk dat inzet van een stealth sms alleen bij de strafvervolging gemeld werd als dat in het nadeel was van de verdachte (daarom hebben ze dus discovery in de VS).

De inzet van de stealth sms levert daarmee een “onherstelbaar vormverzuim” op, maar in tegenstelling tot wat de borrelpraat over vormfouten zegt, levert dat de verdachte niets op: de inbreuk op zijn privacy was zeer gering omdat de stealth sms maar beperkt was ingezet. Daarmee heeft de vormfout geen consequentie.

Het signaal van het Hof is wél duidelijk dat dit middel nu eens wettelijk geregeld moet worden. En het steekt me dan dat Justitie doet of er niets aan de hand is: “de procedures verbeteren” is niet hetzelfde als “zorgen dat we binnen de wettelijke kaders blijven”. Ja, er waren eerdere rechters die daar anders over dachten maar de arresten (ook deze) in hoger beroep wegen toch zwaarder als jurisprudentie.

Of is dit de manier waarop dit soort nieuwe ontwikkelingen deel moeten worden van de opsporing? Een paar rechtszaken, stevige heisa en dán eens een nieuwe wet gaan maken? Ik weet het niet, het voelt een beetje cynisch.

Arnoud

Kan de National Security Agency hier vervolgd worden wegens computercriminaliteit?

Geplaatst op in Regulering, Security, 14 reacties

prismEen lezer vroeg me:

Via PRISM blijkt de Amerikaanse geheime dienst National Security Agency (NSA) ons allemaal af te luisteren. In Nederland is dat hartstikke illegaal. Kan ik daar aangifte van doen en wat gaat Justitie dan doen aan deze buitenlandse daders?

Het is inderdaad strafbaar om digitale communicatie af te tappen of op te nemen zonder toestemming. Opsporingsdiensten mogen dit soms wel, maar dan is er een bevel van de rechter-commissaris nodig. En onze eigen geheime dienst de AIVD mag dit soms ook. De NSA is geen Nederlandse geheime dienst dus mag dit niet.

Het is niet bij voorbaat uitgesloten dat een ambtenaar vervolgd kan worden voor handelingen in het buitenland. Zo hadden we medio jaren negentig een incident met een Nederlandse agent van wie Turkije de uitlevering wilde nadat een door hem gearresteerde Turkse man in een politiecel was overleden. Dus in theorie kan Nederland een onderzoek opstarten en dan de VS verzoeken om uitlevering van de mogelijke dader(s). De kans dat de VS daadwerkelijk tot uitlevering overgaat is natuurlijk nihil in deze situatie, dus heel erg praktisch lijkt me deze optie niet. Een aangifte lijkt me dan ook kansloos, die wordt binnen 5 minuten geseponeerd.

In Duitsland lijkt Justitie wél te overwegen een vervolging in te stellen. Dat heeft volgens mij vooral te maken met het feit dat de Duitse Justitie is verplicht te vervolgen bij misdrijven. En ik gok dat er ook een zekere echo van het Stasi-verleden mee zal spelen bij de afweging om te gaan vervolgen.

Arnoud

Heeft het strafbaar stellen van identiteitsfraude zin?

Geplaatst op in Privacy, Regulering, 27 reacties

identity-identiteit-kaart.pngWie zich op internet voor een ander uitgeeft, moet volgens de Tweede Kamer maximaal vijf jaar cel kunnen krijgen. Dat meldde RTL Nieuws gisteren. Identiteitsfraude is op zichzelf niet strafbaar; pas als je iets strafbaars doet mét die identiteit kan een sttrafbaar feit ontstaan, bijvoorbeeld oplichting of smaad. Maar hoe ze dat gaan definiëren en wat de toegevoegde waarde is, ontgaat me.

Identiteitsfraude is al een paar jaar een behoorlijk hot item. Het is immers nogal makkelijk om andermans identiteit aan te nemen en dan dingen te bestellen, rare berichten op forums te plaatsen of anderszins misbruik te maken van die identiteit. Bedenk maar eens hoe veel bedrijven ondertussen een kopietje paspoort van je hebben. Of hoe veel databases je NAW-gegevens en bankrekeningnummer bevatten en hoe makkelijk die kraakbaar zijn; dan is een automatische incasso op internet zo ingevuld.

Maar: al die dingen zijn al strafbaar. Het op valse naam bestellen van spullen of afboeken van geld heet oplichting. Onder iemands naam een goedenaamaantastend bericht plaatsen (“hoi ik ben Henk en ik ben een oplichter”) is smaad. Enzovoorts. In april meldde de minister dan ook dat “een afzonderlijke delictsomschrijving juridisch geen toegevoegde waarde heeft”. Maar de Kamer wil toch graag “iets doen”, en dit is iets dus laten we het maar doen.

Helaas kan ik de Kamerstukken nog niet vinden, maar waarschijnlijk zal het wetsvoorstel gaan werken met deze definitie van identiteitsfraude:

Het opzettelijk (en) (wederrechtelijk of zonder toestemming) verkrijgen, toe-eigenen, bezitten of creëren van valse identificatiemiddelen en het daarmee begaan van een wederrechtelijk gedraging, of het verrichten van een dergelijke handeling met de intentie om daarmee een wederrechtelijke gedraging te begaan.

En dan denk ik gelijk, ja, “om een wederrechtelijke gedraging te begaan”, dat is dan mooi circulair. Het wordt strafbaar iets strafbaars te doen als je daarbij een valse identiteit gebruikt. Wat pak je daarmee aan dat nog niet strafbaar was dan?

Update (9:44) met dank aan de Piratenpartij een link naar het werkelijke voorstel:

?Hij die opzettelijk en wederrechtelijk identificerende persoonsgegevens, niet zijnde biometrische persoonsgegevens, van een ander gebruikt met het oogmerk om zijn identiteit te verhelen of de identiteit van de ander te verhelen of misbruiken, waardoor uit dat gebruik enig nadeel kan ontstaan, wordt gestraft met een gevangenisstraf van ten hoogste vijf jaren of geldboete van de vijfde categorie.

Het zou dan voldoende zijn dat ‘enig nadeel’ ontstaat, dat is dus een stuk breder dan “wederrechtelijke gedraging”. (En ‘verhelen’ betekent hier ‘verstoppen, verbergen’ en niet “door heling verhandelen”.)

Ik blijf zitten met onduidelijkheden. Wat is ‘misbruiken’? Onder mijn naam ergens reaguren en en zo mij belachelijk maken? Dan is het wel érg breed. Verder vraag ik me af of een undercoverjournalist nu ook strafbaar is: die bezorgt zijn onderwerp ook nadeel, die komt immers negatief in het nieuws. Of wordt dat dan net als satire en parodie opgelost door te zeggen, het is niet wederrechtelijk?

Zinniger lijkt mij om een strafverzwaring op te nemen bij delicten als oplichting. “Indien het feit begaan wordt gebruikmakend van de identiteit van een ander, wordt de maximale straf verhoogd met 3 jaren” of iets dergelijks. Die constructie kennen we bijvoorbeeld bij smaad en laster. Smaad is strafbaar met maximaal zes maanden cel. Smaadschrift (dus smaad op papier of op internet) is extra strafbaar, een jaar cel. En het heet laster als je wéét dat het niet waar is, twee jaar cel. Op die manier laat je duidelijk zien dat je die varianten van smaad nóg erger vindt. Hetzelfde zou m.i. goed passen bij identiteitsfraude.

Je kunt ook de “wederrechtelijke gedraging” eruit gooien maar dan krijg je allerlei problemen met bv. Twitterparodieaccounts of imitaties op televisie. Dat kun je dan wel weer oplossen door te zeggen dat wanneer sprake is van een legitieme meningsuiting je niet strafbaar bent, maar echt elegant voelt dat niet. Plus, er zullen ook andere situaties zijn. Wat te denken van de identiteit van een overleden of langdurig ziek familielid aannemen om zo zijn Facebook te beheren? Mailen vanuit het account van een zieke collega?

Hebben jullie een suggestie hoe je identiteitsfraude die géén oplichting, smaad of zo is zou kunnen definiëren?

Arnoud