Internetrecht door Arnoud Engelfriet

Een lezer vroeg me:

De VvE van het appartementencomplex waarin ik woon, maakt sinds kort gebruik van een beveiligingssysteem met toegangsbadges in plaats van sleutels. Iedere bewoner krijgt er eentje, en wie meer wil moet dat onder opgaaf van naam en adres van de beoogde verkrijger doen, plus waar de badge toegang toe moet geven (hoofddeur, parkeergarage, appartement etc). Maar kan een VvE bepalen wie ik wel of niet toegang wil verlenen tot het complex waarin ik woon?

Daarnaast kun je met badges veel fijnmaziger toegang regelen: wel de hoofdingang en de deur van appartement 3, maar verder niets. En je kunt zelfs bijhouden welke badge wanneer is gebruikt, wat handig is als er schade of andere ongeregeldheden zich hebben voorgedaan.

Daar staat tegenover dat dit middel een stuk privacy-invasiever is, precies omdat je in meer detail kunt nagaan wie (althans, welke badgehouder) waar en wanneer binnen of buiten ging. Omdat het hier gaat om elektronische registratie gekoppeld aan personen, is de AVG van toepassing. (De uitzondering voor huishoudelijk gebruik geldt niet bij een VVE die zélf dit regelt.)

De AVG eist natuurlijk een goede beveiliging: wie mag bij de gegevens, wie bepaalt wat er wordt vastgelegd, hoe wordt omgegaan met verlies, klachten en claims tot inzage. Maar minstens zo belangrijk is de noodzaak, want in gevallen als dit zul je je moeten beroepen op een legitiem belang en dat vereist een afweging van respectieve belangen.

Het voornaamste belang lijkt hier te zijn dat de VVE niet wil dat er sleutels gaan ‘rondzwerven’ (omdat bewoners kopieën uitreiken) of dat bewoners hun garage gaan verhuren aan derden door de sleutel uit te lenen. Dat belang zie ik, maar moet wel duidelijk en concreet aanwezig zijn. Als er dus problemen zijn geweest met onderverhuurde garages, dan zie ik deze stap wel. Enkel “het zou kunnen en dat willen wij niet” is niet genoeg.

Het doet wel wat raar aan dat de VVE naam en adres wil van de houders van de badges. Ik zou zeggen dat ik mijn moeder of de schoonmaker best zo’n badge moet kunnen geven, welke reden kan erop tegen zijn om deze frequente bezoekers met verdenking tegemoet te zien? En wat voegt het toe te weten waar deze mensen normaal wonen? Ik denk dat je dát niet kunt eisen als VVE.

Arnoud

Met de aanhouding van een 53-jarige man uit Spijkenisse is voorkomen dat mogelijk vele honderdduizenden persoonsgegevens op straat kwamen te liggen. Dat las ik bij Politie.nl vorige week (via). Een bedrijf in Utrecht ontdekte dat persoonsgegevens in strijd met de wet werden gebruikt (mooi stukje beveiliging/organisatorisch de AVG op orde hebben!) en deed aangifte, waarna de politie vrij snel bij deze verdachte uitkwam. Goede actie, en hopelijk zijn de gegevens niet ondertussen al ergens anders naartoe. Maar, zo kreeg ik dan de vraag: dat kan toch niet, data is toch niets, hoe kan het dan worden gestolen?

In de pers moet je altijd uitkijken met termen als “diefstal van gegevens” want de meeste journalisten zitten niet zo op de juridische nuances. Van diefstal is alleen sprake als je “een goed” wegneemt zonder daartoe bevoegd te zijn, en dan ook nog eens met het doel je dat goed zelf toe te eigenen. Iets dat geen goed is, kun je dus niet stelen.

Data is in het algemeen geen goed; de definitie daarvan vereist kort gezegd dat de houder ervan als enige er wat mee kan doen (en dat er enige waarde aan het goed verbonden is). Dit volgt uit het Runescape-arrest dat bepaalde dat die criteria niet gelden voor gegevens in het algemeen, maar wel specifiek voor gegevens die objecten in virtuele werelden vertegenwoordigen. Als jij dat zwaard hebt, dan de rest van de deelnemers niet. Idem voor belminuten (op dezelfde dag beslist), als ik ze opbel dan kun jij dat daarna niet meer.

Persoonsgegevens zijn duplicatief, je kunt ze kopiëren. Daarmee voldoen ze niet aan die beperkte criteria en dus zijn het geen goederen. Alle wetgeving over eigendom is daarmee niet van toepassing. Dat is waarom ik “data is niets” zeg. Je kunt niet “je data terug” eisen, want de term “jouw” kan juridisch alleen op eigendom geplakt worden. Het is of je data blauw noemt, dat klopt gewoon niet.

Dat wil niet zeggen dat data juridisch vogelvrij is. Je kunt bij een data-beheerder gewoon contractueel afspreken dat hij je een kopie geeft wanneer je dat vraagt. En bij het strafrecht zijn er – vanwege het eerdere Computergegevens-arrest – aparte regels gemaakt over het wegmaken of kopiëren van data in strijd met andermans recht. En dat is wat deze meneer ten laste gelegd gaat worden. We noemen dat dan wel ‘data-diefstal’ maar we bedoelen het overnemen van gegevens na computervredebreuk (artikel 138ab lid 2 Strafrecht) of wederrechtelijk aftappen van gegevens (artikel 139c).

Arnoud

Een man van 22 uit Scheemda is schuldig bevonden aan het uitvoeren van twee ddos-aanvallen op vrienden, las ik bij Tweakers. Hij krijgt daarvoor geen straf opgelegd. Het OM verdenkt hem van het uitvoeren van 76 aanvallen, maar de rechter acht dat slechts van twee bewezen. En gezien de beperkte schade van die twee, dat het feit in 2017 is begaan en het blanco strafblad tot dan toe is straf niet meer nodig. Opmerkelijk detail: meneer deed mee aan het Hack Right programma (een alternatief straftraject) maar rondde het niet af omdat hij daarvoor had moeten bekennen.

Het doet voor mensen gek aan dat iemand schuldig is aan een strafbaar feit (hier zelfs een misdrijf) maar desondanks geen straf krijgt. Maar dat kan: als de rechter geen reden ziet om straf op te leggen, dan hoeft dat natuurlijk niet. Zou de dader hier een beter mens van worden, of zou de maatschappij er beter van worden? Zo niet, dan is het verspilling van middelen.

In de comments zie ik nog de nodige discussie over dat HackRight programma. Dit is een speciaal programma om jonge hackers (men bedoelt: cybercriminelen) weer op het rechte pad te krijgen:

HackRight kan als alternatief voor een straf maar ook als onderdeel van of náást een straf opgelegd worden. Alleen jongeren die bekennen, geen zeer ernstige vormen van hacking hebben gepleegd en bereid zijn zich op een positieve manier te ontwikkelen, komen ervoor in aanmerking. Bovendien moet het om een eerste cyberdelict gaan. ‘Want dan is de kans dat ze hun gedrag veranderen het grootst’, licht Martijn Egberts toe. ‘Hack_Right bestaat uit vier modules, die je kunt zien als vier puzzelstukjes: herstel, training, alternatief en coaching. Elke module voegt iets toe aan de gedragsverandering van de jongeren.’

Dat gezegd hebbende, je krijgt wel een strafblad als je hieraan meedoet want een OM-schikking of transactie wordt daarop vermeld. Dus als je als jongere in deze situatie zit, áltijd eerst met een advocaat overleggen.

Arnoud

Een tweede beveiligingslek in de NL-Alert-app waar de NOS vorige week vrijdag over berichtte was geen meldplichtig datalek en is daarom niet aan de Tweede Kamer gecommuniceerd, zo heeft minister Grapperhaus van Justitie en Veiligheid aan de Kamer laten weten. Dat las ik bij Security.nl. Bij een eerder beveiligingslek waren locatiegegevens van 58.000 gebruikers en… Lees verder

Het schenden van de gebruiksvoorwaarden van een site is toch geen computervredebreuk, las ik bij Ars Technica. Een federale rechter in Washington, DC heeft geoordeeld dat de strenge Amerikaanse Wet Computercriminaliteit (Computer Fraud and Abuse Act) niet van toepassing is enkel omdat iemand op een site actief is in strijd met de gebruiksvoorwaarden. Dat zal… Lees verder

Een lezer vroeg me: Bij KrebsOnSecurity las ik dat het Corp.com domein te koop gezet gaat worden. Daarmee is toegang te krijgen tot allerlei credentials en nu vroeg ik me af of dat legaal is. Immers je doet niets, andere mensen configureren hun Windows-netwerk slecht. Hoe zit dat in Nederland? Het domein corp.com gaat inderdaad… Lees verder

Ik ben voor deze posting even mevrouw van Dam. Gehuwd in gemeenschap van goederen. Zo opende een forumbericht bij Security.nl onlangs. Met daaraan gekoppeld de vraag: hoe zit dat dan met de AVG, stel dat je een bestelling van je vrouw wilt ophalen of van een account van je man een inzage- of correctieverzoek wil… Lees verder

Enkele KPN-medewerkers hebben zich intern kritisch uitgelaten over de door KPN ontwikkelde app WeGoEU. Dat las ik bij Tweakers. De kritiek luidt dat de app data van Chinese toeristen verzamelt en naar Chinese servers, en daarmee naar de Chinese overheid zou sturen. Oké, leuk nieuwtje maar het échte nieuws voor mij is dat Trouw dit… Lees verder

Een lezer vroeg me: Een bezoeker van ons bedrijf heeft via het gastennetwerk internet gebruikt. Nu krijg ik van hem een verzoek onder de AVG om precies te vertellen wat wij van hem hebben gelogd. We melden inderdaad bij het aanmelden “This network is monitored for security purposes” maar in welk detail moet ik hem… Lees verder

Een lezer vroeg me: Op onze interne servers krijgt personeel een loginscherm met daarop een tekst à la “Welkom bij Initech, gelieve in te loggen – uitsluitend voor werkdoeleinden gebruiken”. Nu zegt onze ISO auditor dat deze tekst problematisch is, omdat met name dat ‘welkom’ zou maken dat inbrekers kunnen claimen er niet wederrechtelijk te… Lees verder