Categorie: Security

About Security

Subscribe Feeds

Mobiele KPN-klanten krijgen malwarefilter en prijsverhoging van 1 euro per maand

Geplaatst op in Security, 17 reacties
Photo by David Trinks on Unsplash

KPN heeft een malware- en phishingfilter toegevoegd aan de mobiele abonnementen en verhoogt de prijzen van huidige abonnees met 1 euro per maand. Dat meldde Tweakers vorige week. En een paar lezers vroegen me: mag je dan opzeggen, want dit is alleen maar in je voordeel als consument, toch?

De telecomprovider legt uit:

Met Extra Veilig Mobiel heb je een slimme beschermlaag op het mobiele netwerk van KPN. Het werkt op alle telefoons en blokkeert automatisch gevaarlijke websites. Alsof er een stevig digitaal hek om je verbinding staat. Zo voorkom je dat je op gevaarlijke websites komt en blijf je uit handen van cybercriminelen.
In technische termen: een DNS-blokkade en malware scanner. Verstandig idee, maar vrij lang dus een aparte dienst gebleven die je voor 1,99 per maand moest afnemen. Dat wordt dus nu geïntegreerd, en de kosten worden doorberekend in de abonnementsprijs.

Nu hadden we het laatst ook over opzeggen bij gewijzigde voorwaarden. Dat recht heb je dus

tenzij de voorgestelde wijzigingen uitsluitend in het voordeel zijn van de eindgebruiker, van strikt administratieve aard zijn en geen negatieve gevolgen hebben voor de eindgebruiker, of rechtstreeks worden opgelegd door het Unie- of het nationale recht.
Het klinkt natuurlijk heel goed, extra bescherming tegen malware en phishing. Dat komt vaak voor en security had eigenlijk altijd al in het netwerk ingebakken moeten zijn. Maar goed.

Maar of “iets dat goed voor je is” hetzelfde is als “in jouw voordeel”, betwijfel ik. De richtsnoeren van de ACM hebben als enige voordeel hiervan een tariefsverlaging. Een hogere snelheid tegen dezelfde prijs lijkt me ook nog wel in je voordeel, maar staat extra beveiliging in diezelfde lijn?

Arnoud

Ben ik aansprakelijk als een oude link op mijn blog leidt tot schade door malware?

Geplaatst op in Security, 6 reacties
Photo by Ed Hardie on Unsplash

Een lezer vroeg me:

Ik heb al enige tijd een blog met leuke knutselideeën voor ouders en kinderen. Nu kreeg ik laatst een mail van een bezoeker waarin staat dat een hyperlink op een blog van een jaar of drie geleden, nu niet meer naar een Minecraft knutsel leidt, maar naar een nogal dubieuze website. Daardoor bedacht ik me: stel iemand lijdt schade door zo’n rare website blindelings te bezoeken omdat ik er naar link. Ben ik dan aansprakelijk op een of andere manier?
Helaas komt het inderdaad vaak voor dat malafide types oude websites of URLs ‘kapen’, bijvoorbeeld door een verlopen domeinnaam te registeren en dan de URL naar eigen content te laten wijzen. Vaak is dat porno, maar het kan ook malware zijn die je dan oploopt als je de link volgt.

Aansprakelijk zijn voor schade vereist dat je een fout hebt gemaakt (onrechtmatige daad) die jou te verwijten valt. Dat een link nú stuk is, vind ik wat mager. Dat zou betekenen dat iedereen elke week elke link moet checken, en dat gaat me simpelweg te ver. Misschien voor grotere, professionele organisaties waarbij content maken deel van het kernproces is.

Na een tip van een bezoeker zul je wel wat moeten. Dan nog achterover zitten en zeggen “die blog is 3 jaar oud, boeien” is maatschappelijk onaanvaardbaar. Uiteraard is bewijzen dat je getipt bent, een tikje lastig voor die lezer die schade had. Maar dat is een ander verhaal.

Strafrechtelijk is er het theoretisch haakje naar artikel 350b, dat strafbaar stelt het “door schuld” verspreiden van malware. Dus niet met opzet (dat is 350a).

‘Schuld’ betekent hier zaken als onvoorzichtigheid, nalatigheid, gebrek aan voorzorg. Het moet je te verwijten zijn, dit had je niet zo moeten laten gebeuren. Eigenlijk is dat dan dezelfde discussie: had je wekelijks een linkscanner moeten draaien.

Natuurlijk mag je van iedereen verwachten die anno 2026 internet opgaat dat die een malwarescanner gebruikt. Dat ontslaat jou niet van een (eventuele) plicht om links te controleren, maar is wel een argument om de te vergoede schade omlaag te krijgen – eigen schuld, noemen juristen dat.

Arnoud

Mag je leeftijdsherkenningsoftware misleiden met een AI filter op je gezicht?

Geplaatst op in Security, 22 reacties
Photo by ALEXANDRE DINAUT on Unsplash

Roblox wil door middel van gezichtsherkenning de leeftijd van mijn kind verifiëren en gebruikt daarvoor scansoftware via Persona. In hoeverre is het illegaal om die scan-software te misleiden met bijvoorbeeld een AI image of, lo-tech, een masker of iets dergelijks?

Sommigen denken hierbij aan valsheid in geschrifte (art. 225 Strafrecht), maar dat gaat hier niet op. Afbeeldingen (foto’s of video) zijn geen ‘geschriften’ in de zin van de wet. Daar moet het echt gaan om communicatie met tekens of symbolen. Een afbeelding kan zulke tekens bevatten, zoals bij een foto van een geschreven brief. Maar een foto van een gezicht is geen geschrift.

Sinds enige tijd is er een apart artikel (231a Sr) over valse biometrische kenmerken. Lid 1 hiervan stelt strafbaar het vervalsen van biometrische persoonsgegevens met als doel je eigen identiteit te verbergen (‘verhelen’) of die van een ander te misbruiken. Dat is hier niet aan de orde, maar lid 2 vult aan:

Met dezelfde straf wordt gestraft hij die in gevallen waarin biometrische kenmerken of biometrische persoonsgegevens worden gebruikt voor het vaststellen van iemands identiteit, opzettelijk gebruik maakt van valse of vervalste biometrische kenmerken of biometrische persoonsgegevens als waren deze echt en onvervalst met het oogmerk om zijn identiteit te verhelen of de identiteit van een ander te misbruiken of opzettelijk gebruik maakt van biometrische kenmerken of biometrische persoonsgegevens van een ander met het oogmerk om de verdenking van een strafbaar feit op de ander of niet op hem te doen ontstaan.
Wie dus biometrie vervalst om zo een identificatie te misleiden, óók als het alleen om je eigen kenmerken gaat, kan dus strafbaar zijn onder dit artikel. Onder ‘vervalsen’ kunnen ingewikkelde chirurgische ingrepen vallen, maar een masker of een AI-beeldmanipulatie in de context van video-scanning valt er wat mij betreft ook duidelijk onder.

Het probleem zit hem voor mij in “vaststellen van identiteit”. Het vaststellen hoe oud je bent, staat los van wat je paspoortnaam is. Roblox biedt bijvoorbeeld de optie om leeftijdverificatie met AI te doen zónder voorafgaand een identiteitsbewijs te hoeven zien. De beeldherkenning analyseert dan grofweg hoe oud je bent.

Nergens in de wetsgeschiedenis is uitgewerkt of naast ‘identiteit’ ook een leeftijdscontrole hier onder zou moeten vallen. Dat zou m.i. ook niet helemaal logisch zijn: het primaire doel was kunnen aanpakken van omzeilen van biometrische identificatie, bijvoorbeeld door je vingerafdrukken te manipuleren of plastische chirurgie zodat je niet meer lijkt op je politiefoto. Ik denk dus niet dat het strafbaar is om een leeftijdsverificatie zónder tevens identiteitscontrole te misleiden.

Natuurlijk is het wel in strijd met de gebruiksvoorwaarden, en kan een aanbieder zoals Roblox je account blokkeren wegens schending daarvan, mocht het uitkomen.

Arnoud

Is een Franse uitspraak tegen SHA-256 een bindend precedent bij ons voor informatiebeveiliging?

Geplaatst op in Privacy, Security, 4 reacties
Bron: Enrique Santos, Wikimedia Commons

Een lezer vroeg me:

Recent heeft de Franse AVG-toezichthouder (CNIL) een boete van 3,5 miljoen euro opgelegd. Deel daarvan was een inadequate beveiliging door gebruik van SHA-256. Heeft dit precedentwerking, oftewel mogen we nu stellen dat deze hashingtechniek daadwerkelijk niet meer passend is voor beveiligen van persoonsgegevens?
Op 30 december 2025 heeft de CNIL een boete van 3,5 miljoen euro opgelegd aan een niet nader genoemd Frans bedrijf voor het doorgeven van de gegevens van leden van hun loyaliteitsprogramma aan een sociaal netwerk voor gerichte reclamedoeleinden, zonder geldige toestemming. Inderdaad was inadequate beveiliging een deel van de grondslag.

Het bedrijf gebruikte SHA256 voor het hashen van wachtwoorden (met salt, dat wel). Dat vond de CNIL bezwaarlijk, omdat de collega’s van het ANSSI (Nationaal Agentschap voor Informatiesysteembeveiliging) hadden gezegd dat

Aanbevolen cryptografische hashfuncties, zoals de SHA2-familie, zijn zeer snel in uitvoering, wat in de context van wachtwoordopslag een voordeel is voor aanvallers, omdat ze hierdoor veel wachtwoorden kunnen testen (d.w.z. hashes kunnen berekenen).
Men wijst op algoritmes zoals Argon2, die mede ontworpen zijn om resistent tegen dergelijke brute force aanvallen te zijn, zelfs met moderde apparatuur. Het bedrijf had in de tussentijd ook al gewisseld naar Argon2.

De uitspraak over de ongeschiktheid van SHA-256 wordt hier vrij algemeen gedaan, en men wijst op eerdere aanbevelingen sinds 2020. Bij het berekenen van de boete wordt dan ook herhaaldelijk geërgerd gewezen op eerdere publicaties:

Bovendien moet met betrekking tot de schending van artikel 32 van de AVG worden opgemerkt dat de Commissie regelmatig communiceert over het belang van authenticatiemaatregelen voor de beveiliging, dat haar aanbevelingen met betrekking tot het wachtwoordbeleid al bekend waren ten tijde van de audits, en dat zij sinds december 2022 organisaties via haar website een tool ter beschikking heeft gesteld waarmee zij eenvoudig de sterkte van een wachtwoord kunnen controleren. De Commissie herinnert er ook aan dat zij regelmatig financiële sancties heeft opgelegd voor schendingen van artikel 32 van de AVG wegens onvoldoende maatregelen om de beveiliging van de verwerkte gegevens te waarborgen, met name in haar besluiten nr. SAN-2019-007 van 18 juli 2019, nr. SAN-2022-018 van 8 september 2022, nr. SAN-2023-023 van 29 december 2023 en nr. SAN-2024-002 van 31 januari 2024.
Dit klinkt voor mij alsof de CNIL hier een hard punt van gaat blijven maken. En terecht, gezien het securityprobleem dat hier onder zit.

Een beslissing van de CNIL is bindend in Frankrijk (tenzij de rechter ze terugfluit, maar dat zie ik hier niet gebeuren). Voor andere toezichthouders geldt dat niet, maar onder het zogeheten coherentiemechanisme van artikel 63 AVG moeten toezichthouders wel met elkaar samenwerken en hun inzichten op elkaar afstemmen. Het zou raar zijn als in Duitsland SHA256 gewoon aanbevolen wordt terwijl je in Frankrijk daar een dikke boete voor krijgt, bijvoorbeeld.

In de praktijk zie je daarom ook regelmatig dat toezichthouders wijzen op publicaties van collega’s, waarbij de CNIL voorop loopt als het gaat om inzichten rondom cybersecurity. Ook in Nederland zou ik dus maar vast gaan nadenken waarom voor jou SHA256 wél een veilige opslag van wachtwoord-hashes zou zijn. (Of migreren naar Argon2 of vergelijkbaar, dat is minder werk.)

Arnoud

Chatapps mogen vanaf april in EU niet meer scannen op beelden van kindermisbruik

Geplaatst op in Privacy, Security, Uitingsvrijheid, 2 reacties
Alexandra_Koch / Pixabay

Chatdiensten zoals WhatsApp mogen vanaf 3 april berichten niet langer scannen op beelden van kindermisbruik, las ik bij Tweakers. De ophef ging toch over of ze dat móesten? Inderdaad, maar dit is een ander aspect van de discussie.

Al sinds 2022 is er ophef over een EU-wetsvoorstel dat communicatiedienstverleners zoals chatdiensten wil verplichten om berichten (en daar bij behorende afbeeldingen) te screenen op misbruik. Dit impliceert namelijk onder meer het moeten doorbreken van end-to-end encryptie en het lezen van alle berichten, wat laten we zeggen een tikje ver gaat.

Het communicatiegeheim bij dit soort diensten is verankerd in de stokoude ePrivacy-richtlijn, artikel 5 lid 1:

De lidstaten garanderen via nationale wetgeving het vertrouwelijke karakter van de communicatie en de daarmee verband houdende verkeersgegevens via openbare communicatienetwerken en via openbare elektronische-communicatiediensten. Zij verbieden met name het afluisteren, aftappen, opslaan of anderszins onderscheppen of controleren van de communicatie en de daarmee verband houdende verkeersgegevens door anderen dan de gebruikers, indien de betrokken gebruikers daarin niet hebben toegestemd, tenzij dat bij wet is toegestaan overeenkomstig artikel 15, lid 1.
Om het mogelijk te maken dat aanbieders dergelijke scans kunnen doen, bestond er sinds 2021 een tijdelijke verordening die een wettelijke basis hiervoor creëerde om zo de “tenzij dat bij wet is voorzien”-uitzondering te triggeren.

De uitzondering stond meelezen en controleren toe voor zover dat “strikt noodzakelijk is” voor

het gebruik van specifieke technologie met als enig doel onlinemateriaal betreffende seksueel misbruik van kinderen op te sporen, te verwijderen en te melden aan rechtshandhavingsinstanties en organisaties die in het algemeen belang optreden tegen seksueel misbruik van kinderen, en het benaderen van kinderen op te sporen en te melden aan rechtshandhavingsinstanties of organisaties die in het algemeen belang optreden tegen seksueel misbruik van kinderen;
Dit was ingestoken als een tijdelijke regeling, die af zou lopen op 3 april 2024 maar werd verlengd tot en met komende 3 april.

Een nieuwe verlenging stond in de steigers, maar is dus vastgelopen in politieke discussie. Het voorstel uit maart van het Europees Parlement lijkt daar splijtzwam in te zijn geweest. Tweakers legt uit:

Zo wil het [Europees] Parlement niet dat het scannen geldt voor berichten die eind-tot-eind versleuteld zijn. Het Parlement wil ook niet dat ieders berichten gescand kunnen worden, maar alleen die van mensen waarvan een rechter vermoedt dat ze verbonden zijn aan het maken of verspreiden van kindermisbruikmateriaal.
De kern hierachter is dat men massasurveillance wilde verbieden. Maar technisch is het lastig om onderscheid te maken tussen gewone mensen en mensen met enige verdenking dat ze misbruikmateriaal uitwisselen. Natuurlijk, als er een justitiële verdenking geldt dan kun je daarop acteren maar dan ben je niet meer aan het scannen – dan werk je mee aan een gericht onderzoek. Scannen is bedoeld om een breder net uit te werpen.

Wijzigingen van dit niveau vereisen instemming van de Raad van Ministers, maar die wilde er niet aan. Nieuwe gesprekken zullen niet op tijd iets opleveren, dus per 3 april vervalt dan de mogelijkheid om op vrijwillige basis te scannen.

Of iedereen daar daadwerkelijk mee stopt, is een open vraag. Het belang is vrij duidelijk, en de infrastructuur draait al jaren prima. Tussen de regels door lees ik dat we een paar maanden later een nieuwe tijdelijke verlenging mogen verwachten, wat tijdelijk stoppen dan helemaal onzinnig maakt.

Arnoud

Kan ik vanwege NIS2 de directie van Odido persoonlijk aansprakelijk stellen voor mijn schade uit dat datalek?

Geplaatst op in Ondernemingsvrijheid, Security, 6 reacties
Photo by Danielle Cerullo on Unsplash

Een lezer vroeg me:

Dankzij het Odido-datalek heeft mijn stalker me weer weten te vinden. Ik moet nu mogelijk noodgedwongen verhuizen, nieuw nummer nemen en wat al niet meer. Nu las ik dat onder de NIS2 Richtlijn de directie van een telecombedrijf persoonlijk aansprakelijk is voor schade door falende beveiliging. Kan ik een claim indienen?
Inderdaad bevat de NIS2 Richtlijn (2022/2555) een artikel dat een route biedt voor persoonlijke aansprakelijkheid van de directie. Artikel 20 lid 1 bepaalt namelijk:
De lidstaten zorgen ervoor dat de bestuursorganen van essentiële en belangrijke entiteiten de door deze entiteiten genomen maatregelen voor het beheer van cyberbeveiligingsrisico’s goedkeuren om te voldoen aan artikel 21, toezien op de uitvoering ervan en aansprakelijk kunnen worden gesteld voor inbreukendoor de entiteiten op dat artikel.
Doel hiervan is natuurlijk om de zorg voor goede cyberbeveiliging in de boardroom urgent te maken. De term “in privé aansprakelijk” is iets om je druk over te maken als bestuurder van een groot bedrijf.

Telecom (openbare elektronische communicatienetwerken of -diensten) is een essentiële entiteit, en het lijkt er sterk op dat de beveiliging van persoonsgegevens niet adequaat was bij Odido. Dus daarmee is dit artikel overdreven en kunnen we procederen, toch?

Niet helemaal. NIS2 is een richtlijn, geen verordening zoals de AVG of AI Act. Dat betekent dat deze pas rechtskracht heeft als Nederland een wet heeft aangenomen die NIS2 nader uitwerkt. Dat is nog steeds niet gebeurd, hoewel dat eigenlijk wel had gemoeten. Ik citeer de digitale overheid:

De Cyberbeveiligingswet treedt in werking nadat de Tweede en Eerste Kamer akkoord hebben gegeven. Naar verwachting is dat Q2 2026, maar dat hangt af van wanneer de behandeling in de Kamers is.
Totdat die wet er is, kun je je dus niet rechtstreeks op de bepalingen eruit beroepen. Zogeheten horizontale directe werking bestaat niet bij richtlijnen, zeggen juristen dan. (De overheid aansprakelijk stellen voor de te late implementatie is een theoretische optie, die bij de illegaaldownloadendiscussie werkelijk werd ingezet.)

Soms is er indirect wat mogelijk. Dat heet richtlijnconforme uitleg: kunnen we een wél geldende wettelijke bepaling zo lezen dat wat de richtlijn bedoelt, er ook onder valt. Dat kan alleen als er ruimte voor interpretatie is, je mag niet een wetsartikel tegen de letterlijke tekst in oprekken. Ook moet het wel redelijk blijven.

In het voorstel van wet van de Cyberbeveiligingswet staat in het geheel geen artikel dat persoonlijke aansprakelijkheid voor bestuurders regelt. De Memorie van Toelichting legt uit:

Het voorgaande brengt met zich mee dat de artikelen 20, eerste lid … NIS2-richtlijn reeds zijn geïmplementeerd in het Nederlands recht. … Ten overvloede wordt nog opgemerkt dat naast het voorgaande ook civielrechtelijke aansprakelijkheid van het bestuur jegens de entiteit een rol kan spelen in het geval van niet-naleving van de Cbw, onder andere op grond van artikel 2:9 BW.
Dat laatste wetsartikel verwijst naar wat wij interne aansprakelijkheid noemen. De organisatie kan een bestuurder aansprakelijk stellen als deze te kort blijkt te zijn geschoten in zijn bestuurstaak. Artikel 20 lid 1 NIS2 is dan niet meer dan een verduidelijking dat cyberbeveiliging regelen een bestuurstaak is, zodat de interne aansprakelijkheid nu al mogelijk is. Odido zelf kan dus haar directie aansprakelijk stellen voor de schade als blijkt dat er wanbestuur gepleegd is op dit gebied.

Als slachtoffer de directeur persoonlijk aanspreken heet externe aansprakelijkheid, en dat regelt NIS2 dus niet. Althans, in de Nederlandse lezing – ik ben er nog niet van overtuigd dat deze beperkte insteek ook de bedoeling van de Europese wetgever was. De meeste landen hebben in hun NIS2-implementatiewet simpelweg artikel 20 overgeschreven, zodat in het midden blijft wat nu de bedoeling was.

Arnoud

Mag ik op het Dark Web kijken of mijn buurman getroffen is door het Odido-datalek?

Geplaatst op in Security, Uitingsvrijheid, 23 reacties
geralt / Pixabay

Een lezer vroeg me:

Mijn buurman (op leeftijd) is al jaren klant bij Odido en maakt zich grote zorgen dat zijn gegevens buitgemaakt zijn bij die recente hack. Ik zou hem duidelijkheid kunnen geven door even op die Onion-site te kijken waar dat eerste lek is gepubliceerd. Maar ben ik dan strafbaar?
TLDR: ja, je bent strafbaar als je die dataset gaat downloaden. Ook als je daarvoor niet zelf hoefde in te breken bij Odido, en ook als je “alleen maar” op het Dark Web (de juristenterm voor wat je niet met Google vindt) hoeft te wezxen.

Het iets langere antwoord. Naast computervredebreuk is apart strafbaar wat wel “gegevensdiefstal” heet. Dit staat in artikel 138c Strafrecht:

Met gevangenisstraf van ten hoogste een jaar of geldboete van de vierde categorie wordt gestraft degene die opzettelijk en wederrechtelijk niet-openbare gegevens die zijn opgeslagen door middel van een geautomatiseerd werk, voor zichzelf of voor een ander overneemt of doorgeeft.
Dit is primair bedoelt voor wie het uit een (rechtmatige) bron kopieert. Betrok je het uit een onrechtmatige bron, dan komen we eerder bij heling van gegevens, artikel 139g:
Met gevangenisstraf van ten hoogste een jaar of geldboete van de vierde categorie wordt gestraft degene die niet-openbare gegevens (…) verwerft of voorhanden heeft, terwijl hij ten tijde van de verwerving of het voorhanden krijgen van deze gegevens wist of redelijkerwijs had moeten vermoeden dat deze door misdrijf zijn verkregen;
In beide gevallen is nodig dat de gegevens “niet-openbaar” zijn. Maar wat is “niet-openbaar”? Ze staan immers vrijelijk toegankelijk op internet, zij het dat je even moet weten wat het Onion Router-project is en je een tijdje moet snuffelen voor je het 56 tekens tellende .onion adres te pakken hebt.

Uit de Memorie van Toelichting haal ik alleen het contrast tussen “je kreeg het van één persoon via een besloten kanaal” en “algemeen toegankelijk via internet”. In een zaak uit 2024 werd het overnemen van films (ook gegevens) van een obscure site van een ander als “openbaar toegankelijk” genoemd.

Het onderscheid tussen het “Surface web”, “Deep web” en “Dark web” wordt bij juristen regelmatig gemaakt. De achterliggende gedachte is dat iets dat gewoon direct via zoekmachines te vinden is, evident telt als openbaar. Harder moeten zoeken of spitten in data (deep web) is dan een grijs gebied, en -in ieder geval in mijn stellige overtuiging – het Dark Web is dan niet meer openbaar.

Dit past ook bij de achterliggende bedoeling van de wet: mensen kunnen tegenhouden die dingen verspreiden die door misdrijf zijn verkregen. Dat wordt pas ondoenlijk en onwenselijk als “iedereen” bij die gegevens kan. Daar zijn we nu nog niet, en in het belang van de slachtoffers moet dat zo blijven.

Artikel 139g kent een uitzondering voor “degene die te goeder trouw heeft kunnen aannemen dat het algemeen belang” die handeling eiste. Ik zie wel hoe “de buurman maakt zich grote zorgen dus ik heb voor hem gekeken” daar onder kan vallen.

Tegelijkertijd kun je die check alleen doen door het hele bestand te downloaden. Dat staat daarna op jouw laptop, en kan door onoplettendheid of wat dan ook een eigen leven gaan leiden. Op zijn minst vind ik dit dus enorm riskant.

Arnoud

 

Mijn postduif heeft de drone van de buren uit de lucht gehaald, wat nu?

Geplaatst op in Security, 17 reacties
Beeld: Ralph from Pixabay

Een lezer vroeg me:

De drone van de buurman hangt soms minutenlang stil boven ons terras en maakt een irritant zoemend geluid. Laatst schrok mijn postduif tijdens het uitvliegen van de drone en is ertegenaan gevlogen, waardoor het apparaat neerstortte en beschadigd raakte. Nu stelt de buurman mij aansprakelijk voor de schade aan zijn drone. Ben ik inderdaad verantwoordelijk voor wat mijn duif heeft gedaan, of had hij daar helemaal niet mogen vliegen?
Allereerst: het is juridisch onduidelijk of een drone boven terrein van de buren mag zijn. Art. 5:21 lid 3 BW bepaalt dat je geen bezwaar mag maken tegen vliegtuigen boven je grond, maar onduidelijk is of een drone ‘vliegt’ in de zin van dat artikel. De aparte droneregels voor kleine drones verbieden ook niet het vliegen op andermans terrein.

In 2017 werd een man veroordeeld tot schadevergoeding voor het met de luchtbuks neerhalen van een irritante drone op zijn terrein. Die schade werd wel gematigd omdat de buurman óók onrechtmatig bezig was, maar daarbij woog zwaar dat de drone een camera had en daardoor de privacy schond. Een stuk speelgoed zonder camera is daarmee wezenlijk anders.

Maar dan de hoofdvraag. Je duif vliegt tegen een drone en die gaat stuk. Hiervoor moeten we artikel 6:179 BW van stal (pardon, til) halen, en onder juristen is dat berucht vanwege de dubbele ontkenning:

De bezitter van een dier is aansprakelijk voor de door het dier aangerichte schade, tenzij aansprakelijkheid (…) zou hebben ontbroken indien hij de gedraging van het dier waardoor de schade werd toegebracht, in zijn macht zou hebben gehad.
In gewone taal: als hoofdregel ben je aansprakelijk voor alle schade die je dier aanricht (“risico-aansprakelijk”). Het maakt daarbij niet uit of je had kunnen ingrijpen. Zoals bij de postduif: die vliegt uit zichzelf, de vluchtlijn is zuiver toeval maar er is wel schade door ontstaan. Dus betalen.

Die dubbele ontkenning komt neer op “De bezitter is niet  aansprakelijk als hij de gedraging van het dier in zijn macht zou hebben gehad en bewust zou hebben toegelaten”. Als je hond uit schrik een overvaller bijt, ben je niet aansprakelijk want dat zou je ook niet zijn als je dan het commando “bijt hem” had gegeven – binnen de kaders van noodweer. Hier gaat dat niet op: bewust je duif een drone laten aanvallen is geen noodweer.

En ja, ik weet dat je een duif niet kunt dresseren om aan te vallen (Skinner’s experiment daargelaten). Rond 2016 experimenteerde de Nederlandse politie met roofvogels om drones te onderscheppen, maar dat heeft tot niets geleid.

Arnoud

Politie lekt data en houdt ontvanger aan omdat die het niet wilde verwijderen

Geplaatst op in Security, 12 reacties
Foto: MartijnK, Wikipedia

De Nederlandse politie heeft per abuis gevoelig materiaal uit een onderzoek gelekt aan een persoon. Dat meldde Tweakers afgelopen weekend. Toen die persoon die gegevens niet wilde verwijderen, heeft de politie de man aangehouden en zijn woning doorzocht. Raar verhaal.

De politie legt zelf uit in een persbericht:

In verband met een ander lopend onderzoek bij de recherche nam de verdachte op donderdag 12 februari contact op met de politie, omdat hij beelden in bezit had die mogelijk relevant zijn voor dat onderzoek. De agent die contact had met de man, besloot een link te sturen waarmee de man de beelden kon uploaden. Door een vergissing werd niet een uploadlink, maar een downloadlink gedeeld, waardoor de man de mogelijkheid had om vertrouwelijke politiedocumenten te downloaden.
Nadat de man een en ander ook daadwerkelijk had gedownload, kreeg hij een sommatie te stoppen en de data te verwijderen. Zijn reactie: “daar wil ik wel wat voor terug”. Ik weet niet wat hij had verwacht maar hij kreeg een arrestatieteam.

De politie gooit het daarbij op computervredebreuk, wat bij mij vele, vele wenkbrauwen van hun stoel liet vallen:

Als je een downloadlink toegestuurd krijgt, terwijl je weet dat je een uploadlink zou moeten krijgen, er duidelijk gezegd wordt vervolgens niet te downloaden en ervoor kiest de bestanden toch te downloaden, dan maak je je mogelijk schuldig aan computervredebreuk. De ontvanger kan namelijk redelijkerwijs aannemen dat de downloadlink en de bestanden die daarmee gedeeld worden, niet voor hem bedoeld zijn.
Nu is de definitie van computervredebreuk erg breed, maar dit voelt toch wel als erg ver oprekken. Heel misschien als het downloaden pas gebeurde nádat de agent belde met “oeps dat was de verkeerde link”. Maar als ik een link verwacht, een link krijg en daarop klik, dan zie ik niet hoe ik ergens binnendrong.

Een serieuzer vraag voor mij is waar die meneer stond zodra hem duidelijk was dat hij iets had gedownload dat vertrouwelijke politiegegevens betrof. Staatsgeheimen zijn dat niet, en schending van het ambtsgeheim (art. 272 Sr) is het ook niet want meneer is zelf geen agent. De Wet politiegegevens bevat geen bepalingen voor onbevoegde niet-agenten.

Diefstal van gegevens kennen we in twee smaken:

  1. Aftappen (art. 139c Strafrecht). Dit hangt hier op de wederrechtelijkheid, die ontbreekt als je de indruk wordt gegeven dat je er bij mag.
  2. Gegevensdiefstal sec (art. 139g Strafrecht), dat vereist dat de gegevens niet-openbaar zijn én dat deze door misdrijf verkregen zijn. Dat laatste speelt hier niet.
We komen terug bij de vraag wat deze meneer mocht vermoeden toen hij die link kreeg. Bij Tweakers lees ik een intrigerende comment van iemand met mogelijk insider knowledge:
[Dit systeem is een applicatie van Seeburger en] is een gedrocht van een programma. Om te downloaden en te uploaden moet je eerst een map maken en je geeft dan Download en upload permissies. [Die knoppen staan naast elkaar] … In een zaak kan je dus meerdere Upload permissies maken zodat alle beelden in een map komen. Maak je per ongeluk een Download permissie dan kan de persoon met de link alles downloaden uit die map.
Er is dan dus geen downloadknop an sich. Je krijgt een map te zien, en je kunt daar dingen naar uploaden en/of uit downloaden. Achteraf is het natuurlijk makkelijk oordelen “je mag niet klikken”. Maar een map is in onze mentale computermodellen een container, geen brievenbus. Wanneer iemand een link opent en een mappenstructuur ziet, activeert dit onmiddellijk de verkenningsdrang.

In UI/UX-termen heet dit de affordance: de uiterlijke kenmerken van een object die uitnodigen tot een specifiek gebruik. Een knop ‘nodigt uit’ om op te drukken; een invoerveld ‘nodigt uit’ om te typen. Een gedeelde map met naast elkaar gelegen knoppen voor ‘Upload’ en ‘Download’ heeft een ambivalente affordance. Een robuust ontwerp had een strikte scheiding van functies moeten hanteren. Een upload-only scherm, zoals bij de bekende datadeeldiensten, is veel logischer.

Natuurlijk is het bepaald ergerlijk dat die persoon (nota bene ook al verdachte in een andere zaak) die ontvangen gegevens onder zich houdt, nadat duidelijk is dat ze ten onrechte zijn verkregen. Maar dat betekent niet dat er dús een strafbaar feit is begaan.

Arnoud

RvS: bioscoop mag niet zomaar contant geld weigeren ‘vanwege veiligheid’

Geplaatst op in Ondernemingsvrijheid, Privacy, Security, 12 reacties
Photo by Jonathan Cooper on Unsplash

De Autoriteit Persoonsgegevens moet opnieuw kijken naar een zaak van een Nederlandse privacyactivist. Dat las ik bij Tweakers. Die privacyactivist is Michiel Jonker, die in 2019 naar de bioscoop wilde maar niet contant mocht betalen. De Raad van State zegt nu dat dit onvoldoende onderzocht is.

Jonker stelde dat de pinverplichting in strijd was met de AVG, omdat je dan immers persoonsgegevens verwerkt terwijl er ook een anoniem alternatief is (contant betalen). Hij vroeg de AP dan ook om handhavend op te treden, maar die wees dat op basis van bureauonderzoek af (“contant accepteren is geen wettelijke plicht”).

Daarop stapte Jonker naar de rechter, die in 2022 uitspraak deed. Die vond echter dat de AP haar afwijzing adequaat had gemotiveerd. Pinbetalen past bij het doel van de veiligheid van de organisatie verhogen, en de hoeveelheid gegevens is daarbij zeer beperkt. Bovendien kun je met een bioscoopbon wél anoniem een kaartje kopen.

De Raad van State oordeelt hier kritisch over. Dat veiligheidsargument is natuurlijk snel op tafel gegooid, maar wordt zelden concreet gemaakt. Natuurlijk, als iedereen pint dan kan een overvaller geen kassa meer meenemen. Maar is dat werkelijk een concrete zorg, bioscoopovervallen?

Uit de uitspraak van de RvS:

Op 11 juni 2019 heeft [bioscoop] Focus gereageerd op het bezwaarschrift van [appellant], en toegelicht dat zij het als haar zorgplicht ziet om de veiligheid van haar medewerkers zo goed mogelijk te beschermen, vooral nu in het filmtheater veel met vrijwilligers wordt gewerkt. Daarnaast wil Focus hen niet onnodig belasten met de verantwoordelijkheid voor contant geld. Volgens Focus is het een feit van algemene bekendheid dat de afwezigheid van cash-geld in een bedrijf de aantrekkelijkheid daarvan voor potentiële overvallers vermindert.
De Raad reageert hierop dat een doel als veiligheid wel concreet gemaakt moet worden voor de organisatie die zich erop beroept.
Op basis van de beschikbare informatie kan echter niet worden vastgesteld dat in dit concrete geval de veiligheid van de medewerkers van Focus in het geding is. Dat heeft [appellant] gemotiveerd betwist en de AP heeft daar niets tegenover gesteld. … De enkele omstandigheid dat contant geld vatbaar is voor diefstal is op zichzelf onvoldoende om (sociale) veiligheid een gerechtvaardigd doel te achten voor verplichte pinbetalingen.
Dit argument kan dus alleen opgaan als je het verbindt aan concrete omstandigheden. Misdaadcijfers in de buurt kunnen dan meewegen, onderzoek naar verminderde overvallen in andere steden bijvoorbeeld ook. Omdat er nu helemaal niets lijkt te zijn, wordt de beslissing van de AP om dit te tolereren, vernietigd.

De toezichthouder moet dus opnieuw de situatie analyseren en een uitspraak doen. En dat moet ex nunc, op basis van de situatie anno 2026. Omdat vandaag “alleen pinnen” zó ingeburgerd is, ben ik dus wel benieuwd wat de argumenten gaan zijn.

Arnoud

 

 

Kan de AP wat doen tegen een bioscoop die geen contant geld wil?