Met valse personalia internet bestellen is geen computervredebreuk

| AE 12233 | Regulering, Security | 18 reacties

Onder andermans naam een internetmodem bestellen en een contract afsluiten, is dat computervredebreuk? Je zit dan te internetten terwijl je weet dat je dat niet mag, dus je bent dan willens en wetens ergens binnengegaan (namelijk in de modem en het netwerk van Vodafone) waar je niet mocht zijn. Dat je geen beveiliging hebt doorbroken, is al tijden geen argument meer. Maar nee, toch is dit géén computerdelict. Dat blijkt uit een recent strafrecht vonnis uit Rotterdam.

De verdachte heeft zich met zijn partner op grote schaal en creatieve wijze schuldig gemaakt aan het veelvuldig oplichten van VodafoneZiggo en KPN gedurende een periode van bijna twee jaar, zo opent het vonnis. Hij nam onder valse persoonsgegevens contracten af, nam de modems in ontvangst en kon zo internetten en bellen zonder daarvoor te hoeven betalen. Kennelijk ging er iets mis bij VodafoneZiggo haar fraudecontrole, want “[i]n het huis van de verdachte en in een door hem gehuurde garagebox zijn maar liefst 1161 modems aangetroffen.” Maar goed, uiteindelijk toch gepakt.

Het OM noemde dit computervredebreuk, want “door met valse personalia via VodafoneZiggo modems te bestellen, deze aan te sluiten en te gebruiken en de kosten daarvan onbetaald te laten, is sprake van het wederrechtelijk binnendringen in deze modems.” Een argument dat je wel vaker hoort. Je weet dan dat je niet in die modems (of de bijbehorende servers) mag zijn, omdat je weet dat je geen abonnement hebt.

Toch klopt het niet:

De verdachte heeft niet op een andere wijze toegang gekregen tot en gebruik gemaakt van de goederen en diensten van VodafoneZiggo dan gebruikelijk. Niet kan dan ook worden gezegd dat hij door die gedragingen op een wederrechtelijke manier toegang heeft verworven tot de modems.
In mijn woorden, als je een computer of netwerk gewoon gebruikt zoals het bedoeld is, dan is het geen computervredebreuk. Ook niet als je eigenlijk onder valse voorwendselen opereerde, zoals hier dus met de nep-NAW gegevens. Dat sluit aan bij een eerder arrest uit Amsterdam, waarin de verdachte vervalste betaalopdrachten aan de computer van de Rabobank had aangeleverd:
de verdachte […] gebruik heeft gemaakt van hem door de Rabobank […] ter beschikking gestelde gegevens (pincode, overeenkomstnummer, software etc, met uitzondering van het door hem zelf samengestelde wachtwoord). De verdachte heeft door aldus te handelen op reglementaire, geautoriseerde wijze verbinding gezocht en verkregen met het computersysteem van de Rabobank […] toen hij zijn batch-bestanden verzond van zijn computer naar die van de Rabobank […]. Op geen enkele wijze noch op enig moment is hem de toegang geweigerd, ontzegd of anderszins geblokkeerd, noch is daarbij van de kant van de verdachte sprake geweest van manipulatie van toegangsgegevens.
Valse input geven aan een systeem is dus op zichzelf nog geen computervredebreuk. Pas als je de computer wat anders laat doen dan wat deze normaal gaat doen (zoals bij een SQL injectie) dan kom je in dat strafbare feit terecht.

Oplichting was het natuurlijk wel, wat deze meneer had gedaan. En daarvoor krijgt hij dan ook 18 maanden cel, waarvan 6 voorwaardelijk. De schadeclaim van VodafoneZiggo van een dik half miljoen wordt afgewezen “omdat een volmacht of uittreksel van de Kamer van Koophandel ontbreekt” waaruit kon blijken dat de persoon die deze indiende, gemachtigd was namens VZ te handelen. Auw.

Arnoud

Mag de VVE eisen dat alle bezoekers badges krijgen?

| AE 12193 | Security | 32 reacties

Een lezer vroeg me:

De VvE van het appartementencomplex waarin ik woon, maakt sinds kort gebruik van een beveiligingssysteem met toegangsbadges in plaats van sleutels. Iedere bewoner krijgt er eentje, en wie meer wil moet dat onder opgaaf van naam en adres van de beoogde verkrijger doen, plus waar de badge toegang toe moet geven (hoofddeur, parkeergarage, appartement etc). Maar kan een VvE bepalen wie ik wel of niet toegang wil verlenen tot het complex waarin ik woon?
Een VVE kan inderdaad samen afspreken hoe de beveiliging en toegangscontrole van het complex wordt geregeld. Ik snap de overstap van sleutels naar badges wel. Sleutels kunnen worden nagemaakt of raken kwijt, en dat levert gedoe op. Badges kun je intrekken.

Daarnaast kun je met badges veel fijnmaziger toegang regelen: wel de hoofdingang en de deur van appartement 3, maar verder niets. En je kunt zelfs bijhouden welke badge wanneer is gebruikt, wat handig is als er schade of andere ongeregeldheden zich hebben voorgedaan.

Daar staat tegenover dat dit middel een stuk privacy-invasiever is, precies omdat je in meer detail kunt nagaan wie (althans, welke badgehouder) waar en wanneer binnen of buiten ging. Omdat het hier gaat om elektronische registratie gekoppeld aan personen, is de AVG van toepassing. (De uitzondering voor huishoudelijk gebruik geldt niet bij een VVE die zélf dit regelt.)

De AVG eist natuurlijk een goede beveiliging: wie mag bij de gegevens, wie bepaalt wat er wordt vastgelegd, hoe wordt omgegaan met verlies, klachten en claims tot inzage. Maar minstens zo belangrijk is de noodzaak, want in gevallen als dit zul je je moeten beroepen op een legitiem belang en dat vereist een afweging van respectieve belangen.

Het voornaamste belang lijkt hier te zijn dat de VVE niet wil dat er sleutels gaan ‘rondzwerven’ (omdat bewoners kopieën uitreiken) of dat bewoners hun garage gaan verhuren aan derden door de sleutel uit te lenen. Dat belang zie ik, maar moet wel duidelijk en concreet aanwezig zijn. Als er dus problemen zijn geweest met onderverhuurde garages, dan zie ik deze stap wel. Enkel “het zou kunnen en dat willen wij niet” is niet genoeg.

Het doet wel wat raar aan dat de VVE naam en adres wil van de houders van de badges. Ik zou zeggen dat ik mijn moeder of de schoonmaker best zo’n badge moet kunnen geven, welke reden kan erop tegen zijn om deze frequente bezoekers met verdenking tegemoet te zien? En wat voegt het toe te weten waar deze mensen normaal wonen? Ik denk dat je dát niet kunt eisen als VVE.

Arnoud

Data is niets maar een man uit Spijkenisse kon ze wel stelen?

| AE 12187 | Regulering, Security | 15 reacties

Met de aanhouding van een 53-jarige man uit Spijkenisse is voorkomen dat mogelijk vele honderdduizenden persoonsgegevens op straat kwamen te liggen. Dat las ik bij Politie.nl vorige week (via). Een bedrijf in Utrecht ontdekte dat persoonsgegevens in strijd met de wet werden gebruikt (mooi stukje beveiliging/organisatorisch de AVG op orde hebben!) en deed aangifte, waarna de politie vrij snel bij deze verdachte uitkwam. Goede actie, en hopelijk zijn de gegevens niet ondertussen al ergens anders naartoe. Maar, zo kreeg ik dan de vraag: dat kan toch niet, data is toch niets, hoe kan het dan worden gestolen?

In de pers moet je altijd uitkijken met termen als “diefstal van gegevens” want de meeste journalisten zitten niet zo op de juridische nuances. Van diefstal is alleen sprake als je “een goed” wegneemt zonder daartoe bevoegd te zijn, en dan ook nog eens met het doel je dat goed zelf toe te eigenen. Iets dat geen goed is, kun je dus niet stelen.

Data is in het algemeen geen goed; de definitie daarvan vereist kort gezegd dat de houder ervan als enige er wat mee kan doen (en dat er enige waarde aan het goed verbonden is). Dit volgt uit het Runescape-arrest dat bepaalde dat die criteria niet gelden voor gegevens in het algemeen, maar wel specifiek voor gegevens die objecten in virtuele werelden vertegenwoordigen. Als jij dat zwaard hebt, dan de rest van de deelnemers niet. Idem voor belminuten (op dezelfde dag beslist), als ik ze opbel dan kun jij dat daarna niet meer.

Persoonsgegevens zijn duplicatief, je kunt ze kopiëren. Daarmee voldoen ze niet aan die beperkte criteria en dus zijn het geen goederen. Alle wetgeving over eigendom is daarmee niet van toepassing. Dat is waarom ik “data is niets” zeg. Je kunt niet “je data terug” eisen, want de term “jouw” kan juridisch alleen op eigendom geplakt worden. Het is of je data blauw noemt, dat klopt gewoon niet.

Dat wil niet zeggen dat data juridisch vogelvrij is. Je kunt bij een data-beheerder gewoon contractueel afspreken dat hij je een kopie geeft wanneer je dat vraagt. En bij het strafrecht zijn er – vanwege het eerdere Computergegevens-arrest – aparte regels gemaakt over het wegmaken of kopiëren van data in strijd met andermans recht. En dat is wat deze meneer ten laste gelegd gaat worden. We noemen dat dan wel ‘data-diefstal’ maar we bedoelen het overnemen van gegevens na computervredebreuk (artikel 138ab lid 2 Strafrecht) of wederrechtelijk aftappen van gegevens (artikel 139c).

Arnoud

Man van 22 is schuldig aan uitvoeren van ddos-aanvallen, maar krijgt geen straf

| AE 12161 | Regulering, Security | 14 reacties

Een man van 22 uit Scheemda is schuldig bevonden aan het uitvoeren van twee ddos-aanvallen op vrienden, las ik bij Tweakers. Hij krijgt daarvoor geen straf opgelegd. Het OM verdenkt hem van het uitvoeren van 76 aanvallen, maar de rechter acht dat slechts van twee bewezen. En gezien de beperkte schade van die twee, dat… Lees verder

Grapperhaus: tweede lek in NL-Alert-app was geen meldplichtig datalek

| AE 11929 | Privacy, Security | 9 reacties

Een tweede beveiligingslek in de NL-Alert-app waar de NOS vorige week vrijdag over berichtte was geen meldplichtig datalek en is daarom niet aan de Tweede Kamer gecommuniceerd, zo heeft minister Grapperhaus van Justitie en Veiligheid aan de Kamer laten weten. Dat las ik bij Security.nl. Bij een eerder beveiligingslek waren locatiegegevens van 58.000 gebruikers en… Lees verder

Schenden van de gebruiksvoorwaarden van een site is toch geen computervredebreuk

| AE 11863 | Regulering, Security, Uitingsvrijheid | 6 reacties

Het schenden van de gebruiksvoorwaarden van een site is toch geen computervredebreuk, las ik bij Ars Technica. Een federale rechter in Washington, DC heeft geoordeeld dat de strenge Amerikaanse Wet Computercriminaliteit (Computer Fraud and Abuse Act) niet van toepassing is enkel omdat iemand op een site actief is in strijd met de gebruiksvoorwaarden. Dat zal… Lees verder

Mag je corp.com registreren als je weet dat dat een Windows-fout is?

| AE 11791 | Security | 5 reacties

Een lezer vroeg me: Bij KrebsOnSecurity las ik dat het Corp.com domein te koop gezet gaat worden. Daarmee is toegang te krijgen tot allerlei credentials en nu vroeg ik me af of dat legaal is. Immers je doet niets, andere mensen configureren hun Windows-netwerk slecht. Hoe zit dat in Nederland? Het domein corp.com gaat inderdaad… Lees verder

Hoe verhoudt de AVG zich tot mijn huwelijkse gemeenschap van goederen?

| AE 11755 | Privacy, Security | 13 reacties

Ik ben voor deze posting even mevrouw van Dam. Gehuwd in gemeenschap van goederen. Zo opende een forumbericht bij Security.nl onlangs. Met daaraan gekoppeld de vraag: hoe zit dat dan met de AVG, stel dat je een bestelling van je vrouw wilt ophalen of van een account van je man een inzage- of correctieverzoek wil… Lees verder

Die journalisten van Trouw hadden dikke mazzel dat ze een scoop vonden bij hun computervredebreuk

| AE 11749 | Ondernemingsvrijheid, Security | 24 reacties

Enkele KPN-medewerkers hebben zich intern kritisch uitgelaten over de door KPN ontwikkelde app WeGoEU. Dat las ik bij Tweakers. De kritiek luidt dat de app data van Chinese toeristen verzamelt en naar Chinese servers, en daarmee naar de Chinese overheid zou sturen. Oké, leuk nieuwtje maar het échte nieuws voor mij is dat Trouw dit… Lees verder

Moet ik bezoekers ons securitybeleid onthullen van de AVG?

| AE 11738 | Privacy, Security | 6 reacties

Een lezer vroeg me: Een bezoeker van ons bedrijf heeft via het gastennetwerk internet gebruikt. Nu krijg ik van hem een verzoek onder de AVG om precies te vertellen wat wij van hem hebben gelogd. We melden inderdaad bij het aanmelden “This network is monitored for security purposes” maar in welk detail moet ik hem… Lees verder