Hoe strafbaar is het om met een Flipper Zero alle iPhones in de trein te resetten?

De Nederlandse onderzoeker Jeroen van der Ham zat in de trein en kreeg ineens een berg popups op zijn iPhone, zo opende Ars Technica onlangs. Na een paar minuten resette de telefoon, om vervolgens eindeloos dezelfde cyclus te doorlopen. En niet alleen hij: de hele coupé had er last van. Dat bleek een vervelio met een Flipper Zero te zijn. Vandaar de vraag, hoe strafbaar is dat?

De kern van het probleem was dat de meneer met die Flipper Zero een berg Bluetooth-verbindverzoeken stuurde naar alle iPhones in de wijde omgeving, zo veel dat de telefoons er van crashen. En dat gaat natuurlijk gewoon door na de reboot.

Nou is een Bluetooth-verbindverzoek op zich natuurlijk legaal om te versturen. Alleen hier gaat het niet om een enthousiaste high tech koppelaar of een foute configuratie maar om een bewuste poging apparaten omver te krijgen: de Flipper Extreme firmware op dat apparaatje komt met een knopje  “iOS 17 attack”, en dat is wel een duidelijke aanwijzing dat je iets ongewenst gaat doen.

We komen dan in het strafrecht direct uit bij de verstikkingsaanval (art. 138b):

Met gevangenisstraf van ten hoogste twee jaren of geldboete van de vierde categorie wordt gestraft hij die opzettelijk en wederrechtelijk de toegang tot of het gebruik van een geautomatiseerd werk belemmert door daaraan gegevens aan te bieden of toe te zenden.
Het maakt bij dit artikel niet uit of je de gegevens op zich mócht versturen (Bluetooth is immers een open protocol op een vrije band), waar het om gaat is of je daarmee een ander het gebruik van een computer belemmert. Als je dat opzettelijk doet en geen bevoegdheid tot dat belemmeren hebt, dan ben je dus strafbaar.

De maximale strafmaat is 2 jaar. Er is echter ook nog een zwaarder artikel, namelijk 161sexies:

Hij die opzettelijk enig geautomatiseerd werk of enig werk voor telecommunicatie vernielt, beschadigt of onbruikbaar maakt, stoornis in de gang of in de werking van zodanig werk veroorzaakt, of een ten opzichte van zodanig werk genomen veiligheidsmaatregel verijdelt, wordt gestraft:
In de praktijk wordt dit artikel gebruikt om DDoS-aanvallers te vervolgen, omdat de strafmaat begint bij zes jaar (gemeen gevaar) tot vijftien jaar (dood als gevolg). Wel zit je dan met het extra criterium van “gemeen gevaar”, oftewel iets waardoor de veiligheid van personen of goederen in  het algemeen in gevaar wordt gebracht. Anders gezegd: gevaar, maar niet op voorhand specifiek af te bakenen.

Hier lijkt me dat zeker wel op te gaan: de aard van dit handelen is dat je alle iPhones in de buurt plat wilt gooien, oftewel stoornis daarin wilt veroorzaken. Dus dat dit strafbaar is, staat voor mij wel vast.

Of je een agent de trein in krijgt die dit kan en wil constateren en vervolgens verbaliserend wil optreden, is natuurlijk de volgende vraag. Dus ik zou meer in alternatieve oplossingen zoeken als je met uitpeilen of goed rondkijken de dader aantreft. Een goed gesprek kan natuurlijk ook zeer helpen.

Wat zouden jullie doen?

Arnoud

 

 

Is het legaal om in datalekken te snuffelen?

Een lezer vroeg me:

Wanneer een organisatie gehackt wordt en de interne data online wordt gepubliceerd, is het dan legaal om dit als burger te bekijken? Of moet je dan journalist zijn? Laten we er even vanuit gaan dat ik niet het doel heb om mensen te intimideren met het tot me nemen van de gelekte data.
De laatste zin verwijst naar het verbod op doxxing, dat per 1 januari van kracht zal worden (wetsvoorstel). Daar hoef je je geen zorgen over te maken, omdat dit verbod gaat over het verspreiden van informatie, niet om het bekijken of op je eigen harde schijf hebben.

Er is echter een relevanter verbod, namelijk artikel 139g Strafrecht. Dit stelt strafbaar dat iemand niet-openbare gegevens verwerft of voorhanden heeft

terwijl hij ten tijde van de verwerving of het voorhanden krijgen van deze gegevens wist of redelijkerwijs had moeten vermoeden dat deze door misdrijf zijn verkregen;
Let op dat het hierbij niet uitmaakt of het gaat om persoonsgegevens (AVG) of andersoortige gegevens, zoals bedrijfsgeheime broncode of meetgegevens van sensoren. Het enige criterium is of de gegevens openbaar waren of niet.

Dat criterium geldt overigens voor de verkrijger op het moment van verkrijging. En specifiek bij zo’n online gezet datalek gaat dat dan mis: de gegevens zijn dan al openbaar, iedereen kan er immers in snuffelen. Dat die openbaarmaking onrechtmatig is, is niet relevant. Zoals bij invoering van dit artikel werd gezegd:

Gegevens die op het internet zijn geplaatst, zijn openbaar mits het publiek toegang heeft tot de internetpagina waar de teksten zijn weergegeven (vgl. Hof Amsterdam 23 november 2009, NJFS 2010,29). Het downloaden van openbare gegevens van internet is dus niet strafbaar op grond van deze strafbepalingen.
Het enkel snuffelen uit nieuwsgierigheid is dus niet strafbaar. Als je de gegevens voor wat anders gaat gebruiken, dan krijg je wel allerlei wettelijke bezwaren. Ze overnemen in een eigen bestand (je AI trainen, je marketingdata verrijken of een waarschuwingssite bouwen, ik noem er een paar) kan al snel in strijd zijn met de AVG als er persoonsgegevens in zitten. De gegevens kunnen beschermd zijn door auteursrecht of databankrecht. Een herpublicatie kan smaad opleveren. En ga zo maar door.

Arnoud

 

Hoe betrouwbaar zijn digitale foto’s tegenwoordig nog als bewijs?

Foto via PetaPixel, © Tessa Coates

“Het weefsel van de werkelijkheid brokkelde af”, aldus de Britse acteur Tessa Coates toen ze de iPhone-foto bekeek waarop ze een trouwjurk paste. Niet zonder reden – klik op de thumbnail om haar foto te bekijken. Coates kijkt in drie spiegels, en in elke spiegel staan haar handen anders. Wat betekent dat, vroegen velen mij, voor de bewijskracht van foto’s?

Apple Insider legt uit:

Coates was moving when the photo was taken, so when the shutter was pressed, many differing images were captured in that instant as the camera swept over the scene, since it was a panoramic photo capture. Apple’s algorithm stitches the photos together, choosing the best versions for saturation, contrast, detail, and lack of blur.
Het achtergrondartikel van PetaPixel gaat meer in op de details. De kern is dat een foto dus al lang niet meer is dan een registratie van het licht dat op de sensoren valt, maar dat met allerlei technieken het beeld wordt aangepast om zo goed mogelijk te passen bij wat we verwachten van een camera.

Een heel extreem voorbeeld kwam dit voorjaar in het nieuws toen bleek dat Samsung’s camera bij detailfoto’s van de maan gewoon een andere afbeelding van de maan erin zet zodat het mooier lijkt. Samsung omschreef dit als “effectively remove noise and maximize the details of the moon to complete a bright and clear picture of the moon”, maar voor mij is een rondje uitknippen en een eerder gemaakte superfoto erin schuiven toch iets anders. Dat gezegd hebbende: het is en blijft een foto van de maan.

Ook de foto van Coates hierboven is in zoverre echt dat ze echt zo stond en dat die spiegels echt die reflectie gaven. Het zijn alleen drie verschillende reflecties die nu samen op de foto stonden.

Betekent dit nu dat we voortaan foto’s het raam uit kunnen doen in het bewijsrecht? Welnee. Juristen zijn conservatief – we luisteren ook nog steeds naar getuigen, ondanks dat er gebouwen gevuld kunnen worden met onderzoeken die aantonen hoe onbetrouwbaar die zijn en hoe foutgevoelig het afnemen van een verhoor kan zijn.

Het komt in de praktijk zeer zelden voor dat serieus getwijfeld wordt aan de echtheid van documenten zoals foto’s. Het wordt regelmatig geopperd, maar in Nederland accepteert de rechter geen argumenten van het soort “foto’s kunnen eenvoudig gemanipuleerd dus daarom mag u niet naar deze foto kijken”. De vraag is: waaruit blijkt dat déze foto is gemanipuleerd. Het aantal vonnissen waarin daadwerkelijk serieus zulke manipulatie aan de orde is, is volgens mij op éen hand te tellen (en dan bedoel ik niet binair tellend, grapjassen).

De discussie gaat vrijwel altijd over wat het bewijs impliceert. Wat betekent deze clausule, wat gebeurt er op deze foto, laat deze log echt een inbraak zien? Vaak zijn feiten voor meerdere interpretatie vatbaar. Iemand steekt zijn hand op – vraagt hij aandacht, gaat hij slaan, weert hij af? Die discussie verandert niet omdat de iPhone foto’s aan elkaar weeft voor een mooier beeld.

Arnoud

Laadpassen voor elektrische auto’s al jaren gevoelig voor fraude, is dat erg?

Laadpassen voor elektrische auto’s zijn al jaren fraudegevoelig, waardoor het mogelijk is om op kosten van iemand anders de auto op te laden. Dat las ik bij Security.nl, dat zich baseert op eigen onderzoek van cybersecuritybedrijf Vest: vanaf het aanvraagproces voor een pas tot aan het gebruik en betalen voor de dienst gaat het mis, aldus onderzoeker Alexander van Ee.

Zo ongeveer alles dat qua security zou kunnen helpen, blijkt niet aangezet of niet aan controle onderworpen. Je kunt een laadpas aanvragen op andermans naam en bankrekeningnummer, zonder controle. Activatie van de pas blijkt praktisch niet nodig. Klonen van passen is triviaal. De pas praat via een onbeveiligd protocol met de laadpaal. Betalen gaat enkel op basis van uitlezen van het pasnummer, en die zijn eenvoudig te raden (en dus te klonen). Oh, en met een extra stukje software kun je druppelladen: opeenvolgende laadsessies van 59 seconden, die stuk voor stuk gratis zijn omdat pas na 1 minuut wordt afgerekend. Bent u daar nog?

Bij NRC deden ze navraag bij de aanbieders, en die zijn pragmatisch:

De laadpasaanbieders en laadpaaloperators zijn zich bewust van de risico’s, maar achten de kans op misbruik klein. Laadstationexploitant Fastned, dat zelf geen passen verstrekt, zegt „geen noemenswaardige fraudeklachten” te ontvangen.
Onderzoeker Pol Van Aubel, verbonden aan de Nijmeegse Radboud Universiteit verduidelijkt:
Bij veel publieke laadpalen is cameratoezicht, en fraude is strafbaar en op te sporen. Het is immers een trage vorm van diefstal, zegt Van Aubel. „Je staat al snel minstens een kwartier te laden, en bij een tragere lader wel twee uur. Het is niet alsof het een heel lucratieve en risicoloze manier van fraude is.”
Het onderliggende probleem is natuurlijk dat alle passen met alle palen moeten werken. Dat oplossen vereist dus aanpassingen in zowel pas als paal, en dat is behoorlijk duur. Maar zou het juridisch moeten, zoals diverse lezers me vroegen?

Toevallig is bijna een jaar geleden de NIS2-richtlijn aangenomen, die eisen stelt aan de cyberbeveiliging van “kritieke infrastructuur”. Laadpaalinfrastructuur valt daaronder (annex 1, categorie Energie/Elektriciteit) dus die exploitanten (aangenomen dat ze middenbedrijf of groter zijn) moeten de boel op orde hebben. Maar wat betekent dat? Artikel 21 legt het uit zoals alleen een jurist zou doen:

Member States shall ensure that essential and important entities take appropriate and proportionate technical, operational and organisational measures to manage the risks posed to the security of network and information systems which those entities use for their operations or for the provision of their services, and to prevent or minimise the impact of incidents on recipients of their services and on other services.

Oftewel, zorg er voor dat het goed is en dat je de risico’s onder controle hebt. En daar zit hem de kneep: is afwezigheid van cybersecurity een probleem als er geen reële gevallen van misbruik daarvan zijn? Niemand laadt op andermans kosten, gekloonde laadpassen zijn geen ding en gratis druppelladen kan maar dan sta je vele uren bij de paal, tsja wie wil dat nou?

Iets formeler gezegd: een goede cyberbeveiliging is gebaseerd op een risicoafweging. Je neemt de grootte van het risico en de zwaarte van de impact mee, en baseert daar je beleid op. Zelden voorkomende issues met nauwelijks impact kun je in dat beleid prima als restrisico/aanvaardbaar classificeren, met eventueel een potje geld voor dat enkele slachtoffer.

Arnoud

UWV moet 500 euro schadevergoeding betalen na datalek

Het Nederlandse Uitvoeringsinstituut Werknemersverzekeringen moet een schadevergoeding van 500 euro betalen aan een vrouw die schade ondervond vanwege een datalek. Dat las ik bij Tweakers. Het is opzienbarend want het gebeurt zelden, maar in zoverre weinig nieuws want het ging om medische gegevens. Veel méér weten we alsnog niet.

In 2021 stuurde het UWV vijf brieven die voor haar bestemd waren naar een verkeerd adres. Hoe dat kon gebeuren wordt niet duidelijk, maar dat het een datalek was onder de AVG daar waren partijen het wel over eens.

Bij datalekken kun je schade lijden, zeker als het gaat om datalekken van medische gegevens. Onderbouwen om welk bedrag het gaat is een discussie waar het laatste woord nog niet over gezegd is. De vrouw in deze zaak claimde uiteindelijk 3000 euro, het UWV bood 250 euro aan. Daar kwam men dus niet uit, waarna de rechter de knoop moest doorhakken.

De rechter kijkt, zoals dat hoort, naar dit specifieke geval.

De post die verweerder naar een verkeerd adres heeft gestuurd, bevatte procedurele aanschrijvingen en medische gegevens. Eiseres heeft daardoor termijnen overschreden, waar zij angsten door kreeg. De medische gegevens kwamen op straat te liggen. Er dient in het bijzonder rekening te worden gehouden met de psychiatrische klachten die eiseres heeft, waardoor de door de datalek veroorzaakte problemen een grotere impact hadden op eiseres dan zij zouden hebben gehad op gezonde mensen.
(De brieven waren ongeopend retour gekomen, maar dat is geen argument; het gaat om de gevolgen van het verkeerd sturen van de post en niet om de gevolgen van het misbruik van de inhoud van de post.)

Met name de impact op deze mevrouw vanwege haar klachten weegt de rechter de schade af naar redelijkheid en billijkheid op 500 euro:

De rechtbank is van oordeel dat een schadevergoeding van € 500,- billijk en passend is. Daarbij heeft zij met name gewicht toegekend aan de gevolgen die het datalek heeft gehad op de psychische problemen van eiseres, zoals eiseres die heeft beschreven in haar verzoek van 3 augustus 2021. De behandelend psycholoog van eiseres bevestigt deze problemen in haar rapport (…).
Inderdaad, precies dat bedrag dat die andere persoon ook kreeg in een medisch geval. En daarom is dit in zoverre jammer: er staan geen nieuwe argumenten in waar je wat mee zou kunnen in bijvoorbeeld een massaclaim, die er ondertussen een klein dozijn liggen.

Arnoud

 

 

Is het voor een advocaat strafbaar om zijn KvK-bevoegdheden te misbruiken?

Een lezer vroeg me:

Zoals je misschien weet kun je als advocaat een speciaal account bij de KvK krijgen, waardoor je dan (op basis van art. 51 lid 5 Handelsregisterbesluit) adresgegevens van natuurlijke personen kunt inzien als je een uittreksel KvK opvraagt. Maar stel nou dat een corrupte advocaat voor een criminele opdrachtgever zo inzicht krijgt in afgeschermde adresgegevens. Is dat strafbaar?
De lezer droeg zelf nog de suggestie aan van oplichting (art. 326 Sr), omdat ook het aftroggelen van gegevens daaronder valt. Maar er is dan een “listige kunstgreep” nodig, en daarvan is geen sprake als je gewoon inlogt en gewoon gegevens opvraagt, met als enige omstandigheid dat je dit niet doet voor het afgesproken doel.

Er is art. 139d Strafrecht, de diefstal van gegevens. Wie deze wederrechtelijk opneemt of aftapt, handelt strafbaar. Dan zou de wederrechtelijkheid zijn dat je dan de regels schendt regels op grond waarvan je erbij mag. Ik zit daar een beetje met “aftappen of opnemen”, want je krijgt ze gewoon in je browser. “Aftappen” suggereert dat je iets geks doet om mee te luisteren.

Ik kom dan toch met frisse tegenzin uit bij computervredebreuk: het binnendringen in een geautomatiseerd werk met een valse sleutel. Er is namelijk jurisprudentie van de Hoge Raad dat je toegang misbruiken voor een oneigenlijk doel telt als computervredebreuk middels valse sleutel (vals wachtwoord). Daarvan is hier ook sprake.

Ik blijf er moeite mee houden dat het strafrecht op deze manier zou werken, met name omdat een private partij dan kan bepalen of iets strafbaar moet zijn. Zoals ook Berndsen betoogt:

De bepaling die feitelijk slechts verbiedt om zonder toestemming andermans computer binnen te dringen, verwordt zo tot een algemeen verbod op het kennisnemen van bepaalde informatie. Daarmee is het toepassingsbereik van artikel 138ab Sr en de voorzienbaarheid daarvan evident ruimer en bovendien minder duidelijk dan blijkens wettekst en parlementaire geschiedenis de bedoeling was. Het door ons gesignaleerde probleem van onvoldoende rechtszekerheid is gecreëerd door beslissend te achten of er een beroepsmatige noodzaak van het raadplegen van gegevens bestaat, in plaats van de vraag of wederrechtelijk in  een systeem wordt binnengedrongen.
Ik zou zelf meer zien in een tuchtrechtelijk aanpakken – je titel of bevoegdheden verliezen vanwege dit soort akkefietjes lijkt me meer in de lijn der verwachting liggen. Ook kun je nog gaan zitten op schending van het ambtsgeheim (art. 272 Strafrecht) omdat je vertrouwelijke informatie doorvertelt aan een onbevoegde. Dat is natuurlijk lastiger te bewijzen want dan moet je als OM wel weten dat er een derde is die het gehad heeft.

Arnoud

‘Politie kan ip-adressen en telefoonnummers Telegramgebruikers vorderen’

De Nederlandse politie zegt bij de chatapp Telegram telefoonnummers op te kunnen vragen die gebruikers juist geheim willen houden, zo ontdekte BNR via een Woo verzoek. Op de eigen website meldt Telegram dat het deze gegevens alleen deelt als het een gerechtelijk bevel ontvangt dat de betreffende gebruiker een terreurverdachte is. Eindelijk een kans me op te winden over die mega-irritante term “gerechtelijk bevel”.

Bij Security.nl leggen ze uit:

Op de formulieren die door de politie zijn gedeeld blijkt dat het om zogenoemde ‘emergency disclosure requests’ gaat. Meerdere chatdiensten bieden opsporingsdiensten deze optie om gegevens van gebruikers op te vragen als er sprake is van onmiddellijk dreigend levensgevaar. Dat opsporingsdiensten deze mogelijkheid ook bij Telegram hebben staat niet op de website van de chatdienst vermeld.
Maar dat iets niet op je website staat, betekent natuurlijk niet dat je het niet hoeft te doen. De wet is de wet, en zeker bij telecom-vorderingen kan de politie heel erg veel. En nee, daar is lang niet altijd tussenkomst van een rechter bij nodig.

Wat me bij mijn irritatie brengt: die term “gerechtelijk bevel” is natuurlijk de letterlijke vertaling van “court order”, de Amerikaanse constructie waarbij een rechtbank oordeelt over een kwestie en dan een -meestal voorlopige- uitspraak doet. Dat kan bijvoorbeeld een gag order zijn, hou je mond hierover, maar ook een bevel tot afgeven van gegevens of verwijderen van een publicatie.

De court order verscheen als term in websitevoorwaarden en dergelijke omdat dit het mechanisme is waarmee je in de VS dingen afdwingt. Niet eens met de publicatie? Wil je weten wie hier achter zit? Zoek je een persoon voor je schadeclaim? Haal maar een court order en dan doen we wat daarin staat. En zónder court order kun je roepen wat je wilt, maar blijven we lekker zitten waar we zitten.

De misvatting is hiermee ontstaan dat áltijd een court order nodig is, oftewel dat er altijd een rechter naar moet kijken. Wat niet waar is: in Nederland is bijvoorbeeld afgifte van NAW-gegevens van klanten zonder rechter verplicht, en je kunt schadeclaims krijgen als je daar niet aan meewerkt.

In het strafrecht is het allemaal iets strenger en vooral formeler. Maar we hebben een gelaagd systeem, waarbij de benodigde checks and balances afhangen van de ernst van de gevorderde maatregelen én van het achterliggende misdrijf. Neem bijvoorbeeld artikel 126na Strafvordering:

In geval van verdenking van een misdrijf kan de opsporingsambtenaar in het belang van het onderzoek een vordering doen gegevens te verstrekken terzake van naam, adres, postcode, woonplaats, nummer en soort dienst van een gebruiker van een communicatiedienst. Artikel 126n, tweede lid, is van toepassing.
Volgens dit artikel mag dus iedere politieagent vorderen tot afgifte van NAW gegevens en nummer (ip-adres, telefoonnummer, etc) van een gebruiker wanneer er vermoedelijk een misdrijf is gepleegd. Het maakt niet uit welk misdrijf. Hierbij is dus géén tussenkomst van de rechter nodig, dit mag de agent gewoon vragen en je moet dat dan geven als dienstverlener.

De reden dat dit zo mag, is omdat dit vrij basale gegevens zijn en een misdrijf toch wel iets ernstigs is. Met deze gegevens kan de politie dan bijvoorbeeld nagaan of het ip-adres matcht met het ip-adres dat men op een oplichtingssite vond.

Een agent mag hiermee echter géén inhoud van bijvoorbeeld mailboxes vorderen, want die gegevens staan hier niet genoemd. Daarvoor zou je bijvoorbeeld artikel 126nd inzetten:

In geval van verdenking van een misdrijf als omschreven in artikel 67, eerste lid, kan de officier van justitie in het belang van het onderzoek van degene van wie redelijkerwijs kan worden vermoed dat hij toegang heeft tot bepaalde opgeslagen of vastgelegde gegevens, vorderen deze gegevens te verstrekken.
Dit mag dus alleen als het gaat om een ernstig misdrijf – artikel 67 Strafrecht bevat een lijst met wat we “ernstig” vinden. En de vordering moet gedaan worden door een officier van justitie, dus niet door iedere willekeurige opsporingsambtenaar. Dat is dus een iets hogere lat.

De rechter-commissaris komt in beeld als het nóg wat strenger moet, bijvoorbeeld bij het vorderen van gegevens die aan te merken zijn als bijzondere persoonsgegevens. Die zijn in artikel 126nd uitgesloten (lid 2) van de vordering. Wil de officier dat toch, dan moet zhij naar artikel 126nf:

  1. In geval van verdenking van een misdrijf als omschreven in artikel 67, eerste lid, dat gezien zijn aard of de samenhang met andere door de verdachte begane misdrijven een ernstige inbreuk op de rechtsorde oplevert, kan de officier van justitie, indien het belang van het onderzoek dit dringend vordert, van degene van wie redelijkerwijs kan worden vermoed dat hij toegang heeft tot gegevens als bedoeld in artikel 126nd, tweede lid, derde volzin, deze gegevens vorderen.
  2. (…)
  3. Een vordering als bedoeld in het eerste lid kan slechts worden gedaan na voorafgaande schriftelijke machtiging, op vordering van de officier van justitie te verlenen door de rechter-commissaris. Artikel 126l, zevende lid, is van overeenkomstige toepassing.
Hier bepaalt lid 3 dus dat een rechter-commissaris nodig is, deze machtigt de officier om de vordering te doen. Maar er is hier nóg een eis bijgekomen: het ernstige misdrijf moet nu ook nog eens “een ernstige inbreuk op de rechtsorde” opleveren, wat een nog weer hogere inhoudelijke toets betekent.

En om dan weer het bericht van BNR erbij te pakken: het gaat hier dus om telefoonnummers, wat een ‘licht’ gegeven is en waarvoor dus iedere opsporingsambtenaar een vordering mag doen bij verdenking van enig misdrijf. Daarvoor is dus zeer zeker geen rechter-commissaris nodig. Waarom Telegram dit niet op de site vermeldt, weet ik niet.

Arnoud

 

 

 

Cryptoplatform Coin Meester verplicht tot schadevergoeding na diefstal digiwallet van gebruiker

Eiser was klant van het beleggingsplatform Coin Meester toen zijn crypto account op de website gehackt werd en vervolgens werd leeggeroofd, las ik bij ITenRecht. Oftewel: wat is de zorgplicht van een cryptoplatform, met name op het gebied van security? Had het platform specifiek moeten afdwingen dat tweefactorauthenticatie werd gebruikt?

De eerste vraag bij ICT-diensten is altijd: wat gebeurt hier juridisch nu precies. De klant stelde dat sprake was van een overeenkomst van opdracht, wat in principe bij 95% van de gevallen het juiste antwoord is. Coin Meester wees erop dat klanten akkoord gaan met een “gebruikersovereenkomst”. Wat dat precies zou moeten impliceren weet ik ook niet, en de rechter komt dan ook direct tot de conclusie dat het inderdaad een opdracht is.

Dat is van belang, want bij opdracht hoort een zorgplicht. Hier komt dat neer op een securityniveaudiscussie: had Coin Meester ervoor moeten zorgen dat je alleen met tweefactorauthenticatie kon inloggen, of was toelaten van enkel emailadres en wachtwoord op zich wel adequaat geweest?

Coin Meester bood allebei als keuzemogelijkheid, zij het met waarschuwingsmailtjes als je 2FA niet had aangezet. Dat is echter geen factor bij de vraag of je adequaat je best had gedaan; het enkele feit dat een crimineel toegang kreeg tot het account, maakt dat sprake is van een tekortkoming. De vervolgvraag is of Coin Meester dat verweten kan worden (toerekenbaarheid) en of wellicht sprake is van eigen schuld waardoor de schadevergoeding omlaag mag.

De kantonrechter legt bij Coin Meester een zware verantwoordelijkheid, omdat zij een professioneel gespecialiseerd bedrijf is en bovendien Wft-geregistreerd, hoewel niet als een ‘echte’ betaaldienst. Als professional moet je weten dat er criminelen binnen kunnen komen als je die zwakke beveiliging zonder 2FA hanteert. Het is dan een risico om die situatie te laten bestaan, en dat maakt dat de tekortkoming toerekenbaar is aan Coin Meester.

De keuzes van de consument spelen een beperkte rol, mede vanwege de wettelijke eisen voor betaaldiensten die laten zien dat de wetgever eigenlijk de consument toch best wel wil beschermen. Daarom hoeft de consument slechts 10% van de schade als eigen schuld (het niet instellen van 2FA terwijl dat wel kon) te dragen.

De rechter verwijst de uitsluiting van aansprakelijkheid snel naar de prullenbak, met een redenering die ik niet vaak gezien heb: op grond van Europese regels zijn bedingen verboden die de rechten van consumenten op oneerlijke wijze uitsluiten of beperken. Dit is de blauwe lijst, die meestal wordt gebruikt om boetebedingen te matigen.

De rechter gaat hier een stapje verder: de beperking van aansprakelijkheid sluit het recht op schadevergoeding volledig uit en daar is geen goede reden voor, dus is de hele exoneratie nietig. In dit concrete geval een te begrijpen uitkomst, het bewaren van de bitcoins is zeg maar de kern van de dienstverlening en het niet op orde hebben van security dus een kern-tekortkoming. Maar de rechter gaat niet in op waarom er dan geen goede reden is; het is toch vrij gebruikelijk om bij consumentendiensten je aansprakelijkheid in enige mate te mogen beperken.

Arnoud

Britse encryptiewet wordt niet gehandhaafd omdat ‘encryptie scannen niet kan’

Een Brits wetvoorstel dat het mogelijk moet maken om versleutelde chats te scannen op kindermisbruikmateriaal is flink afgezwakt. Dat meldde Tweakers vorige week. Pas als het ’technisch mogelijk is’ om chats te scannen ondanks versleuteling, komt men hierop terug. Wel moet markttoezichthouder Ofcom zijn macht gebruiken om van bedrijven te eisen dat ze ‘hun best doen’ om oplossingen voor het probleem te vinden.

De Online Safety Bill, zoals de wet heet, was al geruime tijd zeer controversieel vanwege haar plicht aan techbedrijven om desgevraagd versleutelde chats toegankelijk te maken voor Justitie. Bedrijven als Signal en WhatsApp hadden gedreigd hun product uit het VK terug te trekken als deze plicht in de wet zou komen.

De voorgestelde constructie was dat men onder de wet verplicht zou zijn achterdeurtjes of dergelijke in te bouwen, zonder het adequate karakter van de beveiliging te beschadigen. Dat dit niet kan, is een waarheid als een koe, maar dat heeft nog nooit een publiciteitsbeluste politicus tegengehouden het toch te eisen.

Het nieuwe voorstel is wat afgezwakt, aldus Wired:

Under the bill, the regulator, Ofcom, will be able “to direct companies to either use, or make best efforts to develop or source, technology to identify and remove illegal child sexual abuse content—which we know can be developed,” Scully said.
De toezichthouder moet dus uitzoeken welke technologie er zoal beschikbaar is, en dan van de techbedrijven eisen dat die een “best effort” (goeie inspanning) maken om te kijken of dat kan werken. Daar zitten genoeg mensen die daar met goede motivatie jaren over doen om te concluderen dat het niet kan werken, dus ik snap wel dat de conclusie is dat de wet hiermee effectief om zeep geholpen is.

Arnoud

 

 

Mag een vingerafdruk voor authenticatie wel als deze op de laptop blijft in een speciale chip?

Een lezer vroeg me:

Mijn werkgever heeft gekozen voor implementatie van schermsloten met vingerafdrukherkenning. Echter, mij is nu onduidelijk of dit als verwerking van biometrische gegevens telt onder de AVG. Immers: er wordt geen foto van de vingerafdruk opgeslagen maar een vectorpatroon dat niet (her-)gebruikt kan worden als vingerafdruk. Dat vectorpatroon wordt opgeslagen in een speciale chip waar het niet uitgehaald kan worden. De “vingerafdruk” verlaat dus nooit de laptop, zelfs niet de chip.
Een vingerafdruk is een biometrisch persoonsgegeven volgens de definitie uit de AVG. Artikel 4 lid 14 AVG omschrijft het immers als “fysieke, fysiologische of gedragsgerelateerde kenmerken van een natuurlijke persoon”. Of je die kenmerken nou opslaat als een plaatje of als een feature vector, dat maakt niet uit. Het blijven kenmerken van (een vinger van) een persoon.

Het vectorpatroon blijft in een speciale plek, een chip die op een veilige manier een nieuw vectorpatroon (van een nieuw aangeboden vinger) vergelijkt met het opgeslagen patroon. Daar komt een “ja” of “nee” uit en daar kan de rest van het systeem mee verder. Dit is qua beveiliging van de persoonsgegevens prima, en het lijkt me ook meer algemeen een keurige implementatie.

Het is alleen niet zo dat je daarmee geen biometrische persoonsgegevens verwerkt. Je doet dit heel adequaat, veilig en zorgvuldig, maar je doet het uiteindelijk wel. En dat is dan verder prima, mits je maar je houdt aan de algemene regels over biometrie.

De AVG zegt dat je geen biometrische persoonsgegevens mag gebruiken behalve in uitzonderlijke gevallen. De relevante uitzondering is in Nederland opgenomen in de Uitvoeringswet AVG, artikel 29:

… het verbod om biometrische gegevens met het oog op de unieke identificatie van een persoon te verwerken [is] niet van toepassing, indien de verwerking noodzakelijk is voor authenticatie of beveiligingsdoeleinden.

In dit specifieke geval zie ik de noodzaak wel, met name omdat het een optionele extra is naast de gewone authenticatie en de authenticatie op de laptop blijft waar deze ingebouwd zit. De noodzaak is dan “ik als gebruiker wil sneller en toch veilig me authenticeren op mijn laptop” en in die kleine context lijkt me dat verdedigbaar.

Wel wordt verdedigd dat de opgeslagen vingerafdruk (vectorpatroon) geen persoonsgegeven is, omdat immers alléén het vectorpatroon wordt opgeslagen zonder daarnaast de naam etcetera van de gebruiker. Dat zie ik niet, omdat uiteindelijk deze constructie gebruikt wordt om iemands account te unlocken. Er is dus een koppeling met een ‘iemand’ en dat is genoeg om van een persoonsgegeven te spreken.