IT’er die klant met gestolen data afperste moet ex-werkgever 65.000 euro betalen

data, security, keyboard
Photo by TheDigitalWay, Pixabay

Een IT’er die bij een klant van zijn werkgever medische gegevens stal, en daarmee de klant vervolgens probeerde af te persen, moet zijn inmiddels ex-werkgever 65.000 euro betalen. Dat las ik bij Security.nl.

Uit het vonnis valt te halen dat dat de IT’er verantwoordelijk was voor het afpersen van een grote klant met gestolen medische gegevens. Dat leidde tot een strafrechtelijk traject, en deze civiele procedure sloot daar weer op aan. Dat is namelijk een handigheidje uit het procesrecht: als er een definitief strafvonnis is, dan is dat dwingend bewijs in een latere procedure.

Hier was de strafzaak nog niet definitief: de IT’er kon nog in hoger beroep. Daarom mag de rechter het vonnis niet als dwingend bewijs accepteren, maar vanuit de regel van vrije bewijslast er wel naar kijken. Dit kwam erop neer dat de rechter er van uitgaat dat het vonnis juist is, totdat de IT’er met tegenbewijs komt.

Het begint nog rechttoe rechtaan genoeg:

In het strafvonnis is overwogen dat na onderzoek is gebleken dat op 27 maart 2021 een dataoverdracht heeft plaatsgevonden van de server van [eiseres] via een IP-adres dat door [gedaagde] gebruikt bleek te zijn. Verder is overwogen dat die gegevens beveiligd waren met een certificaat waarover [gedaagde] beschikte. Dit heeft geleid tot nader onderzoek naar [gedaagde] , onder meer door een huiszoeking in zijn woning op 22 april 2021. Bij die gelegenheid is in zijn woning een USB-stick aangetroffen met daarop datasets die omstreeks het tijdstip van de download op een telefoon (Microsoft Lumia) van [gedaagde] zijn beland. Op die USB-stick stonden ook het voor toegang tot de server van [eiseres] benodigde certificaat en bijbehorende wachtwoord. Dit alles is in dit geding niet door [gedaagde] bestreden.
De ex-werknemer kwam echter met de verklaring dat derden op zijn thuisnetwerk hadden ingebroken omdat hij een gemakkelijk te raden wachtwoord had. Daar gelooft de rechter niets van, en om weer eens te laten zien dat rechters écht wel verstand van IT hebben citeer ik gewoon het vonnis:
[Verdachte geeft] geen enkele verklaring voor het feit dat het bestand, het certificaat en het bijbehorende wachtwoord op een usb stick terecht zijn gekomen (en tegelijk ook op zijn Microsoft Lumia telefoon), die in zijn woning lag. Een usb stick pleegt immers niet verbonden te zijn met een netwerk. Bovendien vraagt het veel meer toelichting dan geboden als [gedaagde] heeft willen betogen dat op het toevallige moment dat de usb stick met computer of telefoon verbonden was de download (zonder dat hij daar erg in had) plaatsvond én naar zijn telefoon én naar de usb stick.
En nog even los van het technische: de kantonrechter “probeert zich een voorstelling te maken” van waarom zo’n derde dit zou doen, want wat schiet die ermee op? Die doet dan een ingewikkelde inbraak van buitenaf, maar heeft de data dan op gegevensdragers waar die vervolgens niet bij kan. En waarom dan deze meneer de gegevens in de digitale schoenen schuiven?

Alles bij elkaar gelooft de rechter er dus niets van, en de technische bewijsvoering is overtuigend genoeg dat het feit vanaf de apparatuur van de IT-er is gepleegd. Maar is dat genoeg om hem tot schadevergoeding te dwingen? In het arbeidsrecht is dat geen eenvoudige vraag want werknemers zijn vrij stevig beschermd, zelfs bij handelen dat riekt naar opzettelijk de fout in gaan.

In dit geval was de complicatie dat die grote klant zo te lezen de werkgever aansprakelijk had gesteld voor de schade. Dat wil je als werkgever dan verhalen (regres nemen), maar dat vereist bij de werknemer opzet of bewuste roekeloosheid (art. 7:661 BW). En let op: het moet dan gaan om opzet op het willen aanrichten van de schade, niet enkel maar opzet op het verrichten van de handeling.

De rechter vindt dat hier aan opzet is voldaan – downloaden en afpersen is iets dat je alleen doet als je dat ook echt van plan was. Dan wil je schade veroorzaken. Daarom moet de IT-er alle schade vergoeden, wat oploopt tot een bedrag van € 64.795,28.

Arnoud

Vooruit, nog één keer over de privetelefoon en werkapps

Een lezer vroeg me:

Mijn werkgever eist dat ik een app op mijn privételefoon installeer. Ik maak me zorgen over misbruik van mijn persoonsgegevens door de app-leverancier. Er staat op de site van de app niets over privacy, en de werkgever reageerde verbaasd dat ik hiernaar vroeg. Welke AVG argumenten kan ik gebruiken om mijn zorgen kracht bij te zetten?
We hebben het natuurlijk al vaker gehad over zakelijke apps op de eigen telefoon. In 2018 bijvoorbeeld over een tweefactorauthenticatieapp en in 2019 zelfs een geval waarbij de werknemer ook maar snel een telefoon moest kopen(!) zodat daar een werkapp op gezet kon worden.

De strekking van het antwoord is steeds hetzelfde: de werkgever moet zorgen voor de spullen waarmee het werk wordt uitgevoerd. Als er dus apps nodig zijn voor werkzaken, dan moet de werkgever een apparaat geven waar die app op gebruikt kan worden. Of dat nou gaat om tijdschrijven, authenticatie, e-mail of wat anders is niet relevant.

De enige echte uitzondering is je loonstrookje. Als de werkgever die via een digitale omgeving beschikbaar stelt, dan heb je twee keuzes: of je installeert de app, of je meldt dat je je loonstrookje op papier wilt hebben. Dat laatste is je wettelijk recht, maar er is géén recht om een specifiek digitaal kanaal aan te wijzen zoals een pdf per mail.

Er is nog een soort-van uitzondering: als het normaal is dat een werknemer zelf voor die spullen zorgt, dan heeft de werknemer daar ook nu voor te zorgen. Het clichévoorbeeld is de professioneel kok die eigen messen meeneemt omdat die op zijn handen zijn afgestemd. Dit haakt in op “goed werknemerschap”: je moet redelijk en constructief zijn naar je werkgever toe. En als een app geen problemen of risico’s geeft (bv. een 2FA authenticator), dan is het best onredelijk om dan ‘nee’ te zeggen.

Als de werkgever een app aanwijst voor het werk, dan is de werkgever natuurlijk wel aansprakelijk voor wat die app doet. Dat raakt dus aan de AVG maar ook aan andere wetten, zoals in 2021 behandeld. Dit betekent dat hij onder de AVG de benodigde informatie moet verstrekken over wat de app verzamelt en doet op het gebied van persoonsgegevens. Dat mag in eerste instantie op het niveau van “hier is de privacyverklaring van de app-leverancier” maar hij mag niet verwijzen naar de helpdesk en je het zelf laten uitzoeken. (Voor de fijnproevers: het maakt daarbij niet uit of de app-leverancier kwalificeert als verwerker of verwerkingsverantwoordelijke.)

Als de app-leverancier in het geheel niets meldt over privacy, dan zou ik ernstig de wenkbrauwen optrekken. Het is haast ondenkbaar dat een app anno 2024 niets verzamelt, dus hier klopt iets niet. Dus daar drukt de zorgplicht van de werkgever extra zwaar.

Arnoud

Hoe strafbaar is het om met een Flipper Zero alle iPhones in de trein te resetten?

De Nederlandse onderzoeker Jeroen van der Ham zat in de trein en kreeg ineens een berg popups op zijn iPhone, zo opende Ars Technica onlangs. Na een paar minuten resette de telefoon, om vervolgens eindeloos dezelfde cyclus te doorlopen. En niet alleen hij: de hele coupé had er last van. Dat bleek een vervelio met een Flipper Zero te zijn. Vandaar de vraag, hoe strafbaar is dat?

De kern van het probleem was dat de meneer met die Flipper Zero een berg Bluetooth-verbindverzoeken stuurde naar alle iPhones in de wijde omgeving, zo veel dat de telefoons er van crashen. En dat gaat natuurlijk gewoon door na de reboot.

Nou is een Bluetooth-verbindverzoek op zich natuurlijk legaal om te versturen. Alleen hier gaat het niet om een enthousiaste high tech koppelaar of een foute configuratie maar om een bewuste poging apparaten omver te krijgen: de Flipper Extreme firmware op dat apparaatje komt met een knopje  “iOS 17 attack”, en dat is wel een duidelijke aanwijzing dat je iets ongewenst gaat doen.

We komen dan in het strafrecht direct uit bij de verstikkingsaanval (art. 138b):

Met gevangenisstraf van ten hoogste twee jaren of geldboete van de vierde categorie wordt gestraft hij die opzettelijk en wederrechtelijk de toegang tot of het gebruik van een geautomatiseerd werk belemmert door daaraan gegevens aan te bieden of toe te zenden.
Het maakt bij dit artikel niet uit of je de gegevens op zich mócht versturen (Bluetooth is immers een open protocol op een vrije band), waar het om gaat is of je daarmee een ander het gebruik van een computer belemmert. Als je dat opzettelijk doet en geen bevoegdheid tot dat belemmeren hebt, dan ben je dus strafbaar.

De maximale strafmaat is 2 jaar. Er is echter ook nog een zwaarder artikel, namelijk 161sexies:

Hij die opzettelijk enig geautomatiseerd werk of enig werk voor telecommunicatie vernielt, beschadigt of onbruikbaar maakt, stoornis in de gang of in de werking van zodanig werk veroorzaakt, of een ten opzichte van zodanig werk genomen veiligheidsmaatregel verijdelt, wordt gestraft:
In de praktijk wordt dit artikel gebruikt om DDoS-aanvallers te vervolgen, omdat de strafmaat begint bij zes jaar (gemeen gevaar) tot vijftien jaar (dood als gevolg). Wel zit je dan met het extra criterium van “gemeen gevaar”, oftewel iets waardoor de veiligheid van personen of goederen in  het algemeen in gevaar wordt gebracht. Anders gezegd: gevaar, maar niet op voorhand specifiek af te bakenen.

Hier lijkt me dat zeker wel op te gaan: de aard van dit handelen is dat je alle iPhones in de buurt plat wilt gooien, oftewel stoornis daarin wilt veroorzaken. Dus dat dit strafbaar is, staat voor mij wel vast.

Of je een agent de trein in krijgt die dit kan en wil constateren en vervolgens verbaliserend wil optreden, is natuurlijk de volgende vraag. Dus ik zou meer in alternatieve oplossingen zoeken als je met uitpeilen of goed rondkijken de dader aantreft. Een goed gesprek kan natuurlijk ook zeer helpen.

Wat zouden jullie doen?

Arnoud

 

 

Is het legaal om in datalekken te snuffelen?

Een lezer vroeg me:

Wanneer een organisatie gehackt wordt en de interne data online wordt gepubliceerd, is het dan legaal om dit als burger te bekijken? Of moet je dan journalist zijn? Laten we er even vanuit gaan dat ik niet het doel heb om mensen te intimideren met het tot me nemen van de gelekte data.
De laatste zin verwijst naar het verbod op doxxing, dat per 1 januari van kracht zal worden (wetsvoorstel). Daar hoef je je geen zorgen over te maken, omdat dit verbod gaat over het verspreiden van informatie, niet om het bekijken of op je eigen harde schijf hebben.

Er is echter een relevanter verbod, namelijk artikel 139g Strafrecht. Dit stelt strafbaar dat iemand niet-openbare gegevens verwerft of voorhanden heeft

terwijl hij ten tijde van de verwerving of het voorhanden krijgen van deze gegevens wist of redelijkerwijs had moeten vermoeden dat deze door misdrijf zijn verkregen;
Let op dat het hierbij niet uitmaakt of het gaat om persoonsgegevens (AVG) of andersoortige gegevens, zoals bedrijfsgeheime broncode of meetgegevens van sensoren. Het enige criterium is of de gegevens openbaar waren of niet.

Dat criterium geldt overigens voor de verkrijger op het moment van verkrijging. En specifiek bij zo’n online gezet datalek gaat dat dan mis: de gegevens zijn dan al openbaar, iedereen kan er immers in snuffelen. Dat die openbaarmaking onrechtmatig is, is niet relevant. Zoals bij invoering van dit artikel werd gezegd:

Gegevens die op het internet zijn geplaatst, zijn openbaar mits het publiek toegang heeft tot de internetpagina waar de teksten zijn weergegeven (vgl. Hof Amsterdam 23 november 2009, NJFS 2010,29). Het downloaden van openbare gegevens van internet is dus niet strafbaar op grond van deze strafbepalingen.
Het enkel snuffelen uit nieuwsgierigheid is dus niet strafbaar. Als je de gegevens voor wat anders gaat gebruiken, dan krijg je wel allerlei wettelijke bezwaren. Ze overnemen in een eigen bestand (je AI trainen, je marketingdata verrijken of een waarschuwingssite bouwen, ik noem er een paar) kan al snel in strijd zijn met de AVG als er persoonsgegevens in zitten. De gegevens kunnen beschermd zijn door auteursrecht of databankrecht. Een herpublicatie kan smaad opleveren. En ga zo maar door.

Arnoud

 

Hoe betrouwbaar zijn digitale foto’s tegenwoordig nog als bewijs?

Foto via PetaPixel, © Tessa Coates

“Het weefsel van de werkelijkheid brokkelde af”, aldus de Britse acteur Tessa Coates toen ze de iPhone-foto bekeek waarop ze een trouwjurk paste. Niet zonder reden – klik op de thumbnail om haar foto te bekijken. Coates kijkt in drie spiegels, en in elke spiegel staan haar handen anders. Wat betekent dat, vroegen velen mij, voor de bewijskracht van foto’s?

Apple Insider legt uit:

Coates was moving when the photo was taken, so when the shutter was pressed, many differing images were captured in that instant as the camera swept over the scene, since it was a panoramic photo capture. Apple’s algorithm stitches the photos together, choosing the best versions for saturation, contrast, detail, and lack of blur.
Het achtergrondartikel van PetaPixel gaat meer in op de details. De kern is dat een foto dus al lang niet meer is dan een registratie van het licht dat op de sensoren valt, maar dat met allerlei technieken het beeld wordt aangepast om zo goed mogelijk te passen bij wat we verwachten van een camera.

Een heel extreem voorbeeld kwam dit voorjaar in het nieuws toen bleek dat Samsung’s camera bij detailfoto’s van de maan gewoon een andere afbeelding van de maan erin zet zodat het mooier lijkt. Samsung omschreef dit als “effectively remove noise and maximize the details of the moon to complete a bright and clear picture of the moon”, maar voor mij is een rondje uitknippen en een eerder gemaakte superfoto erin schuiven toch iets anders. Dat gezegd hebbende: het is en blijft een foto van de maan.

Ook de foto van Coates hierboven is in zoverre echt dat ze echt zo stond en dat die spiegels echt die reflectie gaven. Het zijn alleen drie verschillende reflecties die nu samen op de foto stonden.

Betekent dit nu dat we voortaan foto’s het raam uit kunnen doen in het bewijsrecht? Welnee. Juristen zijn conservatief – we luisteren ook nog steeds naar getuigen, ondanks dat er gebouwen gevuld kunnen worden met onderzoeken die aantonen hoe onbetrouwbaar die zijn en hoe foutgevoelig het afnemen van een verhoor kan zijn.

Het komt in de praktijk zeer zelden voor dat serieus getwijfeld wordt aan de echtheid van documenten zoals foto’s. Het wordt regelmatig geopperd, maar in Nederland accepteert de rechter geen argumenten van het soort “foto’s kunnen eenvoudig gemanipuleerd dus daarom mag u niet naar deze foto kijken”. De vraag is: waaruit blijkt dat déze foto is gemanipuleerd. Het aantal vonnissen waarin daadwerkelijk serieus zulke manipulatie aan de orde is, is volgens mij op éen hand te tellen (en dan bedoel ik niet binair tellend, grapjassen).

De discussie gaat vrijwel altijd over wat het bewijs impliceert. Wat betekent deze clausule, wat gebeurt er op deze foto, laat deze log echt een inbraak zien? Vaak zijn feiten voor meerdere interpretatie vatbaar. Iemand steekt zijn hand op – vraagt hij aandacht, gaat hij slaan, weert hij af? Die discussie verandert niet omdat de iPhone foto’s aan elkaar weeft voor een mooier beeld.

Arnoud

Laadpassen voor elektrische auto’s al jaren gevoelig voor fraude, is dat erg?

Laadpassen voor elektrische auto’s zijn al jaren fraudegevoelig, waardoor het mogelijk is om op kosten van iemand anders de auto op te laden. Dat las ik bij Security.nl, dat zich baseert op eigen onderzoek van cybersecuritybedrijf Vest: vanaf het aanvraagproces voor een pas tot aan het gebruik en betalen voor de dienst gaat het mis, aldus onderzoeker Alexander van Ee.

Zo ongeveer alles dat qua security zou kunnen helpen, blijkt niet aangezet of niet aan controle onderworpen. Je kunt een laadpas aanvragen op andermans naam en bankrekeningnummer, zonder controle. Activatie van de pas blijkt praktisch niet nodig. Klonen van passen is triviaal. De pas praat via een onbeveiligd protocol met de laadpaal. Betalen gaat enkel op basis van uitlezen van het pasnummer, en die zijn eenvoudig te raden (en dus te klonen). Oh, en met een extra stukje software kun je druppelladen: opeenvolgende laadsessies van 59 seconden, die stuk voor stuk gratis zijn omdat pas na 1 minuut wordt afgerekend. Bent u daar nog?

Bij NRC deden ze navraag bij de aanbieders, en die zijn pragmatisch:

De laadpasaanbieders en laadpaaloperators zijn zich bewust van de risico’s, maar achten de kans op misbruik klein. Laadstationexploitant Fastned, dat zelf geen passen verstrekt, zegt „geen noemenswaardige fraudeklachten” te ontvangen.
Onderzoeker Pol Van Aubel, verbonden aan de Nijmeegse Radboud Universiteit verduidelijkt:
Bij veel publieke laadpalen is cameratoezicht, en fraude is strafbaar en op te sporen. Het is immers een trage vorm van diefstal, zegt Van Aubel. „Je staat al snel minstens een kwartier te laden, en bij een tragere lader wel twee uur. Het is niet alsof het een heel lucratieve en risicoloze manier van fraude is.”
Het onderliggende probleem is natuurlijk dat alle passen met alle palen moeten werken. Dat oplossen vereist dus aanpassingen in zowel pas als paal, en dat is behoorlijk duur. Maar zou het juridisch moeten, zoals diverse lezers me vroegen?

Toevallig is bijna een jaar geleden de NIS2-richtlijn aangenomen, die eisen stelt aan de cyberbeveiliging van “kritieke infrastructuur”. Laadpaalinfrastructuur valt daaronder (annex 1, categorie Energie/Elektriciteit) dus die exploitanten (aangenomen dat ze middenbedrijf of groter zijn) moeten de boel op orde hebben. Maar wat betekent dat? Artikel 21 legt het uit zoals alleen een jurist zou doen:

Member States shall ensure that essential and important entities take appropriate and proportionate technical, operational and organisational measures to manage the risks posed to the security of network and information systems which those entities use for their operations or for the provision of their services, and to prevent or minimise the impact of incidents on recipients of their services and on other services.

Oftewel, zorg er voor dat het goed is en dat je de risico’s onder controle hebt. En daar zit hem de kneep: is afwezigheid van cybersecurity een probleem als er geen reële gevallen van misbruik daarvan zijn? Niemand laadt op andermans kosten, gekloonde laadpassen zijn geen ding en gratis druppelladen kan maar dan sta je vele uren bij de paal, tsja wie wil dat nou?

Iets formeler gezegd: een goede cyberbeveiliging is gebaseerd op een risicoafweging. Je neemt de grootte van het risico en de zwaarte van de impact mee, en baseert daar je beleid op. Zelden voorkomende issues met nauwelijks impact kun je in dat beleid prima als restrisico/aanvaardbaar classificeren, met eventueel een potje geld voor dat enkele slachtoffer.

Arnoud

UWV moet 500 euro schadevergoeding betalen na datalek

Het Nederlandse Uitvoeringsinstituut Werknemersverzekeringen moet een schadevergoeding van 500 euro betalen aan een vrouw die schade ondervond vanwege een datalek. Dat las ik bij Tweakers. Het is opzienbarend want het gebeurt zelden, maar in zoverre weinig nieuws want het ging om medische gegevens. Veel méér weten we alsnog niet.

In 2021 stuurde het UWV vijf brieven die voor haar bestemd waren naar een verkeerd adres. Hoe dat kon gebeuren wordt niet duidelijk, maar dat het een datalek was onder de AVG daar waren partijen het wel over eens.

Bij datalekken kun je schade lijden, zeker als het gaat om datalekken van medische gegevens. Onderbouwen om welk bedrag het gaat is een discussie waar het laatste woord nog niet over gezegd is. De vrouw in deze zaak claimde uiteindelijk 3000 euro, het UWV bood 250 euro aan. Daar kwam men dus niet uit, waarna de rechter de knoop moest doorhakken.

De rechter kijkt, zoals dat hoort, naar dit specifieke geval.

De post die verweerder naar een verkeerd adres heeft gestuurd, bevatte procedurele aanschrijvingen en medische gegevens. Eiseres heeft daardoor termijnen overschreden, waar zij angsten door kreeg. De medische gegevens kwamen op straat te liggen. Er dient in het bijzonder rekening te worden gehouden met de psychiatrische klachten die eiseres heeft, waardoor de door de datalek veroorzaakte problemen een grotere impact hadden op eiseres dan zij zouden hebben gehad op gezonde mensen.
(De brieven waren ongeopend retour gekomen, maar dat is geen argument; het gaat om de gevolgen van het verkeerd sturen van de post en niet om de gevolgen van het misbruik van de inhoud van de post.)

Met name de impact op deze mevrouw vanwege haar klachten weegt de rechter de schade af naar redelijkheid en billijkheid op 500 euro:

De rechtbank is van oordeel dat een schadevergoeding van € 500,- billijk en passend is. Daarbij heeft zij met name gewicht toegekend aan de gevolgen die het datalek heeft gehad op de psychische problemen van eiseres, zoals eiseres die heeft beschreven in haar verzoek van 3 augustus 2021. De behandelend psycholoog van eiseres bevestigt deze problemen in haar rapport (…).
Inderdaad, precies dat bedrag dat die andere persoon ook kreeg in een medisch geval. En daarom is dit in zoverre jammer: er staan geen nieuwe argumenten in waar je wat mee zou kunnen in bijvoorbeeld een massaclaim, die er ondertussen een klein dozijn liggen.

Arnoud

 

 

Is het voor een advocaat strafbaar om zijn KvK-bevoegdheden te misbruiken?

Een lezer vroeg me:

Zoals je misschien weet kun je als advocaat een speciaal account bij de KvK krijgen, waardoor je dan (op basis van art. 51 lid 5 Handelsregisterbesluit) adresgegevens van natuurlijke personen kunt inzien als je een uittreksel KvK opvraagt. Maar stel nou dat een corrupte advocaat voor een criminele opdrachtgever zo inzicht krijgt in afgeschermde adresgegevens. Is dat strafbaar?
De lezer droeg zelf nog de suggestie aan van oplichting (art. 326 Sr), omdat ook het aftroggelen van gegevens daaronder valt. Maar er is dan een “listige kunstgreep” nodig, en daarvan is geen sprake als je gewoon inlogt en gewoon gegevens opvraagt, met als enige omstandigheid dat je dit niet doet voor het afgesproken doel.

Er is art. 139d Strafrecht, de diefstal van gegevens. Wie deze wederrechtelijk opneemt of aftapt, handelt strafbaar. Dan zou de wederrechtelijkheid zijn dat je dan de regels schendt regels op grond waarvan je erbij mag. Ik zit daar een beetje met “aftappen of opnemen”, want je krijgt ze gewoon in je browser. “Aftappen” suggereert dat je iets geks doet om mee te luisteren.

Ik kom dan toch met frisse tegenzin uit bij computervredebreuk: het binnendringen in een geautomatiseerd werk met een valse sleutel. Er is namelijk jurisprudentie van de Hoge Raad dat je toegang misbruiken voor een oneigenlijk doel telt als computervredebreuk middels valse sleutel (vals wachtwoord). Daarvan is hier ook sprake.

Ik blijf er moeite mee houden dat het strafrecht op deze manier zou werken, met name omdat een private partij dan kan bepalen of iets strafbaar moet zijn. Zoals ook Berndsen betoogt:

De bepaling die feitelijk slechts verbiedt om zonder toestemming andermans computer binnen te dringen, verwordt zo tot een algemeen verbod op het kennisnemen van bepaalde informatie. Daarmee is het toepassingsbereik van artikel 138ab Sr en de voorzienbaarheid daarvan evident ruimer en bovendien minder duidelijk dan blijkens wettekst en parlementaire geschiedenis de bedoeling was. Het door ons gesignaleerde probleem van onvoldoende rechtszekerheid is gecreëerd door beslissend te achten of er een beroepsmatige noodzaak van het raadplegen van gegevens bestaat, in plaats van de vraag of wederrechtelijk in  een systeem wordt binnengedrongen.
Ik zou zelf meer zien in een tuchtrechtelijk aanpakken – je titel of bevoegdheden verliezen vanwege dit soort akkefietjes lijkt me meer in de lijn der verwachting liggen. Ook kun je nog gaan zitten op schending van het ambtsgeheim (art. 272 Strafrecht) omdat je vertrouwelijke informatie doorvertelt aan een onbevoegde. Dat is natuurlijk lastiger te bewijzen want dan moet je als OM wel weten dat er een derde is die het gehad heeft.

Arnoud

‘Politie kan ip-adressen en telefoonnummers Telegramgebruikers vorderen’

De Nederlandse politie zegt bij de chatapp Telegram telefoonnummers op te kunnen vragen die gebruikers juist geheim willen houden, zo ontdekte BNR via een Woo verzoek. Op de eigen website meldt Telegram dat het deze gegevens alleen deelt als het een gerechtelijk bevel ontvangt dat de betreffende gebruiker een terreurverdachte is. Eindelijk een kans me op te winden over die mega-irritante term “gerechtelijk bevel”.

Bij Security.nl leggen ze uit:

Op de formulieren die door de politie zijn gedeeld blijkt dat het om zogenoemde ‘emergency disclosure requests’ gaat. Meerdere chatdiensten bieden opsporingsdiensten deze optie om gegevens van gebruikers op te vragen als er sprake is van onmiddellijk dreigend levensgevaar. Dat opsporingsdiensten deze mogelijkheid ook bij Telegram hebben staat niet op de website van de chatdienst vermeld.
Maar dat iets niet op je website staat, betekent natuurlijk niet dat je het niet hoeft te doen. De wet is de wet, en zeker bij telecom-vorderingen kan de politie heel erg veel. En nee, daar is lang niet altijd tussenkomst van een rechter bij nodig.

Wat me bij mijn irritatie brengt: die term “gerechtelijk bevel” is natuurlijk de letterlijke vertaling van “court order”, de Amerikaanse constructie waarbij een rechtbank oordeelt over een kwestie en dan een -meestal voorlopige- uitspraak doet. Dat kan bijvoorbeeld een gag order zijn, hou je mond hierover, maar ook een bevel tot afgeven van gegevens of verwijderen van een publicatie.

De court order verscheen als term in websitevoorwaarden en dergelijke omdat dit het mechanisme is waarmee je in de VS dingen afdwingt. Niet eens met de publicatie? Wil je weten wie hier achter zit? Zoek je een persoon voor je schadeclaim? Haal maar een court order en dan doen we wat daarin staat. En zónder court order kun je roepen wat je wilt, maar blijven we lekker zitten waar we zitten.

De misvatting is hiermee ontstaan dat áltijd een court order nodig is, oftewel dat er altijd een rechter naar moet kijken. Wat niet waar is: in Nederland is bijvoorbeeld afgifte van NAW-gegevens van klanten zonder rechter verplicht, en je kunt schadeclaims krijgen als je daar niet aan meewerkt.

In het strafrecht is het allemaal iets strenger en vooral formeler. Maar we hebben een gelaagd systeem, waarbij de benodigde checks and balances afhangen van de ernst van de gevorderde maatregelen én van het achterliggende misdrijf. Neem bijvoorbeeld artikel 126na Strafvordering:

In geval van verdenking van een misdrijf kan de opsporingsambtenaar in het belang van het onderzoek een vordering doen gegevens te verstrekken terzake van naam, adres, postcode, woonplaats, nummer en soort dienst van een gebruiker van een communicatiedienst. Artikel 126n, tweede lid, is van toepassing.
Volgens dit artikel mag dus iedere politieagent vorderen tot afgifte van NAW gegevens en nummer (ip-adres, telefoonnummer, etc) van een gebruiker wanneer er vermoedelijk een misdrijf is gepleegd. Het maakt niet uit welk misdrijf. Hierbij is dus géén tussenkomst van de rechter nodig, dit mag de agent gewoon vragen en je moet dat dan geven als dienstverlener.

De reden dat dit zo mag, is omdat dit vrij basale gegevens zijn en een misdrijf toch wel iets ernstigs is. Met deze gegevens kan de politie dan bijvoorbeeld nagaan of het ip-adres matcht met het ip-adres dat men op een oplichtingssite vond.

Een agent mag hiermee echter géén inhoud van bijvoorbeeld mailboxes vorderen, want die gegevens staan hier niet genoemd. Daarvoor zou je bijvoorbeeld artikel 126nd inzetten:

In geval van verdenking van een misdrijf als omschreven in artikel 67, eerste lid, kan de officier van justitie in het belang van het onderzoek van degene van wie redelijkerwijs kan worden vermoed dat hij toegang heeft tot bepaalde opgeslagen of vastgelegde gegevens, vorderen deze gegevens te verstrekken.
Dit mag dus alleen als het gaat om een ernstig misdrijf – artikel 67 Strafrecht bevat een lijst met wat we “ernstig” vinden. En de vordering moet gedaan worden door een officier van justitie, dus niet door iedere willekeurige opsporingsambtenaar. Dat is dus een iets hogere lat.

De rechter-commissaris komt in beeld als het nóg wat strenger moet, bijvoorbeeld bij het vorderen van gegevens die aan te merken zijn als bijzondere persoonsgegevens. Die zijn in artikel 126nd uitgesloten (lid 2) van de vordering. Wil de officier dat toch, dan moet zhij naar artikel 126nf:

  1. In geval van verdenking van een misdrijf als omschreven in artikel 67, eerste lid, dat gezien zijn aard of de samenhang met andere door de verdachte begane misdrijven een ernstige inbreuk op de rechtsorde oplevert, kan de officier van justitie, indien het belang van het onderzoek dit dringend vordert, van degene van wie redelijkerwijs kan worden vermoed dat hij toegang heeft tot gegevens als bedoeld in artikel 126nd, tweede lid, derde volzin, deze gegevens vorderen.
  2. (…)
  3. Een vordering als bedoeld in het eerste lid kan slechts worden gedaan na voorafgaande schriftelijke machtiging, op vordering van de officier van justitie te verlenen door de rechter-commissaris. Artikel 126l, zevende lid, is van overeenkomstige toepassing.
Hier bepaalt lid 3 dus dat een rechter-commissaris nodig is, deze machtigt de officier om de vordering te doen. Maar er is hier nóg een eis bijgekomen: het ernstige misdrijf moet nu ook nog eens “een ernstige inbreuk op de rechtsorde” opleveren, wat een nog weer hogere inhoudelijke toets betekent.

En om dan weer het bericht van BNR erbij te pakken: het gaat hier dus om telefoonnummers, wat een ‘licht’ gegeven is en waarvoor dus iedere opsporingsambtenaar een vordering mag doen bij verdenking van enig misdrijf. Daarvoor is dus zeer zeker geen rechter-commissaris nodig. Waarom Telegram dit niet op de site vermeldt, weet ik niet.

Arnoud

 

 

 

Cryptoplatform Coin Meester verplicht tot schadevergoeding na diefstal digiwallet van gebruiker

Eiser was klant van het beleggingsplatform Coin Meester toen zijn crypto account op de website gehackt werd en vervolgens werd leeggeroofd, las ik bij ITenRecht. Oftewel: wat is de zorgplicht van een cryptoplatform, met name op het gebied van security? Had het platform specifiek moeten afdwingen dat tweefactorauthenticatie werd gebruikt?

De eerste vraag bij ICT-diensten is altijd: wat gebeurt hier juridisch nu precies. De klant stelde dat sprake was van een overeenkomst van opdracht, wat in principe bij 95% van de gevallen het juiste antwoord is. Coin Meester wees erop dat klanten akkoord gaan met een “gebruikersovereenkomst”. Wat dat precies zou moeten impliceren weet ik ook niet, en de rechter komt dan ook direct tot de conclusie dat het inderdaad een opdracht is.

Dat is van belang, want bij opdracht hoort een zorgplicht. Hier komt dat neer op een securityniveaudiscussie: had Coin Meester ervoor moeten zorgen dat je alleen met tweefactorauthenticatie kon inloggen, of was toelaten van enkel emailadres en wachtwoord op zich wel adequaat geweest?

Coin Meester bood allebei als keuzemogelijkheid, zij het met waarschuwingsmailtjes als je 2FA niet had aangezet. Dat is echter geen factor bij de vraag of je adequaat je best had gedaan; het enkele feit dat een crimineel toegang kreeg tot het account, maakt dat sprake is van een tekortkoming. De vervolgvraag is of Coin Meester dat verweten kan worden (toerekenbaarheid) en of wellicht sprake is van eigen schuld waardoor de schadevergoeding omlaag mag.

De kantonrechter legt bij Coin Meester een zware verantwoordelijkheid, omdat zij een professioneel gespecialiseerd bedrijf is en bovendien Wft-geregistreerd, hoewel niet als een ‘echte’ betaaldienst. Als professional moet je weten dat er criminelen binnen kunnen komen als je die zwakke beveiliging zonder 2FA hanteert. Het is dan een risico om die situatie te laten bestaan, en dat maakt dat de tekortkoming toerekenbaar is aan Coin Meester.

De keuzes van de consument spelen een beperkte rol, mede vanwege de wettelijke eisen voor betaaldiensten die laten zien dat de wetgever eigenlijk de consument toch best wel wil beschermen. Daarom hoeft de consument slechts 10% van de schade als eigen schuld (het niet instellen van 2FA terwijl dat wel kon) te dragen.

De rechter verwijst de uitsluiting van aansprakelijkheid snel naar de prullenbak, met een redenering die ik niet vaak gezien heb: op grond van Europese regels zijn bedingen verboden die de rechten van consumenten op oneerlijke wijze uitsluiten of beperken. Dit is de blauwe lijst, die meestal wordt gebruikt om boetebedingen te matigen.

De rechter gaat hier een stapje verder: de beperking van aansprakelijkheid sluit het recht op schadevergoeding volledig uit en daar is geen goede reden voor, dus is de hele exoneratie nietig. In dit concrete geval een te begrijpen uitkomst, het bewaren van de bitcoins is zeg maar de kern van de dienstverlening en het niet op orde hebben van security dus een kern-tekortkoming. Maar de rechter gaat niet in op waarom er dan geen goede reden is; het is toch vrij gebruikelijk om bij consumentendiensten je aansprakelijkheid in enige mate te mogen beperken.

Arnoud