Ik moet van mijn school andermans telefoon doorsnuffelen!

| AE 9874 | Beveiliging | 24 reacties

Een lezer vroeg me:

Voor mijn opleiding moet ik een vak volgen over forensische ICT. De opdracht is nu om een telefoon te doorzoeken, en de docent meldde trots dat hij deze op Marktplaats heeft gekocht, om de klus interessanter te maken. Het zijn dus echte telefoons met echte data. Ik voel me daar niet comfortabel bij, mag ik dit wel?

Wat een rare opdracht, en niet eens vanwege de juridische kant. Hoe kun je nu studenten beoordelen die allemaal zó verschillende input krijgen? Je zult net de telefoon van de directeur van Bits of Freedom krijgen en je buurman die van Samantha van der Plas, hoe kun je dat ooit met elkaar vergelijken?

Juridisch gezien denk ik niet dat dit door de beugel kan. Natuurlijk wordt de school eigenaar van die telefoon wanneer een docent die koopt, en het is toegestaan je eigendom te doorzoeken of er andere schoolactiviteiten mee te ondernemen. Maar dat recht houdt op wanneer andermans persoonsgegevens in het gedrang komen.

(Als privépersoon-koper kun je iets sneller klaar zijn. Volgens de wet behoor je eigenaar te worden van het hele toestel, zonder enige last of beperking (art. 7:15 lid 1 BW). Als er toch nog data van iemand op blijkt te staan, dan is dat dus een beperking die er niet hoort te zijn. Daar kun je de verkoper dus op aanspreken, hij moet deze tekortkoming in de koopovereenkomst herstellen. Heel formeel moet het toestel dus terug, waarna de verkoper het wist en het opnieuw aan je geeft. Praktisch gezien zou ik geen bezwaar zien tegen even namens de verkoper die data wissen, dat is effectief hetzelfde en scheelt een hoop rompslomp.)

De school weet donders goed dat die telefoon vol zit met persoonsgegevens van een ander, dat is immers het hele doel van die opdracht. Er is geen toestemming van die mensen om daarmee te werken. (Enkel dat iemand zijn telefoon verkoopt is nog geen uitdrukkelijke specifieke toestemming voor gebruik van die persoonsgegevens.) Er is ook geen contract dat dit onderzoek rechtvaardigt.

Je komt dan uit bij de eigen dringende noodzaak: ik kan niet anders, en ik heb rekening gehouden met de privacy. De belangenafweging is dan simpel, kom nou toch. Je kunt immers prima zo’n telefoon voorzien van nepdata en dan de studenten aan de slag laten gaan. En daarmee is er dus geen legitiem eigen belang om hiermee te gaan werken. Met een beetje goede wil kun je dit zelfs het opzettelijk verzorgen van een datalek noemen, een ongeautoriseerde verwerking.

Het lastige is alleen: hoe vertel je dat die docent?

Arnoud

Wanneer verdient een AI rechtspersoonlijkheid?

| AE 9832 | Innovatie | 11 reacties

In India kun je door een rivier worden gedagvaard, las ik onlangs (dank, tipgever). De rivieren de Ganges en de Yumana hebben daar dit voorjaar rechtspersoonlijkheid toegekend gekregen, zodat ze zelfstandig claims kunnen indienen tegen hun vervuilers. Ook bij dieren speelt die discussie. Dat is een opmerkelijke noviteit, en voor de tipgever aanleiding me te vragen of dit soort precedenten ertoe kunnen leiden dat ook Artifical Intelligences (AI’s) zelfstandige rechtspersoonlijkheid kunnen krijgen.

Rechtspersoonlijkheid is het concept dat iets anders dan een mens dezelfde status krijgt. De bekendste voorbeelden zijn bedrijven en verenigingen: die bestaan volgens de wet geheel los van hun bestuurders, aandeelhouders, leden en andere mensen die baat hebben bij die organisaties. Het idee erachter is dat de organisatie zo de individuele personen erachter kan ontstijgen, onder meer doordat die niet automatisch aansprakelijk zijn voor eventuele fouten of schulden veroorzaakt door het bedrijf. (En ja, dat is dan ook precies het probleem met rechtspersonen als het uit de hand loopt.)

Rechtspersoonlijkheid ken je toe aan een object wanneer je wil dat deze zelfstandig aan het rechtsverkeer deelneemt. Deze entiteit moet bijvoorbeeld geld of goederen kunnen bezitten, claims kunnen indienen of juist kunnen dragen en vergoeden. Het is handig dat een vereniging een rechtspersoon is bijvoorbeeld, omdat deze zo los komt van haar bestuurders, en met eigen vermogen activiteiten kan opzetten (zoals een zaaltje huren of donaties ontvangen) voor hun doel. Je kunt die entiteit dan ook aan nadere regels onderwerpen: dit is het stemrecht, en als je activiteiten zus en zo zijn dan zijn donaties belastingaftrekbaar.

Dat wil natuurlijk niet zeggen dat rechtspersoonlijkheid altijd de manier is om entiteiten te beschermen. In Nederland zijn dieren bijvoorbeeld geen rechtspersoon, maar toch beschermd tegen bijvoorbeeld mishandeling: het is mensen verboden dieren onnodig pijn te doen. Met zo’n regel is er specifiek voor dat belang dan geen rechtspersoonlijkheid meer nodig. Optreden tegen vervuiling in rivieren kan ook op zo’n manier, stel strafbaar het loze van vuil in de rivier. Het voornaamste voordeel van rechtspersoonlijkheid zou zijn dat de schadeclaim op zo’n vervuiler nu in de portemonnee van de rivier zelf terecht komt, in plaats van als boete bij de staat in de algemene schatkist. Ook kan de rivier dan zelf kiezen wie aan te klagen, in plaats van afhankelijk te zijn van het Openbaar Ministerie dat wellicht andere prioriteiten kiest.

Zou rechtspersoonlijkheid voor AI’s interessant zijn? Dat komt dus neer op de vraag welke belangen of beschermingen we vinden dat zij moeten hebben in het rechtsverkeer. Wat zou een AI doen met een eigen vermogen, bijvoorbeeld? Hebben haar bestuurders/programmeurs stemrecht nodig, moet de AI boven deze mensen uit kunnen stijgen? Moeten ze worden beschermd tegen anderen die ze schade gaan berokkenen?

Een argument voor rechtspersoonlijkheid dat ik vaak zie is aansprakelijkheid voor schade berokkend door AI’s, zoals bij zelfrijdende auto’s. Wie de weg op gaat en mensen schade berokkent (bijvoorbeeld door een aanrijding), moet die schade vergoeden aan het slachtoffer. Maar wie moet dat bij een zelfrijdende auto? Dat probleem is opgelost als je de AI in de auto tot rechtspersoon verklaart: dan heeft deze eigen vermogen, een verzekeringsplicht en ga zo maar door waarmee schadeclaims opgevangen kunnen worden. Maar het heeft ook bijeffecten, zoals dat je bij een aanrijding waarbij de autonome auto schade lijdt, aan die auto de schade moet vergoeden.

Voor mij is een belangrijke overweging hoe zelfstandig de AI aan het rechtsverkeer meedoet. De huidige AI’s doen dat nauwelijks. Een beslisboom, chatbot of machine learning model vind ik nauwelijks zelfstandig opererend. Mijn AI NDA Lynn opereert weliswaar autonoom, maar volledig binnen de grenzen die ik heb getrokken in haar programmering. Ze kan niet eens leren van haar fouten, dat doe ik door nieuwe trainingsdata erin te stoppen. Een systeem dat wél zelf leert van gemeten feedback op eerder handelen zou ik eerder die kant op vinden gaan.

De argumentatie erachter zou dan zijn dat het op dat moment niet redelijk meer is dat de personen achter de AI nog verantwoordelijk gehouden worden voor hetgeen die AI doet. Na een flink aantal rondjes bijleren is die AI dan immers niet meer vergelijkbaar met het ding waarmee men begon. Dat zou zoiets zijn als wanneer mijn kat ontsnapt en een eigen leven begint op de Veluwe: is het beest dat daar na vijf jaar rondsluipt, nog wel ‘mijn’ kat te noemen? Verdien ik de schadeclaims wanneer het Wim zijn hond opvreet?

Tegelijk blijf ik zitten met het punt dat als het maar om één ding gaat, en dan ook nog eens aansprakelijkheid, er meer oplossingen zijn dan dit zware middel. Je kunt immers ook van de eigenaren eisen dat ze zich verzekeren, bijvoorbeeld. Of een wettelijke regeling over aansprakelijkheid opnemen in de wet die een andere oplossing biedt. Want het punt is wel, als je een AI tot rechtspersoon verheft dan mogen ze gelijk (vrijwel) álles dat mensen ook mogen. Dus ik denk dat je die route niet snel moet willen.

Arnoud

Politie haalt netwerk van honderden illegale modems uit de lucht

| AE 9847 | Strafrecht | 30 reacties

Honderden Nederlanders hebben met een illegale modem gratis internet en televisie gehad, las ik bij Nu.nl. De maker van de gekloonde modems is gearresteerd voor computervredebreuk en oplichting, en de kopers worden mogelijk vervolgd voor heling, las ik dan. Maar dan ben ik dus een tikje in de war, want volgens mij gaat het om iets andere misdrijven.

Wie internet of televisie wil afnemen, heeft daarvoor een modem nodig. Die ontvangt en verwerkt (demoduleert) de signalen die je huis binnenkomen, waarna de rest van je netwerk daar mee aan de slag kan. Ieder modem heeft een unieke code, die wordt herkend door het netwerk en op basis daarvan wordt bepaald wat je zoal mag zenden en ontvangen. Door die code te klonen – herprogrammeren in een ander modem – krijg je dus toegang tot dienstverlening waar je eigenlijk niet bij mag.

Het is strafbaar om met een technische truc een telecommunicatiedienst af te nemen (art. 326c Sr):

Hij die, met het oogmerk daarvoor niet volledig te betalen, door een technische ingreep of met behulp van valse signalen, gebruik maakt van een dienst die via telecommunicatie aan het publiek wordt aangeboden, wordt gestraft met gevangenisstraf van ten hoogste vier jaren of geldboete van de vijfde categorie.

Ook de verkoop en het “uit winstbejag” in voorraad hebben van deze kastjes is strafbaar, zo staat in lid 2 van dit artikel: maximaal twee jaar cel of geldboete van de vierde categorie.

Ik denk dat ik dus even iets mis als ik dan heling, computervredebreuk en oplichting zie staan. Zijn de modems fysiek als objecten gestolen van Ziggo wellicht? Dat zou kunnen, want een van de verdachten werkt bij Ziggo. Maar als het bijvoorbeeld generieke modems zijn die het Ziggo-netwerk aankunnen (wat mogelijk en toegestaan is), of tweedehands ‘echte’ Ziggo-modems, dan zie ik niet welk strafbaar feit je pleegt door die modem in gebruik te nemen. Het klonen is een “technische ingreep” in de zin van bovenstaand wetsartikel.

De computervredebreuk zou dan zijn dat je binnendringt in het netwerk van Ziggo, je zendt en ontvangt immers signalen via dat netwerk terwijl je daar officieel niet mag zijn want je hebt immers geen abonnement. Maar mijn bezwaar daartegen is dat het hierboven aangehaalde artikel specifiek geschreven is voor dit soort strafbare feiten, en je hebt nu eenmaal de algemene regel dat je in principe altijd het specifiekste strafwetsartikel in stelling brengt.

Praktisch is er ook nog het punt dat mensen bij computervredebreuk nog kunnen zeggen dat ze niet wilden binnendringen, en dat artikel vereist nu eenmaal opzet. Terwijl bij het telecom-artikel hierboven je ook zonder opzet de wet kunt overtreden, zolang je maar wist of moest weten dat het eigenlijk een betaaldienst was.

Arnoud

Wanneer mogen wij de mailbox van een werknemer van een klant openen?

| AE 9818 | E-mail, Privacy | 10 reacties

Een lezer vroeg me: Mijn bedrijf verzorgt hosted e-mail en calendaring diensten, en wij beheren dan ook de mailboxen van medewerkers van onze klanten. Soms krijgen wij de vraag van een klant om een mailbox te openen, bijvoorbeeld omdat iemand uit dienst is of omdat er een geschil is. Wanneer mogen wij dit toestaan? Vaste… Lees verder

Wacht, de ICT-manager mag niet ook de privacy officer zijn?

| AE 9811 | Privacy | 19 reacties

Een Duits bedrijf heeft een boete gekregen omdat haar IT-manager ook de rol van functionaris gegevensbescherming oftewel privacy officer had, las ik bij IAPP. Daarmee werd de wettelijk verplichte onafhankelijke status van de FG aangetast. Dat wordt nog een uitdaging dus als deze functie ook in Nederland een grote vlucht gaat nemen – in veel… Lees verder

Mag De Nederlandsche Bank de banken gaan hacken?

| AE 9809 | Beveiliging | 10 reacties

Een team onder de vlag van De Nederlandsche Bank (DNB) gaat de Nederlandse financiële infrastructuur hacken, las ik in het FD. Het ‘red team’ (oeh spannend) krijgt de opdracht om daadwerkelijk in te breken bij banken en financiële instellingen, waar slechts een klein groepje mensen afweet van de poging. Uiteraard wordt er niet daadwerkelijk schade… Lees verder

Mag een bedrijf vragen om een kopie van je ID bij een inzageverzoek?

| AE 9803 | Beveiliging, Privacy | 23 reacties

Een lezer vroeg me: Wanneer je je wettelijk recht op inzage of verwijdering van je persoonsgegevens wilt uitoefenen, wordt steeds vaker gevraagd of je een kopie van je identiteitsbewijs wilt opsturen. Is dat eigenlijk wel toegestaan? Onder de Wet bescherming persoonsgegevens, en straks de Algemene Verordening Gegevensbescherming (AVG of GDPR) heb je het recht om… Lees verder

Minister pakt Russische site met privédocumenten van Nederlanders niet aan

| AE 9801 | Beveiliging | 9 reacties

Tegen de Russische website DocPlayer, die automatisch pdf-bestanden van internetgebruikers publiceert, wordt geen actie ondernomen. Dat meldde Nu.nl vorige week. De site publiceert 4,3 miljoen bestanden staan die door een computerprogramma worden verzameld en gepubliceerd. “Echter, het valt niet op voorhand te stellen dat deze gegevens illegaal verkregen zijn.” Want als ze uit openbare bronnen… Lees verder