Internetrecht door Arnoud Engelfriet

Het Openbaar Ministerie (OM) heeft in 2014 in een strafzaak 712 bitcoins in beslag genomen, omdat de eigenaar ze met gestolen stroom zou hebben verzameld. Dat meldde Nu.nl vorige week. Dit omdat de rechter in hoger beroep bepaalde dat niet bewezen kon worden dat de bitcoins door misdrijf verkregen zijn.

De verdachte had bitcoins gemined met apparatuur die werd voorzien van gestolen stroom. Nadat dit was opgespoord, ontdekte men bij het doorzoeken een computer van de verdachte met daar op een bitcoinwallet. In eerste instantie vond men daar een saldo van 127 bitcoins in, maar na synchronisatie met het bitcoinnetwerk zes maanden later bleek de wallet een veel hoger saldo van in totaal 712 bitcoins te bevatten. Deze 712 bitcoins werden vervolgens de dag na het onderzoek door het openbaar ministerie inbeslaggenomen en vervreemd.

Op zich niet heel raar. Die bitcoins zijn door misdrijf verkregen, en vertegenwoordigen een geldswaarde. Daarmee zijn ze vatbaar voor beslag, en na veroordeling kan tot verbeurdverklaring worden overgegaan. Dat is dan ook wat het Gerechtshof zonder al te veel moeite concludeert. Dit bevestigt de praktijk die het OM al langer hanteert, dat bitcoins verkregen met gestolen stroom (ja, stroom kun je stelen) in beslag genomen kunnen worden.

Maar wacht even, vervreemd? Dus verkocht. Ja precies, ik was ook even verrast. Je zou denken dat als iets in beslag wordt genomen hangende het onderzoek, dit ergens zorgvuldig bewaard wordt. Maar volgens artikel 117 strafvordering mag dit wel bij voorwerpen “die vervangbaar zijn en waarvan de tegenwaarde op eenvoudige wijze kan worden bepaald”. Dit is ook zo uitgewerkt in de Aanwijzing Inbeslagneming, hoofdstuk IV.3.1. Het idee is dat het nodeloos veel capaciteit kost om dingen te bewaren als je ook gewoon de geldswaarde ervan kunt uitkeren als de zaak afgerond is.

In dit geval waren er 127 bitcoins bewezen door misdrijf verkregen, maar bij de rest van dat hogere saldo kon dat niet worden aangetoond. Die bleken pas in oktober te zijn ontdekt en konden niet aan het illegala minen worden gelinkt. Die 585 bitcoins moeten dan ook worden teruggegeven, althans de geldswaarde daarvan moet worden terugbetaald aan de verdachte.

Dan kom je dus bij de vraag: wat is dan de geldswaarde? Bij bitcoin is dat geen eenvoudige vraag, er is immers nogal wat koersverschil aan de gang met die virtuele valuta. Volgens de jurisprudentie moet je de waarde bepalen ten tijde van de inbeslagneming onder de betrokkene. Dat is de meest objectieve maatstaf om het voordeel te bepalen dat hij of zij heeft genoten. Daarmee is dan in beginsel de waarde van de bitcoin ten tijde van de inbeslagneming, dus het moment van de inval, beslissend.

Omdat dit bij bitcoins iets onhandiger uitpakt vanwege het benodigde technisch onderzoek, geeft het Hof het OM een week respijt. Die week is wat het OM zelf zegt dat ze meestal nodig hebben voor dit onderzoek. Het Hof kijkt vervolgens op internet wat de waarde van bitcoins is, en vindt een niet nader genoemde bron die € 499,50 per hele bitcoin noemt op 25 februari, een week na de inbeslagname. (Een tikje typisch dat de bron niet wordt genoemd, gezien rechters niet zomaar mogen googelen.) Hiermee wordt het onrechtmatig verkregen voordeel gewaardeerd.

De terug te geven bitcoins worden gewaardeerd op de koers van een week na hun inbeslagname (in oktober). De uitkomst daarbij is dan 585,48591218 bitcoins tegen een waarde van € 268,46 per bitcoin, neerkomend op een bedrag van € 157.179,55. De mining-apparatuur is de man overigens wel kwijt, die was verweven met het misdrijf en daarom eveneens verbeurd.

Arnoud

Excuses voor het klikvoer, ik kon het niet laten. Recent bepaalde de rechtbank Amsterdam dat een taxichauffeur uit de stad gewoon recht op toegang had tot het superchargerstation van Tesla, waar hij zijn auto had gekocht. Tesla mocht niet zomaar hem en zijn mede-chauffeurs de toegang ontzeggen tot deze stations, ook niet vanwege gewijzigde algemene voorwaarden. Wat bij een aantal lezers de vraag opriep: hela, je mag toch in deze dienstenmaatschappij zomaar diensten stoppen, waarom Tesla dan niet?

De eisende partij in deze zaak is taxichauffeur in Amsterdam, met vergunning om op Schiphol te rijden. Daar geldt de voorwaarde dat je dat in een Tesla Model S moet rijden, en bij de aanschaf had de man de nodige garantietoezeggingen gekregen. In de app die bij de Tesla hoorde, stond verder nog:

U profiteert van gratis, onbeperkt Supercharging voor uw huidige Tesla en een eventuele nieuwe Model S of Model X die u aanschaft voor 31 januari 2018. Als u ervoor kiest om uw huidige Tesla te verkopen, wordt gratis Supercharging overgedragen aan de volgende eigenaar. (…).”

Helaas bleek er het nodige mis met deze auto, waar na een tellerstand van boven de 210.000 kilometer gedoe over kwam omdat Tesla problemen dan in beginsel buiten de garantie vindt vallen. Ook als het herstel van eerdere gebreken betreft (die binnen de 80.000 kilometer waren ontdekt en gemeld). Daar ging volgens mij primair het geschil over. De rechtbank wijst de eis af: de garantieperiode tot 210.000 kilometer is al verlengd en meer dan wat hij van de verkoper mocht verwachten.

De kwestie over het snellaadstation (Supercharger) was voor de man relevant. Vanuit Amsterdam naar Schiphol rijdend is kunnen snelladen vlakbij de snelweg (A2/A9) een aantrekkelijk voordeel. Vele collega’s deelden die mening. Omdat die Supercharger echter op dezelfde locatie was gevestigd als Tesla’s hoofdkantoor voor Europa, dat ook als service center en verkooplocatie dienst doet, had Tesla daar een probleem mee, zoals ze hem medio januari 2018 mededeelden:

[het vele commercieel laden] leidt in toenemende mate tot wachtrijen voor de Supercharger tijdens piekuren en een onoverzichtelijke, en soms zelfs gevaarlijke (verkeers)situatie, voor klanten, werknemers, leveranciers en andere bezoekers. Met het oog op de (verkeers)veiligheid op deze locatie, behouden wij ons dan ook het recht voor om de toegang voor taxi’s tot deze Supercharger in Amsterdam-Zuidoost na 31 januari 2018, in het bijzonder tijdens piekuren, van 7:00 tot 22:00 uur, te beperken.”

Hier maakte de chauffeur bezwaar tegen met een beroep op de appvoorwaarden: daar stond immers “onbeperkt” gebruiken van de Supercharger stations. Dan mag je niet zomaar een beperking toevoegen, dan spreek je jezelf tegen.

Natuurlijk zal die drukte er zeker zijn, en voor Tesla zal dat problemen geven. Maar als je die belofte zo ongeclausuleerd doet, en je wéét dat bij zo’n nieuw type auto er veel zakelijke/commerciële rijders zijn, dan heb je kennelijk ingecalculeerd dat er rijen taxi’s op je supercharger af komen. De gevolgen moet je dan maar op een andere manier oplossen. Zeker omdat er voor de eiser eigenlijk geen reëel alternatief is qua bereikbaarheid van de locatie.

Hoe zit dat nu met “diensten mogen altijd worden stopgezet”? Allereerst: dit lees ik niet als stopzetten. Dat zou pas aan de hand zijn als Tesla de Supercharger als geheel sloot. Ik denk niet dat deze chauffeurs daar wat tegen kunnen doen, ook niet als ze dan geen reëel alternatief hebben. Als het niet meer economisch is om een dienst te exploiteren, dan mag (haha) de stekker eruit. Iets dat Ubisoft binnenkort doet bij een serie spellen.

Ten tweede staat hier aan het staken in de weg dat er een harde, expliciete toezegging is gedaan dat je altijd gebruik mag maken van die stations. Dat is bindend op de leverancier. Daarom zie je in de voorwaarden ook zelden tot nooit zoiets staan. Als er al iets staat, dan is het “we mogen de dienst op ieder moment stopzetten”. Juridisch gezien hoef je niets te zeggen om dat recht te hebben, het verkort alleen je opzegtermijn. Maar als je zegt “u mag tot in de eeuwigheid bij ons superchargen op iedere locatie”, dan zul je nog héél lang die locaties actief moeten houden.

Arnoud

Het Openbaar Ministerie adviseert mensen die op zoek gaan naar lekken in systemen een logbestand bij te houden, las ik bij Tweakers vorige week. Zo kunnen deze mensen aantonen dat ze zich aan eisen voor responsible disclosure houden en eventueel strafvervolging ontlopen. Een stap in de goede richting; het doet raar aan om mensen te vervolgen die met open kaart en goede bedoelingen een beveiligingsprobleem aankaarten. Maar -de comments lezende- toch maken mensen zich best wat zorgen over dat loggen, leg je zo niet je hoofd op het hakblok?

De wet is wat het testen van andermans systemen betreft duidelijk: dat mag niet, punt. Er is sprake van computervredebreuk als je binnengaat in een computersysteem, beveiligd of niet, terwijl je weet of had moeten weten dat je daar niet mag zijn. Je bedoelingen doen daarbij niet ter zake, dus of je nu binnengaat om data te kopiëren voor eigen gewin of om te dubbelchecken dat de database écht idioot slecht beveiligd is, is naar de letter van de wet hetzelfde misdrijf.

De praktijk van slechte beveiliging anno 2018 laat echter zien dat er grote behoefte is aan mensen die problemen signaleren, bij voorkeur voordat het écht grote problemen worden. Liever een ethisch hacker in je mail dan een datalek in de krant, zeg maar. Maar vanwege die strenge wet is het dan zoeken tussen de belangen van beide partijen, en het gebruikelijke compromis komt dan uit bij responsible disclosure: op een nette manier de organisatie inlichten en afspraken maken over wanneer het wordt hersteld en wanneer het wordt gepubliceerd. Werkt de organisatie niet mee, dan mag je publiceren zonder toestemming.

Je komt dan in strafrechtelijk vaarwater. Eerder publiceerde de overheid daarom al de aanbeveling voor organisaties om responsible disclosure-beleid te publiceren, met daarin een stappenplan voor jouw organisatie om hoe om te gaan met zulke tips van buitenaf. Deel daarvan is de toezegging dat er geen aangifte (of civielrechtelijke stappen) wordt gedaan. En het OM pakt nu op dat punt door en zegt in feite dat wanneer iemand handelt binnen zulk beleid, zij niet tot vervolging zullen overgaan. Dus ook als het bedrijf vervolgens alsnog aangifte doet.

Natuurlijk moet je wel kunnen aantonen dat je werkelijk responsible oftewel ethisch hebt gewerkt. Daarbij is loggen van groot belang, vandaar het advies. En toegegeven, dan documenteer je dus je misdrijf en die informatie is te pakken te krijgen als men wél besluit je te vervolgen en daarbij je computer doorzoekt. Dat is inderdaad een tweesnijdend zwaard. Maar als je dát anders wilt doen, dan moet je in de wet opnemen dat het binnendringen in een slecht beveiligd systeem niet strafbaar is, en dat heeft dan weer hele vergaande gevolgen de andere kant op.

Arnoud

Stel je schrijft je in voor een opleiding, die maar liefst €3.630 kost. De opleiding valt fors tegen, en dan ontdek je ook nog dat de opleider zichzelf op een bekende vergelijkingssite met nepreviews flink de hemel in geprezen heeft. Je zou om minder boos worden. En je zou denken dat je dan de cursus… Lees verder

Uit onderzoek van het KRO-NCRV-programma Brandpunt blijkt dat Facebook Nederlandse advertenties goedkeurt die onjuiste informatie over de Provinciale Statenverkiezingen verspreiden. Dat meldde Tweakers vorige week. De advertenties bevatten onjuiste informatie, variërend van een schreeuwerige kop dat CDA-voorman Buma uit eigen gewin de huizenprijzen zou hebben opgedreven tot een zakelijk klinkende mededeling dat de stembussen ‘vandaag’… Lees verder

Een lezer vroeg me: Wij staan als ICT leverancier vaak tussen de werkgever (onze klant) en hun werknemers in. Als bijvoorbeeld een werkgever toegang tot meerdere inboxen wil van werknemers, dan doen wij dit niet zomaar. We krijgen dan een beetje een adviserende rol. Maar tot hoever gaan we? Is het genoeg om een klant… Lees verder

Bedrijven trotseren de nieuwe privacywet door gewoon te blijven werken met prikklokken met vingerafdrukken. Dat meldde het FD afgelopen vrijdag. Uitzendbureau Tempo Team is gestopt, maar supermarkt Dirk ziet er vooralsnog geen probleem in. De AVG verklaart vingerafdrukken tot biometrische en daarmee bijzondere persoonsgegevens, die in principe niet mogen worden gebruikt. De zorg is nu… Lees verder

Telecomproviders zijn verplicht om preventief de persoonlijke gegevens van alle klanten te overhandigen aan de politie, maar het Groningse Voys weigert dat. Dat las ik bij de NOS. Dit is ingegeven door eerder nieuws dat het zogeheten Centraal Informatiepunt Onderzoek Telecommunicatie (CIOT) niet altijd zorgvuldig omgaat met deze gegevens. Er is veel onduidelijkheid over de… Lees verder

De nieuwe Europese privacyregeling, die moet voorkomen dat computers ongecontroleerd belangrijke beslissingen nemen over mensen, helpt niemand. Dat zeggen privacy-experts aan verschillende universiteiten in het FD vorige week. De AVG – want daar hebben we het natuurlijk over – bepaalt dat mensen niet onderworpen mogen worden aan geautomatiseerde beslissingen. De beslissing moet menselijk zijn, een… Lees verder

Nederland is in een “cyberoorlog” met de Russen verwikkeld, zegt minister Ank Bijleveld van Defensie. Dat meldde Nu.NL onlangs. De aanval op het het wifi-netwerk van de OPCW in Den Haag door vier GRU-agenten zou deel zijn van een grotere hoeveelheid cyberaanvallen van Rusland op Nederlandse infrastructuur, waarbij de minister het desgevraagd aanduidde als een… Lees verder