Politie mag smartphones van verdachten niet zomaar meer doorzoeken

| AE 9370 | Privacy | 25 reacties

De Hoge Raad heeft grenzen gesteld aan het politieonderzoek naar smartphones van verdachten. Dat meldde Nu.nl vorige week. De politie mag een smartphone doorzoeken als dit niet verder gaat dan een beperkte inbreuk op de privacy. De huidige praktijk van iemands telefoon compleet leegtrekken en doorzoeken staat daar op gespannen voet mee, eigenlijk moet daar een aparte wettelijke regeling voor komen.

Uit het arrest blijkt dat de aanleiding relatief simpel was. Een man werd op Schiphol gearresteerd door de Koninklijke Marechaussee op verdenking van smokken van cocaïne. Vervolgens werd zijn smartphone en bijbehorende simkaart uitgelezen en onderzocht, waarna men diverse WhatsApp-chats en foto’s aantrof die als bewijs werden gebruikt om de zaak rond te krijgen.

Op zich mag een telefoon natuurlijk in beslag worden genomen bij een arrestatie. En vervolgens mag er in principe ook worden gekeken of gezocht in wat er in beslag wordt genomen. De wet staat dat toe: artikel 94 Wetboek van Strafvordering spreekt van “alle voorwerpen die kunnen dienen om de waarheid aan de dag te brengen”. En een telefoon met inhoud voldoet aan die omschrijving.

Echter, een telefoon is wel iets anders dan een zakdoek of portemonnee. Dergelijke apparatuur bevat veel meer privéinformatie dan een koffer, denk aan foto’s, opgeslagen berichten en ook toegang tot allerlei diensten als het ding wachtwoorden onthoudt. Al in 2015 bepaalde het Gerechtshof Leeuwarden dan ook dat hier een grens ligt. Wanneer de politie namelijk in iemands grondrechten wil treden, moet daarvoor een wettelijke grondslag zijn. Zo is er een wetsartikel dat bepaalt wanneer men een huis binnen mag of wanneer iemands e-mail mag worden doorgelezen. Dat wetsartikel zegt dan wanneer dat mag, hoe lang dat mag en wie er toestemming voor moet geven.

In deze zaak vond het Hof Amsterdam dat artikel 94 een voldoende wettelijke grondslag was. Daar staat immers zwart op wit dat alles in beslag genomen mag worden (en dus ook doorzocht) als daarmee de waarheid aan het licht te brengen is. En al sinds 1994 is vaste jurisprudentie dat dat voor computers net zo goed geldt als voor portemonnees.

De Hoge Raad verwerpt die redenering. Artikel 94 is alleen bedoeld voor ‘gewoon’ in beslag nemen en doorzoeken, waarbij geen of hooguit beperkt iemands privacy wordt geschonden. Heb je een foto van je partner in je portemonnee, dan mag een agent daar gewoon naar kijken als hij die portemonnee in beslag heeft genomen. Dat is weliswaar een privacyschending maar die is slechts zeer beperkt.

Wanneer een telefoon compleet wordt leeggetrokken, ontstaat een andere situatie. Dat is meer dan even snel kijken, en dat wordt dan ook als meer dan geringe inbreuk op de privacy gezien. Dan wordt het lastig. Voor inbreuken op een grondrecht is een wettelijke regeling nodig, die met voldoende waarborgen is omkleed. Dat is waarom het Wetboek van Strafvordering zo uitgebreid is: al die situaties zoals huiszoekingen of mailtaps moesten immers worden geregeld en van waarborgen voorzien. Strikt gesproken mogen telefoons dus niet worden doorzocht zodra het meer dan gering iemands privacy raakt, wat al snel het geval zal zijn.

De HR wil echter niet zo ver gaan. (Cynische ikke denkt: dat zou namelijk de héle opsporing platgooien.) Men begint met te stellen dat artikel 94 echt gewoon een wettelijke regeling is, en dat het aan de rechter is om te toetsen of in een concreet geval men al dan niet te ver ging met de toepassing van die bevoegdheid. Voor extra zekerheid is het aan te bevelen dat een officier van justitie of rechter-commissaris de doorzoeking doet, dat geeft dan een stevige waarborg. Het doet me wat gezocht aan.

Arnoud

Slimme vibrator met camera gekraakt door beveiligingsbedrijf

| AE 9362 | Beveiliging, Privacy | 29 reacties

De Svakom Siime Eye, een slimme vibrator met aan het uiteinde een camera, blijkt relatief eenvoudig te kunnen worden gemanipuleerd. Hierdoor zijn de gemaakte beelden ook op afstand door vreemden te bekijken, zo las ik bij Nu.nl na diverse tips (dank, iedereen). En ergens hoop ik dat dit faalproduct ten voorbeeld wordt gesteld aan alle andere faalproducten die we het Internet der Dingen noemen. Maar ja.

De camera in het apparaat kan foto’s en video’s maken, die vervolgens via een app kunnen worden uitgelezen. Leuk bedoeld, alleen heeft men zo te zien hardware van een algemene IP-camera gebruikt. De camera is namelijk op afstand te benaderen, alleen is het wachtwoord een standaardwaarde en is de webinterface (de webinterface?!) geheel van wachtwoorden ontdaan. Ook kunnen zaken als lokale netwerknamen worden uitgelezen.

Een keiharde faal dus, dit apparaat. Alleen is dit dus enkel nieuws omdat het om een vibrator gaat: het is doodnormaal dat dergelijke internet-enabled apparaatjes worden voorzien van slechte beveiliging, standaardwachtwoorden en abuisievelijke achterdeuren. Wordt het niet eens tijd dat daar wat aan gedaan wordt?

In theorie zou dat hier kunnen: het apparaat verwerkt persoonsgegevens (de beelden zullen naar verwachting mensen in beeld brengen) en moet daarom adequaat beveiligd zijn tegen datalekken en misbruik van persoonsgegevens. Een stevige boete zou hier dus wel op zijn plaats zijn. Maar ja.

Arnoud

Te koop bij uw ISP: uw browsergeschiedenis

| AE 9355 | Privacy | 16 reacties

Amerikaanse internetproviders mogen binnenkort de internetgeschiedenis van hun klanten verkopen aan derden, meldde Ars Technica vorige week. Een besluit van die strekking is door zowel Congres als Huis van Afgevaardigden aangenomen. Het besluit verklaart een eerdere regel van de toezichthouder FCC ongeldig, waarin werd bepaald dat alleen met aparte opt-in dergelijke gegevens mochten worden verzameld en verkocht.

Het achterliggende argument lijkt te zijn dat de advertentiemarkt te veel in het voordeel van social media en zoekdiensten is. Die kunnen van alles en nog wat verzamelen en verkopen, en toestemming regelen ze met onleesbare gebruiksvoorwaarden die iedereen toch wel accepteert. Terwijl die arme zielige ISPs alle investeringen in infrastructuur mogen doen en dan niet eens een advertentietje hier of daar mogen doen om een centje bij te verdienen. Mogelijk zit er ook een stukje politiek achter, nu de huidige president de visie lijkt te hebben dat toezicht eigenlijk überhaupt een slecht idee is.

Elders wijst Bruce Schneier erop dat de belangrijkste pijn er hier in zit dat je gewoon niet van provider kunt wisselen. In theorie zou je kunnen stoppen bij Facebook (hoewel ik dan denk: moehaha yeah right) maar van provider wisselen is vaak gewoon onhaalbaar omdat er geen alternatief ís. Je onttrekken aan deze monitoring zou wellicht kunnen met een VPN, maar dat zijn weer forse extra kosten en vaak verminderde prestaties.

In Nederland zou dit nauwelijks te doen zijn. Privacy op internet is verankerd in Europese regels; ons parlement is niet eens bevoegd om zulke regels te maken waarbij opt-in zou worden afgeschaft. Weer zo’n juridisch verschil met de VS: privacy is daar beperkt tot wat je met de gordijnen dicht thuis doet, en dat gegevens over jou privacygevoelig zijn, wil er eigenlijk gewoon niet in bij ze.

Arnoud

Nee, werknemers kunnen geen toestemming geven voor privacyzaken

| AE 9313 | Arbeidsrecht, Privacy | 33 reacties

Energiebedrijf Uniper (tot 1 januari 2016 E.ON) heeft na onderzoek van de Autoriteit Persoonsgegevens (AP) zijn alcohol- en drugscontrolebeleid voor medewerkers ingetrokken, las ik een tikje vertraagd bij de toezichthouder. Dit beleid kwam erop neer dat het bedrijf alcohol- en drugstesten wilde inzetten om onveilige situaties te voorkomen, maar dat mag niet van de AP:… Lees verder

Geldt de meldplicht datalekken ook voor defaced websites?

| AE 9315 | Aansprakelijkheid, Privacy | 7 reacties

Tweakersgebruikers melden maandag defacement van verschillende websites, waarbij de site zelf is vervangen door een boodschap die afkomstig lijkt te zijn van een Turkse groepering. Dat las ik op Tweakers gisteren. Of er een link is met de gebeurtenissen rond de Turkse minister van Familiezaken Kaya, is onduidelijk. Maar diverse lezers vroegen me wel: moet… Lees verder

Belastingdienst mag camerabeelden met nummerplaatherkenning niet gebruiken

| AE 9286 | Privacy, Strafrecht | 8 reacties

De Belastingdienst mag de foto’s die langs de snelweg zijn genomen met camera’s die zijn voorzien van automatische nummerplaatherkenning niet gebruiken, oordeelt de Hoge Raad. Dat meldde Tweakers afgelopen vrijdag. Door te datagraaien in de nummerplaatinfo vastgelegd door deze zogeheten ANPR-camera’s kon de Belastingdienst achterhalen dat een aantal zakelijke rijders een onjuiste ritregistratie had opgevoerd…. Lees verder

Wie is aansprakelijk voor dat #cloudbleed-lek van Cloudflare?

| AE 9280 | Cloud, Privacy | 10 reacties

Door een bug in de html-parser van CloudFlare konden gevoelige gegevens van klanten van het bedrijf lekken en stond data in de cache van zoekmachines. Na een melding van Google heeft de dienst voor optimilisatie van websites het lek in zeven uur gedicht. Dat meldde Tweakers, met meer details in The Register. De clouddienst had… Lees verder

Ja duh, natuurlijk moet een stemwijzer werken met https

| AE 9273 | Privacy | 6 reacties

De Autoriteit Persoonsgegevens (AP) heeft onderzoek gedaan naar de beveiliging van websites die interactieve stemhulp bieden, las ik bij Nu.nl. De privacytoezichthouder meldt dat 14 van de 24 onderzochte websites geen gebruik bleken te maken van een versleutelde verbinding, en na de vingertik hebben vier meteen de handdoek in de ring gegooid. De rest is… Lees verder

Mag je schoolfoto’s in een Dropbox delen met alle ouders?

| AE 9245 | Privacy | 53 reacties

Een lezer vroeg me: Wanneer er bij onze basisschool foto’s worden gemaakt van een evenement (zoals Sinterklaas of een schoolreisje) dan delen wij die met de betreffende ouders door de foto’s in een Dropbox aan te bieden. Alleen zij kunnen er dan bij, verder is het niet openbaar. (Voor publicatie op de site vragen we… Lees verder

Wetsvoorstel moet digitaal leren met nepnaam veiliger maken

| AE 9265 | Cloud, Privacy | 21 reacties

Kinderen die op school met digitale lesmethoden werken, hoeven niet meer hun eigen naam in te vullen. Dat stond in het papieren AD afgelopen weekend. De ministerraad heeft namelijk ingestemd met een wetsvoorstel van die strekking, hoewel exacte details nog ontbreken. Kort gezegd komt het erop neer dat bij gebruik van clouddiensten door scholen moet… Lees verder