AIVD en MIVD maken rechtmatig gebruik van persoonsgegevens in bulkdownloads

| AE 10401 | Strafrecht | 8 reacties

De inlichtingendiensten AIVD en MIVD gaan “rechtmatig” om met datasets met persoonsgegevens die online worden aangeboden. Dat las ik vorige week bij Nu.nl. Deze conclusie volgt uit het rapport 55 over het verwerven van op internet aangeboden bulkdatasets van de Commissie van Toezicht op de Inlichtingen- en Veiligheidsdiensten. Dat “online aangeboden” moet je met aanhalingstekens uitspreken, want het gaat eigenlijk om gelekte of gestolen gegevens die op schimmige plekken te verkrijgen zijn. Maar voor de inlichtingendiensten is dat dus geen probleem.

Het klinkt ergens gek, maar ook de AIVD en haar militaire broertje de MIVD moeten de privacy respecteren van mensen die ze bespioneren. Dat betekent dus dat het gebruiken van ‘gevonden’ datasets met persoonlijke informatie niet zomaar kan, met name omdat daar ook veel gegevens in zullen zitten van mensen die in het geheel niet in beeld zijn bij de inlichtingendiensten.

Het gebruik van die persoonsgegevens is geregeld in de Wet op de Inlichtingen- en Veiligheidsdiensten, waarvan editie 2002 van toepassing was op de vergaring. (En editie 2017 is de beruchte ‘sleepwet’.) De bevoegdheden zijn een stuk breder dan voor gewone burgers of overheidsinstanties. Kort gezegd mag er veel meer zolang het maar enigszins gedocumenteerd wordt en het gebruik netjes wordt bijgehouden.

Zo is er een openbronregeling die bepaalt hoe men informatie uit open bronnen mag betrekken, waarbij het niet uitmaakt of die bron de gegevens legaal of illegaal publiceert. Daarbij is het zelfs toegestaan om je te registreren onder een valse naam en dan te zien wat er te downloaden is; de grens ligt bij de aanbieder overhalen tot het verstrekken van de bron. Dat mag ook maar valt onder de agentregeling met net iets strengere eisen.

Aanleiding voor het onderzoek was dat de diensten bestanden hadden gekocht op het “dark web” (/insert omineuze muziek) met gegevens over meer dan honderd miljoen personen, waarvan het overgrote deel nooit en te nimmer relevant zou zijn voor het inlichtingen- en veiligheidswerk. Het ging daarbij om vertrouwelijke informatie die onrechtmatig in die bestanden terecht was gekomen en die normaal nooit zomaar bekend zou zijn.

De AIVD had die gegevens snel opgehaald omdat ze vermoedden dat die zomaar weggehaald zou kunnen worden, en deed dat onder de openbronregeling omdat ze dachten dat het dark web daaronder viel. Maar omdat het feitelijk een aankoop van een bestand was, had dit onder de agentregeling moeten gebeuren. Dat ging dus mis, maar betekent uiteindelijk weinig omdat -zo concludeert de commissie- het onder de agentregeling legaal zou zijn geweest. Belangrijk was daarbij ook dat er op hoog niveau toestemming was gegeven voor de aankoop.

Bij een tweede dataset van vergelijkbare omvang en inhoud ging het mis. Daar werd die toestemming niet op dat niveau gevraagd, en was niet duidelijk hoe men daar precies aan gekomen is. Uiteindelijk heeft dit geen gevolgen, omdat het gebruik verder netjes binnen de lijntjes blijft en het waarschijnlijk was dat er toestemming zou zijn gegeven.

De totale uitkomst verrast dus niet. Over blijven aanbevelingen om zorgvuldiger met de gegevens om te gaan, en jaarlijks te bekijken of de datasets nog nuttig zijn in de praktijk. En meer algemeen om beleid te maken over hoe om te gaan met downloaden of aankopen van datasets als deze. En dat is hoe het eigenlijk altijd gaat met zulke dingen: het mocht niet, maar de schade lijkt beperkt en als er dan beleid op komt, dan is het goed.

Arnoud

Hoe bedreigend is het om als doelwit in een game te fungeren?

| AE 10367 | Strafrecht | 11 reacties

Stel je hebt ruzie met iemand en die maakt een schietspel waarbij jij het doel bent en er echte kogels in beeld zijn. Zou dat een strafbare bedreiging zijn? In een recente rechtszaak bepaalde de Hoge Raad (dank, 10a) van niet, zij het vooral vanwege de motivatie. Dus dat roept een interessante vraag op: hoe bedreigend is het om als doelwit in een game te fungeren?

De verdachte was een zzp’er die werkte voor het bedrijf van het slachtoffer, en op zeker moment was daar een woordenwisseling over betalingen, waar de verdachte verbaal kennelijk erg agressief bij was. Daarmee eindigde de werkrelatie, maar op zeker moment nadien kreeg het bedrijf een tip van een relatie dat er een “raar spelletje” online stond.

Raar inderdaad: een shooter waarbij je tussen onschuldige konijntjes af en toe een zombie kreeg, en uiteraard moet je die dan doodschieten. Alleen waren over die zombies de gezichten van de slachtoffers geplakt, met als effect dus dat iedereen die twee personen dood leek te schieten. Tel daarbij op een kogel met “Reload and shoot some more!” als reload-knop en ik snap dat er aangifte wegens bedreiging werd gedaan.

In eerste instantie kreeg men gelijk en werd de man veroordeeld tot een werkstraf. In hoger beroep werd discussie gevoerd over hoe openbaar het spel was en of dat de bedoeling van de verdachte zou zijn geweest, waarvan het Hof zei dat dat het geval was. Bedreigend was het ook:

De teksten en afbeeldingen en met name het doel van het spel, zijn van dien aard dat zij een bedreigend karakter hebben. Het voorgaande in samenhang bezien met de omstandigheid dat tussen de verdachte en de aangevers een zakelijk geschil bestond, maakt dat het hof van oordeel is dat bij [slachtoffer 1], [slachtoffer 2] en [slachtoffer 3] de redelijke vrees kon ontstaan dat daadwerkelijk op hen geschoten zou worden. Dat het spel volgens de verdediging een satirisch karakter heeft doet hieraan niet af.

Dit doet als motivatie echter een tikje mager aan, en dat is ook waarom de HR hen op de vingers tikt: uit het feit dat er een geschil is en je kunt schieten, mag je nog niet concluderen dat de maker van het spel aan het dreigen was. Die drempel ligt namelijk hoog:

Voor een veroordeling ter zake van bedreiging met enig misdrijf tegen het leven gericht is, voorzover hier van belang, vereist dat de bedreiging van dien aard is en onder zodanige omstandigheden is geschied dat bij de bedreigde de redelijke vrees kon ontstaan dat zij het leven zou kunnen verliezen.

En nou ja, het klopt natuurlijk dat er niet expliciet wordt gezegd, laten we dit in het echt doen met hem, of iets dergelijks. Tegelijkertijd, ik begrijp het wel: voor veel mensen is het behoorlijk schokkend om in een agressieve situatie te belanden, en daarna te zien dat die ander daarmee doorgaat met zo’n spel. Het komt erg agressief over en ik snap goed dat mensen ervan schrikken hun gezicht als doelwit in een schietspel te zien. Ik heb daarom best moeite met deze lat, want een beetje handige bedreiger kan zo makkelijk dingen verzinnen die de lat niet halen maar het beoogde effect wel sorteren.

Arnoud

Moet ik per ongeluk ontvangen bitcoins teruggeven?

| AE 10275 | Strafrecht | 18 reacties

Een leuke casus bij Tweakers:

Een vriend van mij, die niet heel handig is met betrekking tot het opzetten van een [bitcoin]wallet, wilde ook graag investeren. Ik heb toen aangeboden dat ik de BTC voor hem zou beheren, aangezien ik een Trezor heb. … Ik kreeg [van het bedrijf Bitonic] in plaats van €1000 aan bitcoins, twee transacties van beide €1000 aan bitcoin binnen op mijn adres. [Mag ik dat houden?]

Waarop een uitgebreide morele discussie volgt die neerkomt op “hoe onfatsoenlijk is dat”. Maar er zit natuurlijk ook een juridische component aan, zeker als Bitonic vervolgens mensen blijkt te hebben gemaild met de opmerking dat ze het juridisch mogelijk niet terug kunnen eisen.

Die opmerking snap ik niet, want juridisch gezien is het niet heel spannend. Die onterecht ontvangen bitcoins zijn een “onverschuldigde betaling” in de zin van de wet (art. 6:2036:212 BW) en je moet de wederpartij dan schadeloos stellen. Formeel geldt die plicht vanaf dat je het betaalde hebt ontvangen, niet vanaf dat men je heeft opgespoord. Je moet het dus gaan brengen, ongevraagd.

Het heet weliswaar een onverschuldigde betaling maar het geldt ook voor onverschuldigd gegeven fysieke dingen, dus ik twijfel er niet aan dat een onverschuldigd opgestuurde bitcoin onder dit kopje valt. Die bitcoins moeten dus terug.

Tevens is het een misdrijf om zulk ontvangen spul voor jezelf te houden (verduistering, art. 321 Strafrecht – het is geen diefstal want je hebt ze niet door een misdrijf verkregen). Vanaf dat je besluit ze niet terug te geven, pleeg je dus een misdrijf.

Wat er gebeurt bij koersverschillen is een lastigere. Dat is op zichzelf ook schade, maar hoe dat uitpakt bij bitcoin weten we nog niet. Maar hier maakt dat niet veel uit, want je kunt gewoon de bitcoins teruggeven zonder dat er iets moet worden gewisseld van of naar Euro’s.

De uitspraak van Bitonic snap ik wel vanuit praktisch gezichtspunt. Hoe vind je al die ontvangers, en hoe bewijs je wie welk geld heeft dat terug moet. En vooral: is dat de kosten waard? Zuiver formeel hebben ze ongelijk, want het moet gewoon terug, punt.

Arnoud

Politie haalt netwerk van honderden illegale modems uit de lucht

| AE 9847 | Strafrecht | 31 reacties

Honderden Nederlanders hebben met een illegale modem gratis internet en televisie gehad, las ik bij Nu.nl. De maker van de gekloonde modems is gearresteerd voor computervredebreuk en oplichting, en de kopers worden mogelijk vervolgd voor heling, las ik dan. Maar dan ben ik dus een tikje in de war, want volgens mij gaat het om… Lees verder

Mag je in een Tesla met autopilot een telefoon in je hand houden?

| AE 9743 | Strafrecht | 26 reacties

Een tipgever (dank!) wees me op deze tweet van Vincent Evers: Reed met @Tesla autopilot en politie hield me aan. Flinke boete. Rechter hoe lang blijft deze regel? De staandehouding bleek echter niet te zijn geweest vanwege het loslaten van het stuur (wat op een snelweg in principe redelijk risicoloos kan als je de Autopilot… Lees verder

Politie werkt aan Pokémon Go-achtige app voor opsporing gestolen auto’s

| AE 9727 | Strafrecht | 48 reacties

De Nederlandse politie werkt aan een Pokémon Go-achtige app genaamd Automon waarmee burgers kentekens kunnen scannen en punten krijgen voor een ‘hit’. Dat meldde Tweakers onlangs. De app gaat een overlay tonen met informatie uit politieregisters over het al dan niet gestolen zijn van de auto op basis van kenteken. Maar wacht even, mogen burgers… Lees verder

Whoa, kun je echt de cel in gaan omdat je in opdracht sjoemelsoftware programmeert?

| AE 9640 | Strafrecht | 32 reacties

Een softwareontwikkelaar van Volkswagen is in de VS tot 40 maanden cel veroordeeld voor zijn aandeel in het sjoemelsoftwareschandaal, las ik bij Reuters. De man was volgens het vonnis deelnemer aan een samenzwering met als doel een “stunning fraud on the American consumer.” Wat gelijk behoorlijk wat ophef gaf: je kunt dus strafrechtelijk de cel… Lees verder

Translink deelde reisgegevens studenten met DUO voor fraudebestrijding

| AE 9620 | Privacy, Strafrecht | 34 reacties

Translink, het bedrijf achter de ov-chipkaart, gaf reisgegevens door aan DUO. Dat meldde Tweakers gisteren. DUO gebruikte deze gegevens om studenten op te sporen die zouden frauderen met een uitwonende beurs. En de ophef zit hem dan in het feit dat die reisgegevens werden verstrekt zonder dat daar een officier van justitie aan te pas… Lees verder

Bedienen van telefoon in houder is ook een vorm van vasthouden

| AE 9594 | Strafrecht | 46 reacties

Onder het begrip vasthouden moet ook worden verstaan het met een hand bedienen van een telefoon terwijl deze geplaatst is in een telefoonhouder die bevestigd is op het dashboard. Dat bepaalde de rechtbank Noord-Nederland vorige maand (pas dinsdag gepubliceerd) in een van de vele vonnissen rond wat je nu wel en niet mag doen met… Lees verder

Mag de eigenaar van een gestolen laptop deze opsnuffelen bij een legitieme koper?

| AE 9571 | Beveiliging, Strafrecht | 32 reacties

Een lezer vroeg me: Onlangs kreeg ik de politie aan de deur: ik zou in het bezit zijn van een gestolen laptop! Bij navraag bleek het te gaan om een tweedehands die ik keurig in een computerwinkel had gekocht (met bon, reële prijs, semi-bekende keten wiens naam ik even niet noem) dus niets aan de… Lees verder