Hoe strafbaar is het versturen van epilepsie-triggerplaatjes?

| AE 9322 | Strafrecht | 8 reacties

De FBI heeft een man aangehouden die Newsweek-auteur Kurt Eichenwald, waarvan bekend was dat hij epilepsie heeft, een epilepsie-triggerend Twitterbericht zou hebben gestuurd. Dat meldde Ars Technica onlangs. De arrestatie zou de eerste keer zijn voor online geweldpleging (“assault”). De FBI trekt de vergelijking met een bom of miltvuur via de post sturen naar iemand. Hoe zou dat in Nederland uitpakken?

Het is al langer bekend dat mensen met epilepsie gevoelig kunnen zijn voor bepaalde afbeeldingen. Er zijn patronen waar men sneller hoofdpijn van krijgt, en met animaties kunnen zelfs aanvallen worden opgewekt bij mensen die daar gevoelig voor zijn. Een berucht voorbeeld is een Pokémon-aflevering uit 1997 die met stroboscopische effecten kinderen hoofdpijn of aanvallen zou hebben bezorgd.

Dat was natuurlijk per ongeluk, maar hoe zit het als je dat nu opzettelijk doet, zo’n afbeelding sturen naar iemand van wie je weet dat hij er gevoelig voor is? Dan kom je in het strafrecht uit bij mishandeling (art. 300 Strafrecht): Mishandeling wordt gestraft met gevangenisstraf van ten hoogste drie jaren of geldboete van de vierde categorie. Het gaat dan meestal over fysieke mishandeling, zoals slaan of schoppen. Maar gezien het resultaat dat zo’n afbeelding kan hebben, lijkt het mij evident dat ook dit een vorm van mishandeling is.

Opzet wil zeggen dat je daadwerkelijk de bedoeling had het misdrijf te plegen. Bij deze Amerikaanse meneer lijkt daar wel sprake van, hij voorzag het bericht van de tekst “You deserve a seizure”. Daar valt weinig anders van te maken dan dat hij het wilde.

Had hij nou een andere tekst gebruikt, dan had hij wellicht kunnen zeggen dat het maar een grapje was of niet zo bedoeld. Dan wordt het juridisch iets lastiger, want je voelt aan dat dat niet geheel geloofwaardig is maar opzet bewijzen zal niet lukken. Gelukkig kent het strafrecht dan de constructie van voorwaardelijke opzet: de dader weet dat zijn daad een bepaald negatief gevolg kan hebben, maar neemt dat op de koop toe. Hoe je zo’n tweet ook voorziet van tekst, als je weet dat zo’n plaatje een toeval kan opwekken en je stuurt het dan naar een bekende epilepticus, dan is dat voorwaardelijke opzet en dan ben je net zo goed strafbaar.

Een plaatje zomaar ergens publiceren zonder specifieke doelgroep zou geen voorwaardelijke opzet zijn. Hoe weet je dan dat die daad dat gevolg kan hebben? Dat voelt wat mager. Een epilepsie-forum uitzoeken zou wél voorwaardelijke opzet zijn overigens, je hoeft niet een specifieke persoon op het oog te hebben. Tenzij je het op het forum plaatst met twaalf disclaimers en waarschuwingen en duidelijk maakt dat mensen zichzelf hiermee kunnen testen maar wel iemand erbij moeten hebben om ze eventueel te helpen. En zo kan ik nog wel even doorgaan (en ongetwijfeld gaat Wim dat hieronder doen ook).

Arnoud

Rechter veroordeelt webcamafperser ondanks claims over dubieuze keylogger

| AE 9320 | Strafrecht | 16 reacties

Een man is strafrechtelijk veroordeeld op basis van bewijs verkregen met een politie-keylogger. Dat meldde Tweakers vorige week. De politie heeft eind 2013 de woning van de man in het geheim betreden, waarbij op de aangetroffen laptop en desktop een keylogger werd geïnstalleerd. Zo kreeg men inzicht in zijn internetgedrag en pogingen dat te verhullen. Maar mocht dat wel?

Het vonnis laat zien dat de man in beeld kwam naar aanleiding van een onderzoek bij Facebook. Het bedrijf had accounts ontdekt die door dezelfde persoon werden gebruikt om mannen te chanteren middels valselijk verkregen seksueel materiaal. Het IP-adres kon door de politie worden getraceerd naar een bungalowpark in Nederland, waar -zo ontstond het vermoeden- de dader zou wonen.

Na nader onderzoek werd een verdachte aangehouden. In de paar dagen dat hij in voorarrest zat, betrad een politieteam die bungalow om daar een keylogger op de computer te installeren. Deze tool registreerde toetsaanslagen en maakte schermafbeeldingen wanneer op die desktop of laptop gebruik werd gemaakt van communicatieprogramma’s zoals Skype of een internetbrowser. Hierdoor kreeg het onderzoeksteam inzicht in het internetgedrag op deze computers en kon de afscherming door het gebruik van een VPN-verbinding worden omzeild. Dat leverde genoeg bewijs op om nogmaals tot arrestatie over te gaan, en ditmaal ook tot vervolging.

Een verweer van de verdediging was dat die keylogger onrechtmatig was toegepast en dat de resultaten van het hulpmiddel niet betrouwbaar zijn en daarom niet mogen worden gebruikt voor het bewijs. Er zouden onregelmatigheden zijn zoals chatteksten die wel op de gemaakte schermafbeeldingen zijn te zien, maar niet terugkomen in de geregistreerde toetsaanslagen.

In Nederland is het gebruik van dergelijke technische hulpmiddelen gereguleerd in het Besluit technische hulpmiddelen strafvordering. Dit Besluit heeft tot doel de betrouwbaarheid en herleidbaarheid te waarborgen van de gegevens die daarmee zijn verkregen. Het hulpmiddel moet voldoen aan technische eisen; van de keuring moet door een keuringsdienst een rapport worden opgemaakt en de keuring moet plaatsvinden overeenkomstig een goedgekeurd keuringsprotocol. Dat was hier het geval. En de Hoge Raad had eerder bepaald dat als zo’n keuringsrapport er is, de rechter in principe moet aannemen dat het hulpmiddel betrouwbaar is.

Dat er onregelmatigheden blijken te zijn, kan een tegenargument zijn. Echter, die waren hier niet – althans niet zo zwaar dat het tot uitsluiting van het bewijs zou moeten leiden. De meeste toetsaanslagen klopten wél met de screenshots (en andersom), dus die paar missers zien we dan als afrondingsfouten, zeg maar.

Ook merkwaardig was dat de keylogger verdwenen was na de tweede aanhouding. Onduidelijk blijft wat er is gebeurd – heeft een virusscanner het ding verwijderd als malware, is er de remote destruct optie ingeroepen? – maar dat maakt niet uit. Want zelfs als die verwijdering op de raarst mogelijke manier is gebeurd, dan nog staat vast dat het verkregen bewijsmateriaal betrouwbaar is. De keylogger was immers gekeurd en volgens de regels geïnstalleerd.

Als laatste was er nog het argument dat de keylogger meer opnam dan was toegestaan in het bevel van de Officier van Justitie dat de toestemming gaf voor het installeren van de keylogger. Zo waren er op de screenshots tabbladen te zien van andere applicaties dan waar de keylogger bij zou moeten komen. Maar dat maaktook niet uit: dat op schermafdrukken meer is te zien dan alleen de ingestelde programma’s, maakt naar het oordeel van de rechtbank nog niet dat sprake is van een verzuim.

Bij mijn weten de eerste keer dat zó expliciet een keylogger/spyware rechtmatig wordt verklaard bij de rechtbank. En het laat zien dat je als verdediging van goeden huize moet komen om daar dan nog gaten in te schieten.

Arnoud

Mag de politie computerreparateurs betalen om te dataspitten?

| AE 9308 | Strafrecht | 34 reacties

De Amerikaanse FBI zou sinds 2007 medewerkers van de Geek Squad, een computerreparatiedienst van elektronicaketen Best Buy, betaald hebben om als informanten te dienen. Dat meldde Tweakers onlangs. De reparateurs spitten door binnengebrachte computers heen op zoek naar bijvoorbeeld kinderporno. De truc daarachter zou zijn dat de reparateurs dat kunnen zonder gerechtelijk bevel of zelfs maar verdenking, en dat die dan daarna een aangifte doen dat wél grond is voor een verdenking en juridische actie. Hoe zou dat in Nederland uitpakken?

Ook bij ons geldt natuurlijk dat de politie niet zomaar in computers mag snuffelen. Een officier van justitie zou bevel geven tot doorzoeking, en meestal is daarvoor toestemming van de rechter-commissaris nodig. Dat vereist al een stevige verdenking van een misdrijf, op de bonnefooi eens gaan zoeken is niet toegestaan.

Privépersonen zijn niet aan die regels gebonden. Als een reparateur dus bij herstelwerk iets strafbaars aantreft, dan is hij bevoegd daar aangifte van te doen. Hij heeft geen toestemming nodig van een overheidsinstantie om te zoeken naar strafbare informatie of om aangifte te mogen doen.

Het maakt zelfs niet uit of de reparateur toestemming van de eigenaar had om op die plek te gaan zoeken. Snuffelen zonder grondslag kan een probleem zijn – contractbreuk, misschien zelfs computervredebreuk – maar dat maakt het aldus verkregen bewijsmateriaal niet onbruikbaar voor Justitie. In theorie zou de reparateur dan vervolgd worden voor die computervredebreuk, parallel aan de rechtszaak tegen de eigenaar voor hetgeen dat er gevonden is middels die computervredebreuk.

Het punt is hier alleen wel: dit is niet zomaar wat tegenkomen, of zelfs maar snuffelen uit nieuwsgierigheid en wat tegenkomen. Dit is werken in opdracht van de politie. En dán val je ook als burger onder die regels voor de politie. Bewijs dat uit zo’n betaalde snuffelopdracht komt, is dus onbruikbaar bij ons.

De elektronicaketen ontkent overigens dat ze zo’n regeling getroffen hebben. Ik kan me ook moeilijk voorstellen dat de FBI dat wél zou aanbieden, al is het maar omdat de kans dat je wat strafbaars vindt, toch vrij klein is. Nog los van de discussie over rechtmatig verkregen bewijs.

Arnoud

Mag je gekraakte wachtwoorden of hashes in je bezit hebben?

| AE 9278 | Hacken, Strafrecht | 16 reacties

Een lezer vroeg me: Er zijn veel dumps van gehackte wachtwoorddatabases (b.v. LinkedIn) beschikbaar op internet. Is het strafbaar om (1) deze in je bezit te hebben (2) hashes in zo’n dump te kraken en (3) gekraakte wachtwoorden publiek te maken in b.v. presentaties of publicaties? Het is op dit moment algemeen niet strafbaar om… Lees verder

Belastingdienst mag camerabeelden met nummerplaatherkenning niet gebruiken

| AE 9286 | Privacy, Strafrecht | 8 reacties

De Belastingdienst mag de foto’s die langs de snelweg zijn genomen met camera’s die zijn voorzien van automatische nummerplaatherkenning niet gebruiken, oordeelt de Hoge Raad. Dat meldde Tweakers afgelopen vrijdag. Door te datagraaien in de nummerplaatinfo vastgelegd door deze zogeheten ANPR-camera’s kon de Belastingdienst achterhalen dat een aantal zakelijke rijders een onjuiste ritregistratie had opgevoerd…. Lees verder

‘Driekwart Nederlanders voor verbod smartphonegebruik op fiets’

| AE 9211 | Strafrecht | 11 reacties

Driekwart van de Nederlanders is voorstander van een verbod op het gebruik van smartphones op de fiets, meldde Nu.nl onlangs. Dit bleek uit onderzoek van het ministerie van Infrastructuur en Milieu, in de opmaat naar een wettelijk verbod op smartphonegebruik dan wel -vasthouden voor fietsers. De discussie gaat namelijk over dat laatste punt: moeten we… Lees verder

Politie krijgt tien nieuwe teams om cybercriminaliteit te bestrijden

| AE 9187 | Strafrecht | 65 reacties

De politie gaat tien nieuwe cyberteams oprichten om cybercriminaliteit beter te kunnen bestrijden. Dat las ik bij Nu.nl. De teams gaan uit minimaal tien rechercheurs bestaan, die al in dienst zijn bij de politie. Zij worden ondersteund door digitaal specialisten die beschikken over specifieke ICT-kennis. NRC vult aan dat de focus mede komt te liggen… Lees verder

Jaar cel voor hacken en phishing, maar creditcardgegevens kun je niet stelen

| AE 9128 | Strafrecht | 20 reacties

Een man uit Amsterdam heeft vrijdag een celstraf van één jaar gekregen omdat hij verschillende websites heeft gehackt, e-mailadressen heeft gestolen en zich in phishing-e-mails heeft voorgedaan als een creditcardbedrijf. Dat meldde Nu.nl onlangs. Hij had ook creditcardgegevens te pakken gekregen, maar deze heeft hij niet gestolen want dat kan juridisch niet, zo blijkt uit… Lees verder

De autodealer zette mijn naaktfoto’s op een datingsite!

| AE 9121 | Strafrecht | 13 reacties

Een stel uit Texas klaagt het bedrijf Toyota aan omdat een van haar medewerkers naaktfoto’s van hun telefoon had geplukt en geupload naar een swingers-website, las ik bij The Register. Ze hadden de telefoon afgegeven omdat daar een financieringsovereenkomst op getoond werd, en die moest even achter getoond worden aan de directeur. Maar bij thuiskomst… Lees verder