Opnameapparatuur gevonden bij studentenkamers in hotel Enschede

| AE 11924 | Privacy | 5 reacties

In het ITC Hotel in Enschede, waar zo’n 300 internationale studenten van de Universiteit Twente verblijven, is geluidsopnameapparatuur gevonden onder de deur bij studentenkamers. Dat meldde de NOS onlangs. Een beveiliger zou door een student zijn betrapt toen hij de apparatuur aan het plaatsen was en sindsdien is apparatuur bij meer kamers aangetroffen. Volgens de eigenaar zou men hiermee mogelijke schendingen van de huisregels in de gaten gaan houden. En wat ik dan grappig vind (en waarmee het ICT-recht wordt): als ze een verplichte app hadden gepusht die hetzelfde deed, dan hadden we gezegd dat veiligheid boven privacy moet gaan. Of zoiets.

Het ITC-hotel in Enschede is de plek waar veel buitenlandse studenten aan de Universiteit Twente verblijven. Voor de veiligheid is door het hotel een beveiligingsbedrijf ingeschakeld, waarbij op zeker moment een beveiliger het nodig vond om apparatuur bij de kamers te bevestigen waarmee geluid opgenomen kon worden.

Het afluisteren van gesprekken in privéruimtes (waar hotelkamers onder vallen) is strafbaar, art. 139a Wetboek van Strafrecht. Behalve als je deelnemer bent aan het gesprek, dan mag het wel (je hoeft het dan niet eens te melden, overigens). Apart strafbaar is al het plaatsen van die apparatuur (art. 139d Sr) zelfs als er nog niets opgenomen wordt. De enige eis dat het oogmerk van de dader is dat er illegaal gesprekken mee afgeluisterd gaan worden. Je telefoon in opnamestand in iemands kamer vergeten is dus niet strafbaar, maar ‘vergeten’ is dat wel.

Wat de zaak merkwaardig maakt, is dat het beveiligingsbedrijf zou hebben aangegeven dat het gaat om het handhaven van de huisregels. Ik kan die huisregels online niet vinden, maar wellicht gaat het om regels zoals geluidsoverlast of lastigvallen van andere bewoners. Ik kan me voorstellen dat je als bewaker niet overal tegelijk kunt zijn en dat je dus hulp van apparatuur wil om vast te stellen waar je heen moet gaan. Maar stiekem iets ophangen (met klittenband, leuk detail) ín mensen in kamer, hoe kom je erbij?

Misschien dacht het bedrijf, er mag zo veel met apps kennelijk en dan verstop je dat in de huisregels of je zegt “voor de veiligheid”. Doet iedereen, dus dan doen wij dat ook met een dedicated apparaat. Ik weet het niet. Maar raar is het wel.

Arnoud

Windows 10 Enterprise en Office zijn risico voor privacy ambtenaren

| AE 10964 | Ondernemingsvrijheid, Privacy | 29 reacties

Via Windows 10 Enterprise en Microsoft Office verzamelt Microsoft gebruikersgegevens die het bedrijf in de VS opslaat. Dat meldde Tweakers op basis van onderzoek bij het ministerie. Deze opslag geeft een inbreuk op de privacy van de ambtenaren, plus een ieder wiens gegevens door die ambtenaren worden verwerkt. Het onderzoek werd uitgevoerd als een DPIA onder de AVG, waarbij werd gekeken naar de zogeheten telemetriedata die Windows- en Office-installaties verzamlen bij de gebruiker en doorsturen naar Microsoft in de USA. Bij Office gaat het mis: deze verzamelt een enorme hoeveelheid data, en dat is niet uit te schakelen.

Het is natuurlijk leuk en aardig dat Microsoft “telemetrie” oftewel statistieken verzamelt, maar dat is in de EU best problematisch omdat dat al héél snel onder de noemer van persoonsgegevens valt. Informatie over wat gebruiker thx1138 doet met zijn Office is een persoonsgegeven, ook al heb je niet de naam van die gebruiker of enig contactgegeven. Zelfs wanneer je aan die meetgegevens een eigen willekeurig toegekende ID hangt, val je nog onder de AVG. Dat voelt als nogal een ontwerpfout.

Met name dat “het kan niet uit” verbaast me hogelijk. Je zou zeggen dat je als bedrijf weet dat het verzamelen van gegevens over wat je gebruikers doen gevoelig kan liggen, zeker in enterprise-omgevingen (en daar hebben we het hier over). Dat is niet iets dat je met een vinkje in de EULA oplost, de belangen zijn daarvoor te groot. Dit mag gewoon niet.

Natuurlijk zal Microsoft vast ergens in de licentievoorwaarden hebben gezegd dat toestemming wordt verleend. Maar dat werkt niet op dit niveau. Software wordt ingekocht onder een groot contract, en deze afspraak moet dáár dan worden gemaakt.

Bovendien: een bedrijf of instelling mag die afspraak alleen maken als ze dat vervolgens aan haar personeel (en/of klanten) kan rechtvaardigen, en dat zie ik hier niet opgaan. Welke noodzaak binnen de arbeidsovereenkomst (aanstelling, het is ambtenarenrecht) is er om deze telemetrie aan Microsoft te verstrekken die het voor eigen doeleinden gaat gebruiken? Welk belang van Microsoft is zo dringend dat de privacy van het personeel mag worden gepasseerd? En heeft de OR wel ingestemd met die telemetrieverstrekking, dat is immers een apart recht onder de Wet OR?

Beloofd wordt om een en ander aan te passen om binnen de Europese regels te blijven, maar dat zal tot ergens in 2019 gaan duren. Dat is nogal lang, dus ik hoop dat er in de tussentijd een firewall of iets tussengezet kan worden zodat de privacy van de ambtenaren gewaarborgd blijft.

Arnoud

Mag je de telefoon van je partner van spyware voorzien?

| AE 9410 | Regulering | 13 reacties

Een dikke 18 procent van de Britten en Amerikanen denkt dat het legaal is om de telefoon van je partner van spyware te voorzien, las ik bij Boing Boing. Bij kinderen was dat zelfs meer dan 50%, waarbij wel vrijwel iedereen van de ja-zeggers vond dat er wel een reden tot zorg moest zijn. Dat was ook bij volwassenen vaak een reden, maar de angst dat de partner vreemdging woog ook zwaar mee. En tsja, als er dan gewoon appjes zijn waarmee je dat kunt nagaan, waarom niet?

Het is in principe verboden om spyware op iemands telefoon te installeren. Er zijn wetten genoeg: de cookiewet verbiedt het installeren van software zonder duidelijke toestemming van de eigenaar, en de strafwet (art. 139c Sr) verbiedt het afluisteren van privételecommunicatie.

Voor strafbaarheid is wel vereist dat het afluisteren wederrechtelijk is, en dat wordt ingewikkeld als je in een relatie zit. Zeker als je getrouwd bent (oké, in gemeenschap van goederen) kom je al snel tot de conclusie dat er weinig strafbaars is: het is dan immers ook jouw telefoon, en je eigen spullen mag je voorzien van spyware als je wilt.

De cookiewet zou iets meer mogelijkheden moeten bieden, omdat toestemming daar nadrukkelijk door de betrokkene zelf moet worden gegeven. Maar ook dan kun je zeggen dat je als partner gemachtigd bent om namens elkaar privacytoestemming te geven. Dat kan dus ook behoorlijk ingewikkeld worden. Maar uiteindelijk kom je dan bij het algemene punt dat de strafwet (of de cookiewet) niet echt bedoeld is voor binnen relaties. Privacy en snuffelen moet je samen oplossen.

Bij kinderen geldt eigenlijk hetzelfde verhaal. Ook kinderen hebben privacy, maar daar staat de ouderlijke zorgplicht tegenover. Kort gezegd moet je als ouder een duidelijke reden hebben, een aanleiding die maakt dat je niet anders kúnt dan die spyware inzetten. En ik denk ook dat je het achteraf moet vertellen en bespreken, maar dat is niet helemaal een juridisch argument.

Zou je dit bij een losse scharrel doen of die leuke persoon m/v op het werk of in het café, dan wordt het natuurlijk anders. Dat is vrij evident strafbaar. Alleen is het dan weer lastiger om erachter te komen dat dat gebeurt.

Wie heeft er tips om zulke spyware te detecteren? Of beter, hoe voorkom je dat je partner/scharrel/ex/buurman zoiets op je telefoon zet, in een situatie waarin ahem niet te voorkomen is dat je op enig moment het fysiek beheer over je telefoon even kwijt bent.

Arnoud

De strafbaarheid van luisteren naar iemands broekzak

| AE 7876 | Regulering, Security | 21 reacties

Een rechter in Amerika heeft besloten dat broekzakbellers hun recht op privacy verliezen door het per ongeluk bellen van derden, las ik bij Webwereld (en ik reageerde bij RTL waar ze me advocaat durven te noemen). Uit het Amerikaanse arrest blijkt maar weer eens hoe anders men daar tegen privacy aankijkt. Privacy heb je als… Lees verder

Mag mijn werkgever structureel chatberichten monitoren?

| AE 7002 | Ondernemingsvrijheid, Privacy | 13 reacties

Een lezer vroeg me: Op mijn werk gaat het hardnekkige gerucht dat het management monitort wat we met elkaar bespreken via Lync, het chatprogramma dat onderdeel is van Microsoft Office. Stel dat dit waar is, wat kunnen we daaraan doen? In theorie zou het gerucht eenvoudig te verifiëren moeten zijn. Om ICT-handelingen van werknemers te… Lees verder

Nederland mag gegevens blijven uitwisselen met NSA

| AE 6828 | Privacy, Security | 7 reacties

De Nederlandse inlichtingendiensten AIVD en MIVD mogen gegevens blijven uitwisselen met de Amerikaanse NSA, las ik bij Nu.nl. In een loei van een vonnis bepaalt de rechtbank Den Haag dat de samenwerking met buitenlandse inlichtingendiensten een dringende noodzaak in de zin van het Europees Verdrag voor de Rechten van de Mens oplevert, op grond waarvan… Lees verder

Is een stiekeme geluidsopname bruikbaar als bewijs?

| AE 6198 | Privacy, Security | 32 reacties

Een lezer vroeg me: Mag je telefoongesprekken (of gewone gesprekken) opnemen zonder de wederpartij dat te zeggen? En zijn zulke opnames dan bruikbaar als bewijs? Ja en ja. Het Wetboek van strafrecht verbiedt het opnemen van gesprekken (telefonisch of mondeling gevoerd) als je daar geen deelnemer aan bent. Dat betekent dus dat wie wél deelnemer… Lees verder

Wat is er juridisch te doen tegen al dat aftappen, afluisteren en bespioneren?

| AE 6171 | Informatiemaatschappij | 31 reacties

De helft van de Nederlanders denkt wel eens telefonisch te worden afgeluisterd, las ik bij Nu.nl. Niet geheel ten onrechte, als je alle verhalen sinds Snowden leest. Zoals zaterdag: de AIVD breekt in bij internetfora en sluist gegevens van alle gebruikers vervolgens door, blijkt uit Snowden-documenten die NRC heeft ingezien. Eh, wut. Het onderwerp heeft… Lees verder

Kan de National Security Agency hier vervolgd worden wegens computercriminaliteit?

| AE 5704 | Regulering, Security | 12 reacties

Een lezer vroeg me: Via PRISM blijkt de Amerikaanse geheime dienst National Security Agency (NSA) ons allemaal af te luisteren. In Nederland is dat hartstikke illegaal. Kan ik daar aangifte van doen en wat gaat Justitie dan doen aan deze buitenlandse daders? Het is inderdaad strafbaar om digitale communicatie af te tappen of op te… Lees verder