Tag: Aftappen

About Aftappen

Subscribe Feeds

Mag een stiekem gemaakte geluidsopname gebruikt worden als bewijs?

Geplaatst op in Informatiemaatschappij, 102 reacties

Regelmatig krijg ik in diverse varianten de vraag of een stiekem gemaakte geluidsopname van een gesprek gebruikt mag worden als bewijs. Dit meestal naar aanleiding van mijn artikel Opnemen van gesprekken, waarin dat met zoveel woorden staat:

Een telefoongesprek opnemen dat je zelf voert, mag je dus opnemen – ook wanneer je dat niet meldt aan de tegenpartij. Alleen het heimelijk opnemen van zo’n gesprek zonder deelnemer te zijn is dus strafbaar (tenzij je toestemming hebt van één van de deelnemers).

Dit artikel gaat over de context van het strafrecht: het is verboden gesprekken af te luisteren met een technisch hulpmiddel als je geen deelnemer bent. Dat betekent dus dat als je wél deelnemer bent (of namens een deelnemer handelt) je wél het gesprek mag afluisteren en opnemen. Publiceren van die opname zal vaak wel een schending van de privacy van de wederpartij opleveren, dus daar zul je een fors nieuwsbelang voor moeten hebben.

Gebruik als bewijs is eigenlijk altijd toegestaan. In het gewone (civiele) recht gelden namelijk geen specifieke eisen voor hoe het bewijs verkregen mag zijn. De rechter mag zelf alles beoordelen op de merites. Hij hoeft bewijs niet uit te sluiten omdat het een stiekeme opname is. Wel zou hij het bewijs anders kunnen waarderen: een informeel gesprekje op de vrijmibo zal minder bewijskracht hebben over de intenties van een bedrijf dan een formele verklaring van de directie bij een persconferentie. Maar dat gaat dan over de inhoud, niet over de vorm.

Er zijn diverse rechtszaken waarbij partijen hebben geprobeerd een geluidsopname van tafel te krijgen met het argument dat deze onrechtmatig is verkregen. Dat wordt echter niet geaccepteerd. De Hoge Raad oordeelde in 1987 dat voor uitsluiting van bewijs sprake moet zijn van een “rechtens ontoelaatbare inbreuk op de privacy, zulks op basis van bijkomende omstandigheden die deze conclusie rechtvaardigen”. Oftewel: een inbreuk op zich is niet genoeg, het moet wel een hele erge zijn.

Op grond van deze uitspraak vond de Amsterdamse rechter dat een gespreksopname tussen een werkgever en werknemer best beluisterd mocht worden. De werkgever zat in een zakelijk gesprek, en een beroep op de privacy is dan niet doorslaggevend.

De rechtbank Groningen formuleerde in 2010 het als volgt:

Of het opnemen van een gesprek zonder dat de wederpartij hiervan op de hoogte is onrechtmatig is, hangt volgens de jurisprudentie af van de omstandigheden van het geval. Dat de opname is gemaakt met het doel deze als bewijs te kunnen gebruiken en het gesprek daarop gericht is geweest maakt het opnemen van dat gesprek, anders dan [de wederpartij] meent, op zich nog niet onrechtmatig. Met betrekking tot het onderhavige gesprek is van belang dat het in een zakelijke setting plaatsvond en “voor zover daaruit in de dagvaarding is geciteerd- niet over zaken ging die de persoonlijke levenssfeer betreffen.

Deze uitspraken laten ruimte open voor uitsluiting van het bewijs wanneer het gesprek zeer persoonlijk is. Ik kan me echter geen situatie voorstellen waarin je zo’n gesprek aan zou willen voeren in een rechtszaak. Wat voor zaak zou dat dan zijn? Héél misschien een rechtszaak over een echtscheiding. Als daar een van de partners in een intiem moment een bekentenis doet, en de andere partner heeft dat opgenomen en speelt dat dan af in de zitting over wie de kinderen krijgt, dan kan ik me voorstellen dat dat niet goed valt bij de rechter. Maar dat lijkt me wel een erg hoge uitzondering.

Arnoud

Wat mag een provider nog als netneutraliteit wet wordt?

Geplaatst op in Ondernemingsvrijheid, Privacy, 35 reacties

dpi-deep-packet-inspectionRecent is netneutraliteit expliciet wettelijk vastgelegd. De Eerste Kamer moet er nog over stemmen, maar dat lijkt slechts een hamerstuk te gaan worden. Vorige week blogde ik over het gepuzzel met de cookiewet, die in hetzelfde wetsvoorstel is overgenomen. Puzzelen over de regels rond netneutraliteit hoeft niet meer, want het wetsvoorstel zoals aangeboden aan de Eerste Kamer is nu gewoon beschikbaar. Welke regels gelden er nu voor internetproviders?

Het belangrijkste artikel over netneutraliteit is artikel 7.4a geworden. Dit stelt in klare taal (nou ja, voor juristen dan): aanbieders van openbare elektronische communicatienetwerken waarover internettoegangsdiensten worden geleverd en aanbieders van internettoegangsdiensten belemmeren of vertragen geen diensten of toepassingen op het internet. Het gaat dus specifiek en alleen over internettoegang, voor andere diensten (bijvoorbeeld telefonie of televisie) geldt dus geen netneutraliteit. (Opmerkelijk genoeg bevat het wetsvoorstel geen definitie van ‘internet’, terwijl de Telecommunicatiewet zo ongeveer elk woord definieert dat erin voorkomt.)

Natuurlijk zijn er uitzonderingen op deze algemene regel. Deze zijn beperkt geformuleerd:

  1. om de gevolgen van congestie te beperken, waarbij gelijke soorten verkeer gelijk worden behandeld;
  2. ten behoeve van de integriteit en de veiligheid van het netwerk en de dienst van de betrokken aanbieder of het randapparaat van de eindgebruiker;
  3. om de doorgifte van ongevraagde communicatie als bedoeld in artikel 11.7, eerste lid, aan een eindgebruiker te beperken, mits de eindgebruiker daarvoor voorafgaand toestemming heeft verleend;
  4. ter uitvoering van een wettelijk voorschrift of rechterlijk bevel.

(In de wetstekst staat nog een item e. Dat is het SGP-amendement over filters met ideologische motieven, maar dat is ondertussen via een lompe hack er weer uit gehaald.)

Item a roept natuurlijk de vraag op wat “gelijke soorten verkeer” dan wel zijn. Skype is niet gelijksoortig met e-mail, en Youtube niet met Nu.nl. Het afknijpen van bijvoorbeeld streaming video via internet is dan ook toegestaan bij congestieproblemen, mits maar alle streamingvideodiensten worden afgeknepen en niet alleen die van de concurrentie. Ook toegestaan is bijvoorbeeld de snelheid van internet in het algemeen te beperken op drukke momenten, of om de capaciteit op de lijn met prioriteit in te zetten voor de eigen video-on-demanddienst die buiten internet om loopt. Tevens mag de provider premiumabonnementen invoeren waarvan het verkeer voorrang krijgt.

Item b gaat erg belangrijk worden voor providers die maatregelen willen nemen tegen malware en inkomende of uitgaande hackpogingen. Het categorisch blokkeren van bijvoorbeeld poort 139 (Samba) omdat daar vaak misbruik van wordt gemaakt, of een PC in quarantaine gooien zodra er spam of malware uit komt, is een probleem. De wet eist namelijk dat wanneer het gaat om verkeer afkomstig van een eindgebruiker, de provider deze eerst moet contacteren en gelegenheid moet geven de inbreuk te staken. Dat moet dus vóór het afsluiten gebeuren.

Pas als “wegens de vereiste spoed” dit niet haalbaar is, mag er eerst gehandeld en dan gemeld worden. Maar ik denk niet dat je mag zeggen “malware is vervelend dus er is vereiste spoed”. Spoedgevallen lijken me eerder zalen als ddos-aanvallen waar de klant aan meedoet, dat richt nú grote schade aan en moet dus nú gestaakt worden. Een grote spamrun is misschien ook wel spoedhandelwaardig.

Item c stelt kort gezegd dat een spamfilter alleen nog mag als de klant daar expliciet mee ingestemd heeft. Wat mij betreft had dat niet gehoeven; spam is categorisch verboden in artikel 11.7 Telecommunicatiewet, en het lijkt me geen probleem om toe te staan dat verboden ongevraagde communicatie sowieso geblokkeerd mag worden. Maar het is wel netjes en principieel juist natuurlijk. Al snap ik niet waarom spam wel en malware niet deze uitzonderingspositie krijgt.

Ook erg belangrijk is lid 3 van dit wetsartikel:

Aanbieders van internettoegangsdiensten stellen de hoogte van tarieven voor internettoegangsdiensten niet afhankelijk van de diensten en toepassingen die via deze diensten worden aangeboden of gebruikt.

Effectief mag een aanbieder dus alleen nog op de hoeveelheid dataverkeer afrekenen. Een “onbeperkt / fair use”-constructie kan denk ik ook nog wel, hoewel ik erbij blijf dat deze snel een oneerlijke handelspraktijk oplevert. Andere afrekenmodellen voor internetproviders kan ik niet echt bedenken. Ja, hij mag de up- en/of downloadsnelheid in het algemeen differentiëren (een supersneldownloadpakket of een goedkoop pakket voor mailende moeders – hoi mam!). Maar iets anders kan ik niet bedenken; wie het weet mag het zeggen!

Aanverwant is het nieuwe artikel 7.6a, dat beperkingen oplegt aan de gronden voor opzeggen van een internetabonnement door de provider. Kort gezegd mag dat alleen nog

  1. op verzoek van de abonnee;
  2. bij een tekortkoming in de nakoming van de betalingsverplichting door de abonnee of faillissement van de abonnee;
  3. bij bedrog in de zin van artikel 3:44 van het Burgerlijk Wetboek door de abonnee;
  4. wanneer de looptijd van de overeenkomst van bepaalde duur tot levering van de internettoegangsdienst afloopt en de overeenkomst met instemming van de abonnee niet wordt verlengd of vernieuwd;
  5. ter uitvoering van een wettelijk voorschrift of rechterlijk bevel; en
  6. bij overmacht en onvoorziene omstandigheden in de zin van artikel 6:258 van het Burgerlijk Wetboek.

Dit artikel is bedoeld om “lichtvaardig afsluiten” van klanten te kunnen blokkeren. Een internetprovider kan dus niet meer eigen regels verzinnen in de algemene voorwaarden en mensen op grond daarvan afsluiten. En ook is het hiermee onmogelijk geworden om mensen af te sluiten die auteursrechten schenden, tenzij een rechter oordeelt dat dit een gepaste sanctie is.

In het geval van bedrog (bijvoorbeeld een vals adres opgeven) heeft de provider de bewijslast: hij moet schriftelijk de klant informeren en hem een redelijke termijn gunnen om te reageren. Pas als daar niets uit komt, mag de provider tot afsluiting overgaan.

Bij het niet-betalen geldt overigens dat de provider nog steeds niet meteen mag afsluiten. De gewone regels van niet-nakoming gelden ook hier. De abonnee moet eerst in gebreke zijn gesteld en krijgt hij de gelegenheid het gebrek te herstellen en alsnog aan zijn betalingsverplichting te voldoen. (Waarom er dan niet gewoon gezegd is “de abonnee in verzuim is met zijn betalingsverplichting” in plaats van het generieke woord “tekortkoming”, weet ik niet. Voer voor iemands afstudeerscriptie.)

De regels over netneutraliteit treden niet meteen in werking. Ze gaan pas gelden voor abonnementen die een jaar na inwerkingtreding van de wet actief zijn. Ik ben benieuwd of KPN en collega’s dan ook tot die tijd gaan wachten met de aangekondigde prijsverhogingen. Vodafone in ieder geval niet.

Heel veel stof tot lezen dit, en de exacte implicaties zullen nog heel wat discussie geven. Misschien moest ik er maar eens een studiemiddag of workshop over organiseren. Zouden jullie daarbij willen zijn? En welke concrete vragen moeten we dan behandelen?

Arnoud

KPN inspecteert dataverkeer diep, mag dat?

Geplaatst op in Ondernemingsvrijheid, Privacy, 108 reacties

deep-packet-inspection.pngOMGWTFBBQ DPI. KPN heeft in een sessie met investeerders toegegeven dat het al maandenlang de omstreden deep packet inspection-technologie heeft gebruikt op zijn mobiele netwerk, meldde Tweakers gisteren. Doel is voip-verkeer op het mobiele netwerk te herkennen en apart te factureren. In damage control modus meldt KPN geen DPI op de inhoud te doen, maar alleen het soort dataverkeer te analyseren. Is ze daarmee toch strafbaar?

Wat KPN met de DPI technologie doet, is volgens eigen zeggen het analyseren van het soort dataverkeer om vast te stellen welke diensten mensen gebruiken. Er worden geen gesprekken inhoudelijk geanalyseerd. In het kader van de discussie over netpartijdigheid is het duidelijk dat het doel hiervan is om abonnees apart te kunnen factureren voor diverse types gesprekken.

Nu heeft de strafwet diverse artikelen over het aftappen van dataverkeer. Het is inderdaad strafbaar om gesprekken af te luisteren (art. 139a lid 1 Strafrecht) als je daar geen deelnemer aan bent. Maar ook als je niet de inhoud van gesprekken beluistert, kun je strafbaar bezig zijn. Het meer algemene artikel 139c lid 1 Strafrecht verbiedt namelijk

opzettelijk en wederrechtelijk met een technisch hulpmiddel gegevens aftappen of opnemen die niet voor hem bestemd zijn en die worden verwerkt of overgedragen door middel van telecommunicatie of door middel van een geautomatiseerd werk.

Hier val je ook onder als je niet de gesprekken reconstrueert en leest maar alleen op netwerkniveau naar de pakketten kijkt. Dit artikel heeft als doel “een zo volledig mogelijke bescherming van de persoonlijke levenssfeer bij gegevensoverdracht” te realiseren. Het gaat dus nadrukkelijk niet om alleen het afluisteren van inhoud maar ook om analyses van de gegevensoverdracht zelf.

Onder technische middelen zijn alle hulpmiddelen begrepen die deze gegevenstromen zichtbaar kunnen maken en de inhoud ervan ter beschikking van de handelende persoon brengen, dus bij voorbeeld ook het waarnemen van de zogenaamde residustraling bij beeldschermen of de analyse van chips met behulp van infrarood-apparatuur.

Wel moet het natuurlijk gaan om het ‘wederrechtelijk’ aftappen. Een escape voor KPN kan bijvoorbeeld nog zijn lid 2 sub 3 van dit wetsartikel:

[Het verbod] is niet van toepassing op het aftappen of opnemen … ten behoeve van de goede werking van een openbaar telecommunicatienetwerk.

Deze uitzondering is echter vooral bedoeld voor onderhoud en reparatie van het netwerk, en niet om de bedrijfsvoering van de telecommunicatie-aanbieder te kunnen verbeteren. Een andere uitzondering zou nog kunnen zijn de algemene voorwaarden van KPN, maar daar zie ik nergens een bepaling die maar in de buurt komt van “wij mogen uw pakketten analyseren om te kijken welke applicaties u gebruikt”.

Bits of Freedom heeft een handige gids over hoe je aangifte kunt doen. Nu ben ik zelf ook KPN abonnee, dus we gaan eens kijken wat oom agent in Eindhoven hiervan vindt.

Update (4 augustus) Nu.nl meldt dat iuit oriënterend onderzoek door het Openbaar Ministerie (OM) blijkt dat KPN haar klanten niet heeft afgeluisterd. De DPI was daarvoor niet diep genoeg. Eind juni oordeelde de Opta dat de bedrijven mogelijk de wet hebben overtreden bij het gebruik van DPI. Ook loopt er nog een onderzoek door het Cbp.

Arnoud

Gearresteerd voor meeliften op wifi, maar hoe weten ze dat?

Geplaatst op in Security, 15 reacties

wifi-satelliet-draadloos-auto.pngTwee mannen zijn afgelopen maandag aangehouden voor illegaal draadloos internetten, meldde de politie afgelopen maandag. De twee zaten in een auto en waren met hun laptop aan het chatten met hun thuisfront. Ze hadden daarvoor ingelogd op een draadloos netwerk van een bewoner aan de Veldbloemweg. Die bewoner ondervond problemen en belde de politie, kennelijk omdat hij die twee mensen voor zijn deur in verband bracht met zijn computerproblemen.

De politie kwam langs en arresteerde de twee. Enigszins cryptisch stelt het persbericht daarbij dat de politie “stelde vast dat er inderdaad sprake van misbruik was”. Maar dat is nu precies waar ik meer over wil lezen: hoe weten ze dat? Hoe breng je twee mannen in een auto in verband met een traag werkende internetverbinding bij iemand in de straat?

Het persbericht heeft het overigens over twee ‘mannen met Servische nationaliteit’, maar de relevantie van dat feit ontgaat me. Of was dat de manier om het misbruik vast te stellen? Twee Serviërs met een laptop, dat moeten wel criminelen zijn? Ik mag toch hopen van niet. Maar hoe weet men het dan wel?

Via Security.nl.

Arnoud

De privacyverwachting van Twitter

Geplaatst op in Privacy, 8 reacties

Via de comments een interessante vraag over Twitter en privacy:

Twitter, een microblog site, biedt een speciale functie waarbij je berichten afschermt voor mensen die je niet aan je contacten hebt toegevoegd. Wanneer je als ‘contact’ van diegene toch iets publiceert als quote, in hoeverre ben je dan strafbaar bezig? Gevoelsmatig zou ik een bewust van de openbare site afgeschermd bericht op Twitter gelijk stellen aan een prive gesprek via sms, msn of email aan een bekende of enkele bekenden. Is zoiets strafbaar in Nederland of de Verenigde Staten?

Standaard kan iedereen ‘follower’ worden van elke Twitterfeed. Je moet er als Twitteraar dus rekening mee houden dat een willekeurig iemand je Twitterberichten (tweets) zal lezen. In een dergelijke situatie mag je juridisch gezien weinig privacybescherming verwachten. Wat je twittert, is voor de hele wereld te lezen en mag dan ook door de hele wereld gelezen en doorgestuurd worden. Ook als je er ‘@’ voor zet om aan te geven dat je bericht voor één persoon bedoeld is. Of wanneer het dom was om te zeggen.

Twitter biedt echter de mogelijkheid van beschermde updates, in het Nederlands ook wel het “slotje”. Zulke berichten kun je alleen volgen als iemand je toegelaten heeft. In die situatie heb je een duidelijke keuze gemaakt om berichten te lezen die iemand als privé beschouwt. Je moet dan diens privacy respecteren en die berichten niet zomaar publiceren of doorgeven aan anderen.

Dit geldt des te meer nu vrijwel elk Twitterbericht te zien is als een persoonsgegeven. Dat zijn namelijk niet alleen naam- en adresgegevens. Alle soorten uitspraken over een persoon, inclusief meningen en oordelen, zijn te zien als persoonsgegeven. Inderdaad, dus ook elk antwoord op de vraag wat iemand nu aan het doen is. En dat is precies waar het bij Twitter om draait.

Een Tweet valt dan ook onder de Wet Bescherming Persoonsgegevens. Publiceert de persoon over wie het gaat, zelf dit bericht, dan is er verder niets aan de hand. Herpublicatie mag dan gewoon. Maar markeert hij het bericht als privé, dan is herpublicatie niet toegestaan.

Wat kun je daar nu tegen doen als het toch gebeurt? De politie zal hier niets doen. Schending van de privacy is geen strafbaar feit. Het is wel onrechtmatig, maar je moet zelf naar de rechter om je schade vergoed te krijgen. Daarbij moet je zelf aantonen wat je schade is (in geld).

En dat kan nog wel eens lastig worden. Zeker omdat de rechter de schadevergoeding kan matigen vanwege ‘eigen schuld‘: als de schade gedeeltelijk toe te rekenen is aan een eigen handeling van het slachtoffer, hoeft de dader deze niet volledig te vergoeden. Wie dus privéinformatie deelt met mensen die hij niet goed kent, zal dus zelf (gedeeltelijk) op moeten draaien voor de eventuele schade die hij daardoor lijdt.

Voor de fanatieke Twitteraars hier: wat voor informatie zou je zelf niet snel via Twitter delen?

Arnoud

Overeenkomst bewijzen met behulp van voicelog

Geplaatst op in Informatiemaatschappij, 5 reacties

Hoe bewijs ik wat ik gezegd heb, vroeg een lezer zich af:

Het enige bewijs van een overeenkomst tussen mij en het bedrijf is een geluidsopname van een telefoongesprek. Wanneer het bedrijf zich bij een potentieel conflict met mij zou beroepen op die geluidsopname, en ik in dat geval ontken dat dat mijn stem is, in hoeverre zal een rechter dan de geluidsopname als authentiek beschouwen en er dus bewijskracht aan toekennen?

Nederland kent bij civiele rechtszaken geen toets of bewijs wel “rechtsgeldig” is. De rechter weegt de verklaringen van de partijen (en hun deskundigen) af en concludeert dan of hij de opname als echt ziet. Het bedrijf zou een onafhankelijk instituut zoals TNO de opname kunnen laten onderzoeken op bijvoorbeeld knip- en plakwerk. Maar dat toont nog steeds niet aan dat de opname echt van de gedaagde is natuurlijk. Het kan ook best een stemimitator zijn.

De rechter kan echter vrijwel altijd op meer afgaan dan alleen een voicelog. Het bedrijf heeft waarschijnlijk iets geleverd of gepresteerd, omdat zij dacht dat er een geldige overeenkomst was. Nu kan het best dat het bedrijf ongelijk had, maar waarom heeft de andere partij dan nooit aan de bel getrokken?

Als je elke maand de Donald Duck krijgt toegezonden, is het nogal vreemd als je die gewoon houdt zonder ooit te informeren hoe dat zit. Hoewel dat natuurlijk ook geen keihard bewijs is (zeker niet bij koop op afstand), kan het voor de rechter wel de doorslag geven.

Ook kan de rechter kijken naar de betalingsgeschiedenis: is er elke maand betaald en gebruik gemaakt van de dienst? Heeft de gedaagde e-mails verstuurd vanaf het betaalde account dat hij nu ontkent ooit te hebben aangeschaft? Is het telefoonnummer vanaf waar gebeld is, toegekend aan de gedaagde volgens diens telecomprovider?

De theoretische kans dat een stemimitator de boel wilde flessen, is dus niet genoeg om onder een overeenkomst uit te komen.

Een betere manier is je eigen telefoongesprekken opnemen. Dat is geen computercriminaliteit. Publiceren van die gesprekken kan een schending van de privacy van de andere persoon zijn, maar als je in het kader van een rechtszaak laat horen wat er gezegd is tijdens het gesprek, dan is daar niets mis mee. Als er dan twee verschillende opnames op de zitting te beluisteren zijn, is het wel duidelijk dat er iets niet klopt.

Arnoud