Tag: Beveiliging

About Beveiliging

Subscribe Feeds

Wanneer mag je je personeel filmen?

Geplaatst op in Privacy, Security, 42 reacties

Uit de categorie veelgestelde vragen: wanneer mag je je personeel filmen? Of, anders gezegd zodat ik beter scoor in Google: wanneer mag de baas je filmen? En nog een keertje onder het mom “honden hebben een baas, werknemers een manager”: mag de werkgever je filmen oftewel cameratoezicht toepassen?

Cameratoezicht wordt gezien als een indringende inbreuk op de privacy, omdat je structureel mensen in de gaten houdt. Werknemers fotograferen of filmen op de werkplek of in een bedrijfsruimte mag dus ook niet zomaar. Het bekende bordje “Cameratoezicht” is niet genoeg, dat helpt alleen bij filmen in de openbare ruimte.

Op het werk is meer nodig, en wel:

  1. In een reglement cameratoezicht moet zijn vastgelegd dat cameratoezicht toegestaan is, en wel in welke situaties.
  2. Die situaties moeten specifiek omschreven zijn én cameratoezicht rechtvaardigen.
  3. Cameratoezicht moet als laatste redmiddel worden ingestoken, dus niet “wij passen altijd en overal camera’s toe” maar eerder “Als ook na waarschuwingen en onverwachte tassencontrole van het personeel diefstal uit het magazijn niet afneemt, mag de directie cameratoezicht toepassen”.
  4. Gebruik van verborgen camera’s (waarvan medewerkers dus niet kunnen zien waar ze hangen) mag alleen voor kortdurende periodes, maximaal drie maanden, en alleen bij ernstige misstanden. Die dus ook specifiek genoemd moeten zijn.
  5. Het reglement moet vermelden hoe men inzage in de beelden kan krijgen en hoe gebruik van de beelden wordt beveiligd (en wanneer ze worden gewist.)
  6. Het reglement moet door de OR worden goedgekeurd, omdat het gaat om personeel volgen en/of registreren van persoonsgegevens.

En ja dat klinkt als een hele waslijst maar uiteindelijk komt het op één ding neer: duidelijk uitleggen wat je doet, en vervolgens handelen zoals je het hebt beschreven. Ok, twee dingen: en normaal doen met camera’s, dus niet zeggen “voor de goede orde kunnen wij camera’s hanteren” en dan een jaar later werknemers beoordelen op basis van 24/7 cameratoezicht met verborgen camera’s op de werkplek.

Arnoud

Het faillissement van een online-backupdienstverlener

Geplaatst op in Security, 19 reacties

Een lezer vroeg me:

Ik wil graag weten hoe de volgende zaken bij een online backupdienst geregeld zijn. Stel dat de provider failliet gaat. Op welke wijze is de klant dan gegarandeerd dat hij zijn data nog kan benaderen en dat de data terugkomt en dat hij de tijd heeft om zijn data kan weghalen?

Dit is niet geregeld en je hebt dus een probleem als dit gebeurt.

Online dienstverlening is zo nieuw dat er maar bar weinig geregeld is, en al helemaal niet op het gebied van beschikbaarheid en continuïteit. Als je de wet erbij pakt, kom je niet verder dan algemene zinnen als dat de dienstverlener “de zorg van een goed opdrachtnemer in acht nemen” moet. Maar dat vertalen naar een harde SLA is echt onmogelijk; dat moet de markt zelf verzinnen, is de gedachte. En pas als dat niet blijkt te werken, komen er misschien wettelijke maatregelen.

Een contract kan nog zo veel mooie dingen beloven, maar bij faillissement houdt alles op. De curator is gerechtigd de stekker eruit te trekken, ook bij klanten die al vooruit betaald hadden en ook bij klanten tegen wie gegarandeerd was dat het systeem zou blijven draaien ook na faillissement. En ja, dat is natuurlijk contractbreuk maar een claim wegens contractbreuk mag u indienen bij de boedel en die wordt dan misschien betaald – als de Belastingdienst en de bank zijn betaald.

De enige echte manier om dit te regelen binnen de huidige wetgeving is een stichting continuïteit opzetten die met de provider van de cloudprovider regelt dat het systeem blijft doordraaien na het faillissement. De stichting betaalt dan de rekening. Op die manier kan iedereen nog even doorhobbelen. Ook heb ik wel constructies gezien waarbij de data onder beheer van een stichting kwam (bijvoorbeeld door een nachtelijke kopie af te geven) die vervolgens bij faillissement deze toegankelijk maakt in een open bestandsformaat. Kan, maar iedereen moet dat wel apart regelen.

Biedt het bedrijf niet zo’n regeling, dan heb je twee opties: 1) de dienst niet gebruiken of 2) elke nacht een kopie maken van de data. Wat eigenlijk ook weer neerkomt op niet gebruiken want je zet nou net dingen online in een backup zodat je het niet zelf hoeft te backuppen. Maar iets beters weet ik niet.

En oh ja, meer over dit soort problemen lees je in ons nieuwe boek Cloud: Deskundig en praktisch juridisch advies waarvan de voorintekening net is geopend.

Arnoud

Moet je van de wet wachtwoorden salten?

Geplaatst op in Security, 39 reacties

password-salt.jpgIk neem aan dat julie je LinkedIn-wachtwoorden ook hebben veranderd ondertussen? Wat een pijnlijke fout was dat zeg, lekken van hashes van 6,5 miljoen wachtwoorden van gebruikers. Vooral omdat die hashes niet “gesalt” waren, waardoor eenvoudig te raden was wat de werkelijke wachtwoorden waren. Maar, zo vroegen vele lezers me, is hashen dan niet wettelijk verplicht?

Het flauwe antwoord op die vraag is dat wat verplicht is vaak totaal losstaat van wat bedrijven doen. Maar een iets minder flauw antwoord is dat de wet eigenlijk helemaal niets specifiek voorschrijft omtrent beveiliging. Zo ongeveer de enige relevante wet hier is de Wet bescherming persoonsgegevens, en die bepaalt dat je “adequate” beveiliging moet hanteren voor persoonsgegevens. Een LinkedIn-profiel is een verzameling persoonsgegevens, dus daar geldt die eis zonder meer op.

Maar wat is nu adequaat? Dat staat niet in de wet. Er zijn allerlei aanbevelingen van allerlei partijen (zoals de paper van het Cbp zelf) maar die zijn formeel niet bindend. Je moet dus zelf bepalen wat adequaat is, gezien het soort gegevens en hoe kwetsbaar of aantrekkelijk die zijn. LinkedIn zou dus kunnen zeggen “ongesalte wachtwoordhashes zijn goed genoeg voor onze profielen”, maar dan ben ik héél benieuwd naar de onderbouwing daarvan.

Sterker nog, ik kan me bijna niet voorstellen dat daar een onderbouwing voor te bedenken is. Het is ondertussen algemeen bekend dat gehashte wachtwoorden eenvoudig te kraken zijn. Hoewel ze in theorie niet omkeerbaar zijn, is het ondertussen praktisch goed te doen om met brute force uit te proberen welke wachtwoorden tot welke hashes leiden. Zo goed zelfs dat ik wel durf te zeggen dat ongesalte wachtwoordhashes bewaren net zo veilig is als gewoon de wachtwoorden zelf opslaan. Bijna niet dus.

Wettelijk gezien is er dus geen harde eis en geen vast toetsingskader. Maar van concrete maatregelen is wel te zeggen of ze wel of niet verstandig zijn. Weten jullie nog meer veel gemaakte fouten omtrent beveiliging?

Arnoud<br/> Foto: Cardinal Path

Kun je worden verplicht in te loggen op je internetbankieren?

Geplaatst op in Security, 63 reacties

bank-inloggen.pngHm, intrigerende samenvatting van een rechtszaak: “De stelling van appellant dat vanwege veiligheidredenen niet van hem kan worden verlangd in te loggen op een computer van de gemeente, kan niet worden gevolgd.” Dit in het kader van een procedure over een bijstandsuitkering, waarbij de instantie toegang wilde tot de bankgegevens om te zien of meneer daar daadwerkelijk recht op heeft.

Sinds eind 2007 ontving deze man een bijstandsuitkering, maar na “een signaal van het Inlichtingenbureau” dat hij zo’n 17.000 euro op de bank zou hebben staan wilde men dat toch eens nader onderzoeken. Men verzocht hem dan ook langs te komen met e-dentifier en dergelijke, zodat op kantoor eens kon worden nageplozen in hoeverre dat signaal juist was. Dus ja, “mogen wij even op uw bankrekening kijken hoe dit zit”.

De man weigerde, met een beroep op zijn privacy maar ook met het argument dat de medewerkers van de gemeente zo méér konden zien dan ze met papieren afschriften hadden kunnen zien. Want daar kun je immers irrelevante boekingen zwartmaken. Daarop werd de uitkering ingetrokken met een beroep op het niet nakomen van de inlichtingenplicht.

Wie een bijstandsuitkering aanvraagt, is op grond van de Wet werk en bijstand (Wwb) verplicht alle inlichtingen te geven die “van invloed kunnen zijn op zijn arbeidsinschakeling of het recht op bijstand.” De ambtenaar mag daarom vragen en dan moet je dat afgeven. Het overhandigen van bankafschriften valt daar gewoon onder, bepaalde de Raad eerder. Je mag het weigeren, maar dan mag men de uitkering stopzetten.

Wel is het vast beleid dat je in zo’n geval op de afschriften irrelevante informatie mag zwartmaken, tenzij gegronde redenen bestaan om de uitgaven in te zien, bijvoorbeeld bij een vermoeden van fraude. Dat werkte vroeger omdat je dan authentieke bankafschriften had via de bank. Maar nu met internetbankieren is het allemaal wel érg makkelijk om even wat getalletjes bij te stellen voordat je op de printknop drukt, dus vandaar dat het beleid nu is dat je ter plekke even moet komen internetbankieren.

Is het nu een securityrisico dat je bij de gemeente moet gaan internetbankieren op een brakke Windows XP computer waarvan je geen idéé hebt hoe veel trojans en keyloggers erop staan? Niet volgens de Raad, hoewel dan vooral omdat hij niet had onderbouwd welke risico’s er konden spelen. En ik kan me die ook wat moeilijk voorstellen want overboeken etcetera kan niet zonder zo’n one-time code dus je keylogt maar een eind weg.

Ook de privacy wordt niet op een ontoelaatbare wijze geschonden, aldus de Raad. Natuurlijk, het gaat in tegen de privacy dat men kijkt hoe veel geld je op de bank hebt, maar bij bepaling van het recht op bijstand is dat een essentieel noodzakelijk gegeven en dan is meekijken dus wél toegestaan.

Ik snap de frustratie van de man maar ik zou eerlijk gezegd ook niet weten hoe het anders moet. Jullie wel?

Arnoud

Wat is dit voor gekke brief van de recherche?

Geplaatst op in Regulering, Security, 38 reacties

brnon.pngEen lezer wees me op een apart forumdraadje, waarin de poster schreef over een rare brief van de Bovenregionale Recherche Noord- en Oost Nederland:

Bij de Bovenregionale Recherche Noord- en Oost Nederland is informatie binnen gekomen. Uit deze informatie blijkt dat met een op uw naam gesteld IP-adres handelingen zijn verricht op internetomgevingen waarbinnen het mogelijk was om in een zogenoemde chat-omgeving met anderen te communiceren over kinderpornografie en seksueel kindermisbruik. Daarnaast was tevens de mogelijkheid aanwezig om binnen deze internet omgeving te beschikken over kinderpornografisch beeldmateriaal.

Ehm, wat moet je dáár nou weer mee. Mijn eerste gedachte is: nep, oplichter met vage bedoelingen. Maar de brief verzoekt nergens om betaling of registratie of wat dan ook. Meer dan “scan uw PC eens” en “we houden u in de gaten” zit er niet in. En dat BRNON bestaat echt, en is nog best wel digitaal actief ook.

Belangrijker: de ontvanger van de brief is gaan bellen met de recherche, en die hebben hem gemeld dat zij dit inderdaad hebben verstuurd. Men had een log uit 2009 gevonden met meneers IP-adres erin en vond daarom het versturen van die brief gepast. Op zich kan dat, als iemand niet verdacht is maar wél in de kijker komt dan mag men hem toch even aanspreken.

Mogelijk is die log (zoals een ander daar speculeert) gevonden bij een inbeslagname of digitaal onderzoek, en zijn de toen gelogde IP-adressen gematcht met de huidige eigenaren daarvan. Dat zou wel een beetje dom zijn, want er is in het algemeen geen enkele relatie tussen een gebeurtenis in 2009 en de huidige eigenaar van dat IP-adres.

Is er via de Wet bewaarplicht gematcht met gegevens van toen? Lijkt me sterk, die wet gaat namelijk een jaar terug en dit was uit 2009. Dus graven in NAW-logs uit 2009 van de provider zie ik niet gebeuren. Maar een andere verklaring kan ik niet bedenken. Jullie wel?

De vraagsteller zou een verzoek om inzage in zijn politiedossier kunnen doen, met een beroep op de Wet politiegegevens (de tegenhanger van de Wet bescherming persoonsgegevens als het gaat om politiedossiers). Misschien komen er dan meer stukken naar boven waarmee de aanleiding te reconstrueren is.

Arnoud

Mag een softwareleverancier geld vragen voor patches?

Geplaatst op in Intellectuele rechten, Ondernemingsvrijheid, Security, 43 reacties

Adobe heeft kritieke beveiligingslekken in Photoshop, Illustrator en Flash gedicht, maar de patch is er alleen voor klanten die upgraden naar Photoshop CS6, meldde Tweakers onlangs. Daarna ontstond er geheel voorspelbaar de nodige ophef, waarna Adobe op haar aankondiging terugkwam.

De kritiek kwam min of meer neer op “we zijn gewend dat security patches gratis zijn”, plus “het is heel dom om juist securitypatches niet gratis weg te geven want dat zorgt alleen voor meer ongepatchte systemen”. En die kritiek is zeer terecht.

In Nederland kunnen we daar nog een argument aan toevoegen: software móet veilig zijn want anders is deze niet conform de gewekte verwachtingen. Net zoals een magnetron veilig moet zijn. Dat is namelijk het logisch gevolg van het Hoge Raad arrest van begin deze maand, dat bepaalde dat software gekocht kon worden.

Dat was wenselijk “omdat de kooptitel een uitgewerkte regeling geeft inzake conformiteit, klachtplicht en verjaring”, zo formuleerde onze hoogste rechter het. En deel van die conformiteitsregel is dat de verkoper gratis tot herstel of vervanging van het product moet overgaan als het product fouten blijkt te bevatten die je niet hoefde te verwachten.

Wel vraag ik me al langer af hoe ver dat precies gaat. Je hebt immers geen recht op een foutloos product. Als je moet weten dat bepaalde dingen mis kunnen gaan, dan is dat deel van de verwachting. Een bank verkleurt over de jaren. De letters op je toetsenbord slijten eraf. En software wordt gehackt.

Arnoud

“RET luistert gesprekken van trampassagiers af”

Geplaatst op in Security, 27 reacties

richtmicrofoon.jpgGesprekken van passagiers van de Rotterdamse vervoersmaatschappij RET worden elektronisch afgeluisterd en gebruikt voor beveiligingsdoeleinden, meldde Elsevier. In eerste instantie wilde men niet toelichten hoe of wat, maar na enige herrie kwam men met “Op onze stations hangen camera’s met microfoons waarmee live meegekeken en -geluisterd kan worden door een meldkamer.” Want tsja, beveiliging hè.

Het afluisteren van gesprekken is strafbaar, ook als dat in de openbare ruimte gebeurt. Wanneer je heimelijk een gesprek opneemt waar je geen deelnemer aan bent, pleeg je een strafbaar feit (art. 139b Strafrecht). Het moet gaan een gespreksopname, dus een camera die alleen activeert wanneer het geluidsniveau boven de X decibel komt, is niet verboden.

Ook moet het opnemen met een technisch hulpmiddel gebeuren. Horen wat men verderop in de tram met elkaar bespreekt, is niet strafbaar. Met een richtmicrofoon meeluisteren is wél strafbaar. (Niet dat je ooit in de tram een richtmicrofoon zou willen gebruiken, wat ik zo al hoor dóór mijn mp3speler heen is al erg genoeg.)

Roepen dat je het doet om de beveiliging is dus niet genoeg. En roepen dat het hetzelfde is als een bewaker op de tram zetten die het hoort is óók niet genoeg. Een bewaker zet je niet zomaar op elke tram, maar een microfoon kan wel en omdat afluisteren daarmee eenvoudiger wordt, zijn hiervoor de regels strenger.

Een sticker op de deur én de microfoons pontificaal in beeld maakt de opnames niet meer heimelijk, en dan is het weer wel toegestaan. Je vraagt je dan ook af wie er op het idee kwam die microfoons te verstoppen.

Arnoud<br/> PS: Nee, geen Pirate Bay/Brein blog vandaag. Ik werd even iets te depressief gisteren van de uitspraken.

“RET luistert gesprekken van trampassagiers af”

Geplaatst op in Security, 28 reacties

richtmicrofoon.jpgGesprekken van passagiers van de Rotterdamse vervoersmaatschappij RET worden elektronisch afgeluisterd en gebruikt voor beveiligingsdoeleinden, meldde Elsevier. In eerste instantie wilde men niet toelichten hoe of wat, maar na enige herrie kwam men met “Op onze stations hangen camera’s met microfoons waarmee live meegekeken en -geluisterd kan worden door een meldkamer.” Want tsja, beveiliging hè.

Het afluisteren van gesprekken is strafbaar, ook als dat in de openbare ruimte gebeurt. Wanneer je heimelijk een gesprek opneemt waar je geen deelnemer aan bent, pleeg je een strafbaar feit (art. 139b Strafrecht). Het moet gaan een gespreksopname, dus een camera die alleen activeert wanneer het geluidsniveau boven de X decibel komt, is niet verboden.

Ook moet het opnemen met een technisch hulpmiddel gebeuren. Horen wat men verderop in de tram met elkaar bespreekt, is niet strafbaar. Met een richtmicrofoon meeluisteren is wél strafbaar. (Niet dat je ooit in de tram een richtmicrofoon zou willen gebruiken, wat ik zo al hoor dóór mijn mp3speler heen is al erg genoeg.)

Roepen dat je het doet om de beveiliging is dus niet genoeg. En roepen dat het hetzelfde is als een bewaker op de tram zetten die het hoort is óók niet genoeg. Een bewaker zet je niet zomaar op elke tram, maar een microfoon kan wel en omdat afluisteren daarmee eenvoudiger wordt, zijn hiervoor de regels strenger.

Een sticker op de deur én de microfoons pontificaal in beeld maakt de opnames niet meer heimelijk, en dan is het weer wel toegestaan. Je vraagt je dan ook af wie er op het idee kwam die microfoons te verstoppen.

Arnoud<br/> PS: Nee, geen Pirate Bay/Brein blog vandaag. Ik werd even iets te depressief gisteren van de uitspraken.

“Stelen van broncode is niet strafbaar”

Geplaatst op in Security, 32 reacties

Het meenemen van broncode van de (ex-)werkgever is niet illegaal en valt niet onder het stelen van bedrijfsgeheimen, las ik bij Webwereld. In een ‘bizarre’ uitspraak bepaalde de New Yorkse hogerberoepsrechter dat een werknemer die handelsgeheimen had meegenomen van zijn werkgever, geen diefstal heeft gepleegd en ook de wet op de handelsgeheimen niet had geschonden. “Deze uitspraak is een slag in het gezicht van de federale overheid die juist alles wil doen om industriële en bedrijfsspionage hard wil aanpakken”. Eh wacht, lees ik hier een ronkend persbericht van Justitie of een nieuwsbericht in de categorie “buitenland / en dan dit”?

Het ging in deze zaak om een programmeur die broncodes van zijn ex-werkgever had geupload naar een server van een derde. Die broncodes waren deel van het “high-frequency trading” systeem van de werkgever, en dus commercieel erg waardevol want bij dergelijke aandelenhandel kan een minuut het verschil maken tussen winst en verlies. Ik kan niet achterhalen waarom, maar op zijn laatste dag uploadde hij 500.000 regels broncode naar een Duitse server.

Diefstal van handelsgeheimen en intellectueel eigendom, brieste de werkgever en deed aangifte. In eerste instantie werd meneer veroordeeld, maar in hoger beroep werd dus anders beslist.

Het punt van diefstal eerst maar, want dat is het makkelijkst. Het is strafbaar in New York om enig goed te verhandelen, verzenden of over te dragen dat door diefstal of ander misdrijf is verkregen (zeg maar: heling). Maar is sprake van een ‘goed’ als je alleen gegevens kopieert? Nee, zegt dit Gerechtshof. Het moet gaan om een tastbaar fysiek object, en daarvan is hier geen sprake.

Wat daar bizar aan is, zie ik niet helemaal. Dat is precies wat onze Hoge raad ook vindt. Hoewel ze in de VS intellectueel eigendom al snel als echt eigendom behandelen, is dat in het geval van ‘diefstal’ dus niet juist.

Ook is het strafbaar om opzettelijk een handelsgeheim te verspreiden, over te dragen, te uploaden of in een product te verwerken als je daarmee een ander dan de eigenaar ervan benadeelt. Bij ons is het strafbaar voor een werknemer om “bijzonderheden waarvan hem geheimhouding is opgelegd” bekend te maken of niet-publieke gegevens uit een computersysteem van de werkgever bekend te maken of uit winstbejag te gebruiken (art. 273 Strafrecht). Dat is dus breder, hoewel je je bij het enkele uploaden kunt afvragen of uploaden naar een server waarvan alleen jij het wachtwoord hebt, “bekend maken” is.

Maar in New York is van een ‘handelsgeheim’ pas sprake als het gaat om informatie over een product dat bestemd is voor de handel. En nu wordt het leuk: is een highfrequencytradingsoftwareprogramma een “product bestemd voor de handel”?

Nee, aldus het Hof (goh). De software zelf wordt niet in de handel gebracht, en dat is toch echt de betekenis van “bestemd voor de handel”. Natuurlijk zou je die term kunnen oprekken, maar dat mag niet: in de Amerikaanse wet kent men namelijk ook de generieke frase “met invloed op de handel” (affecting trade) die bedoeld is om alles te dekken dat buiten “bestemd voor de handel” valt. Maar hee, die generieke frase is hier niet gebruikt. Dus kennelijk wilde de wetgever alleen specifiek handelsgeheimen beschermen over “producten bestemd voor de handel”. Want zo werkt strafrecht: termen worden beperkt uitgelegd, zéker als er een bredere term bestaat die hier nadrukkelijk niet gebruikt is.

Ook hier weer: wat is er ‘bizar’ aan deze uitspraak? Het is toch volstrekt logisch dat je bij een vermeende wetsovertreding kijkt welk wetsartikel is overtreden? Strafwetten gaan oprekken om nieuwe situaties te dekken is héél eng. Toegegeven, dit handelen van meneer zou best strafbaar mogen zijn an sich. Maar dan pas je dus de wet aan die kennelijk ontoereikend is.

Arnoud

“Stelen van broncode is niet strafbaar”

Geplaatst op in Security, 32 reacties

Het meenemen van broncode van de (ex-)werkgever is niet illegaal en valt niet onder het stelen van bedrijfsgeheimen, las ik bij Webwereld. In een ‘bizarre’ uitspraak bepaalde de New Yorkse hogerberoepsrechter dat een werknemer die handelsgeheimen had meegenomen van zijn werkgever, geen diefstal heeft gepleegd en ook de wet op de handelsgeheimen niet had geschonden. “Deze uitspraak is een slag in het gezicht van de federale overheid die juist alles wil doen om industriële en bedrijfsspionage hard wil aanpakken”. Eh wacht, lees ik hier een ronkend persbericht van Justitie of een nieuwsbericht in de categorie “buitenland / en dan dit”?

Het ging in deze zaak om een programmeur die broncodes van zijn ex-werkgever had geupload naar een server van een derde. Die broncodes waren deel van het “high-frequency trading” systeem van de werkgever, en dus commercieel erg waardevol want bij dergelijke aandelenhandel kan een minuut het verschil maken tussen winst en verlies. Ik kan niet achterhalen waarom, maar op zijn laatste dag uploadde hij 500.000 regels broncode naar een Duitse server.

Diefstal van handelsgeheimen en intellectueel eigendom, brieste de werkgever en deed aangifte. In eerste instantie werd meneer veroordeeld, maar in hoger beroep werd dus anders beslist.

Het punt van diefstal eerst maar, want dat is het makkelijkst. Het is strafbaar in New York om enig goed te verhandelen, verzenden of over te dragen dat door diefstal of ander misdrijf is verkregen (zeg maar: heling). Maar is sprake van een ‘goed’ als je alleen gegevens kopieert? Nee, zegt dit Gerechtshof. Het moet gaan om een tastbaar fysiek object, en daarvan is hier geen sprake.

Wat daar bizar aan is, zie ik niet helemaal. Dat is precies wat onze Hoge raad ook vindt. Hoewel ze in de VS intellectueel eigendom al snel als echt eigendom behandelen, is dat in het geval van ‘diefstal’ dus niet juist.

Ook is het strafbaar om opzettelijk een handelsgeheim te verspreiden, over te dragen, te uploaden of in een product te verwerken als je daarmee een ander dan de eigenaar ervan benadeelt. Bij ons is het strafbaar voor een werknemer om “bijzonderheden waarvan hem geheimhouding is opgelegd” bekend te maken of niet-publieke gegevens uit een computersysteem van de werkgever bekend te maken of uit winstbejag te gebruiken (art. 273 Strafrecht). Dat is dus breder, hoewel je je bij het enkele uploaden kunt afvragen of uploaden naar een server waarvan alleen jij het wachtwoord hebt, “bekend maken” is.

Maar in New York is van een ‘handelsgeheim’ pas sprake als het gaat om informatie over een product dat bestemd is voor de handel. En nu wordt het leuk: is een highfrequencytradingsoftwareprogramma een “product bestemd voor de handel”?

Nee, aldus het Hof (goh). De software zelf wordt niet in de handel gebracht, en dat is toch echt de betekenis van “bestemd voor de handel”. Natuurlijk zou je die term kunnen oprekken, maar dat mag niet: in de Amerikaanse wet kent men namelijk ook de generieke frase “met invloed op de handel” (affecting trade) die bedoeld is om alles te dekken dat buiten “bestemd voor de handel” valt. Maar hee, die generieke frase is hier niet gebruikt. Dus kennelijk wilde de wetgever alleen specifiek handelsgeheimen beschermen over “producten bestemd voor de handel”. Want zo werkt strafrecht: termen worden beperkt uitgelegd, zéker als er een bredere term bestaat die hier nadrukkelijk niet gebruikt is.

Ook hier weer: wat is er ‘bizar’ aan deze uitspraak? Het is toch volstrekt logisch dat je bij een vermeende wetsovertreding kijkt welk wetsartikel is overtreden? Strafwetten gaan oprekken om nieuwe situaties te dekken is héél eng. Toegegeven, dit handelen van meneer zou best strafbaar mogen zijn an sich. Maar dan pas je dus de wet aan die kennelijk ontoereikend is.

Arnoud