Politie overtreedt opnieuw regels voor inzet hackingtools

| AE 12762 | Regulering | 6 reacties

De politie heeft zich opnieuw niet aan de regels gehouden bij het inzetten van hackingtools. Dat las ik bij Tweakers, dat zich baseert op een rapport van de Inspectie Justitie en Veiligheid. In dit rapport concludeert de inspectie dat de politie zich niet hield aan de gestelde voorwaarden houdt voor het inzetten van hacking tools. De politie is in 2020 vier keer een apparaat binnengedrongen waar geen goedkeuring voor werd verleend. Wat de vraag opriep, wat zou er gebeuren met die agenten die dat deden? Zijn die zelf strafbaar?

Nou ja, vrij weinig eigenlijk. Zoals in de comments ook al gezegd wordt, het gaat hier om ambtenaren die een overheidstaak uitvoeren. De Hoge Raad bepaalde in de zogeheten Pikmeer-arresten dat publiekrechtelijke rechtspersonen niet vervolgd kunnen worden als het de uitvoering betreft van een specifieke overheidstaak. Dat betekent ook dat individuele ambtenaren die zo’n taak uitvoeren, daarvan gevrijwaard blijven.

Een “specifieke overheidstaak” is kort gezegd een taak die niet geprivatiseerd kan worden, iets dat de overheid niet ook een burger kan laten doen. Bij die laatste categorie taken kan de ambtenaar die het doet dus wél vervolgd worden als de uitvoering strafbare feiten oplevert. En we hebben het hier natuurlijk over het opsporen van strafbare feiten of het zogeheten “terughacken”, oftewel inbreken bij derden in de hoop daders, bewijs of controle over softwarediensten te pakken te krijgen. Dat is echt een unieke politietaak. Ja, ik weet dat je ook hackers kunt inhuren maar die verrichten dan geen opsporingstaken.

Natuurlijk heeft zo’n situatie wel gevolgen voor de strafzaak waarbij zo gehandeld blijkt. Dergelijk bewijs zal al snel uitgesloten worden, juist omdat de politie zich aan bepaalde regels moet houden bij opsporing. En omdat vaak de zaak sterk wordt opgehangen aan zulk bewijs, is de zaak daarmee vrij snel ‘stuk’.

Wat ik zelf ernstiger vindt, uit het rapport:

Evenals in 2019 gebruikte zij commerciële software, nu zelfs in het merendeel van de zaken. De leverancier hiervan heeft toegang tot deze software en de hiermee verkregen gegevens.
Ik snap best dat je als politie je tools inkoopt, je maakt ook niet zelf dienstwagens of pistolen. Maar dat de leverancier bij de gegevens kan, de telemetrie of logs neem ik aan, dat is voor mij te bizar voor woorden?

Arnoud

Mag de politie je systeem patchen na een malware infectie?

| AE 12625 | Security | 9 reacties

De FBI gaat nu netwerken van privépartijen patchen, las ik (vrij vertaald) bij Schneier’s blog. Het gaat om honderden met malware geïnfecteerde Microsoft Exchange-servers, waar webshells (commandoregel-toegang op afstand) op waren geplaatst. Nadat de federale politie daartoe door een rechtbank was gemachtigd, gaf zij al deze servers een speciaal commando waarmee de kwaadaardige code werd gewist. Dat gaf dus ophef, want men passeerde zo het eigen IT-beleid van die organisaties. En hoezo mag de politie überhaupt bij mensen thuis dingen komen fixen?

Over een week gaat de politie bij ons Emotet wissen van een miljoen computers wereldwijd, dus dit is lekker actueel. Ik zei toen dat dat mocht, want wij hebben artikel 125o Wetboek van Strafvordering:

Indien bij een doorzoeking in een geautomatiseerd werk gegevens worden aangetroffen met betrekking tot welke of met behulp waarvan het strafbare feit is gepleegd, kan de officier van justitie dan wel indien deze de doorzoeking verricht, de rechter-commissaris bepalen dat die gegevens ontoegankelijk worden gemaakt voor zover dit noodzakelijk is ter beëindiging van het strafbare feit of ter voorkoming van nieuwe strafbare feiten.

De doorzoeking vond hier plaats in de centrale server, en via die server vind je dan ook de clientsoftware bij de slachtoffers thuis. Dat zijn “gegevens met behulp waarvan het strafbare feit is gepleegd”, zodat de politie die mag wissen (ontoegankelijk maken).

In de VS moet de FBI het doen met Rule 41, waarmee men algemeen gezegd warrants oftewel bevelen mag halen om bewijs of contraband mee te nemen, illegale voorwerpen in beslag te nemen of mensen op te halen. In het jargon, een search & seizure – zoeken en inbeslagname. Onder deze Rule heeft men nu de warrant gekregen om op al die Exchange-servers binnen te dringen en daar de wis-instructie te geven. En dat is wat vreemd, want oké ze zouden fysiek langs mogen gaan en al die servers meenemen met zo’n bevel maar dat blijft wat anders dan een stukje informatie daarop aanpassen.

Niet gek dus dat vele mensen op de achterste benen staan. Het gaat ook verder dan eerdere zaken waarbij de FBI botnets verwijderde: daar kwamen de geïnfecteerde computers naar de inbeslaggenomen server toe voor nieuwe instructies, en men kon toen vrij eenvoudig “wis jezelf” teruggeven. Dat is toch wat anders dan actief inloggen bij die clients en daar een wis-instructie geven.

Arnoud

Ombudsman over probleem etnisch profileren: draai bewijslast om

| AE 12589 | Informatiemaatschappij, Regulering | 81 reacties

De ombudsman heeft onderzocht hoe de overheid moet omgaan met klachten over etnisch profileren, las ik bij deze onafhankelijke instantie. De meest opmerkelijke uitkomst, volgens RTL, is het idee van de bewijslast omdraaien bij etnisch profileren. De burger mag verwachten, aldus het rapport, dat de overheid kan uitleggen op basis waarvan hij geselecteerd is en in hoeverre etniciteit daarbij een rol heeft gespeeld. Hiermee wordt voorkomen dat de burger zelf moet aantonen dat een uitkomst op basis van verboden etnisch profileren is gerealiseerd, iets wat gezien de black box van overheidsbesluiten vaak onmogelijk is. Sommigen zouden zeggen dat de AVG dit al eist.

Etnisch profileren is het gebruik van criteria als ras, huidskleur, nationaliteit, taal, geloof of afkomst bij opsporing of rechtshandhaving terwijl dat niet objectief te rechtvaardigen is, zo valt te lezen in het rapport “Gekleurd beeld” dat eerder deze week verscheen. Daarbij doet het er niet toe of dit de bedoeling was (zoals bij de toeslagenaffaire) of dat het een onbewuste bijkomstigheid is van bijvoorbeeld data-gedreven opsporing – dat de data een bepaalde wijk aanwijst, omdat de postcodes sterk correleren met een etnische verdeling. Waar het om gaat, is dat we als samenleving niet op basis van deze criteria willen handelen, ook al lijken ze goede voorspellers van het te bestrijden gedrag.

De reden is natuurlijk simpel: deze criteria zijn geen voorspellers.

Desondanks blijft het idee hardnekkig, met name nu we steeds vaker met data-analyses werken die dan objectief zouden zijn. Want ja, als uit de data blijkt dat criminelen vaker uit regio X komen, dan is dat een feit toch? Dan mag je daar best op sturen, toch? Nou ja, nee: je handelt dan omgekeerd, uit die data volgt niet dat mensen met afkomst uit regio X significant vaker crimineel zijn. Om eens wat te noemen. En zelfs als de correlatie beide kanten op klopt, dan nog heb je waarschijnlijk een onderliggende factor over het hoofd gezien. Net zoals ze in Maine al jaren het aantal echtscheidingen terugdringen door margarineconsumptie te bestrijden. De cijfers zijn overtuigend, immers.

Daar komt natuurlijk bij dat de AVG het gebruik van deze bijzondere persoonsgegevens eenvoudig verbiedt, tenzij met heel goede reden die wettelijk is vastgelegd (en met waarborgen). Nou, dat kun je vergeten.

En dan komen we bij het punt van de bewijslast. Inderdaad moet je normaal als burger aantonen dat je onrecht is aangedaan, en dat is lastig bij zoiets groots als een onderzoek naar uitkeringsfraude (want een fraudepercentage van 0,2% van de uitkeringen is natuurlijk een hele goede reden voor strikte handhaving, dit in tegenstelling tot zeg btw fraude die qua Europese omvang gelijk is aan het totaal van de uitkeringen in Nederland). Maar de AVG draait de bewijslast zelf al om, het voor mij cruciale artikel 5 lid 2:

2. De verwerkingsverantwoordelijke is verantwoordelijk voor de naleving van lid 1 en kan deze aantonen (“verantwoordingsplicht”).
Dit betekent dus dat je te allen tijde in staat moet zijn om uit te leggen hoe je tot bijvoorbeeld je keuze voor nader onderzoek bent gekomen. En dan mag het niet blijven bij mooie woorden over zorgvuldig gekozen datasets of historisch gevalideerde gegevens maar moet er echt een stappenplan bij, hoe kwam de conclusie tot stand en welke gegevens zijn daar precies bij gebruikt. Een simpele is “een willekeur-generator zegt bij 10% van de mensen ‘Nader controleren’ en dat was u”. Maar wat ook kan, is zeggen “we hebben alle uitkomsten gecorreleerd met etnische afkomst en zagen geen uitschieters”, daarmee toon je ook aan dat daar niet naar wordt gekeken.

Wat de meeste mensen willen, is gehoord worden en excuses krijgen als het misgegaan bleek:

De wijkagent kan als wit persoon nooit weten hoe het is. Maar hij kan wel zeggen: wat vervelend en naar dat dit u is overkomen. Dat hij mij het gevoel geeft: ik hoor u en zie u. Ik kan het niet oplossen, maar wel uw verhaal serieus nemen.
Helaas blijkt nou juist dát het moeilijkste om voor elkaar te krijgen. Maar misschien als we beginnen met die data-analyse en omgekeerde bewijslast, dat we dan de goede richting op geduwd worden.

Arnoud

Hoe zwaar weegt gezichtsherkenning in het strafrecht?

| AE 12571 | Regulering | 17 reacties

Het lijkt erop dat degene die op 5 augustus 2017 om 2.31 uur bij de geldautomaat is gefilmd, ook in de politiedatabase staat: Thomas. Zo introduceert Nu.nl een strafzaak waarin gezichtsherkenning door het politiesysteem CATCH centraal stond in het bewijs. Nadat ook twee onderzoekers de gezichten met elkaar vergelijken, concludeert het Centrum voor Biometrie namelijk dat… Lees verder

Niet bij je Bitcoins kunnen omdat de politie je telefoon heeft

| AE 12458 | Regulering | 8 reacties

Iets waar niet iedere Bitcoin bezitter rekening mee houdt, wat te doen als de politie je telefoon heeft? Dat las ik bij het onvolprezen Betablog. Hij wees op een recent strafvonnis waarbij de verdachte tegen precies dit probleem aanliep: “zegt de veroordeelde tegen zijn moeder dat hij over geld in Bitcoins beschikt, maar dat hij daar… Lees verder

Wanneer is een mail aangekomen als deze in een spamfilter blijft hangen?

| AE 12422 | Ondernemingsvrijheid, Regulering | 107 reacties

Een lezer vroeg me: Naar aanleiding van een discussie die ik had met andere IT’ers over de macht van MS en Google in de wereld van e-mail en hun interne reputatie systeem vroeg ik me af of een mail juridisch gezien is ‘aangekomen’ als mailprovider Microsoft of Google besluit deze als spam aan te merken… Lees verder

Ga er maar aanstaan als deskundige: moet die broncode opnieuw geschreven?

| AE 12312 | Ondernemingsvrijheid | 40 reacties

Deskundige vereist voor beoordeling gebrekkige broncode, meldde ITenRecht onlangs. In een automatiseringsgeschil tussen softwareontwikkelaar Capgemini en haar klant Equihold (die de software wilde inzetten bij onder meer FC Barcelona) ontstond discussie over de kwaliteit van de tot dan toe gemaakte broncode. Een mooi voorbeeld van hoe de rechtspraak omgaat met inhoudelijk diepgaande issues. Ik las laatst… Lees verder

Dus je kunt worden ontslagen door appjes die je baas stiekem meeleest op de desktop Whatsapp

| AE 12059 | Ondernemingsvrijheid | 39 reacties

?Een Amsterdams hotel heeft een assistent-manager op staande voet ontslagen, omdat zij loog dat ze ziek was. Dat meldde het AD vorige week. Het kwam uit omdat de werkgever zonder haar medeweten kon meelezen met haar whatsapp-berichten. Daaruit bleek glashard dat ze haar ziekte simuleerde – en sterker nog, dat ze ging solliciteren bij een… Lees verder

Sinds wanneer zijn Youtube-video’s bewijs van feiten van algemene bekendheid?

| AE 12016 | Regulering | 10 reacties

Wanneer mag de rechter internetbronnen gebruiken als bewijs, en maakt het daarbij uit of ze zoeken naar feiten van algemene bekendheid? Die vraag speelt al enige tijd, en in twee recente rechtszaken kwam de vraag weer langs. Daarom even de gelegenheid om een en ander weer op te frissen. Want als de raadsheren van de… Lees verder

Een kopie identiteitsbewijs bewijst niet dat je een contract sloot

| AE 11895 | Ondernemingsvrijheid | 42 reacties

Leuk als je via internet contracten sluit en mensen kopie identiteitsbewijs laat opsturen, maar het bewijst niets. Dat vonniste de rechtbank Rotterdam onlangs. Telecombedrijf Tele2 dacht zo’n 1800 euro te krijgen van een internetklant wegens niet-betaalde abonnementskosten en restprijs telefoon, maar liep tegen het bekende probleem aan dat iedereen wel via internet een contract kan… Lees verder