Zijn de Encrochat-berichten bruikbaar als bewijs?

Europese speurders hebben de berichtendienst EncroChat gekraakt en zo ongeveer 1.800 vermoedelijke misdadigers kunnen arresteren. Dat meldde HLN een tijdje geleden. In het rechercheonderzoek 26Lemont kon de politie maanden live meekijken met bij criminelen razend populaire, versleutelde communicatie. Dit dankzij Nederlands/Franse samenwerking waarbij men een backdoor via de server van Encrochat ongezien op telefoons van alle 50.000 Encro-klanten wist te installeren. Een recent vonnis laat zien hoe de Nederlandse rechter daar tegen aankijkt.

De Encrochat-hack gaat niet zo ver als de Amerikaanse FBI truc waarbij men als politiedienst zogenaamd veilige telefoons verkocht (Anom) om vervolgens op het gemak mee te lezen. Er was daadwerkelijk een inbraak door politie op de servers van het bedrijf achter de Encrochat dienst gepleegd. Encrochat begon ooit als veilige dienst voor celebrities die bang waren voor hackende journalisten (met name in Engeland een reëel risico) maar werd ook veel door criminelen gebruikt.

De precieze details van de hack zijn nog steeds onduidelijk, maar het komt erop neer dat de Franse Justitie in samenwerking met de Nederlandse politie binnen wist te dringen in de infrastructuur van Encrochat en van daaruit malware op de telefoons wist te pushen. Althans, malware voor de criminelen – voor de politie was het natuurlijk een legitieme afluister- en kopieertool. Aldus wist men vele, heel vele criminele transacties en overleggen te pakken te krijgen, wat tot een golf aan arrestaties en strafzaken leidde.

Maar is dat nu legaal, zo’n actie? De operatie was goedgekeurd door de opsporingsdiensten en rechter-commissaris, maar dat is natuurlijk voor een beetje advocaat geen argument. Allereerst zit je met het punt dat de actie was gebracht als een onderzoek tegen het bedrijf van Encrochat, en hoezo mag je dan chats van gebruikers lezen? Dat staat buiten dat onderzoek, zou je zeggen. En ten tweede, hoezo mag de Franse justitie toestemming geven om chats van Duitse figuren te lezen die in Duitsland snode plannen maken?

In Nederland kwam dit voor het eerst begin juli in een vonnis terug. Acht verdachten stonden terecht in een grote strafzaak, en hadden onder meer bezwaar gemaakt tegen gebruik van Encrochat-data als bewijs tegen hen. Het eerste punt van bezwaar was dat in die Frans/Nederlandse samenwerking er geen bevel was van de Nederlandse rechter-commissaris. Maar dat hoeft niet, aldus de rechter: de feitelijke inbreuk op de privacy was door de Franse autoriteiten begaan, niet (ook) door de Nederlanders.

Je moet dan toetsen onder het Franse recht, en dat bleek goed gegaan te zijn:

In het dossier zitten (vertalingen van) een zestal Franse processen-verbaal waaruit afgeleid kan worden dat een Franse rechter toestemming heeft gegeven voor het onderscheppen van Encrochatgegevens en dat er periodieke rechterlijke controle heeft plaatsgevonden.
De Duitse rechter zag dat dus anders: die eist dat als het gaat om Duitse burgers, de Duitse rechter om toestemming wordt gevraagd.

Maar hoe zit dat dan met dat ‘bijvangst’-argument? Hoezo mocht men chats van gebruikers lezen als het onderzoek tegen het bedrijf gericht was en niet tegen verdachte gebruikers?

Voorafgaand aan de interceptie, zo stelt het openbaar ministerie, is ingezien dat een inbreuk op de persoonlijke levenssfeer van gebruikers van Encrochat voorzienbaar was, maar dat dit noodzakelijk was om bewijs tegen het bedrijf Encrochat te verzamelen. De verdediging stelt daar tegenover dat de Encrochat hack in werkelijkheid bedoeld was om bewijs te verkrijgen tegen individuele gebruikers van de Encrochat telefoons en ziet dit vermoeden bevestigd in de zogenaamde Britse stukken. De rechtbank acht deze stelling van de verdediging vooralsnog onvoldoende onderbouwd nu die Britse stukken op zichzelf niet onverenigbaar zijn met het standpunt van het openbaar ministerie dat het onderzoek zich richtte op het bedrijf Encrochat.
Het argument daar achter is dus dat als je legitiem bezig bent met een bedrijf te onderzoeken, en je vindt dan ook bewijs tegen gebruikers, dat dat als ‘bijvangst’ gewoon gebruikt mag worden. Het zou raar zijn als je dat moest laten liggen, terwijl je geen regel overtrad bij het vinden. Bijvangst is legaal verkregen bewijs. Dat wordt anders als dat onderzoek niet echt naar dat bedrijf was, maar een smoesje om eigenlijk de gebruikers te kunnen volgen.

Uit de Engelse stukken blijkt niet dat de Franse/Nederlandse samenwerking daarop gericht was. Oké, denk ik dan, maar een backdoor op al die telefoons pushen voelt niet als een heel logische actie bij een onderzoek naar het bedrijf.

Een volgend probleem was dat de verdediging al die berichten moeilijk kan onderzoeken. Dit is altijd een probleem in het strafrecht: het OM kan in theorie met onbeperkte middelen technisch onderzoek doen en deskundigen laten opdraven, en de advocaat van de verdachte moet maar hopen dat hij iemand vindt die het voor een leuk bedragje wil doen.

De rechter hier is bereidwillig:

Nu de verdediging in dit dossier voor de informatie over het onderzoek voor een belangrijk deel is aangewezen op de door het openbaar ministerie door onder nummer bekend zijnde officieren van justitie opgestelde processen-verbaal, is de rechtbank van oordeel dat in het licht van een eerlijk proces aan de verdediging de mogelijkheid moet worden geboden tot het uitoefenen van meer directe controle. Om die reden zal de rechtbank beslissen dat het verzoek tot het horen van de officier van justitie van het landelijk parket bekend als LAP 0797 zal worden toegewezen.
Kennelijk zijn de meeste stukken geheim, wat natuurlijk logisch is gezien de enorme scope van de vangst, maar wel wringt met het idee van openbaarheid in de strafrechtspleging. “We hebben bewijs maar u mag er niet te lang naar kijken want dan gaan andere onderzoeken stuk” is niet echt de bedoeling.

Ondertussen werkt het NFI aan meer gedegen rapporten over de werking van Encrochat en de hack, en ook deze documenten zullen met de verdachten worden gedeeld. Het is dus sowieso nog even afwachten, en de kans lijkt me groot dat we (net als in Duitsland) hoger beroep gaan krijgen. Ik ben heel benieuwd.

Arnoud

Politie overtreedt opnieuw regels voor inzet hackingtools

De politie heeft zich opnieuw niet aan de regels gehouden bij het inzetten van hackingtools. Dat las ik bij Tweakers, dat zich baseert op een rapport van de Inspectie Justitie en Veiligheid. In dit rapport concludeert de inspectie dat de politie zich niet hield aan de gestelde voorwaarden houdt voor het inzetten van hacking tools. De politie is in 2020 vier keer een apparaat binnengedrongen waar geen goedkeuring voor werd verleend. Wat de vraag opriep, wat zou er gebeuren met die agenten die dat deden? Zijn die zelf strafbaar?

Nou ja, vrij weinig eigenlijk. Zoals in de comments ook al gezegd wordt, het gaat hier om ambtenaren die een overheidstaak uitvoeren. De Hoge Raad bepaalde in de zogeheten Pikmeer-arresten dat publiekrechtelijke rechtspersonen niet vervolgd kunnen worden als het de uitvoering betreft van een specifieke overheidstaak. Dat betekent ook dat individuele ambtenaren die zo’n taak uitvoeren, daarvan gevrijwaard blijven.

Een “specifieke overheidstaak” is kort gezegd een taak die niet geprivatiseerd kan worden, iets dat de overheid niet ook een burger kan laten doen. Bij die laatste categorie taken kan de ambtenaar die het doet dus wél vervolgd worden als de uitvoering strafbare feiten oplevert. En we hebben het hier natuurlijk over het opsporen van strafbare feiten of het zogeheten “terughacken”, oftewel inbreken bij derden in de hoop daders, bewijs of controle over softwarediensten te pakken te krijgen. Dat is echt een unieke politietaak. Ja, ik weet dat je ook hackers kunt inhuren maar die verrichten dan geen opsporingstaken.

Natuurlijk heeft zo’n situatie wel gevolgen voor de strafzaak waarbij zo gehandeld blijkt. Dergelijk bewijs zal al snel uitgesloten worden, juist omdat de politie zich aan bepaalde regels moet houden bij opsporing. En omdat vaak de zaak sterk wordt opgehangen aan zulk bewijs, is de zaak daarmee vrij snel ‘stuk’.

Wat ik zelf ernstiger vindt, uit het rapport:

Evenals in 2019 gebruikte zij commerciële software, nu zelfs in het merendeel van de zaken. De leverancier hiervan heeft toegang tot deze software en de hiermee verkregen gegevens.
Ik snap best dat je als politie je tools inkoopt, je maakt ook niet zelf dienstwagens of pistolen. Maar dat de leverancier bij de gegevens kan, de telemetrie of logs neem ik aan, dat is voor mij te bizar voor woorden?

Arnoud

Mag de politie je systeem patchen na een malware infectie?

De FBI gaat nu netwerken van privépartijen patchen, las ik (vrij vertaald) bij Schneier’s blog. Het gaat om honderden met malware geïnfecteerde Microsoft Exchange-servers, waar webshells (commandoregel-toegang op afstand) op waren geplaatst. Nadat de federale politie daartoe door een rechtbank was gemachtigd, gaf zij al deze servers een speciaal commando waarmee de kwaadaardige code werd gewist. Dat gaf dus ophef, want men passeerde zo het eigen IT-beleid van die organisaties. En hoezo mag de politie überhaupt bij mensen thuis dingen komen fixen?

Over een week gaat de politie bij ons Emotet wissen van een miljoen computers wereldwijd, dus dit is lekker actueel. Ik zei toen dat dat mocht, want wij hebben artikel 125o Wetboek van Strafvordering:

Indien bij een doorzoeking in een geautomatiseerd werk gegevens worden aangetroffen met betrekking tot welke of met behulp waarvan het strafbare feit is gepleegd, kan de officier van justitie dan wel indien deze de doorzoeking verricht, de rechter-commissaris bepalen dat die gegevens ontoegankelijk worden gemaakt voor zover dit noodzakelijk is ter beëindiging van het strafbare feit of ter voorkoming van nieuwe strafbare feiten.

De doorzoeking vond hier plaats in de centrale server, en via die server vind je dan ook de clientsoftware bij de slachtoffers thuis. Dat zijn “gegevens met behulp waarvan het strafbare feit is gepleegd”, zodat de politie die mag wissen (ontoegankelijk maken).

In de VS moet de FBI het doen met Rule 41, waarmee men algemeen gezegd warrants oftewel bevelen mag halen om bewijs of contraband mee te nemen, illegale voorwerpen in beslag te nemen of mensen op te halen. In het jargon, een search & seizure – zoeken en inbeslagname. Onder deze Rule heeft men nu de warrant gekregen om op al die Exchange-servers binnen te dringen en daar de wis-instructie te geven. En dat is wat vreemd, want oké ze zouden fysiek langs mogen gaan en al die servers meenemen met zo’n bevel maar dat blijft wat anders dan een stukje informatie daarop aanpassen.

Niet gek dus dat vele mensen op de achterste benen staan. Het gaat ook verder dan eerdere zaken waarbij de FBI botnets verwijderde: daar kwamen de geïnfecteerde computers naar de inbeslaggenomen server toe voor nieuwe instructies, en men kon toen vrij eenvoudig “wis jezelf” teruggeven. Dat is toch wat anders dan actief inloggen bij die clients en daar een wis-instructie geven.

Arnoud

Ombudsman over probleem etnisch profileren: draai bewijslast om

De ombudsman heeft onderzocht hoe de overheid moet omgaan met klachten over etnisch profileren, las ik bij deze onafhankelijke instantie. De meest opmerkelijke uitkomst, volgens RTL, is het idee van de bewijslast omdraaien bij etnisch profileren. De burger mag verwachten, aldus het rapport, dat de overheid kan uitleggen op basis waarvan hij geselecteerd is en in hoeverre etniciteit daarbij een rol heeft gespeeld. Hiermee wordt voorkomen dat de burger zelf moet aantonen dat een uitkomst op basis van verboden etnisch profileren is gerealiseerd, iets wat gezien de black box van overheidsbesluiten vaak onmogelijk is. Sommigen zouden zeggen dat de AVG dit al eist.

Etnisch profileren is het gebruik van criteria als ras, huidskleur, nationaliteit, taal, geloof of afkomst bij opsporing of rechtshandhaving terwijl dat niet objectief te rechtvaardigen is, zo valt te lezen in het rapport “Gekleurd beeld” dat eerder deze week verscheen. Daarbij doet het er niet toe of dit de bedoeling was (zoals bij de toeslagenaffaire) of dat het een onbewuste bijkomstigheid is van bijvoorbeeld data-gedreven opsporing – dat de data een bepaalde wijk aanwijst, omdat de postcodes sterk correleren met een etnische verdeling. Waar het om gaat, is dat we als samenleving niet op basis van deze criteria willen handelen, ook al lijken ze goede voorspellers van het te bestrijden gedrag.

De reden is natuurlijk simpel: deze criteria zijn geen voorspellers.

Desondanks blijft het idee hardnekkig, met name nu we steeds vaker met data-analyses werken die dan objectief zouden zijn. Want ja, als uit de data blijkt dat criminelen vaker uit regio X komen, dan is dat een feit toch? Dan mag je daar best op sturen, toch? Nou ja, nee: je handelt dan omgekeerd, uit die data volgt niet dat mensen met afkomst uit regio X significant vaker crimineel zijn. Om eens wat te noemen. En zelfs als de correlatie beide kanten op klopt, dan nog heb je waarschijnlijk een onderliggende factor over het hoofd gezien. Net zoals ze in Maine al jaren het aantal echtscheidingen terugdringen door margarineconsumptie te bestrijden. De cijfers zijn overtuigend, immers.

Daar komt natuurlijk bij dat de AVG het gebruik van deze bijzondere persoonsgegevens eenvoudig verbiedt, tenzij met heel goede reden die wettelijk is vastgelegd (en met waarborgen). Nou, dat kun je vergeten.

En dan komen we bij het punt van de bewijslast. Inderdaad moet je normaal als burger aantonen dat je onrecht is aangedaan, en dat is lastig bij zoiets groots als een onderzoek naar uitkeringsfraude (want een fraudepercentage van 0,2% van de uitkeringen is natuurlijk een hele goede reden voor strikte handhaving, dit in tegenstelling tot zeg btw fraude die qua Europese omvang gelijk is aan het totaal van de uitkeringen in Nederland). Maar de AVG draait de bewijslast zelf al om, het voor mij cruciale artikel 5 lid 2:

2. De verwerkingsverantwoordelijke is verantwoordelijk voor de naleving van lid 1 en kan deze aantonen (“verantwoordingsplicht”).
Dit betekent dus dat je te allen tijde in staat moet zijn om uit te leggen hoe je tot bijvoorbeeld je keuze voor nader onderzoek bent gekomen. En dan mag het niet blijven bij mooie woorden over zorgvuldig gekozen datasets of historisch gevalideerde gegevens maar moet er echt een stappenplan bij, hoe kwam de conclusie tot stand en welke gegevens zijn daar precies bij gebruikt. Een simpele is “een willekeur-generator zegt bij 10% van de mensen ‘Nader controleren’ en dat was u”. Maar wat ook kan, is zeggen “we hebben alle uitkomsten gecorreleerd met etnische afkomst en zagen geen uitschieters”, daarmee toon je ook aan dat daar niet naar wordt gekeken.

Wat de meeste mensen willen, is gehoord worden en excuses krijgen als het misgegaan bleek:

De wijkagent kan als wit persoon nooit weten hoe het is. Maar hij kan wel zeggen: wat vervelend en naar dat dit u is overkomen. Dat hij mij het gevoel geeft: ik hoor u en zie u. Ik kan het niet oplossen, maar wel uw verhaal serieus nemen.
Helaas blijkt nou juist dát het moeilijkste om voor elkaar te krijgen. Maar misschien als we beginnen met die data-analyse en omgekeerde bewijslast, dat we dan de goede richting op geduwd worden.

Arnoud

Hoe zwaar weegt gezichtsherkenning in het strafrecht?

Het lijkt erop dat degene die op 5 augustus 2017 om 2.31 uur bij de geldautomaat is gefilmd, ook in de politiedatabase staat: Thomas. Zo introduceert Nu.nl een strafzaak waarin gezichtsherkenning door het politiesysteem CATCH centraal stond in het bewijs. Nadat ook twee onderzoekers de gezichten met elkaar vergelijken, concludeert het Centrum voor Biometrie namelijk dat Thomas veel overeenkomsten en geen significante verschillen vertoont met de persoon die om half drie ’s nachts pint. Hebbes, zegt de statistiek. Nope, zegt de rechtbank Den Bosch.

De strafzaak (vonnis) gaat over een hele trits feiten, niet alleen een keer pinnen met andermans pinpas, maar ook witwassen en lidmaatschap van een criminele organisatie. De rechtszaak is namelijk onderdeel van een groter onderzoek naar een bende die bankrekeningen plundert. En kennelijk is ‘Thomas’ (de naam is nep) de leider van dat netwerk want hij heeft statistisch gezien gepind met een gestolen pas?

Herkennen van mensen van foto’s is natuurlijk altijd lastig. Maar hier werd niet door menselijke getuigen of rechercheurs gekeken; het gaat om een automatisch gezichtsherkenningssysteem dat CATCH heet. De cijfers zijn schokkend: jaarlijks gaan zo’n duizend foto’s van verdachten door de database met 1.3 miljoen mensen. En dat levert dan 98 keer een match op. Nee, niet 980 of 98%, acht-en-negentig. Net geen honderd. Ja, ik val ook van mijn stoel.

Waarschijnlijk komt dat lage aantal omdat de meeste beveiligingscamera’s de kwaliteit van een aardappel hebben, als ik de beelden van Opsporing Verzocht mag geloven. Plus, veel criminelen weten natuurlijk dat ze hun gezicht moeten bedekken om niet te makkelijk herkend te worden. En men zal vast ook alleen een match willen geven als het systeem het heel zeker weet.

Maar hoe zeker is zeker? Dat weten we niet, en dat is ook fundamenteel lastig. Al is het maar vanwege de vraag of de werkelijke dader wel in het systeem zit. Anders krijg je gewoon “de best matchende persoon is deze” en als dat ook een hoog percentage betrouwbaarheid geeft, dan is de conclusie “dit is hem” snel gelegd. Natuurlijk kijken er dan nog mensen naar, maar “even checken, dit is hem toch” is heel wat anders dan “hier zijn duizend gezichten, welke is het”.

De rechtbank is er dan ook héél snel klaar mee:

De rechtbank is van oordeel dat in dit geval de ‘hit’ op verdachte in het zgn. CATCH-systeem (Centrale Automatische Technologie voor herkenning) onvoldoende is om te concluderen dat verdachte – buiten redelijke twijfel – als pinner kan worden aangemerkt. De opmerking dat twee onderzoekers zagen dat er veel overeenkomsten waren en geen significante afwijkingen, acht de rechtbank niet zodanig overtuigend dat de ‘hit’ als basis voor een bewezenverklaring kan dienen. Nu er buiten de herkenning geen andere bewijsmiddelen voorhanden zijn die verdachte verbinden aan een van de ten laste gelegde feiten, is de rechtbank van oordeel dat verdachte dient te worden vrijgesproken.

Bij een strafzaak moet het gaan om wettig en vooral overtuigend bewijs. Oftewel, geen redelijke twijfel. Enkel “hij lijkt best goed” is niet hetzelfde als “er is geen twijfel dat dit hem is”. Tussen de regels door lees ik dat de rechtbank alléén een fotoherkenning te weinig vindt. Had zijn telefoon even uitgepeild, een vingerafdruk genomen of iets anders dat hem op de plaats delict zet. Maar dit is echt te weinig.

Arnoud

Niet bij je Bitcoins kunnen omdat de politie je telefoon heeft

Iets waar niet iedere Bitcoin bezitter rekening mee houdt, wat te doen als de politie je telefoon heeft? Dat las ik bij het onvolprezen Betablog. Hij wees op een recent strafvonnis waarbij de verdachte tegen precies dit probleem aanliep: “zegt de veroordeelde tegen zijn moeder dat hij over geld in Bitcoins beschikt, maar dat hij daar niet bij kan komen omdat de politie zijn telefoon in beslag heeft genomen.”

De veroordeelde is betrokken geweest bij het verhandelen van verdovende middelen op de darknet markets Dream Market en Nightmare Market onder de vendor namen DrugsTradeCenter en Mr.Ted, zo lees ik in het vonnis. Ik vermoed dat men deze persoon op het spoor kwam door een actie in 2020 van internationale opsporingsdiensten, waaronder Europol, tegen onder meer deze twee darknetmarkten. (Darknet is een lekenterm voor semi-anoniem communiceren en dan drugs per post sturen.)

Bij de verdachte werd een laptop aangetroffen met daarop de nodige administratie van de drugsverkoop, waaruit de rechter concludeert dat hij niet zomaar een naïeve loopjongen was. Ook hielp niet mee dat hij niet wilde aangeven wie dan de ‘achterman’ was en hoe hij dan wel aan zijn geld kwam. En dan heb je bij een ontnemingszaak echt een probleem gezien de omgekeerde bewijslast die dan geldt.

Ten slotte zijn ook twee tapgesprekken die de veroordeelde na zijn aanhouding vanuit de PI met zijn moeder heeft gevoerd veelzeggend. Daarin zegt de veroordeelde tegen zijn moeder dat hij over geld in bitcoins beschikt, maar dat hij daar niet bij kan komen omdat de politie zijn telefoon in beslag heeft genomen. De verklaring van de veroordeelde ter terechtzitting dat hij dit enkel heeft gezegd om stoer te doen is geenszins aannemelijk, omdat niet valt in te zien waarom hij tegenover zijn moeder uit stoerdoenerij zou liegen. Die strekking had dit gesprek in het geheel niet, zo valt uit de context op te maken.

Gezien het vorenstaande kan buiten redelijke twijfel worden vastgesteld dat de veroordeelde zelf van de drugshandel heeft geprofiteerd. En inderdaad is het wel een interessante dat je na zo’n inbeslagname (die is ter bevriezing voor het onderzoek) niet meer bij je geld, je bitcoins immers, zou kunnen. Ik zie daar niet direct een bezwaarmogelijkheid tegen, als de enige sleutel voor je geheime kluis aan een in beslag genomen sleutelring zit dan heb je ook even pech vermoed ik.

Arnoud

Wanneer is een mail aangekomen als deze in een spamfilter blijft hangen?

Een lezer vroeg me:

Naar aanleiding van een discussie die ik had met andere IT’ers over de macht van MS en Google in de wereld van e-mail en hun interne reputatie systeem vroeg ik me af of een mail juridisch gezien is ‘aangekomen’ als mailprovider Microsoft of Google besluit deze als spam aan te merken en weg te gooien?
Hoofdregel bij communicatie is dat de afzender moet bewijzen dat de ontvanger deze heeft ontvangen. Daarbij maakt het niet uit of je met aangetekende post, e-mail of een WhatsApp-bericht communiceert. Het bewijs mag op iedere manier worden geleverd: een screenshot van twee blauwe vinkjes in de WhatsApp client is prima bewijs, een handtekeningbriefje aangeleverd door PostNL ook.

Bij e-mail is er eigenlijk geen goed mechanisme. Het beste werkt nog altijd de reply door de ontvanger zelf. Ook als deze in de reply zegt “hier klopt niets van” of “ik weiger uw e-mail en wens alleen post te ontvangen” (die kreeg mijn incassobureau eens). Waar het om gaat, is of de mail is aangekomen. En dat is ‘ie, als je daarop reageert.

Er zijn trucjes met cookies of transparante pixels waarmee je ontvangstbevestigingen kunt proberen te construeren. Als een bepaalde pixel wordt ingeladen die enkel en alleen in die e-mail was ingevoegd, dan zal die e-mail wel geopend zijn door de ontvanger, is dan het idee. Nog nooit getest, maar het zou kunnen. Maar veel mailprogramma’s blokkeren zulke trucs, en dan sta je nog nergens. Wie écht zekerheid wil, stopt berichten in een portaal en logt wanneer de ontvanger daarop inlogt om het bericht aan te klikken.

Maar goed, de spamfilter. Als jij een spamfilter instelt (bv. alles met “Advertisement” in de subject weggooien) dan is dat jouw risico natuurlijk. Hanteert de provider van de afzender een spamfilter, dan is dat zijn risico. Die twee zijn makkelijk.

Wanneer je een e-maildienst bij een derde afneemt, zoals Microsoft of Google, en deze besluit mail weg te gooien zonder jou in te lichten of zelfs maar in een mapje Spam te zetten, dan ben ik geneigd gewoon te concluderen dat de mail bij de ontvanger is aangekomen. Dat hij een spamdienst afneemt die zo agressief opereert, dat is zijn risico. (Microsoft als postbodebijtende hond?)

Het lastige blijft natuurlijk te bewijzen dát de mail in dat spamfilter is aangekomen. Maildiensten melden dat zelden tot nooit terug, vanwege de overlast die dat geeft. Praktisch gezien heb je er dus weinig aan, behalve in het geval dat iemand zegt “ah ja ik zie je mail nu, hij zat al drie weken in de spam”.

Arnoud

Ga er maar aanstaan als deskundige: moet die broncode opnieuw geschreven?

Deskundige vereist voor beoordeling gebrekkige broncode, meldde ITenRecht onlangs. In een automatiseringsgeschil tussen softwareontwikkelaar Capgemini en haar klant Equihold (die de software wilde inzetten bij onder meer FC Barcelona) ontstond discussie over de kwaliteit van de tot dan toe gemaakte broncode. Een mooi voorbeeld van hoe de rechtspraak omgaat met inhoudelijk diepgaande issues. Ik las laatst weer dat rechters moeten leren programmeren omdat ze anders dit soort zaken niet kunnen doen. Onzin, wat mij betreft. Daar heb je deskundigen voor. Maar bij deze zaak denk ik dan wel, blij dat ik die deskundige niet ben.

In 2002 ontwikkelde Equihold een sportapplicatie met de naam 1-2 Focus. Deze applicatie was geschreven in de programmeeromgeving en programmeertaal VB6. In 2004 besloot men deze om te werken naar Microsoft .NET, waarna men in 2005 een raamovereenkomst sloot met Capgemini om het werk te laten doen. Ik zal u de verdere tijdlijn besparen, maar in 2010 eindigde het feest met een brief aan Capgemini met als titel “1-2Focus; developed by Capgemini A Showcase of Bad Practices”.

Wat was er nu precies aan de hand met die broncode? Helaas is dat in het arrest niet in detail te achterhalen. We moeten het doen met uitspraken als

Volgens [B] , een voormalig werknemer van Equihold, heeft de broncode niet de gewenste laagstructuur, bestaat deze uit onnodig veel regels en is deze onsamenhangend. Zijn conclusie is dat de broncode van zo bedroevende kwaliteit is dat het volledig herschrijven daarvan onvermijdelijk is. SQMI is volgens [appellant] een gerenommeerde en onafhankelijke partij die een onderzoeksmethode gebruikt die is ontwikkeld door het Institute for Software Quality (IfSQ). Het rapport SQMI concludeert dat de broncode een hoog aantal ‘defect indicators’ heeft, dat de onderhoudskosten van de software onnodig hoog zijn en dat de software ongeschikt is als platform voor verdere ontwikkeling. Graham Bolton, oprichter van IfSQ en directeur van SQMI, (verder Bolton) voegt daar in een schriftelijke verklaring aan toe dat het verbeteren van de geconstateerde gebreken meerdere jaren in beslag zou nemen, en zelfs meer tijd zou kosten dan het geheel opnieuw schrijven van de applicatie.

Capgemini kon daar echter een ander rapport tegenover stellen dat juist aantoont dat de onderhoudbaarheid marktconform is.

Dan krijg je dus de situatie dat partijen elkaar tegenspreken, en dat je als rechter dan moet vaststellen wat er nu waar is. In een geval als dit is dat erg lastig, allereerst natuurlijk omdat broncode op kwaliteit toetsen sowieso ingewikkeld is (de een z’n ***var is de ander z’n nachtmerrie) maar ten tweede omdat dit om zo’n grote codebase gaat dat er een hele partij werk in gaat zitten. Oh ja, en omdat er natuurlijk niet echt objectieve standaarden zijn om codekwaliteit vast te stellen.

Een belangrijke factor in het geschil was de onderhoudbaarheid: kun je op lange termijn hiermee door, ook (denk ik) met een andere onderhoudspartij dan Capgemini zelf. Bij grote applicaties is langdurig gebruik te verwachten, dan heb je andere verwachtingen qua onderhoud en aanpasbaarheid voor de toekomst dan bij een snelle app voor een event begin volgend jaar.

Dus, ik gooi hem eens in de groep, voor al die IT-ers die denken dat rechters meer verstand van software nodig hebben: hoe zouden jullie bij deze berg aan code objectief vaststellen of de kwaliteit voldoet aan de contractuele eis van ‘high quality software’?

Arnoud

Dus je kunt worden ontslagen door appjes die je baas stiekem meeleest op de desktop Whatsapp

?Een Amsterdams hotel heeft een assistent-manager op staande voet ontslagen, omdat zij loog dat ze ziek was. Dat meldde het AD vorige week. Het kwam uit omdat de werkgever zonder haar medeweten kon meelezen met haar whatsapp-berichten. Daaruit bleek glashard dat ze haar ziekte simuleerde – en sterker nog, dat ze ging solliciteren bij een ander bedrijf tijdens haar “ziek zijn”. Dat haal ik dan uit het vonnis. Wie nu denkt aan “onrechtmatig verkregen bewijs” moet minder rechtbankseries kijken.

Het meelezen was technisch vrij triviaal, lees ik: een collega kon namelijk haar werklaptop (waar WhatsApp Desktop op stond) ontgrendelen en de berichten lezen. Het wachtwoord was 1-2-3-4, wordt er dan fijntjes bijgezet. Ik denk dan, waarom kijkt hij in WhatsApp maar dat bleek niet te vermijden zo haal ik uit de brief die het bedrijf stuurde:

Tijdens het werken op de bedrijfslaptop en na het openen van Google Chrome popt automatisch uw Whatsapp op (er is dus geen sprake van hacken van uw account oid).

Toegang tot de laptop was nodig om het werk voort te zetten, en als WhatsApp dan automatisch opent in het gezicht van de collega dan is er weinig tegenin te brengen. Was de collega gaan snuffelen in haar WhatsApp applicatie, dan werd het misschien een ander verhaal.

Het gesprek laat aan duidelijkheid niets te wensen over: de werknemer had haar ziekte gesimuleerd en met opzet zodat ze lekker thuis kon blijven, en ook nog eens op gesprek bij een ander bedrijf. Dat maakte de werkgever zó boos dat deze overging tot ontslag op staande voet, wat wel een heel heftig middel is. (Ontslag wegens verstoorde arbeidsverhoudingen had ik logischer gevonden.)

De rechtbank ziet genoeg grond voor staande voet, namelijk bedrog. Actief je werkgever keihard voorliegen, dat is wel een héél ernstig misbruik van vertrouwen. Dan kun je inderdaad direct vertrekken en heb je ook geen recht op een uitkering.

Maar waren die bewijsmiddelen niet onrechtmatig verkregen? Tsja, het is natuurlijk zeer privé zo’n gesprek, en het is zeer niet de bedoeling dat de werkgever dat las. Dat is dan in zoverre een privacyschending. Echter,

Het staat buiten kijf dat de werkgever heeft kennis genomen van buitengewoon privacygevoelige informatie waarvan werknemer niet heeft gewild dat werkgever deze zou zien. Werknemer heeft echter zelf hieraan een bijdrage geleverd door de WhatsApp applicatie op de (werk-) laptop te installeren. Volgens de werkgever is het account van werknemer niet “gehackt” om bij de informatie te komen. Via een simpel wachtwoord (1,2,3,4) was de werklaptop te gebruiken en dat wachtwoord heeft de betrokken werknemer die met de laptop aan het werk wilde kennelijk gebruikt.

Daarbij komt natuurlijk dat het in Nederland al sinds jaar en dag gewoon toegestaan is om onrechtmatig verkregen bewijs te gebruiken in een rechtszaal. De waarheid is belangrijker – en de onrechtmatigheid van het verkrijgen kan gewoon apart bestraft worden. Even cru gezegd: had deze werkgever een illegale tap gemaakt van een telefoongesprek met de werknemer haar moeder, dan had die werkgever een strafrechtelijke boete gekregen maar had de opname nog steeds als bewijs kunnen dienen. Ik vind dat logischer dan ineens die opname niet meer willen beluisteren.

Arnoud

Sinds wanneer zijn Youtube-video’s bewijs van feiten van algemene bekendheid?

Wanneer mag de rechter internetbronnen gebruiken als bewijs, en maakt het daarbij uit of ze zoeken naar feiten van algemene bekendheid? Die vraag speelt al enige tijd, en in twee recente rechtszaken kwam de vraag weer langs. Daarom even de gelegenheid om een en ander weer op te frissen. Want als de raadsheren van de Hoge Raad nu ook al gaan kijken wat “you tube” zoal in de aanbieding heeft en wat dat strafrechtelijk zegt, dan moet ik daar ook wat van vinden volgens mij.

De directe aanleiding was deze strafzaak waarin de Hoge Raad ingaat op de overweging van het Gerechtshof dat “een contactslot van een scooter/bromfiets met bouten is vastgemaakt en eerst kan worden verwijderd en/of vervangen door de plastic kap van het voertuig los te schroeven” kan worden aangemerkt als een feit van algemene bekendheid. Dit was relevant omdat het opzettelijk verwijderen van een slot bijdraagt aan het bewijs dat de scooter gestolen is. Het Gerechtshof had eerder op Youtube gekeken (en noemt dat “you tube” in het arrest).

In een strafzaak moet wettig en overtuigend bewezen zijn dat je het gedaan hebt – in dit geval heling van die scooter. Sommige feiten zijn zo duidelijk dat ze geen bewijs nodig hebben. Dat noemen we feiten of omstandigheden van algemene bekendheid (art. 339 lid 2 Strafvordering). Kort gezegd gaat het om gegevens die ieder van de rechtstreeks bij het geding betrokkenen geacht moet worden te kennen of die zonder noemenswaardige moeite uit algemeen toegankelijke bronnen te achterhalen zijn. De achterliggende gedachte is dat processen eindeloos zouden worden als je ieder detail, hoe vanzelfsprekend ook, in de volste zin van het woord zou moeten bewijzen met een bron. (Waarom doet dat me nou aan trollende forumdiscussianten denken.)

Specifiek voor internetbronnen geldt (aldus eerder de HR) dat een gegeven dat aan een internetbron is ontleend “van algemene bekendheid” is wanneer dat gegeven geen specialistische kennis veronderstelt en de juistheid daarvan redelijkerwijs niet voor betwisting vatbaar is. In die zaak had het Gerechtshof geoordeeld dat Aloë capensis niet hetzelfde is al Aloë vera en dus niet mag worden ingevoerd. Het Gerechtshof had dit gebaseerd op gegevens die het had ontleend aan “bronnen op het internet die uit dien hoofde als algemeen bekend worden verondersteld althans in elk geval in de onderhavige procedure”.

In deze zaak bijvoorbeeld had het Hof via Google Maps de plaatselijke gesteldheid op of aan de openbare weg rondom een voor de zaak relevante plaats vastgesteld. Dit was een feit van algemene bekendheid (in casu: dat de woning van de getuige recht tegenover een schuifhek was gelegen waar een verdachte overheen geklommen was). Voor deze constatering was dus geen nader bewijs nodig. Logisch ook, de situatie op de weg is wat deze is, daar is verder geen discussie over mogelijk.

Echter, de enkele omstandigheid dat een bepaald gegeven aan openbare bronnen op het internet kan worden ontleend, brengt op zichzelf nog niet mee dat zo een gegeven daarom een feit of omstandigheid van algemene bekendheid is in de hier bedoelde zin. Gezien deze uitspraak is het logisch dat het Hof in de helingzaak de fout in was gegaan. Dat een Youtubevideo laat zien dat een contactslot van een bromfiets goed vastzit, is op zich een feit. Het voelt logisch om te concluderen dat het slot er dan niet zomaar af zal breken bij een val, maar dat is bij lange na nog niet hetzelfde als dat het een feit van algemene bekendheid is.

Wat moet je nou doen als rechter als je met een “feit van algemene bekendheid zit”? In principe niets: geen rechtsregel dwingt de rechter ertoe een algemeen bekend gegeven bij het onderzoek op de terechtzitting ter sprake te brengen. Maar als er ook maar enige twijfel is, dan moet de rechter dat gegeven aan de orde te stellen bij de behandeling van de zaak op de terechtzitting. Zo kunnen de partijen daarop reageren, bijvoorbeeld met tegenbewijs waarom het niét algemeen bekend is.

Dit volgt uit de ACAB-zaak uit 2011. In die zaak oordeelde het Hof dat de betekenis van de afkorting A.C.A.B. als “All Cops Are Bastards” als een feit van algemene bekendheid heeft te gelden. Dit had het Hof vastgesteld met een zoekopdracht in Google, maar niet vooraf met partijen besproken. Omdat de zaak speelde in 2007 en het Hof in 2009 had gegoogeld, ontstond daarbij ook nog eens de complicatie dat het aantal treffers niet doorslaggevend kon zijn: wat was immers de situatie ten tijde van het feit? Nieuws over deze zaak werd zo wijdverbreid opgepakt dat in een latere zaak over die afkorting de HR oordeelde dat ondertussen de betekenis van deze term wél algemeen bekend was.

Wanneer een rechtbank zelf uitgaat van bronnen van derden, en het betreft géén feiten van algemene bekendheid, dan schendt zij het beginsel van hoor en wederhoor wanneer zij dit pas in het vonnis voor het eerst meldt. In deze zaak ontbrak het Hof het aan feiten over een softwarepakket, waarop zij zelf ging zoeken (“De bewindvoerder heeft geen informatie overgelegd over de werking van het Smart FMS systeem, maar het internet (www.smartfms.nl) biedt wel enige informatie.”). Aldus had de bewindvoerder geen enkele kans gehad te protesteren tegen deze conclusie of te proberen te bewijzen dat dit wél een nuttig systeem voor zijn cliënt was.

In de praktijk lijkt mij het verstandigste om bij op internet gevonden informatie standaard deze aan partijen voor te leggen, tenzij het gaat om echt zuiver feitelijke informatie waarover geen discussie kan zijn. Dat is natuurlijk lastig als je pas ná de zitting ontdekt dat je een stukje feitelijkheid mist, maar ik zie geen andere oplossing.

Arnoud