Tag: Bewijs

About Bewijs

Subscribe Feeds

Ja, de politie mag illegale camerabeelden gewoon gebruiken als bewijs

Geplaatst op in Regulering, 58 reacties

De politie kan nu een beroep doen op bijna 200.000 vrijwillig aangemelde privécamera’s. Politievakbonden willen een verplicht register, zoals in België. Dat meldde het AD vorige week. Het register stelt de politie in staat om snel camerabeelden te verkrijgen van strafbare feiten en andere misstanden. Een punt van aandacht daarbij is dat het dan vaak gaat om beelden van de openbare weg, en vaak filmt zo’n camera illegaal die openbare weg. Van Amerikaanse televisieseries hebben we geleerd dat die beelden dan onbruikbaar zijn. In Nederland is echter niets minder waar.

Vorig jaar schreef ik over de politiedatabank, Camera in beeld geheten. Dit politiesysteem geeft alle (particuliere en overheids-)camera’s op een kaart weer. Het gaat in dat register dus alleen om contactgegevens van de eigenaar en gegevens over de locatie van de camera en wat er wordt gefilmd. Er komen geen beelden in de databank en er is ook geen login op afstand op die camera’s.

Op dit moment is aanmelding in die databank vrijwillig. Het lijkt redelijk populair om eraan mee te doen, maar nog lang niet iedereen heeft ervan gehoord – of heeft zin in het administratieve gedoe. Want het is toch weer een formulier dat je in moet vullen, zonder duidelijk voordeel voor jezelf.

Mogelijk dat ook meespeelt dat de camera’s er in strijd met de wet hangen. Vaak filmen camera’s immers ook een stuk openbare weg, of ontbreken de verplichte waarschuwingsborden. Dat is een probleem, want in principe hoort cameratoezicht tot eigen erf beperkt te zijn. Ik zeg in principe, omdat er situaties zijn waarin het wel kan – omdat je een gerechtvaardigd belang hebt dat de privacy van onschuldige passanten overstijgt, even kort door de bocht in AVG taal.

Voor de politie maakt dat echter niet uit. Zij mogen nog steeds die beelden opvorderen als er bewijs op staat van een strafbaar feit. Dat de beelden illegaal zijn gemaakt, maakt voor de bruikbaarheid als bewijs niet uit. Onrechtmatig verkregen bewijs is alleen een zorg wanneer het de politie is die het bewijs verkrijgt. Hun handelwijze moet conform de wet zijn, en anders kan het bewijs uitgesloten worden. De politie mag dus niet stiekem ergens een camera ophangen en die beelden als bewijs gebruiken. Die beelden zijn onbruikbaar. Maar een particulier die hetzelfde doet, heeft bruikbare beelden voor het bewijs. Geheel los daarvan kan hij beboet worden door de politie omdat hij een camera heeft hangen die in strijd met de wet filmt.

Arnoud

Rechter staat ontsleutelde berichten van pgp-smartphones toe als bewijs

Geplaatst op in Regulering, 14 reacties

De rechtbank in Amsterdam heeft een crimineel veroordeeld mede op basis van informatie die werd verkregen door het ontsleutelen van een grote hoeveelheid berichten die via pgp-telefoons werden verstuurd. Dat meldde Tweakers vorige week. Uit het ontsleutelde berichtenverkeer blijkt hoe de verdachte een sturende rol had bij een liquidatiepoging en hoe de schutters aan hem verantwoording moesten afleggen toen die poging mislukte. Het is voor zover ik weet de eerste keer dat ontsleuteld PGP-verkeer als bewijs is gebruikt in een strafzaak.

De uitspraak is een uitvloeisel uit de Ennetcom-zaak uit 2016. Ennetcom is een Nederlands bedrijf dat met PGP (Pretty Good Privacy) beveiligde BlackBerry-telefoons aanbood. Hiermee kunnen gebruikers in principe onkraakbare e-mails en dergelijke berichten sturen. Deze systemen gebruiken servers in Canada. Na een inval bij het bedrijf kreeg men de Canadese rechter zo ver beslag op die servers en bijbehorende data te leggen, om zo deze inhoud te kunnen gebruiken voor forensisch onderzoek in strafzaken waarbij verdachten deze telefoons gebruikten.

Dat was bijzonder prettig voor Justitie, want die servers bevatten cruciale informatie over sleutelmanagement waarmee het ineens heel eenvoudig werd om het theoretisch haast onkraakbare PGP te verwijderen van berichten. Kort gezegd, die informatie helpt het aantal mogelijke sleutels te reduceren tot enkele honderdduizenden per bericht, iets dat een beetje computer in de lunchpauze kan nalopen. De inhoud van die berichten is dan ineens beschikbaar in een strafzaak.

De Canadese rechter wees dat toe, maar beperkte de toegang tot specifieke berichten voor specifieke strafzaken om te voorkomen dat de Nederlandse autoriteiten een ‘fishing expedition’ zouden gaan uitvoeren in deze grote hoeveelheid data. Per verzoek zou een Nederlandse rechter een bevel moeten afgeven. Dat was nog even ingewikkeld, want het Nederlands recht kent het concept van een court order eigenlijk helemaal niet. Bij ons toetst de rechter-commissaris bevelen van de officier van justitie, dat is een andere manier van werken. Uiteindelijk kwam men uit bij de mogelijkheid van een bevel onder het Wetboek van Strafvordering tot toegang tot opgeslagen data bij een provider (artikel 126ng), dat door de rechter-commissaris moet worden goedgekeurd. Dit bleek genoeg voor de Canadese rechter.

In deze zaak werden ook een aantal PGP berichten gevonden in het opsporingstraject, die met de Canadese informatie konden worden ontsleuteld. Dat bleek een cruciale stap: de berichten lieten zien welke belangrijke rol de verdachte had in de onderzochte liquidatiepoging.

Het bezwaar van de verdediging betrof de manier waarop deze berichten te pakken waren gekregen. Dat artikel 126ng zou de verkeerde grondslag zijn geweest, er is op de verkeerde manier gewerkt en er zou te weinig toezicht zijn geweest vanuit de rechter-commissaris. En nog veel meer, zo veel dat de rechtbank korzelig opmerkt “dat het niet eenvoudig is geweest tot een begrijpelijke samenvatting van de verschillende onderdelen van het door [de advocaat] gevoerde verweer te komen.” Ik ga dat zelf dan ook niet doen, vooral omdat de rechtbank héél snel klaar is met de analyse:

De gekozen constructie biedt voldoende waarborgen om voor zoveel mogelijk tegemoet te komen aan de privacy-belangen van de overige Ennetcom-gebruikers. Naar het oordeel van de rechtbank is dan ook sprake van een rechtmatige constructie om te beoordelen of binnen het onderzoek Tandem toegang verleend kan worden tot de Ennetcom?data.

Dat is voor de juridische theorie een tikje jammer, want nu weet je niet waar de grenzen liggen. Maar ik kan zo snel geen inhoudelijk tegenargument bedenken. Die data is legaal in Canada door de politie aldaar in beslag genomen, en wordt onder toeziend oog van twéé gerechtelijke instanties vrijgegeven conform specifieke regels waardoor er niet kan worden gegrasduind. Ook hier wordt er met een specifiek protocol op verder gewerkt.

Een terecht punt van de verdediging was wel dat er tussen de verkregen berichten communicatie van en naar de advocaat aanwezig was. Dat mag natuurlijk niet, dergelijke communicatie is beschermd en mag niet onder ogen van de politie komen.

Probleem was wel dat in deze brondata die communicatie niet evident als zodanig te herkennen is. Er waren geen zakelijke mailadressen van de advocaat gebruikt of andere identifiers waarmee je dit vooraf weg kon filteren. Er was wel een communicatiepartij die als “adv” bekend stond, maar moet je daaruit concluderen dat je te maken hebt met een Nederlandse advocaat wiens communicatie vertrouwelijk moet blijven? De rechtbank vindt dat te ver gaan.

Ook als aangenomen wordt dat deze ‘adv’ een advocaat is, betekent dat niet dat deze berichten niet in het dossier mochten worden gevoegd. Onder omstandigheden, bijvoorbeeld als moedwillig slordig met de inhoud van de berichten wordt omgesprongen door deze zonder restricties uit handen te geven, bestaat daartegen geen bezwaar. Met betrekking tot de berichten van ‘adv’ die in het dossier zitten, geldt dat die tussen twee onbekende PGP-gebruikers zijn doorgezonden, zonder dat daarbij een beperking is aangebracht. Ten aanzien van deze berichten is geen sprake van een vormverzuim.

Na het beslag op de Canadese server en data heeft de politie een bericht uitgestuurd waarin staat dat verschoningsgerechtigden (zoals advocaten) zich konden melden, waarna hun berichten als geheim zouden worden gemarkeerd. Klinkt netjes, nietwaar? Maar geen advocaat die reageerde – terecht, want dan onthul je immers dat je via dat netwerk communicatie met je cliënt had en dat suggereert dat die cliënt misschien maar eens onderzocht moest worden.

Dit alles levert echter geen onherstelbaar vormverzuim op. Ik zou zelf ook niet weten wat je méér had moeten doen als OM om uit te sluiten dat er advocaatcommunicatie in zo’n bestand zit. De berichten werden nu echter eruit gehaald door een niet bij de zaak betrokken officier.

Wél een vormverzuim deed zich voor bij een aantal notities (ik denk conceptberichten) die begonnen met “Geachte Mr Inez Weski” maar nooit waren verzonden naar deze advocaat. Hoewel je strikt gesproken dan niet spreekt van communicatie met een advocaat, valt ook zo’n concept onder de geheimhouding voor advocaten. Dit bericht was evident voor een advocaat bedoeld en had dus verwijderd moeten zijn. Dat vormverzuim is ernstig: die berichten hadden nooit in het dossier moeten zitten, en moeten dus verwijderd worden. Bewijs dat daaruit afgeleid is, wordt daarmee uitgesloten.

Arnoud

Mag je stiekem de algemene ledenvergadering filmen?

Geplaatst op in Privacy, 10 reacties

Een lezer vroeg me:

Bij de afgelopen algemene ledenvergadering van onze vereniging bleek iemand stiekem beeld- en geluidsopnamen te hebben gemaakt. Toen hij daarop aangesproken werd, verdedigde hij zich met het argument dat hij bewijs wilde verzamelen van wat er werd gezegd, omdat hij de notulen niet vertrouwde. Staat hij in zijn recht?

In principe heb je inderdaad het recht om zelfstandig bewijs te vergaren van wat er op een vergadering wordt gezegd. De klassieke manier was je eigen aantekeningen van het gesprek te maken, maar daarmee sta je natuurlijk niet heel sterk als de officiële notulen iets anders zeggen. Geluidsopnamen zijn sterker, en helemaal als je er beeld bij hebt.

Het opnemen van beeld en geluid in een vergadering is juridisch echter problematisch. Een ALV is meestal een besloten gebeurtenis, en de wet is vrij streng in stiekem maken van opnames in zo’n situatie. Het stiekem maken van afbeeldingen van mensen is bijvoorbeeld strafbaar (art. 139f Strafrecht), net als het stiekem afluisteren van gesprekken (art. 139a Strafrecht), hoewel bij dat laatste je niet strafbaar bent als deelnemer. Kort en goed: de camera moet worden gemeld maar de microfoon mag stiekem aan.

Wel zal zo’n opname vallen onder de Wet bescherming persoonsgegevens, en straks de Algemene Verordening Gegevensbescherming. Beeld en geluid maken waarop mensen herkenbaar te zien/horen zijn, vormt een verwerking van persoonsgegevens. En omdat die meer is dan een zuiver huishoudelijke vastlegging, moet je je daarbij gewoon aan de regels uit de wet houden. (Ja, ook als je zegt dat dit een journalistieke verwerking is.)

Toestemming is niet perse nodig, maar als je zonder toestemming deze opnames maakt dan moet je wel een duidelijke rechtvaardiging hebben én doen wat je kunt om de privacyimpact bij andere mensen te minimaliseren. Publiceren van die beelden zal dus in principe niet kunnen, maar stukjes als bewijs overleggen bij een geschil kan denk ik wel. Daarnaast moet je de beelden natuurlijk veilig opslaan tegen datalekken, en moet je mensen informeren over wat je doet met de beelden.

Alles bij elkaar denk ik dat het nog knap lastig wordt om dit goed te doen als individueel lid. Misschien is het dan ook beter om de ALV te verzoeken standaard geluidsopnames te maken die de secretaris goed bewaart, zodat bij geschillen dingen teruggeluisterd kunnen worden?

Arnoud

Terugblik: Mag een stiekem gemaakte geluidsopname gebruikt worden als bewijs?

Geplaatst op in Regulering, 9 reacties

Vanwege mijn vakantie deze week geen nieuwe blogs. In plaats daarvan een terugblik op de afgelopen tien jaar: ik heb vijf populaire blogs geselecteerd en kijk er anno 2017 graag nog eens naar met jullie.

Vandaag: Mag een stiekem gemaakte geluidsopname gebruikt worden als bewijs?, met bijna 100 reacties en 85.000 views (robots niet meegeteld) een zeer populair onderwerp kennelijk.

Regelmatig krijg ik in diverse varianten de vraag of een stiekem gemaakte geluidsopname van een gesprek gebruikt mag worden als bewijs. Dit meestal naar aanleiding van mijn artikel Opnemen van gesprekken, waarin dat met zoveel woorden staat:

Een telefoongesprek opnemen dat je zelf voert, mag je dus opnemen – ook wanneer je dat niet meldt aan de tegenpartij. Alleen het heimelijk opnemen van zo’n gesprek zonder deelnemer te zijn is dus strafbaar (tenzij je toestemming hebt van één van de deelnemers).

Gebruik als bewijs is eigenlijk altijd toegestaan. In het gewone (civiele) recht gelden namelijk geen specifieke eisen voor hoe het bewijs verkregen mag zijn. De rechter mag zelf alles beoordelen op de merites. Hij hoeft bewijs niet uit te sluiten omdat het een stiekeme opname is. Wel zou hij het bewijs anders kunnen waarderen: een informeel gesprekje op de vrijmibo zal minder bewijskracht hebben over de intenties van een bedrijf dan een formele verklaring van de directie bij een persconferentie. Maar dat gaat dan over de inhoud, niet over de vorm.

Toch hoor ik nog regelmatig dat mensen zeggen, dit is onrechtmatig verkregen bewijs en dus onbruikbaar. Dat klopt dus niet, naar Nederlands recht. Te veel Amerikaanse rechtbankseries gekeken. En nee, ook niet als een agent het zegt: ook in strafzaken mogen stiekeme opnames worden gebruikt als bewijs. Alleen opnames gemaakt door de politie zijn onrechtmatig verkregen bewijs als er geen taplast of andere toestemming conform het Wetboek van Strafvordering is gegeven.

Er is wel een grens: als er sprake is van inbreuk op iemands privacy en die inbreuk “rechtens ontoelaatbaar” is. Dat is een vrij hoge lat, waar je bij zakelijke gesprekken niet snel aan zult zitten. Héél misschien bij een rechtszaak over een echtscheiding, maar zelfs daar geen garanties. Ik heb in ieder geval nog steeds geen vonnis gevonden waarin een illegale gespreksopname als bewijs terzijde werd geschoven vanwege deze grond. (Vanwege kwaliteitsproblemen, authenticiteitsproblemen of gewoon te weinig concreets, ja dat wel.)

Voor bedrijven die gesprekken opnemen, geldt natuurlijk wel de privacywet (Wbp en straks AVG). Zij moeten mensen melden dat ze gesprekken opnemen en waarom, moeten op verzoek een kopie van de opname verstrekken en moeten opnames goed beveiligen. Maar ook wanneer die wet wordt geschonden, mag de opname als bewijs worden gebruikt. Dat er dan een boete voor het schenden van de privacywet volgt, staat daar helemaal los van.

Arnoud

Hoe je vooral niet bewijst dat iemand wat kocht in je webwinkel

Geplaatst op in Ondernemingsvrijheid, 13 reacties

Voorbeeld van een incassozaak van een onderneming die een gecedeerde vordering op basis van een te gebrekkig aanvangsdossier dan wel te gebrekkige vertaling daarvan in de eigen processtukken laat sneuvelen. Een ambtelijke samenvatting van een recent vonnis dat in heerlijke taal een incassopartij werkelijk tot op de enkels affakkelt. Maar met tussen de regels door wel een schrikbarende constatering: hoe bewijs je dan wél dat iemand wat kocht bij je webwinkel?

De zaak is juridisch relatief simpel. Een webwinkel had een bestelling ontvangen en wilde daarvoor graag betaald worden. De persoon wiens naam en adres in de bestelling stonden, reageerde echter niet, dus verkocht men de vordering aan een incassobureau dat vervolgens naar de rechter stapte. Maar dat ging allemaal wel érg snel: het dossier rammelde zodanig dat de rechter eigenlijk meteen al de zaak aan de kant schuift. (Rechter Staal uit Maastricht, zie deze blog voor eerdere uitspraken van deze held.)

Een paar pareltjes:

Genoemd is een als zodanig niet in het geding gebrachte factuur die de dagtekening ’01-08-2016’ zou hebben en een gefactureerd bedrag van € 59,95 zou bevatten. Om welke zaak / zaken het hierbij zou gaan, laat [eiser] na te vermelden. Ook valt in het exploot niet te ontwaren hoe / wanneer en op welk adres de ‘verkoper’ veronderstelt aan haar leveringsverplichting voldaan te hebben.

Vertaling: waar wordt nu precies geld voor gevraagd?

[Eiser] beroept zich op de gekozen manier van klantwerving via een website als verklaring voor het gegeven dat van de ‘elektronische overeenkomst’ geen ‘door partijen ondertekend document’ bestaat. Toch voegt eiser in haar repliek aan eerdere beweringen toe dat op die overeenkomst een bepaalde set via een klik te activeren algemene voorwaarden van toepassing verklaard is. Daarnaar heeft eiser zonder verdere detaillering of concrete aanduiding van het belang van een enkel onderdeel verwezen (prod.1).

Vertaling: er is via internet besteld, daar is verder geen bewijs van maar we hebben wel algemene voorwaarden dus moet er worden betaald.

Een ontoereikend zaakdossier, althans voor zover [eiser] dit overgenomen dossier in een gebrekkig onderbouwde vordering vertaalt, is ter beoordeling aan de kantonrechter voorgelegd. Nadat mogelijk in een eerdere fase [gedaagde] er buiten rechte al mee overvallen is. Dat laatste is allerminst zeker, getuige het feit dat [eiser] in haar exploot beweert niet op de hoogte te zijn van enig verweer van [gedaagde] . De fanatieke bestrijding van de vordering door [gedaagde] in de gerechtelijke procedure maakt het tamelijk onwaarschijnlijk dat zij eerder dan 9 januari 2017 (datum dagvaarding) kennis gekregen heeft van een tegen haar gerichte vordering.

Vertaling: en hoezo heeft u niet even nagevraagd hoe het zat?

Tussen de regels door lezend vermoed ik dat de webwinkel tegen een nepbestelling op valse naam is aangelopen. De persoon wiens naam genoemd was, werd daarbij niet geloofd (of gewoon geheel genegeerd onder het motto “smoesjes, je moet gewoon betalen”). En voor het incassobureau is dit ook gewoon productiedraaien: drie standaardbrieven en dan naar de rechter, komt wel goed want ze verweren zich toch nooit. En dan heb je dus de pech een rechter te treffen die hier zich al járen over opwindt.

Juridisch wordt het nu wel interessant: er is via internet besteld, en alle correspondentie (zoals de bestelbevestiging) ging per mail. En nu we bij de rechter staan, moet worden bewezen dat deze mevrouw de persoon was die de bestelling deed. Maar hoe doe je dat? Je kunt moeilijk laten zien hoe je website nu werkt als de bestelling uit 2016 was. Los daarvan, hoe bewijs je dan dat díe persoon de bestelling heeft gedaan?

Arnoud

Rechter staat gekraakte PGP-berichten van telefoon toe als bewijs

Geplaatst op in Regulering, 15 reacties

Het Openbaar Ministerie (OM) mag de inhoud van versleutelde berichten uit speciale telefoons gebruiken als bewijs in strafzaken, las ik bij Nu.nl. De Blackberry van een verdachte in een grote drugszaak had PGP gebruikt om zijn berichten te versleutelen, en het OM wist die te kraken.

Het verweer in deze zaak sluit aan bij de recente discussie over het mogen doorzoeken van telefoons. De rechtbank hier volgt de Hoge Raad, die uiteindelijk soort van vond dat het wettelijk voldoende is geregeld met de algemene bevoegdheid om dingen te mogen doorzoeken, in combinatie met gepaste terughoudendheid die men bij de politie en het OM mag verwachten. Namelijk:

Het uitlezen van de telefoon heeft in dit geval plaatsgevonden in het kader van een onderzoek naar een buitengewoon ernstig feit, namelijk de grootschalige handel in en de productie van synthetische drugs en daarnaast wordt een telefoon zoals hier aan de orde enkel gebruikt om versleutelde berichten te verzenden en bevat het in die zin nagenoeg verder geen privacygevoelige informatie vergeleken met bijvoorbeeld reguliere smartphones. Verdachte heeft zich bovendien op zijn zwijgrecht beroepen, wat de mogelijkheden beperkte om op andere wijze zicht te krijgen op de betrokkenen bij het feit en op ieders rol.

In maart maakte de politie bekend 3,6 miljoen met PGP versleutelde berichten te kunnen lezen. Encryptiesleutels daarvoor waren namelijk op de servers van aanbieder Ennetcom beschikbaar, in plaats van alleen op de telefoons zelf. De berichten in deze zaak zaten daar dus tussen.

Uit de ontsleutelde berichten blijkt dat er druk werd gecommuniceerd over het opzetten en beheren van een synthethischedrugslab. Deze berichten waren volgens de rechtbank verzonden en ontvangen door de verdachte, gezien de strekking van de berichten en verklaringen van andere verdachten. Dat levert dan het bewijs op van zijn betrokkenheid bij de productie van de drugs.

Ik blijf er moeite mee houden dat “het moet in de wet geregeld zijn” vertaald wordt naar “we mogen je rugzak doorzoeken dus ook je telefoon”. Maar ik vermoed dat na uitspraken als deze er weinig noodzaak meer zal komen bij de wetgever om nog een apart wetsartikel te gaan invoeren.

Arnoud

Rechter veroordeelt webcamafperser ondanks claims over dubieuze keylogger

Geplaatst op in Regulering, 16 reacties

Een man is strafrechtelijk veroordeeld op basis van bewijs verkregen met een politie-keylogger. Dat meldde Tweakers vorige week. De politie heeft eind 2013 de woning van de man in het geheim betreden, waarbij op de aangetroffen laptop en desktop een keylogger werd geïnstalleerd. Zo kreeg men inzicht in zijn internetgedrag en pogingen dat te verhullen. Maar mocht dat wel?

Het vonnis laat zien dat de man in beeld kwam naar aanleiding van een onderzoek bij Facebook. Het bedrijf had accounts ontdekt die door dezelfde persoon werden gebruikt om mannen te chanteren middels valselijk verkregen seksueel materiaal. Het IP-adres kon door de politie worden getraceerd naar een bungalowpark in Nederland, waar -zo ontstond het vermoeden- de dader zou wonen.

Na nader onderzoek werd een verdachte aangehouden. In de paar dagen dat hij in voorarrest zat, betrad een politieteam die bungalow om daar een keylogger op de computer te installeren. Deze tool registreerde toetsaanslagen en maakte schermafbeeldingen wanneer op die desktop of laptop gebruik werd gemaakt van communicatieprogramma’s zoals Skype of een internetbrowser. Hierdoor kreeg het onderzoeksteam inzicht in het internetgedrag op deze computers en kon de afscherming door het gebruik van een VPN-verbinding worden omzeild. Dat leverde genoeg bewijs op om nogmaals tot arrestatie over te gaan, en ditmaal ook tot vervolging.

Een verweer van de verdediging was dat die keylogger onrechtmatig was toegepast en dat de resultaten van het hulpmiddel niet betrouwbaar zijn en daarom niet mogen worden gebruikt voor het bewijs. Er zouden onregelmatigheden zijn zoals chatteksten die wel op de gemaakte schermafbeeldingen zijn te zien, maar niet terugkomen in de geregistreerde toetsaanslagen.

In Nederland is het gebruik van dergelijke technische hulpmiddelen gereguleerd in het Besluit technische hulpmiddelen strafvordering. Dit Besluit heeft tot doel de betrouwbaarheid en herleidbaarheid te waarborgen van de gegevens die daarmee zijn verkregen. Het hulpmiddel moet voldoen aan technische eisen; van de keuring moet door een keuringsdienst een rapport worden opgemaakt en de keuring moet plaatsvinden overeenkomstig een goedgekeurd keuringsprotocol. Dat was hier het geval. En de Hoge Raad had eerder bepaald dat als zo’n keuringsrapport er is, de rechter in principe moet aannemen dat het hulpmiddel betrouwbaar is.

Dat er onregelmatigheden blijken te zijn, kan een tegenargument zijn. Echter, die waren hier niet – althans niet zo zwaar dat het tot uitsluiting van het bewijs zou moeten leiden. De meeste toetsaanslagen klopten wél met de screenshots (en andersom), dus die paar missers zien we dan als afrondingsfouten, zeg maar.

Ook merkwaardig was dat de keylogger verdwenen was na de tweede aanhouding. Onduidelijk blijft wat er is gebeurd – heeft een virusscanner het ding verwijderd als malware, is er de remote destruct optie ingeroepen? – maar dat maakt niet uit. Want zelfs als die verwijdering op de raarst mogelijke manier is gebeurd, dan nog staat vast dat het verkregen bewijsmateriaal betrouwbaar is. De keylogger was immers gekeurd en volgens de regels geïnstalleerd.

Als laatste was er nog het argument dat de keylogger meer opnam dan was toegestaan in het bevel van de Officier van Justitie dat de toestemming gaf voor het installeren van de keylogger. Zo waren er op de screenshots tabbladen te zien van andere applicaties dan waar de keylogger bij zou moeten komen. Maar dat maaktook niet uit: dat op schermafdrukken meer is te zien dan alleen de ingestelde programma’s, maakt naar het oordeel van de rechtbank nog niet dat sprake is van een verzuim.

Bij mijn weten de eerste keer dat zó expliciet een keylogger/spyware rechtmatig wordt verklaard bij de rechtbank. En het laat zien dat je als verdediging van goeden huize moet komen om daar dan nog gaten in te schieten.

Arnoud

Kan de blockchain je makerschap en auteursrecht bewijzen?

Geplaatst op in Innovatie, Intellectuele rechten, 13 reacties

security-beveiliging-ketting-slot-chainEen lezer vroeg me:

Bewijzen dat je auteur bent van een werk, blijft een lastige. Nu zie ik mogelijkheden om dat in de blockchain vast te leggen. Hoe juridisch houdbaar zou dat zijn?

De wet stelt geen eisen aan het bewijs dat je auteursrecht hebt. Bewijs mag met alle middelen worden geleverd (art. 152 Rechtsvordering). Dat is met name van belang als het auteursrecht nog steeds bij de originele maker ligt, aangezien er voor het krijgen van auteursrecht geen registratie of iets dergelijks nodig is. Er is dan een werk en iemand die zegt dat hij het gemaakt heeft, maar geen officieel stuk waaruit dat onomstotelijk blijkt.

Als het auteursrecht wordt verkocht, moet dat op papier met handtekening (art. 2 Auteurswet). Dat kan dan tellen als bewijs, maar niet helemaal: hoe weet je dan dat de verkoper écht de maker is van het werk?

Bestaande systemen waar je “je werk vastlegt” komen er eigenlijk altijd op neer dat de dátum wordt vastgelegd waarop het werk bestond samen met iemands naam. Het idee is dan dat als die naam en die datum vastliggen, het bewijs rond is: wie anders dan de auteur kon als eerste het werk registreren?

Maar waterdicht is dat niet. Vrijwel elk van die systemen staat toe dat je andermans werk deponeert. Ze voeren immers geen inhoudelijke check uit, en dat kan ook niet zonder een hele bewijsprocedure. Dus de toegevoegde waarde van zulke systemen is voor mij nul. (En als ze dan óók nog gaan roepen dat je “je idee kunt vastleggen” dan noem ik het oplichting. Maar dat terzijde.)

De blockchain is een technologie om dingen vast te leggen op zo’n manier dat er niet mee gesjoemeld kan worden achteraf. Ook niet door de centrale autoriteit om te kopen of de database te hacken. Dat is allemaal zó ver gedecentraliseerd dat je geen single point of failure meer hebt. Het is dus op zich prima om een blockchain-gedragen systeem op te zetten om werken mee te dateren inclusief naam (beweerdelijk) auteur. Ik kan me niet voorstellen dat daar ooit discussie over komt. Maar de discussie “hee je hebt mijn werk gedeponeerd” wordt er niet mee opgelost.

Arnoud

Hoe bewijs je dat een ontsleuteld bestand echt is?

Geplaatst op in Regulering, 34 reacties

pgp-bericht-encryptie-versleutelingEen lezer vroeg me:

Als er bij een strafzaak versleutelde bestanden worden aangetroffen, kunnen deze in ontsleutelde vorm dan als bewijs dienen? Immers je kunt niet 100% vaststellen dat de gebruikte sleutel echt is, en in theorie is het dan mogelijk dat de deskundige die de ontsleuteling uitvoert, iets anders eruit haalt dan er in ging.

Er zijn geen specifieke regels over hoe om te gaan met versleutelde digitale bestanden in het strafrecht. We moeten dus terugvallen op de algemene regels: er moet wettig en overtuigend bewijs zijn van de schuld van de verdachte.

Wettig wil zeggen dat het op de juiste, wettelijk vastgelegde wijze is verkregen en dus bekeken mag worden als bewijs. Overtuigend betekent dat er geen redelijke twijfel meer is aan wat het bewijs inhoudelijk laat zien.

Heel formeel zijn er maar vijf categorieën van bewijs in het strafrecht (art. 339) en digitale bestanden staan daar niet bij. Wel de verklaring van de verdachte of van getuigen, de eigen waarneming van de rechter, schriftelijke stukken en verklaringen van deskundigen. Digitale bewijsstukken worden eigenlijk altijd via die laatste categorie ingevoerd: een deskundige legt dan uit wat er uit de digitale informatie te halen is (en hoe dat is gebeurd), en die verklaring is dan formeel het bewijsstuk.

Een deskundige zal dus in zo’n geval uitleggen wat encryptie is en hoe je van plaintext naar ciphertext en weer terug gaat, en hoe dat dan werkt met een sleutel. Hij zal vervolgens laten zien wat er gebeurt als je de (bijvoorbeeld gevonden of door de verdachte gegeven) sleutel loslaat op de aangetroffen ciphertext. De uitkomst (de ontsleutelde tekst) is dan deel van zijn verklaring en daarmee wettig bewijs.

Of het overtuigend is, is lastiger. De eerste vraag is of iemand daar een punt van maakt. Als de verdachte bijvoorbeeld bekent en de sleutel vrijwillig afgeeft, dan is de deskundige snel klaar en is er geen reden om te twijfelen aan het feit dat die plaintext de echte is.

Is de sleutel ergens aangetroffen, dan zal een belangrijke factor worden hoe en door wie. Is er een geel briefje naast de monitor gevonden, of heeft een politieagent drie weken lang handmatig bruteforceaanvallen ondernomen met voor de hand liggende wachtwoorden? Twijfel hierbij kan bijdragen aan de overtuiging van het bewijs (we geloven niet dat dit echt de juiste plaintext is) of zelfs aan de wettige status (de verdachte is onder druk gezet om zijn wachtwoord te geven bijvoorbeeld, wat in strijd is met de wet).

In theorie is het inderdaad denkbaar dat de gevonden ciphertext ooit met sleutel A versleuteld is, maar dat je met sleutel B die ciphertext in een andere plaintext terugdraait. Daarmee zou dus nepbewijs worden vervaardigd: de tekst vertelt iets dat niet echt in het versleutelde bestand stond.

Het zal dan neerkomen op wie het meest wordt geloofd: de deskundige die uitlegt dat dit de echte decryptie is van de aangetroffen ciphertext, of de deskundige die daar twijfel kan zaaien. Je krijgt dan een afweging van alle omstandigheden: hoe werd de sleutel in kwestie gevonden, waaruit blijkt dat die aan de verdachte te koppelen is, wie heeft er baat bij het vervalsen van de decryptie, welke mogelijkheden waren daarvoor, is er in de beweerdelijk valse plaintext iets te vinden dat duidt op een vervalsing en ga zo maar door.

Mijn onderbuikgevoel is dat dit geen sterk verhaal zou zijn zonder zeer specifieke aanwijzingen. In theorie kan het, maar de wet eist geen 100% zekerheid van schuld – er mag geen redelijke twijfel zijn. 99% zekerheid kan best voldoen aan dat criterium.

Arnoud

Hoe bewijs ik dat iemand een handtekening heeft gezet?

Geplaatst op in Informatiemaatschappij, 22 reacties

handtekening.jpgEen lezer vroeg me:

Onlangs ben ik aangereden door een bedrijfswagen en ik heb daar (zo bleek achteraf) een whiplash aan overgehouden. De twee inzittenden hebben destijds dat schadeformulier getekend, maar ontkennen nu dat ze die handtekening hebben gezet. Omdat ik achter hen reed (maar zij écht fout zaten) is dit cruciaal. Hoe houd ik ze nu aan dat formulier?

Wie een handtekening zet op een stuk papier, doet daarmee juridisch iets bijzonders: hij maakt een akte en die levert dwingend bewijs op van hetgeen daarin staat (art. 157 Rechtsvordering).

Je kunt er dus (in principe) niet meer onderuit: heb je daar verklaard “hij zat achter me en ik reed onverwacht achteruit want ik was dronken, stom stom stom” dan zit je daaraan vast.

Er is een escape: als je “stellig ontkent” de handtekening gezet te hebben (art. 159 lid 2 Rv), dan zit je er niet aan vast. Tenzij de wederpartij dan kan bewijzen dat je wél getekend hebt.

Dat bewijs leveren mag op alle mogelijke manieren. Heb je een getuige die zag dat er werd gekrabbeld op papier, dan is dat genoeg. Een dashcam die filmde hoe hij zich over de motorkap boog en een krabbelende beweging maakte, levert ook gewoon bruikbaar bewijs op.

Natuurlijk staat dan niet 100% vast dat dít formulier is getekend, maar dan zou je op zoek moeten naar andere discrepanties. Waar is bijvoorbeeld het formulier van de wederpartij (die dus ontkende getekend te hebben)? Het is immers onwaarschijnlijk dat je na een ongeval géén handtekening zet onder een schadeformulier, zeker als er beeld is dat je krabbelt op papier.

In deze zaak werd betwist dat een akte van geldlening was ondertekend. De gedaagde gebruikte daarbij de term ‘stellig’, maar dat vond de rechter niet overtuigend. Er was divers bewijs: er was een getuige bij het opmaken van de akte, en er was diverse keren afgelost op de manier die in de akte stond. Ook leken de handtekeningen wel erg veel op elkaar. Dat bij elkaar opgeteld was voor de rechter genoeg om te concluderen dat de ontkenning niet geloofwaardig was.

Het wordt dus nu een kwestie van op zoek naar bewijs dat er getekend is.

Arnoud