Moet ransomware apart strafbaar worden gesteld?

| AE 8589 | Security | 22 reacties

persoon-persoonsgegeven-veilig-hek-beschermd-lek-dataCalifornië wordt zeer waarschijnlijk de eerste Amerikaanse staat die een aparte wet tegen ransomware krijgt, las ik bij Security.nl. Het wetsvoorstel verbiedt het infecteren van computers met ransomware en stelt dit gelijk aan afpersing. Er komt maximaal vier jaar cel op te staan. Dat voelt wat overdreven; afpersing is toch al lang strafbaar?

Het probleem in Californië lijkt te zijn dat hun afpersings-wetsartikel vereist dat er “force or fear” wordt gebruikt. Je kunt je afvragen of ransomware wel geweld of angst gebruikt om de betaling af te dwingen. Ransomware slaat je niet in elkaar en dreigt ook niet naar de pers te stappen als je niet snel betaalt. Dan ontstaat er dus een gaatje in de wet om te roepen dat het nog niet strafbaar is. Vandaar dit wetsvoorstel.

In Nederland hebben we twee wetsartikelen die ransomware strafbaar stellen. Het eerste artikel gaat eigenlijk over virussen en wormen (art. 350a Strafrecht). Het is strafbaar gegevens ter beschikking te stellen of verspreiden die zijn bestemd om schade aan te richten in een geautomatiseerd werk. Maar ransomware wordt ook verspreid en richt óók schade aan. Vier jaar cel maximumstraf. Daarnaast is het strafbaar (twee jaar cel) om data te wissen of onbruikbaar te maken.

Het tweede artikel is verwant aan de eigenlijke afpersing (art. 317 Strafrecht). Het is strafbaar om

met het oogmerk om zich of een ander wederrechtelijk te bevoordelen, door geweld of bedreiging met geweld iemand [te dwingen] hetzij tot de afgifte van enig goed dat geheel of ten dele aan deze of aan een derde toebehoort, hetzij tot het aangaan van een schuld of het teniet doen van een inschuld,

Hier staat dus “met geweld of dreiging met geweld” en je kunt je afvragen of een ransomware-auteur wel ‘geweld’ toepast of daarmee dreigt. Geweld is toch meer iets dat je tegen mensen zelf inzet. Misschien tegen hardware (“ik sloop je auto als je niet betaalt”) maar data is geen hardware en valt daar dan niet onder. (Het aanverwante chanteren, dreigen met smaad of onthulling van een geheim, staat in artikel 318).

Maar, lid 2:

2 Met dezelfde straf wordt gestraft hij die de dwang, bedoeld in het eerste lid, uitoefent door de bedreiging dat gegevens die door middel van een geautomatiseerd werk zijn opgeslagen, onbruikbaar of ontoegankelijk zullen worden gemaakt of zullen worden gewist.

En dit is natuurlijk exact wat ransomware doet: dreigen dat gegevens voor altijd verloren zullen gaan tenzij er nu snel betaald wordt. Daarmee valt ransomware dus ‘gewoon’ onder afpersing, met een maximumstraf van maar liefst negen jaar cel.

Dus ja, een tikje gelegenheidswetgeving is het wel maar gezien de aard van het misdrijf toch niet onverstandig. De grote vraag natuurlijk blijft: hoe krijg je de plegers te pakken? Ransomware is een beetje de perfecte misdaad: via niet-traceerbare kanalen een dreiging uiten en via niet-traceerbare kanalen geld ontvangen.

Arnoud

Uber in Californië nu werkgever

| AE 7770 | Ondernemingsvrijheid | 13 reacties

taxi-verboden-uberTaxidienst Uber moet een voormalig chauffeur een vergoeding betalen van meer dan vierduizend dollar omdat ze volgens de rechter een medewerkers was, en geen zzp’er. Dat las ik bij NRC. De California Labor Commission, de lokale toezichthouder op de arbeidswetgeving in die staat, is eigenlijk geen rechter maar wel bevoegd om zulke uitspraken te doen. Uber is boos over de uitspraak want dit zet haar businessmodel volledig op losse schroeven.

Taxidienst Uber en vrijwel alle vergelijkbare diensten pretenderen te werken met zelfstandigen in plaats van werknemers. Het idee is dat mensen zelf even wat bijklussen door een taxiritje te doen, ergens even schoon te maken of een andere dienst verrichten, en die diensten zijn dan slechts bemiddelende tussenpersonen die mensen bij elkaar brengen, meer niet.

In de praktijk is het echter vaak anders. Uber helemaal: die geeft vérgaande instructies over hoe het werk moet worden gedaan (je auto mag maximaal 10 jaar oud zijn bijvoorbeeld) en bepaalt zelfs óf het werk wel mag worden gedaan (haal je een score van minder dan 4.6 uit 5, dan lig je eruit). En de Labor Commission gaat nog verder: het is uiteindelijk het werk van Uber dat wordt gedaan. Je bent niet Taxi Arnoud die toevallig dankzij Uber een ritje vond, maar je bent Uber-chauffeur Arnoud. En dát maakt het (in Californië) uiteindelijk dan tot een werkgever/werknemer-relatie.

Gevolg van die juridische kwalificatie is zowel in Californië als in Nederland dat de werkgever ineens verantwoordelijk is voor een hoop dingen die een opdrachtgever lekker bij de opdrachtnemer zou kunnen laten liggen. Denk aan het afdragen van belastingen en sociale premies, de verzekeringen voor aansprakelijkheid bij uitvoering werk, of in het geval van Uber heel simpel het betalen van de benzine voor de werkgerelateerde ritjes.

In Nederland zijn er drie eisen om een relatie tussen partijen als arbeidsovereenkomst te duiden:

  1. Er is een afspraak dat de werknemer werk gaat verrichten, en wel zelf (dus niet een collega of leverancier dit laten doen);
  2. Er wordt een vergoeding betaald die boven de onkostenvergoeding uit gaat;
  3. De werkgever heeft een instructiebevoegdheid: hij is gerechtigd aanwijzingen te geven over het werk zelf of voor de goede orde in de onderneming;

Het doet er daarbij niet toe hoe de partijen de overeenkomst zelf zien. De praktijk geeft de doorslag. Als er bijvoorbeeld in het contract staat “Opdrachtnemer mag een derde het werk laten doen” maar in de praktijk komt het daar nooit van, dan is dus aan eis één voldaan.

Eisen één en twee kunnen ook bij de relatie opdrachtgever/zelfstandige voorkomen. Het zal dus neerkomen op hoe eis drie uitpakt. Bij een zelfstandig opdrachtnemer geldt normaal dat deze zelf bepaalt hóe het werk wordt gedaan. De opdrachtgever mag wel zeggen wát er wordt gedaan en wanneer het af moet zijn, maar als zelfstandige kun je dan kiezen dat je dit woensdagmiddag doet of juist donderdagnacht. Een werknemer krijgt te horen “ga om 9 uur aan dit bureau zitten en doe het werk”. Het feit dat hij dergelijke instructies moet opvolgen, maakt het verschil.

Of eis drie ook bij Uber opgaat, vind ik een lastige. Ze bepalen niet je werktijden en je kiest zelf of je een ritje wil oppikken of niet. Ze stellen wel kwaliteitseisen (zoals de evidente eis dat je een rijbewijs hebt, maar dus ook dat je een relatief nieuwe auto hebt), en dat neigt toch lichtjes naar een werkgever. Een freelancer mag immers zelf bepalen of hij met een oud brik naar de klant gaat.

In Nederland geldt in dit soort situaties nog een paar vuistregels voor twijfelgevallen. Als er gedurende drie maanden minstens 20 uur per maand gewerkt is, dan wordt er bijvoorbeeld ‘vermoed’ dat er een arbeidsrelatie is en dan moet de werkgever bewijzen dat het niet zo is. Ook het feit dat je hoofdzakelijk voor één opdrachtgever werkt, kan als bewijs van werknemerschap gelden (dit is waarom je als opdrachtgever een VAR wil hebben bij zzp’ers).

Als particulier die meer dan 20 uur per maand voor Uber rijdt (en voor niemand anders) zou je dus wel een claim hebben denk ik. Hoewel dit vrij theoretisch is – UberPOP is immers verboden bij ons.

Het bedrijf heeft aangekondigd in beroep te gaan tegen de uitspraak van de Labor Commission. Logisch, want de nieuwe economie is leuk maar het is niet de bedoeling dat je dan ineens onder de oude regels valt.

Arnoud