Mag de politie de telefoon van een getuige leegtrekken?

| AE 11564 | Regulering | 13 reacties

Via Twitter een ietwat verontrustend item van de BBC over speciale apparatuur waarmee de politie telefoons in één keer geheel uit kan lezen. Die technologie wordt ingezet bij arrestaties, maar kennelijk ook bij telefoons van getuigen. En dan heb ik het over alles, van foto’s tot chatberichten, cache-informatie en prullenbakbestanden. De journaliste vraagt zich af hoe dat dan gaat als je uiteindelijk niet vervolgd wordt, want al die data is dan al wel bij de politie. Wat nu als je alleen maar getuige bent? En hoe zit dat in Nederland?

Hoofdregel in Nederland is dat de politie in geval van een strafbaar feit “alle voorwerpen die kunnen dienen om de waarheid aan de dag te brengen” in beslag mag nemen (art. 94 Strafvordering). En een telefoon met inhoud voldoet aan die omschrijving, ook wanneer die van een getuige is. Die heeft wellicht foto’s gemaakt of in een chat met een ander relevante informatie staan, bijvoorbeeld. De nuance is natuurlijk dat de inbeslagname wel noodzakelijk en proportioneel moet zijn. Zomaar van alle omstanders de telefoon meenemen is natuurlijk idioot, maar de telefoon van een persoon die wekenlang chatte met de dader is een heel ander verhaal.

Als je de telefoon hebt, ligt snel een kopie maken en daarin spitten natuurlijk voor de hand. En hier wordt het juridisch ingewikkeld, want hier gaat het om privacygevoelige informatie en dan mag de politie in beginsel alleen dingen doen die wettelijk geregeld zijn. In 2017 bepaalde de Hoge Raad dat dit ook geldt bij telefoondoorzoekingen, maar dat gezien de praktijk het vooral van belang is dat er een duidelijke noodzaak is en er een onafhankelijke toetsing plaatsvindt. Blijkt achteraf dat de opsporing te ver ging met de doorzoeking, dan heeft dat gevolgen voor de rechtszaak (bijvoorbeeld dat het bewijs buiten toepassing blijft).

Anders ligt dat bij even snel kijken naar een paar berichtjes of foto’s. Dat is geen of slechts een geringe inbreuk op de privacy, en dat mogen agenten dus doen zonder specifieke opdracht. Even snel kijken bij de recente foto’s of de chat met de verdachte zou dus nog net kunnen, zelfs als de getuige niet meewerkt. Je moet als agent natuurlijk wel een goede aanleiding hebben waarom je dacht dat er iets zat bij die recente foto’s of waarom deze meneer/mevrouw met de verdachte zou hebben gechat en waarom dat relevant is voor het onderzoek naar die verdachte.

Arnoud

Waarom ik steeds zeg dat data niets is, juridisch gezien

| AE 11415 | Informatiemaatschappij | 20 reacties

Een lezer vroeg me:

Met enige regelmaat zie ik je zeggen dat data “niets is” of niet bestaat onder de wet. Maar dat kan toch niet waar zijn, data is de grondstof voor de internetmaatschappij en dan zou daar geen enkele juridische status of recht op bestaan? Kun je eens uitleggen hoe dat nu precies zit?

“Data is niets” is mijn wat kortdoordebochtpoging om het probleem te signaleren dat je inderdaad geen specifieke juridische rechten kunt uitoefenen om toegang tot (of een kopie van) elektronische data te krijgen. Weliswaar spreken we in de praktijk vaak van “mijn data”, maar dat is niet meer dan een beleefdheidsfrase, juridisch heeft dat geen betekenis.

Eigendom is “het meest omvattende recht dat een persoon op een zaak kan hebben”, aldus artikel 5:1 BW. Een zaak is dan weer (artikel 3:2 BW) een stoffelijk object dat voor menselijke beheersing vatbaar is. Digitale data voldoet niet aan die omschrijving, het is zo ongeveer het schoolvoorbeeld van onstoffelijke objecten. Juridisch gezien is het daarom onmogelijk om van eigendom op data te spreken.

Maar het Elektriciteitsarrest dan, en het Runescape-arrest, zal menig juridisch geïnteresseerde nu denken. Klopt. Die arresten bepaalden dat bepaalde onstoffelijke objecten toch zaken waren – althans “goederen”, in de terminologie van het strafrecht. Elektriciteit is stoffelijk (het zijn hupsende elektronen) en voor menselijke beheersing vatbaar, wel graag met rubber handschoenen. En de virtuele goederen in het spel Runescape kun je ook beheersen en wegnemen. Dat is dan genoeg om van “goederen” te spreken.

Formeel georiënteerde juristen vinden dat niet overtuigend, omdat het hier gaat om arresten uit het strafrecht. Dat wetboek kent eigen terminologie en eigen jurisprudentie, die niet automatisch doorgetrokken kan worden naar andere rechtsgebieden. Dat het strafrecht iets een goed vindt, maakt het in die opvatting dus geen zaak in het Burgerlijk Wetboek.

Maar er is nog een reden waarom je die arresten niet zomaar nar het algemene geval kunt trekken. Elektriciteit is sowieso geen goed voorbeeld, omdat het daar gaat om de hupsende elektronen an sich. Bij data hebben we het over de informatie die in die elektronen dan wel magnetische velden verstopt zit. Beheersing daarvan gaat toch echt een stukje anders. En bij het Runescape-arrest zat die data in een speciaal geconstrueerde omgeving waarmee het mogelijk was die data tot unieke elementen te vormen. Ik heb dat virtuele zwaard, en dus jij niet.

In het algemene geval is data iets dat te kopiëren is. Daarmee is het eigenlijk al geen zaak meer, kan het geen zaak zijn. Ga eens na wat er zou gebeuren als ik eigenaar ben van zeg een lijst plaatsnamen, en iemand maakt daar een kopie van. Is hij dan mede-eigenaar? Is die kopie dan een schending van mijn eigendom, en wat nu als hij hem onafhankelijk maakt? Volgens mij kom je dan al heel snel in volkomen onwerkbare situaties terecht.

Er zijn natuurlijk wetten die in speciale gevallen een oplossing kunnen bieden, zoals de Auteurs- of Databankenwet bij zo’n lijst, maar dat terzijde. Die wetten maken je nog steeds geen eigenaar van die data. Je kunt daarmee hooguit een kopie laten vernietigen, geen toegang eisen tot die data. Ook de AVG niet: die zegt wel dat je recht hebt op een kopie van je persoonsgegevens (en onder omstandigheden zelfs een elektronisch leesbare dump in bekend formaat) maar ook daarmee ben je er nog geen eigenaar van.

De belangrijkste reden dat ik zeg “data is niets” is uiteindelijk dat je geen enkel rechtsmiddel hebt om een kopie van je data op te eisen dat zo ongeveer onder alle omstandigheden werkt. Bij gewoon eigendom kan dat wel, de revindicatie van artikel 5:2 BW. Er moet wel iets heel bijzonders zijn wil je je eigendom niet kunnen terugkrijgen. En omdat data zo belangrijk is tegenwoordig én tegelijkertijd bij online diensten van anderen ligt, is dit wel een heel groot gevaar om je van bewust te zijn. Zorg dus dat je gewoon een kopie hebt van die data, en denk niet “oh het is mijn data dus ik eis ‘m wel op als het nodig is”.

Arnoud

Curatoren verkopen geregeld klantgegevens zonder toestemming na faillissement

| AE 11241 | Privacy | 19 reacties

Curatoren verkopen na bedrijfsfaillissementen geregeld klantgegevens door, waaronder die van failliete webwinkels. Dat meldde Tweakers woensdag. Zij baseren zich op onderzoek van De Groene Amsterdammer en onderzoeksplatform Investico. Zij bekeken verschillende faillissementen en de dataverkoop die daarmee gemoeid ging. Zo’n dataverkoop mag niet, en wie zegt van wel -of dat het ingewikkeld is- die heeft het keihard fout. Ik ergerde me dan ook rot aan het bericht. Ik wil best geloven dat niet iedere curator even diep in de AVG zit, maar de partijen die die data kopen die moeten gewoon weten dat ze privacyheling plegen.

Curatoren moeten natuurlijk de failliete boedel te gelde maken, en ik zie heus wel dat er geld te verdienen is met een lijst klantgegevens of relaties. Er zijn altijd partijen die daar geld voor geven. Deze praktijk speelt dan ook al vele jaren. Het belang van zo’n bestand was tien jaar terug niet zo heel erg groot, en je merkte er niet altijd wat van als je gegevens werden doorverkocht. Maar vandaag de dag is dat wel anders.

Onder de AVG zijn de regels vrij simpel: zowel de kopende als de verkopende partij moet een eigen grondslag hebben om dit te mogen doen. Dat je iets van een curator koopt, betekent nog niet dat je er wat mee mag doen. En als je er niks mee mag doen, dan mag je die gegevens niet hebben. Dataminimalisatie, verwijderplicht.

“Het belang van de boedel gaat gewoon voor”, zegt een curator dan. Zou hij dat ook zeggen bij een partij asbest of Viagra-pillen die hij in de boedel aantreft? Ik kan me het niet voorstellen. Ja, ik weet dat de AVG erg ingewikkeld kan zijn, maar denk dan cynisch wel altijd “vooral voor mensen die er baat bij hebben dat ze het niet begrijpen”. Want je voelt op je klompen aan dat databestanden met klantgegevens niet bedoeld zijn voor derden om reclame op te doen. Dus dan mag het niet.

Oké, het hielp niet dat de AP eind 2017 op haar website expliciet vermeldde dat curatoren wel die gegevens mogen verkopen. Maar die zin is snel weer weggehaald, en terecht. Ik blijf cynisch: tot 2017 was het dus heel onduidelijk hoe de wet werkte, ondanks dat de AP op diverse manieren aangaf dat het niet mocht. En in 2017 was het dan ineens wél duidelijk dat het mocht omdat de AP het zei, en nu de AP weer zegt dat het niet mag is het heel onduidelijk en dus blijven we het maar doen. Ik kan daar met mijn eenvoudige juristenpet niet bij.

Arnoud

Veel Nederlanders sturen werkbestanden naar privémailadres, mag dat?

| AE 10898 | Informatiemaatschappij | 16 reacties

Veel Nederlandse werknemers versturen weleens werkbestanden vanuit hun zakelijke mailbox door naar hun privémailadres, las ik bij Security.nl. Dat baseert zich op het recent verschenen Cybersecurity bewustzijnsonderzoek van Alert Online dat onder meer dan duizend Nederlanders werd uitgevoerd. Volgens het onderzoek zegt 15 procent van de respondenten dat ze dit “altijd of meestal” wel doen…. Lees verder

Het gaat bij AI niet om algoritmes, het gaat om de data die je erin stopt

| AE 10622 | Innovatie | 15 reacties

Steeds vaker lees ik over aandacht voor AI en algoritmes bij de politiek. Een goeie ontwikkeling, zeker omdat AI software steeds vaker ingezet wordt om bestuur te ondersteunen. Bijvoorbeeld het selecteren van cold cases waar potentie in zit of herkennen van potentiële onrust zodat je de geweldprotesten voor kunt zijn. Steeds vaker lees ik daarbij… Lees verder

Univé verzekert gehackte pc consument

| AE 9764 | Security | 11 reacties

Verzekeraar Univé introduceert een verzekeringspakket waarmee consumenten hun pc of smartphone kunnen beschermen tegen hackers, las ik bij AMweb. Een speciaal kastje en een hulplijn moeten voorkomen dat het misgaat. Weten cybercriminelen je pc toch te vernielen dan vergoedt de coöperatieve verzekeraar de schade. En dat voor twaalf euro per maand. Ik kreeg er veel… Lees verder

Mijn hostingprovider weigert de DNS records van mijn domeinen te overhandigen!

| AE 9527 | Informatiemaatschappij, Intellectuele rechten | 15 reacties

Een lezer vroeg me: Voor een klant moeten we meerdere domeinnamen overnemen van de huidige hoster. Echter wil de hostingpartij huidige ingestelde DNS records niet overhandigen aan zowel de klant als ons, en er is ook geen toegang tot een online omgeving waar ik deze kan downloaden. Mag men dit zo weigeren? Ja, dat mag… Lees verder

Tot eigendom van data geregeld is, kun je maar beter goede backups maken

| AE 9517 | Informatiemaatschappij | 12 reacties

Wie data opslaat bij een online backupdienst, of gebruik maakt van een SaaS-dienst voor bijvoorbeeld boekhouding of klantenadministratie, zal al snel geneigd zijn te spreken van ‘zijn’ data. Logisch: die informatie is essentieel voor die persoon, en als hij het fysiek ergens opgeslagen had, dan waren die mappen of papieren ook gewoon zijn eigendom. Maar… Lees verder

Wat is het verschil tussen data delen en data verkopen?

| AE 9412 | Security | 10 reacties

Audiobedrijf Bose werd vorige maand aangeklaagd wegens het bespioneren van zijn gebruikers, las ik bij Nu.nl. De Bose Connect-app zou bijhouden naar welke muziek en podcasts gebruikers luisteren. Het bedrijf heeft de app aangepast, maar ontkent dat die data wordt verkocht aan derden. En dan lees ik “Het bedrijf ontkent echter niet dat de gegevens… Lees verder