Licentiecodes meenemen van je werk is geen diefstal

Een licentiecode meenemen van je werk als je ontslag neemt, is geen diefstal of heling. Dat vonniste de rechtbank Den Haag onlangs. De verdachte in deze strafzaak had ontslag genomen en wilde kennelijk met die licentiecode goede sier maken bij de nieuwe werkgever, iets dat de oude werkgever zó ernstig vond dat men aangifte deed, en bij het OM vonden ze het ook ernstig genoeg om te vervolgen. Maar de rechtbank ziet hier geen diefstal in, omdat een licentiecode immers geen ‘goed’ is dat je kunt stelen.

De precieze reden voor het meenemen kan ik niet uit het vonnis halen, maar ik lees dat diverse werknemers tegelijk ontslag namen en bij de concurrent gingen werken. Deze werknemer had in dat verband die licentiecode voor een Amerikaans softwarepakket naar zichzelf gemaild vanaf het werk. De werkgever kwam hierachter en deed aangifte.

De verdachte werd formeel vervolgd voor het misdrijf bekendmaken van vertrouwelijke informatie (schending van bedrijfsgeheimen). Het is namelijk strafbaar om door misdrijf vertrouwelijke bedrijfsgegevens te achterhalen en bekend te maken (artikel 273 Strafrecht). Dat kan ook gaan om digitale informatie, en bij licentiecodes zie ik wel waarom je die als vertrouwelijk zou aanmerken.

Voor de rechtbank was er echter een principieel bezwaar: welk misdrijf dan? Want de verdachte was op zich gerechtigd in de computer van de werkgever die licentiecode op te vragen, dus er was geen sprake van computervredebreuk.

Je zou dan eerder van diefstal of verduistering moeten spreken, net zoals je het diefstal noemt als een werknemer legaal de kantine in gaat en een zak met koffiebonen meeneemt. Maar voor diefstal (of verduistering) is vereist dat er een ‘goed’ wordt weggenomen. En volgens de jurisprudentie kan dat alleen als het slachtoffer de feitelijke macht over die informatie verliest zodra de dader zich deze toe-eigent.

Bij objecten in virtuele werelden is voorstelbaar dat je spreekt van “feitelijke macht verliezen”. Als speler B dat zwaard te pakken krijgt van A, dan heeft A het automatisch niet meer. Idem voor zeg een bitcoin of een belminuut. Maar bij een licentiecode is daarvan geen sprake. De code is dan op twee plaatsen aanwezig, en twee partijen hebben er dan macht over. Daarom geen diefstal en dus geen strafbaar onthullen van bedrijfsgeheimen.

Op zich een logische uitkomst, zeker als je bedenkt dat de volgende Wet Computercriminaliteit dit expliciet wél strafbaar gaat stellen. A contrario redenerend doe je dat alleen als het nu niet strafbaar is, dus is het nu niet strafbaar.

Arnoud

Mag de eigenaar van een gestolen laptop deze opsnuffelen bij een legitieme koper?

| AE 9571 | Regulering, Security | 32 reacties

Een lezer vroeg me:

Onlangs kreeg ik de politie aan de deur: ik zou in het bezit zijn van een gestolen laptop! Bij navraag bleek het te gaan om een tweedehands die ik keurig in een computerwinkel had gekocht (met bon, reële prijs, semi-bekende keten wiens naam ik even niet noem) dus niets aan de hand. Maar men bleek me te hebben opgespoord door ‘Absolute Software’ van het bedrijf LoJack/CompuTrace. Het bedrijf geeft te kennen dat het geen middelen schuwt om via een voorgeïnstalleerde backdoor informatie te vergaren betreffende het “gestolen” goed, waaronder: hard drive mining, keystrokes/typed data, screen images en position. Is dat wel legaal, zeker in mijn situatie?

Het kopen van gestolen goed heet normaal ‘heling’ en is strafbaar. Echter, de wet (art. 3:86 BW beschermt de consument die gestolen goed koopt bij een bedrijf of winkel. Deze wordt gewoon eigenaar van het goed, en kan niet worden vervolgd voor heling.

Steeds meer ICT-producten zoals laptops, tablets of telefoons worden voorzien van “phone home”-achtige software, waarmee de eigenaar op afstand kan zien waar het apparaat zich bevindt. Vaak is die software ook voorzien van aanvullende features, waarmee kan worden rondgekeken op de telefoon en waarmee de camera kan worden bediend om de huidige houder vast te leggen. (Zie deze mooie documentaire over wat er allemaal kan.)

Informatie achterhalen over je eigen laptop valt onder de informatievrijheid en dat is een grondrecht. Maar de privacy is óók een grondrecht, zelfs tot op zekere hoogte voor de dader van een misdrijf. De schandpaal is immers afgeschaft, heet dat dan onder beschaafde juristen. En hier gaat het niet om een dief maar om een gewone eerlijke burger die iets legaal kocht in een winkel. Hoezo mag diens privacy worden geschonden door de oude eigenaar van het apparaat? Dit is typisch zo’n balans uit het internetrecht waar niet meteen een eenduidig antwoord op is.

Voor mij zou denk ik uiteindelijk de doorslag geven hoe groot de kans is dat een gestolen laptop via een winkel terecht komt bij een particulier die te goeder trouw is. Als de overgrote meerderheid die laptop in strafbare hoedanigheid verwerft, dan zou ik weinig moeite hebben met de privacyaspecten van deze zaak. Zeker als de gegevens ook nog eens alleen voor aangifte en opsporing gebruikt worden, en niet voor eh documentaires of andere openbaarmakingen door het slachtoffer.

Arnoud

Jaar cel voor hacken en phishing, maar creditcardgegevens kun je niet stelen

| AE 9128 | Regulering | 20 reacties

Een man uit Amsterdam heeft vrijdag een celstraf van één jaar gekregen omdat hij verschillende websites heeft gehackt, e-mailadressen heeft gestolen en zich in phishing-e-mails heeft voorgedaan als een creditcardbedrijf. Dat meldde Nu.nl onlangs. Hij had ook creditcardgegevens te pakken gekregen, maar deze heeft hij niet gestolen want dat kan juridisch niet, zo blijkt uit het vonnis.

De man had tussen 2014 en 2016 via diverse phishingmails en -sites zich voorgedaan als creditcardfaciliteerder ICS om zo mensen over te halen hun logingegevens te verstrekken. Op die manier kreeg hij creditcarddata te pakken. Justitie wilde dit aanpakken door hem verduistering (onrechtmatig verwerven van een goed anders dan door diefstal) ten laste te leggen. Op zich niet ondenkbaar, want digitale goederen zoals Runescape-objecten of belminuten zijn te stelen, dus waarom creditcarddata niet?

Nou ja, omdat het verschil tussen die objecten en minuten enerzijds en creditcarddata anderzijds is dat die laatste niet “individualiseerbaar” is. Een belminuut is na een minuut op, en een virtueel zwaard kan worden afgepakt en is dan weg. Een creditcardnummer kan wel worden gekopieerd en gebruikt, maar daarmee is het nummer nog niet op.

Wél wordt hier het phishen van dergelijke gegevens gezien als oplichting. Iets dat vroeger niet kon – toen moest er zaken of geld worden afgetroggeld – maar sinds een paar jaar wel: het aftroggelen van informatie met listige kunstgrepen is ook oplichting. En oplichting is ook een ernstig misdrijf met stevige strafmaxima, dus dat is wel een billijke uitkomst. Ook het scannen en binnendringen van diverse websites (om daar de phishingsites te hosten) wordt strafbaar geacht, gewoon ouderwets computervredebreuk.

Leuk detail nog: bewijs was verkregen uit zijn laptop, die in de slaapkamer was aangetroffen bij een huiszoeking. Op de laptop had een politieagent de programma’s Sendblaster Pro, Gr3eNoX Exploit Scanner, Havij en een phishingwebsite gezien, waarna hij deze in beslag nam. Volgens de verdachte had dat niet gekund, omdat de laptop een screensaver had die de agent dan moet hebben weggeklikt. En dat zou dan onrechtmatig zijn, want bij een huiszoeking mag je niet zomaar in een computer kijken. Hoe dat precies zit met die screensaver wordt niet duidelijk, maar de rechtbank gelooft de agent dat deze de programma’s zag en herkende, waarmee de doorzoeking rechtmatig was.

En oh ja wie nog denkt dat rechtbanken technofoob zijn, moet dit vonnis sowieso even lezen.

Arnoud

Denk je een tip te geven, krijg je een knorrige bedrijfsjurist op je dak

| AE 8093 | Iusmentis, Ondernemingsvrijheid | 19 reacties

Als je de directeur van AT&T een tip durft te geven, dan krijg je een knorrige bedrijfsjurist op je dak, las ik bij Ars Technica (dank, tipgevers!). “AT&T has a policy of not entertaining unsolicited offers to adopt, analyze, develop, license or purchase third-party intellectual property… from members of the general public,” zo klonk het… Lees verder

Een Spotify-account overnemen versus de Wet computercriminaliteit

| AE 8064 | Regulering | 15 reacties

Weer een interessante Tweakersdiscussie, ditmaal over een jongen die een Spotify premium account generator gebruikt had dat van een politie-stagiair bleek te zijn. Die wist de jongen te traceren en dreigde met aangifte wegens creditcardfraude. Hoe strafbaar is dat dan, een Spotify-account overnemen? De agent-in-opleiding noemt art. 232 Strafrecht als basis. Dat artikel stelt strafbaar… Lees verder

Wanneer is het strafbaar met een nepnaam internet op te gaan?

| AE 7934 | Ondernemingsvrijheid, Privacy, Regulering | 15 reacties

Roel Stellinga (18) ontdekte vorige maand bij toeval dat zijn foto’s van Facebook werden misbruikt door ene ‘Oscar’. Dat las ik in het AD. Via dit nepprofiel – en dus met zijn foto’s – werden jonge meisjes benaderd. De les van Roels vader: “Als je je account niet goed afschermt, kan het blijkbaar toch vrij… Lees verder

Ben ik een dief als de algemene voorwaarden van Albert Heijn dat zeggen?

| AE 7613 | Ondernemingsvrijheid, Regulering | 30 reacties

Een lezer vroeg me: Onlangs zijn de voorwaarden van zelfscannen van de Albert Heij gewijzigd. Er staat nu in dat je diefstal pleegt als achteraf blijkt dat niet alles gescand is. Maar mag AH wel zo kort door de bocht aannemen dat hun systeem onfeilbaar is? Het zou immers zomaar kunnen dat een gebruiker tegen… Lees verder

De strafbaarheid van gestolen naaktfoto’s

| AE 6940 | Ondernemingsvrijheid, Privacy, Regulering | 43 reacties

Nooit gedacht dat ik ooit ‘fap’ in een juridische blog zou gebruiken, maar vooruit. De Amerikaanse FBI onderzoekt de diefstal van naaktfoto’s van tientallen actrices en artiesten in de Verenigde Staten, meldde Tweakers. De foto’s zouden zijn ontvreemd na inbraken op Apple’s iCloud en aangeboden op de beruchte site 4chan. Hetgeen aanleiding gaf voor allerlei… Lees verder