Diefstal Archives - Pagina 2 van 4

Denk je een tip te geven, krijg je een knorrige bedrijfsjurist op je dak

Geplaatst op 19 oktober 201514 oktober 2015 in Iusmentis, Ondernemingsvrijheid, 19 reacties

grumpy-cat-no-nee-weigering-jurist Als je de directeur van AT&T een tip durft te geven, dan krijg je een knorrige bedrijfsjurist op je dak, las ik bij Ars Technica (dank, tipgevers!). “AT&T has a policy of not entertaining unsolicited offers to adopt, analyze, develop, license or purchase third-party intellectual property… from members of the general public,” zo klonk het korzelig in reactie op een eenvoudige suggestie om een nieuwe abonnementsvorm in te voeren. Stapte hier iemand met het verkeerde been uit bed, of is dit beleid? Het is beleid.

Ene Alfred Valrie had de CEO gemaild op het mailadres dat al jaren publiek geadverteerd wordt, om te suggereren dat het bedrijf een all-you-can-download DSL-abonnement zou moeten introduceren en bij voorkeur ook beperkte SMS-bundels voor mensen die zelden SMS’en. De bedrijfsjurist reageerde meteen, maar niuet zoals Alfred had verwacht:

AT&T has a policy of not entertaining unsolicited offers to adopt, analyze, develop, license or purchase third-party intellectual property… from members of the general public, … Therefore, we respectfully decline to consider your suggestion.

Bedrijven doen dit omdat er in de VS een angst heerst dat als je iemands idee aanneemt, ze achteraf schadeclaims gaan indienen omdat het “hun IP” is. Dat is juridisch onzin – op ideeën als zodanig kún je geen intellectueel-eigendomsrecht claimen. Maar praktisch gezien moet je dan toch weer van die rechtszaak af, en dat gaat tijd en geld kosten. Het is dan beter (vanuit bedrijfsjuridisch perspectief) om dit voor te zijn en meteen “lalala wij willen u niet horen, ga weg” te roepen. Dat dit bepaald onvriendelijk is, is dan een secundaire factor.

Eigenlijk zou die jurist dus een analyse moeten maken, kán men hier rechten op claimen, en als dat niet zo is, de directeur lekker enthousiast laten reageren. Alleen, ook in dat geval blijft er het risico van een claim. Mensen kunnen immers frivole claims indienen, en dat blijft dan toch boven je bedrijf hangen. Dus wat moet je anders als jurist?

Arnoud

Een Spotify-account overnemen versus de Wet computercriminaliteit

Geplaatst op 8 oktober 20155 oktober 2015 in Regulering, 15 reacties

Weer een interessante Tweakersdiscussie, ditmaal over een jongen die een Spotify premium account generator gebruikt had dat van een politie-stagiair bleek te zijn. Die wist de jongen te traceren en dreigde met aangifte wegens creditcardfraude. Hoe strafbaar is dat dan, een Spotify-account overnemen?

De agent-in-opleiding noemt art. 232 Strafrecht als basis. Dat artikel stelt strafbaar het vervalsen, manipuleren of namaken van een betaalkaart om daar voordeel uit te trekken. Het namaken van een boekenbon valt hieronder, net als het manipuleren van het saldo op een prepaidkaart.

Hier gaat dat niet op: de inloggende jongen heeft niets gedaan met de creditcard als zodanig. Hij heeft ingelogd op het account van een ander. Daarvoor is primair de computervredebreuk (art. 138ab Strafrecht bedacht: wederrechtelijk binnendringen in een geautomatiseerd werk, zoals een server van Spotify. Daarbij maakt het niet uit of je een technische truc hebt gebruikt of het wachtwoord hebt afgekeken of geraden. Als je er niet mag zijn, heb je binnengedrongen. Zelfs als het wachtwoord gewoon op internet stond (zoals bij het Welkom123-wachtwoord van het LCMS).

Ook is er een artikel over het gebruiken van betaaldiensten zonder daarvoor te betalen (art. 326c Strafrecht), hoewel je je daarbij kunt afvragen of dat ook geldt als er op zich gewoon betaald wordt voor de dienst (hoewel door een ander). Het idee van dit artikel is volgens mij meer het strafbaar stellen van descramblers of gebruik van kraaksoftware voor beveiligde diensten.

In de draad noemt een aantal mensen het diefstal. Dát betwijfel ik heel erg. Weliswaar heeft de HR in het Runescape arrest en het gelijktijdige SMS-bundelarrest bepaald dat je ook virtuele dingen en zelfs creditstegoeden kunt stelen, maar het ging daar om concrete items met waarde die worden verbruikt. Bij Spotify is er niet zoiets. Je kunt niet 1 unit Spotify van iemand verbruiken, zoals je een SMS uit een bundel of een credit verbruikt. Daarom kun je Spotify niet stelen.

Tenzij je zegt: hij heeft het account zélf gestolen. Dan moet je aantonen dat een Spotify-account (naam en wachtwoord) een concreet item is met waarde (het is premium, dus ja), en dat je de macht daarover jezelf kunt toeëigenen (kan, verander het wachtwoord). Alleen zit ik dan nog met het punt van verbruik. Een SMS uit een bundel is verbruik, een Watt elektriciteit is verbruik, maar hoe is inloggen op Spotify ‘verbruik’?

Arnoud

Wanneer is het strafbaar met een nepnaam internet op te gaan?

Geplaatst op 16 september 201514 september 2015 in Ondernemingsvrijheid, Privacy, Regulering, 16 reacties

Roel Stellinga (18) ontdekte vorige maand bij toeval dat zijn foto’s van Facebook werden misbruikt door ene ‘Oscar’. Dat las ik in het AD. Via dit nepprofiel – en dus met zijn foto’s – werden jonge meisjes benaderd. De les van Roels vader: “Als je je account niet goed afschermt, kan het blijkbaar toch vrij gemakkelijk gebeuren dat er misbruik wordt gemaakt van je foto’s.” Met aanverwant de vraag, hoe strafbaar is dat, een nepprofiel?

Op zich is het volgens mij niet strafbaar om een valse naam te gebruiken op internet. Sterker nog, dat is een goed idee vanwege de privacyproblemen die je tegen kunt komen als je onder je eigen naam online gaat.

Bij een naam hoort een plaatje, en als je naam vals is dan ligt het voor de hand om ook niet je eigen foto te gebruiken. Dat gebeurt evenzo massaal, en ook daar lijkt me (afgezien van auteursrecht van de fotograaf) weinig mis mee. Tenminste, zolang het plaatje evident niet de indruk wekt jouzelf af te beelden.

Gebruik je andermans profielfoto, dan wek je de indruk dat jij die persoon bent. Dan zou de vraag voor mij worden, kan jouw publiek die persoon herkennen en dus denken dat jij het bent? Het maakt nogal uit of je zoals hier een foto van een stadsgenoot gebruikt of van een willekeurige Amerikaan als je in Nederland actief gaat chatten en profielen. In dat laatste geval zie ik juridisch gezien niet echt een probleem.

Als je iemand anders identiteit aanneemt, dan heet dat juridisch identiteitsfraude en dat is strafbaar. De wet (art. 231b Strafrecht) bepaalt:

Hij die opzettelijk en wederrechtelijk identificerende persoonsgegevens, niet zijnde biometrische persoonsgegevens, van een ander gebruikt met het oogmerk om zijn identiteit te verhelen of de identiteit van de ander te verhelen of misbruiken, waardoor uit dat gebruik enig nadeel kan ontstaan, wordt gestraft met een gevangenisstraf van ten hoogste vijf jaren of geldboete van de vijfde categorie.

(‘Verhelen’ betekent ‘verhullen, achterhouden’.) Hiermee is het dus eenvoudiger geworden dan vroeger: toen was identiteitsfraude op zich niet strafbaar maar moest er ook een ander strafbaar feit worden gepleegd, zoals oplichting of smaad.

Die ander moet “enig nadeel” lijden door de fraude. Enkel chatten met andermans foto lijkt me niet snel ‘nadeel’, tenzij je zoals hier de grens van het strafbare grooming van minderjarigen opgaat. Dat kan immers afstralen op de geportretteerde persoon. Ook het mensen geld aftroggelen omdat ze je herkennen als die ander en bv. een schuld willen aflossen of jou iets lenen, is een vorm van “nadeel” dat onder deze wet strafbaar is.

De praktijk is natuurlijk buitengewoon weerbarstig bij dit soort zaken. Ik verwacht dat je weinig meer voor elkaar zult krijgen dan Facebook het profiel laten opdoeken – NAW-gegevens opeisen bij het sociale netwerk is een theoretische optie, maar vooralsnog niet heel succesvol. Aangifte kan, maar ik heb nog geen succesvolle verhalen daarover gehoord.

Wat zouden jullie doen als je in Roels positie verkeerde?

Arnoud

Ben ik een dief als de algemene voorwaarden van Albert Heijn dat zeggen?

Geplaatst op 22 april 201520 april 2015 in Ondernemingsvrijheid, Regulering, 31 reacties

albert-heijn-akkoord-voorwaarden-nee-nee-nee Een lezer vroeg me:

Onlangs zijn de voorwaarden van zelfscannen van de Albert Heij gewijzigd. Er staat nu in dat je diefstal pleegt als achteraf blijkt dat niet alles gescand is. Maar mag AH wel zo kort door de bocht aannemen dat hun systeem onfeilbaar is? Het zou immers zomaar kunnen dat een gebruiker tegen een bug aanloopt, waarbij het systeem ‘bleep’ doet als indicatie dat het product gescanned is, maar het product niet op de virtuele kassabon terecht is gekomen.

De oude voorwaarden van zelfscannen kan ik zo niet meer vinden, maar inderdaad, in de voorwaarden van de app staat nu:

Blijkt bij controle dat niet alle producten zijn gescand nadat u uw (mobiele) Bonuskaart bij de betaalpaal hebt gescand, dan beschouwen wij dit als diefstal en kunnen wij aangifte doen.

Dat klinkt nogal streng, want er wordt inderdaad geen ruimte gelaten voor de situatie dat er wél is gescand maar dat niet is geregistreerd. Ook niet voor situaties waarin je oprecht vergeten was iets te scannen, hoewel dat natuurlijk geen sterk argument is als je bij de uitgang van een supermarkt staat.

Echter, het is niet zo dat je een strafbaar feit begaat enkel omdat iemands algemene voorwaarden zeggen dat dat zo is. Natuurlijk mag men aangifte doen als men meent dat je iets strafbaars hebt gedaan, maar de inhoud van je contract met het bedrijf is daarbij niet relevant.

Je steelt als je iets wegneemt met de bedoeling je dat toe te eigenen zonder te betalen. En die bedoeling moet bewezen worden. Enkel dat je met een product in je handen buiten staat, is daarvoor niet genoeg. Je kunt iets vergeten zijn te scannen, of de software werkte niet goed. Die opties moeten worden uitgesloten voordat men kan bewijzen dat je het product stiekem wilde meenemen.

Een aanvullend punt van de vraagsteller was nog hoe het zit met de broncode. Zonder de broncode van de zelfscanapp kun je niet bewijzen hoe deze werkt, dus dan sta je zwak als je wilt aantonen dat er een bug in de software zit. Dat is een lastige. Er is geen recht om broncode van bewijsmiddelen op te eisen. De enige manier die ik hier kan bedenken, is een kennis nogmaals eenzelfde set aankopen te laten doen en dat filmen om zo vast te leggen dat hij vaker die fout maakt. Maar als het een eenmalige bug was (of afhankelijk van de stand van de maan in combinatie met het aantal mobiele telefoons in de buurt én het feit dat de rozijnen in de bonus waren) dan wordt dit wel heel moeilijk inderdaad.

Arnoud

Is het strafbaar om gestolen bitcoins te kopen?

Geplaatst op 12 september 20149 september 2014 in Regulering, 21 reacties

bitcoin-cc-by-sa-flickr-zach-copley Een lezer vroeg me:

Stel ik koop bitcoins die via een misdrijf zijn verkregen. Ben ik dan strafbaar, of hangt dat af van of ik wist van dat misdrijf? Plus, moet ik ze teruggeven?

In Nederland is het strafbaar als witwassen (art. 420bis Strafrecht) om de werkelijke aard, de herkomst of vindplaats van een goed (fysieke spullen, maar ook vermogensrechten, en dus ook digitaal geld) te verhullen terwijl je weet (of had moeten weten, 420quater) dat dat goed afkomstig is uit een misdrijf.

Witwassen van bitcoins is vrij eenvoudig, want het is onmogelijk te zien door welke transactie de bitcoins zijn verkregen. Ja, je kunt terug in de transactieledger maar daaraan kun je alleen zien dát bitcoins van Alice komen, en niet of dat door diefstal van Alice haar wallet is gebeurd of door een vrijwillige transactie door Alice. En om diezelfde reden is het voor koper Bob niet snel denkbaar dat hij schuldig is aan witwassen – hij kon het niet weten, tenzij bitcoindief Charlie hem daar aanleiding toe gaf.

En dan nog een leuke: als Alice Bob weet te traceren, kan ze dan de bitcoins terugeisen? De wet bepaalt dat de werkelijke eigenaar het gestolene mag terugeisen van de partij die het onder zich heeft. Juridisch heet dat recht van terugeisen revindicatie (art. 5:2 BW), en bij diefstal moet dit binnen drie jaar na de diefstal worden uitgeoefend. De koper moet dan maar zien of en hoe hij zijn geld terugkrijgt van de verkoper.

Op dit principe geldt een uitzondering: wie het gestolen goed krijgt van “een vervreemder die van het verhandelen aan het publiek van soortgelijke zaken anders dan als veilinghouder zijn bedrijf maakt in een daartoe bestemde bedrijfsruimte” (art. 3:86 BW), hoeft het niet terug te geven. De wet eist hierbij wel dat de vervreemder zaken doet in een gebouwde onroerende zaak. Hiermee wil men achterbakhandelaars en marktkraamhouders uitsluiten van de uitzondering, maar als onbedoeld bijeffect van die baksteenvereisende definitie zijn webwinkels nu óók uitgesloten van deze uitzondering. Het lijkt me redelijk dat een beetje webwinkel hier toch echt ook onder moet vallen, mits vergelijkbaar met zo’n bakstenen bedrijfsruimte. Ik kan er werkelijk niet bij dat een koop bij een winkeltje om de hoek wél en een koop bij Bol.com niet beschermd zou zijn.

Of een Bitcoinexchange hieronder valt, is dus nog maar zeer de vraag. Exchanges doen geen zaken in gebouwde onroerende zaken, en je zou ze ook prima als veilinghuizen kunnen zien waardoor ze om nog een reden er niet onder vallen. Dus ja, in principe kan Alice ze terugvorderen van Bob binnen drie jaar na de transactie. Mits ze kan bewijzen dat het haar bitcoins waren en dat iemand ze heeft gestolen. En hoe doe je dát?

Arnoud

De strafbaarheid van gestolen naaktfoto’s

Geplaatst op 4 september 20143 september 2014 in Ondernemingsvrijheid, Privacy, Regulering, 43 reacties

simpsons-cloud-diefstal-data-foto Nooit gedacht dat ik ooit ‘fap’ in een juridische blog zou gebruiken, maar vooruit. De Amerikaanse FBI onderzoekt de diefstal van naaktfoto’s van tientallen actrices en artiesten in de Verenigde Staten, meldde Tweakers. De foto’s zouden zijn ontvreemd na inbraken op Apple’s iCloud en aangeboden op de beruchte site 4chan. Hetgeen aanleiding gaf voor allerlei figuren om dit “The Fappening” te noemen. Ondertussen wordt er hard opgetreden en vele forums zijn bezig links en foto’s te verwijderen.

In Nederland hebben we een aantal jaren terug iets vergelijkbaars meegemaakt. In deze zaak had iemand privéfoto’s van een televisiepresentatrice gekopieerd en verspreid na inbraak op haar thuisnetwerk. Hij kreeg hiervoor een werkstraf en 3.000 euro boete, hoewel de Hoge Raad uiteindelijk de zaak gedeeltelijk ongeldig verklaarde omdat er onjuist was gedagvaard.

Dat het verkrijgen van die foto’s strafbaar is, lijkt me niet echt een discussie. Ook niet als het bleek te gaan om misbruik van een zwak wachtwoord – voor computervredebreuk is niet nodig dat je een sterke beveiliging omzeilt of hele ingewikkelde dingen doet.

Het publiceren van deze foto’s is evenzo strafbaar. Dit levert namelijk op “het openbaar maken van een portret zonder daartoe gerechtigd te zijn” (art. 30 Auteurswet). En natuurlijk kun je ook als slachtoffer een schadeclaim indienen (onrechtmatige daad, schending van portretrecht) wanneer zo’n privéfoto wordt gepubliceerd.

Ik zie diverse persmedia de beelden publiceren, vermoedelijk vanuit het idee dat dit hoort bij hun taak van het publiek informeren over het nieuwsfeit dat die foto’s gestolen zijn. Maar als het gaat om gestolen privéfoto’s dan is de rechtspraak streng: er is eigenlijk géén nieuwsbelang te bedenken dat rechtvaardigt dat je die foto publiceert. Dat weten we bijvoorbeeld uit deze zaak waarin de digitale camera van prinses Maxima gestolen werd. Dat nieuwsfeit melden mocht (natuurlijk) maar wat foto’s uit die camera erbij diende geen algemeen belang.

Maar mag je ze hebben op je eigen computer, in het kader van je deelname aan The Fappening of gewoon uit nieuwsgierigheid? Dat is een lastige. Momenteel is het niet strafbaar om digitale gegevens te bezitten die uit misdrijf zijn verkregen. Digitale heling is dus niet strafbaar. In het nieuwe wetsvoorstel computercriminaliteiter zal dit veranderen: er komt tot een jaar cel te staan op het verwerven of voorhanden hebben van “niet-openbare gegevens” wanneer je wist of redelijkerwijs had moeten vermoeden dat deze door misdrijf zijn verkregen (nieuw art. 139f Strafrecht). Echter:

Degene die door misdrijf verkregen gegevens via het internet openbaar maakt is op grond van deze bepaling strafbaar, maar niet de persoon die via het internet openbaar gemaakte gegevens download. Zonder deze beperking zou het van het internet downloaden van gegevens die eerder door misdrijf zijn verkregen en door een ander zijn geupload in het algemeen strafbaar worden.

Wel is er een apart lid dat bepaalt dat als je het eenmaal weet en je ze uit winstbejag bewaart of gaat gebruiken (ahem) je alsnog strafbaar bent. Denk aan bedrijfsgeheimen die je downloadt van pastebin en daarna gebruikt om je eigen bedrijf te verbeteren.

En toch nog even een vraag voor de “vrijheid van meningsuiting/informatievrijheid staat voorop”-mensen: mogen deze foto’s nu eeuwig online blijven, nu ze ondertussen effectief publiek zijn geworden? Er zijn vertoningen op televisie geweest, diverse kranten hebben foto’s afgedrukt en ga zo maar door. Of mag in dit geval misschien de privacy het toch winnen?

Arnoud

BeWifi bundelt bandbreedte bij buren

Geplaatst op 28 januari 201427 januari 2014 in Innovatie, Ondernemingsvrijheid, 9 reacties

bewifi Het Spaanse telecombedrijf Telefonica heeft onder de naam BeWifi een technologie ontwikkeld die het mogelijk maakt om extra bandbreedte van naburige modems te ‘lenen’ via wifi, meldde Tweakers zondag. Modems met BeWifi aan boord werken met elkaar samen; als een modem capaciteit over heeft, deelt hij die met een ander modem dat net hevig staat te downloaden. Ars Technica gaat er dieper op in en lokt lezers met “lets you steal your neighbor’s wifi”. Eh, kan dat dan, bandbreedte van de buren stelen?

Diefstal van niet-tastbare dingen is juridisch een lastig ding. Hoewel in 1921 de Hoge Raad al bepaalde dat elektriciteit kon worden gestolen, werd in 1996 het dan weer onmogelijk geacht om software te stelen. Het kenmerkende verschil? Elektriciteit had waarde én uniciteit: als ik het gebruik, kun jij dat niet meer gebruiken. Software heeft die eigenschap niet. Je kunt software alleen kopiëren. Toegegeven, je kunt software ook vernielen (wissen) maar strafrechtelijk gezien zijn kopiëren en wissen twee handelingen en diefstal is er maar eentje.

In 2012 kregen we het Runescape-arrest: virtuele goederen zoals zwaarden in een online spel kunnen worden gestolen. En op diezelfde dag werd ook het Belminuten-arrest gewezen, waarin werd bepaald dat het verbruiken van iemands sms- belbundel óók diefstal was. Ook hier speelde die uniciteit een rol: stuur jij 300 smsjes met mijn telefoon, dan kan ik dat niet meer (binnen de bundel dan). En die virtuele goederen zijn weliswaar eigenlijk software, maar software binnen een omgeving die gemaakt was om dingen te verplaatsen. Dat zwaard wordt niet gekopieerd en gewist, maar in één atomaire operatie verplaatst.

Hoe zit dat dan met bandbreedte? Die kost geld (en heeft dus waarde), en als ik de bandbreedte vol opslurp dan kan mijn buurman die niet meer gebruiken. Alleen: die waarde is niet gekoppeld aan de mate van slurpen. En daarom is bandbreedte niet te stelen. Tenminste niet bij wifi-bandbreedte; bij een 3G netwerk voor mobiel internetten wordt er wel per megeabyte afgerekend, dus uit een internetbundel kan worden gestolen net zoals uit een sms-bundel.

In 2008 was er nog een zaak waarin “diefstal van bandbreedte” ten laste werd gelegd aan een verdachte die een computer had geinstalleerd in het vals plafond van een studentenflat om zo van de snelle internetverbinding daar te profiteren. Door ongeoorloofd gebruik te maken van bandbreedte verliest de rechthebbende immers hierover niet noodzakelijkerwijs de feitelijke macht, aldus de rechtbank toen. Hij heeft nog steeds controle over de netwerkverbinding en kan deze nog steeds gebruiken. De snelheid wordt minder, maar ‘snelheid’ is geen meetbare eigenschap met uniciteit.

Overigens krijg ik de indruk dat BeWifi alleen maar werkt als beide buren eraan meedoen. En het lijkt me dat als je een modem installeert waarvan je weet dat het bandbreedte deelt met de buren, je onmogelijk nog van diefstal kunt spreken als die buren zich bandbreedte laten toebedelen. Nog even afgezien van het punt dat BeWifi belooft dat je er zelf niets van merkt – de buren worden afgeknepen zodra je zelf weer gaat internetten.

Arnoud

Een brakke beveiliging hebben, waarom is dat niet strafbaar?

Geplaatst op 31 mei 201331 mei 2013 in Regulering, Security, 28 reacties

brakke-beveiliging Recent was ik bij het responsible-disclosure event van hackerclub Revspace. Bij die avond kwam nog een intrigerend puntje langs: het is strafbaar om een brakke beveiliging te kraken, maar het is niet strafbaar om een brakke beveiliging te hébben. Althans, wij konden geen wetsartikel bedenken tijdens de discussie. Heel merkwaardig.

Het is strafbaar om binnen te dringen in een geautomatiseerd werk, zoals een computer of een netwerk. Daarbij hóef je geen beveiliging te doorbreken; het is genoeg dat je weet dat je niet mocht zijn op de plek in dat werk waar je bent. Net zoals je bij erfvredebreuk in overtreding bent zodra je een bordje “Verboden toegang art. 461 WvSr” passeert, ook al sloop je geen slot. Maar toelaten dat er wordt binnengedrongen is niet strafbaar.

Daarnaast is het strafbaar om gegevens te vernielen (=veranderen, wissen, onbruikbaar of ontoegankelijk maken, of gegevens eraan toevoegen). Hiervan is ook wat juristen noemen een culpose variant: “Hij aan wiens schuld te wijten is dat” er gegevens worden vernield, oftewel hij die nalatig was in het voorkomen van vernieling is ook strafbaar. Maar gegevensovername of gegevensdiefstal wordt hier niet genoemd.

Dus stel ik zet mijn klantenbestand online zonder adequate beveiliging en een Chinees kopieert de hele boel na het raden van het wachtwoord. De Chinees schendt 138ab, maar is niet te vervolgen. Maar wat valt mij te verwijten? Er is niets “veranderd, gewist, onbruikbaar of ontoegankelijk gemaakt” en ik heb geen beveiliging doorbroken. Ik was ook niet op onbevoegd terrein.

Ook in andere wetgeving kom ik geen regels over beveiligingsplichten tegen. Ja, artikel 13 Wbp eist “adequate beveiliging” als het gaat om persoonsgegevens. Maar dat is formeel bestuursrecht: het Cbp kan bij overtreding een last onder dwangsom opleggen, maar overigens geen boetes (art. 61 Wbp). Strafbaar is het niet, want artikel 75 Wbp (dat bepaalt wat er persoonsgegevenstechnisch strafbaar is) noemt artikel 13 niet. Heel merkwaardig.

Sinds enige tijd hebben telecomproviders een meldplicht bij datalekken waarbij persoonsgegevens op straat komen (art. 11.3a Tw). Maar ook dat is bestuursrecht, hoewel de OPTA wel boetes kan opleggen bij overtreding. Alleen, denk ik dan pietluttig: er staat “een inbreuk op de beveiliging die nadelige gevolgen heeft voor de bescherming van persoonsgegevens” en wat nou als ik geen beveiliging héb?

Heel merkwaardig dus.

Misschien dat het te maken heeft met de moeilijkheid een adequate definitie te vinden? Of dat er onbedoelde bijeffecten optreden als je bv. zegt “hij aan wiens nalatigheid/schuld het te wijten is dat persoonsgegevens worden verkregen/misbruikt”?

Arnoud

Als je bij een webshop gestolen waar koopt, moet je het dan teruggeven aan de eigenaar?

Geplaatst op 30 mei 201329 mei 2013 in Ondernemingsvrijheid, Regulering, 16 reacties

Intrigerende vraag via Twitter: als je iets koopt via een webshop dat gestolen blijkt, moet je het dan teruggeven als de bestolen eigenaar opduikt?

Wanneer een zaak gestolen wordt, wordt deze vaak doorverhandeld (heling). Dat is verboden, en terecht dan ook dat de wet bepaalt dat de werkelijke eigenaar het gestolene mag terugeisen van de partij die het onder zich heeft. Juridisch heet dat recht van terugeisen revindicatie (art. 5:2 BW), en bij diefstal moet dit binnen drie jaar na de diefstal worden uitgeoefend. De koper moet dan maar zien of en hoe hij zijn geld terugkrijgt van de verkoper. Wel kan hij soms een vergoeding eisen van de eigenaar (art. 3:120 BW).

Frustrerend daarbij is echter dat je het niet zomaar weer mee mag nemen bij wijze van eigenrichting. Er worden soms zelfs mensen gearresteerd wegens diefstal omdat ze hun gestolen fiets weer meepakken. Een expliciete wettelijke basis daarvoor heb ik nog niet kunnen vinden; verder dan “het zou kunnen dat de huidige houder deze legaal onder zich heeft dus we moeten de civiele rechter het laten uitzoeken” kom ik niet.

Een houder van gestolen goed kán namelijk deze legaal hebben verkregen. De wet (art. 3:86 BW) noemt namelijk als uitzondering op het opeisingsprincipe de situatie dat:

de zaak door een natuurlijke persoon die niet in de uitoefening van een beroep of bedrijf handelde, is verkregen van een vervreemder die van het verhandelen aan het publiek van soortgelijke zaken anders dan als veilinghouder zijn bedrijf maakt in een daartoe bestemde bedrijfsruimte, zijnde een gebouwde onroerende zaak of een gedeelte daarvan met de bij het een en ander behorende grond, en in de normale uitoefening van dat bedrijf handelde

In normaal Nederlands: als een consument de zaak heeft gekocht bij een professioneel winkelier die handelde vanuit een winkel. Die nogal expliciete definitie van wat een winkel is, staat daar om verkoop op de markt of vanuit een rondrijdend busje er buiten te laten vallen. Het idee is dat de consument moet kunnen vertrouwen op koop bij ‘bakstenen’ winkels, dat zijn immers geen snel weer weg wezende schimmige handelaren.

Als onbedoeld bijeffect van die baksteenvereisende definitie zijn webwinkels nu óók uitgesloten van deze uitzondering. Het lijkt me redelijk dat een beetje webwinkel hier toch echt ook onder moet vallen, mits vergelijkbaar met zo’n bakstenen bedrijfsruimte. Ik kan er werkelijk niet bij dat een koop bij een winkeltje om de hoek wél en een koop bij Bol.com niet beschermd zou zijn.

Alleen: hoe definieer je dan een webwinkel, zonder marktkramen en busjes mee te nemen?

Arnoud

Maar hij staat dáár!

Geplaatst op 22 april 201321 april 2013 in Security, 21 reacties

imac-hij-staat-daar Diverse lezers wezen me op dit GeenStijlbericht over een gestolen laptop die de politie niet wilde terughalen. Op de bekende tendentieuze, ongefundeerde en nodeloos kwetsende wijze werd daar melding gemaakt van een poepdure hipstermachine die in 020-Gaza beneden zijn stand weg stond te kwijnen in het onrechtmatige bezit van werkschuw steeltuig. En de pliesie zat achterover want ja die wetgeving mevrouwtje, terwijl de Find My Mac gewoon zegt waar ie staat.

De ophef is in dit geval een tikje onterecht: de locatie die Find My Mac aangeeft, is een flatgebouw en preciezer dan dat is het niet te krijgen. Dus wat móet je dan als politie, de hele flat gaan doorzoeken?

Maar stel, de locatie zou wel precies genoeg zijn. De laptop werd gestolen ergens op het platteland, en de GPS-coördinaten zijn nauwkeurig genoeg om die ene boerderij eruit te pikken die zich tussen de akkers bevindt. Is dat dan bewijs genoeg voor een doorzoeking?

De wet eist een redelijk vermoeden van schuld, en het is de (onafhankelijke) rechter-commissaris die bepaalt of dat vermoeden genoeg onderbouwd is om een doorzoeking van een woning te rechtvaardigen. De afweging komt volgens mij neer op de vraag hoe betrouwbaar die Find My Mac-informatie is. En dan kom je gelijk bij de vraag, hoe weten we dat het wáár is, wat daar staat? Dat dat echt een gestolen laptop is en dat die zich daar bevindt.

Ook een complicatie kan zijn dat de laptop ondertussen doorverkocht is, waarbij de huidige bezitter geheel legaal eigenaar is geworden. Dat is namelijk een kronkel in onze wet: wie te goeder trouw een goed verwerft, wordt daar soms eigenaar van ook als deze eerder gestolen was. Er zijn wel mogelijkheden om als eigenaar je spullen terug te krijgen, maar triviaal zijn die niet. En wat daar met name steekt, is dat meestal de rechter daarover moet beslissen en dat kan rustig een jaar (of meer) duren.

Stel je fiets wordt gestolen en later zie je iemand daarop fietsen. Dan mag je die iemand aanhouden en overdragen aan de politie. Je mag alleen niet de fiets terughalen, want in de tussentijd is hij juridisch bezitter daarvan geworden. En dan is hij rechthebbende (art. 3:119 BW) tenzij jij kunt bewijzen dat het jouw fiets is. Dat zal niet meevallen zo midden op straat. Dus dan gaat de fiets mee naar de politie (als bewijs).

Bij een laptop zou je kunnen zeggen, ik weet het wachtwoord en mijn naam en foto staan bij het account. Dat zou ik wel eens uitgeprobeerd willen zien bij oom agent.

Arnoud