Ik moet van mijn school andermans telefoon doorsnuffelen!

| AE 9874 | Beveiliging | 27 reacties

Een lezer vroeg me:

Voor mijn opleiding moet ik een vak volgen over forensische ICT. De opdracht is nu om een telefoon te doorzoeken, en de docent meldde trots dat hij deze op Marktplaats heeft gekocht, om de klus interessanter te maken. Het zijn dus echte telefoons met echte data. Ik voel me daar niet comfortabel bij, mag ik dit wel?

Wat een rare opdracht, en niet eens vanwege de juridische kant. Hoe kun je nu studenten beoordelen die allemaal zó verschillende input krijgen? Je zult net de telefoon van de directeur van Bits of Freedom krijgen en je buurman die van Samantha van der Plas, hoe kun je dat ooit met elkaar vergelijken?

Juridisch gezien denk ik niet dat dit door de beugel kan. Natuurlijk wordt de school eigenaar van die telefoon wanneer een docent die koopt, en het is toegestaan je eigendom te doorzoeken of er andere schoolactiviteiten mee te ondernemen. Maar dat recht houdt op wanneer andermans persoonsgegevens in het gedrang komen.

(Als privépersoon-koper kun je iets sneller klaar zijn. Volgens de wet behoor je eigenaar te worden van het hele toestel, zonder enige last of beperking (art. 7:15 lid 1 BW). Als er toch nog data van iemand op blijkt te staan, dan is dat dus een beperking die er niet hoort te zijn. Daar kun je de verkoper dus op aanspreken, hij moet deze tekortkoming in de koopovereenkomst herstellen. Heel formeel moet het toestel dus terug, waarna de verkoper het wist en het opnieuw aan je geeft. Praktisch gezien zou ik geen bezwaar zien tegen even namens de verkoper die data wissen, dat is effectief hetzelfde en scheelt een hoop rompslomp.)

De school weet donders goed dat die telefoon vol zit met persoonsgegevens van een ander, dat is immers het hele doel van die opdracht. Er is geen toestemming van die mensen om daarmee te werken. (Enkel dat iemand zijn telefoon verkoopt is nog geen uitdrukkelijke specifieke toestemming voor gebruik van die persoonsgegevens.) Er is ook geen contract dat dit onderzoek rechtvaardigt.

Je komt dan uit bij de eigen dringende noodzaak: ik kan niet anders, en ik heb rekening gehouden met de privacy. De belangenafweging is dan simpel, kom nou toch. Je kunt immers prima zo’n telefoon voorzien van nepdata en dan de studenten aan de slag laten gaan. En daarmee is er dus geen legitiem eigen belang om hiermee te gaan werken. Met een beetje goede wil kun je dit zelfs het opzettelijk verzorgen van een datalek noemen, een ongeautoriseerde verwerking.

Het lastige is alleen: hoe vertel je dat die docent?

Arnoud

Hoe gaat de rechter om met bewijs waarvan het origineel kwijt is?

| AE 6229 | Beveiliging | 16 reacties

harde-schijf-harddisk-image-bits-bytes.pngEen lezer vroeg me:

Bij forensisch onderzoek wordt altijd eerst een forensische kopie van het digitale bewijsmateriaal gemaakt. Maar wat nu als de originele datadrager fysiek verloren is gegaan? Hoewel er vaak nog wel dingen terug te halen zijn, kan het goed zijn dat niet meer onomstotelijk te is bewijzen dat origineel en kopie 100% identiek zijn.

De term “bewijs” kennen we uit de wetenschap. Als iets bewezen is, dan is het zo. Daar kan geen twijfel over zijn; wie het wil verifiëren kan zijn gang gaan want een wetenschappelijke stelling moet falsifieerbaar zijn. Ik werd vroeger aan de TU doodgegooid met discussies over dat je van software kunt bewijzen dat deze foutloos is. Of dat kan, weet ik nog steeds niet, maar ik heb er wel een onbedwingbare neiging aan overgehouden om bij elke IT-gerelateerde kwestie te gaan zoeken naar foutjes, afwijkende situaties, uitzonderingen en bijzondere gevallen.

Het recht is echter geen wetenschap en hanteert dan ook niet die wetenschappelijke definitie. Iets bewijzen in het recht komt neer op de rechter mee laten gaan in jouw standpunt, meer niet. Hij moet er redelijkerwijs van overtuigd zijn dat je gelijk hebt.

Of nou ja, in het civiele recht – wat wij hier meestal bespreken. Dus wanneer is er sprake van een contract, wanneer is er schade aangericht, wie is aansprakelijk voor welke handeling, etcetera. In het strafrecht (foei je gaat de cel in als je dat doet) geldt een strengere regel: wettig en overtuigend bewijs. De rechter moet ervan overtuigd zijn dat de verdachte schuldig is, er mag geen redelijke twijfel meer zijn.

De wet eist nergens dat bewijs volgens de hoogste normen van forensisch onderzoek wordt geleverd. Bewijs wordt niet op voorhand uitgesloten omdat het elektronisch is of dat NFI normen niet gevolgd zijn. (Overigens is er geen NFI norm over onderzoek aan harde schijven.) De rechter bekijkt en beoordeelt wat hem wordt voorgelegd, en of het nu op een bierviltje staat of op een CD-ROM zal hem in principe worst wezen.

Bij ICT-zaken zal het vrijwel altijd aankomen op verklaringen of rapporten van deskundigen. Die deskundige kan bijvoorbeeld een PC onderzoeken en op basis daarvan zijn conclusies trekken op basis waarvan de rechter zich kan laten overtuigen. Een naar forensische normen correct uitgevoerd onderzoek is niet eenvoudig van tafel te krijgen, en dat is natuurlijk een belangrijk stuk meerwaarde.

Maar het gaat bij bewijs niet alleen om de technische sporen. Minstens zo belangrijk is de vraag wat deze in context betekenen. Rechters kijken dan ook altijd naar zaken zoals: wat voor soort acties zijn er vanaf de PC of het netwerk in kwestie gepleegd, had de verdachte daar iets bij te winnen en past het bij wat we nog meer van de verdachte weten?

Zo riep een verdachte in een oplichtingszaak dat een hacker (ja sorry, zo noemen ze dat in de rechtspraak) vanaf zijn PC de betreffende spullen op Marktplaats.nl had aangeboden. Terecht gelooft de rechter daar geen bal van: waarom zou die hacker dat doen, laat staan onder vermelding van het bankrekeningnummer van de verdachte? En waarom stortte de verdachte het geld niet terug als hij niet zou weten waar dat vandaan kwam?

In een andere, m.i. bijzonder kwalijke zaak werden op een PC versleutelde kinderporno-bestanden aangetroffen. Het leek de rechtbank duidelijk dat hier geen derde bezig was geweest. Waarom zou die a) kinderporno uploaden naar die PC b) dat encrypten met een wachtwoord dat bestond uit sigarettenmerk en geboortejaar van de verdachte en dan c) het icoon van het encryptieprogramma (Privacy Master) op de desktop zetten waar de verdachte het meteen zou zien? Los van het feit dat geen sporen van computerinbraak waren aangetroffen. Het verweer dat het dan misschien de dertienjarige zoon(!) van de verdachte zou zijn geweest, werd eveneens niet aanvaard.

Afijn. Sorry, dit was even een stokpaardje waar ik wat over kwijt moest. Maar het is wel relevant voor het antwoord: in een geval waarin de bron verloren is, zal de rechter dus niet automatisch zeggen “sorry, het bewijs is onverifieerbaar en doet dus niet meer mee”. Hij zal kijken naar de omstandigheden, de redenen voor vernietiging, de zorgvuldigheid van het onderzoek, de reputatie van de onderzoeker en hoe het bewijs past in het overige bewijs dat is overlegd.

Arnoud