Mag de politie computerreparateurs betalen om te dataspitten?

| AE 9308 | Strafrecht | 34 reacties

De Amerikaanse FBI zou sinds 2007 medewerkers van de Geek Squad, een computerreparatiedienst van elektronicaketen Best Buy, betaald hebben om als informanten te dienen. Dat meldde Tweakers onlangs. De reparateurs spitten door binnengebrachte computers heen op zoek naar bijvoorbeeld kinderporno. De truc daarachter zou zijn dat de reparateurs dat kunnen zonder gerechtelijk bevel of zelfs maar verdenking, en dat die dan daarna een aangifte doen dat wél grond is voor een verdenking en juridische actie. Hoe zou dat in Nederland uitpakken?

Ook bij ons geldt natuurlijk dat de politie niet zomaar in computers mag snuffelen. Een officier van justitie zou bevel geven tot doorzoeking, en meestal is daarvoor toestemming van de rechter-commissaris nodig. Dat vereist al een stevige verdenking van een misdrijf, op de bonnefooi eens gaan zoeken is niet toegestaan.

Privépersonen zijn niet aan die regels gebonden. Als een reparateur dus bij herstelwerk iets strafbaars aantreft, dan is hij bevoegd daar aangifte van te doen. Hij heeft geen toestemming nodig van een overheidsinstantie om te zoeken naar strafbare informatie of om aangifte te mogen doen.

Het maakt zelfs niet uit of de reparateur toestemming van de eigenaar had om op die plek te gaan zoeken. Snuffelen zonder grondslag kan een probleem zijn – contractbreuk, misschien zelfs computervredebreuk – maar dat maakt het aldus verkregen bewijsmateriaal niet onbruikbaar voor Justitie. In theorie zou de reparateur dan vervolgd worden voor die computervredebreuk, parallel aan de rechtszaak tegen de eigenaar voor hetgeen dat er gevonden is middels die computervredebreuk.

Het punt is hier alleen wel: dit is niet zomaar wat tegenkomen, of zelfs maar snuffelen uit nieuwsgierigheid en wat tegenkomen. Dit is werken in opdracht van de politie. En dán val je ook als burger onder die regels voor de politie. Bewijs dat uit zo’n betaalde snuffelopdracht komt, is dus onbruikbaar bij ons.

De elektronicaketen ontkent overigens dat ze zo’n regeling getroffen hebben. Ik kan me ook moeilijk voorstellen dat de FBI dat wél zou aanbieden, al is het maar omdat de kans dat je wat strafbaars vindt, toch vrij klein is. Nog los van de discussie over rechtmatig verkregen bewijs.

Arnoud

Amerikaanse politie mag nepaccounts op Instagram gebruiken, onze politie ook?

| AE 7259 | Strafrecht | 3 reacties

politie-bordje-logo-aangifte-bureau.jpgDe Amerikaanse politie mag nepaccounts op Instagram aanmaken en hiermee vrienden worden met verdachten, las ik bij Nu.nl. Zo kon men foto’s verkrijgen die bewijs leverden van een wetsovertreding zonder dat een bevelschrift nodig was. Een Amerikaanse rechter achtte dat legaal. Hoe zou dat bij ons gaan?

In Nederland mogen politieagenten minder dan gewone burgers. Althans, ze moeten altijd uit de wet kunnen halen dat ze iets wél mogen, terwijl gewone burgers alleen hoeven te kijken of ze iets níet mogen. Het idee is dat je zo misbruik van bevoegdheden voorkomt. Hoofdregel is: een agent mag het alleen als het in de wet staat, tenzij het gaat om iets met slechts geringe inbreuk op de burgerrechten. Op straat rondkijken is nou niet echt een stevige inbreuk op de privacy, dus dat is zonder specifieke wettelijke grondslag toegestaan aan de politie. Eenmalig in Google Earth kijken ook niet.

Bij ons is geen gerechtelijk bevel nodig om politieagenten videobeelden of foto’s te vorderen. De wet (art. 126nd Strafvordering) eist slechts een bevel van de officier van justitie, niet van de rechter-commissaris. Tenzij je de strenge lijn van de Hoge Raad volgt die zegt dat camerabeelden ‘bijzondere’ persoonsgegevens zijn, dan is een bevel rechter-commissaris nodig.

Alleen, dat gaat eigenlijk over het vorderen van gegevens die niet zomaar te pakken zijn. Bij Instagram en andere sociale media gaat het om openbare bronnen, waar in principe iedereen mag kijken, dus ook de politie. Net zoals ze op straat mogen lopen en observeren wat daar te observeren valt. Ik denk dan ook niet dat er iets nodig is om een agent openbare Instagram-foto’s of een publieke Twitterfeed te laten bekijken. Oké, iemand op Twitter volgen is nog soort van spannend omdat je dan structureel iemands online gangen nagaat. Maar één keer kijken, nee.

Zit een en ander afgeschermd, dan wordt het lastiger. Er is dan bijvoorbeeld artikel 126m Strafvordering, dat regelt wanneer de politie “niet voor het publiek bestemde communicatie die plaatsvindt met gebruikmaking van de diensten van een aanbieder van een communicatiedienst” mag opnemen. En dat artikel vereist wél een machtiging van de rechter-commissaris. Hoewel ook dit artikel niet geschreven is voor sociale media maar voor bijvoorbeeld afluisteren van telefonie, is goed verdedigbaar dat het ook hier opgaat want een afgeschermde Twitterfeed is ook “niet voor het publiek bestemd”. Maar het gaat me wat ver om dat al te laten gelden wanneer de afscherming enkel is dat je lid moet zijn van de dienst, zonder nadere toegang te vragen aan de verdachte. Iedereen mag op Instagram, dus als een politieagent toevallig ingelogd is en dan de foto’s kan zien dan vind ik dat nog wel “voor het publiek bestemd”.

Maar in deze Amerikaanse zaak ging om het aanmaken van nepaccounts, om zo vrienden te worden met de verdachte en zijn foto’s te kunnen inzien. Dan ga je nóg weer een stapje verder, je doet je dan voor als een ander dan je bent. Dat kun je “stelselmatig informatie inwinnen” (art. art. 126j Rv, Oerlemans & Koops). Er moet dan sprake zijn van een misdrijf maar toestemming van de rechter-commissaris is niet nodig.

Tenzij je hier zegt, het was eenmalig en even kort kijken. Dan zou je het, net als dat Google-Earthverhaal, kunnen rechtvaardigen als “slechts geringe inbreuk op de burgerrechten”. Daar valt wat voor te zeggen, immers hij heeft je zelf toegelaten terwijl hij niet wist wie je was, dus heel erg privé vond hij het allemaal niet. Of heb je dan toch iemand misleid dan wel omgepraat?

Arnoud

Microsoft vecht bevel tot afgifte Europese e-mails aan

| AE 6927 | E-mail, Strafrecht | 20 reacties

Microsoft gaat in beroep tegen een rechterlijk bevel om e-mails van Europese gebruikers te overhandigen aan de Amerikaanse overheid, las ik bij Webwereld. In april had de Amerikaanse Justitie een bevel gegeven aan de Amerikaanse moeder tot afgifte van mails opgeslagen bij Microsofts Ierse dochtermaatschappij. Het bevel wordt nu door de rechtbank bevestigd, maar Microsoft gaat dus in hoger beroep.

Wie rechtsmacht heeft in de cloud, blijft een lastige vraag. Het lijkt logisch uit te gaan van waar de servers staan, maar dan wordt het met de flexibiliteit van de cloud wel erg makkelijk om van jurisdictie naar jurisdictie te hoppen.

Kijken waar het bedrijf gevestigd is, is dan misschien beter. Maar hoe ga je dan om met buitenlandse dochters? Het doet gek aan dat je die niets zou mogen vragen terwijl ze toch net zo goed deel van het binnenlandse bedrijf zijn.

Binnen het Amerikaanse strafrecht komt deze vraag neer op de vraag hoe je een cloudmailopeising moet kwalificeren: een doorzoeking of een opvraging? Dit zijn grofweg de twee manieren om als Justitie iets te pakken te krijgenL langsgaan of het laten brengen.

Als je het ziet als een doorzoeking, dan is het bevel onterecht: Amerikaanse Justitie of politie mag geen buitenlandse panden doorzoeken, ook niet als ze eigendom zijn van een Amerikaan. Maar als je het ziet als een opeising dan mag het wel: een Amerikaan kan worden gedwongen naar zijn buitenlandse huis te gaan en daar iets op te halen als dat nodig is voor een strafrechtelijk onderzoek.

De rechtbank bevestigt nu dat ze lezing twee hanteert. Microsoft mag de mail dus gaan halen – of kan het haar dochter laten brengen, dat is om het even.

Het is goed dat Microsoft in beroep gaat, want dit maakt het wel érg makkelijk om wereldwijd dingen op te eisen die digitaal opgeslagen staan. Hoewel ik niet meteen een juridisch argument weet tegen het feit dat data geen pand is en dus wel een ding moet zijn, oftewel iets dat opeisbaar is in plaats van doorzoekbaar.

Arnoud

“Komt u maar terug met een gerechtelijk bevel”

| AE 5253 | Aansprakelijkheid | 34 reacties

Het klinkt ontzettend stoer: “In verband met de privacy/vrije meningsuiting van onze klant/onze positie als neutrale tussenpersoon geven wij geen gehoor aan uw verzoek tot weghalen/afgifte NAW gegevens. U dient een gerechtelijk bevel te overleggen.” Maar juridisch houdbaar is het niet. Ook private partijen kunnen gegevens opeisen of dingen laten weghalen zonder dat een rechter… Lees verder

Rechter verbiedt smaadpleger socialemediaprofielen te hebben

| AE 5028 | Aansprakelijkheid, Meningsuiting | 37 reacties

Een man uit Noord Holland heeft vorige maand van de kortgedingrechter een socialemediaverbod van één jaar gekregen, meldde NRC gisteren. De man had een uitgebreide smaadcampagne op zijn Hyves- en Facebookprofielen begaan, en na een eerdere veroordeling weigerde hij te stoppen. Hij mag een jaar geen profielen aanmaken, op straffe van een dwangsom en lijfsdwang… Lees verder