Dronter gezin al jaren bedreigd vanwege geografische coördinaten

Veel mensen die digitaal opgelicht zijn, komen in hun zoektocht naar het postadres van een internetsite vaak uit bij de coördinaten 52°30 0 N, 5°45 0 E. Dat meldde de NOS onlangs. En dat is vervelend voor een gezin uit Dronten, want dat is waar hun huis staat. De coördinaten blijken de algemene plaatsbepaling van Nederland te zijn, deze Dronters wonen dus exact in het midden van het land. Maar het lastige is dus dat allerlei databases dit geven als de locatie van degene die je zocht, in plaats van “geen idee, maar ergens in dit land”. Wat is daar nu aan te doen?

Het verhaal deed me denken aan een zaak uit 2016 in Amerika, waar een stel uit Kansas vergelijkbare problemen had:

As any geography nerd knows, the precise center of the United States is in northern Kansas, near the Nebraska border. Technically, the latitudinal and longitudinal coordinates of the center spot are 39°50?N 98°35?W. In digital maps, that number is an ugly one: 39.8333333,-98.585522. So back in 2002, when MaxMind was first choosing the default point on its digital map for the center of the U.S., it decided to clean up the measurements and go with a simpler, nearby latitude and longitude: 38°N 97°W or 38.0000,-97.0000.
En natuurlijk woonden de eisers in deze zaak exact op die locatie. Er is geschikt, en het midden van de VS ligt nu in een meertje daar in de buurt. De Dronters met ditzelfde probleem hopen dat het midden van Nederland nu het Markermeer gaat worden, wat inderdaad de makkelijke oplossing zou moeten zijn.

Maar het probleem is wel iets fundamenteler. Er zijn dus kennelijk hele hordes systemen die deze coördinaten opvatten als gewoon een locatie, in plaats van als een default “we weten het niet”. Wie had er ooit het onzalige idee dat je een land kon aanduiden als een GPS locatie van een plekje in dat land?

Nou, dat blijkt dus de CIA te zijn geweest. Die publiceren het World Factbook, en daarin staat onder Geographic coordinates opgegeven “52 30 N, 5 45 E” en dat is de Haringweg in Dronten. Echt fout is dat niet perse te noemen, want ik zie in Maps wel hoe je dat soort van het midden van het land kunt noemen. Maar gezien het beoogde gebruik was het Drontermeer of voor mijn part het gemeentehuis van Dronten een minstens zo goede keuze.

Dit lijkt ergens een probleem van valse precisie te zijn, want je wekt de indruk dat deze coördinaten de straat zijn die je zoekt, maar het gaat alleen om het land waar je moet wezen, bepaald niet hetzelfde antwoord.  Maar het is lastig één actor in de keten aan te wijzen die het fout doet. De CIA heeft een algemene locatie zodat je het land met de grootste zekerheid vindt. Sites die dit herpubliceren, doen dit ook om over Nederland wat te melden. Diensten die beweren IP-adressen naar locaties te vertalen, gaan in goed vertrouwen af op de databases die ze hanteren. En daar is het ergens ooit misgegaan, want in plaats van (null) is daar dus die algemene locatie in gekomen. Maar om nu te zeggen dat dat een fóut is?

Arnoud

Kan een werknemer worden verplicht een GPS-armband te dragen?

Een lezer vroeg me:

Als beveiliger bij een groot bedrijf kreeg ik enige tijd terug een GPS-armband om te dragen. Op mijn vraag waarom was het antwoord dat men zo kon zien waar ik was in geval van een calamiteit, ook geeft het bewijs aan de klant dat ik werkelijk mijn route loop. Echter, nu enkele maanden later blijkt dat mijn werkgever het ook gebruikt om mij aan te spreken op hoe ik mijn werk uitvoer. Ik sta te lang stil, loop niet exact het goede pad, houd pauze op de verkeerde plek en ga zo maar door. Kan dat zomaar, dat ik met zo’n armband op de centimeter gevolgd word?

In beginsel bepaalt de werkgever hoe het werk wordt uitgevoerd en welke spullen je daarbij moet gebruiken. Als een GPS-armband dus redelijkerwijs nodig is voor het werk, dan moet je die bij je dragen. Net zoals je je werktelefoon bij je moet hebben of je pet op moet als beveiliger, om eens wat te noemen.

Verschil tussen pet en armband is natuurlijk dat die armband wel even een stevige inbreuk op je privacy is. Wie toegang heeft tot de metingen, kan precies zien waar je bent. Dát vereist een stevige aparte rechtvaardiging én waarborgen om de privacy toch te beschermen. (Wie denkt dat je de beveiligers toestemming kunt laten geven: vergeet het maar, dat mogen werknemers juridisch niet doen.)

Die waarborgen moeten er met name voor zorgen dat je niet meer ziet dan waarvoor je de armband wilt gebruiken. In dit geval wil de klant de looproutes zien, daar kun je prima een geaggregeerde grafiek van laten zie. Maar waarom zou de werkgever live mee moeten kijken, én ook nog eens de werknemer aanspreken op rare loopjes? Op zijn minst zou ik een pauzeknop verwachten: wat je tijdens je pauze doet, gaat je werkgever niets aan.

Specifiek bij het beoordelen van werknemers geldt ook nog eens dat dat apart vooraf gemeld moet zijn én dat de ondernemingsraad (als die er is natuurlijk) hiermee ingestemd moet hebben. Dus wat hier gebeurt, kan eigenlijk gewoon echt niet.

Ik kan afgezien van de beveiliging en misschien een bezorgdienst weinig bedrijven bedenken waar zo’n armband überhaupt een reëel iets is om mensen te bevelen bij zich te hebben. Heel misschien bij topsporters, omdat daar je werk – je aan je trainschema houden – niet ophoudt zodra je het stadion verlaat. Maar ook daar zijn grenzen:

Het is inderdaad mogelijk om uit de data af te leiden wanneer spelers seks hebben, of te lang in de kroeg staan. Als de hartslag van een speler ’s nachts een piek heeft voor het slapen gaan, kun je wel raden wat hij net deed.

Arnoud

Mag je met een Kruidvat-GPS-tracker je kind in de gaten houden?

spotter-gps-tracker-kruidvatWeet altijd precies waar je kind is en maak contact in geval van nood, met de Spotter. Met die tekst adverteert de Kruidvat haar nieuwste product: een GPS-tracker die verbindt met een app op de telefoon van de ouders, zodat je altijd weet waar je kind is. Of je bagage (“Ideaal voor op vakantie!”), maar primair toch je kind als ik de advertentie goed lees. Dus u voelt hem al aankomen: eh, mag dat, met zo’n GPS-tracker je kind in de gaten houden?

Ook kinderen hebben recht op privacy, maar je zit dan wel meteen in een spanningsveld: als ouders heb je de plicht je kind op te voeden, en opletten hoe het gaat met je kind en waar die zoal uithangt, is deel daarvan. Die informatie botst met de privacy van het kind, en er is geen algemene regel die zegt dat het dan dús mag of dús niet.

In de gastblog van Noortje Mulder van afgelopen zomer ging het om meekijksoftware: chats en mails van je kind scannen. Hier gaat het om een minstens zo vergaande inbreuk: live zien waar je kind zich bevindt. Zoals Noortje het formuleerde:

[W]anneer gaat ouderlijk toezicht nu te ver? Deze vraag is lastig te beantwoorden, gelet op de dubbele rol die ouders hebben ten aanzien van de privacy van het kind. Enerzijds dienen zij het kind te beschermen, waardoor zij de privacy van het kind mogen beperken. In de meeste gevallen zal het beschermingsbelang van het kind een beperking van diens recht op privacy door de ouders rechtvaardigen. Anderzijds dienen zij zich niet onnodig te mengen in het privéleven van hun kind, laat staan bewust inbreuken daarop te maken.

Het belangrijkste is: opvoeden dient als doel te hebben het kind zelfstandig te laten worden. Je moet dus het GPS-volgen binnen dat kader kunnen verantwoorden. Waarom is dat nodig, en hoe wordt het kind er later beter van?

Bij een heel jong kind zou je kunnen zeggen, ik wil zien waar hij/zij is zodat ik bij verdwalen snel kan ingrijpen en het kind kan ophalen. Het kind leert dan zelfstandigheid (vrij rondlopen of -fietsen) maar er is een vangnet. Bij een wat ouder kind zal het minder snel gaan om verdwalen maar eerder om gaan naar ongewenste plekken of personen (“is mijn dochter nu alweer bij die rare gast die vier jaar ouder is”). Daar is ook wel een haakje naar zelfstandigheid te verzinnen, maar het wordt wel lastiger vind ik. Hoort bij zelfstandig worden niet ook een stuk je neus botsen en daarvan leren?

Dus nee, er is geen pasklaar antwoord of dit mag of niet. Het gaat om waarom je het doet, hoe oud je kind is en wat je wilt bereiken.

Hoe zouden jullie als kind (kies zelf je leeftijd) hebben gereageerd als je zo’n tracker in je tas had gevonden? En niet “wauw wat gaaf, die bestonden niet toen ik 9 was dus dan ging ik het gauw patenteren” maar het privacystuk dus 😉

Arnoud

GSM-tracker onder iemands auto hangen is aftappen van GSM-masten, wtf?

haicom-tracker-gps-gsmSoms gaan mijn juridische tenen echt zó krom staan bij het lezen van een vonnis, dat wil je niet weten. In een vonnis van medio april werd een man strafrechtelijk veroordeeld voor het inzetten van een “heimelijk geplaatst track&trace-systeem” dat hij onder iemands auto had gehangen.

De man had eind 2012 een Haicom GPRS tracker gekocht, een GPS/GSM-combinatie die zijn locatie periodiek doorbelt zodat live tracking van waar het apparaat zich bevindt, mogelijk wordt. Hij had dit apparaat bevestigd onder de auto van een ander, met als doel te achterhalen waar deze ander zijn boot had verstopt. Ik neem aan door te zien waar die meneer heenrijdt en dan na te gaan of dat een loods voor een boot is.

Toen de eigenaar het ding ontdekte, deed hij aangifte waarna de plaatser werd vervolgd. Maar er is in het strafrecht geen artikel dat het wederrechtelijk continu vaststellen van iemands locatie verbiedt. Nou ja misschien stalken, het opzettelijk en wederrechtelijk stelselmatig inbreuk maken op iemands persoonlijke levenssfeer. Maar dat was niet ten laste gelegd. Dus wat nu?

De officier had artikel 139d Strafrecht van stal gehaald. Volgens dit artikel is het strafbaar om een gesprek, telecommunicatie of andere gegevensoverdracht af te tappen of op te nemen als je daar niet toe bevoegd bent. Oké, maar welke gesprekken of telecommunicatie worden (wordt? Ruud, help) er afgeluisterd als je een GPS/GSM-tracker plaatst?

Je wilt misschien je schoenen uitdoen als je ook last hebt van krommende juridische tenen, want dit is dan wat de rechtbank zegt:

Door een SIM-kaart in het track&trace-systeem te plaatsen heeft verdachte dit systeem zodanig ingericht dat hij door middel van een geautomatiseerd werk, te weten een computer, via de door de leverancier meegeleverde software kon inloggen en vervolgens kon beschikken over de gegevens die via gsm-masten werden overgedragen.

Oftewel: er wordt wederrechtelijk telecommunicatie met de GSM mast afgetapt. Meneer krijgt via een GSM (gprs) verbinding data binnen over de locatie van een GPS-apparaat, en dat mag niet. Want, eh, ja want. Want. Ja. Eh.

De rechtbank is van oordeel dat in het onderhavige geval het door middel van een geautomatiseerd werk (computer) oproepen van alle door het technisch hulpmiddel (track&trace-systeem) opgevangen signalen uit de ether (interceptie) dient te worden aangemerkt als aftappen.

Want ja eh dat is aftappen. Hùh.

Ik snap hier werkelijk niets van. De GSM-communicatie is legaal, want meneer heeft zelf de SIM-kaart gekocht en het abonnement (prepaid?) geactiveerd. Dat men vervolgens ongewenste/ongepaste/strafbare data over die verbinding transporteert, maakt het nog geen áftappen van die verbinding. Net zo min als wanneer ik een strafbare uiting per mail verzend.

Als je zegt, maar hij mócht die GPS-data niet overdragen: prima, maar waar staat dat in de wet? Plus, dan nog tápt hij deze niet. Dat gaat inherent over het meeluisteren/meekijken bij andermans dataoverdracht.

Dus nee. Hier klopt echt weinig van. (Ik denk wel dat dit soort track&trace strafbaar is, maar dan als stalking dus.) Het voelt als, dit moet niet legaal zijn dus laten we de wet zo uitleggen dat het niet legaal is. En dat is écht verkeerd.

Waarmee niet gezegd is dat de rechtbank de ballen verstand heeft van techniek – ze weten er meer van dan de politie want die schrijft consequent “gsp” als ‘ie “gps” bedoelt. Maar dat terzijde.

Arnoud

Maar hij staat dáár!

imac-hij-staat-daarDiverse lezers wezen me op dit GeenStijlbericht over een gestolen laptop die de politie niet wilde terughalen. Op de bekende tendentieuze, ongefundeerde en nodeloos kwetsende wijze werd daar melding gemaakt van een poepdure hipstermachine die in 020-Gaza beneden zijn stand weg stond te kwijnen in het onrechtmatige bezit van werkschuw steeltuig. En de pliesie zat achterover want ja die wetgeving mevrouwtje, terwijl de Find My Mac gewoon zegt waar ie staat.

De ophef is in dit geval een tikje onterecht: de locatie die Find My Mac aangeeft, is een flatgebouw en preciezer dan dat is het niet te krijgen. Dus wat móet je dan als politie, de hele flat gaan doorzoeken?

Maar stel, de locatie zou wel precies genoeg zijn. De laptop werd gestolen ergens op het platteland, en de GPS-coördinaten zijn nauwkeurig genoeg om die ene boerderij eruit te pikken die zich tussen de akkers bevindt. Is dat dan bewijs genoeg voor een doorzoeking?

De wet eist een redelijk vermoeden van schuld, en het is de (onafhankelijke) rechter-commissaris die bepaalt of dat vermoeden genoeg onderbouwd is om een doorzoeking van een woning te rechtvaardigen. De afweging komt volgens mij neer op de vraag hoe betrouwbaar die Find My Mac-informatie is. En dan kom je gelijk bij de vraag, hoe weten we dat het wáár is, wat daar staat? Dat dat echt een gestolen laptop is en dat die zich daar bevindt.

Ook een complicatie kan zijn dat de laptop ondertussen doorverkocht is, waarbij de huidige bezitter geheel legaal eigenaar is geworden. Dat is namelijk een kronkel in onze wet: wie te goeder trouw een goed verwerft, wordt daar soms eigenaar van ook als deze eerder gestolen was. Er zijn wel mogelijkheden om als eigenaar je spullen terug te krijgen, maar triviaal zijn die niet. En wat daar met name steekt, is dat meestal de rechter daarover moet beslissen en dat kan rustig een jaar (of meer) duren.

Stel je fiets wordt gestolen en later zie je iemand daarop fietsen. Dan mag je die iemand aanhouden en overdragen aan de politie. Je mag alleen niet de fiets terughalen, want in de tussentijd is hij juridisch bezitter daarvan geworden. En dan is hij rechthebbende (art. 3:119 BW) tenzij jij kunt bewijzen dat het jouw fiets is. Dat zal niet meevallen zo midden op straat. Dus dan gaat de fiets mee naar de politie (als bewijs).

Bij een laptop zou je kunnen zeggen, ik weet het wachtwoord en mijn naam en foto staan bij het account. Dat zou ik wel eens uitgeprobeerd willen zien bij oom agent.

Arnoud