De legaliteit van het Lichtbildausweis

| AE 4936 | Security | 21 reacties

lichtbildausweisEen lezer vroeg me:

Vorig jaar ontstond enige opschudding toen bleek dat Brenno de Winter met een Lichtbildausweis overal binnenkwam. Nu wil ik er ook eentje bestellen, maar is het strafbaar om zo’n nepbewijs te gebruiken?

Er is geen wetsartikel dat in het algemeen het hebben of tonen van een stuk gelamineerd plastic met je foto erop verbiedt. Een Lichtbildausweis (de term betekent gewoon ‘foto-identiteitsbewijs’) is dus op zich legaal om te maken en te hebben, en te showen als je daar zin in hebt. Er moeten aanvullende omstandigheden zijn rond het gebruik die het strafbaar kunnen maken.

Het meest algemene wetsartikel dat in de buurt komt, is valsheid in geschrifte (art. 225 Sr):

een geschrift dat bestemd is om tot bewijs van enig feit te dienen, valselijk opmaakt of vervalst, met het oogmerk om het als echt en onvervalst te gebruiken of door anderen te doen gebruiken

Maar zolang alle gegevens echt zijn, zie ik niet hoe je dit wetsartikel kunt overtreden omdat het geschrift gelamineerd is en “Lichtbildausweis” vermeldt. Zou je er een functie of bevoegdheid op vermelden die je niet hebt (denk aan een nep-bankmedewerkerskaart) dan schend je wél dit artikel. Staat er iets vals op (bv. een nepadres) en gebruik je het om spullen te bestellen, dan is dat een vorm van oplichting wanneer je daarmee hoopt niet te hoeven betalen.

Als de kaart bestemd is voor het doen van betalen of toegang krijgen tot een dienst, dan valt dat onder “vervalsen van betaalkaarten” (art. art. 232 Sr). Denk aan een nep-toegangspas voor een pretpark of een zelfgemaakte kortingskaart waarmee je de cassière probeert te verleiden tot een prijsverlaging. Dit zou ook oplichting zijn trouwens.

Specifiek voor identiteitskaarten relevant is art. art. 231 Sr:

een reisdocument valselijk opmaakt of vervalst, of een zodanig stuk op grond van valse gegevens doet verstrekken

In beide situaties gaat het om “valselijk opmaken of vervalsen”, wat in principe betekent namaken of van valse gegevens voorzien. Een rijbewijs valselijk voorzien van een andere categorie rijvaardigheid is dus strafbaar onder deze twee artikelen. Ook een identiteitsbewijs valt overigens hieronder. Maar een zelfverzonnen categorie kaarten die je identiteit vermelden, valt niet onder een “reisdocument” want daarmee wordt verwezen naar officiële documenten.

Spannend wordt het wanneer het ausweis toch enigszins lijkt op een echt legitimatiebewijs, want daarvoor is artikel 440 Strafrecht bedacht:

Hij die drukwerken of andere voorwerpen in een vorm die ze op munt- of bankbiljetten, (..) of op reisdocumenten doet gelijken

Van gelijken is sprake als het moeilijk van een reisdocument van een bepaald land is te onderscheiden, zo blijkt uit de parlementaire geschiedenis. Hetzelfde geldt voor geld, overigens. Dit is dan ook de voornaamste reden waarom bij het afbeelden van bankbiljetten de kleur vaak wordt aangepast. Je zult dus een duidelijk afwijkend ontwerp moeten maken, en dan nog zou een creatieve officier van justitie kunnen betogen dat het woord “Ausweis” en het feit dat er een naam + foto op staat, hem al doet “gelijken” op een identiteitskaart. Maar daar zou ik tegenover stellen dat dan monopoliegeld óók strafbaar zou zijn.

Mogelijk krijg je ook een probleem als een agent je sommeert je te legitimeren onder de Wet op de identificatieplicht:

Een ieder die de leeftijd van veertien jaar heeft bereikt, is verplicht op de eerste vordering van een ambtenaar als bedoeld in artikel 8a van de Politiewet 1993, een identiteitsbewijs als bedoeld in artikel 1 ter inzage aan te bieden. Deze verplichting geldt ook indien de vordering wordt gedaan door een toezichthouder.

Het lichtbildausweis staat niet in dat artikel 1. Laat je dat ding zien, dan heb je niet voldaan aan een ambtelijk gegeven bevel, en dat is strafbaar. Het komt me wel érg flauw over als een agent in eerste instantie de kaart accepteert, en nadat hij is uitgelachen door z’n collega’s je alsnog gaat vervolgen onder dit artikel.

Bij private organisaties is er geen wettelijke plicht om je te identificeren, afgezien van de werkgever en enkele speciale gevallen. Wil men toch een legitimatie zien (wat ik laatst moest toen ik een aankoop retour wilde geven, eh wat) dan is het niet verboden om daar je lichtbildausweis te gebruiken. In het ergste geval levert dat contractuele wanprestatie op, namelijk wanneer in de algemene voorwaarden staat dat een wettelijk erkend legitimatiebewijs gebruikt moet worden.

Iets anders kan ik zo niet bedenken. Jullie wel? In welke situaties zou het vervelend/lastig/ongewenst zijn als mensen een nepkaartje laten zien waar wél gewoon hun eigen gegevens op staan, zonder valse pretenties over bevoegdheden of rechten?

Arnoud

Moet een bedrijf zijn adres in zijn algemene voorwaarden zetten?

| AE 2272 | Ondernemingsvrijheid | 5 reacties

Een lezer vroeg me:

Is het toegestaan algemene voorwaarden te hanteren waarin geen contactgegevens staan vermeld? Of überhaupt op je site alleen een info@ e-mailadres te vermelden als bedrijf?

Een bedrijf zoals een webwinkel of internetdienstverlener moet op zijn site duidelijk herkenbaar bedrijfsnaam, vestigingsadres en telefoonnummer vermelden. Niet alleen in de voorwaarden: op de site zelf (art. 3:15d en 7:46c BW).

Informatie verstoppen in algemene voorwaarden is eigenlijk nooit genoeg om mensen daaraan te houden. Het enige dat in algemene voorwaarden mag staan, zijn algemene voorwaarden: randvoorwaarden aan je dienstverlening. Geen prijzen, geen productomschrijvingen en geen wettelijk verplichte informatie over jezelf of je producten of diensten.

Op zich is het niet verboden om de algemene voorwaarden generiek te houden. Zo zou je bijvoorbeeld als ICT-dienstverlener de standaardvoorwaarden van ICT~Office kunnen gebruiken. Daar kun je je naam niet inzetten, maar dat is dus op zich niet erg.

Het moet wel altijd duidelijk zijn dat die voorwaarden gelden als je een contract met ze sluit. Maar dat is eigenlijk al gewoon de regel uit de wet. Gewoon ergens voorwaarden neerzetten is niet genoeg om die contractueel geldig te verklaren naar je klanten toe, of je naam er nu in staat of niet.

Arnoud

Wat kun je met een IP-adres?

| AE 2292 | Security | 32 reacties

ip-adres.pngInternetters zijn lastig te identificeren. Namen en e-mailadressen zijn zo vervalst, en ook op andere gegevens kun je nauwelijks afgaan. Het IP-adres is zo ongeveer het enige gegeven dat niet (nou ja, moeilijk) te vervalsen is als je met iemand communiceert. Het opvragen van een IP-adres is dan ook vaak de eerste stap als je juridische maatregelen tegen iemand wilt nemen.

Maar hoe betrouwbaar is zo’n IP-gebaseerde identificatie nu eigenlijk? Voor die lastige technische vraag stonden de raadsheren van het Gerechtshof Den Bosch recent. In een fikse ruzie tussen twee partijen was aangifte gedaan van smaadschrift per e-mail, maar die aangifte was geseponeerd. De benadeelde partij stapte daarop naar het Gerechtshof, want je mag via de zogeheten artikel-12-procedure eisen dat men alsnog vervolging instelt.

De smaadmail was via het contactformulier van de website verstuurd, dus via de logs van de site was het IP-adres van de verzender snel achterhaald. En dat adres bleek op naam te staan van de partij tegen wie hij aangifte had gedaan. (Iedereen die nu over RIPE of IANA begint: ik vermoed dat daarmee wordt bedoeld dat bij een reverse DNS lookup de domeinnaam van de wederpartij boven kwam.) Als bewijs werd daarbij een logfile van websitebezoeken overlegd.

De wederpartij ontkende ten stelligste dat hij het formulier had ingevuld: hij had een open netwerk achter dat IP-adres draaien, waar ook zijn gezin, de buren en diverse vrienden zomaar op konden. Een open netwerk als bewijs van onschuld? Volgens het Hof wel, en niet alleen omdat de logfiles eerder ophielden dan het tijdstip waarop de mail was ontvangen.

Uit de beschikking:

[N]aar het oordeel van het hof onvoldoende wettig en overtuigend bewijs aanwezig dat beklaagde de bewuste e-mail heeft verstuurd, gelet op het aantal personen dat kennelijk toegang had tot zijn computer. Naar het oordeel van het hof mag niet verwacht worden dat verder onderzoek nader bewijs zal opleveren.

In technische zin is het wel terecht: meer dan “vanaf deze computer is het verstuurd” kan men niet concluderen uit een IP-adres. De lijn doortrekken naar een specifieke gebruiker zal verdere omstandigheden vereisen, zoals dat hij de enige is die het wachtwoord weet of dat de PC op een afgesloten kamer staat waarvan alleen hij de sleutel heeft. En die omstandigheden liggen hier nu juist niet.

Maar het voelt ergens wel onrechtvaardig: de smadelijke uiting is zodanig dat eigenlijk alleen de eigenaar van de PC deze gedaan zou kunnen hebben.

Arnoud

Identity management: This Is Me (op Security.NL)

| AE 664 | Privacy, Security | Er zijn nog geen reacties

Intrigerende column van Peter Rietveld bij Security.NL: Naymz.com is een ‘sociale netwerksite’ voor Reputation Management for Professionals. Een soort LinkedIn dus. Maar met een interessant verschil: voor een heleboel mensen is er alvast een profiel aangemaakt. Ben je één van die gelukkigen en tref je je eigen naam aan, dan kun je zeggen “This Is… Lees verder

VisitorVille toont bezoekers websites in game-layout

| AE 510 | Ondernemingsvrijheid, Privacy | Er zijn nog geen reacties

Dit is wel een hele mooie manier om te laten zien dat IP-adressen persoonsgegevens zijn: een visualisatie in Simcity-stijl van de logfile van je website. Door VisitorVille. Via Digitaal Inlichtingenwerk Zeeuwse Bibliotheek, dat nog uitlegt: Er verschijnt een voorstelling van een stad als in Sim City, waarbij de gebouwen alle afzonderlijke pagina’s vertegenwoordigen, de rondrijdende… Lees verder

BREIN: “providers zijn aansprakelijk voor wangedrag anonieme klanten”

| AE 394 | Iusmentis, Ondernemingsvrijheid | 2 reacties

Een opvallende passage uit het persbericht van BREIN waarin men meldt weer 6 Bittorrent websites uit de lucht te hebben gehaald : Met de verstrekte naam- en adresgegevens van de site-eigenaren kan BREIN deze in persoon aanspreken om herhaling te voorkomen en schadevergoeding te vorderen. Het komt voor dat service providers niet over betrouwbare klantgegevens… Lees verder