De legaliteit van het Lichtbildausweis

lichtbildausweisEen lezer vroeg me:

Vorig jaar ontstond enige opschudding toen bleek dat Brenno de Winter met een Lichtbildausweis overal binnenkwam. Nu wil ik er ook eentje bestellen, maar is het strafbaar om zo’n nepbewijs te gebruiken?

Er is geen wetsartikel dat in het algemeen het hebben of tonen van een stuk gelamineerd plastic met je foto erop verbiedt. Een Lichtbildausweis (de term betekent gewoon ‘foto-identiteitsbewijs’) is dus op zich legaal om te maken en te hebben, en te showen als je daar zin in hebt. Er moeten aanvullende omstandigheden zijn rond het gebruik die het strafbaar kunnen maken.

Het meest algemene wetsartikel dat in de buurt komt, is valsheid in geschrifte (art. 225 Sr):

een geschrift dat bestemd is om tot bewijs van enig feit te dienen, valselijk opmaakt of vervalst, met het oogmerk om het als echt en onvervalst te gebruiken of door anderen te doen gebruiken

Maar zolang alle gegevens echt zijn, zie ik niet hoe je dit wetsartikel kunt overtreden omdat het geschrift gelamineerd is en “Lichtbildausweis” vermeldt. Zou je er een functie of bevoegdheid op vermelden die je niet hebt (denk aan een nep-bankmedewerkerskaart) dan schend je wél dit artikel. Staat er iets vals op (bv. een nepadres) en gebruik je het om spullen te bestellen, dan is dat een vorm van oplichting wanneer je daarmee hoopt niet te hoeven betalen.

Als de kaart bestemd is voor het doen van betalen of toegang krijgen tot een dienst, dan valt dat onder “vervalsen van betaalkaarten” (art. art. 232 Sr). Denk aan een nep-toegangspas voor een pretpark of een zelfgemaakte kortingskaart waarmee je de cassière probeert te verleiden tot een prijsverlaging. Dit zou ook oplichting zijn trouwens.

Specifiek voor identiteitskaarten relevant is art. art. 231 Sr:

een reisdocument valselijk opmaakt of vervalst, of een zodanig stuk op grond van valse gegevens doet verstrekken

In beide situaties gaat het om “valselijk opmaken of vervalsen”, wat in principe betekent namaken of van valse gegevens voorzien. Een rijbewijs valselijk voorzien van een andere categorie rijvaardigheid is dus strafbaar onder deze twee artikelen. Ook een identiteitsbewijs valt overigens hieronder. Maar een zelfverzonnen categorie kaarten die je identiteit vermelden, valt niet onder een “reisdocument” want daarmee wordt verwezen naar officiële documenten.

Spannend wordt het wanneer het ausweis toch enigszins lijkt op een echt legitimatiebewijs, want daarvoor is artikel 440 Strafrecht bedacht:

Hij die drukwerken of andere voorwerpen in een vorm die ze op munt- of bankbiljetten, (..) of op reisdocumenten doet gelijken

Van gelijken is sprake als het moeilijk van een reisdocument van een bepaald land is te onderscheiden, zo blijkt uit de parlementaire geschiedenis. Hetzelfde geldt voor geld, overigens. Dit is dan ook de voornaamste reden waarom bij het afbeelden van bankbiljetten de kleur vaak wordt aangepast. Je zult dus een duidelijk afwijkend ontwerp moeten maken, en dan nog zou een creatieve officier van justitie kunnen betogen dat het woord “Ausweis” en het feit dat er een naam + foto op staat, hem al doet “gelijken” op een identiteitskaart. Maar daar zou ik tegenover stellen dat dan monopoliegeld óók strafbaar zou zijn.

Mogelijk krijg je ook een probleem als een agent je sommeert je te legitimeren onder de Wet op de identificatieplicht:

Een ieder die de leeftijd van veertien jaar heeft bereikt, is verplicht op de eerste vordering van een ambtenaar als bedoeld in artikel 8a van de Politiewet 1993, een identiteitsbewijs als bedoeld in artikel 1 ter inzage aan te bieden. Deze verplichting geldt ook indien de vordering wordt gedaan door een toezichthouder.

Het lichtbildausweis staat niet in dat artikel 1. Laat je dat ding zien, dan heb je niet voldaan aan een ambtelijk gegeven bevel, en dat is strafbaar. Het komt me wel érg flauw over als een agent in eerste instantie de kaart accepteert, en nadat hij is uitgelachen door z’n collega’s je alsnog gaat vervolgen onder dit artikel.

Bij private organisaties is er geen wettelijke plicht om je te identificeren, afgezien van de werkgever en enkele speciale gevallen. Wil men toch een legitimatie zien (wat ik laatst moest toen ik een aankoop retour wilde geven, eh wat) dan is het niet verboden om daar je lichtbildausweis te gebruiken. In het ergste geval levert dat contractuele wanprestatie op, namelijk wanneer in de algemene voorwaarden staat dat een wettelijk erkend legitimatiebewijs gebruikt moet worden.

Iets anders kan ik zo niet bedenken. Jullie wel? In welke situaties zou het vervelend/lastig/ongewenst zijn als mensen een nepkaartje laten zien waar wél gewoon hun eigen gegevens op staan, zonder valse pretenties over bevoegdheden of rechten?

Arnoud

Moet een bedrijf zijn adres in zijn algemene voorwaarden zetten?

Een lezer vroeg me:

Is het toegestaan algemene voorwaarden te hanteren waarin geen contactgegevens staan vermeld? Of überhaupt op je site alleen een info@ e-mailadres te vermelden als bedrijf?

Een bedrijf zoals een webwinkel of internetdienstverlener moet op zijn site duidelijk herkenbaar bedrijfsnaam, vestigingsadres en telefoonnummer vermelden. Niet alleen in de voorwaarden: op de site zelf (art. 3:15d en 7:46c BW).

Informatie verstoppen in algemene voorwaarden is eigenlijk nooit genoeg om mensen daaraan te houden. Het enige dat in algemene voorwaarden mag staan, zijn algemene voorwaarden: randvoorwaarden aan je dienstverlening. Geen prijzen, geen productomschrijvingen en geen wettelijk verplichte informatie over jezelf of je producten of diensten.

Op zich is het niet verboden om de algemene voorwaarden generiek te houden. Zo zou je bijvoorbeeld als ICT-dienstverlener de standaardvoorwaarden van ICT~Office kunnen gebruiken. Daar kun je je naam niet inzetten, maar dat is dus op zich niet erg.

Het moet wel altijd duidelijk zijn dat die voorwaarden gelden als je een contract met ze sluit. Maar dat is eigenlijk al gewoon de regel uit de wet. Gewoon ergens voorwaarden neerzetten is niet genoeg om die contractueel geldig te verklaren naar je klanten toe, of je naam er nu in staat of niet.

Arnoud

Wat kun je met een IP-adres?

ip-adres.pngInternetters zijn lastig te identificeren. Namen en e-mailadressen zijn zo vervalst, en ook op andere gegevens kun je nauwelijks afgaan. Het IP-adres is zo ongeveer het enige gegeven dat niet (nou ja, moeilijk) te vervalsen is als je met iemand communiceert. Het opvragen van een IP-adres is dan ook vaak de eerste stap als je juridische maatregelen tegen iemand wilt nemen.

Maar hoe betrouwbaar is zo’n IP-gebaseerde identificatie nu eigenlijk? Voor die lastige technische vraag stonden de raadsheren van het Gerechtshof Den Bosch recent. In een fikse ruzie tussen twee partijen was aangifte gedaan van smaadschrift per e-mail, maar die aangifte was geseponeerd. De benadeelde partij stapte daarop naar het Gerechtshof, want je mag via de zogeheten artikel-12-procedure eisen dat men alsnog vervolging instelt.

De smaadmail was via het contactformulier van de website verstuurd, dus via de logs van de site was het IP-adres van de verzender snel achterhaald. En dat adres bleek op naam te staan van de partij tegen wie hij aangifte had gedaan. (Iedereen die nu over RIPE of IANA begint: ik vermoed dat daarmee wordt bedoeld dat bij een reverse DNS lookup de domeinnaam van de wederpartij boven kwam.) Als bewijs werd daarbij een logfile van websitebezoeken overlegd.

De wederpartij ontkende ten stelligste dat hij het formulier had ingevuld: hij had een open netwerk achter dat IP-adres draaien, waar ook zijn gezin, de buren en diverse vrienden zomaar op konden. Een open netwerk als bewijs van onschuld? Volgens het Hof wel, en niet alleen omdat de logfiles eerder ophielden dan het tijdstip waarop de mail was ontvangen.

Uit de beschikking:

[N]aar het oordeel van het hof onvoldoende wettig en overtuigend bewijs aanwezig dat beklaagde de bewuste e-mail heeft verstuurd, gelet op het aantal personen dat kennelijk toegang had tot zijn computer. Naar het oordeel van het hof mag niet verwacht worden dat verder onderzoek nader bewijs zal opleveren.

In technische zin is het wel terecht: meer dan “vanaf deze computer is het verstuurd” kan men niet concluderen uit een IP-adres. De lijn doortrekken naar een specifieke gebruiker zal verdere omstandigheden vereisen, zoals dat hij de enige is die het wachtwoord weet of dat de PC op een afgesloten kamer staat waarvan alleen hij de sleutel heeft. En die omstandigheden liggen hier nu juist niet.

Maar het voelt ergens wel onrechtvaardig: de smadelijke uiting is zodanig dat eigenlijk alleen de eigenaar van de PC deze gedaan zou kunnen hebben.

Arnoud

Identity management: This Is Me (op Security.NL)

Intrigerende column van Peter Rietveld bij Security.NL:

Naymz.com is een ‘sociale netwerksite’ voor Reputation Management for Professionals. Een soort LinkedIn dus. Maar met een interessant verschil: voor een heleboel mensen is er alvast een profiel aangemaakt. Ben je één van die gelukkigen en tref je je eigen naam aan, dan kun je zeggen “This Is Me”. Vervolgens kun je een wachtwoord kiezen en je profiel verder aanvullen en in gebruik nemen. Volgens de Terms of Use mag je je niet voor een ander uitgegeven. De rest van de Terms of Use gaan over vunzige content, de belangen van de aanbieder – kortom het feit dat je volledig aan de wolven bent overgeleverd als er iets misgaat. En als iemand anders je naam en profiel inpikt, ben je gebonden aan Terms of Use die je nooit gezien hebt… Op Naymz.com heb ik lekker zitten rondklikken en nu ben ik een heleboel verschillende mensen.

Dergelijk misbruik kan Рhoewel iets minder eenvoudig Рop alle sociale netwerksites. De feitelijke identificatie is namelijk meestal het e-mail adres. Ik kan een profiel aanmaken dat verdacht ̩cht overkomt, zeker als ik het ̩chte CV van iemand heb. Een leuke query op google met CV en filetype:doc levert genoeg kandidaten op om vrolijk te gaan klieren.

Lees verder in This Is Me door Peter Rietveld.

Arnoud

VisitorVille toont bezoekers websites in game-layout

Dit is wel een hele mooie manier om te laten zien dat IP-adressen persoonsgegevens zijn: een visualisatie in Simcity-stijl van de logfile van je website. Door VisitorVille.

Via Digitaal Inlichtingenwerk Zeeuwse Bibliotheek, dat nog uitlegt:

Er verschijnt een voorstelling van een stad als in Sim City, waarbij de gebouwen alle afzonderlijke pagina’s vertegenwoordigen, de rondrijdende bussen de zoekmachines en alle avatars de bezoekers van dat moment.

De Google-bus is wel een hele grote dan.

Arnoud

Publiceren IP-adres van gebruikers forum

Nog maar eens een lezersvraag:

Bij een forum waar ik regelmatig post, wordt het IP-adres van elk bericht bij dat bericht getoond. Nou snap ik dat ze IP-adressen bijhouden in verband met mogelijk misbruik, maar mogen ze het adres zo aan iedere andere bezoeker laten zien?

Een IP-adres is, samen met een datum en tijd van gebruik van dat adres, te herleiden tot een persoon. Je hebt daar de hulp van een provider bij nodig, maar het kan. Daarom is een IP-adres een persoonsgegeven.

Forumbeheerders houden wel vaker bij elk bericht bij vanaf welk IP-adres het geplaatst is, en natuurlijk ook wanneer. Dat is volgens de Wet Bescherming Persoonsgegevens een verwerking van persoonsgegevens. En verwerking mag alleen als je dit vooraf aanmeldt bij het College Bescherming Persoonsgegevens.

Specifiek voor dit soort verwerkingen is er een vrijstelling: de controle op en het beveiligen van de computersystemen of computerprogramma’s, en ook verwerking voor het beheer van de systemen of programma’s” hoeft niet te worden aangemeld. Forums hoeven hun logfiles dus niet aan te melden bij het CBP.

Publicatie van het IP-adres is ook een verwerking. Die mag alleen als “de betrokkene zijn ondubbelzinnige toestemming heeft verleend voor de gegevensverwerking”. Het zal dus expliciet in het reglement moeten staan, en liefst ook nog een keertje apart bij het formulier waar je je reactie kunt typen.

Waar heel veel forums (en Wikipedia trouwens ook) de fout in gaan, is dat de wet eist dat je de gegevens na zes maanden verwijdert. Ik ken geen forum waar IP-adressen na zes maanden onzichtbaar worden.

Arnoud

BREIN: “providers zijn aansprakelijk voor wangedrag anonieme klanten”

Een opvallende passage uit het persbericht van BREIN waarin men meldt weer 6 Bittorrent websites uit de lucht te hebben gehaald :

Met de verstrekte naam- en adresgegevens van de site-eigenaren kan BREIN deze in persoon aanspreken om herhaling te voorkomen en schadevergoeding te vorderen. Het komt voor dat service providers niet over betrouwbare klantgegevens beschikken omdat zij toestaan dat deze zich anoniem of met valse gegevens registeren. In dat geval trekken zij de aansprakelijkheid voor de door de site veroorzaakte schade naar zich toe.

Volgens mij heb ik een nieuwe Kluwer collegebundel nodig. Waar staat dat?

Artikel 6:196c BW gaat over de aansprakelijkheid van providers.

Een webhoster valt onder lid 4:

Degene die diensten van de informatiemaatschappij verricht als bedoeld in artikel 15d lid 3 van Boek 3, bestaande uit het op verzoek opslaan van van een ander afkomstige informatie, is niet aansprakelijk voor de opgeslagen informatie, indien hij:
a. niet weet van de activiteit of informatie met een onrechtmatig karakter en, in geval van een schadevergoedingsvordering, niet redelijkerwijs behoort te weten van de activiteit of informatie met een onrechtmatig karakter, dan wel
b. zodra hij dat weet of redelijkerwijs behoort te weten, prompt de informatie verwijdert of de toegang daartoe onmogelijk maakt.

Ik zie daar nergens staan dat ze moeten weten wie hun klanten zijn. Als ze (moeten) weten dat de informatie onrechtmatig is, dan moeten ze de informatie verwijderen. Dat lijkt me logisch, en dat zou ook genoeg moeten zijn.

De Nederlandse wet heeft wel een regeling over afgifte van identificerende gegevens:

Artikel 54A Wetboek van Strafrecht. Een tussenpersoon die een telecommunicatiedienst verleent bestaande in de doorgifte of opslag van gegevens die van een ander afkomstig zijn, wordt als zodanig niet vervolgd indien hij voldoet aan een bevel van de officier van justitie, na schriftelijke machtiging op vordering van de officier van justitie te verlenen door de rechter-commissaris, om alle maatregelen te nemen die redelijkerwijs van hem kunnen worden gevergd om de gegevens ontoegankelijk te maken.
Maar let wel: de officier van justitie. Niet Brein.

Dat past ook binnen het advies van de Advocaat-Generaal van het Europese Hof trouwens. Ook die was van mening dat de Richtlijn alleen gebruikt kan worden om afgifte van persoonsgegevens aan opsporingsdiensten toe te staan. Niet aan private personen of organisaties.

Via ISPam.nl.

Arnoud