Mag een bedrijf telefonisch informatie verstrekken aan iemand anders dan de contracthouder?

| AE 9357 | Beveiliging | 8 reacties

Een lezer vroeg me:

Steeds vaker merk ik dat wanneer ik voor mijn partner of ouders een helpdesk bel, ze meteen afhaken wanneer ik zeg dat ik niet zelf de contracthouder ben. Dit “vanwege de privacy” en “omdat ze niet kunnen verifiëren dat ik gemachtigd ben”. Maar is die privacywet echt zo streng? En hoe zou het dan wel moeten?

Vroeger, toen bits nog van hout waren, kon je inderdaad een stuk makkelijker namens anderen bellen of informatie inwinnen. Maar het vertrouwen dat daaronder lag, is ondertussen wel stevig aangetast. En terecht, social engineering is wel érg makkelijk als iemand bij mijn gegevens kan door te zeggen dat hij mijn echtgenoot is.

Het is wat verwarrend als bedrijven dan “vanwege de privacy” zeggen, want dit is niet specifiek een privacy-issue. Het is meer een veiligheidsissue of een bevoegdheids-issue, als je het juridisch bekijkt. Maar wellicht dat dat lastiger aan de telefoon uit te leggen is.

Als je gemachtigd bent, dan zou “vanwege de privacy” of security geen issue moeten zijn. Die persoon mág dan namens die ander de conversatie voeren. Alleen, hoe toon je dat aan als gemachtigde? Machtigen kan ook mondeling (of per mail), dus het is denkbaar dat iemand belt die geen stuk papier kan laten zien.

Het lijkt me in beginsel redelijk dat je als bedrijf zegt, telefonisch willen we geen gemachtigden spreken want dat is niet te verifiëren. Maar in veel gevallen zou ik dat wel wat streng vinden. Denk aan afspraken maken of dingen aanvragen die vervolgens worden opgestuurd.

Arnoud

Wanneer is het strafbaar met een nepnaam internet op te gaan?

| AE 7934 | Aansprakelijkheid, Privacy, Strafrecht | 15 reacties

facebook-profielRoel Stellinga (18) ontdekte vorige maand bij toeval dat zijn foto’s van Facebook werden misbruikt door ene ‘Oscar’. Dat las ik in het AD. Via dit nepprofiel – en dus met zijn foto’s – werden jonge meisjes benaderd. De les van Roels vader: “Als je je account niet goed afschermt, kan het blijkbaar toch vrij gemakkelijk gebeuren dat er misbruik wordt gemaakt van je foto’s.” Met aanverwant de vraag, hoe strafbaar is dat, een nepprofiel?

Op zich is het volgens mij niet strafbaar om een valse naam te gebruiken op internet. Sterker nog, dat is een goed idee vanwege de privacyproblemen die je tegen kunt komen als je onder je eigen naam online gaat.

Bij een naam hoort een plaatje, en als je naam vals is dan ligt het voor de hand om ook niet je eigen foto te gebruiken. Dat gebeurt evenzo massaal, en ook daar lijkt me (afgezien van auteursrecht van de fotograaf) weinig mis mee. Tenminste, zolang het plaatje evident niet de indruk wekt jouzelf af te beelden.

Gebruik je andermans profielfoto, dan wek je de indruk dat jij die persoon bent. Dan zou de vraag voor mij worden, kan jouw publiek die persoon herkennen en dus denken dat jij het bent? Het maakt nogal uit of je zoals hier een foto van een stadsgenoot gebruikt of van een willekeurige Amerikaan als je in Nederland actief gaat chatten en profielen. In dat laatste geval zie ik juridisch gezien niet echt een probleem.

Als je iemand anders identiteit aanneemt, dan heet dat juridisch identiteitsfraude en dat is strafbaar. De wet (art. 231b Strafrecht) bepaalt:

Hij die opzettelijk en wederrechtelijk identificerende persoonsgegevens, niet zijnde biometrische persoonsgegevens, van een ander gebruikt met het oogmerk om zijn identiteit te verhelen of de identiteit van de ander te verhelen of misbruiken, waardoor uit dat gebruik enig nadeel kan ontstaan, wordt gestraft met een gevangenisstraf van ten hoogste vijf jaren of geldboete van de vijfde categorie.

(‘Verhelen’ betekent ‘verhullen, achterhouden’.) Hiermee is het dus eenvoudiger geworden dan vroeger: toen was identiteitsfraude op zich niet strafbaar maar moest er ook een ander strafbaar feit worden gepleegd, zoals oplichting of smaad.

Die ander moet “enig nadeel” lijden door de fraude. Enkel chatten met andermans foto lijkt me niet snel ‘nadeel’, tenzij je zoals hier de grens van het strafbare grooming van minderjarigen opgaat. Dat kan immers afstralen op de geportretteerde persoon. Ook het mensen geld aftroggelen omdat ze je herkennen als die ander en bv. een schuld willen aflossen of jou iets lenen, is een vorm van “nadeel” dat onder deze wet strafbaar is.

De praktijk is natuurlijk buitengewoon weerbarstig bij dit soort zaken. Ik verwacht dat je weinig meer voor elkaar zult krijgen dan Facebook het profiel laten opdoeken – NAW-gegevens opeisen bij het sociale netwerk is een theoretische optie, maar vooralsnog niet heel succesvol. Aangifte kan, maar ik heb nog geen succesvolle verhalen daarover gehoord.

Wat zouden jullie doen als je in Roels positie verkeerde?

Arnoud

Hoe weerleg ik een bestelling onder identiteitsfraude?

| AE 6802 | Webwinkels | 43 reacties

anoniem-pseudoniem-nickname-bijnaam-naam.pngEen lezer vroeg me:

Een aantal weken geleden heb ik mijn werkcomputer aan laten staan, met mijn e-mail ingelogd. Vanaf mijn e-mail heeft iemand in mijn afwezigheid op internet een aankoop gedaan, en ik krijg daar nu een aanmaning van. Het afleveradres is mij onbekend en daar weten ze van geen pakketje. Wat kan ik nu het beste doen?

Het is buitengewoon eenvoudig een bestelling op andermans naam te plaatsen. Als je dan ook nog de factuur naar die ander kunt laten sturen en het pakketje naar iemand bij wie je het makkelijk kunt ophalen, dan is fraude wel heel makkelijk.

Sinds kort is identiteitsfraude strafbaar. Art. 231b Strafrecht bepaalt dat het opzettelijk en wederrechtelijk identificerende persoonsgegevens van een ander gebruiken strafbaar is als je daarmee je eigen identiteit ‘verheelt’ (oftewel verbergt) en die ander nadeel bezorgt. Daar lijkt me wel sprake van bij een bestelling op andermans naam. Je kunt dus aangifte doen.

Ook is hier sprake van oplichting. Er is sprake van wederrechtelijk bevoordelen met gebruikmaking van een valse naam, art. 326 Strafrecht. Echter, daar zit één lastig punt aan: het is de webwinkel die opgelicht is en niet de eigenaar van de werkcomputer. De winkel is immers een product kwijt. Aangifte doen als computereigenaar is dan eigenlijk niet mogelijk.

Zonder te weten wie deze actie heeft uitgehaald, is het lastig zelf juridische actie te ondernemen. Je kunt de winkel aanschrijven en ontkennen de bestelling ooit geplaatst te hebben. De winkel moet dan bewijzen van wel, en een IP-adres of e-mailadres is een tikje mager daarvoor. Waarschijnlijk zal men het gooien op het feit dat het pakket is aangenomen, maar ook dat is formeel natuurlijk geen echt bewijs. Alleen zal de discussie een lastige worden want de winkel zal waarschjnlijk gewoon het incassotraject opstarten. Dus hoe bewijs je dat dit geen smoesje van een wanbetaler is?

Arnoud

Heeft het strafbaar stellen van identiteitsfraude zin?

| AE 5695 | Privacy, Strafrecht | 26 reacties

Wie zich op internet voor een ander uitgeeft, moet volgens de Tweede Kamer maximaal vijf jaar cel kunnen krijgen. Dat meldde RTL Nieuws gisteren. Identiteitsfraude is op zichzelf niet strafbaar; pas als je iets strafbaars doet mét die identiteit kan een sttrafbaar feit ontstaan, bijvoorbeeld oplichting of smaad. Maar hoe ze dat gaan definiëren en… Lees verder

Mag je de inhoud van een verloren portemonnee twitteren?

| AE 5492 | Privacy | 23 reacties

Een lezer vroeg me: Als ik een portemonnee vind met bankpasjes en dergelijke erin, mag ik dan foto’s daarvan op Twitter (of Facebook) zetten met de vraag wie deze persoon kent? Zo hoop ik dat de portemonnee snel terugkomt bij de originele eigenaar. Dit lijkt me niet echt verstandig. Door kaartnummers en dergelijke te publiceren,… Lees verder

Mag je iemands ware identiteit bekendmaken?

| AE 5400 | Meningsuiting, Privacy | 26 reacties

Doxing is de wat merkwaardige internetterm voor “iemands identiteit achterhalen”. Veel mensen op internet zijn anoniem, en het kan dan een sport zijn te achterhalen wie dit werkelijk is. En soms heeft dat vervelende gevolgen voor die persoon, variërend van rare brieven bij de buren of stapels pizza’s tot de buurt moeten ontvluchten. Het is… Lees verder