Beter blijf je van je telefoon en WhatsApp af als de ACM binnenvalt

| AE 11666 | Regulering, Security | 20 reacties

De Autoriteit Consument & Markt (ACM) heeft aan een bedrijf een boete van 1.84 miljoen euro opgelegd omdat ze een onderzoek van de ACM heeft belemmerd. Dat meldde de toezichthouder onlangs. Medewerkers van het bedrijf dat wordt onderzocht voor het maken van concurrentievervalsende afspraken, hebben WhatsApp groepen verlaten en chats gewist tijdens een inval van de ACM. Die viel daar binnen omdat het bedrijf werd verdacht van overtreding van de Mededingingswet, zeg maar kartelvorming. En dan is het natuurlijk wel héél erg de bedoeling dat iedereen van zijn spullen afblijft en geen bewijs gaat zitten vernietigen.

De inval gebeurde in 2018, het bedrijf wordt niet genoemd omdat het onderliggende onderzoek naar die kartelvorming nog niet is afgerond. Het bedrijf zou met andere bedrijven samenspannen om de markt te verpesten, maar vanwege anonimisering is niet precies duidelijk op welke manier. Het zou bijvoorbeeld prijsafspraken kunnen zijn (samen gelijkluidende offertes maken, of afspreken dat de rest even wat hoger offreert zodat jij deze keer de opdracht krijgt), of samen coördineren hoe een concurrent uit de markt te houden, of ga zo maar door.

In ieder geval iets dat de ACM ernstig genoeg vond om een onaangekondigde inval te doen. Doel daarvan is om bewijs te vergaren om de zaak rond te krijgen, iets wat lastig is omdat dergelijke verboden afspraken (“onderling afgestemde feitelijke gedragingen”) natuurlijk niet formeel in notulen vastliggen. In dit geval bleken medewerkers dus WhatsApp in te zetten om af te stemmen met die andere partijen – althans waarschijnlijk, want vlak na de inval bleken mensen uit relevante groepen te zijn gestapt en chats te hebben gewist.

De ACM was daar natuurlijk niet blij mee, maar het is goed te lezen dat de directie zelf dat ook niet was:

Volgens de advocaat hebben zij, toen hij en de leidinggevende medewerker rond 13:30 uur erachter kwamen dat één van de hierboven genoemde werknemers chats had gewist, de relevante werknemers van de Onderneming onmiddellijk de instructie gegeven van al hun app-berichten af te blijven en uit geen enkele app-groep te stappen dan wel berichten te wissen.

Het bedrijf gaf vervolgens volledige medewerking aan het onderzoek en verstrekte zelfs meer informatie dan waar ze van de wet verplicht toe waren. Dat laat voor mij wel zien dat dit geen bewuste tactiek was om die berichten te laten wissen en dan te zeggen “ja sorry eigengereide medewerker, had niet mogen gebeuren”.

Desondanks kiest de ACM er voor om een boete van 1.8 miljoen euro op te leggen, als duidelijk signaal dat dit écht niet door de beugel kan. En vooral als signaal dat je als werkgever moet zorgen dat je werknemers dit niet kunnen doen, ook niet op eigen houtje. Ik verwacht dus dat de nodige bedrijven nu beleid gaan maken dat WhatsApp niet meer mag en/of dat de chats centraal gelogd moeten worden. Maar ja, als mensen de Mededingingswet willen gaan overtreden dan verzinnen ze daar ook weer een oplossing voor.

Arnoud

Duitse politie haalt datacentrum voor darknetmarktplaatsen offline

| AE 11519 | Regulering | 8 reacties

De Duitse politie heeft donderdagavond een datacentrum voor darknetmarktplaatsen offline gehaald en zeven verdachten gearresteerd. Dat meldde Tweakers onlangs. De servers werden onder meer gebruikt voor darknetmarktplaats Wall Street Market en een aanval op Deutsche Telekom-routers. De beheerder van het dc omschrijft haar diensten als bulletproof hosting en heeft beleid dat men zich niet actief bemoeit met wat klanten doen “except child porn and anything related to terrorism.” De inval lijkt te suggereren dat dat beleid niet geheel binnen de wet blijft, maar ik kreeg bezorgde hosters in de mail of zij ook strafrechtelijk aansprakelijk gehouden kunnen worden als er een strafbare klant tussen zit.

Bij Emerce een fascinerend verhaal over de geschiedenis van deze cyberbunker. In principe is onder de wet iedere hoster gelijk – je bent als partij die gegevens van klanten opslaat en doorgeeft als hoofdregel niet aansprakelijk voor die gegevens. Dat zou immers ook onwerkbaar zijn, hoe moet je dan iedere klant op ieder moment toetsen.

Het is dan ook weer niet de bedoeling dat je bewust de andere kant op kijkt. In de wet (art. 6:196c BW) staat dan ook dat zodra je actief bewust bent van bepaalde onrechtmatige inhoud, je moet ingrijpen. De bekende notice-takedownpolicies zijn op dat stukje gebaseerd. En voor de duidelijkheid: dat gaat over álle wetsovertredingen, niet alleen auteursrechtschendingen of strafbare zaken. Een NTD verzoek gebaseerd op de AVG behoort dus ook gewoon te werken, zij het dat de overtreding wel onmiskenbaar (evident) juist moet zijn en dat is bij AVG-dingen niet perse het geval.

Maar dat is civiel recht. Strafrecht kent zijn eigen regime, in dit geval artikel 54a Strafrecht, waarin staat:

Een tussenpersoon die een telecommunicatiedienst verleent bestaande in de doorgifte of opslag van gegevens die van een ander afkomstig zijn, wordt als zodanig niet vervolgd indien hij voldoet aan een bevel van de officier van justitie, na schriftelijke machtiging op vordering van de officier van justitie te verlenen door de rechter-commissaris, om alle maatregelen te nemen die redelijkerwijs van hem kunnen worden gevergd om de gegevens ontoegankelijk te maken.

De definitie is grofweg hetzelfde. Je moet een hoster (of access provider) zijn, een partij die gegevens van anderen opslaat en doorgeeft. Die definitie is breed genoeg om ook diensten als Skype of Twitter te vangen. Je kunt dan volgens de normale regels van het strafrecht worden vervolgd voor die handelingen, je bent immers formeel gezien behulpzaam en dus op zijn minst medeplichtig als die handelingen strafbaar zijn.

Maar dit artikel zegt van niet. Althans, wanneer je op bevel van de officier van justitie meteen die gegevens ontoegankelijk maakt. Dat bevel mag dan weer niet zomaar worden gegeven, er moet een machtiging van de onafhankelijke rechter-commissaris worden verkregen. Daar zit dus een stukje gerechtelijke toetsing. Dit mag je “alleen met gerechtelijk bevel” noemen, alleen laat je dan wel zien dat je meer vaart op Amerikaanse rechtbankseries dan Nederlandse wetboeken. De RC is de gerechtelijke instantie die zegt dat de officier mag eisen dat het weggaat. Bevalt dat je niet, dan kun je naar de ‘echte’ rechtbank maar dan sta je dus al in het strafbankje – geen gehoor geven aan een bevoegd gegeven bevel op zijn minst, of als men echt boos is dus medeplichtigheid aan dat strafbare feit.

Wanneer je je echter structureel inhoudelijk gaat bemoeien met wat je klanten doen, dan kun je niet meer spreken van een “tussenpersoon als zodanig”. Dan kun je je dus niet meer beroepen op de bescherming van artikel 54a, en je zou dan als medeplichtige van het handelen van die klanten gezien kunnen worden. Ik denk dat diezelfde situatie kan ontstaan als je je ook nadrukkelijk profileert als bulletproof hoster: je moet weten dat dat een bepaald type klanten aantrekt, met name vaak het type dat illegale zaken op het oog heeft. Dat voelt voor mij niet meer als de opstelling als neutraal tussenpersoon.

Arnoud