Marechaussee mocht onder dwang vingerafdruk afnemen om telefoon te ontgrendelen

| AE 11100 | Regulering | 26 reacties

De Koninklijke Marechaussee mocht onder dwang de vingerafdruk van een verdachte afnemen om zijn telefoon te ontgrendelen, las ik bij Security.nl. De rechtbank Noord-Holland bepaalde dat dit legitiem was bij een verdachte die vorig jaar augustus was aangehouden op Schiphol aangehouden wegens het invoeren van drugs. De verdachte had betoogd dat dit in strijd was met het beginsel dat je niet tegen jezelf hoeft te getuigen, maar de rechtbank vindt dat onterecht.

In Nederland is niet expliciet geregeld dat opsporingsambtenaren vingers mogen zetten op sensors waarmee apparatuur van verdachten wordt ontgrendeld. Er is wel een algemene regel dat vingerafdrukken mogen worden genomen, maar het moet dan eigenlijk gaan om identificatie van de verdachte (art. 27a Strafvordering). Dat is toch wel even iets anders dan een vingerafdruk inzetten om een telefoon te openen. Maar bij een ernstig misdrijf mag er meer (art. 55c):

De foto’s en vingerafdrukken [van de verdachte] kunnen ook worden verwerkt voor het voorkomen, opsporen, vervolgen en berechten van strafbare feiten en het vaststellen van de identiteit van een lijk.

Met enige goede wil is “openen van zijn telefoon” wel te rekenen onder “opsporen van strafbare feiten”, als de data op die telefoon daar deel van uitmaakt, schreef ik in 2013. De rechter lijkt het nu met me eens te zijn, getuige de simpele opmerking dat

Een dergelijk bevel is vergelijkbaar met het (onder dwang) afnemen van vingerafdrukken voor opsporingsonderzoek. Het gaat om biometrisch materiaal wat onafhankelijk van de wil van verdachte bestaat en wat zonder zijn medewerking zou kunnen worden verkregen (…)

Complicatie was nog dat tegen de verdachte was gezegd “geef je pincode of ik forceer je vinger op de telefoon en unlock ‘m zo”. Het vragen om pincodes is wezenlijk anders, dat is wél een getuigenis die je dan vraagt. Het doet raar aan, want je hebt als agent gewoon de bevoegdheid om een vingerafdruk fysiek af te nemen als de verdachte tegenstribbelt. Dus waarom dan vragen om pincodes?

Maar omdat hier het ontgrendelen met de vinger wél legaal mogelijk was, ziet de rechtbank deze vraag niet als een verplichting om te getuigen tegen jezelf. Zeg maar hetzelfde als “zeg waar de huissleutel ligt of ik knal de deur open met deze stormram”.

Arnoud

Overheidsdienst nam duizenden gesprekken van advocaten op door softwarefout

| AE 10951 | Regulering | 16 reacties

De Nederlandse Dienst Justitiële Inrichtingen heeft drieduizend gesprekken van advocaten opgenomen door een softwarefout. Dat las ik bij Tweakers. De bron is een brief van de staatssecretaris waarin hij meldt van een incident: gesprekken van advocaten wiens nummer meerdere malen in de lijst met niet-opnemen-nummers stonden, werden wél opgenomen. Dit kwam uit nadat een advocaat het ontdekte (maar hoe dan?) en erover klaagde. De fout is nu opgelost.

Gezien het “van advocaten die meerdere malen voorkomen” zie ik het nog wel als reëel dat het echt een programmeerfout was. Een simpele verklaring is dat de te matchen nummers normaal als tekststring binnenkomen en nu als lijst met de meerdere nummers. Vergelijken van een string met een array zal nooit een match opleveren, dus dan komt dit gesprek door de check heen en wordt het alsnog opgenomen.

De grotere vraag is waarom de DJI dit nooit merkte bij het terugluisteren van de taps. Mogelijk doen ze dat alleen steekproefsgewijs, en het aantal advocaten met twee geregistreerde nummers zal klein zijn dus in theorie is het altijd toevallig goed gegaan. Maar het is natuurlijk ook goed denkbaar dat er DJI-mensen waren die wél meeluisterden. Ik zou het dan wel héél riskant vinden om er wat mee te doen, want als je wordt betrapt heb je geen enkel excuus.

Idem als je het doorbrieft aan een agent die bezig is met een onderzoek. Die kan er niets mee in het dossier, want leg eens uit waar dat bewijs vandaan komt? Natuurlijk is softe informatie handig om te hebben maar dit kan je hele onderzoek besmetten omdat de overtreding dermate ernstig is. Dus ja, het is denkbaar maar zelfs agenten die de wet willen breken, zullen denk ik even twee keer nadenken bij deze bron van informatie.

Arnoud

“Google kan op afstand beveiliging smartphones uitzetten”

| AE 8199 | Regulering | 13 reacties

android-screen-lock-wachtwoord-passwordGoogle kan de schermbeveiliging van een Android-telefoon op afstand uitzetten als een rechter daarom vraagt, las ik bij de NOS. Een Amerikaanse district attorney onthulde dat onlangs. Dit schijnt nieuws te zijn, maar dan toch korte termijn: vanaf binnenkort hebben Androidtoestellen diskencryptie en dan heb je niets aan deze truc.

Het is op zich niet nieuw dat Google als leverancier van een product door Justitie gevraagd wordt dit product open te maken. Dergelijke procedures bestaan nu ook al, van de fabrikant van een brandkast vragen deze open te maken tot een portier vragen aan te wijzen waar kamer 613 zich bevindt.

Wel nieuw (voor mij) is dat Google dit ook op afstand kan. Juridisch lijkt me dat niet erg spannend; een brandkastfabrikant kan ook per telefoon melden wat de stappen zijn om die kluis open te maken, zou ik denken.

Spannender wordt het als we straks verplichte versleuteling hebben in Android (vanaf versie 6.0). Dan kan Google niet meer op afstand de code van het lockscreen wijzigen of toegang verschaffen tot de informatie. Tenzij ze een achterdeur inbouwen, iets dat weer ter discussie gesteld wordt naar aanleiding van Parijs – hoewel die aanslagen niets te maken hadden met sterke encryptie.

Helaas kan ik de tekst niet vinden van dit wetsvoorstel. Maar hoe dan ook, het fundamentele punt blijft: hoe ga je mensen dwingen hun wachtwoord af te geven als ze dat niet willen?

Als alternatief kun je natuurlijk zeggen, dan verplichten we dienstverleners om alleen nog encryptie met achterdeurtjes te bouwen. Dat idee zwerft ook al twintig jaar rond in de politiek, dus dat zal ook wel weer afgestoft worden bij dit soort voorstellen. Waarom mag Joost weten: iedereen snapt toch dat een dergelijk achterdeurtje gekraakt zál worden en dat het dus een heel slecht idee is?

Arnoud

Mag de politie een Blackshades-command en control server hacken?

| AE 6660 | Regulering, Security | 21 reacties

Het Team High Tech Crime van de Nederlandse politie is een server van Blackshades binnengedrongen en heeft op die manier informatie veiliggesteld, meldde Nutech onlangs. Dit in het kader van een strafrechtelijk traject tegen de beheerders, waarbij ook invallen in 34 Nederlandse huizen werden gedaan. Hoogst opmerkelijk, want er is nog steeds geen wettelijke grondslag… Lees verder

Wetsvoorstel computercriminaliteit: terughackbevoegdheid, webcammeekijkrecht, decryptiebevel en wereldwijde rechtsmacht bij cybercrime

| AE 5474 | Security | 55 reacties

Minister van Veiligheid en Justitie Ivo Opstelten wil de politie de mogelijkheid geven om fors in te grijpen tegen hackers, meldde NRC en vele andere media. In een nieuw wetsvoorstel tegen cybercrime stelt hij voor de politie een terughackbevoegdheid en een webcamgluurrecht te geven. Oh ja, en weigeren je wachtwoord te geven wordt strafbaar. Het… Lees verder

Wat moeten wij met het nieuwe wetsvoorstel computercriminaliteit?

| AE 2170 | Informatiemaatschappij, Uitingsvrijheid | 27 reacties

Plannen voor een nieuwe wet computercriminaliteit. Dat zou alweer de derde worden. Er is al veel over geschreven over het afsluitbevel, en ook vanwege mijn vakantie houd ik het kort (goed he, Steven?). Wie zin heeft in uitgebreid & diepgaand, leze Jan-Jaap Oerlemans’ analyse. Allereerst dat afsluitbevel. Op zich is het nu al mogelijk (art…. Lees verder

OM: “downloaden niet langer gedogen” – was dat illegaal dan?

Het Openbaar Ministerie gaat in hoger beroep in de strafzaak over het aanbieden van links naar inbreukmakende werken. In die zaak werd beslist dat het aanbieden van zulke links medeplichtigheid aan inbreuk op auteursrecht kan opleveren. In De Telegraaf legt het OM uit waarom ze hoger beroep aantekenen: “Het is bijna normaal geworden om illegale… Lees verder