Mag de eigenaar van een gestolen laptop deze opsnuffelen bij een legitieme koper?

| AE 9571 | Beveiliging, Strafrecht | 32 reacties

Een lezer vroeg me:

Onlangs kreeg ik de politie aan de deur: ik zou in het bezit zijn van een gestolen laptop! Bij navraag bleek het te gaan om een tweedehands die ik keurig in een computerwinkel had gekocht (met bon, reële prijs, semi-bekende keten wiens naam ik even niet noem) dus niets aan de hand. Maar men bleek me te hebben opgespoord door ‘Absolute Software’ van het bedrijf LoJack/CompuTrace. Het bedrijf geeft te kennen dat het geen middelen schuwt om via een voorgeïnstalleerde backdoor informatie te vergaren betreffende het “gestolen” goed, waaronder: hard drive mining, keystrokes/typed data, screen images en position. Is dat wel legaal, zeker in mijn situatie?

Het kopen van gestolen goed heet normaal ‘heling’ en is strafbaar. Echter, de wet (art. 3:86 BW beschermt de consument die gestolen goed koopt bij een bedrijf of winkel. Deze wordt gewoon eigenaar van het goed, en kan niet worden vervolgd voor heling.

Steeds meer ICT-producten zoals laptops, tablets of telefoons worden voorzien van “phone home”-achtige software, waarmee de eigenaar op afstand kan zien waar het apparaat zich bevindt. Vaak is die software ook voorzien van aanvullende features, waarmee kan worden rondgekeken op de telefoon en waarmee de camera kan worden bediend om de huidige houder vast te leggen. (Zie deze mooie documentaire over wat er allemaal kan.)

Informatie achterhalen over je eigen laptop valt onder de informatievrijheid en dat is een grondrecht. Maar de privacy is óók een grondrecht, zelfs tot op zekere hoogte voor de dader van een misdrijf. De schandpaal is immers afgeschaft, heet dat dan onder beschaafde juristen. En hier gaat het niet om een dief maar om een gewone eerlijke burger die iets legaal kocht in een winkel. Hoezo mag diens privacy worden geschonden door de oude eigenaar van het apparaat? Dit is typisch zo’n balans uit het internetrecht waar niet meteen een eenduidig antwoord op is.

Voor mij zou denk ik uiteindelijk de doorslag geven hoe groot de kans is dat een gestolen laptop via een winkel terecht komt bij een particulier die te goeder trouw is. Als de overgrote meerderheid die laptop in strafbare hoedanigheid verwerft, dan zou ik weinig moeite hebben met de privacyaspecten van deze zaak. Zeker als de gegevens ook nog eens alleen voor aangifte en opsporing gebruikt worden, en niet voor eh documentaires of andere openbaarmakingen door het slachtoffer.

Arnoud

Mag een PC-reparateur aangifte doen van wat hij op je harddisk vindt?

| AE 7858 | Beveiliging | 23 reacties

Een lezer vroeg me:

Als je je pc voor reparatie aanbiedt, kan men daarbij bijvoorbeeld zien dat je illegale software gebruikt. Of, als je pech hebt, dat je echt illegale zaken hebt staan (gestolen bedrijfsgegevens, terroristische literatuur, kinderporno, vul maar in). Mogen ze daar aangifte van doen? Ze hebben toch een geheimhoudingsplicht als opdrachtnemer?

Als je een PC ter reparatie aanbiedt, dan is het logisch dat de reparateur kennis neemt van bepaalde informatie of onderdelen als dat relevant is voor de inhoud. Een expliciete geheimhoudingsplicht kent de wet niet. Er is wel de “zorgplicht van een goed opdrachtnemer”, waar je “wees discreet over privézaken van je klant” best onder kunt rekenen.

Zie je iets strafbaars, dan mag een ieder daar aangifte van doen. Dat staat los van die zorgplicht, het recht aangifte te doen als je kennis hebt van een strafbaar feit bestaat altijd. Het is dus toegestaan. Of het handig is en of het echt wat oplevert, is dan weer een andere vraag.

(Een aangifte doen is niet verplicht, behalve bij een setje zeer ernstige misdrijven zoals een dreigende aanslag op regering of Koningshuis. Ook bij moord, doodslag, hulp bij zelfdoding en bij abortus, mensenroof en verkrachting geldt deze plicht. Voor kinderporno strikt gesproken niet, tenzij je die foto’s aanvoert als bewijs van verkrachting en dan dáár aangifte van doet.)

Wanneer je illegale software aantreft, is strikt gesproken sprake van een strafbaar feit: opzettelijke inbreuk op het auteursrecht is immers een misdrijf, zo staat in de Auteurswet. Er zal echter niets met die aangifte worden gedaan, want het staand beleid van het OM is om alleen te vervolgen bij grootschalige commerciële inbreuk, bedreigingen voor de volksgezondheid en banden met georganiseerde misdaad. Dat betekent natuurlijk niet dat aangifte niet mág maar het voelt wel wat zinloos. Plus, je bent gegarandeerd die klant kwijt. Ik zou dat dus afraden.

Arnoud

Lenovo installeert nepcertificaat en malware op nieuwe laptops, mag dat?

| AE 7452 | Beveiliging | 36 reacties

mitm-man-in-the-middle-malware-aanval-cybercrimeLenovo injecteert nieuwe laptops met malware, meldde Nu.nl gisteren. Het gaat om de Superfish-software, die advertenties en floepvensters toevoegt aan webpagina’s. En om dat ook bij beveiligde sites te kunnen doen, is een SSL root certificaat geïnstalleerd zodat beveiligd verkeer omgeleid kan worden en Superfish er tussen kan komen met z’n rommel.

Stilletjes adware op iemands computer zetten, is normaal een vorm van binnendringen en bovendien een overtreding van de cookiewet. Die laatste verbiedt immers dat je zonder toestemming data op iemands randapparatuur zet. En dat geldt niet alleen voor tracking cookies, dat geldt voor álle data die niet functioneel is voor de dienst die je wilde afnemen. En Superfishadvertenties bij mijn bankbezoek, nee dank u.

Probleem met dat ‘binnendringen’ is alleen dat de software erop gezet is terwijl de laptop nog eigendom van Lenovo was. En je kunt niet in je eigen PC ‘binnendringen’ in de zin van de strafwet. Dat ze vergaten het te vertellen bij de verkoop, dat levert een oneerlijke handelspraktijk op (weglaten van essentiële informatie) waarmee je de koop ongedaan mag maken, maar aan de strafwet kom je niet.

Aftappen van datacommunicatie dan? Ook daar twijfel ik over. Het aftappen van “gegevens die niet voor hem bestemd zijn” is strafbaar (art. 139c Strafrecht) maar toen KPN een paar jaar terug DPI dataverkeerde DPI’de, werd dat geen overtreding van dit wetsartikel geacht omdat KPN “geen inzicht in de inhoudelijke communicatie” had. Er moet een mens meekijken, en dat gebeurde niet bij KPN – en ook niet bij Superfish.

Maar misschien kan de cookiewet alsnog voor de redding zorgen. Lid 1 heeft het over “via een netwerk” maar lid 2 zegt dat het ook geldt dat je op een andere manier realiseert dat er gegevens kunnen worden uitgelezen of opgeslagen. Ik zou zeggen dat het preïnstalleren van middelen om dat te doen, onder lid 2 valt. Het doorgeven van gegevens door Superfish, maar ook het ontvangen van te tonen advertenties, valt dan onder het “opslaan of uitlezen van gegevens” waarvoor de cookiewet toestemming vereist.

Lenovo heeft nog geen persbericht met PR-gereutel over het waarderen van privacy en het streven naar continue innovatie en verbetering van gebruikservaring uitgegeven. Maar de software is gewoon via het controlepaneel van Windows te deïnstalleren (“VisualDiscovery”). Wie ontdekt ‘m nu ineens op zijn laptop?

Arnoud

Maar hij staat dáár!

| AE 5427 | Beveiliging | 18 reacties

Diverse lezers wezen me op dit GeenStijlbericht over een gestolen laptop die de politie niet wilde terughalen. Op de bekende tendentieuze, ongefundeerde en nodeloos kwetsende wijze werd daar melding gemaakt van een poepdure hipstermachine die in 020-Gaza beneden zijn stand weg stond te kwijnen in het onrechtmatige bezit van werkschuw steeltuig. En de pliesie zat… Lees verder

Het verschil tussen garantie en wettelijke garantie (conformiteit)

| AE 2590 | Webwinkels | 78 reacties

Let op: op 13 juni 2014 is de consumentenwetgeving ingrijpend veranderd. De onderstaande blog is daarom mogelijk verouderd. Voor actuele informatie zie Webwinkelrecht.nl. Een lezer vroeg me: Anderhalf jaar geleden heb ik een HP-laptop gekocht bij een webwinkel. De laptop geeft nu (via een bootscreen) aan dat de accu nodig vervangen moet worden. De winkel… Lees verder

Mag een winkel verwijzen naar de fabrikant voor de garantie?

| AE 2357 | Contracten, Webwinkels | 28 reacties

Let op: op 13 juni 2014 is de consumentenwetgeving ingrijpend veranderd. De onderstaande blog is daarom mogelijk verouderd. Voor actuele informatie zie Webwinkelrecht.nl. Tentamenvraag: vindt dit verweer steun in het recht? [De winkel] heeft zich tegen de vorderingen verweerd met de stelling, dat niet hij, maar de fabrikant verantwoordelijk is voor het uitvoeren van de… Lees verder

Doorzoeken van een privélaptop mag ook niet zomaar

| AE 2308 | Beveiliging, Privacy | 17 reacties

Een curator mag niet zonder meer privélaptops onderzoeken, ondanks dat er mogelijk bewijs van faillissementsfraude op te vinden is. Dat las ik gisteren op Webwereld naar aanleiding van een arrest uit Den Bosch. In deze zaak wilde de curator toegang tot gegevens op de privélaptop van de bedrijfsjurist van een failliet bedrijf, omdat hij vermoedens… Lees verder

Massale laptopcontroles Schiphol leveren niets op

| AE 1574 | Beveiliging, Internetrecht | 10 reacties

De Marechaussee op Schiphol heeft vorig jaar meer dan duizend maal gecontroleerd op digitale gegevensdragers, meldde nu.nl afgelopen vrijdag. Vorig jaar begon men met een proef voor het doorzoeken van digitale gegevensdragers van reizigers, met als voornaamste doel het afschrikken van mensen die digitale kinderporno Nederland in zouden willen smokkelen. De juridische basis was en… Lees verder