Wacht even, die Telegram takedown was een telefoon takeover

ernestoeslava / Pixabay

Vorige week blogde ik dat het Openbaar Ministerie twee kanalen van complotdenkers op chatapp Telegram had laten blokkeren. Dat leek een inzet van het logische bevel te zijn (art. 54a Strafrecht) waarmee een officier van Justitie een tussenpersoon bepaalde content offline kan laten halen – na machtiging rechter-commissaris. Maar dat bevreemdde wel, want Telegram zit niet in Nederland en staat niet bekend om zijn inschikkelijkheid naar buitenlandse autoriteiten. En nu is uitgekomen dat het gewoon een handig gebruik van de telefoon van een verdachte was.

Zoals in het oorspronkelijke bericht stond:

Afgelopen week werd er aangekondigd dat op een nieuw kanaal video’s zouden worden geplaatst met bedreigende, opruiende en lasterlijke inhoud. Daarop heeft het OM besloten om maatregelen te nemen.
Het persbericht ging daar iets nader op in:
De rechter-commissaris heeft vrijdag toestemming gegeven om de kanalen af te sluiten, zowel Bataafse Republiek en Bataafse Nieuws. Daarop heeft de politie de kanalen afgesloten, leden kunnen geen nieuwe berichten meer plaatsen.
Die ene zin had ik denk ik even gemist, als je Telegram een bevel geeft dan zeg je niet dat “de politie” de kanalen afsluit maar dat “Telegram op bevel heeft afgesloten”. Bedenk ik me nu. Want nu is het bevel zelf gepubliceerd, en daaruit blijkt dat het net iets anders ligt dan “er is een bevel aan Telegram gegeven”:
De rechter-commissaris: verleent aan de officier van justitie een machtiging tot het bevel aan een medewerker van de politie om via de telefoon van de verdachte de gegevens in de Telegram-groepen [naam groep 1], [naam groep 2] en [naam groep 3] ontoegankelijk te maken; [en] daarvan verslag te doen in een proces-verbaal en een afschrift hiervan te verstrekken aan de rechter-commissaris.
Er was dus een telefoon van een verdachte in het bezit van de politie, en vanaf die telefoon was kennelijk nog een beheerdersaccount actief voor deze Telegram-kanalen. Technisch gezien is het dan niet zo moeilijk om de kanalen te sluiten. En dit is ook een stuk effectiever dan het bedrijf in een ver buitenland (Londen en Dubai) gaan sommeren om dingen te sluiten.

Het laat wel weer zien dat in Nederland de politie best veel kan; zowel technisch als juridisch. Want voor de juristen, dit valt onder artikel 125p Wetboek van Strafvordering, het op bevel ontoegankelijk maken van gegevens, en daaronder vallen dus ook chatkanalen.

Arnoud

 

 

Mag een webshop mij informatie weigeren over mijn vrouws bestelling?

Een lezer vroeg me:

Mijn vrouw had recent wat geretourneerd bij een webshop, en na twee weken wilde ik eens bellen over de voortgang. Maar dat mocht niet “vanwege de Wet op de privacy”. Mijn vrouw moest toen aan de telefoon mij machtigen en toen kreeg ik wel alle informatie. Doet mij een tikje gek aan, zeker omdat ik iedere vrouwenstem dit had kunnen laten doen. Maar klopt het dat de privacywetgeving verbiedt dat je als echtgenoot mag informeren over elkaars bestellingen?

Op zich is het vanuit de Wet bescherming persoonsgegevens natuurlijk verboden om bestelgegevens van iemand te verstrekken aan een ander. Als ik bel over jouw bestelling, dan mag ik hopen dat ze me dat niet geven.

Binnen een huwelijk ligt dat anders, daar hebben de partners in principe recht op toegang tot elkaars persoonsgegevens. In ieder geval bij bestellingen, omdat ze beiden juridisch aansprakelijk zijn voor de bestelling. Er is dan een recht onder de goede uitvoering overeenkomst (artikel 8 sub b Wbp). Denk ik, ik kan er geen jurisprudentie over vinden.

Wie heel formeel insteekt, zal concluderen dat er een machtiging nodig is van de vrouw naar de man. Dat mag telefonisch, dus op zich doet de winkel het juridisch goed. Alleen pakken ze het wel heel slordig aan met de authenticatie. Beter was geweest als ze hadden gezegd, dit kan alleen per mail, of als ze je dingen ter verificatie hadden gevraagd (naam, adres, bestelnummer, zoiets).

Tegelijk snap ik ook wel dat dat best vervelend is. Zeker omdat je als consument wettelijk het récht hebt om te bellen over je bestelling, dus ze moeten in staat zijn een telefonisch verzoek te authenticeren.

Hebben jullie suggesties hoe je dat het beste kunt doen als winkel?

Arnoud

Mag een bedrijf telefonisch informatie verstrekken aan iemand anders dan de contracthouder?

Een lezer vroeg me:

Steeds vaker merk ik dat wanneer ik voor mijn partner of ouders een helpdesk bel, ze meteen afhaken wanneer ik zeg dat ik niet zelf de contracthouder ben. Dit “vanwege de privacy” en “omdat ze niet kunnen verifiëren dat ik gemachtigd ben”. Maar is die privacywet echt zo streng? En hoe zou het dan wel moeten?

Vroeger, toen bits nog van hout waren, kon je inderdaad een stuk makkelijker namens anderen bellen of informatie inwinnen. Maar het vertrouwen dat daaronder lag, is ondertussen wel stevig aangetast. En terecht, social engineering is wel érg makkelijk als iemand bij mijn gegevens kan door te zeggen dat hij mijn echtgenoot is.

Het is wat verwarrend als bedrijven dan “vanwege de privacy” zeggen, want dit is niet specifiek een privacy-issue. Het is meer een veiligheidsissue of een bevoegdheids-issue, als je het juridisch bekijkt. Maar wellicht dat dat lastiger aan de telefoon uit te leggen is.

Als je gemachtigd bent, dan zou “vanwege de privacy” of security geen issue moeten zijn. Die persoon mág dan namens die ander de conversatie voeren. Alleen, hoe toon je dat aan als gemachtigde? Machtigen kan ook mondeling (of per mail), dus het is denkbaar dat iemand belt die geen stuk papier kan laten zien.

Het lijkt me in beginsel redelijk dat je als bedrijf zegt, telefonisch willen we geen gemachtigden spreken want dat is niet te verifiëren. Maar in veel gevallen zou ik dat wel wat streng vinden. Denk aan afspraken maken of dingen aanvragen die vervolgens worden opgestuurd.

Arnoud

Waarom mag een incasso via internet eigenlijk niet?

automatische-incasso-formulier-betalen.jpgEen lezer vroeg me:

Steeds meer bedrijven bieden je de mogelijkheid om via internet met een automatische incasso te betalen. Je moet dan je naam en bankrekeningnummer invullen en een vinkje aankruisen, maar een handtekening is niet nodig. Is dat wel rechtsgeldig?

Nee, dat is formeel niet genoeg. Een machtiging tot automatische incasso moet schriftelijk worden afgegeven. Als er langs andere kanalen (bv. telefoon of internet) wordt afgesproken dat er met incasso wordt betaald, dan moet er nog steeds een schriftelijke bevestiging daarvan worden verzonden.

Maar wat is nu de wettelijke grondslag daarvoor? Ik dacht eerst dat dit te maken had met het feit dat aktes (een stuk met handtekening dat bestemd is om tot bewijs te dienen) schriftelijk moeten zijn (art. 156 Rechtsvordering) maar dat blijkt geen rol te spelen. Automatische incasso is namelijk geen wettelijke betalingsvorm maar een product van de banken, in de markt gezet door Currence.

Wil je als bedrijf werken met automatische incasso, dan moet je akkoord gaan met de helaas niet online beschikbare Rules & Regulations Incasso van Currence. En die bepalen expliciet doch enigszins kortaf “Machtigingswijze: Schriftelijk en telefonisch” bij de producten “Doorlopende machtiging Algemeen” en “Eenmalige machtiging”. Kortom, geen wettelijk eis maar een regel van het bedrijf achter deze betalingsmogelijkheid.

Waarom Currence deze regel heeft ingevoerd, kan ik niet ontdekken. Ik vermoed omdat het fraudebestendiger zou zijn maar daarover is in de toelichting (pdf) of andere stukken niets te vinden.

Arnoud