Zweedse politie beboet voor gebruik gezichtsherkenning Clearview

| AE 12507 | Regulering | 8 reacties

De Zweedse politie heeft van de Zweedse privacytoezichthouder een boete van 250.000 euro opgelegd gekregen wegens het onrechtmatig gebruik van het gezichtsherkenningssysteem van het bedrijf Clearview AI. Dat meldde Security.nl onlangs. “De politie heeft onvoldoende organisatorische maatregelen ingevoerd om ervoor te zorgen dat het verwerken van persoonlijke data in dit geval volgens de wet plaatsvond”, aldus de Integritetsskyddsmyndigheten (IMY). Zo ontbrak een DPIA. Maar, zo lees ik op diverse plekken, wat is nu het probleem want de politie gebruikt dit toch alleen als hulpmiddel voor eerste leads?

De database van Clearview is opgebouwd door het scrapen van zo ongeveer alle social media sites, van Facebook tot Instagram en Venmo. En omdat die allemaal een Real Name Policy hebben, heb je een handige herkenningstool. Overheden leken de aantrekkelijkste doelgroep voor de dienst, dus daar is men heen gepivot en daarom lezen we nu dat er al tientallen zaken zijn opgelost van het soort waarvan je denkt “als ze nou toch de foto eens door Facebook heen konden halen dan hadden ze ‘m zo, de naarling”.

Nou ja, zoals ik vorig jaar zei:

[V]an bronnen blijf je af tenzij je kunt bewijzen dat je erin mag en dat je mag doen wat je van plan bent. En dat gaat natuurlijk hartstikke mis: die gegevens staan daar niet zodat Clearview er een matching tool mee kan maken maar omdat mensen zichzelf op social media willen presenteren. Dat is dus een doelbindingsprobleem, in het jargon. Ook gaat het mis met de informatieplicht: Clearview vertelt niemand dat hun foto in hun bestand verwerkt wordt en dat er matches zijn gedaan door politiediensten of andere snuffelaars. Dat is onderdeel van de transparantie die de AVG eist.
Dit zijn natuurlijk fundamentele bezwaren, maar ze zijn ook vrij abstract. En dat is lastig want het tegenargument is natuurlijk, als het de politie helpt een lead te vinden dan is dat toch mooi? Wat Clearview doet, is immers ‘gewoon’ dertig matches geven van mensen die lijken op de verdachte, met naam en Facebookprofiel er bij. Die namen trek je dan alsnog zelf door de politiesystemen. Hoe is dat anders dan een buurtonderzoek waarbij iemand zei dat zhij Wim ten Brink had gezien op de plaats delict?

Nou ja, dat is anders omdat je bij buurtonderzoek als agent zelf filtert. Je vraagt het aan mensen uit de buurt, je weet dat wat je binnenkrijgt een tip is zonder onderbouwing en je gaat dat zelf combineren met andere informatie. Dat in tegenstelling tot Clearview, dat pretendeert ‘echte’ matches te geven en daarmee hoge betrouwbaarheid suggereert.

Ook is het met zulke systemen mogelijk dat een vals positief wordt gegeven, waar je dan geen indicatie van hebt. Want die persoon lijkt wel natuurlijk, dus die moeten we het toch maar eens even gaan vragen. En dan krijg je een bekende valkuil, namelijk dat als je iemand als mogelijke verdachte benadert, je eerder bevestiging ziet van dat beeld.

Dit nog los van het feit dat Clearview zelf ook weer met de informatie aan de slag gaat – en hoezo mag een privaat bedrijf weten welke personen de politie zoekt?

Arnoud

Autoriteiten verwijderen Emotet-malware op 25 april van besmette pc’s

| AE 12486 | Regulering | 3 reacties

Autoriteiten zullen de Emotet-malware waarvan de hoofdservers zijn overgenomen op 25 april van besmette computers verwijderen, las ik bij Security.nl, dat weer afging op een beveiligingsonderzoeker op Twitter. Vorige week lieten politie en het Openbaar Ministerie weten dat het gelukt was om het Emotet-netwerk over te nemen en de malware te deactiveren. Het ontmantelen is dan een logische actie, maar natuurlijk komt dan ook meteen de vraag: mag je het botnet zelf deïnstalleren bij mensen op hun computer?

“De Emotet-besmetting is niet langer actief op de computers van ruim 1 miljoen slachtoffers wereldwijd”, zo meldt de politie. Op twee van de hoofdservers van het Emotet-botnet, die zich in Nederland bevinden, wordt een software-update geplaatst voor alle besmette machines. Deze computers zullen de update automatisch binnenhalen, waarna de Emotet-besmetting in quarantaine wordt geplaatst, zo lieten het OM en de politie verder weten.

Dat verwijderen gaat an sich vrij eenvoudig: de software heeft een deïnstallatie-routine ingebouwd. Een en ander gaat op 25 april gebeuren, zodat tot die tijd het netwerk kan worden gemonitord op verkeer om de aanwezigheid van Emotet aan te tonen.

De vraag is dus vooral, welke bevoegdheid kan de politie hierbij inzetten? Deze vraag hebben we vaker gehad (2014: Blackshades, 2010 Bredolab) maar nu zijn er meer mogelijkheden. Sinds de Wet computercriminaliteit III hebben we namelijk onder meer dit wetsartikel 125o erbij in Strafvordering:

Indien bij een doorzoeking in een geautomatiseerd werk gegevens worden aangetroffen met betrekking tot welke of met behulp waarvan het strafbare feit is gepleegd, kan de officier van justitie dan wel indien deze de doorzoeking verricht, de rechter-commissaris bepalen dat die gegevens ontoegankelijk worden gemaakt voor zover dit noodzakelijk is ter beëindiging van het strafbare feit of ter voorkoming van nieuwe strafbare feiten.

De doorzoeking vond hier plaats in de centrale server, en daarbij werd dus de command&control software aangetroffen. Die mag dan ontoegankelijk worden gemaakt. Maar de strekking kun je breder lezen: ook de clientsoftware bij de slachtoffers thuis zijn “gegevens met behulp waarvan het strafbare feit is gepleegd” natuurlijk. En die mogen dan ook ontoegankelijk worden gemaakt.

De toe te passen methode van ontoegankelijkmaking, bijvoorbeeld wissen of versleutelen, zal volgens de memorie van toelichting moeten afhangen van de effectiviteit daarvan alsmede van de beginselen van proportionaliteit en subsidiariteit. Daarbij weegt zwaar dat het gaat om computers van derden. Maar daar staat in dit geval voor mij tegenover dat het kennelijk een eenvoudige instructie is, die een ingebouwde deactivatie uitvoert. Dat is heel wat anders dan met een zelfgebakken ingreep iets proberen weg te halen dat mogelijk een logische bom aan boord heeft als het dat merkt.

Arnoud

Marechaussee mocht onder dwang vingerafdruk afnemen om telefoon te ontgrendelen

| AE 11100 | Regulering | 26 reacties

De Koninklijke Marechaussee mocht onder dwang de vingerafdruk van een verdachte afnemen om zijn telefoon te ontgrendelen, las ik bij Security.nl. De rechtbank Noord-Holland bepaalde dat dit legitiem was bij een verdachte die vorig jaar augustus was aangehouden op Schiphol aangehouden wegens het invoeren van drugs. De verdachte had betoogd dat dit in strijd was met het beginsel dat je niet tegen jezelf hoeft te getuigen, maar de rechtbank vindt dat onterecht.

In Nederland is niet expliciet geregeld dat opsporingsambtenaren vingers mogen zetten op sensors waarmee apparatuur van verdachten wordt ontgrendeld. Er is wel een algemene regel dat vingerafdrukken mogen worden genomen, maar het moet dan eigenlijk gaan om identificatie van de verdachte (art. 27a Strafvordering). Dat is toch wel even iets anders dan een vingerafdruk inzetten om een telefoon te openen. Maar bij een ernstig misdrijf mag er meer (art. 55c):

De foto’s en vingerafdrukken [van de verdachte] kunnen ook worden verwerkt voor het voorkomen, opsporen, vervolgen en berechten van strafbare feiten en het vaststellen van de identiteit van een lijk.

Met enige goede wil is “openen van zijn telefoon” wel te rekenen onder “opsporen van strafbare feiten”, als de data op die telefoon daar deel van uitmaakt, schreef ik in 2013. De rechter lijkt het nu met me eens te zijn, getuige de simpele opmerking dat

Een dergelijk bevel is vergelijkbaar met het (onder dwang) afnemen van vingerafdrukken voor opsporingsonderzoek. Het gaat om biometrisch materiaal wat onafhankelijk van de wil van verdachte bestaat en wat zonder zijn medewerking zou kunnen worden verkregen (…)

Complicatie was nog dat tegen de verdachte was gezegd “geef je pincode of ik forceer je vinger op de telefoon en unlock ‘m zo”. Het vragen om pincodes is wezenlijk anders, dat is wél een getuigenis die je dan vraagt. Het doet raar aan, want je hebt als agent gewoon de bevoegdheid om een vingerafdruk fysiek af te nemen als de verdachte tegenstribbelt. Dus waarom dan vragen om pincodes?

Maar omdat hier het ontgrendelen met de vinger wél legaal mogelijk was, ziet de rechtbank deze vraag niet als een verplichting om te getuigen tegen jezelf. Zeg maar hetzelfde als “zeg waar de huissleutel ligt of ik knal de deur open met deze stormram”.

Arnoud

Politie en FBI geven elkaar toegang tot databank met vingerafdrukken

| AE 10967 | Privacy, Regulering | 38 reacties

De Nederlandse politie krijgt toegang tot databanken met daarin vingerafdrukken van miljoenen Amerikanen, las ik bij Tweakers. Omgekeerd kan de FBI de Nederlandse strafdatabank met vingerafdrukken van 1,3 miljoen veroordeelden en verdachten benaderen. Zo moeten beide politiediensten makkelijker vingerafdrukken kunnen matchen aan bekende daders (of verdachten) uit eerdere onderzoeken. Een nogal opmerkelijke stap, die veel… Lees verder

Politie test koppelen cameradata tegen dieven in Roermond

| AE 10843 | Informatiemaatschappij | 41 reacties

De politie en de TU Eindhoven testen een systeem om data uit verschillende bronnen, met name camera’s, te koppelen en te analyseren, om winkeldieven uit Oost-Europa in een vroeg stadium te herkennen. Dat meldde Tweakers afgelopen maandag. De camera’s zijn die uit de anpr-nummerplaatherkenning, gekoppeld aan een database die de politie heeft over voertuigen die… Lees verder

Mag de eigenaar van een gestolen laptop deze opsnuffelen bij een legitieme koper?

| AE 9571 | Regulering, Security | 32 reacties

Een lezer vroeg me: Onlangs kreeg ik de politie aan de deur: ik zou in het bezit zijn van een gestolen laptop! Bij navraag bleek het te gaan om een tweedehands die ik keurig in een computerwinkel had gekocht (met bon, reële prijs, semi-bekende keten wiens naam ik even niet noem) dus niets aan de… Lees verder

Politie krijgt tien nieuwe teams om cybercriminaliteit te bestrijden

| AE 9187 | Regulering | 65 reacties

De politie gaat tien nieuwe cyberteams oprichten om cybercriminaliteit beter te kunnen bestrijden. Dat las ik bij Nu.nl. De teams gaan uit minimaal tien rechercheurs bestaan, die al in dienst zijn bij de politie. Zij worden ondersteund door digitaal specialisten die beschikken over specifieke ICT-kennis. NRC vult aan dat de focus mede komt te liggen… Lees verder

Is een boevenopsporingspagina op Facebook nuttig of een schandpaal?

| AE 8742 | Privacy, Regulering | 11 reacties

Vergeet je iets te betalen bij een bedrijf in Zeeland, dan loop je kans dat je wordt ontmaskerd op Facebook, meldde PZC vorige week. Winkeliers met camerabeelden van vermeende diefstal kunnen die plaatsen in de facebookgroep ‘Vergeten te betalen? Zeeland’. Het lijkt effectief – diverse nietbetalers hebben zich bij de winkelier gemeld. Maar mag het?… Lees verder

AMS-IX zet toch omstreden stap van Amerikaanse uitbreiding door

| AE 5981 | Ondernemingsvrijheid | 18 reacties

OMGWTFPATRIOTACT. Een meerderheid van leden van de AMS-IX heeft zich achter de omstreden uitbreiding van het internetknooppunt naar de Verenigde Staten geschaard, meldde Tweakers zaterdag. Die uitbreiding leverde flink wat zorgen bij de leden op, maar kennelijk net niet genoeg om voldoende tegenstemmen te krijgen. Maar beloofd is dat het opzetten van het Amerikaanse internetknooppunt… Lees verder