Huh, afpersen is niet verboden als je dreigt met openbaarmaking?

| AE 11711 | Privacy, Regulering | 15 reacties

Af en toe kom je gekke zaken tegen als je op ‘internet’ zoekt op Rechtspraak.nl. Zo ook deze zaak over een relatief simpele afpersing zo lijkt het: een man breekt in bij een bedrijf, kopieert persoonsgegevens en eist bitcoins anders zal hij deze openbaar maken. Je zou zeggen dat dat strafbaar is, en omdat hij nog gepakt werd ook zouden we dat gaan zien. Maar wat zegt de rechtbank: niet strafbaar, want nergens in de wet staat dat zulk openbaar maken verboden is. Eh, wat?

De man wist binnen te dringen in de webserver van een verhuurmakelaar middels een PHP-zwakheid. Hij kon daardoor bij de database en wist gegevens van 18.500 klanten te downloaden (waaronder emailadressen, bankrekeningnummers, werkgeversverklaringen en kopieën van identiteitsbewijzen van personen die zich hadden ingeschreven). Vervolgens nam hij contact op met het bedrijf en eiste 10.000 euro in bitcoin onder het dreigement dat hij de gegevens anders op internet zou zetten.

Omdat dat contact onder meer per telefoon ging, wist de politie de man te achterhalen. Hij werd vervolgens vervolgd voor afpersing (art. 317 Sr). Dat is normaal dreigen met geweld om zo iets te krijgen dat niet van jou is maar er is ook een digitale variant in lid 2:

Met dezelfde straf wordt gestraft hij die de dwang, bedoeld in het eerste lid, uitoefent door de bedreiging dat gegevens die door middel van een geautomatiseerd werk zijn opgeslagen, onbruikbaar of ontoegankelijk zullen worden gemaakt of zullen worden gewist.

Al die exploitanten van ransomware zijn dus strafbaar onder dit artikel. Maar deze man had een iets andere insteek: niet wissen, maar openbaar maken oftewel reputatieschade (en mogelijk een AVG boete) als je niet betaalt. En daarvan zegt de rechtbank terecht, dat stáát er niet, in lid 2. Zo werkt strafrecht, dit wetboek lezen we heel letterlijk om te voorkomen dat mensen worden veroordeeld voor iets dat niet expliciet verboden was verklaard.

Ik blijf dan wel even bladeren om te zien hoe meneer wél voor dit feit veroordeeld had kunnen worden. Een mogelijkheid is artikel 318:

Hij die, met het oogmerk om zich of een ander wederrechtelijk te bevoordelen, door bedreiging met smaad, smaadschrift of openbaring van een geheim iemand dwingt hetzij tot de afgifte van enig goed dat geheel of ten dele aan deze of aan een derde toebehoort, hetzij tot het aangaan van een schuld of het teniet doen van een inschuld, hetzij tot het ter beschikking stellen van gegevens, wordt als schuldig aan afdreiging, gestraft met gevangenisstraf van ten hoogste vier jaren of geldboete van de vijfde categorie.

Je zou dan zeggen dat deze klantendatabase een “geheim” (bedrijfsgeheim) is, en er wordt dan gedreigd met openbaarmaking daarvan. Dan kom je dus bij afdreiging en dat is strafbaar. Maar ik kan geen jurisprudentie vinden die dat punt maakt.

Arnoud

Hongarije geeft Facebook miljoenenboete voor pretenderen gratis te zijn

| AE 11654 | Ondernemingsvrijheid | 7 reacties

De Hongaarse concurrentiewaakhond Hungarian Competition Authority heeft een boete uitgedeeld aan Facebook voor het pretenderen een gratis dienst te zijn. Dat las ik bij Nu.nl. De boete bedraagt ruim 3,5 miljoen euro en is gebaseerd op het idee dat je betaalt met je persoonsgegevens, als ik de bron Bloomberg goed begrijp (mijn Hongaars is wat minder). Gebruikers zouden door de term ‘gratis’ misleid zijn; ze gaven immers gegevens van enige financiële waarde aan het bedrijf – ook gaat het om hooguit 50 cent per gebruiker. Maar ik vind dit een vervelend precedent.

Menig scriptie over social media en persoonsgegevens opent met de bekende quote dat als je niet betaalt, je niet de klant bent maar het product (de werkelijke quote). Want ja, het geld moet toch ergens vandaan komen. Dat is een wat defaitistische blik; op Facebook ben je niets, behalve een soort halffabrikaat dat als een dikke worst aan adverteerders wordt voorgeschoteld.

Het idee dat je betaalt met je persoonsgegevens klinkt dan iets positiever. Je maakt een keuze met welke tegenprestatie jij de dienstverlener compenseert voor het harde werk. En dat mag, juridisch gezien. Er zijn meer overeenkomsten mogelijk dan enkel de koop, en binnen de koop is betaling in natura (niet lachen daar achterin) zeker een optie.

Het enige is, dan heb je dus wel de aanname gedaan dat persoonsgegevens objecten zijn die een geldswaarde vertegenwoordigen. Vermogensrechten, zeg je dan. En dat haakt in op de recente discussie over persoonsgegevens als object van eigendom. Ik heb er dus moeite mee om dezelfde redenen:

Verder is eigendom natuurlijk iets dat je kunt verhandelen. Vanuit dat perspectief wordt je positie zelfs zwakker dan nu: de AVG geeft je sterke zeggenschap over je persoonsgegevens, en die blijven altijd bestaan. Zou je de eigendomsrechten op je persoonsgegevens verhandelen (artikel 23.7 in de Facebook TOS) dan kun je daarna dus helemaal niets meer vinden over wat dat bedrijf ermee doet.

In deze context: als je zegt dat je betaalt met persoonsgegevens, dan moet je daarna niet meer zeuren dat men dingen doet met die gegevens. Die heb je immers zelf afgestaan, als wederprestatie voor een afgenomen dienst. En dat is precies dezelfde puur economische visie, die niet past bij de omgang met persoonsgegevens. Het gaat bij dat recht om zelfbeschikking en expressie, jezelf kunnen zijn. Als je dat tot een prijs verklaart, dan devalueer (haha) je dat hele principe. Dan is privacy en dingen geheim kunnen houden gewoon een stukje handelswaar, in plaats van onderdeel van je menselijke waardigheid.

Dus nee, ik ben het er niet mee eens. Facebook is gratis. Ze besnuffelen en bespioneren je, en dat tolereren we tot op zekere hoogte omdat ze als onderneming nou eenmaal ook grondrechten hebben. Maar inbreuken op iemands grondrechten tolereren is niet hetzelfde als betalen.

Arnoud

Eh, de fysieke inhoud van een gevonden portemonnee hoef je dus niet te vernietigen van de AVG

| AE 11544 | Privacy | 25 reacties

Ik raakte mijn portemonnee kwijt in de supermarkt en toen ik terugkwam, bleek het ding te zijn vernietigd want de AVG he meneertje. Nee, niet mijzelf overkomen maar ik las het op Reddit (dank tipgever). Oké, in Engeland waar ze wel meer rare dingen doen maar het voelt zomaar als een beleidsregel die ook bij ons gaat rondzingen als we niet uitkijken. Immers, als je ongevraagd toegezonden persoonsgegevens, moet vernietigen, dan toch zeker ook met ongewenst aangetroffen fysieke dragers met die gegevens?

Een vuistregel bij juridische uitkomsten is, als de uitkomst absurd is dan is je redenering fout. De winkelketen (het Engelse Co-op) maakt dus een fout, maar waar gaat het mis? Je kunt het op twee manieren bekijken.

Allereerst puur de AVG: het in bezit nemen van een gevonden portemonnee met pasjes is nog geen verwerking van persoonsgegevens die onder de AVG valt. Het betreft hier immers geen elektronische verwerking, dus geldt de AVG alleen wanneer de gegevens bestemd zijn om (bij jou) in een bestand opgenomen te worden. En daar is geen sprake van, de kluis van de manager is geen bestand. De AVG stelt dus überhaupt geen eisen aan deze verwerking, laat staan de eis tot vernietiging.

Ook kun je zeggen dat dit gewoon mag van de AVG, want dit is in het belang van de eigenaar (artikel 6 lid 1 sub f AVG) en als je het ding gewoon in de kluis laat liggen dan zijn de risico’s voor de eigenaar minimaal, mag ik aannemen. Het ligt in de kluis. Natuurlijk, als je portemonnees bewaart op een plankje achter de kassa dan wordt dat anders maar dat is gewoon dom en moet je dus niet doen. (Soms is juristerij makkelijk.) Er is dus niet a priori een eis dat die pasjes meteen vernietigd moeten worden.

Ten tweede speelt er naast de AVG – als die dus al geldt – ook nog gewoon andere wetgeving, zoals dat het strafbaar is om andermans eigendom te vernietigen. Nu is er in het recht de regel dat jonger recht (zoals de AVG) wint van ouder recht (zoals het wetboek van strafrecht), en ook de regel dat hoger recht (Europees) boven lager recht (Nederlands) gaat. Maar die regels spelen pas bij een conflict, en dat conflict is er pas als de AVG ondubbelzinnig zou zeggen dat die pasjes vernietigd moeten worden. En dat doet de AVG dus niet.

Arnoud

De Spaanse Liga mag dus niet je microfoon inzetten om illegale voetbaluitzendingen te detecteren

| AE 11332 | Intellectuele rechten, Privacy | 3 reacties

De Spaanse voetbalbond heeft een boete van 250.000 euro gekregen van de toezichthouder vanwege overtreding van de AVG, meldde Tweakers vorige week. De app luistert met de microfoon mee om illegale voetbalstreams op te sporen aan de hand van voor mensen onhoorbare tonen in de sportuitzendingen. Hoewel de app daarmee niet direct mensen afluistert (althans… Lees verder

Kandidaat zijn zonder dat je het weet, mag dat?

| AE 11253 | Informatiemaatschappij | 18 reacties

Voor het radiospel ‘De Uitverkorene’ stuurt Qmusic een privédetective af op onbekende Nederlanders. Dat meldde RTL maandag. Het concept: een Nederlander wordt door een privédetective gevolgd. Wie de gelukkige denkt te zijn en dat raadt, wint 10.000 euro. De kandidaat-zonder-wil wordt gekozen op basis van een “goede daad” die hij eerder verricht heeft, maar wel… Lees verder

Wat kun je doen om na de Brexit Engelse bedrijven data te laten verwerken?

| AE 11082 | Privacy | 15 reacties

Ook het laatste voorstel vanuit het Verenigd Koninkrijk om tot een ordelijke Brexit te komen lijkt te zijn mislukt, las ik in diverse media. Daarmee wordt de kans reëel dat men op 29 maart geen overeenstemming heeft bereikt met de Europese Unie over het vertrek van het land. Dat riep bij diverse lezers de zenuwachtige… Lees verder

Autoriteit Persoonsgegevens beboet Uber voor te late melding datalek

| AE 10995 | Privacy | 7 reacties

Taxibedrijf Uber heeft een boete van 600.000 euro gekregen van de Autoriteit Persoonsgegevens. Dat meldde Tweakers eerder deze week. Uber was te laat met het melden van een datalek, dat de gegevens van 174.000 Nederlandse klanten en chauffeurs betrof. De boete is lager dan je onder de AVG zou verwachten, maar dat komt omdat het… Lees verder

Windows 10 Enterprise en Office zijn risico voor privacy ambtenaren

| AE 10964 | Ondernemingsvrijheid, Privacy | 29 reacties

Via Windows 10 Enterprise en Microsoft Office verzamelt Microsoft gebruikersgegevens die het bedrijf in de VS opslaat. Dat meldde Tweakers op basis van onderzoek bij het ministerie. Deze opslag geeft een inbreuk op de privacy van de ambtenaren, plus een ieder wiens gegevens door die ambtenaren worden verwerkt. Het onderzoek werd uitgevoerd als een DPIA… Lees verder

Groningse telecomprovider weigert klantenbestand preventief aan politie te geven

| AE 10909 | Regulering | 10 reacties

Telecomproviders zijn verplicht om preventief de persoonlijke gegevens van alle klanten te overhandigen aan de politie, maar het Groningse Voys weigert dat. Dat las ik bij de NOS. Dit is ingegeven door eerder nieuws dat het zogeheten Centraal Informatiepunt Onderzoek Telecommunicatie (CIOT) niet altijd zorgvuldig omgaat met deze gegevens. Er is veel onduidelijkheid over de… Lees verder

‘Mijn ouders krijgen een pushmelding van al mijn nieuwe cijfers’

| AE 10408 | Privacy | 35 reacties

Ouders kunnen het schoolgedrag van hun kind bijna real-time volgen via allerlei leerlingvolgsystemen als Magister of SOMtoday. Dat meldde de NOS onlangs. De leerlingvolgsystemen op middelbare scholen zijn bedoeld om ouders te informeren, maar het grijpt natuurlijk wel diep in op de privacy van de leerling die geen onvoldoende of spijbeluurtje meer kan verstoppen. Bovendien… Lees verder