Mag de politie de telefoon van een getuige leegtrekken?

| AE 11564 | Regulering | 13 reacties

Via Twitter een ietwat verontrustend item van de BBC over speciale apparatuur waarmee de politie telefoons in één keer geheel uit kan lezen. Die technologie wordt ingezet bij arrestaties, maar kennelijk ook bij telefoons van getuigen. En dan heb ik het over alles, van foto’s tot chatberichten, cache-informatie en prullenbakbestanden. De journaliste vraagt zich af hoe dat dan gaat als je uiteindelijk niet vervolgd wordt, want al die data is dan al wel bij de politie. Wat nu als je alleen maar getuige bent? En hoe zit dat in Nederland?

Hoofdregel in Nederland is dat de politie in geval van een strafbaar feit “alle voorwerpen die kunnen dienen om de waarheid aan de dag te brengen” in beslag mag nemen (art. 94 Strafvordering). En een telefoon met inhoud voldoet aan die omschrijving, ook wanneer die van een getuige is. Die heeft wellicht foto’s gemaakt of in een chat met een ander relevante informatie staan, bijvoorbeeld. De nuance is natuurlijk dat de inbeslagname wel noodzakelijk en proportioneel moet zijn. Zomaar van alle omstanders de telefoon meenemen is natuurlijk idioot, maar de telefoon van een persoon die wekenlang chatte met de dader is een heel ander verhaal.

Als je de telefoon hebt, ligt snel een kopie maken en daarin spitten natuurlijk voor de hand. En hier wordt het juridisch ingewikkeld, want hier gaat het om privacygevoelige informatie en dan mag de politie in beginsel alleen dingen doen die wettelijk geregeld zijn. In 2017 bepaalde de Hoge Raad dat dit ook geldt bij telefoondoorzoekingen, maar dat gezien de praktijk het vooral van belang is dat er een duidelijke noodzaak is en er een onafhankelijke toetsing plaatsvindt. Blijkt achteraf dat de opsporing te ver ging met de doorzoeking, dan heeft dat gevolgen voor de rechtszaak (bijvoorbeeld dat het bewijs buiten toepassing blijft).

Anders ligt dat bij even snel kijken naar een paar berichtjes of foto’s. Dat is geen of slechts een geringe inbreuk op de privacy, en dat mogen agenten dus doen zonder specifieke opdracht. Even snel kijken bij de recente foto’s of de chat met de verdachte zou dus nog net kunnen, zelfs als de getuige niet meewerkt. Je moet als agent natuurlijk wel een goede aanleiding hebben waarom je dacht dat er iets zat bij die recente foto’s of waarom deze meneer/mevrouw met de verdachte zou hebben gechat en waarom dat relevant is voor het onderzoek naar die verdachte.

Arnoud

Duitse politie haalt datacentrum voor darknetmarktplaatsen offline

| AE 11519 | Regulering | 8 reacties

De Duitse politie heeft donderdagavond een datacentrum voor darknetmarktplaatsen offline gehaald en zeven verdachten gearresteerd. Dat meldde Tweakers onlangs. De servers werden onder meer gebruikt voor darknetmarktplaats Wall Street Market en een aanval op Deutsche Telekom-routers. De beheerder van het dc omschrijft haar diensten als bulletproof hosting en heeft beleid dat men zich niet actief bemoeit met wat klanten doen “except child porn and anything related to terrorism.” De inval lijkt te suggereren dat dat beleid niet geheel binnen de wet blijft, maar ik kreeg bezorgde hosters in de mail of zij ook strafrechtelijk aansprakelijk gehouden kunnen worden als er een strafbare klant tussen zit.

Bij Emerce een fascinerend verhaal over de geschiedenis van deze cyberbunker. In principe is onder de wet iedere hoster gelijk – je bent als partij die gegevens van klanten opslaat en doorgeeft als hoofdregel niet aansprakelijk voor die gegevens. Dat zou immers ook onwerkbaar zijn, hoe moet je dan iedere klant op ieder moment toetsen.

Het is dan ook weer niet de bedoeling dat je bewust de andere kant op kijkt. In de wet (art. 6:196c BW) staat dan ook dat zodra je actief bewust bent van bepaalde onrechtmatige inhoud, je moet ingrijpen. De bekende notice-takedownpolicies zijn op dat stukje gebaseerd. En voor de duidelijkheid: dat gaat over álle wetsovertredingen, niet alleen auteursrechtschendingen of strafbare zaken. Een NTD verzoek gebaseerd op de AVG behoort dus ook gewoon te werken, zij het dat de overtreding wel onmiskenbaar (evident) juist moet zijn en dat is bij AVG-dingen niet perse het geval.

Maar dat is civiel recht. Strafrecht kent zijn eigen regime, in dit geval artikel 54a Strafrecht, waarin staat:

Een tussenpersoon die een telecommunicatiedienst verleent bestaande in de doorgifte of opslag van gegevens die van een ander afkomstig zijn, wordt als zodanig niet vervolgd indien hij voldoet aan een bevel van de officier van justitie, na schriftelijke machtiging op vordering van de officier van justitie te verlenen door de rechter-commissaris, om alle maatregelen te nemen die redelijkerwijs van hem kunnen worden gevergd om de gegevens ontoegankelijk te maken.

De definitie is grofweg hetzelfde. Je moet een hoster (of access provider) zijn, een partij die gegevens van anderen opslaat en doorgeeft. Die definitie is breed genoeg om ook diensten als Skype of Twitter te vangen. Je kunt dan volgens de normale regels van het strafrecht worden vervolgd voor die handelingen, je bent immers formeel gezien behulpzaam en dus op zijn minst medeplichtig als die handelingen strafbaar zijn.

Maar dit artikel zegt van niet. Althans, wanneer je op bevel van de officier van justitie meteen die gegevens ontoegankelijk maakt. Dat bevel mag dan weer niet zomaar worden gegeven, er moet een machtiging van de onafhankelijke rechter-commissaris worden verkregen. Daar zit dus een stukje gerechtelijke toetsing. Dit mag je “alleen met gerechtelijk bevel” noemen, alleen laat je dan wel zien dat je meer vaart op Amerikaanse rechtbankseries dan Nederlandse wetboeken. De RC is de gerechtelijke instantie die zegt dat de officier mag eisen dat het weggaat. Bevalt dat je niet, dan kun je naar de ‘echte’ rechtbank maar dan sta je dus al in het strafbankje – geen gehoor geven aan een bevoegd gegeven bevel op zijn minst, of als men echt boos is dus medeplichtigheid aan dat strafbare feit.

Wanneer je je echter structureel inhoudelijk gaat bemoeien met wat je klanten doen, dan kun je niet meer spreken van een “tussenpersoon als zodanig”. Dan kun je je dus niet meer beroepen op de bescherming van artikel 54a, en je zou dan als medeplichtige van het handelen van die klanten gezien kunnen worden. Ik denk dat diezelfde situatie kan ontstaan als je je ook nadrukkelijk profileert als bulletproof hoster: je moet weten dat dat een bepaald type klanten aantrekt, met name vaak het type dat illegale zaken op het oog heeft. Dat voelt voor mij niet meer als de opstelling als neutraal tussenpersoon.

Arnoud

Politiekorpsen VS mogen Ring-video’s eeuwig bewaren en onbeperkt delen, en bij ons?

| AE 11469 | Privacy, Regulering | 7 reacties

Politiekorpsen in de VS die van buurtbewoners video’s ontvangen van slimme deurbel Ring mogen dat beeldmateriaal eeuwig bewaren en onbeperkt delen met bijvoorbeeld andere korpsen of overheidsinstanties. Dat las ik bij Tweakers. Het vervolgt eerdere berichten dat Ring in de afgelopen jaren samenwerkingsovereenkomsten heeft gesloten met vierhonderd korpsen in de VS, die zo toegang krijgen tot beelden van de dienstverlener. Ring verzamelt en bewaart beeldopnames van de deurbel-met-camera op haar servers, en kan er dus over beschikken wanneer politie of Justitie daarom vraagt. Naar Amerikaans recht lijkt dat dus in orde, maar vele lezers vroegen zich af, hoe zit dat dan in Nederland gezien de AVG? En jaja, komt ie weer met z’n diensteneconomie.

Eerst maar dat bewaren door de politie. Als die beelden hebben verkregen, worden die in principe alleen gebruikt voor het betreffende onderzoek. Maar ze kunnen (Wet politiegegevens, artikel 8 en verder) ook voor andere onderzoeken worden ingezet. Zomaar een berg verzamelen en bewaren kan dus niet. Maar lijkt me ook niet heel praktisch want wat moet je met een berg video’s waar hooguit een datum en locatie bij zit?

Handiger is lijkt mij ze gewoon per geval vorderen (zoals ook gebeurt bij ons) want dan heb je precies wat je nodig hebt wanneer je het nodig hebt. En ja, vorderen moet, de politie kan beelden niet zomaar vragen omdat er persoonsgegevens op staan. Dat vereist een bevel van de officier van justitie en dat kan alleen worden gegeven in het belang van een strafrechtelijk onderzoek.

Daar staat tegenover dat een burger door hemhaarzelf gemaakte beelden vrijwillig mag afgeven. Als ik meen een misdrijf gefilmd te hebben, dan mag ik daarmee aangifte gaan doen en dan is er geen bevel meer nodig, ik kan dan gewoon die usb-stick met de beelden overhandigen. Dat geldt ook voor bedrijven, dus ook voor Ring. Als die vrijwillig beelden aan de politie willen geven, dan mag dat dus.

Complicatie hier is wel dat het niet hun eigen beelden zijn – de camera’s zijn eigendom van hun klanten, zij bewaren de beelden alleen maar op hun servers. Maar nee, zo werkt dat hier niet. Want daar is ie weer met de diensteneconomie: nee, zo werkt dat hier niet. Data is juridisch niets. Ring levert een dienst, en de artefacten van die dienst (zoals de camerabeelden) bestaan juridisch niet als zelfstandige entiteit. Ring kan daarmee dus doen wat ze wil, tenzij ze contractueel heeft afgesproken van niet. Maar zoals je van Amerikaanse diensten verwacht, zeggen die voorwaarden juist dat men alles mag.

In Nederland zou dat dus in principe ook zo gaan, zij het dat je hier als huiseigenaar er wél wat over te zeggen hebt. Jij hangt die camera op, jij filmt de openbare ruimte (ook al is het slechts bij aanbellen) dus dan zou je best eens de verwerkingsverantwoordelijke voor die beelden kunnen zijn met Ring als verwerker. En een verwerker mag natuurlijk niet zelfstandig de persoonsgegevens aan derden verschaffen. Ook niet als in de algemene voorwaarden staat van wel.

Arnoud

Politie brengt app uit waarmee slachtoffer onderzoek kan doen naar misdrijf

| AE 11299 | Regulering | 14 reacties

De Nederlandse politie en het openbaar ministerie brengen op 1 juni een app uit waarmee burgers zelf onderzoek kunnen doen naar het misdrijf waar ze slachtoffer van zijn geworden. Dat meldde Tweakers maandag. Mensen kunnen onder andere getuigeninterviews afnemen en foto’s als bewijs uploaden. Het gaat om een kleinschalige proef in zes basisteams in vier… Lees verder

De toegevoegde waarde van een bodycam voor de politie en de maatschappij

| AE 11261 | Informatiemaatschappij, Regulering | 7 reacties

Agenten voelen zich veiliger met een bodycam, las ik in Trouw onlangs. Dat bleek uit een proef van twee jaar, die nu er voor zorgt dat er zo’n tweeduizend agenten rond gaan lopen met camera’s op hun lijf. Een op de vier agenten met een camera op het lichaam is echter niet op de hoogte… Lees verder

Politie mocht iPhone verdachte onder dwang via duim ontgrendelen

| AE 11158 | Regulering, Security | 10 reacties

De politie heeft in een onderzoek naar een phishingbende de iPhone van een verdachte onder dwang via zijn duim mogen ontgrendelen, las ik bij Security.nl. In drie vonnissen besliste de rechtbank Noord-Holland dat deze opsporingstechniek legitiem is, ook nu er geen specifieke wettelijke regeling is. Dat bevestigt de eerdere lijn uit februari waarin ook de… Lees verder

Nederlandse politie wil gebruikmaken van particuliere DNA-databank in VS

| AE 11115 | Privacy, Regulering | 11 reacties

De coldcaseteams van de Amsterdamse en Rotterdamse politie willen de Amerikaanse particuliere DNA-databank GEDmatch inzetten om de identiteit van onbekende doden te achterhalen. Dat meldde NRC gisteren. GEDmatch is een openbare, Amerikaanse databank waarin genetische gegevens van allerlei mensen zitten, en daarin kan iedereen zoeken op potentiële matches. Daarmee is in theorie de mogelijkheid voor… Lees verder

200.000 particuliere beveiligingscamera’s in politiedatabase

| AE 11065 | Regulering, Security, Uitingsvrijheid | 19 reacties

De afgelopen jaren hebben bedrijven en particulieren meer dan 200.000 beveiligingscamera’s in een database van de politie laten registreren, las ik bij Security.nl. Het gaat om de database “Camera in Beeld”, die informatie over beveiligingscamera’s in Nederland bevat. Het register stelt de politie in staat om snel camerabeelden te vorderen van strafbare feiten en andere… Lees verder

Politie en FBI geven elkaar toegang tot databank met vingerafdrukken

| AE 10967 | Privacy, Regulering | 38 reacties

De Nederlandse politie krijgt toegang tot databanken met daarin vingerafdrukken van miljoenen Amerikanen, las ik bij Tweakers. Omgekeerd kan de FBI de Nederlandse strafdatabank met vingerafdrukken van 1,3 miljoen veroordeelden en verdachten benaderen. Zo moeten beide politiediensten makkelijker vingerafdrukken kunnen matchen aan bekende daders (of verdachten) uit eerdere onderzoeken. Een nogal opmerkelijke stap, die veel… Lees verder

Groningse telecomprovider weigert klantenbestand preventief aan politie te geven

| AE 10909 | Regulering | 10 reacties

Telecomproviders zijn verplicht om preventief de persoonlijke gegevens van alle klanten te overhandigen aan de politie, maar het Groningse Voys weigert dat. Dat las ik bij de NOS. Dit is ingegeven door eerder nieuws dat het zogeheten Centraal Informatiepunt Onderzoek Telecommunicatie (CIOT) niet altijd zorgvuldig omgaat met deze gegevens. Er is veel onduidelijkheid over de… Lees verder