Mag een online spel bezorgd de politie naar je huis sturen?

| AE 9417 | Privacy | 13 reacties

Beetje raar verhaal: een Nederlandse League of Legends-speler kreeg bezoek van de politie na een tip van de maker van dat spel, las ik bij Numrush (dank, tipgever). Nee, geen reverse swatting van het bedrijf maar een stukje bezorgdheid: “Ze hebben ons laten weten dat je suïcidaal bent en daarom komen we een kijkje bij je nemen. Om te checken of alles goed met je gaat”, aldus de aanbellende agenten. En nee, dit waren ook geen medespelers of trollen in politiekostuum. Dus eh, wacht, wat krijgen we nou?

Numrush lijkt de oorzaak te hebben gevonden:

Soms gaat het niet zo lekker in de game, is hij aan het verliezen, en dan wil Xavieros zich nog wel eens uitdrukkingen met termen als “I want to kill myself” of “ow god please kill me”.

Daarnaast had hij mogelijk zich wel eens teneergeslagen geuit in de chat vanwege een hernia en andere frustraties. Dit leidde tot de conclusie dat het bedrijf berichten scant met algoritmes (of keywordscans) en bij bepaalde combinaties dan een suïcide-vermoeden concludeert en dan de autoriteiten inlicht. Wat ergens wel netjes voelt maar ook een tikje raar.

Mag het? Dit raakt aan persoonsgegevens, meer specifiek de zogeheten bijzondere persoonsgegevens van gezondheid en dergelijke. En die mag je als bedrijf eigenlijk helemaal niet verwerken. (Ik moet nu zeggen dat de GDPR of AVG hier streng op gaat zijn want dan verkoop ik meer boeken daarover, maar ook onder de Wbp mag dit eigenlijk al niet.)

Helemaal niet, nou ja er is een uitzondering: het zogeheten “vitaal belang” uit de Wbp en straks de AVG, zeg maar een dringende medische noodzaak. Ik citeer dat boek dan maar even, dan was die link geen reclame:

Een vitaal belang raakt aan het leven van die persoon. Te denken valt aan verwerkingen van medische gegevens bij een ongeval, of meer algemeen humanitaire doeleinden, onder meer voor het monitoren van een epidemie en de verspreiding daarvan of in humanitaire noodsituaties, met name bij natuurrampen of door de mens veroorzaakte rampen. Verwerking van persoonsgegevens op grond van het vitale belang voor een andere natuurlijke persoon is in beginsel alleen toegestaan indien de verwerking kennelijk niet op een andere rechtsgrond kan worden gebaseerd (overweging 46).

Een serieuze vrees dat iemand zichzelf om het leven gaat brengen, zou je kunnen zien als het dienen van een vitaal belang. De ultieme zaakwaarneming zeg maar. En het is vrij lastig in die situaties toestemming te vragen, waardoor dus deze route open staat.

Verdedigbaar dus, juridisch gezien. Maar het blijft gek aanvoelen. Ik weet niet hoe dit te zeggen zonder heel cru te klinken, maar is het echt zo’n reëel probleem specifiek bij online games, dat mensen daar een zelfdoding aankondigen en dat vervolgens uitvoeren ook? Is dat probleem zo groot dat het maatschappelijk relevant wordt dat aanbieders daar wat aan gaan doen? Ik heb denk ik iets gemist.

Arnoud

Politie mag smartphones van verdachten niet zomaar meer doorzoeken

| AE 9370 | Privacy | 25 reacties

De Hoge Raad heeft grenzen gesteld aan het politieonderzoek naar smartphones van verdachten. Dat meldde Nu.nl vorige week. De politie mag een smartphone doorzoeken als dit niet verder gaat dan een beperkte inbreuk op de privacy. De huidige praktijk van iemands telefoon compleet leegtrekken en doorzoeken staat daar op gespannen voet mee, eigenlijk moet daar een aparte wettelijke regeling voor komen.

Uit het arrest blijkt dat de aanleiding relatief simpel was. Een man werd op Schiphol gearresteerd door de Koninklijke Marechaussee op verdenking van smokken van cocaïne. Vervolgens werd zijn smartphone en bijbehorende simkaart uitgelezen en onderzocht, waarna men diverse WhatsApp-chats en foto’s aantrof die als bewijs werden gebruikt om de zaak rond te krijgen.

Op zich mag een telefoon natuurlijk in beslag worden genomen bij een arrestatie. En vervolgens mag er in principe ook worden gekeken of gezocht in wat er in beslag wordt genomen. De wet staat dat toe: artikel 94 Wetboek van Strafvordering spreekt van “alle voorwerpen die kunnen dienen om de waarheid aan de dag te brengen”. En een telefoon met inhoud voldoet aan die omschrijving.

Echter, een telefoon is wel iets anders dan een zakdoek of portemonnee. Dergelijke apparatuur bevat veel meer privéinformatie dan een koffer, denk aan foto’s, opgeslagen berichten en ook toegang tot allerlei diensten als het ding wachtwoorden onthoudt. Al in 2015 bepaalde het Gerechtshof Leeuwarden dan ook dat hier een grens ligt. Wanneer de politie namelijk in iemands grondrechten wil treden, moet daarvoor een wettelijke grondslag zijn. Zo is er een wetsartikel dat bepaalt wanneer men een huis binnen mag of wanneer iemands e-mail mag worden doorgelezen. Dat wetsartikel zegt dan wanneer dat mag, hoe lang dat mag en wie er toestemming voor moet geven.

In deze zaak vond het Hof Amsterdam dat artikel 94 een voldoende wettelijke grondslag was. Daar staat immers zwart op wit dat alles in beslag genomen mag worden (en dus ook doorzocht) als daarmee de waarheid aan het licht te brengen is. En al sinds 1994 is vaste jurisprudentie dat dat voor computers net zo goed geldt als voor portemonnees.

De Hoge Raad verwerpt die redenering. Artikel 94 is alleen bedoeld voor ‘gewoon’ in beslag nemen en doorzoeken, waarbij geen of hooguit beperkt iemands privacy wordt geschonden. Heb je een foto van je partner in je portemonnee, dan mag een agent daar gewoon naar kijken als hij die portemonnee in beslag heeft genomen. Dat is weliswaar een privacyschending maar die is slechts zeer beperkt.

Wanneer een telefoon compleet wordt leeggetrokken, ontstaat een andere situatie. Dat is meer dan even snel kijken, en dat wordt dan ook als meer dan geringe inbreuk op de privacy gezien. Dan wordt het lastig. Voor inbreuken op een grondrecht is een wettelijke regeling nodig, die met voldoende waarborgen is omkleed. Dat is waarom het Wetboek van Strafvordering zo uitgebreid is: al die situaties zoals huiszoekingen of mailtaps moesten immers worden geregeld en van waarborgen voorzien. Strikt gesproken mogen telefoons dus niet worden doorzocht zodra het meer dan gering iemands privacy raakt, wat al snel het geval zal zijn.

De HR wil echter niet zo ver gaan. (Cynische ikke denkt: dat zou namelijk de héle opsporing platgooien.) Men begint met te stellen dat artikel 94 echt gewoon een wettelijke regeling is, en dat het aan de rechter is om te toetsen of in een concreet geval men al dan niet te ver ging met de toepassing van die bevoegdheid. Voor extra zekerheid is het aan te bevelen dat een officier van justitie of rechter-commissaris de doorzoeking doet, dat geeft dan een stevige waarborg. Het doet me wat gezocht aan.

Arnoud

Rechter veroordeelt webcamafperser ondanks claims over dubieuze keylogger

| AE 9320 | Strafrecht | 16 reacties

Een man is strafrechtelijk veroordeeld op basis van bewijs verkregen met een politie-keylogger. Dat meldde Tweakers vorige week. De politie heeft eind 2013 de woning van de man in het geheim betreden, waarbij op de aangetroffen laptop en desktop een keylogger werd geïnstalleerd. Zo kreeg men inzicht in zijn internetgedrag en pogingen dat te verhullen. Maar mocht dat wel?

Het vonnis laat zien dat de man in beeld kwam naar aanleiding van een onderzoek bij Facebook. Het bedrijf had accounts ontdekt die door dezelfde persoon werden gebruikt om mannen te chanteren middels valselijk verkregen seksueel materiaal. Het IP-adres kon door de politie worden getraceerd naar een bungalowpark in Nederland, waar -zo ontstond het vermoeden- de dader zou wonen.

Na nader onderzoek werd een verdachte aangehouden. In de paar dagen dat hij in voorarrest zat, betrad een politieteam die bungalow om daar een keylogger op de computer te installeren. Deze tool registreerde toetsaanslagen en maakte schermafbeeldingen wanneer op die desktop of laptop gebruik werd gemaakt van communicatieprogramma’s zoals Skype of een internetbrowser. Hierdoor kreeg het onderzoeksteam inzicht in het internetgedrag op deze computers en kon de afscherming door het gebruik van een VPN-verbinding worden omzeild. Dat leverde genoeg bewijs op om nogmaals tot arrestatie over te gaan, en ditmaal ook tot vervolging.

Een verweer van de verdediging was dat die keylogger onrechtmatig was toegepast en dat de resultaten van het hulpmiddel niet betrouwbaar zijn en daarom niet mogen worden gebruikt voor het bewijs. Er zouden onregelmatigheden zijn zoals chatteksten die wel op de gemaakte schermafbeeldingen zijn te zien, maar niet terugkomen in de geregistreerde toetsaanslagen.

In Nederland is het gebruik van dergelijke technische hulpmiddelen gereguleerd in het Besluit technische hulpmiddelen strafvordering. Dit Besluit heeft tot doel de betrouwbaarheid en herleidbaarheid te waarborgen van de gegevens die daarmee zijn verkregen. Het hulpmiddel moet voldoen aan technische eisen; van de keuring moet door een keuringsdienst een rapport worden opgemaakt en de keuring moet plaatsvinden overeenkomstig een goedgekeurd keuringsprotocol. Dat was hier het geval. En de Hoge Raad had eerder bepaald dat als zo’n keuringsrapport er is, de rechter in principe moet aannemen dat het hulpmiddel betrouwbaar is.

Dat er onregelmatigheden blijken te zijn, kan een tegenargument zijn. Echter, die waren hier niet – althans niet zo zwaar dat het tot uitsluiting van het bewijs zou moeten leiden. De meeste toetsaanslagen klopten wél met de screenshots (en andersom), dus die paar missers zien we dan als afrondingsfouten, zeg maar.

Ook merkwaardig was dat de keylogger verdwenen was na de tweede aanhouding. Onduidelijk blijft wat er is gebeurd – heeft een virusscanner het ding verwijderd als malware, is er de remote destruct optie ingeroepen? – maar dat maakt niet uit. Want zelfs als die verwijdering op de raarst mogelijke manier is gebeurd, dan nog staat vast dat het verkregen bewijsmateriaal betrouwbaar is. De keylogger was immers gekeurd en volgens de regels geïnstalleerd.

Als laatste was er nog het argument dat de keylogger meer opnam dan was toegestaan in het bevel van de Officier van Justitie dat de toestemming gaf voor het installeren van de keylogger. Zo waren er op de screenshots tabbladen te zien van andere applicaties dan waar de keylogger bij zou moeten komen. Maar dat maaktook niet uit: dat op schermafdrukken meer is te zien dan alleen de ingestelde programma’s, maakt naar het oordeel van de rechtbank nog niet dat sprake is van een verzuim.

Bij mijn weten de eerste keer dat zó expliciet een keylogger/spyware rechtmatig wordt verklaard bij de rechtbank. En het laat zien dat je als verdediging van goeden huize moet komen om daar dan nog gaten in te schieten.

Arnoud

Politie krijgt tien nieuwe teams om cybercriminaliteit te bestrijden

| AE 9187 | Strafrecht | 65 reacties

De politie gaat tien nieuwe cyberteams oprichten om cybercriminaliteit beter te kunnen bestrijden. Dat las ik bij Nu.nl. De teams gaan uit minimaal tien rechercheurs bestaan, die al in dienst zijn bij de politie. Zij worden ondersteund door digitaal specialisten die beschikken over specifieke ICT-kennis. NRC vult aan dat de focus mede komt te liggen… Lees verder

Tweede Kamer wil agent niet meer herkenbaar in beeld, eh nee vergeet het maar

| AE 9118 | Meningsuiting | 25 reacties

De Tweede Kamer vindt dat politieagenten voortaan niet meer herkenbaar in beeld mogen worden gebracht, las ik bij het AD. Men spreekt zelfs van het tegengaan van ‘treitervloggers’ die kennelijk agenten hinderlijk volgen. Maar de motie, die oproept tot een wetsvoorstel, gaat verder dan dat: agentenportretten mogen dan niet meer worden uitgezonden waar dan ook… Lees verder

Mag de politie zeggen “U twittert wel heel veel”?

| AE 8376 | Meningsuiting, Strafrecht | 60 reacties

Twitterende tegenstanders van azc’s moeten rekening houden met een bezoekje van de politie. Mag dat? Dat schreef NRC vorige week. „Wij hebben orders gekregen om u te vragen op uw toon te letten. Uw tweets kunnen opruiend overkomen”, kreeg een Sliedrechtenaar te horen nadat hij had getwitterd over een AZC-bijeenkomst. Iets strafbaars zei hij niet,… Lees verder

Filmen van agenten is hinderen in hun taakuitoefening?!

| AE 7714 | Beveiliging | 63 reacties

Vorige week hebben politieagenten een 19-jarige man aangehouden in Culemborg; hij weigerde weg te gaan en belemmerde agenten bij een mogelijke aanhouding. Dat las ik in een politiepersbericht. De man filmde de aanhouding, wat de verdachte niet zo leuk vond. Omdat dit extra gedoe gaf voor de agenten, werd de filmer gesommeerd daarmee op te… Lees verder

Ja, de politie mag je filmen (mits je ze niet hindert)

| AE 7436 | Beveiliging, Strafrecht | 29 reacties

Het Amerikaanse Court of Appeals heeft bepaald dat burgers politieagenten mogen filmen als die op de openbare weg hun werk doen, las ik. Een man was daar “wiretapping fraud” ten laste gelegd omdat hij een agent had gefilmd zonder toestemming te vragen. Helemaal fout, aldus het beroepshof: het is een evidente uitoefening van je vrije… Lees verder