Politie waarschuwt Nederlandse hostingbedrijven weer voor malafide resellers

| AE 13607 | Ondernemingsvrijheid | 10 reacties

De politie heeft Nederlandse hostingbedrijven net als vorig jaar weer een brief verstuurd waarin wordt gewaarschuwd voor malafide resellers, meldde Security.nl onlangs. Die verhuren de serverruimte van Nederlandse hostingbedrijven door aan andere partijen, waaronder cybercriminelen. De brief bevat een lijst van verdachte resellers, met het advies “dringend om te controleren of de genoemde resellers in [uw] klantenbestand voorkomen”  en dan de overeenkomst op te zeggen. Dat voelt als een zwaktebod, als je weet dat deze figuren zo malafide zijn waarom vervolg je ze dan niet? Nou ja, dat ligt dus ingewikkeld.

In juni blogde ik over het OM, dat het “werkelijk idioot” noemde hoe de juridische en technische werelden uit elkaar zijn gegroeid op dit punt. Je hebt een Nederlands bedrijf met een server hier, op die server staat een malafide site, maar de reseller zit formeel op de Seychellen en dan krijg je geen rechtshulpverzoek. De Nederlandse verhuurder werkt niet mee want die ziet ook niet wat zijn resellers verkopen, en kan dan verder niet ingrijpen. Ja, de hele serverkast offline halen, maar dat is nogal disproportioneel.

Zoals ik toen al zei, ik kan me niet direct voorstellen dat dezelfde reseller én een berg pittige cybercriminelen én Alipay Nederland als klant heeft, maar dit is het voorbeeld dat men steeds noemt. Deze brief lijkt dus een nieuwe actie te zijn, ga eens na of er rare figuren tussen je klanten zitten en zo ja, doe er wat aan als dat zo uitkomt.

Dat is nog een lastige, want het OM kan niet vorderen (eisen) dat een bedrijf de relatie met een klant verbreekt. En dan krijg je dus de discussie of je als politie vriendelijk mag vragen terwijl er geen grond voor is. Vaste lezers weten dat dat discutabel is, omdat mensen vragen van politieagenten al snel opvatten als een vriendelijke geformuleerd bevel. De juridische regel is dat het mag, tenzij de vraag in meer dan triviale mate iemand in zijn grondrechten treft. Bij wijze van spreken: vragen of je iemand op een gele scooter hebt zien wegrijden daarnet, dat mag gewoon. Vragen of ze even je securitycambeelden mogen bekijken, dat vergt een vordering en dat mogen ze dus niet vragen.

Ik zie eerlijk gezegd geen grondrechten nontriviaal in het geding komen met deze vraag “heroverweeg eens de relatie met deze onwelriekende partijen”. Ja, ondernemersvrijheid, maar die pleit juist vóór het kunnen afsluiten. (Ik denk dat het OM het zo toejuichen als die resellers rechtszaken beginnen, want dat levert veel inzicht in relevante informatie.) En bovendien zit er nog een eigen check op, “we zeggen hierbij op want we kregen een brief van de politie” is juridisch geen steekhoudend argument. Maar “op basis van politie-informatie hebben wij – zie artikel 8.3 van onze voorwaarden – uw account geïnspecteerd en daar cybercrime-forums aangetroffen, dat is in strijd met artikel 4 TOS en daarom zegen wij op” is wél een geldige reden om op te mogen zeggen.

En let op: het gaat hier om civiel recht, dus de eisen zijn een stuk lager dan wanneer het OM een rechtszaak tegen zo’n reseller zou beginnen. Zeker als je een béétje fatsoenlijke voorwaarden hebt, waarin dingen staan als “naar ons redelijk oordeel” in plaats van “wettig en overtuigend is vast komen te staan met toegelaten bewijsmiddelen” (art. 338 en 339 WvSv). Omdat het gaat om zakelijke relaties, is er contractueel heel veel ruimte.

Arnoud

Trouw: politie houdt van 9 miljoen mensen automatisch levensgebeurtenissen bij

| AE 13481 | Regulering | 11 reacties

Iedereen met wie de politie ooit contact heeft gehad, staat in de computer. Dat bracht Trouw onlangs (via). De gegevens zijn afkomstig uit de Basis Registratie Personen (BRP) en worden automatisch door politie opgevraagd. De politie verzamelt zo informatie over onder anderen verdachten, slachtoffers, getuigen of mensen die ooit een aangifte hebben gedaan. Dit gebeurt al jaren (al in 2015 waren er zorgen) maar de politie lijkt niet van zins te stoppen. Huh.

De gegevens worden nooit verwijderd, zelfs niet na het overlijden van een persoon. Dat meldt Tweakers erbij. De politie volgt op deze manier steeds meer mensen en bewaart zo ook onnodig informatie die niet langer van belang is voor een bepaalde zaak. Een woordvoerder van de politie reageert naar Trouw met “Voor het gebruik en actueel houden van die gegevens hebben we een juridische grondslag.”

Dat zal de Wet politiegegevens zijn, want artikel 4 lid 1 daarvan bepaalt dat de politie ervoor moet zorgen dat persoonsgegevens in hun bestanden “juist en nauwkeurig” zijn. Ben je dus met iemand bezig, dan is verdedigbaar dat je via de BRP bijhoudt of die persoon verhuist.

Dit is alleen niet hetzelfde als van alle personen die ooit met de politie spraken (het gaat ook over getuigen en mensen die een keer 0900-8844 bellen)  continu de gegevens actualiseren. Want diezelfde Wpg bepaalt ook

De verwerkingsverantwoordelijke treft de nodige maatregelen opdat politiegegevens worden verwijderd of vernietigd zodra zij niet langer noodzakelijk zijn voor het doel waarvoor zij zijn verwerkt of dit door enige wettelijke bepaling wordt vereist.
Als iemand ooit een melding deed van bijvoorbeeld een ongeval of een inmiddels geseponeerd strafbaar feit, dan is er geen reden meer om die gegevens te houden. En als je ze al wil houden voor het geval dat, dan is er geen reden om van die persoon de BPR gegevens er steeds weer bij te pakken. Een historisch dossier is precies dat.

Voor mij zit de verklaring uiteindelijk in de laatste alinea bij Security.nl:

Dat de situatie nog altijd niet is aangepast komt volgens de politie doordat het om grote logge applicaties gaat die niet zomaar zijn uit te zetten.
Het zou me inderdaad helemaal niets verbazen als de applicatie zo gebouwd is dat deze alle betrokkenen uit het eigen bestand synchroniseert met de BRP, en dat er geen selectieknopje is of filter voor “alleen iedereen in actieve dossiers” of “alleen indien betrokkene verdachte” of iets dergelijks. Maar goed: “We hebben zelf de conclusie getrokken dat we met minder gegevens toe kunnen, en daar werken we aan”, aldus Henk Geveke van de korpsleiding.

Arnoud

 

Rechter beveelt politie in te loggen op WhatsApp-account overleden slachtoffer

| AE 13326 | Regulering, Security | 3 reacties

Pexels / Pixabay

De rechter-commissaris in Den Haag heeft de politie bevolen om in te loggen op het WhatsApp- en Google-account van een overleden slachtoffer en zo de WhatsApp-communicatie en Google Takeout veilig te stellen voor zover die gegevens relevant zijn voor het onderzoek. Dat las ik bij Security.nl. Opmerkelijk, want de wet voorziet niet in een specifieke bevoegdheid hiervoor maar gezien de jurisprudentie zou het moeten kunnen.

Het slachtoffer is vermoedelijk door een misdrijf om het leven gekomen, en de politie had het vermoeden dat de WhatsApp- en Google Takeout communicatie relevant bewijs kon geven. Deze uit de telefoon van het slachtoffer halen lukte niet, omdat de telefoons onvindbaar waren. Een vordering bij WhatsApp-moederbedrijf Meta heeft geen zin vanwege de e2e encryptie, en Google zou volgens de officier makkelijk twee jaar over een rechtshulpverzoek doen en het dan waarschijnlijk afwijzen.

Blijft over de optie van de backup terugzetten. Daarvoor is technisch nodig dat je de sim van de verdwenen telefoon dupliceert (de provider kan dit), deze in een nieuwe telefoon plaatst en dan het WhatsApp-account herstelt. Alle backupdata wordt dan teruggezet, en daarna kun je deze lezen vanaf je nieuwe telefoon. Alleen, nergens in de wet is geregeld dat opsporingsambtenaren dit mogen doen. Je zou het zelfs een vorm van hacken kunnen noemen, binnendringen in andermans account bij WhatsApp immers.

De rechter-commissaris ziet in deze specifieke vorm van binnendringen weinig crimineels:

Het betreft stappen die een gebruiker zelf ook kan of zelfs moet zetten op het moment dat deze geen toegang meer heeft tot een account. Het terugzetten van een back-up (zoals bij WhatsApp) kan als een gebruikelijke handeling worden beschouwd, een back-up is immers bedoeld voor de situatie waarin er onverhoopt geen toegang meer tot de gegevens bestaat. Ook het moeten invoeren van bepaalde codes of het invullen van beveiligingsvragen om toegang te verkrijgen tot een account (zoals bij Google) is niet ongebruikelijk. … Het aanvragen van een duplicaat simkaart en het afvangen van een verificatiecode gebeurt niet alleen met toestemming van de nabestaande, maar valt naar het oordeel van de rechter-commissaris ook binnen de rechtmatige uitoefening van de politietaak gelet op artikel 3 van de Politiewet en de artikelen 141 en 142 Sv.
Het helpt natuurlijk zeer dat die nabestaande van het slachtoffer ook wilde wat er was gebeurd, en dus toestemming wilde geven. Of dat juridisch genoeg is om het binnendringen rechtmatig te maken, kun je over twisten: een nabestaande kan ook niet per definitie toestemming geven om een garagebox van de overledene open te breken. Maar de rechter-commissaris gebruikt het hier als een van de argumenten die maken waarom het binnendringen door de politie rechtmatig is.

Natuurlijk krijg je na deze actie toegang tot alle logs van alle chats, maar de vordering was beperkt tot bepaalde gesprekken in de elf dagen tot het overlijden. De overige data mag dus niet worden gebruikt.

Arnoud

Politie stuurt waarschuwingsbrief naar vermeende afnemers ddos-dienst

| AE 12968 | Regulering | 10 reacties

De politie heeft afgelopen maandag een waarschuwingsbrief gestuurd naar 29 mensen die in verband worden gebracht met het afnemen van ddos-diensten. Dat meldde Security.nl onlangs. “We hebben je geregistreerd in ons systeem en je krijgt nu een laatste waarschuwing. Als zich in de toekomst nieuwe soortgelijke feiten voordoen, gaan we over tot vervolging. Houd in… Lees verder

Politie Los Angeles gevraagd om socialmedia-accounts burgers te noteren

| AE 12906 | Regulering | 23 reacties

Agenten van het politiekorps van de Amerikaanse stad Los Angeles hebben instructies gekregen om van elke burger die ze spreken de socialmedia-accounts en e-mailadressen te noteren, ook als er geen verdenking van een misdrijf is. Dat meldde Security.nl vorige week. Diverse lezers vroegen me of de Nederlandse politie dat ook zou mogen, en zo ja… Lees verder

Politie wil bij ernstige verdenkingen foto’s van kentekencamera’s gebruiken

| AE 12885 | Regulering | 8 reacties

De Nederlandse politie wil foto’s van kentekencamera’s, waar bestuurders zichtbaar op zijn, gebruiken als er ernstige verdenkingen zijn, las ik bij Tweakers. Men hoopt op méér ruimte van de wetgever, want juist door de strenge wet wordt meer privacy geschonden dan nodig is. Denk aan een gewapende overval, moord of doodslag, of een dodelijke aanrijding waarbij… Lees verder

Politie overtreedt opnieuw regels voor inzet hackingtools

| AE 12762 | Regulering | 6 reacties

De politie heeft zich opnieuw niet aan de regels gehouden bij het inzetten van hackingtools. Dat las ik bij Tweakers, dat zich baseert op een rapport van de Inspectie Justitie en Veiligheid. In dit rapport concludeert de inspectie dat de politie zich niet hield aan de gestelde voorwaarden houdt voor het inzetten van hacking tools. De politie… Lees verder

Zweedse politie beboet voor gebruik gezichtsherkenning Clearview

| AE 12507 | Regulering | 8 reacties

De Zweedse politie heeft van de Zweedse privacytoezichthouder een boete van 250.000 euro opgelegd gekregen wegens het onrechtmatig gebruik van het gezichtsherkenningssysteem van het bedrijf Clearview AI. Dat meldde Security.nl onlangs. “De politie heeft onvoldoende organisatorische maatregelen ingevoerd om ervoor te zorgen dat het verwerken van persoonlijke data in dit geval volgens de wet plaatsvond”, aldus de… Lees verder

Autoriteiten verwijderen Emotet-malware op 25 april van besmette pc’s

| AE 12486 | Regulering | 3 reacties

Autoriteiten zullen de Emotet-malware waarvan de hoofdservers zijn overgenomen op 25 april van besmette computers verwijderen, las ik bij Security.nl, dat weer afging op een beveiligingsonderzoeker op Twitter. Vorige week lieten politie en het Openbaar Ministerie weten dat het gelukt was om het Emotet-netwerk over te nemen en de malware te deactiveren. Het ontmantelen is… Lees verder

Zucht. EU-raad wil toegang tot versleutelde data met techbedrijven onderzoeken

| AE 12377 | Regulering | 26 reacties

Zijn er technische oplossingen voor de autoriteiten om toegang tot versleutelde data te krijgen, schreef Security.nl onlangs. De Raadsresolutie Encryptie van de Europese Raad vormt volgens minister Grapperhaus van Justitie en Veiligheid het startpunt om samen met techbedrijven en andere partijen een onderzoek te doen naar de technische mogelijkheden om toegang tot versleutelde data te… Lees verder