Politie Archives - Pagina 2 van 7

Mag de politie de telefoon van een getuige leegtrekken?

Geplaatst op 24 oktober 201922 oktober 2019 in Regulering, 13 reacties

Via Twitter een ietwat verontrustend item van de BBC over speciale apparatuur waarmee de politie telefoons in één keer geheel uit kan lezen. Die technologie wordt ingezet bij arrestaties, maar kennelijk ook bij telefoons van getuigen. En dan heb ik het over alles, van foto’s tot chatberichten, cache-informatie en prullenbakbestanden. De journaliste vraagt zich af hoe dat dan gaat als je uiteindelijk niet vervolgd wordt, want al die data is dan al wel bij de politie. Wat nu als je alleen maar getuige bent? En hoe zit dat in Nederland?

Hoofdregel in Nederland is dat de politie in geval van een strafbaar feit “alle voorwerpen die kunnen dienen om de waarheid aan de dag te brengen” in beslag mag nemen (art. 94 Strafvordering). En een telefoon met inhoud voldoet aan die omschrijving, ook wanneer die van een getuige is. Die heeft wellicht foto’s gemaakt of in een chat met een ander relevante informatie staan, bijvoorbeeld. De nuance is natuurlijk dat de inbeslagname wel noodzakelijk en proportioneel moet zijn. Zomaar van alle omstanders de telefoon meenemen is natuurlijk idioot, maar de telefoon van een persoon die wekenlang chatte met de dader is een heel ander verhaal.

Als je de telefoon hebt, ligt snel een kopie maken en daarin spitten natuurlijk voor de hand. En hier wordt het juridisch ingewikkeld, want hier gaat het om privacygevoelige informatie en dan mag de politie in beginsel alleen dingen doen die wettelijk geregeld zijn. In 2017 bepaalde de Hoge Raad dat dit ook geldt bij telefoondoorzoekingen, maar dat gezien de praktijk het vooral van belang is dat er een duidelijke noodzaak is en er een onafhankelijke toetsing plaatsvindt. Blijkt achteraf dat de opsporing te ver ging met de doorzoeking, dan heeft dat gevolgen voor de rechtszaak (bijvoorbeeld dat het bewijs buiten toepassing blijft).

Anders ligt dat bij even snel kijken naar een paar berichtjes of foto’s. Dat is geen of slechts een geringe inbreuk op de privacy, en dat mogen agenten dus doen zonder specifieke opdracht. Even snel kijken bij de recente foto’s of de chat met de verdachte zou dus nog net kunnen, zelfs als de getuige niet meewerkt. Je moet als agent natuurlijk wel een goede aanleiding hebben waarom je dacht dat er iets zat bij die recente foto’s of waarom deze meneer/mevrouw met de verdachte zou hebben gechat en waarom dat relevant is voor het onderzoek naar die verdachte.

Arnoud

Duitse politie haalt datacentrum voor darknetmarktplaatsen offline

Geplaatst op 8 oktober 20191 oktober 2019 in Regulering, 8 reacties

De Duitse politie heeft donderdagavond een datacentrum voor darknetmarktplaatsen offline gehaald en zeven verdachten gearresteerd. Dat meldde Tweakers onlangs. De servers werden onder meer gebruikt voor darknetmarktplaats Wall Street Market en een aanval op Deutsche Telekom-routers. De beheerder van het dc omschrijft haar diensten als bulletproof hosting en heeft beleid dat men zich niet actief bemoeit met wat klanten doen “except child porn and anything related to terrorism.” De inval lijkt te suggereren dat dat beleid niet geheel binnen de wet blijft, maar ik kreeg bezorgde hosters in de mail of zij ook strafrechtelijk aansprakelijk gehouden kunnen worden als er een strafbare klant tussen zit.

Bij Emerce een fascinerend verhaal over de geschiedenis van deze cyberbunker. In principe is onder de wet iedere hoster gelijk – je bent als partij die gegevens van klanten opslaat en doorgeeft als hoofdregel niet aansprakelijk voor die gegevens. Dat zou immers ook onwerkbaar zijn, hoe moet je dan iedere klant op ieder moment toetsen.

Het is dan ook weer niet de bedoeling dat je bewust de andere kant op kijkt. In de wet (art. 6:196c BW) staat dan ook dat zodra je actief bewust bent van bepaalde onrechtmatige inhoud, je moet ingrijpen. De bekende notice-takedownpolicies zijn op dat stukje gebaseerd. En voor de duidelijkheid: dat gaat over álle wetsovertredingen, niet alleen auteursrechtschendingen of strafbare zaken. Een NTD verzoek gebaseerd op de AVG behoort dus ook gewoon te werken, zij het dat de overtreding wel onmiskenbaar (evident) juist moet zijn en dat is bij AVG-dingen niet perse het geval.

Maar dat is civiel recht. Strafrecht kent zijn eigen regime, in dit geval artikel 54a Strafrecht, waarin staat:

Een tussenpersoon die een telecommunicatiedienst verleent bestaande in de doorgifte of opslag van gegevens die van een ander afkomstig zijn, wordt als zodanig niet vervolgd indien hij voldoet aan een bevel van de officier van justitie, na schriftelijke machtiging op vordering van de officier van justitie te verlenen door de rechter-commissaris, om alle maatregelen te nemen die redelijkerwijs van hem kunnen worden gevergd om de gegevens ontoegankelijk te maken.

De definitie is grofweg hetzelfde. Je moet een hoster (of access provider) zijn, een partij die gegevens van anderen opslaat en doorgeeft. Die definitie is breed genoeg om ook diensten als Skype of Twitter te vangen. Je kunt dan volgens de normale regels van het strafrecht worden vervolgd voor die handelingen, je bent immers formeel gezien behulpzaam en dus op zijn minst medeplichtig als die handelingen strafbaar zijn.

Maar dit artikel zegt van niet. Althans, wanneer je op bevel van de officier van justitie meteen die gegevens ontoegankelijk maakt. Dat bevel mag dan weer niet zomaar worden gegeven, er moet een machtiging van de onafhankelijke rechter-commissaris worden verkregen. Daar zit dus een stukje gerechtelijke toetsing. Dit mag je “alleen met gerechtelijk bevel” noemen, alleen laat je dan wel zien dat je meer vaart op Amerikaanse rechtbankseries dan Nederlandse wetboeken. De RC is de gerechtelijke instantie die zegt dat de officier mag eisen dat het weggaat. Bevalt dat je niet, dan kun je naar de ‘echte’ rechtbank maar dan sta je dus al in het strafbankje – geen gehoor geven aan een bevoegd gegeven bevel op zijn minst, of als men echt boos is dus medeplichtigheid aan dat strafbare feit.

Wanneer je je echter structureel inhoudelijk gaat bemoeien met wat je klanten doen, dan kun je niet meer spreken van een “tussenpersoon als zodanig”. Dan kun je je dus niet meer beroepen op de bescherming van artikel 54a, en je zou dan als medeplichtige van het handelen van die klanten gezien kunnen worden. Ik denk dat diezelfde situatie kan ontstaan als je je ook nadrukkelijk profileert als bulletproof hoster: je moet weten dat dat een bepaald type klanten aantrekt, met name vaak het type dat illegale zaken op het oog heeft. Dat voelt voor mij niet meer als de opstelling als neutraal tussenpersoon.

Arnoud

Politiekorpsen VS mogen Ring-video’s eeuwig bewaren en onbeperkt delen, en bij ons?

Geplaatst op 10 september 201910 september 2019 in Privacy, Regulering, 7 reacties

Politiekorpsen in de VS die van buurtbewoners video’s ontvangen van slimme deurbel Ring mogen dat beeldmateriaal eeuwig bewaren en onbeperkt delen met bijvoorbeeld andere korpsen of overheidsinstanties. Dat las ik bij Tweakers. Het vervolgt eerdere berichten dat Ring in de afgelopen jaren samenwerkingsovereenkomsten heeft gesloten met vierhonderd korpsen in de VS, die zo toegang krijgen tot beelden van de dienstverlener. Ring verzamelt en bewaart beeldopnames van de deurbel-met-camera op haar servers, en kan er dus over beschikken wanneer politie of Justitie daarom vraagt. Naar Amerikaans recht lijkt dat dus in orde, maar vele lezers vroegen zich af, hoe zit dat dan in Nederland gezien de AVG? En jaja, komt ie weer met z’n diensteneconomie.

Eerst maar dat bewaren door de politie. Als die beelden hebben verkregen, worden die in principe alleen gebruikt voor het betreffende onderzoek. Maar ze kunnen (Wet politiegegevens, artikel 8 en verder) ook voor andere onderzoeken worden ingezet. Zomaar een berg verzamelen en bewaren kan dus niet. Maar lijkt me ook niet heel praktisch want wat moet je met een berg video’s waar hooguit een datum en locatie bij zit?

Handiger is lijkt mij ze gewoon per geval vorderen (zoals ook gebeurt bij ons) want dan heb je precies wat je nodig hebt wanneer je het nodig hebt. En ja, vorderen moet, de politie kan beelden niet zomaar vragen omdat er persoonsgegevens op staan. Dat vereist een bevel van de officier van justitie en dat kan alleen worden gegeven in het belang van een strafrechtelijk onderzoek.

Daar staat tegenover dat een burger door hemhaarzelf gemaakte beelden vrijwillig mag afgeven. Als ik meen een misdrijf gefilmd te hebben, dan mag ik daarmee aangifte gaan doen en dan is er geen bevel meer nodig, ik kan dan gewoon die usb-stick met de beelden overhandigen. Dat geldt ook voor bedrijven, dus ook voor Ring. Als die vrijwillig beelden aan de politie willen geven, dan mag dat dus.

Complicatie hier is wel dat het niet hun eigen beelden zijn – de camera’s zijn eigendom van hun klanten, zij bewaren de beelden alleen maar op hun servers. Maar nee, zo werkt dat hier niet. Want daar is ie weer met de diensteneconomie: nee, zo werkt dat hier niet. Data is juridisch niets. Ring levert een dienst, en de artefacten van die dienst (zoals de camerabeelden) bestaan juridisch niet als zelfstandige entiteit. Ring kan daarmee dus doen wat ze wil, tenzij ze contractueel heeft afgesproken van niet. Maar zoals je van Amerikaanse diensten verwacht, zeggen die voorwaarden juist dat men alles mag.

In Nederland zou dat dus in principe ook zo gaan, zij het dat je hier als huiseigenaar er wél wat over te zeggen hebt. Jij hangt die camera op, jij filmt de openbare ruimte (ook al is het slechts bij aanbellen) dus dan zou je best eens de verwerkingsverantwoordelijke voor die beelden kunnen zijn met Ring als verwerker. En een verwerker mag natuurlijk niet zelfstandig de persoonsgegevens aan derden verschaffen. Ook niet als in de algemene voorwaarden staat van wel.

Arnoud

Politie brengt app uit waarmee slachtoffer onderzoek kan doen naar misdrijf

Geplaatst op 29 mei 201927 mei 2019 in Regulering, 14 reacties

De Nederlandse politie en het openbaar ministerie brengen op 1 juni een app uit waarmee burgers zelf onderzoek kunnen doen naar het misdrijf waar ze slachtoffer van zijn geworden. Dat meldde Tweakers maandag. Mensen kunnen onder andere getuigeninterviews afnemen en foto’s als bewijs uploaden. Het gaat om een kleinschalige proef in zes basisteams in vier politie-eenheden: Oost-Nederland, Oost-Brabant, Noord-Nederland en Rotterdam. Mensen die aangifte doen van diefstal krijgen de mogelijkheid aangeboden om via de app zelf onderzoek te doen. De app documenteert dan voortgang en bewijs, zodat alles als een mooi pakketje naar de politie kan. Wat natuurlijk de vraag oproept hoe dat zit met de bewijskracht.

‘Het is niet zo dat wij burgers vragen om ons werk te doen’, benadrukt initiatiefnemer Oscar Dros. ‘We zien het echt als een vorm van samenwerking. Mensen komen steeds vaker zelf in actie, of wij nu wel of niet met hun aangifte aan de slag gaan. Wij proberen het onderzoek door burgers met deze app zo goed mogelijk te ondersteunen.’

Mensen leveren nu ook al steeds vaker bewijsmateriaal aan, maar de aard en kwaliteit wisselt nogal. Met zo’n app kun je daar sturing in aanbrengen. Getuigen interviewen, foto’s opslaan, of zelfs een video opsturen waarin je achter de dader aanrent, ik kan het me allemaal zo voorstellen.

Maar mag dat wel, is dat wel rechtmatig verkregen bewijs? Wie deze blog langer leest, weet dat het korte antwoord bij burgerbewijs is: ja dat mag, er gelden geen regels voor hoe gewone mensen bewijs mogen vergaren om het bruikbaar te laten zijn. Al breek je in om het te krijgen, het is toelaatbaar. Los daarvan ben je wel strafbaar voor inbraak, maar dat tast het bewijs niet aan. (Wel kun je een inhoudelijke discussie over de betrouwbaarheid krijgen, heb jij na de inbraak het bewijs gemanipuleerd.)

Als de politie zélf op onderzoek uit gaat, moeten ze zich aan de regels van het wetboek van strafvordering houden. Die zijn een stuk strenger, zomaar een camera ergens ophangen of stiekem foto’s maken mag niet binnen een strafrechtelijk onderzoek. En als een agent een burger inzet om bij te dragen aan zijn werk, dan valt die burger ook onder die strenge regels. De politie kan niet aan de regels ontsnappen door een privédetective in te huren, zeg maar.

Nu wordt het ingewikkeld: als je als politie deze app uitdeelt, rekruteer je dan een burger om jouw werk te doen, of geef je mensen een technisch hulpmiddel voor vrijwillig werk dat buiten strafvordering valt?

Ik neig zelf naar het laatste, omdat je mensen niet concreet instrueert om achter de dader aan te gaan of om te surveilleren bij een bekend drugspand om zo een transactie vast te leggen. Die app komt op mij over als een standaardisatiepoging voor soorten bewijs. In plaats van duizend fotoformaten te moeten kunnen lezen van honderden soorten gegevensdragers, krijg je nu de foto altijd via hetzelfde kanaal.

Arnoud

De toegevoegde waarde van een bodycam voor de politie en de maatschappij

Geplaatst op 7 mei 20194 mei 2019 in Informatiemaatschappij, Regulering, 8 reacties

Agenten voelen zich veiliger met een bodycam, las ik in Trouw onlangs. Dat bleek uit een proef van twee jaar, die nu er voor zorgt dat er zo’n tweeduizend agenten rond gaan lopen met camera’s op hun lijf. Een op de vier agenten met een camera op het lichaam is echter niet op de hoogte van de regels, zoals dat het ding uit moet blijven bij filmen in huizen en andere privéruimtes. Wel bevestigt het onderzoek dat politieteams die hem gebruiken echt minder vaak te maken krijgen met zware bedreiging dan cameraloze eenheden. En wat ik dan opmerkelijk vind: bodycams maken agenten strenger.

De Amsterdamse proef lijkt een succes, er worden dus tweeduizend camera’s bijgekocht en landelijk ingezet. Er zijn totaal zo’n 20.000 agenten, maar lang niet iedereen heeft natuurlijk een bodycam nodig. Het lijkt effectief om bewijs vast te leggen van een situatie, en dat het rode lampje aanfloept levert ook meer rust in de situatie op (behalve bij alcohol en drugs, daar kan het juist agressie stimuleren). Opmerkelijk vond ik dan wel dat er nog geen enkel bodycamfilmpje naar het OM blijkt te zijn gegaan als ondersteunend bewijs in een strafzaak.

Mogelijk weten agenten dus niet of zo’n filmpje wel bruikbaar is als bewijs. Dat is overigens wel zo, wanneer het gaat om beelden verkregen aan de openbare weg. Maar ik lees ook dat men de beelden eerder gebruikt als geheugensteun, even terugkijken wat ik, verbalisant, precies zei en wat verdachte vervolgens deed. Dat is natuurlijk prima, en het proces-verbaal is sowieso bruikbaar (en heel sterk) als bewijs. Dus ik zie dit niet direct als een probleem.

Ook lijken er nog geen klachten tegen agenten te zijn geweest waarbij de bodycam relevante beelden gaf. Dat is een ander voordeel van een bodycam: een liegende agent kan zo worden betrapt. Maar gezien het risico voor de agent om op liegen betrapt te worden, lijkt mij de kans zeer klein dat hij met bodycam aan zoiets zou doen.

Nee, wat ik opmerkelijk vond was dus wat er in Slate stond: bodycams maken agenten strenger. Althans in Amerika. Daar geldt net zoals bij ons dat agenten discretionaire bevoegdheden hebben, dus ze mogen in een situatie kiezen om te beboeten of een waarschuwing te geven. Dat wordt dus gefilmd, en wat blijkt nu: die beelden worden gebruikt om de agent te beoordelen. En dan krijg je dus bij iedere waarschuwing dat hij moet uitleggen waarom hij dat blonde meisje liet gaan en die donkerharige Noordafrikaanse jongeman een boete gaf.

Als reactie daarop gaan agenten dus tegen iedereen strenger worden, want voor te streng gedrag is nog nooit iemand een promotie geweigerd. Dit is voor mij wel een beetje een oneigenlijke uitkomst, bodycams waren bedoeld om de situatie tussen burger en agent overzichtelijker te krijgen en volgens mij niet om de agent te beoordelen. Ik hoop dus dat dit in Nederland geen navolging vindt.

Arnoud

Politie mocht iPhone verdachte onder dwang via duim ontgrendelen

Geplaatst op 6 maart 201928 februari 2019 in Regulering, Security, 10 reacties

De politie heeft in een onderzoek naar een phishingbende de iPhone van een verdachte onder dwang via zijn duim mogen ontgrendelen, las ik bij Security.nl. In drie vonnissen besliste de rechtbank Noord-Holland dat deze opsporingstechniek legitiem is, ook nu er geen specifieke wettelijke regeling is. Dat bevestigt de eerdere lijn uit februari waarin ook de Marechaussee dit mocht doen.

In deze zaak ging het om verdenkingen van phishing (juridisch: diefstal in vereniging en oplichting), waarbij de verdachten in voorlopige hechtenis waren genomen. Daarbij werd een iPhone aangetroffen, die de politie wilde ontgrendelen waarvoor de vinger van de verdachte nodig was. Die weigerde dat, waarop de officier besloot dat de verdachte weerspannig was en hem liet boeien, waarna de vinger door een agent op de telefoon werd gezet. Daarna was de telefoon toegankelijk voor onderzoek.

Het juridische probleem hierachter is dat er geen specifieke regels zijn over het doorzoeken van telefoons die als bewijs in beslag zijn genomen. Dat moet eigenlijk wel, omdat dergelijke apparaten tegenwoordig veel persoonlijke informatie bevatten. Om diepgaand te treden in de privacy van een verdachte, is een wettelijke regeling nodig. Denk aan huiszoeking of snuffelen in iemands mailbox.

De Hoge Raad bepaalde in 2017 dat de politie terughoudend moet zijn met telefoondoorzoekingen. Even kijken naar “een gering aantal bepaalde gegevens” bij een concrete aanleiding kan nog net, de gehele telefoon van 0 tot 255 doornemen zou te ver gaan tenzij daar héél zwaarwegende redenen voor zijn. In de praktijk komt dit erop neer dat hoe ernstiger de verdenking, hoe verder men mag kijken.

Leuk en aardig maar als die telefoon niet open gaat, dan houdt al het onderzoek snel op. De laatste jaren is er dan ook veel discussie geweest over hoe de politie een telefoon mag open forceren als ze niet zelf de pincode of andere unlockinformatie kan achterhalen. De vinger op de sensor forceren werd al snel een centraal punt in die discussie. Is dat nu gewoon een vingerafdruk nemen (zoals al sinds jaar en dag gebeurt) of is dit iemand dwingen tegen zichzelf te getuigen?

De lijn die bij dit nemo tenetur-beginsel in mensenrecht-jurisprudentie getrokken wordt, is of de gedwongen actie iets is dat al dan niet onafhankelijk van de wil van de verdachte plaats kan vinden. Hem fotograferen of een vingerafdruk afnemen voor het dossier, is iets dat kan of hij dat nu wil of niet. Zeggen waar het lijk ligt, vereist zijn wil. Je mag in die lijn dan ook wel een verdachte dwingen in de lens te kijken of zijn vinger op een stempelkussen te duwen en daarna op een papiertje, maar niet op een kaart te markeren waar het lijk te vinden is.

Anders dan de situatie waarin verdachte wordt gedwongen de toegangscode van zijn telefoon te geven, hetgeen een verklaring van verdachte vereist, maakt het plaatsen van de duim van verdachte op zijn iPhone naar het oordeel van de rechtbank geen inbreuk op het nemo tenetur-beginsel. Het betreft hier namelijk het dulden van een onderzoeksmaatregel die geen actieve medewerking van verdachte vereist. Daar komt bij dat de vingerafdruk met een zeer geringe mate van dwang is verkregen. Dat met het plaatsen van de duim van verdachte op de iPhone toegang wordt verkregen tot mogelijk wilsafhankelijke en voor hem belastende gegevens, maakt dit naar het oordeel van de rechtbank niet anders.

De rechtbank weegt daarbij mee dat er maar weinig andere mogelijkheden waren, onder meer omdat een telefoon zich na een bepaald aantal pogingen permanent vergrendelt. En de verwachting was zeer groot dat er wat te vinden zou zijn. Dat alles bij elkaar maakt dat het ontgrendelen legitiem wordt geacht.

De uiteindelijk gevonden informatie blijkt vervolgens ook relevant voor de strafzaak. Ik ben dan nog wel benieuwd hoe dit uit zou pakken als blijkt dat de politie verkeerd zat, maar de lijn dat een vinger afdwingen mag, lijkt daarmee wel definitief gezet.

Arnoud

Nederlandse politie wil gebruikmaken van particuliere DNA-databank in VS

Geplaatst op 7 februari 20196 februari 2019 in Privacy, Regulering, 11 reacties

De coldcaseteams van de Amsterdamse en Rotterdamse politie willen de Amerikaanse particuliere DNA-databank GEDmatch inzetten om de identiteit van onbekende doden te achterhalen. Dat meldde NRC gisteren. GEDmatch is een openbare, Amerikaanse databank waarin genetische gegevens van allerlei mensen zitten, en daarin kan iedereen zoeken op potentiële matches. Daarmee is in theorie de mogelijkheid voor de politie om ook te zoeken naar bijvoorbeeld een verdachte, of een bloedverwant van een slachtoffer. Maar het roept de nodige vragen op, omdat juridisch niet duidelijk is of men dit überhaupt mag.

Genetische informatie zoals DNA valt onder de AVG onder de strenge regels voor bijzondere persoonsgegevens. Deze mogen niet zomaar worden gebruikt, omdat er zeer gevoelige informatie uit afgeleid kan worden. Je eigen DNA in zo’n databank plaatsen mag in principe wel, wanneer daarbij duidelijk wordt gezegd wat en hoe er gaat gebeuren – je geeft dan uitdrukkelijke toestemming. Maar een complicatie is dat DNA ook informatie over anderen bevat, en dan kun je dus zeggen dat je andermans persoonsgegevens staat te uploaden.

Voor de politie en het OM geldt de AVG niet. Zij moeten zich houden aan de Wet politiegegevens en het Wetboek van Strafvordering. Onder de Wet politiegegevens mag er iets meer; als verwerking “onvermijdelijk is voor het doel van de verwerking” waarvoor andere gegevens worden gebruikt. Ik denk niet dat je daar snel aan komt met genetisch materiaal uit een openbare databank.

In het Wetboek van Strafvordering staan een aantal bevoegdheden over inzet en onderzoek van DNA-materiaal, en er is ook een Besluit DNA-onderzoek in strafzaken met nadere regels. Maar het probleem is eigenlijk vrij simpel: al deze regels gaan uit van matches in individuele zaken. Er is DNA bij het slachtoffer gevonden en dat willen we matchen aan de verdachte, even kort door de bocht. Er is gewoon geen regel die toeziet op het gebruik van grootschalige bronnen van DNA-materiaal. Dat is niet gek, want die regels zijn gemaakt voordat dergelijke databanken bestonden.

Dit maakt de situatie voor de cold case teams erg ingewikkeld, want in principe geldt voor opsporingsdiensten dan de regel dat het niet mag. De politie mag niets tenzij de wet zegt van wel, even weer heel kort door de bocht. Maar dat voelt specifiek bij het oplossen van oude zaken wel heel erg cru. Dit is wellicht de laatste kans om de zaak nog op te lossen, en het gaat om ernstige zaken zoals moord zodat het maatschappelijk belang wel héél zwaarwegend voelt.

Voor het identificeren van slachtoffers ligt dat anders. De AVG geldt niet bij overledenen, en datzelfde geldt op de Wet politiegegevens. Ik denk dus dat DNA materiaal wel mag worden gebruikt om te achterhalen wie een onbekende is, mits dat uitsluitend wordt ingezet voor het doel van informeren van de nabestaanden.

Arnoud

200.000 particuliere beveiligingscamera’s in politiedatabase

Geplaatst op 16 januari 201911 januari 2019 in Regulering, Security, Uitingsvrijheid, 19 reacties

De afgelopen jaren hebben bedrijven en particulieren meer dan 200.000 beveiligingscamera’s in een database van de politie laten registreren, las ik bij Security.nl. Het gaat om de database “Camera in Beeld”, die informatie over beveiligingscamera’s in Nederland bevat. Het register stelt de politie in staat om snel camerabeelden te vorderen van strafbare feiten en andere misstanden.

Voor de duidelijkheid: Camera in Beeld is géén centrale toegang tot private beveiligingscamera’s. Het is een database met waar camera’s hangen, welk deel van de straat wordt opgenomen en wie de beheerder is. Zo kan de politie zoeken naar beelden van een misdrijf (zoals een vluchtende verdachte) en direct de juiste persoon benaderen met een vordering tot afgifte. Want ja, de politie moet die beelden opeisen en kan niet zomaar snuffelen of vrijwillig vragen beelden aan te leveren.

Juridisch lijkt me dit prima in orde. De kern zit hem in dat vorderen. Dat is een wettelijk recht van de politie, het enige nieuwe van Camera in Beeld is dat men makkelijk en snel weet bij wie de vordering moet worden neergelegd. Met deze route kunnen er ook geen discussies ontstaan of de camera-eigenaar dit wel had moeten doen of niet; bij een vordering moet het gewoon, klaar.

Het gaat vrijwel altijd om beelden van de openbare weg. (Natuurlijk kan men ook beelden van privéterrein zoeken hiermee, maar dan gaat het om misdrijven gepleegd op dat terrein en dan is de eigenaar vaak zelf aanwezig om de camera aan te wijzen en de beelden op vordering te verstrekken.) Daar kun je vraagtekens bij stellen vanuit privacyoogpunt, maar ook illegale beelden zijn bewijs wanneer burgers ze hebben gemaakt. De AVG of het portretrecht staat niet in de weg aan gebruik van camerabeelden voor opsporing en vervolging van strafbare feiten.

In het verleden waren er nog wel geluiden vanuit de AP dat filmen van de openbare weg met je beveiligingscamera niet zou mogen. Zowel de politie als de AP bevestigen nu dat de regels overigens niet zó streng zijn dat cameratoezicht op de openbare weg nooit mag. De AP zegt nu:

De AVG is wél van toepassing als u delen van de openbare ruimte filmt voor beveiliging. Bijvoorbeeld als u een camera in uw tuin heeft om uw woning te beveiligen en deze camera ook de openbare weg filmt die aan de tuin grenst. U mag alleen dát deel van de openbare weg filmen dat noodzakelijk is om uw woning te beveiligen.

Die noodzaak zul je overigens vooraf moeten bedenken en motiveren (op papier zetten dus), je kunt niet volstaan met “dat kwam handig zo uit” of “de installateur zei dat de camera hier moest”. Je zou kunnen denken aan kwesties als de auto ook willen bewaken, omdat er in jouw buurt nog wel eens auto’s bekrast worden, of kunnen vastleggen wie er jouw oprit op draait zodat je nummerbord en bestuurder kunt vastleggen. Maar wie bang is voor diefstal in de achtertuin, heeft denk ik een lastiger argument waarom de stoep vóór ook gefilmd moet worden.

Arnoud

Politie en FBI geven elkaar toegang tot databank met vingerafdrukken

Geplaatst op 19 november 201817 november 2018 in Privacy, Regulering, 38 reacties

De Nederlandse politie krijgt toegang tot databanken met daarin vingerafdrukken van miljoenen Amerikanen, las ik bij Tweakers. Omgekeerd kan de FBI de Nederlandse strafdatabank met vingerafdrukken van 1,3 miljoen veroordeelden en verdachten benaderen. Zo moeten beide politiediensten makkelijker vingerafdrukken kunnen matchen aan bekende daders (of verdachten) uit eerdere onderzoeken. Een nogal opmerkelijke stap, die veel vragen opriep bij lezers, maar ik moet zelf zeggen dat ik het niet meteen de grootste inbreuk van 2018 vindt. Nee, een vingerafdrukdatabank, dát is eng.

Voor de duidelijkheid: de bedoeling is nadrukkelijk niet dat het gehele vingerafdrukbestand met naam en rugnummer als zipfile naar de VS gaat. De organisatorische opzet komt erop neer dat de FBI een vingerafdruk van een person of interest heeft, ze die opsturen naar onze politie die kijkt of er een match is. Het antwoord gaat als “nee” dan wel “ja” terug, in het geval “ja” voorzien van een willekeurig gekozen identificatienummer. Dat nummer neemt de FBI dan op in een ouderwets rechtshulpverzoek “graag ontvangen wij wat u weet over deze persoon”.

Door deze dubbele slag voorkom je dat er al te makkelijk gespit wordt zonder dat het opvalt. Er wordt niets verstrekt zonder rechtshulpverzoek, iets dat al tijden de procedure is. En zo’n verzoek wordt alleen toegewezen bij ernstige misdrijven. Het enige nieuwe is dus feitelijk dat je voorheen als FBI iets van een naam moest hebben om aan te geven wie je zocht, en dat je nu op basis van een vingerafdruk kunt aangeven wie je waarschijnlijk bedoelt. Dat is op zich wel een mooie privacyconstructie.

Zo ongeveer de enige vorm van misbruik die ik kan bedenken, is dat je met een vingerafdruk van een betrekkelijk onschuldige nu kunt gaan vissen in de FBI databank (of de FBI bij ons) of er in die databank iets bekend is. Je zou als FBI dan dus bijvoorbeeld irritante toeristen (die met vingerafdruk zich moeten registreren bij bezoek aan de VS) kunnen matchen, en als er een “ja, 481” terugkomt dan gooi je ze het land uit omdat ze op het inreisformulier hebben gezegd “nooit met Justitie in aanraking geweest”. Maar in die situatie heb je de namen ook al, dus of dat nu veel toevoegt?

Enger vind ik de opmerkingen in Trouw dat men bij de politie liever een nationale vingerafdrukdatabase zou hebben (gekoppeld aan het paspoort) waar alle Nederlanders in moeten zitten. Dat idee is al in 2011 afgeschoten, “Een ingrijpend besluit, waar we wekelijks ongemak van ondervinden” aldus de initiatiefnemers van dit databankdelen. De redenen voor afschaffen waren technische problemen, zoals twijfel over de veiligheid van de opslag maar ook onbetrouwbare matching.

Met name dat laatste zou voor mij genoeg reden zijn dit niet te willen: ik schrik te lezen dat bij vingerafdrukken 1 op 10.000 gevallen vals positieven geven. Bij een databank met zelfs maar 1,3 miljoen mensen heb je dus 130 matches voor elke vingerafdruk, bij een databank met 17 miljoen Nederlanders zijn dat er dan 1.700. Hoe kun je daar überhaupt nog in zoeken als politie? Waar filter je dan op, zonder bias te introduceren zoals “nu iedereen met een zwaar strafblad, en de 5 die overblijven maar even ophalen”? Hoe meer ik er over nadenk, hoe enger ik dat vind.

Arnoud

Groningse telecomprovider weigert klantenbestand preventief aan politie te geven

Geplaatst op 19 oktober 201815 oktober 2018 in Regulering, 10 reacties

Telecomproviders zijn verplicht om preventief de persoonlijke gegevens van alle klanten te overhandigen aan de politie, maar het Groningse Voys weigert dat. Dat las ik bij de NOS. Dit is ingegeven door eerder nieuws dat het zogeheten Centraal Informatiepunt Onderzoek Telecommunicatie (CIOT) niet altijd zorgvuldig omgaat met deze gegevens. Er is veel onduidelijkheid over de regels voor politie en Justitie, en de beveiliging ligt ook niet helemaal lekker. Maar het is ondertussen wel wettelijk verplicht.

Het CIOT is in 2000 ingesteld onder het Besluit verstrekking gegevens telecommunicatie. De kern is dat internetproviders elke dag basisgegevens over hun abonnees uploaden naar een centrale databank beheerd door dat Informatiepunt, waarna Justitie daar makkelijk centraal in kan graven bij een vermoeden van een misdrijf. De basisgegevens zijn kort gezegd naam en adres, IP-adressen en eventuele accountinformatie behorend bij een mailbox van de provider zelf.

Hiermee is het sneller schakelen voor de politie dan wanneer men elke keer een individueel bevel aan de provider moet geven, die dan moeilijk gaat doen en roepen dat er een gerechtelijk bevel moet komen. Dat is niet zo -iedere agent mag zonder bevel of machtiging dergelijke gegevens opvragen als dat in het belang van het onderzoek is- maar dat kost natuurlijk tijd en die wil je als politieagent niet hieraan verspillen.

Aanname achter het CIOT was natuurlijk wel dat de toegang goed geregeld wordt. Dit staat ook zo in het Besluit:

Een verzoek van de bevoegde autoriteit, bedoeld in artikel 3, tweede lid, kan slechts in het systeem worden ingevoerd door een door Onze Minister van Veiligheid en Justitie geautoriseerde ambtenaar die daartoe gebruik maakt van een hem toegekende toegangscode.

In de praktijk valt dat tegen. Er is ‘onduidelijkheid’ over de procedures, informatie wordt te lang bewaard en aan die toegangscontrole schort het nogal. Daarmee snap ik wel dat Voys besluit (en al zes jaar lang, volgens de NOS) om geen gegevens te verstrekken vanuit het privacybelang van haar klanten. Wat zeer loffelijk is.

Tegelijk, je bent wettelijk verplicht om aan het CIOT mee te werken. Doe je dat niet, dan kun je bestuursrechtelijk worden vervolgd met mogelijk hoge boetes in het vooruitzicht. Gezien de periode van zes jaar waarin Voys al niet meewerkt, lijkt het onwaarschijnlijk dat dit er nu van gaat komen. Jammer, het zou een interessante vraag zijn wat er wint: de plicht om te doen wat de wet zegt, of de onredelijkheid van een wet die de verplichtingen voor de overheid niet waarmaakt.

Arnoud