Tag: Sms

About Sms

Subscribe Feeds

Politie Zwolle stuurt 750 coke-afnemers een sms

Geplaatst op in Regulering, 18 reacties

De politie heeft voor de tweede keer een sms gestuurd naar contacten die in de telefoons van vermeende drugsdealers werden aangetroffen, meldde Security.nl onlangs. “We willen een veilige en leefbare stad. Daarom doen we er alles aan om dealers van de straat te halen. Het begint echter bij de vraag om harddrugs. Daarom richten we ons nu op de gebruikers. We willen hen hulp bieden zodat ze stoppen met coke,” vertelt teamchef Riemer van Beem in een persbericht. In de sms staat een link naar een website waar de afnemers hulp kunnen zoeken om te stoppen met hun verslaving. De actie is een vervolg op een gelijksoortige Utrechtse actie, waarbij bijna vijfhonderd contacten die in de telefoons van vermeende drugsdealers waren gevonden, een sms-bericht verstuurd kreeg. Een nobel initiatief, maar juridisch een tikje ingewikkeld.

Het idee achter deze actie is natuurlijk heel nobel, en de agent die het heeft bedacht, verdient wat mij betreft een pluim. Als je als agent op straat iemand net hebt zien praten met een bekende drugsdealer, dan kan het heel goed helpen als je die persoon juist wijst op manieren om van een drugsverslaving af te komen, in plaats van te dreigen met arrestatie, fouilleren et cetera.

Het ligt alleen een klein beetje complex omdat je nu mensen een bericht stuurt zonder specifieke wettelijke bevoegdheid. Dan gaan juristen beginnen over persoonsgegevens, doelbinding, AVG et cetera. Maar even een stapje terug. De hoofdregel uit strafvordering (opsporing en bestrijding van strafbare feiten) is dat de politie alleen mag doen wat in het wetboek geregeld is. Ja, behalve wat geen of geringe inbreuk maakt op de grondrechten. Een praatje maken op straat is dus bijvoorbeeld gewoon prima, dat kun je moeilijk een inbreuk op je grondrechten noemen. Iemand meenemen naar het bureau voor een verplicht praatje is dat wel, en dat is dan ook wettelijk geregeld.

De doorzoeking van smartphones is eigenlijk niet geregeld, wat best wel een probleem is. De Hoge Raad heeft voor nu gezegd dat dat mag, zolang het gaat om kleine beetjes informatie of anderszins geringe inbreuk op de privacy van de smartphone-eigenaar. Kijken welke sms-conversaties een verdachte van drugsdealen heeft, ligt denk ik wel aan de goede kant van de lijn, zeker omdat er verder niets gebeurt behalve dus die ene sms. Of misschien gaat het nog wel netter: automatisch de 06-nummers ophalen maar niet de berichten lezen, en dan de sms. De tekst daarvan is immers

Jouw nummer stond in een drugstelefoon. Brengt coke je in de problemen? Of iemand in je omgeving? Er is een oplossing! Ga naar www.stopsos.nl
En daardoor denk ik dat er niet handmatig is gelezen wat de verdachte met deze mensen besprak.

Maar mag dat dan van de AVG? Nou ja, die is dus niet van toepassing: de politie werkt onder de Wet politiegegevens. En die zegt, als je gegevens voor een politiedoel hebt verkregen dan mag je die ook hergebruiken voor andere doelen binnen het gewone politiewerk:

Artikel 1 sub a
  • Politiegegeven: elk persoonsgegeven dat wordt verwerkt in het kader van de uitvoering van de politietaak, bedoeld in de artikelen 3 en 4 van de Politiewet 2012, met uitzondering van: (…)
Artikel 3 lid 3

  • Politiegegevens die zijn verkregen voor een doel, als bedoeld in artikel 1, onder a, kunnen worden verwerkt voor een ander doel, bedoeld in artikel 1, onderdeel a, voor zover deze wet of Unierecht uitdrukkelijk daarin voorziet en de verwerking voor dat andere doel noodzakelijk is en in verhouding staat tot dat doel.

En dan pakken we dus artikel 3 Politiewet erbij, waarin staat dat men naast handhaving ook moet zorgen voor “het verlenen van hulp aan hen die deze behoeven”. Dat is precies wat deze sms beoogt te doen. Dus volgens mij zit dit juridisch wel in orde.

Arnoud

Hoe maak je sms-berichten en appjes van ambtenaren Wob-baar?

Geplaatst op in Regulering, Uitingsvrijheid, 23 reacties

Alweer wat ouder nieuws, maar toch: sms-berichten en appjes van ambtenaren vallen onder de Wet openbaarheid van bestuur. Dat besliste de Raad van State enige tijd terug. Iets formeler gezegd: het medium waarin informatie wordt opgeslagen of verstuurd, is niet relevant. Of iets nu in een sms bericht staat of in een papieren brief: als de informatie onder de reikwijdte van de Wob valt, dan heeft de burger daar recht op. Werk aan de winkel dus voor ambtenaren, want sms- en appverkeer wordt gewoonlijk niet standaard gearchiveerd of zelfs maar centraal bijgehouden. Hoe ga je dat nu concreet beheren?

Alleen al praktisch is dat een behoorlijke kluif. Formele communicatie per brief gaat al heel wat jaren goed, omdat dit beheersbare informatiestromen zijn. Er is vaak ook een postkamer of secretaresse (m/v) die bepaalt wat bewaard moet, en een archivaris die er het juiste labeltje op plakt zodat het te vinden is. Bij e-mail blijkt dit in de praktijk nu al wat lastiger, maar het kan omdat dat centraal op te slaan is.

App-berichten en sms-berichten staan normaal echter alleen op de telefoon waar ze zijn ontvangen. Als je mazzel hebt, heeft de ambtenaar de desktopversie van WhatsApp maar dan nog. Natuurlijk, je kunt iemands telefoon periodiek leegtrekken maar dat is nogal een proces. En een oekaze rondsturen dat iedereen wekelijks zijn chatlogs moet inleveren is natuurlijk leuk op papier, maar dat zal niet -of althans niet 100%- gebeuren en dan heb je wettelijk een probleem.

En nog een leuke, uit dat NRC artikel: “Het maakt daarbij niet uit op welk apparaat (zakelijk of privé) deze berichten staan omdat anders de wet kan worden ontlopen door de keuze van het apparaat waarop deze staan.” Het klinkt me logisch in de oren dat veel ambtenaren met hun privételefoon zullen appen of sms’en over werk, dat doet namelijk iedereen. En dan moet je dus een proces invoeren waarbij je vanaf privételefoons die berichten uitleest, en daarbij ook nog eens de privacy van de ambtenaar in privéhoedanigheid respecteert. Ik geef het je te doen.

Een reglement dan, zullen de HR-professionals nu denken. Gewoon opschrijven dat alle berichten moeten worden ingeleverd en dat je geen privéconversaties mag voeren behalve in eigen tijd, en dan niet over werk praten zodat je de Wob vermijdt. Klinkt leuk, wederom op papier, maar werkt niet: mensen mógen privéconversaties voeren op het werk, ook met klanten en relaties, en de werkgever moet daar ruimte voor maken. Hij mag ook niet botweg die berichten dan opvragen en archiveren, er moet een goede reden zijn om in privécommunicatie te kijken. En dat de Wob mogelijk geldt op andere berichten in dat communicatiemedium, is niet goed genoeg.

Hoe zouden jullie dit aanpakken als je de verantwoordelijke informatiemanager was bij de overheid?

Arnoud

Mag ik een sms naar mijn klanten sturen?

Geplaatst op in Privacy, 14 reacties

whatsappEen lezer vroeg me:

Ons bedrijf wil per Whatsapp gaan communiceren met klanten. Ik heb dat als security officer afgeraden, omdat we niet weten wat er in Amerika gebeurt met de persoonsgegevens die er dan over de lijn gaan. SMS lijkt me een betere optie, maar hoe zit dit wettelijk?

WhatsApp zou ik tegenwoordig wel durven aanraden mits de end-to-end encryptie aan staat. Dan kan WA immers niet meelezen. Ik denk dat je er tegenwoordig wel op mag vertrouwen dat die encryptie een redelijk niveau van beveiliging geeft. Misschien zou je bij medische gegevens meer moeten doen.

SMS-berichten zijn niet versleuteld maar gaan over een afgeschermd netwerk. Dat lijkt me security-technisch ook wel in orde.

Een ander punt is wat klanten ervan vinden om ineens berichtjes te krijgen via deze kanalen. Zeker bij SMS vinden (in mijn ervaring) een hoop mensen het erg opdringerig, om niet te zeggen ongewenst. Heel formeel is dénk ik geen toestemming nodig voor serviceberichten naar je klanten. Het sturen van reclame per sms (of WhatsApp) mag niet zonder toestemming, maar bijvoorbeeld een klant een reminder voor een afspraak per sms sturen is volstrekt legaal als zij hun 06 hebben gegeven.

Wel is vereist dat ergens in de privacyverklaring staat dat dit zal gebeuren, en is wenselijk dat de klant zich kan afmelden voor die berichten. Verder zou het voor mij ook van de context afhangen: waarom geef ik dat 06-nummer, is dat om eenmalig teruggebeld te worden of is het deel van mijn klantprofiel?

Toch zou ik altijd aanraden om toestemming te vragen.

Arnoud

Hoe kan ik nou inloggen op DigiD met sms zonder mobiele telefoon?

Geplaatst op in Security, 66 reacties

mobieltje-sms-bellen-06.pngEen lezer ontving een mail van zijn verzekeraar met deze strekking:

Vanaf 1 juli 2014 wijzigt het inloggen op Mijn De Friesland. Vanaf dan kunt u alleen nog inloggen met DigiD + extra controlestap via sms. Deze wettelijke wijziging zorgt ervoor dat uw persoonsgegevens nog beter beveiligd zijn.

Dat “wettelijke wijziging” intrigeert mij dan als eerste. Waar staat in de wet dat er sms-verificatie moet gebeuren als mensen inloggen met DigiD? Nergens, althans niet letterlijk.

Het gaat hier (natuurlijk) om de privacywet, de Wet bescherming persoonsgegevens. Die schrijft voor dat je “adequate” beveiliging van persoonsgegevens moet hanteren. Wat precies “adequaat” is, staat niet in de wet. Dat moet je zelf bepalen (en kunnen motiveren) op basis van dingen als het soort gegevens, het soort aanvallen en de impact van misbruik. Ook de stand der techniek, wat is er tegenwoordig normaal en gebruikelijk, weegt hierin mee.

Vandaag de dag is tweefactorauthenticatie een bekende techniek. Niet meer alléén een wachtwoord, alleen een biometrische code of een pasje maar minstens twee van die dingen. Het idee is dat een aanvaller niet allebei die dingen onder controle kan krijgen. In de context van DigiD kom je dan al snel uit bij een controle per sms. Je kunt mijn laptop hacken maar hoe onderschep je dan óók de smsen (sms’s? Ruud?) op mijn telefoon.

Voor de techniek valt dus wat te zeggen, alleen heeft deze lezer geen mobiele telefoon en die wil hij ook niet. Wat nu? Wie een oplossing weet, ik hoor het graag en verloot een boek.

Arnoud

Politie heeft wettelijke bevoegdheid nodig om stealth-sms’jes te versturen

Geplaatst op in Regulering, 16 reacties

sms-belasting-telefoon.pngHet lokaliseren van verdachten met stealth-sms’jes is een heimelijke opsporingsmethode die onwettig is, meldde Webwereld dinsdag. Het Gerechtshof in Den Bosch bepaalde dat deze techniek een inbreuk op de privacy oplevert, en dergelijke opsporingstechnieken vereisen eenvoudigweg altijd een specifieke wettelijke grondslag. Justitie maakt zich geen zorgen: er is vast wel een ander artikel dat we kunnen gebruiken.

Een stealth-sms is eigenlijk niets meer dan een leeg sms-bericht. Omdat sms met ontvangstbevestiging werkt, laat de telefoon van een onderpolitiebelangstellingstaande op die manier weten waar hij is (de dichtsbijzijnde GSM-mast dus). En via triangulatie en een paar berichtjes kom je dan aardig dicht bij de locatie van die telefoon. Dat kun je één keer doen of regelmatig, en in het laatste geval weet je structureel waar de eigenaar is.

Nou is structureel kijken waar iemand is een typisch voorbeeld van wat we een inbreuk op de privacy zouden noemen. En wanneer de politie dergelijke opsporingsmiddelen gebruikt, betekent dit dat er een wetsartikel in het Wetboek van Strafvordering moet staan dat dit toestaat. Dat is namelijk de regel bij strafvordering: de politie mag alleen wat in de wet genoemd is als toegestaan. Als het wetboek een firewall was dan had er dus inderdaad default deny gestaan.

Maar omdat je dan ook het vragen van een vuurtje of het mogen bekijken van een winkelruit moet gaan regelen, is er een ondergrens: het moet wel gaan om iets dat de grondrechten van de burger op een ‘betekenisvolle’ (niet-triviale) manier schendt. Als daar geen sprake van is, dan is het genoeg als dit via artikel 2 Politiewet gerechtvaardigd kan worden: nodig voor het politiewerk.

Het Hof stelt tevens vast dat de stealth SMS “risicovol is voor de integriteit en beheersbaarheid van de opsporing”. Ook die moeten namelijk gewaarborgd zijn om een opsporingsmiddel in te mogen zetten. Er was qua documentatie alleen een intern niet-openbaar document, waaruit niet duidelijk werd hoe een officier toestemming moest geven. Bovendien bleken in de praktijk rechercheurs zélf het middel in te zetten en achteraf te beslissen of navragen bij de officier nuttig was. En zelf vind ik nog het meest ergerlijk dat inzet van een stealth sms alleen bij de strafvervolging gemeld werd als dat in het nadeel was van de verdachte (daarom hebben ze dus discovery in de VS).

De inzet van de stealth sms levert daarmee een “onherstelbaar vormverzuim” op, maar in tegenstelling tot wat de borrelpraat over vormfouten zegt, levert dat de verdachte niets op: de inbreuk op zijn privacy was zeer gering omdat de stealth sms maar beperkt was ingezet. Daarmee heeft de vormfout geen consequentie.

Het signaal van het Hof is wél duidelijk dat dit middel nu eens wettelijk geregeld moet worden. En het steekt me dan dat Justitie doet of er niets aan de hand is: “de procedures verbeteren” is niet hetzelfde als “zorgen dat we binnen de wettelijke kaders blijven”. Ja, er waren eerdere rechters die daar anders over dachten maar de arresten (ook deze) in hoger beroep wegen toch zwaarder als jurisprudentie.

Of is dit de manier waarop dit soort nieuwe ontwikkelingen deel moeten worden van de opsporing? Een paar rechtszaken, stevige heisa en dán eens een nieuwe wet gaan maken? Ik weet het niet, het voelt een beetje cynisch.

Arnoud

Niet aansprakelijk voor forumdraden of voorgelezen smsjes

Geplaatst op in Ondernemingsvrijheid, 36 reacties

Afgelopen week twee leuke uitspraken over de aansprakelijkheid van tussenpersonen. De publieke omroep TROS hoeft niet te controleren of berichten van gebruikers op het Radar-forum ‘lasterlijke’ berichten over Pretium Telecom bevatten, meldde Tweakers vrijdag. En woensdag publiceerde Media Report over een arrest uit Amsterdam over een voorgelezen SMS-bericht bij de Wereldomroep.

Eerst maar de Pretiumzaak. Dat telecombedrijf is berucht om haar wijze van klantenwerving, en op forums zoals die van Radar en Kassa stroomt het dan ook over van de klachten. En wat doe je dan als bedrijf? Inderdaad, dan ga je iedereen aanklagen (net als in 2009 een ‘boevenbende’.)

Pretium had honderden berichten gesignaleerd die volgens haar “lasterlijk en/of onrechtmatig” waren, maar afgezien van een arcering in screenshots geen toelichting gegeven. En dat keurt de rechter af: dat zou véél te tijdrovend zijn in het kader van dit kort geding. Bovendien mag je van een eiser verwachten dat hij kan onderbouwen waarom een bericht lasterlijk of anderszins onrechtmatig is.

Ook Pretiums eis dat Radar haar eigen huisregels strakker zou handhaven (omdat persoonsgegevens van derden, oftewel van Pretiummedewerkers) gepost zouden worden, wordt afgewezen. Een schending van de huisregels is iets tussen Radar en forumleden en betekent nog niet dat Pretium verwijdering kan eisen.

Pas indien deze inhoud onrechtmatig zou zijn jegens Pretium, en dit onrechtmatig karakter ook voor Tros kenbaar is, kan aan de orde zijn of Tros onrechtmatig handelt jegens Pretium indien zij deze berichten laat plaatsen of niet verwijdert.

Ook in de Wereldomroepzaak werd een dergelijke overweging gebruikt. In die zaak ging het niet om forumberichten maar om voorgelezen SMS-berichten. Meer in het bijzonder:

“En dan wat het gisteravond nog heel gezellig met Johnny Walker en de zes chauffeurs van Edgard Vermaas, die door inkrimping op straat zijn gekomen. Welkom bij Van Doesburg.”

Hartstikke leuk toch van dat Van Doesburg? Dat vond de presentator inderdaad ook. Maar aan het einde van de uitzending ontving men een e-mail die met koeienletters, “dikke koeienletters zelfs” meldde dat Vermaas helemaal niet ingekrompen had of failliet zou zijn. Bovendien was Van Doesburg de grote concurrent, dus men voelde zich belachelijk gemaakt. En Vermaas hield vervolgens de Wereldomroep aansprakelijk voor de reputatieschade; je kunt toch niet zomaar een SMS op de radio voorlezen zonder hoor en wederhoor?

Nou, dat kan wel zo blijkt uit het arrest. De Wereldomroep hoefde gezien de formulering van de sms redelijkerwijs niet te beseffen dat de mededeling in de sms onjuist was of dat er wellicht een smadelijke bedoeling achter zat. Ook de aard van het programma speelde mee: dit was geen journaal maar een duidelijk user generated content-momentje, oftewel de luisteraars snappen heus wel dat de Wereldomroep hier niet noodzakelijkerwijs achter staat. En dat wordt niet anders omdat de presentator op het bericht reageert met “hartstikke leuk”.

Beide uitspraken zijn leuke opstekers voor forumbeheerders. Langzaam maar zeker wordt duidelijk dat je niet zonder meer voor alles aansprakelijk bent, maar het is wel elke keer een zeer feitenafhankelijke analyse. Ik zou het prettig vinden als er nu toch eens een duidelijke grens getrokken wordt waar je je in abstracto aan kunt houden om zeker te weten dat je niet aansprakelijk wordt voor je comments.

Arnoud

Vodafone en T-Mobile sturen SMS’jes door, WTF?

Geplaatst op in Informatiemaatschappij, Regulering, 18 reacties

mobieltje-sms-bellen-06.pngDe Algemene Inlichtingen- en Veiligheidsdienst (AIVD) en de politie krijgen ten onrechte de inhoud van sms’jes te zien, las ik gisteren op Nu.nl. Vodafone en T-Mobile zouden deze doorsturen in het kader van hun wettelijke plicht om verkeersgegevens door te geven, omdat ze de verkeersgegevens niet los van de inhoud van SMS-berichten zouden kunnen doorsturen.

Mag dat? Nee, natuurlijk niet. En dit is niet ‘slechts’ een overtreding van de privacywet, dit is keihard een misdrijf. Artikel 273d Wetboek van Strafrecht bepaalt dat het aanbieders van openbare telecommunicatienetwerken of -diensten verboden is om opzettelijk en wederrechtelijk de inhoud van gegevens die niet voor hem zijn bestemd aan een ander bekend te maken. Strafbaar in de zin van anderhalf jaar cel.

Zijn ze gek geworden daar? Wie bedenkt er dat je je systeem zo kunt bouwen en dat het niet erg is dat die SMS’jes doorgegeven worden zonder bevoegd gegeven bevel daartoe? Trekken techneuten dan niet aan de bel, of vinden de managers de investering de moeite niet waard?

Vodafone-klanten kunnen dus aangifte doen, T-Mobile klanten (waaronder trouwens ikzelf) ook maar hebben een iets moeilijker verhaal nu T-Mobile ten stelligste ontkent dat ze SMS-berichten proactief doorgeeft.

Arnoud

De journalistieke verwerking onder de WBP

Geplaatst op in Ondernemingsvrijheid, Privacy, Uitingsvrijheid, 8 reacties

sms-belasting-telefoon.pngDe belastingtelefooon maar dan anders. Dat was het idee achter een SMS-dienst van het Finse bedrijf Satamedia: voor 2 euro kun je per SMS de gegevens uit ieders belastingaangifte opvragen. Geheel legaal, want in Finland zijn belastingaangiftes openbaar beschikbaar(!). Maar er is toch wel een verschil tussen een document inzien bij de belastingdienst of diezelfde gegevens laagdrempelig ontsluiten via een SMS, vond de Finse privacywaakhond. Zij stapte naar de rechter, en die verwees door naar het Europese Hof van Justitie.

In haar arrest (gevonden via SOLV Advocaten) bepaalt dat Hof nu dat publicatie van openbare gegevens, ook als het persoonlijke informatie is, in principe onder de uitzondering voor journalistieke verwerkingen valt. Daarmee is het kranten en andere media toegestaan om zulke publieke bronnen te verzamelen en tot artikelen te verwerken. En zoals ik het lees, valt ook een zoekmachine onder de definitie van “journalistiek”.

In Finland zijn belastingaangiftes kennelijk openbaar. Het bedrijf Markkinapörssi zag daar een leuke scoop in en publiceerde elk jaar een serie uittreksels in de krant Veropörssi. Een soort van Quote 500 maar dan groter zeg maar. De informatie in die publicaties omvat de voor” en achternaam van ongeveer 1,2 miljoen natuurlijke personen met een inkomen boven een bepaald bedrag, alsmede op 100 EUR nauwkeurig de hoogte van hun inkomen uit kapitaal en arbeid en gegevens over hun vermogensbelasting. Deze informatie wordt meegedeeld in de vorm van een alfabetische lijst per gemeente en per inkomenscategorie.

Zusterbedrijf Satamedia bood de informatie uit de krant weer als SMS-dienst aan. En dat vonden de Tietosuojavaltuutettu en de Tietosuojalautakunta, de Finse privacywaakhonden met toch wel hele leuke namen, toch net iets te ver gaan. Zij spanden een rechtszaak aan, en dit leidde tot vragen aan het Europese Hof van Justitie, omdat het hier ging over de uitleg van de journalistieke exceptie op de (Finse) Wet Bescherming Persoonsgegevens.

Voor het Hof was het duidelijk dat de gegevens in kwestie persoonsgegevens zijn. En het op een rijtje zetten van belastinginformatie is een ‘verwerking’ in de zin van de wet, ook als je alles uit openbare bronnen haalt. Logisch, die termen zijn zeer breed bedoeld en je moet je best doen om gegevens te gebruiken zonder dat dat juridisch gezien een verwerking is. Maar mag het?

Het Hof loopt keurig de uitzonderingen (persoonlijk gebruik, openbare veiligheid, opsporing etcetera) langs en constateert dat die niet opgaan als een bedrijf die gegevens te koop aanbiedt. En dan komen we bij de hamvraag: is dit een journalistieke verwerking?

Het commerciële karakter doet niet ter zake, aldus het Hof, want een nieuwsmedium kan best (mede) commerciële motieven hebben. Je bent in ieder geval journalistiek bezig wanneer je

de bekendmaking aan het publiek van informatie, meningen of ideeën tot doel hebt, ongeacht het overdrachtsmedium. Deze activiteiten zijn niet voorbehouden aan mediaondernemingen en kunnen een winstoogmerk hebben.

En dat is een breed criterium, waar je al snel aan voldoet. Dat wil niet zeggen dat je dus alles maar mag publiceren, want ook journalisten zijn gebonden aan de WBP. Maar journalisten staan nu wel sterker wanneer iemand een publicatie middels een beroep op de WBP zou willen tegenhouden.

Wat me trof aan deze definitie, is dat een zoekmachine er ook onder lijkt te vallen. Die heeft immers ook tot doel om het publiek bepaalde informatie beschikbaar te stellen. Is Google daarmee nu een journalistiek medium geworden? Dat zou nogal wat zijn: Google zou dan geen plicht meer hebben om informatie uit haar index te verwijderen wegens privacyschending, omdat die plicht immers niet geldt voor journalistieke publicaties.

Zouden jullie je belastingaangifte in de krant willen eigenlijk? Ik vind het nogal een inbreuk op de privacy eigenlijk. Waarom zouden de Finnen hiervoor gekozen hebben?

Arnoud