Gehackt door je partner: duizenden Nederlanders bespioneerd via stalkerware

Duizenden Nederlanders worden stiekem door hun (ex-)partner digitaal in de gaten gehouden. Dat meldde RTL Nieuws vorige week. Hun smartphones zijn gehackt en geïnfecteerd met stalkerware, een vorm van malware waarmee je smartphones bespioneert: van WhatsAppgesprekken meelezen tot op afstand de camera inschakelen. Daarbij wreekt zich onder meer dat antivirussoftware draaien op je telefoon niet gebruikelijk is (en de meeste antivirus ook nogal nep voelt, maar dat ligt vast aan mij). En kom je er als stalking-in-spe zelf niet uit, dan kun je bedrijfjes inhuren die het je keurig uitleggen of op afstand meehelpen. Maar eh, is dat allemaal legaal dan?

Stalkerware is een vrij nieuwe term, die verwijst naar allerlei software en diensten die een ander stelselmatig bespioneert. Dat kan zijn het live meekijken op de telefoon (en dat doorsturen) of op de online backup zoals de iCloud van iemands gegevens. Als een iPhone bijvoorbeeld standaard alle chats backupt, of de Find my IPhone aan heeft staan, dan kun je op die manier dus live meelezen met wat iemand doet én zien waar die op dat moment is.

De term stalkerware alleen al geeft aan dat dit hoogst dubieus is – het is kennelijk not done om ook bij zulke evidente strafbare zaken een voorbehoud te maken of op te merken dat je er legitiem je kinderen mee in de gaten wilt houden. Eh, ja, juist. In de overgrote meerderheid wordt het gebruikt om de partner (of “beoogd partner”, zeg maar het slachtoffer van de waangedachte dat iemand verliefd op je is) in de gaten te houden, te controleren of dwars te zitten.

En dat is natuurlijk gewoon hartstikke strafbaar. Want er is geen legitieme reden voor software die zich stiekem installeert, zijn aanwezigheid niet kenbaar maakt en/of gegevens doorstuurt zonder periodiek te piepen (zoals met een notificatie) dat dat gebeurt. (Mocht er een Nederlandse handelaar meelezen die oprecht meent dat zijn software volstrekt legitiem is en de term stalkerware smadelijk vinden, sosueme.wav). Ik had lang geleden een Nokia die altijd piepte als je een foto maakte, en dat blijft een heel mooi principe.

Dat gezegd hebbende is het natuurlijk heel treurig dat de praktijk toch weer is dat het slachtoffer van alles moet doen om zich te ontdoen van deze digitale ranzigheid.

Arnoud

AIVD en MIVD maken rechtmatig gebruik van persoonsgegevens in bulkdownloads

De inlichtingendiensten AIVD en MIVD gaan “rechtmatig” om met datasets met persoonsgegevens die online worden aangeboden. Dat las ik vorige week bij Nu.nl. Deze conclusie volgt uit het rapport 55 over het verwerven van op internet aangeboden bulkdatasets van de Commissie van Toezicht op de Inlichtingen- en Veiligheidsdiensten. Dat “online aangeboden” moet je met aanhalingstekens uitspreken, want het gaat eigenlijk om gelekte of gestolen gegevens die op schimmige plekken te verkrijgen zijn. Maar voor de inlichtingendiensten is dat dus geen probleem.

Het klinkt ergens gek, maar ook de AIVD en haar militaire broertje de MIVD moeten de privacy respecteren van mensen die ze bespioneren. Dat betekent dus dat het gebruiken van ‘gevonden’ datasets met persoonlijke informatie niet zomaar kan, met name omdat daar ook veel gegevens in zullen zitten van mensen die in het geheel niet in beeld zijn bij de inlichtingendiensten.

Het gebruik van die persoonsgegevens is geregeld in de Wet op de Inlichtingen- en Veiligheidsdiensten, waarvan editie 2002 van toepassing was op de vergaring. (En editie 2017 is de beruchte ‘sleepwet’.) De bevoegdheden zijn een stuk breder dan voor gewone burgers of overheidsinstanties. Kort gezegd mag er veel meer zolang het maar enigszins gedocumenteerd wordt en het gebruik netjes wordt bijgehouden.

Zo is er een openbronregeling die bepaalt hoe men informatie uit open bronnen mag betrekken, waarbij het niet uitmaakt of die bron de gegevens legaal of illegaal publiceert. Daarbij is het zelfs toegestaan om je te registreren onder een valse naam en dan te zien wat er te downloaden is; de grens ligt bij de aanbieder overhalen tot het verstrekken van de bron. Dat mag ook maar valt onder de agentregeling met net iets strengere eisen.

Aanleiding voor het onderzoek was dat de diensten bestanden hadden gekocht op het “dark web” (/insert omineuze muziek) met gegevens over meer dan honderd miljoen personen, waarvan het overgrote deel nooit en te nimmer relevant zou zijn voor het inlichtingen- en veiligheidswerk. Het ging daarbij om vertrouwelijke informatie die onrechtmatig in die bestanden terecht was gekomen en die normaal nooit zomaar bekend zou zijn.

De AIVD had die gegevens snel opgehaald omdat ze vermoedden dat die zomaar weggehaald zou kunnen worden, en deed dat onder de openbronregeling omdat ze dachten dat het dark web daaronder viel. Maar omdat het feitelijk een aankoop van een bestand was, had dit onder de agentregeling moeten gebeuren. Dat ging dus mis, maar betekent uiteindelijk weinig omdat -zo concludeert de commissie- het onder de agentregeling legaal zou zijn geweest. Belangrijk was daarbij ook dat er op hoog niveau toestemming was gegeven voor de aankoop.

Bij een tweede dataset van vergelijkbare omvang en inhoud ging het mis. Daar werd die toestemming niet op dat niveau gevraagd, en was niet duidelijk hoe men daar precies aan gekomen is. Uiteindelijk heeft dit geen gevolgen, omdat het gebruik verder netjes binnen de lijntjes blijft en het waarschijnlijk was dat er toestemming zou zijn gegeven.

De totale uitkomst verrast dus niet. Over blijven aanbevelingen om zorgvuldiger met de gegevens om te gaan, en jaarlijks te bekijken of de datasets nog nuttig zijn in de praktijk. En meer algemeen om beleid te maken over hoe om te gaan met downloaden of aankopen van datasets als deze. En dat is hoe het eigenlijk altijd gaat met zulke dingen: het mocht niet, maar de schade lijkt beperkt en als er dan beleid op komt, dan is het goed.

Arnoud

Gastblog: Je kind online in de gaten houden, hoe ver mag je gaan?

kinderen-oppassen-bord-verkeersbord-waarschuwing.pngOmdat ik met vakantie ben vandaag een gastbijdrage. Vandaag: Noortje Mulder over wanneer ouderlijk toezicht uitmondt in spionage.

Sociale media zoals Facebook, Twitter en Instagram worden volop door kinderen en jongeren gebruikt en er zijn tal van websites die zich specifiek op kinderen richten. Op dit moment is het echter nog onduidelijk hoe kinderrechten ‘online’ het best kunnen worden gewaarborgd. Tot dusver is de aandacht voornamelijk uitgegaan naar de betekenis van kinderrechten in de relatie tussen het kind en derden buiten gezinsverband, waarbij de verantwoordelijkheid van ouders voor het geven van de juiste begeleiding aan hun kinderen vaak wordt benadrukt. Volgens de wet zijn de ouders (of voogden) immers hoofdverantwoordelijk voor het welzijn en de bescherming van hun kinderen. Maar wat betekent de wet nu in de ‘online omgevingswereld’ van kinderen? Wat betekent de wet nu voor kinderen op sociale media?

De wet (artikel 1:247 lid 1 en 2 BW) en artikel 5 en 18 VN-Kinderrechtenverdrag bepaalt dat ouders een zorgplicht hebben om hun kind op te voeden. Nergens wordt echter specifiek uitgelegd op welke manier ouders dit het beste kunnen doen. Dit heeft uiteraard zo zijn voordelen. Ouders hebben immers het recht om de opvoeding naar eigen inzicht in te richten, zolang het belang van het kind hierbij maar het uitgangspunt vormt. Ouders staan tegenwoordig echter voor opvoedingsvraagstukken die in hun eigen kindertijd niet aan de orde waren. Hierdoor zullen ouders soms niet goed weten waar zij en hun kinderen aan toe zijn, wat tot onzekerheid en (over)bezorgdheid kan leiden. Nieuwsberichten over online-pesterijen en jihad-tienerbruiden dragen hieraan bij.

Deze angst leidt er soms toe dat ouders doorslaan in hun beschermingsplicht, waardoor zij het kind online nauwlettend in de gaten willen houden. In dit gat in de markt zijn diverse bedrijven gesprongen die zogenaamde parental monitoring-software aanbieden, welke zeer intensief ouderlijk toezicht mogelijk maakt. Dergelijke software biedt de mogelijkheid om mee te kijken met letterlijk álles wat het kind online uitvoert. Hierbij valt te denken aan wachtwoorden, toetsaanslagen, surfgeschiedenis, verstuurde en ontvangen bestanden/e-mails, privégesprekken. Kortom: het kind heeft vrijwel geen privacy meer ten opzichte van diens ouders. Gaat dit niet een beetje te ver?

Ouders zijn verantwoordelijk voor de verzorging en opvoeding van hun kinderen. Zij dienen het welzijn en de ontwikkeling van het kind bevorderen en te beschermen tegen schadelijke invloeden. Om het kind bescherming te kunnen bieden zullen ouders moeten weten wat het kind bezighoudt, wat ouderlijk toezicht tot op zekere hoogte noodzakelijk maakt. Tot op zekere hoogte. Volgens artikel 16 van het VN-Kinderrechtenverdrag heeft het kind namelijk recht op privacy. Dit recht geldt óók ten opzichte van diens ouders. Ondanks dat het kind dit recht heeft, blijkt dit in de praktijk niet altijd (strikt) te worden nageleefd. Het is natuurlijk begrijpelijk dat ouders niet denken in een ‘rechten-context’ bij de opvoeding. Daarnaast zullen de meeste ouders goede bedoelingen hebben wanneer zij parental monitoring-software gebruiken om toezicht te houden op hun kind.

Te vergaand toezicht zou het kind echter kunnen schaden. De meeste kinderen zullen immers gekwetst zijn wanneer zij de ‘online spionage’ van hun ouders ontdekken, wat hun (vertrouwens)relatie geen goed zal doen. Ook kan de ontwikkeling van het kind belemmerd worden wanneer het onvoldoende vrijheid krijgt om zichzelf te ontplooien. Daarnaast is het van groot belang dat ouders op een zorgvuldige manier omgaan met de in dit verband verzamelde gegevens van het kind. Zij horen deze bijvoorbeeld niet zomaar te delen met derden, zoals schoolleiding of andere ouders.

Maar wanneer gaat ouderlijk toezicht nu te ver? Deze vraag is lastig te beantwoorden, gelet op de dubbele rol die ouders hebben ten aanzien van de privacy van het kind. Enerzijds dienen zij het kind te beschermen, waardoor zij de privacy van het kind mogen beperken. In de meeste gevallen zal het beschermingsbelang van het kind een beperking van diens recht op privacy door de ouders rechtvaardigen. Anderzijds dienen zij zich niet onnodig te mengen in het privéleven van hun kind, laat staan bewust inbreuken daarop te maken. Hierbij valt te denken aan het niet zomaar plaatsen van foto’s en filmpjes van kinderen op sociale media-platformen, zoals de Facebook-pagina’s van de ouders zelf, maar ook aan het houden van te intensief ouderlijk toezicht. In artikel 5 van het VN-Kinderrechtenverdrag wordt gesteld dat ouders hun kinderen ‘passende leiding en begeleiding’ moeten geven bij de uitoefening van hun rechten, wat onder andere betekent dat ouders rekening moeten houden met de leeftijd en ontwikkelingsniveau van het kind en dat zij ook de mening van het kind moeten betrekken bij het nemen van opvoedingsbeslissingen (Zie hiervoor ook artikel 12 VN-Kinderrechtenverdrag). Aangezien opvoeding gericht dient te zijn op het toewerken naar de zelfstandigheid van het kind, zal het kind naarmate het opgroeit steeds meer de kans hiertoe moeten krijgen. Ouders dienen hun betrokkenheid dus continue aan te passen en toezicht te houden op een wijze die de ontwikkeling van het kind ondersteunt.

Kort gezegd: ouders moeten doen wat het beste voor het kind is. Maar wat als ouders simpelweg niet weten wat ‘passende leiding en begeleiding’ is? Dit is immers ook sterk afhankelijk van het kind in kwestie en de omstandigheden van het geval. Ondanks dat de meeste ouders het beste met hun kind zullen voorhebben, zullen er gevallen zijn waarin ouders de privacy van hun kind onvoldoende respecteren. In de eerste plaats omdat ouders het meekijken met het internetgedrag van het kind niet direct zullen zien als een privacy-inbreuk. Gelet op de mogelijkheden van parental monitoring-software, komt het er echter op neer dat vrijwel niets van het kind meer privé is. In wezen is dit vergelijkbaar met een ouder die in de struiken gaat liggen bij het schoolplein om zo álles te kunnen zien. Een beetje overdreven, wat mij betreft. Onder bepaalde omstandigheden kan intensief toezicht natuurlijk gerechtvaardigd zijn, maar dat moet dan –alle omstandigheden meegenomen- in het belang van het kind zijn. Bijvoorbeeld omdat dit de enige mogelijkheid is om het kind te beschermen. Een ander belangrijk punt hierbij is dat ouders soms op onzorgvuldige wijze met de door hen verzamelde gegevens van het kind omgaan. Dit zou de belangen van het kind ernstig kunnen schaden, gelet op het feit dat –vooral bij het gebruik van parental monitoring-software- de verzamelde informatie erg omvangrijk kan zijn en daarnaast vaak privacygevoelige inhoud heeft.

De meeste ouders zullen zich niet bewust zijn van de betrokken belangen en mogelijke risico’s. Ik pleit er daarom voor om ouders hierover voor te lichten en hen hulpmiddelen aan te bieden ter ondersteuning van hun opvoedingstaak. Het antwoord op de vraag wanneer ouderlijk toezicht te ver gaat is zoals gezegd afhankelijk van de omstandigheden van het geval. De ondersteuning zal daarom vooral gericht moeten zijn op het verduidelijken van de betrokken belangen, zodat ouders hier zelf een goede afweging tussen kunnen maken. Het doel hiervan is om ouders te ondersteunen in de uitoefening van hun opvoedingstaak, wat uiteindelijk moet leiden tot een betere waarborging van het recht op privacy van het kind.

Eleonora Mulder is onlangs afgestudeerd aan de Universiteit Utrecht, Master Privaatrecht. Haar masterscriptie schreef zij over het onderwerp ‘Ouderlijk toezicht en het recht op privacy van het kind in de digitale samenleving’, waarbij de vraag naar de grenzen aan het ouderlijk gezag –in het bijzonder met betrekking tot het houden van toezicht op het internetgedrag van het kind – en de wenselijkheid van regulering hiervan centraal stond.