Onderzoeker: automobilisten eenvoudig te volgen via populaire parkeerapps

Meer dan een kwart van alle auto’s is eenvoudig te traceren door middel van populaire parkeerapps zoals EasyPark, Q-Park, Indigo Neo, Interparking en APCOA, zo stelt de Belgische beveiligingsonderzoeker Inti De Ceukelaire op basis van eigen onderzoek. Dat meldde Security.nl onlangs. Bij al die apps kun je gemakkelijk kentekens toevoegen, maar zonder controle of je er houder van bent. Zo kun je dus vervolgens parkeeracties van die auto’s inzien. Inti maakte ook een opt-out.

De kern van het onderzoek is verbazingwekkend simpel. Vrijwel iedere parkeerapp biedt de mogelijkheid meerdere kentekens toe te voegen, waarbij geen enkele controle volgt of je daar houder van bent, of dat de eigenaar van die auto het goed vond. Een legitieme reden kan zijn dat je een buurman of vaste klant wilt laten parkeren via jouw app, maar je kunt zo ook mensen stalken (het nummerbord van je ex of die man/vrouw die je laatst klemreed bij de afrit Nieuwegein).

Natuurlijk werkt dat alleen als je vervolgens ook een parkeeractie uitvoert, pas dan zie je (ter controle) de straat of parkeergarage waar de auto is. Door sessies van 1 seconde te doen, voorkwam de onderzoeker dat de slachtoffers zouden zien dat ze al geparkeerd staan (als ze bijvoorbeeld dezelfde app hebben, of doordat de slagbomen opengaan zonder betalen).

Een gebrek bij kentekens is dat je geen verificatie kunt doen, zoals bij 06-nummers of e-mailadressen wel kan. Een systeem dat werkt op basis van kentekens (zoals parkeerapps) heeft dus fundamenteel dit probleem, en daar is geen oplossing voor behalve de RDW zo gek krijgen dat ze brieven gaan sturen naar de kentekenhouder wanneer een app deze wil registreren. (Ik zie dat niet gebeuren.)

De Ceukelaire merkt op dat parkeersessies een onschatbare bron van informatie prijsgeven over bestuurders. “Aan de hand van de parkeerduur, locatie en tijd kan je afleiden wat de persoon daar komt doen. Zo zijn er tijdens het onderzoek personen gelokaliseerd nabij kantoorruimten, winkelcentra, concertzalen, sportcomplexen, casino’s en ziekenhuizen.”
Het onderzoek werd overigens netjes uitgevoerd op kentekens van vrijwilligers die wel eens wilden weten of ze werkelijk getrackt konden worden.

Arnoud

Apple maakt mensen volgen via AirTag-trackers lastiger na update

dapple-designers / Pixabay

Apple heeft een update aangekondigd voor zijn AirTag-trackers, waarmee ze veiliger moeten worden in het gebruik, las ik bij Nu.nl. Airtags zijn metalen objectjes die hun locatie doorgeven aan dichtbijzijnde Apple-apparaten, die dat dan weer met elkaar delen zodat de eigenaar van de tag kan zien waar deze is. Handig als je je autosleutels zoekt, of je afvraagt of je tas nog op kantoor staat bijvoorbeeld. Of juist als je wilt weten waar je al dan niet vermeende vriendin (m/v) is, terwijl die dat niet tegen je wil zeggen. Want zo’n ding is vrij klein, dus als  je er niet op bedacht bent dan zie je het ding over het hoofd. Is dat nou strafbaar, zo’n airtag ongewenst bij iemand verstoppen?

De niet-jurist denkt nu waarschijnlijk aan de term stalking, wat in juridische taal aldus is geformuleerd (art. 285b Strafrecht):

Hij, die wederrechtelijk stelselmatig opzettelijk inbreuk maakt op eens anders persoonlijke levenssfeer met het oogmerk die ander te dwingen iets te doen, niet te doen of te dulden dan wel vrees aan te jagen wordt, als schuldig aan belaging, gestraft met een gevangenisstraf van ten hoogste drie jaren of een geldboete van de vierde categorie.
Allereerst moet er dus sprake zijn van iemand te willen dwingen tot iets (of iemand bang te maken). Daar is niet direct aan voldaan als je alleen maar bijhoudt waar iemand is, de vraag is dan ook altijd met welk doel de stalker dat doet. Wil hij die persoon opsporen en ontvoeren, wil hij zogenaamd toevallige ontmoetingen organiseren, of iets anders?

Ten tweede, en hier belangrijker, is de vraag of je stelselmatig (systematisch) inbreuk maakt op iemands privacy. Je verwerkt hier systematisch iemands persoonsgegevens (locatie van een bekend persoon) en weet zo continu waar die persoon is. Daar is dus wel aan voldaan. Een vraag die dan wel bij sommige lezers opkwam, is of het daarbij uitmaakt dat het slachtoffer wéét dat ze wordt gevolgd. Deze discussie hadden we eind 2020 bij structureel stiekem filmen. Het is al langer vaste jurisprudentie dat je iemands privacy kunt schenden door een handeling die pas later uitkomt:

[Het Hof zei dat een] gedraging uitsluitend dan als inbreuk makend op de persoonlijke levenssfeer van een ander kan worden aangemerkt indien die ander ten tijde van die gedraging met die gedraging bekend was en dus niet indien deze nadien op de hoogte is gekomen van die gedraging. Die opvatting vindt evenwel geen steun in het recht en in het bijzonder niet in art. 285 Sr.
Maar waar zit dan de dwang? Die zit hem in het stiekeme karakter. Als jij als stalker je niet laat betrappen, kan ik geen bezwaar maken, je niet wegsturen of ingrijpen.
Het kan immers zijn dat de verdachte, door bewust en gedurende langere tijd heimelijk en onopgemerkt te filmen, heeft willen bewerkstelligen dat die ander zich niet kon verzetten tegen het gefilmd worden en aldus werd gedwongen dat filmen te dulden.
Dwang is het wegnemen van keuzevrijheid bij een ander, zoals een commenter schreef toen. En dat is precies wat hier ook gebeurt, als je bij iemand een AirTag in de tas of achterin de auto doet.

Goed idee dus om het opsporen van die dingen iets makkelijker te maken.

Arnoud

70.000 euro schadevergoeding voor internetstalking, naar Amerikaans recht

stalking-creepy-acceptable.pngDe 31-jarige Amsterdamse Efthimia D. is veroordeeld tot het betalen van een schadevergoeding van 70.000 euro vanwege cyberstalken, meldde Nu.nl een paar weken terug. En nee, Nu.nl snapt het verschil niet tussen boetes en schadevergoeding. Het duurde even maar het vonnis is nu beschikbaar. En de zaak is complexer dan ik dacht: de Nederlandse rechter paste Californisch recht toe om de zaak te kunnen beslissen.

De zaak is een vervolg op een eerdere in Amerika gevoerde procedure. De vrouw plaatste allerlei berichten over de Amerikaanse filmmaker Christopher Johnson en actrice Mariana Tosca op Twitter, Facebook, weblogs en diverse websites. De rechtbank in Los Angeles legde een contactverbod (restraining order) op en bepaalde dat de berichten moesten worden verwijderd. Maar die uitspraak had niet het beoogde effect, omdat de plaatser van de berichten in Nederland verbleef. Update (3 juli 16:19) zie ook de reactie op de feiten door Efthimia in de comments.

Daarop stapten de filmmaker en de actrice met behulp van advocaat Cees Nierop naar de Nederlandse rechter, want die kan wél een effectief vonnis opleggen. Bovendien kan die een dwangsom toevoegen aan een eventueel verbod, zodat je ook daadwerkelijk naleving van het vonnis kunt afdwingen.

Alleen: de publicaties waren in het Engels, bij een Amerikaanse hostingpartij ondergebracht en gericht tegen twee mensen die in Californië wonen. Is de Nederlandse rechter dan wel bevoegd? En naar wiens wetboek moet je dit beoordelen, het onze of het Californische?

Dit zijn twee verschillende vragen, en de Nederlandse rechter komt hier tot twee verschillende antwoorden. Hij is bevoegd want de gedaagde woont hier (kort gezegd) maar hij moet Californisch recht toepassen want het handelen van de gedaagde had daar zijn voornaamste uitwerking.

Inhoudelijk heeft de rechter weinig moeite met Amerikaans recht: ze hebben daar ook defamation, dat is Engels voor smaad, en wat ik hier lees kan gewoon écht niet, dus dat is defamation, als ik het even kort door de bocht mag samenvatten. Nou snap ik dat volledig gezien de uitingen, maar in de VS werkt defamation net even anders dan bij ons smaad: een waarheid is nooit smaad, ongeacht hoe erg deze je reputatie aantast en ongeacht hoe relevant de opmerking is voor het publieke debat vandaag de dag. Niet dat ik daarmee de uitingen legaal acht, want er zat veel meer tussen dan alleen roddels over oude feitjes (wat bij ons al genoeg kan zijn voor smaad overigens, een oude koe oprakelen kan smaad zijn). Maar het is wel een belangrijk verschil tussen ons en hun rechtssysteem.

Dat de rechtbank in LA de uitspraken ook verboden heeft, toont dan weer wel aan dat uiteindelijk de rechter hier wel goed zat. En hij pakt meteen door: het negeren van een TRO levert stalking op, en dat is een strafbaar feit in Californië. En gezien de aard van de feiten vindt de Nederlandse rechter het dan ook gepast om zelf ook een verbod op te gaan leggen.

Het contactverbod is breed, en omvat naast een echt contactverbod ook een publicatieverbod:

onder eigen naam, een andere naam, anoniem of via anderen berichten via tekst in het algemeen, foto’s, video’s, geluidsfragmenten, podcasten of op welke wijze dan ook op het internet te plaatsen over eisers, familie en vrienden van eisers, zakenpartners van eisers, bedrijven van eisers danwel bedrijven waar zij werkzaam zijn

In Nederland zou de rechter normaal erg terughoudend zijn met zo’n generiek verhaal, omdat het raakt aan de vrijheid van meningsuiting. Het liefst verbiedt de rechter alleen de specifieke uitingen (“of verhalen van gelijke strekking”) maar niet “ieder bericht over eiser”. Maar dit was zo’n extreem geval met een stroom aan smadelijke uitingen dat ik het totaalverbod ook naar Nederlands recht wel zou kunnen snappen. En in de VS kan dit ook, ondanks de zeer ruime free speech-wetgeving.

Opmerkelijk is nog dat de rechter “punitieve schade” toewijst, althans een voorschot daarop. Punitive damages zijn een typisch Amerikaans fenomeen. Het is een soort van civiele boete, we vinden wat je deed zó erg dat we naast de echte schade er nog wat bovenop doen, gewoon omdat het kan en in de hoop dat het pijn doet nu. Dat kennen wij niet. Alleen de werkelijke schade (met bonnetjes bewezen) komt in aanmerking voor vergoeding. Maar omdat hier Amerikaans recht wordt toegepast, is het wel mogelijk om punitieve schadevergoeding op te leggen.

Arnoud<br/> Afbeelding: endlessorigami.blogspot.com

Overtreed je een contactverbod door iemands blog te lezen?

blog-ip-adres.pngAls je een contactverbod hebt, mag je iemands blog dan nog wel lezen? Nee, ik heb geen contactverbod en ook geen stalker maar die vraag kwam ik tegen in een vonnis over een executiegeschil. Die term klinkt in dit verband trouwens enger dan ie is: de vraag was of men dwangsommen kon opeisen wegens overtreding van het contactverbod.

Wat er precies is gebeurd, is niet te achterhalen, maar in oktober 2011 heeft de rechtbank Arnhem een persoon verboden om zich op te houden in een bepaald gebied of om een ander persoon te contacteren. Volgens die andere persoon was dat verbod overtreden, waarop een deurwaarder duizend euro aan dwangsommen kwam incasseren. Daarop stapte de ene persoon naar de rechter (zodat we hem nu, iets minder verwarrend, “eiser” kunnen noemen) om die andere persoon (gedaagde) dit recht te ontzeggen.

Kern van het geschil was of dit verbod overtreden was. Ik citeer het letterlijk, omdat executiegeschillen altijd gaan over wat er exact staat en hoe je dat precies mag uitleggen.

[De rechtbank] verbiedt [eiser] gedurende zes maanden na betekening van dit vonnis [gedaagde] aan te spreken, hetzij direct, hetzij telefonisch, dan wel door middel van sms-berichten en om berichten over [gedaagde] te verspreiden via twitter, e-mail, dan wel anderszins op internet te zetten.

De rechter in het executiegeschil mag niet toetsen of het verbod terecht is (daar is hoger beroep voor) maar moet onderzoeken of het geschonden is, gezien het doel en de strekking van het verbod.

Er waren twee zaken gebeurd: 1) de gedaagde had een mail van de eiser ontvangen, en 2) de gedaagde had een bezoek aan zijn of haar blog geregistreerd door de eiser.

Eerst maar de mail. Er staat inderdaad “e-mail” in het verbod, maar als je goed leest dan staat er “om berichten over gedaagde te verspreiden via e-mail”. Dus verspreiden oftewel derden lastigvallen met die berichten. En de gedaagde zélf lastigvallen is niet hetzelfde. Daarmee is het verbod niet overtreden.

Je zou denken, is e-mail niet een vorm van “aanspreken” maar daar maakt de rechter geen woorden aan vuil. Of wellicht las hij de “hetzij” bij die bijzin als een beperkende opsomming: het is verboden gedaagde aan te spreken, als daarbij één van deze middelen wordt gebruikt. Een telegram zou dus nog wel mogen, net als e-mail.

Idem voor de blog. Er staat niets over blogs, en het bezoeken van een blog is op zich geen “aanspreken”. Een reactie plaatsen ook niet, maar dat kun je wel onder “berichten over gedaagde op internet zetten” scharen lijkt me. Alleen was dat niet gebeurd.

Arnoud

Het verdwenen vonnis over cyberstalking

Intrigerend. Via SOLV vond ik een vonnis over stalking via internet, waarbij de dader onder andere een website en Hyve had aangemaakt met de naam en foto van zijn slachtoffer. Perfect dus voor een blogpost, maar toen ik het vonnis wilde lezen, kreeg ik slechts: Deze uitspraak is ingetrokken door de centrale redactie.

Nu zag ik in de bespreking bij Solv de nodige namen en andere persoonlijke details genoemd. Vonnissen op rechtspraak.nl worden altijd geanonimiseerd, maar in dit geval was dat niet gebeurd. Alleen zou ik dan verwachten dat men het vonnis alsnog snel anonimiseert in plaats van het geheel weg te laten.

Mogelijkerwijs besloot de redactie dat de privacy van de slachtoffers dusdanig zwaar woog dat het hele vonnis maar offline moest. Jammer, maar begrijpelijk. Want het is toch een intrigerende uitspraak als je leest:

In het licht van bovenstaand, verbiedt de rechter [gedaagde] onder meer om zich in woord en/of geschrift, of dat nu via internet, weblog, e-mail, sms, krant, persoonlijke schrijvens en circulaires of anderszins is, uit te laten omtrent [eisers] of zijn relatie met (één van) hen of zijn gevoelens jegens één van hen.

(anonimisering door mij)

Arnoud

“Stalking via mobiel niet minder ernstig dan fysieke stalking”

Niet echt internetrecht, maar er wel vlak langs. In een recent vonnis over belaging (“stalking”) las ik de volgende opmerking:

De rechtbank merkt hierbij nog op dat zij niet gevoelig is voor het argument van de raadsman dat belaging via de mobiele telefoon als minder ernstig dient te worden aangemerkt dan belaging middels bijvoorbeeld het voortdurend voor het huis van de belaagde langsrijden.

Het lijkt mij dat dat voor belaging via Internet net zo goed op moet gaan. Belaging is strafbaar (art. 285b Strafrecht) als stelselmatig opzettelijk inbreuk maken op eens anders persoonlijke levenssfeer om die ander ergens toe te dwingen. Zo’n inbreuk kan net zo goed per e-mail als per telefoon plaatsvinden.

Arnoud

Hoe bewijs je of er met bewijs op een PC geknoeid is?

In een zaak over cyberbelaging uit december vorig jaar werd de verdachte verweten dat ze zeer lasterlijke e-mailberichten, zogenaamd afkomstig van het slachtoffer, had verstuurd naar diens vrienden en kennissen. Bovendien waren er op allerlei onfrisse seks- en SM-sites contactadvertenties geplaatst -met foto.

Eén van de verweren was dat het toch mogelijk was dat de PC van de verdachte gehackt was door een onbekende derde. Die had zo het bewijs (de logs, de verzonden e-mails, bezochte webpagina’s etcetera) kunnen aanpassen of zelfs in zijn geheel kunnen vervalsen.

Hoe bewijs je dat nu? Je vraagt het een deskundige.

[De technisch rechercheur] heeft ter terechtzitting in hoger beroep op 7 november 2006 verklaard bij het technische onderzoek geen sporen van hacken te zijn tegengekomen. Gezien het aantal en de verschillende data van de op de pc’s aangetroffen webmailpagina’s is het volgens hem onwaarschijnlijk dat die berichten in één handeling van buitenaf op deze pc’s zijn geplaatst. Ook verklaart hij op de pc’s geen programma’s te zijn tegengekomen die van buitenaf toegang tot de desbetreffende pc verschaffen.
Tegen het feit dat [een tweede deskundige] ter terechtzitting in hoger beroep, sprekend over de theoretische mogelijkheid dat hem sporen van hacking zouden zijn ontgaan, heeft opgemerkt dat hacken niet uit te sluiten is, weegt op dat hij voor het feit dat dat zou zijn gebeurd (te weten dat die computers wèl gehackt zouden kunnen zijn geweest) geen enkele aanwijzing heeft gevonden en dat de aangetroffen sporen op de computers dermate in elkaar grijpen en interne consistentie vertonen dat het onwaarschijnlijk is dat de sporen anders dan door normaal gebruik van de computers – en dus niet door manipulatie van buitenaf – op die computers terecht zijn gekomen.

Oftewel, theoretisch gezien kan niet met absolute zekerheid worden uitgesloten dat “hacking” heeft plaatsgevonden. Maar gezien deze feiten is de kans dat ook echt gebeurd is, dermate klein dat deze verwaarloosd mag worden. Het gaat bij het recht nooit om absolute zekerheid, dat zou ook niet kunnen.

Arnoud