Is het toegestaan iemands stem na te doen met een AI zoals Vall-E?

Een lezer vroeg me:

Recent presenteerde Microsoft een nieuw AI-model, genaamd Vall-E. Dit text-to-speechmodel kan gesproken zinnen in vrijwel ieder stemgeluid genereren na een sample van drie seconden gehoord te hebben. Het AI-model kan daarbij ook intonatie en emotie nabootsen. Is dat strafbaar, als ik het train op iemands stem en die dan van alles laat zeggen?
Er is geen stem-equivalent van het portretrecht, dat je een (soort van) algemene zeggenschap over je beeltenis geeft. De positie van de stem in het portretrecht is al lang onderwerp van discussie. Niet met AI, maar gewoon met stem-imitatoren (zoals Gert-Jan Dröge en koningin Beatrix overkwam). De rechtspraak is daar altijd hard in geweest: dat is géén portret, geen afbeelding van die persoon. Laatstelijk nog in 2020, toen een vrouw probeerde zich te verzetten tegen gebruik van een audiofragment van haar stem.

Dat vonnis maakte wél duidelijk dat een stemgeluid een biometrische persoonsgegeven kan zijn onder de AVG. De definitie (artikel 4 lid 4 AVG) noemt als voorbeelden wel “gezichtsafbeeldingen of vingerafdrukgegevens” maar ik zie geen bezwaar tegen een herkenbare uitspraak van iemand op een lijn te zetten met een portretfoto of vingerafdruk. De Franse toezichthouder ziet dit ook zo.

Natuurlijk moet het stemgeluid wel herleidbaar zijn, de persoon er achter moet te identificeren zijn. Dat is bij een willekeurig stukje geluid opgenomen in een winkelstraat erg lastig. Maar bij zo’n online geluid dat uit een AI komt is dit een stuk makkelijker – de publicist van het geluid zet erbij wiens stem het is. Ja oké, hij liegt, maar een leugenachtig informatie-element over een persoon is net zo goed een persoonsgegeven.

Een onjuist (want leugens bevattend) persoonsgegeven zou te corrigeren of te verwijderen moeten zijn, wat je dus zeggenschap zou geven over zo’n stemopname. Die vrouw uit 2020 had echter pech, omdat bij haar de opname gebruikt werd in een theaterprogramma, en dat is een verwerking voor artistieke doeleinden. Die zijn net als journalistieke verwerkingen niet vatbaar voor het recht van correctie of verwijdering.

Het is goed mogelijk dat zo’n AI-stem ook daarvoor wordt gebruikt: laat Mark Rutte wat geks zeggen (u mag zich oud voelen: Tuut tuut tuut, de groeten van …?) of leg Max Schrems wat positiefs over Privacy Shield in de mond en noem het parodie. Als de stem wordt gebruikt om iemand voor gek te zetten zonder enige literaire of artistieke rechtvaardiging, dan is dat wél met de AVG aan te pakken.

Strafbaar is het niet, iemands stem imiteren. Daar kom je pas als je met die imitatie (al dan niet met AI) een strafbaar feit construeert, zoals die persoon zijn reputatie beschadigen of valse bekentenis afleggen (smaad) of de uitspraak gebruiken om fraude te plegen (de directeur imiteren die een frauduleuze betaalopdracht geeft).

Arnoud

 

Nederlandse politie arresteert man om maken van deepfakeporno van BN’er

De politie heeft onlangs een 38-jarige Amersfoortse man opgepakt omdat hij een deepfakeporno zou hebben gemaakt van de NPO-presentatrice Welmoed Sijtsma. Dat meldde Tweakers vorige week. De journalist en presentatrice van Goedemorgen Nederland en Op1 maakte er voor omroep WNL een vierdelige docuserie van, Welmoed en de seksfakes. Tijdens het maken van de docuserie is ook de maker van haar nep-filmpje opgespoord, die na verhoor weer is vrijgelaten. Dat roept de vraag op of en hoe deze man strafbaar is.

Een deepfake is een techniek voor het samenstellen van videobeelden met machine learning, meer specifiek een generatief antagonistennetwerk of generative adversarial network (GAN). Heel simpel uitgelegd bestaat een GAN uit twee AI systemen, de een genereert plaatjes en de ander probeert te zien of die gegenereerd zijn. Pas als die laatste ze niet herkent, zijn ze af. Maar los van de technische details, de omschrijving uit het AD “Mijn hoofd is op het lichaam van een pornoactrice gemonteerd.” laat prima zien waar het om gaat. Er zijn immers genoeg andere manieren om dit resultaat te bereiken, ze zijn alleen duurder of arbeidsintensiever dan een GAN.

Is dat strafbaar? Ja. Sinds een paar jaar hebben we een nieuw wetsartikel over onvrijwillige porno, namelijk art. 139h Strafrecht:

Met gevangenisstraf van ten hoogste een jaar of geldboete van de vierde categorie wordt gestraft: a.hij die opzettelijk en wederrechtelijk van een persoon een afbeelding van seksuele aard vervaardigt; b. hij die de beschikking heeft over een afbeelding als bedoeld onder a terwijl hij weet of redelijkerwijs moet vermoeden dat deze door of als gevolg van een onder a strafbaar gestelde handeling is verkregen.
Dit artikel is ingevoerd vanuit de wens om ‘wraakporno’ te bestrijden, zeg maar stiekem je partner filmen tijdens seks en dat publiceren om haar (het is vrijwel altijd een haar) pijn te doen of te vernederen. Maar ik zie geen reden waarom een GAN-gegenereerd beeld hier niet onder zou vallen.

De discussie gaat dan namelijk over de vraag of het een ‘afbeelding’ is. Dat lijkt mij wel: die persoon is herkenbaar in beeld, dat is het hele punt van de deepfake. Dat er geen beeldbewerking is gebruikt en dat je het portret wellicht niet zelf hebt gemaakt, is dan geen argument.

Ditzelfde woord ‘afbeelding’ staat namelijk in het wetsartikel dat kindermisbruikafbeeldingen (csam) strafbaar stelt. Daarbij is door de minister gezegd:

Voorts is sprake van vervaardigen van kinderporno als bijvoorbeeld een verdachte foto’s van kinderhoofdjes op pornografische foto’s van volwassenen plakt, realistische tekeningen of computeranimaties maakt, maar ook als (heimelijk) beeldmateriaal gemaakt wordt van (naakt) spelende kinderen, met een kenbaar seksuele strekking.
In het strafrecht betekenen dezelfde woorden dezelfde dingen. Als dus ‘afbeelding’ in 139h staat, dan geldt die uitleg van de minister ook voor artikel 139h. Dus is een “realistische tekening of computeranimatie” een vorm van “afbeelding”, en je kunt van een deepfake veel zeggen maar “tekening of animatie” dekt de lading prima. En dat de afbeelding een tekening is, is geen bezwaar om het een portret van iemand te noemen, zie het strafbareportretrecht (art. 31 Auteurswet). Ik zie dus het probleem niet.

Werkte ik bij de politie dan was ik een minderheid, want in NRC schrijft onderzoeker Marthe Goudsmit:

De huidige wettekst biedt wel ruimte voor een interpretatie waarbij deepfakes ook strafbaar zijn, maar is daar niet duidelijk over. Daardoor komt een slachtoffer dat aangifte wil doen in een soort lekkende pijpleiding terecht: allereerst zal de politie moeten inschatten dat pornografische deepfakes onder de huidige strafwet vallen. Als de politie denkt van niet, kan geen aangifte worden gedaan. Als de politie de aangifte echter wel opneemt, is voor vervolging nodig dat er een officier van justitie is die er brood in ziet. Als dat dan ook het geval is, zal uiteindelijk de rechter moeten bepalen of in art. 139h Sr met ‘beeldmateriaal’ ook nepfoto’s bedoeld worden. In het beste geval zegt de rechter ‘ja’. Maar de rechter kan ook ‘nee’ zeggen, en dan heeft Nederland geen wet die pornografische deepfakes strafbaar stelt.
De huidige richtlijnen van het OM gaan inderdaad niet in op het aspect “is een foto van werkelijk gebeurde seks” versus “een hoofd is op andermans lijf geplakt”. Ik vermoed omdat de aandacht twee jaar geleden vooral ging over dat eerste, deepfakes bestonden wel maar waren nog geen maatschappelijk fenomeen. Dat is wel een héél frustrerende opstelling.

Persoonlijk zou ik bij zo’n onduidelijkheid juist zeggen, forceer een uitspraak. Hoe dan ook is duidelijkheid beter dan gedraai en “mja wie weet”, toch?

Arnoud

Is het strafbaar om je kwetsbare router uit 2016 te blijven gebruiken?

Een lezer vroeg me:

Naar aanleiding van de recente besmetting van oudere D-Link routers vroeg ik me af: is het blijven gebruiken van een besmet apparaat, waarmee bijvoorbeeld ddos-aanvallen worden uitgevoerd waar de eigenaar geen last van heeft, strafbaar? Ben je verplicht om bij een vastgestelde besmetting actie te ondernemen?
Die oudere D-Link routers blijken kwetsbaar voor de Mirai-botnetsoftware, en omdat hiervoor geen updates meer beschikbaar komen (al sinds 2016) is het een kwestie van tijd totdat ze besmet raken. Er is dus weinig aan te doen behalve je router vervangen, en dat is een lastige want voor de consument-gebruiker lijkt het ding nog prima te werken.

Er is althans op papier een mogelijkheid om het strafbaar te noemen dat je met zo’n apparaat door blijft werken. Art. 350b Strafrecht bepaalt namelijk in lid 2:

Hij aan wiens schuld te wijten is dat gegevens wederrechtelijk ter beschikking gesteld of verspreid worden die zijn bestemd om schade aan te richten in een geautomatiseerd werk, wordt gestraft met gevangenisstraf of hechtenis van ten hoogste een maand of geldboete van de tweede categorie.
Malware zoals Mirai verspreidt zichzelf en heeft als doel schade aan te richten (door ddos-aanvallen, waar die router dan aan meedoet), dus dat valt onder het begrip ‘gegevens’ uit dit wetsartikel. De vraag is dan dus: heb je juridisch gezien “schuld” aan dat verspreiden als je een niet meer te updaten router aan laat staan, wetende dat Mirai actief zoekt naar (onder meer) dit type apparaat?

De term “schuld” is een trapje lager dan “opzet” (met daartussen de “voorwaardelijke opzet”). Kort door de bocht is de vraag of je dit risico redelijkerwijs had kunnen voorzien en het desondanks voor lief hebt genomen. Weet een gemiddeld gebruiker dat zijn D-Link router niet meer wordt bijgewerkt sinds 2016?

Daar komt bij: wat kon je redelijkerwijs doen om het gevaar af te wenden? De enige optie lijkt te zijn, de router vervangen. Voor 50 euro heb je al een prima router voor thuis, maar ik geef toe dat lang niet iedereen zo even 50 euro over heeft voor een nieuw apparaatje (dat is een modaal weekbudget boodschappen) als de oude het nog doet, nog los van de tijd (en ict-kennis) om zo je netwerk opnieuw in te richten.

En dat moet je dan tegenover de impact stellen: het is niet zo dat jóuw router wereldwijd enorme schade aanricht, je bent een klein deeltje van een enorm netwerk. Cynisch gezegd maakt het dan weinig uit dat enkel en specifiek jij je router vervangt, die aanval komt er toch wel want de totale massa aan geïnfecteerde systemen is enorm. Maatschappelijk is het gewenst dat iedereen die apparaten vervangt, maar daar is dus geen juridische prikkel voor.

Arnoud

Minister stuurt wetsvoorstel dat doxing strafbaar moet maken naar Tweede Kamer

De Nederlandse minister van Justitie en Veiligheid Dilan Ye?ilgöz-Zegerius heeft een wetsvoorstel dat doxing strafbaar moet stellen, naar de Tweede Kamer gestuurd. Dat meldde Tweakers vorige week. Doxing is de wat merkwaardige internetterm voor “iemands identiteit achterhalen”, waarbij het eigenlijk altijd gaat, zoals het wetsvoorstel zegt, om het gebruik van persoonsgegevens voor intimiderende doeleinden. De maximale straf moet een jaar cel of 9000 euro boete worden.

Het wetsvoorstel is breed geformuleerd maar focust nadrukkelijk op – wat Grapperhaus al zei – het onthullen van identiteit of woonadres van politie of andere ambtenaren:

Degene die zich persoonsgegevens van een ander of een derde verschaft, deze gegevens verspreidt of anderszins ter beschikking stelt met het oogmerk om die ander vrees aan te jagen dan wel aan te laten jagen, ernstige overlast aan te doen dan wel aan te laten doen of hem in de uitoefening van zijn ambt of beroep ernstig te hinderen dan wel ernstig te laten hinderen, wordt gestraft met gevangenisstraf van ten hoogste een jaar of geldboete van de derde categorie.
Het Tweakers-artikel meldt “Niet alleen daders vallen onder de wet. In het voorstel wordt ook gesproken over faciliterende partijen zoals internetplatforms. ” Maar voor de duidelijkheid: er is geen aparte nieuwe strafbaarstelling of medewerkplicht voor zulke partijen. Het mechanisme is gewoon notice-takedown, immers als een klant iets evident strafbaars doet en de provider wordt daarvan op de hoogte gesteld, dan moet deze dat bericht offline halen of blokkeren. En nu doxing dus strafbaar wordt, dienen providers ook daarbij in te grijpen.

Wel nog belangrijk is dat voorlopige hechtenis mogelijk is bij verdenking van dit misdrijf, het komt op de lijst van artikel 67 Strafvordering. Dat heeft meer effecten, zoals dat huiszoeking mogelijk is (art. 55a Sv) en vingerafdrukken mogen worden afgenomen (art. 55c). Ook is pseudokoop of -dienstverlening mogelijk (art. 126i), wat handig kan zijn als de verdachte in het openbaar alleen zegt dat hij de gegevens heeft maar ze alleen op individueel verzoek verstrekt. Dan kan een undercoveragent ze kopen, iets dat normaal lastig kan liggen vanwege uitlokking.

Natuurlijk blijven er bewijsproblemen, zoals dat oogmerk: als iemand een adres online zet met alleen knipogende smileys of “wie stuurt er een bloemetje”, kun je daar dan uit afleiden dat het gaat om vrees aanjagen of overlast aandoen? Dat is geen nieuw probleem in het strafrecht, hoe je een oogmerk bewijst.

Wat in ieder geval niet van belang is, is of de gegevens al ergens in het openbaar staan. Waar het om gaat, is of de verdachte ze publiceert met dat oogmerk van vrees aanjagen. Dat kan net zo goed als je de gegevens van de KVK ophaalt of uit een door het slachtoffer zelf gepubliceerd document, of voor mijn part het online telefoonboek.

En als laatste: ik lees her en der dat mensen de straf nogal laag vinden als maximum. Dat snap ik, maar realiseer je dat dit bedoeld is voor een situatie waarin alleen een publicatie met dreigend oogmerk te vinden is. Als er meer gebeurt, zoals dat mensen daadwerkelijk langsgaan, dan kun je het ook spelen via medeplichtigheid aan opruiing of bedreiging. En de opsporingsmiddelen in kunnen zetten is denk ik het werkelijke voordeel voor Justitie: de kans is groot dat er meer te vinden is als je langsgaat.

Arnoud

Onder welk recht vallen misdrijven in de Metaverse eigenlijk?

Via Twitter:

als je straks in het #Metaverse van Facebook een misdrijf begaat, onder welke wetten valt dat dan?
Ik zou zelf de Metaverse zeggen, maar dat terzijde. De vraag is natuurlijk relevant omdat de Metaverse een nieuwe manier is om via internet te interacteren en dingen te doen. Dat kunnen ook strafbare dingen zijn, en omdat de Metaverse nadrukkelijk wordt vormgegeven als een driedimensionale virtuele wereld, ontstaat dan het beeld van een ‘nieuw’ land, een nieuwe wereld. Hoe past dat bij oude wetten?

“Governments of the Industrial World, you weary giants of flesh and steel, I come from Cyberspace, the new home of Mind”, aldus ooit John Perry Barlow, die al in 1996 voorzag dat internet breed gezien zou worden als een nieuwe wereld. Helaas voor hem trok niemand zich wat aan van deze onafhankelijkheidsverklaring-1.0.html, met name niet als het gaat om strafrecht: landen, hoe vermoeid of ouderwets ook, zien het kunnen reguleren van hun burgers en hun grondgebied als een kerntaak waar andere mensen van af moeten blijven.

Het korte antwoord is dan ook: De wetten van de landen waar je handelingen criminele impact hebben. Dit is niet uniek, bij Web 1.0 en 2.0 ook al zo. Er is immers geen wereldstrafhof.

Het iets langere antwoord: omdat wetgeving het concept van virtuele werelden niet erkent, althans niet in de zin van “niet ons terrein, vriend”, moet je bij het bepalen van jurisdictie dus daar doorheen prikken. Wat gebeurt er juridisch gezien, en wáár gebeurt dat? Slaat iemand ergens data op, wordt er een bericht verstuurd of ontvangen, ondervindt er iemand schade en zo ja waar zit die iemand?

Onbevredigend is dat wel. Als je in het Metaverse actief bent, dan wil je eigenlijk niet weten in welk fysiek land je handelen zich nu afspeelt, zeker niet als landen rare dingen gaan doen als “de server staat bij ons” of “iemand die hier woont, kan het lezen”. Maar toch werkt het zo. En dat kan dus betekenen dat je de strafwetgeving van meerdere landen tegelijk moet respecteren, ook van landen waar je nooit gehoord hebt. Als Meta vanwege fiscale redenen een belangrijk deel van de dienst in een belastingparadijs als Nederland parkeert, dan valt iedereen onder Nederlands recht. En tegelijk misschien ook wel onder dat van Thailand, als die wereldwijde verboden hebben op het beledigen van hun staatshoofd.

Daar staat tegenover dat het meestal “alleen maar” om uitingsdelicten gaat. Smaad, laster, aanzetten tot haat, dat werk. Bij strafrecht denken we eerder aan moord en vernieling, maar in de Metaverse vind ik het moeilijk voor te stellen hoe je iemand zou vermoorden. Het kan zeer interessante en unieke lectuur (<- lees dit) opleveren, maar je komt echt niet in het terrein van het strafrecht. Hooguit bij virtuele diefstal, waar Nederland relatief unieke jurisprudentie over heeft.

Arnoud

Eh nee, F12 indrukken bij een website is geen criminele handeling

(Geen zorgen, nog een keer F12 en je scherm is weer normaal.) Het ziet er misschien heel imponerend uit, maar dit is gewoon het onderwaterscherm waarmee je onder meer de broncode van de huidige site in beeld krijgt. Dan kun je soms net iets meer informatie zien. Zoals recent journalist Josh Renaud uit Missouri ontdekte: de social security nummers van tienduizend docenten uit de staat. Mag dat? Nee, dat is crimineel, aldus gouverneur Mike Parson. Moehaha kom nou, aldus de hele wereld.

Het bronbericht geeft een 451 error (lawyer says no) vanuit Europa, maar het betrof een zoekfunctie voor docenten, waarbij de zoekresultaten werden meegegeven aan de resultaatpagina inclusief hun social security number, zeg maar hun bsn. Bij het programmeren van de site bedacht iemand toen dat dat niet echt handig is om te publiceren, dus werd het verborgen in de uitvoer. Maar het stond dus nog gewoon in de broncode, en die krijg je te zien met een druk op de knop.

Een datalek, zouden wij in Europa zeggen. Een beperkte security. Want als die data niet zichtbaar hoeft te zijn in resultaten, dan hoeft deze ook niet mee naar de webpagina om daar vervolgens buiten beeld te blijven. Dan houd je dat gewoon lekker op de server. Afijn, de melding werd opgepakt, de fout werd hersteld, daarna pas publiceerde men, weinig bijzonders.

Bijzonder was wel de reactie van de gouverneur, want in de vertaalslag omhoog naar het politieke ging iets mis. “Onze server stuurde bsn’s mee en dat kon iedereen zien die op F12 drukt” werd namelijk dit:

Through a multi-step process, an individual took the records of at least three educators, decoded the HTML source code, and viewed the SSN of those specific educators.
Die meer dan drie klopt (het waren er 100.000), de rest is laten we zeggen een ietwat complexe voorstelling van zaken. Die multi-step is namelijk dat je een zoekopdracht doet, de resultaatpagina krijgt, F12 drukt en in de broncode scrollt tot je “ssn” ziet. “Decoding the HTML source code” is, eh, zeggen dat je langs <tags> kunt lezen?

En dan gaat men nog verder:

A hacker is someone who gains unauthorized access to information or content. This individual did not have permission to do what they did. They had no authorization to convert and decode the code.
Het punt is alleen dus dat de code in kwestie is wat er naar je computer wordt gestuurd, en dat deze voor mensen leesbaar is. Of nou ja, leesbaar:
<div class=”text”><h1><a reF=”https://blog.iusmentis.com”>Internetrecht door Arnoud Engelfriet</a></h1> <p>Arnoud Engelfriet is ICT-jurist, gespecialiseerd in internetrecht.Hij werkt als partner bij juridisch adviesbureau <a Href=”http://ictrecht.nl” rel=”external” target=”_blank”>ICTRecht</a>. Zijn site <a hRef=”http://www.iusmentis.com/”>Ius mentis</a> heeft meer dan 350 artikelen over internetrecht.</p></div>
Ik wil niet zeggen dat dit metéén net zo helder is als een gemiddeld juridisch contract, maar om dit nu een “code” te noemen die je moet “ontcijferen” gaat wel erg ver. Maar hoe dan ook is het absurd om te zeggen dat hier sprake is van “toegang zonder toestemming”, dit is gewoon wat de server je geeft en het is juist je browser die er wat moois van maakt.

En natuurlijk, voor computercriminaliteit is niet perse nodig dat je een moeilijke technische truc uithaalt. Zodra je ergens bent waarvan je weet dat je er niet mag zijn, ben je eigenlijk al in overtreding. Vandaar die discussie over URL-manipulatie, het aanpassen van een URL om te gokken dat je elders nog informatie kunt vinden waarvan je zo snel niet de navigatie erheen kunt bepalen. Maar hoe je het ook bekijkt, zelf een URL aanpassen om te raden wat elders staat, is complexer dan bekijken welke HTML broncode een site naar je stuurde.

Arnoud

 

 

Mag een zoekmachine het World-Wide Web scannen op securitykwetsbaarheden?

Een lezer vroeg me:

Ik las dat in augustus tijdens de Defcon-hackerconferentie de zoekmachine Punkspider opnieuw gelanceerd zal worden. Deze zal dan dagelijks miljoenen websites op kwetsbaarheden scannen. De resultaten zijn vervolgens via de zoekmachine te vinden, wat volgens de ontwikkelaars voor een veiliger web moet zorgen. Hoe is dat in vredesnaam legaal, laat staan ethisch verantwoord?
Het voelt inderdaad een tikje raar als je het zo leest: dan kun je dus als crimineel-in-spe even naar die zoekmachine om te kijken welke sites eenvoudig kwetsbaar zijn. Zal ik ook maar de “goedkope voordeurslotenspider” beginnen, keyPunk.darkweb?

Of het legaal is, komt echter neer op de vraag wat Punkspider precies doet met hun doorzoekactie. Het leest als een vorm van portscannen, men toetst op bekende kwetsbaarheden zoals SQL injectie of cross-site scripting.

Zo te lezen publiceert men niet in detail welke kwetsbaarheid gevonden is, alleen grofweg “deze site is kwetsbaar voor gegevensdiefstal vanwege SQL injectie, laat hier niets achter alsjeblieft”. (Ik zag al de categorie “dumpster fire” dus ik hoop dat de boodschap overal in zulke duidelijke taal gecommuniceerd wordt.)

Portscannen en onderzoeken naar kwetsbaarheden is strafbaar wanneer je het doet met de bedoeling (het “oogmerk”, juridisch gezegd) om daarna computervredebreuk te plegen, of om anderen aan te zetten dat te doen. De Punkspider-eigenaren zijn dat zeker niet zelf van plan, zij publiceren immers deze rapporten juist zodat brakke sites de beoel eindelijk eens repareren en er dus géén computervredebreuk gaat plaatsvinden.

Blijft dus over, zetten zij criminelen aan tot misbruik van de gevonden kwetsbaarheden? Dat lijkt me op het eerste gezicht niet het geval. Ik zie dus niet meteen het strafbare aan deze zoekmachine, tenzij blijkt dat men het wel héél eenvoudig maakt om met een gegeven exploit direct een inbraak uit te voeren. Daarvoor moeten we de definitieve publicatie afwachten, maar het lijkt me sterk.

Arnoud

Politie overtreedt opnieuw regels voor inzet hackingtools

De politie heeft zich opnieuw niet aan de regels gehouden bij het inzetten van hackingtools. Dat las ik bij Tweakers, dat zich baseert op een rapport van de Inspectie Justitie en Veiligheid. In dit rapport concludeert de inspectie dat de politie zich niet hield aan de gestelde voorwaarden houdt voor het inzetten van hacking tools. De politie is in 2020 vier keer een apparaat binnengedrongen waar geen goedkeuring voor werd verleend. Wat de vraag opriep, wat zou er gebeuren met die agenten die dat deden? Zijn die zelf strafbaar?

Nou ja, vrij weinig eigenlijk. Zoals in de comments ook al gezegd wordt, het gaat hier om ambtenaren die een overheidstaak uitvoeren. De Hoge Raad bepaalde in de zogeheten Pikmeer-arresten dat publiekrechtelijke rechtspersonen niet vervolgd kunnen worden als het de uitvoering betreft van een specifieke overheidstaak. Dat betekent ook dat individuele ambtenaren die zo’n taak uitvoeren, daarvan gevrijwaard blijven.

Een “specifieke overheidstaak” is kort gezegd een taak die niet geprivatiseerd kan worden, iets dat de overheid niet ook een burger kan laten doen. Bij die laatste categorie taken kan de ambtenaar die het doet dus wél vervolgd worden als de uitvoering strafbare feiten oplevert. En we hebben het hier natuurlijk over het opsporen van strafbare feiten of het zogeheten “terughacken”, oftewel inbreken bij derden in de hoop daders, bewijs of controle over softwarediensten te pakken te krijgen. Dat is echt een unieke politietaak. Ja, ik weet dat je ook hackers kunt inhuren maar die verrichten dan geen opsporingstaken.

Natuurlijk heeft zo’n situatie wel gevolgen voor de strafzaak waarbij zo gehandeld blijkt. Dergelijk bewijs zal al snel uitgesloten worden, juist omdat de politie zich aan bepaalde regels moet houden bij opsporing. En omdat vaak de zaak sterk wordt opgehangen aan zulk bewijs, is de zaak daarmee vrij snel ‘stuk’.

Wat ik zelf ernstiger vindt, uit het rapport:

Evenals in 2019 gebruikte zij commerciële software, nu zelfs in het merendeel van de zaken. De leverancier hiervan heeft toegang tot deze software en de hiermee verkregen gegevens.
Ik snap best dat je als politie je tools inkoopt, je maakt ook niet zelf dienstwagens of pistolen. Maar dat de leverancier bij de gegevens kan, de telemetrie of logs neem ik aan, dat is voor mij te bizar voor woorden?

Arnoud

Aangifte tegen studenten om racistische plaatjes in appgroepen

Studenten van de Erasmus Universiteit en de Hogeschool van Rotterdam hebben seksistische, racistische, antisemitische beelden en porno gedeeld in besloten appgroepen. Dat meldde de Telegraaf onlangs. De universiteit en de hogeschool gaan daarom aangifte doen, en mogelijk ook eigen maatregelen (zoals schorsing) nemen. In appgroepen werden heftige beelden gedeeld onder het mom van ‘grappig’ en ‘meme’, waarbij het dan zou gaan om besloten groepen maar sommigen telden 200 mensen en lieten iedereen toe. Lang niet iedereen die in die groepen zat, had daar behoefte aan, vandaar dat de universiteit nu stappen onderneemt. Maar hoe besloten is zo’n groep eigenlijk, en is het strafbaar om in een besloten groep dergelijk materiaal te delen?

Het argument dat een whatsappgroep (of Telegramgroep of Signalgroep of whatever) besloten is en dus buiten de wet valt, hoor ik vaker. Dat is echter maar zelden een argument. Bij bijvoorbeeld belediging is het totaal niet relevant of dit plaatsvond in het openbaar dan wel in een besloten groep. Als de beledigde ook in de besloten groep zit, is het gewoon strafbaar. Bij smaad is het ongeveer hetzelfde; daar gaat het erom of de bedoeling was dat de smadelijke bewering in brede kring terecht kón komen (“met het kennelijke doel daar ruchtbaarheid aan te geven”). Dat nu drie mensen het horen, is dus niet relevant.

Er zijn wel delicten waar de openbaarheid uitmaakt. Bij bijvoorbeeld haatzaaien en racisme is het vereist dat het in het openbaar gebeurt. Een groep met maar drie mensen is natuurlijk niet perse openbaar. Sterker nog, het aantal mensen in de groep is dan überhaupt niet het criterium. Waar het om gaat, is hoe makkelijk mensen aan de groep toegevoegd worden. Dát bepaalt of een groep openbaar is. Zeg maar: in mijn huiskamer mag niet iedereen zomaar naar binnen, in een café wel. Daarom is een café openbaar en mijn huiskamer niet. Een café kan strenge huisregels stellen en deurbeleid voeren, daarmee worden ze meer een huiskamer in de context van dit soort berichten.

Het lijkt erop dat deze appgroepen volstrekt niet besloten zijn. De beheerder liet kennelijk makkelijk mensen toe, ook als ze niet eens behoorden tot de groep mensen waar de groep voor opgezet was. Dan ben je natuurlijk heel snel klaar met je discussie: als je dan overigens strafbare zaken gaat verspreiden dan heb je juridisch een probleem.

Sommige mensen waren verbaasd dat de universiteit dan aangifte kon doen, terwijl dit niet op universiteitsterrein is gebeurd. Maar iedereen die weet van een strafbaar feit, mag daar aangifte van doen. Je hoeft geen slachtoffer of zelfs maar belanghebbende te zijn. Alleen is het de vraag wat er gebeurt met je aangifte als je totaal niets met het delict te maken hebt. Bij bijvoorbeeld smaad kan de zaak eigenlijk niet verder wanneer het slachtoffer dat niet wil (klachtdelict) dus dan kan de universiteit aangifte doen wat ze wil maar zal er niets gebeuren. Maar bij haatzaaien is een aangifte van de universiteit zeker niet kansloos.

Het opleggen van eigen sancties is iets lastiger. Natuurlijk kan een universiteit mensen schorsen of zelfs van de opleiding sturen, maar dan moet het wel gaan om dingen die de universiteit zelf als verboden heeft verklaard. In de wet (Wet hoger onderwijs artikel 7.57h) staat bijvoorbeeld dat ernstige overlast op de terreinen reden voor ontzegging kan zijn. En alle examenreglementen vermelden natuurlijk fraude als grond voor schorsing et cetera.

Maar een strafbare uiting in een groep die verder geen binding heeft met de universiteit, dat lijkt me iets lastiger. Ik denk dat dat alleen werkt als je een ‘haakje’ naar een andere student hebt, bijvoorbeeld een groepslid dat er eigenlijk niet in wil zitten maar zich gepusht voelt toch die berichten te blijven ontvangen. Dat zou je kunnen zien als een vorm van overlast veroorzaken tussen studenten onderling.

Arnoud

Hoe strafbaar is het liken van strafbare berichten?

Een rechter in Zwitserland heeft een man veroordeeld vanwege het liken van lasterlijke berichten over een dierenrechtenactivist op Facebook, las ik bij de NOS. Met zijn likes zou hij de posts uitdrukkelijk hebben onderschreven, en daarmee zeg maar medeplichtig zijn aan het plegen van de laster. Dat vonden ze bij de NOS raar: liken is toch de basis van Facebook, dus hoezo kan dat nou strafbaar zijn?

Wat betreft het delict laster ligt het op zich relatief simpel. Wie een smadelijke bewering verspreidt wetende dat deze in strijd is met de waarheid, pleegt laster. Dat is Ouder Dan Het Internet, en op zich dus ook gewoon strafbaar om op internet te doen. Een Facebookbericht waarin je dus schadelijke onwaarheden verspreidt, is net zo goed lasterlijk als een krantenartikel.

Maar liken is natuurlijk niet hetzelfde als zelf een artikel schrijven. Alleen, dat is niet vereist om van smaad of laster te kunnen spreken. Je pleegt ook die misdrijven als je de betreffende beweringen verder verspreidt – althans als je dat doet op een positieve manier. Dan ga je achter de inhoud staan, en doe je in feite hetzelfde als de oorspronkelijke uiter van de bewering.

Het komt dus neer op de vraag wat een like nu precies betekent. Heel naïef kun je zeggen: er stáát “Dit vind ik leuk”, dus wat je doet is zeggen dat je die inhoud leuk vindt. Dat is een positieve uiting, en het bericht verschijnt ook nog eens op je tijdlijn. Dat is dus een manier van verspreiding waarbij jij achter de inhoud gaat staan, en dan kom je dus bij laster terecht.

In de praktijk heeft een like meer functies. Facebook kent niet echt een uitgebreid vocabulaire: ook als je een bericht juist stom vindt maar wel wilt delen (“gatver moet je dít nou zien, wat een schande”) dan moet je het liken. Vanuit dat perspectief zou het geen laster zijn om een bericht verder te verspreiden via dat mechanisme.

Uiteindelijk komt het er dus op neer wat je intenties waren, althans hoe dit overkomt bij de rest van de wereld. Dat is een vrij subjectieve inschatting, waardoor het voor een rechter dus geen eenvoudige kwestie zal worden. In een zaak uit 2007 werd een hyperlink naar opruiende teksten strafbaar geacht:

In het geval van de verdachte zijn die relevante omstandigheden dat zij een moslima is met een meer dan gewone belangstelling voor het jihadistisch-salafistisch gedachtegoed en dat zij actief is deze geloofsovertuiging uit te dragen via het internet door daar allerlei bestanden en stukken op te plaatsen. In ruim drie maanden tijd heeft de verdachte meer dan 65 artikelen geplaatst op het internet. […] Gelet op het voorgaande en met haar kennis van zaken aangaande de islam kan het plaatsen van de betreffende links door de verdachte, niet anders worden gezien dan als een strafbare handeling als bedoeld in artikel 132 van het Wetboek van Strafrecht, te weten – kort gezegd – het verspreiden van geschriften waarvan zij ernstige reden heeft te vermoeden dat die opruiend zijn.

Die lijn doortrekkend zou dus een like strafbaar zin als iemand ernstige reden had moeten hebben om te vermoeden dat sprake is van laster, en je enigszins in de materie zit waar het artikel over gaat. Je zou die strafbaarheid dan weer wel kunnen weerleggen door er expliciet afstand van te nemen.

Arnoud