Tegenwoordig weet iedereen wél wat ACAB betekent

| AE 11122 | Uitingsvrijheid | 61 reacties

Weet u nog, dat rechters niet mogen googelen? Dat was een zaak uit 2011 waarin de Hoge Raad bepaalde dat een rechtbank niet zomaar in Google mag kijken om te zien hoe bekend een afkorting is, om vervolgens iemand die die afkorting gebruikte te veroordelen. Die afkorting was ACAB, in 2011 redelijk bekend maar ten tijde van de overtreding een stuk minder. De rechtbank had op zijn minst de bevindingen aan de verdediging voor moeten leggen. Maar nu in 2018 is er een nieuw arrest (Hof Amsterdam) waarin googlen wél mag.

In deze zaak ging het om exact dezelfde afkorting. De verdachte zong tijdens een voetbalwedstrijd de tekst “ACAB, ACAB” en keek daarbij naar politieagenten. Deze arresteerden hem voor belediging van een ambtenaar in functie. De verdachte verklaarde niet te weten wat deze term betekende. Dat voelde voor mij ook wat onwaarschijnlijk, en met mij het Gerechtshof.

Het Hof pakt Google erbij, stelt de zoekperiode in op beperkt tot uiterlijk de datum van het delict(!), en constateert dat over de afkorting (en de beledigende betekenis daarvan) zeer veel nieuwsberichten zijn gepubliceerd, zowel door regionale als landelijke media. En dat vind ik dan leuk: die berichten kwamen mede naar aanleiding van die zaak uit 2011 waarin juist werd gezegd dat Googelen niet mag om de bekendheid van een term vast te stellen.

Het Hof concludeert nu dat gezien de landelijke bekendheid van de uitspraak en de term deze nu wel algemeen bekend geacht wordt te zijn. Daarop wordt de man veroordeeld voor belediging. En dat klopt dus – met zo veel bekendheid in pers en online over die uitspraak, kun je vandaag de dag niet meer volhouden dat je dit niet wist. Al helemaal niet in een voetbalcontext, wat mij betreft.

Arnoud (Dat ik in deze blog nergens hoef te zeggen wat ACAB betekende, zegt natuurlijk ook wel wat.)

Politie en FBI geven elkaar toegang tot databank met vingerafdrukken

| AE 10967 | Privacy, Regulering | 38 reacties

De Nederlandse politie krijgt toegang tot databanken met daarin vingerafdrukken van miljoenen Amerikanen, las ik bij Tweakers. Omgekeerd kan de FBI de Nederlandse strafdatabank met vingerafdrukken van 1,3 miljoen veroordeelden en verdachten benaderen. Zo moeten beide politiediensten makkelijker vingerafdrukken kunnen matchen aan bekende daders (of verdachten) uit eerdere onderzoeken. Een nogal opmerkelijke stap, die veel vragen opriep bij lezers, maar ik moet zelf zeggen dat ik het niet meteen de grootste inbreuk van 2018 vindt. Nee, een vingerafdrukdatabank, dát is eng.

Voor de duidelijkheid: de bedoeling is nadrukkelijk niet dat het gehele vingerafdrukbestand met naam en rugnummer als zipfile naar de VS gaat. De organisatorische opzet komt erop neer dat de FBI een vingerafdruk van een person of interest heeft, ze die opsturen naar onze politie die kijkt of er een match is. Het antwoord gaat als “nee” dan wel “ja” terug, in het geval “ja” voorzien van een willekeurig gekozen identificatienummer. Dat nummer neemt de FBI dan op in een ouderwets rechtshulpverzoek “graag ontvangen wij wat u weet over deze persoon”.

Door deze dubbele slag voorkom je dat er al te makkelijk gespit wordt zonder dat het opvalt. Er wordt niets verstrekt zonder rechtshulpverzoek, iets dat al tijden de procedure is. En zo’n verzoek wordt alleen toegewezen bij ernstige misdrijven. Het enige nieuwe is dus feitelijk dat je voorheen als FBI iets van een naam moest hebben om aan te geven wie je zocht, en dat je nu op basis van een vingerafdruk kunt aangeven wie je waarschijnlijk bedoelt. Dat is op zich wel een mooie privacyconstructie.

Zo ongeveer de enige vorm van misbruik die ik kan bedenken, is dat je met een vingerafdruk van een betrekkelijk onschuldige nu kunt gaan vissen in de FBI databank (of de FBI bij ons) of er in die databank iets bekend is. Je zou als FBI dan dus bijvoorbeeld irritante toeristen (die met vingerafdruk zich moeten registreren bij bezoek aan de VS) kunnen matchen, en als er een “ja, 481” terugkomt dan gooi je ze het land uit omdat ze op het inreisformulier hebben gezegd “nooit met Justitie in aanraking geweest”. Maar in die situatie heb je de namen ook al, dus of dat nu veel toevoegt?

Enger vind ik de opmerkingen in Trouw dat men bij de politie liever een nationale vingerafdrukdatabase zou hebben (gekoppeld aan het paspoort) waar alle Nederlanders in moeten zitten. Dat idee is al in 2011 afgeschoten, “Een ingrijpend besluit, waar we wekelijks ongemak van ondervinden” aldus de initiatiefnemers van dit databankdelen. De redenen voor afschaffen waren technische problemen, zoals twijfel over de veiligheid van de opslag maar ook onbetrouwbare matching.

Met name dat laatste zou voor mij genoeg reden zijn dit niet te willen: ik schrik te lezen dat bij vingerafdrukken 1 op 10.000 gevallen vals positieven geven. Bij een databank met zelfs maar 1,3 miljoen mensen heb je dus 130 matches voor elke vingerafdruk, bij een databank met 17 miljoen Nederlanders zijn dat er dan 1.700. Hoe kun je daar überhaupt nog in zoeken als politie? Waar filter je dan op, zonder bias te introduceren zoals “nu iedereen met een zwaar strafblad, en de 5 die overblijven maar even ophalen”? Hoe meer ik er over nadenk, hoe enger ik dat vind.

Arnoud

Openbaar Ministerie adviseert ethisch hackers uitgebreid te loggen

| AE 10920 | Regulering | 12 reacties

Het Openbaar Ministerie adviseert mensen die op zoek gaan naar lekken in systemen een logbestand bij te houden, las ik bij Tweakers vorige week. Zo kunnen deze mensen aantonen dat ze zich aan eisen voor responsible disclosure houden en eventueel strafvervolging ontlopen. Een stap in de goede richting; het doet raar aan om mensen te vervolgen die met open kaart en goede bedoelingen een beveiligingsprobleem aankaarten. Maar -de comments lezende- toch maken mensen zich best wat zorgen over dat loggen, leg je zo niet je hoofd op het hakblok?

De wet is wat het testen van andermans systemen betreft duidelijk: dat mag niet, punt. Er is sprake van computervredebreuk als je binnengaat in een computersysteem, beveiligd of niet, terwijl je weet of had moeten weten dat je daar niet mag zijn. Je bedoelingen doen daarbij niet ter zake, dus of je nu binnengaat om data te kopiëren voor eigen gewin of om te dubbelchecken dat de database écht idioot slecht beveiligd is, is naar de letter van de wet hetzelfde misdrijf.

De praktijk van slechte beveiliging anno 2018 laat echter zien dat er grote behoefte is aan mensen die problemen signaleren, bij voorkeur voordat het écht grote problemen worden. Liever een ethisch hacker in je mail dan een datalek in de krant, zeg maar. Maar vanwege die strenge wet is het dan zoeken tussen de belangen van beide partijen, en het gebruikelijke compromis komt dan uit bij responsible disclosure: op een nette manier de organisatie inlichten en afspraken maken over wanneer het wordt hersteld en wanneer het wordt gepubliceerd. Werkt de organisatie niet mee, dan mag je publiceren zonder toestemming.

Je komt dan in strafrechtelijk vaarwater. Eerder publiceerde de overheid daarom al de aanbeveling voor organisaties om responsible disclosure-beleid te publiceren, met daarin een stappenplan voor jouw organisatie om hoe om te gaan met zulke tips van buitenaf. Deel daarvan is de toezegging dat er geen aangifte (of civielrechtelijke stappen) wordt gedaan. En het OM pakt nu op dat punt door en zegt in feite dat wanneer iemand handelt binnen zulk beleid, zij niet tot vervolging zullen overgaan. Dus ook als het bedrijf vervolgens alsnog aangifte doet.

Natuurlijk moet je wel kunnen aantonen dat je werkelijk responsible oftewel ethisch hebt gewerkt. Daarbij is loggen van groot belang, vandaar het advies. En toegegeven, dan documenteer je dus je misdrijf en die informatie is te pakken te krijgen als men wél besluit je te vervolgen en daarbij je computer doorzoekt. Dat is inderdaad een tweesnijdend zwaard. Maar als je dát anders wilt doen, dan moet je in de wet opnemen dat het binnendringen in een slecht beveiligd systeem niet strafbaar is, en dat heeft dan weer hele vergaande gevolgen de andere kant op.

Arnoud

Rechter staat ontsleutelde berichten van pgp-smartphones toe als bewijs

| AE 10547 | Regulering | 14 reacties

De rechtbank in Amsterdam heeft een crimineel veroordeeld mede op basis van informatie die werd verkregen door het ontsleutelen van een grote hoeveelheid berichten die via pgp-telefoons werden verstuurd. Dat meldde Tweakers vorige week. Uit het ontsleutelde berichtenverkeer blijkt hoe de verdachte een sturende rol had bij een liquidatiepoging en hoe de schutters aan hem… Lees verder

Mag de eigenaar van een gestolen laptop deze opsnuffelen bij een legitieme koper?

| AE 9571 | Regulering, Security | 32 reacties

Een lezer vroeg me: Onlangs kreeg ik de politie aan de deur: ik zou in het bezit zijn van een gestolen laptop! Bij navraag bleek het te gaan om een tweedehands die ik keurig in een computerwinkel had gekocht (met bon, reële prijs, semi-bekende keten wiens naam ik even niet noem) dus niets aan de… Lees verder

Mag je mensen hacken als je van de televisie bent?

| AE 9367 | Regulering | 15 reacties

Voor het nieuwe programma What the #Hack?! gaat presentator en rapper Yes-R internetgebruikers confronteren met hun onvoorzichtige sociale mediagedrag. Dat meldde RTL gisteren. Het programma wil aantonen hoe onveilig mensen online zijn, onder meer door met social engineering en keyloggers (naar ik aanneem via Trojans verspreid) te gebruiken. Wat de vraag oproept: mag dat dan,… Lees verder

Politie krijgt tien nieuwe teams om cybercriminaliteit te bestrijden

| AE 9187 | Regulering | 65 reacties

De politie gaat tien nieuwe cyberteams oprichten om cybercriminaliteit beter te kunnen bestrijden. Dat las ik bij Nu.nl. De teams gaan uit minimaal tien rechercheurs bestaan, die al in dienst zijn bij de politie. Zij worden ondersteund door digitaal specialisten die beschikken over specifieke ICT-kennis. NRC vult aan dat de focus mede komt te liggen… Lees verder

Filmproducent Klaas de Jong gaat internet aanklagen wegens films downloaden

| AE 8718 | Intellectuele rechten, Regulering | 34 reacties

Producent Klaas de Jong, mede verantwoordelijk voor bioscoophits als Michiel de Ruyter en Verliefd op Ibiza, heeft aangifte bij de politie gedaan tegen Ziggo, Telfort, KPN en Vodafone, zo las ik bij het Parool. Hij meent dat die strafrechtelijk aan te pakken zijn omdat ze downloadsites toegankelijk maken. Nope, nee, nada, kansloos, vergeet het maar…. Lees verder

OM mag opnamen van geweldsincidenten tonen om daders te vinden

| AE 8151 | Privacy, Regulering | 11 reacties

Het Openbaar Ministerie mag in de openbare ruimte opgenomen camerabeelden van ernstige publieke geweldincidenten in het openbaar tonen om zo dader(s) van dit geweld te kunnen opsporen, las ik (alweer een tijdje geleden) op Rechtspraak.nl. Sorry, ik loop wat achter. De Hoge Raad introduceert meteen maar een checklist met 7 factoren waarmee getoetst kan worden… Lees verder

Ben ik een dief als de algemene voorwaarden van Albert Heijn dat zeggen?

| AE 7613 | Ondernemingsvrijheid, Regulering | 30 reacties

Een lezer vroeg me: Onlangs zijn de voorwaarden van zelfscannen van de Albert Heij gewijzigd. Er staat nu in dat je diefstal pleegt als achteraf blijkt dat niet alles gescand is. Maar mag AH wel zo kort door de bocht aannemen dat hun systeem onfeilbaar is? Het zou immers zomaar kunnen dat een gebruiker tegen… Lees verder