Als de inspecteurs binnenvallen, gaan bij Uber alle schermen op zwart

| AE 13457 | Informatiemaatschappij, Ondernemingsvrijheid | 9 reacties

Als Uber in 2014 in Europa wil starten met taxidienst Uberpop, ontstaat er een strijd met de autoriteiten om deze dienst die gebruikmaakt van chauffeurs zonder vergunning te legaliseren. Dat meldde het FD onlangs. “Please hit the kill switch ASAP … Access must be shut down in AMS‘. Zo citeert men dan Uber CEO Travis Kalanick, die geschrokken reageert op een inval van de Inspectie Leefomgeving en Transport, die toezicht houdt op de taxidiensten. De schermen gaan dan ook op zwart, zodat niemand nog bij de informatie kan. Dat zou stevige juridische gevolgen moeten hebben.

Uit gelekte interne stukken blijkt dat Uber tot het uiterste gaat om Uberpop – haar illegale snordersdienst gepromoot als Web 2.0 sociale deeldienst – erdoor te drukken. Inclusief de inzet van Neelie Kroes, over wiens pro-Uber tweet ik me al in 2014 verbaasde omdat ze toen nog Eurocommissaris was. Maar dat terzijde. Zoals FD zegt, het was “direct duidelijk dat de taxidienst verboden is, en alleen een wetswijziging [kan] Uberpop uit de illegaliteit houden.” En de toezichthouder mag ze daar aan houden, en kan desnoods een inval doen om de bewijzen te verzamelen.

Uber ziet dat uiteraard anders, maar krijgt tot mijn (positieve) verrassing van Zuidaskantoor De Brauw te horen dat je daar echt aan moet meewerken.

Wat de advocaten niet lijken te weten, is dat Uber nog een plan achter de hand heeft om de handhaving te frustreren: het blokkeren van alle computers tijdens een inval. En dat is precies wat Uber eind maart en begin april 2015 tijdens twee invallen door de ILT doet. ‘Het lijkt er sterk op dat hier de wet is overtreden’, zegt Brendan Newitt, advocaat bij De Roos & Pen. ‘De toegang tot informatie is vergrendeld. Daarmee werkte Uber niet mee aan de vordering van de inspecteur. Dat is een economisch delict en ook een strafbaar feit vanuit het strafrecht. De administratie moet beschikbaar en inzichtelijk zijn.’
Dit is typisch zo’n nieuw probleem dat dankzij ict ontstaat. Vroeger stond je administratie op papier ergens in een kamer. Maar heel weinig bedrijven hadden dan een mega-versnipperaar of houtkachel paraat om alles te verbranden, en wie dat overwoog wist in ieder geval heel zeker dat hij iets deed dat niet de bedoeling was. Met ict middelen lijkt het allemaal minder erg, waardoor je vaker over dit soort trucs leest.

Het deed me denken aan de actie van Centric-directeur Gerard Sanderink, die zijn telefoon op afstand liet wissen bij een inval. Dat kostte hem een miljoen aan dwangsommen. Verschil is hier: dit is een inval door een toezichthouder in het kader van handhaving van een wet, geen actie in het kader van een civiel geschil. De medewerkingsplicht is een stuk groter en de straffen ook een stuk ernstiger. Kort gezegd, als je een inval van een toezichthouder krijgt dan werk je mee en verschaf je alle informatie (art. 5:20 Algemene wet bestuursrecht). Dat betekent dus ook dat je wachtwoorden verstrekt, toegang geeft tot databases en wat er maar nodig is. Dit is bestuursrecht, “tegen jezelf getuigen” is daarbij geen argument. De straf kan tot drie maanden cel oplopen, en dwangsommen kunnen worden opgelegd tot alle informatie wordt verstrekt.

Ook is het strafrecht hier in beeld, nu het gaat om het niet toegankelijk maken van de administratie. Vorig jaar werd nog een ondernemer veroordeeld tot een taakstraf voor het niet voeren van een administratie, een collega kreeg een boete van 4000 euro. Dat waren kleine ondernemers, de theoretische maxima zijn vier jaar cel of € 22.500 boete. Heel erg in theorie zou Nederland nu een verzoek tot uitlevering van Kalanick kunnen doen, zowel in de VS als hier is het immers strafbaar om je administratie te verhullen. Maar dan moet de politieke wil wel heel erg groot zijn.

Arnoud

Minister: providers die illegaal materiaal hosten zijn moeilijk te vervolgen edit

| AE 13256 | Regulering | 5 reacties

Het is voor de Nederlandse politie moeilijk om hostingproviders strafrechtelijk te vervolgen als ze illegaal materiaal hosten. Dat meldde Tweakers vorige week. In antwoord op Kamervragen meldt Ye?ilgöz van Justitie dan ook dat de politie voornamelijk inzet op samenwerking met de sector. Meer zou lastig zijn: hostingproviders kunnen onder de Europese wet niet aansprakelijk worden gesteld voor het gedrag van hun klanten. Eh, ja, maar iets ingewikkelder.

Deze discussie heeft niets te maken met de Europese regels over aansprakelijkheid van providers. Aansprakelijkheid is civiel (burgerlijk) recht, hier gaat het om strafrecht. Als je strafbaar bent, krijg je een boete of celstraf. Als je aansprakelijk bent, moet je iemands schade vergoeden.

Het klopt in zoverre dat toen de civiele regels over aansprakelijkheid van providers werden gemaakt, Nederland gekozen heeft voor ook een regel van strafrecht, artikel 54a Wetboek van Strafrecht. Die zegt, een provider is niet strafrechtelijk aan te pakken als hij na een bevel van de rechter-commissaris meteen het contentitem weghaalt waar het om gaat.

Dat leek destijds een goed idee, nadeel blijkt ondertussen dat dit gelezen wordt als “je moet per URL een bevel geven en dan halen we specifiek die URL offline”. Waardoor criminele klanten bij wijze van spreken één letter veranderen in de abs_path en het weer online zetten. En er is geen juridische basis om providers te bevelen een klant te weren of een hele site offline te halen.

Er wordt nu gewerkt aan nieuwe Europese regels die meer strafrechtelijke armslag moeten geven, zodat een provider ook strafrechtelijk te vervolgen zou worden wanneer hij weigert een klant geheel af te sluiten die grootschalig de strafwet overtreedt.

Arnoud

OM eist 5 jaar van winkelier die breekijzer verkoopt, pardon tegen leverancier PGP Safe-telefoons

| AE 13063 | Regulering, Security | 19 reacties

Het Openbaar Ministerie heeft een gevangenisstraf van vijf jaar geëist tegen een 56-jarige Huizenaar die wordt verdacht van het leveren van versleutelde PGP Safe-telefoons. Dat meldde Security.nl onlangs. Ik kreeg er veel mails over: bij de GAMMA koop je toch ook breekijzers, zaklampen en handige rugzakken, hoezo zijn die dan niet aansprakelijk als inbrekers daar inslaan en de buurt leeghalen? Wat is het verschil tussen een cryptofoon en een breekijzer, juridisch gezegd?

Er staat al een belangrijke hint in het artikel: de verdachte wist dat zijn producten en diensten vooral door criminelen bij strafbare feiten werden gebruikt, aldus het Openbaar Ministerie. En dat maakt het wel anders dan een bouwmarkt die wellicht een strafbaar feit kan vermoeden als iemand loog, een plastic badkuip en grote vuilniszakken komt kopen. Die kán daaruit wel vermoeden dat hier een misdrijf gepland wordt, maar echt zekerheid heb je niet.

Als je het echt wéét, dan wordt het een ander verhaal. We komen dan bij medeplichtigheid terecht namelijk (art. 48 Sr), in de vorm van opzettelijk gelegenheid, middelen of inlichtingen verschaffen tot het plegen van het misdrijf. Als de bouwmarktklant dus vraagt, hoe maak ik het beste een lijk weg, en de winkel wijst op de hierboven genoemde producten, dan is de winkel strafrechtelijk een medeplichtige wanneer dat misdrijf ook werkelijk wordt gepleegd.

Weinig criminelen zullen in zo’n situatie echter letterlijk zeggen “ik wil een lijk wegmaken kunt u helpen”, precies om deze reden. En bij de bouwmarkt is “ik ben een huis aan het opknappen, de badafvoer is volkómen verstopt” natuurlijk een reële reden om loog en een badkuip te kopen.

Voor cryptofoons valt eenzelfde redenering ook op te zetten, er zijn genoeg redenen om zo’n ding te hebben. Industriële spionage, persoonlijke veiligheid, het leuk vinden om zoiets te hebben, bezorgd zijn over tracking door Google of Apple, noem ze maar op. Enkel verkopen van zo’n product maakt dus zeer zeker niet dat je medeplichtig bent, zelfs niet als de koper als naam een bekende crimineel opgeeft.

In januari blogde ik over een VPN-dienst die door Justitie werd aangepakt wegens medeplichtigheid. Het ging om een vpn aanbieder die nadrukkelijk zichzelf profileert als handige dienst voor criminelen, bijvoorbeeld door te adverteren op hackfora en andere plekken waarvan bekend is dat crimineeltjes (‘scriptkiddies’ en dergelijke) er actief zijn. Ook zouden reclameberichten nadrukkelijk wijzen op het niet gevonden kunnen worden door opsporingsdiensten.

Eenzelfde argumentatie zou hier moeten opgaan. De vraag is natuurlijk waaruit dat “daadwerkelijk weten” gaat blijken, dat zullen we als bewijs naar voren zien komen in de rechtszaak. Ik ben benieuwd, hebben jullie ideeën?

Arnoud

 

 

Hoe zwaar weegt gezichtsherkenning in het strafrecht?

| AE 12571 | Regulering | 17 reacties

Het lijkt erop dat degene die op 5 augustus 2017 om 2.31 uur bij de geldautomaat is gefilmd, ook in de politiedatabase staat: Thomas. Zo introduceert Nu.nl een strafzaak waarin gezichtsherkenning door het politiesysteem CATCH centraal stond in het bewijs. Nadat ook twee onderzoekers de gezichten met elkaar vergelijken, concludeert het Centrum voor Biometrie namelijk dat… Lees verder

Wacht, Marktplaatsoplichting is geen oplichting?

| AE 12345 | Informatiemaatschappij | 22 reacties

Een verrassing voor velen: de bekendste vorm van online oplichting, namelijk gewoon het geld pakken en niet leveren, is juridisch geen oplichting. Kwam recent nog langs en het blijft verwarrend. Maar de kern is dat we niet iedere vorm van wanprestatie tot een strafbaar feit willen verheffen, zeker omdat het wetsartikel voor oplichting uitgaat van echt… Lees verder

Man van 22 is schuldig aan uitvoeren van ddos-aanvallen, maar krijgt geen straf

| AE 12161 | Regulering, Security | 14 reacties

Een man van 22 uit Scheemda is schuldig bevonden aan het uitvoeren van twee ddos-aanvallen op vrienden, las ik bij Tweakers. Hij krijgt daarvoor geen straf opgelegd. Het OM verdenkt hem van het uitvoeren van 76 aanvallen, maar de rechter acht dat slechts van twee bewezen. En gezien de beperkte schade van die twee, dat… Lees verder

Politie brengt app uit waarmee slachtoffer onderzoek kan doen naar misdrijf

| AE 11299 | Regulering | 14 reacties

De Nederlandse politie en het openbaar ministerie brengen op 1 juni een app uit waarmee burgers zelf onderzoek kunnen doen naar het misdrijf waar ze slachtoffer van zijn geworden. Dat meldde Tweakers maandag. Mensen kunnen onder andere getuigeninterviews afnemen en foto’s als bewijs uploaden. Het gaat om een kleinschalige proef in zes basisteams in vier… Lees verder

Politie en FBI geven elkaar toegang tot databank met vingerafdrukken

| AE 10967 | Privacy, Regulering | 38 reacties

De Nederlandse politie krijgt toegang tot databanken met daarin vingerafdrukken van miljoenen Amerikanen, las ik bij Tweakers. Omgekeerd kan de FBI de Nederlandse strafdatabank met vingerafdrukken van 1,3 miljoen veroordeelden en verdachten benaderen. Zo moeten beide politiediensten makkelijker vingerafdrukken kunnen matchen aan bekende daders (of verdachten) uit eerdere onderzoeken. Een nogal opmerkelijke stap, die veel… Lees verder

Openbaar Ministerie adviseert ethisch hackers uitgebreid te loggen

| AE 10920 | Regulering | 12 reacties

Het Openbaar Ministerie adviseert mensen die op zoek gaan naar lekken in systemen een logbestand bij te houden, las ik bij Tweakers vorige week. Zo kunnen deze mensen aantonen dat ze zich aan eisen voor responsible disclosure houden en eventueel strafvervolging ontlopen. Een stap in de goede richting; het doet raar aan om mensen te… Lees verder