Rechter staat ontsleutelde berichten van pgp-smartphones toe als bewijs

De rechtbank in Amsterdam heeft een crimineel veroordeeld mede op basis van informatie die werd verkregen door het ontsleutelen van een grote hoeveelheid berichten die via pgp-telefoons werden verstuurd. Dat meldde Tweakers vorige week. Uit het ontsleutelde berichtenverkeer blijkt hoe de verdachte een sturende rol had bij een liquidatiepoging en hoe de schutters aan hem verantwoording moesten afleggen toen die poging mislukte. Het is voor zover ik weet de eerste keer dat ontsleuteld PGP-verkeer als bewijs is gebruikt in een strafzaak.

De uitspraak is een uitvloeisel uit de Ennetcom-zaak uit 2016. Ennetcom is een Nederlands bedrijf dat met PGP (Pretty Good Privacy) beveiligde BlackBerry-telefoons aanbood. Hiermee kunnen gebruikers in principe onkraakbare e-mails en dergelijke berichten sturen. Deze systemen gebruiken servers in Canada. Na een inval bij het bedrijf kreeg men de Canadese rechter zo ver beslag op die servers en bijbehorende data te leggen, om zo deze inhoud te kunnen gebruiken voor forensisch onderzoek in strafzaken waarbij verdachten deze telefoons gebruikten.

Dat was bijzonder prettig voor Justitie, want die servers bevatten cruciale informatie over sleutelmanagement waarmee het ineens heel eenvoudig werd om het theoretisch haast onkraakbare PGP te verwijderen van berichten. Kort gezegd, die informatie helpt het aantal mogelijke sleutels te reduceren tot enkele honderdduizenden per bericht, iets dat een beetje computer in de lunchpauze kan nalopen. De inhoud van die berichten is dan ineens beschikbaar in een strafzaak.

De Canadese rechter wees dat toe, maar beperkte de toegang tot specifieke berichten voor specifieke strafzaken om te voorkomen dat de Nederlandse autoriteiten een ‘fishing expedition’ zouden gaan uitvoeren in deze grote hoeveelheid data. Per verzoek zou een Nederlandse rechter een bevel moeten afgeven. Dat was nog even ingewikkeld, want het Nederlands recht kent het concept van een court order eigenlijk helemaal niet. Bij ons toetst de rechter-commissaris bevelen van de officier van justitie, dat is een andere manier van werken. Uiteindelijk kwam men uit bij de mogelijkheid van een bevel onder het Wetboek van Strafvordering tot toegang tot opgeslagen data bij een provider (artikel 126ng), dat door de rechter-commissaris moet worden goedgekeurd. Dit bleek genoeg voor de Canadese rechter.

In deze zaak werden ook een aantal PGP berichten gevonden in het opsporingstraject, die met de Canadese informatie konden worden ontsleuteld. Dat bleek een cruciale stap: de berichten lieten zien welke belangrijke rol de verdachte had in de onderzochte liquidatiepoging.

Het bezwaar van de verdediging betrof de manier waarop deze berichten te pakken waren gekregen. Dat artikel 126ng zou de verkeerde grondslag zijn geweest, er is op de verkeerde manier gewerkt en er zou te weinig toezicht zijn geweest vanuit de rechter-commissaris. En nog veel meer, zo veel dat de rechtbank korzelig opmerkt “dat het niet eenvoudig is geweest tot een begrijpelijke samenvatting van de verschillende onderdelen van het door [de advocaat] gevoerde verweer te komen.” Ik ga dat zelf dan ook niet doen, vooral omdat de rechtbank héél snel klaar is met de analyse:

De gekozen constructie biedt voldoende waarborgen om voor zoveel mogelijk tegemoet te komen aan de privacy-belangen van de overige Ennetcom-gebruikers. Naar het oordeel van de rechtbank is dan ook sprake van een rechtmatige constructie om te beoordelen of binnen het onderzoek Tandem toegang verleend kan worden tot de Ennetcom?data.

Dat is voor de juridische theorie een tikje jammer, want nu weet je niet waar de grenzen liggen. Maar ik kan zo snel geen inhoudelijk tegenargument bedenken. Die data is legaal in Canada door de politie aldaar in beslag genomen, en wordt onder toeziend oog van twéé gerechtelijke instanties vrijgegeven conform specifieke regels waardoor er niet kan worden gegrasduind. Ook hier wordt er met een specifiek protocol op verder gewerkt.

Een terecht punt van de verdediging was wel dat er tussen de verkregen berichten communicatie van en naar de advocaat aanwezig was. Dat mag natuurlijk niet, dergelijke communicatie is beschermd en mag niet onder ogen van de politie komen.

Probleem was wel dat in deze brondata die communicatie niet evident als zodanig te herkennen is. Er waren geen zakelijke mailadressen van de advocaat gebruikt of andere identifiers waarmee je dit vooraf weg kon filteren. Er was wel een communicatiepartij die als “adv” bekend stond, maar moet je daaruit concluderen dat je te maken hebt met een Nederlandse advocaat wiens communicatie vertrouwelijk moet blijven? De rechtbank vindt dat te ver gaan.

Ook als aangenomen wordt dat deze ‘adv’ een advocaat is, betekent dat niet dat deze berichten niet in het dossier mochten worden gevoegd. Onder omstandigheden, bijvoorbeeld als moedwillig slordig met de inhoud van de berichten wordt omgesprongen door deze zonder restricties uit handen te geven, bestaat daartegen geen bezwaar. Met betrekking tot de berichten van ‘adv’ die in het dossier zitten, geldt dat die tussen twee onbekende PGP-gebruikers zijn doorgezonden, zonder dat daarbij een beperking is aangebracht. Ten aanzien van deze berichten is geen sprake van een vormverzuim.

Na het beslag op de Canadese server en data heeft de politie een bericht uitgestuurd waarin staat dat verschoningsgerechtigden (zoals advocaten) zich konden melden, waarna hun berichten als geheim zouden worden gemarkeerd. Klinkt netjes, nietwaar? Maar geen advocaat die reageerde – terecht, want dan onthul je immers dat je via dat netwerk communicatie met je cliënt had en dat suggereert dat die cliënt misschien maar eens onderzocht moest worden.

Dit alles levert echter geen onherstelbaar vormverzuim op. Ik zou zelf ook niet weten wat je méér had moeten doen als OM om uit te sluiten dat er advocaatcommunicatie in zo’n bestand zit. De berichten werden nu echter eruit gehaald door een niet bij de zaak betrokken officier.

Wél een vormverzuim deed zich voor bij een aantal notities (ik denk conceptberichten) die begonnen met “Geachte Mr Inez Weski” maar nooit waren verzonden naar deze advocaat. Hoewel je strikt gesproken dan niet spreekt van communicatie met een advocaat, valt ook zo’n concept onder de geheimhouding voor advocaten. Dit bericht was evident voor een advocaat bedoeld en had dus verwijderd moeten zijn. Dat vormverzuim is ernstig: die berichten hadden nooit in het dossier moeten zitten, en moeten dus verwijderd worden. Bewijs dat daaruit afgeleid is, wordt daarmee uitgesloten.

Arnoud

Mag de eigenaar van een gestolen laptop deze opsnuffelen bij een legitieme koper?

Een lezer vroeg me:

Onlangs kreeg ik de politie aan de deur: ik zou in het bezit zijn van een gestolen laptop! Bij navraag bleek het te gaan om een tweedehands die ik keurig in een computerwinkel had gekocht (met bon, reële prijs, semi-bekende keten wiens naam ik even niet noem) dus niets aan de hand. Maar men bleek me te hebben opgespoord door ‘Absolute Software’ van het bedrijf LoJack/CompuTrace. Het bedrijf geeft te kennen dat het geen middelen schuwt om via een voorgeïnstalleerde backdoor informatie te vergaren betreffende het “gestolen” goed, waaronder: hard drive mining, keystrokes/typed data, screen images en position. Is dat wel legaal, zeker in mijn situatie?

Het kopen van gestolen goed heet normaal ‘heling’ en is strafbaar. Echter, de wet (art. 3:86 BW beschermt de consument die gestolen goed koopt bij een bedrijf of winkel. Deze wordt gewoon eigenaar van het goed, en kan niet worden vervolgd voor heling.

Steeds meer ICT-producten zoals laptops, tablets of telefoons worden voorzien van “phone home”-achtige software, waarmee de eigenaar op afstand kan zien waar het apparaat zich bevindt. Vaak is die software ook voorzien van aanvullende features, waarmee kan worden rondgekeken op de telefoon en waarmee de camera kan worden bediend om de huidige houder vast te leggen. (Zie deze mooie documentaire over wat er allemaal kan.)

Informatie achterhalen over je eigen laptop valt onder de informatievrijheid en dat is een grondrecht. Maar de privacy is óók een grondrecht, zelfs tot op zekere hoogte voor de dader van een misdrijf. De schandpaal is immers afgeschaft, heet dat dan onder beschaafde juristen. En hier gaat het niet om een dief maar om een gewone eerlijke burger die iets legaal kocht in een winkel. Hoezo mag diens privacy worden geschonden door de oude eigenaar van het apparaat? Dit is typisch zo’n balans uit het internetrecht waar niet meteen een eenduidig antwoord op is.

Voor mij zou denk ik uiteindelijk de doorslag geven hoe groot de kans is dat een gestolen laptop via een winkel terecht komt bij een particulier die te goeder trouw is. Als de overgrote meerderheid die laptop in strafbare hoedanigheid verwerft, dan zou ik weinig moeite hebben met de privacyaspecten van deze zaak. Zeker als de gegevens ook nog eens alleen voor aangifte en opsporing gebruikt worden, en niet voor eh documentaires of andere openbaarmakingen door het slachtoffer.

Arnoud

Mag je mensen hacken als je van de televisie bent?

Voor het nieuwe programma What the #Hack?! gaat presentator en rapper Yes-R internetgebruikers confronteren met hun onvoorzichtige sociale mediagedrag. Dat meldde RTL gisteren. Het programma wil aantonen hoe onveilig mensen online zijn, onder meer door met social engineering en keyloggers (naar ik aanneem via Trojans verspreid) te gebruiken. Wat de vraag oproept: mag dat dan, mensen hacken omdat je een televisieprogramma gaat maken?

Een journalist heeft onder de wet geen andere positie dan andere burgers. Je moet je aan precies dezelfde regels houden als anderen, ook waar het gaat over strafrecht en ook als het nieuwsbelang in het gedrang zou komen. Inbreken of privécommunicatie aftappen is strafbaar, dus ook voor journalisten. Dus dan is het antwoord vrij snel duidelijk: nee, dat mag niet.

Het recht zou het recht niet zijn als “ja, toch wel” ook geen mogelijk antwoord was. Want soms heb je belangwekkende kwesties die gewoon aan de kaak gesteld móeten worden, en dat je dan als journalist de wet moet overtreden dat neem je dan voor lief. De rechter neemt de nieuwswaarde wel degelijk mee, en kan je zelfs vrijspreken als blijkt dat je daad puur ingegeven was door het brengen van zo’n algemeen belangwekkend nieuwsitem en dat je zo zorgvuldig mogelijk te werk bent gegaan. Met name is dan van belang dat je geen schade hebt aangericht en niet meer hebt gedaan dan nodig voor je item.

De AVROTROS ziet een dergelijk belang met hun programma:

We willen met het programma impact hebben op de kijkers van NPO 3 op een manier die hen aanspreekt. Het daadwerkelijk laten zien wat de gevaren zijn, is de de enige manier om awareness te creëren

Daar zit natuurlijk wat in. Een theoretisch verhaal heeft veel minder impact dan een daadwerkelijke hack bij echte mensen: kijk, zo makkelijk was het om Marieke haar Facebook over te nemen en met deze truc kregen we Ali zijn WhatsApp-berichtenlogs toegemaild. Maar is het dan ook nodig om dat te doen zonder toestemming te vragen? Had je niet kunnen zeggen, ben jij een echte internetfreak, meld je aan en we kijken hoe hackbaar jij bent? Dan heb je toestemming én echte mensen.

Weliswaar wordt er met een quitclaim gewerkt (hier tekenen dat wij mogen uitzenden) maar die wordt pas achteraf getekend. Wanneer iemand die weigert te tekenen, is er dus geen toestemming – ook niet voor het binnendringen op hun computer of het aftappen van hun datacommunicatie. En dat maakt het strafbaar.

Wat vinden jullie? Slimme manier van awareness creëren of gewoon strafbaar?

Arnoud

Politie krijgt tien nieuwe teams om cybercriminaliteit te bestrijden

De politie gaat tien nieuwe cyberteams oprichten om cybercriminaliteit beter te kunnen bestrijden. Dat las ik bij Nu.nl. De teams gaan uit minimaal tien rechercheurs bestaan, die al in dienst zijn bij de politie. Zij worden ondersteund door digitaal specialisten die beschikken over specifieke ICT-kennis. NRC vult aan dat de focus mede komt te liggen op jihadistische propaganda opsporen. Alleen: hoe dan?

NRC legt uit:

Sympathisanten van IS gebruiken sociale media om zieltjes te winnen. De ‘Internet Referal Unit’ van de Nationale Politie gaat actief op zoek naar hun propaganda en vraagt providers de berichten te verwijderen. Ook zal het team producenten van de propaganda helpen opsporen. Nog deze maand worden vijf gespecialiseerde politiemedewerkers geworven voor de nieuwe eenheid.

Dat ‘vragen’ intrigeert mij dan. Is dit een journalistieke vrijheid? De politie heeft immers gewoon de bevoegdheid te eisen dat strafbare berichten worden verwijderd (art. 54a Strafrecht). Wel is daarvoor een machtiging van de rechter-commissaris voor nodig, omdat het immers gaat om het inperken van iemands meningsuiting. Maar zo kan een Nederlandse provider gewoon worden gedwongen iets weg te halen dat hier strafbaar is.

Wellicht dat men het houdt bij ‘vragen’ omdat veel van deze providers of platforms in het buitenland zitten. Het is dan praktisch niet echt mogelijk dingen te gaan eisen. En dan blijft vragen over. Maar hoe effectief is dat?

Op Netkwesties wijst Peter Olsthoorn erop dat dit nog best een kluif kan worden.

… de website Netherlands-embassy.ru. Dis is een nepsite, deels gekopieerd van de echte site van ambassade in Moskou. Het Russische ministerie van Buitenlandse Zaken haalde wel een link naar de nepsite weg, maar niet de site zelf. Buitenlandse Zaken vraagt daar tevergeefs om.

En als dat al niet lukt, hoe zou het weghalen van een bericht dan wel moeten lukken?

Het alternatief is het sluiten van vele convenanten of verdragen met andere landen over wat wel of niet strafbaar is, inclusief protocol over wederzijdse bijstand. Dan zou dus de Amerikaanse FBI op verzoek van onze politie een Amerikaanse provider iets gaan verbieden omdat beide landen het strafbaar vinden. En dat wordt nog lastig; in de VS is eigenlijk geen enkele uiting strafbaar behalve het gerichte aanzetten tot geweld. Dus hoe kun je ooit zo’n convenant opstellen?

Arnoud

Filmproducent Klaas de Jong gaat internet aanklagen wegens films downloaden

adsl-filter-internet-censuur.pngProducent Klaas de Jong, mede verantwoordelijk voor bioscoophits als Michiel de Ruyter en Verliefd op Ibiza, heeft aangifte bij de politie gedaan tegen Ziggo, Telfort, KPN en Vodafone, zo las ik bij het Parool. Hij meent dat die strafrechtelijk aan te pakken zijn omdat ze downloadsites toegankelijk maken. Nope, nee, nada, kansloos, vergeet het maar.

Naar de letter van de wet heeft De Jong een punt: art. 31 Auteurswet stelt opzettelijke inbreuk strafbaar (zes maanden cel) en omdat het misdrijven zijn (art. 33), zijn ook medeplichtigen strafbaar. En dat ben je als je opzettelijk gelegenheid en middelen verschaft. Als je dan zegt, die providers wéten van de toegankelijkheid van die sites, dan zou je kunnen spreken van opzettelijk middelen (internettoegang en routering richting die sites) verschaffen kunnen spreken.

Alleen, er speelt meer dan alleen die letter van de wet (en dan negeer ik art. 54a Sr nog even, dat bepaalt dat providers niet worden vervolgd voor doorgifte van informatie van en naar klanten). Het beleid van het OM telt namelijk óók, en dat beleid is hier vrij simpel: er wordt niet vervolgd tegen inbreuken op intellectuele-eigendomsrechten zoals auteursrechten. Daarop zijn maar vier uitzonderingen:

  1. Bedreiging van de volksgezondheid of de veiligheid van de samenleving.
  2. Grootschalige namaak en piraterij, gepleegd in beroep of bedrijf, die de markt verstoren.
  3. Het bestaan van aanwijzingen van betrokkenheid van criminele organisaties of georganiseerde criminaliteit.
  4. Recidive.

Alleen uitzondering 2 zou misschien op kunnen gaan. Echter, het moet dan gaan om

grootschalige en zeer verspreid voorkomende inbreuken die dermate omvangrijk zijn dat civielrechtelijk optreden ernstig bemoeilijkt wordt, terwijl de inbreuk grote economische schade aan de rechthebbende toebrengt, omdat de afzet van zijn producten en de daaraan verbonden goodwill ernstig bedreigd worden.

Bij online auteursrechtinbreuken en het faciliteren daarvan is dit niet aan de orde.

Dat beleid staat al sinds 2006 en heeft de status van ‘recht’: handelt het OM in strijd met dat beleid, dan is ze niet-ontvankelijk. In december 2010 werd het OM niet-ontvankelijk verklaard in een strafzaak over twee e-Donkey indexeringsites; Releases4U en ShareConnector. In het arrest werd bepaald dat vervolging nooit had gemogen, want:

Volgens het hof blijkt uit het dossier niet dat er op het moment waarop de officier van justitie besloot tot de toepassing van dwangmiddelen jegens de verdachten sprake was van een redelijk vermoeden van schuld overeenkomstig de criteria als opgenomen in die Aanwijzing. Daarnaast heeft het hof vastgesteld dat niet is gebleken dat na ontvangst van de dossiers van stichting Brein door of op last van het openbaar ministerie nader onderzoek heeft plaatsgevonden voordat het openbaar ministerie besloot tot strafrechtelijke handhaving over te gaan.

Door toch te vervolgen, werden “de beginselen van een behoorlijke procesorde geschonden”. Dat klinkt heftig maar betekent gewoon dat dit niet had gemogen, einde rechtszaak.

Die aangifte is dus volslagen kansloos.

Arnoud

OM mag opnamen van geweldsincidenten tonen om daders te vinden

dome-camera.jpgHet Openbaar Ministerie mag in de openbare ruimte opgenomen camerabeelden van ernstige publieke geweldincidenten in het openbaar tonen om zo dader(s) van dit geweld te kunnen opsporen, las ik (alweer een tijdje geleden) op Rechtspraak.nl. Sorry, ik loop wat achter. De Hoge Raad introduceert meteen maar een checklist met 7 factoren waarmee getoetst kan worden of het legitiem is om te publiceren uit camerabeelden die misdrijven vastleggen.

Het arrest komt uit de zogeheten kopschopper-zaak. In 2013 schopten acht jongens een ander tegen het hoofd bij een vechtpartij op de Eindhovense Vestdijk. Justitie koos ervoor beelden hiervan naar buiten te brengen in de hoop de daders te identificeren. Deze publicatie leidde bij het Gerechtshof tot strafvermindering vanwege “de “enorme media-aandacht” die aan het incident is gegeven en “de hetze die daardoor jegens hem in de diverse media, onder welke internet, is ontketend”.”

In cassatie moet het HR nu aangeven of en wanneer het publiceren van zulke camerabeelden toegestaan is. In beginsel is het publiceren van beelden een inbreuk op de privacy, ook als de beelden van de openbare weg komen. In de context van opsporing door het OM is publicatie toegestaan afhankelijk van deze factoren:

  1. het publieke dan wel private karakter van de plaats welke op het beeldmateriaal waarneembaar is waar of van de situatie waarin de betrokkene zich bevindt;
  2. de persoon van de betrokkene, waaronder diens leeftijd of bijzondere kwetsbaarheid;
  3. de hoedanigheid van de betrokkene, zoals de publieke bekendheid van de betrokkene, dan wel of hij verdachte is van een (ernstig) strafbaar feit;
  4. de mate van herkenbaarheid van de betrokkene op het beeldmateriaal en de aard en indringendheid van de informatie die door of in samenhang met het beeldmateriaal wordt verstrekt omtrent de identiteit, uiterlijke kenmerken of gedragingen van de betrokkene;
  5. het doel waarmee het beeldmateriaal is vergaard en geopenbaard, waarbij aan de orde kan komen of het gaat om opsporing of identificatie van verdachten van (ernstige) strafbare feiten en of voorzienbaar is dat het beeldmateriaal wordt gebruikt op een wijze die verder gaat dan hetgeen redelijkerwijze nodig is voor het te bereiken doel;
  6. de wijze van vergaring en openbaarmaking van het beeldmateriaal, waarbij aan de orde kan komen of het beeldmateriaal is gemaakt en gepubliceerd met toestemming van de betrokkene, of de beeldopnamen zijn gemaakt op publieke plaatsen waar opnameapparatuur normaliter wordt gebruikt met een gelegitimeerd en voorzienbaar doel, en of er sprake is van een naar tijd en reikwijdte beperkt gebruik dan wel dat de beelden integraal zijn vrijgegeven aan het algemene publiek;
  7. de mate waarin het beeldmateriaal in overeenstemming met de toepasselijke regelgeving is verkregen en verspreid.

Het is dus een factor of de beelden van de openbare weg zijn, maar niet de enige. Als het gaat om iets kleins, dan is publicatie van de beelden nog steeds een te zwaar middel. Wel vind ik een mooie (factor 6) dat de wijze van vergaring meeweegt: als je weet dat ergens camera’s normaliter hangen, dan kun je minder snel bezwaar maken als die beelden dan ook worden gepubliceerd. Maar ook weegt mee (factor 5) of de kans groot is dat de beelden worden misbruikt door langdurige herpublicatie op andere plaatsen (hoi Dumpert).

Verder bevestigt de HR dat een rechtbank rekening mag houden met de gevolgen van publicatie van de beelden, ook als deze publicatie op zichzelf niet tegen de regels was. Dat bevreemdt me een beetje. Als deze toets ertoe leidt dat het gebruik legitiem was, hoezo moet dat dan gevolgen hebben voor de straf?

Arnoud

Ben ik een dief als de algemene voorwaarden van Albert Heijn dat zeggen?

albert-heijn-akkoord-voorwaarden-nee-nee-neeEen lezer vroeg me:

Onlangs zijn de voorwaarden van zelfscannen van de Albert Heij gewijzigd. Er staat nu in dat je diefstal pleegt als achteraf blijkt dat niet alles gescand is. Maar mag AH wel zo kort door de bocht aannemen dat hun systeem onfeilbaar is? Het zou immers zomaar kunnen dat een gebruiker tegen een bug aanloopt, waarbij het systeem ‘bleep’ doet als indicatie dat het product gescanned is, maar het product niet op de virtuele kassabon terecht is gekomen.

De oude voorwaarden van zelfscannen kan ik zo niet meer vinden, maar inderdaad, in de voorwaarden van de app staat nu:

Blijkt bij controle dat niet alle producten zijn gescand nadat u uw (mobiele) Bonuskaart bij de betaalpaal hebt gescand, dan beschouwen wij dit als diefstal en kunnen wij aangifte doen.

Dat klinkt nogal streng, want er wordt inderdaad geen ruimte gelaten voor de situatie dat er wél is gescand maar dat niet is geregistreerd. Ook niet voor situaties waarin je oprecht vergeten was iets te scannen, hoewel dat natuurlijk geen sterk argument is als je bij de uitgang van een supermarkt staat.

Echter, het is niet zo dat je een strafbaar feit begaat enkel omdat iemands algemene voorwaarden zeggen dat dat zo is. Natuurlijk mag men aangifte doen als men meent dat je iets strafbaars hebt gedaan, maar de inhoud van je contract met het bedrijf is daarbij niet relevant.

Je steelt als je iets wegneemt met de bedoeling je dat toe te eigenen zonder te betalen. En die bedoeling moet bewezen worden. Enkel dat je met een product in je handen buiten staat, is daarvoor niet genoeg. Je kunt iets vergeten zijn te scannen, of de software werkte niet goed. Die opties moeten worden uitgesloten voordat men kan bewijzen dat je het product stiekem wilde meenemen.

Een aanvullend punt van de vraagsteller was nog hoe het zit met de broncode. Zonder de broncode van de zelfscanapp kun je niet bewijzen hoe deze werkt, dus dan sta je zwak als je wilt aantonen dat er een bug in de software zit. Dat is een lastige. Er is geen recht om broncode van bewijsmiddelen op te eisen. De enige manier die ik hier kan bedenken, is een kennis nogmaals eenzelfde set aankopen te laten doen en dat filmen om zo vast te leggen dat hij vaker die fout maakt. Maar als het een eenmalige bug was (of afhankelijk van de stand van de maan in combinatie met het aantal mobiele telefoons in de buurt én het feit dat de rozijnen in de bonus waren) dan wordt dit wel heel moeilijk inderdaad.

Arnoud

Geen strafvervolging naast alcoholslot mogelijk

alcoholslotIemand die verplicht moet deelnemen aan het alcoholslotprogramma kan daarnaast niet ook nog strafrechtelijk worden vervolgd. Dat bepaalde de Hoge Raad dinsdag. De reden hiervoor is erg formeel: het alcoholslot wordt op grond van het bestuursrecht opgelegd, en bestuursrecht bestaat naast het strafrecht. Zo zou iemand dus twee keer gestraft worden voor hetzelfde feit, en dat is tegen een basisbeginsel uit het recht: “ne bis in idem”, in het Latijn.

Het alcoholslotprogramma bestaat sinds 1 december 2011 en wordt opgelegd aan bestuurders van motorvoertuigen die worden aangehouden met een hoog ademalcoholgehalte of die de blaastest weigeren. In die situatie kun je naar het CBR gestuurd worden, die je rijbewijs dan intrekt en pas weer vrijgeeft als je toestemming hebt gegeven voor het inbouwen van een alcoholslot zodat je niet meer kunt rijden wanneer je alcohol in je bloed hebt. Het inbouwen kost zeker 4000 euro en dat moet je zelf betalen.

Een prima idee, wat mij betreft, zelfs al zit er het nadeel aan dat je eventueel een vriend kunt laten blazen als je zelf dronken bent. Maar het juridische probleem ontstond toen bleek dat mensen náást het alcoholslot ook nog boetes of zelfs gevangenisstraf konden krijgen.

Een basisprincipe uit het recht is dat je niet twee maal gestraft mag worden voor hetzelfde. Een boete krijgen (of de cel in moeten) is een straf, dat is duidelijk. Maar is een alcoholslot dat ook? Het is in theorie vrijwillig, je moet er formeel voor kiezen en je mág nee zeggen – alleen heeft ‘nee’ zeggen tot gevolg dat je vijf jaar geen auto mag besturen, pas daarna krijg je dan je rijbewijs terug. Dat komt in essentie neer op een verplichte opgelegde maatregel, zeg maar net zo vrijwillig als dat je bij een gevangenisstraf te horen krijgt dat je maandagochtend je mag melden bij de hoofdingang van het cellencomplex.

De Hoge Raad bepaalt dat het alcoholslot dan ook in feite een straf is, net zo goed als een boete die je opgelegd krijgt voor rijden onder invloed. En dan krijg je dus twee keer straf als je zowel een boete krijgt als een alcoholslot, en dat mag niet. Dat de een formeel uit het Wetboek van Strafrecht komt en de andere uit het bestuursrecht, doet daarbij niet ter zake.

Een belangrijke reden lijkt te zijn geweest dat je bij het CBR niet zomaar in beroep kunt gaan, en ook dat men de omstandigheden van de verdachte niet meeneemt. Dat soort zekerheden zitten in een rechtszaak bij de strafrechter wel ingebouwd. Dus daar ligt dan wellicht de oplossing: pas het wetboek van strafrecht aan en benoem het alcoholslot als een expliciete straf.

Het voelt voor mij dan ook een beetje als een formeel spelletje: ja klopt, je hebt gelijk dat het 2x straffen is maar dit is toch iets dat vrij simpel op te lossen is. Maar ja, als het om autorijden en straffen daartegen gaat, dan wordt elk formeel puntje aangegrepen om het proces zo veel mogelijk te vertragen.

Arnoud

Kan een dreigbericht met emoji strafbaar zijn?

smiley-emoticon.png“Nigga run up on me, he gunna get blown down” gevolgd door emoticons voor een politieagent en een pistool, is dat bedreiging van een ambtenaar in functie? In de VS kennelijk wel, las ik bij Wired: de zeventienjarige Osiris Aristy werd om dit Facebookbericht gearresteerd in New York en vervolgd wegens het doen van een terroristische bedreiging jegens een politieagent. En het speelt daar vaker een rol, zo blijkt uit analyse van Wired. Zo werd een jury geïnstrueerd om “punctuatie, inclusief emoticons” mee te nemen bij de interpretatie van een bericht. Hoe zit dat bij ons?

Voor een bedreiging is het vereist dat de aangesproken partij zich “redelijkerwijs bevreesd” voelt over dat hem wat aangedaan zal worden. Is de bedreiging niet serieus te nemen, dan is deze dus niet strafbaar.

Emoticons (sinds wanneer heten die emoji trouwens?) zijn bedoeld om emotie of bedoeling in een tekst aan te geven. “Hee mafkees” wordt heel anders als je er een 😉 achter zet, en nog weer anders als je juist :@ gebruikt. Dus je zou zeggen dat dat uit kan maken.

In 2010 moest het Gerechtshof Amsterdam zich uitspreken over dit bericht op Hyves:

ey bolle vet zak met je kanker bolle kanker bril je gaat died bitch ik kom je halen

waarbij het bericht was voor zien van vijftien verschillende smileys. Mede vanwege de smileys (en het feit dat Hyves een niet erg serieus te nemen “jongerennetwerk” was, kon de aangesproken partij – toenmalig ministerpresident Balkenende – zich niet bedreigd voelen.

En eerder in 2000 vond de kortgedingrechter de tekst “so sue me, huh :P” op een website geen uitdaging aan een merkhouder om hem te sue’en over beweerdelijke merkinbreuk op die website. Dat was eerder bedoeld als “gulle lach”.

Dit waren natuurlijk vrij simpele emoticons: wat je tegenwoordig aan gele mennekes kunt toevoegen, is gigantisch. En als je dan inderdaad in beeldtaal aangeeft een politieagent dood te willen schieten én uit je context blijkt dat je een specifieke agent op het oog hebt, dan zie ik ergens wel de logica van dat bedreigend noemen. Maar: hoe bedreigend is het werkelijk, een plaatje van een cartoonpistool?

Arnoud

Is het verboden om (via Tor of proxies) je IP-adres te verbergen?

Een lezer vroeg me:

Met het anonieme netwerk TOR maar ook met allerhande proxies kun je je IP-adres verbergen. Nu hoorde ik laatst dat dat illegaal zou zijn omdat de politie je dan niet kan opsporen. Lijkt me sterk, maar is dat misschien toch zo?

Er is geen algemene regel in het recht die je verplicht opspoorbaar te zijn. In specifieke situaties soms wel: zo moet je als automobilist een nummerbord op je auto hebben zodat verkeersovertredingen op te sporen zijn naar de eigenaar van het voertuig.

Hoewel een IP-adres soort van dezelfde identificerende functie heeft als een nummerbord (en bij ICT vergelijkingen met auto’s wettelijk verplicht zijn), is er geen regel die je verplicht op internet je IP-adres zichtbaar te laten zijn. Het is dus legaal om met het Tor-netwerk te werken, een proxy te gebruiken of iets anders te doen waardoor je IP-adres niet zichtbaar is. Dat mensen dat wantrouwig kunnen bekijken of zelfs je kunnen weren omdat ze je IP-adres niet weten, is hun (ook weer legale) keuze.

Een risico bij zulke netwerken en diensten is dat wie ze aanbiedt, ineens aansprakelijk gesteld kan worden voor rare dingen via de proxy of Tor exit node. Of hij krijgt de politie aan de deur omdat het IP-adres van de proxy of exit node opdook bij een misdrijf. Strikt gesproken ben je niet aansprakelijk (straf noch civiel) als je enkel een doorgeefluik bent, maar praktisch gezien heb je dan best wel een probleem. En hoe dát op te lossen, daar ben ik nog niet uit.

Arnoud