Rechter staat gekraakte PGP-berichten van telefoon toe als bewijs

| AE 9392 | Strafrecht | 13 reacties

Het Openbaar Ministerie (OM) mag de inhoud van versleutelde berichten uit speciale telefoons gebruiken als bewijs in strafzaken, las ik bij Nu.nl. De Blackberry van een verdachte in een grote drugszaak had PGP gebruikt om zijn berichten te versleutelen, en het OM wist die te kraken.

Het verweer in deze zaak sluit aan bij de recente discussie over het mogen doorzoeken van telefoons. De rechtbank hier volgt de Hoge Raad, die uiteindelijk soort van vond dat het wettelijk voldoende is geregeld met de algemene bevoegdheid om dingen te mogen doorzoeken, in combinatie met gepaste terughoudendheid die men bij de politie en het OM mag verwachten. Namelijk:

Het uitlezen van de telefoon heeft in dit geval plaatsgevonden in het kader van een onderzoek naar een buitengewoon ernstig feit, namelijk de grootschalige handel in en de productie van synthetische drugs en daarnaast wordt een telefoon zoals hier aan de orde enkel gebruikt om versleutelde berichten te verzenden en bevat het in die zin nagenoeg verder geen privacygevoelige informatie vergeleken met bijvoorbeeld reguliere smartphones. Verdachte heeft zich bovendien op zijn zwijgrecht beroepen, wat de mogelijkheden beperkte om op andere wijze zicht te krijgen op de betrokkenen bij het feit en op ieders rol.

In maart maakte de politie bekend 3,6 miljoen met PGP versleutelde berichten te kunnen lezen. Encryptiesleutels daarvoor waren namelijk op de servers van aanbieder Ennetcom beschikbaar, in plaats van alleen op de telefoons zelf. De berichten in deze zaak zaten daar dus tussen.

Uit de ontsleutelde berichten blijkt dat er druk werd gecommuniceerd over het opzetten en beheren van een synthethischedrugslab. Deze berichten waren volgens de rechtbank verzonden en ontvangen door de verdachte, gezien de strekking van de berichten en verklaringen van andere verdachten. Dat levert dan het bewijs op van zijn betrokkenheid bij de productie van de drugs.

Ik blijf er moeite mee houden dat “het moet in de wet geregeld zijn” vertaald wordt naar “we mogen je rugzak doorzoeken dus ook je telefoon”. Maar ik vermoed dat na uitspraken als deze er weinig noodzaak meer zal komen bij de wetgever om nog een apart wetsartikel te gaan invoeren.

Arnoud

Ik moet een app installeren van mijn werkgever en dat wil ik niet

| AE 9257 | Arbeidsrecht | 51 reacties

Een lezer vroeg me:

Mijn werkgever wil dat we allemaal een app installeren die voor het werk noodzakelijk is. Hiermee moeten we onder meer onze tijd bijhouden en registreren bij welke klanten we zijn geweest. Maar ik wil dat helemaal niet op mijn privételefoon. Mag ik dit weigeren?

Ja, dat mag je weigeren. De werkgever is wettelijk verplicht de werknemer de gereedschappen te verschaffen waarmee deze het werk kan uitvoeren. Dat geldt voor bureaustoelen en hamers, maar ook voor telefoons en andere computers waarmee gewerkt moet worden.

Als het bedrijf het noodzakelijk acht dat iemand met een app werkt, dan moet de werkgever hem ook de middelen verschaffen om met die app te werken. Men kan toch ook niet verwachten dat je als werknemer een bureaustoel van thuis meeneemt?

Praktisch detail: hoe leg je dat uit? Geen mobiele telefoon hebben kan natuurlijk (“Nee, ik leen er eentje van mijn schoonvader en die wil dit niet”) maar voelt een tikje wereldvreemd. Weigeren vanwege privacy- of securityredenen komt al snel te nerdy over. Maar wat zeg je dan?

Arnoud

Politie mag smartphones van verdachten niet zomaar meer doorzoeken

| AE 9370 | Privacy | 25 reacties

De Hoge Raad heeft grenzen gesteld aan het politieonderzoek naar smartphones van verdachten. Dat meldde Nu.nl vorige week. De politie mag een smartphone doorzoeken als dit niet verder gaat dan een beperkte inbreuk op de privacy. De huidige praktijk van iemands telefoon compleet leegtrekken en doorzoeken staat daar op gespannen voet mee, eigenlijk moet daar een aparte wettelijke regeling voor komen.

Uit het arrest blijkt dat de aanleiding relatief simpel was. Een man werd op Schiphol gearresteerd door de Koninklijke Marechaussee op verdenking van smokken van cocaïne. Vervolgens werd zijn smartphone en bijbehorende simkaart uitgelezen en onderzocht, waarna men diverse WhatsApp-chats en foto’s aantrof die als bewijs werden gebruikt om de zaak rond te krijgen.

Op zich mag een telefoon natuurlijk in beslag worden genomen bij een arrestatie. En vervolgens mag er in principe ook worden gekeken of gezocht in wat er in beslag wordt genomen. De wet staat dat toe: artikel 94 Wetboek van Strafvordering spreekt van “alle voorwerpen die kunnen dienen om de waarheid aan de dag te brengen”. En een telefoon met inhoud voldoet aan die omschrijving.

Echter, een telefoon is wel iets anders dan een zakdoek of portemonnee. Dergelijke apparatuur bevat veel meer privéinformatie dan een koffer, denk aan foto’s, opgeslagen berichten en ook toegang tot allerlei diensten als het ding wachtwoorden onthoudt. Al in 2015 bepaalde het Gerechtshof Leeuwarden dan ook dat hier een grens ligt. Wanneer de politie namelijk in iemands grondrechten wil treden, moet daarvoor een wettelijke grondslag zijn. Zo is er een wetsartikel dat bepaalt wanneer men een huis binnen mag of wanneer iemands e-mail mag worden doorgelezen. Dat wetsartikel zegt dan wanneer dat mag, hoe lang dat mag en wie er toestemming voor moet geven.

In deze zaak vond het Hof Amsterdam dat artikel 94 een voldoende wettelijke grondslag was. Daar staat immers zwart op wit dat alles in beslag genomen mag worden (en dus ook doorzocht) als daarmee de waarheid aan het licht te brengen is. En al sinds 1994 is vaste jurisprudentie dat dat voor computers net zo goed geldt als voor portemonnees.

De Hoge Raad verwerpt die redenering. Artikel 94 is alleen bedoeld voor ‘gewoon’ in beslag nemen en doorzoeken, waarbij geen of hooguit beperkt iemands privacy wordt geschonden. Heb je een foto van je partner in je portemonnee, dan mag een agent daar gewoon naar kijken als hij die portemonnee in beslag heeft genomen. Dat is weliswaar een privacyschending maar die is slechts zeer beperkt.

Wanneer een telefoon compleet wordt leeggetrokken, ontstaat een andere situatie. Dat is meer dan even snel kijken, en dat wordt dan ook als meer dan geringe inbreuk op de privacy gezien. Dan wordt het lastig. Voor inbreuken op een grondrecht is een wettelijke regeling nodig, die met voldoende waarborgen is omkleed. Dat is waarom het Wetboek van Strafvordering zo uitgebreid is: al die situaties zoals huiszoekingen of mailtaps moesten immers worden geregeld en van waarborgen voorzien. Strikt gesproken mogen telefoons dus niet worden doorzocht zodra het meer dan gering iemands privacy raakt, wat al snel het geval zal zijn.

De HR wil echter niet zo ver gaan. (Cynische ikke denkt: dat zou namelijk de héle opsporing platgooien.) Men begint met te stellen dat artikel 94 echt gewoon een wettelijke regeling is, en dat het aan de rechter is om te toetsen of in een concreet geval men al dan niet te ver ging met de toepassing van die bevoegdheid. Voor extra zekerheid is het aan te bevelen dat een officier van justitie of rechter-commissaris de doorzoeking doet, dat geeft dan een stevige waarborg. Het doet me wat gezocht aan.

Arnoud

‘Driekwart Nederlanders voor verbod smartphonegebruik op fiets’

| AE 9211 | Strafrecht | 11 reacties

Driekwart van de Nederlanders is voorstander van een verbod op het gebruik van smartphones op de fiets, meldde Nu.nl onlangs. Dit bleek uit onderzoek van het ministerie van Infrastructuur en Milieu, in de opmaat naar een wettelijk verbod op smartphonegebruik dan wel -vasthouden voor fietsers. De discussie gaat namelijk over dat laatste punt: moeten we… Lees verder

Mag je anno 2016 nog een telefoon verkopen met een 2 jaar oude Android?

| AE 9123 | Beveiliging, Contracten | 21 reacties

Een lezer vroeg me: Wij kochten recent een Kurio telefoon, die wordt geadverteerd als “de veiligste telefoon voor kinderen”. Alleen bleek het ding binnen de kortste keren vol met virussen te staan, en na enig opruimwerk zag ik dat de telefoon Android 4.2.2 draait en dat het toestel dus zo kwetsbaar is als wat voor… Lees verder

Hoe moet Samsung die teruggeroepen Note 7’s vernietigen, qua persoonsgegevens?

| AE 9055 | Aansprakelijkheid, Privacy | 14 reacties

Het is nog altijd onduidelijk wat er gaat gebeuren met de persoonlijke data op de miljoenen Note 7-toestellen die door Samsung zijn teruggeroepen. Dat las ik (dank, Franc) bij Security.nl. De wasmachines, pardon telefoons worden teruggeroepen vanwege ontploffende accus. Vanwege dat ontploffingsgevaar werd geadviseerd het toestel meteen uit te zetten en terug te sturen, zodat… Lees verder

Is de winkel aansprakelijk voor een softwareupdate aan mijn telefoon?

| AE 8887 | Aansprakelijkheid, Webwinkels | 9 reacties

Een lezer vroeg me: Ik heb een Sony Z3 Compact. Sinds de (door Sony geleverde) upgrade naar Android 5.1.1 heb ik – en velen met mij – problemen met de GPS module. Kan ik daar de verkoper op aanspreken? Die zegt namelijk dat updates achteraf iets tussen mij en de fabrikant zijn. Maar dit is… Lees verder

Ruim 5.000 mensen melden zich om abonnement met ‘gratis’ smartphone

| AE 8634 | Contracten | 14 reacties

Zeker 5.000 mensen hebben zich gemeld bij juridischeclaimclub ConsumentenClaim, omdat ze bij het aangaan van een abonnement met smartphone mogelijk niet duidelijk is verteld hoeveel de smartphone kost. De Hoge Raad bepaalde in februari dat een mobieletelefonieabonnement met all-in prijs voor toestel en gesprekskosten niet rechtsgeldig is, omdat dit moet worden gezien als een kredietovereenkomst… Lees verder

Ik wil helemaal geen account op mijn telefoon!

| AE 8270 | Contracten, Innovatie | 17 reacties

Een lezer vroeg me: Veel leveranciers van mobiele telefoons en tablets verplichten gebruikers tegenwoordig om extra diensten af te nemen, ook als je daar helemaal geen behoefte aanhebt. Zo moet je voor het kunnen gebruiken van een mobiele telefoon die het door Google gemaakte Android draait een account aanmaken bij Google – ook als dat… Lees verder