Wacht even, dat Telegram-sluitbevel was een vrijwillig verzoek? Ik snap er nu niks meer van

| AE 13307 | Regulering | 11 reacties

Weet u nog: het Openbaar Ministerie had in oktober twee kanalen van complotdenkers op chatapp Telegram laten blokkeren, zo blogde ik destijds. Een week later bleek het anders te liggen: er is geen takedown-bevel aan Telegram gegeven, maar het bleek gewoon een handig gebruik van de telefoon van een verdachte. Dacht ik toen. Want nu komt BNR met bewijs dat er kanalen door de beheerders zijn gesloten na druk vanuit politie en Justitie.

De namen van de kanalen duizelen me een beetje, maar zo te lezen gaat het hier om een ander kanaal dan die met de telefoon van de verdachte zijn gesloten. Zoals BNR het beschrijft:

Twee agenten brachten 8 oktober een huisbezoek aan de beheerder. De Officier van Justitie had telefonisch overleg met de politie ter plaatse en dreigde de man met strafvervolging als hij het kanaal niet ter plekke zou verwijderen.
Daarop koos de man eieren voor zijn geld en sloot hij het kanaal. Dat doet raar aan: de normale manier is dat je de dienst Telegram sommeert het kanaal te sluiten. Dat werkte hier alleen niet, aldus het OM:
‘Aangezien Telegram zelf stelt: ‘To this day, we have disclosed 0 bytes of user data to third parties, including governments’, heeft de rechter-commissaris er in dit geval vanaf gezien Telegram te proberen te betrekken’, schrijft een woordvoerder.
Dat snap ik, en ik zie ook wel dat de volgende stap dan is om de beheerder zelf aan te spreken. Alleen, met welke wettelijke bevoegdheid doe je dat? De drie geciteerde deskundige juristen bij BNR weten het alle drie niet te noemen.

Mij lijkt een inroep van 54a Strafrecht logisch:

Een tussenpersoon die een communicatiedienst verleent bestaande in de doorgifte of opslag van gegevens die van een ander afkomstig zijn, wordt bij een strafbaar feit dat met gebruikmaking van die dienst wordt begaan als zodanig niet vervolgd indien hij voldoet aan een bevel als bedoeld in artikel 125p van het Wetboek van Strafvordering.
Je zou dan stellen dat de beheerder een tussenpersoon is, door het in stand houden van de groep verleent hij dan de dienst van doorgifte van gegevens van anderen (de chattende gebruikers). Punt is wel dat je dan niet alleen de officier van justitie nodig hebt, maar ook de rechter-commissaris. En die lijkt hier niet in beeld te zijn geweest. (Nog los van dat het ietwat discutabel is of een losse Telegram gebruiker te zien moet zijn als een provider.)

BNR heeft het proces-verbaal erbij geleverd, waarin te lezen is hoe de agenten het instaken. Zij, verbalisanten, gaven een gedragsaanwijzing (artikel 509hh Strafvordering), waarvoor inderdaad alleen een officier nodig is. Alleen, een gedragsaanwijzing heeft maar beperkte mogelijkheden:

2 De gedragsaanwijzing kan inhouden dat de verdachte wordt bevolen:

a.zich niet op te houden in een bepaald gebied,

b.zich te onthouden van contact met een bepaalde persoon of bepaalde personen,

c.zich op bepaalde tijdstippen te melden bij de daartoe aangewezen opsporingsambtenaar,

d.zich te doen begeleiden bij hulpverlening die van invloed kan zijn op het plegen van strafbare feiten door de verdachte.

De aanwijzing hier was een verbod “Red Pill Journals of informatie van vergelijkbare aard of inhoud te delen op het internet en/of via sociale media”. Ik kan dat hooguit een zeer gezochte invulling van lid 2 sub b noemen: “het internet en/of sociale media” zijn dan “bepaalde personen”, nee sorry waar ik zei “gezochte invulling” bedoelde ik “komt niet door de giecheltoets” stop de tijd. Ik snap dit niet.

Of nou ja, praktisch snap ik het wel: dit soort kanalen kunnen erg kwalijke effecten hebben, dus dat je daar als politie of officier bovenop zit en in wilt grijpen dat is heel logisch. Alleen moet zoiets wel via de regels, juist omdat het gaat om meningsuitingen. Ik had dus zelf ingezet op 54a en dat bij de rechter laten toetsen.

Arnoud

Mag het OM Telegram-groepen van complotdenkers laten blokkeren?

| AE 12959 | Regulering, Uitingsvrijheid | 12 reacties

GDJ / Pixabay

Het Openbaar Ministerie heeft twee kanalen van complotdenkers op chatapp Telegram laten blokkeren, las ik bij de NOS. Daar werden onder andere complottheorieën gedeeld over satanisch-rituele kindermoorden, door de blokkade kunnen er geen nieuwe berichten worden geplaatst. Het is voor zover bekend voor het eerst dat justitie met succes Telegram-groepen heeft laten blokkeren. En dat riep vragen op bij lezers, want hoezo is er dan geen gerechtelijk bevel nodig eerst?

Om daarmee maar gelijk te beginnen: nee, in Nederland is geen gerechtelijk bevel nodig voor het blokkeren van zo’n online kanaal. Het Wetboek van Strafrecht (art. 54a) bepaalt namelijk dat
Een tussenpersoon die een communicatiedienst verleent bestaande in de doorgifte of opslag van gegevens die van een ander afkomstig zijn, wordt bij een strafbaar feit dat met gebruikmaking van die dienst wordt begaan als zodanig niet vervolgd indien hij voldoet aan een bevel als bedoeld in artikel 125p van het Wetboek van Strafvordering.
En dat artikel 125p bepaalt dan weer dat de officier van justitie (bij verdenking van ernstige misdrijven) mag bevelen dat een tussenpersoon informatie tegenhoudt of offline haalt. Wel is dan een machtiging van de rechter-commissaris nodig, en de wet bepaalt dat deze de aanbieder van het kanaal moet horen als dat relevant is.

Dit is een behoorlijke verbetering ten opzichte van het ‘oude’ artikel 54a, dat eigenlijk niet meer bepaalde dan dat de officier zo’n bevel kon geven op machtiging van de rechter-commissaris (zie de discussie over het meervoud daarvan).

De directe aanleiding in dit geval betreft zo te lezen het ernstig soort misdrijven waarbij deze bevoegdheid inderdaad mogelijk is:

Afgelopen week werd er aangekondigd dat op een nieuw kanaal video’s zouden worden geplaatst met bedreigende, opruiende en lasterlijke inhoud. Daarop heeft het OM besloten om maatregelen te nemen. De rechter oordeelde eerder al dat die video’s verboden inhoud bevatten en niet meer online mogen komen. Ook stond er op de nu geblokkeerde kanalen oudere content die strafbaar en bedreigend is.
Voor mij is vooral opmerkelijk dat Telegram kennelijk snel meewerkte. In andere landen kent niet iedereen de constructie van een district attorney die bevelen mag geven tot blokkade van informatie.

Arnoud

Nee, geheimhouding bij ethical bug reporting is niet bindend

| AE 12954 | Security, Uitingsvrijheid | 13 reacties

De researcher die een ernstige bug bij messaging dienst Telegram meldde, heeft afstand gedaan van de $1000 beloning omdat er geheimhouding aan gekoppeld was, las ik bij Ars Technica. Als verantwoordelijk security-onderzoeker had Dmitrii (geen achternaam) deze netjes gemeld. Telegram moedigt dat ook aan, en je kunt zelfs een bug bounty krijgen. Maar het was nog moeilijk genoeg om de aandacht te krijgen, en toen die kwam, zat er een NDA aan vast. Daar hoef je geen genoegen mee te nemen als onderzoeker.

De bug betrof de zogenaamd zelfvernietigende afbeeldingen: deze bleven per abuis in de cache op telefoons staan, ook nadat gemeld was dat deze berichten verwijderd waren. Iets om te melden natuurlijk, maar makkelijk ging dat niet:

But for a simple bug like this, it wasn’t easy to get Telegram’s attention, Dmitrii explained. The researcher contacted Telegram in early March. And after a series of emails and text correspondence between the researcher and Telegram spanning months, the company reached out to Dmitrii in September, finally confirming the existence of the bug and collaborating with the researcher during beta testing. For his efforts, Dmitrii was offered a €1,000 ($1,159) bug bounty reward.
Voor die beloning moest Dmitrii wel een contract tekenen (van acht pagina’s), waarin een eeuwigdurende geheimhoudingsclausule opgenomen was. Wie in het goede gelooft, zal denken dat Telegram een foutje maakte: dit contract was namelijk een standaard consultancy agreement, waarmee Dmitrii als zzp’er zou werken aan het melden van de bug zeg maar. Niet raar om daarin geheimhouding op te nemen, maar wél raar om dat contract als basis te gebruiken voor het afhandelen van een melding.

Wie niet in het goede gelooft, zal concluderen dat Telegram Dmitrii de mond wilde snoeren met een wurgcontract. (Excuses, mijn metaforen botsen soms.) Ik geloof zelf altijd meer in incompetentie: de persoon die de tip van Dmitrii kreeg, had geen idee waar het over ging en pakte toen maar het best passende contract, iemand wil wat voor ons doen en mijn baas zegt dat dat mag, dan is deze persoon dus een ingehuurde consultant.

De les voor de meelezende security researchers, ethical hackers en ander goedwillend volk: je hoeft zulke dingen niet te tekenen, ongeacht wat een bedrijf zegt. Als je ongevraagd een fout opspoort, dan is melden je goed recht maar zeker niet je plicht. Meteen naar buiten met de bug mag ook, het is vooral dat het nétjes is om even zestig dagen te wachten voordat je dat doet zodat de impact bij het bedrijf redelijkerwijs wat gedempt wordt. Natuurlijk zijn hier allemaal weer uitzonderingen op, maar geen van die komen neer op “je hebt toestemming van het bedrijf nodig om te publiceren wat er mis ging”.

Een bedrijf kan op zich een beloning koppelen aan een eeuwigdurende geheimhouding, dat dan weer wel. Want omgekeerd zijn zij niet verplicht om mensen te betalen die ongevraagd bugs komen melden. De enige echte uitzondering daarop zou zijn als er een bug bounty programma is gepubliceerd waarin staat dat je na x dagen mag publiceren, en je dan zo’n eeuwige NDA opgelegd krijgt.

Arnoud