OM eist IP-adressen van website Crimesite, mag dat?

| AE 2374 | Informatiemaatschappij | 18 reacties

bevel-crimesite.pngDe Amsterdamse recherche en het Openbaar Ministerie dreigen de hoofdredacteur van Crimesite op te pakken, meldde de site gisteren. Hij wil geen gehoor geven aan een vordering om IP-nummers van bezoekers van de website te verstrekken. Het OM had die geëist in verband met een mishandelingszaak waarover Crimesite had bericht (via GeenStijl). In de reacties verklaarden twee getuigen iets over de gebeurtenissen, en de politie wil die graag eens op het bureau spreken. Kan dat zomaar?

De politie heeft de vordering ingediend op grond van artikel 126n Strafvordering. Daarmee mag men bepaalde gegevens vorderen “over een gebruiker van een communicatiedienst en het communicatieverkeer met betrekking tot die gebruiker”, zoals het IP-adres vanaf waar het communicatieverkeer is gedaan of de NAW-gegevens indien beschikbaar. Deze mag men vorderen van “aanbieders van een communicatiedienst”, en dat zijn dan weer bedrijven die (art. 126la Strafvordering):

aan de gebruikers van zijn dienst de mogelijkheid biedt te communiceren met behulp van een geautomatiseerd werk, of gegevens verwerkt of opslaat ten behoeve van een zodanige dienst of de gebruikers van die dienst;

Het gaat hier dus niet alleen om internetproviders die signalen doorgeven, maar óók om bedrijven die bijvoorbeeld pure hostingdiensten aanbieden. Die slaan immers gegevens op ten behoeve van de communicatiedienst “WWW” (ok ok technisch gesproken de dienst “http”). Je kunt discussiëren of Crimesite onder “bedrijven die communicatiediensten leveren” valt. Crimesite lijkt me wel een bedrijf in de zin van de wet – ze verkopen advertenties. Maar is hun core business de dienst opslag/doorgifte/http? Ik betwijfel het.

Crimesite heeft echter een veel sterker argument: zij doet aan journalistiek en heeft daarmee recht op bronbescherming (zoals bevestigd in de Voskuil– en Autoweek-arresten). Het OM heeft speciale richtlijnen opgesteld over hoe om te gaan met vorderingen richting journalisten. Die zegt in artikel 6a onder meer:

In ieder geval lijkt het toepassen van dwangmiddelen gerechtvaardigd als dat het enige effectieve middel is om een zeer ernstig delict op te helderen. Het moet dan gaan om die misdrijven waarbij het leven, de veiligheid of de gezondheid van personen ernstig is geschaad of in gevaar kan worden gebracht. Daarvan zal in beginsel sprake zijn bij het opsporen van de verdachte van bijvoorbeeld een reeks van ernstige zedenmisdrijven, het traceren van een hoeveelheid explosieven of het inrekenen van een voortvluchtige moordenaar.

Verdedigbaar is dat hier sprake is van een dergelijk misdrijf. Immers het ging om zware mishandeling van een portier. En als zich dan een getuige meldt dat hij gezien heeft wie het werkelijk was, en daarbij zelfs de politie aanspreekt (“Politie: maak even een praatje met het personeel en de DJ van die avond….dan weet je genoeg.”) dan kan ik het wel billijken dat je die meneer even wilt spreken. Er is geen anonimiteit bedongen, en heel hard nodig lijkt die ook niet bij een dergelijke verklaring. Dus ik denk dat uiteindelijk de rechter het OM toch gelijk zal geven, maar het tegendeel is ook goed verdedigbaar.

Essentieel is wél dat een rechter er naar moet kijken, en dat is niet het geval bij dit type vorderingen – iedere officier van justitie mag deze vordering instellen. En daarover zegt het Europese Hof in de Autoweek-zaak:

Although the public prosecutor, like any public official, is bound by requirements of basic integrity, in terms of procedure he or she is a “party” defending interests potentially incompatible with journalistic source protection and can hardly be seen as objective and impartial so as to make the necessary assessment of the various competing interests.

Daardoor was er geen “independent assessment as to whether the interest of the criminal investigation overrode the public interest in the protection of journalistic sources.” Een officier is (een beetje) partijdig en kan daarom niet beslissen of het opsporingsbelang zwaarder weegt dan het belang van de persvrijheid. Alleen een rechter(-commissaris) kan dat.

Arnoud

Provider moet verkeersgegevens afgeven bij notaris

| AE 2309 | Informatiemaatschappij | 13 reacties

Opmerkelijk: een ex-werknemer moet zijn internetprovider verzoeken zijn verkeersgegevens betreffende zijn privé-internetgebruik ter bewaring te geven aan notaris. Dit omdat zijn werkgever hem beschuldigt van computervredebreuk en die verkeersgegevens nodig heeft als bewijs. Dat vonniste de rechtbank Alkmaar vorige week.

De ex-werknemer was op staande voet ontslagen wegens computervredebreuk. Het lijkt te zijn gegaan om “inloggen op een plek waar je niet mocht komen”, maar het is wat lastig tussen de regels door lezen hoe dit zit. Wel valt me op dat de kantonrechter toch zo zijn twijfels had bij de klacht: de ontslagprocedure resulteerde in een ontslagvergoeding van 28.000 euro voor de ex-werknemer in eerste instantie.

Vervolgens deed de werkgever aangifte van computervredebreuk. Daarbij kreeg hij te horen:

dat onderzoek zal worden gedaan naar de mogelijkheid om tot vervolging van Gedaagde over te gaan, maar dat dit onderzoek in verband met capaciteitsgebrek niet op korte termijn zal plaats vinden.

Daarbij speelde wel één probleem: om te bewijzen dat de ex-werknemer inderdaad illegaal zou zijn binnengedrongen bij het bedrijfsnetwerk (of de privé-Hotmail van de directeur), zijn eigenlijk alleen de verkeersgegevens van de provider betrouwbaar. De werkgever had natuurlijk ook logfiles, maar de ex-werknemer stelde expliciet dat deze gemanipuleerd zouden zijn.

Die kan de officier van justitie opvragen (art. 13.2a Telecommunicatiewet) als het gaat opsporing bij ernstige misdrijven, en computervredebreuk kan daar onder vallen. Alleen, die gegevens worden na een jaar gewist, en het feit zou in mei 2010 zijn gepleegd. Als de politie dus niet in beweging komt vóór mei 2011, dan zou de provider het bewijs waarschijnlijk vernietigen. Vandaar de eis: deponeer die gegevens bij de notaris.

De werkgever was kennelijk al met de provider gaan praten, want zo lees ik:

Eiser heeft met de internetprovider van Gedaagde – die de gegevens onder zich heeft – reeds een afspraak gemaakt over het afgeven van de bedoelde verkeersgegevens. Het betreft hier echter de gegevens die zien op het internetgebruik van Gedaagde en met het oog op de privacywetgeving waaraan de internetprovider gebonden is, is het nodig dat Gedaagde instemt met de afgifte, nu het hier geen afgifte in het kader van een strafrechtelijk onderzoek betreft.

Het is niet heel duidelijk waar deze constructie op gebaseerd is. Het lijkt qua taalgebruik aan te sluiten bij de Wet Bescherming Persoonsgegevens (deze verkeersgegevens zijn immers persoonsgegevens) en afgifte vereist dan toestemming van de betrokken persoon. Maar dit lijkt wel te botsen met artikel 13.5 van de Telecomwet, dat volgens mij geen ruimte biedt voor afgifte aan wie dan ook behalve de bevoegde instanties.

Aan de andere kant, ik snap het wel: je wilt ook niet dat bewijs verloren gaat, en doordat het bij een notaris ligt, is de kans op misbruik denk ik verwaarloosbaar.

Arnoud

Constitutioneel Hof Roemenië: Bewaarplicht in strijd met mensenrechten

| AE 1880 | Privacy | 3 reacties

disc-data-weg-bewaren-kruis.jpgHet constitutioneel hof van Roemenië heeft geoordeeld dat de bewaarplicht ongrondwettelijk en in strijdt met de mensenrechten is, zo meldde ISPam.nl gisteren. Dit gebeurde al op 8 oktober, maar de Engelse vertaling is nu pas beschikbaar. Kort gezegd oordeelt het Hof dat de bewaarplicht de essentie van het privacyrecht uitholt en daarmee onoverkomelijk in strijd is met dit fundamentele grondrecht.

Het Hof toetst de Roemeense versie van de Wet bewaarplicht aan haar eigen grondwet en meteen ook maar aan het Europees Verdrag voor de Rechten van de Mens. Dit verdrag, waar ook Nederland lid van is, bepaalt kort gezegd dat inbreuken op het private life van de burger alleen mogen als die:

  1. bij wet geregeld zijn,
  2. een legitiem doel dienen, en
  3. niet op een andere, minder inbreukmakende manier geregeld kunnen worden (proportionaliteit).

Meestal zijn die eerste twee eisen geen probleem: er is altijd wel een wet en een op zich legitiem doel te verzinnen (terrorisme, drugshandel, kinderporno, auteursrechten*). Maar hier valt het Hof al meteen over de eerste eis: ok, er is dan wel een wet, maar die is zo vaag dat het voor providers niet mogelijk is om vast te stellen hoe ze zich daaraan moeten houden. In de Roemeense wet staat namelijk dat men onder andere “the related data necessary for the identification of the subscriber or registered user” moet bewaren, en dat is inderdaad behoorlijk vaag. Vandaar dat het Hof zegt:

The limitation of exerting the right to private life and to the secrecy of the correspondence and the freedom of expression, must also be made in a clear, predictable and unambiguous manner, so that the possibility of the arbitrariness or abuse from authorities in this field may be avoided , as much as possible.

In Nederland staat diezelfde term “related data” in artikel 13.2a lid 1 sub a Telecommunicatiewet, maar de bewaarplicht geldt alleen voor de zaken die in een specifieke lijst genoemd zijn. Bij ons is daarmee denk ik die onduidelijkheid wel weggenomen.

Wat wel bij ons speelt, is het punt van de proportionaliteit. Volgens de Wet Bewaarplicht moeten verkeersgegevens continu worden verzameld en bewaard, los van de vraag of die data nodig is voor bestrijding van enig strafbaar feit. Dat is niet noodzakelijk, zegt het Hof. Een inbreuk op de privacy moet in alle gevallen tijdelijk zijn. Immers:

[T]he regulation of a positive obligation that foresees the continuous limitation of the privacy right and the secrecy of correspondence makes the essence of the right disappear by removing the safeguards regarding its execution. The physical and legal persons, mass users of the public electronic communication services or networks, are permanent subjects to this intrusion into their exercise of their private rights to correspondence and freedom of expression, without the possibility of a free, uncensored manifestation, except for direct communication, thus excluding the main communication means used nowadays.

Op die gronden wordt de Roemeense wet die de bewaarplicht invoert, ongeldig verklaard als strijdig met de Roemeense Grondwet. Maar wat betekent dit nu voor de rest van Europa?

Mijn Roemeens recht is wat -ahem- roestig, maar zo te lezen is dit een wettelijk verplichte toets op deze nieuwe wet (zoals onze Raad van State doet, maar dan goed) en niet een arrest op verzoek van een benadeeld persoon. Dat is jammer, omdat er nu geen directe stap naar het Europese Hof voor de Rechten van de Mens mogelijk is. Dat kan pas als alle nationale rechtsmiddelen uitgeput zijn, en daar zijn we nog lang niet. Een Roemeen (bv. een provider die moet bewaren of een persoon wiens gegevens worden bewaard) zal nu eerst een rechtszaak moeten beginnen, en pas na hoger beroep en cassatie kan deze dan naar dat Hof.

Het is me zelfs niet duidelijk of dat er überhaupt van gaat komen – het kan goed zijn dat deze wet nu ingetrokken wordt en door iets nieuws vervangen gaat worden. En zolang er geen wet is, kan niemand die overtreden en is er dus geen grond om naar het Europese Hof te stappen. In Roemenië dan. Wie in Nederland zin heeft, heeft hier een mooi argument.

Arnoud

Pamflet tegen de bewaarplicht, uit 1967(!)

| AE 967 | Privacy | Er zijn nog geen reacties

Een opmerkelijk vooruitziend artikel uit 1967 over bewaarplichten: [A Government] Data Center poses a grave threat to individual freedom and privacy. With its insatiable appetite for information, its inability to forget anything that has been put into it, a central computer might become the heart of a government surveillance system that would lay bare our… Lees verder

AIVD mag stofzuigeren naar persoonsgegevens (via Netkwesties)

Frank Kuitenbrouwer vertelt een mooie parabel over de AIVD: Er was eens een klooster dat werd verlamd door een sluipend conflict onder de monniken waar de abt maar geen vinger achter kon krijgen. Ten einde raad riep hij de hulp in van een bevriende statisticus. Deze posteerde een waarnemer in de kloostergang voor de refter…. Lees verder

Conclusie Europese Hof van Justitie over afgeven persoonsgegevens

| AE 301 | Informatiemaatschappij, Ondernemingsvrijheid | 3 reacties

Wat betekent de conclusie van de advocaat-generaal van het Europese Hof van Justitie over het afgeven van verkeersgegevens van klanten? Over het afgeven van persoonsgegevens door providers is veel te doen. Recente jurisprudentie lijkt te suggereren dat dat altijd moet als er een klacht komt van bijvoorbeeld BREIN of de Buma. Zelfs XS4All heeft haar… Lees verder