Ja, je mag een verdachte (licht) dwingen zijn vinger op zijn telefoon te zetten

| AE 12505 | Regulering | 32 reacties

Levert onder dwang gebruikmaken van vingerafdruk van verdachte ter ontgrendeling van bij hem in gebruik zijnde smartphone met het oog op bewijsgaring inbreuk op het o.m. in art. 6 EVRM vervatte nemo tenetur-beginsel op? Die vraag kreeg de Hoge Raad onlangs voorgelegd in een strafzaak, en het antwoord is nu gegeven: nee

We hebben het vaker over onder dwang ontgrendelen gehad. Lagere rechters hebben tot nu toe eigenlijk steeds gezegd dat dat mag, verdachte in de handboeien en dan de vinger gedwongen op de sensor om de telefoon zo te openen. (Wat je daarna mag doorzoeken, is weer een andere discussie. Maar open gaat ‘ie, want die agent is sterker dan jij.)

Het ging in deze zaak om de biometrische ontgrendeling van een in beslag genomen smartphone van een verdachte om ten behoeve van het opsporingsonderzoek (kort gezegd: diefstal in vereniging en oplichting) toegang te krijgen tot de inhoud daarvan. De iPhone die verdachte bij zijn aanhouding bij zich had, is in beslag genomen en door de politie meteen in ‘Flight Mode’ gezet, zodat de telefoon niet van afstand kon worden gewist.

Tijdens zijn verhoor heeft verdachte verklaard dat de in beslag genomen iPhone zijn toestel is en dat niemand anders dat toestel gebruikt. Aan verdachte is gevraagd, en daarna bevolen, de toegangscode van zijn telefoon te geven. Dat wilde hij niet.  Vervolgens is verdachte geboeid en is zijn rechterduim met fysieke dwang maar zonder geweld op de vingerafdrukscanner van de iPhone geplaatst. Hierdoor werd de iPhone ontsloten.

Nu dus bij de Hoge Raad de vraag: mocht dit, op deze manier? Voorop staat, aldus de HR, dat het mogelijk moet zijn om in beslag genomen voorwerpen te doorzoeken bij verdenkingen van misdrijven. Dat geldt ook voor de inhoud van smartphones, dus die moeten open kunnen als ze dicht zijn. Daarbij mag dwang worden toegepast: het afpakken van dingen die iemand vasthoudt, bijvoorbeeld. Idem voor vingers op smartphones zetten.

Alleen, dan loop je ook tegen dat rechtsbeginsel aan dat mensen niet tegen zichzelf hoeven te getuigen, of meer algemeen mee te werken aan zijn eigen veroordeling (artikel 6 EVRM, nemo tenetur voor de juristen). Maar dat is geen absoluut recht

In artikel 6 EVRM ligt besloten dat, indien ten aanzien van een verdachte sprake is van een “criminal charge” in de zin van die bepaling, deze het recht heeft “to remain silent” en “not to incriminate oneself”. Beslissend voor de vraag of in een strafrechtelijke procedure het nemo tenetur-beginsel is geschonden, is of het gebruik tot het bewijs van het onder dwang van de verdachte verkregen materiaal in een strafzaak zijn recht om te zwijgen en daarmee zijn recht om zichzelf niet te belasten van zijn betekenis zou ontdoen.
Men citeert vervolgens een zaak van een verdachte die gedwongen braakmiddelen toegediend kreeg, om zo doorgeslikte drugs uit diens spijsverteringskanaal te krijgen. Dat was géén overtreding van artikel 6, want de verdachte hoefde zelf niets te zeggen of doen. (Wel was het een overtreding van het martelverbod uit artikel 3 EVRM, omdat dit veel te invasief is voor het beoogde doel en niet vergelijkbaar met bijvoorbeeld bloed of dna afnemen.)

De HR concludeert dan ook instemmend dat de verdachte hier ook niets hoefde te zeggen of doen, zodat hij niet gedwongen werd mee te werken aan zijn veroordeling. De mate van dwang was zeer beperkt, zodat ook artikel 3 niet overtreden werd. Deze werkwijze was dus legaal.

Arnoud

Een werkgever mag vingerafdruk niet zomaar verplichten bij personeel

| AE 11437 | Ondernemingsvrijheid, Privacy | 18 reacties

Een schoenwinkel in Tilburg mag werknemers niet verplichten hun vingerafdruk af te staan voor het bedienen van de kassa. Dat las ik bij Tweakers. De rechtbank had geoordeeld dat vingerafdruksystemen grote risico’s meebrengen, en de noodzaak voor deze eis niet voldoende onderbouwd was. Daarom was dit vereiste in strijd met de AVG. En dat is precies hoe de AVG werkt: dingen mogen prima, als je er maar goed over nagedacht hebt en vooraf hebt onderbouwd waarom het op deze manier moet. Heb je niet nagedacht, dan mag het niet. Zoals hier.

De zaak was aangespannen* door een werknemer die het niet eens was met deze verwerking van bijzondere persoonsgegevens (biometrie) bij de Manfield-keten. Alle winkels werden voorzien van kassa’s met vingerafdruk-loginsystemen, dat verplicht moest worden gebruikt om te kunnen afrekenen. Volgens Manfield was dit nodig vanwege de gevoelige gegevens die in de kassa zitten: financiële gegevens, maar ook persoonsgegevens van personeel. En tsja, de AVG verplicht tot gebruik van passende state of the art technische beveiliging en zo’n pincodetje zoals vroeger, dat is natuurlijk wel een tikje verouderd he meneertje. (Oh pardon, ga ik weer met mijn AVG cynisme.)

(* Met compliment voor Manfield, dat er een gezamenlijke stap naar de kantonrechter van maakte om duidelijkheid te krijgen én de griffiekosten betaalde.)

Een iets serieuzere reden was zo te lezen dat er in de oude systemen nog wel eens fraude werd gepleegd, je kunt immers elkaars pincode afkijken en dan valse transacties onder elkaars account boeken – of een collega inloggen die eigenlijk nog niet op het werk was, en zo toch voor de hele dag betaald kan krijgen. Er was “nagedacht” over alternatieven zoals pasjes, maar dat bleek niet 100% waterdicht.

Vanuit de AVG zijn de regels rond biometrische systemen streng. Het mag niet, tenzij een land in de wet heeft staan dat het wel mag en waarom. In Nederland staat er (art. 29 UAVG) dat het mag als noodzakelijk voor beveiliging of authenticatie. “Noodzaak” wil hier niet zeggen “we hebben geen reëel alternatief” en dat vereist een uitwerking van zowel de problemen die je oplost met het biometrisch systeem (dit is waarom het moet) als van de risico’s en hun maatregelen voor de privacy van de werknemer (dit is hoe we het netjes houden). En die uitwerking ontbrak bij Manfield, en dan ben je gewoon direct af onder de AVG. Had Manfield op papier de alternatieven uitgewerkt met hun voors en tegens en was er dán uiteindelijk dit systeem uitgekomen, dan had het zeer waarschijnlijk wel gemogen.

Wie nu denkt dat biometrie überhaupt niet meer mag in Nederland, heeft er dus weinig van begrepen. Het is prima, maar werk uit waarom het moet, waarom de privacy desondanks gewaarborgd is (en hoe dan) en waarom alternatieven niet goed genoeg zijn. Bij een datacenter dat toegangsbeveiliging met irisscan of vingerafdrukken regelt, is dit bijvoorbeeld een zeer eenvoudige casus: het gaat om zeer waardevolle en kwetsbare systemen en gegevens (fysieke toegang tot hardware), er komen veel wisselende mensen en er is niet altijd menselijk toezicht, en het gaat om beperkte werkzaamheden. Dat zie ik dus niet als een probleem.

(Meelezende DC security officers: doe me alleen een lol en ga je bezoekers geen consentformulier laten tekenen voor vingerafdrukgebruik. Consent is voor nieuwsbrieven.)

Arnoud

Politie mocht iPhone verdachte onder dwang via duim ontgrendelen

| AE 11158 | Regulering, Security | 10 reacties

De politie heeft in een onderzoek naar een phishingbende de iPhone van een verdachte onder dwang via zijn duim mogen ontgrendelen, las ik bij Security.nl. In drie vonnissen besliste de rechtbank Noord-Holland dat deze opsporingstechniek legitiem is, ook nu er geen specifieke wettelijke regeling is. Dat bevestigt de eerdere lijn uit februari waarin ook de Marechaussee dit mocht doen.

In deze zaak ging het om verdenkingen van phishing (juridisch: diefstal in vereniging en oplichting), waarbij de verdachten in voorlopige hechtenis waren genomen. Daarbij werd een iPhone aangetroffen, die de politie wilde ontgrendelen waarvoor de vinger van de verdachte nodig was. Die weigerde dat, waarop de officier besloot dat de verdachte weerspannig was en hem liet boeien, waarna de vinger door een agent op de telefoon werd gezet. Daarna was de telefoon toegankelijk voor onderzoek.

Het juridische probleem hierachter is dat er geen specifieke regels zijn over het doorzoeken van telefoons die als bewijs in beslag zijn genomen. Dat moet eigenlijk wel, omdat dergelijke apparaten tegenwoordig veel persoonlijke informatie bevatten. Om diepgaand te treden in de privacy van een verdachte, is een wettelijke regeling nodig. Denk aan huiszoeking of snuffelen in iemands mailbox.

De Hoge Raad bepaalde in 2017 dat de politie terughoudend moet zijn met telefoondoorzoekingen. Even kijken naar “een gering aantal bepaalde gegevens” bij een concrete aanleiding kan nog net, de gehele telefoon van 0 tot 255 doornemen zou te ver gaan tenzij daar héél zwaarwegende redenen voor zijn. In de praktijk komt dit erop neer dat hoe ernstiger de verdenking, hoe verder men mag kijken.

Leuk en aardig maar als die telefoon niet open gaat, dan houdt al het onderzoek snel op. De laatste jaren is er dan ook veel discussie geweest over hoe de politie een telefoon mag open forceren als ze niet zelf de pincode of andere unlockinformatie kan achterhalen. De vinger op de sensor forceren werd al snel een centraal punt in die discussie. Is dat nu gewoon een vingerafdruk nemen (zoals al sinds jaar en dag gebeurt) of is dit iemand dwingen tegen zichzelf te getuigen?

De lijn die bij dit nemo tenetur-beginsel in mensenrecht-jurisprudentie getrokken wordt, is of de gedwongen actie iets is dat al dan niet onafhankelijk van de wil van de verdachte plaats kan vinden. Hem fotograferen of een vingerafdruk afnemen voor het dossier, is iets dat kan of hij dat nu wil of niet. Zeggen waar het lijk ligt, vereist zijn wil. Je mag in die lijn dan ook wel een verdachte dwingen in de lens te kijken of zijn vinger op een stempelkussen te duwen en daarna op een papiertje, maar niet op een kaart te markeren waar het lijk te vinden is.

Anders dan de situatie waarin verdachte wordt gedwongen de toegangscode van zijn telefoon te geven, hetgeen een verklaring van verdachte vereist, maakt het plaatsen van de duim van verdachte op zijn iPhone naar het oordeel van de rechtbank geen inbreuk op het nemo tenetur-beginsel. Het betreft hier namelijk het dulden van een onderzoeksmaatregel die geen actieve medewerking van verdachte vereist. Daar komt bij dat de vingerafdruk met een zeer geringe mate van dwang is verkregen. Dat met het plaatsen van de duim van verdachte op de iPhone toegang wordt verkregen tot mogelijk wilsafhankelijke en voor hem belastende gegevens, maakt dit naar het oordeel van de rechtbank niet anders.

De rechtbank weegt daarbij mee dat er maar weinig andere mogelijkheden waren, onder meer omdat een telefoon zich na een bepaald aantal pogingen permanent vergrendelt. En de verwachting was zeer groot dat er wat te vinden zou zijn. Dat alles bij elkaar maakt dat het ontgrendelen legitiem wordt geacht.

De uiteindelijk gevonden informatie blijkt vervolgens ook relevant voor de strafzaak. Ik ben dan nog wel benieuwd hoe dit uit zou pakken als blijkt dat de politie verkeerd zat, maar de lijn dat een vinger afdwingen mag, lijkt daarmee wel definitief gezet.

Arnoud

Marechaussee mocht onder dwang vingerafdruk afnemen om telefoon te ontgrendelen

| AE 11100 | Regulering | 26 reacties

De Koninklijke Marechaussee mocht onder dwang de vingerafdruk van een verdachte afnemen om zijn telefoon te ontgrendelen, las ik bij Security.nl. De rechtbank Noord-Holland bepaalde dat dit legitiem was bij een verdachte die vorig jaar augustus was aangehouden op Schiphol aangehouden wegens het invoeren van drugs. De verdachte had betoogd dat dit in strijd was… Lees verder

Politie en FBI geven elkaar toegang tot databank met vingerafdrukken

| AE 10967 | Privacy, Regulering | 38 reacties

De Nederlandse politie krijgt toegang tot databanken met daarin vingerafdrukken van miljoenen Amerikanen, las ik bij Tweakers. Omgekeerd kan de FBI de Nederlandse strafdatabank met vingerafdrukken van 1,3 miljoen veroordeelden en verdachten benaderen. Zo moeten beide politiediensten makkelijker vingerafdrukken kunnen matchen aan bekende daders (of verdachten) uit eerdere onderzoeken. Een nogal opmerkelijke stap, die veel… Lees verder

Mag je als bedrijf vingerafdrukken voor je prikklok gebruiken?

| AE 10911 | Privacy | 12 reacties

Bedrijven trotseren de nieuwe privacywet door gewoon te blijven werken met prikklokken met vingerafdrukken. Dat meldde het FD afgelopen vrijdag. Uitzendbureau Tempo Team is gestopt, maar supermarkt Dirk ziet er vooralsnog geen probleem in. De AVG verklaart vingerafdrukken tot biometrische en daarmee bijzondere persoonsgegevens, die in principe niet mogen worden gebruikt. De zorg is nu… Lees verder

‘Amerikaanse politie ontgrendelt iPhones met vingers overledenen’

| AE 10476 | Regulering | 13 reacties

Politiediensten in de VS zouden regelmatig iPhones met de Touch ID-beveiliging ontgrendelen, door de vinger van overledenen op de vingerafdrukscanner te houden. Dat meldde Tweakers vorige week. De reden erachter zou zijn dat men zo een stuk goedkoper die telefoon kan ontgrendelen, een forensisch specialist is duur en Apple werkt zelf niet mee zonder gerechtelijk… Lees verder

Kan een werknemer verplicht worden mee te werken aan een vingerafdrukslot?

| AE 9700 | Informatiemaatschappij | 19 reacties

Een intrigerende vraag op Reddit (de /r/Nederland): I have a 6 months contract. My employer is adding a fingerprint lock to the door, I don’t want my fingerprint or the hash calculated from it to be taken, can he force me? (Ik baseer het antwoord maar even op de AVG/GDPR want die is het relevantst… Lees verder

Verdachte doet aangifte van dreiging en dwang bij ontgrendelen smartphone

| AE 9515 | Regulering | 39 reacties

Een van de hoofdverdachten in de strafzaak rond douanier Gerrit G. doet aangifte tegen de politie, las ik bij Nu.nl. De politie zou hem hebben bedreigd om zo zijn smartphone te ontgrendelen. De telefoon zat namelijk achter een vingerafdrukslot, en hij wilde niet meewerken aan het zetten van die afdruk. Daarop zou gedreigd zijn om… Lees verder

Hoe bindend is een bestelling met je moeders duim?

| AE 9164 | Ondernemingsvrijheid | 14 reacties

Een zesjarig meisje heeft voor 250 dollar Pokémon-artikelen besteld met haar moeders iPhone, las ik in SFgate. Ze ontgrendelde de telefoon door haar moeders duim te gebruiken terwijl die sliep. Gelukkig voor het verhaal bleek de order retourneerbaar, maar het riep bij mij wel de juridische vraag op: zit je er aan vast als ouder,… Lees verder