‘Amerikaanse politie ontgrendelt iPhones met vingers overledenen’

| AE 10476 | Regulering | 13 reacties

Politiediensten in de VS zouden regelmatig iPhones met de Touch ID-beveiliging ontgrendelen, door de vinger van overledenen op de vingerafdrukscanner te houden. Dat meldde Tweakers vorige week. De reden erachter zou zijn dat men zo een stuk goedkoper die telefoon kan ontgrendelen, een forensisch specialist is duur en Apple werkt zelf niet mee zonder gerechtelijk bevel. Helaas werkte het niet in het recentste geval, omdat ook een pincode nodig was. Desondanks: handige jongens die agenten, maar is het legaal?

Een risico van biometrische gegevens voor identificatie of authenticatie is altijd dat die gegevens tegen de wil van de eigenaar kunnen worden verkregen. Juridisch gezien ligt het namelijk nogal anders of je iemands wachtwoord opeist of iemands vingerafdruk. Een wachtwoord is een stukje kennis, iets dat men weet. Kennis opeisen van een verdachte ligt moeilijk vanwege het verbod om tegen jezelf te getuigen. Maar medewerking eisen aan een fysieke handeling – ga deze kamer in, ga hier zitten, leg je vinger op dit stempelkussen en nu op dit papier – is lang aanvaard als een legitieme bevoegdheid.

Het doet hier vooral raar aan omdat deze persoon overleden is. Juridisch gezien is de status van een overleden persoon altijd wat ingewikkeld, maar in de praktijk worden dingen er vooral simpeler op. Een overleden persoon heeft bijvoorbeeld geen privacyrechten – de AVG en andere privacywetgeving geldt alleen voor levende mensen (“natuurlijke personen”) en dus niet voor overledenen.

Maar in het strafrecht ligt dat anders: als iemand overlijdt, dan stopt de strafvervolging (art. 69 Strafrecht). Daarmee komt in principe ook een einde aan de bevoegdheid om de voor die vervolging gebruikte bewijsmiddelen te doorzoeken. Maar niet helemaal: die gegevens kunnen immers ook voor andere onderzoeken nog relevant zijn, en daarom mogen ze langer (tot twee jaar na overlijden, art. 6 Wet justitiële en strafvorderlijke gegevens) bewaard worden.

Ik kan in het Nederlands recht niets vinden dat de bevoegdheid geeft om de vinger van een overledene op een telefoon te plaatsen om die daarmee te unlocken. Ik denk dat het mag, omdat niets het verbiedt en het niet raakt aan de privacy van de eigenaar – die is immers overleden en hééft dus geen privacy meer. Hoe cru dat ook klinkt. Dit is dus een uitzondering op de regel dat men telefoons niet zomaar mag doorzoeken.

Arnoud

Kan een werknemer verplicht worden mee te werken aan een vingerafdrukslot?

| AE 9700 | Informatiemaatschappij | 19 reacties

Een intrigerende vraag op Reddit (de /r/Nederland):

I have a 6 months contract. My employer is adding a fingerprint lock to the door, I don’t want my fingerprint or the hash calculated from it to be taken, can he force me?

(Ik baseer het antwoord maar even op de AVG/GDPR want die is het relevantst voor de lange termijn.)

Een vingerafdruk wordt gezien als een biometrisch persoonsgegeven: fysieke, fysiologische of gedragsgerelateerde kenmerken van een natuurlijke persoon waarmee identificatie mogelijk is. Wel moet het dan gaan om verwerkingen met het oog op de unieke identificatie van een persoon, maar daarvan lijkt me hier wel sprake.

Het verwerken van biometrische persoonsgegevens valt onder de zeer strenge regels voor bijzondere persoonsgegevens. Dat mag kort gezegd niet, tenzij in de AVG staat van wel. Wie dan doorleest, zal in de AVG zelf niets vinden waarin staat dat dit mag. Echter, hoewel het hier gaat om een Europese wet is het specifiek op dit punt toegestaan dat landen eigen regels maken over biometrische persoonsgegevens.

Nederland heeft dat gedaan, althans in concept: de concepttekst van de Uitvoeringswet AVG bepaalt (artikel 26) dat deze gegevens mogen worden verwerkt ter identificatie. Voorwaarde hiervoor is wel dat de verwerking noodzakelijk en proportioneel is ter behartiging van gerechtvaardigde belangen van de verwerkingsverantwoordelijke of een derde. Het is onder omstandigheden eveneens toegestaan om biometrische gegevens te verwerken indien de betrokkene hiervoor in vrijheid toestemming heeft gegeven.

Dat van die toestemming kun je vergeten als werkgever. Even kort door de bocht, omdat iedereen graag salarisverhoging/vast contract/promotie wil, zullen ze op iedere toestemmingsvraag ja zeggen uit angst dat mis te lopen. Dat is dus niet vrijwillig.

Je moet als werkgever dus op zoek naar een rechtvaardigingsgrond. Waarom moet dat nou met biometrie, die deur. Is er werkelijk geen andere, net zo effectieve oplossing? Natuurlijk, sleutels kan men kwijtraken en pincodes kunnen worden vergeten, uitgelekt of afgekeken. Een portier is ook ietwat begrotelijk. En de kans dat een derde vingers gaat afsnijden om binnen te komen is bij het gemiddelde Nederlandse bedrijf niet zo groot.

Vanuit dat standpunt denk ik dat het dus wel mag, mits alléén voor toegangscontrole. Zou je die vingerafdrukken ook gaan gebruiken om bijvoorbeeld te kijken hoe goed iemand zijn werk doet (“neemt wel héél vaak pauze”) dan zul je daar een apart verhaal voor moeten bouwen waarom jouw belang als werkgever het alsnog wint van de privacy van de werknemer.

Arnoud

Verdachte doet aangifte van dreiging en dwang bij ontgrendelen smartphone

| AE 9515 | Regulering | 39 reacties

Een van de hoofdverdachten in de strafzaak rond douanier Gerrit G. doet aangifte tegen de politie, las ik bij Nu.nl. De politie zou hem hebben bedreigd om zo zijn smartphone te ontgrendelen. De telefoon zat namelijk achter een vingerafdrukslot, en hij wilde niet meewerken aan het zetten van die afdruk. Daarop zou gedreigd zijn om zijn vingers te breken. Dat is natuurlijk onrechtmatig, maar iets fundamenteler is wel de vraag of je móet meewerken aan het vingerafdrukken ter ontgrendelen van je telefoon.

Het is een vast principe dat je geen wachtwoorden of pincodes hoeft te geven als verdachte. Dat valt onder het recht niet gedwongen te mogen worden om tegen jezelf te getuigen. Maar dat gaat alleen over dingen die je wéét. Dingen die je hébt, mag Justitie gerust afpakken en onderzoeken om daarmee de waarheid aan het licht te brengen. Ze mogen je kluis openen met een lasbrander (of een handige slotenmaker), onder de vloer kijken, je harddisk kopiëren, je tuin omspitten en je administratie meenemen als daar bewijs te verwachten valt. Of je telefoon leegtrekken, waar genoeg speciale apparatuur voor is.

Het is wettelijk toegestaan om gedwongen een vingerafdruk af te nemen, maar het moet dan eigenlijk gaan om identificatie van de verdachte (art. 27a Strafvordering). Dat is toch wel even iets anders dan een vingerafdruk inzetten om een telefoon te openen. Maar bij een ernstig misdrijf mag er meer (art. 55c):

De foto’s en vingerafdrukken [van de verdachte] kunnen ook worden verwerkt voor het voorkomen, opsporen, vervolgen en berechten van strafbare feiten en het vaststellen van de identiteit van een lijk.

Met enige goede wil is “openen van zijn telefoon” wel te rekenen onder “opsporen van strafbare feiten”, als de data op die telefoon daar deel van uitmaakt. Maar getest bij de strafrechter is het nog nooit.

Wat is nu het veiligdste slot op je telefoon dat tevens praktisch bruikbaar is?

Arnoud

Hoe bindend is een bestelling met je moeders duim?

| AE 9164 | Ondernemingsvrijheid | 14 reacties

Een zesjarig meisje heeft voor 250 dollar Pokémon-artikelen besteld met haar moeders iPhone, las ik in SFgate. Ze ontgrendelde de telefoon door haar moeders duim te gebruiken terwijl die sliep. Gelukkig voor het verhaal bleek de order retourneerbaar, maar het riep bij mij wel de juridische vraag op: zit je er aan vast als ouder,… Lees verder

Gastpost: Mag mijn telefoon mijn vingerafdruk eigenlijk wel gebruiken?

| AE 8829 | Privacy, Security | 27 reacties

Deze week ben ik met vakantie, dus traditiegetrouw een aantal gastblogs. Vandaag: Xinthia Krielaart met een juridische kijk op vingerafdrukken op je telefoon. Tot twee maanden geleden behoorde ik nog tot de zeer kleine groep mensen die nog nooit een smartphone had gekocht. Maar toen ik in dienst kwam bij een hip IT-bedrijf, moest mijn… Lees verder

Europese Hof: overheid mag vingerafdruk in paspoort verplichten

| AE 6045 | Privacy | 72 reacties

De overheid mag burgers verplichten hun vingerafdruk af te geven bij het aanvragen van een identiteitskaart, las ik bij Tweakers. Een Duitse burger had bezwaar gemaakt tegen deze eis, en de Duitse rechter vroeg daarop aan het Europese Hof hoe dat nu eigenlijk zit met vingerafdrukken binnen het Europese privacyrecht. Het Hof bepaalt nu dat… Lees verder