Verdachte doet aangifte van dreiging en dwang bij ontgrendelen smartphone

| AE 9515 | Strafrecht | 39 reacties

Een van de hoofdverdachten in de strafzaak rond douanier Gerrit G. doet aangifte tegen de politie, las ik bij Nu.nl. De politie zou hem hebben bedreigd om zo zijn smartphone te ontgrendelen. De telefoon zat namelijk achter een vingerafdrukslot, en hij wilde niet meewerken aan het zetten van die afdruk. Daarop zou gedreigd zijn om zijn vingers te breken. Dat is natuurlijk onrechtmatig, maar iets fundamenteler is wel de vraag of je móet meewerken aan het vingerafdrukken ter ontgrendelen van je telefoon.

Het is een vast principe dat je geen wachtwoorden of pincodes hoeft te geven als verdachte. Dat valt onder het recht niet gedwongen te mogen worden om tegen jezelf te getuigen. Maar dat gaat alleen over dingen die je wéét. Dingen die je hébt, mag Justitie gerust afpakken en onderzoeken om daarmee de waarheid aan het licht te brengen. Ze mogen je kluis openen met een lasbrander (of een handige slotenmaker), onder de vloer kijken, je harddisk kopiëren, je tuin omspitten en je administratie meenemen als daar bewijs te verwachten valt. Of je telefoon leegtrekken, waar genoeg speciale apparatuur voor is.

Het is wettelijk toegestaan om gedwongen een vingerafdruk af te nemen, maar het moet dan eigenlijk gaan om identificatie van de verdachte (art. 27a Strafvordering). Dat is toch wel even iets anders dan een vingerafdruk inzetten om een telefoon te openen. Maar bij een ernstig misdrijf mag er meer (art. 55c):

De foto’s en vingerafdrukken [van de verdachte] kunnen ook worden verwerkt voor het voorkomen, opsporen, vervolgen en berechten van strafbare feiten en het vaststellen van de identiteit van een lijk.

Met enige goede wil is “openen van zijn telefoon” wel te rekenen onder “opsporen van strafbare feiten”, als de data op die telefoon daar deel van uitmaakt. Maar getest bij de strafrechter is het nog nooit.

Wat is nu het veiligdste slot op je telefoon dat tevens praktisch bruikbaar is?

Arnoud

Hoe bindend is een bestelling met je moeders duim?

| AE 9164 | Webwinkels | 14 reacties

Een zesjarig meisje heeft voor 250 dollar Pokémon-artikelen besteld met haar moeders iPhone, las ik in SFgate. Ze ontgrendelde de telefoon door haar moeders duim te gebruiken terwijl die sliep. Gelukkig voor het verhaal bleek de order retourneerbaar, maar het riep bij mij wel de juridische vraag op: zit je er aan vast als ouder, als je kind zo een bestelling plaatst?

Een kind van zes kan niet rechtsgeldig een overeenkomst sluiten met een winkel natuurlijk. Tenzij je zegt dat het normaal is voor zesjarigen om voor 250 dollar aan speelgoed te kopen (art. 1:234 lid 2 BW). Daar verandert het gebruik van moeders duim -of pincode, of lijst met TAN-codes, of portemonnee- niets aan. De ouders kunnen die transactie onder Nederlands recht dus zonder enig probleem terugdraaien.

Lastig wordt het alleen wel als de winkel zegt “Nee, niet het kind maar u de ouder heeft die bestelling geplaatst, het was immers uw telefoon waarmee de betaling werd geautoriseerd”. Bij dit soort bestellingen zal de bestelinformatie immers op naam van de vader of moeder staan, en inderdaad is er een betaalmiddel van de ouder gebruikt. De bal ligt dan bij de ouder in kwestie om te bewijzen dat het niet haar was maar het kind dat op die knop drukte. En dat lijkt me nog knap ingewikkeld.

In het verleden hebben we deze discussie ook gehad bij gebruik van ouderlijke creditcards, of smartphones waar recent de pincode nog was ingevoerd. Juridisch maakt het weinig verschil dat nu een vingerafdruk is gebruikt. De bewijsproblematiek wordt er volgens mij niet wezenlijk anders van. Hoe toon je aan dat je kind jouw duim pakte, dat is hetzelfde als hoe je aantoont dat je kind jouw creditcard overtypte of jouw telefoon gebruikte binnen de 20 minuten voordat de pincode weer gevraagd wordt.

Verschil in de praktijk is natuurlijk wel dat je bij die andere betaalmiddelen iets kunt doen. Je creditcard kan in een afgesloten tas. Je telefoon kun je handmatig vergrendelen. Je TAN-codes kun je op een hoge plank leggen. Maar wat doe je met je duim als je in slaap valt? Dit schijnt sleepjacking te heten, en volgens mij is het nog best lastig om dat probleem met biometrische authenticatie op te lossen.

Arnoud

Gastpost: Mag mijn telefoon mijn vingerafdruk eigenlijk wel gebruiken?

| AE 8829 | Beveiliging, Privacy | 27 reacties

iphone-vingerafdrukDeze week ben ik met vakantie, dus traditiegetrouw een aantal gastblogs. Vandaag: Xinthia Krielaart met een juridische kijk op vingerafdrukken op je telefoon.

Tot twee maanden geleden behoorde ik nog tot de zeer kleine groep mensen die nog nooit een smartphone had gekocht. Maar toen ik in dienst kwam bij een hip IT-bedrijf, moest mijn oude telefoon plaatsmaken voor een state-of-the-art smartphone. Vol met nieuwe snufjes, inclusief handige vingerafdruk scanner. Geweldig: geen gezeur meer met het onthouden en vegen van specifieke patronen of het intikken van een pincode. Alleen: wordt mijn vingerafdruk wel veilig opgeslagen? Hoe weet ik zeker dat mijn unieke afdruk niet gebruikt of doorgestuurd wordt naar een bepaalde app of leverancier?

De General Data Protection Regulation (GDPR) Aangezien ik een juridische achtergrond heb, begon ik mijn zoektocht bij wet- en regelgeving. Mijn startpunt was de nieuwe General Data Protection Regulation (GDPR, in het Nederlands ook wel de Privacyverordening) die in mei 2018 van kracht gaat samen met de huidige Wet bescherming persoonsgegevens (wbp). In vergelijking met de Wbp gaat er behoorlijk wat veranderen in 2018, waaronder de uitgangspunten omtrent het gebruik van biometrische gegevens.

Volgens de GDPR zijn alle biometrische gegevens bijzondere persoonsgegevens. De verwerking van biometrische gegevens is hiermee verboden, tenzij is voldaan aan een van de uitzonderingssituaties. Bovendien moet in het geval van een uitzonderingssituatie de verwerking van persoonsgegevens voldoen aan het subsidiariteit en proportionaliteit principe en aan strenge organisatorische en technische maatregelen.

Werp je een vlugge blik op de limitatief opgesomde uitzonderingen in de GDPR, dan lijkt het opslaan van biometrische gegevens ten behoeve van authenticatie door commerciële bedrijven hier niet direct onder te vallen. De meeste uitzonderingssituaties vallen namelijk binnen de publieke sector (zoals publieke gezondheid, werkgelegenheid en sociale veiligheid). Ik kan bijvoorbeeld geen situatie bedenken waarbij het gebruik van je vingerafdruk voor het ontgrendelen van je smartphone noodzakelijk is voor je werkgever.

Wettelijke uitzondering: toestemming De enige situatie waarin commerciële bedrijven wel biometrische persoonsgegevens mogen verwerken is de situatie waarin het datasubject expliciete toestemming heeft gegeven. Mijn mobiele telefoon mag dus mijn vingerafdruk gebruiken, omdat ik hiervoor expliciete toestemming heb gegeven. Of niet?

De vraag is namelijk of mijn toestemming wel expliciet genoeg was. Je kunt je namelijk, net zoals bij cookies, afvragen wanneer er sprake is van expliciete toestemming. Zoals ik al zei was ik bij ingebruikname vooral gedreven door het voor mij nieuwe en interessante technologische snufje. Ik dacht op het moment van instellen niet na over mogelijke gevolgen voor mijn privacy. Ik heb bovendien nergens zien staan wat er precies met mijn vingerafdruk gebeurt. Heeft de fabrikant nu ook mijn vingerafdruk in een database staan?

Toestemming of niet? Op basis hiervan zou ik dus kunnen beargumenteren dat ik geen expliciete toestemming hebben gegeven. Ik heb immers niet alle consequenties afgewogen. Door het gebrek aan informatie was dit bovendien ook niet echt mogelijk. De fabrikant daarentegen zou kunnen zeggen dat ik een keuze heb gehad. Het was namelijk ook mogelijk om mijn smartphone niet te beveiligen, of om enkel een wachtwoord of patroontje te gebruiken. Doordat ik toch heb gekozen voor mijn vingerafdruk, zou de fabrikant kunnen zeggen dat ik expliciet toestemming heb gegeven.

Wie heeft er nu gelijk? Ik weet het niet. Ik denk wel dat dit vraagstuk een stuk makkelijker wordt wanneer de biometrische gegevens versleuteld worden opgeslagen. Als je dit doet, zijn de data immers niet meer direct herleidbaar tot een natuurlijke persoon. In de GDPR staat bovendien dat persoonsgegevens data zijn die direct of indirect herleidbaar is tot een geïdentificeerd of identificeerbaar persoon. Maakt de versleutelmethode de data onherleidbaar tot een persoon? Dan is de kans groot dat deze data niet meer als persoonsgegeven te bestempelen zijn. De GDPR is dan niet meer van toepassing.

Toekomst Er zijn tegenwoordig legio van functionaliteiten te verzinnen waarbij biometrische gegevens gebruikt kunnen worden om de gebruiker te authenticeren. Continuous authentication kijkt bijvoorbeeld niet meer naar fysieke kenmerken, maar ‘leert’ van het gedrag van de gebruiker. Op basis van deze informatie kan de applicatie bijvoorbeeld bepalen om de toegang van de gebruiker te blokkeren, of extra bewijs te vragen, als zijn handelingen te veel afwijken van hoe de gebruiker normaliter acteert. Ook dit soort informatie valt binnen de GDPR onder bijzondere persoonsgegevens. In mijn situatie is het gebruik van een vingerafdruk nog redelijk behapbaar en is het uitleggen aan de gebruiker wat er met deze gegevens gebeurt nog vrij eenvoudig. In het kader van zelflerende techniek wordt dat een behoorlijke uitdaging.

De toekomst van biometrische authenticatiemethoden is enigszins onzeker. De GDPR lijkt immers enkele barrières op te werpen die het gebruik van biometrische authenticatiemethoden kunnen vertragen of tegenhouden. De lat voor het verkrijgen van expliciete toestemming lijkt namelijk steeds hoger te worden. Voor mij zal de regeling in de GDPR voor het verwerken van biometrische gegevens geen directe gevolgen hebben. Ik zal nog steeds elke dag blij zijn dat het zo makkelijk is om mijn telefoon met mijn vingerafdruk te ontgrendelen. Of mijn toestemming nou expliciet was of niet.

Xinthia Krielaart is Associate Advisory bij Everett B.V. Dit is een advies- en systeemintegratiebureau dat gespecialiseerd is in digitale identiteiten. Xinthia heeft een achtergrond in Privaatrecht en in Communicatie. Haar interesses liggen op het vlak van IT en dataprotectie.

Europese Hof: overheid mag vingerafdruk in paspoort verplichten

| AE 6045 | Privacy | 72 reacties

De overheid mag burgers verplichten hun vingerafdruk af te geven bij het aanvragen van een identiteitskaart, las ik bij Tweakers. Een Duitse burger had bezwaar gemaakt tegen deze eis, en de Duitse rechter vroeg daarop aan het Europese Hof hoe dat nu eigenlijk zit met vingerafdrukken binnen het Europese privacyrecht. Het Hof bepaalt nu dat… Lees verder