Rechter beveelt politie in te loggen op WhatsApp-account overleden slachtoffer

Pexels / Pixabay

De rechter-commissaris in Den Haag heeft de politie bevolen om in te loggen op het WhatsApp- en Google-account van een overleden slachtoffer en zo de WhatsApp-communicatie en Google Takeout veilig te stellen voor zover die gegevens relevant zijn voor het onderzoek. Dat las ik bij Security.nl. Opmerkelijk, want de wet voorziet niet in een specifieke bevoegdheid hiervoor maar gezien de jurisprudentie zou het moeten kunnen.

Het slachtoffer is vermoedelijk door een misdrijf om het leven gekomen, en de politie had het vermoeden dat de WhatsApp- en Google Takeout communicatie relevant bewijs kon geven. Deze uit de telefoon van het slachtoffer halen lukte niet, omdat de telefoons onvindbaar waren. Een vordering bij WhatsApp-moederbedrijf Meta heeft geen zin vanwege de e2e encryptie, en Google zou volgens de officier makkelijk twee jaar over een rechtshulpverzoek doen en het dan waarschijnlijk afwijzen.

Blijft over de optie van de backup terugzetten. Daarvoor is technisch nodig dat je de sim van de verdwenen telefoon dupliceert (de provider kan dit), deze in een nieuwe telefoon plaatst en dan het WhatsApp-account herstelt. Alle backupdata wordt dan teruggezet, en daarna kun je deze lezen vanaf je nieuwe telefoon. Alleen, nergens in de wet is geregeld dat opsporingsambtenaren dit mogen doen. Je zou het zelfs een vorm van hacken kunnen noemen, binnendringen in andermans account bij WhatsApp immers.

De rechter-commissaris ziet in deze specifieke vorm van binnendringen weinig crimineels:

Het betreft stappen die een gebruiker zelf ook kan of zelfs moet zetten op het moment dat deze geen toegang meer heeft tot een account. Het terugzetten van een back-up (zoals bij WhatsApp) kan als een gebruikelijke handeling worden beschouwd, een back-up is immers bedoeld voor de situatie waarin er onverhoopt geen toegang meer tot de gegevens bestaat. Ook het moeten invoeren van bepaalde codes of het invullen van beveiligingsvragen om toegang te verkrijgen tot een account (zoals bij Google) is niet ongebruikelijk. … Het aanvragen van een duplicaat simkaart en het afvangen van een verificatiecode gebeurt niet alleen met toestemming van de nabestaande, maar valt naar het oordeel van de rechter-commissaris ook binnen de rechtmatige uitoefening van de politietaak gelet op artikel 3 van de Politiewet en de artikelen 141 en 142 Sv.
Het helpt natuurlijk zeer dat die nabestaande van het slachtoffer ook wilde wat er was gebeurd, en dus toestemming wilde geven. Of dat juridisch genoeg is om het binnendringen rechtmatig te maken, kun je over twisten: een nabestaande kan ook niet per definitie toestemming geven om een garagebox van de overledene open te breken. Maar de rechter-commissaris gebruikt het hier als een van de argumenten die maken waarom het binnendringen door de politie rechtmatig is.

Natuurlijk krijg je na deze actie toegang tot alle logs van alle chats, maar de vordering was beperkt tot bepaalde gesprekken in de elf dagen tot het overlijden. De overige data mag dus niet worden gebruikt.

Arnoud

Kan de politie Apple’s illegale audio-opnames opvragen en tegen je gebruiken?

RyanMcGuire / Pixabay

Een lezer vroeg me:

Apple heeft laten weten dat ze een bug in iOS 15 ontdekt hebben die ervoor zorgde dat Siri-opnames met Apple gedeeld werden. Dit ook wanneer je in de instellingen had gezegd dat dit niet mocht. Kan de politie deze opnames opvragen en tegen je gebruiken, ondanks dat ze onrechtmatig gemaakt zijn?
Siri is Apple’s spraakbesturing met AI: het systeem herkent je vraag of instructie die je via spraak doorgeeft. Die herkenning zal niet perfect zijn, daarom is het nodig van tijd tot tijd de opnames af te luisteren om correcties aan het systeem door te voeren.

Probleem was dat die opnames natuurlijk persoonsgegevens bevatten, en die mag Apple niet zomaar verwerken zonder toestemming. Na een schandaal in 2019 waarbij Apple dit toch bleek te doen, werd een functie geïntroduceerd om het delen met Apple aan en uit te kunnen zetten.

Nu blijkt die functie niet altijd goed te hebben gewerkt, zodat Apple soms toch audio kon verwerken terwijl men nadrukkelijk had gezegd (met de aan/uit knop) dat niet te willen. In AVG termen is die opname dan onrechtmatig verwerkt, en moet audio en transcriptie verwijderd worden.

Maar goed, stel Apple is daar nog niet aan toegekomen en ondertussen komt er via de FBI een Nederlands rechtshulpverzoek tot afgifte van die opname. Apple werkt mee, en de politie krijgt de opname. Is die dan bruikbaar als bewijs?

Ja, eigenlijk wel. Natuurlijk hoorden we net het woord “onrechtmatig” en door Justitie onrechtmatig verkregen bewijs is niet bruikbaar, maar let op: de procedure om het bewijs (de opname) te verkrijgen was geheel rechtmatig. Een Nederlandse rechter-commissaris vond het goed, de FBI heeft naar Amerikaans recht getoetst; weinig tegenin te brengen.

Dat het bewijs het resultaat is van onrechtmatig handelen, is niet relevant. Dat zou hooguit maken dat Apple onder de AVG beboet kan worden bijvoorbeeld, of wellicht strafrechtelijk vervolgd voor het illegaal afluisteren van gesprekken.

Arnoud

 

200.000 particuliere beveiligingscamera’s in politiedatabase

De afgelopen jaren hebben bedrijven en particulieren meer dan 200.000 beveiligingscamera’s in een database van de politie laten registreren, las ik bij Security.nl. Het gaat om de database “Camera in Beeld”, die informatie over beveiligingscamera’s in Nederland bevat. Het register stelt de politie in staat om snel camerabeelden te vorderen van strafbare feiten en andere misstanden.

Voor de duidelijkheid: Camera in Beeld is géén centrale toegang tot private beveiligingscamera’s. Het is een database met waar camera’s hangen, welk deel van de straat wordt opgenomen en wie de beheerder is. Zo kan de politie zoeken naar beelden van een misdrijf (zoals een vluchtende verdachte) en direct de juiste persoon benaderen met een vordering tot afgifte. Want ja, de politie moet die beelden opeisen en kan niet zomaar snuffelen of vrijwillig vragen beelden aan te leveren.

Juridisch lijkt me dit prima in orde. De kern zit hem in dat vorderen. Dat is een wettelijk recht van de politie, het enige nieuwe van Camera in Beeld is dat men makkelijk en snel weet bij wie de vordering moet worden neergelegd. Met deze route kunnen er ook geen discussies ontstaan of de camera-eigenaar dit wel had moeten doen of niet; bij een vordering moet het gewoon, klaar.

Het gaat vrijwel altijd om beelden van de openbare weg. (Natuurlijk kan men ook beelden van privéterrein zoeken hiermee, maar dan gaat het om misdrijven gepleegd op dat terrein en dan is de eigenaar vaak zelf aanwezig om de camera aan te wijzen en de beelden op vordering te verstrekken.) Daar kun je vraagtekens bij stellen vanuit privacyoogpunt, maar ook illegale beelden zijn bewijs wanneer burgers ze hebben gemaakt. De AVG of het portretrecht staat niet in de weg aan gebruik van camerabeelden voor opsporing en vervolging van strafbare feiten.

In het verleden waren er nog wel geluiden vanuit de AP dat filmen van de openbare weg met je beveiligingscamera niet zou mogen. Zowel de politie als de AP bevestigen nu dat de regels overigens niet zó streng zijn dat cameratoezicht op de openbare weg nooit mag. De AP zegt nu:

De AVG is wél van toepassing als u delen van de openbare ruimte filmt voor beveiliging. Bijvoorbeeld als u een camera in uw tuin heeft om uw woning te beveiligen en deze camera ook de openbare weg filmt die aan de tuin grenst. U mag alleen dát deel van de openbare weg filmen dat noodzakelijk is om uw woning te beveiligen.

Die noodzaak zul je overigens vooraf moeten bedenken en motiveren (op papier zetten dus), je kunt niet volstaan met “dat kwam handig zo uit” of “de installateur zei dat de camera hier moest”. Je zou kunnen denken aan kwesties als de auto ook willen bewaken, omdat er in jouw buurt nog wel eens auto’s bekrast worden, of kunnen vastleggen wie er jouw oprit op draait zodat je nummerbord en bestuurder kunt vastleggen. Maar wie bang is voor diefstal in de achtertuin, heeft denk ik een lastiger argument waarom de stoep vóór ook gefilmd moet worden.

Arnoud

Moet GeenStijl het IP-adres van haar reaguurders afgeven?

vordering-geenstijl-126nd-gegevensEen dikke vette vordering/machtiging/bevel van het Arrondissementsparket Amsterdam en een echte officier van justitie. Of GeenStijl even naam, adres, woonplaats alsook historische gegevens en ip-adressen van een drietal reaguurders wil overhandigen. Dat schreef het shockblog eerder deze week. Nee, was de reactie. Maar eh, heb je zo veel te willen dan als er een bevel van de officier ligt met een vordering tot afgifte?

De vordering tot afgifte van gegevens is gebaseerd op artikel 126nd Strafvordering. Bij verdenking van een ernstig misdrijf (zoals gedefinieerd in art. 67 Strafrecht) mag de officier van Justitie gegevens vorderen die van belang zijn voor het onderzoek. Voor een vordering als deze is wel vereist dat de rechter-commissaris toestemming geeft, maar die is er.

De vordering noemt zelf niet wat het strafbare feit zou zijn. Gezien de aard van de comments zou het kunnen gaan om beweerdelijke groepsbelediging (discriminatie) art. 137c Strafrecht, en dat is een ernstig misdrijf, zo staat in dat artikel 67, als je dat “in vereniging” doet. En er zijn hier drie mensen die gezamenlijk reaguren.

Klaar als een klontje dus, zou je zeggen. En dan kun je wel stoer doen als stijlloos blog, maar afgeven ga je.

Nou, niet per se. Het gaat hier niet om zomaar een vordering aan zomaar iemand die gegevens heeft, maar om een vordering aan een journalistiek medium. Want wat je ook van GS mag vinden, ze zijn journalistiek bezig. En dán mag je niet zomaar gegevens vorderen; journalisten hebben recht op bescherming van hun bronnen. Het beleid van het OM is dan ook

In ieder geval lijkt het toepassen van dwangmiddelen gerechtvaardigd als dat het enige effectieve middel is om een zeer ernstig delict op te helderen. Het moet dan gaan om die misdrijven waarbij het leven, de veiligheid of de gezondheid van personen ernstig is geschaad of in gevaar kan worden gebracht. Daarvan zal in beginsel sprake zijn bij het opsporen van de verdachte van bijvoorbeeld een reeks van ernstige zedenmisdrijven, het traceren van een hoeveelheid explosieven of het inrekenen van een voortvluchtige moordenaar.

en ja dat is juridisch bindend tegen het OM te werpen.

Je kunt je natuurlijk wel afvragen in hoeverre hier sprake is van een journalistiek relevante bron. Het ligt wat anders dan in de Crimesite-zaak waarbij IP-adressen van potentiële getuigen werden gevraagd in verband met een misdrijf dat elders werd gepleegd (een mishandeling op straat). Hier gaat het om informatie over de dader vanwege een uiting die ze op de site zelf hebben gedaan. Het voelt wat gek om in dat verband te spreken van een brón die de journalist wil beschermen.

Arnoud

Microsoft vecht bevel tot afgifte Europese e-mails aan

Microsoft gaat in beroep tegen een rechterlijk bevel om e-mails van Europese gebruikers te overhandigen aan de Amerikaanse overheid, las ik bij Webwereld. In april had de Amerikaanse Justitie een bevel gegeven aan de Amerikaanse moeder tot afgifte van mails opgeslagen bij Microsofts Ierse dochtermaatschappij. Het bevel wordt nu door de rechtbank bevestigd, maar Microsoft gaat dus in hoger beroep.

Wie rechtsmacht heeft in de cloud, blijft een lastige vraag. Het lijkt logisch uit te gaan van waar de servers staan, maar dan wordt het met de flexibiliteit van de cloud wel erg makkelijk om van jurisdictie naar jurisdictie te hoppen.

Kijken waar het bedrijf gevestigd is, is dan misschien beter. Maar hoe ga je dan om met buitenlandse dochters? Het doet gek aan dat je die niets zou mogen vragen terwijl ze toch net zo goed deel van het binnenlandse bedrijf zijn.

Binnen het Amerikaanse strafrecht komt deze vraag neer op de vraag hoe je een cloudmailopeising moet kwalificeren: een doorzoeking of een opvraging? Dit zijn grofweg de twee manieren om als Justitie iets te pakken te krijgenL langsgaan of het laten brengen.

Als je het ziet als een doorzoeking, dan is het bevel onterecht: Amerikaanse Justitie of politie mag geen buitenlandse panden doorzoeken, ook niet als ze eigendom zijn van een Amerikaan. Maar als je het ziet als een opeising dan mag het wel: een Amerikaan kan worden gedwongen naar zijn buitenlandse huis te gaan en daar iets op te halen als dat nodig is voor een strafrechtelijk onderzoek.

De rechtbank bevestigt nu dat ze lezing twee hanteert. Microsoft mag de mail dus gaan halen – of kan het haar dochter laten brengen, dat is om het even.

Het is goed dat Microsoft in beroep gaat, want dit maakt het wel érg makkelijk om wereldwijd dingen op te eisen die digitaal opgeslagen staan. Hoewel ik niet meteen een juridisch argument weet tegen het feit dat data geen pand is en dus wel een ding moet zijn, oftewel iets dat opeisbaar is in plaats van doorzoekbaar.

Arnoud

Amerikaanse rechter claimt rechtsmacht over data op Europese Microsoft-servers

cloud-flag-usaEen Amerikaanse rechter heeft bepaald dat Microsoft data moet afgeven aan Justitie, ondanks het feit dat die data op een server in Ierland staat en onder beheer is van Microsofts Ierse dochter. Dat meldde Slashdot gisteren. Microsoft had de search warrant aangevochten met de stelling dat de Ierse dochter buiten Amerikaanse jurisdictie valt, maar de rechter bepaalt nu dat dit geen relevant argument is bij clouddatavorderingen.

Het gelinkte Reuters-artikel legt uit dat het ging om e-maildata van een klant die op servers in Ierland stond. Deze servers worden beheerd door Microsofts Ierse dochter. Toen het moederbedrijf het bevel kreeg deze data af te geven, stapte men naar de rechter – zoals het bedrijf al meerdere malen had gemeld te zullen doen, in een poging angst over wereldwijd Patriotactdatagraaien bij Europese bedrijven en instellingen weg te nemen.

Het argument van Microsoft was gestoeld in twee eeuwen jurisprudentie: de Amerikaanse Justitie kan geen bevel geven om een buitenlands huis (of kantoorgebouw) te doorzoeken, ook niet als dat huis van een Amerikaan is. Daar mag men simpelweg niet in zoeken. En wat is nu het verschil tussen een server en een kantoorgebouw?

De rechter ziet het echter anders: het gaat hier niet om fysiek bezoeken van een locatie maar om het opvragen van data. En het is óók twee eeuwen jurisprudentie dat een Amerikaan die iets heeft dat moet komen brengen als de rechter daarom vraagt. Ook al ligt het iets in kwestie in een ander land. En als je die doctrine loslaat op e-mail dan moet Microsoft Inc de data dus maar gaan halen in Ierland. Of haar dochter bevelen dit te doen, wat ze juridisch kan aangezien dochterbedrijven moeten doen wat hun moederbedrijven zeggen.

Microsoft gaat bezwaar maken tegen deze beslissing. Een goede zaak, want dan krijgen we eindelijk eens écht duidelijkheid over hoe ver Amerikaans clouddatagraaien nu mag gaan. (Overigens gaat het hier niet om de Patriot Act maar de Stored Communications Act, qua concept vergelijkbaar met ons Wetboek van Strafvordering. En nu vraag ik me dus af of onze wet ook zo te lezen zou zijn als toepasselijk op data op een in het buitenland gehoste server van een Nederlands bedrijf. Ik kan er alleen niets over vinden…

Arnoud

Opschorten van een betaling via Afterpay

bonnetjes-btw-ontvangst-betalen-bewijs-rekening-kassabon.jpgEen lezer vroeg me:

Laatst kwam ik bij een webwinkel de optie tegen om via het bedrijf Afterpay achteraf te betalen per acceptgiro. Van de site begrijp ik dat Afterpay het geld meteen betaalt aan de winkel en het dan zelf gaat incasseren bij jou. Maar heb ik dan een overeenkomst met Afterpay of met de webwinkel? En wat gebeurt er als ik het product wil retourneren (Wet koop op afstand) of ontevreden ben over wat de winkel doet, moet ik dan nog steeds die betaalovereenkomst met Afterpay nakomen?

Als je bij een webwinkel iets koopt, dan heb je een koopovereenkomst met de webwinkel. Je moet dus aan de winkel betalen. Dat de winkel de betaling via een derde laat lopen, verandert daar in principe niets aan. De winkel blijft de partij die moet leveren en moet zorgen voor een goed product, en de consument blijft zijn recht van retour en zijn aanspraak op een conform product behouden.

De juridische constructie die Afterpay gebruikt, heet de cessie, art 3:94 BW. De winkel draagt zijn vordering op naam (zoals dat heet) over aan Afterpay, Afterpay betaalt een vergoeding en mag vervolgens de vordering incasseren, desnoods bij de rechter. Wie juridisch Latijn spaart: de winkel heet de cedent, Afterpay heet de cessionaris en de consument is de cessus. (Ja, heb ik ook moeten opzoeken.)

Een vordering overdragen mag, hoewel dat wel gemeld moet worden aan de partij die moet betalen, de cessus dus. Daarbij zijn er twee smaken: de “openbare cessie” en de “stille cessie”. Hier zitten genuanceerde juridische verschillen tussen, maar in beide gevallen komt het erop neer dat de verkoop op schrift gesteld moet worden en dat de debiteur gemeld moet worden dat de vordering is overgedragen. Een belangrijke in beide gevallen is overigens nog dat bij het sluiten van de overeenkomst de mogelijkheid van cessie gemeld moet zijn, formeel moet de debiteur instemmen met de cessie. Maar wie zelf Afterpay kiest, weet (moet weten) dat er een cessie gaat plaatsvinden.Cessie van een geldvordering mag eigenlijk altijd, tenzij afgesproken is van niet (art. 3:84 lid 1 en 2 BW).

In de normale situatie gaat dit goed. De winkel verkoopt zijn geldvordering op jou aan Afterpay, waardoor de winkel dus zekerheid heeft over zijn inkomsten. Afterpay heeft nu het incassorisico (hoewel ze een kredietcheck doen en mensen weigeren die daar negatief uit komen) maar krijgt een bedragje per transactie bij wijze van compensatie voor dit risico.

Maar als de overeenkomst wordt opgeschort (of ontbonden, via de Wet koop op afstand bijvoorbeeld) dan kan de cessionaris niet zomaar meer doorgaan met de incassoprocedure, art. 6:145 BW (zie ook Wibier p. 33). Logisch ook, want het doet gek aan dat een winkel bij opschorting géén geld meer mag vorderen maar een koper van diezelfde vordering nog wel. Je hebt dus weliswaar een betaalverplichting aan Afterpay maar de koopovereenkomst blijft gesloten met de winkel.

Arnoud

OM eist IP-adressen van website Crimesite, mag dat?

bevel-crimesite.pngDe Amsterdamse recherche en het Openbaar Ministerie dreigen de hoofdredacteur van Crimesite op te pakken, meldde de site gisteren. Hij wil geen gehoor geven aan een vordering om IP-nummers van bezoekers van de website te verstrekken. Het OM had die geëist in verband met een mishandelingszaak waarover Crimesite had bericht (via GeenStijl). In de reacties verklaarden twee getuigen iets over de gebeurtenissen, en de politie wil die graag eens op het bureau spreken. Kan dat zomaar?

De politie heeft de vordering ingediend op grond van artikel 126n Strafvordering. Daarmee mag men bepaalde gegevens vorderen “over een gebruiker van een communicatiedienst en het communicatieverkeer met betrekking tot die gebruiker”, zoals het IP-adres vanaf waar het communicatieverkeer is gedaan of de NAW-gegevens indien beschikbaar. Deze mag men vorderen van “aanbieders van een communicatiedienst”, en dat zijn dan weer bedrijven die (art. 126la Strafvordering):

aan de gebruikers van zijn dienst de mogelijkheid biedt te communiceren met behulp van een geautomatiseerd werk, of gegevens verwerkt of opslaat ten behoeve van een zodanige dienst of de gebruikers van die dienst;

Het gaat hier dus niet alleen om internetproviders die signalen doorgeven, maar óók om bedrijven die bijvoorbeeld pure hostingdiensten aanbieden. Die slaan immers gegevens op ten behoeve van de communicatiedienst “WWW” (ok ok technisch gesproken de dienst “http”). Je kunt discussiëren of Crimesite onder “bedrijven die communicatiediensten leveren” valt. Crimesite lijkt me wel een bedrijf in de zin van de wet – ze verkopen advertenties. Maar is hun core business de dienst opslag/doorgifte/http? Ik betwijfel het.

Crimesite heeft echter een veel sterker argument: zij doet aan journalistiek en heeft daarmee recht op bronbescherming (zoals bevestigd in de Voskuil– en Autoweek-arresten). Het OM heeft speciale richtlijnen opgesteld over hoe om te gaan met vorderingen richting journalisten. Die zegt in artikel 6a onder meer:

In ieder geval lijkt het toepassen van dwangmiddelen gerechtvaardigd als dat het enige effectieve middel is om een zeer ernstig delict op te helderen. Het moet dan gaan om die misdrijven waarbij het leven, de veiligheid of de gezondheid van personen ernstig is geschaad of in gevaar kan worden gebracht. Daarvan zal in beginsel sprake zijn bij het opsporen van de verdachte van bijvoorbeeld een reeks van ernstige zedenmisdrijven, het traceren van een hoeveelheid explosieven of het inrekenen van een voortvluchtige moordenaar.

Verdedigbaar is dat hier sprake is van een dergelijk misdrijf. Immers het ging om zware mishandeling van een portier. En als zich dan een getuige meldt dat hij gezien heeft wie het werkelijk was, en daarbij zelfs de politie aanspreekt (“Politie: maak even een praatje met het personeel en de DJ van die avond….dan weet je genoeg.”) dan kan ik het wel billijken dat je die meneer even wilt spreken. Er is geen anonimiteit bedongen, en heel hard nodig lijkt die ook niet bij een dergelijke verklaring. Dus ik denk dat uiteindelijk de rechter het OM toch gelijk zal geven, maar het tegendeel is ook goed verdedigbaar.

Essentieel is wél dat een rechter er naar moet kijken, en dat is niet het geval bij dit type vorderingen – iedere officier van justitie mag deze vordering instellen. En daarover zegt het Europese Hof in de Autoweek-zaak:

Although the public prosecutor, like any public official, is bound by requirements of basic integrity, in terms of procedure he or she is a “party” defending interests potentially incompatible with journalistic source protection and can hardly be seen as objective and impartial so as to make the necessary assessment of the various competing interests.

Daardoor was er geen “independent assessment as to whether the interest of the criminal investigation overrode the public interest in the protection of journalistic sources.” Een officier is (een beetje) partijdig en kan daarom niet beslissen of het opsporingsbelang zwaarder weegt dan het belang van de persvrijheid. Alleen een rechter(-commissaris) kan dat.

Arnoud