Politie ontdekt iSpoof-server in Almere en haalt oplichtingsdienst uit de lucht

StockSnap / Pixabay

Het Cybercrimeteam Midden-Nederland heeft in samenwerking met de Londense Metropolitan Police Service iSpoof-servers uit de lucht gehaald. Dat meldde Tweakers donderdag. Met deze servers werden duizenden neptelefoontjes per maand gefaciliteerd, wat vaak gebruikt wordt voor oplichting zoals door alarmerende “wij zijn van de bank en u wordt gehackt” telefoontjes. Wat de vraag oproept, waarom kán dat eigenlijk nog steeds?

Helaas komt het steeds vaker voor dat oplichters (“phishers”, in het jargon) gebruik maken van gespoofte telefoonnummers. Dat is logisch, want als een slachtoffer het werkelijke nummer van een bank als beller ziet, zal hij eerder het verhaal geloven natuurlijk. En technisch is dit simpel: telecomproviders hanteren in de praktijk geen enkele beperking , zoals dat het ingestelde nummer ergens aan jouw bedrijf gekoppeld moet zijn in de administratie van de telecomprovider. Ik weet niet waarom dat niet gebeurt.

Het kabinet had in 2021 aangekondigd dat ze zouden komen met een voorstel om de Telecommunicatiewet zo aan te passen dat telecomproviders worden verplicht om telefoonspoofing aan te pakken. Dat heeft geleid tot een internetconsultatie deze zomer. De kern is dat artikel 11.10 Telecommunicatiewet gaat verbieden dat je “onjuiste” nummers meestuurt, en dat de ACM nadere regels mag maken over specifieke controleverplichtingen. Denk aan een zwarte lijst met bv. nummers van banken (die jij dus niet mag laten gebruiken in uitgaande gesprekken) of een plicht om die nummers te bellen voordat de gebruiker ze mag activeren.

Dit lijkt mij een goed idee, toch was ik verrast te lezen dat onder meer Microsoft bezwaar had gemaakt. De kern is dat er soms toch ook legitieme toepassingen zijn van CLI spoofing, zoals het tonen van het algemene nummer van een bedrijf terwijl er wordt gebeld vanaf de mobiel van een medewerker. Maar zoals ik het wetsvoorstel lees, wordt dat ook niet categorisch verboden. Het mag namelijk gewoon als het nummer wél bij de organisatie hoort. Dat kun je al oplossen met een lijstje van de mobieltjes van de medewerkers.

MS wijst wel op een andere ontwikkeling, het STIR/SHAKEN protocol, waarmee op dieper technisch niveau spoofing moet kunnen worden tegengegaan. De kern is hier dat de provider een lijst nummers heeft waarvan hij weet dat ze bij de klant horen, en dan het gesprek alleen doorlaat als het uitgaande nummer op die lijst staat. Maar hoe dat precies anders is dan wat het ministerie voorstelt, begrijp ik niet helemaal.

Arnoud

 

Minister stuurt wetsvoorstel dat doxing strafbaar moet maken naar Tweede Kamer

De Nederlandse minister van Justitie en Veiligheid Dilan Ye?ilgöz-Zegerius heeft een wetsvoorstel dat doxing strafbaar moet stellen, naar de Tweede Kamer gestuurd. Dat meldde Tweakers vorige week. Doxing is de wat merkwaardige internetterm voor “iemands identiteit achterhalen”, waarbij het eigenlijk altijd gaat, zoals het wetsvoorstel zegt, om het gebruik van persoonsgegevens voor intimiderende doeleinden. De maximale straf moet een jaar cel of 9000 euro boete worden.

Het wetsvoorstel is breed geformuleerd maar focust nadrukkelijk op – wat Grapperhaus al zei – het onthullen van identiteit of woonadres van politie of andere ambtenaren:

Degene die zich persoonsgegevens van een ander of een derde verschaft, deze gegevens verspreidt of anderszins ter beschikking stelt met het oogmerk om die ander vrees aan te jagen dan wel aan te laten jagen, ernstige overlast aan te doen dan wel aan te laten doen of hem in de uitoefening van zijn ambt of beroep ernstig te hinderen dan wel ernstig te laten hinderen, wordt gestraft met gevangenisstraf van ten hoogste een jaar of geldboete van de derde categorie.
Het Tweakers-artikel meldt “Niet alleen daders vallen onder de wet. In het voorstel wordt ook gesproken over faciliterende partijen zoals internetplatforms. ” Maar voor de duidelijkheid: er is geen aparte nieuwe strafbaarstelling of medewerkplicht voor zulke partijen. Het mechanisme is gewoon notice-takedown, immers als een klant iets evident strafbaars doet en de provider wordt daarvan op de hoogte gesteld, dan moet deze dat bericht offline halen of blokkeren. En nu doxing dus strafbaar wordt, dienen providers ook daarbij in te grijpen.

Wel nog belangrijk is dat voorlopige hechtenis mogelijk is bij verdenking van dit misdrijf, het komt op de lijst van artikel 67 Strafvordering. Dat heeft meer effecten, zoals dat huiszoeking mogelijk is (art. 55a Sv) en vingerafdrukken mogen worden afgenomen (art. 55c). Ook is pseudokoop of -dienstverlening mogelijk (art. 126i), wat handig kan zijn als de verdachte in het openbaar alleen zegt dat hij de gegevens heeft maar ze alleen op individueel verzoek verstrekt. Dan kan een undercoveragent ze kopen, iets dat normaal lastig kan liggen vanwege uitlokking.

Natuurlijk blijven er bewijsproblemen, zoals dat oogmerk: als iemand een adres online zet met alleen knipogende smileys of “wie stuurt er een bloemetje”, kun je daar dan uit afleiden dat het gaat om vrees aanjagen of overlast aandoen? Dat is geen nieuw probleem in het strafrecht, hoe je een oogmerk bewijst.

Wat in ieder geval niet van belang is, is of de gegevens al ergens in het openbaar staan. Waar het om gaat, is of de verdachte ze publiceert met dat oogmerk van vrees aanjagen. Dat kan net zo goed als je de gegevens van de KVK ophaalt of uit een door het slachtoffer zelf gepubliceerd document, of voor mijn part het online telefoonboek.

En als laatste: ik lees her en der dat mensen de straf nogal laag vinden als maximum. Dat snap ik, maar realiseer je dat dit bedoeld is voor een situatie waarin alleen een publicatie met dreigend oogmerk te vinden is. Als er meer gebeurt, zoals dat mensen daadwerkelijk langsgaan, dan kun je het ook spelen via medeplichtigheid aan opruiing of bedreiging. En de opsporingsmiddelen in kunnen zetten is denk ik het werkelijke voordeel voor Justitie: de kans is groot dat er meer te vinden is als je langsgaat.

Arnoud

Tweede Kamer akkoord met updateplicht voor verkopers slimme apparaten

De Tweede Kamer is akkoord gegaan met een verplichting voor verkopers van slimme apparaten en digitale diensten om software- en beveiligingsupdates uit te brengen. Dat meldde Security.nl onlangs. Volgens mij was er niet heel veel keus, gezien dit uit een Europese Richtlijn komt en dus gewoon geregeld moest. Desondanks: mooi nieuws, en ik ben benieuwd. We hebben al zó lang last van gebrekkige apparaten met internettoegang.

De regeling omtrent updates wordt opgenomen in artikel 18 van boek 7 van het Burgerlijk Wetboek, dat is de plek waar conformiteit (“wettelijke garantie”) van verkochte zaken worden geregeld. De wettelijke term wordt “zaken met digitale elementen”. De kern is als volgt (lid 4):

Bij een zaak met digitale elementen zorgt de verkoper ervoor dat de updates, waaronder beveiligingsupdates, die nodig zijn om te bewerkstelligen dat de afgeleverde zaak aan de overeenkomst beantwoordt, aan de koper worden gemeld en geleverd gedurende de periode die de koper redelijkerwijs kan verwachten, gezien de aard en het doel van de zaak en de digitale elementen, en rekening houdend met de omstandigheden en de aard van de overeenkomst als de koop voorziet in levering van de digitale inhoud of digitale dienst.
De wet schrijft dus niet een specifieke periode voor, maar koppelt deze -net als de ‘gewone’ verwachting omtrent goed werken- aan de redelijke verwachting van de koper. Dat is dus iets dat we in de rechtspraak moeten gaan zien wat redelijk is.

Uitgangspunt is dus wel dat er updates gaan komen. Expliciet zeggen “wij verkopen zonder updates” is daarmee niet mogelijk, want dit is wel dwingend consumentenrecht. Maar er is een gaatje:

Van het niet beantwoorden van de afgeleverde zaak aan de overeenkomst in de zin van de leden 2 of 4 is geen sprake indien de koper er bij het sluiten van de overeenkomst uitdrukkelijk van in kennis werd gesteld dat een specifiek kenmerk van de zaak afweek en de koper die afwijking bij het sluiten van de overeenkomst uitdrukkelijk en afzonderlijk heeft aanvaard.
Ja, dat is weer een extra vinkje dat je dan moet zetten. Ik kan nergens vinden of de verkoper je mag verplichten dat vinkje te zetten of anders geen verkoop, maar ik denk het wel. Dat zou dan acceptabel zijn omdat je het héél duidelijk apart gemeld wordt en je dus apart moet zeggen dat je dat wil.

Verder vermeldt het wetsvoorstel een regeling over als de consument de update niet installeert. Niet verrassend is de leverancier dan niet aansprakelijk voor fouten die de update zou hebben opgelost, mits de update voldoende duidelijk was aangekondigd en de installatie-instructies duidelijk genoeg waren.

In alle gevallen gaat het dus over de verkoper, zeg maar de Mediamarkt of Coolblue, en dus niet de fabrikant. Daar heb je als consument eigenlijk nooit direct wat mee te maken, immers. Wel is het zo dat als de fabrikant iets aankondigt of meldt over het product, dit bindend wordt op de verkoper. Het is dan dus mogelijk dat zeg Samsung zorgt voor het melden en beschikbaar stellen van updates, maar dat jij gewoon de Mediamarkt aansprakelijk stelt als die update je telefoon versteent.

Al langer was geregeld dat de verkoper zelf een bindend verhaalsrecht (regresrecht) heeft op de importeur of fabrikant, deze wet verandert daar niets aan. Dus de Mediamarkt mag dan de Europese importeur van Samsung aansprakelijk stellen, of Samsung zelf. En in de zakelijke levercontracten kan dát niet worden verboden.

Arnoud

Kan iemand me uitleggen waar de NCTV ook weer goed voor is?

OpenClipart-Vectors / Pixabay

De Autoriteit Persoonsgegevens heeft zware kritiek op het wetsvoorstel dat de Nationaal Coördinator Terrorismebestrijding (NCTV) toestaat om burgers online te volgen en gevoelige persoonsgegevens te verzamelen, analyseren en met binnen- en mogelijk ook buitenlandse partijen te delen. Dat meldde Security.nl onlangs. Na het lezen van het stuk kan er voor mij maar een conclusie mogelijk zijn (en dat zie je niet vaak bij de AP): waarom wilden we ook weer een NCTV?

De Nationaal Coördinator Terrorismebestrijding en Veiligheid (NCTV) is een instantie van de Nederlandse overheid die in 2012 werd ingesteld “om Nederland te beschermen tegen bedreigingen die de maatschappij kunnen ontwrichten. Samen met partners binnen overheid, wetenschap en bedrijfsleven zorgt de NCTV ervoor dat de Nederlandse vitale infrastructuur veilig is én blijft.” Van zo veel ambtenarenjargon ontgaat je meteen de lust om er wat van te vinden, met name die “én” met accent is een plastic lipje in je toetje van 220 euro.

En wat dóen ze nou precies? Nederlanders volgen op social media, wat dus een probleem is omdat dat niet mag zonder nadere bevoegdheden. Die ze niet hadden, vandaar een wetsvoorstel – wat sowieso al raar is, als een dienst tegen de wet handelt dan zou ik zeggen dat je die dienst vijf jaar lang niet in de búúrt laat komen van die activiteiten in plaats van het te legaliseren. Maar ja, wie ben ik.

“Als je bij de geheime diensten en politie ziet met hoeveel randvoorwaarden het verwerken van dergelijke gevoelige informatie omgeven is, dan valt toch niet te verdedigen dat dit bij de NCTV niet nodig is? Dat bij de NCTV een enkele, door de NCTV zelf uit te voeren toets voldoende zou zijn? Dat is de slager die zijn eigen vlees keurt”, zegt AP-voorzitter Aleid Wolfsen.
Minister Grapperhaus liet onlangs weten dat het kabinet het wetsvoorstel snel wil behandelen, en doet daarbij zonder enige ironie een beroep op de nationale veiligheid. Oké. Maar mij is nog steeds niet duidelijk waarom we een NCTV nodig hebben naast de bestaande diensten?

Arnoud

Moet ransomware apart strafbaar worden gesteld?

persoon-persoonsgegeven-veilig-hek-beschermd-lek-dataCalifornië wordt zeer waarschijnlijk de eerste Amerikaanse staat die een aparte wet tegen ransomware krijgt, las ik bij Security.nl. Het wetsvoorstel verbiedt het infecteren van computers met ransomware en stelt dit gelijk aan afpersing. Er komt maximaal vier jaar cel op te staan. Dat voelt wat overdreven; afpersing is toch al lang strafbaar?

Het probleem in Californië lijkt te zijn dat hun afpersings-wetsartikel vereist dat er “force or fear” wordt gebruikt. Je kunt je afvragen of ransomware wel geweld of angst gebruikt om de betaling af te dwingen. Ransomware slaat je niet in elkaar en dreigt ook niet naar de pers te stappen als je niet snel betaalt. Dan ontstaat er dus een gaatje in de wet om te roepen dat het nog niet strafbaar is. Vandaar dit wetsvoorstel.

In Nederland hebben we twee wetsartikelen die ransomware strafbaar stellen. Het eerste artikel gaat eigenlijk over virussen en wormen (art. 350a Strafrecht). Het is strafbaar gegevens ter beschikking te stellen of verspreiden die zijn bestemd om schade aan te richten in een geautomatiseerd werk. Maar ransomware wordt ook verspreid en richt óók schade aan. Vier jaar cel maximumstraf. Daarnaast is het strafbaar (twee jaar cel) om data te wissen of onbruikbaar te maken.

Het tweede artikel is verwant aan de eigenlijke afpersing (art. 317 Strafrecht). Het is strafbaar om

met het oogmerk om zich of een ander wederrechtelijk te bevoordelen, door geweld of bedreiging met geweld iemand [te dwingen] hetzij tot de afgifte van enig goed dat geheel of ten dele aan deze of aan een derde toebehoort, hetzij tot het aangaan van een schuld of het teniet doen van een inschuld,

Hier staat dus “met geweld of dreiging met geweld” en je kunt je afvragen of een ransomware-auteur wel ‘geweld’ toepast of daarmee dreigt. Geweld is toch meer iets dat je tegen mensen zelf inzet. Misschien tegen hardware (“ik sloop je auto als je niet betaalt”) maar data is geen hardware en valt daar dan niet onder. (Het aanverwante chanteren, dreigen met smaad of onthulling van een geheim, staat in artikel 318).

Maar, lid 2:

2 Met dezelfde straf wordt gestraft hij die de dwang, bedoeld in het eerste lid, uitoefent door de bedreiging dat gegevens die door middel van een geautomatiseerd werk zijn opgeslagen, onbruikbaar of ontoegankelijk zullen worden gemaakt of zullen worden gewist.

En dit is natuurlijk exact wat ransomware doet: dreigen dat gegevens voor altijd verloren zullen gaan tenzij er nu snel betaald wordt. Daarmee valt ransomware dus ‘gewoon’ onder afpersing, met een maximumstraf van maar liefst negen jaar cel.

Dus ja, een tikje gelegenheidswetgeving is het wel maar gezien de aard van het misdrijf toch niet onverstandig. De grote vraag natuurlijk blijft: hoe krijg je de plegers te pakken? Ransomware is een beetje de perfecte misdaad: via niet-traceerbare kanalen een dreiging uiten en via niet-traceerbare kanalen geld ontvangen.

Arnoud

Heeft het strafbaar stellen van identiteitsfraude zin?

identity-identiteit-kaart.pngWie zich op internet voor een ander uitgeeft, moet volgens de Tweede Kamer maximaal vijf jaar cel kunnen krijgen. Dat meldde RTL Nieuws gisteren. Identiteitsfraude is op zichzelf niet strafbaar; pas als je iets strafbaars doet mét die identiteit kan een sttrafbaar feit ontstaan, bijvoorbeeld oplichting of smaad. Maar hoe ze dat gaan definiëren en wat de toegevoegde waarde is, ontgaat me.

Identiteitsfraude is al een paar jaar een behoorlijk hot item. Het is immers nogal makkelijk om andermans identiteit aan te nemen en dan dingen te bestellen, rare berichten op forums te plaatsen of anderszins misbruik te maken van die identiteit. Bedenk maar eens hoe veel bedrijven ondertussen een kopietje paspoort van je hebben. Of hoe veel databases je NAW-gegevens en bankrekeningnummer bevatten en hoe makkelijk die kraakbaar zijn; dan is een automatische incasso op internet zo ingevuld.

Maar: al die dingen zijn al strafbaar. Het op valse naam bestellen van spullen of afboeken van geld heet oplichting. Onder iemands naam een goedenaamaantastend bericht plaatsen (“hoi ik ben Henk en ik ben een oplichter”) is smaad. Enzovoorts. In april meldde de minister dan ook dat “een afzonderlijke delictsomschrijving juridisch geen toegevoegde waarde heeft”. Maar de Kamer wil toch graag “iets doen”, en dit is iets dus laten we het maar doen.

Helaas kan ik de Kamerstukken nog niet vinden, maar waarschijnlijk zal het wetsvoorstel gaan werken met deze definitie van identiteitsfraude:

Het opzettelijk (en) (wederrechtelijk of zonder toestemming) verkrijgen, toe-eigenen, bezitten of creëren van valse identificatiemiddelen en het daarmee begaan van een wederrechtelijk gedraging, of het verrichten van een dergelijke handeling met de intentie om daarmee een wederrechtelijke gedraging te begaan.

En dan denk ik gelijk, ja, “om een wederrechtelijke gedraging te begaan”, dat is dan mooi circulair. Het wordt strafbaar iets strafbaars te doen als je daarbij een valse identiteit gebruikt. Wat pak je daarmee aan dat nog niet strafbaar was dan?

Update (9:44) met dank aan de Piratenpartij een link naar het werkelijke voorstel:

?Hij die opzettelijk en wederrechtelijk identificerende persoonsgegevens, niet zijnde biometrische persoonsgegevens, van een ander gebruikt met het oogmerk om zijn identiteit te verhelen of de identiteit van de ander te verhelen of misbruiken, waardoor uit dat gebruik enig nadeel kan ontstaan, wordt gestraft met een gevangenisstraf van ten hoogste vijf jaren of geldboete van de vijfde categorie.

Het zou dan voldoende zijn dat ‘enig nadeel’ ontstaat, dat is dus een stuk breder dan “wederrechtelijke gedraging”. (En ‘verhelen’ betekent hier ‘verstoppen, verbergen’ en niet “door heling verhandelen”.)

Ik blijf zitten met onduidelijkheden. Wat is ‘misbruiken’? Onder mijn naam ergens reaguren en en zo mij belachelijk maken? Dan is het wel érg breed. Verder vraag ik me af of een undercoverjournalist nu ook strafbaar is: die bezorgt zijn onderwerp ook nadeel, die komt immers negatief in het nieuws. Of wordt dat dan net als satire en parodie opgelost door te zeggen, het is niet wederrechtelijk?

Zinniger lijkt mij om een strafverzwaring op te nemen bij delicten als oplichting. “Indien het feit begaan wordt gebruikmakend van de identiteit van een ander, wordt de maximale straf verhoogd met 3 jaren” of iets dergelijks. Die constructie kennen we bijvoorbeeld bij smaad en laster. Smaad is strafbaar met maximaal zes maanden cel. Smaadschrift (dus smaad op papier of op internet) is extra strafbaar, een jaar cel. En het heet laster als je wéét dat het niet waar is, twee jaar cel. Op die manier laat je duidelijk zien dat je die varianten van smaad nóg erger vindt. Hetzelfde zou m.i. goed passen bij identiteitsfraude.

Je kunt ook de “wederrechtelijke gedraging” eruit gooien maar dan krijg je allerlei problemen met bv. Twitterparodieaccounts of imitaties op televisie. Dat kun je dan wel weer oplossen door te zeggen dat wanneer sprake is van een legitieme meningsuiting je niet strafbaar bent, maar echt elegant voelt dat niet. Plus, er zullen ook andere situaties zijn. Wat te denken van de identiteit van een overleden of langdurig ziek familielid aannemen om zo zijn Facebook te beheren? Mailen vanuit het account van een zieke collega?

Hebben jullie een suggestie hoe je identiteitsfraude die géén oplichting, smaad of zo is zou kunnen definiëren?

Arnoud

Slappehapwetsvoorstel wil boetes op ‘aanmerkelijke’ privacylekken

disc-data-weg-bewaren-kruis.jpgOrganisaties die persoonsgegevens verwerken worden binnenkort verplicht om inbreuken die leiden tot diefstal, verlies of misbruik van persoonsgegevens te melden, las ik bij Nu.nl. Dat is dan wel voor grote waarden van ‘binnenkort’, want het is nog maar een wetsvoorstel dat naar de Tweede Kamer is gestuurd. En ik ben niet onder de indruk van deze slappehapstekst.

Onder de privacywet, de Wet bescherming persoonsgegevens, is iedereen die persoonsgegevens verzamelt verplicht deze ‘adequaat’ te beveiligen. Wat precies adequaat is, staat niet in de wet. Dat is te afhankelijk van het soort gegevens en het soort misbruik dat op de loer ligt, is de gedachte. De toezichthouder heeft richtsnoeren voor beveiliging gepubliceerd, maar heel concreet worden die ook niet.

Dit wetsvoorstel verandert daar niets aan. Er komt dus geen boete op het inadequaat beveiligen van persoonsgegevens. Wél komt er nu een eis voor iedere verantwoordelijke om het Cbp te informeren bij iedere inbreuk op de beveiliging “waarvan redelijkerwijs kan worden aangenomen dat die leidt tot een aanmerkelijke kans op nadelige gevolgen voor de bescherming van persoonsgegevens die door hem worden verwerkt.” Tevens moet hij de betrokken personen zélf ook informeren als “de inbreuk waarschijnlijk ongunstige gevolgen zal hebben voor diens persoonlijke levenssfeer.”

Klinkt leuk, niet? Natuurlijk, je wilt triviale meldingen vermijden (“de deur naar onze administratie stond tien minuten open” of “mogelijk heeft iemand op mijn scherm naar het openstaande adresboek gekeken”). Vandaar dat ‘aanmerkelijke kans’ en de wens dat er wel ‘nadelige gevolgen’ zijn. Maar dan pak ik de Memorie van Toelichting er even bij en blijkt de lat voor een melding wel héél vaag, hoog gelegd te worden:

Het zoekraken of hacken van de ledenadministratie van een sportvereniging zal doorgaans leiden tot het nodige ongemak voor vereniging en leden, maar zal niet snel aanleiding geven tot een melding bij het Cbp. De gevolgen van een dergelijk datalek blijven doorgaans beperkt en ook van betrokkenen kan worden gevergd dat zij een zekere mate van risico aanvaarden. Dat is nu eenmaal onlosmakelijk verbonden met het normaal vertrouwen in maatschappelijke verhoudingen.

Dat mijn vereniging zijn database niet goed beveiligt, is dus kennelijk niet erg? Wat voor soort sites wordt er ook alweer massaal gehackt elke week? Zijn dat banken of webwinkels? Gemeentelijke administraties of sportverenigingen? Wie het Zwartboek Datalekken van Bits of Freedom doorbladert, zal zich hopelijk net als ik afvragen waarom in vredesnaam zo’n opmerking gemaakt moest worden.

Wél gemeld moeten datalekken bij de Belastingdienst, Sociale Verzekeringsbank (SVB) of een commerciële bank of verzekeraar, zo noemt men als voordelen. Want dat “kan leiden tot financieel nadeel bij de betrokkene of tot de compromittering van gegevens die beschermd worden door een geheimhoudingsplicht”, zo staat er dan. Dus réken maar dat de bedrijfsjurist van ieder getroffen bedrijf meteen redeneert, de door ons beheerde persoonsgegevens vallen niet onder een wettelijke geheimhoudingsplicht en wij zijn geen bank, dus mooi we hoeven niets te melden.

Argh. Die zin “financieel nadeel” gaat daarmee nogal een lastig criterium worden om iemand aan te pakken. Grootste probleem is en blijft namelijk dat de schade door misbruik van persoonsgegevens niet goed te kwantificeren is. Wat kost een gelekt e-mailadres mij? Hoe veel schade ondervind ik (meetbaar en met bonnetjes te onderbouwen) als mijn BSN op een vage site staat?

Nee. Gemiste kans, dit. Het had veel simpeler gekund: boete bij inadequate beveiliging, hoogte direct gerelateerd aan de hoeveelheid gegevens in de database en het soort gegevens. Daarover lees ik dan dit:

Dit alternatief is nadrukkelijk overwogen. Het heeft als voordeel dat beveiliging als aspect van de bescherming van persoonsgegevens integraal wordt aanpakt. Daar staat echter tegenover dat artikel 13 van de Wbp een algemeen-abstract geformuleerde norm is. De handhaving van dergelijke normen vraagt afzonderlijke aandacht uit hoofde van artikel 7 van het Europees Verdrag ter bescherming van de rechten van de mens en de fundamentele vrijheden, vooral op het punt van het lex certa beginsel en de kwestie van de voorzienbaarheid van overtredingen.

Poe poe nou nou, het EVRM en lex certa. Vertaald naar normaal Nederlands: dan gaat het bedrijfsleven zeuren “ja maar wij weten niet wanneer een beveiliging ‘adequaat’ is dus dan staat er een boete op iets vaags”. Nou sorry hoor, maar als de maatschappelijke zorgvuldigheid als norm duidelijk genoeg is, waarom dit dan niet? (En ja ik weet het verschil tussen civiel en bestuursrecht.) Of iets adequaat is, kun je prima vaststellen – doe een audit of laat een deskundige er wat over zeggen.

Of, heel simpel, als er gegevens op straat zijn gekomen dan was je beveiliging inadequaat. Vinden we persoonsgegevens nou waardevol om te beschermen of niet?

Arnoud

Wetsvoorstel computercriminaliteit: terughackbevoegdheid, webcammeekijkrecht, decryptiebevel en wereldwijde rechtsmacht bij cybercrime

team-high-tech-crimeMinister van Veiligheid en Justitie Ivo Opstelten wil de politie de mogelijkheid geven om fors in te grijpen tegen hackers, meldde NRC en vele andere media. In een nieuw wetsvoorstel tegen cybercrime stelt hij voor de politie een terughackbevoegdheid en een webcamgluurrecht te geven. Oh ja, en weigeren je wachtwoord te geven wordt strafbaar.

Het wetsvoorstel bevat een al lang liggend verlanglijstje van Justitie om meer bevoegdheden te krijgen. Zo wordt het apart strafbaar gesteld om gegevens te ‘helen’, oftewel gegevens over te nemen die niet openbaar zijn. Dit naar aanleiding van de Manon Thomas-zaak, waarin er strafrechtelijk weinig te doen was tegen de publicatie van via computervredebreuk verkregen privéfoto’s van de bekende Nederlandse. Dat kan nu wel – een jaar cel – maar “overnemen van niet-openbare gegevens” is gelijk wel een pondje zwaarder dan “publicatie van gevoelige privégegevens”.

De gegevens hoeven niet via computervredebreuk verkregen te zijn. Een laptop ouderwets jatten en dan de inhoud op pastebin zetten is ook strafbaar als dit wet wordt. Netjes is wel dat er een expliciete uitzondering is opgenomen voor serieuze journalistiek:

Niet strafbaar is degene die te goeder trouw heeft kunnen aannemen dat het algemeen belang bekendmaking van de gegevens vereiste.

Het decryptiebevel. Tsja. Zoals de minister zelf al zegt:

De verdachte kan zich erop beroepen niet in staat te zijn aan het bevel te voldoen omdat hij niet in staat is de sleutel te reproduceren.
Dat levert dan overmacht op, waardoor hij niet strafbaar is. Maar de rechter mag wel zijn conclusies trekken over hoe geloofwaardig dit overkomt en wat dat betekent voor de rest van het bewijs. Opmerkelijk is nog dat het bevel alleen gegeven mag worden bij terrorisme en kinderporno, want dan durft niemand er tegen te zijn.

Verder wordt de gerechtelijke toets bij weghaalbevelen voor tussenpersonen (zoals hostingpartijen) toch niet geschrapt. Wel wordt de regeling herschreven maar voor zover ik kan zien, is dat vooral een verduidelijking. De belangrijkste aanvulling is dat er nu eindelijk een klachtmogelijkheid is tegen een dergelijk bevel.

Meest controversieel is toch wel de hackbevoegdheden die Justitie gaat krijgen onder dit wetsvoorstel. Men mag binnendringen in een computer, router of cloudserver waar de verdachte gebruik van maakt (ja, ook als hij niet de enige is) en deze “onderzoeken” om vast te stellen wie de eigenaar is of waar het apparaat staat. Maar ook alle gegevens overnemen “die noodzakelijk zijn om de waarheid aan het licht te brengen” – de wettelijke definitie van “bewijs vergaren”. Wel moet sprake zijn van een ernstig delict, en er moet toestemming zijn van de rechter-commissaris.

Hiermee mag dus ook de cloud gehackt worden – en neemt Nederland dus rechtsmacht aan voor alle cloudservers waar ze bij kunnen.

Aangenomen wordt dat bevoegdheden als de ontoegankelijkmaking of het veiligstellen van gegevens tot de eigen territoriale beschikkingsmacht behoort voor zover de Nederlandse strafwet toepasselijk is op het strafbare feit dat wordt opgespoord. De noodzaak tot onverwijld optreden maakt dit onvermijdelijk en ook volkenrechtelijk goed verdedigbaar. Dit betekent dat wanneer de plaats van opslag van de gegevens niet bekend is, zelfstandig kan worden opgetreden.

En wij maar piepen als de FBI gaat datagraaien in Europese computers onder hun Patriot Act.

Met een apart bevel mag men ook communicatie aftappen, vertrouwelijke communicatie opnemen en de verdachte stelselmatige observeren – inderdaad, de politie mag dan je webcam stiekem aanzetten en meekijken. Hiervoor komt een aanvulling op het Besluit technische hulpmiddelen strafvordering, waarin nu al staat wanneer de politie met richtmicrofoons of camera’s mag afluisteren of meekijken.

De hiervoor te gebruiken software lijkt nog te moeten worden ontwikkeld:

De softwareapplicatie dient te zijn gecertificeerd. De eisen voor de certificatie worden neergelegd in het Besluit technische hulpmiddelen strafvordering. Dit brengt met zich mee dat de mogelijkheid bestaat om technische hulpmiddelen van verschillende leveranciers te betrekken, op voorwaarde dat deze middelen aan de wettelijke eisen voldoen.

Harde eis: In het geval dat de software wordt herkend, is het van essentieel belang dat deze niet te herleiden is tot de politie. Eh.

Arnoud