Internetrecht door Arnoud Engelfriet

StockSnap / Pixabay

Het Cybercrimeteam Midden-Nederland heeft in samenwerking met de Londense Metropolitan Police Service iSpoof-servers uit de lucht gehaald. Dat meldde Tweakers donderdag. Met deze servers werden duizenden neptelefoontjes per maand gefaciliteerd, wat vaak gebruikt wordt voor oplichting zoals door alarmerende “wij zijn van de bank en u wordt gehackt” telefoontjes. Wat de vraag oproept, waarom kán dat eigenlijk nog steeds?

Helaas komt het steeds vaker voor dat oplichters (“phishers”, in het jargon) gebruik maken van gespoofte telefoonnummers. Dat is logisch, want als een slachtoffer het werkelijke nummer van een bank als beller ziet, zal hij eerder het verhaal geloven natuurlijk. En technisch is dit simpel: telecomproviders hanteren in de praktijk geen enkele beperking , zoals dat het ingestelde nummer ergens aan jouw bedrijf gekoppeld moet zijn in de administratie van de telecomprovider. Ik weet niet waarom dat niet gebeurt.

Het kabinet had in 2021 aangekondigd dat ze zouden komen met een voorstel om de Telecommunicatiewet zo aan te passen dat telecomproviders worden verplicht om telefoonspoofing aan te pakken. Dat heeft geleid tot een internetconsultatie deze zomer. De kern is dat artikel 11.10 Telecommunicatiewet gaat verbieden dat je “onjuiste” nummers meestuurt, en dat de ACM nadere regels mag maken over specifieke controleverplichtingen. Denk aan een zwarte lijst met bv. nummers van banken (die jij dus niet mag laten gebruiken in uitgaande gesprekken) of een plicht om die nummers te bellen voordat de gebruiker ze mag activeren.

Dit lijkt mij een goed idee, toch was ik verrast te lezen dat onder meer Microsoft bezwaar had gemaakt. De kern is dat er soms toch ook legitieme toepassingen zijn van CLI spoofing, zoals het tonen van het algemene nummer van een bedrijf terwijl er wordt gebeld vanaf de mobiel van een medewerker. Maar zoals ik het wetsvoorstel lees, wordt dat ook niet categorisch verboden. Het mag namelijk gewoon als het nummer wél bij de organisatie hoort. Dat kun je al oplossen met een lijstje van de mobieltjes van de medewerkers.

MS wijst wel op een andere ontwikkeling, het STIR/SHAKEN protocol, waarmee op dieper technisch niveau spoofing moet kunnen worden tegengegaan. De kern is hier dat de provider een lijst nummers heeft waarvan hij weet dat ze bij de klant horen, en dan het gesprek alleen doorlaat als het uitgaande nummer op die lijst staat. Maar hoe dat precies anders is dan wat het ministerie voorstelt, begrijp ik niet helemaal.

Arnoud

De Nederlandse minister van Justitie en Veiligheid Dilan Ye?ilgöz-Zegerius heeft een wetsvoorstel dat doxing strafbaar moet stellen, naar de Tweede Kamer gestuurd. Dat meldde Tweakers vorige week. Doxing is de wat merkwaardige internetterm voor “iemands identiteit achterhalen”, waarbij het eigenlijk altijd gaat, zoals het wetsvoorstel zegt, om het gebruik van persoonsgegevens voor intimiderende doeleinden. De maximale straf moet een jaar cel of 9000 euro boete worden.

Het wetsvoorstel is breed geformuleerd maar focust nadrukkelijk op – wat Grapperhaus al zei – het onthullen van identiteit of woonadres van politie of andere ambtenaren:

Degene die zich persoonsgegevens van een ander of een derde verschaft, deze gegevens verspreidt of anderszins ter beschikking stelt met het oogmerk om die ander vrees aan te jagen dan wel aan te laten jagen, ernstige overlast aan te doen dan wel aan te laten doen of hem in de uitoefening van zijn ambt of beroep ernstig te hinderen dan wel ernstig te laten hinderen, wordt gestraft met gevangenisstraf van ten hoogste een jaar of geldboete van de derde categorie.

Wel nog belangrijk is dat voorlopige hechtenis mogelijk is bij verdenking van dit misdrijf, het komt op de lijst van artikel 67 Strafvordering. Dat heeft meer effecten, zoals dat huiszoeking mogelijk is (art. 55a Sv) en vingerafdrukken mogen worden afgenomen (art. 55c). Ook is pseudokoop of -dienstverlening mogelijk (art. 126i), wat handig kan zijn als de verdachte in het openbaar alleen zegt dat hij de gegevens heeft maar ze alleen op individueel verzoek verstrekt. Dan kan een undercoveragent ze kopen, iets dat normaal lastig kan liggen vanwege uitlokking.

Natuurlijk blijven er bewijsproblemen, zoals dat oogmerk: als iemand een adres online zet met alleen knipogende smileys of “wie stuurt er een bloemetje”, kun je daar dan uit afleiden dat het gaat om vrees aanjagen of overlast aandoen? Dat is geen nieuw probleem in het strafrecht, hoe je een oogmerk bewijst.

Wat in ieder geval niet van belang is, is of de gegevens al ergens in het openbaar staan. Waar het om gaat, is of de verdachte ze publiceert met dat oogmerk van vrees aanjagen. Dat kan net zo goed als je de gegevens van de KVK ophaalt of uit een door het slachtoffer zelf gepubliceerd document, of voor mijn part het online telefoonboek.

En als laatste: ik lees her en der dat mensen de straf nogal laag vinden als maximum. Dat snap ik, maar realiseer je dat dit bedoeld is voor een situatie waarin alleen een publicatie met dreigend oogmerk te vinden is. Als er meer gebeurt, zoals dat mensen daadwerkelijk langsgaan, dan kun je het ook spelen via medeplichtigheid aan opruiing of bedreiging. En de opsporingsmiddelen in kunnen zetten is denk ik het werkelijke voordeel voor Justitie: de kans is groot dat er meer te vinden is als je langsgaat.

Arnoud

De Tweede Kamer is akkoord gegaan met een verplichting voor verkopers van slimme apparaten en digitale diensten om software- en beveiligingsupdates uit te brengen. Dat meldde Security.nl onlangs. Volgens mij was er niet heel veel keus, gezien dit uit een Europese Richtlijn komt en dus gewoon geregeld moest. Desondanks: mooi nieuws, en ik ben benieuwd. We hebben al zó lang last van gebrekkige apparaten met internettoegang.

De regeling omtrent updates wordt opgenomen in artikel 18 van boek 7 van het Burgerlijk Wetboek, dat is de plek waar conformiteit (“wettelijke garantie”) van verkochte zaken worden geregeld. De wettelijke term wordt “zaken met digitale elementen”. De kern is als volgt (lid 4):

Bij een zaak met digitale elementen zorgt de verkoper ervoor dat de updates, waaronder beveiligingsupdates, die nodig zijn om te bewerkstelligen dat de afgeleverde zaak aan de overeenkomst beantwoordt, aan de koper worden gemeld en geleverd gedurende de periode die de koper redelijkerwijs kan verwachten, gezien de aard en het doel van de zaak en de digitale elementen, en rekening houdend met de omstandigheden en de aard van de overeenkomst als de koop voorziet in levering van de digitale inhoud of digitale dienst.

Uitgangspunt is dus wel dat er updates gaan komen. Expliciet zeggen “wij verkopen zonder updates” is daarmee niet mogelijk, want dit is wel dwingend consumentenrecht. Maar er is een gaatje:

Van het niet beantwoorden van de afgeleverde zaak aan de overeenkomst in de zin van de leden 2 of 4 is geen sprake indien de koper er bij het sluiten van de overeenkomst uitdrukkelijk van in kennis werd gesteld dat een specifiek kenmerk van de zaak afweek en de koper die afwijking bij het sluiten van de overeenkomst uitdrukkelijk en afzonderlijk heeft aanvaard.

Verder vermeldt het wetsvoorstel een regeling over als de consument de update niet installeert. Niet verrassend is de leverancier dan niet aansprakelijk voor fouten die de update zou hebben opgelost, mits de update voldoende duidelijk was aangekondigd en de installatie-instructies duidelijk genoeg waren.

In alle gevallen gaat het dus over de verkoper, zeg maar de Mediamarkt of Coolblue, en dus niet de fabrikant. Daar heb je als consument eigenlijk nooit direct wat mee te maken, immers. Wel is het zo dat als de fabrikant iets aankondigt of meldt over het product, dit bindend wordt op de verkoper. Het is dan dus mogelijk dat zeg Samsung zorgt voor het melden en beschikbaar stellen van updates, maar dat jij gewoon de Mediamarkt aansprakelijk stelt als die update je telefoon versteent.

Al langer was geregeld dat de verkoper zelf een bindend verhaalsrecht (regresrecht) heeft op de importeur of fabrikant, deze wet verandert daar niets aan. Dus de Mediamarkt mag dan de Europese importeur van Samsung aansprakelijk stellen, of Samsung zelf. En in de zakelijke levercontracten kan dát niet worden verboden.

Arnoud

De Autoriteit Persoonsgegevens heeft zware kritiek op het wetsvoorstel dat de Nationaal Coördinator Terrorismebestrijding (NCTV) toestaat om burgers online te volgen en gevoelige persoonsgegevens te verzamelen, analyseren en met binnen- en mogelijk ook buitenlandse partijen te delen. Dat meldde Security.nl onlangs. Na het lezen van het stuk kan er voor mij maar een conclusie mogelijk… Lees verder

Californië wordt zeer waarschijnlijk de eerste Amerikaanse staat die een aparte wet tegen ransomware krijgt, las ik bij Security.nl. Het wetsvoorstel verbiedt het infecteren van computers met ransomware en stelt dit gelijk aan afpersing. Er komt maximaal vier jaar cel op te staan. Dat voelt wat overdreven; afpersing is toch al lang strafbaar? Het probleem… Lees verder

Wie zich op internet voor een ander uitgeeft, moet volgens de Tweede Kamer maximaal vijf jaar cel kunnen krijgen. Dat meldde RTL Nieuws gisteren. Identiteitsfraude is op zichzelf niet strafbaar; pas als je iets strafbaars doet mét die identiteit kan een sttrafbaar feit ontstaan, bijvoorbeeld oplichting of smaad. Maar hoe ze dat gaan definiëren en… Lees verder

Organisaties die persoonsgegevens verwerken worden binnenkort verplicht om inbreuken die leiden tot diefstal, verlies of misbruik van persoonsgegevens te melden, las ik bij Nu.nl. Dat is dan wel voor grote waarden van ‘binnenkort’, want het is nog maar een wetsvoorstel dat naar de Tweede Kamer is gestuurd. En ik ben niet onder de indruk van… Lees verder

Minister van Veiligheid en Justitie Ivo Opstelten wil de politie de mogelijkheid geven om fors in te grijpen tegen hackers, meldde NRC en vele andere media. In een nieuw wetsvoorstel tegen cybercrime stelt hij voor de politie een terughackbevoegdheid en een webcamgluurrecht te geven. Oh ja, en weigeren je wachtwoord te geven wordt strafbaar. Het… Lees verder