image

Juridische vraag: Ik wil dat een hacker mijn man monitort

woensdag 25 november 2009, 11:40 door Arnoud Engelfriet, 16 reacties

Heb jij een uitdagende vraag over beveiliging, recht en privacy, stel hem aan ICT-jurist Arnoud Engelfriet
en maak kans op zijn boek "De wet op internet".

Arnoud is van alle markten thuis, maar vindt vooral in technische / hacking vragen een uitdaging. De Juridische vraag is een rubriek op Security.nl, waar wetgeving en security centraal staan. Elk kwartaal kiest Arnoud de meest creatieve vraag, die dan zijn boek zal ontvangen.

Vanwege het grote aantal vragen die we de afgelopen tijd binnenkregen, deze week een "bezemwagen" editie waarin Arnoud de meest interessante vragen in één keer beantwoordt.

Vraag: Mag ik een hacker inhuren om te achterhalen wat mijn man uitspookt op internet? Ik wil bv. wel eens zien of hij stiekem mailt met een andere vrouw, en ik had gehoord dat je daar programmaatjes voor kon installeren maar mijn IT-kennis reikt niet zo ver.

Antwoord: Het installeren van spyware of het kraken van iemands wachtwoord om zijn mail te lezen is in principe computervredebreuk. Dit mag je dus niet doen, en je mag ook niet iemand inhuren die dat voor jou gaat doen. Je bent dan medeplichtig aan zijn strafbare activiteiten.

Binnen een huwelijk kan dat anders liggen. De computer is dan immers gemeenschappelijk eigendom (tenzij je huwelijkse voorwaarden hebt die dat anders regelen), en het is niet strafbaar om in je eigen systemen binnen te dringen. Je mag ook je eigen sloten laten openbreken door een slotenmaker. Wel kan het een inbreuk op de privacy van je man zijn. Ook in het huwelijk heb je enige privacy. Niet heel veel lijkt me, je bent tenslotte getrouwd omdat je alles met elkaar wilt delen.

Vraag: Mag iemand zonder toestemming mijn gegevens plus foto op een escort site zetten?

Antwoord: Nee, dat mag niet. Je kunt bij de exploitant eisen dat hij je persoonsgegevens en foto weghaalt, omdat dit in strijd is met de Wet Bescherming Persoonsgegevens.

Vraag: Als ik bv. een internetbroker uit wil kiezen of een bank om te internetbankieren, mag ik dan alles doen om kwetsbaarheden te zoeken in hun site? Ik wil tenslotte zeker weten dat ze veilig genoeg zijn voor me.

Antwoord: Je mag gerust op de site rondkijken welke technieken men gebruikt en wat er zoal gebeurt als je een ongeldige gebruikersnaam invult. Kijken of je een alert-box op je scherm kunt krijgen via een XSS-hack is ook geen probleem. Maar zo'n onderzoekje mag niet uitdraaien op werkelijke inbraakpogingen. Je mag tenslotte ook niet kijken of je via een zelfgegraven tunnel bij de kluis van je bank terecht kunt komen.

Vraag: Mag een bank een zogenoemd datamining script, al dan niet van een 3e partij, mee laten draaien terwijl een klant inlogt en terwijl deze zijn bankzaken aan het doen is?

Antwoord: Op zich wel, mits dat maar vooraf gemeld is en de klant er dus van weet. Het is niet altijd verboden om dingen over je klanten te weten te komen of ze te monitoren. Wel moet de bank de uiterste zorg betrachten dat de vergaarde gegevens veilig en vertrouwelijk behandeld worden.

Vraag: Ik wil voor mezelf beginnen als internetdetective. Mag ik dan in opdracht systemen kraken, PC's onderzoeken en dergelijke?

Antwoord: Als je particulier rechercheur wil worden, dan heb je daarvoor een vergunning nodig. Maar die vergunning betekent niet dat je meer mag dan gewone burgers. Je mag dus niet proberen andermans PC te kraken, wachtwoorden te achterhalen of binnen te dringen op plaatsen waar je geen toestemming hebt van de eigenaar/beheerder. Dat is en blijft computervredebreuk. Je kunt dus niet voor de vraagsteller van de vorige vraag aan de slag en doen wat zij vraagt.

Vraagt een bedrijf je om hun PC's te onderzoeken vanwege een vermoeden van fraude, dan is er geen sprake van computervredebreuk omdat het hun eigen PC's zijn. Wel moet je dan rekening houden met de privacy van de werknemers wiens PC's je onderzoekt. Je kunt in je contract met het bedrijf regelen dat zij hiervoor de verantwoordelijkheid nemen, omdat jij als externe daar geen zicht op hebt.

Vraag: Ik heb een e-boek van www.schoonepc.nl gekocht. In de voorwaarden wordt gemeld dat het boek is "beveiligd en op verschillende plekken voorzien van uw persoonlijke gegevens." Ik had daar niet zo bij stilgestaan, maar wat blijkt nu: op elke bladzijde staat mijn volledige
naam, adres, postcode, telefoonnr. en mijn persoonlijke email adres. Kan dat zomaar?

Antwoord: Op zich kan dat, maar de privacyverklaring had wel wat duidelijker gekund hierover. Als daar expliciet opgesomd had gestaan welke gegevens men opneemt en dat deze zichtbaar zijn, dan zie ik het juridische bezwaar niet meteen.

Een prettiger oplossing was geweest als men een nummer had opgenomen dat via een eigen database te herleiden is tot de klantgegevens. Alleen is de afschrikkende werking (waar het natuurlijk om gaat) daarvan een stuk minder.

Vraag: Ik weet dat ik van een gekochte CD een kopie in MP3-vorm mag maken. Maar geldt dat ook als ik de muziek bij iTunes koop of alleen de versie van Guitar Hero in mijn bezit heb?

Antwoord: De wet zegt dat je van muziek of films een kopie voor eigen gebruik mag maken. Opmerkelijk genoeg staat daarbij nergens dat de kopie van een zelf aangeschaft exemplaar zou moeten zijn. Dit betekent dan ook dat je die MP3 mag maken ongeacht hoe je aan de muziek of film bent gekomen. Je mag zelfs de MP3 downloaden van bv. Kazaa of Gnutella als je geen enkel legaal aangeschaft exemplaar in je bezit hebt.

Het kabinet heeft onlangs aangekondigd dat men wil verbieden dat mensen muziek of films op grond van deze regeling kunnen downloaden wanneer de bron evident illegaal is. Dit zou over drie jaar in moeten gaan, mits de muziekindustrie tegen die tijd een reëel alternatief voor zulk downloaden kan bieden.

Vraag: Ik ben systeem/netwerkbeheerder voor diverse bedrijven. Nu komt het soms voor dat ik support of beheerswerkzaamheden moet uitvoeren bij medewerkers van mijn klanten, bijvoorbeeld omdat ze iets niet snappen of de rechten niet toereikend zijn. Ik doe dat met remote desktop, maar mag dat eigenlijk wel?

Antwoord: Ja, dat mag, mits je maar in het contract met je klant bedongen hebt dat je dit mag. En natuurlijk moet de werknemer weten dat je dit gaat doen, dus meld het altijd vooraf of gebruik een remote desktop applicatie waarbij de gebruiker altijd toestemming moet geven voordat je de controle over zijn PC overneemt. Je hebt wel geheimhoudingsplicht over wat je allemaal ziet op die PC.

Arnoud Engelfriet is ICT-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. In 2008 verscheen zijn boek "De wet op internet".

Reacties (16)
25-11-2009, 12:01 door 44RT
Vraag: Ik wil voor mezelf beginnen als internetdetective. Mag ik dan in opdracht systemen kraken, PC's onderzoeken en dergelijke?
Dan kun je beter journalist worden. Die mogen dat wel ;-)
25-11-2009, 12:14 door Anoniem
Ik snap niet dat mensen denken dat je zomaar digitaal rechercheur mag spelen. Je moet een opleiding volgen van 4 jaar om dat officieel je eigen te kunnen noemen. En dan aan het kraken van systemen denken is helemaal een no-go.
Ook leuk iemand inhuren om je an te monitoren als je um niet vertrouwd dan ga je toch gewoon weg.
25-11-2009, 12:53 door Anoniem
Door Anoniem: Ik snap niet dat mensen denken dat je zomaar digitaal rechercheur mag spelen. Je moet een opleiding volgen van 4 jaar om dat officieel je eigen te kunnen noemen. En dan aan het kraken van systemen denken is helemaal een no-go.
Ook leuk iemand inhuren om je an te monitoren als je um niet vertrouwd dan ga je toch gewoon weg.

Volg jij zelf ook deze opleiding ? zo ja zijn we zowat collega's
25-11-2009, 12:55 door Preddie
lol @ 44RT ;)

Ontopic: Mooi werk Arnoud, er zitten weer een aantal situaties bij die je dagelijks tegen kunt komen ;)
25-11-2009, 13:23 door WhizzMan
Bij mijn weten is de titel "digitaal rechercheur" niet beschermd, net zoals professor en nog een aantal van dat soort benamingen. Volgens mij mag iedere Jodokus die zichzelf interessant wil laten lijken zichzelf digitaal rechercheur noemen. Dat je bij de politie die functie pas mag uitvoeren na een opleiding en dergelijke staat daar los van.
25-11-2009, 14:21 door Anoniem
Ik ben idd particulier digitaal onderzoeker. En zover ik weet mag niet iedere judokus zich zo noemen check www.mbowijzer.nl/site/beroepen/?rasterid=629. Dus lijkt me dat je toch echt een opleiding moet volgen wil je het kunnen gebruiken :P.
25-11-2009, 15:50 door Arnoud Engelfriet
De titel "particulier digitaal onderzoeker" is op zichzelf geen beschermde titel zoals bv. ingenieur of advocaat. Alleen mag je werkzaamheden die onder die titel vallen, alleen uitvoeren met een vergunning, en die krijg je weer alleen als je (o.a.) die opleiding hebt gehad.
25-11-2009, 16:27 door Anoniem
Nee okee het is niet beschermd.
Maar ik begrijp niet dat mensen denken dat ze zomaar in andermans systemen mogen neuzen.
Want dat pretendeerd de persoon eigenlijk.
Ik zelf heb 4 jaar een opleiding gedaan voor particulier digitaal onderzoeker.
Dus er is wel een opleiding die je moet hebben voor dat je je zomaar digitaal onderzoeker mag noemen.
dus in princiepe voldoet iemand niet aan het stempel particulier onderzoeker als die zelf maar wat aan kloot.
25-11-2009, 17:13 door Syzygy
Fout Fout Fout Fout Fout Fout Fout



Mag ik een hacker inhuren om te achterhalen wat mijn man uitspookt op internet? Ik wil bv. wel eens zien of hij stiekem mailt met een andere vrouw, en ik had gehoord dat je daar programmaatjes voor kon installeren maar mijn IT-kennis reikt niet zo ver.

Deze vraag krijg ik ander vorm ook vaak, kun jij dit of dat even hacken want ik denk dat mijn vriendin dit en dat doet.

Het correcte antwoord is:

GA EENS MET JE VRIENDIN/ VROUW/ VRIEND OF MAN PRATEN WANT ER IS IETS NIET GOED IN JE RELATIE ALS JE ALLEEN AL ZO OVER JE PARTNER DENKT !!
25-11-2009, 19:14 door Thasaidon
Arnoud,

dank je voor je antwoord.
Vraag: Mag een bank een zogenoemd datamining script, al dan niet van een 3e partij, mee laten draaien terwijl een klant inlogt en terwijl deze zijn bankzaken aan het doen is?

Antwoord: Op zich wel, mits dat maar vooraf gemeld is en de klant er dus van weet. Het is niet altijd verboden om dingen over je klanten te weten te komen of ze te monitoren. Wel moet de bank de uiterste zorg betrachten dat de vergaarde gegevens veilig en vertrouwelijk behandeld worden.
Aangezien DE bank dit dus (voor zover ik heb kunnen zien op de site) nergens bekend maakt, lijkt het me dus een "illegale" actie van de bank.

Overigens ben ik wel benieuwd onder welk wetsartikel dit eigenlijk zou vallen.
26-11-2009, 11:24 door Anoniem
monitoren.........stelselmatige observatie?
27-11-2009, 13:07 door [Account Verwijderd]
[Verwijderd]
27-11-2009, 15:19 door Anoniem
...en ze vroeg zich niet af hoe je alles wist? Denk dat je kinderen snel een eigen pc zullen hebben zodra ze hier achter komen.
Vertrouwen in elkaar is toch ook nog wel iets waard zou ik zo zeggen...
30-11-2009, 10:19 door [Account Verwijderd]
[Verwijderd]
02-12-2009, 11:19 door Anoniem
Peter R. de Vries zet al jarenlang aan tot computervredebreuk. Daartoe maakt hij gebruik van mannetjes als Michel Kraay die de wegen kennen om privacygevoelige tot zeer geheime informatie afkomstig uit computers, boven water te krijgen. Michel Kraay leverde jarenlang opsporingsinformatie en feitenmateriaal aan Peter R. de Vries: gegevens van af- en bijboekingen, PIN-locaties, voormalig werkgevers, kentekens, geheime telefoonnummers en complete strafbladen. http://www.michelkraay.nl/peter-r-de-vries.php?Section=1 Kraay zijn werkwijze leidde er toe dat hij werd gearresteerd en werd veroordeeld tot een gevangenisstraf van half jaar voor overtreding van de privacywet en een betaling van 110.000 euri’s in het kader van de plukze-wet. Maar de opdrachtgevers bleven buiten schot. De Wet Bescherming Persoonsgegevens is op de journalistiek wel van toepassing, maar van overheidswege is er geen controle op de naleving hiervan. Lees alles over de dubieuze methodes van peter R. De Vries in de Nieuwe Revu http://www.michelkraay.nl/michel-kraay-media.php?Section=DeRevu
05-03-2010, 23:57 door Anoniem
Door Syzygy: Deze vraag krijg ik ander vorm ook vaak, kun jij dit of dat even hacken want ik denk dat mijn vriendin dit en dat doet.

Het correcte antwoord is:

GA EENS MET JE VRIENDIN/ VROUW/ VRIEND OF MAN PRATEN WANT ER IS IETS NIET GOED IN JE RELATIE ALS JE ALLEEN AL ZO OVER JE PARTNER DENKT !!

Dan moet die partner wel bereid zijn om dat gesprek te voeren. Helaas is het niet altijd zo simpel. Ik heb meegemaakt hoe het is om nog stevig van iemand te houden die duidelijk iets groots verbergt en ongelofelijk hardnekkig de lippen daarover op elkaar houdt. Hoewel ik niet ben afgegleden naar spionage kan ik me goed voorstellen dat je uit wanhoop rare dingen gaat doen. Dat zijn echt onmogelijke situaties, je zit echt zwaar klem tussen je gevoel dat door wil gaan en je verstand dat eigenlijk allang weet dat het hopeloos is. Het is terecht dat je er niet op ingaat, terecht dat je erop wijst dat er iets helemaal niet goed gaat in de relatie (het kan heel verfrissend zijn om dat van een ander te horen), maar als je de situatie niet van heel nabij kent is het niet terecht om aan te nemen dat die persoon niet al tot in den treure heeft geprobeerd om dat gesprek te voeren.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.