Juridische vraag: Is het strafbaar om met anoniem browsen een paywall te omzeilen?
Ict-jurist Arnoud Engelfriet geeft elke week antwoord op een interessante vraag over beveiliging, recht en privacy. Heb jij een vraag? Stuur hem naar juridischevraag@security.nl.
Vraag: Laatst vond ik in een discussiegroep een link naar een artikel, maar dat bleek achter een paywall te zitten. Nadat ik me daarover beklaagd had, kreeg ik te horen dat ik met anoniem browsen het artikel wél gratis kon zien. Maar is dat geen computervredebreuk dan, ik omzeil dan toch een beveiliging?
Antwoord: De beveiliging waar het hier om gaat, is een cookie: je krijgt bij bijna alle paywall-sites een aantal artikelen gratis, en dat aantal wordt geteld in een cookie. Met anoniem browsen (“private mode”) worden cookies na elke sessie weggegooid, dus staat dat aantal elke keer op nul.
Van computervredebreuk is sprake wanneer je opzettelijk en wederrechtelijk binnendringt in een computersysteem. Een beveiliging of toegangscontrole omzeilen is een mogelijke manier om dat te doen, maar waar het uiteindelijk om gaat is of je weet of moest weten dat je ergens bent in het systeem waar je niet mag zijn.
Met enige fantasie is die cookie-teller als een beveiliging te zien, of kun je het weggooien van het cookie zien als een technische ingreep. Daarmee is aan dat deel van het delict computervredebreuk voldaan. Blijft over de vraag: ben je wederrechtelijk binnengedrongen? Oftewel ben je ergens waar je niet mag zijn, en ben je daar zonder enige bevoegdheid?
Het lijkt me evident dat als iemand een truc uithaalt om een betaald bericht gratis voor ogen te krijgen, hij computervredebreuk pleegt. Denk aan het gebruik van andermans wachtwoord, of het kapen van iemands inlogsessie om zo die toegang te krijgen. Maar de truc hier is niet gericht op het zomaar lezen van een betaald bericht; het gaat om het toegang krijgen tot een zesde bericht die maand terwijl je er maar vijf mag lezen.
Dat voelt toch net even anders. Deze berichten zitten niet echt achter een paywall, je staat te lezen in de tijdschriftenwinkel en de juffrouw (m/v) achter de balie snauwt je toe “het is hier geen bibliotheek meneertje (m/v)”. En nu doe je na elk artikel een andere jas aan zodat ze je niet herkent. Ik kan dat moeilijk op één lijn stellen met na sluitingstijd inbreken. Dus nee, ik denk niet dat dit een strafbaar feit is.
Arnoud Engelfriet is Ict-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. Hij schreef twee boeken, De wet op internet en Security: Deskundig en praktisch juridisch advies.
Verder lijkt het me dat zo'n website aan prijsdifferentiatie doet en het lijkt me ook raar om jezelf voor hun idee in een andere categorie te manoevreren strafbaar te stellen. Die categorien zijn namelijk volstrekt arbitrair, en daarmee wezenlijk anders dan, bijvoorbeeld, de roze strippenkaart: Het is voor de bestuurder vrij makkelijk te zien of je daar mee mag reizen of niet.
Dat er toch allerlei websites dit soort arbitraire onderscheiden maken, denk aan geoip blocking of weigeren de site op te serveren aan de verkeerde referrer string, doet daar verder weinig aan af: Stupiditeit elders is geen excuus voor stupiditeit hier. Dat is wel mijn technische inslag en geen juridische, natuurlijk, en het juridische heeft ook zo zijn eigen idioterie. Maar toch.
Je mag 5 bitterballen per keer.
Als jij op dezelfde middag opnieuw langskomt en er worden wederom bitterballen aangeboden omdat men jou niet meer herkent van eerder op de dag.
Zeg jij dan "lekker, daar had ik net zin in, dankje wel" of "Nee, dank je ik mag niet meer want ik had vandaag al gekregen weet je nog?".
Wat doen verreweg de meeste hollanders?
Juist ja.
Die belgische hoofdredacteur is gewoon niet erg goed ingeburgerd in ons landje.
Aangenomen dat belgen iets anders zouden doen, net zo galant zijn als hun taal.
Aan de andere kant weet die Belg ook wel dat gewenning uiteindelijk de grootste factor is in de wens om toch maar iets te gaan kopen, dus echt erg vindt hij het vermoedelijk ook niet.
Een opportunistische opstelling dus uit eigenbelang dat ook past bij de naam die niet "van minders" is.
Nu maar hopen dat Youp zich nooit in een column tegen de broodheer keert, of juist wel!
Smullen maar, zonder bitterballen, o nee, met, met dubbeldubbele porties.
Dat wordt slikken.
Een pagina css uitschakelen of blokkeren helpt her en der ook heel goed. Of is dat ook criemelneel, pagina vormgeving inperken tot louter tekst?
Ik heb daarover trouwens gemaild met de NRC. Je kunt geen losse artikelen kopen, wat ik best zou willen. Dat vinden ze te veel werk: je kunt alleen een volledig abonnement nemen. Tot 'n tijdje geleden kon je via Blendle losse artikelen kopen, dat doen ze niet meer.
Dat is allemaal hun goed recht en zo, maar ik bepaal toch echt zelf wat er op mijn computer wordt opgeslagen. Bij de NRC worden cookies verwijderd als ik mijn browser sluit, zoals dat bij de meeste sites gebeurt (of ik accepteer helemaal geen cookies). Dat geldt ook voor de cookie met de naam 'counter' (ik verzin de naam niet...).
Kortom, vanuit mijn uitgangssituatie moet ik geen technische ingreep doen om de beveiliging te omzeilen maar zou ik een technische ingreep moeten doen om hem te laten werken.
Als iets gratis is ben je zelf het product.
Nou alles, nee niet alles, trouw kiest ervoor om rechtsonder een grote groene feedbackbutton door de contenttext heen te laten lopen.
Net geprobeerd dat vierkante rotding te verwijderen maar het lukt niet.
Iemand een idee hoe dat element te verwijderen is?
Cookies verwijderen helpt in ieder geval niet ( ;) en zelfs verschillende adblockers krijgen dit vermalendijde klote divje niet weg uit beeld.
Hoogst irritant maar wel een stille hint voor adverteerders die onverwijderbare reclame willen introduceren.
Killkill
@Engelfriet: ander onderwerp maar zijn er nog aanstalten gemaakt om dit juridisch gedrocht (cookiewet) aan te passen?
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Junior adviseur informatiebeveiliging / incidentcoördinator
Ministerie van Buitenlandse Zaken
Als incidentcoördinator ben je lid van het securityteam van het ministerie van Buitenlandse Zaken. Je bent medeverantwoordelijk voor de bescherming van de informatievoorziening van BZ. Als junior adviseur informatiebeveiliging voer je impact-analyses uit en stel je adviezen op over operationele informatiebeveiligings-vraagstukken.