Achtergrond
image

Is een QR-code wel een geschrift in de juridische zin van het woord?

woensdag 22 december 2021, 11:01 door Arnoud Engelfriet, 20 reacties

Heb jij een interessante vraag op het snijvlak van privacy, cybersecurity en recht? Stuur je vraag naar juridischevraag@security.nl. Elke week geeft ict-jurist Arnoud Engelfriet in deze rubriek antwoord.

Juridische vraag: Agenten hebben woensdagmiddag een negentienjarige man uit het Brabantse Riel opgepakt vanwege het aanbieden van valse QR-codes voor het coronatoegangsbewijs op sociale media, las ik bij Nu.nl. Hij wordt verdacht van valsheid in geschrifte. Sinds wanneer is een QR-code een "geschrift”? Die term gaat toch over voor mensen leesbare geschriften?

Antwoord: Dit is niet de eerste zaak, ook in november werd al iemand aangehouden voor dit feit. Maar is het strafbaar?

Valsheid in geschrifte staat in artikel 225 Wetboek van Strafrecht:

"Hij die een geschrift dat bestemd is om tot bewijs van enig feit te dienen, valselijk opmaakt of vervalst, met het oogmerk om het als echt en onvervalst te gebruiken of door anderen te doen gebruiken, wordt als schuldig aan valsheid in geschrift gestraft, met gevangenisstraf van ten hoogste zes jaren of geldboete van de vijfde categorie."

De HR leest de term “geschrift” breed. In een zaak uit 2016 werd het namaken van streepjescodes gezien als valsheid in geschrifte. Dit was ingegeven door deze opmerking van de wetgever bij een recente herziening van het strafwetsartikel:

"Een geschrift is een weergave van al dan niet dadelijk leesbare tekens die in min of meer duurzame vorm zijn vastgelegd. Het begrip tekens dient ruim opgevat te worden; een codesysteem dat met behulp van een decoderingssysteem kan worden gelezen, valt ook hieronder."

De voornaamste vraag is of de codes bestemd zijn om als “echt” te dienen. In die zaak uit 2016 was dat zo: de verdachte had nep-prijskaartjes met streepjescodes gemaakt om zo bij de bouwmarkt goedkoper af te kunnen rekenen. Dan wil je dus dat de winkel de kaartjes als echt beschouwt, hoewel ze dat niet zijn.

Als een streepjescode een "geschrift" is, dan is een QR-code dat voor mij ook. Het maakt daarbij niet uit dat de QR-code alleen op een scherm staat en niet op papier, zoals die prijskaartjes. De bedoeling is hetzelfde: met het geschrift het doen voorkomen dat iets echt is, dat de daarin vervatte mededeling waar is, terwijl dat niet zo is.

Arnoud Engelfriet is Ict-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. Hij schreef twee boeken, De wet op internet en Security: Deskundig en praktisch juridisch advies.

Reacties (20)
22-12-2021, 11:09 door Anoniem
Tja, zo kan je ook stellen dat een digitaal geschrift enkel bestaat uit twee karakters - 0 en 1. Want een computer moet dat omzetten naar een begrijpbare versie, voor de mens. Binaire code is niet leesbaar voor de (gemiddelde) mens.
22-12-2021, 12:03 door Anoniem
Door Anoniem: Tja, zo kan je ook stellen dat een digitaal geschrift enkel bestaat uit twee karakters - 0 en 1. Want een computer moet dat omzetten naar een begrijpbare versie, voor de mens. Binaire code is niet leesbaar voor de (gemiddelde) mens.
Precies. Maar wat is je punt dan? Niemand bestrijdt toch dat een digitaal geschrift een geschrift is?
22-12-2021, 13:40 door Anoniem
Je kunt een programma schrijven die een 'mapping' doen van de sterren naar een QR-code of zelfs naar een militair geheim.

Zijn de sterren dan verboden?
22-12-2021, 14:20 door majortom
Door Anoniem: Je kunt een programma schrijven die een 'mapping' doen van de sterren naar een QR-code of zelfs naar een militair geheim.

Zijn de sterren dan verboden?
Het gaat niet om het feit dat de data in het formaat van een QR code is opgeslagen, maar om de onderliggende data, het doel ervan en het eventuele misbruik ervan.

Om op je vraag terug te komen. Nee, je mag natuurlijk gewoon elke QR code genereren die je wilt. Het hangt er uiteindelijk vanaf wat je ermee doet.
22-12-2021, 16:00 door Anoniem
Door majortom:Nee, je mag natuurlijk gewoon elke QR code genereren die je wilt. Het hangt er uiteindelijk vanaf wat je ermee doet.
Eens. Het is uiteindelijk een algoritme dat bepaalt wat die QR-code voorstelt. Met een ander algoritme is er ook een andere betekenis aan de QR-code te geven Is dit ook meegenomen? Veel algoritmes bevatten immers fouten en welke partij is verantwoordelijk voor de bewijslast?
22-12-2021, 17:41 door johanw
Ik ken trouwens mensen die streepjescodes kunnen lezen omdat ze er de hele dag mee werken. Het is gewoon een font, elk teken wordt door een aantal streepjes voorgesteld.
22-12-2021, 18:30 door Anoniem
Precies. Maar wat is je punt dan? Niemand bestrijdt toch dat een digitaal geschrift een geschrift is?

Net zoals bij de QR code moet je een bewerking uitvoeren om het leesbaar te maken voor de mens. Een vergelijking, in het kader van de discussie die we hier voeren.
23-12-2021, 08:56 door Anoniem
Gezien deze uitspraak van de HR zou je dus een mail/brief in Bas64 naar een instantie kunnen sturen en deze zou gewoon geaccepteerd moeten worden.
23-12-2021, 10:05 door Anoniem
Door Anoniem: Je kunt een programma schrijven die een 'mapping' doen van de sterren naar een QR-code of zelfs naar een militair geheim.

Zijn de sterren dan verboden?

Ik denk alleen dat het een beetje moeilijk voor je wordt om een planeet te creëren die in de hemel oplicht om zo die valsheid in die geschrift die je gemaakt hebt te maken om zo ervoor te zorgen dat het voldoet aan het 'valsheid' deel van de wet.

Je zou nog steeds waarschijnlijk teruggrijpen naar een digitaal input om zo een nepster erin te verwerken, en dan is het digitale valsheid weer gemaakt met die digitale medium
23-12-2021, 10:06 door Anoniem
Door Anoniem: Je kunt een programma schrijven die een 'mapping' doen van de sterren naar een QR-code of zelfs naar een militair geheim.

Zijn de sterren dan verboden?

Als je dat "sterrengeschrift" opstelt en gebruikt zoals artikel 225 Wetboek van Strafrecht, dan is dat inderdaad niet toegestaan.
De "sterren" op zich zijn niet verboden, maar wel de manier waarop je het gebruikt.

Analoog: Autorijden op zich is niet verboden, maar het is wel verboden om "te snel" te rijden.
23-12-2021, 10:10 door Anoniem
Door Anoniem:
Precies. Maar wat is je punt dan? Niemand bestrijdt toch dat een digitaal geschrift een geschrift is?

Net zoals bij de QR code moet je een bewerking uitvoeren om het leesbaar te maken voor de mens. Een vergelijking, in het kader van de discussie die we hier voeren.

En ook voor normale letters moet je een bewerking uitvoeren om het interpreteerbaar (leesbaar) te maken voor een mens.
Alleen ben je dat gewoon en doe je dat quasi automatisch zonder al te veel na te denken.

Je hebt een "O", en een "E", maar staan ze achter elkaar zijn het niet meer afzonderlijke letters, maar wordt het een twee-klank "OE".
Je hebt ook heel veel verschillende lettertypes en handgeschriften die allemaal in jouw hersenen gedecodeerd worden op dezelfde letters/woorden/begrippen.
23-12-2021, 10:12 door Anoniem
Het bovenstaande geeft wel aan dat een qr-code in brede zin uitgegeven kan zijn door een officiele instantie om in formele zin te worden gebruikt. Tegelijk is het de vraag of het voor een leek te herkennen valt of een digitaal apparaat de origineel uitgegeven of een heimelijk door hack(s) vervangen plaatje is. Een hack kan met de talloze zero-days vrijwel ongemerkt hebben plaatsgevonden. Hoe eventueel een valse qr code eventueel op een apparaat is terecht gekomen kan buiten diens schuld en goede zorg onverklaarbaar zijn voor de eigenaar van het digitale apparaat. Dat een qr code vals kan zijn valt de gebruiker dus niet zondermeer kwalijk te nemen. Echtheid kenmerken zijn ook moeilijk voor de leek te herkennen hetgeen het extra lastig maakt om qr codes in formeel verkeer in te zetten. Het valt niet sluitend te krijgen.
23-12-2021, 10:33 door Erik van Straten
Om misverstanden in het huidige (informatie-) tijdperk te voorkomen, vind ik dat die wettekst gewijzigd zou moeten worden in:

"Hij die informatie, ongeacht de wijze van coderen, bestemd om tot bewijs van enig feit te dienen, valselijk opmaakt of vervalst, met het oogmerk om het als echt en onvervalst te gebruiken of door anderen te doen gebruiken, wordt als schuldig aan valsheid in geschrift gestraft, met gevangenisstraf van ten hoogste zes jaren of geldboete van de vijfde categorie."

Daarbij denk ik ook aan o.a. phishing (waarbij identiteitsfraude niet aangetoond kan worden) en deepfakes.
23-12-2021, 15:27 door Anoniem
Leuk thema. Zelf ga ik daar anders mee om. Ik heb gewoon mijn QR code onleesbaar gemaakt. Maar niet dat je dat gelijk kunt zien. Dus niks vervalst, maar onleesbaar gemaakt. Het excuss daarna is simpel. Met die scanner met die heilige app. Vanmorgen werkte het nog verderop. Je zal wel malware op je telefoon hebben. Het is zeker weer zo een iPhone? Gaan we nog een biertje serveren of niet? Want waar je mee staat te scannen is duidelijk rotzooi en wat gebeurt er allemaal met die data die die rotzooi op jouw telefoon verzamelt dan?

Komt je er niet mee weg, ga je het gewoon verderop opnieuw proberen.

Een falsificaat is het echter niet. Het is als op een stukje WC papier schrijven dat het 20 Euro waard is. Dat is natuurlijk ook geen falsificaat, Maar je komt er mooi mee weg. Met vliegen zal wat lastiger zijn. Maar ook daar zijn ze ziek om iemand weg te sturen omdat hun spullen niet werken. Daar moet de kassa ook rinkelen. Namaken is fraude. Maar onbruikbaar maken mag.
24-12-2021, 07:43 door gradje71
Is een QR-code wel een geschrift in de juridische zin van het woord?
Het is wel geschift in de juridische zin van het woord, dat klopt.
24-12-2021, 09:10 door Anoniem
Door Anoniem: Leuk thema. Zelf ga ik daar anders mee om. Ik heb gewoon mijn QR code onleesbaar gemaakt. Maar niet dat je dat gelijk kunt zien. Dus niks vervalst, maar onleesbaar gemaakt. Het excuss daarna is simpel. Met die scanner met die heilige app. Vanmorgen werkte het nog verderop. Je zal wel malware op je telefoon hebben. Het is zeker weer zo een iPhone? Gaan we nog een biertje serveren of niet? Want waar je mee staat te scannen is duidelijk rotzooi en wat gebeurt er allemaal met die data die die rotzooi op jouw telefoon verzamelt dan?

Komt je er niet mee weg, ga je het gewoon verderop opnieuw proberen.

Een falsificaat is het echter niet. Het is als op een stukje WC papier schrijven dat het 20 Euro waard is. Dat is natuurlijk ook geen falsificaat, Maar je komt er mooi mee weg. Met vliegen zal wat lastiger zijn. Maar ook daar zijn ze ziek om iemand weg te sturen omdat hun spullen niet werken. Daar moet de kassa ook rinkelen. Namaken is fraude. Maar onbruikbaar maken mag.
Dat is alleen maar stom, een onleesbare QR is geen QR. Je opmerking over een hack op een telefoon is heel makkelijk tegen te spreken, x eerdere checks werkten wel. Dus ga maar weg en de groeten. En als je het systeem niet vertrouwt, waarom heb je dan de app op je eigen telefoon staan? Vergeet niet, je eigen telefoon vertelt veel meer over jou, dan mijn telefoon ooit kan doen.
24-12-2021, 14:46 door Erik van Straten
Door Anoniem: Ik heb gewoon mijn QR code onleesbaar gemaakt. Maar niet dat je dat gelijk kunt zien. Dus niks vervalst, maar onleesbaar gemaakt.
Ik vermoed dat je daar niet mee wegkomt, mocht een rechter erover oordelen.

Jij biedt namelijk willens en wetens een onleesbare QR-code aan bij een controle waarvan jij weet wat het doel daarvan is. Vervolgens gebruik je social engineering om toch binnen te komen. En je liegt als je zegt "Vanmorgen werkte het nog verderop". En je zult nogmaals moeten liegen als de controleur vraagt of jij exact die QR-code via coronacheck.nl hebt verkregen.

Daarna is het simpel, het deel van de huidige wettekst "valselijk opmaakt of vervalst, met het oogmerk om het als echt en onvervalst te gebruiken", is gewoon van toepassing. Simpel gesteld probeer jij binnen te komen met een ongeldig toegangsbewijs.

Dat je het risico op Covid-19 bij jezelf en/of bij andere bezoekers vergroot door zo binnen te komen, is m.i niet aangetoond en dus discutabel. Maar dat geldt voor meer maatregelen (niet alleen m.b.t. Corona) waar we ons aan moeten houden. Niet iedereen, maar wel een meerderheid van de bevolking, zal jou een aso vinden als je zo binnen probeert te komen.

Je bent echter sowieso een aso omdat je de controleur en diens werkgever voor het blok zet. Die werkgever loopt door jou het risico op een flinke boete (of erger) en de kans is groot dat de controleur daar niet "zonder kleerscheuren" vanaf komt. Het is niet hun schuld dat het kabinet hen verantwoordelijk maakt voor deze toegangscontroles, ook al zouden die controles zinloos zijn (of zelfs averechts werken).
24-12-2021, 17:30 door Anoniem
Een paar puntjes.

- Liegen mag. Dat is natuurlijk ook aso. Maar de gemiddelde mens liegt geloof ik een paar honderd keer per dag. Er zijn vele politici die daar zelfs een keurig en goedbetaald beroep van hebben gemaakt. En een goede advocaat weet precies wat hij op enig moment wél en beter niet zegt. En dat is een nóg keuriger beroep. Word je op een leugen betrapt, dan kun je altijd nog snel een mooi motief verzinnen.

- Je kunt van mij ook niet verwachten dat ik de tikfouten uit een regel braille weet te halen. Tenzij ik bewezen blind ben.

- Een toegangsbewijs heeft geld gekost. Het is dus een waardepapier. Een QR is dat niet.

- Je probeert niet binnen te komen met zo een onleesbare code. Je wordt alsnog toegelaten.

- Dat techniek faalt, daar staan dagelijks de kranten vol van. Dat kun je de brave burger of de brave controleur niet kwalijk nemen. Die heeft het zelf niet bedacht allemaal ook.

Maar los van dat al, ook deze security site staat dagelijks vol met security ongelukken die ontstaan zijn door aso vieze slimmigheidjes. Naast de veronderstelling dat het dingen met computers zijn, dus dat werkt altijd want gisteren was het ook nog waterdicht. Terwijl één enkele aso gewoon fluitend naar binnen loopt. Met een heel vies maar oh zo simpel kunstje. Verder wou ik niks zeggen, want ik zit me juist weer even op mijn zwijgrecht te beroepen ;-)
24-12-2021, 20:46 door Anoniem
Door Anoniem: Gezien deze uitspraak van de HR zou je dus een mail/brief in Bas64 naar een instantie kunnen sturen en deze zou gewoon geaccepteerd moeten worden.
Dat gebeurt al met email in bepaalde mime codering. Het mail-software doet de vertaling dan al naar leesbare text.
Afhankelijk van de taal van het bericht, kan de ontvanger het bericht begrijpen of niet. Schrijf je b.v. in het fins, dan is dat voor de meeste nederlanders echt niet te doen.
01-02-2022, 14:19 door botbot
Een QR code is gewoon een barcode. Als je kijkt naar bv de EAN13 barcode: dat is gewoon een font type.
Je kan gewoon op je toetsenbord intikken: "1234567890123" en dan verschijnt op je scherm een barcode ipv een nummer in Comic Sans, Helvetica of Sans Serif. Dus het is letterlijk gewoon een geschrift. Mensen zijn alleen niet zo goed in het lezen ervan. Net zoals sommige mensen Comic Sans niet kunnen lezen ;) ... Dus ik zie niet in hoe dat voor een QR barcode anders zou zijn. QR code, EAN-13 code, allemaal in feite een font-type, kort door de bocht gezegd.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search