Heb jij een uitdagende vraag over beveiliging, recht en privacy, stel hem aan ICT-jurist Arnoud Engelfriet
en maak kans op zijn boek "De wet op internet".

Arnoud is van alle markten thuis, maar vindt vooral in technische / hacking vragen een uitdaging. De Juridische vraag is een rubriek op Security.nl, waar wetgeving en security centraal staan. Elk kwartaal kiest Arnoud de meest creatieve vraag, die dan zijn boek zal ontvangen.

Vanwege het grote aantal vragen die we de afgelopen tijd binnenkregen, deze week een "bezemwagen" editie waarin Arnoud de meest interessante vragen in één keer beantwoordt.

Vraag: Mag ik een hacker inhuren om te achterhalen wat mijn man uitspookt op internet? Ik wil bv. wel eens zien of hij stiekem mailt met een andere vrouw, en ik had gehoord dat je daar programmaatjes voor kon installeren maar mijn IT-kennis reikt niet zo ver.

Antwoord: Het installeren van spyware of het kraken van iemands wachtwoord om zijn mail te lezen is in principe computervredebreuk. Dit mag je dus niet doen, en je mag ook niet iemand inhuren die dat voor jou gaat doen. Je bent dan medeplichtig aan zijn strafbare activiteiten.

Binnen een huwelijk kan dat anders liggen. De computer is dan immers gemeenschappelijk eigendom (tenzij je huwelijkse voorwaarden hebt die dat anders regelen), en het is niet strafbaar om in je eigen systemen binnen te dringen. Je mag ook je eigen sloten laten openbreken door een slotenmaker. Wel kan het een inbreuk op de privacy van je man zijn. Ook in het huwelijk heb je enige privacy. Niet heel veel lijkt me, je bent tenslotte getrouwd omdat je alles met elkaar wilt delen.

Vraag: Mag iemand zonder toestemming mijn gegevens plus foto op een escort site zetten?

Antwoord: Nee, dat mag niet. Je kunt bij de exploitant eisen dat hij je persoonsgegevens en foto weghaalt, omdat dit in strijd is met de Wet Bescherming Persoonsgegevens.

Vraag: Als ik bv. een internetbroker uit wil kiezen of een bank om te internetbankieren, mag ik dan alles doen om kwetsbaarheden te zoeken in hun site? Ik wil tenslotte zeker weten dat ze veilig genoeg zijn voor me.

Antwoord: Je mag gerust op de site rondkijken welke technieken men gebruikt en wat er zoal gebeurt als je een ongeldige gebruikersnaam invult. Kijken of je een alert-box op je scherm kunt krijgen via een XSS-hack is ook geen probleem. Maar zo'n onderzoekje mag niet uitdraaien op werkelijke inbraakpogingen. Je mag tenslotte ook niet kijken of je via een zelfgegraven tunnel bij de kluis van je bank terecht kunt komen.

Vraag: Mag een bank een zogenoemd datamining script, al dan niet van een 3e partij, mee laten draaien terwijl een klant inlogt en terwijl deze zijn bankzaken aan het doen is?

Antwoord: Op zich wel, mits dat maar vooraf gemeld is en de klant er dus van weet. Het is niet altijd verboden om dingen over je klanten te weten te komen of ze te monitoren. Wel moet de bank de uiterste zorg betrachten dat de vergaarde gegevens veilig en vertrouwelijk behandeld worden.

Vraag: Ik wil voor mezelf beginnen als internetdetective. Mag ik dan in opdracht systemen kraken, PC's onderzoeken en dergelijke?

Antwoord: Als je particulier rechercheur wil worden, dan heb je daarvoor een vergunning nodig. Maar die vergunning betekent niet dat je meer mag dan gewone burgers. Je mag dus niet proberen andermans PC te kraken, wachtwoorden te achterhalen of binnen te dringen op plaatsen waar je geen toestemming hebt van de eigenaar/beheerder. Dat is en blijft computervredebreuk. Je kunt dus niet voor de vraagsteller van de vorige vraag aan de slag en doen wat zij vraagt.

Vraagt een bedrijf je om hun PC's te onderzoeken vanwege een vermoeden van fraude, dan is er geen sprake van computervredebreuk omdat het hun eigen PC's zijn. Wel moet je dan rekening houden met de privacy van de werknemers wiens PC's je onderzoekt. Je kunt in je contract met het bedrijf regelen dat zij hiervoor de verantwoordelijkheid nemen, omdat jij als externe daar geen zicht op hebt.

Vraag: Ik heb een e-boek van www.schoonepc.nl gekocht. In de voorwaarden wordt gemeld dat het boek is "beveiligd en op verschillende plekken voorzien van uw persoonlijke gegevens." Ik had daar niet zo bij stilgestaan, maar wat blijkt nu: op elke bladzijde staat mijn volledige
naam, adres, postcode, telefoonnr. en mijn persoonlijke email adres. Kan dat zomaar?

Antwoord: Op zich kan dat, maar de privacyverklaring had wel wat duidelijker gekund hierover. Als daar expliciet opgesomd had gestaan welke gegevens men opneemt en dat deze zichtbaar zijn, dan zie ik het juridische bezwaar niet meteen.

Een prettiger oplossing was geweest als men een nummer had opgenomen dat via een eigen database te herleiden is tot de klantgegevens. Alleen is de afschrikkende werking (waar het natuurlijk om gaat) daarvan een stuk minder.

Vraag: Ik weet dat ik van een gekochte CD een kopie in MP3-vorm mag maken. Maar geldt dat ook als ik de muziek bij iTunes koop of alleen de versie van Guitar Hero in mijn bezit heb?

Antwoord: De wet zegt dat je van muziek of films een kopie voor eigen gebruik mag maken. Opmerkelijk genoeg staat daarbij nergens dat de kopie van een zelf aangeschaft exemplaar zou moeten zijn. Dit betekent dan ook dat je die MP3 mag maken ongeacht hoe je aan de muziek of film bent gekomen. Je mag zelfs de MP3 downloaden van bv. Kazaa of Gnutella als je geen enkel legaal aangeschaft exemplaar in je bezit hebt.

Het kabinet heeft onlangs aangekondigd dat men wil verbieden dat mensen muziek of films op grond van deze regeling kunnen downloaden wanneer de bron evident illegaal is. Dit zou over drie jaar in moeten gaan, mits de muziekindustrie tegen die tijd een reëel alternatief voor zulk downloaden kan bieden.

Vraag: Ik ben systeem/netwerkbeheerder voor diverse bedrijven. Nu komt het soms voor dat ik support of beheerswerkzaamheden moet uitvoeren bij medewerkers van mijn klanten, bijvoorbeeld omdat ze iets niet snappen of de rechten niet toereikend zijn. Ik doe dat met remote desktop, maar mag dat eigenlijk wel?

Antwoord: Ja, dat mag, mits je maar in het contract met je klant bedongen hebt dat je dit mag. En natuurlijk moet de werknemer weten dat je dit gaat doen, dus meld het altijd vooraf of gebruik een remote desktop applicatie waarbij de gebruiker altijd toestemming moet geven voordat je de controle over zijn PC overneemt. Je hebt wel geheimhoudingsplicht over wat je allemaal ziet op die PC.

Arnoud Engelfriet is ICT-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. In 2008 verscheen zijn boek "De wet op internet".