Juridische vraag: Mag je een veroordeelde hacker inhuren?
Heb jij een uitdagende vraag over beveiliging, recht en privacy, stel hem aan ICT-jurist Arnoud Engelfriet en maak kans op zijn boek
"De wet op internet".
Arnoud is van alle markten thuis, maar vindt vooral in technische / hacking vragen een uitdaging. Vragen over licenties worden niet behandeld, aangezien die geen raakvlak met beveiliging hebben. De Juridische vraag is een rubriek op Security.nl, waar wetgeving en security centraal staan. Elk kwartaal kiest Arnoud de meest creatieve vraag, die dan zijn boek zal ontvangen.
Vraag:Naar aanleiding van dit artikel vroeg ik me af of het vanuit juridisch oogpunt verstandig is om veroordeelde hackers in dienst te nemen. Als hij bijvoorbeeld bij een juridische procedure bijvoorbeeld als forensisch expert moet optreden, kan de advocaat van de wederpartij zijn inbreng toch vrij eenvoudig van tafel vegen lijkt me. En als hij toch zijn streken niet verleerd heeft, dan ben jij daarvoor aansprakelijk.
Antwoord: Er zijn geen formele regels over het in dienst nemen van veroordeelden, behalve in enkele beroepen waarbij een Verklaring Omtrent het Gedrag ("Verklaring goed gedrag") nodig is of een achtergrondcheck wettelijk verplicht is. Bij een 'gewoon' bedrijf dat een IT-man nodig heeft, is er geen enkele regel die verbiedt dat men een veroordeelde hacker in dienst neemt. Dat is puur de eigen afweging van het bedrijf of men dat wil.
Het lijkt me onwaarschijnlijk dat een eigen IT'er als expert komt optreden in een rechtszaak van dat bedrijf. Experts worden eigenlijk altijd van buiten gehaald, omdat ze dan onafhankelijk (zouden moeten) zijn. Als getuige kan hij natuurlijk altijd komen als dat nodig lijkt. Het zou nogal op de man spelen zijn als de advocaat van de andere partij de verklaring dan wegveegt met "meneer is $X jaar geleden veroordeeld". Ook een veroordeelde kan best verklaren wat hij heeft gezien, en het enkele feit dát hij ooit veroordeeld is, betekent nog niet dat zij verklaring dus onbetrouwbaar is. (En vergeet die theatrale ontmaskeringen die je in Amerikaanse rechtbankseries wel ziet.)
Een iets reëler risico is inderdaad dat zo'n werknemer onbetrouwbaar blijkt en binnen het bedrijf zaken gaat hacken, backdoors installeert of bij klanten dingen uithaalt die tegen de wet zijn. Je bent als werkgever aansprakelijk voor alles wat je werknemers doen - zelfs als je ze dat verboden hebt. Zolang er er verband bestaat tussen de daad en de taak van die medewerker, is de werkgever aansprakelijk (zie art 6:170 BW). Een security-medewerker die een ongevraagde pentest bij een klant uitvoert valt m.i. wel onder die definitie.
Het kan dus zaak zijn om goed af te spreken wat deze meneer wel en niet mag doen, en in hoeverre je controle zult uitoefenen op wat hij daadwerkelijk doet.
Arnoud Engelfriet is ICT-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. In 2008 verscheen zijn boek "De wet op internet".
Probeer er maar eentje te vinden.
Dat klopt, maar deze expert kan een strafrechtelijk verleden hebben. In hoeverre kan een advocaat daar misbruik van maken, ook al heeft deze forensisch expert zijn werk naar eer en geweten uitgevoerd ?
"In een Nederlands beveiligingsbedrijf is het sowieso verboden om veroordeelde criminelen in dienst te nemen. "
Dergelijke regels gaan niet over IT-beveiliging / forensisch IT onderzoek, en zijn derhalve in deze discussie niet van toepassing ?
Dat klopt, maar deze expert kan een strafrechtelijk verleden hebben. In hoeverre kan een advocaat daar misbruik van maken, ook al heeft deze forensisch expert zijn werk naar eer en geweten uitgevoerd ?
"In een Nederlands beveiligingsbedrijf is het sowieso verboden om veroordeelde criminelen in dienst te nemen. "
Dergelijke regels gaan niet over IT-beveiliging / forensisch IT onderzoek, en zijn derhalve in deze discussie niet van toepassing ?
"Een betere vraag is : KUN je een veroordeelde hacker inhuren. Probeer er meer eentje te vinden."
Da's waarschijnlijk niet zo moeilijk. Daarnaast gaat het over een veroordeelde hacker. Dat wil niet per se zeggen dat de veroordeling met hacken te maken heeft, maar enkel dat de hacker een veroordeling wegens een crimineel feit op zijn naam heeft staan, waardoor je zijn integriteit in twijfel zou kunnen trekken.
"Wie is er aansprakelijk als het misgaat?"
Bovenstaande vragen / opmerkingen zijn helaas niet gerelateerd aan de ingezonden vraag. Het ging er niet om of de expert in de fout gaat, maar enkel of het verleden van de expert door de advocaat van de tegenpartij misbruikt zou kunnen worden om twijfel te zaaien. Deze toevoeging leidt de aandacht jammer genoeg erg af van de kern van de ingezonden vraag.
Iemand heeft iets gehackt, is daar voor gestraft, hij heeft deze straf uitgezeten. waarom zou je zo een man dan niet mogen inhuren. Moet hij omdat hij 1 keer een fout heeft begaan de rest van ze leven werkloos blijven?
Of je het wil is inderdaad een andere vraag. maar dat is geheel persoonlijk. De andere partij kan wel aangegeven dat de man is veroordeelt. maar als deze zijn straf heeft uitgezeten zou daar niet meer te zwaar aan getild mogen worden. De werkelijkheid spreekt natuurlijk vaak anders ..
Iemand heeft iets gehackt, is daar voor gestraft, hij heeft deze straf uitgezeten. waarom zou je zo een man dan niet mogen inhuren. Moet hij omdat hij 1 keer een fout heeft begaan de rest van ze leven werkloos blijven?
Of je het wil is inderdaad een andere vraag. maar dat is geheel persoonlijk. De andere partij kan wel aangegeven dat de man is veroordeelt. maar als deze zijn straf heeft uitgezeten zou daar niet meer te zwaar aan getild mogen worden. De werkelijkheid spreekt natuurlijk vaak anders ..
Dus jij hebt er geen probleem mee als op de school van jouw kind iemand werkt die een straf heeft uitgezetten wegens sexueel misbruik van kinderen?
Iemand die een misdrijf heeft begaan hoeft niet z'n hele leven werkloos te blijven, het is echter prima mogenlijk werk te vinden dat niet releteerd is aan z'n misdaad.
EJ
Ik heb verder ook nooit gezegd dat beveiligingsbedrijven hetzelfde zouden zijn als internetbedrijven.
Als je goed leest staat dat ook niet in mijn stuk.
Bronnen:
http://www.justitie.nl/onderwerpen/opsporing_en_handhaving/verklaring_omtrent_het_gedrag/
https://www.aivd.nl/onderwerpen/item-118817
En nee, het is volgens bovenstaande gegevens niet verboden (wat jij wel claimt) dat een beveiligingsbedrijf een veroordeelde crimineel in dienst neemt. Lees de informatie over de VOG.
Ik vermoed dat jij het afgeven van een vergunning tot beveiligingsbedrijf verwart met de individuele goedkeuring die alsnog per werknemer(!) nodig is (middels VOG en dus COVOG die de screening doet).
Verder wordt er natuurlijk een hoop meer gescreend dan alleen voor beveiligingsbedrijven. Iedere bank heeft bijvoorbeeld ook zijn eigen screening, ook al zal die niet zover kunnen en mogen gaan als bovengenoemde A, B of C screening. C screening is VOG, B screening gaat over vertrouwensfuncties en A gaat nog dieper, is bijvoorbeeld nodig voor leden van de marechaussee. Daarnaast kan dit nog worden uitgebreid met bijvoorbeeld navo clearance, maar volgens mij alleen bij A of B screenings.
EJ
Auw ja dat doet pijn bij de zittende order.... die 'm vervolgens gauw weer zwart gaan maken met labeltjes zoals [hacker] en vervolgens veroordeeld te krijgen met een nog zwaarder label [crimineel]. Zielig, meelij wekkend patroon eigenlijk...
"Embrace your enemy and learn from her,him"
1. Geef zo'n persoon (als ie zelf wil) een baan bij je bedrijf. Maak 'm security consultant en laat 'm je personeel leren hoe ze hun werk beter kunnen beveilingen.. After all.. ze zijn door haar,hem wel verslagen.
2. Heb schijnt aan "het recht" en de uitvoerende organen want die is zelf zelf zo corrupt als de neten.
Ze volgen hun eigen regels intern niet eens op, maar denken wel de andere "de wet" te kunnen voorschrijven
http://www.security.nl/artikel/33670/1/Hirsch_Ballin_installeert_zelf_software_op_dienstlaptop.html
Tijd dat we weer oog krijgen voor de MENS in deze samenleving!
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
