image

Juridische vraag: Mag je een veroordeelde hacker inhuren?

woensdag 16 juni 2010, 21:12 door Arnoud Engelfriet, 11 reacties

Heb jij een uitdagende vraag over beveiliging, recht en privacy, stel hem aan ICT-jurist Arnoud Engelfriet en maak kans op zijn boek
"De wet op internet".

Arnoud is van alle markten thuis, maar vindt vooral in technische / hacking vragen een uitdaging. Vragen over licenties worden niet behandeld, aangezien die geen raakvlak met beveiliging hebben. De Juridische vraag is een rubriek op Security.nl, waar wetgeving en security centraal staan. Elk kwartaal kiest Arnoud de meest creatieve vraag, die dan zijn boek zal ontvangen.

Vraag:Naar aanleiding van dit artikel vroeg ik me af of het vanuit juridisch oogpunt verstandig is om veroordeelde hackers in dienst te nemen. Als hij bijvoorbeeld bij een juridische procedure bijvoorbeeld als forensisch expert moet optreden, kan de advocaat van de wederpartij zijn inbreng toch vrij eenvoudig van tafel vegen lijkt me. En als hij toch zijn streken niet verleerd heeft, dan ben jij daarvoor aansprakelijk.

Antwoord: Er zijn geen formele regels over het in dienst nemen van veroordeelden, behalve in enkele beroepen waarbij een Verklaring Omtrent het Gedrag ("Verklaring goed gedrag") nodig is of een achtergrondcheck wettelijk verplicht is. Bij een 'gewoon' bedrijf dat een IT-man nodig heeft, is er geen enkele regel die verbiedt dat men een veroordeelde hacker in dienst neemt. Dat is puur de eigen afweging van het bedrijf of men dat wil.

Het lijkt me onwaarschijnlijk dat een eigen IT'er als expert komt optreden in een rechtszaak van dat bedrijf. Experts worden eigenlijk altijd van buiten gehaald, omdat ze dan onafhankelijk (zouden moeten) zijn. Als getuige kan hij natuurlijk altijd komen als dat nodig lijkt. Het zou nogal op de man spelen zijn als de advocaat van de andere partij de verklaring dan wegveegt met "meneer is $X jaar geleden veroordeeld". Ook een veroordeelde kan best verklaren wat hij heeft gezien, en het enkele feit dát hij ooit veroordeeld is, betekent nog niet dat zij verklaring dus onbetrouwbaar is. (En vergeet die theatrale ontmaskeringen die je in Amerikaanse rechtbankseries wel ziet.)

Een iets reëler risico is inderdaad dat zo'n werknemer onbetrouwbaar blijkt en binnen het bedrijf zaken gaat hacken, backdoors installeert of bij klanten dingen uithaalt die tegen de wet zijn. Je bent als werkgever aansprakelijk voor alles wat je werknemers doen - zelfs als je ze dat verboden hebt. Zolang er er verband bestaat tussen de daad en de taak van die medewerker, is de werkgever aansprakelijk (zie art 6:170 BW). Een security-medewerker die een ongevraagde pentest bij een klant uitvoert valt m.i. wel onder die definitie.

Het kan dus zaak zijn om goed af te spreken wat deze meneer wel en niet mag doen, en in hoeverre je controle zult uitoefenen op wat hij daadwerkelijk doet.

Arnoud Engelfriet is ICT-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. In 2008 verscheen zijn boek "De wet op internet".

Reacties (11)
16-06-2010, 21:59 door Skizmo
Een betere vraag is : KUN je een veroordeelde hacker inhuren.

Probeer er maar eentje te vinden.
16-06-2010, 22:40 door [Account Verwijderd]
[Verwijderd]
17-06-2010, 06:57 door Anoniem
"Het lijkt me onwaarschijnlijk dat een eigen IT'er als expert komt optreden in een rechtszaak van dat bedrijf. Experts worden eigenlijk altijd van buiten gehaald, omdat ze dan onafhankelijk (zouden moeten) zijn. "

Dat klopt, maar deze expert kan een strafrechtelijk verleden hebben. In hoeverre kan een advocaat daar misbruik van maken, ook al heeft deze forensisch expert zijn werk naar eer en geweten uitgevoerd ?

"In een Nederlands beveiligingsbedrijf is het sowieso verboden om veroordeelde criminelen in dienst te nemen. "

Dergelijke regels gaan niet over IT-beveiliging / forensisch IT onderzoek, en zijn derhalve in deze discussie niet van toepassing ?
17-06-2010, 07:01 door Anoniem
"Het lijkt me onwaarschijnlijk dat een eigen IT'er als expert komt optreden in een rechtszaak van dat bedrijf. Experts worden eigenlijk altijd van buiten gehaald, omdat ze dan onafhankelijk (zouden moeten) zijn. "

Dat klopt, maar deze expert kan een strafrechtelijk verleden hebben. In hoeverre kan een advocaat daar misbruik van maken, ook al heeft deze forensisch expert zijn werk naar eer en geweten uitgevoerd ?

"In een Nederlands beveiligingsbedrijf is het sowieso verboden om veroordeelde criminelen in dienst te nemen. "

Dergelijke regels gaan niet over IT-beveiliging / forensisch IT onderzoek, en zijn derhalve in deze discussie niet van toepassing ?

"Een betere vraag is : KUN je een veroordeelde hacker inhuren. Probeer er meer eentje te vinden."

Da's waarschijnlijk niet zo moeilijk. Daarnaast gaat het over een veroordeelde hacker. Dat wil niet per se zeggen dat de veroordeling met hacken te maken heeft, maar enkel dat de hacker een veroordeling wegens een crimineel feit op zijn naam heeft staan, waardoor je zijn integriteit in twijfel zou kunnen trekken.
17-06-2010, 07:07 door Anoniem
"En als hij toch zijn streken niet verleerd heeft, dan ben jij daarvoor aansprakelijk. "

"Wie is er aansprakelijk als het misgaat?"

Bovenstaande vragen / opmerkingen zijn helaas niet gerelateerd aan de ingezonden vraag. Het ging er niet om of de expert in de fout gaat, maar enkel of het verleden van de expert door de advocaat van de tegenpartij misbruikt zou kunnen worden om twijfel te zaaien. Deze toevoeging leidt de aandacht jammer genoeg erg af van de kern van de ingezonden vraag.
17-06-2010, 10:19 door Anoniem
Als je je straf hebt uitgezeten ben je eigenlijk weer helemaal clean. Zo hoort het te gaan.

Iemand heeft iets gehackt, is daar voor gestraft, hij heeft deze straf uitgezeten. waarom zou je zo een man dan niet mogen inhuren. Moet hij omdat hij 1 keer een fout heeft begaan de rest van ze leven werkloos blijven?

Of je het wil is inderdaad een andere vraag. maar dat is geheel persoonlijk. De andere partij kan wel aangegeven dat de man is veroordeelt. maar als deze zijn straf heeft uitgezeten zou daar niet meer te zwaar aan getild mogen worden. De werkelijkheid spreekt natuurlijk vaak anders ..
17-06-2010, 11:18 door Anoniem
Door Anoniem: Als je je straf hebt uitgezeten ben je eigenlijk weer helemaal clean. Zo hoort het te gaan.

Iemand heeft iets gehackt, is daar voor gestraft, hij heeft deze straf uitgezeten. waarom zou je zo een man dan niet mogen inhuren. Moet hij omdat hij 1 keer een fout heeft begaan de rest van ze leven werkloos blijven?

Of je het wil is inderdaad een andere vraag. maar dat is geheel persoonlijk. De andere partij kan wel aangegeven dat de man is veroordeelt. maar als deze zijn straf heeft uitgezeten zou daar niet meer te zwaar aan getild mogen worden. De werkelijkheid spreekt natuurlijk vaak anders ..

Dus jij hebt er geen probleem mee als op de school van jouw kind iemand werkt die een straf heeft uitgezetten wegens sexueel misbruik van kinderen?

Iemand die een misdrijf heeft begaan hoeft niet z'n hele leven werkloos te blijven, het is echter prima mogenlijk werk te vinden dat niet releteerd is aan z'n misdaad.
17-06-2010, 12:48 door ej__
Door Peter V:
Er zijn geen formele regels over het in dienst nemen van veroordeelden, behalve in enkele beroepen waarbij een Verklaring Omtrent het Gedrag ("Verklaring goed gedrag") nodig is of een achtergrondcheck wettelijk verplicht is.
In een Nederlands beveiligingsbedrijf is het sowieso verboden om veroordeelde criminelen in dienst te nemen. Daar moet iedereen gescreend worden door de politie. Degene die geen strafblad heeft krijgt dan een z.g. politievergunning. Heeft iemand toch een strafblad dan wordt het "jammer dan" uitgesproken.
Politie screent niet. Daar zijn andere instanties voor. Verder is het afhankelijk van de functie waarvoor de veroordeelde wordt aangenomen of de VOG wordt afgegeven. Zie de stukken omtrent "Verklaring omtrent Gedrag". En ja, ik ben geen crimineel en wel gescreend (op hoger niveau dan VOG), ik ken de procedures.. ;) Tenslotte zijn de meeste internet bedrijven geen beveiligingsbedrijven in de zin van de wet, en gelden daar dus de regels niet voor.

EJ
18-06-2010, 17:36 door [Account Verwijderd]
[Verwijderd]
18-06-2010, 18:00 door ej__
Door Peter V: Dan ben je niet goed op de hoogte EJ. De politie heeft namelijk toegang tot het Strafregister. Als er een vergunning moet worden afgegeven dan staat HUN politiestempel op de politievergunning. Zelfs de naam van de dienstdoende agent wordt op de vergunning bijgeschreven. De politie screent wel degelijk in dit land.

Ik heb verder ook nooit gezegd dat beveiligingsbedrijven hetzelfde zouden zijn als internetbedrijven.

Als je goed leest staat dat ook niet in mijn stuk.
Helaas, ook al heeft de politie toegang tot strafregister dan nog doen zij niet de screening. De verklaring VOG wordt door het ministerie van justitie afgegeven (om precies te zijn de COVOG). Verdere, uitgebreidere screenings (A of B) worden door de AIVD of de MIVD gedaan. Niet door de politie, de screening omvat een hoop meer dan alleen raadplegen van het strafregister op relevante zaken. Je zit fout. Dus nee, het is niet de politie, die gaan daarmee hun bevoegdheden (verre) te buiten.

Bronnen:
http://www.justitie.nl/onderwerpen/opsporing_en_handhaving/verklaring_omtrent_het_gedrag/
https://www.aivd.nl/onderwerpen/item-118817

En nee, het is volgens bovenstaande gegevens niet verboden (wat jij wel claimt) dat een beveiligingsbedrijf een veroordeelde crimineel in dienst neemt. Lees de informatie over de VOG.

Ik vermoed dat jij het afgeven van een vergunning tot beveiligingsbedrijf verwart met de individuele goedkeuring die alsnog per werknemer(!) nodig is (middels VOG en dus COVOG die de screening doet).

Verder wordt er natuurlijk een hoop meer gescreend dan alleen voor beveiligingsbedrijven. Iedere bank heeft bijvoorbeeld ook zijn eigen screening, ook al zal die niet zover kunnen en mogen gaan als bovengenoemde A, B of C screening. C screening is VOG, B screening gaat over vertrouwensfuncties en A gaat nog dieper, is bijvoorbeeld nodig voor leden van de marechaussee. Daarnaast kan dit nog worden uitgebreid met bijvoorbeeld navo clearance, maar volgens mij alleen bij A of B screenings.

EJ
23-06-2010, 09:53 door Dev_Null
Als je alle ego-labeltjes eens weglaat zoals [hacker] en [crimineel], zul je zien dat daarachter een mens schuilgaat die verdomd veel verstand heeft van de dingen waar zij,hij mee bezig is en zo goed is in zijn vak, dat hij de zittende elite, juw huidige personeel verslagen heeft qua technische kennis..

Auw ja dat doet pijn bij de zittende order.... die 'm vervolgens gauw weer zwart gaan maken met labeltjes zoals [hacker] en vervolgens veroordeeld te krijgen met een nog zwaarder label [crimineel]. Zielig, meelij wekkend patroon eigenlijk...

"Embrace your enemy and learn from her,him"
1. Geef zo'n persoon (als ie zelf wil) een baan bij je bedrijf. Maak 'm security consultant en laat 'm je personeel leren hoe ze hun werk beter kunnen beveilingen.. After all.. ze zijn door haar,hem wel verslagen.

2. Heb schijnt aan "het recht" en de uitvoerende organen want die is zelf zelf zo corrupt als de neten.
Ze volgen hun eigen regels intern niet eens op, maar denken wel de andere "de wet" te kunnen voorschrijven
http://www.security.nl/artikel/33670/1/Hirsch_Ballin_installeert_zelf_software_op_dienstlaptop.html


Tijd dat we weer oog krijgen voor de MENS in deze samenleving!
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.