Juridische vraag: mag ik WiFi-verkeer afluisteren?
Heb jij een uitdagende vraag over beveiliging, recht en privacy, stel hem aan ICT-jurist Arnoud Engelfriet en maak kans op zijn boek
"Security: Deskundig en praktisch juridisch advies".
Vraag: Is het toegestaan om te meten welke draadloze netwerken er in de buurt zijn? En als deze niet beveiligd zijn, mag ik dan het dataverkeer daarvan opnemen en analyseren? Ik ga geen data publiceren maar wil wel een onderzoek doen naar wát er zoal over draadloze netwerken gaat bij consumenten, en dat resultaat dan publiceren.
Antwoord: Het ontvangen van vrije signalen uit de ether is niet verboden, tenzij je een ‘bijzondere inspanning’ moet leveren om de signalen te kunnen interpreteren. Onderdeel van het grondrecht vrije meningsuiting is namelijk het mogen vergaren van informatie uit openbare bronnen. Zo is het bijvoorbeeld legaal om mee te luisteren met de politieradio via een scanner. De Hoge Raad oordeelde in 2008 echter dat het gebruik van een snelheidsradardetector niet via dit grondrecht gerechtvaardigd kon worden, omdat radargolven ‘geen kennis of gedachten overbrengen’, oftewel geen mening of informatie bevatten die onder dit grondrecht vallen.
Als je dus alleen maar opneemt wat een netwerkzender zelf uitzendt, en niets bijzonders doet (zoals WPA encryptie kraken of spoofen van MAC-adressen) dan handel je legaal. Het scannen naar beschikbare WiFi-netwerken valt dus onder de uitzondering van vrije signalen. Een computer met WiFi-antenne is gewoon een radio-ontvanger die pakketgebaseerde informatie analyseert en is dus geen niet-toegestaan decodeerapparaat.
Het analyseren van het dataverkeer zelf is riskanter maar ik denk dat dat wel kan, met name omdat je dit doet met het doel een nieuwsfeit te brengen: wat doen particulieren op onbeveiligde netwerken allemaal? Zolang je niet citeert uit private berichten en mensen niet identificeert, lijkt dit me legaal.
Een dergelijk verzamelen valt wel onder de Wet bescherming persoonsgegevens, tenzij je meteen (dus bij het opslaan) alle identificeerbare informatie eraf sloopt. Je moet dan dus het SSID vervangen door een random ID en geen GPS-coördinaten opslaan. Verder zou ik voor de zekerheid aanraden de "_nomap" opt-out van Google te respecteren. Wat je doet, lijkt namelijk op wat Google met Street View deed: verzamelen van data van draadloze netwerken voor later eigen gebruik. Maar ik zie ook wel een verschil; een journalistiek artikel over wat je op die netwerken ziet, is wat anders dan een commerciële database met SSIDs en locaties. En door de SSIDs niet op te slaan, is identificatie veel moeilijker.
Arnoud Engelfriet is ICT-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. Hij schreef twee boeken, De wet op internet en Security: Deskundig en praktisch juridisch advies.
Dit is standaard functionaliteit van Wifi. Zonder dit te doen, kan je computer niet laten zien welke netwerken beschikbaar zijn, om daarnaar te kunnen verbinden. De rest van de vraag is interessanter, goede uitleg van Arnoud ;)
Bij het lezen van de vraag kreeg ik toch wel het gevoel dat er iets anders speelde, oftewel mag Google eigenlijk wel doen hetgeen ze doen...
Ben meer benieuwd naar je uitleg over de nieuwe privacy & Internet (shopping) regels van de EU ?
Dat is wel degelijk informatie die ik wil weten.
:-)
Dat is wel degelijk informatie die ik wil weten.
:-)
ik dacht dat radarcontroles er alleen voor waren om de staatskassa te spekken ?
Ik heb nog nooit een radarcontrole op een plek gezien waar het gevaarlijk is.
/ontopic.
qoute: . Zo is het bijvoorbeeld legaal om mee te luisteren met de politieradio via een scanner.
dan luister je naar digitale ruis, dat mag zeker, maar het signaal decrypten, om de content hoorbaar te maken, mag weer niet.
Een dergelijk verzamelen valt wel onder de Wet bescherming persoonsgegevens, tenzij je meteen (dus bij het opslaan) alle identificeerbare informatie eraf sloopt.
--
waren ze zeker vergeten te vertellen aan google toen die met hun streetview auto's ongevraagd overal foto's gingen makken en wifi gingen sniffen.
Ik wel, in de parkeergarage op mijn werk (no kidding).
Dat is leuk maar de onderstaande uitspraak zegt toch wat anders, je "mag" tegenwoordig ook de beveiliging kraken van een wifi netwerk. Maatschappelijk ongewenst maar het is volgens deze uitspraak niet strafbaar. Dus dan heb je in principe ook toegang tot de radiosignalen die uitgezonden worden...
Of deze uitspraak ook in deze context toe te passen is weet ik niet zeker...
http://zoeken.rechtspraak.nl/resultpage.aspx?snelzoeken=true&searchtype=ljn&ljn=BP7080&u_ljn=BP7080
Men moet een bijzondere inspanning doen om de gegevens op te vangen: Bijvoorbeeld aircrack-ng installeren en de wifi-adapter in monitor mode zetten.
Bewijslast is echter moeilijker.
Of zou alles wat een 'standaard' consument bij 'normaal' gebruik niet doet als een 'bijzondere inspanning' zijn?
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
