De Nederlandse politie heeft per abuis gevoelig materiaal uit een onderzoek gelekt aan een persoon. Dat meldde Tweakers afgelopen weekend. Toen die persoon die gegevens niet wilde verwijderen, heeft de politie de man aangehouden en zijn woning doorzocht. Raar verhaal.
De politie legt zelf uit in een persbericht:
In verband met een ander lopend onderzoek bij de recherche nam de verdachte op donderdag 12 februari contact op met de politie, omdat hij beelden in bezit had die mogelijk relevant zijn voor dat onderzoek. De agent die contact had met de man, besloot een link te sturen waarmee de man de beelden kon uploaden. Door een vergissing werd niet een uploadlink, maar een downloadlink gedeeld, waardoor de man de mogelijkheid had om vertrouwelijke politiedocumenten te downloaden.
Nadat de man een en ander ook daadwerkelijk had gedownload, kreeg hij een sommatie te stoppen en de data te verwijderen. Zijn reactie: “daar wil ik wel wat voor terug”. Ik weet niet wat hij had verwacht maar hij kreeg een arrestatieteam.
De politie gooit het daarbij op computervredebreuk, wat bij mij vele, vele wenkbrauwen van hun stoel liet vallen:
Als je een downloadlink toegestuurd krijgt, terwijl je weet dat je een uploadlink zou moeten krijgen, er duidelijk gezegd wordt vervolgens niet te downloaden en ervoor kiest de bestanden toch te downloaden, dan maak je je mogelijk schuldig aan computervredebreuk. De ontvanger kan namelijk redelijkerwijs aannemen dat de downloadlink en de bestanden die daarmee gedeeld worden, niet voor hem bedoeld zijn.
Nu is de definitie van
computervredebreuk erg breed, maar dit voelt toch wel als erg ver oprekken. Heel misschien als het downloaden pas gebeurde nádat de agent belde met “oeps dat was de verkeerde link”. Maar als ik een link verwacht, een link krijg en daarop klik, dan zie ik niet hoe ik ergens binnendrong.
Een serieuzer vraag voor mij is waar die meneer stond zodra hem duidelijk was dat hij iets had gedownload dat vertrouwelijke politiegegevens betrof. Staatsgeheimen zijn dat niet, en schending van het ambtsgeheim (art. 272 Sr) is het ook niet want meneer is zelf geen agent. De Wet politiegegevens bevat geen bepalingen voor onbevoegde niet-agenten.
Diefstal van gegevens kennen we in twee smaken:
- Aftappen (art. 139c Strafrecht). Dit hangt hier op de wederrechtelijkheid, die ontbreekt als je de indruk wordt gegeven dat je er bij mag.
- Gegevensdiefstal sec (art. 139g Strafrecht), dat vereist dat de gegevens niet-openbaar zijn én dat deze door misdrijf verkregen zijn. Dat laatste speelt hier niet.
We komen terug bij de vraag wat deze meneer mocht vermoeden toen hij die link kreeg. Bij Tweakers lees ik een intrigerende
comment van iemand met mogelijk
insider knowledge:
[Dit systeem is een applicatie van Seeburger en] is een gedrocht van een programma. Om te downloaden en te uploaden moet je eerst een map maken en je geeft dan Download en upload permissies. [Die knoppen staan naast elkaar] … In een zaak kan je dus meerdere Upload permissies maken zodat alle beelden in een map komen. Maak je per ongeluk een Download permissie dan kan de persoon met de link alles downloaden uit die map.
Er is dan dus geen downloadknop an sich. Je krijgt een map te zien, en je kunt daar dingen naar uploaden en/of uit downloaden. Achteraf is het natuurlijk makkelijk oordelen “je mag niet klikken”. Maar een map is in onze mentale computermodellen een container, geen brievenbus. Wanneer iemand een link opent en een mappenstructuur ziet, activeert dit onmiddellijk de verkenningsdrang.
In UI/UX-termen heet dit de affordance: de uiterlijke kenmerken van een object die uitnodigen tot een specifiek gebruik. Een knop ‘nodigt uit’ om op te drukken; een invoerveld ‘nodigt uit’ om te typen. Een gedeelde map met naast elkaar gelegen knoppen voor ‘Upload’ en ‘Download’ heeft een ambivalente affordance. Een robuust ontwerp had een strikte scheiding van functies moeten hanteren. Een upload-only scherm, zoals bij de bekende datadeeldiensten, is veel logischer.
Natuurlijk is het bepaald ergerlijk dat die persoon (nota bene ook al verdachte in een andere zaak) die ontvangen gegevens onder zich houdt, nadat duidelijk is dat ze ten onrechte zijn verkregen. Maar dat betekent niet dat er dús een strafbaar feit is begaan.
Arnoud
Het bericht Politie lekt data en houdt ontvanger aan omdat die het niet wilde verwijderen verscheen eerst op Ius Mentis.
Log in
