Ook de politie mag 'hacken'
Marie-José Klaver
(Netkwesties, 21 november 2002)
De politie mag burgers vragen IP-adressen van verdachten te achterhalen. Rondkijken op onbeveiligde pc's mag ook. Dit bepaalde het Gerechtshof in Den Haag vorige week in het hoger beroep van de zaak van een Zeeuwse kinderporno-verdachte.
De 37-jarige inwoner van Heikant, een klant van de regionale provider Zeelandnet, werd vorig jaar vrijgesproken door de politierechter in Terneuzen. De man was het bezit van ruim 360 digitale kinderpornofoto's tenlastegelegd. De politierechter oordeelde in september 2001 dat de politie op onrechtmatige wijze het IP-adres, cruciaal voor het bewijs, van de verdachte had verkregen en sprak de verdachte vrij.
De hoger beroep-zaak draaide voornamelijk om de vraag of de politie op rechtmatige wijze aan het IP-adres was gekomen. Als dat niet zo zou zijn, zou het verdere bewijsmateriaal - de kinderpornografische afbeeldingen op de pc van de verdachte - niet rechtsgeldig zijn.
De casus
De kinderporno op de pc van de Zeelandnet-gebruiker werd begin juni 2000 ontdekt door een andere klant van Zeelandnet. Deze man, 'getuige De B.' genoemd in het vonnis, was aan het rondkijken op computers die via Zeelandnet met internet verbonden waren. Toen hij op een pc een grote hoeveelheid kinderporno aantrof, nam hij contact op met de politie. Die was zeer geďnteresseerd in zijn vondst en vroeg De B. om nogmaals contact op te nemen als hij de pc met kinderporno weer online zag. De B. ging op zoek naar de pc, vond deze en belde de politie weer. Een rechercheur computercriminaliteit vroeg De B. wat het IP-adres was van de computer met kinderporno.
Als De B. zegt dat hij dat niet weet en ook niet weet hoe hij daarachter kan komen, geeft de rechercheur hem instructies. De politieman legt De B. uit welke commando's hij moet intypen om het IP-adres van de computer met kinderporno, waarmee De B. via zijn pc is verbonden, te achterhalen. Als het gelukt is, vraagt de rechercheur De B. het IP-adres voor te lezen.
Identificerende gegevens
Met het IP-adres en een bevel van de officier van justitie stapt de rechercheur naar Zeelandnet om de naam-, adres- en woonplaats gegevens van de kinderpornobezitter op te vragen. Bij de man wordt huiszoeking gedaan en zijn pc wordt in beslag genomen.
Het gerechtshof vindt dat de politie niet onrechtmatig heeft gehandeld. Een IP-adres is geen geheim gegeven, redeneren de rechters. Zeker een statisch IP-adres, zoals de Zeelandnet-klant, had is vaak openbaar. Hoewel het IP-adres identificerend is - het verwijst immers naar één bepaalde gebruiker - is het geen "sterk privacy-gevoelig" gegeven, oordeelt het gerechtshof. Het is niet te vergelijken met bijvoorbeeld een geheim telefoonnummer.
Het hof vindt het ook niet bezwaarlijk dat de politie een particulier heeft gevraagd het IP-adres te achterhalen. "De instructie van de getuige door de politie over de wijze waarop hij het IP-adres van de computer waarmee hij in verbinding stond op zijn scherm kon krijgen, betreft een eenvoudige reeks van handelingen die bij uitvoering op zichzelf geen bijzondere inbreuk met zich brengt op de privacy van een ander. (...) Het gaat niet om een bijzondere gecompliceerde technische ingreep of een geheime methode, maar om het toepassen van een commando, dat in de gewone handboeken inzake MSDOS staat omschreven", aldus het vonnis.
Op andermans pc snuffelen
Dat de politie getuige De B. in feite heeft gevraagd, na zijn eerste melding, om actief op zoek te gaan naar de kinderpornocomputer, is volgens het hof niet onrechtmatig. Het verzoek van de politie impliceerde ook dat De B. nog eens op de pc moest rondkijken om vast te stellen of het daadwerkelijk om dezelfde gebruiker ging. Er is volgens het vonnis geen sprake van "stelselmatige of onrechtmatige gegevensvergaring door getuige De B. of door de politie". De politie was alleen geďnteresseerd in het IP-adres en heeft De B. "niet verzocht gegevens op te slaan."
Rondsnuffelen op andermans pc is geen probleem, volgens de rechters, zolang er geen beveiliging wordt doorbroken. Getuige De B. heeft geen computervredebreuk gepleegd en "de politie heeft bij de opsporing dan ook geen profijt getrokken van strafbaar handelen van een getuige."
De veroordeelde had zijn pc niet beveiligd. Ook Zeelandnet had geen maatregelen getroffen om gebruikers onzichtbaar te maken. Het hof: "De verdachte heeft voorts geen voorzieningen ter beveiliging van zijn computerbestanden aangebracht, zodat hij zijn bestanden openstelde voor degenen die op het Zeelandnet toegang hadden. (...)De verdachte heeft zich onder een IP-adres aldus publiek gemanifesteerd (exposure), zodat de bekendmaking aan de politie van het IP-adres door een op het Zeelandnet surfende particulier nadat de politie daarom had gevraagd, reeds daarom niet meer dan een zeer beperkte schending oplevert van zijn persoonlijke levenssfeer."
De veroordeelde wordt zelfs verweten dat hij zijn kinderpornoverzameling openbaar heeft gemaakt via het netwerk van Zeelandnet. "De verdachte heeft zich schuldig gemaakt aan (...) het openlijk tentoonstellen van die afbeeldingen via Zeelandnet. De afbeeldingen konden door gebruikers van Zeelandnet zonder enige belemmering worden bekeken."
De openbaarmaking wordt de man niet zwaar aangerekend. Hij krijgt een gevangenisstraf van twee maanden voorwaardelijk vanwege het bezit van kinderporno. Het gerechtshof houdt rekening met zijn moeilijke privéleven. De man voerde ter verdediging aan dat hij ten tijde van het delict een moeilijke periode doormaakte en veel pervers materiaal van internet downloadde in die tijd. Het bekijken ervan verlichtte zijn psychische spanningen. Hij zou geen seksuele belangstelling voor kinderporno hebben gehad.
Politiebevoegdheden
Het hof heeft zich niet uitgesproken over de vraag of de politie mag rondkijken op onbeveiligde pc's om bewijsmateriaal te vergaren. Uit het vonnis blijkt dat de politie, net als getuige De B., via internet heeft rondgekeken op de pc van de Zeeuw om vast te stellen of de kinderpornoplaatjes er inderdaad op staan.
Het bewijsmateriaal heeft de politie echter verkregen via een regulier huiszoekingsbevel en de inbeslagname van de computer van de veroordeelde. Het hof zegt dan ook verder niets over het rondsnuffelen van de politie op een onbeveiligde pc. Het is aan te nemen dat dit gewoon mag, omdat het immers niet om computervredebreuk of het daadwerkelijk vergaren van bewijsmateriaal gaat.
Zowel het Meldpunt Kinderporno op Internet als het Meldpunt Discriminatie Internet (MDI) noemen de uitspraak "prima". Bestuurslid Alex de Joode van het Meldpunt Kinderporno vindt dat de handeling van de politie niet te vergelijken is met een doorzoeking, "maar meer met het langs rijden en kijken wat iemand in zijn tuin heeft staan (voor zover zichtbaar van de openbare weg)."
Juridisch onderzoeker Anton Ekker van het Instituut voor Informatierecht (IVIR) aan de Universiteit van Amsterdam maakt een soortgelijke vergelijking om het gedrag van getuige De B. te omschrijven: "Als je over straat loopt en je ziet toevallig dat in een bepaalde woning iets strafbaars gebeurt dan mag je het adres ook gewoon doorgeven aan de politie."
Ronald Eissens, directeur van het MDI, heeft ook geen bezwaren tegen de uitspraak. Er is volgens hem geen sprake van hacken door de getuige of de politie. "Het traceren van IP-adressen en daar een gebruiker aan koppelen doen wij regelmatig en dat is ook niet verboden. Er is hier slechts sprake van het opvragen en registeren van publiekelijk toegankelijke gegevens van de gebruiker." De privacy van de verdachte is volgens Eissens niet geschonden. "De gebruiker had materiaal beschikbaar en als hij dat doet met een machine die niet beveiligd is zodat zijn IP-adres kan worden gezien door een andere gebruiker dan is dat mijns inziens geen privacyschending."
Rik Kaspersen, hoogleraar Informatica en Recht aan de Vrije Universiteit, vindt de uitspraak correct. Hij vergelijkt een IP-adres met een kentekennummer van een auto. "In de reële wereld zou zich heel goed een vergelijkbare casus hebben kunnen voordoen:
Een getuige ziet dat bepaalde personen bij nacht goederen uit een winkel halen en deze in een auto laden. De getuige belt 112 om dit te rapporteren. De politie vraagt vervolgens om het kenteken en het merk van de auto. De getuige, een autoloze oude dame, weet niet precies waar deze gegevens op het voertuig te vinden zijn. De politiefunctionaris geeft vervolgens telefonisch de benodigde aanwijzingen.
"Het komt mij voor dat in een dergelijk geval niet eens gedacht zou worden aan onrechtmatige bewijsgaring. Waarom dan wel bij een IP-adres waarmee de verdachte aan het maatschappelijk verkeer deelneemt en dat eenvoudig toegankelijk onderdeel van zijn - niet besloten - beschikbaarstelling van gegevensbestanden uitmaakt?"
Slecht systeembeheer
Ook Maurice Wessling van de internetrechtenorganisatie Bits of Freedom (BOF) vindt het vonnis terecht omdat de definitie van hacken gehandhaafd blijft. "Ik ben er een voorstander van dat de definitie blijft zoals die nu is. Alleen wanneer een beveiliging wordt doorbroken is sprake van een strafbaar feit."
Wessling noemt het "jammer dat we nu niet weten wat de rechter ervan vind of de politie zomaar die pc in had gemogen." Maar: "Je moet slecht systeembeheer niet gaan beschermen met het strafrecht. Ook al levert het misschien soms vervelende situaties op, het zou de beveiliging van netwerken niet ten goede komen wanneer personen en organisaties die hun systemen niet op orde hebben de zaken verder op hun beloop kunnen laten omdat het strafrecht hen immers beschermt."
Wessling wijst erop dat er wel ontwikkelingen in Europa zijn waardoor de definitie van hacken wordt opgerekt. De Europese Raad is volgens het Duitse internetmagazine Heisse bezig om onder meer poort scanning en penetratietesten door beveiligingsbedrijven strafbaar te stellen. "Ik vind dat niet verstandig. Daar wordt het internet niet veiliger van."
Ekker, die onderzoek doet naar anonimiteit en privacy op internet, denkt niet dat de uitspraak de rechten van verdachten uitholt. "Dit is geen opzienbarende uitspraak en er verandert ook niets aan de rechten van verdachte. De politie heeft gewoon gehandeld binnen de grenzen van haar bevoegdheden."
Anton Ganzeboom, internetadvocaat, is minder blij met het vonnis. Hij is van mening dat de politie niet zomaar op computers mag kijken, ook niet als het er alleen omgaat vast te stellen dat er kinderporno op de harde schijf staat. "Als je voordeur open staat, wil je ook niet dat de politie zomaar naar binnen gaat."
Ganzeboom vindt dat de politie geen misbruik mag maken van de "onnozelheid" van computergebruikers. "Veel mensen brengen geen beveiliging aan omdat dat lastig is of omdat ze niet weten hoe dat moet. Dat betekent nog niet dat iedereen zomaar rond mag kijken op hun pc."
[MJK, 21-11-2002]
(Verschenen in Netkwesties, 21 november 2002)