jump to navigation

Juridische aspecten juni 4, 2006

Posted by Gertjan in Juridisch.
trackback

Afbakening

In dit artikel beperk ik mij tot de verkenning van de juridische gronden waar het verzamelen en vastleggen van gegevens in een FIS aan moet voldoen, waarbij een computersysteem het voorwerp van onderzoek is. Telecommunicatie blijft vooralsnog buiten beschouwing.

Bronnen

Bij het bepalen van de kaders waar het FIS juridisch aan moet voldoen heb ik mij enigszins verdiept in de beschikbare literatuur, onder meer uit eerdere modules. Zoals “Strafrecht en ICT” (ISBN90-5409-414-4)(1) en “Recht en Computer, 5e druk” (ISBN90-13-01986-2)(2).

  1. §3.3.1, blz 108 direct afluisteren
    §3.3.2 blz 111 Stelselmatige observatie
    §3.1 blz 79 Onderzoek van computersystemen en opgeslagen gegevens
  2. §9.3.2 blz 363 Wbp – reikwijdte en definities
    §9.3.4 blz 366 Rechten van betrokkenen
    hfst 10, blz 385 Strafrecht en opsporing in computernetwerken
    §10.1.3.1 blz 392 Aanknopingspunten voor het materiële strafrecht
    §10.2.4.1 blz 420 Het computersysteem als object van onderzoek
    e.v.

Vraag of stelling:

Kan een FIS in productie er toe leiden dat er bijzondere opsporingsbevoegdheden worden toegepast, zonder tussenkomst van een OvJ? Aangezien een bedrijf normaal gesproken geen bijzondere of gewone opsporingsbevoegdheden heeft, zou dit de grens van de wet kunnen overschrijden.

Eens zien of de uitwerking van de artikelen mijn vraag kan beantwoorden.

    §3.3.1, blz 108 direct afluisteren

Valt af, dit gaat over het opnemen van volledige communicatie.

    §3.3.2 blz 111 Stelselmatige observatie

Valt af, dit gaat over het volgen van personen.

    §3.1 blz 79 Onderzoek van computersystemen en opgeslagen gegevens

Relevant, hoewel niet voor de beantwoording van de vraag. Art 125i Sv (Onderzoek van gegevens in geautomatiseerde werken). Het betreft hier het opvragen (de uitlevering) van bij derden opgeslagen gegevens, op basis van het bevel van de rechter-commissaris om tijdens het gerechtelijk vooronderzoek de gegevens vast te laten leggen, hem daartoe toegang verlenen of de gegevens over te brengen naar de griffie.

[De volgende alinea is mogelijk wel relevant]

Het bevel van de r-c kan op grond van artikel 125m lid 1 Sv niet worden gegeven aan de verdachte. En het bevel kan niet zien op toekomstige gegevens – hiervoor is de tapbevoegdheid van toepassing.

Aanvullende vraag voor de stelling:

Worden er bewerkte gegevens (filters, selecties, e.d.) geleverd door het FIS, of slechts de raw-data met een datum/tijd stempel?

Indien het FIS ook automatische verwerkingen en vergelijkingen van aanwezige gegevens uitvoert, ten behoeve van de opsporingsinstanties, zou dit tegen de geest van artikel 125i Sv in kunnen gaan, aangezien dit artikel niet bedoeld was om te werken tot een soort uitgebreide getuigplicht.

In wezen is een FIS een concretisering van het – door diverse instanties bekritiseerde – uitgangspunt dat alle bevoegdheden ook kunnen worden toegepast bij niet-verdachten. Dit geeft de bevoegdheden potentieel een zeer grote reikwijdte. Wel moet hierbij het proportionaliteitsbeginsel meer terughoudendheid brengen wanneer gegevens van niet-verdachten worden opgevraagd. En dat is bij een uniforme implementatie van een FIS natuurlijk vaak wel het geval.

    §9.3.2 blz 363 Wbp – reikwijdte en definities

Art.9 Wbp geeft aan dat gegevens ook voor andere doeleinden mogen worden verwerkt dan waarvoor ze zijn verzameld. Onder de voorwaarde dat het verdere verwerken niet onverenigbaar is met het oorspronkelijke verzameldoel. Dit verenigbaar gebruik is voor een belangrijk deel afhankelijk van maatschappelijke opvattingen in plaats van juridische normen. Aanknopingspunten voor de beoordeling zijn onder meer:

  • de aard van de gegevens;
  • hetgeen gebruikelijk is in de markt;
  • de gevolgen voor de betrokkene;
  • de wijze van verkrijging.

Verder zal de verwerker passende waarborgen moeten treffen, zoals een voldoende informatieverstrekking aan de betrokkene over de verstrekking. Voor de verdere verwerking gelden de rechtvaardigingsgronden van art. 8 Wbp, waarvan art. 8c ter uitvoering van een wettelijke plicht en art. 8e ter uitvoering van een publiekrechtelijke taak wellicht het meest relevant zijn.

Aan de procedurele zijde van het FIS komt de betrokkenheid van de vertrouwenspersoon Wbp en de ondernemingsraad (OR) duidelijk in beeld. Vooral de verplichting tot kennisgeving voorafgaand aan de verzameling vraagt om het juiste aantal vierkante meters draagvlak. Zonder deze partijen zal een FIS geen lang leven beschoren zijn.

    §9.3.4 blz 366 Rechten van betrokkenen

In art. 43 Wbp worden de rechten van betrokkenen beperkt. Art. 43b geeft aan dat het recht van betrokkene, om na te gaan welke hem betreffende gegevens met welke herkomst worden verwerkt en ze zo nodig te laten corrigeren of verwijderen wordt ingeperkt indien sprake is van: de voorkoming, opsporing en vervolging van strafbare feiten. Echter, in dat zelfde artikel wordt ook gesproken over toepassing “voor zover noodzakelijk”. Dit betekent dat er sprake dient te zijn van een absolute noodzaak.

    §10.2.4.1 blz 420 Het computersysteem als object van onderzoek

Er zijn dwangmiddelen beschikbaar ten behoeve van het opsporingsonderzoek (art. 132a Sv), maar computersystemen en -netwerken hebben zich ontwikkeld tot omvangrijke en complexe eenheden. Echter, een eventueel inbeslagnemen van (een deel van) een systeem raakt niet alleen de belangen van de verantwoordelijke, maar ook die van (vele) andere gebruikers doe op een dergelijk systeem zijn aangesloten. Ingrepen in multi-user-systemen zullen snel strijd opleveren met de beginselen van subsidiariteit en proportionaliteit en daarmee aansprakelijkheid veroorzaken voor mogelijke schade. Door toepassing van art. 125k lid 1 en lid 2 Sv kan toegang tot een systeem en de informatie tijdens een doorzoeking worden bereikt.

Het FIS kan in geval van een dergelijke opdracht tot verstrekking van de sleutels uitkomst bieden en de gewenste of gezochte informatie, binnen een bepaalde redelijke bandbreedte, opleveren.

Art 125j Sv geeft aan wat de mogelijkheden zijn bij het onderzoeken van een LAN/WAN dat tot buiten de fysieke locatie reikt die wordt onderzocht. Art 125j Lid 2 Sv beperkt de omvang van het onderzoek tot de omgang van de bevoegdheden van de gebruiker(s) op de doorzochte locatie. Deze omvang van de bevoegdheden blijkt uit de toegangsrechten die zij impliciet of expliciet hebben verkregen van de beheerder van het (aangesloten) systeem. Er mag echter geen poging worden ondernomen om toegang te verkrijgen tot andere systemen vanaf de onderzochte locatie – in verband met de overtreding van art 138a Sr die hiervan het gevolg is.

Hiermee wordt ook de bandbreedte van de informatie die het FIS kan opleveren aangegeven:

Loggegevens die vastgelegd kunnen worden over toegang tot de aangesloten systemen door gebruikers.

Samenvattend

Het is mogelijk binnen de grenzen van de wet ruwe verkeersgegevens van gebruikers vast te leggen. Hiervoor dient rekening te worden gehouden met de rechten van de gebruikers, zoals vastgelegd in de Wbp. Voor het registreren van deze gegevens moet ten minste een melding worden gedaan bij het CBP en moet de OR zijn toestemming verlenen, indien het FIS op vrijwillige basis wordt geïmplementeerd. Als het FIS een wettelijke verplichting wordt, zal de OR hooguit nog slechts geïnformeerd worden.

In het FIS worden gegevens betrekking hebbende op het eigen systeem vastgelegd en gegevens tót de verbindingen met andere systemen. Afhankelijk hoe de fysieke inrichting van deze externe verbindingen is ingeregeld, kan het mogelijk zijn een deel van deze gegevens ook ter beschikking van het FIS te stellen, bijvoorbeeld als een borderrouter van een derde partij op de te doorzoeken locatie staat.

Advertenties

Reacties»

1. Joseph - juni 5, 2006

Deze discussie bevat enerzijds algemene argumenten anderzijds argumenten specifiek gericht op werknemers. Is het op grond van de bevindingen ook toegestaan om gegevens te verzamelen over willekeurige gebruikers (zowel gewenste als ongewenste)? Welke additionele aspecten moeten hiervoor worden geregeld?

2. gertjan - juni 9, 2006

Op een van de andere blogs wordt de conclusie getrokken dat het FIS en de Wbp goed bij elkaar passen. Mijn insteek bij de ontwikkeling van het FIS is dat, als je zonder discriminatie dezelfde gegevens van alle medewerkers vastlegt op forensisch en juridisch correcte wijze en hiervan een melding hebt gedaan conform de Wbp, je deze gegevens mag opslaan en indien noodzakelijk (onder bepaalde gedefinieerde randvoorwaarden) mag gebruiken.

De additionele aspecten worden onder meer gevormd door de procedures die de zuiverheid van de gegevens waarborgen en de technische maatregelen die genomen worden om de Wbp na te leven.


Geef een reactie

Vul je gegevens in of klik op een icoon om in te loggen.

WordPress.com logo

Je reageert onder je WordPress.com account. Log uit / Bijwerken )

Twitter-afbeelding

Je reageert onder je Twitter account. Log uit / Bijwerken )

Facebook foto

Je reageert onder je Facebook account. Log uit / Bijwerken )

Google+ photo

Je reageert onder je Google+ account. Log uit / Bijwerken )

Verbinden met %s

%d bloggers liken dit: