Illegaal toezicht
Joerg Heidrich
Je moet je echt verre houden van verborgen toezicht-apps. Die kunnen bijna nooit legaal ingezet worden. Een aantal strafbepalingen staan mobiele spionage daarbij in de weg. Bovendien kan schending van de privacy ook een verbod of, in bijzonder ernstige gevallen, een claim voor smartengeld met zich meebrengen. Verder is het verzamelen, opslaan en doorgeven van gegevens van anderen, ook foto’s van personen, zonder toestemming van de betrokkenen een inbreuk op de wettelijke gegevensbescherming.
De wet beschermt de privacy van woorden, foto- en filmopnamen en van gegevens. Artikel 139 W.v.Str. stelt het onbevoegd afluisteren en opnemen van een gesprek strafbaar. Elke opname van een gesprek en natuurlijk ook een telefoongesprek zonder medeweten en instemming van alle betrokken personen is dus strafbaar.
Ook relevant zijn de artikelen 138a W.v.Str. ('computervredebreuk') en 139e ('wederrechtelijk afluisteren, aftappen of opnemen'). Daarin wordt onder andere de onbevoegde toegang tot informatie verboden door een toegangsbescherming te overwinnen of door de informatie tijdens het transport te onderscheppen. Dat geldt ook voor het bespioneren van mobiele telefoons, met name bij e-mails, WhatsApp-berichten, contacten en oproepgegevens. Zelfs het kopen of huren van een spionage-app kan al strafbaar zijn. Dat geldt als de software bedoeld is voor spionage en het onderscheppen van gegevens. Ook de leveranciers van de spionage-apps zijn in veel gevallen strafbaar.
Ouders
Het kan zijn dat ouders wel een spionage-app op de telefoon van hun kind mogen zetten, omdat zij wel bevoegd zijn in te grijpen in de privacy van hun kinderen. Dat vloeit voort uit hun ouderlijke zorgplicht volgens het artikel 247 van het Burgerlijk wetboek (B.W.). Het kan dan dus rechtmatig zijn om zonder het medeweten van een kind zijn internetgebruik en zijn verblijfplaats te controleren met een van de spionage-apps.
Maar dergelijke regels bepalen ook dat de ouders rekening moeten houden met de toenemende vaardigheid tot en behoefte aan zelfstandig verantwoordelijk handelen van een kind. Dat betekent dat naarmate een kind ouder wordt, het ook meer recht heeft op privacy. Volgens de Algemene Verordening Gegevensbescherming (AVG) van de EU is een jongere vanaf 16 jaar in staat om zelfstandig in te stemmen met de verwerking van zijn gegevens. Bij de monitoring van smartphones kan de leeftijdsgrens lager liggen, afhankelijk van het ontwikkelingsniveau van het kind. Hoe dan ook, de ouderlijke verantwoordelijkheid strekt zich alleen uit over je eigen kinderen. Zodra derden betrokken zijn bij het afluisteren, is de grens van strafbaarheid al bereikt, dus bijvoorbeeld wanneer je heimelijk meeluistert bij een telefoongesprek met grootouders.
Stalking
Het is niet toegestaan om je partner via een spionage-app te controleren zonder diens instemming. Afgezien van de algemene regels kunnen daar ook specifiekere regels gelden, zoals artikel 285b W.v.Str. Dat artikel stelt stalking strafbaar. Iemand is dan strafbaar die 'wederrechtelijk stelselmatig opzettelijk inbreuk maakt op eens anders persoonlijke levenssfeer met het oogmerk die ander te dwingen iets te doen, niet te doen of te dulden dan wel vrees aan te jagen'. Dat omvat onder andere het voortdurende gebruik van telecommunicatie of andere communicatiemiddelen.
Zo is eind 2015 een jongere veroordeeld die zijn ex-vriendin via een smartphone-app had gevolgd en onder andere haar sms- en WhatsApp-berichten had meegelezen. Omdat de hij nog onder het jeugdrecht viel en hij bekende, kreeg hij slechts een beperkte taakstraf.
Werkplek
Niet alleen bedrijven met een sterk Amerikaans arbeidsethos hebben de neiging hun eigen werknemers intensief te willen controleren. Een geheime surveillance is mogelijk, maar alleen in zeer uitzonderlijke gevallen, bijvoorbeeld videobewaking in het kader van een concrete verdenking. Bij verschillende functies, zoals het transporteren van gevaarlijke stoffen, is het ook toegestaan om de plaats van een werknemer te bepalen.
Het verborgen monitoren van bedrijfstelefoons is juridisch gezien niet mogelijk. Zelfs openlijke, permanente controle kan binnen de arbeidsverhouding ontoelaatbaar zijn. Daarvoor is immers toestemming van de werknemer vereist, en die moet vrijwillig zijn. Bij een dergelijke volledige controle rijst dan snel de vraag of zo'n vrijwilligheid ooit kan bestaan. Bovendien zou bijvoorbeeld ook de ondernemingsraad moeten instemmen.
Instagram, Snapchat en Tinder direct doorgeven. FlexiSpy doet dat ook met VoIP-gesprekken via Whatsapp, Skype, Facebook en andere clients. Beide apps hebben ook een keylogger. Wanneer die geactiveerd is, vervangt hij het standaardtoetsenbord door een eigen toetsenbord, dat elke toetsaanslag opslaat.
FlexiSpy heeft in de duurste Extreme Edition ook de ultieme bug-functie: in het front-end kun je via de optie 'Live listening' een telefoonnummer opgeven om op mee te luisteren. Als het spyware-slachtoffer dan belt, krijgt deze 'monitor' een signaal en kan hij het gesprek op zijn eigen telefoon onopgemerkt volgen. Bovendien kan hij met een stille oproep de microfoon van de smartphone van het slachtoffer activeren en de omgeving live beluisteren. Dat soort software wordt steeds vaker ingezet: bij een onderzoek in Amerikaanse blijf-vanmijn-lijf-huizen bleek dat driekwart van de slachtoffers waren bespioneerd met smartphone-apps (bron: npr.org).
Van geen kwaad bewust
Het gebruik van al diee functies is ten strengste verboden als de doelpersoon daar niets van weet en niet uitdrukkelijk heeft ingestemd met de spionage (zie het kader 'Illegaal toezicht'). De dubieuze aanbieders draaien in hun beschrijvingen behendig om de hete brei. Meestal gaat het neutraal om 'Kinderbeschermingsfuncties' of 'Medewerkerscontrole'. Zo ook op de (automatisch vertaalde) Nederlandstalige pagina van Spyera, een van de vele concurrenten van mSpy en FlexiSpy. Alleen uit de kleine lettertjes, bij FlexiSpy bijvoorbeeld in een gelinkte juridische disclaimer, merk je dat het bedrijf geen enkele verantwoordelijkheid accepteert voor onrechtmatig gebruik van de spionage-app, wat juridisch overigens moeilijk vol te houden is.
Op de supportforums van de apps blijkt dat bijna niemand die spionagehulpmiddelen voor legale doeleinden gebruikt. Het online-tijdschrift Vice heeft de moeite genomen om veel van de klanten die gevonden werden met het al genoemde FlexiSpy-databaselek aan te schrijven en te vragen naar hun motieven. Het tijdschrift publiceerde unieke inkijkjes in de afgrond van de stalkende zielen, die hun natte dromen in vervulling zagen gaan met FlexiSpy en aanverwanten.
Neem bijvoorbeeld Alex (naam gewijzigd door Vice). Hij heeft zijn vrouw bijna drie maanden lang bespioneerd en hele dagen doorgebracht met het schiften van het opgenomen materiaal. Hij voelt zich ook nu nog gerechtvaardigd, omdat hij ontdekte dat zijn vrouw hem bedroog. "Sommigen plegen dan misschien zelfmoord of schieten hun gezin overhoop. Ik heb een echtscheiding aangevraagd", citeert Vice. Volgens Vice zijn de gebruikers van de app zich nauwelijks van enig kwaad bewust. "Het is toch normaal, een man wil vaak gewoon weten wat zijn vrouw uitspookt", verklaarde iemand.
Preventie
In de media gaat het niet vaak over dit onderwerp. Er lijkt de afgelopen jaren door de openbare opsporingsdiensten weinig onderzoek geweest te zijn naar het criminele gebruik van spionage-apps, laat staan dat er strafrechtelijke processen geweest zijn. Waarschijnlijk zijn er dan ook veel nietgemelde gevallen.
Slachtoffers hebben namelijk een dubbel bewijsprobleem. Als ze aangifte doen, moeten ze in het kader van het onderzoek hun smartphone met alle persoonlijke gegevens afgeven aan de politie. Zelfs als de rechercheurs de spionage-app vinden, moet de schuld van de vermoedelijke dader nog vastgesteld worden. Zonder huiszoeking en analyse van diens apparatuur kan dat heel moeilijk zijn. Voor dergelijke maatregelen is de wettelijke drempel dan ook erg hoog, en dat weten de slachtoffers ook. Omdat ze die procedure door de onzekere uitkomst vermijden, of gewoon uit schaamte of uit angst voor represailles, zien veel slachtoffers waarschijnlijk af van aangifte bij de politie.
Je kunt een smartphonespionage dan ook beter zien te voorkomen. Dat begint met alle apparaten te voorzien van een goede toegangsbeveiliging. Pincodes en wachtwoorden moeten geheim blijven, zelfs voor je partner. Een vingerafdruksensor biedt de beste bescherming, veeggebaren de slechtste, want die kunnen worden afgekeken of gefilmd. Waar mogelijk moet je tweefactorverificatie inschakelen. Dat geldt vooral voor belangrijke diensten, met de Google-ID (Android) en de Apple-ID (iOS) voorop.
In de volgende artikelen geven we meer basisprincipes die kunnen helpen om smartphonespionage te voorkomen en effectief te bestrijden. We leggen uit welke ingangen er zijn. Vervolgens zijn er twee afzonderlijke artikelen met specifieke instructies en checklists over het ontdekken en verwijderen van spyware voor respectievelijk Android en iOS. Dat geldt niet alleen voor je eigen apparaat, maar ook voor de smartphones van familieleden en kennissen, die je vervolgens met raad en daad kunt bijstaan.