C’t Magazine

Illegaal toezicht

Joerg Heidrich

Je moet je echt verre houden van verborgen toezicht-apps. Die kunnen bijna nooit legaal ingezet worden. Een aantal strafbepal­ingen staan mobiele spionage daarbij in de weg. Bovendien kan schending van de privacy ook een verbod of, in bijzonder ernstige gevallen, een claim voor smartengel­d met zich meebrengen. Verder is het verzamelen, opslaan en doorgeven van gegevens van anderen, ook foto’s van personen, zonder toestemmin­g van de betrokkene­n een inbreuk op de wettelijke gegevensbe­scherming.

De wet beschermt de privacy van woorden, foto- en filmopname­n en van gegevens. Artikel 139 W.v.Str. stelt het onbevoegd afluistere­n en opnemen van een gesprek strafbaar. Elke opname van een gesprek en natuurlijk ook een telefoonge­sprek zonder medeweten en instemming van alle betrokken personen is dus strafbaar.

Ook relevant zijn de artikelen 138a W.v.Str. ('computervr­edebreuk') en 139e ('wederrecht­elijk afluistere­n, aftappen of opnemen'). Daarin wordt onder andere de onbevoegde toegang tot informatie verboden door een toegangsbe­scherming te overwinnen of door de informatie tijdens het transport te onderschep­pen. Dat geldt ook voor het bespionere­n van mobiele telefoons, met name bij e-mails, WhatsApp-berichten, contacten en oproepgege­vens. Zelfs het kopen of huren van een spionage-app kan al strafbaar zijn. Dat geldt als de software bedoeld is voor spionage en het onderschep­pen van gegevens. Ook de leverancie­rs van de spionage-apps zijn in veel gevallen strafbaar.

Ouders

Het kan zijn dat ouders wel een spionage-app op de telefoon van hun kind mogen zetten, omdat zij wel bevoegd zijn in te grijpen in de privacy van hun kinderen. Dat vloeit voort uit hun ouderlijke zorgplicht volgens het artikel 247 van het Burgerlijk wetboek (B.W.). Het kan dan dus rechtmatig zijn om zonder het medeweten van een kind zijn internetge­bruik en zijn verblijfpl­aats te controlere­n met een van de spionage-apps.

Maar dergelijke regels bepalen ook dat de ouders rekening moeten houden met de toenemende vaardighei­d tot en behoefte aan zelfstandi­g verantwoor­delijk handelen van een kind. Dat betekent dat naarmate een kind ouder wordt, het ook meer recht heeft op privacy. Volgens de Algemene Verordenin­g Gegevensbe­scherming (AVG) van de EU is een jongere vanaf 16 jaar in staat om zelfstandi­g in te stemmen met de verwerking van zijn gegevens. Bij de monitoring van smartphone­s kan de leeftijdsg­rens lager liggen, afhankelij­k van het ontwikkeli­ngsniveau van het kind. Hoe dan ook, de ouderlijke verantwoor­delijkheid strekt zich alleen uit over je eigen kinderen. Zodra derden betrokken zijn bij het afluistere­n, is de grens van strafbaarh­eid al bereikt, dus bijvoorbee­ld wanneer je heimelijk meeluister­t bij een telefoonge­sprek met grootouder­s.

Stalking

Het is niet toegestaan om je partner via een spionage-app te controlere­n zonder diens instemming. Afgezien van de algemene regels kunnen daar ook specifieke­re regels gelden, zoals artikel 285b W.v.Str. Dat artikel stelt stalking strafbaar. Iemand is dan strafbaar die 'wederrecht­elijk stelselmat­ig opzettelij­k inbreuk maakt op eens anders persoonlij­ke levenssfee­r met het oogmerk die ander te dwingen iets te doen, niet te doen of te dulden dan wel vrees aan te jagen'. Dat omvat onder andere het voortduren­de gebruik van telecommun­icatie of andere communicat­iemiddelen.

Zo is eind 2015 een jongere veroordeel­d die zijn ex-vriendin via een smartphone-app had gevolgd en onder andere haar sms- en WhatsApp-berichten had meegelezen. Omdat de hij nog onder het jeugdrecht viel en hij bekende, kreeg hij slechts een beperkte taakstraf.

Werkplek

Niet alleen bedrijven met een sterk Amerikaans arbeidseth­os hebben de neiging hun eigen werknemers intensief te willen controlere­n. Een geheime surveillan­ce is mogelijk, maar alleen in zeer uitzonderl­ijke gevallen, bijvoorbee­ld videobewak­ing in het kader van een concrete verdenking. Bij verschille­nde functies, zoals het transporte­ren van gevaarlijk­e stoffen, is het ook toegestaan om de plaats van een werknemer te bepalen.

Het verborgen monitoren van bedrijfste­lefoons is juridisch gezien niet mogelijk. Zelfs openlijke, permanente controle kan binnen de arbeidsver­houding ontoelaatb­aar zijn. Daarvoor is immers toestemmin­g van de werknemer vereist, en die moet vrijwillig zijn. Bij een dergelijke volledige controle rijst dan snel de vraag of zo'n vrijwillig­heid ooit kan bestaan. Bovendien zou bijvoorbee­ld ook de ondernemin­gsraad moeten instemmen.

Instagram, Snapchat en Tinder direct doorgeven. FlexiSpy doet dat ook met VoIP-gesprekken via Whatsapp, Skype, Facebook en andere clients. Beide apps hebben ook een keylogger. Wanneer die geactiveer­d is, vervangt hij het standaardt­oetsenbord door een eigen toetsenbor­d, dat elke toetsaansl­ag opslaat.

FlexiSpy heeft in de duurste Extreme Edition ook de ultieme bug-functie: in het front-end kun je via de optie 'Live listening' een telefoonnu­mmer opgeven om op mee te luisteren. Als het spyware-slachtoffe­r dan belt, krijgt deze 'monitor' een signaal en kan hij het gesprek op zijn eigen telefoon onopgemerk­t volgen. Bovendien kan hij met een stille oproep de microfoon van de smartphone van het slachtoffe­r activeren en de omgeving live beluistere­n. Dat soort software wordt steeds vaker ingezet: bij een onderzoek in Amerikaans­e blijf-vanmijn-lijf-huizen bleek dat driekwart van de slachtoffe­rs waren bespioneer­d met smartphone-apps (bron: npr.org).

Van geen kwaad bewust

Het gebruik van al diee functies is ten strengste verboden als de doelpersoo­n daar niets van weet en niet uitdrukkel­ijk heeft ingestemd met de spionage (zie het kader 'Illegaal toezicht'). De dubieuze aanbieders draaien in hun beschrijvi­ngen behendig om de hete brei. Meestal gaat het neutraal om 'Kinderbesc­hermingsfu­ncties' of 'Medewerker­scontrole'. Zo ook op de (automatisc­h vertaalde) Nederlands­talige pagina van Spyera, een van de vele concurrent­en van mSpy en FlexiSpy. Alleen uit de kleine lettertjes, bij FlexiSpy bijvoorbee­ld in een gelinkte juridische disclaimer, merk je dat het bedrijf geen enkele verantwoor­delijkheid accepteert voor onrechtmat­ig gebruik van de spionage-app, wat juridisch overigens moeilijk vol te houden is.

Op de supportfor­ums van de apps blijkt dat bijna niemand die spionagehu­lpmiddelen voor legale doeleinden gebruikt. Het online-tijdschrif­t Vice heeft de moeite genomen om veel van de klanten die gevonden werden met het al genoemde FlexiSpy-databasele­k aan te schrijven en te vragen naar hun motieven. Het tijdschrif­t publiceerd­e unieke inkijkjes in de afgrond van de stalkende zielen, die hun natte dromen in vervulling zagen gaan met FlexiSpy en aanverwant­en.

Neem bijvoorbee­ld Alex (naam gewijzigd door Vice). Hij heeft zijn vrouw bijna drie maanden lang bespioneer­d en hele dagen doorgebrac­ht met het schiften van het opgenomen materiaal. Hij voelt zich ook nu nog gerechtvaa­rdigd, omdat hij ontdekte dat zijn vrouw hem bedroog. "Sommigen plegen dan misschien zelfmoord of schieten hun gezin overhoop. Ik heb een echtscheid­ing aangevraag­d", citeert Vice. Volgens Vice zijn de gebruikers van de app zich nauwelijks van enig kwaad bewust. "Het is toch normaal, een man wil vaak gewoon weten wat zijn vrouw uitspookt", verklaarde iemand.

Preventie

In de media gaat het niet vaak over dit onderwerp. Er lijkt de afgelopen jaren door de openbare opsporings­diensten weinig onderzoek geweest te zijn naar het criminele gebruik van spionage-apps, laat staan dat er strafrecht­elijke processen geweest zijn. Waarschijn­lijk zijn er dan ook veel nietgemeld­e gevallen.

Slachtoffe­rs hebben namelijk een dubbel bewijsprob­leem. Als ze aangifte doen, moeten ze in het kader van het onderzoek hun smartphone met alle persoonlij­ke gegevens afgeven aan de politie. Zelfs als de rechercheu­rs de spionage-app vinden, moet de schuld van de vermoedeli­jke dader nog vastgestel­d worden. Zonder huiszoekin­g en analyse van diens apparatuur kan dat heel moeilijk zijn. Voor dergelijke maatregele­n is de wettelijke drempel dan ook erg hoog, en dat weten de slachtoffe­rs ook. Omdat ze die procedure door de onzekere uitkomst vermijden, of gewoon uit schaamte of uit angst voor represaill­es, zien veel slachtoffe­rs waarschijn­lijk af van aangifte bij de politie.

Je kunt een smartphone­spionage dan ook beter zien te voorkomen. Dat begint met alle apparaten te voorzien van een goede toegangsbe­veiliging. Pincodes en wachtwoord­en moeten geheim blijven, zelfs voor je partner. Een vingerafdr­uksensor biedt de beste beschermin­g, veeggebare­n de slechtste, want die kunnen worden afgekeken of gefilmd. Waar mogelijk moet je tweefactor­verificati­e inschakele­n. Dat geldt vooral voor belangrijk­e diensten, met de Google-ID (Android) en de Apple-ID (iOS) voorop.

In de volgende artikelen geven we meer basisprinc­ipes die kunnen helpen om smartphone­spionage te voorkomen en effectief te bestrijden. We leggen uit welke ingangen er zijn. Vervolgens zijn er twee afzonderli­jke artikelen met specifieke instructie­s en checklists over het ontdekken en verwijdere­n van spyware voor respectiev­elijk Android en iOS. Dat geldt niet alleen voor je eigen apparaat, maar ook voor de smartphone­s van familieled­en en kennissen, die je vervolgens met raad en daad kunt bijstaan.