Zondag 12 juni 2011

Spyware

Spyware is kwaadaardige software die zowel technisch als juridisch lastig te bestrijden is. In dit artikel wordt uitgelegd hoe spyware werkt en hoe het kan worden bestreden. Hierbij zal worden bekeken of de gedraging onder een delictsomschrijving van verschillende regelingen kan worden gebracht, zodat het gedrag strafbaar kan worden gesteld.

 Wat is spyware?
Spyware is software die informatie verzamelt die op een computer wordt ingevoerd of die zich daar reeds op bevindt om deze vervolgens door te spelen aan een externe partij. Deze gegevens (bezochte websites, verzonden e-mails, computergegevens, etc.) kunnen voor verscheidene doeleinden worden gebruikt, bijvoorbeeld voor het sturen van persoonsgerichte reclame door externe partijen. Spyware is een vorm van malware, oftewel een vorm van kwaadaardige/schadelijke software.

Spyware kan op verschillende manieren op een computer terecht komen. De meest voorkomende manier is het toevoegen van spyware aan een programma dat door een gebruiker op het internet wordt gedownload. Dit kunnen veel gebruikte en tevens bekende programma’s zijn, waarvan niet bekend is dat spyware onderdeel uitmaakt van het gedownloade programma. Zo kan het zijn dat een gratis versie van een programma spyware bevat, en dat een versie van hetzelfde programma waarvoor betaald wordt, geen spyware bevat. Zo heeft de gebruiker dus de ‘keuze’ tussen betalen, of het accepteren van spyware en daarmee zijn/haar gegevens prijsgeven. De gebruiker heeft in de praktijk vaak geen weet van de aan de software toegevoegde spyware. In de algemene voorwaarden wordt melding gemaakt dat gegevens van de gebruiker zullen worden afgetapt en gebruikt; wanneer de gebruiker deze voorwaarden accepteert (wat doorgaans gebeurt zonder deze door te lezen), geeft de gebruiker dus toestemming tot het aftappen van gegevens.

 Hoe kan spyware worden bestreden?
Omdat er geen wetsartikelen bestaan die specifiek zijn toegespitst op spyware, zal het onder een bestaande delictsomschrijving moeten worden gebracht. Daarvoor bestaan verschillende mogelijkheden:

-Computervredebreuk: art. 138ab Wetboek van Strafrecht / art. 144a Wetboek van Strafrecht BES.
-Vernieling van computergegevens: art. 350a (350b) Wetboek van Strafrecht.
-Onrechtmatig verzamelen van gebruikers-/persoonsgegevens: Wet bescherming persoonsgegevens.
-Ten aanzien van kennisgeving van gebruik van spyware in de algemene voorwaarden: art. 4.1 Besluit universele dienstverlening en eindgebruikersbelangen.

 Wanneer het gebruik van spyware onder één van deze delictsomschrijvingen valt, zal dit gebruik strafbaar worden geacht. Wanneer in de algemene voorwaarden echter melding is gemaakt van de spyware en deze zijn geaccepteerd door de gebruiker, dan is het via het Wetboek van Strafrecht lastig om te bewijzen dat er een strafbaar feit is gepleegd. Dan kan worden gekeken naar regelingen uit het laatstgenoemde Besluit. Er zijn verschillende instanties die bedrijven kunnen beboeten en aanspreken op hun gedrag, zoals de OPTA, het College Bescherming Persoonsgegevens en het OM.

Tot nu toe zijn er enkele boetes en dwangsommen opgelegd, maar van vaste rechtspraak op het gebied van spyware is (nog) geen sprake. Het opsporen van illegale praktijken is lastig, aangezien spyware moeilijk detecteerbaar is en de grootte van het gebruik ervan lastig in kaart te brengen is. Mocht dit al lukken, dan is nog maar de vraag of de hierboven genoemde regels kunnen worden gehandhaafd, gezien het internationale karakter van spyware.

Naast de wet- en regelgeving kan de gebruiker van software door middel van een detectieprogramma spyware tegengaan, dit zal bijvoorbeeld nodig zijn wanneer niet in de algemene voorwaarden is vermeld dat spyware aan de software is toegevoegd. Dit is één van de bestrijdingsmiddelen tegen spyware, maar er zijn uiteraard meer technische mogelijkheden om spyware tegen te gaan. Betere beveiligingen en systemen, die zich aanpassen aan de stand van de techniek van spyware, kunnen ervoor zorgen dat spyware effectief kan worden bestreden. In art. 11.3 Telecommunicatiewet wordt dan ook van internetaanbieders geëist dat zij hun netwerk goed beveiligen.

Conclusie
De technische bestrijdingsmiddelen zijn sneller aan te passen aan de ontwikkeling van spyware dan de wet- en regelgeving. Strenge regelgeving is echter nodig om effectiever de strijd aan te kunnen binden met spyware. Er zal een balans van wet- en regelgeving aan de ene kant en technische bestrijdingsmiddelen aan de andere kant nodig zijn om spyware tegen te gaan.

Bronnen en verwijzingen

R.E. van Esch, Juridische aspecten van elektronische handel, Kluwer 2007.
http://www.opta.nl/nl/actueel/alle-publicaties/publicatie/?id=2595
Besluit van 7 mei 2004, Stb. 2004, 203.