In het artikel van vorige week was te lezen wat met spam wordt bedoeld en waar de naam vandaan komt. Het Nederlandse spamverbod vindt zijn grondslag in de Telecommunicatiewet; een wet die naast spam nog vele andere soortgelijke onderwerpen behandelt – voor meer informatie zie de twee artikelen over deze wet. De handhaving van spyware geschiedt onder andere op basis van de Telecommunicatiewet. De eerste vraag die hierbij gesteld zal worden is: “Wat is spyware?” In dit artikel zal voorts worden ingegaan op het verschil tussen spyware en andere schadelijke software-varianten.

Spyware is de benaming voor computerprogramma’s (of delen daarvan) die informatie vergaren over de computergebruiker en deze doorsturen naar een externe partij. Spyware wordt meestal gebruikt om geld mee te verdienen, doorgaans voor reclamedoeleinden. De term spyware komt van het Engelse woord spy, dat spion betekent. Het specifieke aan spyware is dat het wordt gebruikt voor het aftappen van gegevens. De opkomst van spyware is mede het gevolg van het illegaal kopiëren van software. De programmamakers zoeken, nu zij minder inkomsten uit de verkoop kunnen halen, naar andere inkomstenbronnen. Het toevoegen van spyware aan een programma is één van de daarvoor gebruikte manieren. Zo zijn er bijvoorbeeld twee versies van Kazaa, een programma dat gebruikt wordt om illegaal films en muziek te downloaden. De ene versie van het programma kost geld en het andere, gratis programma bevat spyware. Naast deze commerciële vorm van spyware bestaan er vormen met meer criminele doeleinden. Meestal weten gebruikers niets van de spywarefunctie van een programma. Er zijn echter varianten waarbij gebruikers wel over de spywarefunctionaliteiten worden ingelicht. Dit gebeurt dan op een listige wijze via de algemene voorwaarden, die door de gebruikers toch bijna nooit worden gelezen. Spyware is een van de grootste gevaren geworden voor computers waarop Windows wordt gebruikt. Dit geldt speciaal voor gebruikers van Internet Explorer, vanwege de nauwe integratie van deze webbrowser met het besturingssysteem van Windows.

Spyware mag niet worden verward met andere soorten malware (hiermee wordt gedoeld op alle soorten kwaadwillende software), ook al zijn er vaak wel bepaalde overlappingen. We onderscheiden binnen de malware-varianten achtereenvolgens adware, Trojaanse paarden, keyloggers, autodialers en omwille van de volledigheid hier ook phishing. Adware laat reclameboodschappen aan de gebruiker zien. Deze kunnen door middel van spyware op de gebruiker afgestemd zijn, maar dat is niet altijd het geval. Adware bevat dus soms spywarefunctionaliteiten. Een Trojaans paard is software die, zonder medeweten van de gebruiker, op zijn computer wordt geïnstalleerd om aldaar handelingen te verrichten die resulteren in het aanrichten van schade. Deze malwarevariant doet dus meer dan enkel gegevens vergaren. Een keylogger registreert toetsaanslagen op een computer en kan de vergaarde gegevens doorsturen naar een andere computer. Deze software is een variant van spyware, maar wel een zeer specifieke vorm. Een autodialer is een programma dat automatisch het inbelnummer op een computer verandert. Vaak wordt dit nummer veranderd in een nummer waarvoor een hoog bedrag per minuut betaald moet worden. Dit is geen spyware omdat er geen gegevens worden verzameld. Ook phishing is iets anders dan spyware, maar wordt wel vaak in hetzelfde verband genoemd. In theorie zou zelfs beargumenteerd kunnen worden dat er bij phishing geen sprake is van malware, omdat er geen software voor gebruikt wordt. Door misleidende informatie proberen de phishers de computergebruikers te laten geloven dat ze de website van een bedrijf (bijvoorbeeld een bank) bezoeken, terwijl het in werkelijkheid een vervalste webpagina betreft. Vervolgens vragen de phishers aan de gebruikers gegevens aan hen te verstrekken, meestal met als doel om inlogcodes van bijvoorbeeld banksite te bemachtigen.

Spywareprogramma’s lijken in zekere zin op computervirussen. Beide worden geïnstalleerd zonder dat de gebruiker daar weet van heeft en beide hebben nadelige gevolgen voor de gebruiker. Ook veroorzaken ze vaak instabiliteit van het besturingssysteem. Maar er zijn toch enkele verschillen. Een virus kopieert zichzelf; het zal proberen andere computers te infecteren. Spyware kopieert zichzelf niet. Virussen verspreiden zichzelf (met hulp van computergebruikers die onvoorzichtig met hun computer omgaan) op een zo onopvallend mogelijke manier om niet ontdekt te worden. Spyware wordt onder andere verspreid door programma’s aan te prijzen, zodat onwetende gebruikers mogelijk schadelijke handelingen verrichten. Spyware installeert zichzelf op zo’n manier dat het steeds mee opstart als de computer wordt gestart, hetgeen processortijd en geheugen gebruikt en het systeem instabiel kan maken. Spywareprogramma’s kunnen bijvoorbeeld bijhouden welke websites de gebruikers bezoeken, welke e-mails worden verstuurd, welke programma’s zijn geïnstalleerd, enzovoort. Spyware kan in virussen verstopt zitten, maar wordt meestal meegeleverd met bepaalde programma’s.

Er zijn verscheidene middelen die overheidsinstanties kunnen aanwenden om de opkomst en verspreiding van spyware tegen te gaan. Dit kan onder andere door de maker en/of de verspreider van de software te straffen. Het gebruik van spyware is onder bepaalde omstandigheden verboden. Zo is het bij wet verboden om zonder toestemming van de gebruiker een computerprogramma op diens harde schijf te installeren. De juridische term hiervoor is computervredebreuk en wordt strafbaar gesteld in artikel 138ab Wetboek van Strafrecht. Een lacune in deze constructie is dat spyware toelaatbaar wordt geacht wanneer de algemene voorwaarden melding maken van het feit dat te installeren software zelf spyware is of bevat, zelfs als dit op een zeer onduidelijke wijze gebeurt. Ook slecht programmeerwerk is een manier om computers gevoelig te maken voor spyware; het maakt computers instabiel. Dit kan bestraft worden op basis van artikel 161sexies Wetboek van Strafrecht: ‘vernieling van geautomatiseerde bestanden door schuld’.

Tevens verzamelt spyware persoonsgegevens zonder toestemming, hetgeen in strijd is met de Wet bescherming persoonsgegevens – voor meer informatie over deze wet, zie het artikel hierover. In geval van overtreding van de Wet bescherming persoonsgegevens kan het College Bescherming Persoonsgegevens een boete opleggen aan de maker of verspreider van de spyware. Ook kan spyware in strijd zijn met artikel 4.1 van ‘Het besluit universele dienstverlening en eindgebruikersbelangen’. De handhaving van dit besluit valt onder verantwoordelijkheid van de Autoriteit Consument en Markt (ACM) – voor meer informatie zie het artikel over de ACM. In de strijd tegen dit soort programma’s kan de ACM daarnaast een boete opleggen op basis van de Telecommunicatiewet. In het artikel van volgende week zal worden ingegaan op een boetebesluit van de vroegere OPTA op basis van de toenmalige artikelen 15.4 en 15.10 Telecommunicatiewet. Op dit moment is de bevoegdheid uit die artikelen verwoord in artikel 11.7a Telecommunicatiewet. In dat artikel wordt aan de ACM de bevoegdheid gegeven om als toezichthouder boetes op te leggen en daarmee de verspreiding van spyware-programma’s te voorkomen. Een struikelblok in de handhaving van de gestelde regels is dat men meestal niet kan nagaan waar de spyware vandaan komt. In de gevallen waarin dit wel lukt, blijkt meestal het bedrijf buiten Europa gevestigd te zijn en zullen instanties als het College bescherming persoonsgegevens, het Openbaar ministerie en de ACM machteloos staan.

Resumerend: spyware is software waarmee gegevens van de computergebruiker worden afgetapt. Deze gegevens worden doorgestuurd naar een externe partij, die ze meestal gebruikt voor reclamedoeleinden. Naast spyware zijn er verscheidene andere soorten malware die vaak met elkaar worden verward. Hierbij kan men denken aan adware, keyloggers en Trojaanse paarden. Ook wordt spyware vaak ten onrechte gelijkgesteld met een computervirus. Het verspreiden van spyware kan worden bestraft op basis van zowel computervredebreuk als vernieling van geautomatiseerde bestanden door schuld. Daarnaast is er vaak sprake van overtreding van de Wet bescherming persoonsgegevens en het besluit universele dienstverlening en eindgebruikersbelangen. Volgende week zal ik ingaan op de eerste Nederlandse en Europese maatregel tegen spyware.

Lees ook de andere artikelen van mr. Sophia Sipkens.