Microsoft vecht bevel tot afgifte Europese e-mails aan

| AE 6927 | E-mail, Strafrecht | Er zijn nog geen reacties

Microsoft gaat in beroep tegen een rechterlijk bevel om e-mails van Europese gebruikers te overhandigen aan de Amerikaanse overheid, las ik bij Webwereld. In april had de Amerikaanse Justitie een bevel gegeven aan de Amerikaanse moeder tot afgifte van mails opgeslagen bij Microsofts Ierse dochtermaatschappij. Het bevel wordt nu door de rechtbank bevestigd, maar Microsoft gaat dus in hoger beroep.

Wie rechtsmacht heeft in de cloud, blijft een lastige vraag. Het lijkt logisch uit te gaan van waar de servers staan, maar dan wordt het met de flexibiliteit van de cloud wel erg makkelijk om van jurisdictie naar jurisdictie te hoppen.

Kijken waar het bedrijf gevestigd is, is dan misschien beter. Maar hoe ga je dan om met buitenlandse dochters? Het doet gek aan dat je die niets zou mogen vragen terwijl ze toch net zo goed deel van het binnenlandse bedrijf zijn.

Binnen het Amerikaanse strafrecht komt deze vraag neer op de vraag hoe je een cloudmailopeising moet kwalificeren: een doorzoeking of een opvraging? Dit zijn grofweg de twee manieren om als Justitie iets te pakken te krijgenL langsgaan of het laten brengen.

Als je het ziet als een doorzoeking, dan is het bevel onterecht: Amerikaanse Justitie of politie mag geen buitenlandse panden doorzoeken, ook niet als ze eigendom zijn van een Amerikaan. Maar als je het ziet als een opeising dan mag het wel: een Amerikaan kan worden gedwongen naar zijn buitenlandse huis te gaan en daar iets op te halen als dat nodig is voor een strafrechtelijk onderzoek.

De rechtbank bevestigt nu dat ze lezing twee hanteert. Microsoft mag de mail dus gaan halen – of kan het haar dochter laten brengen, dat is om het even.

Het is goed dat Microsoft in beroep gaat, want dit maakt het wel érg makkelijk om wereldwijd dingen op te eisen die digitaal opgeslagen staan. Hoewel ik niet meteen een juridisch argument weet tegen het feit dat data geen pand is en dus wel een ding moet zijn, oftewel iets dat opeisbaar is in plaats van doorzoekbaar.

Arnoud

Kabinet wil notice/takedown van extremistische uitingen opvoeren

| AE 6929 | Meningsuiting, Strafrecht | 19 reacties

Het kabinet wil verspreiding van online radicaliserende, haatzaaiende, gewelddadige jihadistische informatie tegengaan, maakte men vorige week bekend. Onderdeel daarvan is een specialistisch team dat notice/takedownbevelen gaat geven aan tussenpersonen zoals Facebook. “Ook maakt het team afspraken met internetbedrijven over effectieve blokkeringen.”

Onder de huidige wet is het mogelijk een bevel tot verwijdering te geven van een strafbare uiting (art. 54a Strafrecht). Wel vereist dit een machtiging van de onafhankelijke rechter-commissaris – de Nederlandse variant op wat in de VS een “gerechtelijk bevel” heet. Er is dus géén rechtszaak nodig waarin de tussenpersoon of de plaatser gehoord hoeft te worden.

Het persbericht lijkt te suggereren dat men het eerst vrijwillig wil vragen. Er is immers een notice/takedown gedragscode waar diverse internetbedrijven zich aan hebben gecommitteerd (al kan ik geen lijst vinden) en via die code mag iedereen vragen of iets weggehaald kan worden als het evident onrechtmatig is.

Iedereen? Nou ja bijna iedereen: volgens mij mag de politie echt niet vrijwillig vragen. Bevoegdheden van politie en Justitie zijn wettelijk geregeld, en alles dat men doet moet te herleiden zijn tot een bevoegdheid. En omgekeerd, als iets te herleiden is tot zo’n bevoegdheid dan móet men die gebruiken.

Inclusief de bij die bevoegdheid opgenomen grenzen. Dat is namelijk het punt: in de wet zijn waarborgen opgenomen, en die kun je dan niet zomaar passeren door het “vrijwillig vragen” te noemen. Zeker als je bedenkt dat veel mensen niet weten wanneer de politie iets vraagt en wanneer ze iets beveelt, of hoe je effectief “nee” kunt zeggen als de ondertoon is “dan komen we terug met een bevel en gaat je hele tent op z’n kop, plus je riskeert dan zelf vervolgd te worden”.

In het wetsvoorstel computercriminaliteit III werd overigens in eerste instantie voorgesteld die toets door de rechter-commissaris te schrappen. Maar de tekst zoals die er nu ligt, vereist wél (in nieuw art. 125p Sr) een machtiging van de rechter-commissaris.

Ik heb geen idee van hoe zeer Facebook of Twitter onder de indruk zal zijn van een Nederlands bevel.

Arnoud

Kun je een e-mailadres meenemen als de dienstverlener stopt?

| AE 6919 | E-mail | 34 reacties

email-e-mail-elektronische-post-envelopIk had het nieuws ook gemist maar internetprovider Knoware is overgenomen door Telfort en het domein gaat binnenkort uit de lucht. Dat gaf allerlei klachten zo lees ik van mensen die graag hun jarenlange mailadres @knoware.nl willen behouden. Dat “kan niet” volgens de helpdesk. Maar er is kunnen en willen, volgens mij.

Technisch zie ik op zich geen bezwaren. Het doorsturen van mail op adres A naar adres B is een standaardfunctie van mailservers, en als dat eenmaal ingesteld is dan kan dat tot in de eeuwigheid (of het afschaffen van e-mail) gewoon blijven draaien. (Heren en dames mailadmins, mis ik iets?)

Of je het moet willen is vers twee. Je bent afhankelijk van twéé maildienstverleners nu, beiden kunnen spamfilters, storingen en configuratiefouten hebben dan daarmee vergroot je de kans op verloren e-mail. En je hebt dubbele kosten natuurlijk want verlangen dat men grátis een dienst actief houdt, lijkt me niet helemaal redelijk. Maar beiden zouden je eigen keuze moeten zijn.

Alleen wat nu als de dienstverlener er gewoon geen trek meer in heeft, ook niet voor $veel geld? Ik vrees dat je dan gewoon pech hebt.

De wet kent nergens een regel dat een overeenkomst tot dienstverlening eeuwig moet kunnen worden voortgezet als de klant daarom vraagt. Logisch op zich, een bedrijf moet kunnen stoppen zou je zeggen. Zolang alle lopende contractstermijnen worden uitgediend, en er dus tijdig wordt opgezegd, is dat niet meer dan logisch. Het probleem lost zichzelf dan op: in de voorwaarden staat dat het jaarlijks opgezegd kan worden, dus dan heb je een jaar om je voor te bereiden op een overstap.

Toch wringt dit voor mij een beetje. Een e-mailadres is geen onderhoudscontract voor je CV-ketel. Overstappen naar een ander impliceert gedoe welhaast vergelijkbaar met een fysieke verhuizing. En zou het vanwege dát gedoe niet redelijk zijn dat je nog een tijd een forward mag verwachten, of misschien zelfs levenslang?

Arnoud

Kan een forum zijn leden aansprakelijk stellen na een claim?

| AE 6914 | Aansprakelijkheid | 42 reacties

Als je als forum aansprakelijk bent voor foto’s (of teksten) die je leden geplaatst hebben, dan kan dat een dure grap worden. Dat ondervond het Brandweerforum vorig jaar. Men werd toen met succes aansprakelijk gesteld door een fotograaf voor foto’s geplaatst door leden van het forum. Het forum was geen neutraal platform maar vervulde een… Lees verder

Mag ik inbreken bij collega’s voor ons security-event?

| AE 6905 | Arbeidsrecht, Beveiliging | 5 reacties

Een lezer vroeg me: Mijn werkgever wil een security awareness event organiseren. Hiervoor ben ik gevraagd om bij diverse mensen in te breken op de werkcomputer en/of mail, gebruikmakend van simpele beveiligingsfouten of social engineering. Zo wil men concreet laten zien wat er mis kan gaan. Mijn manager zegt dat hij alle verantwoordelijkheid draagt en… Lees verder

Het Facebookaccount van je tante erven, kan dat?

| AE 6909 | Contracten | 8 reacties

Erf het Facebook-account van je overleden tante, kopte het steeds Buzzfeedachtiger Webwereld vorige week. Het nieuwsbericht meldde dat de staat Delaware een wet heeft aangenomen waarin vastgelegd wordt dat je als ergenaam of nabestaande toegang tot (of vernietiging van) een dienstaccount kunt eisen. De grote techbedrijven zijn boos: “De wet houdt geen rekening met de… Lees verder

Tiradeweek: Toestemming vragen gaat ‘m echt niet worden bij privacydingen

| AE 6888 | Privacy | 16 reacties

Een vervolg op mijn tirade van gisteren: wat te doen tegen het probleem dat niemand echt graag zijn privacy opgeeft. De gebruikelijke oplossing bij zulke situaties is dan mensen om toestemming vragen. Toon er een kort tekstje bij dat uitlegt wat we doen, en wie dan ja zegt die zal het wel vrijwillig willen. Zo… Lees verder

Tiradeweek: Is het vrijwillig, je privacy opgeven bij online diensten?

| AE 6788 | Innovatie | 30 reacties

Een mooie dooddoener in elke discussie over online privacy: waarom je druk maken over privacy en privacywetgeving – de mensen vandaag de dag geven toch al hun privacy op door alles op Facebook, Instagram en Twitter te gooien. Dus wat maakt het dan uit, die paar duizend securitycamera’s erbij en het dataminen op basis van… Lees verder