Wet bewaarplicht erdoor, en nou / nou en?

pixelated-fingerprint-gepixeld.pngJaja, de Wet Bewaarplicht is erdoor. Helemaal vergeten te melden, ik weet het. Maar omdat het hier om een volstrekt zinloos stuk wetgeving gaat, heb ik hem even laten liggen. Afijn, het principe zal u bekend zijn: aanbieders van openbare telecommunicatienetwerken en -diensten zijn vanaf nu verplicht om verkeersgegevens van hun gebruikers te bewaren ten behoeve van opsporing van ernstige delicten. De hooiberg komt er dus, hoe er straks spelden in gezocht worden moet nog worden bedacht. En een andere Arnoud heeft al een manier gevonden om er omheen te kunnen.

De huidige wetsartikelen noemen 12 maanden, maar de minister heeft toegezegd om dit met een reparatiewet naar zes maanden te beperken voor internetproviders

De belangrijkste vraag voor providers is: wat moet ik nu eigenlijk bewaren? Heel wat. Maar niet, en ik herhaal: niet, en ik herhaal nogmaals voor de mensen die dubbele ontkenningen niet snappen: niet, de adressen van websites die mensen gaan bezoeken. De bewaarplicht is namelijk beperkt tot een specifieke waslijst met te bewaren gegevens. Artikel 13.2a Telecommunicatiewet zegt:

Aanbieders van openbare telecommunicatienetwerken of openbare telecommunicatiediensten bewaren de in de bij deze wet behorende bijlage aangewezen gegevens, voorzover deze in het kader van de aangeboden netwerken of diensten worden gegenereerd of verwerkt, ten behoeve van het onderzoeken, opsporen en vervolgen van ernstige misdrijven

En wat staat er dan in die bijlage voor internetproviders:

a. de toegewezen gebruikersidentificatie(s) en de gebruikersidentificatie of telefoonnummer van de beoogde ontvanger(s) van een internettelefoonoproep;<br/> b. de gebruikersidentificatie en het telefoonnummer toegewezen aan elke communicatie die het publieke telefoonnetwerk binnenkomt;<br/> c. naam en adres van de abonnee of de geregistreerde gebruiker aan wie het IP-adres, de gebruikersidentificatie of het telefoonnummer was toegewezen op het tijdstip van de communicatie en naam (namen) en adres (adressen) van de abonnee(s) of de geregistreerde gebruiker(s) en de gebruikersidentificatie van de beoogde ontvanger van communicatie;<br/> d. datum en tijdstip van de log-in en log-off van een internetsessie gebaseerd op een bepaalde tijdzone, samen met het IP-adres, hetzij statisch, hetzij dynamisch, dat door de aanbieder van een internettoegangsdienst aan een communicatie is toegewezen, en de gebruikersidentificatie van de abonnee of geregistreerde gebruiker;<br/> e. datum en tijdstip van de log-in en log-off van een e-maildienst over het internet of internettelefoniedienst gebaseerd op een bepaalde tijdzone;<br/> f. de gebruikte internetdienst;<br/> g. het inbellende nummer voor een inbelverbinding;<br/> h. de digital subscriber line (DSL) of ander eindpunt van de initiatiefnemer van de communicatie.

Het gaat met andere woorden alleen over de verkeersgegevens van de persoon die toegang krijgt tot internet. Grofweg: je IP-adres, het MAC-adres van je modem en het telefoonnummer vanaf waar je inbelt.

Onder c valt ook het e-mailadres van de mensen met wie je mailt. Dat moet een provider dus wel gaan bijhouden. Maar neem je een e-maildienst af bij een aparte dienstverlener (bv. Hotmail, Gmail of mijn favoriet Fastmail.fm), dan geldt de bewaarplicht niet voor hen.

Bij het Opinieblog van XS4All maakt Niels Huijbregts, en met hem 168 reaguurders, zich terecht boos over deze wet. In de comments daar nog de intrigerende observatie dat ook inkomende mail moet worden geregistreerd. Daar had ik nog niet aan gedacht, maar het lijkt er wel onder te vallen ja. Dat wordt nog een leuke dan gezien alle spams die binnenkomen.

Ik kan werkelijk geen enkel voordeel ontdekken aan deze wet. Nou ja, alleen firma’s die nu tools gaan leveren om het te implementeren en juristen die mogen uitleggen wat je wel en niet moet doen. 🙂

Arnoud

47 reacties

  1. Wat betekent f precies? Het lijkt mij, dat ik door het bezoeken van dit weblog de internetdienst “blog.iusmentis.com” gebruik. Moet dit gegeven dan worden vastgelegd?

    In de wetswijziging kan ik geen definitie van de term “internetdienst” vinden, terwijl “telefoondienst” wel afdoende wordt gedefinieerd.

    In het algemeen, betekent f niet dat elke TCP-connectie moet worden gelogd?

    Terzijde: Small Sister zou eigenlijk Little Sister moeten heten. Alliteratie is geen excuus voor brak Engels.

  2. Wel ik denk dat we maar eens een scanner moeten gaan downloaden die willekeurige websites afgaat. Als iedere Nederlander dat doet genereren we zoveel informatie dat er met de opgeslagen gegevens niets gedaan kunnen worden. De gegevens kunnen wel een waarde volle informatie bron zijn voor hackers, als die groep er achter komt hoe het opgeslagen is. Voor email is het nog leuker maar denk niet dat de providers het leuk vinden wat ik ga voor stellen maak 2 vakantie berichten aan en verstuur een email naar adres A en die geef bericht terug aan B maar B heeft ook weer een vakantie bericht etc etc etc. Een email war genereert erg veel data je kan in een uur miljoenen berichten genereren. In de tussen tijd gaan de echte criminelen over op gecodeerde berichten of websites die maar 1 keer bestaan en daarna niet meer opgeroepen kunnen worden. Het geen waar deze wetgeving voor bedoelt is gaat nooit goed komen, maar intussen moeten providers wel veel geld investeren om alles te loggen terwijl niemand weet wat er gaat gebeuren als men informatie nodig heb om het er tussen uit te filteren.

  3. Inkomende spam wordt ook geregistreerd ja. In de memorie van toelichting:

    ” De leden van de CDA-fractie refereerden voorts aan het feit dat in het buitengewoon groot aantal communicaties een zeer hoog percentage spam is begrepen.”

    Even verderop:

    “??? als een e-mail die is aangemerkt als spam niettemin door de aanbieder wordt doorgestuurd naar de eindgebruiker, dient de aanbieder de data van de e-mail overeenkomstig de verplichtingen van de richtlijn te bewaren; ??? als spam wordt uitgefilterd door de aanbieder op een zodanige wijze dat de overdracht van het bericht aan de bedoelde ontvanger (eindgebruiker) niet tot stand komt, dan behoeft de aanbieder de data van de e-mail niet te bewaren; ??? als de aanbieder de e-mail toegankelijk maakt voor de eindgebruiker (bijvoorbeeld door dat deze het kan ?ophalen? bij de aanbieder), dan wordt de aanbieder geacht de e-mail te behandelen als vallend onder de Richtlijn dataretentie, en de nationale wet- en regelgeving die daarop betrekking heeft.”

  4. En dan is er uiteraard nog de vraag of ik -als eigenaar van een colocated server- al deze informatie ook moet bewaren. Op mijn server wordt zo’n 50+ domeinen gehost voor familie/vrienden/kennissen en die delen mee in de onkosten. Tot op heden bewaar ik namelijk echt geen informatie over de mail die via de server is gegaan. Eenmaal opgehaald via POP3 of gewist via IMAP (eventueel met s-je) is het weg.

    De vraag is ook wie verantwoordelijk is voor dergelijke informatie en wie aangesproken moet worden om dergelijke informatie te verkrijgen en wie zou dat mogen opvragen?

  5. Ah, dat is positief nieuws. Maar wil dat zeggen dat elke aanbieder van een betaalde dienst hier dus ook niet onder valt? Om student te zijn, hoef je namelijk alleen maar college geld te betalen en bij een betaalde dienst is het moeilijk openbaar te noemen. Je kunt er namelijk geen gebruik van maken zonder ervoor te betalen. Blijft natuurlijk de vraag of je dan verplicht bent (of kunt worden) om een bepaalde gebruiker aan te wijzen, omdat je geen willekeurige groep bent en dus elkaar moet ‘kennen’.

    Voor mij niet zo’n probleem, omdat ik inderdaad iedereen ken die toegang heeft, maar dit soort regels en wetten zorgt er dus ook voor dat ik mijn dienst niet commercieel zal gaan maken.

  6. Bij lid c staat: naam en adres van de abonnee of de geregistreerde gebruiker [..] en adres (adressen) van de abonnee(s) of de geregistreerde gebruiker(s) en de gebruikersidentificatie van de beoogde ontvanger van communicatie.

    Hier wordt ik dus bedoeld in het eerste deel maar als met het tweede deel niet de naam van de website/server wordt bedoeld waarnaar mijn communicatie plaatsvind, wat dan wel?

  7. De conclusie van mensen die er verstand van hebben was al ver voor het ontstaan van concrete plannen dat het omzeilen van een dergelijk filter dusdanig eenvoudig is dat men er geen terrorist mee zal pakken. Weggegooid geld als je het mij vraagt.

    @Gijs, de ISP van je bezoekers zullen de bezoeken naar jouw server al loggen.

    http://www.freeproxies.org/ wordt met de dag een interessantere site om als startpagina te nemen als men het systeem wil frustreren.

  8. “de ISP van je bezoekers zullen de bezoeken naar jouw server al loggen.”

    Tenzij het tussen 2 (of meer) van dit soort servers is. Niet al het verkeer gaat via ISP’s, of leesbaar voor ISP’s.

  9. Ik ben ook wel benieuwd wat wordt bedoeld met “f. de gebruikte internetdienst”.

    Voorbeelden van internetdiensten zijn Google, Marktplaats en Hyves. Worden dan toch de bezochte websiteadressen opgeslagen?

    Zo niet, dan zie ik graag een definitie van “internetdienst”.

  10. f. de gebruikte internetdienst;

    — website; — shell account; — mail accounts; — voip accounts; etc.

    Voor de hosters onder ons is het handig om te kijken wat je nu al aan ‘CIOT’ doet, dezelfde activiteiten zullen onder de bewaarplicht gaan vallen (op basis van de Tw). Een zo groot mogelijk gedeelte van je activiteiten onder de noemer ‘dienst van de informatiemaatschappij’ plaatsen kan je veel opleveren (in niet te hoeven investeren).

  11. Ik heb zitten zoeken, maar ik vond maar ??n passage in de wetsgeschiedenis (de MvT) waarin surfgedrag wordt genoemd:

    De politie wijst er op dat de overige gegevens rond internet en internettoegang, zoals websurfgedrag, bedrijfse-mail, e-maildiensten als Hotmail en hostingdiensten niet onder de reikwijdte van de richtlijn vallen.
    En nergens kan ik terugvinden dat men dit heeft willen herstellen.

  12. @arnoud zou je als je een publiek toegankelijk wifi access point hebt ook tot de aanbieders van een communicatiedienst gerekend kunnen worden? Er zijn genoeg particulieren en horeca gelegenheden die met of zonder winstoogmerk internet aanbieden via een openstaand wifi punt. Uiteraard gaat dit uiteindelijk weer via een ISP die volgens de nieuwe wet gegevens opslaat maar de naam die ze er dan aan koppellen is niet perse die van de eindgebruiker van de internet verbinding.

  13. Dat hangt er denk ik vanaf hoe open je dat netwerk zet. Is het alleen voor klanten (bv. met een code op de kassabon) dan is het geen openbaar netwerk. Is het werkelijk iedereen binnen signaalafstand, dan zou het goed kunnen. FON bijvoorbeeld kan goed een openbare elektronische telecommunicatiedienst zijn. Ik kan er alleen niets over vinden.

  14. Arnoud: Ook met code op de kassabon lijkt het me een openbaar netwerk, een ieder kan namelijk iets nuttigen. (vgl de Surfnet uitspraak)

    Gerard: De dienst is een shell, het verkeer is dan telnet/ssh, ssh ansich is geen dienst.

    XS4ALL zou eens moeten onderzoeken of ze het ‘pack’ niet uit het CIOT verhaal moeten halen (door inbellen optioneel te maken met 1 euro extra ofzo), immers de toegang die ze bieden gaat via ADSL. Scheelt ze weer wat kosten en maakt het mogelijk te redeneren dat het ‘pack’ een dienst van de informatie maatschappij is en geen dienst onder de Tw, en derhalve geen bewaarplicht en geen CIOT meer.

    Tis bizar dat het CIOT je uid laat zien bij een verzoek.

  15. @Mr.Mr.

    Het lijkt me dat dit niet onder de uitzonderingen valt, aangezien XS4all gewoon een ISP is en die worden vrij specifiek genoemd in de regeltjes. Je moet nu namelijk ook al abonnementsgeld betalen voor je internetverbinding, dus alles wat je extra moet betalen is gewoon een dienst die je afneemt via je ISP. Het zou wat anders zijn als de diensten die je extra afneemt onder een of andere stichting vallen.

  16. Voorzover ik heb begrepen op de blog van een andere Arnout (met spelfout, grijns) vallen alleen ISP’s onder deze wet. En is webhosting (nog) gevrijwaard van deze ellende. De argumentatie is redelijk complex, dus hopelijk kan Arnoud het bevestigen of ontkennen. Blijkbaar staat in de wet Computercriminaliteit II dat webhosting daar niet onder valt:

    Het Verdrag maakt geen onderscheid tussen openbare elektronische communicatiediensten en niet-openbare elektronische communicatiediensten en richt zich ook op aanbieders die gebruik maken van deze netwerken om hun diensten aan te bieden, zoals de beheerders en eigenaren van websites en webhostingdiensten.

    Omdat deze wet in feite aangeeft wat een (tele)communicatiedienst is, geldt dat meteen ook voor de wet waarover we het hier nu hebben. Zo staat het tenminste in een latere reactie van Arnout:

    Het wetsvoorstel Computercriminaliteit II maakt geen onderscheid tussen telco???s enerzijds en niet telco???s (o.a. webhosters) anderzijds. Het wetsvoorstel bewaarplicht telecommunicatie gegevens valt rechtstreeks onder de telecomwet en geldt daarom alleen voor telecombedrijven. De wetgever heeft in bovenstaand citaat aangegeven dat webhosters geen telecombedrijven zijn. Dus webhosters vallen niet onder de telecommunicatiewet en zodoende geldt de bewaarplicht, die daar onderdeel van is, niet voor webhosters.

    Kortom het gaat er om wie door de OPTA als telecommunicatiebedrijf wordt aangemerkt. Aangezien ik en waarschijnlijk ook Gijs nooit door de OPTA zijn benaderd om ons daar voor (veel) geld aan te melden, hoeven wij ons niet gebonden te voelen aan deze nieuwe wet.

  17. Klopt, als je alleen hosting doet ben je geen aanbieder van een openbare elektronische telecommunicatiedienst in de zin van de Tw. Dat staat “gewoon” in de wet: wie een “dienst van de informatiemaatschappij” aanbiedt die “niet voornamelijk bestaat uit het doorgeven van signalen” is geen aanbieder van een telecomdienst. Je moet in OSI-termen echt een fysieke of datalaag-dienst bieden. Bij netwerk en transport wordt het al grijs, en daarboven ben je het zeker niet.

  18. @Arnoud: duidelijk. Alleen snap ik dan niet je eerste reactie (nummer 5)? Onder webhosting verstaan de meeste bedrijven namelijk ook e-maildiensten. Ik ken in ieder geval geen webhosters — tenzij ze ook internettoegang aanbieden — die bij de OPTA als telecommunicatiedienst bekend staan. Wat weer betekend dat de hele wet nog een stuk nuttelozer wordt omdat (grote?) delen van de e-mail niet onder het regime valt. Om te zorgen dat we bij het lezen ook veilig zijn, moeten we natuurlijk wel versleuteling gaan gebruiken. Bijvoorbeeld via webmail (https) dat zo wie zo al niet onder de wet valt.

    Er is trouwens nog een groep die voordeel heeft van deze nieuwe wet. Namelijk de uitgevers van bladen die zich kritisch over dit soort zaken uitlaten. Ben druk bezig met een paar artikelen over dit alles :-).

  19. Ik denk dat je die e-maildienst als ondergeschikt aan de dienst webhosting moet zien. Plus, e-mail over andermans infrastructuur is evenzo geen telecommunicatiedienst omdat je geen signalen overbrengt. Op diverse punten in de parlementaire behandeling wordt gezegd dat Gmail en Hotmail er niet onder vallen, zelfs als ze in Nederland gevestigd zouden zijn.

  20. @Arnoud: Webhosting bedrijven zijn er in verschillende soorten en maaten. Een heel grof onderscheid:

    Je hebt de grote met eigen AS en eigen peering/netwerken etc.

    Daarbij valt de netwerk component vaak onder ‘openbaar telecommunicatie netwerk’, echter het is zeer de vraag of webhosting of dedicated hosting een ‘openbare telecommunicatie dienst’ zijn. Ik meen van niet:

    Het Besluit van 13 september 2006, houdende wijziging van het Besluit verstrekking gegevens telecommunicatie en het Besluit vergunningen mobiele telecommunicatie, nota van toelichting, schrijft op midden pagina 6:

    De soort dienst betreft steeds een openbare telecommunicatiedienst in de zin van artikel i.i, onderdeelfJ, van de telecommunicatiewet, hetgeen betekent dat de bedoelde diensten geheel ofgedeeltelijk bestaan in het overbrengen van signalen via een elektronische communicatienetwerk. Diensten die door middel van het internet worden aangeboden aan de gebruiker die toegang hebben tot het internet, maar niet geheel of gedeeltelijk bestaan in het overbrengen van signalen vallen er niet onder. in algemene zin betreft de soort dienst derhalve de diensten die omschreven kunnen worden als ? toegang tot het internet ? en ?e-mail?, maar vormen van interntelefonie voor zover die als openbare telecommunicatiedienst zijn aan te merken, vallen er ook onder. Een dienst webhosting is niet aan te merken als een openbare telecommunicatiedienst

    Je hebt de kleinere die gebruik maken van de infrastructuur van de ‘grotere’, die vallen zeker niet onder de Tw.

    Besluit van 13 september 2006

  21. @ Arnoud: “Ik heb zitten zoeken, maar ik vond maar ??n passage in de wetsgeschiedenis (de MvT) waarin surfgedrag wordt genoemd:

    De politie wijst er op dat de overige gegevens rond internet en internettoegang, zoals websurfgedrag, bedrijfse-mail, e-maildiensten als Hotmail en hostingdiensten niet onder de reikwijdte van de richtlijn vallen.“

    Vriendelijk van ze, maar op z’n minst verbazend, te zien dat het de politie is die de reikwijdte van de richtlijn duidt 🙂

  22. Plus, e-mail over andermans infrastructuur is evenzo geen telecommunicatiedienst omdat je geen signalen overbrengt.

    Betekent dit dat als ik via Chello e-mail met de mailserver van XS4ALL, zij allebei geen gegevens over de berichten hoeven opslaan? Zo ja, hoe zit het dan als je twee ISP’s combineert die allebei van KPN zijn?

    Hoe werkt het als de ISP een dienst zelf niet uitvoert, maar hiervoor andermans infrastructuur gebruikt? Daarbij denk ik aan voip…

  23. Ik ben maar en ‘gewone jongen’ die wat surft, emailed en sites bakt maar… Stel, ik ben, naar aanleiding van het implementeren van deze wet, nogal paranoia en besluit al mijn emailtjes te encrypten en alleen nog maar met prepaid toestellen te bellen. Mijn telefoon gegevens, waar, naar wie en wanneer, en mijn emailtjes zijn zodanig verdacht dat men mij gaat monitoren. Is er dan ook geregeld wanneer/of men over gaat/kan gaan tot het bewaren/opslaan/afluisteren van de inhoud van bijvoorbeeld telefoongesprekken of email en kan men de ISP’s verplichten deze gegevens over te dragen? De lijn die daarvoor over gestoken moet worden lijkt wel een erg dun lijntje te worden… Weet iemand welke criteria er zijn opgesteld om te bepalen wat verdacht is en wat niet? Ben ik verdacht als ik mijn liefdes betuigingen aan mijn vriendin via encrypted mail verstuur en waarborgt de wet bijvoorbeeld nog het briefgeheim?

  24. Deze wet heeft niets met Hyves te maken. Internetproviders zoals KPN moeten IP-adressen bijhouden en koppelen aan klantgegevens (deze persoon ging om 20:36 het internet op met dit IP-adres), maar niet aan websites die ze bezoeken.

    Een website mag IP-adressen van bezoekers bijhouden, mits ze dat in het privacyreglement vermelden. En wanneer ze die mogen afgeven, staat hier: http://www.iusmentis.com/aansprakelijkheid/afgeven-gegevens-identificeren-gebruikers/ (De uitleg gaat over providers maar het geldt ook voor websites.)

  25. Hoe heeft die iemand dat voor elkaar gekregen? Als je kunt hardmaken dat dit computervredebreuk moet zijn geweest en jij aangifte wilt gaan doen, dan lijkt het me dat Hyves dit wel af moet geven. Moest Google ook bij Gmail, dat een rol speelde bij een zaak over bedrijfsgegevens.

  26. Dat kan Hyves wel zeggen maar zo werkt de wet toch echt niet. Alleen zul je ze ben ik bang wel een proces moeten aandoen om die gegevens te krijgen.

    Hyves kan niet zien welke persoon er achter een IP-adres zit, dat weet alleen de internetprovider die het IP-adres heeft toegekend aan die persoon.

  27. Weer erg bedankt voor je snelle reactie Arnoud. Dus Hyves kan niet ip tracen, maar wel ip adressen uitgeven, mits er een proces/politie komt opdagen. De internet provider zelfde verhaal?

    Dus als iemand niet naar de politie er mee gaat, gebeurt er niks, en/of is er niks dat die persoon kan doen?

  28. Volgens mij had ik in #36 al antwoord gegeven. Hyves kan het IP-adres afgeven, de provider kan de NAW-gegevens daarachter geven. Zij moeten dit altijd doen als de politie hen daartoe sommeert (na bevel rechter-commissaris) en zij moeten dit soms doen (afhankelijk van omstandigheden) als een private partij zich meldt. Zie hiervoor http://www.iusmentis.com/aansprakelijkheid/afgeven-gegevens-identificeren-gebruikers/

  29. Bedankt Arnoud!

    Nog een andere vraag. Recent is een vriend van mij bedreigd. Hij werd verteld dat hij in elkaar geslagen zou worden, en dood gemaakt als hij ooit bij zijn ex in de buurt zou komen. Het gekke was dat hij kort daarvoor zijn ex sprak diezelfde avond, en ze een prima gesprek hadden gehad. Ook is er nooit sprake geweest van enige serieuze problemen waardoor deze vent gerechtvaardigd is in zijn gedrag. Wat moet mijn vriend nu doen? Volgens mij als hij naar de politie gaat vertellen ze hem dat er eerst wat moet zijn gebeurd voor dat ze iets kunnen doen, of er moet een vuur wapen bij geweest zijn…

    Heel graag u expertise hierbij als dat kan.

  30. Als ik het goed begrijp, als iemand ergens van verdacht wordt, kan men alleen zien dat deze op internet geweest is, maar volgens mij kan het nooit iets bewijzen. m.i. bewaarplicht is puur onnodig/onzin

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.