Wie dus die gegevens niet nodig meent te hebben als provider, logt die gegevens simpelweg niet en hoeft ze dan ook niet te bewaren.

Dit begrijp ik niet helemaal. Dit lijkt te impliceren dat als je bijvoorbeeld de gegevens van een connectie maar niet log je ze niet hoeft te bewaren (als isp). Daarboven lees ik echter iets als: als je de gegevens op enig moment hebt, moet je ze bewaren. Door een VPN-verbinding (als die zo is opgezet dat de isp inderdaad geen verdere info krijgt) te gebruiken kun je voorkomen dat je die gegevens überhaupt als isp ontvangt (of dat werkt laat ik even in het midden). Klopt dat?

(*) Ja, dat zou een half jaar worden maar dat komt er voorlopig niet van vrees ik.

Ik weet niet zeker of dat bij deze provider zo geregeld is, maar ik weet dat er wel in het verleden partijen waren die dit soort methodes er op nahielden.

Redenering die zij gebruiken:
* De VPN service heeft de meeste informatie gewoon weg niet, dus ze kunnen ze niet leveren.
* De VPN service weet niet welke personen achter welke username zitten, dus zelfs gerichte tap-opdrachten kunnen ze niet aan voldoen (deze is twijfelachtig volgens mij, ik neem aan dat de politie gewoon ook met het source IP adres kan komen).
* Username is nodig om het verkeer in plaintext uit het totaal te halen (daar is de VPN echt voor, zodat je niet aan de inkomende kant kunt sniffen).
* De payment provider is geen telecom provider dus hoeft die username echte identiteit koppeling niet te geven.

Praktische eindresultaat van deze aanpak is wel dat ze ook geen abuse handling kunnen doen op die VPN service, met als te verwachte resultaat dat vanuit die VPN endpoints op vele plekken geblokkeerd worden (inclusief zo te zien the pirate bay ;-)).

Ik vraag me af hoe een rechter daar naar kijkt. Ja strak logisch lijkt het dicht te zitten, maar het is toch heel duidelijk het omzeilen van de geest van die wetgeving (ze maken er zelfs reclame mee). Als ik iets van Arnoud’s verhalen geleerd heb, is dat precies het gebied waar de geek-verrassende uitspraken van rechters vandaan komen…

Het is dus eerder denkbaar dat mensen vrijuit gaan onder de strafwet (of bestuursrecht, Telecommunicatiewet) met een hele slimme truc dan dat ze vrijuit gaan onder het gewone recht. Dan moet er dus reparatiewetgeving komen om dat handelen alsnog strafbaar te stellen.

Jaren geleden was er bv. een discussie of een artikel over afgifte van opgeslagen gegevens mocht worden ingezet om te vorderen dat men gegevens tapt. Argument was “die gegevens raken 0,5 seconde je harde schijf en dus zijn ze opgeslagen”. Dat ging de rechter te ver, dat was niet bedoeld met “opgeslagen”. Er werd daarna een apart artikel gemaakt over het live mogen tappen van datacommunicatie.

Nog ouder is het verhaal over joyriding: géén diefstal omdat in de wet staat dat je dan een zaak moet wegnemen met het doel je de zaak toe te eigenen. Daarvan is geen sprake bij joyriding, je wilt immers al bij het wegrijden de auto straks dumpen. Meer dan “diefstal van benzine” is er dus niet van te maken.

Een paar jaar terug was er een verrassende uitspraak in de Runescape-zaak: het wegnemen van virtuele objecten was “diefstal” hoewel zeer zeker niet duidelijk was dat zo’n object eigenlijk “voor menselijke beheersing vatbaar” was. Het gerechtshof vond van wel, en dan mag het dus: men voldeed aan de omschrijving van het wetsartikel en dus was men strafbaar. Maar meer dan creatieve invulling van termen uit het wetsartikel geven, mag niet bij het strafrecht. “De bedoeling” van een strafwetartikel kan niet tegen een verdachte worden gebruikt.

Omdat de dataretentierichtlijn spreekt van “gegevens, voorzover deze in het kader van de aanbieding van de bedoelde communicatiediensten worden gegenereerd of verwerkt”, is m.i. vervolging alleen mogelijk als iemand gegevens wél genereert (ook al is het maar 1 seconde) en ze níet opslaat. Bied je bv. geen e-mail aan, dan hoef je geen mailheaders te bewaren (door verkeer naar poorten 25 elders te sniffen bijvoorbeeld).

Discutabel is wat er gebeurt als je wel e-mail aanbiedt maar logging uitzet op je mailserver. “Verwerk” je dan nog steeds e-mailadressen? Mogelijk wel: je server krijgt te horen “MAIL FROM” en “RCPT TO” en doet daar iets mee. Iets doen met input lijkt mij “verwerken”. Ik denk dus dat je dan toch logging weer aan zult moeten zetten.

In die strakke zin verwerkt/genereert de VPN service (in ieder geval ipredator, waarover ik vermoed dat het gaat ook bij Bahnhof) hoogstens een source IP, mogelijk source port, destination IP address (de endpoint), username en wachtwoord. Die informatie kan de VPN service dus niet aan een natuurlijk persoon koppelen (want door de payment provider + regels is de username ontkoppelt van een echt persoon of diens credit card/email address/…).
En als ze al die informatie opleveren, dan kun je met die informatie wat ik kan zien alleen een vermoeden bevestigen (je weet dat VPN IP-x in de logs van zeg een gehackte machine staat, je vermoedt dat persoon Y dat gedaan heeft, je linkt met de opgevraagde gegeven persoon Y aan VPN IP-x van die tijd). Je kunt er niet mee gaan onderzoeken met wie je verdachte allemaal gepraat heeft (want die outbound informatie wordt niet gelogd). Je kunt er dus niet mee terug in de tijd gaan voor het communicatie gedrag (wat het hele doel van deze wetten was).

Enige “gat” dat ik in de juridische constructie zie, is een tap-bevel op basis van een source IP adres (of username). Ipredator claimt dat tappen in Zweden alleen bij zaken met een minimum straf van 2+ jaar kan en dus alleen maar vooruit in de tijd.

Momenteel heeft Bahnhof een VPN-dienst beschikbaar voor al haar klanten à SEK 40 (ongeveer € 4,50) per maand. Dit produkt gaat onder de naam “Anonine”. In deze dienst kunnen klanten hun verkeer via een VPN verbinding naar servers die toebehoeren aan een samenwerkingspartner (Portlane) laten lopen. Portlane logt volgens de afspraak niets. Websites en services die je bezoekt zien een IP-adres van Portlane.

Klanten kunnen vanuit de hele wereld deze VPN dienst gebruiken. Buiten anonimisering wordt als doel van deze dienst genoemd om de mogelijkheid te bieden aan klanten om toegang te krijgen tot webdiensten die alleen vanaf Zweedse IP-adressen te benaderen zijn (bijvoorbeeld TV-streams). Doel van de dienst is dus niet uitsluitend anonimisering.

Voor de klanten van zo’n dienst is het de vraag of je die partij dan wel vertrouwd je gegevens niet te loggen. Ik stuur bv. al mijn email via een Amerikaanse (hosting) provider, die dus niet onder de EU regels valt, maar ook daar zijn vergelijkbare regels in de maak…