Internetrecht door Arnoud Engelfriet

De Zweedse isp Bahnhof gaat het internetverkeer van alle klanten leiden over een vpn-verbinding, meldde Tweakers afgelopen vrijdag. Door het netwerkverkeer over zo’n versleutelde verbinding te leiden kan de provider niet meer zien wat voor sites en diensten klanten gebruiken, zodat ze die informatie ook niet kan doorgeven aan de overheid in het kader van de Zweedse bewaarplicht (dataretentie).

In Zweden lopen ze kennelijk een beetje achter, want de Richtlijn dataretentie is uit 2006 en had dus volgens mij allang in de Zweedse wet moeten staan. (En in andere landen is hier en daar al geoordeeld dat de bewaarplicht ongrondwettig is.) In ieder geval, in Zweden geldt dus nu ook een Wet bewaarplicht op grond waarvan providers bepaalde informatie moeten bewaren over hun klanten, zoals de MAC- en IP-adressen van klanten, de logon- en logoff-tijden van elke internetsessie en de mailadressen van alle mails die via de provider worden verzonden of ontvangen. Niet verplicht is het bijhouden van elke website die wordt bezocht.

De Richtlijn bewaarplicht verplicht echter niet tot het actief genereren van die informatie. De eis is dat je bewaart wat je verzamelt, meer niet. Artikel 3 van de Richtlijn zegt expliciet:

[De wet bewaarplicht eist dat] gegevens, voorzover deze in het kader van de aanbieding van de bedoelde communicatiediensten worden gegenereerd of verwerkt … worden bewaard overeenkomstig de bepalingen van deze richtlijn

Wie dus die gegevens niet nodig meent te hebben als provider, logt die gegevens simpelweg niet en hoeft ze dan ook niet te bewaren.

Wat echter de meerwaarde is van zo’n VPN, ontgaat me volledig. Ten eerste omdat je dus niet hoeft bij te houden welke websites men bezoekt, dus waarom zou je dat dan afschermen? Ten tweede omdat ik gewoon niet snap hoe dat VPN gaat werken. Bij Torrentfreak lees ik:

“Technically, this is a stealth section, we will store all data up to this point of invisibility,” adds Karlung, referring to the first-hop connection the customer makes with the company’s servers when going online.
“What happens after that is not our responsibility and is outside Bahnhof. So the only thing we are going to store is very little information, which in practice will be irrelevant.”

Als ik dit goed begrijp, dan gaat de VPN-verbinding dus vanaf mijn thuisnetwerk naar de eerste hop bij Bahnhof. Vanaf daar gaat het onversleuteld verder. Maar dan kan de provider toch nog steeds zien welke klant (die is en blijft identificeerbaar via de inkomende poort) naar welke website gaat?

Volgens mij kan dit alleen werken als het VPN-eindpunt buiten het netwerk van Bahnhof staat. Zouden ze dat bedoelen met “outside Bahnhof”? Maar bij welke dienstverlener wordt dan het eindpunt van de verbinding gelegd?

Arnoud

De Amsterdamse recherche en het Openbaar Ministerie dreigen de hoofdredacteur van Crimesite op te pakken, meldde de site gisteren. Hij wil geen gehoor geven aan een vordering om IP-nummers van bezoekers van de website te verstrekken. Het OM had die geëist in verband met een mishandelingszaak waarover Crimesite had bericht (via GeenStijl). In de reacties verklaarden twee getuigen iets over de gebeurtenissen, en de politie wil die graag eens op het bureau spreken. Kan dat zomaar?

De politie heeft de vordering ingediend op grond van artikel 126n Strafvordering. Daarmee mag men bepaalde gegevens vorderen “over een gebruiker van een communicatiedienst en het communicatieverkeer met betrekking tot die gebruiker”, zoals het IP-adres vanaf waar het communicatieverkeer is gedaan of de NAW-gegevens indien beschikbaar. Deze mag men vorderen van “aanbieders van een communicatiedienst”, en dat zijn dan weer bedrijven die (art. 126la Strafvordering):

aan de gebruikers van zijn dienst de mogelijkheid biedt te communiceren met behulp van een geautomatiseerd werk, of gegevens verwerkt of opslaat ten behoeve van een zodanige dienst of de gebruikers van die dienst;

Het gaat hier dus niet alleen om internetproviders die signalen doorgeven, maar óók om bedrijven die bijvoorbeeld pure hostingdiensten aanbieden. Die slaan immers gegevens op ten behoeve van de communicatiedienst “WWW” (ok ok technisch gesproken de dienst “http”). Je kunt discussiëren of Crimesite onder “bedrijven die communicatiediensten leveren” valt. Crimesite lijkt me wel een bedrijf in de zin van de wet - ze verkopen advertenties. Maar is hun core business de dienst opslag/doorgifte/http? Ik betwijfel het.

Crimesite heeft echter een veel sterker argument: zij doet aan journalistiek en heeft daarmee recht op bronbescherming (zoals bevestigd in de Voskuil- en Autoweek-arresten). Het OM heeft speciale richtlijnen opgesteld over hoe om te gaan met vorderingen richting journalisten. Die zegt in artikel 6a onder meer:

In ieder geval lijkt het toepassen van dwangmiddelen gerechtvaardigd als dat het enige effectieve middel is om een zeer ernstig delict op te helderen. Het moet dan gaan om die misdrijven waarbij het leven, de veiligheid of de gezondheid van personen ernstig is geschaad of in gevaar kan worden gebracht. Daarvan zal in beginsel sprake zijn bij het opsporen van de verdachte van bijvoorbeeld een reeks van ernstige zedenmisdrijven, het traceren van een hoeveelheid explosieven of het inrekenen van een voortvluchtige moordenaar.

Verdedigbaar is dat hier sprake is van een dergelijk misdrijf. Immers het ging om zware mishandeling van een portier. En als zich dan een getuige meldt dat hij gezien heeft wie het werkelijk was, en daarbij zelfs de politie aanspreekt (”Politie: maak even een praatje met het personeel en de DJ van die avond….dan weet je genoeg.”) dan kan ik het wel billijken dat je die meneer even wilt spreken. Er is geen anonimiteit bedongen, en heel hard nodig lijkt die ook niet bij een dergelijke verklaring. Dus ik denk dat uiteindelijk de rechter het OM toch gelijk zal geven, maar het tegendeel is ook goed verdedigbaar.

Essentieel is wél dat een rechter er naar moet kijken, en dat is niet het geval bij dit type vorderingen - iedere officier van justitie mag deze vordering instellen. En daarover zegt het Europese Hof in de Autoweek-zaak:

Although the public prosecutor, like any public official, is bound by requirements of basic integrity, in terms of procedure he or she is a “party” defending interests potentially incompatible with journalistic source protection and can hardly be seen as objective and impartial so as to make the necessary assessment of the various competing interests.

Daardoor was er geen “independent assessment as to whether the interest of the criminal investigation overrode the public interest in the protection of journalistic sources.” Een officier is (een beetje) partijdig en kan daarom niet beslissen of het opsporingsbelang zwaarder weegt dan het belang van de persvrijheid. Alleen een rechter(-commissaris) kan dat.

Arnoud

Opmerkelijk: een ex-werknemer moet zijn internetprovider verzoeken zijn verkeersgegevens betreffende zijn privé-internetgebruik ter bewaring te geven aan notaris. Dit omdat zijn werkgever hem beschuldigt van computervredebreuk en die verkeersgegevens nodig heeft als bewijs. Dat vonniste de rechtbank Alkmaar vorige week.

De ex-werknemer was op staande voet ontslagen wegens computervredebreuk. Het lijkt te zijn gegaan om “inloggen op een plek waar je niet mocht komen”, maar het is wat lastig tussen de regels door lezen hoe dit zit. Wel valt me op dat de kantonrechter toch zo zijn twijfels had bij de klacht: de ontslagprocedure resulteerde in een ontslagvergoeding van 28.000 euro voor de ex-werknemer in eerste instantie.

Vervolgens deed de werkgever aangifte van computervredebreuk. Daarbij kreeg hij te horen:

dat onderzoek zal worden gedaan naar de mogelijkheid om tot vervolging van Gedaagde over te gaan, maar dat dit onderzoek in verband met capaciteitsgebrek niet op korte termijn zal plaats vinden.

Daarbij speelde wel één probleem: om te bewijzen dat de ex-werknemer inderdaad illegaal zou zijn binnengedrongen bij het bedrijfsnetwerk (of de privé-Hotmail van de directeur), zijn eigenlijk alleen de verkeersgegevens van de provider betrouwbaar. De werkgever had natuurlijk ook logfiles, maar de ex-werknemer stelde expliciet dat deze gemanipuleerd zouden zijn.

Die kan de officier van justitie opvragen (art. 13.2a Telecommunicatiewet) als het gaat opsporing bij ernstige misdrijven, en computervredebreuk kan daar onder vallen. Alleen, die gegevens worden na een jaar gewist, en het feit zou in mei 2010 zijn gepleegd. Als de politie dus niet in beweging komt vóór mei 2011, dan zou de provider het bewijs waarschijnlijk vernietigen. Vandaar de eis: deponeer die gegevens bij de notaris.

De werkgever was kennelijk al met de provider gaan praten, want zo lees ik:

Eiser heeft met de internetprovider van Gedaagde - die de gegevens onder zich heeft - reeds een afspraak gemaakt over het afgeven van de bedoelde verkeersgegevens. Het betreft hier echter de gegevens die zien op het internetgebruik van Gedaagde en met het oog op de privacywetgeving waaraan de internetprovider gebonden is, is het nodig dat Gedaagde instemt met de afgifte, nu het hier geen afgifte in het kader van een strafrechtelijk onderzoek betreft.

Het is niet heel duidelijk waar deze constructie op gebaseerd is. Het lijkt qua taalgebruik aan te sluiten bij de Wet Bescherming Persoonsgegevens (deze verkeersgegevens zijn immers persoonsgegevens) en afgifte vereist dan toestemming van de betrokken persoon. Maar dit lijkt wel te botsen met artikel 13.5 van de Telecomwet, dat volgens mij geen ruimte biedt voor afgifte aan wie dan ook behalve de bevoegde instanties.

Aan de andere kant, ik snap het wel: je wilt ook niet dat bewijs verloren gaat, en doordat het bij een notaris ligt, is de kans op misbruik denk ik verwaarloosbaar.

Arnoud

Het constitutioneel hof van Roemenië heeft geoordeeld dat de bewaarplicht ongrondwettelijk en in strijdt met de mensenrechten is, zo meldde ISPam.nl gisteren. Dit gebeurde al op 8 oktober, maar de Engelse vertaling is nu pas beschikbaar. Kort gezegd oordeelt het Hof dat de bewaarplicht de essentie van het privacyrecht uitholt en daarmee onoverkomelijk in strijd is met dit fundamentele grondrecht.

Het Hof toetst de Roemeense versie van de Wet bewaarplicht aan haar eigen grondwet en meteen ook maar aan het Europees Verdrag voor de Rechten van de Mens. Dit verdrag, waar ook Nederland lid van is, bepaalt kort gezegd dat inbreuken op het private life van de burger alleen mogen als die:

1. bij wet geregeld zijn,
2. een legitiem doel dienen, en
3. niet op een andere, minder inbreukmakende manier geregeld kunnen worden (proportionaliteit).

Meestal zijn die eerste twee eisen geen probleem: er is altijd wel een wet en een op zich legitiem doel te verzinnen (terrorisme, drugshandel, kinderporno, auteursrechten*). Maar hier valt het Hof al meteen over de eerste eis: ok, er is dan wel een wet, maar die is zo vaag dat het voor providers niet mogelijk is om vast te stellen hoe ze zich daaraan moeten houden. In de Roemeense wet staat namelijk dat men onder andere “the related data necessary for the identification of the subscriber or registered user” moet bewaren, en dat is inderdaad behoorlijk vaag. Vandaar dat het Hof zegt:

The limitation of exerting the right to private life and to the secrecy of the correspondence and the freedom of expression, must also be made in a clear, predictable and unambiguous manner, so that the possibility of the arbitrariness or abuse from authorities in this field may be avoided , as much as possible.

In Nederland staat diezelfde term “related data” in artikel 13.2a lid 1 sub a Telecommunicatiewet, maar de bewaarplicht geldt alleen voor de zaken die in een specifieke lijst genoemd zijn. Bij ons is daarmee denk ik die onduidelijkheid wel weggenomen.

Wat wel bij ons speelt, is het punt van de proportionaliteit. Volgens de Wet Bewaarplicht moeten verkeersgegevens continu worden verzameld en bewaard, los van de vraag of die data nodig is voor bestrijding van enig strafbaar feit. Dat is niet noodzakelijk, zegt het Hof. Een inbreuk op de privacy moet in alle gevallen tijdelijk zijn. Immers:

[T]he regulation of a positive obligation that foresees the continuous limitation of the privacy right and the secrecy of correspondence makes the essence of the right disappear by removing the safeguards regarding its execution. The physical and legal persons, mass users of the public electronic communication services or networks, are permanent subjects to this intrusion into their exercise of their private rights to correspondence and freedom of expression, without the possibility of a free, uncensored manifestation, except for direct communication, thus excluding the main communication means used nowadays.

Op die gronden wordt de Roemeense wet die de bewaarplicht invoert, ongeldig verklaard als strijdig met de Roemeense Grondwet. Maar wat betekent dit nu voor de rest van Europa?

Mijn Roemeens recht is wat -ahem- roestig, maar zo te lezen is dit een wettelijk verplichte toets op deze nieuwe wet (zoals onze Raad van State doet, maar dan goed) en niet een arrest op verzoek van een benadeeld persoon. Dat is jammer, omdat er nu geen directe stap naar het Europese Hof voor de Rechten van de Mens mogelijk is. Dat kan pas als alle nationale rechtsmiddelen uitgeput zijn, en daar zijn we nog lang niet. Een Roemeen (bv. een provider die moet bewaren of een persoon wiens gegevens worden bewaard) zal nu eerst een rechtszaak moeten beginnen, en pas na hoger beroep en cassatie kan deze dan naar dat Hof.

Het is me zelfs niet duidelijk of dat er überhaupt van gaat komen - het kan goed zijn dat deze wet nu ingetrokken wordt en door iets nieuws vervangen gaat worden. En zolang er geen wet is, kan niemand die overtreden en is er dus geen grond om naar het Europese Hof te stappen. In Roemenië dan. Wie in Nederland zin heeft, heeft hier een mooi argument.

Arnoud

Jaja, de Wet Bewaarplicht is erdoor. Helemaal vergeten te melden, ik weet het. Maar omdat het hier om een volstrekt zinloos stuk wetgeving gaat, heb ik hem even laten liggen. Afijn, het principe zal u bekend zijn: aanbieders van openbare telecommunicatienetwerken en -diensten zijn vanaf nu verplicht om verkeersgegevens van hun gebruikers te bewaren ten behoeve van opsporing van ernstige delicten. De hooiberg komt er dus, hoe er straks spelden in gezocht worden moet nog worden bedacht. En een andere Arnoud heeft al een manier gevonden om er omheen te kunnen.

De huidige wetsartikelen noemen 12 maanden, maar de minister heeft toegezegd om dit met een reparatiewet naar zes maanden te beperken voor internetproviders

De belangrijkste vraag voor providers is: wat moet ik nu eigenlijk bewaren? Heel wat. Maar niet, en ik herhaal: niet, en ik herhaal nogmaals voor de mensen die dubbele ontkenningen niet snappen: niet, de adressen van websites die mensen gaan bezoeken. De bewaarplicht is namelijk beperkt tot een specifieke waslijst met te bewaren gegevens. Artikel 13.2a Telecommunicatiewet zegt:

Aanbieders van openbare telecommunicatienetwerken of openbare telecommunicatiediensten bewaren de in de bij deze wet behorende bijlage aangewezen gegevens, voorzover deze in het kader van de aangeboden netwerken of diensten worden gegenereerd of verwerkt, ten behoeve van het onderzoeken, opsporen en vervolgen van ernstige misdrijven

En wat staat er dan in die bijlage voor internetproviders:

a. de toegewezen gebruikersidentificatie(s) en de gebruikersidentificatie of telefoonnummer van de beoogde ontvanger(s) van een internettelefoonoproep;
b. de gebruikersidentificatie en het telefoonnummer toegewezen aan elke communicatie die het publieke telefoonnetwerk binnenkomt;
c. naam en adres van de abonnee of de geregistreerde gebruiker aan wie het IP-adres, de gebruikersidentificatie of het telefoonnummer was toegewezen op het tijdstip van de communicatie en naam (namen) en adres (adressen) van de abonnee(s) of de geregistreerde gebruiker(s) en de gebruikersidentificatie van de beoogde ontvanger van communicatie;
d. datum en tijdstip van de log-in en log-off van een internetsessie gebaseerd op een bepaalde tijdzone, samen met het IP-adres, hetzij statisch, hetzij dynamisch, dat door de aanbieder van een internettoegangsdienst aan een communicatie is toegewezen, en de gebruikersidentificatie van de abonnee of geregistreerde gebruiker;
e. datum en tijdstip van de log-in en log-off van een e-maildienst over het internet of internettelefoniedienst gebaseerd op een bepaalde tijdzone;
f. de gebruikte internetdienst;
g. het inbellende nummer voor een inbelverbinding;
h. de digital subscriber line (DSL) of ander eindpunt van de initiatiefnemer van de communicatie.

Het gaat met andere woorden alleen over de verkeersgegevens van de persoon die toegang krijgt tot internet. Grofweg: je IP-adres, het MAC-adres van je modem en het telefoonnummer vanaf waar je inbelt.

Onder c valt ook het e-mailadres van de mensen met wie je mailt. Dat moet een provider dus wel gaan bijhouden. Maar neem je een e-maildienst af bij een aparte dienstverlener (bv. Hotmail, Gmail of mijn favoriet Fastmail.fm), dan geldt de bewaarplicht niet voor hen.

Bij het Opinieblog van XS4All maakt Niels Huijbregts, en met hem 168 reaguurders, zich terecht boos over deze wet. In de comments daar nog de intrigerende observatie dat ook inkomende mail moet worden geregistreerd. Daar had ik nog niet aan gedacht, maar het lijkt er wel onder te vallen ja. Dat wordt nog een leuke dan gezien alle spams die binnenkomen.

Ik kan werkelijk geen enkel voordeel ontdekken aan deze wet. Nou ja, alleen firma’s die nu tools gaan leveren om het te implementeren en juristen die mogen uitleggen wat je wel en niet moet doen.

Arnoud

Een opmerkelijk vooruitziend artikel uit 1967 over bewaarplichten:

[A Government] Data Center poses a grave threat to individual freedom and privacy. With its insatiable appetite for information, its inability to forget anything that has been put into it, a central computer might become the heart of a government surveillance system that would lay bare our finances, our associations, or our mental and physical health to government inquisitors or even to casual observers. Computer technology is moving so rapidly that a sharp line between statistical and intelligence systems is bound to be obliterated. Even the most innocuous of centers could provide the “foot in the door” for the development of an individualized computer-based federal snooping system.

Met onder andere het BurgerServiceNummer, elektronische patiëntendossiers en zelfs Echelon (voor papieren post, dat dan weer wel).

Lees verder in The National Data Center and Personal Privacy.

Via Schneier on Security.

Arnoud

Hij is er weer: de verkiezing van de Big Brother Award. Nee, niet die van dat huis met camera’s, maar van die mensen die wel snappen wat met Big Brother is watching you werd bedoeld. Met de Big Brother Awards worden personen, bedrijven, overheden en voorstellen te kijk gezet die het afgelopen jaar bij uitstek controle op burgers en inbreuken op privacy hebben bevorderd. Uit de aankondiging:

De Belastingdienst, de NS, minister Rouvoet, Google, De Nederlandsche Bank, Schiphol, Maurice de Hond, Mark Rutte, het voorstel implementatie bewaarplicht verkeersgegevens, de plannen voor het Elektronisch Kinddossier, het voorstel nieuwe bevoegdheden voor de AIVD en het PNR Data Agreement zijn dit jaar door de jury van de Big Brother Awards genomineerd voor een Award.

Vaste klant ondertussen is de bewaarplicht verkeersgegevens. Dit “al jaren durend schimmig politiek spel met onze rechten op privacy en vertrouwelijkheid van communicatie”, aldus de Big Brother Awards, is bedoeld om verkeers- en communicatiegegevens over Internetgebruik anderhalf jaar vast te leggen. Inderdaad, elk e-mail adres met wie u correspondeert, elk webadres dat u bezoekt en iedere gebruikersnaam met wie u chat. Anderhalf jaar lang. De kosten hiervan komen voor rekening van de provider.

Een onderzoek van de Erasmus universiteit uit 2005 legt uit waar het bij de bewaarplicht om gaat:

Doordat er momenteel geen verplichting bestaat voor de aanbieders van telecommunicatie en Internet Service Providers tot het opslaan van verkeersgegevens bestaan er verschillen tussen de geleverde gegevens van de verschillende aanbieders. Het verdient dan ook aanbeveling een eenduidige verplichting te scheppen voor alle aanbieders van telecommunicatie en internettoegang en –diensten tot het opslaan van een “standaardset” aan verkeersgegevens. Gelet op de internationale wens tot ontwikkeling van een standaardset verdient het de voorkeur om de set van gegevens in ieder geval de momenteel reeds gevorderde gegevens te laten bevatten.

Het rapport ziet niet echt nut in het uitbreiden van de te bewaren gegevens.

Belangrijk twistpunt is ook hoe lang deze bewaarplicht moet duren. Het rapport meldt dat drie maanden in de praktijk genoeg blijkt. Het Europese Kaderbesluit noemt een termijn van één jaar. Nederland wil een bewaartermijn van anderhalf jaar invoeren.

UPDATE: (23 september) U heeft gewonnen!

Arnoud