Internetrecht door Arnoud Engelfriet

Vanwege mijn vakantie blog ik zelf niet, maar ik ben blij diverse gastbloggers te mogen verwelkomen. Vandaag Homme Bitter over het Nederlandse cyberleger.

Nederland heeft geen cyberleger. Dat is als 1e wereldland en
vooraanstaand lid van de NATO natuurlijk iets wat zo snel mogelijk
opgelost moet worden. Daarom is er door de minister van defensie op 27
juni een presentatie gehouden van de plannen om ook Nederland mee te
laten tellen. Deze presentatie heeft hij gegeven op de Nederlandse
Defensie Academie in Breda tijdens een symposium over dit onderwerp. Ik ben daar als gast
aanwezig geweest en wil graag mijn ervaringen delen.

Er wordt door defensie hoog ingezet. “Cyber” wordt gezien als een
nieuw slagveld. Ter land, ter zee, in de lucht, in de ruimte en nu ook
in de virtuele ruimte, kan je oorlog voeren.

Nu we een heel nieuw potentieel slagveld hebben, moet er ook een leger
worden opgericht wat toegerust is om op dat slagveld zijn/haar
mannetje te staan. Behalve de technische invulling daarvan, zal dat
ook betekenen dat er juridisch een en ander geregeld moet worden. De
laatste echt serieuze verdragen die internationaal bepalen wat wel en
niet bij een oorlog hoort, komen nog uit Genève en dateren in beginsel
uit 1949. Er zijn weliswaar toevoegingen aan gedaan in 1977 en 2005
maar die gaan nog steeds niet over wat je nou wel en niet mag bij
cyberoorlogsvoering. Sowieso, wat mag het leger wel wat de politie of
de AIVD niet mag en omgekeerd?

Een deel van het symposium waarop de presentatie van het cyberleger
werd gedaan, ging over deze vraag. Wat moet het leger voor taak in
gaan vullen, hoe zit dat nu wettelijk geregeld en wat moet er
eventueel aan aanvullende wetgeving komen om die taak beter uit te
kunnen voeren, of om die taak mogelijk te maken. In principe heeft het
leger twee taken. Het verdedigen van de internationale rechtsorde en
het voorkomen van maatschappij-ontwrichtende gebeurtenissen. Dit is
niet de letterlijke tekst uit de wet, maar kort door de bocht komt het
daar wel op neer. Als je dat naar het digitale domein vertaalt, zou
dat in de praktijk betekenen dat het leger ingezet zou kunnen worden
voor Internationale “vredesmissies” waarbij zowel verdedigend als
aanvallend, samen met bondgenoten, acties worden uitgevoerd. Wat ook
heel goed zou kunnen, is dat het leger net als bij het plaatsen van
een veldhospitaal bij een ziekenhuis waar de operatiekamer besmet is,
ook een “veldcomputercentrum” kan plaatsen bij zo’n zelfde ziekenhuis
waar een virus de ICT plat heeft gelegd.

Wat gaan soldaten doen in conventionele oorlogsvoering, nu er een
extra slagveld bij is gekomen? Gaan ze de infrastructuur van de vijand
DDoSen? Gaan ze inbreken op de computers en de gegevens verminken of
wissen? Gaan ze op Internet propaganda neerzetten die de bevolking van
de vijand in opstand moet laten komen? Of gaan ze civiele doelen
aanvallen, waardoor de brandweer en ambulances in het vijandelijke
land niet meer kunnen functioneren? Het Internet daar platleggen?
Worden het subtiele, doelgerichte aanvallen, al dan niet zonder dat de
dader te achterhalen is? Gaan er ook cybersoldaten mee op patrouille
om buitgemaakte datadragers forensisch te onderzoeken op strategische
informatie? Dit is allemaal nog niet bekend en het is ook nog niet
duidelijk hoe dat wettelijk allemaal geregeld is. Wat mag wel, wat mag
niet, wat valt onder de huidige Internationale wetgeving en waar moet
er nog wetgeving voor bij komen?

Een ander deel van wat er nu bij komt voor het leger, heeft met de
militaire tegenhanger van de AIVD, de MIVD te maken. Die twee werken
al nauw samen, maar omdat de AIVD zich meer met terrorisme en
economische spionage bezig houdt, zal het militaire spioneren, pardon,
het voorkomen van andermans militaire spioneren op de
computernetwerken van Nederland en de bondgenoten op het bordje van de
MIVD terecht komen. Sommigen binnen defensie vinden het lastig om dat
te kunnen doen zonder dat er meer rechten komen voor de MIVD en andere
inlichtingendiensten. De vergelijking wordt getrokken tussen
radioontvangst en Internetontvangst. Alles wat in de ether langs komt,
mag de MIVD uit de lucht plukken en opnemen, decoderen en wat ze er
ook maar mee van plan zijn. Als ze heel Internet zouden kunnen
“ontvangen” en er systemen op kunnen zetten zoals Echelon, of zoals
FaceBook z’n gebruikers afluistert om pedofielen mee te vangen, zou
dat hun werk een stuk makkelijker maken.

Niet iedereen binnen defensie
heeft deze mening en het is uiteindelijk aan de wetgever om te bepalen
wat de grens gaat worden. Het leger mag qua radio-ontvangst op zich ook
niet veel meer dan wat iedere burger nu mag. Er is in principe vrije
radioontvangst en de enige uitzondering die daar nu voor is, is het
descramblen van C2000 en het hebben van een radarverklikker in je
auto. De reden daarvoor is veel discussie over geweest, maar het komt
er op neer dat je de politie zou hinderen in hun werk en je zou eens
plotseling remmen als je radarverklikker afgaat, dat is gevaarlijk
weggedrag. Of dat valide redenen zijn of niet kan je nog twijfels over
hebben, maar het is een uitzondering op wat sowieso al mag en hij is
beargumenteerd. Gewone burgers mogen niet zomaar iedereens Internet of
telefonie afluisteren, dus waarom de overheid dat ineens wel zou mogen
met als argument “voor onze veiligheid” is mij niet helemaal duidelijk
geworden. Het is in ieder geval een discussiepunt en we kunnen
verwachten dat dit opnieuw in de politiek ter sprake gaat komen in het
kader van dit nieuwe legeronderdeel.

Het is duidelijk dat de Nederlandse overheid wel inziet dat ze dit
niet in hun eentje moeten doen en dat het leger dit ook niet moet doen
zonder met de politie en de AIVD samen te werken. Het onderscheid
tussen terrorisme, criminaliteit, spionage, een ongeorganiseerde
opstand zoals van Anonymous en een frontale aanval is vaak maar lastig
en meestal pas achteraf te bepalen. Hoe je daar nou invulling aan moet
geven en in hoe je je bondgenoten moet betrekken is nog niet helemaal
duidelijk, dus we gaan in de toekomst vast nog interessante dingen
over dit onderwerp te zien krijgen.

Ik vind zelf dat we in alle redelijkheid moeten gaan kijken naar hoe
we dit als land aan gaan pakken. Dat er mensen met foute bedoelingen
zijn die ICT gebruiken als middel om hun doel te bereiken is niet te
vermijden. We zullen daar als samenleving en dus ook via onze overheid
aandacht aan moeten besteden. Welke rechten en plichten we onze
overheid daarin geven, is iets waar we zorgvuldig over na moeten
denken. We moeten met zijn allen het doel niet uit het oog verliezen
en onze vrijheid weg geven door de verkeerde middelen te kiezen om
haar te beschermen.

Homme Bitter is consultant bij Sogeti. Hij is in zijn dagelijkse werk
betrokken bij beveiliging van ICT-systemen en de problemen die daar mee
samen gaan op juridisch vlak.

Omdat ik met vakantie ben, geef ik de komende weken diverse gastbloggers de ruimte. Vandaag een ook voor mij verrassend stukje arbeidsrecht van HR-adviseur Edwin van Erkelens: kun je afdwingen dat je werkgever je een referentie geeft op LinkedIn?

De werkgever is verplicht bij het einde van de arbeidsovereenkomst de werknemer op diens verzoek een getuigschrift uit te reiken, zo staat in de wet. In mijn HR-carrière heb ik dit altijd een ietwat archaïsch wetsartikel gevonden. Voor huishoudelijk personeel in de 19e eeuw was een getuigschrift belangrijk. Zonder positief getuigschrift kon de werknemer onmogelijk een vergelijkbare functie bij een andere werkgever krijgen. Om aan dit oneigenlijke machtsmiddel een einde te maken is dit wetsartikel in het leven geroepen. Een getuigschrift was hiermee geen gunst meer die (bij uitzondering) werd verleend, maar een recht dat kon worden afgedwongen. Hier komt bij dat je geen negatief getuigschrift mag afgeven.

In mijn loopbaan heb ik het bij uitzondering meegemaakt dat een werknemer om een getuigschrift vroeg. Ik moet de eerste kandidaat nog tegen komen die mij in de sollicitatiebrief getuigschriften meezond. Ook managers heb ik nog nooit waarde zien hechten aan getuigschriften. Waarschijnlijk zegt dit ook iets over mij. Eerlijkheidshalve moet ik er ook bij vermelden dat ik nog nooit om getuigschriften heb gevraagd.

De wereld is echter veranderd. Getuigschriften waren altijd brieven op papier. Internet bestond ook niet in de 19e eeuw. Met de opkomst van Linkedin is het verzamelen van referenties weer mode geworden. Je zou kunnen argumenteren dat een getuigschrift hetzelfde is als een Linkedin -referentie die wordt afgegeven door een werkgever. Dat roept de vraag op of een werknemer bij zijn werkgever zou kunnen afdwingen dat deze in Linkedin een referentie afgeeft conform de bepalingen van het getuigschrift.

In 2010 is de wet veranderd: de loonstrook mag digitaal worden aangeleverd, en ook de arbeidsovereenkomst zelf mag nu elektronisch. Het is opmerkelijk dat het artikel over de digitale loonstrook wel is veranderd, maar dat het artikel over het getuigschrift, onveranderd is gebleven. De vraag is nu of dit een bewuste keuze is van de wetgever of dat men het artikel over het hoofd heeft gezien.

Je kunt je natuurlijk afvragen of een verplichte referentie van de werkgever op Linkedin zin heeft, los van de juridische afdwingbaarheid. De werkgever is ook weer niet verplicht om zich positief over werknemer uit te laten. Tussen een positieve aanbeveling en een negatieve beoordeling zit nog iets als een neutrale vermelding van feiten. Dat maakt dat het praktisch gezien geen juridische strijd waard. Zeker niet voor de werkgever die al wettelijk verplicht is om een tekst op te stellen op papier. In lijn met de intentie van de wet en de maatschappelijke ontwikkelingen is het raadzaam om wel een referentie op Linkedin af te geven.

Edwin van Erkelens schrijft op MKB-HR-Adviseur.com over HRM, recruitment en social media. Als adviseur begeleidt hij ondernemers op deze gebieden. Dit varieert van projectmatige inzet tot tijdelijke vervanging.

Een lezer vroeg me:

Ik ben sinds kort bij een ICT-bedrijf werkzaam als facilitair medewerker. Nu kreeg ik gisteren te horen dat iedereen in het bedrijf een LinkedIn account heeft, dus ik moest er ook aan. Maar dat wil ik helemaal niet! Ik stel prijs op mijn privacy, ik heb niets te maken met klanten en ik wil niet met mijn volledige naam (die redelijk uniek is) op internet vindbaar zijn. Kunnen ze dit echt eisen?

Het lijkt me dat een werkgever dat eigenlijk alleen kan eisen als men dat in het arbeidscontract zelf heeft staan, of het vooraf bij de sollicitatie heeft gemeld. Dan weet je waar je aan begint en kun je nog weigeren.

Uit de rechtspraak blijkt dat men hooguit kan eisen dat de informatie klopt, dus als je de verkeerde functie noemt op LinkedIn dan moet je dat aanpassen. In die zaak had een juridisch medewerker ten onrechte op Linkedin zowel zichzelf van een mr-titel als van de omschrijving “Advocaat, beroepsopleiding <datum” voorzien. De werkgever mocht de medewerker hierop aanspreken (maar ontslag op staande voet kun je hier niet op baseren).

Ik weet dat het in de ICT steeds gewoner wordt, zie ook de discussie over smoelenboeken en openbare profielen. Maar wat me opvalt is dat dit soort vragen veelal binnenkomen van mensen die zelf heel wat minder actief zijn in de ICT, zoals de facilitair medewerker uit deze vraag. Je gaat je dan afvragen, zijn wij alles-op-internet-likende-en-delende-ICT-ers dan zo anders dan deze, eh, gewone mensen?

Arnoud

De cookiewet heeft eigenlijk een foute naam: het gaat niet specifiek om cookies, maar om alle gegevens die je uitleest of plaatst bij randapparatuur (computers telefoons etc) van bezoekers. Voor dat lezen en plaatsen is toestemming nodig. Omdat je bij device fingerprinting (of browser fingerprinting) allerlei gegevens uitleest, wordt aangenomen dat dit ook onder de… Lees verder

Ok, geen internetrecht maar iedereen weet wat ik van disclaimers vind en dit vonnis is daarin een leuke opsteker. De Nederlandse postcodeloterij moet van de rechter een overeengekomen ( “gegarandeerd”) cadeau van 2.500 euro aan de deelnemers doen toekomen. Het verweer dat op de achterkant een en ander was gedisclaimd, ging niet op. De eiser… Lees verder

Een minderjarige lezer vroeg me: Bij ons op school is het een populaire straf om telefoons in te nemen om van alles en nog wat. Bij bellen in de klas okee, maar het gebeurt ook wel als we gewoon iets te lang op het plein rondhangen. Of niet hard genoeg werken in het huiswerklokaal. Kan… Lees verder

Een lezer vroeg me: In Amerikaanse televisieseries zie je soms dat rechters mensen de cel in gooien vanwege “minachting van de rechtbank”. Soms gaat het dan omdat ze de rechter beledigen, of omdat ze zich niet aan het vonnis houden. Kan dat bij ons ook? “Minachting van de rechtbank” is net als “je hebt recht… Lees verder

Vanwege de Paasvakantie ben ik vandaag offline (voor zover ik dat kan). Vandaag een wat meer filosofische analyse, die hopelijk niet al te wazig is. Ik vind het een lastig punt om te maken maar het voelt wel als belangrijk. You can’t hack the law, commente ik laatst. Nu weet ik weer waarom: hij stond… Lees verder

Het monopolie dat de Lotto heeft op online-kansspelen in Nederland is volgens de Hoge Raad niet in strijd met de wet, las ik bij Webwereld. De Lotto heeft in Nederland als enige op grond van de Wet op de kansspelen een vergunning voor het organiseren kansspelen, zoals lotto’s, sportprijsvragen en instantloterijen. Dat botst met het… Lees verder

Helemaal vergeten te melden: ik heb toestemming om het beeldmerk van DigiD te mogen tonen, dus bij deze –> Eind november blogde ik over het product DigiD Machtigen, waarbij ik algemene voorwaarden aantrof die me nogal verbaasden. Allereerst überhaupt waarom horen er “algemene voorwaarden” bij een overheidsdienst? En meer specifiek, waarom bepalen die algemene voorwaarden… Lees verder