OM eist IP-adressen van website Crimesite, mag dat?

bevel-crimesite.pngDe Amsterdamse recherche en het Openbaar Ministerie dreigen de hoofdredacteur van Crimesite op te pakken, meldde de site gisteren. Hij wil geen gehoor geven aan een vordering om IP-nummers van bezoekers van de website te verstrekken. Het OM had die geëist in verband met een mishandelingszaak waarover Crimesite had bericht (via GeenStijl). In de reacties verklaarden twee getuigen iets over de gebeurtenissen, en de politie wil die graag eens op het bureau spreken. Kan dat zomaar?

De politie heeft de vordering ingediend op grond van artikel 126n Strafvordering. Daarmee mag men bepaalde gegevens vorderen “over een gebruiker van een communicatiedienst en het communicatieverkeer met betrekking tot die gebruiker”, zoals het IP-adres vanaf waar het communicatieverkeer is gedaan of de NAW-gegevens indien beschikbaar. Deze mag men vorderen van “aanbieders van een communicatiedienst”, en dat zijn dan weer bedrijven die (art. 126la Strafvordering):

aan de gebruikers van zijn dienst de mogelijkheid biedt te communiceren met behulp van een geautomatiseerd werk, of gegevens verwerkt of opslaat ten behoeve van een zodanige dienst of de gebruikers van die dienst;

Het gaat hier dus niet alleen om internetproviders die signalen doorgeven, maar óók om bedrijven die bijvoorbeeld pure hostingdiensten aanbieden. Die slaan immers gegevens op ten behoeve van de communicatiedienst “WWW” (ok ok technisch gesproken de dienst “http”). Je kunt discussiëren of Crimesite onder “bedrijven die communicatiediensten leveren” valt. Crimesite lijkt me wel een bedrijf in de zin van de wet – ze verkopen advertenties. Maar is hun core business de dienst opslag/doorgifte/http? Ik betwijfel het.

Crimesite heeft echter een veel sterker argument: zij doet aan journalistiek en heeft daarmee recht op bronbescherming (zoals bevestigd in de Voskuil– en Autoweek-arresten). Het OM heeft speciale richtlijnen opgesteld over hoe om te gaan met vorderingen richting journalisten. Die zegt in artikel 6a onder meer:

In ieder geval lijkt het toepassen van dwangmiddelen gerechtvaardigd als dat het enige effectieve middel is om een zeer ernstig delict op te helderen. Het moet dan gaan om die misdrijven waarbij het leven, de veiligheid of de gezondheid van personen ernstig is geschaad of in gevaar kan worden gebracht. Daarvan zal in beginsel sprake zijn bij het opsporen van de verdachte van bijvoorbeeld een reeks van ernstige zedenmisdrijven, het traceren van een hoeveelheid explosieven of het inrekenen van een voortvluchtige moordenaar.

Verdedigbaar is dat hier sprake is van een dergelijk misdrijf. Immers het ging om zware mishandeling van een portier. En als zich dan een getuige meldt dat hij gezien heeft wie het werkelijk was, en daarbij zelfs de politie aanspreekt (“Politie: maak even een praatje met het personeel en de DJ van die avond….dan weet je genoeg.”) dan kan ik het wel billijken dat je die meneer even wilt spreken. Er is geen anonimiteit bedongen, en heel hard nodig lijkt die ook niet bij een dergelijke verklaring. Dus ik denk dat uiteindelijk de rechter het OM toch gelijk zal geven, maar het tegendeel is ook goed verdedigbaar.

Essentieel is wél dat een rechter er naar moet kijken, en dat is niet het geval bij dit type vorderingen – iedere officier van justitie mag deze vordering instellen. En daarover zegt het Europese Hof in de Autoweek-zaak:

Although the public prosecutor, like any public official, is bound by requirements of basic integrity, in terms of procedure he or she is a “party” defending interests potentially incompatible with journalistic source protection and can hardly be seen as objective and impartial so as to make the necessary assessment of the various competing interests.

Daardoor was er geen “independent assessment as to whether the interest of the criminal investigation overrode the public interest in the protection of journalistic sources.” Een officier is (een beetje) partijdig en kan daarom niet beslissen of het opsporingsbelang zwaarder weegt dan het belang van de persvrijheid. Alleen een rechter(-commissaris) kan dat.

Arnoud

Provider moet verkeersgegevens afgeven bij notaris

Opmerkelijk: een ex-werknemer moet zijn internetprovider verzoeken zijn verkeersgegevens betreffende zijn privé-internetgebruik ter bewaring te geven aan notaris. Dit omdat zijn werkgever hem beschuldigt van computervredebreuk en die verkeersgegevens nodig heeft als bewijs. Dat vonniste de rechtbank Alkmaar vorige week.

De ex-werknemer was op staande voet ontslagen wegens computervredebreuk. Het lijkt te zijn gegaan om “inloggen op een plek waar je niet mocht komen”, maar het is wat lastig tussen de regels door lezen hoe dit zit. Wel valt me op dat de kantonrechter toch zo zijn twijfels had bij de klacht: de ontslagprocedure resulteerde in een ontslagvergoeding van 28.000 euro voor de ex-werknemer in eerste instantie.

Vervolgens deed de werkgever aangifte van computervredebreuk. Daarbij kreeg hij te horen:

dat onderzoek zal worden gedaan naar de mogelijkheid om tot vervolging van Gedaagde over te gaan, maar dat dit onderzoek in verband met capaciteitsgebrek niet op korte termijn zal plaats vinden.

Daarbij speelde wel één probleem: om te bewijzen dat de ex-werknemer inderdaad illegaal zou zijn binnengedrongen bij het bedrijfsnetwerk (of de privé-Hotmail van de directeur), zijn eigenlijk alleen de verkeersgegevens van de provider betrouwbaar. De werkgever had natuurlijk ook logfiles, maar de ex-werknemer stelde expliciet dat deze gemanipuleerd zouden zijn.

Die kan de officier van justitie opvragen (art. 13.2a Telecommunicatiewet) als het gaat opsporing bij ernstige misdrijven, en computervredebreuk kan daar onder vallen. Alleen, die gegevens worden na een jaar gewist, en het feit zou in mei 2010 zijn gepleegd. Als de politie dus niet in beweging komt vóór mei 2011, dan zou de provider het bewijs waarschijnlijk vernietigen. Vandaar de eis: deponeer die gegevens bij de notaris.

De werkgever was kennelijk al met de provider gaan praten, want zo lees ik:

Eiser heeft met de internetprovider van Gedaagde – die de gegevens onder zich heeft – reeds een afspraak gemaakt over het afgeven van de bedoelde verkeersgegevens. Het betreft hier echter de gegevens die zien op het internetgebruik van Gedaagde en met het oog op de privacywetgeving waaraan de internetprovider gebonden is, is het nodig dat Gedaagde instemt met de afgifte, nu het hier geen afgifte in het kader van een strafrechtelijk onderzoek betreft.

Het is niet heel duidelijk waar deze constructie op gebaseerd is. Het lijkt qua taalgebruik aan te sluiten bij de Wet Bescherming Persoonsgegevens (deze verkeersgegevens zijn immers persoonsgegevens) en afgifte vereist dan toestemming van de betrokken persoon. Maar dit lijkt wel te botsen met artikel 13.5 van de Telecomwet, dat volgens mij geen ruimte biedt voor afgifte aan wie dan ook behalve de bevoegde instanties.

Aan de andere kant, ik snap het wel: je wilt ook niet dat bewijs verloren gaat, en doordat het bij een notaris ligt, is de kans op misbruik denk ik verwaarloosbaar.

Arnoud

Constitutioneel Hof Roemenië: Bewaarplicht in strijd met mensenrechten

disc-data-weg-bewaren-kruis.jpgHet constitutioneel hof van Roemenië heeft geoordeeld dat de bewaarplicht ongrondwettelijk en in strijdt met de mensenrechten is, zo meldde ISPam.nl gisteren. Dit gebeurde al op 8 oktober, maar de Engelse vertaling is nu pas beschikbaar. Kort gezegd oordeelt het Hof dat de bewaarplicht de essentie van het privacyrecht uitholt en daarmee onoverkomelijk in strijd is met dit fundamentele grondrecht.

Het Hof toetst de Roemeense versie van de Wet bewaarplicht aan haar eigen grondwet en meteen ook maar aan het Europees Verdrag voor de Rechten van de Mens. Dit verdrag, waar ook Nederland lid van is, bepaalt kort gezegd dat inbreuken op het private life van de burger alleen mogen als die:

  1. bij wet geregeld zijn,
  2. een legitiem doel dienen, en
  3. niet op een andere, minder inbreukmakende manier geregeld kunnen worden (proportionaliteit).

Meestal zijn die eerste twee eisen geen probleem: er is altijd wel een wet en een op zich legitiem doel te verzinnen (terrorisme, drugshandel, kinderporno, auteursrechten*). Maar hier valt het Hof al meteen over de eerste eis: ok, er is dan wel een wet, maar die is zo vaag dat het voor providers niet mogelijk is om vast te stellen hoe ze zich daaraan moeten houden. In de Roemeense wet staat namelijk dat men onder andere “the related data necessary for the identification of the subscriber or registered user” moet bewaren, en dat is inderdaad behoorlijk vaag. Vandaar dat het Hof zegt:

The limitation of exerting the right to private life and to the secrecy of the correspondence and the freedom of expression, must also be made in a clear, predictable and unambiguous manner, so that the possibility of the arbitrariness or abuse from authorities in this field may be avoided , as much as possible.

In Nederland staat diezelfde term “related data” in artikel 13.2a lid 1 sub a Telecommunicatiewet, maar de bewaarplicht geldt alleen voor de zaken die in een specifieke lijst genoemd zijn. Bij ons is daarmee denk ik die onduidelijkheid wel weggenomen.

Wat wel bij ons speelt, is het punt van de proportionaliteit. Volgens de Wet Bewaarplicht moeten verkeersgegevens continu worden verzameld en bewaard, los van de vraag of die data nodig is voor bestrijding van enig strafbaar feit. Dat is niet noodzakelijk, zegt het Hof. Een inbreuk op de privacy moet in alle gevallen tijdelijk zijn. Immers:

[T]he regulation of a positive obligation that foresees the continuous limitation of the privacy right and the secrecy of correspondence makes the essence of the right disappear by removing the safeguards regarding its execution. The physical and legal persons, mass users of the public electronic communication services or networks, are permanent subjects to this intrusion into their exercise of their private rights to correspondence and freedom of expression, without the possibility of a free, uncensored manifestation, except for direct communication, thus excluding the main communication means used nowadays.

Op die gronden wordt de Roemeense wet die de bewaarplicht invoert, ongeldig verklaard als strijdig met de Roemeense Grondwet. Maar wat betekent dit nu voor de rest van Europa?

Mijn Roemeens recht is wat -ahem- roestig, maar zo te lezen is dit een wettelijk verplichte toets op deze nieuwe wet (zoals onze Raad van State doet, maar dan goed) en niet een arrest op verzoek van een benadeeld persoon. Dat is jammer, omdat er nu geen directe stap naar het Europese Hof voor de Rechten van de Mens mogelijk is. Dat kan pas als alle nationale rechtsmiddelen uitgeput zijn, en daar zijn we nog lang niet. Een Roemeen (bv. een provider die moet bewaren of een persoon wiens gegevens worden bewaard) zal nu eerst een rechtszaak moeten beginnen, en pas na hoger beroep en cassatie kan deze dan naar dat Hof.

Het is me zelfs niet duidelijk of dat er überhaupt van gaat komen – het kan goed zijn dat deze wet nu ingetrokken wordt en door iets nieuws vervangen gaat worden. En zolang er geen wet is, kan niemand die overtreden en is er dus geen grond om naar het Europese Hof te stappen. In Roemenië dan. Wie in Nederland zin heeft, heeft hier een mooi argument.

Arnoud

Pamflet tegen de bewaarplicht, uit 1967(!)

Een opmerkelijk vooruitziend artikel uit 1967 over bewaarplichten:

[A Government] Data Center poses a grave threat to individual freedom and privacy. With its insatiable appetite for information, its inability to forget anything that has been put into it, a central computer might become the heart of a government surveillance system that would lay bare our finances, our associations, or our mental and physical health to government inquisitors or even to casual observers. Computer technology is moving so rapidly that a sharp line between statistical and intelligence systems is bound to be obliterated. Even the most innocuous of centers could provide the “foot in the door” for the development of an individualized computer-based federal snooping system.

Met onder andere het BurgerServiceNummer, elektronische patiëntendossiers en zelfs Echelon (voor papieren post, dat dan weer wel).

Lees verder in The National Data Center and Personal Privacy.

Via Schneier on Security.

Arnoud

AIVD mag stofzuigeren naar persoonsgegevens (via Netkwesties)

Frank Kuitenbrouwer vertelt een mooie parabel over de AIVD:

Er was eens een klooster dat werd verlamd door een sluipend conflict onder de monniken waar de abt maar geen vinger achter kon krijgen. Ten einde raad riep hij de hulp in van een bevriende statisticus. Deze posteerde een waarnemer in de kloostergang voor de refter. Deze moest alleen maar turven wanneer de monniken kwamen en gingen, wie bij wie aanschoof, enzovoorts. Zonder dat er een naam aan te pas kwam liet de expert zijn analyse los op deze onschuldige stromingsgegevens met als resultaat dat de abt de aanstokers van de ruzie kon ontmaskeren.

Als het aan wetsvoorstel 30553 ligt, krijgt de AIVD straks namelijk de bevoegdheid om onbeperkt verkeers- en persoonsgegevens van providers op te vragen:

De diensten zijn bevoegd zich te wenden tot een aanbieder van een communicatiedienst met het verzoek gegevens te verstrekken over een gebruiker en over het communicatieverkeer dat met betrekking tot die gebruiker voor of op het tijdstip van het verzoek heeft plaatsgevonden dan wel na dat tijdstip zal plaatsvinden.

Lees verder in de column van Frank Kuitenbrouwer in Netkwesties.

Arnoud

Big Brother Awards Nederland

Hij is er weer: de verkiezing van de Big Brother Award. Nee, niet die van dat huis met camera’s, maar van die mensen die wel snappen wat met Big Brother is watching you werd bedoeld. Met de Big Brother Awards worden personen, bedrijven, overheden en voorstellen te kijk gezet die het afgelopen jaar bij uitstek controle op burgers en inbreuken op privacy hebben bevorderd. Uit de aankondiging:

De Belastingdienst, de NS, minister Rouvoet, Google, De Nederlandsche Bank, Schiphol, Maurice de Hond, Mark Rutte, het voorstel implementatie bewaarplicht verkeersgegevens, de plannen voor het Elektronisch Kinddossier, het voorstel nieuwe bevoegdheden voor de AIVD en het PNR Data Agreement zijn dit jaar door de jury van de Big Brother Awards genomineerd voor een Award.

Vaste klant ondertussen is de bewaarplicht verkeersgegevens. Dit “al jaren durend schimmig politiek spel met onze rechten op privacy en vertrouwelijkheid van communicatie”, aldus de Big Brother Awards, is bedoeld om verkeers- en communicatiegegevens over Internetgebruik anderhalf jaar vast te leggen. Inderdaad, elk e-mail adres met wie u correspondeert, elk webadres dat u bezoekt en iedere gebruikersnaam met wie u chat. Anderhalf jaar lang. De kosten hiervan komen voor rekening van de provider.

Een onderzoek van de Erasmus universiteit uit 2005 legt uit waar het bij de bewaarplicht om gaat:

Doordat er momenteel geen verplichting bestaat voor de aanbieders van telecommunicatie en Internet Service Providers tot het opslaan van verkeersgegevens bestaan er verschillen tussen de geleverde gegevens van de verschillende aanbieders. Het verdient dan ook aanbeveling een eenduidige verplichting te scheppen voor alle aanbieders van telecommunicatie en internettoegang en –diensten tot het opslaan van een “standaardset” aan verkeersgegevens. Gelet op de internationale wens tot ontwikkeling van een standaardset verdient het de voorkeur om de set van gegevens in ieder geval de momenteel reeds gevorderde gegevens te laten bevatten.

Het rapport ziet niet echt nut in het uitbreiden van de te bewaren gegevens.

Belangrijk twistpunt is ook hoe lang deze bewaarplicht moet duren. Het rapport meldt dat drie maanden in de praktijk genoeg blijkt. Het Europese Kaderbesluit noemt een termijn van één jaar. Nederland wil een bewaartermijn van anderhalf jaar invoeren.

UPDATE: (23 september) U heeft gewonnen!

Arnoud

Conclusie Europese Hof van Justitie over afgeven persoonsgegevens

Wat betekent de conclusie van de advocaat-generaal van het Europese Hof van Justitie over het afgeven van verkeersgegevens van klanten?

Over het afgeven van persoonsgegevens door providers is veel te doen. Recente jurisprudentie lijkt te suggereren dat dat altijd moet als er een klacht komt van bijvoorbeeld BREIN of de Buma. Zelfs XS4All heeft haar beleid op dit punt versoepeld. Nu moet het Europese Hof zich voor de eerste keer buigen over de vraag of een provider verplicht kan worden persoonsgegevens aan auteursrechten-organisaties af te geven.

Er zijn nu al twee stromingen over wat deze conclusie betekent: afgifte van verkeersgegevens is verboden, of juist het verbieden van afgifte is toegestaan.

Kokott begint namelijk als volgt (met dank aan Planet voor de vertaling)

Hieruit volgend zal ik aantonen dat de gemeenschapsrechterlijke voorschriften over databescherming bij elektronische communicatie de doorgifte van persoonlijke verkeersdata slechts toestaan aan instellingen van de staat en geen directe doorgifte aan de vertegenwoordigers van rechtenorganisaties, die hun eisen civielrechtelijk kunnen vorderen.

Dat lijkt dus duidelijk: afgifte is verboden.

De uiteindelijke aanbeveling aan het Hof is echter veel minder verstrekkend:

Het is met het Gemeenschapsrecht verenigbaar wanneer Lidstaten de doorgifte van persoonlijke verkeersgegevens in het kader van civielrechtelijke handhaving van auteursrechten verbieden.

En daarom zegt BREIN:

De conclusie van de AG komt erop neer dat het EU recht toestaat dat lidstaten bepalen dat persoonsgegevens niet voor dit doel aan private patrijen mogen worden afgegeven. Als het Europese hof die conclusie volgt dan is vervolgens de vraag of een lidstaat een dergelijke uitsluiting kent. In die landen zou dan alleen strafrechtelijke vervolging van inbreukmakende p2p-gebruikers zijn toegestaan. In Nederland is dat niet het geval.

Maar dat gaat me ook weer te snel. Het Hof moet antwoord geven op vragen van nationale rechtbanken, en de vraag was hier, “mag de Spaanse rechter verbieden dat persoonsgegevens worden afgegeven in civiele zaken?” Het antwoord daarop is dus “ja”, met als motivatie dat Europees recht geen ruimte biedt voor afgifte.

De vraag was niet “mogen providers verplicht worden persoonsgegevens afgeven in civiele zaken”. Het antwoord daarop zou zijn geweest “nee, want Europees recht biedt daar geen ruimte voor.”

Het uitgangspunt is dat verkeersgegevens en IP-adressen persoonsgegevens zijn en dus alleen mogen worden afgegeven als Europese wetgeving daar de mogelijkheid voor biedt. Dat volgt uit de Privacy-richtlijn 95/46, bij ons de Wet Bescherming Persoonsgegevens.

Is er een mogelijkheid voor auteursrechten-organisaties? Nee, zegt de A-G.

Zo bepaalt Richtlijn 2002/58 betreffende privacy en elektronische communicatie dat verkeersgegevens kunnen worden afgegeven aan “bevoegde organen … met het oog op het beslechten van geschillen, in het bijzonder met betrekking tot interconnectie en facturering”. De Spaanse auteursrechten-organisatie betoogde dat zij daar ook onder vielen, maar de A-G is het daar niet mee eens. Dit gaat uitsluitend over afgeven aan rechtbanken of instanties als de OPTA.

Artikel 15 van deze richtlijn biedt de mogelijkheid om uitzonderingen op deze regels te maken, maar “ruzie over auteursrecht” staat er niet bij:

De lidstaten kunnen wettelijke maatregelen treffen ter beperking van de reikwijdte van de in (…) deze richtlijn bedoelde rechten en plichten, indien dat in een democratische samenleving noodzakelijk, redelijk en proportioneel is ter waarborging van de nationale, d.w.z. de staatsveiligheid, de landsverdediging, de openbare veiligheid, of het voorkomen, onderzoeken, opsporen en vervolgen van strafbare feiten of van onbevoegd gebruik van het elektronische-communicatiesysteem (…)

De richtlijnen over auteursrecht bieden de mogelijkheid om inbreuk op auteursrecht strafbaar te stellen. Zo is in Nederland “opzettelijke inbreuk op het auteursrecht” strafbaar met zes maanden cel (artikel 31 Auteurswet). Een lidstaat zou kunnen besluiten uitwisseling zonder toestemming via filesharing strafbaar te stellen. In zo’n situatie kan een provider dus verplicht worden mee te werken aan de opsporing van de pleger van dat feit. Maar ook dan gaat het om “opsporen en vervolgen van strafbare feiten” en ook dat biedt geen basis voor het afgeven van die gegevens aan een private organisatie zoals BREIN of de Buma.

De recente richtlijn 2006/24 over bewaren van verkeersgegevens verplicht providers om verkeersgegevens te bewaren en zonodig af te geven. Ook hier weer: alleen aan de bevoegde nationale autoriteiten. Niet aan private organisaties.

Er is met andere woorden geen grondslag in Europees recht om afgifte van verkeersgegevens aan private organisaties toe te staan. Een verbod is dus in overeenstemming met Europees recht. Een plicht tot afgifte is dan echter juist in strijd met dit recht. Maar ja, dat was de vraag niet, en het Hof beantwoordt alleen de vragen die men stelt.

De conclusie van de A-G is trouwens juridisch niet bindend. Dat is alleen het arrest van het Hof, dat over een aantal maanden wordt verwacht. Het Hof kan zonder meer een heel ander besluit nemen. Maar vaak wordt de conclusie wel grotendeels overgenomen.

Arnoud