Is er wetgeving die encryptie juist verbiedt?

| AE 9327 | Beveiliging | 7 reacties

Een lezer vroeg me:

Nu de Privacyverordening eraan komt, wordt het gebruik van encryptie steeds belangrijker. Maar is er ook wetgeving die encryptie juist verbiedt? Ik herinner me dat je als bedrijf geen encryptie mag gebruiken op administratie en belangrijke logs en dergelijke, omdat de Belastingdienst of Justitie dan geen onderzoek kan uitvoeren op je boeken. Hoe gaat de wet om met zo’n conflict?

Er is in Nederland géén wetgeving die het gebruik van encryptie verbiedt. Dat zou ook erg raar en onwerkbaar zijn, zeker vanwege het belang om een goede beveiliging van met name persoonsgegevens te realiseren. Wetten zoals de vraagsteller die formuleert, bestaan niet.

De Privacyverordening verplicht tot een adequate beveiliging van persoonsgegevens, in de praktijk zal dat vaak betekenen dat er encryptie moet worden toegepast. Heel strikt gesproken zouden ook andere oplossingen mogelijk zijn, zolang dat er maar voor zorgt dat persoonsgegevens niet zomaar bloot staan aan misbruik of ongeautoriseerd gebruik.

Wat de wet wél zegt, is dat als Justitie gerechtigd is om toegang tot data te vorderen, eventuele encryptie daarop ongedaan gemaakt moet worden. Een bedrijf mag dus niet weigeren een wachtwoord af te geven als ze daarover beschikt. Dit geldt zowel de eigen bedrijfsdata als eventuele klantdata waar een bedrijf een decryptiewachtwoord voor heeft (bijvoorbeeld voor disaster recovery).

Het is dan weer niet zo dat je als bedrijf in staat móet zijn om encrypted data te decrypten. Als de klant zelf data versleutelt en dat bij een bedrijf parkeert (zoals bij een online backup met clientside encrypted data), dan is het bedrijf niet verplicht een achterdeur of kopie wachtwoord te eisen. Wat je niet kunt decrypten, hoef je niet te decrypten.

Arnoud

Hoe strafbaar is het versturen van epilepsie-triggerplaatjes?

| AE 9322 | Strafrecht | 8 reacties

De FBI heeft een man aangehouden die Newsweek-auteur Kurt Eichenwald, waarvan bekend was dat hij epilepsie heeft, een epilepsie-triggerend Twitterbericht zou hebben gestuurd. Dat meldde Ars Technica onlangs. De arrestatie zou de eerste keer zijn voor online geweldpleging (“assault”). De FBI trekt de vergelijking met een bom of miltvuur via de post sturen naar iemand. Hoe zou dat in Nederland uitpakken?

Het is al langer bekend dat mensen met epilepsie gevoelig kunnen zijn voor bepaalde afbeeldingen. Er zijn patronen waar men sneller hoofdpijn van krijgt, en met animaties kunnen zelfs aanvallen worden opgewekt bij mensen die daar gevoelig voor zijn. Een berucht voorbeeld is een Pokémon-aflevering uit 1997 die met stroboscopische effecten kinderen hoofdpijn of aanvallen zou hebben bezorgd.

Dat was natuurlijk per ongeluk, maar hoe zit het als je dat nu opzettelijk doet, zo’n afbeelding sturen naar iemand van wie je weet dat hij er gevoelig voor is? Dan kom je in het strafrecht uit bij mishandeling (art. 300 Strafrecht): Mishandeling wordt gestraft met gevangenisstraf van ten hoogste drie jaren of geldboete van de vierde categorie. Het gaat dan meestal over fysieke mishandeling, zoals slaan of schoppen. Maar gezien het resultaat dat zo’n afbeelding kan hebben, lijkt het mij evident dat ook dit een vorm van mishandeling is.

Opzet wil zeggen dat je daadwerkelijk de bedoeling had het misdrijf te plegen. Bij deze Amerikaanse meneer lijkt daar wel sprake van, hij voorzag het bericht van de tekst “You deserve a seizure”. Daar valt weinig anders van te maken dan dat hij het wilde.

Had hij nou een andere tekst gebruikt, dan had hij wellicht kunnen zeggen dat het maar een grapje was of niet zo bedoeld. Dan wordt het juridisch iets lastiger, want je voelt aan dat dat niet geheel geloofwaardig is maar opzet bewijzen zal niet lukken. Gelukkig kent het strafrecht dan de constructie van voorwaardelijke opzet: de dader weet dat zijn daad een bepaald negatief gevolg kan hebben, maar neemt dat op de koop toe. Hoe je zo’n tweet ook voorziet van tekst, als je weet dat zo’n plaatje een toeval kan opwekken en je stuurt het dan naar een bekende epilepticus, dan is dat voorwaardelijke opzet en dan ben je net zo goed strafbaar.

Een plaatje zomaar ergens publiceren zonder specifieke doelgroep zou geen voorwaardelijke opzet zijn. Hoe weet je dan dat die daad dat gevolg kan hebben? Dat voelt wat mager. Een epilepsie-forum uitzoeken zou wél voorwaardelijke opzet zijn overigens, je hoeft niet een specifieke persoon op het oog te hebben. Tenzij je het op het forum plaatst met twaalf disclaimers en waarschuwingen en duidelijk maakt dat mensen zichzelf hiermee kunnen testen maar wel iemand erbij moeten hebben om ze eventueel te helpen. En zo kan ik nog wel even doorgaan (en ongetwijfeld gaat Wim dat hieronder doen ook).

Arnoud

Rechter veroordeelt webcamafperser ondanks claims over dubieuze keylogger

| AE 9320 | Strafrecht | 16 reacties

Een man is strafrechtelijk veroordeeld op basis van bewijs verkregen met een politie-keylogger. Dat meldde Tweakers vorige week. De politie heeft eind 2013 de woning van de man in het geheim betreden, waarbij op de aangetroffen laptop en desktop een keylogger werd geïnstalleerd. Zo kreeg men inzicht in zijn internetgedrag en pogingen dat te verhullen. Maar mocht dat wel?

Het vonnis laat zien dat de man in beeld kwam naar aanleiding van een onderzoek bij Facebook. Het bedrijf had accounts ontdekt die door dezelfde persoon werden gebruikt om mannen te chanteren middels valselijk verkregen seksueel materiaal. Het IP-adres kon door de politie worden getraceerd naar een bungalowpark in Nederland, waar -zo ontstond het vermoeden- de dader zou wonen.

Na nader onderzoek werd een verdachte aangehouden. In de paar dagen dat hij in voorarrest zat, betrad een politieteam die bungalow om daar een keylogger op de computer te installeren. Deze tool registreerde toetsaanslagen en maakte schermafbeeldingen wanneer op die desktop of laptop gebruik werd gemaakt van communicatieprogramma’s zoals Skype of een internetbrowser. Hierdoor kreeg het onderzoeksteam inzicht in het internetgedrag op deze computers en kon de afscherming door het gebruik van een VPN-verbinding worden omzeild. Dat leverde genoeg bewijs op om nogmaals tot arrestatie over te gaan, en ditmaal ook tot vervolging.

Een verweer van de verdediging was dat die keylogger onrechtmatig was toegepast en dat de resultaten van het hulpmiddel niet betrouwbaar zijn en daarom niet mogen worden gebruikt voor het bewijs. Er zouden onregelmatigheden zijn zoals chatteksten die wel op de gemaakte schermafbeeldingen zijn te zien, maar niet terugkomen in de geregistreerde toetsaanslagen.

In Nederland is het gebruik van dergelijke technische hulpmiddelen gereguleerd in het Besluit technische hulpmiddelen strafvordering. Dit Besluit heeft tot doel de betrouwbaarheid en herleidbaarheid te waarborgen van de gegevens die daarmee zijn verkregen. Het hulpmiddel moet voldoen aan technische eisen; van de keuring moet door een keuringsdienst een rapport worden opgemaakt en de keuring moet plaatsvinden overeenkomstig een goedgekeurd keuringsprotocol. Dat was hier het geval. En de Hoge Raad had eerder bepaald dat als zo’n keuringsrapport er is, de rechter in principe moet aannemen dat het hulpmiddel betrouwbaar is.

Dat er onregelmatigheden blijken te zijn, kan een tegenargument zijn. Echter, die waren hier niet – althans niet zo zwaar dat het tot uitsluiting van het bewijs zou moeten leiden. De meeste toetsaanslagen klopten wél met de screenshots (en andersom), dus die paar missers zien we dan als afrondingsfouten, zeg maar.

Ook merkwaardig was dat de keylogger verdwenen was na de tweede aanhouding. Onduidelijk blijft wat er is gebeurd – heeft een virusscanner het ding verwijderd als malware, is er de remote destruct optie ingeroepen? – maar dat maakt niet uit. Want zelfs als die verwijdering op de raarst mogelijke manier is gebeurd, dan nog staat vast dat het verkregen bewijsmateriaal betrouwbaar is. De keylogger was immers gekeurd en volgens de regels geïnstalleerd.

Als laatste was er nog het argument dat de keylogger meer opnam dan was toegestaan in het bevel van de Officier van Justitie dat de toestemming gaf voor het installeren van de keylogger. Zo waren er op de screenshots tabbladen te zien van andere applicaties dan waar de keylogger bij zou moeten komen. Maar dat maaktook niet uit: dat op schermafdrukken meer is te zien dan alleen de ingestelde programma’s, maakt naar het oordeel van de rechtbank nog niet dat sprake is van een verzuim.

Bij mijn weten de eerste keer dat zó expliciet een keylogger/spyware rechtmatig wordt verklaard bij de rechtbank. En het laat zien dat je als verdediging van goeden huize moet komen om daar dan nog gaten in te schieten.

Arnoud

EU eist wijzigingen in voorwaarden Facebook, Twitter en Google+

| AE 9317 | Contracten | 17 reacties

De Europese Commissie eist dat de sociale netwerken Facebook, Twitter en Google+ hun voorwaarden voor Europese gebruikers binnen een maand aanpassen, om consumenten meer rechten te geven en om fraude beter aan te pakken. Dat las ik bij Nu.nl vorige week. Het persbericht van de EU knalt er stevig in: op sociale media hebben mensen… Lees verder

Nee, een domeinnaam is geen maatwerk onder de Wet Koop op afstand

| AE 9310 | Domeinnamen | 30 reacties

Regelmatig zie ik bij domeinnaamverkopers en webhosters staan dat aangeschafte domeinnamen niet kunnen worden geannuleerd onder de Wet koop op afstand, omdat het om maatwerk zou gaan. Immers, je vult zelf in welke naam je wilt hebben. Maar een recent vonnis over maatwerkdomeinnamen laat zien dat dit écht niet klopt. Domeinnamen zijn diensten, en daarvoor… Lees verder

Nee, werknemers kunnen geen toestemming geven voor privacyzaken

| AE 9313 | Arbeidsrecht, Privacy | 27 reacties

Energiebedrijf Uniper (tot 1 januari 2016 E.ON) heeft na onderzoek van de Autoriteit Persoonsgegevens (AP) zijn alcohol- en drugscontrolebeleid voor medewerkers ingetrokken, las ik een tikje vertraagd bij de toezichthouder. Dit beleid kwam erop neer dat het bedrijf alcohol- en drugstesten wilde inzetten om onveilige situaties te voorkomen, maar dat mag niet van de AP:… Lees verder

Mag de politie computerreparateurs betalen om te dataspitten?

| AE 9308 | Strafrecht | 34 reacties

De Amerikaanse FBI zou sinds 2007 medewerkers van de Geek Squad, een computerreparatiedienst van elektronicaketen Best Buy, betaald hebben om als informanten te dienen. Dat meldde Tweakers onlangs. De reparateurs spitten door binnengebrachte computers heen op zoek naar bijvoorbeeld kinderporno. De truc daarachter zou zijn dat de reparateurs dat kunnen zonder gerechtelijk bevel of zelfs… Lees verder

Geldt de meldplicht datalekken ook voor defaced websites?

| AE 9315 | Aansprakelijkheid, Privacy | 7 reacties

Tweakersgebruikers melden maandag defacement van verschillende websites, waarbij de site zelf is vervangen door een boodschap die afkomstig lijkt te zijn van een Turkse groepering. Dat las ik op Tweakers gisteren. Of er een link is met de gebeurtenissen rond de Turkse minister van Familiezaken Kaya, is onduidelijk. Maar diverse lezers vroegen me wel: moet… Lees verder

Mag Blizzard spelers verbannen omdat ze betaald elkaar helpen?

| AE 9306 | Contracten | 16 reacties

Blizzard heeft spelers uit World of Warcraft verbannen, omdat ze in ruil voor geld andere spelers hielpen. Dat las ik bij Nu.nl. Veel van de verbannen spelers waren onderdeel van hooggeplaatste gildes binnen het spel. Ze hielpen andere spelers met het afronden van moeilijke opdrachten om zo beter te worden, en lieten zich buiten het… Lees verder

Zijn scrabbleclaims in het auteursrecht legaal verklaard door het Hof van Justitie?

| AE 9271 | Auteursrecht | 18 reacties

Een lezer vroeg me: Ik las over een uitspraak van het Europese Hofdie zegt dat een schadeverdubbelaar bij auteursrechtinbreuk kan en mag als de nationale wetgeving dat toelaat. Betekent dit dat die praktijk van 200% of 300% opslag bij schadeclaims nu legaal is verklaard? De vaste lezer van deze blog weet dat ik altijd héél… Lees verder