Mag de Nederlandse overheid in clouddata graaien?

cloud.pngHet is onmogelijk data in de cloud te beschermen tegen toegang door overheden, las ik bij Webwereld. Elk land kan zich toegang verschaffen tot data, ongeacht waar de opslagservers staan, niet alleen de Amerikanen met hun Patriot Act. Dat was de conclusie van een onderzoek van advocatenkantoor Hogan Lovells naar internationale bevoegdheden in (straf)wetgeving.

De conclusie van Hogan Lovells komt kort gezegd neer op dat elk land bevoegdheden heeft om data te vorderen van providers, dus ook bij cloudproviders. En die bevoegdheden vermelden nooit de beperking dat de data fysiek in het eigen land moet staan. Zo bepaalt onze wet in artikel 126nd Strafvordering:

In geval van verdenking van een [ernstig misdrijf] kan de officier van justitie in het belang van het onderzoek van degene van wie redelijkerwijs kan worden vermoed dat hij toegang heeft tot bepaalde opgeslagen of vastgelegde gegevens, vorderen deze gegevens te verstrekken.

Update (14:01) En verderop in 126ng Strafvordering staat het voor providers meer relevante artikelen.

In geval van verdenking van een misdrijf als omschreven in artikel 67, eerste lid , dat gezien zijn aard of de samenhang met andere door de verdachte begane misdrijven een ernstige inbreuk op de rechtsorde oplevert, kan de officier van justitie, indien het belang van het onderzoek dit dringend vordert, van de aanbieder van wie redelijkerwijs kan worden vermoed dat hij toegang heeft tot gegevens als bedoeld in de laatste volzin van het eerste lid, deze gegevens vorderen, voor zover zij klaarblijkelijk van de verdachte afkomstig zijn, voor hem bestemd zijn, op hem betrekking hebben of tot het begaan van het strafbare feit hebben gediend, of klaarblijkelijk met betrekking tot die gegevens het strafbare feit is gepleegd.

Dit artikel wordt bijvoorbeeld ingezet om kopieën van mailboxen te krijgen bij een provider. Het moet gaan om een ernstig misdrijf, staat hier, maar verderop staat dat het óók mag bij minder ernstige misdrijven en bovendien moet mits dan maar de rechter-commissaris zijn goedkeuring geven. En volgens artikel 126ne kan men de provider ook verplichten om toekomstige data op te slaan en af te geven. Dit mag niet worden gemeld aan de verdachte.

Is dit nu ernstiger dan de Patriot Act? In eerste instantie, já. Immers bij ons kan een officier van justitie bij een ernstig misdrijf zelfstandig besluiten dat hij wil datagraaien, terwijl in de VS die officier een rechter uit z’n bed moet bellen. Behalve dan bij een National Security Letter, waarbij alleen achteraf gerechtelijke toetsing plaatsvindt, daar mag dus ook in de VS zonder rechter worden gegraaid. Alleen mag een NSL formeel alleen bij terroristische misdrijven worden afgegeven, hoewel dat dus niet te controleren is.

Maar de Amerikanen kunnen het ook bij data die niet fysiek in de VS staat, zo gaat het verhaal. Nou, dat kan bij ons ook. Er moet natuurlijk een linkje zijn naar jurisdictie van Nederland, maar de plaats van de server is niet in z’n eentje beslissend voor die vraag. Een Nederlands hostingbedrijf dat een bevel krijgt om een mailbox af te geven, gaat écht niet wegkomen met “sorry de server staat fysiek in Duitsland”.

Het zal wel aan mij liggen, maar het rapport leest héél erg als een Amerikaanse jijbak op alle verwijten dat de USA PATRIOT ACT ongecontroleerd graaien in clouddata mogelijk maakt. Tegelijkertijd is het een feit dat ook andere overheden de nodige bevoegdheden hebben, ook in Europa. En, belangrijker, dat niemand écht weet hoe dit uitpakt bij clouddata, omdat er niets over gepubliceerd of geprocedeerd is. Er zit een héle grote mate van speculatie en FUD in dit hele debat.

Arnoud

36 reacties

  1. Dit alles geldt zeker voor clouddiensten zoals Google Apps. Hoe zit dat met een VPS? Mijn VPS provider heeft geen toegang tot mijn VPS, alleen ik. Maar ik hoef niet mee te werken aan mijn eigen veroordeling. Stel dat iemand toegang wil tot mijn mailbox op mijn eigen VPS? Ze hebben daar toch echt mijn medewerking voor nodig.

  2. Dat klopt, zo’n bevel mag niet worden gegeven aan de verdachte. Maar kan je provider écht niet bij die data, of is het alleen contractueel niet toegestaan? Het lijkt me dat als zij bij de fysieke server kunnen, ze ook bij jouw data kunnen. Of zit het afgeschermd met encryptie etcetera?

    Inkomende mail kan worden afgevangen op hun server (kopietje bewaren voor ie jouw VPS in gaat). En als zij een backup maken van je VPS dan kan die backup worden afgegeven.

  3. Prive sla ik mijn belangrijke gegevens encrypted op en ook op mijn werk zijn alle opslagmedia encrypted. Degenen die de computers draaiend moeten houden kunnen niet (alleen) bij mijn data. In geval van nood kunnen ze wel contact opnemen met iemand die samen met hun toegang kan krijgen tot mijn gegevens.

    Wat let bedrijven om de data in de cloud zo te beveiligen dat de clouddienst zelf alleen bij de encrypted data kan? Enige vereiste is dat encryptie en decryptie lokaal gebeurt.

  4. Als het gaat om pure opslag dan is encryptie prima. Maar stel ik heb een hosted CRM of mailsysteem, dan moet de software van mijn cloudprovider wel bij de gegevens kunnen anders kunnen ze niet netjes gepresenteerd en gebruikt worden. Als mijn mailfile een encrypted blob met data is, dan kan een hosted Exchange server daar geen mooie inbox van maken.

  5. Data in de Cloud is dus niet veilig en er moeten meer maatregelen genomen worden om deze ontoegankelijk te maken. Zelf gebruik ik Truecrypt, PGP en S/MIME om mijn data zodanig af te schermen dat derden er niet bij kunnen.

    Voordat The Cloud in opmars kwam was er het Jericho Forum. Netwerken en servers zijn niet veilig te maken en daarvoor kun je de data (bestanden, e-mail, etc.) alleen veilig opslaan als je die data zelf afschermt. Een van de oplossingen is versleutelen van gegevens. Als je data een CIA-rating (confidentiality, integrity en availability) heeft van 11x dan is versleutelen een goede oplossing.

    Helaas staat data-encryptie nog steeds in de kinderschoenen en nog niet toegankelijk voor het grote publiek.

  6. Goed punt, ik denk bij cloud eigenlijk automatisch aan opslag en web servers. Het eerste is te encrypten en het tweede is vaak sowieso geen groot geheim.

    Een CRM systeem is leuk, maar zou in ieder geval geen gevoelige informatie moeten bevatten die je niet bij overheden wil hebben. Die wil je voornamelijk bij de concurrentie weg houden en die hebben die mogelijkheden niet.

    In theorie staat er in je e-mail natuurlijk ook niets wat het daglicht niet kan verdragen. Maar ik krijg altijd uitslag als mensen een invasie van privacy afdoen met ‘ik heb toch niets te verbergen’. Een mail file met echt vertrouwelijke informatie hoort gewoon niet extern te staan, zodat je het in ieder geval weet als de overheid (of wie dan ook) er in wil neuzen.

  7. @Arnoud Exchange kan wel op een encrypted filesystem worden opgeslagen, Office 365 doet dit alleen niet, omdat indexeren dan zo moeilijk wordt en het niet echt goed is voor de performance van Exchange. Daarnaast is het natuurlijk ook geen enkel probleem om de mails zelf met PGP te encrypten (ook in Office365). Exchange (of welke andere mailserver dan ook) kan dan keurig een overzichtelijke mailbox geven, alleen is de inhoud niet te lezen tenzij je de juiste keys in bezit hebt. Maar bedankt voor dit mooie overzicht, als ik mensen hoor vragen over de Patriot Act kan ik ze even hier naartoe verwijzen. Natuurlijk is dit een sterk staaltje FUD in het voordeel van de Amerikaanse cloud providers, maar feitelijk is het wel zo dat een Nederlands bedrijf een veel grotere kans heeft om zijn informatie aan de Nederlandse overheid ‘kwijt te raken’.

  8. @Stas: Het maakt niet uit of het cloud is inderdaad. Ook een klassieke server waar je data stalt, valt onder deze wet. Een offsite backuptape kan worden gevorderd, en dat kon al voordat mensen remote opslag/rekenen “cloud” begonnen te noemen.

    Als je een linkje hebt naar dat artikel van Oerlemans dan graag.

    @Walter: interessant! Maar kan ik ht dan zo instellen dat de gebruiker van de mailbox wél bij de mail kan maar een administrator hier? Of zit er dan niet toch een backdoor in? In een corporate omgeving zou ik toch wel een backdoor fijn vinden, bij ziekte of arbeidsconflicten moet je door kunnen. Ik moet niet hebben dat een medewerker zijn mailbox op slot doet en dan boos ontslag neemt.

  9. “Een Nederlands hostingbedrijf dat een bevel krijgt om een mailbox af te geven, gaat écht niet wegkomen met ???sorry de server staat fysiek in Duitsland???.”

    Maar als het een Engels hostingbedrijf was met kantoor in Nederland, en een server in Duitsland? Kan Nederland er dan alsnog bij? Want dat is toch waar de Partiot Act om draait?

  10. @Arnoud: Ik zat te denken aan dit artikel, maar het zou me niets verbazen als je die allang gelezen had, aangezien deze best bekend is en zijn weblog ook op jouw bronnenlijstje staat.

    Overigens, encryptie waarbij twee mogelijk sleutels gebruikt worden (persoonlijk en bedrijfssleutel voor noodgevallen) lijkt me niet hetzelfde als een backdoor, maar meer als een loper die in een kluis op het hoofdkantoor ligt. Een backdoor kan ook door derden gebruikt worden.

  11. @9 Als werkgever gezien heb je natuurlijk gelijk, maar uit werknemerzicht is het zonder backdoor beter.

    PGP geintegreerd in Exchange heeft zover ik weet geen backdoor. Als werkgever kom je bij zo een systeem dan echt in de problemen als je de mail moet/wil inzien. Als werknemer zit dan overigens zeer goed; al wel een geval meegemaakt waar het zelfs tot een rechterlijk bevel kwam om de mail te ontsleutelen, hetgeen echter strandde op het feit dat de werknemer het password was “vergeten”.

  12. @3 “Prive sla ik mijn belangrijke gegevens encrypted op en ook op mijn werk zijn alle opslagmedia encrypted. Degenen die de computers draaiend moeten houden kunnen niet (alleen) bij mijn data. In geval van nood kunnen ze wel contact opnemen met iemand die samen met hun toegang kan krijgen tot mijn gegevens.

    Wat let bedrijven om de data in de cloud zo te beveiligen dat de clouddienst zelf alleen bij de encrypted data kan? Enige vereiste is dat encryptie en decryptie lokaal gebeurt.”

    Wat maakt het uit dat jouw data encrypted is? Degenen die de computers draaiende houden kunnen nog steeds bij jouw (encrypted) data. Ook jouw encrypted data is vast te kraken. Kan even duren en kan wat kosten maar als de belangen groot genoeg zijn doen die kosten er vaak bij overheden helemaal niet meer toe. Verder, in de VS zijn er inmiddels vele rechtzaken gevoerd waarbij de verdachte gedwongen is om mee te werken aan het decrypten van zijn encrypte data.

  13. @15 Ik ben het met je eens dat het vertrouwen in de onkraakbaarheid van encryptie in de meeste gevallen terecht is. Dat vertrouwen moet m.i. plaats maken voor een gezond wantrouwen daartegen in gevallen dat overheden grote belangen hebben om encrypte data te decrypten. Wanneer tijd en -vooral- geld geen rol meer spelen, is alles te decrypten. Zo’n situatie zal zich allicht niet eenvoudig voordoen. Dat neemt niet weg dat zo’n situatie m.i. ook niet pas optreedt onder zeer extreme omstandigheden.

    Belangrijker dan het wel/niet kraakbaar zijn van encrypte data is het gegeven dat wie de computers draaiende houdt bij de data kan komen. En dat die persoon via een vordering de encrypte data in handen van een overheid kan brengen. Dat is de cruciale eerste stap. Decryptie (door kraken of door gedwongen meewerken) is pas een tweede stap. Een stap trouwens die wel heel erg eenvoudig wordt wanneer een overheid de encrypte data inmiddels in handen heeft.

    BTW, er zijn genoeg jurisdicties in deze wereld waar encryptie bij wet verboden is. Zeker als bedrijf kun je je er niet van af maken met de opmerking dat je daar niets mee te maken hebt en dat je toch encryptie toepast. De sancties (verlies van vergunningen of opdrachten, vervolging van het bedrijf en/of medewerkers, intrekking van (werk)visa, etc.) kunnen grote gevolgen hebben.

  14. “Verder, in de VS zijn er inmiddels vele rechtzaken gevoerd waarbij de verdachte gedwongen is om mee te werken aan het decrypten van zijn encrypte data.”

    Ja, maar je weet dan in ieder geval dat de overheid meekijkt. Ze kunnen het niet meer in het geniep doen.

    “Wanneer tijd en -vooral- geld geen rol meer spelen, is alles te decrypten.” Met de huidige stand der techniek is niet alles te decrypten. En voor de sterkste encrypties is een revolutie op computer gebied nodig om het binnen een bruikbare tijd te kraken. De gevallen waarin encryptie gebroken wordt is het een fout in het algoritme, een lopend systeem, te zwakke (verouderde) encryptie standaard/sleutel groote, een raadbaar password of een fout in de implementatie van de encryptie/decryptie software. Bij de cloud en lokale encryptie/decryptie hoef je je hoofdzakelijk om fouten in het algoritme druk te maken.

    “BTW, er zijn genoeg jurisdicties in deze wereld waar encryptie bij wet verboden is.” Encryptie verbod gaat in de EU niet lukken, e-banking is dan dood en veel bedrijven leiden enorme economische schade omdat ze hun bedrijfsprocessen om moeten gooien.

  15. @17 Het gaat niet om een encryptieverbod in bv. de EU. Het gaat erom dat door clouddiensten data wereldwijd verspreid worden, en mogelijk ook in die jurisdicties terecht kunnen komen waar encryptie verboden is en dat de “eigenaar” van die encrypte data er (vooraf) rekening mee moet houden dat dat kan gebeuren en dat er sancties mee gemoeid kunnen zijn.

  16. @18: Ik weet in ieder geval dat bedrijven als Microsoft en Google wel degelijk goed uitonderhandelen waar zij hun servers zetten. Dit dus niet alleen op technisch maar ook juridisch gebied. Daarnaast geld een dergelijke ontsleutelplicht in het geval van bepaalde misdrijven die in die jurisdictie gepleegd moeten zijn. Als jij vanuit Nederland opereert zul je dus eerder Nederlands behandelt worden, lijkt me, maar daar zou Arnoud misschien even op moeten reageren. In ieder geval is de website van Bert-Jaap Koops hierover super interessant.

    Overigens, in Nederland geld, geloof ik, ook een ontsleutelplicht, maar alleen als jij niet de verdachte bent, want dan geldt de nemo tenetur.

  17. Wat nu als er in die derde jurisdictie wetgeving bestaat die het zonder (eigen) juridisch bevel toegang geven tot gegevens aan derden strafbaar maakt; dan zou een Nederlands bevel je kunnen aanzetten tot een strafbare daad in dat andere land. Kan ik dan weigeren omdat Nederland niet in staat is mij immuniteit voor die strafbare daad te geven?

  18. Situatie: Een Braziliaans bedrijf levert hosting-oplossingen voor allerlei twijfelachtige websites. Hieronder valt ook cloud hosting. De servers van dit bedrijf staan echter in Mexico. Een Spaans bedrijf maakt van deze hosting mogelijkheid gebruik om een soort virtueel betaalsysteem mee mogelijk te maken en hebben dus diverse services gemaakt waarmee gebruikers dus online betalingen kunnen verrichten. Een Nederlands bedrijf maakt vervolgens een online spel en maakt daarbij gebruik van de Spaanse services om te zorgen dat klanten kunnen betalen voor het meedoen. Interessante situatie dus, omdat er 4 landen bij betrokken zijn.

    Justitie gaat vervolgens onderzoek doen omdat ze het spel zien als een gokspel en vermoeden dat er grote bedragen in rond gaan. Ze gaan achter de spelmakers aan maar die ven niets vrij. Ze gaan vervolgens naar het Spaanse bedrijf maar die geeft niets af zonder uitspraak van de Spaanse rechter. Ze gaan naar het Braziliaanse bedrijf en ook daar hetzelfde verhaal. En ze eindigen in Mexico waar de servers staan en ook daar krijgen ze geen inzage…

    Justitie wil toch deze gegevens opvorderen. Hoe moeten ze dan tewerk gaan?

  19. @14: Hushmail, een Canadese email provider gebruikt client-side versleuteling. Zij werd gedwongen een een backdoor in haar tools aan te brengen, en uit te rollen via een update, zodat deze afgeluisterd konden worden. Dit kun je alleen voorkomen als je alle source code alleen in open-source uitrolt, zodat experts de backdoors kunnen vinden, en het update mechanisme zodanig is dat leken kunnen snappen wat er aan de hand is.

    Rsync.net werkt met een wiretap canary om te melden dat er GEEN geheime afluisteropdracht is gegeven (het verbod geldt het vertellen dat je moet afluisteren, niet dat je niet mag vertellen dat je niet moet afluisteren). Je kunt dit dagelijks melden ondertekenen met een (prive) sleutel die je onherroepelijk vernietigd zodra je een afluisteropdracht krijgt, zodat je niet meer in staat bent zo’n bericht uit te sturen.

  20. Stel dat alle data redelijk heftig encrypted is, bijvoorbeeld true-crypt op volle sterkte. En dat de provider van de cloud data de keys niet heeft, zijn de sleutels dan te vorderen van de eigenaren? Want dat lost natuurlijk heel veel problemen op.

  21. @Arnoud Engelfriet | 30 mei 2012 @ 9:28 Ja, in principe is er wel een ‘backdoor’ te maken, door een kopie van de personal key op te eisen, samen met de passprhase van de eindgebruiker. Er zijn verschillende bedrijven (die bijvoorbeeld zaken doen in en met China) waar dit ook gebeurd. Encrypted mail is (mits er gebruik gemaakt wordt van een goede key en passphrase) bijna niet te kraken. Belangrijk is dan wel dat zowel verzender als ontvanger gebruik maakt van encryptie. Er is dan te zien wie een e-mail heeft gestuurd en hoe laat, maar de inhoud is niet te lezen zonder de passphrase in te voeren.

    Een beveiligd filesystem (via bitlocker of truecrypt) is natuurljik een heel ander verhaal, daar moet een syadmin gewoon bij kunnen komen. Dit soort oplossingen zijn alleen maar te gebruiken als je een VPS huurt en zelf al het beheer afhandeld.

  22. Het is toch niet alleen een kwestie van wat in de wet staat, maar ook van wat overheden wel en niet kunnen?

    Ten eerste encryptie: ga er maar vanuit dat de betere encryptie niet te kraken is zolang er geen miljarden dollars op het spel staan. Ik heb gelezen over gevallen(*) waarin kinderporno-verdachten weigerden hun wachtwoord af te geven, en de politie daardoor niet in staat was om data te ontcijferen. Voor zover ik weet is de straf op bezit van kinderporno veel hoger dan de straf op het weigeren van het afgeven van een wachtwoord.

    Ten tweede het opvragen van gegevens uit het buitenland: volgens mij zijn landen per definitie soeverein, en kan het ene land dus niets afdwingen in het andere land, tenzij de plaatselijke overheid er aan mee werkt. Zijn er op dit punt verdragen, en is het mogelijk om een “landen-matrix” te maken, om te bepalen in welke landen je data veilig is voor welke andere landen?

    Een overheid kan natuurlijk ook een buitenlands bedrijf onder druk zetten, als dat bedrijf zaken wil blijven doen in het land van die overheid: voortzetting van die zaken zou dan in gevaar kunnen komen. Wat dat betreft is het misschien interessant om alleen cloud-diensten te gebruiken van bedrijven die beloven om alleen maar data af te staan aan één bepaalde overheid (of zelfs helemaal nooit).

    Tot slot een ideetje: als je als clouddienstverlener geen gegevens van klanten wil afstaan, is het dan niet een goed idee om een kleine misdaad te plegen (bij voorkeur zonder echt slachtoffers te maken), en het bewijs voor die misdaad op de één of andere manier samen te voegen met de data van je klanten? Als het systeem dan zo in elkaar zit dat openbaarmaking van de gegevens van je klant niet te doen is zonder openbaarmaking van het bewijs, dan kan je toch niet meer gedwongen worden tot die openbaarmaking?

    (*) Volgens mij in de VS of in het VK.

  23. Het is toch niet alleen een kwestie van wat in de wet staat, maar ook van wat overheden wel en niet kunnen?

    Ten eerste encryptie: ga er maar vanuit dat de betere encryptie niet te kraken is zolang er geen miljarden dollars op het spel staan. Ik heb gelezen over gevallen(*) waarin kinderporno-verdachten weigerden hun wachtwoord af te geven, en de politie daardoor niet in staat was om data te ontcijferen. Voor zover ik weet is de straf op bezit van kinderporno veel hoger dan de straf op het weigeren van het afgeven van een wachtwoord.

    Ten tweede het opvragen van gegevens uit het buitenland: volgens mij zijn landen per definitie soeverein, en kan het ene land dus niets afdwingen in het andere land, tenzij de plaatselijke overheid er aan mee werkt. Zijn er op dit punt verdragen, en is het mogelijk om een “landen-matrix” te maken, om te bepalen in welke landen je data veilig is voor welke andere landen?

    Een overheid kan natuurlijk ook een buitenlands bedrijf onder druk zetten, als dat bedrijf zaken wil blijven doen in het land van die overheid: voortzetting van die zaken zou dan in gevaar kunnen komen. Wat dat betreft is het misschien interessant om alleen cloud-diensten te gebruiken van bedrijven die beloven om alleen maar data af te staan aan één bepaalde overheid (of zelfs helemaal nooit).

    Tot slot een ideetje: als je als clouddienstverlener geen gegevens van klanten wil afstaan, is het dan niet een goed idee om een kleine misdaad te plegen (bij voorkeur zonder echt slachtoffers te maken), en het bewijs voor die misdaad op de één of andere manier samen te voegen met de data van je klanten? Als het systeem dan zo in elkaar zit dat openbaarmaking van de gegevens van je klant niet te doen is zonder openbaarmaking van het bewijs, dan kan je toch niet meer gedwongen worden tot die openbaarmaking?

    (*) Volgens mij in de VS of in het VK.

  24. Ik heb gelezen over gevallen(*) waarin kinderporno-verdachten weigerden hun wachtwoord af te geven, en de politie daardoor niet in staat was om data te ontcijferen.
    Het is niet zozeer dat justitie niet in staat is om de encrypted data te lezen, maar dat justitie teveel tijd kwijt zal zijn om die data te proberen te lezen. Er is enorm veel capaciteit nodig in de vorm van hardware en dan met name goede rekenkundige processoren om een encryptie te kraken. Die capaciteit kan maar voor een beperkt aantal doelen aangewend worden zodat justitie prioriteiten moet stellen over wat ze wel en niet proberen te ontcijferen. En tja, die capaciteit wordt liever ingezet om de geheime emails tussen Iran en Noord-Korea mee te ontcijferen dan de harde schijf van de zoveelste pedofiel die wordt verdacht.

    En omdat die capaciteit dus beperkt is, hebben diverse landen al wetgeving aangenomen waardoor iemand gedwongen kan worden de betreffende sleutels af te geven. Deze landen rechtvaardigen vervolgens het om zeep helpen van enkele grondrechten (zoals het recht dat je niet hoeft mee te werken aan het bewijzen van je schuld) door gewoon aan te geven dat alleen zware criminelen dus gebruik maken van dit soort zware encryptie en dat de normale burger dergelijke beveiliging niet eens nodig heeft. Het alternatief is fors meer capaciteit inschakelen…

  25. @25 “Ten tweede het opvragen van gegevens uit het buitenland: volgens mij zijn landen per definitie soeverein, en kan het ene land dus niets afdwingen in het andere land, tenzij de plaatselijke overheid er aan mee werkt. Zijn er op dit punt verdragen, en is het mogelijk om een ???landen-matrix??? te maken, om te bepalen in welke landen je data veilig is voor welke andere landen?”

    Er is geen sprake van dwingen. Nederland en de EU hebben met bv. de VS een Mutual Legal Assistence Treaty (MLAT) gesloten. Daarbij kan het Amerikaanse OM met een rechterlijk bevel in de hand het OM in Nederland vragen om de in het bevel vermelde bewijsmateriaal -en dus ook persoonsgegevens- te vorderen bij een met name genoemde partij in Nederland. Dat is geen schending van de Nederlandse soevereiniteit. Dat is het nakomen van internationale afspraken waar Nederland zich aan heeft gecommitteerd.

  26. Interessante discussie. Ik vraag mij alleen af, er wordt in deze thread nogal eens gesproken over “je data veilig is”. De data is toch overal veilig? Alleen als je je verdacht hebt gemaakt aan criminele activiteiten en dergelijk, dan kan/word je data opgevraagd door een van de verschillende justitiële apparaten? Dat heeft dan toch niets meer met veilig te maken?

  27. Dat is wel een goeie, Marcel. De meeste landen hebben duidelijke regels voor het vorderen van data van verdachten. De VS springt eruit omdat ze ook regels heeft (of lijkt te hebben) om te kunnen graaien bij niet-verdachten, en/of buiten de procedure van gerechtelijke bevelen om. De Nederlandse politie kan niet zomaar gaan graaien op een cloudserver omdat een niet-verdacht persoon met een account mogelijk eens naast Osama Bin Laden in de trein zat.

  28. @29 de persoonsgegevens zijn dan toch alleen opgeslagen bij de verdachte? Daar heb je toch niet je hele levensgeschiedenis neergelegd?

    Het anders wat zijn als er een verdachte in jouw Cloud datacenter zit en daarom alle klanten van het Cloud datacenter ook gescreend worden. Zoals Arnoud suggereert. Maar dan geldt volgens mij nog steeds, als je niets te verbergen hebt, dan ben je onschuldig. Misschien naïef maar je bent onschuldig tot het tegendeel bewezen is. @ArnoudEngelfriet Voor de Patriot act hebben de Amerikanen toch ook gerechtelijke bevelen nodig? Dit bevel hoeven ze alleen niet te laten zien of zo. En in de praktijk zal het een wel eerder plaats vinden dan het ander.

  29. @24: je volledige harde schijf versleutelen bij een VPS heeft niet veel nut: vanuit de hostmachine kun je zo het geheugen van je VPS legen, en daarmee je wachtwoord tevoorschijn toveren. dat soort systemen zijn dus alleen nuttig als je een zeer betrouwbare hoster hebt, die je machine meteen uit zet als het nodig is, of als je een eigen machine hebt (en die dan nog steeds meteen uit moet, in verband met aanvallen op draaiende fysieke geheugenmodulen).

  30. @ 28, 30: Maar iedereen kan toch verdachte worden? Er is toch niets dat je kunt doen om er voor te zorgen dat je geen verdachte kunt worden? Dan ben je toch niet veilig?

    Weet iemand hoe het zit met die internationale verdragen? Het is misschien een gek idee, maar zou je bijv. cloud services kunnen gebruiken die in Iran draaien?

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.