Data terugkrijgen uit een in beslag genomen wolk, kan dat?

| AE 4673 | Security | 23 reacties

Wie zijn data in de cloud opslaat, verliest daarmee zijn eigendomsrechten. De Amerikaanse overheid mag er dus gerust in graaien, vindt diezelfde overheid. Dat las ik bij de EFF. Zij vertegenwoordigen iemand die zijn (legitieme) data terug wil van de servers van Megaupload. De Amerikaanse overheid verzet zich daartegen, met onder meer het argument dat deze meneer niet kan bewijzen eigenaar te zijn van de bestanden op de Megaupload server. Oké, dat EFF-stuk is een pleitnota in een lopende rechtszaak, maar het is wél een actuele vraag: welke rechten heb je (of verlies je) als je data in de cloud opslaat en wat mag de overheid er dan mee doen.

Vanwege een strafrechtelijk onderzoek naar auteursrechtschendingen door Megaupload zijn alle servers van het bedrijf offline en in beslag genomen. Daarmee is ook alle legitieme (en minder legitieme) data opgeslagen op die servers onbereikbaar, en dat inspireert allerlei claims van mensen die daar toch wel weer toegang tot willen hebben.

De claim “het is mijn data en ik wil deze terug” gaat hem niet worden. Data “is” niets in de zin van de wet, en deze kan dus niet worden opgeëist.

“Ik heb er auteursrecht op”, wat deze meneer probeert, maakt ook weinig kans. Hebben van auteursrecht impliceert nog geen recht op afgifte van bitjes die een kopie van het werk representeren. Net zo min als het hebben van een kopie impliceert dat je daar wat mee mag.

“Ik heb betaald voor de hardware”. Ah kijk, nú komen we ergens. Als een server daar eigendom is van de klant, dan kan deze hem opeisen. Natuurlijk moet wel het strafrechtelijk onderzoek zijn afgerond, maar de klant is in dat geval een onschuldige derde-eigenaar en die heeft recht op zijn spullen terug. Maar bij de cloud koop je zelden de fysieke hardware (dedicated server).

“Ik húúr dat ding netjes”. Nee, als huurder heb je geen recht op toegang tot het gehuurde als de verhuurder in de problemen raakt. Je hebt recht op je eigendommen terug, maar dat zou hier dus die data zijn en die hadden we al gehad.

“Mijn contract bepaalt expliciet dat ik recht heb op mijn data in situaties als deze”. Dat is een hele mooie contractuele bepaling, en eigenlijk moet iedereen eisen die in het cloudcontract te krijgen. Alleen helpt het nu net heel weinig in deze situatie: de FBI heeft niets te maken met zo’n contract. Megaupload Inc wel, maar ja daar is weinig meer te halen.

Dus nee, ik zie hem niet. Het devies blijft net als bij mijn oude PC met 4.77 MHz 8088 processor: maak backups, je hebt nooit genoeg backups.

Arnoud

Deel dit artikel

  1. Maar het hele idee van zo’n cloud-dienst is nu just dat je je backups erop kunt knikkeren als goedkope off-site backup. Dat heb ik vroeger als middelbare scholier ook nog wel gedaan. Stel, ik heb mijn backups bij een dedicated server verhuurder staan; een van de andere huurders runt een illegaal zaakje (weet ik het, iets terroristisch met kinderporno en de laatste hollywood films in 1080p of wat dan ook). Vervolgens trekt de politie de gehele provider omver, in plaats van slechts de server van deze ene verhuurder. De provider gaat failliet. Heb ik samen met alle mede-huurders dan gewoon pech? Dat lijkt me toch wel erg vergaand. Zijn er geen regels voor onredelijk veroorzaakte schade door de politie? Ik meen me te herinneren dat in bijvoorbeeld het VK een regeling is voor huisdeuren die neergemept worden voor een huiszoeking. Bestaat er voor cloud-diensten niet een vergelijkbare regel?

  2. Maar wat nu als een bedrijf gegevens in de cloud heeft staan die zij wettelijk moeten bewaren. Als bijvoorbeeld de belastinginspecteurs langskomen om de administratie in te zien maar alle administratie stond in de cloud.

    Heb je dan sterkere argumenten om je data terug te krijgen of heb je dan gewoon twee problemen? ( je data kwijt en de belastingdienst)

  3. @Rens: Je hebt in zo’n geval pech ja. En als je de data móest bewaren maar hem toch kwijt bent, dan is dat jouw probleem (@Ronald).

    Heel fundamenteel zit het probleem erin dat data geen eigendom kan zijn. Alle regels over eigendom en bescherming en opeising zijn dus niet van toepassing op data. Ik kan de papieren van mijn administratie opeisen bij de boekhouder en de dozen met archiefmappen van de boedelopslag. Maar dat geldt allemaal niet voor digitale data.

        • Achterhaald? Men zegt daar: iets is alleen eigendom te noemen als het de eigenschap bezit “als ik het heb, dan jij niet, en als jij het afpakt dan ben ik het kwijt”. En men concludeert dat data niet voldoet aan deze eigenschap, dús is het geen eigendom.

          Dat lijkt me ook vandaag een waarheid als een koe. Eigendom is gebaseerd op het idee van exclusiviteit, maar hoe kun je exclusiviteit doen gelden op iets dat triviaal over te nemen is?

          Een aparte regel over recht op data-toegang bij faillissement lijkt me een betere oplossing.

          (Hoge Raad 3 december 1996, NJ 1997, 574)

          • Waar het hier om gaat is dat je het recht zou moeten hebben om bij je data te mogen en niet alleen bij een faillissement. In het geval van data in de cloud waar je niet bij kan, is het toch zo dat zij het hebben en jij niet? Dat het te kopiëren is en dat je het dan beide hebt, zou totaal irrelevant moeten zijn in dit soort zaken.

            Waar het om gaat is, in het geval van bijvoorbeeld een boekhouding, dat ik die data heb samengesteld en dat dús mijn data zou moeten zijn.

          • @Arnoud, zou je dan wel eigenaar kunnen zijn van een exclusieve licentie op bepaalde data. Want dat voldoet wel aan de eigenschappen: als ik exclusiviteit heb, dan heb jij de data dus niet (rechtmatig met licentie) en als jij de data wel heb, dan is er geen exclusiviteit meer en ben ik ben ik dus mijn exclusiviteit kwijt. Dus als ik bepaalde data maak, bijvoorbeeld mijn administratie, dan heb ik daar auteursrecht over. Ik geef niemand een licentie, dus ik heb exclusiviteit. Als iemand het nu kopieert dan ben ik mijn exclusiviteit kwijt.

  4. Upload ook wat baby foto´s. Dan slaat MegaUpload jouw persoonsgegevens op. Je mag deze van MegaUpload wijzigen, weer downloaden, en laten verwijderen. Waarom dan niet als MegaUpload onder “curatele” staat van de FBI?

    Data of informatie kan geen bezit zijn. Als data bezit was dan zou de “you wouldn’t steal a car!” ook opgaan.

    Ik zie één serieuze optie: Aantonen dat de inval op MegaUpload en de inbeslagname van al de data en servers onrechtelijk was. Een class-action lawsuit van alle gedupeerde gebruikers oid. Als je immers storage lockers of kluisjes verhuurd dan ben je toch ook niet verantwoordelijk voor de druppels inkt op het papier dat men daar opslaat?

  5. Dat data geen eigendom kan zijn, betekend niet dat data niet waardevol kan zijn.

    Consumentendata en Business Intelligence data bijvoorbeeld. Deze data kan waarde verliezen, of waardeloos worden, als deze gekopieerd word en onder de ogen van de markt en concurrentie valt. “Als ik het heb, dan jij niet, en als jij het afpakt, dan hebben we er beiden niets meer aan”.

    Het klonen van data neemt geen data weg. Er wordt geen 1000 gulden weggenomen. Maar 1000 gulden klonen in 10.000.000 gulden maakt jouw 1000 gulden wel een stuk minder waard.

    Exclusiviteit van data is de data verstoppen in een kluis of beveiligd datawarehouse. Dan kun je bij afpakken je in geval nog beroepen op computervredebreuk of inbraak.

  6. In dit geval is de overheid eerder een bedreiging dan een bescherming voor de burger. Of in ieder geval de overheid in de VS. Zijn er garanties dat de Nederlandse overheid zich niet zo zal gedragen?

    Voor belangrijke data moet je inderdaad backups op meerdere onafhankelijke locaties hebben. Dat is natuurlijk lastig; zouden daar in de toekomst ook dienstverleners voor kunnen komen? Kan een bedrijf er voor zorgen dat je data door onafhankelijke onder-aannemers in verschillende politiek onafhankelijke landen wordt gebackupt? En dat je toegang tot je data blijft behouden zelfs als de dienstverlener zelf in de problemen raakt?

    Ik denk zelf dat er wel mooie peer-to-peer oplossingen mogelijk zijn. Je moet dan wel zelf een flinke bak opslagruimte permanent online hebben staan, zodat je zelf de back-ups opslaat van de anderen die jouw back-ups opslaan. Goede encryptie is dan natuurlijk wel noodzakelijk.

Laat een reactie achter

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren en <em> en <strong> voor italics en vet.

(verplicht)

Volg de reacties per RSS