Snapchat versus de bewaarplicht

snapchatMenig lezer blijkt geïntrigeerd door Snapchat, getuige mijn inbox afgelopen week. Met deze dienst kun je foto’s versturen, met als unique selling point dat je kunt instellen dat ze na 10 seconden gewist moeten worden bij de ontvanger. Dat blijkt -natuurlijk- niet helemaal te werken, maar de vraag die ik kreeg was iets anders: mág dat wel, data wissen na 10 seconden? Er is toch zoiets als een bewaarplicht?

Eh ja, er is een Wet bewaarplicht maar die heeft helemaal niets te maken met internetdienstverleners. Het onding dat wet bewaarplicht heet, is bedoeld voor telecom- en internetproviders. Zij moeten gegevens die zij van hun klanten krijgen, een half jaar tot een jaar bewaren.

Nou ja, niet alles: het gaat kort gezegd over identificatie van de klant en de randapparatuur waarmee hij online komt (MAC-adres, telefoonnummer, dat soort zaken). En het IP-adres waarmee hij dan via jou het internet opgaat. Niet elke site die hij bezoekt trouwens.

Een belangrijk misverstand daarbij is dat je niet hoeft te verzamelen, maar alleen te bewaren wat je toevallig al hebt. Bied je prepaid anoniem internet aan, dan is dat niet in strijd met de Wet bewaarplicht. Maar factureer je klanten dan mag je niet hun NAW-gegevens wissen na drie maanden, die NAW gegevens moeten dan bewaard worden en wel samen met het IP-adres van hun internetsessies.

Snapchat is een “dienstverlener van de informatiemaatschappij”: zij levert diensten over internet maar geen toegang tot internet. Daarom valt zij niet onder de bewaarplicht. Dit geldt ook voor forums, chatsites en andere diensten waar mensen informatie kunnen plaatsen.

En over Snapchat’s zelfvernietigingsfunctie, het blijft een aantrekkelijk klinkend idee maar hoe je echt kunt geloven dat dit gewoon werkt, ik zou het niet weten.

Arnoud

19 reacties

  1. Je kan dus als een provider veel geld besparen door niets te loggen? Als je tegen een vaste prijs onbeperkt internet aanbied zie ik niet waarom je ook maar iets zou loggen.

    Telefoon abonnementen met onbeperkt bellen binnen NL/euopa zouden dus het zelfde kunnen bieden. Iets als: “Wij loggen alleen gesprekken waarvoor per seconde betaald moet worden”

    Scheelt in iedergeval een hoop elende en als een informatieverzoek komt ben je gauw klaar: niets loggen dus ook geen kosten voor medewerkers die al die informatie moeten verzamelen.

    Of is er stiekum ergenes een andere wet die je toch verplicht te loggen?

      1. Het lijkt me niet dat je voor technische ondersteuning een log met bezochte IP adressen nodig hebt. Die hoef je dus niet bij te houden.

        Realtime analyseren van je data verkeer uit security oogpunt is ook geen logging voor nodig van specifieke gegevens. Als je wil weten of iemand buitensporig veel e-mails verzend om spammers af te vangen heb je alleen een teller nodig, niet waarheen het wordt verzonden etc…

        Wat je zou willen loggen is inkomend verkeer op je netwerk om hackpogingen te ontdekken, maar ik zie verder weinig redenen om uitkomend verkeer van je klanten te loggen.

      1. De bewaarplicht is echter geen verzamelplicht. Wat je niet hebt, hoef je niet te loggen.

        Bied je anoniem onbeperkt internet met contant afgerekend prepaidtegoed en hoef je voor je bedrijfsvoering niets te loggen, dan hoef je niets te bewaren. Ik daag je uit in de stukken rond de wet bewaarplicht enige passage te vinden die het genereren van gegevens vereist.

        1. Is dat niet vergelijk met die gluiperige delen in de wet mbt tot indentiteitsbewijzen? We hebben in Nederland geen draagplicht voor een identiteitsbewijs maar een toonplicht. In de praktijk maakt dat echter weinig uit, om het te tonen moet je het bij je dragen(enige bijzondere situaties uitgezonderd).

          In de praktijk loggen alle ISP en dergelijke uit practische overwegingen. Dus moeten ze automatisch bewaren. Maar iets zegt me dat zodra er een ISP komt die betalingen via bitcoin accepteerd, niets logt, etc, etc, en bekend wordt onder het grote publiek er heel snel een logplicht komt.

  2. Grappig, ik vroeg met altijd al af hoe dit werkte. Voor mijn werk wisselen we vaak bestanden uit die na een aantal uur automatisch gewist worden. Bijvoorbeeld onderstaand plaatje dat vanaf dit moment nog 72 uur bestaat. Je kunt dit verifieren door over aan paar dagen naar de link te gaan waarna je het plaatje niet meer kunt downloaden. https://www.file1.info/6YaOyNS

    Nu kan ik natuurlijk niet controleren of de aanbieder van deze dienst daadwerkelijk het bestand wist, de link werkt in ieder geval niet meer. Dat is voor mij een zorg maar mag deze aanbieder ook uit zijn logs halen vanaf welk IP adres de upload plaatsvond? Die gegevens zijn waarschijnlijk al verzameld dus moeten deze dan bewaard worden? Als ik Arnoud goed begrijp wel, tenzij het niet van toepassing is omdat deze dienst gratis is.

      1. En een dienstverlener OP internet kan dan weer een einddienst leveren waardoor hij wel onder de bepalingen valt. Of nog ingewikkelder, als die leveranier van een einddienst een overheidsorgaan is dat te maken heeft met de Archiefwet. Mooi vak man 😉

  3. Arnoud, Onder https://hostingrecht.nl/diensten/juridisch-advies/toezichthouders-en-wettelijke-plichten/bewaren-volgens-de-bewaarplicht/ Schrijf je zelf dit:

    d) Datum en tijdstip van de log-in en log-off van een internetsessie gebaseerd op een bepaalde tijdzone, samen met het IP-adres, hetzij statisch, hetzij dynamisch, dat door de aanbieder van een internettoegangsdienst aan een communicatie is toegewezen, en de gebruikersidentificatie van de abonnee of geregistreerde gebruiker; e) Datum en tijdstip van de log-in en log-off van een e-maildienst over het internet of internettelefoniedienst gebaseerd op een bepaalde tijdzone; f) De gebruikte internetdienst (NB: hiermee wordt bedoeld of men het web opgaat, VOIP telefoneert dan wel shelltoegang verkrijgt tot een server – níet welke websites men bezoekt);
    Hieruit kan ik niets ander maken dat een internet provider altijd jouw inlog en emailgegevens bewaart als je emailt met het door jouw provider verstrekte adres. Als je Google gebruikt word het IP van Google gelogd Als je websurft word elk IP adres gelogd. Dat ieder bezocht IP adres word opgeslagen simpelweg om het feit dat iedere systeembeheerder de logs zal willen draaien enkel en alleen al om te zien of er zich ongewenste zaken afspelen. Ook zie ik hier shell toegeang, helemaal een mooie, iedere sysadmin houdt dit log angstvallig in de gaten. Geen enkele internetprovider zal je anonieme toegang verlenen. Het is slecht een theoretische veronderstelling dat er geen log zou kunnen zijn. Snapchat is een webdienst en geen toegang. In theorie kun je dat anoniem doen maar je maakt verbinding met een server. De verbinding kan/zal dus altijd gelogd worden. En verder blijft dit natuurlijk altijd mogelijk te onderscheppen of op te slaan al is het idd maar door een foto van een scherm. Kortom als je er kwaad mee wil is er altijd wel een manier.

    1. Dat is wat je moet bewaren uit je logs – als het erin staat. Als je e-mail van je provider gebruikt, dan moet hij die voor je opslaan en heeft hij dus de bewaarplicht. Draai jij een eigen mailserver op je verbinding en bypass je de provider, dan hoeft hij dat niet bij te houden. Inlog en uitlog tijden zijn nutteloos nu dial-up en betalen per minuut dood is. Geen enkele reden om die te registreren en wat je niet heb kan je niet bewaren. En dat geldt dus voor alles. Je hoeft het niet te registreren, maar zodra je dat doet moet je het bewaren.

      Een interessante is trouwens een IP lease bij dynamische IP adressen. De DHCP server zal je lease in het geheugen houden zolang deze actief is, dat is nodig voor gebruik. Maar is dat ook meteen loggen? Tenzij de server naar een log wegschrijft dat op tijdstip x IP adres y aan gebruiker z is gegeven lijkt het mij niet. Voor mij is loggen pas gebeurt als iets een harware reset overleeft, anders is het tijdelijke runtime informatie.

      1. Ik begrijp eigenlijk dat de keuze om iets al dan niet loggen niet zo van belang is voor de bewaarplicht. Op het moment dat DHCP een IP uitdeelt dan is dat gegeven gegenereerd. En de gegenereerde gegevens moeten vervolgens bewaard worden. De bewaarplicht geldt immers voor gegevens ‘voorzover deze in het kader van de aangeboden netwerken of diensten worden gegenereerd of verwerkt’. Dat lijkt mij wat anders dan ‘voorzover deze gelogd worden’.

        1. Als we op deze manier de bewaarplicht lezen, dan moet alles opgeslagen worden. Dus ook alle webpagina’s die jij laad, alle files die jij download, echt alles. Dit is namelijk data die door het systeem verwerkt wordt. Het afleveren van datapakketten bij jouw zie ik als verwerking.

          EDIT: Ik zie nu dat er over verkeersgegevens gesproken wordt. Het is de vraag of het dataverkeer zelf onder verkeersgegevens valt.

            1. pfft, wat een nutteloze wet. VPN met een server in een land waar privacy nog wel bestaat opzetten en via die verbinding VOIP telefonie en browsen en alles wat ze van je zien is die vpn verbinding.

              Of een VPN provider die in de EU gevestigd is, als ik het zo lees is VPN een dienst die over je verbinding werkt en zijn vpn providers dus niet verplicht gegevens te bewaren, zelfs al zouden ze tijdelijk registreren.

              Bij de invoering hadden ze het nog over bestrijding van terrorisme, gezien het gemak om dit te omzeilen, zie ik niet hoe dit ze gaat helpen. Maar marietje die een file sharet is wel de sigaar :/

            2. Bedankt voor de link Eric. Nog steeds vind ik het opmerkelijk dat “voorzover deze in het kader van de aangeboden netwerken of diensten worden gegenereerd of verwerkt” ook dusdanig gelezen kan worden dat je alles wat ooit in jouw systeem geweest is, moet opslaan.

              Voorbeeld: een telecom maatschappij die niet aan logs doet. Jij bent daar lid en belt iemand. Bij de andere persoon moet de telefoon over gaan met jouw nummer op zijn scherm. Dus moet er een databericht naar zijn telefoonnummer gestuurd met daarin jouw telefoonnummer. En zie daar jouw nummer en zijn nummer zijn in een systeem verwerkt, dus moeten ze opgeslagen worden ookal heeft de telecom maatschappij geen enkele normale log.

              Je zou dit ook nog groter kunnen zien: Als een van de in de bijlage omschreven gegevens verwerkt wordt in jouw systeem, dan moet je hem opslaan. Dit is bijna letterlijk een verplichting om al deze gegevens te loggen. Want de definitie van loggen is het opslaan van wat er gebeurd in jouw systeem.

  4. XS4ALL claimde grote investeringen te moeten doen om aan de bewaarplicht te voldoen; relevante accessinformatie werd (voor zover ik begreep) namelijk niet gelogd voordat de wet in werking trad. Zoals ik dit bericht lees had XS4ALL hier onderuit kunnen komen met “Sorry, wij weten niet met welke IP adressen meneer X de afgelopen zes maanden heeft benaderd; dat soort informatie loggen wij namelijk niet.” Waarom heeft men dat dan niet gedaan?

    1. Bij een eerste versie van het wetsvoorstel moesten ook alle bezochte websites (en gemaakte TCP verbindingen) gelogd worden. Dat is niet in de uiteindelijke wet terechtgekomen en daarmee is ook de hoeveelheid data die bewaard moet worden aanzienlijk gereduceerd.

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.