Skype krijgt boete in België om weigeren medewerking in politieonderzoek

skype-chat-meetingMicrosoft-dochter Skype heeft in België een boete van 30.000 euro gekregen, omdat de dienst geen informatie over gesprekken vrij kon geven in een politieonderzoek. Dat meldde Nu.nl vorige week. De Belgische autoriteiten wilden toegang tot Skype-gesprekken, maar volgens het bedrijf waren die technisch niet te verstrekken. Bovendien zou de Belgische justitie geen rechtsmacht hebben omdat Skype in Luxemburg gevestigd zit.

Wanneer in een land een strafbaar feit is begaan, kan de lokale Justitie (politie en het openbaar ministerie, of hoe dat ter plaatse heet) daar natuurlijk onderzoek naar doen. Ook als het strafbaar feit (mede) via internetdiensten wordt gepleegd.

Daar kunnen buitenlandse partijen bij betrokken zijn die informatie hebben die nodig is voor het onderzoek. De meest voor de hand liggende manier om daarmee om te gaan is een rechtshulpverzoek bij Justitie in dat buitenland. Zo kan onze politie een verzoek bij de Amerikaanse FBI indienen als een verdachte mailt via Gmail of Microsoft Outlook.com. Deze beoordeelt dan het verzoek en haalt de gegevens op, zodat wij weer verder kunnen.

De Belgische rechtbank gaat echter een stapje verder. Skype adverteert haar diensten in België, en wordt daarmee geacht in België te opereren. Een niet onbekend argument, hoewel het hier natuurlijk gaat om strafrecht en niet om burgerlijk recht. Maar ik vind er wel wat voor te zeggen: als je de lusten wilt van zaken in een land, dan ook de strafrechtelijke lasten.

Het blijft een lastige. In de Eerste Wereldoorlog hadden we de zaak van het Azewijnse paard, dat vanuit Duitsland met een touw Nederland uit getrokken werd. Was dat nu een exporthandeling in Nederland (in strijd met de wet op dat moment)? Ja, want door het touw verbond men zich met het in Nederland bevindende paard en dus werd de strafbare handeling in Nederland gepleegd.

Als je dat als analogie loslaat op internet, dan is best verdedigbaar dat een communicatielijn naar een Belgische klant ertoe leidt dat je onder Belgisch recht valt. Zeker als je welbewust mikt op dat land. Dat je dan feitelijk lastiger aan te pakken bent (want je hebt geen directeur die d cel in kan of een bankrekening waar een boete van afgehaald kan worden) is een praktisch detail.

Arnoud

17 reacties

  1. Wat ik mis in je verhaal is hoe Skype had moeten reageren, Skype heeft aangegeven dat de informatie technisch niet te verstrekken is. Iets wat ik niet heb kan ik ook niet geven, het kan ook zijn dat het gecodeerd is ik kan dat geven maar heeft het nut. Nu lijkt het dat Skype totaal niet wilde meewerken maar heb de indruk dat er meer achter zit.

    1. Volgens mij ging het de Belgische justitie vooral om het principiepunt “wij zitten in Luxemburg dus we hóeven niet te helpen”. Als je tegen een agent vertelt dat hij niet bevoegd is terwijl hij denkt van wel, dan wordt hij narrig. Maar als je zegt, ik help u graag maar ik héb die informatie niet, dan zou ik dat als agent heel anders zien.

      Mogelijk dat Skype zelf aangedrongen heeft op een principiële uitspraak, omdat er hier weinig op het spel stond?

  2. Gestraft worden voor iets niet doen vind ik al twijfelachtig; gestraft worden voor iets niet doen wat je niet eens kunt doen is al helemaal onrechtvaardig. Daarbij is het juist lovenswaardig als bedrijven end-to-end-encryptie aanbieden om de privacy van gebruikers te beschermen (ook tegen overheden). WTF, België?

    1. Als een bedrijf een product of dienst in een land aanbiedt, heeft het te voldoen aan de locale regelgeving. Dus hoort een bedrijf te controleren of ze dat doen en als dat niet zo is, de nodige maatregelen te treffen om gebreken op te heffen. Dat is normaal voor medicijnen, voedsel, speelgoed en dergelijke. Waarom zou dat anders liggen voor communicatie diensten en producten? Dat het beter zou zijn als alle communicatie diensten sterke eindpunt versleuteling gebruiken staat daar los van.

      1. Waar ik vooral over val is dat de wetgeving in België blijkbaar zo immoreel is. Dat nog los van de vraag of een bedrijf dat zich niet in België bevindt, maar wel diensten aanbiedt aan mensen in België, zich aan de Belgische wetgeving moet houden; dat is een andere discussie.

        Wat die andere discussie betreft: daar ben ik het ook niet eens met justitie in België (of met andere landen waar men op vergelijkbare manier denkt). Voor zover een handeling in het ene land consequenties heeft in het andere land is dat volgens mij iets wat maar diplomatiek opgelost moet worden tussen de overheden in beide landen. Omdat ik ook vind dat internationale verdragen eigenlijk geen beperkingen zouden moeten opleggen aan interne wetgeving, moet de grensovergang centraal staan. Daar mogen beperkingen opgelegd worden, zoals bijvoorbeeld dat je zonder toestemming geen voorwerpen over de grens mag gooien (zoals lasso’s om een paard mee te vangen).

        Het moet dus gaan om de vraag of telecom-maatschappijen kabels tussen Luxemburg en België mogen aanleggen, en daar ongefilterde en/of encrypted communicatie op mogen toestaan. Als dat mag (en dat hoop ik van harte), dan accepteer je als Belgische overheid blijkbaar dat Belgen toegang krijgen tot advertenties en websites die in het vrije Luxemburg opereren, ook als die niet voldoen aan Belgische wetgeving en gericht zijn aan Belgische klanten (er van uit gaande dat dat in Luxemburg is toegestaan). Ga dan ook niet zeuren over Skype: die houdt zich gewoon aan de wetgeving in het vrije Luxemburg.

        1. Ik zou zeggen dat als je geen lasso’s over de grens mag gooien zonder de wet aan de andere kant te raken, dat ook met datakabels niet mag. Ik zie principieel het verschil niet. Jij wilt in België zaken doen, dan heb jij de Belgische wet te respecteren. Of dat nu is de wet over het exporteren van paarden naar Luxemburg of de wet over het aftapbaar maken van datacommunicatie.

          (Natuurlijk kun je een boom opzetten over dat datacommunicatie aan het grondrecht briefgeheim raakt, maar even los daarvan.)

          1. Inderdaad, maar dan moet je bij de telecom-maatschappij zijn; specifieker: de telecom-maatschappij die de kabel daar in België heeft neergelegd heeft en/of in België actief is. Die moet dan maar volgens de Belgische wet verantwoorden dat ‘ie het Luxemburgse Skype toelaat op dit Belgische deel van het internet. Je moet in ieder geval niet bij Skype komen zeuren, want dat is geen Belgisch bedrijf.

            Natuurlijk is de uiteindelijke consequentie, dat Belgische telecommaatschappijen misschien zullen moeten censureren om zich aan de Belgische wet te houden, terecht, enorm impopulair. Ik vind daarom dat de onderliggende wetten bij weldenkende mensen net zo impopulair zouden moeten zijn. België moet gewoon toestaan dat buitenlandse bedrijven het voor Belgen mogelijk maken om encrypted te communiceren, en uitgaande van die realiteit zou het voor Belgische bedrijven ook mogelijk moeten zijn het zelfde te doen.

            Het onrecht van het aftappen van communicatie staat niet op zich, maar is verbonden met het onrecht van censuur. Als je het één niet wilt, moet je het ander niet willen, en andersom.

  3. gestraft worden voor iets niet doen wat je niet eens kunt doen is al helemaal onrechtvaardig.
    Tuurlijk kan dat wel. Belgische telefomproviders moeten hun systemen verplicht geschikt maken om taps daarop toe te staan. Dat betekent dus een verplichting om hun systemen aanpassen ivm de wetgeving. Die verplichting vindt de Belgische rechter dus ook opgaan voor Skype. En dat kan Skype natuurlijk wel. Skype kan bijvoorbeeld Belgische gebruikers een afgeleide sterke encryptie verschaffen waarvan ze echter zelf ook een sleutel hebben zodat ze bij een tapverzoek de communicaties kunnen ontsleutelen en aan de tappende overheidsinstantie kunnen doorgeven. Daarvoor hoeven ze dus geen encryptiesleutels aan derden te geven of backdoor in te bouwen. Belgische Skype gebruikers hebben dan Via Skype dezelfde wettelijke rechten als ze hebben via alle andere telecomproviders in Belgie.

    1. Ok leuk. Skype kan dus geen gesprekken faciliteren tussen een Belg en een Nederlander (nee dit is geen begin van een grap)? Want de communicatie en encryptie is peer-to-peer. Dus de zwakkere (lees; te openen) encryptie is ook van invloed op de Nederlander.

      Bovendien; Het is niet helemaal duidelijk uit de tekst. Maar het lijkt mij dat de Belgische politie achteraf gegevens over gesprekken wilde hebben. Dat heeft dus niets met het kunnen aftappen van gesprekken te maken. Dan hadden ze er eerder bij moeten zijn. Niet alsof ze wel de mogelijkheid tot aftappen hebben.

      1. Gesprekken worden p2p encrypted. Gewoon het encrypted gesprek leveren en veel plezier ermee. Dat doet de telefoon maatschappij ook als je encrypted info over hun lijnen stuurt en ze een tap opdracht hebben.

          1. Goed punt, maar als het gesprek niet over je server gaat, bied je dan een communicatie dienst aan?

            Skype Out gaat wel over de servers van Skype en is een communicatie dienst, die ook nog eens niet encrypted is. Het lijkt mij dat men in België gewoon gelijk heeft als men dit als zodanig kenmerkt en eist dat er conform de wet een tap wordt geplaatst.

            De p2p functionaliteit loopt niet via de servers van skype de server dienen slechts om door firewalls te prikken. Dus dat is geen communicatie dienst. In feite leveren ze dan de software versie van een telefoon. Voor tappen moet je bij de ISP zijn die verzorgt de communicatie.

  4. Skype is niet de leverancier van de feitelijke telecommunicatie, dat zijn namelijk de ISP’s van de betreffende deelnemers van het Skype gesprek. Het enige waar Skype voor zorgt is dat de twee partijen elkaar kunnen vinden; het gesprek zelf gaat geheel door de faciliteiten van derde partijen, en die derde partijen kunnen wel degelijk getapt worden (Skype kan waarschijnlijk wel eenvoudig aangeven welke end-points getap moeten worden; dit staat los van of het gesprek end-to-end versleuteld is, in welk geval de ISP gewoon de versleutelde datastroom kan opleveren). Maak je het leveranciers van telecomsoftware onmogelijk om end-to-end encryptie in te bouwen, dan kunnen de gebruikers dat er desnoods zelf bovenop zetten, al is het maar door in een obscure taal te communiceren (of gaat de Belgische politie straks ook vragen of Skype gesprekken in straattaal te vertalen naar ABN.) Mijn conclusie luiheid en onkunde bij de politie en rechtbank, en een onhandige advocaat die de onderliggende concepten niet in Jip en Janneke taal kan uitleggen. Vroeger had je 003 om nummerinformatie op te vragen. Alice belt 003 om het nummer van Bob te achterhalen; daarna belt Alice Bob met het opgegeven nummer. Wat de rechtbank nu doet is hetzelfde als de vriendelijke medewerker van 003 opdracht geven te vertellen wat Alice en Bob besproken hebben…

  5. Sinds 2012 is skype niet meer peer-to-peer, maar gaat alle communicatie via de servers van microsoft. In 2013 is bewezen dat microsoft de mogelijkheid heeft om alle communicatie te decrypten. Er zijn zelfs aanwijzingen dat ook de NSA toegang heeft tot alle communicatie via skype. Maar ook Rusland en China zouden toegang hebben.

    Gegeven bovenstaande, is het in ieder geval zeer waarschijnlijk dat het wel degelijk technisch mogelijk is om ook België toegang te geven. En het zou heel goed kunnen dat de betreffende server van skype ook in België staat.

    1. Als alle communicatie via skype server loopt en ze die kunnen decrypten, dan is de uitspraak volkomen terecht. Ze verzorgen dan immers niet alleen het verbinden, maar ook (een deel van) de verbinding. Tevens ben ik dan ook blij dat ik al jaren geen Skype meer gebruik.

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.