De politie heeft Nederlandse hostingbedrijven net als vorig jaar weer een brief verstuurd waarin wordt gewaarschuwd voor malafide resellers, meldde Security.nl onlangs. Die verhuren de serverruimte van Nederlandse hostingbedrijven door aan andere partijen, waaronder cybercriminelen. De brief bevat een lijst van verdachte resellers, met het advies “dringend om te controleren of de genoemde resellers in [uw] klantenbestand voorkomen” en dan de overeenkomst op te zeggen. Dat voelt als een zwaktebod, als je weet dat deze figuren zo malafide zijn waarom vervolg je ze dan niet? Nou ja, dat ligt dus ingewikkeld.
In juni blogde ik over het OM, dat het “werkelijk idioot” noemde hoe de juridische en technische werelden uit elkaar zijn gegroeid op dit punt. Je hebt een Nederlands bedrijf met een server hier, op die server staat een malafide site, maar de reseller zit formeel op de Seychellen en dan krijg je geen rechtshulpverzoek. De Nederlandse verhuurder werkt niet mee want die ziet ook niet wat zijn resellers verkopen, en kan dan verder niet ingrijpen. Ja, de hele serverkast offline halen, maar dat is nogal disproportioneel.
Zoals ik toen al zei, ik kan me niet direct voorstellen dat dezelfde reseller én een berg pittige cybercriminelen én Alipay Nederland als klant heeft, maar dit is het voorbeeld dat men steeds noemt. Deze brief lijkt dus een nieuwe actie te zijn, ga eens na of er rare figuren tussen je klanten zitten en zo ja, doe er wat aan als dat zo uitkomt.
Dat is nog een lastige, want het OM kan niet vorderen (eisen) dat een bedrijf de relatie met een klant verbreekt. En dan krijg je dus de discussie of je als politie vriendelijk mag vragen terwijl er geen grond voor is. Vaste lezers weten dat dat discutabel is, omdat mensen vragen van politieagenten al snel opvatten als een vriendelijke geformuleerd bevel. De juridische regel is dat het mag, tenzij de vraag in meer dan triviale mate iemand in zijn grondrechten treft. Bij wijze van spreken: vragen of je iemand op een gele scooter hebt zien wegrijden daarnet, dat mag gewoon. Vragen of ze even je securitycambeelden mogen bekijken, dat vergt een vordering en dat mogen ze dus niet vragen.
Ik zie eerlijk gezegd geen grondrechten nontriviaal in het geding komen met deze vraag “heroverweeg eens de relatie met deze onwelriekende partijen”. Ja, ondernemersvrijheid, maar die pleit juist vóór het kunnen afsluiten. (Ik denk dat het OM het zo toejuichen als die resellers rechtszaken beginnen, want dat levert veel inzicht in relevante informatie.) En bovendien zit er nog een eigen check op, “we zeggen hierbij op want we kregen een brief van de politie” is juridisch geen steekhoudend argument. Maar “op basis van politie-informatie hebben wij – zie artikel 8.3 van onze voorwaarden – uw account geïnspecteerd en daar cybercrime-forums aangetroffen, dat is in strijd met artikel 4 TOS en daarom zegen wij op” is wél een geldige reden om op te mogen zeggen.
En let op: het gaat hier om civiel recht, dus de eisen zijn een stuk lager dan wanneer het OM een rechtszaak tegen zo’n reseller zou beginnen. Zeker als je een béétje fatsoenlijke voorwaarden hebt, waarin dingen staan als “naar ons redelijk oordeel” in plaats van “wettig en overtuigend is vast komen te staan met toegelaten bewijsmiddelen” (art. 338 en 339 WvSv). Omdat het gaat om zakelijke relaties, is er contractueel heel veel ruimte.
Arnoud
Ligt het echte probleem dan niet in Den Haag of Brussel? Als ik je goed begrijp is de normale gang van zaken, volgens de huidige rechtsorde, dus dat als een bedrijf X diensten levert aan bedrijf Y, en je wil iets weten over de klanten van bedrijf Y, dan vraag je X om contactgegevens van Y, en dan ga je naar Y toe. Als Y in het buitenland zit dan verloopt zoiets via een rechtshulpverzoek. Als een bepaald land daarop niet reageert omdat we daar geen rechtshulpovereenkomst mee hebben, is dat dan niet een politiek probleem? Leg het daar neer zou ik zeggen, in plaats van brieven te sturen naar ondernemers.
Ik begrijp natuurlijk best dat het sneller en praktischer is om rechtsstreeks bij bedrijf X aan te kloppen, maar dat is toch geen grond daarvoor? Het zou voor de politie vast ook heel snel en praktisch zijn als ze zelf zonder enige reden iedereen zou mogen fouilleren en in alle kofferbakken mag kijken. Dat soort dingen staan we niet toe omdat we waarde hechten aan bepaalde onderliggende principes, zoals dat je onschuldig bent tot het tegendeel bewezen is en dat er een aanleiding moet zijn om iemand te onderzoeken of in diens zaak te mogen rondsnuffelen. Politie heeft de taak de wet te handhaven. Misschien dat ze kunnen signaleren dat de wet ergens onduidelijk is, of zaken niet dekt, maar de bal ligt vervolgens toch bij de politiek. Als de huidige wet vervolging niet mogelijk maakt, tja..moeten we dan toe naar geweldpleging en ingrijpen door politie zonder wettelijke basis? Dat klinkt als iets dat thuishoort in een politiestaat.
Zijn er niet een paar tussenstappen? De politie zegt: het spul ligt hier en is strafbaar, waarom mogen we het niet aanpakken. Dan lijkt het me logisch dat we een discussie voeren over die wettelijke basis toch?
Ik zie het probleem als vooral een administratief/logistiek lastig iets. Als dit een opslagboxverhuurder was en een huurder had in zijn box onderverhuur aan een wapenhandelaar, dan zou niemand het erg vinden als de politie (met bevel uiteraard) die box openmaakt en de onderverhuurde doos met geweren daarin meeneemt. Dat is wettelijk te regelen, het spul ligt hier en mag hier niet liggen, een onafhankelijke rechter toetst en zegt “ga het maar ophalen”. Dat de onderverhurende wapenhandelaar op de Canarische Eilanden woont, is dan verder niet relevant.
Bij deze digitale systemen is het veel lastiger de juiste doos te vinden in de juiste box. En de hele box meenemen/offline halen gaat niet omdat je dan onschuldigen dupeert. Maar rechtshulp op die eilanden werkt ook weer niet. Dan kom je bij het punt dat je moet zeggen “we laten die wapens liggen want er is geen legale route tot inbeslagname”. Dat voelt onbevredigend, dan moeten we toch op z’n minst kunnen praten over een route die wél werkt?
Niemand zegt, laat de politie lekker zonder bevel naar binnen gaan. De vraag is: welke bevoegdheid zouden we kunnen verzinnen dat het met bevel wel kan, met zo min mogelijk impact op andere bedrijven (met name de verhuurder).
Ja dat klopt volledig. Ik ben het geheel met je eens. Vandaar dat ik zeg: de bal ligt in Den Haag, niet bij die ondernemer. Er moet ofwel een rechtshulpovereenkomst komen, of de wet moet zodanig aangepast worden dat het niet nodig is om zo’n rechtshulpverzoek te doen. Bij fysieke opslagboxen is zo’n wet er, bij virtuele servers is die er niet, of de wet dekt dat soort dingen niet, of er zijn andere bepalingen waardoor het allemaal erg lastig is. De politie kan in elk geval niet op een bevredigende wijze dit soort zaken aanpakken. In beide gevallen, zo is mijn argument dus, is Den Haag aan zet; niet die ondernemer die nu dreigende brieven krijgt van de politie.
Is het dan niet eenvoudig om een regel/wet te maken die het , exact het zelfde regelt als box-verhuurder?
Ergo: Wij vragen de beheerder welke doosjes bij malafide-klant-X horen en regelen dan dat we daar met admin-sleutels mee mogen kijken (bevel tot digitaal-binnentreden?).
Als de beheerder kan je dan zeggen: 1) het zijn fysieke doosjes, ze staan in rack zoveel, bij datacenter leaseweb of 2) Het zijn virtuele machines , via ons portaal kan de politie een digitaal-bevel-tot-binnentreden krijgen en dan kunnen ze erbij of 3) het is een klein stukje van een virtuele machine, De VM zelf wordt gehost op nederlands grondgebied dus wij hebben bevoegdheid om dit te mogen.
De route naar 3 is op zich binnen de huidige regels uit te voeren. Alleen: welk deel moet je hebben? De verhuurder weet dat niet en kan ook niet in de VM (want de reseller, zijn klant dus) is de beheerder van dat ding. De hele VM downloaden en wissen is nogal destructief en raakt andere klanten.
Eisen dat de verhuurder een lijst heeft van alle machines in de VM is administratief nogal een dingetje, en wat doe je als die verouderd blijkt?
Dit is een hele lastige kwestie inderdaad. Dit soort problemen krijg je als je de wetten van de fysieke wereld min of meer onaangepast van toepassing wil verklaren op de digitale wereld. Eenzelfde probleem doet zich bijvoorbeeld voor bij aftappen of toegang krijgen tot versleutelde informatie; met een argument als “de politie kan de kluis open breken, dus moeten ze ook de versleuteling open kunnen breken”. Er zijn voldoende zaken waarbij de analogie met de fysieke wereld goed genoeg op gaat, maar ook legio waarbij dat niet zo is omdat de digitale wereld niet onderhevig is aan de beperkingen en mogelijkheden van de fysieke wereld; zoals hier, je kan bits niet optillen en meenemen, net zo min als je versleuteling kan breken met een thermische lans of slijptol. (Overigens, in die discussie hoor ik maar zelden het tegenargument dat de politie ook de versleuteling mag breken, alleen dat is nogal lastig bij sterke versleuteling. Wat ze eigenlijk willen is een verplichting voor de verdachte om de sleutel af te staan, maar dat is bij fysieke kluizen ook niet het geval. Alleen fysieke kluizen kan je openbreken, sterke versleuteling niet.)
@Arnoud: Zou een oplossing kunnen zijn dat er een wet komt waarin staat dat bedrijven die gevestigd zijn in landen waarmee geen rechtshulpverdrag is gesloten, voor wat betreft dit soort verzoeken tot toegang, gehouden zijn aan Nederlandse wetgeving? Of iets van dien aard; ik ben geen jurist maar ik denk dat de strekking duidelijk is: als je gevestigd bent in een of ander land waarmee juridisch samenwerken niet mogelijk is, dan doen we gewoon net alsof je een Nederlands bedrijf bent.
Dit lost het probleem natuurlijk niet op als er wel een verdrag is maar het andere land legt je verzoek onderop de stapel en laat jarenlang niets van zich horen, of het andere land zegt “jammer joh, wat ze daar doen mag van ons gewoon”.
Wat zij de juridische consequenties als de politie wel vraagt om beelden in plaats van ze te vorderen? Wat voor straf krijgt een agent die deze wet overtreed?
De voornaamste consequentie is dat de strafrechter het bewijs onrechtmatig verkregen kan verklaren, omdat het zonder vordering verkregen is. Voor de agent persoonlijk weet ik zo geen consequenties als het ‘gewoon’ vragen is, dus geen onrechtmatig dreigen, chanteren en dat soort rare dingen.
Mijn suggestie om dit probleem op te lossen zou zijn: 1) Vereisen dat hosters eisen aan resellers (en andere klanten) dat de contactgegevens up-to-date worden gehouden. 2) Als de politie gegevens wilt van de reseller en er is geen rechtshulpverzoek, start een rechtszaak in Nederland tegen de reseller en gebruik de eerdere genoemde contactgegevens om de dagvaarding te overhandigen. 3) Als de reseller niet reageert of emails/brieven naar het contactadres bouncen omdat het adres ongeldig is, dan bij verstek veroordelen voor de zwaarste optie, namelijk de hele server met alle VM’s offline halen. Jammer voor de VM’s van andere klanten, hadden ze maar in zee moeten gaan met een reseller die normaal op dagvaardingen reageert. De rechter kan toetsen of het bewijs dat die ene VM crimineel was goed genoeg is, en als de reseller reageert, dan kan alleen die specifieke VM offline worden gehaald.