Is er wetgeving die encryptie juist verbiedt?

| AE 9327 | Beveiliging | 7 reacties

Een lezer vroeg me:

Nu de Privacyverordening eraan komt, wordt het gebruik van encryptie steeds belangrijker. Maar is er ook wetgeving die encryptie juist verbiedt? Ik herinner me dat je als bedrijf geen encryptie mag gebruiken op administratie en belangrijke logs en dergelijke, omdat de Belastingdienst of Justitie dan geen onderzoek kan uitvoeren op je boeken. Hoe gaat de wet om met zo’n conflict?

Er is in Nederland géén wetgeving die het gebruik van encryptie verbiedt. Dat zou ook erg raar en onwerkbaar zijn, zeker vanwege het belang om een goede beveiliging van met name persoonsgegevens te realiseren. Wetten zoals de vraagsteller die formuleert, bestaan niet.

De Privacyverordening verplicht tot een adequate beveiliging van persoonsgegevens, in de praktijk zal dat vaak betekenen dat er encryptie moet worden toegepast. Heel strikt gesproken zouden ook andere oplossingen mogelijk zijn, zolang dat er maar voor zorgt dat persoonsgegevens niet zomaar bloot staan aan misbruik of ongeautoriseerd gebruik.

Wat de wet wél zegt, is dat als Justitie gerechtigd is om toegang tot data te vorderen, eventuele encryptie daarop ongedaan gemaakt moet worden. Een bedrijf mag dus niet weigeren een wachtwoord af te geven als ze daarover beschikt. Dit geldt zowel de eigen bedrijfsdata als eventuele klantdata waar een bedrijf een decryptiewachtwoord voor heeft (bijvoorbeeld voor disaster recovery).

Het is dan weer niet zo dat je als bedrijf in staat móet zijn om encrypted data te decrypten. Als de klant zelf data versleutelt en dat bij een bedrijf parkeert (zoals bij een online backup met clientside encrypted data), dan is het bedrijf niet verplicht een achterdeur of kopie wachtwoord te eisen. Wat je niet kunt decrypten, hoef je niet te decrypten.

Arnoud

Wanneer is een responsible disclosure beleid rechtsgeldig?

| AE 9240 | Beveiliging, Hacken | 28 reacties

Een lezer vroeg me:

Sommige bedrijven hebben een responsible disclosure beleid en maken dit bekend op hun website. Ik zie alleen daarin steeds vaker iets over geheimhoudingsplicht voorkomen: je mag kwetsbaarheden wel zoeken en melden, maar zonder toestemming (of soms “zonder overleg”) niet publiceren. Maar het hele idee van responsible disclosure is toch juist dat je op zeker moment naar buiten treedt, natuurlijk wel op zorgvuldige wijze. Kunnen bedrijven dit zo stellen, is dit rechtsgeldig? Dan gaat toch het hele concept onderuit?

Een bedrijf dat responsible disclosure-beleid publiceert en daarin zegt dat er nimmer mag worden gepubliceerd zonder haar toestemming, is wat mij betreft misleidend bezig. Dat is niet wat de term responsible disclosure impliceert en het is zeer ergerlijk dat bedrijven op die manier doen alsof ze RP-beleid hebben.

Het hele idee achter responsible disclosure is dat kwetsbaarheden op zeker moment publiek móeten worden, omdat dan iedereen er rekening mee kan houden. Als de good guys hun mond moeten houden dan kunnen bedrijven kwetsbaarheden onder de pet houden. Wat slecht is voor de maatschappij, want de bad guys weten het toch wel. Natuurlijk is het ook weer niet de bedoeling dat kwetsbaarheden direct publiek worden, want dan kan er misbruik van worden gemaakt zonder dat het bedrijf het kon repareren.

De Leidraad over responsible disclosure uit 2013 van de overheid zoekt naar een middenweg. Het idee is dat melder en bedrijf in overleg treden over wanneer naar buiten te treden, met als vuistregel 60 dagen na de melding. Maar dát er naar buiten getreden wordt, staat daarbij voorop. En gezien het belang van security in ICT-systemen is dat ook niet meer dan logisch. Wie anno 2017 nog verdedigt dat security by obscurity beter is, kan beter wat anders gaan doen.

Of responsible disclosure beleid rechtsgeldig is, is een lastige vraag. Beleid is natuurlijk maar beleid, en dat kan zomaar veranderen. Belangrijkste is: wat dóet het, dat beleid. Zijn daar rechten of plichten aan te ontlenen? Plichten opleggen in beleid is erg moeilijk, want de wederpartij moet daar wel mee akkoord gaan. Je kunt dus niet op voorhand iemand aansprakelijk laten zijn voor alle schade die het gevolg is van een ontdekte kwetsbaarheid. Omgekeerd is het wél makkelijk mogelijk om het bedrijf te houden aan een toezegging. Met name dus de toezegging “wij zullen geen aangifte/schadeclaim doen als je je aan het beleid houdt”.

Arnoud

Mag je anno 2016 nog een telefoon verkopen met een 2 jaar oude Android?

| AE 9123 | Beveiliging, Contracten | 21 reacties

kurio-telefoonEen lezer vroeg me:

Wij kochten recent een Kurio telefoon, die wordt geadverteerd als “de veiligste telefoon voor kinderen”. Alleen bleek het ding binnen de kortste keren vol met virussen te staan, en na enig opruimwerk zag ik dat de telefoon Android 4.2.2 draait en dat het toestel dus zo kwetsbaar is als wat voor de Stagefright-bug uit 2015. Is dat niet gewoon een conformiteitsgebrek, zulke oude software op een gloednieuwe telefoon?

Dat lijkt me wel, maar helaas is deze praktijk zó wijdverbreid dat het haast ondoenlijk is hier een punt van te maken.

Een product moet voldoen aan de redelijkerwijs gewekte verwachtingen (art. 7:17 BW). Dat noemen we de conformiteitseis. Als een toestel daar niet aan voldoet, dan moet de winkel het gratis herstellen of vervangen. Laat bijvoorbeeld het scherm een stukje los na drie maanden, of doet de batterij het al na een half jaar niet meer, dan is dat een conformiteitsgebrek.

Smartphones zijn echter een stuk complexer en vertonen in de praktijk vaak eerder gebreken op het gebied van beveiliging. En dat is juridisch lastig, want er is geen expliciete regel dat ICT-apparatuur goede security moet hebben. Dat maakt het dus moeilijker om aan te tonen dat sprake is van een conformiteitsgebrek als de firmware uit zo’n toestel een securitybug blijkt te hebben, ook omdat de meeste mensen zich daar moeilijk wat bij kunnen voorstellen of het niet merken als hun telefoon gehackt wordt.

De Consumentenbond heeft een proefproces hierover gestart tegen Samsung. De Bond ziet het als onrechtmatig (ik neem aan: als conformiteitsgebrek) om telefoons zonder recente firmware uit te brengen, en om niet twee jaar lang nog updates na te leveren. Men verloor eerder in kort geding omdat deze vraag te complex werd geacht voor die spoedprocedure. Ik hoop dat het vonnis uit die zaak meer duidelijkheid gaat brengen, want wat mij betreft hoort dit gewoon een uitgemaakte zaak te zijn.

Arnoud

Is e-mail nou wel of niet veilig genoeg voor communicatie van basale persoonsgegevens?

| AE 9042 | Beveiliging, E-mail | 38 reacties

Een lezer vroeg me: Ik heb een discussie met het waterbedrijf. Zij mailen mij met allerlei informatie, maar nemen elke keer ook naam, adres, klantnummer en dergelijke van mij op. Laatst stuurden ze zelfs mijn bankrekeningnummer in een mail. Op mijn vraag hoe dat zit met bescherming van persoonsgegevens, zei men dat e-mail buiten haar… Lees verder

Privacyprogramma AVROTROS offline gehaald vanwege privacyschending

| AE 9014 | Beveiliging | 11 reacties

Jaja, dat is hilarisch: het AVROTROS-programma De Privacytest, dat vorige week maandagavond werd uitgezonden op NPO 3, blijkt zelf de privacy van nietsvermoedende Instagram-gebruikers te hebben geschonden. Men wilde met een quiz aandacht vragen voor onverwachte privacykwesties, en daarbij werden foto’s van rijbewijzen en sleutels van Instagram geplukt om het punt te maken dat die… Lees verder

Hoe snel moet je van de wet een nieuwe securitystandaard implementeren?

| AE 8962 | Beveiliging | 13 reacties

Een lezer vroeg me: In de ICT zijn de beveiligingseisen volop in beweging. Het is dus welhaast onmogelijk om deze allemaal stipt na te volgen, zeker bij grote pakketten waar het doorvoeren van wijzigingen vele maanden (zo niet jaren) kan kosten vanwege complexiteit en testen en evaluatie. Is er juridisch gezien een termijn waarbinnen nieuwe… Lees verder

Wie is aansprakelijk voor schade door malware op een website?

| AE 8957 | Beveiliging | 30 reacties

Een lezer vroeg me: Wie is verantwoordelijk voor schade door malware op een website, wanneer mijn browser of besturingssysteem ook niet up-to-date zijn? In het Nederlands recht geldt dat wie een ander een onrechtmatige daad aandoet, de schade daardoor moet vergoeden. Dat geldt voor alles, van auto’s bekrassen tot malware infecteren. Op zich is het… Lees verder

Hoe kun je voldoen aan een beveiligingsplicht én een achterdeurplicht?

| AE 8879 | Beveiliging | 52 reacties

Een lezer vroeg me: Sinds kort hebben we een wet tegen datalekken. Die zegt dat je je beveiliging zo goed mogelijk moet regelen. Maar nu lees ik dat er allerlei voorstellen in de maak zijn om end-to-end encryptie te verbieden. Hoe kun je nu aan twee zulke tegenstrijdige wetten tegelijk voldoen? Van tijd tot tijd… Lees verder

Mogen onze buren mijn overpad filmen?

| AE 8851 | Beveiliging | 8 reacties

Een lezer vroeg me: Onze buren hebben beveiligingscamera’s opgehangen. Deze filmen ook het pad waar wij een recht van overpad over hebben. Mag dat zomaar zonder overleg? Mensen mogen beveiligingscamera’s ophangen om hun eigendommen, dus ook hun grond, te beschermen. Wel moet er duidelijk worden gewaarschuwd aan bezoekers dat cameratoezicht plaatsvindt. De openbare weg mag… Lees verder