Hoofdaanklager van ICC heeft geen toegang meer tot Microsoft-mail na sancties VS

Photo by Morgane Perraud on Unsplash

De hoofdaanklager van het Internationaal Strafhof in Den Haag kan zijn werk amper doen omdat hij geen toegang meer heeft tot zijn Microsoft-e-mail. Dat meldde Tweakers vrijdag. Bij de AP wordt gemeld dat de reden Amerikaanse sancties tegen het ICC zijn, deel van een pakket dat in februari is aangenomen. Hopelijk komt de discussie over digitale soevereiniteit nu eens echt op gang.

De sancties dateren uit februari, zo meldt AP:

Neither the U.S. nor Israel is a member of or recognizes the court, which has issued an arrest warrant for Israeli Prime Minister Benjamin Netanyahu for alleged war crimes over his military response in Gaza after the Hamas attack against Israel in October 2023. Tens of thousands of Palestinians, including children, have been killed during the Israeli military’s response.
De sancties zijn bedoeld om de “baseless arrest warrants” tegen Netanyahu ongedaan te maken. Diensten leveren aan een gesanctioneerde partij is in principe dan verboden naar Amerikaans recht, vandaar dat Microsoft de MS365 mailbox van de hoofdaanklager heeft opgeheven. (Hij werkt nu met Proton.)

Kan Europa hier wat tegen doen? MS bevelen dit ongedaan te maken? Dat ligt formeel wat ingewikkeld, omdat het Strafhof geen Europees orgaan is maar een VN-orgaan. Als een en ander wél onder EU-jurisdictie valt, dan is er sinds 1996 de mogelijkheid om via de Blocking statute een partij als Microsoft juridische bescherming te bieden zodat ze door kunnen gaan met levering.

Velen moeten natuurlijk denken aan eind april, toen Microsoft bekend maakte snel naar de rechter te zullen stappen als de Amerikaanse overheid Europese digitale veerkracht in gevaar zou brengen:

Brad Smith pledged during an event in Brussels on Wednesday to protect Microsoft’s European customer data and “agreed to challenge any government demand for EU public sector or enterprise customer data where we have a legal basis for doing so.”
Als jurist vind ik dit geen héle sterke bewering maar de uitspraak had natuurlijk de context van Amerikaanse bevelen tot toegang bij Europese data. En het ICC is geen Europese organisatie dus valt buiten de toezegging. Maar het doet wel vreemd aan, die twee dingen zo kort na elkaar.

De zaak laat voor mij vooral zien dat de juridische en de praktische werkelijkheid fors uit elkaar liggen. En dat de problemen acuut zijn: die stekker eruit is geen proces van maanden. Je probeert in te loggen en dat mag niet, en dat is het dan. Heb je dáár al een strategie voor?

Arnoud

 

 

 

Onbetrouwbaar algoritme bestempelt jongeren als toekomstig crimineel, dat is toch verboden per 2 februari?

Photo by and machines on Unsplash

Politie en justitie gebruiken een algoritme om jaarlijks van tienduizenden jongeren te voorspellen of ze in de criminaliteit belanden. Dat meldde Follow The Money onlangs. Je gelooft het niet, maar die voorspelling blijkt er vaak naast te zitten, terwijl de gevolgen groot kunnen zijn. Ik gooi een knuppel in het hoenderhok: dit is een verboden AI praktijk per 2 februari.

Het uitgangspunt is precies zoals zo veel AI systemen worden ontworpen:

Preselect is getraind met de gegevens van vijfduizend jongeren die ooit zijn verdacht van een strafbaar feit. Het algoritme leerde op basis van deze politiedata te voorspellen welke minderjarigen wel en niet recidiveren. Jongeren met een profiel dat lijkt op dat van leeftijdgenoten die eerder opnieuw in de fout gingen, krijgen een hogere risicoscore.
Alles staat of valt met de data, en 5000 is dan niet denderend veel. Met een simpele regressie-analyse kom je daarmee nog wel een eind, maar je wilt natuurlijk wel dat je data mooi verdeeld is. Maar helaas:
Maar bepaalde groepen – 12-jarigen, meisjes en jongeren die voor het eerst in aanraking komen met de politie – zijn maar in kleine aantallen in deze ‘trainingsdata’ vertegenwoordigd.
Ik lees ook nergens hoe veel mensen er in gestopt zijn die nooit verdacht zijn van een strafbaar feit. Als je alleen verdachten in een dataset stopt, kan daar bij wijze van spreken uitkomen dat “melk drinken” een top-voorspeller is omdat ze dat allemaal doen.

Dit nog even los van de vraag of die 5000 data-items wel eerlijk gekozen zijn. Als de politie Mohammed van 14 als verdachte aanmerkt, en Jan-Hendrik met een waarschuwing wegstuurt, dan krijg je een ontzettend scheef beeld bijvoorbeeld. Het artikel meldt niets over de achtergronden van de verdachten, dus we weten het niet.

En dat is uiteindelijk het grootste probleem: niemand weet of en hoe goed dit werkt. Het algoritme staat niet in ons beroemde Algoritmeregister, waar het wel zou moeten gezien de hoge risico’s.

Zelf vind ik de link naar de AI Act nog wel interessant. We hebben het hier over een recidivevoorspeller, en daar Vond Men Wat Van bij het maken van die wet. Er zijn twee smaken: predictive policing op basis van profilering is verboden (art. 5.1(d) AIA) en recidiverisicobeoordeling en predictive policing anders dan op basis van profilering is hoogrisico (Annex III.6d AIA).

Dit is verboden per 2 februari:

AI-systeem voor risicobeoordelingen van natuurlijke personen om het risico dat een natuurlijke persoon een strafbaar feit pleegt te beoordelen of te voorspellen, uitsluitend op basis van de profilering van een natuurlijke persoon of op basis van de beoordeling van diens persoonlijkheidseigenschappen en -kenmerken;
Wat “profilering” dan weer is, staat in de AVG:
elke vorm van geautomatiseerde verwerking van persoonsgegevens waarbij aan de hand van persoonsgegevens bepaalde persoonlijke aspecten van een natuurlijke persoon worden geëvalueerd, met name met de bedoeling zijn beroepsprestaties, economische situatie, gezondheid, persoonlijke voorkeuren, interesses, betrouwbaarheid, gedrag, locatie of verplaatsingen te analyseren of te voorspellen;
En dat komt vrijwel letterlijk overeen met wat in het artikel wordt aangeduid met “Jongeren met een profiel dat lijkt op dat van leeftijdgenoten die eerder opnieuw in de fout gingen, krijgen een hogere risicoscore.” We voorspellen jouw gedrag (risico van plegen strafbaar feit) op basis van jouw persoonlijke aspecten in vergelijking met bekende data.

Het systeem doet een aanbeveling:

Het leidt tot een ‘score’ die een groot verschil kan maken: gaat de jongere naar Halt voor een leer- of werktraject, of wordt het een strafrechtelijke aanpak die hem of haar een strafblad bezorgt.
Is dat hetzelfde als “risico dat een natuurlijke persoon een strafbaar feit pleegt te beoordelen of te voorspellen”? Ja. Want dit moet je in de context zien: je gaat naar Halt als dat risico klein is en je krijgt een strafrechtelijk traject als het risico groot is. Want kennelijk(?) is ooit bedacht dat wie toch al gaat recidiveren, beter hard kan worden aangepakt.

Arnoud

Mag ik ondertussen data in de cloud zetten als die fysiek in Europa blijft?

Een lezer vroeg me:

Het is 2025 en ik heb duidelijkheid nodig. De AVG zegt dat persoonsgegevens niet zonder aanvullende waarborgen naar een niet-Europese partij mogen worden doorgegeven. Als ik bij een cloudprovider zoals bijvoorbeeld Amazon AWS of Microsoft Azure gebruik maak van region in Europa, wat betekent dat de servers fysiek in Europa staan, voldoe ik dan gewoon aan deze regel?
De AVG stelt inderdaad strenge eisen aan ‘doorgifte’, iedere handeling met persoonsgegevens waardoor ze buiten een EU/EER land komen. Het maakt daarbij niet uit of je doorgeeft aan een verwerker of een verwerkingsverantwoordelijke.

Overigens is de AVG niet de enige: ook bij niet-persoonsgegevens gelden er vanaf 12 september regels over doorgifte van data naar buiten de EU, wanneer dat in strijd is met andere EU regels. Dit volgt uit de Data Act (Verordening 2023/2854) die vanaf die datum van kracht wordt.

Aan dergelijke doorgifte kleven twee kanten, de praktische en de formele. Het makkelijkst te regelen is de formele. Je spreekt af dat de data niet buiten de EU/EER mag komen, en dat de ontvanger de Europese wet- en regelgeving zal respecteren. Dit is bijvoorbeeld de EU Data Boundary van Microsoft, het contractuele raamwerk waarmee Microsoft garandeert dat EU data binnen de grenzen van de Unie blijven. Amazon heeft ook iets dergelijks.

Wie de juiste set papieren doorloopt, de afspraken reviewt en de juiste kruisjes bij de juiste opties zet, heeft formeel de doorgifte goed afgeschermd.

De praktische kant is iets ingewikkelder, en dat zie je al meteen aan termen als “behoudens bijzondere gevallen” in die MS belofte. (Andere aanbieders hebben dit net zo goed, Amazon houdt het bij “or to comply with law”.) Soms moet data toch naar de VS, denk aan klantenservice of incidentanalyse na een cyberaanval. Of omdat de Amerikaanse justitie dit eist.

Of en in hoeverre die laatste eis mag, is nog steeds onderwerp van héél veel discussie. De Amerikaanse CLOUD Act staat daarbij centraal. Al in 2022 stelde ons NCSC dat “data en (persoons)gegevens die in Europa worden verwerkt en opgeslagen, en dus in beginsel in Europa zijn en blijven, [soms vallen] onder Amerikaanse wetgeving en kunnen door de Amerikaanse overheid worden opgevraagd op basis van de CLOUD-Act.”

Het lastige aan deze discussie is wanneer sprake is van ‘soms’, met name als het gaat om een Europees dochterbedrijf dat zich nadrukkelijk niet op de Amerikaanse markt richt en organisatorisch onafhankelijk binnen het concern opereert. Die dochter is dan niet aan Amerikaanse jurisdictie onderworpen, en bovendien onder de AVG verboden om mee te werken aan Amerikaanse bevelen (art. 48 AVG). Maar de moeder (Microsoft Inc in Seattle, Washington) is dat natuurlijk wel – en die zou druk op de dochter kunnen uitoefenen, of de directie ontslaan en een gewilliger setje installeren.

Daar staat dan weer tegenover dat het de core business van het bedrijf is om EU compliant te opereren. Dus er is dan ruimte voor tegendruk, zeker omdat die Europese directeuren geen zin hebben in claims van Europese toezichthouders. En de directie vervangen gaat hoe dan ook flink opvallen.

Natuurlijk, technische trucs kunnen altijd. Men kan een achterdeur in de onderliggende software hebben gebouwd, zo subtiel dat de ISO auditor het niet gezien heeft. Men kan dataleidingen voorzien hebben van een aftakking naar de VS, om zo stiekeme kopietjes te trekken. En ook organisatorisch: men zou een Amerikaanse expat-systeembeheerder persoonlijk onder druk kunnen zetten om die kopie te trekken.

Maar dan komen we buiten het juridisch kader waar je redelijkerwijs over na moet denken, en meer in de sfeer van cybercriminaliteit binnen de organisatie. Want laten we wel wezen: wat is dan nog het verschil met een systeembeheerder die van een Colombiaans kartel die kopie moet trekken of een achterdeur gebouwd door Cozy Bear? Tegen beiden moet je je wapenen, en dat lost dan meteen dat (in de EU écht illegale) gedrag van de moedermaatschappij op.

Wat mij betreft is het antwoord dus: als jij zaken doet met een Europees bedrijf – dochter van een Amerikaans concern of niet – en de data blijft fysiek in de EU met waarborgen tegen aftappen en stiekeme kopietjes, dan zit je van de Europese regelgeving goed. Waarbij meehelpt dat juristen dan mogen zeggen: en als dat niet zo is, dan zat je in ieder geval samen met iedereen fout. Want dat maakt het minder erg.

Arnoud

De woningstichting wil deursloten vervangen met app, mag dat?

Iloq elektronisch slot

Via Reddit:

Ik woon in een studentenhuis met eigen kamer en een gemeenschappelijke voordeur. De huurbaas/Woningstichting stuurt ons vandaag een mail met het bericht dat zij van plan zijn de voordeursloten te veranderen voor digitale sloten, bediend door een app. Hier hebben wij verder geen inspraak of aankondiging op gehad.
De vraagsteller denkt dat het om sloten van het merk iLoq gaat; “toonaangevende, modulaire software en diensten voor al uw toegangsbehoeften” aldus de ronkende website. Een unieke toegangsbehoefte is dat je geen fysieke sleutel meer hebt, maar alleen een “breed scala aan slimme toegangsfuncties” met een app op je telefoon.

Het eerste wat je je dan kunt afvragen is wat er gebeurt als je batterij leeg is net op het moment dat je dringend naar buiten moet. Zoals bij een brandalarm, om eens wat te noemen. Wie kan vinden waar staat dat deze sloten van binnenuit zonder app te openen zijn, ik hoor het graag.

Ook interessant zijn de vele slimme rond toegang gegroepeerde behoeftes, zoals deze:

Houd actuele informatie bij over wie waar en wanneer toegang heeft. Gebruik audittrailrapporten om gevallen van onbevoegde toegang te voorkomen of te helpen oplossen.
In het Nederlands: dit slot houdt bij wie wanneer het slot open deed, en dat kun je correleren aan bevoegd en onbevoegd gebruik. Je kunt bijvoorbeeld een code geven aan bezoek, die dan op jouw gezag naar binnen gaat. De beheerder kan dan terugzien dat er dinsdag om 14:23 iemand naar binnen is gegaan dankzij jouw autorisatie. Volgens het privacybeleid is iLoq daarbij de verwerker en de gebouwbeheerder de verwerkingsverantwoordelijke.

Een aanverwante zorg van de vraagsteller/huurder is dat hiermee de verhuurder naar binnen zou kunnen gaan. Dat is inderdaad een risico, maar niet anders dan met fysieke sleutels waar men immers ook een duplicaat of loper zou kunnen hebben. Het mag natuurlijk absoluut niet zonder toestemming.

Normaal vervang je dan de cilinder (en bewaar je de originele) en dan is binnengaan onmogelijk. Maar hier zou je dan een bijzetslot moeten plaatsen. En als je dat ook van buifenaf bedienbaar wil maken, dan moet je dus een slotgat in je deur maken en dát is even iets heftiger dan een schroef losmaken en de cilinder vervangen.

Binnen het huurrecht is een niet-afsluitbare toegangsdeur een gebrek categorie A7. Het gaat dan om aan twee zijden afsluitbaar zijn, niet alleen aan de binnenzijde (waar een schuif nog een doe-het-zelf optie zou zijn). Je kunt dus naar de huurcommissie, in theorie is hiermee de huur tot 20% te verlagen totdat de verhuurder een deugdelijk slot heeft geplaatst.

Alleen: ís het wel een ondeugdelijk slot? De privacy policy leest solide, de verhuurder zal beleid overleggen dat niet binnengetreden wordt zonder toestemming of uitzonderlijke situatie en er zit een CE keurmerk op de slotelementen. Dan blijven theoretische speculaties over onveiligheid over, en daar kom je niet zo ver mee.

Ook dat van naar buiten bij brand is niet doorslaggevend. Ik lees dat iLoq speciale dingesen verkoopt die hetzelfde werken maar dan de vormfactor van een sleutel hebben. Die zouden tegen een redelijke meerprijs verstrekt kunnen worden, en hebben geen batterij nodig.

Ik realiseer me dat dit weinig opwekkend is, maar ik zie geen manier hier juridisch wat tegen te doen totdat het aantoonbaar een keer misgegaan is.

Arnoud

 

Wat kan ik doen tegen een drone die over mijn achtertuin vliegt?

Bron: Bord verboden voor drones - reflecterend, Informatiebord.nl

Een lezer vroeg me:

Ik woon in een vrijstaand huis in een landelijk gebied. Kennelijk is het daar interessant voor dronebestuurders, want ongeveer dagelijks vliegt er wel zo’n ding over mijn achtertuin. Nu vroeg ik me af, is daar juridisch wat aan te doen? Het is toch een schending van mijn eigendomsrecht.
De lucht boven je grond is inderdaad deel van je eigendom. Art. 5:21 BW zegt “De bevoegdheid van de eigenaar van de grond om deze te gebruiken, omvat de bevoegdheid tot gebruik van de ruimte boven en onder de oppervlakte.” En daaronder valt ook het recht anderen dat gebruik te ontzeggen.

Daar zit wel een grens aan, lid 2 van dit artikel zegt dat anderen wél die ruimte mogen gebruiken als “de eigenaar geen belang heeft zich daartegen te verzetten”. En belangrijker: lid 3 bepaalt dat het voorgaande niet geldt bij vliegen. Dit is opgenomen om te voorkomen dat luchtvaartmaatschappijen met iedere grondeigenaar moeten onderhandelen bij een vliegroute.

Of een drone ‘vliegt’, is al een decennium onderwerp van discussie. Bij invoering van dit wetsartikel ging het vooral over vliegtuigen die 300 meter of hoger vliegen. Dat is wat anders dan een drone die een metertje of anderhalf over je dak vliegt, of een tijdje boven je koikarpervijver blijft hangen. Ook lijkt de bepaling alleen te gaan over bemand vliegen, afgaande op de parlementaire behandeling (“zich door de lucht voortbewegen”).

Natuurlijk is er meer regelgeving voor drones. De Rijksoverheid vat deze netjes samen, waarbij mij dan opvalt dat alleen bij open categorie A3 expliciet staat dat je “minimaal 150 meter afstand van woon-, handels-, industrie- of recreatiezones” moet houden. De regels gaan vooral over afstand houden tot mensen of gebouwen. Impliciet zit hier denk ik achter dat je enkel met je eigendomsrecht te weinig belang hebt om je tegen overvliegende drones te verzetten.

Meestal gaat de reden voor het verbod om iets anders dan enkel de eigendom. Denk aan een drone met camera die steeds opnames maakt, of een drone die de kippen van de leg krijgt door zijn gebrom. Het continue gebrom (als je bij een populaire vliegplek woont) kan ook behoorlijk irritant zijn. Die redenen kunnen op zichzelf ook het vliegen onrechtmatig maken, maar dat moet dan wel apart aangetoond worden.

Arnoud

 

 

Overheid komt met API’s voor datadelen tussen burger en private partijen

Photo by the_iop on Pixabay

De overheid komt met API’s (application programming interfaces) voor het delen van data tussen burgers en private partijen, ter vervanging van de praktijk met convenanten. Dat meldde Security.nl vorige week. Het gebruik van convenanten werd immers in augustus verboden door de Autoriteit Persoonsgegevens. En het is een mooie stap op weg naar de implementatie van de Data Governance Act (DGA).

DGA kennen de meesten als directeur-grootaandeelhouder, maar in 2022 werd Verordening 2022/868 aangenomen die ook zo heet – de Nederlandse naam is Datagovernanceverordening. Doel ervan is een kader voor hergebruik van overheidsinformatie, databemiddelingsdiensten en data-altruïsten te stellen. (Dit staat dan naast wetten zoals de Wet open overheid die aangeven wélke data hergebruikt mag worden.)

De kaders komen neer op regels over het gestructureerd en machinaal op kunnen vragen van data, en toepassen van technieken voor anonimisering of differentiële privacy zodat het bijvoorbeeld AVG-compliant gaat. Dan kom je al heel snel uit bij de applicatieprogrammainterface (API), omdat je daarin formeel vastlegt welke data kan worden opgevraagd en wat er moet gebeuren als zo’n aanvraag binnenkomt.

Ik schrok eerlijk gezegd een beetje toen ik las hoe het nu gaat:

Gebruikers moeten in dit geval eerst een app downloaden en vervolgens zelf, vanuit de app, via DigiD inloggen op de verschillende overheidswebsites, bijvoorbeeld van DUO, het UWV of de Belastingdienst. Na het inloggen via DigiD heeft de app toegang tot alle gegevens die over de gebruiker op de betreffende overheidswebsite staan. Deze gegevens worden eerst door de datadeler-app gescrapet. Daarna selecteert de applicatie benodigde set gegevens, en stuurt deze, na toestemming van de gebruiker, door aan de dienstverlener, bijvoorbeeld een bank.
De achterliggende reden is dat er geen formele manier (lees: API) is om die gegevens op te halen. De app doet zich dus voor als de burger zelf, logt in en scrapet alles waar ie met zijn vieze regex-vingers bij kan. Daarna wordt bij de dienstverlener uitgezocht wat er nodig is. Nee, word ik niet vrolijk van.

Hoe dat op te lossen? Het ministerie zag weinig heil in verbieden van scrapen, met name omdat je feitelijk niet kunt zien of iemand zelf inlogt dan wel of een app dat namens hem doet. Dat niveau van kat-en-muisspel is zelfs voor Facebook of Linkedin forsehoofdpijngevend. Een convenant, waarin de diensten afspreken zich keurig aan de wet te houden? Liever niet, zegt de AP:

Zolang en voor zover in dit convenant sprake is van verwerkingen die in strijd zijn met de AVG, acht de AP het ongewenst dat het ministerie van BZK die verwerkingen zou reguleren en daarmee zou legitimeren. … de AP acht het niet juist om om die redenen verwerkingen te faciliteren die, naar het zich laat aanzien, in strijd zijn met de AVG en grote risico’s met zich mee brengen voor de bescherming van persoonsgegevens van burgers.
De enige echte route is dus het implementeren van een formeel protocol waarmee wél genuanceerd informatie kan worden opgevraagd. En dat is precies het kader dat de DGA ook eist.

Bij Tweakers wijst men op het al bestaande Solid Project (van Tim Berners-Lee, die ja) dat precies hiervoor is bedoeld. In Zweden is hiermee bijvoorbeeld het datauitwisselingsplatform iGrant.io mee gerealiseerd. Het Nederlandse Yivi zou ook een hele mooie implementatie zijn om te kiezen.

Arnoud

 

WhatsApp moet open van Europa en dat kan veilig, maar kent ook risico’s

Photo by Christian Wiediger on Unsplash

WhatsApp-gebruikers moeten van de Europese Unie binnenkort kunnen chatten met mensen op andere apps, zoals Signal of Telegram. Dat las ik bij Nu.nl. “De beveiliging loopt wel een deuk op” kwam er achteraan, en dat kostte me een kop koffie. Want hoewel de nuance verderop wel opduikt, versterkt dit toch het PR-blaatpraatje dat interoperabiliteit éigenlijk raar en gevaarlijk is. En het wás al zo’n gedoe, die DMA aannemen.

In januari hadden we het ook over het aan elkaar koppelen van diensten, in dat geval Threads en Mastodon. Zoals ik toen schreef, dit moet van de Digital Markets Act (DMA). Die bevat in artikel 7 namelijk een expliciete plicht tot interoperabiliteit als je “poortwachter” bent:

Een poortwachter die nummeronafhankelijke interpersoonlijke communicatiediensten aanbiedt welke op grond van artikel 3, lid 9, zijn opgenomen in het aanwijzingsbesluit, zorgt ervoor dat de basisfuncties van zijn nummeronafhankelijke interpersoonlijke communicatiediensten interoperabel zijn met de nummeronafhankelijke interpersoonlijke communicatiediensten van een andere aanbieder die dergelijke diensten in de Unie verleent of voornemens is dat te doen. Daartoe maakt de poortwachter de nodige technische interfaces of soortgelijke oplossingen met het oog op interoperabiliteit op verzoek en kosteloos beschikbaar.
WhatsApp is ook zo’n poortwachtersdienst met “nummeronafhankelijke interpersoonlijke communicatiediensten” (juridisch voor ‘chatdienst’) en moet dus interoperabel zijn met andere diensten zoals Signal of Telegram. Dat gaan ze ook doen, maar toch vond “men” het nodig even wat angst in de markt te zetten:
Ook WhatsApp ziet de risico’s. “Zonder eigenaarschap van beide eindpunten kunnen we de veiligheid van berichten die ontvangen of verzonden worden via een andere app niet garanderen”, schrijft de dienst.
De bron is het persbericht van Meta, waarin ze nader ingaan op hun “e2ee promise”, oftewel het versleuteld houden van de communicatie tussen twee eindgebruikers. Natuurlijk kan Meta niet zien of andere bedrijven datzelfde doen, en natuurlijk is het mogelijk dat een ander zégt e2ee toe te passen maar toch een achterdeur ingebouwd te hebben. Of gewoon cryptotechnisch prutswerk te hebben geleverd. Alleen: is dat iets waar Meta wat van moet vinden?

De DMA laat zien dat de keuze van de wetgever was om de grote gesloten platforms open te trekken. Dat er daarna meer geregeld moet worden op security-gebied, dat is een apart probleem waar óók de nodige aandacht voor is (NIS2, CRA, AVG/AI Act security). Ik snap dat op de korte termijn dit een probleem is dat schade kan veroorzaken. Maar op de lange termijn is een open ecosysteem beter dan het gesloten model met vijf grote bedrijven dat we nu hebben.

Arnoud

 

Wat zou de toegevoegde waarde zijn van een minister van Digitale Zaken?

Een minister voor Digitale Zaken heeft alleen zin als deze minstens evenveel doorzettingsmacht krijgt als de minister van Financiën. Dat las ik in een opinie bij iBestuur van de bekende Bert Hubert. Toevallig kreeg ik ook een aantal vragen hierover, dus laten we eens breder kijken: wat zou het toevoegen, een speciale minister over dit onderwerp?

Het onderwerp lijkt op de agenda te zijn gezet na onder meer een oproep aan informateur Plasterk van het Adviescollege ICT-toetsing. Ik ken de oproep voor een minister van ICT of minister van digitale zaken al langer (zoals deze oproep uit 2000). De onderliggende motivatie is hetzelfde: ICT is enorm belangrijk, er moet expertise en sturing komen dus een gezaghebbende autoriteit op ministerieel niveau is dan nodig.

Mijn voornaamste bezwaar is dat ICT niet een apart ‘ding’ is, zoals Defensie los staat van Infrastructuur en Waterstaat bijvoorbeeld. ICT wordt overal gebruikt, en expertise daarover moet dus overal aanwezig zijn.

In de oproep wordt nader gemotiveerd wat de taak van zo’n minister zou moeten zijn:

De minister voert rijksbreed de regie over versterking van de digitale capaciteiten van de overheid. Dit kan bijvoorbeeld door het CIO-stelsel verder te ontwikkelen, samenwerking tussen verschillende overheden te stimuleren, kaders te stellen voor ICT-projecten, het lerend vermogen van de overheid aan te jagen en kwaliteits- en financieringsnormen aan te reiken voor het onderhoud en beheer van ICT-infrastructuur.
Interoperabiliteit (technische samenwerking) en coördinatie van werkzaamheden is zeker van belang, en een stevig sturend iemand kan daar zeker het verschil maken. Dat weten we uit alle mogelijke standaardisatiegroepen. Elk ministerie heeft al een Chief Information Officer (CIO), met bindende bevoegdheden. Dat zou al een heel eind moeten helpen, al lijkt dat nog wat tegen te vallen hier en daar.

Hubert ziet één mogelijke oplossing:

Een minister van Digitale Zaken kan helpen, maar die moet dan wel evenveel macht hebben als de minister van Financiën. Misschien is het zelfs wel een idee de digitale minister bij dat ministerie onder te brengen, want ze zijn daar al gewend om iedereen stevig achter de broek te zitten.
Want inderdaad, als er één ding is waar alle ministeries naar luisteren dan is het wel naar Financiën. Gevoelsmatig vind ik ict niet hetzelfde als het financiële, maar organisatorisch zie ik wel hoe dat zou kunnen werken. Al blijf ik zitten met “MinFin is streng, dus als we de MinICT daar stoppen dan zal deze ook als streng worden ervaren”, wat geen vanzelfsprekendheid is.

Arnoud

Thuisadressen getuigen vindbaar via online vonnissen, hoe erg is dat?

De adressen van burgers die camerabeelden delen met de politie zijn in sommige gevallen te herleiden uit online gepubliceerde vonnissen, blijkt uit onderzoek van BNR. Wie vonnissen goed leest met Maps erbij, kan zo vaststellen waar de camera’s hangen waar beelden van zijn gebruikt door justitie in ernstige strafzaken. De Raad voor de Rechtspraak laat in een reactie weten dat ze het probleem herkent.

Het onderzoek is een vervolg op waar ik in januari over blogde: De politie vordert vaak beelden van deurbelcamera’s waardoor adressen van nietsvermoedende burgers in strafdossiers terecht kunnen komen. Dat vorderen moet juridisch gezien, want anders mag de politie de beelden niet meenemen (vrijwillig ongevraagd ze krijgen van een burger daargelaten).

Letterlijke adressen (“op de camerabeelden van de camera aangebracht op het pand te Jollemanhof 12 Amsterdam”) worden netjes geanonimiseerd. Maar dat is niet genoeg: vaak wordt de context geschetst om de beelden te duiden, en wie dan een beetje handig is met Maps, kan dan alsnog de originele plek terugvinden:

De positie van de camera, het merk van de deurbel, de namen van aangrenzende straten: allen komen uitgebreid aan bod. [Getuige] Clara’s naam en adres zijn digitaal ‘weggelakt’, maar er staan zoveel details in de uitspraak, dat aan de hand van een kaart te achterhalen is waar de deurbelcamera ongeveer gehangen moet hebben. Foto’s op Google Streetview laten zien dat alleen bij Clara een deurbel van het genoemde merk hing ten tijde van de moord.
Waar ik dan mee blijf zitten: hoe ernstig is dit nu werkelijk, qua inbreuk op de persoonlijke levenssfeer? Het gaat hier niet om beschrijvingen van interieurs of persoonlijke aangelegenheden, maar een beschrijving van de locatie en wat er op die camera te zien was op de openbare weg. Die beelden hebben dan verder niets met de camera-eigenaar te maken, die was toevallig de getuige en dat was het.

Arnoud

Chinese spionagesoftware ontdekt op computersysteem van Nederlandse krijgsmacht

white Macintosh computer
Photo by bert b on Unsplash

China heeft een computersysteem van de Nederlandse krijgsmacht geïnfecteerd met geavanceerde spionagesoftware, meldt de MIVD dinsdag. Dat las ik bij Nu.nl. De impact lijkt beperkt maar de ontdekking is bijzonder genoeg. Het riep ook vele vragen op: is dit juridisch gezien bijvoorbeeld een oorlogsdaad?

Het achterliggende rapport is bij de NCSC te downloaden. De kern is dat de malware via een bekende kwetsbaarheid in FortiGate-apparaten van leverancier Fortinet binnendringt en toegang op afstand faciliteert. Technisch niet heel spannend, het is vooral opmerkelijk dat de MIVD hiermee naar buiten treedt én zo expliciet China aanwijst als organisator.

Is het nu oorlog? Niemand die het ziet, maar juridisch gezien is hier weinig over te zeggen. Er is namelijk niet echt een definitie van ‘oorlog’. In de Conventie van Genève van 1952 is staat bijvoorbeeld “any difference arising between two states and leading to the intervention of members of the armed forces”, oftewel het is oorlog als de strijdkrachten van twee landen tegen elkaar vechten.

De MIVD is deel van onze strijdkrachten en laten we aannemen dat deze malware ingezet is door de Chinese People’s Liberation Army Strategic Support Force, zeg maar hun cyberstrijdkrachten. Maar is dit een “interventie”, is hier sprake van gebruik van wapens?

Los daarvan: het is pas echt oorlog als minstens een van de twee landen dat vindt, of als een hogere macht (zoals de VN) dat verklaart. Daar is bij deze malware geen sprake van.

Arnoud