Hoe ver kun je gaan met antiwettelijke systemen ontwikkelen?

| AE 11488 | Regulering | 16 reacties

Coercion-resistant design, ik vertaal het maar als antiwettelijke systemen maar het is het niet helemaal. De Engelse term kwam ik vorige week tegen bij BoingBoing, hij blijkt uit 2016 te dateren en refereert naar technische tegenmaatregelen die onwelgevallige juridische eisen omzeilen of zinloos maken. Het bekendste voorbeeld is de warrant canary, een tekstje in je jaarverslag dat je géén geheim bevel hebt gehad dit jaar. Als je die volgend jaar niet opneemt, overtreed je geen geheimhoudingsbevel want je zegt niets, maar de goede verstaander weet hoe het zit. Hoe sterk is dat nou?

De continue interactie tussen recht en techniek is een van de meest fascinerende aspecten van het internetrecht. Natuurlijk heb je in elk rechtsgebied dat mensen iets doen om de wet te omzeilen (pardon, te “ontwijken”) maar in de ict gebeurt dit zo veel, zo grootschalig en zo expliciet dat ik het echt wat anders vind. Zo ook de omgang met coercie of dwang vanuit de overheid. De neiging om daar dan iets tegen in te bouwen is volgens mij specifiek voor dit rechtsgebied/vakgebied.

Kan het? Ja, er zijn zeker ‘trucs’ mogelijk om wettig gegeven bevelen onmogelijk te maken of hun werking te neutraliseren. Ik zeg truc tussen aanhalingsteken omdat het vaak neerkomt op het vermijden van de jurisdictie. (Stel je krijgt een bevel in Seattle, Washington dat je data moet afgeven. Dat je dan zegt, het datacenter staat in Duitsland dus ik kan er niet bij, vind ik niet echt een truc.)

Je kunt dat in software bouwen of het organisatorisch inrichten. Een voorbeeld van BoingBoing is dat je voor bepaalde aanpassingen aan je software twee digitale handtekeningen eist van mensen in twee jurisdicties, zodat er niet één overheid is die kan verplichten tot een zekere aanpassing (zoals een achterdeur). De persoon in de andere jurisdictie zal daar niet aan meewerken en kan niet worden gedwongen.

De onderliggende aanname is vaak wel dat overheden bepaalde dingen niet kunnen of mogen. Bij die warrant canary bijvoorbeeld is de aanname dat je niet gedwongen kunt worden een leugenachtige uitspraak te doen (“Wij hebben dit jaar wederom geen geheime bevelen gehad”, terwijl je die wél hebt gehad). Als die aanname niet klopt – en ik blijf erbij dat je bij canaries gedwongen kunt worden te liegen gezien de bedoeling van de geheimhouding – dan gaat zo’n juridische hack onderuit.

De voornaamste toegevoegde waarde van dit soort ontwerpen is denk ik vooral dat je expliciet nadenkt over eventueel misbruik van je dienst. Als alle communicatie via jouw servers gaat, is het goed te beseffen dat je gedwongen zou kunnen worden bepaalde berichtuitwisseling op te nemen, af te geven of te manipuleren. Daar op voorhand in je design rekening mee houden wanneer je dat niet wilt laten gebeuren is dan alleen maar goed. En ook dat is uniek aan internetrecht: het in programmeren van ethiek, van moreel besef.

Arnoud

Politiekorpsen VS mogen Ring-video’s eeuwig bewaren en onbeperkt delen, en bij ons?

| AE 11469 | Privacy, Regulering | 7 reacties

Politiekorpsen in de VS die van buurtbewoners video’s ontvangen van slimme deurbel Ring mogen dat beeldmateriaal eeuwig bewaren en onbeperkt delen met bijvoorbeeld andere korpsen of overheidsinstanties. Dat las ik bij Tweakers. Het vervolgt eerdere berichten dat Ring in de afgelopen jaren samenwerkingsovereenkomsten heeft gesloten met vierhonderd korpsen in de VS, die zo toegang krijgen tot beelden van de dienstverlener. Ring verzamelt en bewaart beeldopnames van de deurbel-met-camera op haar servers, en kan er dus over beschikken wanneer politie of Justitie daarom vraagt. Naar Amerikaans recht lijkt dat dus in orde, maar vele lezers vroegen zich af, hoe zit dat dan in Nederland gezien de AVG? En jaja, komt ie weer met z’n diensteneconomie.

Eerst maar dat bewaren door de politie. Als die beelden hebben verkregen, worden die in principe alleen gebruikt voor het betreffende onderzoek. Maar ze kunnen (Wet politiegegevens, artikel 8 en verder) ook voor andere onderzoeken worden ingezet. Zomaar een berg verzamelen en bewaren kan dus niet. Maar lijkt me ook niet heel praktisch want wat moet je met een berg video’s waar hooguit een datum en locatie bij zit?

Handiger is lijkt mij ze gewoon per geval vorderen (zoals ook gebeurt bij ons) want dan heb je precies wat je nodig hebt wanneer je het nodig hebt. En ja, vorderen moet, de politie kan beelden niet zomaar vragen omdat er persoonsgegevens op staan. Dat vereist een bevel van de officier van justitie en dat kan alleen worden gegeven in het belang van een strafrechtelijk onderzoek.

Daar staat tegenover dat een burger door hemhaarzelf gemaakte beelden vrijwillig mag afgeven. Als ik meen een misdrijf gefilmd te hebben, dan mag ik daarmee aangifte gaan doen en dan is er geen bevel meer nodig, ik kan dan gewoon die usb-stick met de beelden overhandigen. Dat geldt ook voor bedrijven, dus ook voor Ring. Als die vrijwillig beelden aan de politie willen geven, dan mag dat dus.

Complicatie hier is wel dat het niet hun eigen beelden zijn – de camera’s zijn eigendom van hun klanten, zij bewaren de beelden alleen maar op hun servers. Maar nee, zo werkt dat hier niet. Want daar is ie weer met de diensteneconomie: nee, zo werkt dat hier niet. Data is juridisch niets. Ring levert een dienst, en de artefacten van die dienst (zoals de camerabeelden) bestaan juridisch niet als zelfstandige entiteit. Ring kan daarmee dus doen wat ze wil, tenzij ze contractueel heeft afgesproken van niet. Maar zoals je van Amerikaanse diensten verwacht, zeggen die voorwaarden juist dat men alles mag.

In Nederland zou dat dus in principe ook zo gaan, zij het dat je hier als huiseigenaar er wél wat over te zeggen hebt. Jij hangt die camera op, jij filmt de openbare ruimte (ook al is het slechts bij aanbellen) dus dan zou je best eens de verwerkingsverantwoordelijke voor die beelden kunnen zijn met Ring als verwerker. En een verwerker mag natuurlijk niet zelfstandig de persoonsgegevens aan derden verschaffen. Ook niet als in de algemene voorwaarden staat van wel.

Arnoud

Is het inbouwen van backdoors in je encryptiesoftware verplicht?

| AE 11462 | Regulering, Security | 11 reacties

Een lezer vroeg me:

In Australië is sinds vorig jaar een wet van kracht die techleveranciers verplicht om backdoors in te bouwen in hun software als die end-to-end encryptie toepast. Hoe zit dat in Nederland, geldt die plicht bij ons ook zo?

Eind vorig jaar is in Australië inderdaad een wet aangenomen, de Assistance and Access Bill 2018. Deze geeft opsporingsdiensten de macht om bij technologieleveranciers te eisen dat deze decryptiesleutels afgeven, maar ook om een backdoor in te bouwen zodat men stiekem mee kan lezen.

Met name hoe snel en sneaky die wet is doorgevoerd, gaf veel reuring. Maar ook het principe natuurlijk dat je backdoors in moet bouwen, dat is een uniek precedent in de securitywereld. Want nee, in Nederland (of Europa, of de VS) bestaat niet zo’n zelfde wet.

Alle Westerse landen hebben regelgeving dat een dienstverlener die toegang heeft tot berichten van een klant, die af moet geven onder zekere voorwaarden. In Nederland is de grens relatief hoog: als het “belang van het onderzoek dit vordert” bij een ernstig misdrijf (art. 126m Strafrecht) moet een communicatie-aanbieder de decryptie ongedaan maken van berichten die via hem lopen.

Er is echter in Nederland – noch in Europa, noch in de VS – een plicht om encryptie zo te bouwen dát je kunt decrypten. Ja, als je een telecomdienstverlener bent dan moet je netwerk aftapbaar zijn (art. 13.1 Telecommunicatiewet) maar internetdiensten zijn per definitie geen telecomdiensten.

Leveranciers van telecomproducten of internetcommunicatieproducten (waaronder software) hebben op dit moment geen plicht om backdoors in te bouwen. Ik weet in Europa niet van enig plan om dergelijke functionaliteit verplicht te gaan stellen, maar je weet natuurlijk nooit.

Arnoud

Je blijft echt gewoon bestuurder als je de AutoPilot van je Tesla aanzet

| AE 11430 | Ondernemingsvrijheid, Regulering | 11 reacties

Het gerechtshof in Leeuwarden stelt dat de bestuurder van een ‘zelfrijdende’ Tesla terecht is beboet, omdat hij tijdens het rijden zijn telefoon vasthad. Dat meldde Nu.nl gisteren. Hiermee wordt de uitspraak in eerste instantie van afgelopen november bevestigd. De Tesla-bestuurder was Vincent Evers, die stelde dat niet hij de bestuurder van de Tesla was, maar… Lees verder

De werkelijkheid van het tv-cliche van de cc naar je advocaat

| AE 11362 | Regulering | 22 reacties

Het verschoningsrecht voor advocaten en notarissen geldt net zo goed voor correspondentie in cc-mails. Dat las ik bij MR online. Die uitspraak kwam in reactie op de opstelling van het Openbaar Ministerie dat ze mails met de advocaat in cc wel degelijk mogen inzien, dergelijke mails zijn niet geheim (attorney-client privileged, als je Amerikaanse series… Lees verder

Vanaf vandaag mag je geen telefoon meer vasthouden op de fiets

| AE 11359 | Regulering | 51 reacties

De Nederlandse overheid waarschuwt dat het vanaf maandag 1 juli verboden is om tijdens het fietsen een smartphone, tablet, muziekspeler of camera vast te houden. Dat meldde Tweakers vrijdag. Wie dat toch doet riskeert een boete van 95 euro. Vanaf vandaag mogen ‘bestuurders van een voertuig tijdens het rijden’ niet langer een ‘mobiel elektronisch apparaat… Lees verder

Ben ik strafbaar als ik per ongeluk inlog bij mijn ex?

| AE 11314 | Privacy, Regulering | 27 reacties

Een lezer vroeg me: Recent heb ik mijn ex de deur uit getrapt omdat ze was vreemdgegaan. Wij deelden alles, dus ook telefoonwachtwoorden en zo kwam ik per toeval erachter. Nu heb ik recent per ongeluk nog eens ingelogd op haar Instagram, omdat dit wachtwoord onthouden was door mijn browser. Zij heeft nu aangifte gedaan… Lees verder

Politie brengt app uit waarmee slachtoffer onderzoek kan doen naar misdrijf

| AE 11299 | Regulering | 14 reacties

De Nederlandse politie en het openbaar ministerie brengen op 1 juni een app uit waarmee burgers zelf onderzoek kunnen doen naar het misdrijf waar ze slachtoffer van zijn geworden. Dat meldde Tweakers maandag. Mensen kunnen onder andere getuigeninterviews afnemen en foto’s als bewijs uploaden. Het gaat om een kleinschalige proef in zes basisteams in vier… Lees verder

Is het strafbaar je aan gezichtsherkenning te onttrekken?

| AE 11290 | Privacy, Regulering | 13 reacties

Op Twitter las ik: So @metpoliceuk has been running facial recognition trials, with cameras scanning passers-by. A man who covered himself when passing by the cameras was fined £90 for disorderly behaviour and forced to have his picture taken anyway. De inzet van gezichtsherkenning bij de politie is al langer tijd onderwerp van aandacht, onder… Lees verder

Politie wekt beschonken Tesla-bestuurder op A27 met sirene

| AE 11288 | Regulering | 17 reacties

Een aangeschoten en slapende automobilist is vannacht van de A27 geplukt in zijn rijdende Tesla. Dat las ik bij de NOS vrijdag (dank Franc). De auto bleef maar doorrijden omdat deze op automatische piloot stond en de bestuurder wel zijn handen aan het stuur had, zodat het automatische noodmechanisme (remmen en parkeren) niet in werking… Lees verder