Is het inbouwen van backdoors in je encryptiesoftware verplicht?

| AE 11462 | Regulering, Security | 11 reacties

Een lezer vroeg me:

In Australië is sinds vorig jaar een wet van kracht die techleveranciers verplicht om backdoors in te bouwen in hun software als die end-to-end encryptie toepast. Hoe zit dat in Nederland, geldt die plicht bij ons ook zo?

Eind vorig jaar is in Australië inderdaad een wet aangenomen, de Assistance and Access Bill 2018. Deze geeft opsporingsdiensten de macht om bij technologieleveranciers te eisen dat deze decryptiesleutels afgeven, maar ook om een backdoor in te bouwen zodat men stiekem mee kan lezen.

Met name hoe snel en sneaky die wet is doorgevoerd, gaf veel reuring. Maar ook het principe natuurlijk dat je backdoors in moet bouwen, dat is een uniek precedent in de securitywereld. Want nee, in Nederland (of Europa, of de VS) bestaat niet zo’n zelfde wet.

Alle Westerse landen hebben regelgeving dat een dienstverlener die toegang heeft tot berichten van een klant, die af moet geven onder zekere voorwaarden. In Nederland is de grens relatief hoog: als het “belang van het onderzoek dit vordert” bij een ernstig misdrijf (art. 126m Strafrecht) moet een communicatie-aanbieder de decryptie ongedaan maken van berichten die via hem lopen.

Er is echter in Nederland – noch in Europa, noch in de VS – een plicht om encryptie zo te bouwen dát je kunt decrypten. Ja, als je een telecomdienstverlener bent dan moet je netwerk aftapbaar zijn (art. 13.1 Telecommunicatiewet) maar internetdiensten zijn per definitie geen telecomdiensten.

Leveranciers van telecomproducten of internetcommunicatieproducten (waaronder software) hebben op dit moment geen plicht om backdoors in te bouwen. Ik weet in Europa niet van enig plan om dergelijke functionaliteit verplicht te gaan stellen, maar je weet natuurlijk nooit.

Arnoud

Je blijft echt gewoon bestuurder als je de AutoPilot van je Tesla aanzet

| AE 11430 | Ondernemingsvrijheid, Regulering | 11 reacties

Het gerechtshof in Leeuwarden stelt dat de bestuurder van een ‘zelfrijdende’ Tesla terecht is beboet, omdat hij tijdens het rijden zijn telefoon vasthad. Dat meldde Nu.nl gisteren. Hiermee wordt de uitspraak in eerste instantie van afgelopen november bevestigd. De Tesla-bestuurder was Vincent Evers, die stelde dat niet hij de bestuurder van de Tesla was, maar de Autopilot-software. Ook het Hof had er weinig moeite mee om die stelling omver te helpen, en ik blijf erbij dat het weinig verrassend is. Maar goed, dat internetrecht hè, nieuwe technologieën roepen nieuwe vragen op. Eh, goed.

Zoals ik vorig jaar al zei, de term ‘Autopilot’ vind ik dubieus omdat het zo klinkt alsof de auto volledig automatisch bestuurd wordt. Ongeveer zoals een vliegtuig op de automatische piloot kan vliegen en zelfs landen zonder dat er een mens nodig is. Daar zijn we softwaretechnisch nog lang niet met auto’s, dus ik vind het ergerlijk dat Tesla doet van wel en dat mensen daar in zodanige mate op vertrouwen dat we dit soort discussies moeten voeren.

Het argument in hoger beroep komt er als ik het zo lees op neer dat een rij-instructeur geen bestuurder is (en dus een telefoon mag vasthouden) terwijl een instructeur meer bij het rijden betrokken is (want leerling bij de les houden) dan de Tesla Autopilot-aanzetter. En dat is dan oneerlijk. Het Hof gaat daar niet direct op in, ik vermoed omdat “hullie mocht het wel” in het verkeersrecht geen argument is.

Uiteindelijk komt het erop neer dat je een auto al heel snel bestuurt, ook als je niet alle besturingshandelingen zelf verricht. Aan het stuur zitten terwijl je auto wordt geduwd of gesleept, maakt je bijvoorbeeld al bestuurder. Dat trekt het Hof hier logischerwijs door:

Het inschakelen en ingeschakeld houden van de Autopilot – die immers rechtstreeks de bedieningsorganen beïnvloedt – brengt mee dat op die wijze of met behulp daarvan de bedieningsorganen worden gehanteerd waardoor de voortbeweging en rijrichting van het motorvoertuig worden beïnvloed. Het gebruikmaken van een dergelijk systeem betekent dat de betrokkene als feitelijk bestuurder dient te worden aangemerkt.

Oftewel: jij zet een heel procedé in gang waarmee de auto gaat rijden, daarom noemen we jou de bestuurder. Dat er onder de motorkap dan een heleboel gebeurt, en dat dat veel meer slimmigheidjes betreft dan in een DAF 55, is dan uiteindelijk niet relevant. Er is een bestuurder, want er moet een bestuurder zijn. Dus dan maar de persoon die op de knop drukt.

Heel praktisch, maar volgens mij ook heel rechtsfilosofisch uiteindelijk wel juist: zolang een computer geen rechtspersoonlijkheid heeft, kun je daar moeilijk motieven of keuzevrijheid of andere menselijke eigenschappen aan toekennen. Alles dat een computer doet, wordt dan toegerekend aan de mens die hem aanzet. Denk daar eens diep over na.

Arnoud

De werkelijkheid van het tv-cliche van de cc naar je advocaat

| AE 11362 | Regulering | 22 reacties

Het verschoningsrecht voor advocaten en notarissen geldt net zo goed voor correspondentie in cc-mails. Dat las ik bij MR online. Die uitspraak kwam in reactie op de opstelling van het Openbaar Ministerie dat ze mails met de advocaat in cc wel degelijk mogen inzien, dergelijke mails zijn niet geheim (attorney-client privileged, als je Amerikaanse series kijkt). Steeds vaker worden bij e-maildoorzoekingen mails met een cc naar de advocaat aangetroffen die het OM dan gewoon gaat lezen, iets waar advocaten begrijpelijkerwijs boos over worden want de geheimhouding van communicatie tussen advocaat en cliënt is een groot goed en wie daaraan tornt, maakt een effectieve verdediging van die cliënt vrijwel onmogelijk. (Wie wil er niet meelezen met wat de wederpartij in vertrouwen overlegt immers?)

Ik kan tegenwoordig alleen nog Amerikaanse rechtbankseries kijken met mijn schoenen uit, want de juridische dingen zijn té tenenkrommend om gewoon te kijken. Met name ergerlijk is hoe men omgaat met privilege, vaak getoond als ergerlijke truc waarmee de overduidelijk schuldige verdachte glibberig het bewijs uit handen van hardwerkende politieagenten weet te houden. Het cliché* is dan dat de boef al zijn incriminerende correspondentie in cc naar de advocaat stuurde, zodat alles haha lekker puh geheim is. Zo werkt het niet, niet in Nederland en niet in Amerika.

In 2006 oordeelde de HR dat berichten die in CC naar een geheimhouder (advocaat of notaris) worden gestuurd, niet “reeds daarom” aangemerkt kunnen worden als vertrouwelijke stukken. Wat op zich logisch is, het gaat immers om strekking en doel van het bericht. Maar het OM blijkt deze uitspraak te lezen als “de advocaat stond in cc dus het telt niet”. Wat dan weer een stuk beperkter is.

Heel formeel is de cc header ooit bedoeld om mensen een informatieve kopie (carbon copy, ik typte ze ooit nog) te geven. Vanuit dat standpunt zou je kunnen zeggen dat de informatie niet bedoeld was voor vertrouwelijk overleg met je advocaat, dit is dan niet iets dat je hemhaar wilt vragen of voorleggen. Je stuurt een kopietje voor het dossier, maar verder verwacht je geen actie.

Maar het gaat uiteindelijk om de praktijk, en die is volgens mij dat mensen cc relatief willekeurig gebruiken. Soms sta je in de cc en krijg je toch een actiepunt, of is de mail wel degelijk meer dan slechts “ter informatie”. En het is die praktijk die de doorslag geeft. Het verschoningsrecht kan dus prima gelden voor mails in cc, je moet naar de inhoud en doel van de mail kijken. Die boef met zijn “alles gaat cc naar de advocaat haha” gaat dus te kort door de bocht, maar de officier met zijn “ik zie cc dus ik mag het lezen” net zo goed.

Arnoud
* De directie stelt zich niet aansprakelijk voor het tijdverlies als gevolg van klikken van deze link

Vanaf vandaag mag je geen telefoon meer vasthouden op de fiets

| AE 11359 | Regulering | 51 reacties

De Nederlandse overheid waarschuwt dat het vanaf maandag 1 juli verboden is om tijdens het fietsen een smartphone, tablet, muziekspeler of camera vast te houden. Dat meldde Tweakers vrijdag. Wie dat toch doet riskeert een boete van 95 euro. Vanaf vandaag mogen ‘bestuurders van een voertuig tijdens het rijden’ niet langer een ‘mobiel elektronisch apparaat… Lees verder

Ben ik strafbaar als ik per ongeluk inlog bij mijn ex?

| AE 11314 | Privacy, Regulering | 27 reacties

Een lezer vroeg me: Recent heb ik mijn ex de deur uit getrapt omdat ze was vreemdgegaan. Wij deelden alles, dus ook telefoonwachtwoorden en zo kwam ik per toeval erachter. Nu heb ik recent per ongeluk nog eens ingelogd op haar Instagram, omdat dit wachtwoord onthouden was door mijn browser. Zij heeft nu aangifte gedaan… Lees verder

Politie brengt app uit waarmee slachtoffer onderzoek kan doen naar misdrijf

| AE 11299 | Regulering | 14 reacties

De Nederlandse politie en het openbaar ministerie brengen op 1 juni een app uit waarmee burgers zelf onderzoek kunnen doen naar het misdrijf waar ze slachtoffer van zijn geworden. Dat meldde Tweakers maandag. Mensen kunnen onder andere getuigeninterviews afnemen en foto’s als bewijs uploaden. Het gaat om een kleinschalige proef in zes basisteams in vier… Lees verder

Is het strafbaar je aan gezichtsherkenning te onttrekken?

| AE 11290 | Privacy, Regulering | 13 reacties

Op Twitter las ik: So @metpoliceuk has been running facial recognition trials, with cameras scanning passers-by. A man who covered himself when passing by the cameras was fined £90 for disorderly behaviour and forced to have his picture taken anyway. De inzet van gezichtsherkenning bij de politie is al langer tijd onderwerp van aandacht, onder… Lees verder

Politie wekt beschonken Tesla-bestuurder op A27 met sirene

| AE 11288 | Regulering | 17 reacties

Een aangeschoten en slapende automobilist is vannacht van de A27 geplukt in zijn rijdende Tesla. Dat las ik bij de NOS vrijdag (dank Franc). De auto bleef maar doorrijden omdat deze op automatische piloot stond en de bestuurder wel zijn handen aan het stuur had, zodat het automatische noodmechanisme (remmen en parkeren) niet in werking… Lees verder

Onder afwitvlakjes spieken in een PDF bestand kan juridisch problematisch zijn

| AE 11269 | Regulering | 11 reacties

De gemeente Barneveld mag ‘onzichtbaar’ gemaakte informatie van een grondverwerkingsbedrijf niet gebruiken, las ik bij Security.nl. De rechtbank bepaalde dat hoewel de witte vlakjes in de aangeleverde PDF bestanden met de informatie weg te halen waren, de intentie van het bedrijf was om die informatie niet te geven. Daarom mag de gemeente dat dan ook… Lees verder

De toegevoegde waarde van een bodycam voor de politie en de maatschappij

| AE 11261 | Informatiemaatschappij, Regulering | 7 reacties

Agenten voelen zich veiliger met een bodycam, las ik in Trouw onlangs. Dat bleek uit een proef van twee jaar, die nu er voor zorgt dat er zo’n tweeduizend agenten rond gaan lopen met camera’s op hun lijf. Een op de vier agenten met een camera op het lichaam is echter niet op de hoogte… Lees verder