Categorie: Security

About Security

Subscribe Feeds

Mogen banken je verbieden te internetbankieren als je gesideloade apps hebt?

Geplaatst op in Security, 11 reacties
Photo by Morthy Jameson on Pexels

Een lezer vroeg me:

Verschillende banken, waaronder de Britse bank HSBC en de Deense bank Danske Bank, laten hun apps niet werken op Androidtelefoons met gesideloade apps. Hiertoe scannen zij de telefoon met een speciale Android-feature, echter zonder toestemming te vragen. Ook wordt gebruik van alternatieve appstores hiermee feitelijk onmogelijk, immers iedereen moet internetbankieren. Is dit wel legaal, en hoe verhoudt zich dit tot de Digital Markets Act die juist dergelijke appstores aanmoedigt?
De speciale feature waar het over gaat, is een Androidpermissie genaamd QUERYALLPACKAGES waarmee kan worden gecontroleerd welke apps een klant allemaal op zijn telefoon heeft geïnstalleerd en waarvandaan de apps afkomstig zijn. Deze permissie is eigenlijk ontworpen voor virusscanners en dergelijke, maar Google staat gebruik ervan toe bij bankieren- en wallet-apps “solely for security-based purposes”.

Het securitydoel hier is het voorkomen van fraude bij internetbankieren door malafide apps. Apps die buiten de officiële appwinkel binnenkomen, zouden sneller malware kunnen bevatten, is dan het argument. Door de bankieren-app dan niet te laten werken, wordt voorkomen dat je rekening wordt geplunderd. Klinkt eng, maar is natuurlijk aardig speculatief. En genoeg mensen worden slachtoffer van fraude ook met enkel ‘officiële’ apps.

Tegelijkertijd: het klinkt realistisch genoeg en voor de meeste mensen (inclusief dus de meeste beleidsmakers, juristen en toezichthouders) is sideloaden een rare, waarom-zou-je-dat-willen activiteit. Iets dergelijks als veiligheidsrisico afdoen, is dan een vrij normale actie van een serieuze partij als een bank. Die zullen daar wel over nagedacht hebben.

Of een app van de Telecommunicatiewet mag uitlezen wat er op je telefoon staat, is een lastige. Deze wet verbiedt het uitlezen via een netwerk van informatie op een randapparaat (art. 11.7a), maar of je zo’n scan daaronder kunt rekenen, is de vraag. (Lid 3 verklaart de toestemmingseis ook van toepassing wanneer “op een andere wijze” informatie wordt uitgelezen.) Toestemming is dan weer niet nodig als het uitlezen nodig is om een communicatie over het netwerk uit te lezen, maar of dat opgerekt kan worden tot “voor de veiligheid moeten we dit uitlezen”, weet eigenlijk niemand.

De DMA verplicht grote platforms zoals Android om open te staan voor alternatieve appstores. Deze maatregel van banken maakt het nogal lastig om daarmee te werken, want inderdaad, internetbankieren zul je. Dat kun je zien als een effectieve ondermijning van die plicht. Alleen krijg je dan het probleem dat niet Google maar de banken deze maatregel nemen. Het gaat nogal ver om te zeggen dat Google dit de banken moet weigeren omdat Google een DMA-plicht heeft.

De enige manier om dit echt op te lossen, is door de financiële toezichthouders richtsnoeren te laten uitgeven die zeggen wat hierin wel mag en wat niet. En dan komen we weer bij het aloude probleem: hoe laat je praktisch en onderbouwd zien dat sideloaden en alternatieve appstores niet meer risico introduceren dan de gewone appstore?

Arnoud

Zelf een extra beveiligingstag bijmaken voor je huis, mag dat?

Geplaatst op in Security, 31 reacties
Photo by Susanne Plank on Pexels

Via Reddit:

Ik ben recent verhuisd naar een nieuw huurappartement (voor 1 persoon). Bij het intrekken heb ik 1 toegangstag gekregen voor het complex. Mijn vriendin komt regelmatig langs en blijft soms slapen, en praktisch gezien zou een tweede tag heel handig zijn. Volgens de regels is het officieel “1 persoon = 1 tag”, dus extra tags zijn eigenlijk niet toegestaan. [Mag ik er zelf eentje bijmaken?]
Allereerst is het de vraag of dat wel kan, zelf een tag (laten) bijmaken. Simpele RFID-tags of druppels zijn inderdaad vaak triviaal te klonen, maar bij moderne apps lukt dat niet.

Er zijn vast trucs, maar dan kom je al snel in een schimmig gebied terecht. Een aspect daarvan werd in de comments aangestipt:

Afhankelijk van het type tag en het gebruikte systeem kan kopiëren zelfs worden aangemerkt als onbevoegde toegang of het omzeilen van beveiligingsmaatregelen.
Deze opmerking wijst op twee mogelijke serieuze juridische problemen. Allereerst het auteursrecht. In al wat oudere Amerikaanse jurisprudentie (Skylink en Lexmark) werd bepaald dat het klonen van een draadloze garagedeuropener telt als kraken van een toegangsbeveiliging van de software van het origineel. En dat is strafbaar plus kan tot enorme schadeclaims leiden.

Weliswaar kwam daar in hoger beroep een forse correctie, maar het beeld is blijven hangen dat iedere vorm van kopiëren, namaken of soms zelf aanroepen van andermans software in strafrechtgebied terecht komt. Ik meen onterecht

Een voor mij serieuzer probleem is of we hier te maken hebben met computervredebreuk. Door zo’n tag te klonen, creëer je wat strafrechtelijk een “valse sleutel” heet. De sleutel klopt technisch, maar is niet officieel en dús vals. (Ook een gestolen echte sleutel gebruiken telt wel als “valse sleutel”.)

Binnendringen in een computersysteem met een valse sleutel is strafbaar. En dat computersysteem is dus het kastje dat de toegangscontrole regelt. Ik realiseer me dat ik hiermee de normale verwachtingen van dit strafbaar feit oprek, maar dat is in lijn met de jurisprudentie.

In 2024 blogde ik over een geval waarbij een werknemer foto’s maakte van e-mails die hij nodig had voor een arbeidsgeschil:

Maar omdat hij ziek was, en het toch ook moeilijk “je werk” genoemd kan worden om bewijs te screenshotten voor een arbeidsgeschil, vindt de rechter dit een vorm van binnendringen met valse sleutel.
Hier zou het argument dan zijn dat je alleen naar binnen mag met een originele tag, fob of druppel. En jouw tag is hoe dan ook niet origineel, dus dring je binnen.

Tegenargument is dat je op zich wel naar binnen mag daar, en dat daar ook geen doelbinding aan zit: het is je woning. Niet je werkplek terwijl je ziek bent of na diensturen. Maar het gaat niet om in het huis zijn, het gaat om in die computer zijn. En daar mag je niet zijn met een nepsleutel.

Arnoud

 

 

Ook als je ict-leverancier ISO27001 is, ben jij aansprakelijk voor de beveiliging

Geplaatst op in Ondernemingsvrijheid, Privacy, Security, nog geen reacties
Photo by Alex Suprun on Unsplash

Als je mailsysteem wordt gehackt, kan dat onder de AVG verwijtbaar zijn. Dat bepaalde het Gerechtshof Arnhem-Leeuwarden onlangs. Je bent als bedrijf zélf aansprakelijk voor je beveiliging, ook als je daar een bureau voor inschakelt.

Stel je koopt een nieuwe auto, krijgt betalingsinstructies van de garage gemaild en betaalt. Vervolgens blijken die instructies van een ‘hacker’ te komen. Wiens schuld is dat? Dat was de kwestie waar het Hof in 2024 zich voor gesteld zag. Zoals ik destijds blogde:

Die derde was kennelijk goed voorbereid: forensisch onderzoek op de logs liet zien dat er een paar wachtwoorden waren geprobeerd, en toen met succes kon worden ingelogd. Daarna is meegelezen in de mailbox, gespot dat iemand nog moest betalen en gauw een Duits IBAN gestuurd waar het geld naartoe kon. Slim en snel geschakeld, riekt wel ergens naar een inside job.
Het Hof had het vermoeden dat het autobedrijf haar beveiliging niet op orde had. Met name zat zij met de vraag waarom het bedrijf niet zelf de wachtwoorden had ingesteld, maar dat aan de ict-leverancier had overgelaten. Daarom kreeg het bedrijf de opdracht aan te tonen dat zij wél adequaat had gehandeld, en dus onder de AVG niets te verwijten zou zijn.

Medio 2025 verscheen een vervolgarrest waarin het Hof concludeerde dat het bedrijf haar zaakjes niet op orde had. Het bedrijf had met name gewezen op haar beperkte omvang en het feit dat zij zwaar leunde op een ISO 27001 gecertificeerde leverancier. Dat is allemaal mooi en aardig, maar het maakt niet dat je niet meer aansprakelijk bent als er dan toch wat misgaat. (Misschien kun je de schade verhalen op de leverancier, maar dat is iets tussen jullie twee.)

Het grootste probleem was echter dat de uitleg bleef steken in algemeenheden (“[Leverancier] zorgt ervoor dat alles 24/7 gemonitord wordt op o.a. het functioneren en security gerelateerde issues.”), zodat niet duidelijk wordt wat hier specifiek dan misgegaan was. Het Hof las dan ook over een door de leverancier ingesteld wachtwoord en concludeert vervolgens dat de beveiliging niet in orde was.

Bleef over de vraag of het autobedrijf dan werkelijk de volle 100% van de schade moest vergoeden. Heb je als koper niet ook een stukje onderzoeksplicht, phishing en oplichting is immers aan de orde van de dag.

Het eindarrest laat zien dat er door het bedrijf met de koper was gemaild over de eindafrekening. Het laatste bericht had als strekking “als je de auto morgen wilt ophalen, wil je dan vandaag betalen”. Vlak daarna sprong de hacker in de mailketen met betaalinstructies. Inderdaad, héél knap als dat zuiver toeval is geweest.

Geen argwaan nodig dat er instructies volgen nadat is gezegd “wil je vandaag betalen”. Alleen, de koper had misschien wél moeten zien dat er nu een ander IBAN werd verschaft (uit Duitsland) dan waarop de aanbetaling (Nederland) was gedaan. En bij het internetbankieren had zijn bank dan (waarschijnlijk) gezegd dat zij niet konden zien of die rekening echt van [autobedrijf] was. De koper had dus even moeten navragen of het klopt, dat nu het geld naar Duitsland had gemoeten.

Tegelijk oordeelt het Hof ook dat óók een kleine onderneming moet doen wat ze kan op cyberbeveiligingsgebied. Hier betekent dat: beheer je eigen wachtwoorden. Uitbesteden van je security is loffelijk, maar betekent niet dat je op álles achterover moet leunen. Alles bij elkaar moet het bedrijf daarom de helft (13.000) van de schade vergoeden.

Arnoud

 

Mag mijn werkgever gezichts- en stemherkenning inzetten om Teams-transcripties beter te maken?

Geplaatst op in Privacy, Security, 19 reacties
Photo by Chris Montgomery on Unsplash

Een leezr vroeg me:

Mijn werkgever wil het mogelijk maken om Copilot onze Teams-meetings te laten opnemen en transcriben tot vergaderverslagen. Dit inclusief gebruik van stem- en gezichtsherkenning, omdat dit de kwaliteit van het verslag  zou verhogen. Wij moeten daar nu toestemming voor geven in Teams, maar weigeren lijkt niet echt aan de orde. Kan de werkgever me dit verplichten?
Hoofdregel voor inzet van ict op het werk: de werkgever kiest de middelen waarmee het werk wordt gedaan. Als werknemer heb je daar weinig van te vinden. Natuurlijk moet de werkgever wel rekening houden met jouw redelijke belangen, en privacy (en AVG) is er daar een van.

Wanneer je privacy of persoonsgegevens in het geding zijn, moet de werkgever dat via de AVG rechtvaardigen. Toestemming is daarbij geen optie, omdat in een werknemersrelatie eigenlijk altijd sprake is van afhankelijkheid (je wil dat vaste contract, opslag, managementfunctie). Dus dan moet de werkgever óf betogen dat het echt nodig is voor werk, óf dat zijn gerechtvaardigd belang wint van het jouwe.

De lat bij nodig voor het werk ligt erg hoog, en ik denk dat je met “onze vergaderverslagen worden er beter van” daar niet aan komt. Dus dan komen we automatisch bij het gerechtvaardigd belang.

Voor een transcriptie sec zie ik dat wel. Die meeting was werk en een transcriptie van een meeting is nuttig en weinig privacygevoelig. Ik zou het moeilijk vinden daar concrete bezwaren tegen te verzinnen (even aangenomen dat de AVG-randzaken gedicht zijn en we doen alsof Privacy Shield gewoon geldt, want we zijn jurist).

Die extra feature was nieuw voor mij. Bij Microsoft lees ik hierover dat

Voice and face enrollment is a feature in Microsoft Teams that allows users to create a voice and face profile. Voice and face enrollment is used to improve the audio quality and user experience of Teams meetings and calls. This feature helps to reduce background noise and secondary speakers and provides speaker attribution and Microsoft Copilot accuracy in meeting rooms equipped with Microsoft Teams Rooms devices. Admins and security teams can manage and control this feature and ensure for which user the enrollment and usage of the profile are turned on.
Het idee is dus inderdaad dat je via je stem en gezicht beter herkend wordt, en dat een transcriptie daarop afgestemd kan worden. Alice heeft een Vlaams accent, vandaar de aarzeling tussen “afstemming” en “afzetting”. Bob zit rechts en het geluid kwam van links, dus was dat Bob niet.

Uit dat Microsoft-artikel haal ik niet dat je toestemming moet geven. Een admin kan deze feature gewoon aanzetten. Maar goed, toestemming had ook geen zin, en zou je hooguit kunnen opvatten als een expliciete waarschuwing “let op, dat gaan we vanaf nu doen”.

De wijze waarop dit werkt, lijkt me gezien de beperkte impact (MS bezweert dat ze er niets mee doen verder) nog wel verdedigbaar. Het probleem zit hem zoals altijd in dat “bezweert”: velen (waaronder ik) zijn ondertussen zo cynisch over alle mooie beloftes van beperkt gebruik dat ze daar niet meer op willen varen.

Arnoud

Zou de Nederlandse politie gestolen wachtwoorden aan een private dienst mogen geven?

Geplaatst op in Security, 10 reacties

Een lezer vroeg me:

De website Have I Been Pwned heeft van de FBI 630 miljoen wachtwoorden ontvangen. Deze wachtwoorden werden volgens de website aangetroffen na de inbeslagname van meerdere apparaten van een verdachte. Het doet mij raar aan dat de politie zo ‘gestolen’ data deelt met een private partij. Kan dat in Nederland?
Als je het zo algemeen stelt, doet het inderdaad raar aan. De politie treft iets aan (spullen of data) bij een verdachte in het kader van een strafrechtelijk onderzoek, en geeft die dan onderhands aan zomaar een private partij.

Dat zou zo algemeen niet kunnen in Nederland. Als de politie zaken in beslag neemt, dan worden die of teruggegeven, of verbeurd verklaard. In dat laatste geval wordt de Staat er eigenaar van (art. 9 Strafrecht) en gewoonlijk worden ze dan verkocht. Zaken die op zichzelf verboden zijn (bijvoorbeeld vuurwapens) worden juist vernietigd. Er is dus geen formele route om die spullen zomaar aan iemand mee te geven.

Hier is het echt niet zomaar, HIBP is een maatschappelijk initiatief van grote bewezen waarde dat al lange tijd samenwerkt met de FBI om de maatschappij veiliger te maken. In 2021 maakte HIBP-initiatiefnemer Troy Hunt bekend een samenwerking met de FBI opgezet te hebben waarbij de dienst wachtwoorden uploadt en Hunt ze ontsluit via zijn zoekdienst. De FBI noemde dit toen een “belangrijke publiek/private samenwerking”.

Ook in Nederland kunnen dergelijke constructies worden opgezet. Waarborgen zijn dan wel nodig, zoals het afschermen van de wachtwoorden vergelijkbaar met hoe HIBP dat doet. De AVG is precies hier dan niet relevant, omdat de FBI alleen de wachtwoorden deelt (“Pwned Password”) en niet gebruikersnaam/wachtwoord combinaties. Een wachtwoord an sich kan ik niet als een persoonsgegeven zien.

Arnoud

Mag een sigarettengezichtsscanner iedereen scannen die in de rij staat bij de kassa?

Geplaatst op in Ondernemingsvrijheid, Privacy, Security, 12 reacties
"3D Face Scanner on Digitopolis" by davepatten is licensed under CC BY-NC-SA 2.0

Een lezer vroeg me:

Op diverse plekken staan zuilen voor sigarettenverkoop, die gezichten scannen om te bepalen of men oud genoeg is. Mij is opgevallen dat deze dingen gezichten scannen van iedereen in de rij. Ik zie het lampje van de scanner iedere keer branden wanneer iemand voor de kassa verschijnt, dus niet pas als je sigaretten afrekent of in de scanner kijkt. Mag dat zomaar?
Ik zie wel hoe dit zo kan werken. Vanwege gebruiksgemak scant het ding de hele tijd naar gezichten, maar meestal zal dat geen nuttige scan opleveren omdat mensen te ver weg staan of niet recht in de camera kijken. De scans worden niet opgeslagen, dus de praktische impact is beperkt.

Er is geen expliciete wettelijke regel waaruit blijkt dat je moet melden dat je een gezichtsscan uitvoert. Vanaf 2 augustus zal onder de AI Act de transparantie-eis (artikel 50) van kracht worden. Deze verplicht “gebruiksverantwoordelijken” van AI-systemen (zoals biometrische gezichtsherkenning) waarmee je directe interactie hebt, expliciet aan te laten geven dat je met een AI interacteert. Zo’n scanner zal dus bij iedere scan moeten melden “ik scan nu je gezicht”.

Heel recent verscheen arrest C-422/24 van het Hof van Justitie. Hier ging het over de vraag waar een opname met een bodycam door een controleur in het openbaar vervoer onder valt binnen de AVG. Het Hof noemt dit een “directe verkrijging” van persoonsgegevens, en eist dat er dan ook direct informatie wordt verschaft aan de betrokkenen. De locatie moet daarom voorzien zijn van bordjes (“Inspecteurs hebben bodycams”) en verwijzingen naar uitgebreidere informatie.

Dit arrest is met een beetje goede wil zo te lezen dat ook zo’n gezichtsscanner een bordje moet krijgen als deze de gehele ruimte scant. Ik twijfel daar wel over, omdat het niet de bedoeling is dat iedereen gescand wordt, maar de scanner gewoon een zeker bereik heeft en dus toevallig gezichten aanstraalt waar vervolgens niets mee gebeurt.

Arnoud

Is het strafbaar om een ‘evil twin’ wifi-netwerk aan te bieden?

Geplaatst op in Security, 12 reacties
Photo by Addy Spartacus on Unsplash

Een 44-jarige Australische man die via een ‘evil twin’ wifi-netwerk phishingaanvallen uitvoerde is in Australië veroordeeld tot een gevangenisstraf van zeven jaar en vier maanden. Dat meldde Security.nl onlangs. Diverse onderzoekers vroegen me of dat ook bij ons zo zou uitpakken.

Bij een evil twin-aanval maak je kort gezegd een wifi-netwerk met dezelfde naam om zo de laptops en telefoons in de buurt met dit malafide wifi-netwerk verbinding te laten maken. Het kán dan zijn dat je wachtwoorden of certificaten toegezonden krijgt, maar deze man had het simpeler ingericht:

Wanneer slachtoffers met dit malafide netwerk verbinding maakten werden ze doorgestuurd naar een webpagina die hen vroeg om in te loggen met een e-mail- of socialmedia-account. In werkelijkheid ging het om een phishingpagina die inloggegevens op de apparatuur van de verdachte opsloeg. Inloggegevens die slachtoffers invulden werden door de verdachte daarna gebruikt om op hun socialmedia- en e-mailaccounts in te loggen en zo allerlei gevoelige informatie te stelen.
Op deze manier verkrijg je natuurlijk een berg wachtwoorden, en daar kun je dan makkelijk mee inloggen en allerlei zaken uithalen. Het spreekt voor zich dat dat laatste computervredebreuk is. Maar het enkele omleiden naar jouw netwerk, is dat al strafbaar?

De strafwet kent geen letterlijk verbod op het opzetten van een wifi-netwerk met als SSID de naam van een ander, ook niet als jouw intentie kwaadwillend is. Je moet dus zoeken naar zaken als denial of service (je hindert toegang tot het andere netwerk) of het aftappen van communicatie (men beoogt het andere netwerk het connectieverzoek te sturen).

Met name die laatste lijkt me relevant. Art. 139c Wetboek van Strafrecht verbiedt

opzettelijk en wederrechtelijk met een technisch hulpmiddel gegevens [aftappen of opnemen] die niet voor hem bestemd zijn en die worden verwerkt of overgedragen door middel van telecommunicatie of door middel van een geautomatiseerd werk.
De lezing is dan dat door het nepnetwerk op te zetten, de slachtoffers jou gegevens sturen die niet voor jou bestemd zijn. Immers men wilde het échte netwerk met die naam hebben.

Indirect is hiermee het enkele opzetten van dat nepnetwerk ook strafbaar, namelijk als poging (art. 45 WvSr) tot het plegen van strafbaar aftappen. Er moet dan een “een begin van uitvoering” zijn, wat hier eenvoudig te bewijzen is omdat het netwerk zich voordoet als het echte netwerk en daar in de buurt ook opgesteld staat.

Arnoud

 

 

Mag Google met verplichte registratie andere appwinkels buiten de deur houden?

Geplaatst op in Ondernemingsvrijheid, Security, 9 reacties

Een lezer vroeg me:

Allerlei partijen maken zich zorgen (F-Droid, EFF) over de plannen van Google voor de verplichte registratie van app-ontwikkelaars. Volgens Google zou dit gebruikers juist tegen “bad actors” moeten beschermen, maar het maakt het downloaden van apps via alternatieve app stores behoorlijk riskant. Is dit werkelijk toegestaan onder de EU Digital Markets Act?
De Digital Markets Act is in 2022 ingevoerd om eindelijk niet meer achter Big Tech aan te hoeven rennen. Het klassieke mededingingsrecht biedt natuurlijk de optie om alle vormen van machtsmisbruik aan te pakken, maar als je zo veel geld (en advocaten) hebt als FAANG en MANGO dan duurt het jaren, zo niet decennia voordat dit definitief uitgevochten is. En ondertussen is je markt allang kapot.

De DMA benoemt simpelweg een trits praktijken die niet mogen, en een pakket met eisen waar “poortwachters” van grote “kernplatformdiensten” aan moeten voldoen. De Commissie kan bij overtreding direct ingrijpen en boetes of bindende aanwijzingen opleggen. Natuurlijk kun je dan naar het Hof van Justitie, maar een stuk gestroomlijnder is het.

Eén van die eisen is dat een ecosysteem zoals Android meerdere afrekenmogelijkheden en appstores moet kunnen hebben (art. 6 lid 4). Voor Android is F-Droid de bekendste, en die heeft grote moeite met Google’s voorgenomen openstelling van deze optie bij Android.

De reden is dat Google er meteen de voorwaarde bij stelt dat iedere Android developer zich bij Google moet registreren. Dit maakt gebruik van F-Droid heel moeilijk: zij kunnen niet afdwingen dat hun gebruikers dat doen, en de enige optie is dan dat F-Droid zichzelf voordoet als de maker van alle via hun appwinkel aangeboden apps. En dat werkt natuurlijk niet.

Google draagt als reden aan dat ze zo malafide apps buiten de deur wil houden. Een formele identiteitscheck zal bad actors immers wel afschrikken (niet lachen daar achterin). Maar Google hééft al een uitgebreide set maatregelen hier tegen (Play Protect) dus dat voelt wat gezocht.

Mag het van de DMA, die eis van Google? Heel algemeen lijkt het erop van wel:

Het wordt de poortwachter niet belet maatregelen, voor zover die strikt noodzakelijk en evenredig zijn, te treffen om ervoor te zorgen dat softwareapplicaties of appstores van derden de integriteit van de door hem ter beschikking gestelde hardware of besturingssystemen, niet in gevaar brengen, op voorwaarde dat dergelijke maatregelen naar behoren gemotiveerd worden door de poortwachter.
Op het eerste gezicht kun je Google’s “zorgen om malware” en gekozen maatregel van identiteitscontrole dus niet terzijde schuiven. Ik maak me zorgen dat het effect op F-droid te subtiel is, veel mensen nemen al snel genoegen met “dit moet voor de security”. Het wetsartikel eist natuurlijk een uitgebreide motivatie, en die zou ik dus wel eens willen lezen.

Arnoud

“Canadees databevel dreigt een gat te slaan in Europese soevereiniteit”

Geplaatst op in Innovatie, Regulering, Security, 21 reacties

Een Canadese rechtbank heeft de Franse cloudprovider OVHcloud bevolen om klantgegevens die in Europa zijn opgeslagen over te dragen, las ik bij The Register. Dit ondermijnt mogelijk de claims van de provider met betrekking tot de bescherming van digitale soevereiniteit.

Zoals The Register uitlegt, heeft de Canadese politie (RCMP) in april 2024 een bevel gegeven aan de Franse cloudprovider OVHcloud om abonnee- en accountgegevens te verstrekken gekoppeld aan vier IP-adressen op OVH-servers in Frankrijk, het Verenigd Koninkrijk en Australië. Dit als deel van een Canadees strafrechtelijk onderzoek.

Het bevel werd in eerste instantie gegeven aan de Canadese dochter, maar die kan technisch noch organisatorisch bij die gegevens. Heise vertelt verder:

Nevertheless, on September 25, the Ontario Court of Justice, presided over by Judge Heather Perkins-McVey, ruled that the French parent company must hand over the data to the Canadian authorities. Her reasoning is based on a broad interpretation of “virtual presence”: since OVH operates globally and offers services in Canada, the company is subject to Canadian jurisdiction, regardless of where the physical servers are located.
Dit is problematisch voor het Franse bedrijf, omdat artikel 48 AVG én Frans recht (de Blocking Statute) het afgeven van zulke gegevens verbiedt tenzij er een in Europa geldig bevel is gegeven. De Franse wet zet er zelfs celstraf en een boete tot 90.000 euro per overtreding op. Maar de Canadese rechter zal dit als contempt of court zien, met vergelijkbare strafmogelijkheden.

De zaak doet sterk denken aan waar mensen bij de US Cloud Act bang voor zijn. Ik blijf moeite houden met de vanzelfsprekendheid waarmee mensen aannemen dat bedrijven dan de Amerikaanse (of Canadese) regels gaan volgen omdat hun wet dat zegt.

Praktisch zie ik het ergens nog wel: wie banger is voor economische sancties van de Yanks dan voor boetes van de EU kan eieren voor z’n geld kiezen. Maar in het openbaar dat hardop zeggen kan ik me niet voorstellen bij een beursgenoteerd bedrijf.

De Canadese zaak kan dus een mooie testcase worden, als in het (nu lopende) hoger beroep wordt bepaald dat de Canadese rechter dat bevel inderdaad mag geven. En zuiver naar Canadees recht kijkend zie ik niet waarom niet. Dat recht hoeft immers geen rekening te houden met wat een ander land in hun wet heeft staan.

Arnoud

 

2 journalisten staande gehouden bij Brussels Airport, drone in beslag genomen

Geplaatst op in Security, 22 reacties
Photo by Shawn on Unsplash

Afgelopen vrijdag hebben beveiligingsmedewerkers van de Federale Politie in België twee journalisten staande gehouden aan de rand van Brussels Airport, beter bekend als luchthaven Zaventem. Dat meldde Dronewatch vorige week, op bevestiging van de Belgische politie. Een gevoelige kwestie, overal in Europa maken mensen zich zorgen over opdringerige drones.

Uit het artikel:

Welke media de journalisten vertegenwoordigden en wat precies hun doel was, is vooralsnog niet bekend. Mogelijk wilden ze demonstreren dat het niet onmogelijk is om met een drone in de buurt van een luchthaven op te stijgen, in het kader van de recente verhoogde staat van paraatheid in België en andere Europese landen. Het kan ook zijn dat de journalisten slechts wilden poseren met een drone in de hand, zonder deze daadwerkelijk te laten vliegen.
Het is natuurlijk speculatie, maar ik zie wel hoe een journalist kan denken “hoe goed is die verhoogde staat van paraatheid bij ons eigenlijk”. In juridische taal: die ziet dan een mogelijke misstand en wil dat onderzoeken. Maar als het verboden is om met drones bij vliegvelden te vliegen, pleeg je dan een strafbaar feit. Of niet?

Ook journalisten moeten zich aan de wet houden. Een perskaart geeft je het recht om (soms) onder het lint bij een afzetting te mogen, en nog wat voordeeltjes, maar is geen excuus om de wet te mogen schenden.

In uitzonderlijke gevallen kan het zo zijn dat een misstand aantonen niet anders kan dan door de wet te overtreden. Dan mag het, mits je niet verder gaat dan strikt noodzakelijk voor het vergaren van dat bewijs. Het standaardvoorbeeld is uit 1995: een journalist vroeg een rijbewijs aan op naam van de minister, om zo aan te tonen dat dat kon – nadat de minister openbaar had gezegd dat dit écht niet mogelijk was binnen de geldende procedures. Valsheid in geschrifte, maar hier strikt noodzakelijk.

In een zaak over een ‘gat’ in het bancaire systeem van automatische incasso werd de journalist juist veroordeeld. Die wilde aantonen dat je eenvoudig geld kon incasseren via dat systeem zonder enige controle, maar daarbij had hij € 739.435,80 geïncasseerd van allerlei mensen. Had 1 euro bij een collega afgeboekt, dan had je het punt ook gemaakt.

In de Nieuwe Revu-zaak kraakte men de privémailbox van de staatssecretaris van Defensie. Dat mocht, maar vervolgens gaan snuffelen in die mailbox mocht niet. De reden is simpel: er was (enige) nieuwswaarde over de veiligheid van zo’n mailbox, maar geen enkele aanleiding om te zoeken naar specifieke berichten.

Sindsdien heb ik voor mezelf de vuistregel dat je strafbare feiten mag plegen om een misstand te verifiëren. Je moet al weten dat er iets mis is, en het bewijs daarvan is dan alleen te krijgen met het strafbare feit. En dat pleeg je dan zónder schade aan derden en met zo klein mogelijke impact. En je artikel wordt géén praktische handleiding over hoe dat feit te plegen.

Hier was dus de vraag “zit de dronebeveiliging wel goed bij Zaventem”. Is dan “we laten een drone vliegen en kijken of we gepakt worden (want we dragen ook bivakmutsen)” een logische reactie? Enerzijds: het is ernstig, want het speelt in op sentimenten van hybride Russische oorlogshandelingen. Anderzijds: er is net allerlei detectiespul ingezet en daarna meldde niemand meer drones. Mijn advies zou dan zijn: doe eens niet.

Arnoud