Internetrecht door Arnoud Engelfriet

Een lezer vroeg me:

In Australië is sinds vorig jaar een wet van kracht die techleveranciers verplicht om backdoors in te bouwen in hun software als die end-to-end encryptie toepast. Hoe zit dat in Nederland, geldt die plicht bij ons ook zo?

Eind vorig jaar is in Australië inderdaad een wet aangenomen, de Assistance and Access Bill 2018. Deze geeft opsporingsdiensten de macht om bij technologieleveranciers te eisen dat deze decryptiesleutels afgeven, maar ook om een backdoor in te bouwen zodat men stiekem mee kan lezen.

Met name hoe snel en sneaky die wet is doorgevoerd, gaf veel reuring. Maar ook het principe natuurlijk dat je backdoors in moet bouwen, dat is een uniek precedent in de securitywereld. Want nee, in Nederland (of Europa, of de VS) bestaat niet zo’n zelfde wet.

Alle Westerse landen hebben regelgeving dat een dienstverlener die toegang heeft tot berichten van een klant, die af moet geven onder zekere voorwaarden. In Nederland is de grens relatief hoog: als het “belang van het onderzoek dit vordert” bij een ernstig misdrijf (art. 126m Strafrecht) moet een communicatie-aanbieder de decryptie ongedaan maken van berichten die via hem lopen.

Er is echter in Nederland – noch in Europa, noch in de VS – een plicht om encryptie zo te bouwen dát je kunt decrypten. Ja, als je een telecomdienstverlener bent dan moet je netwerk aftapbaar zijn (art. 13.1 Telecommunicatiewet) maar internetdiensten zijn per definitie geen telecomdiensten.

Leveranciers van telecomproducten of internetcommunicatieproducten (waaronder software) hebben op dit moment geen plicht om backdoors in te bouwen. Ik weet in Europa niet van enig plan om dergelijke functionaliteit verplicht te gaan stellen, maar je weet natuurlijk nooit.

Arnoud

Een lezer vroeg me:

Verschillende steden in de VS zijn met ransomware besmet geraakt omdat personeel een besmette e-mailbijlage opende. Nu heeft één van deze steden een it-medewerker ontslagen. Zou dat in Nederland kunnen, iemand ontslaan omdat zijn gedrag tot een infectie leidde, bijvoorbeeld omdat hij een bijlage opende of een update niet installeerde?

Het lijkt me uitermate onwaarschijnlijk dat in Nederland iemand wordt ontslagen enkel vanwege het feit dat door zijn handelen een ransomware-infectie uitbrak.

Natuurlijk is het bepaald slordig als je als werknemer een besmette e-mailbijlage opent, zeker als je op de it-afdeling werkt en dus (zo mag je vermoeden) enige kennis over it, beveiliging en risico’s hebt. Maar slordig je werk doen of onoplettend bezig zijn onder werktijd is simpelweg niet genoeg om tot ontslag over te mogen gaan. Of iets preciezer gezegd: één geval van disfunctioneren is geen reden voor ontslag.

Een disfunctionerende medewerker kun je in Nederland pas ontslaan als je het nodige hebt gedaan (https://www.arbeidsrechter.nl/disfunctioneren-van-de-werknemer-transitievergoeding-schorsing-ontbindingsprocedure) om verandering te brengen in het functioneren van de medewerker. De werkgever moet de medewerker daarbij expliciet informeren over wat er misgaat en hoe dat beter kan, en heeft een zorgplicht dat de werknemer dit ook werkelijk beter gaat doen. Bij it-gerelateerd disfunctioneren moet de medewerker dus op cursus, even kort door de bocht. En pas als hij daarna hardnekkig domme dingen blijft doen, kun je aan ontslag denken.

Ook helpt het behoorlijk bij een ontslagaanvraag om duidelijke regels gesteld te hebben, die dan zijn overtreden ondanks de training en awareness daarover die je als werkgever eraan hebt gegeven. (Enkel dus iets in een reglement zetten of via de mail mededelen is juridisch dus betekenisloos.)

Dan heb je ook nog de ontslag op staande voet, maar bij security incidenten moet iemand het dan wel héél bont hebben gemaakt wil je daartoe over kunnen gaan. Enkel een besmette bijlage openen -ook al ben je de security officer- zou ik als te weinig zien om dit paardenmiddel in te kunnen zetten. Al is het maar omdat een groot deel van de schade bij het bedrijf dan ook komt door gebrekkige beveiliging en backups, en ik het gevoel zou hebben dat het ontslag meer een vorm van afreageren is dan een daadwerkelijke proportionele respons op verwijtbaar handelen.

Arnoud

Een lezer vroeg me:

Stel dat je als partij wordt aangevallen door een botnet dat is geactiveerd vanuit allerlei IoT-systemen. En stel dat ik een aantal van die systemen kan herleiden tot hun Nederlandse eigenaren, laten we zeggen professionele partijen (bedrijven). Kun je dan die eigenaren aansprakelijk stellen voor je schade?

Wanneer je in Nederland schade lijdt door iemands onrechtmatig handelen, dan kun je dat inderdaad verhalen. Het uitvoeren van een denial-of-service aanval (wat ik maar even als invulling van die aanval kies, een computervredebreuk met datavernieling kan natuurlijk ook) is onrechtmatig want strafbaar, dus de dader(s) van zo’n aanval kun je aansprakelijk stellen.

Meestal is het grootste probleem dat je die aanvallers niet kunt achterhalen, maar bij een botnet dat bestaat uit gehackte IoT-apparaten (lees: nalatig slecht ontworpen en geupdatete kastjes) kan dat inderdaad wel eens anders komen te liggen. Daar wordt nul moeite gedaan de afkomst te verhullen, en als de IP-adressen van die apparaten ook nog eens tot bedrijven te herleiden zijn dan heb je inderdaad vrij snel het adres voor een civielrechtelijke dagvaarding.

Het probleem hier is denk ik lastiger: in hoeverre kun je deze IoT-eigenaren juridisch een verwijt maken? Oftewel hebben zij wel onrechtmatig gehandeld? Zij hebben niet zelf de aanval geïnitieerd of gecoördineerd, dat was de botnet-herder immers. Op eerste gezicht zijn ze dan als willoos werktuig (prachtige juridische term) aan te merken, en daarmee niet aansprakelijk.

Als je de strafwet erbij pakt, dan is er wellicht nog een haakje: artikel 350b Strafrecht verklaart het strafbaar als het jouw schuld is dat een aanval zorgt voor schade (zoals ontoegankelijk zijn van een dienst of gewist worden van gegevens) bij een slachtoffer. Schuld is hier een trapje lager dan opzet (dat staat in 350a), dus kan ook mensen treffen die geen aanval wilden uitvoeren maar dat toch verweten kan worden.

De analyse of sprake is van schuld is juridisch een heel verhaal maar kort door de bocht komt het er voor mij op neer dat ze hun gedrag eigenlijk gewoon hadden moeten aanpassen. Hoe kon je dat nou laten gebeuren, had nou even nagedacht.

Persoonlijk ben ik van mening dat als je als bedrijf zogenaamde smart spullen in gebruik neemt, je moet zorgen voor een goede beveiliging daarvan. Anno 2019 moet iedereen (zakelijk dan) weten dat die apparaten zo lek als een mandje zijn, dus daar moet je dan maatregelen tegen nemen. Doe je dat niet, dan ben je nalatig en wat mij betreft aansprakelijk voor schade. Daar staat tegenover dat je door de leveranciers snel omver geblazen wordt met mooie taal dat die apparaten veilig zijn, en het is vaak gewoon lastig na te gaan óf je apparaten veilig zijn, de laatste firmware hebben et cetera.

Als laatste kanttekening geldt wel dat je als zo’n schuldige alleen aansprakelijk bent voor de schade van jóuw bijdrage, niet voor de gehele schade die al die kastjes samen hebben aangericht. Dat zal bij een gemiddelde aanval nog eens best beperkt zijn, als je überhaupt al een getal kunt plakken op de precieze bijdrage van dat ene kastje van die ene strandtent met gehackte surfweercam of die smart koelkast van die hippe startup.

Arnoud

De Rijksdienst voor Identiteitsgegevens heeft een nieuwe versie van de KopieID-app gelanceerd die het eenvoudiger voor gebruikers moet maken om een kopie van hun identiteitsdocument te maken. Dat meldde Security.nl vorige week. Er zijn de nodige verbeteringen doorgevoerd; zo is het et doorstrepen nu eenvoudiger gemaakt en is het watermerk beter leesbaar. Ook kan de… Lees verder

Een lezer vroeg me: Ik kom nog geregeld bedrijven en verenigingen tegen die wachtwoorden van maximaal 12 karakters accepteren. Als je ze hierop aanspreekt zeggen ze dat dit voldoende is of het later zal worden aangepast. Maar de AVG verplicht dat er “passende technische én organisatorische maatregelen” worden genomen om een adequaat beveiligingsniveau te waarborgen…. Lees verder

Een lezer vroeg me: Op het forum van Security.nl las ik de vraag over een werkgever die in mailboxen van personeel zit en van daaruit ook in hun naam mail verstuurt. Mag dat zomaar? Er is natuurlijk geen wet die letterlijk dit verbiedt. Dit is iets waar je vanuit de norm van goed werkgeverschap samen… Lees verder

“Zet nooit, maar dan ook helemaal nooit, je boardingpass op Twitter @peterverhaar. En roep al helemaal niet mensen op om het te doen.” Aldus techjournalist Daniel Verlaan op Twitter vorige week. Aanleiding was een actie van bankier Verhaar tegen de ‘klimaatterroristen’ waarbij je door een Tweet met je boardingpass laat zien dat je tegen klimaatverandering… Lees verder

De politie heeft in een onderzoek naar een phishingbende de iPhone van een verdachte onder dwang via zijn duim mogen ontgrendelen, las ik bij Security.nl. In drie vonnissen besliste de rechtbank Noord-Holland dat deze opsporingstechniek legitiem is, ook nu er geen specifieke wettelijke regeling is. Dat bevestigt de eerdere lijn uit februari waarin ook de… Lees verder

In december werd een man veroordeeld voor het voorhanden hebben en verspreiden van Blackshades software. De rechtbank merkte dit aan als medeplichtigheid tot computervredebreuk, omdat deze software gebruikt kan worden om een inbraak in andermans computer te vergemakkelijken. Wat diverse lezers ertoe bracht om me te vragen, hoezo is het strafbaar om die software te… Lees verder

De afgelopen jaren hebben bedrijven en particulieren meer dan 200.000 beveiligingscamera’s in een database van de politie laten registreren, las ik bij Security.nl. Het gaat om de database “Camera in Beeld”, die informatie over beveiligingscamera’s in Nederland bevat. Het register stelt de politie in staat om snel camerabeelden te vorderen van strafbare feiten en andere… Lees verder