Gaat Volkswagen Porsche automodellen van de markt halen vanwege de EU cybersecurity regels?

Photo by Pixabay on Pexels

Nieuwe EU-regels voor cyberbeveiliging zorgen ervoor dat autofabrikanten oude modellen mijden, las ik bij Deutsche Welle (DW). Het verhaal duikt op meerdere plekken op: De Volkswagen Up en T6.1, en bij Porsche de Macan, Boxter en Cayman-modellen, worden stopgezet zonder een directe opvolger “vanwege strengere EU-cyberveiligheidseisen”. Hoe zit dat?

Het klopt dat zowel Volkswagen als Porsche modellen niet langer in productie houden, en daarbij cybersecurity als reden citeren:

VW brand chief Thomas Schäfer told dpa [Deutsche Presse-Agentur, AE] the measures were necessary due to the high compliance costs. “Otherwise, we would have to integrate a completely new electronic architecture [in the car model], which would simply be too expensive,” he said.
Dit klinkt natuurlijk een beetje als “we worden met onze populaire auto’s weggepest vanwege rare cybersecurity-regels uit het bureaucratische Brussel waar ze geen verstand hebben van innovatie”, een ondertoon waar ik steeds meer een hekel aan begin te krijgen.

Het grappige is wel dat het niet eens gáát om Europese regels – dus wie aan de Cyber Resilience Act of NIS2 dacht, heeft het mis. Helemaal onderaan het DW artikel wordt het correct genoemd: het is UN R155/R156, de Cyber security and cyber security management system definitie van de UNECE. Die regels zijn er al even, maar het is 1 juli 2024 dat problematisch gaat worden:

From July 2022, manufacters in the EU, obtaining approval for new vehicle types, must comply with this Regulation. The obligation will extend to all the new vehicles sold in this territory from July 1st, 2024.

To obtain the cybersecurity certification, manufacturers must show that their models are cyber protected against 70 vulnerabilities. This list of risks to avoid includes potential cyber-attacks during the whole process: development, production, and post-production of the vehicle, so those models that get the certification will be protected throughout their entire life cycle.

De kern is dus dat Volkswagen en Porsche het bij deze modellen sinds 2021 (inwerkingtreding R155) niet waardevol genoeg vonden om te investeren in een adequate cybersecurity, en daarom per 1 juli 2024 moeten stoppen met deze modellen. Dat is ook weer wat kort door de bocht (haha), want in de standaard staat letterlijk:
However, for type approvals prior to 1 July 2024, if the vehicle manufacturer can demonstrate that the vehicle type could not be developed in compliance with the CSMS, then the vehicle manufacturer shall demonstrate that cybersecurity was adequately considered during the development phase of the vehicle type concerned.
Hieruit haal ik dat VW en Porsche met deze oudere modellen alleen hoeven te laten zien dat er adequaat nagedacht is over cybersecurity ten tijde van het ontwerp (2007 voor de Up, 2014 voor Porsche). Mogelijk dat zaken als die sleutelhack uit 2016 hierin meewogen.

Arnoud

 

 

 

 

Wanneer mag ik als ethisch hacker een kwetsbaarheid openbaar maken?

Photo by Austin Chan on Unsplash

Een lezer vroeg me:

Het gebeurt wel eens dat je als ethical hacker een kwetsbaarheid van dusdanige aard ontdekt dat het ernstige maatschappelijke gevolgen zou kunnen hebben als er misbruik van gemaakt wordt. Als ethisch hacker heb ik in principe een geheimhoudingsplicht, en dat wringt hier behoorlijk. Zijn er uitzonderingen waarin dat wel zou mogen of misschien zelfs zou moeten?

Er zijn vele definities van “ethisch hacker”. Een mooie neutrale is die van Wikipedia: een hacker die fouten wil opsporen, om ze vervolgens te melden aan de betreffende, ‘gehackte’ bedrijven of instanties. Die kunnen deze dan herstellen.

Het ethische hieraan is met name dat je zo’n melding in vertrouwen doet, en er geen misbruik van maakt of deze voor eigen gewin exploiteert. Je motivatie is dat het bedrijf het oplost, meer niet.

Een al heel lang bekend probleem bij het melden van fouten of gaten in de beveiliging is dat je melding wordt genegeerd of onder het tapijt wordt geveegd. De oplossing staat bekend als responsible disclosure. Je geeft de organisatie een redelijke termijn om het op te lossen, maar je bent vrij om daarna te publiceren.

Dit werkt echter niet als je een afspraak hebt met de organisatie over geheimhouding. Dat kan zijn omdat je via een betaalde opdracht (zoals een pentest) werd ingehuurd, of omdat je meedeed aan een bug bounty. Als je de bijbehorende voorwaarden accepteert en daar staat geheimhouding in, dan gaat die afspraak boven de normale regels.

Alleen in zéér uitzonderlijke situaties kun je zo’n afspraak doorbreken. Je komt dan op het niveau van noodweer, je kunt als mens in deze maatschappij écht niet anders dan je afspraak tot geheimhouding schenden om dit aan de kaak te stellen. Er is in Nederland geen algemene regel dat je geheimhouding mag negeren als je in een klokkenluidersituatie zit als leverancier.

(Je kúnt natuurlijk een anonieme tip aan het NCSC doen en uitleggen dat je contractueel klem zit, maar of de tip dan opgepakt wordt, weet ik niet. Bovendien is het dan nog steeds jouw probleem als uitkomt dat jij de melding deed.)

Arnoud

 

Advocaten opgelet: verzenden ‘beschadigd document’ voor risico van advocaat

Photo by selline on Pixabay

Het risico dat een digitaal bij de rechtbank ingediend document niet geopend kan worden, ligt bij de verzender, aldus de Hoge Raad. Dat las ik op de blog van Ekelmans Advocaten (via). Wie dit niet wil lopen zal “ouderwets een koerier moeten sturen”. Er klopt iets niet helemaal als een ict-storing leidt tot inschakeling van een fysiek alternatief.

Wie wil procederen, heeft sinds een paar jaar de optie om alles digitaal te doen. Niet via e-mail, maar met het speciaal ontworpen systeem van Veilig Mailen, afkomstig van leverancier Zivver. (De fax is in 2022 afgeschaft.) Er zijn ook alternatieven, maar VM is het bekendste hulpmiddel.

In deze zaak stuurde een advocaat een beroepschrift via Veilig Mailen en wel op de dag voor het verlopen van de termijn van hoger beroep. Of nou ja, dat zeg ik nou wel, maar was het wel een beroepschrift? Het openen van de pdf gaf namelijk de Adobe-foutmelding “Er is een fout opgetreden tijdens het openen van dit document. Het bestand is beschadigd en kan niet worden gerepareerd.” Een papieren beroepschrift arriveerde pas een kleine twee weken later.

Een best wel kritieke storing dus. Niet tijdig ingediend is geen hoger beroep. En de inhoud is niet te controleren, dus we weten niet wat er is ingediend in die bijlage.

Een kopie van het bestand was naar de advocaat van de wederpartij gegaan, en ook die had het niet kunnen openen. Dat wijst er inderdaad op dat het een fout was in het document zelf.

In het zakelijk verkeer stuur je afzenders een mailtje “je bijlage is kapot” als je zo’n foutmelding ziet. Die kan het dan nogmaals sturen. Bij de rechtspraak zit men er iets formeler in:

Resteert de vraag of de hiervoor onder 5.1 tot en met 5.4 geschetste gang van zaken het hof aanleiding had moeten geven tot het bieden van een herstelmogelijkheid, al dan niet met het geven van een (extra) termijn. Het hof beantwoordt die vraag ontkennend. Het mailen – één dag voor het verstrijken van de beroepstermijn – van een beschadigd, niet te openen, bestand dient voor risico te blijven van appellant. Daarbij komt dat de advocaat van de man op 18 oktober 2022 ’s ochtends door de wederpartij erop is geattendeerd dat de desbetreffende bijlage niet kon worden geopend.
Als jij op de laatste dag dingen mailt en er gaat wat mis, is dat geheel en al jouw risico. De rechtspraak hoeft je niet die dag nog te berichten dat de bijlage niet te lezen is, laat staan dat ze de termijn voor je moeten verlengen zodat je het stuk alsnog kunt indienen.

Er wordt nog wat gegoocheld met bestandsgroottes:

De door [de advocaat] overgelegde screenshot toont immers een gezamenlijke bestandsgrootte van 155,5 Kb (hoger beroepschrift en V-formulier). De daaruit voortvloeiende omvang van het hoger beroepschrift valt niet te rijmen met de vaststelling van het hof dat bij scannen door het hof het ‘kale’ beroepschrift – dus zonder de bijlagen – een bestandsgrootte van 336 Kb heeft, en evenmin met een bestandsgrootte van 142 Kb zoals die blijkt uit de door [de advocaat] overgelegde screenshot van de Adobe Acrobat bestanden op haar computer.
Voor mij is het onlogisch dat een save-as-pdf qua omvang hetzelfde zou zijn als een scan-to-pdf van een stuk papier. En omdat de pdf kennelijk kapot is, zou de advocaat het ook niet hebben gered met een nieuwe save-as-pdf: die zou meer data hebben omdat die niet corrupt is.

Ik vraag me af hoe je wél aantoont dat een bestand met omvang X een corrupte versie is van een bestand met omvang Y.

De ietwat irritante maar onvermijdelijke conclusie is dan ook zoals advocate Van der Keur schrijft:

 telefonisch nagaan bij het gerecht of het processtuk kan worden geopend. En anders zal hij toch ouderwets een koerier moeten sturen.
Ergens voelt het scheef dat de Rechtspraak niet bereid is om bij (niet vaak voorkomende) problemen even te bellen, maar wel bij íeder ontvangen stuk wil aangeven dat het goed is aangekomen.

Arnoud

 

 

Is tijdelijke onbeschikbaarheid van persoonsgegevens ook een datalek?

Photo by OpenClipart-Vectors on Pixabay

Een lezer vroeg me:

Onder de AVG is een datalek (volgens mij) ook als data onbeschikbaar is voor geautoriseerde gebruikers. Mijn bedrijf slaat persoonsgegevens op die klanten zelf uploaden en biedt tools voor het bewerken daarvan. Als ik door een storing deze tijdelijk niet beschikbaar heb, is dat dan een datalek en is het meldplichtig?
Het lijkt me goed om even terug te vallen op de definitie van wat een “datalek” precies is. De AVG noemt het een “inbreuk in verband met persoonsgegevens” (artikel 4 lid 12):
een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens;
Er moet dus sprake zijn van een inbreuk (schending) op de beveiliging. Die moet leiden tot vernietiging, verlies, wijziging of verstrekking van persoonsgegevens. En dat moet op onrechtmatige wijze of per ongeluk gebeuren.

De EDPB (de verzamelde AVG-toezichthouders) heeft in een advies in 2022 duidelijk gemaakt wanneer ook onbeschikbaarheid een datalek kan zijn:

Therefore, a security incident resulting in personal data being made unavailable for a period of time is also a type of breach, as the lack of access to the data can have a significant impact on the rights and freedoms of natural persons. To be clear, where personal data is unavailable due to planned system maintenance being carried out this is not a ‘breach of security’ as defined in Article 4(12) GDPR.
Kern is dus ook hier dat sprake is van een beveiligingsincident. Dat kan een simpele storing zijn (een ongeplande reboot) tot een regelrechte ramp (je hele netwerk zit vol malware, alles moet weken offline tot je vanaf veilige backups kon herstellen).

Hoofdregel is dat ieder datalek moet worden gemeld. Ja, dus ook je ongeplande reboot waardoor 3 minuten lang niemand kon inloggen. Maar gelukkig is er een uitzondering: “tenzij het niet waarschijnlijk is dat de inbreuk in verband met persoonsgegevens een risico inhoudt voor de rechten en vrijheden van natuurlijke personen.” Die drie minuten downtime gaan (meestal) heus geen problemen geven, dus dan hoef je dat niet te melden.

Drie weken offline vanwege malware is wél meldingsplichtig, lijkt me. Al die tijd niet met je data kunnen werken kan wel degelijk problemen geven. Uiteraard is het afhankelijk van het systeem: het medischdossierbeheersysteem van een ziekenhuis zal eerder weer online moeten komen dan de backend van een personal fitness app en die weer eerder dan een datumpriktool.

Arnoud

 

Er zit een backdoor in mijn NAS, mag ik mijn geld terug?

Bron: D-Link DNS-340L ShareCenter + 4-Bay Cloud Network Storage Enclosure Reviewed

Een lezer vroeg me:

Ik zit met het volgende. Ik heb dus een D-Link NAS waar een backdoor account in aanwezig is. Nu begrijp ik heel goed dat software en andere producten beveiligingslekken bevatten. Maar een backdoor account voeg je als fabrikant toch echt zelf toe. Kan ik een partij als D-Link (en genoeg anderen helaas) hier aansprakelijk voor houden? Het liefst wil ik gewoon mijn geld terug of een product zonder backdoor.
Hier werd inderdaad recent voor gewaarschuwd: “Het betreft een command injection-kwetsbaarheid en het gebruik van hardcoded credentials, of een ‘backdoor account’ zoals D-Link het noemt. Via de kwetsbaarheden kan een aanvaller zonder authenticatie willekeurige commando’s op het NAS-systeem uitvoeren, wat kan leiden tot toegang tot gevoelige informatie, het aanpassen van de systeemconfiguratie of een denial of service.”

De hardcoded credentials ware geen bewuste feature, maar een slordigheid: hierachter zit een typische Unix-constructie die alleen niet goed is geïmplementeerd. Maar uiteindelijk doet het er niet toe of het opzet, roekeloosheid, onoplettendheid of iets anders was. Die backdoor zit er, het product is daardoor niet veilig, wat kun je daarmee als consument?

Het simpele antwoord is natuurlijk: je mag van een product verwachten dat dit aan de redelijke verwachtingen voldoet. Dat wil niet zeggen dat het altijd 100% foutloos en backdoorloos is, je moet kijken hoe het product wordt gemarket, hoe eenvoudig de fout te exploiteren is en in hoeverre D-Link dit had moeten voorzien. Niet elke fout is een conformiteitsgebrek.

Toch denk ik dat je bij een enorme impact zoals hier je wel een goed verhaal hebt dat het product niet voldoet aan de redelijke verwachting. Zó makkelijk binnendringen, dat moet niet kunnen bij zo’n belangrijk product. Maar dit wordt al snel een moeilijke technische discussie, waar je niet makkelijk uitkomt als de wederpartij betaald wordt om het met je oneens te zijn.

In de nabije toekomst zullen we met wetten als de Cyber Resilience Act dit een stuk makkelijker aan kunnen pakken. Die stellen updates en een kwalitatief proces van security verplicht. Er is dan weinig nuance meer als er dan toch een securityfout doorheen glipt.

Als laatste blijf je natuurlijk met het aloude probleem in het consumentenrecht dat de winkel (die jij moet aanspreken en die wettelijk verplicht is jou je geld terug te geven, nu herstel geen optie meer is omdat de NASsen end-of-life zijn) simpelweg weigert dat te doen met meestal een excuus zoals “er zit maar 2 jaar garantie op” of “het lampje gaat aan dus hij is niet stuk”. En daarna komt security jou eruit zetten want stemverheffing triggert Protocol Lastige Klant. Het kan dus een hele toer zijn om je recht te halen als consument, en de vraag is altijd of dat het waard is gezien de prijs van het ding.

Arnoud

Ik blijf erbij, het is fout om iets computervredebreuk te noemen als je er normaal wél mag zijn

Photo by Mohamed_hassan on Pixabay

Een 44-jarige man heeft een lange tijd meerdere keren ingelogd op de systemen van zijn werkgever, terwijl hij daartoe niet bevoegd (meer) was. Dat las ik in een recent vonnis over een onderwerp dat me steeds meer ergert: computervredebreuk roepen terwijl iemand er wel mág zijn alleen niet om die reden. Ik blijf erbij dat dit fout is. (Oh en Outlook is wel een geautomatiseerd werk.)

Even wat achtergrond uit het vonnis:

Verdachte is op 1 juli 2011 in dienst getreden bij het bedrijf [bedrijf benadeelde] B.V. Hij verrichtte werkzaamheden als financieel en juridisch adviseur. Binnen deze organisatie was hij tevens verantwoordelijk voor de ICT-gerelateerde aspecten.
In 2015 werd hij ziek, waarna in juni 2018 de arbeidsovereenkomst werd ontbonden (met bekrachtiging in 2019). Dat ging kennelijk niet geheel vrijwillig, getuige wat ik dan lees:
Verdachte heeft op zitting verklaard dat hij (ook) in de tenlastegelegde periode van 14 mei 2017 tot en met 29 juni 2018 meerdere malen met zijn eigen inloggegevens en met de inloggegevens van de directeur/eigenaar van het bedrijf, [benadeelde] , heeft ingelogd via een webbrowser op de e-mailaccounts van de web-e-maildienst van [bedrijf benadeelde] B.V .. Hij heeft daarbij meerdere keren schermafbeeldingen van e-mails gemaakt. Hij wilde zich verweren in een civiele zaak, waarin hij op grond van artikel 21 van het Wetboek van Burgerlijke Rechtsvordering verplicht was de waarheid te vertellen. Daarvoor moest hij de waarheid achterhalen, aldus verdachte. Hij vond het niet chique, maar ook niet strafbaar wat hij deed.
In die tijd bleek zijn account nog gewoon te werken, inclusief de speciale privileges die hij had vanwege die ICT-taken die hij had. Maar omdat hij ziek was, en het toch ook moeilijk “je werk” genoemd kan worden om bewijs te screenshotten voor een arbeidsgeschil, vindt de rechter dit een vorm van binnendringen met valse sleutel. 

Dit is de discussie die we vaker hebben gehad: je hebt op zich legaal de sleutel/wachtwoord gekregen om ergens in te mogen loggen en dingen te doen. Je doet die dingen, maar met een andere intentie of doel dan waar de verstrekker ze voor gaf. Ik snap dat dat niet mag, en zou dit ook zeker “fout op het werk” of “plichtsverzuim” of “slecht werknemerschap” noemen. Maar computervredebreuk, een ernstig misdrijf waar 4 jaar cel op staat?

Ik blijf hier moeite mee houden. Als een werknemer tegen de instructie in met zijn eigen sleutel ’s avonds naar kantoor gaat en papieren dossiers kopieert, noemen we dat dan inbraak? Voor mij is dat evident onlogisch en blijkt hier weer het “cyber is zo eng” gevoel dat ik helaas nog wel eens bij juristen tegenkom.

De verdediging had nog zeer actueel dat HR-arrest aangedragen, waarin men bepaalde dat “binnendringen in een website” niet strafbaar is omdat een website geen computersysteem is. De rechter schuift dat makkelijk terzijde, want in de tenlastelegging staat

computervredebreuk heeft gepleegd door in te loggen in de web e-mailserver van [bedrijf benadeelde] B.V .;
Dat woordje ‘server’ leest de rechtbank als het fysieke ding waar alles op gebeurt. Door dus in te loggen op de Outlook webinterface, heb je ingebroken op de hardware. En die hardware was (kennelijk, volgens het dossier) eigendom van het bedrijf zodat de discussie over “de website van Wim ten Brink, althans de servers toebehorend aan Pauperhosting BV althans de servers behorende bij Cloudflare Inc” niet relevant is.

Arnoud

 

 

Hostingbedrijf Leaseweb weigert openheid te geven over cyberaanval

Photo by Masaaki Komori on Unsplash

Hostingbedrijf Leaseweb weigert na een cyberaanval openheid van zaken te geven aan de Autoriteit Persoonsgegevens, las ik bij NRC. Dit als vervolg op een datalekmelding augustus vorigjaar, Het Nederlandse Leaseweb deed eind augustus melding van een datalek bij de AP, als gevolg van een cyberaanval. Dat moet, en je moet dan ook openheid geven van de wet. Dus wat is hier aan de hand?

De zaak kwam aan het licht door een vonnis waarin de rechtbank Midden-Nederland de toezichthouder terugfluit: die had een onderzoeksrapport niet bij de externe deskundige moeten vorderen maar bij Leaseweb zelf. Dat is een beetje een zijsprong, dus laten we even terug naar de basis.

Eind augustus meldde Leaseweb bij een aantal klanten geraakt te zijn door een cyberaanval. Zoals Techzine destijds meldde:

Een cyberaanval bij het Nederlandse Leaseweb veroorzaakte een storing in de infrastructuur van het bedrijf. Slechts enkele klanten die gebruikmaken van de cloudhosting-oplossingen van het bedrijf, konden daar last van ondervinden. Om de gevolgen van de aanval zo klein mogelijk te houden, haalde Leaseweb vervolgens kritieke infrastructuur offline.
Voor het daarop volgende onderzoek werkte men “nauw samen met een gerespecteerd cyberbeveiligings- en forensisch bedrijf”. En hoewel er naar eigen zeggen “geen ongeoorloofde activiteiten” waren aangetroffen, deed men toch een melding van een datalek. Bij zo’n melding moet je ook opnemen wat je gaat doen om het probleem op te lossen en eventuele nadelige gevolgen te beperken. Dat was dus onder meer dat onderzoek door cybersecuritybedrijf Northwave.

De AP is als toezichthouder bevoegd om “alle voor de uitvoering van haar taken vereiste informatie” op te vorderen (art. 58 AVG en 5:16 Awb). Onder die bevoegdheid eiste men het volledige rapport, omdat Leaseweb dit niet vrijwillig wilde overleggen. In reactie stuurde Leaseweb nog een bijlage, maar meende toen alles te hebben gestuurd. De AP vermoedde van niet, en dan krijg je dit:

Bij brief van 2 november 2023 stuurt de AP de hostingprovider een rappel en deelt daarin mee dat als de hostingprovider blijft weigeren de gevorderde stukken te verstrekken er rekening mee gehouden dient te worden dat medewerking zal worden afgedwongen met een last onder dwangsom en/of een bezoek van toezichthouders van de AP aan het hoofdkantoor van de hostingprovider. Verder wordt meegedeeld dat het weigeren medewerking te verlenen een strafbare gedraging is waarvoor op zichzelf een boete kan worden opgelegd. De hostingprovider deelt hierop mee dat de brief van 10 oktober 2023 het volledige onderzoeksrapport en executive summary bevat en dat zij met het verstrekken hiervan aan haar medewerkingsverplichting heeft voldaan.
“U heeft niet alles gestuurd.” “Welles!” “Nietes, nu sturen of dwangsom en boete.” “Welles!” En wat moet je dan?

De gedachte van de AP was om dan naar Northwave te gaan. Als die dan meer overleggen dan Leaseweb, dan heb je allereerst dus het complete rapport en ten tweede het bewijs dat Leaseweb te weinig had overlegd.

In principe kan dat: art. 5:20 Awb stelt dat

Een ieder is verplicht aan een toezichthouder binnen de door hem gestelde redelijke termijn alle medewerking te verlenen die deze redelijkerwijs kan vorderen bij de uitoefening van zijn bevoegdheden.
“Iedereen” en “alles”, dus niet “alleen wie mogelijk een wet schendt” en “datgene wat ze zelf relevant vinden”. Dus in theorie kan de AP inderdaad bij een ingeschakeld expertbureau alle stukken vorderen die bij zo’n rapport horen. Maar er zit wel een redelijkerwijstoets, en dat is waar het hier op strandde:
Zo lang niet vaststaat dat de hostingprovider bij een opgelegde last onder dwangsom niet wil meewerken aan de inlichtingenverplichting die zij heeft, vindt de voorzieningenrechter het voor de vervulling van de taak van de AP redelijkerwijs niet noodzakelijk om inlichtingen bij verzoekster te vorderen. Van belang hierbij is dat de AP weet waar het datalek heeft plaatsgevonden en op grond van de mededelingen van de hostingprovider weet heeft van de aanwezigheid van een onderzoeksrapport. De AP staat een ander minder ingrijpend middel ten aanzien van verzoekster ter beschikking, zodat het subsidiariteitsbeginsel zich thans ertegen verzet dat de AP zich met een inlichtingenvordering en een last onder dwangsom wendt tot verzoekster in plaats van tot de hostingprovider.
De AP had dus eerst de dwangsom moeten opleggen en dan kijken of Leaseweb toch met meer informatie kwam. Pas als daar niets was uitgekomen én de geur van informatie achterhouden was blijven bestaan, dan had men zich tot andere partijen mogen wenden.

Wat ik een beetje mis in het verhaal is waaruit de AP concludeerde dat er informatie werd achtergehouden. Is dat het enkele feit dat er een brief van één kantje (met appendix) werd overlegd in plaats van wat traditioneel een “lijvig rapport” heet? De in NRC geciteerde woordvoerder vind ik niet sterk klinken:

„Het is te prijzen dat Leaseweb een melding heeft gedaan in augustus”, vervolgt de woordvoerder. „Maar na zo’n melding vragen we wel eens meer informatie op. Als we dat dan bij herhaling doen, maar geen informatie krijgen, moet een bedrijf niet gek opkijken dat we denken dat er informatie achtergehouden wordt. Het kan zijn dat er iets verborgen wordt, maar dat hoeft natuurlijk niet. Het maakt ons alleen maar nieuwsgieriger.”
Arnoud

 

 

Wacht, beginnen cloudproviders nu ook al commercialisatierechten te claimen?

“Warning: Vultr (a major cloud provider) is now claiming full perpetual commercial rights over all hosted content”, zo las ik op Reddit. Als je dan meeneemt dat Vultr recent aankondigde een sprint richting AI-clouddiensten te maken, dan snap ik wel dat mensen zich daar zorgen over maken. Is het terecht?

Vultr was er snel bij om de grote klanten gerust te stellen: de betreffende zin eindigt met “for purposes of providing the Services to you”, de standaardfrase waarmee men alle rechten in clouddienstland beperkt tot hetgeen nodig is om de gevraagde dienst te leveren. De “lawyers were overzealous” en het enige doel was indekken “incase we wanted to use it for marketing purposes”.

Dat laatste is eigenlijk altijd het excuusargument geweest: stel we maken een screenshot van onze dienst in een folder en jouw site staat er toevallig op, dan willen we geen claims. Want dat gebeurt immers dagelijks, dat je folders maakt zonder uit te zoeken welke site er in komt. (En dat clouddiensten folders maken.) Ik heb daar nooit echt in geloofd.

Helemaal moeilijk te geloven is dit verhaal wanneer je beseft dat alle data met enige structuur of labeling enorm waardevol is tegenwoordig – de grote AI taalmodellen kunnen maar op één manier concurreren en dat is nóg meer data erin om nóg breder te kunnen papegaaien. Dus als een clouddienst met enorm veel klantdata zichzelf in 2024 een onbeperkt “commercialisatie” recht geeft, dan riekt dat naar “wij verkopen de gehele dataset naar de grote LLM-providers”.

Kennelijk is het een storm in een glas water. Maar stel dat ze wél bedoelden “wij mogen een AI trainen op jouw website”. Had dat dan gemogen? In principe wel: het is een grootzakelijke dienst, en daar gelden vrij weinig juridische beschermingsmaatregelen.

De DSA dan? Die bevat inderdaad enige bepalingen over dienstvoorwaarden. Artikel 14 zegt bijvoorbeeld dat je voorwaarden duidelijk alle beperkingen moeten aangeven waarop je handhaaft. En onder artikel 17 moet je specifiek motiveren op welk artikel je je beroept (en waarom dat opgaat) als je ingrijpt bij content van je klanten. Maar dat gaat allemaal niet over auteursrechten. Ook de DMA verbiedt niet het opeisen van (licenties onder) auteursrecht op materiaal van je klanten.

Blijft over de AVG, ondertussen een beetje het duizenddingendoekje in het recht. Er zitten vast persoonsgegevens van Europeanen in al die data, de grondslag voor gebruik omvat niet het [fictieve] hergebruik van Vult, dus dat is noncompliant. De privacyverklaring van Vult gaat in op de AVG en benoemt onder meer

the processing is in our legitimate interests, which are not overridden by your interests and fundamental rights. Our legitimate interests are to use subscriber, Site user, supplier and customer data to conduct and develop our business activities with them and with others while limiting the use of their personal data to purposes that support the conduct and development of our business; or
Deze omschrijving is nogal breed, “develop our business” kun je prima lezen als “we verkopen het aan een papegaaienkweker”. Ik denk niet dat dat bedoeld is, maar uitsluiten op basis van de tekst kun je het niet. We komen dan uiteindelijk toch weer bij die vraag of je een AI mag trainen met persoonsgegevens. Die laat ik voor nu even zitten.

Arnoud

 

Iedereen zei “huh”: Europees Hof: wet vingerafdrukken afstaan paspoort ongeldig, geen gevolgen

Het Europese Hof van Justitie heeft geoordeeld dat de wet dat burgers vingerafdrukken moeten toestaan voor identiteitsbewijzen ongeldig is. Dat las ik bij Tweakers. Toch geldt de wet nog steeds, tot een betere wet eind 2026 ingaat. Dit riep vele vragen op, dus laten we even kijken wat hier nu precies aan de hand was.

In 2019 is een Europese Verordening (2019/1157) aangenomen. Deze betrof “de versterking van de beveiliging van identiteitskaarten van burgers van de Unie en van verblijfsdocumenten”, en bevatte een bepaling over vingerafdrukken (artikel 3 lid 5):

De identiteitskaart bevat een opslagmedium dat aan de hoogste veiligheidseisen voldoet en dat een gezichtsopname en twee vingerafdrukbeelden van de houder van de kaart bevat, in een digitaal formaat.
Iedereen die zo’n kaart kreeg, was verplicht diens vingerafdrukken af te geven (behalve kinderen onder 6 en mensen bij wie dat fysiek onmogelijk was).

In 2021 moest iemand in Duitsland (Wiesbaden) een nieuwe ID-kaart, maar hij wilde echter niet dat de nieuwe kaart zijn vingerafdrukken zou bevatten. De gemeente zag dat anders: in de wet staat dat dat moet, en hij viel niet onder de uitzonderingen.

Daarop stapte de man naar de rechter. Hij had daarbij zowel inhoudelijke als formele argumenten. De inhoudelijke spreken voor zich, maar de formele hebben wat meer uitleg nodig. Er zijn in de EU verschillende routes om tot een bindende wet te komen. Welke route te nemen, hangt af van het onderwerp en het doel van de regeling. Een regel over consumentenrecht gaat via een heel andere route dan een maatregel ter beveiliging van de gemeenschappelijke grenzen, bijvoorbeeld.

Regels over “reisdocumenten” kunnen worden ingevoerd via artikel 21, lid 2 van het Verdrag betreffende de Werking van de EU (VWEU), dat voorschrijft dat de “gewone wetgevingsprocedure” wordt gebruikt. Maar in artikel 77(3) VWEU staan regels over “paspoorten, identiteitskaarten, verblijfsvergunningen en daarmee gelijkgestelde documenten”, maar die mogen alleen ingevoerd worden via “een bijzondere wetgevingsprocedure”.

Bent u daar nog? In gewone taal: niet Parlement en Raad hadden moeten stemmen (en met 50%+1 stem meerderheid aannemen) over deze wet, maar alleen de Raad (en met unanimiteit) na ‘raadplegen’ van het Parlement. Oftewel, verkeerde regel toegepast bij invoering, en ja dat maakt een wet ongeldig.

Het Hof toetst ook inhoudelijk de bezwaren op grond van AVG en bescherming van persoonlijke levenssfeer, maar concludeert dat deze regeling door de beugel kan. Ook de burger heeft er belang bij dat identiteitskaarten moeilijker na te maken zijn, en twee vingerafdrukken er op zetten helpt daarbij. En omdat de wet de hoogste beveiliging eist én hergebruik verbiedt, is het restrisico op misbruik aanvaardbaar.

In deze situatie vindt het Hof het een té zware maatregel om per direct de wet buiten werking te stellen. Dit zou de beveiliging van identiteitskaarten immers weer omlaag halen, en verplichten dat gemeenten zulke kaarten zonder biometrie gaan afgeven, terwijl daar geen inhoudelijke reden (zoals privacyschending) voor is.

En als je dan meeneemt dat er in 2026 sowieso een nieuwe Verordening hierover komt die ook vingerafdrukken eist, dan zou dat allemaal wel heel veel gedoe zijn. Daarom mag deze wet toch van kracht blijven.

Arnoud

 

 

Hoge Raad oordeelt dat website geen geautomatiseerd werk is

Een man uit Tiel die voor het inbreken op de website van een Haagse huisartsenpost was aangeklaagd is in hoger beroep terecht door het gerechtshof Den Haag vrijgesproken, omdat een website geen geautomatiseerd werk is. Dat las ik bij Security.nl vorige week. De Hoge Raad verwierp met dat argument de door het OM ingestelde cassatie tegen dat arrest. En ik erger me er dood aan.

Zoals ik in 2022 blogde bij het arrest:

Na een veroordeling in eerste instantie ging de man in hoger beroep. En daar werd hij vrijgesproken vanwege de semantische discussie dat een website geen “geautomatiseerd werk” is zoals de wet dat bedoelt, namelijk “een inrichting die bestemd is om langs elektronische weg gegevens op te slaan, te verwerken en over te dragen”.
Een website is immers niet meer dan een verzameling software en data, en een “inrichting” is een fysiek ding. Zoals mijn oude prof aan de TU altijd zei: hardware is het deel dat wél pijn doet als het op je voet valt.

Ik meende destijds dat de HR een website wél een inrichting vond, afgaande op een arrest over ddos-aanvallen, waarin men “website” zo las dat “onderliggende serverhardware en netwerkinfrastructuur” er gewoon bij hoorde.

Men ziet het echter anders:

Het hof heeft de vermelding “de website van [A]” opgevat als de aanduiding in de tenlastelegging van het geautomatiseerde werk dat is binnengedrongen of waarvan een gedeelte is binnengedrongen. Daarbij heeft het hof overwogen dat die website als zodanig “feitelijk slechts bestaat uit een samenstel van gegevens, geen fysieke vorm heeft en derhalve het karakter van ‘inrichting’ ontbeert”. Het hof heeft de verdachte vrijgesproken omdat – in cassatie niet bestreden – een dergelijke website op zichzelf niet als een geautomatiseerd werk kan worden aangemerkt.
Op zich niet heel raar, als je constateert dat met “website” wordt bedoeld “alleen de software en data” dan moet de conclusie zijn dat er dus niet gezegd is dat men in de “inrichting” (de hardware) is binnengedrongen.

Blijft over het argument dat je bij “website” in het gewone spraakgebruik de hardware meeleest. Maar dat gaat niet op:

De onder 2.6.1 weergegeven uitleg die het hof heeft gegeven aan de tenlastelegging en het daarin voorkomende begrip “een (gedeelte van) een geautomatiseerd werk”, welk werk bestond uit “de website van [A]” is, mede in het licht van wat onder 2.5 is vooropgesteld en het ontbreken van een concrete aanduiding op welke daar bedoelde inrichting de tenlastelegging ziet, niet onverenigbaar met de bewoordingen van de tenlastelegging en moet in cassatie worden geëerbiedigd.
Het is kennelijk onder juristen nog niet aanvaard dat als je zegt “website” dat je dan bedoelt “oftewel de daar onder liggende servers”. Dat moet je er dus bij zetten (zoals Michael Berndsen destijds betoogde). Alleen deed het Hof Den Haag daar in 2020 ook weer moeilijk over, omdat de server meestal van iemand anders is dan de website:
Dat geldt eveneens ten aanzien van het tweede en derde gedachtestreepje, aangezien de webserver en/of het netwerk en/of de computer(s)(systemen) achter het Facebook-account waarop de verdachte trachtte in te loggen niet toebehoren aan [slachtoffer 2]. Het tweede en het derde gedachtestreepje uit de tenlastelegging kunnen naar het oordeel van het hof daarom evenmin wettig en overtuigend bewezen worden verklaard.
Je komt dan uit bij de constructie “er is ingebroken bij de website van Wim ten Brink, althans de servers toebehorend aan Pauperhosting BV althans de servers behorende bij Cloudflare Inc” en ik heb daar gewoon ontzettend veel moeite mee.

Arnoud