E-mail, chat en cloudopslag beschermd in Grondwet

terlouw-briefgeheim.jpgHet kabinet komt met een voorstel om het grondwettelijk beschermde brief- telefoon- en telegraafgeheim uit te breiden naar recente communicatievormen, las ik bij Webwereld. De Grondwet zal worden aangepast: artikel 13 gaat een “brief- en telecommunicatiegeheim” bevatten, zodat ook online communicatie gedekt wordt. Vanaf gisteren is er een internetconsultatie opengesteld, waar ook het voorstel te vinden is.

Het idee van een grondwettelijk vastgelegd communicatiegeheim is op zich niet nieuw. Al sinds de jaren negentig wordt met dit onderwerp gestoeid, nadat was geconcludeerd dat de oude frase “brief-, telefoon- en telegraafgeheim” het internet niet dekte.

Met deze voorgestelde wijziging wordt “brief en telecommunicatie” beschermd tegen meelezen door derden – zowel private partijen als de overheid. En “telecommunicatie” is breed: e-mail, SMS, Facebookbericht, forumprivéberichtje, direct message via Twitter, gegevens in de cloud, Skypegesprekken, een private chat met een klein groepje, alles eigenlijk zolang het maar communicatie op afstand met één of meer specifieke partijen betreft. Een Youtube-video of een uitzending op Programmagemist.nl is géén beschermde telecommunicatie.

Aftappen of kennisnemen van inhoud van telecommunicatie mag alléén nog met machtiging van de rechter. Of nou ja, niet helemaal, want bij zaken die de nationale veiligheid raken mag de minister een machtiging geven aan de betreffende opsporings- of veiligheidsdienst. (Die regeling kennen we al bij brieven, op zich niet nieuw dus.) Wel moet het gaan om privécommunicatie, dus andermans Twitterberichten mag je gewoon blijven lezen, die zijn openbaar tenslotte.

Verkeersgegevens (wie mailt met wie, wanneer kreeg X een SMS) vallen hier niet onder. Deze kunnen dus gemakkelijker worden opgevraagd of ingezien door Justitie. Onder de huidige wet mag bijvoorbeeld iedere politieagent zonder gerechtelijke toetsing naam en adres opvragen van de gebruiker van een IP-adres. Dit blijft zo.

Nu is het in het Wetboek van Strafvordering al redelijk uitgebreid geregeld dat Justitie niet zomaar mailboxen mag opeisen of datacommunicatie mag laten tappen. Heel veel verschil zal dit dan ook niet gaan maken in de strafrechtelijke verhouding, behalve misschien dat we nu al te bijdehante agenten (“ach mag ik even een kopietje mailbox? ik vraag het vriendelijk, werk nou even mee”) gewoon kunnen zeggen “lees de Grondwet”.

Wél heel nieuw is dat op grond van dit telecomgeheim ook private partijen niet zomaar in privécommunicatie mogen kijken. Facebook mag dus niet mijn privéberichten bekijken, en Gmail niet zomaar de mailtjes die ik daar bewaar. Net zoals de postbode mijn brieven niet mag openmaken en KPN niet mee mag luisteren met mijn telefoongesprekken. Hiervoor zal toestemming van de abonnee/klant/gebruiker nodig zijn.

De Grondwetswijziging gaat niet zo ver dat meteen wordt geregeld hoe die toestemming kan worden verkregen en of/wanneer deze mag worden geweigerd. Wat er dus gaat gebeuren zodra dit Grondwet wordt, is dat iedereen in de algemene voorwaarden zet “U geeft ons toestemming uw telecommunicatie te lezen”. Dat is legaal, totdat men besluit lid 3 van het nieuwe Grondwetsartikel in te zetten: daarmee kan een aparte wet worden gemaakt om hier specifiekere regels te stellen.

Ik vraag me heel erg af hoe zo’n regeling eruit moet gaan zien.

Oh, en nog een leuke: ook spam en malwarebijagen vallen onder het telecomgeheim straks. Dat is immers gerichte communicatie per e-mail, dus daar mag een provider niet zomaar in gaan kijken. Ook hier zal dus expliciete toestemming nodig zijn (wat trouwens ook al soort van zo geldt vanwege de netneutraliteitswet).

Arnoud<br/> Afbeelding: Briefgeheim van Jan Terlouw, omdat het gaat om geheime informatie die versleuteld is, net zoals hoe je telecommunicatie geheim houdt.

25 reacties

  1. Oh, en nog een leuke: ook spam en malwarebijlagen vallen onder het telecomgeheim straks.

    Bij de normale post mogen ze toch ook controleren of jij geen gevaarlijke spullen verstuurd, zolang ze dit doen zonder je brief / pakket te openen. Bijvoorbeeld door er een geigerteller naast te houden. Als je dit naar de digitale wereld doortrekt, zou ik zeggen dat spamfilters die alleen naar de header (adressering op de buitenkant van de brief) kijken wel zouden mogen. Maar dat er wel toestemming nodig is voor als men in de body wil gaan kijken of daar steekwoorden in voorkomen.

  2. Ik durf nog wel verder te gaan ronald #2.

    Men kijkt ook met röntgen in pakketjes of hele vrachtwagens als het moet. Op deze manier wordt ook in de pakketten gekeken.

    Wanneer kun je spreken van “kennis nemen van” of “kijken in”? Is geautomatiseerde analyse van de data om hier een header aan toe te voegen niet toegestaan? Er wordt niets over opgeslagen en niemand “weet” er iets van.

  3. In hoevere zit “beweging” in telecommunicatie? Valt statonaire data, in bv je gmail mailbox, hier wel/niet onder?

    http://nl.wikipedia.org/wiki/Telecommunicatie Telecommunicatie (samenstelling uit het griekse ???? ofwel tèle = ver en het Latijnse communicare = mededelen) is het overbrengen van informatie van de ene plek naar een andere zonder dat iets of iemand zich fysiek daar naartoe verplaatst.

    Houd het op als er overgebracht is?

  4. Ik ben benieuwd welk effect deze zal hebben op niet-Europese diensten en dan vooral die van de grote, Amerikaanse jongens zoals Facebook, Twitter, Google, Microsoft, Yahoo en ga zo maar door. En ook welk effect het zal hebben op de vele hackers die zich dagelijks bezig houden met het kraken van accounts. Als de wetgeving te streng zou worden bestaat er de kans dat bepaalde buitenlandse diensten gewoon niet gebruikt mogen worden omdat bij heb de privvacy niet voldoet aan de hoge, Europese standaard.

    Verder vraag ik mij af in hoeverre het betrekking zal hebben op forum-berichten in een forum waarin alleen bepaalde leden toegang hebben. Bijvoorbeeld een moderator-sectie voor de modder-eters. In ieder geval, secties waarbij de beheerder de gebruiker expliciet toegang verleent.Als een normaal lid of zelfs een niet-lid zich toegang weet te verschaffen tot die sectie, dan is dat waarschijnlijk ook strafbaar. Immers, het gaat dan om prive-communicatie tussen een klein aantal bezoekers.

  5. @Richard, klopt. Maar deze wet kan de hacker ook nog eens op een andere manier laten veroordelen. De bewijslast is anders dus als een verdachte niet wegens computervredebreuk aangeklaagd kan worden omdat de beveiliging niet deugde dan zou deze wet van toepassing kunnen zijn. Verdachte weet immers dat hij normaal geen toestemming zou hebben en toch leest hij de berichten…

  6. Artikel 120 Gw houdt in dat de rechter een wet (uit het wetboek) niet mag toetsen aan de Grondwet. Als er dus bv. in het wetboek van strafrecht staat dat een officier van justitie bepaalde telecommunicatie mag inzien zónder gerechtelijke toets, dan mag de rechter niet zeggen “in strijd met het telecomgeheim dus onrechtmatige inzage” want dan overtreedt hij artikel 120.

    Wél mag de rechter lagere wetgeving en andere regels toetsen aan de Grondwet. Stel een gemeente heeft in de APV staan dat de burgemeester bij vrees voor rellen alle mobieletelefonietorens mag tapen dan is die APV ongeldig want strijd met de Grondwet. En ook de algemene voorwaarden van Hyves zijn te toetsen aan de Grondwet. De APV en die voorwaarden zijn geen “wet” zoals bedoeld in artikel 120.

  7. @14 en @15: In Nederland is het idee altijd geweest dat de wetgever toch heus geen wetten gaat maken die in strijd met de Grondwet zijn. En mochten ze dat per abuis toch een keer bedenken, dan zal de Raad van State in het wetgevingstraject daar over piepen. Dus het is ondenkbaar dat er een wet zou komen die tegen de Grondwet is. En ja, dit is “onze gebruikers produceren geen ongeldige input”.

    Het argument voor artikel 120 is dan dat je niet moet willen dat 2 rechters ongeldig verklaren wat 76 volksvertegenwoordigers en 51 senatoren hebben goedgekeurd. Vandaar het verbod.

    Het is in zoverre een wassen neus dat je wél mag toetsen als rechter aan verdragen. Dus een wet die bepaalde uitingen verbiedt, mag niet worden getoetst aan de uitingsvrijheid in de Grondwet maar wel aan artikel 10 Europees Verdrag van de Rechten van de Mens.

    Er ligt al een tijd een wetsvoorstel om de Grondwet op dit punt te wijzigen zodat toetsing aan bepaalde artikelen wél kan. Kennelijk is het nu wachten tot de Tweede Kamer een 2/3e meerderheid heeft die voor is.

  8. Als je een gelaagd netwerk-protocol hebt met routing op meerdere lagen, op welke laag wordt dan geëvalueerd wie de verzender en ontvanger zijn?

    Bijvoorbeeld: ik verstuur een e-mail via GMail naar een kennis, met als vraag om de bijlage door te sturen naar iemand anders (van wie ik bijv. het email-adres niet heb).

    Fysieke laag: ontvanger = mijn internet-provider IP-laag: ontvanger = GMail email-laag: ontvanger = de “tussenpersoon” bijlage-laag: ontvanger = de “eind-ontvanger”

    Ik neem aan dat elk van deze ontvangers de “headers” mag lezen() van de laag/lagen waarin hij zelf de ontvanger is, en dan de “body” ongelezen() moet doorsturen. Welke gegevens mag de overheid dan bij wie opvragen, en mag de overheid partijen dwingen om die gegevens op te slaan zodat ze later door de overheid opgevraagd kunnen worden? Klopt het dat de overheid gegevens van IP-verkeer mag opvragen bij mijn provider, gegevens van e-mail verkeer bij GMail, en aan de “tussenpersoon” mag eisen om te verklaren of er nog een hogere communicatielaag is, en zo ja, naar wie?

    Tot slot: ik denk dat privacy alleen effectief verkregen kan worden d.m.v. “zelf-verdediging”, bijv. met encryptie. Wetten, contracten en beloftes om niet af te luisteren zijn mooi, maar het valt moeilijk te controleren of ze goed worden nageleefd. Het recht op encryptie is een belangrijk recht, dat bijvoorbeeld geschonden wordt als mensen gedwongen worden om passphrases of andere sleutels af te staan. Ik denk dat er nog aardig wat digitale grondrechten missen in de grondwet, maar het recht om niet afgeluisterd te worden is niet de belangrijkste. Aan de andere kant getuigt het toevoegen van dit recht wel van een goede mentaliteit.

    (*) Filosofische vraag: wat is lezen? Valt geautomatiseerd analyseren hieronder? En het opslaan van een kopie voor een periode langer dan nodig is voor de normale verwerking?

  9. @Corné: Leuke invalshoek.

    Mijn interpretatie is dat dit artikel uit de grondwet zich richt op Nederlandse burgers*. Dat wil zeggen dat dit communicatie betreft waarvan minimaal één van de ontvangers Nederlands burger is.

    Uit communicatie op een bepaalde protocollaag valt alle communicatie op hoger gelegen protocollagen te reconstrueren. Dat wil zeggen dat ook als iemand de stroompjes op de koperen telefoonlijn waar jouw ADSL lijn over loopt opslaat, diegene jouw e-mails kan lezen. De metafoor van een gesloten envelop zoals een postbode die transporteert gaat niet op, behalve als je encryptie inzet. In dat geval draait het totaal om en is de communicatie alleen leesbaar voor de eindgebruiker en voor de dienst waar de gegevens zijn opgeslagen (als zo’n dienst er is natuurlijk, er kan ook communicatie zijn tussen 2 personen die end-to-end encrypted is). Nu is dat bij zo’n beetje elke webapplicatie die ertoe doet het geval en dat betekent dat het vrijwel zinloos is om informatie te proberen af te luisteren tijdens het transport. De enige mogelijkheid is dus de communicatie op één van de eindpunten vorderen of bemachtigen.

    In jouw voorbeeld is het mij onduidelijk in hoeverre jouw vriend niet de bijlage mag inzien. Technisch gezien is hij namelijk wel de geaddresseerde, in die zin dat er geen formele afspraak is dat hij slechts doorstuurluik is. (De hoogste gedefinieerde protocollaag is SMTP, en het is zijn SMTP adres waarnaar jij stuurt). Wanneer jij van te voren afspreekt ‘ik ga jou een mail sturen en je moet de attachment doorsturen zonder te lezen, goed?’ en jouw vriend bevestigt dat, dan komt er een overeenkomst tussen jullie tot stand en daaraan dient hij zich dan te houden. Maar als je dat niet afspreekt, tja, je kan wel van alles vragen.

    *) uit de internetconsultatie: Artikel 13 Grondwet richt zich op alle burgers in Nederland omdat nagenoeg eenieder dagelijks communiceert met behulp van een communicatiemiddel.

  10. In jouw voorbeeld is het mij onduidelijk in hoeverre jouw vriend niet de bijlage mag inzien. Technisch gezien is hij namelijk wel de geaddresseerde, in die zin dat er geen formele afspraak is dat hij slechts doorstuurluik is. (De hoogste gedefinieerde protocollaag is SMTP, en het is zijn SMTP adres waarnaar jij stuurt). Wanneer jij van te voren afspreekt ‘ik ga jou een mail sturen en je moet de attachment doorsturen zonder te lezen, goed?’ en jouw vriend bevestigt dat, dan komt er een overeenkomst tussen jullie tot stand en daaraan dient hij zich dan te houden. Maar als je dat niet afspreekt, tja, je kan wel van alles vragen.

    Als je het “doorsturen” afspreekt voordat je het bericht verstuurt naar de tussenpersoon, dan is er volgens mij geen verschil met andere routing-protocollen. Het feit dat het protocol door een mens wordt gerealiseerd i.p.v. een computer zou geen verschil moeten zijn. Ik denk dat er alleen een redelijke verwachting gewekt moet zijn dat de inhoud alleen naar de “eind-ontvanger” gestuurd wordt en niet opgeslagen blijft, geanalyseerd wordt of naar anderen gestuurd wordt.

  11. De headers kan je vergelijken met de enveloppe. Deze mag gewoon door de postbode (en door iedereen) bekeken worden om te bepalen waar het naar toe moet en evt te kijken waar het vandaan komt. Volgens mij mag de postbode zelfs iets op de enveloppe plakken/schrijven (bijvoorbeeld bij te weinig postzegels). Dus een header toevoegen moet ook nog kunnen.

    Of je de inhoud van het bericht geautomatiseerd mag scannen op spam is wel twijfelachtig en waarschijnlijk dus niet toegestaan. Dan krijg je dus, net als bij de cookiewet, dat iedereen maar blind toestemming geeft om z’n mail te mogen verwerken…

  12. Dit is niet helemaal juist: “Aftappen of kennisnemen van inhoud van telecommunicatie mag alléén nog met machtiging van de rechter. Of nou ja, niet helemaal, want bij zaken die de nationale veiligheid raken mag de minister een machtiging geven aan de betreffende opsporings- of veiligheidsdienst. (Die regeling kennen we al bij brieven, op zich niet nieuw dus.)” Het is op dit moment al zo dat de betrokken minister toestemming kan geven om telecommunicatie af te tappen door de veiligheidsdiensten (art. 13 lid 2 Gw jo. 25 Wiv), bij brieven is op dit moment enkel de rechter (rechtbank Den Haag) bevoegd om een last te geven (art. 13 lid 1 Gw jo. 23 Wiv). Voor brieven behelst de verandering daarom een grondwettelijke verslechtering, terwijl het voor telefonie en fax, waarbij de wetgever tot nu toe naar eigen inzicht iemand mocht aanwijzen om een machtiging te geven, een verbetering is (al is de rechter nu in de meeste gevallen al bevoegd en is dit daarom meer een grondwettelijke codificering van de bestaande praktijk).

  13. Intrigerend, Arnout. Uit de MvT bij het grondwetsvoorstel haal ik iets anders:

    Hiermee wordt aangesloten bij de huidige systematiek van de bijzondere bevoegdheden van de inlichtingen- en veiligheidsdiensten in de Wet op de inlichten- en veiligheidsdiensten 2002 … voor andere communicatiemiddelen dan de brief, waarvoor nu nog een last van de rechter nodig is.

    Oh wacht, ik heb die komma verkeerd gelezen. Ik dacht dat de bijzin sloeg op de ándere middelen maar hij slaat op de brief waarvoor een last nodig is. De systematiek is dus dat ze de brief gaan behandelen als de andere middelen.

  14. Worden hiermee gerichte Gmail advertenties illegaal?

    Gmail scanned de email body op steekwoorden en toont hiermee relevante advertenties (en bouwt een advertentieprofiel op voor dat account). Is er geen uitzondering gemaakt voor automatisch scannen, bedoeld voor adverteren of Bayesian spam filters?

    Via http://blog.iusmentis.com/2007/12/03/briefgeheim-voor-priveberichten-bij-forums/ (waar expliciet word vermeld dat email en privé berichten niet onder briefgeheim vallen). Straks dus ook niet mogelijk meer om een beheerder de privé berichten te laten kijken, zelfs bij vermoeden van spam?

    Dan de Amerikaanse Patriot Act, DHS Social Awareness programma’s en Echelon. Wat gaat er gebeuren als de Amerikanen vrolijk doorgaan met het inlezen van internetverkeer? Amerikaanse bedrijven hebben zich aan de Nederlandse wet te houden, indien Nederlanders een gratis account openen? Dat gaat dan denk ik snel afgelopen zijn met de Nederlanders op Facebook, Twitter en Google.

    Ik ben voorstander van briefgeheim op email. Maar praktisch gezien ligt de koe al in de beerput. Enige hoop voor deze wetswijziging is als deze beerput open gaat en we de stank mogen ruiken.

  15. Worden hiermee gerichte Gmail advertenties illegaal?

    Gmail scanned de email body op steekwoorden en toont hiermee relevante advertenties (en bouwt een advertentieprofiel op voor dat account). Is er geen uitzondering gemaakt voor automatisch scannen, bedoeld voor adverteren of Bayesian spam filters?

    Via /2007/12/03/briefgeheim-voor-priveberichten-bij-forums/ (waar expliciet word vermeld dat email en privé berichten niet onder briefgeheim vallen). Straks dus ook niet mogelijk meer om een beheerder de privé berichten te laten kijken, zelfs bij vermoeden van spam?

    Dan de Amerikaanse Patriot Act, DHS Social Awareness programma’s en Echelon. Wat gaat er gebeuren als de Amerikanen vrolijk doorgaan met het inlezen van internetverkeer? Amerikaanse bedrijven hebben zich aan de Nederlandse wet te houden, indien Nederlanders een gratis account openen? Dat gaat dan denk ik snel afgelopen zijn met de Nederlanders op Facebook, Twitter en Google.

    Ik ben voorstander van briefgeheim op email. Maar praktisch gezien ligt de koe al in de beerput. Enige hoop voor deze wetswijziging is als deze beerput open gaat en we de stank mogen ruiken.

    Als het hebben van een email adres een eerste levensbehoefte word (als het dit al niet is), en de Staat wil briefgeheim op onze digitale belastingaangiftes, dan moeten ze ons maar een staats-email adres geven: arnoud.engelfriet@digid.nl of arnoud.engelfriet@staatdernederlanden.nl Kan men meteen streng optreden tegen spam en fraude mails.

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.