Internetrecht door Arnoud Engelfriet

Een lezer vroeg me:

In Australië is sinds vorig jaar een wet van kracht die techleveranciers verplicht om backdoors in te bouwen in hun software als die end-to-end encryptie toepast. Hoe zit dat in Nederland, geldt die plicht bij ons ook zo?

Eind vorig jaar is in Australië inderdaad een wet aangenomen, de Assistance and Access Bill 2018. Deze geeft opsporingsdiensten de macht om bij technologieleveranciers te eisen dat deze decryptiesleutels afgeven, maar ook om een backdoor in te bouwen zodat men stiekem mee kan lezen.

Met name hoe snel en sneaky die wet is doorgevoerd, gaf veel reuring. Maar ook het principe natuurlijk dat je backdoors in moet bouwen, dat is een uniek precedent in de securitywereld. Want nee, in Nederland (of Europa, of de VS) bestaat niet zo’n zelfde wet.

Alle Westerse landen hebben regelgeving dat een dienstverlener die toegang heeft tot berichten van een klant, die af moet geven onder zekere voorwaarden. In Nederland is de grens relatief hoog: als het “belang van het onderzoek dit vordert” bij een ernstig misdrijf (art. 126m Strafrecht) moet een communicatie-aanbieder de decryptie ongedaan maken van berichten die via hem lopen.

Er is echter in Nederland – noch in Europa, noch in de VS – een plicht om encryptie zo te bouwen dát je kunt decrypten. Ja, als je een telecomdienstverlener bent dan moet je netwerk aftapbaar zijn (art. 13.1 Telecommunicatiewet) maar internetdiensten zijn per definitie geen telecomdiensten.

Leveranciers van telecomproducten of internetcommunicatieproducten (waaronder software) hebben op dit moment geen plicht om backdoors in te bouwen. Ik weet in Europa niet van enig plan om dergelijke functionaliteit verplicht te gaan stellen, maar je weet natuurlijk nooit.

Arnoud

orgverzekeraars maken gebruik van omstreden tracking-software die is verstopt in e-mails aan klanten, zo meldde Radio 1 onlangs. Deze reportage was een vervolg op eerdere berichten dat onderwijsdienst DUO trackers gebruikte om te zien of studenten hun mail wel lazen, zonder dit te melden. Dat zou in strijd zijn met de AVG. DUO is ermee gestopt, de door Reporter Radio onderzochte zorgverzekeraars gaan hun privacyverklaring aanpassen maar lijken niet te stoppen. Wat dus de vraag oproept, mag dat nu wel of niet van de AVG?

Een tracking pixel is een al wat oudere truc om te achterhalen of iemand je mailbericht heeft gelezen, althans opengeklikt. Er zit dan een plaatje van 1 bij 1 pixel in de mail, en je mailprogramma haalt dat plaatje op net zoals andere afbeeldingen. Dat valt jou als lezer niet op want het is maar 1×1 pixel en bovendien wit of transparant. Maar bij het ophalen wordt je IP-adres geregistreerd, en de bestandsnaam is uniek voor jou als ontvanger zodat de afzender kan zien dat deze pixel vanuit jouw mailbericht is opgevraagd. Dat is dan het bewijs dat jij die mail hebt geopend.

In deze context is dat IP-adres een persoonsgegeven, of iets preciezer: die unieke bestandsnaam in combinatie met IP-adres en datum plus tijd van opvraging is het persoonsgegeven “persoon ed@example.com heeft de mail opengeklikt”. En dan is de AVG van toepassing.

Onder de AVG moet je allereerst een grondslag hebben. Dat zal gewoonlijk het eigen gerechtvaardigd belang moeten zijn, want toestemming vraagt geen hond en echt noodzakelijk voor een overeenkomst is het niet. Welke nieuwsbrief is zo belangrijk dat je moet moet moet weten dat deze aangekomen is? Maar een eigen belang – marketing en statistieken – dat zie ik wel. Daar staat dan natuurlijk het privacybelang van de ontvanger tegenover, maar wanneer je de vastlegging uitsluitend gebruikt voor algemene statistieken (deze truc geeft 5% meer opens, in België leest slechts 20% onze nieuwsbrief) dan denk ik dat het marketingbelang wint.

Wel moet je duidelijk informeren over de tracking. Dat zal op zijn minst in de privacyverklaring moeten gebeuren. Maar eigenlijk denk ik dat het duidelijker moet dan dat – een zin bij het “inschrijven voor de nieuwsbrief” formulier, en misschien zelfs wel een zin in de mail zelf. Hoewel dat laatst eigenlijk wat laat is, de tracking pixel is dan al ingeladen. Ook moet er een opt-out (bezwaar) mogelijkheid zijn. Dat mensen zelf blockers kunnen installeren, is wat mager. Je zult mensen dat dan uit moeten leggen. Maar ik denk dat je dan een heel eind komt.

Oh ja, dan is er ook nog de Telecommunicatiewet die in tegenstelling tot wat de Volkskrant zegt wél geldt voor tracking pixels. Er wordt immers een pixel op je computer gezet. Dat “de registratie gebeurt op de server van de afzender” is niet relevant, de Telecomwet gaat niet over waar persoonsgegevens worden verwerkt maar of er data op randapparatuur wordt opgeslagen. Maar het gaat desondanks goed, omdat dergelijke simpele analytics vallen onder de Nederlandse uitzondering op de cookiewet. Dit schendt niet of nauwelijks de privacy en is bedoeld om de effectiviteit van een geleverde dienst te meten. Dan is er geen toestemming nodig.

Dus onder de streep kom ik uit bij een kopje in de privacyverklaring “nieuwsbrief en volgsysteem” waaronder je uitlegt dat je tracking toepast, welke gegevens je vastlegt daarvoor en hoe mensen dit tegen kunnen houden. Toestemming vragen is niet nodig.

Voor DUO ligt dat anders. Dat is een overheidsinstantie, dat die mails verstuurt in de uitoefening van haar publieke taak. In dat geval is zij niet bevoegd de grondslag van het eigen gerechtvaardigd belang in te roepen – zij moet een wettelijke grondslag hebben om dit te mogen doen. En die is er niet.

Arnoud

Op de Sint-Bavohumaniora in Gent kunnen leerlingen binnenkort broodjes en drankjes afrekenen via een scan van hun handpalm. Dat meldde Tweakers onlangs. De biometrische technologie zou praktischer zijn dan de huidige badges en maaltijdbonnetjes, die regelmatig vergeten worden of kwijtraken. Maar het riep vragen op bij vele lezers, omdat het gebruik van biometrische persoonsgegevens toch heel streng gereguleerd was onder de AVG. Recent mocht Manfield gen vingerafdrukken inzetten tegen kassafraude, dus hoezo mag een school dit zomaar doen voor iets triviaals als een lunch afrekenen? Dus ja, hoezo mag dat dan?

Allereerst: die Manfielduitspraak was vooral gebaseerd op het feit dat er niet nagedacht leek te zijn over impact en alternatieven. Hadden ze dat wel gedaan, dan was het volgens mij zonder twijfel legaal geweest om dit systeem in te voeren. Maar er is geen twijfel dat een handpalmafdruk een biometrisch persoonsgegeven is, gezien de definitie van die categorie uit de AVG. Daarmee kom je meteen in de extra strenge bescherming voor bijzondere persoonsgegevens terecht.

Hoofdregel is dat je bijzondere persoonsgegevens niet mag verwerken, tenzij in de AVG of je lokale wetgeving staat van wel. Een van de genoemde uitzonderingsgronden is de uitdrukkelijke toestemming. In Nederland hebben we daarnaast nog de noodzaak voor identificatie of authenticatie, waar dus een werkgever zich op zou kunnen beroepen als hij zijn privacy impact assessment rond heeft.

Een werkgever moet wel, want die kan geen toestemming vragen vanwege de afhankelijkheidsrelatie (en het feit dat het hier om iets verplichts ging). Maar afrekenen met een handpalm voelt voor mij vrijwilliger dan een vinger om in te loggen bij de kassa, er zijn immers gewoon alternatieven beschikbaar. Dus ik zou zelf geen probleem zien met dit als school (of werkgever, in de kantine dus) invoeren als vrijwillige extra afrekenoptie. Natuurlijk wel even extra goed de security checken van het biometrisch betalingsauthenticatiesysteem.

Ik keek nog even snel in de Belgische Uitvoeringswet bij de AVG (de Kaderwet) en het zal ongetwijfeld aan mij liggen maar ik zie daar dus geen analogie aan onze noodzaak voor identificatie en authenticatie. Sterker nog, ik zie in artikel 34 een veel stérker verbod: geen verwerking van biometrie tenzij dit wettelijk is geregeld, noodzakelijk is voor vitaal belang of het gegeven kennelijk openbaar is gemaakt. Daar mist dus de uitdrukkelijke toestemming als grondslag. Dat mag (artikel 23 AVG) maar het voelt als een rare uitkomst, vooral omdat de Gegevensbeschermingsautoriteit zegt dat het “natuurlijk zo [is] dat toestemming een basis is”. Waar dan weer gek aan is dat er geen ‘uitdrukkelijk’ bij staat, een vakterm die ik toch wel verwacht had in een publicatie van de toezichthouder.

Afijn. Ervan uitgaande (ik moet altijd de spelling daarvan nazoeken) dat uitdrukkelijke toestemming in België inderdaad een grondslag is, én er goed over de beveiliging is nagedacht, lijkt me dit dus prima legaal. Als je alléén nog kunt afrekenen met je hand bij die kantine, dan zou ik het niet meer vrijwillig vinden. Natuurlijk kun je dan zeggen, “neem een zakske bokes mee” maar dat voelt voor mij geen reëel alternatief voor een lunch op school die je al jaren gewend bent.

Arnoud

Een robot in de rechtbank zal niet snel voorkomen, want het werk van advocaten „is heel moeilijk te automatiseren”. Dat las ik in NRC Handelsblad onlangs. Het idee is hardnekkig: de robots en/of de AI’s komen eraan, en ze gaan onze banen inpikken (South Park referentie optioneel). Waarbij de illustrator van dienst dan vaste prik… Lees verder

Wie als jurist problemen met internet moet duiden, kwam lange tijd standaard als eerste met het auteursrecht aan zetten. Of sinds 25 mei 2018 natuurlijk de AVG. Heel logisch en die wetten zijn heel belangrijk, maar binnen het internetrecht is de uitingsvrijheid minstens zo belangrijk – het is één van de vier grondrechten die centraal… Lees verder

Een lezer vroeg me: Verschillende steden in de VS zijn met ransomware besmet geraakt omdat personeel een besmette e-mailbijlage opende. Nu heeft één van deze steden een it-medewerker ontslagen. Zou dat in Nederland kunnen, iemand ontslaan omdat zijn gedrag tot een infectie leidde, bijvoorbeeld omdat hij een bijlage opende of een update niet installeerde? Het… Lees verder

Luchtvaartmaatschappij Transavia verbiedt reizigers om het cabinepersoneel op beeld vast te leggen. Dat las ik in de Telegraaf (dank, tipgevers). “We weten niet wat er met deze beelden gebeurt”, aldus een woordvoerder van de luchtvaartmaatschappij tegenover de krant. Men komt op voor de privacy van de werknemers, zo te lezen. Ook andere maatschappijen blijken hier… Lees verder

Een lezer vroeg me: Stel dat je als partij wordt aangevallen door een botnet dat is geactiveerd vanuit allerlei IoT-systemen. En stel dat ik een aantal van die systemen kan herleiden tot hun Nederlandse eigenaren, laten we zeggen professionele partijen (bedrijven). Kun je dan die eigenaren aansprakelijk stellen voor je schade? Wanneer je in Nederland… Lees verder

Een lezer vroeg me: Mijn werkgever (een mkb-bedrijf met 14 man) wil dat wij allemaal onszelf op internet zetten. Op de bedrijfswebsite “zodat de klant weet wie er langskomt” en ook op social media, om onszelf te promoten. We moeten zelfs meedoen aan discussies op Linkedin. Na wat geruzie heeft een collega voorgesteld dat we… Lees verder

De macht van de platforms, de buzzphrase van 2019 in het internetrecht volgens mij. Want waar internet ooit begon als een open ruimte waar iedereen z’n eigen stalletje kon inrichten, zitten we nu met een paar hele grote silo’s waar je moet zijn om je klanten, partners of bezoekers te kunnen bereiken. Niemand schrijft meer… Lees verder