Australisch parlement stemt in met omstreden ‘anti-encryptiewet’

| AE 11020 | Regulering | 18 reacties

De Australische senaat heeft donderdag ingestemd met de omstreden wet die techbedrijven zoals Apple en Facebook verplicht om mee te werken bij het ongedaan maken van encryptie bij het onderscheppen van communicatie. Dat meldde Tweakers vorige week. De wet is omstreden omdat in het Angelsaksische rechtsgebied het doorbreken van encryptie door opsporingsdiensten als controversieel geldt, en deze wet de primeur heeft aldaar die er ook nog eens met trucjes doorgeduwd werd. Toch is het bepaald niet de “encryptie is nu verboden!!1!” wet die het in sommige media genoemd wordt. De regels over encryptie zijn volgens mij minder streng dan in Nederland.

De omstreden Assistance and Access-wet heeft inderdaad als gesteld doel bevoegdheden van politie en andere opsporingsdiensten te vergroten om het probleem van alomtegenwoordige encryptie op te kunnen lossen. Criminelen gebruiken encryptie om hun daden te verhullen, is dan het argument, dus moeten de diensten bij die versleutelde berichten kunnen in het belang van het onderzoek.

Een kernaspect van de wet is dan ook dat opsporingsdiensten zogeheten “technical assistance notices” en “technical capability notices” mogen sturen. Dat zijn bevelen om bepaalde technische ondersteuning te geven (assistance) maar ook om mogelijkheden in te bouwen (capability) om daarmee in de toekomst meer ondersteuning te realiseren. Dus “geef me de mailbox van Jan” is een assistance notice, maar “bouw iets in dat ik live mails van en naar Jan kan zien” is een capability notice. Met name die laatste is natuurlijk behoorlijk vérgaand, ook omdat je het gratis moet opvolgen.

Wat encryptie betreft is wel weer opgenomen dat zo’n notice niet mag leiden tot structurele verzwakking van encryptie of authenticatie. Een notice mag dus denk ik wel eisen dat een specifiek bericht wordt opengemaakt, maar niet dat standaard een achterdeur wordt ingebouwd.

Een specifiek bericht decrypten is dus een van de nieuwe bevoegdheden. In Nederland is dat helemaal niet zo nieuw, ons wetboek van strafvordering vermeldt onder meer in artikel 125k:

[Een bevel tot toegang tot gegevens kan worden gegeven in het belang van het onderzoek] indien in een geautomatiseerd werk versleutelde gegevens worden aangetroffen. Het bevel richt zich tot degeen van wie redelijkerwijs kan worden vermoed dat hij kennis draagt van de wijze van versleuteling van deze gegevens.

Dit vereist wel dat een verdenking bestaat van een ernstig misdrijf (minstens vier jaar cel, en enkele specifieke strafbare feiten zoals mensenhandel). Het bevel mag overigens niet aan de verdachte worden gegeven (dit staat ter discussie)

Als het gaat om een onderzoek door een toezichthouder, dan gaat de wet nog verder. Artikel 5:20 Awb:

Een ieder is verplicht aan een toezichthouder binnen de door hem gestelde redelijke termijn alle medewerking te verlenen die deze redelijkerwijs kan vorderen bij de uitoefening van zijn bevoegdheden.

Hieronder valt dus ook het ongedaan maken van encryptie. De letter van de wet sluit echter zelfs niet uit dat je dingen gaat bouwen om meer structureel bij bepaalde gegevens te kunnen, maar het zou wel een gedurfde* inzet van bevoegdheden zijn om dit te vorderen.

In de praktijk hebben vrijwel alle grotere bedrijven achterdeuren in hun encryptie-infrastructuur. Dat moet ook wel, want als een sleutelhouder ontslag neemt of overlijdt dan wil je als bedrijf door kunnen. Het openen van versleutelde berichten is dus altijd technisch mogelijk. En als dat zo is, dan mag bijvoorbeeld markttoezichthouder ACM vorderen dat dit gebeurt omdat zij een bestuursrechtelijke overtreding vermoeden.

Arnoud<br/> *Gedurfd besluit: een politiek besluit waarmee je de verkiezingen verliest. Yes, minister

Hoe je een bak geld verdient door gewoon de inkoopvoorwaarden te accepteren, wacht wat?

| AE 11011 | Security | 3 reacties

Corporate purchasing and policies make funding open source Literally Impossible, aldus Swift on Security, een parodiërende maar serieus te nemen securityonderzoekster. De onderliggende klacht is namelijk best reëel: als je een paar tientjes wilt vragen van een groot bedrijf om een bug in je open source project te fixen, dan is dat enorm ingewikkeld. Maar vraag je tienduizend euro voor een supportcontract waaronder je hetzelfde doet, dan is dat zo geregeld. Met dus het advies, doe dat laatste. Waarbij allerlei juristen beginnen te roepen, ja maar de inkoopvoorwaarden dan. Nou ja, die accepteer je dan dus gewoon, wat kan je gebeuren.

In de kern is het probleem de bureaucratie en overhead die je krijgt als je met een groot bedrijf zaken gaat doen. Er moeten veel punten op de i worden gezet wil zo’n organisatie overtuigd zijn dat ze met jou in zee moeten. Dat gaat vaak beter als je een serieuze belofte met langetermijntoezegging kunt doen, oftewel een supportcontract voor drie jaar met 24/7 beschikbaarheid. Dat dat wat meer kost dan het half uurtje dat ze eigenlijk wilden, is een bijzaak.

Natuurlijk zal zo’n bedrijf ook flink wat verwachten, althans op papier. Denk aan stevige aansprakelijkheid, lange betalingstermijnen, eenzijdig opzeggen en al die andere dingen waar je als leverancier op dag 1 tegen gewaarschuwd wordt. Dat moet je niet accepteren natuurlijk. Alleen: als er in de praktijk echt niet meer te verwachten is dan af en toe wat kleine vragen over dingen die je toch al deed, en de software gratis weggegeven wordt, welke aansprakelijkheden zijn praktisch gezien dan te verwachten? Vanuit dat perspectief is “teken gewoon en pak dat geld” een hele logische.

Een andere reden voor dit probleem is denk ik dat een eenmalige uitgave van een paar tientjes vaak wordt gerekend onder het kopje reiskosten/onvoorzien, en bedrijven zijn daar vaak erg huiverig over omdat de kans voor misbruik groot is. Als iedereen in het bedrijf ineens 50 euro mag geven aan een vaag figuur op internet omdat die een of ander leuk tooltje zou hebben gemaakt, waar ben je dan als multinational? (Ik ken mensen die om die reden die 50 euro dan maar privé betalen en het later verrekenen met reiskosten naar een conferentie.)

Het doet natuurlijk raar aan, blog ik een hele serie over hoe je je verweert tegen inkoopvoorwaarden en dan kom ik ineens met een advies om ze gewoon maar te accepteren. Maar soms kan dat gewoon het goede advies zijn.

Arnoud

Roddelen in een WhatsAppgroep over je baas kan reden zijn voor ontslag

| AE 11013 | Informatiemaatschappij | 10 reacties

Roddelen in een WhatsAppgroep over je baas kan reden zijn voor ontslag, maak ik op uit dit vonnis van de rechtbank Midden-Nederland. In een ontslagzaak werd gegrap en gegrol over het werk aangevoerd ter onderbouwing van een verstoorde arbeidsrelatie. Hoewel het ging om een groepschat met een beperkt aantal collega’s, vond de rechter toch dat de vrouw terecht ontslagen mocht worden.

Een vrouw was sinds 1989 in dienst bij het bedrijf, en had daarbij een standaard geheimhoudings- en relatiebeding in het contract. Eind 2017 ontdekte ze dat er in het bedrijf echter grote verschillen in loon waren, maar haar klachten daarover vonden geen gehoor. Daarop besloot ze elders te solliciteren.

Via WhatsApp had ze daarbij twee collega’s gestimuleerd om mee te gaan (“Echt [voornaam van A] ? Wil je mee? Ik heb jou en [voornaam van B] dan echt nodig hoor!! En [voornaam van C] ook. Haha”). Maar let op: bij de grootste concurrent. En onderdeel van de sollicitatie was een gezamenlijke Powerpoint pitch over wat ze bij die concurrent zouden konden gaan doen. Dat zette zo te lezen enig kwaad bloed, waarop de werkgever haar ontsloeg.

De rechter zet (terecht) voorop dat het volkomen legaal is om bij de concurrent te solliciteren, als je geen keihard contractueel verbod daartegen hebt getekend. En dat was er niet. Maar je collega’s aanzetten om mee te gaan, of bedrijfsvertrouwelijke informatie inzetten in een pitch zijn dingen die wél in strijd met het arbeidscontract kunnen zijn.

Om te kunnen bepalen of dit een probleem is, moet de rechter eerst toetsen of de WhatsApp conversaties waar de partijen zich op beroepen, wel als onderbouwing kunnen dienen. In principe is dat natuurlijk mogelijk, maar in dit geval had de werkneemster gesteld dat de werkgever die had gemanipuleerd. Zo werkt dat in het bewijsrecht, er is niets raar aan elektronisch bewijs of aan chatlogs an sich, maar als er concrete vermoedens van manipulatie komen dan moet je eerst kijken hoe waar dat is.

Uiteindelijk blijft er bij de rechter weinig over van de gestelde manipulatie. Het kwam uiteindelijk vooral neer op het punt dat WhatsApp-chats minder serieus te nemen moeten zijn, de context van humor en snelle berichtjes is immers heel anders dan een formeel-zakelijke conversatie.

Na de chats gelezen te hebben, komt de rechter tot de conclusie dat er geen sprake is van onrechtmatig aanzetten om collega’s A en B mee te nemen. Ze namen nog steeds zelf het initiatief, en uiteindelijk hadden ook zij geen beding tegen die concurrent in hun contracten.

Uit de berichten blijkt wel dat de werkneemster op een ander punt nogal wat te verwijten valt: ze wilde haar werkgever “een lesje leren”, waarbij ze in zeer cynische en schertsende uitspraken de managementcultuur neerzet. De wijze waarop zij het sollicitatietraject vervolgens doorliep bij de concurrent, waarbij ze zich als doel had gesteld de oude werkgever schade toe te brengen, maken dat haar gedrag verwijtbaar werd.

Wat de presentatie betreft, er is geen bedrijfsgeheime informatie gebruikt maar wel bleken foto’s opgenomen te zijn geweest die van de werkgever waren. Dat is dan mede een grond om haar een verwijt te maken.

In beginsel heeft een werknemer die minstens twee jaar in dienst is recht op een transitievergoeding als de arbeidsovereenkomst wordt opgezegd. Bij ernstig verwijtbaar handelen kan dat anders liggen. Maar hoewel dit gedrag verwijtbaar is, is die verwijtbaarheid niet “ernstig” te noemen met name omdat er niet daadwerkelijk schade is opgedaan en derden niets hebben gemerkt. Daarmee komt zij in aanmerking (gezien de duur van het dienstverband) voor een vergoeding van dik 76 duizend euro. De kantonrechter laat dan ook nadrukkelijk een hint vallen dat de werkgever mág kiezen om het ontslag in te trekken.

Arnoud

Wanneer sluit je als consument een verkoopovereenkomst via internet met een bedrijf?

| AE 11008 | Ondernemingsvrijheid | 28 reacties

Mijn moeder heeft vorige week maandag op “ikwilvanmijnautoaf.nl” aangegeven van haar auto af te willen, zo opende een draadje bij Tweakers. De moeder van de topicstarter wilde van haar auto af, nam contact op met het gelijknamige bedrijf en kreeg telefonisch een bod van zeshonderd euro, waar ze kennelijk positief op reageerde. Daaruit concludeerde het… Lees verder

Leerling van school gestuurd na pesten van leraren op Instagram

| AE 11002 | Regulering | 38 reacties

Het Frits Philips lyceum heeft een leerling van school gestuurd naar aanleiding van een ‘meme-account’ op Instagram, las ik bij Omroep Brabant. “Memes zijn foto’s of heel korte video’s die vaak gaan over herkenbare situaties of grappen bevatten”, zo voegt men voor de duidelijkheid toe. De term ‘grap’ is hier – zoals wel vaker bij… Lees verder

Een black box algoritme mag geen juridische besluiten nemen

| AE 11004 | Innovatie | 9 reacties

De zwarte doos roept steeds meer zorgen op. En dan bedoel ik niet de (overigens feloranje) kast in vliegtuigen waar informatie over crashes te vinden is, maar de zogeheten black box algorithms die zonder inzicht in hun werking een uitkomst geven. In het jargon van de ‘meme’ of internetgrap: “Computer says no”. Een zorgelijke ontwikkeling… Lees verder

Mag een hostingbedrijf haar prijzen vier keer over de kop doen?

| AE 11006 | Ondernemingsvrijheid | 15 reacties

Hostingbedrijf Versio heeft vrijdag nieuwe pakketten voor webhosting en domeinnamen aangekondigd, met flink hogere prijzen. Dat meldde Tweakers afgelopen maandag. In een mail op vrijdagavond werd gezegd “We willen iets met je vieren”, maar onderdeel van dat feestje was een prijsverhoging van 0,50 naar 2,50 per maand waarbij het zelfs leek of dat meteen in… Lees verder

Volgen van telefoongebruikers met wifi-tracking mag alleen bij uitzondering

| AE 10999 | Ondernemingsvrijheid, Privacy | 17 reacties

De Nederlandse Toezichthouder laat weten dat het volgen van mensen in openbare ruimten via wifi-tracking alleen bij hoge uitzondering is toegestaan, las ik bij Tweakers. Dergelijk volgen is een diepe inbreuk op de privacy, en onder de AVG zal het niet meevallen daar een degelijke en rechtmatige motivatie voor te geven. Toestemming valt sowieso af,… Lees verder

Starbucks gaat porno blokkeren op zijn gratis wifi

| AE 10997 | Ondernemingsvrijheid | 30 reacties

Na jaren van protestacties heeft Starbucks in de VS besloten om porno te blokkeren op de gratis wifi-netwerken in zijn koffiezaken. Dat las ik bij RTL Nieuws vorige week. De koffieketen staat al jaren onder druk van de bezorgde burgers van ‘Enough Is Enough’, die fel tegen porno is en bedacht heeft dat Starbucks wezenlijke… Lees verder

Mag je internetprovider poort 25 blokkeren van de netneutraliteitswet?

| AE 10988 | Regulering | 47 reacties

Port 25 is geblokkeerd en ik wil niet mailen over de ziggo mailservers, zo begon een discussie op het Ziggo communityforum. De topicstarter wil graag via zijn Ziggo-account het internet op om daar mails aan te bieden aan een externe internetprovider, maar dat lukt niet tenzij hij de mails aan een Ziggo-mailserver aanbiedt, die het… Lees verder