Tag: Aftappen

About Aftappen

Subscribe Feeds

Keulse rechtbank dwingt Tutanota hele postvakken inzichtelijk te maken

Geplaatst op in Ondernemingsvrijheid, Regulering, 20 reacties

De arrondissementsrechtbank van Keulen heeft Tutanota opgedragen om op verzoek van de autoriteiten postvakken van gebruikers toegankelijk te maken en de tekst van e-mails in plain text in te laten zien. Dat meldde Tweakers afgelopen maandag. Tutanota levert end-to-end gecodeerde e-mailsoftware en een freemiumdienst voor gehoste e-mail, die dus niet afgeluisterd, getapt of ingezien kan worden omdat alle versleuteling bij de client plaatsvindt. Echter, toen een Keulse autoleverancier via Tutanota een afpersingsmail ontving en de politie een onderzoek startte, vonniste de Keulse rechtbank dat Tutanota dit mogelijk moet maken, omdat de webmaildienst ‘meewerkt aan het leveren van telecommunicatiediensten’. Houd de paracetamol bij de hand, want dit vergt héél veel juridische definities.

De kern van de zaak is dat telecommunicatiediensten in Europa verplicht aftapbaar moeten zijn bij ernstige misdrijven als deze. In Nederland is er dus geen twijfel dat KPN of Ziggo een telefoongesprek via haar netwerk moet laten tappen, en dat gaat dan zowel om IP-netwerkverkeer als gewone telefonie.

Tutanota is geen internetprovider maar wat juristen noemen een “dienst van de informatiemaatschappij”, en dat is wezenlijk wat anders. In ISO/OSI termen: die zitten in laag 7, en telecom zit grofweg in lagen 1 tot 5. Een ander niveau van technische werking, dat in de kern wettelijk omschreven wordt als een

gewoonlijk tegen vergoeding aangeboden dienst die geheel of hoofdzakelijk bestaat in het overbrengen van signalen via elektronische communicatienetwerken, waaronder telecommunicatiediensten en transmissiediensten op netwerken die voor omroep worden gebruikt, doch niet de dienst waarbij met behulp van elektronische communicatienetwerken en -diensten overgebrachte inhoud wordt geleverd of redactioneel wordt gecontroleerd.
Tutanota verspreidt informatie, geen signalen. Dat voelt vrij logisch, toch duurde het tot 2019 voor het Hof van Justitie hier een definitieve uitspraak over deed:
a web-based email service which does not itself provide internet access, such as the Gmail service provided by Google LLC, does not consist wholly or mainly in the conveyance of signals on electronic communications networks [] does not constitute an ‘electronic communications service’ within the meaning of that provision.
Het maakt daarbij niet uit dat Google zelf backbone-kabels heeft liggen of andere verrichtingen doet die wél het overbrengen van signalen opleveren. Dat staat immers in principe los van de webmaildienst waar het hier om gaat.

Helaas heeft in de Tutanova-zaak de rechter niet gemotiveerd waarom zhij hier anders tegenaan kijkt. Ik zie zelf geen verschil in de werking van Tutanova en Gmail, internet-technisch bekeken. Ik hoop dus ook dat men in hoger beroep gaat, hoewel dat voor deze specifieke vordering niet uitmaakt: de Duitse justitie heeft in de tussentijd toegang tot de informatie van deze afperser.

Arnoud

Mag je je verzetten tegen de Aftap- en Hackwet?

Geplaatst op in Regulering, 9 reacties

De Eerste Kamer nam gisteravond een wet aan waarmee de geheime diensten het internet op grote schaal kunnen aftappen, en de verzamelde mailtjes en appjes drie jaar mogen bewaren. Dat las ik bij RTL Nieuws. Maar de wet gaat niet alleen over aftappen: de nieuwe wet maakt het ook mogelijk dat de AIVD kennissen van verdachten mag hacken. Wat diverse lezers de vraag deed opperen: wat mag je daartegen doen, als je de AIVD in je firewall ziet?

Het idee achter dat stukje van de Hackwet is dat de meeste criminelen (althans, verdachten) wel enigszins op de hoogte zijn van elementaire ICT-beveiliging. Kennissen zijn dat waarschijnlijk minder, dus dat biedt dan een interessant secundair kanaal van informatie.

Dat de AIVD iets mag, wil natuurlijk niet zeggen dat je daar automatisch alle gelegenheid voor moet bieden. De wet eist niet dat jouw netwerk aftapbaar of anderszins toegankelijk is voor overheidsdiensten (behalve als je aanbieder van een openbaar telecomnetwerk bent, maar dat terzijde). Als je dus je ICT zo stevig dichttimmert dat de gleufhoeden zuchtend elders heengaan, dan is dat helemaal prima.

Sowieso is het natuurlijk heel verstandig om anno 2017 je netwerk en ICT-middelen goed te beveiligen; malware, spionage vanuit andere landen en gewone criminelen liggen natuurlijk óók op de loer. Dus voorzie alles van encryptie, werk je software bij, installeer een goede firewall en uitgebreide logging en zorg voor moeilijk voor derden toegankelijke backups.

Het opzetten van honeypots waar de aanvaller lang mee bezig is, is al een iets actievere tegenmaatregel. Het idee is dan dat je hem afleidt met een interessante maar neppe bron, bijvoorbeeld een groot bestand dat je iets van “ISIS full membership addresses Netherlands.xlsx” noemt en waar men dan jarenlang decryptie op loslaat voordat men ontdekt dat het gewoon een nepbestand is. Daar is weinig mis mee, dat is hooguit verspilling van iemands tijd.

Lastiger wordt het bij de actievere vormen van verdediging, zoals terughacken, -ddossen en anderszins -slaan van de aanvaller. Een voorbeeld is het neerzetten van dergelijke lokbestanden maar dan voorzien van malware, waarmee je hoopt dat de aanvaller dan wordt geïnfecteerd. Het digitale equivalent van een kluis waarin een kruisboog op scherp staat, met touwtje verbonden aan de deur. Auw.

Dergelijke handelingen zijn natuurlijk strafbaar; verspreiding van malware maar ook het uitvoeren van een DDOS aanval of inbreken in iemands systeem is niet toegestaan onder het Wetboek van Strafrecht. Ook niet als die iemand dat net bij jou zelf stond te doen. Natuurlijk is de kans klein dat de AIVD aangifte gaat doen van een terughack of malware-infectie, maar je weet in het algemeen natuurlijk nooit of het die dienst is dan wel een echte crimineel die een onschuldige derde z’n computer gebruikte om bij jou binnen te dringen. Dus nee, dat zou ik niet doen.

Arnoud

Nederland mag gegevens blijven uitwisselen met NSA

Geplaatst op in Privacy, Security, 7 reacties

prismDe Nederlandse inlichtingendiensten AIVD en MIVD mogen gegevens blijven uitwisselen met de Amerikaanse NSA, las ik bij Nu.nl. In een loei van een vonnis bepaalt de rechtbank Den Haag dat de samenwerking met buitenlandse inlichtingendiensten een dringende noodzaak in de zin van het Europees Verdrag voor de Rechten van de Mens oplevert, op grond waarvan grondrechten geschonden mogen worden. Verschillende burgers en organisaties hadden de rechtszaak aangespannen tegen de Staat naar aanleiding van de Snowden-onthullingen over grootschalig gebruik van data door de Amerikaanse NSA.

Allereerst is er een stuk discussie over óf deze burgers en organisaties wel een rechtszaak mogen beginnen. Je kunt niet zomaar naar de rechter, je moet wel een “redelijk belang” hebben zoals de wet dat noemt. En dat belang moet wel over jou gaan. Als mijn buurmans auto bekrast wordt, kan ik niets eisen. Hier erkent de rechter dat dat het geval is: de burgers (waaronder Rop Gonggrijp, Brenno de Winter en Mathieu Paapst) hebben een meer dan gemiddelde kans

dat zij door hun activiteiten een gevaar voor de nationale veiligheid zouden kunnen opleveren en derhalve op grond van de Wiv 2002 onderwerp zouden kunnen zijn van onderzoek door de diensten.

Het zal je maar gezegd worden.

Afijn. De inhoudelijke discussie is een stuk lastiger. De grootschalige uitwisseling van persoonsgegevens levert juridisch gezien een schending van de privacy op, en die is beschermd in het Europees Verdrag voor de Rechten van de Mens (EVRM) en het Internationaal Verdrag inzake Burgerrechten en Politieke Rechten (IVBPR). Ook is dit te rekenen onder de informatievrijheid, het beschermen van je bronnen is daar voor journalisten deel van.

Het grootste probleem zit hem in het ‘witwassen’ van gegevens: de NSA verkrijgt gegevens langs illegale weg, en verstrekt ze dan via het uitwisselingsprogramma aan de Nederlandse AIVD die dan vrolijk kan zeggen ze legaal van een buitenlandse partner verkregen te hebben.

Hoewel de NSA in principe legaal handelt naar Amerikaans recht, en er uitgebreid imbedding en controle is binnen het Amerikaanse rechtssysteem, moet er rekening worden gehouden met de mogelijkheid dat de diensten in het kader van de internationale samenwerking gegevens ontvangen die zijn verzameld op een wijze die niet in overeenstemming is met het EVRM en IVBPR. Die verdragen eisen allereerst een duidelijke wettelijke basis, daarna een legitiem doel en vervolgens een noodzakelijkheidstoets – moet dat nou écht op deze manier, kan het niet een onsje minder.

In een uitspraak van het Europese Hof voor de Rechten van de Mens (de hoogste privacyhandhaver, niet te verwarren met het Europese Hof van Justitie) is bepaald dat voor legaal aftappen duidelijk moet zijn:

the nature of the offences which may give rise to an interception order; a definition of the categories of people liable to have their telephones tapped; a limit for the duration of telephone tapping; the procedure to be followed for examening, using and storing of the data obtained; the precautions to be taken when communicating the data to other parties; and the circumstances in which recordings may or must be erased or the tapes destroyed.

Dit geldt ook voor ongericht aftappen van personen. Maar het grootschalig in bulk vergaren van data zoals de NSA doet, is nóg een stapje verder en de rechtbank wil er niet aan dat ook dáár zulke specifieke grenzen moeten worden getrokken. Dat voelt minder erg, net zoals het minder erg is om iemands locatie via GPS ontvangers bij te houden dan zijn gesprekken consequent af te luisteren. De vraag is dan of de nationale wetgeving toereikende en effectieve waarborgen biedt tegen een willekeurige inbreuk op de persoonlijke levenssfeer.

Voor toepassing van deze laatste maatstaf, meer dan voor toepassing van de gestelde minimumwaarborgen, is naar het oordeel van de rechtbank ook aanleiding in het geval van de ontvangst van gegevens in bulk, waarbij immers ten tijde van de ontvangst niet bekend is wat de aard van de gegevens is en op welk(e) individu(en) deze gegevens betrekking hebben.

Volgens de rechter hoeven we ons geen zorgen te maken: De Wiv 2002 bevat voorts voldoende waarborgen voor de verdere verwerking (waaronder het gebruik) van die gegevens. Immers in de wet staat

In artikel 12 Wiv 2002 is immers geborgd dat de verwerking van gegevens slechts plaatsvindt voor een bepaald doel en slechts voor zover dat noodzakelijk is voor een goede uitvoering van de Wiv 2002 of de Wet veiligheidsonderzoeken, en ook dat dit in overeenstemming met de Wiv 2002 en op behoorlijke en zorgvuldige wijze geschiedt. In artikel 13 van de Wiv 2002 zijn de categorieën van personen genoemd ten aanzien van wie gegevens kunnen worden verwerkt.

En er is niet bewezen dat de Nederlandse veiligheidsdiensten deze artikelen overtreden. Verder kun je als burger individueel naar de rechter als blijkt dat de veiligheidsdiensten specifiek informatie over jou delven uit NSA-bulkdata. Een tikje formele opstelling, ahem.

Dan komt nog de algemene vraag: is het doel en de noodzaak duidelijk aanwezig? Dat is immers nodig onder het EVRM en het IVBPR. Daarvan is sprake omdat het gewoon zo is en het gewoon niet anders kan:

Het gaat om een dringende maatschappelijke behoefte dat met buitenlandse diensten wordt samengewerkt en dat in dat verband verzamelingen gegevens in bulk worden uitgewisseld. Zoals de Staat ter zitting naar voren heeft gebracht, kan wel naar de herkomst van informatie worden geïnformeerd, maar zal daarop in de regel geen antwoord worden gegeven. Dat, als een partner eenmaal aan de voor samenwerking geldende criteria voldoet, de aard en inhoud van die samenwerking, op voorhand niet zijn beperkt, is ook gerechtvaardigd gelet op de risico’s voor de nationale veiligheid die aan een andere benaderingswijze zouden kunnen zijn verbonden.

Wat nu specifiek met de bulkgegevens die men van de VS kan verkrijgen die in strijd met het EVRM of IVBPR zijn verkregen? Die zijn in beginsel ook legaal. Immers:

Daarbij gelden voor het onderscheppen van (ruwe) gegevens in bulk zonder dat deze op relevantie zijn beoordeeld – hetgeen in deze procedure centraal staat – minder strikte eisen dan voor het kennisnemen van de inhoud van de communicatie. Er is bovendien een relevant onderscheid tussen het ontvangen van gegevens en het vervolgens gebruikmaken van die gegevens in individuele gevallen.

Dus ga maar op individuele basis naar de rechter als specifiek jij aangepakt wordt op basis van informatie die uit bulkgegevens is verkregen. “Het zwaarwegende belang van de nationale veiligheid geeft hier de doorslag.”

Jammer. Het is een láng en uitgebreid vonnis maar toch valt de onderbouwing me bij eerste lezing wat tegen. Waaróm is het zo dringend nodig dat er wordt samengewerkt en bulkdata wordt uitgewisseld? Waarom accepteren we dat een partner niet zegt waar de data vandaan komt? En daarbij komt de ergerlijke houding van “je kunt individueel een zaak aanspannen hoor”. Nee. Grmbl.

Arnoud

Wanneer mag je je partner in huis bespioneren?

Geplaatst op in Privacy, 25 reacties

Een lezer vroeg me:

Wanneer je samenwoont, al of niet getrouwd, mag je elkaar dan afsluiteren of met verborgen camera’s observeren?

Ik had al eens eerder een dergelijke vraag gehad, maar ik kreeg de afgelopen drie weken vier keer deze vraag dus ik dacht, hier moet ik nog eens op terugkomen.

Iedereen heeft privacy, maar als je met elkaar bent getrouwd of samenwoont dan wordt die privacy een heel stuk minder. Je moet dan eerder verwachten dat je partner dingen van je weet of dingen opvalt die je eigenlijk liever privé zou willen houden. Douchen is privé maar dat je partner binnenkomt tijdens het douchen, tsja dat hoort erbij.

De wet verbiedt het ‘wederrechtelijk’ aftappen van telefoontjes, mail of internetchats en ook het ‘wederrechtelijk’ installeren van verborgen camera’s in huis. Wederrechtelijk wil zeggen dat er geen recht, geen reden voor is. En dat is hier het lastige: omdat je een stuk privacy inlevert als je trouwt of samenwoont, kun je minder snel spreken van “geen recht” als zoiets gebeurt.

Wanneer je in gemeenschap van goederen bent getrouwd, dan is het nóg moeilijker om van wederrechtelijkheid te spreken. Het is dan immers je (mede)eigendom waar je de aftap/opnamespulen op installeert. En binnendringen in je eigen computer, dat kan niet. Maar zaligmakend is dat criterium niet: ik mag het bezoek op mijn verjaardag ook niet zomaar filmen met een verborgen camera, ook al heb ik die in mijn eigen huis verstopt.

Het gebruik van andermans wachtwoord is formeel strafbaar als computervredebreuk. Maar ook hier weer, het moet gaan om ‘wederrechtelijk’ gebruik. En of daar sprake van is, is dus onduidelijk.

Wel lijkt het me buitengewoon moeilijk om in een huwelijk/partnerschap met dergelijke juridische zaken te beginnen. Ga je werkelijk aangifte doen tegen je echtgenoot als je zo’n camera vindt? Een schadevergoeding eisen als je vriendin je aftapt?

Arnoud

Is een stiekeme geluidsopname bruikbaar als bewijs?

Geplaatst op in Privacy, Security, 32 reacties

Een lezer vroeg me:

Mag je telefoongesprekken (of gewone gesprekken) opnemen zonder de wederpartij dat te zeggen? En zijn zulke opnames dan bruikbaar als bewijs?

Ja en ja.

Het Wetboek van strafrecht verbiedt het opnemen van gesprekken (telefonisch of mondeling gevoerd) als je daar geen deelnemer aan bent. Dat betekent dus dat wie wél deelnemer is, niet in strijd met dit verbod handelt. Publiceren van die opname zal vaak wel een schending van de privacy van de wederpartij opleveren, dus daar zul je een fors nieuwsbelang voor moeten hebben.

Een bedrijf dat structureel telefoongesprekken opneemt en opslaat, verwerkt daarmee persoonsgegevens van zijn klanten. Dergelijke verwerkingen kunnen gerechtvaardigd zijn: bewijs vergaren van contractsluiting is een legitiem doel, net als zorgen dat je klantenservice goed gaat. Maar men moet dat dan wél melden op grond van de Wbp, vandaar al die “dit gesprek kan worden opgenomen” meldingen bij grote callcenters. Hoewel het dan overigens weer niet de bedoeling is dat een opname met een klant nog jarenlang op de opleidingsafdeling rondzwerft als voorbeeld hoe het wel of niet moet.

Een privépersoon die voor zichzelf structureel gesprekken opneemt, verwerkt ook persoonsgegevens maar er is een uitzondering in de privacywet voor “uitsluitend persoonlijke en huishoudelijke doeleinden”, en ik meen dat je zulke privéopnames daar wel onder kunt rekenen. Dus ook onder de Wbp hoef je je privéopnames niet te melden.

Gebruik als bewijs naar de wederpartij is natuurlijk toegestaan. Maar gebruik bij de rechter, daar voelen mensen nog wel eens wat aarzeling. Uit de rechtspraak die ik ken, kan ik daarvoor geen rechtvaardiging halen. Bewijs in rechtszaken tussen burgers onderling is eigenlijk zelden tot nooit onrechtmatig. Ook niet bij privacyschendingen. De Hoge Raad oordeelde al in 1987 dat voor uitsluiting van bewijs sprake moet zijn van een “rechtens ontoelaatbare inbreuk op de privacy, zulks op basis van bijkomende omstandigheden die deze conclusie rechtvaardigen”. Oftewel: een inbreuk op zich is niet genoeg, het moet wel een hele erge zijn.

Veelal zal het gaan om zakelijke gesprekken, daarbij kunnen immers conflicten ontstaan waarbij je wilt bewijzen dat er iets wel of niet is gezegd. En in zulke gesprekken is het privacybelang toch een stuk kleiner. In deze zaak ging het om gesprekken tussen een werkgever en werknemer die bij deze rechter stonden toen de werknemer ontslagen werd. De werknemer had de gesprekken stiekem opgenomen en zelfs ontkend toen de manager in kwestie vroeg of er iets werd opgenomen. Geen probleem:

De gesprekken met [werknemer] heeft [naam 1] gevoerd in zijn hoedanigheid als directeur van NAM, als werkgever van [verweerder], waarbij deze gesprekken in overwegende mate een zakelijk karaker hadden. Het enkele feit dat [naam 1] er niet bedacht op hoefde te zijn dat zijn gesprekken met [werknemer] zouden worden opgenomen – zeker niet nadat hij [werknemer] daarnaar had gevraagd en deze dit ontkende – leidt niet tot de conclusie dat sprake is van een rechtens ontoelaatbare inbreuk op de privacy. Wel acht de kantonrechter dit een omstandigheid die bij de beoordeling van het goed werknemerschap in het kader van toepassing van de kantonrechtersformule aan de orde kan komen.

Het kan dus wel “niet goed werknemerschap” zijn, oftewel in die specifieke verhouding kan het tegen je werken als je stiekeme dingen doet. Dit omdat je als werknemer en werkgever goed – netjes – naar elkaar moet zijn. In de relatie klant/leverancier moet je redelijk naar elkaar zijn, maar ik vind niet dat dat hetzelfde is als de eis van goed werknemer/-geverschap. Dus in die relatie lijkt het me veel lastiger om te zeggen, misschien mag het dan wel maar ik ga het tóch tegen je laten werken.

Ik neem eigenlijk standaard mijn gesprekken op, en snap eigenlijk niet waarom anderen dat nou niet doen. Het scheelt zó veel discussie als je gewoon de opname kunt terugluisteren. Of mis ik iets?

Arnoud

Wat is er juridisch te doen tegen al dat aftappen, afluisteren en bespioneren?

Geplaatst op in Informatiemaatschappij, 31 reacties

wifi-satelliet-draadloos-auto.pngDe helft van de Nederlanders denkt wel eens telefonisch te worden afgeluisterd, las ik bij Nu.nl. Niet geheel ten onrechte, als je alle verhalen sinds Snowden leest. Zoals zaterdag: de AIVD breekt in bij internetfora en sluist gegevens van alle gebruikers vervolgens door, blijkt uit Snowden-documenten die NRC heeft ingezien. Eh, wut. Het onderwerp heeft ook mijn mailbox bereikt: ik krijg nu 2 à 3 mails per dag met vragen in de trant van “mag dit zomaar” en “wat is eraan te doen”.

Eh, tsja. Nee, dit mag niet. De AIVD mag veel, maar zomaar databanken vol met gegevens kraken en kopiëren voor het geval er een rechtsextremistische jihad-kraker tussen zit, nee dat mag niet. Men wijst op artikel 24 Wet inlichtingen- en veiligheidsdiensten, waar in lid 1 inderdaad staat:

De diensten zijn bevoegd tot het al dan niet met gebruikmaking van technische hulpmiddelen, valse signalen, valse sleutels of valse hoedanigheid, binnendringen in een geautomatiseerd werk.

Maar artikel 19 maakt heel duidelijk dat hiervoor aparte toestemming nodig is, en dat die toestemming elke paar maanden opnieuw moet worden aangevraagd. Logisch ook, dat artikel is geschreven om in een concrete situatie een AIVD-hack te kunnen rechtvaardigen. Daar zit een staatsgevaarlijk figuur, snel hack zijn PC en zie wat hij van plan is. Dat is toch even wat anders dan “breek overal in waar je kunt, kopieer alles en zoek het thuis op je gemak even na”. Plus, volgens artikel 18 moet er een duidelijke noodzaak zijn in het kader van onderzoek

met betrekking tot organisaties en personen die door de doelen die zij nastreven, dan wel door hun activiteiten aanleiding geven tot het ernstige vermoeden dat zij een gevaar vormen voor het voortbestaan van de democratische rechtsorde, dan wel voor de veiligheid of voor andere gewichtige belangen van de staat;

Het probleem is alleen: wat dóe je eraan. Juridisch dan. Niet heel veel, ben ik bang. Want toetsing of dit klopt, is een beetje moeilijk. De bewijzen dat hiervan sprake is, zijn immers staatsgeheimen en daar kan men dan ook helaas verder niet op ingaan. En tsja, tegen geheim bewijs is het lastig discussiëren, zeker als je wederpartij niet terugpraat.

En zo is het ook met de NSA-sleepnetten en alle andere massale aftapperij waar we de laatste maanden steeds meer over lezen. Nee, dat mag niet, of de grenzen van wat wél mag worden ahem stevig opgerekt, maar wat gaan we eraan doen?

Arnoud

AMS-IX zet toch omstreden stap van Amerikaanse uitbreiding door

Geplaatst op in Ondernemingsvrijheid, 18 reacties

cloud-flag-usaOMGWTFPATRIOTACT. Een meerderheid van leden van de AMS-IX heeft zich achter de omstreden uitbreiding van het internetknooppunt naar de Verenigde Staten geschaard, meldde Tweakers zaterdag. Die uitbreiding leverde flink wat zorgen bij de leden op, maar kennelijk net niet genoeg om voldoende tegenstemmen te krijgen. Maar beloofd is dat het opzetten van het Amerikaanse internetknooppunt Patriotactrisicoloos zou gebeuren.

De uitbreiding is financieel interessant voor AMS-IX, omdat veel van de huidige Amerikaanse internetknooppunten duur en commercieel zijn. AMS-IX is een vereniging zonder winstoogmerk en kan daar dus best een stuk marktaandeel veroveren.

Alleen ja die gekke Amerikanen en hun USA PATRIOT ACT hè. Heb je een server of rechtspersoon in de VS, dan val je onder Amerikaanse rechtsmacht en dan kan de FBI dus via die antiterrorismewet komen snuffelen in je dataverkeer. En dat moet je toelaten – inclusief na verluidt snuffelbevelen in servers van je Europese datacenter. En in theorie is het dus denkbaar dat de Amerikaanse AMS-IX rechtspersoon dan te horen krijgt dat ze een livetap in de Amsterdamse AMS-IX moeten gaan zetten, op straffe van vakantie voor onbepaalde tijd in Guantanamo Bay.

Maar of dat ook wérkelijk zo gaat, is nog nooit getest bij de rechter. Dat is ook moeilijk want zulke bevelen worden onder geheimhouding (gag order) gegeven, en achteraf klokkenluiden vanuit Guantanamo Bay is best wel lastig. Maar misschien gebeurt het ook wel niet. (En misschien heb ik wel een FBI-bevel om dit zo te zeggen.)

Er zijn wel constructies denkbaar om dit tegen te gaan. Je kunt bijvoorbeeld werken met twee onafhankelijke stichtingen die alleen samenwerken maar technisch en organisatorisch gezien geen toegang tot elkaars datacenters hebben. (Nog even afgezien van de vraag of het niet op zou vallen dat een Amsterdams datacenter ineens bergen data naar Ford Meade, MY gaat versturen.) Maar het zal nog wel enig gepuzzel vergen.

Eerder kwam de AMS-IX al in opspraak over vermeend aftappen. Bezoekende Kamerleden konden echter geen NSA- of AIVD-aftapstekkers ontdekken.

Arnoud

Een dodemansknop tegen aftappen en datagraaien?

Geplaatst op in Ondernemingsvrijheid, Regulering, 41 reacties

prismOver PRISM, aftappen en datagraaien valt juridisch weinig te zeggen – de NSA doet wat ze wil. Maar als je als private partij een bevel krijgt om de NSA of hun vriendjes bij de FBI – of zelfs maar onze politie – te helpen door data af te geven, dan kom je wél in een juridisch thuisland. Want moet je daaraan meewerken, en wat kun je doen om dat aan de kaak te stellen? Dat is nog best lastig, zeker als je van zo’n club een gag order krijgt dat je niemand mag vertellen dát je hebt moeten meewerken. Een creatieve oplossing daartegen las ik in de Guardian: een dodemansknop, beter gezegd dodemansbordje dat zegt “Ik ben niet getapt” en dat haal je weg zodra je wél moest gaan tappen.

Steeds meer bedrijven publiceren transparency reports, met daarin het aantal overheidsverzoeken om data en wat daarmee is gebeurd. Bij mijn weten doet in Nederland alleen Leaseweb dat, maar in de VS alle grote jongens: Google, Facebook, Microsoft, Yahoo en meer. Algemene gegevens kun je daaruit halen, maar specifiek wie of wat

Ook bij ons kan zo’n zwijgbevel worden gegeven. Art. 126bb strafvordering bepaalt dat wie een vordering krijgt tot aftappen of afgeven van gegevens, “in het belang van het onderzoek geheimhouding in acht omtrent al hetgeen hem terzake van de vordering bekend is.” Op zich logisch want het is niet handig als je meteen na een tapbevel de verdachte gaat bellen om hem te melden dat je wordt getapt.

Daar staat tegenover dat lid 1 van datzelfde artikel bepaalt dat de getapte persoon zelf juist wél moet worden geïnformeerd “zodra het belang van het onderzoek dat toelaat”. Mits die persoon natuurlijk te vinden is, wat bij grootschalig datagraaien nog wel eens een punt kan zijn.

Strikt gesproken mag je van dat vijfde lid dus niet eens melden “ik kreeg gisteren een tapbevel” zonder enige details over wie of wat of hoezo. Dat kan vér gaan. In dit arrest noemt de advocaat-generaal het een “enorme inbreuk op iemands privéleven” dat je bijvoorbeeld je familie, vrienden en kennissen niet mag vertellen dat je informatie over hen moest geven. Maar ik denk niet dat het zó ver gaat dat je geen jaarlijks statistisch overzicht mag publiceren van het aantal tapverzoeken, wettelijke grondslagen en zo nog wat generieke informatie.

Maar goed, die dodemansknop. Is dát een inbreuk op de “geheimhouding in acht nemen” plicht uit 126bb? Enerzijds ja, want je onthult dát je moest gaan tappen of afgeven. Anderzijds nee, want concreet wordt hier niemand wijzer van: wie is er dan getapt, wat voor gegevens moesten worden afgeven en hoezo en waarom? Was dit een onderzoek van de fiscus of een moordzaak?

Het argument “stoppen met zeggen dat je niet getapt bent is wat anders dan zeggen dat je wél getapt bent” komt bij mij niet door de giecheltoets. Bij jullie wel?

Arnoud

Kan de National Security Agency hier vervolgd worden wegens computercriminaliteit?

Geplaatst op in Regulering, Security, 14 reacties

prismEen lezer vroeg me:

Via PRISM blijkt de Amerikaanse geheime dienst National Security Agency (NSA) ons allemaal af te luisteren. In Nederland is dat hartstikke illegaal. Kan ik daar aangifte van doen en wat gaat Justitie dan doen aan deze buitenlandse daders?

Het is inderdaad strafbaar om digitale communicatie af te tappen of op te nemen zonder toestemming. Opsporingsdiensten mogen dit soms wel, maar dan is er een bevel van de rechter-commissaris nodig. En onze eigen geheime dienst de AIVD mag dit soms ook. De NSA is geen Nederlandse geheime dienst dus mag dit niet.

Het is niet bij voorbaat uitgesloten dat een ambtenaar vervolgd kan worden voor handelingen in het buitenland. Zo hadden we medio jaren negentig een incident met een Nederlandse agent van wie Turkije de uitlevering wilde nadat een door hem gearresteerde Turkse man in een politiecel was overleden. Dus in theorie kan Nederland een onderzoek opstarten en dan de VS verzoeken om uitlevering van de mogelijke dader(s). De kans dat de VS daadwerkelijk tot uitlevering overgaat is natuurlijk nihil in deze situatie, dus heel erg praktisch lijkt me deze optie niet. Een aangifte lijkt me dan ook kansloos, die wordt binnen 5 minuten geseponeerd.

In Duitsland lijkt Justitie wél te overwegen een vervolging in te stellen. Dat heeft volgens mij vooral te maken met het feit dat de Duitse Justitie is verplicht te vervolgen bij misdrijven. En ik gok dat er ook een zekere echo van het Stasi-verleden mee zal spelen bij de afweging om te gaan vervolgen.

Arnoud

Mag ik een vals access point opzetten?

Geplaatst op in Security, 26 reacties

t-mobile-akkoor.pngOp Twitter kreeg ik de intrigerende vraag:

Is het illegaal om in de trein de wifi hotspot van m’n telefoon ’tmobile’ te noemen? En het verkeer te bekijken?

Op zich mag je natuurlijk je hotspot noemen wat je wilt, maar met specifiek die naam doe je alsof dit een hotspot is van het bedrijf T-Mobile. En dat is precies de hotspot die veel treinen tegenwoordig aanbieden.

Er is geen wetsartikel dat je specifiek verbiedt die naam te gebruiken (hoewel, het merkenrecht maar dat lijkt me nogal gezocht). Maar het gaat in het recht niet alleen om acties als zodanig, maar ook om de intenties. En vanwege de intentie hier (het meekijken met verkeer dat mensen op die hotspot gaan genereren) zou ik zeggen dat dit toch strafbaar is, en wel als poging tot aftappen van datacommunicatie.

Het opzettelijk en wederrechtelijk met een technisch hulpmiddel aftappen of opnemen van gegevens die voor iemand anders bedoeld zijn, is een strafbaar feit (art. 139c lid 1 Strafrecht). Zo’n telefoon/hotspot is een technisch hulpmiddel, en de gegevens die mensen daar overheen sturen zijn niet voor jou bedoeld. En de wederrechtelijkheid zit hem er hier dan in dat je het doet voorkomen dat je T-Mobile bent, de vertrouwde provider in de trein. Jezelf vals voordoen is eigenlijk altijd wel wederrechtelijk in zo’n context.

Het enkele áán hebben staan van die hotspot levert nog geen aftappen op, want er is dan nog geen data over je netwerk gegaan. Maar daarvoor kent het strafrecht de constructie van de “poging”: als je begonnen bent met een misdrijf te plegen maar dat misdrijf is nog niet daadwerkelijk gepleegd, dan is dat een strafbare poging tot plegen van dat misdrijf. Vereist is dat “het voornemen van de dader zich door een begin van uitvoering heeft geopenbaard”.

Alleen maar dit als gedachtenexperiment bespreken op Twitter is niet strafbaar, want dan heb je nog niets aan voorbereidende handelingen gedáán. Maar die hotspot daadwerkelijk activeren lijkt me wel een begin van uitvoering.

Interessant wordt het nog als die hotspot beveiligd is, met een raadbaar wachtwoord dat echter niet publiek is (en niet “t-mobile”) of zo. Want als mensen zelf gaan raden wat je wachtwoord is, plegen ze computervredebreuk op je netwerk. En het sniffen van verkeer van inbrekers lijkt me niet verboden. Of ben je in zo’n situatie mensen aan het uitlokken om in te breken bij jou?

Arnoud