Internetrecht door Arnoud Engelfriet

Een poging van twee leveranciers van GPS-horloges om een concurrent aan te pakken via de privacywet AVG is tot nu toe niet geslaagd. Dat meldde het FD onlangs. De rechtszaak was aangespannen omdat de concurrent de AVG zou overtreden, en daarmee een oneerlijke voorsprong zou nemen op de wél netjes AVG-compliant opererende eisers uit de zaak. Maar volgens de rechter is de AVG niet bedoeld om concurrenten mee aan te pakken; alleen consumenten en de AP kunnen zich op deze wet beroepen. Buitengewoon jammer!

De rechtszaak was aangespannen door Leading Care Technologies (LCT) en Lifewatcher uit Zoetermeer. Deze bedrijven leveren GPS-horloges aan ouderen, die daarmee direct contact kunnen houden met verzorgers. Alles netjes geregeld, zo te lezen: ze kopen in bij een Oostenrijks bedrijf en voor de verwerking van persoonsgegevens is een verwerkersovereenkomst gesloten met de leverancier.

De gedaagde was iets makkelijker: het door hem geleverde horloge en de app komen uit China. De app is gratis en kan gedownload worden uit de app-stores van Apple en Google, zonder enige check of toezicht vanuit de verkoper. Dat lijkt mij ook niet direct AVG-compliant, dus ik snap wel dat je je dan gefrustreerd voelt als concurrent die wél hard z’n best doet.

Het vonnis laat zien dat het gaat om de ‘relativiteit’, is het wel de bedoeling dat deze wet voor dit doel wordt ingezet. De AVG is een vertaling van het grondrecht van grip op je persoonsgegevens, en dat is per definitie iets persoonlijks waar gewone mensen wat aan hebben. De concurrent van een gebruiker van persoonsgegevens heeft weinig te maken met mijn grondrechten als betrokkene.

Het is natuurlijk erg jammer want juist private handhaving heeft bij dit soort wetgeving het meeste effect. Kijk naar reclamerecht en oneerlijke handelspraktijken: daar gaat het erg netjes mee in Nederland, omdat iedereen weet dat de concurrent in je nek springt als je ten onrechte zegt dat je goedkoper, sneller, beter of compatibeler bent.

Formeel is natuurlijk ook die wetgeving gericht op bescherming van consumenten, maar in de Europese Richtlijn over handelspraktijken staat vrij expliciet dat deze indirect legitieme ondernemingen beschermt tegen concurrenten die de regels in de richtlijn niet in acht nemen. Een dergelijke opmerking ontbreekt in de AVG, dus dat argument gaat hier niet op.

Dat had bij de AVG ook best kunnen werken: wie persoonsgegevens oneerlijk verwerkt, zet zichzelf op een oneerlijke voorsprong en daar lijdt de concurrent schade door. En bedrijven zijn prima in staat om in te schatten waar een bedrijf de fout in gaat met een wet als de AVG. Maar daar zet de rechter nu dus een streep door. Gemiste kans.

Opvallend nog is wat de rechter zegt over de gratis app. Die zou oneerlijke concurrentie opleveren: een gooi-en-smijt app met mogelijk Chinese achterdeur versus een zorgvuldig ontwikkelde en pas na dpia uitgebrachte Europese app, dat gaat nergens over natuurlijk. Maar nee:

Op computers kan gratis software worden geïnstalleerd en ook met de mogelijkheid om via App Store of Google Play Store gratis apps te downloaden zijn gebruikers van smartphones en tablets al jaren bekend. Ook de eventueel daaraan verbonden voor- en nadelen mogen inmiddels bekend worden verondersteld. Eén van die gratis apps is de SeTracker app, die niet alleen op de door Avium geleverd GPS-horloges werkt maar door iedereen op een geschikt apparaat, zoals een smartwatch of smartphone, kan worden geïnstalleerd.

Arnoud

Begin september hadden we een discussie over crypto-achterdeuren, waarbij de vraag langskwam of encryptie eigenlijk niet gewoon een mensenrecht is. Je hebt toch het grondrecht privacy, en hoe kun je dat nu effectief uitoefenen anders dan door versleutelde communicatie? Een goed punt, en ik werd er door aan het denken gezet want dit is een van die issues waardoor internetrecht/ICT-recht voor mij toch écht meer is dan een hippe naam voor nieuwigheden in het recht.

Encryptie of versleuteling is als technologie al ongeveer zo oud als het recht. Wie iets belangrijks over te brengen heeft, wil graag voorkomen dat ongewenste derden dat ook lezen. Van boodschappen tatoeëren op het hoofd van je slaaf tot de boodschap uitschrijven op een lange rol die alleen te lezen is door ‘m om één specifieke houten stok te wikkelen, de creativiteit is eindeloos.

Maar eigenlijk was encryptie wel altijd iets van de elite: regeringen, militairen en hele grote industrie. De belangen bij het geheim houden van berichten waren daar het grootste, en de kosten om encryptie te realiseren waren daar te dragen. Voor ‘gewone’ mensen (al dan niet als ondernemer) was encryptie nauwelijks te realiseren, in ieder geval niet op een praktische manier. Na de bredere opkomst van chips en daarna software kon je wel iets met encryptie doen, maar onder strenge regels waaronder het makkelijk kraakbaar maken van je encryptie.

In 1991 kwam daar verandering in. Philip Zimmerman bracht toen het softwarepakket Pretty Good Privacy oftewel PGP uit. Dit programma implementeerde hele krachtige cryptografische technieken middels een (naar de normen van die tijd) eenvoudig te gebruiken interface. De belangrijkste innovatie die PGP op de markt bracht, was die van publiekesleutelcryptografie. Wilde je met een willekeurige persoon veilig communiceren, dan kon je diens sleutel opvragen via een onbeveiligde verbinding. Een meeluisterende aanvaller had daar niets aan, want die sleutel was alleen te gebruiken om berichten te versleutelen en niet om ze te ontsleutelen. Voor dat laatste had iedereen nog een eigen private sleutel.

PGP was een schok in overheidskringen. Zimmerman werd vervolgd voor het exporteren van wapens en munitie, want cryptografie viel in de VS onder de wapenwet (ITAR). Hij werd vrijgesproken, terwijl ondertussen een stel slimmeriken de broncode van PGP uitprintten in een boek dat vervolgens geheel legaal naar Europa gestuurd werd – boeken zijn vrijheid van meningsuiting immers, haha dank u First Amendment – alwaar ze keurig ingescand en ge-OCR’d werden. Daarmee was de geest uit de fles. PGP werd opgevolgd door het vrijesoftwareproject Gnu Privacy Guard (GPG) en vele anderen implementeerden ook sterke, onkraakbare cryptografie.

Deze periode wordt wel de Crypto Wars genoemd: pogingen van overheden om de opkomst en vrije beschikbaarheid van encryptie in te dammen, onder meer door bepaalde cryptografie te verplichten (de Clipper Chip, met achterdeur), sterke encryptie te verbieden en stiekeme pogingen vanuit met name de NSA om encryptie te verzwakken (zoals naar verluidt in DES zou zijn gebeurd, en volgens Snowden-documenten ook de random number generator DualECDRBG). Dat leverde uiteindelijk weinig op: sterke encryptie is goeddeels de norm vandaag de dag.

Volgens sommigen zitten we nu in Crypto Wars 2.0. Die Snowden-onthullingen lieten namelijk ook zien hoe diep geheime diensten in de grote tech-bedrijven zaten mee te luisteren. De reactie daarop was om dan ook alles gelijk cryptografisch dicht te timmeren, niet alleen de interne netwerken maar ook de communicatiekanalen van klanten. (Er waren natuurlijk meer redenen, zoals compliance met persoonsgegevenswetgeving, bescherming van klantcommunicatie tegen meelezende dictators en enigszins cynisch het voorkomen dat je je netwerk hoeft af te laten tappen door Justitie.)

Overheden pushen nu met enige regelmaat het inbouwen van achterdeuren, variërend van lopers (master keys) voor encryptie tot het hebben van een extra sleutel die door Justitie kan worden gevorderd. Techbedrijven en cryptografen zijn daar fel op tegen: dit verzwakt per definitie de beveiliging, en misbruik is niet te detecteren. Daar is niet tegenop te programmeren.

Valt hier juridisch wat van te maken? Als je zegt, het communicatiegeheim is een essentieel deel van de privacy, dan is encryptie een afgeleid grondrecht: een geheim dat triviaal kan worden gebroken, is geen geheim. Encryptie moet dus alomtegenwoordig en sterk zijn om dat grondrecht privacy in de informatiesamenleving te kunnen borgen.

Tegelijk: grondrechten zijn (zelden tot) nooit absoluut. Als er een voldoende diepgaande noodzaak is, dan mag een grondrecht worden ingeperkt of tijdelijk op het tweede plan gezet. Ben je verdachte in een ernstig misdrijf, dan mag je huis worden doorzocht zonder jouw toestemming bijvoorbeeld. Een inbreuk op je privacy (je huis valt daar ook onder) maar legaal want de opsporing van ernstige strafbare feiten vinden we in principe een diepgaande noodzaak.

Vanuit dat perspectief is ook het ontsleutelen van je berichten ‘gewoon’ een maatregel die genomen kan worden bij strafbare feiten. Bepaal bij welke feiten, weeg de voors en tegens af en leg dat vast in een wet en je bent er (de meelezende grondrechtjuristen eisen dat ik nu “noodzakelijkheid, proportionaliteit en subsidiariteit” zeg, dat is formeel de norm).

Heb je nog de praktische implementatie over. Want waar een huis altijd wel te openen is door een goede slotenmaker of desnoods een dikke stormram, en een dikke map met administratie met voldoende mankracht echt wel door te ploegen is, is een versleuteld bestand in principe met mathematische zekerheid niet te openen zonder de sleutel. Heb je mazzel dan is er een foutje gemaakt in de cryptografische software, of staat de sleutel op een geel briefje naast de monitor, maar daar kun je niet op rekenen.

We hebben nu in de wet staan dat wie kennis heeft van de versleuteling van berichten, deze moet ontsleutelen als daar aanleiding toe is (zo’n ernstig misdrijf dus). Dat werkt bij bijvoorbeeld zakelijke e-mail, die vaak versleuteld wordt maar vrijwel altijd met een achterdeur voor de bedrijfscontinuïteit – als Piet ontslag neemt of onder lijn 5 komt, dan moet zijn collega bij zijn mail kunnen. Maar steeds meer software is écht onkraakbaar. Neem WhatsApp, dat end to end encryptie toepast. Alleen afzender en ontvanger kunnen het bericht lezen, WhatsApp zelf kan er gewoon niet bij en die collega ook niet (tenzij hij bij de telefoon kan).

Daarmee heeft de wet een probleem. Want dan kun je wel zeggen “wie kennis heeft”, maar die hééft niemand dan meer (behalve de verdachte, en die kun je niet zomaar verplichten mee te werken – los van dat ‘ie wel gek zou zijn om dat te doen). En dan ontstaat er dus een fundamenteel heel lastige situatie: dat grondrecht privacy is nu wel prachtig gewaarborgd, maar de ruimte die er is om dat grondrecht te beperken voor de opsporing van strafbare feiten, die is nu verdwenen. Weggeprogrammeerd. Code as Constitution: het communicatiegeheim is onschendbaar, punt.

Wat hiermee te doen, weet ik nog niet. Het voelt juridisch een beetje raar dat je een absoluut recht hebt, waar geen inbreuk op gemaakt kán worden. Maar het kan dus kennelijk wel. Fascinerend.

Arnoud

Twitterende tegenstanders van azc’s moeten rekening houden met een bezoekje van de politie. Mag dat? Dat schreef NRC vorige week. „Wij hebben orders gekregen om u te vragen op uw toon te letten. Uw tweets kunnen opruiend overkomen”, kreeg een Sliedrechtenaar te horen nadat hij had getwitterd over een AZC-bijeenkomst. Iets strafbaars zei hij niet, dus dat roept dan de vraag op, waar bemoeit die agent zich mee? En hoezo gaan ze dan langs je huis om wat te zeggen van je tweet?

In principe heeft een agent het recht zich te bemoeien met wat je in de openbaarheid doet, als dat de openbare orde raakt. Dat staat zo in artikel 3 Politiewet:

De politie heeft tot taak in ondergeschiktheid aan het bevoegd gezag en in overeenstemming met de geldende rechtsregels te zorgen voor de daadwerkelijke handhaving van de rechtsorde en het verlenen van hulp aan hen die deze behoeven.

Als een agent je ziet terwijl je hard fietsend op een rood stoplicht afkomt, dan mag hij je manen af te remmen, ook al ben je nog niet door rood gefietst. Dit artikel geldt dus niet alleen bij daadwerkelijk gepleegde strafbare feiten. Ik zie het principiële verschil niet tussen mensen op straat waarschuwen niet door rood te rijden en mensen op straat waarschuwen geen strafbare dingen te gaan roepen.

Artikel 3 is overigens niet bedoeld voor activiteiten waarbij de politie inbreuk maakt (“een meer dan geringe”, althans) op grondrechten van burgers. Een huis doorzoeken of iemands mailbox lezen kan dus niet op grond van dit artikel, daar is een specifiek bevel voor nodig onder het Wetboek van Strafvordering.

Maar, zo weten we ondertussen, de politie mag kijken wat er in het openbare internet allemaal gebeurt. In de jihadzaak van december werd over rechercheren op internet gezegd:

Zoals de politie, al dan niet in burger, op straat mag surveilleren en rondkijken, zo mag een rechercheur vanachter zijn computer hetzelfde doen op internet. Een uitdrukkelijke wettelijke grondslag is daarvoor niet nodig’. Daarbij wordt door de Minister opgemerkt dat deze bevoegdheid om rond te kijken op een openbaar netwerk niet de bevoegdheid impliceert om stelselmatig voor de uitoefening van de politietaak gegevens van internet te downloaden en in een politieregister op te slaan.

Op internet rondkijken is dus hetzelfde als op straat surveilleren. En als je op straat iemand hoort schreeuwen “Laat ze oprotten die teringleiers, we gaan met z’n allen naar het gemeentehuis”, dan mag je als agent even een praatje aanknopen. Ook als men slechts volstrekt legale bedoelingen heeft en niet meer wil dan oproepen tot een legale betoging bij het gemeentehuis om onvrede te brengen. (“Teringleiers” roepen in een politieke discussie lijkt me niet direct strafbare groepsbelediging.) Je zit in een grijs gebied met zo’n oproep, en deel van de taak van de politie is die grijze gebieden netjes houden.

Hetzelfde argument werd aangehaald bij het raadplegen van Google Earth in een belastingfraudezaak. Men citeert de minister:

Zoals de politie, al dan niet in burger, op straat mag surveilleren en rondkijken, zo mag een rechercheur vanachter zijn computer hetzelfde doen op Internet. Een uitdrukkelijke wettelijke grondslag is daarvoor niet nodig, mits dat optreden gerekend kan worden tot de uitvoering van de politietaak (zie artikel 2 [nu artikel 3, AE] Politiewet 1993).

Een keertje kijken op Google Earth viel hieronder, omdat het incidenteel was en een openbare bron. Twitter en Facebook zou ik in principe hier ook onder rekenen, in ieder geval zolang het openbaar is en je geen kunstgrepen met nepaccounts en bevrienden uit hoeft te halen. Immers, zelfs je volgen op Twitter is nog niet automatisch een “meer dan geringe” inbreuk.

Tegelijk lijkt het me zeker nogal heftig om een agent aan je deur te krijgen, heftiger dan op straat te horen “kan het even wat minder meneer”. Op straat is het direct gerelateerd aan je actie, en als men een week later thuis langskomt dan mis je die link. Maar ik zie dat als inherent aan het medium Twitter: men kan moeilijk direct er wat van zeggen, dus logisch dat het even duurt. Ik denk niet dat mensen onder de indruk zijn als de politie terug gaat twitteren “@jijdaarmetdiehashtag even dimmen meneertje”.

Arnoud

Op dat Like-knopje klikken is hetzelfde als op straat een slogan gaan scanderen, juridisch gezien dan. Dat vonniste een Amerikaanse rechter bij een ontslagzaak in Virginia. Een sheriff aldaar (een gekozen beroep in de VS) ontdekte dat zes medewerkers zijn concurrent hadden geliked, waarop hij deze ontsloeg. Zij vochten dit aan met een beroep op… Lees verder

De politie had een filmpje van een politie-optreden op de mobiele telefoon van een verdachte niet mogen wissen, las ik bij Mediareport. De rechter oordeelt dat daarmee “de enige reële mogelijkheid voor verdachte om zijn onschuld voor de rechter aan te tonen” gewist is, zodat daarmee zijn grondrecht op een eerlijk proces (en vrije informatiegaring)… Lees verder

Een verbod op downloaden is in strijd met het Europees Verdrag voor de Rechten van de Mens, zo las ik gisteren in Trouw. Hendrik Rood van van Stratix zegt in dat artikel namelijk: In [het EVRM] is vastgelegd dat een inwoner van Europa niet belemmerd mag worden bij het ontvangen van informatie. Overheden mogen die… Lees verder

Alweer even geleden, maar ik was er helemaal over vergeten te bloggen. Dit voorjaar volgde ik het interessante mastervak Electronic Commerce: international legal aspects bij de Universiteit van Tilburg. Samen met twee medestudenten schreef ik als onderdeel van dat vak de column “Real human rights in virtual words”, die werd gepubliceerd bij NJblog: Virtual worlds… Lees verder

Grondrechten gelden ook gewoon op internet. Dat lijkt logisch, maar het is toch goed om te zien dat dat principe ook in de rechtspraak gevolgd wordt. In een recent vonnis van de Europese strafkamer van de rechtbank Amsterdam wordt een uitlating op internet als “minder openbaar” aangemerkt dan bijvoorbeeld radio of televisie. Daarom zal er… Lees verder

Het gebruik van internetfilters kan een schending van de mensenrechten zijn. Dat blijkt uit een rapport van de Raad van Europa dat eind maart uitkwam. De Raad van Europa is onder andere verantwoordelijk voor het Europees Verdrag voor de Rechten van de Mens, dat de belangrijkste grondrechten binnen Europa vastlegt. De Europese Unie heeft zich… Lees verder