Internetrecht door Arnoud Engelfriet

De politie heeft Nederlandse hostingbedrijven net als vorig jaar weer een brief verstuurd waarin wordt gewaarschuwd voor malafide resellers, meldde Security.nl onlangs. Die verhuren de serverruimte van Nederlandse hostingbedrijven door aan andere partijen, waaronder cybercriminelen. De brief bevat een lijst van verdachte resellers, met het advies “dringend om te controleren of de genoemde resellers in [uw] klantenbestand voorkomen”  en dan de overeenkomst op te zeggen. Dat voelt als een zwaktebod, als je weet dat deze figuren zo malafide zijn waarom vervolg je ze dan niet? Nou ja, dat ligt dus ingewikkeld.

In juni blogde ik over het OM, dat het “werkelijk idioot” noemde hoe de juridische en technische werelden uit elkaar zijn gegroeid op dit punt. Je hebt een Nederlands bedrijf met een server hier, op die server staat een malafide site, maar de reseller zit formeel op de Seychellen en dan krijg je geen rechtshulpverzoek. De Nederlandse verhuurder werkt niet mee want die ziet ook niet wat zijn resellers verkopen, en kan dan verder niet ingrijpen. Ja, de hele serverkast offline halen, maar dat is nogal disproportioneel.

Zoals ik toen al zei, ik kan me niet direct voorstellen dat dezelfde reseller én een berg pittige cybercriminelen én Alipay Nederland als klant heeft, maar dit is het voorbeeld dat men steeds noemt. Deze brief lijkt dus een nieuwe actie te zijn, ga eens na of er rare figuren tussen je klanten zitten en zo ja, doe er wat aan als dat zo uitkomt.

Dat is nog een lastige, want het OM kan niet vorderen (eisen) dat een bedrijf de relatie met een klant verbreekt. En dan krijg je dus de discussie of je als politie vriendelijk mag vragen terwijl er geen grond voor is. Vaste lezers weten dat dat discutabel is, omdat mensen vragen van politieagenten al snel opvatten als een vriendelijke geformuleerd bevel. De juridische regel is dat het mag, tenzij de vraag in meer dan triviale mate iemand in zijn grondrechten treft. Bij wijze van spreken: vragen of je iemand op een gele scooter hebt zien wegrijden daarnet, dat mag gewoon. Vragen of ze even je securitycambeelden mogen bekijken, dat vergt een vordering en dat mogen ze dus niet vragen.

Ik zie eerlijk gezegd geen grondrechten nontriviaal in het geding komen met deze vraag “heroverweeg eens de relatie met deze onwelriekende partijen”. Ja, ondernemersvrijheid, maar die pleit juist vóór het kunnen afsluiten. (Ik denk dat het OM het zo toejuichen als die resellers rechtszaken beginnen, want dat levert veel inzicht in relevante informatie.) En bovendien zit er nog een eigen check op, “we zeggen hierbij op want we kregen een brief van de politie” is juridisch geen steekhoudend argument. Maar “op basis van politie-informatie hebben wij – zie artikel 8.3 van onze voorwaarden – uw account geïnspecteerd en daar cybercrime-forums aangetroffen, dat is in strijd met artikel 4 TOS en daarom zegen wij op” is wél een geldige reden om op te mogen zeggen.

En let op: het gaat hier om civiel recht, dus de eisen zijn een stuk lager dan wanneer het OM een rechtszaak tegen zo’n reseller zou beginnen. Zeker als je een béétje fatsoenlijke voorwaarden hebt, waarin dingen staan als “naar ons redelijk oordeel” in plaats van “wettig en overtuigend is vast komen te staan met toegelaten bewijsmiddelen” (art. 338 en 339 WvSv). Omdat het gaat om zakelijke relaties, is er contractueel heel veel ruimte.

Arnoud

geralt / Pixabay

Het Openbaar Ministerie wil dat het makkelijker wordt om klantgegevens en andere informatie op te vragen van bedrijven die serverruimte in Nederland doorverhuren. Dat las ik bij Security.nl. Men citeert hightechcrime-officier Esther Baars in OM-bedrijfsblad Opportuun die signaleert dat cybercriminelen vaak servers van Nederlandse datacentra gebruiken met tussenkomst van een reseller. Optreden daartegen vereist een rechtshulpverzoek, terwijl de data gewoon hier in Nederland staat. “Dat is werkelijk idioot”.

Baars legt uit waar de kern van het probleem zit:

Vaak gebruiken [cybercriminelen] servers van datacentra in Nederland. Zo’n datacenter verhuurt een server aan een tussenpersoon, een ‘reseller’. Dat mag gewoon. En die reseller verhuurt dan die serverruimte in Nederland weer door aan zijn eigen klanten. Dat maakt het voor ons ingewikkeld om verdachte klanten op te sporen.

Het punt is natuurlijk, bij zo’n gewone kast in een opslagbox kun je een slotenmaker meenemen en het ding openmaken, of je neemt hem (de kast, niet de slotenmaker) mee naar het bureau om daar rustig na te gaan wat er in zit. Bij een digitale kast, de vps van de klant van een reseller, is dat een stuk complexer:

[Dan] is het niet onmogelijk om een kopie te maken, maar kan dat kopiëren schade veroorzaken voor onbekende klanten die die server ook gebruiken maar niks met de criminaliteit te maken hebben. … [O]nze wet is zo ingericht dat we dan eigenlijk rechtshulpverzoeken moeten doen om die gegevens te krijgen. Dat is werkelijk idioot, want het is gewoon data die in Nederland staat en de plaats delict is dus gewoon Nederland.

Ja, ik kan me ook niet direct voorstellen dat dezelfde reseller én een berg pittige cybercriminelen én Alipay Nederland als klant heeft, maar dit is het voorbeeld dat men noemt dus dat zal ergens op gebaseerd zijn. Maar goed ook als het gaat om gewoon een doorsnee gamingdienst of betaald forum, je dupeert een onschuldige ondernemer enkel omdat die bij dezelfde reseller wat afneemt als een crimineel.

De reseller kan gericht servers afsluiten of kopieën helpen maken, maar die is daar zelden toe bereid zonder bevel van de lokale overheid, vandaar die route van het rechtshulpverzoek. En dat gaat inderdaad vaak traag, als men in zo’n land al bereid is om überhaupt iets te doen tegen een reseller wiens klanten in dat land geen directe rottigheid uithalen.

Wat dan wel?

De reseller [weet precies] waar wij moeten zijn. Het zou zo logisch zijn als we de Nederlandse partij kunnen verplichten die exacte locatie te achterhalen en aan ons door te geven.

Een lastige is, hoe dwing je resellers om dit te doen. Je komt dan al snel bij administratieve procedures uit, zoals dat de hoster moet kunnen meekijken in het VPS controlepaneel maar dan zonder de overige, commercieel zeer interessante, gegevens over de klanten. Of dat de hoster een beperkte set informatie krijgt maar wel moet kunnen nagaan dat dat overeenkomt met de werkelijke configuratie. Het kan allemaal maar praktisch is anders.

Arnoud

Het is voor de Nederlandse politie moeilijk om hostingproviders strafrechtelijk te vervolgen als ze illegaal materiaal hosten. Dat meldde Tweakers vorige week. In antwoord op Kamervragen meldt Ye?ilgöz van Justitie dan ook dat de politie voornamelijk inzet op samenwerking met de sector. Meer zou lastig zijn: hostingproviders kunnen onder de Europese wet niet aansprakelijk worden gesteld voor het gedrag van hun klanten. Eh, ja, maar iets ingewikkelder.

Deze discussie heeft niets te maken met de Europese regels over aansprakelijkheid van providers. Aansprakelijkheid is civiel (burgerlijk) recht, hier gaat het om strafrecht. Als je strafbaar bent, krijg je een boete of celstraf. Als je aansprakelijk bent, moet je iemands schade vergoeden.

Het klopt in zoverre dat toen de civiele regels over aansprakelijkheid van providers werden gemaakt, Nederland gekozen heeft voor ook een regel van strafrecht, artikel 54a Wetboek van Strafrecht. Die zegt, een provider is niet strafrechtelijk aan te pakken als hij na een bevel van de rechter-commissaris meteen het contentitem weghaalt waar het om gaat.

Dat leek destijds een goed idee, nadeel blijkt ondertussen dat dit gelezen wordt als “je moet per URL een bevel geven en dan halen we specifiek die URL offline”. Waardoor criminele klanten bij wijze van spreken één letter veranderen in de abs_path en het weer online zetten. En er is geen juridische basis om providers te bevelen een klant te weren of een hele site offline te halen.

Er wordt nu gewerkt aan nieuwe Europese regels die meer strafrechtelijke armslag moeten geven, zodat een provider ook strafrechtelijk te vervolgen zou worden wanneer hij weigert een klant geheel af te sluiten die grootschalig de strafwet overtreedt.

Arnoud

Een Duitse rechtbank heeft een Duitse website veroordeeld voor het zonder toestemming doorgeven van het ip-adres van een bezoeker aan Google door middel van Google Fonts. Dat meldde Security.nl afgelopen maandag. De klagende bezoeker krijgt 100 euro schadevergoeding. Volgens de rechter heeft de website geen gerechtvaardigd belang, aangezien Google Fonts ook lokaal is te gebruiken… Lees verder

De arrondissementsrechtbank van Keulen heeft Tutanota opgedragen om op verzoek van de autoriteiten postvakken van gebruikers toegankelijk te maken en de tekst van e-mails in plain text in te laten zien. Dat meldde Tweakers afgelopen maandag. Tutanota levert end-to-end gecodeerde e-mailsoftware en een freemiumdienst voor gehoste e-mail, die dus niet afgeluisterd, getapt of ingezien kan worden… Lees verder

Een lezer vroeg me: Onze websitebouwer en hosting bedrijf stapt over op een ander (en volgens hun veiliger) cms systeem. Het cms dat we nu gebruiken zal per 1 juli bevroren worden en per 1 januari daarna offline gehaald worden. Kunnen zij dat eenzijdig zeggen? Dit geeft ons enorme kosten, onder meer 5000 euro voor… Lees verder

Een lezer vroeg me: Als hostingbedrijf krijgen wij steeds vaker klachten dat een website van een klant ten onrechte persoonsgegevens publiceert of anderszins de AVG overtreedt, bijvoorbeeld door verwijderingsverzoeken te negeren. Zijn wij verplicht hier gehoor aan te geven en zo ja welk niveau van inhoudelijke check moeten wij dan doen? Sinds de AVG zijn… Lees verder

Een lezer vroeg me: Wij zijn een hostingbedrijf en beginnen steeds verder te groeien. Nu lopen we af en toe tegen de situatie aan dat klanten niet meer reageren bij een verlenging en dus ook geen factuur betalen. Wij houden de boel dan netjes in de lucht, maar dat wordt steeds meer gedoe, zeker als… Lees verder

Een lezer vroeg me: Wij zijn een klein hostingbedrijf en vroegen ons het volgende af. Stel een van onze systeembeheerders met root toegang besluit op een kwade dag om álle klantdata te wissen, en meteen ook maar de backups. Theoretisch kunnen zij dat, en waarschijnlijk ongemerkt ook. In hoeverre zijn wij dan als bedrijf aansprakelijk… Lees verder

Een lezer vroeg me: Mag ik, als hostingprovider, klanten dwingen om SSL/TLS te gebruiken? Via een aantal scripts is het gehele proces te automatiseren, zodat er tijdens het aanmaken van een account een certificaat wordt aangemaakt (via Let’s Encrypt, dus geen meerkosten) en verbindingen vervolgens over SSL/TLS forceren (mod_rewrite en HSTS header). Ik heb veel… Lees verder