Niet-loggend Protonmail blijkt op bevel toch te loggen, hoe raar is dat?

| AE 12898 | Regulering, Security | 20 reacties

mohamedhassan / Pixabay

Het Zwitserse Protonmail, een bekende voorvechter van privacyvriendelijk mailen, blijkt op bevel van de Zwitserse autoriteiten IP-adressen te loggen. Dit terwijl ze zeggen dat niet te doen. Dat meldde TechCrunch onlangs, op gezag van Etienne – Tek op Twitter. Het bevel is gegeven op gezag van Europol, naar aanleiding van een Frans onderzoek naar klimaatactivisten die in Parijs ophef creëren rond gentrificatie. Oei, wat nu?

Het mailadres van Protonmail werd gebruikt door de activisten om met elkaar te communiceren. Een niet onbekende truc: log allemaal in en typ drafts die de rest dan kan lezen, dat is effectiever dan mails naar elkaar sturen. Maar het staat of valt natuurlijk met de toegang tot die ene mailprovider.

Protonmail zegt “Standaard houden wij geen IP-logboeken bij die gekoppeld kunnen worden aan uw anonieme e-mailaccount. Uw privacy staat voorop.” Dus dat klinkt goed. Alleen, dan zegt de CEO naar aanleiding van deze zaak:

“Proton must comply with Swiss law. As soon as a crime is committed, privacy protections can be suspended and we’re required by Swiss law to answer requests from Swiss authorities.”
Dit gaf veel ophef, want hoezo kan Proton ineens IP-adressen geven aan de autoriteiten als ze die niet loggen? Wordt er stiekem dan toch gelogd? Dat zou in strijd zijn met het privacybeleid dat men hanteert. Daarin staat namelijk niet “wij houden wel IP-adressen bij voor het geval Justitie langskomt”.

Als ik het goed lees, dan gaat het echter niet om afgeven van reeds gelogde IP-adressen, maar om het actief loggen op bevel. Uit het transparency report:

In addition to the items listed in our privacy policy, in extreme criminal cases, ProtonMail may also be obligated to monitor the IP addresses which are being used to access the ProtonMail accounts which are engaged in criminal activities.
Dit lijkt de motivatie te zijn geweest voor deze keuze, maar ik zie dan gelijk een hoop vraagtekens bij “extreme criminal case”. Wat wordt daaronder verstaan? Proton vult die term niet zelf in, dus ik zie dan twee mogelijkheden: 1) het is PR-taal voor “heel uitzonderlijke gevallen” om te verhullen hoe vaak dit speelt of 2) het is half-begrepen juridisch jargon uit het Zwitsers strafrecht.

Vrijwel elk land kent namelijk categorieën van strafrechtelijke overtredingen. Niet alleen overtredingen en misdrijven, maar ook subcategorieën. Bijvoorbeeld bij ons misdrijven waar vier jaar of meer op staat – art. 67 Strafvordering. En dat lijstje noemt er nog veel meer, waaronder het kraakverbod (art. 138a Strafrecht). Dit terwijl daar maar één jaar cel op staat, maar toch is het “ernstig” onder Nederlands recht.

En dat is opmerkelijk, want die Franse zaak gaat dus over kraken en gezien de vele berichten over de nieuwe strenge Franse anti-kraakwetgeving zou het me dus niets verbazen als er in de Franse strafwet ook een wat hogere categorie aan dit delict is gegeven. Dat zou dan het internationale bevel verklaren en de reden dat de Zwitsers er aan meewerken. Dat is dan juridisch gezien volkomen logisch en in het geheel niet opmerkelijk.

Arnoud

Gaan providers e-mail van Brein aan torrentgebruikers doorsturen?

| AE 12381 | Intellectuele rechten, Ondernemingsvrijheid | 37 reacties

Ziggo en KPN hebben nog geen duidelijk standpunt ingenomen over het plan van Brein om torrentgebruikers te waarschuwen, meldde Tweakers onlangs. Brein wil vanaf 15 december beginnen met het versturen van waarschuwingsberichten van torrentgebruiker, door IP-adressen te monitoren van mensen die BitTorrent of sites als Popcorn Time gebruiken en dan internetproviders te vragen een e-mail door te sturen.

Het moet gezegd, de voorbeeld-email van Brein klinkt erg neutraal. Bepaald geen blafbrief zoals menig auteursrechtjager uit de pen trekt. Er wordt zelfs rekening gehouden met het geval dat de houder van het IP-adres (het internetabonnement) van niets weet of zelfs de wifi gekaapt kan zijn. Wel dreigt men indirect met de gang naar de rechter als er niets gebeurt, maar op een wijze die ik niet heel onredelijk vind.

Maar goed, dat is fase twee. Eerst maar eens zien wat deze brieven doen. Alleen is daarvoor natuurlijk de medewerking van de providers nodig, en dat is nu dus de discussie. Er is geen directe wettelijke plicht voor zo’n doorstuuractie, hoewel het in het verleden wel bepleit is. Wel is er natuurlijk de plicht tot afgifte persoonsgegevens, maar de providers verzetten zich daar heftig tegen. Dit voelt dus als een stukje de-escalatie, Brein krijgt zo immers geen namen bij IP-adressen dus het privacy-argument vervalt daarmee voor een groot deel.

Desondanks geven de meeste providers aan dat ze niet al te happig zijn om hier aan mee te werken. Het zet natuurlijk een precedent, als je deze mails stuurt dan kun je tegen dreigbrief 2 geen nee meer zeggen, en de stap naar “en geef na brief 3 maar gewoon de NAW gegevens” wordt ook weer een stukje kleiner. Ik zie dus hoe dan ook de gang naar de rechter wel weer hangen.

Brein denkt dat het voorlichtingsprogramma het gebruik van illegaal aanbod zal verminderen. Met marktonderzoek gaat de stichting onderzoeken of dat ook echt zo is. Blijkt het toch tegen te vallen, dan sluit men handhaving tegen deze structurele seeders niet uit.

Arnoud

Een auteursrechthebbende mag van Youtube alleen je postadres vragen (moehaha)

| AE 12062 | Ondernemingsvrijheid, Privacy | 16 reacties

Wanneer een film illegaal is geüpload op een onlineplatform zoals YouTube, kan de rechthebbende krachtens de richtlijn betreffende de handhaving van intellectuele eigendomsrechten bij de exploitant uitsluitend het postadres van de betrokken gebruiker opvragen, maar niet zijn e-mailadres, IP-adres of telefoonnummer. Dat las ik bij ITenRecht. Het Hof van Justitie bepaalde dat onlangs in een procedure tussen Constantin Film Verleih GmbH, een in Duitsland gevestigde distributeur van films en YouTube. En ja, ik weet dat je weinig hebt aan die informatie.

Al lange tijd proberen filmproducenten en handhavers zoals BREIN informatie te krijgen van Youtube over uploaders van illegaal materiaal. Youtube werkt daar niet aan mee (dat is namelijk niet handig voor het businessmodel, pardon Youtube staat voor de grondwettelijk vastgelegde privacy van haar gebruikers).

In 2004 verscheen een Europese Richtlijn (de Handhavingsrichtlijn) waarmee rechthebbenden een bevoegdheid kregen om bij platforms en andere tussenpersonen gegevens van uploaders te krijgen. Iets preciezer (artikel 8 lid 2): “de naam en het adres van de producenten, fabrikanten, distributeurs, leveranciers en andere eerdere bezitters”. Dat is vrij logisch voor de situatie waarin handelaren ergens gevestigd zijn en dingen in- en wederverkopen.

Bij Youtube is dit iets minder logisch. Dat bedrijf heeft alleen e-mailadressen, IP-adressen en mogelijk een telefoonnummer (bijvoorbeeld vanwege tweefactorauthenticatie). Is dat een “adres”? Dat is een lastige, want de Handhavingsrichtlijn specificeert dat niet en het staat ook niet in eerdere Europese regels als gedefinieerde term. Het Hof trekt dan de ietwat verrassende conclusie dat dit niét het geval is: als je zegt “naam en adres” van iemand, dan bedoel je een woon- of vestigingsadres, niet een IP-adres (het plaatje rechtsboven is dus een grapje).

Dat botst wel met het idee dat dit artikel van de Handhavingsrichtlijn bedoeld is om rechthebbenden te helpen handhaven door informatie op te vragen van platforms. En u weet het, als je rechten hebt en auteursrechten, dan winnen de auteursrechten. Alleen nu niet, en ik ben daar oprecht door verbaasd: het Hof concludeert dat de Europese wetgever het simpel wilde houden en (nog) niet wilde nadenken over IP-adressen en e-mail. (Of, denk ik, dat de lidstaten het daar niet over eens konden worden.) En dan kun je dus niet later uit die wet halen dat je alsnog die elektronische gegevens mag hebben.

Het is wel toegestaan dat lidstaten nadere regels maken die strenger zijn. Zo hebben we bij ons het Lycos/Pessers arrest, op grond waarvan je wél IP-adressen en e-mailadressen kunt opeisen van een dienstverlener. Dat arrest blijft gewoon overeind.

Arnoud

Waarom is een IP-adres een persoonsgegeven en een kenteken niet?

| AE 10365 | Privacy | 28 reacties

Een lezer vroeg me: Regelmatig lees ik dat IP-adressen als persoonsgegevens worden gezien, omdat ze tot een persoon (de gebruiker van de computer waar dat adres aan toegekend is) herleidbaar zijn. Dat klopt in theorie, maar je hebt daar de internetprovider voor nodig en die zal zonder gerechtelijk bevel niet meewerken, toch? Maar bij kentekens… Lees verder

Dynamische ip-adressen zijn ook persoonsgegevens voor websitehouders

| AE 9016 | Privacy | 8 reacties

Het Europese Hof van Justitie heeft bepaald dat dynamische ip-adressen persoonsgegevens kunnen zijn, zo meldde Tweakers vorige week. Daar schijn je over te kunnen twijfelen, dus goed dat er nu een uitspraak (zaaknr. C-582/14) over is. De zaak werd aangespannen door een Duitse burger die constateerde dat overheidswebsites zijn IP-adres logden. Hij maakte daartegen bezwaar:… Lees verder

Mijn provider blokkeert IP-adressen van schurkenstaten, mag dat?

| AE 8382 | Informatiemaatschappij | 23 reacties

Een lezer vroeg me: Wij zijn klant bij het Amerikaanse cloudbedrijf SoftLayer. Nu lezen wij dat SoftLayer network-wide blocking implementeert van IP-adressen uit Cuba, Iran, North Korea, Soedan en Syrië. Dit in verband met Amerikaanse handelssancties. Kan dat zomaar? Inderdaad zijn er al diverse jaren allerlei zware handelssancties tegen de genoemde landen. President Bush noemde… Lees verder

In één nacht het internet scannen, hoe strafbaar is dat?

| AE 8048 | Regulering, Security | 12 reacties

Het begon als grap, las ik in De Correspondent. Een onderzoeker wilde kijken hoeveel apparaten Telnet gebruikten. Op heel internet dus. “Hij bedacht daarom een list en liet een botnet het vuile werk opknappen.” Ook goeiemorgen. Een botnet van 30.000 computers die uiteindelijk concludeerden dat van 1,3 miljard IP-adressen een reactie kwam en van 2,3… Lees verder

IP-adressen ministerie gekaapt door Bulgaren, mag dat?

| AE 7880 | Regulering | 24 reacties

IP-adressen van het ministerie van Buitenlandse Zaken zijn vorig jaar een week lang in handen gekomen van Bulgaarse criminelen, meldde de Volkskrant vorige week. Middels een BGP Hijack wist men internetverkeer van en naar deze IP-adressen te kapen, waarmee men in theorie in staat zou zijn geweest malware of phishingmails te versturen die niet te… Lees verder

Mag een bedrijf me weigeren omdat ik een Tor exit node draai?

| AE 7503 | Informatiemaatschappij | 25 reacties

Een lezer vroeg me: Als ik de supportpagina’s van Apple (support.apple.com en discussions.apple.com) probeer te benaderen, krijg ik een “Access Denied” foutmelding. Ik vermoed dat dit is omdat ik een Tor exit node draai (zie https://trac.torproject.org/projects/tor/wiki/org/doc/ListOfServicesBlockingTor). Maar mag Apple me nu zomaar support ontzeggen? Ik heb toch een dure iPhone bij ze gekocht! Ik kan… Lees verder

Wat mag er nu de cookiewet wordt versoepeld?

| AE 7414 | Privacy | 20 reacties

Het voelt een tikje als verplicht nummer, deze blog, maar goed. De versoepelde cookiewet is aangenomen in de Eerste Kamer. Nu is het alleen nog even wachten op inwerkingtreding, maar dan zal het toegestaan zijn om niet-functionele cookies te plaatsen zonder toestemming te vragen zolang het gaat om cookies die “geen of slechts geringe” inbreuk… Lees verder