Niet-loggend Protonmail blijkt op bevel toch te loggen, hoe raar is dat?

| AE 12898 | Regulering, Security | 20 reacties

mohamedhassan / Pixabay

Het Zwitserse Protonmail, een bekende voorvechter van privacyvriendelijk mailen, blijkt op bevel van de Zwitserse autoriteiten IP-adressen te loggen. Dit terwijl ze zeggen dat niet te doen. Dat meldde TechCrunch onlangs, op gezag van Etienne – Tek op Twitter. Het bevel is gegeven op gezag van Europol, naar aanleiding van een Frans onderzoek naar klimaatactivisten die in Parijs ophef creëren rond gentrificatie. Oei, wat nu?

Het mailadres van Protonmail werd gebruikt door de activisten om met elkaar te communiceren. Een niet onbekende truc: log allemaal in en typ drafts die de rest dan kan lezen, dat is effectiever dan mails naar elkaar sturen. Maar het staat of valt natuurlijk met de toegang tot die ene mailprovider.

Protonmail zegt “Standaard houden wij geen IP-logboeken bij die gekoppeld kunnen worden aan uw anonieme e-mailaccount. Uw privacy staat voorop.” Dus dat klinkt goed. Alleen, dan zegt de CEO naar aanleiding van deze zaak:

“Proton must comply with Swiss law. As soon as a crime is committed, privacy protections can be suspended and we’re required by Swiss law to answer requests from Swiss authorities.”
Dit gaf veel ophef, want hoezo kan Proton ineens IP-adressen geven aan de autoriteiten als ze die niet loggen? Wordt er stiekem dan toch gelogd? Dat zou in strijd zijn met het privacybeleid dat men hanteert. Daarin staat namelijk niet “wij houden wel IP-adressen bij voor het geval Justitie langskomt”.

Als ik het goed lees, dan gaat het echter niet om afgeven van reeds gelogde IP-adressen, maar om het actief loggen op bevel. Uit het transparency report:

In addition to the items listed in our privacy policy, in extreme criminal cases, ProtonMail may also be obligated to monitor the IP addresses which are being used to access the ProtonMail accounts which are engaged in criminal activities.
Dit lijkt de motivatie te zijn geweest voor deze keuze, maar ik zie dan gelijk een hoop vraagtekens bij “extreme criminal case”. Wat wordt daaronder verstaan? Proton vult die term niet zelf in, dus ik zie dan twee mogelijkheden: 1) het is PR-taal voor “heel uitzonderlijke gevallen” om te verhullen hoe vaak dit speelt of 2) het is half-begrepen juridisch jargon uit het Zwitsers strafrecht.

Vrijwel elk land kent namelijk categorieën van strafrechtelijke overtredingen. Niet alleen overtredingen en misdrijven, maar ook subcategorieën. Bijvoorbeeld bij ons misdrijven waar vier jaar of meer op staat – art. 67 Strafvordering. En dat lijstje noemt er nog veel meer, waaronder het kraakverbod (art. 138a Strafrecht). Dit terwijl daar maar één jaar cel op staat, maar toch is het “ernstig” onder Nederlands recht.

En dat is opmerkelijk, want die Franse zaak gaat dus over kraken en gezien de vele berichten over de nieuwe strenge Franse anti-kraakwetgeving zou het me dus niets verbazen als er in de Franse strafwet ook een wat hogere categorie aan dit delict is gegeven. Dat zou dan het internationale bevel verklaren en de reden dat de Zwitsers er aan meewerken. Dat is dan juridisch gezien volkomen logisch en in het geheel niet opmerkelijk.

Arnoud

Moet ik bezoekers ons securitybeleid onthullen van de AVG?

| AE 11738 | Privacy, Security | 6 reacties

Een lezer vroeg me:

Een bezoeker van ons bedrijf heeft via het gastennetwerk internet gebruikt. Nu krijg ik van hem een verzoek onder de AVG om precies te vertellen wat wij van hem hebben gelogd. We melden inderdaad bij het aanmelden “This network is monitored for security purposes” maar in welk detail moet ik hem dat vertellen? Ik wil geen security-gevoelige details onthullen.

Het monitoren (inclusief loggen) van internetgebruik van gasten is inderdaad iets waar de AVG wat van zegt. Het mag, want we noemen dit een eigen legitiem belang. En zolang je monitoring maar proportioneel is, oftewel dat je niet nodeloos diep zit te spitten in wat mensen op internet uitspoken via jouw verbinding, is er weinig aan de hand.

(Natuurlijk gebruik je die logs alleen voor security doeleinden en niet bijvoorbeeld om te kijken wat hij bij de concurrent aan offertes heeft uitstaan.)

De AVG kent wel diverse informatieplichten, met als doel dat mensen weten wat je over ze verzamelt en met welk doel je die gebruikt. Daar moet dus iets meer informatie komen dan enkel “we monitor for security purposes”. Wat monitor je, en voor welke precieze doeleinden dan? Enkel IP-adressen, ook tijd van gebruik, applicaties en poorten, ga zo maar door? Wat is ‘security’, bedoel je dat je verkeer analyseert op verdacht gedrag, dat je IP-adressen van bezochte sites registreert of dat je een AI loslaat om een profiel van je bezoeker te maken?

Dit moet in je privacy policy staan die je publiceert bij het aanmeldscherm. En dat moet je in eenvoudige taal doen, dus concreet en met bewoordingen die je bezoekers begrijpen. Dat betekent dus dat je inderdaad ongeveer moet uitleggen wat je ingezet hebt aan monitoring tools en wanneer je ingrijpt of naar wie een alert gaat en wat die dan gaat doen.

Het mag natuurlijk in zoverre een tikje in het midden blijven dat je niet de precieze criteria benoemt: “verdacht gedrag zoals verspreiding van bekende virussen” zou genoeg zijn, wat mij betreft. Maar je kunt je niet verschuilen achter enkel de vage frase dat securitydoeleinden in het geding zijn.

Arnoud