Keulse rechtbank dwingt Tutanota hele postvakken inzichtelijk te maken

| AE 12369 | Ondernemingsvrijheid, Regulering | 20 reacties

De arrondissementsrechtbank van Keulen heeft Tutanota opgedragen om op verzoek van de autoriteiten postvakken van gebruikers toegankelijk te maken en de tekst van e-mails in plain text in te laten zien. Dat meldde Tweakers afgelopen maandag. Tutanota levert end-to-end gecodeerde e-mailsoftware en een freemiumdienst voor gehoste e-mail, die dus niet afgeluisterd, getapt of ingezien kan worden omdat alle versleuteling bij de client plaatsvindt. Echter, toen een Keulse autoleverancier via Tutanota een afpersingsmail ontving en de politie een onderzoek startte, vonniste de Keulse rechtbank dat Tutanota dit mogelijk moet maken, omdat de webmaildienst ‘meewerkt aan het leveren van telecommunicatiediensten’. Houd de paracetamol bij de hand, want dit vergt héél veel juridische definities.

De kern van de zaak is dat telecommunicatiediensten in Europa verplicht aftapbaar moeten zijn bij ernstige misdrijven als deze. In Nederland is er dus geen twijfel dat KPN of Ziggo een telefoongesprek via haar netwerk moet laten tappen, en dat gaat dan zowel om IP-netwerkverkeer als gewone telefonie.

Tutanota is geen internetprovider maar wat juristen noemen een “dienst van de informatiemaatschappij”, en dat is wezenlijk wat anders. In ISO/OSI termen: die zitten in laag 7, en telecom zit grofweg in lagen 1 tot 5. Een ander niveau van technische werking, dat in de kern wettelijk omschreven wordt als een

gewoonlijk tegen vergoeding aangeboden dienst die geheel of hoofdzakelijk bestaat in het overbrengen van signalen via elektronische communicatienetwerken, waaronder telecommunicatiediensten en transmissiediensten op netwerken die voor omroep worden gebruikt, doch niet de dienst waarbij met behulp van elektronische communicatienetwerken en -diensten overgebrachte inhoud wordt geleverd of redactioneel wordt gecontroleerd.
Tutanota verspreidt informatie, geen signalen. Dat voelt vrij logisch, toch duurde het tot 2019 voor het Hof van Justitie hier een definitieve uitspraak over deed:
a web-based email service which does not itself provide internet access, such as the Gmail service provided by Google LLC, does not consist wholly or mainly in the conveyance of signals on electronic communications networks [] does not constitute an ‘electronic communications service’ within the meaning of that provision.
Het maakt daarbij niet uit dat Google zelf backbone-kabels heeft liggen of andere verrichtingen doet die wél het overbrengen van signalen opleveren. Dat staat immers in principe los van de webmaildienst waar het hier om gaat.

Helaas heeft in de Tutanova-zaak de rechter niet gemotiveerd waarom zhij hier anders tegenaan kijkt. Ik zie zelf geen verschil in de werking van Tutanova en Gmail, internet-technisch bekeken. Ik hoop dus ook dat men in hoger beroep gaat, hoewel dat voor deze specifieke vordering niet uitmaakt: de Duitse justitie heeft in de tussentijd toegang tot de informatie van deze afperser.

Arnoud

Hoe verwijder je sneller maar wel eerlijk ongewenste content van internet?

| AE 12332 | Ondernemingsvrijheid | 17 reacties

Voor mensen die geconfronteerd worden met onrechtmatige content op het internet is het moeilijk om deze snel verwijderd te krijgen, zo opent het WODC in een nieuwsbericht over deze lastige problematiek (via). 15 procent van de Nederlanders heeft direct of indirect ervaring met schadelijke, en mogelijk onrechtmatige, content die hen persoonlijk raakt, zoals bedreigingen, privacy-inbreuken en wraakporno. Daarvan overweegt slechts 1,4 procent juridische stappen te zetten. Het WODC deed onderzoek naar oplossingen voor dit probleem die óók recht doen aan de positie van de plaatser en de tussenpersoon.

Het onderzoek is uitgevoerd door het Instituut voor Informatierecht als onderdeel van het speerpunt van de Minister voor Rechtsbescherming om de positie van slachtoffers van onrechtmatige uitingen op het internet te verbeteren. De kern van het probleem is natuurlijk dat er nooit één partij is die je gewoon met één rechtsgang aanspreekt, zoals je zou doen wanneer iemand op een zeepkist gaat staan en wat over jou gaat roepen. Er zijn vele routes met voor- en nadelen, zoals dit schema uit het onderzoek laat zien:

(klik voor schema)

Er zijn enerzijds procedurele routes die snel, laagdrempelig en schaalbaar zijn, en anderzijds procedures die optimale rechtstatelijke waarborgen bieden. Een combinatie van al deze kwaliteiten in één procedure lijkt uitgesloten, aldus het rapport. Dat vind ik ook niet gek gezien de verschillende partijen en hun belangen in dit proces.

Wat voor mij met name wringt, is de lage waarborgen bij de notice&takedown procedure, die voor mij toch de eerst aangewezen stap zou moeten zijn. Snel en effectief, en volgens de wet inclusief een beoordeling door de tussenpersoon die de notice krijgt of de eis wel terecht is. Maar daar gaat het dus vaak mis:

Dit alles bijeengenomen maakt dat mogelijk veel rechtmatige en toegestane uitingen verwijderd worden. Vervolgens wordt degene die de vermeend onrechtmatige content geplaatst heeft, niet altijd de mogelijkheid geboden zich te verdedigen of zich na verwijdering te verzetten. Ook bleek uit de bovenstaande uiteenzetting over de transparency reports dat het nog zeer moeilijk is zicht te krijgen op het daadwerkelijk functioneren van de Notice and Takedown-procedures van de verschillende grote internetdiensten.
Een belangrijke factor is daarbij dat veel takedowns automatisch plaatsvinden. Dat komt denk ik met name omdat dat het goedkoopste en snelste is, en vanuit de Amerikaanse achtergrond het meest logisch: onder de DMCA Notice & Takedown procedure is het weghalen na klacht de verplichte stap, en pas daarna ga je de discussie voeren. Die discussie verzandt vaak in standaardantwoorden, maar het materiaal is dan al weg. Eigenlijk moet de discussie inhoudelijk worden gevoerd (“nee, dit was legitieme kritiek” bijvoorbeeld) vóórdat de tussenpersoon besluit het materiaal weg te halen. Maar als je systeem gebouwd is volgens de Amerikaanse norm, dan gebeurt dat dus niet.

Hoe moet het dan wel? Het rapport doet een aantal voorstellen. Allereerst het verder normeren en codificeren van Notice and Takedown-procedures en het daarvoor geldende afwegingskader, bijvoorbeeld dus door expliciet op te schrijven dat een takedown niet automatisch op klacht mag gebeuren. Een simpele verbeterstap daarbij is providers verplichten op duidelijke en eenvoudige manier te publiceren hoe een takedown verzoek gedaan kan worden en wat er dan gebeurt, iets dat nu al geldt als best practice bij hostingproviders. Een experimentele opzet bij de kantonrechter (een soort supersnelrecht) vond ik ook een hele leuke, dan heb je wel gerechtelijke toetsing maar heel laagdrempelig. Hierbij speelt natuurlijk wel dat je vervolgens dan ook snel het vonnis bij de tussenpersoon uitgevoerd moet kunnen krijgen.

Het rapport gaat niet in op wat volgens mij een hele belangrijke factor is: de anonimiteit en daarmee onbereikbaarheid van de plaatser van de content. Logisch gezien de scope, maar wel meteen een sterk complicerende factor. Tegelijk besef ik ook dat een plaatser vaak internationaal kan zijn, zodat de naam en woonplaats weinig toevoegen.

Arnoud

Kan ik mijn provider dwingen mijn mailadres gereserveerd te houden als ik overstap?

| AE 11829 | Ondernemingsvrijheid | 13 reacties

Een lezer vroeg me:

Ik heb een e-mailadres bij mijn internetprovider. Kan ik bij een overstap naar een nieuwe internetprovider mijn vorige provider dwingen om mijn oude e-mailadres niet vrij te geven? Dit om te voorkomen dat iemand anders mijn oude e-mailadres registreert en bijvoorbeeld zich als mij voordoet of wachtwoordresets op mijn online accounts kan uitvoeren?

Er is wettelijk geen recht op emailadresportabiliteit, zoals dat er wel is met nummerportabiliteit. Bij 06-nummers heb je immers het recht die mee te nemen als je van provider overstapt.

Met enige regelmaat zie ik deze discussie opspelen bij de politiek. Er zou een wetswijziging voor nodig zijn, en dan is standaard het argument dat dat te weinig op zou leveren tegenover het gedoe dat je nodig hebt. Immers wie dat wil kan een provideronafhankelijk mailadres nemen (al is het maar Hotmail of Gmail) en veel hoeft dat niet te kosten. Als ondernemer zou je dus wel gek zijn om dat niet te doen.

De AVG lijkt voor mensen een nieuwe grond hiervoor te bieden: als ik mijn mailadres dan niet mag meenemen, dan kan ik toch zeker wel voorkomen dat iemand anders met míjn naam gaat mailen? Dat is immers mijn persoonsgegeven.

En ja, dat is natuurlijk zo. Maar als jij Jan de Vries heet, en zes maanden na je opzegging wil een andere heer de Vries dat mailadres, kun je dan echt nog zeggen dat het nog jouw adres is? Ik zou daar toch wel de nodige moeite mee voelen.

Natuurlijk zit er een zeker securityrisico aan het ‘achterlaten’ van je mailadres. Wachtwoordresets zijn achteraf mogelijk als een aanvaller daar de moeite voor neemt. Ik kan daar alleen maar op zeggen dat je dus moet zorgen dat je mailadres afgekoppeld wordt van je accounts wanneer je overstapt van provider.

Arnoud

Hoe de Supreme Court 20 jaar geleden internet anders dan televisie verklaarde

| AE 9511 | Ondernemingsvrijheid | 11 reacties

Deze week twintig jaar geleden, op 26 juni 1997, verklaarde de Amerikaanse Hoge Raad het internet fundamenteel anders dan radio en televisie. Op die dag deed zij uitspraak in een zaak rond de Communications Decency Act, die internet moest reguleren. De Act verklaarde het illegaal om inhoud te versturen wanneer deze indecent zou zijn en… Lees verder

Mag een internet provider onveilige IoT-apparaten blokkeren?

| AE 9025 | Informatiemaatschappij | 32 reacties

Een Amerikaanse senator vroeg me… nee die is te flauw. De Amerikaanse senator Mark Warner wil van de toezichthouder FCC weten of internetproviders onveilige Internet of Things-apparaten op hun netwerk mogen weren. Dat las ik bij Security.nl. Aanleiding voor de vraag was de grote ddos-aanval op dns-provider Dyn waarbij gehackte IoT-apparaten waren betrokken (en waarschijnlijk… Lees verder

Winkelhouder niet aansprakelijk voor inbreuken via open wifi-netwerk

| AE 8935 | Intellectuele rechten, Ondernemingsvrijheid | 16 reacties

Het Europese Hof van Justitie heeft in de Mc Fadden-zaak beslist dat een winkelhouder niet aansprakelijk is voor auteursrechtinbreuken die worden begaan via een open wifi-netwerk. Dat meldde Tweakers vorige week donderdag. Wel kan een rechthebbende partij eisen dat een winkel zijn netwerk beschermt met een wachtwoord, omdat je anders het té makkelijk maakt dat… Lees verder

Mag ik mijn klanten verplichten SSL/TLS te gebruiken?

| AE 8734 | Security | 37 reacties

Een lezer vroeg me: Mag ik, als hostingprovider, klanten dwingen om SSL/TLS te gebruiken? Via een aantal scripts is het gehele proces te automatiseren, zodat er tijdens het aanmaken van een account een certificaat wordt aangemaakt (via Let’s Encrypt, dus geen meerkosten) en verbindingen vervolgens over SSL/TLS forceren (mod_rewrite en HSTS header). Ik heb veel… Lees verder

Is dat een warrant canary in je jaarverslag of ben je blij de NSA te zien?

| AE 8550 | Ondernemingsvrijheid, Regulering | 28 reacties

Internetforum Reddit heeft donderdag een stuk tekst verwijderd dat gebruikt werd om aan te geven dat de site nog nooit in het geheim data heeft moeten overhandigen aan de Amerikaanse overheid, bij Nu.nl. De site heeft al jaren deze warrant canary in haar jaarlijks transparantierapport staan om een signaal te kunnen geven als men een… Lees verder

Mijn provider blokkeert spam, mag dat eigenlijk wel?

| AE 7150 | Ondernemingsvrijheid | 17 reacties

Een lezer vroeg me: Onlangs ontdekte ik dat mijn provider een eigen spamfilter hanteert, en wel op een vervelende manier: er waren belangrijke mails van een Aziatische klant geblokkeerd. Ik ben daar nooit over geïnformeerd en men zegt nu zelfs dat het filter er niet af kan “vanwege de integriteit van het netwerk”. Mag dat… Lees verder