Franse privacytoezichthouder biedt oplossing voor gebruik Google Analytics

Websites in Frankrijk kunnen met Google Analytics blijven werken, maar moeten dan wel van een goed geconfigureerde proxy gebruikmaken, zo las ik bij Security.nl. We weten al een tijdje dat Google Analytics best problematisch is onder de AVG, omdat het structureel persoonsgegevens overbrengt naar Amerika. Tijd om ermee te stoppen dus, maar voor wie nog een paar jaar geld wil betalen om zijn hoofd in het zand te steken, is er nu een juridisch-technisch correcte oplossing.

Sinds het Schrems II-arrest weten we dat persoonsgegevens overbrengen naar de VS erg problematisch is, omdat de VS fundamenteel niet dezelfde soort bescherming van persoonsgegevens wil bieden. Het Privacy Shield is daarmee geen goede basis om zomaar aan te mogen nemen dat je een Amerikaanse clouddienst (zoals Google’s Analyticsdienst) mag inzetten.

Ook helpt het niet als je de verschillende pseudonimisering-opties instelt, zoals we in Nederland gewend zijn te doen op advies van onze Autoriteit Persoonsgegevens. Ook dan komen er nog tot personen te herleiden gegevens bij Google, die ze waarschijnlijk combineert met andere gegevens – of in ieder geval ze opslaat in de VS. En alleen dat al is een probleem.

“Hoewel Google verschillende maatregelen heeft opgesteld om dataverzending naar andere landen te reguleren, zijn deze niet voldoende om de toegang door Amerikaanse inlichtingendiensten te beschermen”, schreef de Franse toezichthouder in februari nog. Onze AP meldde toen dat het gebruik van Analytics ‘mogelijk binnenkort niet meer is toegestaan’, hoewel dat binnenkort dus wat rekkelijk moet worden opgevat.

De CNIL is technisch gaan brainstormen en komt nu met de oplossing van een anonimiserende proxy. Kort gezegd, alle Analyticsverkeer wordt geforceerd naar een eigen server gestuurd waar werkelijk álles wordt gestript. En pas daarna gaat het naar Google, zodat je toch mooie statistiekjes en plaatjes kunt krijgen in je dashboard. (De waarde van deze gegevens voor marketing laat ik buiten beschouwing).

Dat álles is echt nogal veel:

  • the absence of transfer of the IP address to the servers of the measurement tool;
  • the replacement of the user identifier by the proxy server;
  • the deletion of the referring site information external to the site;
  • the deletion of any parameter contained in the URLs collected (e.g. UTMs and URL parameters allowing the internal routing of the site);
  • the reprocessing of information that can participate in the generation of a fingerprint , such as ‘user agents’, to remove the rarest configurations that can lead to re-identification;
  • the absence of any collection of cross-site identifiers; and
  • the deletion of any other data that may lead to re-identification.
De proxy die dit doet, moet fysiek in Europa staan en in eigendom én beheer zijn bij een Europese partij. En je moet periodiek controleren dat je écht geen indirect identificerende gegevens doorstuurt. Want de CNIL ziet ook risico’s bij situaties dat je IP-adressen weglaat, getuige de verwijzingen naar user-agent strings en andere parameters waarmee je alsnog server-side fingerprints kunt samenstellen.

Mocht u nu denken, wat een enorm gedoe, wat gaat dat wel niet kosten: ja precies. Dus vraag meteen een offerte aan uw webbouwer voor het integreren van een alternatieve oplossing zoals Piwik of Matomo.

Meelezende marketingmensen en andere Analyticslovers: waarom Google Analytics?

Arnoud

Mag ik om kwaliteitsredenen een transparante image proxy draaien van het auteursrecht?

Een lezer vroeg me:

Als geschiedenisblogger gebruik ik veel afbeeldingen. Om opslag te besparen en auteursrechtheffingen te kunnen vermijden, gebruik ik daarbij embedding van externe bronnen. Alleen merk ik dat de kwaliteit van veel bronsites te merken overlaat. Daarom heb ik een kleine proxy op mijn site gebouwd, die transparant test of de afbeelding er is, en zo niet een gecachte kopie van klein formaat. Tevens kan ik zo via versleutelde http (SSL) de afbeelding leveren, iets dat bij veel bronsites helaas nog ontbreekt. Mag dit?
Nee, ik ben bang dat dit auteursrechtelijk problematisch is. Je mag inderdaad externe legaal gepubliceerde afbeeldingen embedden (of iframen, hoe je het maar wilt noemen). Maar dan moet je wel echt zuiver embedden, zeg maar <img src=https://example.com/img.png>. Zo verwijs je de browser naar die externe site en wordt de afbeelding daar opgehaald.

Een transparante proxy wil grofweg zeggen:

  1. Jouw eigen server server probeert de afbeelding op te halen.
  2. Als de afbeelding er is, wordt de data daarvan doorgegeven naar jouw bezoeker.
  3. Bovendien sla je dan een kopie van die afbeelding op (kennelijk in kleiner formaat).
  4. Als de afbeelding er niet is, wordt een bij jou opgeslagen kopie (kennelijk in kleiner formaat) doorgegeven naar jouw bezoeker.
In deze situatie heb je dus een kopie op je eigen site. En als die er niet is, dan wordt de originele afbeelding opgehaald en als kopie doorgegeven.

We noemen dit technisch een proxy, een tussenschakel die het bij A ophaalt en bij B aflevert. Juridisch bestaat die term ook, maar alleen als je informatie van tweeden aan derden geeft. Zodra het je eigen informatie is, of je informatie aan je eigen bezoekers geeft dan ben je per definitie geen proxy of tussenpersoon meer.

De basis hiervoor is art. 6:196c lid 3 BW dat spreekt van “van een ander afkomstige informatie” die “aan anderen op hun verzoek” gegeven wordt. Als je dat doet, dan ben je juridisch een tussenpersoon en niet aansprakelijk voor wat je doorgeeft (of wat je tussentijds opslaat).

Hier zou het argument dan zijn dat de plaatjes van een ander komen en dat jij die aan de lezers geeft met alleen wat technische kwaliteitsverbetering. Echter, dat is dan niet op verzoek van de lezers maar op jouw instructie, jij stopt die plaatjes in je proxy. Dus dat gaat niet op.

Ook met artikel 13a Auteurswet kom je er niet, want dat eist “de doorgifte in een netwerk tussen derden door een tussenpersoon”. Jij bent dan geen tussenpersoon vanwege het argument uit de vorige alinea. Dus nee, dit gaat niet werken.

Arnoud

Is het strafbaar om een Pirate Bay-proxy te opereren?

piratebay-sunk-dank-bas-taart.pngEen lezer vroeg me:

In Engeland is een man aangeklaagd voor fraude omdat hij een Pirate Bay-proxy draaide. Hem hangt maximaal tien tot veertien jaar cel boven het hoofd! Kan dat ook bij ons?

In Engeland hebben diverse rechtbanken het verlenen van toegang naar de Pirate Bay verboden. Deze meneer wordt nu strafrechtelijk vervolgd voor fraude en witwassen, wat mij nogal gezocht klinkt. Die artikelen gaan meer over oplichting en misleiding. Helaas kan ik de aanklacht nergens vinden, mogelijk dat het gaat om een constructie waarbij de fraude is het doen alsof de Pirate Bay legitiem benaderd mag worden of zo.

Meer algemeen geldt in Engeland net als in de VS het concept van “contempt of court”. Je kunt daar de cel in gaan door iets te doen dat in een vonnis verboden is, zelfs als je geen partij bij die zaak bent. De eis is dat de rechtbank moet vinden dat jij ingaat tegen het vonnis of de rechtbank minacht. Iemand die een proxy opzet naar een verboden site, zou je langs die route kunnen aanspreken.

In Nederland bestaat die constructie niet (heel soms wel). We kennen in Nederland twee soorten ‘verboden’. Je hebt het strafrecht en het civiel (burgerlijk) recht. Strafrecht is grofweg hetgeen waar je de cel voor ingaat, en civiel recht is grofweg contracten en schade vergoeden.

In Nederland is er geen strafwetsartikel tegen het aanbieden van een proxy om bij de Pirate Bay te komen. Daarmee ga je er dus niet komen.

Civielrechtelijk heeft een aantal rechters ex parte verboden een proxy naar de Pirate Bay te opereren, met als argument dat dat gewoon onzorgvuldig is in het maatschappelijk verkeer.

Nu de blokkade is opgeheven, kun je je natuurlijk afvragen hoe houdbaar die verboden nog zijn. Maar hoe dan ook: zo’n verbod is civiel, en andere partijen hebben daar niets mee te maken.

Arnoud

Vodafone dringt proxy op aan gebruikers, mag dat?

vodafone-proxyKlanten van Vodafone klagen dat internetpagina’s traag laden, omdat Vodafone pagina’s laadt via een proxy. Dat meldde Tweakers gisteren. De proxy is opmerkelijk omdat deze webpagina’s aanpast, wat niet uit te zetten is. Plaatjes worden op een lelijke manier verkleind, en met een vaag scriptje is dat dan weer ongedaan te maken. Weinig mensen worden hier vrolijk van. En als je als juridisch techneut ergens niet vrolijk van wordt, dan vraag je jezelf af: mag dat?

Een boze techneut bij Stackoverflow niet heel gelukkig van deze oplossing:

What it does is to have a proxy recompress all images you fetch smaller by default (making image quality significantly worse). Then it crudely injects a script into your document that adds an option to load the proper image for each recompressed image. Unfortunately, since the script is a horribly-written 1990s-style JS, it craps all over your namespace, hijacks your event handlers and stands a high chance of messing up your own scripts.

Toen KPN het ooit in z’n hoofd haalde om te gaan kijken naar pakketjes, leidde dat tot een Wet netneutraliteit waarin stond dat providers geen dataverkeer mogen filteren of blokkeren (behalve om een paar technische redenen). Maar in diezelfde wet staat nóg een interessant artikel, namelijk artikel 11.2a Telecommunicatiewet:

De aanbieder van een openbaar elektronisch communicatienetwerk en de aanbieder van een openbare elektronische communicatiedienst onthouden zich van het aftappen, afluisteren of anderszins onderscheppen of controleren van de communicatie via een openbaar elektronisch communicatienetwerk of openbare elektronische communicatiedienst en de daarmee verband houdende gegevens(…)

Dit artikel staat los van waar KPN destijds van beschuldigd werd, namelijk het aftappen of beluisteren van gesprekken en communicatie tussen personen. Daarvoor was hun packet inspection niet deep genoeg, oordeelde het OM destijds. Hier wordt nu een aparte norm geïntroduceerd: blijf van de communicatie af. En nee, Vodafone luistert of onderschept ook geen communicatie. Maar er staat ook nog “controleren” bij, en een proxy die webpagina’s herschrijft zou ik toch wel een controledinges willen noemen. Alleen gaat dit artikel primair over bescherming van de privacy van de eindgebruiker, en je kunt veel zeggen over herschrijvende proxies maar de privacy schenden doen ze niet. Dus is dit wel het soort ‘controle’ dat de wet bedoelt?

Bij invoering van dit wetsartikel is nog gezegd:

Belangrijk op te merken is dat zowel artikel 7.4a als artikel 11.2a Tw (zie met name tweede lid, onder b en c) er niet aan in de weg staan dat een aanbieder zijn netwerk en diensten op een «normale» manier beheert. Zo mag, ook in het kader van artikel 11.2a Tw (zie tweede lid, onder c), een aanbieder van een netwerk om te beoordelen of zijn netwerk goed is gedimensioneerd of dat wellicht uitbreiding nodig is de diverse verkeersstromen die over dat netwerk worden afgewikkeld in kaart brengen.

Dit wijst erop dat het niet per se gaat om élke vorm van aftappen, kijken of controleren maar alleen op de “niet normale” manier (en ik weet ook niet waarom Kamerstukken dat met «» ipv “” markeren). En de normaliteit moet je dan beoordelen vanuit het belang van de eindgebruiker, met name zijn privacy.

Het artikel noemt nog vier uitzonderingen:

  1. de betrokken abonnee voor deze handelingen zijn uitdrukkelijke toestemming heeft gegeven;
  2. deze handelingen noodzakelijk zijn om de integriteit en de veiligheid van de netwerken en diensten van de betrokken aanbieder te waarborgen;
  3. deze handelingen noodzakelijk zijn voor het overbrengen van informatie via de netwerken en diensten van de betrokken aanbieder, of
  4. deze handelingen noodzakelijk zijn ter uitvoering van een wettelijk voorschrift of rechterlijk bevel.

Geen van deze vier lijkt me van toepassing. Er is geen toestemming, de integriteit van het netwerk komt niet echt in gevaar als je webpagina’s doorgeeft, technisch noodzakelijk is het ook niet echt en een wet die dit verplicht is er ook al niet. Nou ja, heel misschien als je zegt “ons netwerk is zó krap dat we echt alle plaatjes moeten reduceren in formaat anders werkt internet gewoon niet”. Dat zou het legaal maken, maar marketingtechnisch lijkt me dat geen handig standpunt om in te nemen.

Dus mja. Het valt letterlijk onder het wetsartikel, maar volgens mij is dat hier niet voor bedoeld. Een ander artikel weet ik zo niet. Het voelt wel buitengewoon storend dát er geen wetsartikel zou zijn tegen zo’n rare actie.

Arnoud

Ben ik strafbaar als ik een TOR exit node draai?

tor-on.pngEen lezer vroeg me:

Ben ik in Nederland strafbaar, of zou ik er problemen mee kunnen krijgen als, ik een Tor relay/bridge/exit-point opzet vanuit mijn flat? Mag dit van de wet?

TOR is een open netwerk voor anonieme communicatie, die werkt volgens het principe van Onion Routing. Heel in het kort: een berichtje wordt niet via één maar via meerdere tussenliggende servers doorgegeven. Elke server kan de buitenste laag lezen van het bericht dat hij ontvangt, en “pelt” deze eraf om het resultaat door te sturen. Het echte bericht zit dus helemaal diep in de kern verstopt, en tegen de tijd dat die kern is afgepeld, is alle informatie over de afzender wel verdwenen. Daarmee is in theorie haast volstrekt anonieme communicatie mogelijk.

De server die het TOR netwerk verbindt met het internet, heet de exit node. Dit zou een mailserver kunnen zijn die dan verbinding legt met ‘echte’ mailservers, of een server die pagina’s ophaalt van het worldwideweb, of juist informatie naar een website stuurt.

Het is op zich niet strafbaar om een TOR exit node te draaien. Het zou kunnen dat je provider het verbiedt in hun voorwaarden, dus dan zou je contractbreuk plegen. Maar het moet er dan expliciet staan, bv. als “Verboden je verbinding te sharen met derden buiten je huisgenoten”.

Het kan gebeuren dat iemand strafbare feiten pleegt via die exit node. Dan komt de politie uit bij jouw IP-adres en dan heb jij wat uit te leggen. Je bent niet automatisch strafbaar voor al hetgeen er via jouw exit node gebeurt. Voor strafbaarheid moet meestal sprake zijn van opzet, en anders minstens van (grove) nalatigheid. Zou iemand een smadelijk bericht posten via die exit node, dan ben jij daar niet voor vervolgbaar want jouw bedoeling was niet dat dat bericht geplaatst zou worden.

De wet kent echter ook het concept ‘voorwaardelijke opzet’. Kort gezegd “dat had je toch moeten weten dat dat kon gebeuren”, en in fraai juridisch “de aanmerkelijke kans aanvaardend dat”. Als je een exit node opzet die je zelf met firewallregels zo instelt dat hij alléén een Russische kinderpornosite kan bereiken, tsja dan aanvaard je de kans dat mensen kinderporno gaan opvragen of plaatsen. Ook als je mee gaat kijken met het verkeer over je exit node, en je ziet opvallend veel verkeer naar zo’n site, dan kun je strafrechtelijk aansprakelijk worden. Je weet dan dat de node misbruikt wordt, en dan moet je ook iets doen met die kennis.

De vraag is natuurlijk waar die grens ligt. Heb je voorwaardelijke opzet als je géén spamfilter instelt als je uitgaand SMTP verkeer faciliteert? Was het je bedoeling dat er auteursrechtschendende films verspreid worden als je een exit node maakt die naar Youtube mag en verder niets?

Er is nog nooit een rechtszaak geweest over iemand die alleen een TOR node opereerde, en ik denk ook niet dat het snel zal gebeuren. Maar ja, je neemt een risico.

Arnoud