Nederlandse regering kan providers verplichten netwerkapparatuur te vervangen

| AE 11652 | Regulering | 9 reacties

De Nederlandse regering heeft een Algemene Maatregel van Bestuur gepubliceerd waarmee zij providers kan verplichten bepaalde netwerkapparatuur uit hun netwerk te halen. Dat meldde Tweakers vorige week. De AMvB bevat de bevoegdheid om een bedrijf aan te merken als ‘verdacht’ (zeg maar even) en dus niet gewenst om aan Nederlandse providers apparatuur of dienstverlening te leveren. Dit is volgens mij de eerste keer in telecomland dat er zó specifiek een bevoegdheid wordt gecreëerd om een partij te kunnen weren van de Nederlandse ict-infrastructuurmarkt. Wel moet het dan gaan om “de onderdelen [van de ict] waarvoor geldt dat de leverancier uitgebreide toegang tot gevoelige locaties, gevoelige ict-systemen, vitale infrastructurele installaties of werken krijgt, waarbij misbruik een nationaal veiligheidsrisico kan vormen.”

Al lange tijd gaat het bericht dat het Chinese bedrijf Huawei zou spioneren voor de Chinese overheid. Echt hard bewijs komt daar (natuurlijk) nooit van boven tafel, maar echt uitsluiten kan ook niet. In mei kwam aan het licht dat de AIVD onderzocht welke mate van toegang Huawei had tot gegevens op Nederlandse netwerken, en of dat een bug dan wel een backdoor was. Desondanks blijven de zorgen bestaan, en die worden actueel nu providers bezig gaan met 5G netwerken opzetten.

Begin juli kwamen ministers Grapperhaus Keijzer (Veiligheid/EZ) met een Kamerbrief waarin deze AMvB al werd aangekondigd, als onderdeel van een pakket maatregelen om de veiligheidsrisico’s rond de 5G-netwerken te beperken. Dat was dan weer een reactie op Kamerzorgen over Huawei en haar rol in de 5G-dienstverlening in Nederland. Het is dan ook niet gek dat hoewel deze AMvB keurig neutraal is geformuleerd, iedereen weet dat hij maar één keer ingeroepen gaat worden en tegen welk bedrijf ook nog:

a. [een partij uit] een staat, entiteit of persoon is waarvan bekend is of waarvoor gronden zijn te vermoeden dat deze de intentie heeft een in Nederland aangeboden elektronisch communicatienetwerk of -dienst te misbruiken of uit te laten vallen, of
b.nauwe banden heeft met of onder invloed staat van een staat, entiteit of persoon als bedoeld onder a, of een entiteit of persoon is ten aanzien van wie er gronden zijn om dergelijke banden of invloed te vermoeden.

Bij misbruik valt te denken aan spionage: ongeoorloofde toegang tot communicatiegegevens (zowel verkeersgegevens als inhoud van communicatie). En de toelichting maakt duidelijk dat het moet gaan om een land met een offensief cyberprogramma gericht tegen Nederlandse belangen. En een vermoeden van die banden is bovendien genoeg, omdat het gaat om kritieke onderdelen van belangrijke netwerken.

De stap is opmerkelijk, zo expliciet aansturen op wetgeving om een bedrijf uit te sluiten heb ik nog niet eerder gezien. Maar er is geen ontkomen aan. In een aanbesteding kan een telecomprovider moeilijk zeggen “we willen geen offerte van Huawei”, en zonder wetgeving kan de overheid een partij ook niet dwingen om dat bedrijf te vermijden.

Wel interessant wordt straks het aanwijzingsbesluit. Reken maar dat Huawei meteen naar de rechter stapt om dat aan te vechten; er is immers geen bewijs. En dan wordt de leuke juridische vraag of de overheid het mag houden op “de AIVD heeft staatsgeheime vermoedens”. Ik ben echt serieus benieuwd wat de rechter daarvan gaat zeggen.

Arnoud

Is het inbouwen van backdoors in je encryptiesoftware verplicht?

| AE 11462 | Regulering, Security | 11 reacties

Een lezer vroeg me:

In Australië is sinds vorig jaar een wet van kracht die techleveranciers verplicht om backdoors in te bouwen in hun software als die end-to-end encryptie toepast. Hoe zit dat in Nederland, geldt die plicht bij ons ook zo?

Eind vorig jaar is in Australië inderdaad een wet aangenomen, de Assistance and Access Bill 2018. Deze geeft opsporingsdiensten de macht om bij technologieleveranciers te eisen dat deze decryptiesleutels afgeven, maar ook om een backdoor in te bouwen zodat men stiekem mee kan lezen.

Met name hoe snel en sneaky die wet is doorgevoerd, gaf veel reuring. Maar ook het principe natuurlijk dat je backdoors in moet bouwen, dat is een uniek precedent in de securitywereld. Want nee, in Nederland (of Europa, of de VS) bestaat niet zo’n zelfde wet.

Alle Westerse landen hebben regelgeving dat een dienstverlener die toegang heeft tot berichten van een klant, die af moet geven onder zekere voorwaarden. In Nederland is de grens relatief hoog: als het “belang van het onderzoek dit vordert” bij een ernstig misdrijf (art. 126m Strafrecht) moet een communicatie-aanbieder de decryptie ongedaan maken van berichten die via hem lopen.

Er is echter in Nederland – noch in Europa, noch in de VS – een plicht om encryptie zo te bouwen dát je kunt decrypten. Ja, als je een telecomdienstverlener bent dan moet je netwerk aftapbaar zijn (art. 13.1 Telecommunicatiewet) maar internetdiensten zijn per definitie geen telecomdiensten.

Leveranciers van telecomproducten of internetcommunicatieproducten (waaronder software) hebben op dit moment geen plicht om backdoors in te bouwen. Ik weet in Europa niet van enig plan om dergelijke functionaliteit verplicht te gaan stellen, maar je weet natuurlijk nooit.

Arnoud

Europese Hof verklaart bewaarplicht telecomproviders illegaal

| AE 6548 | Privacy | 20 reacties

vpn-private-network-tunnel-bewaarplicht.pngHet Europese Hof van Justitie oordeelt in een dinsdag gepubliceerd arrest (C-293/12 en C-594/12) dat de Richtlijn die de bewaarplicht regelt ongeldig is, meldde Tweakers gisteren. De Richtlijn is in strijd met het grondrecht op privacy van de burger, omdat er te weinig waarborgen ingebouwd zijn en er geen garantie is dat de bewaarde gegevens alleen voor strikt noodzakelijke doelen worden gebruikt.

De Richtlijn “betreffende de bewaring van gegevens die zijn gegenereerd of verwerkt in verband met het aanbieden van openbaar beschikbare elektronische communicatiediensten of van openbare communicatienetwerken” of iets korter de Richtlijn Bewaarplicht bepaalde dat telecomproviders verkeersgegevens en andere metadata van hun klanten moesten bewaren. Dit ter bestrijding en vervolging van ernstige misdrijven en terrorisme. Over deze wet is al veel gezegd, hoewel weinig positiefs. Het gedrocht van een wet verplichtte internetproviders tot het bewaren van zo ongeveer alle gelogde metadata, van IP-adressen en tijdstippen online komen tot het e-mailverkeer (headers, geen inhoud) van de mail die je via je provider verstuurt. Wat je hebt aan die berg data en vooral hoe makkelijk je als crimineel deze wet omzeilt, was vanaf dag 1 een grote discussie. En dat ondertussen die berg data een gigantische privacyschending opleverde, leek daarbij voor de wetgever nooit echt relevant.

Het Hof van Justitie verwijst nu deze wet naar de prullenbak. De redenering laat mooi zien aan welke eisen een inbreuk op de privacy moet voldoen om juridisch toegestaan te zijn. Privacy is een grondrecht (art. 8 EVRM), en grondrechten mogen niet worden geschonden. Echter, soms moeten grondrechten wijken voor andere rechten. De grondwetgeving kent daarvoor een stappenplan, dat kort gezegd vereist dat er een wettelijke basis is, dat de wet voor een legitiem doel wordt ingezet en dat dit wijken van het grondrecht echt noodzakelijk is gezien dat doel.

De wet bewaarplicht is een wet, dus er is een wettelijke basis. Deze eis klinkt triviaal, maar het gebeurde vroeger nog wel eens dat een grondrecht werd ingeperkt enkel op basis van een bevel van een opsporingsambtenaar of andere regeling waar geen wetgevend orgaan naar gekeken had.

De wet moet een legitiem doel dienen, en wel een doel dat bij het grondrecht is genoemd als legitiem. Eén van de genoemde doelen bij privacy is de bescherming van de nationale veiligheid, en dat biedt voor de wet bewaarplicht dus een doel. Ook de volksgezondheid of bescherming van rechten van anderen worden genoemd; het moeten afgeven van NAW-gegevens van je klant is bijvoorbeeld te legitimeren onder dat laatste (om mensen tegen anonieme smaad te beschermen).

De wet moet noodzakelijk zijn voor het doel, oftewel mag niet verder gaan dan nodig is om dat doel te dienen. Juristen gebruiken hierbij vaak de termen proportionaliteit en subsidiariteit: de inbreuk op de persoonlijke levenssfeer mag niet onevenredig zijn, en het doel van deze wet kan in redelijkheid niet op een andere voor betrokkene minder nadelige wijze worden bereikt. En dit is waar deze wet over struikelt. Het probleem met deze wet is, aldus het Hof, dat

de omvangrijke en bijzonder ernstige inmenging in de betrokken grondrechten niet voldoende ingeperkt om te garanderen dat deze inmenging daadwerkelijk tot het strikt noodzakelijke beperkt blijft.

Immers, alle gegevens van alle burgers worden bewaard, en dat riekt naar onevenredig inbreuk maken op de privacy. Kan het niet een onsje minder, hoezo is er geen selectie mogelijk op welke gegevens of wanneer? Ook zijn er te weinig waarborgen om te voorkomen dat opsporingsdiensten of anderen gaan grasduinen in bewaarde gegevens, voor andere doelen dan die bestrijding van ernstige criminaliteit. Zo mochten in 2012 private partijen gebruik maken van verplicht bewaarde NAW-gegevens om auteursrechtschendingen aan te pakken.

Wat betekent dit nu voor de Nederlandse Wet bewaarplicht? Da’s een goeie. Die wet is gebaseerd op de Richtlijn, sterker nog is ingevoerd omdat de Richtlijn zei dat dat moest. Maar formeel staat een wet los van een Richtlijn. Hij is dus niet automatisch ongeldig verklaard.

Wel staat handhaving van de wet nu op losse schroeven, omdat het Hof van Justitie immers heeft bepaald dat dit bewaren in strijd is met de grondrechten. En je hoeft als burger (of bedrijf) niet naar een wet te luisteren als die je dwingt grondrechten te schenden. Een provider kan nu dus weigeren te bewaren, en de boete aanvechten onder verwijzing naar dit arrest. De rechter zou dan de wet in strijd met hoger recht (Europese grondrechten) moeten verklaren. In de praktijk is deze wet door dit arrest een dode letter geworden. Hiep hoi!

Arnoud

De belseconde moet terug!

| AE 4740 | Innovatie | 24 reacties

OPTA wijst telefonieproviders erop dat ze per 1 januari ten minste één abonnement moeten aanbieden met bellen per seconde in plaats van per minuut, en zonder starttarief, las ik bij Webwereld. Naast de netneutraliteitswet (en de omgekeerde bewijslast bij de cookiewet) treedt dan ook de belsecondewet in werking. Of nou ja, ik noem het maar… Lees verder

Wat mag een provider nog als netneutraliteit wet wordt?

| AE 2611 | Ondernemingsvrijheid, Privacy | 35 reacties

Recent is netneutraliteit expliciet wettelijk vastgelegd. De Eerste Kamer moet er nog over stemmen, maar dat lijkt slechts een hamerstuk te gaan worden. Vorige week blogde ik over het gepuzzel met de cookiewet, die in hetzelfde wetsvoorstel is overgenomen. Puzzelen over de regels rond netneutraliteit hoeft niet meer, want het wetsvoorstel zoals aangeboden aan de… Lees verder

Mag KPN abonnees wel extra kosten voor mobiele datadiensten opleggen?

| AE 2513 | Informatiemaatschappij, Ondernemingsvrijheid | 26 reacties

Een lezer vroeg me: Naar aanleiding van de plannen van KPN om bepaalde mobiele data diensten extra te belasten met een toeslag, vroeg ik me af of ze dat wel mogen doorvoeren. In mijn contract (met deze algemene voorwaarden) staat immers niets over dergelijke meerkosten. Kan ik ze bij de rechter verbieden deze toeslag op… Lees verder

De afsluitkosten ongedaan maken, het kan!

| AE 1951 | Informatiemaatschappij | 28 reacties

Weet u nog, dat verbod op afsluitkosten bij een internetcontract? Dat is sinds enige tijd verboden op grond van de Telecommunicatiewet. Toch blijken er nog genoeg telecombedrijven te zijn die dit doen. Een lezer berichtte me echter over een succes bij InterNLnet, waar hij met enig aandringen erin geslaagd was om zijn in rekening gebrachte… Lees verder

Hoe onbeperkt is “onbeperkt mobiel bellen en sms’en”?

| AE 1947 | Informatiemaatschappij | 62 reacties

Een lezer wees me op een aanbieding van Tringg voor “onbeperkt bellen en sms’en”, en zelfs de optie om onbeperkt mobiel te internetten. En inderdaad, de advertentie (zie screenshot hiernaast) zegt keihard “onbeperkt”. Maar kijk je iets verder op de site, dan zie je ineens een voetnootnummer, die verwijst naar een tekst met “Op de… Lees verder

Mag je van de Telecomwet bij een prijsverlaging je abonnement opzeggen

| AE 1632 | Informatiemaatschappij | 13 reacties

Via een lezer kreeg ik de interessante tip over een discussie bij iPhoneclub of je je telecomabonnement kunt opzeggen als de provider een prijsverlaging doorvoert. Dat lijkt een gekke reden, maar het kan natuurlijk zijn dat je al een tijdje van je abonnement afwilt en dan is zo’n prijswijziging immers een mooi excuus. iPhoneclub zocht… Lees verder

Rechtbank: SURFnet geen openbaar elektronisch communicatienetwerk

| AE 1550 | Informatiemaatschappij | 7 reacties

Weet u nog, die keiharde botsing tussen OPTA en SURFnet? Ik was het ook helemaal vergeten, maar gelukkig meldde ISPam het. SURFnet heeft bij de rechter gelijk gekregen: zij zijn geen openbare internetaanbieder en hoeven zich dus niet bij de OPTA aan te melden. Wie internet-toegang aanbiedt aan “het publiek”, moet zich registreren bij de… Lees verder