Is er wetgeving die encryptie juist verbiedt?

| AE 9327 | Security | 17 reacties

Een lezer vroeg me:

Nu de Privacyverordening eraan komt, wordt het gebruik van encryptie steeds belangrijker. Maar is er ook wetgeving die encryptie juist verbiedt? Ik herinner me dat je als bedrijf geen encryptie mag gebruiken op administratie en belangrijke logs en dergelijke, omdat de Belastingdienst of Justitie dan geen onderzoek kan uitvoeren op je boeken. Hoe gaat de wet om met zo’n conflict?

Er is in Nederland géén wetgeving die het gebruik van encryptie verbiedt. Dat zou ook erg raar en onwerkbaar zijn, zeker vanwege het belang om een goede beveiliging van met name persoonsgegevens te realiseren. Wetten zoals de vraagsteller die formuleert, bestaan niet.

De Privacyverordening verplicht tot een adequate beveiliging van persoonsgegevens, in de praktijk zal dat vaak betekenen dat er encryptie moet worden toegepast. Heel strikt gesproken zouden ook andere oplossingen mogelijk zijn, zolang dat er maar voor zorgt dat persoonsgegevens niet zomaar bloot staan aan misbruik of ongeautoriseerd gebruik.

Wat de wet wél zegt, is dat als Justitie gerechtigd is om toegang tot data te vorderen, eventuele encryptie daarop ongedaan gemaakt moet worden. Een bedrijf mag dus niet weigeren een wachtwoord af te geven als ze daarover beschikt. Dit geldt zowel de eigen bedrijfsdata als eventuele klantdata waar een bedrijf een decryptiewachtwoord voor heeft (bijvoorbeeld voor disaster recovery).

Het is dan weer niet zo dat je als bedrijf in staat móet zijn om encrypted data te decrypten. Als de klant zelf data versleutelt en dat bij een bedrijf parkeert (zoals bij een online backup met clientside encrypted data), dan is het bedrijf niet verplicht een achterdeur of kopie wachtwoord te eisen. Wat je niet kunt decrypten, hoef je niet te decrypten.

Arnoud

Mag je gekraakte wachtwoorden of hashes in je bezit hebben?

| AE 9278 | Regulering, Security | 16 reacties

Een lezer vroeg me:

Er zijn veel dumps van gehackte wachtwoorddatabases (b.v. LinkedIn) beschikbaar op internet. Is het strafbaar om (1) deze in je bezit te hebben (2) hashes in zo’n dump te kraken en (3) gekraakte wachtwoorden publiek te maken in b.v. presentaties of publicaties?

Het is op dit moment algemeen niet strafbaar om in het bezit te zijn van gegevens die door misdrijf zijn verkregen. Bezitten van dergelijke waar noemen we ‘heling’ maar dat geldt alleen bij fysieke goederen, niet bij informatie. Heb je bijvoorbeeld een foto of een PDF met jaarcijfers in je bezit die iemand anders heeft gedownload na een computervredebreuk, dan ben jij niet strafbaar.

Specifiek voor wachtwoorden is dat anders: het is strafbaar om een computerwachtwoord, toegangscode of daarmee vergelijkbaar gegeven waardoor toegang kan worden gekregen tot een geautomatiseerd werk of een deel daarvan te hebben (of te verkopen of te verspreiden, et cetera). Zie artikel 139d lid 2 Strafrecht. Dus hebben en publiceren daarvan is strafbaar.

Ik denk dat dit artikel ook gaat over hashes. Hoewel dat strikt gesproken geen wachtwoorden zijn (je kunt er niet mee inloggen) is het meestal wel mogelijk om die wachtwoorden terug te halen, en daarom zou ik ze “daarmee vergelijkbaar” noemen. Een hash die goed gesalt is en daarmee niet terug te rekenen is, zou een uitzondering zijn.

Er ligt een wetsvoorstel bij de Eerste Kamer om de strafwet te wijzigen

zodanig dat het strafbaar wordt om niet-openbare gegevens voorhanden te hebben als die door misdrijf verkregen zijn en jij dat wist of had moeten weten.

Daarmee zou dus ook het bezit van die PDF met jaarcijfers ineens strafbaar zijn (een jaar cel). Er is een uitzondering (lid 2) voor handelen in het algemeen belang, zoals bij journalisten die met gestolen bronmateriaal een grote misstand aan de kaak willen stellen.

Arnoud

Winkelhouder niet aansprakelijk voor inbreuken via open wifi-netwerk

| AE 8935 | Intellectuele rechten, Ondernemingsvrijheid | 16 reacties

wifi-hotel.pngHet Europese Hof van Justitie heeft in de Mc Fadden-zaak beslist dat een winkelhouder niet aansprakelijk is voor auteursrechtinbreuken die worden begaan via een open wifi-netwerk. Dat meldde Tweakers vorige week donderdag. Wel kan een rechthebbende partij eisen dat een winkel zijn netwerk beschermt met een wachtwoord, omdat je anders het té makkelijk maakt dat langsrijdende grapjassen illegaal downloaden.

Uit het arrest (zaaknr. C?484/14) blijkt dat het ging om een winkel voor de verkoop en verhuur van licht- en geluidsmateriaal. De eigenaar had een draadloos wifi-netwerk opgezet waar bezoekers op konden, waarbij hij geen beveiliging had toegepast om zo klanten van winkels in de omgeving, voorbijgangers en buren op zijn bedrijf te attenderen.

Op zeker moment downloadde iemand een muziekbestand via dat draadloze netwerk uit een illegale bron, waarop Sony de winkelier aansprakelijk stelde voor deze inbreuk op auteursrechten. In Duitsland niet ongebruikelijk: op basis van Duitse rechtspraak inzake indirecte aansprakelijkheid (“Störerhaftung”) was daar een basis voor.

Raar, want in de Europese E-commercerichtlijn uit 2000 staat dat een tussenpersoon die internettoegang biedt, niet aansprakelijk is voor wat er over zijn internetverbinding gebeurt. In Duitsland was de gedachte (als ik het goed begrijp) dat die regels alleen golden voor bedrijven met als hoofddoel het bieden van internettoegang, zeg maar de ‘echte’ providers zoals T-Mobile. Wifi als aardigheidje maakte je geen provider en dus was je gewoon aansprakelijk.

Het Hof van Justitie kreeg vervolgens van de Duitse rechter deze zaak op zijn bordje: hoe zit het nu, ben je als winkel met wifi nu wel of niet een provider en kun je je dan wel of niet op deze regeling beroepen?

Kort gezegd is het antwoord: ja, dat kun je. Ook een gratis wifidienst die niet je hoofdaanbod is, valt onder de regels van de e-commercerichtlijn. Zodra je wifi te gebruiken is door derden, ben je een ‘provider’ en dus niet aansprakelijk voor wat er over je lijn gaat. Er gelden geen andere voorwaarden, zoals of je een contract sluit, of je geld vraagt of wat dan ook.

Een internetprovider hoeft daarbij géén notice/takedown te hanteren of iets dergelijks. Een hoster moet dat wel – die slaat informatie op, en kan die dus weghalen als het moet. Maar een provider geeft alleen maar door en is dus niet gehouden inbreukmakende zaken te blokkeren.

Echter, in de Richtlijn staat dat de provider een concreet verbod opgelegd kan krijgen om specifieke inbreukmakende informatie nog langer door te geven. Een Pirate Bay-verbod (zeg maar) is dus in theorie mogelijk, maar er moeten dan wel zware waarborgen zitten aan dat verbod. Dan krijg je dus gelijk een hele stevige juridische kluif in het afwegen van belangen – informatievrijheid en ondernemingsvrijheid aan de ene kant, auteursrechten aan de andere kant.

Die discussie laat het Hof nu even voor wat het is: er lag een concrete vraag of het wachtwoordbeveiligen van je netwerk redelijk is, en het antwoord is ja. Het opnemen van een wachtwoord op je wifi is eigenlijk maar een hele lichte maatregel die inbreuken door gebruikers (enigszins) kan beperken terwijl het niet echt de toegang tot internet hindert. Die maatregel is dus in principe gerechtvaardigd om te eisen. Dus: geen aansprakelijkheid voor je gasten, mits je je netwerk beveiligt.

Opmerkelijk is wel dat men eist dat je de ontvangers van het wachtwoord kunt identificeren. Gewoon een dagelijks wisselend wachtwoord mag dus niet. Het Hof zegt niet waarom ze dit ook redelijk vinden, en een afweging tegenover de privacy van bezoekers zit er al helemaal niet in. Dat bevreemdt wel heel erg. Vermoedelijk is de gedachte dat rechthebbenden dan die gegevens kunnen vorderen en zo hun recht kunnen handhaven bij de echte inbreukmaker.

Ik ben benieuwd wat dit voor gevolgen heeft. Enerzijds kun je nu zeggen, einde van gratis wifi want dat is te veel gedoe, iedereen identificeren. Anderzijds zie ik het ook wel gebeuren dat rechthebbenden nu afhaken, want je kunt hooguit eisen dat bedrijven een triviale identificatie gaan doen en 90% van de tijd valse gegevens toelaten. Dat is zo veel tijd en moeite om te checken dat je beter ergens anders kunt gaan claimen.

Arnoud

Is het strafbaar om je Netflix-wachtwoord te delen?

| AE 8804 | Regulering, Security | 9 reacties

Wanneer is het strafbaar om je wachtwoord te delen? Recent werd er in de VS weer een arrest gewezen hierover, wat eigenlijk meer vragen opriep dan het beantwoordde. Maar de wachtwoorddeler werd wel veroordeeld, dus paniek in de tent: is wachtwoorden delen dan altijd strafbaar? Computervredebreuk is kort gezegd een computer binnendringen. In de Amerikaanse… Lees verder

Mag een werkgever wachtwoorden kraken?

| AE 8653 | Ondernemingsvrijheid, Security | 28 reacties

Een lezer vroeg me: Onze IT-afdeling heeft besloten dat security een extra aandachtspunt wordt en als onderdeel daarvan wil men middels rainbow tables en andere tools alle wachtwoorden uit het bedrijf eens gaan controleren. Ik heb daar moeite mee: ik gebruik sterke wachtwoorden maar bouw die wel op volgens een bepaald patroon, en als dat… Lees verder

“Google kan op afstand beveiliging smartphones uitzetten”

| AE 8199 | Regulering | 13 reacties

Google kan de schermbeveiliging van een Android-telefoon op afstand uitzetten als een rechter daarom vraagt, las ik bij de NOS. Een Amerikaanse district attorney onthulde dat onlangs. Dit schijnt nieuws te zijn, maar dan toch korte termijn: vanaf binnenkort hebben Androidtoestellen diskencryptie en dan heb je niets aan deze truc. Het is op zich niet… Lees verder

Politie mag smartphone niet doorzoeken van Gerechtshof

| AE 7648 | Regulering | 15 reacties

Het Hof Leeuwarden trekt een streep door de bevoegdheid van de politie om smartphones na inbeslagname te doorzoeken, las ik bij Computerworld. Deze doorzoekingsbevoegdheid kent te weinig waarborgen voor de privacy van de burger en is daarom niet geschikt voor informatiedragers zoals smartphones. Alle voorwerpen “die kunnen dienen om de waarheid aan de dag te… Lees verder

Moet je je wachtwoord afgeven als de IT-afdeling dat wil?

| AE 7530 | Security | 41 reacties

Een lezer wees me op deze Tweakersdiscussie over het moeten afgeven van wachtwoorden aan de IT-afdeling: Mijn vriendin (werkzaam als arts) kreeg onlangs te horen dat zij, omdat ze op veel verschillende locaties werkzaam is, een mobiele telefoon zou krijgen. Ze kon contact opnemen met de IT-afdeling om een afspraak te maken om de telefoon… Lees verder

Is het strafbaar mijn wachtwoord van online diensten te delen met vrienden?

| AE 7067 | Security | 22 reacties

Een lezer vroeg me: Het is vaak tegen de gebruikersvoorwaarden om mijn login gegevens van een digitale dienst zoals een krantenabonnement of streamingdienst met anderen te delen. Maar is het ook strafbaar? En hoe zit het als ik er een vergoeding voor vraag, zodat de ander en ik allebei de helft van het abonnement betalen?… Lees verder