Is er wetgeving die encryptie juist verbiedt?

Een lezer vroeg me:

Nu de Privacyverordening eraan komt, wordt het gebruik van encryptie steeds belangrijker. Maar is er ook wetgeving die encryptie juist verbiedt? Ik herinner me dat je als bedrijf geen encryptie mag gebruiken op administratie en belangrijke logs en dergelijke, omdat de Belastingdienst of Justitie dan geen onderzoek kan uitvoeren op je boeken. Hoe gaat de wet om met zo’n conflict?

Er is in Nederland géén wetgeving die het gebruik van encryptie verbiedt. Dat zou ook erg raar en onwerkbaar zijn, zeker vanwege het belang om een goede beveiliging van met name persoonsgegevens te realiseren. Wetten zoals de vraagsteller die formuleert, bestaan niet.

De Privacyverordening verplicht tot een adequate beveiliging van persoonsgegevens, in de praktijk zal dat vaak betekenen dat er encryptie moet worden toegepast. Heel strikt gesproken zouden ook andere oplossingen mogelijk zijn, zolang dat er maar voor zorgt dat persoonsgegevens niet zomaar bloot staan aan misbruik of ongeautoriseerd gebruik.

Wat de wet wél zegt, is dat als Justitie gerechtigd is om toegang tot data te vorderen, eventuele encryptie daarop ongedaan gemaakt moet worden. Een bedrijf mag dus niet weigeren een wachtwoord af te geven als ze daarover beschikt. Dit geldt zowel de eigen bedrijfsdata als eventuele klantdata waar een bedrijf een decryptiewachtwoord voor heeft (bijvoorbeeld voor disaster recovery).

Het is dan weer niet zo dat je als bedrijf in staat móet zijn om encrypted data te decrypten. Als de klant zelf data versleutelt en dat bij een bedrijf parkeert (zoals bij een online backup met clientside encrypted data), dan is het bedrijf niet verplicht een achterdeur of kopie wachtwoord te eisen. Wat je niet kunt decrypten, hoef je niet te decrypten.

Arnoud

Mag je gekraakte wachtwoorden of hashes in je bezit hebben?

Een lezer vroeg me:

Er zijn veel dumps van gehackte wachtwoorddatabases (b.v. LinkedIn) beschikbaar op internet. Is het strafbaar om (1) deze in je bezit te hebben (2) hashes in zo’n dump te kraken en (3) gekraakte wachtwoorden publiek te maken in b.v. presentaties of publicaties?

Het is op dit moment algemeen niet strafbaar om in het bezit te zijn van gegevens die door misdrijf zijn verkregen. Bezitten van dergelijke waar noemen we ‘heling’ maar dat geldt alleen bij fysieke goederen, niet bij informatie. Heb je bijvoorbeeld een foto of een PDF met jaarcijfers in je bezit die iemand anders heeft gedownload na een computervredebreuk, dan ben jij niet strafbaar.

Specifiek voor wachtwoorden is dat anders: het is strafbaar om een computerwachtwoord, toegangscode of daarmee vergelijkbaar gegeven waardoor toegang kan worden gekregen tot een geautomatiseerd werk of een deel daarvan te hebben (of te verkopen of te verspreiden, et cetera). Zie artikel 139d lid 2 Strafrecht. Dus hebben en publiceren daarvan is strafbaar.

Ik denk dat dit artikel ook gaat over hashes. Hoewel dat strikt gesproken geen wachtwoorden zijn (je kunt er niet mee inloggen) is het meestal wel mogelijk om die wachtwoorden terug te halen, en daarom zou ik ze “daarmee vergelijkbaar” noemen. Een hash die goed gesalt is en daarmee niet terug te rekenen is, zou een uitzondering zijn.

Er ligt een wetsvoorstel bij de Eerste Kamer om de strafwet te wijzigen

zodanig dat het strafbaar wordt om niet-openbare gegevens voorhanden te hebben als die door misdrijf verkregen zijn en jij dat wist of had moeten weten.

Daarmee zou dus ook het bezit van die PDF met jaarcijfers ineens strafbaar zijn (een jaar cel). Er is een uitzondering (lid 2) voor handelen in het algemeen belang, zoals bij journalisten die met gestolen bronmateriaal een grote misstand aan de kaak willen stellen.

Arnoud

Winkelhouder niet aansprakelijk voor inbreuken via open wifi-netwerk

wifi-hotel.pngHet Europese Hof van Justitie heeft in de Mc Fadden-zaak beslist dat een winkelhouder niet aansprakelijk is voor auteursrechtinbreuken die worden begaan via een open wifi-netwerk. Dat meldde Tweakers vorige week donderdag. Wel kan een rechthebbende partij eisen dat een winkel zijn netwerk beschermt met een wachtwoord, omdat je anders het té makkelijk maakt dat langsrijdende grapjassen illegaal downloaden.

Uit het arrest (zaaknr. C?484/14) blijkt dat het ging om een winkel voor de verkoop en verhuur van licht- en geluidsmateriaal. De eigenaar had een draadloos wifi-netwerk opgezet waar bezoekers op konden, waarbij hij geen beveiliging had toegepast om zo klanten van winkels in de omgeving, voorbijgangers en buren op zijn bedrijf te attenderen.

Op zeker moment downloadde iemand een muziekbestand via dat draadloze netwerk uit een illegale bron, waarop Sony de winkelier aansprakelijk stelde voor deze inbreuk op auteursrechten. In Duitsland niet ongebruikelijk: op basis van Duitse rechtspraak inzake indirecte aansprakelijkheid (“Störerhaftung”) was daar een basis voor.

Raar, want in de Europese E-commercerichtlijn uit 2000 staat dat een tussenpersoon die internettoegang biedt, niet aansprakelijk is voor wat er over zijn internetverbinding gebeurt. In Duitsland was de gedachte (als ik het goed begrijp) dat die regels alleen golden voor bedrijven met als hoofddoel het bieden van internettoegang, zeg maar de ‘echte’ providers zoals T-Mobile. Wifi als aardigheidje maakte je geen provider en dus was je gewoon aansprakelijk.

Het Hof van Justitie kreeg vervolgens van de Duitse rechter deze zaak op zijn bordje: hoe zit het nu, ben je als winkel met wifi nu wel of niet een provider en kun je je dan wel of niet op deze regeling beroepen?

Kort gezegd is het antwoord: ja, dat kun je. Ook een gratis wifidienst die niet je hoofdaanbod is, valt onder de regels van de e-commercerichtlijn. Zodra je wifi te gebruiken is door derden, ben je een ‘provider’ en dus niet aansprakelijk voor wat er over je lijn gaat. Er gelden geen andere voorwaarden, zoals of je een contract sluit, of je geld vraagt of wat dan ook.

Een internetprovider hoeft daarbij géén notice/takedown te hanteren of iets dergelijks. Een hoster moet dat wel – die slaat informatie op, en kan die dus weghalen als het moet. Maar een provider geeft alleen maar door en is dus niet gehouden inbreukmakende zaken te blokkeren.

Echter, in de Richtlijn staat dat de provider een concreet verbod opgelegd kan krijgen om specifieke inbreukmakende informatie nog langer door te geven. Een Pirate Bay-verbod (zeg maar) is dus in theorie mogelijk, maar er moeten dan wel zware waarborgen zitten aan dat verbod. Dan krijg je dus gelijk een hele stevige juridische kluif in het afwegen van belangen – informatievrijheid en ondernemingsvrijheid aan de ene kant, auteursrechten aan de andere kant.

Die discussie laat het Hof nu even voor wat het is: er lag een concrete vraag of het wachtwoordbeveiligen van je netwerk redelijk is, en het antwoord is ja. Het opnemen van een wachtwoord op je wifi is eigenlijk maar een hele lichte maatregel die inbreuken door gebruikers (enigszins) kan beperken terwijl het niet echt de toegang tot internet hindert. Die maatregel is dus in principe gerechtvaardigd om te eisen. Dus: geen aansprakelijkheid voor je gasten, mits je je netwerk beveiligt.

Opmerkelijk is wel dat men eist dat je de ontvangers van het wachtwoord kunt identificeren. Gewoon een dagelijks wisselend wachtwoord mag dus niet. Het Hof zegt niet waarom ze dit ook redelijk vinden, en een afweging tegenover de privacy van bezoekers zit er al helemaal niet in. Dat bevreemdt wel heel erg. Vermoedelijk is de gedachte dat rechthebbenden dan die gegevens kunnen vorderen en zo hun recht kunnen handhaven bij de echte inbreukmaker.

Ik ben benieuwd wat dit voor gevolgen heeft. Enerzijds kun je nu zeggen, einde van gratis wifi want dat is te veel gedoe, iedereen identificeren. Anderzijds zie ik het ook wel gebeuren dat rechthebbenden nu afhaken, want je kunt hooguit eisen dat bedrijven een triviale identificatie gaan doen en 90% van de tijd valse gegevens toelaten. Dat is zo veel tijd en moeite om te checken dat je beter ergens anders kunt gaan claimen.

Arnoud

Is het strafbaar om je Netflix-wachtwoord te delen?

login-inloggen-pin-number-nummer-password-wachtwoordWanneer is het strafbaar om je wachtwoord te delen? Recent werd er in de VS weer een arrest gewezen hierover, wat eigenlijk meer vragen opriep dan het beantwoordde. Maar de wachtwoorddeler werd wel veroordeeld, dus paniek in de tent: is wachtwoorden delen dan altijd strafbaar?

Computervredebreuk is kort gezegd een computer binnendringen. In de Amerikaanse wet spreken ze ook van “exceeding authorization”, om ook strafbaar te stellen dat je verder gaat dan je mocht in een computer waar je op zich mocht zijn. Wie als gewone gebruiker ergens mag inloggen en an het beheerswachtwoord raadt, gaat zijn autorisatie te buiten en pleegt dan computervredebreuk.

In deze zaak waren twee werknemers bij een concurrent gaan werken, en een derde werknemer had zijn wachtwoord uitgeleend zodat zij bij de klantendatabase konden. Dat wachtwoordgebruik werd gezien als een vorm van computervredebreuk. Die concurrent mocht niet in die computer zijn, ook niet met een login die technisch gewoon werkt.

Ik denk dat we in Nederland op dezelfde conclusie uit zouden komen. Als je ergens niet mag zijn in een computer, dan mag je dat ook niet met een geleend wachtwoord. (Dat noemen we een valse sleutel onder art. 138ab Strafrecht.)

Wel maakt het zoals altijd uit hoe je aan het wachtwoord kwam en wat je ermee doet. En dat maakt het gelijk zo lastig bij dingen als Netflix: dat zijn geen bedrijfsdatabanken waar ongeautoriseerde toegang eenvoudig aan af te meten is. Met een Netflix-wachtwoord neem je gewoon de dienst af zoals die bedoeld is. Netflix controleert op het aantal gelijktijdige logins. Kennelijk dus geen probleem wíe er het wachtwoord gebruikt, zolang het maar binnen het maximum blijft. Het lijkt me dan ook sterk dat dát een vorm van binnendringen is wanneer je andermans wachtwoord gebruikt.

Je loopt in Nederland misschien eerder tegen art. 326c Strafrecht aan: het afnemen van een betaaldienst zonder daarvoor te betalen. Maar ook dan: is het wel wederrechtelijk gezien de aard van de dienst? De dienst wordt niet twee keer afgenomen waar één keer normaal is. Netflix regelt dat zelf. Dus wat is het probleem dat het strafrecht moet oplossen?

Arnoud

Mag een werkgever wachtwoorden kraken?

password-salt.jpgEen lezer vroeg me:

Onze IT-afdeling heeft besloten dat security een extra aandachtspunt wordt en als onderdeel daarvan wil men middels rainbow tables en andere tools alle wachtwoorden uit het bedrijf eens gaan controleren. Ik heb daar moeite mee: ik gebruik sterke wachtwoorden maar bouw die wel op volgens een bepaald patroon, en als dat straks in interne documenten gaat rondzwerven dan schaadt dat juist de security. Mag de werkgever dit wel doen? Er zijn toch betere manieren om de beveiliging te versterken, zoals tweefactorauthenticatie.

Juridisch gezien denk ik dat hier weinig tegen te doen is. De werkgever bepaalt hoe het werk wordt uitgevoerd, dat is haast de definitie van werkgeverschap. Als hij vindt dat je wachtwoord zestien tekens lang moet zijn met maximaal acht letters, dan heb je maar zo’n wachtwoord te verzinnen. Wil hij geen tweefactorauthenticatie, dan zul je je daar als werknemer bij neer moeten leggen.

Het kraken van wachtwoorden om te kijken hoe sterk ze zijn, doet wat gek aan. Ik snap het wel: veel mensen hebben zwakke wachtwoorden, en met zo’n test kun je kijken hoe slecht je ervoor staat, om vervolgens draagvlak te creëren voor sterkere wachtwoorden of regels. Maar het kan vervelend zijn voor mensen die al een eigen, sterk wachtwoord hebben en zich nu verplicht zien een heel ander soort wachtwoord erop na te houden.

Ik weet alleen echt niet hoe je daar iets tegen kunt doen als werknemer. Dit is geen wijziging van je arbeidscontract of een schending van je grondrechten, en apert onredelijk kan ik deze actie ook niet noemen. Dat een andere oplossing sterker is (tweefactorauthenticatie) zie ik meteen, maar dat is echt de keuze van de werkgever. Ik zou dus niets anders weten dan het overleg aangaan en hopen dat de IT-afdeling inziet dat dat een betere besteding van het budget is.

Arnoud

Is het een datalek om ongesalte pincodes op te slaan?

hier-pinnenEen lezer vroeg me:

Een collega van me verloor onlangs zijn tankpas. Hij kreeg keurig een nieuwe, maar in een begeleidende brief werd hem de pincode gemeld: precies dezelfde als van zijn oude pas. Dat vind ik raar, dat is toch hartstikke onveilig? Dan slaan ze dus die pincodes leesbaar op in hun systeem. Is dat strafbaar onder de Wet datalekken?

Update (9:36) voor de duidelijkheid: de nieuwe pincode (die dus gelijk is aan de oude) staat leesbaar in de brief. De brief zat niet bij de pas maar in een aparte envelop die een dag later werd ontvangen.

Helaas komen dit soort basale veiligheidsproblemen nog steeds heel vaak voor. De wetswijziging die per 1 januari van kracht is, zou in theorie hier een prikkel tegen moeten bieden, maar ik heb er een hard hoofd in.

Natuurlijk is het enkel hebben van plaintext pincodes geen datalek. Volgens de wet is daarvan pas sprake als er werkelijk persoonlijke informatie gelekt is. Een dreigend datalek valt niet onder de definitie.

Gelukkig kent de nieuwe wet meer dan alleen datalekken. Al jaren staat er in de wet dat de opslag en andere verwerking van persoonsgegevens onder “adequate beveiliging” moet gebeuren, en per 1 januari staat er ook een boete op het niet adequaat beveiligen. Los dus van of dit daadwerkelijk tot een datalek heeft geleid of niet. In theorie kan de Autoriteit Persoonsgegevens dus een boete opleggen wanneer ze deze ongesalte pincodes aantreft.

Jammer is dan natuurlijk weer dat de kans uitermate klein is dat dit wordt bemerkt. Beveiliging is perfect tot het misgaat, en daarna heeft de stagiair een incident veroorzaakt in een voor het overige prima werkend systeem. Dat gaan boetes niet snel oplossen, tenzij je heel vaak en heel hard handhaaft. Of je de boete laat uitbetalen aan de getroffen personen in plaats van aan de overheid, een idee dat ik al vaker opperde (hoewel het ook nadelen heeft, zoals je eigen gegevens hacken en incasseren).

Eigenlijk wil je dat bedrijven een stevige prikkel voelen om hun beveiliging preventief op orde te hebben. Maar hoe krijgen we dát voor elkaar?

Arnoud

“Google kan op afstand beveiliging smartphones uitzetten”

android-screen-lock-wachtwoord-passwordGoogle kan de schermbeveiliging van een Android-telefoon op afstand uitzetten als een rechter daarom vraagt, las ik bij de NOS. Een Amerikaanse district attorney onthulde dat onlangs. Dit schijnt nieuws te zijn, maar dan toch korte termijn: vanaf binnenkort hebben Androidtoestellen diskencryptie en dan heb je niets aan deze truc.

Het is op zich niet nieuw dat Google als leverancier van een product door Justitie gevraagd wordt dit product open te maken. Dergelijke procedures bestaan nu ook al, van de fabrikant van een brandkast vragen deze open te maken tot een portier vragen aan te wijzen waar kamer 613 zich bevindt.

Wel nieuw (voor mij) is dat Google dit ook op afstand kan. Juridisch lijkt me dat niet erg spannend; een brandkastfabrikant kan ook per telefoon melden wat de stappen zijn om die kluis open te maken, zou ik denken.

Spannender wordt het als we straks verplichte versleuteling hebben in Android (vanaf versie 6.0). Dan kan Google niet meer op afstand de code van het lockscreen wijzigen of toegang verschaffen tot de informatie. Tenzij ze een achterdeur inbouwen, iets dat weer ter discussie gesteld wordt naar aanleiding van Parijs – hoewel die aanslagen niets te maken hadden met sterke encryptie.

Helaas kan ik de tekst niet vinden van dit wetsvoorstel. Maar hoe dan ook, het fundamentele punt blijft: hoe ga je mensen dwingen hun wachtwoord af te geven als ze dat niet willen?

Als alternatief kun je natuurlijk zeggen, dan verplichten we dienstverleners om alleen nog encryptie met achterdeurtjes te bouwen. Dat idee zwerft ook al twintig jaar rond in de politiek, dus dat zal ook wel weer afgestoft worden bij dit soort voorstellen. Waarom mag Joost weten: iedereen snapt toch dat een dergelijk achterdeurtje gekraakt zál worden en dat het dus een heel slecht idee is?

Arnoud

Politie mag smartphone niet doorzoeken van Gerechtshof

telefoon.jpg Het Hof Leeuwarden trekt een streep door de bevoegdheid van de politie om smartphones na inbeslagname te doorzoeken, las ik bij Computerworld. Deze doorzoekingsbevoegdheid kent te weinig waarborgen voor de privacy van de burger en is daarom niet geschikt voor informatiedragers zoals smartphones.

Alle voorwerpen “die kunnen dienen om de waarheid aan de dag te brengen” mogen in beslag worden genomen (art. 94 Strafvordering). Die voorwerpen mogen vervolgens worden doorzocht, dus wordt een rugzak of koffer in beslag genomen dan mag die open en de inhoud worden bekeken. Dat is niet heel erg op dat moment.

Specifiek bij computers en smartphones ligt dit een stuk gevoeliger. Dergelijke apparatuur bevat veel meer privéinformatie dan een koffer, denk aan foto’s, opgeslagen berichten en ook toegang tot allerlei diensten als het ding wachtwoorden onthoudt. In de strafzaak waar dit arrest over ging, had de politie toegang gekregen tot opgeslagen WhatsApp-conversaties uit de in beslag genomen telefoon.

Dat gaat te ver, aldus het Hof:

De technische ontwikkelingen anno 2015 brengen met zich dat er via een smartphone niet alleen toegang wordt verkregen tot verkeersgegevens, maar ook tot de inhoud van communicatie en privé-informatie van de gebruiker van de smartphone. En dat zonder enige vorm van voorafgaande beoordeling van de subsidiariteit en/of proportionaliteit van de bevoegdheid.

Algemeen geldt de regel in het strafrecht dat de politie niets mag, tenzij het óf hooguit een geringe inbreuk op grondrechten oplevert óf expliciet en apart geregeld is in de wet. Dat schemert ook hier doorheen: de wettelijke regeling over in beslag nemen is te generiek, daar kunnen we dus niets mee. Dus is het de politie verboden om smartphones te doorzoeken enkel omdat ze in beslag genomen worden. In dit geval gaat de zaak er zelfs half stuk op: de WhatsApp-conversatie mag niet als bewijs worden gebruikt.

Er moet dus een specifieke bevoegdheid komen om smartphones te mogen doorzoeken. Er zijn wel enkele regels (zoals 125i Strafvordering) maar die zijn vaak gebonden aan een situatie, zoals al een huiszoeking mogen doen. Dat levert dus geen algemene bevoegdheid met randvoorwaarden op.

Wat mij betreft wel een logische uitspraak. Smartphones zijn geen rugzakken, je krijgt toegang tot zó veel persoonlijke gegevens dat je een smartphonedoorzoeking op hetzelfde niveau mag stellen als een huiszoeking. Persoonlijk zou ik zelfs liever hebben dat iemand mijn huis overhoop haalt dan dat iemand in mijn telefoon gaat snuffelen. Jullie?

Arnoud

Moet je je wachtwoord afgeven als de IT-afdeling dat wil?

Een lezer wees me op deze Tweakersdiscussie over het moeten afgeven van wachtwoorden aan de IT-afdeling:

Mijn vriendin (werkzaam als arts) kreeg onlangs te horen dat zij, omdat ze op veel verschillende locaties werkzaam is, een mobiele telefoon zou krijgen. Ze kon contact opnemen met de IT-afdeling om een afspraak te maken om de telefoon op te halen. Bij dat telefoongesprek werd haar gevraagd om haar gebruikersnaam en wachtwoord af te geven. Dit was zogezegd nodig om “De telefoon te koppelen aan haar account”.

Nu is de vraag natuurlijk: mag dat zomaar, even wachtwoorden vragen om de configuratie van een telefoon te doen? De IT-er in kwestie leek te denken van wel, sterker nog hij werd boos toen de vriendin weigerde dit af te geven en “dan moet je het maar zelf doen”.

Er zijn geen harde wettelijke regels over hoe om te gaan met wachtwoorden. Natuurlijk is het strafbaar om met andermans wachtwoord in te loggen op iemands account, maar dat geldt alleen als het ‘wederrechtelijk’ gebeurt. Een IT-er die in opdracht van de accounteigenaar inlogt, heeft een recht en is dus niet wederrechtelijk bezig. De vraag zou dan dus zijn: hééft hij die opdracht gekregen als hij op die manier het wachtwoord opeist?

Ik ben geneigd te zeggen van wel. Natuurlijk is het raar dat hij dat wachtwoord opeist, je kunt net zo makkelijk zeggen “typ nu even je wachtwoord in, dan kan ik weer verder” immers. Maar om nu te zeggen dat het strafbaar is om dat wachtwoord op te eisen, gaat me iets te ver. En sowieso, als beide partijen bij dezelfde organisatie werken dan lijkt het me al helemaal niet snel strafbaar als medewerker A op het account van medewerker B inlogt als dat een werkgerelateerde reden heeft.

Tegelijk is het wel behoorlijk incompetent handelen, zeker als ik dan ook het verhaal over de reactie van meneer lees:

Bij het ophalen werd haar wederom gevraagd om haar wachtwoord ‘even op te schrijven’ na weer dezelfde discussie gevoerd te hebben (dit was een andere persoon dan ze de voorgaande dag telefonisch had gesproken) gaf deze man uiteindelijk zelf zeer gepikeerd aan dat ze het dan zelf maar in moest voeren en dat hij ‘helemaal niet hield van dit soort praktijken’. Ook werd haar verteld dat ze de rest van het menu (op de telefoon) dan maar zelf moest doorlopen.

Daar word ik niet vrolijk van maar hier een juridisch verhaal van maken, zal niet meevallen. Dit is vooral een kwestie van je werk slecht doen, en dat is iets waar de IT-manager en/of de manager van de gebruiker iets van moeten vinden.

In de discussie vragen diverse mensen zich nog af of een IT-er een beroepsgeheim heeft. Dat heeft hij niet, alleen enkele specifieke beroepsgroepen (waaronder artsen en advocaten) hebben dat. Maar het is wél zo dat als een IT-er toegang krijgt tot vertrouwelijke informatie, hij strafbaar is als hij deze onthult (art. 273 en voor telecom-IT-ers 273d Strafrecht. Dat zou je een “beroepsgeheim” kunnen noemen, maar het is in feite “houd je mond over de bedrijfsgeheimen die je tegenkomt”.

Arnoud