Jurel

By Walter van Holst (Mitopics)

In the past few weeks we have witnessed a significant number of countries in which ISPs have been ordered in judicial verdicts to block the Swedish  website The Pirate Bay (TPB). Examples of this are the United Kingdom, India and The Netherlands. This is seen by many as the logical extension of already existing verdicts against TPB in those jurisdictions.  The litigation surrounding TPB has gone through several stages:

Stage I: TPB itself
TPB has been litigated in several jurisdictions outside Sweden, where the courts’ reasoning typically went as follows:
1.    Unauthorised file sharing through the bittorrent protocol is copyright infringement;
2.    Facilitating such file sharing on purpose (and profiting form it) is tort or your local civil law equivalent;
3.    It is easier for rights holders to demand from TPB to stop facilitating infringement than to ask end-users who actually infringe to stop doing so, therefore it is justified to demand from TPB to block end-users.
4.    It is plausible that TPB facilitates file sharing between individuals in the jurisdiction of the court, therefore the court is competent despite TPB being based in Sweden;
5.    Therefore the court can issue a verdict against TPB, ordering it to block users from the court’s jurisdiction;

Stage II: ISP blocking
Now that TPB at best ignores verdicts resulting from stage I, if not flaunts them, the following stage has been that ISPs have been taken to court. In those cases the reasoning is as follows:
1.    TPB is ignoring earlier verdicts ordering it to block access from the court’s jurisdiction, thereby flaunting the rule of law;
2.    The copyright infringement by the ISP’s users cannot be left unanswered;
3.    It is still easier for rights holders not to go after the end-users that are doing the actual infringement, and since TPB turns out to be ignoring verdicts a blockade of TPB at the ISP level is the logical next step;
4.    Proportionality requirements for such a blockade resulting from for example the European Convention on Human Rights are met since only technically skilled people can circumvent it and based on dodgy statistics presented by BREIN it can be assumed that blocking might achieve the ends of stopping copyright infringement.

Stage III: Injunctions against circumvention services
As predicted by many critics, it turns out that IP- and DNS-level blocking is trivial to circumvent. So now we are entering a third stage, in which injunctions against circumvention are being asked and at least in ex parte procedures area also granted. World famous Dutch rights enforcer BREIN (http://www.anti-piracy.nl) takes the position that providing a proxy service, even one that is not TPB-specific  is again tantamount to contempt of the court’s decisions regarding IP- and DNS-blockades. Furthermore, BREIN takes the position that merely explaining how such a blockade can be circumvented also constitutes a circumvention of a valid court order and as such unlawful.

This is a fallacy at several levels. First of all, Dutch law does not have a concept of contempt of court. Moreover, a court’s verdict in a private law case cannot bind parties that were not part in the lawsuit at hand. Thirdly, and most importantly, the mere demonstration that a court’s ruling is flawed and not based in reality has more in common with Galileo Galilei’s demonstration that the sun does not revolve around the earth than with threatening the rule of law in a democratic state, as argued by Bart-Willem Schermer in this blog.

There is a circular reasoning in all of this, apart from all the fallacies of moaning about imaginary losses of turnover as well as attacking intermediaries because they supposedly are best positioned to prevent infringement which for the purpose of this blog I have left aside. All the Dutch Pirate Party has done is merely pointing out that circumvention of blockades at the ISP-level is much easier than  lawyers and judges alike apparently could comprehend, despite having been told so in court before. The logical conclusion should be that ISP-blocking is fundamentally ineffective and that earlier rulings based on a misguided notion that proportionality requirements have been met should be rescinded. The response by BREIN so far has been that they have been going after proxies and publicly have suggested that they may go after VPN-providers and other service providers that either on purpose or inadvertently allow for circumvention of ISP-level blockades. So BREIN retroactively wants to prove the proportionality of measures it has demanded and has been granted by the courts by suppressing anything that might suggest that they are not proportionate.

And yes, the way TPB has responded to demands of rights holders, verdicts by courts and also the way the Dutch Pirate Party has operated in the past does not deserve a prize for beauty and elegance. There is no love lost between me and the Pirate Party, I don’t like one-issue parties and it takes more than an (admittedly) sensible political program about IPR to make a good party. Quality of people involved comes to mind for example.

Having said that, BREIN’s relentless fight to enforce so-called intellectual property rights (IPRs, which have more in common with privileges than with property) no matter the cost to fundamental rights to freedom of expression and privacy is much more of a threat to the rule of law in a democratic state than anything TPB has done so far. It is BREIN who is behaving like a jack-booted thug here, by repeat abuse of the ex parte procedure (which in itself is poorly reconcilable with the rule of law as we know it) and by its outrageous demands against the Dutch Pirate Party. If anything, an assistant professor at Leiden University should come to the Pirates’ defence instead of showing to have drunk the IPR-maximalists’ kool-aid by calling the mere expression of facts a threat to the rule of law. This could go into the PR-textbooks as a lovely example of ‘spinning’. If there was anything lovely about spinning to begin with.

In conclusion: it is time to wake up and smell the coffee. General purpose computers, especially interconnected with each other, are intrinsically good at copying and disseminating information. Most, if not all of our notions of IPR are founded on the notion that creativity and innovation have to be renumerated as well as that curation and distribution of information is a capital intensive and risky proposition, that also should be rewarded. The latter has been increasingly  proven to be a fallacy. The former an interesting question that is unlikely to have a one-size-fits-all answer. The ends of having a vibrant society in which we have technological, cultural and political exchanges of positions are no longer served by the means of current IPR-regimes and are actually under threat from these means. Ends being more important than means, this only means that those means are up for debate. This madness must stop.

Vorige week toonde een onderzoek van de UvA aan wat iedereen al lang wist, nl. dat de door de rechter in de zaak BREIN vs. ZIGGO & XS4ALL opgelegde blokkade (vrijwel) geen effect heeft. Op 30 maart heb ik ter gelegenheid van mijn oratie 10 geboden van het internetrecht geïntroduceerd. Het zevende gebod “Richt blik op toekomst” was mede ingegeven door de wijze waarop BREIN met de rug naar de toekomst handhaaft. Bij internetrecht is het van belang constructief over alternatieven na te denken in plaats van repressief te handelen vanuit bestaande kaders.

Het eerste gebod voor iedere internetjurist is het internet te begrijpen. De advocaten en ook BREIN begrijpen het internet wel in zoverre dat zij op voorhand wisten dat de blokkade weinig tot niet effectief zou zijn. Waarom toch een procedure begonnen dan? De eenmaal ingeslagen weg is al zover bewandeld dat alleen doorlopen zin heeft, denk ik. Een bij het vijfde gebod (valoriseer en informeer) naar voren gebracht punt werd in deze zaak geïllustreerd:

“Bad cases make bad law, maar soms geldt hetzelfde voor good lawyers. Zo kan een goed pleidooi tot slecht recht leiden. Advocaten is dit niet kwalijk te nemen, zij dienen hun cliënt. Rechters is ook niets te verwijten, zij kunnen niet alles weten. ‘Bad law’ kan voorkomen worden door algemene of specifieke vragen uit te zetten bij internetjuristen. Wederom een win-win situatie.”

Het is afwachten of in deze zaak externe expertise ingeroepen zal worden. Ik meende op te vangen dat het zelfs niet zeker is dat het bovengenoemde onderzoek van de UvA wordt meegenomen. Misschien is er al snel weer een nieuwe zaak, want BREIN gaat wellicht GeenStijl dagvaarden, die dit weekend onderstaand bericht plaatsten:

“Afgelopen vrijdag dwong Tim Kuik bij bevriende rechters af dat de Piratenpartij een proxyportal naar The Pirate Bay offline moest halen. Zo niet, dan 10k boete per dag. De pagina werd vervangen door een lijst met alternatieve proxies. (…) daar was BREIN het dus NIET mee eens en na een dreigmail op zaterdagavond (!), heeft de Piratenpartij nu de hyperlinks onder de tekst uitgehaald. (…) Niet handig. Maar als de Piratenpartij nou even naar dit topic linkt op hun proxypagina, dan maken wij het makkelijk. (…) Komt-ie:

ikwilthepiratebay.nl/
thepiratebayblokkade.nl
thepiratebay.com.proxy.piratenpartij.nl/
lanunbay.org
malaysiabay.org
(….)
tpb.europeancensorship.eu/nph-tpb.cgi/http/thepiratebay.se
Lijsten van proxies:
www.xroxy.com/proxylist.htm
www.hidemyass.com/proxy-list
(…)
Lijst van lijsten van proxies: hier.”

Mogelijk dat vanwege deze blog ook de VU gedagvaard wordt. Hoewel, ik heb een wettelijk citaatrecht (dat overigens alleen de rechten van de schrijver van GeenStijl beperkt, maar die zal zelfs als het citaat onnodig lang is gok ik geen problemen hebben) en de links heb ik bij het kopieren naar deze blog laten verdwijnen. We wachten in spanning af.

A.R. Lodder

Het netwerk ligt plat, wie is de sigaar? Hoezo overmacht?

Deze sigaar is dus meestal de gebruiker. Schade als gevolg van storing van het netwerk van telecommunicatie operators als bijvoorbeeld vodafone, via wiens netwerk bijna een week geen normaal telecommunicatieverkeer mogelijk was blijft bij de particuliere of zakelijke gebruiker.

In artikel 6 van de algemene voorwaarden van Vodafone die natuurlijk ook door de klant is geaccordeerd(!) wordt gesteld dat: diensten negatief kunnen worden beïnvloed en (tijdelijk) niet

beschikbaar kunnen zijn door fysieke factoren (…)en storingen. Daarbij spant Vodafone  zich

in binnen de grenzen van de redelijkheid deze omstandigheden tot het uiterste te beperken.

U heeft geen recht op vergoeding of restitutie.

In  november 2009 had het bedrijf, ook na ernstige storingen uit de goedheid  zijns hart de gebruikers een weekend gratis sms gegeven, waar zou het bedrijf nu mee komen? Het moet zo langzamerhand een aardig presentje worden want ook de zakelijke gebruikers hebben inmiddels aanzienlijke aantoonbare schade geleden, orders en opdrachten gemist, klantenverlies en dit allemaal door onbereikbaarheid. Deze onbereikbaarheid gold zowel voor het mobiele internet als het  telefoonnetwerk

De vraag is of het bedrijf niet voor  de schade aansprakelijk is als gevolg van het leveren van een wanprestatie en wat onder  een redelijke inspanning moet worden verstaan  en of hier niet ten minste het nemen van redelijke voorzorgsmaatregelen onder moet worden verstaan.

Op grond van het (ontwerp)besluit continuïteit dienstverlening, geïnitieerd op grond van meldingsplicht datalekken in artikel 11.2 a Telecommunicatiewet, dient de aanbieder te beschikken over een continuïteitsplan. Hebben aanbieders die dan nog niet? En hoe zit het met het vereiste van de zogenaamde redundantie?, het overschakelen naar andere centrales, of netwerkfaciliteiten bij zoiets als een brand?

Bij aanbieders van IT netwerken is dit soort bepalingen standaard.  Men zou verwachten dat de continuïteitseis ook is gesteld in artikel 19 van het vergunningenbesluit mobiele aanbieders maar daar staat alleen maar in dat geen diensten hoeven te worden geleverd aan aanbieders die de continuïteit en integriteit van het netwerk zouden aantasten.  A contrario zou dus worden gesteld dat de veiligheid en integriteit van het netwerk dus onder “gewone”omstandigheden wel wordt gegarandeerd.

Eerlijk gezegd vind ik er wel wat voor te zeggen dat er sprake is van een wanprestatie op grond van  een tekortkoming die aan de aanbieder mag worden toegerekend (art 6:74 BW) als er onvoldoende maatregelen worden genomen om het uitvallen van een netwerk te voorkomen. Een brand in de buurt van een centrale waardoor het hele netwerk in het westen van het land gedurende een week ernstig wordt verstoord…Ik acht dit niet voldoende voor een overmachtsituatie(artikel 6:75 BW).  Indien een centrale zo essentieel is dan mogen toch maatregelen als brand -en rookveiligheid, overname capaciteit door eigen faciliteiten of eventueel bij derde partijen etc .wel worden vereist?  Zijn er wel voldoende maatregelen genomen? Een onderzoek door onafhankelijke deskundigen lijkt mij zeker op zijn plaats. Mochten deze deskundigen tot een negatief oordeel komen dan vrees ik dat de betreffende aanbieder er deze keer niet afkomt met een weekendje gratis sms-en.

Rob van den Hoven van Genderen

Europarlementariër voor de VVD Twan Manders schraapt zijn keel nadat Antoinette Hertsenberg in het programma Radar aan hem vraagt of het geen goed idee zou zijn om één Europese wet voor de handel in namaakproducten te creëren. “Daar zijn we mee bezig al jaren, het heet het ACTA-verdrag het Anti Counterfeiting Trade Agreement. Om Europees een gezamenlijke aanpak van controle en naleving van de wetgeving op namaakartikelen in te voeren. Maar ja dan zie je dat er politici als er maar veel druk komt vanuit bijvoorbeeld de open-source maatschappij om het niet in te voeren met als gevolg dat nu het Europese Hof een advies mag geven of het niet te veel inbreuk op de privacy met zich meebrengt en dat betekent dus weer uitstel en dat betekent dus dat de criminele organisaties maar door kunnen gaan.”Deze reactie, vervlochten in een krampachtig uitgevoerd stukje amateurtoneel, roept meer vragen op dan het beantwoordt. Wat is dat ook alweer ACTA,  waarom is het omstreden en waar komt het eigenlijk vandaan?

ACTA is een initiatief gestart door de VS en Japan in 2006. De EU sloot zich wat later aan bij de onderhandelingen vertegenwoordigd door de Europese Commissie (EC). Naast overheden waren grote, veelal uit de VS afkomstige corporaties betrokken bij deze discussies over de uiteindelijke opmaak van het verdrag.  De uiteenzetting van Twan Manders aangaande ACTA is verre van compleet, de opzet behelst daarnaast namelijk zowel de civiele, als strafrechtelijke handhaving van auteursrechten op internet. Dit kan zeer vergaande gevolgen hebben voor het vrije internet. Het versluieren en incompleet weergeven van deze opzet is niks nieuws. Tot 2008 werden de onderhandelingen zorgvuldig buiten de publieke arena gehouden.  Hier kwam een einde aan door het lekken van een document rond ACTA op Wikileaks. Meerdere bronnen op internet beweren dat een afgevaardigde van de Motion Picture Association of America (MPAA) bij een ACTA-bijeenkomst erop wees dat dit verdrag  kon worden gebruikt om schadelijke sites als Wikileaks te blokkeren.[1] De Senaat van Mexico stemde vervolgens unaniem voor het afbreken van de onderhandelingen. De directe aanleiding hiervoor waren zorgen rond de bescherming van de privacy, de vrijheid van meningsuiting en de geslotenheid van de onderhandelingen.  Inmiddels staat de tekst van het verdrag online, maar er is nog steeds reden tot zorg. In artikel 23 van dit verdrag staat dat elke partij moet voorzien in strafrechtelijke procedures en sancties voor inbreuken op auteursrecht op commerciële schaal, hetgeen vervolgens wordt gedefinieerd als handelingen die als commerciële activiteiten ter verkrijging van direct of indirect economisch of commercieel voordeel worden uitgevoerd. Qua afgrenzing geen uitblinker in helderheid, mag ik dan toch wel vaststellen.

In overweging van wat er op het spel staat, is het niet vreemd dat dit verdrag zoveel losmaakt in de maatschappij. Daarom zijn er door heel Europa op 18 februari 2012 meer dan 200 demonstraties geweest en is er een petitie tegen ACTA door maar liefst 2.4 miljoen mensen is getekend. Deze twee wapenfeiten mogen als een reactie worden gezien op het democratisch tekort dat de rest van de processen rond ACTA kenmerkt. De vage referentie die Twan Manders maakt naar de open source maatschappij, alsof het hier een vage groep dissidenten betreft, slaat de plank dan ook volledig mis. Het zijn simpelweg de burgers van Europa, die groep mensen die hij hoort te vertegenwoordigen, in plaats van ze op tv lichtzinnig weg te zetten.

---

[1] Het verifiëren hiervan is lastig, gezien deze bijeenkomst privé was.

Tijmen Wisman

Er komt geen einde aan de casussen. Iedereen weet inmiddels wat de Diginotar-affaire is. Een nationaal crisisteam moest afgelopen zomer hard aan het werk om de problemen op te lossen. Het  betreffende bedrijf werd verboden overheidscertificaten uit te geven. Sterker nog, de staat nam het bedrijf operationeel over onder het devies ‘’Redden, wat je nog redden kunt.’’

Het feest der herkenning gaat door. Het overheidsbedrijf Logius werd ook op de vingers getikt middels een externe audit. Een van de aandachtspunten was het voortaan gaan werken aan een informatiebeveilingsplan.

De inmiddels continue publiciteit over informatiebeveiliging bij de overheid kreeg ruim een week geleden weer een vervolg. Staatssecretaris de Krom schreef de gemeenten aan met de opdracht om hun beveiliging op orde te brengen in relatie met de inkijk in het Suwinet.

Waar gaat het om? Doelstelling achter de Suwi-inkijk is dat je met behulp van bestandskoppelingen fraude opspoort.  De behandelende bijstandsambtenaar met inkijk in het Suwinet kan de beschikbare gegevens van een aanvrager van een WWB-uitkering inzien. Hierbij gaat het om het kunnen raadplegende van gegevens van het Uitvoeringsinstituut Werknemersverzekeringen (UWV), de Sociale Verzekeringsbank (SVB), gemeentelijke sociale diensten, de Dienst wegverkeer (RDW) en het Kadaster. De toegang tot de gegevens van de belastingdienst, de Dienst Uitvoering Onderwijs (DUO) en de Kamers van Koophandel (KvK) via Suwinet is in voorbereiding.

Een eerste vraag – naar aanleiding van de Suwi-casus – is of bijstandsambtenaren ongelimiteerd alle stromen van gegevens mogen inzien. Gemeenten hanteren veelal rolprofielen voor hun bijstandmedewerkers. Je mag afhankelijk van het type werk dat je doet, bepaalde gegevensstromen wel en andere dus niet inzien. Maar hoe effectief is deze benadering? Voorkom je dat ambtenaren gegevens verkopen aan derden? Of dat zij een andere hobby bedrijven, namelijk het opzoeken van gegevens over bekenden of VIPS (bekende Nederlanders). In hoeverre vindt er landelijk en lokaal toetsing plaats aan het bekende doelbindingscriterium van de Wet bescherming persoonsgegevens. Alvorens je kunt toetsen, heb je beleid nodig op grond van de genoemde wet. Wie mag welke Suwi-gegevens inzien en wanneer? Een aanknopingspunt is wellicht de autorisatiebesluiten, welke gelden voor bestuursorganen en aangewezen derden, die GBA–gegevens mogen raadplegen. Hierin zijn afspraken opgenomen met betrekking tot de raadpleging van de persoonsgegevens.

Uitgaande van de noodzaak van objectieve toetsingskaders is de vraag wat de betekenis is van de nu gehanteerde Code voor informatiebeveiliging. Vele overheidsorganen zijn bezig de beveiligingsmaatregelen uit de Code te realiseren. Echter wat is de betekenis daarvan? SMART-formuleringen ontbreken. En hetzelfde geldt voor sancties, zodat handhaving rechtstreeks op basis van de Code niet mogelijk is.

Daarnaast zijn er andere normen voor beveiliging. Recent is de norm DigiD gepubliceerd. Ook hier is de vraag wat de sancties zijn als overheden niet of langzaam de implementatie daarvan gaan doen. Voormalig minister Donner heeft aangegeven dat de nationale regelgevers expliciet moeten aangeven of een norm bindend is, en wat de consequenties daarvan zijn voor handhaving.

En last but not least staan we aan het begin van begrijpelijke informatie over hoe het er voor staat met de informatiebeveiliging. De landelijke beheerorganisaties, zoals het agentschap BPR, het UWV, het Kadaster en de RDW, sluiten overeenkomsten af met ministeries en andere partijen met betrekking tot de kwaliteit van de door hun te leveren persoons- en overige gegevens. Welke kwaliteitsindicatoren worden voor informatiebeveiliging gebruikt? En waar kunnen we in openbare publicaties lezen wat er bereikt is en dus nog niet bereikt is? Dit verzoek is er ook voor de situaties dat overheidsdienaren betrouwbare gegevens oneigenlijk gebruiken of zelfs misbruiken. Oprecht en professioneel governance betekent dat overheden ook over vervelende situaties publiceren en aangeven welke maatregelen ze treffen.

Kees Zwinkels

 

Waarom zijn er toch zo weinig “Toplevel domeinnamen? Iedereen kent ze, .com, .org, .Eu, .edu, .net en natuurlijk de landen domains, .uk, .it .du, .nl, us etc. en de commercieel interessante en verhandelde .tv (tuvalu), erg in trek bij de media. De organisatie die deze serveradressen nu beheert is de Internet Corporation for Assigned Names and Numbers, (ICANN). Deze international internationale onderneming coördineert het Domain Name Systeem(DNS), de Internet Protocol (IP) adressen en toewijzing van de landen codes (ccTLD) en het Top-Level Domain name system management inclusief het root server system management. Vanaf 1990 was het Amerikaanse National Science Foundation (NSF) verantwoordelijk voor deze activiteit, overgenomen door de “Internet Assigned Numbers Authority (IANA)”. In 1998 werd de ICANN als private non commerciële organisatie door de Amerikaanse overheid geselecteerd voor register accreditatie. Vanaf 2000 kreeg de ICANN de uitvoering van alle activiteiten in handen via een exclusief contract met deze het ministerie van Handel (DoC) van de V.S. Sinds 2009 vervult ICANN ook de IANA functie[1].

Verder is per land een geaccrediteerd toplevel domein filiaal van ICANN verantwoordelijk voor de uitgifte en het beheer van domeinnamen, in Nederland is dat de Stichting Internet Domeinregistratie

Nederland (SIDN).

De verdeling en het beheer van deze domeinnamen en het root server systeem lijken dus vast in handen van een monopolistische organisatie.

Sinds enkele jaren zijn er echter kapers op de kust die opereren buiten het ICANN regime. Voorbeelden hiervan zijn New.Net, Open NIC en Unified Root [2]. Zij werken met eigen root diensten en TLD’s. Ze proberen de markt open te breken met commercieel interessante TLD’s gebaseerd op product- of merknamen zoals drank, wijn of Heineken, Apple, V&D, AH etc. Unifiedroot is  gestart met eigen rootservers met eigen topdomeinen zoals .football, .tax, .movie en .video.

 De ICANN heeft juridisch gezien geen publiekrechtelijke status om normen op te leggen maar is niet blij met deze alternatieve aanbieders.

In een artikel in het Parool van 10 maart jl. stelt Lycke Hoogeveen van SIDN  “Er is maar één officiële root-autoriteit, en dat is ICANN,”. Een beetje vreemd, want het is wel een zelfbenoemde Amerikaans autoriteit. Een doorbreking van dit monopolistisch regime zou SIDN gezien de Europese mededingingsregels toch dienen te omarmen. Niet in de laatste plaats om de invloed van de Amerikaanse overheid te beperken. Ook Viviane Reading stelde bij de afloop van de laatste termijn van het bestaande contract tussen de DoC en ICANN dat het nu een goed moment –lees de hoogste tijd!- was om de koppeling tussen de Amerikaanse overheid en de ICANN los te laten [3]

Zowel via instrumenten als de Patriot Act maar ook “gewoon”via rechtelijke uitspraken legt de V.S. op dit terrein zijn wil op aan de TLD gebruikers:

But at the end of the day what has happened is that US law (in fact, Maryland state law) as been imposed on a .com domain operating outside the USA, which is the subtext we were very worried about when we commented on SOPA. Even though SOPA is currently in limbo, the reality that US law can now be asserted over all domains registered under .com, .net, org, .biz and maybe .info (Afilias is headquartered in Ireland by operates out of the US).This is no longer a doom-and-gloom theory by some guy in a tin foil hat. It just happened.[4]

Een liberalisering van de regulering van het internet en de uitgifte van TLD’s en/of een democratisering van het uitgifte beleid door een evenwichtige verdeling is ook de opstelling van Europa, aldus Reading[5].

Maar ook al lijkt dat door nieuwe intreders in de markt te kunnen worden bespoedigd worden we geconfronteerd met het probleem  dat de “nieuwe TLD’s” niet zijn te vinden via de bestaande roots.  Als dit het resultaat is van oneigenlijke technische belemmeringen die opgeworpen wordt door ICANN en of de Verenigde Staten zou dit eveneens in strijd zijn met de geest van de Europese mededingingsregels. . Nieuwkomer Unifiedroot heeft nu wel een eigen browser ontwikkeld, Sundial, die zowel Icann-TLD’s als de eigen Unifiedroot  TLD’s kan vinden maar vindt zijn weg nog niet naar de in gebruik zijnde PC’s omdat de browser zo onbekend is.  Via een App zou deze zoekmachine dan wel kunnen worden geïmplementeerd en dat zou, gezien de stormachtige ontwikkeling van de mobiele toegang van randapparatuur meer invloed kunnen hebben. Het is waarschijnlijk dat onder deze druk ook ICANN ineens is overgegaan tot de introductie van meer commercieel getinte TLD’s als.movie en.music en niet te vergeten .xxx voor de porno industrie, zij het dat het commerciële element vooralsnog bij kosten kant voor de aanvrager en de inkomsten van ICANN ligt. Het starten van de procedure kost eenmalig 180.000 dollar, plus jaarlijks nog eens 25.000 dollar, zo stelt directeur Erik Seeboldt van Unifiedroot in het artikel in het Parool terwijl hij een TLD zegt aan te kunnen bieden voor een eenmalig bedrag van50.000 Euro plus een jaarlijkse fee van 12.500 euro.

Naast de gunstige werking ten aanzien van de kostenaspecten lijkt mij veel te zeggen voor het doorbreken van het monopolie van de ICANN ook al zou dat in een beginfase voor wat verwarring kunnen leiden, zo is de angst van met name de ICANN georiënteerde gemeenschap.

Ik ben benieuwd of de Europese Commissie genoeg stamina zal  blijken  te hebben  om het standpuntvoor een openbreken van deze markt in het kader van de nieuwe agenda van e-Europe vol te houden.

Rob van den Hoven van Genderen

---

[1] http://www.icann.org/en/resources/registrars/accreditation/history

[2] http://topleveldomainname.nl/unifiedroot-in-the-press/

[3] Viviane Reding, Information Society Commissioner of the European Union, is calling for the United States to hand over control of ICANN (Internet Corporation For Assigned Names and Numbers). She said that the organization running ICANN needs be one free of control by one single nation but controlled by a private entity and governed by multiple nations; http://techfragments.com/news/738/Tech/European_Union_Asks_Obama_To_Free_ICANN.html  (30 september 2011)

[4] Mark Jeftovic, Blog 29 februari; http://blog2.easydns.org/2012/02/29/verisign-seizes-com-domain-registered-via-foreign-registrar-on-behalf-of-us-authorities/

[5] “In the long run, it is not defendable that the government department of only one country has oversight of an internet function which is used by hundreds of millions of people in countries all over the world.” she went on to say. (zie noot 3)

Op 23 februari 2012 verschenen de eerste berichten over een Verdrag ter bestrijding van computercriminaliteit tussen de VS en Nederland dat door minister Opstelten was ondertekend.

De voorbereiding van dit verdrag was verbazingwekkend goed stil gehouden aangezien ik hier niets van had vernomen en doorgaans goed ingelichte bronnen hiervan ook niet op de hoogte waren. Er was geen voorafgaand overleg in de Kamer geweest, noch was enige tekst aan de kamer en kabinet voorgelegd. Had de minister in een vlaag van grootheidswaanzin op een onbewaakt moment zo maar een verdrag gesloten met de Verenigde Staten?

Aangezien de verschillende internet nieuwsbronnen als nu.nl, binnenlands nieuws.nl, de pers.nl, computable.nl, webnews.nl, etc. de ondertekening van dit verdrag  bevestigden namen ook andere landelijke media de berichtgeving over. Fok.nl stelde zelfs panisch dat dit het eind van internet zou betekenen.

Ook op de NOS site van radio 1 stond een interview met Opstelten, voorzien van de inleidende tekst verwijzend naar het verdrag dat Minister Opstelten van Veiligheid en Justitie in Washington met zijn Amerikaanse collega Napolitano  had gesloten over de aanpak van cybercrime en het vergroten van de veiligheid op internet.  Het moest dus wel waar zijn. Minister Opstelten bevestigde in het interview de ondertekening van het verdrag. Inhoudelijk ging het met name om de uitwisseling van informatie en onderzoek naar de kwetsbaarheid van vitale infrastructuren, de economische structuur, de energievoorziening, banken en luchthavens, zo stelde hij. Kortom, het betrof hier een van de belangrijkste verdragen van deze eeuw op het gebied van cybersecurity zo scheen het.

Wat was er nu in werkelijkheid aan de hand?

Op 27 februari verscheen op de site van  Computable een nader artikel van Johannes van Bentum, die goed gekeken had naar de site van de Nederlandse Organisatie voor Wetenschappelijk Onderzoek (NWO.nl). Daar stond namelijk dat op 21 februari jl., tijdens een gezamenlijke bijeenkomst over cyberbeveiliging op de Nederlandse ambassade in Washington het NWO en het Amerikaanse Department of Homeland Security afgesproken hebben dat Nederland en de Verenigde Staten gezamenlijk wetenschappelijke onderzoeksprojecten zullen financieren op het gebied van Cyber Security.  De bijeenkomst was georganiseerd door het Netwerk van Innovatie Attaches (TWA’s). Hierbij waren ook vertegenwoordigers van het naar Amerikaans voorbeeld recent opgezette Nationale Cyber Security Center (NCSC) aanwezig.

Om deze samenwerking te bevestigen, ondertekenden Janet Napolitano, namens het Amerikaanse ministerie van Homeland Security en Ivo Opstelten namens het ministerie van Veiligheid en Justitie een intentieverklaring. In de verklaring staat dat er aan gezamenlijke security initiatieven wordt gewerkt om een veilig en veerkrachtige ‘cyberomgeving’ te bevorderen.

Inhoudelijk werden vijf gebieden van wederzijds belang werden geïdentificeerd: Cyber Forensics, kwaadaardige software in een mobiele omgeving (malware), grensoverschrijdend identiteitsmanagement, vitale infrastructuren/SCADA en Cloud Computing.

Ook op de site van het NCSC was deze informatie aanwezig hoewel daar in de verklaring sprake was van een iets strijdlustiger toonzetting dan gebruikelijk is bij een gezamenlijk wetenschappelijk onderzoek. Napolitano verklaarde immers dat de samenwerking van belang was om bedreigingen tegen veiligheid en economische stabiliteit aan te pakken’, aldus de site van het NCSC.

Journalistieke fraude bestaat niet; alleen journalistieke vrijheid. Maar een inspanningsverplichting tot onderzoek van bronnen zou niet verkeerd zijn, even als een uitleg aan minister Opstelten over het verschil tussen een intentieverklaring en een verdrag.

Rob van den Hoven van Genderen

Het VU Medisch Centrum heeft  in samenwerking Tv-producent Eyeworks  met via 35 op afstand bedienbare camera’s,  cameratoezicht op een bijzondere wijze benut. Was het de bedoeling om diefstal van medische apparatuur of medicijnen te ontdekken, de dief op heterdaad te betrappen? Nee, het meeluisteren en meekijken van behandelingen en gesprekken van de patiënten had ten doel een ziekenhuis-realityserie voor RTL te verlevendigen met spannende verhalen.

Het is op zijn minst bijzonder te noemen dat het VU Medisch Centrum in Amsterdam toestemming heeft gegeven voor opnamen op de Spoedeisende Hulp zonder dat duidelijke afspraken zijn gemaakt over voorafgaande toestemming van de betrokkenen, zowel personeel als patiënten en hun begeleiders.

Het betreft hier toch vaak zeer gevoelig persoonlijk materiaal, bijzonder gevoelige gegevens die als speciale categorie in de wet bescherming persoonsgegevens ook om bijzondere bescherming vragen. Het verwerken van die gegevens, en daarvan is sprake bij het opnemen van beelden en gesprekken, opslaan en verspreiden, is niet toegestaan zonder voorafgaande toestemming van die personen.

Ook andere gerechtvaardigde gronden om tot de verwerking over te gaan zijn niet van toepassing en een beroep op bijvoorbeeld de journalistieke vrijheid lijkt mij in dit geval verre van aanvaardbaar en in ieder geval niet van toepassing op de rol van het Medisch centrum.

Dat betekent dat al de handelingen van Eyeworks en Vu medisch centrum in strijd met de wet waren en dat geldt niet alleen voor de geselecteerde opnames voor eventuele uitzending.

Voor die opnames werd, werd volgens RTL voorafgaand toestemming voor het gebruik in het programma gevraagd aan de betrokkenen.  Dat is echter niet wat in de wet wordt verstaan als voorafgaande toestemming. De verwerking van de persoonsgegevens begint  al bij de vastlegging van die gegevens door camera en geluidsopnames ook al wordt er niets mee gedaan. De betrokkennen dienden dan ook voorafgaand aan enige actie van Eyeworks om hun toestemming tot medewerking worden gevraagd.

Overigens is het nog maar de vraag of Eyeworks zich geroepen voelt  of er aan gedacht heeft om ook de medewerkers van het medisch centrum en de begeleiders van de patiënten om toestemming te vragen.

Eyeworks zou zich beter dienen te informeren over de ethische en juridische belemmeringen voordat tot het maken van zo’n programma wordt besloten.  Van het Vu medisch centrum mag wat mij betreft nog meer zorgvuldigheid worden verwacht gezien hun ethische, morele en juridische verantwoordelijkheid.

Daarbij mag best een beroep worden gedaan op de medewerkers van de zuster faculteiten.

Rob van den Hoven van Genderen

VU, Rechten, Center for Law & Internet

Middels een advertentie in enkele landelijke dagbladen bood KPN maandag twee miljoen maal excuses aan. Deze excuses waren voor de twee miljoen klanten van KPN die tijdelijk geen gebruik konden maken van hun mailaccounts. Dat is twee miljoen maal te veel, of beter gezegd: twee miljoen maal om de verkeerde reden. De excuses van KPN zouden aangeboden dienen te worden om andere redenen.

Allereerst zou KPN zijn excuses aan moeten bieden voor de late bekendmaking van de hack die vorige maand heeft plaatsgevonden. Hoewel in een begin stadium van een incident veelal meer vragen dan antwoorden bestaan, hebben klanten, wanneer het hun persoonsgegevens betreft, toch het recht om te weten dat deze mogelijk in de handen van kwaadwillenden zijn beland. Terwijl de mogelijkheden voor consumenten voor het voorkomen van misbruik van gelekte gegevens beperkt zijn, kunnen zij wel actiever monitoren om eventueel misbruik eerder te detecteren. Deze mogelijkheid wordt hen ontnomen op het moment dat zij geen kennis kunnen nemen van het feit dat een incident heeft plaatsgevonden. Daarnaast kunnen zij zelf sneller als voorzorgsmaatregel hun wachtwoord wijzigen, zodra zij op de hoogte zijn van het incident, zonder af te wachten op het verzoek van de provider om dit te doen.

De late bekendmaking zou een gegronde reden zijn voor KPN om excuses aan te bieden. Hoewel men (terecht) kritiek kan uiten op KPN voor de late bekendmaking, zou deze kritiek eveneens gericht moeten worden op de regering voor het lange proces om de meldplicht datalekken in te voeren. De continue stroom aan datalekken toont aan dat deze invoering niet langer op zich kan laten wachten. Dit is eveneens het geval omdat een dergelijke meldplicht (hopelijk) een positieve stimulans is voor het verbeteren van de interne informatiebeveiliging van organisaties, waardoor dergelijke incidenten zoveel mogelijk teruggedrongen kunnen worden. 

Ten tweede zou KPN excuses moeten aanbieden voor de manier waarop de provider met informatiebeveiliging is omgegaan. Hoewel nader onderzoek nodig is om met enige betrouwbaarheid te kunnen beschrijven op welke wijze de inbraak heeft plaatsgevonden, geeft huidige berichtgeving aan dat er zeker sprake is van (enige) nalatigheid aan de kant van de provider. Dit is, mede gezien de betrokkenheid van de heer Blok als co-voorzitter van de Cyber Security Raad, een bijzonder verontrustend gegeven. KPN schrijft in de advertentie, “We vragen niet om uw begrip, maar vinden het wel belangrijk om te zeggen dat we op de eerste plaats aan de veiligheid van uw gegevens hebben gedacht.” Echt waar?

Uit de gang van zaken ontstaat het beeld dat allereerst gedacht is aan de continuïteit van de dienstverlening, met hoogstwaarschijnlijk als doel het voorkomen van reputatie schade. Pas toen buitgemaakte gegevens van KPN klanten van een andere hack gelekt waren, besloot de provider veiligheid op de eerste plaats te zetten. De voorrang voor informatiebeveiliging wordt vervolgens indirect de bron van de verontschuldiging in de advertentie. Dit is de omgekeerde wereld. De excuses hadden juist niet aangeboden moeten worden om de maatregelen die zij troffen om potentiële schade te beperken. Door daarvoor excuses aan te bieden blijft gebruikersgemak hoger in het vaandel staan dan informatiebeveiliging. Deze beeldvorming is nadelig voor het bevorderen van de digitale veiligheid van Nederland. Daarmee blijft informatiebeveiliging het onpopulaire jongetje op het schoolplein en zal het nooit integraal onderdeel worden van de informatiesamenleving. Terwijl dit, zeker met de toename van incidenten, juist het geval zou moeten zijn. 

De consument gaat in deze echter ook niet vrijuit. Consumenten beginnen vaak pas hun frustratie te uiten op het moment dat de dienstverlening hapert. In de anywhere, any time, any place moraal van de huidige samenleving lijkt dat het ergste wat men kan overkomen. Het feit dat een beveiligingsincident heeft plaatsgevonden en dat er een verhoogd risico bestaat op potentieel misbruik van persoonsgegevens is van minder groot of zelfs geen belang. Daarom biedt KPN momenteel klanten de mogelijkheid om een schadevergoeding aan te vragen als gevolg van de onbeschikbaarheid van hun mailaccounts. Vreemd genoeg wordt deze mogelijkheid nagenoeg nooit aangeboden aan klanten wanneer hun gegevens mogelijk gecompromitteerd en vervolgens gelekt zijn. Terwijl de (financiële) schade daarvan, middels bijvoorbeeld identiteitsdiefstal, vele malen ingrijpender zou kunnen zijn. Dat is waarvoor KPN, ten minste éénmaal, zijn excuses had moeten aanbieden. 

Nicole van der Meulen

Niettegenstaande  de geruchten dat de tekst van het (definitieve)voorstel voor de nieuwe privacy verordening ter  herziening van de huidige Privacy Richtlijn (95/46/EG) zou worden uitgesteld tot eind februari, (volgens kwade tongen  door de VS in de wereld gebracht) is de tekst toch op 25 januari bekend geworden.

Met name is van belang dat de harmonisatie binnen Europa is gediend bij het gebruik van het instrument verordening in plaats van een richtlijn. Een verordening is immers een op een van toepassing op de nationale regelgeving. Marges en verschillen in toepassing tussen de regelgeving van de verschillende lidstaten horen hiermee tot het verleden, tenminste als dit voorstel  als verordening wordt aangenomen.

De motivatie om te kiezen voor een verordening is, onder andere, dat de bescherming van persoonsgegevens (niet de privacy!) zoals neergelegd in artikel 8 EVRM geen afwijking  kan velen binnen de Europese Unie. Afwijkingen tussen staten onderling zou belemmeringen zowel voor de bescherming als zodanig als ook voor het verkeer van die data tussen de lidstaten opleveren.

De eerder uitgelekte tekst (versie 34) had al veel protest opgeroepen bij het bedrijfsleven omdat de lasten met name bij dat bedrijfsleven werden gelegd zonder dat er sprake zou zijn van een werkelijke verbetering van de positie van de betrokkene.

Het uiteindelijke voorstel van de verordening[1]is daarbij volgens mij niet zo desastreus voor het bedrijfsleven. De lobby, met name vanuit de DM hoek, heeft zijn vruchten afgeworpen.

Voor direct marketing is immers wederom  een uitzondering gemaakt op het uitgangspunt dat uitdrukkelijke toestemming voor het verzamelen en gebruiken van gegevens is  vereist. De bewijslast van die verkregen toestemming ligt overigens bij de verwerkende organisatie (artikel 7). Gegevens van kinderen onder de 13 worden zonder toestemming van de ouders niet verwerkt.

Natuurlijk zijn er wel  verdergaande verplichtingen voor het bedrijfsleven en overigens alle overige verwerkers van persoonsgegevens. Elektronische verzoeken tot informatie, verwijdering of, wijziging  van persoonlijke informatie  dienen zonder vertraging en in ieder geval binnen een maand te worden afgewikkeld, nog redelijke termijn voor de organisatie lijkt mij (artikel 12).

Wat betreft de beginselen (artikel  5 – 11) wordt een grote nadruk gelegd op de transparantie (artikel 11 -1 8)en een minimalisatie van het gebruik van persoonsgegevens .  Nieuw is het recht ”to be forgotten” (artikel 17) en toestemming te onthouden aan “profiling”activiteiten (artikel 19 en 20) voor zover technisch mogelijk natuurlijk.

Verder moeten bedrijfsleven en organisaties kunnen aantonen dat zij persoonsgegevens adequaat beschermen. Om te beginnen moet de bescherming gebaseerd zijn op “privacy by design’, De beveiligingsmaatregelen dienen afdoende te zijn, in aanmerking nemende de aard van de gegevens, state of the art en de kosten die bescherming met zich meebrengt, niet revolutionair in vergelijking met de bestaande regelgeving..

Als er sprake is van een datalek, moeten zij  dit zo spoedig mogelijk melden bij de nationale privacytoezichthouder (artikel30)  Verder dient ook de betrokkene te worden ingelicht (artikel 31).

Interessant is verder het opnemen van een “data impact assesment”,  “bij risicovolle verwerkingen van gevoelige gegevens, gedragingen of voorkeuren van natuurlijke personen of “gevoelige verwerkingen” als video opnamen van bewegingen en gedrag.(artikel 33).

Overigens vindt dit onderzoek plaats door de verantwoordelijke of bewerker van de eigen organisatie…

De reactie van het CBP op het voorstel is dan ook enigszins  terughoudend en verder tamelijk neutraal in zijn bewoordingen. Het College erkent dat het voorstel voor de verordening op onderdelen een versterking van de rechten van burgers van wie persoonsgegevens worden verwerkt betekent maar is niet juichend..
Wel zijn ze blij met de versteviging van de rol van privacytoezichthouders
In de conceptverordening staan immers duidelijke criteria voor de onafhankelijkheid van de privacytoezichthouders en hun onderzoeksbevoegdheden. Privacytoezichthouders hebben bijvoorbeeld het recht op informatie van bedrijven en organisaties en moeten toegang kunnen krijgen tot hun panden. Ook krijgen de toezichthouders geharmoniseerde en krachtige handhavingbevoegdheden, inclusief een boetebevoegdheid waarbij de boetes kunnen oplopen tot een miljoen Euro.

Het CBP -en naar alle waarschijnlijkheid ook het bedrijfsleven- zijn verder blij dat de bestaande verplichting tot melden van gegevensverwerking bij de toezichthouders komt te vervallen in het voorstel, omdat dit een verlichting van de administratieve lasten betekent en tegelijkertijd naar hun zeggen, niet ten koste gaat van het niveau van bescherming persoonsgegevens.

Kortom, de verwachte wijzigingen zijn opgenomen, de positie van de datasubjecten is enigszins verbeterd  en het bedrijfsleven is niet echt zwaar getroffen. Enigszins teleurstellend, gezien het lange draagtraject dat tot deze geboorte van de verordening heeft geleid.

Nu maar eens kijken wat er van de uiteindelijke verordening en de toepassing en handhaving overblijft!

Rob van den Hoven van Genderen

---

[1] http://ec.europa.eu/justice/data-protection/document/review2012/com_2012_11_en.pdf