PRISM, oude wijn in nieuwe zakken

juni 13th, 2013

De Guardian brengt oud nieuws, het scannen en tappen van onze communicatie door de nationale veiligheidsdiensten vindt al decennia plaats op grond van nationale wetgeving en internationale afspraken.

 

Wat een verontwaardiging over de acties van de NSA over het vergaren van informatie via de telecommunicatieinfrastructuren en de sociale media. Of dat iets nieuws is. En of het onduidelijk zou zijn of verkregen informatie zou worden uitgewisseld tussen de verschillende nationale (westerse)veiligheidsdiensten.  En dan als Kamerleden verontwaardigd in de media roepen dat de minister hier duidelijkheid over dient te verschaffen. Terwijl die Kamerleden dat al lang horen te weten.  De data vergaring  op grond van de the FISA Amendment Act of 2008 vind al jaren plaats. In het kader van ECHELON wordt al vele jaren door de westerse veiligheidsdiensten (privé) communicatie gescand. Deze samenwerking tussen de veiligheidsdiensten, inclusief Nederland vindt al plaats sinds de jaren vijftig op basis van een overeenkomst uit 1948 tussen de VK en de VS  en betreft alle  Signals Intelligence, ook wel Sigint genoemd en de uitwisseling van die gegevens. De werkwijze en uitwisseling van verkregen informatie staat gewoon in de betreffende wetgeving op de AIVD.  De fractievoorzitters van de politieke partijen hebben in het kader van de commissie algemene zaken overleg over de veiligheidsdiensten (“commissie stiekum”) en zouden hiervan op de hoogte moeten zijn en hier over vragen moeten stellen als ze hier daadwerkelijk problemen mee hebben.  Maar nee, de wettelijke verplichtingen omtrent  de Staatsveiligheid verbiedt hen hierover te spreken. Politiek was het tot nu toe blijkbaar niet interessant genoeg om hier aandacht aan te geven.

Overigens heeft ook de AIVD het volste recht op basis van de wet om informatie te vergaren met  vergaande technische en toegestane middelen, in de bewoordingen van artikel 25 van de wet op de AIVD:

De diensten zijn bevoegd tot het met een technisch hulpmiddel gericht aftappen, ontvangen, opnemen en afluisteren van elke vorm van gesprek, telecommunicatie of gegevensoverdracht door middel van een geautomatiseerd werk, ongeacht waar een en ander plaatsvindt. Tot de bevoegdheid, bedoeld in de eerste volzin, behoort tevens de bevoegdheid om versleuteling van de gesprekken, telecommunicatie of gegevensoverdracht ongedaan te maken.

Hier komt verder geen democratische controle aan te pas. Alleen de toestemming van de Minister aan het hoofd van dienst, lees de baas van de AIVD. Eventueel gecheckt door een onafhankelijke commissie van toezicht, bestaande uit drie man.

Dat er nu door de ontboezemingen van een klokkenluider in de Guardian aandacht aan deze werkwijzen van de nationale veiligheidsdiensten wordt gegeven betekent niet dat dit  nieuw (of nieuws) is. Dit ondoorzichtige en geheime werk  ter bescherming van onze  “democratische rechtsorde”vindt al jaren plaats en zal ook in de toekomst blijven plaatsvinden.

Rob van den Hoven van Genderen, Center for Law & Internet

 

Yeah, I think Cybersettle is out of the ODR game

mei 22nd, 2013

While preparing my ODR (Online Dispute Resolution) class I checked Cybersettle, one the first and most successful ODR providers. I often used their demo to show the blind-bidding process. Extremely simple, clever use of technology. Settling monetary claims by simply entering either the amount you are willing to pay or what you want to receive. If after three rounds the figures meet, case closed. Even in my first ODR class ever, February 2001, I mentioned Cybersettle. Maurits Barendrecht devoted in 2004 his first column on Law and Innovation in the Dutch journal NJB to Cybersettle. That same year, in the same journal I published an article on the (bright) future of ODR (http://cli.vu/pubdirectory/143/) including Cybersettle’s success: early 2001 settled for 37 million dollar, early 2002 for 80 million and in 2004 for over 500 million dollar. Also in 2004 David Larson published in the Negotiation Journal: “Children (…) are becoming always available, always connected. And they will demand that service professionals work in their world.”

Progress and success in ODR have not been as expected. Sure, eBay/Paypal/SquareTrade were in 2009 handling 60 million cases on a yearly basis, and online arbitration decided thousands of domain name disputes. Still we are waiting for a real take up of ODR. What about Cybersettle? When checking the site it seemed a hostile take-over, all I got was some healthcare page PayMD. There still was reference to the Cybersettle system, but the system itself was no longer there. The title of this blog-post was Colin Rule’s reply to my question what happened to Cybersettle? Really disappointing.

Colin Rule has left eBay/PayPal a couple of years ago and is now heading Modria.com. If there is one person who deserves to be successful in ODR it is Colin. Some 15 years ago he started Online Resolution, and in my first ODR class I showed screen dumps of an online tour he offered me back then. I am not as confident as I was in 2003 that, as Colin called it, one day our visions will come true. However, the work on the UNCITRAL ODR group and in particular the recently accepted EU ODR regulation and ADR directive (proposed November 2011, accepted by EP March 2013, accepted by EU Council April 2013) might prove valuable.

Now almost everyone in the world has a smartphone, the real ODR break through may turn out to be mobile. Probably at one moment during the next ten years, when courts moved online, and ADR is frequently used online, we will hardly remember the day when there was no ODR.

AR Lodder

 

Social media en jongeren

april 18th, 2013

Vorig jaar volgde Nandini Bissumbhar met succes het vak e-commerce law en onlangs vroeg ze of ik wilde meewerken aan een middelbare school maatschappelijk werkstuk over Social Media en Jongeren. Ze is daarbij als begeleider betrokken. Het zijn goede vragen die Roy Mostert stelt en nu leek het me aardig om in lijn met het onderwerp de antwoorden ook mede via social media, blog valt daaronder, te verstrekken. Het onderwerp is actueel, vorige week belde een journalist die meer over privacy en facebook wilde weten, ze was een boek aan het schrijven over “negatieve kanten van sociale media voor jongeren”. Ook was er recent discussie (rond de man die een social media verbod kreeg) over of het wel ‘sociale’ media zijn en de te gebruiken term niet uitsluitend “social’ media moet zijn. Zoals Das Pri-V rapt: Social media, aso media. Volgens mij is “sociale” gewoon  de Nederlandse vertaling van “social”, dus ik heb geen probleem met de term  sociale media, of sociale netwerken. Tot zover de opmaat, die duidelijk maakt dat juristen lang van stof zijn, er omheen praten, niet kernachtig zijn. Ik geef momenteel een vak waarin studenten steeds drie vragen krijgen en ze max. 200 woorden per vraag mogen gebruiken. Ze vinden dat lastig, en dat is het ook. Het is wel een belangrijke vaardigheid, je kort en duidelijk uitdrukken (ben inmiddels over de 200 woorden…). Dan nu de vragen.

Is er Nederlands recht/EU recht voor Social Media op gesteld, bijvoorbeeld wetten etc? Waarom?

Er is veel jurisprudentie (uitspraken van rechters) over social media (zie diverse voorbeelden in het boek Recht en Web 2.0 uit 2010). Speciale wetgeving is er nauwelijks. Vaak is het bestaande recht ook eenvoudig toe te passen op sociale media. Een belediging op Twitter is niet anders dan een belediging op straat, het dreigen de school op te blazen is op Twitter net zo strafbaar. Daar zijn geen aparte regels voor nodig. Privacy regels gelden ook op sociale media. Er schiet mij zo snel maar een speciale regel te binnen, online kinderlokkerij, oftewel grooming. Dit is in het wetboek van strafrecht een aantal jaar geleden opgenomen omdat er jongeren waren die door ouderen werden misleid en verleid tot seksuele handelingen, ook buiten internet. In art 248e Wetboek van Strafrecht is te lezen:

Hij die door middel van een geautomatiseerd werk of met gebruikmaking van een communicatiedienst een persoon van wie hij weet of redelijkerwijs moet vermoeden dat deze de leeftijd van zestien jaren nog niet heeft bereikt, een ontmoeting voorstelt met het oogmerk ontuchtige handelingen met die persoon te plegen of een afbeelding van een seksuele gedraging waarbij die persoon is betrokken te vervaardigen wordt, indien hij enige handeling onderneemt gericht op het verwezenlijken van die ontmoeting, gestraft met gevangenisstraf van ten hoogste twee jaren of geldboete van de vierde categorie.

De taal is niet helemaal van deze tijd, maar daar doorheen kijkend zal duidelijk zijn dat met deze bepaling jongeren op social media worden beschermd tegen ouderen met slechte bedoelingen.

In 2012 wilde een bedreigde burgemeester een nieuwe wet voorstellen om anonieme dreigingen via internet onmogelijk te maken. Technisch niet realiseerbaar en hoe ontzettend vervelend anonieme bedreigingen ook zijn overigens ook niet een goed idee (interview BNR oktober 2012). Een andere suggestie werd januari 2012 door advocate Bénédicte Ficq gedaan om fake accounts op Twitter strafbaar te stellen. Ook daar was veel weerstand tegen. Identiteitsdiefstal is al strafbaar en een account als @koningin_NL met 150.000 volgers is duidelijk nep maar wordt door veel mensen grappig gevonden. Geen reden om te verbieden. Mark Rutte heeft wel een Twitter-account door de RVD laten afsluiten dat onder zijn naam werd gevoerd, maar nog steeds zijn er nep Mark Rutte’s op Twitter te vinden.

Welke voor en nadelen biedt deze wetgeving voor de burgers?

Voordeel kan zijn duidelijkheid, maar nadeel is dat als je wetgeving speciaal voor social media maakt dat deze snel verouderd kan raken. Een bepaalde nieuwe toepassing valt er dan bijvoorbeeld net weer niet onder. Daarom wordt altijd geprobeerd om regelgeving niet te specifiek te maken. Dus zeker niet een nep-account op Twitter stafbaar maken, hooguit bijvoorbeeld “het voeren van een valse identiteit op internet zonder dat duidelijk is dat niet de echte persoon er achter zit.”

Wordt er op uw werk ook gebruik gemaakt van social media voor werk doeleinden? Gebruikt u het zelf ook? Waarom?

Ja, hoewel juristen geen voorlopers zijn op internet. De meeste medewerkers hebben een LinkedIn-account. Verschillende hebben een account op SSRN, een databank met artikelen. Een enkeling heeft een Twitter-account en een blog-site. Zelf ben ik op al de hiervoor genoemde social media actief (zie de links), en heb ook een Youtube-kanaal. Op Facebook zit ik niet, omdat ik de privacy policy niet onderschrijf. De reden dat ik op sociale media actief ben, is deels omdat het past bij mijn vakgebied, internetrecht, en deels omdat het een manier is om breder ideeën uit te dragen dan via vaktijdschriften, boeken en international journals. Ook in het onderwijs maak ik er gebruik van. Op dit moment maken steeds andere studenten elke week een video van max. 2 minuten. Daar zitten erg goede tussen, al twee studenten hebben een 10 daarvoor gekregen (die waren dus perfect).

Wat vind u ervan dat social media zo een groot deel uitmaakt in het leven van jongeren, bijvoorbeeld onder uw studenten?

Een Amerikaanse collega van mij, David Larson, schreef al een jaar of 10 terug over de jongere generaties: “always connected, always available”. Dat het die vorm aannam had ik me toen niet gerealiseerd en de smartphone was nog niet eens op de markt, die is er pas sinds 2007.  Sinds die tijd is de beschikbaarheid alleen maar toegenomen. Ik vind het op zich mooi om te zien dat de studenten veel gebruik van sociale media maken, maar vind het ook van belang dat iedereen zich blijft realiseren dat er meer is dan een online wereld. Typerend vond ik een film over de mensen achter de Pirate Bay die niet hielden van het begrip IRL (in real life, in het echte leven). Zij gebruikten liever AFK (away from keyboard), omdat voor hen het echte leven online is. Dat had ik eerder al begrepen van sommige mensen die virtuele werelden als de echte wereld zien, maar dat het ook voor internet in het algemeen geldt vond ik wel opvallend.

Hoe zal de toekomst van social media er uit zien volgens u?

Ik ben een enorm slechte voorspeller. In dit filmpje noem ik een aantal door mij gedane voorspellingen (in 1993 dat mobiele telefoon niks zou worden, in 1998 dat internet zou dichtslibben en stoppen, in 2003 dat kleine schermpjes op telefoons niet voor internet geschikt zijn en in 2007 dat virtuele werelden heel belangrijk zouden worden) die allemaal niet uitkwamen. Ik kan dus wel iets zeggen, maar de kans dat dit uit zal komen is zo klein dat ik beter niks kan zeggen.

A.R. Lodder

CBP presenteert de richtsnoeren voor beveiliging van persoonsgegevens

februari 22nd, 2013

De urgentie

De deskundigen hebben lang uitgekeken naar de opvattingen van het College voor de Bescherming van de Persoonsgegevens, omdat de beveiliging van persoonsgegevens hot is. Het digitaal werken kent zijn voordelen, maar ook zijn risico’s. Denk niet alleen aan hacken, maar vooral aan onbewust en onzorgvuldig omgaan met data. Een inmiddels bekend voorbeeld is een gebrekkige front office applicatie, zodat ongewenste buitenstaanders toegang krijgen tot achterliggende back office applicaties plus databases, gevuld met bijvoorbeeld personeels- of cliëntgegevens.

De Europese wetgever heeft reeds in Richtlijn 95/46/EG regels gesteld ter zake van de verwerking van persoonsgegevens.  Het belangrijke artikel 13 Wet bescherming persoonsgegevens (Wbp) legt in Nederland bedrijven en overheden de verplichting op ‘’passende technische en organisatorische maatregelen’’ te treffen om persoonsgegevens te beveiligen. Het artikel geeft geen helderheid over de invulling van de genoemde verplichting. Daarom heeft het CBP de richtsnoeren voor beveiliging van persoonsgegevens deze week gepresenteerd.

Standaarden met open normen

Het college kiest voor de volgende  benadering. Formuleer betrouwbaarheidseisen, gerelateerd aan de verschillende typen persoonsgegevens. Reken hiertoe beschikbaarheid, integriteit, vertrouwelijkheid en controleerbaarheid.  Leg vervolgens de geformuleerde eisen ten grondslag aan de analyse van de risico’s en de te treffen maatregelen. Evalueer  de uitvoering van de maatregelen. Voor zover nodig stel de maatregelen bij.

De lezer van de CBP-Richtsnoeren krijgt dus geen inhoudelijke oplossingen gepresenteerd, maar een aanpak  voor hoe om te gaan met  informatiebeveiliging.  Hierbij wordt verwezen naar de beschikbare standaarden. Reken hiertoe bijvoorbeeld de code voor informatiebeveiliging (NEN-ISO 2702:207) en de NEN 7510. Zoals bekend gaat het hier om open normen. De ‘’verantwoordelijke’’ (lees : degene, die doel en middelen voor verwerking van persoonsgegevens vaststelt) en de ‘’bewerker’’ (lees : verwerkt in opdracht van de verantwoordelijke) zullen dus zelf de risicoanalyse moeten maken en op basis hiervan de beveiligingsmaatregelen moeten formuleren.  Een voorbeeld ter illustratie. De leverancier van medische apps heeft een zware zorgplicht met betrekking tot de patiëntgegevens die ontstaan en worden opgeslagen. De beveiliging daarvan zal op een 99.9%-niveau moeten plaats vinden. Lukt dat niet in 1 keer, dan moet de fasering met maatregelen SMART (Specifiek, Meetbaar, Aanvaardbaar, Realistisch en Tijdgebonden) zijn.

Een tweede constatering ter zake van de  genoemde standaarden is dat zij het uiterlijk van zware kerstbomen hebben. Het is derhalve onmogelijk om alle beveiligingsmaatregelen tegelijkertijd uit te voeren. Dat leert ook de praktijk. Het stellen van prioriteiten (risico’s en maatregelen in de tijd gefaseerd) moet derhalve gebaseerd zijn op een transparante en resultaatgerichte ‘control approach’’. Een praktische aanpak kan zijn de risico’s en de maatregelen te inventariseren en te benoemen binnen de aandachtsgebieden van bedrijfsdoelstellingen, de inrichting van de organisatie (de bedrijfsprocessen en de functies) en de ICT-systemen. Daarmee wordt voor niet alleen het management, maar  ook voor de toezichthouders , de medewerkers en de andere stakeholders helder wat de betekenis van beveiliging binnen de organisatie is.

Toezicht op de naleving

De verantwoordelijke moet op grond van art.14 Wbp  overeenkomsten met (sub) bewerkers afsluiten. Voor deze overeenkomsten geldt de plicht om per groep gegevens de beveiligingseisen vast te leggen. De risicoanalyse is dus van belang. Deze is tevens de opstap naar de te treffen maatregelen.

Het CBP stelt dat de naleving van de beveiligingseisen gewaarborgd moet zijn. De keuze voor welke  control instrumenten zullen worden gehanteerd zal derhalve een plaats moeten krijgen in de bewerkersovereenkomst. Dit, met het oog op de beoordeling van de nakoming van de overeenkomst tussen verantwoordelijke en bewerker. Voorbeelden van control instrumenten zijn audits, penetratietesten, visitaties en zelfevaluaties. Het is cruciaal dat de control resultaten een plaats krijgen in rapportages passende binnen de reguliere planning- en controlcycli van  organisaties. In geval van aanzienlijke veranderingen in de dienstverlening door bewerker en eventueel subbewerkers stelt de verantwoordelijke vast of de gemaakte afspraken nog toereikend zijn. Omgekeerd kunnen ook veranderingen in de bedrijfsvoering van de verantwoordelijke aanleiding geven tot wijzigingen in de afspraken.

Toezicht uitoefenen door het CBP op basis van onder andere de artikelen 12, 13 en 14  Wbp  is een actieve bezigheid. Met behulp van het voeren van gespreken en de beschikking over de controlresultaten kan de toezichthouder beoordelen of passende  beveiligingsmaatregelen zijn genomen en ook werken in de praktijk.

Constateringen

Naar onze mening zijn de richtsnoeren van het College een aanzet tot hoe om te gaan met het treffen van passende organisatorische en technische maatregelen op grond van art.13 Wbp.  De betrouwbaarheidseisen  met betrekking tot de relevante persoonsgegevens  moeten zichtbaar worden. En er moet inzicht ontstaan in de risico’s en de maatregelen. De weg daarnaar toe is in beginsel vrij en dus naar eigen inzicht. Zoals bekend groeien de bomen in Nederland en in Europa niet meer tot in de hemel. Iedereen moet rekening houden met afnemende budgetten. Zou de wetgever bij het schrijven van art.13 Wbp zich dat ook al gerealiseerd hebben? De maatregelen , die een passend beveiligingsniveau  waarborgen in relatie met de risico’s, houden rekening met de stand der techniek en de kosten van tenuitvoerlegging.

Kees Zwinkels en Willem Balfoort (De Clercq Advocaten en Notarissen)

Old, confusing ruling by EU court of Justice on general information requirement

februari 18th, 2013

It is an old case, from 2008 (C-298/07)

Bundesverband der Verbraucherzentralen und Verbraucherverbände – Verbraucherzentrale Bundesverband eV

v

deutsche internet versicherung AG,

, but it is confusing at least, and in a sense even wrong. The EU Court of Justice was asked whether a website should always provide  it’s e-mail address. The question dealt with the interpretation of Article 5(1)(c) of Directive 2000/31/EC of the European Parliament and of the Council of 8 June 2000 on certain legal aspects of information society services, in particular electronic commerce, in the internal market (‘Directive on electronic commerce’) (OJ 2000 L 178, p. 1) (‘the Directive’). This is a general information requirement. It means that all information society service providers, whether they conclude electronic contracts or not, should provide this information:

“shall render easily, directly and permanently accessible to the recipients of the service and competent authorities, at least the following information (…)”

The case at hand was about a contractual situation, so the German Court asked:

“In those circumstances, the Bundesgerichtshof decided to stay the proceedings and refer the following questions to the Court for a preliminary ruling:

‘1.      Is a service provider required under Article 5(1)(c) of Directive 2000/31/EC to provide a telephone number before entering into a contract with a recipient of the service, so that he can be contacted rapidly and communicated with in a direct and effective manner? (…)

The Court of Justice ruled:

“Article 5(1)(c) of Directive 2000/31/EC of the European Parliament and of the Council of 8 June 2000 on certain legal aspects of information society services, in particular electronic commerce, in the internal market (‘Directive on electronic commerce’) must be interpreted as meaning that a service provider is required to supply to recipients of the service, before the conclusion of a contract with them, in addition to its electronic mail address, other information which allows the service provider to be contacted rapidly and communicated with in a direct and effective manner. That information does not necessarily have to be a telephone number. ”

It is an interesting ruling, I discussed it many times, but only today my attention was drawn to “before the conclusion of a contract with them”. Understandable in the light of the question that was asked, but as an interpretation of the Article 5, as was stated at the beginning of this post, at least confusing. This information should be provided by all information society service providers easily, directly and permanently so the reference to “before the conclusion” is unnecessary, confusing, and although in this case correct not generally true.

AR Lodder

Privacy en Cyberveiligheid zijn geen tegenstellingen!

februari 14th, 2013

De overheid moet zowel de veiligheid van de burger als de bescherming van onze privacy waarborgen!

Opnieuw was in het nieuws dat Nederland een paradijs voor cybercriminelen. Deze conclusie was gebaseerd op een rapport van het beveiligingsbedrijf McAfee. De Tweede Kamer reageerde uitermate bezorgd en wil dat er meer wordt gedaan aan internetveiligheid.

Cybercriminelen gebruiken volgens McAfee 154 servers in Nederland om dagelijks honderdduizenden computers als “zombie” te gebruiken over de hele wereld . Ze versturen spam, stelen inloggegevens en wachtwoorden, kraken bankgegevens en stelen vertrouwelijke bedrijfs- en overheidsgegevens. Ernstig, en volgens van Campen van McAfee te wijten aan onze goede infrastructuur en  hoge niveau van privacybescherming en het ontbreken van  strenge regels om cybercrime tegen te gaan.

Volgens de NOS berichtgeving  stellen  VVD, D66, CDA en SP de vraag of er niet te veel waarde wordt gehecht aan privacy. Minister Opstelten heeft al eerder gesuggereerd ruimere opsporingsbevoegdheden te willen creëren voor het opsporen van cybercrime. “Dat is nodig. Je laat een politieman ook niet met een blinddoek op straat surveilleren”, aldus het VVD-Kamerlid Dijkhoff. Nederland zou daarbij   door strenge privacyregels de opsporingsmogelijkheden voor justitie en politie belemmeren.

Deze tamelijk demagogische uitlatingen zijnop zijn minst ongenuanceerd te noemen. De privacybescherming is vrijwel gelijkwaardig in wetgeving van de 27 Europese Lidstaten, gebaseerd op het EU verdrag,  privacyrichtlijnen en het Europees Verdrag voor de Rechten van de Mens. Privacy is geen absoluut recht. Op grond van deze verdragen mogen  ter bescherming van de internationale veiligheid en bestrijding van criminaliteit wettelijke maatregen genomen worden die de privacy beperken..

Aan die beperking zijn logischer wijze voorwaarden gesteld.  De beperking  moet bij wet zijn geregeld, noodzakelijk en passend zijn ter bescherming van de democratische samenleving.

Dat betekent dat de maatregelen ter beperking van privacy een  legitiem doel dienen, proportioneel zijn en niet door minder vergaande maatregelen kunnen worden bereikt.

In ons land, evenals in de andere Europese staten zijn de opsporingsmogelijkheden gebaseerd op onder andere het wetboek van strafrecht en strafvordering  waarbij – zoveel mogelijk- recht wordt gedaan aan deze voorwaarden.

Er wordt wel gesuggereerd dat de bestrijding  van cybercriminelen beter zou gaan zonder de huidige controlemiddelen. Hacken en doorzoeken van computers en gegevensbestanden in binnen en buitenland, blokkeren van toegang etc. zou moeten kunnen zonder toestemming van de rechter-commissaris of officier van justitie.

Dit zal echter op juridische, praktische en ethisch gronden te ver gaan. De mogelijkheden bestaan immers al maar gelukkig nog wel voorzien van de toets van een opsporingsbevel of een verzoek tot samenwerking als het buitenlandse servers en bestanden betreft. Zonder opsporingbevel zal er geen duidelijke motivatie meer nodig zijn, geen controle op de opsporingsactiviteiten en ligt “het gevaar van “function creep”en “fishing expeditions”, op de loer ; het doorgrazen van bestanden en netwerken op zoek naar eventuele verdachte activiteiten. Voor alle zekerheid worden computers doorzocht zonder kennisgeving op grond van een ongecontroleerd voorzorgsbeginsel. Ook worden bestanden van onverdachte burgers gehackt, doorzocht, opgeslagen,  toegang geblokkeerd. Je weet maar nooit tenslotte.

Overigens zou het mij verbazen als de VS zonder toestemming de computers van haar burgers zal laten doorzoeken door de Nederlandse opsporingsautoriteiten.

Nederland wordt omschreven als een aantrekkelijk land voor cybercriminelen. Vooralsnog is het ook een aantrekkelijk land voor  de democratie. Privacy is een belangrijk aspect van die democratische samenleving. Laten we dat zo houden.

Rob van den Hoven van Genderen

Center for Law & Internet, Faculteit Rechtsgeleerdheid VU.

Nederland FM: uitspraak Haagse rechter is niet uit te leggen

december 21st, 2012

Zoals de titel al aangeeft, begin ik er ook maar niet aan. Wel zal ik kort de zaak (zie Boek9.nl) toelichten. Nederland FM is een website waar op een overzichtelijke pagina enkele tientallen commerciele en publieke radiostations te vinden zijn. Deze pagina heeft sterke overeenkomsten met het apparaat met knoppen dat in de tijd dat radio enkel via de ether verliep centraal in vele woonkamers stond opgesteld. Voor sommige zenders geldt dat ze nog steeds via de ether te ontvangen zijn en in aanvulling op het genoemde toestel tot de luisteraar komen via onder andere autoradio en telefoon. Nu bieden radiostations al dan niet simultaan aan hun etheruitzending ook streams via internet aan. Zo kan je via internet als jongere naar Radio 538 luisteren, als oudere naar Radio 2 en als liefhebber van gepraat naar BNR of radio1 etc. Dergelijk gemak moet bestraft, zeker als er geld mee verdiend wordt. Stel je voor.

Iedereen kan via bijvoorbeeld radio1.nl of bnr.nl naar laatst genoemde zenders luisteren. Voor dit luisteren wordt geld afgedragen aan BUMA. De rechter vindt het wezenlijk anders als ik naar radio1 luister via radio1.nl of via een link naar radio1.nl die op Nederland FM staat. Ik ben namelijk in het laatste geval een luisteraar waar BUMA bij het in rekening brengen van de rechten geen rekening heeft gehouden. Het nieuwe publiek criterium bedoeld voor klassieke uitzendingen heeft door dit toe te passen op internet al tot meer ongelukken in de Nederlandse rechtspraak geleid, zoals deze zomer bij Geenstijl/Playboy (zie hierover meer uitgebreid mijn binnenkort in Computerrecht te verschijnen noot – die ik voor deze gelegenheid ook als primeur via deze link aanbiedt).

Hoewel ik geen auteursrechtspecialist ben beschik ik over meer dan basale kennis en vertrouw ik overigens op de advocaten van Nederland FM qua auteursrechtelijke analyse (mijn gewaarde collega’s Martin Senftleben (VU) en Berend van der Eijk (Tijdschrift voor Internetrecht)). Voor een internetjurist is deze uitspraak zoals gezegd niet uit te leggen. Geheel in lijn met de aard van het internet wordt een dienst aangeboden die bestaande andere diensten op een mooie website combineert via links: dergelijke diensten hebben internet groot gemaakt. De wijze waarop de stream vervolgens wordt afgespeeld doet ook volledig recht aan de eigenaar van de stream: op het midden van de pagina is duidelijk te zien naar welke zender geluisterd wordt. Het is bijzonder vervelend dat dit soort gemaksdiensten door uitspraken als deze gehinderd worden en het zou prettig zijn als de heren van BUMA zich wat meer in de aard van het internet zouden verdiepen.

AR Lodder

Het nieuwe communicatiegeheim

november 8th, 2012

De ware democratie: een consultatie over een herziening van een fundamenteel recht in de grondwet: Het archaïsche brief, telefoon en telegraafgeheim wordt getransformeerd in een brief- en telecommunicatiegeheim.

Omdat  de grondwet van belang is voor ons hele volk  en , volgens de toelichting , artikel 13  van de Grondwet zich richt zich op alle burgers in Nederland omdat nagenoeg een ieder dagelijks communiceert met behulp van een communicatiemiddel en de inhoud van de communicatie wordt beschermd door dit artikel is voor de consultatie als middel gekozen. Dat zou mijns inziens dan moeten gelden voor vrijwel alle wetswijzigingen aangezien het merendeel van de wetten  zich richt tot alle burgers maar ik zie het belang van een nadruk op de grondwet wijziging wel in.

Getracht wordt om een zo technologisch neutrale tekst te kiezen die ook toekomstbestendig zal zijn en ook de nodige ruimte laat voor justitie en veiligheidsdiensten om inbreuk te maken op deze bescherming.

1. Iedereen heeft recht op eerbiediging van zijn brief- en telecommunicatiegeheim

2. Beperking van dit recht is mogelijk in de gevallen bij de wet bepaald, met machtiging van de rechter, of in het belang van de nationale veiligheid, met machtiging van een of meer bij de wet aangewezen ministers

3 de wet stelt regels ter bescherming van het brief- en telecommunicatiegeheim

Natuurlijk is ook deze tekst bij voorbaat achterhaald. Afgezien van de huidige discussies over gesloten emails, uitnodigingen op facebook, twitterberichten, whats-appen en andere al dan niet private boodschappen over al dan niet gesloten netwerken wordt geen rekening gehouden met toekomstige technieken die in het verschiet liggen om informatie te verzenden of vast te leggen.  Hoewel er zeker een toegevoegde waarde ligt in deze tekst waarbij volgens de toelichting ook de verwerking en opslag van de gegevens door zouden worden beschermd is niet voorzien in toekomstige ontwikkeling van bijvoorbeeld de opslag van gegevens door bijvoorbeeld identiteitselementen en informatie opslag door bijvoorbeeld chemische constructies. Dat lijkt ver weg maar onze hersenen doen het al een tijdje zo en ook chemische formules komen voor informatieopslag en verzending in aanmerking. Misschien dat dat in de herziening van artikel 10 kan worden meegenomen.

Een ander punt van aandacht vormt de inhoud van lid 2, doorbreking van het geheim in het kader van misdaadbestrijding en de nationale veiligheid. Een nadere toetsing door een onafhankelijke autoriteit die wat verder gaat dan een commissie van toezicht op de AIVD en incidentele vergaderingen van de parlementaire Commissie algemene zaken lijkt mij in het kader van deze consultatie een goede optie.

Rob van den Hoven van Genderen

Elektronische algemene voorwaarden: toch duidelijk?!

november 1st, 2012

Vandaag heb ik o.a. elektronische algemene voorwaarden behandeld tijdens de jaarlijkse VULA-PAO Internetrecht (2003-), met verder de altijd goede Rob van den Hoven van Genderen (2006-), de sterspreker Jens van den Brink (2008-, incl. bijdrage Joran Spauwen) en internetrecht goeroe Arnoud Engelfriet (2012-, uitstekend optreden).

Helaas was mijn brother in e-contracting arms Menno Weij er niet bij, maar mede aan de hand van een slide van zijn hand (inclusief onderstreping) meende ik art. 6:234 BW precies te kunnen duiden. Ik kondigde de cursisten aan dat aan de soap rondom de wijzigingen van art. 6:234 BW (Onduidelijkheid over presenteren algemene voorwaarden: verwijzing valt weg door het wijzigen van een ondertussen gewijzigde wet) per begin 2012, ondanks anders luidende berichten, een einde is gekomen. Tijdens de presentatie raakte ik toch weer enigszins in verwarring, maar meen nu op schrift (of elektronisch…) kort te kunnen aangeven hoe het zit.

Hoofdregels art. 6:234 BW

Lid 1 Regime offline terhandstelling

Lid 2 Regime online terhandstelling

Uitzondering 1

Lid 1 regelt naast offline ter handstelling ook de wijze waarop de dienstverrichter, zoals omschreven in de Dienstenrichtlijn 2006/123/EG, algemene voorwaarden ter beschikking mag stellen. Er wordt verwezen naar art. 6:230c BW waar onder andere te vinden is:

>     3. is voor de afnemer gemakkelijk elektronisch toegankelijk op een door de dienstverrichter meegedeeld adres;

Hoewel de andere wijze van ter beschikking stellen uit art. 6:230c BW (sub 1, 2 en 4) offline zijn en daarom goed in lid 1 passen, is het op zichzelf niet erg fraai dat er ook een deel elektronische terhandstelling in lid 1 geregeld is. Dit was echter noodzakelijk vanwege de uitzondering 2 (uit lid 3) die ik hieronder toelicht.

Uitzondering 2

Lid 3 geeft aan dat elektronische terhandstelling in de zin van lid 2 mogelijk is bij niet elektronisch contracteren, maar dat dan uitdrukkelijke instemming met de elektronische terhandstelling vereist is. Deze uitzondering blijft m.i. een monstrum, maar de dienstverrichter is hiervan verschoond omdat zijn wijze van terhandstelling, die mede elektronische ter hand stelling omvat, is terug te vinden in lid 1 (waar de uitzondering van lid 3 dus niet op van toepassing is).

Zoals ik eerder aangaf zou het verwijderen van lid 3 mijn voorkeur hebben. Mogelijk dat dit bij de volgende wijzigingsronde er van komt.

A.R. Lodder

Nieuwe opsporingsmogelijkheden tegen computer criminaliteit; ”Much a do about nothing or something?”

oktober 18th, 2012

Het voorstel dat door Opstelten is aangekondigd om de opsporingsmogelijkheden te vergroten door op afstand computers, servers en netwerken binnen te dringen en hier (eventueel)  (spy)software te plaatsen heeft aardig wat stof doen opwaaien; maar is dat terecht? Vinden de vérgaande opsporingsmethoden al niet plaats?

Het is algemeen bekend dat in ieder geval buiten justitie om de AIVD zijn ruime en niet al te democratisch gecontroleerde bevoegdheden gebruikt om terroristische dreigingen of het vermoeden daarvan op te sporen.

De inlichtingen- en veiligheidsdiensten beschikken op grond van artikel 24 van de Wet op de inlichtingen- en veiligheidsdiensten 2002 al over deze bevoegdheid. In de toelichting is aangegeven dat deze weg niet open staat voor de “gewone” opsporingsdiensten. Als reden hiervoor is gegeven dat dit niet noodzakelijk zou zijn voor de opsporing. Schijnbaar zijn die omstandigheden gewijzigd. Op grond van de algemene politietaak kan die invulling blijkbaar  worden gewijzigd en in Frankrijk en België gebeurt het al.

Toch geeft Opstelten aan dat voor een effectievere aanpak van cybercrime nodig is om te kijken naar mogelijke uitbreidingen van bevoegdheden. Op basis van ervaringen in de afgelopen tijd van politie en OM blijkt naar zijn zeggen dat de huidige bevoegdheden voor de bestrijding van cybercrime niet meer up-to-date zijn. De misdadigers zijn te snel en te slim en hebben betere apparatuur. 

Zulke observaties zijn niet nieuw. In vrijwel elk rapport over de achterstand van politie en justitie evenals de veiligheidsdiensten komen deze bewoordingen voor, gevolgd door een verzoek aan de Tweede  Kamer om die bevoegdheden uit te breiden.

 Welke bevoegdheden mist de politie nu volgens Opstelten?  In de brief aan de kamer van 15 oktober 2012 worden de volgende maatregelen voorgesteld:

 -          Het op afstand binnendringen van geautomatiseerde werken (=computers) en het plaatsen van technische hulpmiddelen (waaronder software) ten behoeve van de opsporing van ernstige vormen van cybercrime;

-          Het op afstand doorzoeken van gegevens die vanuit een geautomatiseerd werk (computer) toegankelijk zijn, ongeacht de locatie van het geautomatiseerde werk waarop die gegevens zijn opgeslagen en met inachtneming van de afspraken en regels over de internationale rechtshulp;

-          Het op afstand ontoegankelijk maken van gegevens die vanuit een geautomatiseerd werk (computer) toegankelijk zijn, ongeacht de locatie van het geautomatiseerde werk waarop die gegevens zijn opgeslagen en met inachtneming van de afspraken en regels over de internationale rechtshulp;

-          De strafbaarstelling van het helen van (digitale) gegevens.

Wel geeft hij aan dat de nieuwe bevoegdheden met strikte waarborgen moeten worden omgeven. Zo moet bij het op afstand binnendringen van een computer een voorafgaande machtiging van de rechter-commissaris verkregen worden. Ook zal de bevoegdheid alleen worden gehanteerd bij verdenking van relatief ernstige misdrijven. Ook moeten alle opsporingsactiviteiten worden gelogd en bewaard, zodat dit achteraf altijd raadpleegbaar en controleerbaar is.

Opstelten geeft aan dat het zeker in het “cloud“ tijdperk erg ingewikkeld is om de misdadigers hun digitale sporen te volgen en dat de opsporingsmogelijkheden onvoldoende zijn. Maar is dat zo?

Zo heeft de politie bijvoorbeeld de inhoud van servers op het kinder-porno Tor netwerk met daarop opgeslagen afbeeldingen van ernstig seksueel misbruik van kinderen gekopieerd en daarna vernietigd en  ontoegankelijk gemaakt op de server.

Deze actie waarbij al de gegevens ontoegankelijk werden gemaakt ter beëindiging van het strafbaar feit (artikel 125o Sv) bleek dus al mogelijk.

Overigens worden de bevoegdheden voor het in toegang geven tot, en het in beslag nemen van data in deze ruime bewoordingen omschreven in artikelen 16 en 19 van het zogenaamde  Cybercrime Verdrag van de Raad van Europa. Ook het verkrijgen van toegang tot buitenlandse  computers is geen probleem mits hierover afspraken worden gemaakt (toestemming wordt verkregen via verzoek om rechtshulp). Verder kent het Verdrag een bepaling over het zonder toestemming op afstand verschaffen van toegang tot openbaar toegankelijke gegevens (en tot andere gegevens op voorwaarde van instemming van de rechthebbende  ongeacht waar die gegevens zijn opgeslagen (artikel 32).

Ook op het gebied van (mobiele) telecommunicatie zijn in het Wetboek van strafvordering al talrijke, vergaande bevoegdheden, zeker waar het georganiseerde misdaad of terroristische misdrijven betreft. Op grond van 126 t WSv en verder, mogen in algemene zin omschreven technische hulpmiddelen worden gebruikt om communicatiegegevens vast te leggen met – of onder omstandigheden – zonder toestemming van de provider (aanbieder van het telecommunicatienet).

Voor terroristische misdrijven wordt nog meer mogelijk gemaakt. In dit kader mogen gegevens uit computers en netwerken worden opgeslagen, of worden “geplant’, of diensten worden verkregen (of verleend!) om de misdadigers op te sporen. In het kader van internationale samenwerking mogen de gegevens bij algemene maatregel van bestuur zonder meer worden verstrekt aan buitenlandse opsporingsdiensten die in dit kader “gelijk worden gesteld” met nationale opsporingsambtenaren.

Het is overigens onwaarschijnlijk dat de Nederlandse opsporing toegang zal krijgen tot in het buitenland opgeslagen gegevens zonder internationale afspraken of toestemming, zoals in de media gesuggereerd.

Verder worden in het Wetboek van strafvordering nog talloze andere mogelijkheden gegeven om meer fysiek binnen te treden of verdachten door middel van technische hulpmiddelen te volgen.

Bij justitie zal dit altijd gepaard gaan met de eis van een rechtelijk bevel. Bij de AIVD is deze garantie afwezig. Het zal mij benieuwen in hoeverre het voorstel tot wetswijziging in de richting van minder garanties voor een gecontroleerde opsporing dreigt te gaan.

Rob van den Hoven van Genderen