Archive for the ‘Algemeen’ Category

The invalidity of the European retention directive (2006/24)

dinsdag, april 8th, 2014

Ruling by the European Court, April 8 2014 on ( Cases C-293/12 and C-594/12,

The European Court ruled that the retention directive is invalid because it contravenes the protection of privacy and does not provide for sufficient safeguards, as required by Article 8 of the Charter, to ensure effective protection of the data retained against the risk of abuse and against any unlawful access and use of that data.

The case is touching the essence of the validity of regulations as the retention directive first set of issues, consisting of the first question in Case C-293/12, concerns the validity of Directive 2006/24 in the light of Article 5(4) TEU. The  High Court asks very specifically whether Directive 2006/24 is, in general, proportionate within the meaning of Article 5(4) TEU, that is to say, whether it is necessary and appropriate to achieve the objectives which it pursues, which are to ensure that certain data are available for the purposes of investigation, detection and prosecution of serious crime and/or to ensure the proper functioning of the internal market[1]. The second set of issues, which comprises the second question in Case C-293/12 and the first question in Case C-594/12, relates to the compatibility of several provisions of Directive 2006/24 with a number of provisions of the Charter, primarily Article 7 on the right to privacy and Article 8 on the right to the protection of personal data, and, more broadly, to the proportionality of the measures which it imposes, within the meaning of Article 52(1) of the Charter. That question of validity is indisputably central to the problems raised by these cases.[2]  The second question referred by the Verfassungsgerichtshof in Case C-594/12 raises a third set of issues, concerning the interpretation of the general provisions of the Charter governing its interpretation and application, in the present instance the interpretation and application of Articles 52(3), (4) and (7) and 53. More specifically, the Verfassungsgerichtshof raises, in essence, the question of the relationship between, on the one hand, Article 8 of the Charter, enshrining the right to the protection of personal data, and, on the other hand, (i) the provisions of Directive 95/46 and Regulation No 45/2001, in connection with Article 52(1) and (3) of the Charter (questions 2.1, 2.2 and 2.3), (ii) the constitutional traditions of the Member States (question 2.4), in connection with Article 52(4) of the Charter, and (iii) the law of the ECHR, in particular Article 8 thereof, in connection with Article 52(3) of the Charter (question 2.5).[3] Finally, the third question of the High Court in Case C-293/12, which comprises the fourth and final set of issues, concerns the interpretation of Article 4(3) TEU and more specifically whether national courts are required, under the duty of sincere cooperation, to examine and assess the compatibility of national provisions transposing Directive 2006/24 with the provisions of the Charter, in particular Article 7 thereof.[4]

The AG stresses the fact that Article 8 of the Charter enshrines the right to the protection of personal data as a right which is distinct from the right to privacy as in article 7. Data protection fits in the protection of the internal market, which was the background intention of the data protection directives from the start referring to the second part of the title of  the data protection directive: the free movement of such data[5]

 

Still, and  this is very important, the AG accept and underlines, as described in  former chapter 4, the fact that there is a fusion between the Charter and the EU Treaty as such resulting in a harsh opinion on the validity of the actual retention directive as answer to the preliminary question and proposing the following ruling:

 (1)      Directive 2006/24/EC of the European Parliament and of the Council of 15 March 2006 on the retention of data generated or processed in connection with the provision of publicly available electronic communications services or of public communications networks and amending Directive 2002/58/EC is as a whole incompatible with Article 52(1) of the Charter of Fundamental Rights of the European Union, since the limitations on the exercise of fundamental rights which that directive contains because of the obligation to retain data which it imposes are not accompanied by the necessary principles for governing the guarantees needed to regulate access to the data and their use.

 

(2)      Article 6 of Directive 2006/24 is incompatible with Articles 7 and 52(1) of the Charter of Fundamental Rights of the European Union in that it requires Member States to ensure that the data specified in Article 5 of that directive are retained for a period whose upper limit is set at two years.

I’d close this paragraph with the remark made in the Report of CECILE, a FP 7 European commission project:

The Directive also ranks among the most controversial pieces of counter-terrorism legislation the EU has ever adopted and fierce debate as to its legitimacy and effectiveness has raged since the earliest stages of its drafting to the present day[6]

On the 8th of April 2014 the Court ruled the directive invalid:

“The Court takes the view that, by requiring the retention of those data and by allowing the competent national authorities to access those data, the directive interferes in a particularly serious manner with the fundamental rights to respect for private life and to the protection of personal data.

The Court ruled that  the meaning of the directive is to harmonise the law among member states taking into account the privacy requirements;

 

It follows from Article 1 and recitals 4, 5, 7 to 11, 21 and 22 of Directive 2006/24 that the main objective of that directive is to harmonise Member States’ provisions[7]

In considering this the Court took into account the following:

 The retention of data for the purpose of possible access to them by the competent national authorities, as provided for by Directive 2006/24, directly and specifically affects private life and, consequently, the rights guaranteed by Article 7 of the Charter. Furthermore, such a retention of data also falls under Article 8 of the Charter because it constitutes the processing of personal data within the meaning of that article and, therefore, necessarily has to satisfy the data protection requirements arising from that article (Cases C-92/09 and C-93/09 Volker und Markus Schecke and Eifert EU:C:2010:662, paragraph 47).[8]

 

Whereas the references for a preliminary ruling in the present cases raise, in particular, the question of principle as to whether or not, in the light of Article 7 of the Charter, the data of subscribers and registered users may be retained, they also concern the question of principle as to whether Directive 2006/24 meets the requirements for the protection of personal data arising from Article 8 of the Charter. [9]

 

To establish the existence of an interference with the fundamental right to privacy, it does not matter whether the information on the private lives concerned is sensitive or whether the persons concerned have been inconvenienced in any way (see, to that effect, Cases C-465/00, C-138/01 and C-139/01 Österreichischer Rundfunk and Others EU:C:2003:294, paragraph 75). [10]

 

As a result, the obligation imposed by Articles 3 and 6 of Directive 2006/24 on providers of publicly available electronic communications services or of public communications networks to retain, for a certain period, data relating to a person’s private life and to his communications, such as those referred to in Article 5 of the directive, constitutes in itself an interference with the rights guaranteed by Article 7 of the Charter.

 Furthermore, the access of the competent national authorities to the data constitutes a further interference with that fundamental right (see, as regards Article 8 of the ECHR, Eur. Court H.R., Leander v. Sweden, 26 March 1987, § 48, Series A no 116; Rotaru v. Romania [GC], no. 28341/95, § 46, ECHR 2000-V; and Weber and Saravia v. Germany (dec.), no. 54934/00, § 79, ECHR 2006-XI).

 Accordingly, Articles 4 and 8 of Directive 2006/24 laying down rules relating to the access of the competent national authorities to the data also constitute an interference with the rights guaranteed by Article 7 of the Charter.

Likewise, Directive 2006/24 constitutes an interference with the fundamental right to the protection of personal data guaranteed by Article 8 of the Charter because it provides for the processing of personal data. [11]

The Court takes into account the fact that the fight against terrorism is important and represents the individual right to security next to liberty(privacy) and the use of electronic data forms a necessary ingredient in this “war”:

 

It is apparent from the case-law of the Court that the fight against international terrorism in order to maintain international peace and security constitutes an objective of general interest (see, to that effect, Cases C-402/05 P and C-415/05 P Kadi and Al Barakaat International Foundation v Council and Commission EU:C:2008:461, paragraph 363, and Cases C-539/10 P and C-550/10 P Al-Aqsa v Council EU:C:2012:711, paragraph 130). The same is true of the fight against serious crime in order to ensure public security (see, to that effect, Case C-145/09 Tsakouridis EU:C:2010:708, paragraphs 46 and 47). Furthermore, it should be noted, in this respect, that Article 6 of the Charter lays down the right of any person not only to liberty, but also to security.

 

but those instruments have to be proportionate to the purpose

 

In that regard, according to the settled case-law of the Court, the principle of proportionality requires that acts of the EU institutions be appropriate for attaining the legitimate objectives pursued by the legislation at issue and do not exceed the limits of what is appropriate and necessary in order to achieve those objectives (see, to that effect, Case C-343/09 Afton Chemical EU:C:2010:419, paragraph 45; Volker und Markus Schecke and Eifert EU:C:2010:662, paragraph 74; Cases

C-581/10 and C-629/10 Nelson and Others EU:C:2012:657, paragraph 71; Case C-283/11 Sky Österreich EU:C:2013:28, paragraph 50; and Case C-101/12 Schaible EU:C:2013:661, paragraph 29). [12]

 

Taken into account

 

where interferences with fundamental rights are at issue, the extent of the EU legislature’s discretion may prove to be limited, depending on a number of factors, including, in particular, the area concerned, the nature of the right at issue guaranteed by the Charter, the nature and seriousness of the interference and the object pursued by the interference (see, by analogy, as regards Article 8 of the ECHR, Eur. Court H.R., S. and Marper v. the United Kingdom [GC], nos. 30562/04 and 30566/04, § 102, ECHR 2008-V).[13]

 

 

As regards the necessity for the retention of data required by Directive 2006/24, it must be held that the fight against serious crime, in particular against organised crime and terrorism, is indeed of the utmost importance in order to ensure public security and its effectiveness may depend to a great extent on the use of modern investigation techniques. However, such an objective of general interest, however fundamental it may be, does not, in itself, justify a retention measure such as that established by Directive 2006/24 being considered to be necessary for the purpose of that fight.[14]

 

 

Consequently, the EU legislation in question must lay down clear and precise rules governing the scope and application of the measure in question and imposing minimum safeguards so that the persons whose data have been retained have sufficient guarantees to effectively protect their personal data against the risk of abuse and against any unlawful access and use of that data (see, by analogy, as regards Article 8 of the ECHR, Eur. Court H.R., Liberty and Others v. the United Kingdom, 1 July 2008, no. 58243/00, § 62 and 63; Rotaru v. Romania, § 57 to 59, and S. and Marper v. the United Kingdom, § 99). [15]

 

Also here, following the opinion of the AG, it is considered of the utmost importance to specify rules and circumstances and guarantees in a transparent way. Because the directive requires the retention of all electronic communication of all European citizens without exception by all member states, the Court  states that  “It therefore entails an interference with the fundamental rights of practically the entire European population “[16]

And it does not , in any way, discriminate to access of authorities or specifies the concerned offences that legitimizes this access.

 

Secondly, not only is there a general absence of limits in Directive 2006/24 but Directive 2006/24 also fails to lay down any objective criterion by which to determine the limits of the access of the competent national authorities to the data and their subsequent use for the purposes of prevention, detection or criminal prosecutions concerning offences that, in view of the extent and seriousness of the interference with the fundamental rights enshrined in Articles 7 and 8 of the Charter, may be considered to be sufficiently serious to justify such an interference. On the contrary, Directive 2006/24 simply refers, in Article 1(1), in a general manner to serious crime, as defined by each Member State in its national law.[17]

Also other aspects of the directive are considered invalid on basis of the non specified way they are laid down in the directive, as of course the retention period:

 

Furthermore, that period is set at between a minimum of 6 months and a maximum of 24 months, but it is not stated that the determination of the period of retention must be based on objective criteria in order to ensure that it is limited to what is strictly necessary

 

As to the verdict:

 

 

 

It follows from the above that Directive 2006/24 does not lay down clear and precise rules governing the extent of the interference with the fundamental rights enshrined in Articles 7 and 8 of the Charter. It must therefore be held that Directive 2006/24 entails a wide-ranging and particularly serious interference with those fundamental rights in the legal order of the EU, without such an interference being precisely circumscribed by provisions to ensure that it is actually limited to what is strictly necessary.

Moreover, as far as concerns the rules relating to the security and protection of data retained by providers of publicly available electronic communications services or of public communications networks, it must be held that Directive 2006/24 does not provide for sufficient safeguards, as required by Article 8 of the Charter, to ensure effective protection of the data retained against the risk of abuse and against any unlawful access and use of that data. In the first place, Article 7 of Directive 2006/24 does not lay down rules which are specific and adapted to (i) the vast quantity of data whose retention is required by that directive, (ii) the sensitive nature of that data and (iii) the risk of unlawful access to that data, rules which would serve, in particular, to govern the protection and security of the data in question in a clear and strict manner in order to ensure their full integrity and confidentiality. Furthermore, a specific obligation on Member States to establish such rules has also not been laid down [18]

 

Also the aspect of independent control as required in Article 8(3) of the Charter, by an independent authority of compliance with the requirements of protection and security, is not required in the directive.[19]

 

On those grounds, the Court (Grand Chamber) hereby rules:

Directive 2006/24/EC of the European Parliament and of the Council of 15 March 2006 on the retention of data generated or processed in connection with the provision of publicly available electronic communications services or of public communications networks and amending Directive 2002/58/EC is invalid.

Rob van den Hoven van Genderen


[1] Par 23

[2] Par 26

[3] Par. 27

[4] Par. 28

[5] AG in par 55:Although data protection seeks to ensure respect for privacy, it is, in particular, subject to an autonomous regime, primarily determined by Directive 95/46, Directive 2002/58, Regulation No 45/2001 and Directive 2006/24 and, in the field of police and judicial cooperation in criminal matters, by Framework Decision 2008/977/JHA.

[6] The EU Data Retention Directive: a case study in the legitimacy and effectiveness of EU counter-terrorism policy, SECILE – Securing Europe through Counter-Terrorism – Impact, Legitimacy & Effectiveness

A Project co-funded by the European Union within the 7th Framework Programme – SECURITY theme.

[7] DIGITAL RIGHTS IRELAND AND SEITLINGER AND OTHERS

JUDGMENT OF 8. 4. 2014 — JOINED CASES C-293/12 AND C-594/12 I-18

[8] Idem, I-19

[9] Idem par 30,

[10] Idem, par. 33

[11] Idem par 35, 36, I-20

[12] Idem, par 46

[13] Idem, par 47

[14] Idem, para 51

[15] Idem, para 54

[16] Idem para, 56 e.f.

[17] Idem, Para 60 e.f.

[18] Idem, Para 66, 67

[19] Idem, para 68

Copyright cannot regulate new economy where money depends on the volume of internet traffic – Comments on Svensson Case

vrijdag, februari 14th, 2014

In the CJEU judgment of Case C-466/12, Svensson v. Retriever Sverige AB, published on 13 Feb. 2014, it was made clear that providing links to copyrighted works on news websites, does not constitute communication to the public. The key analysis of the court is that, according to settled case law, for the defendant’s behavior to be infringing, the communication made by Retriever Sverige AB, must be directed at a new public, i.e. a public that was not taken into account by the copyright holders when they authorised the initial communication to the public.

However, the concept “public” is very vague. Art. 3 of Directive 2001/29 protects authors’ exclusive right of “making available to the public of their works in such a way that members of the public may access them from a place and at a time individually chosen by them”, wherein the public is seen as a whole without any group specification. But is it possible that an author chooses his audience when uploading his works online?

When an author finished writing an article, of course he would like to have all the people in this world as his audience, whereas this rosy dream cannot come true in reality. Theoretically, when an article was posted on an open website without any accessing restrictions, all Internet users could read it. Whereas the public consists of people differing in geographical district, language, age, and interests etc., an author practically could never anticipate who would read his works when they are published online, let alone control who can read. Efforts to partition the potential online readers into “old public” and “new public” will only go in vain. Under this background, is it sensible to distinguish between the different “public” when defining communication to the public?

Maybe it would be more productive to interpret on “making available” in Art.3. The objective result of the clickable links to these journalists’ articles is that, these articles are made available to those net users who would not have read them unless they surfed the original news website. Therefore, the behavior subject of “making available” is the link providers, in stead of authors. Following such an analysis route, infringement could be found to a certain degree, entitling the authors to some compensation.

What really matters in this case is the commercial profit model of modern electronic newspaper. Observing the change of businiess model in the information age from a wider perspective, for numerous business websites, the volume of traffic the website attracts is everything to its business. Nowadays, accommodating the e-commerce trend, many newspapers publish the print edition and online edition simultaneously. Some newspapers require subscribers to the online edition to pay a certain fee for their reading, which has proved to be an unsuccessful and unpopular business model. Online readers like free digests with quality. Thus other newspapers just provide free press articles to online readers, operating on the sponsorship coming from advertisement sponsors. More traffic this news website generates, more money comes in the pocket of the website runners.

If a press article could be visited both from the original news website and by clicking the reference links provided by other websites, the traffic of the original news website would increase, even if websites providing reference links would also get some revenue as free riders. However, if this article was framed or deep linked by other websites, the traffic of the original news website would be diverted and drop. The profit that could have gone to the original news website would go to the other websites. In the latter situation, obvious infringement of copyright and unfair competition simultaneously exist. Yet the former situation is a bit tricky, seemingly legal but disputable. The Svensson case just belongs to the former, which reminds us of the debate over the legitimacy of press aggregators’ practice of “free riding”.

Although German legislators have voted against requiring news aggregators to pay money to newspaper publishers, the dispute does not rest. Once linking to press articles were totally banned, not only would people’s right to free access to information be violated, but also the revenue of news press would drop. Yet it’s a paradox to not provide protection to free news websites against those press aggregators. The implied information sent out by this judgment is that, lack of access restriction measures to visit the news website deprived the authors of their rights to their press articles. However, setting access restrictions on net users goes against the prevalent e-commerce model and trend. In the long run, this judgment will not bring in a win-win outcome for the news press and information service websites. Considering why Google is willing to set up a 60-million-euro fund to boost French digital publishing, we could see the interdependence relation between the two interest camps. Their interests are common rather than opposite.

Nina Xu, visiting Post-doc VU University, dep. TLS, Internet Governance

Security Operations Centre: de manier om cybersecurity te realiseren?

donderdag, januari 23rd, 2014

Meer dan de helft van het internetverkeer is afkomstig van bots, scanners en andere geautomatiseerde hacking tools. Steeds meer organisaties die security serieus nemen, treffen maatregelen tegen dit soort dreigingen. Recentelijk is  een Security Operations Centre (SOC) opgericht. Dat is een soort controlekamer waar mensen internetverkeer en allerhande informatie daarover analyseren, real-time op jacht naar hackers, malware en inbraken. Een aantal belangrijke overheidspartijen en leveranciers was op uitnodiging van het CIP-CSP te gast bij het SOC van KPN in Hilversum om over dit onderwerp beelden en kennis uit te wisselen. Aanwezig waren HP, Sincerus, Capgemini, KPN, UWV, RWS, Ministerie van BZK, Taskforce BID, NCSC, SVB, CAK, CBS, VU, OM, CIZ en UMC.

Aandacht ging uit naar DO’s en DONT’s bij het inrichten van een SOC en de leerpunten van organisaties die al een SOC opgericht hebben of daarmee bezig zijn. De uitkomst is een overzicht van Lessons learnt.

In het verschiet ligt een onderzoek door een aantal van de genoemde partijen naar de mogelijkheden om op het vlak van SOC samen concrete activiteiten te gaan ontplooien. Aansluiting wordt tevens gezocht bij een actueel onderzoek door BZK naar de mogelijkheden om een gezamenlijk ‘virtueel Rijks SOC’ in te richten.

Hieronder enkele persoonlijke aantekeningen bij de bijeenkomst van een tevreden deelnemer:

Security Operation Centers worden een must.

Een business case daarachter is realiteit, geen theorie.

De CIP/CSP-bijeenkomst van 10 december 2013 ging over de positie van het SOC: Secure Operations Centre. Wat is de rol van het SOC? De experts maken data-analyses op basis van gelogde gegevens. Vervolgens signaleren zij onregelmatigheden. Die kunnen niet alleen van buiten, maar ook van binnen komen.

Naar aanleiding van het werk van het SOC zal het lijnmanagement (met steun van de chief information security officer) de verbetermaatregelen moeten treffen. De afstand van de technische beveiliging naar de betrokkenheid van de directie wordt in de praktijk korter. Immers, informatiebeveiliging is onderdeel geworden van de reguliere planning– en controlcyclus binnen een organisatie. Daar komt nog bij dat elke organisatie zelf de handschoen van informatiebeveiliging moet gaan oppakken. De reden is dat het internet niet zoals andere nuts-infrastructuren in Europa wettelijk is beschermd.

Nogmaals, een red issue is dat ICT en Compliance bij elkaar moeten komen. ICT doet de security monitoring. Compliance is de verantwoordelijkheid van de directie binnen een organisatie. Zij waarborgt dat de governance (sturen en beheersen) tussen de betrokken afdelingen expliciet wordt en vervolgens gemonitoord wordt. Uiteraard is ook onderdeel van de governance dat transparant en controleerbaar wordt wie de beveiligingskosten betaalt. Blijven het centrale en dus algemene kosten? Of komt er een verrekening op basis van IP-adressen? Of wordt de weg naar managed services ingeslagen?

Om het bewustwordingsproces op gang te brengen is het een goede zaak dat een directie een opleiding volgt op het gebied van informatiebeveiliging. Het positieve resultaat hiervan is dat zij begrijpt hoe er met bijvoorbeeld datalekken moet worden omgegaan, en wat de kosten daarvan kunnen zijn bij escalatie. Tevens zal het vergaren van kennis over informatiebeveiliging bij de directie de discussie over monitoring versnellen. Is de juiste aanpak jaarlijks en éénmalig te auditen op basis van vinklijsten verbonden aan een ISO/NEN–standaard? Of wordt de weg ingeslagen naar continuous improvement? Deze tweede aanpak vereist betrokkenheid van de security specialisten bij nieuwe ICT–projecten. Hun bevindingen leiden direct tot aanpassingen in de infrastructuur, applicaties of databases. En daarbij hoort documentatie als input voor de planning– en controlcyclus.

Een laatste opmerking betreft het programmamanagement met betrekking tot een nieuw SOC. Dit is niet slechts een technische operatie. Doelstellingen en ambities moeten vanaf dag één helder zijn, zodat een maturity circle kan worden neergeschreven voor een periode van drie tot vier jaar. Het programma plus projecten geeft aandacht aan de inzet van middelen en dus jaarkosten.

Cees Zwinkels

Morozov undermines own analysis by excluding the information society

zaterdag, december 14th, 2013

Regularly appearing in national news paper, Evgeny Morozov shares his interesting analyses with a broader audience than the “regular suspects”. Recently his focus is on data collection and big data analysis by big companies that he sees as a bigger threat to society than what NSA and other intelligence agencies do. At the end of his convincing analysis he states that discussion on the impact of the digital on our lifes is not important, a strawman from Silicon Valley.

In previous work he discussed the Arab Spring and indicated that technology is not liberating us but give governments of repressive (and democratic regimes) tools to control the people. It is not that his conclusions are wrong, but I believe he could make his point stronger by not ignoring in this case the benefits of internet.

Morozov utters clear and justified criticism on our information society en strives to make people more aware of what is happening. His suggestion to approach the discussion from a political and economic angle is interesting.

To me, and I assume many others, he could be more convincing if he does not evaluate the information society and the internet only from his dark perspective . His discussion should take place against the background of the internet, because only then the situation he desires can be reached.

I know he does not like cyber scholars, like cyber lawyers and philosophers, because they approach the issues in a too restricted way. I am sure he would not like my Ten Commandments of Internet Law. His observations in this respect are interesting too, but again he undermines his position by not wanting to include internet in the concluding part of the discussion at all. He does start his analysis in the information society with a central role for the internet, but his arguments would gain convincing power if he would discuss his brilliant observations on our information society (also) against this background and not fully separated from it. He want to get behind and find what he calls the real issues. Even if true, we cannot deny we are living in an information society so need to balance pros and cons in that context.

AR Lodder

Miljoenenjacht-kwestie: frustatie begrijpelijk, maar juridisch weinig kansrijk

dinsdag, november 26th, 2013

Boeiende kwestie rechtopmiljoenen.nl

Tijdens een spel drukt een deelnemer heel duidelijk en krachtig op een knop om direct daarna zich te realiseren iets doms te hebben gedaan. Hij aanvaardde daarmee 125.000 euro, wat op zichzelf niet onverstandig lijkt. Hij had echter de kans dat het meer zou zijn als hij niet geaccepteerd had (ook minder) en in werkelijkheid bleek het 5 miljoen. Linda de Mol, presentatrice, twijfelt aan de actie en vraagt hem of hij dat wel wil. Nee, zegt de deelnemer. De Mol suggereert het terug te draaien. Er wordt overlegd en de notaris zegt dat dit volgens de reglementen niet kan. Terecht, lijkt me, als je in een dergelijke situatie van je overeenkomst af zou kunnen komen vervalt de onherroepelijkheid van de aanvaarding en wordt het dubben voorafgaand aan het drukken in het vervolg voortgezet na het drukken.

Vermogensrechtelijk geen speld tussen te krijgen. Overeenkomst komt tot stand door aanbod en aanvaarding. Rechtshandelingen zijn vormvrij. Druk op de knop is hier de rechtshandeling, dat weet iedere deelnemer. Juist om interpretatie van uitingen te voorkomen is er zoiets overduidelijks als een knop.

Wat mogelijk vreemd overkomt is dat de bij iedereen bekende handeling niet in de reglementen stond en er na de uitzending aan is toegevoegd. Zoals gezegd was ook voor wijziging van het reglement  een overeenkomst tot stand gekomen. Het was onnodig om de spelregels aan te passen, maar zal neem ik aan te maken hebben met te verwachten publiciteit en gebrek aan kennis overeenkomstenrecht bij gemiddelde burger dat die toevoeging is gedaan.

Als e-contracteer specialist is de vraag waarom ik iets over deze zaak meen te moeten zeggen. Behalve dat het een interessante kwestie is als zodanig, is het gebruik van de knop een wijze van wilsverklaring die met behulp van technologie geschiedt. Een verstandige keuze, het voorkomt discussie over de aanvaarding van de overeenkomst, ook in dit geval.

Arno R. Lodder

 

De AIVD, onze eigen NSA

maandag, november 25th, 2013

De Media van de laatste tijd bulken uit van de onthullingen op grond van de “Snowden papers”.  Hierbij wordt wederom verwezen naar de acties van Verenigde Staten en de NSA die zijn eigen bondgenoten sinds 1946 liet afluisteren. Ook in het NRC van afgelopen weekend (23/24 november)  werd hier op verontwaardigde toon een boekje opengedaan op grond van zelf verkregen “snowdon papers”!

Maar is het niet logisch dat geheime diensten iedereen afluisteren die interessant is voor  de veiligheid van het eigen land?  De historie bewijst dat dit het bestaansrecht is van die diensten en dat de vrienden van vandaag de vijanden van morgen kunnen zijn.  Als variatie op een thema: “watch your enemies close but watch your friends even closer” werden  ook Angela Merkel en andere “vrienden” getapt.  Ook al behoor je tot de intieme kring van 5 of 9 nine eyes, het blijft interessant om van elkaars plannen op de hoogte te zijn. Zelfs naast de uitwisselingsafspraken die op grond van, al dan niet geheime verdragen, bestaan tussen de westerse geheime diensten is er immers nog meer dan genoeg “geheime” informatie die van belang is voor de veiligheid van een nationale staat.

Het komt mij logisch voor dat de spionerende staat de bespioneerde staat van die acties niet op de hoogte stelt.  Zou er nu echt iemand zijn die bijvoorbeeld tijdens de kruisraketten discussie in de jaren 80 zou kunnen denken dat de V.S. niet alles in het werk heeft gesteld om hier informatie over te krijgen? Het is toch van groot belang voorafgaand op de hoogte te zijn van belangrijke politieke beslissingen  van je bondgenoten.  Je moet immers weten hoe betrouwbaar die bondgenoten eigenlijk zijn en welke plannen ze maken . Dat is belangrijk voor de eigen nationale veiligheid en daar wordt geen middel voor geschuwd, al dan niet langs de randen van het juridisch oirbare.

Maar ook onze eigen AIVD heeft ruime bevoegdheden om informatie van wie dan ook te vergaren. Op grond van de wet op de inlichtingen en veiligheidsdiensten (Wiv) zijn  de diensten (AIVD en MIVD)  bevoegd tot het al dan niet met gebruikmaking van technische hulpmiddelen, valse signalen, valse sleutels of valse hoedanigheid, binnendringen in een geautomatiseerd werk (art 24 Wiv). Tot de bevoegdheid behoort het doorbreken van enige beveiliging en “het aanbrengen van technische voorzieningen teneinde versleuteling van gegevens opgeslagen of verwerkt in het geautomatiseerde werk ongedaan te maken’. Verder wordt in de overige artikelen de ruimte gegeven om onze bondgenoten  af te luisteren, af te tappen ,  in elke vorm van gesprek, telecommunicatie of gegevensoverdracht door middel van een geautomatiseerd werk, ongeacht waar een en ander plaatsvindt” (art. 25 Wiv). Via de ether verzonden communicatie die zijn oorsprong of bestemming in andere landen heeft  kan  zelfs zonder toestemming van de minister  worden afgeluisterd op basis van het adagium van de vrije ether (art. 26 Wiv).

Overigens wordt zelfs met toestemming van de minister, al dan niet gedelegeerd aan het “hoofd van de dienst”, de democratische controle op de activiteiten door de commissie van toezicht  en het parlement moeizaam.  We moeten er maar op vertrouwen dat “de Dienst” volgens democratisch aanvaarde regels te werk gaat.

Enigszins alarmerend is de opvatting die hierover bij de overheid heerst, gezien  het volgende citaat  van Staring in het stuk de Hoofdige Boer (1820) op de omslag van het rapport “data voor daadkracht” van de Adviescommissie Informatiestromen Veiligheid uit 2007 van de ministeries defensie, justitie en binnenlandse zaken:

“Al weten wij de reden niet  ‘t Is vast op goeden grond geschied’

Blijkbaar worden de burgers niet geacht op de hoogte te worden gesteld van de activiteiten op het gebied van nationale veiligheid. Bij navragen over het werk van de AIVD en de samenwerking met de NSA zullen de stoplappen van nationale veiligheid en staatsgeheim zonder twijfel  nog altijd worden benut om zaken buiten echt democratisch toezicht te houden.

De rechtszaak van Christaan Alberdink Thijm om via die weg informatie te verkrijgen over de samenwerking tussen NSA en AIVD heeft dan volgens mij ook weinig kans van slagen. Een werkelijk democratisch toezicht op geheime diensten blijft een naïef wishful thinking…

Rob van den Hoven van Genderen

“Please go back on your files and see if you have any documentation, verification, or identification that my birthdate is in 1978.”

donderdag, november 14th, 2013

This case about damage due to having published someone’s real age is even more interesting than already seems at first sight.

1. Factual: how can you complain someone shows your real age?

2. Procedural: may IMDB use confidential information owned about their customers?

The actual case is even more interesting than the above two questions.

2001: The actress, HUONG HOANG, that uses the artist name Junie Hoang started entering information on IMDB, and initially left her age blank.

2004: In June 2004, Hoang used her friend Greg Carter’s IMDb account to submit a 1978 date of birth for her profile, even though her true date of birth was seven years earlier, in 1971.

2008:  She decided she wanted to have her age blank again, but IMDB did not cooperate. As the title indicates, after some communications she insisted IMDB would prove that her wrong age was right.

IMDB could not find any info on the open internet about her age. Because Junie kept on complaining. So they started looking in their customer’s files. I further quote from the March 2013 ruling. Appeal is currently in progress, but I am sure no one doubts about the outcome. (via http://www.scribd.com/doc/131347469/Hoang-v-IMDb-com-C11-1709MJP-W-D-Wash-Mar-19-2013)

“Please go back on your files and see if you have any documentation, verification, or identification that my birthdate is in 1978.” (Dkt. No. 133 at 2.) The email continued, “If you do, please email it to me because I’m curious to see what you’re going off of.” (Id.) Interpreting this email as an invitation to begin investigating, an IMDb customer service manager, Giancarlo Cairella, searched public records for “June Hoang,” but was unable to find a birth date. (Dkt. No. 85 at 4.) Ciarella then accessed IMDb’s “IPS database,” which contains subscriber information that customers submit when paying to subscribe to IMDbPro. (Id.) In the IPS database, Ciarella found Hoang’s legal name, Huong Thu Hoang, which Plaintiff submitted in 2004 when she signed up for the free trial of IMDbPro. (Id.)

This was the only place Plaintiff’s full name was available to him. (Id.) Armed with this information, Ciarella searched a public records database called PrivateEye, which returned a result showing that “Huong Thu Hoang” had a birth date with the same month and day that Plaintiff’s profile indicated, but in 1971. Id.) Satisfied that he had resolved the mystery of Hoang’s birth date, Ciarella directed IMDb’s data content team to publish Plaintiff’s correct birth date on her profile page. (Id.) Even after her true birth date was published online, Hoang continued to press ahead with her false information campaign, sending IMDb links to her fake passport to “correct/delete [her] birthdate.”

Nationale Soevereiniteit in Cyber era is een farce

woensdag, september 18th, 2013

Dat de NSA en de Britse GCHQ alles afluisteren wat maar af te luisteren valt is inmiddels geen nieuws meer. Dat  de servers van Belgacom zijn geïnfecteerd met NSA malware wordt gebracht als nieuws, maar ook dit zal niemand verrassen. De datahonger  van nationale inlichtingendiensten is niet te stuiten.  Immers het terroristisch gevaar loert overal en is niet aan grenzen gebonden. Blijkbaar betekent dit dat diensten zich ook niets van grenzen hoeven aan te trekken. In een aantal gevallen zijn hier op internationaal terrein afspraken over gemaakt. Meestal betreft dit wederkerige afspraken tussen verschillende staten, bilateraal of blokgewijs zoals de “uitwisseling” van passagiersgegevens (pnr verdrag) tussen de VS en Europa, wat er op neer komt dat de uitwerking vooral “one way” lijkt te zijn. Ditzelfde geldt voor het SWIFT- verdrag, het raadplegen en uitwisselen van bankgegevens van het SWIFT netwerk in het kader van het Terrorism Finance Trackingprogram (TFTP). Het Europees Parlement ging in 2012 met gezonde tegenzin akkoord nadat de garantie werd gegeven dat Europa de regie over levering van de gegevens zou blijven voeren. Nadat bleek dat de NSA een iets andere opvatting had over de wijze en frequentie van raadplegen van gegevens is door het EP een voorstel gedaan om het programma en verdrag op te schorten.

Helpt dit soort acties de datahonger van de inlichtingendiensten te stillen? Trekken nationale inlichtingendiensten zich sowieso wat aan van bestaande rechtsregels die de privacy van de burger inclusief telecommunicatiegeheim zouden beschermen?

De Braziliaanse president Rousseff denkt van wel. Nadat haar bekend werd dat de NSA naast het communicatieverkeer van Staatsbedrijven ook haar persoonlijk e-mail en telefoonverkeer aftapte diende zij een wetsvoorstel in  dat Amerikaanse (sociale media) bedrijven verplicht om hun servers (ook) op Braziliaanse bodem neer te zetten zodat de Braziliaanse (privacy) wetgeving van toepassing zou zijn. Een andere lezing van mijn collega Tijmen Wisman is dat de logica die zij volgt niet gebaseerd is op wetgeving, maar de locatie van de servers en daardoor dus de fysieke toegang: “Ik begrijp uit NSA-onthullingen is dat ze zelfs de wetgeving van de USA niet respecteert (http://www.theguardian.com/commentisfree/2013/sep/13/nsa-behemoth-trampling-rights) en boven haar eigenlijke bevoegdheden een hoop andere dingen doet. Die nationale soevereiniteit poogt zij dus terug te krijgen door de locatie van de data te veranderen, weliswaar ook door middel van wetgeving die Facebook, Google en consorten ertoe verplicht die data op te slaan in servers in Brazilie. Haar zorg betreft de NSA en niet de nationale inlichtingendienst van Brazilie.”

De SWIFT servers staan allemaal in Europa, onder andere in Nederland en België.  KPN servers staan in Nederland  dus wij hoeven nergens bang voor te zijn.  Immers de Nederlandse en Europese privacy wetgeving zijn dus van toepassing. Buitenlandse inlichtingendiensten mogen dus niet aan onze data komen.  Wij houden de soevereiniteit over ons eigen grondgebied. Jammer toch dat al dat verkeer internationaal is.  Ook jammer dat de inlichtingendiensten zich ook nog niets aan trekken van die nationale wetgeving. Zij hebben ook hun nationale(Patriot) wetgeving en die geeft ruimte genoeg om alle mogelijke middelen aan te wenden om hun nationale veiligheid te beschermen.

Rob van den Hoven van Genderen

Het reguleren van digitale oorlogvoering, hoe doe je dat?

dinsdag, september 10th, 2013

Bron:  http://www.rechten.vu.nl/nl/onderzoek/onderzoek-uitgelicht/lianne-boer/index.asp

Lianne Boer is promovendus op de afdeling Transnational Legal Studies. Ze doet sinds eind 2011 onderzoek op het gebied van digitale oorlogvoering: cyber war. “Het leuke aan promoveren is dat je kunt beginnen bij je eigen nieuwsgierigheid, iets dat je opvalt waarvan je denkt ‘ergens klopt dit niet’. En dat je daar dan mee aan de slag kan gaan.”

cyberspace1Vlak na de Tweede Wereldoorlog ondertekenden 51 staten het Handvest van de Verenigde Naties. Dit Handvest wordt door sommigen gezien als de grondwet van het internationaal recht. Centraal in Liannes onderzoek staat artikel 2, paragraaf 4. In dit artikel staat dat staten onderling geen geweld tegen elkaar mogen gebruiken. Bij ‘geweld’ denk je in deze context al gauw aan bijvoorbeeld bommen of vuurgevechten. Maar de afgelopen decennia is er veel veranderd: ‘cyberspace’ is een begrip dat men in 1945 niet kende, maar dat tegenwoordig niet meer weg te denken is uit onze samenleving.

Wat betekent geweld in cyberspace? Wanneer is er bij een digitale aanval sprake van geweld en dus van schending van artikel 2(4)? Verschillende antwoorden op deze (en andere) vragen zijn vastgelegd in het zogenaamde Tallinn Manual. In dit document is te lezen hoe onder andere het bestaande oorlogsrecht kan worden toegepast op digitale oorlogvoering. Dit Manual is het resultaat van een driejarig project door een groep experts.

Talinn ManualHet onderzoek van Lianne richtte zich in eerste instantie op een analyse van wat volkenrechtjuristen precies hebben gedaan met artikel 2(4) uit het VN Handvest. Dit mondde uiteindelijk uit in een breder onderzoek naar het geweldsverbod in het VN Handvest. Op die manier kwam ze uit op het Tallinn Manual. Lianne bekijkt hoe de experts die het Manual hebben opgesteld zijn gekomen tot het beantwoorden van de vragen rondom cyber war. De experts menen het bestaande recht te hebben toegepast op digitale oorlogvoering, maar hoe hebben zij dit gedaan? “Zeker gezien het feit dat er nauwelijks grote ‘cyberincidenten’ zijn geweest  – we hebben dus geen goed beeld van hoe staten gaan reageren – is dit Manual het bestuderen waard.”

Digitale aanval: Stuxnet
In 2010 veroorzaakte een computervirus met de naam Stuxnet problemen in Iraanse kerncentrales. Iran beschuldigde de VS en Israël van de cyberaanval, die hun betrokkenheid altijd hebben ontkend. De New York Times beweerde enkele maanden later (op basis van anonieme bronnen binnen het Amerikaanse leger en de inlichtingendiensten) dat de VS en Israël inderdaad achter de Stuxnet-aanval zaten. De vraag is of deze aanval inderdaad kan worden bestempeld als geweldgebruik.

Lianne geeft aan dat ze zich bewust is van de risico’s die cyberspace met zich meebrengt. “Dit besef van de risico’s beperkt zich niet tot mijn persoonlijke situatie. Zo ben ik me ook bewuster van de kwetsbaarheid van onze eigen samenleving en de noodzaak van goede digitale beveiliging.”

Juli 2013

Lianne BoerOver Lianne Boer
Lianne Boer verricht haar onderzoek binnen het onderzoeksprogramma Boundaries of Law en wordt begeleid door Wouter Werner en Arno Lodder. Ze is begonnen in november 2011. Lianne studeerde Politicologie en deed aansluitend de master Law and Politics of International Security aan de VU. Naast haar promotieonderzoek verzorgt ze werkgroepen van het vak Volkenrecht en geeft ze af en toe gastcolleges.

 

OV chipcard/GVB: onterecht betaald bedrag terugkrijgen zelfs na fout GVB bijna onmogelijk

maandag, juli 8th, 2013

De OV chipcard biedt ontegenzeggelijk gemak, maar de wijze waarop te veel betaald geld wordt teruggegeven is erg omslachtig. In geval de reden van het te veel betaalde niet aan de klant ligt, maar veroorzaakt is door een fout van het GVB vraag ik me zeer af of dit juridisch gezien toelaatbaar is. Uiteraard kan in de vervoersvoorwaarden alles wat gunstig is voor de aanbieder en ongunstig voor de klant worden opgenomen, maar bij fouten van het GVB gaat het om het afhandig maken van geld en het vervolgens de “bestolene” erg moeilijk maken zijn verdwenen geld terug te krijgen. Ik zal geen aangifte van diefstal doen, maar zo het dat niet is komt het dicht in de buurt.

Stel je koopt bij de bakker twee croissants en betaalt met 5 euro. Terwijl de bakker zich omdraait om je 2 euro wisselgeld te geven ben je al de winkel uitgelopen. Buitengekomen realiseer je je het opeens en loopt terug. Zou de bakker je vragen een uitgebreid formulier in te vullen, bij voorkeur via internet?

Stel je koopt bij de bakker twee croissants en nog wat broden en betaalt. Buitengekomen bedenk je dat het wat veel was en je kijkt op de bon. Het blijkt dat voor een brood abusievelijk 6 euro in plaats van 3 euro was gerekend en loopt terug. Zou de bakker je vragen een uitgebreid formulier in te vullen, bij voorkeur via internet?

Als we de bakker nu vervangen door GVB is het antwoord twee keer JA. Waar in de eerste casus er nog iets voor te zeggen is dat de klant zich enige moeite moet getroosten om het teveel betaalde terug te krijgen (het bekende vergeten uit te checken) is het in het tweede geval op zijn minst merkwaardig.

Eind vorige maand nam ik de bus met een volwassene met abonnement, een volwassene met gewone chipcard en een kind. Bij het uitchecken verbaasde ik me over de enorme bedragen en ben daarom naar het GVB informatiepunt op het station gelopen.

Ontmoedigingsbeleid I

De bus bleek in het incheck systeem niet de  juiste halte te hebben ingegeven, maar de halte aan de andere kant van de lijn, aan de andere kant van de stad. Zo kon een ritje van 10 minuten de waarde krijgen van een rit van een uur (even daargelaten dat er in kilometers gerekend wordt). Een, dat moet gezegd, zeer vriendelijke mevrouw zag al de verschillende bedragen inclusief het onterecht bij de abonnement kaart afgeschreven bedrag. Ze kon niet de kaarten crediteren, maar we moesten drie papieren formulieren invullen of via internet. Dat laatste zou sneller gaan, dan hoefden alleen de bonnetjes nog gescand.

Ontmoedigingsbeleid II

Het online invulformulier vraagt heel veel gegevens, inclusief naam en adresgegevens van een persoonlijke kaart. Wat zou er meer voor de hand liggen dan niet de adresgegevens te vragen bij een persoonlijke kaart? Ook deed de knop voor toevoegen scan het niet, niet in Chrome en vervolgens nog geprobeerd in Explorer maar daar werkte de link ook niet. Toch maar ingevuld, overigens niet per kaart een keer (wat verlangd wordt), maar 1 keer voor drie kaarten omdat het immers hetzelfde incident betrof. De reactie via mail gaf weinig hoop op een goede afloop: incomplete transaction

Ontmoedigingsbeleid III

Toch maar gekeken naar de papieren formulieren. Er zijn twee opties voor een claim: vergeten uit te checken of verkeerd bedrag bij oplaadautomaat. U raadt het al, de situatie dat er een fout door GVB gemaakt wordt zit er niet bij.

AR Lodder