Aspecten van netwerk & informatiebeveiligingsrecht

E X E C U T I V E M A R C H

A N A L Y S I S

2 0 1 6

Aspecten van netwerk & informatiebeveiligingsrecht

M r .

V . A .

D E

P O U S

De white paper is voor intern gebruik bestemd voor de partners van EuroCloud Nederland en bevat uitsluitend de visie van de auteur.

EXECUTIVE ANALYSIS

Aspecten van netwerken informatiebeveiligingsrecht

© 2016 Victor A. de Pous, Amsterdam Alle rechten voorbehouden. Niets uit deze uitgave mag zonder voorafgaande toestemming van de auteur en uitgever worden verveelvoudigd of openbaar gemaakt worden. Hoewel aan de totstandkoming van deze uitgave de uiterste zorg is besteed aanvaarden auteur, eindredacteur en uitgever geen aansprakelijkheid voor eventuele fouten en onvolkomenheden, noch voor gevolgen hiervan.

Maart 2016

Julianapark, 16 Anton Constandsestraat, 1097 HX Amsterdam Post Office Box 51005, 1007 EA Amsterdam The Netherlands Voice: +31-20-665-5738 Fax: +31-20-665-5818 E-mail: [email protected] Selective Bibliography http://technologierecht.blogspot.com/

© 2016 V.A. de Pous, Amsterdam

2

EXECUTIVE ANALYSIS

Executive headlines 

Netwerk- en informatiebeveiliging krijgt steeds vaker een gecodificeerde basis en niet alleen via de tot nu toe gangbare weg van strafrecht en privacyrecht. Parallel rukken allerhande wettelijke beveiligingsverplichtingen op via andere routes, inclusief uiteenlopende meldplichten bij ICT-gerelateerde incidenten.



Los van wettelijke voorschriften, gaat netwerken informatiebeveiliging ten principale om een maatschappelijke verplichting, die een belangrijke, zelfs essentiële bouwsteen vormt van maatschappelijk verantwoord handelen, ondernemen en openbaar besturen incluis.



Tot nu toe worden bedrijf of overheidsorganisatie zelden ter verantwoording geroepen op grond van onzorgvuldige omgang met persoonsgegevens in relatie tot een wettelijke beveiligingsverplichting. Wanneer dat wel gebeurt, zijn het toezichthouders en niet rechters die een juridisch oordeel vellen.



Naar verwachting zullen partijen vaker naar de rechter stappen, zowel op grond van (nieuwe) weten regelgeving — beveiligings- en meldvoorschriften — als vanwege het toenemende gebruik en de afhankelijkheid van ICT, tegen het licht van de talloze incidenten van soms enorme omvang.



Informatieveiligheid staat onder druk. Bij gebruikersorganisaties regeert veelal de angst en algemeen bezien verkeert de markt in verwarring. Wie is er nog te vertrouwen? Ondertussen rukt de informatietechniek op en zien we meer strafbare feiten, hogere sancties en telkens uitbreidende bevoegdheden voor het opsporingsapparaat in relatie tot digitale criminaliteit.



Het Europees parlement is voorstander van sterke privacyrechten voor de Europese burger. Dat uit zich onder meer in brede consensus over meer zeggenschap over persoonsgegevens. De burger dus aan het roer. Hij moet meer controle hebben over zijn persoonsgegevens, onder meer door vooraf toestemming voor gebruik te geven. Het laatste woord is echter aan de Europese ministerraad.



Ondertussen waarschuwt het College bescherming persoonsgegevens voor de risico’s van de toverformule big data. De hooggespannen, vaak commerciële verwachtingen van het verzamelen, koppelen en analyseren van gigantische hoeveelheden gevarieerde gegevens komen alleen uit wanneer de verwerking van persoonsgegevens rechtmatig plaatsvindt.



De beveiligingssoftware OpenSSL bevatte twee jaar lang een zeer ernstige bug, waardoor zelfs versleutelde data, zoals wachtwoorden, creditkaartnummers en account-gegevens, door hackers konden worden verkregen. De cruciale ‘kwetsbaarheid’ maakte tweederde van het immense World Wide Web kwetsbaar en toont opnieuw aan dat Internet met digitale touwtjes aan elkaar hangt en open source software alleen op professionele wijze werkt.



Inmiddels zijn we op een moment aangekomen waar alles op de schop moet, althans zo lijkt het; ook ten aanzien van weten regelgeving. Veel legislatieve ontwikkelingen raken privacy en informatiebeveiliging in het hart.


3

EXECUTIVE ANALYSIS



Incidenten, ontwikkelingen en legislatieve voorstellen in het domein veiligheid en privacy volgen elkaar met lichtsnelheid op en kruisen voortdurend. Dat vraagt om een andersoortige aanpak. Laat desgewenst bestaande structuren bestaan maar plaats daarboven wel een coördinerend Minister van Veiligheid en Privacy. Met een zwaar mandaat en — in schril contrast met de Digicommissaris — stevige wettelijke borging.



Het Witte Huis zegt klip en klaar dat zij het niet alleen kan. Obama's pleidooi klinkt luid en duidelijk. Overheid en Silicon Valley moeten samen optrekken om de kwetsbaarheid van de informatiemaatschappij terug te dringen. Informatie delen is een van de belangrijkste middelen, maar vormt tegelijkertijd de grootste drempel.



We zien de wetgever in toenemende mate naar de meldplicht grijpen. Die ontwikkeling is nader beschouwd niet nieuw, maar kent wel verstrekkende gevolgen, vooral wanneer schending van bijvoorbeeld de meldplicht datalekken tot hoge geldboetes kan leiden. De maximale boete voor verzuim (en andere overtredingen van de Wet bescherming persoonsgegevens) wordt verhoogd tot zegge en schrijve 820.000 euro of tien procent van de omzet.



Na het Safe Harbour-arrest van oktober 2015 van het Europese hof, werken EU en VS — overigens verder — aan een nieuwe beschikking. Daarover wordt namelijk al sinds 2013 onderhandeld, omdat de verouderde en in Europees perspectief bezien versnipperde privacywetgeving wordt vervangen door de aankomende Algemene Verordening Gegevensbescherming.



Na het ontdekken van sjoemelsoftware wordt het hoog tijd om de ethische lat hoog te leggen, door bijvoorbeeld een klokkenluidersregeling te maken. Bovenal geldt: geef vertrouwen in de informatiemaatschappij een centrale plaats. Wettelijke borging is hierbij van groot belang. Verbiedt verborgen functionaliteiten in software bij wet.


4

EXECUTIVE ANALYSIS

Inhoudsopgave Executive headlines Voorwoord Juridisch net rond netwerken informatiebeveiliging sluit zich De bijt van toezichthouders De wereld gaat aan ICT ten onder, tenzij Snowden Vertrouwen Recht als voorschrift en sturingsinstrument Hoe mijn hart bloedt De opmars van strafrecht en strafvordering in het digitale domein Juridische netwerken informatiebeveiligingstrends Naar een coördinerend minister voor veiligheid? De luide politieke roep om samenwerking Meldplichtklaar? Safe-Harbour: back-to-basics óf back-to-school? Sjoemelsoftware tast digitaal vertrouwen verder aan


5

EXECUTIVE ANALYSIS

Voorwoord Laat een zaak duidelijk zijn. Netwerk- en informatiebeveiliging — op korte termijn als 1 formeel juridisch begrip gecodificeerd in een Europese richtlijn — verloor decennia geleden haar vrijwillige karakter. Het gaat om een wettelijke plicht in soorten en maten, op grond van uiteenlopende weten regelgeving. Dat geldt vandaag onverkort voor het melden van allerhande incidenten in relatie tot ICT. Ook Nederland heeft daarmee te maken, zelfs maatschappijbreed, nu Den Haag met de Wet meldplicht datalekken, die begin dit jaar van kracht werd, vooruitloopt op de generieke meldplicht van de Europese Algemene Verordering Gegegevensbescherming. Eerder trad bij ons onder meer een 'smalle meldplicht' voor de telecomsector in werking. Voldoen aan de wettelijke beveiligingsvoorschriften betreft in ieder geval in dit domein een continu proces; voldoen aan meldplichten nadrukkelijk niet. Deze worden namelijk pas van kracht wanneer een omstandigheid of gebeurtenis zich voordoet die melding vereist. Je zult het zien, persoonsgegevenslekkage ontstaat zaterdagnacht om zeven over drie en wie op dat moment nog beleidsmatig en/of operationeel het wiel moet uitvinden, is te laat. Maar voor bedrijf of overheidsorganisatie behoort een niet-juridische benadering zwaarder te wegen: netwerken informatiebeveiliging geldt ten principale als een maatschappelijke verplichting, die een belangrijke, zelfs essentiële bouwsteen vormt voor maatschappelijk verantwoord handelen, ondernemen en openbaar besturen incluis. Uiteindelijk gaat het om de bescherming van de fundamentele waarden en normen van het individu als burger, werknemer, consument en patiënt, bescherming van de kritieke infrastructuren en bescherming van de continuïteit van organisaties. Tegelijkertijd ondersteunen de geconsolideerde beveiligingsvoorschriften het zo broodnodige vertrouwensproces voor onze gedigitaliseerde samenleving, dat momenteel op diverse gronden fors onder druk staat. Van gammele informatietechniek tot computercriminaliteit; van handelswijzen van veiligheidsdiensten tot sjoemelsoftware. Dit rapport bevat veertien, soms prikkelende analyses over uiteenlopende aspecten van netwerken informatiebeveiligingsrecht, die toezien op de periode 2012-2015 en die eerder zijn verschenen in het vakblad Infosecurity Magazine.

Amsterdam, 1 maart 2016

1

Victor de Pous

Voorstel voor een Richtlijn van het Europees parlement en de Raad houdende maatregelen om een hoog

gemeenschappelijk niveau van netwerken informatiebeveiliging in de Unie te waarborgen, COM (2013) 48 final, 2013/0027 (COD), 7 februari 2013. Onder netwerken informatiebeveiliging verstaat dit wetsontwerp: 'Het vermogen van een netwerken informatiesysteem om met een bepaald niveau van betrouwbaarheid bestand te zijn tegen accidentele gebeurtenissen of opzettelijke handelingen die de beschikbaarheid, authenticiteit, integriteit en vertrouwelijkheid van de opgeslagen of verzonden gegevens of de daaraan gerelateerde diensten die via dat netwerken informatiesysteem worden aangeboden of toegankelijk zijn, in gevaar brengen'.


6

EXECUTIVE ANALYSIS

Juridisch net rond netwerken informatiebeveiliging sluit zich Het ene digitale lek tuimelt over het andere. Kwetsbaarheden in elektronische technologie en infrastructuur maken dagelijks headline news. Genadeloos wordt de slecht-beveiligde, gehackte organisatie aan de publieke schandpaal genageld. Wetgever en rechter leggen verplichtingen op, stellen paal en perk aan de toepassing van ICT en proberen op deze wijze gedrag te sturen. Overigens met merkwaardige piketpalen en grijze gebieden. Zo is het downloaden van muziek en films uit illegale bron voor privégebruik op grond van het 2 Nederlandse strafrecht nog altijd legaal , maar van computerprogramma’s en games daarentegen strafbaar. Wie begrijpt dat? Informatiebeveiliging krijgt in ieder geval steeds vaker een gecodificeerde basis en niet alleen via de tot nu toe gangbare weg van strafrecht en privacyrecht. Parallel rukken allerhande wettelijke beveiligingsverplichtingen op via andere routes. Staats- en bestuursrecht, maar tevens het telecommunicatierecht komen in het vizier. Net zoals meldverplichtingen bij storingen en lekken, inclusief de regeling specifiek voor de bescherming van vitale infrastructuren in Nederland. Deze gaan waarschijnlijk voor verwarring zorgen. Wanneer, aan wie en op welke wijze welk incident melden? Verder constateren we andere ontwikkelingen. Justitie heeft namelijk recent een leidraad 3 gepubliceerd over ‘verantwoorde openbaarmaking’ van ICT-kwetsbaarheden. De bottomline voor ‘ethische hackers’ (de melders) luidt: publiceer niet klakkeloos de resultaten van je daden. Voor organisaties luidt de hoofdregel: zorg dat je beleid hebt ontwikkeld voor het omgaan met een melding en draag dat uit. Vooral informatiebeveiligers bij ICT-leverancier en gebruikersorganisatie krijgen het voor hun kiezen, omdat ze kennelijk hun zaken niet op orde hebben. Dat mag deels terecht zijn, maar vervolgens repliceren we met verve dat algemeen management en individuele gebruiker regelmatig boter op hun hoofd hebben. Organisatiebreed beleid, controle en sancties in de organisatie ontbreken nogal eens, terwijl gebruikers vaak domweg doen waar ze zin in hebben. Van slecht wachtwoordbeheer tot de inzet van ‘rogue clouds’. Het laatstgenoemde betreft de ongecontroleerde toepassing van clouddiensten. Denk aan WhatsApp, de populaire berichtendienst die toegang heeft tot alle zakelijke en privécontacten van de gebruiker, zelfs degenen die geen WhatsApp-account hebben. Of de eveneens gratis, Dropbox-achtige opslagdiensten, welke mede op grond van hun gebruiksvoorwaarden niet geschikt zijn voor vertrouwelijk bedrijfsinformatie.

2

Het downloaden van muziek- en filmfragmenten uit illegale bron voor privé-gebruik is naar Nederlands recht niet

verboden. Het Gerechtshof in Den Haag heeft dit op 15 november 2010 in hoger beroep in twee zaken beslist. Downloaden uit illegale bron is het downloaden van muziek- of filmbestanden die zonder toestemming van de auteursrechthebbenden op Internet zijn geplaatst. Volgens het hof is het downloaden uit illegale bron voor privégebruik naar Nederlands recht toegestaan, omdat de Nederlandse regering bij de aanpassing van de Nederlandse Auteurswet aan de Europeesrechtelijke Auteursrechtrichtlijn uitdrukkelijk en herhaaldelijk heeft verklaard dat downloaden uit illegale bron voor privé-gebruik niet is verboden. 3

http://www.rijksoverheid.nl/regering/bewindspersonen/ivo-opstelten/nieuws/2013/01/03/leidraad-voor-

verantwoorde-openbaarmaking-van-ict-kwetsbaarheden.html


7

EXECUTIVE ANALYSIS

Juridische normstelling in weten regelgeving en in contracten wil echter niet zeggen dat inbreuk op voorschriften coûte que coûte tot juridische aansprakelijkheid leidt. Sterker nog, bij de ontelbare incidenten in het domein netwerken informatiebeveiliging valt juist op dat aansprakelijkheidskwesties nauwelijks aan de orde komen, ondanks het feit dat bij inbreuk op persoonsgegevens maar liefst strafrechtelijke, bestuursrechtelijke en privaatrechtelijke middelen openstaan voor respectievelijk OM, toezichthouder en slachtoffer. Maar de risicotrend is wel stijgend. Sony werd onlangs door de Engelse toezichthouder 4 beboet vanwege de beruchte Sony Playstation Network hack (21 juni 2011) , die 'te 5 voorkomen' was geweest en waardoor gegevens van 100 miljoen spelers gelekt werden. Hoogte van de sanctie: 250.000 pond. Dat betrof alleen de Engelse gedupeerden. Langs deze weg kan Sony in beginsel in ieder land, waar slachtoffers van deze inbraak zich bevinden, worden beboet. Ondertussen ontwikkelt het digitale beveiligingsrecht zich breder. Niet alleen meer wettelijke voorschriften; er gaan vrijwel zeker ook specifieke juridische kaders voor security experts ontstaan. Die bieden dan onder meer aanknopingspunten voor wanneer, de wijze waarop en onder welke voorwaarden een professionele informatiebeveiliger verplicht is, om een ter zijner kennis gekomen digitale kwetsbaarheid of ander incident te delen met anderen uit de beroepsgroep en de leverancier van het betrokken product of dienst. Samen met de kersverse leidraad voor responsible disclosure betekent een en ander dat iedere organisatie beveiligingsbeleid moet ontwikkelingen. Dat vertaalt zich door in allerlei contracten: met werknemers, freelancers, adviseurs en ICT-leveranciers. Wie weigert netwerken informatiebeveiliging primair als een maatschappelijke plicht te beschouwen, handelt desgewenst maar op grond van angst voor juridische aansprakelijkheid en financiële sancties wegens non-compliance. Hoe het ook zij, er is geen tijd te verliezen.

De bijt van toezichthouders 77 miljoen accounts van het Sony Playstation Network gehackt? Een privacy-inbreuk van mega omvang. Naam, e-mail, rekeningadres, paswoord, telefoonnummer, geslacht en geboortedatum. Nee, geen creditkaartgegevens zegt Sony. Gamers uit de hele wereld werden in 2011 slachtoffer van belabberde beveiligingsmaatregelen voor een geavanceerd digitaal netwerk, dat spelen in de wolken grenzeloos mogelijk maakt. Voer voor juristen. In het claimgrage Amerika daagde een advocaat de Japanse elektronicagigant op grond van het Californische consumentenrecht in een groepsgeding. De zittende magistraat zag daar 6 geen heil in: ‘there is no such thing as perfect security’ en verwierp de zaak. Een interessante uitspraak. De procedure zelf noemen we uitzonderlijk. Zelden wordt een bedrijf of overheidsorganisatie voor de rechter ter verantwoording geroepen op grond van onzorgvuldige omgang met persoonsgegevens in relatie tot een beveiligingsverplichting, terwijl deze verplichting toch verre van nieuw is. In Nederland kreeg een dergelijk voorschrift een wettelijke basis toen onze eerste privacywet in werking trad, de Wet 4

http://www.theguardian.com/technology/gamesblog/2011/apr/27/playstation-network-hack-sony

5

http://www.cfoworld.co.uk/news/governance/3422505/uk-ico-fines-sony-250k-for-2011-playstation-hack/

6

http://news.cnet.com/8301-1023_3-57538716-93/sony-psn-hacking-lawsuit-dismissed-by-judge/


8

EXECUTIVE ANALYSIS

persoonsregistraties. Dat was in 1988. Een kwart eeuw later kunnen we nog altijd niet terugvallen op een hoeveelheid verklarende- of richtinggevende jurisprudentie. Wat zijn dan die 'passende' technische en organisatorische maatregelen tot beveiliging van persoonsgegevens om verlies of diefstal te voorkomen? Wanneer kunnen we een datalek of ander incident aan wie toerekenen? En welke bedragen voor vergoeding van directe en immateriële schade zijn hier opportuun? Het College bescherming persoonsgegevens heeft geen verklaring waarom burgers, consumenten en bijvoorbeeld patiënten op grond van het beveiligingsartikel nauwelijks de gang naar de rechter maken. Wij wel, maar het is een hypothese. Los van de vraag of iedere rechter nogal oppervlakkig zal redeneren dat 100% beveiliging niet bestaat, dringt een vergelijking met softwarebugs op. De tweede helft van de jaren tachtig betrof de periode waarin standaardpakketten voor de PC in allerlei soorten en maten breed werden gebruikt. Dat vergrootte tevens de reikwijdte en gevolgen van programmeerfouten. Opmerkelijk: ook hierover is er de afgelopen 25 jaar in binnenen buitenland niet of nauwelijks geprocedeerd door alle gedupeerde gebruikers. De grond? Men — de markt, de kerk, de wereld — accepteert domweg fouten in computerprogramma’s. Het is niet anders. Ook datalekken schitteren kennelijk als voldongen feit. In de praktijk zien we wetgevers en geen rechters die het onderwerp adresseren. Exclusief? Nee. In toenemende mate blazen toezichthouders een flinke partij mee. Zo moest Sony in de zaak van de geruchtmakende mega hack aan de Engelse toezichthouder een boete betalen ter grootte van 250.000 pond, omdat zij de privacywet had overtreden. Nog een voorbeeld. Google kreeg het in Verenigde Staten aan de stok met de Federal Trade Commission wegens het heimelijk volgen van Safari-gebruikers. Een 7 schikking van 22,5 miljoen dollar was het gevolg. Behalve als sanctionerende instantie treden toezichthouders nadrukkelijk beleidsmatig op. Opinies, zienswijzen, richtsnoeren over allerhande privacy-gerelateerde kwesties zien vandaag de dag in hoog tempo het licht. Daar is niet iedereen blij mee. Waakhonden kapen privacybeleid, aldus Thuiswinkel.org. De brancheorganisatie ziet dat toezichthouders zich nu eens als rechter, dan weer als wetgever manifesteren. ‘Een gang van zaken die volledig 8 indruist tegen de basisprincipes van democratisch bestuur’. Dat het College bescherming persoonsgegevens zich hierin niet herkend, zal niemand verbazen. Het college repliceert met de verwijzing dat zowel de huidige als aankomende 9 wetgeving een technologieneutraal karakter heeft. Zonder interpretatie van de privacyregels kom je in de dynamische informatiemaatschappij niet ver. Wat is wijsheid? We zien allereerst een sterk grondwettelijk recht. Dat grondrecht staat onder druk door de modus operandi van allerlei gratis clouddiensten — ook apps — die een fors marktaandeel hebben verworven en nog steeds in omvang toenemen. Europese Commissie en toezichthouders staan heldhaftig zij aan zij voor stevige privacyrechten, terwijl Europese ministerraad en parlement de kant van het bedrijfsleven kiezen. 7

De hoogste in zijn soort in de Verenigde Staten onder federaal Amerikaans recht.

http://ftc.gov/opa/2012/08/google.shtm 8

www.thuiswinkel.org

9

InfoSecurity Magazine, nummer 2, 2013.


9

EXECUTIVE ANALYSIS

Ondertussen verkrijgen overheden uit oogpunt van criminaliteit- en terrorismebestrijding telkens meer en zwaardere bevoegdheden. Gemeenschappelijke belangen zijn er nauwelijks.

De wereld gaat aan ICT ten onder, tenzij Digitale technologie is nogal altijd — zelfs in toenemende mate — vet cool. Fantastische telefoons, tablets en zelfs brillen; alles gekoppeld aan Internet. Gebruikers glimmen van genot. De letterlijk honderdduizenden apps maken het nog mooier. Ondertussen rukken, deels sluipend, lerende informatiesystemen, robotisering en The Internet of Things op; drie stromingen waar geen mens meer aan te pas komt. Met alle gevolgen van dien. Technologie maakt ons niet alleen verslaafd, maar vooral ook kwetsbaar. Individu, organisatie en maatschappij hebben ziel en zaligheid opgehangen aan de beschikbaarheid en goede werking van ICT, de beveiliging incluis. Wat doen beleidsmakers? Een treffend voorbeeld. Onderzoek van McAfee, onderdeel van de Amerikaanse chipproducent Intel, wees onlangs Nederland aan als vrijhandelsplaats voor cybercriminelen. Vervolgens roepen politici in koor dat inperking van het recht op bescherming van de persoonlijke levenssfeer de oplossing vormt. Het nieuws was zo groot 10 dat het achtuurjournaal ermee opende. Nederland staat namelijk op de derde plaats van landen — na de VS en de Maagdeneilanden — die cybercrime wereldwijd faciliteert en acteert als ‘paradijs voor internetcriminelen’ die spam versturen en bankgegevens stelen. Dat gebeurt door misbruik van 154 servers ‘om dagelijks honderdduizenden computers over de hele wereld te besturen’. In feite gaat het slechts om een klein percentage van het aantal servers in Nederland. Nog opmerkelijker is de reactie van de politiek. Handhaving heeft last van sterke privacyrechten, waaronder ‘het strikte briefgeheim’, en daarom is deze bescherming doorgeschoten. Dat vraagt dus om afzwakking van de rechtspositie van de burger. De realiteit is geheel anders. In alle 27 lidstaten geldt een basisniveau aan privacybescherming voor wat betreft de verwerking van persoonsgegevens. Dus niet alleen in Nederland. Alleen Europa kan dat rechtskader aanpassen. Dat gebeurt overigens ook en de privacyrechten worden opvallend genoeg alleen maar sterker. Ook een verwijzing naar 11 het briefgeheim is opvallend, nu onze Grondwet in dit kader nog aangepast moet worden. Meer algemeen voeren we aan dat Nederland een aantrekkelijk land voor hosting providers is, omdat Amsterdam al jaren een groot en belangrijk Internet-knooppunt heeft. Wellicht weegt het juridische beginsel van netneutraliteit (geen hogere kosten voor diensten die veel bandbreedte eisen of het ‘afknijpen’ van deze diensten) ook mee. De politiek diskwalificeert de complexe informatiemaatschappij en reduceert haar tot de ‘roept-u-maar-samenleving’. Van alle betrokkenen vragen we dus op de eerste plaats logisch verstand, samen met een holistische benadering van de problematiek; zowel 10

http://nos.nl/artikel/469969-nederland-paradijs-cybercriminelen.html

11

Deze discussie is al pakweg 15 jaar gaande. In 2000 pleitte een staatscommissie voor een algemeen en

techniekonafhankelijk grondrecht op vertrouwelijke communicatie (dus niet alleen per brief). Zie ook http://www.eerstekamer.nl/toezegging/aanpassing_artikel_13_grondwet_31


10

EXECUTIVE ANALYSIS

technisch en organisatorisch als juridisch. De waan van alle dag vormt geen basis voor solide beleid. Een gevolg van de verontrustende zaak over de Nederlandse certificaten12 autoriteit DigiNotar — onveilige certificaten voor online transacties, in het bijzonder tussen burger en overheid — is dat minister Plasterk (BZK) twee jaar lang een taskforce aan het werk zet om ministeries, gemeenten, provincies en waterschappen te helpen bij het 13 verbeteren van hun informatiebeveiliging. Wat zal het beleid worden? Overheden moeten zich veel meer bewust zijn van het belang van goede beveiliging van hun digitale dienstverlening, luidt het uitgangspunt. Dat weten we al jaren. Ook het voorhanden hebben van een Plan B, wordt aanbevolen. Eveneens een notoir feit. De wettelijke meldplichten bij storingen en inbreuken vallen goed beschouwd in dezelfde categorie, nu deze maatregelen vooral dienen om (gevolg)schade te beperken. Vergeet Europa niet. De Europese Commissie heeft samen met de hoge vertegenwoordiger van de Unie voor buitenlandse zaken en veiligheidsbeleid een strategie voor cyberbeveiliging gepresenteerd. Tevens ligt er een blauwdruk voor een Europese Richtlijn netwerken 14 informatiebeveiliging. De taskforce doet er dan ook goed aan alles mee te nemen en vervolgens praktische maatregelen uit te werken, die ook voor de private sector nuttig zijn. Soms liggen deze voor de hand. Zo is het openbare Internet weliswaar een groot goed, maar IP-netwerken kunnen tevens een besloten karakter hebben, zodat organisaties in geval van een DDOS-aanval losgekoppeld van Internet kunnen worden of dat al zijn.

Snowden Mijn uitgangspunt luidt dat, los van wettelijke en contractuele voorschriften, netwerken informatiebeveiliging ten principale een maatschappelijke verplichting betreft, die een belangrijke, zelfs essentiële bouwsteen vormt van maatschappelijk verantwoord handelen, 15 ondernemen en openbaar besturen incluis. Bescherming van de fundamentele waarden en normen van het individu als burger, werknemer, consument en patiënt, bescherming van de kritieke infrastructuren en bescherming van de continuïteit van organisaties.

12

http://en.wikipedia.org/wiki/DigiNotar

13

http://www.taskforcebid.nl/taskforce/

14

De voorgestelde richtlijn omvat een aantal maatregelen, waaronder: (i) de lidstaten moeten een strategie voor

netwerken informatiebeveiliging vaststellen en een voor netwerken informatiebeveiliging bevoegde nationale instantie aanwijzen, die over voldoende financiële en personele middelen beschikt om incidenten en risico's op dit gebied te voorkomen, beheren en bestrijden, (ii) de lidstaten en de Commissie gaan een samenwerkingsverband aan om vroegtijdige waarschuwingen over risico's en incidenten via een veilige infrastructuur te delen, met elkaar samen te werken en regelmatige peer reviews uit te voeren, en (iii) exploitanten van essentiële infrastructuur in een aantal sectoren (financiële dienstverlening, vervoer, energie, gezondheidszorg), aanbieders van diensten van de informatiemaatschappij (met name appstores, platforms voor elektronische handel, betalingsdiensten via internet, cloud computing, zoekmachines en sociale netwerken) en overheden moeten risicobeheersregelingen invoeren en ernstige incidenten met betrekking tot hun kerndiensten melden. 15

Zie ook V.A. de Pous, Netwerk- en informatiebeveiligingsrecht, 2010.


11

EXECUTIVE ANALYSIS

Een en ander klinkt serieus en sociaal betrokken, maar heeft een dergelijk weloverwogen Leitmotiv überhaupt — nog — zin? We kunnen de wereld en de informatiemaatschappij langs omslagpunten beschouwen. Begin deze eeuw was 9/11 de eerste gebeurtenis die verregaande veranderingen teweegbracht in ons veiligheidsdenken. De zomer van 2010 markeerde een nieuw omslagpunt. Met de zeer geavanceerde stuxnet worm werden 16 essentiële grenzen overschreden. Hoogwaardige, complexe elektronische technologie, ontworpen door een team van programmeurs — zoals we nu met aan zekerheid grenzende waarschijnlijkheid weten, in opdracht van en door overheidsorganisaties — nadrukkelijk gericht op het verstoren van kritische infrastructuur (een kerncentrale) in een derde land. Het Europees Agentschap voor netwerken informatiebeveiliging (ENSIA) sprak destijds van een 'paradigmaverandering in bedreigingen en de bescherming van kritische 17 infrastructuren'. Terecht. Daarna volgt 6/6, hoewel deze aanduiding voor de sinds 6 juni 2013 continue stroom onthullingen over de spionagehandel en wandel van Amerikaanse en andere overheidsorganisaties nog geen gemeen goed is. Dat komt wellicht. Net zoals de stof, opgewaaid door de onthullingen, nog in de lucht is. Het verwerken van ingrijpende gebeurtenissen kost tijd. Wat heeft zich voltrokken? Waarschijnlijk het meest opmerkelijk aan de onthullingen van klokkenluider Edward Snowden zijn schaalgrootte en reikwijdte van het centrale 'digital surveillance program' van de Amerikaanse centrale overheid, genaamd PRISM, dat sinds 2007 operationeel is. Daar komt nog bij dat, ondanks de ruime wettelijke onderzoeksbevoegdheden op grond van het federale recht, de toepasselijke rechter in 2011 vaststelde dat de National Security Agency — eveneens op grote schaal en bovendien stelselmatig — zelfs nog in strijd met het constitutionele recht heeft gehandeld. Dat bewuste spionageprogramma werd overigens in 2011 gestaakt, zo blijkt uit een rechterlijke opinie die de Electronic Frontier Fondation via de bestuursrechter boven water wist te halen. Pragmatici verbazen zich echter alleen over de verbazing. Wat hadden we anders kunnen denken, nu er grosso modo 40 duizend man van de NSA in bunkers met de meest geavanceerde en krachtige informatiesystemen around the clock werken? Dat laat onverlet dat overheidsprogrammeurs kennelijk bereid zijn om onethisch (moreel), onrechtmatig (civielrechtelijk) en illegaal (strafrechtelijk) te handelen. Zelfs betrouwbaar geachte en voor 18 het Internet cruciale beveiligingssystemen, zoals HTTPS en SSL, zijn naar verluidt gekraakt. Digitaal bezien is niets meer heilig of veilig. Ondertussen ontstaat er discussie over de vraag of het NIST — een gerespecteerde standaardisatieorganisatie die onder meer cloud computing definieerde — bewust kwetsbaarheden in encryptiestandaarden heeft opgenomen, zodat de NSA zich toegang 19 kan verschaffen. Het zal toch niet waar zijn. Google is de digitale wapenwedloop met de

16

https://en.wikipedia.org/wiki/Stuxnet

17

http://www.enisa.europa.eu/media/press-releases/stuxnet-analysis

18

http://www.digitaltrends.com/web/nsa-has-cracked-the-encryption-protecting-your-bank-account-gmail-and-

more/ 19

http://www.theregister.co.uk/2013/09/05/nsa_gchq_ssl_reports/


12

EXECUTIVE ANALYSIS

NSA aangegaan om haar klantinformatie beter te beveiligen. informatiemaatschappij figureert de overheid als vijand.

20

In de moderne

Brancheorganisatie BSA vreesde vorig jaar een legislatieve rem op cloud computing door een lappendeken van conflicterende wetgeving. Vandaag ontstaat er een beleidsmatige rem vanwege voornoemde spionagepraktijken. Marktonderzoeker Forrester becijferde inmiddels dat de onthullingen van Snowden de cloudsector voor 180 miljard dollar schade 21 berokkenen. Het is de vraag of het publiceren van transparantierapporten over verzoeken tot gegevensverstrekking van klantgegevens, de sector helpt. Waar willen we naar toe? De uitersten zijn bekend. Minimale rechten voor burgers en maximale speelruimte voor overheidsdiensten versus sterke grondrechten en proportionele strafvorderlijke bevoegdheden voor politie, justitie en geheime diensten, inclusief een juridisch systeem van checks & balances en transparantie. Moeten overheidsdiensten controleerbaar handelen en zich aan de wet houden? Horen ‘gag orders’ in een rechtsstaat thuis? De politieke belangenstrijd gaat uiteindelijk om (vermeende) veiligheid in de samenleving tegenover het welzijn van het individu.

Vertrouwen Er rijdt in Nederland een bestelbusje van een ICT-beveiligingsfirma rond met de tekst ‘Who you gonna call?’ — ludieke marketing afgeleid van de Amerikaanse blockbuster movie Ghostbusters uit 1984. Natuurlijk kan het geen kwaad dat je weet wie je moet bellen, wanneer er sprake is van een serieus probleem in het domein informatiebeveiliging. De allesoverheersende vraag luidt echter ‘Who are you gonna trust?’ Bij gebruikersorganisaties regeert veelal de angst en algemeen bezien verkeert de markt in verwarring. Overheidsdiensten tappen massaal metadata van allerhande digitale communicatie af; zelfs tot en met mobiele apps en spelletjes zoals Angry Birds. Bovendien zouden vooral de grote Amerikaanse technologiebedrijven nauw met hun nationale veiligheidsdienst samenwerken, hoewel zij de veronderstelling met klem tegenspreken. Hoe het ook zij, vergeet niet dat het bedrijfsleven zelf een gelijke datahonger heeft. Google koppelt namelijk sinds haar herziene privacyvoorwaarden van maart 2012 persoonsgegevens van Internet-gebruikers, die via allerlei verschillende Google-diensten worden verkregen. Zonder de gebruikers daarover vooraf goed te informeren en zonder daarvoor vervolgens toestemming te vragen. Verder blijkt dat Google gebruikers onvoldoende duidelijk maakt welke persoonsgegevens zij verzamelt en koppelt, en voor welke doeleinden het bedrijf dat doet. Het College bescherming persoonsgegevens spreekt van een het spinnen van een ongeautoriseerd 'onzichtbaar web van onze 22 persoonsgegevens.' Dat is wettelijk verboden. We wachten op de administratiefrechtelijke sancties, die de toezichthouder kan opleggen, waaronder een maximale geldboete van 450.000 euro. Deze en andere, voor een grootbedrijf bescheiden sommen, heeft geleid tot de roep om forse verhoging van strafmaatregelen. 20

http://www.techradar.com/news/internet/google-now-encrypting-data-to-deter-nsa-snoops-1178915

21

http://blogs.wsj.com/cio/2013/08/16/nsas-prism-could-cost-it-service-market-180-billion/

22

http://www.cbpweb.nl/Pages/pb_20131128-google-privacybeleid.aspx


13

EXECUTIVE ANALYSIS

Ondertussen rukken, ook in de Nederlandse retail, wifi-tracking en verwante technieken op. Winkeliers maken handig gebruik van het uitzenden van het unieke mac-adres van een mobiele telefoon en kunnen zo individuele mensen in hun winkel of warenhuis volgen. Frequentie van bezoek, looproute en bijvoorbeeld voor welk schap blijven ze hoelang staan. Ook bezoek aan andere vestigingen van een holding en zelfs het nauwgezet volgen van consumenten in grote winkelcentra behoort, dankzij de wondere wereld van de techniek, tot de mogelijkheden. Besef goed dat, volgens de wet, een persoonsgegeven een gegeven betreft dat herleidbaar is tot een identificeerbaar natuurlijk persoon. Daaronder valt het unieke mac-adres. Winkeliers moeten dus informeren en een opt-out bieden. De toezichthouder kijkt ernaar. Vooralsnog behoren feitelijke lapmiddelen technisch misbruik van functionaliteiten en wetsovertreding tegen te gaan. Het winkelend publiek kan wifi en bluetooth uitschakelen, terwijl in een ander kader de mensen thuis of op de zaak beter de camera van hun laptop af kunnen plakken om computercriminelen geen kans te geven illegale beeldopnames te maken. Knullig, maar wel effectief. Ergens gloort er een sprankje hoop in een maatschappij waar de mens zijn administratieve en feitelijke schaduwbeeld is geworden. In Oost-Brabant vonniste de voorzieningenrechter in een procedure over het verstrekken van parkeergegevens aan de fiscus door 23 SMSParking. Klanten van dit bedrijf kunnen op veel locaties in Nederland parkeergeld betalen via sms, Internet, smartphone of app. De Belastingdienst, die overigens al veel gegevens van gemeenten ontvangen, probeert nu ook alle parkeergegevens (kenteken, datum, locatie en tijd) van deze klanten over het jaar 2012 van SMSParking te verkrijgen. Die weigert dat op grond van privacy-inbreuk van haar klanten. Het is volgens deze rechter nodig dat er een nieuw evenwicht wordt gevonden tussen het grote belang dat de Belastingdienst (en de samenleving) heeft bij goede belastingheffing en de inbreuken op hun privacy, die de burgers voor de belastingcontroles moeten aanvaarden. In dit concrete geval worden we niet langer in spanning gehouden. ‘Iedere burger moet in beginsel een auto kunnen parkeren op een door die burger verkozen plaats in Nederland, zonder dat de overheid behoeft te weten dat hij dat doet en waarom hij dat doet’. Een uitstekende gedachtelijn die om brede doorvoering in de informatiesamenleving vraagt; ook bij de private sector.

Recht als voorschrift en sturingsinstrument Bedrijven verkeren in ronduit lastige situaties. Naast de voortdurende stroom parallelle marktveranderingen, is het vechten tegen digitale misdaad. Daarbij moeten we wel onderscheiden: cybercriminaliteit, economische spionage, militaire spionage en zelfs elektronische oorlogsvoering. Dat geldt voor een belangrijk deel evenzo voor overheidsorganisaties. Netwerk- en informatiebeveiliging is dus meer dan ooit cruciaal geworden. Ook in dit kader kan het recht een dubbelrol vervullen en acteert dan enerzijds als kaderscheppend voorschrift — dwingendrechtelijke weten regelgeving — en anderzijds als contractueel instrument om de digitale beveiliging te optimaliseren.

23

STAAT DER NEDERLANDEN V. SMS PARKING BV,


Rechtbank Oost-Brabant, 26 november 2013, ECLI:NL:RBOBR:2013:6553

14

EXECUTIVE ANALYSIS

Om het populair te duiden: vooral de legislatieve boel is flink in beweging. Dat heeft, weinig verrassend, deels met de onthullingen van klokkenluider Edward Snowden te maken. Maar laten we de periode voor 6/6 en andere zaken niet vergeten. Zo krijgt allereerst het nieuwe communautaire privacykader steeds meer vorm. Het Europees Parlement vergaderde recent over het ontwerp Algemene Verordening Gegevensbescherming, die de huidige regels uit 1995 vervangt. De rijen sluiten zich grotendeels. Als het aan de parlementariërs ligt, gaan de sancties op schending van de nieuwe wet fors omhoog. De boetes kunnen tot 100 miljoen euro oplopen. De maximumstraf moet 5 procent van de geconsolideerde — wereldwijde — omzet worden. Hiermee gaan ze nadrukkelijk verder dan de Europese Commissie, die vindt dat geldboetes niet meer dan 1 of 2 procent van de omzet behoren te bedragen. Het parlement is verder voorstander van sterke privacyrechten voor de Europese burger. Dat uit zich onder meer in brede consensus over meer zeggenschap over persoonsgegevens. De burger dus aan het roer. Hij moet meer controle hebben over zijn persoonsgegevens, onder andere door vooraf toestemming voor gebruik te geven. Bovendien is ook het Europees Parlement voorstander van een ‘recht om vergeten te worden’. Op grond hiervan heeft de burger het recht om vernietiging van zijn informatie te vorderen. Het laatste woord is echter aan de Europese ministerraad. Ondertussen waarschuwt de Nederlandse toezichthouder, het College bescherming persoonsgegevens, terecht voor de risico’s van de toverformule big data. Uit de enorme berg data kunnen bedrijven en overheden verbanden en behoeften destilleren, waardoor zij toekomstig gedrag van mensen kunnen voorspellen, zónder dat mensen dit zelf ook maar kunnen vermoeden. Organisaties kunnen hierdoor mensen anders behandelen dan anderen, hetgeen een grote impact op iemands leven kan hebben. Let op. De vaak hooggespannen, commerciële verwachtingen van het verzamelen, koppelen en analyseren van gigantische hoeveelheden gevarieerde gegevens komen alleen uit, wanneer de verwerking van persoonsgegevens rechtmatige plaatsvindt. Dan kan grofweg op twee manieren. Of de persoonsgegevens worden onomkeerbaar geanonimiseerd of verantwoordelijke en verwerker houden zich onverkort aan de dwingende wettelijke voorschriften van de privacywetgeving. Dat betekent onder meer voldoen aan de informatieplicht (individuen goed informeren over wat er met hun persoonsgegevens gebeurt) en de toestemmingsplicht (individuen voorafgaand om toestemming vragen). De praktijk zal het leren. Wat gebeurt er op contractueel vlak? Te weinig. Weliswaar oogt er een omslag in het denken, waardoor privacybescherming en informatiebeveiliging voor sommige bedrijven langzaam van een last in een lust veranderen, maar die ontwikkeling krijgt nog onvoldoende juridisch beslag in algemene voorwaarden en andere overeenkomsten. Anders gezegd: een CEO zal zich haasten te verklaren dat privacy & security zeer hoog in het vaandel staan, terwijl handelspraktijk en juridische voorwaarden deze stelling niet of onvoldoende staven. Of het nu gaat om de inzet van cookies op websites of het koppelen van allerlei bestanden. Niet het voldoen aan weten regelgeving creëert economische waarde, maar vooral klanten meer rechten geven dan die waar ze wettelijk recht op hebben of wat branchegebruikelijk is. Dat levert pas echt voordeel op en betreft een toegevoegde waarde in de marketingmix. Entrepreneurs: leg de lat dus hoger.


15

EXECUTIVE ANALYSIS

Hoe mijn hart bloedt Zelden kwam iemand op zo’n treffende naam voor een technische omissie, zo die überhaupt hiervoor worden bedacht. Heartbleed: een softwarefout met gevolgen van ongekende schaalgrootte. De beveiligingssoftware OpenSSL bevatte twee jaar lang een zeer ernstige bug, waardoor zelfs versleutelde data, zoals wachtwoorden, creditkaartnummers en accountgegevens, door hackers konden worden verkregen. Zonder een spoor na te laten. De cruciale 'kwetsbaarheid' maakte tweederde van het immense World Wide Web kwetsbaar en toont opnieuw aan dat Internet met digitale touwtjes aan elkaar hangt. Maar en passant ook dat programmeren bij voorkeur als een strak-geleid en hiërarchisch proces moet plaatsvinden. Vertrouwen op vrijwilligers met hun peer review is geen structurele aanpak. Laat dat voor eens en altijd duidelijk zijn. 24

Het was de Delftse promovendus Ruben van Wendel de Joode die in september 2005 stelde dat — het gebrek aan — maakbaarheid van een open source-softwaregemeenschap een probleem vormt. Vrijwilligers die samen aan een project werken, leunen in theorie sterk op peer review: de programmeurs beoordelen elkaars werk. Een vorm van zelfregulering. Voorstanders van open source software roemen de modus operandi. De kwaliteit zou er door stijgen. Maar criticasters wijzen telkens op het feit dat computerprogramma’s van enige omvang altijd onderhoud nodig hebben en vaak ook een routekaart voor de toekomst. Deze processen vereisen sturing en beheer (en natuurlijk voldoende handjes die programmeren en onverkort zorgvuldig testen). De vraag luidt: wie doet wat? Everybody’s job is not anybody’s job, zo blijkt overduidelijk uit de OpenSSL-bug. Het oorspronkelijke open source-gedachtengoed (free software) gaat uit van tweerichtingsverkeer: leveranciers worden klant en klanten leverancier. Daar is in de praktijk weinig van terechtgekomen. Nu klinkt de roep luider dat bedrijven, die het meest van open source, zoals OpenSSL, hebben geprofiteerd (Google, Facebook, c.s.) meer moeten bijdragen. Dat gebeurt sinds kort in ieder geval financieel. Indien organisaties de software niet bijwerken en de getroffen beveiligingscertificaten niet intrekken, kunnen zij in overtreding van artikel 13 van de Wet bescherming persoonsgegevens (Wbp) zijn, aldus waarschuwt onze toezichthouder, het College bescherming persoonsgegevens. Voor wie na al die jaren — om precies te zijn: sinds 1 september 2001 — het nog niet weet: dit centrale wetsartikel ziet toe op de verplichting tot het nemen van 'passende technische en organisatorische maatregelen' om persoonsgegevens te beveiligen tegen 'verlies of tegen enige vorm van onrechtmatige verwerking'. Ook het wijzigen van inloggegevens kan hiertoe behoren. Dat brengt ons automatisch naar de relatie tussen datalek en wettelijke meldplicht, waar de 25 regering aan werkt. Na forse kritiek van de Raad van State op het wetsontwerp , wordt nu voorgesteld om de omschrijving van de reikwijdte van de meldplicht in het eerste lid van

24

http://www.tbm.tudelft.nl/en/about-faculty/departments/multi-actor-systems/polg-section/our-granted-

phds/ruben-van-wendel-de-joode/summary-dissertation-ruben-van-wendel-de-joode/ 25

http://www.raadvanstate.nl/adviezen/samenvattingen/tekst-samenvatting.html?id=183&summary_only= Op 17 juni

2013 is het wetsvoorstel meldplicht datalekken bij de Tweede Kamer ingediend (33.662).


16

EXECUTIVE ANALYSIS

het nieuwe artikel 34a Wbp aan te passen, en om vervolgens door aanpassing van het 26 zesde lid van dit artikel de reikwijdte van de meldplicht sterk in te perken. Wat betekent dit? Kort gezegd, alleen inbreuken waarvan de ernstige nadelige gevolgen voor de bescherming van de verwerkte persoonsgegevens volstrekt evident zijn, moeten straks worden gemeld aan de toezichthouder. Daarbij blijven dus andersoortige datalekken in beginsel onder de radar. Een inbreuk met ernstige nadelige gevolgen voor de bescherming van de verwerkte persoonsgegevens, moet daarnaast ook aan de betrokkene (u en ik) worden gemeld, wanneer de inbreuk waarschijnlijk ongunstige gevolgen zal hebben voor diens persoonlijke levenssfeer. Zijn we verheugd over deze geclausuleerde — afgezwakte — meldplicht? Het betekent in ieder geval dat de verantwoordelijke (de partij die de persoonsgegevens verwerkt, zoals bank of cloud service provider) in voorkomende gevallen twee criteria moet beoordelen. Zijn de ernstige gevolgen van een datalek volstrekt evident en heeft de inbreuk waarschijnlijk ongunstige gevolgen voor het individu? Volgens de regering beogen de wijzigingen een beter evenwicht tussen enerzijds de belangen, die zijn gediend met een goede bescherming van persoonsgegevens en anderzijds de administratieve lasten en nalevingskosten, die met de introductie van wettelijke meldingsverplichtingen gepaard gaan. Wij stellen dat de wijzigingen tot veel discussie zullen leiden.

De opmars van strafrecht en strafvordering in het digitale domein Volgens de Washington Post tapte de NSA de afgelopen jaren in hoofdzaak 'gewone' Internet-gebruikers massaal af en sloeg vervolgens hun persoonsgegevens (metadata) op. Het leeuwendeel van de individuen in kwestie (89 procent) werd niet van een strafbaar feit verdacht. De krant onderzocht 22.000 afluisterrapportages met daarin ongeveer 160.000 registraties van telecommunicatieverkeer, uitgevoerd met 11.400 gebruikersaccounts. Klokkenluider Edward Snowden leverde de bestanden aan. Schleppnetzfahndung mag dan van ‘Duitschen bloed’ zijn — § 163d Strafprozessordnung — het juridische begrip verwerd tegen het einde van de twintigste eeuw tot een algemene term voor een bijzondere opsporingsmethode door de inzet van matching van en mining in databestanden met persoonsgegevens van in beginsel niet-verdachte personen. Samen met de verregaande bewaarverplichtingen voor de telecomsector van metadata van klanten (door de communautaire rechter onrechtmatig verklaard) en soms verregaande inzagerechten van overheidsorganisaties (in allerlei landen) zet in ieder geval de generieke inzet van Schleppnetzfahndung (in dit geval door de VS) een essentieel rechtsbeginsel zwaar onder druk. Niemand is immers zomaar of per definitie een verdachte. Hiermee dreigt de onschuldpresumptie van het strafrecht te verdwijnen. In de Nederlandse rechtstaat geldt gelukkig nog altijd dat uitsluitend diegene als verdachte wordt aangemerkt 'te wiens aanzien uit feiten of omstandigheden een redelijk vermoeden van schuld aan eenig 26

http://www.rijksoverheid.nl/documenten-en-publicaties/brieven/2014/04/17/nota-van-wijziging-bescherming-

persoonsgegevens-33662.html


17

EXECUTIVE ANALYSIS

strafbaar feit voortvloeit', aldus artikel 27, lid 1 Wetboek van Strafvordering. Maar persoonsgegevens van Nederlanders bevinden zich tevens buiten de landsgrenzen. Rusland heeft inmiddels wettelijk verplicht dat persoonsgegevens van haar staatsburgers alleen in het vaderland mogen worden verwerkt; een exportverbod dus. Ondertussen moest de Haagse rechtbank zich buigen over de geruchtmakende zaak tussen de Staat en een aantal individuen, de Nederlandse Vereniging voor Strafrechtadvocaten, de Nederlandse Vereniging van Journalisten, de vereniging Internet Society Nederland en de 27 stichting Privacy First. De uitkomst? De uitwisseling van telecommunicatie tussen de Nederlandse Algemene Inlichtingen- en veiligheidsdienst (AIVD) en Militaire Inlichtingenen Veiligheidsdienst (MIVD) en de Amerikaanse National Security Agency (NSA) kan door de beugel. Het zwaarwegende belang van de nationale veiligheid geeft hier de doorslag. Eisers hebben beroep aangetekend. Nog meer jurisprudentie. Stille sms (nep-berichten) en een IMSI-catcher (nep-zendmasten) mogen worden gebruikt bij de opsporing van een verdachte. Wanneer deze technische opsporingsmiddelen slechts beperkt inbreuk maken op de persoonlijke levenssfeer van een verdachte dan is er voor de inzet geen aparte wettelijke regeling nodig, aldus de Hoge 28 Raad. Daarbij weegt tevens mee dat met toestemming van de officier van justitie met een IMSI-catcher het gsm-toestel van een verdachte kan worden getraceerd. Zo kon onder meer een verdachte van een poging tot moord worden aangehouden. Wat de verdachten deden of zeiden kon met behulp van deze middelen niet worden waargenomen. Het hof kon dus in deze zaken inderdaad oordelen dat met deze middelen slechts een beperkte inbreuk werd gemaakt op de privacy van de verdachten. Ook omdat de middelen slechts voor korte duur werden ingezet. Indien met dergelijke technische middelen een compleet beeld zou ontstaan van het persoonlijk leven van een verdachte kan de inzet ervan wel degelijk onrechtmatig zijn, aldus redeneert het hoogste rechtscollege. De visie bevestigt de trend. Beperkte inbreuk op onze persoonlijke levenssfeer is toelaatbaar; niet alleen bij de opsporing van strafbare feiten, maar bijvoorbeeld tevens op het werk of in de openbare ruimte. De spanning tussen opsporing van strafbare feiten (strafrecht) en handhaving van de openbare orde (bestuursrecht) enerzijds en het grondrecht bescherming van de persoonlijke levenssfeer (privacy) anderzijds, is in binnenen buitenland nogal volatiel. Het kan dus verkeren. Zo oordeelde de Amerikaanse Surpreme Court unaniem dat het doorzoeken van smartphone of tablet door de politie alleen mag op 29 basis van doorzoekingsbevel ; een ronduit belangwekkend arrest van het doorgaans conservatieve hoogste rechtscollege. Maar de bottom-line luidt, algemeen bezien, dat strafrecht en strafvordering onverkort terrein winnen: meer strafbare feiten, zwaardere sancties en meer bevoegdheden voor politie en justitie.

27

NEDERLANDSE VERENIGING VAN STRAFRECHTADVOCATEN C.S. V. DE STAAT DER NEDERLANDEN,

Rechtbank Den Haag, 23 juli 2014,

ECLI:NL:RBDHA:2014:8966 (eisers vormen de coalitie Burgers tegen Plasterk). 28

OPENBAAR MINISTERIE V. VERDACHTE(N) (verschillende

29

RILEY V. CALIFORNIA,

zaken), Hoge Raad, 1 juli 2014, onder meer ECLI:NL:HR:2014:1562

CERTIORARI TO THE COURT OF APPEAL OF CALIFORNIA, FOURTH APPELLATE DISTRICT, DIVISION

ONE, No. 13–132. Argued April 29, 2014—Decided June 25, 2014


18

EXECUTIVE ANALYSIS

Juridische netwerken informatiebeveiligingstrends ICT wordt al jaren in hoog tempo juridisch genormeerd. Wetgevers — nationaal en uit Europa — hebben zich vanaf de jaren negentig met verve op de elektronische snelweg gestort. Ieder facet van de wondere wereld van de digitale technologie, elektronische gegevensverwerking en informatiemaatschappij verdient kennelijk een eigen, speciaal rechtskader; afwijkend van de regels voor de ouderwetse 'stenen' samenleving. Chips, software, databanken, persoonsgegevens, elektronische marketing, handel en identiteit, telecommunicatie in soorten en maten, en nog veel meer, zoals nieuwe strafbare feiten, uitgebreide bevoegdheden voor politie en justitie en regels voor eGovernment. Zoals ICT-ers veelal beweren dat je nooit genoeg softwarecode kunt hebben, zo stillen politici hun honger met telkens nieuwe weten regelgeving voor het digitale domein. Inmiddels zijn we op een moment in de geschiedenis aangekomen waar alles op de schop moet, althans zo lijkt het, en bovendien rap. Veel legislatieve ontwikkelingen raken informatiebeveiliging. Zo gaat Europa volgend jaar de Algemene Verordening Gegevensbescherming vaststellen, waardoor onze Wet bescherming persoonsgegevens ingetrokken wordt en er in de interne markt een uniform regime komt voor de verwerking van persoonsgegevens. Met rechtstreekse werking en dwingend van karakter. Geen nationale afwijking mogelijk, inclusief de beoogde beveiligingsvoorschriften, meldplichten en zware sancties bij overtreding. Toch lanceerde de PvdA — die eerdere tekende voor de omstreden uitbreiding van het spamverbod tot de zakelijke markt — recent ineens het plan voor een 'allesomvattende 30 datawet'. De socialisten pleiten goed beschouwd voor een multidisciplinair wondermiddel. Moderne en transparante wetgeving, welke Nederland als vestigingsland voor internationaal opererende ondernemingen op de kaart moet zetten en burgers inzicht geeft in de spelregels voor het opsporen en bestrijden van cybercrime. Dat voorstel heeft eerder de spreekwoordelijke gelijkenis van een meerkoppige draak. Bij nader inzien is de aanjager hiervan de geconsolideerde ICT-infrastructuursector; zichzelf positionerend als de derde mainport te lande. Modernisering moet wetgeving 'werkbaar' maken, zo blijkt uit een geschrift van de kersverse Stichting Digitale Infrastructuur Nederland. Volgens deze organisatie worstelen bedrijven met een Babylonische spraakverwarring over in wetgeving gecodificeerde ICT-gerelateerde termen en begrippen, zoals 'Internet service provider', 'diensten van de informatiemaatschappij' en meer. Verder 31 gaat de aandacht uit naar netneutraliteit en een heus keurmerk voor het MKB. Ondertussen past de regering de bevoegdheden van veiligheidsdiensten aan. Zowel AIVD en MIVD mogen straks ook het kabelverkeer aftappen, zelfs onder voorwaarden in bulk; ongericht dus. Hiertoe wordt de Wet op de inlichtingenen veiligheidsdiensten uit 2002 32 aanpast.

30

http://tweakers.net/nieuws/99875/pvda-komt-met-voorstel-voor-alomvattende-datawet.html

31

http://dinl.nl/DINL_Visiestuk_Datawet.pdf

32

http://www.rijksoverheid.nl/documenten-en-publicaties/kamerstukken/2014/11/21/kabinetsstandpunt-herziening-

interceptiestelsel-wiv-2002.html


19

EXECUTIVE ANALYSIS

In samenhang met al dat wetgevingsgeweld constateren we tenminste twee majeure problemen. Een algemeen vergezicht voor onze informatiesamenleving, gefundeerd op stevige uitgangspunten en kernwaarden, ontbreekt bij wetgever, politiek en openbaar bestuur. Daarnaast doen een aanzienlijke hoeveelheid en snel in omvang toenemende, uiteenlopende speciale wetgeving (nieuw of telkens wijzigend, zoals de cookiewet) en allerlei andere juridische veranderingen die zich parallel voltrekken (alles gebeurt nu), alarmbellen rinkelen. Wie durft er nog op naleving te rekenen? En dat terwijl regulatory compliance in de informatiemaatschappij toch al onder druk staat. Niet alleen door burgers die voortdurend uit illegale bron illegaal downloaden. Ook marktpartijen lappen regels aan hun laars. Denk bij e-retailing aan het niet voldoen aan allerlei wettelijke informatieverplichtingen, onvoldoende beveiliging van persoonsgegevens, inclusief financiële transacties, onjuiste prijsstelling en geen of te late terugbetaling van retourzendingen van op Internet gekochte producten. Of app developers die grootschalig privacy- en beveiligingsregels schenden. Maar de meest spannende juridische trend betreft waarschijnlijk de algemene onvrede bij gebruikersorganisatie en individuele gebruiker, zoals de consument. Keer op keer lekken informatiesystemen informatie door zowel menselijk en technologisch falen als criminaliteit. Dat gaat ongetwijfeld tot meer aansprakelijkheidsclaims leiden. Terecht. ICT betreft geen sinecure, maar vormt een cruciale geconsolideerde technologie voor het 'levensbloed' van iedere organisatie, maatschappij als geheel en natuurlijk de burger. Verbeter de digitale kwaliteit, borg deze normen in een juridisch raamwerk en handhaaf strikt. Anders gaat de wereld aan ICT ten onder.

Naar een coördinerend minister voor veiligheid en privacy Incidenten en legislatieve voorstellen in het domein veiligheid en privacy volgen elkaar met lichtsnelheid op. Of beter, kruisen voortdurend. De informele slogan van de informatiemaatschappij — never a boring day — verandert. Dagen worden angstaanjagend. De Sony Pictures Entertainment hack in de VS, Charlie Hebdo in Parijs, de superkraak bij allerlei banken (nee New York Times: Nederlandse banken zijn niet getroffen). Dat is andere koek dan de oprukkende digitalisering met robocars waarin Nederland internationaal wil 33 excelleren. Of de overheid die uit oogpunt van kostenbesparing vooral elektronisch met ons wil communiceren. Ondanks alle coole cases uit het walhalla van vandaag en de hooggespannen verwachtingen voor morgen, weten we al jaren diep in ons hart dat de moderne samenleving ronduit kwetsbaar is. Uitval van een back-up systeem van de Nederlandse Spoorwegen te Utrecht creëert een dag lang nationale railvervoerchaos. Vervelend, doch in perspectief bezien, slechts 'onschadelijk' leed. Naast de notoire maatschappijbrede afhankelijkheid van ICT rijst de ster van de informatietechniek als scherpgeslepen aanvalswapen. Uiterst geavanceerde computercriminaliteit, door radicalen gedreven onlineterrorisme en elektronische oorlogsvoering tussen soevereine staten. De VS tuigt een cyber 34 command op van 6000 man sterk. You ain't seen nothing yet. 33

https://www.rijksoverheid.nl/actueel/nieuws/2015/01/23/nederland-wordt-testland-voor-zelfrijdende-voertuigen

34

Zie V.A. de Pous, Cloud computing en het federale Amerikaanse overheidsbeleid, Amsterdam, 2015.


20

EXECUTIVE ANALYSIS

Wat moet en kan het recht ermee? De spelregels van de samenleving en zelfs de basisprincipes in de vorm van grondrechten staan onder druk. Van de uitvoering van het sociale grondrecht recht op arbeid kan de facto weinig meer terechtkomen als aanstormende robotiseringsgolf grootschalig taken van de mens overneemt. Wat dan nog? Tenminste lagere loonbelastinginkomsten van de Staat? Alles draait natuurlijk om het cruciale grondrecht bescherming van de persoonlijke levenssfeer, dat tot de onthullingen van Edward Snowden voornamelijk in de schaduw van het grondrecht op vrijheid van meningsuiting stond. Overigens onterecht. In april 2014 bepaalde het Europees Hof van Justitie dat de algemene bewaarplicht van zogeheten verkeersgegevens in strijd is met het fundamentele recht op de bescherming 35 van persoonsgegevens, zoals verankerd in Europees recht. Het College bescherming persoonsgegevens blijft er op hameren dat het bewijs voor de noodzaak van deze algemene bewaarplicht nog altijd — zelfs in bange dagen — ontbreekt, gelijk de Nederlandse Staat uit oogpunt van criminaliteits- en terrorismebestrijding coûte que coûte volhardt in dit wettelijk voorschrift voor telecomaanbieders. Dat wringt behoorlijk. Het is dan ook de hoogste tijd dat Nederland een constitutioneel hof krijgt, zoals Duitsland dat sinds jaar en dag kent. Wetgeving kan dan aan fundamentele rechten worden getoetst. Nog een juridisch probleem. De informatiemaatschappij toont zich mede ontwrichtend. Niet zelden worden dankzij ICT traditionele kaders doorbroken of grenzen vervaagd. Daar worstelt het recht mee, bijvoorbeeld wanneer het persoonlijke zich met het zakelijke vermengt. Denk aan nieuwe manieren van werken of de ontluikende deeleconomie. Rechtssubjecten zoals u en ik, hebben immers diverse afgebakende juridische hoedanigheden met corresponderende rechtskaders: burger, consument, iemand die handelt uit hoofde van beroep of bedrijf, patiënt en wat dies meer zij. Nu verwachten Nederlanders dat de overheid hun online-privacy beschermt (en kennelijk ongeacht hun hoedanigheid), zo luidde een verrassende uitkomst van een representatief onderzoek, in opdracht van de Russische softwareproducent Kaspersky Lab gehouden. Daarvoor ontbreekt een directe juridische grondslag. Sterker nog, de regering zet juist zwaar in op een kleinere overheid en kiest bovendien voor een participatiemaatschappij. Dat beleid kan ter zake worden gewijzigd. Hevel veiligheid, de digitale incluis, van het Ministerie van Veiligheid en Justitie over naar een nieuw departement: het Ministerie van Veiligheid en Privacy. En wellicht hoort Defensie daar ook thuis. Of volg een eenvoudiger route. Laat bestaande structuren bestaan en plaats daarboven een coördinerend Minister van Veiligheid en Privacy. Met een zwaar mandaat en — in schril contrast met de Digicommissaris — stevige wettelijke borging.

De luidde politieke roep om samenwerking Het beeld toont zich duaal. Te gekke vindingen enerzijds. De techniek dendert voort met draagbare technologie, robotisering, virtuele valuta, big data, The Internet of Things en wat dies meer zij, gecomplementeerd met hooggespannen verwachtingen. Anderzijds tekenen massale inbreuken op persoonsgegevens de tijdgeest. Criminelen, veiligheidsdiensten, toezichthouders, onderzoekers, maar tevens mismanagement en gammele 35

DIGITAL RIGHTS IRELAND EN SEITLINGER E.A.,


Europese Hof van Justitie, 8 april 2014, zaken C-293/12 en C-594/12.

21

EXECUTIVE ANALYSIS

informatietechniek, leggen telkens, maar op uiteenlopende wijze, de vinger op de zere plek. Een maatschappij met een fragiel, ronduit kwetsbaar karakter. Quo Vadis? Terwijl overheidsorganisatie en bedrijf graag zoveel mogelijk gegevens willen registreren, vastleggen, bewaren en analyseren, is het individu uit oogpunt van informatiebeveiliging en privacybescherming waarschijnlijk beter af met minder gegevensverwerking. De kans op dataminimalisatie lijkt echter klein. Wat echter sowieso behoort plaats te vinden, is de feitelijke en juridische borging — en natuurlijk naleving — van hoge kwaliteitsnormen voor elektronische technologie en infrastructuur. Als de Nederlandse overheid de veiligheid en betrouwbaarheid van elektronisch stemmen nog altijd niet kan garanderen, waarom zouden andere toepassingen dan wel veilig zijn? Hoe het ook zij, ICT — tegenwoordig vaak met cyber aangeduid — staat volop in de belangstelling. Geen wonder dat onze ministerpresident op dezelfde dag zowel de Global Conference on CyberSpace 2015 (GCCS2015) als de AutoRAI opende. Twee totaal verschillende evenementen, maar bij nader inzien met een onlosmakende verbindende factor. Zelfs letterlijk. Hoogwaardig-technologische, zelfrijdende auto's bewegen zich op de openbare weg en in cyberspace. Dat kan uiteindelijk alleen veilig plaatsvinden, wanneer de netwerken informatiebeveiliging op orde is. De hamvraag: wie is waarvoor verantwoordelijk? Nederland geeft stoer en onvoorwaardelijk aan dat het voorstander is van een open, vrij en veilig Internet. In de aanloop naar de GCCS2015 luidde de gedachte van de regering: 'Door te investeren in internationale samenwerking tussen publieke en private partijen verbetert Nederland niet alleen de eigen digitale veiligheid, maar worden ook kansen gecreëerd voor economische groei en innovatie.' Maar zonder duidelijke taken en verantwoordelijkheden van partijen, gecomplementeerd met een gedetailleerde marsroute voor deze beoogde co-creatie, verandert zo'n politieke verklaring nooit in een zichzelf waarmakende voorspelling. Digitale veiligheid begint weliswaar bij de ICT-sector, of juister gezegd, bij degenen die de informatietechniek ontwikkelen. Toch worden kleine stappen bij gebruikers vaak over het hoofd gezien. Om een dwarsstraat te noemen. Het Witte Huis komt pas nu op het idee de 1200 openbaar toegankelijke websites van federale overheidsorganisaties te voorzien van 36 de standaard Hypertext Transfer Protocol Secure of HTTPS. Veelal wordt het minder veilige HTTP ingezet, hoewel er ook uitzonderingen zijn. HealtCare.gov, FTC.gov en bijvoorbeeld de CIA, die sinds 2006 het verkeer van en naar haar site versleutelt. Hoe paradoxaal het vanuit deze kant van de Atlantische oceaan wellicht mag klinken, het ‘HTTPS-Only Standard’-beleid moet burgers beschermen tegen online eavesdroppers. Ondanks vage aankondigingen neemt politieke aandacht voor samenwerking in het domein digitale veiligheid toe. Met alle diametrale gevolgen van dien. Zo wil de Amerikaanse overheid medewerking van Apple, Google en Microsoft wanneer het gaat om het verkrijgen van toegang tot versleutelde informatie van hun klanten. Tegelijkertijd horen we het pleidooi van president Obama. Overheid en Silicon Valley moeten samen optrekken om de kwetsbaarheid van de informatiemaatschappij terug te dringen. Het Witte Huis zegt klip en klaar dat zij het niet alleen kan. Informatie delen is een van de belangrijkste middelen, maar vormt tegelijkertijd de grootste drempel. 36

Zie V.A. de Pous, Cloud computing en het federale Amerikaanse overheidsbeleid, Amsterdam, 2015.


22

EXECUTIVE ANALYSIS

De president heeft het voortouw genomen en nieuwe regelgeving biedt de overheid meer ruimte voor het delen van vertrouwelijke informatie over digitale aanvallen met het bedrijfsleven. En vice versa? In Nederland was Rabobank bezorgd dat informatie die zij deelde in het Nationaal Cyber Security Centrum met een beroep op de Wet openbaarheid van bestuur kan worden opgevraagd door derden, waardoor de beveiligingsmaatregelen 37 van de bank mogelijk worden verzwakt.

Meldplichtklaar? Trendy ja, nieuw nee. De juridische figuur van een melding van een vaststaande gebeurtenis of onzeker voorval is zo oud als de weg naar Rome. Het begon ooit met afspraken tussen partijen vastgelegd in een overeenkomst. Zo kan een contract bepalen dat wanneer er dit gebeurt of een partij dat wil, er een informatieplicht ontstaat ten overstaan van wederpartij of derde. Wellicht vormen verzekeringsovereenkomsten het ultieme voorbeeld. Schade moet eerst gemeld worden, alvorens een claimprocedure überhaupt start. Maar zelfs in de precontractuele fase hebben partijen een verregaande informatieplicht omtrent zo ongeveer alles wat belangrijk is met het oog op de beoogde overeenkomst, die ze met elkaar willen aangaan. Dat loopt nogal eens fout bij softwareontwikkeling op maat. Nu zien we in toenemende mate de wetgever naar de meldplicht grijpen. Ook die ontwikkeling is nader beschouwd niet nieuw. Wettelijke meldplichten bij schending van staatsgeheimen, bij het verrichten van ongebruikelijke financiële transacties en bijvoorbeeld bij openbaarmaking van koersgevoelige informatie van ten beurze genoteerde bedrijven stammen uit de vorige eeuw. Van recentere datum zijn daarentegen allerlei wetsvoorstellen — van Nederlandse of Europese origine — met betrekking tot het voorschrijven van meldingen bij ICT-gerelateerde incidenten. Van storing tot en met het doorbreken van beveiliging. Een heuse trend. De Eerste Kamer nam onlangs het wetsontwerp meldplicht datalekken aan. Verantwoordelijken, dat zijn overheidsorganisatie en bedrijf die persoonsgegevens verwerken zoals personeelsinformatie en klantgegevens, moeten een ‘lek’ gaan melden. Hierbij gaat het om een incident waarbij kans op verlies of onrechtmatige verwerking van persoonsgegevens bestaat. Maximale boete voor verzuim: tot zegge en schrijve 820.000 euro of tien procent van de omzet Dat liegt er niet om. Dan ligt het voorstel voor de Wet melding inbreuken elektronische informatiesystemen ter tafel. De sleutelbepaling betreft (in tegenstelling tot de Wet meldplicht datalekken) geen 'brede' (voor iedereen) maar 'smalle' meldplicht, uitsluitend voor aanbieders van producten of diensten waarvan de beschikbaarheid of betrouwbaarheid van vitaal belang is voor de Nederlandse samenleving, en alleen als de inbreuk tot gevolg heeft of kan hebben dat die beschikbaarheid of betrouwbaarheid in belangrijke mate wordt onderbroken. Nog een legislatieve blauwdruk. De Europese Commissie werkt sinds 2012 aan de Algemene Verordening Gegevensbescherming (AVG), die uiterlijk volgend jaar onze Wet bescherming persoonsgegevens vervangt. Raad eens. Deze regeling kent tevens een meldplicht en eveneens de geldboete ter grootte van maximaal 820.000 euro. Dat belooft wat met big data. 37

http://marketupdate.nl/dossiers/rabobank-dossiers/informatie-over-de-rabobank-moet-staatsgeheim-zijn/


23

EXECUTIVE ANALYSIS

Meldplichten beogen veelal preventie. Het voorkomen en beperken van schade of misbruik. Sommigen verwachten mede een maatschappelijke gedragsverandering, bijvoorbeeld dat overheidsorganisatie en bedrijf hun ICT beter gaan beveiligen. Aangescherpte sancties en strikter toezicht fungeren als modern zwaard van Damocles. Hier regeert de angst. Vandaag zeggen we daarnaast dat transparantie een groot goed is en onmisbaar voor het scheppen van vertrouwen in het maatschappelijk verkeer. Daarin past inderdaad informatievoorziening in soorten en maten, al dan niet van dwingendrechtelijke aard. Meldplichten voor ICT-gerelateerde incidenten vinden in hun grondslag in verschillende rechtsgebieden, zoals privacyrecht en telecommunicatierecht. Sommigen zijn smal, anderen breed. De ene keer moet er uitsluitend aan een van de toezichthouders worden gemeld — College bescherming persoonsgegevens, Agentschap Telecom of National Cyber Security Centrum — en andere keer mede aan betrokkene (degene om wiens persoonsgegevens het gaat). Bovendien volgt wetgeving elkaar soms snel op. De zojuist vastgestelde meldplicht lekken van persoonsgegevens, is zelfs nog niet van kracht maar zal snel het veld ruimen voor de beoogde pan-Europese privacyregeling met directe werking. Dit mag niemand verassen. Verwarring en aansprakelijkheid trekken in het digitale meldplichtdomein gelijk op met de stijging van de verplichtingen en met de verhoging van administratiefrechtelijke boetes. Wie weet immers inhoudelijk wanneer er precies wat moet worden gemeld en formeel op welke wijze en aan welke partij? En met de exponentiële stijging van geldboetes, stijgt de kans op aansprakelijkheid door verzuim. Geen prettig vooruitzicht.

Safe-Harbour: back-to-basics óf back-to-school? Wat krijg je als je recht, politiek en economie samen beschouwt in het perspectief van grensoverschrijdende handel? Gedoe, dat zijn bron heeft in nationaal belang. Zo wijzen sommigen er fijntjes op dat de Europese Commissie voor de tweede maal fors wordt teruggefloten door de rechter. Eerst verklaarde het Hof van Justitie van de Europese Unie de Richtlijn gegevensbewaring uit 2006 met terugwerkende kracht ongeldig wegens schending van grondrechten (Digital Rights Ireland en Seitlinger arrest). Dat was op 8 april 2014. Nu haalt de rechter een streep door het Safe Harbour verdrag tussen de Europese Commissie en de Verenigde Staten uit 2000, hetgeen mogelijk 4000 plus Amerikaanse bedrijven raakt die zich hierbij hebben aangesloten — multinationals en vooral kleinere 38 ondernemers. Het gaat nader bepaald om afspraken dat trans-Atlantische doorgifte van persoonsgegevens een rechtmatige basis geeft, ondanks het gemis aan adequate rechtsbescherming in de VS voor Europeanen. Goed beschouwd is Safe Harbour dan ook, in ieder geval mede, een handelsverdrag, bedoelt om het grensoverschrijdende zakendoen tussen de beide regio's makkelijker te maken. Maar op 6 oktober 2015 achtte de rechter het door Safe Harbour geboden beschermingsniveau toch van onvoldoende niveau. (En tevens dat een nationale privacytoezichthouder altijd individuele zaken in behandeling moet nemen ondanks dat er een verdrag van kracht is. De toezichthouder is de baas en niet de Europese Commissie.) 38

SCHREMS V. DATA PROTECTION COMMISSIONER,


Hof van Justitie van de Europese Unie, 6 oktober 2015, C-362/14

24

EXECUTIVE ANALYSIS

Enerzijds vindt er namelijk in de VS een grootschalige verzameling van persoonsgegevens van Europese burgers plaats, terwijl anderzijds de Europese burgers geen aanspraak op een effectieve dataprotectie kunnen maken. Dank je wel, klokkenluider Edward Snowden, voor de onthullingen die twee jaar na dato nadrukkelijk in de internationale samenleving blijven doorwerken. En hoe. Eerder luidden de Europese privacytoezichthouders met regelmaat de noodklok. Doorgifte van persoonsgegevens naar de VS vraagt om extra waarborgen. Dat vindt de rechter nu dus ook en privacyvoorvechters hebben de vlag uithangen. Het sentiment aan de overzijde van de oceaan toont anders. Begin dit jaar haalde president Obama, doorgaans terughoudend van aard tenzij het om terrorisme of nationaal vuurwapenbeleid gaat, opmerkelijk uit. Europa kent geen succesvolle internationale ICTbedrijven van enige omvang en pakt op deze grond de Amerikaanse concurrentie juridisch aan. Handelspolitiek-getinte wetgeving en rechtspraak werpen ten onrechte drempels op voor bedrijven uit de Verenigde Staten die zaken willen doen in de Europese markt, zo luidt 39 de niet-malse kritiek. Op die stelling dingen we af. Het communautaire mededingingsrecht en haar toezichthouder (de Europese Commissie) zijn weliswaar vaak strikt, maar tevens allerlei Europese bedrijven krijgen de wind van voren. Daarnaast gaat het natuurlijk om het recht op privacy. Europa beschouwt dat als een grondrecht en heeft de bescherming van de persoonlijke levenssfeer dan ook als zodanig gecodificeerd. Hier gelden nu eenmaal onze regels, net zoals de Verenigde Staten eigen weten regelgeving heeft (die soms buiten het grondgebied ook jurisdictie kent, zoals de omstreden Patriot Act). Vervolgens gaat het om de hamvraag wat de consequenties van het arrest van het Hof van Justitie van de Europese Unie voor Nederlands ICT-gebruikers zijn in hun hoedanigheid als klant van een Amerikaanse leverancier en misschien wel in het bijzonder, een cloudleverancier. Veel draait in dit kader om de samenwerkende Europese privacytoezichthouders. Die gaan eerst hun beleid bepalen. Het ligt voor de hand dat vooral kleinere leveranciers — die immers doorgaans geen goedgekeurde EU-privacymodelcontacten met hun klanten in Europa hebben gesloten — extra werk krijgen. Daarop zullen Nederlandse gebruikers — als verantwoordelijke voor persoonsgegevens — nauwgezet moeten toezien. Ondertussen gaan EU en VS naar — verder — aan een nieuwe Safe Harbour werken. Daaraan werken partijen al sinds 2013, omdat de verouderde en in Europees perspectief bezien versnipperde privacywetgeving van vandaag wordt vervangen door de aankomende Algemene Verordening Gegevensbescherming.

Sjoemelsoftware tast digitaal vertrouwen verder aan Er was eens een Amerikaanse bankmedewerker met kennis van automatisering die bedacht dat een beproefde modus operandi van weleer, ook geautomatiseerd kon plaatsvinden. Weliswaar op zich niet onrechtmatig (de kaasschaafmethode voor het beperken van bedrijfskosten), maar vaak wel. Criminologen hebben het dan over de 'salamitechniek'. Een

39

https://www.washingtonpost.com/blogs/monkey-cage/wp/2015/02/17/obama-says-that-europeans-are-using-

privacy-rules-to-protect-their-firms-against-u-s-competition-is-he-right/


25

EXECUTIVE ANALYSIS

in dit geval omstreden, nee, ronduit illegale werkwijze waarbij telkens een klein deel 40 'verdwijnt', ter grootte van het spreekwoordelijke flinterdunne plakje Italiaanse worst. Om het idee te bepalen: dat kan zelfs een cent of minder per financiële transactie zoals een overboeking zijn. Doorgaans kraait er geen haan naar — het verlies valt immers niet of nauwelijks op — en degene die zich van deze techniek bedient, wordt rijk, mits het om volume gaat. Na deze vorm van elektronische vermogensmisdaad — een van de oudsten in zijn soort — ontstaat er medio tachtiger jaren ontluikende aandacht voor computervirussen. De aanleiding hiervoor was gelegen in het stijgende gebruik van de gestandaardiseerde IBM PC en zijn klonen, die allemaal op IBM Dos of PC Dos draaiden. Zelfs voor Internet kwam computercriminaliteit dus in zwang. Enkele jaren na de opkomst van de eerste generatie malware verhaalde een medewerker van de toenmalige Centrale Recherche Informatiedienst over de volgende fraudecase. Een Amsterdams kappersbedrijf met verschillende zaken was fiscaal tegen de lamp gelopen. De kassasoftware was namelijk zo geprogrammeerd dat 20 of 25 procent van de aangeslagen omzet niet werd geregistreerd in het grootboek. Aan het einde van de werkdag kwam de baas afromen. Een softwarehuis had op zijn verzoek de code aangepast. Nu zorgt VW dankzij de inzet van 'sjoemelsoftware' (het woord van het jaar) voor krantenkoppen. Wat klokkenluider Edward Snowden deed ten aanzien van brede toegang van Amerikaanse veiligheidsdiensten tot communicatie en opslag van digitale data, doet 'Dieselgate' met betrekking tot misleidende computerprogramma's. Ineens wordt de wereld wakker geschut en het vertrouwen in de informatiemaatschappij krijgt opnieuw een forse knauw. Niet alleen Duitse auto's maar bijvoorbeeld ook Japanse koelkasten bedienden zich van softwarecode om keuringsinstituut, en klant en samenleving te misleiden. De crux betreft echter in alle zaken telkens hetzelfde: verborgen en tenminste voor gebruikers ongewenste softwarefunctionaliteit. We zoomen uit. Producent en leverancier behoren betrouwbaar te zijn; ook voor wat betreft de werking van ICT. Of wellicht moeten we zeggen: juist ten aanzien van deze techniek als blackbox in allerhande producten en diensten opgenomen. Geen verborgen functionaliteiten; in welke modaliteit dan ook. Uiteindelijk vervult de ICT-er een cruciale rol. Ontwikkelaars bouwen, al dan niet in opdracht van derde op werkgever, malafide programmatuur. Rogue developers. Mede op grond hiervan — maar bijvoorbeeld ook ten aanzien van de mislukte overheidsprojecten — vragen wij ons af waarom de ICT-sector geen regeling voor klokkenluiders kent. Iemand die ransomware ontwikkelt of exploiteert, wordt meteen als heuse boef weggezet. Maar hoe kijken we tegen ontwikkelaars aan die bij gerespecteerde bedrijven, wereldmarktleiders zelfs zoals Volkswagen AG, in dienst zijn en hun talent misbruiken voor de bouw van softwarecode met verborgen functionaliteit? Zouden deze ICT-ers zelfgenoegzaam meewerken aan malafide handelspraktijken die het management bedenkt? Hoog tijd om de ethische lat hoog te leggen en ook om een klokkenluidersregeling te maken. Geef vertrouwen in de informatiemaatschappij een centrale plaats.

40

De eerste zaken in de Verenigde Staten stammen uit de jaren zestig en zeventig.


26

EXECUTIVE ANALYSIS

Wettelijke borging is hierbij van groot belang. Ten aanzien van financiële software, zijn er al juridische vorderingen te melden. Zo gaat de fiscus niet zonder detailgegevens akkoord met boekhouding, die gebaseerd is op een elektronisch kassasysteem. Op 26 juni 2015 benadrukte ons hoogste rechtscollege namelijk dat ook de detailgegevens van een geautomatiseerd kassasysteem in beginsel onder de fiscale bewaarplicht vallen. Alleen met behulp van deze gegevens kan de volledigheid van de verantwoording van de omzet 41 worden geverifieerd en ze kunnen ook van belang zijn voor de belastingheffing. Het juridische net wordt heus aangetrokken. Terecht.

41

STAAT DER NEDERLANDEN V. BELANGHEBBENDE,


Hoge Raad, 26 juni 2015, ECLI:NL:HR:2015:1740

27

EXECUTIVE ANALYSIS

C O L O F O N Aspecten van netwerken informatiebeveiligingsrecht is geschreven door Mr. V.A. de Pous, zelfstandig bedrijfsjurist en industrieanalist te Amsterdam. De auteur houdt zich sinds 1983 bezig met de rechtsaspecten van digitale technologie en de informatiemaatschappij en geeft sinds 1987 de nieuwsbrief NEWSWARE uit. Eindredactie: M.L. Baan .

S E L E C T I E V E

B I B L I O G R A F I E

Computerrecht, Amsterdam, 1982 Het recht op stroomlijning basisregistraties; Juridisch kader authentieke registraties, ICTU, Den Haag, 2002 Open source software en politiek / Open Source Software and Politics / オープンソースソフトウエアと政策 / 开源软件及政策, Amsterdam, 2004 Recht op ICT-interoperabiliteit, GBO.Overheid, Den Haag, 2008 Data Storage Recht; Wat managers en ICTprofessionals behoren te weten, Amsterdam, derde druk, 2009 In and out-of-office working; Juridische aspecten van het nieuwe werken voor werkgevers, Amsterdam, 2009 Zakendoen met de overheid; Public procurement voor ICT-leveranciers, Amsterdam, 2010 Softwarekwaliteit en garantierechten, Amsterdam, 2010 Praktijkvisies op het nieuwe werken (redactie met Drs. J.M.M. van der Wielen), Baarn, 2010

Netwerk en informatiebeveiligingsrecht, Amsterdam, 2010 Praktijkvisies op cloud computing (redactie), Baarn, 2011 Open Source Computing and Public Sector Policy, Amsterdam, 2012 (updated version) Naar cloud-actieve overheidsorganisaties, Amsterdam, 2012 Cloud Computing and Public Sector Policy, Amsterdam, 2012 Understanding the Importance of Computer Law, Amsterdam, 2013 Outlook ICT Recht 2014, Amsterdam, 2014 Towards Intelligent Smart City Law, Executive Analysis, Amsterdam, 2014 Strategic eHospitality Law, Executive Analysis, Amsterdam, 2015 Cloud computing en het nieuwe Amerikaanse overheidsbeleid (voor Forum en College Standaardisatie), Amsterdam, 2015 Outlook ICT Recht 2016, Amsterdam, 2016

Leitmotiv

History

Advancement

Information society

Addressing the legal aspects

During its first 50 years

A more advanced and

Computer law today must

of digital technology

computer law referred to a

structured approach to

provide solid, well-balanced

strategically creates economic

loose collection of diverse legal

computer law in the 21st

legal constructions for living,

value, reduces risks and

aspects of electronic

century focuses on legal

working, and doing business in

optimizes assets.

processing and communication

frameworks for the demand-

a sustainable information

of data.

driven availability of robust,

society, fitting to its people

secure and interoperable

and national identity.

digital products and services.


28

Aspecten van netwerk & informatiebeveiligingsrecht

Recommend Documents