Richtlijnen voor juridische procedures Wetshandhavende instanties in EMEIA Deze richtlijnen zijn bedoeld voor gebruik door wetshandhavende instanties of andere overheidsinstanties die in de geografische regio EMEIA (Europa, het Midden-Oosten, India,
Afrika) bij relevante Apple entiteiten die services in deze regio leveren gegevens opvragen
van de gebruikers van producten en services van Apple, of van Apple apparaten. In deze
richtlijnen verwijst “Apple” naar de relevante dochteronderneming die verantwoordelijk is
voor de klantgegevens in een bepaalde regio, zoals wordt aangegeven in ons privacybeleid
op http://www.apple.com/legal/privacy/nl/. Apple werkt deze richtlijnen zo nodig bij. Deze
versie is gepubliceerd op 29 september 2015. Alle overige verzoeken tot verstrekking van informatie van Apple gebruikers kunt u versturen vanaf de pagina https://www.apple.com/benl/privacy/contact/. Via deze pagina kunnen gebruikers ook vragen stellen over het verstrekken van hun gegevens. Deze richtlijnen zijn niet van toepassing op verzoeken van wetshandhavende instanties aan Apple Inc. of aan relevante lokale dochterondernemingen van Apple buiten de geografische regio EMEIA. Bij gegevensverzoeken van de overheid houden we ons aan de wetten voor mondiale entiteiten die op onze gegevens van toepassing zijn. We verstrekken gegevens indien dat wettelijk is
vereist. Bij verzoeken tot verstrekking van materiaal die afkomstig zijn van wetshandhavende instanties buiten de VS, met uitzondering van noodsituaties (hieronder gedefinieerd in “Noodverzoeken”), verstrekt Apple uitsluitend materiaal als er een bevelschrift is verstrekt volgens de procedure die wordt beschreven in het verdrag aangaande de wederzijdse rechtshulp in strafzaken, of na een andere vorm van samenwerking met het Department of Justice van de VS.
INDEX I. Algemene informatie II. Procedurele richtlijnen A. B. C. D. E.
Gegevensverzoeken van wetshandhavende instanties Verzoeken met betrekking tot gegevensbehoud Noodverzoeken Verzoeken om accounts te wissen Kennisgeving aan gebruikers
III. Gegevens die Apple kan verstrekken A. B. C. D. E. F. G. H. I. J. K. L. M. N. O. P.
Registratiegegevens van apparaten Servicerecords van klanten iTunes Transacties in de Apple Store Aankopen bij de Apple Online Store iTunes-cadeaubonnen iCloud Zoek mijn iPhone Gegevens extraheren van iOS-devices die met een toegangscode zijn vergrendeld Overige beschikbare apparaatgegevens Verzoeken tot verstrekking van videomateriaal van bewakingscamera’s in de Apple Store Game Center Activeringsgegevens van iOS-devices Logbestanden met aanmeldingsgegevens Logbestanden met Mijn Apple ID- en iForgot-gegevens FaceTime
IV. Veelgestelde vragen V. Bijlage A Vl. Bijlage B
I. Algemene informatie Apple ontwerpt, maakt en verkoopt apparatuur voor mobiele communicatie, media-apparatuur, personal computers en draagbare digitale muziekspelers. Ook verkoopt Apple gerelateerde software, services, randapparatuur en netwerkoplossingen, en ook digitaal materiaal en apps van derden. Tot de producten en services van Apple behoren de Mac, iPhone, iPad, iPod en Apple TV, een portfolio van software voor consumenten en bedrijven, de besturingssystemen iOS en
Mac OS X, iCloud en diverse accessoires en opties voor service en ondersteuning. Daarnaast verkoopt en levert Apple digitaal materiaal en apps via de iTunes Store, App Store, iBookstore en Mac App Store. Gebruikersgegevens worden door Apple bewaard in overeenstemming met
het privacybeleid van Apple en de toepasselijke servicevoorwaarden/voorwaarden voor
de specifieke service. Apple wil de privacy van de gebruikers van Apple producten en services (“Apple gebruikers”) optimaal beschermen. Gegevens van Apple gebruikers worden dan ook
alleen verstrekt als de juiste juridische procedures zijn gevolgd. Deze richtlijnen zijn bedoeld om wetshandhavende instanties in EMEIA informatie te
verstrekken over de juridische procedures die wetshandhavende instanties en overheidsinstanties in EMEIA moeten volgen als ze gegevens willen opvragen bij Apple. Deze richtlijnen zijn niet bedoeld als juridisch advies. In het gedeelte “Veelgestelde vragen” van deze richtlijnen vindt u antwoorden op verschillende vragen die vaak aan Apple worden gesteld. Deze richtlijnen en de veelgestelde vragen kunnen onmogelijk informatie bieden over alle mogelijke omstandigheden die zich kunnen voordoen. Als u nog vragen heeft, kunt u dan ook contact opnemen met
[email protected]. Dit e–mailadres is uitsluitend bedoeld voor gebruik door wetshandhavende instanties en overheidsinstanties. Als u een e–mail naar dit adres wilt sturen, moet het e–mailadres van de afzender het officiële e–mailadres van een wetshandhavende instantie of overheidsinstantie zijn. Geen enkel onderdeel van deze richtlijnen is bedoeld om
een afdwingbaar recht tegenover Apple te creëren. Het beleid van Apple kan in de toekomst bijgewerkt of gewijzigd worden zonder dat wetshandhavende instanties daarvan op de hoogte worden gebracht. De meeste verzoeken van wetshandhavende instanties die Apple ontvangt, hebben betrekking
op gegevens van een bepaald Apple apparaat of een bepaalde klant en de specifieke service(s)
die Apple aan de klant levert. Apple kan gegevens van het Apple apparaat of de klant verstrekken, voor zover Apple de opgevraagde gegevens, op basis van het beleid voor gegevensbehoud, nog heeft. Hoe Apple bepaalde gegevens bewaart, wordt hieronder beschreven in de gedeelten over de verstrekking van gegevens. Alle overige gegevens worden bewaard gedurende de periode
die noodzakelijk is voor de doeleinden die worden beschreven in ons privacybeleid. Wetshandhavende instanties moeten zo exact en specifiek mogelijk zijn bij het opstellen van
hun verzoeken, om verkeerde interpretaties en/of bezwaren naar aanleiding van te weinig specifieke verzoeken te voorkomen.
II. Procedurele richtlijnen A. Gegevensverzoeken van wetshandhavende instanties Apple accepteert per e–mail rechtsgeldige gegevensverzoeken van wetshandhavende instanties, mits het e–mailadres van de afzender het officiële e–mailadres is van de desbetreffende wetshandhavende instantie. Medewerkers van wetshandhavende instanties in EMEIA die een gegevensverzoek naar Apple verzenden, moeten de sjabloon voor gegevensverzoeken van wetshandhavende instanties gebruiken, die is opgenomen in Bijlage A. Het verzoek moet rechtstreeks vanaf het officiële e–mailadres van de wetshandhavende instantie naar het
e–mailadres
[email protected] worden gestuurd. Dit e–mailadres is uitsluitend bedoeld
voor verzoeken van wetshandhavende instanties en overheidsinstanties.
Apple beschouwt een gegevensverzoek van een wetshandhavende instantie als rechtsgeldig als het betrekking heeft op het daadwerkelijk voorkomen, opsporen of onderzoeken van misdrijven, en zal dergelijke rechtsgeldige verzoeken in behandeling nemen. B. Verzoeken met betrekking tot gegevensbehoud Alle iCloud-materiaalgegevens die door Apple worden bewaard, worden op de server versleuteld. Als gegevens worden bewaard via derden, krijgen deze nooit de sleutels van Apple.
De coderingssleutels worden bewaard in de datacenters van Apple in de VS. Wetshandhavende instanties buiten de VS die toegang willen krijgen tot dergelijk materiaal, moeten daarvoor toestemming vragen aan het Department of Justice van de VS. Als het land een verdrag aangaande de wederzijdse rechtshulp in strafzaken met de VS heeft ondertekend, kan de juridische procedure worden gevolgd die in het verdrag wordt beschreven. Ook kan op een andere manier met het Department of Justice van de VS worden samengewerkt. Als, voorafgaand aan een op handen zijnde procedure op basis van het verdrag aangaande de wederzijdse rechtshulp in strafzaken, gegevensbehoud is vereist, kan een verzoek daartoe per e–mail naar Apple Inc. worden gestuurd. Hiervoor gebruikt u het e–mailadres
[email protected]. Verzoeken met betrekking tot gegevensbehoud moeten de relevante Apple ID/het e–mailadres van de account bevatten, of de volledige naam en het telefoonnummer, en/of de volledige naam en het huisadres van de eigenaar van de Apple account. Na ontvangst van een verzoek met betrekking tot gegevensbehoud vraagt Apple Inc. eenmalig alle aangevraagde gebruikersgegevens op die beschikbaar zijn. Deze gegevens worden negentig dagen bewaard. Na deze periode van negentig dagen worden de gegevens automatisch van de server verwijderd. Met een nieuw verzoek kan deze periode eenmalig met nog eens negentig dagen worden verlengd. Meer dan twee aanvragen met betrekking tot gegevensbehoud voor dezelfde account worden beschouwd als aanvraag om het behoud van de oorspronkelijk bewaarde gegevens te verlengen. Als reactie op een dergelijk verzoek wordt echter geen nieuw materiaal bewaard. C. Noodverzoeken Apple beschouwt een verzoek als noodverzoek als de omstandigheden waarnaar wordt verwezen een daadwerkelijke directe en serieuze bedreiging vormen voor: 1) het leven of de veiligheid van één of meerdere personen; 2) de nationale veiligheid; 3) belangrijke infrastructuren of installaties, die hierdoor aanzienlijke schade zullen oplopen. Als de medewerker van de wetshandhavende instantie in voldoende mate kan aantonen dat
het verzoek betrekking heeft op een daadwerkelijke noodsituatie die aan één of meer van de bovenstaande criteria voldoet, zal Apple het verzoek als noodverzoek beschouwen. Een medewerker van een wetshandhavende instantie die een noodverzoek bij Apple wil indienen, moet de sjabloon voor NOODVERZOEKEN om gegevens van wetshandhavende instanties invullen, die is opgenomen in Bijlage B. Het verzoek moet rechtstreeks vanaf het officiële e–mailadres van de wetshandhavende instantie naar het e–mailadres
[email protected] worden gestuurd, en de onderwerpregel moet de tekst “Emergency Law Enforcement Information Request” bevatten. Wanneer Apple klantgegevens verstrekt als reactie op een noodverzoek van een wetshandhavende instantie, wordt contact opgenomen met een supervisor van de medewerker van de wetshandhavende instantie die het noodverzoek heeft ingediend. Deze supervisor moet bevestigen dat het om een legitiem noodverzoek gaat. Apple eist dat de medewerker van de
wetshandhavende instantie die het noodverzoek indient, ook de contactgegevens van zijn of haar supervisor vermeldt. Daarnaast moet de medewerker van de wetshandhavende instantie die het noodverzoek indient contact opnemen met het Global Security Operations Centre (GSOC) van Apple, dat bereikbaar
is via +1 408-974-2095. De medewerker moet aangeven dat het om een noodverzoek van een wetshandhavende instantie gaat, het verzoek kort beschrijven en vragen of het betreffende team het verzoek als noodverzoek in behandeling wil nemen. Dit telefoonnummer biedt ondersteuning voor alle talen. D. Verzoeken om accounts te wissen Als een wetshandhavende instantie Apple vraagt om de Apple ID van een klant te wissen, moet deze instantie een gerechtelijk bevel overleggen waarin wordt aangegeven welke account moet worden gewist en met welke reden het verzoek wordt ingediend. E. Kennisgeving aan gebruikers Apple brengt klanten ervan op de hoogte als hun persoonlijke gegevens worden verstrekt naar aanleiding van een rechtsgeldig gegevensverzoek van een wetshandhavende instantie, tenzij Apple redelijkerwijs oordeelt dat dit het rechtsproces zou beïnvloeden. Apple brengt klanten na een bepaalde tijd op de hoogte van noodverzoeken, tenzij Apple redelijkerwijs oordeelt dat dit het rechtsproces zou beïnvloeden. Apple brengt klanten na afloop van de geheimhoudingsperiode die in een gerechtelijk bevel is vermeld op de hoogte van gegevensverzoeken, tenzij Apple redelijkerwijs oordeelt dat dit het rechtsproces zou beïnvloeden.
III. Gegevens die Apple kan verstrekken A. Registratiegegevens van apparaten Algemene registratiegegevens of klantgegevens, waaronder naam, adres, e–mailadres en telefoonnummer, worden aan Apple verstrekt wanneer klanten een Apple apparaat met een
OS-versie lager dan iOS 8, of lager dan OS X Yosemite versie 10.10 registreren. Apple controleert deze gegevens niet. De gegevens kunnen dus onjuist zijn of niet naar de werkelijke eigenaar
van het apparaat verwijzen. Registratiegegevens voor devices met iOS 8 of hogere versies, en Macs met OS X Yosemite versie 10.10 of hoger, worden verstrekt wanneer klanten een apparaat koppelen aan een Apple ID voor het gebruik van iCloud. Deze gegevens kunnen onjuist zijn of niet naar de werkelijke eigenaar van het apparaat verwijzen. Registratiegegevens kunnen op basis van een rechtsgeldig verzoek worden verstrekt. Opmerking: serienummers van Apple apparaten bevatten nooit de letters O en I. De getallen
0 (nul) en 1 (één) komen wel in serienummers voor. Aanvragen met betrekking tot serienummers die de letters O of I bevatten, leveren geen resultaten op. B. Servicerecords van klanten Apple kan informatie verstrekken over het contact van klanten met de Apple klantenservice over een apparaat of service. Deze informatie kan bestaan uit records van de interactie met klanten over de ondersteuning met betrekking tot een bepaald Apple apparaat of een bepaalde service. Daarnaast is mogelijk informatie beschikbaar over het apparaat, de garantie en eventuele reparaties. Deze informatie kan op basis van een rechtsgeldig verzoek worden verstrekt.
C. iTunes iTunes is gratis software waarmee klanten de digitale muziek en video’s op hun computer
kunnen ordenen en afspelen. Het is ook een winkel met materiaal dat klanten op hun computers en iOS-devices kunnen downloaden. Bij het openen van een iTunes-account kunnen algemene abonneegegevens worden opgegeven, zoals naam, huisadres, e–mailadres en telefoonnummer. Daarnaast zijn mogelijk gegevens beschikbaar over aankoop- en downloadtransacties in iTunes, iTunes-verbindingen, verbindingen om materiaal te updaten of opnieuw te downloaden, en
iTunes Match-verbindingen. iTunes-abonneegegevens en logbestanden met verbindingsgegevens die IP-adressen bevatten, kunnen op basis van een rechtsgeldig verzoek worden verstrekt. Transactierecords van aankopen/downloads via iTunes worden beheerd door iTunes S.à.r.l., dat
is gevestigd in Luxemburg. Vanwege wettelijke bepalingen kan iTunes alleen op verzoeken met betrekking tot deze gegevens reageren als ze door de procureur-generaal van Luxemburg zijn goedgekeurd en naar iTunes zijn doorgestuurd. Verzoeken met betrekking tot deze records kunnen worden gericht aan de procureur-generaal van Luxemburg op het volgende adres:
Parquet Général, Procureur Général d’Etat, Cité Judiciaire Bât. CR, Plateau du St Esprit, L-2080 LUXEMBURG, faxnummer: +352 47 05 50, e–mail:
[email protected]. D. Transacties in de Apple Store POS-transacties zijn transacties in de Apple Store waarbij contant of met een creditcard, pinpas of cadeaubon wordt betaald. Een rechtsgeldig verzoek is vereist om toegang te krijgen tot informatie zoals het type kaart dat aan een bepaalde transactie is gekoppeld, de naam van
de koper, het e–mailadres, datum/tijd van de transactie, het transactiebedrag of de locatie van de Store. Wanneer u een rechtsgeldig verzoek met betrekking tot POS-records indient, moet u het volledige nummer van de gebruikte creditcard of betaalpas vermelden en eventuele aanvullende informatie, zoals datum en tijdstip van de transactie, het bedrag en de gekochte artikelen. Daarnaast kan een wetshandhavende instantie Apple nummers van aankoopbonnen verstrekken om kopieën van deze bonnen aan te vragen, indien er sprake is van een rechtsgeldig verzoek. E. Aankopen bij de Apple Online Store Apple bewaart informatie over onlineaankopen, zoals naam, verzendadres, telefoonnummer,
e–mailadres, gekochte artikelen, bedrag en IP-adres van de aankoop. Om toegang te krijgen tot deze informatie, is een rechtsgeldig verzoek vereist. Wanneer u informatie over onlinebestellingen opvraagt (met uitzondering van iTunes-aankopen), is het volledige nummer van de creditcard of betaalpas, het bestelnummer, het referentienummer of het serienummer van het gekochte artikel vereist. In combinatie met deze parameters kan ook een klantnaam worden verstrekt, maar alleen een klantnaam is onvoldoende om informatie op te vragen. F. iTunes-cadeaubonnen iTunes-cadeaubonnen hebben een alfanumerieke code van zestien cijfers, die zich bevindt onder het grijze, weg te krassen vlak aan de achterzijde van de kaart. Ook staat er een code van negentien cijfers onderaan de kaart. Op basis van deze codes kan Apple bepalen of de kaart is geactiveerd1 of ingewisseld. Ook kan worden bepaald of er aankopen zijn gedaan via de account waaraan de kaart is gekoppeld. Wanneer iTunes-cadeaubonnen worden geactiveerd, registreert Apple de naam van de Store, de locatie, de datum en de tijd. Wanneer een iTunes-cadeaubon wordt gebruikt voor een aankoop bij de iTunes Store, wordt de cadeaubon aan een 1
Geactiveerd betekent dat de cadeaubon bij een commercieel verkooppunt is gekocht, maar niet is gebruikt of ingewisseld.
gebruikersaccount gekoppeld. iTunes-cadeaubonnen die bij de Apple Online Store zijn gekocht, kunnen in Apple systemen worden opgezocht op basis van de bijbehorende bestelnummers van de Apple Online Store. (Let op: dit geldt alleen voor iTunes-cadeaubonnen die bij Apple zijn gekocht, niet voor iTunes-cadeaubonnen die bij andere winkels zijn gekocht.) Informatie over de klant die de kaarten heeft ingewisseld wordt alleen verstrekt als er sprake is van een rechtsgeldig verzoek. Een verzoek tot verstrekking van informatie over onlineaankopen bij de iTunes Store moet worden gericht aan de procureur-generaal van Luxemburg op het volgende adres: Parquet Général, Procureur Général d’Etat, Cité Judiciaire Bât. CR, Plateau du St Esprit, L-2080 LUXEMBURG, faxnummer: +352 47 05 50, e–mail:
[email protected]. Apple kan geen iTunes-cadeaubonnen deactiveren in reactie op een rechtsgeldig verzoek van een wetshandhavende instantie of overheidsinstantie. G. iCloud iCloud is de cloudservice van Apple, die gebruikers op al hun apparaten toegang biedt tot hun muziek, foto’s, documenten en meer. Abonnees kunnen via iCloud ook reservekopieën van hun iOS-devices maken. Abonnees van de iCloud-service kunnen daarnaast een e–mailaccount bij iCloud.com configureren. Tot de e–maildomeinen van iCloud behoren @icloud.com, @me.com2
en @mac.com. Alle iCloud-materiaalgegevens die door Apple worden bewaard, worden op de server versleuteld. Als gegevens worden bewaard via derden, krijgen deze nooit de sleutels van Apple. De coderingssleutels worden bewaard in de datacenters van Apple in de VS. iCloud is een service op basis van abonnementen. Verzoeken tot verstrekking van iCloud-gegevens moeten de relevante Apple ID/het e–mailadres van de account bevatten. Als de Apple ID/het
e–mailadres van de account niet bekend is, vraagt Apple om de volgende abonneegegevens: volledige naam en telefoonnummer, en/of volledige naam en huisadres om de juiste Apple account te identificeren. De volgende iCloud-gegevens zijn mogelijk beschikbaar: i. Abonneegegevens Bij het openen van een iCloud-account kunnen algemene abonneegegevens worden opgegeven, zoals naam, huisadres, e–mailadres en telefoonnummer. Daarnaast zijn mogelijk gegevens van verbindingen met iCloud-voorzieningen beschikbaar. iCloudabonneegegevens en logbestanden met verbindingsgegevens die IP-adressen bevatten, kunnen op basis van een rechtsgeldig verzoek worden verstrekt. Logbestanden met verbindingsgegevens worden maximaal dertig dagen bewaard. ii. Logbestanden met e–mailgegevens Logbestanden met iCloud-e–mailgegevens bevatten records van de inkomende en uitgaande communicatie, zoals tijd, datum en e–mailadres van afzender en ontvanger. Logbestanden met e–mailgegevens kunnen op basis van een rechtsgeldig verzoek worden verstrekt. Logbestanden met iCloud-e–mailgegevens worden maximaal zestig dagen bewaard.
iCloud vervangt de MobileMe-service. Apple heeft daarom geen aparte toegang tot materiaal van voormalige MobileMe-accounts. Als het materiaal niet in iCloud aanwezig is, wordt het niet langer bewaard. 2
iii. Inhoud van e–mails en ander iCloud-materiaal. Fotostream, documenten,
contact- en agendagegevens, bladwijzers, reservekopieën van iOS-devices Via iCloud wordt alleen materiaal bewaard waarvan de gebruiker heeft aangegeven
dat het bewaard moet worden zolang de account actief is. iCloud-materiaal kan bestaan uit e–mails, bewaarde foto’s, documenten, contact- en agendagegevens, bladwijzers en reservekopieën van iOS-devices. Reservekopieën van iOS-devices kunnen foto’s en video’s in de filmrol van de gebruiker, device-instellingen, appgegevens, iMessage- en MMS-berichten, sms’jes en voicemails bevatten. Alle iCloud-materiaalgegevens die door Apple worden bewaard, worden op de server versleuteld. Als gegevens worden bewaard via derden, krijgen deze nooit de sleutels van Apple. De coderingssleutels worden bewaard in de datacenters van Apple in de VS. Wetshandhavende instanties buiten de VS die toegang willen krijgen tot dergelijk materiaal, moeten daarvoor toestemming vragen aan het Department of Justice van de VS. Als het land een verdrag aangaande
de wederzijdse rechtshulp in strafzaken met de VS heeft ondertekend, kan de juridische procedure worden gevolgd die in het verdrag wordt beschreven. Ook kan op een andere manier met het Department of Justice van de VS worden samengewerkt.
Apple Inc. verstrekt alleen materiaal van abonnees, indien aanwezig in de account van de abonnee, in reactie op een bevelschrift dat is verstrekt volgens de procedure die wordt beschreven in het verdrag aangaande de wederzijdse rechtshulp in strafzaken. Apple heeft geen toegang tot materiaal dat van de servers van Apple is gewist. H. Zoek mijn iPhone Zoek mijn iPhone is een voorziening die door de gebruiker kan worden ingeschakeld.
Hiermee kan een iCloud-abonnee de locatie van een verloren of gestolen iPhone, iPad,
iPod touch of Mac weergeven. Ook kan de gebruiker bepaalde handelingen uitvoeren, zoals
de Verloren-modus van het apparaat activeren, of het apparaat vergrendelen of wissen.
Zie http://www.apple.com/benl/icloud/find-my-iphone.html voor meer informatie over deze service. De locatiegegevens van een apparaat dat via de Zoek mijn iPhone-voorziening wordt getraceerd, zijn alleen beschikbaar voor de eindgebruiker. Apple beschikt niet over records
met kaarten of e–mailmeldingen van deze service. Logbestanden met Zoek mijn iPhoneverbindingsgegevens zijn mogelijk beschikbaar en kunnen op basis van een rechtsgeldig verzoek worden verstrekt. Logbestanden met Zoek mijn iPhone-verbindingsgegevens zijn ongeveer dertig dagen beschikbaar. Gegevens van Zoek mijn iPhone-transactieverzoeken om een apparaat op afstand te vergrendelen of te wissen zijn mogelijk beschikbaar en kunnen op basis van een rechtsgeldig verzoek worden verstrekt. Apple kan deze voorziening niet op een apparaat van een gebruiker inschakelen naar aanleiding van een verzoek van een wetshandhavende instantie. De Zoek mijn iPhone-voorziening moet eerder door de gebruiker zijn ingeschakeld op het specifieke apparaat. Apple beschikt niet over gps-gegevens van een specifiek apparaat of specifieke gebruiker. I. Gegevens extraheren van iOS-devices die met een toegangscode zijn vergrendeld Aanvragen voor technische ondersteuning om toegang te krijgen tot bepaald materiaal op specifieke devices kunnen worden gericht aan Apple Inc. Volg daarbij de procedure die wordt beschreven in het verdrag aangaande de wederzijdse rechtshulp in strafzaken. Wetshandhavende instanties buiten de VS die toegang willen krijgen tot dergelijk materiaal, moeten daarvoor toestemming vragen aan het Department of Justice van de VS. Als het land een verdrag aangaande de wederzijdse rechtshulp in strafzaken met de VS heeft ondertekend, kan de juridische procedure worden gevolgd die in het verdrag wordt beschreven. Ook kan op een andere manier met het Department of Justice van de VS worden samengewerkt.
Van devices met iOS 8.0 of hoger kan Apple geen iOS-gegevens extraheren, omdat de tools voor gegevensextractie op deze devices niet werken. De bestanden die moeten worden geëxtraheerd, zijn beveiligd met een sleutel die aan de toegangscode van de gebruiker is gekoppeld, en Apple heeft geen toegang tot deze gegevens. Van iOS-devices met een iOS-versie lager dan versie 8.0 die met een toegangscode zijn vergrendeld kan Apple Inc., na de ontvangst van een bevelschrift dat is verstrekt volgens de procedure die wordt beschreven in het verdrag aangaande de wederzijdse rechtshulp in strafzaken, bepaalde categorieën met actieve gegevens extraheren. De bestanden die kunnen worden geëxtraheerd zijn de door de gebruiker gegenereerde actieve bestanden, die worden bewaard in de eigen apps van Apple en waarbij de gegevens niet met de toegangscode zijn versleuteld (“door de gebruiker gegenereerde actieve bestanden”). Deze gegevens kunnen vervolgens op externe media aan een wetshandhavende instantie worden verstrekt. Apple Inc.
kan dit gegevensextractieproces uitvoeren op iOS-devices met iOS 4 tot en met iOS 7. Uitsluitend de volgende categorieën met door de gebruiker gegenereerde actieve bestanden kunnen aan wetshandhavende instanties worden verstrekt: sms’jes, iMessage- en MMS-berichten, foto’s,
video’s, contactgegevens, audio-opnamen en de gespreksgeschiedenis. Dit gebeurt alleen nadat Apple Inc. een bevelschrift heeft ontvangen dat is verstrekt volgens de procedure die wordt beschreven in het verdrag aangaande de wederzijdse rechtshulp in strafzaken. Apple Inc. is niet
in staat om de volgende gegevens te verstrekken: e–mailberichten, agendagegevens of gegevens van apps van derden. Het gegevensextractieproces kan alleen worden uitgevoerd in de hoofdvestiging van Apple Inc.
in Cupertino (Californië, VS) op devices die correct werken. Als u wilt dat Apple Inc. u bij deze procedure ondersteunt, moet het bevelschrift de onderstaande tekst bevatten. Bovendien moet het bevelschrift het serie- of IMEI-nummer van het device bevatten. Zie https://support.apple.com/ nl-be/HT204073 voor meer informatie over de locatie van het serie- of IMEI-nummer op een
iOS-device. De naam van de rechter op het bevelschrift moet goed leesbaar zijn. Als de wetshandhavende instantie beschikt over een bevelschrift met de juiste tekst,
kan dit per e–mail naar Apple Inc. worden gestuurd. Gebruik hiervoor het e–mailadres
[email protected]. Het iOS-device kan voor gegevensextractie aan Apple Inc. worden overhandigd tijdens een persoonlijke afspraak, of het device kan worden opgestuurd. Als de wetshandhavende instantie ervoor kiest om het device op te sturen, moet de medewerker van
de wetshandhavende instantie het device pas versturen na de ontvangst van een e–mail van Apple met het verzoek om het device op te sturen. Als het gegevensextractieproces plaatsvindt tijdens een persoonlijke afspraak, moet de medewerker van de wetshandhavende instantie een harde schijf met FireWire-aansluiting meenemen met minimaal twee keer zoveel opslagruimte als de geheugencapaciteit van het iOSdevice. Als de wetshandhavende instantie ervoor kiest om het device op te sturen, moet Apple ook een externe harde schijf of USB-stick ontvangen met minimaal twee keer zoveel opslagruimte als de geheugencapaciteit van het iOS-device. Stuur het device pas op nadat u een e–mail hebt ontvangen met het verzoek om het device te versturen. Nadat het gegevensextractieproces is voltooid, wordt een kopie verstrekt van het door de gebruiker gegenereerde materiaal dat op het device aanwezig is. Apple Inc. bewaart geen kopieën van de gebruikersgegevens die tijdens het proces worden geëxtraheerd. De wetshandhavende instantie is dus volledig verantwoordelijk voor het behoud van het bewijsmateriaal.
Vereiste tekst in bevelschrift: “Dit is een bevel aan Apple Inc. om [NAAM WETSHANDHAVENDE INSTANTIE] te helpen bij het doorzoeken van een Apple iOS-device, modelnummer ____________, in het netwerk van _______ met toegangsnummer (telefoonnummer) _________, serie-3 of IMEI-nummer4 __________ en FCC-ID _____________ (het “device”), door in redelijke mate technische assistentie te verlenen indien het device in werkende staat verkeert en met een toegangscode is vergrendeld. Een dergelijke redelijke mate van technische assistentie bestaat uit, voor zover mogelijk, het extraheren van gegevens van het device, het kopiëren van gegevens van het device naar een externe harde schijf of een ander opslagmedium,
en het retourneren van het eerder genoemde opslagmedium aan de wetshandhavende instantie. De wetshandhavende instantie kan de gegevens op het device vervolgens vanaf het geleverde opslagmedium doorzoeken. Daarnaast wordt Apple bevolen om, voor zover de gegevens op het device zijn versleuteld, een kopie van de versleutelde gegevens aan de wetshandhavende instantie over te dragen. Van Apple wordt echter niet vereist dat Apple een poging doet om de gegevens
te ontsleutelen of om de wetshandhavende instantie verder te assisteren bij pogingen om toegang te krijgen tot versleutelde gegevens. Hoewel Apple in redelijke mate zal proberen om de integriteit van de gegevens
op het device te behouden, wordt niet verwacht dat Apple kopieën bewaart van gebruikersgegevens die het resultaat zijn van de assistentie die Apple hierbij wordt bevolen te verlenen; de medewerkers van de wetshandhavende instantie zijn volledig verantwoordelijk voor het behoud van alle gegevens.” J. Overige beschikbare apparaatgegevens MAC-adres: Een Media Access Control-adres (MAC-adres) is een unieke identificatiecode die
aan netwerkinterfaces wordt toegewezen voor de communicatie in een fysiek netwerksegment. Elk Apple product met netwerkinterfaces heeft één of meer MAC-adressen, bijvoorbeeld voor Bluetooth, Ethernet, wifi of FireWire. U kunt deze gegevens opvragen door Apple een serienummer te verstrekken (of, in het geval van een iOS-device, een IMEI, MEID of UDID). Deze gegevens worden alleen verstrekt na de ontvangst van een rechtsgeldig verzoek. UDID: Deze unieke apparaat-ID, die slechts door één iOS-device wordt gebruikt, bestaat uit een reeks van 40 letters en cijfers. Hieronder ziet u een voorbeeld van een UDID: 2j6f0ec908d137be2e1730235f5664094b831186. Als de wetshandhavende instantie toegang heeft tot het device, kan de UDID worden opgevraagd door het device met iTunes te verbinden. U kunt de UDID op het tabblad ‘Overzicht’ tonen door op het serienummer te klikken.
3
Serienummers van Apple apparaten bevatten nooit de letters O en I. De getallen 0 (nul) en 1 (één) komen wel in serienummers voor. iOS-extracties voor serienummers die de letters O of I bevatten, kunnen niet worden uitgevoerd. Het IMEI-nummer is gegraveerd op de achterkant van iPads met een mobiele verbinding, de eerste iPhone en iPhone 5, 5c, 5s, 6 en 6 Plus. Zie voor meer informatie https://support.apple.com/nl-be/HT204073. Bij modellen waarbij het IMEI-nummer in de simkaarthouder is gegraveerd, moet u er rekening mee houden dat de simkaarthouder die zich in het apparaat bevindt mogelijk niet oorspronkelijk bij het apparaat is geleverd. 4
K. Verzoeken tot verstrekking van videomateriaal van bewakingscamera’s in de Apple Store De beschikbaarheid van videomateriaal van bewakingscamera’s in de Apple Store verschilt per locatie. Videomateriaal van bewakingscamera’s in de Apple Store wordt maximaal dertig dagen bewaard. In veel Europese landen mag het videomateriaal op basis van de lokale wetgeving zelfs maar vierentwintig uur worden bewaard. Na deze periode is het videomateriaal mogelijk niet meer beschikbaar. Een verzoek om toegang tot het videomateriaal kan door de wetshandhavende instantie bij elke Apple Store worden ingediend. Daarbij moeten de datum en tijd worden vermeld en moet worden aangegeven om welke transactiegegevens het gaat. L. Game Center Game Center is het sociale-gamingnetwerk van Apple. Mogelijk zijn gegevens beschikbaar van de Game Center-verbindingen van een bepaalde gebruiker of bepaald apparaat. Logbestanden met verbindingsgegevens die IP-adressen en transactierecords bevatten, worden alleen verstrekt na de ontvangst van een rechtsgeldig verzoek. M. Activeringsgegevens van iOS-devices Wanneer een klant een iOS-device activeert of de software bijwerkt, ontvangt Apple bepaalde gegevens van de serviceprovider of het device (afhankelijk van de handeling). IP-adressen van
de gebeurtenis, ICCID-nummers en andere device-aanduidingen zijn mogelijk beschikbaar.
Deze gegevens worden alleen verstrekt na de ontvangst van een rechtsgeldig verzoek. N. Logbestanden met aanmeldingsgegevens Informatie over de aanmelding van een gebruiker of apparaat bij bepaalde Apple services,
zoals iTunes, iCloud, Mijn Apple ID en Apple discussieforums, kan mogelijk bij Apple worden opgevraagd. Logbestanden met verbindingsgegevens die IP-adressen en transactierecords bevatten, worden alleen verstrekt na de ontvangst van een rechtsgeldig verzoek. O. Logbestanden met Mijn Apple ID- en iForgot-gegevens Apple kan mogelijk logbestanden met de Mijn Apple ID- en iForgot-gegevens van een gebruiker verstrekken. Logbestanden met Mijn Apple ID- en iForgot-gegevens bevatten mogelijk informatie over het opnieuw instellen van wachtwoorden. Logbestanden met verbindingsgegevens die
IP-adressen en transactiegegevens bevatten, worden alleen verstrekt na de ontvangst van een rechtsgeldig verzoek. P. FaceTime FaceTime-communicatie is over het gehele traject versleuteld. Tijdens de verzending van het ene naar het andere apparaat kunnen FaceTime-gegevens op geen enkele manier door Apple worden ontcijferd. Apple kan FaceTime-communicatie niet onderscheppen. Apple heeft toegang tot logbestanden met uitnodigingen voor FaceTime-gesprekken. Deze logbestanden geven niet aan of de gebruikers daadwerkelijk met elkaar hebben gecommuniceerd. Apple heeft geen informatie over de totstandkoming of duur van FaceTime-gesprekken. Logbestanden met uitnodigingen voor FaceTime-gesprekken worden maximaal dertig dagen bewaard. Logbestanden met uitnodigingen voor FaceTime-gesprekken worden alleen verstrekt na de ontvangst van een rechtsgeldig verzoek.
IV. Veelgestelde vragen V: Kan ik contact opnemen met Apple met vragen over een gegevensverzoek of juridische procedure? A: Ja. Wetshandhavende instanties kunnen vragen over gegevensverzoeken e–mailen naar
[email protected]. V: Kan een apparaat alleen worden gebruikt als het bij Apple is geregistreerd? A: Nee, een apparaat hoeft niet per se bij Apple te worden geregistreerd om het te
kunnen gebruiken. V: Kan Apple me de toegangscode geven van een iOS-device dat is vergrendeld? A: Nee, Apple heeft geen toegang tot de toegangscodes van gebruikers. Afhankelijk van de
iOS-versie van het device kunnen mogelijk echter wel bepaalde gegevens van een vergrendeld device worden geëxtraheerd. Dit gebeurt uitsluitend als een bevelschrift is overlegd dat is verstrekt volgens de procedure die wordt beschreven in het verdrag aangaande de wederzijdse rechtshulp in strafzaken, zoals in de richtlijnen wordt beschreven. V: Bewaart Apple gps-gegevens, die na de ontvangst van een rechtsgeldig verzoek kunnen worden verstrekt? A: Nee, de geolocatiegegevens van apparaten worden niet door Apple vastgelegd. V: Wat moet er met de verstrekte gegevens gebeuren nadat het onderzoek/de strafzaak door de wetshandhavende instantie is afgerond? A: Alle gegevens die aan de wetshandhavende instantie zijn verstrekt, waaronder traceerbare persoonlijke informatie (inclusief eventuele kopieën), moeten worden vernietigd nadat het gerelateerde onderzoek of de gerelateerde strafzaak volledig is afgerond en er geen mogelijkheid meer is om in beroep te gaan. V: Worden gebruikers op de hoogte gebracht van gegevensverzoeken van wetshandhavende instanties? A: Ja, Apple brengt gebruikers ervan op de hoogte als hun persoonlijke accountgegevens worden verstrekt naar aanleiding van een rechtsgeldig gegevensverzoek van een wetshandhavende instantie, tenzij Apple redelijkerwijs oordeelt dat dit het rechtsproces zou beïnvloeden. V: Kan Apple helpen om een verloren of gestolen apparaat bij de rechtmatige eigenaar terug te bezorgen? A: Als u als wetshandhavende instantie in EMEIA een apparaat hebt waarvan u vermoedt dat
het verloren of gestolen is, en dat bij de ‘oorspronkelijke eigenaar’ wilt terugbezorgen, kunt u een e–mail sturen naar
[email protected]. Vermeld daarbij het serie- of IMEI-nummer van het apparaat en eventuele andere relevante informatie. Als er registratiegegevens beschikbaar zijn, nemen wij contact op met de persoon die het apparaat heeft geregistreerd en vragen we hem
of haar om contact met u op te nemen.
V. Bijlage A Het formulier voor gegevensverzoeken van wetshandhavende instanties voor de geografische regio EMEIA is als bewerkbare pdf beschikbaar via:
http://www.apple.com/legal/privacy/emeia-le-inforequest.pdf.
VI. Bijlage B Het formulier voor NOODVERZOEKEN van wetshandhavende instanties is als bewerkbare pdf beschikbaar via: http://www.apple.com/legal/privacy/le-emergencyrequest.pdf.