De Nederlandse Bewaarplicht staat op losse schroeven. Dit komt om dat een Duiste rechter vindt dat de Duitse bewaarplicht voor verkeersgegevens in strijd is met de grondwet.  De wet is in strijd met het telecommunicatiegeheim. De al opgeslagen data moet zo snel mogelijk worden verntietigd.

Deze uitspraak zal naar verwachting ook voor Nederlandse organisaties die staan voor de verdediging van digitale burgerrechten aanleiding zijn om, als de Nederlandse wet is aangenomen, een procedure tegen de staat te beginnen. De Duitse uitspraak zal daarom gevolgen hebben voor de Nederlandse wet bewaarplicht. Onze Hoge Raad laat zich vaak inspireren door deze hoogste Duitse rechter, die op juridisch vlak een van de meest toonaangevende rechtsorganen van Europa is. Bovendien staat de Europese richtlijn nu ook op de tocht.

De Duitse wetgever zal nu een nieuwe wet gaan maken. Hierin moet precies worden opgenomen in welke gevallen de gegevens gebruikt mogen gaan worden. Ook moet worden bepaald dat er niet zomaar door diverse overheidsinstanties te pas en te onpas in de gegevens gezocht kan gaan worden.

De Eurocommissaris van Justitie, Viviane Reding zegt te willen onderzoeken of de opslag van de gegevens werkelijk noodzakelijk is, en of geen andere mogelijkheden bestaan om de doelstelling van de bewaarplicht te bereiken.

Het lijkt dat er dat de ongebreidelde uitbreiding van inbreuken op de privacy door de overheid eindelijk een halt is toegeroepen. Het standpunt van de Duiste rechter wordt gezien als een kentering in het debat. Axel Arnbak van digitale burgerrechtenbeweging Bits of Freedom: “Dit is een grensverleggende uitspraak met grote gevolgen voor Nederland, waar dezelfde fouten als in Duitsland in nog hevigere mate zijn gemaakt. Ook de Nederlandse wet komt nu dus op losse schroeven te staan.”

Spionage vormt een reëel gevaar voor Nederland. Dat vindt de AIVD. En daarom hebben ze 3 brochures ontwikkeld om  bewustwording te kweken. Een van deze brochures gaat speciaal over ‘digitale spionage’.

Het is enorm prettig om te zien dat de AIVD waakt over onze veiligheid. En dat ze komen met “sterk inhoudelijke” tips. Die we anders niet zelf hadden kunnen bedenken. Zoals: “controleer altijd het e-mail adres van de afzender. Twijfelt u? Neem dan eerst contact met hem op” en “… open liever geen bijlages van onbekenden….”, “wantrouw e-mails die in slecht engels zijn gesteld..”.

Nou wil ik verder de security risico´s op internet geenszins bagatelliseren maar dit slaat echt nergens op. Het lijkt er sterk op dat de onbenulligheid van de AIVD zelf de basis is geweest voor deze brochure. Alle fouten die ze zelf gemaakt hebben, hebben ze in een foldertje gezet. De onmacht spreekt eruit. De publicaties zijn vooral bedoeld voor mensen uit het bedrijfsleven en overheidsfunctionarissen die in aanraking komen met informatie die voor andere landen interessant kan zijn. En waarschijnlijk zijn dat ongelofelijke nono´s. Het is allemaal van het niveau van `laat geen waardevolle spullen achter in uw auto`.

Internet security moet serieus worden genomen. En het kweken van bewustwording is daarvan een onderdeel. Maar in plaats van het formuleren van obligate tips zou het goed zijn als er een actieve verdediging wordt opgezet.  Er gaan miljoenen euri’s naar tanks, F-16´s, bommen en granaten. Maar wat doet het ministerie van defensie daadwerkelijk aan het opzetten van een verdediging tegen cyber-crime? Op welke wijze worden de white-hats benaderd om mee te denken en mee te werken aan de opzet van een verdedigingssysteem?

Daarnaast is het belangrijk dat elke organisatie door regelgeving gedwongen wordt een adequaat security plan te maken. De overheid moet hiermee beginnen het het goede voorbeeld geven. Uiteindelijk moet informatiebeveiliging net zo belangrijk worden binnen bedrijfsvoering als voedselveiligheid e.d.

De communicatie van de AIVD doet vermoeden dat het belang van een adequate nationale internetbeveiliging nog maar mondjesmaat wordt ingezien. En daar zit het echte probleem. De babyboomers die deze organisaties leiden moeten zo snel mogelijk worden vervangen. Hun gebrek aan affiniteit met ICT en internet leidt tot ongelukken. Het is aan de dertigers die opgegroeid zijn met internet en ICT om invulling te geven aan de nieuwe cyber-uitdagingen waarvoor we als maatschappij staan.

Bits of Freedom wil dat er een wet aangenomen wordt die verplicht dat datalekken worden gemeld. Op 27 januari wordt de evaluatie van de Wet bescherming persoonsgegevens in de Tweede Kamer besproken. Bits of Freedom vindt dit een goede gelegenheid om aandacht te vragen voor de invoering van een dergelijke wet.

Volgens Bits of Freedom komen onze persoonsgegevens in steeds meer databanken voor. Doordat deze databanken vaak aan het internet gekoppeld zijn zouden ze extra goed beveiligd moeten worden, maar dat gebeurt niet altijd. De kans op lekken neemt daardoor toe. En zo kunnen vertrouwelijke persoonsgegevens zo maar op straat komen te liggen. In de afgelopen tijd zijn er diverse lekken geweest waardoor persoonlijke gegevens op straat kwamen te liggen. Enkele voorbeelden :

• In december 2009 is een USB-stick met de gegevens van 3.000 klanten van de Rabobank kwijtgeraakt. De stick bevatte persoonsgegevens, beleggingsvormen en in veel gevallen de hoogte van het belegde vermogen.
• Het adresboek van persbureau GPD bleek in augustus 2009 voor iedereen via Google beschikbaar te zijn gemaakt. Hierdoor zijn de telefoonnummers van bekende Nederlanders die een geheim nummer hebben, waaronder Geert Wilders en Gerard Spong, beschikbaar gekomen.
• Het Dagblad van het Noorden heeft in mei 2009 meer dan 32.000 emailadressen van haar klanten per ongeluk toegankelijk gemaakt via haar website. De adressen zijn geindexeerd in zoekmachines.
• Een site waar gratis condooms werden konden worden besteld, maakte de gegevens van al haar klanten – ongeveer 10.000 – per ongeluk on-line beschikbaar. De site was juist bedoeld voor personen die zich schaamden om via een winkel condooms te kopen. Dit lek kwam in februari 2009 aan het licht.

Datalekken zouden gemeld moeten worden aan (potentiële) slachtoffers en het College Bescherming Persoonsgegevens, vindt Bits of Freedom. Zowel daadwerkelijke datalekken als mogelijke datalekken zouden onder de meldplicht moeten vallen. De huidige beperkte meldplicht zoals voorgeschreven in de ePrivacy-richtlijn vindt Bits of Freedom onvoldoende.

Opmerkelijk nieuws afgelopen week, toen bekend werd dat het Ministerie van Binnenlandsze Zaken meer dan 500 .nl-domeinen in beheer heeft, waaronder enkele domeinen die helemaal niets met de bedrijfsvoering of de daaruit voortvloeiende campagnes te maken hebben.

In de lijst van domeinen treffen we onder andere domeinen als ‘kinderporno.nl’, ‘godverdomme.nl’, ‘meinkapf.nl’ en ‘heilhitler.nl‘ aan. Het Ministerie geeft aan dat deze domeinen in het verleden bij de SIDN op een lijst stonden met niet te registreren namen. Toen de SIDN de lijst heeft laten vallen is het Ministerie als zedenmeester op gaan treden, door deze domeinnamen te registreren.

In een uitgegeven persbericht pleit het Ministerie zich vrij door te schrijven dat “al veel domeinnamen zijn vrijgegeven toen de registratie van domeinnamen voor ministeries gecentraliseerd werd en over ging naar het Ministerie van Algemene Zaken”. Dit mag misschien correct zijn, maar is het daadwerkelijk de taak van het Ministerie om als zedenmeester over enkele genoemde domeinen op te treden?

De dataretentie-wet staat mogelijk op lossen schroeven. In Duitsland wordt momenteel een proces gevoerd over de vraag of deze wet, die ook in de Nederlandse vorm in Nederland geldt, in strijd is met de grondwet. Het proces wordt gesteund door 34.000 Duitse burgers.  Het Duitse  Bundesverfassungsgericht (zeg maar de rechter) was in een eerdere fase van dit proces al bijzonder kritisch over de dataretentie-wet en toonde zich tijdens de behandeling van deze zaak opnieuw bijzonder kritisch. In Duitsland ligt de zaak nog gevoeliger dan in Nederland vanwege het Naziverleden.

De wet, die vooral bedoeld was om terroristen de pas af te snijden of om zware misdrijven op te lossen, wordt ook door de content-industrie likkebarend bekeken. De content industrie wil de nieuwe wet graag gebruiken bij de handhaving van auteursrechten. Zoals zo vaak bij het vastleggen van extra gegevens dreigt het oorspronkelijke doel uit het oog te worden verloren. Als gegevens eenmaal vastliggen zullen deze gegevens ook gebruikt gaan worden voor zaken waarvoor het niet bedoeld was.

Het verloop van de rechtzaak heeft de tegenstanders van de wet extra hoop gegeven dat de rechter hun argumentatie zal volgen. De uitspraak wordt in de komende maanden verwacht. Als de tegenstanders hun gelijk halen is het ook te verwachten dat in Nederland werk gemaakt wordt van het aanvechten van deze wet.

In Nederland voert het Agentschap Telecom sinds enige tijd overleg met de ISP’s over de uitvoering van deze wet en de wijze waarop ISP’s de dataretentie moeten gaan organiseren.

Afgelopen week heeft de Europese Commissie nieuwe Europese Regelgeving  aangaande de Telecom afgekondigd. Hierin wordt onder meer op zwakke wijze getracht de net-neutraliteit te waarborgen. De wet kent een daarnaast een aantal andere onderwerpen.

De verankering van netneutraliteit in de nieuwe wet is ronduit halfslachtig te noemen. Internet Providers hebben krachtige middelen om onderscheid te maken tussen de verschillende datastromen op het web. Door ‘traffic-management’ kan aan bepaald verkeer voorrang worden gegeven (zoals IPTV). Maar ‘traffic-management’ kan ook misbruikt worden om verkeer dat de operator niet zo handig vindt te beperken of om een dominante positie op de markt te verkrijgen.

Daarom zal onder de nieuwe Europese regels de nationale telecom-waakhond eisen kunnen stellen aan de minimum kwaliteitsniveau’s van de providers. Ook dient de nationale telecomwaakhond te zorgen dat netneutraliteit wordt gewaarborgd. Maar veel verder dan dat providers worden verplicht ‘traffic management’ technieken en beleid vooraf kenbaar maken aan de consument, gaat de wet niet.

Het zou fraai zijn geweest als de formulering hiervan krachtiger zou zijn geweest. Nu kunnen Telco’s bepalen welke informatie de consument voorgeschoteld krijgt en welke niet.  Het probleem dat door een telco wordt veroorzaakt wordt hierdoor weer op het bordje van de consument gelegd. Hij zal, als hij überhaupt op de hoogte is van de beperkingen die een telco oplegt, zelf een andere provider moeten zoeken. Maar in veel gevallen zal de consument zich niet eens verdiepen in de specifieke beperkingen van de providers waardoor hij dus onwetend blijft en zijn recht op vrije informatieverschaffing en vrije meningsuiting wordt gedwarsboomd. De huidige wet kan gezien worden als een overwinning van de zeer sterke telecom-lobby in Brussel en geldt als een nederlaag voor de linkse fracties in het Europarlement.

Onderdeel van de wet is verder de oprichting van de nieuwe Europese telecomautoriteit BEREC. Vanaf het voorjaar van 2010 zal het BEREC de nationale telecomregelgevers en de Europese Commissie helpen om ervoor te zorgen dat telecomdiensten in de hele EU kunnen worden geleverd onder consistente en concurrerende voorwaarden. Naast de oprichting van de BEREC is verder bepaald dat Europese consumenten binnen 1 dag van vaste of mobiele telecom operator moeten kunnen wijzigen met behoud van hun telefoonnummer. Een contract met een telco mag niet langer dan 24 maanden duren.

Ook  is bepaald dat lidstaten de toegang of het gebruik van services en applicaties op internet moeten zien als een fundamenteel recht zoals vastgelegd in de Europese Conventie voor de bescherming van de rechten van de mens.  De wet kent verder onder meer nieuwe regels voor betere bescherming van persoonlijke telecom gegevens, richtlijnen om het platteland ook van breedband te voorzien en betere bereikbaarheid van het noodnummer 112.

De lidstaten moeten hun nationale regelgeving snel aanpassen aan de nieuwe Europese regels.

De ICANN krijgt een groot deel van de gewenste autonomie en zal het beleid voortaan minder door de Amerikaanse overheid hoeven te laten bepalen. Dat is waarschijnlijk de kern van het nieuwe contract tussen de ICANN en de Amerikaanse overheid dat woensdag wordt onthuld.

Het huidige zogeheten Joint Project Agreement (JPA) dat de ICANN heeft met het Amerikaanse ministerie van Handel loopt op 30 september af. Over dit contract is veel dicussie omdat de Verenigde Staten hiermee te veel invloed zouden uitoefenen op de handhaving en uitgifte van domeinnamen en ip-adressen.

Volgens een artikel van Domain News Wire tekent de Amerikaanse overheid een contract voor onbepaalde tijd met de ICANN in plaats van ee contract dat slechts enkele jaren geldig is. In het document zou staan dat de ICANN een Amerikaanse non-profit organisatie blijft, maar dat niet-Amerikaanse landen vanaf 1 oktober meer te zeggen krijgen.

Ook zal de ICANN voortaan worden gecontroleerd door vier toezichthouders. Deze moeten letten op respectievelijk de concurrentie tussen generieke domeinnamen onderling (zoals .com en .net), de verwerking van gegevens van domeinnaamregistraties, netwerkbeveiliging en transparantie en de financiën en het algemeen belang. Naar verluidt krijgt de Amerikaanse overheid alleen in die laatste groep van toezichthouders een vaste zetel.

Onlangs pleitte een aantal Amerikaanse Congresleden al tot de vorming van een permanente band tussen het ministerie en de ICANN. In een brief vroegen de politici om een nieuw akkoord met de ICANN te sluiten voor onbepaalde tijd. Die wens lijkt nu te worden ingewilligd.

Internetproviders mogen geen content of toepassingen blokkeren en ze moeten transparant zijn over hun netwerkbeheer. Die boodschap sprak Julius Genachowski, voorzitter van de Amerikaanse telecomautoriteit FCC, maandag uit.

De Federal Communication Commission hanteert vier basisbeginselen om het internet vrij en open te houden, vertelde Genachowski. Alle regels en besluiten van de FCC zouden aan de criteria van deze vier beginselen voldoen.

De vier basisbeginselen bestaan uit de eis dat de consument toegang moet kunnen hebben tot wettige informatie, applicaties en diensten van zijn keuze. Ook moeten consumenten geen apparaten aan het netwerk verbinden die schade kunnen aanrichten.

In de toespraak van maandag heeft Genachowski voorgesteld om nog twee nieuwe beginselen toe te voegen. De eerste moet verhinderen dat internetproviders bepaalde content of toepassingen op internet blokkeren. Tegelijkertijd dienen ze te zorgen voor een redelijk en transparant netwerkbeheer, vindt de FCC-voorzitter.

“Het is voor het functioneren van het internet van groot belang dat we die principes bewaken. Want internet is een buitengewoon platform voor innovatie, werkgelegenheid, investeringen en kansen.”

Officieel
Genachowski wil deze twee nieuwe beginselen tijdens de volgende FCC-bijeenkomst in oktober gaan bespreken zodat ze via de Notice of Proposed Rulemaking (NPRM) officieel ingevoerd kunnen worden.

De FCC-voorzitter wil hiervoor feedback verzamelen over de vraag in hoeverre netwerkbeheer inzichtelijk gemaakt kan worden. Ook wil hij weten welke informatie breedbandproviders over hun netwerkbeheer zouden moeten melden en hoe ze omgaan met verschillende platformen, waaronder mobiele internetdiensten. Om de inhoudelijke discussie op te gang te brengen, is de site openinternet.gov opgezet.

België krijgt vanaf 1 januari volgend jaar een eigen Computer Emergency Response Team (CERT). Na ruim vijf jaar lang discussiëren komt er eindelijk een centrum van waar uit cyberaanvallen moeten worden bestreden.

De laatste maanden van het jaar is het academische netwerk Belnet een gespecialiseerd overheidsteam aan het vormen dat computervirussen en andere bedreigingen moet gaan bestrijden.

Vanaf 1 januari 2010 moet het CERT, in België ook de ‘internetbrandweer’ geheten, operationeel zijn. Dat heeft de Belgische minister van Ondernemen en Vereenvoudigen dinsdag bevestigd, schrijft de krant De Standaard.

“Die pompiers komen snel tussenbeide bij een aanval, voordat een cyberaanval zich op grote schaal kan verspreiden. Bij grote internetproblemen coördineert deze cel ook de acties tussen de verschillende hostingbedrijven en telecomoperatoren, net zoals bij rampen een gouverneur de coördinatie op zich neemt”, legt de Belgische parlementariër Roel Deseyn uit. Hij is één van de voorstanders van het CERT.

Bij de zuiderburen wordt al zeker sinds 2004 gesproken over de totstandkoming van een CERT. Er is lange tijd onduidelijkheid geweest over welke instanties waarvoor verantwoordelijk zijn. Het CERT komt onder toezicht van het Belgisch Instituut voor Postdiensten en Telecommunicatie (BIPT). De federale overheidsdienst voor ict, Fedict, leidt het hele project. Aan Belnet is de opdracht gegeven om een team van mensen te vormen die het CERT moeten gaan leiden.

In Nederland is bestaat sinds juni 2002 het Govcert, dat overheidsinstellingen waarschuwt en helpt bij digitale bedreigingen. Voor de gewone Nederlandse internetter is er sinds enkele jaren de Waarschuwingdienst.

De geruchten gingen al enige tijd, maar nu is het officieel:  Rod Beckstrom, het voomalige hoofd cybersecurity van de VS wordt de nieuwe baas van ICANN. Beckstrom volgt de Australiër Dr. Paul Twomey op die ICANN sinds maart 2003 heeft geleid als president en CEO.

Beckstrom zijn vorige werkgever was het U.S. Departement of Homeland Security, waar hij directeur van de National Cybersecurity Center (NCSC) was. In deze functie was hij verantwoordelijk voor de aanpak en coördinatie van cybercrime in de Verenigde Staten.

Beckstrom heeft verder ook een indrukwekkend cv. Op zijn 24ste richtte hij zijn eerste software bedrijf CATS Software op, dat uitgegroeid is tot een beursgenoteerde onderneming. Later richtte Beckstrom nog verschillende andere succesvolle ondernemingen op.

Tijdens de ICANN bestuursvergadering die afgelopen week in Sydney plaatsvond werd Beckstrom officieel benoemd. In zijn acceptatie speech zei Beckstrom het volgende:

[ICANN] is a beautifully complex one—and I received many warnings and many of you said to me, ‘do you really know what you’re getting in for? Are you sure you’re ready for this?’ But I say where you see and hear cacophony, I see a symphony. Because it’s the nashing and the thrashing through all the technical standards processes, through all of the policy processes, through legal issues, the trademark issues, the address issues, the name issues, all of the things that you have handled and you have done has given birth and given rise to the Internet, which is now touching 1.5 billion people on this planet directly through their computers. And another billion—and soon two—through their phones and other devices. And it’s the noise and complexity and the lack of any central control in this process that has made it so rich, and so open for the entire world.

Van alle kanten wordt Beckstrom gelauwerd. Volgens Google CEO Eric Schmidt kon er geen betere kandidaat dan Beckstrom kon worden gevonden. Marc Rotenberg, directeur van privacyorganisatie EPIC noemt Beckstrom een geweldige keuze en iemand die begrijpt welke uitdagingen er zijn en opkomt voor de rechten van internet gebruikers.

Foto: Kim Davis (CC)