image

Juridische vraag: is illegale downloader veilig bij VPN-dienst

woensdag 20 juni 2012, 10:55 door Arnoud Engelfriet, 15 reacties

Heb jij een uitdagende vraag over beveiliging, recht en privacy, stel hem aan ICT-jurist Arnoud Engelfriet en maak kans op zijn boek
"Security: Deskundig en praktisch juridisch advies".

Vraag: Kunnen beheerders van een VPN dienst aansprakelijk worden gesteld voor eventueel “illegaal” dataverkeer wat over de lijn naar betaalde users gaat? En in het verlengde daarvan: kunnen zij wettelijk worden verplicht om te loggen en NAW gegevens af te staan?

Antwoord: Nee, de exploitant van een VPN dienst is niet aansprakelijk voor de inhoud van het verkeer dat hij faciliteert. De wet (art. 6:196c BW en artikel 54a Strafrecht) bepaalt dat iemand die een dienst levert bestaande uit het verzenden en ontvangen van data voor anderen, daar niet voor aansprakelijk is. Deze bescherming voor internetproviders geldt voor een VPN net zo goed als voor een klassieke provider als XS4All of Chello.

Dit is meteen ook de reden dat die providers niet zelf aansprakelijk gesteld worden door clubs als Brein wegens auteursrechtschendingen of vervolgd worden wegens het mede verspreiden van haatzaaiende inhoud of kinderporno.

Wél is er een gaatje gevonden in de wet dat providers kan dwingen om tot een websiteblokkade over te gaan, op grond waarvan Brein enige tijd terug een Pirate Bay-blokkade kon eisen bij providers. Een dergelijke eis kan ook bij VPN-aanbieders worden opgelegd. Althans, als dat verbod stand houdt in hoger beroep.

Tevens kan de politie IP-adressen en NAW-gegevens van eindgebruikers opvragen, overigens zonder gerechtelijk bevel nodig te hebben (art. 126na Strafvordering). En ook kan er (met machtiging van de rechter-commissaris) een bevel worden gegeven om een specifieke gebruiker te gaan tappen of gedetailleerd te loggen (art. 126ne en 126ng Strafvordering). Er moet dan sprake zijn van een concrete verdenking, maar dan kán het wel. Iets dergelijks speelde bij HideMyAss vorig jaar.

Los daarvan: je bent als provider niet verplicht om wat dan ook te loggen. De enige eis op dit gebied is dat als je logt, je moet bewaren wat je hebt gelogd en wel een jaar lang. De Wet bewaarplicht is immers een bewaarplicht en niet een logplicht. Wat je niet hebt, hoef je niet te bewaren. Maar bij een betaalde dienst zul je gegevens bewaren over je gebruikers, je moet ze immers factureren en/of bijhouden of ze nog krediet hebben. En die moet je dan ook een jaar lang bewaren.

Overigens is het niet zeker dat een VPN-aanbieder onder de wet bewaarplicht valt. Die geldt voor "aanbieders van een elektronische communicatiedienst", en dat zijn in principe alleen partijen die zelf signalen over kabels sturen. Bij een VPN is daar nu net geen sprake van.

Arnoud Engelfriet is ICT-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. Hij schreef twee boeken, De wet op internet en Security: Deskundig en praktisch juridisch advies.

Reacties (15)
20-06-2012, 11:40 door Anoniem
Ik wens Brein succes met geblokkeerd krijgen van in Nederland verboden websites bij buitenlandse VPN's. Of zouden ze alle buitenlandse VPN's nu willen laten blokkeren door de Nederlandse ISP's? Deze strijd is onwinbaar.
20-06-2012, 11:43 door Anoniem
Mullvad logt voorzover ik weet niet..
En je kunt gewoon cash opsturen met daarbij je zg. 'customer id', daarmee is ook het stukje 'administratie' geregeld ;)
20-06-2012, 11:49 door Anoniem
Ha Arnoud,

Ik ga wel erg in detail nu hoor, maar VPN-providers vallen wellicht wel onder het begrip communicatieprovider zoals bedoelt in artikel 126la Sv (ik weet het, het verschillende begrippenpaar uit strafvordering en de telecomwet zijn verwarrend, maar het is nu eenmaal zo). Dat betekent dat gegevens ook opgevraagd kunnen worden op grond van 126n Sv, waarbij met een bevel van een officier van justitie een iets grotere set gegevens kan worden opgevraagd. Aan de andere kant is 126na Sv natuurlijk een lagere drempel (en wordt daardoor makkelijker en vaker toegepast), omdat een opsporingsambtenaar i.p.v. OvJ die gegevens kan vorderen. Officieel is het opvragen van toekomstige gegevens (126ne Sv) geen tappen natuurlijk (zoals bedoelt in 126m Sv), maar daar komt het in de praktijk wellicht op neer als toekomstige gegevens worden opgevraagd. Ook zou een VPN-provider mee kunnen werken aan een tap op grond van 126m lid 4 Sv.

Daarnaast is er denk wel nog ruimte voor discussie of een VPN-provider een 'aanbieder van een openbare telecommunicatiedienst' is zoals bedoelt in de Telecommunicatiewet. Zie ook mijn meest recente artikel over de mogelijkheden en beperkingen van de internettap hierover. Die twijfel is er zeker m.b.t. VPN-providers specifiek voor zakelijke dienstverlening e.d. (sommigen zijn blijkbaar ook aangemeld in het Meldingsregister van de OPTA). Dat soort bedrijven willen natuurlijk niet onder het begrip vallen, omdat daar allerlei wettelijke verplichtingen bij komen (naast bewaarplicht ook verplicht meewerken bij tappen bijvoorbeeld) die geld kosten. Ik zeg niet dat ze er allemaal onder vallen en pleit daar ook niet direct voor, maar geef wel aan dat niet met zekerheid is te zeggen dat ze er niet onder vallen. De wetgever of toezichthouder biedt helaas ook weinig duidelijkheid op dit punt en de regeling is bijzonder lastig handhaafbaar t.o.v. buitenlandse providers.

Jan-Jaap Oerlemans
20-06-2012, 11:49 door Anoniem
Gaat dat ook op voor een VPN naar Zweden ?

Duur maar dan heb je ook wat
www.vpntunnel.se
20-06-2012, 12:14 door Acces Denied
ipredator.se opgericht door de makers van TPB logt ook niets, heb ze dat nog eens gevraagd en alleen bijvoorbeeld in een moord zaak waar redelijke vermoeden/bewijs is zouden ze informatie overdragen:
What happens if:

Swedish authorities,
the MAFIAA,
other organizations,
or individuals

demand access to information protected by IPredator?

IPredator VPN service enjoys the strongest legal protection possible under Swedish Law, because it is a pre-paid, flat-rate service. This means that IPredator does not have to maintain the usual customer databases to correlate your data. This is important if we are forced to hand over information about you to the Swedish authorities.

If Swedish authorities can prove beyond reasonable doubt, e.g. in murder cases, that they have a case for demanding subscription information from IPredator they have to be of the opinion that if convicted the user will be imprisoned - a fine is not enough.

IPredator then has to hand over the subscription information entered by you, which is all that we are required to do. IPredator does not store any subscription information about you except what you entered when signing up for the service. We minimize the use of logs within our systems and only grant access to them to a selected number of staff for debugging when service quality is an issue.

Regarding inquires from other parties than Swedish authorities: IPredator will never hand over any kind of information.

For more information about Swedish Telecom Law please read:

The Electronic Communications Act 2003:389p

Bron: https://ipredator.se/page/security
20-06-2012, 12:31 door Arnoud Engelfriet
Dank voor de aanvullingen Jan-Jaap!

Met de opmerking of ze wel of niet onder de TW vallen doelde ik specifiek op het stuk over de Wet bewaarplicht, omdat ik er nog niet uit ben of een VPN een ECD is. Ik denk het niet.
20-06-2012, 18:00 door Anoniem
Een wat korter antwoord:
Downloaden is nog steeds niet illegaal in Nederland.
20-06-2012, 20:59 door Anoniem
Hi Arnoud,

Als een provider authentication logging doet (bijvoorbeeld op basis van radius), valt dat volgens mij onder de TW ivm de Bewaarplicht.

http://www.eerstekamer.nl/behandeling/20090730/publicatie_wet_2/document3/f=/vi7rba4t9qj6.pdf ( PDF behandeling Eerste Kamer)
b. gebruikersidentificatie: een unieke identificatie die aan een persoon
wordt toegewezen wanneer deze zich abonneert op of registreert bij een
internettoegangsdienst of internetcommunicatiedienst;


B. Bij internettoegang, e-mail over het internet en internettelefonie:
a. de toegewezen gebruikersidentificatie(s) en de gebruikersidentificatie
of telefoonnummer van de beoogde ontvanger(s) van een internettelefoonoproep;
b. de gebruikersidentificatie en het telefoonnummer toegewezen aan
elke communicatie die het publieke telefoonnetwerk binnenkomt;
c. naam en adres van de abonnee of de geregistreerde gebruiker aan
wie het IP-adres, de gebruikersidentificatie of het telefoonnummer was
toegewezen op het tijdstip van de communicatie en naam (namen) en
adres (adressen) van de abonnee(s) of de geregistreerde gebruiker(s) en
de gebruikersidentificatie van de beoogde ontvanger van communicatie;
d. datum en tijdstip van de log-in en log-off van een internetsessie
gebaseerd op een bepaalde tijdzone, samen met het IP-adres, hetzij
statisch, hetzij dynamisch, dat door de aanbieder van een internettoegangsdienst
aan een communicatie is toegewezen, en de gebruikersidentificatie
van de abonnee of geregistreerde gebruiker;
e. datum en tijdstip van de log-in en log-off van een e-maildienst over
het internet of internettelefoniedienst gebaseerd op een bepaalde
tijdzone;
f. de gebruikte internetdienst;
g. het inbellende nummer voor een inbelverbinding;
h. de digital subscriber line (DSL) of ander eindpunt van de initiatiefnemer
van de communicatie.

Het is volgens mij niet relevant of het om electronische communicatie dienst gaat. Aangezien het namelijk ook zou gelden voor glasvezel verbindingen waarbij PPPoE verbindingen worden gebruikt.

Dan heb je het over licht, waarbij een ethernet laag wordt gebruikt voor de daadwerkelijke authenticatie naar de radius server.
http://en.wikipedia.org/wiki/Point-to-Point_Protocol_over_Ethernet

Als je kijkt naar waar het over gaat, is dat het gaat om Access Diensten en daarin verschilt DSL / Fiber niet imho tov een VPN dienst. Ik denk (vrees) dat als het ooit een keer naar een rechter zou gaan, dat het op basis van de 'intentie van de wet' bekeken gaat worden ipv strict de letter van de wet.

Net als dat de Bewaarplicht ook geld voor VoIP providers, zal dit ook voor VPN providers zijn.

Mvg,
Erik Bais
21-06-2012, 01:01 door Anoniem
Door Acces Denied: ipredator.se opgericht door de makers van TPB logt ook niets, heb ze dat nog eens gevraagd en alleen bijvoorbeeld in een moord zaak waar redelijke vermoeden/bewijs is zouden ze informatie overdragen:
What happens if:

Swedish authorities,
the MAFIAA,
other organizations,
or individuals

demand access to information protected by IPredator?

IPredator VPN service enjoys the strongest legal protection possible under Swedish Law, because it is a pre-paid, flat-rate service. This means that IPredator does not have to maintain the usual customer databases to correlate your data. This is important if we are forced to hand over information about you to the Swedish authorities.

If Swedish authorities can prove beyond reasonable doubt, e.g. in murder cases, that they have a case for demanding subscription information from IPredator they have to be of the opinion that if convicted the user will be imprisoned - a fine is not enough.

IPredator then has to hand over the subscription information entered by you, which is all that we are required to do. IPredator does not store any subscription information about you except what you entered when signing up for the service. We minimize the use of logs within our systems and only grant access to them to a selected number of staff for debugging when service quality is an issue.

Regarding inquires from other parties than Swedish authorities: IPredator will never hand over any kind of information.

For more information about Swedish Telecom Law please read:

The Electronic Communications Act 2003:389p

Bron: https://ipredator.se/page/security


Prut VPN dus want je kunt niet anoniem betalen zoals Bitcoin of per post.
Bij IPredator kun je enkel betalen met PayPal, PaySon of AlertPay, diensten die NAW gegevens van je hebben.
Reden voor mij om te kiezen voor Mullvad, net een iets betere optie dan IPredator.
21-06-2012, 01:47 door Anoniem
Door Arnoud Engelfriet: Dank voor de aanvullingen Jan-Jaap!

Met de opmerking of ze wel of niet onder de TW vallen doelde ik specifiek op het stuk over de Wet bewaarplicht, omdat ik er nog niet uit ben of een VPN een ECD is. Ik denk het niet.


Arnoud,

Ik hoop dat je nog even deze vraag wilt beantwoorden, ik denk namelijk dat de vraagsteller de vraag anders had willen stellen en namelijk: In hoeverre kan iemand me iets maken als ik via een VPN illegale bijv. films ga downloaden.
Jij antwoord dat ze de VPN niet verantwoordelijk is voor deze dingen, maar als gebruiker van de VPN betekend dit
dus dat deze aansprakelijk is. VPN aanbieders zeggen juist dat gebruikers zich geen zorgen hoeven te maken
over de data omdat deze juist geencrypt is. (en ook derden bijv. een overheid daar geen zicht op hebben)

Ik zal het even beter trachten te formuleren.
VPN aanbieders zoals bijv. Darknet en Mullvad claimen dat ze geen logs en tijdtippen e.d loggen. Ze zeggen ook dat door de versleuteling de data niet is de decrypten. (dus in mijn ogen 100% veilig) Torrent verkeer legaal, dan wel illegaal of andere data daar hebben ze geen kijk op. Wat ik zoal van Mullvad links en rechts heb gelezen is dat deze helemaal niks opslaat en gebruikers zich nergens zorgen over hoeven te maken.

Wat ik ook mis in je antwoord is hoe het zit met VPN aanbieders die geen Internet access provider zijn zoals Mullvad.
Zelf claimen ze namelijk niet te hoeven loggen wat VPN Internet access provider(s) via de wet bewaarplicht wel moeten. Dus hoeft een VPN aanbieder dus dus geen Internet access provider inderdaad niks te loggen dan wel bewaren?


Via via heb ik vernomen dat Mullvad indien "iemand" toch de data zou kunnen decrypten, en daar een rechtzaak uit zou voortvloeien ze een gebruiker niet konden beschermen in die rechtzaak.

Allemaal zaken die hoogst onwaarschijnlijk is als je geen domme dingen doet, maar het laat me wel twijfelen over de betrouwbaarheid van de aanbieder want die zegt dat waar niks wordt gelogd niks valt te achterhalen, en de data niet is te
decrypten. Dus als hun dienst zoals ze claimen niet kraakbaar is waarom staan ze hun gebruikers dan ook niet bij in een eventuele rechtszaak? Dit doet me toch een beetje twijfelen want ik mijn ogen is hun dienst dan toch niet zo superveilig als ze beweren dat deze is.

In hoeverre is hier iets over te zeggen?

Dank voor je antwoord.
21-06-2012, 11:24 door SirDice
Door Anoniem: In hoeverre kan iemand me iets maken als ik via een VPN illegale bijv. films ga downloaden.
Niet. Ook niet als je dat via je "normale" verbinding doet. Het downloaden van films, muziek en boeken, voor eigen gebruik, is namelijk niet illegaal.
21-06-2012, 11:39 door Arnoud Engelfriet
@Erik Bais: Het is wel degelijk relevant of het gaat om een ECD, want alleen aanbieders van een openbare ECD vallen onder artikel 13.2a Telecomwet, dat de bewaarplicht formeel regelt.

Jouw citaat is uit de bijlage bij de wet en bepaalt wat zij vastleggen. Maar je moet eerst via 13.2a kijken of je überhaupt onder de bewaarplicht valt.

Het is volstrekt onduidelijk of een VoIP dienstverlener zoals Skype eronder valt. Je moet echt een eigen netwerk hebben.
21-06-2012, 13:24 door Anoniem
Iets zegt me dat als voip of vpn aanbieders er nu nog niet onder vallen, zodra dit bekend wordt bij de politiek zal het misverstand opgelost worden.
21-06-2012, 15:54 door Anoniem
als je echt de bewaarplicht wilt omzeilen,wat kan,moet je dnscrypt gebruiken,dan wordt al je dataverkeer versleuteld,en kan een man in the middle je niks maken.
Dan wordt echt al je data meteen versleuteld.
Dan wordt zelfs je ip meteen versleuteld,en waar naar toe je mailf,surft of wat dan ook.
Teminste voor zover ik begrepen heb.
22-06-2012, 15:17 door SirDice
Door Anoniem: als je echt de bewaarplicht wilt omzeilen,wat kan,moet je dnscrypt gebruiken,dan wordt al je dataverkeer versleuteld,en kan een man in the middle je niks maken.
Nee, dat klopt niet. DNSCrypt versleuteld alleen het DNS verkeer. Het overige verkeer wordt niet versleuteld. Als je dus bijv www.security.nl bezoekt wordt het omzetten van de naam naar een IP adres versleuteld (de DNS verzoeken) maar het verkeer van/naar de site zelf niet.

Dan wordt echt al je data meteen versleuteld.
Dan wordt zelfs je ip meteen versleuteld,en waar naar toe je mailf,surft of wat dan ook.
Teminste voor zover ik begrepen heb.
Sorry, maar je hebt 't niet goed begrepen.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.