image

Nederland wil meer waarborgen voor EU-wet over digitaal bewijs

donderdag 2 mei 2019, 10:40 door Redactie, 9 reacties

Nederland wil dat de EU Verordening voor het verkrijgen van elektronisch bewijs (e-evidence) meer waarborgen krijgt om de grondrechten van burgers en nationale belangen te beschermen. Ook voor een soortgelijke overeenkomst met de Verenigde Staten zijn dergelijke waarborgen nodig.

Dat laat minister Grapperhaus van Justitie en Veiligheid in een brief aan de Tweede Kamer weten. De verordening moet autoriteiten sneller en gemakkelijker toegang tot elektronisch bewijs geven. Het gaat dan om zaken als ip-adressen, e-mails, foto's of gebruikersnamen die bij private aanbieders zijn opgeslagen. Via de verordening kunnen autoriteiten van een lidstaat rechtstreeks een bevel aan een aanbieder in andere lidstaat geven, zonder tussenkomst van de autoriteiten van de andere betrokken lidstaat. Aanbieders moeten vervolgens binnen tien dagen antwoorden en in noodsituaties binnen zes uur.

De verordening moet er ook voor gaan zorgen dat autoriteiten in de EU gegevens kunnen vorderen bij een bedrijf dat diensten aanbiedt in de EU, als die gegevens zijn opgeslagen in een land buiten de EU. Hierbij is er ook een procedure opgenomen in het geval de aanbieder met conflicterende verplichtingen te maken krijgt. Het gaat dan om de situatie dat de aanbieder op grond van de EU-verordening gegevens zou moeten verstrekken, maar de verstrekking zou moeten weigeren op grond van het recht van het land waar de gegevens zijn opgeslagen.

Wat betreft de verordening vindt Nederland dat er meer waarborgen moeten worden opgenomen om de grondrechten van burgers en nationale belangen te beschermen, zoals nationale veiligheid en het belang van nationale opsporingsonderzoeken. "Nederland heeft daarom gepleit voor een notificatieplicht bij het uitvaardigen van een verstrekkingsbevel inzake verkeersgegevens en inhoudelijke gegevens. Hierbij zou de handhavende lidstaat de bevoegdheid moeten krijgen om onder voorwaarden de verstrekking te weigeren", aldus Grapperhaus. Bij een recent overleg van Europese ministers van Justitie en Binnenlandse Zaken bleken de meeste EU-lidstaten tegen dit standpunt te zijn.

Cloud Act

In de Verenigde Staten werd vorig jaar de Cloud Act van kracht, een wet waardoor de Amerikaanse autoriteiten gegevens kunnen vorderen die in een ander land zijn opgeslagen bij bedrijven die in Amerika hun hoofdvestiging hebben. Voor het vorderen van gegevens is nog wel een bevel van een Amerikaanse rechter vereist. Hiernaast maakt de Cloud Act het mogelijk dat andere landen een verdrag sluiten met de VS over de grensoverschrijdende toegang tot elektronisch bewijs. De EU en VS zijn van plan om te onderhandelen over een dergelijk verdrag voor justitiële samenwerking in strafzaken.

Grapperhaus noemt het positief dat er onderhandelingen worden gestart over een verdrag tussen de EU en de VS zodat duidelijkheid wordt verkregen over de positie van bedrijven en de rechten van burgers. Er zijn echter meerdere aandachtspunten, aldus de minister. Net als bij de EU Verordening zouden landen, in het belang van burgerrechten en nationale belangen, zich tegen het opvragen van digitaal bewijs door de VS moeten kunnen verzetten. Grapperhaus zal het Nederlandse standpunt in verschillende overleggen over het verdrag naar voren brengen. Wat betreft de EU Verordening is het Europees Parlement nog bezig met het formuleren van een standpunt.

Reacties (9)
02-05-2019, 10:45 door Anoniem
Ik moet nog zien wat voor piepkleine kruimels als grote overwinning zullen worden gepresenteerd nadat deze verordening er doorgeramd geworden is. Meer invloed dan kennisnemen heeft zelfs de vaderlandse politiek niet meer, laat staan het verguisde plebs.
02-05-2019, 11:01 door Anoniem
grondrechten van burgers, laat me niet vreselijk lachen.
grondrechten van criminelen en grote bedrijven, als die maar goed beschermd zijn.
02-05-2019, 13:22 door Bitwiper
Op 26 april j.l., in https://www.security.nl/posting/606792/Onderzoek+naar+opslag+pati%C3%ABntgegevens+in+niet-Europese+cloud, liet minister Grapperhaus nog weten:
MRDM laat mij tevens weten dat de gegevens zijn opgeslagen in het datacentrum van Google in Eemshaven. De gegevens blijven daarmee in Nederland en vallen onder Nederlandse en Europese wet- en regelgeving. Vanuit de contractuele verplichtingen die MRDM met Google heeft gesloten, mag Google niet aan de data komen.
Gezien hetgeen in bovenstaand redactie-artikel over de CLOUD act staat, is dat dus niet waar. Want een willekeurige Amerikaanse rechter kan Google, conform de Amerikaanse CLOUD act, opdragen om gegevens van hun servers, waar ook ter wereld (ook in Eemshaven dus), over te dragen. En, als ik mij niet vergis, dit geheim te houden.

Aangezien er al minstens één Amerikaanse rechter was die vond dat dit moest kunnen (dat betrof e-mails op een Microsoft server in Dublin), nog voordat die CLOUD act bestond, kun je er niet vanuit gaan dat alle Amerikaanse rechters servers op EU grondgebied zullen ontzien.

Daarbij komt dat niet-Amerkaanse burgers nauwelijks tot geen rechten hebben in het Amerikaanse rechtssysteem. Uitspraken als:
Ex-Mozilla CTO: US border cops demanded I unlock my phone, laptop at SF airport – and I'm an American citizen
spreken boekdelen over wat je rechten zijn als non-American Citizen (bronnen: https://www.theregister.co.uk/2019/04/02/us_border_patrol_search_demand_mozilla_cto/ van 2 april j.l. en https://www.theregister.co.uk/2019/05/01/us_border_phone_searches_warrantless/ van gisteren).

Bizar dat onderhandelingen over onze rechten nog moeten worden gestart (ik zie niet wat hier "positief" aan is), terwijl die CLOUD act al op 23 maart 2018 - meer dan 1 jaar geleden dus! - in werking is getreden!? Het gevaar komt echt niet alleen uit China, Noord Korea en Rusland...
02-05-2019, 13:55 door Anoniem
Door Bitwiper: Op 26 april j.l., in https://www.security.nl/posting/606792/Onderzoek+naar+opslag+pati%C3%ABntgegevens+in+niet-Europese+cloud, liet minister Grapperhaus nog weten:
MRDM laat mij tevens weten dat de gegevens zijn opgeslagen in het datacentrum van Google in Eemshaven. De gegevens blijven daarmee in Nederland en vallen onder Nederlandse en Europese wet- en regelgeving. Vanuit de contractuele verplichtingen die MRDM met Google heeft gesloten, mag Google niet aan de data komen.
Gezien hetgeen in bovenstaand redactie-artikel over de CLOUD act staat, is dat dus niet waar. Want een willekeurige Amerikaanse rechter kan Google, conform de Amerikaanse CLOUD act, opdragen om gegevens van hun servers, waar ook ter wereld (ook in Eemshaven dus), over te dragen. En, als ik mij niet vergis, dit geheim te houden.

Klopt niet helemaal. De CLOUD act biedt een bedrijf de mogelijkheid om te weigeren cq. bezwaar te maken als hun handeling in strijd is met de wetgeving in dat betreffende land.

Hierbij is er ook een procedure opgenomen in het geval de aanbieder met conflicterende verplichtingen te maken krijgt. Het gaat dan om de situatie dat de aanbieder op grond van de EU-verordening gegevens zou moeten verstrekken, maar de verstrekking zou moeten weigeren op grond van het recht van het land waar de gegevens zijn opgeslagen.

Waar dacht je dat dit stuk in de EU-wet vandaan komt?

Peter
02-05-2019, 15:49 door Anoniem
Tja, dat komt ervan hè als je in de EU wilt participeren.
Ze komen gewoon je hemd van je lijf vragen en de eigen autoriteiten hebben niets meer te zeggen.

Tijd voor een NEXIT.
02-05-2019, 16:33 door Anoniem
Lekker slim, die EU! Als ze zonder tussenkomst van autoriteiten overal data willen vorderen waar ze binnen de EU maar willen, en ook nog eisen dat er in extreme gevallen binnen 6 uur wordt gereageerd, hebben ze er dan al aan gedacht dat ongeacht de autoriteiten ik in het EU land waar ik woon, enkel de wettelijk taal dien te beheersen van dat EU-land? Omdat ik anders zo een vordering gewoon in de prullie kan gooien? Omdat de lokale autoriteiten die er dan daarna bij moeten komen precies hetzelfde gaan doen? Of moet ik nu met dat buitenspel zetten van lokale autoriteiten er maar binnen 6 uur voor zorgen dat ik prefect IJslands of Lets spreek? Of Hongaars? Het zelfde geldt natuurlijk ook als ik nog vragen heb over die vordering van data. Kan dat dan ook in heel Europa in het plat Amsterdams? Of in het Ghents dialect? Of in het Fries? En als ze dat daar in dat andere EU land niet begrijpen, loopt die 6-uur teller dan gewoon door? (Of anders?)

Als de EU meent dat de tussenkomst van lokale autoriteiten niet snel genoeg is, dan moet de EU maar zorgen dat die sneller worden. Want enkel lokale autoriteiten weten wat mijn lokale rechten en plichten zijn. Die kun je niet zomaar van mij afpakken. Ook niet met een EU-wet. Ik heb recht op mijn lokale autoriteiten. Welke gek er in het Europees parlement heeft bedacht dat je me dat recht zomaar kunt afpakken, en links en rechts voorbij kunt steken, gaat wat mij betreft mooi pech hebben. Bij elk verzoek, of vordering die ik krijg, die niet uit de lidstaat komt waar ik mijn domicilie heb, daar kan ik zelf ook gewoon de lokale autoriteiten inschakelen.
02-05-2019, 17:23 door Bitwiper - Bijgewerkt: 02-05-2019, 17:23
Door Anoniem: Klopt niet helemaal. De CLOUD act biedt een bedrijf de mogelijkheid om te weigeren cq. bezwaar te maken als hun handeling in strijd is met de wetgeving in dat betreffende land.

Hierbij is er ook een procedure opgenomen in het geval de aanbieder met conflicterende verplichtingen te maken krijgt. Het gaat dan om de situatie dat de aanbieder op grond van de EU-verordening gegevens zou moeten verstrekken, maar de verstrekking zou moeten weigeren op grond van het recht van het land waar de gegevens zijn opgeslagen.
Je bent dus afhankelijk van de afweging die het bedrijf maakt (feitelijk laat je hen rechtertje spelen).

Daarbij kan dat bedrijf in de USA flink onder druk worden gezet en tot geheimhouding worden gedwongen - waardoor het risico voor het bedrijf, dat men er in het betreffende EU land achter komt dat gegevens zijn gedeeld, minimaal is. Google heeft maar al te vaak "per ongeluk" de privacy geschonden, met een subpoena is een "foutje" zo gemaakt en staan de bedoelde gegevens (en meer wellicht) op een server in de USA en kan Google, naast het verzoek van de Amerikaanse rechter inwilligen, ook haar eigen datahonger stillen (het zou me niet verbazen als de delete knop op toetsenborden van Google medewerkers is geblokkeerd of slechts lijkt te werken).

Ik vind dit onacceptabel. Als de USA zo'n goede bondgenoot van ons is, moeten ze ons rechtssysteem vertrouwen, en gegevens via de Nederlandse rechterlijke macht opvragen als die gegevens zich op een server in Nederland bevinden. Daar moet je niet over onderhandelen, dat moet je per direct afdwingen.
02-05-2019, 17:47 door karma4
Door Bitwiper: Hierbij is er ook een procedure opgenomen in het geval de aanbieder met conflicterende verplichtingen te maken krijgt. Het gaat dan om de situatie dat de aanbieder op grond van de EU-verordening gegevens zou moeten verstrekken, maar de verstrekking zou moeten weigeren op grond van het recht van het land waar de gegevens zijn opgeslagen.
[/quote]Je bent dus afhankelijk van de afweging die het bedrijf maakt (feitelijk laat je hen rechtertje spelen).
..
Ik vind dit onacceptabel. Als de USA zo'n goede bondgenoot van ons is, moeten ze ons rechtssysteem vertrouwen, en gegevens via de Nederlandse rechterlijke macht opvragen als die gegevens zich op een server in Nederland bevinden. Daar moet je niet over onderhandelen, dat moet je per direct afdwingen.[/quote]Het hele recht staat vol overwegingen en keuzes van alle betrokkenen. Wil jij elk detail zien te regelen volgens jouw wens? Dan heb je de invulling handboek 1984 ofwel een dysotopie. .
02-05-2019, 18:10 door Anoniem
Door Bitwiper: Op 26 april j.l., in https://www.security.nl/posting/606792/Onderzoek+naar+opslag+pati%C3%ABntgegevens+in+niet-Europese+cloud, liet minister Grapperhaus nog weten:
MRDM laat mij tevens weten dat de gegevens zijn opgeslagen in het datacentrum van Google in Eemshaven. De gegevens blijven daarmee in Nederland en vallen onder Nederlandse en Europese wet- en regelgeving. Vanuit de contractuele verplichtingen die MRDM met Google heeft gesloten, mag Google niet aan de data komen.
Gezien hetgeen in bovenstaand redactie-artikel over de CLOUD act staat, is dat dus niet waar. Want een willekeurige Amerikaanse rechter kan Google, conform de Amerikaanse CLOUD act, opdragen om gegevens van hun servers, waar ook ter wereld (ook in Eemshaven dus), over te dragen.
Het zou alleen mogen bij "ernstige misdrijven", alleen is het maar net wat men in de US een "ernstig misdrijf" vindt.
Daarbij moet het ook nog individu-gericht zijn, en dient men de privacy van anderen te ontzien.

Probleem is: wie controleert dit? Er zijn nauwelijks waarborgen. Het doet denken aan een slager die zij eigen vlees keurt.
Waar we vermoedelijk wel vanuit kunnen gaan, is dat er vanuit US-(veiligheids)diensten toegang tot deze servers is,
en dat we hier niet weten wanneer door hen data wordt bekeken, laat staan dat we het kunnen tegenhouden.

Uiteindelijk gaat het er om wat de praktijk is, niet alleen maar wat een papieren afspraak zegt.
Dus een beetje naïef als mensen zeggen: "ik lees dit er in, dus het zal niet gebeuren."
Waarbij deze papieren afspraak ook nog te wensen overlaat aan duidelijkheid: men kan er voor een belangrijk deel in lezen wat men er in zou willen lezen. (en dit is een eigenschap die ik normaal zou betitelen met "duivelswerk")
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.