Juridische vraag: Geldt bewaarplicht als je eigen server host?
Heb jij een uitdagende vraag over beveiliging, recht en privacy, stel hem aan ICT-jurist Arnoud Engelfriet
en maak kans op zijn boek "De wet op internet".
Arnoud is van alle markten thuis, maar vindt vooral in technische / hacking vragen een uitdaging. De Juridische vraag is een rubriek op Security.nl, waar wetgeving en security centraal staan. Elk kwartaal kiest Arnoud de meest creatieve vraag, die dan zijn boek zal ontvangen.
Vraag: Ik heb thuis mijn eigen hostingdienst opgezet. Op mijn server draait onder andere een mailservice die voorziet in pop3, imap en smtp service. Er zit ook een webmail client bij. Niet alleen ikzelf, maar ook een aantal vrienden en kennissen gebruikt mijn mailserver met veel plezier. Ik zie het echt als "spielerei", alleen mensen die ik vertrouw en die cluevol genoeg zijn krijgen een account. Wel vraag ik een vergoeding voor deze dienst, ik moet er zelf ook voor betalen immers. Ik ben niet ingeschreven bij de Kamer van Koophandel overigens. Moet ik me nu toch houden aan de wet bewaarplicht?
Antwoord: De Wet Bewaarplicht geldt voor aanbieders van "openbare telecommunicatienetwerken en telecommunicatiediensten". Deze partijen moeten verkeersgegevens van hun klanten/gebruikers bewaren voor het geval Justitie die nodig heeft voor de opsporing of bestrijding van strafbare feiten. Die gegevens zouden eerst achttien en toen twaalf maanden lang bewaard moeten worden, maar op het laatste moment is de ministerraad toch overgegaan naar "slechts" zes maanden bewaarplicht.
Als internetprovider heb je nu de plicht om verkeersgegevens zoals het MAC-adres en telefoonnummer van de inbellende klant of de e-mailadressen met wie iemand mailt te bewaren. Wat en hoe dat nu precies uitgevoerd moet worden, is volstrekt onduidelijk - kennelijk ook bij de toezichthoudende instanties. Recent heeft het Agentschap Telecom nog een brief naar allerlei providers gestuurd voor een zogeheten nulmeting om te kijken wie er volgens zichzelf(!) onder de wet viel en hoe men omging met de verplichtingen.
Afijn, de bezwaren tegen de bewaarplicht kennen we allemaal maar de vraag hier is: valt onze vraagsteller hier onder? In feite komt die vraag neer op "bied je een openbaar elektronisch telecomnetwerk of telecommunicatiedienst aan". Bij die vraag gelden twee criteria: "openbaar" en "elektronisch netwerk/dienst".
Eerst maar dat laatste. De dienst of het netwerk moeten "elektronisch" geleverd worden. Dat wordt over het algemeen uitgelegd als "je moet stroompjes laten stromen of signalen routeren onder het IP-niveau in het OSI model". Heb je je eigen datacenter met kabels naar een backbone, dan is dat een elektronische dienst. Huur je schijfruimte op een shared server, dan valt dat niet onder de definitie omdat jij dan niets zelf routeert en geen stroompjes laat stromen. Een webmail-dienst valt hier ook niet onder, want daarbij worden ook geen stroompjes gestroomd of signalen gerouteerd.
De vraagsteller draait zijn eigen hostingdienst, maar hij heeft waarschijnlijk geen eigen dedicated glasvezel naar zijn huis waar hij de signalen overheen stuurt. Dan valt hij niet onder de definitie en hoeft hij zich niet aan de wet bewaarplicht te houden. Maar wat nu als er wel een eigen dedicated pijp ligt en hij zelf daarover routeert? Dan zal het hangen op de vraag of zijn dienst "openbaar" is.
Een netwerk of dienst is "openbaar" als in principe iedereen er gebruik van kan maken. Een besloten bedrijfsnetwerk valt hier niet onder, maar een provider als XS4All of UPC wel. In een rechtszaak tussen de OPTA en SURFnet is uitgemaakt dat SURFnet geen openbaar netwerk aanbiedt. Hoewel elke hogeschool of universiteit aangesloten wordt en men daarmee een behoorlijk grote groep mensen bedient, is die groep "voldoende afgebakend". Er is een criterium op grond waarvan je wel of niet van de SURF-diensten gebruik kunt maken, namelijk of je student/medewerker aan een instelling voor wetenschappelijk of hoger onderwijs bent. Je kunt nog hard aanbieden het abonnementsgeld te willen betalen, als je niet aan dat criterium voldoet dan krijg je geen aansluiting. En door die afbakening is het SURFnet-netwerk geen openbaar netwerk.
Omdat de vraagsteller zijn dienst beperkt tot vrienden en kennissen die hij zelf selecteert, lijkt het mij dat hij daarmee niet onder de wet bewaarplicht valt. Niet iedereen kan abonnee worden, er is een criterium dat de groep afbakent. Wel zal de vraagsteller moeten kunnen bewijzen dat hij echt de toegang tot de dienst beperkt: als hij tienduizend vrienden blijkt te hebben is de kans groot dat hij alsnog moet gaan bewaarplicht-bewaren.
Arnoud Engelfriet is ICT-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. In 2008 verscheen zijn boek "De wet op internet".
Arnoud is een jurist en die moeten hun woorden wikken en wegen als ze publiceren. Juist de onderbouwing is interessanter dan een kort "ja" of "nee".
@Arnoud:
Duidelijk betoog, hoewel de wet inderdaad bijzonder onduidelijk blijft...
Greetz, GOOZ
"Huur je schijfruimte op een shared server, dan valt dat niet onder de definitie omdat jij dan niets zelf routeert en geen stroompjes laat stromen. Een webmail-dienst valt hier ook niet onder, want daarbij worden ook geen stroompjes gestroomd of signalen gerouteerd. "
Hoe zit dat dan met virtual ISP's, die wel internetdiensten aanbieden, maar geen eigen infrastructuur hebben omdat het hier gaat om een commerciele organisatie die al het technisch werk uitbesteedt aan leveranciers ? Denk bijvoorbeeld aan alle gratis providers die enkele jaren geleden bestonden toen niet alleen internet providers maar ook andere bedrijven streden om marktaandeel op de Nederlandse internet markt door het weggeven van gratis internetverbindingen (tijd van Freeler, Zonnet en dergelijke). De mail diensten en dergelijke werden door een derde partij gehost, maar zouden neem ik aan als publieke dienst wel aftapbaar moeten zijn.
Geldt er geen ketenaansprakelijkheid waarbij een virtual ISP verantwoordelijk is voor de aftapbaarheid van het gebruikte netwerk, ook al wordt het uitvoerend werk aan leveranciers uitbesteed ? De verantwoording kan je niet enkel bij de leveranciers leggen, want die beschikken vaak niet over de klant informatie welke nodig is om accounts te koppelen aan persoonsgegevens van klanten t.b.v. de bewaarplicht of tapverzoeken.
Op het moment zien we het concept van virtual ISP's minder dan een aantal jaar geleden, maar dit concept kan natuurlijk altijd terugkomen, en het lijkt mij toch dat het niet hebben van eigen infrastructuur niet per definitie betekent dat je geen verplichting hebt om aftapbaar te zijn of te voldoen aan de bewaarplicht. Uitgaande van jouw antwoord lijkt het ook dat een reguliere internet provider de bewaarplicht zou kunnen ontduiken door het beheer van de mailservers uit te besteden aan een leverancier.
Al is er natuurlijk een wereld van verschil tussen bovenstaand voorbeeld en een (virtual) ISP.
Op het moment dat je schijfruimte huurt, en daar een apache daemon op zet en diensten aanbiedt, ben je dus geen aanbieder van "elektronisch netwerk/diensten", want jij bent niet degene die electrische stroompjes routeert, en hoef je dus geen data bij te houden van gebruikers. Anderzijds is de provider die jou die schijfruimte aanbiedt ook niet aansprakelijk, want die biedt enkel de hardware en kan daar nooit de IP adressen mee loggen.
In the end niemand aansprakelijk dus, en dat lijkt me sterk...
Wat wel relevant is, is het feit dat het een besloten groep is die gebruik maakt van de server & dienst. Dat dit vervolgens weer tegen betaling gebeurt zal tzt voor een rechter mogelijk een reden zijn om alsnog gebruikers data op te vragen...
Lijkt me ook leuk om te weten.
laten we het er op houden dat de wetgevende macht nog iets achterloopt bij de tegenwoordige tijd....
@Anoniem 7:09: nee, je hoeft niet elke TCP sessie te loggen. Kort gezegd moet je je klantgegevens bewaren gekoppeld aan de loggegevens die automatisch in je systemen ontstaan bij het leveren van de telecomdiensten. Stel je biedt ADSL-inbeldiensten aan, dan moet je het MAC-adres en het telefoonnummer van de client bijhouden met daaraan het IP-adres dat je uitgaf aan die client. Verstuurt die client een e-mail via jouw SMTP server, dan moet je ook de envelope to/from bewaren gedurende zes maanden. Je hoeft NIET elke bezochte website te bewaren.
Je hoeft geen stroompjes te routeren om toch als aanbieden van een dienst gezien te worden. Voor aanbieder van een netwerk geldt wel die eis van routeren. Al zijn er sommigen die het niet perse over routeren op IP niveau hebben. Ook als je bij een provider een kast huurt en hier een eigen switch met meerdere servers inhangt, kun je gezien worden als aanbieder van een netwerk.
De leverancier van die kast kan namelijk niet aan de tapverplichting voldoen in het (ethernet) netwerk van de huurder van de kast. Daar moet die klant zelf voor zorgdragen. Maar dat is de tapverplichting.
Voor dataretentie moet je kijken naar wat er bewaard moet blijven. Zoals aangegeven geldt dat bijvoorbeeld voor e-mail to en from (niet die in de mail staan, maar die op de server bekend zijn) bewaard moeten worden. Als je een e-mail dienst levert, moet jij dat dan ook bewaren en ben je volgens de wet een aanbieder van een electronische dienst. Er was wat discussie over bedrijven die alleen webhosting doen. Die vallen niet onder dataretentie. Maar er was ook de opmerking dat er geen webhosting provider is die niet ook e-mail aanbiedt. En dat maakt dat ze voor dat deel dus een aanbieder van een dienst zijn.
AT heeft aangegeven dat ze coulant zullen zijn. Met name richting kleinere providers. Als iemand aannemelijk kan maken dat hij niet wist dat hij er onder viel of dat het niet mogelijk was om de maatregelen te nemen, dan geven ze je enige tijd om het op te lossen. Daarnaast is er nu intensief overleg tussen de overheid en de providers over vergoedinsstelsels. De overheid is er nu van doordrongen dat een universeel tarief niet bruikbaar is. Daarvoor is er te veel verschil in groottes en doelgroep van de providers. Daarom ook de coulance richting kleine providers. Als die meer dan hun jaaromzet moeten investeren in iets waarvan ze zeker weten dat er geen baten tegenover staan, wordt dat (vooral door MinEZ) gezien als zeer onverstandig.
BOF was ook aanwezig. Ik verwacht op hun site binnenkort wel een verslag.
Peter
Het probleem zit hem in de definitie van de termen die ze de hele middag gebruikten.
Zolang justitie geen exacte beschrijving van de definitie "ISP", "Provider", "Aanbieder" en "webhosting sector" valt gezien het doel van dataretentie en NAW gegevens iedereen er onder. Immers men wil aan de hand van een email of IP adres de NAW gegevens kunnen krijgen.
Op mijn vraag over de termen en expliciet of webhosting sector er onder ging vallen gaf Agentschap Telecom het antwoord dat dit niet het geval was.
Echter had ik de hele middag het gevoel dat ze niet exact wisten waar ze het over hadden en welke implicaties het voor de markt heeft, laat staan dat ze enig idee hebben wat het technische allemaal voor de "gedupeerde aanbieder" die er aan moet conformeren voor problemen en kosten gaat opleveren. (in sommige gevallen gehele inrichting van je infrastructuur aanpassen om te voorkomen dat je geen dwangsommen krijgt opgelegd omdat ze roepen dat je niet WENST mee te werken).
Echter bij laatste vragen ronde, kwam het onderwerp weer ter sprake en toen heeft iemand van Justitie letterlijk gezegd dat ze dat nog moeten onderzoeken en dat in eerste instantie nog niet aan hoeven te conformeren, totdat ze dat uitgezocht hebben.
Kennelijk denken ze bij de overheid dat mensen een ADSL hebben en de daarbij geleverde email adres + IP gebruiken. Terwijl in de praktijk veel mensen juist niet het adres van hun ADSL provider gebruiken. (sterker nog mensen die vaak van ISP hebben gewisseld weten hoe irritant dat is indien je email adres moet aanpassen).
Dus het is een kwestie van tijd dat justitie tot de conclusie komt dat indien ze ten alle tijde de NAW gegevens van een in Nederland gehoste email adres willen hebben hostingproviders (en daarmee dus iedereen die publiekelijk email verzenden/ontvangen en webmail aanbied) hieraan moeten laten conformeren.
Mochten ze daar zelf niet achter komen (zie boven mbt kennis van zaken), dan zal door een paar incidenten, die b.v. opzienbaren of groot in de media terecht komen er voor zorgen dat dit alsnog zal worden geëist zodra minister van justitie word geconfronteerd met frustratie van de opsporing door het dat het ontbreekt.
Overigens heb je ook in de discussie over de standaard gehoord over het dat er reeds een overheidsonderdeel betrokken is bij het protocol. Dus zou het mij niets verbazen dat gehele consultatie slechts een formaliteit is om de markt te masseren en dit naar binnen te schuiven. De grote telco's die klieken altijd al samen en die vinden dit soort aanpassingen helemaal niet erg, maar voor kleine ondernemers kan dit wel een nekslag betekenen.
Overigens is het te zot voor woorden, want je pakt er alleen maar kleine visjes met dit grote mazen sleepnet, die bewaarplicht heet.
Tot slot ik heb wel iemand van ICTrecht gezien maar Arnoud was er zelf niet bij, gezien dit artikel zou ik NIET erop vertrouwen maar afwachten totdat Justitie zwart op wit de definitie naar buiten brengt, want zolang dat niet het geval is dient iedereen naar de letter van de wet er aan te conformeren.
Wanneer je een server in een coloruimte plaatst, routeer je zelf niets.
Wanneer je 20 servers in een coloruimte plaatst, daar een uplink voor krijgt en die aansluit op een level-2 switch die vervolgens je servers verbind, routeer je zelf ook nog niets, dat doet de isp van de coloruimte dan voor je.
Je hebt in dat geval ook geen aftapbaar netwerk.
Verder is het nu het toch 6 maanden is geworden natuurlijk niet meer zo'n ramp, want zo lang bewaarde je serverlogs toch wel, ik heb er nog wel gearchiveerd staan van 5 jaar terug ook.
Nu is het alleen wel makkelijk wanneer je weet dat je niet onder de bewaarplicht-wet valt, want dan kun je namelijk per geval zelf bepalen of er wel of geen logs beschikbaar zijn in het geval van een aanvraag.
Dus Arnoud, zou je de definitie van routeren nog iets verder willen verklaren voor me?
Begrijp ik goed dat zolang je gebruik maakt van routers van een derde partij en geen eigen AS hebt je er dus niet onder valt, ook al is je dienst wel openbaar?
Arnoud is een jurist en die moeten hun woorden wikken en wegen als ze publiceren. Juist de onderbouwing is interessanter dan een kort "ja" of "nee".
@Arnoud:
Duidelijk betoog, hoewel de wet inderdaad bijzonder onduidelijk blijft...
Greetz, GOOZ
Ik geef hier de persoon in kwestie juist een compliment, maar de onderbouwing eronder is interessanter dan een klein bedankje of goed gedaan!
Aangezien dit voor iedereen vrij toegankelijk is en ik een digitale dienst aanbied ben ik benieuwd of dit wel onder de bewaarplicht valt.... juridisch dilemma?
Het Orakel
Jij schrijft:
Verstuurt die client een e-mail via jouw SMTP server, dan moet je ook de envelope to/from bewaren gedurende zes maanden. Je hoeft NIET elke bezochte website te bewaren.
Mijn vraag:
Mag ik hieruit opmaken dat ze de INHOUD van de mail dan NIET hoeven te bewaren (zowel tekst als attachments) want dat zou wel erg veel data zijn ?
(Stel dat iedereen met augustus zijn vakantiefoto's gaat rondmailen dan kost dat wel wat schijfcapaciteit over de jaren !!)
Als het voor mij en zelfs voor jou onduidelijk is, zullen we niet de enigen zijn.
Dus laat iedereen in een dergelijke situatie er maar zijn voordeel mee doen dan.
Wanneer je hier in de praktijk een keer uitsluitsel over krijgt, wil je dat dan nog een keer laten weten hier of op tweakers wanneer het onderwerp weer eens daar is?
Ik bewaar gewoon mijn logs, maar ik bepaal toch het liefste zelf waar ik wel en niet aan mee werk natuurlijk.
stel ,ik biedt een onbeveiligd draadloos netwerk aan via mijn wifi-modem, moet ik hiervan de logbestanden bewaren?
Het Orakel
Routeren vs Transporteren.... Op wifi heb ik nog steeds een mac adres. Op mijn *router* wordt bepaald wat er met data voor dit mac adres moet gebeuren. volgens mij zitten de protocollen hiervoor onder ip. Het blijf vaag.
Zo ook wat betreft de situatie waar ik een leuk stukje hardware aanschaf, dit ergens in een rek plaats. Daarop installeer ik in enkele minuten een mailserver die via een beveiligde IMAP en SMTP met de gebruikers communiceert, maar ook beveiligd via SMTP met een statisch next hop ergens in het buitenland. De echte 'netwerk provider' kan dan echt alleen maar ip verkeer loggen, en zeker geen SMTP 'sniffen' afluisteren. Oh, en voor het gemak zet ik er ook een proxy op die op http niveau het verkeer anoniem maakt.
Ben ik dan wel of toch niet strafbaar?
Als ik er dan over nadenk, krijg ik het gevoel dat je wat betreft de term "elektronische dienst" in zo'n geval voldoet aan de definitie. Wifi zit op laag 1 van OSI, dus lager kun je niet gaan. Wat dan overblijft is "openbaar". Natuurlijk staat je wifi verbinding open, maar volgens mij mag je niet zomaar gebruik maken van een open wifi netwerk zonder expliciete toestemming (http://www.security.nl/artikel/26362/1/Juridische_vraag%3A_Mag_je_meeliften_op_WLAN%3F.html). Er vanuit gaande dat er dan wel expliciete toestemming is, is het nog maar de vraag of het dan inderdaad openbaar is. In de praktijk is het namelijk zo dan niet iedereen er gebruik van kan maken. Je netwerk heeft maar een bereik van enkele tientallen meters. Er is geen sprake van landelijke dekking. Maar of dat ervoor zorgt dat het niet als openbaar wordt gezien? Geen idee. Ik ben geen jurist. :-)
Zoals al vaker gezegd hier: het blijft vaag. Er is ruimte voor interpretatie en dat zal altijd leiden tot dit soort discussies.
(Het café hoeft niet aan de bewaarplicht te voldoen want het routeert niet zelf.)
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
