Juridische vraag: mag douane encryptiesleutel eisen?
Heb jij een uitdagende vraag over beveiliging, recht en privacy, stel hem aan ICT-jurist Arnoud Engelfriet en maak kans op zijn boek
"Security: Deskundig en praktisch juridisch advies".
Vraag: Een information security officer van ons bedrijf werd bij de douane gevraagd om zijn laptop aan te zetten ter controle. Toen bleek dat de harde schijf Truecrypt-versleuteld was, werd hij verplicht zijn wachtwoord in te typen voordat hij het land in mocht. De data op deze partitie bevatte vertrouwelijke gegevens met betrekking tot lopende onderzoeken binnen het bedrijf van de werkgever. Was hij werkelijk verplicht hieraan mee te werken? Of kan hij dan door zijn werkgever aansprakelijk worden gesteld voor het lekken van vertrouwelijke informatie?
Antwoord: Om maar met dat laatste: nee, dat kan niet. Een werknemer die op dienstreis is, reist met zijn bedrijfspet op en is daarmee niet persoonlijk aansprakelijk voor wat er bij het uitvoeren van die reis gebeurt. De wet bepaalt namelijk dat een werknemer alleen aansprakelijk is bij opzet of grove nalatigheid van zijn kant, en daarvan is zelden tot nooit sprake. Gaat hij op privévakantie, neemt hij ongevraagd de werklaptop mee én staan daar gegevens op die het land niet uit mogen, dan is er wellicht sprake van grove nalatigheid.
Als de overheid een werknemer verplicht tot een bepaalde handeling, dan moet de werknemer die uitvoeren en de werkgever kan hem dat niet verwijten. Het enige dat de werkgever kan doen, is procedures invoeren over wat te doen als er zo'n bevel komt. Zo hebben veel bedrijven protocollen voor het geval de NMa of andere autoriteiten aan de deur staan voor een inval. En als werknemer word je dan geacht dat protocol te volgen en niet gewoon de kluis mee te geven.
Maar goed, de meer algemene vraag over de laptop is natuurlijk het meest interessant. De douane heeft zeer brede doorzoekingsbevoegdheden, gebaseerd op art. 1:24 Algemene Douanewet en de Algemene wet bestuursrecht Een specifieke bevoegdheid tot ontsleutelen zul je hier niet in vinden.
Bij het betreden van ons land kom je naast de douane echter ook vaak de Koninklijke Marechaussee tegen, die (hoewel onderdeel van Defensie), gewoon onder de Politiewet valt en dus net als politieagenten dingen kan doorzoeken op grond van het Wetboek van Strafvordering. Dit wetboek kent een ontsleutelingsverplichting, art. 126nh. Dit bevel mag aan iedereen worden gegeven binnen de daar genoemde omstandigheden, maar natuurlijk niet aan een verdachte. Wel moet er sprake zijn van een strafrechtelijk onderzoek, oftewel er moet wel iets van een aanleiding zijn voordat men zo'n vordering mag geven.
In de VS is men hier een stuk losser mee. De douane doorzoekt daar zonder aanleiding willekeurige laptops, en hoewel daar rechtszaken over lopen lijkt deze praktijk daar legaal. De tips van Bruce Schneier zijn in de praktijk dan ook zeker aan te raden.
Arnoud Engelfriet is ICT-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. Hij schreef twee boeken, De wet op internet en Security: Deskundig en praktisch juridisch advies.
Voorbeeld:
Ik heb een box aangemaakt van 10 GB. 8 GB daarvan vul ik met supergeheime data die alleen binnen de rechercheafdeling van het bedrijf bekend is. Het wachtwoord daarvan is ontzettend lang en moeilijk.
Daarnaast heb ik dus nog 2 GB om wat data op te slaan dat wel encryptie-waardig is, maar minder van belang als het uit zou lekken dan de echte data. Ik noem: arbeidsovereenkomsten met loonsommen etc.
Omdat de rest wordt opgevuld met random data is het nooit duidelijk of het gedecodeerde nu 2 GB moet beslaan of 8 GB ;)
Je moet er dus voor zorgen dat je niveau van tegenstribbelen omgekeerd evenredig is aan hoe graag je het land in wil.
Sidenote: Als een Amerikaan de US binnengaat kan de Amerikaanse douane in principe niks doen. Ze mogen US citizens de toegang tot het land niet ontzeggen. Hoe dit hier (NL/BE) zit, geen idee, maar ik ga ervan uit dat dit hier ook geldt.
Je kan er natuurlijk ook altijd voor zorgen dat het zover niet hoeft te komen en de meer inventieve toer op gaan door je echte OS op een removable bootable device te zetten terwijl er op je laptop een dummy systeem geïnstalleerd is.
De vraag is dus of er een wettelijke plicht is om te eisen dat men in je laptop mag kijken. Ik kan 'm niet vinden, tenzij er aanwijzingen zijn die je sowieso al verdachte maken. In de VS was dik jaar terug een voorbeeld van een man die kinderporno open had staan op de laptop toen de douane vroeg die in te mogen zien. Na uitzetten van de laptop bleek dat er een wachtwoord op zat. Maar omdat de douane het al had gezien, werd hij verplicht dat wachtwoord te geven om zo het bewijs veilig te kunnen stellen.
Dat was geen "tegen zichzelf getuigen" want het bewijs was al gezien, het was alleen nog een kwestie van afgeven.
Voorbeeld:
Ik heb een box aangemaakt van 10 GB. 8 GB daarvan vul ik met supergeheime data die alleen binnen de rechercheafdeling van het bedrijf bekend is. Het wachtwoord daarvan is ontzettend lang en moeilijk.
Daarnaast heb ik dus nog 2 GB om wat data op te slaan dat wel encryptie-waardig is, maar minder van belang als het uit zou lekken dan de echte data. Ik noem: arbeidsovereenkomsten met loonsommen etc.
Omdat de rest wordt opgevuld met random data is het nooit duidelijk of het gedecodeerde nu 2 GB moet beslaan of 8 GB ;)
Behalve dat iedereen die mogenlijkheid kent en dus je gewoon zal dwingen die 2de key ook te geven...
Het is natuurlijk een heel ander paar mouwen als je betrapt bent met illegaal materiaal en/of je onderwerp bent van een strafonderzoek.
Ik ging er van uit dat de premisse een routinecontrole was. Als je wachtwoord bij routinecontrole gevraagd wordt kan je weigeren om je wachtwoord te geven (waardoor je je verdacht maakt) en kan de douane daarop beslissen (of dreigen met) je de toegang tot het land te ontzeggen als drukkingsmiddel, behalve als je je eigen land binnenkomt.
Indien bovenstaande antwoord klopt dan heb ik drie vervolgvragen:
1. Dient de marechaussee/politiebeambte een schriftelijk bevel te overhandigen?
2. Kan je weigeren mee te werken tot je één op één overleg gehad hebt met een advocaat?
3. Wat zijn de mogelijke gevolgen van een volharding in weigering in de situaties
a. dat het een strafrechtelijk onderzoek betreft waar je geen verdachte in bent
b. dat het een strafrechtelijk onderzoek betreft waar je wel een verdachte in bent
c. dat het geen strafrechtelijk onderzoek betreft maar een verzoek van de douane
[Douane] Mag ik uw laptop even inzien? Oh, wilt u het wachtwoord even intypen.
[Burger] Nee.
[Douane] Ach, u bent Nederlander, komt u verder. Welkom terug!
Je haalt je echt een hoop gedoe op de hals, al is het maar een discussie van vele uren waarom je niet meewerkt en wat er eventueel voor contrabande aan je laptop te herkennen is. Ik zie een slimme douanier er wel voor aan om dan te roepen dat je illegale Windows importeert.
Bij een werklaptop vraag ik me nu af wat er zou gebeuren als men zegt "niet jij persoonlijk maar je werkgever is verdachte" en dan eist dat jij meewerkt. Want formeel ben jij dan niet de verdachte maar wél in het bezit van het wachtwoord, dus gaat 126nh op jou op. Maar het voelt niet zoals het hoort.
@Anoniem 11:48.
1. Het ontsleutelingsbevel uit 126nh hoeft niet schriftelijk te worden gegeven.
2. Ja, maar ondertussen mag men je vasthouden. Hoop dus dat je de 06 van je advocaat bij je hebt.
3. "Het bevel wordt niet gegeven aan de verdachte." Dus als je verdachte bent, mag men je dit niet vragen. Ben je géén verdachte dan ben je strafbaar omdat je dan een bevoegd gegeven bevel niet opvolgt, art. 184 Strafrecht met als maximumstraf gevangenisstraf van ten hoogste drie maanden of geldboete van de tweede categorie.
ACTA - Anti Counterfeting Trade Agreement
https://en.wikipedia.org/wiki/Anti-Counterfeiting_Trade_Agreement
https://www.eff.org/issues/acta
YouTube Animatie over Acta
http://www.youtube.com/watch?v=dmQN93NqqDM
Onder deze (al jarenlang in hetgeheimn onderhandelde) "trade agreement" wil een bepaalde groep industrielen en hun overheids-loopjongens, "internationale wetten" door onze strot drukken, waardoor o.a. douane-personeel straks volledige toegang MOET KRIJGEN tot alle digitale devices die je op ries bij je draagt, puur en alleen om te controleren of alle content "LEGAAL is... Als je alle legale bs eraf stript is dit niets anders dan pure Orwelliaanse censuur op het transport van INFORMATIE in welke vorm dan ook ;-)
Daarom,,, Stop Acta Now!
http://www.stopacta.info/
Verder kun je nog altijd de code of het wachtwoord vergeten zijn. Overkomt mij regelmatig tot ergernis van de helpdesk.
Het gechoochel met gewiste sleutels van Bruce Schneier is leuk, maar het lijkt me dat je een heel wat eenvoudiger verhaal hebt bij de douane als er domweg niets op de laptop staat wat ze niet mogen zien.
100.000.000 Zwaarversleutelde plaatjes van Donald Duck.
Waarom de data niet op de server van de werkgever?
Mondiaal te raadplegen op het moment dat je het nodig hebt.
Wie reist er nou met ernstig vertrouwelijke data?
Toch?
Knappe douane ambtenaar die daar achterkomt.
Het is onmogelijk te bepalen óf er een tweede key is of niet. Goed versleutelde data is niet te onderscheiden van random data en aangezien dit soort software ongebruikte ruimt standaard opvult met random data kan de douane niet bepalen of er tussen die random data nog meer versleutelde informatie staat.
Maar zeggen dat je je wachtwoord vergeten bent is geen optie zeker? Er kan je toch niemand verplichten om een wachtwoord te herinneren?
Ben je niet vergeten om in je vraag aan te geven om welk land het hier ging ? Immers verschilt wetgeving van land tot land. Het verbaast me een beetje dat Arnoud voorbij gaat aan deze vraag.
"De tips van Bruce Schneier zijn in de praktijk dan ook zeker aan te raden. "
Indien je graag uren en uren bij de douane zit omdat ze toch willen weten wat er op je laptop staat, moet je zijn advies vooral opvolgen. Slimmer is het om geen gevoelige zaken op je laptop te hebben staan. Indien je die zaken nodig hebt op reis, kan je die altijd na aankomst via bijvoorbeeld een VPN verbinding benaderen.
"Er is geen reden om tegen het douanepersoneel te liegen. Je kunt ze zelfs een kopie van dit artikel laten zien als ze je niet geloven", aldus Schneier."
Met andere woorden, laat de douane zien dat je (mogelijk) wat te verbergen hebt, waardoor de kans groot is dat je laptop voor verder onderzoek in beslag wordt genomen. Een zeer slecht idee, de douane apprecieert het vast niet wanneer je laat zien spelletjes met ze te spelen.
Indien je hen het artikel laat zien, en hen laat weten dat je de key niet hebt, maar wel aan een kennis hebt verstrekt, dan kunnen ze je overigens ook gewoon vragen om even contact met die kennis op te nemen indien je niet wilt dat ze je apparatuur in beslag nemen.
Last but not least; vergeet niet dat in sommige landen de douane weinig boodschap heeft aan mensenrechten en dergelijke, en dat je in sommige gevallen gewoon hardhandig zal worden aangepakt indien je op deze wijze te werk gaat.
Tuurlijk, maar denk je dat je vervolgens je laptop nog mee krijgt ? Niemand kan jou verplichten om je wachtwoord te herinneren. De douane zal deze uitleg waarschijnlijk niet geloven, en mag wel jou laptop in beslag nemen voor onderzoek. Ook kunnen ze jou langer vasthouden voor verdere ondervraging, of je toegang tot het land weigeren. Speel jij spelletjes, dan doen zij dat toch ook ?
Tuurlijk, maar denk je dat je vervolgens je laptop nog mee krijgt ? Niemand kan jou verplichten om je wachtwoord te herinneren. De douane zal deze uitleg waarschijnlijk niet geloven, en mag wel jou laptop in beslag nemen voor onderzoek. Ook kunnen ze jou langer vasthouden voor verdere ondervraging, of je toegang tot het land weigeren. Speel jij spelletjes, dan doen zij dat toch ook ?
Idd, je neemt niet voor niets een versleutelde laptop mee, een andere optie is denk ik gewoon een 2e harde schijf, de orginele versleutelde harde schijf uit de laptop halen en los in je ruimbagage stoppen en dan een dummy harde schijf in je laptop stoppen, zodat deze het orgineel lijkt waarop geen geheime informatie staat.
Voor de vraag 'wat als ze je 2e hdd vinden?' Ik denk niet dat de gemiddelde douanier weet hoe een harde schijf der uit ziet en anders zeg je dat dat een oude schijf was die nog per ongeluk in je tas zat voordat je op reis was gegaan, zo groot is een 2.5 inch schijf niet en die kan dus makkelijk in een hoekje achter blijven.
Ik heb een box aangemaakt van 10 GB. 8 GB daarvan vul ik met supergeheime data die alleen binnen de rechercheafdeling van het bedrijf bekend is. Het wachtwoord daarvan is ontzettend lang en moeilijk.
Daarnaast heb ik dus nog 2 GB om wat data op te slaan dat wel encryptie-waardig is, maar minder van belang als het uit zou lekken dan de echte data. Ik noem: arbeidsovereenkomsten met loonsommen etc.
Omdat de rest wordt opgevuld met random data is het nooit duidelijk of het gedecodeerde nu 2 GB moet beslaan of 8 GB ;)
Is het bestaan van een 2de container in de eerste niet te testen door te proberen om er nog 6 GB bij in te schrijven? Raak je zo de 2de container kwijt of zegt Truecrypt dan dat de disk vol is na de 2GB data in de buitenste container?
Voor de vraag 'wat als ze je 2e hdd vinden?' Ik denk niet dat de gemiddelde douanier weet hoe een harde schijf der uit ziet en anders zeg je dat dat een oude schijf was die nog per ongeluk in je tas zat voordat je op reis was gegaan, zo groot is een 2.5 inch schijf niet en die kan dus makkelijk in een hoekje achter blijven.
En als hij het niet weet, dan vraagt hij/zij het aan een collega en/of zoeken het op.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
