Uit "TK Reactie van het kabinet naar aanleiding van de ongeldigverklaring van de richtlijn dataretentie" (lp-v-j-0000006909.pdf, die je kunt downloaden vanuit
http://www.rijksoverheid.nl/documenten-en-publicaties/kamerstukken/2014/11/19/tk-reactie-van-het-kabinet-naar-aanleiding-van-de-ongeldigverklaring-van-de-richtlijn-dataretentie.html):
Het Hof van Justitie legt daarbij uitdrukkelijk een verband met het doel daarvan: het verzekeren dat de gegevens voldoende beveiligd en beschermd zijn. In reactie hierop is de regering voornemens de regeling in de Telecommunicatiewet aan te passen, zodat de aanbieders worden verplicht de te bewaren gegevens binnen de Europese Unie op te slaan en te verwerken. Het toezicht op de naleving van de normen op het gebied van de bescherming en beveiliging van de bewaarde gegevens, die voor een belangrijk deel voortvloeien uit Europese regels, kan daarmee worden verbeterd.
Ik leid hier gemakshalve uit af dat de bescherming van eerder door de overheid ingezamelde gegevens van ons, ook op dit moment, tekort schiet.
Ik vermoed dat een WOB-verzoek naar informatie over beveiligingsincidenten die reeds hebben plaatsgevonden zal stranden in "dergelijke informatie wordt, in verband met de staatsveiligheid, niet vrijgegeven".
Nb. het gaat hier niet alleen om privacygevoelige informatie, maar ook om metagegevens van uitgewisselde zakelijke communicatie. Dergelijke gegevens hebben ook waarde voor industriële spionnen, cybercriminelen en vreemde mogendheden.
Need I say more. Aanvulling 2014-12-03 12:14:
Yes.De overheid wil, naast metadata, ook de inhoud gaan opslaan (zie
https://www.security.nl/posting/409425/Kabinet+wil+inlichtingendiensten+ongericht+laten+aftappen).
Even los van wat ik er persoonlijk van vind: beroepsmatig vind ik dit ook uiterst zorgelijk. Ik beperk me tot het zakelijke aspect, maar schrijf dit geheel op persoonlijke titel.
Zakelijke, met name concurrentiegevoelige, informatie is geld waard. Als je data gaat verzamelen zit daar ook zakelijke informatie bij. Bij opslag en verwerking zijn mensen betrokken. De meeste zijn mensen betrouwbaar, maar er zijn uitzonderingen. Altijd.
Van het percentage onbetrouwbare mensen belazert een zeer klein deel, zoals Snowden, de boel uit ethische motieven (wat je daar ook van moge vinden). Het grootste deel van de "onbetrouwbaren" zal andere motieven hebben; de kercentrale in Doel kon ook gesaboteerd worden. Met de bankencrisis (die nog niet voorbij is) hebben we gezien hoe hebzuch mensen in monsters kan veranderen. Om het nog maar niet over cybercriminelen te hebben, ook zij kunnen infiltreren. En ze lijken steeds jonger te worden (
https://www.security.nl/posting/409322/Europol+arresteert+tieners+wegens+gebruik+van+malware);
voordat je die lui voor de eerste keer betrapt hebt, gaat screening je niet redden.
Daarnaast zal de opgeslagen infromatie ook "externe" cybercriminelen aantrekken. 100% beveiliging bestaat niet (elke dag wordt er wel weer een grote database gestolen). Vroeger of later krijgen ook cybercriminelen dit soort gegevens in handen. Of onze staatsvijanden (huidige en/of toekomstige).
Minister Plasterk zei in het nieuws dat dit afluisteren op beperkte schaal gaat plaatsvinden, met als voorbeeld de communicatie tussen Nederland en Sirië. Het kan zijn dat dit zo blijft, het kan ook zo zijn dat dit bedoeld is om de opinie van het publiek en volksvertegenwoordigers te kneden en ze over de streep te trekken. De praktijk bij dit soort maatregelen is dat
na invoering, als de apparatuur er eenmaal staat, de bevoegdheden zelden worden beperkt. Integendeel, reken er maar op dat ze steeds verder zullen worden uitgebreid.
Ik heb me verbaasd over de hierboven door mij aangehaalde brief van minister Opstelten aan de Tweede Kamer. Om daar wat verder op in te zoomen: kennelijk zijn er
op dit moment geen beperkingen v.w.b. het land waar providers de verplicht ingezamelde metadata mogen opslaan. Ik leidt hieruit af dat dit nu ook gewoon in de VS mag, ergens in de cloud. Dropbox of zo. In de brief staat dat dit moet worden beperkt tot systemen in de Europese unie. Ik ben geen jurist, maar wat ik ervan weet is dat de Patriot Act geldt voor elk bedrijf met een vestiging in de USA. Waar een inzageverzoek door de FBI voor emails opgeslagen op een Microsoft server in Dublin nog door een rechter moet worden beoordeeld, geldt dat niet voor inzageverzoeken van de Amerikaanse geheime diensten zoals de NSA. Een bedrijf in Nederlandse handen kan morgen deels in Amerikaans handen komen. Lees hier
http://www.dni.gov/files/documents/1118/19%20June%202008%20FISCR%20PAA%20Hearing%20Transcript%20-%20Declassified%20FINAL.pdf hoe een Amerikaanse rechter alles wat krom is, recht praat.
Vroeger of later zal dit afluisteren leiden tot lekken van informatie naar andere partijen dan waar deze informatie voor verzameld wordt.
Als dergelijke incidenten al publiek bekend worden, zal dat het tipje van de ijsberg zijn.
De enige manier waarop burgers, bedrijven maar ook pedo's, terroristen en cybercriminelen, zich hier tegen kunnen verweren, is encryptie. En dat gaat massaal gebeuren. Met als gevolg dat geluiden om diverse soorten encryptie te verbieden, steeds luider worden. Aangezien de mensen die dat soort geluiden afgeven, gezichtsverlies zelden tot een acceptabele oplossing rekenen,
kan dit niet goed aflopen.
De nu voorgestelde maatregelen zijn disproportioneel, gaan niet werken (door vaker ingezette encryptie) en zullen uiteindelijk alleen maar tot onvrede en gevoelens van onderdrukking leiden. Dat
op zich kan tot dusdanige onrust in Nederland leiden dat extremisten het heft in eigen hand gaan nemen. Je pakt hier domweg grondrechten af waarover het Europese gerechtshof zich recentelijk redelijk duidelijk heeft uitgesproken.
Ik hoop dat onze volksvertegenwoordigers eerder dan later zullen inzien dat dit middel veel erger zal uitpakken dan de kwaal.