BITS OF FREEDOM Nieuwsbrief

             ================================================
             ================================================

                        BITS OF FREEDOM NIEUWSBRIEF

                         Nr. 2.5 - 3 maart 2004

             ================================================
             ================================================

           http://www.bof.nl/nieuwsbrief/nieuwsbrief_2004_5.html

=====================================================================
Inhoud:
=====================================================================

1. Wetsvoorstel Cybercrime
2. Nederland spamland
3. Donner: Cryptophone beschermt privacy
4. Auteurswet door Tweede Kamer geloodst
5. Wetsvoorstel 'Mevis' naar Tweede Kamer
6. Juridische risico's bij open source software
7. Donnerabilia
8. Bits of Freedom Jaarverslag 2003

=====================================================================
1. Wetsvoorstel Cybercrime
=====================================================================

Minister Donner van Justitie heeft een ontwerp wetsvoorstel Cybercrime
voor advies naar het Openbaar Ministerie en de Raad voor de
Rechtspraak gestuurd. Het voorstel beoogt uitbreiding en aanscherping
van het strafrecht ten aanzien van computercriminaliteit en geeft
politie en justitie nieuwe bevoegdheden voor de opsporing van
misdrijven.

Het ontwerp wetsvoorstel verandert de definitie van hacking. Het
huidige artikel 138a WvS omschrijft computervredebreuk als het
'opzettelijk wederrechtelijk binnendringen in een geautomatiseerd
werk' indien daarbij 'enige beveiliging' wordt doorbroken of indien
gebruikt wordt gemaakt van valse signalen of sleutels. Deze vereisten
komen te vervallen. Het volstaat als iemand 'opzettelijk en
wederrechtelijk' binnendringt, ook als het om een computer gaat
waarvan de voordeur wagenwijd openstaat. Deze uitbreiding kan
potentieel leiden tot een enorme toename in de aangiften door
consumenten met slecht beveiligde PC's. Bovendien is het de vraag of
professionele systeembeheerders in de wetswijziging geen aanleiding
zien om wat minder inspanning te verrichten bij het beveiligen van hun
computers. Nederland is niet verplicht tot een wetswijziging op dit
onderdeel. Het Cybercrime verdrag geeft landen de mogelijkheid, onder
andere op dit onderdeel, voorbehouden te maken bij de implementatie.
Met het bestaande artikel 138a WvS voldoet Nederland reeds aan het
verdrag. Maar minister Donner wil van deze mogelijkheid geen gebruik
maken: "Mede met het oog op een zo krachtig mogelijke bestrijding van
het verschijnsel hacking acht ik het daarom wenselijk geen beperking
aan te brengen maar artikel 138a zodanig te herformuleren, dat in
beginsel ieder opzettelijk en wederrechtelijk binnendringen in een
computer(systeem) bestraft kan worden".

Het voorstel van Donner geeft aan politie en justitie de bevoegdheid
om een zogenoemd bevriezingsbevel te geven. Dit is een geheel nieuwe
bevoegdheid die nog niet in het Nederlandse strafrecht bestaat.
Artikel 126ni Sv geeft een hulpofficier van justitie de mogelijkheid
om van "degene van wie redelijkerwijs kan worden vermoed dat hij
toegang heeft tot bepaalde gegevens [..] in een geautomatiseerd werk"
te eisen dat hij ervoor zorgt dat de gegevens bewaard worden en niet
verloren gaan. Het kan daarbij gaan om e-mail of verkeersgegevens,
maar de bevoegdheid is niet beperkt tot telecommunicatie. Het bevel
kan mondeling (telefonisch) worden gegeven. Op een later tijdstip kan
de uitlevering van de gegevens worden gevorderd. Het voorstel kan
leiden tot veel verwarring en fouten bij ISP's. Het is immers
onduidelijk hoe de ontvanger van het bevriezingsbevel de identiteit,
en dus de bevoegdheid, van de hulpofficier moet vaststellen bij een
telefonisch gegeven bevel. Bovendien zal het mondeling doorgeven van
gebruikersnamen en ip nummers onherroepelijk leiden tot fouten en dus
tot het opslaan van e-mail van personen die niets van doen hebben met
het politie-onderzoek.

Ook de bevoegdheid van politie en justitie om medewerking te eisen bij
de ontsleuteling van gegevens, wordt uitgebreid. In de huidige
wetgeving kan een opdracht tot ontsleuteling gegeven worden als het om
opgeslagen gegevens gaat. Bovendien moeten aanbieders van
telecommunicatie versleuteling van taps ongedaan maken wanneer zij
deze versleuteling zelf hebben aangebracht. In het nieuwe voorstel
gaat de bevoegdheid veel verder. Het bevel kan worden gegeven aan
"degene van wie redelijkerwijs kan worden vermoed dat hij kennis
draagt van de wijze van versleuteling". De medewerkingsverplichting is
even ruim: "medewerking te verlenen aan het ontsleutelen van de
gegevens door hetzij deze kennis ter beschikking te stellen, hetzij de
versleuteling ongedaan te maken". Providers kunnen hiermee worden
gedwongen om de versleuteling van VPN-verbindingen van klanten
ongedaan te maken. Makers van encryptie-software kunnen in dit
voorstel ook worden gewongen om sleutels aan justitie te geven of
zwakke plekken in hun software bekend te maken.

Het voorstel verandert niets op het gebied van spam. Het verbod op het
sturen van spam wordt in de Telecommunicatiewet geregeld maar spammers
worden niet strafrechtelijk vervolgd. Het voorstel kan alleen iets
doen tegen e-mail bomming, en alleen als de bom bedoeld is om een
server plat te leggen. Spammers willen juist dat hun berichten
aankomen en zullen dus zelden een lading versturen om de werking van
een server te verstoren.

Het ontwerp wetsvoorstel loopt vooruit op de inwerkingtreding van
Cybercrime verdrag. Nederland ondertekende het Cybercrime verdrag in
november 2001. Dit Verdrag van de Raad van Europa is in totaal door 33
landen ondertekend maar nog niet in werking getreden. Het verdrag moet
door tenminste 5 Europese landen zijn geratificeerd. Alleen de
parlementen van Albanië, Kroatië, Estland en Hongarije hebben het
verdrag goedgekeurd. De belangrijkste delen van het verdrag zijn reeds
door Nederland geïmplementeerd in eerdere wetgeving zoals de Wet
computercriminaliteit, de aftapverplichtingen uit de
Telecommunicatiewet en de Auteurswet.

Het Cybercrime verdrag is bekritiseerd door burgerrechtengroepen en de
Europese privacy toezichthouders vanwege het gesloten proces waarmee
het verdrag tot stand is gekomen en eenzijdige keuze voor de belangen
van opsporingsdiensten.

De American Civil Liberties Union (ACLU) heeft een overzicht gemaakt
van de mogelijke voorbehouden die op het Cybercrime verdrag kunnen
worden gemaakt. Via deze lijst wordt in 1 oogopslag duidelijk welke
onderdelen van het verdrag niet hoeven te worden overgenomen.

Wijziging van het Wetboek van Strafrecht en van het Wetboek van
Strafvordering met het oog op de goedkeuring van het Verdrag inzake de
bestrijding van strafbare feiten verbonden met elektronische netwerken
(Trb. 2002 nr. 18) (Aanpassing aan het Cybercrime Verdrag)
http://www.justitie.nl/Images/11_45832.pdf

ACLU: Treaty Reservations
http://www.treatywatch.org/reservations.html

Ondertekeningen en ratificaties van het verdrag
http://conventions.coe.int/Treaty/Commun/QueVoulezVous.asp?NT=185&CL=ENG

=====================================================================
2. Nederland spamland
=====================================================================

In tegenstelling tot wat vaak wordt beweerd, is Nederland een
belangrijke bron van spam. Het beveiligingsbedrijf Sophos heeft een
top 12 samengesteld van landen waar spam vandaan komt. De Verenigde
Staten hebben nog steeds de twijfelachtige eer de lijst aan te voeren.
Maar liefst 56% van alle spam is uit de VS afkomstig.

De plekken 2, 3 en 4 op de Sophos-lijst worden bezet door Canada,
China en Zuid-Korea. Nederland komt met een aandeel van 2% op de
vijfde plaats. Daarmee is Nederland de kampioen van Europa. Een
omrekening naar inwonersaantal doet Nederland zelfs naar een derde
plaats stijgen.

Eerder kondigde minister Brinkhorst van Economische Zaken aan dat hij
bij de handhaving van de nieuwe anti-spam wetgeving de situatie
voorlopig vooral gaat 'monitoren'. In zijn beleidsvisie over de
spamproblematiek staan geen cijfers over het aandeel van Nederland bij
de verzending van spam.

Het Nederlandse computer-tijdschrift PC-active heeft de handel in
e-mailadressen voor spammers in kaart gebracht. Het blad heeft
spammer-CD's gekocht en de adressen in een database gezet. Iedereen
kan nu online controleren of zijn of haar eigen e-mailadres voorkomt
op dergelijke CD's.

Top 12 spam landen
http://www.sophos.com/spaminfo/articles/dirtydozen.html

Spambrief Brinkhorst (02.02.2004)
http://www.ez.nl/upload/docs/Kamerbrieven/PDF-Documenten/4005429-vtk.pdf

Spam CD's
http://www.pc-active.nl/spam/

=====================================================================
3. Donner: Cryptophone beschermt privacy
=====================================================================

Minister Donner gaat geen actie ondernemen tegen niet-afluisterbare
telefoons. Hij zegt dat in antwoord op Kamervragen over de
Cryptophone. Het Tweede Kamerlid Van Haersma Buma (CDA) had de
minister gevraagd of de telefoons verboden konden worden.

Ook gaat de minister niet in op het verzoek om de producent van de
Cryptophone 'te wijzen op [zijn] verantwoordelijkheid om het werk van
opsporingsinstanties niet te hinderen'.

Donner schrijft daarover: "Deze producten worden ontwikkeld om veilig
communiceren mogelijk te maken en daarmee de privacy belangen en
andere gerechtvaardigde legitieme belangen, zoals de bescherming van
bedrijfsgeheimen, te dienen. De overheid kan de verantwoordelijkheid
voor het afwegen van privacybelangen versus opsporingsbelangen niet
leggen bij de producenten van deze mobiele telefoons."

De Cryptophone is in Nederland ontwikkeld door Rop Gonggrijp,
oprichter van het blad Hack-Tic. De technologie is gelicentieerd aan
het Duitse bedrijf GSMK dat de telefoons via internet verkoopt. De
Cryptophone is een gecombineerde GSM en organiser waarop Windows
Pocket PC draait. Voor de telefoon is open-source software gemaakt die
alle gesprekken tussen twee Cryptophones versleuteld.

Donner onderkent dat een bevel tot ontsleuteling dat politie en
justitie kunnen geven slechts beperkte mogelijkheden heeft. De
Cryptophone maakt voor ieder gesprek aparte sleutels aan en vernietigt
deze na afloop. Hierdoor kunnen zowel de makers van de telefoon als de
gebruikers na afloop van een gesprek niet meewerken aan de
ontsleuteling. Donner kondigt aan verder te investeren in
crypto-analyse als een mogelijke oplossing voor de opsporing.

Kamervragen met antwoord 2003-2004, nr. 891, Tweede Kamer
http://www.bof.nl/docs/Kamerantwoord_cryptophone.pdf

Cryptophone
http://www.cryptophone.nl/

=====================================================================
4. Auteurswet door Tweede Kamer geloodst
=====================================================================

Donderdag 19 februari heeft de Tweede Kamer ingestemd met het
wetsvoorstel Auteurswet, waarmee de Europese Auteursrichtlijn uit 2000
wordt omgezet. Na alle discussies in de vaste kamercommissie Justitie
is de wet met opvallend gemak door de Kamer geloodst. Nieuw is alleen
een amendement van CDA Kamerlid De Vries met een extra uitzondering
voor gehandicapten. Het nieuwe artikel 15i regelt dat de
verveelvoudiging of openbaarmaking van werken geen inbreuk maakt, als
het uitsluitend bestemd is voor mensen met een handicap, en mits de
openbaarmaking of verveelvoudiging direct met de handicap verband
houdt, niet van commerciële aard is en wegens die handicap
noodzakelijk is. Voor de openbaarmaking en verveelvoudiging is wel een
billijke vergoeding verschuldigd.

De kritiek van consumentenorganisaties en open source advocaten op met
name artikel 29a, het algemene verbod om beveiligingen te doorbreken,
wist geen kamermeerderheid te overtuigen. Amendementen van PvdA
Kamerlid Van Dam, om bijvoorbeeld cryptografisch onderzoek beter te
beschermen en om de bescherming te beperken tot het auteursrecht,
haalden het niet of werden op het laatste moment ingetrokken. Op
aandringen van SP Kamerlid Gerkes werd nog wel apart gestemd over het
complete artikel 29a, maar daarin stond de SP uiteindelijk alleen.

Ook de pogingen van Van Dam om file-sharing een wettelijke basis te
geven, faalden. Van Dam wilde het recht op de privé-kopie uitbreiden
naar derden binnen familie-, vrienden- of daaraan gelijk te stellen
kring. Een Kamermeerderheid accepteerde echter de uitleg van minister
Donner dat dat ertoe zou leiden dat iedereen voor bijna iedereen een
digitale privé-kopie zou kunnen maken.

De VVD-fractie had - kennelijk geïnspireerd door de
auteursrechtverwikkelingen na afloop van het 10-jaar feest van XS4ALL
- een motie ingediend om auteurs te beschermen die hun rechten soms
niet willen uitoefenen, ten gunste van een goed doel. De motie werd op
het laatste moment ingetrokken. Kamerlid Luchtenveld zei daarover:
"Bovendien blijkt, in tegenstelling tot berichten in de media, dat
voor een bij de vereniging BUMA aangesloten maker, die in een speciaal
geval zijn inkomsten uit de uitoefening van de bezoekrechten ten goede
wil laten komen van een goed doel een cessievoorstel mogelijk is."
Goed lobbywerk van de BV Pop, de vakgroep van popmuzikanten van FNV.
Onder voorzitterschap van Jerney Kaagman stuurde deze groep een
brandbrief aan de Kamer waarin de totale overdracht van alle rechten
aan de BUMA wordt bejubeld. De brief gaat volledig voorbij aan het
feit dat de BUMA in theorie misschien wel eens kan afzien van het
innen van rechten (een cessievoorstel doen), maar daar in de praktijk
helemaal geen gebruik van maakt.

De discussie over internet en auteursrecht is nog niet helemaal
voorbij: een aparte motie van Van Dam, Vendrik en Gerkes verplicht de
regering wel om een nieuw toekomstperspectief voor het auteursrecht
aan de Kamer sturen, "waarbij expliciet wordt ingegaan op de
houdbaarheid en handhaafbaarheid van het huidige rechtenstelsel en de
belangen van consumenten en eerlijke mededinging."

Naar verwachting wordt het wetsvoorstel nog voor de zomer door de
Eerste Kamer behandeld.

Uitvoering richtlijn auteursrecht en naburige rechten in de
informatiemaatschappij; Gewijzigd voorstel van wet
Kamerstuk 2003-2004, 28482, nr. A, Eerste Kamer

Brandbrief BV Pop
http://www.fnv.nl/kiem/renderer.do/menuId/15171/sf/15171/returnPage/15171/itemId/16778/realItemId/16778/pageId/14469/instanceId/15243/

=====================================================================
5. Wetsvoorstel 'Mevis' naar Tweede Kamer
=====================================================================

Minister Donner van justitie heeft het wetsvoorstel bevoegdheden
vorderen gegevens naar de Tweede Kamer gestuurd. Het voorstel geeft
politie en justitie meer bevoegdheden om persoonsgegevens op te vragen
bij maatschappelijke instellingen en bedrijven, als dat voor de
opsporing noodzakelijk is. Het wetsvoorstel is gebaseerd op de
voorstellen van de commissie strafvorderlijke gegevensvergaring in de
informatiemaatschappij (de zogenoemde commissie Mevis). Voor banken en
telecom-aanbieders werden aparte wetsvoorstellen gemaakt, namelijk de
wetsvoorstellen vorderen gegevens financiële sector en het
wetsvoorstel vorderen gegevens telecommunicatie. Deze beide
voorstellen liggen al bij de Eerste Kamer.

Donner noemt een aantal redenen waarom het belangrijk is dat justitie
over deze gegevens kan beschikken. Gegevens over personen en hun
handelingen zijn van steeds groter belang voor de opsporing, bovendien
is deze "informatie steeds vaker nog slechts in geautomatiseerde vorm
beschikbaar, zodat de inbeslagneming van bescheiden in betekenis voor
de opsporing afneemt". Bovendien ziet de minister hindernissen in de
privacy-wetgeving: "het privacyrecht in de vorm van de bescherming van
persoonsgegevens [is] sterk ontwikkeld. Het persoonsgegeven is
gejuridiseerd, zodat verstrekking ten behoeve van de opsporing niet
zondermeer is toegestaan. Normering hiervan is nodig."

In 2001 adviseerde de commissie onder leiding van prof. Mevis om de
toegang tot gegevens voor politie en justitie te vergemakkelijken en
verschillende drempels en waarborgen te verlagen. De commissie maakte
onderscheid tussen drie categorieën gegevens: identificeerbare
gegevens (naam, adres), andere gegevens (verkeersgegevens, logs,
administratie) en bijzondere gegevens (vertrouwelijke communicatie,
datamining).

In de wetvoorstel bevoegdheden vorderen gegevens gaat het bij
identificeerbare gegevens niet alleen om iemands naam, adres,
woonplaats, postadres, geboortedatum of geslacht, maar ook om
zogenoemde administratieve kenmerken, zoals een klantnummer, een
nummer van een polis, een bankrekeningnummer, of een
lidmaatschapsnummer. Deze gegevens kunnen door iedere agent of
opsporingsambtenaar mondeling worden opgevraagd.

De categorie 'andere gegevens' is zeer omvangrijk. Het gaat om vooral
om gegevens uit de administratie van bedrijven. Om deze gegevens in te
zien, is nu nog een gerechtelijk bevel nodig, maar in het wetsvoorstel
kan met een bevel van de officier van justitie volstaan. Alleen voor
bijzondere gegevens, zoals godsdienst, ras, politieke gezindheid,
gezondheid of seksuele leven, blijft een gerechtelijk bevel
noodzakelijk.

Het wetsvoorstel bevat een notificatieplicht zodat van de vastlegging
van gegevens aan de betrokkenen schriftelijk mededeling wordt gedaan.
Hierop kan een uitzondering gemaakt worden in het belang van het
onderzoek. Het is nog maar de vraag of de notificatieplicht een
vooruitgang is. De ervaringen met de notificatieplicht bij het
aftappen van telecommunicatie zijn op z'n minst onduidelijk. Uit
recente antwoorden op Kamervragen blijkt dat justitie en openbaar
ministerie geen idee hebben hoe vaak ze personen die zijn afgetapt
achteraf notificeren. Dat wordt namelijk niet bijgehouden. Het
wetsvoorstel bevoegdheden vorderen gegevens bevat in elk geval geen
regeling om dit wel te gaan doen.

Brief aan de Kamer
http://www.justitie.nl/Images/11_44889.pdf

Westvoorstel bevoegdheden vorderen gegevens
http://www.justitie.nl/Images/11_44891.pdf

Memorie van Toelichting
http://www.justitie.nl/Images/11_44890.pdf

Website over de voorstellen uit het rapport Mevis
http://www.gegeven.nl/

=====================================================================
6. Juridische risico's bij open source software
=====================================================================

Het programmabureau Open Standaarden en Open Source Software (OSOSS)
van de Nederlandse overheid heeft een concept richtlijn opgesteld
waarmee overheidsinstellingen de juridische risico's van open source
software kunnen beheersen.

De richtlijn gaat in op aansprakelijkheidsrisico's van open source
software die door de overheid zelf is ontwikkeld. Ook komen mogelijke
inbreuken op het intellectuele eigendomsrecht van derden aan de orde.

De richtlijn bevat modelcontracten en -vrijwaringen. Volgens OSOSS
kunnen de risico's van open source software met passende maatregelen
tot een aanvaardbaar niveau worden teruggebracht. Bovendien zijn deze
risico's niet anders dan bij andersoortige producten of
dienstverlening.

Eerder stelde OSOSS een gedragslijn op hoe overheidsinstellingen om
moeten gaan met eventuele claims van het Amerikaanse bedrijf SCO dat
beweert het intellectuele eigendomsrecht te hebben op delen van de
Linux kernel. OSOSS adviseert gewoon Linux te blijven gebruiken en
eventuele claims te beoordelen op het aangeleverde bewijs. Bovendien
beslist de Nederlandse rechter uiteindelijk of claims terecht zijn.

Concept Gedragslijn beheersing juridische risico's overheid bij open
source software (februari 2004)
http://www.ososs.nl/attachment.db?8425

Gedragslijn voor overheidsorganisaties bij claims over
auteursrechtinbreuk ingeval van gebruik van open source software
(oktober 2003)
http://www.ososs.nl/attachment.db?3676

=====================================================================
7. Donnerabilia
=====================================================================

Tijdens het spoeddebat over de brief van procureur-generaal De
Wijkerslooth gaf Donner een hele eigen visie op openbaarheid van
bestuur:

"Ik heb net niet afstand genomen van de brief. Ik heb aangegeven dat -
zo men geweten had van de commotie die ontstaan was en dat de brief
uit zou lekken - dat hij dan anders geformuleerd had moeten worden."

RTL nieuws (27.02.2004)
http://www.rtl.nl/(/actueel/rtlnieuws/)/components/actueel/rtlnieuws/2004/02_februari/27/binnenland/0227_spoeddebat_donner_1725.xml

=====================================================================
8. Bits of Freedom Jaarverslag 2003
=====================================================================

Bits of Freedom is een onafhankelijke stichting die geen
overheidssubsidie ontvangt, maar steunt op bijdragen van bedrijven en
particulieren. Om te kunnen overleven, is structureel veel geld nodig.
Dankzij de campagne 'Help Bits of Freedom de winter door' is sinds
december 2003 ruim 10.000 euro aan donaties binnengekomen. Maar Bits
of Freedom heeft ook de rest van het jaar steun nodig van mensen die
de verdediging van digitale rechten belangrijk vinden.

Om donateurs en sympathisanten meer inzicht te geven in de
activiteiten en financiën, heeft BOF een jaarverslag gemaakt over
2003.

http://www.bof.nl/verslag2003.html

Online doneren via credit card, acceptgiro of eenmalige machtiging:

http://www.bof.nl/donateur.html

=====================================================================
Over Bits of Freedom
=====================================================================

Bits of Freedom komt op voor digitale burgerrechten.
Bits of Freedom is gevestigd in Amsterdam en is lid van de Global
Internet Liberty Campaign en European Digital Rights.
Bits of Freedom bestaat uit Maurice Wessling en Sjoera Nas.
Wij hopen op uw steun, commentaar en kritiek.

http://www.bof.nl/

info@bof.nl
tel 020 - 4686451
fax 020 - 5241229
Postbus 56901
1040 AX  Amsterdam

Bits of Freedom Nieuwsbrief ISSN 15691160
http://www.bof.nl/nieuwsbrief/

Stuur een e-mail aan info@bof.nl als u de persberichten van Bits of
Freedom wilt ontvangen.

=====================================================================
Nieuwsbrief abonnement
=====================================================================

Abonneren kan via het invoerveld op:

http://www.bof.nl/

of door een email te sturen naar:

To: nieuws-l-request@bof.nl
Subject: subscribe

Abonneren en afmelden kan ook via:
http://list3.xs4all.nl/mailman/listinfo/nieuws-l

Bij problemen met het (un)subscriben kunt u contact opnemen met info@bof.nl.

=====================================================================
European Digital Rights (EDRI)
=====================================================================

Bits of Freedom is lid van European Digital Rights, een associatie van
privacy en burgerrechten organisaties in Europa. EDRI geeft een eigen
Engelstalige, twee-wekelijkse elektronische nieuwsbrief uit met een
overzicht van de laatste ontwikkelingen in de Europa. Aanmelden voor
een gratis abonnement op EDRI-gram kan op de website van EDRI:

http://www.edri.org/cgi-bin/index?funktion=subscribe

=====================================================================