Netneutraliteit: morgen de laatste loodjes

Wat is CISPA eigenlijk?

Netneutraliteit: een ideologisch filtervinkje kan gewoon
DOSSIER / Vrijheid in je communicatie

In Amerika ligt een nieuw wetsvoorstel klaar, de zogenaamde Cyber Intelligence Sharing and Protection Act (CISPA). CISPA maakt het Amerikaanse bedrijven makkelijk informatie over internetgebruikers te delen met de Amerikaanse overheid als er sprake is van “cyber threats”. Omdat CISPA ook gevolgen voor jou kan hebben, leggen we hieronder uit waar CISPA over gaat en wat dat betekent voor de Nederlandse internetter.

Een wet die bedrijven alles over je laat delen
Op 26 april heeft het Amerikaanse Huis van Afgevaardigden (Amerikaanse Tweede Kamer) ingestemd met het wetsvoorstel CISPA. CISPA is een aanpassing op een bestaande wet uit 1947, de National Security Act, die nog geen rekening kon of hoefde te houden met cybersecurity omdat het internet toen nog niet bestond.

Maar de tijden zijn veranderd: cyberaanvallen op bedrijven en de overheid zijn een reële bedreiging voor de nationale veiligheid. De Amerikaanse overheid wil daar samen met Amerikaanse bedrijven beter op kunnen reageren. CISPA moet het deze partijen daarom mogelijk maken allerhande gevoelige informatie over internetgebruikers uit te wisselen in het geval van “cyber threats”. En dat is vaak, want “cyber threats” zijn in het voorstel gedefinieerd als “efforts to harm public and private systems and networks” of “theft or wrongful possession of public or private data, intellectual property, or personally identifiable information”. Daar kan je dus heel veel onder verstaan.

Een vrijbrief om privacyregels te omzeilen
En dat is problematisch. Naast vaag is CISPA voor bedrijven namelijk ook een vrijbrief om privacyregels te omzeilen. Want in de hiervoor genoemde gevallen mogen bedrijven en de overheid informatie uitwisselen “notwithstanding any other provision of law”. Lees: privacyregels. Tegelijkertijd zorgt CISPA er voor dat een bedrijf slechts in zeer uitzonderlijke omstandigheden voor deze praktijken aansprakelijk kunnen worden gesteld. Concreet betekent dit dat bedrijven privé-communicatie kunnen aftappen en gebruikersinformatie kunnen delen zonder enige vorm van rechterlijke controle.

Bekijk ook deze infographic om te zien wat CISPA betekent.

Hoe groot is de weerstand?
Anders dan bij de wetsvoorstellen SOPA en PIPA, hebben de meeste bedrijven tegen CISPA geen bezwaar. Sterker nog, ze zeggen zelfs dat het nodig is om zichzelf en hun gebruikers tegen cyberaanvallen te beschermen. Zo’n 800 bedrijven hebben zich dan ook expliciet uitgesproken vóór CISPA en slechts enkele bedrijven tegen. Dit komt waarschijnlijk vooral doordat bedrijven onder CISPA (anders dan bij SOPA) geen enkel aansprakelijkheidsrisico lopen.

Onder Amerikaanse burgers is er wel veel weerstand tegen het wetsvoorstel. Logisch ook, want hun privacy wordt door CISPA met voeten getreden. Maar CISPA heeft niet alleen gevolgen voor hen: ook veel Nederlanders maken gebruik van Amerikaanse diensten, zoals Facebook en Google. Onder CISPA kunnen ook hun gegevens worden uitgewisseld. Als CISPA er komt, kunnen Amerikaanse overheid en bedrijven met een beetje excuus dus ook alles lezen wat jij via Facebook verstuurt.

Is er een toekomst voor CISPA?
CISPA gaat nu richting Senaat (de Amerikaanse Eerste Kamer), waar het ook op de nodige weerstand kan rekenen. Daarna moet CISPA nog langs President Obama, die eerder al liet weten dat hij niet van plan is om CISPA te ondertekenen. Gebrek aan bescherming van privacy is voor hem een doorslaggevende reden.

Wil je meer weten over CISPA en de toekomstige ontwikkelingen? Houd dan de website van onze Amerikaanse zusterorganisatie Electronic Frontier Foundation in de gaten.

 

  1. Hawick

    Als we die zelfde wet ook kunnen gebruiken om “wrongfull possession” van prive informatie *door bedrijven of onder controle van bedrijven in de VS* aan te pakken, dan kan er nog een leuke draai aan worden gegeven.
    Zo van: “U heeft gegevens over mij? Hoe komt U daar aan? Heb ik daar wel *bewust* toestemming voor gegeven? Ik werk in een beroep met verhoogd risico dat personeelsleden worden blootgesteld aan activiteiten die vallen onder de amerikaanse operationele definitie van terreur. Ik beschouw uw “wrongfull possession” van mijn private gegevens als een bedreiging. Ik ga melding doen bij de amerikaanse overheid. Ik ga ook de publiciteit zoeken en daarbij de naam van uw bedrijf en uw personeelsleden noemen. Nogmaals en ten overvloede: ik heb uw bedrijf nooit bewust toestemming gegeven en ik heb ook nooit enig ander bedrijf bewust toestemming gegeven uw bedrijf dergelijke info ter beschikking te stellen. Naar mijn mening is hier sprake van mogelijke internetcriminaliteit door of in uw bedrijf en een waarschijnlijke relatie tot terreur” Als er een miljoen klachten over Google liggen kan die overheid ook niets anders doen dan Google aanpakken.
    Het leuke is dat de VS ook vrij ver gaat in de extra-territoriale handhaving van haar wetten, wanner terreur in het spel is. Ik kan mij bij voorbeeld vagelijk herinneren dat geen enkele *rechtbank* ter wereld de persoon Osama Bin Laden ter dood heeft veroordeeld en dat oorlogsrecht niet 1 op 1 van toepassing is op terrorisme. Ook kan ik mij vagelijk herinneren dat Pakistan GEEN toestemming had verleend vooraf. Het extra-teritoriaal toepassen van amerikaans recht is een zeer donker grijs gebied in het internationale recht. Persoonlijk vind ik het ook een zwaktebod.
    CISPA is een interessante wet en het lijkt me dat er behoorlijk wat mogelijkheden zijn inbesloten om heel anders uit te pakken dan de VS eigenlijk bedoelde. Vereist is wel dat burgers die [legaal] actief zijn in branches waar de kans [op terreur] groter is dan gemiddeld, ook zelf meldingen mogen doen EN dat er een mechanisme is om de amerikaanse overheid onder druk te zetten om daadwerkelijk wat met dit soort meldingen te doen.
    De vraag die m.i. publiekelijk moet worden gesteld is of er niet internationaal veel harder en duidelijker moet worden aangegeven dat extra-territoriale toepassing van amerikaans recht niet door de beugel kan[of willekeurig elk ander land, want het gaat hierbij totaal niet om amerika, ten slotte zijn voorbeelden van Israel en Rusland gedocumenteerd en van diverse andere landen zeer sterk vermoed.
    Zo zouden we kunnen stellen dat er de behoefte is aan een wet die regelt dat als een buitenlands bedrijf een vestiging in Nederland [of elders in de EU] heeft, zij t.a.v. privacy in zake prive personen die burger zijn in Nederland [of de EU] gebonden is aan de europese regels. Deze wet zou zelfs zo moeten zijn geformuleerd dat als een europees burger buiten europa wordt vervolgd, alle bewijsmateriaal dat verkregen via zo’n hier gevestigd buitenlands bedrijf en in Nederland op een wijze die in strijd is met europese regels tot automatisch gevolg heeft dat dat buitenlandse bedrijf zelf VERPLICHT moet worden vervolgd. Dit voorstel is niet strijdig met de normale opsporingsbevoegdheden. Dit voorstel sluit de weg af voor onze eigen oppportunistische opsporingsapparaten om de ruimere bevoegdheden van bevriende diensten te gebruiken. Dit zorgt voor sanctie-mogelijkheden bij bepaalde [binnen de EU] onwettige extra-territoreale acties, waar de VS nu al om berucht is [en wat bij een aantal andere mogendheden ook al ernstig wordt vermoed]. Nogmaals: het gaat niet om de VS, het gaat om het feit dat sommige landen menen extra-territoreale bevoegdheden te hebben die niet worden gesteund in het internationale recht.
    Zo ben ik nog steeds mordicus tegenstander van de verstrekking van info door luchtvaartmaatschappijen en beperk ik om die redenen mijn bezoek[en] aan de VS verregaand. Vanzelfsprekend ben ik voor bestrijding van terrorisme, maar momenteel laten alle overheden in het Westen nog zoveel andere signalen liggen, dat ik het middel te zwaar vind voor de kwaal.
    T.a.v. extra-territoreale toepassing van [on]recht: het kan geen kwaad om ook eens in herinnering te brengen hoe ver de Franse overheid is gegaan in Nieuw Zeeland. Alsof dat toen eigenlijk niet OOK terrorisme was. Volgens mij was er toen zeer brede concensus dat dat echte staats terrorisme was.
    De VS riskeert grote problemen. Tot nu toe was China heel gematigd in haar reacties op Amerikaanse kritiek op de mensenrechtensituatie in China, maar wetten als CISPA in combinatie met de huidige economische verhoudingen konden wel eens tot rare situaties leiden en zowiezo tot ondermijning van de overheid en d het gezag van de VS.

  2. Greenhost

    ACTA bezien vanuit het perspectief van een Hosting provider:

    “Een advocaat, drie vertegenwoordigers van de entertainment industrie en ondergetekende, een groene hosting provider, hielden maandag een debat over ACTA onder de leiding van onderzoekster en promovenda Ana Ramalho. Debat is echter niet het juiste woord; het was eerder een collectieve lezing over wat er mis is met ACTA. Op ons blog zetten wij onze bezwaren tegen dit verdrag uiteen.”

    https://greenhost.nl/2012/05/23/epiloog-acta/

  3. Bobcat

    In de USA kan iemand al worden ontslagen als het bedrijf waar hij of zij werkt er achter komt dat hij of zij een keer een wiet joint heeft gerookt terwijl de gevolgen van de war of drugs ervoor hebben gezorgt dat wereld nu bijna verzuipt in de harddrugs.
    Een IT pro of voor nederland dan een ICT expert gaat er in de regel van uit dat hij de baas op het internet is en daarbij is zijn kennis vaak op één of enkele onderdelen gericht wat hij voor heeft moeten leren en zijn best voor heeft gedaan.
    Maar ook als hij alle technieken die op het internet aanwezig zijn zou beheersen in bedrijf waar hij werkt is hij niet de baas.
    Zijn baas die hem bestuurd waar hij weer goed in is heeft niet zoveel kennis van het internet of zelfs helemaal niet en beheerst een andere techniek als winst maken voor het bedrijf en is daar op gefocust en is niet in staat een security bedreiging te zien en zo zal hij een ICT expert in zijn bedrijf makelijk een laten maken.
    De overheid laat de politie een site als VXheavens van het internet halen en zo verdwijnd ook de beschikbare kennis over de malware van de virus coders waar een ICT exert zijn kennis van kon halen.
    Microsoft haalt de site TLsecurity van het net en jaren later infecteerd het bedrijf Sony met een muziek cd de computers en per toeval ook de computer van Mark Russinovich die een rootkit ondekt waardoor de rootkit techniek pas goed bekent werd en al in een verdere generatie ontwikkeld was.
    Net zoals een krant de vrijheid heeft zonder beinvloed te mogen worden door anderen zou ook voor het internet werken.
    Met die bedrijven en al die CISPA, SOPA of wat voor regelgeving en controle dan ook zijn er op het internet alleen nog idioten en criminelen aanwezig.

  4. 10us

    En op 18 april 2013 is hij erdoor: http://clerk.house.gov/evs/2013/roll117.xml#

  5. CISPA bedreigt privacy als nooit eerder

    […] surfgedrag op te vragen. Hoe bedreigend dat precies is leggen onze vrienden van Bits of Freedom hier even uit. Hoewel men spreekt over een mogelijk veto van Obama zijn de zorgen terecht groot. Ook jij […]

  6. Politie gaat terughacken | Cellencomplex

    […] is er in de VS weer veel te doen over CISPA, die waarschijnlijk in een andere vorm ingevoerd gaat worden. En misschien straks een Nederlandse […]

Geef een reactie

Het e-mailadres wordt niet gepubliceerd.

Help mee en steun ons

Door mijn bijdrage ondersteun ik Bits of Freedom, dat kan maandelijks of eenmalig.