Privacyexperts hekelen Belgische dataretentiewet die e2e-encryptie ondermijnt

En wat doe je dan als de politie bij jou (als eigenaar van die server) gegevens op komt eisen? Daar moet jijzelf net zo goed aan meewerken als andere hosters dat moeten (of dat nou je ISP is of Gmail of waar andere mensen hun email ook hosten).

Natuurlijk, dat is ook niet waar ik me zorgen over maak.

Ik maak me niet zo'n zorgen over de Nederlandse politie.
Ik maak me zorgen om de centralisatie van internet.

De Nederlandse politie kan inderdaad hier langs komen en mijn gegevens opeisen.
Maar de regering/politie/... van Spanje of Thailand (om maar wat willekeurige landen te noemen) kan niet naar Facebook gaan om daar al mijn WhatsApp contacten op te eisen want die heb ik niet. En Facebook kan ook domweg een foutje maken waardoor mijn gegevens, samen met die van miljarden anderen, op straat liggen.

En als iemand mijn gegevens hier komt opeisen of wegroven dan hebben ze alleen mijn gegevens. Als ze de gegevens van een miljoen mensen willen zullen ze een miljoen keer meer werk moeten doen en dat zal niet snel gebeuren als de belangen niet heel erg groot zijn. Met een centraal punt maakt het nauwelijks uit of je data van één gebruiker wil hebben of van een miljoen. Dan is het heel aantrekkelijk om maar zoveel mogelijk op te vragen zodat je het papierwerk maar één keer hoeft te doen.

Niet dat ik denk dat Facebook die gegevens zomaar afstaat, maar als de druk maar hoog genoeg wordt gaat ieder bedrijf door de knieen.

Je zou, waarschijnlijk terecht, kunnen redeneren dat een bedrijf als Facebook veel meer middelen heeft om mijn data te beschermen. Maar ze zijn ook een veel groter doel en de gevolgen van een lek (technisch of juridisch) zijn enorm. En fouten worden overal gemaakt en chantage of omkoping kun je ook nooit helemaal uitsluiten.

[Reactie gewijzigd door CAPSLOCK2000 op 24 juli 2024 09:42]

Ja, dat klopt ook wel. Maar het probleem is dat deze actie veel meer de burger zal raken dan de criminele circuit.
Zeker de partijen die ze hiermee hopen op te sporen, dat zijn nou juist de technische beter onderlegde groepen.

Dat is nu niet het ergste geval, want dan zou de trias politica dus werken.
Het ergste geval is dat de overheid doet waar ze zin in hebben zonder dat een rechter er over buigt (omdat men het niet weet bijvoorbeeld)

er geen harde lijn is tussen metadata en data

Zoals? Kun je een voorbeeld noemen van iets waarvan het niet duidelijk is of het data of metadata is?

dat er te veel wordt gedaan of metadata vrij onschuldig is.

Nee, er wordt niet gedaan of het onschuldig is. Er wordt (terecht) gesteld dat de impact van het inzien van metadata vele malen kleiner is dan de impact van de data zelf.
Maar dat is niet eens het cruciale punt. Waar het echt om gaat is dat metadata niet beschermd wordt door e2e-encryptie en dat het dus mogelijk is om metadata te delen met opsporingsdiensten zonder dat je een backdoor in de e2e-encryptie nodig hebt.

Neem bijvoorbeeld de lengte van een bericht. [..] Maar als mijn reacties op vragen typisch bestaat uit twee of drie bytes, dan kun je waarschijnlijk aannemen dat ik "ja" (2 bytes) of "nee" (3 bytes) communiceer.

Dit is een puur theoretisch probleem. Enkele kanttekeningen:

• Zelfs als bovenstaande zou werken, dan nog is niet bekend welke vraag je beantwoordt. "Zullen we een bomaanslag plegen?" en "Zullen we nog naar de film gaan?" zijn allebei 32 tekens.
• De lengte van een bericht is niet exact af te leiden uit de lengte van een versleuteld bericht. Dit zou alleen werken in extreme gevallen; als je altijd reageert met de tekst "nee" of een animated gif van juichende mensen als je "ja" bedoelt.
• Bovendien moet de taal waarin je communiceert bekend zijn: "yes" is drie tekens en "no" is twee. Ook als je een plan helemaal geweldig vind en een keertje "top" roept zijn dat drie tekens.

Zoals in de post waar deze discussie mee begon. Daarin zegt iemand dat het artikel misleidend is omdat er alleen metadata wordt opgeslagen. Dat zeg je alleen als je van mening bent dat metadata significant minder belangrijk is.

Ten eerste is het delen van metadata inderdaad een significant kleinere (dat is iets anders dan kleine) inbreuk op privacy dan het delen van de inhoud, daar is geen speld tussen te krijgen. Ten tweede, ik kan niet in het hoofd van orvintax kijken, maar het zou best kunnen dat dit een verwijzing is naar wat ik net ook al zei over dat het niet nodig is om e2e te breken voor dit voorstel. Als je zeker wilt weten hoe die post bedoeld was, dan zul je het natuurlijk aan orvintax zelf moeten vragen.

Ik ben van mening dat het onderscheid tussen data en metadata vrij zinloos is. Dat is zoiets als dat een auto met twee lekke banden "beter" is dan een auto vier lekke banden. Het klopt maar met twee lekke banden moet je nog steeds niet de weg op.

Dat onderscheid bepaalt of e2e-encryptie nog mogelijk is onder deze wet. Dat lijkt mij juist zeer relevant.
Je vergelijking met lekke banden snap ik niet. Als je probeert te suggereren dat jij per se een auto met nul lekke banden wilt (dat opsporingsdiensten op geen enkel moment en op geen enkele manier een inbreuk mogen maken op de privacy van burgers, dan hoor ik graag van je hoe de politie in jouw wereld haar werk moet doen. Als iedereen 100% privacy heeft, dan geldt dat ook voor criminelen en dan wordt het wel heel erg lastig om ooit nog misdadigers te veroordelen.

Als dat het enige is waar je je zorgen over maakt. Ik denk aan de tolken in Afghanistan die worden opgejaagd door de Taliban. De Taliban stelt echt niet de vraag of die over popcorn communiceerden met onze ambassade.

Wat is daar de relevantie van? De Taliban heeft sowieso geen boodschap aan Nederlandse regels (en terecht, Nederland heeft geen jurisdictie in Afghanistan... net zoals wij ons helemaal niets van hun wetten aan hoeven te trekken). Ja, Nederland heeft gefaald in haar morele verplichting om die mensen daar weg te krijgen. Maar nee, dit wetsvoorstel (zelfs al zou het een Nederlands wetsvoorstel zijn, in plaats van een Belgisch) heeft geen enkele invloed op wat voor data en/of metadata de Taliban bij Afghaanse telecomoperators op kan vragen.

Dat er geen groot register is waarin men over 30 jaar kan kijken wie er nu sympathie had voor homo's, vegetariers, joden, antivaxxers, kapitalisten of weet ik veel welke bevolkingsgroep door de volgende dictator wordt vervolgd zonder enige vorm van proces.

De oplossing die je voorstelt (de politie geen metadata op laten vragen) lost het probleem niet op, omdat ze die gegevens alleen opvragen van verdachten en weer verwijderen als blijkt dat ze iemand verdachten maar dat die toch onschuldig is. Er wordt dus geen algeheel register opgebouwd van wie er met wie communiceert, dus je hoeft deze wet niet tegen te houden om zo'n register te voorkomen.
Daarnaast hebben we al talloze van zulk soort registers. Zelfs je posts hier op Tweakers (die ik dan toevallig niet aan een specifieke persoon kan koppelen, maar (de geheime politie van) een evil dictator zal daar waarschijnlijk weinig moeite mee hebben) vormen een overzicht van je sympathieën (en antipathieën). Als er een doorgeslagen communist aan de macht komt die een hekel heeft aan huiseigenaren (in plaats van huurders), dan heeft de Belastingdienst een overzicht van wie er allemaal hypotheekrenteaftrek heeft gehad. DUO heeft een diplomaregister waarin een dictator met een hekel aan intellectuelen precies op kan zoeken wie hoger opgeleid is.
Of het zinnig is om je druk te maken over het scenario dat je schetst is nog even een andere vraag, maar laten we even aannemen dat dat zo is. Ten eerste heb ik het gevoel dat dit wetsvoorstel het probleem waar je bang voor bent niet groter maakt. En daarnaast zijn er heel veel andere zaken waar je je meer druk over zou moeten maken dan dit soort wetgeving.