Duitse minister van Justitie wil ongegronde dataretentie uit wetgeving halen

De nieuwe Duitse minister van Justitie, Marco Buschmann, wil dat er in Duitsland niet meer aan continue dataretentie bij telecomoperatoren wordt gedaan als daar geen reden toe is. Volgens de minister schendt dit de grondrechten en voelen mensen zich hierdoor niet meer vrij.

Telecomaanbieders zouden volgens de Duitse minister van Justitie wel verplicht kunnen worden om via een gerechtelijk bevel snel een back-up van gegevens te maken indien er vermoedens zijn van ernstige strafbare feiten. Die verzamelde gegevens zouden volgens de minister onderzocht kunnen worden door de Duitse ordediensten en justitie.

"Dat zou in overeenstemming zijn met de rechtsstaat", zegt Buschmann in een interview met het Duitse WAZ waarin hij meent dat de ordediensten op die manier nog steeds een instrument hebben om strafbare feiten aan het licht te brengen.

In België en Nederland woedde er ook een debat over soortgelijke dataretentiewetten. Enkele maanden geleden hekelde een groep van privacyexperts en -organisaties de Belgische dataretentiewet die de e2e-encryptie zou ondermijnen.

In 2015 stelde een rechter in Nederland de toenmalige Wet bewaarplicht buiten werking want volgens de rechter was de inbreuk op de privésfeer te groot. Op 8 november 2016 werd er opnieuw een wetsvoorstel ingediend door de toenmalige Nederlandse regering wat de basis vormde voor een nieuwe Wet bewaarplicht. Het Europees Hof van Justitie oordeelde op 21 december 2016 dat het opslaan van gegevens voor het bestrijden van ernstige misdrijven is toegestaan, maar dat dit er niet toe mag leiden dat de gegevens van gebruikers massaal worden opgeslagen. Daarom beperkte de Nederlandse minister van Justitie en Veiligheid, Grapperhaus, het wetsvoorstel voor de Nederlandse Wet bewaarplicht in 2018.

Update, 22.05 uur: Artikel aangepast om de huidige stand van zaken wat betreft de Nederlandse Wet bewaarplicht beter te duiden. Met dank aan Ma_rK. Titel aangepast om leesverwarring te vermijden.

IT-banen

Reacties (41)

Ma_rK 30 december 2021 20:36

In 2018 beperkte Nederlands minister van Justitie en Veiligheid Grapperhaus het wetsvoorstel voor de Nederlandse bewaarplicht. Dit als gevolg van een uitspraak van het Europese Hof van Justitie uit 2016.

Dit is niet helemaal correct @JayStout De wet werd in maart 2015 door de rechter buiten werking gesteld nadat en een aantal partijen gezamenlijk een rechtszaak aanspande.

Eisers in deze procedure zijn privacy-voorvechter Privacy First, de Nederlandse Vereniging van Strafrechtadvocaten, de Nederlandse Vereniging van Journalisten, het Nederlands Juristen Comité voor de Mensenrechten, internetprovider BIT en telecomaanbieders Voys en SpeakUp.

Zie ook Rechter stelt bewaarplicht buiten werking en het stuk dat Joost er toen over schreef.

Het verhaal van oa Grapperhaus was het gevolg daarvan.

[Reactie gewijzigd door Ma_rK op 23 juli 2024 03:09]

Auteur

JayStout @Ma_rK • 30 december 2021 21:54

Bedankt voor de opmerking!

Het klopt dat de rechter in maart 2015 inderdaad de toenmalige Wet op de bewaarplicht van telecomgegevens buiten werking had gesteld. Die wet dateerde uit 18 juli 2009. Op 8 november 2016 werd er opnieuw een wetsvoorstel ingediend van de toenmalige regering wat de basis vormde voor een nieuwe Wet Bewaarplicht. Dat wetsvoorstel moest volgens een uitspraak van Het Europees Hof van Justitie op 21 december 2016 'ingrijpend worden aangepast', volgens de toenmalige minister Grapperhaus.

Ik pas het artikel aan om dit te duiden.

GekkePrutser 30 december 2021 22:05

De nieuwe Duitse minister van Justitie, Marco Buschmann, wil dat er in Duitsland niet meer aan continue dataretentie bij telecomoperatoren wordt gedaan als daar geen reden toe is. Volgens de minister schendt dit de grondrechten en voelen mensen zich hierdoor niet meer vrij.

Hier wordt eindelijk eens gehoor gegeven aan mijn primaire bezwaar hiertegen. Ik wil me niet continu begluurd voelen.

De discussie gaat in Nederland veel te vaak over "wat merk je er nou eigenlijk van". Dat is helemaal niet relevant. Dat ik er negatieve gevolgen van ondervind is nog erger maar gewoon continu zonder verdenking gemonitord worden is sowieso al ver voorbij mijn rode lijn.

DheeradjS @obimk1 • 31 december 2021 09:07

Aangezien de definitie van "Rechts" strikt hiërarchisch is, zouden ze dergelijke surveillance waarschijnlijk uitbreiden.

Tenzij je een Neo-Liberale visie hebt op de term hebt natuurlijk, maar goed

thunder7 30 december 2021 20:22

Ze zijn al met 2 pogingen om continue dataretentie in de wet vast te leggen nat gegaan bij het Duitse hooggerechtshof omdat het gewoon volgens de Europesche regels niet mag, dus de kop had ook kunnen lezen 'Duitse minister van Justitie luistert eindelijk naar de rechter en stopt poging continue dataretentie in de wet vast te leggen'.

Verwijderd 30 december 2021 20:22

Men zou een systeem kunnen bedenken of ontwikkelen waarbij de data geëncrypteerd opgeslagen wordt met een public key waarvoor enkel onderzoeksrechters de private key hebben.

Wacht, ik ontwikkel het even:

/var/log/whatever.log {
weekly
rotate 56
compress
compresscmd /usr/bin/gpg
compressoptions --encrypt --default-key your-key-id
compressext .gpg
}

Zo, geef nu de private key aan de onderzoeksrechters en laat enkel de public key op de server staan die logged.

Verwijderd @Verwijderd • 30 december 2021 21:01

Blijkbaar heb je het artikel niet gelezen.

Nu worden providers gedwongen om permanent alle data op te slagen van iedereen, ongeacht van je onschuld of vermoeden van misdaad. Aka, het systeem werkt alsof iedere persoon een misdadiger is.

De backup (2de paragraaf) is de oplossing voor het probleem (1ste bold paragraaf) dat providers gedwongen zijn al je data bij te houden in permanentie.

Aka, men vermoed een misdaad van een persoon en men zegt aan de provider, neem een backup van X persoon zijn gegevens op dit moment. Want een onderzoek kan maanden, jaren duren en we willen zeker zijn dat je gegevens niet gewist hebt. Maar al de rest van de mensen hun gegevens kunnen zonder problemen gewist worden over tijd.

Als je iemand verdenkt van een misdaad, dan zijn de gegevens van 10 jaar geleden vaak irrelevant en is het vaak de laatste maanden of jaar dat relevant zijn. Dingen dat men kan beveiligen doodmiddel van een gedwongen backup.

Verwijderd @Verwijderd • 30 december 2021 21:06

Met logrotate kan je zeggen hoeveel en hoelang het rotated logs moet bijhouden.

NoobishPro @Verwijderd • 30 december 2021 21:01

Als reden staat er omdat mensen zich hierdoor minder vrij voelen.
Het gaat juist om het principe dat alles wordt opgeslagen, ook zonder reden.

Het opslaan met een encryptie zodat er (indien goed geregeld) door minder mensen naar gekeken kan worden dan anders doet hier niets aan af. Daarnaast zal zelfs met zo'n encryptie opslag op een bepaald moment wel weer partij B toegang nodig hebben en voor je het weet Partij C enz enz. Of de decryption keys lekken uit omdat een of andere willekeurige IT-er of projectmanager het nodig had om welke reden dan ook m.b.t. implementatie of doorontwikkeling of noem nog één van 9302930 opties. Überhaupt is de meeste hacking van gevoelige data in private networks e.d. vanuit social hacking tegenwoordig, omdat encryptie al aardige tijd behoorlijk sterk staat. Niet het brute force inbreken bij een database.

[Reactie gewijzigd door NoobishPro op 23 juli 2024 03:09]

bed76 @Verwijderd • 30 december 2021 21:06

En diegene die de key aan de onderzoeksrechter verstrekt kan er dus ook bij. Ergo het blijft mensenwerk en daar worden (al dan niet bewust) fouten in gemaakt.

Verwijderd @bed76 • 30 december 2021 21:09

De onderzoeksrechter kan met gpg zelf de private key aanmaken en de public key aan de betrokken telecomoperatoren geven. Daarna kan de telecomoperator een logrotate rule per onderzoeksrechter maken en/of genereren in /etc/logrotate.d/ (en het foldertje waar zijn encrypted log bestanden opgeslagen worden delen over bv. sftp). Hierbij wordt de private key nooit gedeeld met de telecomoperator.

Zou ongeveer zo werken zoals hoe je nu je public ssh-keygen-t-rsa key op bv. gitlab of github moet pasten om writable toegang m.b.v. git te krijgen tot je repos. Github bv. ziet nooit je private keys.

bed76 @Verwijderd • 30 december 2021 21:17

Dus de assistent van de onderzoeksrechter moet dit doen?

Nee hoor, zonder gekheid, het is zeker wel een goed idee. En ik zou helemaal voor zijn. Niks geen opsporingsdiensten die zomaar bij allerlei data kan. Even verzoek via de rechter en dán mag je de betreffende data inzien en indien bewijs het vermoeden bevestigd, dan pas kopiëren.

Verwijderd @bed76 • 30 december 2021 21:20

Je hebt natuurlijk gelijk dat de assistent van de onderzoeksrechter het waarschijnlijk zal doen voor de onderzoeksrechter omdat de onderzoeksrechter niet altijd technisch georiënteerd zal zijn.

Maar die assistent valt ook onder het onderzoeksgeheim en verantwoordelijkheid van de onderzoeksrechter. M.a.w. misbruikt de assistent deze private key, dan doet de assistent iets dat net zo illegaal is als zou de onderzoeksrechter de private key onjuist gebruiken.

ps/edit. En doordat er een private/public key setup en logrotate rule per onderzoeksrechter is (en per log-bestand waartoe de onderzoeksrechter toegang heeft), is het eenvoudig om die (public) key te verwijderen op de plek waar de logs gemaakt worden en te verwachten dat de onderzoeksrechter een nieuwe key maakt. De gelekte data is dan dus enkel voor dat logbestand met die key. Niet zo best maar dus niet alle logs waartoe het geheel van alle onderzoeksrechters toegang hebben.

[Reactie gewijzigd door Verwijderd op 23 juli 2024 03:09]

Drumar @Verwijderd • 31 december 2021 14:32

het probleem is en blijft natuurlijk dat de gegevens van iedereen opgeslagen wordt.Daarmee is feitelijk iedereen verdachte.

Het systeem zoals dat nu in Duitsland geimplementeerd wordt, (ik ga maar even uit dat dat versleuteld gebeurt, want nog steeds mag niet iedereen er bij, de persoon in kwestie is slechts verdachte) doet dus wel recht aan de wetgeving die bedoeld is om juist de onschuldige burger te beschermen tegen een al te nieuwsgierige overheid.

Hier wordt dus duidelijk dat het wel degelijk mogelijk is om specifiek voor verdachten de gegevens op te (laten) slaan, de rest moet dus keurig netjes verwijderd worden en werkt de rechtsstaat weer zoals die (op dit punt) zou moeten.

Nu de Nederlandse wetgever nog.

Mushroomician 30 december 2021 20:05

Doe het dan goed en push meteen open source alternatief voor 5G etc. zoals OpenRAN.

[Reactie gewijzigd door Mushroomician op 23 juli 2024 03:09]

PolarBear @Mushroomician • 30 december 2021 20:14

Dat is echt een totaal ander onderwerp. Wellicht relevant, maar heeft natuurlijk niets te maken met het opslaan van verkeersgegevens.

Mushroomician @PolarBear • 30 december 2021 20:35

Een open implementatie heeft, naast transparantie, ook het voordeel dat je (voor een groot deel) zelf kunt bepalen welke meta-data je deelt. Dat vind ik relevant. Denk bijv aan locatiegegevens die je kunt scrambelen, want het gaat niemand wat aan wanneer ik waar ben.

[Reactie gewijzigd door Mushroomician op 23 juli 2024 03:09]

Verwijderd @Mushroomician • 30 december 2021 20:45

Voor een correcte werking van 5G moet de mast ongeveer weten waar jij bent. Dat komt omdat de phased array antenne probeert om een gerichte beam op je af te sturen.

Dat wil daarom nog niet zeggen dat de telecom operator die gegevens mag gebruiken voor een ander doel.

PolarBear @Mushroomician • 31 december 2021 11:18

Dat zegt nog steeds niet over een dataretentie plicht vanuit wetgeving. Of het nu closed of opensource is, als het verplicht is verkeersgegevens te bewaren maakt dat geen verschil.

Blokker_1999

Politiek en recht
Overheid
Duitsland

@Mushroomician • 30 december 2021 20:16

En wat is de link met dataretentie? Daarnaast is OpenRAN helemaal geen competitie voor 5G, OpenRAN bestaat nog maar sinds 2018, een moment waarop de 5G standaarden al rond waren en men aan de implementatie begon te denken. Vele leden van de organisatie achter OpenRAN zijn ook bedrijven die net de kern uitmaken van 5G. Kans is dus groot dat de volgende generatie wel degelijk elementen van OpenRAN zal integreren.

Jim80 30 december 2021 20:16

Geen slechte zaak zolang men er niet in slaagt online opgeslagen gegevens waterdicht te beveiligen.

Verwijderd @Jim80 • 31 december 2021 02:15

"Waterdicht' is irrelevant want subjectief en rekbaar begrip. Gewoon Nee.

Martinique 30 december 2021 23:52

“Duitse minister van Justitie wil ongegronde datarententie uit wetgeving halen“

Typo: dataretentie

LurkZ 1 januari 2022 14:40

Zonder zware straffen op het niet correct uitvoeren is iedere regel waardeloos.
- Vanwege een 'foute' configuratie niet tijdig gewist.
- Justitie had geluk dat de telecomprovider 'vergeten' is de cold storage ook op te schonen.
- De provider neemt gerechterlijk bevel wel heel erg ruim omdat ze geen gezeur willen. Of omdat het zeer urgent lijkt een gevaarlijke wappie aan te pakken.

[Reactie gewijzigd door LurkZ op 23 juli 2024 03:09]