post

De plug-and-play van veilig mailen

In een eerder artikel is reeds toegelicht dat de mail geen veilig communicatiemiddel is. In dit artikel zal ik een schets geven van plug-and-play opties om veiliger te mailen, met als belangrijkste toevoeging dat er methoden zijn die geen installaties van de ontvangende partij vergen.

1.0 Plug-and-play is de standaard

Om het mailen veiliger te maken, kan van een PGP-versleuteling gebruik worden gemaakt. Ondanks de vele voordelen die een PGP-versleuteling biedt, behoort PGP-versleuteling nog niet tot de standaard. Het ontbreken van een plug-and-play optie voor PGP-versleuteling, kan een belemmering zijn voor de ingebruikneming ervan. Beide partijen (verzender en ontvanger) moeten sleutels activeren, wachtwoorden onthouden en naar elkaars publieke adressen verwijzen. Met andere woorden: versleutelt mailen kost tijd en energie. Daarnaast zijn er steeds meer mailaanbieders die een end-to-end encryptie aanbieden, waardoor de nut en noodzaak van PGP-versleuteling kan vervagen.

Toch is end-to-end encryptie niet geheel effectief: als de mail naar een ander maildomein wordt verzonden, is het mogelijk dat deze end-to-end encryptie niet kan worden geactiveerd. Dit heeft tot gevolg dat het bericht alsnog zonder versleuteling de mailserver(s) van de wederpartij benadert. Daarnaast is het van belang om goed uit te zoeken wie de sleutels van de end-to-end encryptie beheert; het is bijvoorbeeld mogelijk dat de maildienst zelf een kopie van de sleutel opslaat, waardoor de vertrouwelijkheid ter discussie kan worden gesteld.

PGP-versleuteling en end-to-end encryptie hebben in ieder geval één belangrijke overeenkomst: de effectiviteit hangt af van de wederpartij. Heeft de wederpartij een onveilige mailserver of geen PGP-sleutels, dan komen de beveiligingsmaatregelen van de verzender op losse schroeven te staan.

2.0 PGP-versleuteling

2.1 Vereisten voor PGP-versleuteling

Een mailgebruiker dient twee sleutels aan te maken voor het mailadres: een privé- én publieke sleutel. De publieke sleutel is een soort postadres waarop de mailgebruiker versleutelde mails kan ontvangen en naar toe kan zenden. De privé sleutel is juist om de mails die via (het postadres van) de publieke sleutel zijn verzonden, te ontcijferen óf om deze voor verzending te versleutelen.

Voor het aanmaken van de sleutels zijn meerdere diensten/programma’s beschikbaar. Een gebruiker van Thunderbird (een e-mailprogramma dat op de computer draait) kan bijvoorbeeld het hulpprogramma Enigmail installeren en zodoende sleutels aanmaken, maar er zijn ook plugins voor webbrowsers (Firefox, Chrome, Internet Explorer e.d.) die voorzien in dergelijke versleutelprogramma’s, bijvoorbeeld Mailvelope.

2.2 Verzenden en ontvangen met een PGP-versleuteling

Als de PGP-sleutels eenmaal zijn geïnstalleerd, dient de verzender het publieke postadres van de ontvanger te weten. Door dit publieke postadres aan de mail toe te voegen en de mail te versleutelen met de privé sleutel, wordt de inhoud van het bericht versleuteld.

De ontvanger ziet dat er via het publieke postadres een mail is ontvangen en ontcijfert vervolgens de inhoud met diens privé sleutel.

3.0 Plug-and-play versleuteling

De korte schets van de PGP-versleuteling toont aan dat het plug-and-play principe niet helemaal toepassing vindt: pas als iedereen PGP-sleutels zou hebben, zal het versleuteld mailen plug-and-play worden. En in de “pas als” zit de kern van de uitdaging: hoe beweeg je iedere mailgebruiker PGP-sleutels aan te maken?

De relevantie uitleggen van PGP-versleuteling is wellicht één van de opties: er wordt veel via e-mail verzonden, dus zijn er ook steeds meer mails met een vertrouwelijke inhoud. De vertrouwelijkheid van die inhoud, inhoudende dat een onbevoegde derde deze lastiger kan waarnemen, wordt door PGP-versleuteling vergroot.

3.1 Het afdwingen van beveiligde mails

Als het uitleggen onvoldoende effect sorteert, kan een andere optie worden bekeken: het afdwingen dat de mails beveiligd worden verzonden. Voor deze methode (het afdwingen) zijn inmiddels ook steeds meer initiatieven, denk bijvoorbeeld aan ProtonMail en TutaNota. Een goede verdieping in de bedrijfsprofielen, werkwijze en jurisdictie van deze initiatieven is uitermate verstandig, maar de afgedwongen beveiligde mails werken min of meer als volgt:

  1. Als de verzender van het bericht waarde hecht aan de vertrouwelijkheid van de mails én de ontvanger geen gebruik maakt van beveiligde (PGP) mailopties, kan de verzender het bericht met een wachtwoord beveiligen.

  2. De ontvanger krijgt dan een notificatie in de mailbox met de volgende strekking: “U hebt een bericht ontvangen. Klik op deze link om de mail te openen.”

  3. Door op de link in de notificatiemail te klikken, opent een scherm in de webbrowser. Dit scherm bevat niet de inhoud van het verzonden bericht, maar vraagt om het wachtwoord dat door de verzender is ingesteld.

  4. Als de verzender het wachtwoord meedeelt (bijvoorbeeld door deze per telefoon, SMS, App of brief kenbaar te maken aan de ontvanger), kan de ontvanger het wachtwoord invoeren en de inhoud van de mail waarnemen.

// Het ingestelde wachtwoord is trouwens voor de verdere mailcommunicatie aan te houden, zodat niet iedere keer een nieuw wachtwoord moet worden doorgegeven.

  1. De ontvanger wordt – door vele van deze maildiensten – óók in staat gesteld om via de maildienst een antwoord te versturen. Dat antwoord wordt dan automatisch – door de maildienst – versleuteld overgebracht.

Deze initiatieven maken het dus mogelijk om versleuteld te mailen, zonder dat de ontvangende partij een PGP-installatie hoeft te realiseren. Met de ingebruikneming van dergelijke diensten is de gebruiker uiteraard niet helemaal vrij van het noodzakelijke vertrouwen in de maildienst. Maar door de codes door te nemen (veelal open-source) en de routes van de mail te bekijken, kan wel enige zekerheid over de betrouwbaarheid worden verkregen.

4.0 Versleuteld mailen en privacywetgeving

In Nederland is momenteel de Wet bescherming persoonsgegevens (Wbp) van toepassing en per mei 2018 zal de Algemene Verordening Gegevensbescherming (AVG) gelden. Eén van de bepalingen uit deze regelgeving is dat verwerkers van persoonsgegevens (bijvoorbeeld bedrijven en overheidsinstellingen) passende technische en organisatorische maatregelen moeten treffen. Mails met vertrouwelijke inhoud bevatten veelal persoonsgegevens, dus het versleuteld mailen kan in meerdere mate conformering aan deze regelgeving opleveren.

Wilt u hier meer over weten of één van onze IT-juristen spreken?

Neem dan vrijblijvend contact op via info@exlege.nl (PGP-key: 0x2F850214) of 050 – 205 33 22.

IT-juridische activiteiten Ex Lege B.V.
Dinsdag 18 juli 2017 (20.00 – 22.00u)
Informatiebijeenkomst Blockchain
Meer informatie >>>
Aanmelden >>>

Laatst gewijzigd: 11 juni 2017
Dit artikel is geschreven door Derya.

Wilt u de bijeenkomst over Blockchain bijwonen?


Telefoon
050 205 33 22
Ma-Vr: 09.00 – 21.00u
Za: 10.00-16.00u

Mail/app
Mail: info@exlege.nl
App (Signal): 06 – 216 050 01
Reactietermijn: één werkdag

Postadres
Postbus 9101
9703 LC Groningen

Bezoekadres
Koningsweg 21
9731 AN Groningen
Stuur géén post naar het bezoekadres

post

Bijeenkomst 6: Blockchain

De Blockchain.

Wellicht hebt u wel eens van deze technologie gehoord, maar het is ook goed mogelijk dat de Bitcoin u meer zegt. De Bitcoin is een vorm van digitaal geld en het is een toepassing die op de Blockchain draait. Sinds men de mogelijkheden van de Blockchain-technologie heeft ontdekt, lijkt er een heuse rage te ontstaan: eenieder wil meedoen aan de Blockchain en er worden veelbelovende mogelijkheden genoemd, bijvoorbeeld:

– “Het zal – net als het internet – ons leven ingrijpend veranderen.”;
– “De notarissen (en andere juristen) en banken worden overbodig.”;
– “Het is straks niet meer nodig om vertrouwen te hebben in je handelspartner.”;
– “Iedere Blockchain-deelnemer kan alles controleren, dus sjoemelen met de inhoud wordt onmogelijk!”; en
– “Centrale databases die we moeten vertrouwen (bijvoorbeeld een bedrijfsserver, grootboeken van banken, etc. etc.) worden vervangen door het gedistribueerde netwerk van de Blockchain.”

Dit zijn stellige opmerkingen, die voor nadere discussie vatbaar zijn. Wat er uiteindelijk ook van terecht zal komen, het is uitermate belangrijk dat verschillende professies (waaronder de juridische) over deze technologie nadenken. Als enkele professies deze technologie links laten liggen, in de veronderstelling verkerend dat het toch niet zo’n vaart zal lopen, zal dit tot gevolg kunnen hebben dat zij de boot missen en/of (mogelijk) met een gebrekkige ingebruikneming worden geconfronteerd.

‘Dé Blockchain’?

De Blockchain klinkt alsof er één variant van de Blockchain is. In den beginne was dat ook zo: de Blockchain was ontworpen om de bovenstaande mogelijkheden te kunnen realiseren. Echter, sinds de verdere bekendmaking van de technologie, zijn er meerdere alternatieven ontstaan die wellicht niet eens als De Blockchain kunnen en mogen worden gekwalificeerd. Deze alternatieven maken de bovenstaande mogelijkheden minder stellig, bijvoorbeeld:

Er is een ontwikkeling die het bewerken van de invoer mogelijk maakt, waardoor het niet meer hoeven vertrouwen van de handelspartner en de overbodigheid van een vertrouwde derde partij anders uitpakken;
Er bestaan (naast de open variant) gesloten Blockchain-systemen, waardoor niet iedereen de invoer kan controleren, maar selectief aantal deelnemers; en
De toegang tot de gesloten Blockchain-systemen kan worden aangeboden als een soort DigiD, waardoor sommige gebruikers van het systeem helemaal geen Blockchain installeren en dus ook geen controlemechanismen kunnen inzetten.

Informatiebijeenkomst 18 juli 2017

Wilt u meer weten over de Blockchain en de praktische/juridische uitdagingen van deze technologie?

18 juli 2017 zal de IT-jurist van Ex Lege B.V. de belangrijkste elementen van de technologie – voor eenieder begrijpelijk – uitleggen. Na deze uitleg weet u als deelnemer (ongeacht uw professie / voorkennis) hoe de Blockchain-technologie werkt en zal de bijeenkomst worden vervolgd door de praktische en juridische uitdagingen van de Blockchain te bespreken.

Programma

1. De Blockchain: een eenvoudige weergave van de techniek.
2. Wat zijn de praktische uitdagingen van de Blockchain?
3. Wat zijn de juridische uitdagingen van de Blockchain?

Laatst gewijzigd: 11 juni 2017

Contactgegevens

Wilt u deze bijeenkomst bijwonen?


Telefoon
050 205 33 22
Ma-Vr: 09.00 – 21.00u
Za: 10.00-16.00u

Mail/app
Mail: info@exlege.nl
App (Signal): 06 – 216 050 01
Reactietermijn: één werkdag

Postadres
Postbus 9101
9703 LC Groningen

Bezoekadres
Koningsweg 21
9731 AN Groningen
Stuur géén post naar het bezoekadres

post

Bijeenkomst 4: BKR-registraties

Een negatieve BKR-registratie kan grote gevolgen hebben: het afsluiten van een hypotheek of een andere lening zal enige tijd niet mogelijk zijn. Maar een negatieve BKR-registratie is géén onomkeerbaar gegeven: als er feiten en omstandigheden zijn die het in stand houden van de negatieve registratie niet rechtvaardigen, dan kan een verzoek tot verwijdering worden ingediend.

1.0 Een introductie in BKR-registraties

Een BKR-registratie is in beginsel niks bijzonders. De kredietverstrekkers moeten bij het BKR de verstrekte leningen melden en het BKR houdt het overzicht. Het BKR is dus een soort administratiekantoor waar allerlei organisaties informatie aan verstrekken en informatie van krijgen. Eén van de doelen die met deze administratie wordt nagestreefd, is het beschermen van de consumenten: te veel leningen kunnen betalingsproblemen tot gevolg hebben en daar is uiteindelijk géén van de partijen bij gebaat.

Als persoon X meerdere leningen heeft en een nieuwe lening wil afsluiten, dan zal de kredietverstrekker een overzicht van X bij het BKR opvragen en zodoende inzien welke andere leningen X heeft. Zo kan de kredietverstrekker - voordat het krediet wordt verstrekt - beoordelen of het verantwoord is om X een lening te verstrekken.

1.1 Een negatieve BKR-registratie
Dat wordt anders als X een negatieve BKR-registratie heeft. Een negatieve BKR-registratie kan ontstaan indien X een betalingsachterstand heeft op (één van de) betalingstermijnen. Een negatieve BKR-registratie wordt aan het BKR doorgegeven door de kredietverstrekker die een betalingsachterstand van X constateert. Als X - met deze negatieve registratie - een lening wil afsluiten bij een (nieuwe) kredietverstrekker, zal deze kennisnemen van de negatieve BKR-registratie en veelal de lening weigeren.

De negatieve registratie heeft dus impact op de leningen die X wil aangaan. Deze impact moet uiteindelijk wel in verhouding staan tot het doel: het beschermen van de consument. Aan dat doel zou men voorbij schieten als X al 10 jaren onafgebroken keurig de maandelijkse termijnen betaalt, maar er één onbetaald is gebleven en dat een negatieve BKR-registratie tot gevolg heeft gehad. De negatieve BKR-registratie kan dan tot gevolg hebben dat X geen hypotheek kan afsluiten, terwijl het niet voor de hand ligt om aan te nemen dat X betalingsproblemen heeft.

Tijdens de informatiebijeenkomst op 16 mei 2017 wordt de bovenstaande toelichting in uitgebreidere vorm behandeld en komen de volgende vragen aan bod:
1. Wat is het BKR?
2. Hoe werkt het BKR en welke relatie heeft het BKR tot de kredietverstrekkers?
3. Een negatieve BKR-registratie: wat is het en kan het worden verwijderd?

Programma
20.00 - 20.15u: inloop
20.15 - 21.00u: presentatie & discussie
21.00 - 22.00u: napraten onder het genot van een hapje en een drankje

Wanneer
Dinsdag 16 mei 2017
20.00 - 22.00u

Waar
Het kantoor van Ex Lege B.V.
Koningsweg 21, Groningen

Aanmelden
Deelname is kosteloos en aanmelden kan via onze website. Klik hier om naar het aanmeldformulier te gaan.

Wij hopen u de 16e te mogen verwelkomen!

// Ex Lege B.V. organiseert iedere derde dinsdag van de maand een informatiebijeenkomst. De volgende bijeenkomsten:
- Omgevingsrecht | 20 juni 2017
- Blockchain | 18 juli 2017

Laatst gewijzigd: 02 mei 2017

Telefoon
050 205 33 22
Ma-Vr: 09.00 - 21.00u
Za: 10.00-16.00u

Mail/app
Mail: info@exlege.nl
App (Signal): 06 - 216 050 01
Reactietermijn: één werkdag

Postadres
Postbus 9101
9703 LC Groningen

Bezoekadres
Koningsweg 21
9731 AN Groningen
Stuur géén post naar het bezoekadres

post

Bijeenkomst 3: Arbeidsovereenkomsten

Dinsdag 18 april 2017 organiseert Ex Lege B.V. de derde informatiebijeenkomst: arbeidsovereenkomsten. Tijdens deze bijeenkomst zullen twee juristen een presentatie geven waarin de verschillende fasen van een arbeidsovereenkomst worden behandeld.

Een arbeidsovereenkomst komt tot stand door een verklaring van de werkgever en de werknemer. De werkgever biedt werk, loon en wil dat het werk gedurende een zekere termijn - met inachtneming van zijn instructies - wordt gedaan. Indien een werknemer verklaart het werk te kunnen en willen doen, kunnen de partijen een arbeidsovereenkomst sluiten.

In een arbeidsovereenkomst leggen de partijen de wensen en verwachtingen vast. Maar de partijen zijn niet geheel vrij in het bepalen van de overeenkomst: de wet (en andere bepalingen) geven kaders aan de arbeidsovereenkomst. Sommige bepalingen zijn van regelend recht, inhoudende dat partijen ervan kunnen afwijken en sommige bepalingen zijn dwingend: als partijen in afwijking van de wet iets vastleggen, dan geldt die bepaling niet en kunnen de partijen er geen rechten aan ontlenen.

De regels omtrent het arbeidsrecht zijn aan veranderingen onderhevig en de Wet Werk en Zekerheid heeft voor de laatste - grote - wijzigingen van het arbeidsrecht gezorgd. Inmiddels zijn de laatste wijzigingen - die uit deze wet voortvloeien - van kracht en kunnen de geldende wetten en regelgevingen als uitgangspunt dienen voor de informatiebijeenkomst.

Op dinsdag 18 april 2017 de volgende vragen beantwoord:

- Wat is een arbeidsovereenkomst?
- Wanneer is er sprake van een redelijk vermoeden van een arbeidsovereenkomst?
- Hoe werkt de ketenregeling (meerdere tijdelijke contracten achtereen)?
- Wat zijn de voornaamste verschillen tussen een overeenkomst voor bepaalde tijd en onbepaalde tijd?
- Aan welke geheimhoudingsbedingen kan een werknemer worden onderworpen?
- Aan welke concurrentiebedingen kan een werknemer worden onderworpen?
- Welke rechten en plichten hebben partijen ingeval van ziekte?
- Hoe kan (in sommige gevallen moet) een arbeidsovereenkomst worden beëindigd?
- Welke bepalingen gelden voor arbeidsovereenkomsten die onder het oude recht zijn begonnen?

Programma
20.00 - 20.15u: inloop
20.15 - 21.00u: presentatie & discussie
21.00 - 22.00u: napraten onder het genot van een hapje en een drankje

Wanneer
Dinsdag 18 april 2017
20.00 - 22.00u

Waar
Het kantoor van Ex Lege B.V.
Koningsweg 21, Groningen

Aanmelden
Deelname is kosteloos en aanmelden kan via onze website. Klik hier om naar het aanmeldformulier te gaan.

Wij hopen u de 18e te mogen verwelkomen!


Laatst gewijzigd: 29 maart 2017

Contactgegevens

Telefoon
050 205 33 22
Ma-Vr: 09.00 - 21.00u
Za: 10.00-16.00u

Mail/app
Mail: info@exlege.nl
App (Signal): 06 - 216 050 01
Reactietermijn: één werkdag

Postadres
Postbus 9101
9703 LC Groningen

Bezoekadres
Koningsweg 21
9731 AN Groningen
Stuur géén post naar het bezoekadres

post

Een ansichtkaart versturen? Mailen kan ook!

Veel communicatie verloopt tegenwoordig via de mail. Dat is op zich niet zo verwonderlijk, de e-mail heeft de gebruikers veel te bieden: het bericht bereikt de ontvanger binnen een paar seconden, het wordt automatisch opgeslagen in de map verzonden mails en e-mailen kan overal (mits er maar een internetverbinding is). Toch zitten er ook wat haken en ogen aan: wie mailt verwacht wellicht een gesloten enveloppe te versturen/ontvangen, maar het is prima mogelijk dat het bericht als ansichtkaart het netwerk overgaat.

Om te beginnen is het van belang om op te merken dat e-mail – net als het internet – niet bedoeld was om door grote hoeveelheden mensen te worden gebruikt. Toen de e-mail werd ontwikkeld, had het creëren van de technische mogelijkheid de voornaamste prioriteit: het was dan ook een uitvinding van formaat toen het mogelijk werd om berichten over te brengen naar computers binnen het netwerk. De beoogde gebruikers waren wetenschappers en de beoogde content van de mails was minimaal. De infrastructuur van de e-mail was daarom afgestemd op deze gebruikers en gebruiksdoeleinden. Voor een tijdlijn van de e-mailontwikkeling verwijs ik graag naar een artikel van The Guardian (maart 2016).

De verzender, de ontvanger en de servers…
Om de veiligheidsrisico’s van de e-mail beter te begrijpen, is een kijkje onder de motorkap noodzakelijk. In beginsel kan een mail worden verzonden door de overdracht van het bericht tussen de server van de verzender en de server van de ontvanger. Deze eenvoudige route is echter geen standaard: zowel de server van de ontvanger als de server van de verzender realiseren vaak omleidingen. Deze omleidingen kunnen erg nuttig zijn: door het bericht naar een “controleserver” te sturen en bijvoorbeeld mails van bepaalde afzenders in quarantaine te plaatsen, kan een extra veiligheidswaarborg worden ingebouwd. Maar het is ook zo dat des te meer omleidingen er zijn, des te meer er beveiligd moet worden en dus ook des te meer veiligheidsrisico’s er zijn.

Beveiligingslagen en beveiligde verbindingen
Digitale veiligheid kan slechts aanwezig worden geacht als de beveiliging op verschillende niveaus goed is en er rekening is gehouden met de aanwezige en mogelijke verbindingen. Eén van de niveaus is het berichtniveau: door het bericht met een TLS-versleuteling uit te rusten, is het bericht beveiligd. Stel dat iemand de lijn uitleest en het bericht onderschept, dan is nog altijd de inhoud van het bericht niet makkelijk waar te nemen.[1]

Dat is anders als de server van de verzender of de ontvanger meerdere omleidingen realiseert en deze omleidingen de versleuteling verwijderen en géén nieuwe versleuteling op het bericht zetten. In dat geval kan de uitlezer van die lijn de berichten eenvoudig waarnemen na het onderscheppen. Zelfs als de server van de verzender alle omleidingen met een TLS-versleuteling heeft uitgerust, biedt dit geen enkele garantie voor de aanwezige of ontbrekende beveiligingen op de server(s) van de ontvanger.

Op transportniveau kan nog worden gedacht aan een VPN (Virtual Private Network). Als alle servers van de verzender binnen de VPN vallen, kan worden aangenomen dat een buitenstaander überhaupt met veel moeite / haast onmogelijk toegang kan krijgen tot de informatie die via de VPN-tunnel wordt verzonden. Maar ook een VPN dwingt geen beveiligingsmaatregelen af bij de ontvanger: het is tot aan de buitendeur van de verzender veilig, maar wordt daarna afhankelijk van de beveiliging van de ontvanger.

PGP
Er is nog wel een andere oplossing, maar die dwingt de ontvanger tot maatregelen: PGP. Het is mogelijk om een bericht op berichtniveau te versleutelen met behulp van een code. Deze code versleutelt het bericht en maakt deze onleesbaar voor een onbevoegde die de lijn uitleest. Slechts de beoogde ontvanger kan met een unieke code de versleuteling verwijderen en de inhoud van het bericht waarnemen.

Dit klinkt wellicht makkelijk: de afzender zet er een slot op en alleen de ontvanger beschikt over een sleutel om het slot eraf te halen. Eigenlijk is dat het ook wel, maar de afzender moet eerst sleutels bemachtigen voordat een verzender een versleuteld bericht kan versturen. De wens van beide partijen is derhalve leidend: hebben zij allebei sleutels, dan kunnen ze de berichten versleutelen; maar heeft maar één van de twee sleutels, dan kan deze niet eenzijdig een versleuteld bericht overbrengen.

Tot slot
De wens van beide partijen om veilig te communiceren, is een belangrijke uitdaging voor het veilig e-mailen. De mogelijkheid om die wens te hebben, begint met kennis over de risico’s van de e-mail, want waarom zou iemand PGP gebruiken als e-mail een veilig communicatiemiddel lijkt? Er zijn nog altijd e-mails met het woord VERTROUWELIJK in het onderwerp, terwijl men min of meer een ansichtkaart verstuurt en op de ansichtkaart VERTROUWELIJK noteert…

De juridische uitdagingen
De juridische uitdagingen van deze digitale communicatiemogelijkheden groeien enorm. De mogelijkheid om passende technische en organisatorische maatregelen (Wet bescherming persoonsgegevens / Algemene Verordening Gegevensbescherming) te treffen is afhankelijk van o.a. de IT-kennis van de verantwoordelijke, maar zoals hierboven is weergegeven zijn de maatregelen van de ontvangende partij ook van groot belang.

Als de verzender een bestuursorgaan is of een (rechts)persoon met geheimhouding, kan het nog een interessante discussie opleveren wanneer men gaat praten over de verantwoordelijkheid van de verzender voor de risico’s van de (wellicht onwetende) ontvanger.

[1] Grote e-mailaanbieders hebben veelal standaard een TLS-versleuteling op berichtniveau.

Laatst gewijzigd: 15 maart 2017
Dit artikel is geschreven door Derya.

post

Bijeenkomst 2 – Digitale veiligheid

Na een zeer geslaagde eerste bijeenkomst met interessante discussies, zijn wij verheugd u uit te mogen nodigen voor de tweede bijeenkomst: digitale veiligheid.

Nieuwsberichten over tekortschietende en/of doorbroken digitale veiligheidsmaatregelen bereiken ons veelvuldig. Niemand lijkt helemaal veilig in de digitale wereld: overheden, grote bedrijven, kleinere bedrijven en personen staan continue voor nieuwe digitale veiligheidsuitdagingen. De hackers kunnen zowel goed- als kwaadwillend zijn. Een goedwillende hacker is iemand die systemen aan testen onderwerpt en bij het ontdekken van een zwakte de gebruiker / verantwoordelijke daarover inlicht. Een kwaadwillende hacker zal bij het constateren van een zwakte in de veiligheid zoeken naar mogelijkheden om de buit (de bemachtigde gegevens) te benutten.

Persoonsgegevens zijn één van de belangrijkste gegevens om te kunnen bemachtigen: de kwaadwillende hacker kan zich gaan voordoen als de desbetreffende persoon en bijvoorbeeld overeenkomsten aangaan. De benadeelde (het slachtoffer) weet soms niet direct dat de gegevens zijn gestolen en kan er jaren na de inbraak nog steeds nadeel van ondervinden.

De overvloed van digitale middelen in onze huidige samenleving, behoeft passende wet- en regelgeving. Eén van de belangrijkste (nationale) wetten is de Wet bescherming persoonsgegevens. In de Wet bescherming persoonsgegevens staat dat de verantwoordelijke - voor het verwerken van persoonsgegevens - technische en organisatorische maatregelen moeten treffen. Wat dit precies inhoudt, wordt door de Autoriteit Persoonsgegevens (officieel: College bescherming persoonsgegevens) zo veel mogelijk toegelicht in aanvullende documenten, maar er blijft altijd nog ruimte voor interpretatie.

Als de technische en organisatorische maatregelen een inbraak toch niet hebben kunnen voorkomen, dan zou de benadeelde (het slachtoffer) geen actie kunnen ondernemen indien de inbraak niet wordt gemeld. Sinds 1 januari 2016 is daarom een meldplicht datalekken (34a Wbp) ingevoerd. Daarnaast is er op Europees niveau een belangrijke ontwikkeling: de Europese wetgever heeft een document van 88 pagina's opgesteld (Algemene verordening gegevensbescherming, afgekort: AVG) waarin de nieuwe privacywetgeving binnen de Europese Unie (dus ook binnen Nederland) is geregeld.


Tijdens deze tweede bijeenkomst zal worden stilgestaan bij de volgende vragen:
1. Wat zijn (bijzondere) persoonsgegevens?
2. Welke technische en organisatorische maatregelen kan/moet een verantwoordelijke treffen?
3. Wanneer moeten datalekken worden gemeld?
4. Wat betekent de AVG voor Nederland?

Programma
20.00 - 20.15u: inloop
20.15 - 21.00u: presentatie & discussie
21.00 - 22.00u: napraten onder het genot van een hapje en een drankje

Wanneer
Dinsdag 21 maart 2017
20.00 - 22.00u

Waar
Het kantoor van Ex Lege B.V.
Koningsweg 21, Groningen

Aanmelden
Deelname is kosteloos en aanmelden kan via onze website. Klik hier om naar het aanmeldformulier te gaan.

Wij hopen u de 21ste te mogen verwelkomen!


Laatst gewijzigd: 02 maart 2017

Contactgegevens

Telefoon
050 205 33 22
Ma-Vr: 09.00 - 21.00u
Za: 10.00-16.00u

Mail/app
Mail: info@exlege.nl
App (Signal): 06 - 216 050 01
Reactietermijn: één werkdag

Postadres
Postbus 9101
9703 LC Groningen

Bezoekadres
Koningsweg 21
9731 AN Groningen
Stuur géén post naar het bezoekadres

Entreegeld betalen om TV te kijken in de hotelkamer?

Bron: Hof van Justitie van de Europese Unie.

Op 16 februari 2017 heeft het Hof van Justitie een arrest gepubliceerd in de reeks van arresten aangaande artikel 8 van de Richtlijn 2006/115/EG. Deze Richtlijn1 is door de Europese wetgever opgesteld en is bedoeld om doeltreffende bescherming te bieden voor auteursrechtelijk beschermde werken en van door naburige rechten beschermde zaken.23

Artikel 8 lid 3 Richtlijn
Voordat het arrest van het Hof van Justitie nader worden bekeken, is het relevant om artikel 8 lid 3 van de Richtlijn 2006/115/EG te bestuderen. Deze bepaling geeft omroeporganisaties (bijvoorbeeld NPO) het recht om een uitzending te verbieden als aan twee voorwaarden is voldaan:

  • Voorwaarde 1
    Er is sprake van een “mededeling aan het publiek”.
  • Voorwaarde 2
    De mededeling (het uitzenden) vindt plaats op een plek die het publiek betreedt na het betalen van een toegangsprijs.

Het arrest

HvJ EU 16 februari 2016, C‑641/15, ECLI:EU:C:2017:131.

De casus
Een hotel heeft de hotelkamers met televisies uitgerust. Op deze televisies zijn radio- en TV-uitzendingen te ontvangen. Een organisatie die belangen van rechthebbenden behartigt stelt zich op het standpunt dat aan de twee voorwaarden van artikel 8 lid 3 is voldaan, omdat het aanbieden van televisie in een hotelkamer van invloed is op de kamerprijs. De belangenorganisatie eist dat het hotel wordt veroordeeld tot het verschaffen van informatie4 en het betalen van een schadevergoeding.

Het arrest – dat maar zes kantjes lang is en zeker de moeite waard om eens door te nemen – bevat een mooi overzicht van de reeks arresten die betrekking hebben op artikel 8 Richtlijn 2006/115/EG.

Voorwaarde 1
Voorwaarde 1 – mededeling aan het publiek – is in een soortgelijke casus al door het Hof van Justitie toegelicht. In het arrest Ireland heeft het Hof van Justitie bepaald dat een hotelexploitant die de hotelkamers met televisies en televisiesignalen uitrust, een “gebruiker” is die het uitgezonden materiaal “meedeelt aan het publiek”.5 Deze kwalificaties hebben tot gevolg dat de hotelexploitant de rechthebbenden een billijke vergoeding dient te betalen.

Voorwaarde 2
Dit arrest concentreert zich tot een belangrijke (nieuwe) vraag omtrent de toepassing van artikel 8 lid 3 van de Richtlijn. Is er sprake van betreden “tegen een toegangsprijs” als:

  • een hotelexploitant de hotelkamers met televisies uitrust waar uitzendingen op kunnen worden ontvangen, en
  • bij de prijs voor de hotelovernachting ook het gebruik van de televisie met uitzendingen is inbegrepen?

De meerwaarde van voorwaarde 2 ligt besloten in het recht dat de omroeporganisaties – bij het voldoen aan de voorwaarde – toekomt: de omroeporganisaties kunnen het uitzenden verbieden of toestaan, waarbij het toestaan aan aanvullende voorwaarden kan worden onderworpen.

In rechtsoverweging 24 en 25 van het arrest wordt op een gestructureerde wijze weergegeven wanneer aan voorwaarde 2 is voldaan. Deze rechtsoverwegingen bevatten het volgende overzicht.

  1. De hotelkamerprijs:
    – Is primair een vergoeding voor het overnachten, en
    – Bevat geen specifieke (aanvullende) prijs voor de beschikbaar gestelde televisie.
  2. Het beschikbaar stellen van televisie in de hotelkamer:
    – Is afhankelijk van het soort hotel,
    – Is een aanvullende dienst, en
    – Is van invloed op de standing van het hotel en de prijs van de kamer.
  3. Het Hof van Justitie concludeert – na dat de bovenstaande redenering uiteen is gezet – als volgt:

Deze aanvullende dienst wordt niet geleverd op een plaats die het publiek betreedt na het betalen van een toegangsprijs, zoals bedoeld in artikel 8 lid 3 Richtlijn 2006/115/EG.

Discussie

Op basis van de redenering – rechtsoverweging 24 en 25 – van het Hof van Justitie, kan mijns inziens ook worden geconcludeerd dat het een hotelkamer een plaats is waar wél toegangsgeld wordt gevraagd voor het beschikbaar stellen van televisie.

Ter illustratie
Als de kamers van een hotel met TV en de kamers zonder TV 10,00 euro verschillen, kan worden aangenomen dat het hotel 10,00 entreegeld vraagt voor de toegang tot een kamer met televisie.

Toch kan worden geoordeeld dat deze uitspraak een redelijk gevolg is van de doelstellingen die aan artikel 8 Richtlijn ten grondslag liggen: het bieden van bescherming voor auteursrechtelijk beschermde werken en van door naburige rechten beschermde zaken. De hotelkamerprijs is primair – al dan niet voor het grootste deel – een vergoeding voor het overnachten en de aanvullende dienst zit bij die prijs inbegrepen, maar is niet nader gedefinieerd.

Ter illustratie
Afhankelijk van het soort hotel is een kamer uitgerust met een waterkoker en oploskoffie en/of een espressoapparaat. Het is eenvoudig aan te nemen dat de hotelexploitant géén entreegeld vraagt voor het drinken van koffie in de kamer, maar dat de koffie als aanvullende dienst is bijgevoegd voor de totale beleving van de klant tijdens de hotelovernachting.

De bescherming die artikel 8 lid 3 Richtlijn biedt, blijft naar mijn mening nog altijd effectief. Als een hotelondernemer een bioscoopzaal inricht, toegangskaartjes verkoopt en uitzendingen toont waar omroeporganisaties geld in investeren, dan zou waarschijnlijk wél aan beide voorwaarden van artikel 8 lid 3 Richtlijn 2006/115/EG zijn voldaan. Voor dergelijke situaties blijven de omroeporganisaties de bescherming genieten die uit deze Richtlijn voortvloeit.

Laatst gewijzigd: 22 februari 2017
Dit artikel is geschreven door Derya.


1. Wat is een Richtlijn?
Een Richtlijn bevat aanwijzingen voor de lidstaten van de Europese Unie. De lidstaten hoeven niet de tekst van een Richtlijn één-op-één over te nemen, maar moeten er wel voor zorgen dat de doelen van de Richtlijn middels de nationale wetgeving worden behaald. Zie ook artikel 288 Verdrag betreffende de Werking van de Europese Unie.
2. Overweging 3 Richtlijn 2006/115/EG
3. Auteursrechten en naburige rechten
Het verschil tussen auteursrechten en naburige rechten laat zich het beste verduidelijken door een voorbeeld: Beethoven componeert (bedenkt) een muziekstuk en Mozart brengt dit muziekstuk tijdens een optreden ter gehore van zijn publiek. Beethoven is dan de auteursrechthebbende van het muziekstuk en de naburige rechten komen Mozart toe: Mozart is dan de “uitvoerende kunstenaar”.
4. Welke programma’s kunnen worden ontvangen en welke hotelkamers zijn betrokken.
5. HvJ EU 15 maart 2012, C‑162/10 http://curia.europa.eu/juris/document/document.jsf?text=&docid=120461&pageIndex=0&doclang=NL&mode=lst&dir=&occ=first&part=1&cid=199498

Bijeenkomst 1 – Het kind van de rekening

Bewind is een zeer ingrijpende situatie: de betrokkene heeft eigenlijk geen zeggenschap meer over de financiën. Maar wat betekent dit voor de kinderen van onder bewind gestelden? Zijn zij 'het kind van de rekening' of zijn er voldoende waarborgen om de kinderen te ontzien?

In 2015 is het aantal aanvragen voor beschermingsbewind ten opzichte van 2010 bijna verdubbeld.[1] Beschermingsbewind (hierna: bewind) is de situatie waarin de betrokkene (de onder bewind gestelde) handelingsonbevoegd wordt en de financiën door een bewindvoerder laat beheren. De bewindvoerder opent een beheerrekening en zorgt ervoor dat alle inkomsten en uitgaven van de betrokkene via de beheerrekening verlopen (artikel 1:436 lid 4 BW).[2] Géén enkele inkomstenbron van de betrokkene is hiervan uitgezonderd, dus alle vormen van inkomsten moeten naar de beheerrekening, waaronder: loon/bijstand, huurtoeslag/woonkostentoeslag, zorgtoeslag, kinderbijslag en het kindgebonden budget.

Tijdens de 1e informatiebijeenkomst van Ex Lege B.V. wordt stilgestaan bij de kinderen van onder bewind gestelden. Dit onderwerp behandelen we aan de hand van drie vragen:

1. Welke bestemming heeft de wetgever voor ogen gehad bij het toekennen van kindgebonden budget en kinderbijslag?
2. Hoe en in welke mate is de bestemming van de bijdrage(n) gewaarborgd ingeval de ouders van de kinderen onder bewind staan?
3. Welke juridische verhoudingen schept de bewindvoering tussen de drie actoren (bewindvoerder, betrokkene en kinderen)?

Programma
20.00 - 20.15u: inloop
20.15 - 21.00u: presentatie & discussie
21.00 - 22.00u: hapjes & drankjes

Wanneer
Dinsdag 21 februari 2017
20.00 - 22.00u

Waar
Het kantoor van Ex Lege B.V.
Koningsweg 21, Groningen

Aanmelden
Deelname is kosteloos en aanmelden kan via onze website. Klik hier om naar het aanmeldformulier te gaan.

Wij hopen u de 21ste te mogen verwelkomen!


[1] Ministerie van Sociale Zaken en Werkgelegenheid, Vervolgmeting aantal en kosten beschermingsbewinden, 30 juni 2016, p. 7, www.nvvk.eu, laatst geraadpleegd 07 februari 2017.
[2] LOVCK, Aanbevelingen meerderjarigenbewind, 15 december 2015, p. 7, www.rechtspraak.nl, laatst geraadpleegd 04 januari 2017.

Contactgegevens

Telefoon
050 205 33 22
Ma-Vr: 09.00 - 21.00u
Za: 10.00-16.00u

Mail/app
Mail: info@exlege.nl
App (Signal): 06 - 216 050 01
Reactietermijn: één werkdag

Postadres
Postbus 9101
9703 LC Groningen

Bezoekadres
Koningsweg 21
9731 AN Groningen
Stuur géén post naar het bezoekadres