Opsporing in de cloud

De ‘Fappening’ zorgde twee weken geleden voor de nodige opschudding. Privé (naakt)foto’s van vrouwelijke celebrities lagen plotseling op straat en de veiligheid van cloudoplossingen werd weer eens aan de kaak gesteld. Een groot onderzoek werd gestart naar de daders. Wie heeft dit op zijn geweten en hoe kan de dader ooit gevonden worden? Maar hoe werkt dat nu eigenlijk, opsporing in de cloud?

Offline zijn hier duidelijke afspraken over gemaakt. Afspraken die samenhangen met de territoriale grenzen van landen. Nederland mag op Nederlands grondgebied zoeken en België mag op Belgisch grondgebied zoeken.

Online is dit moeilijker te definiëren. Online zijn er geen landsgrenzen te bepalen. Hoe werkt de opsporing online dan? Daarbij is de fysieke locatie van de server (nu nog) bepalend. Het land waar de server zich bevindt heeft rechtsmacht over die server. Dat wil zeggen dat het betreffende land in ‘de cloud’ kan snuffelen als de server van die cloud binnen de landsgrenzen staat. Juist om deze reden hebben de mensen achter The Pirate Bay met de gedachte gespeeld om servers de ruimte in te schieten. Daar heeft immers niemand rechtsmacht.

Als de fysieke locatie van de server bekend is, kan er in de server gezocht worden naar strafbare feiten. Mochten Nederlandse instanties ontdekken dat ze gegevens van een Amerikaanse server willen hebben, dan kan daar een formeel verzoek voor ingediend worden bij de Amerikaanse collega’s. Het wordt echter problematisch als de locatie van de server niet bekend is.

Het opsporen van de fysieke locatie en vervolgens het formeel verkrijgen van toestemming om in een server in het buitenland te zoeken, kan de Nederlandse instanties voor een onmogelijke opgave stellen.

Daarom gaan er ook stemmen op om niet de locatie van de server als uitgangspunt voor de opsporing te nemen, maar de locatie van de ‘eigenaar’ van een account als uitgangspunt te nemen (aanhangers van deze theorie worden heel passend ‘Cybernauten’ genoemd in een zeer lezenswaardig onderzoeksrapport van onder andere de Universiteit van Tilburg). Uitgaande van deze theorie mogen Nederlandse instanties Dropbox accounts van Nederlandse gebruikers doorzoeken, ook als die servers zich op Amerikaans grondgebied bevinden. Voor nu is hier echter nog geen wettelijke basis voor.

Een wettelijke basis zou gelegd kunnen worden in een verdrag, waarbij aangesloten landen verklaren dat er op elkaars grondgebied servers doorzocht mogen worden. De totstandkoming van een dergelijk verdrag zal flink wat voeten in de aarde hebben. Waar in Thailand hard opgetreden wordt tegen het beledigen van de koning, wordt daar in het andere land iets minder moeilijk over gedaan.


Dit artikel verscheen 16 september 2014 op cloudrecht.nl en is met toestemming van de auteur op ISP Today gepubliceerd.