Beste,

de meesten van jullie zullen ongetwijfeld op de hoogte zijn van de dataretentiewet die per 1 juli ingevoerd word. Providers zijn vanaf dat moment wettelijk verplicht logfiles 18 maanden te bewaren.

Onduidelijk is echter wat er onder 'providers' wordt verstaan. Ik heb een webdesign en -hosting bedrijf en huur een managed dedicated server. Ben ik nu een provider, of is de club die mijn server managed dat? En -belangrijker- moet ik nu logfiles lang gaan bewaren?

Op Tweakers.net loopt deze discussie ook, iemand heeft daar al veel onderzoek gedaan :) ... Om een of andere reden mag ik hier geen links posten omdat ik te weinig posts heb ofzo? Het gaat om de url "gathering.tweakers.net" met het volgende pad: "/forum/list_message/28117165" (zonder quotes). Even knippen en plakken dus :)

Als iemand hier wat zinnigs over kan vertellen hoor ik het graag!

Voor luilakken:

http://gathering.tweakers.net/forum/list_message/28117165

Weet het zelf niet. Maar logfiles bewaren wij zelf toch wel.

Voor luilakken:

http://gathering.tweakers.net/forum/list_message/28117165

Weet het zelf niet. Maar logfiles bewaren wij zelf toch wel.
Ook 18 maanden lang?
Verder interresant topic, zal voor iedereen hier van nut zijn!

Voor luilakken:

Weet het zelf niet. Maar logfiles bewaren wij zelf toch wel.

Dank voor de link :)
Logfiles bewaren wij ook, maar standaard drie maanden, geen 18...

Grofweg houdt de wet in dat aanbieders van publieke netwerken voor 18 maanden moeten onthouden wie toegang heeft gekregen tot welke locaties.

Voor wie geldt de dataretentiewet?

De aanbieders van publieke netwerken c.q. internetproviders, maar er wordt niet nader beschreven wie daar precies onder vallen. Wie sowieso onder deze wet vallen zijn hosters van websites (HTTP) en e-mail (SMTP).

Wat moet er bewaard worden?

Wie heeft op welke tijdstippen jouw systemen gebruikt? (IP adres)
Wat heeft diegene gedaan met jouw systeem? (e-mail verzenden, website bezoeken)
In geval van website bezoeken, wat was het adres?
In geval van e-mail verzenden, naar welk e-mailadres?

SMTP kan zowel uitgaand (SMTP relay) als inkomend (SMTP host) zijn.

Wat moet ik doen vanaf 1 juli?

Wat je waarschijnlijk op dit moment ook al doet. In de instellingen van je HTTP en SMTP servers moet je aangeven dat logbestanden worden gemaakt waarin minimaal bovenstaande gegevens worden opgeslagen. Zorg dat de logbestanden op een veilige locatie komen te staan en bewaar ze 18 maanden.

Ik weet niet wat er naast HTTP en SMTP verkeer nog meer bewaard moet worden. Het is allemaal niet zo ingrijpend voor de meeste webhosters, ook zullen de kosten wel meevallen aangezien logfiles vaak goed te comprimeren zijn.

Bij mijn weten is het dataretentie wetsvoorstel nog niet eens door de Tweede Kamer behandeld, dus hoe het van kracht zou moeten worden per 1 juli is mij nog even een raadsel. Verder kan het wetsvoorstel zoals dat nu is in de Eerste Kamer ook op flinke tegenstand rekenen en ziet het er naar uit dat het daar verworpen zal gaan worden. Al zal er wel een bepaalde ratificering van de dataretentierichtlijn moeten komen, maar of dat in de vorm van het huidige wetsvoorstel is, dat is nog maar even te bezien.

Helaas slaat de wet kant nog wal. Levert het een hoop extra administratie op en is tot op heden niet duidelijk wat de voordelen ervan zijn. Inmiddels weet een ieder hoe je de wet dusdanig kan frustreren dat het niet nuttig is. Denk aan een ssl vpn richting verweggiestan. (lees buiten de eu).
Of dat netwerk waarbij je requests elke keer via een ander ip worden gedistribueerd.


Ik weet niet wat er naast HTTP en SMTP verkeer nog meer bewaard moet worden. Het is allemaal niet zo ingrijpend voor de meeste webhosters, ook zullen de kosten wel meevallen aangezien logfiles vaak goed te comprimeren zijn.
Tja volgens deze methodiek, moet je eigenlijk van elke extern (publiekelijk) benaderbare service die aanwezig is op je server alles loggen.

Denk aan een ssl vpn richting verweggiestan. (lees buiten de eu).
Of dat netwerk waarbij je requests elke keer via een ander ip worden gedistribueerd.

Inderdaad, huur een server in de Verenigde Staten, open een VPN verbinding vanaf huis naar je server en niemand die nog iets kan natrekken :)

Helaas slaat de wet kant nog wal. Levert het een hoop extra administratie op en is tot op heden niet duidelijk wat de voordelen ervan zijn. Inmiddels weet een ieder hoe je de wet dusdanig kan frustreren dat het niet nuttig is. Denk aan een ssl vpn richting verweggiestan. (lees buiten de eu).
Of dat netwerk waarbij je requests elke keer via een ander ip worden gedistribueerd.

Ja dat is nou net een beetje de clou van die hele wet, ze is zo gemakkelijk te omzeilen dat ze effectief waardeloos wordt. Je hoeft het zelf nog niet zo ver te zoeken, een simpele forward proxy in verweggiestan volstaat al. En dat valt voor iedereen eenvoudig in te stellen.

Ik ben er nooit echt mee bezig geweest, dat doet mijn collega meer, maar wat moet je nu echt loggen? access logs voor je apache, of verkeer wat er door mn redback heen gaat? Het staat bij ons daar ook niet echt hoog op de prio lijst

Grofweg houdt de wet in dat aanbieders van publieke netwerken voor 18 maanden moeten onthouden wie toegang heeft gekregen tot welke locaties.

(...)


Dank voor de info :)
Hoe kom je aan deze info overigens, heb je een bron / url?

Dus als ik het goed begrijp hoef je geen data te bewaren als je geen betaalde diensten aanbied. dan kunnen terorristen dus gewoon een dedicated bakje in NL neerzetten, en verkeer daarover laten lopen.

Of is dat de dedicated-provider verantwoordelijk voor deze logs? maar hoe kan die dat nou doen bij een server van een klant (zonder drastisch al het verkeer te onderscheppen).

Dus als ik het goed begrijp hoef je geen data te bewaren als je geen betaalde diensten aanbied. dan kunnen terorristen dus gewoon een dedicated bakje in NL neerzetten, en verkeer daarover laten lopen.

Of is dat de dedicated-provider verantwoordelijk voor deze logs? maar hoe kan die dat nou doen bij een server van een klant (zonder drastisch al het verkeer te onderscheppen).

Technisch gezien is die terrorist dan zelf de provider en ook zelf verplicht om logbestanden bij te houden, hoewel er misschien een uitzondering zal zijn als de server niet commercieel wordt ingezet.

Al met al meer vragen dan duidelijkheid :)

Ze kunnen sowieso niet van "providers van providers" verwachten dat al het dataverkeer wordt geanalyseerd en gelogd, dit is technisch gezien bijna onmogelijk en zou gigantisch duur worden. Het is dus echt de taak van de beheerder van de server zelf.

Ik begin er niet aan, gewoon vanuit principe.

Ik begin er niet aan, gewoon vanuit principe.
Hahaha, we zullen zien als het wordt doorgevoerd.

Ik ben erg benieuwd van wie we het te horen krijgen als het ingevoerd gaat worden? Wat ik hier allemaal lees is tussen neus en lippen door en allemaal inofficieel. Zal de KVK een brief uit doen bij deze wet? Hoe gaat het normaal gesproken bij een invoering van een wet betreft informatievoorziening. Tot zover zie ik dit allemaal als speculatie omdat ik nog niks officieels heb vernomen.

Vraag me eerder af wat de sanctie is als je een betreffende logfile "niet" kan overhandigen.

Ik ben erg benieuwd van wie we het te horen krijgen als het ingevoerd gaat worden?

Je bent zelf verantwoordelijk om (via de media) op de hoogte te blijven van wetswijzigingen.

Volgens mij is het struisvogel politiek, wat is het nut? stel dat we alles bewaren, wie gaat deze stapel aan GB's dan uitzoeken? Als ze al wat zouden kunnen vinden? Ik geloof ook niet dat deze wet er in deze vorm echt komt. En zoals Mike al zegt wat als je geen log files hebt of wil of kunt overhandigen?

Volgens mij is het struisvogel politiek, wat is het nut? stel dat we alles bewaren, wie gaat deze stapel aan GB's dan uitzoeken? Als ze al wat zouden kunnen vinden? Ik geloof ook niet dat deze wet er in deze vorm echt komt. En zoals Mike al zegt wat als je geen log files hebt of wil of kunt overhandigen?
Ik vrees dat wij die zelf moeten doorzoeken... wordt een soort van kwartetspel.. mag ik van u van de logfiles de logs van noem_een_domeinnaam in de periode van xxxxx tot yyyyy. :(

Onder de noemer "strijd tegen het terrorisme" (en/of criminaliteit) worden er wel meer wetten doorgejaagd. Ik twijfel er dan ook niet aan of er zijn heel veel niet al te fijne sancties die opgelegd kunnen worden als je niet aan een dergelijk bevel kan voldoen.

Je bent zelf verantwoordelijk om (via de media) op de hoogte te blijven van wetswijzigingen.

Als ondernemer dien je de wet te kennen, je kunt dus niet onder een steen blijven liggen tot dat er iemand aanklopt.

Staatsblad lezen, daar wordt alles in geplubiceerd.

Te vinden op http://www.overheid.nl :)

Hoe zit het met bedrijven die in het buitenland geverstigd/geregistreerd zijn maar ook servers in Nederland hebben staan. Wij als bedrijf vallen natuurlijk onder de Duitse wetgeving en niet onder die van Nederland, echter staan een aantal van onze servers wel in NL.

Hoe zit het met bedrijven die in het buitenland geverstigd/geregistreerd zijn maar ook servers in Nederland hebben staan. Wij als bedrijf vallen natuurlijk onder de Duitse wetgeving en niet onder die van Nederland, echter staan een aantal van onze servers wel in NL.
Dan heb ik nieuws voor je. De wet is gebaseerd op een EU richtlijn/wet en zal ook op (korte) termijn gelden voor duitsland ;).

Deimos, thnx. Echter is dat op dit moment volgens mij nog niet het geval.. maar goed aangezien het dan wel gaat komen zal ik er maar vast mee beginnen ;)

Wordt een serverlog vanaf 1 juli dan ook als wettig bewijsmateriaal beschouwd? In het verleden was dat namelijk niet zo, gezien het feit dat een log nogal makkelijk te vervalsen is.

leuk.. kun je bij de eerste de beste ddos al 100 backuptapes gaan bestellen :(

Wordt een serverlog vanaf 1 juli dan ook als wettig bewijsmateriaal beschouwd? In het verleden was dat namelijk niet zo, gezien het feit dat een log nogal makkelijk te vervalsen is.

Een logfile is toch altijd wettelijk bewijsmiddel, mits bepaald door een rechercheteam toch? Heb je iets meer info over deze veronderstelling? (Geen flame ,ben gewoon geinterreseerd :) )

Wordt een serverlog vanaf 1 juli dan ook als wettig bewijsmateriaal beschouwd? In het verleden was dat namelijk niet zo, gezien het feit dat een log nogal makkelijk te vervalsen is.

Het lijkt mij ook een beetje raar dat het als bewijs gezien kan worden, want als hoster kun je makkelijk zo'n ip even wijzigen en is het dus makkelijk te vervalsen voor iedereen.

Wordt een serverlog vanaf 1 juli dan ook als wettig bewijsmateriaal beschouwd? In het verleden was dat namelijk niet zo, gezien het feit dat een log nogal makkelijk te vervalsen is.

Dat is iets wat van situatie tot situatie bekeken gaat worden. Het zal sowieso niet onomstotelijk bewijs zijn, maar in combinatie met meerdere bewijsstukken kan het zeker wel waarde hebben. Het zal daarnaast ook verschil maken wie de logbestanden aanlevert en wat zijn relatie met de verdachte is.

Een getuige kan ook liegen, foto's kun je ook bewerken, etc...

Als er nou zo'n log wordt opgevraagt bij 'bijvoorbeeld' upc/hetnet/planet/xs4all... Zijn deze dan verplicht om de NAW gegevens van de betreffende klant achter dat IP over te dragen aan de overheid? Tot vandaag de dag is dit nog niet verplicht dus ik vraag me af of het vanaf dan wel _moet_ worden gedaan door elke ISP.

Ik vrees dat wij die zelf moeten doorzoeken... wordt een soort van kwartetspel.. mag ik van u van de logfiles de logs van noem_een_domeinnaam in de periode van xxxxx tot yyyyy. :(

Onder de noemer "strijd tegen het terrorisme" (en/of criminaliteit) worden er wel meer wetten doorgejaagd. Ik twijfel er dan ook niet aan of er zijn heel veel niet al te fijne sancties die opgelegd kunnen worden als je niet aan een dergelijk bevel kan voldoen.

Als de logfiles op een vaste manier zijn samen gesteld is het enkel een kwestie verwerken met met bijvoorbeeld een perl script en dat inladen in een (tijdelijke) database invoeren. Het acceslog word toch meestal al in de database geladen, en je hebt verschillende tools waarmee je de log files al makkelijker kan lezen.


Alleen geloof ik niet dat het terrorisme zal verminderen, sterker nog het is aanslag op je server al die extra data :X
Als een terroristen een proxy gebruikt, werkt het hele principe niet. Daar komt bij,dat je wild als webhost geen terroristen website wil hosten :rolleyes: Voor de ISP kan ik het begrijpen maar voor de webhosts is belachelijk.

Alleen geloof ik niet dat het terrorisme zal verminderen, sterker nog het is aanslag op je server...

Dan ben je als hoster dus verantwoordelijk voor de data die dan niet meer kan worden getoond en wat dan..?

De aanslagen op je server zullen waarschijnlijk toenemen ja :p zoals eerder besproken in dit topic is een ddos zo uitgevoerd en de kans op dataverlies zal dan toenemen.



Als een terroristen een proxy gebruikt, werkt het hele principe niet.

Precies, is er hier een oplossing voor? Volgens mij heeft de overheid hier niet goed aangedacht. Als dit bekend is bij de overheid kan het hele voorstel meteen worden afgeblazen.

Als de logfiles op een vaste manier zijn samen gesteld is het enkel een kwestie verwerken met met bijvoorbeeld een perl script en dat inladen in een (tijdelijke) database invoeren. Het acceslog word toch meestal al in de database geladen, en je hebt verschillende tools waarmee je de log files al makkelijker kan lezen.


Alleen geloof ik niet dat het terrorisme zal verminderen, sterker nog het is aanslag op je server al die extra data :X
Als een terroristen een proxy gebruikt, werkt het hele principe niet. Daar komt bij,dat je wild als webhost geen terroristen website wil hosten :rolleyes: Voor de ISP kan ik het begrijpen maar voor de webhosts is belachelijk.
Het gaat er natuurlijk niet om of het al dan niet lastig is. Je wordt nu verplicht om een leuke kostenpost te accepteren voor iets waarvan je jezelf af kan en mag vragen of het enig nut heeft.

Vervolgens moet je als hoster kosten gaan maken om die gegevens even op te lepelen en ongetwijfeld in een door de dames en heren van justitie gewenst formaat op de deurmat te ploffen.

Ik heb zo'n gevoel dat de mensen die dit bedacht hebben totaal geen idee hebben van hoe het internet eigenlijk werkt en hoe makkelijk mensen dit kunnen omzeilen.

Ik begrijp dan ook niet waarom ze niet luisteren naar wat ze verteld word door de mensen die er wel verstand van hebben. Het enige wat je hiermee wellicht mee bereikt is dat je amateurtjes gaat oppakken, maar die had je sowieso wel gepakt lijkt mij...

De aanbieders van publieke netwerken c.q. internetproviders, maar er wordt niet nader beschreven wie daar precies onder vallen. Wie sowieso onder deze wet vallen zijn hosters van websites (HTTP) en e-mail (SMTP).

Hoe zit het met persoonlijke servers, hobbyservers en dergelijke? Wanneer val je onder een hoster? Als je toegang geeft tot je server, dan wel laat inloggen? Of op het moment dat je een website publiekelijk beschikbaar maakt?

In hoeverre zullen providers aansprakelijk zijn voor klanten van dedicated servers en misschien nog wel interessanter, VPS? Justitie is weer goed bezig om grijze gebieden op te werpen, tjongejonge.

ongetwijfeld in een door de dames en heren van justitie gewenst formaat

aiaiai Excel dus :D

Het lijkt me zeer onwaarschijnlijk dat deze wet erdoor komt.
Het slaat gewoon werkelijk nergens op.

Enige wat je hiermee bereikt is meer moeite.
En daarbij, hoe komen ze erachter dat een bepaald IP in je access logs staat? Of moet je iedere maand gewoon je logs uploaden ofzo. ->|

En tja, de overheid schijnt inderdaad geen idee te hebben hoe internet in elkaar zit en wat de mogelijkheden zijn van anoniem surfen. :rolleyes:

Zou je dan ook als je een DDOS attack hebt gehad, via de overheid acties kunnen ondernemen om bijvoorbeeld de bron aan te pakken?

Tja, het is weer zo'n door grijze muizen zonder ICT kennis gegenereerde wijsheid onder druk van George. Waarschijnlijk gebaseerd op het idee van de mobiele telecom, waar al vanf het begin alle communicatie gelogd wordt.

Daar is het al langer verplicht, maar niet alleen voor Justitie, ook voor hun eigen administratie is het noodzakelijke data die zij toch al verzamelden.

De data die voor telefoons verzameld wordt is relatief compact. Voor het opvragen van één webpagina zijn vaak al vele HTTP requests nodig, waardoor wij bergen data zouden moeten verzamelen die voor onze eigen bedrijfsvoering totaal irrelevant is.

Het lullige is, dat de meeste fraude en illegale praktijken op Internet juist gebeuren op gehackte machines. Een beetje hacker doet aardig wat moeite zijn sporen te wissen. Op een beetje gehackt systeem zul je geen logfile terugvinden. Dit betekend dus dat het naar een extern medium moet.

Een http log voor een beetje website loopt al snel tussen de 400 en 800Mb per dag, rep. 22 en 37Mb in een gzip file. Gelukkig doet de gemiddelde website niet zoveel. Ik heb net op een webserver gekeken met 748 domeinen die 300Mb aan logs doen, 11Mb in een gzip.

Het gaat dus om 6 to 12Gb aan httpd logs in 18 maanden voor een shared webserver. En dan de extra diensten nog. Email logs kunnen hard oplopen. Met name door de giga berg aan Joomla/Mambo kwaliteit OS scripts die misbrukt worden voor het laden van externe mailscripts en de door beginners gemaakte webformulieren die regelmatig worden misbruikt voor een bulk mailing van allerhande wondermiddelen en pilletjes.

En wat bevat deze gigantische berg data? Juist, buiten het internet gedrag van de gemiddelde Nederlander (wat misschien nog interessant is voor het CBS) een hele berg spam data, spoofed IP's, proxy IP's, IP's uit landen buiten de EU die niet meedoen (China?).

Het is jammer dat, weet ik uit eigen ervaring, de meeste Nederlanders wel hard roepen op voorhand het niet eens te zijn met iets, maar als het erop aankomt, is het een uitzondering die voet bij stuk houd en dus hard wordt aangepakt.

Was dit niet het geval, zouden wij absoluut meedoen met een algeheel boycot van enige vorm van deze onzin wet.

Ik zou het erg eens kunnen zijn met deze wetgeving, ware zij niet in het leven geroepen 'tegen terrorisme', maar bijv om actief kinderporno op te sporen en spammers genadeloos af te straffen. Echter zijn de logs van Europa alleen ook dan niet afdoende en blijft het probleem van spoofen en proxies bestaan.

Hopelijk komt er op korte termijn wel wat meer duidelijkheid over de wet en zijn gevolgen.

Ze treffen hier niet alleen de webhosters maar ook de klanten mee!
Je moet meer data opslaan, dat word kosten maken welke je weer door moet rekenen aan de klant, eerst al die prijsverhogingen vanwege de gestegen stroom prijs en straks dit ->|

Die stroom prijzen kan ik begrijpen, maar dit... Het is onnodig kosten maken, en daar is onze lieve regering niet vies van. :rolleyes:
De Betuwelijn, een of andere parkeerplaats. En wie krijgen het weer hun brood? juist wij de gewone burgers :mad: En ze zullen niet snel toegeven dat ze fout zitten, nee dat word in die bodemloze beerput gegooid.

Als al tal van instanties/bedrijven hebben gezegd dat die wet niets oplost, gaat er dan niet een belletje rinkelen bij die gasten? Je zou zeggen dat mensen leren van hun fouten, maar kennelijk dus niet :(

Ik denk niet dat ze de boel snel zullen terugdraaien, de regering zelf heeft er geen last van. Vraag mee echter inderdaad af wat er exact zal gaan gebeuren wanneer wij een bepaalde file niet kunnen overhandigen.

Ze kunnen het niet eens terugdraaien, het hele dataretentie verhaal is al aangenomen door de EU. Nederland moet dit nu in nationale wetgeving omzetten. Enige waar nu nog wat aan te doen is zijn details als de duur van de opslag, exacte gegevens die opgeslagen moeten worden en de definitie van 'Aanbieders van openbare telecommunicatienetwerken of openbare telecommunicatiediensten'. Op dit moment lijkt het er op dat iedereen met een van buiten publiek toegankelijke website/server al onder deze wetgeving valt. Het vreemd is echter dat deze groep volgens de telecomwet zich ook moet registreren bij de OPTA ('De commissie') a minimaal 1000 euro inschrijfgeld. Heb hier de OPTA over gebeld en volgens hun is het zo dat pure hosting bedrijven hier niet onder vallen, mensen die iets met VoIP doen zijn echter alweer heel wat anders. Vervelender is dat de OPTA me niet kon vertellen waarom hosters zich dan niet hoeven te registreren. Ze vallen namelijk wel onder de definitie die ik in de Telecomwet gevonden heb :?

Overigens heel vreemd dat ik over deze problemen (bij de hosters) tot nu toe nog vrijwel niets gehoord heb. Voor zover ik weet is er ook niet echt een beroepsorganisatie, wel?

BTW het koppelen van een IP in een logfile aan NAW gegevens is geen probleem voor iedere willekeurige politieambtenaar:
www.xs4all.nl/overxs4all/privacy/privacy_jaarverslag2005.php#ciot

Heb hier de OPTA over gebeld en volgens hun is het zo dat pure hosting bedrijven hier niet onder vallen, mensen die iets met VoIP doen zijn echter alweer heel wat anders. Vervelender is dat de OPTA me niet kon vertellen waarom hosters zich dan niet hoeven te registreren. Ze vallen namelijk wel onder de definitie die ik in de Telecomwet gevonden heb :?

Dus volgens de OPTA hoeft het helemaal niet? :D
Ben benieuwd wanneer die op die uitspraak terug gaan komen dan....

Dus volgens de OPTA hoeft het helemaal niet? :D
Ben benieuwd wanneer die op die uitspraak terug gaan komen dan....

Als je slim bent laat je ze dat schriftelijk bevestigen :D

De Opta deed vooral nogal vaag. Ik moest maar een aanmeldformulier invullen en opsturen met alle gegevens, dan zouden ze mijn geval bespreken tijdens een vergadering om te kijken of ik me nu wel of niet aan moet melden bij de OPTA. Ik wil me helemaal niet aanmelden bij de OPTA en ik wil al helemaal niet onder die absurde dataretentie wet vallen :) Schriftelijk bevestigen door de OPTA levert overigens niet veel op aangezien de OPTA niet bepaalt wie er wel/niet onder de dataretentie wetgeving valt :/

Overigens heel vreemd dat ik over deze problemen (bij de hosters) tot nu toe nog vrijwel niets gehoord heb. Voor zover ik weet is er ook niet echt een beroepsorganisatie, wel?

"Onze" belangen worden behartigd door ICT Office (http://www.ictoffice.nl/) deze club heeft al een tijd geprobeerd te lobyen voor ons aller standpunt (dat deze wet zuigt), maar helaas nog niet al te succesvol in Brussel/Den Haag (alhoewel een meerderheid van de eerste kamer tegen schijnt te zijn).

Er is al wel wat tegen gedaan, zo was er de petitie (http://www.dataretentionisnosolution.com) die helaas door maar 58.000 europeanen ondertekend werd (http://www.xs4all.nl/nieuws/bericht.php?id=699). Misschien tijd voor een nieuwe petitie? Denk dat mensen nu al meer inzien hoe slecht deze wet is....

Beste,

de meesten van jullie zullen ongetwijfeld op de hoogte zijn van de dataretentiewet die per 1 juli ingevoerd word. Providers zijn vanaf dat moment wettelijk verplicht logfiles 18 maanden te bewaren.


Is er nog niet doorheen.

zie: http://www.justitie.nl/images/1straf-%20en%20sanctierecht%20mei%202007_tcm34-20527.pdf

29 mei 2007

strafrechtelijke gegevensverwerking en technologische ontwikkelingen
7 Besluit bewaarplicht telecommunicatiegegevens
Stand: in voorbereiding
8 Wet bewaarplicht telecommunicatiegegevens
Stand: advies Raad van State



Onduidelijk is echter wat er onder 'providers' wordt verstaan. Ik heb een webdesign en -hosting bedrijf en huur een managed dedicated server. Ben ik nu een provider, of is de club die mijn server managed dat? En -belangrijker- moet ik nu logfiles lang gaan bewaren?


In een wet staat nooit een strakke definitie het is aan een rechter omdat te bepalen.

In de wet staat letterlijk "openbare aanbieder van telecommunicatie diensten" .
Je zou kunnen stellen dat internet webhosting geen telecommunicatie dienst is, maar een rechter zal dat niet kunnen begrijpen en in de geest van de wet (waar de wet voor bedoelt is) toch anders beoordelen.

Verder gaat het erom dat je de handelingen van een gebruiker van die openbare dienst kunst opslaan.
Aangezien alle Nederlandse (en straks EU) ISP's van hun ADSL/Modem/VOIP klanten de verkeersgegevens gaan opslaan, en jij niet de identiteit achter een IP dus niet hebt, kan men niet verwachten dat jij van anonieme verbindingen het verkeer gaat opslaan.

Wat je wel verplicht bent om te doen, is de verkeersgegevens van je eigen klanten op te slaan.

Echter een rechtspersoon (bedrijf) die klant bij je is, daar heb jij niet de NAW gegevens van de natuurlijke persoon die daadwerkelijk de handelingen pleegt, dus het vrijwel nooit voorkomen (tenzij hele bedrijf criminele organisatie blijkt) dat men deze gegevens zal op eisen.

Dus voor colo, dedicated hosters en shared hosters is het volgende van belang:

Realtime voorhanden hebben van NAW gegevens van klanten incombinatie met login namen, domeinnamen en de log gegevens die relevant zijn aan de diensten die aan jij aan hem levert.

Dus bij shared hosting, moeten zijn verkeersgegevens, logins op ftp/ssh/webpabel, tijdstip, tijdsduur, afkomstig ip adres worden gelogged.

SMTP/POP verkeers gegevens.

Echter bij dedicated en co-lo, is hij zelf verantwoordelijk voor het voorhanden hebben van deze logfiles.

Jij kan hooguit de statistieken per klant die je van je switch/router afhaalt bewaren.

Overigens is er ook een leuke situatie aan de hand, stel jij hebt een server die je alleen voor jezelf gebruikt (of een klant) dan kan de overheid niet van je eisen dat je iets logt, immers het verschoningsrecht gaat voor enig ander recht.
Ook indien je tap bevel krijgt, hoef je niet mee te werken. Ze zullen dan proberen anders (hoger) de tap te zetten, maar hang je rechtstreeks aan de AMS-IX zal dat lastig worden (tenzij ze denken dat ze zonder detectie je kabel los kunnen trekken) :)

Overigens is bewaarplicht niet echt een probleem, tenminste als je opensource gebruikt moet je hier en daar wat aanpassingen maken zodat je kunt conformeren aan de wet.
Echter bij closed source (Microsoft hosting) of Zend/Ioncube encoded oplossingen heb je een probleem, immers klanten kunnen bij de meeste panels over hun logfiles beschikken als ook dat je niet alles kunt aanpassen om te conformeren aan de wet. En Amerikaanse software boeren staan er niet om bekend dat ze voor EU-problemen oplossingen gaan maken.

Overigens zou ik me eerder druk maken over aftap verplichting, het is vreemd dat hosters denken dat ze daar niet aan hoeven te voldoen.
Zorg er tenminste voor dat je een procedure op papier hebt klaar liggen, want de overheid controleert momenteel ISP's en diegene die niet conformeren krijgen een boete, zodra ze alle ISP's hebben gehad gaan ze webhosting bedrijven controleren, en die boetes zijn niet mis.

Aftapverplichting geldt voor elk bedrijf die NAW gegevens van iemand heeft en telecommunicatie dienst levert. Aangezien je vanuit een server kunt communiceren (o.a. portforwarding) is het niet de vraag of een webhoster gevraagd word om een tap te zetten, maar wanneer en wie de eerste zal zijn.

Overigens zijn deze wettelijke verplichtingen een zeer goede zaak immers hierdoor zullen straks degene die het niet technisch, financieel en juridisch kunnen behappen wegvallen, het is alleen jammer dat de overheid erg traag is.

Wat office-ICT aangaat, zitten daar webhosters bij?

De enige partij die (te laat overigens) iets heeft geprobeerd was NLIP, maar ik denk dat Nederland rijp is voor een stichting die de belangen van webhost en webdiensten leveranciers gaan behartigen.

Overigens ook handeling aan een domeinnaam zijn verkeersgegevens. (b.v. update contact gegevens, tijdstip, welk login, ip etc...)

zie voor het wetsvoorstel: http://www.ez.nl/content.jsp?objectid=149504


Je bent zelf verantwoordelijk om (via de media) op de hoogte te blijven van wetswijzigingen.

Staatscourant.

Alleen indien het daar in heeft gestaan ben je juridisch verplicht om daar wetenschap van te hebben.

Met andere woorden, indien het daar niet in heeft gestaan, dan bestaat het (formeel) niet en kan men je er niet op aanspreken.

Dus als ik het goed begrijp.
Moet alles wat shared webhosting aangaat worden gelogd?

- FTP
- Http/Https (Bij die tweede heb ik mijn twijfels)
- Inloggen bij het Klant paneel
- SSH
- POP
- SMTP
- IMAP
- voIP

Inclusief: tijd, IP-adres, duur (Hoe dat moet wil ik graag weten).


Bij colocatie/dedicated klanten, moet je dus alleen de logs bij houden van de router.

En bij domeinnaam, contact wijzigingen.
Geld hierbij dan ook wijzigingen in de zone?

Het is wel zo als deze wet er komt, dan er dan duidelijkheid moet zijn wat er moet worden gelogd en dat de informatie over de wet vrij opvraagbaar is.


Echter bij closed source (Microsoft hosting) of Zend/Ioncube encoded oplossingen heb je een probleem, immers klanten kunnen bij de meeste panels over hun logfiles beschikken als ook dat je niet alles kunt aanpassen om te conformeren aan de wet.

Gezien het probleem met Microsoft Hosting, heb dan eigenlijk meer een probleem richting MS, hun willen alles closed houden en je kan dus niets aanpassen :rolleyes:
Even als grapje, dan zou je eigenlijk denken op een verbod van MS software in de webhosting branch :D :p

Dus als ik het goed begrijp.
Moet alles wat shared webhosting aangaat worden gelogd?

- FTP
- Http/Https (Bij die tweede heb ik mijn twijfels)
- Inloggen bij het Klant paneel
- SSH
- POP
- SMTP
- IMAP
- voIP

Inclusief: tijd, IP-adres, duur (Hoe dat moet wil ik graag weten).


Het gaat om verkeergegeven of te wel de informatie die een bepaalde handeling van "IEMAND" met zich meebrengt.
Inhoudelijk in de packetskijken (dus de handeling inhoudelijk) mag je niet bekijken zonder toestemmen van die "IEMAND" of onder "dwang" van een gerechtelijk bevel.

Duur is inderdaad lastig, pas als er een webhoster is aangeklaagd is de overheid verplicht dit te definieren, uitzichzelf (zie ook dramatisch verlopen technische specificaties van TIIT op http://www.opentap.org/ ) schiet het niet op bij de overheid.

Bij voorkeur ontvangen zij alles realtime in een door hen gespecificeerde XML formaat.

Dat gezegd hebbende, ISP's moeten dagelijk hun klanten database + IP adres doorgeven, het is een kwestie van tijd dat de overheid van webhosters ook dergelijke lijsten op dagelijkse basis wenst te ontvangen. Zodat er geen anonieme websites meer zullen/kunnen bestaan. (zal wel grappig worden bij gesponsorde hosting).



Bij colocatie/dedicated klanten, moet je dus alleen de logs bij houden van de router.


Verder heb jij formeel geen toegang tot die machines, dus het enige wat jij kunt zien is Klant A op switchport B..... ik denk niet dat ze kunnen eisen dat jij verkeergegevens van die switch port bij houd, echter aangezien ze alle bezochte url's van consumenten bij ISP's willen houden (incluis HTTP post/put ) zou mij het niets verbazen als ze er wel om zouden vragen.




En bij domeinnaam, contact wijzigingen.
Geld hierbij dan ook wijzigingen in de zone?


Zonefile wijziging is een handeling die en klant doet of een door de klant aangewezen persoon die een account heeft die zulke rechten heeft, dus in principe ja.



Het is wel zo als deze wet er komt, dan er dan duidelijkheid moet zijn wat er moet worden gelogd en dat de informatie over de wet vrij opvraagbaar is.


In een wet staat nooit iets. Een wet is een "catch_all_expections" principe, ruim geformuleerd, vervolgens kunnen de handhavers/toezichthouders regelgeving uitschrijven en mensen beboeten die het niet op hun manier doen.

In dit geval zijn er nogal wat belanghebbende, Politie, inlichtingendiensten (3 stuks), openbaar ministerie, justitie, opta, ministerie van EZ (in de vorm van agentschap telecom, zie onderste regels).

Deze zitten in een praatgroepje (niet allemaal, maar wel degene die het meest te vertellen hebben) die uiteindelijk bepalen welke kant iets op gaat. Aangezien ministerie van Binnenlandse zaken (o.a. AIVD) het meest te vertellen heeft, bepalen zij grotendeels in hoeverre ze deze wetgeving kunnen uitmelken, de andere partijen zitten er eigenlijk alleen bij om het operationeel en juridisch te begeleiden en te zorgen dat het hen geen geld gaat kosten.



Gezien het probleem met Microsoft Hosting, heb dan eigenlijk meer een probleem richting MS, hun willen alles closed houden en je kan dus niets aanpassen :rolleyes:


Niets aanpassen, maar je kunt wel via SNMP vrijwel elke variable uitlezen, dus je moet in software ontwikkeling gaan investeren, iets wat de overheid niet voor je gaat doen.
Het lijkt mij redelijk dat de overheid een oplossing maakt, echter gezien TIIT verleden, zullen zij niets ontwikkelen, slechts technische eisen stellen zonder daar goed over na te denken.



Even als grapje, dan zou je eigenlijk denken op een verbod van MS software in de webhosting branch :D :p

Of juist niet, NSA inside software is voor bepaalde partijen een fijne aanvulling, het is niet voor niets dat bepaalde niet Amerika gezinde landen een verbod hebben op het gebruik van Microsoft producten in strategische oplossingen. Overigens geldt dit ook voor producten uit Isreal zoals Checkpoint of Cisco apparatuur.

Sommige bugs die in producten worden gevonden liggen zo voor de hand, dat sommige mensen (terecht in mijn optiek) haast gaan denken dat het eerder een bewust gemaakte feature is dan een bug, echter bij closed source kun je moeilijk de "comments" die bij de code van die feature staan lezen :)

btw: check aftap (dus niet bewaarplicht) verplichting http://www.agentschap-telecom.nl/informatie/aftappen/paginas/faq.html

Wat mij verder erg opvalt is dat er nog steeds niet richting de branche in het algemeen gecommuniceerd word, het lijkt mij sterk dat de multinationals is ieders belang aan tafel zit bij bepaalde overleggen. (bij TIIT discussie was het ieder voorzich, zelfs -in mijn optiek- NLIP, ik was dan ook niet verbaasd dat Pim op eens een aftap bedrijfje was begonnen)

Allemaal goed best leuk en aardig, maar waar kan je de eisen vinden? Via overheid.nl heb ik alleen een hoeveelheid commentaar van het CBP gezien..

Verkeersgegevens is strikt genomen wie met wie, wanneer, waar en hoe lang. Dat laatste is met een stateless protocol als http erg lastig :)

Dat "hoe lang" is eigenlijk bedoeld voor Voip verbindingen, niet voor http.

Wat office-ICT aangaat, zitten daar webhosters bij?

Allereerst een goed verhaal!

Over ICT-office de leden zijn vooral grote hard/software bedrijven (IBM, HP, CapGemini,...) , maar ook partijen als Easynet, AOL, tele2, kpn,.....

Misschien een idee voor een nieuwe petitie onder isp's/hosters/voipproviders (zegmaar het wht publiek) tegen deze bizare regeling en die dan aanbieden aan de eerste kamer (die toch al tegen is)?

Dat "hoe lang" is eigenlijk bedoeld voor Voip verbindingen, niet voor http.

SSL ook.


Allereerst een goed verhaal!

Over ICT-office de leden zijn vooral grote hard/software bedrijven (IBM, HP, CapGemini,...) , maar ook partijen als Easynet, AOL, tele2, kpn,.....

Misschien een idee voor een nieuwe petitie onder isp's/hosters/voipproviders (zegmaar het wht publiek) tegen deze bizare regeling en die dan aanbieden aan de eerste kamer (die toch al tegen is)?

ICT-office heeft kennelijk een paar grote leden, maar van een paar die ik hier zie staan sluit ik uit dat ze op dit gebied zich laten vertegenwoordigen door ICT-office.
Deze schuiven namelijk zelf wel aan.

Verder is een petitie zinloos, hoeveel petities in het verleden hebben geholpen?

Zeker onder de HOAX "terreur dreiging" is er geen politieke wil om realistisch hiermee om te gaan.

Ook is het zo dat bewaarplicht niet "op eens" is verzonnen, het is al tientallen jaren de natte droom van elke opsporings en inlichtingen medewerker.

Aan gezien nu de neusen van de politieke elite de juiste kant op staan, zijn ze slechts nu aan het verzilveren waar ze al jaren van dromen.

Dat ze bij de technische implementatie ook doodleuk privacy schenden dat vertellen ze er niet bij (zie ook URL bewaarplicht discussie).

Allereerst een goed verhaal!

Over ICT-office de leden zijn vooral grote hard/software bedrijven (IBM, HP, CapGemini,...) , maar ook partijen als Easynet, AOL, tele2, kpn,.....

Misschien een idee voor een nieuwe petitie onder isp's/hosters/voipproviders (zegmaar het wht publiek) tegen deze bizare regeling en die dan aanbieden aan de eerste kamer (die toch al tegen is)?
Een petitie is zinloos, de orginele petitie tegen dataretentie haalde maar zo'n 30.000 ondertekeningen, dat is peanuts!! Verder is de richtlijn er nu eenmaal en als Nederland kunnen we dat niet meer integraal terugdraaien.

Wat wel kan is dat de Eerste Kamer het huidige wetsvoorstel verwerpt, waarna er een nieuwe, hopelijk betere implementatie van de dataretentie richtlijn voor in de plaats wordt gesteld.

Wat wel kan is dat de Eerste Kamer het huidige wetsvoorstel verwerpt, waarna er een nieuwe, hopelijk betere implementatie van de dataretentie richtlijn voor in de plaats wordt gesteld.

Raad van state zie http://www.overheid.nl/home/zowerktdeoverheid/watdoetdeoverheid/hoekomteenwettotstand/

Over het proces hoe een wet tot stand komt.

Overigens is het EU-wetgeving, Nederland ratificeert en implementeert EU-wetgevig die hun goed uitkomen (meestal) als eerste in de EU, wetgeving die hun niet uitkomen (of naar oud-Joods gebruik, hun geld kosten) als laatste, totdat ze boetes opgelegd krijgen en zelfs dan blijven ze traineren.

Overigens zijn de meeste wetten hamerstukken en is er amper debat over.
Balkende 1 & 2 behoren tot de kabinetten die meer wetgeving er door heen gejaagd hebben dan meeste andere kabinetten (in eenzelfde periode) uit het verleden van Nederland. Met name Donner en Remkes waren goed bezig met het inperken van onze rechten.

Overgens hadden er 58.000 mensen hun krabbel onder de petitie tegen bewaarplicht gezet.

Zie: http://www.xs4all.nl/nieuws/bericht.php?id=699

Ik had de petitie online getekend.
Alleen mocht dat niet baten :(

h4f, bedankt voor de vele informatie!

De hosting community day van Microsoft gaat hier ook aandacht aan besteden.


De volgende onderwerpen komen o.a. aan bod:
- Bewaarplicht
- Forefront
- Backupagent
- Microsoft TalentLab
- Microsoft onderzoek naar het gebruik van gehoste applicaties

Misschien interessant, is 27 juni.

Voor de MS fans onder ons, Microsoft besteedt er binnenkort ook aandacht aan op de Webhost Community Day in Schiphol. Toegang, Lunch, Goodies en een hoop reclame is gratis. Ikzelf zit nog even te kijken of ik het in kan passen. Altijd een hele ramp om 's ochtends om 9:30 aanwezig te zijn in A'dam als ik lekker rustig wil treinen. Denk dus nog een hotelletje regelen. (Psst, GSH2, Eurohotel in Rotterdam en de avond ervoor een biertje, of gaat er niemand van jullie)

De hosting community day van Microsoft gaat hier ook aandacht aan besteden.



Misschien interessant, is 27 juni.

Ik weet niet hoe Microsoft (indien zij de organisatoren zijn) tegenwoordig om gaat met kritische vragen, maar uit eigen ervaring weet ik uit het verleden (jaartje of 10 geleden) dat je bij dit soort evenementen weggestuurd word als je te scherp aangezette vragen en opmerkingen hebt.

h4f: kwaliteitsposts, hulde! :)

Hoe kom je aan deze (uitgebreide) info trouwens? Heb je een functie die hier mee te maken heeft, of kan je gewoon beter zoeken dan wij? ;)

h4f: kwaliteitsposts, hulde! :)

Hoe kom je aan deze (uitgebreide) info trouwens? Heb je een functie die hier mee te maken heeft, of kan je gewoon beter zoeken dan wij? ;)

Ik heb in mijn verleden een functie gehad waarbij ik met de implementatie van de destijds nieuwe aftap wetgeving te maken had.

Overigens ben ik geen vreemde in ISP land.

Om even terug te komen op dit onderwerp, in hoeverre is een webhoster verplicht hieraan mee te doen en om welke redenen?

Als ik de emaildiensten even vergelijk met een website waar je gratis email bij kunt versturen, moet deze website dan ook alle gegevens bij gaan houden?

Gratis opslag sites, moeten die ook gaan bijhouden/doorzoekbaar maken wie welk bestand upload?

Het gaat om communicatie in het algemeen, fora zijn echter ook gebaseerd op communicatie. Moeten deze ook alle gebruikersinfo doorzoekbaar gaan maken?

Overigens vraag ik me bij mijn eigen post ook af wat de relevantie is tussen iemand die een site beheert en een webhoster. Bij een site gaat namelijk alles via de webhoster. Maar dat is hetzelfde als dat bij een webhoster alles via de ISP gaat.

Overigens hoor ik vershillende verhalen, er zijn zelfs mensen die beweren dat we alle uitgaande mail meoten gaan bewaren wanneer mensen onze smtp gebruiken (de niet KPN klanten dan) Dat zouden geen grappen zijn... Ik denk dat we dan echt genoodzaakt zijn om onze smtp service op te doeken en kpn op te zadelen met het probleem....

@DigiState: Er zal nooit daadwerkelijk inhoud opgeslagen moeten worden (met de huidige wetgeving en met de wetgeving die er ligt). Enkel verkeersgegevens zijn van belang.

Zelf heb ik er gemengde gevoelens over. Niet alleen brengt dit veel kosten mee in opslag kosten (de opslag van logfiles doen we al, maar we backuppen enkel de laatste file. Deze regelgeving betekend dat we alle logfiles moeten gaan backuppen), in extra administratieve kosten (logfiles uitpluizen op het moment dat dat nodig is, regelmatig controleren of er geen 'gekke' dingen met je logs gebeuren) en in eenmalige implementatie kosten (voor kleinere bedrijven niet zo lastig, je hoeft enkel de logrotate aan te passen naar 18 maanden en je backup procedure aan te passen. Extra schijfje zal wel voldoende zijn om die paar gig op te slaan (zal niet zoveel zijn per shared webhosting server), voor de grote bedrijven gaat dit toch wat meer voorstellen).

Ook de inbreuk op de privacy bevalt me niet. Dat er uberhaupt zoiets is als volledige privacy is een mythe en is ook totaal ongewenst (misschien is het gewenst voor criminelen die niets te vrezen hebben). Maar deze gegevens kunnen aardig wat problemen veroorzaken (ik moet hierbij helaas toch verwijzen naar de jaren 40-45, waar onze geweldige burgerlijke stand ook misbruikt is); wat te denken van het runnen van een query over alle gegevens om te kijken wie er wel een porno bekijkt (en die vervolgens oppakken)? Of misschien realistischer: een query draaien opzoek naar mensen die kinderporno bekijken? (Allicht gewenst, hoewel kortzichtig). En ook realistisch (en in misschien wel in de geest van de wet): een query draaien opzoek naar mensen die sites die met terrorisme te maken hebben en die oppakken voor een verhoor.

Aan de andere kant kan dit tot nuttige dingen leiden. Ik neem aan dat de gegevens vooral ondersteunend zullen dienen, zodat we wel een random geradicaliseerde jongere kunnen oppakken omdat hij plannen heeft Schiphol op te blazen (we hebben de verkeersgegevens waar hij zoekt naar explosieven recepten, plattegronden en wat nog meer). En de gegevens kunnen ook dienen om getuigen te vinden die wellicht iets kunnen vertellen over informatie op een site die nu verdwenen is (denk aan fora). Iets dergelijks gebeurd nu ook met mobiele telefoons, waarbij mensen die op een bepaald tijdstip ergens waren, een SMSje krijgen. Het oplossen van zaken is altijd lastig, zeker bij gebrek aan getuigen.

Maarja, die hele discussie is nu ietwat overbodig. De wet zal er in 'een' vorm doorheen gaan (kan heel lang duren, totdat de EU gaat steigeren). Ik verwacht/hoop, zoals h4f stelde (meen ik), als zijnde dat je dagelijks je gegevens mag opsturen naar een instantie over een SSL lijntje. Hopelijk wordt daarmee ook de verantwoordelijkheid voor mij weggenomen om de gegevens op te slaan en kan de overheid dit centraal doen (veel efficiënter), in hun eigen format, direct toegankelijk.

Verder hulde aan h4f, hoewel ik wel kritiek heb op een paar opmerkingen ;):


In een wet staat nooit een strakke definitie het is aan een rechter omdat te bepalen.
De memorie van toelichting is er doorgaans om te bepalen waar een wet voor dient. Zowel die van de Nederlandse wet als van de Europese richtlijn (en alle vergadering daaromheen), de rechter dient daar kennis van te hebben.



Overigens zijn deze wettelijke verplichtingen een zeer goede zaak immers hierdoor zullen straks degene die het niet technisch, financieel en juridisch kunnen behappen wegvallen, het is alleen jammer dat de overheid erg traag is.

Belachelijk, bedrijven zouden niet moeten wegvallen door overheidsbemoeienis. Of bedoel je dat niet?

Ik heb deze hele discussie doorgelezen en (nog) is mij nog steeds niet duidelijk, ook na het nalezen van het -m.i. onleesbare- wetsvoorstel, of ik als hoster nu wel of niet gegevens 18 maanden (memorie van toelichting handhaaft deze termijn namelijk) zou moeten bewaren.

Een aantal opmerkingen in de memorie van toelichting doet mij echter vermoeden dat ik als webhoster er niet toe verplicht ben c.q. men onze bedrijfstak helemaal niet op het oog heeft, en terecht volgens mij...

Nadrukkelijk wordt namelijk gesteld dat het gaat om aanbieders van de netwerkverbindingen: telefonie, internet-telefonie, internet toegang. Zij dienen tevens namelijk de "oproepen" kunnen herleiden aan een klantenbestand: "De verplichting van de aanbieders om te voldoen aan de vordering tot verstrekking van de verkeers- of gebruikersgegevens omvat zowel de gegevens, die op grond van het voorgestelde artikel 13.2a, tweede lid, van de wet dienen te worden bewaard, als de actuele gegevens die bij de aanbieders beschikbaar zijn of worden verwerkt ten behoeve van de eigen bedrijfsvoering." en verder: "De aanbieder dient te beschikken over een bestand waarin bepaalde gegevens zijn opgenomen van de personen die gebruik maken van een dienst of netwerk van de aanbieder. Dit betreffen de volgende gegevens: naam, adres, postcode, woonplaats, de telecommunicatiedienst die wordt afgenomen en het aansluitnummer dat aan een gebruiker is verleend (artikel 4 Besluit verstrekking gegevens telecommunicatie)."

Bij een website is dat onmogelijk, evenals FTP- en email verkeer. Immers, ik kan de domeinnaam van een klant wél herleiden op mijn klantenbestand (die factureer ik, ook een genoemede eigenschap in de toelichting, voor de afgenomen dienst) maar ik kan niet herleiden aan wie hij/zij allemaal email adressen uitdeelt en ben ook niet bekend met zijn of haar -eventueel wisselende- ip-adres c.q. "aansluitnummer". Laat staan dat ik weet áán wie men zaken verzend of contact mee heeft (het "opgeroepen nummer"). Maar bovenal wil men de verkéérsgegevens van die klant hebben. Die verkeersgegevens heb ik niet en zal ik ook nooit krijgen. Alleen de ISP's en TelCo's hebben die gegevens. De wet kan dus niet van toepassing worden verklaard op mijn (onze) dienstverlening!

De ip-adressen van de email- en ftp-gebruikers kan ik dus niet herleiden tot mijn klantenbestand (denk aan webdesigners die namens de klant werken aan de site!) laat stáán de ip-adressen van bezoekers van websites (http-verkeer). Het bewaren van deze gegevens is daarmee niet alleen zinloos maar wellicht zelfs strijdig met bepaalde privacy wetgeving.

Met andere woorden, de hele wetgeving is, vooralsnog, volgens mij niet van toepassing op webhosting bedrijven. Daarnaast lees ik bijv het volgende:


Het wetsvoorstel is van toepassing op ongeveer 300 aanbieders van openbare telecommunicatiediensten en –netwerken.

Het aantal aanbieders van webhosting is een véélvoud! Ook dit sterkt mij in de gedachte dat webhosters niet bedoeld worden in de wetgeving dataretentie.

Mocht men, om welke reden dan ook, vinden dat ik uitgaand email verkeer moet gaan loggen, van in veel gevallen mij onbekende mensen immers ik factureer de vriendjes en familieleden van gebruikers niet, dan zal ik deze optie voor mijn klanten laten vervallen en dienen zij de SMTP van hun eigen ISP te gaan gebruiken. Al was het alleen al omdat ik uit principe weiger mee te werken aan dergelijke belachelijke richtlijnen en wetgeving omdat -zoals hier en elders al betoogd is- het totaal zinloos is én ik de privacy van mijn klanten niet op deze manier wil schenden.

Misschien moet er eens een persoon naar kijken die verstand heeft van wetgeving op dit gebied. Vooralsnog snap ik nu dus ook wel dat -zoals ik eerder las- de OPTA hier niet mee uit de voeten kan jegens webhosters. Immers, die worden niet beoogd in deze wet :D of zie ik het nu echt verkeerd?

Zie ook:
http://www.minez.nl/dsc?c=getobject&s=obj&objectid=149507&!dsname=EZInternet&isapidir=/gvisapi/

Ik heb ook zo het voorgevoel dat deze wet niet voor ons hosters gaat gelden.

Ik redeneer :

Het verkeer op het internet moeten we even in twee categorieen scheiden,
nummertje 1 is van het huis van de klant, naar en op het web
nummertje 2 vanaf proxy's / servers , naar en op het web

Nummer 1:
Als alle providers van adsl, en andere vormen van internetverbindingen logs gaan bijhouden is het dubbelop als wij dat ook zullen moeten gaan doen. Immers zullen alle handelingen van een een "adsl klant" gelogd worden, dus óók de verbinding met een ftp, of http protocol op onze servertjes.

Nummer 2:
De zaak is echter anders als een klant via de server een handeling uitvoert, en dus het ip van de server gebruikt om een handeling op het internet uit te voeren, ( mail, proxy, dedicated server etc ).
Hier is het echter volgens mij niet de verantwoordelijkheid van ons hosters, maar wéér die van de aanbieders van internetverbindingen (datacentra).
In dit geval zullen de colo prijzen, en rack prijzen iets omhoog schieten,
en daarmee zal het klaar zijn.
Mocht dit echter niet zo zijn, dan betekent het dus dat hosters alleen het verkeer vanaf de server zullen hoeven opslaan in de logs (smtp, etc etc).


Iemand andere ideeen hierover ? Want dit lijkt mij de meest logische verklaring van de tot nog toe gegeven wetten.

Een aantal opmerkingen in de memorie van toelichting doet mij echter vermoeden dat ik als webhoster er niet toe verplicht ben c.q. men onze bedrijfstak helemaal niet op het oog heeft, en terecht volgens mij...


Goed punt.

Zie ook: http://tweakers.net/nieuws/48021/Beroep-Google-op-bewaarplicht-onterecht.html

In eerste instantie zou je dat inderdaad gaan denken.

Echter er zijn een paar situaties waarbij iemand niet via zijn eigen ISP de volledige "verkeersgegevens" kan verkrijgen.

SMTP via hosting-ISP
POP via hosting-ISP
SSH via hosting-ISP
FTP via hosting-ISP
SSL via hosting-ISP
En allerlij zaken die je vanaf een shell kunt doen.

Het sniffen van de verbinding is verboden, dus de ISP van je klant kan (formeel) niet zien wat de klant buiten zijn eigen infrastructuur doet.

Dus hij kan alleen de logs van zijn eigen SMTP/POP/SSH/FTP en zal een proxy gebruiken om HTTP requests te kunnen loggen.

Alhoewel je zou denken dat hosting branche er mee weg komt, zal om bovenstaande redenen men zich niet kunnen permitteren om de hostingbranche formeel uit te sluiten van deze verplichting.

Het gevaar is namelijk dat mensen massaal via een hosting bedrijf deze diensten gaan afnemen om onder de bewaarplicht uit te komen en hun privacy hiermee kunnen beschermen.

Een volgende stap is dat de overheid zal verlangen om bepaalde services die jij als ISP aanbied te loggen.

Stel je bied SSL --> HTTP-proxy ---> ssl aan, dan zou het niet meer dan logisch zijn dat je IP+tijdstip+requests opslaat.

Een ander verhaal word het indien een user een eigen script gaat gebruiken die in bovenstaande functionaliteit voorziet.

Overigens dat ze de markt op 300 schatten heeft voornamelijk te maken met het gebrek aan kennis binnen de overheid. Zodra ze in een strafzaak er achter komen dat een verdachte via een hosting-ISP onder de bewaarplicht probeerde uit te komen, zullen ze meteen deze hosting-ISP op zijn wettelijke verplichtingen wijzen.

Wat SMTP aangaat, als je POP-before-smtp doet heb je een USER account, dus kun je user+tijdstip+onderwerp (weet niet of dit nog steeds een vereiste is) loggen.

Overigens is huidige situatie niet zo een probleem, het meeste log je al, alleen het backuppen en 18 maanden bewaren is een nieuwe dimensie.

Maar wat er vroeg of laat wel gaat gebeuren is dat men de logfiles near-realtime van je wensen te ontvangen in een bepaalde XML formaat.
En dat gaat wel veel geld kosten om alles te parsen, zeker indien je veel klanten en daarmee veel logs hebt.

Wat je nu al hebt is dat ISP's verplicht zijn om dagelijk een lijst van klanten + IP adressen af te dragen, ik vermoed dat het een kwestie van tijd is voordat ze die ook van hosting-ISP willen. (zeker zodra twee verdachten via een SSH sessie hebben zitten talken op een webhosting server).

Een ander probleem vormen de resellers, in bepaalde situaties hebben resellers een eigen server en zijn ze in feite zelfstandig, de vraag is hier wie er aansprakelijk is voor de bewaarplicht, de reseller of de webhostingbedrijf.

Mijn conclusie is dan ook dat alleen iemand die een website heeft vrijgesteld is van bewaarplicht.
Tenzij de bewaarplicht straks uitgebreid gaat worden, zodat een webshop bijvoorbeeld verplicht word om IP+betaalmethode+identificatie_betaalmethode(b.v. CC of transactie nummer)+omschrijving etc...
Echter onder een administratieve wetgeving (EZ en minFin) zijn bedrijven al verplicht om hun administratie 10 jaar te bewaren.



Nummer 2:
De zaak is echter anders als een klant via de server een handeling uitvoert, en dus het ip van de server gebruikt om een handeling op het internet uit te voeren, ( mail, proxy, dedicated server etc ).
Hier is het echter volgens mij niet de verantwoordelijkheid van ons hosters, maar wéér die van de aanbieders van internetverbindingen (datacentra).
In dit geval zullen de colo prijzen, en rack prijzen iets omhoog schieten,
en daarmee zal het klaar zijn.
Mocht dit echter niet zo zijn, dan betekent het dus dat hosters alleen het verkeer vanaf de server zullen hoeven opslaan in de logs (smtp, etc etc).


Je co-lo provider heeft geen toegang tot jouw logfiles.
Verder mag hij niet zonder bevel je verbindingen naar je servers gaan sniffen.
Dus je co-lo provider weet niets wat er op je server gebeurd.
Het enige wat van hem gevraagd kan worden is het loggen van sessies: source-IP, DST-IP, src port, dst port, tijdstip + tijdsduur.

Deze gegevens zijn te weinig om er iets mee te kunnen doen, het enige waarvoor ze dit kunnen verlangen is om het bewijs van handelingen die jij als hosting partij via je logs heb afgedragen te kunnen onderbouwen, immers de kans is erg klein dat er op twee plekken in logfiles is "gekloot".

Tel daar bij op dat ADSL-ISP ook nog een logfile hebt en je hebt een totaal plaatje.

Overigens zijn er in de zaken die voor geweest nooit een analyse gedaan van traffic dat door P2P en gameservers werd veroorzaakt, de vraag is of Nederland of de EU kan afdwingen dat chats die binnen dergelijke toepassingen plaatsvinden onder bewaarplicht kunnen/moeten vallen, immers wij als webhosters mogen niet een protocol reverse engineren, om derhalve iemand zijn Quake/Doom/Counterstrike nickname en statistieken te kunnen opslana.

Precies, die link toont exact zoals ik het ook interpreteer: het gaat in de wet nadrukkelijk over aanbieders van netwerken. Niet van hosting.

ssh biedt ik sowieso niet aan, alleen hosting en pop3 mail... smtp ook, maar niet ingeval men nog bij KPN-ISP's zit ;) De kern is echter netwerkaanbod gekoppeld aan herleidbaar abbonneenummer (= ip-adres of telefoonnummer, volgens de wet telecommunicatie). En daar doen wij niets mee. De "nummers" van klanten ken ik immers niet en daarom is het verkeer per definitie niet herleidbaar.

Dus voorlopig zie ik nog geen enkele reden me verder bezig te gaan houden met die flauwekul en durf het zelfs met een beroep op de wet telecommunicatie wel op een zaak aan te laten komen.

Wat mij hier cruciaal lijkt is het gebrek aan informatievoorziening van de overheid in dezen. Zo lang men niet met duidelijk omschreven en aan mij persoonlijk verzonden informatie komt, zie ik geen reden mij te houden aan een wet waar ik niet van op de hoogte ben gebracht.

In de rechtspraak wordt de aanname gedaan, dat elke burger de wet zou kennen om te voorkomen dat iemand zich op onbekendheid met de wet zou kunnen beroepen. Welnu, ik beroep me op onbekendheid zo lang men er zelf niets van begrepen heeft, en geen duidelijkheid brengt.

Verder hulde aan h4f, hoewel ik wel kritiek heb op een paar opmerkingen ;):


De memorie van toelichting is er doorgaans om te bepalen waar een wet voor dient. Zowel die van de Nederlandse wet als van de Europese richtlijn (en alle vergadering daaromheen), de rechter dient daar kennis van te hebben.


Belachelijk, bedrijven zouden niet moeten wegvallen door overheidsbemoeienis. Of bedoel je dat niet?

Echter de memorie van toelichting is geen wetgeving.
Het is slechts een soort van "samenvatting" in welke context de wet moet zien.
Echter de rechter bepaald zelf hoe hij de letterlijke tekst van de wetgeving moet interpreteren of projecteren op een bepaalde casus.

Dus aan de memorie van toelichting kun je niet te veel waarde hechten.

Het is niet belachelijk dat bedrijven kapot gaan door overheidsbemoeienis.
De overheid is er om voor de bevolking bepaalde diensten te faciliteren, elk bedrijf is welkom om binnen dat raamwerk te ondernemen, indien ze om wat voor reden niet met dat raamwerk uit de voeten kunnen dat is de overheid (en indirect de samenleving) hen liever kwijt als rijk.
Los daarvan wil de overheid vrijenmarktwerking beschermen, dat kan alleen indien het "ieder voor zich en god voor ons allen" mentaliteit heerst.

Terwijl het voor ons als ondernemer veel interessanter zou zijn indien we definities van producten/diensten mogen vaststellen en hieraan minimale economische waarde aan mogen hechten, zodat je voorkomt dat er partijen zijn die onder economisch verantwoorde prijzen zaken gaan aanbieden en daarbij de branche ansicht een slechte naam geeft maar ook bij een faillissement
klanten duperen.

Begrijp me niet verkeerd vrije-markt is een leuke concept echter het is net zo een utopie als werkelijke communisme. (dat ook altijd mislukt omdat de leider een grote woning/auto moet hebben).

Een aantal voorbeelden van slechte privatisering zijn bijvoorbeeld de nuts, telefonie en kabelbedrijven.
De koper in de grond zijn door ONS betaald, rijks- en lokale overheden hebben ONZE koperleidingen verkocht, met de belofte dat wij er wijzer van worden.
Energie is vele malen duurder geworden de belonigen van bestuurders ook, maar storingen zijn toegenomen.
Kabelbedrijven zijn duurder geworden, terwijl pakketten en kwaliteit van het signaal is verslechterd en storingen zijn toegenomen.
KPN is pas onder druk van concurrentie op telefonie pas goedkoper geworden, echter qua internet abonnementen zijn ze nog altijd vele malen duurder, ook zijn het aantal storingen toegenomen.

Indien ze onze eigendommen (namelijk de koper in de grond) niet hadden verkocht maar elk bedrijf een consessie hadden laten uitbrengen voor volledig of shared gebruik van de kabels, dan had je pas ECHT concurrentie gehad en was privatisering een succes geweest, maar nu heeft iedereen zijn/haar eigen infrastructuur en in een bepaalde gebied een dominante positie en hoeven ze niet te concurreren.

Overigens zijn er ook twee andere voorbeelden die in mijn optiek erg fout zijn gegaan, te weten het telefonie netwerk van de Nederlandse spoorwegen en het telefonie netwerk tussen Energie bedrijven. Deze hebben van oudsher telefonie/net infrastructuur naast hun primaire infrastructuur (rails/energieleidingen) liggen.
Als proef (zonder formele goedkeuring) werd in de jaren negentig o.a. NS-infra gebruikt voor bandbreedband backbone diensten, toen bleek dat dit lucratief was heeft men deze infrastructuur verkocht en is Telfort ontstaan.
Tussen energie bedrijven is zoiets soortgelijks gebeurd waaruit Enertel is ontstaan.
Zoals sommige wel zullen weten zijn beiden als een soort slet in handen geweest tussen de verschillende partijen en na de dotcom-luchtbel voor weinig in handen gekomen van venture capitalist.
Die hebben er het meest aan verdiend door ze aan KPN te verkopen, waarmee KPN een fysieke infrastructuur in handen heeft waar nooit een partij tegen kan concurreren, omdat het onmogelijk is om tussen alle treinstation leidingen te leggen en tussen alle energie verdeelstations (in wijken) laat staan de infrastructuur naar elke woning/bedrijf.

Het ergste van dit verhaal is dat WIJ de koper van KPN hebben betaald, de Koper van de NS, de koper van de Energie bedrijven en dat ze alle drie in handen zijn gekomen van een bedrijf dat niet meer van ONS is.
Ook hebben wij als klant van KPN de overnames betaald, waardoor we er dubbel voor betaald hebben.
Ik zie niet in hoe wij hiervan wijzer zijn geworden en om die reden ben ik van mening dat indien een bedrijf kapot gaat door overheid regulering dit iets is wat goed moet zijn, maar dat een bedrijf dat bestaat bij gratie van de overheid (en daarmee bij ons geld) dit een slechte zaak moet zijn.

Ik vraag mij af hoeveel partijen hier in een KPN (of dochter) data-centers hun servers hosten, dat zullen er niet veel zijn, terwijl private partijen buiten de KPN om toch diensten voor betere prijzen kunnen aanbieden, laat staan indien de overheid onze leidingen nooit had verkocht.

De prijzen voor connectivity zijn hierdoor onnodig hoog.

Overigens het is niet zo dat het een vergissing is dat men “per ongeluk” zonder de gevolgen te overzien de leidingen hebben mee verkocht.
Aan de ene kant wilde (zeker gemeenten) bepaalde mensen een smak geld ontvangen aan de andere kant hebben mensen in hoge bestuurlijke functies hun eigen toekomst willen veilig stellen.
Het is niet voor niets dat ex-ministers en ex-hoge ambtenaren uiteindelijk voor een veelvoud van hun huidige salaris bij multinationals gaan werken of in raad van commissarissen gaan zitten.

Graai cultuur begint in Den Haag.

Om die reden verwacht ik niet dat de overheid rekening zal houden met een branche, en helemaal al niet indien in de beslissingsproces iemand zit die belangen (aandelen) heeft in de opslag branche.


Wat mij hier cruciaal lijkt is het gebrek aan informatievoorziening van de overheid in dezen. Zo lang men niet met duidelijk omschreven en aan mij persoonlijk verzonden informatie komt, zie ik geen reden mij te houden aan een wet waar ik niet van op de hoogte ben gebracht.


Iedere Nederlanden behoort de zijn rechten en plichten te kennen.

Zodra iets (zoals een wet) in de staatscourant is gepubliceerd ben je formeel verplicht om daar van op de hoogte te zijn en kan men zich niet meer bij een rechter verantwoorden met de woorden "Ich habe es nich gewust"

Ook zou ik niet weten hoe de overheid moet weten dat Jan Janssen een DGA is van de holding die een sub-sub-werkmaatschappij heeft die webhosting aanbied en derhalve ergens over geïnformeerd moet worden.

Indien de overheid wel over een dergelijke infrastructuur zou beschikken zou er in Nederland amper georganiseerde criminaliteit kunnen bestaan. (gebrek aan transparantie is het grootste probleem namelijk)



In de rechtspraak wordt de aanname gedaan, dat elke burger de wet zou kennen om te voorkomen dat iemand zich op onbekendheid met de wet zou kunnen beroepen. Welnu, ik beroep me op onbekendheid zo lang men er zelf niets van begrepen heeft, en geen duidelijkheid brengt.

Ze draaien de rollen inderdaad om, immers jij als ondernemer moet alles wat jouw vakgebied aangaat monitoren en je kunt geen passieve houding veroorloven inzake wet- en regelgeving.

Ik weet heel zeker dat je geen schijn van kans maakt indien je zou beroepen op onbekendheid.

Alleen het feit dat je hier gereageert hebt zegt al genoeg :D

@h4f
De overheid kan de mogelijkheid om alles na te gaan gewoonweg niet weerstaan.

Dossier van ieder kind. What's next.. rfid? Zodat men je de hele dag kan volgen? George Orwell zat er gewoon een jaartje of wat naast.

Zodra een minister "strijd tegen terrorisme" roept buigt alles daarvoor.

Zie mijn signature :)

@h4f
De overheid kan de mogelijkheid om alles na te gaan gewoonweg niet weerstaan.

Dossier van ieder kind. What's next.. rfid? Zodat men je de hele dag kan volgen? George Orwell zat er gewoon een jaartje of wat naast.

Zodra een minister "strijd tegen terrorisme" roept buigt alles daarvoor.

Zie mijn signature :)

Het is niet de overheid (in de context van regering) maar wel de opsporing en inlichtingendiensten die dankzij "terrorisme" hun slag hebben geslagen de afgelopen jaren.

Immers geen enkele minister van Justitie of Binnenlandse zaken kan een opmerking van haar diensten als "wij kunnen geen aanslagen voorkomen danwel achteraf daders of handlangers vinden indien we deze gegevens niet hebben" naast zich neerleggen.

Terwijl vanuit politiek gewin je als minister (en als politieke partij) juist bekend wil komen te staan als de "VUIST" tegen "Terreur", terwijl ze ondertussen de vuist tegen de bevolking genoemd mogen worden. (Remkes, Donner en Balkende)

Gelegenheid maakt de dief, en zo heeft deze gelegenheid o.a. AIVD en Politie de kans gegeven om onze vrijheid te stelen.

Het ergste is dat de tweedekamer nooit om verantwoording heeft gevraagd, zoals een cijfermatig onderbouwde risico analyse.

De kans dat je in een niet internationale bekende stad (Rotterdam, Amsterdam en Den Haag) sterft aan de hand van een terroristische aanslag is kleiner dat dat je struikelt daarna word doodgeschoten word en vervolgens voordat je de laatste adem uitblaast word doodgereden. (gebaseerd op cijfers van New York, Madrid en Londen).
In grote steden moet je eerst worden doodgeschoten en daarna door een aanrijding sterven.

Met dit soort kleine kansen doe je er als overheid (die er echt voor de burgers is) wijs aan om eerst kleine criminaliteit met de extra middelen uit te roeien, dan vele miljoenen verspillen aan zoeken naar een spook.
Immers aangezien het allang niet meer zo is (zie laatste aanslagen) dat er sprake is van internationaal georganiseerde "terrorisme" maar in verschillende landen ook gewoon autochtonen met wat kennis uit boeken en het internet een geslaagde bom kunnen maken, vraag ik mij af wat je aan verkeersgegevens hebt indien een individu bereid is omzichzelf op te blazen.

Tja, dan kun je zien dat hij op op google naar anarchistich cookbook heeft gezocht, als of je die als Nederlandse overheid offline zult krijgen?

Het is jammer dat de regering gewoon niet kan inzien dat ze bezig zijn met het verspreiden van FUD met als doel schijnveiligheid te creereren.

Terwijl de echte dreiging komt van lokale en Europeese problemen, zoals het aan hun lot overlaten van armen en de onderste sociale klassen.
Indien wij een samenleving in Europa zouden hebben waarbij iedereen "gelukkig" zou zijn dan zal de kans op criminaliteit of aanslagen echt drastrisch afnemen. En hier kunnen overheden wel wat aan doen. (maar dat is uiteraard niet in hun belang)

Wat Orwell betreft, die zat er echt mis, wij hebben sinds de jaren zeventig al geen privacy meer. Het is namelijk zo dat de hielprik die ze van baby's hebben genomen sindsdien bewaard zijn gebleven.
Ik vraag mij af wat er in Nederland moet gebeuren voordat ze deze opgeslagen DNA materiaal gaan gebruiken om een dader tot 37 jaar te kunnen pakken. (verkrachting van Koningin misschien?)

Overigens is het wel grappig om te zien dat mensen in Nederland net kudde dieren zijn (schaapjes) zolang ze te eten en te drinken hebben volgen ze de rest zonder enige kritiek.
Om die reden zijn de verschillende privacy projecten/groeperingen in Nederland
ten onder gegaan.

Een goed voorbeeld is bijvoorbeeld onze gasprijzen, terwijl zelfs in een bananen republiek Nigeria het hele land een paar dagen gaat staken om goedkopere energie af te dwingen, omdat ze het weigeren om marktcomforme prijzen te betalen voor fossiele brandstoffen die ze uit hun eigen grond halen, hoor je niemand hier in Nederland over het feit dat wij gas exporteren en vervolgens onze eigen gas tegen een hoger tarief importeren en verkopen aan de burgers. (geldt overigens ook voor electriciteit)

Terwijl sommige mensen het in de politiek belachelijk vinden dat de truck-chauffeurs en boeren wegen blokkeren indien de prijzen weer om hoog gaan, vraag ik mij af wanneer Nederlanders in verzet komen tegen activiteiten van onze overheid die ten nadele van ons zijn.

Ten zij wij vinden dat ons koningshuis die als grootaandeelhouder in GasUnie, Nederlandse Aardolie Maatschappij (NAM) en SHELL zitten voldoende divident uitgekeerd krijgen, zodat ze de toelage die ze van onze belastingcenten jaarlijkskrijgen niet hoeven aan te wenden om te eten.
Immers een magere koningshuis ziet er niet uit.

Het mooie is dat dit systeem zichzelf in stand houd, je hebt arme mensen nodig zodat rijken goed kunnen leven. En van een kamerlid die 6000 euro schoon krijgt per maand, kun je niet verwachten dat hij zichzelf onmisbaar maakt door problemen voor altijd op te lossen. Behalve als het een kamerlid van de SP is, want die krijgt maar 2000 euro omdat hij de rest aan de partij moet afgeven.

Vandaag is het zover, ben benieuwd dames.

Vandaag is het zover, ben benieuwd dames.

Ben je nog niet klaar dan :D

Is het er inmiddels nou al door dan?

Ben je nog niet klaar dan :D

Ik denk dat de meesten nog even afwachten wat de definitieve uitspraken zullen zijn ?

Ik ben principieel tegen logging zonder nut. Gelukkig doe ik zelf niet echt aan webhosting, maar vooral scripting, dus maakt me echt niks uit. Als ze met de extra data 5% meer kunnen oplossen (en ik tegen die tijd wat webhosting klanten heb) doe ik het.

Zolang de wet er nog niet door is, wordt hier niets langer gelogd dan dat wij nu noodzakelijk achten. Pas zodra de wet er is, zullen we beginnen met het langer bewaren van de logs. Wel ben ik dan benieuwd welke data men exact wenst te hebben, want om alles in het wilde weg te gaan loggen, gaat me te ver.

Hey, ik vond net iets interessants, weliswaar oud, maar volgens mij vrijwaart dit hosters van de bewaarplicht.

"Volgens de bewaarplicht moeten Europese lidstaten wetgeving invoeren die internetproviders en telecombedrijven dwingt gegevens over het surf-, mail- en belgedrag van hun klanten te registreren ten behoeve van de bestrijding van zware criminaliteit en terrorisme.

Volgens Mitletton geldt valt Google niet onder die maatregel. De bewaarplicht geldt alleen voor bedrijven die telecom- of internetverbindingen aanbieden, "en dus niet voor zoekmachines."

"medewerker Philippos Mitletton van de Europese Commissie"

bron : http://www.nu.nl/news/1114614/50/%27Bewaarplicht_geldt_niet_voor_Google%27.html

Nog andere ideeen hierover ?

Lijkt me inderdaad duidelijk, google is net zo goed een hostingprovider als dat wij dat zijn. Zolang je maar geen ssh wordt aanbiedt komt het op hetzelfde neer.


Ps. oud? Uitgegeven: 14 juni 2007 16:30

Ik doelde eigenlijk meer op de zin :
"De bewaarplicht geldt alleen voor bedrijven die telecom- of internetverbindingen aanbieden"

Hosting is toch geen verbinding, maar slechts de opslag van data, of zie ik dit nou verkeerd ?

Volgens mij geldt het inderdaad alleen voor internet service providers.
Hosting is iets anders, of het zou moeten zijn dat het mail verkeer gelogt moet worden aangezien er staat dat het om surf-, mail en telecomverkeer gaat.
Surfen kun je pas als je een kabel of adsl abo hebt -> ISP.
Mailen kun je ook via de isp, maar ook via hosting als je een smtp bij je hosting hebt, maar het zou best wel eens kunnen zijn dat je er als hostingbedrijf onderuit kunt komen.
Zou wel leuk zijn.:)

Google verzorgt toch ook mailingdiensten. Het zou dus betekenen indien er niks met ssh gedaan wordt door je klanten, dat je een soortgelijk bedrijf bent als google. Je verleent immers ook opslag en emaildiensten.

En aangezien deze plicht niet voor google bestemt is betekent dit dat wij hier ook niets mee te maken hebben.

Overigens zou het wel zo kunnen zijn dat dedicated en colocated leveranciers hier wel mee te maken hebben, die leveren immers een netwerk aan hun klanten en deze klanten maken mogelijk gebruik van ssh. Hoe je dit kunt loggen is mij echter een raadsel.

Dan zullen vps diensten hier ook onder vallen ben ik bang...

en wat nou als er vanuit een php script fopen('http://anderesite.com'); gedaan wordt?

en wat nou als er vanuit een php script fopen('http://anderesite.com'); gedaan wordt?

Daar heb je inderdaad gelijk in, en om dat nou uit te gaan zetten voor je klanten..Toch vraag ik me af waarom het voor de email via google bijvoorbeeld niet zou gelden.

Iemand met een opinie over het feit dat deze regeling niet voor google geldt? Of zou de betreffende uitspraak zijn gedaan door iemand die niet van het bestaan van Gmail af wist?

Mocht het inderdaad kloppen dat Google niet onder deze wet valt, dan zou het wel betekenen dat we eigenlijk geen emailverkeer meer hoeven te loggen. (In dat geval valt de schade nog wel mee..)

Ik ben inderdaad bang dat met google in dit geval enkel de zoekengine bedoeld wordt (wel jammer...)

maargoed, we wachten af.

Wat ik mij overigens wel afvraag, als ik enkel het email adres van klanten op sla (geen naam, geen naw, etc). Neemt de wet datarentie daar genoeg mee, of wordt ik met deze wet verplicht in een keer volledig adres ed te bewaren?

Ik ben inderdaad bang dat met google in dit geval enkel de zoekengine bedoeld wordt (wel jammer...)

maargoed, we wachten af.

Wat ik mij overigens wel afvraag, als ik enkel het email adres van klanten op sla (geen naam, geen naw, etc). Neemt de wet datarentie daar genoeg mee, of wordt ik met deze wet verplicht in een keer volledig adres ed te bewaren?

Je kunt sowieso het IP-adres opslaan, met het ipadres kunnen ze vervolgens weer bij ISP's aankloppen voor de rest van de gegevens neem ik aan.

Wat ik mij overigens wel afvraag, als ik enkel het email adres van klanten op sla (geen naam, geen naw, etc). Neemt de wet datarentie daar genoeg mee, of wordt ik met deze wet verplicht in een keer volledig adres ed te bewaren?
Domeinnaam uit de TO is te herleiden naar klant.

Als je ook uitgaand verkeer faciliteer dan doe je daar zal de MTA vermoedelijk het IP adres van de host die een verbinding maakt bijhouden.

Voor jou is alleen van belang of je de logfiles moet bewaren. Ik denk dat de meeste logfiles de meeste zo niet alle informatie al bevat die noodzakelijk is.

Ik denk dat de meesten nog even afwachten wat de definitieve uitspraken zullen zijn ?

Als je geen formele verzoek tot uitstel dan wel verzoek tot technische implementatie hebt gedaan kun je formeel gezien een boete t/m bestuurlijke dwang krijgen, immers per 1 juli is dit van kracht en je moet zelf kunnen aantonen dat je er of aan voldoet of formeel uitstel hebt gekregen cq dat zij je technische eisen moeten verstrekken (aangetekende brief).

Waarop wil jij "definitief" op gaan wachten dan? Totdat er in de media verschijnt dat er een webhosting bedrijf beboet is?

Overigens als je de "geest" van deze wetgeving wenst te weten waaruit elke Officier van Justitie zal concluderen dat webhosting daar zeker een onderdeel van is, moet je maar eens deze pdf lezen:

http://www.ez.nl/content.jsp?objectid=149507

Uiteindelijk redeneren OM/Justitie vanuit dit soort onderzoeksrapporteren.

zie ook:
http://www.bof.nl/verkeersgegevens.html

Overigens is het onwijze stil.....

Misschien dat je onlangs nieuwe XS4all reclame gezien hebt op TV (o.a. discovery channel), wellicht een provocatie...

Inderdaad, huur een server in de Verenigde Staten, open een VPN verbinding vanaf huis naar je server en niemand die nog iets kan natrekken :)

Inderdaad.. :D

Inderdaad, huur een server in de Verenigde Staten, open een VPN verbinding vanaf huis naar je server en niemand die nog iets kan natrekken :)

Maar kies dan wel een land buiten de EU waar ze de geheime diensten (CIA/FBI/NSA/....) iets minder vrijheid geven....

Ik begin er niet aan, gewoon vanuit principe.

Nee inderdaad, heb ook mijn eigen servers maar dit slaat echt nergens op.

Uit principe laat ik het lekker op 2 maandjes staan :D

Overigens als je de "geest" van deze wetgeving wenst te weten waaruit elke Officier van Justitie zal concluderen dat webhosting daar zeker een onderdeel van is, moet je maar eens deze pdf lezen:

http://www.ez.nl/content.jsp?objectid=149507


In deze PDF:
In de richtlijn dataretentie wordt onder het begrip “gegevens” verstaan verkeers- en locatiegegevens, en de daarmee verband houdende gegevens die nodig zijn om de abonnee of gebruiker te identificeren

...

Het wetsvoorstel voorziet in de verplichting voor de aanbieders om bepaalde gegevens, voor zover deze in het kader van de aangeboden netwerken of diensten worden gegenereerd of verwerkt, te bewaren. Wanneer dergelijke gegevens niet worden gegenereerd bij of verwerkt
door de aanbieders, is er geen verplichting ze te bewaren.

Het lijkt mij dat het dus gaat om verkeer waarvan te achterhalen is uit de eigen administratie om welke persoon het gaat die het verkeer heeft gedaan, en dus de Internet verbinding aanbieders.

Overgigens staat er ook, dat als je de gegevens niet zelf genereerd of verwerkt, er geen bewaarplicht is.

Overgigens staat er ook, dat als je de gegevens niet zelf genereerd of verwerkt, er geen bewaarplicht is.

Dat zou dus betekenen dat zolang je de log functie maar zo bewerkt dat er geen gegevens van de client/gebruiker/bezoeker bewaard je ook geen verkeersgegevens hoeft te bewaren en enkel de gegevens zodra men is ingelogt?

Ik las hier (http://www.nos.nl/nos/artikelen/2007/08/art000001C7E0C6CE30196E.html) weer meer info over de Dataretentiewet...

IPs/tijdstippen/email adressen alleen bewaren?

IPs/tijdstippen/email adressen alleen bewaren?

"Providers slaan niet de inhoud op van mails en telefoontjes, maar de nummers, de tijdstippen en de adressen."

;)

voorals nog is het alleen een wetsvoorstel en is hier nog geen uitspraak over gedaan.
Ik heb zo het idee dat dit net zolang gaat duren als de betuwelijn..

recente informatie over wetsvoorstellen en wets wijzigingen kunnen worden gedownload van de site van tweedekamer.nl.

Voor de mensen die denken: ik wacht netzo lang tot ik een bief van de staat krijg dat ik moet gaan loggen, FOUT!

Als inwoner van nederland wordt er van je verwacht dat je op de hoogte bent van eventuele wets wijzigingen.
De staat kan/mag dus zomaar wetten veranderen zonder hierbij de betreffende partijenen schriftelijk in te dienen.
(deze wet zouden ze eens moeten veranderen..)

Links:
http://www.tweedekamer.nl/
http://parlando.sdu.nl/cgi/login/anonymous (zoek op uitgebreid naar data retentie)
http://www.ez.nl/

Voor de mensen die denken: ik wacht netzo lang tot ik een bief van de staat krijg dat ik moet gaan loggen, FOUT!

Als inwoner van nederland wordt er van je verwacht dat je op de hoogte bent van eventuele wets wijzigingen.
Staatscourant in de gaten houden :)

Staatscourant in de gaten houden :)
Ja maar met die gaten leest dat zo moeilijk :p :D

Weet iemand al wat de precieze consequenties zijn van het niet naleven van deze dataretentiewet?

Ik vind dit wel een goede wet en er komen ook langzaam aan steeds meer wetten over het internet aangezien deze slecht/matig zijn.


Weet iemand al wat de precieze consequenties zijn van het niet naleven van deze dataretentiewet?

Nou dat ligt eraan. Het is een beetje net zoals wanneer je niet meewerkt aan een politiezaak en niet meewerkt of inforatie achterhoudt.

Ik vind dit wel een goede wet en er komen ook langzaam aan steeds meer wetten over het internet aangezien deze slecht/matig zijn.

Op zich heb ik geen problemen met wetten het is alleen zo jammer dat ze te vaak worden verzonnen door politici die geen benul hebben van waar ze mee bezig zijn.

Ik ben overigens wel heel erg benieuwd met de argumentatie waarom dit een goede wet zou zijn.

Ik ben het er niet mee eens, want wij als hoster zijnde moeten weer extra ruimte hiervoor ter beschikking stellen om dit ook consequent 18 maand te kunnen bewaren.

Ik ga er vanuit dat dit te maken heeft met de regering en met controle op eventueel "terroristische zaken" en er zijn ongetwijveld ook andere zaken waarvoor het gedaan zal worden.

Wij zullen weinig keus hebben hier in om het wel of niet te doen, doe je het niet lijkt mij een fixe boete normaal, het komt in de wet dus er is weinig keus.

Dit is een leuke wet voor zolderkamer hosts :) De diskspace zal gigantisch gaan worden voor grotere providers en zullen gigantische kosten met zich meedragen die doorgerekend zullen worden aan de klant. Naar mijn mening is deze wet ondoenlijk.

Dit is een leuke wet voor zolderkamer hosts :) De diskspace zal gigantisch gaan worden voor grotere providers en zullen gigantische kosten met zich meedragen die doorgerekend zullen worden aan de klant. Naar mijn mening is deze wet ondoenlijk.


De meeste providers hebben hun logrotatie standaard al hoger staan, je kunt hierbij als bedrijf maanden terug. DirectAdmin heeft al een logrotatie van een half jaar dacht ik, wij hadden op het 12 maanden en nu op 18. Het pakt inderdaad wat opslagruimte, echter zijn het allemaal text files die gemakkelijk zijn te comprimeren.

Ik heb hier ook logfiles tot 18 maanden.
Na 6 maanden wordt de boel flink gecomprimeerd. Bespaart behoorlijk wat ruimte.

Ik vind het een waardeloos idee van de overheid. :(

Ach, als je een beetje logisch nadenkt bewaar je gewoon 1 MB logs van allerlei dingen. Als 'justitie' of een instantie de logs vraagt schrijf je die zelf even of bewerk je die file van oude logs. Dit plan is totaal NIET waterdicht !

Het moet gegeven worden in een door hun op te geven formaat (ik geloof XML). Daar zal ook wel bij staan dat het 1 bestand moet zijn..

Het moet gegeven worden in een door hun op te geven formaat (ik geloof XML). Daar zal ook wel bij staan dat het 1 bestand moet zijn..

In XML? Zijn ze helemaal van de ratten besnuffeld! Als men al op basis van die wet logfiles van me kan krijgen, die ik niet zondermeer afgeef, dan in het formaat zoals het op de server staat en verder zoeken ze het maar lekker uit.

Met een goede Regex krijg je al veel voor elkaar.

Ik las gisteren op ispam dat Duitsland en grote groep mensen een rechtzaak hebben aangespannen.
http://www.ispam.nl/archives/1374/13000-duitsers-beginnen-rechtszaak-tegen-dataretentie-wetgeving/

Yes jongens !

Ik las net dit stukje uit een artikel op ispam.nl http://www.ispam.nl/archives/1908/tweede-kamer-kiest-voor-12-maanden-bewaarplicht/#more-1908

"Geen bewaarplicht voor webhosters
Webhosters vallen overigens in principe niet onder de bewaarplicht. Een bron die anoniem wil blijven heeft mij dat haarfijn uitgelegd. Het komt er op neer dat de telecomwet waar de bewaarplicht onder valt enkel een marktordeningswet is, waar in principe enkel telecombedrijven onder vallen, alleen bedrijven die bij OPTA als zodanig staan geregistreerd, vallen daarom onder de bewaarplicht. Alle webhosters zonder eigen netwerk zijn dat niet.

De wetgever heeft zich hier expliciet over uitgelaten in het wetsvoorstel Computercriminaliteit II, daarin staat letterlijk dat webhosting bedrijven daar niet onder vallen:

Het Verdrag maakt geen onderscheid tussen openbare elektronische communicatiediensten en niet-openbare elektronische communicatiediensten en richt zich ook op aanbieders die gebruik maken van deze netwerken om hun diensten aan te bieden, zoals de beheerders en eigenaren van websites en webhostingdiensten.

Dit is natuurlijk een hele opluchting, anderzijds creëert dat wel een enorme witte vlek bij de bewaarplicht. Sterker nog nu webhostingbedrijven en webmail aanbieders buiten de bewaarplicht vallen, zal het merendeel van de e-mail verkeer niet worden bewaard."

Als dit allemaal klopt ( kan iemand dit verifiëren ? ) dan bespaart het een hoop gedoe : ) .

Yes jongens !

Ik las net dit stukje uit een artikel op ispam.nl http://www.ispam.nl/archives/1908/tweede-kamer-kiest-voor-12-maanden-bewaarplicht/#more-1908

[knip]

Als dit allemaal klopt ( kan iemand dit verifiëren ? ) dan bespaart het een hoop gedoe : ) .

Dat kan je -zoals ik eerder hier ook al eens gepost heb- gewoon lezen in de memorie van toelichting, iets anders geformuleerd, maar het is er gewoon uit te halen. Op 16 juni 2007 heb ik dan ook het volgende op onze website gezet:


"De verplichting van de aanbieders om te voldoen aan de vordering tot verstrekking van de verkeers- of gebruikersgegevens omvat zowel de gegevens, die op grond van het voorgestelde artikel 13.2a, tweede lid, van de wet dienen te worden bewaard, als de actuele gegevens die bij de aanbieders beschikbaar zijn of worden verwerkt ten behoeve van de eigen bedrijfsvoering" en verder: "De aanbieder dient te beschikken over een bestand waarin bepaalde gegevens zijn opgenomen van de personen die gebruik maken van een dienst of netwerk van de aanbieder. Dit betreffen de volgende gegevens: naam, adres, postcode, woonplaats, de telecommunicatiedienst die wordt afgenomen en het aansluitnummer dat aan een gebruiker is verleend (artikel 4 Besluit verstrekking gegevens telecommunicatie)."

Bij een website is dat onmogelijk, evenals FTP- en email verkeer. Immers, wij kunnen de domeinnaam van een klant wél herleiden op een klantenbestand (die factureren wij, ook een genoemede eigenschap in de toelichting, voor de afgenomen dienst) maar wij kunnen niet herleiden aan wie hij/zij allemaal email adressen uitdeelt en ben ook niet bekend met zijn of haar -eventueel wisselende- ip-adres c.q. "aansluitnummer". Hierover beschikken wij immers niet? Laat staan dat wij weten áán wie men zaken verzend of contact mee heeft: het "opgeroepen nummer", immers de geadresseerden in email zijn niet herleidbaar tot een ip-adres voor ons en tevens niet koppelbaar aan een bestand met naw-gegevens. Maar bovenal wil men de verkéérsgegevens van de klant hebben. Die verkeersgegevens hebben wij ook niet en zullen wij ook nooit krijgen. Alleen de ISP's en TelCo's hebben die gegevens. De (voorgenomen) wet kan dus niet van toepassing worden verklaard op onze dienstverlening!

Samengevat
De ip-adressen van email- en ftp-gebruikers kunnen wij niet herleiden tot ons klantenbestand laat stáán de ip-adressen van bezoekers van websites (http-verkeer) i.c. onze webservers. Het bewaren van deze gegevens is daarmee niet alleen volstrekt zinloos maar wellicht zelfs strijdig met bepaalde privacy wetgeving.

De uitspraken rondom de bewaartermijnen van Google -die zich juist op de voorgenomen wetgeving beriep om zoekgegevens (extreem) lang te bewaren maken tevens duidelijk dat hosters (websitehosting) zich hier niet mee bezig zouden moeten houden.


Ik had er persoonlijk dus al geen twijfels over, ...

De wetgever heeft zich hier expliciet over uitgelaten in het wetsvoorstel Computercriminaliteit II, daarin staat letterlijk dat webhosting bedrijven daar niet onder vallen:

Het Verdrag maakt geen onderscheid tussen openbare elektronische communicatiediensten en niet-openbare elektronische communicatiediensten en richt zich ook op aanbieders die gebruik maken van deze netwerken om hun diensten aan te bieden, zoals de beheerders en eigenaren van websites en webhostingdiensten.


Volgens mij staat er precies het tegenovergestelde, dat webhostingbedrijven er juist wel onder vallen. Ik begrijp niet helemaal hoe Arnout dat stukje leest, maar ik zie het er niet zo letterlijk en expliciet staan...

<knip>

Misschien is een automatisch cctje naar idiootplan@overheid.nl wel een makkelijkere optie :)

<knip>

Onzin post..

Inderdaad, huur een server in de Verenigde Staten, open een VPN verbinding vanaf huis naar je server en niemand die nog iets kan natrekken :)

Ik zou dan precies niet de VS kiezen :unsure:

Mod-edit: En ik zou dan precies geen oude topics omhoog kicken! Svp beetje opletten!

-knip Janneman-
Spambotje

Ik vond de reactie al zo vreemd :wacko:
Geprobeerd heel netjes te schrijven maar vol spelfouten.

Als het goed is deze wet er nu toch?
Alleen webhosting providers vallen hier niet onder tenzij zij een eigen netwerk beheren.

Dit is een leuke wet voor zolderkamer hosts :) De diskspace zal gigantisch gaan worden voor grotere providers en zullen gigantische kosten met zich meedragen die doorgerekend zullen worden aan de klant. Naar mijn mening is deze wet ondoenlijk.

Ondoenlijk of niet, maar de ''zolderkamer host'' word zo wel aangepakt.
En de hosters zitten nu met grote extra kosten. Als die klanten van de ''zolderkamer host'' allemaal naar de hosters gaan zou het goed zijn.
Uiteindelijk is het beter voor de hosters. (vermoed ik)

Hallo :) dit is topic is al twee jaar oud.
En zoals ik al zij webhosters vallen hier niet onder tenzij een telecommunicatie netwerk exploiteren of internet aanbieden.

Overigens staat deze wet op lossen schroeven.
http://www.ispam.nl/archives/16122/duitse-bewaarplicht-in-strijd-met-grondwet/

"Uiteindelijk is het beter voor de hosters. (vermoed ik)".
Juist niet ;) dat hele gedoe is onzin, zie vorige reacties.

OT: "KvK-nummer niet gevonden".

Hallo :) dit is topic is al twee jaar oud.
En zoals ik al zij webhosters vallen hier niet onder tenzij een telecommunicatie netwerk exploiteren of internet aanbieden.

Overigens staat deze wet op lossen schroeven.
http://www.ispam.nl/archives/16122/duitse-bewaarplicht-in-strijd-met-grondwet/

"Uiteindelijk is het beter voor de hosters. (vermoed ik)".
Juist niet ;) dat hele gedoe is onzin, zie vorige reacties.

OT: "KvK-nummer niet gevonden".

Ik heb het juist doorgelezen allemaal, en uiteindelijk is dit mijn conclusie.
Ja ik weet dat het topic 2 jaar oud is, maar er word toch een reactie gevraagd?

En het is te hopen dat het hele gedoe tot ''onzin'' word verklaard.

En KvK staat er toch netjes bij?

https://server.db.kvk.nl/TST-BIN/FU/TSWS001@?BUTT=034273611 Hij kan niet gevonden worden :) misschien een typefout?

https://server.db.kvk.nl/TST-BIN/FU/TSWS001@?BUTT=034273611 Hij kan niet gevonden worden :) misschien een typefout?

Ik zag het. Het nummer moet zonder de beginnende 0 geplaatst worden.
Gelijk even aangepast. :o

Hallo :) dit is topic is al twee jaar oud.
En zoals ik al zij webhosters vallen hier niet onder tenzij een telecommunicatie netwerk exploiteren of internet aanbieden.


Dat is overigens maar de vraag. In hoeverre regelt de webhoster de e-mail voor zijn klant? In hoeverre doet de klant alles zelf? Regel jij alles voor je klant, dan val je er waarschijnlijk wel onder, doet de klant alles zelf, dan waarschijnlijk weer niet.

Op dit ogenblik loopt er een onderzoek door het Agentschap wat er wel en niet onder valt omdat dat nu niet duidelijk is. Voorlopig is het dus nog onduidelijk wat wel en wat niet.

Voor nu vallen webhosters hier niet onder :) maar ik hoop echt dat dit in de toekomst ook zo blijft. Van mij mag die hele bewaarplicht geschrapt worden.

Wat Duitsland betreft de verheid daar wou op den duur een digitaal archief aanleggen voor het nageslacht (of een of andere vage reden). De enigste misberekening zat hem in het feit hoeveel opslag je nodig bent om alle online gegevens in Duitsland op te slaan en te archiveren. Nu is dat weer via het EU voorstel terug gehaald op de logs zover ik daarvan op de hoogte ben.

In principe vraag ik me sowieso af wat voor nut het heeft. De internet provider van de eindgebruiker logt al bijzonder veel data en volgens deze wetgeving zou de eindbestemming dit ook nog een keer moeten gaan doen.

Om eerlijk te zijn lijkt dit weer eens op een greep van de overheid om het internet te beheersen naar mijn mening.

Ook de meerwaarde van de logs in de rechtszaal zet ik mijn twijfels bij. Volgens mij zijn er te veel factoren waarop de logs misleidend kunnen zijn.

In je apache vhost:



CustomLog "| [programma die STDIN naar /dev/null stuur en een tail -n1 op /dev/urandom uitpoept] > /var/log/httpd/access.log"


Laat ze bij het ministerie maar is bewijzen dat dit geen access log is (niemand heeft gedefineerd waaraan de log moet voldoen en/of hij encrypted mag zijn volgens je eigen standaard en daarnaast komt er voor ieder bezoek een nieuwe line bij dus hij voldoet volgens mijn standaard :p)... Daarnaast mogen ze van mij persoonlijk het heen en weer krijgen (sorry, ik ben ook wel eens menselijk).