De brakke spullen uit het Internet der Dingen

| AE 8395 | Aansprakelijkheid, Beveiliging | 21 reacties

webcam-camera-babyDe kwetsbaarheid van “Internet of Things”-dingen is zo gigantisch dat je er maar beter om kunt lachen, las ik bij Ars Technica. Maar eigenlijk is het om te huilen. Men ontdekte dat de IoT-zoekmachine Shodan een zoeksectie had voor kwetsbare webcams, met feeds van van alles en nog wat: voortuinen, achtertuinen, binnentuinen, marijuana-plantages, kinderslaapkamers en ga zo maar door. Hoe kan dat anno 2016 nog zo makkelijk bestaan?

Op brakke beveiliging is niet strafbaar, schreef ik in 2013. Tegenwoordig soms wel: als je persoonsgegevens niet adequaat beveiligt, kun je een boete van maximaal €820.000 opgelegd krijgen. (Bovendien moet je het melden, een aparte nieuwe verplichting). Maar dat gaat over bedrijven die persoonlijke gegevens beheren, niet over bedrijven die apparatuur op de markt brengen. Ik zou niet weten op grond van welk wetsartikel de leverancier van een IP-enabled webcam met fabriekswachtwoord 12345 te beboeten is.

Volgens Ars Technica is de reden hiervoor heel simpel: geld.

Consumers do not perceive value in security and privacy. As a rule, many have not shown a willingness to pay for such things. As a result, webcam manufacturers slash costs to maximize their profit, often on narrow margins. Many webcams now sell for as little as £15 or $20. “The consumers are saying ‘we’re not supposed to know anything about this stuff [cybersecurity],” he said. “The vendors don’t want to lift a finger to help users because it costs them money.”

Ik denk dat het iets subtieler ligt. Mensen geven wel om veiligheid en privacy, maar gaan er vanuit dat een apparaat in een mooi doosje op de plank bij een bekende winkel gewoon veilig is. Auto’s zitten ook netjes op slot, je brood is vers en als een blik tomatensoep ontploft in de koelkast dan verdient dat aandacht in RTL Nieuws om half acht. Dat model van vertrouwen nemen mensen gewoon mee naar digitale apparatuur, ook als die internet-enabled is. Handig joh, dat je op je smartphone de webcam thuis kunt bekijken. Maar het idee dat iedereen dan mee kan kijken omdat hij op een algemeen bekende poort draait en het standaardwachtwoord in de op internet staande handleiding te vinden is, dat speelt niet bij brood of tomatensoep. Dus ook niet bij die webcam.

En nee, het is te makkelijk om dan te zeggen “dan moeten die mensen maar beter nadenken en lezen wat er in de handleiding staat”. Want dat doen mensen niet, en ik vind het ondertussen ook steeds oneerlijker worden om te verwachten dat ze dat wel gaan doen. Ik hoef ook geen handleiding van mijn voordeurslot te lezen – daar staat politiekeurmerk 2 sterren op en de installateur had een keurige blauwe overall aan, dus dat zit wel goed met dat voordeurslot.

Deze bal hoort te liggen bij de leveranciers van deze producten. In Amerika lijkt dat al een beetje door te dringen: Ars Technica citeert een FTC-woordvoerder die zegt “If you don’t have reasonable security then that could be a violation of the FTC Act.” Bij ons vind ik het moeilijk een dergelijke kapstok te verzinnen. Om dit nu onder de conformiteitseis (wettelijke garantie) te schuiven gaat een beetje ver, dat criterium is daar volgens mij niet voor bedoeld.

Ik denk dus dat er echt een wetswijziging voor nodig is om een stok te introduceren om IoT-dingen-produceren te dwingen de veiligheid van hun producten te vergroten. Maar dat gaat een moeizaam proces worden, want het klinkt zo redelijk, dat mensen toch zelf even een handleiding kunnen lezen en een wachtwoord kunnen wijzigen. Maar eh, wees eens eerlijk: wie doet dat bij alle producten in zijn huis?

Arnoud

Hoe groot mag een foto-citaat anno 2016 zijn?

| AE 8392 | Auteursrecht | 5 reacties

pasfoto-lijstje-kader-polaroid.jpgEen lezer vroeg me:

Ik wil signaleringen posten naar actueel nieuws, inclusief stukje tekst en foto. Ik weet dat dat in principe mag, maar moet het nog steeds net zo’n postzegel zijn als in 2007? Hoe groot mag een geciteerde foto zijn?

Op foto’s zit auteursrecht, en die mag je dus niet zomaar overnemen zonder toestemming. Alleen als je een wettelijke uitzondering kunt vinden, en je je houdt aan de voorwaarden daarvan, kun je wegkomen met geen toestemming vragen (en dus ook geen schadeclaim hoeven te betalen).

Het citaatrecht is zo’n uitzondering. Voor aankondiging, bespreking, kritiek en dergelijke op een werk mag je een deel daarvan overnemen (en bij een klein werk het hele werk), mits je niet meer overneemt dan nodig is voor jouw doel en je netjes de bron en de naam van de maker vermeldt. Dit geldt ook voor beeld: wil je commentaar geven op een foto, dan mag je die tonen en wil je een film aankondigen, dan mag je de poster of een paar stills laten zien.

In 2007 speelde dit in de context van huizenzoekmachines. In één van die zaken werd toen bepaald dat een thumbnail van 194×145 pixels een toelaatbaar citaat was in het kader van aankondigen van zoekresultaten (“dit huis is te koop, klik hier voor de Funda advertentie”). Dat was voor die tijd een prima fotootje, maar anno 2016 word je uitgelachen zonder beeldvullende foto met softone filter. Hoe verouderd is de wet dus?

Eigenlijk is dat een oneerlijke vraag, want de wet noemt helemaal geen getallen. Het citaatrecht (art. 15a Auteurswet) komt neer op ‘niet meer dan nodig’. Letterlijk:

[Vereist is dat] het citeren in overeenstemming is met hetgeen naar de regels van het maatschappelijk verkeer redelijkerwijs geoorloofd is en aantal en omvang der geciteerde gedeelten door het te bereiken doel zijn gerechtvaardigd;

Hier zijn dus geen harde getallen op te plakken. Het komt altijd neer op, kun je motiveren waarom in dit geval deze omvang redelijkerwijs geoorloofd was gezien je doel.

In 2014 publiceerde HP/De Tijd een artikel over recent in de pers verschenen foto’s van Volkert van der G. en Marc Dutroux. Die waren recent vrijgelaten, en diverse media brachten paginavullende foto’s met grote koppen. HP/De Tijd wilde daarop reageren en publiceerde bij haar artikel screenshots van de kranten, inclusief grote foto (2/3e van het artikel, volgens de fotograaf). Meer dan een thumbnail, dus de fotograaf stapte naar de rechter: dit was gewoon herpubliceren van de foto met een paar obligate zinnen om het een artikel te laten lijken.

De rechter bepaalde echter dat het citaatrecht heir wel degelijk opgaat. De wijze van reproductie was nodig voor de lezer om te kunnen zien hoe groot de foto in de originele media was gebruikt. Die moet je dan gewoon groot kunnen zien. Toegegeven, de foto was wel een erg groot deel van het artikel. Echter:

Het citaatrecht is echter een zwaarwegend en diep geworteld recht dat een belangrijke bouwsteen is voor de vrijheid van meningsuiting. Voor de te maken afweging is het relevant dat HP/De Tijd een opinieblad is dat met het artikel verslag doet van een actuele en wezenlijke discussie over de spanning tussen het recht op vrijheid van meningsuiting en eerbiediging van de persoonlijke levenssfeer.

Gezien die omstandigheden was het gerechtvaardigd om de foto’s in groot formaat te publiceren. Iets dergelijks werd eerder bepaald in een zaak over een grote foto (50% van de webpagina) die als ankeiler diende naar een artikel over de afgebeelde persoon.

De foto kan worden beschouwd als ondersteuning van de inhoud van het interview en heeft een duidelijke functie bij de tekst door het bericht goed herkenbaar te maken voor de lezer en met als doel de lezer door te laten klikken naar het volledige artikel op de achterliggende site. De foto heeft derhalve als doel de lezer een indruk te geven van het betreffende artikel.

Daar staat tegenover dat als je een foto primair als versiering gebruikt, je geen citaatrecht kunt claimen. Een voorpaginavullende foto was geen citaat, omdat er nauwelijks aandacht werd besteed aan de inhoud van de foto en deze dus alleen maar als versiering en lokkertje diende.

De grenzen zijn dun, maar het komt er dus op neer dat de foto duidelijk inhoudelijk relevant moet zijn. Mijn vuistregel: als het artikel zonder de foto niet meer ‘werkt’, en ook moeilijker te begrijpen wordt met kleiner beeld, dan is het een rechtsgeldig citaat (mits met bronvermelding natuurlijk). Daar staat dan weer tegenover dat “Je zult niet geloven wat je op deze foto’s ziet”-achtige artikelen eigenlijk alleen bestaan bij de gratie van het overgenomen beeld, en dat is dan ook weer niet de bedoeling. Dus het moet wel een ‘echt’ artikel zijn, maar daar een definitie van geven, daar kom ik niet uit.

Is er een verschil tussen wat HP/De Tijd deed en wat je op Buzzfeed en consorten ziet?

Arnoud

Is videosolliciteren bij wet verboden?

| AE 8389 | Privacy, Arbeidsrecht | 17 reacties

camera-laptop-video-chat-gesprekVideosolliciteren is in de wet bescherming persoonsgegevens verboden, meldde HRlog van Michel Rijnders onlangs. Bij deze opkomende trend in recruitmentland stuur je geen brief, maar presenteer je jezelf in een video. Een leuk idee, maar juridisch problematisch: foto’s en video’s van personen tellen als bijzondere persoonsgegevens en die mag je als recruterend bedrijf niet verwerken van je sollicitanten. De praktijk is echter anders.

Videosolliciteren houdt in dat je jezelf presenteert in een video in plaats van in een sollicitatiebrief. Sinds de opkomst van de webcam duikt het onderwerp op gezette tijden op in de media, meldt Intermediair enigszins cynisch. Voordelen zijn dat je jezelf kunt presenteren op een manier die in tekst niet kan, en dat eigenschappen als spontaniteit, representativiteit en uitstraling beter uit de verf komen. Bovendien, is een brief kunnen schrijven echt wel een relevante kwaliteit bij veel banen vandaag de dag?

Het juridische punt bij video’s is echter dat portretten bijzondere persoonsgegevens zijn. Je kunt er immers gevoelige informatie uit halen, zoals iemands ras of etnische afkomst, of een aandoening of ziekte. Denk aan littekens of aangeboren afwijkingen, of bij video’s de aanwezigheid van Parkinson. En dergelijke gegevens mogen onder de privacywet eenvoudig niet worden ‘verwerkt’ – een term waar ook het ontvangen en afspelen van een video onder valt, zelfs als die video vervolgens niet in een dossier terecht komt.

Exit videosolliciteren dus. Maar nee, toch niet: Rijnders meldt dat de Autoriteit Persoonsgegevens camerabeelden van een persoon “om opportuniteitsredenen” niet als bijzondere persoonsgegevens beschouwt als aan een aantal voorwaarden is voldaan. Kort gezegd: het was niet je bedoeling die bijzondere gegevens te verkrijgen, maar de ontvangst is onvermijdelijk, en je doet er vervolgens niets mee. In het bijzonder: je laat het niet meewegen in je beslissing. Onvermijdelijke bijvangst waar we heel professioneel niet naar kijken vervolgens.

Oh nee, toch wel: Merel Eilander, woordvoerder Autoriteit Persoonsgegevens, meldt dat deze voorwaarden niet opgaan bij videosolliciteren:

Bij videosollicitaties is het wél voorzienbaar dat de verwerking zal leiden tot het maken van onderscheid op basis van rasgegevens. Videosollicitaties zijn wel toegestaan als iemand er daadwerkelijk vrij voor kan kiezen, bijvoorbeeld als er ook de mogelijkheid is om per brief te solliciteren.

Het achterliggende argument is denk ik hetzelfde als Hans versus Mohammed op je cv: je kunt mensen te makkelijk meteen afkeuren op oneigenlijke (en verboden) gronden. Natuurlijk kun je die ook in een gesprek ontdekken (bijvoorbeeld, een aspirant-receptioniste die blijkt te stotteren) maar dan kun je er nog naar vragen in het gesprek.

De juridische conclusie is dus onontkoombaar: videosolliciteren mag alleen als vrijwillige keuze, een bedrijf mag sollicitanten niet verplichten per videobericht zichzelf aan te dragen.

De Wbp zou de Wbp niet zijn als zij niet massaal genegeerd werd, en dat zie je ook hier weer. Vrijwel alle bedrijven die videosollicitatie inzetten, doen dat in verplichte vorm. Logisch, want dat werkt het efficiëntst, en je kunt ook lastiger twee kandidaten vergelijken als de een een keurige brief op geschept papier aandraagt en de andere een hippe video. Maar het mag niet.

Zolang er niemand een probleem van maakt zal het geen probleem zijn, concludeert Rijnders. En afgaande op de observatie van Intermediair kan het inderdaad best meevallen – die videosollicitatieapps zijn nu even hot maar over drie maanden is er vast weer wat anders. Aan de andere kant, als het deze keer wél aanslaat, dan zitten we dus wel met een levensgroot wettelijk privacyprobleem. Er staan in theorie hoge boetes op dit soort onrechtmatige verwerking, maar dan moeten mensen dit wel als een probleem ervaren.

Arnoud

Mijn provider blokkeert IP-adressen van schurkenstaten, mag dat?

| AE 8382 | Contracten | 22 reacties

Een lezer vroeg me: Wij zijn klant bij het Amerikaanse cloudbedrijf SoftLayer. Nu lezen wij dat SoftLayer network-wide blocking implementeert van IP-adressen uit Cuba, Iran, North Korea, Soedan en Syrië. Dit in verband met Amerikaanse handelssancties. Kan dat zomaar? Inderdaad zijn er al diverse jaren allerlei zware handelssancties tegen de genoemde landen. President Bush noemde… Lees verder

Mag de politie zeggen “U twittert wel heel veel”?

| AE 8376 | Meningsuiting, Strafrecht | 48 reacties

Twitterende tegenstanders van azc’s moeten rekening houden met een bezoekje van de politie. Mag dat? Dat schreef NRC vorige week. „Wij hebben orders gekregen om u te vragen op uw toon te letten. Uw tweets kunnen opruiend overkomen”, kreeg een Sliedrechtenaar te horen nadat hij had getwitterd over een AZC-bijeenkomst. Iets strafbaars zei hij niet,… Lees verder

Een technische storing op je korting-zaterdag is oneerlijke reclame

| AE 8366 | Webwinkels | 12 reacties

Wie reclame maakt met “Alléén deze zaterdag 30% extra korting op Lego en Playmobil” en dan op die zaterdag een grote storing heeft, maakt misleidende reclame. Dat las ik bij ITenRecht.nl. Nu is de RCC geen rechter, maar de Reclame Code sluit wel aan bij het Nederlands recht. En het punt is wel vaker langsgekomen:… Lees verder

Mag je Mein Kampf opnieuw uitbrengen nu het auteursrecht vervallen is?

| AE 8363 | Auteursrecht, Strafrecht | 32 reacties

Een lezer vroeg me: Het auteursrecht op “Mein Kampf” van Adolf Hitler is per 1 januari verlopen. Mag je dat boek dan nu in Nederland uitbrengen? Hoofdregel van het auteursrecht is dat dit recht vervalt op 1 januari 70 jaar na het sterfjaar. Bij overlijden in 1945 kom je dus inderdaad uit op 1 januari… Lees verder

Is embedden van mijn nietcommerciële Youtubevideo een inbreuk op auteursrecht?

| AE 8359 | Auteursrecht | 31 reacties

Een lezer vroeg me: Ik publiceer films op Youtube, maar ik wil niet dat die commercieel worden gebruikt. Dat heb ik ook netjes in de beschrijving staan én middels een tekst aan het begin van de video. Toch embedt een lokale krant mijn films steeds, omdat zij ze nieuws vinden. Ze overtreden dus mijn licentie,… Lees verder