Gisteren verscheen op Livre mijn column over waarom bedrijfsjuristen ‘nee’ zeggen tegen open source:

‘Onze bedrijfsjurist is er achter gekomen dat we open source gebruiken, en dat is nu verboden.’ Helaas nog steeds een veel voorkomende klacht bij software-ontwikkelaars en ICT-afdelingen. Bedrijven willen een stukje open source gebruiken, maar de licentie is niet helemaal duidelijk over deze specifieke situatie. En wat doe je als een licentie onduidelijk blijkt? Dan ga je naar de bedrijfsjurist. En wat doet die in zo’n geval? Die zegt ‘nee’.

Lees verder bij Livre. Al was het maar om erachter te komen of ik andijvie lust.

Arnoud

Een Amerikaanse rechter heeft een moeder in het ongelijk gesteld in een rechtszaak die zij had aangespannen tegen Universal, meldde Nu.nl gisteren. Het platenlabel liet vorig jaar een filmpje van Youtube verwijderen waarin haar peuter danst op muziek van Prince. En de moeder is toen een rechtszaak begonnen wegens misbruik van auteursrecht.

Universal bezit de auteursrechten op een deel van het Prince-repetoire, waaronder het nummer “Let’s go crazy”. Stephanie Lenz had een filmpje gemaakt van haar peuterzoon, terwijl toevallig de radio aanstond en dat liedje te horen was. Reden voor Universal om meteen een DMCA takedownverzoek te sturen. Zoiets kan bij ons ook: een hostingprovider kun je aanschrijven met een verzoek om onrechtmatig materiaal weg te halen. Doet hij dat niet, dan kun je hem aansprakelijk stellen voor je schade.

Punt is natuurlijk wel dat dit een typisch geval van fair use is. De muziek is toevallig te horen en niet gekozen en het filmpje heeft geen commercieel oogmerk. Iets dat Universal had moeten weten, aldus de moeder in haar rechtszaak. Door desondanks toch een klacht in te dienen, maakte Universal misbruik van de takedownprocedure om het filmpje weg te krijgen.

Maar met dat argument kwam ze niet ver. De fairness was ook weer niet zo duidelijk dat Universal die hele brief niet had mogen sturen, aldus de rechter.

Opvallender was het tweede stuk van de zaak: Universal kwam met het originele verweer dat zij in haar vrije meningsuiting werd gehinderd door Lenz’s zinloze rechtszaak. Dit verweer heet de anti-SLAPP wet, en is bedoeld om mensen te beschermen die door grote bedrijven met tientallen onzinnige rechtszaken worden lastiggevallen als ze een misstand aan de kaak proberen te stellen of gewoon kritiek op die bedrijven willen leveren. Dit is de eerste keer dat de wet omgekeerd wordt toegepast: een groot bedrijf voert dit verweer bij een rechtszaak aangespannen door een individu.

De zaak is hiermee nog lang niet ten einde. Beide partijen mochten naar huis om hun verzoeken nog eens netjes over te doen. “En ditmaal goed!”, zou mijn oude leraar Duits zeggen.

Arnoud

Auteursrecht en octrooirecht zijn twee heel verschillende dingen. Auteursrecht krijg je automatisch op elke tekst die je schrijft, terwijl je alleen octrooi krijgt op uitvindingen die nieuw en inventief zijn, en dan ook nog eens alleen op aanvraag. En daar zit nog een interessante kronkel in de wet: is de tekst van een octrooi auteursrechtelijk beschermd?

De tekst van een octrooi moet namelijk in detail uitleggen hoe de uitvinding werkt, zodat anderen weten welke uitvinding beschermd is en hoe ze die (na afloop van het octrooi) kunnen namaken. De eerste vraag is dan of die tekst wel het “stempel van de maker” draagt. Vorig jaar werd bijvoorbeeld nog geen auteursrecht op een offerte erkend, omdat de tekst van die offerte uitsluitend functioneel en zakelijk was. De tekst beschreef de huidige en historische toestand van een bedrijfsgebouw en haar omgeving. Ik denk alleen niet dat dat hier opgaat. Neemt u van mij als octrooigemachtigde aan dat het behoorlijk wat creativiteit, woordkeuzes en afwegingen vergt om een goede octrooitekst te maken.

Maar zelfs als de tekst puur functioneel en zakelijk geacht zou worden te zijn, dan is er nog steeds de geschriftenbescherming. Octrooiteksten zijn immers schriftelijk en bestemd om openbaar gemaakt te worden.

Bij de aanvraagprocedure stuurt de uitvinder (of zijn octrooigemachtigde) die tekst naar het Europees Octrooibureau (EOB) of het Octrooicentrum Nederland (OCNL). Het EOB onderzoekt de aanvraag en publiceert het octrooi als alles in orde is. OCNL doet geen inhoudelijk onderzoek en publiceert de ingediende tekst simpelweg na 18 maanden als octrooi, ongeacht of er nu aan de eisen voor octrooi is voldaan.

Zowel EOB als OCNL zou je kunnen zien als overheidsinstanties, en dan zijn er een paar beperkingen in de Auteurswet (inmiddels zonder 1912, weet u nog?). De eerste is dat op “wetten, besluiten en verordeningen” geen auteursrecht rust. Maar een octrooi is geen van die drie, dus daar hebben we niet zo veel aan.

Een octrooi is daarentegen wel een “door of vanwege de openbare macht openbaar gemaakt werk”, en volgens artikel 15b Auteurswet mag je het dan kopiëren en verspreiden tenzij het auteursrecht uitdrukkelijk is voorbehouden. Maar dan moet wel de openbare macht de maker of rechtverkrijgende zijn van de tekst, en dat is niet het geval - de octrooigemachtigde die de tekst schreef, is geen medewerker van de overheid, en bij indiening van een octrooiaanvraag hoef je ook nergens je auteursrecht over te dragen.

Een octrooischrift is dan ook gewoon auteursrechtelijk beschermd.

Toch hoeft dat geen probleem te zijn. Wie een octrooiaanvraag indient, weet dat dit als octrooi zal worden gepubliceerd en dan in allerlei octrooidatabanken over de hele wereld te lezen zal zijn. Door dus toch de aanvraag in te dienen, geeft de uitvinder een licentie om dat alles te mogen doen.

Lastiger is het voor uitgevers van boeken zoals Patenten op de 20e eeuw. Wie zijn eigen tekst schrijft over beroemde of waardevolle octrooien, mag daar best als beeldcitaat een tekening uit het octrooischrift bij laten zien. Maar sommige van die boeken bestaan vrijwel geheel uit samenvattingen en tekeningen van octrooien, en dat kun je geen citaat meer noemen.

Arnoud

Een leuk idee van de security conferentie Infosecurity Europe: ga de straat op en vraag mensen of ze hun wachtwoord willen afgeven in het kader van een onderzoek, in ruil voor een reep chocola en de kans een reisje naar Parijs te winnen. Toch is de organisatie tevreden:

This year’s survey results were significantly better than previous years. In 2007 64% of people were prepared to give away their passwords for a chocolate bar, this year it had dropped to just 21% so at last the message is getting through to be more infosecurity savvy. The researchers also asked the office workers for their dates of birth to validate that they had carried out the survey here the workers were very naïve with 61% revealing their date of birth. Another slightly worrying fact discovered by researchers is that over half of people questioned use the same password for everything (e.g. work, banking, web, etc.)

Een klassiek voorbeeld van social engineering.

Waarmee krijg ik jullie zo gek je wachtwoord af te geven?

Via Schneier on Security.

Arnoud

Het Europees consumentenrecht staat niet toe dat een winkelier een vergoeding mag vragen van een consument voor reparatie of vervanging van een defect product. Dat blijkt uit het op 17 april gewezen Quelle-arrest van het Europese Hof van Justitie.

Het Hof stelt voorop dat de winkelier de plicht heeft om een product te leveren dat werkt gedurende een bepaalde tijd, de economische levensduur. En als dat niet blijkt te kloppen, dan heb je als consument recht op vervanging of herstel (7:21 BW) van het product, tenzij dat onmogelijk is of van de verkoper niet gevergd kan worden.

In Nederland hebben we op dit moment de regel dat je bij een reparatie of vervanging na 4 van de 10 jaar 4/10e van het reparatiebedrag betaalt. Je krijgt er daardoor immers 4 jaar ‘bij’. De juridische rechtvaardiging hiervoor is dat je door de reparatie meer ‘genot’ van je product hebt dan je mocht verwachten. En als je meer krijgt, dan zul je moeten bijbetalen.

Deze regel heeft het Hof dus nu een halt toegeroepen. Herstel of vervanging moet “kosteloos” zijn, zo staat in de Europese richtlijn (1999/44/EG) waar dit allemaal op gebaseerd is. En kosteloos betekent ook echt kosteloos. De winkelier mag dus op geen enkele manier geld vragen wanneer de consument zijn recht op herstel of vervanging komt uitoefenen.

De enige uitzondering is nog bij retour (ontbinding): dan mag de consument wel een bedrag gevraagd worden voor het gebruik gedurende de tijd dat hij het product in bezit had.

Arnoud

Een lezer biecht op:

In een donker duister verleden heb ik mij de toegang verschaft tot een gedeelte van een forum dat met een wachtwoord was beveiligd. De makers hadden aangegeven dat er echt niks interessants stond. En alsof dit nog niet voldoende was om de nieuwsgierigheid bij mij op te wekken was het ook nog eens met een wachtwoord beveiligd. Ik heb daarop tervergeefs een aantal pogingen ondernomen om het wachtwoord te raden. Totdat ik op een gegeven moment bij mezelf dacht “Wat zou het wachtwoord toch zijn? Dat gaan ze natuurlijk niet aan mij vertellen, want dat is geheim”. Als gauw ondervond ik dat ik gelijk had: het wachtwoord was geheim, letterlijk wel te verstaan. Natuurlijk heb ik de beheerders direct op de hoogte gesteld, maar nu vraag ik me af: heb ik door mijn nieuwsgierigheid te bevredigen de wet overtreden?

Het achterhalen van een wachtwoord om daarmee binnen te dringen in een computersysteem dat niet van jou is, is een riskante onderneming. Opzettelijk en wederrechtelijk binnendringen in een computersysteem of netwerk is strafbaar als computervredebreuk.

De vraag is hier wel of er ook echt binnengedrongen is. Alleen maar een gevonden sleutel in het slot omdraaien is nog geen inbreken, en alleen maar een wachtwoord intypen dat werkt, lijkt me ook nog geen computerinbraak. En onze mysterieuze lezer is uit eigen wil gestopt met de poging. Dat heet “vrijwillige terugtred” in het strafrecht. Een poging die je uit jezelf afbreekt, is niet strafbaar (art. 46db Strafrecht).

Aan de andere kant, zodra je het wachtwoord goed intypt, krijg je meteen ook een resultaat te zien. Je wordt ingelogd, je krijgt de beheerspagina voor je neus of wat er dan ook maar moet gebeuren bij de gebruiker wiens wachtwoord je achterhaald hebt. Dus je kunt betogen dat de inbraak voltooid was op het moment dat het wachtwoord geaccepteerd was en de “U bent ingelogd” pagina op het scherm kwam te staan.

Wat denken jullie? Moet dit kunnen zolang je maar niets doet als je het wachtwoord geraden hebt, of hoort deze meneer een SWAT-team door het raam te krijgen?

Arnoud

Censuur? De Nederlandse Staat klaagt een webhoster aan vanwege vermeend beledigende uitlatingen van een klant op diens website, meldt Tweakers. Nu kan belediging strafbaar zijn, zeker als het gaat om een ambtenaar in functie (art. 267 Strafrecht). En op deze site (die ik niet kon vonden, link per mail is welkom) werd volgens de klacht een belastinginspecteur beschuldigd van racisme. Een beschuldiging die bij een ambtenaar inderdaad best een strafbare belediging kan zijn.

Waarom dan de site aanpakken en niet eigenaar van de website? Dat blijkt nergens uit, maar ik zou me kunnen voorstellen dat die persoon lastig te vinden is en dat het dus eenvoudiger is om dan maar de webhoster aan te pakken.

Sinds 2004 staat in de wet (art. 6:196c lid 4 BW) dat een hosting provider pas aansprakelijk is als hij weet of redelijkerwijs behoort te weten dat hij iets host dat onrechtmatig is. En daarvoor is het niet genoeg dat iemand een brief stuurt met de beschuldiging dat iets onrechtmatig is. Bij de parlementaire behandeling heeft de minister uitgelegd dat het onmiskenbaar moet zijn dat de informatie onrechtmatig is.

Het probleem is dan alleen nog de vraag wat “onmiskenbaar” is. Bij kinderporno kom je daar nog wel uit, maar bij smaad zie ik werkelijk niet hoe een publicatie ooit onmiskenbaar smaad kan zijn. Smaad mag namelijk waar zijn (als het een leugen is, heet het laster). De vraag is of het in het algemeen belang was om het te zeggen. Maar dat is altijd een uitgebreide en lastige analyse. Ik kan me dan ook geen situatie voorstellen waarin een brief van wie dan ook er voor kan zorgen dat een provider een meningsuiting weg moet halen.

Overigens snap ik best dat mensen “censuur” roepen bij deze zaak, maar de Staat treedt hier op als werkgever van de belastinginspecteur die haar werknemer wil beschermen. En dat is een goede zaak. Vorig jaar november deed Vodafone hetzelfde toen weblog Frontaal Naakt een medewerkster met naam en toenaam door het slijk haalde.

Arnoud

Geenstijl lacht zich rot: op concurrerend forum Fok! is een grote ruzie aan de gang over het lezen van privéberichten door het beheer. Fok! biedt namelijk gebruikers de mogelijkheid om elkaar persoonlijke berichtjes te kunnen sturen (in forumjargon ook wel pb’s of pm’s geheten). In de policy belooft het beheer deze niet te lezen, maar dit zou toch gebeurd zijn. Als gevolg van de ruzie is nu het hele systeem van persoonlijke berichten platgegooid door het beheer.

Zoals gebruikelijk bij dit soort ruzies is het volstrekt onduidelijk wat er nu precies gebeurd is. Volgens twee Fok!kers merkten zij dat webadressen die zij alleen in privéberichten hadden uitgewisseld, waren opgevraagd door iemand anders. Dat was voor hen aanleiding om een honeypot op te zetten: men kondigde aan een kopie van de hele Fok!-site op te gaan zetten en alle bezoekers daarheen te halen. Als beheer van Fok! werkelijk meelas, dan zouden ze daar gegarandeerd actie op ondernemen natuurlijk.

De beheerder zelf meldt juist dat hij pas na tips van derden over deze kopiesite besloten had de privéberichten te gaan lezen van de vermoedelijke daders.

Het is juridisch echter zeer twijfelachtig om om wat voor reden dan ook berichten te lezen die bedoeld zijn voor privécommunicatie, zoals ik vorig jaar al schreef. Voor beheerders van forums kan het zelfs een strafbaar feit zijn om kennis te nemen van gegevens die gebruikers uitwisselen (art. 273d Wetboek van Strafrecht) wanneer hij daar geen toestemming voor heeft.

De beheerder beroept zich op de privacy-policy van dit systeem. Die vermeldt dat berichten gecodeerd zijn zodat beheerders ze niet zomaar kunnen lezen. Echter, “Misbruik van het systeem wordt niet getolereerd” en “In dit geval hebben de administrators de mogelijkheid om berichten te decoderen en alsnog in te zien”. Dat is een bindende voorwaarde, die de eventuele strafbaarheid van het inzien opzij zet.

De vraag is echter wel wat dan het “misbruik” is. Of het opzetten van een concurrentsite misbruik is, betwijfel ik. Zeker nu die site helemaal niet blijkt te bestaan, kun je moeilijk volhouden dat er sprake is van misbruik.

Arnoud

Microsoft daagt moeder wegens antichatprogramma, meldden o.a. Zibb en Spitsnieuws gisteren. Het gaat om een Nederlandse vrouw uit Hoofddorp die een programma bedacht tegen overmatig chatten en dat MSNLOCK noemde. Een beetje zieligdoenerij is dat “moeder” wel: de software wordt gewoon bedrijfsmatig verkocht.

De juridische discussie gaat over de vraag of de naam MSNLOCK voor deze software inbreuk is op het merk MSN. MSN is beschermd als naam voor o.a. chatdiensten, en een programma dat chatten beperkt of blokkeert is een daaraan verwante dienst. Het is niet zomaar toegestaan om een sterk gelijkende naam voor verwante diensten te gebruiken.

Toch zijn er wel uitzonderingen. De belangrijkste is dat het programma bestemd is om samen te werken met MSN. Aangeven wat de bestemming is van je product mag, ook als je daarbij andermans merknaam moet gebruiken. Je moet het dan alleen wel bij een zakelijke, neutrale vermelding houden. “Blokkeert MSN-gesprekken” mag je dus gerust bij je software vermelden. De bestemming onderdeel maken van de productnaam is twijfelachtig: mensen zullen dan snel denken dat dit een onderdeel is van het officiële product, en dan is er sprake van merkinbreuk.

Het voornaamste probleem hier lijkt te zijn dat de naam MSN werd gebruikt als synoniem voor “chatprogramma”. MSNLOCK blokkeert namelijk meer dan alleen de software van Microsoft. En Microsoft wil natuurlijk voorkomen dat ze haar merkrecht verliest omdat “MSN” een beschrijvende term wordt. Net zoals Google altijd ageert tegen “googelen” en Startpagina boos werd over Startpagina.tv.

Maar veel kans geef ik Microsoft niet. In Nederland is de term “msnen” al lang ingeburgerd als synoniem voor “chatten”. Dat maakt de beschermingsomvang van het merk MSN niet bepaald groot, waardoor Microsoft zal moeten tolereren dat mensen software maken die met onder andere MSN samenwerkt.

UPDATE: (23 april) zie ook mijn column Wanneer is msn’en merkinbreuk bij Marketingfacts.

Het programma is ondertussen omgedoopt naar Benzoy. In het ND verklaart de moeder dat het programma “absoluut niet te hacken” is. Het wachten is dus op de eerste twaalfjarige Tweaker die langer wil chatten dan zijn ouders toestaan.

Arnoud

Op het Rechtenforum vond ik een tijdje terug een erg interessante vraag over een verplichting tot verwijdering uit Google Cache. Een forumbeheerder kreeg een klacht over een vervelend bericht over een mevrouw X. Dat is verwijderd, maar nu vraagt mevrouw X ook:

Als u aan mijn verzoek hebt voldaan, dient u zo spoedig mogelijk de aanpassingen door te geven aan derden aan wie u mijn gegevens hebt verstrekt, dit is dus Google zodat hier ook mijn naam wordt verwijdert met betrekking tot de berichten die op jullie site zijn geplaatst.

Berichten die identificerende informatie over iemand bevatten, zijn persoonsgegevens. Op grond van de privacywetgeving kun je eisen dat zulke berichten over jouzelf worden verwijderd. Dit is door het College Bescherming Persoonsgegevens ook expliciet zo uitgewerkt in hun Richtsnoeren Privacy op Internet.

Artikel 36 van de Wet Bescherming Persoonsgegevens zegt dat je bij de ‘verwerker’ (het forumbeheer) een verzoek tot verwijdering kunt indienen. Die is dan verplicht de persoonsgegevens te verwijderen of het bericht te anonimiseren. Maar Google is niet de verwerker, en bovendien niet verbonden aan de verwerker. Kun je nu eisen dat het forumbeheer Google gaat verplichten iets weg te halen?

Artikel 38 WBP bepaalt dat iemand die op grond van artikel 36 iets heeft verwijderd (of aangepast) bij zijn eigen verwerking, verplicht is om derden die de persoonsgegevens hebben gekregen, hiervan op de hoogte te stellen. Het is dan aan die derden om iets te doen met de mededeling. De wet eist niet dat je Google moet dwingen de informatie te verwijderen, maar wel dat je je best doet om de informatie bij Google weg te krijgen.

Google heeft daarvoor de tool verwijderen van een URL. Deze biedt ook de mogelijkheid om aan te geven dat de eigenaar van de site de pagina gewijzigd heeft, zodat de pagina niet langer de informatie of afbeelding bevat die Google in haar cache heeft. Dan zal Google die pagina met voorrang opnieuw indexeren, of in ieder geval verwijderen.

Connie Breukhoven kreeg iets dergelijks vorig jaar voor elkaar bij de rechter: websites Witheet en ZIJonline moesten binnen vier dagen na het vonnis Google opdracht geven de berichten te verwijderen.

Arnoud