Voor mijn werk als onderzoeker wil ik nagaan hoe mensen over hun medicijngebruik praten op internetforums. Ik weet dat het verwerken van medische persoonsgegevens niet zomaar mag, maar hoe zit het in deze situatie? Het zijn immers openbare forums waar je zonder account op kunt. Geldt de privacywet dan ook nog?

Het is normaal inderdaad verboden om medische informatie te verwerken. De Wbp eist toestemming of een specifieke wettelijke grond (art. 21 Wbp). Dit is vanwege het karakter van deze persoonsgegevens strenger dan bij normale persoonsgegevens. Er is dus géén grond à la de “eigen dringende noodzaak” die normaal wel (bij uitzondering) kan gelden om persoonsgegevens zonder toestemming te gebruiken.

Maar als de gegevens “door de betrokkene duidelijk zelf openbaar zijn gemaakt”, dan geldt dit verbod niet (art. 23 Wbp). Als iemand dus zelf meldt diabetes te hebben, dan valt verwerking van dat gegeven dus niet meer onder dit verbod.

Dat wil echter niet zeggen dat het gegeven dus vogelvrij is. De hoofdregel van de Wbp dat er toestemming, overeenkomst of dringende noodzaak moet zijn, geldt ook nu. Wie geen toestemming heeft om medische feiten te publiceren en ook geen eigen dringende noodzaak kan aantonen, schendt alsnog de Wbp. Ik moet dus in deze blog nog steeds een reden hebben om te melden dat iemand diabetes heeft, ook al staat dat op zijn eigen openbare Facebook. (Die reden zal bij een blog de vrije meningsuiting zijn.)

Specifiek voor wetenschappelijk onderzoek of statistiek is er nog een uitzondering op dit verbod, namelijk wanneer:

a. het onderzoek een algemeen belang dient,

b. de verwerking voor het betreffende onderzoek of de betreffende statistiek noodzakelijk is,

c. het vragen van uitdrukkelijke toestemming onmogelijk blijkt of een onevenredige inspanning kost en

d. bij de uitvoering is voorzien in zodanige waarborgen dat de persoonlijke levenssfeer van de betrokkene niet onevenredig wordt geschaad.

Als een dergelijk onderzoek kan voldoen aan deze vier eisen, dan is het dus óók toegestaan. Het grote struikelblok hier zal denk ik lid c zijn: waarom kun je niet gewoon iedereen een berichtje sturen en vragen of je hun berichten mag gebruiken?

Het is overigens een misverstand dat wetenschappelijk of statistisch onderzoek altijd mag onder de privacywet. Het enige dat er over dergelijk onderzoek in de wet staat, is dat als de gegevens legaal verkregen zijn (dus toestemming, overeenkomst of noodzaak) je óók statistisch onderzoek mag doen op die gegevens (art. 9 lid 3 Wbp). Maar had je überhaupt geen grond om die gegevens te verwerken, dan is verwerken voor statistiek ook niet toegestaan.

Arnoud

Kent u onze boekenserie Deskundig en praktisch juridisch advies al? Webwinkels, hosting, software, security en meer!

Nadat de FTD dienst in 2011 zijn deuren moest sluiten (waar ik nog steeds van baal), gingen diverse partijen zelf vervangers, opvolgers en alternatieven opzetten. Eentje daarvan is FTD World, dat volgens de Whois uit Litouwen komt maar dat een Nederlands Postbanknummer op de site vermeldde waar donaties naartoe konden.

Brein stapte daarop met het Lycos/Pessers arrest naar de ING bank en eiste alle NAW-gegevens van de accounthouder. De naam van deze mevrouw stond op de site (“ten name van”) en de bank bevestigde dat zij houder was, plus dat zij iemand had gemachtigd – maar niet hoe die gemachtigde zou heten. En dat was voor Brein reden om de NAW-gegevens bij de rechter op te gaan eisen.

De rechtbank gaat daar niet in mee. Vereist voor afgifte is namelijk dat de tussenpersoon (provider) een essentiële rol inneemt:

Naar het oordeel van de voorzieningenrechter miskent Brein hiermee dat de rol van een internet service provider of hostingprovider wezenlijkanders is dan die van een bank als ING Bank. Een“piratenwebsite” kan niet bestaan zonder een provider. Er is geen sprake van onrechtmatigheid als de provider zijn diensten niet verricht. ING Bank verzorgt “slechts” het bankverkeer, hetgeen niet als conditio sine qua non heeft te gelden met betrekking tot (mogelijke) auteursrechtinbreuk.

Daar zit ergens wel wat in, een bank kan moeilijker bepalen of handelen van zijn klant onrechtmatig is als de enige link tussen bank en handelen is dat het bankrekeningnummer ergens op staat. Tegelijkertijd: in andere omstandigheden lijkt dat minder een probleem: XS4All heeft bar weinig te maken met de informatie op de site van TPB, dus waarom moet XS4All dan tóch overgaan tot een blokkade? En als je zegt, XS4All kan zó zien dat die informatie onrechtmatig is, waarom kan de ING Bank dan niet even snel zien dat de informatie op dat FTD World onrechtmatig is?

Brein gaat in hoger beroep. En ik vraag me af wat dit zou betekenen voor partijen die oplichters via de bank willen identificeren. Bij die transactie is de bank wél essentieel: zonder bankrekening geen betaling. Dus in die situatie zou de rol vergelijkbaar zijn met die van een ISP of hostingprovider, en dan zou de bank dus wél gegevens moeten afgeven?

Arnoud

Kent u onze boekenserie Deskundig en praktisch juridisch advies al? Webwinkels, hosting, software, security en meer!

Het idee achter dit wetsartikel (art. 126g Sv) is dat stelselmatig volgen of registeren van gedrag van burgers door de politie een ernstige inbreuk op de privacy is. Kernwoord is ‘stelselmatig’: dat een agent vijf minuten achter je aanrijdt of toevallig ziet dat je een winkel in gaat, is niet verboden. Maar zou hij datzelfde de gehele dag doen, of met een opschrijfboekje voor je deur zitten om vast te leggen wanneer je naar binnen en buiten gaat, dan wordt het een ander verhaal.

Je kunt je echter afvragen of volgen op Twitter valt onder het soort volgen of ‘gedrag waarnemen’ waar dit artikel op doelt. Het artikel is immers geschreven voor fysiek volgen en fysiek waarnemen, hoewel ook het aanwenden van een technisch hulpmiddel wordt genoemd “voor zover daarmee geen vertrouwelijke communicatie wordt opgenomen”. Dit zou een GPS-beacon kunnen zijn, maar volgens de letter is een browser met Twitter ook zo’n hulpmiddel. Het neemt immers geen vertrouwelijke communicatie op.

Het opnemen van telefoongesprekken of aanbrengen van afluisterapparatuur is elders geregeld, net als het vorderen van digitale communicatiegegevens of opgeslagen privégegevens bij de provider. Zo regelt artikel 126m het opnemen van “niet voor het publiek bestemde communicatie die plaatsvindt met gebruikmaking van de diensten van een aanbieder van een communicatiedienst”. Dat lijkt wetssystematisch beter passen bij het opvragen van Twitterberichten – hoewel daarbij natuurlijk sprake is van wél voor het publiek bestemde communicatie, mits de twitterstream niet op slot zit.

Maar eigenlijk is de vraag of het hóórt te mogen, interessanter dan of het wetstechnisch mag. Enerzijds lijkt er niets op tegen, want je vertelt vrijwillig de hele wereld wat je doet dus wat is het probleem dat een agent meeleest. Anderzijds heeft het wel degelijk z’n weerslag als je wéét dat een agent meeleest. Net zoals er niets op tegen is dat een agent aan het verkeer deelneemt maar je tóch anders auto rijdt als er een politiewagen achter je zit. Zeker als dat tien minuten lang het geval is. En bij deze blog tripelcheck ik ook mijn juridische bronnen want ik wéét dat er politie en Justitie meeleest (hoi Lodewijk).

Maar goed, dat is de echte wereld. Een agent in je nek is een stuk indringender dan in je logfile of Twittervolgerlijst. Plus, het is niet zo dat je Twitter op móet, terwijl je de straat wél op moet als je iets te eten wil krijgen. En je kunt bij online media genoeg maatregelen nemen om oom agent te ontlopen.

Een sterker tegenargument vind ik dat het zo wel érg makkelijk wordt om massaal iedereen te volgen en te zien wat men uitspookt. Volg heel Nederland, hang er een leuke logging en keyworddetectie aan en je hebt een prachtig systeem ter bestrijding van allerlei misdrijven. Dat kan toch ook weer niet de bedoeling zijn.

Of is het niet meer dan gewenning? Ik zou echt niet meer weten welke agenten nu meelezen hier, hoewel ik dat aan IP-adressen best kan zien (en er van opkeek toen ik het voor het eerst zag).

Arnoud

Kent u onze boekenserie Deskundig en praktisch juridisch advies al? Webwinkels, hosting, software, security en meer!

Ik was op zoek naar een studentenkamer en kwam Kamers in Nederland tegen. Daar staat letterlijk: “KamersInNederland.nl is bewust een afgesloten platform. Alleen door in te loggen met je Facebook-account kun je kamers bekijken en plaatsen. Op deze manier houden we oplichters buiten de deur.” Maar is dat wel legaal? Mag je bezoekers verplichten zich via Facebook aan te melden?

Bij commerciële diensten heb ik het nog niet vaak gezien, maar bij steeds meer forums en blogs zie ik de eis om je aan te melden via Facebook, Twitter en dergelijke diensten van derden.

Op zich is dat legaal. Je mag je dienstverlening aanbieden zoals jij dat wil, en als je wil dat mensen lid zijn van Facebook dan mag je dat als voorwaarde stellen. Het doet gek aan, want in het normale leven heb je zoiets eigenlijk nooit. Maar ik kan er niet echt een regel tegen bedenken.

De enige regel die in de buurt komt, is dit artikel op de grijze lijst:

dat de wederpartij verplicht tot het sluiten van een overeenkomst met de gebruiker of met een derde, tenzij dit, mede gelet op het verband van die overeenkomst met de in dit artikel bedoelde overeenkomst, redelijkerwijze van de wederpartij kan worden gevergd;

Het is dus verdacht om te eisen dat je klanten ook met iemand anders een contract moeten sluiten. Maar de grijze lijst is niet dwingend; je mag tegenbewijs leveren waarom het wél redelijk is. En de hint staat er al: er moet een redelijk verband zijn tussen de twee overeenkomsten. Bij kamerverhuur speelt het probleem van oplichters en malafide huurders en verhuurders. Door te eisen dat je je identiteit onthult, schrik je die partijen af. En verder kost het je weinig, behalve je privacy dan maar die is juridisch gezien toch nul euro waard.

Het voelt wel gek om zo expliciet Facebook aan oplichting te koppelen. De indruk lijkt een beetje te zijn “heb je geen Facebook, dan ben je een oplichter”. En dit vond ik wel dubieus:

We controleren Facebook profielen automatisch én handmatig. Bovendien helpen onze gebruikers een handje mee.

Dit vereist – net als het googelen van sollicitanten – apart toestemming. Die zou dus op de loginpagina geëist moeten worden, verstoppen op een pagina waar men niet per se langs komt is juridisch niet genoeg.

Verder kon ik het als jurist niet nalaten de Privacy Policy te lezen. Alleen, dat bleek naar de algemene voorwaarden te gaan waar niks over privacy in staat. Maar waar wél in staat dat er € 9.50 per maand plus bemiddelingsloon verschuldigd is, terwijl de dienst volgens de site gratis is (“omdat het kan“). Gevalletje copypasten bij de concurrent?

Arnoud

Kent u onze boekenserie Deskundig en praktisch juridisch advies al? Webwinkels, hosting, software, security en meer!

Softwarepatenten hebben in de VS altijd een wat merkwaardige status gehad. De wet noemt ze nergens expliciet, maar in de rechtspraak is er een soort-van mogelijkheid gecreërd voor octrooi op softwarezaken. (In Europa is er een verbod op “patent op software als zodanig”, bij mij nog steeds hoofdpijnoorzaak nummer 1.) En die mogelijkheid werd gigántisch uitgebuit tegen het einde van de jaren negentig, toen internet opkwam en ditzelfde Hof bepaalde dat óók business methods “software” waren. Toen veel van die internetbedrijfjes failliet gingen, kochten handige jongens de octrooien uit hun boedel en begonnen daarmee het patenttrollen, maar dat terzijde.

In principe is alles patenteerbaar, aldus de Supreme Court, behalve abstracte ideeën, natuurwetten en dergelijke. Het moet gaan om een nuttig en concreet ding of praktisch proces dat je patenteert. Dus niet “water kookt bij 100 graden” maar wel een stoommachine die hier gebruik van maakt. In de Mayo-uitspraak werd dit nog eens onderstreept.

Wat betekent dat nu voor software? Alle software is uiteindelijk wiskunde, dus je kunt zeggen dat alle software niet-patenteerbaar moet zijn. Maar het gaat in tegen het rechtsgevoel bij rechters om IE-houders al te makkelijk hun aanspraken te ontzeggen. In individuele gevallen een octrooi ongeldig verklaren oké, maar categorisch zeggen dat iets niet patenteerbaar is? Voor je het weet heb je het octrooisysteem afgeschaft, en dat moeten we niet willen, lijkt de gedachte een beetje te zijn. (Je ziet dat ook bij andere IE-rechten: afwijken van het principe “IE is goed, IE is nuttig, en mensen die IE beperken zijn éigenlijk gewoon piraten en dieven” gaat maar zeer moeizaam.)

De discussie komt al snel neer op, neem een bestaand apparaat en programmeer het met nieuwe software. Heb je dan een nieuw apparaat? Een discussie die in Nederland in de jaren tachtig al eens gevoerd is. Als je netwerkapparatuur voorziet van nieuwe firmware waardoor het netwerk beter functioneert, heb je dan een nieuw netwerkapparaat? Ja, vond onze Octrooiraad in 1985. Het moet niet uitmaken of je die verbetering realiseert met firmware of met een schakeling puur in hardware in een chip uitgevoerd.

Ook in Europa wordt ongeveer die lijn gevoerd, maar deze wordt daar wel doorgetrokken naar “de software op zich is óók patenteerbaar” en daar krijg ik dus hoofdpijn van want in de wet stáát gewoon “software als zodanig is niet patenteerbaar”. Het verschil tussen “op zich” en “als zodanig” heeft nog niemand me kunnen uitleggen.

Het Amerikaanse gerechtshof zegt nu dat software als zodanig niet patenteerbaar is. Een werkwijze die je met software uitvoert, wordt niet patenteerbaar enkel omdat je het met software doet. Ook de bekende truc om er “uitgevoerd op een computer met een monitor, muis, en andere dingen die pijn doen als ze op je tenen vallenhardware” bij te zetten, wordt nu verboden. En een patent op een computerprogramma op een opslagmedium (diezelfde truc) mag ook niet – als de originele methode zelf niet technisch is.

Wanneer dát nu het geval is, daar wordt het Hof niet helemaal wijs uit. En hoewel ze de claims uit deze specifieke patenten vrij eenvoudig afschieten als abstract, kan ik er niet uithalen wat voor criteria ze daar nu in abstracto (haha) voor hanteren. Wie maakt hier chocola van?

The concept of reducing settlement risk by facilitating a trade through third-party intermediation is an abstract idea because it is a “disembodied” concept, (…), a basic building block of human ingenuity, untethered from any real-world application. Standing alone, that abstract idea is not patent-eligible subject matter.

Iets is abstract omdat het niet concreet is, losgekoppeld van de echte wereld. Dat is volgens mij de definitie van ‘abstract’, dus dit is geen argumentatie waarmee je iets ongeldig mag verklaren.

Ja, softwarepatenten in de VS zijn een probleem – je krijgt ze te makkelijk, er wordt niet goed genoeg getoetst op inventiviteit en dat trollen begint écht vervelend te worden ondertussen. Maar met zo’n vage uitspraak als deze kom je ook niet verder. Geen octrooihouder die zich hierdoor laat weerhouden – eerst maar eens zien wat de Supreme Court zal zeggen, plus de meeste zaken worden tóch geschikt.

Arnoud

Kent u onze boekenserie Deskundig en praktisch juridisch advies al? Webwinkels, hosting, software, security en meer!

Als ik een portemonnee vind met bankpasjes en dergelijke erin, mag ik dan foto’s daarvan op Twitter (of Facebook) zetten met de vraag wie deze persoon kent? Zo hoop ik dat de portemonnee snel terugkomt bij de originele eigenaar.

Dit lijkt me niet echt verstandig. Door kaartnummers en dergelijke te publiceren, wordt identiteitsfraude wel een stuk gemakkelijker. Zeker in combinatie met een identiteitskaart, waar zelfs iemands BSN op staat.

Welke wet je ermee overtreedt, weet ik niet precies. Aanzetten tot identiteitsfraude (dus medeplichtigheid) lijkt het me niet, daarvoor is vereist dat je opzettelijk handelt. Door nalatigheid kun je geen medeplichtige zijn. Dit nog los van het feit dat het érg moeilijk te bewijzen zal zijn dat een oplichter met juist de gegevens uit die tweet de valse aankoop heeft gedaan.

Een schadeclaim van de betrokkene lijkt me om dezelfde reden moeilijk. Bewijs maar dat de schade door die tweet is veroorzaakt – en daarna graag ook even hoe hoog die schade was.

Heel formeel is het een verwerking van persoonsgegevens, je publiceert immers gegevens gerelateerd aan een persoon in een geautomatiseerd en doorzoekbaar systeem. Die publicatie rechtvaardigen moet dan met een beroep op de eigen dringende noodzaak, namelijk de betrokkene helpen zijn portemonnee terug te krijgen. Dat mag, maar dan mag je niet meer publiceren dan noodzakelijk is voor dat doel.

Praktisch gezien zou ik zeggen, houd het bij een voor- en achternaam en iets bijzonders (visakte, foto van kind met paarse krokodil) waar mensen zichzelf in kunnen herkennen. En je kunt zelfs de overige gegevens gebruiken ter controle dat degene die zich meldt, écht de eigenaar is.

Arnoud

Kent u onze boekenserie Deskundig en praktisch juridisch advies al? Webwinkels, hosting, software, security en meer!

Ik heb als freelance websitebouwer een site gebouwd voor een klant, met voetbalnieuws en een forum. Nu heb ik ze meerdere malen gevraagd hoe het zit met auteursrechten op wat ze me aanleverden, en het antwoord was altijd “maak je niet druk, je kunt dit gewoon gebruiken”. En je raadt het al: vorige week kregen ze een claim van een sportfotograaf wegens auteursrechtschending. Nu willen ze dat op mij verhalen, want ik heb die foto in het design verwerkt. Kan dat zomaar?

Dat lijkt me een kansloze claim als ze zelf het materiaal hebben aangeleverd.

Hoofdregel is dat degene die iets publiceert op internet, aansprakelijk is bij eventuele rechtenschendingen. Dat is hier dus de klant, want het is zijn site. Het maakt niet uit wie de site ontworpen heeft en hoe actief de klant bij dat ontwerpen betrokken was: het is zijn site dus zijn aansprakelijkheid.

Bij materiaal geplaatst door gebruikers kan hij wellicht de aansprakelijkheid afwijzen met een beroep op de vrijstelling voor dienstverleners, maar een automatisme is dat niet.

Heeft je ontwerper de foto aangeleverd, dan kun je als uitgever van de site de claim verhalen op de ontwerper. Het was immers uiteindelijk zijn fout dan. ‘Verhalen’ is niet hetzelfde als de fotograaf doorsturen naar de ontwerper; het is en blijft jouw site dus jouw aansprakelijkheid. Alleen wanneer je contractueel een vrijwaring hebt afgesproken, kun je de ontwerper met de rechtszaak opzadelen.

Hier heeft echter de opdrachtgever zélf de foto aangeleverd, en daar nota bene nog bij gezegd ook “dit kun je gebruiken”. Duidelijker dan dat kun je het niet krijgen: daar is die ontwerper niet voor aansprakelijk te stellen. Hooguit als er specifieke dingen waren gezegd, zoals “deze foto mag met naamsvermelding fotograaf opgenomen in galerij 3″ en dat de foto dan ineens als achtergrond op de gehele site opduikt zonder naamsvermelding.

Een lastige blijft de situatie waarin de opdrachtgever foto’s aanlevert zonder iets te zeggen over rechten. Moet je dan gaan navragen als ontwerper, of mag je er stilzwijgend vanuit gaan dat hij de rechten geregeld zal hebben? Bij sommige onderwerpen (zoals sport of celebrities) wéét je dat daar regelmatig foto’s worden gebruikt zonder licentie. Maar moet je dan navraag doen bij je klant?

Arnoud

Kent u onze boekenserie Deskundig en praktisch juridisch advies al? Webwinkels, hosting, software, security en meer!

Mijn zoon zit in groep 8 van de basisschool en is al een paar jaar heel intensief bezig met computers. Hij is er echt goed in, maar haalt daardoor ook dingen uit die hem in de problemen brengen. Hij hackt het wachtwoord van de docent en zet rare plaatjes in een presentatie, bijvoorbeeld. En nu zitten vriendjes hem te pushen om daarmee door te gaan, bv. door Facebook van klasgenootjes te hacken. Wanneer wordt dat strafbaar, en wat kan ik doen?

Raden of achterhalen van wachtwoorden is eigenlijk altijd strafbaar als computervredebreuk. Deze jongen komt dus echt in problemen terecht als hij hiermee doorgaat. Als hij nog geen twaalf is, dan is hij nu niet strafbaar. Vanaf twaalf jaar begint het strafrecht te lopen, en tot je achttiende val je dan onder het jeugdstrafrecht.

Meestal wordt er bij wetsovertredingen door minderjarigen geprobeerd deze bij bureau HALT een alternatieve straf te laten uitvoeren. Alleen, de regels rond HALT zijn niet geschreven voor computercriminaliteit. Naar HALT mag je (op basis van vrijwilligheid) bij wat ik maar even vandalisme en kleine criminaliteit (winkeldiefstal of oplichting tot € 150 euro) noem. Computervredebreuk staat niet in het Besluit aanwijzing Halt-feiten (ex art. 77e Strafrecht).

Er is een restartikel voor “feiten van geringe ernst” met weinig schade waarbij “een pedagogische benadering” passend is. Met toestemming van de officier van justitie mag dan alsnog een Halt-aanpak worden gekozen. Halt noemt zelf hacken bij digitaal pesten als voorbeeld uit die restcategorie.

Ik heb alleen geen idee wat de gepaste “pedagogische benadering” is bij een twaalfjarige zuivere hacker. Pesten via Hyveshacken is één ding, het smartboard van de school automatisch New Kids Turbo laten vertonen iets heel anders. (En inbreken in het cijfersysteem van je middelbare school nóg weer iets anders.) Wat zouden jullie aanraden? Doe hem op een hackersclub?

Arnoud

Kent u onze boekenserie Deskundig en praktisch juridisch advies al? Webwinkels, hosting, software, security en meer!

Laatst had ik een internetbestelling op het werk laten bezorgen. Toen ik deze wilde retourneren, weigerde de winkel dat omdat de bestelling zakelijk zou zijn! Maar ik heb hem privé betaald en hij was ook niet voor het werk, mogen zij dit dan toch zo zeggen?

Alleen wanneer je als consument een koop op afstand (internetkoop) doet, heb je recht op een retournering binnen zeven werkdagen. Een bedrijf heeft dit niet – tenzij de algemene voorwaarden van de winkel opzettelijk of per ongeluk vermelden van wel. (Of mogelijk via reflexwerking.)

De bewijslast dát sprake is van een consumentenkoop, ligt bij de consument. Hij moet dus aantonen dat het bedrijf niets met de transactie zelf te maken heeft. En dat is toch lastig als de bedrijfsnaam in het bestelproces opduikt. Koop je als consument “op de zaak” dan is formeel sprake van een zakelijke bestelling. Immers het bedrijf is dan de contractspartij, voor zover de winkel kan zien.

Bij een bestelling op eigen naam maar met adressering het bedrijf maak je het dus twijfelachtig wat de bedoeling was, zeker als je bij “Naam klant” de bedrijfsnaam invult en pas ergens bij “opmerkingen” de tekst “ter attentie van Jan de Vries, kamer 3A” invult. Mijn advies is dan ook om, als dat kan, het privéadres op te geven als klantadres/factuuradres, en dan “afwijkend bezorgadres” te kiezen met daar het bedrijf. Dan is het duidelijk dat je privé koopt en het alleen laat bezorgen.

Arnoud

Kent u onze boekenserie Deskundig en praktisch juridisch advies al? Webwinkels, hosting, software, security en meer!

ESEA biedt toegang tot online spellen, onder meer Counter Strike. Om valsspelen te voorkomen, moet je een anticheatprogramma draaien. Dat programma draait continu en kan niet uitgeschakeld worden, natuurlijk. Maar het is niet de bedoeling dat die software op de achtergrond ondertussen naar Bitcoins gaat zoeken. Zeker niet omdat dat proces nogal arbeidsintensief is, en daarmee tot een zware belasting van CPU of grafische kaart kan leiden. Ja, grafische kaart – die blijken efficiënter in het rekenwerk dat nodig is om Bitcoins te vinden.

Die zware belasting kan zó zwaar zijn dat je apparatuur er eerder van stuk gaat. Oftewel, concrete, hardwarematige schade is mogelijk door dit geintje. Wat is hieraan te doen?

Strafrechtelijk niet heel veel, vrees ik. Natuurlijk, er is een artikel dat het “verspreiden of ter beschikking stellen van programma’s die bestemd zijn om schade aan te richten in een geautomatiseerd werk” strafbaar stelt. Maar is zo’n bitcoin mining trojan bestemd om schade aan te richten? Dat lijkt me niet, want het is de bedoeling dat je PC goed blijft werken en braaf bitcoins zoekt. Met “bestemd” wordt echt gedoeld op virussen die dingen gaan wissen of kapotmaken, of de werking van je PC opzettelijk onderuit trekken.

De cookiewet biedt misschien een uitweg: het is immers verboden om zonder voorafgaande specifieke toestemming data (cookies, maar ook plugins, browserbalken, add-ons, updates et cetera) via een netwerk op iemands PC te parkeren. En die bitcoinminer is er vast niet via een USB-stick op gekomen. In Nederland zou de OPTA dus een boete kunnen opleggen.

Civielrechtelijk kun je natuurlijk een schadeclaim indienen bij ESEA: zij hebben je grafische kaart overbelast, dat is concrete schade dus die kun je verhalen. Alleen: je moet wél bewijzen dat de schade het directe gevolg was van de bitcoinzoekactie van het bedrijf. Dus niet, je gamet toch al zo veel dus hij zou toch een dezer dagen wel de geest geven. En hoe bewijs je dat?

Arnoud

Kent u onze boekenserie Deskundig en praktisch juridisch advies al? Webwinkels, hosting, software, security en meer!