Internetrecht door Arnoud Engelfriet

Virtuele goederen, zoals de meubi’s bij Habbo en de amuletten in Runescape, kun je stelen. Dat wisten we al een tijdje maar de Hoge Raad geeft er nu definitief haar zegen aan. En op dezelfde dag bepaalt ze ook dat je belminuten en sms’jes kunt stelen. En dát was voor mij in ieder geval nieuws.

Om van diefstal te kunnen spreken, moet er een “goed” zijn, oftewel een voor menselijke beheersing vatbaar tastbaar iets dat kan worden weggenomen. Elektriciteit valt onder die definitie (prima te hanteren met rubber handschoenen immers), maar computergegevens niet (kopiëren is geen stelen, hoi Tim).

Op het eerste gezicht leek het dan ook gek dat bij een Habbo-zaak diefstal met geweld, oftewel beroving, ten laste werd gelegd. Twee jongens hadden een ander met een mes gedwongen zijn meubi’s af te geven in het spel namelijk. Maar zijn die meubi’s wel te stelen? Het zijn toch computergegevens in de servers van Habbo? Idem voor een Runescape-zaak met ongeveer dezelfde omstandigheden.

Ja, die dingen kun je stelen, aldus de rechtbank in beide zaken. Zulke virtuele goederen zijn gemáákt om te worden verplaatst en weggegeven. Daarmee zit de mogelijkheid van stelen (wegnemen) er in gebouwd. Even IT-technisch: wanneer een systeem alleen de atomaire actie “verplaatsen” kent en niet “kopiëren” dan is het diefstal de verplaatsbare objecten te verplaatsen zonder toestemming van hun eigenaar.

Voor virtuele goederen kan ik dat nog wel volgen, maar in een ander arrest bepaalde de Hoge Raad hetzelfde voor belminuten en sms’jes. In die zaak had een man een simkaart van een bedrijf weten te verkrijgen en was hij daarmee gaan bellen, wat opviel toen de rekening van € 2.645,39 binnenkwam. Hij werd vervolgd, en wel voor diefstal - nee, niet van de sim maar van de belminuten en de 100 euro aan sms’jes.

Volgens het gerechtshof was er inderdaad sprake van diefstal, omdat belminuten en sms’jes gewoon ‘goederen’ zijn die je kunt wegnemen. Immers, wie ze gebruikt, maakt ze op, en ze vertegenwoordigen nog waarde ook. En “gelet op de functie die belminuten en sms-berichten in het maatschappelijke verkeer vertegenwoordigen” moeten we ze dus gewoon als goederen zien. De Hoge Raad is het daarmee eens, want

Ook een niet-stoffelijk object kan [onder ’steelbaar goed’] worden begrepen, mits het gaat om een object dat naar zijn aard geschikt is om aan de feitelijke heerschappij van een ander te worden onttrokken.

En tsja, de mogelijkheid een sms-bericht te versturen (want daar komt het op neer) voldoet aan die definitie. Dat object, die teller in de databank bij de telecomprovider, ben je kwijt als het aangepast wordt in die databank. Sjonge.

Mijn oude prof aan de TU Eindhoven zei ooit “het verschil tussen hardware en software is dat hardware pijn doet als het op je voet valt”. Dat vond ik altijd wel een mooi criterium, ook voor de vraag of iets te stelen is. Maar juridisch gezien klopt dat niet meer; ook niet-tastbare zaken zijn dus prima te stelen als hun functie is dat ze kunnen worden verbruikt of verplaatst. Dataverkeer zal er zeker onder vallen nu, en credits in een spel ook.

Wie weet er nog meer dingen die volgens dit criterium kunnen worden gestolen?

Arnoud

Een lezer wees me op een discussie bij Fok! over ebooks en DRM daarop:

volgens mij mag je best je eigen drm eraf slopen. weet niet of FOK daar posts over wilt zien ivm de discussie die kan ontstaan, maar drm is vaak reteirritant.

Dat het irritant is, klopt zonder meer. Maar dat je het eraf mag slopen, nee, dat niet.

De Auteurswet kent speciale artikelen over het omzeilen of uitschakelen van kopieerbeveiligingen. Het belangrijkste is artikel 29a: het bewust omzeilen van “doeltreffende technische voorzieningen” is onrechtmatig, oftewel kan leiden tot schadeclaims van de rechthebbende. (Het is niet strafbaar en je krijgt dus geen boetes of celstraf.)

Er is bij de invoering van dit wetsartikel niet heel uitgebreid ingegaan op wanneer een beveiliging nu “doeltreffend” is. De minister liet het bij de opmerking dat het “uiteindelijk aan de rechter” is om dit te toetsen. Het proefschrift van Kamiel Koelman over auteursrecht en technische voorzieningen (PDF, 1,5MB, pagina 88 e.v.) gaat er iets dieper op in maar begint al meteen met “Het is echter onduidelijk wat ermee wordt bedoeld”.

Tot nu toe is er in Europa één vonnis geweest over dit onderwerp, en wel in Finland. De Finse rechter oordeelde toen dat de CSS beveiliging van DVD’s niet doeltreffend was, omdat de crack zó wijd en zijd bekend was dat iedereen deze meteen kon downloaden en toepassen.

Bij ebooks is het meestal niet zó eenvoudig om die beveiligingen eraf te halen, dus ik denk dat de rechter die best nog eens “doeltreffend” zou kunnen vinden.

Natuurlijk heb je het recht om kopieën voor eigen gebruik te maken van werk. Maar a) dat geldt niet voor boeken en b) artikel 29a maakt geen uitzondering voor het geval dat je dat recht zou willen uitoefenen. Oftewel, het blijft onrechtmatig om een doeltreffende beveiliging te omzeilen als je dat doet voor een legitiem doel.

De wet heeft een mogelijkheid voor de minister om nadere maatregelen te stellen als blijkt dat er daadwerkelijk problemen ontstaan met dit verbod. Daarmee kan de minister rechthebbenden verplichten aan de gebruiker van een werk middelen te verschaffen om van de wettelijke auteursrechtbeperkingen te profiteren, ondanks de beveiliging.

Ik zie het niet snel gebeuren dat zo’n verplichting er komt, want dit is een té obscuur probleem. Een klein stukje citeren uit een ebook kun je ook door overtypen, en dat is zo ongeveer de enige auteursrechtelijke uitzondering die Kamerleden direct zullen snappen. De meeste noobs hebben geen echte last van DRM, want ze denken dat dat gewoon zo hoort.

Arnoud

Een hele tijd geleden hadden we voor ICTRecht een Customer Relationship Management-systeem, oftewel een klantenadministratie nodig. Ik heb toen wat offertes opgevraagd, en dat hebben we geweten. Wát een gebral en loze marketingtaal krijg je dan. Eéntje maakte het helemaal mooi: graag wilde hij in een verkennend gesprek de mogelijkheden inventariseren en gelijk even ons datacenter inspecteren zodat hij kon bepalen welke server het beste geplaatst kon worden.

Eh, wat. Een server? Een datacenter? Ik heb een kastje onder de printer waar onze router in staat, bedoelt u dat? Niet helemaal: meneer had inderdaad in het hoofd een server te komen hangen in een datacenter, uiteraard met de optie van full managed hosting en wat al niet meer. Toen ik zei dat ik het liever gewoon in een webbased systeem wilde doen, reageerde hij met een verontwaardigde snuif: meneer u weet toch dat dat onveilig is? Hackers, wormen en andere rare figuren.

Die houding kom ik vaker tegen als het gaat om persoonsgegevens of gevoelige klantdata. Zodra iemand data ergens online wil opslaan reageert er meteen iemand met OMGWTFWBP en blijkt die data helemaal niet naar buiten te mogen. Beveiliging is cruciaal, de kans op aansprakelijkheid is aanwezig en de USA PATRIOT ACT is er natuurlijk ook nog.

Ik heb het allemaal al eens gehoord, maar wat niemand me kan uitleggen: waarom is het slimmer dat een klein kantoortje met (toen nog) zeven man personeel en een tweesterrenslotje in een bedrijfsverzamelpand een server neerzet, dan dat ze de opslag en verwerking laten doen door een partij die daar haar core business van maakt?

Onze klantdata staat bij 37signals in de VS en daar voel ik me prima en legaal bij. Ze hebben zelfs (op ons verzoek) een bewerkersovereenkomst/safeharborcontract getekend, zoals de wet vereist. En ik ga er zonder meer vanuit dat een bedrijf als dit veel en veel meer deskundige aandacht kan geven aan de beveiliging van wat ik daar opsla dan ik zelf. Dus waarom zou ik dat zelf moeten doen?

Arnoud

Wat heeft een A-klasse IP-adres te maken met cyberstalking? Ik dacht dat IP-adresklassen waren afgeschaft, maar de term dook ineens op in een recent arrest waarbij de vraag was of vanaf een bepaald IP-adres mails waren verstuurd.

Het ging om een geval van cyberstalking, via sms en e-mail, waarbij op zeker moment werd gedreigd naaktfoto’s op internet te zetten van het slachtoffer. Ook werd het bedrijf van het slachtoffer negatief gerecenseerd op diverse sites en werd op Kinky een seksadvertentie (seksuele massages) gezet met haar telefoonnummer erbij. Maar het was niet alleen cyber: ook het raam van haar woning werd op zeker moment beklad met teksten.

De verdachte werd veroordeeld maar ging in hoger beroep, onder meer met de klacht dat de rechtbank ten onrechte had bepaald dat de berichten door de verdachte waren geplaatst, omdat alleen van het afzenderipadres was uitgegaan. En dat zou nog eens van Hotmailservers zijn geweest en niet de PC van de verdachte.

In het arrest reageert het Hof daar als volgt op:

De rechtbank is er terecht van uitgegaan dat het een feit van algemene bekendheid is dat IP-adressen unieke adressen zijn, die zijn te herleiden tot individuele computers of routers. Dat geldt ook als een IP-adres behoort tot de zogenaamde A-klasse (waarvoor slechts de eerste cijfers indicatief zijn) en (met name) als sprake is van een statisch IP-adres. Feitelijk onjuist is dus de bewering dat een statisch IP-adres dat tot de A-klasse behoort in zijn geheel slechts naar een mailserver of provider kan worden herleid.

Hoe dit nu precies op de klacht ingaat, begrijp ik niet. Sterker nog, ik begrijp niet goed wat A-klassen te maken hebben met de vraag of het IP-adres van de verdachte was, of beter gezegd of de verdachte achter de PC zat en de mails verstuurde. Misschien dat men hier wat details uit de exacte klacht wegliet. In ieder geval is het lastig dat het IP-adres is geanonimiseerd in het vonnis.

Wel juist is het volgende:

vormen de negatieve berichten waar [geïntimeerde] zich op beroept in onderling verband gelezen - en met name ook gelezen in het licht van de onbestreden mails die [appellant] in ieder geval zelf heeft gestuurd - naar het oordeel van het hof sterke aanwijzingen voor het gelijk van [geïntimeerde]. Elke redelijke twijfel daarover is in dit hoger beroep inmiddels weggenomen door de berichten die na het bestreden vonnis zijn verstuurd onder de naam [naam 4]. Zowel het taalgebruik als de inhoud van die berichten rechtvaardigt voorshands de conclusie dat deze van [appellant] afkomstig zijn.

De inhoud en aard van de berichten zijn natuurlijk ook prima bewijs dat het de verdachte moet zijn geweest die ze verstuurde. Natuurlijk, in theorie is er van alles denkbaar met überhackers die iemand te grazen willen nemen, maar dat is bepaald onwaarschijnlijk. En uiterst onwaarschijnlijke opties mag een rechtbank buiten beschouwing laten.

Iemand enig idee waar de verdachte heen zou hebben gewild met het klasse-A-argument?

Arnoud

Met excuses voor de vele afko’s: RIPE start een proefproces tegen het Openbaar Ministerie (OM), het Korps Landelijke Politiediensten (KLPD) en het Team High Tech Crime (THTC) om vast te stellen of het politiebevel tot bevriezing van IP-ranges wel rechtmatig en wettig is. RIPE moest immers vier IP-ranges blokkeren maar niemand wist waarom. Ik speculeerde artikel 126ni Strafvordering maar dat was het niet: het was gewoon artikel 2 Politiewet, de “daadwerkelijke handhaving van de rechtsorde”. En RIPE stapt nu naar de rechter omdat je niet zomaar met dat kapstokartikel zo’n vérgaand bevel kunt instellen.

Artikel 2 Politiewet omschrijft in algemene bewoordingen de taak van de politie: zorgen voor de daadwerkelijke handhaving van de rechtsorde en het verlenen van hulp aan hen die deze behoeven. Dit alles “in ondergeschiktheid aan het bevoegde gezag en in overeenstemming met de geldende rechtsregels”. Op grond van dit artikel mag de politie ambtsbevelen (artikel 184 Strafrecht) geven, en wie die niet opvolgt is strafbaar.

Alleen: dan moet dat bevel wel gegeven mogen worden op grond van de Politiewet. En dat is waar hier de schoen wringt. Uitgangspunt is namelijk dat de politie alleen mag vorderen op grond van een expliciete grondslag, zoals artikel 126ni Strafvordering, die regelt wat er mag worden gevorderd, wie daarover beslist en hoe ver de vordering kan gaan. Daarmee is artikel 2 Politiewet in principe géén grondslag voor vorderingen. Zo vond de HR in 2009 (en evenzo in 2008) dat ontruiming van een kraakpand niet op dit artikel mag worden gebaseerd. Bij een onbevoegd gegeven bevel kan de politie (de staat) aansprakelijk worden gesteld voor onrechtmatige daad.

Natuurlijk (het is immers recht) is daar een uitzondering op, zo blijkt uit de rechtspraak van de Hoge Raad. Als een bevel slechts een beperkte inbreuk op grondrechten maakt, dan mag het ook op grond van de Politiewet worden gegeven. Iemand wegsturen die op straat zich hinderlijk gedraagt, is bijvoorbeeld mogelijk onder deze wet.

Het argument van de politie zal hier dus zijn dat een bevel tot bevriezen van iemands IP-adres ook slechts een beperkte inbreuk op de grondrechten van de betrokken personen (en van RIPE) betreft. Je wordt niet echt in je privacy of persoonlijke levenssfeer geraakt, je raakt geen eigendom kwijt (ook een grondrecht), je vrije meningsuiting wordt niet gesmoord, je kunt alleen tijdelijk even je IP-ranges niet aanpassen.

Dat zou ik echter wat al te makkelijk vinden. We hébben dat artikel 126ni Strafvordering dat specifiek regelt dat bij ernstige misdrijven waarbij dat dringend noodzakelijk is, de officier kan bevelen dat bepaalde gegevens bevroren moeten worden. Het is dan wel erg raar dat je bij een minder ernstig misdrijf als eenvoudig agent gewoon artikel 2 Politiewet kunt inroepen. Wat is dan immers nog het nut van dit ni-artikel? Waarom bij die ernstige zaken niet ook gewoon artikel 2?

Arnoud

Een lezer vroeg me:

Na Lektober zijn we bij ons op het werk vol op de beveiliging gesprongen. Alle bestanden met persoonsgegevens zijn opgeschoond en alle systemen zijn maximaal beveiligd. Volgens mij net iets té ver: ik mag onze software niet meer testen met ‘echte’ persoonsgegevens, alleen met een bestand met een paar honderd nepadressen. Dit omdat testen met persoonsgegevens verboden zou zijn onder de Wet bescherming persoonsgegevens. Is dat echt zo?

De Wet bescherming persoonsgegevens (Wbp) verbiedt niet letterlijk het testen met productiegegevens. Die zegt alleen dat je de gegevens mag gebruiken voor het doel waarvoor je ze krijgt, en voor doelen die in duidelijk direct verband daarmee staan (art. 8 en 9 Wbp). Het testen van de omgeving waarbinnen je persoonsgegevens wilt gaan gebruiken, lijkt mij zonder meer voldoende verband te hebben met het daadwerkelijk (productie) gebruik van die omgeving.

De norm “Achtergrondstudies en Verkenningen Nr. 23” van het Cbp is streng:

Voor het testen van informatiesystemen met persoonsgegevens mogen uitsluitend gegevens van fictieve personen gebruikt worden.

Deze norm is niet wettelijk bindend. Je moet deze norm zien als “zo doe je het goed” maar daaruit volgt niet “als je wat anders doet, zit je fout”. Als je wat anders doet, begeef je je in onontgonnen terrein. Dat mag, zolang je zelf dan maar uiterst goed oppast wat je doet. Een eigen norm daarvoor maken is geen slecht idee dan. Ik vond de Richtlijn gebruik productiegegevens uit alweer 2005 van het Bureau Keteninformatie Werk en Inkomen waar nuttige tips in staan.

Testen met echte persoonsgegevens moet wel nodig zijn, oftewel het gebruik van die testgegevens zou niet voldoende moeten zijn. Om bijvoorbeeld te kijken of de interface voor het oproepen van klantgegevens of bestellingen prettig werkt (een usabilitytest), kun je prima volstaan met fictieve gegevens. Een stresstest op de performance kan echter niet met honderd nepadressen als je in productie met honderdduizend echte adressen gaat werken.

Natuurlijk moet je altijd adequate beveiliging (art. 13 Wbp) hanteren, dus ook in je testomgeving. De testomgeving moet dus op dezelfde wijze zijn afgeschermd voor ongeautoriseerde toegang en gebruik. De personen die het systeem testen, moeten aan dezelfde geheimhouding en audits onderworpen zijn als de personen die het productiesysteem beheren. Dat wordt nog wel eens vergeten - men huurt een IT-er in om een databasekoppeling te bouwen en denkt dan niet dat daarbij geheimhouding nodig is. Maar als hij dan een test met productiegegevens gaat doen, is dat wel degelijk wettelijk verplicht.

Het is jammer dat sommige bedrijven zo doorslaan meteen: van totale laksheid naar OMGWTFWBP alles-verbieden-volstrekte-geheimhouding-niets-mag-meer. Even rustig ademhalen graag voor je zulke beleidsregels opstelt.

Arnoud

De Nederlandse politie heeft een cruciale rol gespeeld in het oprollen van een groot malafide DNS-netwerk, meldde Webwereld gisteren. RIPE verklaart een bevel te hebben gehad om van 8 november tot 22 maart volgend jaar deze DNS entriesIP-adressen niet te mogen wijzigen. Hiermee heeft het KLPD zo te lezen weer een botnet overgenomen, want Ronald Prins van Fox-IT meldt bij Webwereld: “De DNS-servers draaiden op bepaalde ip-adressen. Nu zijn die vervangen door servers van de politie zelf.”

In Nederland geldt de regel dat de politie alleen bevelen mag geven als die gebaseerd zijn op een bevoegdheid uit het wetboek van strafrecht. Men mag dus niet zomaar gegevens vorderen, vernietigen of aftappen. Voor elke vordering moet een grondslag aangewezen zijn, en natuurlijk moet aan de eisen uit de wet voldaan zijn. Vragen staat dus niet vrij voor de politie.

Wat is hier dan de wettelijke grondslag? Het KLPD is zeer creatief in het toepassen van de wet bij ICT-problemen. Op zich lovenswaardig, zolang ze maar binnen de wet blijven. En het zou leuk zijn als het KLPD in haar persberichten dan ook zou melden welk wetsartikel ze gebruiken. Nu moeten we maar raden wat het zou kunnen zijn.

Ik kan twee opties bedenken:

1. Artikel 126k: betreden van een besloten plaats om daar “sporen veilig te stellen”. In dit geval zijn de DNS entries dan de sporen, en het bevriezen door RIPE is een vorm van veiligstellen. Dat voelt niet helemaal kloppend, dit artikel is bedoeld om een plaats te betreden die met een misdrijf te maken heeft.
2. Artikel 126ni (ni!): het bewaren en beschikbaar houden van gegevens “waarvan redelijkerwijs kan worden aangenomen dat zij in het bijzonder vatbaar zijn voor verlies of wijziging”. DNS entries voldoen daar wel aan. Alleen, men mag ze hooguit 90 dagen bewaren en 8 november + 90 dagen is bij mij geen 22 maart. Verlengen is mogelijk, zo staat in het laatste lid, maar om nu meteen vanaf dag 1 er een verlenging tegenaan te gooien?

Eigenlijk zouden dit soort zaken eens moeten worden aangevochten bij de rechter, zodat we jurisprudentie krijgen over welke cyberbevoegdheden de politie heeft. Maar ja, een botnetbeheerder gaat echt niet naar Nederland komen om te procederen over artikel 126ni Wetboek van Strafrecht.

Arnoud

Op opensource.com vond ik (via) een mooi overzicht van gefaalde DRM systemen, van Realnetworks/Rhapsody tot Apple, Microsoft PlaysForSure en Nokia. Aanleiding was de aankondiging van Rhapsody dat iedereen voor 7 november zijn DRM-beveiligde muziek moet omzetten naar een ander formaat, omdat anders ze niet meer af te spelen zijn op die datum.

Het artikel laat de geschiedenis van DRM beginnen in 1998, toen de Digital Millennium Copyright Act werd aangenomen en het omzeilen of kraken van DRM verboden werd. Het idee van DRM is eigenlijk nog ouder dan dat, en niet alleen omdat de DMCA afkomstig is uit het WIPO Auteursrechtenverdrag uit 1996. In datzelfde jaar publiceerde Mark Stefik van Parc de paper Letting loose the light (PDF, 2,5MB) waarin hij het idee beschreef waar DRM op gebaseerd is. (Stefik was later oprichter van Intertrust, een firma die DRM technologie ontwikkelde. Intertrust werd in 2002 gekocht door Philips en ja ik werkte daar toen.)

Stefiks artikel was een reactie op John Perry Barlow die schreef dat door het eenvoudig en perfect kopiëren dat het internet mogelijk maakt, het idee van auteursrecht ondergraven wordt. Auteursrecht is gebaseerd op de aanname dat je werken per stuk kunt verkopen, en zo kunt afrekenen per stuk ook. Het elegante van dit systeem is dat het geen kwaliteitstoets nodig heeft, in tegenstelling tot systemen waarbij de overheid subsidie geeft aan bepaalde kunstenaars (wie kies je? welke werken koop je aan?) of waarbij je als maker een mecenas moet zoeken die je werk hopelijk leuk genoeg geeft. Met het auteursrecht in deze vorm beslist de markt. Als veel mensen je werk kopen, dan verdien je veel geld. Maak je werk waar niemand op zit te wachten, dan krijg je geen inkomsten en dan moet je maar wat anders gaan doen. Zo ontstaat er een markt voor werken waar iedere auteur/maker zich op kan begeven en via zijn auteursrecht kan proberen zijn of haar boterham te verdienen.

Die aanname komt echter flink onder druk wanneer iedereen onbeperkt kan kopiëren zonder enige kwaliteitsverlies. Je kunt werken wel “bottelen” zoals Barlow het noemt, maar alles loopt meteen weg door het elektronisch vergiet. Stefiks idee was dan ook om de onbeperkte waterval die het internet is, weer om te zetten in een grote verzameling flessen. Hij introduceerde daarvoor het concept van “trusted systems”, systemen die de regels gezet door auteursrechthebbenden netjes naleven en weigeren acties uit te voeren die niet gelicentieerd zijn. Met zulke systemen zou de elektronische handel in flessen, pardon werken op gang moeten komen. Je hoeft als auteur niet meer bang te zijn dat je werk wordt gekopieerd, en daarmee zou je de markt moeten willen betreden.

Het systeem werd ook wel superdistributie genoemd, want distributie en beschikbaarstellen stond centraal. Iedereen mocht werk kopiëren, graag zelfs. Alleen: wie het werk wilde gebruiken, moest gaan betalen. Stefik introduceerde daarvoor het concept van een rechtenbeschrijving, waarin de rechten zouden worden vastgelegd die je voor een werk kon kopen. Daarmee is in theorie een heel flexibel model mogelijk. Wil je heel weinig, bijvoorbeeld één keer kijken, dan betaal je weinig en het rechtensysteem zorgt ervoor dat je ook niet meer kunt dan dat. Wil je veel, bijvoorbeeld onbeperkt kijken én delen met vrienden, dan betaal je meer en dan wordt dat ook allemaal mogelijk. Wettelijke uitzonderingen zoals citaatrecht zouden kunnen worden voorgeprogrammeerd binnen zekere grenzen.

Helaas bleek de praktijk weerbarstig: de industrie zag dit model en paste het toe als “u mag heel weinig én u betaalt heel veel”. Geen enkel DRM-systeem op de markt heeft ooit de consument écht de mogelijkheid geboden flexibel rechten te kopen, of zelfs maar om meer te kopen dan een tijdelijk gebruiksrecht voor een lageresolutieversie op de PC.

In 1999 werd Napster opgericht. Deze bestandsdeeldienst had een goede positie om een DRM-achtige oplossing te introduceren. Haar centrale server maakte het mogelijk om alle uitwisseling in de gaten te houden, en dan af te rekenen en/of beperkingen te introduceren à la het systeem van Stefik. De muziekindustrie zag Napster echter als niets meer dan piraterij en procedeerde de club kapot.

In Nederland speelde iets later ongeveer hetzelfde bij Kazaa. Dit bedrijf was ook in de gelegenheid om te monitoren wat mensen up- en downloadden, en was bereid daar een vergoeding over af te dragen aan Buma/Stemra. Dit werd echter op het laatste moment onmogelijk gemaakt doordat Kazaa in de VS werd aangeklaagd. Juridische stappen tegen B/S leidden wel tot een Hoge Raad-arrest dat de software legaal was maar niet tot een gelegaliseerde uitwisselingsdienst.

Daarmee was eigenlijk de kans voor DRM binnen bestandsuitwisseling (filesharing) wel verkeken. Ontwikkelaars van nieuwe systemen richtten zich op het niet-aanpakbaar maken, bijvoorbeeld door centrale servers te dumpen zodat geen partij meer aan te klagen was. De Pirate Bay zette daarbij de toon. In reactie daarop begon de industrie steeds verder om zich heen te slaan en partijen aan te pakken die op indirecte wijze bij inbreuk betrokken waren. Bij ons heeft stichting Brein de afgelopen vijf, zes jaar een heel raamwerk van rechtspraak opgetuigd rond partijen die hyperlinks of andere informatie aanboden naar illegaal uitwisselen, en men is van plan ook door te pakken naar betaalsystemen en internetproviders. Ondertussen wordt elk DRM- en encryptiesysteem gekraakt zodra het op de markt komt. Dat is een wapenwedloop die onmogelijk tot een zinnige oplossing kan leiden.

Nieuwe systemen waarbij mensen een eerlijke prijs betalen voor een redelijke set mogelijkheden zie ik echter niet meer ontstaan. Sterker nog, de trend is juist om DRM te dumpen. Deze trend werd ingezet door Steve Jobs, die op geheel eigen wijze de muziekindustrie min of meer dwong te accepteren dat hij DRM-vrije muziek kon verkopen via iTunes. Sindsdien is muziek steeds vaker DRM-vrij te koop, hoewel vaker wel duurder en tegen slechtere kwaliteit maar dat zou een kwestie van tijd moeten zijn.

Voor films blijft de industrie vasthouden aan DRM, en wel in het model “u mag niets en betaalt de hoofdprijs”. Want ja, eigenlijk moet er nog een paar jaar verdiend worden aan Blu-Ray voordat het verkoopkanaal “internet” aangeboord kan worden. De industrie gaat namelijk uit van het idee “iedereen moet betalen, voor elk gebruik” en wil maximaal verdienen uit elk kanaal. Het meest extreme voorbeeld is de Disneykluis: Disneyfilms komen slechts ééns per generatie uit, zodat iedereen ze weer opnieuw gaat kopen.

En dat is de tragiek van het systeem: het had zo mooi kunnen zijn, superdistributie en betalen per gebruik. Maar DRM is alleen ingezet als antipiraterijsysteem en voor het maximaal uitpersen van de consument. Daarmee is ieder draagvlak voor het systeem weggenomen.

Hoe het dan wel moet? Eerlijk gezegd heb ik geen idee. Het lijkt me te laat om nu nog een vriendelijk en bruikbaar DRM systeem te introduceren zoals Stefik dat voor ogen had. De kampen zijn te verhard - de discussie gaat nu zo ongeveer over de vraag of elektriciteitsmaatschappijen aansprakelijk zijn voor inbreuk gepleegd door hun afnemers, niet over hoe we filmverkoop via internet gaan stimuleren. En ook de politiek lijkt alleen nog te focusseren op het idee dat piraterij moet worden gestopt zodat magischerwijs er ineens een groot legaal aanbod gaat komen.

Ik blijf terugkomen bij het idee van verplichte licenties: sta toe dat iedereen werk kopieert maar verplicht winstafdracht aan rechthebbenden. En nee, ook dat systeem is niet perfect. Maar wie wat beters weet, mag het zeggen.

Arnoud
Foto: Michael Vroegop, Flickr, CC-BY 2.0

Een lezer vroeg me:

De wachtwoorden van een aantal van onze computersystemen worden in een archiefkast bewaard. Om de auditors enigszins gelukkig te maken wordt de toegang tot deze kast onder meer gecontroleerd met een handtekeningformulier. Wie de kast open wil doen, moet naam en handtekening (en tijdstip) vermelden. Mogen wij daarbij eisen dat werknemers zich legitimeren, en mogen we dan een kopie bewaren van dat legitimatiebewijs zodat we de authentieke handtekening hebben?

Ik ga nu iets zeggen dat voor veel mensen verrassend is: er is geen wet die vastlegt of regelt wat iemands authentieke handtekening is!

Een handtekening is een krabbel op een stuk papier waarmee de plaatser aangeeft dat de inhoud juist is of dat hij daarmee akkoord gaat. De wet bepaalt echter nergens hoe een handtekening eruit moet zien of hoe je “de” handtekening van de plaatser herkent. Je bent dus formeel vrij om naar verschillende instanties toe verschillende handtekeningen te gebruiken, zolang je maar goed onthoudt per instantie wat je handtekening daar is.

In securitytaal: een handtekening zetten is het papieren equivalent van een pincode intypen. “Something you can do” in plaats van “something you know”, als het ware. Wie de handtekening kan zetten, wordt geacht de betreffende persoon te zijn.

In de praktijk is het natuurlijk volstrekt ingeburgerd dat je met één handtekening werkt, en dat we met z’n allen doen alsof handtekeningen niet triviaal te vervalsen zijn. De wet zegt over handtekeningen eigenlijk niet veel meer dan wat in artikel 159 Rechtsvordering staat. Een ondertekend document is tegen de ondertekenaar bewijs van de inhoud (tenzij hij tegenbewijs aanlevert). Enkel roepen dat je het zo niet had bedoeld of dat er een fout is gemaakt, gaat je niet helpen. Echter, ontken je stellig dat je dat document nooit getekend hebt, dan moet eerst bewezen worden van wie de ondertekening afkomstig is.

En ja, dat is alles dat de wet hierover zegt. Niets over bewijsvermoedens wanneer vulpennen zijn gebruikt, of dat een betrouwbaar middel voor het overbrengen van inkt moet zijn gebruikt of dat minstens twee door TNO gecertificeerde getuigen aanwezig waren. Het is me dan ook al jaren een doorn in het oog dat we voor digitale handtekeningen een heel raamwerk hebben opgetuigd waarin dat allemaal wél wordt geëist. Met als uitsmijter dat als je dat allemaal doet je “vermoedelijk” een rechtsgeldige handtekening hebt gezet. Oh, en natuurlijk komt daar nog bij dat handtekeningen zelden juridisch nodig zijn. Ok sorry, ik ben alweer rustig.

Hoe dan ook. Een handtekening is dus handig om bewijs te verzamelen, in dit geval van het feit dat persoon X bij de archiefkast is geweest op tijdstip T. Om te verifiëren dat iemand is wie hij zegt dat hij is, kan het bedrijf vragen dat hij een controlehandtekening plaatst in een logboek. Men mag ook wel vergelijken met de bankpas of identiteitskaart, maar een kopie daarvan bewaren lijkt me niet echt nodig.

Update (12:00) heel toevallig lees ik dit vonnis waarin de handtekening onder een verkoopcontract (van een domeinnaam) werd betwist. De koper moest bewijzen dat het contract echt was en ondertekend door de verkoper. Deze had uitdrukkelijk betwist dat de handtekening van hem was (onder verwijzing naar “fotoshoppen”). Het contract was ooit op papier opgemaakt en vervolgens gescand.

Het origineel had de koper niet meegenomen, en uit de documenteigenschappen van de gescande PDF die wél was overlegd bleek dat deze pas was vervaardigd op 22 april 2010, terwijl in het document een datum van 20 februari 2010 genoemd stond. Dat was voor de rechter genoeg om de scan niet als bewijs te accepteren.

(In 4.10 staat “een overeenkomst hebben gesloten” maar volgens mij is dat fout, omdat in 5.1 de koper wordt verboden de domeinnaam te gebruiken tot dat vaststaat dat er wél een overeenkomst is.)

Arnoud

Hackers hebben malware verspreid via een advertentienetwerk, meldde Tweakers gisteren. Bekende sites van Wegener, Sanoma en Reed Business zouden zijn getroffen, maar niet Nu.nl, meldt Nu.nl. Het virus doet voorkomen alsof een computer crasht en biedt vervolgens een oplossing voor het probleem, waar de gebruiker dan wel voor moet betalen. Drie keer raden welke vraag ik nu ga behandelen.

De wet stelt het opzettelijk verspreiden of ter beschikking stellen van kwaadaardige software zoals virussen en wormen strafbaar, met de generieke definitie ‘programma’s die bestemd zijn om schade aan te richten in een geautomatiseerd werk’. Daarmee zijn zo ongeveer alle soorten virussen en wormen gedekt.

Het per ongeluk (laten) verspreiden van virussen of het beschadigen van systemen of informatie is in principe niet strafbaar. Als er door een lek in de software binnengedrongen is, dan is geen sprake van opzet. Er is echter een ondergrens: als systemen door grove nalatigheid beschadigd of onbruikbaar worden gemaakt, dan is het betrokken bedrijf wel degelijk strafbaar. Wel worden de maximumstraffen dan verlaagd.

Het virus (de Trojan?) blijkt verspreid via een advertentienetwerk. Hoe de advertentieserver van het netwerk kon worden besmet, kon men gisteren nog niet zeggen. Dat maakt het moeilijk bepalen of sprake is van grove nalatigheid.

Er is nog nooit iemand aangeklaagd met als beschuldiging grof nalatig te hebben gehandeld bij het verspreiden van virussen of het laten aanrichten van schade. Wellicht dat dit in de toekomst gaat gebeuren: nu het eigenlijk algemeen bekend is dat men eigenlijk een virusscanner en firewall op de pc moet hebben, kan het grof nalatig worden om dit niet te doen. Hetzelfde kan gelden voor bedrijven die hun software niet bijwerken door de updates van Microsoft, Apache en andere bedrijven niet te installeren.

Een boze schadeclaimbrief naar Wegener en andere partijen die meewerkten is echter snel geschreven, en wie weet schrikt er daar dan iemand zó van dat men zomaar gaat betalen.

Arnoud