Microsoft Archives - Ius Mentis

Microsoft en Github aangeklaagd voor opensourceschending door AI tool

Geplaatst op 10 november 20227 november 2022 in Informatiemaatschappij, Intellectuele rechten, 17 reacties

Otto, the inflatable autopilot from the movie “Airplane.”

Programmeur en jurist Matthew Butterick heeft Microsoft en Github aangeklaagd vanwege schendingen van opensourcelicenties, las ik bij Bleeping Computer. De reden is Github’s tool Copilot, een AI code generator die getraind is op de bergen software die op Github gehost worden. De generator blijkt regelmatig lappen tekst uit bestaande werken 1-op-1 aan te leveren, zonder daarbij de juiste licentie + bron te noemen. Hoe zeiden ze dat ook weer, één bron jatten is plagiaat en duizend is inspiratie?

Vorig jaar bracht Github de dienst Copilot uit, een AI-gedreven pair programmer die ontwikkelaars helpt bij het schrijven van code. Copilot stelt contextgebonden code en functies voor, en helpt actief bij het oplossen van problemen door te leren van de code die iemand schrijft. “Trained on billions of lines of public code, GitHub Copilot puts the knowledge you need at your fingertips, saving you time and helping you stay focused.” Het idee is vrij simpel: soms heb je even een klein zetje nodig, een paar regels code om weer verder te kunnen – of om te beseffen, nee dit is precies niet hoe het moet. (Ik experimenteer zelf met Lex.page, die dit doet voor tekstschrijvers, als iemand een invite wil hoor ik het graag.)

Het probleem is natuurlijk: die suggesties moeten ergens vandaan komen. Dat is dus die inspiratie, die patronen die Copilot leert herkennen in honderdduizenden bestanden met source code. Net zoals Lex.page en vele andere tools dat doen met tekst, en DALL-E en consorten met afbeeldingen. Alleen: die hebben een bronbestand dat orde van groottes ruimer is. Alle teksten van heel internet versus alle geprogrammeerde software op Github, dat scheelt nogal een slok op een borrel. Daar komt bij dat er bij software nou eenmaal heel wat minder manieren zijn om iets aan te geven, het moet nou eenmaal technisch aansluiten op het voorgaande.

Het verbaast mij dan ook helemaal niets dat je bij Copilot veel vaker gewoon een lap code uit eerdere software krijgt, “hier, zoals deze het doet”. Dat is helemaal logisch gezien context en dataset, alleen is dat juridisch dus problematisch want een lap broncode in je eigen werk overnemen noemen wij auteursrechtinbreuk tenzij dat mag van de licentie. En aangezien dat dus vaak een opensourcelicentie is, krijg je dan te maken met eisen zoals naamsvermelding of – bij de GPL – het weer moeten open sourcen van je eigen broncode wanneer je dat werk publiceert.

Naar goed Amerikaans gebruik is Butterick dus nu een class action lawsuit begonnen, waar iedereen mag meedoen die ook code op Github heeft staan. Het lastige bij zulke zaken is altijd bewijzen dat jouw werk is overgenomen. Maar specifiek bij dit soort Amerikaanse zaken kan dit interessant worden: als onderdeel van de discovery procedure moet Github op zeker moment onthullen hoe zij aan haar dataset is gekomen. En dan kun je gewoon zien dat jouw code daarin is opgenomen (of niet, maar dat lijkt onwaarschijnlijk).

Arnoud

Hoe de curator toegang kan krijgen tot een administratie in de cloud

Geplaatst op 22 augustus 202215 augustus 2022 in Ondernemingsvrijheid, 10 reacties

“De curatoren hebben te maken met een grote en machtige Amerikaanse partij die elk risico dat zij mogelijk wereldwijd loopt als gevolg van de sancties, hoe klein ook, koste wat kost wil zien te vermijden en zich daarbij alleen door haar eigen belangen laat leiden.” Oh kijk, dat was een gezellige boel in Amsterdam: cloudleverancier Microsoft weigerde de curatoren van een dochter van de Russische Alfa Bank toegang te geven tot de bedrijfsadministratie, onder meer onder verwijzing naar de EU-sanctieregels tegen Russische bedrijven. Een dilemma zoals we dat vaker horen, de Nederlandse wet zou tot iets verplichten maar vanwege altijd schimmig blijvende “US law” zouden bedrijven daar dan geen gehoor aan hoeven geven.

In april ging de betreffende dochter – de Amsterdam Trade Bank – failliet, mede vanwege sanctieregels: “Leveranciers van bijvoorbeeld software konden door de strafmaatregelen niet langer zaken doen met ATB, waardoor het heel moeilijk was om nog verder te gaan met bankieren”, zo meldde het AD. Dat is op zich een begrijpelijke consequentie van sancties, maar creëert hier wel een bijzonder probleem bij de afwikkeling van datzelfde faillissement.

Je zou zeggen dat dit een klaar klontje was. De Faillissementswet zegt immers in artikel 105b letterlijk dat iedereen die administratie van een failliet heeft, die moet geven:

Derden met inbegrip van accountantsorganisaties en een externe accountant, die in de uitoefening van hun beroep of bedrijf, op welke wijze dan ook, de administratie van de gefailleerde geheel of gedeeltelijk onder zich hebben, stellen die administratie en de daartoe behorende boeken, bescheiden en andere gegevensdragers desgevraagd volledig en ongeschonden aan de curator ter beschikking, zo nodig met inbegrip van de middelen om de inhoud binnen redelijke tijd leesbaar te maken.

Microsoft weigerde echter, en dat ging zelfs zo ver dat niet eens duidelijk was welke partij eigenlijk de administratieve dienstverlening verricht. Daardoor ontstond het basale probleem van wie te dagvaarden, waarop de curatoren maar gewoon een vaste advocaat van Microsoft aanschreven. Men belandde uiteindelijk toch in de rechtszaal, en de ergernis van de rechter spat van het vonnis:

In de aanloop naar dit kort geding heeft (de advocaat van) Microsoft verstoppertje gespeeld door niet kenbaar te maken welke Microsoft-vennootschap moest worden gedagvaard en door nog niets van haar verweer prijs te willen geven.

Ook met de inhoudelijke vraag heeft de rechter weinig moeite. In de Nederlandse wet staat dat de curatoren recht hebben op de administratie, dus die moet Microsoft geven. Dat ze dan wellicht klem komt te zitten met andere wetgeving uit andere landen is haar probleem, maar geen excuus om onze wet te negeren als je in Nederland zaken wilt doen. Bovendien valt het inhoudelijk wel mee, als je die Sanctieverordening goed leest:

Evenmin is aannemelijk dat Microsoft bij het voldoen aan het gevorderde strafrechtelijke of financiële risico’s van enige betekenis loopt. Het verlenen van toegang tot de Microsoft-omgeving in het kader van een faillissement kan voorshands niet worden aangemerkt als een door de EU Sanctieverordening verboden handeling (het ter beschikking stellen van “economische middelen” die kunnen worden gebruikt om “tegoeden, goederen of diensten te verkrijgen”). Ook ten aanzien van het Amerikaanse sanctieregime geldt dat voorshands niet aannemelijk is dat het verlenen van toegang tot de Microsoft-omgeving in het kader van een faillissement strijd oplevert met de verplichting eigendommen van gesanctioneerde (rechts)personen te blokkeren en/of strijd oplevert met het verbod die eigendommen over te dragen, waarbij het nog de vraag is of gedaagde sub 3 (Microsoft Ireland Operations Limited) al dan niet (indirect) gebonden is aan het Amerikaanse sanctieregime.

Die laatste is ook een leuke in AVG-verband: de discussie over gebondenheid aan de US Cloud Act versus de Europese AVG gaat over precies hetzelfde probleem, namelijk of je gebonden bent aan beide wetten tegelijk en welke dan wint. Het antwoord is dus: mogelijk ben je aan beiden tegelijk gebonden, en je kunt dus tegenstrijdige vonnissen krijgen uit de VS en Europa en dan is dat even heel vervelend voor jou maar je gaat er wel aan voldoen:

veroordeelt gedaagde sub 3 (Microsoft Ireland Operations Limited) om al hetgeen noodzakelijk is te doen, zodat gegarandeerd is dat de Stichting Vereffening binnen 48 uur na het wijzen van dit vonnis ongehinderde toegang tot, en gebruik van, de volledige Microsoft-omgeving heeft en blijft houden, op straffe van een dwangsom van EUR 10 miljoen voor elke 24 uur na betekening van dit vonnis dat de Stichting Vereffening die ongehinderde toegang tot, of gebruik van, niet of niet volledig (meer) heeft, met een maximum van EUR 100 miljoen.

Een dwangsom van (maximaal) 100 miljoen euro is bij mijn weten in Nederland nog niet voorgekomen, en het is minstens zo opmerkelijk dat deze al na tien dagen aangetikt wordt. Dat onderstreept wel de haast die de rechtbank ziet. En terecht: 23.000 particuliere spaarders van de bank kunnen nu niet bij hun geld.

Arnoud

Britse waakhond start onderzoek naar overname Activision Blizzard door Microsoft

Geplaatst op 12 juli 20227 juli 2022 in Regulering, 7 reacties

De Competition and Markets Authority (CMA) is een onderzoek gestart naar Microsofts overname van Activision Blizzard, las ik bij Tweakers. Tot die overname ter waarde van 68,7 miljard dollar werd in februari besloten, maar vanwege de grootte van beide bedrijven op de game-markt startten diverse markttoezichthouders een onderzoek. Naast de Amerikaanse Federal Trade Commission dus ook de Britten. Wat natuurlijk de vraag opriep: Hoe kan een Brits bedrijf zich bemoeien met de overname van een Amerikaans bedrijf door een Amerikaans bedrijf?

Het juridische antwoord is heel simpel: de CMA gaat over marktmacht op de Britse markt, en als een overname door Microsoft invloed heeft op die markt dan mag de CMA daar wat van vinden. Om precies diezelfde reden zou onze ACM ook een onderzoek mogen doen (en een bindend besluit zoals een verbod mogen geven) naar deze zelfde overname.

Dat voelt natuurlijk raar, omdat de overnameovereenkomst naar Amerikaans recht is. Maar dat is niet echt een argument in deze discussie, want het gaat dus om de effecten op andere markten zoals Groot-Brittannië of Nederland. Dat kun je niet buitenspel zetten door een rechtskeuze in je overeenkomst, of zelfs de vestigingsplaats van de partijen.

De interessante vraag is: wat gaat er gebeuren als de Amerikaanse FTC zegt dat de overname prima is maar de CMA deze afkeurt vanwege te grote negatieve effecten in het perfide Albion? Het ligt voor de hand dat MS en AB dan doorzetten, maar dat kan tot boetes en/of dwangsommen leiden in Groot-Brittannië. Handhaven van de incasso kan dan leiden tot verstoring van de bedrijfsvoering in het land, met als extreme consequentie dat men weg kan gaan. Maar dat is zeldzaam. In februari hadden we discussie over Facebook, dat zou hebben gedreigd uit Europa weg te gaan als er niet snel een nieuw Privacy Shield zou komen. Ik zie het niet gebeuren.

Arnoud

Microsoft moet van rechter toegang tot Hotmail overledene verschaffen aan erven

Geplaatst op 16 december 202113 december 2021 in Informatiemaatschappij, 27 reacties

Microsoft moet aan nabestaanden van een overleden Nederlander toegang verstrekken tot zijn Hotmail-account, meldde Tweakers onlangs. Het bedrijf maakte zich zorgen om de privacy van de correspondenten en wilde voorkomen dat kwaadwillenden in het account zouden kunnen, wat voor mij een mooie manier is om te zeggen “eigenlijk willen we geen gedoe met nabestaanden”. Maar de rechter zegt nu dat dat gewoon wel moet, en wel op straffe van een stevige dwangsom.

Uit het vonnis blijkt dat het gaat om de ouders en zussen van een man die in juli 2021 overleed. Zij wilden toegang tot zijn Hotmailaccount en zijn OneDrive-account. Kan dat? Een nog niet eerder bij de rechtbank behandelde vraag, maar eentje die deze eisers in keurig juridisch Nederlands inkleden als:

de stelling, daartoe onder verwijzing naar artikel 4:182 BW (saisine), samengevat, dat zij als erfgenamen rechtsopvolgers onder algemene titel van de accounts van hun zoon en broer en de inhoud ervan zijn en dus ook de nieuwe wederpartij van Microsoft met betrekking tot de desbetreffende overeenkomsten.

Saisine is een begrip uit het erfrecht: “de regel dat de erfgenamen in beginsel de positie van de erflater ‘voortzetten’, hoort zowat tot de eerste lessen van iedere cursus erfrecht.” Concreet hier dus: toen deze man overleed, werden zijn erfgenamen (kennelijk ouders en zus) de rechtsopvolger onder het contract met Microsoft waaronder deze de diensten Hotmail en OneDrive aan hem leverde. (Niet eigenaar van het account, accounts bestaan juridisch niet.)

Microsoft reageert geheel zoals ik zou verwachten, namelijk naar Amerikaans recht met de dooddoener (sorry) dat men maar met een gerechtelijk bevel moet komen. In de VS laat je namelijk de rechter verzinnen wat logisch is, ongeacht de juridische kwestie. In Nederland doen we dat anders. Daar vinden we het logisch dat mensen zélf nazoeken hoe de wet zit en dat dan in alle redelijkheid gaan toepassen. In gewone taal: doe normaal, dat account is nu van deze mensen, reset het wachtwoord.

Oké, MS had ook wel juridische argumenten. Allereerst dat saisine niet zou gelden, waar de rechter niet in meegaat – alleen voor “hoogstpersoonlijke” overeenkomsten zoals huur of arbeid is het voortzetten door erfgenamen uitgesloten. En ten tweede zorgen over rechten van derden, namelijk de correspondenten van deze meneer wiens persoonsgegevens dus in de mailbox zitten. Ook dat gaat niet op: alle plichten uit de EULA gelden natuurlijk net zo goed voor de erfgenamen, inclusief dus de plicht om de privacy van anderen niet zomaar te schenden.

(Dan was er nog een verhaal dat Microsoft succesvolle inlogpogingen had gedetecteerd en daaruit concludeerde dat er iets raars aan de hand was. Snap ik niet helemaal, maar de rechter schuift het meteen terzijde.)

De conclusie van de rechter is dan ook rechttoe rechtaan: Microsoft moet toegang verlenen en wel zo snel mogelijk. Niet moeilijk doen, deze mensen zijn juridisch gezien gewoon de eigenaren na het overlijden van de eigenlijke eigenaar. MS krijgt twintig dagen en verbeurt daarna dwangsommen van tienduizend euro per dag. Dat is een fors bedrag, wat voor mij dus de indicatie is dat de rechtbank het handelen van MS als onnodig moeilijk doen zag.)

In de comments zie ik diverse mensen opmerken dat hiermee je ouders dus bijvoorbeeld de liefdesbrieven naar je partner (of je minnaar m/v/x) zouden kunnen zien, of discussie met je therapeut of wat maar zeer privé is en je niet wil dat je erfgenamen zien. Die snap ik, maar is dat anders dan die doos op zolder met je pikante ondergoed en zweepjes of de VHS band met privéopnames? Juridisch gezien niet volgens mij.

Het vonnis is een mooie bevestiging dat het erfrecht gewoon werkt in de digitale omgeving. Wie niet wil dat bepaalde erfgenamen toegang krijgen tot accounts, kan dat regelen bij testament. Of nog simpeler: je wachtwoord ergens in bewaring geven waar een vertrouwd persoon het account in kan en dingen kan wissen of opheffen, als dat is wat je wil.

Arnoud

Microsoft maakt einde aan wachtwoorden, andere techbedrijven voorlopig niet

Geplaatst op 11 oktober 20216 oktober 2021 in Security, 19 reacties

Microsoft kondigde onlangs aan gebruikers de keuze te bieden zonder wachtwoorden in te loggen, zo las ik bij Nutech.nl. Wie dat wil, kan sinds kort het wachtwoord van zijn Microsoft-account verwijderen en inloggen met gezichtsherkenning, een toegestuurde sms- of mailcode, een codegenerator of een fysieke sleutel. Op zich natuurlijk geen juridisch nieuws, maar ik licht het er toch even uit omdat a) security ontzettend belangrijk is binnen de ict en b) juristen zich regelmatig tegen wachtwoordbeleid aan bemoeien.

Microsoft maakt de stap omdat wachtwoorden fundamenteel onveilig zijn. Ze kunnen worden afgekeken, geraden of uit datalekken afgeleid. Eigenlijk was het altijd al een hele rare keuze, wachtwoorden. Mensen iets laten doen waar computers heel goed in zijn en mensen niet (onthoud acht tekens, waarvan minstens drie hoofdletters, minimaal één cijfer en één leesteken maar niet als eerste teken, u kent het wel), hoe kom je er bij. Maar goed, in de jaren zeventig was dat de enige logische keuze.

Ook het wijzigen van wachtwoorden komt uit die tijd. Het Amerikaanse ministerie van Defensie had recent ontdekt dat aanvallers wachtwoorden konden kraken, zelfs als ze versleuteld waren opgeslagen. Het terugrekenen van de versleuteling (jaja, ik weet het maar leg jij rainbow tables eens uit in gewone taal) kostte ongeveer zes weken, zo was de inschatting. De praktische oplossing: elke maand een nieuw wachtwoord, dan is de informatie voor de criminele aanvaller verouderd voordat deze hem gevonden heeft. Die regel belandde ergens in de algemene kennis van de ICT-securityspecialisten – en de juristen, want dit is praktische regelgeving en dat is hardnekkiger dan de Grondwet om te veranderen.

Al geruime tijd is er een verbetering, namelijk tweefactorauthenticatie. Daarbij heb je naast je wachtwoord ook bijvoorbeeld een vingerafdruk nodig of een fysiek token. Dat scheelt in het aanvalsgemak, maar:

Veel vormen van 2FA berusten nog steeds op het inloggen met wachtwoorden, wat deze manier van inloggen nog steeds kwetsbaar maakt voor aanvallen van buitenaf. Het is veiliger dan inloggen met alleen een wachtwoord, maar de kwetsbaarheden van het wachtwoord worden niet weggenomen.

Wie dat wil, kan sinds kort het wachtwoord van zijn Microsoft-account verwijderen en inloggen met gezichtsherkenning, een toegestuurde sms- of mailcode, een codegenerator of een fysieke sleutel. Dat is echt een stap vooruit, en ik hoop dan ook dat andere bedrijven snel gaan volgen. (Ik gebruik zelf al lange tijd een Bluetooth-koppeling: als mijn telefoon (die in mijn zak zit) te ver van mijn laptop is, dan gaat mijn laptop op slot. Een wachtwoord draagt daar niets meer aan bij.)

Het juridische haakje: u mag nu even de verwerkersovereenkomsten controleren op uw passende technische en organisatorische maatregelen onder artikel 32 AVG die u opgelegd zijn of die u aan verwerkers oplegt. Afgaande op de paar duizend verwerkersovereenkomsten uit onze contractenscanner staat daar namelijk in dat men sterke wachtwoorden moet hanteren (32% van de clausules) en maar zelden iets over 2FA (4%). Regelmatig wijzigen van wachtwoorden staat vrijwel altijd (78%) bij die wachtwoordclausules, wat binnen de securitywereld juist een slecht idee is – dan krijg je welkom42 of X5j13$#eOktober als wachtwoorden. Tijd dus om hier nieuwe regels over in te voeren.

Meelezende juristen en compliance officers: ondersteunt jouw securitybeleid en/of VO het gebruik van wachtwoordloze authenticatie?

Arnoud

Man verliest Microsoft-account (en alle data) vanwege gedoe over onbetamelijke foto

Geplaatst op 14 oktober 202013 oktober 2020 in Ondernemingsvrijheid, 57 reacties

Je krijgt ongevraagd een onbetamelijke foto toegestuurd, waarna Microsoft je levenslang verbant van al haar diensten. Dat meldde NRC afgelopen zondag. Want dat is terecht, zo vonniste de rechtbank: een man had een kort geding daartegen aangespannen maar krijgt zijn bestanden niet terug en mag ook zijn Microsoft-account nooit meer gebruiken. Althans, voor nu – de bestanden mogen niet weggegooid en er zal dus een bodemprocedure nodig zijn om echt uit te maken of Microsoft terecht handelde. Maar ja, je digitale leven mag dus worden geblokkeerd voor nu.

Het probleem begon in april dit jaar, toen de eisende man merkte dat zijn toegang tot zijn OneDrive account onmogelijk was, en Microsoft desgevraagd meldde dat er een “serious violation” was geweest van de Service Agreement. Doorvragen leverde slechts herhaling op van deze mededeling, waarna de man een advocaat inschakelde. Ook dat mocht niet baten, vandaar de rechtszaak.

Pas daarna kwam aan het licht dat de violation het feit betrof dat de eiser in een groepsapp van WhatsApp een foto gedeeld had gekregen die Microsoft als kinderpornografie aanmerkte. De foto was volgens eiser grappig bedoeld, toont niet werkelijk seks met kinderen maar “door het hele ongelukkige moment van afdrukken bij het maken van deze foto lijkt dat zo.” De rechtbank komt echter tot de conclusie dat de afbeelding ook dan kan kwalificeren als kinderporno, gezien internationale afspraken op dat gebied.

Microsoft heeft software draaien die het opslaan en vooral het delen van dergelijke foto’s detecteert. Een groot deel van het geschil ging over de vraag of de man deze afbeelding nu had gedeeld of niet. Hij zei van niet, Microsoft zegt van wel – en MS krijgt gelijk omdat de servicevoorwaarden zeggen dat je de foto niet mag hebben, ongeacht of je deze deelt. Een overtreding dus.

Dan krijg je de vraag, is de maatregel proportioneel. In juridische termen: de algemene voorwaarde die zegt dat je je gehele (betaalde) account geheel kwijt raakt, is onredelijk bezwarend bij één overtreding. Daarvan zegt de rechter, nee dat is niet zo: dit soort afbeeldingen zijn zeer ernstig en strafbaar, dus is een volledige vernietiging van het gehele account een gepaste reactie.

Uit het vonnis haal ik dat de man van de overige bestanden niets meer had gezegd dan dat ze emotionele waarde hebben. “Indien [eiser] naar voren zou hebben gebracht dat hij een of meer onderdelen van de bestanden dringend nodig had, dan zou de voorzieningenrechter dat belang bij de beoordeling kunnen betrekken maar [eiser] heeft dat niet gedaan.” Oftewel, als je als privépersoon alleen maar persoonlijke bestanden in de cloud hebt staan, dan heeft dat geen waarde en moet je niet klagen als ze worden vernietigd.

Ook een beroep op de AVG mag niet baten: weliswaar staat daar een recht op dataportabiliteit, maar dat geldt niet voor alle bestanden in je account. Je hebt alleen recht op een export van je persoonsgegevens, en een serie door jou gemaakte foto’s zijn op zichzelf geen persoonsgegevens van jou.

Het is een kort geding, dus voor uitgebreide discussie is geen plaats. Daarom verplicht de rechter Microsoft wel om de bestanden nu veilig te stellen, zodat de principiële discussie gevoerd kan worden bij de bodemrechter. Ik hoop heel erg dat dit ook snel gebeurt.

Arnoud

PS: links naar de betreffende afbeelding of suggesties hoe deze te vinden leiden tot een levenslange ban op deze blog. Geen grap.

Mag Windows 10 je verplicht de keuze voor Edge blijven voorschotelen?

Geplaatst op 11 juni 20204 juni 2020 in Ondernemingsvrijheid, 32 reacties

Het advies in het Windows 10-startmenu om Microsoft Edge te gebruiken, dat te zien is bij het zoeken naar andere browsers, is inmiddels niet meer weg te halen. Dat meldde Tweakers onlangs. Tot voor kort was dat wel het geval, en het lijkt ook wisselend bij mensen of het wel of niet weg te halen is. Nou heb ik zelf altijd een pesthekel aan software die mijn menu’s aanpast, dingen op desktops zet of zich bemoeit met zijn instellingen, dus ik was blij met de vraag: mag dat dan, gezien de marktmacht van Microsoft?

Microsoft is in het verleden juist veroordeeld onder de Europese concurrentiewetgeving voor het bundelen van Internet Explorer met Windows, waardoor de browser een veel makkelijker adoptie kreeg dan concurrentbrowsers zoals Sleipnir (wie? precies). Dat leidde tot onder meer de invoering van een browserkeuzescherm zodat je verplicht een keuze moest maken bij installatie van Windows (met dan weer een boete van 561 miljoen euro omdat dat scherm er sinds Windows 7 SP1 niet meer in zat). Je zou dus zeggen dat ze bij Microsoft nadenken over hoe browsers aan te bieden.

Bij mij kwam toen wel de vraag op, hoe zit het dan met de marktmacht van Microsoft tegenwoordig. Want je overtreedt pas de mededingingswet als je je marktmacht misbruikt. Wie geen macht heeft, kan die ook niet misbruiken. Een microspeler die zijn eigen browser afdwingt is dus geen probleem.

Ik vond het lastig goede cijfers te vinden, maar Wikipedia lijkt een goed overzicht bij te houden en is bovendien neutraal. Ik haal hieruit dat Windows in het algemeen rond de 70 procent marktaandeel op de desktopmarkt heeft. Maar, en dan wordt het interessant, als je de markt bekijkt als “personal computing platforms” dan gaat ineens mobiel meedoen en dan zijn er natuurlijk veel meer computers met Android dan met Windows. Een smartphone is een computer.

Dus: het mag als we desktops en tablets/smartphones als één markt zien. Even handenopsteken, wie is het eens met die samenvoeging? En waarom wel of niet?

Arnoud

Mag een kinderdagverblijf voor hun activiteiten-app eisen dat je Google of Facebook gebruikt?

Geplaatst op 15 februari 20197 februari 2019 in Ondernemingsvrijheid, Privacy, 43 reacties

Een lezer vroeg me:

De kinderopvang waar mijn kinderen naartoe gaan hebben onlangs een contract gesloten met Bitcare voor hun management en registratie van wat er zoal gebeurt gedurende de dag. Echter, registreren kan alleen door je via een ‘identity provider’ aan te melden. Je hebt een Google, Microsoft of Facebook account nodig zodat het bedrijf je kan koppelen aan je kinderen, en zodat ze in contact met je kunnen komen indien nodig. Maar ik wil dat helemaal niet, mijn gegevens hoeven niet naar die Amerikaanse datagraaiers. Kunnen ze dit zomaar doen?

Bitcare is een van diverse dienstaanbieders gericht op communicatie tussen ouders en kinderopvang, bso en dergelijke. Het idee is dat je zo makkelijk allerlei informatie kunt verstrekken op een veilige manier, inclusief foto’s van je kinderen tijdens de dag. De dienst legt uit wat het inhoudt:

Met Bitcare zullen gedurende de dag activiteiten en foto’s online met u gedeeld. Via een app en website kunt u zien hoe laat uw kind heeft geslapen, gegeten en gedronken en welke leuke activiteiten er met de kinderen zijn ondernomen. Ook kunt u de planning bekijken en verzoeken indienen omtrent vakanties, ziekte, extra dagen en ruildagen. Daarnaast kunt u chatten met leidsters op de groep. Met Bitcare blijft u altijd op de hoogte van alle gebeurtenissen en de ontwikkeling van uw kind(eren). Zo kunt u zorgeloos werken en hoeft u niets te missen!

Om dit goed te laten werken, moet de dienst natuurlijk de identiteit van ouders vaststellen alvorens ze een account te geven. Dat kunnen ze natuurlijk zelf doen, maar dat is in dit geval uitbesteed aan Facebook, Google of Microsoft als identity provider. In de kern komt het er dan op neer dat je daar moet inloggen en dat het resultaat wordt teruggemeld aan Bitcare, waarna die weet wat je echte naam is.

Deze insteek zie ik vaker sinds de AVG. Het achterliggende idee is dan dat Facebook, Google of Microsoft beter in staat zijn je gegevens te beschermen dan zo’n kleine club als een kinderopvang. De authenticatie is dan dus veiliger en betrouwbaarder. Daar is weinig tegenin te brengen, dus de zorg gaat dan vooral over wat er nog meer gebeurt met die gegevens.

Bitcare zelf doet eigenlijk niets met Facebook-gegevens, noch andersom:

Bitcare gebruikt na toestemming dan ook alleen uw naam en e-mail adres, zodat mocht het nodig zijn er contact met u opgenomen kan worden. We hanteren strenge privacy regels voor u en uw kind en Bitcare zal nooit deze gegevens misbruiken. Bitcare heeft verder geen toegang tot uw Google, Microsoft of Facebook account en de bovenstaande partijen hebben ook geen toegang tot de Bitcare gegevens.

Eerlijk gezegd zie ik in die situatie weinig reden om hier bang voor te zijn. Een verhoogd risico door gebruik van deze authenticatie bij deze dienst is er volgens mij niet. Als je bang bent voor wat Google, Microsoft of Facebook doen, dan snap ik dat maar deze specifieke toepassing zal de bedreigingen weinig versterken.

Een alternatief bieden in de zin van een eigen authenticatiedienst kan natuurlijk, maar voelt nogal omslachtig en geeft bovendien extra risico’s rond identiteitsfraude, foutjes bij de administratie en ga zo maar door. Ik zou de stelling wel aandurven dat je minder veilig bent met eigen formuliertjes dan met een Microsoft als identity provider.

Wat denken jullie?

Arnoud

Windows 10 Enterprise en Office zijn risico voor privacy ambtenaren

Geplaatst op 15 november 201814 november 2018 in Ondernemingsvrijheid, Privacy, 29 reacties

Via Windows 10 Enterprise en Microsoft Office verzamelt Microsoft gebruikersgegevens die het bedrijf in de VS opslaat. Dat meldde Tweakers op basis van onderzoek bij het ministerie. Deze opslag geeft een inbreuk op de privacy van de ambtenaren, plus een ieder wiens gegevens door die ambtenaren worden verwerkt. Het onderzoek werd uitgevoerd als een DPIA onder de AVG, waarbij werd gekeken naar de zogeheten telemetriedata die Windows- en Office-installaties verzamlen bij de gebruiker en doorsturen naar Microsoft in de USA. Bij Office gaat het mis: deze verzamelt een enorme hoeveelheid data, en dat is niet uit te schakelen.

Het is natuurlijk leuk en aardig dat Microsoft “telemetrie” oftewel statistieken verzamelt, maar dat is in de EU best problematisch omdat dat al héél snel onder de noemer van persoonsgegevens valt. Informatie over wat gebruiker thx1138 doet met zijn Office is een persoonsgegeven, ook al heb je niet de naam van die gebruiker of enig contactgegeven. Zelfs wanneer je aan die meetgegevens een eigen willekeurig toegekende ID hangt, val je nog onder de AVG. Dat voelt als nogal een ontwerpfout.

Met name dat “het kan niet uit” verbaast me hogelijk. Je zou zeggen dat je als bedrijf weet dat het verzamelen van gegevens over wat je gebruikers doen gevoelig kan liggen, zeker in enterprise-omgevingen (en daar hebben we het hier over). Dat is niet iets dat je met een vinkje in de EULA oplost, de belangen zijn daarvoor te groot. Dit mag gewoon niet.

Natuurlijk zal Microsoft vast ergens in de licentievoorwaarden hebben gezegd dat toestemming wordt verleend. Maar dat werkt niet op dit niveau. Software wordt ingekocht onder een groot contract, en deze afspraak moet dáár dan worden gemaakt.

Bovendien: een bedrijf of instelling mag die afspraak alleen maken als ze dat vervolgens aan haar personeel (en/of klanten) kan rechtvaardigen, en dat zie ik hier niet opgaan. Welke noodzaak binnen de arbeidsovereenkomst (aanstelling, het is ambtenarenrecht) is er om deze telemetrie aan Microsoft te verstrekken die het voor eigen doeleinden gaat gebruiken? Welk belang van Microsoft is zo dringend dat de privacy van het personeel mag worden gepasseerd? En heeft de OR wel ingestemd met die telemetrieverstrekking, dat is immers een apart recht onder de Wet OR?

Beloofd wordt om een en ander aan te passen om binnen de Europese regels te blijven, maar dat zal tot ergens in 2019 gaan duren. Dat is nogal lang, dus ik hoop dat er in de tussentijd een firewall of iets tussengezet kan worden zodat de privacy van de ambtenaren gewaarborgd blijft.

Arnoud

Worden Europese bedrijven straks verplicht data aan de VS te geven?

Geplaatst op 25 oktober 201725 oktober 2017 in Informatiemaatschappij, 23 reacties

De Supreme Court gaat uitspraak doen in de Microsoft-cloudzaak waarbij het Amerikaanse bedrijf door de rechter verplicht werd data van haar Europese dochter af te geven aan de FBI. Dat las ik (dank, tipgevers) bij Ars Technica. De zaak loopt al een tijdje en kan enorme gevolgen hebben voor de bruikbaarheid van de cloud voor Europese bedrijven. Want als het precedent wordt “ja dat moet je afgeven” dan wordt je data stallen bij zelfs een Europese dochter van een Amerikaans bedrijf een tikje ingewikkeld.

In 2014 bepaalde een rechter in de VS dat Microsoft Inc. (de Amerikaanse moeder) gehouden kon worden om gegevens van een klant van haar Ierse dochtermaatschappij af te geven als de FBI dat wilde. Kort gezegd was het argument daarvoor dat het geen argument is dat bewijsmiddelen in het buitenland liggen, je gaat ze maar halen. Maar die regel voelt niet echt gepast voor een clouddienst, zeker niet als je bedenkt dat Microsoft die dienst in Europa via een apart, Europees bedrijf levert.

Gelukkig werd in hoger beroep bepaald dat deze redenering van de FBI niet opging. De wet waar men zich op beroep (de Stored Communications Act) was niet bedoeld om de FBI ineens buitenlandse rechtsmacht te geven. En nu ligt de vraag dus bij het Supreme Court, dat erom bekend staat niet alleen juridische maar ook politieke visies mee te laten wegen in hun uitspraken. Het kán dus zomaar gebeuren dat men bepaalt dat het er wél staat, en dat een Europese dochter dus maar moet meewerken aan zo’n bevel.

Dat wordt dan nog knap ingewikkeld, want dat mág helemaal niet. In de AVG is hier namelijk een specifiek artikel over opgenomen, artikel 48:

Elke rechterlijke uitspraak en elk besluit van een administratieve autoriteit van een derde land op grond waarvan een verwerkingsverantwoordelijke of een verwerker persoonsgegevens moet doorgeven of verstrekken, mag alleen op enigerlei wijze worden erkend of afdwingbaar zijn indien zij gebaseerd zijn op een internationale overeenkomst, zoals een verdrag inzake wederzijdse rechtsbijstand, tussen het verzoekende derde landen en de Unie of een lidstaat, onverminderd andere gronden voor doorgifte uit hoofde van dit hoofdstuk.

Oftewel: wat een buitenlandse wet of rechtbank ook bepaalt, Europese bedrijven mogen alleen meewerken aan zo’n bepaling als dat in een verdrag tussen de EU en dat land is geregeld. De FBI zou dus een rechtshulpverzoek aan Nederland kunnen doen, waarna onze politie de data licht bij het datacentrum hier. Een opdracht van Microsoft Inc aan haar Nederlandse dochter “geef die data want wij moeten dit van de rechtbank afgeven” is dus keihard in strijd met Europees recht.

Arnoud