Mag ik een dienstreis naar de Verenigde Staten weigeren omdat ik dan mijn privé social media moet openbaren?

Geplaatst op in Ondernemingsvrijheid, Privacy, 21 reacties
Photo by Ekaterina Belinskaya on Pexels

Een lezer vroeg me:

Ik werk bij een middelgroot ict-bedrijf als senior developer. Mijn manager wil dat ik een week naar de VS ga om een grote klant daar ter plaatse te helpen met een release-probleem. Ik heb daar moeite mee, omdat je bij de douane al je social media moet laten zien. Die van mij beschouw ik als privé, en bovendien staan er zaken waar het regime-Trump niet zo blij van zou worden. Kan ik weigeren deze dienstreis te maken?
Hoofdregel van dienstreizen is dat je ze moet maken, wanneer dit redelijkerwijs tot je werk te rekenen is. Dit valt onder de instructiebevoegdheid van de werkgever. Het hoeft niet apart in je contract genoemd te zijn.

Een goed werkgever houdt wel rekening met de belangen van de werknemer. Zo mag deze je niet opdragen te reizen naar een land met een niet-reizen advies (code rood), en zal hij een hele goede reden moeten hebben voor code geel of oranje. En maatregelen moeten nemen om dit zo goed mogelijk te verzorgen.

Wanneer er geen reisadvies is (code groen) en het werkbelang duidelijk, blijven alleen nog persoonlijke omstandigheden over. Veel genoemde redenen zijn ziekte (of herstel daarvan), zwangerschap, zorg voor een jong kind en ook wel “onoverkomelijke gewetensbezwaren”. Hierover moet je in gesprek en daar moet je dan samen uitkomen.

Zeer recent maakte de VS bekend dat

Wie de Verenigde Staten binnen wil komen met een zogenoemde ESTA-registratie, wordt volgens een nieuw voorstel verplicht om vijf jaar aan socialemediageschiedenis met de Amerikanen te delen.
Onduidelijk is wanneer die regel precies van kracht wordt en wat de scope precies gaat worden. De Customs and Border Protection (CBP) probeerde laatst duidelijkheid te geven:
“CBP has been explicit that social media accounts would not be reviewed for comments, posts or activity critical of President Trump or other political leaders. Under the proposal, CBP would collect usernames solely to check them against classified information the government already has,” the [Greater Miami and the Beaches Hotel Association] said in a post on its blog this month.
Op dit moment is er dus nog géén wettelijke regel die dit eist. Het veel gelinkte document van de CBP dat die regel zou bevatten, is een consultatietekst waar tot 9 februari feedback op gegeven kon worden.

Zonder een harde wettelijke regel is het overleg met de werkgever wat lastig te voeren. Je houdt dan de eigen gewetensbezwaren over, je wilt écht niet omdat je social media privé zijn en dat moeten blijven. Dit kan een hele moeilijke discussie worden, zeker als je de inhoud van die sociale media ook niet kan of wil delen met de werkgever om duidelijk te maken waarom.

De discussie over hoe veilig de VS als zodanig is, is ook voor velen nog een wat ver-van-het-bed show. Statistieken zoals het afgenomen percentage toeristen kunnen daarbij helpen. Maar ik vrees dat een wat starre werkgever die wijst op de code groen voor de VS, zich daardoor niet laat overtuigen.

Hoe zouden jullie bij een werkgever betogen dat die dienstreis hem niet gaat worden?

Arnoud

Mogen banken je verbieden te internetbankieren als je gesideloade apps hebt?

Geplaatst op in Security, 14 reacties
Photo by Morthy Jameson on Pexels

Een lezer vroeg me:

Verschillende banken, waaronder de Britse bank HSBC en de Deense bank Danske Bank, laten hun apps niet werken op Androidtelefoons met gesideloade apps. Hiertoe scannen zij de telefoon met een speciale Android-feature, echter zonder toestemming te vragen. Ook wordt gebruik van alternatieve appstores hiermee feitelijk onmogelijk, immers iedereen moet internetbankieren. Is dit wel legaal, en hoe verhoudt zich dit tot de Digital Markets Act die juist dergelijke appstores aanmoedigt?
De speciale feature waar het over gaat, is een Androidpermissie genaamd QUERYALLPACKAGES waarmee kan worden gecontroleerd welke apps een klant allemaal op zijn telefoon heeft geïnstalleerd en waarvandaan de apps afkomstig zijn. Deze permissie is eigenlijk ontworpen voor virusscanners en dergelijke, maar Google staat gebruik ervan toe bij bankieren- en wallet-apps “solely for security-based purposes”.

Het securitydoel hier is het voorkomen van fraude bij internetbankieren door malafide apps. Apps die buiten de officiële appwinkel binnenkomen, zouden sneller malware kunnen bevatten, is dan het argument. Door de bankieren-app dan niet te laten werken, wordt voorkomen dat je rekening wordt geplunderd. Klinkt eng, maar is natuurlijk aardig speculatief. En genoeg mensen worden slachtoffer van fraude ook met enkel ‘officiële’ apps.

Tegelijkertijd: het klinkt realistisch genoeg en voor de meeste mensen (inclusief dus de meeste beleidsmakers, juristen en toezichthouders) is sideloaden een rare, waarom-zou-je-dat-willen activiteit. Iets dergelijks als veiligheidsrisico afdoen, is dan een vrij normale actie van een serieuze partij als een bank. Die zullen daar wel over nagedacht hebben.

Of een app van de Telecommunicatiewet mag uitlezen wat er op je telefoon staat, is een lastige. Deze wet verbiedt het uitlezen via een netwerk van informatie op een randapparaat (art. 11.7a), maar of je zo’n scan daaronder kunt rekenen, is de vraag. (Lid 3 verklaart de toestemmingseis ook van toepassing wanneer “op een andere wijze” informatie wordt uitgelezen.) Toestemming is dan weer niet nodig als het uitlezen nodig is om een communicatie over het netwerk uit te lezen, maar of dat opgerekt kan worden tot “voor de veiligheid moeten we dit uitlezen”, weet eigenlijk niemand.

De DMA verplicht grote platforms zoals Android om open te staan voor alternatieve appstores. Deze maatregel van banken maakt het nogal lastig om daarmee te werken, want inderdaad, internetbankieren zul je. Dat kun je zien als een effectieve ondermijning van die plicht. Alleen krijg je dan het probleem dat niet Google maar de banken deze maatregel nemen. Het gaat nogal ver om te zeggen dat Google dit de banken moet weigeren omdat Google een DMA-plicht heeft.

De enige manier om dit echt op te lossen, is door de financiële toezichthouders richtsnoeren te laten uitgeven die zeggen wat hierin wel mag en wat niet. En dan komen we weer bij het aloude probleem: hoe laat je praktisch en onderbouwd zien dat sideloaden en alternatieve appstores niet meer risico introduceren dan de gewone appstore?

Arnoud

Mag mijn werkgever zomaar gebruik van Microsoft Hello invoeren?

Geplaatst op in Ondernemingsvrijheid, Privacy, 18 reacties
Photo by Clint Patterson on Unsplash

Een lezer vroeg me:

Mijn werkgever wil inloggen op haar computersystemen mogelijk maken via gezichtsherkenning (Microsoft Hello). Wij als OR zijn niet om instemming gevraagd, met als argument dat de feature zuiver lokaal werkt en er niets wordt opgeslagen, zodat er geen sprake is van ‘verwerking’ onder de AVG. Klopt dat?
Nee, dat klopt niet. Dat er niets wordt verzonden via een netwerk of opgeslagen, is niet genoeg om te zeggen dat er niet wordt verwerkt. ‘Verwerken’ is namelijk de koepelterm. Er worden gezichtsfeatures herkend en gematcht met een opgeslagen set features waaruit een ja/nee volgt. Dat is elektronisch verwerken.

Microsoft heeft voor deze verwerking middelen geleverd en de werkgever beslist dat deze ingezet moeten worden en wanneer/waarom. Een simpele toepassing van de AVG geeft dan dat de werkgever verwerkingsverantwoordelijke is.

Ik geloof meteen dat de werkgever geen idee heeft hoe dit werkt, en dat is prima. Maar dat maakt voor de AVG vraag niet uit. Zelfs als het in een dichtgelaste stalen kist zou gebeuren, blijft men verwerkingsverantwoordelijke, enkel en alleen omdat men beslist dat het moet worden gebruikt.

Er is jurisprudentie dat bij een fanpagina op Facebook (of zelfs een Like-knop) de beheerder (mede) verwerkingsverantwoordelijke is voor wat Facebook/Meta doet, ook al weet niemand wat dat bedrijf uitspookt. Die lijn doortrekkend is het voor mij evident dat je ook de verwerkingsverantwoordelijke bent als je een standaardfeature zoals Hello gebruikt.

Standaard werkt deze vorm van herkenning vrijwillig, je moet het aanzetten. Door die vrijwilligheid is hier denk ik wel ruimte voor de grondslag toestemming, dit zal geen consequenties hebben in de arbeidsrelatie.

De grondslag arbeidsovereenkomst vind ik lastiger, juist omdat het niet verplicht is. Je kunt dan moeilijk zeggen dat deze feature voor het werk nodig is. Als je dus als werkgever zou willen verplichten dat iedereen met Hello inlogt, dan moet daar nog een extra verhaal bij komen.

Arnoud

Zelf een extra beveiligingstag bijmaken voor je huis, mag dat?

Geplaatst op in Security, 31 reacties
Photo by Susanne Plank on Pexels

Via Reddit:

Ik ben recent verhuisd naar een nieuw huurappartement (voor 1 persoon). Bij het intrekken heb ik 1 toegangstag gekregen voor het complex. Mijn vriendin komt regelmatig langs en blijft soms slapen, en praktisch gezien zou een tweede tag heel handig zijn. Volgens de regels is het officieel “1 persoon = 1 tag”, dus extra tags zijn eigenlijk niet toegestaan. [Mag ik er zelf eentje bijmaken?]
Allereerst is het de vraag of dat wel kan, zelf een tag (laten) bijmaken. Simpele RFID-tags of druppels zijn inderdaad vaak triviaal te klonen, maar bij moderne apps lukt dat niet.

Er zijn vast trucs, maar dan kom je al snel in een schimmig gebied terecht. Een aspect daarvan werd in de comments aangestipt:

Afhankelijk van het type tag en het gebruikte systeem kan kopiëren zelfs worden aangemerkt als onbevoegde toegang of het omzeilen van beveiligingsmaatregelen.
Deze opmerking wijst op twee mogelijke serieuze juridische problemen. Allereerst het auteursrecht. In al wat oudere Amerikaanse jurisprudentie (Skylink en Lexmark) werd bepaald dat het klonen van een draadloze garagedeuropener telt als kraken van een toegangsbeveiliging van de software van het origineel. En dat is strafbaar plus kan tot enorme schadeclaims leiden.

Weliswaar kwam daar in hoger beroep een forse correctie, maar het beeld is blijven hangen dat iedere vorm van kopiëren, namaken of soms zelf aanroepen van andermans software in strafrechtgebied terecht komt. Ik meen onterecht

Een voor mij serieuzer probleem is of we hier te maken hebben met computervredebreuk. Door zo’n tag te klonen, creëer je wat strafrechtelijk een “valse sleutel” heet. De sleutel klopt technisch, maar is niet officieel en dús vals. (Ook een gestolen echte sleutel gebruiken telt wel als “valse sleutel”.)

Binnendringen in een computersysteem met een valse sleutel is strafbaar. En dat computersysteem is dus het kastje dat de toegangscontrole regelt. Ik realiseer me dat ik hiermee de normale verwachtingen van dit strafbaar feit oprek, maar dat is in lijn met de jurisprudentie.

In 2024 blogde ik over een geval waarbij een werknemer foto’s maakte van e-mails die hij nodig had voor een arbeidsgeschil:

Maar omdat hij ziek was, en het toch ook moeilijk “je werk” genoemd kan worden om bewijs te screenshotten voor een arbeidsgeschil, vindt de rechter dit een vorm van binnendringen met valse sleutel.
Hier zou het argument dan zijn dat je alleen naar binnen mag met een originele tag, fob of druppel. En jouw tag is hoe dan ook niet origineel, dus dring je binnen.

Tegenargument is dat je op zich wel naar binnen mag daar, en dat daar ook geen doelbinding aan zit: het is je woning. Niet je werkplek terwijl je ziek bent of na diensturen. Maar het gaat niet om in het huis zijn, het gaat om in die computer zijn. En daar mag je niet zijn met een nepsleutel.

Arnoud

 

 

Ben ik als particulier aansprakelijk voor datalekken bij mijn vakantiehuisje?

Geplaatst op in Privacy, 2 reacties
Photo by Cara Fuller on Unsplash

Een lezer vroeg me:

Ik verhuur (als particulier) een vakantiehuisje en gebruik voor de promotie en verhuurregistratie een WordPress site. Nu lees ik de afgelopen weken regelmatig over WordPress hacks en kwetsbaarheden. Als er door een hack gegevens van mijn website worden gelekt, ben ik dan aansprakelijk? Ik probeer eventuele updates wel regelmatig (tegenwoordig eens per week ongeveer) uit te voeren, maar ik kijk niet elke dag naar de website.
Formeel ben je ook als particulier die persoonsgegevens verwerkt, onderworpen aan de AVG. Er is inderdaad een uitzondering voor ‘natuurlijke personen’, maar dat gaat over het soort verwerking: een “zuiver persoonlijke of huishoudelijke activiteit” door een individu is uitgezonderd.

De definitie van zo’n activiteit is nogal beperkt. Overweging 18 omschrijft het als een handeling die “als zodanig geen enkel verband houdt met een beroeps- of handelsactiviteit” en noemt als voorbeelden het houden van adresbestanden en het sociaal netwerken.

Bij het verhuren van een vakantiehuisje kun je moeilijk volhouden dat dat “geen enkel” verband houdt met een handelsactiviteit. Verhuren is naar zijn aard een stukje handel, geld verdienen. Dat het particulier is en niet grootzakelijk, is een kwestie van schaal en niet fundamenteel.

Dus ja, als je particulier een vakantiehuisje verhuurt, daarbij WordPress inzet voor de boekingen en dan een datalek krijgt door gebrekkige beveiliging, dan kan de Autoriteit Persoonsgegevens optreden tegen die schending van artikel 32 (beveiligingsplicht). Het is jouw taak die beveiliging goed op orde te hebben, ook als je een derde inzet (zoals een ict-bedrijf) die het voor je regelt.

De vraagsteller heeft het in de vraag over “niet elke dag” controleren of er beveiligingslekken zijn. Dit kan indirect meewegen gezien zijn status bij de vraag of sprake is van nalatigheid, wat weer mede van invloed is op de hoogte van de boete (art. 83 lid 2 onder b AVG).

Overweging 148 voegt daaraan toe dat als het gaat om een “kleine inbreuk of indien de te verwachten geldboete een onevenredige last zou berokkenen”, de boete daarop bijgesteld moet worden. In de Boetebeleidsregels van de Autoriteit Persoonsgegevens worden geen expliciete uitzonderingen gemaakt voor natuurlijke personen, maar dit kader moet natuurlijk binnen de AVG-regels worden geduid.

Arnoud

Duitsland wil flitswaarschuwingsapps geheel verbieden, kan dat?

Geplaatst op in Uitingsvrijheid, 33 reacties
Photo by Sean D on Unsplash

De Duitse deelstaten pleiten voor een algeheel verbod van flitsmeldingenapps, zo meldde Der Spiegel onlangs. Momenteel is alleen gebruik in de auto verboden, maar dat is lastig te constateren door Der Politizei. Frankrijk heeft al zo’n verbod, maar Nederland laat dergelijke apps vrij. Hoe zit dat juridisch?

Duitsland heeft het zichzelf wat ingewikkeld gemaakt door niet het bezit van de apps te verbieden, maar enkel het gebruiken of “gebruiksklaar voorhanden hebben”. Zeg maar, de agent ziet dat Waze of Flitsmeister open staat op je telefoon bij de staandehouding. Dat is natuurlijk triviaal te vermijden.

In Frankrijk is het verbod strenger: de optie tot tonen van snelheidscamera’s of flitsers moet geheel uit staan, en de grote aanbieders zoals Google schakelen die informatie dan ook uit zodra je Franse data- of wifi-netwerken gebruikt. Dus ook als je snel wisselt naar een andere app, kan la police je beboeten.

Juridisch is de handhaafbaarheid van zo’n verbod nog onduidelijk. In de kern is het een inperking op de informatievrijheid: het mogen vertellen waar snelheidscontrole’s of flitspalen staan is immers gewoon een verspreiding van feiten aan het publiek.

De informatievrijheid inperken mag, mits voor een legitieme reden en “nationale veiligheid” en “voorkomen van strafbare feiten” zijn daar voorbeelden van. Ik zie wel hoe flitswaarschuwingen de effectiviteit van controles hinderen, want als je weet waar ze staan weet je ook waar ze niet staan en daar kun je dan gas op de plank geven.

Die inperking vereist wel een wettelijke regeling (zoals een strafrechtelijk verbod). Bovendien moet die wet noodzakelijk zijn voor het beoogde doel. Oftewel, kan het niet met minder of langs een andere route? Hier is volgens mij het laatste woord nog niet over gezegd.

Arnoud

 

 

Is ov-chipkaarten verkopen voor 37,50 een oneerlijke handelspraktijk?

Geplaatst op in Ondernemingsvrijheid, 22 reacties
Bron: Wikimedia Commons, Moeerd

Het is een veel voorkomende ergernis: ergens een product bestellen zoals de OV-chipkaart, en dan blijkt dat je veel meer betaalde dan bij de uitgever daarvan zelf (Trans Link Systems). Dat vonden ze bij TLS ook, want ze stapten naar de rechter om een verbod wegens oneerlijke handelspraktijken te eisen tegen het bedrijf Kings Online.

Het vonnis legt uit:

Kings Online biedt via twee websites (www punt reisproductaanvragen punt nl, en www.persoonlijkreisproduct.nl., verder: de websites) een bemiddelingsdienst aan, waarmee zij voor consumenten een OV-chipkaart bestelt. De consument moet daarvoor € 37,50 betalen. Als consumenten de OV-chipkaart via de website van de officiële uitgever Translink bestellen, bedragen de kosten daarvoor € 7,50.
Zowel Translink als reizigersorganisatie Rover vonden dat het bedrijf zich hiermee schuldig maakt aan oneerlijke handelspraktijken, omdat de websites en marketing van Kings Online misleidend zijn. Je zou makkelijk de indruk kunnen krijgen dat je gewoon bij TLS zelf een kaart bestelt, en dat die gewoon 37,50 kost.

De site is offline, maar via Archive.ph is een snapshot te bekijken. Het gaf mij meteen de indruk van wat ik “Welkom bij merknaam“-sites noem: héél neutraal over de exploitant, de merken en logo’s van het verkochte pontificaal in beeld en zo op de vlakte mogelijk over waar je bent en wat je gaat doen.

Zo ook hier: “Vraag nu je persoonlijke OV-chipkaart aan”, stockbeeld van mensen die in- en uitchecken en een helpdesk die voor je klaar zit. Je moet echt even zoeken voordat je “Reisproduct Aanvragen is een tussenpersoon en handelt niet voor of namens OV-chipkaart.nl” tegenkomt.

De rechtbank begint echter nog een stapje eerder, namelijk bij de Google-zoekresultaten. Daar zie je deze site als gesponsord resultaat bovenaan, met als belofte “direct regelen” en “binnen 5 minuten aangevraagd”. Nergens staat dan “wij bemiddelen bij TLS voor jou”.

Kom je op de site (klik op plaatje voor groot, uit vonnis), dan blijft het nog steeds nogal in het midden wat er gebeurt. Je wordt vooral het bestelproces in geleid. Die korte tekst dat men bemiddelaar is (wat hier een juridische vakterm is, en dus onduidelijk) verdwijnt dan heel snel uit beeld.

Deze consument komt dus naar alle waarschijnlijkheid in het bestelproces en rondt deze af zonder op de hoogte te zijn van het feit dat hij daarmee een bemiddelingsdienst heeft afgesloten, en niet zelf een OV-chipkaart heeft besteld. Dat dit veel consumenten ook daadwerkelijk is overkomen, blijkt ook uit de verschillende klachten die Rover heeft ontvangen of die te lezen zijn op websites als Trustpilot.
De kleurstelling van de site doet ook sterk denken aan die van NS en Translink. En vooral is onduidelijk welk voordeel je nou hebt bij het hier bestellen. Je betaalt 30 euro meer, er wordt algemeen geschermd met voordelen maar concreet wordt dat niet.

De aanbieder noemt in dit verband:

  1. een controle van de gegevens die gebruikers in moeten voeren voor de aanvraag van hun OV-chipkaart;
  2. de gebruiksvriendelijkheid (de technische uitvoering van de website;
  3. de informatievoorziening en de talen waarin de website wordt aangeboden); en
  4. de klantenservice.
Punt 1 is grofweg wat TLS zelf ook doet. Punt 2 is matig: je moet drie stappen doorlopen in plaats van zes, maar om nou te zeggen dat dat wezenlijk efficiënter is, meh. En inderdaad, deze site is in het Pools en Arabisch te gebruiken terwijl TLS alleen Nederlands en Engels kent. Er is een ‘eigen’ klantenservice, maar ook dat blijft wat vaag.

Alles bij elkaar ziet de rechter een duidelijke overtreding:

Uit het voorgaande volgt dat Kings Online zich schuldig heeft gemaakt aan oneerlijke handelspraktijken. De verschillende redenen daarvoor zijn los besproken, maar moeten in samenhang worden bezien. Doorslaggevend is het totaalbeeld dat (het gebruik van) de websites van Kings Online oproept bij de gemiddelde consument. Het gaat als het ware om de hele ‘reis’ van de consument, vanaf het moment dat de consument overweegt een OV-chipkaart aan te schaffen, totdat de dienst van Kings Online is afgenomen.
Dit op straffe van een dwangsom van 25.000 euro per dag met een maximum van € 500.000. De bestuurder van de bv wordt echter niet verboden om andere sites met ov-chipkaartbemiddeling op te zetten, wat ik frustrerend vind maar begrijpelijk: het is niet verboden zo’n site te hebben in het geval je géén oneerlijke handelspraktijken hanteert.

Arnoud

 

 

Geldt de 14-dagenperiode ook bij app-premiumabonnementen?

Geplaatst op in Ondernemingsvrijheid, 5 reacties
Photo by Markus Winkler on Unsplash

Via Reddit:

Op 18 januari hebben ik een proefperiode van een premium versie van een app gestart. De proefperiode zou duren tot 24 januari. Ik heb in mijn agenda genoteerd dat ik het op moest zeggen op de 23ste, maar ben dit vergeten (dom dom). Inmiddels is het abonnement (1jaar abonnement) ingegaan en is de betaling via de appstore afgeschreven. [Kan ik me beroepen op de wettelijke 14 dagen ontbindingsperiode?]
Veel premiumversies van apps werken inderdaad met een abonnementsmodel, waarbij je per maand of per jaar een bedrag betaalt voor de functionaliteit. Die komen vrijwel altijd met een korte proefperiode, zoals ook hier.

De hoofdregel dat je alle online gesloten overeenkomsten kunt annuleren (ontbinden) binnen 14 dagen, kent een aantal uitzonderingen. Apps heten onder de wet “digitale inhoud die niet op een materiële drager is geleverd”, en volgens art. 6:230p onder g BW is het retourrecht dan uitgesloten wanneer

  1. de nakoming is begonnen met uitdrukkelijke voorafgaande toestemming van de consument;
  2. de consument heeft verklaard dat hij daarmee afstand doet van zijn recht van ontbinding; en
  3. de handelaar een bevestiging heeft verstrekt [dat de overeenkomst is gesloten en afstand is gedaan, 230t lid 2]
Bij vrijwel alle app-aankopen wordt met deze constructie gewerkt. Je krijgt dan een popup of verplicht aan te vinken vakje dat je afstand doet van je recht van ontbinding, en direct daarna kun je de app meteen gebruiken. Aangenomen dat je dat ook in je bevestigingsmail te lezen krijgt, is je recht dan inderdaad vervallen.

Het gaat hier om een periodieke betaling in de vorm van een abonnement, niet een eenmalige prijs voor de digitale koop van die app. Voor mij is even de vraag of de aard van de overeenkomst daarmee verschuift naar dienstverlening. Ik neig naar van niet, omdat uiteindelijk wat je krijgt die app is. Niet “de dienst van het werkend houden van de app”, want de leverancier doet niets – de app staat aan en blijft aan.

Maar ook als je dit wel een dienst noemt, is de uitkomst hetzelfde. Volgens punt d van datzelfde artikel 6:230p BW kun je ook bij dienstverlening afstand doen van je recht van ontbinding mits je dat vooraf verklaart en de levering van de dienst meteen begint.

Arnoud

Ook als je ict-leverancier ISO27001 is, ben jij aansprakelijk voor de beveiliging

Geplaatst op in Ondernemingsvrijheid, Privacy, Security, nog geen reacties
Photo by Alex Suprun on Unsplash

Als je mailsysteem wordt gehackt, kan dat onder de AVG verwijtbaar zijn. Dat bepaalde het Gerechtshof Arnhem-Leeuwarden onlangs. Je bent als bedrijf zélf aansprakelijk voor je beveiliging, ook als je daar een bureau voor inschakelt.

Stel je koopt een nieuwe auto, krijgt betalingsinstructies van de garage gemaild en betaalt. Vervolgens blijken die instructies van een ‘hacker’ te komen. Wiens schuld is dat? Dat was de kwestie waar het Hof in 2024 zich voor gesteld zag. Zoals ik destijds blogde:

Die derde was kennelijk goed voorbereid: forensisch onderzoek op de logs liet zien dat er een paar wachtwoorden waren geprobeerd, en toen met succes kon worden ingelogd. Daarna is meegelezen in de mailbox, gespot dat iemand nog moest betalen en gauw een Duits IBAN gestuurd waar het geld naartoe kon. Slim en snel geschakeld, riekt wel ergens naar een inside job.
Het Hof had het vermoeden dat het autobedrijf haar beveiliging niet op orde had. Met name zat zij met de vraag waarom het bedrijf niet zelf de wachtwoorden had ingesteld, maar dat aan de ict-leverancier had overgelaten. Daarom kreeg het bedrijf de opdracht aan te tonen dat zij wél adequaat had gehandeld, en dus onder de AVG niets te verwijten zou zijn.

Medio 2025 verscheen een vervolgarrest waarin het Hof concludeerde dat het bedrijf haar zaakjes niet op orde had. Het bedrijf had met name gewezen op haar beperkte omvang en het feit dat zij zwaar leunde op een ISO 27001 gecertificeerde leverancier. Dat is allemaal mooi en aardig, maar het maakt niet dat je niet meer aansprakelijk bent als er dan toch wat misgaat. (Misschien kun je de schade verhalen op de leverancier, maar dat is iets tussen jullie twee.)

Het grootste probleem was echter dat de uitleg bleef steken in algemeenheden (“[Leverancier] zorgt ervoor dat alles 24/7 gemonitord wordt op o.a. het functioneren en security gerelateerde issues.”), zodat niet duidelijk wordt wat hier specifiek dan misgegaan was. Het Hof las dan ook over een door de leverancier ingesteld wachtwoord en concludeert vervolgens dat de beveiliging niet in orde was.

Bleef over de vraag of het autobedrijf dan werkelijk de volle 100% van de schade moest vergoeden. Heb je als koper niet ook een stukje onderzoeksplicht, phishing en oplichting is immers aan de orde van de dag.

Het eindarrest laat zien dat er door het bedrijf met de koper was gemaild over de eindafrekening. Het laatste bericht had als strekking “als je de auto morgen wilt ophalen, wil je dan vandaag betalen”. Vlak daarna sprong de hacker in de mailketen met betaalinstructies. Inderdaad, héél knap als dat zuiver toeval is geweest.

Geen argwaan nodig dat er instructies volgen nadat is gezegd “wil je vandaag betalen”. Alleen, de koper had misschien wél moeten zien dat er nu een ander IBAN werd verschaft (uit Duitsland) dan waarop de aanbetaling (Nederland) was gedaan. En bij het internetbankieren had zijn bank dan (waarschijnlijk) gezegd dat zij niet konden zien of die rekening echt van [autobedrijf] was. De koper had dus even moeten navragen of het klopt, dat nu het geld naar Duitsland had gemoeten.

Tegelijk oordeelt het Hof ook dat óók een kleine onderneming moet doen wat ze kan op cyberbeveiligingsgebied. Hier betekent dat: beheer je eigen wachtwoorden. Uitbesteden van je security is loffelijk, maar betekent niet dat je op álles achterover moet leunen. Alles bij elkaar moet het bedrijf daarom de helft (13.000) van de schade vergoeden.

Arnoud

 

Kun je auteursrecht op een ChatGPT-prompt hebben?

Geplaatst op in Intellectuele rechten, 2 reacties
Photo by Berke Citak on Unsplash

Of er auteursrecht rust op AI-uitvoer, daar kun je gerust over twisten. Minstens zo interessant vind ik de discussie of je auteursrecht kunt claimen op je prompt, de invoer waarmee zo’n AI-systeem uitvoer voor je samenstelt. Een Chinese rechtszaak geeft hier een paar leuke ideeën voor.

Auteursrecht ontstaat automatisch (“van rechtswege”) zodra je een werk maakt. Tekst, ook kort, kan zeker een werk zijn. De enige twee vragen zijn inhoudelijk: is sprake van creatieve arbeid van de schrijver daarvan, en zien we die terug in het werk?

Een recent vonnis uit China ging over precies deze kwestie. De eiser maakte afbeeldingen met de dienst Midjourney, die bij elke afbeelding de gebruikte prompt publiceerde. De gedaagde had die prompts overgenomen en gebruikte ze om eigen, concurrerende afbeeldingen mee te maken. De gelijkenis viel op, en dat leidde tot deze rechtszaak.

De eiser maakte de vergelijking met een filmscript. Dat is weliswaar een instructie (doe dit, zeg dat, ga zo bewegen) maar duidelijk ook een artistieke keuze van de regisseur en scriptschrijver.

Ik zie echter wel een verschil met een AI-prompt: die heeft ook een functionele rol. Ik zou een prompt eerder met een computerprogramma vergelijken. Ook daar maak je creatieve keuzes bij het schrijven, maar je hebt wel te maken met bepaalde eisen of functionele beperkingen. Dat ding héét nu eenmaal interrupt 21h en die wenst alleen met mov aangesproken te worden.

De Chinese rechter onderkent dit ook:

[T]he six sets of prompts in question are essentially instructions or descriptions entered by the user into the AI system to guide the AI in generating specific images. Formally, although they contain various elements, these elements are simply listed without grammatical or logical connections, failing to form a language expression with an inherent structure; the keyword groups are in a disordered combination, lacking both structural progression and a narrative sequence.
Het ontbreken van die eigen ordering of narratief maakt dat deze prompts niet als beschermd werk gezien kunnen worden. Dit was te zeer functioneel, gewoon een lijst met gewenste trefwoorden en keuzes. Daar zal best veel creatief denk- en experimenteerwerk achter hebben gezeten maar dat zie je niet terug aan de woorden. En daarom rust er geen auteursrecht op.

Ook ziet de rechter een gevaar met auteursrecht toekennen op zulke korte instructiesets. Hierdoor zouden in essentiel bepaalde instructies gemonopoliseerd kunnen worden, wat te zeer botst met de algemene vrijheid van meningsuiting.

Een lange, meer als verhaal of schets vormgegeven prompt zou dus in principe nog voor auteursrecht in aanmerking kunnen komen. De lastige vraag die nu blijft liggen, is of je dan de afbeelding als afgeleid werk (verveelvoudiging in gewijzigde vorm) van de prompt zou kunnen aanmerken. Ik denk zelf van niet, om de simpele reden dat je de prompt niet kunt terugzien in het werk.

Arnoud