Internetrecht door Arnoud Engelfriet

De Hamburgse privacytoezichthouder heeft Facebook verboden om WhatsApp-data van Duitse gebruikers voor eigen doeleinden te gebruiken. Dat meldde Tweakers afgelopen vrijdag. Het besluit van de Hamburgse commissaris met de onuitsprekelijke afkorting HmbBfDI heeft te maken met de gewijzigde gebruiksvoorwaarden van WhatsApp, die een dergelijke koppeling zouden autoriseren. Tegelijk was bij de overname van WhatsApp door Facebook nadrukkelijk gezegd dat dit in Europa niet mocht gebeuren. Dus hoe zit dit nou?

‘Je kunt niet volledig gebruikmaken van WhatsApp totdat je de updates aanvaardt. Voor een korte periode kun je nog wel oproepen en meldingen ontvangen, maar je kunt geen berichten lezen of verzenden via de app.’ Dat dreigt WhatsApp dus al een tijdje om mensen zo ver te krijgen de nieuwe voorwaarden van hun dienst te accepteren. Deel dan gewoon mee dat je de voorwaarden aangepast hebt, denk ik dan; op deze manier toestemming afdwingen is in geen enkel rechtsstelsel bindend. Maar goed.

Het probleem is natuurlijk dat WhatsApp sinds haar oprichting altijd zei dat ze nooit persoonsgegevens aan anderen zou geven, en dat na de overname door Facebook dit altijd in de lucht hing, door voorlichters met mooie praatjes weg werd gebagatelliseerd en er dan nu toch komt. (Ik ga geen moeite doen de babbelzinnen over gebruikservaring op te zoeken, we weten allemaal dat het gaat om de extra profileringsdata.)

Onderdeel van de goedkeuring van de overname van WhatsApp door Facebook was de aanname dat de twee diensten niet gecombineerd zouden zijn. Dat kon ook niet, aldus Facebook, vanwege fundamentele technische redenen. Dat bleek in 2017 toch anders te liggen, reden voor de EU om 110 miljoen boete op te leggen en het nogmaals te verbieden. En op papier klopt het ook; WhatsApp zal in Europa gewoon blijven werken zoals het deed en geen data delen.

Ja, zeggen ze. Precies. Want dat is waar de ophef vandaan komt. Waarom moet ik akkoord gaan met nieuwe voorwaarden als er niets verandert voor mij? Wat probeert men alsnog stiekem af te dwingen met zo’n enorm chantage-machtsmiddel? Ik snap best dat mensen zich daar zorgen over maken. Goede stap dus dat de HmbBfDI (AP is toch makkelijker) expliciet een verbod oplegt, hoewel ik niet kan vinden of er meteen een dwangsom of boete bij hangt.

Uiteraard zegt WhatsApp dan dat dit besluit berust op een misverstand en dat men gewoon doorgaat omdat er niets aan de hand is. Als er niets aan de hand was, dan zou een normaal bedrijf zeggen “We houden ons keurig aan dat verbod want dit gingen we helemaal niet doen”. Dus ik blijf skeptisch.

Arnoud

Een lezer vroeg me:

Als freelance programmeur krijg ik allerhande vragen, maar dit is toch wel de gekste: een man wil graag dat ik software maak om bij een niet nader te noemen spel onopvallend vals te spelen. Hij had gelezen dat ik bepaalde kennis heb waarmee dat inderdaad een heel eind moet kunnen, en hij is bereid daar goed voor te betalen. Maar, afgezien van het ethische aspect hieraan, mag dit überhaupt wel? De EULA van het spel vermeldt natuurlijk in koeienletters dat valsspelen verboden is. Ben ik strafbaar als ik hem help?

Omdat jij de EULA niet hebt geaccepteerd, kan de spelaanbieder je ook geen boete opleggen die in de EULA staat, of je van het spel verbannen – je zit ook niet in het spel, dus de regels van het spel raken jou niet.

Mogelijk dat je in auteursrechtelijke problemen komt als voor het maken van jouw valsspelsoftware het nodig is om de bestaande software aan te passen. Je mag een protocol reverse engineeren en daar dan je eigen client of server voor schrijven, maar niet de client reverse engineeren en klonen in aangepaste vorm.

Mijn gevoel zou zijn hier niet op in te gaan. Niet zozeer vanwege de kans op claims, maar vooral vanwege dat ethische aspect. En de heisa die er omheen komt. Iemand die expliciet wil valsspelen, gaat die ook echt betalen? Is die eerlijk over jouw aandeel als er problemen komen? Ik zou zo’n klant niet willen hebben.

Arnoud

Een zak met tientallen ongeopende kleine pakketjes kopen voor 50 euro. Dat klinkt misschien als een slechte deal, maar er zijn genoeg mensen die er oren naar hebben. Dat las ik bij de NOS onlangs. Het zou gaan om restpartijen van geretourneerde (of onbestelbare) bestellingen van AliExpress en andere grote webwinkels, die vanuit het distributiecentrum dan maar in bulk worden verkocht. De politie ziet geen strafbaar feit, en de ACM kwalificeert deze praktijk als “vaag”. Eens zien of we wat preciezer kunnen worden.

Ik lees dat deze praktijk al enige tijd populair is. Op zich is het ook niet zo gek, als je heel veel volume draait met afstandsverkoop maar geen geld wil steken in het uitpakken en terug in het magazijn steken van een retour. Of je hebt geen magazijn, omdat je via dropshipping alles direct vanuit de fabriek naar de klant laat gaan. Weggooien kan altijd nog; als iemand ze zonder te kijken voor 50 euro de kilo wil hebben, waarom dan niet?

Er zit natuurlijk soort van een luchtje aan, zijn die pakketten niet gestolen door bezorgers bijvoorbeeld? Zoals bij RTL te lezen is,

Sara en Sascha hebben allebei geen idee hoe de verkopers aan de producten waren gekomen. “Ik heb het niet gevraagd. Ik heb het idee dat het illegaal is. Het zijn geen producten die geadresseerd zijn in Nederland, maar buitenlandse pakketjes”, vertelt Sascha.

Voor mij is meer de vraag hoe zeer je moet hopen op dure dingen, want dat is natuurlijk waar men op speculeert. (Hela, die analogie klopt dus nog best aardig.) Natuurlijk zal iemand best eens dure oordopjes kopen en kan zo’n bestelling op zo’n berg belanden, maar a) de distributeur zal die er denk ik zelf uitvissen en b) we hebben het wel over AliExpress en niet de Apple Store. Zoals ze bij Chinafans al zeggen, “Maar denk even na over wat mensen doorgaans bestellen op AliExpress. Het zijn veelal producten tussen de € 0,50 en € 5,00. “

Koop je zo’n zak en valt deze tegen, dan denk ik dat je weinig kunt doen. Er wordt immers nadrukkelijk niets beloofd over de inhoud, dus claimen dat de inhoud te goedkoop is, dat heeft geen zin. Ik twijfel zeer of je zo’n aanschaf als een koop op afstand (met 14 dagen retourtermijn) mag aanmerken, want daarvoor is een systeem voor verkoop op afstand nodig. Wat ik hiervan zie, is dat het incidenteel en individueel gaat, zodat voor mij niet aan die eis is voldaan. Kopen, openmaken en terugsturen zit er dus niet in.

Arnoud

ParkeerWekker, een door de rechter in Amsterdam verboden dienst voor gebruikers om scanauto’s te detecteren als ze voorbij hun auto of gebouw rijden, stelt dat opgelegde bekeuringen door een scanauto mogelijk in strijd met de privacywet zijn. Dat meldde Tweakers onlangs. Het argument is dan dat die bekeuringen waarschijnlijk automatisch worden uitgedeeld, met hooguit steekproefsgewijs… Lees verder

Via Twitter: Het logo van WhatsApp op de borden [met “Attentie buurtpreventie” zie hiernaast] heeft geen enkele functie bij het attenderen van burgers op de aanwezigheid van buurtpreventie. Het is dus weldegelijk reclame. Dit haakt in op een discusssie de de Piratenpartij Delft voerde met de gemeente, naar aanleiding van diens oproep om een vragenlijst… Lees verder

Een lezer vroeg me: Zoals heel veel SaaS-diensten bied ik accounts aan voor bedrijfsmatig gebruik: één account per gebruiker, maar gekoppeld via een bedrijfsabonnement. Ben ik nu verwerker voor de gegevens in die accounts? Het valt me inderdaad op dat vele SaaS-dienstverleners denken dat ze verwerker zijn omdat ze persoonsgebonden accounts hebben. Dat is alleen… Lees verder

De Stichting Internet Domeinregistratie Nederland (SIDN) hoeft de zonefile van het .nl-domein, die alle domeinnamen eindigend op .nl bevat, niet aan het bedrijf Dataprovider te verstrekken, zo heeft de Autoriteit Consument & Markt (ACM) geoordeeld. Dat las ik bij Security.nl begin deze week. Dataprovider wilde de zonefile van het .nl-domein omdat dit behulpzaam zou zijn bij het leveren… Lees verder

Een lezer vroeg me: Als zelfstandig security onderzoeker en pentester heb ik natuurlijk allerlei tools om sites en diensten te checken. In theorie zou je dat strafbare middelen kunnen noemen, want ik kan er ook zonder opdracht mee gaan werken en dan ergens binnendringen, ik pleeg dan computervredebreuk. Hoe ziet de wet het verschil? Het… Lees verder

Cryptoplatform Bitcoin Meester hoeft veertien transacties van een klant die daarmee vierduizend procent winst maakte maar wegens een systeemfout werden teruggedraaid niet te vergoeden, las ik bij Security.nl. Ook hoeft men geen ruim 42.000 euro schadevergoeding te betalen vanwege misgelopen winst. Dit alles op gezag van de rechtbank Amsterdam die aldus vonniste nadat de klant… Lees verder

Bol.com heeft 750.000 euro overgemaakt naar oplichters nadat het bedrijf in een phishingmail was getrapt, las ik bij Tweakers. De rechtbank Midden-Nederland oordeelde recent dat men argwanender had moeten zijn. Weliswaar klopte het afzendermailadres (door een computerhack) en leken ook layout en namen correct, maar het taalgebruik was van het niveau Google Translate halfbakken Engels en… Lees verder