Als je open source als gratis leverancier ziet, dan krijg je dus dit

| AE 13123 | Intellectuele rechten | 10 reacties

Enige ophef op Twitter: OSS-developer Daniel Stenberg kreeg een nogal bars klinkende mail van een gebruiker, die hem als “Maxx Team Partner” aanschreef en graag binnen 24 uur wilde horen hoe zijn bedrijf was ingericht op het afdekken van risico’s rondom de enorme log4j bug van onlangs. “What is the timeline for completing remediation? List the steps, including dates for each.” Eh. Als ik daar leverancier was, zou ik dit niet heel lief vinden. Maar als je enkel iets op internet had gezet?

Het enige logische antwoord is wat Stenberg ook gaf: “I’d be happy to answer all the questions as soon as we have a support contract.” De algemene tip die ik al eerder aanried: OSS drijft op de gedachte van communities. Iedereen helpt elkaar, en daar kan iedereen dus terecht. Maar bedrijven werken met contracten, om zekerheid (althans, de illusie van) te realiseren en om leveranciers bij de nekharen te kunnen grijpen als blijkt dat er iets misging. A throat to choke, extern de schuld neerleggen zeg maar.

Open source licenties zijn natuurlijk contracten, dus als je als bedrijf software van Stenberg installeert (hij maakte onder meer cURL) dan heb je een leveranciersrelatie. Zou je kunnen zeggen als rechtlijnige inkoper. Maar er is dan in het geheel geen sprake van zelfs maar enige inspanningsplicht bij Stenberg, hier is de software en als ‘ie breekt, mag je de stukjes houden. Of zelf aanpassen, zie maar. Dat is de gedachte achter open source: je kunt er zelf mee aan de slag, veel plezier verder.

Ondertussen zijn we denk ik op het punt dat dit geen groot risico meer zou moeten zijn. Veel bedrijven stoppen hun interne pipeline en producten dan ook vol met open source, en ontdekken pas de problemen als er dingen zoals log4j zich voordoen: een kwetsbaarheid in een breed gebruikt stuk software, dat eigenlijk nauwelijks onderhouden wordt omdat die ene aardige man uit Nebraska er niet zo’n zin meer in heeft.

Helaas verbaast het me toch niet dat je zo’n reactie krijgt van een bedrijf dat al jaren gratis die software gebruikt. Het is natuurlijk juridisch complete onzin, je hebt niets te eisen als je geen afspraak over dat onderwerp hebt gemaakt. En zeker waar het gaat om gratis aangeboden software waarbij nadrukkelijk geen enkele verwachting werd gewekt, is dit ook nog eens moreel niet zo netjes. Maar ik snap het wel, dat is nu eenmaal de reflex waar je mee komt als je software van derden gebruikt die lek blijkt te zijn.

Toch zou het goed zijn als organisaties wat vaker op zoek gaan naar mogelijkheden om OSS projecten te sponsoren. Niet perse als dure SLA, maar betalen voor een stuk ontwikkeling voor de toekomst of een preventieve securityscan, het zou geen gek idee zijn. Natuurlijk, daar profiteert de concurrent dan weer van, maar we hebben het hier over software die per definitie geen competitief voordeel geeft, dus of dat nou de ergste reden moet zijn?

Arnoud

Makers van cheatsoftware voor PUBG Mobile moeten 10 miljoen dollar betalen

| AE 13121 | Ondernemingsvrijheid | 2 reacties

Krafton en Tencent, respectievelijk de ontwikkelaar en uitgever van PUBG Mobile, hebben een rechtszaak gewonnen tegen een hackgroep. Dat las ik bij Nu.nl vorige week. Rechtbanken in de Verenigde Staten en in Duitsland hebben de groepsleden veroordeelt tot zo’n 10 miljoen dollar (8,8 miljoen euro) aan schadevergoeding. Het is de eerste keer bij mij weten dat zo’n groot bedrag wordt toegewezen; het laat maar zien hoe belangrijk cheats bestrijden is tegenwoordig.

Zoals ik vorig jaar april schreef, cheaten of valsspelen kan zeer lucratief zijn, denk aan de vele toernooien waar je geld verdient door goed te spelen. Of alleen maar het makkelijker kunnen veroveren (en daarna verhandelen) van zeldzame spullen of het uplevelen van een personage dat je daarna overdraagt aan een luie medespeler. De grote game-aanbieders hebben er dan ook al jaren lang een dagtaak aan om valsspelers buiten de deur te houden.

Deel van die dagtaak wordt ingevuld door advocaten, en niet ten onrechte want dit is bij uitstek een civiele kwestie. Het stoort me juist dat er vaak politie of OM bijgehaald wordt, zoals dus vorig jaar april waar de Chinese autoriteiten ingrepen. Cheaten is overtreden van zelfverzonnen spelregels, dat moet je dus zelf oplossen.

Complicatie is dan natuurlijk dat je spelregels alleen kunt handhaven tegen mensen die je spel komen spelen. Wie zomaar het veld oprent en de bal in het doel gooit, is geen voetballer die hands maakt, maar ook weer geen erfvredebreukpleger waar je de politie voor belt. Daar kent het recht de onrechtmatige daad voor, in het Engels de tort. Op die grond kun je schadevergoeding eisen, mits je kunt vaststellen dat de schade door die persoon is veroorzaakt.

Helaas is het vonnis noch in de VS noch in Duitsland zo te lezen al openbaar. Dat is jammer, want ik ben wel heel benieuwd wat de grond voor de claim precies is. Stiekem toch auteursrechtinbreuk, het namaken/aanpassen van de software om zo de cheat te kunnen laten werken? Of gewoon de open norm van onrechtmatig handelen waarmee je een ander schade aandoet? Ik zie in dat laatste meer mogelijkheden namelijk.

Of men ook werkelijk de tien miljoen krijgt, is voor mij een vraag: welke hackgroep heeft dat bedrag op de plank liggen voor een eisende partij? Maar men heeft al wel toegezegd dit in te zetten voor de versterking van de anti-cheatmaatregelen die er al zijn. Een sympathiek gebaar, veel spelers juichen het juist toe als cheaters uit het spel geweerd worden.

Arnoud

Banken mogen onbewerkte ID zien, maar alleen gewatermerkt (en zonder bsn/foto) bewaren

| AE 13119 | Ondernemingsvrijheid | 13 reacties

Voor het (opnieuw) identificeren en verifiëren van de identiteit van de consument mag de bank een foto of scan van een onbewerkt ID-bewijs opvragen. Dat bepaalde geschillencommissie Kifid onlangs. Echter, voor het vastleggen en bewaren van een kopie van dit ID-bewijs moet de bank de pasfoto afschermen en een watermerk aanbrengen om misbruik te voorkomen. Deze uitspraak zet een mooie streep in het zand, die hopelijk ook werkelijk gaat leiden tot herziene procedures. (Ik ben altijd wat cynisch over bureaucratische procesvernieuwing.)

Even voor de duidelijkheid: het Kifid is een geschillencommissie, waar alle banken wettelijk verplicht bij aangesloten zijn. De uitspraken van het Kifid moeten zij dus opvolgen. En dat zou goed nieuws zijn – deze uitspraak is zo logisch dat ik ‘m als modelantwoord zou gebruiken bij onze opleiding tot privacyjurist.

De kern: wie bij een bank zit, moet met enige regelmaat een kopie ID overleggen. Zeker nu moet dat vrijwel altijd digitaal, en soms zelfs via de e-mail. Daar krijg ik veel vragen over, maar in de kern moet dit want in verband met anti-witwaswetgeving (de Wet ter voorkoming van witwassen en financieren van terrorisme, Wwft) is identiteitscontrole van je klanten verplicht.

Daar zit meteen ook het punt, want het gaat om verifiëren van iemands identiteit (artikel 3 Wwft). De ouderwetse methode is dan dat iemand naar de balie komt (haha, een balie van een bank, stel je voor, in een toegankelijk gebouw zeker) en daar zhaar identiteitsbewijs laat zien. De medewerker kijkt daarnaar, controleert de echtheidskenmerken en vergelijkt de foto. Als alles in orde is, zet de medewerker een vinkje bij “verificatie in orde” en we zijn er.

Dit verklaart waarom een bank een onbewerkte (dus niets afgeschermd en geen watermerken) kopie van een identiteitsbewijs mag eisen. Echtheidskenmerken kunnen zijn afgeschermd of verminkt door zo’n bewerkte kopie. En omdat het wettelijk verplicht is te toetsen aan die kenmerken, moet de bank dus een originele, volledige kopie van het identiteitsbewijs hebben.

Er is echter nog een plicht, namelijk het bewaren van zekere bewijsstukken van die verificatie. Dit is geregeld in artikel 33 Wwft, en de bank beroept zich daarop om die kopie identiteitsbewijs te mogen bewaren. Dat is verdedigbaar, want de wet noemt een “afschrift” van je identiteitsbewijs als iets dat moet worden bewaard. Alleen: pasfoto en echtheidskenmerken zijn nu niet meer relevant, want de check is al gedaan. Dit moet de bank dus afschermen bij het opslaan van de kopie.

En het Kifid gaat nog een stapje verder: de bank moet actief de kopie voorzien van een watermerk of iets dergelijks, zodat bij een datalek de kopie niet zomaar gebruikt kan worden. Doet zij dat niet (de ABN Amro had hier gesteld dat dit onmogelijk was) dan mag ze de kopie niet bewaren, want dat is te onveilig voor de consument.

De discussie over het bsn is ook nog het vermelden waard. Het bsn staat op het identiteitsbewijs, maar de Wwft schrijft niet voor dat de bank dit moet gebruiken bij die identiteitscontrole. (Zorgverleners en zorgverzekeraars bijvoorbeeld wel.) En als het niet moet, dan mag het niet.

Althans, niet in het kader van de Wwft-verificatie. De bank is wél verplicht het bsn te gebruiken in de communicatie met de Belastingdienst (Algemene wet inzake rijksbelastingen) en de DNB (het depositogarantiestelsel). Op die wettelijke grond moet de bank dus het bsn opvragen, en dat mag best tijdens dat verificatieproces gebeuren. Daarom hoeft de bank het bsn niet af te schermen, mits ze maar wel de consument uitlegt waarom ze dat niet doet.

Dit stukje snap ik niet helemaal, want je kunt prima na de verificatie – dit is het bsn van Wim – het bsn apart opslaan en het daarna op de kopie onleesbaar maken. Die Awr en DNB-regels eisen namelijk niet dat je een kopie identiteitsbewijs moet kunnen tonen om aan te tonen dat je het juiste bsn had. En het is wel een serieus risico als een bsn uitlekt. Maar goed.

Samenvattend: De consument mag niet schrijven op de foto of scan die zij aanlevert ter identificatie. Zij mag wel van de bank eisen dat de kopie die zij vastlegt en bewaart bewerkt wordt. En de bank weet nu dat die bewerkte kopie voldoet aan de Wwft.

Arnoud

 

 

 

 

Is een Synology Cloudstation juridisch gezien een backup? #zorgplichtdeelzoveel

| AE 13117 | Ondernemingsvrijheid | 13 reacties

Als je klant je vraagt een backupoplossing te installeren, en jij schuift een Synology Cloudstation naar binnen, heb je dan aan je zorgplicht voldaan? De rechtbank Noord-Holland oordeelde recent van wel in een zaak tussen een tandartspraktijk en een ICT support dienstverlener. Na dat configureren van de Cloudstation bleek er iets niet goed te zijn gegaan,… Lees verder

Wie is er aansprakelijk voor een gebroken onderzeekabel als dat door een vulkaanuitbarsting kwam?

| AE 13115 | Informatiemaatschappij | 5 reacties

De zeekabel die eilandengroep Tonga met de buitenwereld verbindt, is door de onderzeese vulkaanuitbarsting van afgelopen zaterdag beschadigd geraakt. Dat meldde Tweakers afgelopen maandag. Die breuk zit op een afstand van 37 kilometer uit de kust van Nuku’alofa, de hoofdstad van Tonga. Even een nieuwe trekken zit er niet in, mede vanwege de kans op… Lees verder

Hoe veel varianten van Wordle mogen er in de App Store bestaan?

| AE 13111 | Intellectuele rechten, Ondernemingsvrijheid | 3 reacties

Apple heeft meerdere klonen van het populaire spel Wordle uit de App Store verwijderd, las ik bij Tweakers. Diverse varianten van de woordleggame stegen in korte tijd in populariteit, maar dat leidde tot kritiek dat de games gekopieerd waren en geld verdienden aan de hype. Het origineel is namelijk gratis en zou dat ook blijven,… Lees verder

OM eist vier jaar cel tegen man wegens fraude met zelfgemaakte cryptovaluta

| AE 13109 | Ondernemingsvrijheid, Regulering | 6 reacties

Het Openbaar Ministerie heeft vier jaar cel geëist tegen een 40-jarige man uit Deventer, meldde Tweakers onlangs. De man zou pump-en-dumpacties hebben uitgevoerd met de coins ERSO, MALC, Europ en TulipMania. “[I]n deze zaak was er sprake van oplichting, het manipuleren van de markt, het verstrekken van valse informatie over cryptomunten en het verzwijgen en… Lees verder

Mag mijn provider me anno 2022 een IPv4 only verbinding geven?

| AE 13105 | Ondernemingsvrijheid | 18 reacties

Een lezer vroeg me: Mijn ISP levert mij de dienst ‘internet’, maar levert alleen een verbinding via IPv4, niet via IPv6. Nergens wordt gesproken over een IPv4 only dienst. Levert de provider mij nu een onvolledige dienst? Het internetprotocol (IP) is de basis van het internet. Pakketjes met data worden dit protocol verzonden en ontvangen (of… Lees verder

Een popup bij het inloggen is geen toestemming om je mail te lezen

| AE 13102 | Ondernemingsvrijheid, Privacy | 15 reacties

Snelle quiz voor vrijdagochtend: als het loginscherm van je werk “Users of this system expressly consent to such monitoring and are advised that if such monitoring reveals possible criminal activity security staff may provide the evidence of such monitoring to law enforcement officials.” zegt, mag je baas dan je systeem monitoren? Het even snelle antwoord van de… Lees verder

Hoe krijg ik security op de kaart bij mijn kinderopvang?

| AE 13099 | Informatiemaatschappij, Privacy | 5 reacties

Een lezer vroeg me: Onze kinderen gaan naar de kinderopvang. Het bureau gebruikt hiervoor een SaaS-platform van een derde, met daarin dus alle persoonsgegevens (inclusief bsn en benodigde gezondheidsinformatie). Maar meer dan een wachtwoord wordt er niet gebruikt, en je mag zo te zien onbeperkt wachtwoorden proberen. Ik maak me daar grote zorgen over, ik… Lees verder