Internetrecht door Arnoud Engelfriet

Videobelbedrijf Zoom heeft zijn excuses aangeboden voor de vele beveiligingslekken die in de software blijken te zitten. Dat meldde Tweakers onlangs. En dat was weer vlak nadat mijn kantoor blogde dat Zoom AVG-compliant is en nadat ik zelf een webinar met die tool gaf. Dit is dus waarom juristen altijd “in principe” bij zoiets zeggen. Maar ik ben er wel een beetje klaar mee, al dat Amerikaanse nepgedoe over we value your privacy.

Er gaat een meme rond met een zogenaamde bedrijfsquiz: wie leidde de digitale transformatie in jouw bedrijf? Antwoord A: de CEO. B: de CTO. C: COVID-19. Haha, ja. Maar er zit wel een kern van waarheid in, want waar overal thuiswerken vrijwel altijd een probleem was en videoconferencing een belachelijk alternatief was voor gewoon een vergadering (en “kunnen we Slacken” dan wel “kan dat in een e-mail” alleen een vraag voor nerds was), zit iedereen nu plotsklaps de hele dag te thuiswerken, met videoconferencen en een bedrijfschat open. (Ik werk zelf alleen per e-mail maar ik ben een ouderwetse nerd.)

Voor dat alles zijn enorm veel tools beschikbaar, maar vrijwel allemaal zijn ze groot en Amerikaans. En natuurlijk weten die clubs van de GDPR, dus dat staat in mooie woorden op hun site. Maar toch gaat het steeds maar mis. En hoewel foutjes kunnen gebeuren, ook in Europa, gaat het wel heel váák mis. En dan ook nog eens precies op de punten waarvan je vanuit AVG-perspectief zegt “hoe kon je überhaupt dénken dat die kant op iets inbouwen érgens goed voor was”, in het jargon “had even een DPIA gemaakt”. Wat mij er dus van overtuigt dat het geen foutje is maar een misfeature vanuit Amerikaans denken.

En Amerikaans denken is “privacy bestaat niet als je de voordeur dichtdoet / als je online gaat”, want dat is een grondrecht voor bij jou thuis, niet bij anderen. Een online tool kan dus doen en laten wat het wil, zolang het maar commercieel handig is. Daarom gaat het steeds mis, er wordt gewoon niet nagedacht over privacy en grondrechten maar men bouwt maar wat en zegt dat het modern en handig is.

Er is dan een héleboel kunst- en vliegwerk nodig om dat weer recht te breien. Of dat nou een betaalde G-suite met een heleboel extra configuratie is of een lokaal gehoste SaaS oplossing, het kan vast wel maar het blijft lapwerk. Want als iets fundamenteel niet gemaakt is om aan bepaalde eisen te voldoen, dan lekt er altijd wel ergens iets.

En dan denk ik, als we nu toch bezig zijn met die digitale transformatie en het moet maar, waarom pakken we dan niet één tandje door om te zeggen, hoe krijgen we een échte Europese, veilige oplossing ingericht?

Arnoud

Het schenden van de gebruiksvoorwaarden van een site is toch geen computervredebreuk, las ik bij Ars Technica. Een federale rechter in Washington, DC heeft geoordeeld dat de strenge Amerikaanse Wet Computercriminaliteit (Computer Fraud and Abuse Act) niet van toepassing is enkel omdat iemand op een site actief is in strijd met de gebruiksvoorwaarden. Dat zal enige rust geven bij veel onderzoekers, want in de literatuur werd vaak gedacht van wel: je bent dan immers ergens waar je niet mag zijn, en dat zou naar de letter van de wet al computervredebreuk zijn. Maar de rechter wijst erop dat je dan private partijen de strafwet laat schrijven, en dat is natuurlijk niet de bedoeling.

De zaak was aangespannen door onderzoekers die raciale discriminatie wilden vaststellen op banenzoeksites. Daarvoor moeten ze data scrapen van die sites, iets dat in de voorwaarden natuurlijk verboden is. Ook wilden ze nepprofielen aanmaken, en ook dat is tegen de voorwaarden. Hun zorg was niet dat ze dan een schadeclaim zouden krijgen (wat in theorie kan, mits de schade aan te tonen is) maar vooral dat de sites dan de FBI op ze los zouden laten wegens computervredebreuk.

De CFAA verbiedt namelijk ” intentionally accessing a computer without authorization or in excess of authorization”, waarbij onduidelijk is wat “authorization” dan precies is. De gedachte dat dat is wat men toestaat in de gebruiksvoorwaarden is geen gekke; op iemands privé-eigendom mag je doen wat die je toestaat en niet meer, dus dat zou ook bij computers gelden. Dat maakt het wel heel makkelijk voor site-eigenaren om ongewenst gedrag af te schrikken: formuleer een verbod en bel de FBI (het is een federale wet immers) wanneer iemand het toch doet.

Met name bij onderzoekers in securitygebied gaf dit veel zorgen, maar ook in andere gebieden zoals hier onderzoek naar gedrag van grote sites is dit een punt van zorg. Daarom de rechtszaak, die overigens mede ingestoken was op het First Amendment want als onderzoeker niet mogen zoeken in openbare data is toch wel een ernstige inbreuk op je informatievrijheid – ook het vergaren van informatie valt onder dit recht, namelijk. Ook bij ons.

De rechtbank heeft dat echter niet nodig, en concludeert simpelweg dat het niet de bedoeling is dat website-eigenaren zelf stukjes strafwet mogen schrijven:

Under such circumstances, the CFAA’s prohibition on “access[ing] a computer without authorization,” even though phrased “in the form of a general prohibition” that can often escape nondelegation worries, see Silverman v. Barry, 845 F.2d 1072, 1086 (D.C. Cir. 1988), becomes unworkable and standardless. Criminalizing termsof-service violations risks turning each website into its own criminal jurisdiction and each webmaster into his own legislature. Such an arrangement, wherein each website’s terms of service “is a law unto itself,” Emp’t Div., Dep’t of Human Res. of Or. v. Smith, 494 U.S. 872, 890 (1990), would raise serious problems. This concern, then, supports a narrow interpretation of the CFAA.

Dit is niet de eerste uitspraak langs deze lijn. Ars Technica citeert een 3-2 uitkomst van zaken die voor en tegen dit argument aanliepen. Dat betekent dat het naar de Supreme Court moet om een definitieve uitspraak te krijgen, iets dat nog wel even zal duren.

In Nederland zou ik overigens eveneens niet verwachten dat iemand wordt vervolgd enkel omdat de voorwaarden iets verbieden. Als je er ‘gewoon’ bij kunt komen, dan is het civiel onrechtmatig maar daarmee nog lang niet strafbaar. Data scrapen waar je zonder exploits bij kunt, is daarvan een voorbeeld. Idem voor een nepprofiel. Pas als wat je doet sowieso al strafbaar is (een nepprofiel ten behoeve van identiteitsfraude of oplichting bijvoorbeeld) dan krijg je het OM achter je aan.

Arnoud

Burgemeesters kunnen nu al woningen sluiten, maar denken aan het afsluiten van internetverbindingen. ,,We laten desnoods de rechter een oordeel vellen.’’ Dat las ik bij de Stentor twee weken terug. Aanleiding waren diverse cyberaanvallen op gemeente-infrastructuur, zoals op de poll van Steenwijkerland over de Marktbank. Dat is als criminaliteit vrij kleinschalig (en ik weet niet eens hoe een poll verpesten strafbaar is) maar als gemeente zou je daar best wat tegen willen doen. De betreffende burgemeester was overigens burgemeester van Haren toen daar Project X dreigde langs te komen, en kennelijk zit de schrik er nog goed in.

De burgemeester is bevoegd mensen gebiedsverboden en huisverboden te geven, zo staat in de Gemeentewet (art. 172a). Dat is wel met de nodige waarborgen omkleed, wat niet gek is gezien het voor mensen natuurlijk nogal heftig is om ineens niet meer vrij in hun gemeente te mogen verplaatsen. Zo mag een bevel in principe maar drie maanden duren en moet er vrees zijn voor ernstige verstoring van de openbare orde.

Zo’n specifiek artikel is er niet voor internettoegang, wat niet zo heel raar is want dat kun je moeilijk een gemeentegebonden iets noemen. (Ja, de kabel ligt in de grond in de gemeente maar dat vind ik te mager.) Je zou dan zeggen dat je dit alleen bij de rechter kunt afdwingen; een verbod internet op te gaan is incicenteel wel toegekend. Iets vaker voorkomend zijn contactverboden via internet. Alleen: dat zijn dingen die door een concreet benadeelde partij (zoals een gestalkte ex) geëist moeten worden, de burgemeester kan niet namens een slachtoffer eisen dat de dader van internet af blijft. Misschien dat de gemeente een contactverbod kan krijgen als iemand de gemeente lastigvalt, daar zijn wel precedenten voor. Maar dat is niet hetzelfde als een internetverbod.

Men gaat studeren op de mogelijkheden, lees ik dan. Dat zou relatief eenvoudig moeten zijn; de burgemeester mag wat in de Gemeentewet staat, en verder niets. De enige mogelijk relevante bevoegdheid zou in artikel 172 lid 3 zijn:

De burgemeester is bevoegd bij verstoring van de openbare orde of bij ernstige vrees voor het ontstaan daarvan, de bevelen te geven die noodzakelijk te achten zijn voor de handhaving van de openbare orde.

Dit wordt gezien als een ‘lichte’ bevoegdheid, omdat ze wordt ingezet bij lichte vergrijpen waarbij er eigenlijk geen aparte strafbaarstelling is. Een tijdelijk gebiedsverbod is hiermee mogelijk. Dit artikel is ingevoerd als deel van de Voetbalwet, maar is natuurlijk niet alleen inzetbaar bij te verwachten voetbalrellen of iets dergelijks. Je zou kunnen zeggen dat dit artikel ook kan toezien op internet: als iemand via internet de orde in de gemeente verstoort, dan zou je hen kunnen verbieden internet op te gaan, althans dat deel waar zhij die verstoring veroorzaakt.

Alleen: is dat dan echt noodzakelijk? Als je weet wie het is, kun je hem dan niet gewoon aanspreken op de overlast zelf? En vooral: ga je dan een volledig toegangsverbod opleggen, of alleen de toegang tot de site waar de overlast werd veroorzaakt?

Arnoud

De Algemene verordening gegevensbescherming (AVG) is niet van toepassing op echt geanonimiseerde data, las ik bij Security.nl. Deze citeert de Europese privacytoezichthouder (EDPS) die daarmee reageert op plannen van de Europese Commissie om mobiele locatiegegevens in de strijd tegen het coronavirus te gebruiken. Het punt is namelijk dat locatiedata van mensen geldt als persoonsgegevens, maar… Lees verder

Arjen Lubach is voor het oog van 1,7 miljoen kijkers in Zondag Met Lubach fel tekeergegaan tegen online magazine Rumag. Dat meldde het AD afgelopen maandag. Rumag ligt sinds afgelopen week flink onder vuur, onder meer vanwege de verkoop van mondkapjes met teksten als ‘krijg de corona’, ‘coronalijer’ en ‘mondkappen nou’, zo legt de krant… Lees verder

Deze foto deed me denken aan een archief van een juridische afdeling waar ik eens kwam. Een kelder vól met contracten, en nog net ergens een lijst met welk contract waar lag (althans: zou moeten liggen). Gelukkig werd dat een paar jaar later vervangen door een CMS met ingescande PDFs. Maar nog steeds: vind maar… Lees verder

Een lezer vroeg me: Als school in het voortgezet onderwijs werken wij nu met videolessen. Dat gaat prima, en wat erg prettig werkt is dat de leerlingen ook in beeld komen. Dat voelt voor iedereen persoonlijker. Echter, nu vragen wij ons toch af of dit wel mag van de AVG, een aantal ouders gaf aan… Lees verder

Oké het is vrijdag na twee weken thuiswerken, dus dan mag ik mezelf even een uitstapje veroorloven. Recent deed ik mee aan een Tweakersdiscussie over het bericht dat WhatsApp gebruikers oproept om niet zomaar informatie die verspreid wordt over het nieuwe coronavirus te delen. De discussie focuste daar op de vraag waarom mensen hun informatie… Lees verder

Een lezer vroeg me: Ik ben systeembeheerder bij een productiebedrijf, en ik houd onder meer toezicht op essentiële processen. Dat is vergaand geautomatiseerd en ik kan dan ook prima vanuit huis werken, in het verleden ook wel gedaan zonder enige klachten. Nu zegt mijn werkgever echter dat ik op het werk moet komen, maar gezien… Lees verder

Menig ondernemer worstelt hoe verder te werken nu het coronavirus de hele maatschappij opschudt. Thuiswerken is het devies, maar lang niet bij alle vormen van ict-dienstverlening is dat een werkbare oplossing. Daardoor komen deadlines in gevaar, komen projecten niet af zoals gewenst of wordt bestelde apparatuur niet geleverd. En dan gaan mensen, alle verhalen over… Lees verder