Mogen ict-fabrikanten nog geld vragen voor security updates van de Cyber Resilience Act?

"System Update" by bovinity is licensed under CC BY-SA 2.0

Een lezer vroeg me:

Bij het bestellen van een aantal switches van een grote leverancier kwam ik er achter dat de security updates alleen beschikbaar zijn als ik ook een jaarlijks supportcontract afsluit. Mogen fabrikanten nog wel geld vragen voor security updates? In de Cyber Resilience Act wordt het aanbieden van security updates voor de expected lifetime van het product toch verplicht gesteld?
De Cyber Resilience Act (Verordening 2024/2847) kent inderdaad een zorgplicht tot het leveren van security updates. Dit staat in Bijlage I deel II:
Fabrikanten van producten met digitale elementen moeten: … in verband met de risico’s die verbonden zijn aan producten met digitale elementen, kwetsbaarheden onverwijld aanpakken en verhelpen, onder meer door beveiligingsupdates te verstrekken; indien technisch haalbaar moeten nieuwe beveiligingsupdates afzonderlijk van de functionaliteitsupdates worden verstrekt;
Daaronder (punt 8) wordt vermeldt dat die updates kosteloos moeten worden verspreid, vergezeld van adviezen. Deze plicht geldt gedurende de hele levensduur, en uitgegeven updates moeten tot tien jaar daarna beschikbaar blijven (artikel 13.9). Het maakt hierbij ook niet uit of de klant een consument of een ondernemer is.

Detail: de CRA treedt pas in 2027 in werking voor apparaten die vanaf dan op de markt komen. Bovendien moet het gaan om verkoop in de EU, dus wie bij een Amerikaanse of Aziatische groothandel bestelt, loopt het risico buiten de bescherming van de CRA te vallen.

Voor updates anders dan security-updates mag men nog wel een vergoeding vragen, net zoals voor ondersteuning die verder gaat dan “adviezen met relevante informatie voor gebruikers, onder meer over eventueel te nemen maatregelen.”

Arnoud

EU: TikTok is niet transparant genoeg over advertenties, krijgt mogelijk boete

Photo by Deon Fosu on Unsplash

TikTok-moederbedrijf ByteDance overtreedt de Europese Digital Services Act met zijn advertentieoverzicht. Dat meldde Tweakers op basis van onderzoek van de Europese Commissie. Het gaat om voorlopige bevindingen, maar een boetebesluit hangt natuurlijk in de lucht. Maar wacht even: wat is een advertentieoverzicht en waarom moet dat transparant zijn?

Wie onder de Digital Services Act (DSA) als zeer groot online platform (VLOP) is aangemerkt, krijgt een berg extra eisen opgelegd. Dit geldt ook voor kortefilmpjesdienst TikTok. Meestal gaat het dan over systeemrisico’s, eerlijke voorwaarden en dergelijke, maar artikel 39 eist ook een advertentieregister of reclameregister.

Het register moet per reclame-uiting zaken vermelden als de inhoud en afzender, de periode van vertoning, hoe en of deze getarget was (en waarop) en de groep van gebruikers die er mee werd bereikt. Achterliggende gedachte is natuurlijk transparantie, maar opmerkelijk is wel de keuze om het register geheel openbaar te laten zijn in plaats van op verzoek door toezichthouders opvraagbaar, bijvoorbeeld. Een reden is dat ook onderzoekers en consumenten er nu in kunnen kijken.

Een mooi voorbeeld van zo’n register vind ik het Centrum voor advertenties van Google. Je kunt hier vrij eenvoudig terugvinden wie waarop adverteert (bijvoorbeeld mijn bedrijf ICTRecht).

TikTok heeft ook zo’n register, maar dat voldoet dus volgens de Commissie niet. Het kennelijke probleem is dat het register geen goede zoekfunctie heeft, en ook geen API-toegang om gestructureerd informatie binnen te harken. TikTok moet nu dus met een reactie komen waarom zij wél voldoet, anders zal de Commissie handhavend kunnen optreden.

Arnoud

 

 

 

LinkedIn-gebruikers verliezen cookiezaak wegens geven van toestemming

Photo by Rai Vidanes on Unsplash
Twee LinkedIn-gebruikers die het platform ervan beschuldigden dat LinkedIn zonder hun toestemming trackingcookies plaatste hebben een rechtszaak verloren omdat ze hier toch toestemming voor gegeven hadden. Dat las ik bij Security.nl. Het vonnis leest wat raar: het voelt onlogisch dat je procedeert terwijl je weet dat je ergens mee instemde.

Vorig jaar oordeelde de rechter nog dat Linkedin geen trackingcookies mocht plaatsen, op straffe van een dwangsom van 500 euro per cookie. Mogelijk dat deze personen daardoor getriggerd werden eenzelfde claim te doen, want die teller kan flink oplopen natuurlijk.

Punt in die vorige zaak was wel dat daar vast stond dat er géén toestemming was gegeven. Hier lag dat even anders:

LinkedIn heeft vervolgens bij de mondelinge behandeling van dit kort geding aangevoerd dat [eiser 1] en [eiser 2] voorafgaand aan 12 augustus 2024 (de datum van het door hen uitgevoerde initiële onderzoek) via de privacyvoorkeuren op het LinkedIn-platform toestemming hebben gegeven voor het plaatsen en uitlezen van alle cookies, waaronder ook cookies voor advertentieactiviteiten van LinkedIn.
Dit is dus waar het voor mij raar voelt. Een claim als deze baseer je op een ‘kale’ sessie, waarbij je geen toestemming geeft voor wat dan ook en dan constateer je dat je toch tracking cookies krijgt.

De enige lezing die voor mij enigszins begrijpelijk is, is dat ze op 12 augustus 2024 zo’n kale sessie hebben gedaan, maar daarvóór bij gewoon gebruik wel de toestemmingsknoppen hebben bediend. Toestemming kun je intrekken maar dat moet je wel doen. Als je dat niet doet, dan blijft deze van kracht ook bij nieuwe sessies.

Een ander argument was dat bij Linkedin de toestemmingsknoppen standaard op ‘ja’ staan, en dat je deze dus op ‘nee’ moet zetten. Oftewel een opt-out, en dat is in strijd met de wet. Maar daar was men te laat mee aan komen zetten.

Arnoud

Hoofdaanklager van ICC heeft geen toegang meer tot Microsoft-mail na sancties VS

Photo by Morgane Perraud on Unsplash

De hoofdaanklager van het Internationaal Strafhof in Den Haag kan zijn werk amper doen omdat hij geen toegang meer heeft tot zijn Microsoft-e-mail. Dat meldde Tweakers vrijdag. Bij de AP wordt gemeld dat de reden Amerikaanse sancties tegen het ICC zijn, deel van een pakket dat in februari is aangenomen. Hopelijk komt de discussie over digitale soevereiniteit nu eens echt op gang.

De sancties dateren uit februari, zo meldt AP:

Neither the U.S. nor Israel is a member of or recognizes the court, which has issued an arrest warrant for Israeli Prime Minister Benjamin Netanyahu for alleged war crimes over his military response in Gaza after the Hamas attack against Israel in October 2023. Tens of thousands of Palestinians, including children, have been killed during the Israeli military’s response.
De sancties zijn bedoeld om de “baseless arrest warrants” tegen Netanyahu ongedaan te maken. Diensten leveren aan een gesanctioneerde partij is in principe dan verboden naar Amerikaans recht, vandaar dat Microsoft de MS365 mailbox van de hoofdaanklager heeft opgeheven. (Hij werkt nu met Proton.)

Kan Europa hier wat tegen doen? MS bevelen dit ongedaan te maken? Dat ligt formeel wat ingewikkeld, omdat het Strafhof geen Europees orgaan is maar een VN-orgaan. Als een en ander wél onder EU-jurisdictie valt, dan is er sinds 1996 de mogelijkheid om via de Blocking statute een partij als Microsoft juridische bescherming te bieden zodat ze door kunnen gaan met levering.

Velen moeten natuurlijk denken aan eind april, toen Microsoft bekend maakte snel naar de rechter te zullen stappen als de Amerikaanse overheid Europese digitale veerkracht in gevaar zou brengen:

Brad Smith pledged during an event in Brussels on Wednesday to protect Microsoft’s European customer data and “agreed to challenge any government demand for EU public sector or enterprise customer data where we have a legal basis for doing so.”
Als jurist vind ik dit geen héle sterke bewering maar de uitspraak had natuurlijk de context van Amerikaanse bevelen tot toegang bij Europese data. En het ICC is geen Europese organisatie dus valt buiten de toezegging. Maar het doet wel vreemd aan, die twee dingen zo kort na elkaar.

De zaak laat voor mij vooral zien dat de juridische en de praktische werkelijkheid fors uit elkaar liggen. En dat de problemen acuut zijn: die stekker eruit is geen proces van maanden. Je probeert in te loggen en dat mag niet, en dat is het dan. Heb je dáár al een strategie voor?

Arnoud

 

 

 

Belgische youtuber moet video met naam veroordeelde student verwijderen

"Delete key" by Ervins Strauhmanis is licensed under CC BY 2.0

De Vlaamse youtuber Nathan Vandergunst, beter bekend als Acid, mag voorlopig online geen berichten of video’s plaatsen. Dat meldde de NOS vorige week. Het is deel van de Belgische ophef over een zedenzaak waarbij de dader zonder straf weg kwam; Vandergunst publiceerde zijn naam om zijn mening over deze zaak te delen.

De NOS licht de achtergrond kernachtig toe:

In de video deelt Acid de gegevens van een 24-jarige arts in opleiding uit Leuven die vorige maand schuldig werd bevonden van verkrachting. De rechter legde de student geen straf op omdat hij “zowel privé als professioneel een talentvol en geëngageerd persoon is”. Door een celstraf zou hij “maatschappelijk ontwricht” raken.
Men publiceerde ook het betreffende vonnis uit april. Waar de berichtgeving over de zaak vaak sterk aangezet wordt, zie ik bij mensen die het vonnis lezen vaak een meer genuanceerde reactie. Maar inderdaad, in het vonnis staat:
Uit de bijgebrachte stukken blijkt dat de beklaagde een getalenteerde en geëngageerde jongeman is die zowel privé als professioneel sterk wordt geapprecieerd. … Rekening houdende met 1) de jonge leeftijd van de beklaagde, 2) zijn blanco strafrechtelijk verleden, en 3) de gunstige persoonlijkheid van de beklaagde, is de rechtbank van oordeel dat het passend is om de uitspraak van de veroordeling op te schorten voor de beklaagde, teneinde hem tot schuldinzicht te brengen en recidive te voorkomen zonder hem maatschappelijk te ontwrichten.
In België zijn discussies over klassenjustitie nooit ver weg, en deze observaties zijn natuurlijk zeer geschikt om dit te voeden. Maar het is ook een vorm van eigenrichting, die in dit geval ook een onschuldige derde trof.

Arnoud

 

Mag onze verwerker zijn eigen reclame toevoegen aan onze berichten?

Photo by Ramon Kagie on Unsplash

Een lezer vroeg me:

Wij gebruiken al een tijd een SaaS dienst voor interne ERP-diensten. Nu valt het me sinds kort op dat er soms reclame voor de leverancier gemaakt wordt in de berichten. Het zijn korte tekstjes, dus niet heel storend, maar het gaat me om het principe: mogen ze dat doen?
In de kern werken dit soort diensten allemaal hetzelfde. Iedere medewerker krijgt een eigen login, de huisstijl kun je in mindere of meerdere mate aanpassen naar je eigen stijl, maar de naam en branding van de dienst is vaak wel zichtbaar genoeg.

Regelmatig krijg je mails van zo’n dienst. Eigenlijk zijn dat altijd systeemberichten: er staat een taak voor je klaar, er is een nieuw bericht, review dit document, et cetera. Allemaal prima, en het versturen van die berichten past prima binnen het verwerkerschap dat deze dienstverlener heeft in het kader van de AVG.

Bij die reclameberichten voelt dat wat anders. Die horen niet bij de dienstverlening an sich, en het versturen daarvan neigt dan ook meer naar zelfstandig verwerkingsverantwoordelijkeschap. Men kiest zelf of die boodschap verzonden moet worden, welke boodschap en naar wie.

Tegelijkertijd: er worden geen aparte reclameberichten gestuurd, het gaat om twee à drie regels onderaan berichten die toch al verstuurd worden. Dit lijkt sterk op de situatie dat je inlogt en in het portaal dan een bericht krijgt zoals “Wil je ons laten weten wat je van SuperMegaERP vindt, klik hier voor de enqûete”.

Ik heb er moeite mee dit als bezwaarlijk te zien. Natuurlijk, heel formeel moeten ze dit aan de inkoopmanager of contractuele contactpersoon vragen. Maar nu komen ze bij de mensen die écht weten wat ze vinden van SuperMegaERP. En de grondrechten van die mensen komen nou niet echt in het gedrang specifiek door die twee extra regels.

Arnoud

Nintendo kan Switch bricken in VS als gebruiker overeenkomst schendt, mag dat ook bij ons?

Photo by Tim Mossholder on Pexels

Nintendo heeft volgens de nieuwe gebruikersvoorwaarden voor een Nintendo-account het recht om bijvoorbeeld een Switch te bricken als de gebruiker deze overeenkomst schendt. Dat meldde Tweakers vorige week. Veel reacties van de strekking “rare VS, dat kan niet bij ons”, maar hoe zit dat nou echt?

Het nieuws werd ontdekt door de Amerikaanse gamejournalist Stephen Totilo. Hij zag in de voorwaarden een serie praktijken die een klant niet mag uitvoeren, met als consequentie

Je erkent hiermee dat Nintendo bij het schenden van de voorgaande beperkingen het recht heeft om Nintendo Account Services en de bijbehorende Nintendo-apparaten geheel of gedeeltelijk permanent onbruikbaar te maken.
De praktijken in kwestie gaan over ongeautoriseerd gebruik van de Nintendo accountdiensten in brede zin, dus niet alleen auteursrechtinbreuk of strafbaar kraken van beveilingen bijvoorbeeld.

Deze diensten neem je af met een Nintendo Switch, en dat is een ding dat je koopt in de zin van het BW. Dan word je er eigenaar van, en eigendomsoverdracht moet “vrij van alle bijzondere lasten en beperkingen” gebeuren (art. 7:15 BW).

Je kunt een beperking op je eigendom alleen “uitdrukkelijk” aanvaarden, en dat betekent “is er apart bij gezegd en afgesproken” en niet “staat diep diep in de enorme lappen voorwaarden waar we u twintig jaar murw mee hebben gebeukt” (ik zeg het maar even).

Een dienst is geen product, en daar mogen inderdaad voorwaarden worden gesteld over wanneer de dienstverlener deze mag stoppen. De Digital Services Act stelt daar een aantal grenzen aan, maar misbruik van de dienst is in principe legitiem en zolang de definitie van ‘misbruik’ redelijk is, is daar verder weinig aan te doen.

Maar goed, dat gaat dus over de dienst waar je uit geknikkerd wordt. Niet dat je apparaat een knikker, pardon een baksteen wordt. Ik geef toe, dat kan wat nodeloos precies overkomen want wat heb je aan het apparaat als de dienst het niet doet, maar juridisch is dat wezenlijk wat anders.

Arnoud

Mag een muziekdistributiedienst eisen dat ik mijn auteursrecht opoffer om AI mee te trainen?

Photo by Baher Khairy on Unsplash

Een lezer vroeg me:

Bij steeds meer muziekdistributiediensten staat in de voorwaarden dat je muziek gebruikt mag worden om AI diensten te trainen. Bij sommige diensten heb je nog een opt-out optie maar bij bijvoorbeeld Soundcloud kan dat niet en staat er dit standaard in de gebruiksvoorwaarden. Hierdoor kan dus je muziek gebruikt worden om AI te trainen en muziek te genereren zonder dat daar royalty’s voor worden afgedragen. Mag dat zo maar?
Ja, dat mag. Het auteursrecht is wat dit betreft makkelijker te passeren dan bijvoorbeeld de omgang met persoonsgegevens onder de AVG.

Hoofdregel is natuurlijk dat je als dienstverlener niets mag met content van je klant, wat net zo goed geldt bij een dienst als Soundcloud waar je muziek uploadt om deze te distribueren en te ontsluiten naar een groot nieuw publiek.

Het is echter al heel lang algemeen aanvaard dat je in gebruiksvoorwaarden een licentie of gebruiksrecht kunt geven aan een dienstverlener. Dat hoeft niet met een apart contract en er hoeft zelfs geen vergoeding tegenover te staan. Een zinnetje zo simpel als “U geeft een onbeperkte licentie aan Soundcloud door het uploaden van uw werk” is dus juridisch bindend én genoeg voor zo’n dienstverlener.

Er is geen mogelijkheid hier wat tegen te doen, bijvoorbeeld door bij de upload een voorbehoud te maken of dit apart te melden. Natuurlijk kán het bedrijf je een uitzondering geven, maar gezien het juridisch uitgangspunt is er geen reden voor ze om dat te doen. De enige optie is geen Soundcloud gebruiken als die voorwaarde je niet bevalt.

Voor hele grote platforms zijn er sinds een tijdje de DSA en DMA, die beiden regels bevatten om het een beetje eerlijk te houden. Maar geen van die twee Europese verordeningen stelt grenzen aan wat men in een auteursrechtlicentie mag opeisen.

Arnoud

Wordt mijn huis een ‘werkvloer’ van de AVG als de ADL-assistente langskomt?

Photo by Kara Eads on Unsplash

Een lezer vroeg me:

Mijn partner krijgt ADL-zorg bij haar thuis, die 24/7 oproepbaar is. Vnawege zorgen over haar welzijn heb ik enkele camera’s opgehangen. Nu meldt de ADL-leverancier dat dit niet meer toegestaan, omdat ik dan in strijd met de AVG handel door hun werknemers te filmen. Mijn huis wordt volgens hen “aangemerkt als werkvloer” en ik moet de camera’s weghalen. Klopt dat?
ADL-assistentie is gedurende het hele etmaal direct oproepbare persoonlijke assistentie bij algemene dagelijkse levensverrichtingen (ADL) in en om de woning. Dit gebeurt door professionals die via zorgaanbieders worden ingezet.

Omdat het hier gaat om werknemers, heeft de werkgever inderdaad een zorgplicht om hen een veilige werkomgeving te bieden. Beschermen van hun privacy en een zorgvuldige omgang met hun persoonsgegevens valt daaronder. En omdat er steeds vaker incidenten zijn met cliënten (of hun partners) die met al dan niet verborgen camera’s filmen, zie ik daar steeds meer aandacht voor.

Allereerst is het strafbaar om mensen in een besloten omgeving (zoals een werkvloer of een woonhuis) te filmen met een verborgen camera. En ten tweede moet degene die filmt dit onder de AVG recht kunnen breien.

Op een ‘gewone’ werkvloer is dit geen nieuwe discussie, maar als het werk bij iemand thuis wordt gedaan dan wordt het iets lastiger. Je mag namelijk in je eigen huis cameratoezicht inzetten en dan val je buiten de AVG (Rynes-arrest). Maar als er iemand bij jou thuis komt werken, heeft die recht op een veilige werkomgeving.

De opmerking “aangemerkt als werkvloer” is denk ik een poging om te betogen dat het huis tijdens het werk buiten de scope van dat Rynes-arrest valt. Maar ook als dat wél een toegestaan privé-verwerking onder de AVG zou zijn: het punt blijft dat de werknemer niet zomaar gefilmd mag worden tijdens het werk.

“Camera uit als de assistente binnenkomt” is het voor de hand liggende compromis, alleen is dat lastig omdat je vaak niet kunt zien dat de camera’s uit staan. Er snel even een doekje overheen hangen lukt ook niet altijd, dus dan blijft de harde afspraak “geen camera’s in huis” over als uitgangspunt.

Een mogelijkheid is om op voorhand het gesprek aan te gaan met de zorginstelling, uit te leggen waar de camera’s wél voor zijn en duidelijk af te spreken dat ze uit zullen zijn bij bezoek. Misschien is er zelfs een knop te maken die men kan indrukken en die de camera’s uit zet?

Arnoud

 

 

Roodkapje proberen te versieren met een camerabril, mag dat?

Bron: Omroep Brabant, auteursrechtvrij

Een man die zichzelf ‘versiercoach’ noemt plaatst al maanden filmpjes op social media, las ik bij Omroep Brabant. Hierop is te zien hoe hij meisjes en vrouwen op straat in Eindhoven, in de kroeg of in de Efteling aanspreekt. De camerabril filmt alles en dat gaat op een Telegramkanaal waar hij ‘versiertips’ deelt met andere mannen.

Roodkapje uit de titel was niet een acteur uit de Efteling maar zo te lezen ‘gewoon’ iemand die daar verkleed op bezoek was. Maar hoe dan ook, op mensen afstappen met ‘You look really nice’ of ‘Do you have a boyfriend?’ is natuurlijk creepy en raar, zeker als je zonder dat te zeggen er een cursus pick up artist mee vult.

Strafrechtelijk is er weinig aan te doen, omdat de man weggaat als iemand aangeeft er niet van gediend te zijn. Filmen aan de openbare weg is niet verboden, ook niet als je dat stiekem doet. Alleen met een aangebrachte camera wordt dat anders. Maar als een dashcam niet “aangebracht” is, dan is een bril dat ook niet.

(Doxing is het ook niet, want de persoonsgegevens van de gefilmde mensen worden niet gebruikt om hen te intimideren of te hinderen bij hun werk.)

De AVG geldt hier in principe wel. Dit valt buiten de uitzondering voor persoonlijk gebruik, omdat de video’s worden gedeeld met anderen in een semi-zakelijke context (een cursus/instructie).

Het enige waar ik over twijfel, is of hier de uitzondering voor journalistiek opgaat. Hoe creepy ook, het is een verbreiding van feiten, meningen en ideeën, een verslaggeving dus. Het grondrecht van de informatievrijheid kent geen kwaliteitstoets, en normen als “je moet bij de massamedia werken” of “het moet wel échte journalistiek zijn” gaan niet op.

Arnoud