Internetrecht door Arnoud Engelfriet

Een lezer vroeg me:

Mijn werkgever (een mkb bedrijf) is overgestapt naar een Google domein voor mail, en nu moeten wij bij ingebruikname akkoord gaan met de privacyvoorwaarden van Google. Kan ik dat weigeren? Natuurlijk, het gaat om werk mail, maar toch, Google accounts doen veel meer dan alleen werkgedrag in de gaten houden.

Dit lijkt me niet iets dat je kunt weigeren te doen. De werkgever bepaalt hoe het werk wordt uitgevoerd, en als hij ervoor kiest om Google als leverancier in te zetten dan heb jij het daarmee te doen. Dat je bij het gebruiken daarvan op een akkoord-knopje moet drukken, is dus gewoon deel van je werk.

Het is echter een misverstand dat je als werknemer dan ineens toestemming geeft aan Google voor wat dan ook. Ik geef toe, een gemakkelijke fout want er stáát immers “I agree” en er zit een privacyreglement bij ook nog. Maar als je als werknemer op zo’n knop druk, dan ga je hooguit namens je werkgever met dingen akkoord. Niet privé.

Natuurlijk kan Google allerlei dingen van je te weten komen wanneer je als werknemer met die diensten werkt. Maar ook dat is de verantwoordelijkheid van je werkgever. Als goed werkgever heeft hij de taak jouw privacy te waarborgen, en dus ook te zorgen dat leveranciers niet zomaar allerlei persoonlijke dingen van werknemers te weten komen. Hij zal dus bijvoorbeeld een bewerkersovereenkomst moeten treffen met die leveranciers, waarin staat dat deze niet gaat snuffelen in netwerkverkeer van werknemers. Je kunt hem daarop aanspreken als hij dat niet goed geregeld heeft.

En ik snap heus dat Google zich weinig aan zal trekken van zo’n Nederlands werkgevertje, maar daar zal het arbeidsrecht weinig rekening mee houden.

Arnoud

Door het laten verlopen van een domeinnaam heeft Samsung miljoenen gebruikers risico laten lopen, zo laat de Portugese beveiligingsonderzoeker Joao Gouveia op Twitter weten. Dat las ik bij Security.nl. De domeinnaam hoort bij een door Samsung opgeheven dienst (S Suggest), die gebruikers populaire applicaties laat zien die gegarandeerd compatibel met hun apparaat zijn. De onderzoeker ziet nu miljoenen verzoeken vanaf Samsung-telefoons naar de domeinnaam. Is dat nu ook al een datalek?

Het is natuurlijk een blunder eerste klas. Een domeinnaam kost een paar euro, en een simpele “This service is not available anymore”-autoresponder moet ook geen bakken geld kosten. Maar zelfs de domeinnaam nergens heen laten wijzen had gekund, dan waren mensen ook wel snel gestopt met die app. En nu zou een kwaadwillende het protocol kunnen reverse engineeren en nepdata sturen, bijvoorbeeld suggesties voor phishing-apps die mensen dan klakkeloos installeren “want Samsung zegt dat deze compatibel is”.

Maar of het een datalek is? Daarvoor is vereist dat via dit domein persoonsgegevens lekken. Enkel dat een telefoon verbinding maakt met een app is denk ik niet genoeg daarvoor. (Tenzij je zegt dat headers zoals X-Asid persoonsgegevens zijn.)

Als de verbinding succesvol is en er wordt dan persoonlijke informatie opgestuurd door de app, dan komt die nu dus bij een ongeautoriseerd persoon terecht. Dus dan zou ik het wel een datalek noemen. Maar dat is wel een stevige als, en bovendien eentje die zich pas ruime tijd later kan voordoen.

Desondanks kan ik er niet bij dat Samsung dit heeft laten vallen.

Arnoud

Amazon heeft onlangs goedkeuring ontvangen voor een patent, waarin een methode is beschreven om het vergelijken van prijzen via de wifi-verbinding van fysieke winkels tegen te gaan. Dat meldde Tweakers vorige week. Doel van die methode is te zorgen dat je niet snel online bestelt wat je zojuist in de winkel hebt gezien. Maar het patent noemt ook de optie van een tegenbod door de winkel, wat commercieel iets slimmer lijkt. Denk je dat ze na de ophef over 1-click patenteren iets geleerd hebben, tsja.

Uiteraard wil het weinig zeggen dat een bedrijf ergens patent op krijgt. Dat betekent alleen maar dat de patentverlenende instantie geen bezwaren zag, met name niet ten aanzien van nieuwheid (bestond dit al), inventiviteit (is het meer dan een triviale variatie) en technisch karakter (is dit significant meer dan een wiskundig of economisch principe). Het is zeer zeker geen voornemen of teken dat een bedrijf dit wil doen – en ook geen erkenning dat het iets bijzonders is, wat sommige uitvinders nog wel eens lijken te denken.

Het ligt echter wel in de lijn van Amazons nieuwste tak van sport: het fysiek laten winkelen van mensen, gekoppeld aan een online afrekenproces. Je hoeft zo niet meer langs een kassa, alles gaat via je telefoon behalve het dingen in je mandje leggen. En dit is ook waarom “huh, dan gebruik je toch gewoon je 4g verbinding” niet werkt: het afrekenproces vereist dat je via het lokale wifi-netwerk verbonden bent met Amazon. Daarmee hebben ze je.

Het octrooi is alleen in de VS verleend, dus in Europa hoeven we hier niet voor te vrezen. Het verbaast me sowieso al dat het in de VS is toegekend – mij lijkt dit een vrij duidelijk voorbeeld van een sinds Alice niet meer octrooieerbaar softwarepatent. Uit het verleningsdossier haal ik dat het argument hem erin zat dat een browser wordt bestuurd, en dat dat meer zo zijn dan enkel het idee “ze mogen de prijzen niet zien”. Meh.

Bij Tweakers las ik nog de vraag hoe zich dit zou verhouden tot netneutraliteit. Het is nogal een forse ingreep en direct gericht op commercieel voordeel van de aanbieder. Maar onder de Europese Netneutraliteitsverordening gelden die regels alleen voor aanbieders van openbare internettoegang, en daar vallen winkels met wifi niet onder.

Arnoud

Leuk stukje lifestyle bij Nu.nl: Pakketje niet bezorgd? Dit kun je doen. “Bij het bezorgen van pakketten gaat regelmatig iets mis: bezorgers zeggen dat ze aan je deur zijn geweest terwijl jij nooit een bel hebt gehoord, je bestelling wordt zomaar in ontvangst genomen door iemand anders of je pakketje komt gewoon nooit aan.” Inclusief… Lees verder

Het Europese Hof van Justitie heeft uitspraak gedaan in de zaak die door Brein is aangespannen tegen providers Ziggo en Xs4all, las ik bij Tweakers. Het Hof verklaarde – weinig verrassend – dat de piratensite inbreuk maakte op auteursrechten. Maar ze zeggen geen woord over in hoeverre een blokkade nu gerechtvaardigd is, dus waarom alle… Lees verder

Een lezer vroeg me: De app van mijn bank is leuk en aardig, maar ik wil eigenlijk bepaalde kerncijfers in mijn thuisdashboard getoond hebben. Technisch kom ik daar wel uit, maar mag ik die API aanroepen voor mezelf? Het is in principe dezelfde informatie heen en weer als de app zou doen, maar ik doe… Lees verder

Een lezer vroeg me: Als je een generator maakt, bijvoorbeeld om tekst of visuele kunst te produceren, valt de output daarvan dan onder het auteursrecht van de programmeur? Ik had altijd begrepen dat wanneer een compiler voor software bijvoorbeeld eigen routines toevoegt, ze in theorie een mede-auteursrecht kunnen claimen. Hoe ver gaat dat in theorie?… Lees verder

Een lezer vroeg me: Bij een webwinkel had ik wat besteld, en betaald met Paypal. Het object kreeg ik echter maar niet, dus ik heb via PayPal de Aankoopbescherming ingeroepen. De verkoper reageerde echter niet, waardoor ik mijn geld terugkreeg van Paypal. Maar nu eist de verkoper via een incassobureau betaling, en zeggen ze dat… Lees verder

Auw. Een medewerker van hostingprovider Verelox uit Den Haag heeft alle servergegevens verwijderd, las ik bij Tweakers. Dat betekent dat ook alle klantgegevens zijn gewist, en mogelijk ook niet allemaal meer terug te halen zijn. Buitengewoon pijnlijk voor het bedrijf, want hierdoor moet Verelox druk aan de bak om alle servers weer te herstellen. Wat… Lees verder

Het Nederlandse bedrijf 123inkt mag huismerkcartridges van HP blijven verkopen, las ik bij Tweakers. HP had geprobeerd de verkoop te blokkeren met een patent op een geheugenchip voor dergelijke cartridges, waarmee de printer niet-originele cartridges kan herkennen. Maar dat octrooi is door het Hof Den Haag grotendeels ongeldig verklaard, en 123inkt maakt geen inbreuk op… Lees verder