Het is verboden om producten met verborgen kill-switches te verkopen, maar waar staat dat in de wet?

Bron: Wikimedia

Het is verboden om op de Europese markt producten met verborgen kill-switches aan te bieden waardoor apparaten op afstand zijn uit te schakelen. Dat las ik bij Security.nl. Men vaart op antwoorden op Kamervragen over vermeende geheime communicatieapparatuur in Chinese zonne-omvormers, die killswitchfunctionaliteit zouden realiseren. Iedereen in mijn bubbel heeft zonnepanelen en vroeg dus: welke wet?

De bron voor de ophef lijkt een Reuters-artikel van mei 2025:

However, rogue communication devices not listed in product documents have been found in some Chinese solar power inverters by U.S experts who strip down equipment hooked up to grids to check for security issues, the two [sources] said. … The rogue components provide additional, undocumented communication channels that could allow firewalls to be circumvented remotely, with potentially catastrophic consequences, the two people said.
Ik kwam de zorgen ook tegen in vakblad Energate:
If the inverters are not controlled via the smart meter gateways, but via the manufacturer’s backend systems, a completely different risk situation arises, according to Borchardt. This is because it is then possible for the inverter manufacturers to switch off a large number of systems in one fell swoop, as the case of the Chinese company Deye shows. This inverter manufacturer shut down systems in the USA, Great Britain and Pakistan in rows last autumn following licensing disputes.
Het gaat nadrukkelijk niet expliciet om ingebouwde technieken die de inverters uitschakelen of bricken (of doen ontploffen, ik zeg het maar even). De kern van de zorg is dat er communicatieapparatuur in de omvormers zitten waarmee op afstand ieder soort instructie gegeven kan worden. Inclusief dus “doe of je een baksteen bent”.

Is dat illegaal? De Kamervraagantwoorden lopen kort langs de Cyber Resilience Act en de Radio Equipment Directive, die inderdaad beiden strenge security-eisen stellen. Maar die zeggen niets over een door de fabrikant zelf ingebouwde achterdeur.

Toch zegt de minister dan:

Op de Europese markt is het verboden om (heimelijk) functionaliteit in te bouwen (zowel software en hardware) die niet in de technische documentatie is beschreven. Het is verboden om producten aan te bieden die ‘verstopte’ functionaliteiten bevatten om apparaten op afstand aan of uit te zetten. Deze eisen gelden ook voor producten die afkomstig zijn van een fabrikant die buiten de EU is gevestigd, zodra deze producten op de Europese markt worden aangeboden.
Frustrerend dat ze er niet even bij zetten om welke wet het gaat. Voor de hand ligt dat men ‘gewoon’ op de informatieplichten voor verkopers van fysieke producten doelt. Een zonnepaneelinverter met de mogelijkheid tot uitschakelen op afstand is niet wat je mag verwachten als koper, zeker omdat dit niet in de documentatie staat.

Omdat men nadrukkelijk spreekt van ‘verboden’ vermoed ik echter dat het iets specifieker gaat over het CE-keurmerk en de bijbehorende Europese standaarden. Bij markttoelating in Europa moeten zonnepanelen en omvormers gekeurd zijn, en deel daarvan is dat de technische documentatie (dat is een vakterm in die context) van A tot Z vermeldt wat het apparaat kan. Dat is dan hier niet het geval, zodat de omvormer niet aan de wet voldoet en dus de markt niet op mag.

Ik ben vast heel cynisch als ik denk, men wil stoer en sterk klinken met “dat is in héél Europa verboden” en dan doet het minder sterk aan als je zegt “omdat dat in strijd is met artikel 4 lid 3 van de markttoezichtverordening”.

Arnoud

KPN blokkeert iPhone bij wanbetaling via MDM, mag dat?

Foto uit benoemde discussie

Interessante discussie op het KPN-Communityforum:

Al vier jaar handel ik in iPhones. Ik koop deze o.a. in via Marktplaats en verkoop ze vervolgens via mijn website. Sinds dit jaar zie ik echter een nieuwe ontwikkeling: steeds vaker worden iPhones geblokkeerd via Mobile Device Management (MDM), bijvoorbeeld wanneer het bijbehorende krediet niet is betaald of wanneer de toestellen tijdens transport zijn gestolen. [Mag dat?]
KPN verduidelijkt in een eerste reactie dat dit inderdaad kan wanneer iemand een toestel aanschaft in combinatie met een toestelkrediet, en dan niet volledig het krediet aflost. En een populaire truc is zo’n abonnement met toestelkrediet afsluiten en snel de telefoon verpatsen (want nieuw/zo goed als nieuw), daarna hopen dat de deurwaarder je niet vindt.

De maatregel is dus vanuit KPN te begrijpen, maar wel frustrerend voor de koper. Want die denkt een nieuwe iPhone te kopen tegen een marktconforme prijs, maar merkt dan een maand of wat later dat deze geblokkeerd is. Natuurlijk, ga maar terug naar de verkoper, maar die was dus al verstopt voor de deurwaarder van KPN.

Kun je als koper iets tegen KPN doen? De eerste vraag is dan of je als koper eigenaar van de telefoon bent geworden. Veel mensen zeggen dan nee, want de verkoper was nog geen eigenaar – het abonnement was nog niet afbetaald. Maar zo simpel is dat niet: niet ieder goederenkrediet is huurkoop. Bij die laatste geldt dat je pas na de laatste termijn eigenaar wordt. Maar wie iets koopt met de afspraak “betalen in 24 termijnen” is wel degelijk eigenaar zodra die het ding krijgt. Koop is koop, ongeacht wanneer je betaalt.

In 2014 bepaalde de Hoge Raad nog dat een abonnement met gratis telefoon “in beginsel” een koop op afbetaling is. Dit vooral voor de duidelijkheid in de praktijk. Telecomproviders mogen bewijzen dat zij wat anders hadden bedacht, maar hebben dan meer nodig dan kleine lettertjes. Een duidelijk als “lease” aangemerkt abonnement zou bijvoorbeeld genoeg zijn.

Dus stel iemand kocht op afbetaling en verkoopt door. Die moet dan nog steeds afbetalen natuurlijk, maar was wel eigenaar bij de verkoop en mócht dus doorverkopen. De koper is dan eigenaar geworden, en KPN heeft geen grondslag om bij diegene de telefoon te blokkeren.

Het is mogelijk dat de provider een eigendomsvoorbehoud opneemt: pas na volledige afbetaling wordt je eigenaar. Maar dat is niet altijd genoeg. Wie te goeder trouw van een onbevoegde koopt, wordt beschermd (art. 3:86 jo 3:11 BW). Daarvoor is wel expliciet nodig dat je niet wist en niet behoorde te weten dat de verkoper onbevoegd was.

Als handelaar die iPhones opkoopt, is dus het minste dat je kunt doen vrágen of het toestel afbetaald is. Ik zit natuurlijk lekker cynisch in mijn juridische ivoren toren, maar zou dan de vraag hebben waarom iemand überhaupt een nog-nieuw-in-doos iPhone gaat doorverkopen aan een handelaar. Waarom kocht je die dan?

Let op dat het dus niet echt uitmaakt wat in de voorwaarden van KPN staat (zij noemen het een consumentenkrediet trouwens, en ik zie geen eigendomsvoorbehoud). Het gaat erom waar de koper op mocht vertrouwen.

Arnoud

Mag je op Reddit met kentekens foto’s posten van mensen die drieletterwoord parkeren?

Photo by m on Unsplash

Een lezer vroeg me:

Op Reddit zijn diverse subs waar mensen foto’s kunnen delen van fout geparkeerde voertuigen, van een beetje scheef tot volslagen idioot, met diverse klinkende namen. Bij veel posts ontstaat daar discussie over de zichtbaarheid van de kentekens: als ze niet zichtbaar zijn, waarom niet, als ze wel zichtbaar zijn, waarom wel. Kun jij hier helderheid over geven?
Inderdaad is een kenteken een persoonsgegeven, ook als je niet de RDW/politie bent. Want het kán te herleiden zijn, al is het maar via een MP-advertentie waarin iemand ‘m te koop zet. Wat dat betreft is de AVG duidelijk.

Onduidelijker is of dat betekent dat het mag of niet. Het publiceren op deze Reddits is met een beetje goeie wil te zien als het “aan de kaak stellen van een maatschappelijke misstand”, een breed gedragen ergernis. En een foto is nu eenmaal nodig om te laten zien hoe er zo ergerlijk is geparkeerd.

De vraag is dan vooral of het kenteken relevant is bij de publicatie. Je moet immers rekening houden met de privacybelangen van de eigenaar/bestuurder. Eerlijk gezegd zie ik dat zo niet, wat ga je doen met dat kenteken? Het enige dat ik kan bedenken is diegene opsporen en confronteren, maar daarvoor zou ik de ergernis niet groot genoeg vinden. Ook niet als je uit vele posts kunt halen dat diegene het structureel doet.

Voor de duidelijkheid: Reddit noch de moderatoren/beheerders zijn automatisch aansprakelijk voor deze posts. (De uploaders natuurlijk wel.) Deze partijen moeten wel gehoor geven aan een verzoek tot verwijdering, tenzij ze op dat moment menen dat hier wel écht een belang is om de foto met kenteken online te houden.

Arnoud

Voor een paar euro iemand uitkleden met AI: ‘Ongeluk in slow motion’

Photo by Markus Winkler on Pexels

Het is verboden om zonder toestemming naaktfoto’s te maken met AI-apps, maar het is doodsimpel om het tóch te doen. Dat meldde Nu.nl onlangs. De aanleiding is de recente waarschuwing van Meta over ‘nudify’-apps, beeldbewerking die een naakt lijf verzint binnen de contouren van degene die jij fotografeert. Oké dan.

Meta heeft een rechtszaak aangespannen tegen de maker van CrushAI, een populaire app in dit genre, om te zorgen dat die niet meer adverteert op de Meta-platforms zoals Instagram. Dit op grond van de gebruiksvoorwaarden. Maar de app zelf blijft dus te vinden.

“Jijzelf weet dat de beelden nep zijn, maar je omgeving en anderen die de beelden zien weten dat niet”, zo citeert Nu.nl een woordvoerder van Slachtofferhulp. Daarmee worden mensen alsnog kwetsbaar voor chantage en andere onfrisse praktijken. Er moet dus wat gebeuren, en de organisatie stelt een apart verbod voor.

Een verbod staat of valt met handhaving, maar heeft hier ook een signaalwaarde. Als je op scholen en andere plekken waar dit speelt kunt zeggen “zo’n app hebben is verboden”, dan kun je jongeren en hun ouders (hopelijk) via een moreel appèl aanspreken. En wie deze toch gebruikt, kun je dan via schoolregels aanpakken – net zoals bij jongeren die messen naar school brengen, bijvoorbeeld.

Als het slachtoffer nog geen 18 is, dan is het gebruik van zo’n app strafbaar als het vervaardigen van kindermisbruikmateriaal (art. 252 Strafrecht). Maar ook als het gaat om een volwassene is het strafbaar als het vervaardigen “opzettelijk en wederrechtelijk” gebeurt (art. 254ba). Bij zo’n app is daar zonder twijfel sprake van.

Het punt is vooral: er is geen strafbaarheid op bezit of verspreiden van de app. Dat was nooit echt relevant: dergelijk beeld maakten mensen met camera’s of andere algemene middelen, dus je komt er niet uit hoe je “stiekeme camera voor strafbaar beeld” onderscheidt van “camera”. Dit is ook waarom stiekem fotograferen (art. 139f) strafbaar is maar stiekemfotograferencamera’s niet.

Zou het kunnen? We hebben het voorbeeld van de hackhulpmiddelen (art. 139d), een “technisch hulpmiddel dat hoofdzakelijk geschikt gemaakt of ontworpen is tot”. Zet erachter “het maken van beelden bedoeld in 254ba of 252” en je bent er. Gewone camera’s zijn niet specifiek geschikt voor dergelijk beeld, deze naaktapps wel.

Net als bij hackmiddelen krijg je dan gelijk discussie over waar de grens ligt. Software kan zowel voor een legitiem securityonderzoek geschikt zijn als voor illegaal werk, soms hangt dat alleen af van het hebben van een pentestopdrachtovereenkomst. Het wettelijk criterium moet je dan van geval tot geval oplossen.

Hier is het probleem dat deze apps (meestal) niet letterlijk zeggen “upload een foto van eender wie en wij plakken er een naakt lijf onder”. De verpakking zijn “AI girlfriend” apps (want het gaat altijd over vrouwen) die je dan in staat stellen afbeeldingen samen te stellen met allerlei parameters. En ergens verstopt zit dan “upload sample image”.

Anderen presenteren zich explicieter maar presenteren zich dan als neutrale tool: jij kiest de foto, maar jij verklaart dan tevens dat alles helemaal juridisch in orde is. En daar is het dan op papier misschien nog wel makkelijk tegen optreden, maar het bedrijf zit dan in Hong Kong en kan zo weer verder vanuit een nieuwe Ltd.

Arnoud

Rechter: Broadcom moet VMware voorlopig ondersteunen voor Rijkswaterstaat

De Nederlandse Rijkswaterstaat krijgt in een kort geding tegen Broadcom gelijk over de voorlopige ondersteuning van VMware. Dat meldde Tweakers eind juni. VMware-eigenaar Broadcom had RWS in staat moeten stellen deugdelijk VMware uit te kunnen faseren, inclusief benodigde support.

Het gedoe begon toen Broadcom haar perpetual licenses op virtualisatiepakket VMware wilde beëindigen. “Huh, eeuwigdurend betekent toch dat je het niet kunt opzeggen” was ook mijn eerste gedachte. Maar hier ging het vooral om de bijbehorende support, die op jaarbasis werd verlengd en nu (in 2023) ineens met een nieuwe, duurdere prijsstructuur werd geleverd.

De druk vanuit Broadcom om toch geheel nieuwe licenties te kopen is voelbaar:

Kort voor 31 oktober 2024 heeft Broadcom RWS conform de door VMware gehanteerde voorwaarden een beperkte tijdelijke verlenging van de Support aangeboden, die door RWS is geaccepteerd. Hiermee is de Support-overeenkomst verlengd tot één jaar na de oorspronkelijke einddatum. Dit betreft een zogenoemde Stated Out Year Renewal (hierna: SOYR), die afloopt op 23 juli 2025. De Support die RWS sindsdien ontvangt is geen volledige Support: de SOYR omvat geen innovatie in de vorm van de ontwikkeling van nieuwe versies. In de toelichting bij deze verlenging heeft Broadcom geschreven dat de verlenging partijen in staat moet stellen om tot een nieuwe overeenkomst te komen op basis van het abonnementsmodel.
Mede vanwege deze zeer agressieve handelswijze besloot RWS om VMware uit te faseren. Daarvoor werd zo’n twee jaar begroot, waarbij dan nog wel support onder de oude voorwaarden nodig was. Daar had Broadcom dan weer geen zin in, zodat men bij de rechter eindigde.

De rechter begint met vast te stellen dat VMware hier nodig is voor het beheer van kritieke infrastructuur, en dat je aan de software weinig hebt zonder onderhoud. (Broadcom had een voorstel gedaan met uitsluitend security updates, dat vindt de rechter te weinig.) Natuurlijk hoeft Broadcom ook weer niet tot in de eeuwigheid support te geven. Maar wijzigingen moeten ze wel tijdig aankondigen:

Op zichzelf is juist dat de opeenvolging van de Support-overeenkomsten niet zonder meer meebrengt dat RWS erop mocht vertrouwen dat de in 2021 gesloten Support-overeenkomst na afloop van de looptijd opnieuw onder vergelijkbare voorwaarden voor drie jaar zou worden verlengd. Daar staat tegenover dat RWS op grond van de op de website van VMware vermelde lifecycle policy (zie 2.6 en 2.7) mocht verwachten dat hij, in ieder geval voor bepaalde producten, gedurende zeven jaar Support zou kunnen ontvangen. RWS heeft in dit verband onweersproken gesteld dat dat voor bepaalde (kern)producten zou neerkomen op Support tot en met oktober 2029. Niet is gesteld of aannemelijk geworden dat RWS naar aanleiding van publiekelijke en gerichte mededelingen van VMware dan wel Broadcom er rekening mee had moeten houden dat hij na afloop van de laatste Support-overeenkomst geen adequate Support meer zou kunnen krijgen voor de producten waarvoor hij eeuwigdurende licenties had én dat hij voor de betreffende gebruiksrechten opnieuw een vergoeding zou moeten voldoen.
Vanaf december 2023 is er overleg gevoerd, maar pas in mei 2024 zijn de details zoals prijzen concreet geworden. De toenmalige supportovereenkomst zou 22 juli 2024 aflopen, en migratie zou twee à drie jaar duren. Mocht u nou denken, typisch gevalletje ict-contract, zo gaat dat in die grote b2b wereld:
Gelet op de afhankelijkheid van de VMware-producten, was RWS daarom op dat moment aangewezen op onderhandelingen met Broadcom. Anders dan Broadcom c.s. hebben gesteld, was er dus geen sprake van ‘vrije commerciële onderhandelingen’ tussen twee grote professionele partijen; men kan zeggen dat RWS klem zat.
De rechter zegt hier dus: dit plaatst RWS in een zwakke positie binnen een bestaande contractuele relatie. Wat zegt u achterin, zorgplicht ict-dienstverlener? Nee, niet helemaal: de redelijkheid en billijkheid in zo’n machtsverhouding. Dus waarom is het redelijk dat Broadcom zo van koers verandert:
Het argument dat Broadcom nu eenmaal haar portfolio heeft gewijzigd en dat sprake is van een mogelijke toekomstige waardecreatie voor RWS, is in dit verband weinigzeggend en onvoldoende om in dit kort geding de indruk te wekken dat Broadcom met voldoende zorgvuldigheid omgaat met RWS.
Broadcom moet voor twee jaar “maintenance updates and upgrades, bug and security fixes, and technical assistance” leveren aan RWS in het kader van de migratie naar een ander platform. Dit tegen een jaarlijkse indexeerbare vergoeding van € 1.765.191,36 – en op straffe van een dwangsom per dag van € 250.000 wanneer Broadcom niet meewerkt.

Die dwangsom komt een beetje uit de lucht vallen in het vonnis. Mijn gevoel – maar ik ben professioneel cynicus – is dat de rechter aan voelde komen dat er met rechtspersonen geschoven gaat worden zodat iedereen kan zeggen dat een ander de support had moeten doen, en daarna helaas helaas VMware LLC opgeheven blijkt. De dwangsom wordt dan ook opgelegd aan de moedermaatschappij.

Een mooie uitspraak, maar wel zeer specifiek vanwege de unieke situatie waar RWS zich in bevindt. Generaliseren is dan ook gevaarlijk, zeker naar organisaties waar de belangen minder vitaal zijn dan bij RWS of waar migratie niet snel diezelfde twee jaar zal kosten.

Arnoud

Ziekgemelde Monique plaatst foto van haar vakantie, binnen een uur ligt de foto bij HR

Photo by Hermann on Pixabay

Als klantenservicemedewerker Monique (52) tijdens een burn-out op vakantie gaat en daar een foto van plaatst op LinkedIn, zijn haar collega’s daar niet over te spreken. Dat berichtte het AD onlangs. De foto ging dan ook binnen het uur naar HR. Hoe zat dat ook alweer juridisch?

Het bericht deed mij terugdenken aan de beginjaren tien, toen er ook screenshots van Hyves en Facebook naar HR gingen als bewijs van onterechte ziekmeldingen en dergelijke. (Denk aan deze of deze blogs). Daar was veel meer de discussie of dat van de toen-nog-Wbp mág, meekijken op social media en gebruiken in een arbeidsgeschil.

De discussie nu is gelukkig iets volwassener. Want ja, je mág op vakantie als je ziek bent (mits je gewoon vakantiedagen inzet daarvoor, uiteraard). Daar hoef je geen aparte toestemming voor te hebben. Je hoeft dan ook niet beschikbaar te zijn voor bedrijfsarts of reïntegratie – je bent met vakantie. Het enige is dat je vakantie je reïntegratie niet mag hinderen.

Van dat laatste was geen sprake. Uit het bericht:

Op dag drie van haar vakantie plaatst Monique een foto op LinkedIn van zichzelf met een grote rugzak op haar rug en nordic walkingstokken in haar handen bij een bergmeer. ‘Langzaam weer een beetje lucht in mijn hoofd’, plaatst ze bij de foto.
Als frequent Linkedinner vind ik hier wel wat van, want dit is niet helemaal waar het zakelijk netwerk voor bedoeld is. Los van of je ziek bent, heel zakelijk is deze update niet.

De collega’s viel het ook op: ‘En wij maar werken’, ‘Nou, sterkte nog verder hè’, ‘Fijn dat het weer goed gaat met je rug’ en ‘En wij maar werken’ zo doet het AD een greep. (De rugpijn had geen duidelijke fysieke oorzaak en werd door de bedrijfsarts als symptoom van de burn-out aangemerkt.)

Eenmaal thuis wordt gelijk steviger ingezet op de reïntegratie: ‘Een rug die sterk genoeg is om met een rugzak de bergen in te trekken, kan ook op een bureaustoel zitten.’ Of dat hier klopt, is iets voor diezelfde bedrijfarts. Maar als de pijn een symptoom is van een burnout is die uitspraak natuurlijk kletskoek.

Het probleem is hier met name de ophef onder collega’s. Dat mag niet meespelen bij de vraag of iemand ziek is en hoe het herstel gaat, maar als “goed werknemer” moet je ook tijdens ziekte en herstel je best doen om dergelijke ophef te vermijden.

Arnoud

 

Dikke boete voor gamer die valsspeelde in Fortnite, kan dat zomaar?

Photo by Vlad Gorshkov on Unsplash

Een gamer die heeft valsgespeeld in meerdere Fortnite-toernooien, moet de makers van de game bijna 150.000 euro betalen. Dat meldde de NOS vorige week. Hij mag ook nooit meer Fortnite spelen – een juridische permaban. De vraag die  bij velen opkwam: hoe kan een bedrijf afdwingen dat iemand een boete moet betalen?

De zaak is iets complexer dan “Epic ontdekte dat iemand een keertje valsspeelde en legde een mep van 175.000 dollar op alsof ze de strafrechter waren.” Zoals Tom’s Hardware het uitlegt:

The culprit in question, Sebastian Araujo, had won more than $6,800 after participating in 839 cash tournaments within just four months, while using a direct memory access device to get around anti-cheat measures.

However, even after being busted, Araujo, instead of coming clean, created at least three fake accounts between June and October 2024 to avoid being caught, which led to Epic filing a legal lawsuit.

Als het gaat om professionele gametournooien dan snap ik wel dat de organisatie valsspelen hard wil aanpakken. Maar nog steeds: hoe komen ze aan dat bedrag?

Nee, het is geen contractuele boete. In Nederland zou dat de logische route zijn geweest, maar in de VS ligt dat ingewikkeld, zogeheten “liquidated damages” of “contractual fines” zijn vaak tegen de wet, zeker als ze bedoeld zijn als straf in plaats van als schatting van moeilijk te bepalen schade.

De basis voor de claim is het auteursrecht. Epic (maker van Fortnite) had gesteld dat de valsspeler 839 keer het auteursrecht op het spel had geschonden door het te spelen in aangepaste vorm. Volgens de wet kun je je schadeclaim dan stellen op 200 dollar per overtreding.

Deze insteek is en blijft controversieel, want schend je wel het auteursrecht door het spel in je eigen werkgeheugen te manipuleren, zonder het verder te verspreiden? Behoort het auteursrecht wel ingezet te kunnen worden op deze oneigenlijke manier? Gaat het niet veel eerder om contractuele schade, zoals door het gebruik van vele valse accounts?

Maar hier speelde dat allemaal niet, want de valsspeler had geen verweer gevoerd (default judgment / verstekvonnis). En dan zal de rechter de eiser gewoon gelijk geven. Maar ook in de VS zit er dan wel een basale check op. Zoals IGN meldt:

Further examination shows Epic had pushed for an even higher fine — with an additional $100,000 penalty in statutory damages for copyright infringement — though it’s here that the judge decided this amount would have been “excessive” versus [de speler z’n] actual ill-gotten gains.
Epic heeft gemeld het geldbedrag te zullen doneren aan een goed doel (stichting Child’s Play).

Arnoud

 

 

Kun je de telecomprovider aansprakelijk stellen voor sim-swapping?

Photo by epicioci on Pixabay

Een lezer vroeg me:

Ik lees de laatste tijd veel berichten over sim-swapping waarbij criminelen het voor elkaar krijgen om een 06-nummer naar een andere simkaart over te laten zetten. Als ik het goed begrijp gebeurt dit door telefonisch contact met de telecomprovider waarbij de crimineel zich voordoet als de eigenaar van de simkaart. Na het omzetten kunnen ze de 2FA op basis van SMS heel makkelijk omzeilen en dus mogelijk toegang krijgen tot allerlei accounts. Stel dat ik dan schade lijd, kan ik die dan verhalen op de telecomprovider?
Het fenomeen sim-swapping zoals hier beschreven komt inderdaad met enige regelmaat voor. In april werd een man uit Vaals nog veroordeeld tot drie maanden cel voor medewerking aan sim-swapping. In de VS kreeg iemand 14 maanden cel voor het via sim-swapping kapen van het X-account van de beurswaakhond SEC. En T-Mobile betaalde in maart 33 miljoen omdat het bedrijf nalatig was in de beveiliging tegen deze vorm van criminaliteit.

De aansprakelijkheid voor de gevolgen van sim-swapping begint bij de specifieke regels voor banken. Die staan in art. 7:529 BW:

De betaler draagt alle verliezen die uit niet-toegestane betalingstransacties voortvloeien, indien deze zich hebben voorgedaan doordat hij frauduleus heeft gehandeld of opzettelijk of met grove nalatigheid een of meer verplichtingen uit hoofde van artikel 524 niet is nagekomen.
De ‘betaler’ is in dit geval dus de klant die een frauduleuze transactie overkwam dankzij sim-swapping. En let op: er staat dus dat deze alléén de gevolgen moet dragen als hij frauduleus, opzettelijk of met grove nalatigheid zijn beveiligingsplichten niet nakwam.

Bij sim-swapping kun je vrij weinig doen. De crimineel krijgt een vervangende sim (of esim) waarmee deze vanuit jouw nummer berichten kan zenden en ontvangen. Als de crimineel je wachtwoord te pakken heeft, kan deze dan dus de 2FA op basis van je 06-nummer aanroepen en dan transacties uitvoeren.

Ik zie dan ook niet direct hoe jou kan worden verweten dat je opzettelijk of grof nalatig hebt gehandeld. Het enige argument is dat je informatieberichten van je telecomprovider negeert dat er een nieuwe sim is uitgegeven, en meer algemeen dat je wachtwoord is gelekt.

Echter, niet bij alle aanvallen is je wachtwoord nodig. Bovendien is een standaardtruc dat men ’s nachts de wissel doet, omdat je dan ruim te laat bent bij het wakker worden.

In één Kifid-uitspraak vond men het genoeg dat er in een SMS een algemene waarschuwing stond, hoewel die niet over sim swapping maar over 2FA codes ging.

De telecomprovider aansprakelijk stellen wanneer de bank niet thuisgeeft, is natuurlijk altijd mogelijk. Door het onrechtmatig uitgeven van die sim ben jij benadeeld. Alleen krijg je dan snel hetzelfde probleem: als jij niet had gereageerd op waarschuwingssignalen, is in ieder geval een deel van de schade je eigen schuld.

Arnoud

Wat is juridisch gezien een geldige manier om te bewijzen wat er online stond?

Photo by garten-gg on Pixabay

Via Reddit:

Stel: je ziet online een misleidende advertentie, beledigende opmerking of contractbreuk op een website/social post, maar die wordt daarna verwijderd. Een screenshot is dan vaak niet genoeg, zeker als de tegenpartij het betwist. Wat is juridisch gezien een manier om wél hard bewijs aan te leveren?
In Nederland geldt een systeem van vrije bewijsmiddelen, zeker in het burgerlijk recht. Bij het strafrecht is het iets strenger, het “wettig” van “wettig en overtuigend bewijs” geeft aan dat het bewijs langs wettelijk vastgelegde procedures moet zijn verkregen.

Een screenshot van een bericht is op zich prima bewijs van wat er waar online heeft gestaan. Natuurlijk, de wederpartij kan dit ontkennen. Maar ik lees veel vonnissen en heel vaak gebeurt dat niet. De discussie gaat over wat men bedoelde met die post (zoals bij die duimpjeszaak) of waarom het toch wel mocht, niet over dát de post gedaan is. En dan erken je natuurlijk dat je hem gedaan hebt.

Het is ook niet handig om iets te posten, weg te halen en dan bij de rechter te zeggen “ik heb nimmer dat gepost”. Want als de wederpartij dan met een screenshot komt, heb je wat uit te leggen. “Die screenshot is vervalst” kán natuurlijk, maar je zult dan iets meer moeten zeggen dan dat.

Enkel omdat screenshot vervalst kúnnen zijn, mag je nog niet concluderen dat ieder screenshot dat een partij inbrengt, ook vervalst ís omdat de andere partij dat zegt. De rechter zal dan vragen, waarom zou die partij dat hier doen? Er is altijd een context: waarom zou de wederpartij zeggen dat jij dat gedaan hebt, hoe logisch is het dat jij het wél geplaatst zou hebben.

Een screenshot laten maken door een derde partij kan natuurlijk. Bekende plekken zijn Archive.org en Archive.ph. Deze maken zelf de screenshot en plaatsen deze met een datum en tijdstip online, zodat de inhoud vast zou moeten staan. Zo kun jij (redelijkerwijs) die niet gemanipuleerd hebben. Er zijn geen rechtszaken waarin werd getwijfeld aan de inhoud van archive.org publicaties.

In 2024 kreeg het Gerechtshof Arnhem in een arbeidszaak een screenshot van een WhatsApp-bericht als bewijs dat een ex-werknemer contactverbod tegen een klant zou hebben overtreden. De betrokken ex-werknemer stelde echter dat het screenshot gefabriceerd zou zijn door de klant. Het Hof vindt dat onder meer onaannemelijk omdat het alternatief onzinnig is:

Dat zou immers betekenen dat [de klant] de avond na het gesprek waarin [de ex-werknemer] een contactverbod was opgelegd een tekstbericht heeft gefabriceerd en aan [diens contactpersoon] heeft gestuurd, kennelijk om te doen voorkomen alsof [verzoeker] ondanks een hem opgelegd contactverbod contact had opgenomen. [De klant] was echter niet aanwezig bij het gesprek waarin het contactverbod is opgelegd en was niet op de hoogte van de inhoud van dat gesprek of van het contactverbod. Dat is althans niet gesteld of gebleken. Uit de overgelegde app-conversatie tussen hem en [de contactpersoon] blijkt dat zij hem over dat gesprek alleen heeft meegedeeld dat [de ex-werknemer] alles had ontkend. Er is dan geen zinnige reden te bedenken waarom [de klant] een bericht zou fabriceren met enkel tot doel om te suggereren dat [de ex-werknemer] een contactverbod zou hebben overtreden.
In een andere zaak had een persoon een verkeersboete gekregen. In hoger beroep daartegen werd onder meer gesteld dat de agent ter plekke had gezegd dat deze boete 100 euro zou zijn, terwijl daarna 150 euro was opgelegd:
Door de gemachtigde is een screenshot overgelegd van een e-mail die is gericht aan ene Jet en die is ondertekend met de naam van de ambtenaar die de sanctie heeft opgelegd met daaronder de vermelding ‘hoofdagent’. In deze e-mail is onder meer geschreven: “Ik gaf jou vanavond een bekeuring voor het rijden met een defecte koplamp. Deze bekeuring heeft een waarde van 100 euro.”
De manier van formuleren geeft voor mij al aan dat het Hof dit niet helemaal vertrouwt. Belangrijke daarvoor is dat het niet de mail zelf is maar slechts een screenshot, zodat je niet eens bijvoorbeeld headers kunt lezen. Weliswaar had de betrokken ambtenaar niet gereageerd op verzoeken van de gemachtigde van de beboete persoon, maar dat hoeft ook niet.

In deze zaak hadden beide partijen een screenshot ingebracht van wat volgens het Kadaster de verkoopprijs van een woning zou zijn. De screenshots vermeldden echter verschillende getallen. De rechter negeert daarom beide berichten.

Arnoud

Sjonge, je emailcorrespondentie is als zodanig ook gewoon een persoonsgegeven onder de AVG

Photo by Element5 Digital on Pexels

De inhoud van je (zakelijke) mailbox is aan te merken als persoonsgegevens, zodat je inzagerecht (en kopierecht) er op van toepassing is. Dat oordeelde het Franse Cour de Cassation, de hoogste Franse rechtbank onlangs. Wel moet de werkgever bij inzageverzoeken rekening houden met (privacy-)belangen van anderen.

Met enige regelmaat krijg ik vragen van werknemers die in een arbeidsgeschil zitten en dan de AVG willen inzetten om bijvoorbeeld bewijs te vergaren. Het is al een tijdje discussie wat in die context precies een ‘persoonsgegeven’ is: de metadata (jouw mailadres en met wie je mailde zeg maar), de passages in de mail die over jou gaan, of gewoon de hele mail?

Het Franse Hof kiest in een arbeidszaak nu voor dat laatste. In die zaak ging het om een intern onderzoek tegen een werknemer vanwege vermeend plegen van “daden van seksuele of psychische intimidatie”. De werknemer had om inzage in zijn mails gevraagd, om beschuldigingen te kunnen weerleggen als zou hij dergelijke teksten per mail hebben verstuurd.

De werkgever had dit geweigerd omdat “zakelijke e-mails” geen persoonsgegevens zijn. Dat ziet het Hof dus anders:

16. It follows, on the one hand, that emails sent or received by the employee using his professional email account are personal data within the meaning of Article 4 of the GDPR and, on the other hand, that the employee has the right to access these emails, the employer having to provide him with both the metadata (time stamp, recipients, etc.) and their content, unless the elements whose communication is requested are likely to infringe the rights and freedoms of others.
Ik twijfel of dat “professional mail account” er staat om duidelijk te maken dat het óók voor zakelijke mails geldt (dus niet alleen duidelijke privécorrespondentie), of gewoon omdat men die term gebruikte in de procedure.

In ieder geval, het Hof bevestigt hier dat mails die je stuurt of ontvangt integraal tellen als persoonsgegevens. Dus niet de metadata. Ook niet de stukjes met je naam erin. De hele lap.

Dat is wel even heftig, want je kunt dus met dit arrest (de AVG wordt Europabreed hetzelfde uitgelegd) een kopie van je hele mailbox eisen. Daar zitten dan wel weer grenzen aan: je inzagerecht (waar recht op kopie bij hoort) mag “geen afbreuk aan de rechten en vrijheden van anderen” doen.

Als inzage bijvoorbeeld de privacy van een collega zou schenden, of er staan bedrijfsgeheimen in, dan mag de werkgever weigeren deze te verstrekken. De werkgever moet dat natuurlijk desgevraagd wel bewijzen (vergelijk Dun & Bradstreet over handelsgeheimen versus AI-uitleg, ook dat is het inzagerecht). En mails moeten bij voorkeur dan geanonimiseerd worden overlegd in plaats van integraal achtergehouden worden.

Hoe nu hier in de praktijk mee om te gaan? Enerzijds gaat het praktisch al goed: werknemers kunnen haast per definitie al bij hun mailbox, en ze mogen daar dus ook een kopie van maken in het kader van hun inzagerecht.

Die kopie moet wel gemaakt om een concrete inzage te doen met als doel correctie of verificatie van de juistheid van de persoonsgegevens. Dus niet “voor het geval dat neem ik de mailbox mee naar huis” maar “ik hoor net van Guillaume dat ik X gezegd zou hebben, ik bewaar nu de mail met niet-X want dan kan ik dat op het gesprek aankaarten”.

Anderzijds gaat het inzagerecht pas spelen wanneer er een geschil aan de orde is. Dan weet je als werknemer immers welk bewijs je nodig hebt. En juist dan zie je dat je nogal eens buitengesloten bent van de werkmiddelen. Natuurlijk heb je dan nog steeds récht op die mailbox, maar met oneigenlijke vertragingstactieken kan een kwaadwillende werkgever je daar behoorlijk in hinderen – terwijl de arbeidsrechtelijke procedure gewoon doorgaat.

Arnoud