Open draad: wat vinden jullie van het internetrecht?

draad-open-discussieDeze week ben ik met vakantie. Vandaag geen gastpost maar een open draad: wat vinden jullie van het internetrecht? Wat ben je zoal tegengekomen in het nieuws of in je eigen praktijk waar je nu eindelijk wel eens een discussie over wil starten?

Arnoud

31 reacties

  1. Het is wel heel breed 🙂 Mijn voornaamste punt bij internetrecht is dat het gemaakt wordt door mensen die weinig tot geen (technische) kennis hebben over de werking van internet en/of techniek. De cookiewet is daarbij waarschijnlijk het beste en meest recente voorbeeld. Het idee achter de wet is wat mij betreft goed (bescherming van de privacy) maar de uitwerking is zo’n gedrocht geworden dat het compleet nutteloos is geworden omdat alles achter een cookiewall verdwijnt en iedereen klakkeloos op OK klikt.

    Ook de wetgeving/regels voor wat betreft het melden van hacks, het hacken zelf (miljoenennota), verplicht afgeven van encryptie keys laten weinig blijk zien van enige technische kennis.

    1. Dit is voor vele waarschijnlijk een van de grootste ergernissen het laatste half jaar. Ik vind privacy goed maar ik vind dat het initiatief vanuit de gebruiker zelf moet komen in dit opzicht. Wil je niet gevolgt worden door cookies, uitzetten kan…

      Waarom de last leggen bij webdevelopers. De meeste mensen zijn gewoon paranoid als het gaat over privacy op het internet. Veel eisen en niet willen dat ze getraceerd worden maar wel vervolgens een publiek facebookprofiel hebben waarom de meest walgelijke dingen te lezen zijn. Wil je privacy dan vind ik dat je daar zelf voor moet zorgdragen en niet de webdeveloper. Je kunt deze toch nooit vertrouwen als het gaat over je eigen privacy, je kunt namelijk met geen mogelijkheid zien wat er achter de schermen nu exact gebeurt.

      1. Ik denk dat het na alle NSA onthullingen heel begrijpelijk is dat mensen zich serieus zorgen maken over hun privacy op Internet. Naast het feit dat de NSA standaard het internationale Internetverkeer tapt, vinden de Amerikaanse Internet-gegevens-verzamelaars (Microsoft, Google, Facebook, Twitter) het heel gewoon om de door hun verzamelde gegevens aan de NSA ter beschikking te stellen.

        De websitemakers en gegevens-verzamelaars hebben de wetgeving ook over zichzelf afgeroepen door de slinkse kunstgrepen (1×1 transparante GIFs, javascript, persistente cookies) die ze gebruiken om maar zo onopvallend mogelijk zo veel mogelijk informatie te verzamelen. Wat je in een Facebook profiel schrijft controleer je zelf; wat er achter je rug door de gegevensverzamelaars commercieel over je geroddeld wordt weet je niet eens!

    2. Het grappige is dat de cookiewet nou juist een doorschieten is van technologie in wetgeving.

      De wetgeving had beter ondubbelzinnig moeten vastleggen dat het niet is toegestaan om mensen te volgen op het internet. Of dat doorgeven/doorverhandelen van gebruikersprofielen die gemaakt zijn obv gegevens verzameld door een geautomatiseerd proces strafbaar is.

  2. Het openstellen van WiFi door Ziggo, waardoor klanten ‘overal’ in Nederland het internet op kunnen. Maar wat nou als er strafbare feiten via jouw router worden gepleegd? Ben je dan verdachte / medeplichtig? En bij wie ligt de bewijsplicht en -last?

    1. Dat deel van de router is niet van jou, het behoort tot het Ziggo netwerk, en de hardware heb jij in bruikleen. Zo’n strafbaar feit wordt dan ook niet vanaf jouw IP-adres gepleegd ofzo. Lijkt me dus appeltje-eitje.

  3. Haha, ik wilde net mijn betoog beginnen dat het mij vooral opvalt dat er veel mensen zijn die bij wetgeving en gerechtelijke uitspraken die betrekking hebben op internet, altijd gaan roepen dat de wetgever/rechter volledig incompetent is op het gebied van techniek. Nou, dat deel van het betoog kan ik overslaan, met dank aan de post van NP hierboven.

    Ik ben het daar niet mee eens. De wetten en de meeste uitspraken zijn technisch weldoordacht.

    Een illustratie aan de hand van de cookiewet. De wettekst is zo geschreven dat die elke, maar dan ook elke slimmerik die met een alternatieve techniek op de proppen kwam al bij voorbaat de pas afsneed. Daarnaast is ie nog iets breder en kan je er ook malware die zaken van de computer probeert te stelen er mee aanpakken.

    De cookiewet is niet handig, vanuit het business perspectief en vanwege de implementatie. Er kwamen teveel popups, de do-not-track standaard faalde, en het verwachte effect dat heel veel websites zouden stoppen met het verzamelen van gegevens bleef uit. In plaats daarvan gingen ze door en vroegen om toestemming. De uiteindelijke fail was natuurlijk het moment waarop de publieke omroep haar website domweg afsloot voor de ongelukkigen die niet op Akkoord klikten. Maar, mijn punt, deze faal-redenen zaten nooit in de techniek, en altijd in het gremium van het menselijk gedrag.

    Miljoenennota: menselijke faal. Het was niet zo dat de overheid een verkeerde encryptiestandaard gebruikte ofzo. Verplicht afgeven van encryptiekeys? Vooral omstreden op juridisch gebied (je hoeft jezelf niet te belasten). Technisch prima te doen.

    Feit dat je het er niet altijd mee eens bent maakt het nog niet een kennisgebrek aan de andere kant.

    1. Graag gedaan 🙂

      Cookiewet: De faalredenen zaten inderdaad niet in de techniek maar wel in het wetsvoorstel want je kon/moest verwachten dat het zo zou uitpakken. Waarom niet gewoon een verplichting tot het volgen van de DNT header? Het probleem met de wet is juist dat het te breed is. Maak een wet om 1 probleem op te lossen en probeer niet alle problemen in die ene wet te stoppen. Het simpele feit dat de wet niet werkt betekend toch al dat de wet niet klopt?

      Miljoenennota: Inderdaad menselijke faal maar juridisch strafbaar volgens Arnoud. Afgeven encryptiekeys: Mee eens dat het voornamelijk maatschappelijk ongewenst is en niet zo zeer technisch van aard.

      1. Omdat je dan een DNT-wall gaat krijgen. Als een server een DNT-header binnenkrijgt stuurt hij je automatisch door naar een pagina waar staat uitgelegd hoe je het kan uitzetten. Je kan een website niet/moeilijk verplichten om zaken met iemand te doen. En zelfs al kan dat wel, je kan ze zeker niet verplichten online te blijven als het onrendabel is.

        1. Die drempel is wat hoger dan de huidige cookiewall maar je hebt gelijk dat als de top 100 sites dat gezamenlijk afspreken ook dit weer waardeloos blijkt.

          Iemand een beter idee? Verbod op het samenstellen van profielen (hoe definieer je profielen?). Gebruikersdata mag niet langer dan x (3?) maanden bewaart blijven? Elke gebruiker moet online en (vrijwel) realtime inzage hebben tot alle gegevens die op hem betrekking hebben en heeft altijd het recht deze gegevens te bewerken/verwijderen? En Nederlandse sites mogen alleen zaken doen met partijen die zich aan deze voorwaarden houden?

          1. Nederlandse sites mogen alleen zaken doen met partijen die zich aan deze voorwaarden houden

            Het zou een heel stuk helpen als alle inline elementen die op “op Nederland gerichte” websites getoond worden verplicht aan de Nederlandse privacywetten voldoen. Je kunt de “cookiewet” op deze manier lezen, maar voor zover ik weet is er nog geen jurisprudentie die hier iets over zegt. Zeker als een vergelijkbare eis (gebruik alleen onderdelen op een website die aan de EU-normen voldoen) EU-wijd wordt ingevoerd zou dat als een breekijzer kunnen werken om Amerikaanse websites aan redelijke privacynormen te helpen.

      2. Afgeven encryptiekeys: Mee eens dat het voornamelijk maatschappelijk ongewenst is en niet zo zeer technisch van aard.

        Afgeven encryptiekeys betekent dat het HTTPS protocol niet meer voor beveiligde communicatie kan worden gebruikt, dus wordt bijvoorbeeld internetbankieren/webwinkelen onbetrouwbaar. Wil de overheid dat eigenlijk wel?

        Tevens zie ik een technisch probleem opdoemen: voor verschillende protocollen (bijvoorbeeld HTTPS/SSH) per apparaat zullen die encryptiekeys moeten worden afgegeven. Gegarandeerd dat die collectie incompleet blijft. Willen we nog meer mensen criminaliseren?

    2. Ik ben het grotendeels met je eens; meestal is de technische motivering vrij sterk. Echer, het verplicht afgeven van keys is technisch niet sterk onderbouwd — ten minste niet wat ik tot nu toe meegekregen heb. Ten eerste: niet altijd technisch goed te doen. Als ik bijvoorbeeld een HSM koop (zoiets dus, maar RSA tokens horen daar ook bij), dan zijn die juist ontworpen om nooit de keys vrij te (kunnen) geven. De yubikey is nog een mooi voorbeeld daarvan. Een TPM hoort daar ook bij — weet jij de keys in de TPM van je laptop?

      Verder is er nog het argument uit de security hoek: het hele idee van sleutel-afgave breekt met de veiligheid van de systemen die met deze sleutels zekergesteld wordt. Versleutelde kunnen gelezen en gewijzigd worden; erger nog, met de private sleutels kan je perfect digitale signaturen fabriceren. Daarnaast gebruikt men sleutels voor authenification; men kan met de sleutels dus in andere systemen ‘inbreken’.

      Aan de andere kant: sleutelafgave is nog geen wet, en kan dus (nog) niet onder technisch brakke onderbouwing gegooid worden.

      1. Het zal wel geen wet worden waarbij je verplicht wordt om de sleutels te geven maar verplicht wordt om de data te ontsleutelen. Dus alle (hardware) oplossingen die bedacht worden om maar geen sleutel te hebben zijn dan zinloos. Je moet gewoon zorgen dat justitie de data kan lezen.

    3. De discussie ging nu (weer) voornamelijk over of de cookiewet nu goed was of niet. Maar mijn eerste post was breder dan de cookiewet. Omdat de cookiewet niet werkt in het echte leven is het wat mij betreft dus een slechte wet. Hoe je dan kan blijven volhouden dat het geen faal is van de wetgever snap ik niet zo goed.

      Nog wat voorbeelden: Als ik bij een site de url verander (index.php?id=201224 naar index.php?id=20131224) is dat blijkbaar computervredebreuk, en dus strafbaar. Wat mij betreft een wet die niet meer van deze tijd is.

      Als ik mensen oplicht via internet door aangeboden spullen niet te leveren is dat blijkbaar niet strafbaar. Die wet klopt misschien wel maar stampt uit de tijd dat mensen nog opgelicht werden op een parkeerplaats langs de A2 of in een donker steegje. De wetgever gaat er nu compleet aan voorbij dat dit soort handel is ingeburgerd en compleet normale handel is.

      Het aannemen van een andere naam op internet willen ze strafbaar stellen. Wat mij betreft staat dit ook weer compleet los van enige realiteitszin. Ik weet, het is nog geen wet maar het geeft wel het denkpatroon aan van de wetgevende macht.

      Data is juridisch gezien niets. In een tijd waarin er miljarden worden uitgegeven om data te verzamelen, beschermen en er miljarden worden verdient met het exploiteren van data kan je, m.i., niet meer stellen dat data niets is. Ook hier is de wetgever wat mij betreft niet meegegaan met de tijd.

      Natuurlijk kan je zeggen dat het allemaal stuk voor stuk klopt en goed is en dat het niet ligt aan de kennis van de wetgever. In mijn ogen zijn het echter wel slechte of verouderde wetten door een gebrek aan (technische) kennis of ervaring in het echte leven.

      1. De discussie ging nu (weer) voornamelijk over of de cookiewet nu goed was of niet. Maar mijn eerste post was breder dan de cookiewet. Omdat de cookiewet niet werkt in het echte leven is het wat mij betreft dus een slechte wet. Hoe je dan kan blijven volhouden dat het geen faal is van de wetgever snap ik niet zo goed.

        Laatste over de cookiewet dan: niemand hier vindt dat geen faal. Het punt is dat die faal niet het gevolg is van een gebrek aan technische kennis bij de wetgever. Ook de critici zagen deze manier van falen niet van te voren aankomen.

        Als ik bij een site de url verander (index.php?id=201224 naar index.php?id=20131224) is dat blijkbaar computervredebreuk, en dus strafbaar. Wat mij betreft een wet die niet meer van deze tijd is.

        Een voorbeeld uit het extreme, overigens alleen in theorie betoogd op deze site. Ik vind het goed dat de wetgever de mogelijkheid openlaat om dit als computervredebreuk te beschouwen indien degene die met cijfertjes ging zitten klooien een crimineel doel had, wat vaak lastig op andere wijze is aan te pakken.

        Als ik mensen oplicht via internet door aangeboden spullen niet te leveren is dat blijkbaar niet strafbaar. Die wet klopt misschien wel maar stampt uit de tijd dat mensen nog opgelicht werden op een parkeerplaats langs de A2 of in een donker steegje. De wetgever gaat er nu compleet aan voorbij dat dit soort handel is ingeburgerd en compleet normale handel is.

        Dit gaat eerder om het gebrek aan een wet. Ik ben het hier wel met je eens dat dit belachelijk is. Aan de andere kant vinden mensen dat ze met elke schimmige persoon op Internet zaken kunnen doen terwijl als je in de kroeg zit en iemand biedt je een iPhone 5 aan, die hij niet kan laten zien, maar die hij echt zodadelijk voor je gaat halen, als je maar even vooraf betaalt, iedereen door heeft dat ie opgelicht wordt. Ik vind het terecht dat de rechter een stukje eigen verantwoordelijkheid benoemde. Vanuit de kant van de wetgever kan ik me voorstellen dat je – gezien de kosten van een nieuwe wet – niet meteen op elke hype springt maar even op iets meer ‘strategisch’ niveau kijkt of het zinnig is er iets aan te doen. Ik kan me voorstellen dat over tien jaar niemand meer zo stom is om zich op deze wijze te laten oplichten, en dan zouden we over twintig jaar weer over die bizarre verouderde wet uit 2013 zitten te klagen.

        Het aannemen van een andere naam op internet willen ze strafbaar stellen. Wat mij betreft staat dit ook weer compleet los van enige realiteitszin. Ik weet, het is nog geen wet maar het geeft wel het denkpatroon aan van de wetgevende macht.

        Allereerst is zo’n wet een perfecte manier om ongein als dit aan te pakken. Daarnaast snap ik niet dat dit los staat van enige realiteitszin. In het dagelijks leven gebruik jij toch ook geen valse identiteit? Waarom doe je dat op internet dan wel?

        (indien je hierop het argument van privacy aan komt dragen, dan a) moeten we dat probleem dan niet oplossen? en b) houden de mensen die het hardst om privacy roepen zich vaak bezig met schimmige zaken omdat ze vinden dat op internet nu eenmaal alles moet kunnen. Maar internet is niet meer het speeltje van de ’techno-anarchisten’ zoals het vroeger was. Het is onderdeel van onze maatschappij).

        1. Cookiewet: Het is een technische faal omdat er een technische oplossing bedacht is (je mag niet schrijven/lezen naar/van een randapparaat) en niet het onderliggende probleem wordt aangepakt, namelijk een verbod op het profileren van gebruikers die dat niet willen.

          Url manipulatie: Het is goed dat iets aangepakt kan worden maar nu is het strafbaar (ook Brenno de Winter betoogt dat, als er ergens anders betoogd wordt dat het niet strafbaar is, dan zie ik dat graag). Het feit dat zo’n simpele handeling strafbaar is, is wat mij betreft een faal. Je kan betogen dat er niet tegen opgetreden wordt maar dat maakt het niet minder strafbaar.

          Oplichting: Gebrek aan wet is natuurlijk net zo’n faal als een verkeerde wet. In 2010 was de omzet via Marktplaats al 10 Miljard! Nu 3 jaar later zal dat nog meer zijn denk ik. Daarbij is het gebruikelijk dat je vooraf betaalt. Dat kan je niet vergelijken met de koop van een iPhone in de kroeg. Het is een zeer significante markt. En dan nog, zelfs bij de oplichting in de kroeg moet het toch gewoon strafbaar zijn?? Dat politie niets doet tegen al te domme oplichting (iphone 5 voor 100 eur) kan ik me voorstellen want eigen schuld. Maar als iemand gepakt is, kan de rechter toch niet zeggen eigen schuld?

          Identiteit: De vergelijking tussen internet en RL gaat niet op omdat het geheugen van internet vele malen beter is dan van RL. Als ik iets zeg is dat na 1 sec weer in de lucht verdwenen en alleen de mensen die erbij stonden hoorde het. Op internet blijven uitspraken oneindig staan. Je denkt toch niet dat mijn volledige naam echt NP is? En ook jij hebt een achternaam (vermoed ik). Wederom is dit symptoom bestrijding en lost het het werkelijke probleem niet op.

  4. Waarom niet gewoon een verplichting tot het volgen van de DNT header
    Omdat dat in de techniek opgelost moet worden, en dus ook in de techniek omzeild kan worden of kan falen.

    Ik denk dat met name de cookiewet een goed voorbeeld is van hoe je techniek kan verwoorden en beperken, zonder dat er een directe afhankelijkheid op de techniek is (door technologie, moeilijke definities). De hele complexiteit wordt gereduceerd tot ‘randapparaat’ , ‘opslaan’ en ’toegang verkrijgen’.

    De faalredenen zaten inderdaad niet in de techniek maar wel in het wetsvoorstel want je kon/moest verwachten dat het zo zou uitpakken.
    Ergo mijn stelling dat het falen niet in een gebrek aan technische kennis zit.

    1. Ho ho, dat is wat te kort door de bocht. De DNT header kan niet omzeild worden. Als jij als webmaster blijkbaar een product gebruikt (Apache) die de DNT niet meer verwerkt dan is dat jouw probleem, niet van de wetgever. Nu snap ik dat het halve internet draait op Apache maar dat is geen probleem van de wetgever. Als VW morgen besluit om de auto’s niet langer te voorzien van autogordels, schaffen we die wet dan maar af?

      OK, de stelling wordt dan dat de wetgever te weinig technische kennis heeft. Het falen zit er in dat het niet goed doordacht is. Het simpele feit dat een (nieuwe) wet faalt, betekent wat mij betreft dat de wet niet goed doordacht is. Ook zie je dit volgens mij vaker bij wetten met technische componenten dan bij andere wetten.

      1. Als jij als webmaster blijkbaar een product gebruikt (Apache) die de DNT niet meer verwerkt dan is dat jouw probleem, niet van de wetgever
        Maar dan moet je een (te) technische discussie in de rechtzaal gaan voeren.

          1. Dat is wel relevant. In genoemde discussie is nog totaal niet beslecht of IE10 nu fout zit, of Apache.

            En de disucssie in de rechtzaal in dit geval zou gaan worden dat de gebruiker met IE10 stelt dat de webserver de header heeft weggegooid, en de beheerder van de webserver gaat betogen dat dat terecht was, omdat IE10 (en daarmee de gebruiker) zich niet aan de afgesproken standaard conformeert. Een technische discussie dus en als je die in/door je wetgeving kan vermijden dan vind ik dat slim.

            1. Waar het om gaat is dat de gebruiker (IE10) een DNT verstuurt en daar heb je naar te luisteren. Of de gebruiker dat wel echt wil, is wat mij betreft dan geen discussie. Dus de wet wordt niet dat je moet voldoen aan de W3 richtlijnen maar dat als je de gebruiker een DNT ontvangt dat je daar naar moet handelen.

              Als jij om wat voor reden dan ook die DNT niet ontvangt is dat jouw probleem.

              Maar goed, wat zijn de alternatieven want de huidige wet werkt niet?

            2. Dan verklaart die gebruiker dat hij zelfstadndig heeft gekozen voor DNT. Hoe ga jij als beheerder bewijzen/aannemelijk maken dat dit niet het geval is? En iemand die hier een rechtzaak over begint is vast ook zo slim om DNT handmatig te activeren in het bijzijn van getuigen en de hele procedure op te nemen. Of hij gebruik een andere browser die doet alsof het IE is.

                1. Maar ik zeg dat dat een non-discussie is omdat het niet gaat om de richtlijnen van W3 maar alleen of het wel of niet meegezonden wordt.

                  Met de huidige wet slaag je er ook niet goed in om te bepalen wat nu noodzakelijke cookies zijn. In eerste instantie zaten analytics cookies daar niet bij, nu blijkbaar opeens wel omdat de overheid ze graag gebruikt. Op die manier is de stap naar performanced based cookies snel gemaakt. Het is ook niet helemaal duidelijk of cache er wel bij hoort. En is het strikt noodzakelijk om de laatst bekeken producten op te slaan in een cookie? En hoe lang zou dat mogen en hoeveel producten mag je dan bij houden. Wat mij betreft allemaal onduidelijk in de huidige wetgeving en dus open voor discussie.

  5. Ik moet denken aan de Internet-censuur die de Britten willen gaan toepassen, waarbij ze ook nog eens gebruik gaan maken van Chinese systemen! Het is gewoon te gek voor woorden, maar in Nederland zijn er ook mensen die een groot voorstander hiervan zijn… Natuurlijk hardstikke leuk voor de Chinezen om te zien hoe de Chinese Firewall een mooi export-product gaat worden, waarmee ze nog meer mensen mee kunnen afluisteren. En dan te bekenken dat mensen wakker liggen van de spionage door Prism en de NSA in de USA en zich niet druk maken om deze dommigheid uit GB. Dus wat kunnen burgers doen indien de regering een censuur-systeem laat implementeren die een buitenlandse mogendheid en de regering zelf alle macht geeft om iedereen af te luisteren?…

  6. Ik vind het altijd frapant hoe kwestbaar je als gebruiker/consument bent online. Als de website en de klant in éénzelfde land liggen dan is er tot bepaaalde hoogte weinig verschil met het offline gebeuren. Maar heel vaak is het een heel stuk ingewikkelder en gaat je verschillende landsgrenzen over. De site is Amerikaans, maar het filiaal Iers, en de servers Brits of zo. 99% van de mensen geeft zich al op voorhand gewonnen en dat lijkt me toch een probleem. Het machtsonevenwicht is te groot, door vaak bewuste gecreëerde verwarring. Voorbeeldjes uit de losse pols: -De internetgiganten zijn totaal niet te contacteren. Probeer eens tot Yahooo, google of Facebook door te dringen. Daarenboven lijken ze voor de normale consument bijna onaantastbaar door hun legale constructies. – Een consument koopt iets op een Europese website en er zijn problemen. De mensen zijn bang om op hun rechten te gaan staan, als ze al weten wat die zijn. – Enkele jaren terug heb ik geld verloren door een soort scam op een pokersite. De site nam onterecht geld van mijn account. Ze weigerden elke medewerking. Ze werkten uit Isle of Man, maar ook vanuit Malta. De scammer was waarschijnlijk eerder een Amerikaan. Ik heb even aan een advocaat gedacht, maar al bij al leek het sop de kolen neit waard.

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.