Goedemiddag, wij komen even bij u twitteren dat u het leuk vindt hier

twitter-tweet-wasnt-meHm. Is dit nu juridisch interessant of niet? Mensen die zich bij de NY Comic Con aanmeldden, ontdekten dat ze ineens twitterden hoe leuk ze het vonden. Volgens de CC geen probleem: daar hadden ze toestemming voor gegeven bij het inschrijven. Want ja, er stond “this application may tweet on my behalf” bij het aanmelden via Twitter. Maar dat lazen mensen toch even iets anders.

Juridisch gezien is het duidelijk, heet het dan: in een Opinie over toestemming bepaalde de privacytoezichthouders dat als je nu maar specifiek iets vraagt, daarbij goed uitlegt wat je gaat doen en mensen uit vrije wil dan ja of nee laat klikken, dan is er vrije, specifieke en geïnformeerde toestemming. En wat is er nou mooier dan dat.

Het idee dat mensen toestemming kunnen geven en dat dan eigenlijk alles wel oké is, zit diep in het juridische systeem. Ik maak me hier met enige regelmaat kwaad over: mensen lezen niet wat ze wordt gevraagd, en gaan er vanuit dat het wel goed zal zitten. Waarbij ook meespeelt dat de toestemmingsvragen vaak net subtiel wat anders betekenen of op een gekke manier gepresenteerd worden (zie de recente boevenpubliceertoestemmingsbordjes).

Maar in dit geval luidt de toestemmingstekst letterlijk “This application may send Tweets on your behalf”, deze dienst gaat vanaf jouw account twitteren. Hoe expliciet wil je het hebben?

Nou ja, toch wel iets specifieker dus. Zoals ze bij Ars Technical al schreven, de gebruikelijke interpretatie van die zin is “wij faciliteren twitteren vanuit deze dienst, maar uiteraard krijg jij vooraf te lezen wát we uitsturen”. Of de dienst twittert volgens een door jou bepaald stramien. Zo worden al mijn nieuwe posts automatisch getwitterd via een WordPressplugin die ook met die zin toestemming vroeg. Maar het was duidelijk dat hij dan alleen bedoelde dat hij tweets stuurt van het soort “#author# blogt: #title# #url#”. En niet “#author# vindt WP Tweets Pro echt super #aanrader”.

En dan komen we toch weer terug bij mijn frustratie hierover: mensen lezen het niet en gaan er vanuit dat het wel goed zal zitten. Zoals ook hier. En op zeker moment wórdt die opvatting dan ook juridisch relevant: als iedereen een tekst opvat als linksom, dan mág je niet meer zeggen “maar rechtsom wordt niet uitgesloten”. Dat wordt ‘ie wél: omdat iedereen vindt dat het uitgesloten wordt, dat het er niet onder valt.

Wat vinden jullie? Hadden die Comic Con-ners beter moeten lezen? Of domme actie van de NYCC?

Arnoud

25 reacties

  1. Het niet lezen van het soort waarschuwing en de inhoud ervan is de meest gebruikte leugen op internet. Iedereen accepteert algemene voorwaarden en gaat direct door naar de acceptatie optie, zonder de inhoud te lezen. In veel gevallen is het wel heel veel om te lezen, daar hebben de meeste mensen geen zin in, die willen de dienst gebruikten. Dat leidt er echter wel toe dat ook dit soort korte berichten niet worden gelezen. In dit geval vind ik dat mensen beter de voorwaarden moeten lezen alvorens die te accepteren, echter om problemen te voorkomen, die je je als bedrijf zeker kan voorstellen in dit soort situaties, is het als bedrijf altijd raadzaam om voorbeelden te noemen of te laten zien hoe een bericht er dan uit zal zien.

  2. Ja, mensen moeten beter lezen, dat staat voorop. Maar er is in mijn ogen een verschil tussen het enkel verstrekken van informatie via de gegeven toestemming en het “in de mond leggen” van een mening, wat hier is gebeurd.

    Als die app nu had getweet “Ik ben nu op New York Comic-Con! #NYCC” zou het een ander verhaal geweest zijn. Nu bepaalt de app voor de bezoeker de mening en publiceert die. Daar moet je heel erg voorzichtig mee zijn.

    Stel je het omgekeerde voor. In plaats van een positieve tweet over NYCC was een negatieve tweet over de regering getweet. Dan had de organisatie hoog en laag kunnen springen, maar dan had niemand de uitleg “je hebt de voorwaarden geaccepteerd dus je had het moeten weten” geaccepteerd.

    Oftwel: dom van NYCC. En een schoolvoorbeeld wat je wel en niet mag met dergelijke toestemming.

  3. “Maar in dit geval luidt de toestemmingstekst letterlijk “This application may send Tweets on your behalf”, deze dienst gaat vanaf jouw account twitteren. Hoe expliciet wil je het hebben?”

    Nee dat zou zijn This application will use your account to tweet.

    Er staat, deze applicatie gaat namens JOU tweets sturen http://idioms.thefreedictionary.com/on+someone's+behalf “for the benefit of someone” maar dit is for the benefit of somone else = NYCC

    Dus ze zitten gewoon fout want ze zijn dingen voor zichzelf doen.

    Maar dit geeft wel een probleem aan met de permisies. Bij Android zie je dat veel. De applicatie wil toegang to al je addressen en toegang tot internet. Dan kan zo’n app all je adressen het internet opslingeren.

    Maar ja als je dat ook weer wilt gaan vangen dan krijg je permisies die net zo “Ja doe maar” worden als de gemiddelde EULA

    1. Ah bedankt, goeie nuance van die betekenis. Dat kan het inderdaad wel anders worden.

      En ja, eigenlijk moeten permissies voorzien zijn van een waaromaanduiding. Dus niet “wants to access your address book” maar “wants to invite your contacts to also use this app” of eerder “wants to show the contact’s picture from the address book if you interact with him/her”.

    2. Nee dat zou zijn This application will use your account to tweet.

      Je haalt slechts 1 definitie aan. Voor de door jou gequote tekst staat namelijk in place of someone''. En dan klinkt het opeens heel anders.Will place Tweets on your behalf” kan je dus, in mijn ogen, ook prima interpreteren als “zal tweets plaatsen onder jouw naam/twitteraccount”.

      Dat mensen niet verwachten dat een app tweets gaat plaatsen die ze niet eerst zelf hebben gezien, maar ze hebben wel akkoord gegeven hier voor vind ik ronduit naief. Zeker in een land als Amerika waar je bij het kopen van een hamburger al bijna een contract onder je neus krijgt dat je ze niet aanklaagt als je later hart- en vaatziekten oploopt (ik ben net een 3 weken in Florida geweest, ik heb nog nooit zoveel dingen moeten paragraferen en ondertekenen).

  4. Eens met @TimVergeer. Informatie (algemene voorwaarden) en toestemming zouden niet in hetzelfde scherm/blok moeten (mogen) staan. Beter lijkt mij om daar twee aparte schermen of blokken van te maken. Gebruikers zullen dan misschien de algemene voorwaarden niet helemaal – of niet – lezen, maar ze hebben we duidelijk zicht op wat voor toestemming er verleent gaat worden aan de dienst waarvoor ze zich aanmelden.

  5. Dit is ook niet goed voor Twitter (als dadelijk vrijwel alle apps dit gaan doen wordt het snel een grote spamzooi en gaan mensen massaal van Twitter af), dus eigenlijk is dit iets wat Twitter in hun algemene voorwaarden van hun API zou moeten opnemen: als je er gebruik van wil maken om te twitteren vanaf andermans account, is het verplicht om vooraf inzage in het bericht te geven.

    Maar het inderdaad erg vervelend dat de wet er vanuit gaat dat iedereen voorwaarden leest, terwijl dat aantoonbaar juist in het grootste aantal gevallen niet zo is. Normaal worden wetten toch bijgeschaafd en aangepast aan de realiteit, niet andersom?

    1. In het geval van grote EULA’s moet ik je gelijk geven, die leest niet iedereen. Het gaat hier echter om 1 regeltje “Deze app gaat dingen voor je op Twitter zetten, mag dat?” Als mensen al niet meer verantwoordelijk kunnen worden gehouden voor het akkoord gaan met dergelijk eenvoudige vragen, waarvoor dan nog wel?

      1. True, maar ik denk dat de meeste mensen het zullen opvatten als “je kunt tweeten vanuit deze applicatie”, wat natuurlijk iets heel anders is (als ik het goed begrijp werken de meeste applicaties wel op deze “nette” manier, dus dat is geen rare verwachting)

        1. De interpretatie van de meeste mensen sluit dus niet aan bij de verwoording in de zin. Duidelijker zou het onderscheid zijn u kunt via deze app tweets versturen'' vsdeze app kan berichten op uw account zetten.” De eerste vermeld duidelijk dat je zelf de touwtjes in handen hebt, de tweede laat de optie tot een autonoom werkend systeem open.

  6. Tja, beter lezen? Als je 5 pagina’s aan saaie algemene voorwaarden eerst moet doorlezen dan zal zelfs ikzelf geneigd zijn om maar blind op akkoord te klikken. Waar het hier vooral om ging was dat men speciale toegangspasjes aanbood voor een Comic Con (en die zijn razend populair in de USA) waarmee men makkelijker toegang kan krijgen.. De inschrijving gaat dan via sociale media en wat zo mooi is aan Twitter en Facebook, is dat je in het kort ziet wat voor soort toegang men vraagt. En ja, daar kan dus het verzoek tussen staan om namens jou posts te plaatsen. En die toestemming wordt verrassend vaak gevraagd door diverse partijen, waardoor velen er gewoon blind voor worden. Tja, als dan zo’n partij ook daadwerkelijk gebruik maakt van die optie dan zijn gebruikers dus dom geweest. Ze hebben het niet kunnen missen dat ze hiervoor toestemming gaven. Dom dus. Geen 5 pagina’s saaie AV maar een kort en bondig lijstje van rechten die je aan de andere partij geeft, en zelfs dat wordt niet gelezen. Te droef voor woorden… Het is gewoon onverwacht dat NYCC van dat recht gebruik maakt. Hopelijk schudt het veel mensen wakker…

    1. Ik denk dat je even de reacties van Tim Vergeer en Peter Bex hierboven moet lezen, die m.i. de essentie van deze kwestie adresseren. Alle mij (tot dusverre) bekende applicaties die namens de gebruiker berichten willen plaatsen op social media sites, doen dit alleen met hun uitdrukkelijke toestemming. Denk bijvoorbeeld aan een RSS reader waarmee je vanuit de applicatie over een gevonden artikel kunt tweeten. Daarnaast ben ik het met Tim Vergeer eens dat er een grens wordt overschreden als namens een persoon een mening wordt geuit, zonder vooraf te verifiëren of deze door deze persoon wordt onderschreven.

      In mijn optiek maakt NYCC dus in zeker zin misbruik van een de facto interpretatie van de “this application may tweet on my behalf” vraag, en strooit het daarbij zout in de wonde door zonder toestemming of kennisgeving vooraf een mening namens een ander te publiceren.

      1. De vraag is in hoeverre “Alle andere apps doen het zo, dus deze app zou ook zo moeten werken” juridisch steekhoudend genoeg is. Je kunt namelijk ook zeggen dat Twitter/Facebook ervoor verantwoordelijk zijn om per post weer opnieuw toestemming te vragen. Echter, lang niet alle Apps werken op deze manier! Mijn WordPress.com account van mijn blog doet dit soort verzendingen automatisch. Facebook stuurt ook mijn nieuwe posts door naar Twitter. En ik heb alles ook nog met LinkedIn gekoppeld, plus Tumblr doet ook af en toe mee. Ik moet zelfs oppassen dat mijn sociale media niet elkaar tot in de eeuwigheid blijven aansturen! Je zult dus echt moeten aantonen dat alle andere applicaties werken zoals beschreven, en niet alleen de meest populaire Apps. Ik weet er geen, omdat ik veel van dit soort apps gewoon probeer te vermijden. (De FourSquare app op mijn telefoon en tablet misschien, maar die gebruik ik te weinig.) Ik maak liever een account aan dan dat ik Facebook/Twitter/Google+/LinkedIn gebruik om in te loggen op bepaalde sites. En wat ik vermoed is dat het veel mensen niet eens opvalt als een App namens hen onopgemerkt gaat posten. De uitdrukkelijke toestemming geef je in de praktijk eenmalig. En dat zou voldoende moeten zijn. Wat NYCC verkeerd deed, is dat ze niet aan de gebruikers hadden verteld dat ze van dit recht gebruik zouden maken om te vertellen dat NYCC zo geweldig is. Daarnaast is het gewoon fout van NYCC omdat ze doen alsof zoveel mensen het er zo leuk is. Het probleem is niet dat NYCC dit doet, het probleem is de boodschap die NYCC naar buiten brengt. Als de boodschap was: “Vandaag ben ik op de #NYCC” dan zouden velen dat minder erg gevonden hebben.

    1. Nee, zij geven Twitter toestemming om namens hen tweets te plaatsen. Hiermee logt de gebruiker aan op Twitter, kiest er vervolgens voor om een specifieke applicatie (in dit geval NYCC) toestemming te verlenen voor het plaatsen van tweets namens de gebruiker, en krijgt deze applicatie vervolgens een sleutel waarmee deze via de Twitter API de tweets kan plaatsen.

      De gebruiker kan deze toestemming vervolgens ook weer intrekken, waarmee de sleutel vervolgens wordt geïnvalideerd. De applicatie krijgt echter nooit het wachtwoord van de gebruiker te zien.

    2. Dat is heel makkelijk. NYCC biedt een online service die de Facebook of Twitter API kan aanspreken. De bezoeker gaat naar de service pagina en geeft aan via Twitter te willen linken. De service pagina doet een redirect naar Twitter, waarbij Twitter vraagt of je toegang wilt geven aan deze partij voor een X aantal instellingen. Via Twitter geeft je de service dan vervolgens toestemming voor een aantal zaken, waaronder het namens jou kunnen tweeten. Je keert dan weer terug bij de service pagina en de service heeft dan een token ontvangen die heb dus deze toegang tot delen van jouw account verleent. Deze toestemming kun je later altijd weer intrekken… Twitter, Facebook, Google+ en meer van dat soort social media sites staan het dus toe dat derden toegang krijgen tot jouw gegevens, indien je hen daar toestemming voor geeft. En hoewel dat vaak heel handig is, zoals bij WordPress waarbij nieuwe posts meteen naar Twitter en Facebook gaan, heeft het natuurlijk wel als nadeel dat mensen dat tegen dit soort zaken aan lopen…

    1. Sorry, maar die wet is in Legalese geschreven. Kan iemand het even vertalen? 😉

      Er was overigens toestemming gegeven, dus ik ga er vanuit dat NYCC onschuldig is tot het tegendeel is bewezen… Ik kom namelijk vele malen de woorden “without authorization” tegen, maar dat is dus niet het geval. Onschuldig, niet in strijd met de CFAA.

      1. De vraag waar het in deze blogpost om gaat is of er daadwerkelijk toestemming is gegeven voor hetgeen NYCC uitspookte. De discussie neigt naar “nee” en dat is ook mijn aanname voor de tentamenvraag. Dit zou ertoe kunnen leiden dat NYCC handelt ‘exceeding authorized access’, zoals de CFAA het noemt.

        1. De toestemming moet wel gegeven zijn omdat NYCC anders niet namens de bezoekers kan posten. Zowel Twitter als Facebook geven aan dat NYCC namens hen berichten wil plaatsen. Daar klikken ze eigenlijk blindelings op door. (Of ze denken dat het wel los zal lopen.)

    2. Ik wil me even richten op de deelvraag “Heeft de NYCC de grenzen van de haar gegeven toestemming overschreden?” Als je kijkt naar de letterlijke interpretatie van “deze app zal uit Uw naam tweets plaatsen” dan is het beschreven gedrag (spammen van tweets) daar in te passen. Aan de andere kant verwacht een normale Twitter-gebruiker niet dat hij op deze manier spreekbuis wordt gemaakt van een reclamecampagne. Het is voor een DA niet onredelijk om een aanklacht te baseren op de CFAA, maar of dat tot een veroordeling zal leiden is niet te voorspellen. Een andere mogelijke criminele aanpak is via de Can-Spam act. En de getroffenen kunnen ook nog een civiele actie (class action?) starten, maar dat is vooral leuk voor de advocaten want ik verwacht geen grote schadevergoeding.

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.