Maand: oktober 2021

About Maand: oktober 2021

Subscribe Feeds

Mag de Correspondent Mark Rutte deepfaken voor een klimaatalarm?

Geplaatst op in Uitingsvrijheid, 20 reacties

Het journalistieke platform De Correspondent heeft vandaag een deepfake-filmpje van demissionair premier Mark Rutte geplaatst, las ik bij het Algemeen Dagblad. In de neptoespraak, die amper van echt te onderscheiden is, luidt Rutte de noodklok over de klimaatveranderingen en kondigt hij aan verregaand beleid door te voeren. “Een toespraak waarvan we vinden dat de premier die zou moeten geven”, zo rechtvaardigt het medium haar stap. Er was meteen de nodige kritiek: ondergraaf je als journalist zo niet bepaalde kernbeginselen, als je meewerkt aan het normaliseren van deepfakes? Maar ook juridisch: mag dat wel, zo iemand deepfaken?

Zoals wel vaker bij juridische vragen: er mag niets zomaar, het zit hem eigenlijk altijd in de details. Er is geen specifiek wetsartikel dat het publiceren van deepfakes verbiedt, afgezien van deepfakeporno (art. 139h Strafrecht). Je moet dus eigenlijk altijd even verder kijken, wat is de inhoud of strekking van de video en wat vinden we daarvan.

Een voor de hand liggende insteek is smaad: je kunt met een deepfake iemand voor gek zetten, door hem of haar iets te laten zeggen dat niet waar is. Of door het gezicht te monteren in een aanstootgevende of beledigende context, zoals bij vervalst bewijs dat die persoon een misdrijf zou plegen. Die zal daarop aangekeken worden, en dat is in principe wel te zien als een aantasting van diens eer of goede naam.

Een andere mogelijkheid is het portretrecht en/of de AVG, door te zeggen dat er geen redelijk belang (art. 21 Auteurswet) dan wel geen gerechtvaardigd belang (art. 6 sub f AVG) is om het portret zo te manipuleren en te vertonen. Dat is iets makkelijker aan te tonen dan smaad, maar er is wel een probleem: is er inderdaad geen belang?

Specifiek bij deze deepfake zie ik dat namelijk wel, getuige de uitgebreide verantwoording van de Correspondent. Ik citeer:

Om de toekomst van ons land veilig te stellen zijn verregaande maatregelen nodig. Politiek leiderschap is daarvoor essentieel. Rutte heeft dit leiderschap tot nu toe niet getoond; integendeel, hij grijpt vaak terug op sussende uitspraken als ‘We moeten een leuk leven kunnen blijven leiden’ en ‘Ik ben niet van de sweeping statements’. Dat laatste zei hij nota bene toen hij in juli dit jaar de schade van de overstromingen in Limburg opnam.
Als je ziet dat juist dé leider van de politiek die leiderschapsrol verzaakt, en je wilt dat aan de kaak stellen na alles dat er al gezegd en gedaan is, dan is een stevig en opvallend middel wel geoorloofd lijkt mij. Het aan de kaak stellen van misstanden, het de politiek confronteren met tekortkomingen en fouten: dat is wel een taak van de pers. En dat hoeft echt niet perse met alleen geschreven artikelen of een documentaire op televisie, alle middelen zijn natuurlijk mogelijk om je mening te uiten.

Dat wil natuurlijk niet zeggen dat iedere deepfake met Rutte erin, of iedere deepfake waarin een politicus een controversieel (of tegengesteld) standpunt inneemt, automatisch legaal is. Die belangenafweging uit de wet moet je elke keer opnieuw maken, en er is geen algemene lijn.

Arnoud

Netflix wil niet betalen voor toegenomen dataverbruik na hits als Squid Game

Geplaatst op in Regulering, 28 reacties
3844328 / Pixabay

Jaja, en u maar denken hoe je als jurist een haakje verzint naar het immens populaire Koreaanse Netflixprogramma. De Zuid-Koreaanse internetprovider SK Broadband eist dat Netflix betaalt voor de groei van het dataverkeer als gevolg van populaire series als Squid Game. Al een paar jaar is de videostreamer verantwoordelijk voor een van de grootste delen van het internetverkeer, iets waar providers zoals SK extra investeringen voor moeten maken.

Netflix-topman Dean Garfield zegt tegen Bloomberg dat zulke betalingen voor netwerkgebruik leiden tot een “oneerlijke, concurrentiebeperkende omgeving” waarin providers bedrijven kunnen laten betalen voor wat ze maar willen.

Toch oordeelde een Zuid-Koreaanse rechtbank eerder dat Netflix gehouden zou zijn deze kosten te vergoeden:

On Friday, the court ruled against Netflix, saying, “According to the principle of freedom of contract, whether to conclude a contract and what price to pay is a matter to be decided through the negotiations of the concerned parties.”
Oftewel: als een ISP besluit om een bedrijf niet meer te laten streamen naar haar klanten, dan is dat haar goed recht. Eh, oké. (Terzijde: Netflix blijkt 4.8% van het Koreaans netwerkverkeer te veroorzaken.)

Wij hebben in Europa daar wat meer moeite mee, en daarom hebben we ook een Verordening tegen dit soort dingen: dit is natuurlijk het probleem van netneutraliteit. Artikel 3 van de Verordening is simpel en duidelijk:

Eindgebruikers hebben het recht om toegang te krijgen tot informatie en inhoud en deze te delen, toepassingen en diensten te gebruiken en aan te bieden, en gebruik te maken van de eindapparatuur van hun keuze, ongeacht de locatie van de eindgebruiker of de aanbieder, en ongeacht de locatie, herkomst of bestemming van de informatie, inhoud, toepassing of dienst, via hun internettoegangsdienst.

Het is dus niet toegestaan als een ISP de toegang tot Netflix afknijpt of blokkeert omdat Netflix weigert de gevraagde vergoeding te betalen.

Nergens staat expliciet dat het verboden is dat ISPs en contentleveranciers afspraken maken over het onderling verdelen van kosten of investeringen. Dat lijkt gek, want dan zou de Europese collega van SK dus zo’n zelfde eis kunnen neerleggen en dan is daar geen juridisch verweer tegen. Maar die fictieve collega heeft natuurlijk geen onderhandelpositie, want ze mogen Netflix niet afknijpen of blokkeren als die weigert een kostenvergoeding te betalen.

Dit laat in zoverre de vraag open of het wel fair is dat Netflix zo’n enorm deel van het internetverkeer mag veroorzaken en de kosten voor de infrastructuur (+upgrades daarvan) mag parkeren bij de internetproviders, die dat uit eigen zak mogen betalen. Maar dat is geen juridische vraag.

Arnoud

ACM verklaart bezwaar Dataprovider over zonefile .nl-domeinnamen ongegrond

Geplaatst op in Ondernemingsvrijheid, 6 reacties
JanBaby / Pixabay

Het besluit van de Autoriteit Consument & Markt (ACM) dat de Stichting Internet Domeinregistratie Nederland (SIDN) de zonefile van alle .nl-domeinnamen niet aan het bedrijf Dataprovider hoeft te verstrekken blijft staan. Dat meldde Security.nl onlangs. Dataprovider zal dus met crawlers moeten blijven werken, en SIDN maakt geen misbruik van een machtspositie door verstrekking te weigeren.

In mei bepaalde de ACM dat SIDN de zonefile niet hoefde te verstrekken. Dataprovider wilde de zonefile van het .nl-domein omdat dit behulpzaam zou zijn bij het leveren van online merkbeschermingsdiensten, waarbij het direct kunnen signaleren van nieuw geregistreerde domeinnamen erg nuttig is. Dan hoef je niet te wachten tot iemand daadwerkelijk nepproducten gaat verkopen bijvoorbeeld.

SIDN biedt zelf ook merkbewakingsdiensten, waarmee je de .nl (en andere zones die SIDN beheert) domeinnamen die lijken op je merk kunt bewaken. Dat zag Dataprovider als een oneerlijke concurrent, en ze stapte naar de ACM om deze toezichthouder een eind te laten maken aan die situatie. Want SIDN heeft de macht over .nl en zou dan het misdrijf van leveringsweigering kunnen plegen, om zo een concurrent op afstand te houden.

Van de ACM kreeg Dataprovider ongelijk, en dat ongelijk is bevestigd in de bezwaarprocedure bij de toezichthouder. Deze bekijkt het handelen van SIDN door de bril van het mededingingsrecht. De ACM vat de casus als volgt samen. Stel SIDN heeft een machtspositie in de stroomopwaartse markt, zij beheert de toegang tot de zonefile. Dan noemen we wat ze doet tegen Dataprovider een leveringsweigering aan haar concurrent in de stroomafwaartse markt.

Binnen de huidige Europese jurisprudentie is dat een probleem als aan drie voorwaarden is voldaan:

  • de toegang tot de input waarvan de levering geweigerd wordt, moet onontbeerlijk zijn om te kunnen concurreren op de stroomafwaartse markt;
  • een leveringsweigering zal leiden tot het verdwijnen van alle effectieve mededinging op de stroomafwaartse markt;
  • er is geen sprake van een objectieve rechtvaardiging voor de leveringsweigering.
Het eerste probleem voor Dataprovider is natuurlijk dat toegang tot de zonefile weliswaar voordelig is maar niet onontbeerlijk. Ze biedt nu haar diensten al aan en dat gaat prima, dus hoe pest SIDN ze dan de tent uit, zeg maar. Met datzelfde argument is ook het tweede criterium snel van tafel: er is genoeg mededinging op de markt voor domeinbewaking, Dataprovider heeft vele concurrenten in binnen- en buitenland en die lijken hier geen last van hebben.

Dit is natuurlijk een tikje tweestrijdig: de klacht van Dataprovider gaat over meer kunnen, makkelijker kunnen werken. Dan is “maar het werkt toch zoals het nu gaat” een onbevredigend antwoord. En belangrijker, zou je dan echt moeten wachten tot de concurrentie weggevaagd is om dán pas te zeggen, zonder die zonefile kun je helemaal niets.

Maar het mededingingsrecht is niet bedoeld om het concurrenten makkelijker te maken, een volstrekt gelijk speelveld te creëren. Het is bedoeld om volstrekte blokkades op te heffen. Daarmee is de situatie niet ernstig genoeg om juridisch in te hoeven grijpen.

Arnoud

Mag de politie je Tesla leegslurpen bij een strafrechtelijk onderzoek?

Geplaatst op in Regulering, Security, 23 reacties
webandi / Pixabay

De data die in Tesla’s is opgeslagen bevat een schat aan informatie voor strafrechtelijke onderzoeken, las ik bij Security.nl, op gezag van het Nederlands Forensisch Instituut (NFI). Dat was erin geslaagd  gecodeerde rijgegevens die Tesla opslaat in haar auto’s uit te lezen, te vertalen en te publiceren. Volgens de onderzoeker is het belangrijk om te weten welke data de auto allemaal opslaat, zodat justitie weet welke gegevens het kan vorderen en hoe exact die gegevens kloppen met de werkelijkheid. Maar mag dat?

Het artikel meldt meteen al hoe het nu gaat: de politie komt met een bevel van de officier van justitie bij Tesla en die lezen het op afstand uit. Dat moet ook wel, want Tesla’s zijn niet zo eenvoudig toegankelijk dat je ze met standaardspullen open kunt maken en de data naar een USB-stick kunt halen.

De experts van het NFI is het dus wel gelukt, en bij het lezen van het paper viel op dat het dus wél een kwestie is van auto openmaken en SD-kaart uitnemen:

Acquiring this micro-SD card requires access to the ‘car computer’ located in the passenger footwell, behind the glovebox. On Autopilot generation 2 and 2.5 systems, there is a metal cover on  the bottom left corner (when viewing it from the footwell) that can be unscrewed to reach the PCB and subsequently the SD card as shown in Figure 2.
Vervolgens blijk je de kaarten gewoon te kunnen lezen als typische Linux-logbestanden, dus platte tekst en je kunt met een beetje raden al achterhalen wat er staat. De onderzoekers hebben dit geverifieerd door de logs te vergelijken met wat ze met een bevel bij Tesla hadden gekregen. Identiek, alleen beperkt Tesla de resultaten tot exact het gevraagde interval en de genoemde gegevens uit het bevel.

Logisch, maar wel lastig voor Justitie want je moet wel weten wat je kunt vragen. Dat is dan ook de meerwaarde van dit onderzoek: weten wat een Tesla allemaal logt, zodat je gerichter kunt vragen.

Maar mij bekruipt dan de gedachte, móet je Tesla nog wel wat vragen als je die SD-kaart gewoon uit de auto kunt halen?

Dit is een open vraag volgens mij. In 2017 bepaalde de Hoge Raad dat de politie smartphones van verdachten niet zomaar mag doorzoeken, omdat deze een zeer persoonlijk voorwerp van mensen vertegenwoordigen:

Indien dat onderzoek zo verstrekkend is dat een min of meer compleet beeld is verkregen van bepaalde aspecten van het persoonlijk leven van de gebruiker van de gegevensdrager of het geautomatiseerde werk, kan dat onderzoek jegens hem onrechtmatig zijn.
Er is geen expliciete wettelijke regeling, het mag als er bewijs te verwachten valt maar hoe breder de scope van het onderzoek, hoe meer waarborgen men moet nemen bij het onderzoeken. En het maakt daarbij niet uit of je de telefoon moest ontgrendelen of kunstgrepen moest uithalen om bij de data te kunnen.

Ik zou zeggen dat een auto gelijk te stellen is aan een telefoon qua persoonlijk en wat je over iemand te weten kunt komen. Dan kom je dus in hetzelfde kader terecht als wat de Hoge Raad voor smartphones schetste, en zal al te gretig uitlezen van allerhande logs dus onrechtmatig verkregen bewijs opleveren. Maar omgekeerd: als je heel gericht gaat zoeken op basis van een concrete verdenking, dan is dat niet perse een probleem.

Een interessante is dan nog in hoeverre “je kunt het ook aan Tesla vragen met een bevel” relevant is. Dit voelt gek, maar door het via Tesla te spelen maak je het zorgvuldiger. Dat bedrijf maakt dan als professionele partij immers een afweging, er zit zo een extra check op.

Arnoud

Kun je via algemene voorwaarden je auteurs- en persoonlijkheidsrechten afstaan?

Geplaatst op in Ondernemingsvrijheid, 29 reacties
stevepb / Pixabay

Een interessante op het forum van Security.nl: “Bij ons in het dorp heeft een bedrijf diverse uitjes, dit is te boeken voor een groep. Van escaperoom, kinderfeestjes tot aan Wie is de Mol. Maar nu staat er in de Algemene voorwaarde dit:

7.5 Mogelijk zullen beeld- en/of geluidsopnamen worden gemaakt van het evenement en de deelnemers en worden opnamen openbaar gemaakt of verveelvoudigd. De bezoeker verleent onvoorwaardelijk toestemming tot het maken van voornoemde opnamen en exploitatie daarvan zonder dat de organisatie of derden een vergoeding aan de bezoeker verschuldigd is of zal zijn. Een eventueel naburig- en/of auteurs- en/of portretrecht draagt de bezoeker bij deze en zonder enige beperking over aan de organisatie. Voorts doet de bezoeker onherroepelijk afstand van het recht zich te beroepen op zijn/haar persoonlijkheidsrechten.
Tsja, hoe rechtsgeldig is zoiets. Het staat er -zoals zo vaak bij algemene voorwaarden- vooral omdat het mooi klinkt en je 90% van de klachten kunt pareren door meewarig te glimlachen en te zeggen “ja meneertje, maar artikel 7.5 zegt wat anders he”.

Het achterliggende punt is natuurlijk dat de organisatie video wil produceren op zo’n evenement, bijvoorbeeld voor reclame of social media. Dat kan niet zomaar, de mensen die daar rondlopen hebben recht op privacy en bescherming van hun persoonsgegevens. (Vroeger zouden we dan ook nog zeggen dat mensen portretrecht hebben als ze gefilmd worden, maar portretrecht is opgegaan in de AVG.)

Wat hier opvalt, is dat deze clausule zijn leven begon als een auteursrechtclausule, waar het portretrecht en persoonlijkheidsrechten aan toegevoegd zijn. Als forensisch jurist zeg ik dus dat deze tekst geschreven is door een IE-specialist. Echter, de kans dat een bezoeker een naburig of auteursrechtelijk relevante handeling verricht op het evenement is minimaal. Nog los van het feit dat voor overdracht van die rechten een ondertekend document nodig is, en algemene voorwaarden worden niet ondertekend.

Privacy/AVG technisch is dit een stuk lastiger te regelen. Je kunt in AV geen toestemming opeisen voor gebruik van je persoonsgegevens, dat moet immers van de AVG expliciet en dus apart gebeuren. Bovendien moet je vrijelijk toestemming kunnen weigeren en intrekken – je hebt er dus eigenlijk niets aan, als je toestemming vraagt aan mensen.

En ja, specifiek bij journalistieke verwerkingen is toestemming niet intrekbaar, dat klopt. Maar het soort video dat deze organisatie gaat maken zou ik héél moeilijk een journalistieke verwerking kunnen noemen, hoewel ik daar normaal erg ruimhartig in ben. Maar zelfs dan blijft het punt over dat je de toestemming expliciet moet vragen en dat deze vooraf geweigerd moet kunnen worden.

Arnoud

Eh nee, F12 indrukken bij een website is geen criminele handeling

Geplaatst op in Ondernemingsvrijheid, Security, 24 reacties

(Geen zorgen, nog een keer F12 en je scherm is weer normaal.) Het ziet er misschien heel imponerend uit, maar dit is gewoon het onderwaterscherm waarmee je onder meer de broncode van de huidige site in beeld krijgt. Dan kun je soms net iets meer informatie zien. Zoals recent journalist Josh Renaud uit Missouri ontdekte: de social security nummers van tienduizend docenten uit de staat. Mag dat? Nee, dat is crimineel, aldus gouverneur Mike Parson. Moehaha kom nou, aldus de hele wereld.

Het bronbericht geeft een 451 error (lawyer says no) vanuit Europa, maar het betrof een zoekfunctie voor docenten, waarbij de zoekresultaten werden meegegeven aan de resultaatpagina inclusief hun social security number, zeg maar hun bsn. Bij het programmeren van de site bedacht iemand toen dat dat niet echt handig is om te publiceren, dus werd het verborgen in de uitvoer. Maar het stond dus nog gewoon in de broncode, en die krijg je te zien met een druk op de knop.

Een datalek, zouden wij in Europa zeggen. Een beperkte security. Want als die data niet zichtbaar hoeft te zijn in resultaten, dan hoeft deze ook niet mee naar de webpagina om daar vervolgens buiten beeld te blijven. Dan houd je dat gewoon lekker op de server. Afijn, de melding werd opgepakt, de fout werd hersteld, daarna pas publiceerde men, weinig bijzonders.

Bijzonder was wel de reactie van de gouverneur, want in de vertaalslag omhoog naar het politieke ging iets mis. “Onze server stuurde bsn’s mee en dat kon iedereen zien die op F12 drukt” werd namelijk dit:

Through a multi-step process, an individual took the records of at least three educators, decoded the HTML source code, and viewed the SSN of those specific educators.
Die meer dan drie klopt (het waren er 100.000), de rest is laten we zeggen een ietwat complexe voorstelling van zaken. Die multi-step is namelijk dat je een zoekopdracht doet, de resultaatpagina krijgt, F12 drukt en in de broncode scrollt tot je “ssn” ziet. “Decoding the HTML source code” is, eh, zeggen dat je langs <tags> kunt lezen?

En dan gaat men nog verder:

A hacker is someone who gains unauthorized access to information or content. This individual did not have permission to do what they did. They had no authorization to convert and decode the code.
Het punt is alleen dus dat de code in kwestie is wat er naar je computer wordt gestuurd, en dat deze voor mensen leesbaar is. Of nou ja, leesbaar:
<div class=”text”><h1><a reF=”https://blog.iusmentis.com”>Internetrecht door Arnoud Engelfriet</a></h1> <p>Arnoud Engelfriet is ICT-jurist, gespecialiseerd in internetrecht.Hij werkt als partner bij juridisch adviesbureau <a Href=”http://ictrecht.nl” rel=”external” target=”_blank”>ICTRecht</a>. Zijn site <a hRef=”http://www.iusmentis.com/”>Ius mentis</a> heeft meer dan 350 artikelen over internetrecht.</p></div>
Ik wil niet zeggen dat dit metéén net zo helder is als een gemiddeld juridisch contract, maar om dit nu een “code” te noemen die je moet “ontcijferen” gaat wel erg ver. Maar hoe dan ook is het absurd om te zeggen dat hier sprake is van “toegang zonder toestemming”, dit is gewoon wat de server je geeft en het is juist je browser die er wat moois van maakt.

En natuurlijk, voor computercriminaliteit is niet perse nodig dat je een moeilijke technische truc uithaalt. Zodra je ergens bent waarvan je weet dat je er niet mag zijn, ben je eigenlijk al in overtreding. Vandaar die discussie over URL-manipulatie, het aanpassen van een URL om te gokken dat je elders nog informatie kunt vinden waarvan je zo snel niet de navigatie erheen kunt bepalen. Maar hoe je het ook bekijkt, zelf een URL aanpassen om te raden wat elders staat, is complexer dan bekijken welke HTML broncode een site naar je stuurde.

Arnoud

 

 

Webshop die geen back-ups maakte verliest rechtszaak van softwareleverancier

Geplaatst op in Ondernemingsvrijheid, 9 reacties

Een webshop die geen back-ups van haar boekhoudgegevens maakte, en door een probleem met een softwarekoppeling klantgegevens verloor, heeft de rechtszaak tegen de leverancier van de koppeling verloren. Dat meldde Security.nl vorige week. De koppeling bleek gegevens van crediteuren in het boekhoudprogramma te overschrijven met debiteurenboekingen. Volgens het Gerechtshof staat het vast dat de webshop geen back-ups maakte en heeft de softwareleverancier met recht aangevoerd dat de webshop zelf verantwoordelijk is voor het regelmatig maken van back-ups. “Dat zij dat achterwege heeft gelaten, terwijl het wel mogelijk was, is dan ook een omstandigheid die haar valt toe te rekenen”, aldus het hof.

Het gaat concreet om een koppeling tussen het bekende webshoppakket Magento en Exact Online, waardoor de transacties van de Magento webshop worden doorgestuurd naar de boekhoudsoftware van Exact. Meelezende QA specialisten mogen even wegkijken, voor de rest:

Het boekhoudprogramma maakt gebruik van een tabel van nummering waarbij voor debiteuren en crediteuren dezelfde tabel wordt gebruikt. Beide groepen krijgen om die reden een verschillend startnummer. Voor debiteuren (klanten met een account en gastklanten zonder een account) is in dit geval gekozen voor een nummer beginnend met 3.000 respectievelijk 7.000 en voor crediteuren beginnend met 1-2.999 en vanaf 15.000. De crediteuren moeten handmatig worden ingevoerd, de debiteuren (zowel de bestellingen van klanten met een account als die van gastklanten) worden door de koppeling automatisch in het boekhoudprogramma ingevoerd.
Deze wijze van scheiden van relaties staat onder programmeurs ook wel bekend als een WTF want op deze manier is het natuurlijk mogelijk dat het aantal aankopen zo oploopt dat je de 15.000 aantikt en dat je debiteur dan een crediteur is. En dat gebeurde ook, omdat er een foutje zat in het toekennen van nummers bij klanten die als gast bestellen:
Hallo … De gast accounts beginnen bij 7000. Inmiddels hebben we al meer dan 8000 gast accounts, waardoor je dus uit komt op de nummering van de crediteuren.
Dit hoort natuurlijk niet te gebeuren, en pijnlijk voor de webshop was vervolgens dat men geen backup had van de relevante tabellen zodat het een berg werk was om alle debiteuren en crediteuren weer in ere te herstellen. Is dit nu het soort fout waar je voor aansprakelijk bent vanuit je zorgplicht als ICT-er? Helaas komt het Hof niet aan die vraag toe, maar ze bevestigt wel dat we zoiets best “eigen schuld” kunnen noemen.

Iedereen die met digitale gegevens werkt in de bedrijfsvoering, moet daar gewoon backups van hebben. Want of het nou gaat om ransomware, dikke vingers of een API koppeling die debiteuren moet invoeren maar die soms als crediteur aanmerkt, als je die data kwijt bent dan heb je een enórm probleem.

Juridisch gezien kom je dan uit bij “eigen schuld” (art. 6:101 BW): weliswaar ontslaat dat de leverancier niet van aansprakelijkheid, maar hij hoeft minder van de schade te vergoeden omdat de gevolgen mede aan de webwinkel te wijten zijn.

Het is aannemelijk dat geen handmatig herstel met de gevorderde kosten nodig was geweest als de door [de webwinkel] gestelde tekortkoming achterwege zou zijn gebleven (zo die na bewijslevering zou komen vast te staan). Maar dat geldt ook indien [de webwinkel] zelf de nodige zorgvuldigheid zou hebben betracht door een back-up te maken. De kosten van de advocaat in verband met het verhaal van herstelkosten bij [de leverancier] zouden ook niet gemaakt zijn.

Je kunt je natuurlijk afvragen of de leverancier niet meer had moeten doen. Nee, niet in dit geval:
Het hof betrekt daar ook bij (i) dat het ging om een standaardkoppeling tegen een lage prijs zonder abonnement, (ii) dat de koppeling als zodanig jarenlang goed heeft gefunctioneerd, (iii) dat [de webwinkel] zelf voor Exact Online heeft gekozen, (iv) dat zij zich in de werking en de beperkingen daarvan kennelijk niet voldoende heeft verdiept, (v) dat de koppeling is hersteld en (vi) dat [de webwinkel] niet onderbouwd heeft gesteld dat zij door het tijdelijk kwijtraken van enkele gegevens van crediteuren (andere financiële) problemen heeft ondervonden.
Met name dat laatste geeft voor mij de doorslag: er zijn geen daadwerkelijke problemen, alleen maar rotzooi die opgeruimd moest worden omdat er geen backup was. Heel vervelend, maar dát is dan het gevolg van je eigen schuld.

Ondertussen blijft wel open de vraag of de leverancier beter had moeten programmeren, bijvoorbeeld een check dat het debiteurennummer altijd kleiner dan 15.000 had moeten zijn. Als je een koppeling met Exact verkoopt, en die heeft deze rare constructie in haar database-tabellen, dan moet je zulke dingen wel doen lijkt me. Maar kennelijk komt het weinig voor dat Exact Online-gebruikers meer dan 8000 klanten zonder registratie hebben?

Arnoud

Politie stuurt waarschuwingsbrief naar vermeende afnemers ddos-dienst

Geplaatst op in Regulering, 10 reacties
geralt / Pixabay

De politie heeft afgelopen maandag een waarschuwingsbrief gestuurd naar 29 mensen die in verband worden gebracht met het afnemen van ddos-diensten. Dat meldde Security.nl onlangs. “We hebben je geregistreerd in ons systeem en je krijgt nu een laatste waarschuwing. Als zich in de toekomst nieuwe soortgelijke feiten voordoen, gaan we over tot vervolging. Houd in dat geval rekening met een veroordeling, strafblad en het kwijtraken van je computer en/of laptop”, zo staat in de brief vermeld.

De briefontvangers zouden via de website MineSearch ddos-diensten hebben afgenomen, waarmee het mogelijk was om tegen betaling ddos-aanvallen te laten uitvoeren. Vorig jaar juli doorzocht politie de woningen van twee verdachten die vermoedelijk bij de website betrokken zijn. Daarbij kwamen deze klantgegevens (ik moet nu zeggen: allegedly-klant) kennelijk naar boven, en dan is het logisch dat je die mensen eens héél serieus aanspreekt.

Maar mag het, is dan gelijk de vraag die ik her en der zie. Het deed me denken aan die zaak uit januari waarbij de politie sms-berichten had gestuurd naar contacten die in de telefoons van vermeende drugsdealers werden aangetroffen. Logisch zou je zeggen, dat zullen vermoedelijk wel klanten zijn en het kopen van drugs is strafbaar, dus dat geeft een redelijk vermoeden van schuld.

De hoofdregel uit strafvordering (opsporing en bestrijding van strafbare feiten) is dat de politie alleen mag doen wat in het wetboek geregeld is. Ja, behalve wat geen of geringe inbreuk maakt op de grondrechten. Een praatje maken op straat is dus bijvoorbeeld gewoon prima, dat kun je moeilijk een inbreuk op je grondrechten noemen. Iemand meenemen naar het bureau voor een verplicht praatje is dat wel, en dat is dan ook wettelijk geregeld. Idem voor het doorzoeken van een in beslag genomen administratie of C&C server van een botnet.

Voor mij speelt hier ook mee dat er meer aanwijzingen zijn dan “je staat in de telefoon van een dealer”: je gegevens van een betaalde transactie voor een criminele dienst staan in de administratie van de (vermoedelijke) crimineel die deze verzorgde. Je bent onschuldig tot het tegendeel bewezen is, maar hier de vermoorde onschuld bepleiten is toch wel erg ingewikkeld in deze omstandigheden.

We hebben je geregistreerd in ons systeem en je krijgt nu een laatste waarschuwing. Als zich in de toekomst nieuwe soortgelijke feiten voordoen, gaan we over tot vervolging. Houd in dat geval rekening met een veroordeling, strafblad en het kwijtraken van je computer en/of laptop.
Er lijkt mij gezien die feiten eigenlijk al genoeg aanleiding te zijn om direct tot onderzoek en aanhouding over te gaan, dus dan is deze brief volgens mij juist een tegemoetkoming en niet een juridisch probleem.

Arnoud

Wacht even, die Telegram takedown was een telefoon takeover

Geplaatst op in Regulering, 5 reacties
ernestoeslava / Pixabay

Vorige week blogde ik dat het Openbaar Ministerie twee kanalen van complotdenkers op chatapp Telegram had laten blokkeren. Dat leek een inzet van het logische bevel te zijn (art. 54a Strafrecht) waarmee een officier van Justitie een tussenpersoon bepaalde content offline kan laten halen – na machtiging rechter-commissaris. Maar dat bevreemdde wel, want Telegram zit niet in Nederland en staat niet bekend om zijn inschikkelijkheid naar buitenlandse autoriteiten. En nu is uitgekomen dat het gewoon een handig gebruik van de telefoon van een verdachte was.

Zoals in het oorspronkelijke bericht stond:

Afgelopen week werd er aangekondigd dat op een nieuw kanaal video’s zouden worden geplaatst met bedreigende, opruiende en lasterlijke inhoud. Daarop heeft het OM besloten om maatregelen te nemen.
Het persbericht ging daar iets nader op in:
De rechter-commissaris heeft vrijdag toestemming gegeven om de kanalen af te sluiten, zowel Bataafse Republiek en Bataafse Nieuws. Daarop heeft de politie de kanalen afgesloten, leden kunnen geen nieuwe berichten meer plaatsen.
Die ene zin had ik denk ik even gemist, als je Telegram een bevel geeft dan zeg je niet dat “de politie” de kanalen afsluit maar dat “Telegram op bevel heeft afgesloten”. Bedenk ik me nu. Want nu is het bevel zelf gepubliceerd, en daaruit blijkt dat het net iets anders ligt dan “er is een bevel aan Telegram gegeven”:
De rechter-commissaris: verleent aan de officier van justitie een machtiging tot het bevel aan een medewerker van de politie om via de telefoon van de verdachte de gegevens in de Telegram-groepen [naam groep 1], [naam groep 2] en [naam groep 3] ontoegankelijk te maken; [en] daarvan verslag te doen in een proces-verbaal en een afschrift hiervan te verstrekken aan de rechter-commissaris.
Er was dus een telefoon van een verdachte in het bezit van de politie, en vanaf die telefoon was kennelijk nog een beheerdersaccount actief voor deze Telegram-kanalen. Technisch gezien is het dan niet zo moeilijk om de kanalen te sluiten. En dit is ook een stuk effectiever dan het bedrijf in een ver buitenland (Londen en Dubai) gaan sommeren om dingen te sluiten.

Het laat wel weer zien dat in Nederland de politie best veel kan; zowel technisch als juridisch. Want voor de juristen, dit valt onder artikel 125p Wetboek van Strafvordering, het op bevel ontoegankelijk maken van gegevens, en daaronder vallen dus ook chatkanalen.

Arnoud

 

 

Wacht even, nu gaan privacytoezichthouders ook al notice/takedown verzoeken doen?

Geplaatst op in Privacy, Regulering, 15 reacties

De Ierse privacytoezichthouder DPC heeft noyb, de organisatie van privacyactivist Max Schrems, een take down request gestuurd waarin wordt verzocht een document te verwijderen. Dat meldde Security.nl vorige week. Het document is het conceptbesluit op noyb’s handhavingsverzoek tegen Facebook, waarin een opmerkelijke interpretatie van de AVG wordt geïntroduceerd die een joekel van een loophole oplevert. De DPC wil deze publicatie offline omdat ze interfereert met het overlegproces om het besluit te finaliseren.

Er is al jaren kritiek op de Ierse privacytoezichthouder omdat het niet zou optreden tegen techbedrijven, die vaak in Ierland hun Europees hoofdkantoor hebben. Iets wat de DPC ontkent. De nieuwe kritiek gaat over de opmerkelijke draai die Facebook op 25 mei 2018 maakte: vanaf toen hoefde niemand meer toestemming te geven onder de AVG voor wat Facebook deed, dat was sindsdien namelijk allemaal een noodzakelijk deel van de dienstverlening en voor verwerkingen die nodig voor een contractsuitvoering zijn, is geen toestemming nodig.

Ik ken werkelijk niemand behalve Facebook die met een serieus gezicht volhoudt dat “als wij in de voorwaarden zetten dat het nodig is, dan is het nodig” een valide interpretatie van de AVG is. Maar goed, nu dus de Ierse toezichthouder ook. Ik snap dus wel dat iemand als Schrems daar een publicatie over doet.

Dat valt juridisch een beetje slecht, want formeel is deze interpretatie van de DPC (disclaimer: er zijn geen aanwijzingen dat Facebook het conceptbesluit heeft voorgekookt of geschreven) slechts een concept, dat nu gedeeld wordt met belanghebbenden en andere toezichthouders, die dan commentaar mogen leveren, waarna er een definitief, openbaar besluit komt. Het is niet heel gebruikelijk dat conceptbesluiten in de pers komen, want er kunnen immers fouten in staan, slordigheden en ga zo maar door. Precies daarom wil je feedback verwerken voor je het besluit oplegt.

In veel procedures zijn dan ook expliciete geheimhoudingsregels opgenomen. De AVG kent die niet, en ook in de Ierse Uitvoeringswet AVG kan ik zoiets niet vinden. De DPC verwijst naar artikel 26 daarvan, maar zo te lezen gaat dat alleen over medewerkers van de DPC. Desondanks is de takedownbrief heel stellig: weg met die publicatie, en wel meteen. Maar wie als cynische jurist leest, komt tot de conclusie dat er veel bangmakerij staat maar géén “op grond van artikel 26 van de wet beveel ik u”. En reken maar dat een jurist die zin opneemt als hij daar aanleiding toe ziet, weinig dingen zo heerlijk als keihard in je recht te staan en met wapperende toga de wederpartij tot de orde te roepen.

De discussie wordt wat complex omdat noyb in de eerdere onderzoeksfase had toegezegd documenten vrijwillig geheim te houden om het onderzoek niet te schaden. De DPC citeert passages van noyb die zonder voorbehoud lijken te zeggen dat men die documenten gewoon, altijd geheim zal houden. noyb stelt daar tegenover dat de volledige toezeggingsmails duidelijk maken dat het alleen ging om de onderzoeksfase, die ondertussen allang is afgerond.

Ondertussen is het mij een raadsel wat de DPC dacht te bereiken nu hun conceptbesluit al wereldnieuws bleek te zijn geworden toen men de boze brief ging sturen.

Arnoud