Auteur: Arnoud Engelfriet

About Arnoud Engelfriet

Website::Subscribe Feeds

Laten we het opheffen van domeinnamen gewoon eens verbieden

Geplaatst op in Informatiemaatschappij, Ondernemingsvrijheid, Privacy, 22 reacties
Photo by JanBaby on Pixabay

Cybercriminelen kunnen heel eenvoudig klantgegevens van bewindvoerders buitmaken, aldus RTL Nieuws maandag. Daardoor kunnen persoonsgegevens van mensen met financiële problemen, een groep die extra kwetsbaar is voor fraude en uitbuiting, in verkeerde handen vallen. Het gevaar schuilt in slecht beveiligde oude e-mailadressen.

De aanleiding voor het onderzoek was het Odido-datalek, waarbij ethisch Hacker Wesley Neelen zag dat “veel mensen het e-mailadres van hun bewindvoerder gebruiken”. Niet raar als je onder bewind staat. En inderdaad een groep die extra kwetsbaar is voor criminelen die ze “snel extra geld verdienen” voorhouden.

Het echte probleem is echter diepen, zoals Neelen toelicht:

Deze mailadressen waren alleen niet meer in gebruik, en met een druk op de knop kon hij de website en bijbehorende mailbox registreren en overnemen: “Technisch gezien is het heel makkelijk. Ik stond ervan te kijken dat er nog zo veel e-mails binnenkwamen terwijl de inbox al een tijd niet meer in gebruik is.”
Dit probleem is an sich niet nieuw; elke paar jaar zie ik wel een nieuwsbericht of onderzoek dat gevoelige mails kunnen worden onderschept als je een oud domein van [organisatie X|bedrijven in branche Y|overheid Z] registreert en een catchall mailadres inricht. De impact is natuurlijk wel groot als dit écht een malafide partij is.

De onderliggende reden waar we het écht over moeten hebben, is de gedachte dat je oude domeinnamen opheft. Waarom? Ik citeer weer even RTL:

Veel bewindvoerders zijn de afgelopen jaren gefuseerd of overgenomen door andere organisaties. De bewindvoerder moet zijn eigen website en e-mailbox, zoals @bewindvoerder .nl, beveiligd afsluiten om misbruik te voorkomen. Dat kost ongeveer tien euro per jaar. Veel bewindvoerders betalen die kosten niet en laten de domeinnaam van hun website verlopen.
Dat “beveiligd afsluiten” wil zoveel zeggen als de domeinnaam actief houden maar zorgen dat alle mails teruggestuurd worden met een autoreply of een technische foutmelding. Dit is op zich een eenmalige moeite, en dat tientje per jaar is vooral de administratieve overhead van de betrokken partijen.

Misschien wordt het tijd voor een nieuwe AVG-meme: domeinnamen opheffen mag niet van de AVG, want het veroorzaakt datalekken wanneer (niet als) ze door een ander worden geregistreerd. En de kostenbatenanalyse valt zó duidelijk in het voordeel van “geregistreerd houden” uit, dat ik geen tegenargument meer weet.

Arnoud

Kan ik na het omvallen van mijn cryptobank mijn geld terugkrijgen?

Geplaatst op in Ondernemingsvrijheid, 11 reacties
Photo by Traxer on Unsplash

Een lezer vroeg me:

Ik heb spaargeld omgezet in crypto via een Nederlandse partij met DNB-vergunning als cryptodienstverlener. Deze partij lijkt nu te zijn omgevallen, en nu lees ik dat ik buiten de bescherming van het nationaal depositogarantiestelsel ga vallen. Is er nog een juridische manier om mijn geld terug te eisen van deze cryptobank?
Het depositogarantiestelsel is een wettelijke bescherming voor geld dat bij banken op een rekening staat. Zoals DNB zegt, “Mocht een bank failliet gaan, dan zorgt De Nederlandsche Bank (DNB) dat u uw geld terugkrijgt. Van 1 cent tot maximaal € 100.000 per persoon, per bank.” Wie daar doorklikt, komt bij de veelgestelde vragen en daar wordt vrij snel en hard gezegd “Een crypto (zoals bitcoin) is geen geld dat bij de bank staat. Het is daarom niet beschermd door de Nederlandse Depositogarantie.”

De juridische basis voor dit stelsel is de Wet op het financieel toezicht (Wft), afdeling 3.5.6. Alle “banken die een vergunning als bedoeld in artikel 2:11 hebben” (en bepaalde beleggingsinstellingen) moeten meewerken aan dit stelsel. En dan is het antwoord verder heel flauw: een cryptodienstverlener, ook met vergunning, is geen “bank in de zin van artikel 2:11 Wft” en valt dus buiten het depositogarantiestelsel.

De achterliggende motivatie is dat crypto’s op één lijn worden gezet met gewone beleggingen, die ook buiten het garantiestelsel vallen. In 2018 meldde de minister bijvoorbeeld dat een probleem daarbij is dat er geen centrale uitgever aan te spreken is op misstanden. Je zou kunnen stellen dat een cryptodienstverlener zo’n centrale rol kan spelen voor de crypto’s die daar gestald staan, maar dat vereist een wetswijziging en ik vermoed dat de overheid daar weinig trek in heeft.

Arnoud

EU wil Amerikaanse techbedrijven uitsluiten van grote IT-contracten

Geplaatst op in Innovatie, 4 reacties
Photo by Karmishth Tandel on Unsplash

De Europese Unie wil strengere regels invoeren voor grote digitale contracten van overheden, las ik bij Nu.nl. De aangekondigde Cloud and AI Development Act is het langverwachte antwoord op de hegemonie van US Big Tech, en deel van een breder pakket aan soevereiniteitsbevorderende maatregelen. Uitpakken maar.

De CADA, zoals het 129 pagina’s tellende ding afgekort moet worden, is een voorstel voor een Verordening (Europese wet) die primair adoptie en investeringen in AI moet versnellen en versterken. Het staat dan ook vol opdrachten om te investeren, te bouwen en te doen. En om hindernissen weg te spelen: vergunningen voor datacenters moeten binnen een jaar afgehandeld worden, bijvoorbeeld.

Het grote probleem is en blijft: US Big Tech is goedkoper en qua features ook een fors eind vooruit. Die zal dan ook snel winnen bij aanbestedingen, want je mag niet uitsluiten op vestigingsland. En omdat (op papier) de CLOUD Act geen gevaar is (want de VS is een AVG-adequaat land), is daar verder niets tegen te doen.

Het antwoord is nu een EU-breed assessment framework om de soevereiniteitsrisico’s van een dienst in te schatten. Er zijn vier niveaus, met oplopende eisen aan controle, datalokaliteit en operationele autonomie. Men lijkt inspiratie uit de niveaus 1-4 van het bestaande Cloud Sovereinty Framework te hebben gehaald, maar een aantal zaken is veranderd – zo is het vanaf niveau 2 verboden om klantdata te gebruiken voor training of fine-tuning van AI-systemen.

De soevereiniteitshaak zit in levels 3 en 4. Vanaf hier wordt hard vereist dat de dienstverlener niet onder “control” van een derde land of een in een derde land gevestigde entiteit staat (zoals gedefinieerd in de EDF-verordening 2021/697). Vanaf niveau 2 moet je een onafhankelijke auditverklaring overleggen om mee te mogen doen bij aanbestedingen van Unie-entiteiten of publieke-sectororganen. En bij bepaalde “openbare-orde” diensten is het verplicht dat je niveau 3 of 4 bent.

Naar de letter van de wet kan US Big Tech geen niveau 3 of 4-verklaring krijgen, omdat hun “control” uit een derde land komt. Ook als een in Europa gevestigde dochteronderneming de aanbieding doet. Maar er is een escape in artikel 18: de Commissie mag landen aanwijzen als “niveau 3 adequaat” als aan een aantal voorwaarden is voldaan:

  • Het land is als adequaat aangewezen onder de AVG (en dat is de VS dus, totdat het DPF omvalt);
  • Er bestaat geen wetgeving die in strijd is met de datatoegangsregels uit de Data Act (artikel 32), en hier zou de CLOUD Act dan tegenaan botsen;
  • Er bestaat geen wetgeving, zoals sancties of embargos (OFAC/EAR), waarmee de provider gedwongen kan worden de dienst af te knijpen of te verstoren (wat mij de reden leek om de Solvinity-overname te verbieden);
  • Er bestaat geen wetgeving die gebruik van de laatste technologie door de Europese klant te verbieden (herinnering aan de oude Amerikaanse crypto-exportregels waarbij “het buitenland” de zwakke versies kreeg);
  • Europese clouddiensten mogen open en vrij in hún markt opereren, inclusief bij aanbestedingen.
 

Uiteraard is dit “maar een voorstel”, maar ik vind het een goede stap die overheden en grote organisaties zal dwingen tot een fundamentele verandering in hoe ze omgaan met ict-diensten. Cynisch als ik ben denk ik wel gelijk: niemand gaat iets doen tot deze wet er is, dan gaan ze klagen dat het zo moeilijk is, er komt twee jaar overgangsrecht en daarna gaan mensen wéér klagen dat ze meer tijd nodig hebben.

Arnoud

Nederlandse provider onze.nl neemt met AI gesprekken op, eh, wat?

Geplaatst op in Ondernemingsvrijheid, Privacy, 14 reacties
Photo by israel palacio on Unsplash

De Nederlandse provider onze.nl biedt mobiele abonnementen aan en integreert een AI-assistent die gesprekken opneemt om samenvattingen en transcripties te maken. Aldus Tweakers.net vorige week. Kan dat zomaar, een AI in je telefoon?

Onze.nl is een virtuele provider (over het netwerk van Odido) en de USP is dus dat je telefoongesprekken automatisch opgenomen en getranscribeerd worden. Daar heb je dan geen apps voor nodig, en de AI-assistent kan allerlei handige functies gaan doen. Er zal een doelgroep voor zijn.

Alleen je eigen stem wordt opgenomen, zo verklaart men op de site. Dat kan technisch vrij eenvoudig: jouw kant van het gesprek gaat naar de servers van Onze.nl en vanaf daar naar je wederpartij, dus dat kan daar afgetakt en geanalyseerd zonder dat er wederpartij-geluid tussen zit.

Dat komt goed uit, want als je die wederpartij gaat aftakken dan wordt het juridisch spannend. Niet strafrechtelijk, want Onze.nl handelt in opdracht van de deelnemer, art. 139a lid 1 Strafrecht zondert uit wie “in opdracht van zulk een deelnemer opneemt”.

De spanning zit hem natuurlijk in de AVG. In het algemeen is die niet relevant bij iemand die voor zichzelf gesprekken opneemt. Dat is voor huishoudelijk gebruik (art. 2 lid 2 AVG) en dan geldt de AVG niet. Bij zakelijk opnemen kan de privé-uitzondering ook gelden, maar vrijwel altijd gaat de data verder het bedrijf in en dan overschrijd je een grens.

De uitdaging zit hem in de rol die Onze.nl hierbij aanneemt. De privacyverklaring is daarbij duidelijk: men opereert als verwerker, dus uitsluitend ten behoeve van de klant die het gesprek op laat nemen. Maar zoals dat gaat bij AI, gaat het altijd toch een kléin stapje verder.

Het gaat hierbij om door u aangeleverde referentie- of contextinformatie (zoals beroepsspecifieke terminologie, klantgegevens of voorkeuren voor de opmaak van gespreksrapporten) die wij gebruiken om de relevantie en nauwkeurigheid van de AI-gegenereerde output uitsluitend voor uw eigen gebruik te verbeteren.
En dan weer iets verderop lees ik dat er “Externe dienstverleners (IT dienstverleners, AI-dienstverleners, en hostingpartijen)” zijn die dan weer “namens [onze.nl]” taken uitvoeren:
Voorbeelden hiervan zijn hosting, het versturen van emails en het verwerken en transcriberen van uw telefoongesprekken in het kader van de Slim Bellen-functionaliteit.
De transcriptie wordt dus uitbesteed, nergens zie ik welke AI dit onder water is maar dat zou dus zomaar een standaard commerciële AI zoals ChatGPT of Claude kunnen zijn. En dat kan binnen de AVG, als je de API aanroept vanuit een enterprise contract, want daar zit een (sub)verwerkersovereenkomst bij en de data wordt niet gebruikt voor bijtrainen.

(Of je de data binnen de EU kunt houden is een lastiger discussie, maar op papier staat het Data Protection Framework nog overeind dus export naar een verwerker in de VS mág.)

De grote uitdaging is echter, als je de spraak van de wederpartij ook zo wil gaan verwerken, welke grondslag onder de AVG heb je dan nodig? Toestemming gaat niet, want hoe krijg je die vooraf? Dus dan kom je zoals altijd uit bij gerechtvaardigd belang. Ik denk dat dat een heel eind goed gaat hier, juist omdat de transcriptie door een verwerker wordt gedaan én alleen bij de bellende partij terecht komt.

Uiteraard moet je een bezwaarmogelijkheid aanbieden (artikel 21 AVG) als mensen zwaarwegende persoonlijke omstandigheden hebben waardoor ze niet opgenomen willen worden. Bij een telefoongesprek zoals hier, vind ik het moeilijk daar voorbeelden van te bedenken.

Arnoud

Huh? Kids Top20 is opeens ’terug’ met AI-presentatrice

Geplaatst op in Innovatie, 10 reacties
Beeld: Jeugdjournaal

‘Mijn naam is Jess, en dit is de compleet nieuwe Kids Top 20’! Maar er is iets geks mee: presentatrice Jess bestaat helemaal niet! Aldus het Jeugdjournaal. Raar verhaal. Maar op dit moment inderdaad niet wettelijk verboden.

Voor wie het niet weet: de Kids Top 20 was een Nederlands muziekprogramma voor kinderen tussen 6 en 12 jaar, waarbij de hitlijst door stemmen van kinderen zelf tot stand kwam. Het programma was in Nederland van 2007 tot november 2025 op televisie, en werd toen wegbezuinigd.

Nu is er een doorstart via de website, en kennelijk was het alsnog te duur om dan iemand in te huren. Vandaar ‘Jess’, een inderdaad vrij snel als AI herkenbare simulatie. Het is toch maar voor de kinderen, die zien de hele dag al AI. Of zoiets. Ja, erger ik me aan.

Het werd nergens gemeld (het JJ zet er zelf keurig “Let op AI” bordjes overheen), en dat doet wel raar aan. Maar op dit moment is er geen wettelijke regel die dat verplicht. Dat komt pas in augustus, als artikel 50 van de AI-verordening (AI Act) van kracht wordt. (De recent aangenomen Omnibus AI Act verandert hier niets aan.)

Wie deepfakes maakt met een AI-systeem, moet bij die content bekend maken “dat de content kunstmatig is gegenereerd of gemanipuleerd”. Dat is dus meer dan een watermerk (zoals bij gewone synthetische content), het moet er echt expliciet bij staan. Vanaf augustus moet de Kids Top 20 dat label dus apart voeren.

Om de kunst te beschermen, is er een iets zwakkere formulering bij deepfakes in een “kennelijk artistiek, creatief, satirisch, fictief of analoog werk of programma”, en ik kan niet ontkennen dat de Kids Top 20 daar onder valt. Voor dergelijke programma’s

zijn de transparantieverplichtingen van dit lid beperkt tot de openbaarmaking van het bestaan van dergelijke gegenereerde of bewerkte content op een passende wijze die de weergave of het genot van het werk niet belemmert.
Een kadertje of symbool in een hoek van het programma zou in dit geval wel passend zijn, lijkt me.

Een juridisch-technisch probleem is nog of dit wel een deepfake is, omdat ‘Jess’ niet bestaat. Moet een deepfake van iemand zijn? De AI Act zelf is daar niet duidelijk over. De in mei voorgestelde richtsnoeren van de AI Office hanteren een brede interpretatie waardoor ‘Jess’ wél een deepfake is:

[I]t is sufficient for simulated persons, objects, places, entities or events to resemble someone or something that can exist or could have existed in reality to be considered a deep fake.
‘Jess’ wordt voorgesteld als een werkelijk bestaand persoon, ze hád gewoon een acteur kunnen zijn. Als ze, en ik citeer,
[would] defy the laws of nature or physics or depict lifeforms that are not commonly accepted in biology
dan was het géén deepfake geweest.

Dus: óf ze krijgt vleugels, óf een AI waarschuwingslabel.

Arnoud

 

Mag een uitgaansgelegenheid camerabrillen verbieden in de huisregels?

Geplaatst op in Ondernemingsvrijheid, Privacy, 10 reacties
Photo by energepic.com on Pexels

Een lezer vroeg me:

Een club waar ik vaak kom heeft sinds kort een verbod op camerabrillen. Vind ik prima, maar los van het feit dat ik betwijfel of hun uitsmijters of garderobepersoneel een camerabril van een gewone bril kunnen onderscheiden, mogen ze dat zomaar verbieden?
Het korte antwoord is simpel: ja, want een club mag (binnen het redelijke & artikel 1 Grondwet) huisregels stellen zoals ze goeddunkt. Alleen in net pak, geen sportschoenen, geen camerabril, alleen met paars haar op Paarshaardag, kan allemaal.

Het idee is dat het zichzelf oplost: als te weinig mensen in net pak willen komen, dan krijg je geen publiek en ga je failliet. Dus waarom zou de wet zo’n regel verbieden. De discussie over huisregels gaat vrijwel altijd over verkapte discriminatie: met neutraal klinkende huisregels zoals “geen sportkleding, schoudertasjes en Vuitton-petjes” ben je in feite aan het selecteren op een beschermd (etnisch) kenmerk bijvoorbeeld, en dat mag niet.

Een goede reden hebben voor een huisregel is handig voor het draagvlak. Bij camerabrillen kan ik die wel bedenken, want velen ervaren het als ongewenst dat ze stiekem gefilmd worden. En voor regelziftende juristen zoals ik is er ook nog artikel 441b Strafrecht, dat heimelijk gebruik van camera’s in voor het publiek toegankelijke ruimtes (zoals cafés, bioscopen en clubs) strafbaar stelt. Ook als je ze in de hand houdt.

Een bezoeker met camerabril zou daar tegenover kunnen stellen dat elke club vol zit met Tiktokkende of Instagrammende bezoekers die alles livestreamen zonder te vragen. En dat is waar, maar valt niet onder het wettelijk verbod. Ook zijn die mensen makkelijk te spotten, al is het maar omdat ze zelf graag front and center in beeld willen zijn.

Camerabrillen zijn een stuk lastiger te spotten, zeker als mensen het rode lampje afplakken en gemaakt achteloos rondlopen. Dan gefilmd worden voelt ineens anders, en dat kan de sfeer in zo’n club beïnvloeden. En dat is voor mij al snel gelijk aan het “heimelijk” uit het strafrecht. Daarom kan -en mag- een club dan ingrijpen.

Arnoud

ACM beboet veilingwebsite voor prijsopdrijving via automatische biedingen

Geplaatst op in Ondernemingsvrijheid, 8 reacties
Photo by John on Unsplash

Het bedrijf Ticketveiling.nl misleidde consumenten door via een speciaal ontwikkeld algoritme mee te bieden bij veilingen. Dat maakte de ACM onlangs bekend, en zij legde daarvoor een boete van 270.000 euro op. Deelnemers aan de veiling dachten dat zij opboden tegen andere menselijke deelnemers, maar het was dus een bot van de aanbieder zelf.

Bij Ticketveiling punt nl kun je via een veiling bieden op uitjes, diensten en producten. Kennelijk komt het daar met enige regelmaat voor dat er niemand (of te weinig mensen) ging bieden, waardoor de gewenste minimumprijs niet werd gehaald. Dan zet je dus een algoritme in:

Deze zogenaamde biedbot werd in de periode van 1 augustus 2024 tot en met 1 december 2024 ingezet bij de veiling van ruim 70.000 kavels. Deelnemers aan de veiling dachten daardoor dat ze opboden tegen andere menselijke deelnemers. In werkelijkheid boden zij op tegen een biedbot die door het bedrijf zelf was ingezet. Als de biedbot de veiling won, konden de menselijke deelnemers vervolgens voor dit winnende bedrag alsnog het aanbod accepteren. Daarbij werd niet verteld dat de biedbot de veiling had gewonnen.
In het boetebesluit lees ik dat men allerlei stappen nam om te verhullen dat hier sprake was van bots. Zo gebruikten deze verschillende biedstrategieën en hadden ze wisselende namen, zodat ook vaste klanten niet direct Berend zouden herkennen.

Ergens voelt het raar dat je je eigen bot laat bieden, want wat nou als die wint? Specifiek hier was dat geen nadeel: men had de “lachende tweede” regel. Ik citeer de collega’s van VakantieVeilingen:

Dat betekent dat je, ook al ben je niet de hoogste bieder, het product tóch kunt kopen voor hetzelfde bedrag als het winnende bod. Je krijgt daarbij exact dezelfde rechten en plichten als de winnaar van de veiling. We bieden dit alleen aan wanneer het hoogste bod aantrekkelijk voor jou is. Dit is het geval wanneer de prijs lager ligt dan de kassaprijs, maar wel binnen de vooraf afgesproken marge met de aanbieder. Zo profiteer je er allebei van.
Persoonlijk snap ik hier weinig van, waarom zou je als platform een ander dan de hoogste bieder het product gunnen? Misschien wanneer je meerdere exemplaren hebt, maar dan kun je je weer afvragen waarom je een veiling hanteert.

Ik had zelf gedacht dat dit zou uitkomen bij “jezelf bedrieglijk voordoen als consument”, maar de ACM houdt het veel simpeler: dit is misleiding over “de prijs of de wijze waarop de prijs wordt berekend” (art. 6:193c lid 1 onder d BW).

Arnoud

Binnenkort kun je shoppen via TikTok, maar Consumentenbond is kritisch

Geplaatst op in Ondernemingsvrijheid, 5 reacties
Photo by Markus Spiske on Unsplash

De populaire app TikTok introduceert TikTok Shop in Nederland, las ik bij Nu.nl. Met de nieuwe shopfunctie kun je vanaf 15 juni een product kopen zonder dat je de app verlaat. Lekker handig, maar de zorg van de Consumentenbond over impulsaankopen snap ik wel.

De Bond legt uit:

Met TikTok Shop kun je producten kopen zonder de app te verlaten. Een filmpje kijken en meteen op een koopknop drukken. Het gaat razendsnel. Daardoor worden impulsaankopen aantrekkelijker. Vooral jongeren lopen risico om spullen te kopen die ze eigenlijk niet nodig hebben. En met achteraf betalen kan dat ook nog leiden tot geldproblemen en schulden.
Het is immers geen webshop waarbij je rondsnuffelt, je winkelwagentje bekijkt en dan een checkoutproces doorgaat. (Er is wel een checkout, maar die is kort en snel vanaf de pagina van het individuele product.)

Door die snelheid en context (midddein iemands filmpje) vraag ik me dan af hoe aan de wettelijke informatieplichten wordt voldaan. Waar kan ik lezen over essentiële kenmerken zoals compatibiliteit, samenstelling en garantie? Maar ik moet zeggen, TikTok doet haar best om haar creators op te voeden zich aan de wet te houden.

De belangrijker zorg zit hem in de presentatie. Waar je bij ‘gewone’ webshops door categorieën en lijsten heenloopt, krijg je ze hier ingebouwd in de algoritmische presentatie. Dat kan oneerlijk zijn: de een kan een beter product hebben, maar de ander meer zichtbaarheid en volgers en daardoor tóch meer verkopen.

Verboden is dit niet. De DSA (artikel 27) eist alleen dat platformaanbieders

in hun algemene voorwaarden in duidelijke en begrijpelijke taal de belangrijkste parameters [vermelden] die in hun aanbevelingssystemen worden gebruikt, alsook eventuele opties voor de afnemers van de dienst om deze belangrijkste parameters te wijzigen of te beïnvloeden.
Ook dit doet TikTok vrij uitgebreid. Desondanks zullen de door de Consumentenbond gesignaleerde risico’s blijven bestaan, maar ik zie daar niet meteen een wettelijke regel tegen.

Een deel van de zorg is de tijdsimpuls: het wordt nú gepromoot, je moet het nú hebben. Dat komt in de buurt van wat als oneerlijke handelspraktijk wordt gekwalificeerd, namelijk (art. 6:193g onder g BW):

bedrieglijk beweren dat het product slechts gedurende een zeer beperkte tijd beschikbaar zal zijn of dat het slechts onder speciale voorwaarden gedurende een zeer beperkte tijd beschikbaar zal zijn om de consument onmiddellijk te doen beslissen en hem geen kans of onvoldoende tijd te geven een geïnformeerd besluit te nemen;
Maar let op: het moet dan echt gaan om ‘bedrieglijk’, zoals elke week een eenmalige aanbieding doen. Als je het écht alleen vandaag te koop zet, dan is daar volgens mij weinig mis mee.

Arnoud

 

Hoe veel tijd heb je bij belparkeren om naar de automaat te lopen?

Geplaatst op in Internetrecht, 20 reacties
Beeld: Wikimedia Commons

In Amersfoort vinden ze kennelijk dat iedereen met z’n telefoon parkeerbelasting betaalt. Dat haal ik uit dit vonnis van de rechtbank Midden-Nederland, waarbij een persoon beboet (nageheven?) werd omdat zij ouderwetsch naar den automaeth was geloopen, in stede van hare mobiele telefoongeleider ter hand te nemen.

De timing was ook wel zéér precies: om exact 17.22 constateerde de ambtenaar dat voor de geparkeerde auto geen parkeerbelasting was voldaan. En om datzelfde 17.22 betaalde de bestuurder bij de automaat iets verderop. Ik had altijd onthouden dat dan automatisch de naheffing werd vernietigd, maar niet in Amersfoort:

De medewerker die het bewaar behandelde schrijft: ‘Bij belparkeren moet de bestuurder, direct nadat hij de auto heeft neergezet, zijn voertuig telefonisch aanmelden. Het spreekt min of meer voor zich dat dit vóór het verlaten van het voertuig gebeurt.’
Dat laatste is inderdaad logisch (al mocht deze meneer wél even uitstappen om naar een hotspot te lopen, hoewel een niet-werkende app voor jouw rekening komt). Op zijn minst omdat de ambtenaar dan kan zien dat jij bij de auto bezig bent. Anders is iedereen “net onderweg naar Starbucks voor internet”.

Echter, in dit geval kun je duidelijk zien dat er níet met de app is betaald maar via de automaat. Hoe kwam men dan überhaupt toe aan het argument “je had in de auto moeten zitten”?

Arnoud

Politie haalt criminele vpn-dienst offline en identificeert duizenden gebruikers

Geplaatst op in Regulering, Security, nog geen reacties
Photo by Daniel Jerez on Unsplash

De Nederlandse en Franse politie hebben de vpn-dienst First VPN offline gehaald, las ik bij Tweakers. Deze dienst was populair onder cybercriminelen, maar velen zetten vraagtekens bij de ingreep “want de Gamma verkoopt ook koevoeten”. Mag ik daar even hard bij ingrijpen?

Samenwerkingsverband Europol legt in een persbericht uit wat de reden voor de actie was:

For years, the service, known as ‘First VPN’, was promoted on Russian-speaking cybercrime forums as a trusted tool for remaining beyond the reach of law enforcement. It offered users anonymous payments, hidden infrastructure, and services designed specifically for criminal use.
Het is dat stukje “designed specifically for criminal use” dat hier essentieel is, en dat altijd gemakshalve wegvalt in de vergelijkingen met de Gamma, Audi-dealers en de Hema-keukenmessencollectie.

Nee, dat mag niet, dingen specifiek ontwerpen en aanprijzen voor crimineel gebruik; je komt dan al snel bij medeplichtigheid uit, of bij speciale wetsartikelen die vervaardigen of aanprijzen van hulpmiddelen strafbaar stellen.

Bij TechCruch lees ik dat men vervolgens ook nog duizenden criminele gebruikers wist aan te wijzen:

Europol, however, said that First VPN users were notified of the shutdown and “informed that they have been identified.” Investigators said they did this by obtaining the service’s user database and identifying VPN connections, which “exposed thousands of users linked to the cybercrime ecosystem.”
Uiteraard gaat het hier om een inval en hebben we alleen de kant van de politie. De rechter moet zich er nog over buigen. Maar alleen kijken naar de techniek en dan zeggen “het is maar een tool” is écht te kort door de bocht bij deze zaak.

Arnoud