Arnoud Engelfriet, auteur op Ius Mentis

Ontslag wegens negatief Facebooken over je werkgever

Geplaatst op 21 oktober 201317 oktober 2013 in Ondernemingsvrijheid, Uitingsvrijheid, 9 reacties

Belgen die op Facebook negatief praten over hun werkgever mogen worden ontslagen, las ik bij Pownews. Een kaderlid dat bij herhaling zich negatief uitliet over zijn bedrijf, werd om die reden ontslagen. En dat bleef in stand bij het Arbeidshof in Brussel. Op zich weinig nieuws: wie openlijk kankert over zijn bedrijf, kan daarop aangesproken worden. Maar ja, het gebeurt op de sosjale media en dan is dat nieuws. Sorry, even een kop koffie pakken.

Ook in Nederland geldt dat je als werknemer niet zomaar van alles kunt zeggen over je werk. Je moet je als “goed werknemer” gedragen, en bij herhaling openlijk negatief doen over je werk is niet ‘goed’. Daar mag de werkgever dus sancties aan verbinden, met ontslag als uiterste middel. Dat ondervond een man die na op de werkvloer berispt te zijn wegens schelden, dat op Facebook nog eens dunnetjes over deed.

Maar is Facebook dan niet privé? Nou ja, in beginsel wel. Maar zodra je collega’s in je vriendenlijst hebt, of je berichten openbaar laat verschijnen, dan is dat privékarakter betrekkelijk (“net als het begrip ‘vrienden'”, zoals in dat vonnis stond).

Wel moet het bedrijf duidelijk beleid (een socialemediareglement) hanteren. Zonder zo’n reglement maak je het jezelf als werkgever een stuk lastiger, zoals in deze zaak bleek. Een werknemer liet zich op Facebook behoorlijk negatief uit over een collega, wat samen met een aantal andere incidenten reden was om de arbeidsovereenkomst te ontbinden. Omdat er geen duidelijke waarschuwing vooraf was gegeven, kon dat ontslag niet zomaar: de werknemer kreeg een ontslagvergoeding (C=1, voor de arbeidsrechtdeskundigen; in gewone taal € 1.239,09).

Heel gek vind ik het Belgische vonnis dus niet. De relatie met het werk was duidelijk, de publicaties waren openbaar en behoorlijk negatief. Maar hieruit volgt niet dat dús ieder twitteren of bloggen over je werk automatisch verboden is en tot ontslag kan leiden. Allereerst moet het gaan om iets dat behoorlijk negatief is, en ten tweede moet het ook nog zodanig openbaar zijn dat de werkgever er last van krijgt. Heb je je Facebook goed afgeschermd (ook voor collega’s) dan zie ik niet meteen een risico.

Arnoud

Europese Hof: overheid mag vingerafdruk in paspoort verplichten

Geplaatst op 18 oktober 201317 oktober 2013 in Privacy, 72 reacties

De overheid mag burgers verplichten hun vingerafdruk af te geven bij het aanvragen van een identiteitskaart, las ik bij Tweakers. Een Duitse burger had bezwaar gemaakt tegen deze eis, en de Duitse rechter vroeg daarop aan het Europese Hof hoe dat nu eigenlijk zit met vingerafdrukken binnen het Europese privacyrecht. Het Hof bepaalt nu dat dit in principe mag, mits uitsluitend voor het doel van paspoortcontroles.

In Nederlandse paspoorten zitten sinds een tijd vingerafdrukken in een chip (en nee, die mag je niet frituren). De vingerafdrukken staan ook alléén in die chip. Het onzalige plan om ze allemaal centraal op te slaan is gelukkig niet doorgegaan. En wie wil reizen zonder vingerafdruk, kan dat met het identiteitsbewijs maar is dan wel beperkt in het aantal landen.

Het opslaan van vingerafdrukken valt onder de Wet bescherming persoonsgegevens, en dat is Europese regelgeving. Het Hof van Justitie heeft daarover het laatste woord. Wanneer nationale rechters niet zeker weten hoe het zit met Europese regelgeving, kunnen ze “prejudiciële vragen” stellen aan dit Hof. De uitleg is dan bindend voor die rechter maar uiteindelijk ook voor alle andere Europese rechters. (Dit Hof is dus alleen een vraagbaak en geen hoger beroep boven bv. de Hoge Raad.)

In deze uitspraak (C-291/12) ging het niet om zomaar een uitleg maar om de vraag of de Europese Verordening over vingerafdrukken überhaupt wel rechtsgeldig was. Mág de EU wel bepalen dat de privacy van alle burgers geschonden moet worden door vingerafdrukken in het paspoort?

Ja dat mag, zegt het Hof, mits onder strenge voorwaarden: er moet een legitiem doel zijn en de maatregel moet passen bij dat doel en zo beperkt mogelijk zijn. Het legitieme doel wordt hier gevonden in het verifiëren van de echtheid van paspoorten, en indirect daarmee samenhangend het tegenhouden van illegale bezoekers van een land. Dat de maatregel niet 100% perfect werkt, is geen argument: zolang het ‘aanzienlijk’ beter werkt dan de oude methode, is het in principe legitiem.

Maar gaat het niet te ver? Is het middel wel proportioneel, is er geen andere minder ernstige oplossing voor dit probleem? Volgens het Hof is er geen reëel alternatief: een irisscan is complexer en duurder, en iets anders wist geen van de partijen te verzinnen.

Wel stelt het Hof de harde grens dat de vingerafdruk alléén in de chip mag zitten (dus niet ook nog ergens centraal) en alléén mag worden gebruikt om na te verifiëren of de houder van het paspoort werkelijk de persoon is die daarin vermeld staat (overweging 56). Een identiteitscontrole uitvoeren en dan meteen even de vingerafdruk matchen met de Nationale Opsporingslijst (onze FBI Most Wanted) is dus niet toegestaan.

Bij Webwereld wijzen ze er nog op dat nu onze aankomende Paspoortwet stuk is: artikel 4b daarvan voorziet in de oprichting van een centrale reisdocumentenadministratie met vingerafdrukregister. Dat register is dus nu in strijd met de Europese wetgeving. De vraag is dus: herkent de minister zich niet in deze uitspraak of gaan we een stukje window dressing toevoegen om ons centrale register toch legaal te krijgen?

Arnoud

Goedemiddag, wij komen even bij u twitteren dat u het leuk vindt hier

Geplaatst op 17 oktober 201313 oktober 2013 in Innovatie, 25 reacties

Hm. Is dit nu juridisch interessant of niet? Mensen die zich bij de NY Comic Con aanmeldden, ontdekten dat ze ineens twitterden hoe leuk ze het vonden. Volgens de CC geen probleem: daar hadden ze toestemming voor gegeven bij het inschrijven. Want ja, er stond “this application may tweet on my behalf” bij het aanmelden via Twitter. Maar dat lazen mensen toch even iets anders.

Juridisch gezien is het duidelijk, heet het dan: in een Opinie over toestemming bepaalde de privacytoezichthouders dat als je nu maar specifiek iets vraagt, daarbij goed uitlegt wat je gaat doen en mensen uit vrije wil dan ja of nee laat klikken, dan is er vrije, specifieke en geïnformeerde toestemming. En wat is er nou mooier dan dat.

Het idee dat mensen toestemming kunnen geven en dat dan eigenlijk alles wel oké is, zit diep in het juridische systeem. Ik maak me hier met enige regelmaat kwaad over: mensen lezen niet wat ze wordt gevraagd, en gaan er vanuit dat het wel goed zal zitten. Waarbij ook meespeelt dat de toestemmingsvragen vaak net subtiel wat anders betekenen of op een gekke manier gepresenteerd worden (zie de recente boevenpubliceertoestemmingsbordjes).

Maar in dit geval luidt de toestemmingstekst letterlijk “This application may send Tweets on your behalf”, deze dienst gaat vanaf jouw account twitteren. Hoe expliciet wil je het hebben?

Nou ja, toch wel iets specifieker dus. Zoals ze bij Ars Technical al schreven, de gebruikelijke interpretatie van die zin is “wij faciliteren twitteren vanuit deze dienst, maar uiteraard krijg jij vooraf te lezen wát we uitsturen”. Of de dienst twittert volgens een door jou bepaald stramien. Zo worden al mijn nieuwe posts automatisch getwitterd via een WordPressplugin die ook met die zin toestemming vroeg. Maar het was duidelijk dat hij dan alleen bedoelde dat hij tweets stuurt van het soort “#author# blogt: #title# #url#”. En niet “#author# vindt WP Tweets Pro echt super #aanrader”.

En dan komen we toch weer terug bij mijn frustratie hierover: mensen lezen het niet en gaan er vanuit dat het wel goed zal zitten. Zoals ook hier. En op zeker moment wórdt die opvatting dan ook juridisch relevant: als iedereen een tekst opvat als linksom, dan mág je niet meer zeggen “maar rechtsom wordt niet uitgesloten”. Dat wordt ‘ie wél: omdat iedereen vindt dat het uitgesloten wordt, dat het er niet onder valt.

Wat vinden jullie? Hadden die Comic Con-ners beter moeten lezen? Of domme actie van de NYCC?

Arnoud

Mag je onder water filmen of fotograferen in het zwembad?

Geplaatst op 16 oktober 201317 oktober 2013 in Informatiemaatschappij, 11 reacties

Diverse lezers vroegen me recent hoe het zit met onderwatercamera’s in het zwembad. Nu onderwatercamera’s steeds goedkoper worden, duiken (haha) ze op veel meer plaatsen op. En wat is er nou leuker dan ook in het zwembad eens foto’s van jezelf, je familie of vrienden of willekeurige zwemmers te maken? Eh, wacht even.

Op zich is fotograferen legaal, en loop je pas bij het publiceren mogelijk tegen portretrecht of privacyproblemen aan. Maar heimelijk fotograferen in een besloten ruimte is strafbaar – art. 139f Strafrecht verbiedt het “heimelijk, opzettelijk en wederrechtelijk” fotograferen van personen in een woning of andere niet voor het publiek toegankelijke plaats”. Dat ‘wederrechtelijk’ staat er om een gaatje voor verborgencamerajournalistiek open te laten.

Maar wacht even, een zwembad is toch voor het publiek toegankelijk? Iedereen mag erin, mits hij de toegang betaalt (en zwemkleding draagt). En dan wordt het even anders, want dan is het enige strafrechtartikel nog dat van de aangebrachte camera’s – filmen met een vaste camera in de openbare ruimte mag niet als dat niet duidelijk is aangekondigd (art. 441b Strafrecht). En zo’n onderwatercamera zit nergens aan vast, in tegenstelling tot deze zwembadtoezichtcamera bijvoorbeeld. Dus dan zou het wel mogen.

Uiteraard kan het zwembad zelf hier regels over stellen, en zulke huisregels moeten dan worden opgevolgd. Wie dat niet doet, kan worden verwijderd uit het zwembad en zelfs een toegangsverbod krijgen (als dat in de regels erbij staat). De camera opeisen en de beelden even proactief wissen is heel wat dubieuzer en raad ik dus af.

Het voelt buitengewoon onprettig en ik kan me goed voorstellen dat mensen hier wat tegen willen doen, maar een wetsartikel hiertegen weet ik zo even niet.

Arnoud<br/> Foto: Nutech.nl

Een vacature in een Facebookadvertentie, mag dat?

Geplaatst op 15 oktober 201312 oktober 2013 in Ondernemingsvrijheid, 38 reacties

Hoe zet je Facebook-advertenties optimaal in om de juiste kandidaat te vinden, las ik op Marketingfacts. Het sociale netwerk biedt mogelijkheden voor zéér specifieke targeting, en dat is natuurlijk ook voor vacatures interessant. Staat je bedrijf in Rotterdam, dan is het niet zinnig de advertentie aan Assenaren of Groningers te vertonen, bijvoorbeeld. Maar je kunt óók alleen targeten op mannen dan wel vrouwen en een leeftijdscategorie instellen. En dát is juridisch toch even ietsiepietsie dubieuzer. Geslachts- en leeftijdsdiscriminatie zijn namelijk verboden bij werving en selectie.

De Algemene Wet gelijke behandeling (Awgb) bepaalt dat je geen onderscheid op een verboden grond mag maken bij “de aanbieding van een betrekking” of de sollicitatieprocedure die daaruit voortvloeit. De verboden gronden zijn

godsdienst, levensovertuiging, politieke gezindheid, ras, geslacht, nationaliteit, hetero- of homoseksuele gerichtheid of burgerlijke staat

De Wet gelijke behandeling op grond van leeftijd (Wgbl) doet hetzelfde maar dan specifiek voor leeftijden (en nee ik weet ook niet waarom dat niet een hoofdstuk in de Awgb kon zijn).

Onderscheid kan direct en indirect zijn. “Gezocht: vrouwelijke secretaresse” maakt direct onderscheid op geslacht, en “Gezocht: salesmedewerker die elke dag een plakje varkensvlees lust” maakt indirect onderscheid op godsdienst. En oké die was niet echt subtiel maar de bedoeling is om ook wél subtiele trucs om bepaalde groepen uit te sluiten tegen te gaan. “Gezocht: student” is bijvoorbeeld ook indirect onderscheid op leeftijd, omdat studenten grosso modo vijfentwintigminners zijn.

Het verbod geldt niet bij bepaalde vormen van positieve discriminatie. Zo mag je bij gelijke geschiktheid vrouwen bevoordelen, omdat vrouwen nog steeds ondervertegenwoordigd zijn. En ter “bevordering van arbeidsparticipatie van bepaalde leeftijdscategorieën” mag je leeftijdsdiscriminatie toepassen. Wel moet er dan overheidsbeleid zijn om die categorieën aan het werk te krijgen, en daar mag je als werkgever dan op inhaken.

Meer algemeen is er nog een uitzondering voor situaties waarin het onderscheid

objectief gerechtvaardigd is door een legitiem doel en de middelen voor het bereiken van dat doel passend en noodzakelijk zijn.

Wie een Sinterklaas zoekt, mag dus specifiek vragen naar een oudere man hoewel dat eigenlijk dus direct onderscheid op leeftijd én geslacht is (en indirect op ras want “Sinterklaas” impliceert een witte meneer.)

In het voorbeeld van de M!-blog hanteerde men deze criteria:

<li>    leeftijd tussen 22-30 jaar;</li>
<li>    woonachtig in Rotterdam of steden rondom Rotterdam en 30 kilometer daarbuiten;</li>
<li>    interesse in pr-georiënteerde zaken en/of pagina’s.</li></ul>

Hier wordt dus direct op leeftijd geselecteerd. En ik kan bij die leeftijd werkelijk geen objectieve rechtvaardiging verzinnen. En oké, er is ook beleid tegen jeugdwerkloosheid (“deze vacature is in het kader van het Actieplan jeugdwerkloosheid en bedoeld voor jongeren tot 27 jaar”) maar ook dat lijkt me niet echt van toepassing hier. Dus juridisch gezien zeg ik dan, nee, dit mag niet.

Maar is dit nu werkelijk een probleem? De vacature staat ook gewoon op de site van het bedrijf, dus wie daar wil werken maar 30+ is kan de vacature nog steeds vinden. En zolang men niet volautomatisch de sollicitatie aflegt wegens “te oud”, valt het dan wel mee. Toch?

Arnoud

Europees Hof stelt website verantwoordelijk voor reacties

Geplaatst op 14 oktober 201313 oktober 2013 in Ondernemingsvrijheid, 26 reacties

Het Europese Hof voor de Rechten van de Mens (EHRM) heeft geoordeeld dat een website verantwoordelijk gehouden kan worden voor de reacties die op de website geplaatst worden, meldde Nu.nl vrijdag. In de Delfi-zaak ( 64569/09) bepaalde deze hoogste rechtbank voor de Europese mensenrechten (niet te verwarren met het Europese Hof van Justitie) dat wie zijn site open zet voor anonieme reaguurders, extra zijn best moet doen om te voorkomen dat er rare dingen tussendoor glippen. Wie dat niet genoeg doet, is aansprakelijk.

De zaak draaide om Delfi, een grote nieuwssite uit Estland met meer dan 330 nieuwsberichten per dag. Iedereen mag reageren, zonder voorafgaande moderatie en zonder identiteitscontrole van de reagerenden. En zoals iedereen met een blog of forum weet, dan ga je anoniempjes krijgen met rare opmerkingen. Natuurlijk had men huisregels: geen bedreigingen of beledigingen, op straffe van weghalen of verbanning van de auteur. Men werkte met een klachtsysteem (“notice/takedown”) waar normaal snel op werd gereageerd.

In een artikel over een bedrijf dat een ijsweg zou gaan aanleggen, kwamen twintig nogal onfrisse comments voorbij, ik citeer er even twee:

fucking bastard, that [L.]… could have gone home with my baby soon… anyways his company cannot guarantee a normal ferry service and the prices are such that… real creep… a question arises whose pockets and mouths he has filled up with money so that he’s acting like a pig from year to year<br/> …<br/> can’t make bread from shit; and paper and internet stand everything; and just for own fun (really the state and [L.] do not care about the people’s opinion)… just for fun, with no greed for money – I pee into the [L.’s] ear and then I also shit onto his head. :)”

Na klacht werden deze meteen verwijderd, maar het bedrijf eiste een schadevergoeding en kreeg die ook – 320 euro. De nieuwssite stapte naar het Mensenrechtenhof omdat ze zich gedwongen voelde haar systeem aan te passen (premoderatie) en dat zou een inbreuk op haar vrijheid van meningsuiting/doorgifte van informatie zijn. Wat het theoretisch gezien ook is.

Het Hof begint met vast te stellen dat deze inbreuk (inperking eigenlijk, neutraal gezegd) op zich op een wettelijke basis rust – smaad en belediging – en op legitieme wijze, voor een legitiem doel werd toegepast. Dat zijn basisvoorwaarden om die vrijheid te mogen beperken.

Vervolgens komt de echte hamvraag: móest dat nou echt zo? In mooi juridisch, is deze inperking noodzakelijk in een democratische samenleving en had vanuit oogpunt van subsidiariteit er geen minder hard middel ingezet kunnen worden?

Ja dat moest nou echt zo, zegt het Hof. De reaguurders waren anoniem, dus er viel niemand anders aan te klagen. En gezien de aard van het artikel (een actueel politiek onderwerp) was er wel een en ander te verwachten aan verbale oprispingen. Daar moet je dan bovenop zitten als nieuwsbedrijf. Achterover zitten en wijzen naar je “ik heb een klacht”-knop is dan onder de maat.

Nu hebben we in Europa een regeling die zegt dat tussenpersonen (zoals hosters en forumbeheerders) niet aansprakelijk zijn mits ze maar adequaat reageren op klachten (‘notice/takedown’). Het Mensenrechtenhof gaat daar niet expliciet op in. Tussen de regels door dénk ik dat ze het hierin menen te vangen:

The Court further notes that the applicant company – and not a person whose reputation could be at stake – was in a position to know about an article to be published, to predict the nature of the possible comments prompted by it and, above all, to take technical or manual measures to prevent defamatory statements from being made public. … Thus, the Court considers that the applicant company exercised a substantial degree of control over the comments published on its portal even if it did not make as much use as it could have done of the full extent of the control at its disposal.

Die term “degree of control” echo’t wat er in de Europese regels staat – je bent alleen beschermd als je niet controleert, selecteert of filtert. En een forum doet dat juist wél. Dus kennelijk vindt het Hof dat een forum zich niet kan beroepen op die beschermingsregels.

Ik pleit al een tijd voor een apart regime voor forumbeheerders in de wet. Je kunt niet van beheerders verlangen dat ze puur passieve platforms worden waar mensen zonder controle mogen reaguren, één 4chan is meer dan genoeg. Maar wie proactief gaat modereren, wordt nu juist aansprakelijk voor wat hij laat staan. Ik zeg dan ook, partijen die kunnen laten zien voldoende actief te modereren, moeten in principe niet aansprakelijk zijn voor wat zij alsnog doorlaten. Dit vertaalt zich juridisch gezien naar een inspanningsplicht: wie kan modereren, moet dat ook gaan doen en is gevrijwaard van claims als het adequaat gebeurde.

Delfi had dan nog steeds verloren trouwens. Het Hof zegt -terecht- dat als je een controversieel onderwerp online zet, je moet verwachten dat daar stevige reacties op komen. Daar moeten je moderatoren dus bovenop zitten en extra goed opletten. En dat had men niet gedaan. Dus ja, ik ben het wel eens met het resultaat. Maar dan wel graag nu die nieuwe wet die zegt dat wie wél adequaat modereert, niet aangesproken mag worden.

Arnoud

Wanneer gaat een klacht van kritisch over in smadelijk?

Geplaatst op 11 oktober 201311 oktober 2013 in Ondernemingsvrijheid, Uitingsvrijheid, 13 reacties

Een lezer vroeg me:

Ik heb een aantal negatieve reviews over mijn aannemer geplaatst op sites als Klacht.nl, omdat ik erg ontevreden ben over het werk. Nu heeft hij een advocaat ingeschakeld die zegt dat ik smaad pleeg door dit te publiceren. Maar de feiten klóppen gewoon. Mag ik niet eens meer kritisch zijn over mensen die ik inhuur?

Kritisch mag, smaad niet. Oké, flauw antwoord. Maar het is niet zo eenvoudig te bewijzen dat sprake is van smaad: op grond van de vrije meningsuiting mag je veel zeggen, ook negatieve feiten en opinies, ook tendentieus geformuleerd en ook met kwetsend taalgebruik.

Boze recensies zijn natuurlijk vooral bedoeld om stoom af te blazen. Daar is niets mis mee, óók niet als de recensent juridisch ongelijk heeft. Wie een rechtsgeldige annulering van zijn bestelling krijgt, mag daar best boos over zijn en dat laten horen ook.

Natuurlijk moet een recensie wel binnen de feiten blijven, maar dat betekent niet dat een recensie compleet zakelijk en neutraal geschreven moet worden. “Ik moest zelf de terugstuurkosten betalen toen ik de Wet koop op afstand wilde gebruiken, schandalig” is legaal ook al staat die winkel in zijn recht om dit de consument zelf te laten betalen.

Een boze recensent gooit al snel met termen als “onbetrouwbaar” en “oplichter”. Dat is een serieuze uitspraak die onderbouwd moet kunnen worden. Echter, uit de rechtspraak blijkt dat wanneer het gaat om mensen die zich ernstig gedupeerd voelen en “in het vuur van de discussie” die termen gebruiken, de rechter er anders naar moet kijken dan bij een zakelijke publicatie zoals in bv. een consumententijdschrift. Een willekeurige boze twitteraar mag meer zeggen dan @consumentenbond (of @ictrecht, wat dat betreft).

Mijn vuistregel is altijd, houd het opbouwend. Een review of recensie is bedoeld om anderen te informeren: dit is mijn ervaring, en dit zou die aannemer beter moeten doen. Daar zal niet snel iets onrechtmatigs aan zijn (tenzij je feiten gaat verzinnen).

Het lastigste punt dat ik zie bij reviews is wanneer een recensent zegt dat feit X waar is en dat hij daarom boos is, terwijl de gerecenseerde zegt dat X compleet verzonnen is en volstrekt anders ligt, en dat de boosheid voorgewend is omdat de recensent bv. gratis korting of zo wil. Hoe kun je daar als tussenpersoon (of jurist ingehuurd door tussenpersoon) ooit uit halen wie er gelijk heeft?

Arnoud

Britse politie vraagt registrars om blokkade torrentsites

Geplaatst op 10 oktober 20139 oktober 2013 in Intellectuele rechten, Ondernemingsvrijheid, Regulering, 22 reacties

seized-domain-name-city-londen-police De Britse politie heeft registrars van piraterijsites brieven gestuurd met de eis de domeinnaam te blokkeren, las ik bij Tweakers. De sites MisterTorrent, SumoTorrent en ExtraTorrent zouden volgens de auteursrechtafdeling van de Britse politie in strijd zijn met de wet, dus of men even in wilde grijpen. Met een ondertoon dat de bobbies anders even ~~hun ouders~~ de registry (ICANN) zouden wijzen op het feit dat de registrars dan de aansluitvoorwaarden zouden overtreden en dus geschorst zouden worden als domeinnaamuitgevers. Excuse me?

Als een dienst werkelijk in strijd handelt met toepasselijke wetgeving, dan mag de politie daar natuurlijk tegen optreden. Ze kunnen dan de site-eigenaren zelf aanpakken, maar als dat niet lukt dan is aanspreken van de hostingprovider of andere tussenpersoon ook een optie.

In Nederland is dit wettelijk geregeld: een hostingprovider moet op grond van artikel 54a Strafrecht dingen offline halen als de officier van justitie dat zegt. Wel moet die officier daar een machtiging van de rechter-commissaris voor hebben. Dat is een onafhankelijke toetsing – maar de site-eigenaar of hoster wordt niet vooraf gehoord.

Hoe het zit met een domeinnaamprovider is bij mijn weten nog nooit getest. Ik gok omdat de meeste sites domeinnaam en hosting bij dezelfde partij hebben, zodat het nooit aan de orde kwam. Maar het kan natuurlijk best dat de site bij partij A ondergebracht is en de domeinnaam bij partij B.

Het is juridisch eigenlijk al onduidelijk of een domeinnaamprovider een hostingprovider is, een partij die “een telecommunicatiedienst verleent bestaande in de doorgifte of opslag van gegevens die van een ander afkomstig zijn” zoals in dat wetsartikel staat. ‘Gegevens’ slaat eigenlijk op de inhoud van de site, als je de wetsgeschiedenis leest. Maar je kunt zeggen, de dns records van de site zijn ook gegevens (hoewel maar weinig) en die komen van de klant dus dan is dns de dienst van opslag/doorgifte van gegevens van een ander afkomstig.

Oké maar stel. Dan zou de politie dus met zo’n bevel een dns blokkade kunnen eisen, als de rechter-commissaris dat goed vindt. En dan moet je als domeinnaamregistrar daaraan gehoor geven. Je mag niet protesteren dat dit te ver gaat, dat er op de site ook legaal spul staat. Dat heeft (als het goed is) die rechter-commissaris meegenomen in de beslissing die machtiging te geven.

In deze zaak is echter geen sprake van een bevél maar van een verzoek. En dan wel een van een geniepig soort – als je niet doet wat wij zeggen dan gaan wij even jouw leverancier bellen en zeggen dat jij willens en wetens iets illegaals faciliteert. Want in zijn algemene voorwaarden staat dat jij dit niet mag, dus dan raak jij je accreditatie kwijt.

Ja, daar word ik cynisch van. Natuurlijk, áls er sprake is van overtreding van de voorwaarden dan mag de registry ingrijpen. Maar ís dat wel zo? Die agenten weten donders goed dat zij op hun blauwe uniformen vertrouwd gaan worden, en dat de dreiging van negatieve publiciteit dan genoeg kan zijn voor bot afsluiten door die registry. Een CEO die twee agenten op bezoek krijgt, heeft geen zin meer in een diepgravend juridisch onderzoek door de huisjurist – eruit met die lastpakken. En dat voelt als machtsmisbruik door die auteursrechtpolitie.

Arnoud

Mag een advertentieblokker een betaalde whitelist hebben?

Geplaatst op 9 oktober 20136 oktober 2013 in Informatiemaatschappij, 12 reacties

Intrigerend. Advertentieblokker AdBlock Plus werkt met een betaalde whitelist: bedrijven die liever niet meteen geadvertentieblokkeerd willen worden, kunnen het bedrijf achter Adblock Plus betalen om standaard op een witte lijst te komen. Natuurlijk kan de gebruiker alsnog die bedrijven of hun advertenties blokkeren maar dan moet je wel moeite gaan doen, en als het gaat om moeite doen dan blijf ik bij mijn vuistregel dat 80% van de mensen de defaults laat staan zoals ze binnenkomen.

Het bedrijf legt het proces expliciet uit in een FAQ. Je dient een verzoek in, als het bedrijf vindt dat je voldoet aan hun criteria dan ‘signeert’ men een overeenkomst. Bovendien gaat het dan naar publieke consultatie:

We plaatsen het ‘whitelisting’ voorstel in het forum. Vervolgens is er ongeveer een week dat de gemeenschap de advertentie kan bediscussiëren om te zien of de kandidaat daadwerkelijk voldoet aan onze criteria.
Als er geen geldige bezwaren zijn, zullen we de advertenties toevoegen aan onze whitelist. De advertentie zal dan standaard worden laten zien aan de Adblock Plus gebruikers.

Je zou dus zeggen, transparant proces en dit moet je als gebruiker weten. Geen probleem dus. Maar toch, het voelt niet lekker dat een advertentieblokker juist advertenties doorlaat – zeker omdat ze zich laten betalen door precies die figuren waar je zo’n hekel aan hebt als advertentieblokkeerder, namelijk advertéérders.

Bij TechCrunch komt daar nog de intrigerende vraag bij: is het echt wel eerlijk? Immers een groot bedrijf als Google kan elk tarief betalen, maar een kleine wannabe-concurrent van Google kan dat wellicht niet. Daarmee staat dat bedrijf gelijk op een grote achterstand. Maar dat voelt bij mij net zo oneerlijk als dat ik geen advertentie in de Telegraaf kan betalen en mijn concurrenten op de Zuidas wel.

Juridisch weet ik er echter weinig tegen in te brengen. Dit voorjaar hadden we een discussie over zwarte lijsten (Spamhaus) waarbij ook al voorbij kwam dat eigenlijk iedereen gewoon lijsten mag maken, zwart, wit, blauw of anderszins, en dat het de keuze is van de ontvanger/lezer/gebruiker om daarmee te werken.

Wél geldt dat je als lijstenmaker-met-reputatie zorgvuldig moet handelen. Zo moest de Consumentenbond terughoudender zijn over beleggingsfondsen dan een willekeurige boze blogger, omdat de Bond dient “te voldoen aan hoge eisen van zorgvuldigheid, duidelijkheid en neutraliteit”. Dat is wat we van ze verwachten, en die (door lang en hard werken zelf opgebouwde) verwachtingen moeten ze dan ook waarmaken.

Natuurlijk mag je veranderen en je lat lager gaan leggen. Maar dat zul je dan óf heel expliciet moeten maken óf heel geleidelijk moeten doen. Bij Adblock Plus vraag ik me af of dat echt zo gegaan is. Het kan aan mij liggen maar ik had nog niet eerder van die witte lijst gehoord, en ik gebruik ’t product al jaren. Had dat dan niet even in een update gepopupt kunnen worden? Wisten jullie dit?

Arnoud

Mag je een server met een welkombanner hacken?

Geplaatst op 8 oktober 20136 oktober 2013 in Security, 6 reacties

Een lezer vroeg me:

Bij een loginprompt zie je vaak “Verboden toegang voor onbevoegden” of iets dergelijks. Nu hoorde ik dat als je daar “Welkom” neerzet, het legaal zou zijn om bv. via wachtwoord raden binnen te dringen. Immers wie welkom geheten wordt, gaat niet wederrechtelijk naar binnen. Klopt dat?

Nee, dat klopt niet. Een deurmat met “Welkom” geeft inbrekers ook geen bevoegdheid mijn deur open te breken met een koevoet.

Als de deur ópen zou staan en er hangt een bordje “Welkom”, ja dan zou je misschien kunnen denken dat iedereen uitgenodigd is op een buurtfeestje of open barbecue. Het digitale equivalent daarvan zou dan een “Welkom”-banner zijn met een gast/gast logincombinatie. Als dát account zou werken (ook als het onaangekondigd is) dan lijkt het me nauwelijks nog verdedigbaar dat iemand inbrak.

De wet stelt ‘binnendringen’ in een computersysteem strafbaar. Het is daarbij nodig dat op een of andere manier blijkt dat je op verboden terrein bent. (Vroegâh had je zelfs een beveiliging nodig die moest worden doorbroken, nu niet meer.) Zo’n loginbanner of MOTD is dus het digitale equivalent van het art. 461 Strafrecht-bordje. Meer dan “verboden toegang voor onbevoegden”* als tekst zou niet nodig moeten zijn.

Is er een gastaccount, dan ben je niet onbevoegd als je daarop inlogt. Misschien als er duidelijk is gezegd wíe er als gast naar binnen mag, maar dat heb ik eerlijk gezegd nog nooit gezien. Een beetje beheerder timmert een gastaccount ook zodanig dicht dat een ongewenste gast toch niets geks uit kan halen, dus waarom zou je ook?

En volgens mij zelfs dat niet want het spreekt voor zich dat ONbevoegden niet naar binnen mogen. Vlakbij mijn kantoor staat een geel verkeersbord met de tekst “Te hard rijden is verboden”. Joh.

Arnoud