Auteur: Arnoud Engelfriet

About Arnoud Engelfriet

Website::Subscribe Feeds

Het niet-commerciële publiek domein bij de Koninklijke Bibliotheek

Geplaatst op in Intellectuele rechten, 28 reacties

kb-googleHet zat me al een tijdje dwars, en nu vroeg een lezer me er ook weer naar: hoe kan het dat de Koninklijke Bibliotheek boeken aanbiedt uit het publieke domein met een verbod op commercieel hergebruik? Want wie de gebruiksvoorwaarden leest, ziet daarin deze tekst:

Op de boeken die door Google zijn gedigitaliseerd, rust geen auteursrecht meer. Ze zijn herkenbaar aan de vermelding rechtsonder: ‘digitised by Google’. U mag deze boeken gebruiken (inclusief downloaden of printen) voor persoonlijke niet-commerciële doelen. Commercieel hergebruik en/of verdere verspreiding (commercieel of niet-commercieel) is niet toegestaan.

En dat is toch bepaald merkwaardig: het idee van het publiek domein is dat iedereen er alles mee mag doen, ook voor onpersoonlijke commerciële doelen.

De KB maar eens gemaild: hoe zit dit? Gelukkig kreeg ik snel een reactie:

De private partij die de investeringen voor het scannen maakt, heeft bedongen dat de scans alleen voor niet-commerciele doelen worden hergebruikt, bij wijze van return on investment. Voor niet-commerciele doelen zijn de boeken gratis toegankelijk, te downloaden en te hergebruiken. En na vijftien jaar wordt ook commercieel hergebruik onbeperkt mogelijk (zie het Google-contract).

Het contract zelf vermeldt inderdaad in artikel 4.7 dat de bibliotheek bezoekers zal verbieden de gedigitaliseerde werken commercieel te exploiteren (en inderdaad vervalt dat verbod na 15 jaar).

Ik snap goed dat de KB zelf de middelen niet heeft om zo’n omvangrijk scanproject uit te voeren, en ik snap óók goed dat Google bij het opzetten van zo’n project een verbod op commercieel hergebruik ingesteld wil zien. Maar het eindresultaat is bepaald ergerlijk: die boeken zijn publiek domein, dus daar hóren geen restricties op hergebruik meer op te zitten.

Op zich is het legaal om gebruiksvoorwaarden te koppelen aan toegang tot een website of dienst. Die voorwaarden hoeven niet per se te herleiden te zijn tot een onderliggend auteursrecht. Een museum kan je verbieden te fotograferen (met of zonder flits) enkel op basis van de huisregels. En dat de onderliggende gedachte is “dan kopen meer mensen in onze museumwinkel” is dan legitiem, hoewel ergerlijk.

In enkele rechtszaken over vermeende databankrechtinbreuk is echter geoordeeld dat je niet met gebruiksvoorwaarden je een recht kunt voorbehouden dat je niet bezit. Je zou je dus kunnen afvragen wat een hergebruiker te maken heeft met die voorwaarden. Niet veel inderdaad, tenzij hij er akkoord mee is gegaan bij het raadplegen van de site van de KB. Een persoon die die voorwaarden aanvaardt en de hele verzameling leegtrekt, pleegt dus contractbreuk. Maar een derde die vervolgens de hele verzameling op Bittorrent gooit, doet niets verkeerd.

Nee, netjes is dat niet: zo zal Google de volgende keer weinig zin hebben om weer eens een berg boeken te digitaliseren. Maar moet je dat eigenlijk wel willen, een private partij het publiek domein laten digitaliseren?

Arnoud

Van wie is onze handleiding?

Geplaatst op in Intellectuele rechten, Ondernemingsvrijheid, 42 reacties

missing-manualEen lezer vroeg me:

Voor een opensourcepakket dat wij op het werk gebruiken, heb ik met een aantal collega’s een handleiding geschreven. Die ontbrak namelijk, zeker waar het gaat om gebruik in onze branche. Het schrijfwerk was geheel in eigen tijd, overigens. Nu is een van mijn collega’s voor zichzelf begonnen en hij heeft gemeld dat hij die handleiding gaat verkopen als deel van zijn dienstverlening. Maar hebben wij daar niets over te zeggen dan als mede-auteurs?

Wanneer mensen samen één werk maken, zegt de auteurswet dat daarop een gezamenlijk auteursrecht ontstaat. De auteurs zijn dus allen mede-eigenaar, en volgens de wet mag geen van hen dan iets doen met het werk zonder toestemming van de anderen. Wil eentje het gaan uitgeven in boekvorm, dan moeten alle andere auteurs daarmee instemmen. Het is dan ook erg handig om afspraken over zulke dingen (liefst vooraf) even vast te leggen.

Hier speelt echter nog een complicatie: het gaat over software die men op het werk gebruikt en waar de auteurs – mag je zo aannemen – dankzij het werk kennis over opgedaan hebben. Dat iljkt me dan toch echt wel degelijk een product van het werk, oftewel de werkgever heeft het auteursrecht op die handleiding. Zeker als deel van hun functie was het onderhouden van die software. Want het is een misverstand dat dat alleen geldt onder werktijd.

Die ene collega mag dus ook in die situatie niets met het werk, want het is niet zijn handleiding hoewel hij er aan meegeschreven heeft. Natuurlijk, kennis opgedaan tijdens het werk mag elders worden gebruikt, tenzij dat een geheimhoudingsbeding met de werkgever schendt. Maar de exwerknemer mag geen auteursrechten van de ex-werkgever of van collega’s schenden.

Wil je in je eigen tijd werken aan dingen die gerelateerd zijn aan je werk, maak daar dan afspraken over. Met je werkgever en met de collega’s die meedoen.

Arnoud

Mag ik een vals access point opzetten?

Geplaatst op in Security, 26 reacties

t-mobile-akkoor.pngOp Twitter kreeg ik de intrigerende vraag:

Is het illegaal om in de trein de wifi hotspot van m’n telefoon ’tmobile’ te noemen? En het verkeer te bekijken?

Op zich mag je natuurlijk je hotspot noemen wat je wilt, maar met specifiek die naam doe je alsof dit een hotspot is van het bedrijf T-Mobile. En dat is precies de hotspot die veel treinen tegenwoordig aanbieden.

Er is geen wetsartikel dat je specifiek verbiedt die naam te gebruiken (hoewel, het merkenrecht maar dat lijkt me nogal gezocht). Maar het gaat in het recht niet alleen om acties als zodanig, maar ook om de intenties. En vanwege de intentie hier (het meekijken met verkeer dat mensen op die hotspot gaan genereren) zou ik zeggen dat dit toch strafbaar is, en wel als poging tot aftappen van datacommunicatie.

Het opzettelijk en wederrechtelijk met een technisch hulpmiddel aftappen of opnemen van gegevens die voor iemand anders bedoeld zijn, is een strafbaar feit (art. 139c lid 1 Strafrecht). Zo’n telefoon/hotspot is een technisch hulpmiddel, en de gegevens die mensen daar overheen sturen zijn niet voor jou bedoeld. En de wederrechtelijkheid zit hem er hier dan in dat je het doet voorkomen dat je T-Mobile bent, de vertrouwde provider in de trein. Jezelf vals voordoen is eigenlijk altijd wel wederrechtelijk in zo’n context.

Het enkele áán hebben staan van die hotspot levert nog geen aftappen op, want er is dan nog geen data over je netwerk gegaan. Maar daarvoor kent het strafrecht de constructie van de “poging”: als je begonnen bent met een misdrijf te plegen maar dat misdrijf is nog niet daadwerkelijk gepleegd, dan is dat een strafbare poging tot plegen van dat misdrijf. Vereist is dat “het voornemen van de dader zich door een begin van uitvoering heeft geopenbaard”.

Alleen maar dit als gedachtenexperiment bespreken op Twitter is niet strafbaar, want dan heb je nog niets aan voorbereidende handelingen gedáán. Maar die hotspot daadwerkelijk activeren lijkt me wel een begin van uitvoering.

Interessant wordt het nog als die hotspot beveiligd is, met een raadbaar wachtwoord dat echter niet publiek is (en niet “t-mobile”) of zo. Want als mensen zelf gaan raden wat je wachtwoord is, plegen ze computervredebreuk op je netwerk. En het sniffen van verkeer van inbrekers lijkt me niet verboden. Of ben je in zo’n situatie mensen aan het uitlokken om in te breken bij jou?

Arnoud

Mag je iemands ware identiteit bekendmaken?

Geplaatst op in Privacy, Uitingsvrijheid, 26 reacties

anoniem-pseudoniem-nickname-bijnaam-naam.pngDoxing is de wat merkwaardige internetterm voor “iemands identiteit achterhalen”. Veel mensen op internet zijn anoniem, en het kan dan een sport zijn te achterhalen wie dit werkelijk is. En soms heeft dat vervelende gevolgen voor die persoon, variërend van rare brieven bij de buren of stapels pizza’s tot de buurt moeten ontvluchten.

Het is niet verboden om iemands ware identiteit achter een pseudoniem te onthullen. Dergelijke informatie publiceren valt onder de vrijheid van meningsuiting, ook als de pseudonymous het niet leuk vindt. Pas als er bijkomstige omstandigheden zijn die schade opleveren, zoals dat die persoon vervolgens gevaar loopt, zou je onrechtmatig kunnen handelen.

Het is verboden om iemands ware identiteit achter een pseudoniem te onthullen. Dergelijke informatie maakt deel uit van de persoonlijke levenssfeer, en daar beslist de betrokkene zelf over. Pas als er bijkomstige omstandigheden zijn die publicatie rechtvaardigen, zou de publicatie legaal kunnen zijn. Dergelijke omstandigheden zouden kunnen zijn dat de naam essentieel deel is van een nieuwsfeit.

Ja, ik spreek mezelf tegen hier. Maar dit is wat je altijd krijgt bij botsende grondrechten, in dit geval de uitingsvrijheid versus de privacy. Beiden werken met een “mag, tenzij beperking noodzakelijk” constructie en die kun je niet in één regel samenvatten. De juridisch-pragmatische oplossing is dan de argumenten voor en tegen op een rijtje te zetten en af te wegen, wat voor blogs als deze zeer onbevredigend is want ik heb een hekel aan “dat hangt er van af” maar dat is de enige algemene regel.

Maar Arnoud, in de media vermelden ze toch altijd de namen van verdachten met een initiaal, waarom is dat dan? Nou, dat is niet gebaseerd op een wet. Ooit namen de Nederlandse hoofdredacteuren een vrijwillig besluit om geen volledige namen meer te publiceren, puur zelfregulering dus. De Leidraad van de Raad voor de Journalistiek verbiedt dat journalisten gegevens over verdachten (én veroordeelden) publiceert waarmee deze “eenvoudig kunnen worden geïdentificeerd en getraceerd.” De Leidraad maakt uitzonderingen, onder meer wanneer de naam al algemeen bekend is, maar ook als de betrokkene zelf de openbaarheid zoekt.

Toevallig kwam dit onderwerp aan de orde in een kort geding over een vrouw die publiceerde over de prostitutie onder de schuilnaam Patricia Perquin. De Volkskrant had haar ware identiteit achterhaald en wilde dit in een krantenartikel publiceren, omdat ze wat opmerkelijke feiten had ontdekt. De vrouw spande een kort geding aan, dat ze won omdat de krant onvoldoende onderbouwing had. Maar in een vervolgartikel had men het nodige bewijs op tafel gekregen.

De krant had twaalf argumenten op tafel gelegd, waarvan de meesten de rechter overtuigend voorkomen. Het enige echte tegenargument was dat de publicatie tot bedreigingen en gevaar tegen de vrouw zou leiden. Maar daar zet de rechter zijn twijfels bij, vooral omdat ze al eerder zelf aan een radioprogramma had meegewerkt zonder te eisen dat haar stem werd vervormd. Als je dat doet dan neem je al een risico, dus kennelijk viel het wel mee met dat gevaar. Ook speelde mee dat ze zelf de publiciteit had gezocht – iemand uit de anonimiteit trekken is ernstiger dan een populaire anonymous ontmaskeren.

Ook werd de Wbp weer eens in stelling gebracht tegen de persvrijheid, maar ook dat mocht niet baten. De rechter bepaalt allereerst dat er geen sprake is van een geautomatiseerde verwerking, en ziet vervolgens de persexceptie en houdt dan op met lezen. Jammer, eigenlijk had hier toch echt een expliciete afweging van de “dringende noodzaak” moeten plaatsvinden.

Stelling: het is onmogelijk op internet te publiceren zonder traceerbaar te zijn.

Arnoud

Wanneer is een reservering nu juridisch bindend?

Geplaatst op in Informatiemaatschappij, 143 reacties

reserved-gereserveerd-claimMet enige regelmaat krijg ik vragen van mensen die een reservering of aanvraag hebben ingediend, er vanaf willen zien en dan te horen krijgen dat ze er toch echt juridisch bindend aan vast zitten en dat annuleren niet mag. Of dat er annuleringskosten van 300 euro in rekening worden gebracht.

De term ‘reservering’ wordt meestal gebruikt om aan te geven dat je een tijdelijke, vrijblijvende aanspraak wil maken op een of ander. Houd dat product even vast, ik kom zo terug en dan beslis ik definitief. Maar dat is niet altijd zo. Een reservering kan óók de term zijn voor een bindende overeenkomst waarbij een plek voor jou vrijgehouden moet worden, met name bij reizen en overnachtingen.

Het hangt dus een beetje van de branche af, en ook van de manier van presenteren, of een reservering bindend is. De algemene voorwaarden kunnen daarbij de doorslag geven, maar de enkele zin “Uw reservering is bindend” in de AV is niet genoeg. Als de reservering op de site nog geen contractsluiting is, dan kunnen algemene voorwaarden daar geen verandering in brengen. Net zoals in het omgekeerde geval van ee bestelling die slechts een aanvraag zou zijn.

Zit je eraan vast, dan zit je eraan vast. Op grond van de Wet koop op afstand zijn veel internettransacties te annuleren. Echter, deze wet kent een uitzondering voor vervoer en verblijf, en trouwens ook voor tickets voor concerten en dergelijke. Bestel je dus een vliegticket of boek je een hotel via internet, dan kun je via deze regeling dus niet opzeggen of annuleren. En juist in die branches is de term “reservering” verwarringwekkend genoeg veel in gebruik voor zowel een vrijblijvende tijdelijke claim als een definitieve toezegging dat je gaat.

Waar zouden jullie op letten als je je afvroeg of iets een vrijblijvende dan wel definitieve reservering is?

Arnoud

Je personeel bespioneren met camera’s, wanneer mag dat?

Geplaatst op in Ondernemingsvrijheid, Security, 24 reacties

media-markt-cameratoezicht-foto-mania-posterMedia Markt heeft in vijf vestigingen in Nederland personeelsleden met geheime camera’s gefilmd, las ik bij z24. Een ‘mystery shopper’ met verborgen camera filmde zijn interactie met het personeel, en achteraf werden werknemers hiermee geconfronteerd. In het artikel verdedigt de Media Markt zich met het argument dat men de beelden alleen voor “interne trainingsdoeleinden” zou inzetten, wat net zoiets is als een verbeterde gebruikservaring of zorgvuldig geselecteerde derden: klinkt goed, het zegt alleen niets. Wanneer mag je nu je personeel filmen?

Er zijn twee wetten die een rol spelen bij cameratoezicht: de strafwet en de Wet bescherming persoonsgegevens. Die laatste speelt een rol zodra je beelden opslaat op een manier dat je er eenvoudig in kunt zoeken, meestal bij digitale opslag omdat er dan timecodes en zo aan vast zitten. Als je alleen live meekijkt (een deurbelcamera bijvoorbeeld) is er geen sprake van een verwerking. En ja, camerabeelden zijn persoonsgegevens want je kunt er kenmerken van mensen op zien. Bijzondere persoonsgegevens zelfs.

Met de strafwet zijn we snel klaar. Een aangebrachte camera die de openbare ruimte filmt, mag mits er duidelijk voor is gewaarschuwd. Een camera die een besloten ruimte filmt, vereist een waarschuwing én een belangenafweging. Ook bij niet-aangebrachte camera’s, dus ja als je op een verjaardag met de handycam gaat zwaaien dan moet je dat even aankondigen.

Volgens het College Bescherming Persoonsgegevens (Cbp) mag een personeelslid alleen worden gefilmd als er een vermoeden is van fraude of diefstal, staat er in het artikel. Dat is nou ook weer wat streng geformuleerd. De nieuwslezers van RTL worden echt niet gefilmd omdat ze verdacht worden van fraude. Wél is het zo dat als je het niet vooraf bekend maakt, je dit moet melden bij het Cbp en die kunnen dan een voorafgaand onderzoek starten om te bepalen of het door de beugel kan.

Hoofdregel bij de Wet bescherming persoonsgegevens is dat je toestemming nodig hebt om iemands persoonsgegevens te verwerken. Dat geldt dus ook voor cameratoezicht. Maar in de meeste gevallen wordt op het werk zonder toestemming gefilmd. Je valt dan terug op de “eigen dringende noodzaak die zwaarder weegt dan de privacy” zoals dat heet. Een belangenafweging. En wat het Cbp hiermee zegt, is dat die afweging eigenlijk altijd neerkomt op dat het niet mag, tenzij bij zo’n vermoeden van fraude of diefstal.

Filmen voor trainingsdoeleinden of evaluatie van iemands performance lijkt me op zich geen probleem, mits het vooraf gemeld is. En hoe heimelijker het gefilm, hoe meer je daarbij zult moeten uitleggen vooraf. De camera-opstelling bij de interne training lijkt me geen probleem, maar zo’n mystery shopper voelt wel iets ernstiger. Hoewel je natuurlijk bij die melding niet hoeft te zeggen “de persoon met de camera is 1.80 lang en heeft rood haar” of zo. Zeggen dát er gemystershopt met camera wordt, zou al genoeg moeten zijn.

Wel denk ik dat de beelden in principe alleen aan de medewerker zelf (en zijn manager en HR) vertoond mogen worden. Ze vertonen in de bioscoop waar al het personeel verplicht moest opdraven, gaat me iets te ver. Dat leidt al snel tot voor gek staan. En ik denk dat dáár dan ook de ophef vandaan komt. Als de mysteryshopper alleen had gefilmd bij wijze van ondersteunend bewijs, en ze waren alleen vertoond als de medewerker de gang van zaken zou betwisten, dan zie ik het probleem niet.

Arnoud

UPC introduceert fair use policy, is dat niet oneerlijk?

Geplaatst op in Informatiemaatschappij, 35 reacties

UPC hanteert vanaf deze week een fair use policy, meldde Tweakers gisteren. Klanten die meer dan vijf keer dan het gemiddelde verbruiken, kunnen een boete krijgen. Nu heb ik zelden zo’n vage FUP gelezen, dus dat roept de vraag op: mogen ze dat eigenlijk wel?

Eerst even een verplichte mededeling van de afdeing Communicatie: “Een Fair Use Policy (FUP) is geen datalimiet. UPC heeft geen datalimiet op haar internetabonnementen.” Want iemands abonnement (tijdelijk) wijzigen naar een lagere snelheid als hij een FUP overtreedt, is héél wat anders dan iemand afknijpen als hij een datalimiet bereikt. Dat u het even weet.

Het juridische probleem met fair use policies is dat ze (per definitie) onduidelijk zijn: wat is fair immers. En hoewel het recht altijd een stukje onduidelijkheid in zich heeft, loop je hier dan tegen het punt aan dat een fair use policy een oneerlijke handelspraktijk kan zijn. Hoe veel je mag up- en downloaden is immers nogal essentieel, en het weglaten of slechts vaag presenteren van essentiële informatie mag niet. In het bijzonder noemt de wet als essentieel:

b. de voornaamste kenmerken van het product, zoals beschikbaarheid, voordelen, risico’s, uitvoering, samenstelling, accessoires, klantenservice en klachtenbehandeling, procédé en datum van fabricage of verrichting, levering, geschiktheid voor het gebruik, gebruiksmogelijkheden, hoeveelheid, specificatie, geografische of commerciële oorsprong, van het gebruik te verwachten resultaten, of de resultaten en wezenlijke kenmerken van op het product verrichte tests of controles;
d. de prijs of de wijze waarop de prijs wordt berekend, of het bestaan van een specifiek prijsvoordeel;

Beiden lijken me zeer relevant voor een FUP. De uitvoering en levering van de dienst worden er direct door beïnvloed (afknijpen) en ook de prijs verandert (je gaat naar een duurder abonnement). Bovendien wéét je niet wanneer je een FUP overtreedt. Wanneer haal ik “meer dan vijf keer de gemiddelde gebruikte datahoeveelheid van alle abonnees met hetzelfde type abonnement”? Hoe weet ik dat? Nou ja, niet – want UPC meldt doodleuk dat ze me dat níet gaan vertellen:

Het is niet mogelijk om via UPC te controleren wat uw datagebruik is. Er zijn wel gratis verbruiksmeters te downloaden op het internet. UPC bepaalt of uw gebruik overmatig is.

Eh. Dus UPC bepaalt en ik heb dat maar te slikken?

Een schending van netneutraliteit is het niet; immers het afknijpen of extra belasten gebeurt objectief, zonder te kijken naar het soort verkeer. Wel is het mogelijk in strijd met het opzegverbod: samen met netneutraliteit staat er namelijk ook in de Telecommunicatiewet onder welke voorwaarden een IAP je contract mag opzeggen:

Een aanbieder van een internettoegangsdienst aan een eindgebruiker kan de levering van deze dienst slechts geheel of gedeeltelijk beëindigen of opschorten:
a. op verzoek van de abonnee;
b. bij een tekortkoming in de nakoming van de betalingsverplichting door de abonnee of faillissement van de abonnee;
c. bij bedrog in de zin van artikel 3:44 van het Burgerlijk Wetboek door de abonnee;
d. wanneer de looptijd van de overeenkomst van bepaalde duur tot levering van de internettoegangsdienst afloopt en de overeenkomst met instemming van de abonnee niet wordt verlengd of vernieuwd;
e. ter uitvoering van een wettelijk voorschrift of rechterlijk bevel; en
f. bij overmacht en onvoorziene omstandigheden in de zin van artikel 6:258 van het Burgerlijk Wetboek.

Goed, je kunt discussiëren of “gedeeltelijk opschorten” hetzelfde is als “afknijpen” maar ik zie “excessief gebruik door de abonnee” niet als grond hier genoemd. En nee, UPC komt er ook niet met “maar het staat in de algemene voorwaarden” want óók “overtreding van de algemene voorwaarden” staat niet in dit artikel. (En nee, UPC of een collega-IAP mag je dus óók niet afsluiten wegens abuse want abuse staat er óók niet.)

Natuurlijk mag je je contract opzeggen wanneer UPC dit doorvoert. Dat recht heb je bij iedere nadelige contractswijziging, en introductie van een FUP is nadelig. Maar dat is een nogal waardeloos recht: meestal heb je weinig keus qua televisie- en internetproviders. Ik zou dus liever hebben dat de OPTA, pardon Autoriteit Consument en Markt, dit gewoon verbiedt.

Arnoud

“Komt u maar terug met een gerechtelijk bevel”

Geplaatst op in Ondernemingsvrijheid, 34 reacties

bevel-crimesite.pngHet klinkt ontzettend stoer: “In verband met de privacy/vrije meningsuiting van onze klant/onze positie als neutrale tussenpersoon geven wij geen gehoor aan uw verzoek tot weghalen/afgifte NAW gegevens. U dient een gerechtelijk bevel te overleggen.” Maar juridisch houdbaar is het niet. Ook private partijen kunnen gegevens opeisen of dingen laten weghalen zonder dat een rechter zich daar vooraf over heeft gebogen.

Het standpunt “geen persoonsgegevens zonder gerechtelijk bevel” is over komen waaien uit de VS. Daar speelt internetrecht als vakgebied al wat langer dan hier, en veel van onze vroege algemene voorwaarden en FAQs zijn dan ook simpelweg vertaalde Amerikaanse documenten. De “subpoena” en “court order” die men daar eist, zijn volgens het woordenboek bij ons “gerechtelijk bevel” dus dat zal dan ook wel bij ons de eis zijn, toch?

In Nederland werkt het echter anders. Je bent aansprakelijk als je zaken niet weghaalt terwijl het onmiskenbaar is dat deze tegen de wet zijn. En de Hoge Raad bepaalde in het Lycos/Pessers-arrest dat ook het weigeren NAW-gegevens te geven onrechtmatig is, als voldoende duidelijk is dat deze behoren wél te worden afgegeven. Hier komt geen voorafgaande gerechtelijke toets bij kijken: dat is immers nooit het geval bij onrechtmatig handelen. Wie onrechtmatig handelt, moet de schade vergoeden – en niet pas vanaf het moment dat de rechter bevestigt dat de handeling onrechtmatig was.

Natuurlijk, in twijfelgevallen kun je zeggen: we laten de rechter bepalen óf het onrechtmatig is. Maar formeel is dat een achterafvaststelling, en dat betekent dat de schade die in de tussentijd geleden is door het bericht te laten staan, gewoon vergoed moet worden.

Maar weinig mensen willen aan de uitspraak in Lycos/Pessers. Met name de grote internetproviders weigeren in mijn ervaring categorisch ieder verzoek om afgifte op basis van een klacht, en verwijzen naar de rechter. Mogelijk dat deze houding ingegeven wordt door bureaucratie of onwetendheid bij de klachtendesk (never attribute to malice what can be attributed to incompetence). Ook denkbaar is dat men erop gokt dat de klager tóch niet gaat procederen. Een gok die in 90% van de gevallen juist is, want wie de rechtspraak erop naslaat komt afgezien van de onvermijdelijke stichting Brein slechts een handjevol eisers tegen.

Dat een dergelijke houding daadwerkelijk gevolgen kan hebben voor de provider, blijkt uit de XSnetworks-zaak. In deze zaak had stichting Brein NAW-gegevens geëist van een hostingprovider, maar niet alles gekregen dat de provider tot haar beschikking had. De rechtbank vond dat XSnetworks daarmee onrechtmatig had gehandeld en veroordeelde haar tot betaling van de schade die Brein had geleden, op te maken bij staat. Pijnlijk dus voor providers die menen een gerechtelijk bevel te kunnen verlangen.

En nee, ook deze blog gaat geen bal veranderen aan die opvattingen. Maar je moet toch wát.

Arnoud

Moet mijn contactformulier SSL-beveiligd zijn?

Geplaatst op in Privacy, Security, 28 reacties

https-secure-secuur-netwerkEen lezer vroeg me:

Op mijn site wil ik een contactformulier toevoegen. Nu las ik dat je dan verplicht een SSL-verbinding (https) toe te passen, dat is nogal een dure grap voor mij. En toen zag ik dat jij op je blog geen SSL-verbinding hanteert, niet bij je contactformulier en niet bij het plaatsen van reacties. Dus mag ik dan concluderen dat het niet hoeft?

Met een contactformulier sturen mensen persoonsgegevens in. De wet eist dat je die persoonsgegevens ‘adequaat’ beveiligt tegen misbruik en ongeautoriseerde toegang. Een SSL-beveiliging is de meest voor de hand liggende en simpelste manier om dit te doen, vandaar dat vrijwel iedereen dat middel toepast bij bestel- en contactformulieren.

De wet zegt echter nergens létterlijk dat SSL-beveiliging verplicht is. Sterker nog de wet bepaalt eigenlijk nergens überhaupt letterlijk welke maatregelen genomen moeten worden. Je moet als beheerder/exploitant van een site zelf bepalen welke maatregelen gepast zijn gezien de aard van de informatie en het mogelijk misbruik daarvan.

Bij een bestelformulier op een website stuur je allerlei gegevens op waarmee je een juridisch bindende bestelling plaatst, vaak inclusief betaalgegevens (creditcardnummer). Die kunnen worden gesnift en hergebruikt, en dat is wel ernstig genoeg om beveiliging bij het verzenden te vereisen.

Maar bij een blogcommentaarformulier? Oké stel iemand zit in hetzelfde internetcafé als jij, monitort het draadloze netwerk en onderschept je naam en reactie. En dan? Dan kan hij ook reageren op mijn blog. En de reactie te weten komen, drie seconden voordat deze online gaat voor de hele wereld. Nou en?

Het enige stukje echt vertrouwelijke informatie is het e-mailadres, dat ik als beheerder wel zie maar de andere reageerders niet. Tsja. Is de kans op misbruik van dat e-mailadres groot genoeg om een SSL verbinding op dat formulier te rechtvaardigen?

Arnoud

Mag Spamhaus eigenlijk wel een spammerszwartelijst publiceren?

Geplaatst op in Privacy, Security, 78 reacties

De grootste DDoS-aanval uit de geschiedenis, heet het met enige retoriek. Zelfbenoemd spambestrijder Spamhaus was vijf dagen onbereikbaar door een gigantische hoeveelheid dataverkeer. De reden heeft te maken met het feit dat Spamhaus de hosters Cyberbunker en CB3ROB als spammer of spammersvriend had aangemerkt. Dit omdat deze geen maatregelen nemen als Spamhaus vindt dat hun klanten spammen.

Tegenover webwereld zegt Sven Kamphuis van CB3ROB:

Ze denken dat ze de baas op internet, maar wíj zijn de baas. Op deze manier willen wij hun dubieuze rol in het daglicht zetten. Het is een slecht idee om censuur uit te besteden aan een vaag clubje dat aan niemand verantwoording aflegt.

Hetgeen de vraag oproept: mág Spamhaus inderdaad zomaar roepen “partij X is een spammer” volgens zelfbedachte criteria?

Nou ja, op zich natuurlijk wel. Vrijheid van meningsuiting en zo. Alleen, Spamhaus is niet zomaar een pipo met een blog die een mening produceert (zoals ik) maar een invloedrijke organisatie wiens meningsuiting directe gevolgen heeft. Als ik zeg “X is een spammer” dan gebeurt er verder weinig, als Spamhaus dat zegt (middels toevoeging aan hun blacklist) dan kan X ineens niet meer mailen.

Natuurlijk, daar zit geen spatje dwang achter: een heleboel providers luisteren op vrijwillige basis naar Spamhaus en hebben ooit bedacht dat zij volautomatisch de partijen gaan blokkeren die de spambestrijder aanwijst. Dat is hun keuze, en niet die van Spamhaus – niemand hóeft hun blacklist te hanteren, toch?

In 2000 wilde de Vereniging tegen de Kwakzalverij “een zo objectief mogelijke lijst presenteren van de kwakzalvers die [in de 20e eeuw] de hoofdrol vertolkten”. Een orthomanueel genezer maakte bezwaar tegen vermelding in de lijst, omdat hij naar eigen zeggen absoluut geen kwakzalver was. De Hoge Raad oordeelde dat de lijst legitiem was als vrije meningsuiting, met name omdat de Vereniging een eigen duidelijke definitie had geschreven waar de genezer aan voldeed. Dat andere media de lijst overnamen zonder die genuanceerde definitie erbij, kon niet voor rekening van de Vereniging komen.

Daarbij is in aanmerking te nemen dat de Vereniging c.s. blijkens de vaststellingen van het hof het grote publiek willen waarschuwen voor wat zij als kwakzalverij beschouwen, en dat zij zelf door de inhoud en context van hun publicaties geen onduidelijkheid laten bestaan over wat zij daarmee bedoelen.

In 2012 vorderde een chiropractor bij de Amsterdamse rechter dat het de Reclame Code Commissie verboden zou worden een uitspraak te doen over zijn reclame. De rechtbank bepaalde echter dat ook de RCC gewoon vrijheid van meningsuiting heeft en dus mag zeggen wat zij vindt van de praktijken van de man.

De omstandigheid dat de uitspraken van de Commissie als gezaghebbend worden ervaren en dat haar aanbevelingen op grote schaal worden nageleefd, hetgeen de SRC onbetwist heeft aangevoerd, geeft er slechts blijk van dat de SRC een in de reclamewereld bestaande behoefte aan een systeem van toezicht op de wijze waarop reclame wordt gemaakt bevredigt en is een teken dat de SRC in de verwezenlijking van haar statutaire doelstellingen succesvol is gebleken.

In beide zaken schemert wel door dat het belangrijk is dat je duidelijke maatstaven hanteert over wanneer iemand een kwakzalver, oneerlijke-reclameman of spammer is. Ook moet je daar op een eerlijke manier aan toetsen.

En hoe gezaghebbender je bent, hoe zorgvuldiger je moet zijn. Sta je bekend als objectieve beoordelaar, dan moet je zorgen dat je dat blijft. Dat zagen we bij een rechtszaak tegen de Consumentenbond:

Gegeven de invloed die aan zijn oordelen wordt gehecht, dient de informatieverstrekking en advisering [van de Consumentenbond] deskundig, objectief en duidelijk te zijn. Gezien de reputatie van de Consumentenbonden de impact van door hem ingenomen standpunten, dient de wijze waarop de Consumentenbond met die standpunten naar buiten treedt te voldoen aan hoge eisen van zorgvuldigheid, duidelijkheid en neutraliteit.

Alles bij elkaar zie ik dan ook voor Spamhaus geen probleem om te publiceren wie zij spammer acht, mits ze daar duidelijke criteria voor hanteert en objectief handelt. De criteria zijn er, en er is een snelle procedure voor verwijdering als je meent dat je onterecht opgenomen bent. Dat lijkt me dus in theorie prima in orde.

Wel bekruipt me het gevoel dat veel providers érg makkelijk lijsten als Spamhaus volgen. En dat is toch wel opmerkelijk. Niemand koopt blindelings op basis van wat de Consumentenbond zegt, en uitspraken van de Reclame Code Commissie leiden ook niet tot volautomatische advertentieblokkades bij de (vrijwillig) aangesloten uitgeverijen. Waarom doen we dat bij e-mailspam eigenlijk wel?

Arnoud