Auteur: Arnoud Engelfriet

About Arnoud Engelfriet

Website::Subscribe Feeds

Ik mag mijn eigen foto’s niet publiceren?!

Geplaatst op in Intellectuele rechten, 111 reacties

Een boze lezer vroeg me:

Onlangs heb ik een fotograaf ingehuurd om een setje mooie foto’s van mij en mijn gezin te maken. Die zette ik vervolgens trots op de familieweblog, maar wie schetst mijn verbazing toen ik daarna vrolijk een factuur van 200 euro wegens “ongeautoriseerd hergebruik” kreeg van die fotograaf! Ik heb de fotografenfederatie gebeld en die zeggen dat ik blij mag zijn met “maar” 200 euro, omdat hij in zijn recht zou hebben gestaan om nog veel meer te vragen! Dit kan toch niet waar zijn?!

Ik ben bang van wel. Het grootste misverstand bij fotoauteursrechten is dat je als opdrachtgever alles mag doen met de foto’s die in jouw opdracht zijn gemaakt. Dat is niet zo. De fotograaf heeft alle rechten, en jij hebt alleen die rechten die je in de offerte of apart zijn toegekend. Je mag er niet vanuit gaan dat enkel omdat je de fotograaf betaalt, je alles mag doen met de foto.

Dit is met alle auteursrechtopdrachten zo, denk aan de discussie enige tijd terug over eigendom van websites. Maar het wringt wel bij niet-professionele opdrachtgevers, die staan hier zelden bij stil – en weinig fotografen die dit vooraf uitleggen. (In mijn cynische buien denk ik dan, ja, omdat ze zo achteraf lekker kunnen cashen met extra factuurtjes.)

Speciaal voor portretfoto’s in opdracht zit er ietsiepietsie meer ruimte. De Auteurswet bepaalt namelijk dat de geportretteerde het recht heeft (artikel 19 lid 1) om kopietjes (verveelvoudigingen) te maken van zijn portret. De foto scannen en uitprinten voor bij dochterlief aan de muur is dus toegestaan. Maar publicatie valt niet onder dit speciale recht.

Voor publicatie (openbaarmaking) is er de uitzondering van lid 3 nog:

Ten aanzien van een fotografisch portret wordt mede niet als inbreuk op het auteursrecht beschouwd het openbaar maken daarvan in een nieuwsblad of tijdschrift door of met toestemming van een der personen, in het eerste lid genoemd, mits daarbij de naam des makers, voor zoover deze op of bij het portret is aangeduid, vermeld wordt.

Hier wordt dus héél specifiek toegestaan om een foto-portret (niet een schilderij of tekening) te publiceren in een “nieuwsblad of tijdschrift”. Ik kan nergens ontdekken of ook een website eronder zou vallen. Dat zou wel moeten m.i., ik zie het verschil niet tussen een nieuwsblad/tijdschrift en een weblog of Facebookpagina. Maar dit artikel is ouder dan het internet(tm) en er lijkt nooit over te zijn geprocedeerd vanuit de internetcontext.

Ook kun je je wellicht beroepen op artikel 12 lid 4: verspreiding binnen de familiekring is geen openbaarmaking. Je zou een afgeschermd Facebookprofiel of een weblog achter wachtwoord wellicht hieronder kunnen rekenen, maar ik zou zeggen dat zodra de fotograaf met TinEye de foto kan vinden het niet meer de familiekring is.

Het beste is dus om vóóraf met de fotograaf af te spreken wat je mag doen met de foto, en dat ook nog eens expliciet vast te leggen.

Arnoud

Nokia ontsleutelt SSL-verkeer van gebruikers

Geplaatst op in Security, 32 reacties

nokia-xpress-browserDe Nokia Xpress browser voor Asha en Lumia-toestellen heeft een proxy-server die vertrouwelijk HTTPS-verkeer middels een eigen certificaat ontsleutelt, zonder dat gebruikers zijn geïnformeerd. Dat schreef Webwereld vrijdag. Met die proxserver versnellen ze het verkeer naar mobiele apparaten, wat op zich handig is, maar dat bij versleuteld verkeer doen is opmerkelijk: alsof de taxichauffeur je koffers even opnieuw inpakt zodat het beter past in de achterbak. Maar is het verboden?

Het doel van de Nokia-proxy is dataverkeer versnellen. Dat doen er wel meer (Opera is er groot mee geworden) maar opmerkelijk bij Nokia is dat ze het ook doen voor beveiligd verkeer. Dat is bepaald niet de bedoeling, want beveiligd (SSL) verkeer is nu juist bedoeld om niet onderschept te kunnen worden. Maar ja, als je de browser controleert dan kun je zo ongeveer alles. Heel kort gezegd komt het erop neer dat Nokia’s proxy zich voordoet als je browser naar de site (van bv. je bank) toe, en naar jou toe zich voordoet als de bank. Daardoor denkt de browser (met dank aan een speciaal Nokiacertificaat) dat alles in orde is, en meent de bank gewoon met jou te communiceren. In securitytermen heet dit een “man in the middle attack”.

Is zo’n aanval strafbaar als je het als browserbakker doet? Ik zou geen wetsartikel weten eigenlijk. We hadden in 2011 een ietwat vergelijkbare discussie in de KPN DPI-affaire, waarbij het telecombedrijf met deep packet inspection-achtige technieken het verkeer van gebruikers analyseerde om onder meer te zien of men WhatsApp gebruikte. Dit leidde tot de netneutraliteitswet want dit moest toch écht niet kunnen.

Diverse partijen, waaronder ikzelf, hadden toen geroepen dat KPN de strafwet overtrad. Artikel 139c lid 1 Strafrecht verbiedt namelijk

opzettelijk en wederrechtelijk met een technisch hulpmiddel gegevens aftappen of opnemen die niet voor hem bestemd zijn en die worden verwerkt of overgedragen door middel van telecommunicatie of door middel van een geautomatiseerd werk.

Dit artikel gaat nadrukkelijk niet alleen om het afluisteren van inhoud maar ook om analyses van de gegevensoverdracht zelf. Daarmee leek me óók DPI een strafbare zaak. Mar

Bovendien is er lid 2 van dit artikel, dat bepaalt:

[Het verbod] is niet van toepassing op het aftappen of opnemen … ten behoeve van de goede werking van een openbaar telecommunicatienetwerk.

en zeker in de Nokia-situatie zie ik dit wel van toepassing zijn. Het enige doel (nemen we dan maar aan) is het netwerkverkeer versnellen, en dat valt toch wel onder “goede werking”. Een verwerking van persoonsgegevens lijkt het me ook niet echt, en voor zover het dat al zou zijn dan valt dit onder “uitvoering van de overeenkomst”. Wel behoort Nokia dan te melden dat ze dit doen, en het is opmerkelijk dat ze dit nergens documenteren. Maar juridisch gezien heet dat “een slordigheidje”, meer niet.

Ondertussen is Nokia zo geschrokken van de ophef dat ze nu gewoon geen SSL-verbindingen meer opzetten. De data wordt nog wel veilig opgehaald bij de beveiligde site, maar vanaf de Nokia-proxy onversleuteld doorgegeven. Eh. Dat is nou juist mínder handig. Update (15/1): Hoewel? Ze tunnelen https verkeer over deze onversleutelde verbinding. Zo komt het verkeer toch veilig aan.

Arnoud

Wie klikt er op mijn knopjes?

Geplaatst op in Informatiemaatschappij, 42 reacties

ie-aagree-ezel“Dan moet je nu op ie aag-ree klikken”. Met die woorden legde het zoontje van een bevriende jurist ooit een vriendje uit hoe hij zich kon registreren bij een spelletje. Gelukkig was vader er nog net op tijd bij om deze rechtshandeling te verhinderen, maar de vraag “wat gebeurt er nu juridisch bij zo’n klik” bleef wel hangen. Wat te denken van een IT-er die onderhoud pleegt bij een klant en dan bij een gedownloade update op “ie aag-ree” moet klikken?

Met een druk op de knop “Ik ga akkoord” wordt een overeenkomst gesloten. Daarvoor is immers niet meer nodig dan dat iemand een aanbod doet (u mag dit, tegen deze voorwaarden) en een ander aangeeft daarmee akkoord te zijn. En klikken op een knop die zégt “Ik ga akkoord” lijkt mij een evidente manier om een akkoord aan te geven.

De vraag is dan, wíe heeft die overeenkomst gesloten. In principe is dat de persoon die klikt, maar afhankelijk van de situatie kan dat anders zijn. Een werknemer gaat bijvoorbeeld eigenlijk nooit in eigen naam akkoord met zulke licenties, als de software iets met het werk te maken heeft. Hij handelt dan namens de werkgever. Voor een ingehuurde IT-er geldt hetzelfde: als deel van de opdracht (redelijkerwijs) is dat hij die software moet installeren voor de klant, dan gaat hij dus namens de klant akkoord met die voorwaarden.

Natuurlijk kan een werkgever of opdrachtgever altijd achteraf zeggen dat hij dat niet gewild heeft, maar zo makkelijk komt hij er naar de leverancier niet onderuit. Als de ‘achterman’ (degene die nu ineens aan de licentie vastzit) de indruk heeft gewekt dat de werknemer/opdrachtnemer de licentie mócht sluiten in zijn naam, dan zit hij eraan vast. Ook als dat volgens de interne regels niet mocht. Verder is een werknemer eigenlijk nooit aansprakelijk voor wat hij doet, dus als werkgever gaan roepen dat je niet gebonden bent aan die licentie is onverstandig, want je erkent auteursrechten te schenden en je kunt de schadeclaim van de leverancier nergens op verhalen.

Freelance IT-ers die bang zijn toch claims te krijgen, kunnen iets als dit in hun algemene voorwaarden (je hébt toch algemene voorwaarden?) opnemen:

Leverancier is gerechtigd alle redelijkerwijs benodigde licenties af te sluiten uit naam van Opdrachtgever. Wanneer de voorwaarden gebruikelijk zijn en/of niet onderhandelbaar, zal Opdrachtgever hiertegen geen bezwaar maken.

Bij een kind ligt het iets lastiger, die installeert meestal niet namens zijn ouders die software maar wil dat zelf. Dat ligt juridisch lastig, want een kind kan niet zomaar zelfstandig rechtshandelingen (zoals akkoord gaan) verrichten. De ouders kunnen dat tegenhouden, tenzij het “gebruikelijk” is dat iemand van die leeftijd zulke rechtshandelingen verricht. Dus dan zou de vraag zijn, hoe normaal is het voor leeftijdsgenoten van dat zoontje om op “ie aag-ree” te klikken bij dat soort EULA’s?

Arnoud

De legaliteit van het Lichtbildausweis

Geplaatst op in Security, 21 reacties

lichtbildausweisEen lezer vroeg me:

Vorig jaar ontstond enige opschudding toen bleek dat Brenno de Winter met een Lichtbildausweis overal binnenkwam. Nu wil ik er ook eentje bestellen, maar is het strafbaar om zo’n nepbewijs te gebruiken?

Er is geen wetsartikel dat in het algemeen het hebben of tonen van een stuk gelamineerd plastic met je foto erop verbiedt. Een Lichtbildausweis (de term betekent gewoon ‘foto-identiteitsbewijs’) is dus op zich legaal om te maken en te hebben, en te showen als je daar zin in hebt. Er moeten aanvullende omstandigheden zijn rond het gebruik die het strafbaar kunnen maken.

Het meest algemene wetsartikel dat in de buurt komt, is valsheid in geschrifte (art. 225 Sr):

een geschrift dat bestemd is om tot bewijs van enig feit te dienen, valselijk opmaakt of vervalst, met het oogmerk om het als echt en onvervalst te gebruiken of door anderen te doen gebruiken

Maar zolang alle gegevens echt zijn, zie ik niet hoe je dit wetsartikel kunt overtreden omdat het geschrift gelamineerd is en “Lichtbildausweis” vermeldt. Zou je er een functie of bevoegdheid op vermelden die je niet hebt (denk aan een nep-bankmedewerkerskaart) dan schend je wél dit artikel. Staat er iets vals op (bv. een nepadres) en gebruik je het om spullen te bestellen, dan is dat een vorm van oplichting wanneer je daarmee hoopt niet te hoeven betalen.

Als de kaart bestemd is voor het doen van betalen of toegang krijgen tot een dienst, dan valt dat onder “vervalsen van betaalkaarten” (art. art. 232 Sr). Denk aan een nep-toegangspas voor een pretpark of een zelfgemaakte kortingskaart waarmee je de cassière probeert te verleiden tot een prijsverlaging. Dit zou ook oplichting zijn trouwens.

Specifiek voor identiteitskaarten relevant is art. art. 231 Sr:

een reisdocument valselijk opmaakt of vervalst, of een zodanig stuk op grond van valse gegevens doet verstrekken

In beide situaties gaat het om “valselijk opmaken of vervalsen”, wat in principe betekent namaken of van valse gegevens voorzien. Een rijbewijs valselijk voorzien van een andere categorie rijvaardigheid is dus strafbaar onder deze twee artikelen. Ook een identiteitsbewijs valt overigens hieronder. Maar een zelfverzonnen categorie kaarten die je identiteit vermelden, valt niet onder een “reisdocument” want daarmee wordt verwezen naar officiële documenten.

Spannend wordt het wanneer het ausweis toch enigszins lijkt op een echt legitimatiebewijs, want daarvoor is artikel 440 Strafrecht bedacht:

Hij die drukwerken of andere voorwerpen in een vorm die ze op munt- of bankbiljetten, (..) of op reisdocumenten doet gelijken

Van gelijken is sprake als het moeilijk van een reisdocument van een bepaald land is te onderscheiden, zo blijkt uit de parlementaire geschiedenis. Hetzelfde geldt voor geld, overigens. Dit is dan ook de voornaamste reden waarom bij het afbeelden van bankbiljetten de kleur vaak wordt aangepast. Je zult dus een duidelijk afwijkend ontwerp moeten maken, en dan nog zou een creatieve officier van justitie kunnen betogen dat het woord “Ausweis” en het feit dat er een naam + foto op staat, hem al doet “gelijken” op een identiteitskaart. Maar daar zou ik tegenover stellen dat dan monopoliegeld óók strafbaar zou zijn.

Mogelijk krijg je ook een probleem als een agent je sommeert je te legitimeren onder de Wet op de identificatieplicht:

Een ieder die de leeftijd van veertien jaar heeft bereikt, is verplicht op de eerste vordering van een ambtenaar als bedoeld in artikel 8a van de Politiewet 1993, een identiteitsbewijs als bedoeld in artikel 1 ter inzage aan te bieden. Deze verplichting geldt ook indien de vordering wordt gedaan door een toezichthouder.

Het lichtbildausweis staat niet in dat artikel 1. Laat je dat ding zien, dan heb je niet voldaan aan een ambtelijk gegeven bevel, en dat is strafbaar. Het komt me wel érg flauw over als een agent in eerste instantie de kaart accepteert, en nadat hij is uitgelachen door z’n collega’s je alsnog gaat vervolgen onder dit artikel.

Bij private organisaties is er geen wettelijke plicht om je te identificeren, afgezien van de werkgever en enkele speciale gevallen. Wil men toch een legitimatie zien (wat ik laatst moest toen ik een aankoop retour wilde geven, eh wat) dan is het niet verboden om daar je lichtbildausweis te gebruiken. In het ergste geval levert dat contractuele wanprestatie op, namelijk wanneer in de algemene voorwaarden staat dat een wettelijk erkend legitimatiebewijs gebruikt moet worden.

Iets anders kan ik zo niet bedenken. Jullie wel? In welke situaties zou het vervelend/lastig/ongewenst zijn als mensen een nepkaartje laten zien waar wél gewoon hun eigen gegevens op staan, zonder valse pretenties over bevoegdheden of rechten?

Arnoud

Een tweet in de krant, mag dat?

Geplaatst op in Intellectuele rechten, Uitingsvrijheid, 21 reacties

twitterbird.pngLaatst had ik weer een journalist aan de telefoon die zich zorgen maakte dat sommige media “zomaar tweets overnemen” en in de krant plaatsen, of op televisie overnemen. Dat kon toch niet zomaar, er zat toch auteursrecht op tweets? Eh. Kent u dat, vrijheid van nieuwsgaring en citeren uit openbare bronnen?

Natuurlijk, op een tweet kan auteursrecht zitten. 140 tekens is niet veel, maar genoeg om enige creativiteit in kwijt te kunnen. En als je weet dat het Hof van Justitie heeft gezegd dat elf woorden genoeg kan zijn om van een beschermd werk te spreken, en een haiku nóg korter is maar zeker ook beschermd, dan is het goed denkbaar dat een tweet in principe ook beschermd is.

Maar als je auteursrecht zegt, moet je eigenlijk ook altijd citeren zeggen. Want het citaatrecht is gemáákt om stukjes van andermans werk te mogen gebruiken in een eigen werk, zoals een aankondiging of bespreking van dat werk. Of andere eigen uitingen met een vergelijkbaar doel. En “@henk zei op twitter” in een nieuwsbericht lijkt mij een prima eigen vergelijkbaar doel. Dat is dan het brengen van nieuws, het nieuwsfeit is dat @henk dat zei.

Het blijft me verbazen hoe sommige mensen redeneren als het gaat om nieuwe media. Is het nu werkelijk zó gek dat je dingen van twitter mag overnemen? Werd er vroeger ook zo gek gedaan als je iemand op radio of televisie wat hoorde zeggen, en je dat wilde overnemen in je eigen tijdschrift of krant?

Arnoud

Snapchat versus de bewaarplicht

Geplaatst op in Ondernemingsvrijheid, 19 reacties

snapchatMenig lezer blijkt geïntrigeerd door Snapchat, getuige mijn inbox afgelopen week. Met deze dienst kun je foto’s versturen, met als unique selling point dat je kunt instellen dat ze na 10 seconden gewist moeten worden bij de ontvanger. Dat blijkt -natuurlijk- niet helemaal te werken, maar de vraag die ik kreeg was iets anders: mág dat wel, data wissen na 10 seconden? Er is toch zoiets als een bewaarplicht?

Eh ja, er is een Wet bewaarplicht maar die heeft helemaal niets te maken met internetdienstverleners. Het onding dat wet bewaarplicht heet, is bedoeld voor telecom- en internetproviders. Zij moeten gegevens die zij van hun klanten krijgen, een half jaar tot een jaar bewaren.

Nou ja, niet alles: het gaat kort gezegd over identificatie van de klant en de randapparatuur waarmee hij online komt (MAC-adres, telefoonnummer, dat soort zaken). En het IP-adres waarmee hij dan via jou het internet opgaat. Niet elke site die hij bezoekt trouwens.

Een belangrijk misverstand daarbij is dat je niet hoeft te verzamelen, maar alleen te bewaren wat je toevallig al hebt. Bied je prepaid anoniem internet aan, dan is dat niet in strijd met de Wet bewaarplicht. Maar factureer je klanten dan mag je niet hun NAW-gegevens wissen na drie maanden, die NAW gegevens moeten dan bewaard worden en wel samen met het IP-adres van hun internetsessies.

Snapchat is een “dienstverlener van de informatiemaatschappij”: zij levert diensten over internet maar geen toegang tot internet. Daarom valt zij niet onder de bewaarplicht. Dit geldt ook voor forums, chatsites en andere diensten waar mensen informatie kunnen plaatsen.

En over Snapchat’s zelfvernietigingsfunctie, het blijft een aantrekkelijk klinkend idee maar hoe je echt kunt geloven dat dit gewoon werkt, ik zou het niet weten.

Arnoud

Wanneer val ik onder de privacywet?

Geplaatst op in Privacy, 40 reacties

privacyEr blijken nogal wat mythes te zijn over de Wet bescherming persoonsgegevens, zeg maar de privacywet. Mensen denken dat het alleen gaat om grote bestanden met klantgegevens, of dat je een bedrijf moet zijn om onder de wet te vallen. Dat is niet zo. Iedere verwerking, ieder gebruik van persoonsgegevens valt onder de wet, en er zijn maar een heel beperkt aantal uitzonderingen.

Een belangrijke uitzondering is die voor “activiteiten met uitsluitend persoonlijke of huishoudelijke doeleinden”. Daarmee bedoelt de wet om particulieren uit te zonderen die voor zichzelf gegevens van anderen bijhouden. Voor het adresboek uit je privételefoon hoef je geen toestemming te hebben. En mensen hebben geen correctierecht op hun vermelding op jouw verjaardagskalender. Maar dat is het wel zo’n beetje. Dat adresboek delen met je familie of huisgenoten mag nog net, maar delen met collega’s is al niet meer “persoonlijk of huishoudelijk”.

Publicatie van gegevens op het open internet valt echter nooit en te nimmer onder deze uitzondering, zo weten we uit het Lindqvist-arrest. Daar ging het om een melding op de site van een kerk dat een vrijwilligster een knieblessure had – en dat was een verwerking van persoonsgegevens. Ook een stamboom of openbare blog, Twitteraccount of andere publieke dienst vallen onder deze wet.

Wat nog net mag, is een strikt afgesloten webdienst met persoonsgegevens die wederom alleen toegankelijk is voor familie en huisgenoten. De Richtsnoeren van het Cbp noemen een besloten familieweblog (met wachtwoord) als voorbeeld. Misschien dat ook een stevig dichtgetimmerd Facebookprofiel eronder valt (de complicatie dat dit een export naar de VS is, daargelaten), maar zodra niet-familie de blog kan lezen heb je een probleem.

Er is géén aparte uitzondering voor wetenschappelijk onderzoek of statistiek. Alleen als je op een andere grond gegevens al mag verwerken, mag je deze óók inzetten voor “historische, statistische of wetenschappelijke doeleinden”. En het recht van inzage en correctie is dan een stuk beperkter. Maar wie onderzoek wil doen over personen, moet dus gewoon toestemming of een andere grond hebben.

Journalisten die iets verder lezen en dan een uitzondering “voor uitsluitend journalistieke, artistieke of literaire doeleinden” zien, denken dat ook zij er buiten vallen. Dat is echter niet zo. Het als journalist verwerken van iemands naam of andere gegevens over hem – lees: een artikel publiceren over iemand – valt wel degelijk onder de Wbp. Vrijwel alle relevante artikelen uit de Wbp zijn namelijk uitgezonderd van de uitzondering. Zo ongeveer het enige relevante recht dat je niet hebt naar een journalist of artistiek/literair iemand is het recht van inzage en correctie (artikel 35 Wbp). Wél speelt de uitingsvrijheid een belangrijke rol bij het bepalen of sprake is van een “dringende noodzaak” onder de privacywet.

Dan zijn er ook nog de zogeheten vrijstellingen. Wie zijn verwerking onder een vrijstelling kan scharen, hoeft deze niet aan te melden bij de toezichthouder. Maar het betekent niet dat de verwerking dan automatisch legaal is. Zo is er een vrijstelling voor netwerkbeheer, die bepaalt dat loggen ten behoeve van security van het bedrijfsnetwerk niet hoeft te worden gemeld als je de logs maximaal zes maanden bewaart, ze alléén inzet voor security en anderen dan de security officers er geen toegang toe krijgen. Maar daarmee is dergelijk loggen nog niet automatisch toegestaan. Je moet nog steeds toestemming, een overeenkomst of een eigen dringende noodzaak hebben.

Arnoud

Minister: geen aangifte tegen ‘ethische’ hackers

Geplaatst op in Security, 47 reacties

bug-disclosureMinister Opstelten van Veiligheid en Justitie wil niet dat bedrijven en organisaties aangifte doen tegen hackers met goede bedoelingen, die veiligheidsproblemen aankaarten, las ik bij Tweakers. In een brief aan de Tweede Kamer beschrijft hij dat het ‘de voorkeur’ heeft dat een bedrijf beleid ontwikkelt voor responsible disclosure en daarin verklaart geen aangifte te zullen doen als mensen conform dat beleid bugs op verantwoorde wijze komen melden. Creatief!

Om bedrijven te helpen zulk beleid te maken, heeft het NCSC een Leidraad om te komen tot een praktijk van Responsible Disclosure opgesteld. Deze beschrijft in voor mij heldere taal wat kwetsbaarheden zijn, waarom je meldingen daarvan via responsible disclosure wilt opvangen en hoe zo’n proces eruit moet zien.

Het proces is eigenlijk vrij simpel:

  1. De organisatie stelt een meldpunt op voor meldingen over kwetsbaarheden, en alloceert ook capaciteit om meldingen op te vangen en door te leiden naar de verantwoordelijke afdeling.
  2. Ontvangst van een melding wordt digitaal bevestigd, waarna organisatie en melder gaan overleggen over de verdere afhandeling.
  3. In dat overleg wordt een termijn afgesproken waarna de melder de kwetsbaarheid openbaar mag maken, bij voorkeur 60 dagen als het gaat om software en zes maanden bij hardware. (Want hardwarelekken zijn niet zo simpel te fixen.)
  4. Bij een niet of moeilijk op te lossen kwetsbaarheid (of bij hoge kosten) kan worden afgesproken geen disclosure te doen. Ik had graag gezien dat daar “in zeer uitzonderlijke gevallen” komt te staan, want de standaardzin van bedrijfsjuristen bij meldingen wordt nu “Vanwege de hoge kosten en het zeer moeilijk op te lossen karakter van deze kwetsbaarheid is het u verboden hiervan publicatie te doen.”
  5. De organisatie houdt de melder op de hoogte van de voortgang.
  6. De organisatie kan desgewenst de melder credits geven in het persbericht dat de fout gefixt is (of in de patch.)
  7. De organisatie kan een beloning of waardering geven voor een melding, mits men zich aan de spelregels houdt.
  8. De organisatie belooft in het beleid geen juridische stappen te nemen tegen de melder indien conform het beleid wordt gehandeld.

En ja, zo’n belofte is juridisch bindend, je kunt een bedrijf daarmee om de oren slaan als ze alsnog aangifte gaan doen of een kort geding tegen publicatie beginnen.

Wat houden die “conform het beleid”-spelregels nu in?

Allereerst moet de melder de melding doen bij de organisatie zelf, en wel op een vertrouwelijke manier. Ook moet dat zo snel mogelijk na ontdekking. En hij publiceert pas conform de afspraken hierboven.

Belangrijke vuistregel voor de melder is “niet op onevenredige wijze te handelen”. Zo is social engineering categorisch uitgesloten – we wéten immers al dat mensen eenvoudig te hacken zijn. Ook brute forcen mag niet (hoi Nieuwe Revu) want dat gaat niet over kwetsbaarheden.

Meer specifiek mag er niet meer worden gedaan dan strikt nodig om de kwetsbaarheid aan te tonen. Je mag bijvoorbeeld geen backdoors installeren, of gegevens aanpassen, kopiëren of verwijderen. Wil je bewijzen dat je van alles kunt lezen, lees dan een directory; wil je bewijzen dat je kunt schrijven, maak dan een nieuw leeg bestand aan. En toegang delen met je vrienden mag ook niet.

Hoewel ik hierboven een tikje cynisch klink soms, moet ik zeggen dat ik het een mooi initiatief vind. En de regels klinken ook logisch en werkbaar voor een bona fide organisatie. Natuurlijk is er ruimte voor misbruik of te kwader trouw inzetten van de regels, maar het is een hele verbetering ten opzichte van het grijze gebied dat er nu is.

Ik denk dat wij een (gratis) generator gaan bouwen voor RD-beleid. Wat zou er volgens jullie zeker in moeten? Missen jullie nog dingen?

Arnoud

“Kerk mag niet meer neuzen in Gemeentelijke Basisadministratie”

Geplaatst op in Privacy, 77 reacties

gbaSnuffelen in persoonsgegevens, of pesten van christenen? Het voorstel van D’66 om te gaan verbieden dat kerken automatisch te horen krijgen dat een ingeschrevene is verhuisd, maakte nogal wat stof los. En bij mij de juridische vraag, eh, wacht even, hoe kan het dat dit al zo is, want de Wbp is toch opt-in?

De Stichting Interkerkelijke Ledenadministratie oftewel SILA blijkt al jaren van gemeentes mutaties te ontvangen uit de GBA (verhuizingen, overlijden, naamswijzigingen en wijziging burgerlijke staat). De SILA laat kerken deze mutaties dan met “maximale privacybescherming” verwerken in hun eigen bestanden. Het idee hierachter is dat zo de gemeente niet hoeft bij te houden wie bij welke kerk zit (wat op gespannen voet staat met de Wbp) en dat een kerk toch al weet wie jij bent en waar je woont (je bent immers lid) en dus zo alleen bij gegevens komt van hun leden. De vlag bij de gemeente hiervoor heet de SILA stip (geruststellend staat er dan bij: “Het is niet letterlijk een stip, maar een digitaal kenmerk.”).

De Wet bescherming persoonsgegevens verbiedt het verwerken van bijzondere persoonsgegevens zoals geloof zonder toestemming, maar er is een uitzondering voor de ledenadministratie van kerkgenootschappen, op zich wel logisch. Minder logisch vond ik hoe de Wbp de GBA toestaat dit te doen, want de GBA is geen kerk.

Maar de Wbp géldt niet voor verwerkingen die onder de Wet GBA vallen. In plaats daarvan regelt de Wet GBA in artikel 99 dat het GBA op grond van een speciale regeling systematisch persoonsgegevens mag delen met onder meer “één samenwerkingsverband van kerkgenootschappen of andere genootschappen op geestelijke grondslag”, die stichting dus zo bepaalt artikel 68c van die regeling.

Wel moet de Wbp zo veel mogelijk worden nageleefd staat hier, en vandaar dat de SILA die constructie met haar figuurlijke stip heeft opgetuigd en diverse maatregelen voor de privacy heeft genomen. Een “schoolvoorbeeld voor de privacybescherming”, zo citeert men met instemming privacyhoogleraar Franken, toch bepaald niet de minste. En inderdaad, alle veiligheidsmaatregelen zijn genomen en dat ziet er goed uit. Maar daar gáát het niet om; de discussie is waarom deze gegevensverstrekking überhaupt plaats moet vinden. En gezien de kop boven deze blog is mijn insteek wel duidelijk. Wat vinden jullie?

Arnoud

Het plaatsen van een schotelantenne als grondrecht

Geplaatst op in Uitingsvrijheid, 56 reacties

Het klinkt misschien gek, maar deel van de vrijheid van meningsuiting is het mogen ontvangen van informatie. (Juristen spreken dan ook liever van “informatievrijheid”.) En op grond van dat aspect van het grondrecht kun je dus in het geweer komen tegen een VvE of verhuurder die je verbiedt informatie te ontvangen. Iets preciezer gezegd: die je verbiedt een schotel aan je buitenmuur op te hangen. Een dikke tien jaar terug verschenen er met enige regelmaat uitspraken waarin mensen dit ook echt wonnen. Maar vandaag de dag lijkt de rechter wat terughoudender te zijn, want er is toch ook internet?

Ontvangst van informatie is een essentieel deel van de uitingsvrijheid. Als je geen informatie kunt ontvangen, valt er weinig zinnigs aan mening te uiten. (Hoewel..) Vandaar dat ontvangst naast verspreiding in het grondrecht van de uitingsvrijheid is opgenomen. En hoewel dat grondrecht in principe tegen de overheid geldt, mogen óók particuliere partijen je niet zomaar hinderen in het uitoefenen van dat grondrecht. Niet zomaar, want het mag wel – maar er moet een belangenafweging plaatsvinden.

(Radargolven zijn overigens geen informatie, bepaalde de Hoge Raad een tijdje terug, want “zulke golven bevatten immers geen inlichtingen of denkbeelden”. Een radardetector is dus niet in strijd met het grondrecht op informatie.)

Een verbod om een schotelantenne op te mogen hangen, verhindert het ontvangen van informatie via die schotel. Daarmee botst het verbod met de informatievrijheid van de huurder of bewoner van het pand. Ook al is dat niet de bedoeling van de VvE of verhuurder en willen ze alleen een lelijke uitstraling van het pand voorkomen. Maar is dat belangrijk genoeg om iemand te verbieden informatie te ontvangen?

In een recente uitspraak bepaalt de rechter dat de inbreuk op de informatievrijheid slechts beperkt is:

[verzoeker] kan immers de door hem gewenste informatie thuis verkrijgen. Slechts de wijze van ontvangst, via de schotelantenne (in de serre met het raam open) en via het UPC-abonnement in combinatie met het internet of via de schotelantenne aan de buitenkant van het gebouw is in het geding.

Hóe je informatie ontvangt, is dus ondergeschikt aan óf je informatie kunt ontvangen. Het argument “hoe meer kanalen hoe beter” (want niet alles zat in het UPC-pakket of op internet) weegt niet heel zwaar.

Wél zwaar laat de rechter het argument wegen dat het “een feit van algemene bekendheid [is] dat een of meerdere schotelantennes aan de buitengevel van panden een ontsierend en veelal stigmatiserend beeld oplevert”. En zeker nu het pand een “statige uitstraling” heeft, is het belang van de VvE groter dan dat van deze bewoner.

Ook een paar jaar terug werd het argument “u kunt toch de mogelijkheden van internet beproeven” gebruikt om een schotelverbod in stand te houden.

Wat vinden jullie? Is “bekijk gewoon de internetstream” een adequaat argument om schotelontvangst te weigeren?

Arnoud