Auteur: Arnoud Engelfriet

About Arnoud Engelfriet

Website::Subscribe Feeds

Gastblog: Bits of Freedom heeft uw hulp nodig

Geplaatst op in Informatiemaatschappij, 15 reacties

Vandaag ben ik jarig, en ik heb besloten een dagje vrij te nemen van bloggen. Vandaag een gastblog van Karin Spaink over Bits of Freedom.

Als jullie bij wijze van verjaardagscadeau een donatie willen doen aan deze digitale burgerrechtenvoorvechter, dan zou ik dat heel erg waarderen.

Bits of Freedom heeft een boel bereikt. Daar ben ik, als een van de drie oprichters, beretrots op. Toen de organisatie in 1999 begon, was het idee dat er op internet sprake kon zijn van rechten van gebruikers – ja, zelfs van burgerrechten – bepaald nieuw. Inmiddels is geaccepteerd dat gebruikers niet zomaar mogen worden afgesloten of afgeluisterd, dat bedrijven en overheden internetverkeer niet zonder meer mogen filteren, dat niemand stukken zomaar mag verwijderen.

We zijn beter gaan nadenken over privacy op internet. Over cookies, tracking en digitale sporen. Over de grenzen aan surveillance en digitale recherche. Over spam. Over databescherming en datahygiëne. Over opdringerige auteursrechtbescherming, die enerzijds steeds meer materiaal tot haar domein rekent, en anderzijds gebruikers en klanten steeds minder weinig zeggenschap laat over spullen die ze legaal hebben aangeschaft. Over het belang van anonimiteit en het recht om pseudoniemen te gebruiken. Over de feilbaarheid van ambitieuze digitalisering van het verkeer tussen burgers en instanties. Over netneutraliteit.

Bits of Freedom heeft zich enorm ontwikkeld. Aanvankelijk werd BoF vooral door journalisten als een goudmijn van informatie beschouwd. Ze spelden de nieuwsbrief, die vaak aanleiding werd voor mooie achtergrondreportages. Had Albert Heijn een plan om klanten met een digitale vingerafdruk te laten betalen, of verzon Brein weer eens een plan om auteursrechtbescherming te verstevigen, dan werd Bits of Freedom subiet platgebeld.

Via de jaarlijkse uitreiking van de Big Brother Awards, de poedelprijs voor instanties, bedrijven en mensen die de privacy van burgers het meest hadden ondermijnd, wist Bits of Freedom haar ideeën haar ideeën te populariseren. En waar overheidsinstanties en bedrijven de organisatie eerst negeerden, namen ook die haar gaandeweg steeds serieuzer.

Dat laatste ging gepaard met rare stuiptrekkingen. Fameus voorbeeld is die ene persconferentie van Brein, waar alle media en belangenorganisaties welkom waren, behalve – zo meldde een daartoe speciaal opgehangen A4’tje bij de entrée – Bits of Freedom.

Inmiddels durft niemand Bits of Freedom meer te negeren. Medewerkers doen hun zegje tijdens commissievergaderingen van het parlement, worden overal uitgenodigd als deskundigen, spreken op chique congressen en lobbyen zich een slag in de rondte. Tientallen vrijwilligers staan Bits of Freedom bij. De organisatie loopt als een trein.

Maar omdat Bits of Freedom (uiteraard) ongesubsidieerd werkt, is het bestaan van de club afhankelijk van donateurs en sponsors. En juist daar wringt het nu: het geld raakt op. Bits of Freedom heeft dringend donateurs nodig.

Bent u een ‘gewone’ internetgebruiker? Wees uw eigen zeehondje, en geef dit jaar eens gul aan Bits of Freedom. Verdient u uw geld met internet? Geef dan voortaan een deel van uw winst aan hen. Want zonder Bits of Freedom zou internet in Nederland allang niet meer zijn wat het nu is.

“Bitcoin-exchange krijgt status van bank”

Geplaatst op in Innovatie, 47 reacties

Bitcoin-Central heeft in Europa de status van bank gekregen, las ik bij Tweakers. Dat is niet helemaal juist: het Bitcoin-wisselkantoor Paymium dat achter Bitcoin-Central zit, heeft een contract gesloten met betalingsprovider Aqoba, die weer samenwerkt met de Franse Crédit Mutuel Arkéa bank. Op grond hiervan mag Paymium geld bewaren voor haar klanten, en dat doet ze in de vorm van Bitcoins. Maar je kunt geen bankrekeningnummer krijgen bij Bitcoin-Central, en overboeken kan al helemaal niet.

Het is wel een mooie stap vooruit in de erkenning van bitcoins als gewoon betaalmiddel, en niet alleen schimmig ruildinges voor transacties die het licht niet kunnen verdragen. Bitcoins zijn als compleet gedecentraliseerd en anoniem betaalmiddel altijd een beetje in dat verdomhoekje blijven zitten helaas.

In die hypetijd kreeg ik veel vragen over de juridische status van bitcoins, maar helaas had ik nooit de tijd om het eens echt uit te zoeken. Gelukkig zijn er andere mensen die dat wel hebben gedaan. Een mooi startpunt is de scriptie van Mark A. Jansen, die onder meer onderzocht wat de Belastingdienst vindt van bitcoins. Dat blijkt verrassend simpel:

Omdat u deze bitcoins kunt inwisselen tegen geld en de bitcoins daarom een bepaalde waarde vertegenwoordigen vormen deze bitcoins een onderdeel van uw vermogensbestanddelen. De waarde dient dan ook aangegeven te worden in box 3.

En ja, dat geldt dan ook voor virtuele goederen in online spellen zoals Second Life of World of Warcraft. Hoe de Belastingdienst hier een controle op uit zou willen voeren, weet ik niet: zouden ze je kunnen verplichten in te loggen op je account en te laten zien wat je hebt en wat dat waard is?

Mark van Cuijk dook dieper op de vraag in hoe je aangifte doet van inkomsten betaald in bitcoins, bv. als je een dienst verleent of als je werkgever je uitbetaalt in bitcoins.

Bitcoins zijn een niet in geld genoten inkomst op het moment dat iemand de beschikkingsmacht over die Bitcoins heeft verkregen.

Als je als werknemer je salaris in Bitcoin ontvangt, zal de Belastingdienst dit dus waarschijnlijk aanmerken als loon in natura.

Helemaal intrigerend wordt het als je bitcoins zelf gaat ‘minen’, wat nog steeds kan hoewel het wel steeds moeilijker wordt. Bij dat mijnen ontstaan nieuwe bitcoins uit het niets, en voor “vermogen dat je uit het niets krijgt” is er geen standaardcategorie bij de belastingaangifte. Ik denk dat het komt te vallen onder gewoon vermogensaanwas, net alsof je het geschonken hebt gekregen.

Update (11 december) Folkert van Heusden zocht uit wat je moet doen als je factureert in Bitcoins:

“In dit geval betekent dit dat als u wegens een levering of een dienst een factuur moet uitreiken, de wisselkoers moet worden genomen die geldt op de dag waarop de factuur is uitgereikt of uiterlijk uitgereikt had moeten worden. Als er gen verplichting tot het uitreiken van een factuur is, dan wordt de omzetbelasting verschuldigd op het tijdstip waarop de ondernemer de vergoeding ontvangt.”

Bij Bitcoinspot hopen ze dat er meer exchanges zullen volgen. Ik ben benieuwd. Voor mijn gevoel zit het systeem nog steeds in een hele diepe niche, en ik vraag me af wat er nodig zal zijn om het net zo mainstream te maken als Paypal of creditcards.

Arnoud

ANWB’s Wegenwacht onder de Wet Van Dam

Geplaatst op in Informatiemaatschappij, 31 reacties

Bijna dagelijks word ik gemaild door mensen die hun abonnement op de Wegenwacht van de ANWB willen opzeggen met een beroep op de Wet Van Dam. Deze wet bepaalt immers dat je élk stilzwijgend verlengd contract mag opzeggen met opzegtermijn van een maand. Nou ja, bijna elk. De regels voor tijdschriften zijn iets anders, en ook het lidmaatschap van verenigingen is uitgesloten. Nu is de ANWB een vereniging, maar de dienst Wegenwacht wordt formeel apart aangeboden. Dus zou die opzegbaar moeten zijn, zou je denken. Maar de ANWB denkt daar anders over: zij ziet de Wegenwacht als een verzekering en bij invoering van de Wet Van Dam is ooit gezegd dat verzekeringen niet vallen onder deze wet. Maar ís dit wel een verzekering?

Een verzekering is volgens de wet (art. 7:925 BW) een overeenkomst waarbij de verzekeraar een uitkering doet (in geld of in een andere prestatie, art. 7:926 BW) wanneer zich een onvoorzienbare gebeurtenis voordoet. En die definitie past precies op wat de ANWB doet: zij verrichten de prestatie van schadeherstel wanneer zich de onvoorzienbare gebeurtenis van autopech voordoet.

Ik vond echter een recent arrest over een pechhulpdienst die aangeslagen werd voor assurantiebelasting, en dit aanvocht met het argument dat zij geen verzekeraar was. En ik werd vrolijk van de zin “dat niet elke overeenkomst waarin de voornoemde elementen kunnen worden ontwaard, verzekering in de zin van de wet is”. Want het is precies die formalistische lezing van de wet die me irriteert bij de ANWB. Nérgens noemt de ANWB haar pechhulpdienst een verzekering, nergens staat iets over een polis – het is evident dat ze de dienst gewoon als een abonnementsdienst bedoelen en het pas ‘verzekering’ zijn gaan noemen toen men peentjes begon te zweten over de Wet Van Dam.

Het Gerechtshof wijst erop dat je niet alleen moet kijken naar óf er iets wordt gedaan dat “geld of een andere prestatie” genoemd kan worden, maar ook wat het dóel daarvan is. Het doel van een verzekering is namelijk primair vergoeding van schade. Vergoeding kan in natura gebeuren (bv. je afgebrande huis wordt opnieuw opgebouwd of je krijgt een gratis rit naar huis als je auto gestolen blijkt) maar voorop moet staan dat het gaat om “het goedmaken van op geld waardeerbare schade of verlies”.

Een pechhulpdienst voldoet daar niet aan. Die strekt er vooral toe om “ongemak weg te nemen en inspanning te voorkomen”, en ongemak en inspanning tellen niet als “op geld waardeerbare schade of verlies”. Hoewel het hier ging om pechhulp aan fietsers, rolstoelrijders en scooterbestuurders, zie ik niet in waarom dit bij pechhulp voor een auto anders zou zijn. Lekke band is lekke band.

Verder is de Wegenwacht zo’n beetje hét voorbeeld van een stilzwijgend verlengd contract dat het soort ergernis oproept waar deze wet voor gemaakt is. Ik kan er dus werkelijk niet bij dat nu juist de Wegenwacht uitgesloten zou zijn. Ik hoop van ganser harte dat iemand naar de rechter stapt.

Update (13 februari 2015) een lezer wees me op het Hoge Raad-arrest in cassatie op bovenstaande, waar ik heel wat minder vrolijk van werd.

4.3 Een schadeverzekering is in artikel 7:944 BW gedefinieerd als een verzekering strekkende tot vergoeding van vermogensschade die de verzekerde zou kunnen lijden. De onderhavige overeenkomsten, die ertoe strekken om tegen een jaarlijkse betaling hulp bij pech te bieden aan gebruikers van (elektrische) fietsen, rolstoelen en elektrische scooters, zijn aan te merken als schadeverzekering. Daarbij is de vermogensschade gelegen in het niet meer deugdelijk functioneren van het vervoermiddel. Dat het verhelpen van de pech mede het karakter heeft van hulpverlening kan hieraan niet afdoen.<br/> 4.4. Gelet op hetgeen hiervoor is overwogen heeft het Hof het begrip verzekering te beperkt uitgelegd. Het middel van de Staatssecretaris slaagt derhalve.
Het stoort me nog steeds dat de ANWB het pas expliciet ‘verzekering’ is gaan noemen ná de Wet Van Dam, maar goed, de Hoge Raad geeft ze daar nu wat meer ruimte voor.

Arnoud<br/> Foto: Yellow Flowers Free Photos Art & Fun, Flickr, CC-BY 2.0

Henk Krol, EPD-hacker, eh wacht, wat?

Geplaatst op in Security, 21 reacties

Medisch onderzoekscentrum ‘Diagnostiek voor U’ gaat schadevergoeding eisen van Kamerlid Henk Krol die in april een EPD-lek heeft onthuld, meldde Webwereld. Hij downloadde eerder dit jaar medische dossiers via het EPD nadat hij erachter kwam dat patiëntgegevens eenvoudig in te zien waren: er bleken accounts te zijn waarvan usernaam en wachtwoord hetzelfde (en vijf tekens lang) waren. Een gevalletje “let’s shoot the messenger”, lijkt het.

Natuurlijk, je mag niet inloggen op een account waar je geen officiële toegang toe hebt. Of het wachtwoord sterk of zwak is, maakt voor de wet niet uit. Computervredebreuk is computervredebreuk. Maar wanneer het nieuwsbelang zeer groot is, kán het zijn dat de rechter de strafwet buiten toepassing laat of je laat wegkomen met een schuldigverklaring zonder straf. Een bekend al wat ouder voorbeeld is de Revu-hack, waarbij het tijdschrift de privé-e-mailbox (brr wat een woord) van toen-staatssecretaris Jack de Vries wist te bruteforcen. Dat mocht van de rechter, hoewel het daarna snuffelen in de mailtjes alsnog werd bestraft.

Die zaak doortrekken zou betekenen dat Krol wél had mogen kijken of het klopt, die debiel slechte wachtwoorden, maar dat hij niet vervolgens allerlei dossiers had mogen opvragen. Want dat iedere ingelogde user bij ieder dossier kan, is een feature en geen bug. De nieuwswaarde daarvan is dus nul.

DvU pakt wel heel stevig uit met hun schadeclaim: alle gemaakte uren plus facturen van een extern bedrijf voor alle noodreparaties en herstelwerk. Of je dát allemaal aan Krol kunt wijten, waag ik toch te betwijfelen.

En hoe je dan boven een ton uitkomt al helemaal. Ik kan me dat bedrag alleen voorstellen als ze naast het noodwerk ook de tijd voor structurele verbeteringen hebben meegeteld. En dát mag niet, zo bleek uit de DDoS-kabouterschadeclaimzaak waarin overheidsautomatiseerder ICTU een dikke vier ton vorderde voor oplossen problemen en structureel herstel van schade. Nee, zei de rechter:

Slechts de kosten, gemaakt ten behoeve van de oplossing van de crisissituatie, ontstaan als gevolg van de aanvallen, kunnen aan gedaagden worden toegerekend. Kosten als gevolg van structurele (beveiligings)maatregelen dienen voor rekening van ICTU te blijven.

Ik kan me niet voorstellen dat de situatie hier anders is.

Overigens, zoals mijn collega Matthijs al schreef, Krol zal niet wegkomen met dat hij parlementariër is: alleen voor uitlatingen tijdens de vergadering van het parlement heeft hij immuniteit. Het zou wel wat zijn om dan eens live een hack uit te voeren, maar dat terzijde.

Arnoud

Is een iPad een telefoon of een computer?

Geplaatst op in Informatiemaatschappij, Iusmentis, Ondernemingsvrijheid, 38 reacties

In de categorie achterdeorenkrabvragen: is een iPad een telefoon of een computer? Ja, dat is een zeer relevante vraag. Tenminste, wanneer je als werkgever je werknemers allemaal een iPad geeft omdat dat zo zakelijk hip en handig is. Want werknemers computers geven mag niet zomaar, dat telt als loon in natura. En in een recent vonnis kwam het nu eindelijk eens tot een uitspraak.

Een bedrijf had al haar werknemers (664 man) een iPad verstrekt, inclusief mobiel-internetdatakaart met Vodafoneabonnement. Eer waren geen afspraken gemaakt over het gebruik, en de iPad hoefde niet te worden ingeleverd bij ontslag. Dat riekt naar loon in natura, want zo’n iPad neemt iedereen natuurlijk mee naar huis om daar te gaan angrybirdsen tijdens de kerst. Het bedrijf maakte bezwaar tegen de loonheffing, en zo kwam het tot deze uitspraak.

De wet op dat moment (art. 17 Wet LB) bepaalde dat iets geen loon is als het een “vrije verstrekking” is, oftewel

tot voorkoming van kosten, lasten en afschrijvingen ter behoorlijke vervulling van de dienstbetrekking;

Een categorie producten die hieronder valt, waren de communicatiemiddelen(art. 15b Wet LB):

telefoon, internet en dergelijke communicatiemiddelen – niet zijnde computers en dergelijke apparatuur en bijbehorende apparatuur –, tenzij het zakelijke gebruik van meer dan bijkomstig belang is;

En hier ontstond dus de discussie over. Is een iPad een “communicatiemiddel” zoals een telefoon, of een “computer en dergelijke”? Formeel is het natuurlijk een computer, het ding rekent en doet I/O, maar volgens die definitie is álles een computer en dat is niet de bedoeling.

Het bedrijf wees erop dat een iPad primair wordt gebruikt voor communicatie: e-mail, internetten, whatsappen, twitteren, geven van presentaties, socialemediaën, etcetera. Geen mens gaat documenten zitten typen op een iPad of spreadsheets vullen. De belastingdienst stelde daar tegenover dat het apparaat inherent ontworpen moet zijn om communicatie (zoals telefonie, sms en e-mail) een overheersende rol te laten spelen.

Tsja, daar zit je dan als rechter.

Gelukkig was er nog de wetsgeschiedenis: wat was er zoal gezegd over “computers” en “communicatieapparatuur” toen dit wetsartikel werd ingevoerd?

Een mobiele telefoon kan ook onder deze omschrijving [van “computer”] vallen als de functie van telefoontoestel duidelijk ondergeschikt is aan andere functies, zoals telematica of dataverwerking (…) Pocket-PC’s, mini-notebooks en navigatie-apparatuur vallen niet onder het begrip communicatiemiddelen. Dergelijke apparatuur valt onder de regeling voor computers e.d.

En op basis van die passages concludeert de rechter dat een telefoon een telefoon is als hij eruit ziet als een telefoon. En dát doet een iPad niet. Goed, je kunt er vast met een app mee bellen als hij een sim heeft, en videochat via Skype kan natuurlijk ook, maar dat is niet de primaire functie van een iPad, laat staan dat ie daarvoor vormgegeven is. Niet voor niets ziet mevrouw rechtsboven op het plaatje er enigszins dom uit met de iPad aan het oor.

Mede gelet op het formaat van de iPad, het geheugen van 32 GB en met inachtneming van de vele andere gebruiksmogelijkheden dient de iPad veeleer te worden aangemerkt als kleine computer die mede geschikt is voor verschillende vormen van communicatie.

En computers zijn alleen vrijgesteld als ze “meer dan bijkomstig” zakelijk worden gebruikt, volgens de wettelijke regeling meer dan 90% van de tijd.

Het creatieve argument dat de iPad als vakliteratuur (ook een vrijgestelde categorie) moet worden gezien, wordt eenvoudig terzijde geschoven. Een iPad is geen literatuur, laat staan vakliteratuur. Je kunt er vakliteratuur mee lezen, maar dat maakt het leesapparaat nog geen vakliteratuur.

Update (7 december) bij Webwereld ontdekten ze dat de werkgever in kwestie RTL is. Deze heeft aangekondigd in hoger beroep te gaan.

Arnoud

Is advertenties blokkeren te verbieden?

Geplaatst op in Innovatie, 43 reacties

Bij Computerworld las ik een opiniestuk over advertentieblokkers als het volgende juridische slagveld in het internetrecht. Want nu inkomsten steeds meer onder druk staan, zullen sites naar meer en meer middelen grijpen om gemiste inkomsten tegen te gaan.

Er is geen wetsartikel dat specifiek het blokkeren van advertenties verbiedt. Als consument ben je niet verplicht om te luisteren of te kijken naar wat dan ook. Tijdens de reclame op TV naar de WC gaan is dus legaal (gelukkig).

Daar staat tegenover dat een site bést kan eisen dat je moet kijken of weggaan. Want in tegenstelling tot televisie sluit je met een site een contract. En de tegenprestatie uit dat contract is het mogen tonen van de advertenties.

Het argument van auteursrechtinbreuk uit dat opiniestuk zie ik niet. Het maken van wijzigingen in een werk valt onder de uitzondering voor privégebruik, net zo goed als ik gele strepen mag zetten in een studieboek.

Intrigerend zou nog zijn om de makers van adblocksoftware aan te pakken. Want hoewel consumenten niet verplicht zijn om advertenties te bekijken, zou je kunnen stellen dat het structureel en systematisch blokkeren van advertenties toch op een of andere manier onrechtmatig moet zijn. Het “jamaar dat kán toch niet waar zijn”-argument dus.

Iets specifieker is misschien het aanzetten tot contractbreuk een optie. Het is onder omstandigheden onrechtmatig om contractbreuk bij een ander uit te lokken, zelfs als jij daar geen partij bij bent.

Op zich mag het: als een exclusieve dealer aan mij als louche handelaar een partij verkoopt in strijd met zijn contract, dan is die koop legaal. De fabrikant kan alleen de dealer aanspreken op contractbreuk, maar ik val daarbuiten. Maar doe je het regelmatig én weet je daadwerkelijk van de contractbreuk, dan kom je in een grijs gebied.

Bij een Adblokker zou je als ontwikkelaar moeten weten dat deze maar één doel heeft en dat is advertenties blokkeren. Dat is dus een vorm van uitlokken van contractbreuk, aangenomen dat “je moet advertenties kijken” een standaardzin wordt in websitecontracten. En gezien dat doel is het best denkbaar dat een rechter bepaalt dat adbloksoftware weggeven onrechtmatig is.

Natuurlijk hebben adblokkers ook legitieme doelen, met name het voorkomen dat je malware langskrijgt via besmette advertentienetwerken. Maar ik denk dat je dan op z’n minst de blokker moet hernoemen naar “malwareblockplus” en iets moet inbouwen waardoor het op z’n minst lijkt alsof je probeert legitieme advertenties te laten staan.

(En sorry, ik ben wat kortaf maar ik heb de grieb).

Arnoud

Ik moet van mijn werkgever op Facebook!

Geplaatst op in Ondernemingsvrijheid, Privacy, 33 reacties

facebookEen lezer vroeg me:

Mijn werkgever maakte recentelijk een Facebookgroep aan en heeft alle werknemers op Facebookopgezocht en toegevoegd aan deze bedrijfspagina. Ik heb zelf nog geen Facebook maar werd vorige week toch vriendelijk verzocht die aan te maken “zodat we allemaal op Facebook zijn”. Kan ik dat weigeren?

Het lijkt me niet dat de werkgever dit kan eisen. Een Facebookprofiel telt als verwerking van persoonsgegevens, en dat kan een werkgever alleen van een werknemer eisen als dat óf nodig is voor het werk óf er een zeer dringend belang is dat zwaarder weegt dan de privacy van de werknemer.

Die eis van “nodig voor het werk” zie ik niet opgaan bij Facebook. Bij LinkedIn vind ik het iets twijfelachtiger of je kunt weigeren. LinkedIn is een zakelijk netwerk, en als een bedrijf zich profileert als ICT-minded dan wordt verwacht dat de werknemers via LinkedIn te vinden zijn.

Bij het zeer dringend belang kan ik me ook niets voorstellen hier. Als je (volgens de privacywaakhond dan) al toestemming nodig hebt voor een foto op je eigen site dan bij de perfide Amerikaanse persoonsgegevensjatters al helemaal, lijkt me.

Tenzij het in het arbeidscontract staat of men vrijwillig toestemming geeft, zie ik niet hoe je dit voor elkaar krijgt.

Ik snap ook niet goed waaróm je dit zou willen als werkgever. Een profielpagina op je site voor klanten, oké. Een LinkedInprofiel om te netwerken, alla. Maar Facebook, dat is toch totaal irrelevant voor het werk?

Arnoud

Gluren bij de buren versus de DMCA

Geplaatst op in Intellectuele rechten, Security, 14 reacties

De redactie van PC-Active werd getipt door een lezer, die erachter kwam dat openbaar hangende camera’s van het bedrijf WebCam.NL door een simpele wijziging van het webadres ineens inzoomen op gebieden die normaal gesproken niet zichtbaar mogen zijn, ontdekte PC-Active. De tipgever had ook enkele beelden van de webcams online gezet, en deze werden door het bedrijf weggehaald via een DMCA notice/takedownverzoek. Eh, wacht, wat?

Camera’s in de openbare ruimte zijn toegestaan mits duidelijk gemeld is dat er gefilmd wordt. Hetzij met een bordje, hetzij zo duidelijk opgehangen dat de camera niet te missen is. Maar als de camera niet in staat is om mensen herkenbaar in beeld te brengen, dan is niet eens een melding nodig. Een webcam die de sneeuw op de bergen of de golven op de Noordzee laat zien, mag dus zomaar en zonder enige melding. Maar als die webcam in staat is tot zoomen zodanig dat je mensen kunt zien (zoals in het screenshot rechtsboven) dan valt dat echt onder de (straf-)wetgeving over cameratoezicht en had er een bordje moeten hangen. Nog even afgezien van of het überhaupt mag van de privacywet.

Dat het bedrijf niet blij is met de actie van PC-Active, geloof ik meteen. Maar een DMCA claim slaat juridisch werkelijk helemaal nergens op. Met zo’n claim verklaar je auteursrechthebbende te zijn op de foto, en daar is geen sprake van. Iets dat het bedrijf zou moeten weten. Als er al iemand auteursrecht heeft, dan was dat de man (of vrouw) die op de printscreenknop drukte toen deze scène in beeld was. En ik waag ten zeerste te betwijfelen óf er auteursrecht zit op zo’n camerabeeld. Waar is de creativiteit? Welke eigen oorspronkelijke creatie zien we hier? Dit is gewoon een weergave van de werkelijkheid.

Helaas komen dergelijke DMCA-misbruiken vaker voor. In de VS is “DMCA abuse” inmiddels een gevleugelde term voor het sturen van takedownverzoeken die eigenlijk neerkomen op “ik vind het niet léuk dat ze dit doen”. Men ziet een kritische tekst waarin drie regels van het eigen werk staan en roept briesend dat sprake is van opzettelijke en grootschalige auteursrechtschending, waarna de hoster niet weet hoe snel hij het offline moet halen. Of, zoals hier, men ziet een foto in een onprettig bericht over het bedrijf en eist dat deze wordt weggehaald. En heel ergerlijk vind ik daarbij dat je bij de DMCA formeel moet verklaren dat je under penalty of perjury zeker weet dat je claim correct is – maar waar geen enkele sanctie staat op liegen.

Mogelijk is hier het verhaal dat men meneers privacy wilde beschermen, maar dat kán niet met de DMCA. Dat is een auteursrechtenregeling, niets meer en niets minder. Bij ons kan er wel op basis van de privacywet (of eender welke andere wet) worden geëist dat dingen worden verwijderd, maar dat moet de persoon in kwestie zelf doen. De exploitant van een webcamsite kan daar niets aan doen. En in deze situatie waarin een misstand aan de kaak wordt gesteld, zal de privacy toch echt moeten wijken voor het nieuwsbelang.

Inmiddels meldt PC-Active dat de problemen gedeeltelijk zijn verholpen. Niet helemaal want een aantal camera’s is (als je even goed doorkijkt) nog steeds op afstand te bedienen.

Arnoud

Kan een ontsleutelplicht voor verdachten worden ingevoerd?

Geplaatst op in Security, 62 reacties

decryptie sleutelKinderporno- of terrorisme-verdachten kunnen in Nederland straks gedwongen worden om mee te werken bij het ontsleutelen van bestanden op systemen, las ik bij Tweakers. De minister wil een wetsvoorstel indienen waarmee er celstraf moet komen te staan op het weigeren zo’n bevel op te volgen. En dat roept dan meteen de vraag op: hoe past dit binnen het principe dat je niet mee hoeft te werken aan je eigen veroordeling?

Het “nemo tenetur”-beginsel uit het strafrecht bepaalt dat niemand kan worden gedwongen om tegen zichzelf te getuigen of een bekentenis af te leggen. Mede hierom krijg je als verdachte de “cautie”, een waarschuwing dat je niet verplicht bent te beantwoorden. En ook hierom staat in de huidige strafvorderingswet dat je als verdachte niet kan worden bevolen om dingen te ontsleutelen.

Wel moet je natuurlijk als verdachte tolereren dat de politie dan zélf gaat snuffelen en zoeken naar dingen. Weiger je de kluis met daarin het bewijs te openen, dan mag men een slotenmaker met thermische lans inschakelen. Het probleem met digitale kluizen (encryptie) is dat er geen thermische lans is. Openmaken is onmogelijk als iemand een béétje z’n best doet met het wachtwoord. Vandaar het idee, nou dán moeten we hem toch kunnen dwingen?

Bert-Jaap Koops deed onderzoek naar de reikwijdte van het nemo-teneturbeginsel. Hij noemt vier factoren die door het Hof van Justitie worden meegenomen in de bepaling of sprake is van een toegestane inbreuk:

  1. de aard en mate van dwang;
  2. het gewicht van het publiek belang;
  3. de aanwezigheid van relevante waarborgen in de procedure;
  4. de manier waarop het afgedwongen materiaal wordt gebruikt.

In het Verenigd Koninkrijk en Frankrijk zijn regelingen ingevoerd waarbij het inderdaad strafbaar is om niet mee te werken aan decryptie als verdachte. In theorie voldoen die regelingen, want zoals de bovenstaande factoren laten zien zitten er allerlei belangenafwegingen in. Als je daaraan voldoet, dan is geen sprake van een ongerechtvaardigde inbreuk op het rechtsbeginsel.

Algemeen aanvaard is dat het zwijgen van de verdachte kan worden gebruikt in de waardering van ander bewijs. In een rechtszaak over kinderporno werd het zwijgen van de verdachte gebruikt als bewijs van zijn intenties met het binnenhalen daarvan (dat is relevant voor de vraag of het per ongeluk dan wel opzettelijk gebeurde). Je zou een decryptieplicht binnen die regel kunnen positioneren, en dan zeg je dus: u mág zwijgen over uw sleutel maar de rechter kan dat dan de doorslag laten geven als er twijfel is.

Je kunt ook nóg verder gaan en gewoon expliciet een paar jaar celstraf zetten op het weigeren gegevens te ontsleutelen. Of, ietsiepietsie subtieler, bepalen dat als je toch al veroordeeld wordt je extra straf krijgt voor het niet ontsleutelen. In die laatste situatie kun je nog steeds gewoon vrijuit gaan als er geen bewijs is, maar is er verder genoeg bewijs dan ga je dus nog langer de bak in.

Oké, allemaal juridisch vast wel ergens in te bouwen. Maar heeft het zín? Het lijkt me vandaag de dag nóg makkelijker dan begin jaren nul (toen deze discussie ook speelde) om onkraakbare of zelfs ondetecteerbare encryptie in te zetten. Daar staat tegenover dat menig crimineel gewoon dom is en dus niet weet hoe dat moet. Daarmee zou het middel toch in de praktijk inzetbaar kunnen zijn. Maar goed, zelfs een domme crimineel kan nog bedenken dat “ik ben het wachtwoord vergeten, sorry” een prima verweer is. En dan?

En wat Bits of Freedom zegt: het is een schijnoplossing. Er zijn maar zó weinig zaken waarbij dit het cruciale probleem is.

Arnoud

De belseconde moet terug!

Geplaatst op in Innovatie, 24 reacties

OPTA wijst telefonieproviders erop dat ze per 1 januari ten minste één abonnement moeten aanbieden met bellen per seconde in plaats van per minuut, en zonder starttarief, las ik bij Webwereld. Naast de netneutraliteitswet (en de omgekeerde bewijslast bij de cookiewet) treedt dan ook de belsecondewet in werking. Of nou ja, ik noem het maar belsecondewet maar net als netneutraliteit en cookies gaat het in feite om één artikel uit de Telecommunicatiewet. Maar “artikel 7.2a lid 4 Telecommunicatiewet” bekt zo slecht.

Toen ik nog een klein nerdje was, moest ik online met een tikkenteller (zie foto) die per zo veel seconde een tik registreerde, waarna ik het bijbehorende tarief bij m’n ouders afrekende. Dat werd op zeker moment bellen per seconde, en in 2010 gingen alle providers ineens volstrekt toevallig tegelijkertijd naar het afrekenen per minuut. Ook was er het starttarief (maar dat was dacht ik er ook al in mijn tikkentellertijd?) waardoor met name korte gesprekken ineens relatief duur werden.

Per 1 januari wordt het dus verplicht om ten minste één mogelijkheid te bieden om per seconde te bellen en zónder starttarief. En omdat telecomjongens héél handig zijn in creatieve interpretatie van zulke regels (“nu slechts 75 euro per seconde!”), moet die mogelijkheid “vergelijkbaar” zijn met de andere door de aanbieder aangeboden abonnementen.

Maar wat is “vergelijkbaar”? Daar zou zelfs Wim ten Brink even over moeten nadenken, maar de OPTA heeft onlangs een toelichting op artikel 7.2 lid 4 gepubliceerd waarin zij een poging doet. Als algemeen criterium hanteert OPTA dat de perseconde-dienst “een volwaardig en serieus alternatief [moet] zijn” voor de andere diensten.

Voor de bijdehante telecomjongens nog een keertje uitleg van wat “per seconde” inhoudt:

[Bellen per seconde] geldt dus meteen vanaf de eerste seconde en derhalve is het bij de voorgeschreven overeenkomst niet toegestaan de eerste minuut af te ronden. De gespreksduur in seconden in rekening brengen betekent naar het oordeel van het college dat de consument moet betalen voor wat hij feitelijk belt

Dus per seconde en niet “na de eerste minuut betaalt u per seconde” of “u betaalt per seconde, berekenend in blokken van 60” of dergelijke bijdehante kleine letters.

Of het aanbod vergelijkbaar is, kan afhangen van alle factoren die consumenten meenemen in hun abonnementskeuze. De duur, de maandkosten, houdbaarheid van belminuten, wel of niet een gratis dan wel leasetoestel, en ga zo maar door. U kunt uitgaan van het gemiddelde belprofiel van afnemers van uw meest afgesloten overeenkomst, suggereert de OPTA heel behulpzaam. Maar de OPTA doet géén uitspraken vooraf of een bepaald abonnement (of juist een prepaidopzet) voldoet aan de regels. Op basis van klachten bij Consuwijzer kan men beboetend optreden.

De uitdaging van vandaag: verzin een abonnement of prepaidaanbieding waarbij per seconde wordt afgerekend die lijkt te voldoen aan het “vergelijkbaar”-criterium en tóch een volslagen flop gaat worden.

Arnoud