Auteur: Arnoud Engelfriet

About Arnoud Engelfriet

Website::Subscribe Feeds

Welke disclaimer moet je gebruiken bij gratis advies?

Geplaatst op in Ondernemingsvrijheid, 4 reacties

Een lezer vroeg me:

Net als jij wil ik voor mijn bedrijf een vraagbaak openen waar mensen voor gratis advies terecht komen. Alleen: wat voor disclaimer kan ik dan het beste onder de mail zetten? Wat voor tekst gebruik jij?

Ik gebruik geen disclaimers in mijn mail, niet zakelijk en niet bij mijn gratisadviesdienst. Een algemene e-maildisclaimer heeft namelijk geen enkele waarde juridisch gezien. Zeggen dat iets “mogelijk onjuist kan zijn” of dat “deze informatie mogelijk vertrouwelijk is” gaat je echt niet helpen bij de rechter.

Als je specifiek iets wilt toelichten dan zou dat de moeite waard kunnen zijn. Denk aan “Wij zijn geen advocatenkantoor” of “Ons belastingadvies is gebaseerd op fictieve voorbeelden, niet op uw situatie”. Maar iets als “wij zijn niet aansprakelijk” of “dit kan vertrouwelijk zijn” of “ons advies is niet bindend, u handelt op eigen risico” is zinloos.

Het belangrijkste, ook bij gratis advies, is zorgen dat het gewoon klopt wat je zegt. In 2011 blogde ik ook over deze kwestie, en toen vond ik een vonnis waarin een gemeente aansprakelijk werd gesteld voor gratis advies:

Dat een bepaalde serviceverlening door een organisatie “onverplicht en gratis” is, rechtvaardigt niet de uitsluiting van in dat kader gebruikte (gebrekkige) roerende zaken van de werking van artikel 6:181 lid 1 BW. Immers, een organisatie die in de uitoefening van haar bedrijf roerende zaken gebruikt is de eerst aangewezene om doeltreffende maatregelen te nemen om zoveel mogelijk te voorkomen dat die zaken mogelijk gebrekkig zijn, met name indien gebrekkigheid van dergelijke zaken ernstig gevaar voor derden zou kunnen opleveren.

Toegegeven, het ging hier om het gratis uitlenen van een loopplank die volledig doorgerot bleek en niet om advies, maar het principe lijkt me hetzelfde. Je levert een dienst als deskundige, en dan heb je te zorgen dat je gepaste zorg in acht neemt.

Bovendien: wat voor boodschap gaat er uit van een advies waar je onder zet “dit zou allemaal zomaar fout kunnen zijn en ik wens nergens aansprakelijk voor te zijn”? Dat komt toch neer op “Ja ik doe maar wat, boeien” en niet als “hoop dat u hier wat aan heeft, en voor meer advies ben ik te huur?

Arnoud

Ook met aanhalingstekens is onbeperkt onbeperkt

Geplaatst op in Informatiemaatschappij, 13 reacties

aanhalingstekens.pngHa, een mooi stukje ergernis van mij waar nu ook eens een rechter wat van vindt. Het is een bekende praktijk: er worden prachtige dingen beloofd in reclameposters en wervende webpagina’s, maar als je dan op pagina 6 van de algemene voorwaarden kijkt, zie je in artikel 18.3 ineens het tegenovergestelde staan. En dan sta je daar tegenover een groot bedrijf, net zoals de klant uit dit vonnis met zijn “onbeperkt” internet.

De klant had in 2005 mobiel internet afgenomen bij Telfort, en liep op zeker moment tegen een gebruikslimiet van 1.100 mb aan. Zijn verweer daartegen was dat dat nooit was afgesproken: het product heette “Maximaal online” (ja, met aanhalingstekens) en dat impliceert toch dat je maximaal je online-verbinding kunt belasten, of niet soms?

Nee, niet soms, aldus Telfort: in de kleine lettertjes staat een verwijzing naar de tarievenlijst en daar staat bij een sterretje aangegeven dat er een datalimiet kan zijn. En die voorwaarden heeft u gehad bij contractsluiting, dus pech gehad.

Dat van die voorwaarden werd betwist, maar niet genoeg om de rechter te overtuigen. Alleen hielp dat Telfort niet echt: je kunt niet zomaar in de kleine lettertjes dingen ontkennen die in de grote letters worden beloofd:

Wanneer in reclame-uitingen sprake is van een abonnement met een onbeperkte limiet voor het gebruik dient de verkoper van het abonnement zich daar aan te houden, tenzij zij op een duidelijke wijze kenbaar maakt dat er toch van een limiet sprake is.

Een prijslijst als bijlage bij algemene voorwaarden, of zelfs de algemene voorwaarden zelf, lijkt me volstrekt geen “duidelijke wijze” om wat dan ook bekend te maken. AV zijn bedoeld voor details, niet voor belangrijke zaken zoals een datalimiet. Vergelijk deze uitspraak van een tijdje terug over de wettelijk verplichte informatie voor webwinkeliers: ook die mag niet alleen in de algemene voorwaarden staan.

Verder was niet bewezen dat de prijslijst was overhandigd waarin die zin over datalimieten stond. Dus ook op juridisch-technische gronden gaat Telfort onderuit.

Arnoud

Einde van de Telefoongids?

Geplaatst op in Privacy, 6 reacties

Het lijkt er sterk op dat de papieren Telefoongids vanaf volgend jaar niet langer bezorgd wordt, meldde Webwereld gisteren. Ongetwijfeld compleet los van de opkomende verkiezingen meldden diverse politici dat het nu toch eens tijd wordt de wet te wijzigen zodat het bezorgen van de Telefoongids kan stoppen.

Directe aanleiding van een en ander was Alexander Klöpping’s SterfTelefoongidsSterf.nl, waarmee hij een statement wil maken over de papier- en andere verspilling rond de dodebomenmensenzoekmachine. Een succesvol statement: als je het object van je actie zó boos kunt maken dat ze met juridische stappen gaan dreigen, doe je het goed.

Ondertussen zie ik nu overal dat “een wijziging van de Telecomwet nodig” zou zijn om te regelen dat de gids niet langer verplicht door de bus gepropt wordt. Want dat is de spin van DTG: wij zijn wettelijk verplicht de gids te bezorgen, dus mogen wij die nee-nee sticker van u negeren ondanks dat de gids bomvol staat met advertenties en dus gewoon papieren spam is.

Zoals ik vorig jaar al schreef, nergens staat in de wet dat iedere Nederlander een gids onder de neus geduwd moet krijgen. De wet spreekt van “beschikbaar zijn” van deze faciliteit, maar er is geen enkele reden waarom je daar alleen aan kunt voldoen door de gids door de bus te duwen.

En ja dat staat in de wet, maar de wet wijzigen is niet eens nodig om hier eens expliciet een einde aan te kunnen maken. De wet bevat namelijk een plugin interface, pardon een delegatieregeling: er is bepaald dat nadere regels over dat “beschikbaar zijn” door de minister gesteld mogen worden in het BUDE.

Het BUDE is een zogeheten Algemene Maatregel van Bestuur, en een AMvB wijzigen is een stuk eenvoudiger dan een wet wijzigen. De minister kan zelf een wijziging doorvoeren, formeel is daarvoor niet eens instemming van de Tweede Kamer voor nodig. En het lijkt me zonder meer mogelijk om in het BUDE op te nemen dat “Telefoongidsen worden op papier uitsluitend verspreid met aparte voorafgaande toestemming van de ontvanger” of iets dergelijks. Dat hoeft absoluut niet in de telecommunicatiewet zelf.

Juridisch gezien kan dit dus prima op korte termijn geregeld worden. Met een beetje goede wil zelfs voor de verkiezingen.

Arnoud
Foto: huppetee weg ermee die telefoongids! van ‘CatChat.nl’.

Amsterdam mag e-mail personeel niet bekijken

Geplaatst op in Ondernemingsvrijheid, Privacy, 19 reacties

outlook-machtigen-inzien.pngDe dienst werk en inkomen van de gemeente Amsterdam mag niet zomaar in de mailbox van medewerkers kijken, las ik bij Nu.nl. Het besluit waarmee de dienst zich dat recht gaf, was in strijd met de Wet op de ondernemingsraden. Het kunnen inzien van mailboxen valt namelijk onder “personeelvolgsystemen” en voordat je dat mag doen, moet de ondernemingsraad toestemming geven.

Zoals tegenwoordig vrijwel elk bedrijf had ook deze overheidsdienst een protocol over toegang tot mailboxen. Eerst als onderdeel van de algemene Gedragscode Elektronische Communicatiemiddelen, maar nu gewijzigd. En die gewijzigde regeling verschilde op een belangrijk punt: waar vroeger (behalve bij vermoedelijke integriteitschendingen) alleen met toestemming in een mailbox mocht worden gekeken, mocht dat nu ook zonder toestemming wanneer bij ziekte of iets dergelijks bleek dat je geen collega gemachtigd had om in je mailbox te kunnen.

De OR heeft instemmingsrecht bij dergelijke gedragscodes en protocollen. De Wet Ondernemingsraad bepaalt namelijk dat dat dit recht bestaat bij alle verwerkingen van persoonsgegevens in het algemeen (en mail lezen valt daaronder) maar ook iets specifieker bij “waarneming van of controle op aanwezigheid, gedrag of prestaties” van groepen werknemers.

Viel dit protocol nu onder deze regeling? Het was immers bedoeld om bij ziekte het werk over te kunnen nemen, vanwege de naar buiten toe gestelde responstijd van 24 uur op alle mails van cliënten. Snel je cliënten van dienst kunnen zijn, dat is toch geen controle op werknemers?

De rechter vindt van wel:

Het besluit is niet gericht op die controle, maar kan er wel geschikt voor zijn. Bepaald niet uitgesloten is immers dat de manager, wanneer de medewerker een achterstand in werk blijkt te hebben, deze hier op aanspreekt. Daarmee is ook voldaan aan het criterium dat het moet gaan om ‘de prestaties’ van de medewerker.

Oftewel, de manager kan langs deze weg toevallig zien hoe iemand functioneert en daar dan iets mee doen. En vanwege die mogelijkheid tot controleren van prestaties had er instemming van de OR moeten worden gevraagd.

De rechter merkt daarbij op dat dit de eerste uitspraak van zijn soort is. Eerdere relevante jurisprudentie is er niet. Wel had hij nog het boek Inzicht in de Ondernemingsraad gevonden (en om raadselachtige redenen zijn de auteurs geanonimiseerd in het vonnis), waarin werd aangegeven dat het er niet om gaat of de systemen gebruikt wórden om personeel te volgen maar of ze daarvoor gebruikt kúnnen worden. Dus toch nog een soort van externe onderbouwing.

Voor de volledigheid wordt ook nog de privacy erbij gehaald, immers je mag (in beperkte mate) privé mailen vanuit die mailbox en het lezen daarvan door de manager is dan een verwerking van je persoonsgegevens. Dat is óók weer een reden waarom toestemming van de OR nodig was.

Op straffe van een dwangsom moet de dienst nu het protocol eerst aan de OR voorleggen, en mag men het pas invoeren na hun toestemming. En ik kan me zo voorstellen dat de OR nu enigszins kritisch zal staan tegenover het protocol.

Arnoud

Mag mijn hoster mijn site zomaar weggooien?

Geplaatst op in Intellectuele rechten, 20 reacties

Toevallig vroegen diverse lezers me:

Onlangs was ineens mijn website weg! Mag mijn hoster dat zomaar doen? Ik heb geen backups want ik vertrouw erop dat het gewoon bij de hoster staat. En die heeft ineens zonder mededeling mijn account dichtgezet en alles weggegooid. Ik ben nu drie jaar werk kwijt 🙁

Een hoster mag natuurlijk niet zomaar een account opheffen of bestanden weggooien. Maar het venijn zit ‘m in dat “zomaar”.

Bij een hostingcontract zegt de hoster toe bestanden te hosten (goh) en de klant zegt toe te betalen. Zolang de een zijn prestatie verricht, is de ander verplicht dat ook te doen. Maar wanneer een van de partijen tekort schiet, mag de ander zijn prestaties opschorten zoals dat juridisch heet (art. 6:262 BW).

De hoster mag dus bij wanbetaling zijn prestatie – het hosten – opschorten. In gewone taal: als je niet betaalt, gaat je site op zwart. Betaal je dan alsnog, dan gaat je site weer terug (op wit?). Het maakt niet uit of jou wat te verwijten valt bij dat niet betalen. Ook als het aan jouw kant overmacht was, mag de site op zwart.

De hoster moet dan wel aan de klant melden dat hij dit gaat doen. Dat mag op zich ook met een tekst op de site “Deze site is wegens administratieve redenen onbereikbaar, neem contact op met de helpdesk” maar ik vind het netter om even een mailtje te sturen.

Meer algemeen mag een contractspartij het contract opzeggen als de wederpartij tekort schiet (art. 6:265 BW). De hoster staat dus in principe zelfs in zijn recht als hij bij wanbetaling opzegt. En wederom ook als jou niets te verwijten valt.

Wel geldt zowel bij opschorting als bij opzegging dat dit wel gerechtvaardigd moet zijn door de tekortkoming. Eén keer twee cent te weinig betalen is bijvoorbeeld geen rechtvaardiging voor een contractsopzegging. Zes maanden je 100 euro maandelijkse kosten niet betalen wel.

Ook moet de hostingpartij zich redelijk opstellen bij de maatregelen die hij neemt. Meteen opzeggen én alles weggooien lijkt me niet redelijk, dat kan ook wel een onsje minder. De wijze van opschorting moet proportioneel zijn gezien de aard van de tekortkoming van de klant. Bij een site die virussen verspreidt kan ik me voorstellen dat je data weggooit, die data is immers schadelijk en je wil daar nu een einde aan maken. Bij een gewone site en een ‘gewone’ wanbetaling zou ik eerder verwachten dat de boel ontoegankelijk wordt maar niet volledig wég is.

Aan de andere kant mag je denk ik van een hostingklant ook wel verwachten dat hij regelmatig backups maakt van zijn data. Ik vergeet het zelf ook telkens met de database van deze blog, maar het is wel míjn fout als ik er pas na opzegging van mijn contract bij bHosted.nl achter kom dat mijn blogdatabasebackup een maand mist. Het lijkt me dus moeilijk om een schadeclaim in te dienen wegens kwijtgeraakte data.

Arnoud

Kun je echt zomaar willekeurige contracten sluiten via internet?

Geplaatst op in Informatiemaatschappij, 12 reacties

Een lezer vroeg me:

Voor veel tijdschriften kun je tegenwoordig een abonnement nemen via internet, door slechts een formuliertje in te vullen, zonder handtekening of telefonische toestemming. Stel dat een grapjas mijn gegevens invult, is zo’n contract dan bindend en rechtsgeldig? En zoniet, hoe beschermen uitgeverijen zich dan tegen klanten die achteraf ontkennen ooit een abo te hebben genomen?

Het is eigenlijk een wonder dat dit goed gaat elke keer. Want inderdaad het systeem is zo lek als een mandje en volstrekt triviaal te misbruiken.

Voor een overeenkomst (contract, abonnement, hoe je het maar wilt noemen) is niet meer nodig dan dat de ene partij een aanbod doet waar de andere partij akkoord op geeft. Dat aanbod en het akkoord mag op elke manier worden gedaan. De wet stelt daar geen vormvereisten aan, behalve bij enkele speciale contractsvormen zoals de aankoop van een woonhuis of een concurrentiebeding in een arbeidscontract – die moeten schriftelijk.

Een contract via een bestelformulier op internet is dus volstrekt rechtsgeldig, en je kunt er niet onderuit met de stelling dat je niets getekend hebt of dat er niet geverifieerd is of jij het wel was. Natuurlijk kan een grapjas niet jou aan een contract binden. Iemand die dus jouw gegevens invult op zo’n formulier, schept geen verplichtingen voor jou.

Praktisch gezien krijg je wel wat gedoe, want het proces bij zo’n uitgever is dat je na invullen van het formulier automatisch het tijdschrift krijgt en ook een en ander moet gaan betalen. En wie niet betaalt, die krijgt een incassobureau op zijn dak. Er is zelden ruimte voor “ja maar dat was ik niet, ik wil dat abonnement niet” in dat proces, dus je moet dan moeilijk doen om gehoord te worden.

Formeel-juridisch is het echter de uitgever die moet bewijzen dat jij het abonnement hebt afgesloten. En “uw gegevens staan in ons bestand” is natuurlijk volstrekt onvoldoende daarvoor. Men kan nabellen, of eerst een acceptgiro sturen en pas na betaling daarvan het eerste nummer opsturen. Als die naar het opgegeven adres gaat en vervolgens betaald wordt, dan lijkt me dat wel bewijs dat de bewoner daar het abonnement wil.

Dus inderdaad, er is potentieel voor misbruik. Maar ik denk dat de meeste mensen dit te puberaal vinden zodat het in de praktijk wel meevalt.

Arnoud

Kan het Zweedse Minecraft een Amerikaans patent schenden?

Geplaatst op in Intellectuele rechten, 10 reacties

minecraft-patent.pngDe Zweedse Minecraft-ontwikkelaar Mojang wordt aangeklaagd door het Amerikaanse bedrijf Uniloc voor patentinbreuk, las ik bij Tweakers. Markus Persson, de bedenker van het concept, vond dit grappig want wat heeft hij als Zweeds bedrijf immers te maken met Amerikaanse patentwetgeving?

Nou, toch iets meer dan je zou denken. Het enkele feit dat jij als bedrijf niet in de VS gevestigd bent, maakt niet dat je automatisch niets met de Amerikaanse wetgeving te maken hebt. Waar het om gaat, is of je de gepatenteerde producten of werkwijze toepast (verhandelt, verkoopt, bedrijfsmatig inzet, etc) in de VS. Dat is ongeveer hetzelfde criterium als bij ons, en het wordt ook op dezelfde manier ingevuld: wat doe je precies en in hoeverre is daaruit af te leiden dat je je specifiek op de VS richt?

Wie bv. adverteert in Amerikaanse tijdschriften, prijzen in US dollars vermeldt en “free shipping in Continental USA” vermeldt, valt onder de Amerikaanse patentwetgeving. Idem voor verkoop van apps in een appstore van een Amerikaans bedrijf zoals Google of Apple. Een Nederlandstalige site waar toevallig een Amerikaan iets kan bestellen daarentegen niet. Bij een generieke Engelstalige site waar iedereen lid kan worden is het een grijs gebied.

Een andere vraag is wat de patenthouder kan doen met een voor hem gunstig vonnis als de gedaagde niet in de VS gevestigd is. Er is geen verdrag bijvoorbeeld tussen Amerika en Zweden (of de EU) dat tenuitvoerlegging van Amerikaanse octrooivonnissen mogelijk maakt in Zweden. Dus stel Minecraft verliest, dan is er bar weinig te halen financieel gezien. Heel misschien is er iets te verzinnen met inbeslagname van servers van het bedrijf die in een Amerikaans datacenter staan, maar meer zou ik zo niet weten.

Heb je wél bezittingen in de VS, of komen die er later te staan (je bedrijf breidt uit over een paar jaar) dan zijn die via dat vonnis alsnog op te eisen en te gelde te maken. Wuif dus zo’n octrooiclaim nooit zomaar weg, want ook jaren later kan het nog tot problemen leiden.

Arnoud

Nieuwe voorwaarden Steam verbieden ‘class action’-rechtszaken

Geplaatst op in Informatiemaatschappij, 6 reacties

In de nieuwe gebruiksvoorwaarden van gamingnetwerk Steam staat dat ‘Valve en de gebruiker bij problemen samen tot een oplossing moeten komen’, en dat met name class action lawsuits verboden zijn. Dat las ik tijdens mijn vakantie bij Tweakers. Met een class action lawsuit kunnen grote groepen gedupeerden zich verenigen en een massaclaim indienen.

In de VS gebeurt dit heel vaak, met name omdat advocaten daar op no cure no pay mogen werken, maar ook omdat je niet graag je rechtssysteem laat verstoppen door honderden identieke rechtszaken. Het idee is dat als iedereen in dezelfde situatie zit, er maar één rechtszaak nodig is. En men pakt dan meteen door: de rechter kan de uitkomst algemeen verbindend verklaren, zodat iedereen in diezelfde situatie aanspraak kan maken op de schadevergoeding.

Class actions zijn voor grote bedrijven een grote zorg, want je kunt zomaar een miljoenenclaim aan je broek krijgen vanwege een clubje activisten die het voor elkaar krijgen de rechtszaak algemeen verbindend verklaard te krijgen voor al je klanten. Die natuurlijk dan graag even gratis geld komen halen. Vandaar dat men zich in alle mogelijke bochten wringt om dit te voorkomen, en één zo’n bocht bleek buitengewoon succesvol: in je algemene voorwaarden opnemen dat je afstand doet van je recht om een class action te starten dan wel daaraan deel te nemen. De Supreme Court bevestigde namelijk in begin 2011 dat je in gebruiksvoorwaarden mag bepalen dat men verplicht naar een arbitragecommissie moet stappen en afstand doet van het recht op een rechtszaak.

In Nederland ligt het iets anders. Verplichte geschilbeslechting door een derde staat op de zwarte lijst van algemene voorwaarden, oftewel zo’n verplichting is altijd ongeldig te verklaren door de consument. De enige uitzondering is als er bij bepaald is dat de consument altijd een maand of meer heeft om te beslissen alsnog naar de rechter te willen. Voor arbitrage ligt het iets genuanceerder.

Voor Nederlanders speelt er nog iets in die voorwaarden: men kan bepalen dat het recht van Californië of de rechtbank in Santa Clara bevoegd is. Ook dat kan niet zomaar: dergelijke regels zijn eveneens onredelijk bezwarend. Je kunt niet worden afgehouden van de rechter waar je volgens de wet recht op hebt. Maar het kán voordelig zijn, want het recht van Californië kan je meer schadevergoeding opleveren dan ons recht.

Arnoud

Mag IP-adressen loggen van de privacywet?

Geplaatst op in Security, 63 reacties

Zo, ik ben weer terug van vakantie. Leuk om te zien dat de gastblogs zo populair zijn 🙂 Tijdens mijn vakantie bleven de vragen binnenstromen. Ga zo door!

Een veel voorkomend onderwerp betrof het al dan niet mogen loggen of vastleggen voor allerlei doeleinden van IP-adressen. IP-adressen zijn immers persoonsgegevens, en die mag je toch niet zomaar verwerken zonder toestemming? Bij sommige vraagstellers bespeurde ik een trollerige achtergrond (“ik wil ze terugpakken want ze hebben me geband”) maar het is natuurlijk een serieuze vraag.

Ja, een IP-adres is een persoonsgegeven. Meestal dan; een IP-adres identificeert een computer (ok, netwerkinterface) maar vaak is die computer door één persoon in gebruik, zodat het adres net zo persoonlijk wordt als een telefoonnummer. Het IP-adres van een server is natuurlijk geen persoonsgegeven.

Als je niet zeker weet of een IP-adres een persoon identificeert, maar je weet dat dit váák wel het geval zal zijn, dan kun je het beste op safe spelen als je privacytechnisch correct wilt zijn. Daarom (en omdat niet alleen de auteurswet last heeft van permanente expansie) wordt veelal aangeraden om IP-adressen altijd als persoonsgegeven te behandelen.

En dat betekent inderdaad dat je als hoofdregel alleen mag werken met een IP-adres als je toestemming hebt van de gebruiker daarvan.

Als hoofdregel, want er zijn wel degelijk uitzonderingen op die regel. Zo is er de regel dat je geen toestemming nodig hebt als het gebruik nodig is voor het uitvoeren van een overeenkomst met die gebruiker. Wil men een IP-sessie met jou, dan is het vrij logisch dat je het IP-adres gebruikt om die sessie op te zetten en te onderhouden. Wil men ingelogd blijven, dan mag je het IP-adres opslaan in je database om na te gaan of het nog steeds dezelfde persoon is. (Of dat slim is, is wat anders; het mag.)

Loggen van IP-adressen en met name het hebben van blacklists met IP-adressen vallen natuurlijk niet onder die “uitvoeren van een overeenkomst” uitzondering. Maar er is er nog eentje: als jouw gebruik van persoonsgegevens absoluut noodzakelijk is voor een legitiem doel én toestemming vragen is zinloos én jouw belang weegt op tegen de privacy van de wederpartij, dan mag het ook zonder toestemming.

Dit zijn drie hoge eisen maar het lijkt me dat een blacklist van structureel irritante personen wel voldoet aan deze eis. Het weren van zulke types is een legitiem doel, dat móet eigenlijk wel op basis van IP-adres en toestemming vragen aan trollen is waanzin.

Wel vraag ik me af hoe je dan om moet gaan met dynamische IP-adressen. Het overkwam mij ook laatst dat ik ineens geband was op Wikipedia: de vorige UPC-klant met dat IP-adres had kennelijk nogal huisgehouden. Een goede site heeft een bezwaarprocedure voor blokkades die irrelevant zijn geworden vanwege verlopen IP-adressen. Alleen, hoe ga je dan weer om met trollen die drie dagen niks zeggen en dan roepen dat ze tegen de ban van hun voorganger zijn aangelopen?

Arnoud

Gastpost: Het Nederlandse Cyberleger

Geplaatst op in Informatiemaatschappij, 4 reacties

cyberleger.jpgVanwege mijn vakantie blog ik zelf niet, maar ik ben blij diverse gastbloggers te mogen verwelkomen. Vandaag Homme Bitter over het Nederlandse cyberleger.

Nederland heeft geen cyberleger. Dat is als 1e wereldland en vooraanstaand lid van de NATO natuurlijk iets wat zo snel mogelijk opgelost moet worden. Daarom is er door de minister van defensie op 27 juni een presentatie gehouden van de plannen om ook Nederland mee te laten tellen. Deze presentatie heeft hij gegeven op de Nederlandse Defensie Academie in Breda tijdens een symposium over dit onderwerp. Ik ben daar als gast aanwezig geweest en wil graag mijn ervaringen delen.

Er wordt door defensie hoog ingezet. “Cyber” wordt gezien als een nieuw slagveld. Ter land, ter zee, in de lucht, in de ruimte en nu ook in de virtuele ruimte, kan je oorlog voeren.

Nu we een heel nieuw potentieel slagveld hebben, moet er ook een leger worden opgericht wat toegerust is om op dat slagveld zijn/haar mannetje te staan. Behalve de technische invulling daarvan, zal dat ook betekenen dat er juridisch een en ander geregeld moet worden. De laatste echt serieuze verdragen die internationaal bepalen wat wel en niet bij een oorlog hoort, komen nog uit Genève en dateren in beginsel uit 1949. Er zijn weliswaar toevoegingen aan gedaan in 1977 en 2005 maar die gaan nog steeds niet over wat je nou wel en niet mag bij cyberoorlogsvoering. Sowieso, wat mag het leger wel wat de politie of de AIVD niet mag en omgekeerd?

Een deel van het symposium waarop de presentatie van het cyberleger werd gedaan, ging over deze vraag. Wat moet het leger voor taak in gaan vullen, hoe zit dat nu wettelijk geregeld en wat moet er eventueel aan aanvullende wetgeving komen om die taak beter uit te kunnen voeren, of om die taak mogelijk te maken. In principe heeft het leger twee taken. Het verdedigen van de internationale rechtsorde en het voorkomen van maatschappij-ontwrichtende gebeurtenissen. Dit is niet de letterlijke tekst uit de wet, maar kort door de bocht komt het daar wel op neer. Als je dat naar het digitale domein vertaalt, zou dat in de praktijk betekenen dat het leger ingezet zou kunnen worden voor Internationale “vredesmissies” waarbij zowel verdedigend als aanvallend, samen met bondgenoten, acties worden uitgevoerd. Wat ook heel goed zou kunnen, is dat het leger net als bij het plaatsen van een veldhospitaal bij een ziekenhuis waar de operatiekamer besmet is, ook een “veldcomputercentrum” kan plaatsen bij zo’n zelfde ziekenhuis waar een virus de ICT plat heeft gelegd.

Wat gaan soldaten doen in conventionele oorlogsvoering, nu er een extra slagveld bij is gekomen? Gaan ze de infrastructuur van de vijand DDoSen? Gaan ze inbreken op de computers en de gegevens verminken of wissen? Gaan ze op Internet propaganda neerzetten die de bevolking van de vijand in opstand moet laten komen? Of gaan ze civiele doelen aanvallen, waardoor de brandweer en ambulances in het vijandelijke land niet meer kunnen functioneren? Het Internet daar platleggen? Worden het subtiele, doelgerichte aanvallen, al dan niet zonder dat de dader te achterhalen is? Gaan er ook cybersoldaten mee op patrouille om buitgemaakte datadragers forensisch te onderzoeken op strategische informatie? Dit is allemaal nog niet bekend en het is ook nog niet duidelijk hoe dat wettelijk allemaal geregeld is. Wat mag wel, wat mag niet, wat valt onder de huidige Internationale wetgeving en waar moet er nog wetgeving voor bij komen?

Een ander deel van wat er nu bij komt voor het leger, heeft met de militaire tegenhanger van de AIVD, de MIVD te maken. Die twee werken al nauw samen, maar omdat de AIVD zich meer met terrorisme en economische spionage bezig houdt, zal het militaire spioneren, pardon, het voorkomen van andermans militaire spioneren op de computernetwerken van Nederland en de bondgenoten op het bordje van de MIVD terecht komen. Sommigen binnen defensie vinden het lastig om dat te kunnen doen zonder dat er meer rechten komen voor de MIVD en andere inlichtingendiensten. De vergelijking wordt getrokken tussen radioontvangst en Internetontvangst. Alles wat in de ether langs komt, mag de MIVD uit de lucht plukken en opnemen, decoderen en wat ze er ook maar mee van plan zijn. Als ze heel Internet zouden kunnen “ontvangen” en er systemen op kunnen zetten zoals Echelon, of zoals FaceBook z’n gebruikers afluistert om pedofielen mee te vangen, zou dat hun werk een stuk makkelijker maken.

Niet iedereen binnen defensie heeft deze mening en het is uiteindelijk aan de wetgever om te bepalen wat de grens gaat worden. Het leger mag qua radio-ontvangst op zich ook niet veel meer dan wat iedere burger nu mag. Er is in principe vrije radioontvangst en de enige uitzondering die daar nu voor is, is het descramblen van C2000 en het hebben van een radarverklikker in je auto. De reden daarvoor is veel discussie over geweest, maar het komt er op neer dat je de politie zou hinderen in hun werk en je zou eens plotseling remmen als je radarverklikker afgaat, dat is gevaarlijk weggedrag. Of dat valide redenen zijn of niet kan je nog twijfels over hebben, maar het is een uitzondering op wat sowieso al mag en hij is beargumenteerd. Gewone burgers mogen niet zomaar iedereens Internet of telefonie afluisteren, dus waarom de overheid dat ineens wel zou mogen met als argument “voor onze veiligheid” is mij niet helemaal duidelijk geworden. Het is in ieder geval een discussiepunt en we kunnen verwachten dat dit opnieuw in de politiek ter sprake gaat komen in het kader van dit nieuwe legeronderdeel.

Het is duidelijk dat de Nederlandse overheid wel inziet dat ze dit niet in hun eentje moeten doen en dat het leger dit ook niet moet doen zonder met de politie en de AIVD samen te werken. Het onderscheid tussen terrorisme, criminaliteit, spionage, een ongeorganiseerde opstand zoals van Anonymous en een frontale aanval is vaak maar lastig en meestal pas achteraf te bepalen. Hoe je daar nou invulling aan moet geven en in hoe je je bondgenoten moet betrekken is nog niet helemaal duidelijk, dus we gaan in de toekomst vast nog interessante dingen over dit onderwerp te zien krijgen.

Ik vind zelf dat we in alle redelijkheid moeten gaan kijken naar hoe we dit als land aan gaan pakken. Dat er mensen met foute bedoelingen zijn die ICT gebruiken als middel om hun doel te bereiken is niet te vermijden. We zullen daar als samenleving en dus ook via onze overheid aandacht aan moeten besteden. Welke rechten en plichten we onze overheid daarin geven, is iets waar we zorgvuldig over na moeten denken. We moeten met zijn allen het doel niet uit het oog verliezen en onze vrijheid weg geven door de verkeerde middelen te kiezen om haar te beschermen.

Homme Bitter is consultant bij Sogeti. Hij is in zijn dagelijkse werk betrokken bij beveiliging van ICT-systemen en de problemen die daar mee samen gaan op juridisch vlak.