Internetrecht door Arnoud Engelfriet

Nederland is in een “cyberoorlog” met de Russen verwikkeld, zegt minister Ank Bijleveld van Defensie. Dat meldde Nu.NL onlangs. De aanval op het het wifi-netwerk van de OPCW in Den Haag door vier GRU-agenten zou deel zijn van een grotere hoeveelheid cyberaanvallen van Rusland op Nederlandse infrastructuur, waarbij de minister het desgevraagd aanduidde als een “cyberoorlog”. Enkele dagen later werd dat genuanceerd, de uitspraak was “vanzelfsprekend niet letterlijk bedoeld”. Wat een paar lezers ertoe bracht me te vragen, wanneer spreek je wél letterlijk van een cyberoorlog? Is dat juridisch een begrip?

Het korte antwoord: nee, dat is geen juridisch gedefinieerde term. De meer algemene term ‘oorlog’ is dat soort van wel – een gewapend conflict tussen staten, heel algemeen gezegd. Daar zijn allerlei variaties op, waarvan de meest symbolische denk ik wel is artikel 2 United Nations Charter, dat simpelweg het voeren van (en dreigen met) oorlog verbiedt. Klinkt mooi, maar oorlog is een dusdanige uitzonderingstoestand dat de wettelijke theorie al heel snel zal wijken voor de brute praktijk.

Je zou natuurlijk kunnen zeggen, vanwege de prefix cyber- is een cyberoorlog dan een oorlog die al cyberend wordt uitgevoerd. Oftewel, de middelen van oorlogvoering zijn ICT-middelen in plaats van bommen en granaten. Maar ik zie echter een paar belangrijke verschillen tussen cyberaanvallen zoals die vandaag de dag gebeuren, en wat we klassiek onder “oorlog” verstaan.

Bij een oorlog is meestal sprake van gerichte aanvallen: een stuk land veroveren, defensie platleggen, industrie of hulpbronnen veroveren. Cyberaanvallen zijn echter meer ongericht: eens zien wat we plat kunnen leggen, hoe we het land kunnen destabiliseren. Een hoop dingen proberen en zien waar je succes hebt. Dat vind ik nauwelijks te vergelijken met een militaire invasie of een luchtbombardement. Daarbij komt dat dit soort aanvallen vaak worden ondernomen door losse hackersgroepen, die weliswaar vaak gelieerd zijn aan de staat maar geen militaire eenheden zijn. Dat hoeft ook helemaal niet bij dit soort aanvallen.

Ik zou dan zelf ook eerder spreken van cyberterrorisme of cyberguerrilla, ook daar zie je vaak een hoop probeersels waarbij de successen beklijven en de mislukkingen nauwelijks opvallen. Maar ik geef meteen toe dat dat een stuk minder spannend klinkt dan ‘oorlog’.

Arnoud

Veel Nederlandse werknemers versturen weleens werkbestanden vanuit hun zakelijke mailbox door naar hun privémailadres, las ik bij Security.nl. Dat baseert zich op het recent verschenen Cybersecurity bewustzijnsonderzoek van Alert Online dat onder meer dan duizend Nederlanders werd uitgevoerd. Volgens het onderzoek zegt 15 procent van de respondenten dat ze dit “altijd of meestal” wel doen. 29 procent zegt soms wel, soms niet of meestal niet. Het onderzoek werd uitgevoerd door Motivaction in opdracht van Omnicom Public Relations Group (OPRG), dat de NCTV-campagne Alert Online organiseert. Ik kreeg van diverse mensen de vraag, kun je dit niet beter gewoon verbieden als werkgever?

Het kan natuurlijk een risico zijn om werkbestanden naar jezelf te mailen. Ik vermoed dat in de enquête vooral werd gedacht aan risico’s rondom de slechter beveiligde thuiscomputer, waardoor virussen er met de data vandoor kunnen gaan of deze door een foutje gemaild of geupload wordt naar een plek waar hij niet hoort. Idem voor privémailboxen die minder goed beveiligd zijn. Daarnaast zit je als bedrijf nog met AVG issues, een bestand met persoonsgegevens dat op deze manier mee naar huis gaat, kan best een datalek opleveren.

Vanwege deze risico’s kan ik me goed voorstellen dat een bedrijf haar medewerkers verbiedt om bestanden naar privéadressen te mailen en/of op sticks en dergelijke mee naar huis te nemen. Wel moet je als bedrijf dan goed hebben nagedacht hoe je het wil doen met thuiswerken, iets dat vaak de facto zeer zeker verwacht wordt van medewerkers. (Ze nemen die informatie immers niet voor niets mee naar huis.) Je kunt als goed werkgever niet enerzijds thuiswerken verlangen en anderzijds geen middel bieden om de benodigde data thuis te hebben.

In de comments zag ik nog de suggestie om werknemers aansprakelijk te stellen als ze zo’n verbod overtreden of een datalek veroorzaken door slechte beveiliging thuis. Dat gaat ‘m niet worden: juridisch gezien kun je werknemers gewoon niet privé aansprakelijk houden voor fouten die ze op het werk maken. En data meenemen naar huis om daar onveilig te werken, is gewoon een werkgerelateerde fout. Ook als het expliciet verboden is. Het arbeidsrecht is hier zeer op de hand van het personeel.

Ik ken werkgevers die om deze reden USB-poorten fysiek onbruikbaar maken en Gmail en consorten blokkeren. Dat is wat radicaal maar voorkomt een hoop ongewenste datatransporten. Je maakt het mensen dan weer wel moeilijker om hun werk te doen, dus daar moet je dan wat anders op verzinnen.

Arnoud

Herrie in de Linux-tent: een nieuwe Code of Conduct in het project heeft veel ophef veroorzaakt, inclusief dreigementen dat men bijdragen aan de kernel gaat intrekken. Deze zijn door vrijwilligers ingebracht onder de GPLv2 open source licentie, maar volgens partijen die het oneens zijn met de Code is het nu mogelijk deze licentie weer in te trekken. Daarmee zou Linux en al haar afgeleide projecten – waaronder Android, dat het fundament vormt voor de meerderheid van alle smartphones en dergelijke devices – op losse schroeven komen te staan. Maar zo heet wordt die soep niet gegeten.

De herrie begon vlak nadat oprichter en eindbaas Linus Torvalds besloot zich tijdelijk terug te trekken “to take some time to learn how empathy works”. Op dat moment was er ook net een nieuwe Code of Conduct aangenomen voor het project, in lijn met vele andere open source projecten die proberen meer diversiteit aan boord te krijgen en verwijten van toxic culture het hoofd te bieden. Dat was tegen het zere been van een vocale groep ontwikkelaars, die dit zien als een aanval op de waarden van open source, met name het principe dat het gaat om de inhoud en kwaliteit, niet om vorm, afzender of wat dan ook. Ik breng het maar zo neutraal mogelijk, en wie even googelt op social justice warrior en toxic culture zal begrijpen waarom.

Een recente oproep in de vorm van een open brief gooide olie op het vuur. Deze stelde namelijk dat iedereen die het oneens was met de Code of Conduct, dit moest laten merken door zijn (of in theorie: haar) bijdragen aan Linux terug te trekken. Dit zou kunnen via de juridische figuur van rescission, in het Nederlands ontbinding geheten. Daarmee vervalt de licentie en mag de Linux kernel, maar ook Android en consorten, die code niet meer gebruiken.

Leuk bedacht, maar ik denk niet dat het stand houdt. Het concept van rescission of ontbinding is een contractuele figuur, en zeker in Amerika is altijd gesteld dat de GPLv2 geen contract is. Het lijkt me dan niet haalbaar om de ontbinding daarvan in te roepen. In Europa ligt dat anders, ik weet 99% zeker dat de GPL hier een contract is. En inderdaad kun je een contract dan ontbinden.

Voor ontbinding zijn wel argumenten nodig. Je bedenken of geen zin meer hebben in de sfeer van de club is nadrukkelijk geen argument. Dat moet je maar vooraf in het contract opnemen (contractsjuristen spreken dan van termination at will). Ontbinden onder de wet kan eigenlijk alleen bij wanprestatie, schendingen van de overeenkomst door de wederpartij, of in zeer uitzonderlijke situaties die maken dat je redelijkerwijs écht niet meer gehouden kan worden aan dat contract.

Van een wanprestatie onder de GPL lijkt me geen sprake als iemand nieuwe gedragsregels binnen het project introduceert. De software wordt nog steeds onder precies dezelfde voorwaarden aangeboden, daar verandert welke gedragsregel dan ook niets aan. Ook je beroepen op gedane beloften over sfeer en werkwijze zie ik niet als wanprestatie. De GPL gaat over de software en wat daarmee mag gebeuren – namelijk alles, mits onder de gelijk-delen clausule uit die licentie. Ik zie niet hoe je dan achteraf kunt zeggen, ik vind deze nieuwe huisregels van project Linux onaardig dus de GPL wordt geschonden.

Natuurlijk kun je er wel voor kiezen om niet meer mee te doen aan het project, maar je bestaande licentie intrekken gaat ‘m niet worden.

Arnoud

De Consumentenbond ontving in een half jaar tijd zo’n driehonderd klachten over apps die van smart-tv’s zijn verdwenen. Dat meldde Nu.nl vorige week. Zo was bij de helft van de melders de app van de NPO ineens van de televisie verdwenen. En geloof me, als je televisie ineens geen Sesamstraat meer kan tonen dan heb… Lees verder

De politie en de TU Eindhoven testen een systeem om data uit verschillende bronnen, met name camera’s, te koppelen en te analyseren, om winkeldieven uit Oost-Europa in een vroeg stadium te herkennen. Dat meldde Tweakers afgelopen maandag. De camera’s zijn die uit de anpr-nummerplaatherkenning, gekoppeld aan een database die de politie heeft over voertuigen die… Lees verder

Een campagne waarbij bloeddonoren een League of Legends-skin kunnen krijgen in ruil voor hun donatie heeft tot nu toe 300 nieuwe donoren opgeleverd. Dat las ik bij Tweakers, dat zich baseert op bloedbank Sanquin die de actie heeft georganiseerd. De campagne draagt de naam #myfirstblood en was een succes: in de beoogde doelgroep van 18… Lees verder

1. Geen iTunes voor jou, Kim Jong-Il Ik begin met een klassieker: Apple verbiedt in de iTunes voorwaarden het gebruik van de software bij de productie of ontwikkeling van massavernietigingswapens: You also agree that you will not use these products for any purposes prohibited by United States law, including, without limitation, the development, design, manufacture… Lees verder

Een lezer vroeg me: Recent liep ik door de buurt en zag ik een buurtfeest met mooie sfeer. Weliswaar achter een afzetting maar op een straat met plein, dus openbare weg volgens mij. Ik maakte vanaf de straat aan de overkant foto’s, en werd toen aangesproken door twee deelnemers dat dat niet mocht, mede omdat… Lees verder

Onderhandelen over een deal vereist aandacht voor alle punten, van groot tot klein. Niet alleen de prijs is van belang, ook schijnbare details zoals wanneer sprake is van overmacht moet gewoon goed geregeld zijn. Ik noem mezelf bij onderhandelingen altijd een beroepspessimist of professioneel doemdenker: ik ga bedenken waar jij en je wederpartij ruzie over… Lees verder

Deze week ben ik nog met vakantie. Vorige week een terugblik op populaire blogs van de afgelopen jaren, deze week een selectie uit mijn oude tirades van de afgelopen jaren. Deze week: Kappen met “had je de voorwaarden maar moeten lezen” Als je er een beetje op let, dan zie je het dagelijks: advertenties die… Lees verder