Categorie: Ondernemingsvrijheid

About Ondernemingsvrijheid

Subscribe Feeds

Wat is er juridisch te vinden van de overname van Solvinity door een Amerikaans bedrijf?

Geplaatst op in Ondernemingsvrijheid, Regulering, 12 reacties

Een lezer vroeg me:

Welke juridische risico’s zie jij met betrekking tot het feit dat Solvinity, het cloudbedrijf waar de overheid zowel Digid en Mijn Overheid heeft ondergebracht, door een Amerikaans bedrijf wordt overgenomen?
Zuiver juridisch bekeken is hier weinig over te zeggen. Het probleem is vooral praktisch en beleidsmatig: dit is “niet handig” om het zachtjes uit te drukken. Maar er is geen wet die dit verbiedt, of die maakt dat het gebruik van deze diensten nu onmogelijk of zeer moeilijk wordt.

Natuurlijk, de AVG (en tot op zekere hoogte de Data Act) verbieden overdracht van gegevens naar buiten de EU, en in Europa gevestigde bedrijven mogen geen gehoor geven aan bevelen onder de CLOUD Act (art. 48 AVG). Maar binnen die grenzen opereren is vooral een papieren kwestie: afspraken vastleggen, service level agreements herzien en auditbevindingen documenteren. Als dat goed uitgewerkt wordt, dan zit je juridisch goed.

Het probleem is dat de zorgen over wat hier mis kan gaan, eigenlijk ongrijpbaar zijn voor de bestaande juridische toetsingskaders. De kern van de angst is niet “er wordt vandaag een wet overtreden”, maar “we creëren een afhankelijkheid die ons morgen kwetsbaar maakt”. Het is juridisch niet verboden je land kwetsbaar te maken voor buitenlandse druk of invloed.

Iedereen snapt intuïtief dat het ongelukkig is als vitale digitale overheidsinfrastructuur onder de zeggenschap van een buitenlandse – en zeker Amerikaanse – moeder komt te vallen. Maar dat gevoel laat zich niet eenvoudig vertalen naar: dit mag niet of dit had voorkomen moeten worden. Of nou ja: dat kan wel, maar dan moet er een (Nederlandse of Europese) wet komen die dat expliciet zegt. Clouddiensten aan de overheid mogen slechts geleverd worden door een concern naar Nederlands recht, zoiets.

Probleem daarmee is dat dat dan weer tegen algemene regels over eerlijke behandeling bij aanbestedingen aanloopt. Binnen de huidige kaders kun je dit probleem niet adresseren, totdat het een keer echt is misgegaan. Want pas dan is te betogen dat deze partij uitgesloten moet worden, dat deze overname niet mag, et cetera.

En het gegeven dat Microsoft de mailbox van de hoofdaanklager van het Internationaal Strafhof heeft geblokkeerd? Ook daar kun je niet heel veel mee, vrees ik. Het flauwe antwoord is: we weten niet precies waarom, tevens gaat het niet om een EU-instantie dus kun je niet zeggen dat Europees recht geschonden wordt. Ook hier weer, dit is te vaag om met juridische regels naar een verbod te leiden. De enige route is een duidelijke politieke keuze, die dan in een nieuwe wet vastgelegd kan worden. Koopt Nederlandsche Cloud.

Arnoud

Zit je aan de prijs vast als die achter je rug wijzigt op zo’n e-ink prijskaartje?

Geplaatst op in Ondernemingsvrijheid, 33 reacties

Via Linkedin:

Je kent het wel, de winkels met die kleine displaytjes waar de prijs van het product op staat. Familielid ziet een product met een prijs van 127 Euro, denkt van “Ik koop ‘m”, en loopt ermee naar de kassa. Maar even later bij de kassa blijkt de prijs opeens 147 Euro te zijn. Net in die paar minuten is de prijs aangepast! (zowel bij de kassa als op het displaytje). Hoe zit dat juridisch?
Juridisch gezien koop je in een winkel op het moment van afrekenen. Niet zodra je het product pakt – terugleggen mag immers altijd. Bovendien eist de wet dat je je aanvaarding mededeelt aan de winkel, en eerder dan bij de kassa kan dat eigenlijk niet.

(Ook vind ik een mooi argument dat als je bij het pakken al de koop sluit, je niet meer kunt stelen. Door de koop te sluiten met product in de hand, wordt je eigenaar. Dat je nog moet betalen, staat daar los van. Oftewel: het delict winkeldiefstal is onmogelijk. Dat kan niet waar zijn.)

Dat wil echter niet zeggen dat alleen de prijs bij de kassa bindend is. De winkel doet namelijk het aanbod in het schap. Dit is het, dit kost het. En als die prijs geen rare prijsfout bevat, dan is dat de prijs waar de winkel zich op committeert. Die kan men dan niet bij de kassa meer wijzigen, ook niet als op een bordje of in de voorwaarden staat van wel. Aanbod is aanbod.

Een aanbod kan echter vervallen zolang het niet is aanvaard. En de winkel kan het herroepen, tenzij er een termijn bij staat of het anderszins als onherroepelijk geldt (art. 6:219 BW). Vanuit dat perspectief kan de winkel dus de prijs aanpassen en daarmee het oude aanbod doen vervallen. Dat geldt dan ook voor wie nog niet afgerekend heeft.

Arnoud

Mag een sigarettengezichtsscanner iedereen scannen die in de rij staat bij de kassa?

Geplaatst op in Ondernemingsvrijheid, Privacy, Security, 12 reacties
"3D Face Scanner on Digitopolis" by davepatten is licensed under CC BY-NC-SA 2.0

Een lezer vroeg me:

Op diverse plekken staan zuilen voor sigarettenverkoop, die gezichten scannen om te bepalen of men oud genoeg is. Mij is opgevallen dat deze dingen gezichten scannen van iedereen in de rij. Ik zie het lampje van de scanner iedere keer branden wanneer iemand voor de kassa verschijnt, dus niet pas als je sigaretten afrekent of in de scanner kijkt. Mag dat zomaar?
Ik zie wel hoe dit zo kan werken. Vanwege gebruiksgemak scant het ding de hele tijd naar gezichten, maar meestal zal dat geen nuttige scan opleveren omdat mensen te ver weg staan of niet recht in de camera kijken. De scans worden niet opgeslagen, dus de praktische impact is beperkt.

Er is geen expliciete wettelijke regel waaruit blijkt dat je moet melden dat je een gezichtsscan uitvoert. Vanaf 2 augustus zal onder de AI Act de transparantie-eis (artikel 50) van kracht worden. Deze verplicht “gebruiksverantwoordelijken” van AI-systemen (zoals biometrische gezichtsherkenning) waarmee je directe interactie hebt, expliciet aan te laten geven dat je met een AI interacteert. Zo’n scanner zal dus bij iedere scan moeten melden “ik scan nu je gezicht”.

Heel recent verscheen arrest C-422/24 van het Hof van Justitie. Hier ging het over de vraag waar een opname met een bodycam door een controleur in het openbaar vervoer onder valt binnen de AVG. Het Hof noemt dit een “directe verkrijging” van persoonsgegevens, en eist dat er dan ook direct informatie wordt verschaft aan de betrokkenen. De locatie moet daarom voorzien zijn van bordjes (“Inspecteurs hebben bodycams”) en verwijzingen naar uitgebreidere informatie.

Dit arrest is met een beetje goede wil zo te lezen dat ook zo’n gezichtsscanner een bordje moet krijgen als deze de gehele ruimte scant. Ik twijfel daar wel over, omdat het niet de bedoeling is dat iedereen gescand wordt, maar de scanner gewoon een zeker bereik heeft en dus toevallig gezichten aanstraalt waar vervolgens niets mee gebeurt.

Arnoud

Artikel door verschillende mensen besteld, wie is de eigenaar?

Geplaatst op in Ondernemingsvrijheid, 11 reacties
Photo by fauxels on Pexels

Via Reddit:

Stel dat persoon A achter een computer gaat zitten die eigendom is van persoon B maar in het huis van persoon C staat. Via die PC plaatst hij een bestelling bij een webwinkel voor een product. Bij die bestelling vult persoon A bij het factuuradres de naam van persoon D in en het adres van E. Bij het bezorgadres komt de naam van F en het adres van G te staan. De bestelling wordt betaald vanuit de rekening van persoon H, maar de handeling van het betalen is uitgevoerd door A. Bij de daadwerkelijke bezorging wordt het pakket aangenomen bij de deur door persoon I. Wie is, na levering, de juridische eigenaar van het product?
Op het gevaar af als een autonoom te klinken: het gaat niet om de gebruikte identiteiten maar om de persoon van vlees en bloed die de handeling voltooit.

Je koopt een product door het aanbod van de verkoper te aanvaarden. Omdat het hier gaat om een webwinkel, moet dat via zo’n knop “Bestellen met betalingsverplichting” gebeuren. Maar zodra je op die knop drukt, heb je een overeenkomst. Levering, betalen etcetera is allemaal niet relevant. Persoon A is dus de koper. Dat zijn identiteit bij de winkel niet bekend is (die ziet namen D en E) maakt hiervoor niet uit.

Eigenaar word je door het product in ontvangst te nemen onder wat juristen een “geldige titel” noemen, in dit geval een koopovereenkomst. Het pakket wordt op het adres van G aangenomen door I. De vraag is of daarmee A – de koper – het ontvangen heeft, zodat zhij eigenaar is geworden.

Bij een koop op afstand heb je een pakket pas ontvangen als het fysiek bij jou “of een door [jou] aangewezen derde, die niet de vervoerder is” ontvangen is (art. 7:11 BW). Maar die regel gaat over het risico bij transport, en staat los van wanneer je goederenrechtelijk eigenaar bent geworden. Dat staat in artikel 3:90 BW: door aan de verkrijger het bezit der zaak te verschaffen.

Omdat hier het pakket door I aangenomen is, en niet gegeven is dat I het aan A gegeven heeft of dat afgesproken is dat I namens A zou aannemen, heeft A nog niet het bezit van het product. Daarmee is de eigendom dus nog niet overgegaan en dus is de winkel nog steeds eigenaar. Daarvoor is nodig dat I het aan A overhandigt.

Een goederenrechtelijk alternatief is te zeggen: I houdt het pakket voor de webwinkel, en nadat A heeft gehoord (track&trace mail) dat het pakket daar is, appt hij I om te zeggen “hee dat pakket is van mij, ik kom het zondag halen”. Volgens mij is dan A ook al de eigenaar geworden, en niet pas zondag.

Arnoud

Heeft het praktisch nut om een Qualified Electronic Signature te gebruiken?

Geplaatst op in Ondernemingsvrijheid, 11 reacties

Een lezer vroeg me:

Als inkoper werk ik dagelijks met digitale handtekeningen. Nu vraagt een nieuwe leverancier mij om met EU-QES van Docusign te werken. Dit kost 9 euro per maand, is dat juridisch nu echt verstandig?
Een QES of Qualified Electronic Signature is binnen het Europese juridische kader (eIDAS) het hoogste niveau van betrouwbaarheid. Zoals ik in 2023 blogde, de EIDAS Verordening kent drie soorten elektronische handtekening:
  1. de gewone elektronische handtekening, zeg maar een plaatje van een krabbel;
  2. de geavanceerde elektronische handtekening, het enorme verhaal met grote priemgetallen en certificaten waar de naam in staat die erbij zou horen;
  3. de gekwalificeerde elektronische handtekening, de geavanceerde maar dan is dat certificaat met de naam uitgegeven door een onafhankelijke instantie die instaat voor de juistheid.
Die 9 euro betaal je dus voor de extra zekerheid dat je werkelijk met persoon A van organisatie X aan het inkopen bent. Docusign opereert hierbij als de geregistreerde gekwalificeerde vertrouwensdienstverlener (QTSP), oftewel zij verifiëren de identiteit en borgen dat dit correct gebeurt. Was het dan toch persoon A’, dan kun je Docusign daarop aanspreken.

Ik zie hoe dat in het algemeen nuttig klinkt. Specifiek bij zakelijk onderhandelen ben ik niet overtuigd van de meerwaarde. In die situatie ken je je wederpartij al. Je hebt kennisgemaakt, je weet wie je moet benaderen en je krijgt zoveel harde en softe informatie dat je ook zonder een QES wel overtuigd bent dat je met persoon A van X werkt.

Natuurlijk, A kan onbevoegd zijn. Maar daar helpt een QES niet bij. Het enige dat je daarmee vaststelt, is dat je écht A tegenover je hebt. En dat is in een zakelijke inkoopsituatie gewoon niet zo’n belangrijk punt.

Arnoud

 

EU onderzoekt of Google genoeg betaalt voor teksten die zoekmachine gebruikt

Geplaatst op in Intellectuele rechten, Ondernemingsvrijheid, nog geen reacties
Photo by Patrick Tomasso on Unsplash

Google mag niet zomaar inhoud van het internet plukken om zijn eigen kunstmatige intelligentie mee te voeden. Dat las ik bij Nu.nl. De Europese Commissie ziet deze werkwijze als een schending van het mededingingsrecht vanwege misbruik van de dominante positie in de zoekmarkt.

Sinds kort heeft de advertentiedienst-met-zoekmachine Google twee nieuwe AI-toepassingen: AI Overview en AI Mode. AI Overviews vat zoekresultaten samen, en AI Mode biedt een soort chatinterface. Daar is veel van te vinden, maar het probleem hier is dat je als website-exploitant niet kunt verhinderen dat Google ook jouw content hierin gebruikt.

De Commissie ziet dit als machtsmisbruik. Je enige escape is Google geheel blokkeren (de crawler is gewoon dezelfde, dus de AI-bot blokkeren met robots.txt zit er niet in). Maar niemand zal buiten Google willen blijven, dus moet je knarsetandend toezien hoe Google mooie AI-sier maakt met jouw content als bronvermelding.

Natuurlijk, Googles zoekmachine zelf doet dit al sinds 1998, net als haar voorganger-zoekmachines. Het idee van zoekmachines is het hele web scrapen en de resultaten sorteren op een relevante manier. Of dat mocht van het auteursrecht is altijd een beetje grijs gebleven, maar de consensus die ik ken, komt erop neer dat het oké zou moeten zijn omdat zoekmachines uiteindelijk je zó veel zichtbaarheid en kliks geven dat dit opweegt tegen eventuele gemiste inkomsten.

Het probleem met die AI-modi is precies dat: niemand klikt op jouw site, want ze hebben het antwoord al. (Of denken dat te hebben, want het is vaker fout dan goed. Maar dat terzijde.) Dit staat bekend als het Google Zero fenomeen. En die onbalans maakt dat we de hele auteursrechtelijke discussie weer opnieuw kunnen gaan voeren. Maar dat wil niemand, want dat komt neer op uit Google gegooid worden.

Het probleem is dus: eigenlijk had Google dit moeten vragen, en dan hadden ze waarschijnlijk geld moeten betalen. Nu hebben ze een gratis licentie afgedwongen, en dat konden ze door misbruik te maken van hun machtspositie (je gaat uit Google als je geld vraagt voor AI Overviews).

De Commissie onderzoekt eigenlijk wat er gebeurd zou zijn als Google netjes met iedereen een licentie had afgesloten: welk bedrag zou er dan zijn betaald? Dat is dan het bedrag dat Google oneerlijk verdiend heeft door dat misbruik.

Arnoud

 

Welke juridische weg kan ik bewandelen als Microsoft mijn opslagaccount blokkeert?

Geplaatst op in Ondernemingsvrijheid, 13 reacties
Photo by Clker-Free-Vector-Images on Pixabay

Een lezer vroeg me:

Al jaren heb ik een abonnement op Microsoft 365. Mijn Microsoft account is recentelijk geblokkeerd, waar ik het niet mee eens ben en waar volgens mij ook geen geldige reden voor is. Ik heb inmiddels twee keer bezwaar ingediend via het officiële formulier, de eerste keer meteen op de dag van de blokkade. Ik heb ook een verzoek tot herstel ingediend, maar ik krijg geen antwoord. Mijn vraag: is er een juridische weg te bewandelen die mij hoop zou kunnen geven op het verkrijgen van toegang tot mijn bestanden?
Een van de grotere frustraties in de diensteneconomie is dat niets meer echt “van jou” is. En dat geldt helemaal voor data: data is geen onderwerp van eigendom, formeel juridisch gesproken. Je kunt dus niet zoals bij fysieke spullen eisen dat je deze terugkrijgt of er bij mag.

Toegang tot data of online opslag is zuiver en alleen geregeld door je contractuele relatie tot de leverancier van de dienst. Er is geen enkel ander juridisch middel (ook niet de AVG, ook niet de Data Act, ook niet het auteursrecht) waarmee je dit af kunt dwingen. Hetzelfde geldt voor de dienst an sich.

Een contractuele relatie is op zich prima bij de rechter af te dwingen. De Nederlandse, want jij als consument woont hier en ongeacht wat het contract zegt mag je dan in Nederland procederen. In juridische taal vorder je dan nakoming van de overeenkomst. Microsoft moet dan uitleggen waarom ze dat niet hoeft, oftewel welke voorwaarde je hebt overtreden. Dat moet gemotiveerd (art. 17 DSA) en moet dus meer zijn dan vage verwijzingen naar “abuse” of het inroepen van bepalingen waarin staat “wij mogen alles en je hebt geen rechten”.

De relevante vraag is natuurlijk wel waarom het account gesloten zou zijn. Microsoft heeft dat niet toegelicht, dus voor mij is het gissen. Verspreiding van malware vanaf het account heb ik met enige regelmaat gezien, auteursrechtschending wordt ook wel genoemd en er zijn ook gevallen bekend waarin Microsoft-scanners kindermisbruikmateriaal detecteren in foto’s die je in je account zet (al dan niet via achterdeuren zoals backups van WhatsApp-groepsgesprekken).

Die laatste categorie is relevant, want er zijn in Nederland twee rechtszaken (één, twee) geweest over precies die situatie en in beide gevallen kreeg de accounthouder gelijk. Maar naar de rechter moet je.

Arnoud

VK geeft bedrijf wegens ‘niet robuuste’ leeftijdsverificatie 1,1 miljoen euro boete

Geplaatst op in Ondernemingsvrijheid, Privacy, 24 reacties
"NSFW" by Lockedinthepark is licensed under CC BY-NC-SA 2.0

De Britse telecomtoezichthouder Ofcom heeft een bedrijf uit Belize een boete van omgerekend 1,1 miljoen euro opgelegd omdat het geen ‘robuuste’ online leeftijdsverificatie toepast. Dat meldde Security.nl. Hoewel het bedrijf “enige vorm van verificatie” gebruikte, was dat niet robuust genoeg. Wat de vraag opriep: hoe moet het dan wel?

In het VK geldt sinds 2023 de zogeheten Online Safety Act. Een van de (vele) controversiële aspecten uit deze wet is een zorgplicht dat minderjarigen geen “content that is harmful to children” tegenkomen:

The duty set out in subsection (3)(a) requires a provider to use age verification or age estimation (or both) to prevent children of any age from encountering primary priority content that is harmful to children which the provider identifies on the service.
Bij een ‘adult’ website zoals van de AVS Group Ltd uit Belize is het vanzelfsprekend dat de inhoud schadelijk is. Nu kennen we al langer het vinkje “Ik ben 18 jaar of ouder”, maar de Engelse wet wil wel iets meer. AVS had ook wel iets toegevoegd:
In particular, AVS Group Ltd deployed a photo upload check on its services that does not include liveness detection and as such is vulnerable to circumvention by children (for example, by uploading a photo of an adult). Ofcom considers that this method is not capable of being highly effective within the meaning of the Act.
Ik zie wel hoe “upload een foto en we kijken of de persoon meerderjarig is” niet héél effectief is voor het gestelde doel. Liveness detection oftewel een video-analyse is iets lastiger te faken (jaja, Nano Banana is geweldig) dus dat was een betere stap geweest.

Toezichthouder Ofcom zelf had nog een aantal methodieken bedacht:

  • Koppelen met een bankrekening (de “1 cent betalen” techniek), aangenomen dat de rekening alleen voor meerderjarigen beschikbaar is.
  • Foto, maar dan vergelijken met een tevens geupload identiteitsdocument
  • Afgaan op een signaal van de mobiele telecomprovider (in Engeland zetten die standaard “is minderjarig” op je simkaart, tenzij je dat na bewijs er af laat halen)
  • Creditcard check (die zijn er alleen voor meerderjarigen)
  • Een digitale identiteitsportemonnee zoals de EU met eIDAS/eID wil opzetten (maar die is er nog niet)
Geen van deze technieken is onfeilbaar, maar het is zeker beter dan wat we historisch geprobeerd hebben. Het grootste bezwaar dat ik heb, is dat eigenlijk dit gewoon een overheidsding moet zijn, en dan granulair: niet je hele paspoort laten zien, maar enkel een token sturen dat zegt “deze persoon is 18+” en niet meer of minder.

Ik weet niet waarom dat niet van de grond wil komen?

Arnoud

 

Rechtszaak om Apple’s App Store mag van EU-hof doorgaan in Nederland

Geplaatst op in Ondernemingsvrijheid, 1 reacties
LoboStudioHamburg / Pixabay

Een Nederlandse rechtbank mag een zaak behandelen die twee Nederlandse stichtingen hebben aangespannen tegen Apple. Dat las ik bij Nu.nl. De basis is uitspraak C-34/24 van het Hof van Justitie, waarmee Apple’s verweer dat je naar Californië moet, naar de prullenbak kan.

De zaak gaat weinig verbazingwekkend over de 30 procent commissie die Apple eist van iedere app-aanbieder:

Het techbedrijf vraagt volgens hen een “buitensporige” commissie van appontwikkelaars. Apple ontvangt 30 procent van aankopen binnen apps in de App Store. Hierdoor lijden appgebruikers volgens de stichtingen schade.
Apple verzet zich met huid en haar tegen alle claims op dit gebied, en een verweer dat de rechtbank onbevoegd is, past daar natuurlijk prima bij. De redenering is kortweg: de heffing wordt niet in Amsterdam opgelegd maar in Cupertino, Californië, dus mag de Amsterdamse rechter daar niets van vinden.

Het Hof van Justitie is daar vrij snel klaar mee:

[W]anneer de markt die wordt beïnvloed door de betrokken mededingingsverstorende gedragingen zich bevindt in de lidstaat op het grondgebied waarvan die schade zich heeft voorgedaan, de plaats waar die schade is ingetreden moet worden geacht in die lidstaat te zijn gelegen.
Als je in Nederland een aankoop doet in de Apple App Store, is die duurder dan zou hoeven (omdat de commissie dus 30% is en niet bijvoorbeeld 5). Het prijsverschil is je schade als consument. Die schade leed jij in Nederland.

Alleen: waar dan precies? Want de rechtbank Amsterdam (die de zaak voorlegde aan het Hof) kan natuurlijk niet oordelen over claims van consumenten in zeg Enschede of Maastricht. En bij een massaclaim is het juist de bedoeling dat je al die claims wél kunt samenvoegen.

Voor het Hof is de oplossing simpel. Bij een massaclaim als deze weet je niet (en hoef je niet te weten) waar iedere individuele betrokkene woonachtig is. De doelgroep is duidelijk genoeg omschreven, en daar gaat het om bij bepalen of de claimorganisatie mag optreden tegen het gedrag van Apple. Bijgevolg is alleen nog relevant of onder welke rechtbank de claimstichting zelf valt, en dat is de rechtbank Amsterdam want beide stichtingen zijn daar statutair gevestigd.

Het is het zoveelste aspect van internationale bevoegdheid. Het blijft gedoe met elke keer allerlei factoren afwegen, maar ik blijf het superieur vinden ten opzichte van enkelvoudige criteria zoals “wij zitten in Cupertino dus je mag altijd daarheen”. Dat is in een internationale wereld gewoon oneerlijk.

Arnoud

Mag Google met verplichte registratie andere appwinkels buiten de deur houden?

Geplaatst op in Ondernemingsvrijheid, Security, 9 reacties

Een lezer vroeg me:

Allerlei partijen maken zich zorgen (F-Droid, EFF) over de plannen van Google voor de verplichte registratie van app-ontwikkelaars. Volgens Google zou dit gebruikers juist tegen “bad actors” moeten beschermen, maar het maakt het downloaden van apps via alternatieve app stores behoorlijk riskant. Is dit werkelijk toegestaan onder de EU Digital Markets Act?
De Digital Markets Act is in 2022 ingevoerd om eindelijk niet meer achter Big Tech aan te hoeven rennen. Het klassieke mededingingsrecht biedt natuurlijk de optie om alle vormen van machtsmisbruik aan te pakken, maar als je zo veel geld (en advocaten) hebt als FAANG en MANGO dan duurt het jaren, zo niet decennia voordat dit definitief uitgevochten is. En ondertussen is je markt allang kapot.

De DMA benoemt simpelweg een trits praktijken die niet mogen, en een pakket met eisen waar “poortwachters” van grote “kernplatformdiensten” aan moeten voldoen. De Commissie kan bij overtreding direct ingrijpen en boetes of bindende aanwijzingen opleggen. Natuurlijk kun je dan naar het Hof van Justitie, maar een stuk gestroomlijnder is het.

Eén van die eisen is dat een ecosysteem zoals Android meerdere afrekenmogelijkheden en appstores moet kunnen hebben (art. 6 lid 4). Voor Android is F-Droid de bekendste, en die heeft grote moeite met Google’s voorgenomen openstelling van deze optie bij Android.

De reden is dat Google er meteen de voorwaarde bij stelt dat iedere Android developer zich bij Google moet registreren. Dit maakt gebruik van F-Droid heel moeilijk: zij kunnen niet afdwingen dat hun gebruikers dat doen, en de enige optie is dan dat F-Droid zichzelf voordoet als de maker van alle via hun appwinkel aangeboden apps. En dat werkt natuurlijk niet.

Google draagt als reden aan dat ze zo malafide apps buiten de deur wil houden. Een formele identiteitscheck zal bad actors immers wel afschrikken (niet lachen daar achterin). Maar Google hééft al een uitgebreide set maatregelen hier tegen (Play Protect) dus dat voelt wat gezocht.

Mag het van de DMA, die eis van Google? Heel algemeen lijkt het erop van wel:

Het wordt de poortwachter niet belet maatregelen, voor zover die strikt noodzakelijk en evenredig zijn, te treffen om ervoor te zorgen dat softwareapplicaties of appstores van derden de integriteit van de door hem ter beschikking gestelde hardware of besturingssystemen, niet in gevaar brengen, op voorwaarde dat dergelijke maatregelen naar behoren gemotiveerd worden door de poortwachter.
Op het eerste gezicht kun je Google’s “zorgen om malware” en gekozen maatregel van identiteitscontrole dus niet terzijde schuiven. Ik maak me zorgen dat het effect op F-droid te subtiel is, veel mensen nemen al snel genoegen met “dit moet voor de security”. Het wetsartikel eist natuurlijk een uitgebreide motivatie, en die zou ik dus wel eens willen lezen.

Arnoud