Dit is dus niét hoe je reageert als mensen je als gratis leverancier zien met je open source

| AE 13131 | Ondernemingsvrijheid, Security | 18 reacties

Gisteren blogde ik over een OSS developer die de vraag van een gebruiker kreeg “graag binnen 24 uur hoe uw bedrijf is ingericht op het afdekken van risico’s rondom de enorme log4j bug”. Dat is een typische grootzakelijke manier van doen, die verder met de realiteit niets te maken heeft. Kan gebeuren, je stuurt een “haha no sla okthxbye” mailtje of en klaar. In de comments werd ik getipt over ene meneer Marak die anders reageerde: hij saboteerde zijn eigen code, waar vele vele mensen en projecten door gedupeerd werden.

Marak is ontwikkelaar van een uitbreiding op het bekende node.js framework voor Javascript. Zijn module colors zorgt voor mooie stijling van de beheersomgeving. Verder weinig opmerkelijk, alleen bleek dat recent een toevoeging te hebben gekregen die zorgt voor een oneindige lus, waardoor je hele systeem niet meer werkte als je deze module automatisch liet updaten. Wat iedereen en z’n moeder doet, dus dat gaf de nodige ergernis.

Een foutje? Nee, zeker weten niet. Allereerst niet omdat het een losse nieuwe regel was, met ook nog eens “for i = 666; i < infinity” er in, en dat getal heeft natuurlijk een negatieve betekenis. En ten tweede omdat Marak eerder al boos was dat bedrijven zijn code gebruiken zonder hem financieel te steunen. Wat zijn goed recht is, daar niet van, maar dan volautomatisch je code saboteren, dat kun je niet maken.

Of was het dom van al die mensen, hadden ze maar de code moeten controleren en niet automatisch updaten? Dat vind ik te makkelijk. Natuurlijk hoor je niet zomaar willekeurige code van internet te halen en in productie te nemen, maar dit is een project dat al enige tijd bestaat, goed aangeschreven staat en daarom vertrouwd wordt. Dan wek je bepaalde verwachtingen – en dat gaat boven je opensourcelicentie waarin “als het breekt, mag je de stukjes houden” staat als beperking van aansprakelijkheid.

(Voor de juristen: dit lijkt mij zo’n geval  van opzet of grove nalatigheid waarbij je beperking van aansprakelijkheid niet geldt.)

Regelmatig zie ik dan de opvatting “het is mijn code, ik doe wat ik wil en ik heb geen contract met die mensen dus ik ben niets verplicht”. Dat is dus te kort door de bocht. Door op een bepaalde manier te handelen, schep je verwachtingen. Als jij die verwachtingen regelmatig waar maakt, ontstaat een patroon waar mensen op mogen vertrouwen. Dat kun je niet eenzijdig doorbreken, zeker niet op zo’n lompe en schadebrengende manier. Dat noemen we in Nederland gewoon onrechtmatig, dat kun je niet maken.

Arnoud

 

Makers van cheatsoftware voor PUBG Mobile moeten 10 miljoen dollar betalen

| AE 13121 | Ondernemingsvrijheid | 2 reacties

Krafton en Tencent, respectievelijk de ontwikkelaar en uitgever van PUBG Mobile, hebben een rechtszaak gewonnen tegen een hackgroep. Dat las ik bij Nu.nl vorige week. Rechtbanken in de Verenigde Staten en in Duitsland hebben de groepsleden veroordeelt tot zo’n 10 miljoen dollar (8,8 miljoen euro) aan schadevergoeding. Het is de eerste keer bij mij weten dat zo’n groot bedrag wordt toegewezen; het laat maar zien hoe belangrijk cheats bestrijden is tegenwoordig.

Zoals ik vorig jaar april schreef, cheaten of valsspelen kan zeer lucratief zijn, denk aan de vele toernooien waar je geld verdient door goed te spelen. Of alleen maar het makkelijker kunnen veroveren (en daarna verhandelen) van zeldzame spullen of het uplevelen van een personage dat je daarna overdraagt aan een luie medespeler. De grote game-aanbieders hebben er dan ook al jaren lang een dagtaak aan om valsspelers buiten de deur te houden.

Deel van die dagtaak wordt ingevuld door advocaten, en niet ten onrechte want dit is bij uitstek een civiele kwestie. Het stoort me juist dat er vaak politie of OM bijgehaald wordt, zoals dus vorig jaar april waar de Chinese autoriteiten ingrepen. Cheaten is overtreden van zelfverzonnen spelregels, dat moet je dus zelf oplossen.

Complicatie is dan natuurlijk dat je spelregels alleen kunt handhaven tegen mensen die je spel komen spelen. Wie zomaar het veld oprent en de bal in het doel gooit, is geen voetballer die hands maakt, maar ook weer geen erfvredebreukpleger waar je de politie voor belt. Daar kent het recht de onrechtmatige daad voor, in het Engels de tort. Op die grond kun je schadevergoeding eisen, mits je kunt vaststellen dat de schade door die persoon is veroorzaakt.

Helaas is het vonnis noch in de VS noch in Duitsland zo te lezen al openbaar. Dat is jammer, want ik ben wel heel benieuwd wat de grond voor de claim precies is. Stiekem toch auteursrechtinbreuk, het namaken/aanpassen van de software om zo de cheat te kunnen laten werken? Of gewoon de open norm van onrechtmatig handelen waarmee je een ander schade aandoet? Ik zie in dat laatste meer mogelijkheden namelijk.

Of men ook werkelijk de tien miljoen krijgt, is voor mij een vraag: welke hackgroep heeft dat bedrag op de plank liggen voor een eisende partij? Maar men heeft al wel toegezegd dit in te zetten voor de versterking van de anti-cheatmaatregelen die er al zijn. Een sympathiek gebaar, veel spelers juichen het juist toe als cheaters uit het spel geweerd worden.

Arnoud

Banken mogen onbewerkte ID zien, maar alleen gewatermerkt (en zonder bsn/foto) bewaren

| AE 13119 | Ondernemingsvrijheid | 13 reacties

Voor het (opnieuw) identificeren en verifiëren van de identiteit van de consument mag de bank een foto of scan van een onbewerkt ID-bewijs opvragen. Dat bepaalde geschillencommissie Kifid onlangs. Echter, voor het vastleggen en bewaren van een kopie van dit ID-bewijs moet de bank de pasfoto afschermen en een watermerk aanbrengen om misbruik te voorkomen. Deze uitspraak zet een mooie streep in het zand, die hopelijk ook werkelijk gaat leiden tot herziene procedures. (Ik ben altijd wat cynisch over bureaucratische procesvernieuwing.)

Even voor de duidelijkheid: het Kifid is een geschillencommissie, waar alle banken wettelijk verplicht bij aangesloten zijn. De uitspraken van het Kifid moeten zij dus opvolgen. En dat zou goed nieuws zijn – deze uitspraak is zo logisch dat ik ‘m als modelantwoord zou gebruiken bij onze opleiding tot privacyjurist.

De kern: wie bij een bank zit, moet met enige regelmaat een kopie ID overleggen. Zeker nu moet dat vrijwel altijd digitaal, en soms zelfs via de e-mail. Daar krijg ik veel vragen over, maar in de kern moet dit want in verband met anti-witwaswetgeving (de Wet ter voorkoming van witwassen en financieren van terrorisme, Wwft) is identiteitscontrole van je klanten verplicht.

Daar zit meteen ook het punt, want het gaat om verifiëren van iemands identiteit (artikel 3 Wwft). De ouderwetse methode is dan dat iemand naar de balie komt (haha, een balie van een bank, stel je voor, in een toegankelijk gebouw zeker) en daar zhaar identiteitsbewijs laat zien. De medewerker kijkt daarnaar, controleert de echtheidskenmerken en vergelijkt de foto. Als alles in orde is, zet de medewerker een vinkje bij “verificatie in orde” en we zijn er.

Dit verklaart waarom een bank een onbewerkte (dus niets afgeschermd en geen watermerken) kopie van een identiteitsbewijs mag eisen. Echtheidskenmerken kunnen zijn afgeschermd of verminkt door zo’n bewerkte kopie. En omdat het wettelijk verplicht is te toetsen aan die kenmerken, moet de bank dus een originele, volledige kopie van het identiteitsbewijs hebben.

Er is echter nog een plicht, namelijk het bewaren van zekere bewijsstukken van die verificatie. Dit is geregeld in artikel 33 Wwft, en de bank beroept zich daarop om die kopie identiteitsbewijs te mogen bewaren. Dat is verdedigbaar, want de wet noemt een “afschrift” van je identiteitsbewijs als iets dat moet worden bewaard. Alleen: pasfoto en echtheidskenmerken zijn nu niet meer relevant, want de check is al gedaan. Dit moet de bank dus afschermen bij het opslaan van de kopie.

En het Kifid gaat nog een stapje verder: de bank moet actief de kopie voorzien van een watermerk of iets dergelijks, zodat bij een datalek de kopie niet zomaar gebruikt kan worden. Doet zij dat niet (de ABN Amro had hier gesteld dat dit onmogelijk was) dan mag ze de kopie niet bewaren, want dat is te onveilig voor de consument.

De discussie over het bsn is ook nog het vermelden waard. Het bsn staat op het identiteitsbewijs, maar de Wwft schrijft niet voor dat de bank dit moet gebruiken bij die identiteitscontrole. (Zorgverleners en zorgverzekeraars bijvoorbeeld wel.) En als het niet moet, dan mag het niet.

Althans, niet in het kader van de Wwft-verificatie. De bank is wél verplicht het bsn te gebruiken in de communicatie met de Belastingdienst (Algemene wet inzake rijksbelastingen) en de DNB (het depositogarantiestelsel). Op die wettelijke grond moet de bank dus het bsn opvragen, en dat mag best tijdens dat verificatieproces gebeuren. Daarom hoeft de bank het bsn niet af te schermen, mits ze maar wel de consument uitlegt waarom ze dat niet doet.

Dit stukje snap ik niet helemaal, want je kunt prima na de verificatie – dit is het bsn van Wim – het bsn apart opslaan en het daarna op de kopie onleesbaar maken. Die Awr en DNB-regels eisen namelijk niet dat je een kopie identiteitsbewijs moet kunnen tonen om aan te tonen dat je het juiste bsn had. En het is wel een serieus risico als een bsn uitlekt. Maar goed.

Samenvattend: De consument mag niet schrijven op de foto of scan die zij aanlevert ter identificatie. Zij mag wel van de bank eisen dat de kopie die zij vastlegt en bewaart bewerkt wordt. En de bank weet nu dat die bewerkte kopie voldoet aan de Wwft.

Arnoud

 

 

 

 

Is een Synology Cloudstation juridisch gezien een backup? #zorgplichtdeelzoveel

| AE 13117 | Ondernemingsvrijheid | 13 reacties

Als je klant je vraagt een backupoplossing te installeren, en jij schuift een Synology Cloudstation naar binnen, heb je dan aan je zorgplicht voldaan? De rechtbank Noord-Holland oordeelde recent van wel in een zaak tussen een tandartspraktijk en een ICT support dienstverlener. Na dat configureren van de Cloudstation bleek er iets niet goed te zijn gegaan,… Lees verder

Hoe veel varianten van Wordle mogen er in de App Store bestaan?

| AE 13111 | Intellectuele rechten, Ondernemingsvrijheid | 3 reacties

Apple heeft meerdere klonen van het populaire spel Wordle uit de App Store verwijderd, las ik bij Tweakers. Diverse varianten van de woordleggame stegen in korte tijd in populariteit, maar dat leidde tot kritiek dat de games gekopieerd waren en geld verdienden aan de hype. Het origineel is namelijk gratis en zou dat ook blijven,… Lees verder

OM eist vier jaar cel tegen man wegens fraude met zelfgemaakte cryptovaluta

| AE 13109 | Ondernemingsvrijheid, Regulering | 6 reacties

Het Openbaar Ministerie heeft vier jaar cel geëist tegen een 40-jarige man uit Deventer, meldde Tweakers onlangs. De man zou pump-en-dumpacties hebben uitgevoerd met de coins ERSO, MALC, Europ en TulipMania. “[I]n deze zaak was er sprake van oplichting, het manipuleren van de markt, het verstrekken van valse informatie over cryptomunten en het verzwijgen en… Lees verder

Mag mijn provider me anno 2022 een IPv4 only verbinding geven?

| AE 13105 | Ondernemingsvrijheid | 18 reacties

Een lezer vroeg me: Mijn ISP levert mij de dienst ‘internet’, maar levert alleen een verbinding via IPv4, niet via IPv6. Nergens wordt gesproken over een IPv4 only dienst. Levert de provider mij nu een onvolledige dienst? Het internetprotocol (IP) is de basis van het internet. Pakketjes met data worden dit protocol verzonden en ontvangen (of… Lees verder

Een popup bij het inloggen is geen toestemming om je mail te lezen

| AE 13102 | Ondernemingsvrijheid, Privacy | 15 reacties

Snelle quiz voor vrijdagochtend: als het loginscherm van je werk “Users of this system expressly consent to such monitoring and are advised that if such monitoring reveals possible criminal activity security staff may provide the evidence of such monitoring to law enforcement officials.” zegt, mag je baas dan je systeem monitoren? Het even snelle antwoord van de… Lees verder

Apple moet Nederlandse datingapps eigen betaalsysteem toestaan

| AE 13096 | Ondernemingsvrijheid | 13 reacties

Aanbieders van datingapps in Apples Nederlandse App Store moeten ook andere betaalsystemen dan Apples betaalsysteem kunnen gebruiken, meldde Tweakers onlangs. Appaanbieders moeten ook de mogelijkheid krijgen om in hun datingapp te kunnen verwijzen naar betaalmogelijkheden buiten de app. Hier krijgt Apple twee maanden de tijd voor. De ACM dreigt met een dwangsom van maximaal 50… Lees verder

Facebook schendt de Mededingingswet met… gifjes?!

| AE 13074 | Ondernemingsvrijheid | 6 reacties

Helemaal vergeten: de Britse mededingingsautoriteit (CMA) heeft Facebook bevolen de overname van gifjessite Giphy terug te draaien, aldus Ars Technica een tijdje terug. Dit omdat deze “would reduce competition between social media platforms and [] has already removed Giphy as a potential challenger in the display advertising market.” Omdat Giphy zo populair is als platform, wil… Lees verder