Mag ik mijn GPG sleutel van het werk gebruiken voor mijn nieuwe sleutel van mijn nieuwe werk, of: wat is een GPG sleutel onder de wet eigenlijk?

| AE 13915 | Ondernemingsvrijheid | 23 reacties

Een lezer vroeg me:

Bij mijn huidige werkgever gebruik ik al sinds het begin een GPG sleutel, gekoppeld aan mijn zakelijk mailadres. Deze sleutel is bekend bij al mijn professionele relaties, en hij is getekend door bekende personen in mijn vakgebied. Dus die authenticiteit is belangrijk. Mag ik nu met deze sleutel een nieuwe sleutel van mezelf signeren, om aan te geven dat deze ook echt van mij is? Zo ‘erft’ deze een beetje die betrouwbaarheid van de oude.
GPG, voor wie het niet wist, is het vrijesoftwarealternatief voor PGP, oftewel Pretty Good Privacy, het encryptie- en digitalehandtekeningenpakket waarmee ineens iedereen cryptografie kon toepassen. (Lees er alles over in mijn nieuwe boek.) De opzet is decentraal, er is geen hiërarchische autoriteit die bepaalt wie wie is of onder welke naam je mag werken.

Daarom kent het systeem een eigen, decentraal web of trust, waarbij je iemands sleutel kunt voorzien van een testimonial: “Dit is inderdaad Arnouds sleutel”. Als je dan een sleutel vindt die vermeldt van mij te zijn, en je ziet testimonials van mensen die jij vertrouwt, dan mag je er vanuit gaan dat het mijn sleutel is. Je kunt dan handtekeningen onder berichten van mij verifiëren met die sleutel.

Naamsvermeldingen (identifiers) in een sleutel zijn in principe gekoppeld aan een e-mailadres. Als je van mailadres wisselt, is het dus handig je nieuwe adres toe te voegen. Zo zou je dus je werkadres en je priveadres aan dezelfde sleutel kunnen verbinden. Deze vraagsteller wil dat niet; hij wil overstappen naar een nieuwe sleutel omdat de oude in het kader van zijn werk is gemaakt en daarmee te zien is als “iets van de werkgever”. Door een nieuwe sleutel te maken, en de oude daar als testimonial aan te koppelen (“Dit ben ik, maar dan privé”) profiteert hij van alle bestaande testimonials: een ontvanger zal overtuigd zijn dat de oude sleutel van hem is, en mag dan de testimonial op de nieuwe sleutel ook vertrouwen.

Ik zie hier eerlijk gezegd geen probleem mee, ook niet als de oude sleutel inderdaad als gereedschap van het werk te zien zou zijn en/of er enig recht van intellectueel eigendom op die sleutel zou rusten. Ik zou zelf niet weten welk recht dat zou moeten zijn. Maar een heel welwillende lezing van het goed werknemerschap zou met zich meebrengen dat de werknemer zo’n werksleutel niet meer gebruikt als hij er niet meer werkt. Hoe veel mensen lopen nog rond met de mok of polo van hun oude werkgever als ze ergens anders gaan werken? (<- Dit is een serieuze vraag)

Arnoud

Internetproviders voorzichtig met doorberekenen van inflatie, maar mag dat wel zomaar?

| AE 13901 | Ondernemingsvrijheid | 12 reacties

Otto, the inflatable autopilot from the movie “Airplane.”

Telecombedrijven durven niet de volledige inflatierekening bij klanten te leggen, uit angst dat ze weglopen. Dat las ik bij Nu.nl maandag. Ziggo is de snelste stijger met een prijsverhoging van 8,5 procent, en schokkend voor mij was vooral dat de inflatie dus op 10% staat tegenwoordig. Het riep natuurlijk meteen de juridische vraag op: mag je je prijzen verhogen met een beroep op inflatie, en mag je als consumentklant opzeggen als dat gebeurt?

Vorig jaar blogde ik over het prijsverhogingsrecht van Ziggo, dat nogal wat ergernis opriep omdat het ineens aan lopende contracten werd toegevoegd. De achterliggende juridische regel is alweer uit 2015: telecomproviders hebben het recht om een regelmatige inflatiecorrectie toe te passen op hun tarieven, mits dit juist in de algemene voorwaarden van hun diensten staat. Dit op grond van een uitspraak van het Europese Hof van Justitie.

Normaal heb je als consumentklant een opzegrecht als een telecomleverancier de voorwaarden wijzigt. De prijs is ook een voorwaarde, en prijswijzigingen geven daarmee een reden tot tussentijdse (en boeteloze) opzegging. Alleen, het moet wel gaan om een negatieve wijziging in de contractuele relatie. En laat precies dat nu zijn waar de gewijzigde voorwaarden van Ziggo over gingen:

Ziggo heeft het recht om de vergoedingen en tarieven jaarlijks te indexeren tot een percentage gelijk aan de CBS consumentenprijsindex. Daarin wordt bekendgemaakt met welk percentage de prijzen stijgen. Als Ziggo de tarieven indexeert, vindt dat plaats op 1 juli op basis van de gemiddelde inflatie in het voorgaande kalenderjaar. Als de CBS consumentenprijsindex negatief is, worden de prijzen niet aangepast.
Dit is in lijn met dat arrest uit 2015, waarin het Hof bepaalde dat
een wijziging van de tarieven voor een [telecomdienst], die wordt doorgevoerd op basis van een beding voor tariefaanpassingen dat is opgenomen in de algemene verkoopvoorwaarden die worden gebruikt door een onderneming die deze diensten levert, volgens welk beding een dergelijke aanpassing afhankelijk is van een objectieve consumentenprijsindex die wordt opgesteld door een publieke instelling, geen „wijziging in de voorwaarden” vormt in de zin van deze bepaling, die de abonnee het recht geeft zijn contract zonder boete op te zeggen.
In stukjes uit elkaar: het moet dus gaan om een beding dat in de algemene voorwaarden staat. Staat het er niet, dan mag je de prijs niet indexeren. Staat het er wel, dan moet de verhoging gekoppeld zijn aan een objectieve index zoals bij ons door het CBS opgesteld wordt. Alleen dan ontsnap je als bedrijf aan die regel dat je een opzegrecht moet gunnen. En daar voldoet Ziggo dus aan.

Wat dan tegelijk weer raar is, is dat de indexatie verschilt per abonnement: bepaalde abonnementen gaan maar liefst 9% omhoog, anderen slechts een paar procent. Dat suggereert dat men niet slechts de prijzen weer bij de tijd wilde trekken, maar echt specifiek de inkoopkosten wilde doorberekenen. Tegelijkertijd: dat is eigenlijk precies wat een inflatiecorrectie is, de prijzen weer bij de tijd halen door ze aan te passen aan de kosten die nu gelden. En het zou absurd zijn om te zeggen dat Ziggo wél alles met exact 10% mag verhogen, maar niet de een met 1,6% en de ander met 9%.

Professor Marco Loos publiceerde in 2022 over dit onderwerp in de context van huurcontracten. Hij concludeert dat een verhoging die minder is dan het inflatiecijfer moet kunnen:

Deze impliciete grond van inflatiecorrectie wordt door het Hof van Justitie geaccepteerd. Wanneer de aanpassing echter niet automatisch gebeurt, maar een keuze van de verhuurder impliceert (de huurprijs kan worden aangepast met maximaal de verhoging van de consumentenprijsindex) is de impliciete grond van de aanpassing al wat minder duidelijk: gaat het hier nog steeds alleen om een inflatiecorrectie, of spelen wellicht ook andere motieven een rol? Daarmee lijkt hier het transparantievereiste wel te zijn geschonden, maar het lijkt onwaarschijnlijk dat dit beding onredelijk bezwarend wordt geoordeeld: in dit geval kan de verhoging van de huurprijs voor de huurder mogelijk gunstiger uitpakken dan de inflatiecorrectie, maar in ieder geval niet ongunstiger.
(Wie een stilzwijgend verlengd contract heeft, mag natuurlijk elke maand al weg dus daar speelt de hele discussie niet.)

Arnoud

 

 

Facebook verwerkte illegaal persoonsgegevens Nederlandse gebruikers

| AE 13910 | Ondernemingsvrijheid, Privacy | 20 reacties

Facebook heeft illegaal persoonsgegevens van Nederlandse gebruikers verwerkt, zo heeft de rechtbank Amsterdam geoordeeld in een zaak die was aangespannen door de Data Privacy Stichting (DPS). Dat meldde Security.nl gisteren. De uitspraak betreft de periode van 2010 tot 2020: al die tijd had Facebook geen Wbp/AVG-grondslag én verwerkte ze bijzondere persoonsgegevens zonder daartoe gerechtigd te zijn. De zaak is nog niet ten einde, omdat de DPS onder het oude recht voor collectieve claims opereerde en dus niet meteen schadevergoeding mocht vorderen. Dat zal de volgende stap worden.

Het vonnis is zo lang dat de rechtbank een aparte overzichtssectie toevoegt. Deze laat geen spaan heel van daarna te behandelen verweren van Facebook:

Het oordeel van de rechtbank is dat Facebook Ierland onrechtmatig heeft gehandeld in de manier waarop zij met de persoonsgegevens van Nederlandse Facebookgebruikers is omgegaan.  … Het onrechtmatig handelen bestaat onder meer uit het zonder rechtsgeldige grondslag verwerken van persoonsgegevens voor advertentiedoeleinden. … [Een en ander] vormde ook een oneerlijke handelspraktijk. Het onvoldoende voorlichten van de Facebookgebruiker als consument over het gebruik van persoonsgegevens voor commerciële doeleinden was misleidend. De gemiddelde consument kon namelijk geen goed geïnformeerd besluit nemen over het deelnemen aan de Facebookdienst.
Verder lezend zie ik een héleboel open deuren als conclusie, maar wel met een stevige juridische onderbouwing. Wat een verademing dat iemand (oké, drie iemanden) er eens goed voor is gaan zitten en gewoon de conclusies trekt die bijvoorbeeld op deze blog ook al door velen zijn getrokken, maar dan met het gezag van gewijsde, pardon gezag van de rechtbank want hoger beroep is zeker nog mogelijk.

Allereerst was er een hele discussie over toepasselijk recht en welke van de bedrijven uit het Meta-concern van bedrijven in diverse landen je moet hebben. Al eerder was beslist dat Nederlands recht zou gelden, en dat de vorderingen beperkt zouden zijn tot slachtoffers – pardon, gebruikers – in Nederland. En na een hele analyse over (verwerkings-)verantwoordelijkheid komt de rechtbank simpelweg uit bij Facebook Ierland als de aan te spreken partij.

De volgende taaie juridische discussie is of er wel schade is geleden. Dat is niet vanzelfsprekend: de “enkele inbreuk op een grondrecht” is te weinig om meteen van meetbare schade te mogen spreken. Het zou in juridische zin bij “niet meer dan ergernis” kunnen blijven, en dan valt er geen geld te claimen. Zie bijvoorbeeld de rechtspraak rond die 500 euro-claims uit 2020.

Hier gaat dat goed voor de stichting, want omdat het gaat om een massaclaim mag je alles een beetje abstraheren:

Bij een collectieve actie als de onderhavige past, onder andere ten aanzien van de belangvraag, een zekere abstracte toetsing. Dat betekent dat de vraag of de mogelijkheid van schade aannemelijk is, in algemene zin moet worden beantwoord, dat wil zeggen geabstraheerd van individuele omstandigheden van leden van de Achterban. Weliswaar kan niet worden gezegd dat de door de Stichting gestelde privacyschendingen en oneerlijke handelspraktijken zonder meer tot schade leiden, maar daar staat tegenover dat de mogelijkheid van schade ook niet op voorhand en in algemene zin is uitgesloten.
Een andere discussie die met datzelfde argument beslecht werd, ging over verjaring. Er is immers een termijn van 5 jaar voor onrechtmatig handelen, grofweg vanaf het moment dat je dat wist dat je schade had en wie je daarvoor kon aanspreken. Die was hier niet:
In algemene zin is er niet één specifiek moment aan te wijzen waarop de gevolgen van de gestelde onrechtmatige gebeurtenissen van vóór 30 december 2014 zich hebben geopenbaard. In zoverre is er dus niet één specifiek moment aan te wijzen waarop de (mogelijke) schade en de subjectieve bekendheid daarmee is of kan zijn ontstaan.
De hele discussie over wat er nu precies geschonden is (informatieplichten, grondslag) laat ik even voor wat deze is. Belangrijkste vind ik dat de rechter bevestigt dat zowel bij de Wbp als de AVG de bewijslast bij de verantwoordelijke ligt: toon aan dat je adequaat hebt geïnformeerd, anders ben je tekort geschoten. Bewijs dat je adequaat toestemming hebt verkregen (of andere grondslag), anders heb je onrechtmatig verwerkt. Dat is voor toekomstige procedures een flinke opsteker.

Maar waar had Facebook dan nadrukkelijk over moeten informeren? Allereerst over de Graph API versie 2, oftewel welke externe applicatie er toegang kon krijgen tot persoonsgegevens van Facebookgebruikers. Daarbij gebruikte Facebook een op zich duidelijk popupscherm, dat uitsplitste waar je toestemming voor gaf. Alleen:

Op basis van het (voorbeeld) pop-upvenster stelt de rechtbank vast dat aan de Facebookgebruiker toestemming werd gevraagd om de applicatie van de externe ontwikkelaar toegang te geven tot verschillende categorieën informatie over de Facebookgebruiker. Voor zover de rechtbank kan nagaan, blijkt uit het pop-upvenster echter niet dat daarin is vermeld met welk doel de applicatie toegang zal krijgen tot die informatiecategorieën. Dat betekent dat ervan uit moet worden gegaan dat de Facebookgebruiker in het pop-upvenster niet is geïnformeerd over de doeleinden van die gegevensverwerking.
Want ja, er stond dan wel “de app mag mijn profiel lezen” maar niet waarom de app dat zou doen of wat er dan zou gebeuren met de profielinformatie. “We stoppen je profiel in een set categorieën zodat we weten wie onze app gebruikt” is heel wat anders dan “we verpatsen je gegevens onder de tafel aan een Londense/New Yorkse dataminer die je politieke advertenties op maat gaat serveren” immers. En er zal in de privacyverklaring vast het nodige te lezen zijn geweest, maar ook dat vindt de rechter niet adequaat:
De rechtbank is van oordeel dat in het midden kan blijven of het Gegevensbeleid (voldoende concrete) informatie bevatte over de doeleinden van deze gegevensverwerking, omdat het Gegevensbeleid in dit geval niet de geëigende plek is om ten aanzien van deze specifieke vorm van gegevensverwerking de daarvoor relevante informatie te verschaffen.
Je moet dus IN je popup noemen wat je gaat doen en waarom, met hooguit “voor meer informatie, raadpleeg de bijsluiter” daar achter met een link naar je gegevensbeleid.

Een ander dingetje was dat men met het uitlezen van die informatie ook informatie van Facebookvrienden én van vrienden van vrienden te pakken kreeg. Dat ligt niet direct voor de hand bij een popup die zegt “Deze app wil toegang tot je profiel”. Dus dan moet je meer informeren, en dat ging niet helemaal goed:

Uit de door Facebook Ierland genoemde passages in de Gebruikersvoorwaarden blijkt niet dat de persoonsgegevens van gebruikers door hun Facebookvrienden konden worden gedeeld met externe applicaties. Voor het eerst in het Gegevensbeleid van 15 november 2013 is enige informatie te vinden waaruit een dergelijke gegevensverwerking indirect kan worden opgemaakt. Dat is echter niet in voldoende duidelijke en begrijpelijke bewoordingen gebeurd. Bovendien is het Gegevensbeleid van 15 november 2013 zeer omvangrijk; dat beslaat bijna dertig pagina’s aan informatie. Geconcludeerd moet dan ook worden dat op dit punt sprake is van mededelingen in verhuld taalgebruik tussen een grote hoeveelheid andere gedetailleerde informatie in een onderliggende informatielaag (het Gegevensbeleid). Dergelijke mededelingen voldoen niet aan de eisen van transparant, begrijpelijk en in gemakkelijk toegankelijke vorm informeren over een relevante gegevensverwerking.
Even voor de duidelijkheid: hier zegt dus een rechter dat een privacyverklaring van dertig pagina’s met wollig taalgebruik géén informatie-instrument onder de AVG is. Als je dertig pagina’s nodig hebt, dan gaat er sowieso al iets niet goed. En als daar dan ook nog “verhuld taalgebruik” (dit is geen compliment, ik zeg het even voor de juristen) bij staat, dan heb je helemaal een probleem.

Vervolgens maakt de rechter gehakt van de beroepen op grondslagen (toestemming, contractuele noodzaak en gerechtvaardigd belang). Met name die contractuele noodzaak is interessant, want Facebook zegt immers al een hele tijd dat het profileren erbij hoort en dus deel is van de overeenkomst. Ergens voelt het ook een raar criterium: als ik in de voorwaarden zeg dat ik iets ga doen, hoort het dan noodzakelijkerwijs bij de overeenkomst of niet? Zuiver verbintenisrechtelijk wel, pacta sunt servanda roepen alle contractsjuristen meteen. Maar binnen het gegevensverwerkingsrecht heb je de ‘echt’ noodzakelijke en de ja-op-papier-wel-maar-haha-nee-niet-echt noodzakelijke  verbintenissen:

Gesteld noch gebleken is dat het aanbieden van een profiel op het sociale netwerk feitelijk niet kan worden uitgevoerd als de verwerking van persoonsgegevens voor advertentiedoeleinden niet plaatsvindt. Dat dat niet zou kunnen, staat dus niet vast. Voor het aanbieden van een profiel op het sociale netwerk van het Facebookplatform is dus niet objectief en daadwerkelijk noodzakelijk dat Facebook Ierland persoonsgegevens van een gebruiker verwerkt voor advertentiedoeleinden.
Ook de grondslag toestemming sneuvelt, onder meer met de constatering dat men wellicht toestemming geeft voor gebruik voor de dienst an sich, maar een gebruiker hoeft er
niet bedacht op te zijn dat zijn persoonsgegevens ook voor andere doeleinden worden verwerkt, zoals de door Facebook Ierland gebezigde advertentiedoeleinden. Om die reden kan ook niet worden gezegd dat op de gebruiker op dit punt een onderzoeksplicht rustte [waarbij je de privacy policy moet gaan lezen].
Ook bij latere, aangepaste registratie- of akkoordschermen ging het mis. Er werd dan akkoord gevraagd op de voorwaarden, met daarin een verwijzing naar het gegevensbeleid, wat een té indirecte manier van werken is.

Blijft over – zucht – het gerechtvaardigd belang, u weet wel van VoetbalTV. Zonder die uitspraak te noemen, merkt de rechtbank op dat je wel degelijk een commercieel belang als gerechtvaardigd zou kunnen zien. Maar je moet dat wel nader uitwerken, met name over de vraag over noodzaak van wat je van plan bent. Dat vertaalt zich naar transparantie:

Voor de vraag of in dit verband voldoende duidelijk is geïnformeerd, moet er rekening mee worden gehouden dat gebruikers van een dienst die als gratis wordt gepresenteerd zich vaak niet volledig bewust zijn van de mate waarin hun persoonsgegevens worden verwerkt en hun activiteiten worden bijgehouden. De (verwerkings)verantwoordelijke dient daarom transparant te zijn over die verwerking en over zijn bedrijfsmodel.
Die transparantie ontbreekt; wie wil uitpluizen wát Facebook nu allemaal doet qua profilering en datadelen moet op allerlei bronnen dit bij elkaar spitten. Ook had Facebook niet onderbouwd waarom ze perse nu gepersonaliseerde advertenties nodig zou hebben in plaats van gewone.

De overige AVG-aspecten laat ik even zitten, want ik vond het nog erg mooi om te zien dat de eisers ook inzetten op de regels van oneerlijke handelspraktijken. Want wat Facebook doet, is niet alleen een AVG-schending:

Het niet bij het aangaan van de overeenkomst (helder genoeg) op de hoogte brengen van de omstandigheid dat de (persoons)gegevens die de consument aan Facebook Ierland verstrekt om toegang tot de Facebookdienst te krijgen mede worden gebruikt voor advertentiedoeleinden op de wijze zoals dit gebeurt, moet als een misleidende omissie van essentiële informatie worden beschouwd die de gemiddelde consument – dat wil zeggen de redelijk geïnformeerde, omzichtige en oplettende consument – nodig heeft om een geïnformeerd besluit over het deelnemen aan de Facebookdienst te kunnen nemen als bedoeld in artikel 6:193d BW.
Een onduidelijke privacybijsluiter is dus net zo misleidend als het weglaten van ingrediënten of compatibiliteitsinformatie bij andere producten. Daar valt zeker wat voor te zeggen.

De volgende stap is nu een massaclaim naar nieuw recht. Volgens de Consumentenbond hebben al meer dan 185.000 mensen zich bij de massaclaim aangesloten. Ik ben heel benieuwd; zelfs al komt er maar een symbolische vijf euro uit, dan nog zou dat een enórme opsteker zijn voor de handhaving van de AVG.

Arnoud

[insert code as law joke here] of hoe de EU Cyber Resiliency Act softwareontwikkeling gaat veranderen

| AE 13891 | Innovatie, Ondernemingsvrijheid, Regulering, Security | 9 reacties

“The EU’s new Cyber Resilience Act is about to tell us how to code”, las ik op de blog van Bert Hubert (aanrader). De CRA is een concept-Verordening over cyberbeveiligingseisen voor producten met digitale elementen, zeg maar alles dat we IoT (internet of [st]hi[nt]g?s?) noemen, maar dan breder want netwerkverbinding is niet perse een eis. Dergelijke apparaten… Lees verder

Mag ik een natte handtekening eisen als het digitale certificaat bij een contract rammelt?

| AE 13879 | Ondernemingsvrijheid | 15 reacties

Een lezer vroeg me: Een bedrijf stuurt mij een contractvoorstel in PDF op ter ondertekening. Zij hebben de PDF digitaal ondertekend, met een X509 certificaat dat echter leidt naar een root CA van de leverancier, en niet tot een van de door Adobe erkende root CAs. Er is dus geen officiële erkenning van dit certificaat,… Lees verder

Nederland fel tegen Europese plannen voor een Netflix-taks

| AE 13884 | Informatiemaatschappij, Ondernemingsvrijheid | 7 reacties

Als het aan Europese telecom- en internetproviders ligt, gaan tech- en streamingbedrijven als Google en Netflix een vergoeding betalen voor hun internetverkeer. Dat meldde Nu.nl vorige week. In een consultatieronde van Europese plannen over een dergelijke vergoeding heeft Nederland fel uitgehaald naar het idee, waarbij de term “Netflix-tax” viel. Iets zuiverder is wellicht ‘EU-internettolheffing’. Maar we… Lees verder

Brussel tikt Apple op de vingers om App Store-regels kosten abonnementen

| AE 13882 | Ondernemingsvrijheid, Regulering | 2 reacties

Apple mag appontwikkelaars niet verbieden om klanten over prijsverschillen binnen en buiten de appstore te informeren, las ik bij Nu.nl. Brussel heeft het techbedrijf daarvoor op de vingers getikt: een Formele Boze Brief oftewel statement of objections, de eerste stap in een mededingingsonderzoek dat kan uitmunten in een forse boete voor het elektronicabedrijf. Wanneer een… Lees verder

Telefoonnummer ontbreekt bij grote webwinkels, ondanks verplichting

| AE 13886 | Ondernemingsvrijheid | 34 reacties

Twaalf van de honderd grootste webwinkels in Nederland bieden klanten niet de mogelijkheid om via de site rechtstreeks contact te krijgen met de klantenservice, terwijl dit volgens de wet wel moet. Dat berichtte de NOS vorige week. Het gaf enige verbazing bij diverse juristen en ondernemers. Dus hoe zit dit nu? Allereerst is er de… Lees verder

Is het detecteren van mijn adblocker strafbaar?

| AE 13864 | Ondernemingsvrijheid, Privacy | 49 reacties

Een lezer vroeg me: Steeds vaker kom ik op websites waar ik een melding krijg dat ik een adblocker (wat correct is) draai en of ik deze wil uitzetten omdat anders mij de toegang wordt geweigerd. Mag dat zomaar? Portscannen is toch strafbaar, dit lijkt mij hetzelfde. Het zal van de gebruikte detectietechniek afhangen maar… Lees verder