Aansprakelijkheid van de netwerkbeheerder voor schade ten gevolge van een ransomware aanval

Photo by Michael Geiger on Unsplash

Als ict-beheerder 50.000 euro moeten betalen omdat je klant door ransomware werd getroffen, terwijl de netwerkbeveiliging eigenlijk bij een derde lag. Ja, dat kan: zorg dus dat je je documentatie goed op orde hebt, want dat is waar de zaak eigenlijk op mis ging voor de beheerder.

Dat vonnis gaat vooral in over verrekenen van de schadeclaim met openstaande facturen. Het echte verhaal lezen we in het tussenvonnis uit 2022 (nu pas gepubliceerd) waarin de rechter concludeerde dat de beheerder aansprakelijk was. Haar primaire taak was netwerkbeheer en onderhoud, maar ook een stukje security:

A) Aangaande security dienen minimaal door Opdrachtgever de volgende maatregelen te zijn getroffen: ? Deugdelijke antivirusbeveiliging; ? Firewall. B) Uitvoerder zal de deugdelijkheid van de security [maandelijks] beoordelen en haar bevindingen aan Opdrachtgever mededelen. C) Indien de security door Uitvoerder als niet deugdelijk wordt beschouwd, dan is Uitvoerder niet aansprakelijk voor enige schade die als gevolg van de niet deugdelijke security is ontstaan of in de toekomst kan ontstaan. D) Uitvoerder kan op verzoek/aanvraag van Opdrachtgever zorgdragen voor een deugdelijke security. Deze aanvraag/opdracht zal worden behandeld als zijnde meerwerk als in art. 8 van deze overeenkomst.
Op enig moment werd de klant (opdrachtgever) getroffen door ransomware. Onduidelijk was hoe dat precies was gebeurd, maar de rechter is daar snel klaar mee:
Hoe de hackers het netwerk van [de klant] zijn binnengedrongen, kan naar het oordeel van de rechtbank echter in het midden blijven. Van belang is dat schade is ontstaan doordat bij de aanval niet alleen de werkbestanden maar ook de back-up bestanden van [de klant] versleuteld zijn geraakt. Niet in geschil is dat de bedrijfsvoering van [de klant] enige tijd belemmerd is geweest doordat [de klant] niet meer bij haar systemen en bestanden kon, en dat hierdoor schade is ontstaan. Netwerksegmentatie, een beter wachtwoordbeleid en een deugdelijk afgescheiden back-upvoorziening hadden dat kunnen voorkomen.
Het niet hebben van die drie dingen is iets waar de beheerpartij op had moeten screenen en waarschuwen. (Dit is niet zodanig subtiel dat je dat normaal mist.) Advies en waarschuwingen hierover ontbraken echter in het dossier.

Weliswaar was er een plan voor herziening van het netwerk, maar dat is niet echt hetzelfde als een waarschuwing:

Deze offerte behelst de installatie en configuratie van een nieuwe ICT-omgeving met nieuwe hardware en de aansluiting op de bestaande netwerk. Blijkens het bijbehorende werkplan is een vorm van netwerksegmentatie en een veiligere back-upvoorziening weliswaar onderdeel van de geoffreerde nieuwe ICT-omgeving, maar uit de offerte blijkt niet dat [de leverancier] de ondeugdelijkheid van de bestaande beveiliging en de noodzaak tot het nemen van maatregelen, laat staan de urgentie daarvan, aan [de klant] heeft meegedeeld.
Bij enkele andere problemen was wél duidelijk gewaarschuwd: “Dicht zetten RDP-poorten van alle servers! Of gaan whitelisten. Zie Risico.” Dat betrof een oude server die allang niet meer actief had moeten zijn. Er is een reële kans dat de criminelen via deze server zijn binnengedrongen, maar zoals gezegd maakt dat niet uit – de beveiliging elders had ze dan moeten stoppen.

Het lijkt er dus op dat de beheerder er op zich prima over nagedacht had, maar niet consequent handelde zoals ze had toegezegd. Ook schoten er dingen te kort in de uitvoering, bijvoorbeeld hetzelfde wachtwoord voor de backupserver als voor de gewone beheerserver. Maar uiteindelijk komt het neer op dit soort dingen:

[De leverancier] verwijst naar een e-mail van 3 oktober 2019 waarin staat vermeld: “Wachtwoordbeleid nakijken Done, geen eenduidig beleid”

Daaruit blijkt niet dat [de leverancier] [de klant] heeft gewezen op de noodzaak om een beter wachtwoordbeleid toe te passen, heeft geadviseerd welke verbeteringen nodig zijn en heeft gewezen op de urgentie voor het nemen van maatregelen.

Ik blijf het zeggen: je zorgplicht als ict-dienstverlener wordt ingevuld door je documentatie. Wat heb je toegezegd, wat heb je uitgesloten en wat heb je aangegeven in de uitvoering? Dat leg je dus vast, van mails met signaleringen tot bevestigingen van telefonische (of mondelinge) opmerkingen.

Arnoud

Mag verkoper verkoop weigeren vanwege “onethisch” koopgedrag?

Photo by geralt on Pixabay

Via Reddit:

Er is een aanbieder van een erg populair product X, waar regelmatig een nieuwe voorraad van komt die op first-come first-serve wordt verkocht. Ik heb een scriptje geschreven dat op een reguliere interval kijkt of er een nieuwe drop is, en zo ja, dat ik automatisch ingeschreven word. Maar niet iedere drop vind ik interessant, dus ik had inmiddels al enkele tientallen inschrijvingen “gewonnen”, maar nooit gekocht…. tot ik enkele dagen geleden door mijn inschrijvingen ging en een bepaalde drop zag die om wat voor reden dan ook niet zo populair was en na 2 maanden nog niet uitverkocht was (sommige drops zijn echt binnen minuten weg). … Maar nu werd ik na enkele dagen gebeld door de leverancier van X, en ze gaven aan dat ze wat ongebruikelijke activiteit in mijn account hadden gezien, omdat ik nagenoeg iedere drop als eerste in lijn was, maar nu ineens een impopulaire X wilde kopen.
De constructie lijkt wat apart, maar er zijn ondertussen genoeg aanbieders (in specifieke niches) die hiermee een zeer succesvolle business hebben opgebouwd. Je creëert schaarste en aandacht met zo’n “drop” elke zo veel maanden, je kunt je benodigde productie vrij goed afstemmen en je krijgt de aandacht van “uitverkocht binnen 24 uur”.

Natuurlijk zijn er dan handige jongens (m/v) die hierop automatiseren. Zo ook hier. Omdat de inschrijving juridisch vrijblijvend is, is het risicoloos om dit zo aan te pakken. Je bent altijd de eerste, en als je niet hoeft dan kun je er gratis vanaf. Ideaal.

Ideaal, maar weinig ethisch misschien: het omzeilt het hele concept, en jaagt mensen weg die wél echt op die inschrijving zitten te wachten. Het verbaast me dan ook niet dat de leverancier op dit soort activiteit monitort en dan besluit dat ze geen zaken willen doen met zo iemand.

Als winkel ben je inderdaad in principe vrij om iemand als klant te weigeren. Huisregels helpen daarbij, en uiteraard mag je weigering niet in strijd zijn met basale regels zoals die van discriminatie. (En iets met automatisch weigeren op basis van profilering onder de AVG, nu niet relevant.)

Punt daarbij is wel: dat moet je vóór het sluiten van de overeenkomst doen. De wet biedt geen grond om een overeenkomst ongedaan te maken op basis van ongewenst gedrag of kenmerken van de persoon van de koper.

Meestal is het bij webwinkels zo dat je direct koopt. Je ziet een product, doet het in je mandje en rekent af. Tegen de tijd dat de winkelier iets van jou merkt, is de overeenkomst dan al tot stand gekomen. Ingrijpen “jou moet ik niet” is dus niet meer mogelijk.

Hier ligt dat anders: de inschrijving is vrijblijvend, dus er is dan nog géén overeenkomst. De verkoper mag dan op dat moment zeggen “nee, jou wil ik niet met je scriptje”. Mogelijk dat je dan in het systeem van de shop nog een bestelling kunt afronden, maar die mag de winkelier dan wél weigeren of ongedaan maken omdat dit vooraf gemeld is.

Terzijde: sommige winkeliers hanteren algemene voorwaarden met als strekking “Wij mogen wél de overeenkomst ongedaan maken als wij achteraf bedenken dat u een onplezier/ongewenst persoon bent”. Dat is te generiek en niet redelijk. Bij specifiek gedrag (denk aan valsspelen bij games) is dat wellicht nog mogelijk, maar het is vrij moeilijk om op voorhand zulk gedrag op te sommen.

Eén gedraging die in ieder geval niet kan, is “als u te vaak producten retourneert binnen de wettelijke termijn, gaan wij u weigeren”. Dat is namelijk in strijd met het consumentenrecht; een straf zetten op het uitoefenen van een wettelijk recht is niet toegestaan.

Arnoud

Moeten games niet op zijn minst een houdbaarheidsdatum meekrijgen?

Photo by Element5 Digital on Pexels

Stop Killing Games vecht voor de rechten van gamers en de preservering van games, met consumentenrecht en wetgeving als wapen. Dat meldde Tweakers onlangs. De kern: mag een game-ontwikkelaar een spel actief onspeelbaar maken door servers en ondersteuning uit te zetten? En denk ik dan, moet daar dan niet op zijn minst over geïnformeerd worden?

De game-industrie is al een fors aantal jaren verschoven naar een GaaS-model: games as a service. Je kunt een basisspel krijgen, maar om te spelen en om uitbreidingen te krijgen moet en zal je online zijn en een (al dan niet betaald) account hebben. Stop je daarmee, dan gaat je spel weg.

Dat is tot daar aan toe, maar als de game-ontwikkelstudio stopt met het spel dan gaat óók je spel weg. De server gaat uit, de authenticatie werkt niet meer, allerlei redenen maar hoe dan ook, geen spel meer voor jou. Dit is dus wel even iets meer dan “de fabrikant heeft geen reserveonderdelen meer” zoals bij auto’s of je zitbank van 8 jaar oud. Deze optie tot uitzetten van je game zit ingebouwd.

Zoals Tweakers het uitlegt:

In de praktijk wil de beweging dat dergelijke spellen in de toekomst, ook nadat de ondersteuning van de maker stopt, in een ‘redelijke staat’ speelbaar blijven, niet per se in de staat waarin een game tijdens actieve ondersteuning verkeerde. … Voorbeelden van kleine functies die daar niet onder vallen en volgens [initiatiefnemer Ross Scott/Accursed Farms] dus eventueel verloren mogen gaan zijn ‘achievements, leaderboards, matchmaking, een gecentraliseerde virtuele marktplaats, privéberichten en integratie van sociale media’.
Het Europese consumentenrecht kent diverse regels over “digitale inhoud” en “digitale diensten” (zie vanaf art. 7:50aa BW). Grofweg worden de regels van koop van fysieke dingen hier ook toegepast, aangepast naar de aard van deze bittenstromen. Zo is er een informatieplicht over interoperabiliteit, en is de conformiteitseis specifieker uitgewerkt.

Wat echter mist, is een bepaling hoe lang zo’n dienst geleverd moet zijn of digitale inhoud bruikbaar. Dat kun je alleen afleiden uit een invulling van dat begrip conformiteit: “de periode die de consument redelijkerwijs kan verwachten”, aldus bijvoorbeeld art. 7:50ae lid 4 BW. Hoe lang dat is, is daarmee dus niet op voorhand te zeggen.

Het voorstel van Stop Killing Games kiest een andere insteek. Het maakt niet perse uit hoe lang het spel speelbaar is, maar leveranciers moeten verplicht zijn een speelbaar spel over te laten. Inbouwen van verplichte servercontrole of inloggen mag dus niet voor álle spelmodi. Bijvoorbeeld wel de multiplayer-optie maar niet single player. Prima als je updates pas krijgt na inloggen, maar stoppen omdat “u zes maanden geen updates heeft gedownload” kan dan weer niet.

Game-ontwikkelaars stellen daar vaak mooie woorden over veiligheid, speelbaarheid en bijbehorend hun reputatie tegenover. Een brak oud spel met wel de merknaam erop komt natuurlijk wat raar over, net zoals die ouwe roestbak met nog een Opel logo erop, zoiets. Maar er zijn specifiekere zorgen:

Ubisoft noemt aflopende licenties als een van de redenen waarom [racegame The Crew] niet meer beschikbaar is. Het bedrijf moest immers licentiedeals afsluiten met autofabrikanten om de echte voertuigen in The Crew te mogen verwerken. … Ontwikkelaars, zeker kleinere studio’s, zijn in het verlengde daarvan bijvoorbeeld ook afhankelijk van derden voor fundamentele gameonderdelen zoals de engine, serverruimte of anticheatsoftware.
Die zorgen begrijp ik wel, maar het voelt nog steeds erg raar dat daarmee zomaar een “dit spel stopt over zes maanden, sorry” bericht zou kunnen worden gegeven. Want je weet wanneer je licenties aflopen, dus dat kun je gewoon inplannen.

Mijn simpele doch doeltreffende oplossing zou dan ook zijn dat games een houdbaarheidsdatum moeten krijgen: tenminste speelbaar tot dd/mm/jjjj. Wat je daar invult is aan jou, maar die toezegging moet je dan waar maken. (De reden hoef je er niet bij te zetten.)

Dit is iets dat prima binnen de bestaande wetgeving handhaafbaar is, en zou de bestaande situatie niet wezenlijk veranderen want je hóeft niets behalve die tekst op de doos of in de productinformatie opnemen. Het enige is natuurlijk dat consumenten dan denken, ik speel liever dat andere spel want dat is drie jaar langer houdbaar. Maar dat is dan ook weer soort van de bedoeling.

Arnoud

Mag mijn ict-leverancier oude mailboxen zomaar weggooien na 30 dagen?

Photo by Pixabay on Pexels

Een lezer vroeg me:

Wij zijn een klein adviesbureau en besteden al onze ict-dienstverlening uit. Nu hebben wij recent ontdekt dat oude mailboxen (ex-werknemers) na 30 dagen worden gewist. Dit is erg vervelend, omdat wij nu geen oude correspondentie terug kunnen halen die nodig is voor een juridisch geschil met een klant. Kunnen wij de dienstverlener hierop aanspreken?
Het antwoord begint zoals altijd bij de zorgplicht van de ict-dienstverlener. Iets specifieker diens informatieplicht, uitleggen hoe je werkt en welke keuzes je daarin maakt. Op zich is die 30 dagen een prima keuze, maar de klant moet dat wel weten zodat deze erop kan acteren. Ik twijfel of je per mailbox nog laatste herinneringen moet mailen (“Let op: over 3 dagen wordt een oude mailbox gewist” naar de contactpersoon), maar netjes zou dat wel zijn.

Tegelijkertijd heeft ook de klant natuurlijk een zekere verantwoordelijkheid. Als een werknemer vertrekt, is opschonen van diens mailbox een standaardactie. Belangrijke mails, zoals toezeggingen aan een klant, horen in dossiers of klantadministraties te zitten en niet in een mailbox. Ik snap dat dat vaak niet gebeurt, maar dan krijg je dus wel dit soort problemen.

Voor dit concrete geval zie ik niet echt een oplossing. Die mailbox is weg, en die komt niet terug als de leverancier bedrag X als schadevergoeding betaalt. Dit nog los van de vraag óf er vergoedbare schade is. De gevolgschade zoals de klant moeten afkopen valt buiten de risicosfeer van de leverancier, dit zal het adviesbureau zelf moeten dragen. Dit is te zeer hun eigen risico om nog 100% op het bordje van de ict-leverancier te leggen.

Het beste advies is dus om dit als aanleiding te gebruiken om de beheersovereenkomst te herzien. Maak afspraken over bewaartermijnen, over het aanleveren van een statische kopie of export dan wel over herinneringen om te downloaden voor het te laat is. En herzie je eigen procedures over wat er (uitsluitend) in mailboxen mag staan.

(Ik las ooit ergens dat e-mail eigenlijk een transportmedium is en geen opslagmedium. Vanuit dat standpunt zou het wellicht een goede zaak zijn als mails standaard gewist worden een week na geopend te zijn.)

Arnoud

Ik heb persoonsgegevens van het werk gedownload, kan ik nu een boete krijgen van de AVG?

Photo by Miguel Á. Padriñán on Pexels

Via Reddit:

Six weeks ago, a coworker messaged me he wanted to talk to me in private, and told me HR files were online and unprotected. He sent me the website with the unprotected files, and I went to the website and downloaded the files on my work PC and my private desktop at home, just to confirm it was actual protected data that was at risk of getting leaked. …

HR told me they wanted to speak to me and they questioned me about what happened with a lawyer present. Afterwards, they told me I had two options, either leave the company or they would fire me. If I left the company, they said they wouldn’t press charges. Otherwise, they said I could get a fine of up to 100k euros and a prison sentence of 6 months up to two years based on GDPR laws.

Uit de discussie blijkt dat deze bestanden met persoonsgegevens ergens in de bedrijfsomgeving voor iedereen toegankelijk waren. Wel moest je ingelogd zijn met je werknemersaccount, en je moest maar net weten wat de (niet te raden) URL precies was. Dat klinkt wel als een stukje gebrekkige beveiliging.

Is het handig zoiets te doen? Nee, maar tegelijk snap ik wel dat je toch even wil kijken als je zoiets raars tegenkomt. Ik zou alleen wél verwachten dat je daarna aan de bel trekt bij de CISO, FG of je manager en daarna de gegevens wist. Je wenkbrauwen optrekken en wat anders gaan doen (en de bestanden laten staan) is, hoe zeg je dat, niet aan te raden.

De reactie van het bedrijf is ook weer enigszins overtrokken. Allereerst kun je iemand op grond van een datalek veroorzaken al niet ontslaan, laat staan iemand die alleen kéék naar een datalek. Ten tweede is het volstrekt idioot en actief onwaar dat je als werknemer een wettelijke boete of celstraf kunt krijgen als je de AVG overtreedt.

De enige die een boete kan krijgen, is het bedrijf zelf. Heel misschien kom je uit bij persoonlijke aansprakelijkheid van de directie, maar afgezien daarvan zijn er geen personen die boetes kunnen krijgen. Mogelijk dat men hier indirect dreigde met aangifte voor computervredebreuk. Maar nog steeds: zwáár overtrokken reactie.

Desondanks natuurlijk buitengewoon vervelend om in zo’n situatie te komen. De kans is groot dat hoe je dit geschil ook vlot trekt, de werkrelatie blijvend verstoord is. Daar is alleen geen juridisch antwoord op.

Arnoud

Deense fitnessketen berispt voor toegang via gezichtsherkenning

Photo by Danielle Cerullo on Unsplash

De Deense privacytoezichthouder Datatilsynet heeft fitnessketen Sporting Health Club berispt voor het invoeren van toegang door middel van gezichtsherkenning. Dat meldde Security.nl vorige week. De kern: je moet héél duidelijk zijn over de alternatieven en die als gelijkwaardig presenteren.

De sportschool wilde 24/7 open zijn, maar kon (of wilde) niet altijd personeel daar aanwezig laten zijn. De oplossing is dan vaak biometrie, in dit geval gezichtsherkenning, om naar binnen te mogen.

Onder de AVG is biometrie voor authenticatiedoeleinden een moeilijke optie, omdat het een zwaar middel is. De sportschool koos dan ook voor de grondslag van toestemming, waarmee je de complicaties van de andere grondslagen omzeilt. Alleen moet die dan wel vrijwillig worden gegeven, en deel daarvan is dat er een equivalent alternatief is.

Dat ging hier niet helemaal goed:

De Deense Autoriteit voor Gegevensbescherming is van oordeel dat het feit dat u tijdens de openingstijden van de receptie de mogelijkheid heeft om via persoonlijke service in te checken bij de receptie tijdens de openingstijden van de receptie op zichzelf niet als een soortgelijk alternatief kan worden beschouwd, aangezien u daardoor beperkt wordt in uw toegang tot het centrum vergeleken met wanneer u toestemming geeft voor gezichtsherkenning.
Tijdens de bemensde openingstijden binnengelaten worden is niet hetzelfde als 24/7 automatisch naar binnen kunnen. Maar omdat er ook een optie was om op ieder moment (24/7 dus) een externe ondersteuning te bellen die je dan binnenlaat, was uiteindelijk het alternatief toch equivalent.

Alleen, dat alternatief was niet duidelijk aangegeven bij de toestemmingsvraag. Die was op zich uitdrukkelijk en expliciet genoeg over wat er zou gebeuren met je gegevens (niets raars, overigens), maar die moet dus ook benoemen wat er gebeurt als je géén toestemming geeft.

Arnoud

 

AI gaat helpen op de SEH, mag dat van de AIA?

Foto DennisM2, Flickr (PD)

Op de spoedeisende hulp van het St. Antonius Ziekenhuis in Utrecht wordt sinds begin deze maand gebruikgemaakt van artificiële intelligentie (AI). Dat meldde lokale krant DUIC. Het systeem adviseert bij de beslissing of mensen moeten worden opgenomen of niet, zodat men eerder kan beginnen met plannen. Een mooiere aanleiding om mijn boek te pluggen, pardon het over de AI Act te hebben weet ik even niet.

Het ziekenhuis legt uit hoe het werkt:

Het algoritme gebruikt gegevens zoals leeftijd, bloedwaarden, hartslag en de hoofdklacht, om te voorspellen welke patiënten waarschijnlijk moeten worden opgenomen en welke ontslagen kunnen worden. Voor elke patiënt berekent het algoritme elke 5 minuten opnieuw de kans op opname of ontslag en past de verwachting aan als nieuwe uitslagen daar aanleiding toe geven.
Het voornaamste doel is sneller het proces van opnemen (bed vrijmaken, behandelaars alarmeren et cetera) op gang brengen. Dit kan in de praktijk soms uren duren, zeker als een buitenbed geregeld moet worden. Het blijft een advies, zo benadrukt men: uiteindelijk beslist altijd de arts.

Valt dit nu onder de AI Act als een hoogrisico-toepassing? Dat kan in twee gevallen in de context van gezondheidszorg:

  1. De AI is een gereguleerd apparaat onder de Medical Device Regulation (MDR), of een veiligheidscomponent daarvan.
  2. De AI is bedoeld om noodoproepen te classificeren of afhandeling te prioriteren, of voor de triage van patiënten die dringend medische zorg behoeven.
Over die tweede kan ik kort zijn. We zijn hier al voorbij de triage, want de patiënt is al binnen bij de SEH en er moet worden vastgesteld wat er nu met deze moet gebeuren. Triage is bij de deur bepalen hoe kritiek de hulpbehoefte is en of de patiënt naar binnen moet. Dat is dus niet van toepassing.

De MDR reguleert medische hulpmiddelen. Dit zijn apparaten, isntrumenten “of andere artikelen” die bestemd zijn om bij de mens te dienen voor

diagnose, preventie, monitoring, voorspelling, prognose, behandeling of verlichting van ziekte, diagnose, monitoring, behandeling, verlichting of compensatie van een letsel of een beperking, [etc]
Deze softwaretool wordt gebruikt voor monitoring en voorspelling bij mensen met ziekte, letsel of beperking. Dat het enkel gaat om een advies, maakt daarbij niet uit. Deze tool is dus een medisch hulpmiddel op zich, en daarmee hoogrisico.

Hoogrisico betekent: doe een conformiteitsassessment, heb een kwaliteits- en risicomanagementsysteem en zorg dat je data kwalitatief goed is. Screen op dingen die mis kunnen gaan, en heb een proces om in te grijpen.

Gelukkig voor het Antonius krijgen ze pas over drie jaar met deze eisen te maken, want voor gereguleerde producten kent de AI Act een uitgesteld regime. Heel erg is dat niet, want de MDR kent zelf ook al dergelijke eisen, waar een ziekenhuis overigens prima mee om kan gaan.

In deze analyse ben ik totaal niet ingegaan op hoe accuraat, zorgwekkend, vernieuwend of anderszins risicovol de toepassing is. Daar is een leuke boom of wat over op te zetten, natuurlijk. Er is het al wat oudere voorbeeld van een triage-AI die patiënten met een mogelijke beginnende longontsteking aanraadt het nog een nachtje aan te kijken. Prima advies, alleen niet als de patiënt astma heeft – dan moet je direct naar de SEH. Alleen zat die uitkomst niet in de dataset.

Het punt van de AI Act is: dat doet er niet toe. De analyse is formeel. Je kijkt of je valt onder een van de gereguleerde producten of een van de genoemde use cases. Zo ja, ben je hoog risico. Zo nee, ben je dat niet. Dat de AVG of andere wetgeving er iets van vindt in termen van risico, staat daar helemaal los van.

Weten hoe de AI Act precies in elkaar steekt? Koop dan mijn boek The Annotated AI Act. In 411 pagina’s krijg je elk artikel van deze nieuwe wet geduid en van context voorzien.

Arnoud

 

 

ANWB introduceert Auto-stopfunctie tegen nachtelijke blokkeertarieven, mag dat?

Photo by Sue Winston on Unsplash

De ANWB introduceert in Nederland de Auto-stopfunctie in de ANWB Laadpas-app. Dat meldde Tweakers vorige week. Deze functie voorkomt dat er na 23:00 blokkeertarieven in rekening worden gebracht als de accu vol is. Doel is een maatschappelijke discussie op gang brengen, maar het maakt het leven voor de gebruiker wel een stuk makkelijker.

Eerder legde de Bond deze functie als volgt uit:

Normaal gesproken betaal je bij een laadpaal voor elke geladen kilowattuur, net zoals je bij de pomp afrekent voor elke getankte liter benzine of diesel. Het kan echter voorkomen dat je bij een laadpaal een tweede, tijdsgebonden tarief betaalt bovenop de stroomprijs: het zogenaamde blokkeertarief. Ben je langer dan een bepaalde tijd aan het laden, dan betaal je een bedrag per minuut dat je de laadpaal bezet houdt. Het idee daarachter is sympathiek, het moet voorkomen dat laadpalen onnodig lang bezet zijn.
Deze zomer voelde iemand zich nog ‘opgelicht’ toen hij in Frankrijk een rekening van 479 euro kreeg. Hij had de auto 26 uur aan de paal laten zitten, terwijl die normaal na zo’n 12 uur echt wel vol is. Maar zoals de ANWB in de aankondiging van de Laadpas-update meldt: “Iedereen moet ’s nachts zijn auto kunnen laden zonder uit bed te hoeven om extra kosten te voorkomen”.

Men stelt dat blokkeertarieven onnodig hoog zijn en bovendien direct beginnen nadat het laden voltooid is. Daarmee wordt het een extra verdienmodel voor laadpaalaanbieders, in plaats van alleen een civielrechtelijke boete voor laadpaalklevers.

In 2022 deed het Hof Arnhem uitspraak in het kader van handhaving bij paalklevers. Ook daar was de discussie dat het wel érg oneerlijk is dat je direct na het groene lampje weg moet rijden of een boete (€95) riskeerde. Het Hof vond dat niet een serieus bezwaar:

Voor zover van de zijde van de betrokkene is gesteld dat de bestuurder steeds bij het voertuig zou moeten blijven om te weten wanneer hij zijn voertuig moet verplaatsen, wordt opgemerkt dat na het aansluiten van een elektrisch voertuig aan een laadpaal door het voertuig in de regel zelf een berekening wordt gegeven van de te verwachten laadtijd, terwijl de bestuurder ook zelf een zodanige berekening kan maken.
De app zou bijvoorbeeld vanaf 30 minuten voor de eindtijd meldingen kunnen geven, zodat je naar je auto terug kunt. Alleen: halverwege je afspraak of bezoek teruggaan om de auto te verplaatsen is nogal gedoe. En dat geldt des te meer voor de laadplek-als-parkeerplaats in de nacht.

Dan kom je bij juridische taal als “redelijkheid en billijkheid”: kun je van mensen verwachten dat ze inderdaad om 01:42 opstaan en de auto verplaatsen? Of dat ze de auto niet laden als de eindtijd 01:42 zou zijn?

Arnoud

Via de rechter toegang krijgen tot het Facebookaccount van je overleden partner

Photo by Pete Pedroza on Unsplash

Heeft een erfgenaam recht op toegang tot het Facebookaccount van een overledene, in het geval dat de overledene op grond van het beleid van Facebook geen keuze heeft gemaakt over wat er met het account moet gebeuren na overlijden? Die vraag moest de rechtbank Amsterdam recent beantwoorden, en dat deed ze met een genuanceerd “ja”.

De zaak werd aangespannen door de achtergebleven echtgenoot (gp) van een overledene van 31 jaar. De overledene had sinds 2010 een Facebookaccount, maar nooit aangegeven wat ze wilde dat daarmee zou gebeuren na overlijden. Op verzoek is het account veranderd naar de zogeheten ‘herdenkingsstatus’, maar daarna was inloggen onmogelijk, net als het lezen of downloaden van chats en andere content.

Net als bij die Hotmail-zaak uit 2021 benadert de rechter het hier vanuit het erfrecht. Dat kent het begrip ‘saisine’:

“[D]e regel dat de erfgenamen in beginsel de positie van de erflater ‘voortzetten’, hoort zowat tot de eerste lessen van iedere cursus erfrecht.” Concreet hier dus: toen deze man overleed, werden zijn erfgenamen (kennelijk ouders en zus) de rechtsopvolger onder het contract met Microsoft waaronder deze de diensten Hotmail en OneDrive aan hem leverde. (Niet eigenaar van het account, accounts bestaan juridisch niet.)
Een overeenkomst kán niet-erfbaar zijn, als dat uitdrukkelijk is geregeld en past bij de aard van de overeenkomst. En dat is hier anders dan in die oudere zaak, omdat Facebook nadrukkelijk de optie kent van een niet-actieve herdenkingsstatus:
Als het recht op actief gebruik zou overgaan op een erfgenaam, dan zou dat betekenen dat de erfgenaam het Facebookaccount van de overledene onder de naam van de overledene zou kunnen voortzetten. Het persoonlijke karakter van de overeenkomst staat daaraan in de weg. Zo volgt uit artikel 3.1 van de Facebook Servicevoorwaarden dat ieder account moet zijn verbonden met een specifiek individu. Overgang van het recht op actief gebruik van een Facebookaccount verdraagt zich niet met het persoonlijke karakter van een Facebookaccount en met de gepersonaliseerde aard van de dienstverlening op Facebook.
Echter, wat wél is overgegaan is het recht op inzage of toegang tot de gegevens die horen bij het account. Alleen, dan kom je bij de persoonlijke levenssfeer en dataprotectierechten van anderen terecht, zoals de chatpartners van de overledene. Daarover is in Duitsland al wat geprocedeerd, en de Duitse rechter laat daar doorschemeren dat je hier rekening mee moet houden (bij e-mailaccounts).
Anders dan [eiser] heeft gesteld, kan niet worden aangenomen dat derden die op Facebook hebben gecommuniceerd met [naam] er rekening mee hebben kunnen of moeten houden dat erfgenamen van [naam] toegang zouden kunnen krijgen tot de gegevens die die derden met [naam] hebben gedeeld. Derden mogen in beginsel ervan uitgaan dat in één-op-één contact via Facebook uitgewisselde informatie vertrouwelijk is.
Belangrijk hierbij is dat de Facebook-documentatie duidelijk aangeeft dat privécommunicatie privé is. Bovendien is Facebook an sich meer privé dan e-mail:
Een Facebookaccount onderscheidt zich van een e-mailaccount vanwege de persoonlijke(re) aard van de communicatie via een Facebookaccount. Ook onderscheidt de communicatie via een Facebookaccount zich van de inhoud van fysieke dagboeken en brieven, in die zin dat het bij fysieke dagboeken en brieven een bewustere keuze is om gedachten en communicatie op die manier fysiek aan het papier toe te vertrouwen én om de inhoud daarvan bij leven te bewaren (of weg te gooien). Dat laatste is bij de inhoud van communicatie via een Facebookaccount veel minder het geval: dergelijke communicatie wordt vaak automatisch (ook voor langere perioden) bewaard zonder dat de gebruiker daar iets voor hoeft te doen.
Wat er precies persoonlijk(er) is aan een Facebookaccount dan een mailbox zie ik niet helemaal. Mogelijk is het de combinatie van soorten content (chats, foto’s, vindikleuks, verbindingen) die een totaalplaatje van iemand geven, ten opzichte van – bij de meeste mensen – een berg met 27.381 berichten waar je met zoekopdrachten probeert die ene mail in terug te vinden.

Toch ziet de rechter wel een geitenpaadje voor de man, die immers met name informatie uit het account wilde om de situatie rond de zelfdoding van de partner te kunnen reconstrueren. Hij krijgt dan ook wél toegang tot alle gegevens die geen persoonsgegevens van derden zijn.

Een complicatie die ik daarbij meteen zie, is wat dat precies betekent in de context van chats. Mijn gevoel is dat de rechter hier denkt aan het weglaten van namen van chatpartners, maar een chatbericht met datum (zeker in de context van een langdurige chat) lijkt me ook zonder naam wel een persoonsgegeven. Al was het maar omdat Facebook de berichten weer kan herleiden tot een persoon.

Arnoud

X gebruikt voorlopig geen berichten van Europese gebruikers om AI te trainen

Photo by Andrei Zolotarev on Unsplash

Socialemediaplatform X gebruikt voorlopig toch niet zomaar de gegevens van Europese gebruikers om zijn AI-modellen te trainen. Dat meldde Nu.nl vorige week. Gebruikers moeten eerst een duidelijke optie krijgen om hun toestemming daarvoor in te trekken. Of is het dan toch bezwaar maken?

Zoals vele partijen is ook X bezig met een eigen genAI chatbot. Deze heet Grok en heeft, wederom net als bij iedereen, enorm veel trainingsdata nodig. En dat kwam even goed uit, want X zit natuurlijk vol met conversaties en iedereen had algemene voorwaarden geaccepteerd waarin vast een regeltje te vinden was.

Probleem daarmee is alleen dat heel veel van die trainingsdata als persoonsgegeven aan te merken is. En die verwerken vereist in de EU meer dan alleen een generieke clausule in de voorwaarden. Als je geen toestemming hebt, dan zul je dit moeten doen met een beroep op het “gerechtvaardigd belang“. Dat vereist dan weer de optie van afmelden met een beroep op persoonlijke omstandigheden.

Onduidelijk is welke grondslag X meent te hanteren, maar wat in ieder geval niet helpt is dat er een stilletjes ingevoerd toestemmingsknopje werd gehanteerd dat standaard op ‘ja’ stond.

De Ierse privacytoezichthouder schrok zo van deze ontwikkeling dat ze voor het eerst in haar bestaan haar zogeheten Section 134-bevoegdheid inzette: een spoedbevel tot stoppen van een bepaalde verwerking omdat de rechten van burgers ernstig en direct bedreigd worden.

Het roept natuurlijk de discussie op waarom men X aanspreekt terwijl zo ongeveer de hele wereld Twitter (en Reddit, en Facebook, et cetera) dagelijks leegtrekt om er AI modellen op te trainen. Het simpele antwoord is natuurlijk: die mogen dat óók niet, alleen zijn iets lastiger op te sporen. En nee, dat het “publieke data” is (wat dat ook betekent), is juridisch irrelevant.

Arnoud