Zoekt de OPTA werkgelegenheid?

De OPTA, de Onafhankelijke Post en Telecommunicatie Autoriteit, wil “passende technische en organisatorische maatregelen” invoeren voor internetaanbieders, zo schreef ik vrijdag.

Deze maatregelen gaan bijvoorbeeld over het filteren of blokkeren van netwerkverkeer dat niet hoort voor te komen, of het helpen bij installeren van firewalls of virusscanners.

Simon Hania, technisch directeur van XS4All op het Opinieweblog vindt dit nergens voor nodig.

Ten eerste zitten de meeste problemen niet bij Nederlandse providers, omdat die zich over het algemeen al goed beveiligen. De meeste problemen zitten bij slecht beheerde servers in het buitenland.

Maar de belangrijkste reden:

Maar waarom ik vooral tegen deze regelzucht ben, is omdat de maatregelen zodanig standaard zijn, dat ze allang door elke welopererende ISP in Nederland genomen zijn. En met de huidige consolidatiegolf in de markt zijn er alleen nog maar weloperende ISPs. We gaan dus nu een reguleringcircus optuigen voor iets dat er al is. Da’s nodeloos ambtenaren aan het werk zetten.

Arnoud

Google koopt DoubleClick – privacy-probleem of niet?

Vorige week werd bekend dat Google het advertentiebedrijf DoubleClick koopt. Alhoewel Google heeft laten weten dat DoubleClick naar alle waarschijnlijkheid als zelfstandig bedrijf zal blijven opereren onder het nieuwe moederbedrijf, blijven een hoop mensen zich toch zorgen maken over de privacy-aspecten van deze aankoop. Zowel Google als Doubleclick houden gigantische hoeveelheden gegevens bij over de sites die je bezoekt.

Google weet precies wat je zoekt, en Doubleclick weet welke sites je bezoekt. De combinatie van die twee betekent dan dat Google alles weet wat je op het Web uitspookt. In een recente column (gevonden via Tech Law Prof Blog) geeft David Lazarus een paar mooie voorbeelden. In Nederland werd Remy Chavannes er ook al nerveus van. En Google heeft nu zelfs de Web History dienst die je laat zoeken in alles wat je gedaan hebt via Google, zo las ik op Ars Technica.

Maar is dit nu wel zo’n reden tot zorg? Beide bedrijven bestaan al lang, en houden al even lang al zelf genoeg gegevens bij over gebruikers. Daarmee kunnen ze passende advertenties tonen, en kennelijk zitten een hoop mensen daar op te wachten. Google sleepte tenslotte alleen vorig kwartaal al vier miljard dollar aan advertentie-inkomsten binnen.

Tekenend vind ik wel dat de grootste protesten komen van Microsoft en AT&T. Microsoft was immers eerder zelf van plan om Doubleclick te kopen. Als privacy vooral een zuur argument blijkt van de verliezende concurrent, dan zal het wel meevallen met die inbreuken die GoogleClick gaat plegen. Toch?

Arnoud

OPTA wil zorgplicht internetaanbieders aanscherpen

Providers moeten “passende technische en organisatorische maatregelen” treffen voor de bescherming van persoonsgegevens en privacy van gebruikers, en de beveiliging van hun netwerken. De OPTA, de Onafhankelijke Post en Telecommunicatie Autoriteit, ziet toe op naleving van deze zorgplicht.

Wat zijn nu “passende” maatregelen? Dat wilde de OPTA ook graag weten, en ze hebben dan ook een onderzoek laten uitvoeren door het bedrijf Stratix over de bestaande en toekomstige dreigingen voor consumenten op Internet. Meer over het onderzoek bij ISPam.nl.

Op basis van dit onderzoek heeft de OPTA een “voorlopig standpunt” ingenomen. En nu is het de vraag aan iedereen die interesse heeft wat ze hier van vinden.

Uit het onderzoek komen de volgende dreigingen naar voren:

Er werden -gelukkig- ook een hoop oplossingen voorgesteld, die de OPTA indeelt in drie categorieen: basismaatregelen (die zijn duidelijk passend), best practices (daar moet over gepraat worden) en te hoog gegrepen maatregelen (die zijn, ehm, te hoog gegrepen en dus niet passend).

Bij de basismaatregelen moet je denken aan het filteren of blokkeren van netwerkverkeer dat niet hoort voor te komen, zoals data verstuurd vanaf een lokaal netwerk dat afkomstig lijkt te zijn uit een heel ander netwerk. Dat kan normaal niet voorkomen, dus dat moet wel een hackpoging zijn.

Ook het aanbieden van virusscanners en het geven van voorlichting over dreigingen en tegenmaatregelen, zoals hoe je een firewall of virusscanner moet installeren, horen tot de basismaatregelen.

Spam filteren ligt iets lastiger, want niet alle klanten willen dat hun provider dat voor ze doet. Daarom krijgt dit de status van best practice en niet van basismaatregelen. Hetzelfde geldt voor het blokkeren van poorten waarlangs Trojaanse paarden een PC kunnen infecteren. Dat kan immers soms legitiem netwerkgebruik storen.

Maar waarom het benaderen van een klant wiens PC als zombie wordt ingezet geen basismaatregel is, begrijp ik niet.

Er waren nog veel meer suggesties gedaan, bijvoorbeeld ter beveiliging van DNS, maar daar was kennelijk nogal wat onenigheid over, want die worden weggezet onder het kopje “te hoog gegrepen”.

Wie na het lezen van het rapport suggesties heeft, kan ze vóór 16 mei mailen naar de OPTA (e-mail adres in het rapport).

Tip via Planet – Opta wil zorgplicht internetaanbieders aanscherpen.

Arnoud

Google vrijgesproken van claim inbreuk merkrecht Farmdate

Zoekmachine Google handelt niet onrechtmatig door het aanbieden van haar dienst Adwords waarmee mogelijkerwijs door derden inbreuk gemaakt wordt op de merk- en handelsnaamrechten van anderen, zo meldt Ribbert van der Kroft advocaten op haar weblog.

Het bedrijf Endless Webdesign biedt dating-diensten aan onder de handelsnaam Farmdate. Deze naam was ook als merk gedeponeerd voor datingdiensten. Adverteerders kochten gesponsorde koppelingen, onder andere voor pornosites, bij Google die moesten verschijnen als dit woord werd ingetypt. Farmdate maakte bezwaar omdat dit afbreuk doet aan de reputatie van het merk en de onderneming.

Nu was dit een kort geding, waarin niet uitgebreid op de zaak kan worden ingegaan. De rechter moest inschatten of het waarschijnlijk was dat Google zou winnen als de zaak volledig uitgevochten zou worden.

De eerste vraag is of er sprake zou zijn van merkinbreuk. Google stelde dat zij geen advertentie koppelde aan “farmdate” maar aan de woorden “farm” en/of “date”. Die beide woorden zijn beschrijvend, en merkinbreuk kan niet als het woord in kwestie beschrijvend is. De rechter concludeert dan ook:

Ten aanzien van het gebruik van `farm date’, `farm-date’ als adword geldt dat twijfel mogelijk is omtrent de vraag of het gebruik van deze adwords een inbreuk op de merkenrechten van Endless Webdesign oplevert. Dit brengt mee dat van Google in de gegeven omstandigheden niet kan worden verlangd, dat zij optreedt tegen dit gebruik, in het bijzonder valt niet in te zien dat het voor Endless Webdesign onmogelijk is zelf de desbetreffende adverteerders op de gestelde inbreuk aan te spreken.

Verder vond de rechter het niet redelijk om van Google te verlangen dat deze de woorden “farm” en “date” niet meer zou verkopen als Adwords. Zeker voor het woord “date” kan dat natuurlijk niet:

Onrechtmatig handelen levert het gebruik van dit systeem niet op. Het is alleszins gebruikelijk – bijvoorbeeld in advertentiepagina’s van dagbladen en van gidsen zoals `De Gouden Gids’ – om advertenties, die globaal dezelfde goederen of diensten aanbieden, in één rubriek onder te brengen. De lezer wordt – evenals de internetgebruiker – geacht daaruit zelf te kiezen wat hij al dan niet van belang acht. Van Google kan niet worden verlangd daarin een beperkende rol te spelen door – zoals Endless Webdesign voorstelt – een filter te plaatsen, zulks behoudens bijzondere omstandigheden, die zich hier niet voordoen.

Het vonnis staat op Rechtspraak.nl. De merkhouder kan nog in hoger beroep of een bodemprocedure aanspannen.

Arnoud

Standaardverweer bij aansprakelijkheid

Er is niets gebeurd. Voorzover er wel wat gebeurd is, was er geen sprake van een normschending. Voorzover er wel een norm geschonden was, strekte deze niet tot bescherming van uw belangen. Voorzover uw belangen wel geschaad zijn, heeft u geen schade. Voorzover u wel schade heeft, is er geen causaal verband met de normschending. Voorzover er wel een causaal verband is, was ik er niet bij betrokken. Voorzover ik er wel bij betrokken was, was er sprake van overmacht. Voorzover er geen sprake was van overmacht, was er sprake van noodweer. Voorzover er geen sprake was van noodweer, kwam het zonder dat ik me er van bewust was. Voorzover ik me er van bewust was, kwam het door onachtzaamheid. Voorzover ik wel oplette, was het niet met opzet. Voorzover het met opzet was, kan de schade mij niet naar redelijkheid worden toegerekend. Voorzover deze mij wel kan worden toegerekend, moet de vergoeding worden verminderd vanwege eigen schuld. Voorzover de schadevergoeding niet verminderd wordt uit eigen schuld, moet deze worden verminderd omdat u geen maatregelen ter beperking van de schade hebt genomen. Voorzover u wel afdoende maatregelen hebt genomen, moet er een billijkheidscorrectie worden toegepast. Voorzover geen billijkheidscorrectie wordt toegepast, moet de schadevergoeding gematigd worden op grond van redelijkheid en billijkheid.

Arnoud

Nieuwe Notice & Takedown procedure van XS4All

XS4All staat bekend als een provider die staat voor de bescherming van haar klanten. Zonder gerechtelijk bevel werden bijvoorbeeld nooit persoonsgegevens verstrekt aan derden. Daar is nu verandering in gekomen, vanwege de ontwikkelingen in de jurisprudentie over aansprakelijkheid van providers. Vrijwel al die jurisprudentie was trouwens “Iemand vs. XS4All”.

Op 2 februari heeft XS4All een nieuwe klachtenprocedure ingevoerd. Bij deze procedure bestaat nu expliciet de mogelijkheid dat XS4All persoonsgegevens van klanten afgeeft aan de klager, ook als er nog geen rechtbank is geweest die ze daartoe verplicht.

Op het Opinieweblog legt Niels Huijbregts (teamleider van de abuse-afdeling van XS4All) uit waarom. Hij geeft daarbij een goed en leesbaar overzicht van de relevante jurisprudentie, dat hij samenvat met:

Het bovenstaande is een lang verhaal dat er uiteindelijk op neerkomt dat die houding niet te handhaven is: Providers zijn aansprakelijk als het gaat om materiaal dat onmiskenbaar onrechtmatig is, de provider moet daarover zelf oordelen. In de zaak-Deutsche Bahn vond de rechter al dat de provider onjuist had geoordeeld en veel te terughoudend was geweest en bij Pessers-Lycos werd besloten dat van onmiskenbare onrechtmatigheid helemaal geen sprake hoeft te zijn: de provider moet gewoon meewerken. Weigering betekent zelfs dat de provider zelf mogelijk onrechtmatig handelt.
Met name de Deutsche Bahn-zaak is kritisch ontvangen door juristen. Zie bijvoorbeeld de noot van Lodewijk Asscher over dit vonnis.

Het blijft natuurlijk een lastige zaak. De privacy van gebruikers is een groot goed. Tegelijkertijd kan daar ook best misbruik van worden gemaakt, omdat mensen zich dan kunnen verschuilen achter hun provider. En waarom zou het in zo’n situatie niet toegestaan kunnen worden om persoonsgegevens af te geven?

Terecht sluit Huijbregts af met:

Het feit dat je op internet relatief anoniem te werk kunt gaan, geeft je natuurlijk niet het recht de wet te breken. Wanneer iemand van mening is dat je dat toch doet, wordt je daarvan op de hoogte gesteld. Dat gebeurt voordat er een rechter aan te pas komt en dat is maar goed ook: zo heb je de mogelijkheid je te verweren of je fout te herstellen, voordat een rechter bepaalt dat je NAW-gegevens bekend moeten worden gemaakt. Mocht het ooit zover komen dat XS4ALL besluit NAW-gegevens bekend te maken, dan betekent dat dat de betreffende klant zelf al voldoende mogelijkheden heeft gehad om dat te voorkomen.

Arnoud

Reglement voor forums

Veel forums hebben in hun reglement een bepaling dat gebruikers niets mogen doen dat “tegen de wet” is. Maar wat is nu tegen de wet? De beheerders van het Nationaal Computer Forum zijn er eens goed voor gaan zitten. Ze hebben een zeer uitgebreid en gedetailleerd reglement opgesteld waarin de huidige jurisprudentie (en heel veel materiaal van mijn site) verwerkt zit. Een voorbeeld voor andere forums!

Arnoud