Internetrecht door Arnoud Engelfriet

Via Twitter een interessante discussie tussen fotoalbumdrukker Albelli en Bruno Scheele over de installatieprocedure van de software van de eerste op de Mac van de laatste:

@albelli_nl Waarom heeft jullie desktop app mijn wachtwoord nodig om te installeren op een Mac?
Schroom niet om hier technisch op in te gaan. “Om de beste ervaring te garanderen” is namelijk een non-antwoord. Slightly smiling face

Het antwoord van Albelli komt allereerst neer op basisuitleg: wachtwoorden invoeren is nodig, zo vraagt het programma je toestemming om te kunnen installeren. Waarop Scheele terecht reageert dat het op de Mac niet zo werkt. Programma’s installeer je daar gewoon met de installatieprocedure, daar is geen wachtwoord voor nodig.

Dat laatste speelt alleen bij software die speciale permissies nodig heeft, denk aan virusscanners die overal bij moeten kunnen. Een ietwat rare situatie voor foto-software. Ja, die zal bij je bestanden moeten kunnen maar dat is een ‘gewone’ operatie waarvoor MacOS installatieprogramma’s geen wachtwoord nodig hebben.

Maar dan komt ie:

Als klant dien je ons toestemming te geven, voordat wij als bedrijf gemachtigd zijn om wijzigingen aan je computer te geven (met ‘wijzigingen’ wordt hier het installeren van een nieuw programma bedoeld). … Het is dus niet zozeer een technisch achterliggende gedachte, maar meer te vergelijken met het ondertekenen van een contract bij het aangaan van een (zaken)overeenkomst.

Deze zin riekt heel sterk naar iemand die ooit een basisboekje recht en ict las, want er zit een theoretische kern van waarheid in maar tegelijk klopt het van geen kanten.Ja, inderdaad mag een bedrijf niet op afstand wijzigingen aan iemands computer doorvoeren. Dat is verboden in de cookiewet. Downloaden en installeren van software vereist toestemming van de klant. We hebben het eerder gehad over silent installs en updates.

Maar het gaat hier om welbewust gedownloade software die men zelf installeert. Daarbij mag je toestemming wel concluderen uit het feit dat men het downloadt en de installatieprocedure start. Daarvoor is een aparte vraag niet meer nodig, en al helemaal niet door de installatieprocedure om het Mac-wachtwoord te laten vragen.

Blijft de vraag: waarom wil die applicatie wél dat wachtwoord? Welke systeembevoegdheden wil men gebruiken, en waarom? (Als flauwe jurist zeg ik dan, als je zo formeel bezig was met toestemming onder de Telecomwet dan ben je natuurlijk ook heel formeel bezig met je informatieplichten onder artikel 6:230m BW en artikel 15 AVG.)

Arnoud

Een lezer vroeg me:

Ik wil gebruik maken van een online tool vanuit mijn eigen software. Helaas is een zakelijke licentie op die tool veel te duur. Nu zat ik in de bijbehorende app voor consumentengebruik te kijken, en die blijkt met een hardcoded key te authenticeren. Ik kan daarmee dus perfect een aanroep simuleren, want het http verkeer is ook nog eens onversleuteld. Is dit toegestaan?

Het is in principe de bedoeling dat je aangeboden tools gebruikt zoals ze je aangereikt worden. Dat staat niet letterlijk in de wet maar volgt volgens mij uit wat juristen de redelijkheid en billijkheid noemen. Maar daar staat tegenover dat het dus niet automatisch strafbaar of onrechtmatig is als je iets anders inzet dan de aangeboden tooling.

In het geval van de vraagsteller kun je die app zien als niet meer dan een schil waarmee een server wordt aangeroepen. Ik zie het onrechtmatige niet in het zelf doen van die aanroep. In dit geval wordt er geen account van een ander gebruikt of een achterdeurtje aangeroepen. Alle apps hebben dezelfde sleutel, dus waartegen die sleutel moet beveiligen is me een raadsel.

Ook vraag je op deze manier geen informatie op waar je geen recht op had. Je had exact deze gegevens gekregen als je via de app de informatie op had gevraagd. Van computervredebreuk – ergens binnengaan waar je weet dat je niet mag zijn – kan ik dus niet spreken hier. Wellicht als je de API gaat manipuleren door extra velden te proberen, of counters gaat veranderen buiten de range die de app zelf gebruikt. Dat zou ik dus afraden.

Een complicatie bij deze vraag is dat de aanbieder zakelijke licenties onderscheidt van consumentengebruik met de app. De werkwijze van deze vraagsteller leidt ertoe dat hij onder een consumentenmantel informatie krijgt die hij zakelijk gaat inzetten. Dat zou je kunnen zien als contractbreuk: er staat vast iets in de app-licentie dat de informatie uitsluitend huishoudelijk of privé gebruikt mag worden.

Daar staat voor mij tegenover dat de vraagsteller ook met de app in de hand de informatie had kunnen verkrijgen en dan zakelijk inzetten. Daar doet die app niets tegen. Ik zie de schade niet voor de aanbieder in dat geval, dus waarom zou het dan wél schadelijk zijn als hij dat met een eigen tool doet?

Arnoud

Juridische AI-dienst ROSS is uit z’n slof geschoten in haar verweerschrift tegen de rechtszaak van Thomson Reuters, las ik bij Artificial Lawyer. De Thomson Reuters dienst Westlaw zou zijn gebruikt als bron om ROSS te trainen, en daardoor op een of andere manier haar rechten schenden. Wat volgens ROSS volkomen onlogisch is: dat zou dan gaan om rechten op tussenkopjes en andere verrijkte informatie, maar ROSS werkt juist het beste omdat ze alleen naar brondata kijkt.

ROSS is de bekendste juridische AI: ze zoeken relevante rechtspraak bij cases die je erin stopt, wat in de VS en Engeland het belangrijkste middel is om een aanklacht of verweer te ondersteunen. En vooral: er is véél meer rechtspraak dan bij ons, want honderd jaar teruggaan is niet raar in common law rechtssystemen.

ROSS is er vrij goed in, wat natuurlijk (naast de inzet van torenhoge IBM machines) komt door hun uitgebreide dataset. En dat is waar Thomson over valt: die stellen dat hún data er voor is gebruikt. Thomson maakt namelijk annotaties van rechtspraak, inclusief indexaties, tussenkopjes en verwijzingen. Dat verkopen ze dan voor veel geld aan advocatenkantoren – wat een stuk beter gaat omdat er eigenlijk geen fatsoenlijke openbare bronnen van wetten en met name jurisprudentie zijn in deze landen.

De beschuldiging aan ROSS lijkt gebaseerd op het werk van een toeleverancier die wetten en case law uit de Thomson database heeft gehaald en dat heeft opgestuurd inclusief tussenkopjes en annotaties. ROSS heeft nu interne mails overlegd waaruit blijkt dat ze nadrukkelijk dat hebben afgekeurd: ze hebben daar namelijk niets aan omdat het machine learning algoritme juist gaat om het leren uit de bronteksten. Wat vrij logisch klinkt voor mij, en zoals ze zelf zeggen:

In fact, anyone that accesses our platform (which is freely accessible through our website) can readily see that we have no editorialized content. It has always been our view that the editorialized content approach, in addition to being fallible and difficult to quality-check, produces work that is stale the moment it is published. That is the old legal research playbook. We chose a new way.

De grote frustratie is uiteraard dat je dan uberhaupt in actie moet komen tegen zo’n onzineis. En dat is in de VS echt wel een probleem, want in de fase waar men nu is (discovery) heb je rustig een ton neer te leggen om je te verweren en de gevraagde informatie te overleggen. Discovery is namelijk de verplichting om álle relevante materialen af te geven aan je wederpartij, en dat zijn meerdere vrachtwagens als je niet uitkijkt.

Arnoud

De Europese koepelorganisatie van nationale autoriteiten voor gegevensbescherming hebben gezegd dat cookiemuren niet zijn toegestaan. Dat las ik bij Tweakers. De EDPB (want zo heet ‘ie) heeft haar richtsnoeren over toestemming herzien onder de AVG (waarom Tweakers dat “een verordening” noemt, ontgaat mij) en komt daarin tot de conclusie dat het écht écht écht vrij… Lees verder

Via Twitter deze screenshot van een Volkswagen: Wijzig uw privésfeerinstellingen (dat geforceerde nepnederlands alleen al) om de juiste juridische teksten te kunnen laden. Wat krijgen we nou. Ik vermóed dat men op basis van locatie andere landgebonden teksten wil tonen, want in sommige landen is het explicieter verboden om aan je navigatie te zitten tijdens… Lees verder

Leuk als je via internet contracten sluit en mensen kopie identiteitsbewijs laat opsturen, maar het bewijst niets. Dat vonniste de rechtbank Rotterdam onlangs. Telecombedrijf Tele2 dacht zo’n 1800 euro te krijgen van een internetklant wegens niet-betaalde abonnementskosten en restprijs telefoon, maar liep tegen het bekende probleem aan dat iedereen wel via internet een contract kan… Lees verder

Een lezer vroeg me: Al een tijdje onderhandel ik met vijf partijen om tot een samenwerking te komen, waarbij we een opensourcepakket gaan exploiteren onder gezamenlijke winstdeling. Het contract ondertekenen is blijven liggen vanwege de crisis, maar we zijn wel al soort van begonnen. Nu stelt een van de partijen dat hij het eigenlijk toch… Lees verder

Een lezer vroeg me: Recent heb ik ontslag genomen bij mijn huidige werkgever, omdat ik voor mezelf wil beginnen als security-onderzoeker. Ik ben daarop van alle inhoudelijke klussen afgehaald, en krijg alleen nog opdrachten om dingen te bloggen, whitepapers te maken et cetera. Dat wordt dan met mijn naam en foto erbij gepubliceerd, wat ik… Lees verder

Een lezer vroeg me: Ik ben systeembeheerder bij een productiebedrijf, en ik houd onder meer toezicht op essentiële processen. Dat is vergaand geautomatiseerd en ik kan dan ook prima vanuit huis werken, in het verleden ook wel gedaan zonder enige klachten. Nu zegt mijn werkgever echter dat ik op het werk moet komen, maar gezien… Lees verder

Menig ondernemer worstelt hoe verder te werken nu het coronavirus de hele maatschappij opschudt. Thuiswerken is het devies, maar lang niet bij alle vormen van ict-dienstverlening is dat een werkbare oplossing. Daardoor komen deadlines in gevaar, komen projecten niet af zoals gewenst of wordt bestelde apparatuur niet geleverd. En dan gaan mensen, alle verhalen over… Lees verder