Categorie: Uitingsvrijheid

About Uitingsvrijheid

Subscribe Feeds

Mag je een gesprek met de leraar op school ongevraagd opnemen? Ja, maar soms is het niet verstandig

Geplaatst op in Privacy, Uitingsvrijheid, 5 reacties

Onlangs was er in Zwolle commotie over een vader die een gesprek met de school van zijn dochter wilde opnemen, zo bracht het ND onlangs. De school weigerde gesprekken te voeren als hij dat zou doen. En dat is een pijnpunt dat velen zullen herkennen.

De zaak kwam bij de Landelijke Klachtencommissie Onderwijs (LKC) die eind januari uitspraak deed. De samenvatting van de klacht is recht voor z’n raap:

Klager klaagt erover dat het schoolbestuur instemt met het besluit van de schooldirecteur om geen gesprek met hem aan te gaan, vanwege de uitdrukkelijke wens van klager om een geluidsopname van het gesprek te maken.
De discussie over als burger of consument gesprekken opnemen met bedrijven of instanties loopt al een hele tijd. Dat is niet strafbaar, ook niet als je het niet meldt. Maar organisaties verweren zich er vaak toch tegen, bijvoorbeeld door zoals hier te stellen dat ze dan het gesprek niet wensen te voeren.

Nou kan dat – de privacy van de betrokken medewerkers is óók een grondrecht – maar een onderbouwing daarvan kom ik maar niet tegen. De vader had wél een verhaal:

Klager hecht eraan een gesprek op te nemen, zodat hij op een later moment terug kan luisteren wat er is gezegd, ter ondersteuning van zijn herinnering. Het kunnen terugluisteren van een gesprek schept duidelijkheid voor alle betrokken partijen en kan bijdragen aan het opbouwen en behouden van vertrouwen in elkaar.
Cynisch als ik soms ben, vrees ik dat “schept duidelijkheid en bouwt en behoudt vertrouwen” in angstgedreven organisaties ongewenst is. In een gesprek kun je informeel iets zeggen dat dan opgepakt wordt als formele toezegging of harde belofte. Achteraf op schrift zetten wat je éigenlijk wilde toezeggen is dan comfortabeler.

De school had ook een argument:

Het opnemen van gesprekken tussen ouders en medewerkers van de school past niet bij de wijze waarop de school gesprekken wil voeren met ouders. Het getuigt volgens de school niet van vertrouwen en samenwerking en komt het gevoel van veiligheid niet ten goede. … Wanneer een gesprek wordt opgenomen, brengt dit een bepaalde sfeer mee. De gespreksdeelnemers zullen, bewust of onbewust, minder vrijuit spreken.
Ook waren er zorgen over het openbaar worden van de opnames, waar de vader al van had aangegeven dat zéker niet te doen.

De argumenten van de school zijn echter algemeen. De LKO bepaalt echter dat de argumenten specifiek over dát gesprek moeten gaan. Waarom is dit onderwerp te gevoelig, waarom komt hier de privacy van de medewerker in het geding of worden de belangen van de leerling in kwestie onevenredig geschonden.

De school had dus niet met enkel deze algemene woorden mogen weigeren het gesprek te voeren. Ook wordt het ze verweten geen beleid te hebben:

De Commissie merkt tot slot op dat van een professionele onderwijsinstelling mag worden verwacht dat zij, gelet op de maatschappelijke ontwikkelingen, rekening houdt met en voorbereid is op de wens van ouders om gesprekken op te nemen en dat zij daar zorgvuldig en concreet onderbouwd mee omgaat.
Veel scholen zijn daar al, en ik juich dat ook zeer toe. De wens om duidelijkheid en behouden van vertrouwen zie ik als een zeer legitieme. Maar inderdaad moet je hier beleid over maken zodat je categorieën kunt onderscheiden. Een gesprek over je eigen kind opnemen voelt ergens anders dan een gesprek over het functioneren van de leerkracht die tegenover je zit. Dán kan dat veel eerder overkomen als aanvallen (“en we nemen het op ook mannetje”), dus dat zou ik als leerkracht weigeren.

Meelezende ouders, heeft jullie school beleid over opnemen van oudergesprekken?

Arnoud

Microsoft moet stoppen met volgen van scholier via trackingcookies, ook bij ons?

Geplaatst op in Privacy, Uitingsvrijheid, 8 reacties
Photo by Ali Dashti on Pexels

Een lezer vroeg me:

Onlangs heeft een scholier in Oostenrijk bij zijn nationale toezichthouder (DSB) geklaagd én gelijk gekregen over het gebruik van trackingcookies in Microsoft 365 Education. De toezichthouder stelde dat Microsoft niet over de vereiste wettelijke grondslag beschikt om door middel van trackingcookies de gegevens van de scholier te verwerken en moet het hiermee binnen vier weken stoppen. Als ik me hier in Nederland op beroep, moet mijn onderwijsinstelling dan ook stoppen met mij tracken? Deze software zit vaak vol met verplichte trackers en rommel.
Deze scholier, bijgestaan door het bekende noyb van Max Schrems, heeft inderdaad bij de Oostenrijkse Autoriteit Persoonsgegevens een uitspraak afgedwongen dat Microsoft deze minderjarige niet mag volgen. De grondslag daarvoor was niet zozeer de AVG, als wel de cookiewet (ePrivacy richtlijn) die veel strenger is en eigenlijk altijd toestemming eist, tenzij de cookies strikt noodzakelijk zijn voor de gevraagde dienst.

Tracking is in dat verband nooit noodzakelijk, want als je dat uitzet dan werkt je dienst nog steeds. Noodzaak wordt bekeken vanuit het perspectief van de gebruiker, niet van de dienstverlener. Dus “zonder tracking leren we niets en kunnen we als bedrijf niet verbeteren” is geen argument. En natuurlijk moet de noodzaak onderbouwd zijn, enkel roepen dat iemand dit wil vanwege een prettiger gebruikservaring is verre van voldoende.

Toestemming was niet gevraagd, kennelijk omdat men zich wilde beroepen op het eigen gerechtvaardigd belang. Het ging alleen om first party cookies en beperkte tracking binnen de eigen software. Dus dat beroep zie ik wel. Maar dat mag niet, want cookies kunnen alléén met toestemming geplaatst als ze niet technisch nodig zijn.

In Nederland is er iets bijzonders aan de hand: onze cookiewet bevat een nationale ‘kop’ die toestemmingsloze tracking toestaat “om informatie te verkrijgen over de kwaliteit of effectiviteit van een geleverde dienst van de informatiemaatschappij”, zeg maar first-party tracking.

Vereist daarbij is dat “dit geen of geringe gevolgen heeft voor de persoonlijke levenssfeer van de betrokken abonnee of gebruiker”. Dat is in feite een wettelijk vastgelegde regeling van gerechtvaardigd belang.

Deze zaak zou in Nederland dus waarschijnlijk anders uitpakken bij dezelfde soort first-party tracking cookies zonder wezenlijke privacy-impact. Toestemming is niet nodig, want het gebruik is toegestaan binnen dat scherpe kader. Uiteraard moet de onderwijsinstelling wel kunnen onderbouwen dát de privacy niet of slechts gering wordt geraakt.

(Zelf heb ik altijd enige twijfels gehad bij of Nederland dit wel mág, die scherpe regel uit de Europese ePrivacy richtlijn zo afzwakken. Daar is nooit over geprocedeerd, en dat zal ook niet snel gebeuren.)

Arnoud

Mogen al die Odido-datalekcheckers wel opereren van de AVG?

Geplaatst op in Ondernemingsvrijheid, Uitingsvrijheid, 25 reacties
Photo by Egor Komarov on Unsplash

Een lezer vroeg me:

Door een hack bij mijn telecomprovider zijn al mijn persoonsgegevens gestolen. Nu zijn er bedrijven die via een soort van lek-check laten zien wat er gestolen is en dit op naam, adres, email, iban etc zoekbaar aanbieden. Indirect verwerken en verspreiden zij zo opnieuw de gestolen data. Hebben zij daar een grondslag voor?
Om bij het begin te beginnen: het is strafbaar (art. 139g Sr) om gegevens te verwerven of voorhanden te hebben waarvan je redelijkerwijs kunt vermoeden dat ze uit misdrijf zijn verkregen. De Odido-datadump voldoet aan die omschrijving.

Vereist bij dit strafwetartikel is dat de gegevens “niet-openbaar” zijn, en daar kunnen we ondertussen over twisten. De gegevens zijn niet alleen te vinden via een specifieke .onion link of een in Nederland onbekende site, maar ook via vrij makkelijke kanalen, al moet je nog even nadenken over de Google-zoekopdracht. De wetgever was niet duidelijk over het criterium voor “niet-openbaar”.

Verder geldt een uitzondering voor een openbaarmaking die het algemeen belang dient, en daar beroepen alle datalek-checkers zich natuurlijk op. Dat is belangrijk, want zonder algemeen belang is het een strafbaar feit om de data te ontsluiten en daarmee verbiedt ook de AVG de verwerking (artikel 5 lid 1 onder a, geen rechtmatig doel).

Wat is dat algemeen belang? Naar zijn aard is dat vrij generiek. Het heeft maatschappelijk nut, de mensen vragen erom, er is behoefte in brede zin. Gezien de zeer beperkte communicatie vanuit Odido snap ik goed dat mensen concreet willen weten wat er gelekt is, en een checker komt aan die behoefte tegemoet. Dat is wel algemeen belang.

Daar staat tegenover dat er al diverse aanbieders zijn, waaronder het bekende en vertrouwde Have I Been Pwned. Ook onze politie heeft een kopie, dus je kunt (in theorie) een inzageverzoek onder de Wet politiegegevens bij ze doen. Formeel weegt “anderen doen het ook” niet mee bij een algemeen-belang afweging, want je zegt bij nieuws ook niet dat de nieuwswaarde vervallen is als drie kranten het al gebracht hebben. Maar ik vermoed dat dit hier zeker een discussie gaat zijn mocht dit bij de (straf)rechter komen.

Aangenomen dat de checker in het algemeen belang handelt, kom je bij de vraag welke grondslag. Er zijn er twee die relevant lijken:

  1. vitale belangen van de betrokkene
  2. gerechtvaardigd belang van de aanbieder of een derde
Punt 1 klinkt relevant, maar “vitaal belang” wordt zo beperkt uitgelegd dat je er niet aan komt tenzij het echt om leven en dood gaat. (En dan nog zijn er genoeg mitsen en maren.)

Gerechtvaardigd belang dus. Dit belang is dan gelijk aan het algemeen belang dat de aanbieder van de dienst nastreeft (en dus niet het belang van de betrokkene, want die is niet een ‘derde’ volgens dit artikel). Daar moet deze dan een belangenafweging bij doen: is voldoende rekening gehouden met de privacy van de betrokkenen die allemaal in die dataset zitten, had dit met minder ingrijpende middelen gekund en is het allemaal netjes ingericht?

Een eerste checkvraag voor mij is altijd hoe men de AVG-rechten van betrokkenen respecteert. Kun je zonder gedoe verlangen dat je uit de checker wordt gehaald? Ik heb vele van deze diensten gezien en zelden zit dat er netjes in.

Tweede vraag is hoe de dienst beveiligd is. Het is natuurlijk niet de bedoeling dat bezoekers de dataset kunnen downloaden of leegtrekken met systematische zoekopdrachten.

Derde is hoe en of je de data met derden deelt, zoals je websitebouwer of de plek waar je de eigenlijke dataset hebt neergezet. Ik weet van diverse partijen die de dienst door AI laten schrijven. Dat is nogal spannend, want dan geef je dus die data zonder voorbehoud aan een Amerikaanse partij die er alles mee mag doen. Dat ligt onder de AVG op zijn zachtst gezegd nogal gevoelig. Los daarvan is de kans groot dat je code niet zo veilig is als je zou hopen.

Een juridisch detail is nog of de AP zou mogen optreden tegen zo’n site. Vanwege het beroep op het algemeen belang is hier denk ik de uitzondering voor journalistieke doeleinden van toepassing (artikel 43 lid 1 Uitvoeringswet AVG). De AP is niet bevoegd op te treden tegen gebruik van persoonsgegevens in de media.

Arnoud

Mag ik op het Dark Web kijken of mijn buurman getroffen is door het Odido-datalek?

Geplaatst op in Security, Uitingsvrijheid, 23 reacties
geralt / Pixabay

Een lezer vroeg me:

Mijn buurman (op leeftijd) is al jaren klant bij Odido en maakt zich grote zorgen dat zijn gegevens buitgemaakt zijn bij die recente hack. Ik zou hem duidelijkheid kunnen geven door even op die Onion-site te kijken waar dat eerste lek is gepubliceerd. Maar ben ik dan strafbaar?
TLDR: ja, je bent strafbaar als je die dataset gaat downloaden. Ook als je daarvoor niet zelf hoefde in te breken bij Odido, en ook als je “alleen maar” op het Dark Web (de juristenterm voor wat je niet met Google vindt) hoeft te wezxen.

Het iets langere antwoord. Naast computervredebreuk is apart strafbaar wat wel “gegevensdiefstal” heet. Dit staat in artikel 138c Strafrecht:

Met gevangenisstraf van ten hoogste een jaar of geldboete van de vierde categorie wordt gestraft degene die opzettelijk en wederrechtelijk niet-openbare gegevens die zijn opgeslagen door middel van een geautomatiseerd werk, voor zichzelf of voor een ander overneemt of doorgeeft.
Dit is primair bedoelt voor wie het uit een (rechtmatige) bron kopieert. Betrok je het uit een onrechtmatige bron, dan komen we eerder bij heling van gegevens, artikel 139g:
Met gevangenisstraf van ten hoogste een jaar of geldboete van de vierde categorie wordt gestraft degene die niet-openbare gegevens (…) verwerft of voorhanden heeft, terwijl hij ten tijde van de verwerving of het voorhanden krijgen van deze gegevens wist of redelijkerwijs had moeten vermoeden dat deze door misdrijf zijn verkregen;
In beide gevallen is nodig dat de gegevens “niet-openbaar” zijn. Maar wat is “niet-openbaar”? Ze staan immers vrijelijk toegankelijk op internet, zij het dat je even moet weten wat het Onion Router-project is en je een tijdje moet snuffelen voor je het 56 tekens tellende .onion adres te pakken hebt.

Uit de Memorie van Toelichting haal ik alleen het contrast tussen “je kreeg het van één persoon via een besloten kanaal” en “algemeen toegankelijk via internet”. In een zaak uit 2024 werd het overnemen van films (ook gegevens) van een obscure site van een ander als “openbaar toegankelijk” genoemd.

Het onderscheid tussen het “Surface web”, “Deep web” en “Dark web” wordt bij juristen regelmatig gemaakt. De achterliggende gedachte is dat iets dat gewoon direct via zoekmachines te vinden is, evident telt als openbaar. Harder moeten zoeken of spitten in data (deep web) is dan een grijs gebied, en -in ieder geval in mijn stellige overtuiging – het Dark Web is dan niet meer openbaar.

Dit past ook bij de achterliggende bedoeling van de wet: mensen kunnen tegenhouden die dingen verspreiden die door misdrijf zijn verkregen. Dat wordt pas ondoenlijk en onwenselijk als “iedereen” bij die gegevens kan. Daar zijn we nu nog niet, en in het belang van de slachtoffers moet dat zo blijven.

Artikel 139g kent een uitzondering voor “degene die te goeder trouw heeft kunnen aannemen dat het algemeen belang” die handeling eiste. Ik zie wel hoe “de buurman maakt zich grote zorgen dus ik heb voor hem gekeken” daar onder kan vallen.

Tegelijkertijd kun je die check alleen doen door het hele bestand te downloaden. Dat staat daarna op jouw laptop, en kan door onoplettendheid of wat dan ook een eigen leven gaan leiden. Op zijn minst vind ik dit dus enorm riskant.

Arnoud

 

Duitsland wil flitswaarschuwingsapps geheel verbieden, kan dat?

Geplaatst op in Uitingsvrijheid, 35 reacties
Photo by Sean D on Unsplash

De Duitse deelstaten pleiten voor een algeheel verbod van flitsmeldingenapps, zo meldde Der Spiegel onlangs. Momenteel is alleen gebruik in de auto verboden, maar dat is lastig te constateren door Der Politizei. Frankrijk heeft al zo’n verbod, maar Nederland laat dergelijke apps vrij. Hoe zit dat juridisch?

Duitsland heeft het zichzelf wat ingewikkeld gemaakt door niet het bezit van de apps te verbieden, maar enkel het gebruiken of “gebruiksklaar voorhanden hebben”. Zeg maar, de agent ziet dat Waze of Flitsmeister open staat op je telefoon bij de staandehouding. Dat is natuurlijk triviaal te vermijden.

In Frankrijk is het verbod strenger: de optie tot tonen van snelheidscamera’s of flitsers moet geheel uit staan, en de grote aanbieders zoals Google schakelen die informatie dan ook uit zodra je Franse data- of wifi-netwerken gebruikt. Dus ook als je snel wisselt naar een andere app, kan la police je beboeten.

Juridisch is de handhaafbaarheid van zo’n verbod nog onduidelijk. In de kern is het een inperking op de informatievrijheid: het mogen vertellen waar snelheidscontrole’s of flitspalen staan is immers gewoon een verspreiding van feiten aan het publiek.

De informatievrijheid inperken mag, mits voor een legitieme reden en “nationale veiligheid” en “voorkomen van strafbare feiten” zijn daar voorbeelden van. Ik zie wel hoe flitswaarschuwingen de effectiviteit van controles hinderen, want als je weet waar ze staan weet je ook waar ze niet staan en daar kun je dan gas op de plank geven.

Die inperking vereist wel een wettelijke regeling (zoals een strafrechtelijk verbod). Bovendien moet die wet noodzakelijk zijn voor het beoogde doel. Oftewel, kan het niet met minder of langs een andere route? Hier is volgens mij het laatste woord nog niet over gezegd.

Arnoud

 

 

Grok gemeld bij Franse autoriteiten voor maken deepfakes en kindermisbruikbeeld

Geplaatst op in Regulering, Uitingsvrijheid, 17 reacties
(Screenshot via Spitfire News)

Franse ministers hebben bij justitie en de mediatoezichthouder Arcom melding gemaakt van illegale content die door xAI’s Grok gegenereerd zou zijn. Dat las ik bij Tweakers. De AI-bot maakt zonder enige guardrail seksualiserende deepfakes van geplaatste foto’s, ook van duidelijk minderjarigen.

Bij Reuters leggen ze uit:

A review of public requests sent to Grok over a single 10-minute-long period at midday U.S. Eastern Time on Friday tallied 102 attempts by X users to use Grok to digitally edit photographs of people so that they would appear to be wearing bikinis. The majority of those targeted were young women. … “Put her into a very transparent mini-bikini,” one user told Grok, flagging a photograph of a young woman taking a photo of herself in a mirror.
Natuurlijk, wie zo’n prompt stuurt is eenvoudigweg strafbaar bezig. Zowel bij minderjarigen als bij meerderjarigen – in veel landen, waaronder Nederland, is het maken van nonconsensual deepfakes een strafbaar feit op zich, zeker wanneer die een seksuele lading krijgen.

Het probleem is, zoals altijd, dat die mensen niet of nauwelijks op te sporen zijn. Daarom bepaalt de Digital Services Act dat óók de dienstverleners hiervoor aansprakelijk zijn, tenzij ze hun best doen om dergelijke contentgeneratie te verhinderen. Guardrails, in het jargon. Daarvan blijkt bij Grok in het geheel niets; de prompt geciteerd hierboven is echt meer dan genoeg.

Ik zie bij Tweakers vele reacties van de strekking “dit kan met Photoshop ook, waarom wordt dat niet aangepakt”. Een systeem dat met zo’n eenvoudige prompt complexe en specifieke handelingen kan uitvoeren, is wezenlijk anders dan een algemene tool waarbij je zelf cognitieve vaardigheden in moet zetten voor een specifiek resultaat.

Het probleem is niet dat er theoretisch een eindresultaat mogelijk is, maar dat Grok dat resultaat automatisch, direct en op schaal produceert. Wie in Photoshop een geloofwaardige seksuele deepfake wil maken, moet weten wat hij doet: selecties maken, lagen maskeren, belichting aanpassen, anatomie reconstrueren. Dat vergt tijd, kunde en intentie. Grok doet dat allemaal zelf, in één stap, op basis van een paar woorden. Dat is geen neutrale tool meer, dat is functionele automatisering van een strafbaar handelingstype.

Een vergelijking is misschien die tussen het lockpicking-setje en de slotenmaker die langskomt om een deur open te maken als dienst. Natuurlijk kun je met dat setje ergens inbreken, maar triviaal is dat niet, en je hebt zelf de nodige kennis en ervaring nodig. Die slotenmaker brengt die zelf mee, en opent de deur die jij aanwijst. Volgens mij is het niet controversieel dat de slotenmaker even controleert of jij daar wel woont.

Het gaat me wat ver om de aanbieder van Grok per definitie aansprakelijk te houden voor alles dat er uit komt. Juist omdat het user-driven content is, kun je niet verder gaan dan een zorgplicht. En dat is dan ook wat de DSA eist.

Arnoud

 

Mag onze vereniging WhatsApp gebruiken om de leden te informeren?

Geplaatst op in Security, Uitingsvrijheid, 3 reacties
Photo by marcmanhart on Pixabay

Een lezer vroeg me:

Onze (relatief kleine) hengelsportvereniging heeft moeite de leden goed te bereiken. We gebruiken nieuwsbrieven, ALV’s, en social media maar toch krijgen we vaak te horen dat mensen iets niet wisten of net dat kanaal niet lezen. De secretaris is daarom een WhatsApp-groep begonnen en dat lijkt eigenlijk heel goed te lopen. Het is op basis van vrijwilligheid, en alle berichten zetten we ook op onze andere kanalen. Mag dat zo?
Hier lijkt me eigenlijk niets mis mee. De community is op basis van vrijwilligheid binnen een breed gedragen tool. Je deelt alle informatie ook buiten deze tool zodat het niet verplicht is.

Een twijfelpunt kan natuurlijk zijn dat WhatsApp een Big Tech platform uit de VS is. Ik snap goed dat mensen daar zorgen over hebben; datagraaiers, AI-training, meelezen, noem maar op. Maar voor mij is die vrijwilligheid dan doorslaggevend: je hóeft niet het WhatsApp kanaal te gebruiken, alle informatie staat ook op de site en de socials van de vereniging.

Iets lastiger wordt het als het WhatsApp kanaal meer wordt dan een extra aankondigingskanaal. Mensen kunnen reageren, er kunnen discussies ontstaan en daaruit kunnen besluiten en dergelijke ontstaan die mensen buiten de groep niet meekrijgen.

Dat kan een tweedeling in de vereniging geven, hoewel dat ook op de social media al kan ontstaan. Dit is niet perse een probleem van WhatsApp maar van de inzet. Een tip kan dus zijn de WhatsApp groep echt alleen voor notificaties te gebruiken, en dus alleen het bestuur de mogelijkheid te geven berichten te plaatsen.

Arnoud

Kan een platform de voorwaarden met terugwerkende kracht herzien om AI te kunnen trainen met alle gebruikersdata?

Geplaatst op in Ondernemingsvrijheid, Privacy, Uitingsvrijheid, 4 reacties
ananitit / Pixabay

Een lezer vroeg me:

Veel is al gezegd over de recente aankondiging van Linkedin om standaard gebruikersposts en -data te gebruiken om AI te trainen. Wat mij opviel is dat het ook gaat om gegevens die vele jaren teruggaan, tot zelfs 2003! Kun je werkelijk je gebruiksvoorwaarden of privacy policy zo met terugwerkende kracht herzien?
Inderdaad gaat Linkedin binnenkort gebruikersdata gebruiken om AI systemen mee te trainen. Men gebruikt daarbij een opt-out systeem, wat erop wijst dat men zich AVG-technisch beroept op het gerechtvaardigd belang. Daarbij is immers een opt-out verplicht (artikel 21), waarbij formeel je dan redenen moet opgeven maar in de praktijk “ik wil het niet” geaccepteerd wordt.

Naast een uitzondering van privéberichten heeft LinkedIn gezegd niet te trainen op gegevens van minderjarigen. Ook salarisgegevens en sollicitatiegegevens worden niet meegenomen in de training.

Blijft de vraag: hoe kunnen en mogen ze dan teruggaan tot 2003? De reden daarvoor is even flauw als simpel: men stelt het recht te hebben om te trainen op alle data die er nu is. De datum waarop die data werd geschapen, is daarbij irrelevant.

Ook als je het vanuit auteursrechtelijk perspectief bekijkt, is het kort en goed niet van belang wanneer de data werd geplaatst. Je kunt vanaf vandaag bepalen dat alle aanwezige werken mogen worden gebruikt. Dat is dan geen wijziging met terugwerkende kracht. Dat zou het pas zijn als je ook zegt “oh ja we hebben de afgelopen vijf jaar getraind op je data, bij deze verklaren we dat alsnog legaal”. De enige manier om hier wat tegen te doen, is actief je oude berichten weghalen.

Arnoud

Bunq blijkt toch te dreigen met juridische stappen na Reddit-post ex-werknemer

Geplaatst op in Uitingsvrijheid, 28 reacties
Photo by Gwyn Hay on Unsplash

Bunq blijkt toch juridische stappen te hebben besproken met moderators van Reddit. Dat meldde Tweakers vorige week na eerder te berichten dat de bank dit juist niet zo doen. Het bedrijf wil dat Reddit een kritische post van een vermeende ex-werknemer verwijdert. Man man man.

De mediaheisa die ondertussen is ontstaan, komt door een artikel in NRC dat opent met

De Amsterdamse neobank bunq dreigt met juridische stappen tegen het socialemediaplatform Reddit, omdat het weigert een kritisch bericht van een ex-medewerker te verwijderen over de werksfeer bij bunq, het gedrag van oprichter Ali Niknam en de gebrekkige klantenservice. Volgens Reddit-moderatoren is het de eerste keer dat een Nederlands bedrijf het Amerikaanse platform op deze manier onder druk zet.
De Reddit-post (‘klaagzang over bunq van een oud-werknemer’) van een jaartje geleden leest voor mij als typisch ergernis van je afschrijven. Maar om nou meteen te zeggen, hier moet een advocaat losgelaten, nee.

Dat zei bunq ook: er was wel overleg met de moderatoren van de subreddit in kwestie geweest, maar “De bank benadrukt dat de communicatie echter geen juridisch dreigement bevatte.” Maar nu blijkt dat “de bank het wel degelijk over een ‘juridische route’ heeft gehad.”

De discussie voelt voor mij semantisch: wat bedoel je met “dreigen”. Het heeft een beetje een ondertoon van strafbaar feit, iemand afdreigen of bedreigen. Maar Van Dale houdt het bij meer neutrale termen als “iets onaangenaams in het vooruitzicht stellen” of “te wachten staan”.

Er is op zich natuurlijk weinig mis met zeggen “als u niet doet wat ik vraag, dan ga ik naar de rechter”. Dat recht heb je altijd, ook als je vraag kansloos is (zoals in blafbrieven). Om dit “dreigen” te noemen, gaat mij wat ver.

Een reden om die term wél te gebruiken, is dat de vraag afkomstig is van een machtige (vaak kapitaalkrachtige) partij die best bereid lijkt kansloze procedures te voeren in de wetenschap dat de wederpartij door enkel de tijd, geld en energie die dat kost, zal capituleren. Dan kun je op papier best gelijk hebben, maar ga je failliet in het halen daarvan. Ik zie wel hoe je dat “dreigen” noemt.

Sinds 2024 hebben we in Europa anti-SLAPP wetgeving. SLAPP staat voor “strategische rechtszaken tegen publieke participatie”, oftewel mensen bang maken met zulke kansloze maar dure/energieslopende procedures. De Europese wet definieert dat als

gerechtelijke procedures die niet worden ingeleid om daadwerkelijk een recht te doen gelden of uit te oefenen, maar die als voornaamste doel het voorkomen, beperken of bestraffen van publieke participatie hebben, waarbij vaak misbruik wordt gemaakt van ongelijke machtsverhoudingen tussen de partijen en ongegronde vorderingen worden ingesteld.
De sanctiemechanismen uit deze wet zijn niet denderend sterk: een proceskostenveroordeling of publicatie van het vonnis, tsja. En het is beperkt tot entiteiten die bezig zijn met publieke activiteiten zoals journalisten, dus het is nog maar de vraag of deze regels werken bij deze ex-werknemer.

Arnoud

 

Mag ik een softwaredienst reviewen als de voorwaarden dat verbieden?

Geplaatst op in Security, Uitingsvrijheid, 9 reacties
"Warcraft EULA under Ubuntu/WINE" by gruntzooki is licensed under CC BY-SA 2.0

Een lezer vroeg me:

Veel organisaties werken met een van de drie grote aanbieders van vulnerability management platforms: Qualys, Rapid7 en Tenable. Die platforms identificeren van kwetsbaarheden in de infrastructuur van hun afnemers en geven risico-scores voor de ontdekte kwetsbaarheden. Als onafhankelijk onderzoeker wil ik deze tools evalueren en mijn bevindingen publiceren. Maar ik begrijp dat dit niet mag van de voorwaarden van deze tools? Kan dat werkelijk verboden worden, recensies van een product?
Tools zoals de genoemde drie gebruikt om te prioriteren wat de organisatie moet patchen. Dit is belangrijk omdat de platforms bij een grotere organisaties al snel tien- tot honderdduizenden kwetsbaarheden van allerlei pluimage  en impact kan ontdekken.

Een evaluatie van dergelijke tools is nuttig voor potentiële gebruikers, zeker als dat door een onafhankelijke partij gebeurt. Dat hoeft natuurlijk niet een stichting of persmedium te zijn, ook een consultant kan prima reviews of evaluaties maken en met de wereld delen.

Bij sommige van deze tools staat in de gebruiksvoorwaarden dat recensies verboden zijn. Zo staat in de Master Agreement van Tenable Nessus dat ” (vi) use the Products in order to create competitive analysis or a competitive product or service;” verboden is (artikel 4 onder c). Wat deze consultant wil, is een concurrentieanalyse en dat zou dus niet mogen.

Allereerst twijfel ik of dat werkelijk de beoogde lezing is. Gezien de context kan men goed doelen op analyseren voor concurrentiedoeleinden, dus het uit elkaar halen om te zien hoe jouw platform beter zou moeten. Het is voor mij als jurist raar dat je recensies en concurrerende producten in één artikellid verbiedt.

Ten tweede zou zo’n strenge lezing al heel snel afstuiten op de vrijheid van meningsuiting. Er wordt geen reden gegeven voor het verbod, en de software is eenvoudig verkrijgbaar via internet als standaardpakket. Dat er dan zware bedrijfsgeheimen op straat komen of dat criminelen zeer gevoelige inzichten krijgen, lijkt dan zeer onwaarschijnlijk.

Zo’n reden is belangrijk, want het verbod is juridisch gezien een inbreuk op de vrijheid van meningsuiting. En dat vereist een zwaarwegende argumentatie die maakt dat een verbod de enige optie is. Dat zie ik hier werkelijk niet.

Ik zie met een snelle zoektocht meteen al vele reviews van deze tool, inclusief vergelijkingen met de concurrent. Dat doet mij vermoeden dat de soep in ieder geval niet zo heet gegeten wordt.

Arnoud