Categorie: Uitingsvrijheid

About Uitingsvrijheid

Subscribe Feeds

Wanneer mag ik als ethisch hacker een kwetsbaarheid openbaar maken?

Geplaatst op in Security, Uitingsvrijheid, 4 reacties
Photo by Austin Chan on Unsplash

Een lezer vroeg me:

Het gebeurt wel eens dat je als ethical hacker een kwetsbaarheid van dusdanige aard ontdekt dat het ernstige maatschappelijke gevolgen zou kunnen hebben als er misbruik van gemaakt wordt. Als ethisch hacker heb ik in principe een geheimhoudingsplicht, en dat wringt hier behoorlijk. Zijn er uitzonderingen waarin dat wel zou mogen of misschien zelfs zou moeten?

Er zijn vele definities van “ethisch hacker”. Een mooie neutrale is die van Wikipedia: een hacker die fouten wil opsporen, om ze vervolgens te melden aan de betreffende, ‘gehackte’ bedrijven of instanties. Die kunnen deze dan herstellen.

Het ethische hieraan is met name dat je zo’n melding in vertrouwen doet, en er geen misbruik van maakt of deze voor eigen gewin exploiteert. Je motivatie is dat het bedrijf het oplost, meer niet.

Een al heel lang bekend probleem bij het melden van fouten of gaten in de beveiliging is dat je melding wordt genegeerd of onder het tapijt wordt geveegd. De oplossing staat bekend als responsible disclosure. Je geeft de organisatie een redelijke termijn om het op te lossen, maar je bent vrij om daarna te publiceren.

Dit werkt echter niet als je een afspraak hebt met de organisatie over geheimhouding. Dat kan zijn omdat je via een betaalde opdracht (zoals een pentest) werd ingehuurd, of omdat je meedeed aan een bug bounty. Als je de bijbehorende voorwaarden accepteert en daar staat geheimhouding in, dan gaat die afspraak boven de normale regels.

Alleen in zéér uitzonderlijke situaties kun je zo’n afspraak doorbreken. Je komt dan op het niveau van noodweer, je kunt als mens in deze maatschappij écht niet anders dan je afspraak tot geheimhouding schenden om dit aan de kaak te stellen. Er is in Nederland geen algemene regel dat je geheimhouding mag negeren als je in een klokkenluidersituatie zit als leverancier.

(Je kúnt natuurlijk een anonieme tip aan het NCSC doen en uitleggen dat je contractueel klem zit, maar of de tip dan opgepakt wordt, weet ik niet. Bovendien is het dan nog steeds jouw probleem als uitkomt dat jij de melding deed.)

Arnoud

 

Autoriteit Persoonsgegevens: bedrijven mogen internet vrijwel nooit scrapen, nou nou nou

Geplaatst op in Privacy, Uitingsvrijheid, 10 reacties
Photo by Hans-Peter Gauster on Unsplash

Scrapen van informatie op internet is in vrijwel alle gevallen illegaal, stelt de Autoriteit Persoonsgegevens. Dat meldde Tweakers gisteren. De toezichthouder bracht een ‘handreiking‘ uit over ‘scrapen’ van ‘data’ op ‘internet’, en getuige mijn inbox waren velen onaangenaam getroffen door de strekking.

De basis lijkt me niet controversieel: wie profielen op sociale media en andere dergelijke data binnenharkt, zal gewoonlijk persoonsgegevens verwerken en moet zich dan aan de AVG houden. Dat betekent dus dat je die mensen moet melden dat je hun gegevens binnenhaalt en ze gelegenheid moet geven te protesteren en/of correcties dan wel verwijdering te laten uitvoeren.

De insteek van de AP is echter fundamenteler: het is “bijna altijd illegaal”. Daarmee bedoelen ze “rechtmatig” (art. 5(1)(a) AVG), wat ze dan baseren op drie specifieke problemen:

  • grondslagen en doelbinding
  • bijzondere persoonsgegevens
  • strafrechtelijke persoonsgegevens
Allereerst de grondslag. Als dataharker ben je zelf verwerkingsverantwoordelijke, dus je moet zelf een grondslag kiezen en onderbouwen. (Je kunt niet meefietsen op bijvoorbeeld de grondslag van Linkedin en dan redeneren dat jouw hergebruik daar slechts een variant op is.)

Die grondslag zal vrijwel altijd het “eigen gerechtvaardigd belang” (art. 6(1)(f) AVG) zijn van de partij die de gegevens binnenharkt. En dan komen we bij het eigenlijke punt dat de AP wil maken: een “zuiver commercieel belang” mag niet tellen als “belang” in de zin van de AVG. Daar is inderdaad al de nodige herrie over geweest en de zaak ligt nu voor bij het Hof van Justitie.

De AP stelt zich op het standpunt dat iets alleen als “belang” kan tellen als het tot een wet te herleiden is. En “zuiver commercieel handelen” staat nergens in een wet en dus is het geen belang onder de AVG. Ik heb daar enorme moeite mee, gezien het feit dat artikel 16 Handvest de “vrijheid van ondernemerschap” expliciet erkent. Geld willen verdienen is dus een grondrecht en daarmee een rechtens te respecteren belang. Daarnaast is er de vrijheid van informatie (art. 11 Handvest), die ook toeziet op het binnenharken van informatie. En je oogmerk doet er niet toe; informatievrijheid geldt ook voor bedrijven.

Dat wil natuurlijk niet zeggen dat alles mág als je Eurotekens er achter zet. De belangenafweging van de AVG is nadrukkelijk in het voordeel van de betrokkenen geformuleerd. De handreiking gaat hier niet verder op in, maar adviseert mensen om “zorgvuldig” na te denken wat de afweging moet zijn. Wel noemt men een aantal factoren, zoals omvang van de dataset en op welke criteria deze doorzoekbaar is: een statistisch model met algemene uitspraken is iets heel anders dan een kopie van geheel Nederlands Linkedin waar je op persoonsnaam in zoekt.

Dit haakt in op de twee andere factoren: het is goed mogelijk dat je ook bijzondere persoonsgegevens (zoals etnische afkomst, seksuele voorkeur of religie) meeharkt of zelfs de vaak vergeten strafrechtelijke persoonsgegevens. En dat is echt problematisch, omdat je als harker eigenlijk nooit een legitieme reden hebt om dat te doen.

De AP trekt daarbij een harde lijn, die volgens mij de enige juiste is:

Slaat u zowel gewone als bijzondere persoonsgegevens op in één database, dan is het beschermingsregime voor bijzondere persoonsgegevens van toepassing op alle gegevens in deze database. Kunt u niet uitsluiten dat u (ook) bijzondere persoonsgegevens verwerkt? Dan geldt het (zwaardere) beschermingsregime voor bijzondere persoonsgegevens.
Hierbij geldt dat alleen een actieve handeling van de betrokkene zelf als excuus kan gelden. Een voorbeeld: op Linkedin kun je je voornaamwoorden instellen. Daaruit kun je een seksuele gerichtheid afleiden, wat dus problematisch is maar omdat dit een actieve en bewuste keuze is (je hóeft het niet te doen) valt dat buiten het verbod.

De uitspraak dat het “bijna altijd illegaal” is, is dus vooral gebaseerd op het gegeven dat je bijzondere persoonsgegevens verwerkt en dat je daarbij niet kunt zeggen dat men dit alles zelf openbaar gemaakt heeft. De AP merkt in de handreiking zelf al op dat hier redelijkerwijs vraagtekens bij te stellen zijn en dat alleen het Hof van Justitie die kan beantwoorden. Het is dus wel nogal een aanname die hier wordt genomen.

Een meer algemeen bezwaar is de juistheid. Naast dat je mensen moet informeren dat jij hun gegevens binnenhaalt (ja, dat moet jij doen en wel actief, dus met een mail of pb), moet je mensen gelegenheid geven hun gegevens te corrigeren. Je zal net gehackt zijn en een cryptoscam op je Facebook krijgen op de dag dat zo’n hark langskomt: dan zullen toekomstige werkgevers je nog lang associëren met dubieuze cryptoverkoop.

Ik zie de handreiking alles bij elkaar vooral als een signaal: er is nog héél veel cowboygedrag in dataharkland, en dat moet maar eens afgelopen zijn. Als jij je processen op orde hebt, weet welke data je binnenhaalt en waarom, bijzondere gegevens wegfiltert en zorgt voor transparantie (inclusief rechten uitoefenen), dan is er verder weinig aan de hand. Als.

Leuk detail nog: wie een AI bouwt die op basis van dataharken is getraind, moet in zijn conformiteitsverklaring (Annex V AIA) expliciet verklaren volledig AVG compliant te zijn. Een aansprakelijkheidsbeperking is daarbij niet mogelijk, en onder de binnenkort te verwachten AI Liability Directive geldt zelfs een omgekeerde bewijslast. Inkopers van AI kunnen dus sturen op dit logo.

Arnoud

 

 

Hoe krijg je in Nederland een Amerikaans bedrijf zo ver te luisteren naar de rechter?

Geplaatst op in Ondernemingsvrijheid, Uitingsvrijheid, 2 reacties
Photo by Victor Freitas on Pexels

“Automattic weigerde en stelde dat het vonnis niet op de juiste manier was betekend door eiser en dat de rechtbank niet bevoegd was”, meldde IE-Forum onlangs. De juridische manier om te zeggen “de eigenaar van blogplatform WordPress deed moeilijk toen de rechter zei dat een blog weg moest”. Wat was hier aan de hand?

De kern van de zaak was simpel genoeg. Een meneer werd stevig bedreigd, en een blog gehost bij WordPress was daarbij een belangrijke factor. Kort geding, rechter oordeelt dat de blog als geheel onrechtmatig is en beveelt offline halen daarvan. Uiteraard gaat dat dan op straffe van een dwangsom.

Automattic (de eigenaar van WordPress-het-platform) haalde de blog echter niet offline, en betaalde ook niet de dwangsommen. Daarop stapte de man naar de rechter, waarbij Automattic het verweer opwierp dat hij maar naar Californië moest gaan – de Nederlandse rechter zou onbevoegd zijn. Daar had de rechter weinig moeite mee; zij was wel degelijk bevoegd bij zo’n dwangsom-incasso-procedure (executiegeschil) omdat de rechter van de hoofdzaak dat ook was.

Dan de incasso van inmiddels twee ton aan dwangsommen? Nee, toch niet: nu kwam Automattic met het verhaal dat het vonnis niet juist uitgereikt was (betekend), zodat de startdatum voor de dwangsommen nooit was begonnen te lopen. De personen die de brieven zouden hebben gehad, waren niet bekend en niet bevoegd, de brief naar Amerika was naar het bedrijf zelf gestuurd en niet naar de registered agent, de Engelse vertaling van het exploot miste kerninformatie (45 Rv) – wat cynische ikke dus ‘moeilijk doen’ noemt.

Gelukkig is het recht niet voor één gat te vangen, want het kan niet de bedoeling zijn dat je werkelijk zo moeilijk moes doen om een buitenlands bedrijf aan te spreken. De constructie (art. 54 Rv) is dan ook dat je bij een bedrijf buiten de EU genoeg hebt gedaan als je het vonnis in de Staatscourant hebt gezet en het hebt betekend bij het Nederlands OM (inderdaad, die van de strafzaken).

Dat was hier ook gebeurd en dat was genoeg. Het is dus niét nodig dat je vonnis daadwerkelijk een buitenlandse (niet-EU) partij bereikt heeft, en dat is precies omdat je geen controle hebt over wat er daar gebeurt. Dat de advocaat van Automattic al op 14 april 2022 (een dag na de uitspraak) het vonnis had gehad, is dus niet eens belangrijk.

Blijft over de praktische vraag: wat nu? Want als het bedrijf zich in deze bochten wringt, dan bekruipt mij het gevoel dat ze niet na deze uitspraak ineens heel vriendelijk twee ton overmaken. Maar er zijn meer manieren om aan geld te komen. Met zo’n betekend vonnis kun je namelijk in andere EU-landen beslag laten leggen op geld of rechten die aldaar zijn. Denk aan een rekening waar Europese klanten betalen voor advertenties, de zakenauto van de Europese directeur of de handelsvoorraad ergens in een loods.

Of dat er allemaal is bij een internetbedrijf, kun je je afvragen. Maar wat er wel is, is één vermogensrecht en dat is het merk van Automattic, of beter gezegd het merk WordPress. Dat is immers juridisch gezien ook een vermogensrecht, en daar kun je beslag op leggen. Op korte termijn betekent dat dat Automattic er zelf niets meer mee mag doen, en als ze niet snel betalen dan is (in theorie) de mogelijkheid dat de eiser het merk gaat verkopen om zo die twee ton te verdienen. Ik ben benieuwd of Automattic het zó ver gaat laten komen.

Arnoud

 

 

Jort Kelder wint hoger beroep tegen Google over nepadvertenties met zijn beeltenis

Geplaatst op in Ondernemingsvrijheid, Privacy, Uitingsvrijheid, 9 reacties
"Internet ban" by theglobalpanorama is licensed under CC BY-SA 2.0

Het gerechtshof in Amsterdam heeft Jort Kelder dinsdag in hoger beroep gelijk gegeven in zijn al vier jaar slepende conflict met Google, zo las ik bij NRC. Zij hadden het vonnis niet: die stond bij het onvolprezen Boek9. Dat schrijft persbureau ANP. Het gaat natuurlijk om die berichten waarin we “afscheid nemen” van Kelder als clickbait om cryptomunten te verkopen, al dan niet in de vorm van flessentrekkerij.

In 2022 stapte Kelder (samen met Alexander Klöpping) naar de rechter hierom, maar zonder succes. Ik blogde toen:

De nepadvertenties kennen de meeste mensen wel: een foto van een BN’er met een ietwat cryptische mededeling, zoals “Nederland neemt afscheid van Jort Kelder” of “Klöppings laatste investering jaagt bankiers angst aan” en pas na doorklikken kom je erachter dat het gaat om ‘beleggen’ in cryptovaluta. Waarbij de scam dan is dat je geld betaalt en er niets voor terugkrijgt.
De rechtbank wees de eis af, omdat de zorgplicht van Twitter en Google niet zo ver ging dat ze íeder bericht hadden moeten onderscheppen. Je kunt niet makkelijk automatisch zien of Kelder in een advertentie staat, de teksten zijn verhullend en de sites wisselen van inhoud na een paar dagen zodat de controleur niets bijzonders ziet.

Gelukkig voor de jurisprudentie ging Kelder in hoger beroep, zij het in zijn eentje en alleen nog tegen Google. Het verweer van die laatste was natuurlijk dat ze slechts een doorgeefluik zijn: niet aansprakelijk voor andermans content, maar op whack-a-mole basis best bereid individuele dingen weg te halen.

Je zou zeggen dat dat bij advertenties anders is, omdat die worden gescreend. Maar dat zijn allemaal automatische processen, en puur automatische passieve controle is niet genoeg om content van kleur te laten verschieten tot redactionele inhoud. Google bemoeit zich ook niet inhoudelijk met het hoger of prominenter tonen van deze advertenties.

Moet Google meer doen? Het Hof is net als de rechtbank onder de indruk van de vele maatregelen en de ‘holistische’ aanpak van Google om advertenties te betrappen – cynische ikke leest het als een mooi verhaal om maar niet identiteitscontrole aan de poort te hoeven doen, want dat zou de omzet drukken.

Specifiek op gemelde advertenties had Google wél meer moeten doen. Ook hier ging men ‘holistisch’ te werk:

In april 2020 heeft zij een internationale multidisciplinaire werkgroep opgezet die versneld technische maatregelen heeft ontwikkeld en geïmplementeerd en in juli 2020 heeft zij celebrity sensationalist ads verboden. Niet valt echter in te zien waarom deze nieuw gevonden manieren van omzeiling in de weg hebben gestaan aan het eerder nemen van effectieve maatregelen door Google, en wel zo spoedig mogelijk na kennisneming van de conceptdagvaarding op 10 januari 2020, dan wel op zijn minst onmiddellijk na het gesprek hierover op 19 februari 2020.
Het ging hier namelijk niet om generieke eisen zoals “blokkeer iedere advertentie met mijn gezicht er naast en/of gekoppeld aan mijn naam”. De betreffende advertenties waren simpelweg steeds (vrijwel) dezelfde, op zo’n manier dat een tekstueel filter ze eenvoudig tegen had kunnen houden:
Ook als het [door het ad cloaking] niet goed was vast te stellen of de betreffende advertentie doorlinkte naar een landingspagina waarop bitcoin-investeringen werden aangeboden, had het tonen van de advertenties in elk geval voor (menselijke) verificatie kunnen worden opgeschort op basis van de vaststelling dat de advertentie identieke/zeer gelijksoortige elementen bevat als de bitcoin-advertenties waarover Google door Kelder was geïnformeerd.
Wat betreft die advertenties is het Hof dan snel klaar: die zijn natuurlijk onrechtmatig, en Google had meer moeten doen om ze tegen te houden, dus is zij aansprakelijk voor de door Kelder geleden schade. Alleen, hoe hoog is die schade? Daarover wordt in een vervolgprocedure (schadestaat) nog nader gepuzzeld.

Arnoud

Europese Commissie gaat AI-inzet van grote platforms aanpakken

Geplaatst op in Regulering, Uitingsvrijheid, 2 reacties
assorted electric cables
Photo by John Barkiple on Unsplash

De Commissie heeft op grond van de Digital Services Act (DSA) formeel verzoeken om informatie gestuurd naar de grote online zoekmachines en platforms, las ik in hun persbericht van vorige week. Het gaat om uitleg over hoe zij omgaan met de risico’s van generatieve AI, zoals zogenaamde ‘hallucinaties’ waarbij AI valse informatie verstrekt, de virale verspreiding van deepfakes, evenals de geautomatiseerde manipulatie van diensten dat kan kiezers misleiden.

Het is natuurlijk dat laatste dat de directe aanleiding is: de verkiezingen van het Europees Parlement komen eraan, en de vorige keer was er nogal wat ophef over politieke disinformatie op online platforms. Ook het Cambridge Analytica-schandaal heeft veel zorgen gegeven, met name de vraag of met microtargeting mensen gericht zouden kunnen worden beïnvloed (en AI maakt dat massaal mogelijk).

Nergens in de DSA staat expliciet dat je AI hallucinaties, deepfakes of manipulatie van kiezers moet bestrijden. Dit volgt uit de algemene zorgplicht tegen “systeemrisico’s”, brede maatschappelijke risico’s die jij als zeer groot platform (VLOP) of zeer grote zoekmachine (VLOS) veroorzaakt door zo massaal mensen en bots dingen te laten posten.

De organisaties hebben tot 5 april gekregen om te reageren voor wat betreft de verkiezingen, en tot 26 april voor de overige vragen. Toevallig zie ik al een eerste maatregel: YouTube krijgt label als video generatieve AI bevat.

Arnoud

E-bikes straks mogelijk op afstand af te remmen, zodat Amsterdam weer wat veiliger wordt

Geplaatst op in Ondernemingsvrijheid, Uitingsvrijheid, 17 reacties
Sondors eBike” by FaceMePLS is licensed under CC BY 2.0

Zes steden in Europa, waaronder Amsterdam, testen een systeem dat de snelheid van elektrische fietsen op afstand kan beperken. Dat meldde NRC onlangs. Het riep vele vragen op (zoals “hóe dan”), maar ik wil graag even kijken naar de juridische haalbaarheid.

Het gaat op dit moment nog om een proef, zoals NRC het toelicht:

Vorige week reed de Amsterdamse D66-wethouder Melanie van der Horst (Verkeer) tijdens een testrit op een e-bike waarvan de trapondersteuning wegvalt zodra er een min of meer kwetsbaar gebied opdoemt: een school, een park, een druk kruispunt of fietspad, wegwerkzaamheden, de plaats van een ongeval. Van der Horst: „Ik kreeg op mijn schermpje een spelend kind met een voetbal te zien. Even later kwam ik in het rood te staan en werd mijn snelheid afgeremd tot 15 kilometer per uur”, vertelt ze.
De achterliggende technologie is afkomstig van Stichting Townmaking Institute, zo meldde vakblad Binnenlands Bestuur vorig jaar:
[Projectleider Eduardo] Green zegt: ‘Veel aanbieders van e-bikes bieden een app aan waarmee fietsers informatie zien over hun snelheid en bereik en dergelijke. We hebben een API ontwikkeld waarmee we ons signaleringssysteem daarmee kunnen integreren.’ De verwachting is dat de meeste e-bikes op den duur een geïntegreerde omgeving hebben, zodat ze deze meldingen rechtstreeks op het display van de fiets kunnen ontvangen.
Het artikel schetst vooral het signaleren van snelheidsovertredingen, je schermpje wordt dan oranje of rood naar mate je meer boven de gewenste snelheid zit. Iets onduidelijker is hoe het automatisch afremmen zou moeten werken. Dit klinkt mij iets te onlogisch:
‘Met behulp van zendmasten voor mobiele telefonie is het mogelijk om de stroom op een e-bike langzaam te verminderen en weer op te voeren’ vertelt Green. In theorie is het dus mogelijk om de snelheid van een e-bike van buitenaf te begrenzen.
Ook bij de stichting zelf kan ik niet nader vinden hoe dit zou moeten werken. Maar goed, uiteindelijk is dit een juridische blog en is de vraag dus “mag de gemeente dit doen” en daarvan afgeleid de vraag “mag ik me daartegen verzetten”.

Als het gaat om functionaliteit die door de fabrikant is ingebouwd, dan lijkt het me in principe legitiem voor een gemeente om die functionaliteit in te roepen. Natuurlijk moet de wegomgeving er wel duidelijk op ingericht zijn, je moet weten dat je hier geacht wordt langzaam te fietsen. Ik twijfel of een gemeente de APV moet wijzigen om dit te mogen doen, het is zo nieuw dat hier nog geen precedent voor is.

Je zou als eigenaar van zo’n fiets ervoor kunnen kiezen om deze meldingen tegen te houden. Ik heb zo even geen idee hoe, maar laten we aannemen dat dit effectief kan. Dát kan een gemeente niet verbieden, zelfs niet als ze dat in de APV zet. Dat gaat om een ingreep in eigendom, en zoiets kun je alleen in een wet in formele zin verbieden – eentje die door het parlement is aangenomen.

Arnoud

Een naam hardop uitspreken valt nu ook onder de AVG, wacht, wat?

Geplaatst op in Privacy, Uitingsvrijheid, 14 reacties

Ophef op vrijdag: het Hof van Justitie heeft geoordeeld dat het mondeling uitspreken van persoonsgegevens ook onder de AVG valt. Wacht, wat? Oké, er zit natuurlijk iets meer nuance aan deze uitspraak (C-740/22) maar in de kern klopt het wel degelijk.

De zaak begon als een background check van de Finse afdeling Endemol Shine over een deelnemer aan een van hun programma’s. Endemol belde met de Etelä-Savon käräjäoikeus (de rechtbank Zuid-Savo, maar ik höü van Finse namen) om te vragen of er strafzaken tegen deze persoon liepen.

De rechtbank weigerde antwoord te geven “want dat mag niet van de AVG”, iets preciezer: antwoord geven zou een verwerking van strafrechtelijke persoonsgegevens opleveren, ook als men dat mondeling zou doen. En er was geen grond voor die verwerking (verstrekking) omdat “meewerken aan private background checks” niet in de wet genoemd staat. Endemol ging in beroep omdat volgens hen een mondelinge mededeling in het geheel buiten de AVG valt. Dat leidde tot vragen aan het Hof van Justitie.

Dat de gevraagde gegevens persoonsgegevens zijn staat vast. Het Hof is snel klaar met de vraag of dit telt als ‘verwerking’; dat is zo want de definitie van verwerking omvat alles dat je met persoonsgegevens kunt doen. Dus ook het voorlezen of uit je hoofd opzeggen daarvan.

Dit wil alleen niet zeggen dat de AVG geldt. Daarvoor is vereist hetzij dat de gegevens elektronisch worden verwerkt, hetzij dat ze in een bestand zitten of bestemd zijn daarin te worden opgenomen. Voorlezen is per definitie niet een elektronische verwerking, dus komt het neer op de vraag of we hier met een bestand te maken hebben.

In dit verband heeft het Hof reeds geoordeeld dat, om het in punt 34 van het onderhavige arrest in herinnering gebrachte doel te bereiken, deze bepaling een ruime omschrijving geeft van het begrip „bestand” in de zin van „elk” gestructureerd geheel van persoonsgegevens. Bovendien beoogt het vereiste dat het geheel van persoonsgegevens moet zijn „gestructureerd volgens specifieke criteria”, uitsluitend ervoor te zorgen dat de persoonsgegevens gemakkelijk kunnen worden teruggevonden. Behalve dit vereiste bevat artikel 4, punt 6, AVG geen enkele bepaling over de wijze waarop een bestand moet worden gestructureerd, en over de vorm die een dergelijk bestand moet hebben.
Dat de rechtbank een systeem met dossiers had, betwistte niemand. En daarin zit een zoekfunctie, en dat is genoeg om het systeem een “bestand” te noemen in de zin van de AVG. Daaruit concludeert het Hof dat wie voorleest uit zulke dossiers, persoonsgegevens verwerkt en onder de AVG valt.

Het verstrekken van die gegevens is vervolgens triviaal in strijd met de AVG, maar dat laat ik even buiten beschouwing. De eerste conclusie is namelijk al ophef genoeg. Ik ken vele, vele partijen die erop staan dat dingen mondeling gebeuren “omdat anders de AVG van toepassing is”. En dat is dus nu geen argument meer.

De scope is echter wel iéts beperkter dan “alle voorlezen valt onder de AVG”. Men zegt immers dat het voorlezen van zulke informatie onder de AVG valt “voor zover deze informatie in een bestand is opgenomen of bestemd is om daarin te worden opgenomen.” De bron van de informatie moet dus een bestand zijn waaruit je voorleest.

Ik zie de uitspraak dus meer als een blokkade tegen “ik mag je geen mail sturen, dus ik lees het wel even voor” dan dat het Hof nu wérkelijk heeft gemeend dat iedere vorm van praten over personen onder de AVG valt.

Arnoud

 

 

Kan ik een datalekkend bedrijf laten vervolgen wegens doxing?

Geplaatst op in Security, Uitingsvrijheid, nog geen reacties

Een lezer vroeg me:

Een bedrijf lekt mijn persoonlijke gegevens online. Criminelen gebruiken deze gegevens om mij schade te berokkenen. Is het bedrijf nu te vervolgen voor doxing?
Nee. ‘Doxing’ is in de wet gedefinieerd als het publiceren van persoonsgegevens “met het oogmerk om die ander vrees aan te jagen dan wel aan te laten jagen, ernstige overlast aan te doen dan wel aan te laten doen of hem in de uitoefening van zijn ambt of beroep ernstig te hinderen” (art. 285d Strafrecht).

Het lekken van persoonsgegevens gebeurt normaliter niet met het doel om de klant of relatie bang te maken, overlast te bezorgen of te hinderen in zijn werk. Dat kan natuurlijk best het gevólg zijn van het datalek, maar strafbare doxing is het pas als dat de bedoeling was van de persoon (of bedrijf) die het veroorzaakte.

Mij lijkt logischer dat de crimineel aan te pakken is wegens doxing, omdat deze de gegevens publiceert met schade-oogmerk. Grote kans dat dit een vorm van vrees of overlast is die dit wetsartikel bedoelt. En afhankelijk van de schade zijn er nog meer artikelen denkbaar uit het wetboek van strafrecht, denk aan oplichting of afpersing (chantage).

Arnoud

Minister Harbers: ‘Bestuurders die Apple Vision Pro dragen achter stuur krijgen boete’

Geplaatst op in Regulering, Uitingsvrijheid, 6 reacties

Nederlanders die overwegen om met de nieuwe Apple Vision Pro deel te nemen aan het verkeer, maken zich schuldig aan roekeloos rijgedrag en dat is strafbaar, zegt Mark Harbers, minister van Infrastructuur en Waterstaat. Dat meldde het AD onlangs. De minister dreigt met artikel 5, en dat voelt een tikje spannend.

Koos z’n kapstok, noemde ik dat artikel vroeger, maar Wegmisbruikers is zo leuk niet meer sinds die officier-af is (en de AVG uitgebreider werd nageleefd, maar dat terzijde). Het idee is dat je met artikel 5 alles kunt aanpakken dat concreet of dreigend gevaar oplevert, een kapstokartikel waar alle mogelijke gedragingen aan opgehangen kunnen worden.

Een mogelijk gevaarlijke gedraging is “een televisie voor je ogen binden en hopen dat deze niet crasht of zonder stroom komt tijdens het besturen van een motorvoertuig”. Want dat is de kern van zo’n Vision Pro: het is geen bril met een AR-overlay met een en ander, maar een beeldscherm waar (door een interne camera opgenomen) beeld van de buitenwereld om je heen wordt getoond met een overlay met een en ander. Valt het ding uit, dan zie je dus niets meer.

Ik citeer even het AD:

In de gebruiksvoorwaarden van de Vision Pro geeft Apple aan dat de bril nooit gebruikt mag worden bij het besturen van een voertuig. Wanneer de bril in Nederland beschikbaar komt krijgen klanten een soortgelijke tekst voor hun ogen. Dat is nodig, want het aantal Nederlanders dat aangeeft de mobiele telefoon te gebruiken in het verkeer neemt al langere tijd toe, meldde verzekeraar Interpolis die dit al langere tijd in de gaten houdt. In een onderzoek van twee jaar terug gaf 71,5 procent van de Nederlanders aan het mobieltje wel eens te gebruiken tijdens het rijden of fietsen.
Dat laatste was natuurlijk aanleiding om het in de hand houden van een telefoon apart strafbaar te stellen, artikel 61a RVV. De jurisprudentie daarbij is nogal breed: ook het klemmen onder je hoofddoek of het met klittenband aan je arm vastzetten van je telefoon is “vasthouden”. Gewoon op je schoot laten liggen is dat dan weer niet.

Het verschil? Bij de hoofddoek vond het Hof relevant dat je tussen het bellen door de telefoon moet pakken, bijvoorbeeld om op te hangen. Kennelijk is dat bij telefoons op schoot niet zo belangrijk, of is in die zaak dat argument niet aan de orde geweest. Het rekt de betekenis van “in de hand houden” wel een beetje op naar “zo meteen in de hand gaan houden”.

Een Vision Pro hou je niet in de hand, hij zit om je hoofd met een band. Dat was met die hoofddoek ook, en daarbij vond het Hof doorslaggevend dat je er geen handsfree interface bij hebt:

Op grond van de in de Nota van Toelichting genoemde gronden, is het hof van oordeel dat ook de onderhavige wijze van telefoneren door de betrokkene onder het begrip ‘vasthouden’ als bedoeld in artikel 61a RVV 1990 dient te worden begrepen. Immers, anders dan wanneer gebruik wordt gemaakt van hulpmiddelen die uitdrukkelijk bestemd zijn om handsfree te bellen, zal de betrokkene bij het daadwerkelijk gebruik van de telefoon deze handmatig moeten bedienen, terwijl deze zich aan het oor bevindt.
Daar komt bij dat in 2019 door de minister is ingegaan op de vraag of smartwatches om de pols niet ook ‘vastgehouden’ worden, omdat je die ook handmatig moet bedienen. Nee:
Zoals hierboven al is opgemerkt valt het dragen van smartwatches en andere apparatuur, zoals internetbrillen, die zijn ontworpen om aan het lichaam te dragen, niet onder de definitie van het begrip «vasthouden». Een smartwatch dragen is dus niet verboden. Dit is verduidelijkt in de toelichting.
Dit is alweer even geleden, maar ik vermoed dat men bij ‘internetbril’ dacht aan Google Glass (dus een bril met glas en daarop een projectie) en niet aan bijvoorbeeld de Oculus Rift, die net als de Vision Pro een scherm voor je ogen hangt. Ik kan bij terugzoeken op die term echt alleen referenties naar Google’s bril vinden.

De Vision Pro heeft dus géén handbediening nodig in de traditionele zin, zoals bij de telefoon onder de hoofddoek. Hij is ontworpen om aan het lichaam te dragen. Maar voor mij is dan toch doorslaggevend dat hij je zicht blokkeert en dus geen ‘bril’ is, zodat die uitzondering niet op zou gaan. Ik acht de kans dus reëel dat een rechter de Vision Pro toch een “telefoon” noemt en “om je hoofd doen” rekent onder “vasthouden”.

Arnoud

Hoe riskant is het om in het openbaar te zeggen dat je gelekte Apple-sourcecode leest voor je emulator?

Geplaatst op in Intellectuele rechten, Uitingsvrijheid, 9 reacties

Een lezer vroeg me:

In deze presentatie vertelt iemand hoe hij een emulator aangepast heeft zodat hij z’n iPod kan emuleren. Daarbij valt me op dat hij toegeeft gelekte (gestolen) source code van Apple te hebben gebruikt. Is dat dan niet vreselijk riskant om zo in het openbaar te zeggen?
Dit is inderdaad een opmerkelijke. Ik citeer even uit de video:
But it turned out the iBoot source code got leaked in 2018. I was very lucky with that. I don’t know who leaked it, but I am very grateful for them. Because it really helped me understand […].
In 2018 lekte inderdaad de broncode uit van het deel van Apple’s iOS besturingssysteem dat voor het opstarten (booten) zorgt. Apple being Apple leidde dat natuurlijk tot vele juridische dreigementen. Het bleek om een werknemer te gaan, en al snel werd duidelijk dat de code intussen verouderd was en daarmee niet echt meer commerciële waarde.

Deze persoon had er echter toch wel baat bij: de broncode gaf gedetailleerde inzichten in hoe de iPod opstart en daarmee hoe deze precies in elkaar zit. Dat heb je weer nodig om een emulator te maken – een softwaretool die zich voordoet als een iPod, zodat applicaties voor dat platform daarmee gebruikt kunnen worden.

Is dit juridisch riskant? Allereerst het stukje van de gelekte geheimen. Die broncode was inderdaad een Apple bedrijfsgeheim, maar door het lek is die status er wel behoorlijk af ondertussen. Dat is het probleem met geheimen: als het eenmaal op straat ligt, dan is die status weg. En dan kun je blaffen wat je wilt als IP-advocaat, maar het wordt écht niet meer terug een bedrijfsgeheim.

Auteursrecht blijft natuurlijk wél gewoon bestaan bij een ongeautoriseerde publicatie (openbaarmaking en/of verveelvoudiging) van het werk. Apple kan dus zeer zeker op grond van haar auteursrecht verwijdering van die broncode eisen waar ze die ook ziet. Bij het eerste lek was ze er ook zeer snel bij met een DMCA takedown.

Deze meneer publiceert de broncode niet zelf: hij laat in de presentatie een paar screenshots zien met vooral feitelijke informatie, en legt uit dat hij zo vele inzichten kreeg en details kon achterhalen over de werking van het systeem, die dan weer zijn emulator kon.

Ideeën en principes halen uit een werk is geen inbreuk op het auteursrecht. Je schendt namelijk pas het recht als je het creatieve, het originele kopieert of herpubliceert. Zien dat je 42 moet zeggen als er een randapparaat aangezet wordt, is zeer zeker niet iets waar het auteursrecht wat van vindt. Dus de broncode door-akkeren en structuren, ideeën en namen documenteren is prima.

Wat niét mag, is die broncode even laten draaien en zien hoe het geheel werkt. Dat staat weliswaar in artikel 45l Auteurswet, maar dat geldt alleen voor mensen die bevoegd zijn de software te hebben:

Hij die bevoegd is tot het [laden, in beeld brengen, uitvoeren, transmitteren of opslaan van het software-werk], is mede bevoegd tijdens deze handelingen de werking van dat werk waar te nemen, te bestuderen en te testen teneinde de daaraan ten grondslag liggende ideeën en beginselen te achterhalen.
Zo te luisteren is dat ook niet gebeurd, maar als achteraf blijkt dat er bepaalde technische informatie is verkregen die je alleen bij het werk-in-uitvoer had kunnen krijgen, dan heb je wel degelijk een probleem.

Is het nou handig dit zo te zeggen? Meh. Ik weet niet of Apple nu echt zó veel zorgen heeft over gelekte broncode uit 2016 die al in 2018 niet meer relevant was. Het betreft hier ook geen commercieel misbruik maar een particulier project om oude Apple-hardware te emuleren.

Arnoud