Ius Mentis https://blog.iusmentis.com Internetrecht door Arnoud Engelfriet Wed, 22 Mar 2017 13:17:53 +0000 nl hourly 1 https://wordpress.org/?v=4.7.3 Rechter veroordeelt webcamafperser ondanks claims over dubieuze keylogger https://blog.iusmentis.com/2017/03/22/rechter-veroordeelt-webcamafperser-ondanks-claims-dubieuze-keylogger/ https://blog.iusmentis.com/2017/03/22/rechter-veroordeelt-webcamafperser-ondanks-claims-dubieuze-keylogger/#comments Wed, 22 Mar 2017 07:14:38 +0000 https://blog.iusmentis.com/?p=9320 Door ICT-jurist Arnoud Engelfriet.

Een man is strafrechtelijk veroordeeld op basis van bewijs verkregen met een politie-keylogger. Dat meldde Tweakers vorige week. De politie heeft eind 2013 de woning van de man in het geheim betreden, waarbij op de aangetroffen laptop en desktop een keylogger werd geïnstalleerd. Zo kreeg men inzicht in zijn internetgedrag en pogingen dat te verhullen.... Lees verder

Afkomstig van de blog Internetrecht door Arnoud Engelfriet. Koop mijn boek!

]]>
Een man is strafrechtelijk veroordeeld op basis van bewijs verkregen met een politie-keylogger. Dat meldde Tweakers vorige week. De politie heeft eind 2013 de woning van de man in het geheim betreden, waarbij op de aangetroffen laptop en desktop een keylogger werd geïnstalleerd. Zo kreeg men inzicht in zijn internetgedrag en pogingen dat te verhullen. Maar mocht dat wel?

Het vonnis laat zien dat de man in beeld kwam naar aanleiding van een onderzoek bij Facebook. Het bedrijf had accounts ontdekt die door dezelfde persoon werden gebruikt om mannen te chanteren middels valselijk verkregen seksueel materiaal. Het IP-adres kon door de politie worden getraceerd naar een bungalowpark in Nederland, waar -zo ontstond het vermoeden- de dader zou wonen.

Na nader onderzoek werd een verdachte aangehouden. In de paar dagen dat hij in voorarrest zat, betrad een politieteam die bungalow om daar een keylogger op de computer te installeren. Deze tool registreerde toetsaanslagen en maakte schermafbeeldingen wanneer op die desktop of laptop gebruik werd gemaakt van communicatieprogramma’s zoals Skype of een internetbrowser. Hierdoor kreeg het onderzoeksteam inzicht in het internetgedrag op deze computers en kon de afscherming door het gebruik van een VPN-verbinding worden omzeild. Dat leverde genoeg bewijs op om nogmaals tot arrestatie over te gaan, en ditmaal ook tot vervolging.

Een verweer van de verdediging was dat die keylogger onrechtmatig was toegepast en dat de resultaten van het hulpmiddel niet betrouwbaar zijn en daarom niet mogen worden gebruikt voor het bewijs. Er zouden onregelmatigheden zijn zoals chatteksten die wel op de gemaakte schermafbeeldingen zijn te zien, maar niet terugkomen in de geregistreerde toetsaanslagen.

In Nederland is het gebruik van dergelijke technische hulpmiddelen gereguleerd in het Besluit technische hulpmiddelen strafvordering. Dit Besluit heeft tot doel de betrouwbaarheid en herleidbaarheid te waarborgen van de gegevens die daarmee zijn verkregen. Het hulpmiddel moet voldoen aan technische eisen; van de keuring moet door een keuringsdienst een rapport worden opgemaakt en de keuring moet plaatsvinden overeenkomstig een goedgekeurd keuringsprotocol. Dat was hier het geval. En de Hoge Raad had eerder bepaald dat als zo’n keuringsrapport er is, de rechter in principe moet aannemen dat het hulpmiddel betrouwbaar is.

Dat er onregelmatigheden blijken te zijn, kan een tegenargument zijn. Echter, die waren hier niet – althans niet zo zwaar dat het tot uitsluiting van het bewijs zou moeten leiden. De meeste toetsaanslagen klopten wél met de screenshots (en andersom), dus die paar missers zien we dan als afrondingsfouten, zeg maar.

Ook merkwaardig was dat de keylogger verdwenen was na de tweede aanhouding. Onduidelijk blijft wat er is gebeurd – heeft een virusscanner het ding verwijderd als malware, is er de remote destruct optie ingeroepen? – maar dat maakt niet uit. Want zelfs als die verwijdering op de raarst mogelijke manier is gebeurd, dan nog staat vast dat het verkregen bewijsmateriaal betrouwbaar is. De keylogger was immers gekeurd en volgens de regels geïnstalleerd.

Als laatste was er nog het argument dat de keylogger meer opnam dan was toegestaan in het bevel van de Officier van Justitie dat de toestemming gaf voor het installeren van de keylogger. Zo waren er op de screenshots tabbladen te zien van andere applicaties dan waar de keylogger bij zou moeten komen. Maar dat maaktook niet uit: dat op schermafdrukken meer is te zien dan alleen de ingestelde programma’s, maakt naar het oordeel van de rechtbank nog niet dat sprake is van een verzuim.

Bij mijn weten de eerste keer dat zó expliciet een keylogger/spyware rechtmatig wordt verklaard bij de rechtbank. En het laat zien dat je als verdediging van goeden huize moet komen om daar dan nog gaten in te schieten.

Arnoud

Afkomstig van de blog Internetrecht door Arnoud Engelfriet. Koop mijn boek!

]]>
https://blog.iusmentis.com/2017/03/22/rechter-veroordeelt-webcamafperser-ondanks-claims-dubieuze-keylogger/feed/ 13
EU eist wijzigingen in voorwaarden Facebook, Twitter en Google+ https://blog.iusmentis.com/2017/03/21/eu-eist-wijzigingen-voorwaarden-facebook-twitter-en-google/ https://blog.iusmentis.com/2017/03/21/eu-eist-wijzigingen-voorwaarden-facebook-twitter-en-google/#comments Tue, 21 Mar 2017 07:18:44 +0000 https://blog.iusmentis.com/?p=9317 Door ICT-jurist Arnoud Engelfriet.

De Europese Commissie eist dat de sociale netwerken Facebook, Twitter en Google+ hun voorwaarden voor Europese gebruikers binnen een maand aanpassen, om consumenten meer rechten te geven en om fraude beter aan te pakken. Dat las ik bij Nu.nl vorige week. Het persbericht van de EU knalt er stevig in: op sociale media hebben mensen... Lees verder

Afkomstig van de blog Internetrecht door Arnoud Engelfriet. Koop mijn boek!

]]>
De Europese Commissie eist dat de sociale netwerken Facebook, Twitter en Google+ hun voorwaarden voor Europese gebruikers binnen een maand aanpassen, om consumenten meer rechten te geven en om fraude beter aan te pakken. Dat las ik bij Nu.nl vorige week. Het persbericht van de EU knalt er stevig in: op sociale media hebben mensen veel last van fraude en scams, maar ook van voorwaarden die je je Europese consumentenrechten ontzeggen. Want dat is precies hetzelfde. Maar goed, waar gaat het over?

Het persbericht lijkt een schot voor de boeg: jongens, doe iets aan die stomme voorwaarden anders dan komen wij met nieuwe wetten om dit af te dwingen en dan heb je helemáál geen keuze meer. En op zich is het natuurlijk ook helemaal niet raar om te vragen dat een internetdienst in zijn voorwaarden geen dingen zet die in strijd zijn met Europees recht, zoals dat je naar de Amerikaanse rechter zou moeten om je recht te halen – volgens Europees recht is gewoon de rechter van jouw woonplaats bevoegd.

Leuker vind ik de opmerking dat je bij een internetdienst niet zomaar je aansprakelijkheid op nul mag zetten. En nee “voor zover wettelijk toegestaan” is géén reëel alternatief. Je moet gewoon aangeven waar je aansprakelijk voor bent, of waarom je dat niet bent.

Ook een spannende: voorwaarden wijzigen mag alleen met tijdige vooraankondiging én motivatie, plus natuurlijk recht om op te zeggen. Dat opzegrecht is een wassen neus en ik wou dat ze dat niet hadden gezegd. Waar het om gáát is dat die voorwaarden eerlijk moeten zijn en niet zo maar alles mogen zeggen.

Contractopzegging door een socialmediaplatform moet ook niet zomaar mogen. Ook niet wegens ‘abuse’ of “lees de voorwaarden”. Opzeggingen moeten gemotiveerd en gebaseerd op daadwerkelijk beleid, en het lijkt mij dat je er ook een bezwaar tegen in moet kunnen dienen dat enige kans heeft om door een mens gelezen te worden.

Al deze zaken zijn direct te herleiden tot bestaand recht. Het probleem is vooral dat die rechtsregels erg oud of generiek zijn, waardoor je ze niet meteen kunt toepassen op online diensten. Zo staat er in de wet dat aansprakelijkheid beperken naar een consument toe onredelijk is, tenzij daar een argument tegen te bedenken is. Maar hoe je dat precies moet lezen, dat is nog een open vraag. En is “de dienst is gratis, kom nou” genoeg argumentatie?

Alles bij elkaar een goed initiatief, hoewel ik me zeer afvraag of de industrie werkelijk met iets nieuws komt.

Welke voorwaarde(n) zouden jullie graag anders zien bij online diensten?

Arnoud

Afkomstig van de blog Internetrecht door Arnoud Engelfriet. Koop mijn boek!

]]>
https://blog.iusmentis.com/2017/03/21/eu-eist-wijzigingen-voorwaarden-facebook-twitter-en-google/feed/ 12
Nee, een domeinnaam is geen maatwerk onder de Wet Koop op afstand https://blog.iusmentis.com/2017/03/20/nee-domeinnaam-is-geen-maatwerk-wet-koop-op-afstand/ https://blog.iusmentis.com/2017/03/20/nee-domeinnaam-is-geen-maatwerk-wet-koop-op-afstand/#comments Mon, 20 Mar 2017 07:12:56 +0000 https://blog.iusmentis.com/?p=9310 Door ICT-jurist Arnoud Engelfriet.

Regelmatig zie ik bij domeinnaamverkopers en webhosters staan dat aangeschafte domeinnamen niet kunnen worden geannuleerd onder de Wet koop op afstand, omdat het om maatwerk zou gaan. Immers, je vult zelf in welke naam je wilt hebben. Maar een recent vonnis over maatwerkdomeinnamen laat zien dat dit écht niet klopt. Domeinnamen zijn diensten, en daarvoor... Lees verder

Afkomstig van de blog Internetrecht door Arnoud Engelfriet. Koop mijn boek!

]]>
Regelmatig zie ik bij domeinnaamverkopers en webhosters staan dat aangeschafte domeinnamen niet kunnen worden geannuleerd onder de Wet koop op afstand, omdat het om maatwerk zou gaan. Immers, je vult zelf in welke naam je wilt hebben. Maar een recent vonnis over maatwerkdomeinnamen laat zien dat dit écht niet klopt. Domeinnamen zijn diensten, en daarvoor geldt een ander (complexer) regime.

In deze zaak had een particulier bij een domeinnaamdienstverlener een domeinnaam gekocht, en een dag later de overeenkomst geannuleerd met een beroep op de Wet koop op afstand. Het bedrijf erkende dat niet: een domeinnaam aanvragen is een maatwerktransactie, bovendien werd deze transactie direct uitgevoerd. Dat leidde tot een rechtszaak, waarbij de rechter dan eindelijk eens een knoop hierover door moest hakken.

De Wet koop op afstand is in 2014 vervangen door een nieuwe serie wetsartikelen, maar voor het gemak blijf ik die artikelen gewoon Wet koop op afstand noemen. In essentie blijft het systeem van annuleren hetzelfde, hoewel de praktijk veel consumentvriendelijker uitpakt: een consument mag binnen 14 dagen iedere online transactie ongedaan maken, tenzij een van de wettelijke uitzonderingen van toepassing is.

De bekendste uitzondering is denk ik die van maatwerk, of zoals de wet het nu formuleert (art. 6:230p punt f sub 1 BW):

de levering van volgens specificaties van de consument vervaardigde zaken, die niet geprefabriceerd zijn en die worden vervaardigd op basis van een individuele keuze of beslissing van de consument, of die duidelijk voor een specifieke persoon bestemd zijn;

Het standaardvoorbeeld is het t-shirt dat wordt bedrukt met een door de consument aangeleverde foto. Die ‘zaak’ bestond nog niet en wordt vervaardigd op basis van een individuele keuze: deze ene foto en geen andere. Dit is wat bedrijven bedoelen met ‘maatwerk’ als ze zeggen dat maatwerk niet mag worden geannuleerd.

Je kunt inderdaad verdedigen dat een domeinnaam “volgens specificatie van de consument” is vervaardigd. Je typt inderdaad zelf de domeinnaam in die je wilt hebben. Alleen: een domeinnaam is geen ‘zaak’, geen fysiek object zoals de wet dat definieert. Daarom kan deze uitzondering niet worden ingeroepen bij domeinnamen.

Als iets geen zaak is, dan is de transactie er omheen een dienst. Daar is ook een annuleringsregeling voor, zij het dat die ingaat binnen 14 dagen na het sluiten van de overeenkomst (en niet na de dag van levering van de zaken). Deze regeling kent ook weer een uitzondering (art. 6:230p sub d BW):

een overeenkomst tot het verrichten van diensten, na nakoming van de overeenkomst, indien:
1°. de nakoming is begonnen met uitdrukkelijke voorafgaande instemming van de consument; en
2°. de consument heeft verklaard afstand te doen van zijn recht van ontbinding zodra de handelaar de overeenkomst is nagekomen;

De aanschaf van een domeinnaam mag dus wél worden geannuleerd, tenzij aan deze twee eisen (allebei dus) is voldaan.

De eerste eis is dat er met uitdrukkelijke voorafgaande instemming van de consument is begonnen met nakoming. In deze context betekent dat: er is expliciet gezegd “graag deze domeinnaam aanvragen en wel nu”. Dat komt uit het bestelproces van het bedrijf wel naar voren.

De tweede eis zegt dat als de levering afgerond is binnen die 14 dagen, de consument niet meer alsnog mag ontbinden. Direct vragen om levering, geleverd krijgen en dán nog zeggen “oh nee laat maar, graag geld terug” was net even te oneerlijk.

Maar bij wijze van balans is wel weer vereist dat de consument apart verklaart afstand te doen van dat annuleringsrecht. En dat is waar het hier misging: nergens in het bestelproces moest de consument een vinkje zetten (of iets dergelijks, bij wijze van verklaring) bij een tekst als “Ik geef opdracht tot directe aanvraag van de domeinnaam en doe afstand van mijn recht deze aanvraag te annuleren onder de Wet koop op afstand”. Daarom mocht de consument deze aanschaf kosteloos annuleren.

Slecht nieuws dus voor het bedrijf , ze krijgen die 29 euro (aanschafprijs plus diverse kosten) waar de zaak over ging, niet terug. Ook voor andere domeinhandelaren is dit iets om zenuwachtig over te worden: ook zij kunnen dus geen beroep doen op de maatwerkuitzondering. Maar er is een sprankje hoop, want wie nu bovenstaande tekst met aanvinkvakje toevoegt in zijn bestelproces, kan een latere annulering eenvoudig pareren.

Natuurlijk geldt dit recht alleen voor consumenten; bedrijven (dus ook eenmanszaken) hebben géén rechten onder de Wet koop op afstand, en dus ook niet op het recht de aanschaf van een domeinnaam te annuleren. Tenzij ze zich kunnen beroepen op de zogeheten reflexwerking, waarbij ze kunnen aantonen dat zij voor deze transactie eigenlijk niet te onderscheiden zijn van een consument. Die zie ik eerlijk gezegd niet voor een domeinnaam, dat lijkt me typisch iets dat je écht bedrijfsmatig aanschaft.

Arnoud

Afkomstig van de blog Internetrecht door Arnoud Engelfriet. Koop mijn boek!

]]>
https://blog.iusmentis.com/2017/03/20/nee-domeinnaam-is-geen-maatwerk-wet-koop-op-afstand/feed/ 30
Nee, werknemers kunnen geen toestemming geven voor privacyzaken https://blog.iusmentis.com/2017/03/17/nee-werknemers-kunnen-geen-toestemming-geven-privacyzaken/ https://blog.iusmentis.com/2017/03/17/nee-werknemers-kunnen-geen-toestemming-geven-privacyzaken/#comments Fri, 17 Mar 2017 07:13:57 +0000 https://blog.iusmentis.com/?p=9313 Door ICT-jurist Arnoud Engelfriet.

Energiebedrijf Uniper (tot 1 januari 2016 E.ON) heeft na onderzoek van de Autoriteit Persoonsgegevens (AP) zijn alcohol- en drugscontrolebeleid voor medewerkers ingetrokken, las ik een tikje vertraagd bij de toezichthouder. Dit beleid kwam erop neer dat het bedrijf alcohol- en drugstesten wilde inzetten om onveilige situaties te voorkomen, maar dat mag niet van de AP:... Lees verder

Afkomstig van de blog Internetrecht door Arnoud Engelfriet. Koop mijn boek!

]]>
Energiebedrijf Uniper (tot 1 januari 2016 E.ON) heeft na onderzoek van de Autoriteit Persoonsgegevens (AP) zijn alcohol- en drugscontrolebeleid voor medewerkers ingetrokken, las ik een tikje vertraagd bij de toezichthouder. Dit beleid kwam erop neer dat het bedrijf alcohol- en drugstesten wilde inzetten om onveilige situaties te voorkomen, maar dat mag niet van de AP: dergelijke informatie wordt aangemerkt als bijzonder persoonsgegeven en dat mag als werkgever alleen worden verwerkt met aparte toestemming. En die kunnen werknemers niet geven.

Eind 2015 ontving de Autoriteit Persoonsgegevens signalen van werknemers van het bedrijf dat men akkoord moest gaan met beleid over random blaastests en drugscontroles (wangslijmtest, drugshonden, controleren van auto’s en werkplekken). Als een werknemer niet zou tekenen, zouden volgens die signalen sancties volgen, zoals plaatsing op een andere positie. Echt vrijwillig is dat dus niet te noemen. (Je zou ze de kost moeten geven, alle bedrijven waar je als werknemer moet tekenen voor allerlei beleid of gebruik van je persoonsgegevens waarna wordt geclaimd dat er ‘toestemming’ is.)

Dit leidde tot onderzoek, met als conclusie dat het bedrijf die gegevens echt niet zomaar mag verzamelen. Gegevens over alcohol- of drugsgebruik tellen als bijzonder persoonsgegeven – het zijn immers gegevens over gezondheid, als je het zuiver bekijkt. En als bedrijf mag je niet beschikken over dergelijke gegevens van je personeel. Ziekteverzuim en -dossiers mogen bijvoorbeeld alleen door een bedrijfsarts worden bijgehouden; de werkgever mag niet meer weten dan “Wim is ziek en waarschijnlijk maandag weer beter”. Zelfs Wim vragen “Goh wat had je eigenlijk vrijdag” is heel formeel verboden (oké oké alleen als je dat vervolgens in een bestand opslaat, of als je het hem appt).

Er zijn natuurlijk uitzonderingen. De hier meest relevante was die van uitdrukkelijke toestemming: wie in vrijheid zegt, het is prima dat je weet wat ik heb, heft daarmee het verbod op verwerking van dat persoonsgegeven op. Daar beriep Uniper zich op, maar dat sneuvelde al snel:

Uit [de wetsgeschiedenis] blijkt dus dat de toestemming niet onder druk mag worden gevraagd en gegeven. De testen worden uitgevoerd in opdracht van de werkgever. In het ‘Beleid alcohol-, medicijn- en drugsgebruik’ van 29 oktober 2015 staat dat een werknemer die geen verklaring tekent waarmee hij aangeeft in te stemmen met de testen in ieder geval een gesprek met de leidinggevende krijgt en bovendien het risico loopt op een andere positie te worden geplaatst. Een werknemer die bij de feitelijke test niet meewerkt wordt gesanctioneerd alsof er sprake is van een positieve uitslag. De werknemer wordt derhalve onder druk gezet om toestemming te verlenen. Er kan in dit geval dan ook niet gesproken worden van een ‘vrije toestemming’.

(Uniper beriep zich ook op gronden als een vitaal belang, dronken of onder de drugs gevaarlijke apparatuur bedienen is immers levensgevaarlijk. Daarvan werd echter gesteld dat de maatregel niet proportioneel was, en die laat ik verder even buiten beschouwing.)

Die uitspraak gaat natuurlijk over een specifieke context (geef toestemming of we behandelen je als drugsverslaafde en je kunt je promotie wel vergeten, even gechargeerd) maar de achterliggende gedachte is verstrekkend: een werknemer kan dus in beginsel geen toestemming geven voor privacykwesties aan zijn werkgever. Niet voor bijzondere gegevens, maar ook niet voor normale. Want ook in normale situaties is altijd enige ‘druk’ aanwezig, al is het maar de algemene druk dat je werkgever het onthoudt en mee laat wegen bij de keuze wie straks die promotie moet krijgen.

Een werkgever zal dus eigenlijk altijd een andere grondslag moeten hebben, zoals dat het nodig is voor het werk om die gegevens te hebben (wat alleen niet kan bij bijzondere persoonsgegevens) of dat hij een eigen zwaarwegend belang heeft (wat bij bijzondere persoonsgegevens overigens een ontheffing vereist). De naam en contactgegevens van personeel op je site zetten zou onder het eerste vallen; cameratoezicht met de juiste waarborgen onder het tweede.

Arnoud

Afkomstig van de blog Internetrecht door Arnoud Engelfriet. Koop mijn boek!

]]>
https://blog.iusmentis.com/2017/03/17/nee-werknemers-kunnen-geen-toestemming-geven-privacyzaken/feed/ 24
Mag de politie computerreparateurs betalen om te dataspitten? https://blog.iusmentis.com/2017/03/16/mag-politie-computerreparateurs-betalen-om-dataspitten/ https://blog.iusmentis.com/2017/03/16/mag-politie-computerreparateurs-betalen-om-dataspitten/#comments Thu, 16 Mar 2017 07:13:38 +0000 https://blog.iusmentis.com/?p=9308 Door ICT-jurist Arnoud Engelfriet.

De Amerikaanse FBI zou sinds 2007 medewerkers van de Geek Squad, een computerreparatiedienst van elektronicaketen Best Buy, betaald hebben om als informanten te dienen. Dat meldde Tweakers onlangs. De reparateurs spitten door binnengebrachte computers heen op zoek naar bijvoorbeeld kinderporno. De truc daarachter zou zijn dat de reparateurs dat kunnen zonder gerechtelijk bevel of zelfs... Lees verder

Afkomstig van de blog Internetrecht door Arnoud Engelfriet. Koop mijn boek!

]]>
De Amerikaanse FBI zou sinds 2007 medewerkers van de Geek Squad, een computerreparatiedienst van elektronicaketen Best Buy, betaald hebben om als informanten te dienen. Dat meldde Tweakers onlangs. De reparateurs spitten door binnengebrachte computers heen op zoek naar bijvoorbeeld kinderporno. De truc daarachter zou zijn dat de reparateurs dat kunnen zonder gerechtelijk bevel of zelfs maar verdenking, en dat die dan daarna een aangifte doen dat wél grond is voor een verdenking en juridische actie. Hoe zou dat in Nederland uitpakken?

Ook bij ons geldt natuurlijk dat de politie niet zomaar in computers mag snuffelen. Een officier van justitie zou bevel geven tot doorzoeking, en meestal is daarvoor toestemming van de rechter-commissaris nodig. Dat vereist al een stevige verdenking van een misdrijf, op de bonnefooi eens gaan zoeken is niet toegestaan.

Privépersonen zijn niet aan die regels gebonden. Als een reparateur dus bij herstelwerk iets strafbaars aantreft, dan is hij bevoegd daar aangifte van te doen. Hij heeft geen toestemming nodig van een overheidsinstantie om te zoeken naar strafbare informatie of om aangifte te mogen doen.

Het maakt zelfs niet uit of de reparateur toestemming van de eigenaar had om op die plek te gaan zoeken. Snuffelen zonder grondslag kan een probleem zijn – contractbreuk, misschien zelfs computervredebreuk – maar dat maakt het aldus verkregen bewijsmateriaal niet onbruikbaar voor Justitie. In theorie zou de reparateur dan vervolgd worden voor die computervredebreuk, parallel aan de rechtszaak tegen de eigenaar voor hetgeen dat er gevonden is middels die computervredebreuk.

Het punt is hier alleen wel: dit is niet zomaar wat tegenkomen, of zelfs maar snuffelen uit nieuwsgierigheid en wat tegenkomen. Dit is werken in opdracht van de politie. En dán val je ook als burger onder die regels voor de politie. Bewijs dat uit zo’n betaalde snuffelopdracht komt, is dus onbruikbaar bij ons.

De elektronicaketen ontkent overigens dat ze zo’n regeling getroffen hebben. Ik kan me ook moeilijk voorstellen dat de FBI dat wél zou aanbieden, al is het maar omdat de kans dat je wat strafbaars vindt, toch vrij klein is. Nog los van de discussie over rechtmatig verkregen bewijs.

Arnoud

Afkomstig van de blog Internetrecht door Arnoud Engelfriet. Koop mijn boek!

]]>
https://blog.iusmentis.com/2017/03/16/mag-politie-computerreparateurs-betalen-om-dataspitten/feed/ 34
Geldt de meldplicht datalekken ook voor defaced websites? https://blog.iusmentis.com/2017/03/15/geldt-meldplicht-datalekken-ook-defaced-websites/ https://blog.iusmentis.com/2017/03/15/geldt-meldplicht-datalekken-ook-defaced-websites/#comments Wed, 15 Mar 2017 07:24:13 +0000 https://blog.iusmentis.com/?p=9315 Door ICT-jurist Arnoud Engelfriet.

Tweakersgebruikers melden maandag defacement van verschillende websites, waarbij de site zelf is vervangen door een boodschap die afkomstig lijkt te zijn van een Turkse groepering. Dat las ik op Tweakers gisteren. Of er een link is met de gebeurtenissen rond de Turkse minister van Familiezaken Kaya, is onduidelijk. Maar diverse lezers vroegen me wel: moet... Lees verder

Afkomstig van de blog Internetrecht door Arnoud Engelfriet. Koop mijn boek!

]]>
Tweakersgebruikers melden maandag defacement van verschillende websites, waarbij de site zelf is vervangen door een boodschap die afkomstig lijkt te zijn van een Turkse groepering. Dat las ik op Tweakers gisteren. Of er een link is met de gebeurtenissen rond de Turkse minister van Familiezaken Kaya, is onduidelijk. Maar diverse lezers vroegen me wel: moet je dit nu melden aan de klant, valt dit onder de meldplicht datalekken?

De meldplicht datalekken geldt voor alle datalekken waarbij persoonsgegevens zijn betrokken. Een datalek is een inbreuk op de beveiliging van persoonsgegevens waardoor deze kunnen worden misbruikt, of gebruikt op een manier die niet toegestaan is. Doet zo’n datalek zich voor, dan moet dat in principe worden gemeld bij de toezichthouder (tenzij de impact minimaal is) en vaak ook bij de betrokkenen (tenzij de data encrypted was of de impact wederom minimaal is). Dit geldt nu onder de Wbp, en vanaf volgend jaar ook onder de Privacyverordening.

Voor andere data of andere soorten misbruik van persoonsgegevens geldt de meldplicht niet. Mijn standaardvoorbeeld is de hack bij een accountant waarbij de nog geheime jaarcijfers van een bv of nv worden gestolen: heel vervelend maar géén datalek in de zin van de wet en dus ook niet meldingsplichtig.

Bij een defacement worden pagina’s vervangen door andere teksten en/of afbeeldingen, in dit geval dan met een politieke strekking. Ik vraag me af of daarbij persoonsgegevens worden geraakt. Het kan natuurlijk altijd, maar het ligt voor mij niet voor de hand dat iemand die inbreekt om een tekst/afbeelding ergens neer te kwakken, ook persoonsgegevens van gebruikers kopieert of zelfs maar die langs ziet komen. Dus ik zou dit niet direct als datalek aanmerken.

Het is natuurlijk wel zo netjes om dit als bedrijf te melden aan je klant. Ik zou zelf vinden dat je dit verplicht bent vanuit je zorgplicht als goed opdrachtnemer. En vaak staat het ook in de algemene voorwaarden: bij gebleken misbruik of inbraken zal de hoster de klant informeren over genomen maatregelen, daaruit volgt dan ook een plicht tot melden dat een defacement heeft plaatsgevonden. Maar een datalek is het niet.

Arnoud

Afkomstig van de blog Internetrecht door Arnoud Engelfriet. Koop mijn boek!

]]>
https://blog.iusmentis.com/2017/03/15/geldt-meldplicht-datalekken-ook-defaced-websites/feed/ 7
Mag Blizzard spelers verbannen omdat ze betaald elkaar helpen? https://blog.iusmentis.com/2017/03/14/mag-blizzard-spelers-verbannen-betaald-elkaar-helpen/ https://blog.iusmentis.com/2017/03/14/mag-blizzard-spelers-verbannen-betaald-elkaar-helpen/#comments Tue, 14 Mar 2017 07:14:57 +0000 https://blog.iusmentis.com/?p=9306 Door ICT-jurist Arnoud Engelfriet.

Blizzard heeft spelers uit World of Warcraft verbannen, omdat ze in ruil voor geld andere spelers hielpen. Dat las ik bij Nu.nl. Veel van de verbannen spelers waren onderdeel van hooggeplaatste gildes binnen het spel. Ze hielpen andere spelers met het afronden van moeilijke opdrachten om zo beter te worden, en lieten zich buiten het... Lees verder

Afkomstig van de blog Internetrecht door Arnoud Engelfriet. Koop mijn boek!

]]>
Blizzard heeft spelers uit World of Warcraft verbannen, omdat ze in ruil voor geld andere spelers hielpen. Dat las ik bij Nu.nl. Veel van de verbannen spelers waren onderdeel van hooggeplaatste gildes binnen het spel. Ze hielpen andere spelers met het afronden van moeilijke opdrachten om zo beter te worden, en lieten zich buiten het spel om betalen met echt geld. Dat is tegen de spelregels, aldus Blizzard. Maar is dat juridisch echt zo makkelijk?

In principe natuurlijk wel. Een spelorganisatie mag spelregels stellen, want het is uiteindelijk hun spel. Die spelregels zijn er om het spel aantrekkelijk te maken, om valsspelen te kunnen bestraffen en een level playing field te creëren voor iedereen die mee wil doen.

Je hebt veel ruimte daarin als organisatie. Dat je zegt, geen dubbele accounts om met twee personages tegelijk te spelen: prima. Of: wie level X heeft, mag niet op terrein Y komen, ook prima. Of: campen of schelden leidt tot een weekje een ban. Dat soort dingen maakt het oneerlijk of verpest de sfeer.

Hier gaat het alleen niet echt om regels over hoe het spel moet worden gespeeld. Deze regel is puur bedoeld om te voorkomen dat mensen geld verdienen (echt geld dan, niet het door Blizzard zelf gecreëerde virtuele goud) door op een handige manier te spelen. En dat doet wat raar aan.

Natuurlijk, uit het verleden blijkt dat men vaker optreedt tegen real-money-transactions, zoals dat heet. Zo is het al jarenlang een probleem om je account voor geld te verkopen, of om dure spullen voor echt geld door te verhandelen. Dat is een hele economie ondertussen, maar het is tegen de spelregels en Blizzard treedt daar ook wel tegen op. Dat kan ik ergens nog begrijpen: je moet die spullen of dat account zien te veroveren in dat spel, en die hobbel vermijd je nu. Dat stuit tegen mijn eerlijkheidsgevoel.

Maar wat is hier het probleem? Spelers die elkaar helpen, dat is niet verboden. Dan zou je ook geen tutorial of handboek “Hoe win ik in WoW” meer mogen uitbrengen, toch? Bovendien stelt men expliciet dat het wél toegestaan is om anderen te helpen in ruil voor het in-game goud.

Dus het bezwaar is niet dat je elkaar helpt, het zit hem dus in het rijk worden buiten Blizzard om. Dat vind ik wat lastiger te verdedigen. Welke legitieme reden is er daar tegen? Natuurlijk, men wil vast zelf geld verdienen (bv. door een officiële wisselkoers van goud naar echt geld) aan dit soort praktijken, maar dat kan ik moeilijk legitiem noemen. Dus ik twijfel of men daarmee weg zou komen als het tot een rechtszaak zou komen.

Arnoud

Afkomstig van de blog Internetrecht door Arnoud Engelfriet. Koop mijn boek!

]]>
https://blog.iusmentis.com/2017/03/14/mag-blizzard-spelers-verbannen-betaald-elkaar-helpen/feed/ 15
Zijn scrabbleclaims in het auteursrecht legaal verklaard door het Hof van Justitie? https://blog.iusmentis.com/2017/03/13/scrabbleclaims-auteursrecht-legaal-verklaard-hof-justitie/ https://blog.iusmentis.com/2017/03/13/scrabbleclaims-auteursrecht-legaal-verklaard-hof-justitie/#comments Mon, 13 Mar 2017 07:15:15 +0000 https://blog.iusmentis.com/?p=9271 Door ICT-jurist Arnoud Engelfriet.

Een lezer vroeg me: Ik las over een uitspraak van het Europese Hofdie zegt dat een schadeverdubbelaar bij auteursrechtinbreuk kan en mag als de nationale wetgeving dat toelaat. Betekent dit dat die praktijk van 200% of 300% opslag bij schadeclaims nu legaal is verklaard? De vaste lezer van deze blog weet dat ik altijd héél... Lees verder

Afkomstig van de blog Internetrecht door Arnoud Engelfriet. Koop mijn boek!

]]>
Een lezer vroeg me:

Ik las over een uitspraak van het Europese Hofdie zegt dat een schadeverdubbelaar bij auteursrechtinbreuk kan en mag als de nationale wetgeving dat toelaat. Betekent dit dat die praktijk van 200% of 300% opslag bij schadeclaims nu legaal is verklaard?

De vaste lezer van deze blog weet dat ik altijd héél diep moet zuchten bij wat ik scrabbleclaims noem: bij inbreuk op auteursrechten niet alleen je gemiste licentievergoeding eisen, maar 2x of 3x dat bedrag. Redenen variëren dan van “dat staat in mijn algemene voorwaarden” tot “anders is inbreuk te voordelig” of “dit blijkt uit de rechtspraak”. Dat laatste is niet waar, overigens.

In Nederland is de regel simpel: je krijgt bij een inbreuk op je rechten je schade vergoed, niet meer en niet minder. Als je denkt dat je meer schade hebt dan je gemiste licentievergoeding, prima: bewijs het maar. Daar komen schadeposten als gederfde exclusiviteit of ontbrekende naamsvermelding vandaan, en hoewel ik daar een 100% verhoging op de gewone vergoeding nogal stevig vind, is dat in principe legaal.

Dat kun je natuurlijk als wetgever anders regelen, en dat is in Polen ook gebeurd zo lees ik in dat arrest. In Polen mag je wettelijk als rechthebbende 200% of 300% van de normale vergoeding vragen als de inbreuk ‘verwijtbaar’ is. Het Hof van Justitie kreeg de vraag voorgelegd of die wet wel mag onder het Europese auteursrecht, dat immers alleen stelt dat je recht hebt op vergoeding van schade (en winstafdracht). Het antwoord: ja hoor, als je als land hierin verder wil gaan dan Europa, dan is dat prima. Zet het even in de wet en klaar ben je.

De achterliggende rechtvaardiging is dat deze verhoging dan tevens de kosten voor opsporing en bestrijding van inbreuk met zich meebrengt. Bij ons is dat ooit meegenomen door het Gerechtshof Arnhem, en die vonden 25% in plaats van 100% een prima verhoging voor dat doel. Dat arrest is bij ons de leidende rechtspraak, maar de wetgever mag natuurlijk tegen de rechtspraak ingaan als ze vinden dat het anders zal moeten. Ik zie het alleen niet snel gebeuren.

Arnoud

Afkomstig van de blog Internetrecht door Arnoud Engelfriet. Koop mijn boek!

]]>
https://blog.iusmentis.com/2017/03/13/scrabbleclaims-auteursrecht-legaal-verklaard-hof-justitie/feed/ 18
Mag je geen open source meer op Github zetten? https://blog.iusmentis.com/2017/03/10/mag-geen-open-source-meer-op-github-zetten/ https://blog.iusmentis.com/2017/03/10/mag-geen-open-source-meer-op-github-zetten/#comments Fri, 10 Mar 2017 07:12:30 +0000 https://blog.iusmentis.com/?p=9296 Door ICT-jurist Arnoud Engelfriet.

Paniek in de tent: softwarehostingsite Github heeft nieuwe voorwaarden, en die botsen met veel open licenties. Dat las ik op diverse plekken. Je moet ze een brede licentie geven en afstand doen van je persoonlijkheidsrechten, en dat kan nu eenmaal niet als je open source daar neerzet. Maar volgens mij valt dat wel mee. De... Lees verder

Afkomstig van de blog Internetrecht door Arnoud Engelfriet. Koop mijn boek!

]]>
Paniek in de tent: softwarehostingsite Github heeft nieuwe voorwaarden, en die botsen met veel open licenties. Dat las ik op diverse plekken. Je moet ze een brede licentie geven en afstand doen van je persoonlijkheidsrechten, en dat kan nu eenmaal niet als je open source daar neerzet. Maar volgens mij valt dat wel mee.

De pijn zou zitten in sectie D, over eigendomsrechten. Allereerst de licentie die je moet verlenen:

If you set your pages and repositories to be viewed publicly, you grant each User of GitHub a nonexclusive, worldwide license to access your Content through the GitHub Service, and to use, display and perform your Content, and to reproduce your Content solely on GitHub as permitted through GitHub’s functionality. You may grant further rights if you adopt a license.

In gewone taal: wij als Github mogen jouw content (inclusief eventuele werken van derden daarin) gebruiken en verspreiden op onze dienst, en alle gebruikers mogen dat ook. Dit is typisch juridisch moeilijk doen: oh jee, straks zegt iemand dat wij een kopie maken van zijn software omdat hij die bij ons host, laten we maar even zeggen dat hij ons een licentie moet geven.

Maar belangrijker, ik zie er geen tegenspraak in met de opensourcelicentie die je op je werk plakt. Mensen moeten met de Github functionaliteit kunnen doen wat die functionaliteit doet. En met open source mag je alles: kopiëren, aan derden geven, importeren in je eigen project en ga zo maar door. Het is de distributie naar anderen toe waarop de voorwaarden geschreven zijn, en die anderen moeten dus gewoon zorgen dat ze de voorwaarden nakomen.

Dan de morele rechten: daar moet je inderdaad afstand van doen, iets dat van de Auteurswet mag (behalve het recht van verminking, maar hoe dat moet uitpakken bij software weet werkelijk niemand). Dat botst dan met licenties die naamsvermelding eisen, en dat is 99% van de opensourcelicenties. Maar ik zie ook dat niet als een probleem:

To the extent such an agreement is not enforceable by applicable law, you grant GitHub a nonexclusive, revocable, worldwide, royalty-free right to (1) use the Content without attribution strictly as necessary to render the Website and provide the Service; and (2) make reasonable adaptations of the Content as provided in this Section. We need these rights to allow basic functions like search to work.

Github wil met name voorkomen dat elke zoekopdracht moet zeggen “met code van Jan, Piet en Klaas”. Iets dat iedere rechter volkomen redelijk zal vinden. Zeker omdat je meteen wordt doorverwezen naar de resultaten, waar de naam van de programmeurs wel gewoon bij staat. Ik vraag me zelfs af of Github uberhaupt een licentie nodig heeft om zoekresultaten te mogen tonen, dat zie ik gewoon als citaatrecht.

Alles bij elkaar lijkt dit me dus een storm in een glas water, hoewel ik wel toegeef dat dit iets handiger had kunnen worden opgeschreven.

Arnoud

Afkomstig van de blog Internetrecht door Arnoud Engelfriet. Koop mijn boek!

]]>
https://blog.iusmentis.com/2017/03/10/mag-geen-open-source-meer-op-github-zetten/feed/ 10
Nee, de Rijdende Rechter heeft het écht fout met dat auteursrechtvonnis https://blog.iusmentis.com/2017/03/09/nee-rijdende-rechter-echt-fout-auteursrechtvonnis/ https://blog.iusmentis.com/2017/03/09/nee-rijdende-rechter-echt-fout-auteursrechtvonnis/#comments Thu, 09 Mar 2017 07:17:34 +0000 https://blog.iusmentis.com/?p=9300 Door ICT-jurist Arnoud Engelfriet.

Eergisteren bij de Rijdende Rechter: een auteursrechtenkwestie, “Wat een bevalling“. Een doula plaatst op haar site een foto van een beschuit met muisjes, gevonden op een gratisfotosite. Enige tijd later krijgt ze een sommatie van het Belgische Permission Machine (“the Graphic Detective”), gevolgd door een sommatie van 820 euro wegens auteursrechtinbreuk. Wat zal het oordeel... Lees verder

Afkomstig van de blog Internetrecht door Arnoud Engelfriet. Koop mijn boek!

]]>
Eergisteren bij de Rijdende Rechter: een auteursrechtenkwestie, “Wat een bevalling“. Een doula plaatst op haar site een foto van een beschuit met muisjes, gevonden op een gratisfotosite. Enige tijd later krijgt ze een sommatie van het Belgische Permission Machine (“the Graphic Detective”), gevolgd door een sommatie van 820 euro wegens auteursrechtinbreuk. Wat zal het oordeel zijn van Mr. Reid?

De zaak zelf is een standaardverhaal. Een kleine ondernemer zoekt een plaatje bij haar site, vindt die op een kennelijk gratis site en/of denkt niet na over auteursrechten, en krijgt na enige tijd een forse factuur van een fotograaf of een foto-incassobureau met een rare naam. In dit geval de Permission Machine uit Brussel.

Wie een auteursrecht schendt, moet de schade vergoeden. Dat is voor iedere jurist een axioma, en dat de maatschappij ondertussen heel anders denkt over auteursrecht of plaatjes op internet, dat doet er niet toe. Het is dan ook niet gek dat Rijdende Rechter Mr. Reid, John Reid, concludeert dat er gewoon sprake is van inbreuk op dat auteursrecht.

Vervolgens het altijd heikele punt: de schadevergoeding. Menig rechthebbende grijpt zo’n geval aan om eens lekker uit te pakken: eindelijk eens zo’n kwajongen te pakken die in mijn tuin voetbalt, daar zullen we eens een voorbeeld van maken. Daarom komen foto’s van €45 routinematig boven de 500 euro schadeclaim. Ik snap die ergernis maar blijf erbij dat het juridisch niet klopt.

Een voorbeeld stellen, dat doen we niet in het Nederlands schadevergoedingsrecht. Behalve dan in het auteursrecht, want dat kent zijn eigen regels lijkt het wel. Ook Mr. Reid gaat hierin mee. De hoofdregel van de Hoge Raad is dat de schade bij inbreuk op een IE-recht gelijk is aan de normaal te betalen vergoeding. Immers, dat is wat je had gehad als er wél een licentie was gekocht, en het verschil tussen hoe het is en hoe het had moeten zijn bepaalt wat de schade is.

Maar dan komt ‘ie:

Als slechts de misgelopen licentievergoeding als schade zou worden toegewezen, zou schending van het auteursrecht voor de dader een “niet-geschoten-is-altijd-mis” kwestie worden.

Daar zit natuurlijk wat in. Je kunt een foto overnemen zonder te vragen, en als de rechthebbende zich meldt dan zeg je sorry en betaal je zijn normale vergoeding. En stel dat slechts 10% van de rechthebbenden zich meldt, dan heb je dus flinke winst als inbreukmaker. Dat stuit rechters natuurlijk tegen de borst.

Het punt is alleen: dit noemen juristen ‘generale preventie’, oftewel afschrikken door een stevige boete op te leggen. Maar dat is een principe uit het strafrecht. Boetes zijn eenvoudigweg geen schade en het schadevergoedingsrecht is niet bedoeld om mensen af te schrikken. Het is bedoeld om schade te vergoeden, de situatie te brengen naar waar hij had moeten zijn.

De ergernis over dit punt bracht me twee keer ertoe om onderzoek te doen. En daaruit blijkt dat het tégen de jurisprudentie is om zo’n 200% verhoging op te leggen met als motivatie dat je mensen moet afschrikken. Wat wel mag, is een extra vergoeding voor overlast, voor gemaakte kosten of voor ontbrekende naamsvermelding. Erg jammer dat dát niet meegenomen is in het bindend advies.

Arnoud

Afkomstig van de blog Internetrecht door Arnoud Engelfriet. Koop mijn boek!

]]>
https://blog.iusmentis.com/2017/03/09/nee-rijdende-rechter-echt-fout-auteursrechtvonnis/feed/ 86