Ius Mentis https://blog.iusmentis.com Internetrecht door Arnoud Engelfriet Tue, 23 May 2017 06:10:57 +0000 nl hourly 1 https://wordpress.org/?v=4.7.5 Duizenden virtuele konijnen gaan dit weekend dood vanwege de diensteconomie https://blog.iusmentis.com/2017/05/23/duizenden-virtuele-konijnen-gaan-weekend-dood-vanwege-diensteconomie/ https://blog.iusmentis.com/2017/05/23/duizenden-virtuele-konijnen-gaan-weekend-dood-vanwege-diensteconomie/#comments Tue, 23 May 2017 06:10:57 +0000 https://blog.iusmentis.com/?p=9440 Door ICT-jurist Arnoud Engelfriet.

Dit weekend zullen duizenden virtuele konijnen in Second Life permanent in ‘winterslaap’ gaan, las ik bij Vice. Het gaat om een keiharde en onomkeerbare dood van de gerenderde beestjes – de leverancier achter de Ozimal ‘breedables’ trekt de stekker uit de server waarmee de konijnen periodiek hun virtuele voedsel aangereikt krijgen. En dat krijg je... Lees verder

Afkomstig van de blog Internetrecht door Arnoud Engelfriet. Koop mijn boek!

]]>
Dit weekend zullen duizenden virtuele konijnen in Second Life permanent in ‘winterslaap’ gaan, las ik bij Vice. Het gaat om een keiharde en onomkeerbare dood van de gerenderde beestjes – de leverancier achter de Ozimal ‘breedables’ trekt de stekker uit de server waarmee de konijnen periodiek hun virtuele voedsel aangereikt krijgen. En dat krijg je ervan als je van producten naar diensten gaat: als de dienstverlener dan wil stoppen (wat gewoon mag), dan ben je je dure product kwijt.

Second Life is allang geen hype meer, maar wel erg populair bij hen die er meerwaarde in zien. Eén interessant aspect is het fenomeen ‘breedables’. Hierbij koop je een diertje, maar je weet op voorhand niet precies welke eigenschappen het zal hebben. Je kunt het dus opvoeden en zien groeien, en natuurlijk moet je het goed verzorgen en regelmatig voeden. Een populaire leverancier daarvan was dat Ozimal, dat al heel vroeg erg aandoenlijke konijntjes wist te leveren.

Dat voeden gaat niet via Second Life zelf, daar was dus een server van dat Ozimal voor nodig. Dat was meteen ook een deel van het verdienmodel, want eten moet je kopen. Deed je dat niet, dan ging je beestje in winterslaap tot dat er weer eten kwam, en omdat die server nu uit de lucht gaat is die winterslaap nu definitief.

En ja, dat mag zomaar. De reden voor het uitzetten wordt niet genoemd (behalve in een inmiddels weggehaalde blog een cease & desist van iemand met niet nader genoemde reden), maar zelfs als er geen reden is dan mag het. Je kunt van een dienstverlener in het algemeen niet verlangen dat deze tot in lengte van dagen zijn dienstverlening voortzet, zelfs niet als je hem betaalt voor die diensten.

Juridisch gezien is er geen verschil met een telecomleverancier die abonnementen opzegt omdat ze commercieel niet meer haalbaar zijn, of met een schoonmaakbedrijf dat haar diensten staakt of een kapper die met pensioen gaat. Alle drie staan ze in hun recht, en de algemene voorwaarden kunnen daar hooguit in beperkte mate grenzen aan stellen. Maar omdat die vaak door de dienstverlener zelf worden geschreven, is de kans klein dat je daar wat uit kunt halen. Meer dan te veel vooruitbetaald geld terugeisen of de lopende periode mogen uitzitten zit er eigenlijk nooit in.

Of dit een probleem is, weet ik zo niet. Het lijkt me ook wel erg cru om van zo’n bedrijf te eisen dat ze levenslang een server aan laten staan. Hoe lang is levenslang dan immers, en wie gaat dat betalen? En als je zegt, zo lang klanten betalen moet het aan blijven, bij welk minimumaantal klanten mag men dan wél stoppen?

Onrechtvaardig voelt het wel, zeker in dit geval waar het om superschattige konijntjes gaat. Maar ook bij knuffelbare dienstverlening geldt: het mag gewoon. Slaap zacht dus, virtuele beestjes.

Arnoud

Afkomstig van de blog Internetrecht door Arnoud Engelfriet. Koop mijn boek!

]]>
https://blog.iusmentis.com/2017/05/23/duizenden-virtuele-konijnen-gaan-weekend-dood-vanwege-diensteconomie/feed/ 13
EU legt Facebook 110 miljoen euro boete op voor misleiding bij overname WhatsApp https://blog.iusmentis.com/2017/05/22/eu-legt-facebook-110-miljoen-euro-boete-op-misleiding-overname-whatsapp/ https://blog.iusmentis.com/2017/05/22/eu-legt-facebook-110-miljoen-euro-boete-op-misleiding-overname-whatsapp/#comments Mon, 22 May 2017 06:13:50 +0000 https://blog.iusmentis.com/?p=9438 Door ICT-jurist Arnoud Engelfriet.

De Europese Commissie heeft Facebook een boete van 110 miljoen euro opgelegd voor het geven van misleidende informatie bij de overname van WhatsApp. Dat las ik bij Tweakers. Bij deze overname had Facebook beloofd geen gegevens van hun sociale netwerk te combineren met de dienst van WhatsApp, maar dat gebeurde twee jaar later toch. Vanwege... Lees verder

Afkomstig van de blog Internetrecht door Arnoud Engelfriet. Koop mijn boek!

]]>
De Europese Commissie heeft Facebook een boete van 110 miljoen euro opgelegd voor het geven van misleidende informatie bij de overname van WhatsApp. Dat las ik bij Tweakers. Bij deze overname had Facebook beloofd geen gegevens van hun sociale netwerk te combineren met de dienst van WhatsApp, maar dat gebeurde twee jaar later toch. Vanwege de omvang van de deal was toestemming van de Europese Commissie nodig, en de boete is vanwege het bewust misleiden van de Commissie bij het verstrekken van de gevraagde informatie om de deal in te kunnen schatten. Maar doet 110 miljoen euro eigenlijk wel genoeg pijn?

Het persbericht van de EC legt uit dat de boete niet opgelegd wordt voor het combineren an sich. Dat is wellicht in strijd met privacywetgeving, maar daar moet een lokale privacy-autoriteit (zoals de Ierse Autoriteit Persoonsgegevens) over beslissen. Het gaat om het feit dat Facebook niet duidelijk heeft aangegeven dat ze dit zou gaan doen; sterker nog, ze hebben expliciet gezegd dat dit technisch helemaal niet kón. En twee jaar later kon het toch, iets dat Facebook gewoon wíst toen ze zei van niet. Dat is dus boetewaardig.

De boete van 110 miljoen euro is ongeveer de helft van wat de Commissie op mocht leggen onder de relevante regelgeving. Facebook had meegewerkt en openheid van zaken verschaft, en dat is een grond voor boeteverlaging. Maar wat dan moeilijk te verkroppen is, is dat het verder geen gevolgen lijkt te hebben. De koppeling wordt niet ineens verboden, en de deal wordt al helemaal niet teruggedraaid.

Today’s decision has no impact on the Commission’s October 2014 decision to authorise the transaction under the EU Merger Regulation. Indeed, the clearance decision was based on a number of elements going beyond automated user matching. The Commission at the time also carried out an ‘even if’ assessment that assumed user matching as a possibility. The Commission therefore considers that, albeit relevant, the incorrect or misleading information provided by Facebook did not have an impact on the outcome of the clearance decision.

Oftewel: de beslissing om de overname toe te staan, was niet afhankelijk van een belofte om de gegevens niet te koppelen. Zelfs als Facebook vooraf had gezegd wél te zullen gaan koppelen, dan nog zou het zijn goedgekeurd. Dan kun je achteraf niet meer zeggen als toezichthouder dat de misleidende informatie nu moet leiden tot ongedaanmaking van de deal. Begrijpelijk maar wel frustrerend.

De voornaamste reden om het zelfs dan toe te staan, was overigens dat er genoeg andere partijen zijn die targeted advertenties kunnen faciliteren en profielen opbouwen. Oftewel, uiteindelijk maakte die koppeling toch niets uit qua hoe hard je privacy wordt geschonden.

Arnoud

Afkomstig van de blog Internetrecht door Arnoud Engelfriet. Koop mijn boek!

]]>
https://blog.iusmentis.com/2017/05/22/eu-legt-facebook-110-miljoen-euro-boete-op-misleiding-overname-whatsapp/feed/ 6
Het nieuwste hot issue voor juristen: #legaltech https://blog.iusmentis.com/2017/05/19/nieuwste-hot-issue-juristen-legaltech/ https://blog.iusmentis.com/2017/05/19/nieuwste-hot-issue-juristen-legaltech/#comments Fri, 19 May 2017 06:09:15 +0000 https://blog.iusmentis.com/?p=9431 Door ICT-jurist Arnoud Engelfriet.

Legal tech, wat een prachtige term. Hip en technologie-georiënteerd, en gericht op een sector die de afgelopen tien jaar veel aanzien heeft gewonnen. Harvey Specter meets Mission Impossible. De term legal tech verwijst eigenlijk naar alle technologie, met name ICT-technologie, die het werk van de juridische dienstverlener raakt. De recente opkomst van big data en... Lees verder

Afkomstig van de blog Internetrecht door Arnoud Engelfriet. Koop mijn boek!

]]>
Legal tech, wat een prachtige term. Hip en technologie-georiënteerd, en gericht op een sector die de afgelopen tien jaar veel aanzien heeft gewonnen. Harvey Specter meets Mission Impossible. De term legal tech verwijst eigenlijk naar alle technologie, met name ICT-technologie, die het werk van de juridische dienstverlener raakt. De recente opkomst van big data en kunstmatige intelligentie hebben legal tech op de kaart gezet, maar de technologie is natuurlijk al ouder.

De eerste stap naar legal tech betrof het automatiseren van de randzaken rond het juridisch werk. Tijdschrijven, dossierbeheer en opmaken van documenten bijvoorbeeld. Dit leverde een forse efficiencyslag op, maar veranderde niet fundamenteel de manier van werken van de juridische professional zelf. Een mooi recent voorbeeld van dit laatste is het juridisch toetsenbord: allerlei voor juristen relevante typografische functies met één knop beschikbaar. Zo is het paragraaf-teken en het copyrightsymbool direct beschikbaar, en kan een document ook met één knop direct van enkele naar anderhalve of dubbele regelafstand worden gezet. Zelfs het invoegen van voetnoten is direct mogelijk.

Het praktisch nut zie ik, maar het voelt een tikje overdreven. Ook zonder juridisch toetsenbord is het heel goed mogelijk om dit soort dingen eenvoudiger te maken. Het vergt een kleine tijdsinvestering in Word, meer niet. En die investering is het zeker waard als je werk bestaat uit het produceren van teksten.

De tweede stap kwam al dichter in de buurt: het automatisch kunnen opzoeken van referenties en jurisprudentie. Online databases maakten het achterhalen van bronnen en het zoeken naar onderbouwingen een stuk eenvoudiger. Modelcontracten gaven inspiratie bij het schrijven van overeenkomsten. Nog steeds was het werk zelf ongeveer hetzelfde, maar wederom een forse efficiencyslag.

De derde stap in legal tech raakt het juridisch werk zelf. Het analyseren van zaken met big data bijvoorbeeld: welke strategieën zijn handig, wat weten we van deze rechter gezien eerdere uitspraken of wat hebben we bij andere klanten geleerd van deze wederpartij. Het doorspitten van dossiers op red flags of aantrekkelijke bestanden. Of het door een kunstmatige intelligentie laten analyseren van een brief van een wederpartij: zit hier iets bijzonders in, kunnen we het met standaardargumenten afdoen of hoeven we niet te reageren?

Deze derde stap maakt juristen natuurlijk nog steeds niet overbodig. Maar de focus in hun werk verschuift zo wel sterk. Dit is het verschil met de eerste stappen, die alleen efficiencyslagen gaven en geen fundamentele wijzigingen. Deze derde stap is wel fundamenteel: we gaan vertrouwen op big data analyses en kunstmatige intelligentie in plaats van alles zelf te controleren en na te vragen.

Legal tech kan dus toegevoegde waarde bieden als ze op een van die gebieden de jurist kan ondersteunen, bijvoorbeeld door efficiënter te werken, sneller informatie te laten binnenhalen of zaken te laten verifiëren. Een voorbeeld is een contractengenerator: per vakgebied zijn sjablonen beschikbaar, waar de jurist middels vragen een document op maat mee maakt dat hij als startpunt gebruikt voor het échte werk.

Welke problemen komt men zoal tegen? Tijd is de belangrijkste. Contracten moeten altijd snel, liever gisteren dan vandaag. Tijd besparen bij het opstellen van een contract is dus een aantrekkelijk selling point. Overzicht is een daarvan afgeleid probleem: weet je over drie jaar nog wat er ook weer exact in artikel 18.3 staat? Welke partijen waren dit ook weer, deden hun Belgische zustermaatschappijen ook mee en mocht het contract nu wel of niet worden verkocht? Metadata, denkt de ICT-er nu, en inderdaad liggen daar grote kansen.

Maar waarom nu pas? De ICT en haar innovaties kennen we al twintig jaar, waarom is het nu pas een hashtag waard dat juristen ook gaan automatiseren?

De juridische sector heeft een imago van weinig veranderingen. Ergens is dat logisch: het werk is fundamenteel niet anders dan zeg vierhonderd jaar geleden. Ook toen waren er conflicten die met juridische argumenten bevochten moesten worden, of afspraken die op papier gezet moesten worden. De onderwerpen waren natuurlijk anders en de rechtsregels ook, maar dat doet er uiteindelijk minder toe.

Tegelijk is het ook gek. De meeste juristen staan zeer open voor nieuwe ontwikkelingen, van de laatste gadgets tot grote maatschappelijke innovaties. En ook dat is logisch, dat is ook deel van je werk. Als je niet weet hoe faxen werken, dan kun je geen rechtsvragen over de rechtsgeldigheid van een faxbericht beantwoorden, om eens wat te noemen. Noviteiten horen bij het werk. Dus waarom bleef het juridisch werk dan zo lang hetzelfde?

Vele verklaringen zijn voorgesteld. Het declarabele-urensysteem met name zou innovatie hinderen: wie efficiënter werkt, kan minder uren declareren. En als je dan ook nog een systeem hebt waarbij de partners een percentage krijgen van elk uur van hun medewerkers, dan is er wel een heel sterke prikkel op veel uren draaien. Maar dat kan niet genoeg zijn: wie efficiënter werkt, draait weliswaar minder uren aan een klus, maar kan dan toch zeker de rest aan andere klanten besteden?

Voor mij zit het hem eerder in het simpele motto “Don’t change a winning team”. Kantoren die goed draaien, hebben het druk. In een drukke omgeving even een stevige verandering doorvoeren is niet wenselijk. Dat kost tijd en concentratie, en beiden heeft men al te weinig. Dus dat komt volgend jaar wel. En pas nu zijn we zo ver dat iedereen het écht te druk heeft, zodat we nu dan in vredesnaam maar over moeten naar die nieuwe systemen. Denk ik.

Arnoud

Afkomstig van de blog Internetrecht door Arnoud Engelfriet. Koop mijn boek!

]]>
https://blog.iusmentis.com/2017/05/19/nieuwste-hot-issue-juristen-legaltech/feed/ 5
Gaat nu echt alles verboden worden onder de AVG? https://blog.iusmentis.com/2017/05/18/gaat-nu-echt-alles-verboden-worden-avg/ https://blog.iusmentis.com/2017/05/18/gaat-nu-echt-alles-verboden-worden-avg/#comments Thu, 18 May 2017 06:18:38 +0000 https://blog.iusmentis.com/?p=9433 Door ICT-jurist Arnoud Engelfriet.

Een lezer vroeg me: Volgend jaar komt de Algemene Verordening Gegevensbescherming (AVG, ook wel GDPR) eraan. Ik lees ondertussen overal de meest verschrikkelijke verhalen over wat een draak van een wet dit gaat worden. Je mag niets meer zonder toestemming, je beveiliging moet gigantisch veel zwaarder, je moet elke scheet met persoonsgegevens registreren en vrijwel... Lees verder

Afkomstig van de blog Internetrecht door Arnoud Engelfriet. Koop mijn boek!

]]>
Een lezer vroeg me:

Volgend jaar komt de Algemene Verordening Gegevensbescherming (AVG, ook wel GDPR) eraan. Ik lees ondertussen overal de meest verschrikkelijke verhalen over wat een draak van een wet dit gaat worden. Je mag niets meer zonder toestemming, je beveiliging moet gigantisch veel zwaarder, je moet elke scheet met persoonsgegevens registreren en vrijwel geen enkel bedrijfsproces kan nog blijven bestaan. En de boetes zijn enorm. Dit kan toch niet goed gaan, deze wet?

Dat de AVG veel gaat veranderen in de praktijk staat als een paal boven water. Maar veel verhalen die je leest, zijn vooral bedoelt om urgentie (of onaardig gezegd paniek) op te roepen bij de lezer.

De fundamentele principes uit de AVG zijn hetzelfde als uit de Wbp die we nu al een kleine 17 jaar hebben. Er moet een grondslag zijn om met persoonsgegevens te gaan werken, je moet zorgen voor goede beveiliging en mensen moeten hun rechten kunnen halen. Er zit vooral veel, veel meer administratieve rompslomp aan vast. Zo moet je elke verwerking voortaan documenteren, inclusief een inschatting van de risico’s (en een privacy impact assessment als je die risico’s hoog inschat). Ook moeten mensen hun hele dossier kunnen opvragen, in plaats van alleen maar inzien.

Natuurlijk zijn er wel verschillen. Zo is het vragen om toestemming moeilijker geworden: dat moet kort gezegd apart van andere vragen en vrijwillig – “geef toestemming of rot op” mag alleen nog als dat vooraf en heel duidelijk gebeurt. De privacyverklaring moet in eenvoudiger taal (taalniveau B2, niet C1 of C2 dat we nu altijd zien). Gegevens zijn nu eerder persoongegeven dan voorheen. En zo kan ik nog wel even doorgaan.

Maar ik zie het vooral als accentuering van het belang van zorgvuldige omgang met persoonsgegevens, iets dat we in het verleden nooit echt hadden omdat er geen boetes op overtreding stonden. Plus: in de VS bestond die zorg om persoonsgegevens nooit, dus de ICT-cultuur heeft nooit zo leren omgaan met persoonsgegevens als ze dat wel heeft met zeg aansprakelijkheid of sluiten van contracten. Het is die cultuuromslag waar nu al deze pas-op-de-wereld-vergaat berichten door komen.

Arnoud

Afkomstig van de blog Internetrecht door Arnoud Engelfriet. Koop mijn boek!

]]>
https://blog.iusmentis.com/2017/05/18/gaat-nu-echt-alles-verboden-worden-avg/feed/ 10
Wat kun je nog als alle leveranciers naar dezelfde voorwaarden gaan? https://blog.iusmentis.com/2017/05/17/kun-nog-als-leveranciers-naar-voorwaarden-gaan/ https://blog.iusmentis.com/2017/05/17/kun-nog-als-leveranciers-naar-voorwaarden-gaan/#comments Wed, 17 May 2017 06:19:24 +0000 https://blog.iusmentis.com/?p=9428 Door ICT-jurist Arnoud Engelfriet.

Een lezer vroeg me: Onlangs meldde mijn energieleverancier me dat ze nieuwe leveringsvoorwaarden hebben per 1 april, en dat ik nu het recht heb om op te zeggen. Alleen: er staat bij dat alle leveranciers diezelfde voorwaarden gaan hanteren, dus naar wie kan ik dan toe? Dit is toch een beetje raar zo? Het doet... Lees verder

Afkomstig van de blog Internetrecht door Arnoud Engelfriet. Koop mijn boek!

]]>
Een lezer vroeg me:

Onlangs meldde mijn energieleverancier me dat ze nieuwe leveringsvoorwaarden hebben per 1 april, en dat ik nu het recht heb om op te zeggen. Alleen: er staat bij dat alle leveranciers diezelfde voorwaarden gaan hanteren, dus naar wie kan ik dan toe? Dit is toch een beetje raar zo?

Het doet inderdaad wat gek aan, die brief:

Juridisch klopt het volgens mij wel. Dienstleveranciers mogen van tijd tot tijd de voorwaarden aanpassen (mits dat in de oude voorwaarden staat), maar ze moeten daarbij wel de consument het recht geven de overeenkomst binnen een maand op te zeggen, zonder afkoopsom.

Alleen, veel zin heeft dat hier niet. Want bij elektriciteit en gas is opzeggen niet aan de orde, je moet overstappen. En als alle andere kandidaten precies dezelfde voorwaarden hanteren, dan schiet je daar dus niets mee op. (Hooguit indirect omdat je daar een mooie welkomstbonus kunt scoren en/of een lager tarief.)

Daar staat tegenover dat deze specifieke voorwaarden in overleg met de Consumentenbond en Vereniging Eigen Huis zijn opgesteld. Je mag er dan denk ik wel op vertrouwen dat ze niet zo eenzijdig zijn als zeg een Facebook. Dus hoewel het gek voelt dat hiermee een wettelijk recht een beetje fictief wordt, denk ik dat het hier wel meevalt.

Een aanverwant punt is nog wel dat dit ook in andere sectoren kan gebeuren. Stel die Facebook en consorten gaan samen zitten en maken ook branchebrede voorwaarden: dit moet je op onze sociale netwerken en dit mogen wij. Dan heb je niet eens meer de reële keuze om van Facebook naar eh Instagram of Snapchat over te stappen. Je zou eigenlijk hopen op concurrentie ook op voorwaarden, maar ik betwijfel of dat erin zit.

Arnoud

Afkomstig van de blog Internetrecht door Arnoud Engelfriet. Koop mijn boek!

]]>
https://blog.iusmentis.com/2017/05/17/kun-nog-als-leveranciers-naar-voorwaarden-gaan/feed/ 13
Waarom mag een app gewoon verwijzen naar privacybeleid van derden? https://blog.iusmentis.com/2017/05/16/waarom-mag-app-gewoon-verwijzen-naar-privacybeleid-derden/ https://blog.iusmentis.com/2017/05/16/waarom-mag-app-gewoon-verwijzen-naar-privacybeleid-derden/#comments Tue, 16 May 2017 06:11:46 +0000 https://blog.iusmentis.com/?p=9422 Door ICT-jurist Arnoud Engelfriet.

Een lezer vroeg me: Veel apps op de telefoon gebruiken analyticssoftware van derden. In de EULA en/of wordt er dan verwezen naar het privacy beleid van de derde partij en aangegeven dat ik daar moet zijn voor een opt-out. Nu vraag ik me af of dat zo wel mag. Is de leverancier van de App... Lees verder

Afkomstig van de blog Internetrecht door Arnoud Engelfriet. Koop mijn boek!

]]>
Een lezer vroeg me:

Veel apps op de telefoon gebruiken analyticssoftware van derden. In de EULA en/of wordt er dan verwezen naar het privacy beleid van de derde partij en aangegeven dat ik daar moet zijn voor een opt-out. Nu vraag ik me af of dat zo wel mag. Is de leverancier van de App niet degene die dit met de derde partij moet regelen? Ik heb toch alleen een end-user overeenkomst met de leverancier van de App?

Het klopt dat je die software gebruikt onder een eindgebruikersovereenkomst (EULA) met die leverancier. Maar dat wil niet zeggen dat je dus altijd alleen maar een relatie met die partij hebt.

Een softwareleverancier mag software van derden bundelen. Dit kan gebeuren onder sublicentie – het gebruiksrecht is deel van de eigen EULA – of als aparte licenties. In dat laatste geval zou je dan ieder van die licenties apart moeten accepteren.

Meestal zal de leverancier die software van derden onder sublicentie verspreiden, zodat je geen aparte EULA per derde nodig zal hebben. Maar als die software iets doet waarbij data wordt opgeslagen of uitgelezen op je computer (terwijl dat niet technisch noodzakelijk is) dan is er desondanks toestemming nodig – dat is waar de cookiewet voor bedoeld is.

Wie precies die toestemming moet vragen, is onder de cookiewet altijd een lastige. Voor de hand ligt dat de derde dat moet doen – het is zijn analytics of andere opslag/uitlezen immers. Maar ik doe zaken met die ene leverancier en het boeit mij niet met wie hij samenwerkt, dus dan is het ook weer logisch dat hij toestemming vraagt voor zijn partners.

Als er geen toestemming wordt gevraagd, dan is het problematisch voor beide partijen, want dan overtreedt die software de cookiewet. (Tenzij het gaat om simpele first party analytics gefaciliteerd door een derde, dan is er geen toestemming nodig. Ook geen opt-out trouwens.)

Arnoud

Afkomstig van de blog Internetrecht door Arnoud Engelfriet. Koop mijn boek!

]]>
https://blog.iusmentis.com/2017/05/16/waarom-mag-app-gewoon-verwijzen-naar-privacybeleid-derden/feed/ 2
Wanneer is een ransomware-aanval eigenlijk een datalek? https://blog.iusmentis.com/2017/05/15/wanneer-is-ransomware-aanval-eigenlijk-datalek/ https://blog.iusmentis.com/2017/05/15/wanneer-is-ransomware-aanval-eigenlijk-datalek/#comments Mon, 15 May 2017 06:17:12 +0000 https://blog.iusmentis.com/?p=9425 Door ICT-jurist Arnoud Engelfriet.

Parkeerbedrijf Q-Park is onder de organisaties die zijn getroffen door de wereldwijde cyberaanval, meldde de NOS. Nou ja, cyberaanval: grootschalige ransomware-infectie. Wat onder meer de vraag via Twitter gaf: Dat is dus ook een geval van een #datalek omdat ze gegevens “kwijt” zijn toch @ictrecht ? Ook het verloren gaan van gegevens telt als datalek... Lees verder

Afkomstig van de blog Internetrecht door Arnoud Engelfriet. Koop mijn boek!

]]>
Parkeerbedrijf Q-Park is onder de organisaties die zijn getroffen door de wereldwijde cyberaanval, meldde de NOS. Nou ja, cyberaanval: grootschalige ransomware-infectie. Wat onder meer de vraag via Twitter gaf:

Dat is dus ook een geval van een #datalek omdat ze gegevens “kwijt” zijn toch @ictrecht ?

Ook het verloren gaan van gegevens telt als datalek onder de Wet bescherming persoonsgegevens inderdaad (en straks de AVG). Dat voelt gek, want misbruik is niet echt aan de orde als iets weg is, maar naast dat het formeel gewoon onder de term ‘verwerken’ valt is er gewoon een goede reden: het verloren gaan van gegevens kan je status als klant et cetera aantasten. Als de computer niet meer weet dat jij betaald hebt om te parkeren, dan heb je een probleem.

Natuurlijk is dit geen issue als er een goede recente backup is. En in die situatie noemen we zo’n verlorengaan dan ook geen datalek, althans niet eentje die het melden waard zou zijn. Dus in principe is het antwoord simpel: ja, tenzij men goede backups heeft.

En hier zou je zelfs nog een stapje verder kunnen gaan: welke persoonsgegevens zijn verloren gegaan door de ransomware in die Q-Park garages? Die staan toch op een server ergens, en deze terminals dienen alleen als interface om te betalen? Niet kunnen betalen is heel vervelend maar geen datalek.

Intrigerender -wie erop wil afstuderen moet maar even mailen- vind ik nog de vraag of ingijzelneming van persoonsgegevens wel telt als verloren gaan. De data is er immers nog, je moet alleen betalen om hem weer terug te krijgen. Ik weet het, de Autoriteit Persoonsgegevens vindt van wel, maar om een wat verdergaande reden:

Er moet namelijk toegang tot de bestanden zijn geweest om deze te kunnen versleutelen. … De besmetting kan het hele systeem en alle gekoppelde bestanden raken. Er kan dus toegang zijn verkregen tot veel meer persoonsgegevens. Ook kan er meer met de gegevens zijn gebeurd dan op het eerste gezicht lijkt. De gegevens kunnen bijvoorbeeld zijn gekopieerd of gemanipuleerd.

Kort samengevat: omdat je niet kunt uitsluiten dat ransomware de gegevens ook kopieert, moet je het als een datalek behandelen. Daar ben ik het mee eens, maar wat nu als we wél kunnen uitsluiten dat er gegevens zijn gemanipuleerd of gekopieerd? Stel de ransomware infecteerde een computer via een USB-stick, en achteraf kunnen we met extern opgeslagen hashes vaststellen dat de bestanden in originele toestand zijn hersteld.

Is dit nu zeg maar een heel ingewikkelde backup/restoreprocedure? Of moet je gijzelen zien als verloren gegaan?

De implicaties zijn interessant, want als je zegt dat dit een datalek is dan is het offline halen van een clouddienst met de enige kopie van de gegevens óók een datalek. En dat zit me niet helemaal lekker.

Arnoud

Afkomstig van de blog Internetrecht door Arnoud Engelfriet. Koop mijn boek!

]]>
https://blog.iusmentis.com/2017/05/15/wanneer-is-ransomware-aanval-eigenlijk-datalek/feed/ 9
Mag een online spel bezorgd de politie naar je huis sturen? https://blog.iusmentis.com/2017/05/12/mag-online-spel-bezorgd-politie-naar-huis-sturen/ https://blog.iusmentis.com/2017/05/12/mag-online-spel-bezorgd-politie-naar-huis-sturen/#comments Fri, 12 May 2017 06:13:59 +0000 https://blog.iusmentis.com/?p=9417 Door ICT-jurist Arnoud Engelfriet.

Beetje raar verhaal: een Nederlandse League of Legends-speler kreeg bezoek van de politie na een tip van de maker van dat spel, las ik bij Numrush (dank, tipgever). Nee, geen reverse swatting van het bedrijf maar een stukje bezorgdheid: “Ze hebben ons laten weten dat je suïcidaal bent en daarom komen we een kijkje bij... Lees verder

Afkomstig van de blog Internetrecht door Arnoud Engelfriet. Koop mijn boek!

]]>
Beetje raar verhaal: een Nederlandse League of Legends-speler kreeg bezoek van de politie na een tip van de maker van dat spel, las ik bij Numrush (dank, tipgever). Nee, geen reverse swatting van het bedrijf maar een stukje bezorgdheid: “Ze hebben ons laten weten dat je suïcidaal bent en daarom komen we een kijkje bij je nemen. Om te checken of alles goed met je gaat”, aldus de aanbellende agenten. En nee, dit waren ook geen medespelers of trollen in politiekostuum. Dus eh, wacht, wat krijgen we nou?

Numrush lijkt de oorzaak te hebben gevonden:

Soms gaat het niet zo lekker in de game, is hij aan het verliezen, en dan wil Xavieros zich nog wel eens uitdrukkingen met termen als “I want to kill myself” of “ow god please kill me”.

Daarnaast had hij mogelijk zich wel eens teneergeslagen geuit in de chat vanwege een hernia en andere frustraties. Dit leidde tot de conclusie dat het bedrijf berichten scant met algoritmes (of keywordscans) en bij bepaalde combinaties dan een suïcide-vermoeden concludeert en dan de autoriteiten inlicht. Wat ergens wel netjes voelt maar ook een tikje raar.

Mag het? Dit raakt aan persoonsgegevens, meer specifiek de zogeheten bijzondere persoonsgegevens van gezondheid en dergelijke. En die mag je als bedrijf eigenlijk helemaal niet verwerken. (Ik moet nu zeggen dat de GDPR of AVG hier streng op gaat zijn want dan verkoop ik meer boeken daarover, maar ook onder de Wbp mag dit eigenlijk al niet.)

Helemaal niet, nou ja er is een uitzondering: het zogeheten “vitaal belang” uit de Wbp en straks de AVG, zeg maar een dringende medische noodzaak. Ik citeer dat boek dan maar even, dan was die link geen reclame:

Een vitaal belang raakt aan het leven van die persoon. Te denken valt aan verwerkingen van medische gegevens bij een ongeval, of meer algemeen humanitaire doeleinden, onder meer voor het monitoren van een epidemie en de verspreiding daarvan of in humanitaire noodsituaties, met name bij natuurrampen of door de mens veroorzaakte rampen. Verwerking van persoonsgegevens op grond van het vitale belang voor een andere natuurlijke persoon is in beginsel alleen toegestaan indien de verwerking kennelijk niet op een andere rechtsgrond kan worden gebaseerd (overweging 46).

Een serieuze vrees dat iemand zichzelf om het leven gaat brengen, zou je kunnen zien als het dienen van een vitaal belang. De ultieme zaakwaarneming zeg maar. En het is vrij lastig in die situaties toestemming te vragen, waardoor dus deze route open staat.

Verdedigbaar dus, juridisch gezien. Maar het blijft gek aanvoelen. Ik weet niet hoe dit te zeggen zonder heel cru te klinken, maar is het echt zo’n reëel probleem specifiek bij online games, dat mensen daar een zelfdoding aankondigen en dat vervolgens uitvoeren ook? Is dat probleem zo groot dat het maatschappelijk relevant wordt dat aanbieders daar wat aan gaan doen? Ik heb denk ik iets gemist.

Arnoud

Afkomstig van de blog Internetrecht door Arnoud Engelfriet. Koop mijn boek!

]]>
https://blog.iusmentis.com/2017/05/12/mag-online-spel-bezorgd-politie-naar-huis-sturen/feed/ 13
Wat is het verschil tussen data delen en data verkopen? https://blog.iusmentis.com/2017/05/11/is-verschil-data-delen-en-data-verkopen/ https://blog.iusmentis.com/2017/05/11/is-verschil-data-delen-en-data-verkopen/#comments Thu, 11 May 2017 06:18:00 +0000 https://blog.iusmentis.com/?p=9412 Door ICT-jurist Arnoud Engelfriet.

Audiobedrijf Bose werd vorige maand aangeklaagd wegens het bespioneren van zijn gebruikers, las ik bij Nu.nl. De Bose Connect-app zou bijhouden naar welke muziek en podcasts gebruikers luisteren. Het bedrijf heeft de app aangepast, maar ontkent dat die data wordt verkocht aan derden. En dan lees ik “Het bedrijf ontkent echter niet dat de gegevens... Lees verder

Afkomstig van de blog Internetrecht door Arnoud Engelfriet. Koop mijn boek!

]]>
Audiobedrijf Bose werd vorige maand aangeklaagd wegens het bespioneren van zijn gebruikers, las ik bij Nu.nl. De Bose Connect-app zou bijhouden naar welke muziek en podcasts gebruikers luisteren. Het bedrijf heeft de app aangepast, maar ontkent dat die data wordt verkocht aan derden. En dan lees ik “Het bedrijf ontkent echter niet dat de gegevens gedeeld worden met derde partijen” en denk ik, wat is dan het verschil?

Steeds meer apparaten vergaren informatie over hun eigenaren en sturen dat naar de fabrikant. Van slimme televisies die luisteren naar wat er wordt gezegd tot beeldbewerking op afstand. Maar ook heel simpel een website die je bezoekt, verzamelt van alles over je. Commercieel heel waardevolle informatie voor derden, met name voor adverteerders. Want weten wat iemands interesses zijn, maakt het mogelijk gericht te adverteren.

Dit is op zich Ouder dan het Internet(tm): ook daarvoor al werd er driftig gehandeld in databestanden zodat je wist waar je een direct mailing het beste heen kon sturen. Verkoopcijfers van huizen, interesse in dure meubels en ga zo maar door. Verkoop van klantenbestanden en -informatie werd privacytechnisch dan ook al snel een punt van zorg.

Dit zie je op veel websites en diensten dan ook terug in de privacyverklaring: Wij verkopen uw gegevens niet aan derden. En voor zover ik weet houdt iedereen zich daar ook netjes aan. En dat is maar goed ook, want bestandenhandel is sinds de Wet bescherming persoonsgegevens eigenlijk altijd verboden – en onder de AVG of GDPR van volgend jaar helemáál.

Erg is dat niet, want er is een veel slimmer alternatief. In plaats van bestanden met waardevolle persoonsgegevens aan derden te verkopen, verhuur je een reclameplekje voor die derden op een generiek omschreven (dus niet persoonsgebonden) plekje op je site. Facebook zal mij nooit data verkopen waarin staat welke gebruikers advocaat zijn, IT-savvy en druk bezig zich in te lezen over die AVG die eraan komt. Maar ik kan wel gericht reclame tonen voor mijn boek over de AVG op precies het segment advocaat, IT-savvy en vond-ik-leukte-AVG-artikelen.

Effectief is dat hetzelfde, maar verkopen is het niet. Ik denk dus dat dat ongeveer is wat men met dat “delen maar niet verkopen” bedoelde. En het is dus legaal denk ik, omdat je geen persoonsgegevens verkoopt maar alleen geaggregeerde data. Hoe je dat wettelijk zou verbieden, weet ik niet. Dat kan dan beter bij de bron aangepakt worden: je mag zulke gegevens niet verzámelen zonder aparte toestemming, en dergelijke toestemming mag niet verbonden worden aan de koop van een ‘slim’ apparaat.

Arnoud

Afkomstig van de blog Internetrecht door Arnoud Engelfriet. Koop mijn boek!

]]>
https://blog.iusmentis.com/2017/05/11/is-verschil-data-delen-en-data-verkopen/feed/ 10
Mag Microsoft nu wel gebruik van andere browsers aan banden leggen? https://blog.iusmentis.com/2017/05/10/mag-microsoft-nu-wel-gebruik-browsers-aan-banden-leggen/ https://blog.iusmentis.com/2017/05/10/mag-microsoft-nu-wel-gebruik-browsers-aan-banden-leggen/#comments Wed, 10 May 2017 06:06:43 +0000 https://blog.iusmentis.com/?p=9414 Door ICT-jurist Arnoud Engelfriet.

In Windows 10 S wordt het een stuk lastiger om van browser te wisselen, meldde de NOS recent. Microsofts nieuwe browser Edge blijft altijd standaard aanwezig: andere browsers kun je wel installeren met enige moeite, maar ze zullen nooit als standaardbrowser kunnen opereren. Maar hee, in 2013 kregen ze een megaboete voor precies dat: te... Lees verder

Afkomstig van de blog Internetrecht door Arnoud Engelfriet. Koop mijn boek!

]]>
In Windows 10 S wordt het een stuk lastiger om van browser te wisselen, meldde de NOS recent. Microsofts nieuwe browser Edge blijft altijd standaard aanwezig: andere browsers kun je wel installeren met enige moeite, maar ze zullen nooit als standaardbrowser kunnen opereren. Maar hee, in 2013 kregen ze een megaboete voor precies dat: te weinig keuze in browsers op Windows. Waarom durven ze het dan nu wel?

De boete uit 2013 was voor de situatie in 2009, en acht jaar geleden is in ICT-land haast een eeuwigheid. Microsoft had lange tijd haar browser Internet Explorer als vaste standaard voorgeïnstalleerd bij Windows, en de concurrent (Netscape bijvoorbeeld, wie kent dat nog) kwam er zo nauwelijks tussen. Ja, je kon het downloaden maar wie dééd die moeite? Weet je wel hoe veel gedoe dat is, iets downloaden en installeren?

Ja precies, dat is wel even iets anders tegenwoordig. Software binnenhalen is een seconde of twee en een klik in de appstore naar keuze. Dus dat maakt het al makkelijker om er tussen te komen.

Op zich was het ook in 2009 niet automatisch een probleem als je producten bundelde. Het werd pas een probleem als je een economische machtspositie (niet helemaal hetzelfde als een monopolie) had, en dat had Microsoft op dat moment vrij evident in de markt voor operating systems. Zo’n machtspositie mag je niet misbruiken, onder meer niet door mensen een ander product verplicht ook te laten kopen.

Vandaag de dag is dat echt wezenlijk anders. Microsoft Windows is nog steeds een relevant platform, maar lang niet meer zo groot als destijds in 2009 of daarvoor. Apple heeft een significant deel van de markt voor besturingssystemen – maar nog belangrijker, Google heeft met Android een nóg groter deel.

Want nee, de markt is niet meer de desktop met hier en daar een laptop, de markt is verschoven naar smartphones, tablets en hier en daar een laptop. En op die markt is Microsoft een kleine. En mededingingsrechtelijk gezien mogen kleine partijen hun gang gaan met bundelen of verplichte instellingen. Dat lost de markt zelf op: als mensen dit niet leuk vinden, dan kopen ze geen Windows S meer maar een Android tablet of misschien wel een iPad.

Arnoud

Afkomstig van de blog Internetrecht door Arnoud Engelfriet. Koop mijn boek!

]]>
https://blog.iusmentis.com/2017/05/10/mag-microsoft-nu-wel-gebruik-browsers-aan-banden-leggen/feed/ 40