Ius Mentis https://blog.iusmentis.com Internetrecht door Arnoud Engelfriet Fri, 24 Feb 2017 07:14:25 +0000 nl hourly 1 https://wordpress.org/?v=4.7.2 Wat is beter: juridische of gewone taal? https://blog.iusmentis.com/2017/02/24/is-beter-juridische-gewone-taal/ https://blog.iusmentis.com/2017/02/24/is-beter-juridische-gewone-taal/#comments Fri, 24 Feb 2017 07:14:25 +0000 https://blog.iusmentis.com/?p=9228 Door ICT-jurist Arnoud Engelfriet.

Eenvoudige taal in polissen en andere juridische teksten wekt vertrouwen, schept verwachtingen maar kan ook de conflictbereidheid verhogen. Dat las ik in NRC (via). Kort gezegd komt het artikel erop neer dat als consumenten de juridische taal in zulke documenten beter begrijpen, ze eerder rechten voor zichzelf zien en deze gaan opeisen. Het voorbeeld is... Lees verder

Afkomstig van de blog Internetrecht door Arnoud Engelfriet. Koop mijn boek!

]]>
Eenvoudige taal in polissen en andere juridische teksten wekt vertrouwen, schept verwachtingen maar kan ook de conflictbereidheid verhogen. Dat las ik in NRC (via). Kort gezegd komt het artikel erop neer dat als consumenten de juridische taal in zulke documenten beter begrijpen, ze eerder rechten voor zichzelf zien en deze gaan opeisen. Het voorbeeld is de gratis bril die veel verzekerden gauw gingen eisen omdat hun eenvoudigetaalpolis zei dat dat eens perjaar kon. Ik mis vast iets want hoe is dit uiteindelijk nadelig?

Voorwaarden van banken en verzekeraars gaan meer en meer naar gewone taal, enigszins denigrerend Jip-en-Janneketaal genoemd. Het idee is dat geen hond begrijpt wat er in die juridische taal staat, en dat daar de consument stevig door op achterstand komt te staan. Het is gewoon niet eerlijk dat je een product afneemt dat in feite bestaat uit juridische regels, en dat je vervolgens geen wijs kunt worden uit diezelfde regels. Vandaar dus deze veranderingen.

Een voorbeeldje van mijn eigen bank de ABN Amro. Oud artikel over de veiligheidsregels:

De cliënt moet aan hem ter beschikking gestelde middelen zoals formulieren, informatiedragers, communicatie- en beveiligingsmiddelen, passen, pin- en toegangscodes en wachtwoorden zorgvuldig bewaren en behandelen. De cliënt moet met persoonlijke pin- en toegangscodes en dergelijke zorgvuldig omgaan en deze geheim houden voor andere personen. De cliënt houdt zich aan de door de bank gegeven beveiligingsvoorschriften.

En het nieuwe:

1. U moet zorgvuldig en veilig omgaan met codes, formulieren, (bank)passen of andere hulpmiddelen. Zo helpt u voorkomen dat deze in verkeerde handen raken of dat iemand ervan misbruik kan maken. <br/> 2. Het kan gebeuren dat een code, formulier, (bank)pas, of ander hulpmiddel in verkeerde handen komt of dat iemand daarvan misbruik maakt of kan maken. Als u dit weet of redelijkerwijs kan vermoeden, meldt u dit meteen aan ons. Door uw melding kunnen wij proberen (verder) misbruik te voorkomen. <br/> 3. Houdt u er rekening mee dat wij nog andere veiligheidsregels stellen (zoals de Uniforme Veiligheidsregels Particulieren).

Deze nieuwe tekst zal zeker helpen bij het begrip ervan, hoewel je je natuurlijk nog steeds kunt afvragen of mensen echt nu beter omgaan met hun hulpmiddelen voor internetbankieren.

(Vanaf 2018 gaat dit trouwens ook gelden voor privacyverklaringen en dergelijke: de Privacyverordening eist simpele en gewone taal voor uitleg wat er met persoonsgegevens gebeurt. De typische wollige juristenteksten waarbij sprake is van een zorgvuldige verwerking ten behoeve van onder meer het optimaliseren van uw gebruikservaring zijn dan eindelijk verleden tijd. En ook hier, benieuwd wat het uit gaat maken voor het privacybegrip van de consument.)

Wat de NRC-column signaleert, is dat zulke teksten wel een interessant effect hebben: teksten met kortere zinnen en speciale lettertypes beïnvloeden onze cognitieve processen en roepen associaties op met ‘positieve gevoelens, minder risico’s, betere prestaties en groter vertrouwen in eigen kunnen.’ Wat in Nederland erop neerkomt dat we meer rechten zien en die ook op gaan eisen. Een nieuwe bril, recht op een verzekeringsuitkering of geen verhoogde kosten.

Ik kan niet helemaal opmaken of dit nu écht een bezwaar is, of meer een constatering. Als je een recht hebt, dan lijkt uitoefening daarvan geen probleem. Natuurlijk kunnen mensen daarbij onredelijk zijn, maar dát is al apart geregeld: schuldeisers en schuldenaars moeten zich redelijk gedragen naar elkaar (art. 6:2 BW). Toegegeven, dat kan een lastige discussie zijn maar die los je niet op door je voorwaarden moeilijker te maken.

Wel voorzie ik dat we nu weer gewoon langzaam weer terug gaan naar die juridische teksten. Die worden meestal immers niet geschreven vanuit een wens van moeilijk doen; men wil problemen uit het verleden pareren, dit mag niet nog eens gebeuren. (Toon mij iemands algemene voorwaarden en ik zeg welke geschillen hij in het verleden heeft gehad.) Dan krijg je dus dat simpele frases als “Houd uw pin geheim” veranderen in “Cliënt dient haar codes, formulieren, passen en andere hulpmiddelen zorgvuldig te gebruiken en geheim te houden en onverwijld melding te maken bij Bank van een vermoeden van misbruik”. Dat er dan ook ineens cliënt, onverwijld en dergelijke ouderwetse taal opduikt is een bijeffect, ouderwetse taal is namelijk preciezer.

Arnoud

Afkomstig van de blog Internetrecht door Arnoud Engelfriet. Koop mijn boek!

]]>
https://blog.iusmentis.com/2017/02/24/is-beter-juridische-gewone-taal/feed/ 20
Mogen Facebook en consorten wel fakenieuws weigeren op hun platform? https://blog.iusmentis.com/2017/02/23/mogen-facebook-en-consorten-wel-fakenieuws-weigeren-op-platform/ https://blog.iusmentis.com/2017/02/23/mogen-facebook-en-consorten-wel-fakenieuws-weigeren-op-platform/#comments Thu, 23 Feb 2017 07:14:26 +0000 https://blog.iusmentis.com/?p=9222 Door ICT-jurist Arnoud Engelfriet.

Een lezer vroeg me: In hoeverre is de ban op ‘Fake news’ door Google en Facebook legitiem? Op dit moment gelden deze voor het advertentieplatform, maar zouden ze ook kunnen gelden voor individuele gebruikers? Dan mag je dus in feite niets meer zeggen dat Facebook of Google ‘fake’ vindt. Is dat geen censuur? Sinds de... Lees verder

Afkomstig van de blog Internetrecht door Arnoud Engelfriet. Koop mijn boek!

]]>
Een lezer vroeg me:

In hoeverre is de ban op ‘Fake news’ door Google en Facebook legitiem? Op dit moment gelden deze voor het advertentieplatform, maar zouden ze ook kunnen gelden voor individuele gebruikers? Dan mag je dus in feite niets meer zeggen dat Facebook of Google ‘fake’ vindt. Is dat geen censuur?

Sinds de afgelopen Amerikaanse verkiezingen staat het onderwerp ‘fake news’ sterk in de belangstelling. Wat het precies is, daar is niet echt consensus over – om het netjes te zeggen. Vaak wordt ermee bedoeld, nieuws dat steunt op onbewezen feiten, maar anderen wijzen erop dat dit voor heel veel nieuws geldt en/of dat nieuws altijd al speculatief was.

Fake news zoals Facebook en Google dat nu in de ban hebben gedaan, gaat in principe over nieuws dat bewezen onjuiste feiten bevat of totaal ongefundeerde conclusies wegzet. Maar zelfs dat is al heel moeilijk af te bakenen. Aanpakken van nepnieuws via het strafrecht lijkt mij dan ook te moeilijk.

Facebook en Google zijn echter geen strafrechter, en zouden dus kunnen zeggen, we hebben er gewoon geen zin in. Dat mag. Als beheerder van een platform beslis jij wat er op het platform gebeurt. Mag het alleen over kantklossen gaan, of moet iedereen positief doen: jouw platform, jouw regels. Censuur is dat niet; alleen de overheid kan censueren.

Alleen: dat principe werkt voor gewone platforms, waarbij je eventueel naar een concurrent kunt overstappen of je eigen site kunt beginnen als het je niet bevalt. Bij Facebook en Google werkt dat niet, die zijn daarvoor te groot. Hier hebben we het al vaker over gehad: in hoeverre mogen zulke machtige platforms wel inhoud weigeren op grond van zelfverzonnen huisregels? Ik blijf er moeite mee houden.

Specifiek bij dit onderwerp is er iets meer van een objectieve rechtvaardiging en wordt gewerkt met externe bronnen (zoals het bekende Snopes) die de beoordeling doen of nieuws ‘nep’ is. Dat maakt het eerder gerechtvaardigd dan interne normen als gezelligheid of passend bij de eigen normen en waarden. Maar het blijft een ontzettend lastige kwestie.

Arnoud

Afkomstig van de blog Internetrecht door Arnoud Engelfriet. Koop mijn boek!

]]>
https://blog.iusmentis.com/2017/02/23/mogen-facebook-en-consorten-wel-fakenieuws-weigeren-op-platform/feed/ 9
Mag mijn ex-werkgever een collega onder mijn blogs zetten? https://blog.iusmentis.com/2017/02/22/mag-ex-werkgever-collega-blogs-zetten/ https://blog.iusmentis.com/2017/02/22/mag-ex-werkgever-collega-blogs-zetten/#comments Wed, 22 Feb 2017 07:11:03 +0000 https://blog.iusmentis.com/?p=9255 Door ICT-jurist Arnoud Engelfriet.

Een lezer vroeg me: Enige tijd terug ben ik in goed overleg bij mijn vorige werk weggegaan, en ik werk nu ergens anders maar in dezelfde branche. Ik zag laatst echter dat mijn werkgever onder al mijn blogs nu een collega heeft gezet. Prima, alleen staat erbij dat die persoon de auteur is. Dat klopt... Lees verder

Afkomstig van de blog Internetrecht door Arnoud Engelfriet. Koop mijn boek!

]]>
Een lezer vroeg me:

Enige tijd terug ben ik in goed overleg bij mijn vorige werk weggegaan, en ik werk nu ergens anders maar in dezelfde branche. Ik zag laatst echter dat mijn werkgever onder al mijn blogs nu een collega heeft gezet. Prima, alleen staat erbij dat die persoon de auteur is. Dat klopt niet en nu kan ik niet meer laten zien wat ik in het verleden heb gedaan. Mag hij dat zo doen?

(Dit sluit meteen mooi aan bij de recente vraag over werkgeversauteursrecht.)

Wanneer je als werknemer iets maakt in het kader van het werk, dan heeft de werkgever daarop het auteursrecht. Hij mag er dus mee doen wat hij wil. Online laten staan, weghalen, aanpassen, een andere contactpersoon erbij zetten, noem maar op.

Specifiek bij dit geval ligt het wat lastiger. Hier wordt namelijk de werknemer zijn vermelding als werkelijk maker ontnomen. Dat stuit af op de zogeheten persoonlijkheidsrechten (artikel 25 Auteurswet). Je hebt als maker het recht naamsvermelding te eisen, zelfs nadat je het auteursrecht hebt overgedragen. Je kunt afstand doen van dat recht, maar dat moet wel expliciet gebeuren.

Alleen: hééft de werknemer wel persoonlijkheidsrechten? Daar is onder juristen geen consensus over. Het punt is namelijk dat je niet je auteursrecht aan je werkgever overdraagt – de werkgever wordt geacht het werk te hebben gemaakt, niet de werknemer. En als je de werkgever als maker aanmerkt, dan komen de persoonlijkheidsrechten dus strikt gesproken ook aan de werkgever toe. Maar dat is dan ook weer gek, want persoonlijkheidsrechten zijn bedoeld om ménsen te beschermen. Dus horen ze logischer wijs bij de werknémer.

Lange tijd was de rechtspraak de eerste gedachte toegedaan: volgens de wet is de werkgever de maker, en dus ook de houder van de persoonlijkheidsrechten. De werknemer had dus geen enkele aanspraak op naamsvermelding. De laatste jaren komt daar wat verandering in. Zo werd in deze zaak bepaald dat een fotograaf-werknemer wel degelijk naamsvermelding kon eisen bij publicatie van dat werk (dat keurig binnen het kader van het arbeidscontract viel) door de werkgever. En mijn collega Mathieu Paapst publiceerde in 2010 ook al over een voorzichtige verschuiving richting dat laatste.

Het is dus verdedigbaar dat je als werknemer (ook als ex-werknemer) kunt eisen dat de werkgever je naam bij je publicaties zet, tenzij je daar expliciet en vrijwillig afstand van hebt gedaan. Dat zou dan eigenlijk wel in het arbeidscontract moeten gebeuren. Je werknemer verplichten een afstandsverklaring te tekenen, is niet rechtsgeldig.

Voor de werkgever is dat niet even prettig, zeker bij ex-werknemers. Je zult dus als werknemer wel enige moeite moeten doen om uit te leggen waarom je dit wilt. En natuurlijk mag de werkgever er altijd bijzetten “Deze persoon werkt niet meer bij ons; neem contact op met opvolger A”.

Arnoud

Afkomstig van de blog Internetrecht door Arnoud Engelfriet. Koop mijn boek!

]]>
https://blog.iusmentis.com/2017/02/22/mag-ex-werkgever-collega-blogs-zetten/feed/ 18
Kan ik mijn geld terugkrijgen voor die defecten Synology NASsen? https://blog.iusmentis.com/2017/02/21/geld-terugkrijgen-defecten-synology-nassen/ https://blog.iusmentis.com/2017/02/21/geld-terugkrijgen-defecten-synology-nassen/#comments Tue, 21 Feb 2017 07:15:49 +0000 https://blog.iusmentis.com/?p=9276 Door ICT-jurist Arnoud Engelfriet.

Een lezer vroeg me: Recent is bekend geworden dat de Intel C2000 CPU-serie een fabricagefout bevat waardoor deze na 18 maanden (of later) zomaar kan uitvallen, en systemen met deze CPU niet meer kunnen opstarten. Deze chips zitten onder meer in de Synology NAS die ik heb gekocht voor mijn thuisnetwerk, maar Synology weigert de... Lees verder

Afkomstig van de blog Internetrecht door Arnoud Engelfriet. Koop mijn boek!

]]>
Een lezer vroeg me:

Recent is bekend geworden dat de Intel C2000 CPU-serie een fabricagefout bevat waardoor deze na 18 maanden (of later) zomaar kan uitvallen, en systemen met deze CPU niet meer kunnen opstarten. Deze chips zitten onder meer in de Synology NAS die ik heb gekocht voor mijn thuisnetwerk, maar Synology weigert de producten terug te nemen. Ze geven wel een jaar langer garantie (3 in plaats van 2) maar daar heb ik weinig aan. Wat zegt de wet hierover?

De wet zegt helaas erg weinig over dit soort specifieke problemen. Het gaat hier om een chip van een leverancier van de fabrikant van een netwerkschijf, die een heel specifieke fout heeft waardoor het apparaat defect kan gaan bij intensief gebruik. Wetten gaan niet over dat soort situaties; die zeggen algemeen hoe iets zou moeten gaan.

Het juridische begrip hier is ‘conformiteit’: een product moet voldoen aan de redelijkerwijs gewekte verwachtingen. Van een NAS mag je verwachten dat hij via een netwerk bereikbaar gemaakt kan worden en dat hij gegevens opslaat (en bewaart). Dat het apparaat na 18 maanden zomaar kan uitvallen, lijkt me niet direct iets dat je mag verwachten. Zeker niet bij een A-merk als Synologie.

De oorzaak van de fout is minder van belang. Of het nu een chip van Intel is of een draadje van bedrijf Xyz of een softwarebug geprogrammeerd door Synology zelf, het resultaat is hetzelfde: hij doet het niet en je mocht verwachten van wel. Daarmee is het conformiteitsgebrek gegeven.

Of je daar wat mee kunt, is vers twee. Allereerst moet je kijken of sprake is van een consumentenkoop of niet. Ook bij zakelijke aankopen geldt conformiteit, maar in de verkoop- of leveringsvoorwaarden kan dat worden uitgesloten. Als bedrijf kun je dus iets kopen en nul garantie hebben (wat redelijk kan zijn als je dan als koper een flinke korting eist).

Vervolgens wordt de vraag of er werkelijk sprake is van een gebrek. Niet alle producten vallen meteen uit na 18 maanden, sommigen kunnen het jaren langer uithouden. En dan kom je in de discussie terecht hoe lang de levensduur is die je mag verwachten. Die is nog echt niet uitgekristalliseerd bij dit soort apparatuur. En daar komt bij dat je moet aantonen dat sprake is van een fabricagefout die de oorzaak was van de uitval. Ga er maar aan staan als koper.

(En als laatste moet je natuurlijk terug naar de winkel en niet naar Synology om je recht te halen. Conformiteit geldt immers tegen de verkoper en niet tegen de fabrikant of importeur.)

Arnoud

Afkomstig van de blog Internetrecht door Arnoud Engelfriet. Koop mijn boek!

]]>
https://blog.iusmentis.com/2017/02/21/geld-terugkrijgen-defecten-synology-nassen/feed/ 11
Ja duh, natuurlijk moet een stemwijzer werken met https https://blog.iusmentis.com/2017/02/20/ja-duh-natuurlijk-moet-stemwijzer-werken-https/ https://blog.iusmentis.com/2017/02/20/ja-duh-natuurlijk-moet-stemwijzer-werken-https/#comments Mon, 20 Feb 2017 07:14:29 +0000 https://blog.iusmentis.com/?p=9273 Door ICT-jurist Arnoud Engelfriet.

De Autoriteit Persoonsgegevens (AP) heeft onderzoek gedaan naar de beveiliging van websites die interactieve stemhulp bieden, las ik bij Nu.nl. De privacytoezichthouder meldt dat 14 van de 24 onderzochte websites geen gebruik bleken te maken van een versleutelde verbinding, en na de vingertik hebben vier meteen de handdoek in de ring gegooid. De rest is... Lees verder

Afkomstig van de blog Internetrecht door Arnoud Engelfriet. Koop mijn boek!

]]>
De Autoriteit Persoonsgegevens (AP) heeft onderzoek gedaan naar de beveiliging van websites die interactieve stemhulp bieden, las ik bij Nu.nl. De privacytoezichthouder meldt dat 14 van de 24 onderzochte websites geen gebruik bleken te maken van een versleutelde verbinding, en na de vingertik hebben vier meteen de handdoek in de ring gegooid. De rest is nu over naar een beveiligde verbinding.

De verkiezingen komen er weer aan, dus is het logisch dat her en der stemadviessites zoals Stemwijzer en Kieskompas opduiken. En die kwamen recent in opspraak omdat ze tracking cookies zetten, waardoor bezoekers konden worden gevolgd en -althans in theorie- hun politieke voorkeur kon worden achterhaald.

Dat is een probleem, want politieke voorkeur is niet zomaar een gegeven – dat is een bijzonder persoonsgegeven, waar de Wbp heel streng bovenop zit. Dergelijke gegevens mogen gewoon niet worden verzameld of bijgehouden, behalve in enkele speciale gevallen. Aparte, uitdrukkelijke toestemming is er eentje maar geen hond die die vraagt.

Maar de reden waarom veel sites tracking doen – de eigen dringende noodzaak – staat er niet bij. Vorig jaar werden ziekenhuizen nog gewaarschuwd om die reden dat zij geen tracking cookies mogen plaatsen zonder apart toestemming daarvoor te vragen. Medische en politieke persoonsgegevens zijn voor de wet hetzelfde, dus dat geldt ook hier.

Toestemming vragen onder de cookiewet is een heikel punt. “Door deze site te gebruiken geeft u toestemming”, luidt vaak de redenering. Die is al zeer twijfelachtig, maar bij bijzondere persoonsgegevens écht niet toegestaan. Het verbaast dan ook niet dat stemwijzers nu alleen nog functionele cookies plaatsen.

Ook de beveiliging is een issue. Die moet bij bijzondere persoonsgegevens hoog liggen, dus dat je dan https moet gebruiken, zou voor mij voor zich spreken. Juist ook hier, omdat deze diensten niet alleen aan persoonsgegevens raken maar ook aan het stemgeheim. Je moet immers je politieke voorkeur kunnen bepalen zonder zelfs maar het idee dat iemand je in de gaten houdt en je erop aanspreekt, al is het maar door commerciële profiling en marketing.

Arnoud

Afkomstig van de blog Internetrecht door Arnoud Engelfriet. Koop mijn boek!

]]>
https://blog.iusmentis.com/2017/02/20/ja-duh-natuurlijk-moet-stemwijzer-werken-https/feed/ 5
Mag je schoolfoto’s in een Dropbox delen met alle ouders? https://blog.iusmentis.com/2017/02/17/mag-schoolfotos-dropbox-delen-ouders/ https://blog.iusmentis.com/2017/02/17/mag-schoolfotos-dropbox-delen-ouders/#comments Fri, 17 Feb 2017 07:12:45 +0000 https://blog.iusmentis.com/?p=9245 Door ICT-jurist Arnoud Engelfriet.

Een lezer vroeg me: Wanneer er bij onze basisschool foto’s worden gemaakt van een evenement (zoals Sinterklaas of een schoolreisje) dan delen wij die met de betreffende ouders door de foto’s in een Dropbox aan te bieden. Alleen zij kunnen er dan bij, verder is het niet openbaar. (Voor publicatie op de site vragen we... Lees verder

Afkomstig van de blog Internetrecht door Arnoud Engelfriet. Koop mijn boek!

]]>
Een lezer vroeg me:

Wanneer er bij onze basisschool foto’s worden gemaakt van een evenement (zoals Sinterklaas of een schoolreisje) dan delen wij die met de betreffende ouders door de foto’s in een Dropbox aan te bieden. Alleen zij kunnen er dan bij, verder is het niet openbaar. (Voor publicatie op de site vragen we apart toestemming.) Maar nu klaagt een ouder dat dit zo niet mag en dat ook verspreiding in Dropbox alleen met aparte toestemming mag. Klopt dat?

Op grond van het portretrecht mogen portretfoto’s als deze (“portretten in opdracht”) niet worden gepubliceerd zonder toestemming van de geportretteerde. Omdat het hier nu gaat om kinderen, is toestemming van de ouders nodig voor publicatie.

De vraag is dan, is dit een publicatie? Je zou zeggen van niet, want slechts een groep ouders kan erbij en niet de hele wereld. Maar de Auteurswet is streng: zodra je buiten de directe familie- of vriendenkring komt, is al sprake van een ‘openbaarmaking’ oftewel een publicatie van het portret. Deze Dropbox-verspreiding is voor alle ouders van die klas beschikbaar, en het lijkt mij lastig verdedigbaar dat alle ouders van klasgenoten de “familie- of vriendenkring” vormt. En als het de hele school is, dan gaat het natuurlijk helemaal niet meer op.

Je kunt het ook via de privacywet (Wet bescherming persoonsgegevens, straks de Privayverordening) spelen maar dan kom je op hetzelfde uit. Verspreiding van een foto telt als een “verwerking van persoonsgegevens”, en dat mag alleen met toestemming of op grond van een andere grondslag uit die wet. Ik zie alleen geen grondslag die hier op kan gaan. Er is geen overeenkomst die verspreiding onder al die ouders rechtvaardigt, en een eigen gerechtvaardigd belang dat zwaarder weegt dan de privacy van de kinderen al helemaal niet.

Ik vrees dus dat er formeel weinig aan te doen is behalve de verspreiding per foto beperken tot enkel de kinderen die op die foto staan. Dat zou denk ik nog nét te verdedigen zijn als familie- of vriendenkring, of onder de privacywet een gerechtvaardigde verwerking. Je kunt immers moeilijk toestemming vragen voor een foto zonder de foto te laten zien aan de betrokkenen.

Arnoud

Afkomstig van de blog Internetrecht door Arnoud Engelfriet. Koop mijn boek!

]]>
https://blog.iusmentis.com/2017/02/17/mag-schoolfotos-dropbox-delen-ouders/feed/ 50
Hoe disclaim ik aansprakelijkheid voor mijn gebruikers? https://blog.iusmentis.com/2017/02/16/hoe-disclaim-aansprakelijkheid-gebruikers/ https://blog.iusmentis.com/2017/02/16/hoe-disclaim-aansprakelijkheid-gebruikers/#comments Thu, 16 Feb 2017 07:19:20 +0000 https://blog.iusmentis.com/?p=9243 Door ICT-jurist Arnoud Engelfriet.

Een lezer vroeg me: Heb jij een standaardtekst voor me waarmee ik mijn aansprakelijkheid voor mijn gebruikers even netjes disclaim? Ik run een groot forum en heb geen zin in claims van fotografen en andere grapjassen. Die wil ik bij mijn gebruikers neer kunnen leggen. Er is geen toverformule waarmee je aansprakelijkheid voor handelen van... Lees verder

Afkomstig van de blog Internetrecht door Arnoud Engelfriet. Koop mijn boek!

]]>
Een lezer vroeg me:

Heb jij een standaardtekst voor me waarmee ik mijn aansprakelijkheid voor mijn gebruikers even netjes disclaim? Ik run een groot forum en heb geen zin in claims van fotografen en andere grapjassen. Die wil ik bij mijn gebruikers neer kunnen leggen.

Er is geen toverformule waarmee je aansprakelijkheid voor handelen van je gebruikers kunt uitsluiten. Disclaimers (al dan niet via onze generator gemaakt) waarin staat van wel, zijn dus juridisch krachteloos. Aansprakelijkheid is een wettelijk concept, dat niet eenzijdig kan worden aangepast.

Natuurlijk kun je contractueel je aansprakelijkheid beperken, maar dat werkt dan alleen tegen partijen die dat aanvaarden. Tegenover je gebruikers kun je dus zeggen “ik ben niet aansprakelijk voor de gevolgen van dataverlies of downtime”, want die moeten er mee akkoord gaan om op het forum te mogen. Tegenover een fotograaf met een claim wegens auteursrechtinbreuk werkt dat niet.

Er is een juridische oplossing voor deze situatie en die heet de vrijwaring. Wanneer iemand een vrijwaring afgeeft, verklaart hij eventuele juridische geschillen die de gevrijwaarde krijgt, op zich te nemen en uit eigen zak op te lossen. Je kunt dus je gebruiker laten verklaren dat hij je vrijwaart van claims van derden over de inhoud die zij plaatsen. Daarnaast kun je natuurlijk in je voorwaarden opnemen dat je gebruiker die schade volledig moet vergoeden.

Beiden hebben alleen een heel praktisch probleem: als je niet weet wie je gebruiker is, of hij heeft het geld niet, of de incasso is hoger dan de schadeclaim, dan heb je er weinig aan. Naar de klager helpt ook een vrijwaring niet, want een vrijwaring is pas effectief als de rechter je toestaat die ander in vrijwaring te laten opdraven. En dan moet je dus weten wie het is.

Ik kan me moeilijk voorstellen dat er forumgebruikers zijn die bereid zijn hun naam en adres te geven zodat de eigenaar ze aansprakelijk kan stellen of een vrijwaring kan inroepen. Je neemt dus een zeker risico als forum-eigenaar; meer dan goed modereren en snel reageren op klachten zit er niet in.

Arnoud

Afkomstig van de blog Internetrecht door Arnoud Engelfriet. Koop mijn boek!

]]>
https://blog.iusmentis.com/2017/02/16/hoe-disclaim-aansprakelijkheid-gebruikers/feed/ 15
Moeten we echt elk jaar de copyrightvermelding in onze broncode updaten? https://blog.iusmentis.com/2017/02/15/moeten-we-echt-elk-jaar-copyrightvermelding-broncode-updaten/ https://blog.iusmentis.com/2017/02/15/moeten-we-echt-elk-jaar-copyrightvermelding-broncode-updaten/#comments Wed, 15 Feb 2017 07:15:52 +0000 https://blog.iusmentis.com/?p=9248 Door ICT-jurist Arnoud Engelfriet.

Een lezer vroeg me: Alle broncodes binnen ons bedrijf hebben een copyrightvermelding, als volgt: Copyright © 2016 $NAAM THIS SOURCE CODE IS THE UNPUBLISHED AND CONFIDENTIAL PROPERTY OF $NAAM< AND MAY NOT BE COPIED, MODIFIED OR DISTRIBUTED WITHOUT PRIOR WRITTEN AUTHORIZATION. (Iets ingekort in verband met leesbaarheid.) Nu moet ik al die notices aanpassen want... Lees verder

Afkomstig van de blog Internetrecht door Arnoud Engelfriet. Koop mijn boek!

]]>
Een lezer vroeg me:

Alle broncodes binnen ons bedrijf hebben een copyrightvermelding, als volgt:
Copyright © 2016 $NAAM
THIS SOURCE CODE IS THE UNPUBLISHED AND CONFIDENTIAL PROPERTY OF $NAAM<
AND MAY NOT BE COPIED, MODIFIED OR DISTRIBUTED WITHOUT PRIOR WRITTEN AUTHORIZATION.
(Iets ingekort in verband met leesbaarheid.) Nu moet ik al die notices aanpassen want het is 2017. Kan dat echt niet anders?

Vrijwel alle broncode heeft een copyright notice, maar juridisch is dat eigenlijk nergens voor nodig. Heel formeel bestaat een copyrightvermelding uit drie elementen, in deze volgorde:

  • Het woord "copyright", de afkorting "copr." of het C-in-een-cirkel symbool ©. Allebei is dus eigenlijk dubbelop, en wie "(C)" doet is eigenlijk fout bezig.
  • Het jaar van eerste publicatie van het werk. Als het gaat om een aangepaste versie, dan moeten de jaren van elke wijziging ook worden vermeld. Zo geeft "1985, 1987-1989" bijvoorbeeld aan dat het werk gemaakt is in 1985 met wijzigingen in 1987, 1988 en 1989. Onze vraagsteller hoeft dus niet álle bestanden aan te passen, maar alleen bij de eerste wijziging in 2017 dat jaar toe te voegen.
  • De naam van de auteur. Dit mag een afkorting of pseudoniem zijn, zolang de auteur maar te identificeren is. In dit geval mag de statutaire naam worden gevoerd, of een andere handelsnaam die het bedrijf gebruikt.

Het punt is alleen dat geen enkele wet een copyrightvermelding eist als voorwaarde om auteursrecht te hebben op die software. Auteursrecht ontstaat namelijk enkel door het werk te maken, ongeacht wat er bij staat aan naams- of copyrightvermeldingen.

In de VS was het tot 1978 wél verplicht om zo'n vermelding te doen, anders was je werk niet beschermd. Maar juristen zijn een conservatief stel mensen, en bovendien het stáát heel juridisch dus laten we het maar doen. Cargo culting dus. Hetzelfde geldt voor all rights reserved.

Een naamsvermelding van de rechthebbende is natuurlijk wel zo handig, en een waarschuwing dat zonder licentie deze broncode niet mag worden verspreid kan ook geen kwaad. (Alleen graag zonder hoofdletters, dat leest beter.) Het is dus prima om vanaf nu "Copyright $NAAM" zonder jaartal te doen, dan hoef je er nooit meer aan te komen (tenzij je de auteursrechten verkoopt uiteraard.)

Arnoud

Afkomstig van de blog Internetrecht door Arnoud Engelfriet. Koop mijn boek!

]]>
https://blog.iusmentis.com/2017/02/15/moeten-we-echt-elk-jaar-copyrightvermelding-broncode-updaten/feed/ 23
Wanneer is een responsible disclosure beleid rechtsgeldig? https://blog.iusmentis.com/2017/02/14/wanneer-is-responsible-disclosure-beleid-rechtsgeldig/ https://blog.iusmentis.com/2017/02/14/wanneer-is-responsible-disclosure-beleid-rechtsgeldig/#comments Tue, 14 Feb 2017 07:14:00 +0000 https://blog.iusmentis.com/?p=9240 Door ICT-jurist Arnoud Engelfriet.

Een lezer vroeg me: Sommige bedrijven hebben een responsible disclosure beleid en maken dit bekend op hun website. Ik zie alleen daarin steeds vaker iets over geheimhoudingsplicht voorkomen: je mag kwetsbaarheden wel zoeken en melden, maar zonder toestemming (of soms “zonder overleg”) niet publiceren. Maar het hele idee van responsible disclosure is toch juist dat... Lees verder

Afkomstig van de blog Internetrecht door Arnoud Engelfriet. Koop mijn boek!

]]>
Een lezer vroeg me:

Sommige bedrijven hebben een responsible disclosure beleid en maken dit bekend op hun website. Ik zie alleen daarin steeds vaker iets over geheimhoudingsplicht voorkomen: je mag kwetsbaarheden wel zoeken en melden, maar zonder toestemming (of soms “zonder overleg”) niet publiceren. Maar het hele idee van responsible disclosure is toch juist dat je op zeker moment naar buiten treedt, natuurlijk wel op zorgvuldige wijze. Kunnen bedrijven dit zo stellen, is dit rechtsgeldig? Dan gaat toch het hele concept onderuit?

Een bedrijf dat responsible disclosure-beleid publiceert en daarin zegt dat er nimmer mag worden gepubliceerd zonder haar toestemming, is wat mij betreft misleidend bezig. Dat is niet wat de term responsible disclosure impliceert en het is zeer ergerlijk dat bedrijven op die manier doen alsof ze RP-beleid hebben.

Het hele idee achter responsible disclosure is dat kwetsbaarheden op zeker moment publiek móeten worden, omdat dan iedereen er rekening mee kan houden. Als de good guys hun mond moeten houden dan kunnen bedrijven kwetsbaarheden onder de pet houden. Wat slecht is voor de maatschappij, want de bad guys weten het toch wel. Natuurlijk is het ook weer niet de bedoeling dat kwetsbaarheden direct publiek worden, want dan kan er misbruik van worden gemaakt zonder dat het bedrijf het kon repareren.

De Leidraad over responsible disclosure uit 2013 van de overheid zoekt naar een middenweg. Het idee is dat melder en bedrijf in overleg treden over wanneer naar buiten te treden, met als vuistregel 60 dagen na de melding. Maar dát er naar buiten getreden wordt, staat daarbij voorop. En gezien het belang van security in ICT-systemen is dat ook niet meer dan logisch. Wie anno 2017 nog verdedigt dat security by obscurity beter is, kan beter wat anders gaan doen.

Of responsible disclosure beleid rechtsgeldig is, is een lastige vraag. Beleid is natuurlijk maar beleid, en dat kan zomaar veranderen. Belangrijkste is: wat dóet het, dat beleid. Zijn daar rechten of plichten aan te ontlenen? Plichten opleggen in beleid is erg moeilijk, want de wederpartij moet daar wel mee akkoord gaan. Je kunt dus niet op voorhand iemand aansprakelijk laten zijn voor alle schade die het gevolg is van een ontdekte kwetsbaarheid. Omgekeerd is het wél makkelijk mogelijk om het bedrijf te houden aan een toezegging. Met name dus de toezegging “wij zullen geen aangifte/schadeclaim doen als je je aan het beleid houdt”.

Arnoud

Afkomstig van de blog Internetrecht door Arnoud Engelfriet. Koop mijn boek!

]]>
https://blog.iusmentis.com/2017/02/14/wanneer-is-responsible-disclosure-beleid-rechtsgeldig/feed/ 28
Wetsvoorstel moet digitaal leren met nepnaam veiliger maken https://blog.iusmentis.com/2017/02/13/wetsvoorstel-moet-digitaal-leren-nepnaam-veiliger-maken/ https://blog.iusmentis.com/2017/02/13/wetsvoorstel-moet-digitaal-leren-nepnaam-veiliger-maken/#comments Mon, 13 Feb 2017 07:13:33 +0000 https://blog.iusmentis.com/?p=9265 Door ICT-jurist Arnoud Engelfriet.

Kinderen die op school met digitale lesmethoden werken, hoeven niet meer hun eigen naam in te vullen. Dat stond in het papieren AD afgelopen weekend. De ministerraad heeft namelijk ingestemd met een wetsvoorstel van die strekking, hoewel exacte details nog ontbreken. Kort gezegd komt het erop neer dat bij gebruik van clouddiensten door scholen moet... Lees verder

Afkomstig van de blog Internetrecht door Arnoud Engelfriet. Koop mijn boek!

]]>
Kinderen die op school met digitale lesmethoden werken, hoeven niet meer hun eigen naam in te vullen. Dat stond in het papieren AD afgelopen weekend. De ministerraad heeft namelijk ingestemd met een wetsvoorstel van die strekking, hoewel exacte details nog ontbreken. Kort gezegd komt het erop neer dat bij gebruik van clouddiensten door scholen moet worden gewerkt met pseudoniemen of codes, zodat bij datalekken niet gelijk alle details van de leerlingen op straat liggen. Het idee is loffelijk maar moet dat nu echt zo met een wet?

De tekst van het wetsvoorstel wordt helaas pas openbaar nadat de Raad van State er advies over heeft gegeven, dus het is nog even speculeren. Ik hoop op een voorstel dat gewoon zegt, scholen mogen alleen pseudonimeen van leerlingen aan leveranciers doorgeven. In combinatie met een verbod voor leveranciers om meer dan dat te vragen. Het is immers echt nergens voor nodig om werkelijke persoonsgegevens van leerlingen te hebben om een dienst aan een school te leveren.

Ik ben een beetje bang dat er komt te staan dat de leverancier ontvangen persoonsgegevens moet pseudonimiseren. (Of, nog erger, dat dit in overleg moet worden vastgesteld.) Want dan schiet je er weinig mee op, dan is die brondata er nog steeds en dus blijft de kwetsbaarheid bestaan.

En ja ik weet het, de Privacyverordening roept op tot pseudonimiseren en staat toe dat dit gebeurt door de partij die vervolgens gaat werken met de gepseudonimiseerde gegevens. Het is niet verplicht dat je de sleutel en de pseudonieme data in aparte bedrijven bewaart. Dus het zou legaal zijn als een dienstverlener zo gaat werken, en het wetsvoorstel zou dan weinig toevoegen behalve dan dat dit móet in plaats van slechts een beste praktijk te zijn. (Sorry, de tekst van de Verordening is wat raar.)

Je kunt je natuurlijk sowieso afvragen wat dit wetsvoorstel gaat toevoegen bovenop die Verordening. Want ook daar staat al in dat je persoonsgegevens zo veel mogelijk moet beperken, dat je bij voorkeur pseudonimiseert dus en natuurlijk dat je adequaat beveiligt en daar afspraken over maakt met je verwerkers (voorheen je bewerkers), zoals die clouddienstverleners dus. Hooguit zou dat dan nog zijn dat het black letter law wordt in plaats van ahem een beste praktijk, of een richtsnoer van de toezichthouder waar een leverancier van kan zeggen dat zij toch alternatieve feitenandere inzichten hebben over hoe het zo veilig mogelijk te doen.

Arnoud

Afkomstig van de blog Internetrecht door Arnoud Engelfriet. Koop mijn boek!

]]>
https://blog.iusmentis.com/2017/02/13/wetsvoorstel-moet-digitaal-leren-nepnaam-veiliger-maken/feed/ 21