Internetrecht door Arnoud Engelfriet
Vanaf vandaag ben ik met kerstvakantie. Maandag 5 januari leest u hier weer nieuwe blogs. Voor nu fijne feestdagen en een juridisch correct (maar ook rustig en voorspoedig) 2026 toegewenst!
Leestips:
Via Reddit:
Stel dat persoon A achter een computer gaat zitten die eigendom is van persoon B maar in het huis van persoon C staat. Via die PC plaatst hij een bestelling bij een webwinkel voor een product. Bij die bestelling vult persoon A bij het factuuradres de naam van persoon D in en het adres van E. Bij het bezorgadres komt de naam van F en het adres van G te staan. De bestelling wordt betaald vanuit de rekening van persoon H, maar de handeling van het betalen is uitgevoerd door A. Bij de daadwerkelijke bezorging wordt het pakket aangenomen bij de deur door persoon I. Wie is, na levering, de juridische eigenaar van het product?Op het gevaar af als een autonoom te klinken: het gaat niet om de gebruikte identiteiten maar om de persoon van vlees en bloed die de handeling voltooit.
Je koopt een product door het aanbod van de verkoper te aanvaarden. Omdat het hier gaat om een webwinkel, moet dat via zo’n knop “Bestellen met betalingsverplichting” gebeuren. Maar zodra je op die knop drukt, heb je een overeenkomst. Levering, betalen etcetera is allemaal niet relevant. Persoon A is dus de koper. Dat zijn identiteit bij de winkel niet bekend is (die ziet namen D en E) maakt hiervoor niet uit.
Eigenaar word je door het product in ontvangst te nemen onder wat juristen een “geldige titel” noemen, in dit geval een koopovereenkomst. Het pakket wordt op het adres van G aangenomen door I. De vraag is of daarmee A – de koper – het ontvangen heeft, zodat zhij eigenaar is geworden.
Bij een koop op afstand heb je een pakket pas ontvangen als het fysiek bij jou “of een door [jou] aangewezen derde, die niet de vervoerder is” ontvangen is (art. 7:11 BW). Maar die regel gaat over het risico bij transport, en staat los van wanneer je goederenrechtelijk eigenaar bent geworden. Dat staat in artikel 3:90 BW: door aan de verkrijger het bezit der zaak te verschaffen.
Omdat hier het pakket door I aangenomen is, en niet gegeven is dat I het aan A gegeven heeft of dat afgesproken is dat I namens A zou aannemen, heeft A nog niet het bezit van het product. Daarmee is de eigendom dus nog niet overgegaan en dus is de winkel nog steeds eigenaar. Daarvoor is nodig dat I het aan A overhandigt.
Een goederenrechtelijk alternatief is te zeggen: I houdt het pakket voor de webwinkel, en nadat A heeft gehoord (track&trace mail) dat het pakket daar is, appt hij I om te zeggen “hee dat pakket is van mij, ik kom het zondag halen”. Volgens mij is dan A ook al de eigenaar geworden, en niet pas zondag.
Arnoud
Een lezer vroeg me:
Als inkoper werk ik dagelijks met digitale handtekeningen. Nu vraagt een nieuwe leverancier mij om met EU-QES van Docusign te werken. Dit kost 9 euro per maand, is dat juridisch nu echt verstandig?Een QES of Qualified Electronic Signature is binnen het Europese juridische kader (eIDAS) het hoogste niveau van betrouwbaarheid. Zoals ik in 2023 blogde, de EIDAS Verordening kent drie soorten elektronische handtekening:
Ik zie hoe dat in het algemeen nuttig klinkt. Specifiek bij zakelijk onderhandelen ben ik niet overtuigd van de meerwaarde. In die situatie ken je je wederpartij al. Je hebt kennisgemaakt, je weet wie je moet benaderen en je krijgt zoveel harde en softe informatie dat je ook zonder een QES wel overtuigd bent dat je met persoon A van X werkt.
Natuurlijk, A kan onbevoegd zijn. Maar daar helpt een QES niet bij. Het enige dat je daarmee vaststelt, is dat je écht A tegenover je hebt. En dat is in een zakelijke inkoopsituatie gewoon niet zo’n belangrijk punt.
Arnoud
Google mag niet zomaar inhoud van het internet plukken om zijn eigen kunstmatige intelligentie mee te voeden. Dat las ik bij Nu.nl. De Europese Commissie ziet deze werkwijze als een schending van het mededingingsrecht vanwege misbruik van de dominante positie in de zoekmarkt.
Sinds kort heeft de advertentiedienst-met-zoekmachine Google twee nieuwe AI-toepassingen: AI Overview en AI Mode. AI Overviews vat zoekresultaten samen, en AI Mode biedt een soort chatinterface. Daar is veel van te vinden, maar het probleem hier is dat je als website-exploitant niet kunt verhinderen dat Google ook jouw content hierin gebruikt.
De Commissie ziet dit als machtsmisbruik. Je enige escape is Google geheel blokkeren (de crawler is gewoon dezelfde, dus de AI-bot blokkeren met robots.txt zit er niet in). Maar niemand zal buiten Google willen blijven, dus moet je knarsetandend toezien hoe Google mooie AI-sier maakt met jouw content als bronvermelding.
Natuurlijk, Googles zoekmachine zelf doet dit al sinds 1998, net als haar voorganger-zoekmachines. Het idee van zoekmachines is het hele web scrapen en de resultaten sorteren op een relevante manier. Of dat mocht van het auteursrecht is altijd een beetje grijs gebleven, maar de consensus die ik ken, komt erop neer dat het oké zou moeten zijn omdat zoekmachines uiteindelijk je zó veel zichtbaarheid en kliks geven dat dit opweegt tegen eventuele gemiste inkomsten.
Het probleem met die AI-modi is precies dat: niemand klikt op jouw site, want ze hebben het antwoord al. (Of denken dat te hebben, want het is vaker fout dan goed. Maar dat terzijde.) Dit staat bekend als het Google Zero fenomeen. En die onbalans maakt dat we de hele auteursrechtelijke discussie weer opnieuw kunnen gaan voeren. Maar dat wil niemand, want dat komt neer op uit Google gegooid worden.
Het probleem is dus: eigenlijk had Google dit moeten vragen, en dan hadden ze waarschijnlijk geld moeten betalen. Nu hebben ze een gratis licentie afgedwongen, en dat konden ze door misbruik te maken van hun machtspositie (je gaat uit Google als je geld vraagt voor AI Overviews).
De Commissie onderzoekt eigenlijk wat er gebeurd zou zijn als Google netjes met iedereen een licentie had afgesloten: welk bedrag zou er dan zijn betaald? Dat is dan het bedrag dat Google oneerlijk verdiend heeft door dat misbruik.
Arnoud
Een lezer vroeg me:
Regelmatig gebruik ik de afbeeldingenbibliotheek van Microsoft in presentaties, Word-documenten en dergelijke. Nu wees een collega me er op dat dit alleen mag zolang je ze alleen hergebruikt in programma’s van Microsoft, dus een tekst gemaakt in Word met afbeeldingen mag je als Word-document (online) publiceren maar niet als pdf want dat is een programma van Adobe. Klopt dat?Microsoft heeft een behoorlijk uitgebreide bibliotheek met creatief materiaal zoals iconen en stockbeeld, naast een koppeling met Bing Afbeeldingen die mede kan zoeken op licentie (Creative Commons). Afgezien van die laatste liggen de rechten op dat materiaal bij Microsoft, en je hebt dus een licentie nodig om dit te mogen gebruiken.
Het lastige is dat de standaard licentie van Microsoft noch de dienstenvoorwaarden (TOU) dit expliciet vermeldt. Gezien hoe auteursrecht werkt, mag je dan die materialen dus niet gebruiken.
Oudere versies van die licentie benoemden dit wel nadrukkelijk, en hanteerden het criterium van van “geïntegreerd in een document” wat ik altijd heel logisch vond. Je krijgt toegang tot die clipart om je documenten mee te versieren, dus mag je er documenten mee versieren. Maar ze los op mokken of advertentieposters plakken, dat is niet de bedoeling dus mag dat niet.
Het enige dat er nu nog is, is een soort FAQ van Microsoft waarin ze uitleggen dat
You can use the premium images and other creative content however you see fit, as long as it’s within an Microsoft 365 app or SharePoint site. For commercial customers, this includes selling PowerPointpresentations, Excel workbooks, or Word documents that include this content, just as you would have sold these files in the past.Het criterium is hiermee verschoven naar “moet in onze apps blijven”. Hoe zich dat verhoudt tot “je mag ze verkopen” is dan wel volstrekt onduidelijk.
Iets verderop staat dat je mag “Export these files to other formats such as PDF and ODF.” Die PDF mag je dan kennelijk ook ‘verkopen’ of weggeven aan een ander, maar daarbij gaat de content dan buiten de MS365 app of SharePoint site.
Ik denk dat dat dus mag, specifiek omdat men spreekt van “selling documents that include this content” en gratis weggeven zit redelijkerwijs in dezelfde categorie. (Juristen die over ‘redelijk’ beginnen, hebben geen echte argumenten meer.)
Wat vooral onduidelijk is, is wat de ontvanger mag doen met het document. Lezen en dergelijke is ongetwijfeld prima, maar zou deze de presentatie aan mogen passen in OpenOffice en die dan aan hun cliënt mogen geven? Ik vermoed van niet gezien de bewoordingen van de licentie, maar “selling presentations” impliceert dat de koper er mee mag doen wat deze wil.
Arnoud
Een lezer vroeg me:
Al jaren heb ik een abonnement op Microsoft 365. Mijn Microsoft account is recentelijk geblokkeerd, waar ik het niet mee eens ben en waar volgens mij ook geen geldige reden voor is. Ik heb inmiddels twee keer bezwaar ingediend via het officiële formulier, de eerste keer meteen op de dag van de blokkade. Ik heb ook een verzoek tot herstel ingediend, maar ik krijg geen antwoord. Mijn vraag: is er een juridische weg te bewandelen die mij hoop zou kunnen geven op het verkrijgen van toegang tot mijn bestanden?Een van de grotere frustraties in de diensteneconomie is dat niets meer echt “van jou” is. En dat geldt helemaal voor data: data is geen onderwerp van eigendom, formeel juridisch gesproken. Je kunt dus niet zoals bij fysieke spullen eisen dat je deze terugkrijgt of er bij mag.
Toegang tot data of online opslag is zuiver en alleen geregeld door je contractuele relatie tot de leverancier van de dienst. Er is geen enkel ander juridisch middel (ook niet de AVG, ook niet de Data Act, ook niet het auteursrecht) waarmee je dit af kunt dwingen. Hetzelfde geldt voor de dienst an sich.
Een contractuele relatie is op zich prima bij de rechter af te dwingen. De Nederlandse, want jij als consument woont hier en ongeacht wat het contract zegt mag je dan in Nederland procederen. In juridische taal vorder je dan nakoming van de overeenkomst. Microsoft moet dan uitleggen waarom ze dat niet hoeft, oftewel welke voorwaarde je hebt overtreden. Dat moet gemotiveerd (art. 17 DSA) en moet dus meer zijn dan vage verwijzingen naar “abuse” of het inroepen van bepalingen waarin staat “wij mogen alles en je hebt geen rechten”.
De relevante vraag is natuurlijk wel waarom het account gesloten zou zijn. Microsoft heeft dat niet toegelicht, dus voor mij is het gissen. Verspreiding van malware vanaf het account heb ik met enige regelmaat gezien, auteursrechtschending wordt ook wel genoemd en er zijn ook gevallen bekend waarin Microsoft-scanners kindermisbruikmateriaal detecteren in foto’s die je in je account zet (al dan niet via achterdeuren zoals backups van WhatsApp-groepsgesprekken).
Die laatste categorie is relevant, want er zijn in Nederland twee rechtszaken (één, twee) geweest over precies die situatie en in beide gevallen kreeg de accounthouder gelijk. Maar naar de rechter moet je.
Arnoud
Via Reddit vond ik een Amerikaans draadje over het manipuleren van AI-kentekenlezers. Geen folies of andere afdekking, maar
In this video, [Benn Jorden] overlays an adversarial pattern of dots on top of a license plate to confuse the AI model on an ALPR camera, rendering (at least the open source license plate reader models) the camera ineffective at reading license plates.Het is een beetje werk, maar niet ondoenlijk. Jorden genereert 1.000 variaties op een verkeersfoto, met steeds een andere plaatje waar het kenteken hoort. Hij laat twee ALPR-modellen alle beelden uitlezen en kijken wat er uit komt:
Nu de hamvraag: is dat legaal in Nederland om mee te gaan rijden?
Ook ik leerde tijdens mijn rijlessen dat het kenteken goed leesbaar moet zijn en niet mag worden afgeschermd. Sneeuw en modder moet je er dus af poetsen. Dit staat in de regeling voertuigen.
Je zou kunnen denken dat zo’n patroon het kenteken niet onleesbaar maakt, ieder mens kan het kenteken nog gewoon lezen. Maar we hebben ook nog de regel uit de Regeling kentekens en kentekenplaten, artikel 7 lid 9:
Aan of op het motorrijtuig, de aanhangwagen of de kentekenplaat mag geen teken of middel zijn aangebracht dat de herkenning, daaronder begrepen de herkenning met behulp van technische voorzieningen, van het kenteken bemoeilijkt of kan bemoeilijken.Het blokkenpatroon is natuurlijk bedoeld om “herkenning met behulp van technische voorzieningen” te bemoeilijken. En dat patroon is een “teken of middel” zoals hier bedoeld, ook al wisten ze dat nog niet toen deze wettelijke regeling werd gemaakt.
Arnoud PS: 0x33 jaar oud alweer, wat gaat de tijd toch snel!
De Britse telecomtoezichthouder Ofcom heeft een bedrijf uit Belize een boete van omgerekend 1,1 miljoen euro opgelegd omdat het geen ‘robuuste’ online leeftijdsverificatie toepast. Dat meldde Security.nl. Hoewel het bedrijf “enige vorm van verificatie” gebruikte, was dat niet robuust genoeg. Wat de vraag opriep: hoe moet het dan wel?
In het VK geldt sinds 2023 de zogeheten Online Safety Act. Een van de (vele) controversiële aspecten uit deze wet is een zorgplicht dat minderjarigen geen “content that is harmful to children” tegenkomen:
The duty set out in subsection (3)(a) requires a provider to use age verification or age estimation (or both) to prevent children of any age from encountering primary priority content that is harmful to children which the provider identifies on the service.Bij een ‘adult’ website zoals van de AVS Group Ltd uit Belize is het vanzelfsprekend dat de inhoud schadelijk is. Nu kennen we al langer het vinkje “Ik ben 18 jaar of ouder”, maar de Engelse wet wil wel iets meer. AVS had ook wel iets toegevoegd:
In particular, AVS Group Ltd deployed a photo upload check on its services that does not include liveness detection and as such is vulnerable to circumvention by children (for example, by uploading a photo of an adult). Ofcom considers that this method is not capable of being highly effective within the meaning of the Act.Ik zie wel hoe “upload een foto en we kijken of de persoon meerderjarig is” niet héél effectief is voor het gestelde doel. Liveness detection oftewel een video-analyse is iets lastiger te faken (jaja, Nano Banana is geweldig) dus dat was een betere stap geweest.
Toezichthouder Ofcom zelf had nog een aantal methodieken bedacht:
Ik weet niet waarom dat niet van de grond wil komen?
Arnoud
Een Nederlandse rechtbank mag een zaak behandelen die twee Nederlandse stichtingen hebben aangespannen tegen Apple. Dat las ik bij Nu.nl. De basis is uitspraak C-34/24 van het Hof van Justitie, waarmee Apple’s verweer dat je naar Californië moet, naar de prullenbak kan.
De zaak gaat weinig verbazingwekkend over de 30 procent commissie die Apple eist van iedere app-aanbieder:
Het techbedrijf vraagt volgens hen een “buitensporige” commissie van appontwikkelaars. Apple ontvangt 30 procent van aankopen binnen apps in de App Store. Hierdoor lijden appgebruikers volgens de stichtingen schade.Apple verzet zich met huid en haar tegen alle claims op dit gebied, en een verweer dat de rechtbank onbevoegd is, past daar natuurlijk prima bij. De redenering is kortweg: de heffing wordt niet in Amsterdam opgelegd maar in Cupertino, Californië, dus mag de Amsterdamse rechter daar niets van vinden.
Het Hof van Justitie is daar vrij snel klaar mee:
[W]anneer de markt die wordt beïnvloed door de betrokken mededingingsverstorende gedragingen zich bevindt in de lidstaat op het grondgebied waarvan die schade zich heeft voorgedaan, de plaats waar die schade is ingetreden moet worden geacht in die lidstaat te zijn gelegen.Als je in Nederland een aankoop doet in de Apple App Store, is die duurder dan zou hoeven (omdat de commissie dus 30% is en niet bijvoorbeeld 5). Het prijsverschil is je schade als consument. Die schade leed jij in Nederland.
Alleen: waar dan precies? Want de rechtbank Amsterdam (die de zaak voorlegde aan het Hof) kan natuurlijk niet oordelen over claims van consumenten in zeg Enschede of Maastricht. En bij een massaclaim is het juist de bedoeling dat je al die claims wél kunt samenvoegen.
Voor het Hof is de oplossing simpel. Bij een massaclaim als deze weet je niet (en hoef je niet te weten) waar iedere individuele betrokkene woonachtig is. De doelgroep is duidelijk genoeg omschreven, en daar gaat het om bij bepalen of de claimorganisatie mag optreden tegen het gedrag van Apple. Bijgevolg is alleen nog relevant of onder welke rechtbank de claimstichting zelf valt, en dat is de rechtbank Amsterdam want beide stichtingen zijn daar statutair gevestigd.
Het is het zoveelste aspect van internationale bevoegdheid. Het blijft gedoe met elke keer allerlei factoren afwegen, maar ik blijf het superieur vinden ten opzichte van enkelvoudige criteria zoals “wij zitten in Cupertino dus je mag altijd daarheen”. Dat is in een internationale wereld gewoon oneerlijk.
Arnoud
Een 44-jarige Australische man die via een ‘evil twin’ wifi-netwerk phishingaanvallen uitvoerde is in Australië veroordeeld tot een gevangenisstraf van zeven jaar en vier maanden. Dat meldde Security.nl onlangs. Diverse onderzoekers vroegen me of dat ook bij ons zo zou uitpakken.
Bij een evil twin-aanval maak je kort gezegd een wifi-netwerk met dezelfde naam om zo de laptops en telefoons in de buurt met dit malafide wifi-netwerk verbinding te laten maken. Het kán dan zijn dat je wachtwoorden of certificaten toegezonden krijgt, maar deze man had het simpeler ingericht:
Wanneer slachtoffers met dit malafide netwerk verbinding maakten werden ze doorgestuurd naar een webpagina die hen vroeg om in te loggen met een e-mail- of socialmedia-account. In werkelijkheid ging het om een phishingpagina die inloggegevens op de apparatuur van de verdachte opsloeg. Inloggegevens die slachtoffers invulden werden door de verdachte daarna gebruikt om op hun socialmedia- en e-mailaccounts in te loggen en zo allerlei gevoelige informatie te stelen.Op deze manier verkrijg je natuurlijk een berg wachtwoorden, en daar kun je dan makkelijk mee inloggen en allerlei zaken uithalen. Het spreekt voor zich dat dat laatste computervredebreuk is. Maar het enkele omleiden naar jouw netwerk, is dat al strafbaar?
De strafwet kent geen letterlijk verbod op het opzetten van een wifi-netwerk met als SSID de naam van een ander, ook niet als jouw intentie kwaadwillend is. Je moet dus zoeken naar zaken als denial of service (je hindert toegang tot het andere netwerk) of het aftappen van communicatie (men beoogt het andere netwerk het connectieverzoek te sturen).
Met name die laatste lijkt me relevant. Art. 139c Wetboek van Strafrecht verbiedt
opzettelijk en wederrechtelijk met een technisch hulpmiddel gegevens [aftappen of opnemen] die niet voor hem bestemd zijn en die worden verwerkt of overgedragen door middel van telecommunicatie of door middel van een geautomatiseerd werk.De lezing is dan dat door het nepnetwerk op te zetten, de slachtoffers jou gegevens sturen die niet voor jou bestemd zijn. Immers men wilde het échte netwerk met die naam hebben.
Indirect is hiermee het enkele opzetten van dat nepnetwerk ook strafbaar, namelijk als poging (art. 45 WvSr) tot het plegen van strafbaar aftappen. Er moet dan een “een begin van uitvoering” zijn, wat hier eenvoudig te bewijzen is omdat het netwerk zich voordoet als het echte netwerk en daar in de buurt ook opgesteld staat.
Arnoud
