Laadpaalkleven mag in principe, oordeelt de Hoge Raad

| AE 13552 | Regulering | 29 reacties

Het is niet verboden een elektrische auto bij een laadpaal te laten staan als die al is opgeladen, meldde de NOS onlangs. De Hoge Raad oordeelde namelijk dat het niet relevant is of je accu daadwerkelijk aan het laden is, het gaat om het doel van daar staan. Ziet een gemeente dat anders, dan moeten ze hun APV maar aanpassen, als ik het goed begrijp.

Het probleem van laadpaalkleven is bij veel elektrischeautobezitters bekend: iemand staat op een laadplek maar de accu is geheel vol (te zien aan het groene lampje), terwijl jij die net wil laden nu niet terecht kan. Steeds meer gemeenten doen daar wat aan, meestal met het verkeersbord E04 met onderbord ‘opladen elektrische voertuigen’.

In de zaak die tot dit arrest leidde, had een man in Den Haag bij zo’n plek geparkeerd met het doel om te laden, maar had zijn auto dus laten staan nadat de accu vol was. Hij kreeg daarop een naheffing parkeerbelasting, die hij aanvocht met het argument dat hij helemaal niet aan het laden was. Eh, pardon? Ja, dat is een goed argument: op een parkeerplaats parkeren in strijd met het onderbord is verboden, en alleen op plekken waar je toegestaan parkeert, kun je een naheffing parkeerbelasting krijgen. (Hij had een parkeerboete van 95 euro kunnen krijgen inderdaad, maar dat is niet gebeurd.)

In april blogde ik over een zaak van het Hof Arnhem waarin men het wél boetewaardig (die 95 euro) vond om op een laadplek te blijven staan nadat de accu vol was. Dat deden ze in juni nog eens over, met een niet mis te verstane formulering:

Het hof stelt voorop dat geen sprake is van parkeren met het doel “opladen elektrische voertuigen” wanneer het voertuig niet daadwerkelijk wordt opgeladen. Dat een voertuig gedurende enige tijd wordt opgeladen nadat het op een daarvoor bestemde parkeerplaats wordt neergezet, doet er niet aan af dat het parkeren niet (meer) met dit doel plaatsvindt wanneer de batterij vol is (vergelijk het arrest van dit hof van 17 maart 2022, ECLI:NL:GHARL:2022:2105).
De gemeente Den Haag had natuurlijk belang bij die naheffing, en stelde zich dan ook op het standpunt dat hij wél geparkeerd stond met het doel om te laden, immers de auto was aangesloten en had kunnen laden. Dat de auto feitelijk geen stroom afneemt, is een detail: het had gekund. De auto stond dus geparkeerd om te laden, en die status houd je tot je wegrijdt. En de Hoge Raad gaat daarin mee:
De omstandigheid dat de accu van een elektrische auto die is aangesloten op een laadpaal op enig moment niet of niet meer wordt opgeladen, dwingt, anders dan het middel veronderstelt, niet tot de gevolgtrekking dat de auto op de desbetreffende parkeerplaats is geparkeerd met een ander doel dan het opladen van de accu van die auto. De heffingsambtenaar is in een dergelijk geval niet gehouden nader onderzoek te doen naar het doel waarmee de auto is geparkeerd.
Bijgevolg mogen paalklevers dus inderdaad voor onbepaalde tijd blijven staan, zolang ze maar parkeerbelasting betalen. Een gemeente die dat vervelend vindt, moet dus andere maatregelen nemen zoals een eindtijd voor überhaupt daar parkeren.

Arnoud

 

Moet je van de AVG een wachtwoordresetoptie bieden?

| AE 13540 | Security | 20 reacties

jarmoluk / Pixabay

Een lezer vroeg me:

Via een kennis kwam ik te weten dat er een datalek inclusief wachtwoorden is geweest bij een site die ik al lang niet meer gebruik. Ik wilde desondanks het wachtwoord wijzigen, maar bleek dat te zijn vergeten. Tot mijn verbazing ontbrak echter de “wachtwoord vergeten” procedure. Is dat niet verplicht onder de AVG?
De AVG eist van iedere dienstverlener dat die persoonsgegevens ‘adequaat’ beschermt tegen onbevoegde toegang, misbruik en datalekken. Daar zit geen harde lijst met eisen aan vast, een verwerkingsverantwoordelijke moet zelf inschatten wat ‘adequaat’ in zijn situatie inhoudt. (Doe je dat niet of niet goed, dan krijg je een boete.)

Deel van adequate beveiliging is ook om kunnen gaan met de gevolgen van datalekken en ander problemen met wachtwoord-beveiligingen. Het kunnen veranderen van wachtwoorden is dus eigenlijk wel een vereiste. Maar hoe je dat implementeert, daar heb je echt nog steeds enige vrijheid in.

Het is logisch en laagdrempelig om een wachtwoord vergeten-optie toe te voegen, dus wat mij betreft is dat een “verplicht tenzij”: dit moet je gewoon hebben, tenzij je uit kunt leggen (en ook uit hébt gelegd in je AVG compliance documentatie*) waarom in jouw situatie zo’n resetmogelijkheid niet opgaat en wat je dan als alternatief hebt bedacht.

Ik zou zelf geen reden kunnen bedenken waarom je zonder een reset-optie wilt werken. Het alternatief is dat mensen de helpdesk moeten benaderen, maar dat duurt langer dan zelf resetten en dat is dan een langere periode waarin accounts kwetsbaar zijn. Er is natuurlijk het risico dat kwaadwillenden andermans account proberen te resetten, maar dat is hooguit overlast en daar zijn op zich ook weer genoeg maatregelen tegen.

  • Bij de AVG werkt het zo dat als je het niet vooraf bedacht en toegelicht hebt in je schriftelijke documentatie, het niet telt. Zonder documentatie ben je niet compliant, art. 5 lid 2 AVG.

Arnoud

Is het strafbaar om je kwetsbare router uit 2016 te blijven gebruiken?

| AE 13549 | Security | 41 reacties

Een lezer vroeg me:

Naar aanleiding van de recente besmetting van oudere D-Link routers vroeg ik me af: is het blijven gebruiken van een besmet apparaat, waarmee bijvoorbeeld ddos-aanvallen worden uitgevoerd waar de eigenaar geen last van heeft, strafbaar? Ben je verplicht om bij een vastgestelde besmetting actie te ondernemen?
Die oudere D-Link routers blijken kwetsbaar voor de Mirai-botnetsoftware, en omdat hiervoor geen updates meer beschikbaar komen (al sinds 2016) is het een kwestie van tijd totdat ze besmet raken. Er is dus weinig aan te doen behalve je router vervangen, en dat is een lastige want voor de consument-gebruiker lijkt het ding nog prima te werken.

Er is althans op papier een mogelijkheid om het strafbaar te noemen dat je met zo’n apparaat door blijft werken. Art. 350b Strafrecht bepaalt namelijk in lid 2:

Hij aan wiens schuld te wijten is dat gegevens wederrechtelijk ter beschikking gesteld of verspreid worden die zijn bestemd om schade aan te richten in een geautomatiseerd werk, wordt gestraft met gevangenisstraf of hechtenis van ten hoogste een maand of geldboete van de tweede categorie.
Malware zoals Mirai verspreidt zichzelf en heeft als doel schade aan te richten (door ddos-aanvallen, waar die router dan aan meedoet), dus dat valt onder het begrip ‘gegevens’ uit dit wetsartikel. De vraag is dan dus: heb je juridisch gezien “schuld” aan dat verspreiden als je een niet meer te updaten router aan laat staan, wetende dat Mirai actief zoekt naar (onder meer) dit type apparaat?

De term “schuld” is een trapje lager dan “opzet” (met daartussen de “voorwaardelijke opzet”). Kort door de bocht is de vraag of je dit risico redelijkerwijs had kunnen voorzien en het desondanks voor lief hebt genomen. Weet een gemiddeld gebruiker dat zijn D-Link router niet meer wordt bijgewerkt sinds 2016?

Daar komt bij: wat kon je redelijkerwijs doen om het gevaar af te wenden? De enige optie lijkt te zijn, de router vervangen. Voor 50 euro heb je al een prima router voor thuis, maar ik geef toe dat lang niet iedereen zo even 50 euro over heeft voor een nieuw apparaatje (dat is een modaal weekbudget boodschappen) als de oude het nog doet, nog los van de tijd (en ict-kennis) om zo je netwerk opnieuw in te richten.

En dat moet je dan tegenover de impact stellen: het is niet zo dat jóuw router wereldwijd enorme schade aanricht, je bent een klein deeltje van een enorm netwerk. Cynisch gezegd maakt het dan weinig uit dat enkel en specifiek jij je router vervangt, die aanval komt er toch wel want de totale massa aan geïnfecteerde systemen is enorm. Maatschappelijk is het gewenst dat iedereen die apparaten vervangt, maar daar is dus geen juridische prikkel voor.

Arnoud

Cloudflare blokkeert stalkerforum wegens ‘acute dreiging voor mensenlevens’, dit blijkt controversieel

| AE 13546 | Regulering, Uitingsvrijheid | 5 reacties

Cloudflare blokkeert websites normaal niet, maar ziet in de website Kiwifarms een ‘acuut noodgeval en een onmiddelijke dreiging voor mensenlevens’. Dat meldde Tweakers vorige week. De site is berucht vanwege haar veelvuldige intimidatie van online persoonlijkheden en gemeenschappen, met meerdere zelfmoorden tot gevolg. Ze zouden zich daarbij vooral richten op minderheden, vrouwen, lhbt-personen of neurodiverse personen. Nadat… Lees verder

Man die persoonsgegevens stal uit GGD-coronasysteem veroordeeld door rechtbank

| AE 13538 | Regulering, Security | 27 reacties

De rechtbank in Utrecht heeft een 23-jarige Rotterdammer veroordeeld voor de diefstal van persoonsgegevens uit het coronasysteem van de GGD in 2020. Dat meldde Tweakers vorige week. Het is een vervolg op een ontdekking uit januari vorig jaar, toen grootschalig bleek te worden gehandeld in GGD-gegevens uit deze systemen. Er werden toen ook twee mensen… Lees verder

Mag een abonnementsverlener eisen dat ik een toegangspas met foto gebruik?

| AE 13536 | Ondernemingsvrijheid, Privacy | 6 reacties

Een lezer vroeg me: Ik heb een abonnement voor toegang tot dierentuinen genomen. Daarbij stond in de voorwaarden dat het abonnement persoonlijk is, en om dat af te dwingen moest er een foto bij. Mijn foto werd echter automatisch afgekeurd omdat deze zoals een ‘echte’ pasfoto van voren, neutraal kijkend en beide oren in beeld. Is dit allemaal toegestaan?… Lees verder

Amazon Prime vertraagt reviews met drie dagen bij Amazon’s Rings of Power

| AE 13533 | Ondernemingsvrijheid, Uitingsvrijheid | 46 reacties

Streamingdienst Amazon Prime Video heeft stilletjes een vertraging ingebouwd in zijn reviewsysteem voor films en series, las ik bij RTL Nieuws. Zo moeten neprecensies, bots en internettrollen worden afgevangen die met review bombing hun ongenoegen willen uiten over  de artistieke vrijheid die de schrijvers nemen met het verhaal en de inzet van acteurs van kleur. Bij… Lees verder

Mag de staat Californië gerechtelijke databevelen uit andere staten aan banden leggen?

| AE 13530 | Regulering | 4 reacties

Met een nieuwe wet wil de staat Californië een “data haven” worden voor gegevens over reproductieve gezondheid. De wet verbiedt het verstrekken van gegevens aan politiediensten uit de hele VS wanneer het onderzoek een mogelijke abortus betreft die in Californië legaal zou zijn. Dit is opmerkelijk, omdat in de VS de staten eigenlijk altijd elkaars… Lees verder

Kan Musk dankzij die Twitter-klokkenluider dan misschien wél van de aankoop af?

| AE 13528 | Ondernemingsvrijheid | 6 reacties

Voormalig hoofd beveiliging van Twitter en klokkenluider Peiter Zatko is door Elon Musk gedagvaard, meldde Tweakers vorige week. Een week eerder had Zaitko bij CNN en de Washington Post de alarmklok geluid: Twitter zou ‘een abnormaal hoog aantal beveiligingsincidenten kennen’, de software is hopeloos verouderd en het management heeft geen idéé hoe veel bots er… Lees verder

Oostenrijkse providers blokkeren Cloudflare-IP’s na gerechtelijk bevel

| AE 13524 | Informatiemaatschappij, Regulering | 13 reacties

In Oostenrijk zijn IP-adressen van Cloudflare geblokkeerd bij meerdere providers omdat websites die illegale software en media aanbieden daar gebruik van maken. Dat meldde Tweakers vorige week. Een foutje, een auteursrechtwaakhond had die IP-adressen per ongeluk opgenomen in een blokkadelijst die gericht was tegen de downloadsite Newalbumreleases punt net. Pijnlijk, want Cloudflare hergebruikt IP-adressen zeer… Lees verder