Hoe ver kun je gaan met antiwettelijke systemen ontwikkelen?

| AE 11488 | Regulering | 17 reacties

Coercion-resistant design, ik vertaal het maar als antiwettelijke systemen maar het is het niet helemaal. De Engelse term kwam ik vorige week tegen bij BoingBoing, hij blijkt uit 2016 te dateren en refereert naar technische tegenmaatregelen die onwelgevallige juridische eisen omzeilen of zinloos maken. Het bekendste voorbeeld is de warrant canary, een tekstje in je jaarverslag dat je géén geheim bevel hebt gehad dit jaar. Als je die volgend jaar niet opneemt, overtreed je geen geheimhoudingsbevel want je zegt niets, maar de goede verstaander weet hoe het zit. Hoe sterk is dat nou?

De continue interactie tussen recht en techniek is een van de meest fascinerende aspecten van het internetrecht. Natuurlijk heb je in elk rechtsgebied dat mensen iets doen om de wet te omzeilen (pardon, te “ontwijken”) maar in de ict gebeurt dit zo veel, zo grootschalig en zo expliciet dat ik het echt wat anders vind. Zo ook de omgang met coercie of dwang vanuit de overheid. De neiging om daar dan iets tegen in te bouwen is volgens mij specifiek voor dit rechtsgebied/vakgebied.

Kan het? Ja, er zijn zeker ‘trucs’ mogelijk om wettig gegeven bevelen onmogelijk te maken of hun werking te neutraliseren. Ik zeg truc tussen aanhalingsteken omdat het vaak neerkomt op het vermijden van de jurisdictie. (Stel je krijgt een bevel in Seattle, Washington dat je data moet afgeven. Dat je dan zegt, het datacenter staat in Duitsland dus ik kan er niet bij, vind ik niet echt een truc.)

Je kunt dat in software bouwen of het organisatorisch inrichten. Een voorbeeld van BoingBoing is dat je voor bepaalde aanpassingen aan je software twee digitale handtekeningen eist van mensen in twee jurisdicties, zodat er niet één overheid is die kan verplichten tot een zekere aanpassing (zoals een achterdeur). De persoon in de andere jurisdictie zal daar niet aan meewerken en kan niet worden gedwongen.

De onderliggende aanname is vaak wel dat overheden bepaalde dingen niet kunnen of mogen. Bij die warrant canary bijvoorbeeld is de aanname dat je niet gedwongen kunt worden een leugenachtige uitspraak te doen (“Wij hebben dit jaar wederom geen geheime bevelen gehad”, terwijl je die wél hebt gehad). Als die aanname niet klopt – en ik blijf erbij dat je bij canaries gedwongen kunt worden te liegen gezien de bedoeling van de geheimhouding – dan gaat zo’n juridische hack onderuit.

De voornaamste toegevoegde waarde van dit soort ontwerpen is denk ik vooral dat je expliciet nadenkt over eventueel misbruik van je dienst. Als alle communicatie via jouw servers gaat, is het goed te beseffen dat je gedwongen zou kunnen worden bepaalde berichtuitwisseling op te nemen, af te geven of te manipuleren. Daar op voorhand in je design rekening mee houden wanneer je dat niet wilt laten gebeuren is dan alleen maar goed. En ook dat is uniek aan internetrecht: het in programmeren van ethiek, van moreel besef.

Arnoud

Mag je mensen klimaatcriminelen noemen als je dat vindt?

| AE 11485 | Uitingsvrijheid | 44 reacties

“Een ruime maand geleden schreef ik een column waarin ik mezelf voornam klimaatontkenners vanaf nu ‘klimaatcriminelen‘ te noemen.” Dat las ik bij Sargasso, en zowel die column als dit vervolg maakte een hele berg reacties los. Het leidde zelfs tot een formele definitie en een prijsuitreiking voor de klimaatcrimineel van het jaar. Veel van de discussie focuste op de soort-van juridische vraag of je dat wel mag zeggen, dat mensen criminelen zijn terwijl ze niets strafbaars doen. Is dat wel oké, mensen met een andersluidende mening wegzetten als wetsovertreders en ze zo buiten het debat zetten? Of is het gewoon ook een mening, ik vind jou een crimineel?

Juridisch beoordelen of een uitspraak strafbaar is, doe je nooit door te kijken naar de uitspraak alleen. Het gaat altijd om de gehele context waarin de uiting is gedaan, wat er zoal aan vooraf ging en waar de spreker op uit was. De omstandigheden van het geval, zo luidt dan de juridische standaardfrase. Wat zoveel betekent als, er is geen algemene regel, maak maar een inschatting.

Een belangrijke factor daarbij is wel in hoeverre de uitspraak deel is van een groter debat. Zomaar iemand crimineel noemen, of in een verhitte discussie na vele uitwisseling van argumenten terugvallen op “je bent gewoon crimineel” zijn twee heel verschillende dingen. Zeker als er al vaker stevige uitspraken voorbij zijn gekomen, en dat zie je hier zeker: insinuaties dat klimaatalarmisten onder valse voorwendselen handelen, dat klimaatwetenschappers frauderen en ga zo maar door. En ook de andere kant op: dat klimaatontkenners opzettelijk liegen en verdraaien, dat het trollen zijn en niet geïnteresseerd zijn in discussie. En het maakt dan op zeker moment niet meer uit wie er precies gelijk heeft.

Wat een hele goede factor in het voordeel van Sargasso is, is dat ze gekozen hebben voor een expliciete definitie van wat een klimaatcrimineel is:

(1) door middel van een autoriteitsclaim – omdat een beroep op autoriteit/gezag/kennis meer gewicht geeft aan het standpunt en dus meer invloed heeft op de discussie/meningsvorming,
(2) mis- of desinformatie – het gaat om informatie die niet gefundeerd is op voor die tijd logische of empirisch houdbare hypothesen en theorieën, die bijvoorbeeld niet onderworpen zijn aan peer review, opzettelijk of onopzettelijk,
(3) op het gebied van klimaatwetenschap en/of antropogene – door de mens veroorzaakte – klimaatverandering,
(4) actief onder het publiek verspreiden – de standpunten moeten actief onder een breder publiek en in het openbaar verspreid worden.
Als je aan deze vier voorwaarden voldoet, dan is het aannemelijk dat je schade veroorzaakt doordat je bijdraagt aan uitstel of afstel van klimaatactie.

Met zo’n duidelijke en gemotiveerde afbakening én een onderliggend algemeen belang is het toegestaan om zo’n kwalificatie aan mensen toe te dichten. Dat concludeer ik uit het Kwakzalverij-arrest uit 2009 van de Hoge Raad. Het klimaat is een maatschappelijk belangwekkend onderwerp, en als je daarin dingen mis ziet gaan door mensen die aan bovenstaande vier factoren voldoen dan mag je die mensen een heel stevig verwijt maken. De term ‘crimineel’ kan ik dan wel billijken.

Natuurlijk is het gek om zo’n juridische term te gebruiken voor iets dat niet juridisch verboden – laat staan strafbaar – is. Maar de term ‘crimineel’ heeft niet alleen een juridische betekenis (wie echte purist is, zal concluderen dat de wet de term crimineel in het geheel niet noemt), ook een maatschappelijke. Mensen vatten die term niet alleen op alsof iemand de strafwet overtreedt. En er hoeft dus ook geen sprake te zijn van een strafbaar feit voordat je iemand ‘crimineel’ mag noemen.

Ik zou het bepaald onprettig vinden om zo’n label op me geplakt te krijgen als ik te goeder trouw meende dat ik het algemeen belang diende door klimaatalarmisme te bestrijden. Zeker als ik daar bewijs voor had en mezelf als autoriteit zag. Maar ik zou in dat geval juridisch echt pech hebben als ik een smaadzaak of iets dergelijks wilde starten. Heel kort door de bocht, dat is nu eenmaal hoe dit klimaatdebat gaat vandaag de dag.

(NB inhoudelijke discussie over klimaatverandering onder deze blog is offtopic)

Arnoud

Van BBS tot FAMA en AI: vijftien jaar internetrecht in vogelvlucht

| AE 11481 | Informatiemaatschappij | 1 reactie

Waarover ging het eerste vonnis op het gebied van internetrecht? Volgens de onvolprezen jurisprudentiebundel van mr. Tina van der Linden was dat een Bulletin Board System (BBS) dat werd aangesproken op illegaal ter download aangeboden software. BBS’en bestaan niet meer, illegale software nog wel. Maar de kwestie van hoe illegale downloads onder het recht vallen, is welhaast zo alledaags geworden dat een junior medewerker van stichting BREIN zich afvraagt waar de AI blijft die deze kan afhandelen. Nee, de controversiële onderwerpen van vandaag in het internetrecht richten zich op heel andere afkortingen: naast AI de bezigheden van Facebook, Apple, Microsoft en Alphabet en de AVG versus de tracking pixel en andere technologie.

Een verschuivend rechtsgebied
De termijn van vijftien jaar is natuurlijk arbitrair. Internet, althans ICT, en de rechtsvragen die door deze technologie werden opgeroepen zijn al veel ouder dan dat. Maar natuurlijk werd dat niet vanaf het eerste moment als apart rechtsgebied onderkend. Curieuze kwesties en lastige feitencomplexen zijn van alle tijden in het recht. Maar op zeker moment ontstond toch een soort van consensus dat er iets was dat we internetrecht, ICT-recht of technologierecht zouden kunnen noemen.

Zoals ik recent nog blogde, de definitie van wat internetrecht dan is, lijkt vaak neer te komen op het feit dat het zwaartepunt van de rechtsvraag zich bevindt in een internet- of ict-aspect van de zaak. Oftewel: hoe ingewikkeld is het om de ict-georienteerde feiten juridisch te duiden of het best passende wetsartikel te vinden. En cynisch gezegd: pas als het zo ingewikkeld is dat de gemiddelde jurist deze duiding nog niet kan uitvoeren.

Zo cynisch hoeft het echter niet te zijn. Verfrissender is het gezichtspunt dat de kwalificatie van deze aspecten nieuw is en daarmee diepgaande aandacht vraagt. Bij dat BBS kon serieus nog de vraag worden opgeworpen of men wel van openbaarmaken kan spreken als iemand per telefoon rare piepjes genereert. Enkele jaren later speelde het debat of op een website op “Akkoord” klikken leidde tot een rechtsgeldige overeenkomst. Of wat denkt u van de jurisdictie-vraag wanneer een Griek in Duitsland via een app bij het in Nederland gevestigde Booking.com een hotelkamer boekt. Dit zijn geen klassieke kwesties in andere rechtsgebieden, en dus krijgt de internetjurist ze op het bord.

Of men het nu cynisch bekijkt of niet, een inherent kenmerk van internetrecht is dat wanneer de technische aspecten voldoende breed begrepen zijn, een casus minder snel als internetrecht wordt gekwalificeerd. Een aankoop bij een webwinkel is anno 2019 een standaardcasus in het consumentenrecht, bijvoorbeeld. Eind jaren negentig kon men menig juridisch congres vullen met internetrechtelijke vragen over dit onderwerp. Het is volgens mij uniek dat een rechtsgebied door de tijd heen ‘opschuift’ en rechtsvragen afschuift naar andere gebieden.

Zesentwintig woorden schiepen het internet
Het voorbeeld van het BBS onderstreept dat auteursrecht het eerste rechtsgebied was waar internetrechtelijke kwesties langskwamen, al was het ook toen al zeker zo dat contractuele kwesties rond ict-projecten actueel waren. Niet zo gek ook: het internet is ontworpen om informatie uit te wisselen, en auteursrecht is ontworpen om de verspreiding van informatie te reguleren. Daarnaast waren (en zijn) auteursrechthebbenden vaak goed geëquipeerd om hun rechten te handhaven. De eerste faxen met sommaties en schadeclaims volgden dan ook al vrij snel.

Een complicatie die daarbij zich vaak voordeed, was dat de partij die aan te wijzen was als verantwoordelijk voor de verspreiding, niet feitelijk de partij was die dit in gang zette. Webhostingbedrijven, internetproviders, forumbeheerders – en die meneer die het BBS beheerde, de sysop in de inmiddels vergeten terminologie – kregen met deze claims te maken. Dat was natuurlijk niet helemaal de bedoeling; niet zij maar de klant verrichten de onrechtmatige daad, en hoe kun je als bedrijf klanten informatie laten verspreiden als jij de schadeclaims krijgt? Moet een tussenpersoon zoals een internetprovider niet juridisch beschermd worden?

In Nederland kreeg deze kwestie zich medio jaren negentig grote aandacht toen publiciste Karin Spaink op haar website bij internetprovider XS4ALL publiceerde over de Scientology-beweging, daarbij citerend uit gelekte stukken van de organisatie zelf. Deze greep naar de auteursrechtelijke wapens om hier een eind aan te maken. Het Gerechtshof Den Haag bepaalde in 2003 echter dat de publiciste het gelijk aan haar zijde had – en dat de provider niet zelf aan te spreken was op auteursrechtinbreuk door haar klanten.

Ditzelfde thema kwam in andere landen terug, met name in de Verenigde Staten waar Section 230 van de Communications Decency Act in 1996 providers een keiharde wettelijke vrijwaring van aansprakelijkheid gaf voor handelen van hun klanten. Met de nuance van de Digital Millennium Copyright Act – dien uw auteursrechtelijke klacht bij de provider in en deze zal onmiddellijk ingrijpen – leidde dit tot een explosie aan online diensten waarbij gebruikers zaken konden plaatsen of versturen, zonder dat de provider continu zorgen hoefde te hebben over aansprakelijkheid. In bloemrijke taal is Section 230 daarom wel “The Twenty-Six Words That Created the Internet” genoemd.

Europa was met haar e-commercerichtlijn (2000) iets genuanceerder: een provider moest niet alleen op auteursrechtelijke klachten ingrijpen, maar op iedere beweerdelijke onrechtmatige daad wanneer deze ‘onmiskenbaar’ was. In de praktijk ging dit vrijwel altijd over auteursrechten, zodat de Europese en Amerikaanse praktijk op dit punt gelijk op ging. Naast auteursrechten waren overigens ook de merken en handelsnamen een belangrijk thema, met name rond de domeinnamen en online advertenties.

Van auteursrecht naar privacy
Amerikaanse jurisprudentie en richtsnoeren zijn in het internetrecht sowieso zeer zwaarwegend geweest in de beeldvorming rond dit rechtsgebied. Eind jaren negentig verscheen bijvoorbeeld de Databeschermingsrichtlijn, die strenge regels over omgang met persoonsgegevens stelde. Deze wet werd vrijwel compleet genegeerd in ICT-land. Ja, iedereen had netjes een privacy policy op de site waarin stond hoe men omging met persoonlijke gegevens van de bezoeker, maar dat was ingegeven door een aanbeveling van de Amerikaanse Federal Trade Commission dat transparantie en informatie over gegevensverwerking iets is dat een eerlijk ondernemer gewoon doet. Wat de sector oppakte als “zeg in wollige taal wat je doet, en dan mag alles”.

De Databeschermingsrichtlijn stond een heel ander regime voor. Wees expliciet en specifiek, vraag toestemming, let op je beveiliging en doe geen dingen die mensen raar, onverwacht of opdringerig vinden. Daar kwam dus weinig van terecht, mede omdat Europese handhaving sterk gefragmenteerd was en zich nauwelijks richtte op de online omgeving. Plus het feit dat er in de meeste landen geen boetebevoegdheid bij toezichthouders was.

De Algemene Verordening Gegevensbescherming, met strenger geformuleerde regels, veel bozere taal en vooral giga-boetes, zie ik dan ook als niets minder dan een aardverschuiving. Bedrijven moesten nu ineens serieus iets met privacy, en dat was lastig omdat daar nooit echt over was nagedacht. Nieuwsbriefsoftware volgde mensen standaard in hun leesgedrag, online advertenties registreren iedere klik in een interesseprofiel, security software monitort gedrag en ga zo maar door. Kennis over mensen bleek in de tussentijd een zeer waardevol bedrijfsbezit. Maar vanuit de AVG zien we nu langzaam maar zeker een tegenbeweging ontstaan tegen deze datahonger van met name Amerikaanse bedrijven.

De rol van data
Data is juridisch niets, roep ik al geruime tijd. Eigendom op digitale data is niet mogelijk, omdat deze de essentiële eigenschap van uniciteit ontbeert. Dat bepaalde onze Hoge Raad in het Computergegevens-arrest, dat een nuance op het bekende Elektriciteits-arrest vormde. Met name de opkomst van de cloud en software-as-a-service heeft de randen en risico’s van deze rechtspositie blootgelegd. (Het Runescape-arrest dat eigendom op virtuele objecten toepasselijk verklaarde is daar dan weer een specifieke nuance binnen.)

Deze wankele positie verbaast nogal. Data is centraal in de kenniseconomie. Data is the new oil, zo luidde het motto op menig venture capital pitch. Je zou dus zeggen dat als er iets juridisch beschermd moet zijn, dat het dan data is. Maar dat is dus niet zo. Data is een artefact van het juridische feit dat ict-diensten eigenlijk hetzelfde worden behandeld als andere dienstverlening (de overeenkomst van opdracht). En met artefacten houdt het recht geen rekening.

ICT is dienstverlening. U vraagt, wij draaien. Of het nu gaat om het opslaan van bestanden, het berekenen van aanbevelingen of het doorzoeken van websites. Data is daarbij essentieel maar tegelijk dus onbeschermd. Juridisch gezien is Google een slimme hotelconciërge die het beste tentje voor je weet en onthoudt waar je de vorige keer was. Die conciërge kun je ook niet vragen om een kopie van ‘jouw’ data.

Ook juridisch ongeregeld: toegang tot de diensten die die data verwerken. Het continuïteitsprobleem, in de literatuur. Diensten stoppen af en toe, en waar sta je dan als afnemer? Dit is wederom volstrekt ongeregeld. Stoppen mag, en wie dan afhankelijk was van die dienst die heeft juridisch gezien gewoon pech gehad. Dat is een probleem: die afhankelijkheid is groot en het probleem bij stoppen dus acuut. Gefragmenteerde rechtspraak tot nu toe laat niet echt een heldere lijn zien waar dit heen moet gaan.

De komende vijftien jaar
Toegang tot online diensten en gebruik van data gaan hét thema worden de komende vijftien jaar. Het kan niet waar zijn dat het recht geen antwoord heeft op een dergelijk fundamenteel probleem als zou men geen toegang kunnen eisen tot diensten waar men sterk afhankelijk van is, als platforms machtiger zijn dan overheden maar zich niet zo opstellen en als data onbruikbaar wordt omdat een opslagprovider dat zo beschikt.

De eerste slagen zullen worden gevochten rond de inzet van data bij wat vroeger big data heette en nu artificial intelligence: analyses op grote bakken met data om voorspellingen te doen en op basis daarvan beslissingen. De AVG zal daarbij een leidende rol spelen. Maar dit zal slechts een voorhoedegevecht blijken voor de grotere open rechtsvraag: welke positie heeft zo’n supermachtig platform als Facebook of Alphabet nu eigenlijk? Niet alleen aansprakelijkheid, zoals in de jaren negentig, maar ook andere vragen – de positie van de burger, de bevoegdheid tot privaat regels stellen, en ga zo maar door.

Meer leren én meediscussiëren over dit onderwerp? Kom dan naar mijn congres The Future is Legal op 15 november.

Arnoud

Wie toestemming onder de AVG vraagt, snapt de AVG niet (of heeft een nieuwsbrief)

| AE 11479 | Privacy | 33 reacties

Een lezer vroeg me: Van mijn garagebedrijf kreeg ik een toestemmingsformulier voor het verwerken van mijn gegevens: opname in klantenbestand, verstrekking van mijn persoonsgegevens aan derden in het kader van betalingen en verstrekking van mijn persoonsgegevens aan partners in het kader van een goede dienstverlening, zover dit nodig is. Waarom eist de AVG in hemelsnaam… Lees verder

Hoe bewijs je of een creditcard echt of vals gebruikt wordt?

| AE 11473 | Informatiemaatschappij | 8 reacties

Stel er wordt een creditcard op je naam aangevraagd en gebruikt, hoe bewijs je dan dat jij dat niet was? Met die vraag zag een man in Noord-Holland zich onlangs geconfronteerd, toen hij werd gedagvaard door American Express wegens het niet voldoen van de schuld die op die kaart was opgebouwd. De kaart was via… Lees verder

Politiekorpsen VS mogen Ring-video’s eeuwig bewaren en onbeperkt delen, en bij ons?

| AE 11469 | Privacy, Regulering | 7 reacties

Politiekorpsen in de VS die van buurtbewoners video’s ontvangen van slimme deurbel Ring mogen dat beeldmateriaal eeuwig bewaren en onbeperkt delen met bijvoorbeeld andere korpsen of overheidsinstanties. Dat las ik bij Tweakers. Het vervolgt eerdere berichten dat Ring in de afgelopen jaren samenwerkingsovereenkomsten heeft gesloten met vierhonderd korpsen in de VS, die zo toegang krijgen… Lees verder

Mogen verse ouders de kraamverzorger in de gaten houden met de babycam?

| AE 11465 | Privacy | 35 reacties

Een lezer vroeg me: Wij zijn een kraamzorgbureau met drie vaste verzorgenden. Recent kwam een van onze medewerkers bij een nieuwe cliënt thuis, die vertelde dat er diverse camera’s hingen om de baby te kunnen zien én, ik citeer, “om te zien wat de kraamverzorgende op een dag doet.” Dat voelde zeer onprettig dus zij… Lees verder

Move fast & break things, is dat innovatie of moedwillig wetsovertreden?

| AE 11468 | Informatiemaatschappij | 12 reacties

Move fast & break things, is al jaren het motto in Silicon Valley. De term komt van Facebook en was ooit bedoeld om hun interne processen en cultuur te schetsen, maar past heel goed bij hoe internetdiensten zich hebben gemanifesteerd. Snel de markt op, snel groeien en daarna kijken we wel wat er eventueel stuk… Lees verder

Is het inbouwen van backdoors in je encryptiesoftware verplicht?

| AE 11462 | Regulering, Security | 11 reacties

Een lezer vroeg me: In Australië is sinds vorig jaar een wet van kracht die techleveranciers verplicht om backdoors in te bouwen in hun software als die end-to-end encryptie toepast. Hoe zit dat in Nederland, geldt die plicht bij ons ook zo? Eind vorig jaar is in Australië inderdaad een wet aangenomen, de Assistance and… Lees verder

Wat mag je nog met tracking pixels tegenwoordig?

| AE 11460 | Privacy | 25 reacties

orgverzekeraars maken gebruik van omstreden tracking-software die is verstopt in e-mails aan klanten, zo meldde Radio 1 onlangs. Deze reportage was een vervolg op eerdere berichten dat onderwijsdienst DUO trackers gebruikte om te zien of studenten hun mail wel lazen, zonder dit te melden. Dat zou in strijd zijn met de AVG. DUO is ermee… Lees verder