Nederlandse overheid werkt aan classificatiesysteem voor sociale media

Het Nederlandse ministerie van Binnenlandse Zaken gaat in 2025 na hoe een onafhankelijk classificatiesysteem voor digitale diensten zoals sociale media kan worden opgezet. Dat meldde Tweakers onlangs. In een Kamerbrief verwijst men naar het systeem Gamecheck, met icoontjes bij games voor ouders die aangeven welke verleidingstechnieken er in een game zitten.

In de brief legt men uit:

Naast dat bedrijven hun digitale diensten voor minderjarigen veilig moeten maken, moeten ouders hun kinderen goed begeleiden bij het gebruik van digitale diensten. Ik zie dat ouders vaak niet goed weten wat digitale diensten precies inhouden. De meeste ouders gebruiken apps als SnapChat of Roblox zelf niet en weten daardoor niet goed wat de risico´s zijn. Betere informatie hierover is van belang.
Die informatie wil men dus primair verstrekken met icoontjes, omdat je dan in één oogopslag ziet waar het over gaat. Dat is dus precies zoals de Kijkwijzer, vandaar het plaatje hiernaast dat die laat zien. Er is ook de Gamewijzer (ik denk dat dit hetzelfde is als Gamecheck), en die werkt onafhankelijk:
Wij signaleren welke games populair zijn onder kinderen en jongeren. Deze games krijgen een Gamewijzer: een overzicht van alles wat je als opvoeder over deze game moet weten. Welke games populair zijn bepalen we op basis van verkoop- en downloadcijfers en feedback van consumenten.
Kijkwijzer is (indirect) wettelijk verplicht: beeld “waarvan de vertoning schadelijk is te achten voor personen beneden de leeftijd van zestien jaar” (art. 240a Sr) mag deze personen niet worden vertoond. Een Kijkwijzer-icoon “alle leeftijden” dient dan als bewijs dat dit beeld voor niemand schadelijk is. Het icoon “12” maakt dat het schadelijk is te achten voor mensen onder die leeftijd.

Een game is een “beeld” in de zin van het strafrecht. Daarom mogen games met PEGI classificatie 16 of 18 niet aan minderjarigen worden verkocht. Gamewijzer is daar geen vervanger voor. Deze moet je eerder zien als een uitleg waarom:

  • We vertellen je waar de game over gaat, en wat het doel is. Sommige games hebben een begin, midden en eind. Andere games hebben geen verhaal maar verschillende modes, elk met hun eigen uitdagingen.
  • Je leest wat het PEGI leeftijdsadvies van de game is, en waarom. Zit er grof taalgebruik in, of geweld? En hoe ziet dat geweld er dan uit?
  • Sommige games kunnen op pauze, maar bij veel populaire games is dat niet zo eenvoudig. Als je ‘zo maar’ stopt verlies je. Wij leggen uit hoe je afspraken maakt over deze games.
Ik zie hoe een serie iconen hier nuttig bij kan zijn, maar dit gaat dus eerder over een gestandaardiseerde bijsluiter met symbolen om er snel doorheen te scannen, dan om drie extra iconen naast PEGI of Kijkwijzer.

Arnoud

Als je afspreekt backups te maken, dan zijn niet-gemaakte backups echt voor jouw rekening (ongeacht je algemene voorwaarden)

Photo by Markus Spiske on Pexels

“Leverancier [zal] met inachtneming van de schriftelijk overeengekomen periodes, en bij gebreke daarvan eens per week, een volledige back-up maken van de bij hem in bezit zijnde gegevens van klant.” Toen ging de backup mis en eiste de klant een half miljoen aan schadevergoeding. Kan Leverancier zich dan beroepen op de beperking van aansprakelijkheid uit de voorwaarden?

De klant had met de leverancier gecontracteerd voor ICT beheer bij diverse van haar vestigingen. Daarbij hoorde “Dagelijkse back-up controle” als ict-dienst, en apart gecontracteerd was wekelijks een volledige backup maken. Dit alles voor €150.000 per jaar.

Zoals dat gaat in de ict ging er op zeker iets mis:

Op 3 oktober 2024 bleken na een verdere analyse meerdere servers gecrasht en defect. [Leverancier] heeft de gecrashte servers vervangen, opdat back-ups daarop konden worden geplaatst. Tijdens het herplaatsen is duidelijk geworden dat er sinds juli 2022 geen back-up is gemaakt van de nieuwe server, met als gevolg dat alle data van de nieuwe server vanaf juli 2022, die door de crash verloren zijn gegaan, niet teruggeplaatst konden worden maar definitief verloren zijn gegaan.
Nee, die 2022 was geen typefout:
Vast staat dat de server waar de oude versie van het ERP-systeem op draaide één van de servers was waarvan [leverancier] conform de overeenkomst back-ups maakte. Na de vervanging van deze server door [leverancier] (zie 2.6), is [leverancier] abusievelijk gedurende een jaar lang back-ups blijven maken van de oude server die fysiek niet was verwijderd maar niet langer een functie had. Van de gegevens op de nieuwe server heeft [leverancier] geen back-ups gemaakt.
Diverse lezers zien “ERP-systeem” en schrikken zich nu rot. Want inderdaad is dat een bedrijfskritisch proces, de bedrijfsvoering en het productieproces van de klant ligt nu (gedeeltelijk) stil. En dat is iets dat zeker meeweegt als je als ict-beheerder optreedt.
De voorzieningenrechter acht het dan ook onbegrijpelijk dat [leverancier] in haar hoedanigheid van ICT-beheerder van [klant], na de vervanging van de server waarop dit ERP-systeem draaide, back-ups is blijven maken van de oude server, die niet meer in gebruik was, en geen back-ups heeft gemaakt van (de mutaties op) de nieuwe server. Anders dan door een menselijke fout is dit niet te verklaren.
Wanprestatie dus. Maar zoals vrijwel iedereen in de ict had ook deze leverancier algemene voorwaarden met daarin een stevige exoneratie. Alleen “directe schade tot maximaal het bedrag van de voor die overeenkomst bedongen prijs” van het afgelopen jaar kwam voor vergoeding in aanmerking. [Pet peeve: ‘directe schade’ is geen Nederlands juridisch begrip]

Kun je je daarop beroepen in zo’n situatie? Normaal wel, het zijn twee grootzakelijke partijen en die mogen zo ongeveer alles afspreken dat ze willen over ict-dienstverlening. Maar dat voelt hier wel héél onbillijk. En dat triggert artikel 6:248 lid 2 BW:

Een tussen partijen als gevolg van de overeenkomst geldende regel is niet van toepassing, voor zover dit in de gegeven omstandigheden naar maatstaven van redelijkheid en billijkheid onaanvaardbaar zou zijn.
De belangrijkste omstandigheid die de rechter hier laat meewegen is dat het maken van backups een kernverplichting is van de leverancier. Die term verwijst naar afspraken die de essentie van de overeenkomst raken: dit is waar je voor betaalt, dit is wat je afgesproken had, hoezo mag je dít nalaten zonder dat dat gevolgen heeft?

Ook weegt mee dat het bedrag dat onder die AV moet worden betaald, niet in verhouding staat tot de werkelijke schade. Dit wordt niet uitgespeld maar lijkt te gaan om het verschil tussen € 29.187 wegens uitval productielijnen en € 368.861,73 dat de rechter uiteindelijk toekent. Hadden de AV een plafond van zeg anderhalve ton ingesteld, dan was de discussie mogelijk anders verlopen.

Arnoud

Waar zit het verschil tussen een AI, een algoritme en een beslisregel?

Graafgebaseerde fraude-analyse, bron Grab.com

Wat is het verschil tussen AI, algoritmes en beslisregel? Die vraag krijg ik steeds vaker langs, onder meer bij die recente discussie over het DUO-algoritme dat neerkwam op R1*(R2+R3) en wat vuistregels over die drie variabelen. Is dat wezenlijk anders dan een data-analyse op een set met miljoenen datapunten en maakt het nog uit of je het door ChatGPT haalt voordat je het besluit communiceert?

De wet doet niet echt uitspraken over de technische complexiteit van je systeem. Grofweg zijn er twee wetten die inhoudelijk relevant zijn:

  1. De AI Act, die een systeem “AI” noemt als dat zelfstandig afleidt wat de regels zijn en wat de uitvoer moet zijn gegeven de invoer.
  2. De AVG, die “geautomatiseerde besluitvorming” verbiedt, wat dan weer neerkomt op geen (betekenisvolle) menselijke tussenkomst bij een besluit. Maar niet perse dat dat besluit door AI moet zijn genomen.
Dan zijn er indirect nog wat kaders, met name de Algemene wet bestuursrecht (Awb) waar een jurisprudentie-kader staat over motivatie en duidelijkheid van geautomatiseerde overheidsbesluiten.

Mijn eigen grove schets:

  • Besluiten kunnen via regels worden genomen, waarbij de uitkomst uit een berekening volgt. “Wie meer dan 100 euro besteedt krijgt gratis verzending” is zo’n regel. Dit ter onderscheid van vagere regels als “vaste klanten krijgen korting”.
  • Een samenstel van regels noemen we algoritmes als ze complex beginnen te klinken (ja, zeer subjectief) maar wel via berekeningen tot uitkomsten leiden. Het belastingaangifteformulier is een algoritme: je stopt er allerlei gegevens in, het systeem weegt dit af tegen grenswaarden en criteria en er komt een aangiftebedrag uit. Het dikkeduimsysteem van DUO met hun R1*(R2+R3) is ook een algoritme.
  • Een algoritme noemen we AI als de regels niet door mensen zijn geformuleerd maar door de computer zijn afgeleid. Dat kan bij het bouwen van het systeem (een ML model) of bij het toepassen van het systeem op een casus.
Het plaatje bij deze blog komt van platformdienst Grab, dat veel onderzoek doet naar fraude. Het is een tweedimensionale plot van fraudegevallen en echte bestellingen. Datagedreven inzicht, dus AI in mijn categorisering hierboven. Maar iedereen ziet twee mooie geclusterde groepen fraude (de rode bolletjes), en daar zijn vrij eenvoudig beslisregels van te maken: (X > 25) OR (X > -25 AND Y > 50) isoleren volgens mij 90% van de fraudegevallen.

Een bestelling afwijzen wegens fraude met deze regels is dus algoritmisch, en als daar geen mens bij komt kijken dan loopt dat onder het verbod van de AVG. De regels zijn via data-analyse tot stand gekomen, dus noemen we dat een AI systeem. (Fraude-detectie bij ecommerce is geen hoogrisico-toepassing dus daar komt men mooi weg onder die wet.)

Ik zie in de praktijk veel systemen waarbij die regels door mensen geformuleerd zijn – zoals die regel hierboven – maar wel uit data komen. Dat is dan nog steeds een AI-model in de zin van de AI Act, ook al heeft een mens de exacte grenzen getrokken. Enige menselijke tussenkomst maakt niet dat je systeem geen AI meer is.

Arnoud

De woningstichting wil deursloten vervangen met app, mag dat?

Iloq elektronisch slot

Via Reddit:

Ik woon in een studentenhuis met eigen kamer en een gemeenschappelijke voordeur. De huurbaas/Woningstichting stuurt ons vandaag een mail met het bericht dat zij van plan zijn de voordeursloten te veranderen voor digitale sloten, bediend door een app. Hier hebben wij verder geen inspraak of aankondiging op gehad.
De vraagsteller denkt dat het om sloten van het merk iLoq gaat; “toonaangevende, modulaire software en diensten voor al uw toegangsbehoeften” aldus de ronkende website. Een unieke toegangsbehoefte is dat je geen fysieke sleutel meer hebt, maar alleen een “breed scala aan slimme toegangsfuncties” met een app op je telefoon.

Het eerste wat je je dan kunt afvragen is wat er gebeurt als je batterij leeg is net op het moment dat je dringend naar buiten moet. Zoals bij een brandalarm, om eens wat te noemen. Wie kan vinden waar staat dat deze sloten van binnenuit zonder app te openen zijn, ik hoor het graag.

Ook interessant zijn de vele slimme rond toegang gegroepeerde behoeftes, zoals deze:

Houd actuele informatie bij over wie waar en wanneer toegang heeft. Gebruik audittrailrapporten om gevallen van onbevoegde toegang te voorkomen of te helpen oplossen.
In het Nederlands: dit slot houdt bij wie wanneer het slot open deed, en dat kun je correleren aan bevoegd en onbevoegd gebruik. Je kunt bijvoorbeeld een code geven aan bezoek, die dan op jouw gezag naar binnen gaat. De beheerder kan dan terugzien dat er dinsdag om 14:23 iemand naar binnen is gegaan dankzij jouw autorisatie. Volgens het privacybeleid is iLoq daarbij de verwerker en de gebouwbeheerder de verwerkingsverantwoordelijke.

Een aanverwante zorg van de vraagsteller/huurder is dat hiermee de verhuurder naar binnen zou kunnen gaan. Dat is inderdaad een risico, maar niet anders dan met fysieke sleutels waar men immers ook een duplicaat of loper zou kunnen hebben. Het mag natuurlijk absoluut niet zonder toestemming.

Normaal vervang je dan de cilinder (en bewaar je de originele) en dan is binnengaan onmogelijk. Maar hier zou je dan een bijzetslot moeten plaatsen. En als je dat ook van buifenaf bedienbaar wil maken, dan moet je dus een slotgat in je deur maken en dát is even iets heftiger dan een schroef losmaken en de cilinder vervangen.

Binnen het huurrecht is een niet-afsluitbare toegangsdeur een gebrek categorie A7. Het gaat dan om aan twee zijden afsluitbaar zijn, niet alleen aan de binnenzijde (waar een schuif nog een doe-het-zelf optie zou zijn). Je kunt dus naar de huurcommissie, in theorie is hiermee de huur tot 20% te verlagen totdat de verhuurder een deugdelijk slot heeft geplaatst.

Alleen: ís het wel een ondeugdelijk slot? De privacy policy leest solide, de verhuurder zal beleid overleggen dat niet binnengetreden wordt zonder toestemming of uitzonderlijke situatie en er zit een CE keurmerk op de slotelementen. Dan blijven theoretische speculaties over onveiligheid over, en daar kom je niet zo ver mee.

Ook dat van naar buiten bij brand is niet doorslaggevend. Ik lees dat iLoq speciale dingesen verkoopt die hetzelfde werken maar dan de vormfactor van een sleutel hebben. Die zouden tegen een redelijke meerprijs verstrekt kunnen worden, en hebben geen batterij nodig.

Ik realiseer me dat dit weinig opwekkend is, maar ik zie geen manier hier juridisch wat tegen te doen totdat het aantoonbaar een keer misgegaan is.

Arnoud

 

Veroorzakers ongeval door appen tijdens het rijden nu persoonlijk aansprakelijk?

Photo by DariuszSankowski on Pixabay

Sinds kort laten vier grote verzekeraars je de schade zelf betalen als je bij een ongeval aan het appen was achter het stuur. Dat meldde het AD, dat gelijk voorrekent dat dit kan oplopen tot miljoenen euro’s en je persoonlijk faillissement. Oké dan. Maar hoe zit dat juridisch?

Als voorbeeld pak ik dan de nieuwe WA-polisvoorwaarden van Interpolis er bij. Die vermelden bij de algemene uitsluitingen:

De bestuurder vertoont zeer gevaarlijk rijgedrag zoals staat in artikel 5a van de Wegenverkeerswet. Bijvoorbeeld: de bestuurder houdt een mobiele telefoon vast of typt hierop een bericht tijdens het rijden.
Artikel 5a Wvw begint als volgt:
Het is een ieder verboden opzettelijk zich zodanig in het verkeer te gedragen dat de verkeersregels in ernstige mate worden geschonden, indien daarvan levensgevaar of gevaar voor zwaar lichamelijk letsel voor een ander te duchten is. Als zodanige verkeersgedragingen kunnen de volgende gedragingen worden aangemerkt:
En dan volgt een lijst verkeersgedragingen, waaronder “gevaarlijk inhalen” maar ook “tijdens het rijden een mobiel elektronisch apparaat vasthouden” (sub 1 onder k). Dat is de wettelijke term voor een mobiele telefoon (zoals in art. 61a Rvv gebruikt).

Wat de verzekeraar dus zegt, is feitelijk: als er sprake is van een overtreding van artikel 5a Wvw, dan hoeven wij niet uit te keren. En appen of je mobiel vasthouden is een voorbeeld van zo’n overtreding. Oftewel: we keren niet uit wanneer bewezen is dat je je telefoon vasthield tijdens het rijden.

Dit is wat kort door de bocht (ja sorry). Enkel zo’n gedraging vertonen is niet genoeg om artikel 5a te overtreden. Allereerst moet die gedraging opzettelijk zijn begaan. Volgens de minister zal dat bij veel van die regels “niet anders dan opzettelijk” kunnen spelen. Te hard rijden kan per ongeluk, maar je telefoon springt niet zelf in je hand.

Verder moet ook apart bewezen worden dat van de gedraging “levensgevaar of gevaar voor zwaar lichamelijk letsel voor een ander te duchten is”. En dat vereist meer dan een theoretische optie, het zal concreet in die situatie gespeeld moeten hebben.

Interpolis rechtvaardigt de keuze met deze zeer recente cijfers:

Daarin geeft 15% van de respondenten aan enkele of meerdere keren in een gevaarlijke situatie terecht te zijn gekomen door gebruik van de telefoon in het verkeer. Ook is 1 op de 5 het (zeer) eens met de stelling dat ze vaak afgeleid worden door de telefoon in het verkeer, zelfs als ze er niet actief mee bezig zijn. 64% van de deelnemers van het onderzoek is bereid volledig offline te rijden, maar toch wordt dat niet altijd gedaan. De mobiele telefoon leidt nog vaak tot onverantwoord gedrag.
Alles bij elkaar vind ik het dus een goede stap, zij het dat er natuurlijk altijd weer onbillijke gevallen zullen opduiken. Een risico waar ik nog bang voor ben: mensen die liegen over telefoongebruik uit angst voor personlijk faillissement, waarna de verzekeringsuitkering geweigerd wordt wegens opgeven onjuiste informatie.

Arnoud

Vandaag word ik 0x32 maar laten we het over internetrecht hebben

Photo by lil artsy on Pexels

Vandaag vier ik het heuglijke feit van mijn 0x32e verjaardag. Het is tevens een mooi moment om terug te kijken op het fenomeen internetrecht.

Ongeveer een jaar geleden mocht ik spreken bij de onvolprezen NLUUG. Met trots kijk ik terug op de videoregistratie, want het is een vrij compleet verhaal over geschiedenis en toekomst van het vakgebied.

Download en bekijk de video met je eigen player

Mocht je een video van een uur nou te lang vinden, dan kun je ook mijn boek ICT&Recht aanschaffen waarin ik alles onderbouwd en helder op een rijtje zet.

Arnoud

Maakt niet weghalen van oude, inmiddels strafbare tweets je alsnog strafbaar?

Photo by Bruno Saito on Pexels

Ten tijde van het plaatsen van berichten op Twitter was doxing nog niet strafbaar. Dat las ik in een recent vonnis van de rechtbank Rotterdam inzake doxing, het verspreiden van identificerende informatie met het doel iemand bang te maken, overlast te bezorgen of in zijn beroep te hinderen. Dat doen oude berichten niet, aldus de rechtbank.

De verdachte had in december 2023 berichten  geplaatst op Twitter (“thans X geheten” aldus het vonnis). De strekking daarvan wordt duidelijk met dit geanonimiseerde voorbeeld:

“Of?cier van justitie [naam] ( [naam vereniging] [jaartal] ) is de broer van [naam] [werkgever broer].”

Onder dit bericht zijn vier afbeeldingen geplaatst, inhoudende foto’s van de officier van justitie [naam], vermelding van zijn vermeende adres, postcode en telefoonnummer (…)

Dit leest als doxing: het verspreiden van informatie over iemand met als doel dat diegene daar bang van wordt en/of diens werk niet meer goed kan doen. In dit geval die officier (die veel complotzaken doet; de verdachte is eerder veroordeeld in dat verband) hinderen door insinuaties.

Inhoudelijk valt daar vast over te twisten, maar het fundamenteler probleem was dat de berichten dus geplaatst waren vóórdat doxing strafbaar werd (1 januari 2024). Strafbaarstelling kan niet met terugwerkende kracht, dus vielen deze berichten wel onder het verbod?

Ja, aldus de officier: ze zijn ook nu in 2024 gewoon te lezen, en de verdachte had ze niet weggehaald. Dat is hetzelfde als in 2023 een poster voor je raam hangen en die laten hangen. Elke dag zullen passanten die zien, ook in 2024. Dan is het geen excuus dat je die in 2023 ophing.

De rechtbank ziet toch een fundamenteel verschil:

In het voorbeeld van de poster met strafbare teksten daarop zal de persoon die de poster heeft opgehangen zelf ook iedere dag geconfronteerd worden met de poster en zal hij iedere dag opnieuw ervoor kiezen om de poster te laten hangen zodat voorbijgangers, opnieuw en ook steeds, kennis kunnen nemen van de inhoud ervan. Het nalaten de poster te verwijderen wordt daarmee een bijna actieve handeling die kan worden geduid als (opnieuw) verspreiden met meergenoemd oogmerk. Dat ligt anders bij het plaatsen van berichten op een sociale netwerk website als Twitter waar dagelijks vele berichten worden geplaatst waarmee de verzender niet steeds opnieuw (dagelijks) wordt geconfronteerd.
Een oud Twitterbericht dat slingert nog wel rond, maar het is niet elke dag een nieuwe actieve beslissing om die te laten staan. Dat is dus anders dan die poster. Er zal echt meer nodig zijn, zoals het bericht retweeten/sharen na de inwerkingtreding van het verbod.

Ook dat de verdachte mogelijk wist dat doxing al bijna verboden was, is niet genoeg. Je moet echt alleen kijken naar wat men ná de strafbaarstelling doet, een dag voorafgaand aan de strafbaarstelling datgene doen is immers (nog) legaal.

Arnoud

 

DPG Media test betaling voor weigeren van cookies, mag dat?

DPG Media doet momenteel een ‘zeer kleinschalige test’ op een aantal media. Dat meldde Tweakers vorige week. Als je geen cookies wilt, moet je 4 euro per maand betalen. Onduidelijk is of er dan ook geen advertenties worden getoond. (Je kunt nog niet echt betalen trouwens, ze meten je klikbereidheid.) Het riep de vraag op of dat zomaar mag, geld vragen voor online content.

Ja, die voelde als de omgekeerde wereld: dat een krant geld vraagt om je toegang te geven tot haar content. Maar nu zo veel content zo lang gratis beschikbaar is geweest, heeft daar een forse normverschuiving plaatsgevonden en moet betaling als tegenprestatie weer haar rechtvaardiging verdienen.

Dit alles komt uit een arrest van het Hof van Justitie uit 2023, of Meta gezien haar machtspositie op de Europese markt mag eisen dat je je persoonsgegevens laat verwerken om de dienst te mogen gebruiken. Bij ‘normale’ diensten lijkt dat verdedigbaar (het is jouw keuze die af te nemen) maar Meta is zó groot dat het niet normaal meer is. En dan krijg je andere spelregels, moet je eerlijker doen en anderen toelaten waar je kleine concurrenten dat niet hoeven.

Het Hof zegt dan dat het eigenlijk niet mag, maar wél als “een gelijkwaardig alternatief [wordt] geboden bij het weigeren van toestemming, in voorkomend geval tegen een passende vergoeding”. Dus pay or consent, zoals dat is gaan heten, is legaal. Alleen: wat bedoelde het hof met “passende vergoeding”? Daar gaan ze niet nader op in.

Het lijkt niet de bedoeling te zijn dat Meta gewoon een willekeurig bedrag mag verzinnen. Als ze de betaalde versie van Facebook op 3000 euro per jaar stellen, dan zou dat natuurlijk niemand aantrekken. Mogelijk dat het Hof dacht aan de figuur van excessieve prijzen, wat marktmachtige partijen nog wel eens doen. De standaard daarbij is “excessive in relation to the economic value of the service provided.”, dus zeg maar onredelijk/overdreven gezien wat een normale marktprijs is.

Voor die marktprijs kun je dan benchmarken en daar zijn allerlei methodieken voor. Maar welke prijs hanteer je dan bij Meta? Wat moet een sociaal netwerk kosten, er is er niet eentje ter wereld die puur op abonnementsbasis werkt (ik sta graag gecorrigeerd).

Er is wat onderzoek geweest wat mensen zouden willen betalen voor sociale media, en grofweg kom je dan rond de tien euro uit. Dat is denk ik ook waarom Meta voor 9.99 koos (hoewel dat nu 5.99 lijkt te zijn.

Wat mag DPG vragen? Dat hangt dus af van de vraag of ze ‘machtig’ zijn. Zo niet, dan mogen ze vragen wat ze willen want dan lees jij gewoon de concurrent. Welke concurrent, vraag je gezien Wikipedia: DPG Media? Oh, dan zijn ze machtig en dan moeten ze dus een redelijke marktvergoeding vragen. Het genoemde bedrag van 4 euro per maand lijkt me vrij redelijk.

Arnoud

Mag je van de GPL genullde WordPress plugins hosten, of kan Automattic dan voor een miljoen beslag bij je leggen?

“Geschil over open source software WordPress en WooCommerce”, zo opende een recent Amsterdams vonnis enigszins cryptisch. Het bleek te gaan om een beslaglegging door WordPress-eigenaar Automattic versus de eigenaar van Festinger Vault, een site die onder meer genullde premium WordPress/WooCommerce plugins aanbiedt. Dat geschil speelt in Nederland omdat die eigenaar hier woont. Wat is er aan de hand?

Het was even zoeken, maar dit is soort van een neutrale beschrijving van wat Festinger Vault doet:

Festinger Vault is a popular GPL (General Public License) site that provides access to a vast collection of WordPress themes and plugins at a fraction of their original price. Unlike traditional marketplaces where you pay for each theme or plugin individually, Festinger Vault offers these products under GPL, allowing users to download, modify, and use them freely, all within the legal framework of WordPress’s open-source philosophy.
Dat “under GPL” moet hard werken om die omschrijving legaal te houden. Want die betaalde plugins staan daar in genullde vorm, wat WordPress-jargon is voor het weghalen van de controle of jij wel betaald hebt (exacte etymologie-links welkom). En dat is een zeer discutabele praktijk.

Enerzijds: als code (zoals een WP plugin) onder GPL vrijgegeven wordt, dan mag je iedere letter daarvan aanpassen. Dus ook de letters die die controle uitvoeren. Anderzijds: dit is héél hard niet de bedoeling, botst (discutabel) met de letter van GPL artikel 2(d), en wringt nog meer als je vervolgens geld vraagt en doet of het de officiële plugin is zoals tegen geld beschikbaar gesteld door de originele ontwikkelaar.

Dat laatste is meer een merkenkwestie natuurlijk. En dat was dan ook waar Automattic (het bedrijf achter WordPress en WooCommerce) met gestrekt been mee binnenkwam bij Festinger Vault. Via een zogeheten ex parte procedure (art. 1019e Rv) overtuigde ze de rechter dat hier een evidente en grote inbreuk op IE-rechten aan de gang was, die per direct moest stoppen en niet kon wachten tot er een hele zaak over was gevoerd.

De voorzieningenrechter had dat verzoek toegewezen, met een dwangsom van € 25.000,00 per dag (gemaximeerd op een half miljoen). Een dag later legde Automattic voor € 1.078,000,00 beslag op de bankrekening, het huis en de auto van de eigenaar van de site, in afwachting van de inhoudelijke uitspraak.

Nu is het handelen van Automattic en met name haar CEO de laatste tijd nogal opmerkelijk te noemen. Ik wil niet insinueren dat Rian van Rijbroek een nieuwe scharrel heeft, maar Matt Mullenweg doet nogal opmerkelijke uitspraken over wat er mag van de GPL of het merkenrecht. Zo zei hij in een inmiddels berucht interview:

… dat GoDaddy geen gebruik maakt van de merken van Automattic, maar nadat hij heeft gezegd dat het handelen van [bedrijf] niet in strijd is met de GPL, voegt hij daaraan toe: “We were able to use the trademark basically to shut them down.
Wat GoDaddy doet, leek een heel eind op wat er bij Festinger Vault gebeurde. Het is dat licht opmerkelijk dat het ex parte verzoek uitgebreid motiveert waarom sprake is van auteursrechtinbreuk / schending GPL, en maar heel kort iets over merkenrecht zegt. Ook zegt Mullenweg dat hij normaal altijd eerst informeel contact opneemt, en dat is hier niet gebeurd.

Als achtergrond: het verlenen van ex parte toestemming en het laten leggen van conservatoir beslag is iets dat zonder wederhoor gebeurt. Rechters gaan er van uit dat een en ander eerlijk wordt voorgesteld (art. 21 Rv), en worden dus zéér sjachrijnig als dat niet het geval blijkt. Zoals ook hier:

Tot slot blijkt uit het interview dat de ‘online community’ – zoals [bedrijf] ter zitting ook heeft gezegd – forse kritiek heeft op Automattic, omdat zij haar merkrechten gebruikt om concurrent WP Engine aan te pakken (deze kritiek was de aanleiding voor het interview). De voorzieningenrechter merkt hierbij op dat uit het interview blijkt dat WP Engine een grote onderneming is (in omvang vergelijkbaar met Automattic/WordPress), met een private equity fund als investeerder – terwijl [bedrijf] een eenmanszaak is – en dat dit de enige andere onderneming is waarmee Automattic in een juridische strijd is gewikkeld. Uit de door [bedrijf] in het geding gebrachte (links naar) publicaties over de strijd tussen WP Engine en WordPress maakt de voorzieningenrechter voorts op dat de website van WP Engine gewoon (weer) in de lucht lijkt te zijn, terwijl de website van [bedrijf] – door het ex parte verbod – nog steeds op zwart staat.
“Van een zekere schending van artikel 21 Rv door Automattic in dit kort geding lijkt in het licht van dit alles voorshands wel sprake”, is dan de conclusie. Dat betekent niet dat Festinger Vault inhoudelijk gelijk heeft: deze procedure gaat alleen over de vraag of het beslag er af moet.

FV krijgt hierin gelijk, mede omdat Automattic de schade als “véél te hoog” heeft geclaimd en omdat op die bankrekening ook het PGB van de directeur in privé binnenkomt. Het beslag wordt dus opgeheven en we gaan naar de volgende, inhoudelijke ronde. En dat zou zomaar eens de eerste uitspraak kunnen zijn over de scope van de GPL.

Arnoud

 

Rechtbank wil zien welke data de politie over burgers verzamelt – maar politie weigert medewerking

geralt / Pixabay

Ondanks een bevel van de rechtbank weigert de politie een onafhankelijk onderzoeker mee te laten kijken in haar informatiesystemen. Dat meldde Follow The Money vorige week. Dat voelt raar, iedere rechtbankserie leert je dat rechters zich dan geminacht verklaren en héle stevige boetes opleggen. Maar het Nederlands bestuursrecht werkt niet zoals Suits.

De achtergrond is kort samengevat als volgt. Activist Frank van der Linde werd in 2017 ten onrechte op de Contraterrorisme, Extremisme en Radicalisering-lijst gezet, en probeert sindsdien zijn naam te zuiveren. Met informatieverzoeken wil hij achterhalen waarom en waar die informatie vandaan kwam.

De rechter gaf Van der Linde diverse keren gelijk, bijvoorbeeld in april nog. Nu ligt er een nieuwe kwestie: de rechtbank benoemde een forensisch deskundige die de opdracht kreeg in de systemen van de politie te kijken, want “de rechtbank twijfelde namelijk aan de kwaliteit van de ‘zoekslag’ die de politie had uitgevoerd” aldus FTM.

Volgens de politie-korpschef is zo’n benoeming niet bindend, kennelijk omdat het gaat om een onderzoek naar gebruik van persoonsgegevens en dan de Autoriteit Persoonsgegevens als enige bevoegd is. De juridische redenering is denk ik dat de Awb een medewerkingsplicht kent bij bevoegd optredende toezichthouders (art. 5:20 Awb), en de rechtbank is nu eenmaal geen toezichthouder.

De AP noemt dit heel beleefd “mogelijk een misverstand”. Maar juridisch is het vrij duidelijk: ook bij het onderzoek door een rechtbankdeskundige (art. 8:47 Awb) geldt een medewerkingsplicht, namelijk art. 8:30 Awb. Hierbij geldt geen voorbehoud voor persoonsgegevens of politiegegevens.

Alleen heeft weigeren hier geen bijzondere gevolgen. Ja, de bestuursrechter mag dan “daaruit de gevolgtrekkingen kan maken die hem geraden voorkomen” (art. 8:31 Awb) maar dat is dan hooguit “ik vonnis dat u die gegevens wél heeft” of “u handelt in strijd met de wet door ze niet te geven”. De deskundige heeft dan nog steeds niets gezien, en Van der Linde is dan dus geen stap verder.

De normale gang van zaken is de dwangsom: een fors bedrag per dag dat je de deskundige niet zijn of haar werk laat doen. Dat kan in de Awb echter alleen bij het niet nemen van een besluit, niet bij het weigeren de deskundige te helpen.

In een andere zaak speelde hetzelfde probleem: een activist wil gegevens over haarzelf, en de korpschef weigert inzage. Daarin zie je ongeveer de grenzen van wat een rechtbank kan eisen:

de rechtbank draagt de korpschef op een nieuw besluit te nemen en daarbij het volledige verzoek van eiser te betrekken. Bij de nieuw te verrichten zoekslag dient de korpschef gemotiveerd uiteen te zetten op welke persoonsgegevens is gezocht, bij welke afdelingen zoekvragen zijn uitgezet, wat het resultaat daarvan is, of naar aanleiding van dat resultaat een nadere zoekslag is, en zo ja, wat deze zoekslag inhoudt.
Als de korpschef dat nieuwe besluit – dus met die inhoud – niet neemt, dan staat daar een dwangsom op van 150 euro per dag tot 10.000 euro. Dat bedrag kan natuurlijk worden verhoogd als die nieuwe zoekslag, en dus het besluit, uitblijft. Maar als in dat besluit een beschrijving van het zoeken staat en de conclusie is “er is niets gevonden”, dan is dat conform de opdracht.

Je zou dus in theorie hier de constructie kunnen hanteren dat in het besluit de bevindingen van de gerechtelijke deskundige terug moeten komen. Dan kan de politie nog onderbouwen waarom die het fout had, of waarom er toch meer bij komt kijken. Maar dan ligt toch vast dat de deskundige hééft gekeken.

Arnoud