Een rechtbank mag providers (en dus ook Facebook) tot notice en *stay* down verplichten

| AE 11534 | Ondernemingsvrijheid, Uitingsvrijheid | 8 reacties

Het Hof van Justitie in Luxemburg heeft bepaald dat er geen EU-regels zijn die zich verzetten tegen een verplichting voor hostingproviders als Facebook om commentaren te verwijderen die sterk gerelateerd zijn aan eerdere onwettig verklaarde commentaren. Dat las ik bij Tweakers. Nogal een omweg om te zeggen dat rechters providers kunnen verplichten om onrechtmatig verklaarde inhoud ook werkelijk down te hóuden, bijvoorbeeld door met filters te herkennen dat iets vrij sterk lijkt op eerder, geweerd commentaar. Maar ze moesten wel, want er is geen EU-regel die letterlijk zegt dat rechters dit mogen doen. Daarmee is eindelijk een grondslag gekomen voor wat in het jargon notice and stay down heet; je hoeft niet apart een procedure te voeren over iedere repost met een toegevoegde komma of een zin “hear hear” er boven geplakt.

Wanneer iemand een onrechtmatige uiting plaatst op een platform zoals een website of een Facebookpagina, kun je een klacht indienen bij de beheerder. Die moet dan (als de klacht evident juist is) de uiting weghalen. Dat is notice & takedown zoals we dat al bijna 20 jaar kennen. Maar vaak speelt dan het probleem dat die content dan weer opnieuw wordt geplaatst door een ander, eventueel met kleine aanpassingen zodat het niet direct opvalt. Dan moet je als klager dus wéér aan de bak en die hele notice&takedown procedure doorlopen.

In een Oostenrijkse zaak had de eisende partij (dus de klager) tegen Facebook geëist dat deze stay down maatregelen zou nemen om een smadelijk bericht blijvend offline te houden. De rechter aldaar vond het belangrijk genoeg om dit aan het Hof van Justitie voor te leggen, dat dus niet alleen bevestigt dat die maatregelen er moeten komen maar ook dat de rechtbank mag vonnissen dat dat wereldwijd gevolg moet hebben.

En dus dat het ook moet gelden voor inhoudelijk grofweg dezelfde teksten. Dit omdat je anders nog steeds aan de gang blijft; iedere trol weet dat je een komma weg kunt halen of een zin toevoegen en dan een simpel algoritme kunt omzeilen. Het gaat alleen niet zo ver dat ieder bericht van gelijke strekking automatisch geweerd moet worden, ik denk echt dat het beperkt is tot tekstuele aanpassingen op het bericht, zeg maar even als we het plagiaat zouden noemen. Dit omdat de reden achter deze uitspraak is dat een verbod op herpublicatie niet te eenvoudig omzeild moet worden. Een volledig nieuwe tekst valt sowieso niet onder dat verbod, immers.

Bijzonder is nog dat het Hof expliciet zegt dat de rechter zo’n verbod ook wereldwijd mag opleggen. Althans, dat niets in het Europese recht zegt dat dat niet mag. Een paar weken terug zei het Hof nog wat anders bij het vergeetrecht. Maar het verschil is dat in die zaak de Europese wetgever vrij duidelijk niet aangedurfd had om een wereldwijd vergeetrecht aan te nemen. Bij dit soort klachten is er überhaupt weinig Europees recht, landen mogen dus zelf uitzoeken of zo’n vonnis wereldwijde werking mag hebben. Daarom kan de Europese rechter daar geen uitspraak over doen.

Arnoud

Kun je de IoT-eigenaren van een botnet aansprakelijk stellen voor je schade?

| AE 11441 | Security | 12 reacties

Een lezer vroeg me:

Stel dat je als partij wordt aangevallen door een botnet dat is geactiveerd vanuit allerlei IoT-systemen. En stel dat ik een aantal van die systemen kan herleiden tot hun Nederlandse eigenaren, laten we zeggen professionele partijen (bedrijven). Kun je dan die eigenaren aansprakelijk stellen voor je schade?

Wanneer je in Nederland schade lijdt door iemands onrechtmatig handelen, dan kun je dat inderdaad verhalen. Het uitvoeren van een denial-of-service aanval (wat ik maar even als invulling van die aanval kies, een computervredebreuk met datavernieling kan natuurlijk ook) is onrechtmatig want strafbaar, dus de dader(s) van zo’n aanval kun je aansprakelijk stellen.

Meestal is het grootste probleem dat je die aanvallers niet kunt achterhalen, maar bij een botnet dat bestaat uit gehackte IoT-apparaten (lees: nalatig slecht ontworpen en geupdatete kastjes) kan dat inderdaad wel eens anders komen te liggen. Daar wordt nul moeite gedaan de afkomst te verhullen, en als de IP-adressen van die apparaten ook nog eens tot bedrijven te herleiden zijn dan heb je inderdaad vrij snel het adres voor een civielrechtelijke dagvaarding.

Het probleem hier is denk ik lastiger: in hoeverre kun je deze IoT-eigenaren juridisch een verwijt maken? Oftewel hebben zij wel onrechtmatig gehandeld? Zij hebben niet zelf de aanval geïnitieerd of gecoördineerd, dat was de botnet-herder immers. Op eerste gezicht zijn ze dan als willoos werktuig (prachtige juridische term) aan te merken, en daarmee niet aansprakelijk.

Als je de strafwet erbij pakt, dan is er wellicht nog een haakje: artikel 350b Strafrecht verklaart het strafbaar als het jouw schuld is dat een aanval zorgt voor schade (zoals ontoegankelijk zijn van een dienst of gewist worden van gegevens) bij een slachtoffer. Schuld is hier een trapje lager dan opzet (dat staat in 350a), dus kan ook mensen treffen die geen aanval wilden uitvoeren maar dat toch verweten kan worden.

De analyse of sprake is van schuld is juridisch een heel verhaal maar kort door de bocht komt het er voor mij op neer dat ze hun gedrag eigenlijk gewoon hadden moeten aanpassen. Hoe kon je dat nou laten gebeuren, had nou even nagedacht.

Persoonlijk ben ik van mening dat als je als bedrijf zogenaamde smart spullen in gebruik neemt, je moet zorgen voor een goede beveiliging daarvan. Anno 2019 moet iedereen (zakelijk dan) weten dat die apparaten zo lek als een mandje zijn, dus daar moet je dan maatregelen tegen nemen. Doe je dat niet, dan ben je nalatig en wat mij betreft aansprakelijk voor schade. Daar staat tegenover dat je door de leveranciers snel omver geblazen wordt met mooie taal dat die apparaten veilig zijn, en het is vaak gewoon lastig na te gaan óf je apparaten veilig zijn, de laatste firmware hebben et cetera.

Als laatste kanttekening geldt wel dat je als zo’n schuldige alleen aansprakelijk bent voor de schade van jóuw bijdrage, niet voor de gehele schade die al die kastjes samen hebben aangericht. Dat zal bij een gemiddelde aanval nog eens best beperkt zijn, als je überhaupt al een getal kunt plakken op de precieze bijdrage van dat ene kastje van die ene strandtent met gehackte surfweercam of die smart koelkast van die hippe startup.

Arnoud

Ik mag mijn Android-telefoon niet updaten van mijn insuline-app leverancier!

| AE 11424 | Ondernemingsvrijheid | 12 reacties

Een lezer vroeg me:

Een leverancier van een bloedglucose sensor (gebruikt door diabetici) heeft de mogelijkheid om een sensor uit te lezen via een app op een mobiele telefoon. Nu stelt deze leverancier dat, zodra er een update van de softwareversie van de mobiele telefoon beschikbaar is je dient te wachten met updaten tot zij hun app hebben geupdated.Dit om te voorkomen dat, door incompatibiliteit tussen de app en de nieuwe software versie, je meetdata kwijt bent. Op zich logisch, je hebt als diabeet met een reden een sensor en als er incompatibiliteit bestaat zal de app niet kunnen werken.Wie is alleen aansprakelijk als de telefoon besmet/geïnfecteerd/onbruikbaar raakt op het moment dat er wel een nieuwe softwareversie beschikbaar is maar de eindgebruiker deze nog niet geïnstalleerd heeft op verzoek van een app programmeur. Is dit in algemene voorwaarden van de app af te vangen en is dus de (vaak onbekwame eindgebruiker) zelf verantwoordelijk?

Op zich vind ik het heel netjes van die leverancier om zo expliciet te waarschuwen voor mogelijke incompatibiliteit. Het zou erg vervelend zijn als de app net niet goed meer werkte en daardoor gegevens verloren gingen, of nog erger onjuiste metingen worden gedaan.

Daar staat tegenover dat het natuurlijk onveilig kan zijn dat je je smartphone-software (je OS dus) niet kunt updaten, zeker als het gaat om een security update of iets anders kritisch. Het is minstens zo vervelend als er in dat tijdsinterval een of andere malware binnendringt en schade aanricht of gegevens steelt.

De wet zegt helaas niet waar de verantwoordelijkheid ligt bij dit soort zaken. Er is ook geen jurisprudentie over deze interactie tussen risico’s. De hele algemene regel is dat als je als dienstverlener je best doet om problemen te vermijden, je niet aansprakelijk bent als er desondanks eens iets misgaat (voor juristen: de zorgplicht van een goed dienstverlener, art. 7:401 BW).

Vanuit die algemene zorgplicht lijkt het mij dat deze leverancier bovenop de OS-updates moet zitten en moet zorgen dat er zo snel mogelijk een update aan de app komt. Gaat er in het dan nog overblijvende tijdswindow iets mis, dan zie ik niet hoe je de app-leverancier nog een juridisch verwijt kunt maken.

Voor mij weegt zwaar dat het zal gaan om iets dat zelden voorkomt, een korte periode van risico betreft en dat niet ieder gat automatisch grootschalig geëxploiteerd wordt met gevolgen voor de smartphone-eigenaren.

Ik zou wel verwachten dat verlies van data op meerdere manieren voorkomen wordt. Backups van oude datasets zijn toch vrij eenvoudig te maken?

Arnoud

Wie is er aansprakelijk voor een door de browser onthouden internetbankierenwachtwoord?

| AE 10709 | Security | 24 reacties

ING onderzoekt of het mogelijk is zijn Chrome-inlogpagina weer ondersteuning te laten bieden voor het invullen van wachtwoorden met een wachtwoordmanager. Dat meldde Tweakers onlangs. De bank had dit geblokkeerd uit angst dat mensen hun browser dit laten onthouden, zodat een derde zonder veel moeite vanaf die laptop kan internetbankieren met alle gevolgen van dien…. Lees verder

Deze ondernemer verhoogde zijn aansprakelijkheid. Wat er toen gebeurde, zal je verbazen.

| AE 10647 | Ondernemingsvrijheid | 8 reacties

Voor veel ondernemers is het een reflex om beperkt aansprakelijk te willen zijn. Aansprakelijkheid kan immers tot grote claims leiden, en dat kan het faillissement van je bedrijf inluiden. Zeker in de ICT, waar het lange tijd erg moeilijk was om je activiteiten te verzekeren. Je ziet dan ook juist in de ICT altijd zeer… Lees verder

Hoe aansprakelijk is die Uber-auto voor die dodelijke aanrijding?

| AE 10468 | Innovatie | 60 reacties

Uber stopt in alle steden met zijn testen met zelfrijdende auto’s na een dodelijk ongeval, las ik bij Nu.nl. Een zelfrijdende auto van het bedrijf heeft in Arizona een vrouw aangereden, waarna zij overleed. Uit het voorlopige onderzoek bleek dat de aanrijding waarschijnlijk overmacht was vanwege beperkt zicht, maar het is natuurlijk mogelijk dat uiteindelijk… Lees verder

‘Dikke problemen’ voor grappenmaker die Trump van Twitter haalde

| AE 9783 | Ondernemingsvrijheid | 14 reacties

Op zijn laatste werkdag haalde een medewerker van Twitter het account van Donald Trump offline, las ik bij RTL. Elf minuten was @realDonaldTrump onbereikbaar voor de 41 miljoen Twittervolgers. Ondanks die beperkte tijd toch pijnlijk natuurlijk, en het zal zeker dan ook gevolgen hebben voor de ex-medewerker. Maar zou Trump zelf ook wat te claimen… Lees verder

Hoe de Supreme Court 20 jaar geleden internet anders dan televisie verklaarde

| AE 9511 | Ondernemingsvrijheid | 11 reacties

Deze week twintig jaar geleden, op 26 juni 1997, verklaarde de Amerikaanse Hoge Raad het internet fundamenteel anders dan radio en televisie. Op die dag deed zij uitspraak in een zaak rond de Communications Decency Act, die internet moest reguleren. De Act verklaarde het illegaal om inhoud te versturen wanneer deze indecent zou zijn en… Lees verder

‘Europa vormt obstakel voor verbeteren veiligheid internet-of-things’

| AE 9298 | Ondernemingsvrijheid | 31 reacties

D66-kamerlid Kees Verhoeven vindt dat de EU veel te traag is met het maken van regels voor de veiligheid van internet-of-things-apparaten, las ik Bij Tweakers. Hierdoor zouden we dan zwaar achter de feiten aanlopen wat betreft toezicht op de veiligheid van iot-apparaten. Hear, hear. Want die dingen zijn zo ongeveer al in de doos gehackt… Lees verder

Overnemen van een disclaimer als auteursrechtinbreuk

| AE 9284 | Intellectuele rechten | 13 reacties

Kan het overnemen van een “free disclaimer” inbreuk op het auteursrecht van de disclaimermaker zijn? Een recent vonnis stelt die kwestie weer ter discussie (via Menno Weij). Kort gezegd: ja dat is inbreuk, maar de wijze van presenteren maakt dat de schadeclaim fors omlaag gaat. De disclaimer in kwestie werd overgenomen van www.freedisclaimer.eu. Het is… Lees verder