‘Europa vormt obstakel voor verbeteren veiligheid internet-of-things’

| AE 9298 | Aansprakelijkheid | 31 reacties

D66-kamerlid Kees Verhoeven vindt dat de EU veel te traag is met het maken van regels voor de veiligheid van internet-of-things-apparaten, las ik Bij Tweakers. Hierdoor zouden we dan zwaar achter de feiten aanlopen wat betreft toezicht op de veiligheid van iot-apparaten. Hear, hear. Want die dingen zijn zo ongeveer al in de doos gehackt en leveren anderen gigantische schade op. Maar omdat de wetgeving niets zegt over ICT-security, komen leveranciers en winkels ermee weg. Alleen: wat gaan we er aan doen?

Het blijft om te huilen, die brakke beveiliging van internet-enabled apparaten zoals camera’s, videorecorders, televisies, thermostaten en ga zo maar door. Slechts weinig fabrikanten leveren updates bij zulke apparaten, en vaak is het apparaat uit de doos zó achterhaald dat het binnen een kwartiertje gehackt is en als botnet-zombie kan worden gehuurd door wie maar een paar cent beschikbaar heeft.

Ik vind dat van de zotte. Je kunt van gewone consumenten niet verwachten dat ze hier wat tegen doen, al is het maar omdat zulke apparaten zelden te updaten zijn. Terwijl de fabrikant op zich prima een goed niveau van veiligheid kan inbouwen. De reden om het niet te doen, is eigenlijk heel simpel: dat kost geld en het levert niets extra’s op bij de klant. En dat is waarom we wetgeving nodig hebben.

Je kunt twee dingen doen. De gebruikelijke juridische manier is een open norm: een product moet adequate productsecurity hebben, anders boete. Het voordeel daarvan is dat je dan als fabrikant zelf kunt invullen wat je gaat doen (met een motivatie waarom dat “adequaat” is), en dat je ook bij veranderingen in de technologie nog steeds een maatstaf hebt. Nadeel is wel, als je geen fatsoenlijke invulling kunt geven dan heb je een groot risico, want op overtreding van die norm staat een boete. “Pas op of je moet een miljoen betalen”, wat moet je daarmee als bedrijf.

Een andere manier is dat je als wetgever concrete normen gaat stellen. Ik weet niet of die er zijn voor ICT-security bij iot-apparaten, wat gelijk al een stevige hobbel zou zijn. Maar zelfs als ze er zijn, dan moet je dus als wetgever elke maand je regels bijstellen omdat er weer iets nieuws bedacht is. En tot die tijd mogen bedrijven niet verder in een nieuwe richting. Dat geeft wel zekerheid, maar echt werkbaar voor de toekomst lijkt het me niet.

Ik denk dat ik zelf tóch voor open normen ben, gekoppeld aan de plicht voor de toezichthouder om richtsnoeren te maken en uitspraken te doen over best practices in de markt: als je dit doet, dan vinden we het prima. De praktijk laat alleen zien dat toezichthouders dat maar in beperkte mate doen. Voor een deel omdat er gewoon nog best weinig is bij ict-innovaties om een duidelijk richtsnoer voor te maken, en voor een deel omdat bedrijven gelijk het richtsnoer als algemeen geldende wettelijke regel opvatten: je zei op pagina 13 dat een sms-bericht geen algemene voorwaarden hoefde te bevatten, dus hoeft mijn app dat ook niet. Hoe dat op te lossen, daar ben ik nog niet over uit. Maar dat er iets moet gebeuren en snel ook, dat staat vast.

Arnoud

Overnemen van een disclaimer als auteursrechtinbreuk

| AE 9284 | Auteursrecht | 13 reacties

Kan het overnemen van een “free disclaimer” inbreuk op het auteursrecht van de disclaimermaker zijn? Een recent vonnis stelt die kwestie weer ter discussie (via Menno Weij). Kort gezegd: ja dat is inbreuk, maar de wijze van presenteren maakt dat de schadeclaim fors omlaag gaat.

De disclaimer in kwestie werd overgenomen van www.freedisclaimer.eu. Het is een nogal lange tekst die er erg juridisch uitziet, dus als je dan als ondernemer op zoek bent naar een mooie afschriktekst dan zou je die wellicht willen overnemen. Maar dat mag dus alleen als je de gebruiksvoorwaarden in acht neemt, anders krijg je van de advocaat achter die site een stevige factuur: € 693,67 en enige tijd later € 962,00. Een bedrag waar zelfs menig claimend fotograaf even van opkijkt.

De rechter begint met constateren dat er auteursrecht zit op de disclaimer, want “de gebruikte woorden en opmaak van (de tekst van) de disclaimer is het gevolg van creatieve keuzes.” Dat vind ik wat erg makkelijk, maar goed er is geen verweer tegen gevoerd.

En tsja, als er auteursrecht zit op een tekst dan mag je die niet zomaar overnemen. Ook niet als er geen keiharde knipperende “Auteursrechtelijk beschermd materiaal”-tekst bij staat. Maar hier doet zich wat merkwaardigs voor: de site héét “Free disclaimer”. En de gebruiksvoorwaarden waren niet bepaald eenvoudig te vinden, dus dan wordt het wel een beetje onredelijk om zomaar claims te leggen:

Onder de nadere informatie is de zin (inclusief hyperlink) “Klik hier als u deze disclaimer op uw website wilt gebruiken.” opgenomen. Pas bij het doorklikken op “hier” komt de website van [eiser] in beeld, waar de gebruiksvoorwaarden staan vermeld. De kantonrechter overweegt dat het meer voor de hand ligt dat, als er gebruiksvoorwaarden zijn gekoppeld aan de disclaimer, deze ook op de site worden gepubliceerd waar de disclaimer op staat vermeld. Te meer, nu internet uitnodigt tot het overnemen van informatie, zonder daarbij in acht te nemen dat deze informatie auteursrechtelijk beschermd kan zijn, en nu het webadres van de website impliceert dat de disclaimer zonder nadere voorwaarden mag worden gebruikt. Door deze wijze van publiceren van de disclaimer, en dan met name gelet op het gebruikte webadres en het ontbreken van de gebruiksvoorwaarden op de hoofdsite, wordt er een grote kans op onbedoeld, dan wel onbewust, schadeplichtig gebruik gecreëerd.

Gezien deze situatie vindt de rechter het niet redelijk om de geëiste schadeclaim en advocaatkosten toe te wijzen. Hij beperkt het vonnis dan ook tot 148 euro aan kosten die zijn gemaakt na de eerste ontvangen sommatie, omdat de wederpartij toen niet direct de disclaimer had verwijderd.

Ik blijf het een rare zaak vinden. Disclaimers hebben juridisch geen waarde, dus waarom zou je ze überhaupt aanraden om te gebruiken? En dan ook nog eens geld vragen voor de overname, tegen een bedrag dat geen reële schade vertegenwoordigt. Hoezo mag een eisende advocaat zomaar zijn uurtarief als schade opvoeren, om eens wat te noemen.

Arnoud

Hoe disclaim ik aansprakelijkheid voor mijn gebruikers?

| AE 9243 | Aansprakelijkheid | 15 reacties

Een lezer vroeg me:

Heb jij een standaardtekst voor me waarmee ik mijn aansprakelijkheid voor mijn gebruikers even netjes disclaim? Ik run een groot forum en heb geen zin in claims van fotografen en andere grapjassen. Die wil ik bij mijn gebruikers neer kunnen leggen.

Er is geen toverformule waarmee je aansprakelijkheid voor handelen van je gebruikers kunt uitsluiten. Disclaimers (al dan niet via onze generator gemaakt) waarin staat van wel, zijn dus juridisch krachteloos. Aansprakelijkheid is een wettelijk concept, dat niet eenzijdig kan worden aangepast.

Natuurlijk kun je contractueel je aansprakelijkheid beperken, maar dat werkt dan alleen tegen partijen die dat aanvaarden. Tegenover je gebruikers kun je dus zeggen “ik ben niet aansprakelijk voor de gevolgen van dataverlies of downtime”, want die moeten er mee akkoord gaan om op het forum te mogen. Tegenover een fotograaf met een claim wegens auteursrechtinbreuk werkt dat niet.

Er is een juridische oplossing voor deze situatie en die heet de vrijwaring. Wanneer iemand een vrijwaring afgeeft, verklaart hij eventuele juridische geschillen die de gevrijwaarde krijgt, op zich te nemen en uit eigen zak op te lossen. Je kunt dus je gebruiker laten verklaren dat hij je vrijwaart van claims van derden over de inhoud die zij plaatsen. Daarnaast kun je natuurlijk in je voorwaarden opnemen dat je gebruiker die schade volledig moet vergoeden.

Beiden hebben alleen een heel praktisch probleem: als je niet weet wie je gebruiker is, of hij heeft het geld niet, of de incasso is hoger dan de schadeclaim, dan heb je er weinig aan. Naar de klager helpt ook een vrijwaring niet, want een vrijwaring is pas effectief als de rechter je toestaat die ander in vrijwaring te laten opdraven. En dan moet je dus weten wie het is.

Ik kan me moeilijk voorstellen dat er forumgebruikers zijn die bereid zijn hun naam en adres te geven zodat de eigenaar ze aansprakelijk kan stellen of een vrijwaring kan inroepen. Je neemt dus een zeker risico als forum-eigenaar; meer dan goed modereren en snel reageren op klachten zit er niet in.

Arnoud

Kun je als freelancer de aansprakelijkheid voor je werk afschuiven op de opdrachtgever?

| AE 9189 | Aansprakelijkheid, Software | 8 reacties

Een lezer vroeg me: Sel dat je als freelancer aan een (software)project werkt voor een opdrachtgever, en om de een of andere reden is wat je aan het bouwen bent niet legaal. Misschien niet heel evident maar je ziet wel twijfels. Moet je daar dan nader onderzoek naar doen, juridisch advies inwinnen of kun je… Lees verder

Waarom gaat die fotograaf achter mij aan en niet mijn gebruiker?

| AE 9116 | Aansprakelijkheid, Auteursrecht | 29 reacties

Een lezer vroeg me: Recent kregen wij een claim van een fotograaf vanwege een foto geplaatst door een lid van ons forum. In onze forumvoorwaarden staat duidelijk dat de gebruiker zelf verantwoordelijk is, ook bij schade door dit soort claims. Gebruikers vrijwaren ons van elke vorm van aansprakelijkheid. Maar die fotograaf stelt dat hij daar… Lees verder

Hoe moet Samsung die teruggeroepen Note 7’s vernietigen, qua persoonsgegevens?

| AE 9055 | Aansprakelijkheid, Privacy | 14 reacties

Het is nog altijd onduidelijk wat er gaat gebeuren met de persoonlijke data op de miljoenen Note 7-toestellen die door Samsung zijn teruggeroepen. Dat las ik (dank, Franc) bij Security.nl. De wasmachines, pardon telefoons worden teruggeroepen vanwege ontploffende accus. Vanwege dat ontploffingsgevaar werd geadviseerd het toestel meteen uit te zetten en terug te sturen, zodat… Lees verder

Winkelhouder niet aansprakelijk voor inbreuken via open wifi-netwerk

| AE 8935 | Aansprakelijkheid, Auteursrecht | 16 reacties

Het Europese Hof van Justitie heeft in de Mc Fadden-zaak beslist dat een winkelhouder niet aansprakelijk is voor auteursrechtinbreuken die worden begaan via een open wifi-netwerk. Dat meldde Tweakers vorige week donderdag. Wel kan een rechthebbende partij eisen dat een winkel zijn netwerk beschermt met een wachtwoord, omdat je anders het té makkelijk maakt dat… Lees verder

Je bent als bedrijf aansprakelijk voor stiekem geïnstalleerde software door je werknemer

| AE 8865 | Arbeidsrecht, Software | 28 reacties

Een werkgever is aansprakelijk voor illegale software geïnstalleerd door een werknemer, en daarbij maakt het niet uit of dat expliciet verboden was door de werkgever. Dat maak ik op uit een recent vonnis (via) van de rechtbank Rotterdam. Er is sprake van zogeheten risico-aansprakelijkheid: ongeacht wat je doet, je draait op voor eventuele inbreuken op… Lees verder

Moeten we de aansprakelijkheid van autonome auto’s aan advocaten overlaten?

| AE 8740 | Aansprakelijkheid, Innovatie | 38 reacties

Bergen rechtszaken zijn de belangrijkste hobbels (haha) waar de zelfrijdende auto overheen zal moeten zien te komen, las ik in Slate. Zolang de aansprakelijkheid van eigenaar, passagiers en fabrikant niet duidelijk zijn, zal de adoptie van deze voertuigen onnodig langzaam blijven lopen. Hoe lossen we dat op bij zoiets snel evoluerends als autonome auto’s? Simpel,… Lees verder