Tag: Bewijs

About Bewijs

Subscribe Feeds

Wanneer is een bericht per contactformulier aangekomen?

Geplaatst op in Privacy, 21 reacties

mail-to-cc-bccEen lezer vroeg me:

Op 20 juni stuurde ik een opzegbericht via het contactformulier bij een betaalwebsite. Pas drie dagen later kreeg ik een reactie, waarbij ze meteen meldden dat ik te laat was. Maar 20 juni was de laatste dag, dus ik was wél op tijd. Ik kan met een screenshot bewijzen dat ik het formulier heb ingevuld en dat de site daarop meldde dat het bericht is ontvangen. Is dat genoeg bewijslast?

De wet zegt dat wie een bericht verstuurt, moet bewijzen dat het aangekomen is bij de beoogde ontvanger. Bewijzen dat het verzonden is, is daarbij niet genoeg. Zelfs niet bij aangetekende post.

Bij e-mail is bewijs van ontvangst best ingewikkeld. Ik ken eigenlijk maar één manier en dat is dat de ontvanger terugmailt dat hij het heeft gehad. Ja, of je moet met portalen gaan werken waar een derde logt of en zo ja hoe laat het bericht is ingezien door de ontvanger.

Bij een contactformulier is de regel hetzelfde. Maar het bewijs is volgens mij iets makkelijker: vrijwel elk formulier zegt na insturen iets van “Dank u, uw bericht is ontvangen en wij reageren binnen X werkdagen”. Daaruit mag je concluderen dat het bericht ook echt binnengenkomen is. Natuurlijk gaat het bericht vervolgens per mail naar de persoon die er wat mee moet, en die mail kan net zo hard kwijtraken als jouw mail naar info@, maar dat doet er dan niet meer toe. Vanaf ontvangst door het bedrijf is alle vervolgdoorzending hun risico.

Lastig is dan weer wel bewijzen wát er is ontvangen. Want (grote ergernis) je kunt zelden tot nooit vragen om een kopietje naar je eigen mailbox, en “Uw bericht zoals ontvangen staat hieronder” zie je ook vrijwel nooit. Je kunt dan eigenlijk alleen screenshotten (of een filmpje maken) wat je invult en wat het bevestigingsscherm was, en dan moet je maar hopen dat de wederpartij niet gaat roepen dat je die vervalst hebt. Oh, en het filmpje ergens online neerzetten zodat er een onafhankelijke datering is van de inhoud.

Dat gezegd hebbende vind ik het altijd wel heel verstandig om bij zo’n late opzegging er zelf extra bovenop te gaan zitten. Even namailen, drie keer dat formulier insturen of bellen. Want het gedoe om het achteraf recht te trekken is altijd meer dan het gedoe van dat ene telefoontje.

(Terzijde: bewijslast gaat over wie bewijs moet leveren, niet de hoeveelheid bewijs die nodig is.)

Arnoud

OM mag opnamen van geweldsincidenten tonen om daders te vinden

Geplaatst op in Privacy, Regulering, 11 reacties

dome-camera.jpgHet Openbaar Ministerie mag in de openbare ruimte opgenomen camerabeelden van ernstige publieke geweldincidenten in het openbaar tonen om zo dader(s) van dit geweld te kunnen opsporen, las ik (alweer een tijdje geleden) op Rechtspraak.nl. Sorry, ik loop wat achter. De Hoge Raad introduceert meteen maar een checklist met 7 factoren waarmee getoetst kan worden of het legitiem is om te publiceren uit camerabeelden die misdrijven vastleggen.

Het arrest komt uit de zogeheten kopschopper-zaak. In 2013 schopten acht jongens een ander tegen het hoofd bij een vechtpartij op de Eindhovense Vestdijk. Justitie koos ervoor beelden hiervan naar buiten te brengen in de hoop de daders te identificeren. Deze publicatie leidde bij het Gerechtshof tot strafvermindering vanwege “de “enorme media-aandacht” die aan het incident is gegeven en “de hetze die daardoor jegens hem in de diverse media, onder welke internet, is ontketend”.”

In cassatie moet het HR nu aangeven of en wanneer het publiceren van zulke camerabeelden toegestaan is. In beginsel is het publiceren van beelden een inbreuk op de privacy, ook als de beelden van de openbare weg komen. In de context van opsporing door het OM is publicatie toegestaan afhankelijk van deze factoren:

  1. het publieke dan wel private karakter van de plaats welke op het beeldmateriaal waarneembaar is waar of van de situatie waarin de betrokkene zich bevindt;
  2. de persoon van de betrokkene, waaronder diens leeftijd of bijzondere kwetsbaarheid;
  3. de hoedanigheid van de betrokkene, zoals de publieke bekendheid van de betrokkene, dan wel of hij verdachte is van een (ernstig) strafbaar feit;
  4. de mate van herkenbaarheid van de betrokkene op het beeldmateriaal en de aard en indringendheid van de informatie die door of in samenhang met het beeldmateriaal wordt verstrekt omtrent de identiteit, uiterlijke kenmerken of gedragingen van de betrokkene;
  5. het doel waarmee het beeldmateriaal is vergaard en geopenbaard, waarbij aan de orde kan komen of het gaat om opsporing of identificatie van verdachten van (ernstige) strafbare feiten en of voorzienbaar is dat het beeldmateriaal wordt gebruikt op een wijze die verder gaat dan hetgeen redelijkerwijze nodig is voor het te bereiken doel;
  6. de wijze van vergaring en openbaarmaking van het beeldmateriaal, waarbij aan de orde kan komen of het beeldmateriaal is gemaakt en gepubliceerd met toestemming van de betrokkene, of de beeldopnamen zijn gemaakt op publieke plaatsen waar opnameapparatuur normaliter wordt gebruikt met een gelegitimeerd en voorzienbaar doel, en of er sprake is van een naar tijd en reikwijdte beperkt gebruik dan wel dat de beelden integraal zijn vrijgegeven aan het algemene publiek;
  7. de mate waarin het beeldmateriaal in overeenstemming met de toepasselijke regelgeving is verkregen en verspreid.

Het is dus een factor of de beelden van de openbare weg zijn, maar niet de enige. Als het gaat om iets kleins, dan is publicatie van de beelden nog steeds een te zwaar middel. Wel vind ik een mooie (factor 6) dat de wijze van vergaring meeweegt: als je weet dat ergens camera’s normaliter hangen, dan kun je minder snel bezwaar maken als die beelden dan ook worden gepubliceerd. Maar ook weegt mee (factor 5) of de kans groot is dat de beelden worden misbruikt door langdurige herpublicatie op andere plaatsen (hoi Dumpert).

Verder bevestigt de HR dat een rechtbank rekening mag houden met de gevolgen van publicatie van de beelden, ook als deze publicatie op zichzelf niet tegen de regels was. Dat bevreemdt me een beetje. Als deze toets ertoe leidt dat het gebruik legitiem was, hoezo moet dat dan gevolgen hebben voor de straf?

Arnoud

Hoe bewijs je dat je algemene voorwaarden al jaren op je site staan?

Geplaatst op in Informatiemaatschappij, 24 reacties

algemene-voorwaarden-kleine-lettertjes-tos-eulaIedere webwinkel en online dienstverlener heeft algemene voorwaarden, maar bewijs het maar eens. Beter gezegd: bewijs maar eens dat je voorwaarden in 2010 op je site stonden, iets dat van belang is als je nu ruzie hebt met een klant uit 2010 en hij je aansprakelijk stelt voor schade. En dat dat bewijzen niet meevalt, blijkt maar weer eens uit een vonnis waarin een bewijsopdracht over het aanbieden van algemene voorwaarden niet gehaald werd.

In deze zaak beriep het bedrijf Quantaris zich op de bekende FENIT-voorwaarden, waarin een beperking van aansprakelijkheid stond die voor haar erg belangrijk was: een klant claimde dik €36.000 aan schade (hoewel het vonnis niet precies meldt waarom). Met een beperking van aansprakelijkheid is dat te pareren, echter dan moet je wel bewijzen dat die voorwaarden deel waren van de overeenkomst. En natuurlijk dat ze correct ter hand zijn gesteld.

Dat ter hand stellen kwam hier neer op bewijzen dat de voorwaarden op de site stonden op 31 mei 2010, de dag dat de overeenkomst werd gesloten. De persoon die de website had gebouwd, verklaarde als getuige dat hij in 2010 een document had gehad en dat zonder te lezen op de pagina van de voorwaarden had gezet. Niet heel sterk, en bovendien was deze persoon óók nog eens directeur van Quantaris. Een partijgetuige, zoals dat heet, wordt niet zomaar geloofd als ze dingen verklaren in hun eigen voordeel.

Ook waren screenshots van de oude site (die ondertussen weer online waren gezet) in gebracht als bewijs, maar dat overtuigt de rechter nog minder:

[Er] kan uit die schermafdrukken op geen enkele wijze worden opgemaakt dat de FENIT-voorwaarden 2003 op de ten deze relevante datum 31 mei 2010 gemakkelijk toegankelijk waren via de site http://www.quantaris.nl. De schermafdrukken vermelden geen enkele, in dit verband relevante datum. Bovendien wijkt de schermafdruk van de website van Quantaris.nl af van de screendumps van de website van Quantaris.com die Quantaris als producties 18 tot en met 20 in het geding heeft gebracht.

En omdat niet bewezen is dat de voorwaarden online stonden, zijn ze geen deel van het contract met deze klant. En daarmee is er niets om de schadeclaim van de klant te pareren, maar gelukkig voor Quantaris mag de schadeclaim wel worden gepareerd met een aantal facturen als tegenvordering zodat men uiteindelijk niet meer dan een slordige 8.000 euro inclusief advocaatkosten hoeft te vergoeden.

Hoe zouden jullie bewijzen dat je wel degelijk voorwaarden had vijf jaar geleden? Even snel roepen “Google cache” en “Internet Archive” is onvoldoende: staan daar echt de voorwaarden uit 2010?

Arnoud

Ben ik een dief als de algemene voorwaarden van Albert Heijn dat zeggen?

Geplaatst op in Ondernemingsvrijheid, Regulering, 31 reacties

albert-heijn-akkoord-voorwaarden-nee-nee-neeEen lezer vroeg me:

Onlangs zijn de voorwaarden van zelfscannen van de Albert Heij gewijzigd. Er staat nu in dat je diefstal pleegt als achteraf blijkt dat niet alles gescand is. Maar mag AH wel zo kort door de bocht aannemen dat hun systeem onfeilbaar is? Het zou immers zomaar kunnen dat een gebruiker tegen een bug aanloopt, waarbij het systeem ‘bleep’ doet als indicatie dat het product gescanned is, maar het product niet op de virtuele kassabon terecht is gekomen.

De oude voorwaarden van zelfscannen kan ik zo niet meer vinden, maar inderdaad, in de voorwaarden van de app staat nu:

Blijkt bij controle dat niet alle producten zijn gescand nadat u uw (mobiele) Bonuskaart bij de betaalpaal hebt gescand, dan beschouwen wij dit als diefstal en kunnen wij aangifte doen.

Dat klinkt nogal streng, want er wordt inderdaad geen ruimte gelaten voor de situatie dat er wél is gescand maar dat niet is geregistreerd. Ook niet voor situaties waarin je oprecht vergeten was iets te scannen, hoewel dat natuurlijk geen sterk argument is als je bij de uitgang van een supermarkt staat.

Echter, het is niet zo dat je een strafbaar feit begaat enkel omdat iemands algemene voorwaarden zeggen dat dat zo is. Natuurlijk mag men aangifte doen als men meent dat je iets strafbaars hebt gedaan, maar de inhoud van je contract met het bedrijf is daarbij niet relevant.

Je steelt als je iets wegneemt met de bedoeling je dat toe te eigenen zonder te betalen. En die bedoeling moet bewezen worden. Enkel dat je met een product in je handen buiten staat, is daarvoor niet genoeg. Je kunt iets vergeten zijn te scannen, of de software werkte niet goed. Die opties moeten worden uitgesloten voordat men kan bewijzen dat je het product stiekem wilde meenemen.

Een aanvullend punt van de vraagsteller was nog hoe het zit met de broncode. Zonder de broncode van de zelfscanapp kun je niet bewijzen hoe deze werkt, dus dan sta je zwak als je wilt aantonen dat er een bug in de software zit. Dat is een lastige. Er is geen recht om broncode van bewijsmiddelen op te eisen. De enige manier die ik hier kan bedenken, is een kennis nogmaals eenzelfde set aankopen te laten doen en dat filmen om zo vast te leggen dat hij vaker die fout maakt. Maar als het een eenmalige bug was (of afhankelijk van de stand van de maan in combinatie met het aantal mobiele telefoons in de buurt én het feit dat de rozijnen in de bonus waren) dan wordt dit wel heel moeilijk inderdaad.

Arnoud

Onrechtmatig verkregen camerabeelden toch bruikbaar als bewijs

Geplaatst op in Ondernemingsvrijheid, Security, 15 reacties

dome-camera.jpgIs een stiekem gemaakte verborgencameraopname bruikbaar als bewijs? Wie veel Amerikaanse rechtbankseries kijkt, weet het antwoord: nee. Maar het Nederlands (burgerlijk) recht werkt anders, zo blijkt maar weer eens uit een recent vonnis (via) waarin dergelijke verborgencamerabeelden gewoon als bewijs gebruikt mochten worden.

De werknemer was op staande voet ontslagen wegens (zo te lezen) het vernielen van computersystemen en ander ongepast gedrag. Dit was (grotendeels) vastgesteld door beelden van een verborgen camera. De aanwezigheid van de camera of zelfs maar de mogelijkheid van verborgencameratoezicht was niet gemeld, en ook een reglement was er niet. Een klassiek geval van hoe het niet moet met cameratoezicht op het werk.

Kan de werknemer zo dat bewijs van tafel krijgen, en vervolgens zijn staandevoetje ongedaan maken? Nee:

Echter, de omstandigheid dat de camerabeelden onrechtmatig zijn verkregen, brengt niet zonder meer mee dat die beelden in deze zaak buiten beschouwing moeten blijven en niet als bewijs mogen worden gebruikt.

Bewijs in rechtszaken tussen burgers onderling is eigenlijk zelden tot nooit onrechtmatig. Ook niet bij privacyschendingen. De Hoge Raad oordeelde al in 1987 dat voor uitsluiting van bewijs sprake moet zijn van een “rechtens ontoelaatbare inbreuk op de privacy, zulks op basis van bijkomende omstandigheden die deze conclusie rechtvaardigen”. Oftewel: een inbreuk op zich is niet genoeg, het moet wel een hele erge zijn.

In een zaak uit 2013 overwoog de rechter dat het stiekem maken van geluidsopnames ook als bewijs telde, maar dit handelen van de werkgever zou wel mee kunnen wegen bij het bepalen van de hoogte van de ontslagvergoeding. En in een zaak over inbreken op e-mail van de werknemer moest de werkgever € 7500 schadevergoeding betalen aan de werknemer – maar het ontslag gebaseerd op de uit inbraak verkregen informatie bleef wel in stand.

Ik weet dat mensen moeite hebben met deze uitspraak, want zo keur je impliciet dus strafbaar handelen goed. Je beloont mensen door hun illegaal verkregen informatie te gebruiken. Maar ik zie het anders: de informatie toont de waarheid aan, en daarom moet deze gebruikt worden. Anders krijg je van die rare situaties uit het Amerikaanse recht dat je wéét dat iemand fout zat, maar het bewijs van tafel moet en daardoor de zaak stuk. Nee, dan liever de werkgever een boete laten betalen lós van de status als bewijs. Zo worden beide partijen gestraft.

Arnoud

Hoe bewijs je dat je een app gemaakt hebt?

Geplaatst op in Intellectuele rechten, 34 reacties

hardware-software-computer-gollem-huh.jpgMet zeer, zeer grote regelmaat krijg ik vragen van mensen die hun idee willen beschermen, hun app willen vastleggen of op andere wijze bescherming willen voor een stuk software. Nu zegt de Auteurswet dat je automatisch bescherming krijgt als je een werk maakt (dus ook een app) en dat registratie, depot of wat dan ook niet nodig is. Maar hoe bewijs je dan dat het jouw app is?

In een recent vonnis stond die vraag centraal. De eiser had een app ontwikkeld voor de gedaagde, maar die claimde op zeker moment daar zélf auteursrechthebbende van te zijn. Nu had de gedaagde een redelijk argument: zijn naam stond vermeld bij de apps, preciezer gezegd in de appstore-publicatie daarvan.

De Auteurswet zegt dat je dan ‘vermoed’ wordt de rechthebbende te zijn. Het was dus aan de eiser om te bewijzen dat hij werkelijk het werk gemaakt had.

De broncodes van de app bevatten copyright-vermeldingen in de naam van de eiser. Ook die van een derde, maar die had verklaard de rechten af te hebben gestaan aan de eisende partij.

Wel zaten er ook “zogenoemde open source componenten” in de software. U voorziet nu wellicht gillende FUD over virale effecten en kwijtraken van eigen rechten, maar dat valt reuze mee. De rechter wijdt er eigenlijk maar één zin aan:

Naar het oordeel van de kantonrechter ondersteunen deze omstandigheden het standpunt van [eiser] dat hij de broncodes van de apps naar eigen inzicht en eigen ontwerp tot stand heeft gebracht (al dan niet met hulp van medewerkers van Sveak). Dit wordt niet anders, doordat [eiser], zoals hij ook erkent, bij het schrijven van de broncodes op bepaalde onderdelen (‘open source’) programmatuur van derden heeft gebruikt, aangezien de wijze waarop hij die programmatuur heeft gerangschikt (telkens) een nieuw werk oplevert.

Oftewel, ook al gebruik je software van derden en ook al gebruik je open source, je hebt de auteursrechten op het eindresultaat als je creatief programmeerde of zelfs maar dingen aan elkaar knoopte.

(Het zou kunnen dat de opensourcelicenties van die componenten vereisen dat de eiser de app open source maakt als hij die wil distribueren. Dat komt niet aan de orde want dat is irrelevant bij de vraag wie de maker van de app was. Dat is immers hooguit een geschil tussen de opensourceauteur en zijn afnemer.)

Als laatste argument blijkt de app data te sturen naar een server van de eiser en niet van de gedaagde. Ook dat is natuurlijk best wel een aanwijzing dat die eiser gewerkt heeft aan de app. Alles bij elkaar is daarmee het bewijs geleverd.

Bewijs leveren van makerschap mag dus op elke manier, zolang het totaalplaatje maar de rechter overtuigt dat de app jouw werk was. Een depot of registratie was hier niet nodig, en zelfs het feit dat de naam van een ander bij de app stond, bleek niet onoverkomelijk.

Punt is en blijft alleen: dit helpt enkel tegen mensen die er met jouw broncode vandoor gaan of jouw app letterlijk kopiëren (oké, eventueel met aanpassingen). Wie het achterliggende idee opnieuw implementeert, mag dat doen ondanks het auteursrecht. Ook al deponeer je het honderd keer en zet je er duizend copyright-tekens op.

Maar omdat die uitkomst té frustrerend is voor mensen, zal die vraag “hoe bescherm ik mijn idee” nog héél vaak langs blijven komen.

Arnoud<br/> PS oh en natuurlijk nog de beste wensen voor 2015!

Hoe bewijs je je gelijk in een online game?

Geplaatst op in Informatiemaatschappij, 12 reacties

persoon-gebruiker-verbannen-bannedEen lezer vroeg me:

Laatst werd ik geband in een online spel, omdat ik volgens de beheerder onfatsoenlijk taalgebruik had gebruikt. Op mijn vraag wat dan, kreeg ik te horen dat logs vertrouwelijk zijn maar dat zij volgens de spelvoorwaarden altijd gelijk hadden. Kan dat zomaar?

Dergelijke situaties kom ik vaak tegen. Het is erg frustrerend voor spelgebruikers om te merken dat ze zomaar ineens verbannen zijn, al dan niet permanent, op basis van bewijs dat ze niet mogen inzien.

We hadden die recente discussie bij hosters die niet willen overleggen met hun gebruikers. Dit is in feite het omgekeerde perspectief: wat doe je als een bedrijf zegt “je zit fout, kickban, toedeledokie”.

Ik heb nog eens zitten denken over welke grond je nu kunt gebruiken tegen zo’n toedeledokie-opzegging. Volgens mij kom je met dit artikel van de grijze lijst een eind:

d. dat de gebruiker van zijn gebondenheid aan de overeenkomst bevrijdt of hem de bevoegdheid daartoe geeft anders dan op in de overeenkomst vermelde gronden welke van dien aard zijn dat deze gebondenheid niet meer van hem kan worden gevergd;

Opzeggen zonder genoemde grond of zonder ernstige grond (“kan niet worden gevergd”) door de gebruiker van de voorwaarden (de dienstverlener dus) is dus verdacht, en de dienstverlener moet dus bewijzen dat hij wél zomaar mag opzeggen zonder genoemde grond of op basis van iets triviaals. Dat geeft hem een achterstand maar een keihard verweer is het niet.

Maar goed, stel er staat iets in de AV van “geen onfatsoenlijk taalgebruik” of “verboden vals te spelen bv. met een bot“en men zegt “onze logs bewijzen dat je dat deed, ernstige en genoemde overtreding, toedeledokie”. Wat dan?

Allereerst is er de vraag of je het bewijs mag inzien. Dat lijkt me vrij evident vanuit mijn juridische onderbuik maar een specifiek artikel heb ik niet. Eisen dat iets gemotiveerd wordt met bewijs, zou ik alleen vanuit de algemene regels van redelijkheid en billijkheid kunnen onderbouwen. Of heel misschien via de Wbp – dan doe je een inzageverzoek voor persoonsgegevens over jou. Men is verplicht je die inzage te geven, maar dat is een apart traject los van de discussie of het bewijs terecht is.

Vervolgens zou je dan tegenbewijs willen leveren. Wellicht maak je filmpjes van alles dat je doet, en kun je die terugkijken om te zien of je werkelijk raar speelgedrag vertoonde. Art. 6:236 sub k BW zegt dat algemene voorwaarden niet mogen bepalen dat de gebruiker geen tegenbewijs kan leveren, of dat het bewijs van de dienstaanbieder altijd bindend is. Er moet dus ruimte zijn voor tegenbewijs.

Heb je geen tegenbewijs, dan houdt het vrij snel op denk ik. En soms ís het ook gewoon een vrije beoordeling; wanneer is taal onfatsoenlijk of wanneer is spelgedrag nu typisch iets voor een bot?

Arnoud

Is het verboden om (via Tor of proxies) je IP-adres te verbergen?

Geplaatst op in Regulering, Security, 22 reacties

Een lezer vroeg me:

Met het anonieme netwerk TOR maar ook met allerhande proxies kun je je IP-adres verbergen. Nu hoorde ik laatst dat dat illegaal zou zijn omdat de politie je dan niet kan opsporen. Lijkt me sterk, maar is dat misschien toch zo?

Er is geen algemene regel in het recht die je verplicht opspoorbaar te zijn. In specifieke situaties soms wel: zo moet je als automobilist een nummerbord op je auto hebben zodat verkeersovertredingen op te sporen zijn naar de eigenaar van het voertuig.

Hoewel een IP-adres soort van dezelfde identificerende functie heeft als een nummerbord (en bij ICT vergelijkingen met auto’s wettelijk verplicht zijn), is er geen regel die je verplicht op internet je IP-adres zichtbaar te laten zijn. Het is dus legaal om met het Tor-netwerk te werken, een proxy te gebruiken of iets anders te doen waardoor je IP-adres niet zichtbaar is. Dat mensen dat wantrouwig kunnen bekijken of zelfs je kunnen weren omdat ze je IP-adres niet weten, is hun (ook weer legale) keuze.

Een risico bij zulke netwerken en diensten is dat wie ze aanbiedt, ineens aansprakelijk gesteld kan worden voor rare dingen via de proxy of Tor exit node. Of hij krijgt de politie aan de deur omdat het IP-adres van de proxy of exit node opdook bij een misdrijf. Strikt gesproken ben je niet aansprakelijk (straf noch civiel) als je enkel een doorgeefluik bent, maar praktisch gezien heb je dan best wel een probleem. En hoe dát op te lossen, daar ben ik nog niet uit.

Arnoud

Mag een forum IP-adressen van een klager matchen tegen zijn gebruikers?

Geplaatst op in Security, 11 reacties

blog-ip-adres.pngVia een lezer (dank) vond ik een interessante discussie bij Tweakers: een bedrijf werd besproken op het forum van de techsite, waarna het bedrijf bij het beheer ging klagen dat er hackpogingen werden ondernomen vanuit Tweakers. Waarop het beheer van Tweakers meldde dat personen die zoiets zouden doen, een ban zouden krijgen. Herrie in de tent natuurlijk, onder meer over de vraag of T.net wel mocht kijken naar IP-adressen die door dat bedrijf waren aangeleverd. En waar stond dat dan in de wet?

De pest met internetrecht is dat er bar weinig concrete aanknopingspunten zijn om een onderbouwde uitspraak te kunnen doen. Zo zijn er eigenlijk geen fatsoenlijke rechtsbronnen die over persoonsgegevens in ICT-security gaan, laat staan zo specifiek als wat hier aan de hand is. Je kunt als jurist weinig meer doen dan speculeren, pardon je deskundige mening geven. Dus nou ja, dat doen we dan maar.

Het bedrijf leverde IP-adressen aan van vermeende kwaadwillenden, en Tweakers bekeek of die IP-adressen op dat moment ook in gebruik waren bij ingelogde gebruikers. Dat is een verwerking van persoonsgegevens, omdat het hier immers gaat om IP-adressen van personen (of proxy’s maar dat terzijde).

De Wbp noemt 6 gronden voor verwerking van persoonsgegevens, waarvan normaal de toestemming en de eigen dringende noodzaak de twee meest relevante gronden zijn. (Een derde is de noodzaak in verband met nakoming overeenkomst, bv. een adres geven aan de post omdat je een bestelling wilt versturen.)

Van een eigen dringende noodzaak is sprake als je een eigen belang hebt dat zwaarder weegt dan de privacy, en waarbij de maatregel die je neemt echt absoluut nodig is om dat belang te dienen. Het kan niet een onsje minder en er is geen alternatief. In principe moet je hierbij een opt-out bieden als dat enigszins te doen is.

Op je site IP-adressen loggen om hackpogingen te signaleren, is wat mij betreft een evident voorbeeld. Het kicken of bannen van je gebruikers wegens overtreding van de gebruiksvoorwaarden lijkt me er ook onder vallen, en wellicht is dat wel te rechtvaardigen als gebruik ten behoeve van nakoming overeenkomst. Het bewijzen van wanprestatie vind ik daar wel onder passen.

(Overigens – maar dit is offtopic denk ik – vind ik niet dat “ik heb geen zin meer in je, ga van mijn server” rechtsgeldig is. T.net heeft een overeenkomst met zijn gebruikers en die mag niet zomaar per direct en zonder grond worden opgezegd.)

Specifiek hier zit het punt dat partij A een persoonsgegeven* verstrekt aan B, waarna B daarmee aan de slag gaat. A heeft een noodzaak (loggen/decteren intruders) en B ook (schorsen van wanpresterende gebruikers) maar mag je die noodzaken combineren?

Ik ben geneigd te zeggen van wel. Als T.net een noodzaak heeft om in te grijpen bij hackpogingen waarbij T.net een wezenlijke schakel was, dan mag ze daarbij ook extern aangedragen bewijs hanteren. Het zou wat gek zijn dat T.net zelf bewijs moet vergaren als een derde klaagt “er hackt iemand vanaf jullie site”. Meer algemeen wil het er bij mij niet in dat een op zich legitieme wet een blokkade zou opleveren voor op zich legitiem gedrag. Wat zou het alternatief zijn, dat T.net zijn gebruikers vraagt “jongens mag ik van jullie nagaan wie er crimineel bezig is ja/nee”?

Arnoud

Papieren treinkaartje hoeft niet meer, vanwege incheckdisplay

Geplaatst op in Privacy, 44 reacties

ov-chipkaart-paal-inchecken-saldoHet papieren treinkaartje hoeft niet terug te keren, meldde Nu.nl onlangs. De Nederlandse Spoorwegen (NS) moeten op verzoek wel laten zien welke reis de reiziger op zijn OV-chipkaart heeft staan. Dat blijkt uit een uitspraak van de hoogste rechtbank voor sociaal-economisch bestuursrecht, het College van Beroep voor het Bedrijfsleven. Hoewel Europese regels eisen dat een OV-reiziger zijn reisrecht kunnen controleren, voldoet de NS omdat je bij de incheckpaal en bij de conducteur inzage kunt krijgen in dat rechter.

Een ICT-er was naar de rechter gestapt met de eis dat het papieren treinkaartje moest blijven, omdat je met de ov-chipkaart geen objectief bewijs hebt dat je legaal mag reizen. En dat is wél verplicht van Europese Verordening 1371/2007. Bij een elektronische kaart is dat een probleem, want het is niet echt mogelijk een identiek resultaat neer te zetten als met een papieren vervoerbewijs. Maar, zo staat in die Verordening:

De voor de registratie en bewerking van de gegevens gebruikte procedures moeten uit functioneel oogpunt gelijkwaardig zijn, in het bijzonder wat betreft de bewijskracht van het vervoerbewijs (…)

Hoe kun je nu het bewijs dat je mag reizen halen met een ov-chipkaart? Het College noemt vijf manieren:

  1. op het display van een incheckpaal of –poortje ziet de reiziger, zeer kort, dat hij tot de reis is toegelaten omdat er voldoende saldo is, de klasse waarmee wordt gereisd en of er al dan niet een voltarief wordt berekend;

  2. bij een kaartautomaat op het station kunnen op het display de laatste tien transacties ingezien worden;

  3. bij een NS-servicebalie kan om een papieren uitdraai van de NS-transacties gevraagd worden;

  4. via internet kunnen transactiegegevens worden opgeroepen indien de houder van de OV-chipkaart daarvoor een account heeft aangemaakt;

  5. op het uitleesapparaat van de conducteur is zichtbaar of is ingecheckt, het station waar is ingecheckt, de inchecktijd, de klasse waarmee wordt gereisd, alsmede gegevens over een eventueel op de kaart geladen reisproduct (bijvoorbeeld een bepaald soort abonnement).

Is dit nu genoeg? In principe ja, zegt het Cbb: je kunt (optie 3) naar een servicebalie gaan en die printen het voor je uit. Maar ben je op reis, dan is dat geen optie. Dan ben je afhankelijk van de conducteur (optie 5) en dan moet je maar hopen dat die meewerkt. De NS zegt toe dat ze hier de conducteur over zullen instrueren, maar bij Nu.nl meldt Rikus Spithorst (reizigersbelangenorganisatie ‘Voor Beter OV’ ) dat de conducteur “meester is in het onvindbaar zijn”. Dat wordt dus nog wat.

Voor mij voelt het bepaald onbevredigend: niemand gaat werkelijk naar de servicebalie om te zien of hij ingecheckt is. En in de drukte van de spits kun je gemakkelijk het piepje van de incheckpaal missen, en daar sta je dan als vertwijfelde reiziger. Ja oké ik heb een laptop bij me en zou dus kunnen zien of ik ingecheckt ben, maar het voelt alsnog wat om een laptop mee te moeten nemen om informatie te krijgen die vroeger gewoon op een stukje papier staat.

Arnoud