Man verliest Microsoft-account (en alle data) vanwege gedoe over onbetamelijke foto

| AE 12267 | Ondernemingsvrijheid | 57 reacties

Je krijgt ongevraagd een onbetamelijke foto toegestuurd, waarna Microsoft je levenslang verbant van al haar diensten. Dat meldde NRC afgelopen zondag. Want dat is terecht, zo vonniste de rechtbank: een man had een kort geding daartegen aangespannen maar krijgt zijn bestanden niet terug en mag ook zijn Microsoft-account nooit meer gebruiken. Althans, voor nu – de bestanden mogen niet weggegooid en er zal dus een bodemprocedure nodig zijn om echt uit te maken of Microsoft terecht handelde. Maar ja, je digitale leven mag dus worden geblokkeerd voor nu.

Het probleem begon in april dit jaar, toen de eisende man merkte dat zijn toegang tot zijn OneDrive account onmogelijk was, en Microsoft desgevraagd meldde dat er een “serious violation” was geweest van de Service Agreement. Doorvragen leverde slechts herhaling op van deze mededeling, waarna de man een advocaat inschakelde. Ook dat mocht niet baten, vandaar de rechtszaak.

Pas daarna kwam aan het licht dat de violation het feit betrof dat de eiser in een groepsapp van WhatsApp een foto gedeeld had gekregen die Microsoft als kinderpornografie aanmerkte. De foto was volgens eiser grappig bedoeld, toont niet werkelijk seks met kinderen maar “door het hele ongelukkige moment van afdrukken bij het maken van deze foto lijkt dat zo.” De rechtbank komt echter tot de conclusie dat de afbeelding ook dan kan kwalificeren als kinderporno, gezien internationale afspraken op dat gebied.

Microsoft heeft software draaien die het opslaan en vooral het delen van dergelijke foto’s detecteert. Een groot deel van het geschil ging over de vraag of de man deze afbeelding nu had gedeeld of niet. Hij zei van niet, Microsoft zegt van wel – en MS krijgt gelijk omdat de servicevoorwaarden zeggen dat je de foto niet mag hebben, ongeacht of je deze deelt. Een overtreding dus.

Dan krijg je de vraag, is de maatregel proportioneel. In juridische termen: de algemene voorwaarde die zegt dat je je gehele (betaalde) account geheel kwijt raakt, is onredelijk bezwarend bij één overtreding. Daarvan zegt de rechter, nee dat is niet zo: dit soort afbeeldingen zijn zeer ernstig en strafbaar, dus is een volledige vernietiging van het gehele account een gepaste reactie.

Uit het vonnis haal ik dat de man van de overige bestanden niets meer had gezegd dan dat ze emotionele waarde hebben. “Indien [eiser] naar voren zou hebben gebracht dat hij een of meer onderdelen van de bestanden dringend nodig had, dan zou de voorzieningenrechter dat belang bij de beoordeling kunnen betrekken maar [eiser] heeft dat niet gedaan.” Oftewel, als je als privépersoon alleen maar persoonlijke bestanden in de cloud hebt staan, dan heeft dat geen waarde en moet je niet klagen als ze worden vernietigd.

Ook een beroep op de AVG mag niet baten: weliswaar staat daar een recht op dataportabiliteit, maar dat geldt niet voor alle bestanden in je account. Je hebt alleen recht op een export van je persoonsgegevens, en een serie door jou gemaakte foto’s zijn op zichzelf geen persoonsgegevens van jou. 

Het is een kort geding, dus voor uitgebreide discussie is geen plaats. Daarom verplicht de rechter Microsoft wel om de bestanden nu veilig te stellen, zodat de principiële discussie gevoerd kan worden bij de bodemrechter. Ik hoop heel erg dat dit ook snel gebeurt.

Arnoud

PS: links naar de betreffende afbeelding of suggesties hoe deze te vinden leiden tot een levenslange ban op deze blog. Geen grap.

 

Mijn werkgever blokkeert mijn thuisverbinding omdat ik een TOR relay heb

| AE 11757 | Ondernemingsvrijheid | 21 reacties

Een lezer vroeg me:

De dienstverlener van een SaaS administratie-pakket voor de zakelijke markt blokkeert/blacklist de thuisverbinding van een werknemer omdat deze een TOR node draait. De helpdesk weigert dit IP-adres te whitelisten en stelt dat de werknemer zichzelf van de blacklist zal moeten laten verwijderen, wat zou betekenen dat de node offline moet. Mag dit?

Deze manier van werken is me opgevallen bij een aantal SaaS-pakketten. Ik vermoed dat er iemand op security-cursus is geweest en daar leerde dat er met TOR nare dingen gebeuren, zodat het beter is om verkeer vanaf TOR te weren. Dus IP-adressen die óók een TOR node zijn, mogen dan niet inloggen.

Inderdaad gebeuren er rare en strafbare zaken via TOR, maar dat is onvermijdelijk met een netwerk dat opgezet is voor volledig anonieme communicatie. Maar wat je daar verder ook van vindt, ik zie niet hoe het relevant is bij het kunnen inloggen op een SaaS-tool. Ik snap dat je aanvallers wil weren, maar uiteindelijk doe je dat door een adequate authenticatieprocedure.

En oké, als je verkeer vanúit TOR wilt weren dan snap ik dat ergens – dat kan een wachtwoorddief zijn die zijn sporen wil wissen, en welk bedrijf zou standaard willen dat zijn werknemers inloggen via TOR? Maar hier gaat het over IP-adressen die óók een TOR node zijn, maar waarvan de login los staat van TOR.

Tegelijkertijd, wat doe je er aan als klant? Want dit soort dingen zijn -zeker in de zakelijke contractensfeer- prima zo af te spreken dat de dienstverlener het mag. Als die ervoor kiest om alleen als Nederlands bekend staande IP-adressen toe te laten bij de inlog, dan zit je als zakelijke klant op vakantie in Thailand inderdaad met een blokkade. En dan staat men in haar recht. Dit nog los van het punt dat je niet gaat procederen over een dergelijke bagatel, want de kosten zijn hoger dan de baten.

Arbeidsrechtelijk nog wel een interessante: kan ik als werkgever van een werknemer in deze situatie eisen dat zhij stopt met die TOR node? Kennelijk moet zhij thuis kunnen werken (anders is het probleem niet relevant voor het werk) en kennelijk is het contractueel redelijk dat de leverancier hem weert gezien die node. Het hindert het werk, wat die werknemer doet. Daar staat tegenover dat ik als werkgever vrij weinig te maken heb met zo’n privéhobby.

Wat zouden jullie de werkgever adviseren?

Arnoud

Mag je internetprovider poort 25 blokkeren van de netneutraliteitswet?

| AE 10988 | Regulering | 47 reacties

Port 25 is geblokkeerd en ik wil niet mailen over de ziggo mailservers, zo begon een discussie op het Ziggo communityforum. De topicstarter wil graag via zijn Ziggo-account het internet op om daar mails aan te bieden aan een externe internetprovider, maar dat lukt niet tenzij hij de mails aan een Ziggo-mailserver aanbiedt, die het dan filtert en doorgeeft. (Voor de techneuten: outbound port 25 is geblokkeerd.) Volgens de helpdesk is dit vanwege spamproblemen die je anders krijgt. Dus dan wordt de vraag, hoe ver mag een internetprovider daarin gaan?

In 2011 trad de wet netneutraliteit in werking, waarin strenge regels stonden die in principe internetproviders verboden om uitgaand internetverkeer zomaar te blokkeren. Echter, in 2015 trad de Europese netneutraliteitsverordening in werking, met een iets andere tekst:

Aanbieders van internettoegangsdiensten treffen geen verkeersbeheersmaatregelen die verder gaan dan de in de tweede alinea bedoelde maatregelen, en gaan met name niet over tot het blokkeren, vertragen, wijzigen, beperken of degraderen van, interfereren met of discrimineren tussen specifieke inhoud, toepassingen of diensten, of specifieke categorieën daarvan, behalve indien — en slechts zolang — dit nodig is om: …
b) de integriteit en de veiligheid van het netwerk, van de diensten die via dit netwerk worden aangeboden en van de eindapparatuur van de eindgebruikers te beschermen;

In die tweede alinea staan aangegeven dat als providers maatregelen opleggen, hiervoor geldt dat deze

transparant, niet-discriminerend en evenredig [moeten] zijn, en mogen zij niet berusten op commerciële overwegingen, maar op objectief verschillende technische kwaliteitsvereisten van specifieke categorieën verkeer berusten.

Samen lezend mag een provider dus maatregelen nemen vanuit het oogpunt van integriteits- en veiligheidsborging van het netwerk wanneer deze:

  1. Specifiek gericht zijn op integriteit en veiligheid
  2. Transparant zijn – het moet dus duidelijk zijn wat er gebeurt en waarom
  3. Niet-discriminerend zijn – alle klanten moeten gelijk behandeld worden in gelijke situaties, dus niet de een een waarschuwing en de ander meteen afgesloten
  4. Evenredig zijn – niet verder gaan dan nodig voor het doel, dus liever de mail tegengehouden dan de gehele internettoegang verbroken
  5. Gebaseerd zijn op objectieve kwaliteitseisen – een duidelijke manier om te zeggen of een mail spam is of niet.

Het blokkeren van uitgaande mails vanaf consumentencomputers naar mailservers van derden is al vele jaren gemeengoed in de strijd tegen spam. Het komt nogal eens voor dat computers van mensen worden gekaapt om vanaf hun computer spam te versturen via mailservers van derden. Die gaan daar dan over klagen bij antispamdiensten, en die blokkeren dan de IP-adressen van de betreffende internetproviders. Dus heel kort door de bocht, als Ziggo dit soort maatregelen niet neemt dan kan geen enkele klant straks nog mail naar andere internetproviders of maildienstverleners krijgen vanwege alle spamzwartelijsten waar Ziggo dan op komt.

Een duidelijke behoefte vanuit het beschermen van netwerk en dienstverlening zie ik dus wel. De transparantie had wat beter gekund, dit issue speelt al langer en het blijft moeilijk duidelijke informatie hierover te vinden bij Ziggo. De objectiviteit en niet-discriminerendheid lijkt me ook wel in orde, dit is een automatische blokkade die niet op de persoon speelt.

Voor mij hangt het dan op de kwestie van evenredigheid. Is het echt nodig om zo ver te gaan dat je preventief de smpt-poort blokkeert? Is er geen alternatief, bijvoorbeeld pas blokkeren bij grote aantallen of ongebruikelijke soorten mails? Technisch vast wel, maar dat vereist extra inspanningen om te bouwen en de vraag is of dat het waard is.

Daar komt dan bij dat Ziggo wél toestaat dat je via andere poorten mail verstuurt via diensten van derden, met name via beveiligde poort 465 (wat nu 587 moet zijn). Dus er lijkt een reëel alternatief te zijn. En dan denk ik dat het alles bij elkaar wel mag. Er is een duidelijke objectieve reden, er is een reëel alternatief voor de gebruiker en voor Ziggo zou het veel werk zijn om het probleem anders op te lossen. Dat past binnen de strekking van deze uitzondering op netneutraliteit.

Arnoud

Ziggo en XS4All moeten nu toch weer wel The Pirate Bay blokkeren

| AE 9706 | Intellectuele rechten | 24 reacties

Internetproviders Ziggo en XS4All moeten de blokkade van torrentsite The Pirate Bay uit 2012 alsnog in ere herstellen. Dat bepaalde de rechtbank Den Haag vrijdag in kort geding. Raar; we hadden toch juist allemaal bodemprocedures en zelfs vragen aan het Hof van Justitie over deze kwestie, dus hoezo kan een kortgedingrechter dan even zeggen, zet… Lees verder

Terugblik: Een cynisch stukje piratenbaaifrustratie

| AE 9561 | Intellectuele rechten | 3 reacties

Vanwege mijn vakantie deze week geen nieuwe blogs. In plaats daarvan een terugblik op de afgelopen tien jaar: ik heb vijf populaire blogs geselecteerd en kijk er anno 2017 graag nog eens naar met jullie. Vandaag: Een cynisch stukje piratenbaaifrustratie, met bijna 2000 woorden en 287 stevige reacties een van mijn cynischste stukken ooit. Goed…. Lees verder

EU-Hof verklaart The Pirate Bay illegaal en baant weg voor blokkade

| AE 9488 | Intellectuele rechten | 39 reacties

Het Europese Hof van Justitie heeft uitspraak gedaan in de zaak die door Brein is aangespannen tegen providers Ziggo en Xs4all, las ik bij Tweakers. Het Hof verklaarde – weinig verrassend – dat de piratensite inbreuk maakte op auteursrechten. Maar ze zeggen geen woord over in hoeverre een blokkade nu gerechtvaardigd is, dus waarom alle… Lees verder

Is het strafbaar om een Pirate Bay-proxy te opereren?

| AE 8561 | Intellectuele rechten, Ondernemingsvrijheid | 24 reacties

Een lezer vroeg me: In Engeland is een man aangeklaagd voor fraude omdat hij een Pirate Bay-proxy draaide. Hem hangt maximaal tien tot veertien jaar cel boven het hoofd! Kan dat ook bij ons? In Engeland hebben diverse rechtbanken het verlenen van toegang naar de Pirate Bay verboden. Deze meneer wordt nu strafrechtelijk vervolgd voor… Lees verder

Mijn provider blokkeert IP-adressen van schurkenstaten, mag dat?

| AE 8382 | Informatiemaatschappij | 23 reacties

Een lezer vroeg me: Wij zijn klant bij het Amerikaanse cloudbedrijf SoftLayer. Nu lezen wij dat SoftLayer network-wide blocking implementeert van IP-adressen uit Cuba, Iran, North Korea, Soedan en Syrië. Dit in verband met Amerikaanse handelssancties. Kan dat zomaar? Inderdaad zijn er al diverse jaren allerlei zware handelssancties tegen de genoemde landen. President Bush noemde… Lees verder

Amerikaans hotel krijgt boete voor blokkeren wifi-hotspots

| AE 7034 | Ondernemingsvrijheid, Security | 14 reacties

Het Marriott Hotel in Nashville heeft een schikking van 600.000 dollar getroffen met de Amerikaanse telecomwaakhond FCC voor het verstoren van de persoonlijke wifi-hotspots van klanten, meldde Nu.nl onlangs. Met deze truc wilde men voorkomen dat huurders van conferentiezalen eigen tijdelijke netwerken zouden aanleggen tegen lagere prijzen dan het hotelnetwerk. Maar de verstoring trof ook… Lees verder