Tag: Cloud

About Cloud

Subscribe Feeds

Worden Europese bedrijven straks verplicht data aan de VS te geven?

Geplaatst op in Informatiemaatschappij, 23 reacties

De Supreme Court gaat uitspraak doen in de Microsoft-cloudzaak waarbij het Amerikaanse bedrijf door de rechter verplicht werd data van haar Europese dochter af te geven aan de FBI. Dat las ik (dank, tipgevers) bij Ars Technica. De zaak loopt al een tijdje en kan enorme gevolgen hebben voor de bruikbaarheid van de cloud voor Europese bedrijven. Want als het precedent wordt “ja dat moet je afgeven” dan wordt je data stallen bij zelfs een Europese dochter van een Amerikaans bedrijf een tikje ingewikkeld.

In 2014 bepaalde een rechter in de VS dat Microsoft Inc. (de Amerikaanse moeder) gehouden kon worden om gegevens van een klant van haar Ierse dochtermaatschappij af te geven als de FBI dat wilde. Kort gezegd was het argument daarvoor dat het geen argument is dat bewijsmiddelen in het buitenland liggen, je gaat ze maar halen. Maar die regel voelt niet echt gepast voor een clouddienst, zeker niet als je bedenkt dat Microsoft die dienst in Europa via een apart, Europees bedrijf levert.

Gelukkig werd in hoger beroep bepaald dat deze redenering van de FBI niet opging. De wet waar men zich op beroep (de Stored Communications Act) was niet bedoeld om de FBI ineens buitenlandse rechtsmacht te geven. En nu ligt de vraag dus bij het Supreme Court, dat erom bekend staat niet alleen juridische maar ook politieke visies mee te laten wegen in hun uitspraken. Het kán dus zomaar gebeuren dat men bepaalt dat het er wél staat, en dat een Europese dochter dus maar moet meewerken aan zo’n bevel.

Dat wordt dan nog knap ingewikkeld, want dat mág helemaal niet. In de AVG is hier namelijk een specifiek artikel over opgenomen, artikel 48:

Elke rechterlijke uitspraak en elk besluit van een administratieve autoriteit van een derde land op grond waarvan een verwerkingsverantwoordelijke of een verwerker persoonsgegevens moet doorgeven of verstrekken, mag alleen op enigerlei wijze worden erkend of afdwingbaar zijn indien zij gebaseerd zijn op een internationale overeenkomst, zoals een verdrag inzake wederzijdse rechtsbijstand, tussen het verzoekende derde landen en de Unie of een lidstaat, onverminderd andere gronden voor doorgifte uit hoofde van dit hoofdstuk.

Oftewel: wat een buitenlandse wet of rechtbank ook bepaalt, Europese bedrijven mogen alleen meewerken aan zo’n bepaling als dat in een verdrag tussen de EU en dat land is geregeld. De FBI zou dus een rechtshulpverzoek aan Nederland kunnen doen, waarna onze politie de data licht bij het datacentrum hier. Een opdracht van Microsoft Inc aan haar Nederlandse dochter “geef die data want wij moeten dit van de rechtbank afgeven” is dus keihard in strijd met Europees recht.

Arnoud

Tot eigendom van data geregeld is, kun je maar beter goede backups maken

Geplaatst op in Informatiemaatschappij, 12 reacties

Wie data opslaat bij een online backupdienst, of gebruik maakt van een SaaS-dienst voor bijvoorbeeld boekhouding of klantenadministratie, zal al snel geneigd zijn te spreken van ‘zijn’ data. Logisch: die informatie is essentieel voor die persoon, en als hij het fysiek ergens opgeslagen had, dan waren die mappen of papieren ook gewoon zijn eigendom. Maar in de cloud is dat wezenlijk anders. Data is niets, juridisch gezien. Je kunt dus niet spreken van eigendom van data, en er is ook geen wettelijke manier om data op te eisen van een dienstverlener.

Dat data niets is, beschouw ik als het grootste juridische probleem binnen het internetrecht. Want we dénken allemaal van wel, omdat SaaS-diensten nu eenmaal zo duidelijk aansluiten bij de klassieke manier van werken. Data op onze laptops, daar kunnen we altijd bij; die is dus ‘van ons’ in het gewone spraakgebruik. En die data is essentieel voor wat we doen – of het nu bedrijfskritische gegevens zijn of onvervangbare foto’s van je opgroeiende kinderen. Die data moet dus ook van ons zijn. Maar als je hem in de cloud opslaat, heb je er juridisch geen claims meer op. Data is een bijproduct van dienstverlening, meer niet.

Bij verlies van data heb je juridisch gezien gewoon dikke pech. Die data is weg, en een claim wegens wanprestatie is buitengewoon ingewikkeld. Toon maar eens aan dat de clouddienstverlener zijn best niet heeft gedaan, om te beginnen. En daarnaast: waarom had jij geen backup van die data, als die zo belangrijk was voor je? Het aansprakelijkheidsrecht kent het concept van “eigen schuld”, waardoor een schadevergoeding kan worden verlaagd. Met dat argument kreeg een consument in 2013 het deksel op de neus toen hij zijn Powerbook had laten repareren, waarna de harde schijf sneuvelde. Hij moest de helft van de schade zelf dragen.

Een oud spreekwoord luidt: beter voorkomen dan genezen. In juridische termen: beter backuppen dan aansprakelijk stellen. Een backup maken van clouddata lost het hele probleem op van dataverlies, tenminste als je de backup ook weer netjes ergens bewaart.

Een goede dienstverlener zal zijn klanten de gelegenheid geven alle geüploade data ook weer te downloaden, zodat de klant deze elders kan gebruiken als de overeenkomst wordt beëindigd, of bij calamiteiten natuurlijk. Sommige bedrijven doen dit liever niet, omdat ze bang zijn dat iemand dan naar de concurrent gaat. Maar het omgekeerde blijkt waar: als je weet dat je snel weg kunt, blijf je langer zitten. Het belangrijkste voor de klant is in ieder geval: máák die backup, en bij voorkeur iedere dag. Want een backup heb je pas nodig als je merkt dat de dienst het ineens niet meer doet. En dan is het te laat om hem nog te downloaden.

Arnoud<br/> PS: dit is een voorpublicatie uit editie 2017/18 van De wet op internet, en de voorintekening is geopend!

Wetsvoorstel moet digitaal leren met nepnaam veiliger maken

Geplaatst op in Informatiemaatschappij, Privacy, 21 reacties

Kinderen die op school met digitale lesmethoden werken, hoeven niet meer hun eigen naam in te vullen. Dat stond in het papieren AD afgelopen weekend. De ministerraad heeft namelijk ingestemd met een wetsvoorstel van die strekking, hoewel exacte details nog ontbreken. Kort gezegd komt het erop neer dat bij gebruik van clouddiensten door scholen moet worden gewerkt met pseudoniemen of codes, zodat bij datalekken niet gelijk alle details van de leerlingen op straat liggen. Het idee is loffelijk maar moet dat nu echt zo met een wet?

De tekst van het wetsvoorstel wordt helaas pas openbaar nadat de Raad van State er advies over heeft gegeven, dus het is nog even speculeren. Ik hoop op een voorstel dat gewoon zegt, scholen mogen alleen pseudonimeen van leerlingen aan leveranciers doorgeven. In combinatie met een verbod voor leveranciers om meer dan dat te vragen. Het is immers echt nergens voor nodig om werkelijke persoonsgegevens van leerlingen te hebben om een dienst aan een school te leveren.

Ik ben een beetje bang dat er komt te staan dat de leverancier ontvangen persoonsgegevens moet pseudonimiseren. (Of, nog erger, dat dit in overleg moet worden vastgesteld.) Want dan schiet je er weinig mee op, dan is die brondata er nog steeds en dus blijft de kwetsbaarheid bestaan.

En ja ik weet het, de Privacyverordening roept op tot pseudonimiseren en staat toe dat dit gebeurt door de partij die vervolgens gaat werken met de gepseudonimiseerde gegevens. Het is niet verplicht dat je de sleutel en de pseudonieme data in aparte bedrijven bewaart. Dus het zou legaal zijn als een dienstverlener zo gaat werken, en het wetsvoorstel zou dan weinig toevoegen behalve dan dat dit móet in plaats van slechts een beste praktijk te zijn. (Sorry, de tekst van de Verordening is wat raar.)

Je kunt je natuurlijk sowieso afvragen wat dit wetsvoorstel gaat toevoegen bovenop die Verordening. Want ook daar staat al in dat je persoonsgegevens zo veel mogelijk moet beperken, dat je bij voorkeur pseudonimiseert dus en natuurlijk dat je adequaat beveiligt en daar afspraken over maakt met je verwerkers (voorheen je bewerkers), zoals die clouddienstverleners dus. Hooguit zou dat dan nog zijn dat het black letter law wordt in plaats van ahem een beste praktijk, of een richtsnoer van de toezichthouder waar een leverancier van kan zeggen dat zij toch alternatieve feitenandere inzichten hebben over hoe het zo veilig mogelijk te doen.

Arnoud

Google moet wél buitenlandse e-mails overdragen aan de FBI

Geplaatst op in Intellectuele rechten, Privacy, 19 reacties

Een Amerikaanse rechter heeft bepaald dat Google ook e-mails die op servers buiten de VS zijn opgeslagen moet overdragen aan de FBI in een zaak over binnenlandse fraude. Dat meldde Nu.nl onlangs. Deze beslissing staat lijnrecht tegenover de hogerberoepszaak van Microsoft dat géén berichten opgeslagen in het buitenland hoefde af te geven aan de Amerikaanse justitie. Daarmee is vooral de kans levensgroot geworden dat dit naar de Supreme Court gaat, dat zo een definitieve uitspraak moet gaan doen over of Amerikaanse cloudbedrijven nog zaken mogen doen met Europese klanten.

De zaak begon relatief simpel: de FBI had twee warrants bij Google neergelegd om e-mails te vorderen van verdachten in twee strafzaken. De verdachten woonden in de VS, de strafzaken waren in de VS begaan en de andere partijen bij de mails waren ook allemaal Amerikaans. Om technische redenen bleek Google een deel van de maildata toch buiten de VS te hebben opgeslagen, en met een beroep op het Microsoft-precedent van vorig jaar weigerden ze daar dan ook inzage in te geven.

De rechter die de warrant had afgegeven, bepaalt nu dat ook die buitenlandse data gewoon afgegeven moet worden. Het Microsoft-precedent lag anders. Daar was de data in beheer bij een Ierse dochter. Als je daar als Europees burger zaken mee doet, dan sta je wel héél raar te kijken als de FBI je data meeneemt. Dat raakt dan aan je privacyverwachting, en de regels over warrants zijn uiteindelijk geschreven om de privacy van de burger te beschermen.

Hier lag dat anders: als je als Amerikaan met een Amerikaan mailt via de Amerikaanse dienst Gmail, dan wéét je dat de FBI jurisdictie heeft en zo nodig je mails kan opvorderen met een warrant. Dat er dan toevallig op de achtergrond af en toe een blokje van je data in het buitenland staat, maakt dan niet meer uit. Voor hetzelfde geld was die morgen weer terug in de VS en dan hadden we deze hele discussie niet gehad. Dus niks privacyverwachting.

Op zich een begrijpelijke uitkomst, maar het creëert wel weer een hoop onzekerheid over waar we nu staan met de Europese cloud. Want zou het ook zo uitpakken als een van de partijen Europees was? Dat is alweer een stapje verder richting het mogen opvragen van ieders data.

In ieder geval, we hebben nu twee tegengestelde uitspraken over data in het buitenland. En de kans is daarmee levensgroot dat de zaak naar de Supreme Court gaat voor een definitieve beslissing. Of dat goed nieuws is, kun je je afvragen: de Supreme Court is niet perse positief over privacy van buitenlanders. Daar staat tegenover dat zolang er 8 rechters in zitten (in plaats van de gebruikelijke 9) de kans op een ‘hung court’ groot is, en dan blijft het precedent van Microsoft in stand. Dát zou erg waardevol nieuws zijn, want alleen met zo’n uitspraak kan de cloud in stand blijven.

Arnoud

Moet je echt bij elke internetdienst een bewerkersovereenkomst sluiten?

Geplaatst op in Privacy, 12 reacties

Een lezer vroeg me:

Wij maken zakelijk gebruik van applicaties en software in de cloud. Mijn vraag is nu echter of je echt met iedere cloud leverancier een bewerkersovereenkomst moet afsluiten? Iedere applicatie verwerkt namelijk op de een of andere manier wel persoonsgegevens, de ene meer dan de ander. In sommige gevallen gaat het enkel om het e-mail adres en inlog gegevens. En soms wéét je het niet, zoals bij chatdiensten (Yammer of Slack). Daar kunnen mensen best persoonsgegevens intypen. Wat zegt de wet?

Dit is inderdaad een lastige kwestie. Heel formeel moet dit inderdaad altijd, bij iedere derde die in jouw opdracht persoonsgegevens opslaat van jouw personeel of klanten. De wet eist namelijk dat je bij elke bewerker een bewerkersovereenkomst sluit waarin je apart regelt welke eisen omtrent persoonsgegevens hij moet nakomen (en hoe jij dat gaat borgen en auditten).

Een bewerker is iedereen die in jouw opdracht persoonsgegevens verwerkt en niet zelfstandig bepaalt voor welke doelen (of met welke middelen). De meeste clouddiensten laten aan de klant over wat er gebeurt met klantdata en kiezen dus niet zelf de doelen. Over de middelen-keuze kun je twisten, maar uiteindelijk is dat denk ik ook een klantkeuze: die klikt op knop A of activeert feature B, de dienstverlener is daar passief.

Het is een discussie of dat ook geldt als de derde niet wéét dat je persoonsgegevens gaat aanleveren. Extreem voorbeeld is Pastebin: daar kun je teksten plakken die dan gepubliceerd worden. Ik kan daar persoonsgegevens plakken, maakt dat Pastebin een bewerker?

Als er echter gestructureerde velden zijn voor persoonsgegevens (al is het maar jouw gebruikersnaam etc) dan voldoet deze partij aan de definitie van bewerker en moet er dus een bewerkrsovereenkomst komen. Doe je dat niet, dan ben jij in overtreding van de Wbp – zij het dat daar géén boete op staat. Het voornaamste risico is dat jij de claims krijgt als de bewerker data lekt of iets anders verkeerd doet, en dat je dan geen verhaalsmogelijkheid hebt.

Veel van dit soort partijen zijn Amerikaans en kennen het concept bewerkersovereenkomst (“Personal data processing agreement”) eigenlijk niet. Sommigen willen graag Europese business en tekenen met liefde, anderen vinden het maar onzin en reageren niet eens op de vraag. Het is dan dus een risico-afweging voor jou.

Onder de aankomende Privacyverordening (ADV: koop dat boek) zal dit mogelijk veranderen. De Verordening zegt namelijk dat ook de bewerker aansprakelijk is voor boetes en schade als er geen bewerkersovereenkomst – pardon, verwerkersovereenkomst – is tussen hem en de verantwoordelijke. In hoeverre dat afdwingbaar is tegen Amerikaanse partijen is natuurlijk een heel andere vraag.

Arnoud

En nu eisen sitevoorwaarden ook al je eerstgeboren kind op

Geplaatst op in Informatiemaatschappij, 7 reacties

ie-aagree-ezelGaan we weer: hee kijk, niemand leest websitevoorwaarden, zelfs als je erin zet dat je je eerstgeboren kind moet afstaan, gaat iedereen blindelings akkoord. Dat las ik bij Ars Technica. Leuk nieuwtje weer, maar wat mij betreft nieuwswaarde nul.

Al sinds het begin van internet staat iedere site bol van de gebruiksvoorwaarden. Ergens wel logisch, want er was bar weinig geregeld. Bovendien kwamen de eerste commerciële sites uit Amerika, en daar staat sowieso alles dichtgetimmerd met voorwaarden. Dus dat schept een precedent, zeker bij sitebouwers die denken “het zal wel moeten” en de tekst van de vorige site copypasten. Sorry, ja, ik ben wat cynisch.

Hoe dan ook, iedere site heeft dus voorwaarden. Ze komen allemaal op ongeveer hetzelfde neer: doe normaal en zeur niet. Ah sorry, ga ik weer. Ze komen allemaal op hetzelfde neer: je mag de dienst gebruiken, hij kan wijzigen of uit de lucht zijn, wij zij niet aansprakelijk en als je je wangedraagt dan gooien we je er van af. Precies – zeur niet en doe normaal.

Omdat ze allemaal hetzelfde zijn, en vooral omdat je in de praktijk toch weinig verhaal hebt, leest geen hond die voorwaarden. Je kent de site van reputatie, je weet dus ongeveer wat moderatoren of auteurs gaan doen en je merkt het wel als je foto wordt geblokkeerd of je bijdrage wordt aangepast wegens schending voorwaarden. Daar heb je die voorwaarden niet voor nodig. Ook niet omdat uiteindelijk er altijd staat “naar ons inzicht”, dus hoe dan ook hebben ze gelijk. Zeur niet.

Dit experiment bewijst dus niets nieuws, wat mij betreft. Het is een feit van algemene bekendheid dat voorwaarden niet worden gelezen. Desondanks: je zit er in principe wél juridisch aan vast. Het zijn algemene voorwaarden zoals de wet dat noemt, en die zijn ook bindend als ze niet worden gelezen. Zolang je ze maar had kúnnen lezen. Dat je dan twee jaar van je leven kwijt bent met al die voorwaarden is juridisch niet relevant.

Omdat het dan wel érg hard door kan schieten – ze zouden eens je eerstgeboren kind kunnen opeisen – kent de wet daar een paar correctiemechanismes voor. Algemene voorwaarden mogen niet onredelijk bezwarend zijn. Zo mag een dienst niet zomaar zijn aansprakelijkheid op nul zetten, dat is onredelijk bezwarend zonder héle goeie reden. De voorwaarden ineens 100% omgooien is ook onredelijk. En voor zaken als kinderen opeisen is er een nóg hardere juridische stok om mee te slaan: overeenkomsten in strijd met de openbare orde of goede zeden zijn nietig. Bestaan niet. Je kúnt niet contracteren dat je kind wordt afgestaan.

Vervelend blijft uiteindelijk wel dat je daarvoor naar de rechter moet. En als je dat niet weet of niet ziet zitten, dan kun je een probleem hebben als de site toch die voorwaarden gaat handhaven. Denk aan het opeisen van maandbedragen of het eisen van een schadevergoeding voor het een of ander. Dat is natuurlijk niet specifiek voor sitevoorwaarden, maar het is wel een probleem.

Wat mij betreft schaffen we het hele zootje dan ook zo snel mogelijk af, in ieder geval voor consumenten. Dat hebben we in feite al gedaan bij de ecommerce: het is wettelijk vrijwel 100% geregeld wat je mag als webwinkel. Je kunt alleen nog in het voordeel van de consument dingen anders doen, zoals een dertigdagenretourtermijn in plaats van de wettelijke veertien. Waarom doen we dat nog steeds niet voor online diensten?

Arnoud

De cloud is (even) gered, Microsoft hoeft geen Europese klantgegevens af te geven

Geplaatst op in Privacy, Regulering, 12 reacties

simpsons-cloud-diefstal-data-fotoMicrosoft hoeft e-mails die opgeslagen zijn bij zijn datacenters in Ierland niet over te dragen aan de Amerikaanse rechter. Dat las ik bij Tweakers. In het langverwachte hoger beroep bepaalde het gerechtshof dat de Amerikaanse Justitie geen grond heeft om een Amerikaans moederbedrijf te dwingen data op te halen bij haar niet-Amerikaanse dochters. Daarmee is de cloud even gered, maar ik twijfel er geen seconde aan dat dit naar de Supreme Court gaat.

In 2014 bepaalde de Amerikaanse rechter dat Microsoft Inc. (de Amerikaanse moeder) gehouden kon worden om gegevens van een klant van haar Ierse dochtermaatschappij af te geven als de FBI dat wilde. De wettelijke basis hiervoor (de Stored Communications Act, niet de Patriot Act, mijn excuses voor de verwarring) was twee eeuwen jurisprudentie die zegt dat een Amerikaan die iets heeft dat moet komen brengen als de rechter daarom vraagt. Ook al ligt het iets in kwestie in een ander land. En als je die doctrine loslaat op e-mail dan moet Microsoft Inc de data dus maar gaan halen in Ierland. Of haar dochter bevelen dit te doen, wat ze juridisch kan aangezien dochterbedrijven moeten doen wat hun moederbedrijven zeggen.

Het Hof heeft een fundamentele reden om deze redenering af te wijzen:

When, in 1986, Congress passed the Stored Communications Act as part of the broader Electronic Communications Privacy Act, its aim was to protect user privacy in the context of new technology that required a user’s interaction with a service provider. Neither explicitly nor implicitly does the statute envision the application of its warrant provisions overseas. Three decades ago, international boundaries were not so routinely crossed as they are today, when service providers rely on worldwide networks of hardware to satisfy users’ 21st–century demands for access and speed and their related, evolving expectations of privacy.

Als een wet alleen gemaakt is om gegevens bij Amerikaanse bedrijven op te vragen, dan moet je vanuit rechtszekerheid er vanuit kunnen gaan dat die wat alleen daarvoor gebruikt zal worden. De wet heeft dus geen bevoegdheid geschapen om bij digitale gegevens zo’n wereldwijd ga-maar-halenbevel af te geven. Misschien dat het vandaag de dag handig was geweest als dat er stond, maar wetten worden niet opgerekt vanuit wat vandaag handig is. Zeker strafrecht niet.

De deur staat hiermee nog op een klein kiertje: als het Congres deze wet wijzigt zodat er wél staat dat het mag, dan moet het natuurlijk. Maar het Congres heeft wel wat anders aan z’n hoofd, en je weet als politicus nu al dat je álle ICT-bedrijven over je heen krijgt als je dat gaat proberen. Die kans acht ik niet heel groot.

Waarschijnlijker lijkt me dat de Supreme Court er nog wat over gaat zeggen. Voor Justitie is dit een nogal vervelende uitspraak, dus die zullen zeker proberen een fundamentele uitspraak van het hoogste Hof te krijgen. Dus het blijft nog even spannend. Spannender in ieder geval dan Privacy Shield – ja, leuk lapje tegen het bloeden maar dat houdt écht geen stand als, pardon wanneer de zaak weer bij het Hof van Justitie komt.

Arnoud

Mag iTunes je muziekbestanden wissen?

Geplaatst op in Informatiemaatschappij, 18 reacties

itunes-appleApple stal mijn muziek, blogde creatief ontwerper James Pinkum vorige week. Pinkum was 122 gigabyte aan muziek kwijtgeraakt van zijn harddisk, en wist dat te traceren tot een actie van Apple’s iTunes-software. Deze had de harddisk gescand en alle bestanden die iTunes ook had, vervangen door een linkje naar de online muziekbibliotheek. Met een liberale definitie van ‘hebben’, want unieke versies van muziek bij Pinkum werden vervangen door de gewone massa-release, bijvoorbeeld. “The software is functioning as intended,” zegt Apple dan. Wat krijgen we nou?

Zoals Pinkum het samenvat:

(…) through the Apple Music subscription, which I had, Apple now deletes files from its users’ computers. When I signed up for Apple Music, iTunes evaluated my massive collection of Mp3s and WAV files, scanned Apple’s database for what it considered matches, then removed the original files from my internal hard drive. REMOVED them. Deleted. If Apple Music saw a file it didn’t recognize—which came up often, since I’m a freelance composer and have many music files that I created myself—it would then download it to Apple’s database, delete it from my hard drive, and serve it back to me when I wanted to listen, just like it would with my other music files it had deleted.

Ongetwijfeld dacht Apple dat dat handig is. Als muziek al in de cloud staat, waarom zou je daar nog domme lokale harde schijven mee lastig vallen? Vervang het lekker door een linkje en je kunt er overal bij. Oké, jammer van die unieke prereleaseversie die we nu vervangen hebben door de massa-editie, maar dat is een implementatiedetail. Of, het programmeurexcuus: dan moet je die prerelease niet de metadata geven van de gewone versie. Functioning as intended, pebkac.

Pinkum dook ook maar meteen in de voorwaarden. Letterlijk iets over dit wissen kon hij niet vinden (en ik ook niet), maar het staat er wel half:

iCloud Music Library is turned on automatically when you set up your Apple Music Subscription…When your Apple Music Subscription term ends, you will lose access to any songs stored in your iCloud Music Library.

Gaan we even kijken wat dat iCloud Music Library dan precies is:

Dankzij iTunes Match kun je al je muziek in iCloud bewaren, zelfs muziek die je van cd’s hebt geïmporteerd. Je hebt dan op al je apparaten toegang tot je muziek en kunt je hele bibliotheek beluisteren, waar je ook bent. Abonneren op iTunes Match doe je op je Mac, pc of iOS-apparaat.

Verder een hele mooie pagina met vlotte teksten, hippe plaatjes en een blij gevoel, alleen ik mis één detail: dat bestanden worden gewist nadat ze zijn “toegevoegd” aan de iCloud.

Maar is dat wel zo, wórden die bestanden per direct gewist na de import? Diverse bronnen zeggen van niet. Zo laat deze Twitteraar zien dat het best eens ‘gewoon’ een pebkac kan zijn: dialogbox niet goed gelezen, het verschil tussen “Delete download” en “Delete song” is immers reuze evident dus wat ben je voor n00b dan. iMore legt uit:

If you choose “Remove Download,” it will send the local file from your hard drive to your Trash, but leave the reference in your library — so that you can stream that track directly from iCloud Music Library. It won’t delete the file until you empty your Trash.

Dus inderdaad, het is een feature en iets waar je zelf voor koos. Dat je niet goed onderzoekt wat er gebeurt als je op een knopje drukt, tsja, dat ligt dan toch echt aan jou.

Juridisch gezien wordt het nu moeilijk. Iets zomaar wissen mag niet, dat moge duidelijk zijn. Je moet toestemming vragen en natuurlijk moet je dan uitleggen wat er gaat gebeuren. Daarbij moet je het te verwachten kennisniveau van de gebruiker in gedachten houden, maar veel verder dan dat komt het juridisch kader niet. De vraag wordt dan dus: is het duidelijk wat Apple hier geprogrammeerd heeft, moet je met die uitlegtekst en die dialog snappen dat je dan alleen een link naar de iCloud-versie van je muziek overhoudt?

Arnoud

Ben je nou eigenaar van je gekochte ebooks of niet?

Geplaatst op in Innovatie, 30 reacties

scanbook.pngJe bent geen eigenaar van je ebooks als er DRM op zit, las ik bij Gizmodo. Je krijgt slechts een tijdelijk leesprivilege. Dat concludeert men uit het staken van eboekenleverancier Nook. Hierdoor worden alle aangekochte boeken ontoegankelijk. Men “werkt aan een oplossing” en bladiebla, maar ondertussen zijn je boeken dus mooi weg. Kan dat zomaar, juridisch?

Het begint een mantra te worden hier, maar: data is niets. Data kun je niet kopen. Maar daar zit een nuance op. In Nederland gelden de regels over kopen uit het Burgerlijk Wetboek ook voor

de levering van digitale inhoud die niet op een materiële drager is geleverd, maar die wel is geïndividualiseerd en waarover feitelijke macht kan worden uitgeoefend,

Je kunt dus bij een niet-werkend ebook eisen dat dit wordt hersteld, want dat is een conformiteitsgebrek (art. 7:17 BW) net zoals bij een televisie die het niet doet. Echter, een belangrijke uitzondering op deze regel is dat bij koop van digitale inhoud er géén eigendomsoverdracht (art. 7:9 BW) plaatsvindt. Je koopt het dus wel maar je wordt geen eigenaar. Eh, ja, oké.

En daarmee zijn we dan toch weer terug bij mijn mantra. Een ebook is niets, het is gestolde dienstverlening en dienstverlening mag stoppen. Specifiek bij digitale inhoud (zoals boeken maar ook films of muziek) heb ik daar moeite mee, in ieder geval als er “kopen” bij staat.

Tegelijkertijd weet ik ook niet hoe je het dan wel moet doen als leverancier. Als mensen alles in de cloud willen hebben, dus ook hun boeken, dan moeten die boeken bij jou op je server staan. Maar het voelt niet redelijk te verlangen dat die servers dan levenslang aan blijven staan. Dienstverlening houdt een keertje op.

Arnoud

Mag een accountant zijn klant uit de cloud gooien?

Geplaatst op in Informatiemaatschappij, 12 reacties

archief-opslag-bestanden-filesMag een accountant zijn klant afsluiten van de cloudadministratieomgeving die hij aanbiedt als de klant het contract opzegt? Uit een recente uitspraak (15/232) van de accountantskamer blijkt van niet: per direct afsluiten is in strijd met de gedragsregels voor accountants.

Het begon in deze zaak met een probleempje rond indiening van de jaarrekening. Wat er nu precies misgegaan is, kan ik niet uit de uitspraak halen maar de jaarcijfers lagen te laat bij de KVK en de klant vond dat een reden om op te stappen. Vervolgens bleek direct (één dag later) zijn toegang tot het online pakket (Twinfields) afgesloten te zijn, waardoor alle daarin opgeslagen administratieve gegevens van het bedrijf dus ontoegankelijk werden.

Op zich een begrijpelijke stap van die accountant. Die dienstverlening is er voor klanten, en meneer wil geen klant meer zijn maar per direct weg. En in het algemeen is het zo dat als de overeenkomst tot dienstverlening ophoudt, je de dienstverlening mag staken. Ja, ook bij clouddiensten en accounts. Dat is dienstverlening in een softwarejasje maar daarvoor kent de wet geen aparte regels. Je mag stoppen met diensten leveren, en dus ook met software of data toegankelijk maken zodra het contract is afgelopen.

Bij accountants ligt dat anders, en wel omdat zij gedragsregels hebben die onder meer “het fundamentele beginsel van vakbekwaamheid en zorgvuldigheid” nader uitwerken. Dit beginsel geldt ook na afloop van de dienstverlening. Als accountant moet je nazorg plegen als een klant weg wil, en daaronder valt -blijkens deze uitspraak- dus ook het nog even toegankelijk houden van de data of het verstrekken van een kopie zodat men elders verder kan.

We hebben het al vaker gehad over opvragen van “je” gegevens. Dat gaat hem niet worden, want data zijn geen eigendom volgens de wet. Het is gestolde dienstverlening, meer niet. Daarover merkt de Accountantskamer toch iets opmerkelijks op:

Daarvan uitgaande overweegt de Accountantskamer dat klaagsters recht hadden op ‘teruggave’ van de ingevoerde, nog niet bewerkte digitale gegevens, omdat het hun gegevens waren. Van betrokkene kon dan ook verlangd worden dat hij na de beëindiging van de opdracht met X3 in overleg was getreden over de vorm waarin en de termijn waarop hij deze de gegevens ‘overgedragen’ wilde krijgen, zeker nadat X3 in zijn brief van 22 juli 2014 te kennen had gegeven dat hij niet gebaat was met de prints van “de grootboekkaartjes 2013 en 2014 van de beide administraties”.

Het belang van data-opslag en clouddiensten voor bedrijven wordt alleen maar groter. Het wordt wat mij betreft dan ook de hoogste tijd dat hier wettelijk wat voor geregeld wordt. Je ziet dat al wel een beetje doorschemeren in de jurisprudentie, bijvoorbeeld dit vonnis uit 2012 waarin de rechter een dichtzetten van een softwaresysteem wegens wanbetaling disproportioneel vindt. Terecht. Natuurlijk mag je je dienstverlening opschorten als de wederpartij niet betaalt, maar die maatregel moet wel in verhouding staan tot de wanbetaling. En in gevallen als deze tref je iemand héél erg zwaar, veel zwaarder dan bij bijvoorbeeld een tijdschrift dat je tijdelijk niet opstuurt of een waszak die je een week niet ophaalt.

Arnoud