Mag ik een game op CD (ja, op CD) twee maal installeren op twee computers?

Via Reddit:

Hello, I own the physical copy (bought legally from a store over 10 years ago) of a game that (for those who never bought games during the CD era) installs the game files on the computer and allows the game to be run without disk. I was wondering: Is installing the game using the disk on a laptop A and then moving the game files on a computer B considered illegal?
In de tijd van games streamen en alles maar online is het verfrissend zo’n ouderwets aandoende vraag aan te treffen. En het is juridisch nog iets gecompliceerder dan je zou denken.

Hoofdregel van de Auteurswet is natuurlijk dat je werken niet mag kopiëren zonder toestemming. Maar we hebben daar een uitzondering op, en die heet de thuiskopie. Je mag van een legaal verkregen werk (dus niet illegaal downloaden) een kopie maken, dat is ook waar je de thuiskopieheffing voor betaalt die op je laptop en andere lege muziek- en filmopslagmedia wordt berekend. Een film mag je dus rippen van dvd naar een digitaal bestand om op je laptop af te spelen, bijvoorbeeld.

Specifiek bij software was de lobby iets succesvoller: daar geldt het recht op thuiskopie namelijk niet, zo staat expliciet in de Auteurswet (artikel 45n). Weliswaar mag je een reservekopie maken (artikel 45k) maar dat is niet bedoeld voor een apart speelbare kopie van een spel. Wat de vraagsteller wil, mag dus binnen dat kader alleen als de ‘move’ naar B bedoeld is om van laptop A over te stappen naar computer B, met name wanneer laptop A kapot is gegaan of iets dergelijks.

Als het erom gaat om het spel op twee computers tegelijk te kunnen spelen (de laptop op het werk, de computer thuis) dan kan dat alleen als de licentie het toestaat. Daarvoor zul je dus terug moeten naar de verpakking die je tien jaar geleden weggegooid hebt, of kijken of de bij installatie langskomende EULA hier wellicht wat over zegt. Sommige spelaanbieders waren redelijk inschikkelijk, dus het is niet uitgesloten.

(Het maakt niet uit of de vraagsteller het spel twee maal installeert vanaf CD of de geïnstalleerde versie op A kloont naar computer B.)

Arnoud

Autoriteiten verwijderen Emotet-malware op 25 april van besmette pc’s

Autoriteiten zullen de Emotet-malware waarvan de hoofdservers zijn overgenomen op 25 april van besmette computers verwijderen, las ik bij Security.nl, dat weer afging op een beveiligingsonderzoeker op Twitter. Vorige week lieten politie en het Openbaar Ministerie weten dat het gelukt was om het Emotet-netwerk over te nemen en de malware te deactiveren. Het ontmantelen is dan een logische actie, maar natuurlijk komt dan ook meteen de vraag: mag je het botnet zelf deïnstalleren bij mensen op hun computer?

“De Emotet-besmetting is niet langer actief op de computers van ruim 1 miljoen slachtoffers wereldwijd”, zo meldt de politie. Op twee van de hoofdservers van het Emotet-botnet, die zich in Nederland bevinden, wordt een software-update geplaatst voor alle besmette machines. Deze computers zullen de update automatisch binnenhalen, waarna de Emotet-besmetting in quarantaine wordt geplaatst, zo lieten het OM en de politie verder weten.

Dat verwijderen gaat an sich vrij eenvoudig: de software heeft een deïnstallatie-routine ingebouwd. Een en ander gaat op 25 april gebeuren, zodat tot die tijd het netwerk kan worden gemonitord op verkeer om de aanwezigheid van Emotet aan te tonen.

De vraag is dus vooral, welke bevoegdheid kan de politie hierbij inzetten? Deze vraag hebben we vaker gehad (2014: Blackshades, 2010 Bredolab) maar nu zijn er meer mogelijkheden. Sinds de Wet computercriminaliteit III hebben we namelijk onder meer dit wetsartikel 125o erbij in Strafvordering:

Indien bij een doorzoeking in een geautomatiseerd werk gegevens worden aangetroffen met betrekking tot welke of met behulp waarvan het strafbare feit is gepleegd, kan de officier van justitie dan wel indien deze de doorzoeking verricht, de rechter-commissaris bepalen dat die gegevens ontoegankelijk worden gemaakt voor zover dit noodzakelijk is ter beëindiging van het strafbare feit of ter voorkoming van nieuwe strafbare feiten.

De doorzoeking vond hier plaats in de centrale server, en daarbij werd dus de command&control software aangetroffen. Die mag dan ontoegankelijk worden gemaakt. Maar de strekking kun je breder lezen: ook de clientsoftware bij de slachtoffers thuis zijn “gegevens met behulp waarvan het strafbare feit is gepleegd” natuurlijk. En die mogen dan ook ontoegankelijk worden gemaakt.

De toe te passen methode van ontoegankelijkmaking, bijvoorbeeld wissen of versleutelen, zal volgens de memorie van toelichting moeten afhangen van de effectiviteit daarvan alsmede van de beginselen van proportionaliteit en subsidiariteit. Daarbij weegt zwaar dat het gaat om computers van derden. Maar daar staat in dit geval voor mij tegenover dat het kennelijk een eenvoudige instructie is, die een ingebouwde deactivatie uitvoert. Dat is heel wat anders dan met een zelfgebakken ingreep iets proberen weg te halen dat mogelijk een logische bom aan boord heeft als het dat merkt.

Arnoud

Tot waar kan een programmeur auteursrecht claimen op generatoroutput?

Een lezer vroeg me:

Als je een generator maakt, bijvoorbeeld om tekst of visuele kunst te produceren, valt de output daarvan dan onder het auteursrecht van de programmeur? Ik had altijd begrepen dat wanneer een compiler voor software bijvoorbeeld eigen routines toevoegt, ze in theorie een mede-auteursrecht kunnen claimen. Hoe ver gaat dat in theorie?

Nu computers steeds meer zelf kunnen leren en genereren, wordt het mogelijk om computers zelf creatieve teksten te laten maken of kunst te laten genereren. Een visueel voorbeeld is the Next Rembrandt, en natuurlijk zijn er nog veel meer.

Auteursrecht krijg je wanneer je een eigen intellectuele schepping produceert. Als je dat criterium loslaat op een tool die zulke kunst genereert, dan is het duidelijk dat de tool onder je auteursrecht valt. Maar in hoeverre dat ook voor de output geldt?

In principe alleen wanneer jouw creativiteit herkenbaar is in die output. Bij compiler-output is het nog redelijk goed te zien dat er bepaalde input naar de output gaat, zoals standaardbibliotheken of stukjes code die ieder programma nodig heeft dat wordt gecompileerd. Dat is in principe een rechttoe-rechtaan kopie van code waar de programmeur van de compiler auteursrecht op heeft.

Bij optimalisaties door die compiler ligt het al lastiger. Dat is meer een stukje herkenning van iets inefficiënts waarna een truc wordt toegepast. Maar de output zou ik niet direct een gewijzigde versie van code uit de compiler willen noemen.

Bij kunst uit een computer neig ik er naar om te zeggen, nee dat is in het geheel geen gewijzigde versie meer van de input. Weliswaar bevat het programma in de kern (het algoritme) de mogelijkheden om tot die uitvoer te komen, maar die uitvoer is te abstract, te ongerelateerd aan de broncode van de software om nog van een wijziging daarvan te spreken.

Arnoud

Mag de politie computerreparateurs betalen om te dataspitten?

De Amerikaanse FBI zou sinds 2007 medewerkers van de Geek Squad, een computerreparatiedienst van elektronicaketen Best Buy, betaald hebben om als informanten te dienen. Dat meldde Tweakers onlangs. De reparateurs spitten door binnengebrachte computers heen op zoek naar bijvoorbeeld kinderporno. De truc daarachter zou zijn dat de reparateurs dat kunnen zonder gerechtelijk bevel of zelfs maar verdenking, en dat die dan daarna een aangifte doen dat wél grond is voor een verdenking en juridische actie. Hoe zou dat in Nederland uitpakken?

Ook bij ons geldt natuurlijk dat de politie niet zomaar in computers mag snuffelen. Een officier van justitie zou bevel geven tot doorzoeking, en meestal is daarvoor toestemming van de rechter-commissaris nodig. Dat vereist al een stevige verdenking van een misdrijf, op de bonnefooi eens gaan zoeken is niet toegestaan.

Privépersonen zijn niet aan die regels gebonden. Als een reparateur dus bij herstelwerk iets strafbaars aantreft, dan is hij bevoegd daar aangifte van te doen. Hij heeft geen toestemming nodig van een overheidsinstantie om te zoeken naar strafbare informatie of om aangifte te mogen doen.

Het maakt zelfs niet uit of de reparateur toestemming van de eigenaar had om op die plek te gaan zoeken. Snuffelen zonder grondslag kan een probleem zijn – contractbreuk, misschien zelfs computervredebreuk – maar dat maakt het aldus verkregen bewijsmateriaal niet onbruikbaar voor Justitie. In theorie zou de reparateur dan vervolgd worden voor die computervredebreuk, parallel aan de rechtszaak tegen de eigenaar voor hetgeen dat er gevonden is middels die computervredebreuk.

Het punt is hier alleen wel: dit is niet zomaar wat tegenkomen, of zelfs maar snuffelen uit nieuwsgierigheid en wat tegenkomen. Dit is werken in opdracht van de politie. En dán val je ook als burger onder die regels voor de politie. Bewijs dat uit zo’n betaalde snuffelopdracht komt, is dus onbruikbaar bij ons.

De elektronicaketen ontkent overigens dat ze zo’n regeling getroffen hebben. Ik kan me ook moeilijk voorstellen dat de FBI dat wél zou aanbieden, al is het maar omdat de kans dat je wat strafbaars vindt, toch vrij klein is. Nog los van de discussie over rechtmatig verkregen bewijs.

Arnoud

Mag een winkel verwijzen naar de fabrikant voor de garantie?

acer-laptop.pngTentamenvraag: vindt dit verweer steun in het recht?

[De winkel] heeft zich tegen de vorderingen verweerd met de stelling, dat niet hij, maar de fabrikant verantwoordelijk is voor het uitvoeren van de garantie en dus voor de reparatie van de computer.

Antwoord: nee, natuurlijk niet. De verkoper die een computer aan een consument verkoopt, moet zelf zorgen dat het product voldoet aan de verwachtingen. Natuurlijk mag hij daarbij best de fabrikant inschakelen, maar hij mag niet zonder meer de klant doorverwijzen naar die fabrikant of zich achter de fabrieksgarantie verschuilen.

Dat blijkt uit een al wat ouder vonnis dat recent opdook op ITenRecht.nl. Een consument had een laptop gekocht via internet maar na een aantal maanden daaraan klachten geconstateerd. De winkel verwees naar de fabrikant (Acer), die inderdaad een reparatie uitvoerde maar daarbij wel alle bestanden en software had gewist en een duitstalig OS had geïnstalleerd (lolwut). Bovendien was de computer nog steeds niet foutvrij: de computer reageerde niet op toetsenbord en muis en schakelde zichzelf weer uit.

Na enige maildiscussie die niet tot een oplossing leidde, stapte de koper naar de rechter. En die oordeelt dus dat het verweer van hierboven niet opgaat:

[gedaagde] als uitoefenende een beroep of bedrijf houdt jegens [eiser] als consument de verantwoordelijkheid voor het uitvoeren van garantiebepalingen en daarmee ook voor deugdelijke reparatie van de computer binnen een redelijke termijn.

De verkoper is daarbij tekortgeschoten in deze plichten door alleen te verwijzen naar de fabrikant en niet zelf voor de reparatie te zorgen. Dat hij in de praktijk dan misschien zelf gewoon de laptop had doorgestuurd, maakt daarbij niet uit. Het is en blijft zijn verantwoordelijkheid, en nu het fout gegaan is moet hij opdraaien voor de problemen.

Arnoud