Data bestaat juridisch niet, wat betekent dat voor de praktijk?

| AE 9779 | Innovatie | 21 reacties

Data is niets, is een mantra dat ik al geruime tijd verkondig op deze blog. Je kunt geen eigenaar zijn van data, want de wet kent dat concept alleen voor fysieke goederen. Dat roept dan altijd de nodige vragen op: als data niets is, wat doe ik dan allemaal online, en waarom zijn er dan soms toch wetten die wat zeggen over data die ik publiceer of up- dan wel download?

De reden dat ik dit roep, is om aan te geven dat je erg zwak staat wanneer je aanspraak wilt maken op data die je ergens hebt geplaatst. Bij fysieke goederen is dat makkelijk: die kun je te allen tijde terughalen met een beroep op je eigendomsrecht, no questions asked (behalve als je de rekening nog open hebt staan).

Een equivalent daarvan ontbreekt bij data. Er is geen enkele wettelijke grondslag om een kopie van je data op te eisen. Als je er niet bij kunt, of als hij weg is, dan heb je pech en de wet laat je in de kou staan. Hooguit kun je schadevergoeding krijgen voor de tijd nodig om deze te herstellen, maar in veel gevallen wil je helemaal niet de data herstellen of kún je dat niet eens (die vakantiefoto’s van tien jaar geleden, of je bonnetjes van je bedrijf van vorig jaar).

Natuurlijk heb je intellectuele-eigendomsrechten, met name auteursrecht en databankrecht op je data. Maar dit zijn ‘exclusieve’ rechten, oftewel rechten waarmee je anderen kunt verbieden iets te doen met die data. Ze geven je geen recht op toegang tot die data of anderszins beschikkingsrecht over die data. Je kunt daarmee dus alleen eisen dat men de data wist of weghaalt, meer niet.

Data in de vorm van virtuele objecten in online spellen bestaat juridisch dan weer wél, dat is gewoon een stukje eigendom. Dat volgt uit jurisprudentie over diefstal en beroving van dergelijke objecten. Ook je SMS-tegoed en dergelijke saldo’s gelden als eigendom. Maar dit is de uitzondering en niet de regel.

Ik noem dit met enige regelmaat een van de grootste, zo niet het grootste, probleem van de informatiemaatschappij. Informatie is alles, maar is tegelijkertijd niets in deze samenleving. Dat is raar. En het kan héél vervelend uitpakken, want we plaatsen steeds meer data bij derden in plaats van die zelf te bewaren. Als je daar geen zeggenschap over hebt, dan is dus die centrale grondstof van de maatschappij ineens juridisch buitengewoon kwetsbaar.

Misschien dat de nieuwe privacywet vanaf 25 mei hier verandering in brengt. Wie data over hemzelf elders onderbrengt, heeft recht op een kopie van zijn “dossier”, alle persoonsgegevens. Daarmee zou je dus je fotoverzameling terug kunnen halen, die hangt aan jouw account en is dus van jou. Maar ideaal is dat niet – zeker niet voor bedrijven, want data van een bedrijf is geen persoonsgegeven.

Is er een oplossing? Ik betwijfel het. Gewoon in de wet zetten dat eigendomsrecht ook geldt voor computergegevens gaat wat te snel. Je loopt dan tegen allerlei problemen aan, hoe pakt dat uit? Hoe geef je dan bijvoorbeeld data als onderpand, of wat gebeurt er als ik data dan twee keer verkoop? Maar een andere oplossing weet ik ook niet.

Arnoud

Univé verzekert gehackte pc consument

| AE 9764 | Beveiliging | 11 reacties

Verzekeraar Univé introduceert een verzekeringspakket waarmee consumenten hun pc of smartphone kunnen beschermen tegen hackers, las ik bij AMweb. Een speciaal kastje en een hulplijn moeten voorkomen dat het misgaat. Weten cybercriminelen je pc toch te vernielen dan vergoedt de coöperatieve verzekeraar de schade. En dat voor twaalf euro per maand. Ik kreeg er veel vragen over: voegt dit wat toe en wat heb je er aan?

Het is bij mijn weten de eerste verzekeraar die expliciet ICT-schade dekt onder een verzekering. Natuurlijk heeft iedereen al schadeverzekeringen, maar die dekken meestal alleen zogeheten letsel- en zaakschade: mensen of dingen die fysiek stuk gaan. Bij ICT-problemen is vaak eerder sprake van vermogensschade, áls er al schade is: zet maar eens een prijs op driehonderd verloren JPEG’s of de kosten van het opnieuw instellen van je tienduizend persoonlijke voorkeuren op je net opnieuw geïnstalleerde laptop. Dus een specifieke ICT-verzekering kan wat toevoegen hier.

Of deze verzekering genoeg doet daarvoor, is me nog niet duidelijk. Het ND zocht het uit en concludeerde dat je nou net geen schadevergoeding krijgt voor het verlies van bestanden met een emotionele waarde, zoals familiefoto’s, of voor betaald losgeld bij ransomware. Maar men dekt je wel wanneer jouw pc bij anderen schade aanricht, zoals wanneer een virus op jouw laptop overspringt naar zeg de postduivenvereniging waar je secretaris bent. (Bij je werkgever boeit dat niet, want die kan jou niet aansprakelijk stellen voor virussen die door jouw nalatigheid het bedrijfsnetwerk infecteren.)

Een interessant punt vond ik dat de verzekeraar je een modem met F-Secure SENSE firewall geeft, om zo de risico’s praktisch te beperken. (Een ding van 199 euro en na het eerste jaar 9,90 per maand securityupdates.) Dat is een mooie geste die voor veel consumenten wel wat toe kan voegen. En het past in de trend die ik in de zakelijke markt zie: niet alleen een risico dekken maar ook actief stimuleren (of zelfs verplichten) dat schadebeperkende maatregelen worden genomen.

Tegelijk kun je je afvragen, zou je voor dat geld niet zo’n firewall en een backupoplossing kunnen kopen als consument?

Arnoud

Mijn hostingprovider weigert de DNS records van mijn domeinen te overhandigen!

| AE 9527 | Cloud, Domeinnamen | 15 reacties

Een lezer vroeg me:

Voor een klant moeten we meerdere domeinnamen overnemen van de huidige hoster. Echter wil de hostingpartij huidige ingestelde DNS records niet overhandigen aan zowel de klant als ons, en er is ook geen toegang tot een online omgeving waar ik deze kan downloaden. Mag men dit zo weigeren?

Ja, dat mag men zo weigeren en er is geen grond om die data op te eisen bij de huidige dienstverlener.

Ik blijf het zeggen: juridisch is data helemaal niets, het bestaat niet en je kunt er dus ook geen aanspraak op maken tenzij contractueel is afgesproken van wel. Heel heel soms zou je kunnen beredeneren dat dit impliciet is afgesproken, maar je zult van goeden huize moeten komen en er is geen jurisprudentie hierover.

DNS-data is best cruciaal. Steeds meer diensten autoriseren verzoeken door naar informatie in DNS te kijken. Het bekendste voorbeeld is SPF, een protocol om mailberichten te authenticeren. Wanneer iemand een mailtje verstuurt, wordt dan in de DNS op het afzender-domein gekeken of daar een record is dat toestemming geeft aan deze afzender. Als je die informatie dus niet meeverhuist, dan kun je ineens niet meer mailen naar SPF-gebruikers.

Er is niets wettelijk geregeld voor DNS data, dus zonder afspraak kun je die niet opeisen.

Ook met auteursrecht of databankrecht kom je er niet. Allereerst zit er op dit soort feitelijke informatie geen IE-recht, en ten tweede zijn dergelijke rechten verbodsrechten. Dat wil zeggen dat je de hoster zou kunnen verbieden deze informatie nog te hebben, maar niet dat hij je een kopie moet geven. Auteursrecht is geen eigendom.

De beste manier – maar dat is achteraf – is in het contract of de SLA dus opnemen dat een kopie van de data zal worden verstrekt in een bruikbaar formaat. Heb je dat niet, dan zit er dus weinig anders op dan de data reconstrueren op basis van externe bronnen, in dit geval de openbare DNS. Maar dat kan een heleboel werk zijn, zeker met subdomeinen.

Arnoud

Tot eigendom van data geregeld is, kun je maar beter goede backups maken

| AE 9517 | Internetrecht | 12 reacties

Wie data opslaat bij een online backupdienst, of gebruik maakt van een SaaS-dienst voor bijvoorbeeld boekhouding of klantenadministratie, zal al snel geneigd zijn te spreken van ‘zijn’ data. Logisch: die informatie is essentieel voor die persoon, en als hij het fysiek ergens opgeslagen had, dan waren die mappen of papieren ook gewoon zijn eigendom. Maar… Lees verder

Wat is het verschil tussen data delen en data verkopen?

| AE 9412 | Beveiliging | 10 reacties

Audiobedrijf Bose werd vorige maand aangeklaagd wegens het bespioneren van zijn gebruikers, las ik bij Nu.nl. De Bose Connect-app zou bijhouden naar welke muziek en podcasts gebruikers luisteren. Het bedrijf heeft de app aangepast, maar ontkent dat die data wordt verkocht aan derden. En dan lees ik “Het bedrijf ontkent echter niet dat de gegevens… Lees verder

Wordt het niet eens tijd om data-eigendom wettelijk te gaan regelen? #dimorefi

| AE 9167 | Internetrecht | 15 reacties

Langsgekomen bij de voorspellingen 2017: wordt het niet eens tijd om data-eigendom te gaan regelen? Data is de grondstof van de informatiesamenleving, maar juridisch gezien bestaat data niet bij diensten van diezelfde informatiemaatschappij. Dat is buitengewoon raar en leidt tot zeer onbillijke situaties. Tijd om er wat aan te gaan doen. Alleen: wát dan? Je… Lees verder

Zijn wij aansprakelijk als onze systeembeheerder alle klantdata wist?

| AE 9141 | Aansprakelijkheid, Arbeidsrecht | 17 reacties

Een lezer vroeg me: Wij zijn een klein hostingbedrijf en vroegen ons het volgende af. Stel een van onze systeembeheerders met root toegang besluit op een kwade dag om álle klantdata te wissen, en meteen ook maar de backups. Theoretisch kunnen zij dat, en waarschijnlijk ongemerkt ook. In hoeverre zijn wij dan als bedrijf aansprakelijk… Lees verder

Moet ransomware apart strafbaar worden gesteld?

| AE 8589 | Beveiliging | 22 reacties

Californië wordt zeer waarschijnlijk de eerste Amerikaanse staat die een aparte wet tegen ransomware krijgt, las ik bij Security.nl. Het wetsvoorstel verbiedt het infecteren van computers met ransomware en stelt dit gelijk aan afpersing. Er komt maximaal vier jaar cel op te staan. Dat voelt wat overdreven; afpersing is toch al lang strafbaar? Het probleem… Lees verder

Ben je nou eigenaar van je gekochte ebooks of niet?

| AE 8508 | Innovatie | 30 reacties

Je bent geen eigenaar van je ebooks als er DRM op zit, las ik bij Gizmodo. Je krijgt slechts een tijdelijk leesprivilege. Dat concludeert men uit het staken van eboekenleverancier Nook. Hierdoor worden alle aangekochte boeken ontoegankelijk. Men “werkt aan een oplossing” en bladiebla, maar ondertussen zijn je boeken dus mooi weg. Kan dat zomaar,… Lees verder