Telecomprovider Voys hoeft geen boete te betalen wegens weigering datadelen CIOT

| AE 12696 | Privacy, Regulering | 7 reacties

Telecombedrijf Voys hoeft van het Nederlandse gerecht geen boete of dwangsom betalen omdat het weigerde klantendata te delen met de overheid wegens privacyoverwegingen. Dat meldde Tweakers dit weekend. De rechtbank vonnist dat Voys (dat tegenwoordig VoIPGRID heet) geen afdoende antwoorden kreeg op vragen en daarom niets verweten kan worden bij haar weigering sinds 2010. Die vragen betroffen data-verantwoordelijkheid, aansprakelijkheid en beveiliging. Echter nu de duidelijkheid er wel is, moet ze gewoon gaan beginnen.

Voys maakt bezwaar tegen de CIOT-databank, die sinds begin jaren nul actief is. Telecomproviders moeten elke dag hun logs (met name NAW + toegewezen IP-adres van klanten) daar uploaden, zodat Justitie daarin kan nazoeken wie het was als men bij een online misdraging een IP-adres tegenkomt. Daarbij zijn al vanaf het begin vele grote vraagtekens gesteld, onder meer door Bits of Freedom. En Voys vond dat zij vanwege die onduidelijkheden niet gehouden was mee te werken.

Zijdelings woog mee dat Voys zich zorgen maakte over claims van klanten: als provider moest je ermee akkoord gaan dat het CIOT niet aansprakelijk was voor eventuele claims, dus die kon jij op je bordje krijgen. Maar daar maakt de rechter korte metten mee. De verstrekking aan het CIOT, en het gebruik daarna door Justitie, is allemaal wettelijk geregeld. Als er dan iets fout gaat in die verwerking, dan komt dat op het bordje van het CIOT:

Eventuele onrechtmatige raadpleging van het CIS, komt dus niet voor verantwoordelijkheid van eiseres en levert dus ook geen aansprakelijkheid van eiseres op. Dit blijkt ook uit de nota van toelichting bij de wijziging van het Bvgt (Stb. 2006, 426, blz. 10) … Bedrijven zijn niet aansprakelijk voor onrechtmatige bevraging van de gegevens, noch voor onjuiste interpretatie van correct aangeleverde gegevens.
Zoals ik zelf ook bij meerdere partijen had gezien, was in de eerdere verwerkersovereenkomst (die tot ver na 2018 nog bewerkersovereenkomst heette) opgenomen dat het CIOT niet aansprakelijk is voor eventuele boetes die aan de provider worden opgelegd vanwege de schending van privacyregels. De reactie daarop was bepaald onduidelijk, en bleef sowieso uit tot in de administratieve beroepsfase. In zo’n geval mag een bestuursorgaan geen boete opleggen.

De dwangsom (vanaf nu gaan doen anders per dag geld betalen) blijft wel in stand. Want nu dit vonnis er ligt, zou alles duidelijk moeten zijn en zijn de zorgen van Voys niet meer relevant. Dan blijft alleen nog over dat er een wettelijke plicht is, en voor een rechter is het vrij logisch dat je doet wat een wettelijke plicht zegt.

Verweerder heeft er in dit verband terecht op gewezen dat het van groot maatschappelijk belang is dat iedere aanbieder is aangesloten bij het CIOT. Dit is noodzakelijk voor de effectieve opsporing van strafbare feiten. Als in een hypothetische situatie alle aanbieders zouden besluiten zich niet aan te sluiten op het CIS, dan wordt het voor de opsporingsdiensten zoeken naar de spreekwoordelijke ‘speld in de hooiberg’ bij welke persoon een IP-adres of telefoonnummer hoort. De opsporing van strafbare feiten zou daardoor ernstig worden bemoeilijkt.
Voys stelt in hun FAQ dat ze pas mee zouden werken als de beveiliging bij het CIOT op orde zou zijn. Daar gaat de rechter verder niet op in, net zo min als op de klacht van Voys dat er geen audit-trail is in die enorme database met alle NAW+IP gegevens van alle Nederlanders met wanneer ze online en offline gingen. Oftewel niemand houdt bij wie welke opvragingen doet. (Het Haga-ziekenhuis werd onder meer daarvoor beboet.) Maar uiteindelijk is dat dus “niet het probleem” van Voys, formeel gezien. Ik vraag me dan af wat er nodig zou zijn voordat je wél mag zeggen, die database van een overheidsinstantie is zo slecht beveiligd daar hoeft niemand data in te stoppen.

Arnoud

RTL: bsn’s van miljoenen Nederlanders online te zien door verlopen domeinnaam

| AE 12240 | Ondernemingsvrijheid | 21 reacties

De zorgverzekeringsgegevens en burgerservicenummers van miljoenen Nederlanders waren online in te zien doordat een zorginstelling een domein liet verlopen, zo las ik bij Tweakers. Nieuwsorganisatie RTL had een verlopen domein van een zorginstelling overnemen en daarmee ook e-mails naar dat domein onderscheppen. De inloggegevens voor de Vecozo-database (een bedrijf dat digitale ondersteuning biedt aan zorginstellingen) werden in plaintext naar die e-mailadressen gestuurd. Erg pijnlijk, en het laat maar weer eens zien hoe slecht er in de praktijk met domeinnamen wordt omgegaan.

De truc is namelijk niet nieuw: regelmatig krijg ik vragen over houders van domeinnamen die merken dat deze eerder in gebruik zijn geweest. Men krijgt dan mail voor de oude eigenaar, en dat kan variëren van babbelmails tot complete dossiers, facturen of bestellingen – en in dit geval dus medische informatie en wachtwoorden om daarbij te kunnen:
In de gelekte dossiers van Kenter Jeugdhulp, de nieuwe naam van Jeugdriagg, staan volledige namen van jonge kinderen met zeer gevoelige details over hun privéleven, zoals psychische aandoeningen, de instabiele thuissituatie, het drugsgebruik en allerlei problemen op school.
De reden hierachter is even stom als simpel: Jeugdriagg veranderde in 2015 zijn naam in Kenter Jeugdhulp. Daar hoort natuurlijk ook een nieuwe domeinnaam bij, en kennelijk beslist er dan iemand dat het tientje per jaar voor de oude domeinnaam het geld niet waard is, zodat die wordt opgezegd. Na enige tijd komt die dan vrij, en RTL kon deze vervolgens registreren. Computers van anderen zien niet of de domeinnaam ondertussen bij een ander in gebruik is, zodat het aanleveren van informatie gewoon doorgaat. (Het bevreemdt mij wel dat er kennelijk tussen 2015 en 2020 niemand bij dergelijke mails merkte dat er bounces opgetreden waren.)

Aan dit citaat heb ik niets toe te voegen:

Z-CERT, het expertisecentrum op het gebied van cybersecurity in de zorg, noemt het datalek een pijnlijke wake-upcall voor de sector: “Dit incident toont aan dat cybersecurity meer is dan beveiliging tegen hackers en ransomware. De meeste incidenten vinden nog steeds plaats omdat de basis niet op orde is, zoals het tijdig patchen van software of het registreren van een verlopen domeinnaam”, aldus directeur Wim Hafkamp.
Helaas weet ik ook geen eenvoudige manier om dit op te lossen. Ergens een wettelijke regel toevoegen dat een zorgorganisatie overbodige domeinnamen niet meer mag opheffen, is vast te simpel?

Arnoud

Scrapen mag in de gebruiksvoorwaarden worden verboden, argh

| AE 7368 | Ondernemingsvrijheid | 48 reacties

De Nederlandse vergelijkingssite PR Aviation mag geen gegevens scrapen van de website van Ryanair, zodat prijzen automatisch in de vergelijker terechtkomen. Dat meldde Nu.nl gisteren. Het Hof van Justitie bepaalde namelijk dat hoewel de data van Ryanair niet beschermd is, het bedrijf met hun gebruiksvoorwaarden mag verbieden dat mensen deze gegevens gebruiken in prijsoverzichten. Wát een vervelende uitspraak.

Ryanair en PR Aviation hebben al jaren een slepend conflict over of de laatste de prijzen van Ryanair mag opvragen en in haar vergelijker mag opnemen.

Ryanair beriep zich daarbij altijd op haar auteursrecht en databankrecht, maar dat werd eerder door onze Hoge Raad afgewezen: er zit geen auteursrecht of databankrecht op een prijslijst, kom nou. Voor auteursrecht moet je iets creatiefs doen in de tekst, en daar is geen sprake van. En voor een databankrecht moet je investeringen hebben gedaan die specifiek zagen op het maken van de prijslijst, en die zijn er niet. Dat je investeert in je dienstregeling, is irrelevant: dat gaat niet over de lijst zelf.

Als laatste redmiddel had Ryanair ook nog in haar gebruiksvoorwaarden opgenomen dat je niet mocht scrapen. En het Hof van Justitie zegt nu dat dát rechtsgeldig is (in principe), ook al blokkeer je daarmee de rechten die mensen hebben om auteursrechtelijke of databankrechtelijke informatie te gebruiken. Die rechten zijn namelijk niet aan de orde omdat er geen auteursrecht of databankrecht rust op deze data.

Dus, eh, als er auteursrecht op zit dan mag ik citeren en als het een databankrecht is dan mag ik kleine stukjes overnemen voor legitieme doelen, maar als er géén bescherming is dan mag ik niets? Dat lijkt me een beetje raar, dan ga je toch als site met prijzen altijd zeggen, ik heb geen databankrecht, blijf van mijn data?

Welnee joh, zegt het Hof:

Een dergelijk betoog gaat immers voorbij aan het juridische en economische belang dat voor de persoon die heeft geïnvesteerd in het aanleggen van een databank, besloten ligt in de in de lidstaten geharmoniseerde automatische bescherming die verbonden is aan het uit het auteursrecht voortvloeiende uitsluitend recht om de verschillende in artikel 5 van richtlijn 96/9 genoemde handelingen aan zichzelf voor te behouden, en aan het recht om op grond van het recht sui generis de in de artikelen 7, leden 1 en 5, en 8, lid 2, van de richtlijn genoemde handelingen te verbieden.

Oftewel: omdat een databankrecht zo leuk is, gaan bedrijven als Ryanair écht liever investeren in alsnog een databankrecht (met verplicht toelaten dat je gescrapet wordt) dan dat ze nu op hun data blijven zitten en “Blijf met je rotpoten van onze rotprijzen af” in juridische taal roepen. Eh, juist.

Inderdaad, ik vind dit storend. Zoekmachines en prijsvergelijkers hebben een legitieme functie in de maatschappij en behoren prijsinformatie en dergelijke transparant te kunnen maken. Daar moet auteursrecht of databankrecht niet aan in de weg staan, daar zijn die rechten niet voor bedoeld. En oké het Hof laat doorschemeren dat dat niet gaat lukken, maar was het nou écht nodig om te zeggen dat je bij afwezigheid van die rechten een pseudo-recht kunt claimen met een contractuele afspraak? Want je wéét dat iedereen de komende jaren gaat roepen “wij hebben ergens een disclaimer met magniet erin, dus je bent in Ernstige Mate Maatschappelijk Onzorgvuldig en wanprestatie en juridische foei”.

Het enige lichtpuntje is dat er natuurlijk wel een contract moet zijn tussen de site en de scrapende bezoeker. En daarvoor is (zou ik zeggen) wel meer nodig dan dat je ergens een bestandje “gebruiksvoorwaarden” neerzet, zeker als je ongebruikelijke bepalingen opneemt zoals “je mag geen prijzen overnemen”. Dus ik hoop dat de Nederlandse rechter die straks het eindarrest moet wijzen, een duidelijke uitspraak doet wanneer je nu met website-gebruiksvoorwaarden een contract tot stand brengt met je bezoeker.

Arnoud

Mag ik een API reverse engineeren voor mijn eigen app?

| AE 5041 | Intellectuele rechten | 43 reacties

Een lezer vroeg me: Steeds meer sites en platforms komen tegenwoordig met een eigen mobiele app, maar lang niet altijd zo handig als wel zou kunnen. Nu werken deze apps met op de achtergrond een API (application programming interface) die ik met mijn eigen app ook zou kunnen aanroepen. Maar mag ik hun app reverse… Lees verder

Blaffen met het databankenrecht

| AE 2845 | Innovatie | 24 reacties

Er zal recent wel een cursus databankenrecht voor juristen zijn gegeven of zo, want ik kreeg het de afgelopen weken opmerkelijk vaak: mensen met blafbrieven van advocaten tot wie zich wendden diverse site-eigenaren wiens gegevens werden overgenomen. Het overnemen van die gegevens zou onrechtmatig zijn (“en mogelijk zelfs strafbaar”) en dit dient onmiddellijk gestaakt te… Lees verder

Hoe verboden is omgekeerd zoeken in telefoongidsen eigenlijk?

| AE 1979 | Ondernemingsvrijheid, Privacy | 11 reacties

Een lezer vroeg me: Op diverse sites kun je “omgekeerd zoeken” in telefoongidsen, dus op basis van een nummer de naam- en adresgegevens van een abonnee achterhalen. Als je dat wil aanbieden, moet je wel een CD-foongids kraken of iets anders illegaal doen. Maar stel nu dat je legaal bij die gegevens zou kunnen, mag… Lees verder

Open source databanken: de OpenDatabankLicentie versie 1.0

| AE 1683 | Intellectuele rechten | 3 reacties

Al eerder gemeld, maar nu is het definitief: de nieuwe open source licentie voor open en vrije databanken. Databanken bevatten vooral feitelijke data, en er komt zelden creativiteit aan te pas. Bestaande open source licenties zijn eigenlijk vooral bedoeld voor software, en ook de Creative Commons-licenties passen niet goed bij databanken. Vandaar deze nieuwe licentie…. Lees verder