RTL: bsn’s van miljoenen Nederlanders online te zien door verlopen domeinnaam

| AE 12240 | Ondernemingsvrijheid | 21 reacties

De zorgverzekeringsgegevens en burgerservicenummers van miljoenen Nederlanders waren online in te zien doordat een zorginstelling een domein liet verlopen, zo las ik bij Tweakers. Nieuwsorganisatie RTL had een verlopen domein van een zorginstelling overnemen en daarmee ook e-mails naar dat domein onderscheppen. De inloggegevens voor de Vecozo-database (een bedrijf dat digitale ondersteuning biedt aan zorginstellingen) werden in plaintext naar die e-mailadressen gestuurd. Erg pijnlijk, en het laat maar weer eens zien hoe slecht er in de praktijk met domeinnamen wordt omgegaan.

De truc is namelijk niet nieuw: regelmatig krijg ik vragen over houders van domeinnamen die merken dat deze eerder in gebruik zijn geweest. Men krijgt dan mail voor de oude eigenaar, en dat kan variëren van babbelmails tot complete dossiers, facturen of bestellingen – en in dit geval dus medische informatie en wachtwoorden om daarbij te kunnen:
In de gelekte dossiers van Kenter Jeugdhulp, de nieuwe naam van Jeugdriagg, staan volledige namen van jonge kinderen met zeer gevoelige details over hun privéleven, zoals psychische aandoeningen, de instabiele thuissituatie, het drugsgebruik en allerlei problemen op school.
De reden hierachter is even stom als simpel: Jeugdriagg veranderde in 2015 zijn naam in Kenter Jeugdhulp. Daar hoort natuurlijk ook een nieuwe domeinnaam bij, en kennelijk beslist er dan iemand dat het tientje per jaar voor de oude domeinnaam het geld niet waard is, zodat die wordt opgezegd. Na enige tijd komt die dan vrij, en RTL kon deze vervolgens registreren. Computers van anderen zien niet of de domeinnaam ondertussen bij een ander in gebruik is, zodat het aanleveren van informatie gewoon doorgaat. (Het bevreemdt mij wel dat er kennelijk tussen 2015 en 2020 niemand bij dergelijke mails merkte dat er bounces opgetreden waren.)

Aan dit citaat heb ik niets toe te voegen:

Z-CERT, het expertisecentrum op het gebied van cybersecurity in de zorg, noemt het datalek een pijnlijke wake-upcall voor de sector: “Dit incident toont aan dat cybersecurity meer is dan beveiliging tegen hackers en ransomware. De meeste incidenten vinden nog steeds plaats omdat de basis niet op orde is, zoals het tijdig patchen van software of het registreren van een verlopen domeinnaam”, aldus directeur Wim Hafkamp.
Helaas weet ik ook geen eenvoudige manier om dit op te lossen. Ergens een wettelijke regel toevoegen dat een zorgorganisatie overbodige domeinnamen niet meer mag opheffen, is vast te simpel?

Arnoud

Scrapen mag in de gebruiksvoorwaarden worden verboden, argh

| AE 7368 | Ondernemingsvrijheid | 48 reacties

De Nederlandse vergelijkingssite PR Aviation mag geen gegevens scrapen van de website van Ryanair, zodat prijzen automatisch in de vergelijker terechtkomen. Dat meldde Nu.nl gisteren. Het Hof van Justitie bepaalde namelijk dat hoewel de data van Ryanair niet beschermd is, het bedrijf met hun gebruiksvoorwaarden mag verbieden dat mensen deze gegevens gebruiken in prijsoverzichten. Wát een vervelende uitspraak.

Ryanair en PR Aviation hebben al jaren een slepend conflict over of de laatste de prijzen van Ryanair mag opvragen en in haar vergelijker mag opnemen.

Ryanair beriep zich daarbij altijd op haar auteursrecht en databankrecht, maar dat werd eerder door onze Hoge Raad afgewezen: er zit geen auteursrecht of databankrecht op een prijslijst, kom nou. Voor auteursrecht moet je iets creatiefs doen in de tekst, en daar is geen sprake van. En voor een databankrecht moet je investeringen hebben gedaan die specifiek zagen op het maken van de prijslijst, en die zijn er niet. Dat je investeert in je dienstregeling, is irrelevant: dat gaat niet over de lijst zelf.

Als laatste redmiddel had Ryanair ook nog in haar gebruiksvoorwaarden opgenomen dat je niet mocht scrapen. En het Hof van Justitie zegt nu dat dát rechtsgeldig is (in principe), ook al blokkeer je daarmee de rechten die mensen hebben om auteursrechtelijke of databankrechtelijke informatie te gebruiken. Die rechten zijn namelijk niet aan de orde omdat er geen auteursrecht of databankrecht rust op deze data.

Dus, eh, als er auteursrecht op zit dan mag ik citeren en als het een databankrecht is dan mag ik kleine stukjes overnemen voor legitieme doelen, maar als er géén bescherming is dan mag ik niets? Dat lijkt me een beetje raar, dan ga je toch als site met prijzen altijd zeggen, ik heb geen databankrecht, blijf van mijn data?

Welnee joh, zegt het Hof:

Een dergelijk betoog gaat immers voorbij aan het juridische en economische belang dat voor de persoon die heeft geïnvesteerd in het aanleggen van een databank, besloten ligt in de in de lidstaten geharmoniseerde automatische bescherming die verbonden is aan het uit het auteursrecht voortvloeiende uitsluitend recht om de verschillende in artikel 5 van richtlijn 96/9 genoemde handelingen aan zichzelf voor te behouden, en aan het recht om op grond van het recht sui generis de in de artikelen 7, leden 1 en 5, en 8, lid 2, van de richtlijn genoemde handelingen te verbieden.

Oftewel: omdat een databankrecht zo leuk is, gaan bedrijven als Ryanair écht liever investeren in alsnog een databankrecht (met verplicht toelaten dat je gescrapet wordt) dan dat ze nu op hun data blijven zitten en “Blijf met je rotpoten van onze rotprijzen af” in juridische taal roepen. Eh, juist.

Inderdaad, ik vind dit storend. Zoekmachines en prijsvergelijkers hebben een legitieme functie in de maatschappij en behoren prijsinformatie en dergelijke transparant te kunnen maken. Daar moet auteursrecht of databankrecht niet aan in de weg staan, daar zijn die rechten niet voor bedoeld. En oké het Hof laat doorschemeren dat dat niet gaat lukken, maar was het nou écht nodig om te zeggen dat je bij afwezigheid van die rechten een pseudo-recht kunt claimen met een contractuele afspraak? Want je wéét dat iedereen de komende jaren gaat roepen “wij hebben ergens een disclaimer met magniet erin, dus je bent in Ernstige Mate Maatschappelijk Onzorgvuldig en wanprestatie en juridische foei”.

Het enige lichtpuntje is dat er natuurlijk wel een contract moet zijn tussen de site en de scrapende bezoeker. En daarvoor is (zou ik zeggen) wel meer nodig dan dat je ergens een bestandje “gebruiksvoorwaarden” neerzet, zeker als je ongebruikelijke bepalingen opneemt zoals “je mag geen prijzen overnemen”. Dus ik hoop dat de Nederlandse rechter die straks het eindarrest moet wijzen, een duidelijke uitspraak doet wanneer je nu met website-gebruiksvoorwaarden een contract tot stand brengt met je bezoeker.

Arnoud

Moet je klantgegevens per se in Nederland opslaan?

| AE 6948 | Informatiemaatschappij | 12 reacties

disc-data-weg-bewaren-kruis.jpgEen lezer vroeg me:

Wij hebben als bedrijf behoorlijk veel data en overwegen dit nu in de cloud op te slaan. Maar mag dat wettelijk gezien of moeten we per se dit zelf in Nederland beheren?

Er is geen algemene wet of regel die bepaalt dat een Nederlands bedrijf bedrijfsgegevens in Nederland moet opslaan, of zelfs maar in Europa. Je bent daar als bedrijf dus vrij in.

De enige hierbij relevante wet die ik kan bedenken, is de Wet bescherming persoonsgegevens. Wanneer die bedrijfsgegevens iets zeggen over personen (bijvoorbeeld klantdata of personeelsadministratie) dan moeten die worden behandeld volgens deze wet.

De Wbp bepaalt grofweg dat je persoonsgegevens alleen mag opslaan binnen de Europese Unie (art. 76 Wbp) behalve in enkele specifieke gevallen. Zo mag het met aparte toestemming van de betrokken personen of wanneer het nodig is voor afwikkeling van een contract met die persoon. Bemiddel je bij aankoop bij een Amerikaans bedrijf, dan mag je dat bedrijf de klantgegevens geven want anders kan die koop niet worden afgehandeld.

Verder neem je een risico als je gegevens in een ver buitenland opslaat. Wat als het bedrijf ermee ophoudt, of iets simpeler gewoon weigert je toegang tot de bedrijfsgegevens te geven? Je kunt dan moeilijker naar de rechter dan in Nederland. En dat is een risico want stel de Belastingdienst wil inzage in je administratie en die staat net in de Braziliaanse cloud die even down is (huh, een wolk die beneden is?), wat dan?

Technische oplossingen zijn hier misschien beter dan juridische trouwens: ook de hardste SLA en de beste relaties met je leverancier beschermen je niet tegen faillissementen of andere calaimiteiten. Een extra backup ergens anders is dus altijd aan te bevelen.

Arnoud

Mag ik een API reverse engineeren voor mijn eigen app?

| AE 5041 | Intellectuele rechten | 43 reacties

Een lezer vroeg me: Steeds meer sites en platforms komen tegenwoordig met een eigen mobiele app, maar lang niet altijd zo handig als wel zou kunnen. Nu werken deze apps met op de achtergrond een API (application programming interface) die ik met mijn eigen app ook zou kunnen aanroepen. Maar mag ik hun app reverse… Lees verder

Blaffen met het databankenrecht

| AE 2845 | Innovatie | 24 reacties

Er zal recent wel een cursus databankenrecht voor juristen zijn gegeven of zo, want ik kreeg het de afgelopen weken opmerkelijk vaak: mensen met blafbrieven van advocaten tot wie zich wendden diverse site-eigenaren wiens gegevens werden overgenomen. Het overnemen van die gegevens zou onrechtmatig zijn (“en mogelijk zelfs strafbaar”) en dit dient onmiddellijk gestaakt te… Lees verder

Hoe verboden is omgekeerd zoeken in telefoongidsen eigenlijk?

| AE 1979 | Ondernemingsvrijheid, Privacy | 11 reacties

Een lezer vroeg me: Op diverse sites kun je “omgekeerd zoeken” in telefoongidsen, dus op basis van een nummer de naam- en adresgegevens van een abonnee achterhalen. Als je dat wil aanbieden, moet je wel een CD-foongids kraken of iets anders illegaal doen. Maar stel nu dat je legaal bij die gegevens zou kunnen, mag… Lees verder

Open source databanken: de OpenDatabankLicentie versie 1.0

| AE 1683 | Intellectuele rechten | 3 reacties

Al eerder gemeld, maar nu is het definitief: de nieuwe open source licentie voor open en vrije databanken. Databanken bevatten vooral feitelijke data, en er komt zelden creativiteit aan te pas. Bestaande open source licenties zijn eigenlijk vooral bedoeld voor software, en ook de Creative Commons-licenties passen niet goed bij databanken. Vandaar deze nieuwe licentie…. Lees verder