Windows 10 Enterprise en Office zijn risico voor privacy ambtenaren

| AE 10964 | Ondernemingsvrijheid, Privacy | 29 reacties

Via Windows 10 Enterprise en Microsoft Office verzamelt Microsoft gebruikersgegevens die het bedrijf in de VS opslaat. Dat meldde Tweakers op basis van onderzoek bij het ministerie. Deze opslag geeft een inbreuk op de privacy van de ambtenaren, plus een ieder wiens gegevens door die ambtenaren worden verwerkt. Het onderzoek werd uitgevoerd als een DPIA onder de AVG, waarbij werd gekeken naar de zogeheten telemetriedata die Windows- en Office-installaties verzamlen bij de gebruiker en doorsturen naar Microsoft in de USA. Bij Office gaat het mis: deze verzamelt een enorme hoeveelheid data, en dat is niet uit te schakelen.

Het is natuurlijk leuk en aardig dat Microsoft “telemetrie” oftewel statistieken verzamelt, maar dat is in de EU best problematisch omdat dat al héél snel onder de noemer van persoonsgegevens valt. Informatie over wat gebruiker thx1138 doet met zijn Office is een persoonsgegeven, ook al heb je niet de naam van die gebruiker of enig contactgegeven. Zelfs wanneer je aan die meetgegevens een eigen willekeurig toegekende ID hangt, val je nog onder de AVG. Dat voelt als nogal een ontwerpfout.

Met name dat “het kan niet uit” verbaast me hogelijk. Je zou zeggen dat je als bedrijf weet dat het verzamelen van gegevens over wat je gebruikers doen gevoelig kan liggen, zeker in enterprise-omgevingen (en daar hebben we het hier over). Dat is niet iets dat je met een vinkje in de EULA oplost, de belangen zijn daarvoor te groot. Dit mag gewoon niet.

Natuurlijk zal Microsoft vast ergens in de licentievoorwaarden hebben gezegd dat toestemming wordt verleend. Maar dat werkt niet op dit niveau. Software wordt ingekocht onder een groot contract, en deze afspraak moet dáár dan worden gemaakt.

Bovendien: een bedrijf of instelling mag die afspraak alleen maken als ze dat vervolgens aan haar personeel (en/of klanten) kan rechtvaardigen, en dat zie ik hier niet opgaan. Welke noodzaak binnen de arbeidsovereenkomst (aanstelling, het is ambtenarenrecht) is er om deze telemetrie aan Microsoft te verstrekken die het voor eigen doeleinden gaat gebruiken? Welk belang van Microsoft is zo dringend dat de privacy van het personeel mag worden gepasseerd? En heeft de OR wel ingestemd met die telemetrieverstrekking, dat is immers een apart recht onder de Wet OR?

Beloofd wordt om een en ander aan te passen om binnen de Europese regels te blijven, maar dat zal tot ergens in 2019 gaan duren. Dat is nogal lang, dus ik hoop dat er in de tussentijd een firewall of iets tussengezet kan worden zodat de privacy van de ambtenaren gewaarborgd blijft.

Arnoud

Vijf EULA-clausules waar je je koffie van tegen het scherm zult spugen

| AE 10826 | Informatiemaatschappij | 16 reacties

1. Geen iTunes voor jou, Kim Jong-Il
Ik begin met een klassieker: Apple verbiedt in de iTunes voorwaarden het gebruik van de software bij de productie of ontwikkeling van massavernietigingswapens:

You also agree that you will not use these products for any purposes prohibited by United States law, including, without limitation, the development, design, manufacture or production of nuclear, missiles, or chemical or biological weapons.

Dit is een mooi stukje cargo culting: high-end software kan onder exportverboden of dual use regelingen rondom wapenhandel en -ontwikkeling vallen. Om te voorkomen dat je software in die categorie komt, kun je maar beter je klant verbieden Dus komt er een verbod daarop in de licenties voor die software. En dat komt dan ook in de voorwaarden voor gewone software.

2. Dit verbod vervalt bij de Zombie Apocalyps
Maar deze kende je nog niet: ga je via de Amazon marketplace in hout handelen, dan geldt ook zo’n verbod tegen gebruik of handel met militaire doeleinden. Echter, dit vervalt wanneer de Zombie Apocalyps zich voor zal doen:

However, this restriction will not apply in the event of the occurrence (certified by the United States Centers for Disease Control or successor body) of a widespread viral infection transmitted via bites or contact with bodily fluids that causes human corpses to reanimate and seek to consume living human flesh, blood, brain or nerve tissue and is likely to result in the fall of organized civilization.

3. Jouw testresultaten zijn van mij
Je zou zeggen dat als je kijkt hoe software werkt, dat dan jouw toegenomen kennis is. Sommige EULA’s – zoals die van analyticspakket Crobox – denken daar anders over:

10.5 The Customer acknowledges that details of the Product, and the results of any performance tests of the Product, constitute Crobox’s Confidential Information.

Dit is juridisch bindend maar natuurlijk wel heel vervelend.

4. Tot de dood van de Koningin ons opzegt
Een Engelse softwarelicentie – die ik helaas niet mag publiceren – bevatte een wel heel aparte einddatum:

This license shall be in force for the period ending at the expiry of 21 years from the death of the last survivor of all the lineal descendants of her Majesty Queen Elisabeth II who have been born on the date of this agreement, whichever comes later.

Dit blijkt dus een in Engeland niet ongebruikelijke clausule. Onder Engels recht zijn eeuwigdurende overeenkomsten problematisch, maar door het op te hangen aan een gebeurtenis die technisch niet eeuwig hóeft te zijn zou je dat dan omzeilen.

5. Op voorwaarde van persoonlijke groei en het nemen van maatschappelijke verantwoordelijkheid De “Replace Tekst” softwarelicentie eist een zoektocht naar zingeving:

You agree to admit your own fallibility and to embrace personal growth to the benefit of yourself, and those around you.
You agree to act responsibly towards the environment and to help improve the environment however you see fit.
You agree to treat all people with respect and to help other people in whatever way you are most passionate about.

In een zakelijke context minder gek; menig inkoopcontract bij een groot bedrijf eist dat je maatschappelijk verantwoord onderneemt, geen kinderarbeid toepast, milieuvriendelijk werkt en je bedrijfsprocessen continu verbetert. Waarom dan niet je persoonlijke mentale processen?

Arnoud

Kan ik onder de AVG mijn Nintendo-landkeuze aanpassen?

| AE 10819 | Ondernemingsvrijheid, Privacy | 19 reacties

Een lezer vroeg me:

Recent ben ik verhuisd van Denemarken naar Noorwegen. Na het uitpakken van mijn Nintendo Wii U bleek deze echter niet te werken, omdat het Nintendo Network ID in Denemarken was geregistreerd en volgens de EULA niet overgezet kan worden naar een ander land. Mijn beroep op het correctierecht uit de AVG – ik woon nu immers in Noorwegen – werd afgewezen omdat ik akkoord was gegaan met de EULA. Maar EULA’s gaan toch niet boven de wet?

Het klopt dat een EULA niet boven de wet kan gaan. Althans niet boven wat juristen “dwingend recht” noemen, want er is ook “regelend recht” en dat is nadrukkelijk bedoeld om contractueel anders te mogen doen. Dat je een internetbestelling binnen 14 dagen retour mag melden is dwingend recht. Dat een langlopend contract op ieder moment opgezegd mag worden is regelend recht – je kunt afspreken dat je er een jaar aan vastzit.

De AVG is dwingend recht, althans de delen die burgers rechten geven, dus een EULA kan geen bepalingen bevatten die in strijd zijn met de AVG. Doen ze dat toch, dan zal de rechter die clausule negeren.

De Nintendo Wii U EULA vermeldt dat je een ID krijgt dat gekoppeld is aan je “country of residence”, het land waar je op dat moment woont. De EULA vermeldt ook dat deze niet kan worden gewijzigd:

The Nintendo Network ID is linked to your country of residence that you indicated during the registration. If you move to another country, you may not be able to use your Nintendo Network ID (including Digital Products) and you may have to create another Nintendo Network ID if you want to enjoy Nintendo Network in this new country. If you move back to the country, in which your Nintendo Network ID was registered, you will be able to use your original Nintendo Network ID again.

Op grond van de AVG heb je het recht om onjuiste gegevens te laten rectificeren (art. 16 AVG). Als je van Denemarken naar Noorwegen verhuist, dan is een registratie “Country of residence: Denmark” vervolgens onjuist, zodat je die mag laten corrigeren. Hiervoor mogen overigens geen kosten worden gevraagd (artikel 12 AVG).

Echter, ik vraag me dan af of dit wel de informatie is die men opslaat. Gezien de tekst van de EULA gaat het om een keuze, in welk land wil ik dat mijn landgebonden Nintendo-dienst werkt. Die keuze is en blijft dan Denemarken. Het zou net zoiets zijn als vergeten je betaaldparkeren af te melden in je app en vervolgens een AVG-correctie eisen naar de werkelijke wegrijtijd. De geregistreerde eindtijd is geen fout, dat was de tijd dat je áángaf weg te rijden. Dat je feitelijk eerder wegreed en vergat de parkeeractie te stoppen in de app, is iets heel anders.

Omdat de Nintendo-dienst landgebonden is, lijkt het me legitiem dat die landkeuze niet onder de AVG aangepast kan worden. Dan forceer je langs oneigenlijke weg dat de dienst ineens EU-breed geleverd moet worden op dezelfde voorwaarden. Natuurlijk kun je erover twisten of dat laatste niet behoort de werkelijkheid te zijn, maar dat los je niet op door de AVG in te zetten.

Arnoud

Samsung bakt er niets van met algemene voorwaarden voor hun nieuwe oven

| AE 10721 | Informatiemaatschappij | 15 reacties

“To use my oven I have to accept terms and conditions”, klaagde Morten Nielsen recent op Twitter. De hele discussie rond die oven is interessant. Zo blijkt de oven internet op te gaan ook als je dat uitschakelt, de bedienings-app wil toegang tot je contactenlijst en de voorwaarden beperken aansprakelijkheid voor schade nogal. Spannend, want… Lees verder

Wat gebeurt er als een kind een EULA accepteert en dan gaat cheaten?

| AE 10589 | Informatiemaatschappij | 21 reacties

“De gedaagde is een cheater, en niemand houdt van cheaters”, aldus Epic Games in haar rechtszaak tegen een veertienjarige. Dat las ik bij The Verge. De zaak is op zichzelf al opmerkelijk genoeg: de jongen werd aangeklaagd vanwege het op Youtube plaatsen van videos waarin hij laat zien hoe een cheat werkt. Epic had de… Lees verder

Ik wil niet namens mijn werkgever akkoord gaan met Microsoft’s EULA

| AE 9075 | Intellectuele rechten, Ondernemingsvrijheid | 15 reacties

Een lezer vroeg me: Deel van mijn werk is het uitrollen van Office 365. Eén van de installatiestappen is het akkoord gaan met de hele riedel gebruiksvoorwaarden en privacy condities van de firma Microsoft. Dit snap ik niet. Waarom moet dat, als wij al een contract hebben? En hoe voorkom ik dat ik straks privé… Lees verder

Waarom EULA’s allemaal zo verschrikkelijk onleesbaar zijn

| AE 9049 | Informatiemaatschappij | 12 reacties

Mooi stuk bij BoingBoing: onze digitale economie zit vol met licenties (EULA’s, end user license agreements) maar geen hond die ze leest. Is dat luiheid van de consument? Onoplettendheid in het bestelproces? Nee. Dit zit fundamenteler. Het concept van licenties – verlening van toestemming – is natuurlijk al veel ouder dan internet. De visvergunning is… Lees verder

Fabrikanten mogen van EU-Hof pc’s met geïnstalleerde software verkopen

| AE 8952 | Intellectuele rechten | 21 reacties

Computerfabrikanten mogen gewoon pc’s blijven verkopen met bijvoorbeeld Windows vooraf geïnstalleerd. Dat meldde Nu.nl onlang. Ze hoeven geen alternatief te bieden zonder de geïnstalleerde software. Dit volgt uit een uitspraak van het Hof van Justitie (zaaknr C-310/15) naar aanleiding van een Franse rechtszaak over de vraag of dit een oneerlijke handelspraktijk was. Een Franse consument… Lees verder

En nu eisen sitevoorwaarden ook al je eerstgeboren kind op

| AE 8802 | Informatiemaatschappij | 7 reacties

Gaan we weer: hee kijk, niemand leest websitevoorwaarden, zelfs als je erin zet dat je je eerstgeboren kind moet afstaan, gaat iedereen blindelings akkoord. Dat las ik bij Ars Technica. Leuk nieuwtje weer, maar wat mij betreft nieuwswaarde nul. Al sinds het begin van internet staat iedere site bol van de gebruiksvoorwaarden. Ergens wel logisch,… Lees verder