Zullen we EULA’s in beeldschermen gewoon eens afschaffen jongens?

| AE 11933 | Ondernemingsvrijheid | 19 reacties

Via Twitter deze screenshot van een Volkswagen:

Wijzig uw privésfeerinstellingen (dat geforceerde nepnederlands alleen al) om de juiste juridische teksten te kunnen laden. Wat krijgen we nou. Ik vermóed dat men op basis van locatie andere landgebonden teksten wil tonen, want in sommige landen is het explicieter verboden om aan je navigatie te zitten tijdens het rijden dan andere, zoiets.

Als dat vermoeden klopt, dan heeft dit dus geen betekenis en mag je het negeren. Ik weet niet of dat kan, dit soort onderdelen van IT-systemen hebben de neiging in beeld te blijven tot ze zijn opgelost “want dat moet van Legal” of iets dergelijks. Maar als het kan, mijn zegen heb je.

Als het wel gaat om een juridisch bindende tekst, bijvoorbeeld een landgebonden EULA met andere regels over aansprakelijkheid of zo, dan heeft Volkswagen een probleem. Want dan zijn ze wel rijkelijk laat, de auto is al verkocht en mensen dán nog binden aan voorwaarden heeft geen enkele betekenis. Te laat.

Ook niet als mensen dan alsnog op “Akkoord” klikken. Dat argument kwam ik laatst ergens tegen – je zou dan weliswaar de voorwaarden mogen afwijzen wegens te laat, maar als jij in plaats daarvan op akkoord klikt ga je alsnog akkoord en doe je afstand van het recht ze te mogen afwijzen wegens te laat. Zoiets.

Dat zie ik niet. Dit soort systemen is ontwikkeld voor een verplicht akkoord. En in een situatie waarin je akkoord kunt vragen dit opeisen is tot daar aan toe – contractsvrijheid is in principe een ding, dus afgezien van speciale gevallen zoals de AVG is het mogelijk akkoord af te dwingen als deel van een transactie. Maar als de boel al verkocht en geleverd is dán nog eisen dat iemand op akkoord klikt, is echt onmogelijk. In juridische taal is het eenvoudigste argument dat de op rechtsgevolg gerichte wil ontbrak – men wil verder met die boordcomputer, men wil geen overeenkomst sluiten.

Arnoud

De EULA als dranghek versus de wet als verkeersbord

| AE 11409 | Informatiemaatschappij | 4 reacties

Blog ik vorige week over wat internetrecht is, zeg ik helemaal niets over de EULA. Opmerkelijk, want internet hangt van de EULA’s aan elkaar en die EULA’s bepalen feitelijk hoe het recht uitpakt, bepalen wat rechtens is. Tegelijkertijd is algemeen bekend dat niemand zich wat van EULA’s aantrekt. En dat geeft een raar spanningsveld, met vaak hoog oplopende discussies over hoe bindend of rechtsgeldig die EULA’s nu zijn. Merkwaardig.

De EULA of end-user license agreement komt uit de softwarewereld, waar men op zeker moment van maatwerkcontracten naar standaardsoftware overstapte en daarbij ook standaardlicenties wilde verkopen. “Software like a book”, zoals softwaremaker Borland het ooit noemde. Je kreeg rechten, vaak niet zo veel, en een zwik plichten. De in theorie simpelste vorm was het eindgebruik: je mag de software gebruiken zoals ‘ie is, en daar moet je voor betalen, aansprakelijkheid en updates bla bla, punt.

Parallel daaraan hadden online forums en dergelijke diensten ook steeds vaker behoefte aan voorwaarden. Het oudste voorbeeld dat ik ken, was Compuserve dat te maken kreeg met ongewenste/ongepaste discussies en daarom Terms of Service opstelde met wat je wel en niet mocht bespreken en op welke manier. De structuur was grotendeels hetzelfde. Met de opkomst van online softwarediensten (SaaS) kwamen die twee werelden een beetje bij elkaar, en zag je online zowel EULA’s als TOSsen opduiken. Maar de strekking is ondertussen wel gelijk: dit is wat je mag, dit is wat wij kunnen doen als jouw gedrag ons niet bevalt, aansprakelijkheid blabla juridisch bla. Nee, ik lees ze ook niet in detail meer.

Omdat er eigenlijk geen wetsartikelen zijn die regelen wat je online bij een dienst mag, zijn EULA’s voor dienstverleners van groot belang. Zo kunnen ze zelf de regels stellen, ongeveer zoals café’s huisregels stellen. Daar is op zich niets mis mee; de een wil streng zijn, de ander wat minder, en zolang je het vooraf rustig kunt lezen en beoordelen zou daar weinig mis mee moeten zijn. Bovendien, we hebben toch gewoon regels over onredelijk bezwarende voorwaarden? Vanuit dat perspectief is er lange tijd nooit echt regelgeving ingevoerd om EULA-voorwaarden aan banden te leggen.

Wat wel een essentieel verschil is met dat café met z’n bordje, is dat een EULA niet alleen maar een setje regels is. Vaak is het gekoppeld aan een stuk techniek: een EULA verbiedt het gebruik van ongepast taalgebruik, en een filter checkt je bericht op de aanwezigheid van een of meer ongepaste woorden uit een lijst. En dat heeft gevolgen: woon je dan in Scunthorpe of Lopik dan heb je pech. Bij het café kun je daar -met ongetwijfeld wat gehinnik vanaf de bar- nog wel een punt van maken, en dan is het opgelost.

Meer algemeen kom je dan bij wat Lawrence Lessig code as law noemt: software die de wet wordt. Dat begon als programmeren van de wet: we willen geen gescheld, dus we blokkeren scheldwoorden. Maar gaandeweg werd de code daarmee de wet. En haast per definitie is dat een verschraling, een verlies. Want wetten kennen nuances, uitzonderingen, beroepsmogelijkheden, spitsvondigheden, variaties. Software kent dat niet, het improgrammeren van redelijkheid en billijkheid is tot dusverre weinig succesvol gebleken.

In de praktijk geeft dat vaak frustratie. Waar je denkt dat iets mag (laat ik een filmpje van mijn circusbezoek op internet zetten, de muziek is een citaat) kom je erachter dat de software het niet toestaat (uw muziek werd geclaimd door Universal Music, sorry) én dat je vervolgens helemaal niets kan. Alsof je ergens linksaf wil en een betonblok tegenkomt bij wijze van wegafzetting. Oké, dan mocht je kennelijk die weg niet in maar wat nu als je een noodgeval hebt, een kind met stevige bloeding op de achterbank? Een verbodsbord kun je negeren in een noodgeval, een betonblok niet. Een agent heeft begrip voor dat noodgeval, een AI die je kenteken registreert en de boete uitstuurt niet.

Ik blijf me erover verbazen. Het recht is geprivatiseerd en geautomatiseerd. Maar is het nog wel het recht zoals we dat bedacht hadden?

Arnoud

Windows 10 Enterprise en Office zijn risico voor privacy ambtenaren

| AE 10964 | Ondernemingsvrijheid, Privacy | 29 reacties

Via Windows 10 Enterprise en Microsoft Office verzamelt Microsoft gebruikersgegevens die het bedrijf in de VS opslaat. Dat meldde Tweakers op basis van onderzoek bij het ministerie. Deze opslag geeft een inbreuk op de privacy van de ambtenaren, plus een ieder wiens gegevens door die ambtenaren worden verwerkt. Het onderzoek werd uitgevoerd als een DPIA onder de AVG, waarbij werd gekeken naar de zogeheten telemetriedata die Windows- en Office-installaties verzamlen bij de gebruiker en doorsturen naar Microsoft in de USA. Bij Office gaat het mis: deze verzamelt een enorme hoeveelheid data, en dat is niet uit te schakelen.

Het is natuurlijk leuk en aardig dat Microsoft “telemetrie” oftewel statistieken verzamelt, maar dat is in de EU best problematisch omdat dat al héél snel onder de noemer van persoonsgegevens valt. Informatie over wat gebruiker thx1138 doet met zijn Office is een persoonsgegeven, ook al heb je niet de naam van die gebruiker of enig contactgegeven. Zelfs wanneer je aan die meetgegevens een eigen willekeurig toegekende ID hangt, val je nog onder de AVG. Dat voelt als nogal een ontwerpfout.

Met name dat “het kan niet uit” verbaast me hogelijk. Je zou zeggen dat je als bedrijf weet dat het verzamelen van gegevens over wat je gebruikers doen gevoelig kan liggen, zeker in enterprise-omgevingen (en daar hebben we het hier over). Dat is niet iets dat je met een vinkje in de EULA oplost, de belangen zijn daarvoor te groot. Dit mag gewoon niet.

Natuurlijk zal Microsoft vast ergens in de licentievoorwaarden hebben gezegd dat toestemming wordt verleend. Maar dat werkt niet op dit niveau. Software wordt ingekocht onder een groot contract, en deze afspraak moet dáár dan worden gemaakt.

Bovendien: een bedrijf of instelling mag die afspraak alleen maken als ze dat vervolgens aan haar personeel (en/of klanten) kan rechtvaardigen, en dat zie ik hier niet opgaan. Welke noodzaak binnen de arbeidsovereenkomst (aanstelling, het is ambtenarenrecht) is er om deze telemetrie aan Microsoft te verstrekken die het voor eigen doeleinden gaat gebruiken? Welk belang van Microsoft is zo dringend dat de privacy van het personeel mag worden gepasseerd? En heeft de OR wel ingestemd met die telemetrieverstrekking, dat is immers een apart recht onder de Wet OR?

Beloofd wordt om een en ander aan te passen om binnen de Europese regels te blijven, maar dat zal tot ergens in 2019 gaan duren. Dat is nogal lang, dus ik hoop dat er in de tussentijd een firewall of iets tussengezet kan worden zodat de privacy van de ambtenaren gewaarborgd blijft.

Arnoud

Vijf EULA-clausules waar je je koffie van tegen het scherm zult spugen

| AE 10826 | Informatiemaatschappij | 16 reacties

1. Geen iTunes voor jou, Kim Jong-Il Ik begin met een klassieker: Apple verbiedt in de iTunes voorwaarden het gebruik van de software bij de productie of ontwikkeling van massavernietigingswapens: You also agree that you will not use these products for any purposes prohibited by United States law, including, without limitation, the development, design, manufacture… Lees verder

Kan ik onder de AVG mijn Nintendo-landkeuze aanpassen?

| AE 10819 | Ondernemingsvrijheid, Privacy | 19 reacties

Een lezer vroeg me: Recent ben ik verhuisd van Denemarken naar Noorwegen. Na het uitpakken van mijn Nintendo Wii U bleek deze echter niet te werken, omdat het Nintendo Network ID in Denemarken was geregistreerd en volgens de EULA niet overgezet kan worden naar een ander land. Mijn beroep op het correctierecht uit de AVG… Lees verder

Samsung bakt er niets van met algemene voorwaarden voor hun nieuwe oven

| AE 10721 | Informatiemaatschappij | 15 reacties

“To use my oven I have to accept terms and conditions”, klaagde Morten Nielsen recent op Twitter. De hele discussie rond die oven is interessant. Zo blijkt de oven internet op te gaan ook als je dat uitschakelt, de bedienings-app wil toegang tot je contactenlijst en de voorwaarden beperken aansprakelijkheid voor schade nogal. Spannend, want… Lees verder

Wat gebeurt er als een kind een EULA accepteert en dan gaat cheaten?

| AE 10589 | Informatiemaatschappij | 21 reacties

“De gedaagde is een cheater, en niemand houdt van cheaters”, aldus Epic Games in haar rechtszaak tegen een veertienjarige. Dat las ik bij The Verge. De zaak is op zichzelf al opmerkelijk genoeg: de jongen werd aangeklaagd vanwege het op Youtube plaatsen van videos waarin hij laat zien hoe een cheat werkt. Epic had de… Lees verder

Ik wil niet namens mijn werkgever akkoord gaan met Microsoft’s EULA

| AE 9075 | Intellectuele rechten, Ondernemingsvrijheid | 15 reacties

Een lezer vroeg me: Deel van mijn werk is het uitrollen van Office 365. Eén van de installatiestappen is het akkoord gaan met de hele riedel gebruiksvoorwaarden en privacy condities van de firma Microsoft. Dit snap ik niet. Waarom moet dat, als wij al een contract hebben? En hoe voorkom ik dat ik straks privé… Lees verder

Waarom EULA’s allemaal zo verschrikkelijk onleesbaar zijn

| AE 9049 | Informatiemaatschappij | 12 reacties

Mooi stuk bij BoingBoing: onze digitale economie zit vol met licenties (EULA’s, end user license agreements) maar geen hond die ze leest. Is dat luiheid van de consument? Onoplettendheid in het bestelproces? Nee. Dit zit fundamenteler. Het concept van licenties – verlening van toestemming – is natuurlijk al veel ouder dan internet. De visvergunning is… Lees verder