De EULA als dranghek versus de wet als verkeersbord

| AE 11409 | Informatiemaatschappij | 4 reacties

Blog ik vorige week over wat internetrecht is, zeg ik helemaal niets over de EULA. Opmerkelijk, want internet hangt van de EULA’s aan elkaar en die EULA’s bepalen feitelijk hoe het recht uitpakt, bepalen wat rechtens is. Tegelijkertijd is algemeen bekend dat niemand zich wat van EULA’s aantrekt. En dat geeft een raar spanningsveld, met vaak hoog oplopende discussies over hoe bindend of rechtsgeldig die EULA’s nu zijn. Merkwaardig.

De EULA of end-user license agreement komt uit de softwarewereld, waar men op zeker moment van maatwerkcontracten naar standaardsoftware overstapte en daarbij ook standaardlicenties wilde verkopen. “Software like a book”, zoals softwaremaker Borland het ooit noemde. Je kreeg rechten, vaak niet zo veel, en een zwik plichten. De in theorie simpelste vorm was het eindgebruik: je mag de software gebruiken zoals ‘ie is, en daar moet je voor betalen, aansprakelijkheid en updates bla bla, punt.

Parallel daaraan hadden online forums en dergelijke diensten ook steeds vaker behoefte aan voorwaarden. Het oudste voorbeeld dat ik ken, was Compuserve dat te maken kreeg met ongewenste/ongepaste discussies en daarom Terms of Service opstelde met wat je wel en niet mocht bespreken en op welke manier. De structuur was grotendeels hetzelfde. Met de opkomst van online softwarediensten (SaaS) kwamen die twee werelden een beetje bij elkaar, en zag je online zowel EULA’s als TOSsen opduiken. Maar de strekking is ondertussen wel gelijk: dit is wat je mag, dit is wat wij kunnen doen als jouw gedrag ons niet bevalt, aansprakelijkheid blabla juridisch bla. Nee, ik lees ze ook niet in detail meer.

Omdat er eigenlijk geen wetsartikelen zijn die regelen wat je online bij een dienst mag, zijn EULA’s voor dienstverleners van groot belang. Zo kunnen ze zelf de regels stellen, ongeveer zoals café’s huisregels stellen. Daar is op zich niets mis mee; de een wil streng zijn, de ander wat minder, en zolang je het vooraf rustig kunt lezen en beoordelen zou daar weinig mis mee moeten zijn. Bovendien, we hebben toch gewoon regels over onredelijk bezwarende voorwaarden? Vanuit dat perspectief is er lange tijd nooit echt regelgeving ingevoerd om EULA-voorwaarden aan banden te leggen.

Wat wel een essentieel verschil is met dat café met z’n bordje, is dat een EULA niet alleen maar een setje regels is. Vaak is het gekoppeld aan een stuk techniek: een EULA verbiedt het gebruik van ongepast taalgebruik, en een filter checkt je bericht op de aanwezigheid van een of meer ongepaste woorden uit een lijst. En dat heeft gevolgen: woon je dan in Scunthorpe of Lopik dan heb je pech. Bij het café kun je daar -met ongetwijfeld wat gehinnik vanaf de bar- nog wel een punt van maken, en dan is het opgelost.

Meer algemeen kom je dan bij wat Lawrence Lessig code as law noemt: software die de wet wordt. Dat begon als programmeren van de wet: we willen geen gescheld, dus we blokkeren scheldwoorden. Maar gaandeweg werd de code daarmee de wet. En haast per definitie is dat een verschraling, een verlies. Want wetten kennen nuances, uitzonderingen, beroepsmogelijkheden, spitsvondigheden, variaties. Software kent dat niet, het improgrammeren van redelijkheid en billijkheid is tot dusverre weinig succesvol gebleken.

In de praktijk geeft dat vaak frustratie. Waar je denkt dat iets mag (laat ik een filmpje van mijn circusbezoek op internet zetten, de muziek is een citaat) kom je erachter dat de software het niet toestaat (uw muziek werd geclaimd door Universal Music, sorry) én dat je vervolgens helemaal niets kan. Alsof je ergens linksaf wil en een betonblok tegenkomt bij wijze van wegafzetting. Oké, dan mocht je kennelijk die weg niet in maar wat nu als je een noodgeval hebt, een kind met stevige bloeding op de achterbank? Een verbodsbord kun je negeren in een noodgeval, een betonblok niet. Een agent heeft begrip voor dat noodgeval, een AI die je kenteken registreert en de boete uitstuurt niet.

Ik blijf me erover verbazen. Het recht is geprivatiseerd en geautomatiseerd. Maar is het nog wel het recht zoals we dat bedacht hadden?

Arnoud

Windows 10 Enterprise en Office zijn risico voor privacy ambtenaren

| AE 10964 | Ondernemingsvrijheid, Privacy | 29 reacties

Via Windows 10 Enterprise en Microsoft Office verzamelt Microsoft gebruikersgegevens die het bedrijf in de VS opslaat. Dat meldde Tweakers op basis van onderzoek bij het ministerie. Deze opslag geeft een inbreuk op de privacy van de ambtenaren, plus een ieder wiens gegevens door die ambtenaren worden verwerkt. Het onderzoek werd uitgevoerd als een DPIA onder de AVG, waarbij werd gekeken naar de zogeheten telemetriedata die Windows- en Office-installaties verzamlen bij de gebruiker en doorsturen naar Microsoft in de USA. Bij Office gaat het mis: deze verzamelt een enorme hoeveelheid data, en dat is niet uit te schakelen.

Het is natuurlijk leuk en aardig dat Microsoft “telemetrie” oftewel statistieken verzamelt, maar dat is in de EU best problematisch omdat dat al héél snel onder de noemer van persoonsgegevens valt. Informatie over wat gebruiker thx1138 doet met zijn Office is een persoonsgegeven, ook al heb je niet de naam van die gebruiker of enig contactgegeven. Zelfs wanneer je aan die meetgegevens een eigen willekeurig toegekende ID hangt, val je nog onder de AVG. Dat voelt als nogal een ontwerpfout.

Met name dat “het kan niet uit” verbaast me hogelijk. Je zou zeggen dat je als bedrijf weet dat het verzamelen van gegevens over wat je gebruikers doen gevoelig kan liggen, zeker in enterprise-omgevingen (en daar hebben we het hier over). Dat is niet iets dat je met een vinkje in de EULA oplost, de belangen zijn daarvoor te groot. Dit mag gewoon niet.

Natuurlijk zal Microsoft vast ergens in de licentievoorwaarden hebben gezegd dat toestemming wordt verleend. Maar dat werkt niet op dit niveau. Software wordt ingekocht onder een groot contract, en deze afspraak moet dáár dan worden gemaakt.

Bovendien: een bedrijf of instelling mag die afspraak alleen maken als ze dat vervolgens aan haar personeel (en/of klanten) kan rechtvaardigen, en dat zie ik hier niet opgaan. Welke noodzaak binnen de arbeidsovereenkomst (aanstelling, het is ambtenarenrecht) is er om deze telemetrie aan Microsoft te verstrekken die het voor eigen doeleinden gaat gebruiken? Welk belang van Microsoft is zo dringend dat de privacy van het personeel mag worden gepasseerd? En heeft de OR wel ingestemd met die telemetrieverstrekking, dat is immers een apart recht onder de Wet OR?

Beloofd wordt om een en ander aan te passen om binnen de Europese regels te blijven, maar dat zal tot ergens in 2019 gaan duren. Dat is nogal lang, dus ik hoop dat er in de tussentijd een firewall of iets tussengezet kan worden zodat de privacy van de ambtenaren gewaarborgd blijft.

Arnoud

Vijf EULA-clausules waar je je koffie van tegen het scherm zult spugen

| AE 10826 | Informatiemaatschappij | 16 reacties

1. Geen iTunes voor jou, Kim Jong-Il
Ik begin met een klassieker: Apple verbiedt in de iTunes voorwaarden het gebruik van de software bij de productie of ontwikkeling van massavernietigingswapens:

You also agree that you will not use these products for any purposes prohibited by United States law, including, without limitation, the development, design, manufacture or production of nuclear, missiles, or chemical or biological weapons.

Dit is een mooi stukje cargo culting: high-end software kan onder exportverboden of dual use regelingen rondom wapenhandel en -ontwikkeling vallen. Om te voorkomen dat je software in die categorie komt, kun je maar beter je klant verbieden Dus komt er een verbod daarop in de licenties voor die software. En dat komt dan ook in de voorwaarden voor gewone software.

2. Dit verbod vervalt bij de Zombie Apocalyps
Maar deze kende je nog niet: ga je via de Amazon marketplace in hout handelen, dan geldt ook zo’n verbod tegen gebruik of handel met militaire doeleinden. Echter, dit vervalt wanneer de Zombie Apocalyps zich voor zal doen:

However, this restriction will not apply in the event of the occurrence (certified by the United States Centers for Disease Control or successor body) of a widespread viral infection transmitted via bites or contact with bodily fluids that causes human corpses to reanimate and seek to consume living human flesh, blood, brain or nerve tissue and is likely to result in the fall of organized civilization.

3. Jouw testresultaten zijn van mij
Je zou zeggen dat als je kijkt hoe software werkt, dat dan jouw toegenomen kennis is. Sommige EULA’s – zoals die van analyticspakket Crobox – denken daar anders over:

10.5 The Customer acknowledges that details of the Product, and the results of any performance tests of the Product, constitute Crobox’s Confidential Information.

Dit is juridisch bindend maar natuurlijk wel heel vervelend.

4. Tot de dood van de Koningin ons opzegt
Een Engelse softwarelicentie – die ik helaas niet mag publiceren – bevatte een wel heel aparte einddatum:

This license shall be in force for the period ending at the expiry of 21 years from the death of the last survivor of all the lineal descendants of her Majesty Queen Elisabeth II who have been born on the date of this agreement, whichever comes later.

Dit blijkt dus een in Engeland niet ongebruikelijke clausule. Onder Engels recht zijn eeuwigdurende overeenkomsten problematisch, maar door het op te hangen aan een gebeurtenis die technisch niet eeuwig hóeft te zijn zou je dat dan omzeilen.

5. Op voorwaarde van persoonlijke groei en het nemen van maatschappelijke verantwoordelijkheid De “Replace Tekst” softwarelicentie eist een zoektocht naar zingeving:

You agree to admit your own fallibility and to embrace personal growth to the benefit of yourself, and those around you.
You agree to act responsibly towards the environment and to help improve the environment however you see fit.
You agree to treat all people with respect and to help other people in whatever way you are most passionate about.

In een zakelijke context minder gek; menig inkoopcontract bij een groot bedrijf eist dat je maatschappelijk verantwoord onderneemt, geen kinderarbeid toepast, milieuvriendelijk werkt en je bedrijfsprocessen continu verbetert. Waarom dan niet je persoonlijke mentale processen?

Arnoud

Kan ik onder de AVG mijn Nintendo-landkeuze aanpassen?

| AE 10819 | Ondernemingsvrijheid, Privacy | 19 reacties

Een lezer vroeg me: Recent ben ik verhuisd van Denemarken naar Noorwegen. Na het uitpakken van mijn Nintendo Wii U bleek deze echter niet te werken, omdat het Nintendo Network ID in Denemarken was geregistreerd en volgens de EULA niet overgezet kan worden naar een ander land. Mijn beroep op het correctierecht uit de AVG… Lees verder

Samsung bakt er niets van met algemene voorwaarden voor hun nieuwe oven

| AE 10721 | Informatiemaatschappij | 15 reacties

“To use my oven I have to accept terms and conditions”, klaagde Morten Nielsen recent op Twitter. De hele discussie rond die oven is interessant. Zo blijkt de oven internet op te gaan ook als je dat uitschakelt, de bedienings-app wil toegang tot je contactenlijst en de voorwaarden beperken aansprakelijkheid voor schade nogal. Spannend, want… Lees verder

Wat gebeurt er als een kind een EULA accepteert en dan gaat cheaten?

| AE 10589 | Informatiemaatschappij | 21 reacties

“De gedaagde is een cheater, en niemand houdt van cheaters”, aldus Epic Games in haar rechtszaak tegen een veertienjarige. Dat las ik bij The Verge. De zaak is op zichzelf al opmerkelijk genoeg: de jongen werd aangeklaagd vanwege het op Youtube plaatsen van videos waarin hij laat zien hoe een cheat werkt. Epic had de… Lees verder

Ik wil niet namens mijn werkgever akkoord gaan met Microsoft’s EULA

| AE 9075 | Intellectuele rechten, Ondernemingsvrijheid | 15 reacties

Een lezer vroeg me: Deel van mijn werk is het uitrollen van Office 365. Eén van de installatiestappen is het akkoord gaan met de hele riedel gebruiksvoorwaarden en privacy condities van de firma Microsoft. Dit snap ik niet. Waarom moet dat, als wij al een contract hebben? En hoe voorkom ik dat ik straks privé… Lees verder

Waarom EULA’s allemaal zo verschrikkelijk onleesbaar zijn

| AE 9049 | Informatiemaatschappij | 12 reacties

Mooi stuk bij BoingBoing: onze digitale economie zit vol met licenties (EULA’s, end user license agreements) maar geen hond die ze leest. Is dat luiheid van de consument? Onoplettendheid in het bestelproces? Nee. Dit zit fundamenteler. Het concept van licenties – verlening van toestemming – is natuurlijk al veel ouder dan internet. De visvergunning is… Lees verder

Fabrikanten mogen van EU-Hof pc’s met geïnstalleerde software verkopen

| AE 8952 | Intellectuele rechten | 22 reacties

Computerfabrikanten mogen gewoon pc’s blijven verkopen met bijvoorbeeld Windows vooraf geïnstalleerd. Dat meldde Nu.nl onlang. Ze hoeven geen alternatief te bieden zonder de geïnstalleerde software. Dit volgt uit een uitspraak van het Hof van Justitie (zaaknr C-310/15) naar aanleiding van een Franse rechtszaak over de vraag of dit een oneerlijke handelspraktijk was. Een Franse consument… Lees verder