Hoe krijg je het voor elkaar: “Google-beleid op stalkerware was een typo”

| AE 12216 | Privacy | 15 reacties

Google heeft het beleid omtrent stalkerware in de Play-appwinkel aangepast, las ik bij Tweakers. Op dit moment staat in de regels dat stalkerware wel gebruikt mag worden om zonder toestemming partners te volgen, maar mag het tracken van kinderen niet. In het nieuwe beleid is dit omgedraaid.

Inderdaad leest de oude tekst erg raar (vervettingen van mij ter illustratie):

Stalkerware apps transmit data to a party other than the PHA provider. Legitimate forms of these apps cannot be used by parents to track their children. However, these apps can be used to track a person (a spouse, for example) without their knowledge or permission unless a persistent notification is displayed while the data is being transmitted.
Met name dat laatste is natuurlijk bizar: het mag tenzij je de persoon meldt dat je het doet. Nee, daar had een rechter ook wel van gemaakt dat die tweede ‘can’ een ‘cannot’ had moeten zijn. En de eerste leest ook raar, hoezo zou dat nooit of te nimmer kunnen? Terwijl als daar “can” staat, je een soort van legitieme uitleg krijgt over waarvoor “legitieme stalkerware” gebruikt kan worden.

Legitieme stalkerware noem je trouwens natuurlijk niet zo, ik zou eerder aan parental controls of monitoring software denken. En ja, ook in Europa mag dat in principe, je kinderen online in de gaten houden. Het is wel een glijdende schaal: bij een zevenjarige die de familie-iPad mag gebruiken is een andere vorm van toezicht gepast dan een zeventienjarige met eigen laptop en telefoon (en iCloud-account). Er zijn geen harde regels, omdat het een afweging is van privacy van het kind (een grondrecht) versus de zorgplicht voor een goede opvoeding (ook een grondrecht, van het kind). En die maak je alleen op basis van wat dit kind nodig heeft.

Voor andere categorieën gebruik kan ik niet snel een legitieme case verzinnen. Ja, heel misschien bij werknemers die met zeer gevoelige informatie werken en waarvan je wilt kunnen aantonen dat die ze niet hebben gelekt of misbruikt. Maar daar zijn genoeg andere maatregelen voor dan een volg-app op hun telefoon – plus, je zou wel gek zijn als je zulke gevoelige informatie überhaupt toelaat op iemands eigen telefoon.

Weten jullie een use case voor “legitieme stalkerware” anders dan ouder-kind monitoring? (Detectivebureaus zijn dat denk ik niet, mede vanwege de eis tot persistente notificatie bij het doelwit van onderzoek.)

Arnoud

Zullen we EULA’s in beeldschermen gewoon eens afschaffen jongens?

| AE 11933 | Ondernemingsvrijheid | 19 reacties

Via Twitter deze screenshot van een Volkswagen:

Wijzig uw privésfeerinstellingen (dat geforceerde nepnederlands alleen al) om de juiste juridische teksten te kunnen laden. Wat krijgen we nou. Ik vermóed dat men op basis van locatie andere landgebonden teksten wil tonen, want in sommige landen is het explicieter verboden om aan je navigatie te zitten tijdens het rijden dan andere, zoiets.

Als dat vermoeden klopt, dan heeft dit dus geen betekenis en mag je het negeren. Ik weet niet of dat kan, dit soort onderdelen van IT-systemen hebben de neiging in beeld te blijven tot ze zijn opgelost “want dat moet van Legal” of iets dergelijks. Maar als het kan, mijn zegen heb je.

Als het wel gaat om een juridisch bindende tekst, bijvoorbeeld een landgebonden EULA met andere regels over aansprakelijkheid of zo, dan heeft Volkswagen een probleem. Want dan zijn ze wel rijkelijk laat, de auto is al verkocht en mensen dán nog binden aan voorwaarden heeft geen enkele betekenis. Te laat.

Ook niet als mensen dan alsnog op “Akkoord” klikken. Dat argument kwam ik laatst ergens tegen – je zou dan weliswaar de voorwaarden mogen afwijzen wegens te laat, maar als jij in plaats daarvan op akkoord klikt ga je alsnog akkoord en doe je afstand van het recht ze te mogen afwijzen wegens te laat. Zoiets.

Dat zie ik niet. Dit soort systemen is ontwikkeld voor een verplicht akkoord. En in een situatie waarin je akkoord kunt vragen dit opeisen is tot daar aan toe – contractsvrijheid is in principe een ding, dus afgezien van speciale gevallen zoals de AVG is het mogelijk akkoord af te dwingen als deel van een transactie. Maar als de boel al verkocht en geleverd is dán nog eisen dat iemand op akkoord klikt, is echt onmogelijk. In juridische taal is het eenvoudigste argument dat de op rechtsgevolg gerichte wil ontbrak – men wil verder met die boordcomputer, men wil geen overeenkomst sluiten.

Arnoud

De EULA als dranghek versus de wet als verkeersbord

| AE 11409 | Informatiemaatschappij | 4 reacties

Blog ik vorige week over wat internetrecht is, zeg ik helemaal niets over de EULA. Opmerkelijk, want internet hangt van de EULA’s aan elkaar en die EULA’s bepalen feitelijk hoe het recht uitpakt, bepalen wat rechtens is. Tegelijkertijd is algemeen bekend dat niemand zich wat van EULA’s aantrekt. En dat geeft een raar spanningsveld, met vaak hoog oplopende discussies over hoe bindend of rechtsgeldig die EULA’s nu zijn. Merkwaardig.

De EULA of end-user license agreement komt uit de softwarewereld, waar men op zeker moment van maatwerkcontracten naar standaardsoftware overstapte en daarbij ook standaardlicenties wilde verkopen. “Software like a book”, zoals softwaremaker Borland het ooit noemde. Je kreeg rechten, vaak niet zo veel, en een zwik plichten. De in theorie simpelste vorm was het eindgebruik: je mag de software gebruiken zoals ‘ie is, en daar moet je voor betalen, aansprakelijkheid en updates bla bla, punt.

Parallel daaraan hadden online forums en dergelijke diensten ook steeds vaker behoefte aan voorwaarden. Het oudste voorbeeld dat ik ken, was Compuserve dat te maken kreeg met ongewenste/ongepaste discussies en daarom Terms of Service opstelde met wat je wel en niet mocht bespreken en op welke manier. De structuur was grotendeels hetzelfde. Met de opkomst van online softwarediensten (SaaS) kwamen die twee werelden een beetje bij elkaar, en zag je online zowel EULA’s als TOSsen opduiken. Maar de strekking is ondertussen wel gelijk: dit is wat je mag, dit is wat wij kunnen doen als jouw gedrag ons niet bevalt, aansprakelijkheid blabla juridisch bla. Nee, ik lees ze ook niet in detail meer.

Omdat er eigenlijk geen wetsartikelen zijn die regelen wat je online bij een dienst mag, zijn EULA’s voor dienstverleners van groot belang. Zo kunnen ze zelf de regels stellen, ongeveer zoals café’s huisregels stellen. Daar is op zich niets mis mee; de een wil streng zijn, de ander wat minder, en zolang je het vooraf rustig kunt lezen en beoordelen zou daar weinig mis mee moeten zijn. Bovendien, we hebben toch gewoon regels over onredelijk bezwarende voorwaarden? Vanuit dat perspectief is er lange tijd nooit echt regelgeving ingevoerd om EULA-voorwaarden aan banden te leggen.

Wat wel een essentieel verschil is met dat café met z’n bordje, is dat een EULA niet alleen maar een setje regels is. Vaak is het gekoppeld aan een stuk techniek: een EULA verbiedt het gebruik van ongepast taalgebruik, en een filter checkt je bericht op de aanwezigheid van een of meer ongepaste woorden uit een lijst. En dat heeft gevolgen: woon je dan in Scunthorpe of Lopik dan heb je pech. Bij het café kun je daar -met ongetwijfeld wat gehinnik vanaf de bar- nog wel een punt van maken, en dan is het opgelost.

Meer algemeen kom je dan bij wat Lawrence Lessig code as law noemt: software die de wet wordt. Dat begon als programmeren van de wet: we willen geen gescheld, dus we blokkeren scheldwoorden. Maar gaandeweg werd de code daarmee de wet. En haast per definitie is dat een verschraling, een verlies. Want wetten kennen nuances, uitzonderingen, beroepsmogelijkheden, spitsvondigheden, variaties. Software kent dat niet, het improgrammeren van redelijkheid en billijkheid is tot dusverre weinig succesvol gebleken.

In de praktijk geeft dat vaak frustratie. Waar je denkt dat iets mag (laat ik een filmpje van mijn circusbezoek op internet zetten, de muziek is een citaat) kom je erachter dat de software het niet toestaat (uw muziek werd geclaimd door Universal Music, sorry) én dat je vervolgens helemaal niets kan. Alsof je ergens linksaf wil en een betonblok tegenkomt bij wijze van wegafzetting. Oké, dan mocht je kennelijk die weg niet in maar wat nu als je een noodgeval hebt, een kind met stevige bloeding op de achterbank? Een verbodsbord kun je negeren in een noodgeval, een betonblok niet. Een agent heeft begrip voor dat noodgeval, een AI die je kenteken registreert en de boete uitstuurt niet.

Ik blijf me erover verbazen. Het recht is geprivatiseerd en geautomatiseerd. Maar is het nog wel het recht zoals we dat bedacht hadden?

Arnoud

Windows 10 Enterprise en Office zijn risico voor privacy ambtenaren

| AE 10964 | Ondernemingsvrijheid, Privacy | 29 reacties

Via Windows 10 Enterprise en Microsoft Office verzamelt Microsoft gebruikersgegevens die het bedrijf in de VS opslaat. Dat meldde Tweakers op basis van onderzoek bij het ministerie. Deze opslag geeft een inbreuk op de privacy van de ambtenaren, plus een ieder wiens gegevens door die ambtenaren worden verwerkt. Het onderzoek werd uitgevoerd als een DPIA… Lees verder

Vijf EULA-clausules waar je je koffie van tegen het scherm zult spugen

| AE 10826 | Informatiemaatschappij | 16 reacties

1. Geen iTunes voor jou, Kim Jong-Il Ik begin met een klassieker: Apple verbiedt in de iTunes voorwaarden het gebruik van de software bij de productie of ontwikkeling van massavernietigingswapens: You also agree that you will not use these products for any purposes prohibited by United States law, including, without limitation, the development, design, manufacture… Lees verder

Kan ik onder de AVG mijn Nintendo-landkeuze aanpassen?

| AE 10819 | Ondernemingsvrijheid, Privacy | 19 reacties

Een lezer vroeg me: Recent ben ik verhuisd van Denemarken naar Noorwegen. Na het uitpakken van mijn Nintendo Wii U bleek deze echter niet te werken, omdat het Nintendo Network ID in Denemarken was geregistreerd en volgens de EULA niet overgezet kan worden naar een ander land. Mijn beroep op het correctierecht uit de AVG… Lees verder

Samsung bakt er niets van met algemene voorwaarden voor hun nieuwe oven

| AE 10721 | Informatiemaatschappij | 15 reacties

“To use my oven I have to accept terms and conditions”, klaagde Morten Nielsen recent op Twitter. De hele discussie rond die oven is interessant. Zo blijkt de oven internet op te gaan ook als je dat uitschakelt, de bedienings-app wil toegang tot je contactenlijst en de voorwaarden beperken aansprakelijkheid voor schade nogal. Spannend, want… Lees verder

Wat gebeurt er als een kind een EULA accepteert en dan gaat cheaten?

| AE 10589 | Informatiemaatschappij | 21 reacties

“De gedaagde is een cheater, en niemand houdt van cheaters”, aldus Epic Games in haar rechtszaak tegen een veertienjarige. Dat las ik bij The Verge. De zaak is op zichzelf al opmerkelijk genoeg: de jongen werd aangeklaagd vanwege het op Youtube plaatsen van videos waarin hij laat zien hoe een cheat werkt. Epic had de… Lees verder

Ik wil niet namens mijn werkgever akkoord gaan met Microsoft’s EULA

| AE 9075 | Intellectuele rechten, Ondernemingsvrijheid | 15 reacties

Een lezer vroeg me: Deel van mijn werk is het uitrollen van Office 365. Eén van de installatiestappen is het akkoord gaan met de hele riedel gebruiksvoorwaarden en privacy condities van de firma Microsoft. Dit snap ik niet. Waarom moet dat, als wij al een contract hebben? En hoe voorkom ik dat ik straks privé… Lees verder