Franse privacytoezichthouder biedt oplossing voor gebruik Google Analytics

Websites in Frankrijk kunnen met Google Analytics blijven werken, maar moeten dan wel van een goed geconfigureerde proxy gebruikmaken, zo las ik bij Security.nl. We weten al een tijdje dat Google Analytics best problematisch is onder de AVG, omdat het structureel persoonsgegevens overbrengt naar Amerika. Tijd om ermee te stoppen dus, maar voor wie nog een paar jaar geld wil betalen om zijn hoofd in het zand te steken, is er nu een juridisch-technisch correcte oplossing.

Sinds het Schrems II-arrest weten we dat persoonsgegevens overbrengen naar de VS erg problematisch is, omdat de VS fundamenteel niet dezelfde soort bescherming van persoonsgegevens wil bieden. Het Privacy Shield is daarmee geen goede basis om zomaar aan te mogen nemen dat je een Amerikaanse clouddienst (zoals Google’s Analyticsdienst) mag inzetten.

Ook helpt het niet als je de verschillende pseudonimisering-opties instelt, zoals we in Nederland gewend zijn te doen op advies van onze Autoriteit Persoonsgegevens. Ook dan komen er nog tot personen te herleiden gegevens bij Google, die ze waarschijnlijk combineert met andere gegevens – of in ieder geval ze opslaat in de VS. En alleen dat al is een probleem.

“Hoewel Google verschillende maatregelen heeft opgesteld om dataverzending naar andere landen te reguleren, zijn deze niet voldoende om de toegang door Amerikaanse inlichtingendiensten te beschermen”, schreef de Franse toezichthouder in februari nog. Onze AP meldde toen dat het gebruik van Analytics ‘mogelijk binnenkort niet meer is toegestaan’, hoewel dat binnenkort dus wat rekkelijk moet worden opgevat.

De CNIL is technisch gaan brainstormen en komt nu met de oplossing van een anonimiserende proxy. Kort gezegd, alle Analyticsverkeer wordt geforceerd naar een eigen server gestuurd waar werkelijk álles wordt gestript. En pas daarna gaat het naar Google, zodat je toch mooie statistiekjes en plaatjes kunt krijgen in je dashboard. (De waarde van deze gegevens voor marketing laat ik buiten beschouwing).

Dat álles is echt nogal veel:

  • the absence of transfer of the IP address to the servers of the measurement tool;
  • the replacement of the user identifier by the proxy server;
  • the deletion of the referring site information external to the site;
  • the deletion of any parameter contained in the URLs collected (e.g. UTMs and URL parameters allowing the internal routing of the site);
  • the reprocessing of information that can participate in the generation of a fingerprint , such as ‘user agents’, to remove the rarest configurations that can lead to re-identification;
  • the absence of any collection of cross-site identifiers; and
  • the deletion of any other data that may lead to re-identification.
De proxy die dit doet, moet fysiek in Europa staan en in eigendom én beheer zijn bij een Europese partij. En je moet periodiek controleren dat je écht geen indirect identificerende gegevens doorstuurt. Want de CNIL ziet ook risico’s bij situaties dat je IP-adressen weglaat, getuige de verwijzingen naar user-agent strings en andere parameters waarmee je alsnog server-side fingerprints kunt samenstellen.

Mocht u nu denken, wat een enorm gedoe, wat gaat dat wel niet kosten: ja precies. Dus vraag meteen een offerte aan uw webbouwer voor het integreren van een alternatieve oplossing zoals Piwik of Matomo.

Meelezende marketingmensen en andere Analyticslovers: waarom Google Analytics?

Arnoud

VSCO klaagt concurrent PicsArt aan voor nagemaakte fotofilters

De fotobewerkingsapp VSCO heeft een rechtszaak aangespannen tegen concurrent PicsArt, las ik bij Nu.nl. De dienst PicsArt zou negentien filters van VSCO hebben gekopieerd na te hebben ingelogd bij de concurrent, om zo te leren hoe die filters werken. Vervolgens werden de filters aangeprezen als uniek en speciaal voor Picsart ontwikkeld. Dat roept natuurlijk de vraag op “mag dat”, en dan meer in het bijzonder omdat je je kunt afvragen of er überhaupt wel auteursrecht op een fotofilter rust. Maar VSCO heeft twee andere argumenten in stelling: schending van de gebruiksvoorwaarden, en vooral intrigerend: oneerlijke concurrentie.

De term ‘filter’ is in de online fotografie een zeer brede term, maar zo te lezen gaat het om automatische filters om je foto’s op een bepaalde manier mooier te maken. Bijvoorbeeld een combinatie van kleurbijstellingen, ander contrast of toegevoegde ruis. Een goed filter kan een foto zeer aantrekkelijk maken, reden dus om dat als je “intellectueel eigendom” te zien zoals veel bedrijven dat zeggen. Maar juridisch bestaat dat niet – je moet laten zien dat je een auteursrecht hebt, en dat vergt een intellectuele prestatie in het verzinnen van die instellingen. Ik vraag me af of je dat argument rond krijgt met een filter.

VSCO heeft een slim argument gevonden met die gebruiksvoorwaarden. Als werknemers van PicsArt een account bij ze hebben gemaakt om rond te kijken hoe die filters werken (op welke waarde staat het contrast, en kun je ook met de verzadiging spelen) dan zijn ze daarbij namens de werkgever – PicsArt dus – akkoord gegaan met de gebruiksvoorwaarden. En daarin staat natuurlijk dat je

agree not to sell, license, rent, modify, distribute, copy, reproduce, transmit, publicly display, publicly perform, publish, adapt, edit or create derivative works from any VSCO Content.

Waarbij die term ‘content’ dan zo breed is dat ook de filters eronder vallen. En ja dat kan, contractueel toezeggen iets niet te doen dat zonder contract compleet legaal is. (Behalve op Koningsdag.) Dus dat kan nog interessant worden.

Nog slimmer vond ik het argument van de oneerlijke concurrentie: die nagemaakte filters werden aangeprezen als “exclusive” en “only for [PicsArt] Gold users.” Die termen gaan natuurlijk niet op als de filters exact hetzelfde bij de concurrent aanwezig zijn. Wij zouden dat een oneerlijke handelsprestatie noemen, met een onjuiste mededeling jezelf mooier maken ten koste van je concurrent. Dat zouden meer bedrijven eens moeten doen.

Arnoud

Amerikaans hotel krijgt boete voor blokkeren wifi-hotspots

wifi-hotel.pngHet Marriott Hotel in Nashville heeft een schikking van 600.000 dollar getroffen met de Amerikaanse telecomwaakhond FCC voor het verstoren van de persoonlijke wifi-hotspots van klanten, meldde Nu.nl onlangs. Met deze truc wilde men voorkomen dat huurders van conferentiezalen eigen tijdelijke netwerken zouden aanleggen tegen lagere prijzen dan het hotelnetwerk. Maar de verstoring trof ook privénetwerken zoals een hotspot op je telefoon. Wat voor mij de vraag oproept: waarom mág dat eigenlijk niet, stel dat het een Nederlands hotel was?

In de VS hebben ze een specifiek artikel dat hierover gaat (Section 333 of the Communications Act):

No person shall willfully or maliciously interfere with or cause interference to any radio communications of any station licensed or authorized by or under this Act or operated by the United States Government.

Een dergelijk artikel specifiek over storingen in radio-uitzendingen verzorgen, ken ik niet. We zullen dus op zoek moeten naar een generieker artikel en zien hoe dat ‘past’ op deze vorm van verstoring.

Het ging hier niet om een wifi-jammer of ander radiostation dat gewoon de frequenties voor 802.11-radioverkeer blokkeert. Hoewel die frequentiebanden vrij gebruikt mogen worden, gelden voor apparatuur wel eisen zoals dat deze niet te hard of ongecontroleerd mogen zenden. En apparatuur die stoorverkeer genereert, zou dus tegen dit verbod aanlopen.

De apparatuur van het hotel gebruikte een specifiekere techniek, deauth geheten. Kort gezegd stuurt de apparatuur een commando dat randapparatuur meldt dat ze niet meer geauthenticeerd (deauthenticated) zijn en of ze zich opnieuw willen aanmelden bij het netwerk. En dat dan zo veel keer per seconde, zodat je effectief het netwerk niet meer op kunt. Dan wil je van ellende wel op het Marriott wifi uiteindelijk.

Een dergelijke aanval zou ik strafbaar vinden als denial-of-service aanval, art. 138b Strafrecht:

Met gevangenisstraf van ten hoogste een jaar of geldboete van de vierde categorie wordt gestraft hij die opzettelijk en wederrechtelijk de toegang tot of het gebruik van een geautomatiseerd werk belemmert door daaraan gegevens aan te bieden of toe te zenden.

(Hee Arnoud, maar één jaar cel, dat was toch veel hoger? Nee, alleen bij zware aanvallen die infrastructuur van algemeen nut verstoren.)

Ik zit een klein beetje met dat “daaraan”, dat impliceert dat het alleen opgaat als je één specifiek apparaat op de korrel neemt. En deze aanval kan ook ongericht worden uitgevoerd, oftewel op alle apparaten op het netwerk tegelijk. Maar ik denk dat daaraan (haha) wel een mouw te passen is: iets broadcasten dat bij apparaat X aankomt en mede bedoeld is voor apparaat X, lijkt me wel “daaraan toezenden”.

Weet iemand eigenlijk hoe je detecteert dát men zo’n apparaat gebruikt, ter onderscheid van dat het gewoon een brak netwerk is (zoals in menig hotel)? En wat doe je ertegen?

Arnoud

Hoogste EU Hof verbiedt p2p-filterplicht voor isp’s, maar hoe ver gaat dit?

scarlet-laat-je-niet-filteren.pngHet Europees Hof van Justitie bepaalde gisteren dat een copyrightfilterplicht voor providers in strijd is met de Europese e-commerce wetgeving en de grondrechten. Het arrest verklaart dat het generieke filter op al het peer-to-peer verkeer dat Scarlet moest toepassen van de Sabam (de Belgische Buma) niet legaal is. Maar wat betekent dit nu voor andere zaken, zoals de BREIN/XS4All/Ziggo rechtszaak?

In de Belgische zaak had Sabam geëist dat Scarlet een auteursrechtenfilter zou implementeren dat moest voorkomen dat haar klanten nog beschermde werken illegaal kon uitwisselen. De rechter in eerste instantie wees de eis toe, maar Scarlet tekende hoger beroep aan met (naast het feit dat het filter niet werkend te krijgen was) de stelling dat het filter in strijd was met de grondrechten en Europese wetgeving. Daar geeft het Europese Hof ze nu gelijk in: generieke filters blokkeren ook legitieme inhoud, houden geen rekening met auteursrechtelijke uitzonderingen (zoals parodie of citeren) en vereisen structureel meelezen met alle communicatie, wat een inbreuk op de privacy oplevert.

Maar is daarmee iedere mogelijkheid voor een auteursrechtenfilter van de baan? Nee, want het Hof zegt niet dat filteren nooit en te nimmer mag. Het Hof zegt dat een generiek filter dat preventief alle klanten filtert, geen beperking in de tijd heeft én door de provider betaald moet worden niet mag. Dit omdat met zo’n lomp filter niet is voldaan aan

het vereiste dat een juist evenwicht wordt verzekerd tussen enerzijds het intellectuele-eigendomsrecht en anderzijds de vrijheid van ondernemerschap, het recht op bescherming van persoonsgegevens en de vrijheid om informatie te ontvangen of te verstrekken.

Daarmee blijft wel degelijk de deur open voor een meer fijnbesnaard filter dat wél dit juiste evenwicht weet te bereiken. Bij Webwereld meldt BREIN-advocaat Joris van Manen dan ook meteen dat

Brein niet [vraagt] om een algemene filtermaatregel van al het in en uitgaande P2P verkeer, maar om een blokkade van één specifieke, evident illegale website, die in Nederland al drie keer veroordeeld [waarvan twee keer bij verstek, tss, AE] is en aan die verboden geen gehoor geeft.

Eerder had dit hof in de L’Oréal/eBay-zaak al bepaald dat eBay verplicht moet filteren op advertenties waarvan gebleken is dat ze inbreukmakend zijn. Dus niet generiek “blokkeer alle L’Oréalproductadvertenties” maar “blokkeer specifiek deze advertentie, ook voor de toekomst”:

[de rechter kan] gelasten om maatregelen te treffen die niet alleen bijdragen tot het doen eindigen van de door de gebruikers van die marktplaats gepleegde inbreuken op die rechten, maar ook tot het voorkomen van nieuwe inbreuken van die aard. Deze bevelen moeten doeltreffend, evenredig en afschrikkend zijn en mogen geen belemmeringen voor het legitiem handelsverkeer scheppen.

Er lijkt me dus wel degelijk (enige) ruimte om een P2P filter te verzinnen dat niet tegen het verbod van het Hof aanloopt. Veel niet; de bezwaren waar het Hof de beslissing op baseert zijn fundamenteel. Hoge kosten, ieders verkeer monitoren en ongenuanceerd álle auteursrechteninbreuken najagen, dat kun je niet vragen. Maar lage kosten, gericht monitoren en alleen specifiek bij reeds vastgestelde inbreuken in actie komen: denkbaar.

Kortom, het is afwachten wat de rechtbank in BREIN/XS4All/Ziggo zegt, daarna wat het Gerechtshof in diezelfde zaak gaat zeggen (want hoe dan ook komt er hoger beroep in die zaak) en dáárna (hopelijk) wat het Europese Hof gaat zeggen over het door BREIN bepleite antipiratebayfilter.

Arnoud

Blokkeren van VoIP door je ISP

poort-gate-port-blokkade-blokkeren-voip.pngEen lezer wilde graag via Voice-over-IP (VoIP) bellen, maar hij kreeg het maar niet aan de praat. Na een hoop gedoe en geprobeer bleek er niets mis te zijn met zijn PC: zijn provider had simpelweg de benodigde poorten geblokkeerd, zodat het VoIP-verkeer het internet nooit bereikte. U voelt hem al aankomen: mag dat zomaar?

Er zijn geen specifieke wetten of regels over het mogen blokkeren van poorten voor internetverkeer, of over het mogen blokkeren van bepaalde internetapplicaties. Dan moet je dus terugvallen op de algemene wettelijke regels. In dit geval wordt dat het contractenrecht, aangezien dit blokkeren in feite neerkomt op een beperking van het gebruik van je contractueel afgenomen toegang tot internet.

De juridische vraag is dus: kan de leverancier eenzijdig besluiten dat een bepaalde poort of bepaalde dienst niet geleverd hoeft te worden?

Als het in het aanbod gemeld is, dan mag het natuurlijk. Als je kunt weten dat je niet kunt VoIP-bellen bij een bepaaldeprovider, en je meldt je toch aan, dan zit je aan die beperking vast. Maar ik ken maar weinig providers die expliciet vooraf melden dat bepaalde zaken gefilterd zullen worden (eigenlijk alleen de christelijke provider Solcon, waar het ook nog eens optioneel is). In Europees verband wordt gewerkt aan een pakket regels over telecommunicatie, waar mogelijk ook regels over dit onderwerp in komen. Het zal nog wel even duren voordat dit erdoor is echter.

Als er niets over gemeld is, dan is er een lacune in het contract. Was dit nu afgesproken of niet? In zo’n situatie hebben we sinds 1981 de zogeheten Haviltex-norm. In het Haviltex-arrest bepaalde de Hoge Raad dat het bij een lacune in het contract aankomt

op de zin die partijen in de gegeven omstandigheden over en weer redelijkerwijs aan deze bepalingen mochten toekennen en op hetgeen zij te dien aanzien redelijkerwijs van elkaar mochten verwachten.

Oftewel: is het redelijk dat je mocht verwachten dat je kon VoIP-bellen? Zo ja, dan mag de provider het niet zomaar blokkeren want dat is dan wanprestatie. Maar als de provider geen rekening hoefde te houden met VoIP-ende klanten, dan is er niets mis mee als hij het blokkeert.

Eerlijk gezegd heb ik geen idee hoe je die verwachting in het algemeen zou kunnen bepalen. Het enige wat in me opkomt, is dat als een provider zelf al “bellen via internet” als betaalde dienst aanbiedt, het niet redelijk is om te verwachten dat je via de gewone internetverbinding ook nog eens kunt VoIP-bellen. Maar dat komt in feite neer op: een provider hoeft concurrerende diensten niet toe te laten op zijn netwerk. En dat staat weer op nogal gespannen voet met netwerkneutraliteit. Of, als het om grote providers gaat, met de regels over vrije mededinging, want concurrentje pesten is dan niet toegestaan.

Arnoud

Reactie op ‘Vijf redenen waarom Mininova wel/niet moet filteren’

you-wouldnt-download-a-car-torrent-mininova.pngBij Webwereld publiceerde Peter Olsthoorn afgelopen zaterdag vijf redenen waarom Mininova wel of niet zou moeten filteren. De torrentzoekmachine werd in 2008 aangeklaagd door stichting Brein wegens het “systematisch en structureel gebruik maken van ongeautoriseerde bestanden”. Mininova hanteert een Notice en Takedown systeem, maar experimenteert nu met een systeem dat geautomatiseerd torrent-bestanden kan verwijderen.

Dit systeem, gelanceerd als proef op 6 mei werkt met content recognition. Het idee hierachter is dat de bestanden die in een torrent vermeld staan, via audio of video fingerprinting herkend worden. Dit is sterker dan alleen maar naar de bestandsnaam of een hash van het bestand kijken, omdat bestanden dezelfde fingerprint houden wanneer ze opnieuw gecomprimeerd of verpakt worden. Blijkt uit de herkenning dat het gaat om illegaal aangeboden bestanden, dan zal Mininova de torrent (de verwijzing daarnaar) verwijderen.

Peter presenteert vier argumenten plus een afsluiter, die ik voor het laatst bewaar:

  1. Voor: Mininova zal wel moeten. Als provider heeft ze de plicht zaken te verwijderen nadat ze kennis heeft van het onrechtmatige karakter. En als je kunt filteren moet je filteren, aldus deze stelling. “Anders zou het in de rechtszaak aangespannen door Brein binnenkort geen schijn van kans hebben.”

    Dat is nu precies waar de rechtszaak over gaat, zou ik zeggen. Mininova heeft zeker een notice en takedown-verplichting, maar die geldt achteraf en op basis van individuele klachten. Er is juist geen wettelijke bepaling die zegt dat je vooraf moet filteren.

    Ik zou juist bang zijn dat het vrijwillig adopteren van dit filter ertoe leidt dat straks iedere tussenpersoon zo’n preventief filter moet gaan bouwen. Of zou het een truc zijn? Bouw het filter, constateer dat het niet werkt en gebruik dat als keihard argument?

  2. Tegen: de Auteurswet is uit 1912 en daarmee niet geschikt voor wat er op internet gebeurt.

    De wet op zich kan prima op internet worden toegepast. Het gaat vooral om de uitgangspunten achter de Auteurswet. Die zijn achterhaald. En daarmee krijg je rare uitkomsten – zoals dus dat je als tussenpersoon aansprakelijk zou zijn voor wat mensen uploaden.

  3. Voor: “Het is mooi geweest met het pesten van de muziek- en filmindustrie.” Zonder effectief auteursrecht geen creatieve industrie, en daarmee geen nieuwe films.
  4. Tegen: Het voorgaande argument is minstens zo achterhaald als het auteursrecht zelf. Die industrie verdient geld zat, daar zal Mininova echt geen afbreuk aan doen.

    Ik reageer maar even op beiden tegelijk. Ik geloof er niet in dat er geen creatieve uitingen meer komen als er geen ouderwets auteursrecht meer is. Natuurlijk, de huidige industrie (platen- en filmmaatschappijen) zullen in grote problemen komen, maar dat kwamen de stokers ook toen de elektrische trein opkwam. Jammer voor de stokers, en evenzo jammer voor de huidige industrie. Innoveer of word irrelevant.

  5. Voor/Tegen: “Mininova zelf zouden we wellicht nog moeten verdedigen, ware het niet dat de gebruikers een stel parasieten zijn, geen klik met de muis waard.”

    Inderdaad, Mininova krijgt er aardig van langs van mensen die zelf niets doen, en dat is jammer. Waarom alleen kankeren op Mininova dat het probeert en niet meteen opgeeft, en niet zelf bv. gaan lobbyen voor een beter auteursrecht of doneren voor de juridische strijd?

De zitting van de Mininova-zaak is trouwens woensdag 20 mei. Zie ik jullie daar?

(En ik heb erg veel zin om een paar t-shirts te drukken met de rechtsboven getoonde afbeelding in het groot. Maar waar vind ik een voldoende high-res versie van dat plaatje?)

Arnoud