Privacyprogramma AVROTROS offline gehaald vanwege privacyschending

fail-faal-it-project-altijd-kat.jpgJaja, dat is hilarisch: het AVROTROS-programma De Privacytest, dat vorige week maandagavond werd uitgezonden op NPO 3, blijkt zelf de privacy van nietsvermoedende Instagram-gebruikers te hebben geschonden. Men wilde met een quiz aandacht vragen voor onverwachte privacykwesties, en daarbij werden foto’s van rijbewijzen en sleutels van Instagram geplukt om het punt te maken dat die makkelijk op Instagram staan. Maar eh ja, dan zet je wel iemands privé op teevee. Mag dat?

Het spreekt voor zich dat het op zijn zachtst gezegd niet handig is om je rijbewijs of identiteitskaart op internet te zetten. Zeker niet als je je bsn erin laat staan. (Over een foto van je creditcard op internet zetten heb ik het al helemaal niet.) Dus aandacht vragen daarvoor – doe het niet, in vredesnaam doe het niet – dat zie ik wel.

Ook bij sleutels (“Eindelijk, mijn nieuwe huis! #sleuteloverdracht”) speelt dat, en dat is nóg belangrijker want weinig mensen beseffen dat je een sleutel van zo’n foto kunt namaken met een 3D printer.

Mag je dan als televisieprogramma een paar voorbeelden laten zien? Ik meen van wel: het punt “dit komt vaak voor” is niet goed te maken als je vervolgens zegt “ik heb er alleen geen beeld van”. Dus ik denk dat auteursrechtelijk het wel goed zit met die foto’s. De bron had misschien wel moeten worden genoemd, maar in combinatie met de privacyschending is dat misschien niet zo handig. “Bron bij de redactie bekend” zou dan beter zijn, of “Bron ivm privacy verborgen”.

Wel hadden die foto’s natuurlijk geblurd moeten zijn vanwege de privacy. Het punt blijft dan duidelijk, dit is eenvoudig te vinden. Maar je hoeft dan niet dubbelop de privacy nog eens te schenden.

Arnoud

Wat doe je tegen een zwartelijstmanipulerende stalker?

blacklist-blackboard-bord-lijst.jpgEen lezer vroeg me:

Ik ben webdesigner en zit met een probleem. Ik heb een heel vervelend ex-vriendje die regelmatig in het hackerscircuit te vinden is. Hij vindt het de laatste paar maanden leuk om elke dag mijn domein of IP-adres op allerlei blacklists te zetten, waardoor ik geen van mijn klanten kan mailen. Ik kan dat wel oplossen maar dan moet ik elke dag weer met die zwartelijstbeheerders overleggen, maar het kost me behoorlijk veel klanten en veel frustratie. Wat kan ik doen?

Dit is een hele moeilijke. Juridisch zou er wel wat aan te doen zijn: dit riekt voor mij naar stalking – structureel iemand lastigvallen. Ook kun je het gooien op een oneerlijke handelspraktijk, of gewoon op de maatschappelijke zorgvuldigheid – dit moet niet mogen, dus mag het niet. Het grote punt zal zijn dat er bewijs moet komen dat hij het is. En hoewel het voor de hand ligt, is er echt meer nodig dan “wie behalve hij zou dat doen”. Anders kan hij eenvoudig ontkennen en houdt het snel op.

Andere oplossingen weet ik zo even niet. Vaak is er met de blacklist-beheerders wel afspraken te maken. Zij moeten toch ook zien dat het steeds hetzelfde IP-adres is en dat de vraagsteller steeds met een goede uitleg komt. Na hoe veel keer zeg je dan, we negeren deze blacklistmelding.

Hebben jullie nog suggesties?

Arnoud

Het einde van de power user, of waarom je Windows wél en Facebook níet mag tweaken

removeBij Buzzfeed las ik een intrigerend artikel: het einde van de power user. Daarin het relaas van de populaire Facebookextensie Social Fixer, die op zeker moment de nek werd omgedraaid door het sociale netwerk wegens “overtreding van de gebruiksvoorwaarden”. U weet wel, die voorwaarden die op elk moment kunnen wijzigen zonder dat dat iemand hoeft te worden verteld. Waarbij je niet eens in bezwaar kunt (of hooguit tegen een chatscript kunt aanklagen). Het is merkwaardig: willen bedrijven geen powerusers meer? Dat zijn toch vaak de grootste fans.

Veel software heeft ook eigen aanpasbaarheid: je kunt plugins installeren, of met een scriptingtaal eigen programma’s of functies maken. Zo heb ik een knopje dat mijn algemene voorwaarden aan een mail hangt (handig voor offertes) en een knopje dat een afbeelding in LibreOffice Presenter automatisch centreert en op maximale grootte weergeeft. Erg handig.

En kan de software het niet, dan zijn er vaak wel dingen van anderen die het wél mogelijk maken. Ik gebruik bijvoorbeeld Autohotkey, waarmee ik aan zo ongeveer alles een toetsenbordcombinatie kan hangen plus alles dat ik wil scripten en toegankelijk maken. Van het snel oproepen van een Notepad waar meteen het klembord in geplakt wordt (om snel te editten) tot het opruimen van mijn bureaublad op zondagmiddag.

Wil ik echter op Facebook iets simpels doen als mijn timeline op chronologische volgorde, dan móet je toch een partij moeilijk doen binnen de gewone interface. Plus na een week zet Facebook het gewoon weer terug naar je topverhalen. Argh. Gelukkig zijn ook dáár opties voor, zoals dat Social Fixer of F.B.Purity (dat ikzelf gebruik). Alleen, dat mag dus niet. Kennelijk, want voornoemd chatscript komt niet verder dan “het spijt me” of “dit is ons bedrijfsbeleid”.

Een juridisch argument voor het onderscheid heb ik niet. “Omdat het kan”, lijkt ook de conclusie uit het Buzzfeed-artikel te zijn. Als je een stuk software uitbrengt, heb je er gewoon geen controle over. Mensen kunnen scripts en dingen draaien die de werking aanpassen. Dat tegenhouden is zo goed als onmogelijk, tenzij je met zware DRM gaat werken of héél diep in het OS gaat ingrijpen. En dat kost een hoop developer-tijd, die je ook nuttiger kunt besteden (hoewel het bij spellen wél nuttig kan zijn, denk aan anticheatsoftware). Bij een online dienst kun je wél meer, het draait immers altijd op jouw server dus je kunt zo iets toevoegen dat de extensie of het script hindert, of een detector installeren die vervolgens de gebruiker bant.

Hier zit een diepere gedachte achter die niet per se des Sinterklaas is. En ik krijg daardoor steeds meer de overtuiging dat het tijd wordt eens wat wetten te maken speciaal voor online dienstverlening. We hadden in 2011 de zwartelijstweek, items die wat mij betreft verboden algemene voorwaarden mogen worden. En daar zou voor mij ook onder mogen vallen het verbieden van extensies of uitbreidingen die objectief gezien het genot voor de eindgebruiker ten goede komen (een beetje zoals een verhuurder niet mag eisen dat objectieve verbeteringen aan het pand moeten worden gesloopt bij einde huur). Wat jullie?

Arnoud

Mijn kind is een hacker, wat nu?

halt-strafEen lezer vroeg me:

Mijn zoon zit in groep 8 van de basisschool en is al een paar jaar heel intensief bezig met computers. Hij is er echt goed in, maar haalt daardoor ook dingen uit die hem in de problemen brengen. Hij hackt het wachtwoord van de docent en zet rare plaatjes in een presentatie, bijvoorbeeld. En nu zitten vriendjes hem te pushen om daarmee door te gaan, bv. door Facebook van klasgenootjes te hacken. Wanneer wordt dat strafbaar, en wat kan ik doen?

Raden of achterhalen van wachtwoorden is eigenlijk altijd strafbaar als computervredebreuk. Deze jongen komt dus echt in problemen terecht als hij hiermee doorgaat. Als hij nog geen twaalf is, dan is hij nu niet strafbaar. Vanaf twaalf jaar begint het strafrecht te lopen, en tot je achttiende val je dan onder het jeugdstrafrecht.

Meestal wordt er bij wetsovertredingen door minderjarigen geprobeerd deze bij bureau HALT een alternatieve straf te laten uitvoeren. Alleen, de regels rond HALT zijn niet geschreven voor computercriminaliteit. Naar HALT mag je (op basis van vrijwilligheid) bij wat ik maar even vandalisme en kleine criminaliteit (winkeldiefstal of oplichting tot € 150 euro) noem. Computervredebreuk staat niet in het Besluit aanwijzing Halt-feiten (ex art. 77e Strafrecht).

Er is een restartikel voor “feiten van geringe ernst” met weinig schade waarbij “een pedagogische benadering” passend is. Met toestemming van de officier van justitie mag dan alsnog een Halt-aanpak worden gekozen. Halt noemt zelf hacken bij digitaal pesten als voorbeeld uit die restcategorie.

Ik heb alleen geen idee wat de gepaste “pedagogische benadering” is bij een twaalfjarige zuivere hacker. Pesten via Hyveshacken is één ding, het smartboard van de school automatisch New Kids Turbo laten vertonen iets heel anders. (En inbreken in het cijfersysteem van je middelbare school nóg weer iets anders.) Wat zouden jullie aanraden? Doe hem op een hackersclub?

Arnoud

De mythe van de superhacker

Beveiligingsexpert Bruce Schneier vond een paper over The Myth of the Superuser, de mythe van de superhacker.

Veel regels over internet (van beveiligingsmaatregelen tot wetgeving) lijkt gemaakt te worden uit angst voor de superhacker. Die komt overal in, die kan alles, dus alleen rigoreuze maatregelen kunnen ons nog redden.

The experts in computer security and Internet law have failed to deliver us from fear, resulting in overbroad prohibitions, harms to civil liberties, wasted law enforcement resources, and misallocated economic investment. This Article urges policymakers and partisans to stop using tropes of fear; calls for better empirical work on the probability of online harm; and proposes an anti-Precautionary Principle, a presumption against new laws designed to stop the Superuser.

In de praktijk blijken vooral de script kiddies en verzenders van spam de problemen te veroorzaken.

Arnoud