Mag de ACM met mystery shoppers internetwinkels gaan testen en domeinnamen laten afsluiten?

| AE 10757 | Regulering | 15 reacties

Met dit wetsvoorstel worden enkele aspecten ter uitvoering van verordening (EU) 2017/2394 (CPC-verordening) geregeld. Met die kandidaat voor saaiste zin ooit opent de internetconsultatie voor het stellen van nieuwe bevoegdheden voor toezichthouders onder het consumentenrecht, zoals onze Autoriteit Consument en Markt (ACM). Het voorstel noemt onder meer een expliciete bevoegdheid om met valse gegevens bestellingen te plaatsen (mystery shopping), maar kent ook nieuwe bevoegdheden om bij ecommerce zijdelings betrokken partijen bevelen te geven om mogelijke oplichting en fraude tegen te gaan. Zoals dus domeinnamen afsluiten.

De CPC-Verordening vereist vanuit Europa dat toezichthouders op het consumentenrecht beschikken over stevige middelen om in te grijpen bij marktpartijen die de boel belazeren. Natuurlijk kunnen ze al langer boetes uitdelen of specifieke bevelen (lasten) geven over hoe het gedrag aan te passen, maar bewijs verzamelen is daarbij nog wel eens een probleem. En ook heeft een last niet perse veel zin als die partij in het buitenland zit, onvindbaar is of onder een nieuwe bv gewoon verder gaat.

De mystery shopping-regeling moet aan dat eerste probleem tegemoet komen. Een opsporingsambtenaar mag onder opgaaf van valse gegevens een bestelling plaatsen, als dat relevant is voor een onderzoek naar marktgedrag. Hij mag daarbij geen uitlokking plegen, bijvoorbeeld door te vragen om levering van iets dat niet normaal in het assortiment zit omdat het in Nederland illegaal is dat te verkopen. Maar stel een webshop verkoopt verboden vuurwerk, dan mag de ambtenaar dat met een nepnaam bestellen om zo vast te stellen dát er verboden vuurwerk wordt verkocht. Op zich vind ik dit niet heel spannend.

Interessanter vind ik de nieuwe noodmaatregelen – want ze gelden alleen als laatste redmiddel – om handhaving van het consumentenrecht mogelijk te maken. Er worden drie maatregelen voorgesteld:

  1. Aanbieders van internetdiensten verplichten een bepaalde waarschuwing te tonen. Dit gaat volgens mij primair over sites als Marktplaats en andere handelsplatforms waar malafide partijen opduiken, niet op internetproviders die je netwerkverkeer moeten manipuleren om malafide shops herkenbaar te maken.
  2. Aanbieders verplichten bepaalde content niet te tonen of functionaliteit ontoegankelijk te maken. Dit is natuurlijk de volgende stap wanneer een waarschuwing niet effectief blijkt.
  3. Domeinregistries zoals SDIN verplichten een domeinnaam buiten gebruik te stellen of op naam van de ACM te zetten (inbeslagname). Dat is natuurlijk al helemaal het grof geschut.

De ACM mag deze bevoegdheden niet uitoefenen tenzij alle andere middelen geen doel treffen én als de rechter-commissaris in Rotterdam er een machtiging voor gegeven heeft. Dat is nog een opmerkelijke, want de R-C gaat over strafrecht en de ACM opereert als onafhankelijke toezichthouder onder het bestuursrecht. En die twee hebben weinig met elkaar te maken, het bestuursrecht is vele malen lomper en krachtiger dan het strafrecht. Ik ben benieuwd hoe dat uit gaat pakken.

Wat vinden jullie? Logisch idee gezien de markt, of zwaar overtrokken maatregelen?

Arnoud

Hoe kan WhatsApp alle Duitse klanten uitzonderen van haar Facebookkoppeling?

| AE 8967 | Privacy, Regulering | 12 reacties

whatsappFacebook moet WhatsApp-data wissen van Duitse privacywaakhond, meldde Tweakers vorige week. De privacytoezichthouder van de deelstaat Hamburg (waar Facebook gevestigd is) heeft bepaald dat de recente Facebook/Whatsapp-koppeling in strijd is met de Duitse Wet bescherming persoonsgegevens. Facebook mag nu geen gegevens van Duitse WhatsApp-gebruikers meer hebben. Maar hoe kan Facebook dat doen, vroegen diverse mensen me.

De reden voor het Duitse stakingsbevel is dat WhatsApp nooit vooraf heeft gevraagd of zij gegevens aan andere bedrijven mag geven. Zoiets mag alleen met toestemming, ook als het gaat om je nieuwe moederbedrijf. En die toestemming heeft WhatsApp noch Facebook geregeld. Dat is dus gewoon een overtreding van de privacywet, de Wbp.

(Facebook kletst dan ook uit haar nek in haar persbericht dat zij zich zou houden aan Europese privacywetgeving. Allereerst omdat die er niet is – de Richtlijn is geen wet maar een instructie om wetten te máken. En ten tweede omdat in heel Europa die wetten hetzelfde zijn, en de Duitse interpretatie correct is.)

Maar goed, stel dat WhatsApp zegt, prima, we houden ons hieraan, we blokkeren dit voor Duitsers. Hoe moet dat dan? Want er is geen paspoortcontrole als je WhatsApp neemt, dus hoe weten zij dan welke accounts Duits zijn?

Er zijn natuurlijk diverse benaderingen te verzinnen. Accounts met Duitse telefoonnummers (kengetal +49) zullen vermoedelijk aan personen uit Duitsland behoren. Je kunt een landinstelling doen via je account. De taalinstelling zegt misschien ook iets (hoewel Oostenrijk en Zwitserland, en wellicht België, daar anders over zullen denken). Wellicht logt WhatsApp de landen waar je bent, het land waar je 90% van de tijd bent zal dan wel ‘jouw’ land zijn. Een optelsom van een aantal van die factoren zou voor mij een prima manier zijn. Maar toegegeven, 100% zekerheid heb je niet.

Is dat een probleem? Voor de wet niet. Wetten bepalen zelden hoe je dingen moeten doen, ze zeggen wat het gewenste eindresultaat is en verlangen van jou dat je dat doet of uitlegt waarom dat niet kan. En de lat bij dat laatste ligt hoog. In het algemeen moet je alles doen dat je redelijkerwijs kan om aan zo’n bevel te voldoen.

Honderd procent zekerheid wordt niet verlangd, en het is dus geen argument dat je die niet kunt geven. Laat maar zien wat je wél kunt doen en hoe goed dat resultaat is.

Arnoud

Wat is beter voor open source: rechtszaken of praten?

| AE 8911 | Intellectuele rechten | 16 reacties

gpl-sans-plombeOh oh, Linus Torvalds in de bocht in een discussie bij de Linuxfoundation over GPL handhaving. Dan weet je het wel. De stelling was: “we can all decide to give up on the GPL, or we can enforce it in Courts.” Torvalds, zeer karakteristiek: “this arguing for lawyering has become a nasty festering disease, and the SFC and Bradley Kuhn has been the Typhoid Mary spreading the disease.” De juristerij als builenpest, oké dan. Heeft hij een bult, eh punt?

Handhaving van de GPL bij de rechter komt zelden voor. Afgezien van een paar simpele kortgedingzaken in Duitsland is er niemand die daarover echt procedeert. Daardoor ontstaat er enige onzekerheid in de markt: hoe ver gaat die GPL nou, wat mag er wel of niet. Maar het omgekeerde komt ook voor: geen rechtszaken, dan geloof ik het wel en ga ik gewoon doen wat ik wil totdat ze piepen.

Dat piepen, dat gebeurt regelmatig. De Linux-mensen, maar ook vele anderen, steken een hoop energie in het aanspreken van bedrijven en instellingen die de GPL niet netjes naleven. Informeel en achter de schermen, joh er gaat iets niet helemaal lekker, mag ik je een tip geven? En vrijwel altijd heeft dat effect, zij het dat het enige tijd kan duren. (Ik spreek uit persoonlijke ervaring vanaf de ‘andere kant’ van die tips.)

Zie je een overtreding van de GPL op jouw code, dan kún je natuurlijk ook een blafbrief sturen en daarna naar de rechter. Dat heeft nog niemand gedaan, mogelijk vanwege de kosten en het gedoe. Ook de onbekende status van de GPL speelt een rol – ga je wel winnen, zegt de rechter niet bijvoorbeeld iets doms straks over afgeleide werken waarmee de GPL tandeloos zou worden.

Torvalds:

But quite apart from the risk of loss in a court, there real risk is something that happens whether you win or lose, and in fact whether you go to court or just threaten: the loss of community, and in particular exactly the kind of community that can (and does) help. You lose your friends.

En dat is natuurlijk waar. Als je iemand aanklaagt, verstoor je de relatie. Want welk bedrijf je ook dagvaardt, de reactie zal eigenlijk altijd hetzelfde zijn: de luiken gaan dicht, een externe advocaat doet de correspondentie en alle banden met het OSS-project in kwestie gaan de ijskast in want alles kan tegen je worden gebruikt. Van zo’n klap herstel je niet makkelijk. En als je dat als community doet, loop je ook de kans dat ánderen gaan denken, die club daar moeten we van wegblijven want die klagen je aan, raar spul dat open source. Dus het is zeker niet gezegd dat het een goede move is.

Natuurlijk, het gevolg van de Linus-aanpak is wel dat sommige gebruikers wegkomen met licentieschendingen. Dat voelt oneerlijk; doe jij veel moeite netjes compliant te zijn, gaat je buurman je de pas afsnijden met in feite gejatte code. En dan zegt die Torvalds “heb geduld, we spreken ze nog wel een keer en over een jaar of twee draaien ze vast bij”. Logisch dat je daar juridisch van gaat dreigen. Maar dan kom ik weer bij het juridische punt: hoe groot acht je de kans dat je gaat winnen, en wat heeft jouw rechtszaak dan voor gevolgen voor de community?

Arnoud

Gastpost: Cameratoezicht goed bekeken

| AE 6841 | Security | 18 reacties

Omdat ik met vakantie ben deze week een aantal bijdragen van vaste bezoekers. Vandaag IT-er Sander van Loosbroek over cameratoezicht vandaag de dag. Het gebruik van beveiligingscamera’s door onze overheid is aan duidelijke regels gebonden. Voor burgers zijn er striktere regels van toepassing maar een gebrek aan kennis over de technische mogelijkheden van camera’s bij… Lees verder

Wat gaan we nou eens doen met die cookiewet?

| AE 6488 | Innovatie, Privacy | 37 reacties

Nederlandse websites schenden massaal de privacywetgeving door informatie over surf- en klikgedrag van bezoekers, zonder hun toestemming, door te geven aan advertentiebedrijven, meldde NRC gisteren. Grote woorden: het gaat zo te lezen om de inzet van Google Analytics en dergelijke tools, niet om drones die bij de bezoeker in de slaapkamer het gedrag livestreamen naar… Lees verder

In strijd met het goed fatsoen – maar wiens fatsoen?

| AE 4724 | Informatiemaatschappij | 25 reacties

Vandaag weer even een filosofisch iets, en dat mag want ik ben jarig. Ik las een intrigerend artikel in de NY Times: Impermium, a Silicon Valley company that helps Web sites deal with unwanted reader comments, has begun marketing technology that identifies “all kinds of harmful content — such as violence, racism, flagrant profanity, and… Lees verder

Gebruikers Google Analytics schenden Nederlandse privacywet

| AE 5901 | Informatiemaatschappij | 23 reacties

Gebruikers van Google Analytics hebben volgens de wet een aparte bewerkersovereenkomst nodig, maar Google weigert dit, zo las ik bij Webwereld. In een onderzoek van de privacytoezichthouder naar persoonsgegevensverwerkende smart TV’s kwam ook voorbij dat je zo’n overeenkomst moet afsluiten als je met Google Analytics werkt. Niemand doet dat, sterker nog niemand kán dat doen… Lees verder