Zelden zo hard gelachen om een juridische analyse: het geval van het cryptoschip Satoshi

Bron: The Guardian, Pete Reynolds

Dit is toch wel de grappigste juridische analyse ooit: zeerechtdeskundige Samira Nadkani fakkelt het concept van het libertarische cryptocurrency-schip Satoshi helemaal af, maar dan ook echt hélemaal. Het is dan ook een té mooi voorbeeld van hoe de tech bros uit Silicon Valley denken de maatschappij opnieuw uit te kunnen vinden op hun eigen manier, zonder al die legacy code in de vorm van oude wetgeving en regeringen. De grap is dan met name dat juristen dit al véél langer doen dan programmeurs, en dus concepten als “we gaan met een schip op de blauwe oceaan onze eigen maatschappij zijn” al in 1609 hebben geadresseerd (laatste commit 1982).

Het verhaal staat in The Guardian te lezen, maar de kern is dat een stel cryptolibertariërs hun eigen maatschappij willen beginnen en alles opnieuw opzetten, maar op land daarvoor geen plek kunnen vinden. Dan maar de zee op, met een autarkisch cruiseschip. Je krijgt dan hele communities van schepen, die met elkaar samen optrekken als dat in hun belang is, of juist splitsen als men uit elkaar groeit. Zo krijg je een flexibele maatschappij, die groeit naar behoeftes. En we stemmen op de blockchain en betalen met crypto en natuurlijk hebben we niets te maken met die weary giants of flesh and steel. Ja, gaan we doen.

Dat werd dus een oud P&O cruiseschip dat de MS Satoshi werd genoemd, met pandemiekorting van 90% gekocht. Daarna op Reddit plannen maken, wat niet helemaal ging zoals verwacht omdat mensen maar bleven zeuren over praktische details zoals je eigen keuken in je cabine of welke huisdieren je mee mag nemen (juridische cringe, niet voor VvE-survivors). Toch doorgezet, schip opgeknapt en naar Panama waar men hoopte vlak buiten de kust te mogen gaan liggen, de status van schip eraf en dan als permanent drijvend platform zonder juridische verplichtingen te blijven dobberen en crypto minen.

Dat ging mis, onder meer omdat Panama eiste dat het afval niet in de kustwateren gestort werd. En oh ja, je bent gewoon een schip en houd je aan onze regels. Zoals een verzekering hebben, wat niet lukte omdat geen verzekeraar zich eraan wilde wagen.

The Ocean Builders’ great freedom project, whose intrinsic purpose was to offer an escape from oppressive rules and bureaucracy, was being hobbled by oppressive rules and bureaucracy. As Elwartowski would reflect a few months later on Reddit: “A cruise ship is not very good for people who want to be free.”
Je ziet overal de teleurstelling en verbazing van deze mensen: dat dat niet zomaar kan, je eigen schip inrichten zoals je wilt en vrij zijn op de oceaan, zonder rare regeltjes. Zoals Nadkani dan zegt (tweets geconcateneerd:
All of this is so utterly beyond basic common sense. For these SeaPods to be beyond formal territorial legal systems (and therefore not infringing on government right to resources), they would have to be further than 200 nautical miles from any shore. So probably deep sea. And one of the big issues you have in deep sea is: 1. Most materials we construct with aren’t suited for salt water which will tend to wear them down. 2. Deep sea constructions are SUPER TRICKY and very carefully regulated already cause people tend to die. 3. It’s hard?

“High-speed wireless internet would come from land” YOU CANNOT GET HIGH SPEED WIRELESS INTERNET FROM LAND IN THE DEEP SEA. YOU UTTER BEANBAG. THERE IS AN ENTIRE INDUSTRY WORKING TO PROVIDE SATELLITE INTERNET TO SHIPS AND IT’S A GENUINE ISSUE FOR SEAFARERS, I AM JUST.

“It would be a remote worker’s regulatory paradise.” Except no, because you’re on a vessel STILL in territorial waters (and so subject to regulation) and even if you went to deep sea, you’re on a flagged ship (subject to regulations).

De enige iets verder gaande hack die heel misschien werkt, is als je permanent op de diepe zee blijft liggen (dus 200 nautische mijlen van alle landgrenzen ter wereld). Dan heb je alleen het probleem dat niemand daar wil komen werken (en de vakbonden van scheepspersoneel heel hard zullen tegenwerken bij zij die dat wel willen), dat je internet vrij slecht zal zijn (misschien met Musks satellieten, maar dan nog), dat je zoet water, voedsel en brandstof regelmatig aangevuld moeten worden (en wie wil steeds naar je toe varen). En vooral dat je er niet makkelijk meer af kunt, omdat allerlei landen gaan vinden dat je hun wet overtreedt en alvast arrestatie- of uitleveringsbevelen klaarleggen.

Arnoud

Hoe werkt recht dat altijd buigzaam is? #dimorefi

internetrechtVandaag is mijn laatste vakantiedag, en toevallig trof ik in mijn inbox een ietwat filosofische vraag over het recht. Eens zien waar we uitkomen.

Een lezer vroeg me:

Dit zit me al een tijdje dwars. Ik lees al een paar jaar je blog, en elke keer als ik denk dat ik snap hoe het recht werkt, blijkt het weer net anders te zitten op grond van een of andere vage regel. Neem die “redelijkheid en billijkheid”: daar kun je alles wel mee rechtbreien of juist verbieden, lijkt het. En als dat niet lukt, dan zeg je gewoon dat het maatschappelijk onzorgvuldig is of tegen de goede zeden. Dat werkt toch helemaal niet op die manier? Hoe kun je nou ooit zekerheid krijgen binnen het recht als het recht altijd te verbuigen is?

Ik herken de frustratie; voor mij is dit hét onderscheid tussen IT-denken en juridisch denken. Of misschien wel alfa- en beta-denken. Waar beta-regels hard en duidelijk zijn, zijn alfa-regels zacht en buigzaam. (Ik moet nu denken aan Bul Super: “Recht is iets kroms dat verbogen is.”)

Dit is voor het recht een feature. Het recht reguleert de samenleving, en de samenleving is niet hard en duidelijk. Er zijn geen wiskundige formules, natuurwetten of axioma’s die het menselijk gedrag duiden. Alle uitspraken over mens en maatschappij zijn dus noodzakelijkerwijs benaderingen, vuistregels.

Wetgeving, en daarvan afgeleid het recht, is daarmee een poging om zo goed mogelijke vuistregels te geven. Ze zijn opgezet als een groots raamwerk dat alles probeert te regelen, geformuleerd als harde regels die duidelijke lijnen zetten. Dat kan de indruk geven dat het harde regels zijn, maar dat is dus niet zo.

Dat de regels soms verbogen moeten worden, is vanuit juridisch perspectief nodig. Soms kom je er gewoon niet uit met de regels. Een situatie is niet voorzien, er zijn hele bijzondere omstandigheden of de regels waren gewoon niet bedoeld voor dit geval. En dan pakken dingen héél onrechtvaardig uit. Je hebt dan een noodrem nodig, of een ventiel zo je wilt, om de uitkomst te corrigeren. Want regulering moet uiteindelijk wel werken, en dat betekent je soms aanpassen aan de realiteit in plaats van de realiteit dwingen in het hokje van de regels.

Een nobel streven, maar echt voorspelbaar is het niet. Neem de matigingsbevoegdheid van de rechter: die mag een schadevergoeding of boete omlaag doen als de billijkheid dat kennelijk eist, zo zegt de wet. In moderne taal: dit bedrag vind ik echt bizar, dat gaan we even niet doen. Ook al staat in het contract keurig een formule hoe je aan die boete komt of is de schade prima onderbouwd. Gewoon, omdat het moet.

In het algemeen kom je op heel weinig plekken harde regels tegen in de wet. De Wegenverkeerswet kent de meeste volgens mij, en dat is vooral omdat handhaving anders gewoon te ingewikkeld wordt. Het zou ahem interessant worden als de Wvw zou zeggen “Rij zoals je wil maar breng niemand in gevaar”. Maar ook daar zijn er uitzonderingen mogelijk: je mag te hard rijden als je met een medisch spoedgeval naar het ziekenhuis rijdt, bijvoorbeeld.

Dit soort vaagheden wreekt zich bij internetdingen, waar regels wel hard en duidelijk moeten zijn omdat ze in software gebouwd moeten worden. Je kunt geen nieuws-scraper bouwen die “het redelijkerwijs benodigd aantal” zinnen overneemt van krantensites, er moet een getal komen. “Onwelvoeglijk taalgebruik” is niet te filteren, maak alsjeblieft een woordenlijst. En wat je dan dus krijgt is een benadering in formulevorm van een vuistregel die juist niet als formule opgezet was. Met automatisch als gevolg dat je de flexibiliteit kwijtraakt die het recht nu net ingebouwd had.

Tegelijk snap ik dat het knap ingewikkeld is om iets te bouwen dat wél die benadering realiseert die het recht ingebouwd heeft. En je moet toch iets. Misschien zijn lerende netwerken (zoals spamfilters) een oplossing. Voer een systeem genoeg testinvoer en het kan op zeker moment zelf fuzzy onderscheid maken. Maar ook dat blijft beperkt, want zo’n systeem zal niet perse dezelfde uitkomst geven als een rechter in een geval dat beiden nog nooit gezien hebben.

Dus nee, het recht is niet rechtlijnig en er zal altijd ruimte zijn waar vooraf weinig zinnigs over te zeggen is. Dit is een feature waar je mee om moet kunnen gaan als ICT-jurist. Daarbinnen vuistregels en benaderingen formuleren die harde uitkomsten leveren is prima, zolang je maar altijd die juridische exception handler hebt voor de rare gevallen.

Arnoud

Wat is internet dan eigenlijk? #VrijMoReFi

internetrechtKun je eigenlijk wel wat zinnigs zeggen over internetrecht (zoals ik vorige week probeerde) als je niet weet wat het internet is? Het lijkt vrij triviaal, iedereen heeft internet en zit op internet. Maar probeer het eens. Ik waag een poging, want wellicht biedt dat een bottom-up definitie van het internetrecht.

Oké, met een zin lukt mij ook niet direct, maar dan zou het ook wel een erg korte blog worden. Tijdens mijn studie informatica (1993, toen bits nog van hout waren) was het 7-lagen ISO/OSI model de theoretische basis voor netwerken. Het idee was dat je een netwerk op diverse lagen van abstractie kunt bekijken. Aan het ene uiterste heb je de fysieke kabels die van A naar B gaan, en aan de andere kant heb je de toepassing die daar overheen gaat. Daar zitten dan nog vijf lagen tussen, die allemaal op hun eigen manier modelleren hoe data van A naar B gaat.

Het Internetmodel is een afgeleide van het ISO/OSI-model. Er zijn vier abstractielagen om naar internet als geheel te kijken:

  • Linklaag: op dit niveau gaat het om individuele verbindingen (links) tussen computers en hoe er op het laagste niveau data kan worden uitgewisseld. De bekende ethernetstekker en -kabels zitten op dit niveau.
  • Internetlaag: op dit niveau wordt er over individuele netwerken data uitgewisseld (inter-network, inderdaad). Hier wordt geabstraheerd van individuele netwerken en onderliggende hardware. Specifiek gaat het hier over de IP-pakketjes die van computer met IP-adres A naar computer met IP-adres B moeten gaan.
  • Transportlaag: op dit niveau kunnen computers (clients en servers of peer-to-peer) met elkaar communiceren en data uitwisselen. Hier wordt geabstraheerd van de pakketjes die op de internetlaag worden uitgewisseld. Hier stroomt data van punt naar punt. Het bekendste protocol op dit niveau is TCP, dat samen met het onderliggende IP-protocol een synoniem gaf voor het internet als transportmedium.
  • Applicatielaag: op dit niveau krijgt de data betekenis. Er worden diensten (applicaties) gerealiseerd waar mensen (of apparaten) gebruik van kunnen maken. De bekendste dienst is het World-wide Web, maar ook e-mail, chat, streaming video en dergelijke zijn applicaties.

Op het linklaag-niveau bekeken is internet dus niet meer dan een grote verzameling verbindingen. Kabeltje hier, kabeltje daar, draadloosje zus en satellietsignaal zo. Daar valt juridisch niet zo heel veel over te zeggen denk ik. Veel verder dan interconnectie (mag ik met mijn kabel in jouw router) of patenten op standaarden kom ik eigenlijk niet. Niet oninteressant overigens, zeker dat van die patenten: interoperabiliteit is een essentieel onderdeel van informatie-uitwisseling immers.

Komen we bij de internetlaag. IP-pakketjes zijn de basis van wat ik gevoelsmatig “het internet” zou noemen. Alles komt uiteindelijk neer op pakketjes die van A naar B moeten. Routeren dus. En dan moet ik gelijk denken aan een oud gezegde: The internet treats censorship as damage and routes around it. Dat heeft te maken met een oude mythe over internet: het zou ontwikkeld zijn om een nucleaire aanval te weerstaan. Het werkt met decentrale coördinatie van pakketgebaseerde communicatie. Iedere knoop in het netwerk beslist zelf waar ze welk pakketje heenstuurt. Er is geen centrale autoriteit die de route voorschrijft

Dat internet tegen een nucleaire aanval bestand is, is een hardnekkige mythe. Het internet is in de praktijk niet eens in staat een strategisch ingezette eekhoorn of scheepsanker te weerstaan. Maar dat decentrale karakter is ergens wel een heel belangrijke factor in de rechtsvragen die ontstaan rond internet. Want als er geen centrale autoriteit is, wie spreek je dan aan als er iets tegen de wet blijkt te zijn? Hoe dwing je af dat ‘men’ een website blokkeert als er geen ‘men’ is? Wie klaag je aan als iedereen iets doorgeeft dat niet mag? En hoezo “niet mag”, wiens recht bepaalt dat?

Deze discussies zijn onder juristen bekend als de governance-vraagstukken (Lodder: beheersvragen rond de techniek van het internet: protocollen, standaarden, domeinnamen). Wie is de baas op internet? Dit is een fundamentele vraag, die een niveau lager niet bestaat. Een netwerkkabel ligt in een land en is eigendom van iemand. Die iemand is gewoon aan te spreken door de autoriteiten in dat land. Op IP-niveau wordt ook geabstraheerd van fysieke locatie.

Minstens zo belangrijk echter is filteren en blokkeren door private partijen. Netneutraliteit, heet dat. Mag een partij die IP-pakketjes routeert, besluiten dat niet (of maar beperkt) te doen tenzij er extra wordt betaald? Is het erg dat een internetprovider alleen familievriendelijk internet aanbiedt, gamesnelheden afknijpt tenzij men het premiumabonnement neemt of Netflix alleen in het premiumabonnement opneemt? Die beslissingen kunnen vérgaande invloed hebben op de toegang tot internet, en dat schijnt een grondrecht te zijn. Daarom zie ik netneutraliteit als een van de meest fundamentele uitdagingen in het internetrecht.

Nog een niveautje hoger komen we in de transportlaag. Hier wordt tussen computers gecommuniceerd. Mijn client legt verbinding met de mailserver van Ziggo en verstuurt een mail. Ik word deel van een peer-to-peer netwerk en ahem wissel data uit met een peer ergens in een ver buitenland. Netneutraliteit speelt ook hier: op dit niveau kun je specifieke diensten blokkeren. Geen voice-over-ip of alleen de eigen DNS-server.

En dan zijn we uitgekomen bij de applicatielaag. Het World-Wide Web, maar ook bijvoorbeeld Spotify, online games of wat je maar kunt bedenken. Ja, verzin daar maar eens een alomvattend juridisch vraagstuk voor. Ik kom niet verder dan het model van Dommering waar ik eerder over blogde. Op dit abstractieniveau hebben we in feite te maken met de implementatie van de informatiesamenleving. En die bestaat uit een krachtenveld tussen vier krachten: de uitingsvrijheid, de privacy, de intellectuele eigendom en de ondernemingsvrijheid. De juridische conflicten ontstaan wanneer deze met elkaar botsen. Auteursrechten handhaven bij uploaders vereist een privacy-inbreuk (NAW-gegevens opvragen), en de huisregels van Facebook beperken de vrijheid van meningsuiting maar kunnen worden gerechtvaardigd vanuit hun ondernemingsvrijheid.

Ik heb het gevoel dat die laag verder uitgesplitst moet worden. Bij de discussie vorige week kwam bijvoorbeeld aan de orde het netwerkeffect (Shapiro & Varian): een dienst wordt exponentieel waardevoller naarmate er meer mensen op zitten. Dat effect zorgt ervoor dat mensen niet zomaar weggaan, want iedereen zit er toch? Dit geeft macht aan de exploitanten van het netwerk. Een klusje voor het mededingingsrecht misschien.

Code as law, moet ik dan ook noemen. Het idee dat de implementatie de wetten maakt. In een café is het verboden te schelden, maar het kán wel. Op een blog waar dat verbod geldt, kán het niet want je bericht komt niet voorbij de zelflerende moderatorbot (of het domme filter dat per abuis ook bezoekers aan het Engelse Scunthorpe voor scheldkanonneerders uitmaakt). Daar worden dus wetten verzonnen door private partijen, én keihard gehandhaafd middels “computer says no”. Daar zou het recht ook wat mee moeten doen.

Ook is er vanuit code, vanuit techniek een continue push van vernieuwing. Men verzint aan de lopende band nieuwe diensten, en die kunnen dwars door wetten heen lopen. Is Uber een innovatie in het vervoer of een snorder met een app? En die innovaties gaan ook nog eens zó snel dat de juridische discussie pas op gang komt als de innovatie al breed ingeburgerd is (hoi Youtube, Bittorent of Facebook). Dat lijkt ook iets internetspecifieks te zijn.

Eerder noemde Lodder nog democratisering: “Ieder individu kan de hele wereld bereiken. Traditionele reguleringsmodellen gingen uit van 1-op-1 communicatie, of 1-op-n (klassieke media zoals krant, TV), maar nu dus n-op-m.” Zeer waar maar hoe werkt het door? Hier wil ik binnenkort nog eens op terugkomen.

Hebben jullie nog aanvullingen of verfijningen?

Arnoud

Een permaban voor een betalende speler, mag dat?

you-are-banned-permabanEen lezer vroeg me:

Bij een spel waar ik al jaren speel (tegen betaling) ontdekte ik recent een beveiligingsfout op de server. Hierdoor kon ik snel een heleboel kredieten vergaren en zo mijn voertuig versterken. Echter, gisteren is het beheer hier achter gekomen en ze hebben me nu een permaban opgelegd. Nu ben ik dus niet alleen die kredieten kwijt, maar ook al mijn investeringen én ik krijg het restant van mijn jaarabonnement niet terugbetaald. Mag dat zomaar?

In principe lijkt het me gerechtvaardigd dat men een of andere vorm van straf oplegt als een speler de spelregels schendt. Als iemand bij het voetbal een overtreding van de spelregels pleegt, kan hij het veld uitgestuurd worden. Bij ernstige overtredingen kan hij zelfs een paar wedstrijden op de bank zitten. Dat die speler lidmaatschap betaalt aan de club, doet daar niets aan af. Een reglementaire ban is legaal.

De overtreding zou wel uit de spelregels moeten blijken. Slim opereren binnen de spelregels of bij een ongereguleerd gebied lijkt me niet iets waar je mensen voor behoort te bannen.

Lastiger wordt het bij permabans. Dan wordt in feite de gehele dienstverlening gestaakt, en dat is toch iets ernstigers dan uit een lopend spel geschopt worden of drie wedstrijden op de bank moeten zitten. Permabans bestaan ook in het echte leven, maar zijn daar een zeer zwaar middel. In de gaming-industrie niet. Volgens mij worden er per jaar meer mensen gepermaband uit online spellen dan er voetballers sinds de invoering van het betaald voetbal permanent geschorst zijn.

Mag Dat®? Nou ja, niet zomaar. Allereerst moet er wel ergens een spelvoorwaarde zijn die rechtvaardigt dat je nóóit meer met deze speler zaken wilt doen. Je kunt mensen moeilijk schorsen zonder dat je ergens hebt staan waarom. Heb je geen spelregel dan moet het wel extreem fout zijn wat de speler deed, zeg maar de “ben jij wel goed bij je harses”-toets.

Het is niet zo simpel als “Exploitant mag op ieder moment iedereen permabannen” in je TOS of EULA zetten. Zo’n botte bijl is namelijk in strijd met de wet. Op de zwarte lijst voor algemene voorwaarden staat namelijk:

Bij een overeenkomst tussen een [bedrijf] en een [consument] wordt als onredelijk bezwarend aangemerkt een in de algemene voorwaarden voorkomend beding […] dat de [consument] geheel en onvoorwaardelijk het recht ontneemt de door [het bedrijf] toegezegde prestatie op te eisen.

Een dergelijke permaban-clausule ontneemt je geheel en onvoorwaardelijk het recht om toegang tot het spel te eisen. Immers, als je dat eist, dan zegt de exploitant “permaban, doei” en dan sta je met lege handen. Dat kan dus niet.

Een permabanclausule moet dus ingevuld zijn met enige nuance. Bijvoorbeeld: als u bij herhaling zware overtredingen begaat of andere spelers lastigvalt, dan wordt u er permanent uitgeschopt. Dan heb je een escalatie én een waarschuwing ingebouwd. Dat lijkt me wel redelijk. Er zou wel iets van een discussie of hoger beroep mogelijk moeten zijn. Ook bedingen als “Het beheer beslist wanneer u overlast veroorzaakt” en vooral een onredelijke uitleg daarvan, zijn namelijk juridisch dubieus. Op diezelfde zwarte lijst staat namelijk:

[Het is verboden je TOS zo te schrijven] dat de bevoegdheid van de wederpartij om bewijs te leveren uitsluit of beperkt, of dat de uit de wet voortvloeiende verdeling van de bewijslast ten nadele van de wederpartij wijzigt,

Als je zegt “wij beslissen en u heeft pech, dan sluit je dus de mogelijkheid van tegenbewijs door de wederpartij uit. Dat mag dus niet.

Krijg je je geld terug bij een permaban? Dat lijkt me dan weer niet redelijk. Je beging immers een zware overtreding. Dat je dan je in-game spullen kwijt bent, voelt als een logisch gevolg daarvan. Ook al heb je daar veel in geïnvesteerd. Ik zou dit wel expliciet in de TOS vastleggen, maar ik zie er geen regels tegen.

Voor het restant van je abonnementsgeld ligt dat volgens mij anders. Wat je in feite doet als je “permaban, doei” zegt, is de overeenkomst beëindigen of zelfs ontbinden. In dat geval is er te veel betaald, en ik denk dan ook dat dat gewoon echt moet worden terugbetaald.

In de praktijk werkt dat anders. Ik zie bij allerlei verenigingen dat in de statuten staat “bij schorsing geen restitutie” maar dat gaat over lidmaatschapsgelden, en dat voelt net wat anders dan betaalde abonnementsprijzen. Een lid is wat anders dan een klant. Dus daarom twijfel ik of je je klanten ook mag opzeggen en het geld mag houden als ze zich misdragen.

Arnoud

De kroniek van het internetrecht, editie 2012 en 2013

Normaal publiceer ik elk jaar een kroniek van het internetrecht, bij wijze van jaaroverzicht. Maar jemig wat is het druk zeg de laatste tijd. En daardoor is de editie 2012 er gewoon niet meer van gekomen. Maar nu had ik dan eindelijk toch wél weer even tijd, dus ik heb nu een dubbeldikke editie uitgebracht. Veel leesplezier!

Lees de volledige kroniek van het internetrecht, 2012 en 2013.

Arnoud

Open draad: Wat is internetrecht nu eigenlijk?

tros-wondere-wereld-chriet-titulaer-computer-mac-internet.jpgDeze week ben ik met vakantie (en morgen weer terug). Vandaag geen gastpost maar een wat filosofischer aanzet tot een open discussie: wát is internetrecht, en wat moeten we ermee?

Deze blog heet “Internetrecht”, dus alles wat ik hier beschrijf valt onder dat kopje. Zou je denken. Want wat is dan de definitie? Ik kom er niet uit. Het doet me denken aan de discussie rond de term cybercrime: wanneer is iets cybercrime, zodra het met een computer wordt gedaan? Dan is iemand doodslaan met een laptop ook cybercrime. Dat kan niet waar zijn. Iets logischer lijkt me “wanneer het zonder computer (redelijkerwijs) niet mogelijk is”: inbreken in een database is dan wél cybercrime maar iemand doodslaan met een laptop niet. Maar die “redelijkerwijs” maakt het meteen fuzzy: is kinderporno via Usenet nu cybercrime, en hoe zit het met afluisteren van een Skypegesprek? Is het gebruik van die technologie doorslaggevend of toevallig?

Een mooiere term vind ik ‘informatierecht’. Het informatierecht bestudeert de juridische beginselen die de randvoorwaarden vormen voor een vrije informatiemaatschappij, zoals Egbert Dommering het mooi omschreef (PDF) in 2000. De informatiesamenleving is een samenleving waarin ‘informatie’ een van de belangrijkste productiefactoren is, zo opent zijn standaardwerk Informatierecht. In die samenleving is dienstverlening de centrale factor, waarbij dienstverleners een hoog kennisniveau hebben. Kennis is geld.

Er kan zelfs sprake zijn van een technocratie: de samenleving is ingericht op de beheersing en controle van technologie (een geheel van overeenkomstige technische toepassingen). Die beheersing en controle doen me gelijk denken aan Lessig’s uitspraak “Code is Law”: systemen worden zo gebouwd dat bepaalde dingen wel en niet mogen, en hoe die systemen werken is dan vervolgens de wet. Nee, sorry, je mag geen grappige home video uploaden want daar horen we een nummer van Prince op de achtergrond, auteursrecht hè. Dat werk.

In de informatiesamenleving signaleerde Dommering drie grondrechten, drie krachten die elkaar beïnvloeden: de informatievrijheid, de privacy en het auteursrecht/IE. Bij informatievrijheid gaat het om informatie mogen vergaren en verspreiden, terwijl privacy en auteursrecht juist proberen verspreiding aan banden te leggen om andere belangen te verdedigen. Privacy dient dan het belang van de burger, en auteursrecht het belang van de informatieproducent (ik hoor nu meteen mensen boos hun toetsenbord grijpen).

Ik denk dat er nog een vierde bij hoort: de ondernemersvrijheid, het grondrecht om producten en diensten aan te bieden tegen betaling (of gratis, tegen advertenties dus). Internet is immers niet zomaar een netwerk, het is uiteindelijk een kluwen aan bedrijven en instellingen die er dingen mee doen en daarmee geld willen erdienen. Die informatiediensten, kennisdiensten van Dommering. Gek genoeg lijkt ‘ondernemersvrijheid’ geen grondrecht te zijn, het staat althans niet in de basiswerken over dit onderwerp.

Maar, zoals Hugenholtz in een noot bij het Sabam-arrest al signaleerde, het speelt wel een belangrijke rol in de praktijk – zoals in die Sabamzaak, waar internetprovider Scarlet niet hoefde te filteren omdat dat “een ernstige beperking van de vrijheid van ondernemerschap van de betrokken internetprovider” zou opleveren.

Die vier krachten leveren een spanningsveld op waar je zo ongeveer elk probleem binnen het internetrecht in kunt plaatsen. Het hele internetauteursrechthandhavingsverhaal werd vaak in de context van informatievrijheid gegoten: de free flow of information wordt gehinderd, we moeten toch vrijelijk kunnen praten over nieuwe films en daarin fragmentjes opnemen, of we mogen toch zeker wel linken naar een torrent? Maar met die argumenten krijg je alleen in uitzonderlijke gevallen dingen rechtgepraat. In feite is dit een ondernemersvrijheidsding: je moet informatie kunnen verkopen, informatie is de brandstof van internet. En het auteursrecht knijpt die informatie héél erg af, creëert monopolisten in de leveringsketen en beperkt daarmee de vrijheid van de afnemers/verkopers. (Voordat ik weer naar m’n hoofd krijg een cardcarryingpiratenpartijfundamentalist te zijn: ‘beperking’ is hier een neutrale term.)

Ander voorbeeld: Informatievrijheid kan botsen met de ondernemersvrijheid, en dat uit zich bijvoorbeeld in het onderwerp netneutraliteit. De gebruiker wil toegang tot alles, de ondernemer wil veel verdienen en dat gaat beter met tolpoortjes en dure hogesnelheidslijnen. Een heel andere plek waar dit kan botsen is de spontaan muterende algemene voorwaarden: ik zit op een platform, de voorwaarden veranderen en dan moet ik maar ophoepelen als me dat niet bevalt. Is dát wel fair?

Privacy versus ondernemersvrijheid: welke persoonsgegevens mag een ondernemer opeisen om een gratis dienst te leveren, en wat moet hij daarmee mogen kunnen doen? En zo kan ik nog wel even doorgaan. Je kunt per onderwerp basisprincipes formuleren, en in de onderlinge botsingen (van twee, maar ook van drie rechten) een kader neerzetten om die principes tegen elkaar af te wegen.

Helemaal tevreden ben ik nog niet. Met name past governance niet goed in het plaatje: politiek gezag en middelen om zaken en problemen van de maatschappij te beheren. Heel veel governance op internet komt van private partijen, en hoewel je daar niet altijd vrolijk van wordt (hoi, we veranderen even alle algemene voorwaarden) word je van overheidsgovernance óók niet per se vrolijk (the internet is for porn, meneer Cameron). Maar governance is niet echt een kracht, een grondrecht. Het reguleert hoe grondrechten uitgeoefend kunnen en mogen worden. En daar zit dat code as law ook weer voor iets tussen, hoewel dat vaak juist vanuit private partijen komt (we bouwen een auteursrechtfilter of we beoordelen zelf welke cartoonborsten aanstootgevend zijn). Dus hmm.

Wat denken jullie? Snijdt dit hout, deze verdeling? Welke botsingen binnen deze krachten gaan het belangrijkste worden, wat mist er en hoe zou het eigenlijk moeten?

Of voel je vrij andere internetrechtelijke onderwerpen aan te snijden, het is niet voor niets een open draad. Ik ben héél benieuwd!

Arnoud

Gastpost: Het Nederlandse Cyberleger

cyberleger.jpgVanwege mijn vakantie blog ik zelf niet, maar ik ben blij diverse gastbloggers te mogen verwelkomen. Vandaag Homme Bitter over het Nederlandse cyberleger.

Nederland heeft geen cyberleger. Dat is als 1e wereldland en vooraanstaand lid van de NATO natuurlijk iets wat zo snel mogelijk opgelost moet worden. Daarom is er door de minister van defensie op 27 juni een presentatie gehouden van de plannen om ook Nederland mee te laten tellen. Deze presentatie heeft hij gegeven op de Nederlandse Defensie Academie in Breda tijdens een symposium over dit onderwerp. Ik ben daar als gast aanwezig geweest en wil graag mijn ervaringen delen.

Er wordt door defensie hoog ingezet. “Cyber” wordt gezien als een nieuw slagveld. Ter land, ter zee, in de lucht, in de ruimte en nu ook in de virtuele ruimte, kan je oorlog voeren.

Nu we een heel nieuw potentieel slagveld hebben, moet er ook een leger worden opgericht wat toegerust is om op dat slagveld zijn/haar mannetje te staan. Behalve de technische invulling daarvan, zal dat ook betekenen dat er juridisch een en ander geregeld moet worden. De laatste echt serieuze verdragen die internationaal bepalen wat wel en niet bij een oorlog hoort, komen nog uit Genève en dateren in beginsel uit 1949. Er zijn weliswaar toevoegingen aan gedaan in 1977 en 2005 maar die gaan nog steeds niet over wat je nou wel en niet mag bij cyberoorlogsvoering. Sowieso, wat mag het leger wel wat de politie of de AIVD niet mag en omgekeerd?

Een deel van het symposium waarop de presentatie van het cyberleger werd gedaan, ging over deze vraag. Wat moet het leger voor taak in gaan vullen, hoe zit dat nu wettelijk geregeld en wat moet er eventueel aan aanvullende wetgeving komen om die taak beter uit te kunnen voeren, of om die taak mogelijk te maken. In principe heeft het leger twee taken. Het verdedigen van de internationale rechtsorde en het voorkomen van maatschappij-ontwrichtende gebeurtenissen. Dit is niet de letterlijke tekst uit de wet, maar kort door de bocht komt het daar wel op neer. Als je dat naar het digitale domein vertaalt, zou dat in de praktijk betekenen dat het leger ingezet zou kunnen worden voor Internationale “vredesmissies” waarbij zowel verdedigend als aanvallend, samen met bondgenoten, acties worden uitgevoerd. Wat ook heel goed zou kunnen, is dat het leger net als bij het plaatsen van een veldhospitaal bij een ziekenhuis waar de operatiekamer besmet is, ook een “veldcomputercentrum” kan plaatsen bij zo’n zelfde ziekenhuis waar een virus de ICT plat heeft gelegd.

Wat gaan soldaten doen in conventionele oorlogsvoering, nu er een extra slagveld bij is gekomen? Gaan ze de infrastructuur van de vijand DDoSen? Gaan ze inbreken op de computers en de gegevens verminken of wissen? Gaan ze op Internet propaganda neerzetten die de bevolking van de vijand in opstand moet laten komen? Of gaan ze civiele doelen aanvallen, waardoor de brandweer en ambulances in het vijandelijke land niet meer kunnen functioneren? Het Internet daar platleggen? Worden het subtiele, doelgerichte aanvallen, al dan niet zonder dat de dader te achterhalen is? Gaan er ook cybersoldaten mee op patrouille om buitgemaakte datadragers forensisch te onderzoeken op strategische informatie? Dit is allemaal nog niet bekend en het is ook nog niet duidelijk hoe dat wettelijk allemaal geregeld is. Wat mag wel, wat mag niet, wat valt onder de huidige Internationale wetgeving en waar moet er nog wetgeving voor bij komen?

Een ander deel van wat er nu bij komt voor het leger, heeft met de militaire tegenhanger van de AIVD, de MIVD te maken. Die twee werken al nauw samen, maar omdat de AIVD zich meer met terrorisme en economische spionage bezig houdt, zal het militaire spioneren, pardon, het voorkomen van andermans militaire spioneren op de computernetwerken van Nederland en de bondgenoten op het bordje van de MIVD terecht komen. Sommigen binnen defensie vinden het lastig om dat te kunnen doen zonder dat er meer rechten komen voor de MIVD en andere inlichtingendiensten. De vergelijking wordt getrokken tussen radioontvangst en Internetontvangst. Alles wat in de ether langs komt, mag de MIVD uit de lucht plukken en opnemen, decoderen en wat ze er ook maar mee van plan zijn. Als ze heel Internet zouden kunnen “ontvangen” en er systemen op kunnen zetten zoals Echelon, of zoals FaceBook z’n gebruikers afluistert om pedofielen mee te vangen, zou dat hun werk een stuk makkelijker maken.

Niet iedereen binnen defensie heeft deze mening en het is uiteindelijk aan de wetgever om te bepalen wat de grens gaat worden. Het leger mag qua radio-ontvangst op zich ook niet veel meer dan wat iedere burger nu mag. Er is in principe vrije radioontvangst en de enige uitzondering die daar nu voor is, is het descramblen van C2000 en het hebben van een radarverklikker in je auto. De reden daarvoor is veel discussie over geweest, maar het komt er op neer dat je de politie zou hinderen in hun werk en je zou eens plotseling remmen als je radarverklikker afgaat, dat is gevaarlijk weggedrag. Of dat valide redenen zijn of niet kan je nog twijfels over hebben, maar het is een uitzondering op wat sowieso al mag en hij is beargumenteerd. Gewone burgers mogen niet zomaar iedereens Internet of telefonie afluisteren, dus waarom de overheid dat ineens wel zou mogen met als argument “voor onze veiligheid” is mij niet helemaal duidelijk geworden. Het is in ieder geval een discussiepunt en we kunnen verwachten dat dit opnieuw in de politiek ter sprake gaat komen in het kader van dit nieuwe legeronderdeel.

Het is duidelijk dat de Nederlandse overheid wel inziet dat ze dit niet in hun eentje moeten doen en dat het leger dit ook niet moet doen zonder met de politie en de AIVD samen te werken. Het onderscheid tussen terrorisme, criminaliteit, spionage, een ongeorganiseerde opstand zoals van Anonymous en een frontale aanval is vaak maar lastig en meestal pas achteraf te bepalen. Hoe je daar nou invulling aan moet geven en in hoe je je bondgenoten moet betrekken is nog niet helemaal duidelijk, dus we gaan in de toekomst vast nog interessante dingen over dit onderwerp te zien krijgen.

Ik vind zelf dat we in alle redelijkheid moeten gaan kijken naar hoe we dit als land aan gaan pakken. Dat er mensen met foute bedoelingen zijn die ICT gebruiken als middel om hun doel te bereiken is niet te vermijden. We zullen daar als samenleving en dus ook via onze overheid aandacht aan moeten besteden. Welke rechten en plichten we onze overheid daarin geven, is iets waar we zorgvuldig over na moeten denken. We moeten met zijn allen het doel niet uit het oog verliezen en onze vrijheid weg geven door de verkeerde middelen te kiezen om haar te beschermen.

Homme Bitter is consultant bij Sogeti. Hij is in zijn dagelijkse werk betrokken bij beveiliging van ICT-systemen en de problemen die daar mee samen gaan op juridisch vlak.

Gastpost: De verplichte referentie op LinkedIn

linkedin-recommendation-referentie.pngOmdat ik met vakantie ben, geef ik de komende weken diverse gastbloggers de ruimte. Vandaag een ook voor mij verrassend stukje arbeidsrecht van HR-adviseur Edwin van Erkelens: kun je afdwingen dat je werkgever je een referentie geeft op LinkedIn?

De werkgever is verplicht bij het einde van de arbeidsovereenkomst de werknemer op diens verzoek een getuigschrift uit te reiken, zo staat in de wet. In mijn HR-carrière heb ik dit altijd een ietwat archaïsch wetsartikel gevonden. Voor huishoudelijk personeel in de 19e eeuw was een getuigschrift belangrijk. Zonder positief getuigschrift kon de werknemer onmogelijk een vergelijkbare functie bij een andere werkgever krijgen. Om aan dit oneigenlijke machtsmiddel een einde te maken is dit wetsartikel in het leven geroepen. Een getuigschrift was hiermee geen gunst meer die (bij uitzondering) werd verleend, maar een recht dat kon worden afgedwongen. Hier komt bij dat je geen negatief getuigschrift mag afgeven.

In mijn loopbaan heb ik het bij uitzondering meegemaakt dat een werknemer om een getuigschrift vroeg. Ik moet de eerste kandidaat nog tegen komen die mij in de sollicitatiebrief getuigschriften meezond. Ook managers heb ik nog nooit waarde zien hechten aan getuigschriften. Waarschijnlijk zegt dit ook iets over mij. Eerlijkheidshalve moet ik er ook bij vermelden dat ik nog nooit om getuigschriften heb gevraagd.

De wereld is echter veranderd. Getuigschriften waren altijd brieven op papier. Internet bestond ook niet in de 19e eeuw. Met de opkomst van Linkedin is het verzamelen van referenties weer mode geworden. Je zou kunnen argumenteren dat een getuigschrift hetzelfde is als een Linkedin -referentie die wordt afgegeven door een werkgever. Dat roept de vraag op of een werknemer bij zijn werkgever zou kunnen afdwingen dat deze in Linkedin een referentie afgeeft conform de bepalingen van het getuigschrift.

In 2010 is de wet veranderd: de loonstrook mag digitaal worden aangeleverd, en ook de arbeidsovereenkomst zelf mag nu elektronisch. Het is opmerkelijk dat het artikel over de digitale loonstrook wel is veranderd, maar dat het artikel over het getuigschrift, onveranderd is gebleven. De vraag is nu of dit een bewuste keuze is van de wetgever of dat men het artikel over het hoofd heeft gezien.

Je kunt je natuurlijk afvragen of een verplichte referentie van de werkgever op Linkedin zin heeft, los van de juridische afdwingbaarheid. De werkgever is ook weer niet verplicht om zich positief over werknemer uit te laten. Tussen een positieve aanbeveling en een negatieve beoordeling zit nog iets als een neutrale vermelding van feiten. Dat maakt dat het praktisch gezien geen juridische strijd waard. Zeker niet voor de werkgever die al wettelijk verplicht is om een tekst op te stellen op papier. In lijn met de intentie van de wet en de maatschappelijke ontwikkelingen is het raadzaam om wel een referentie op Linkedin af te geven.

Edwin van Erkelens schrijft op MKB-HR-Adviseur.com over HRM, recruitment en social media. Als adviseur begeleidt hij ondernemers op deze gebieden. Dit varieert van projectmatige inzet tot tijdelijke vervanging.

Mag een werkgever eisen dat een werknemer op LinkedIn gaat zitten?

Een lezer vroeg me:

Ik ben sinds kort bij een ICT-bedrijf werkzaam als facilitair medewerker. Nu kreeg ik gisteren te horen dat iedereen in het bedrijf een LinkedIn account heeft, dus ik moest er ook aan. Maar dat wil ik helemaal niet! Ik stel prijs op mijn privacy, ik heb niets te maken met klanten en ik wil niet met mijn volledige naam (die redelijk uniek is) op internet vindbaar zijn. Kunnen ze dit echt eisen?

Het lijkt me dat een werkgever dat eigenlijk alleen kan eisen als men dat in het arbeidscontract zelf heeft staan, of het vooraf bij de sollicitatie heeft gemeld. Dan weet je waar je aan begint en kun je nog weigeren.

Uit de rechtspraak blijkt dat men hooguit kan eisen dat de informatie klopt, dus als je de verkeerde functie noemt op LinkedIn dan moet je dat aanpassen. In die zaak had een juridisch medewerker ten onrechte op Linkedin zowel zichzelf van een mr-titel als van de omschrijving “Advocaat, beroepsopleiding <datum” voorzien. De werkgever mocht de medewerker hierop aanspreken (maar ontslag op staande voet kun je hier niet op baseren).

Ik weet dat het in de ICT steeds gewoner wordt, zie ook de discussie over smoelenboeken en openbare profielen. Maar wat me opvalt is dat dit soort vragen veelal binnenkomen van mensen die zelf heel wat minder actief zijn in de ICT, zoals de facilitair medewerker uit deze vraag. Je gaat je dan afvragen, zijn wij alles-op-internet-likende-en-delende-ICT-ers dan zo anders dan deze, eh, gewone mensen?

Arnoud

Valt browser fingerprinten wel onder de cookiewet?

De cookiewet heeft eigenlijk een foute naam: het gaat niet specifiek om cookies, maar om alle gegevens die je uitleest of plaatst bij randapparatuur (computers telefoons etc) van bezoekers. Voor dat lezen en plaatsen is toestemming nodig. Omdat je bij device fingerprinting (of browser fingerprinting) allerlei gegevens uitleest, wordt aangenomen dat dit ook onder de cookiewet valt. Maar is dat eigenlijk wel zo?

Het idee achter de wet is dat de eigenaar van die apparatuur mag beslissen wat er op zijn apparaat gebeurt. Door toestemming te vragen, blijft de eigenaar in control. En het gaat dan zowel om opgeslagen gegevens die worden uitgelezen, als om nieuwe gegevens die moeten worden opgeslagen. Een app die je adresboek uitleest is immers net vervelend als een website die een zoekbalk (toolbar) wil toevoegen aan je browser. En ja, die twee vallen dus ook onder de cookiewet.

Device fingerprinting of browser fingerprinting is een herkenningstechniek waarbij de browser of het apparaat uniek herkend wordt aan de hand van allerlei instellingen en voorkeuren. Heel veel mensen gebruiken Firefox 13.0 op Windows 7, maar ik ben kennelijk toch uniek met mijn configuratie. Bij Panopticlick (een testsite van de EFF) hebben ze namelijk nog niemand anders gezien die mijn combinatie van browserplugins, tijdzone, schermresolutie, geïnstalleerde fonts en cookieinstellingen heeft.

Bij Browserspy is meer te lezen over wat er allemaal kan op dit gebied. Daarbij valt me op dat er eigenlijk twee soorten gegevens zijn: dingen die je browser meestuurt, en dingen die ze zelf verzamelen met een scriptje. Zo is zonder meer te achterhalen welke bestandstypes je wel en niet accepteert, maar moeten geïnstalleerde fonts worden gedetecteerd met Flash. Mijn schermresolutie wordt bepaald met Javascript.

En nu vraag ik me af: is er wel sprake van “uitlezen” van die bestandstypes? Want die website weet dat omdat mijn browser zo geprogrammeerd is om die elke keer mee te sturen. Dat is namelijk handig: dan weet de site wat ze wel en niet mag sturen. Net zoals de browserversie automatisch mee gaat, zodat ik eventueel een Firefox-specifieke pagina kan krijgen of op mijn pad de mobiele versie (dat ik dat irritant vind even daargelaten).

Dit is cruciaal want als je niet “uitleest” dan val je buiten de cookiewet.

We hebben bij een eerdere blog hierover gezien dat de minister heeft verklaard dat ook browser fingerprinting er onder valt. In de comments kwam toen een blog van Dirkzwager advocaten langs waar dit in twijfel werd getrokken. Want, inderdaad, lees je wel uit als een browser zelf gegevens meestuurt? Als ik zeg, “hoi ik ben Arnoud” achterhaal jij dan mijn naam? Ik zou zeggen van niet.

Maar wat moeten we dan met die opmerking van de minister? Het juridische spel is namelijk dat de minister eigenlijk altijd gelijk heeft bij dergelijke discussies. En als het niet letterlijk klopt wat hij zegt, dan mogen wij juristen gaan verzinnen hoe de wet zo te lezen is dat het figuurlijk of qua strekking toch klopt.

Als soort van compromis zou ik dan zeggen dat er sprake is van uitlezen als je als site zélf iets doet om gegevens te krijgen. Daarmee vallen de bestandstypes en de “referrer” header buiten de cookiewet, want die stuurt de browser zelf al mee. Maar ga je Flash- of Javascriptscriptjes sturen om zo extra dingen te weten te komen, dan is dat wél een vorm van “uitlezen” waar toestemming voor nodig is (tenzij het functioneel is maar dat even terzijde).

En met die aanpak is er dus ook geen toestemming nodig voor het uitlezen van cookies. Die worden immers vanzelf meegestuurd door de browser. Het plaatsen vereist wel toestemming natuurlijk.