Hoe werkt recht dat altijd buigzaam is? #dimorefi

| AE 8861 | Internetrecht | 15 reacties

internetrechtVandaag is mijn laatste vakantiedag, en toevallig trof ik in mijn inbox een ietwat filosofische vraag over het recht. Eens zien waar we uitkomen.

Een lezer vroeg me:

Dit zit me al een tijdje dwars. Ik lees al een paar jaar je blog, en elke keer als ik denk dat ik snap hoe het recht werkt, blijkt het weer net anders te zitten op grond van een of andere vage regel. Neem die “redelijkheid en billijkheid”: daar kun je alles wel mee rechtbreien of juist verbieden, lijkt het. En als dat niet lukt, dan zeg je gewoon dat het maatschappelijk onzorgvuldig is of tegen de goede zeden. Dat werkt toch helemaal niet op die manier? Hoe kun je nou ooit zekerheid krijgen binnen het recht als het recht altijd te verbuigen is?

Ik herken de frustratie; voor mij is dit hét onderscheid tussen IT-denken en juridisch denken. Of misschien wel alfa- en beta-denken. Waar beta-regels hard en duidelijk zijn, zijn alfa-regels zacht en buigzaam. (Ik moet nu denken aan Bul Super: “Recht is iets kroms dat verbogen is.”)

Dit is voor het recht een feature. Het recht reguleert de samenleving, en de samenleving is niet hard en duidelijk. Er zijn geen wiskundige formules, natuurwetten of axioma’s die het menselijk gedrag duiden. Alle uitspraken over mens en maatschappij zijn dus noodzakelijkerwijs benaderingen, vuistregels.

Wetgeving, en daarvan afgeleid het recht, is daarmee een poging om zo goed mogelijke vuistregels te geven. Ze zijn opgezet als een groots raamwerk dat alles probeert te regelen, geformuleerd als harde regels die duidelijke lijnen zetten. Dat kan de indruk geven dat het harde regels zijn, maar dat is dus niet zo.

Dat de regels soms verbogen moeten worden, is vanuit juridisch perspectief nodig. Soms kom je er gewoon niet uit met de regels. Een situatie is niet voorzien, er zijn hele bijzondere omstandigheden of de regels waren gewoon niet bedoeld voor dit geval. En dan pakken dingen héél onrechtvaardig uit. Je hebt dan een noodrem nodig, of een ventiel zo je wilt, om de uitkomst te corrigeren. Want regulering moet uiteindelijk wel werken, en dat betekent je soms aanpassen aan de realiteit in plaats van de realiteit dwingen in het hokje van de regels.

Een nobel streven, maar echt voorspelbaar is het niet. Neem de matigingsbevoegdheid van de rechter: die mag een schadevergoeding of boete omlaag doen als de billijkheid dat kennelijk eist, zo zegt de wet. In moderne taal: dit bedrag vind ik echt bizar, dat gaan we even niet doen. Ook al staat in het contract keurig een formule hoe je aan die boete komt of is de schade prima onderbouwd. Gewoon, omdat het moet.

In het algemeen kom je op heel weinig plekken harde regels tegen in de wet. De Wegenverkeerswet kent de meeste volgens mij, en dat is vooral omdat handhaving anders gewoon te ingewikkeld wordt. Het zou ahem interessant worden als de Wvw zou zeggen “Rij zoals je wil maar breng niemand in gevaar”. Maar ook daar zijn er uitzonderingen mogelijk: je mag te hard rijden als je met een medisch spoedgeval naar het ziekenhuis rijdt, bijvoorbeeld.

Dit soort vaagheden wreekt zich bij internetdingen, waar regels wel hard en duidelijk moeten zijn omdat ze in software gebouwd moeten worden. Je kunt geen nieuws-scraper bouwen die “het redelijkerwijs benodigd aantal” zinnen overneemt van krantensites, er moet een getal komen. “Onwelvoeglijk taalgebruik” is niet te filteren, maak alsjeblieft een woordenlijst. En wat je dan dus krijgt is een benadering in formulevorm van een vuistregel die juist niet als formule opgezet was. Met automatisch als gevolg dat je de flexibiliteit kwijtraakt die het recht nu net ingebouwd had.

Tegelijk snap ik dat het knap ingewikkeld is om iets te bouwen dat wél die benadering realiseert die het recht ingebouwd heeft. En je moet toch iets. Misschien zijn lerende netwerken (zoals spamfilters) een oplossing. Voer een systeem genoeg testinvoer en het kan op zeker moment zelf fuzzy onderscheid maken. Maar ook dat blijft beperkt, want zo’n systeem zal niet perse dezelfde uitkomst geven als een rechter in een geval dat beiden nog nooit gezien hebben.

Dus nee, het recht is niet rechtlijnig en er zal altijd ruimte zijn waar vooraf weinig zinnigs over te zeggen is. Dit is een feature waar je mee om moet kunnen gaan als ICT-jurist. Daarbinnen vuistregels en benaderingen formuleren die harde uitkomsten leveren is prima, zolang je maar altijd die juridische exception handler hebt voor de rare gevallen.

Arnoud

Wat is internet dan eigenlijk? #VrijMoReFi

| AE 8512 | Internetrecht | 9 reacties

internetrechtKun je eigenlijk wel wat zinnigs zeggen over internetrecht (zoals ik vorige week probeerde) als je niet weet wat het internet is? Het lijkt vrij triviaal, iedereen heeft internet en zit op internet. Maar probeer het eens. Ik waag een poging, want wellicht biedt dat een bottom-up definitie van het internetrecht.

Oké, met een zin lukt mij ook niet direct, maar dan zou het ook wel een erg korte blog worden. Tijdens mijn studie informatica (1993, toen bits nog van hout waren) was het 7-lagen ISO/OSI model de theoretische basis voor netwerken. Het idee was dat je een netwerk op diverse lagen van abstractie kunt bekijken. Aan het ene uiterste heb je de fysieke kabels die van A naar B gaan, en aan de andere kant heb je de toepassing die daar overheen gaat. Daar zitten dan nog vijf lagen tussen, die allemaal op hun eigen manier modelleren hoe data van A naar B gaat.

Het Internetmodel is een afgeleide van het ISO/OSI-model. Er zijn vier abstractielagen om naar internet als geheel te kijken:

  • Linklaag: op dit niveau gaat het om individuele verbindingen (links) tussen computers en hoe er op het laagste niveau data kan worden uitgewisseld. De bekende ethernetstekker en -kabels zitten op dit niveau.
  • Internetlaag: op dit niveau wordt er over individuele netwerken data uitgewisseld (inter-network, inderdaad). Hier wordt geabstraheerd van individuele netwerken en onderliggende hardware. Specifiek gaat het hier over de IP-pakketjes die van computer met IP-adres A naar computer met IP-adres B moeten gaan.
  • Transportlaag: op dit niveau kunnen computers (clients en servers of peer-to-peer) met elkaar communiceren en data uitwisselen. Hier wordt geabstraheerd van de pakketjes die op de internetlaag worden uitgewisseld. Hier stroomt data van punt naar punt. Het bekendste protocol op dit niveau is TCP, dat samen met het onderliggende IP-protocol een synoniem gaf voor het internet als transportmedium.
  • Applicatielaag: op dit niveau krijgt de data betekenis. Er worden diensten (applicaties) gerealiseerd waar mensen (of apparaten) gebruik van kunnen maken. De bekendste dienst is het World-wide Web, maar ook e-mail, chat, streaming video en dergelijke zijn applicaties.

Op het linklaag-niveau bekeken is internet dus niet meer dan een grote verzameling verbindingen. Kabeltje hier, kabeltje daar, draadloosje zus en satellietsignaal zo. Daar valt juridisch niet zo heel veel over te zeggen denk ik. Veel verder dan interconnectie (mag ik met mijn kabel in jouw router) of patenten op standaarden kom ik eigenlijk niet. Niet oninteressant overigens, zeker dat van die patenten: interoperabiliteit is een essentieel onderdeel van informatie-uitwisseling immers.

Komen we bij de internetlaag. IP-pakketjes zijn de basis van wat ik gevoelsmatig “het internet” zou noemen. Alles komt uiteindelijk neer op pakketjes die van A naar B moeten. Routeren dus. En dan moet ik gelijk denken aan een oud gezegde: The internet treats censorship as damage and routes around it. Dat heeft te maken met een oude mythe over internet: het zou ontwikkeld zijn om een nucleaire aanval te weerstaan. Het werkt met decentrale coördinatie van pakketgebaseerde communicatie. Iedere knoop in het netwerk beslist zelf waar ze welk pakketje heenstuurt. Er is geen centrale autoriteit die de route voorschrijft

Dat internet tegen een nucleaire aanval bestand is, is een hardnekkige mythe. Het internet is in de praktijk niet eens in staat een strategisch ingezette eekhoorn of scheepsanker te weerstaan. Maar dat decentrale karakter is ergens wel een heel belangrijke factor in de rechtsvragen die ontstaan rond internet. Want als er geen centrale autoriteit is, wie spreek je dan aan als er iets tegen de wet blijkt te zijn? Hoe dwing je af dat ‘men’ een website blokkeert als er geen ‘men’ is? Wie klaag je aan als iedereen iets doorgeeft dat niet mag? En hoezo “niet mag”, wiens recht bepaalt dat?

Deze discussies zijn onder juristen bekend als de governance-vraagstukken (Lodder: beheersvragen rond de techniek van het internet: protocollen, standaarden, domeinnamen). Wie is de baas op internet? Dit is een fundamentele vraag, die een niveau lager niet bestaat. Een netwerkkabel ligt in een land en is eigendom van iemand. Die iemand is gewoon aan te spreken door de autoriteiten in dat land. Op IP-niveau wordt ook geabstraheerd van fysieke locatie.

Minstens zo belangrijk echter is filteren en blokkeren door private partijen. Netneutraliteit, heet dat. Mag een partij die IP-pakketjes routeert, besluiten dat niet (of maar beperkt) te doen tenzij er extra wordt betaald? Is het erg dat een internetprovider alleen familievriendelijk internet aanbiedt, gamesnelheden afknijpt tenzij men het premiumabonnement neemt of Netflix alleen in het premiumabonnement opneemt? Die beslissingen kunnen vérgaande invloed hebben op de toegang tot internet, en dat schijnt een grondrecht te zijn. Daarom zie ik netneutraliteit als een van de meest fundamentele uitdagingen in het internetrecht.

Nog een niveautje hoger komen we in de transportlaag. Hier wordt tussen computers gecommuniceerd. Mijn client legt verbinding met de mailserver van Ziggo en verstuurt een mail. Ik word deel van een peer-to-peer netwerk en ahem wissel data uit met een peer ergens in een ver buitenland. Netneutraliteit speelt ook hier: op dit niveau kun je specifieke diensten blokkeren. Geen voice-over-ip of alleen de eigen DNS-server.

En dan zijn we uitgekomen bij de applicatielaag. Het World-Wide Web, maar ook bijvoorbeeld Spotify, online games of wat je maar kunt bedenken. Ja, verzin daar maar eens een alomvattend juridisch vraagstuk voor. Ik kom niet verder dan het model van Dommering waar ik eerder over blogde. Op dit abstractieniveau hebben we in feite te maken met de implementatie van de informatiesamenleving. En die bestaat uit een krachtenveld tussen vier krachten: de uitingsvrijheid, de privacy, de intellectuele eigendom en de ondernemingsvrijheid. De juridische conflicten ontstaan wanneer deze met elkaar botsen. Auteursrechten handhaven bij uploaders vereist een privacy-inbreuk (NAW-gegevens opvragen), en de huisregels van Facebook beperken de vrijheid van meningsuiting maar kunnen worden gerechtvaardigd vanuit hun ondernemingsvrijheid.

Ik heb het gevoel dat die laag verder uitgesplitst moet worden. Bij de discussie vorige week kwam bijvoorbeeld aan de orde het netwerkeffect (Shapiro & Varian): een dienst wordt exponentieel waardevoller naarmate er meer mensen op zitten. Dat effect zorgt ervoor dat mensen niet zomaar weggaan, want iedereen zit er toch? Dit geeft macht aan de exploitanten van het netwerk. Een klusje voor het mededingingsrecht misschien.

Code as law, moet ik dan ook noemen. Het idee dat de implementatie de wetten maakt. In een café is het verboden te schelden, maar het kán wel. Op een blog waar dat verbod geldt, kán het niet want je bericht komt niet voorbij de zelflerende moderatorbot (of het domme filter dat per abuis ook bezoekers aan het Engelse Scunthorpe voor scheldkanonneerders uitmaakt). Daar worden dus wetten verzonnen door private partijen, én keihard gehandhaafd middels “computer says no”. Daar zou het recht ook wat mee moeten doen.

Ook is er vanuit code, vanuit techniek een continue push van vernieuwing. Men verzint aan de lopende band nieuwe diensten, en die kunnen dwars door wetten heen lopen. Is Uber een innovatie in het vervoer of een snorder met een app? En die innovaties gaan ook nog eens zó snel dat de juridische discussie pas op gang komt als de innovatie al breed ingeburgerd is (hoi Youtube, Bittorent of Facebook). Dat lijkt ook iets internetspecifieks te zijn.

Eerder noemde Lodder nog democratisering: “Ieder individu kan de hele wereld bereiken. Traditionele reguleringsmodellen gingen uit van 1-op-1 communicatie, of 1-op-n (klassieke media zoals krant, TV), maar nu dus n-op-m.” Zeer waar maar hoe werkt het door? Hier wil ik binnenkort nog eens op terugkomen.

Hebben jullie nog aanvullingen of verfijningen?

Arnoud

Een permaban voor een betalende speler, mag dat?

| AE 8073 | Contracten | 22 reacties

you-are-banned-permabanEen lezer vroeg me:

Bij een spel waar ik al jaren speel (tegen betaling) ontdekte ik recent een beveiligingsfout op de server. Hierdoor kon ik snel een heleboel kredieten vergaren en zo mijn voertuig versterken. Echter, gisteren is het beheer hier achter gekomen en ze hebben me nu een permaban opgelegd. Nu ben ik dus niet alleen die kredieten kwijt, maar ook al mijn investeringen én ik krijg het restant van mijn jaarabonnement niet terugbetaald. Mag dat zomaar?

In principe lijkt het me gerechtvaardigd dat men een of andere vorm van straf oplegt als een speler de spelregels schendt. Als iemand bij het voetbal een overtreding van de spelregels pleegt, kan hij het veld uitgestuurd worden. Bij ernstige overtredingen kan hij zelfs een paar wedstrijden op de bank zitten. Dat die speler lidmaatschap betaalt aan de club, doet daar niets aan af. Een reglementaire ban is legaal.

De overtreding zou wel uit de spelregels moeten blijken. Slim opereren binnen de spelregels of bij een ongereguleerd gebied lijkt me niet iets waar je mensen voor behoort te bannen.

Lastiger wordt het bij permabans. Dan wordt in feite de gehele dienstverlening gestaakt, en dat is toch iets ernstigers dan uit een lopend spel geschopt worden of drie wedstrijden op de bank moeten zitten. Permabans bestaan ook in het echte leven, maar zijn daar een zeer zwaar middel. In de gaming-industrie niet. Volgens mij worden er per jaar meer mensen gepermaband uit online spellen dan er voetballers sinds de invoering van het betaald voetbal permanent geschorst zijn.

Mag Dat®? Nou ja, niet zomaar. Allereerst moet er wel ergens een spelvoorwaarde zijn die rechtvaardigt dat je nóóit meer met deze speler zaken wilt doen. Je kunt mensen moeilijk schorsen zonder dat je ergens hebt staan waarom. Heb je geen spelregel dan moet het wel extreem fout zijn wat de speler deed, zeg maar de “ben jij wel goed bij je harses”-toets.

Het is niet zo simpel als “Exploitant mag op ieder moment iedereen permabannen” in je TOS of EULA zetten. Zo’n botte bijl is namelijk in strijd met de wet. Op de zwarte lijst voor algemene voorwaarden staat namelijk:

Bij een overeenkomst tussen een [bedrijf] en een [consument] wordt als onredelijk bezwarend aangemerkt een in de algemene voorwaarden voorkomend beding […] dat de [consument] geheel en onvoorwaardelijk het recht ontneemt de door [het bedrijf] toegezegde prestatie op te eisen.

Een dergelijke permaban-clausule ontneemt je geheel en onvoorwaardelijk het recht om toegang tot het spel te eisen. Immers, als je dat eist, dan zegt de exploitant “permaban, doei” en dan sta je met lege handen. Dat kan dus niet.

Een permabanclausule moet dus ingevuld zijn met enige nuance. Bijvoorbeeld: als u bij herhaling zware overtredingen begaat of andere spelers lastigvalt, dan wordt u er permanent uitgeschopt. Dan heb je een escalatie én een waarschuwing ingebouwd. Dat lijkt me wel redelijk. Er zou wel iets van een discussie of hoger beroep mogelijk moeten zijn. Ook bedingen als “Het beheer beslist wanneer u overlast veroorzaakt” en vooral een onredelijke uitleg daarvan, zijn namelijk juridisch dubieus. Op diezelfde zwarte lijst staat namelijk:

[Het is verboden je TOS zo te schrijven] dat de bevoegdheid van de wederpartij om bewijs te leveren uitsluit of beperkt, of dat de uit de wet voortvloeiende verdeling van de bewijslast ten nadele van de wederpartij wijzigt,

Als je zegt “wij beslissen en u heeft pech, dan sluit je dus de mogelijkheid van tegenbewijs door de wederpartij uit. Dat mag dus niet.

Krijg je je geld terug bij een permaban? Dat lijkt me dan weer niet redelijk. Je beging immers een zware overtreding. Dat je dan je in-game spullen kwijt bent, voelt als een logisch gevolg daarvan. Ook al heb je daar veel in geïnvesteerd. Ik zou dit wel expliciet in de TOS vastleggen, maar ik zie er geen regels tegen.

Voor het restant van je abonnementsgeld ligt dat volgens mij anders. Wat je in feite doet als je “permaban, doei” zegt, is de overeenkomst beëindigen of zelfs ontbinden. In dat geval is er te veel betaald, en ik denk dan ook dat dat gewoon echt moet worden terugbetaald.

In de praktijk werkt dat anders. Ik zie bij allerlei verenigingen dat in de statuten staat “bij schorsing geen restitutie” maar dat gaat over lidmaatschapsgelden, en dat voelt net wat anders dan betaalde abonnementsprijzen. Een lid is wat anders dan een klant. Dus daarom twijfel ik of je je klanten ook mag opzeggen en het geld mag houden als ze zich misdragen.

Arnoud

Gastpost: Het Nederlandse Cyberleger

| AE 4475 | Internetrecht | 4 reacties

Vanwege mijn vakantie blog ik zelf niet, maar ik ben blij diverse gastbloggers te mogen verwelkomen. Vandaag Homme Bitter over het Nederlandse cyberleger. Nederland heeft geen cyberleger. Dat is als 1e wereldland en vooraanstaand lid van de NATO natuurlijk iets wat zo snel mogelijk opgelost moet worden. Daarom is er door de minister van defensie… Lees verder

Gastpost: De verplichte referentie op LinkedIn

| AE 3084 | Arbeidsrecht, Internetrecht | 19 reacties

Omdat ik met vakantie ben, geef ik de komende weken diverse gastbloggers de ruimte. Vandaag een ook voor mij verrassend stukje arbeidsrecht van HR-adviseur Edwin van Erkelens: kun je afdwingen dat je werkgever je een referentie geeft op LinkedIn? De werkgever is verplicht bij het einde van de arbeidsovereenkomst de werknemer op diens verzoek een… Lees verder

Mag een werkgever eisen dat een werknemer op LinkedIn gaat zitten?

| AE 4468 | Arbeidsrecht, Internetrecht | 16 reacties

Een lezer vroeg me: Ik ben sinds kort bij een ICT-bedrijf werkzaam als facilitair medewerker. Nu kreeg ik gisteren te horen dat iedereen in het bedrijf een LinkedIn account heeft, dus ik moest er ook aan. Maar dat wil ik helemaal niet! Ik stel prijs op mijn privacy, ik heb niets te maken met klanten… Lees verder

Valt browser fingerprinten wel onder de cookiewet?

| AE 3068 | Internetrecht | 33 reacties

De cookiewet heeft eigenlijk een foute naam: het gaat niet specifiek om cookies, maar om alle gegevens die je uitleest of plaatst bij randapparatuur (computers telefoons etc) van bezoekers. Voor dat lezen en plaatsen is toestemming nodig. Omdat je bij device fingerprinting (of browser fingerprinting) allerlei gegevens uitleest, wordt aangenomen dat dit ook onder de… Lees verder

Postcodeloterij moet gegarandeerde prijs uitbetalen ondanks disclaimer

| AE 3063 | Internetrecht | 36 reacties

Ok, geen internetrecht maar iedereen weet wat ik van disclaimers vind en dit vonnis is daarin een leuke opsteker. De Nederlandse postcodeloterij moet van de rechter een overeengekomen ( “gegarandeerd”) cadeau van 2.500 euro aan de deelnemers doen toekomen. Het verweer dat op de achterkant een en ander was gedisclaimd, ging niet op. De eiser… Lees verder