Mag je iemand er publiekelijk op wijzen dat hij heel dom privéinformatie publiceert?

| AE 11169 | Privacy, Security, Uitingsvrijheid | 8 reacties

“Zet nooit, maar dan ook helemaal nooit, je boardingpass op Twitter @peterverhaar. En roep al helemaal niet mensen op om het te doen.” Aldus techjournalist Daniel Verlaan op Twitter vorige week. Aanleiding was een actie van bankier Verhaar tegen de ‘klimaatterroristen’ waarbij je door een Tweet met je boardingpass laat zien dat je tegen klimaatverandering bent. Of zoiets. Bepaald handig is die oproep niet: zoals journalist Verlaan liet zien, kun je met de informatie op een boardingpass erg veel doen: “Ik weet nu naast jouw privégegevens ook de namen, e-mailadressen en telefoonnummers van je vrouw en dochter.” Maar mag je dat wel achterhalen, met die informatie?

Natuurlijk is het in principe computervredebreuk om in te loggen met publiek aangetroffen accountgegevens, zoals een boardingkaartnummer en een achternaam. Je dringt dan binnen in een systeem onder de hoedanigheid van de luchtpassagier, en je weet dat je daar niet mag zijn in die hoedanigheid. Dat de gegevens publiek te vinden waren, maakt daarbij niet uit. (Als je ooit denkt “de informatie is publiek dus ik mag X”, dan heb je -als vuistregel- juridisch geen gelijk.)

Punt is natuurlijk dat Verlaan werkt als journalist, en daarbij technologie en met name security als aandachtspunt voor zichzelf geclaimd heeft. Hij bouwde onder meer de site Laat je niet hack maken, die mensen in gewone taal uitlegt wat wel en niet verstandig is bij online security. En als zo’n journalist ziet dat iemand met een profiel als Peter Verhaar publiekelijk oproept om zoiets doms te doen, dan snap ik meteen dat hij dat publiceert. Zoals een twitteraar het vergeleek: “ik ben tegen de bankmaffia, u ook, post dan uw creditcard voor en achter”.

Een journalist mág zoiets ook, in het kader van het aan de kaak stellen van een misstand. Ook als daarbij een strafbaar feit nodig was. Als journalist mag je soms net een klein stapje verder gaan, als dat in het belang is van je publicatie en je geen andere manier hebt om je punt te maken.

De vraag is dus, had Verlaan die noodzaak om in te loggen en die gegevens van vrouw en kind te noteren en (geanonimiseerd) te publiceren? Ik zou zeggen van wel: Verhaar begaat zo’n ernstige en onverantwoorde fout dat daar onmiddellijk een signaal tegen gegeven moet komen. En iemand die zo oliedom is, zal van enkel “dat is niet handig!!1!” van een nerdjournalist (sorry Daniel) niet onder de indruk zijn. Die persoonlijke informatie is dan nodig om direct het signaal te geven, doe dit niet, houd ermee op. Dus ja, dit mocht.

Arnoud

Is misbruik van de GDPR een probleem van de GDPR?

| AE 10971 | Privacy, Uitingsvrijheid | 7 reacties

Boos bericht bij Techdirt: in Roemenië wordt misbruik van de AVG (GDPR) gemaakt om een journalistencollectief de mond te snoeren, en dat is een probleem van de AVG want zonder AVG had dit niet gekund. Of zoiets. Het leest als een stuk flamebait, maar ik kan de boosheid van de journalist wel begrijpen want de AVG kent specifieke uitzonderingen voor journalistiek en dan komen ze juist bij de journalisten uit met een (gedreigde) boete van 20 miljoen euro. Dat hoort niet te kunnen. Maar ik zie het als een probleem met de rechtsgang, en niet met de AVG specifiek.

Het achterliggende verhaal is wat moeilijk bij elkaar te puzzelen, maar in de kern komt het hierop neer. In Roemenië is journalistencollectief OCCRP bezig een corruptieschandaal aan te tonen. Men kreeg genoeg bewijs bij elkaar om de European Anti-Fraud Office er naar te laten kijken en een strafrechtelijk onderzoek in het land zelf op te laten starten. Dat suggereert een behoorlijk stevig en betrouwbaar onderzoek.

Na publicatie van resultaten kreeg de partner van OCCRP het Rise Project een sommatie van de Roemeense privacytoezichthouder: een betrokkene heeft een inzageverzoek bij u gedaan en u moet daar gehoor aan geven, op straffe van een boete van 20 miljoen Euro. Het inzageverzoek moet ook de documenten betreffen waar de journalisten bronbescherming op claimen. Niet verrassend: de betrokkene is een van de hoofdrolspelers in het corruptieschandaal. Wel verrassend: de voorzitter van de Roemeense toezichthouder komt uit de partij van diezelfde hoofdrolspeler en zou ook lijntjes naar het corruptieschandaal hebben.

Het theoretische antwoord is natuurlijk simpel. De journalisten hoeven hier geen gehoor aan te geven, omdat bij publicaties voor journalistieke doeleinden veel rechten uit de AVG niet gelden. Dat staat letterlijk zo in de AVG, en komt terug in de Roemeense Uitvoeringswet AVG als een tekstueel duidelijke uitzondering (artikel 7): inzage en verwijdering geldt niet bij journalistieke doeleinden. De iets breder onderlegde journalist zal wijzen op jurisprudentie over bronbescherming als fundamenteel recht, en eenvoudig betogen dat het inzagerecht zich daar niet tot zal uitstrekken (bijvoorbeeld via artikel 15 lid 4, rechten van anderen).

Praktisch gezien zit het Project met een enorm probleem: een dreigende boete van 20 miljoen wanneer ze niet gewoon die gegevens verstrekken. Want op papier klinkt dit allemaal leuk maar als de toezichthouder het anders ziet, dan heb je een héél duur traject om tot je gelijk te komen. Zelfs als iedereen vanaf de zijlijn roept dat je dit gewoon gaat winnen.

Is dit nu een probleem met de AVG, zoals Techdirt-auteur Masnick betoogt? Want de AVG is zo een heel bot instrument om onwelgevallige journalistiek de mond te snoeren. Ook al heb je op papier gelijk, de boete is zo hoog dat iedereen toch wel inbindt. Chilling effect, noemen de Amerikanen dat. Onrecht dat blijft bestaan ondanks dat het wettelijk niet hoort te bestaan.

Mij lijkt van niet. Zeker is het een probleem, maar het probleem zit hem in de praktische gang naar de rechter. Als een organisatie niet de mogelijkheid heeft zich effectief te verweren tegen een dreigende boete van 20 miljoen op grond van argumenten die gezien de wet evident overtuigend zijn, dan heb je geen effectieve rechtsstaat. Dat die boete van 20 miljoen uit de AVG komt, is dan niet meer dan bijzaak. Voor hetzelfde geld kan de eiser anders een smaadclaim construeren, zijn auteursrecht geschonden zien of interferentie met parlementaire privileges of welk bogus argument dan ook aandragen.

Dat maakt de zaak niet minder ergerlijk of fout natuurlijk.

Arnoud

Mag je mensen hacken als je van de televisie bent?

| AE 9367 | Regulering | 15 reacties

Voor het nieuwe programma What the #Hack?! gaat presentator en rapper Yes-R internetgebruikers confronteren met hun onvoorzichtige sociale mediagedrag. Dat meldde RTL gisteren. Het programma wil aantonen hoe onveilig mensen online zijn, onder meer door met social engineering en keyloggers (naar ik aanneem via Trojans verspreid) te gebruiken. Wat de vraag oproept: mag dat dan, mensen hacken omdat je een televisieprogramma gaat maken?

Een journalist heeft onder de wet geen andere positie dan andere burgers. Je moet je aan precies dezelfde regels houden als anderen, ook waar het gaat over strafrecht en ook als het nieuwsbelang in het gedrang zou komen. Inbreken of privécommunicatie aftappen is strafbaar, dus ook voor journalisten. Dus dan is het antwoord vrij snel duidelijk: nee, dat mag niet.

Het recht zou het recht niet zijn als “ja, toch wel” ook geen mogelijk antwoord was. Want soms heb je belangwekkende kwesties die gewoon aan de kaak gesteld móeten worden, en dat je dan als journalist de wet moet overtreden dat neem je dan voor lief. De rechter neemt de nieuwswaarde wel degelijk mee, en kan je zelfs vrijspreken als blijkt dat je daad puur ingegeven was door het brengen van zo’n algemeen belangwekkend nieuwsitem en dat je zo zorgvuldig mogelijk te werk bent gegaan. Met name is dan van belang dat je geen schade hebt aangericht en niet meer hebt gedaan dan nodig voor je item.

De AVROTROS ziet een dergelijk belang met hun programma:

We willen met het programma impact hebben op de kijkers van NPO 3 op een manier die hen aanspreekt. Het daadwerkelijk laten zien wat de gevaren zijn, is de de enige manier om awareness te creëren

Daar zit natuurlijk wat in. Een theoretisch verhaal heeft veel minder impact dan een daadwerkelijke hack bij echte mensen: kijk, zo makkelijk was het om Marieke haar Facebook over te nemen en met deze truc kregen we Ali zijn WhatsApp-berichtenlogs toegemaild. Maar is het dan ook nodig om dat te doen zonder toestemming te vragen? Had je niet kunnen zeggen, ben jij een echte internetfreak, meld je aan en we kijken hoe hackbaar jij bent? Dan heb je toestemming én echte mensen.

Weliswaar wordt er met een quitclaim gewerkt (hier tekenen dat wij mogen uitzenden) maar die wordt pas achteraf getekend. Wanneer iemand die weigert te tekenen, is er dus geen toestemming – ook niet voor het binnendringen op hun computer of het aftappen van hun datacommunicatie. En dat maakt het strafbaar.

Wat vinden jullie? Slimme manier van awareness creëren of gewoon strafbaar?

Arnoud

Mogen Facebook en consorten wel fakenieuws weigeren op hun platform?

| AE 9222 | Uitingsvrijheid | 10 reacties

Een lezer vroeg me: In hoeverre is de ban op ‘Fake news’ door Google en Facebook legitiem? Op dit moment gelden deze voor het advertentieplatform, maar zouden ze ook kunnen gelden voor individuele gebruikers? Dan mag je dus in feite niets meer zeggen dat Facebook of Google ‘fake’ vindt. Is dat geen censuur? Sinds de… Lees verder

Waarom is fakenieuws eigenlijk niet gewoon strafbaar?

| AE 9102 | Regulering, Uitingsvrijheid | 31 reacties

Een lezer vroeg me: Sinds de verkiezing van Trump is er veel te doen over fakenieuws en hoe dat geholpen zou hebben bij de verkiezing. Maar waarom wordt er niet opgetreden tegen al dat nepnieuws? Het is toch valsheid in geschrifte, compleet verzonnen ‘nieuws’ uitbrengen alsof het serieus en waar is? Ik vrees dat dit… Lees verder

Geldt de persexceptie bij Twitter als bron?

| AE 8566 | Intellectuele rechten, Uitingsvrijheid | 11 reacties

Begin april hadden we een discussie over kranten die tweets afdrukken, waarbij ik twijfelde of dat als citaat te rechtvaardigen is. In de comments deed Alex de Kruijff een suggestie: valt dit overnemen niet onder artikel 15 Auteurswet, de persexceptie? Die is immers gemaakt voor het overnemen van actuele zaken, en die tweets (met cartoon-reacties… Lees verder

Mag een krant een tweet afdrukken als die nieuws is?

| AE 8530 | Intellectuele rechten, Uitingsvrijheid | 11 reacties

Een vraag via Twitter: Hoe zit dat, @ictrecht? Mag het @parool een cartoon van @khalidalbaih afdrukken als tweet van ‘iemand’ zonder vermelding van de maker? Het Parool publiceerde een aantal cartoons van Belgische tekenaars die daarmee wilden reageren op de aanslag op vliegveld Zaventem. Niet direct: men toonde in feite afbeeldingen van tweets (zie plaatje,… Lees verder

Is embedden van mijn nietcommerciële Youtubevideo een inbreuk op auteursrecht?

| AE 8359 | Intellectuele rechten | 34 reacties

Een lezer vroeg me: Ik publiceer films op Youtube, maar ik wil niet dat die commercieel worden gebruikt. Dat heb ik ook netjes in de beschrijving staan én middels een tekst aan het begin van de video. Toch embedt een lokale krant mijn films steeds, omdat zij ze nieuws vinden. Ze overtreden dus mijn licentie,… Lees verder

Mijn Facebookcomment staat in de krant, wat kan ik doen?

| AE 8042 | Uitingsvrijheid | 24 reacties

Een lezer vroeg me: Op Facebook had ik gereageerd op een lokaal nieuwsbericht over een controversieel onderwerp. Dat was zaterdagavond laat, dus ik ging wat kort door de bocht. Moet kunnen op Facebook toch? Maar nu heeft de lokale krant mijn reactie opgepikt en pontificaal op pagina 3 afgedrukt, met nog een paar andere extreme… Lees verder