Mag ik als securitytester phishingmails versturen met andermans logo?

mohamedhassan / Pixabay

Een lezer vroeg me:

Ik ben security consultant en deel van mijn werk is het organiseren van phishing tests bij organisaties. Daarvoor moet ik natuurlijk logo’s en huisstijlen van bekende dienstverleners (zoals Microsoft of Apple, maar ook Nederlandse bedrijven zoals salarisadministrateurs) gebruiken om de testmails en nepsites echt te laten lijken. Nu maakt een klant zich zorgen dat dit merkinbreuk op zou kunnen leveren. Heeft die een punt?
Gebruik van andermans merk om naar producten of diensten te verwijzen die niet van de merkhouder zijn, is in principe merkinbreuk als je het formeel bekijkt. En dat is hier het hele punt, je wilt nu juist verwarring creëren bij mensen over de afzender/eigenaar van die site zodat ze in je phish-truc trappen. Het merkenrecht kent geen expliciete uitzondering zoals fair use in het (Amerikaanse) auteursrecht.

Daar staat tegenover dat merken bedoeld zijn om producten of diensten mee te onderscheiden. Dat doe je niet met zo’n test. Je bent niet je eigen producten aan het verkopen als zijnde Microsoft Authentic of de laatste AFAS vakantiedagen-app of zo. En als je niets verkoopt, of je eigen bedrijf mooier laat lijken door die merken, dan pleeg je per definitie geen merkinbreuk.

Voor mij geeft de doorslag dat je het merk wel móet gebruiken voor een goede test, je kunt geen tests doen als het er niet een beetje realistisch uitziet. Dat is maatschappelijk aanvaard en ook echt nodig om mensen op te voeden / alert te houden. Dat zie ik als een zwaarwegend en wat de merkenwet een “eerlijk” gebruik noemt, en dan kom je in deze categorie (art. 2.23 lid 1 sub c BVIE):

[Gebruik van] het merk met het oog op de identificatie van of de verwijzing naar waren of diensten als die van de houder van dat merk, in het bijzonder indien het gebruik van dat merk noodzakelijk is om de bestemming van een waar of dienst aan te duiden, met name als accessoire of onderdeel; één en ander voor zover het gebruik door de derde plaatsvindt volgens de eerlijke gebruiken in nijverheid en handel.
Dit artikel is normaal bedoeld voor mensen die bijvoorbeeld accessoires verkopen (“past in alle Miele-stofzuigers”) of anderszins naar de merkhouder willen vermijden (“wij gebruiken Google Analytics”). Dat doe je hier eigenlijk niet, want je verwijst naar een phishingsite. Maar je kunt ook zeggen dat je juist wél naar die merkhouders verwijst, met dus in het achterhoofd dat dat nodig is om mensen phishings te leren herkennen.

Ik zou dus zeggen; dit kan, maar vermijd zo veel mogelijk in openbare materialen deze logo’s, of maak ze dan klein en alleen voor de herkenning “oh ja phishing mails van Microsoft”. Ga zeker niet adverteren met “Wij testen op phishing met onder meer nep-loginsites van Google of AFAS, zie screenshots”.

Voor deze klant is dit waarschijnlijk wat weinig zorg. Je kunt dan alleen nog aanbieden dat je de klant zult vrijwaren van claims mochten deze merkhouders zich werkelijk melden bij de klant met een rekening voor merkinbreuk. Die situatie lijkt mij namelijk nogal onwaarschijnlijk – sowieso is de kans klein dat zo’n claim er komt, en als die er komt dan komt die toch al bij jou want jij bent degene die de phishingsite beheert.

Arnoud

 

Facebook en Gucci klagen samen verkoper van nepspullen aan

Facebook heeft een rechtszaak aangespannen tegen een verkoper van namaakspullen, las ik bij Tweakers. Facebook werkt daarbij samen met modehuis Gucci, de partij wiens producten nagemaakt werden door deze verkoper. Nu komt handel in namaak al vele decennia voor, ook met Facebook of Instagram als platform, dus het verbaast in zoverre niet dat er een rechtszaak komt, maar waarom doet Facebook mee zo vroegen veel mensen zich af?

Volgens de eigen blog is de zaak “part of our ongoing efforts to enforce our Terms and protect against abuse”. Immers, de TOS van Facebook verbieden al sinds het begin het schenden van rechten van derden. Daarnaast heeft men “robust IP protection measures including a global notice-and-takedown program, a robust repeat infringement policy and additional measures”, waartoe dan kennelijk ook behoort dat je samen naar de rechter gaat.

Het doet in zoverre raar aan dat dit volgens mij de eerste keer is dat Facebook meedoet met zo’n rechtszaak. Juridisch is het ook een tikje gek, want Gucci kan gewoon merkinbreuk (of auteursrechtinbreuk, eventueel) aandragen als basis voor haar claim maar Facebook moet het gooien op een wanprestatie onder de overeenkomst met de gebruiker – de juridische term voor “schending van de TOS”. En dat is juridisch iets heel anders.

In zoverre is het handig dat als Gucci aantoont dat haar merk geschonden wordt, Facebook meteen gelijk krijgt dat haar TOS geschonden is. Dus efficiënt is het wel.

Het onderliggende punt is natuurlijk dat Facebook zelf niet aansprakelijk is voor die merkinbreuk door haar gebruiker. Dus waarom doen ze dan die moeite, zo’n dure rechtszaak? Ze kunnen ook – zoals zo veel platforms al decennialang doen – achterover leunen en wachten op de notice & takedown en dan de specifieke advertentie weghalen. Kennelijk is er dus een reden waarom Facebook zelf ook van deze gebruiker af wil. Te veel klachten gehad? Een precedent willen zetten pour encourages les autres? Geld krijgen van Gucci voor actief meewerken?

Arnoud

Pleeg je merkinbreuk als Google je advertenties aanvult met iemands merk?

keyword-insertion-google-adwordsIs sprake van merkinbreuk wanneer Google een keyword in je advertentie aanvult met iemands merknaam? Voor die vraag stond de rechter in Overijssel onlangs.

Het bedrijf Serbo is eigenaar van het merk “Luminus” voor dakconstructies, lichtkoepels en dergelijke. En tot hun verbazing verscheen op zeker moment een advertentie van een ander bedrijf, Luxlight, wanneer je zocht op “Luminus”. En in die advertentie stond prominent in de titelregel “Luminus lichtstraat? specialist in lichtstraten – luxlight.nl”. Aanschrijven die merkenschenders dus.

Tot minstens even veel verbazing ontving Luxlight de claim. Zij verkochten geen Luminus en hadden ook niet op dat woord geadverteerd. Na enig spitten ontdekte men dat de betreffende advertentie een zogeheten ‘Keyword Insertion’ advertentie was, waarbij je Google een term uit de zoekopdracht laat invullen in je advertentie. En Google had in dit geval bedacht dat “luminus” de beste term was voor de advertentie met “{keyword} lichtstraat?”. Auw.

Kun je dit Luxlight verwijten? Nee, zegt de rechter. Luxlight gebruikt het merk niet in de advertentie; ze hebben het woord er niet zelf ingezet en ook niet specifiek Google geïnstrueerd de advertentie dat woord te laten zien als mensen zoeken op Luxlight.

En zelfs als ze het merk gebruikten, is er niets aan de hand: het is vaste rechtspraak dat het toegestaan is andermans merknaam te gebruiken in een advertentie, tenzij de advertentie onduidelijk is over de relatie tussen merkhouder en adverteerder. Deze advertentie was niet onduidelijk. De naam Luxlight staat er meteen duidelijk in.

Alles bij elkaar is de rechter dan ook snel klaar: geen merkinbreuk, eiser mag de proceskosten van de gedaagde vergoeden, volgende zaak. En op zich is dat ook logisch. Hoewel cynische ikke zich bij zulke advertenties wel vaker afvraagt in hoeverre men nu echt niet kon aan zien komen dat de merknaam van de concurrent zou opduiken.

Arnoud

Het opeisen van een louter beschrijvende domeinnaam

Het gebruik van een louter beschrijvende domeinnaam is in beginsel niet onrechtmatig, ook niet wanneer dit nadeel aan een ander toebrengt. Dat meldde IE-forum onlangs. Twee bedrijven houden zich beiden bezig met artiestenverloning. De een vanaf artiestenverloning.nl, de ander vanaf artiestenverloningen.nl. De versie zonder ‘en’ was al sinds 2005 vastgelegd, maar pas in 2011 in gebruik genomen. De versie met ‘en’ was al in 2002 gebruikt. Dus wie mag nu de domeinnaam van de ander opeisen?

Je zou zeggen dat je zoiets via het merkenrecht oplost, maar dat kan hier niet want deze termen zijn louter beschrijvend. En een merk moet onderscheidend zijn, je moet aan het merk kunnen zien om wiens producten of diensten het gaat. Er was weliswaar een beeldmerk, maar een beeldmerk met een beschrijvende term geeft géén bescherming tegen het gebruik van die term an sich.

Het Hof bepaalt in het hoger beroep dat in zo’n situatie je in principe niets verkeerd doet door diezelfde term (of eentje die sterk lijkt) te gebruiken als domeinnaam. Ook niet als de ander daar last van heeft.

Er moeten “ernstige bijkomende omstandigheden” zijn. Wat die precies zijn, noemt het Hof niet in haar arrest. Tussen de regels door lijkt relevant of je bewust aanhaakt of niet. De rechtbank had eerder genoemd dat blokkeren van de oudere domeinnaamhouder een voorbeeld kan zijn. Het lijkt mij dat je site opzettelijk veel laten lijken op de concurrent ook wel zo’n omstandigheid kan opleveren.

De ‘en’-naamhouder had bovendien aangegeven de naam gekozen te hebben omdat die een directe relatie had tot het product en sterk was voor Google, en het Hof gelooft ze daarin. Je zou ergens wel denken, doe je dan geen onderzoek naar wat anderen in de markt gebruiken (of bedenk je niet zelf, “laat ik ook eens de versie met -en registreren”). Maar goed. Dat móet niet.

Bij een handelsnaam ligt het anders met een beschrijvende term. Een handelsnaam mag beschrijvend zijn, hoewel dan je bescherming tegen gebruik door concurrenten zeer beperkt zal zijn. Een domeinnaam kán handelsnaaminbreuk opleveren maar dan moet je de domeinnaam wel gebruiken als je bedrijfsnaam. Enkel een site hebben is niet genoeg: de site (en je bedrijf) moet zo héten. De gedaagde heette “Prae artiestenverloning”, en niet “Artiestenverloning(en).nl”. Daarmee is er geen sprake van gebruik als handelsnaam van die domeinnaam.

Het gebruik van beschrijvende termen was in het merken- en handelsnaamrecht vroeger nooit echt een probleem. Weinig mensen wilden echt een beschrijvende naam, want je kunt je daarmee niet goed profileren in de Gouden Gids en in advertenties. Het komt ergens wat shady over, “Verf” op je verfzaak zetten of “123 advocaat” als naam van je maatschap.

Maar op internet kan zo’n beschrijvende naam goud waard zijn, vanwege de hoge waarde die zoekmachines eraan toekennen. Hoewel ik ook daar blijf zitten met een stukje wantrouwen jegens zulke “Welkom bij beschrijvendenaam.nl” sites waarbij consequent geen echte namen worden genoemd maar “Wij van beschrijvendenaam”. Ik krijg dan steeds het gevoel dat dit een snel opgezette site is uit een sjabloontje in plaats van een winkel die echt gericht is op service en de klant van dienst zijn. Jullie ook?

Arnoud

EBay moet filteren op inbreukmakende advertenties

oreal-ebay.jpgHet langverwachte arrest in L’Oréal/Ebay over merkenrechtelijke aansprakelijkheid van exploitanten van online marktplaatsen als eBay, zo noemde Boek 9 het. Het Hof van Justitie bepaalt dat eBay aan te spreken is wanneer haar gebruikers illegale import of namaakproducten verkopen via de wereldwijde elektronische marktplaats, mits eBay ‘actief’ betrokken is bij plaatsen of optimaliseren van de advertentie. De rechtbank kan een site als eBay vervolgens verplichten proactief te filteren op dergelijke advertenties.

Op de marktplaats van eBay werden L”Oréal producten verkocht, waaronder producten die van buiten de EU waren geïmporteerd plus monstertjes die ooit gratis waren uitgedeeld door erkende handelaren. Het Hof oordeelt dat dergelijke handel merkinbreuk is – ook die monstertjes, want die waren nooit echt “op de markt” gebracht. Een merkhouder moet daar dus tegen op kunnen treden. Wel wordt daarbij de beperking aangebracht dat een particulier die iets in de verkoop doet, niet aangesproken kan worden. Pas als uit volume, frequentie of andere kenmerken blijkt dat de handel buiten de sfeer van een privéactiviteit valt, kan er überhaupt sprake zijn van merkinbreuk.

Op zich niet heel verrassend, maar het ging natuurlijk om de vraag of je ook de marktplaatshouder eBay mag aanspreken in die gevallen. Kort gezegd: ja.

Het Hof formuleert een strenge norm, maar erkent wel het principe dat een beheerder van een elektronische marktplaats aangesproken kan worden voor advertenties geplaatst door gebruikers. Advertenties bij eBay kunnen worden verboden door merkhouders wanneer

die advertentie het de normaal geïnformeerde en redelijk oplettende internetgebruiker onmogelijk of moeilijk maakt om te weten of genoemde waren afkomstig zijn van de merkhouder of een economisch met hem verbonden onderneming, dan wel, integendeel, van een derde.

Het is dus niet zonder meer verboden om te adverteren dat je L’Oréal producten verkoopt. Wel verboden is de indruk wekken dat je een band hebt met L’Oréal. Ook verboden is producten te koop aanprijzen die niet met toestemming van de merkhouder in de EU op de markt zijn gekomen.

Dit kan dus betekenen dat eBay moet optreden bij advertenties voor L’Oréal producten als daarbij onvoldoende duidelijk is waar de producten vandaan komen of wat de adverteerder met L’Oréal te maken heeft. En nee, een disclaimertje “zelf gekocht, geen banden met Oreal” is echt niet genoeg daarvoor.

Net als Google is eBay in principe tussenpersoon voor de advertenties die haar gebruikers plaatsen. Zij slaat gegevens op voor haar gebruikers en geeft die door (in een mooi template) wanneer mensen daarom vragen. Maar wanneer eBay “een actieve rol heeft waardoor hij kennis heeft van of controle heeft over die gegevens” bij het doorgeven, dan is ze méér dan hostingprovider.

Het Hof ziet die actieve rol onder meer in advies over “de wijze waarop de verkoopaanbiedingen worden getoond te optimaliseren of deze aanbiedingen te bevorderen”. Dit lijkt in lijn met wat we in Nederland al hebben gezien: sites als Mininova of 123video die zelf uploads categoriseren of de kwaliteit controleren, werden geen rol als tussenpersoon gegund. Oftewel: wie modereert, aanvaardt aansprakelijkheid voor de inhoud. Ik blijf erbij dat dit onacceptabel is: wie adequaat modereert, mag niet aansprakelijk worden voor het er toch nog tussendoor geglipte.

Verder wijst het Hof er nog op dat eBay moet optreden wanneer ze kennis heeft van onrechtmatige advertenties. Dat is natuurlijk bekend uit de notice&takedown procedures die iedere zichzelf respecterende site moet hebben. Maar notice&takedown is niet de enige manier om op de hoogte gesteld te worden. Ook wanneer de beheerder een onwettige activiteit of informatie ontdekt na een op eigen initiatief verricht onderzoek, moet hij optreden. En dat haakt weer in op die actieve rol: een site die advertenties screent, moet dus echt optreden als ze wat zien.

Wanneer eBay weet van inbreuk, kan ze daarnaast door de rechter worden verplicht om niet alleen deze inbreuk te verwijderen of blokkeren maar ook om nieuwe gelijksoortige inbreuken te voorkomen. Jaja, preventief filteren dus. Of NAW-gegevens afgeven, want ook dat kan een plicht worden onder deze omstandigheden. Wel moet er nog een belangenafweging plaatsvinden (Promusicae-arrest, zoals bij ons al eerder in het Lycos/Pessers-arrest bepaald). Maar het Hof laat doorschermen dat professionele handelaren daar weinig van moeten verwachten: hun adres moet al bekend zijn op grond van de e-commercewetgeving, dus afgifte aan een merkhouder met een klacht is eigenlijk altijd wel terecht.

Dat preventief filteren betekent niet dat advertenties het woord “l’Oréal” niet meer mogen bevatten. Een algemeen permanent verbod om op die marktplaats producten van dat merk te koop aan te bieden, is in strijd met de Richtlijn. Bovendien zou het betekenen dat ook legitieme tweedehands of import van binnen de EU niet meer geadverteerd kan worden, en dat is natuurlijk niet de bedoeling.

De grote vraag voor mij nu: wat voor filter kun je implementeren dat inbreukmakende advertenties weert maar legitieme advertenties laat staan? Verder dan blokkeren van een identieke kopie (witruimte negerend bij de vergelijking) van een verboden advertentie, kom ik niet. Jullie wel?

Arnoud

Een hashtag claimen, kan dat?

merk-weetje-van-de-dag.pngGisteren las ik op Marketingfacts over het claimen van een hashtag. Op Twitter wordt een #hashtag gebruikt om allerlei onderwerpen mee te #markeren, zodat je eenvoudiger kunt #zoeken op die termen. Twitteraar Petra de Boevere kreeg te horen dat ze de hashtag #weetjevandedag niet mocht gebruiken, omdat deze als merk gedeponeerd zou zijn en zij daar inbreuk op zou plegen.

Petra:

Omdat ik een zogenaamde “veeltwitteraar” ben deel ik van alles. Dingen die me opvallen, die ik tegenkom, die me intrigeren, die me boos maken of verwonderen. Met de hashtag #weetjevandedag heb ik wel eens getwitterd dat een USB-stick gewoon in de wasmachine kan en het dan nog steeds doet. Of dat inundatie een ander woord is voor het onder water zetten van een stuk land uit strategische overwegingen. Afgelopen vrijdag twitterde ik: “#weetjevandedag op 18 juni 1815 werd Napoleon Bonaparte definitief verslagen bij Waterloo http://bit.ly/bv0EEY” en gisterochtend: “#weetjevandedag op 20 juni 1877 zet Alexander Graham Bell de eerste commerciële telefoondienst op”.

Het merk in kwestie is een beeldmerk (zie plaatje voor het depot) waarin inderdaad de tekst “weetje van de dag” staat. Op beeldmerken kun je in principe alleen inbreuk maken als je het plaatje gebruikt of iets wat daar te veel op lijkt. Het is een oude en lastige discussie of je tekst úit dat plaatje als zodanig ook als merkinbreuk mag zien. Dat kan, als de tekst op zichzelf ook een geldig woordmerk zou kunnen zijn. Maar meestal deponeren mensen dit soort beeldmerken omdat de tekst geen merk kan zijn en ze dan toch nog maar iets gedeponeerd hebben.

Dat lijkt me ook hier het geval. Ik geloof geen seconde dat de term “weetje van de dag” onderscheidend is voor een dienst waarbij je elke dag een weetje meldt. Hoe lang je die dienst ook al verricht, het is en blijft de normale omschrijving voor wat je doet. En daarom kan die term niet als merk beschermd zijn. Het logo natuurlijk wel, maar er kan dan alleen sprake zijn van merkinbreuk als mensen het logo kapen.

Het bedrijf meldt op haar website dat ze een rechtszaak over merkinbreuk gewonnen heeft. Ik kan daarover op rechtspraak.nl of boek9.nl niets over terugvinden, dus dat is lastig te verifiëren. Maar afgaande op de beschrijving daar ging het niet alléén over het merk: ook de inhoud van de mailinglist zou zijn geherpubliceerd. Het lijkt me uitermate sterk dat ze een rechtszaak zouden winnen waarbij zelf bedachte weetjes onder die naam worden verspreid.

Als -en ik zeg áls- iemand een geldig woordmerk heeft, dan zou het merkinbreuk kunnen zijn als je je commerciële twitterberichten voorziet van dat woordmerk als hashtag. “Grolsch vandaag in de aanbieding #bavaria” zou denk ik niet door de beugel kunnen.

Arnoud