Google moet wél buitenlandse e-mails overdragen aan de FBI

| AE 9261 | Privacy, Software | 19 reacties

Een Amerikaanse rechter heeft bepaald dat Google ook e-mails die op servers buiten de VS zijn opgeslagen moet overdragen aan de FBI in een zaak over binnenlandse fraude. Dat meldde Nu.nl onlangs. Deze beslissing staat lijnrecht tegenover de hogerberoepszaak van Microsoft dat géén berichten opgeslagen in het buitenland hoefde af te geven aan de Amerikaanse justitie. Daarmee is vooral de kans levensgroot geworden dat dit naar de Supreme Court gaat, dat zo een definitieve uitspraak moet gaan doen over of Amerikaanse cloudbedrijven nog zaken mogen doen met Europese klanten.

De zaak begon relatief simpel: de FBI had twee warrants bij Google neergelegd om e-mails te vorderen van verdachten in twee strafzaken. De verdachten woonden in de VS, de strafzaken waren in de VS begaan en de andere partijen bij de mails waren ook allemaal Amerikaans. Om technische redenen bleek Google een deel van de maildata toch buiten de VS te hebben opgeslagen, en met een beroep op het Microsoft-precedent van vorig jaar weigerden ze daar dan ook inzage in te geven.

De rechter die de warrant had afgegeven, bepaalt nu dat ook die buitenlandse data gewoon afgegeven moet worden. Het Microsoft-precedent lag anders. Daar was de data in beheer bij een Ierse dochter. Als je daar als Europees burger zaken mee doet, dan sta je wel héél raar te kijken als de FBI je data meeneemt. Dat raakt dan aan je privacyverwachting, en de regels over warrants zijn uiteindelijk geschreven om de privacy van de burger te beschermen.

Hier lag dat anders: als je als Amerikaan met een Amerikaan mailt via de Amerikaanse dienst Gmail, dan wéét je dat de FBI jurisdictie heeft en zo nodig je mails kan opvorderen met een warrant. Dat er dan toevallig op de achtergrond af en toe een blokje van je data in het buitenland staat, maakt dan niet meer uit. Voor hetzelfde geld was die morgen weer terug in de VS en dan hadden we deze hele discussie niet gehad. Dus niks privacyverwachting.

Op zich een begrijpelijke uitkomst, maar het creëert wel weer een hoop onzekerheid over waar we nu staan met de Europese cloud. Want zou het ook zo uitpakken als een van de partijen Europees was? Dat is alweer een stapje verder richting het mogen opvragen van ieders data.

In ieder geval, we hebben nu twee tegengestelde uitspraken over data in het buitenland. En de kans is daarmee levensgroot dat de zaak naar de Supreme Court gaat voor een definitieve beslissing. Of dat goed nieuws is, kun je je afvragen: de Supreme Court is niet perse positief over privacy van buitenlanders. Daar staat tegenover dat zolang er 8 rechters in zitten (in plaats van de gebruikelijke 9) de kans op een ‘hung court’ groot is, en dan blijft het precedent van Microsoft in stand. Dát zou erg waardevol nieuws zijn, want alleen met zo’n uitspraak kan de cloud in stand blijven.

Arnoud

De cloud is (even) gered, Microsoft hoeft geen Europese klantgegevens af te geven

| AE 8793 | Privacy, Strafrecht | 12 reacties

simpsons-cloud-diefstal-data-fotoMicrosoft hoeft e-mails die opgeslagen zijn bij zijn datacenters in Ierland niet over te dragen aan de Amerikaanse rechter. Dat las ik bij Tweakers. In het langverwachte hoger beroep bepaalde het gerechtshof dat de Amerikaanse Justitie geen grond heeft om een Amerikaans moederbedrijf te dwingen data op te halen bij haar niet-Amerikaanse dochters. Daarmee is de cloud even gered, maar ik twijfel er geen seconde aan dat dit naar de Supreme Court gaat.

In 2014 bepaalde de Amerikaanse rechter dat Microsoft Inc. (de Amerikaanse moeder) gehouden kon worden om gegevens van een klant van haar Ierse dochtermaatschappij af te geven als de FBI dat wilde. De wettelijke basis hiervoor (de Stored Communications Act, niet de Patriot Act, mijn excuses voor de verwarring) was twee eeuwen jurisprudentie die zegt dat een Amerikaan die iets heeft dat moet komen brengen als de rechter daarom vraagt. Ook al ligt het iets in kwestie in een ander land. En als je die doctrine loslaat op e-mail dan moet Microsoft Inc de data dus maar gaan halen in Ierland. Of haar dochter bevelen dit te doen, wat ze juridisch kan aangezien dochterbedrijven moeten doen wat hun moederbedrijven zeggen.

Het Hof heeft een fundamentele reden om deze redenering af te wijzen:

When, in 1986, Congress passed the Stored Communications Act as part of the broader Electronic Communications Privacy Act, its aim was to protect user privacy in the context of new technology that required a user’s interaction with a service provider. Neither explicitly nor implicitly does the statute envision the application of its warrant provisions overseas. Three decades ago, international boundaries were not so routinely crossed as they are today, when service providers rely on worldwide networks of hardware to satisfy users’ 21st–century demands for access and speed and their related, evolving expectations of privacy.

Als een wet alleen gemaakt is om gegevens bij Amerikaanse bedrijven op te vragen, dan moet je vanuit rechtszekerheid er vanuit kunnen gaan dat die wat alleen daarvoor gebruikt zal worden. De wet heeft dus geen bevoegdheid geschapen om bij digitale gegevens zo’n wereldwijd ga-maar-halenbevel af te geven. Misschien dat het vandaag de dag handig was geweest als dat er stond, maar wetten worden niet opgerekt vanuit wat vandaag handig is. Zeker strafrecht niet.

De deur staat hiermee nog op een klein kiertje: als het Congres deze wet wijzigt zodat er wél staat dat het mag, dan moet het natuurlijk. Maar het Congres heeft wel wat anders aan z’n hoofd, en je weet als politicus nu al dat je álle ICT-bedrijven over je heen krijgt als je dat gaat proberen. Die kans acht ik niet heel groot.

Waarschijnlijker lijkt me dat de Supreme Court er nog wat over gaat zeggen. Voor Justitie is dit een nogal vervelende uitspraak, dus die zullen zeker proberen een fundamentele uitspraak van het hoogste Hof te krijgen. Dus het blijft nog even spannend. Spannender in ieder geval dan Privacy Shield – ja, leuk lapje tegen het bloeden maar dat houdt écht geen stand als, pardon wanneer de zaak weer bij het Hof van Justitie komt.

Arnoud

Hoe lang mogen Xbox credits geldig zijn?

| AE 6935 | Contracten | 11 reacties

xbox-credits-krediet-tegoed-cadeaubonEen vraag via Tweakers (dank voor de tip Yaz): bij Xbox live moet je een kredietsaldo opbouwen om spellen e.d. te kopen. Dit saldo bouw je op door tegoedkaarten in de winkel te tonen (zoals hiernaast getoond) of door online met je creditcard te betalen. Dit krediet kan vervallen na zekere tijd, en men vroeg zich af of dat rechtsgeldig is. Met name omdat je van tegoedkaart (te zien als waardebon) naar online krediet gaat.

In de context van Xbox lijkt het me niet uit te maken dat je van een papieren/plastic bon naar een digitaal tegoed gaat. Waar het om gaat is dat je een claim hebt, een recht om een nader te kiezen product of dienst te krijgen. Dat het een getal in Microsoft’s database is in plaats van een getal op een papier of in een magneetstrip maakt juridisch volstrekt niets uit. Er is een tegoed, een claim, een vordering.

Het maakt niet uit in welke vorm men het tegoed administreert, want de wet zegt niets letterlijk over waardebonnen, cadeaubonnen, credits of andere dergelijke kredietconstructies. Er is alleen algemene regelgeving over rechten en vorderingen, oftewel juridische claims die je kunt leggen jegens iemand.

Hoofdregel is dat een claim normaal oneindig lang duurt, hoewel dat in het recht nooit echt bestaat. Er is het concept van verjaring, oftewel vanaf dat moment mag je de claim niet meer opeisen bij de rechter. De termijn van verjaring is hier 5 jaar omdat het gaat om een claim die ontstond uit een overeenkomst (art. 3:307 BW).

Je kunt afspreken dat een claim eerder vervalt. Zo’n afspraak is een algemene voorwaarde, en daarover kent de wet een zogeheten zwarte lijst met verboden voorwaarden. Op die lijst staat een verbod op een voorwaarde die een claim binnen een jaar laat vervallen (art. 6:236 sub g BW).

Het maakt hierbij niet uit hoe je de afspraak noemt: verkoopvoorwaarden, EULA, TOS of “dat bordje boven de toog”. Als de afspraak standaard is en voor meerdere klanten wordt gehanteerd, dan is het een algemene voorwaarde en die moet zich dan aan dit verbod houden.

Daarnaast er een grijze lijst van algemene voorwaarden die onredelijk zijn tenzij de winkelier de redelijkheid kan bewijzen. Op deze lijst staat (art. 6:237 sub h BW) een verbod op het laten vervallen van een claim als “sanctie op bepaalde gedragingen, nalaten daaronder begrepen”. Je bon niet inwisselen kun je zien als een nalaten, en het ongeldig verklaren is dan een sanctie. Dit is een minder sterk argument, aangezien er vast wel een redelijk argument is om bonnen te laten vervallen (zoals dat de administratie na x jaar volloopt). Ik vind daarom het zwartelijstargument beter.

Dus: staat er niets bij de bon of kredietkoopfaciliteit, dan is het “oneindig” hoewel je na vijf jaar het niet meer op kunt eisen (verjaring). Staat er wel iets bij, dan moet dat iets minstens één jaar zijn. Staat er dat het minder dan een jaar zou zijn, dan is dat niet rechtsgeldig en dan is het “oneindig”.

Er is wel eens discussie hoe dit zit bij bijvoorbeeld festivalmunten. Dat zijn ook vorderingen, maar het is nogal gek dat ik een jaar na een festival nog een biertje zou kunnen eisen van de organisatie. Binnen het systeem van algemene voorwaarden kom je daar niet uit denk ik.

Er is nog de juridische exception handler van de redelijkheid en billijkheid: als je eis redelijkerwijs onaanvaardbaar zou zijn, dan gaat ie niet door ook al zegt de wet van wel (art. 6:248 BW). Dat zou heel misschien op digitaal tegoed kunnen gelden, maar dan zou ik wel eens willen weten waarom het redelijkerwijs onaanvaardbaar is – oftewel, waarom “kom nou toch, dat is belachelijk” een gepaste reactie is als iemand het probeert.

Ook lees je her en der dat die vijf jaar alleen geldt wanneer er een uitgiftedatum op staat (maar geen vervaldatum). Staat er geen uitgiftedatum op, dan zou de bon oneindig geldig moeten zijn. Ik weet niet waar dat op gebaseerd is. Ik denk dat het idee is dat zonder uitgiftedatum niet te bewijzen is wanneer de verjaringstermijn vervalt. In het topic verwees iemand naar een rechtszaak hierover. Als iemand nog weet welke rechtszaak dat is, dan hoor ik dat heel graag.

Blijft over de vraag of Microsoft zich hieraan moet houden, omdat de EULA vast zegt dat alles onder Amerikaans recht valt. Dat is niet per se rechtsgeldig als men zich duidelijk op Nederland richt. Wie in iDeal af laat rekenen op zijn Nederlandstalige webshop, richt zich op Nederland en valt dus onder ons recht. Afdwingen is vers 2, maar dat is altijd het probleem met consumentenrecht.

Arnoud

Microsoft vecht bevel tot afgifte Europese e-mails aan

| AE 6927 | E-mail, Strafrecht | 20 reacties

Microsoft gaat in beroep tegen een rechterlijk bevel om e-mails van Europese gebruikers te overhandigen aan de Amerikaanse overheid, las ik bij Webwereld. In april had de Amerikaanse Justitie een bevel gegeven aan de Amerikaanse moeder tot afgifte van mails opgeslagen bij Microsofts Ierse dochtermaatschappij. Het bevel wordt nu door de rechtbank bevestigd, maar Microsoft… Lees verder

Microsoft haalt No-IP-domeinen offline vanwege malwaredistributie

| AE 6768 | Aansprakelijkheid, Beveiliging | 22 reacties

Microsoft heeft maandag ruim twintig domeinen van No-IP, een veelgebruikte ddns-provider, offline laten halen, meldde Tweakers. No-IP biedt dynamische domeinnamen die volgens Microsoft veel gebruikt worden door de Bladabindi- en Jenxcus botnets. Met een ex parte temporary restraining order (TRO) heeft Microsoft het voor elkaar gekregen beheerder van 23 domeinnamen in beheer bij No-IP te… Lees verder

Amerikaanse rechter claimt rechtsmacht over data op Europese Microsoft-servers

| AE 6602 | E-mail, Strafrecht | 41 reacties

Een Amerikaanse rechter heeft bepaald dat Microsoft data moet afgeven aan Justitie, ondanks het feit dat die data op een server in Ierland staat en onder beheer is van Microsofts Ierse dochter. Dat meldde Slashdot gisteren. Microsoft had de search warrant aangevochten met de stelling dat de Ierse dochter buiten Amerikaanse jurisdictie valt, maar de… Lees verder

Gelden de EULA’s van Apple en Microsoft eigenlijk wel bij aanschaf van een nieuwe computer?

| AE 6458 | Contracten | 25 reacties

Een lezer vroeg me: Als ik een MacBook van Apple koop (en die koop omvat de computer zelf inclusief het besturingssysteem), krijg ik de AV van Apple (hun EULA) pas te zien als ik de laptop aanzet. Is dat juridisch wel correct? Je moet toch algemene voorwaarden bij de aankoop ter hand stellen en niet… Lees verder

Microsoft verwijdert Tor-software in strijd tegen botnet, mag dat?

| AE 6300 | Beveiliging | 9 reacties

Om het Sefnit-botnet tegen te houden, heeft Microsoft op zo’n twee miljoen computers de anonimiteitssoftware Tor verwijderd, zo las ik bij Daily Dot (via). Sefnit communiceerde via het Tor-netwerk waarmee een hoog niveau van anonimiteit kan worden behaald. Toen Microsoft dit doorhad, was het een kwestie van de Tor software toevoegen aan de detectie van… Lees verder

Mag je OpenOffice verkopen en daarbij aanhaken bij Microsoft’s bekendheid?

| AE 5621 | Auteursrecht, Merken, Open source, Software | 32 reacties

Tip via Twitter: mag je software proberen te verkopen door een ander softwarepakket te imiteren? Het blijkt te gaan om Officedownloadcenter.nl waar men “populaire office software direct [kan] digitaal downloaden”. En nee, dan val ik niet over de onmogelijkheid van analoog downloaden: bekijk die site en zeg me dat je geen seconde aan een Microsoft… Lees verder