Tag: Microsoft

About Microsoft

Subscribe Feeds

Gegevensverwerking in Windows 10 via telemetrie is in strijd met wet

Geplaatst op in Privacy, 38 reacties

De Autoriteit Persoonsgegevens heeft op basis van een eigen onderzoek geconcludeerd dat Microsoft de wet overtreedt door de manier waarop het in Windows 10 gegevens verwerkt. Dat meldde Tweakers vorige week. Uit het onderzoek blijkt dat Microsoft allerlei gegevens van de gebruikers verzamelt, zoals de namen, wachtwoorden, geboortedata, het geslacht, telefoonnummers en e-mailadressen. Dit wordt onder het mom van “telemetrie” doorgestuurd naar Microsoft, maar onduidelijk blijft wat er dan precies mee gebeurt.

Het 241 pagina’s tellende onderzoeksrapport maakt duidelijk dat Microsoft bij gebruikers van Windows 10 voortdurend technische prestatie- en gebruiksgegevens verzamelt van elk apparaat waarop het is geïnstalleerd. Dat heet dan met een mooi neutraal woord “telemetriegegevens”, maar het zijn natuurlijk persoonsgegevens – ze onthullen informatie over de gebruiker, zoals welke apps hij gebruikt of websurfgedrag. Dat is eigenlijk nauwelijks te verantwoorden zonder duidelijke informatie en apart verkregen toestemming.

In de eerste versies van Windows 10 was allesbehalve duidelijk wat er nu precies werd verzameld en voor welk doel. De zogeheten Creators Update veranderde een en ander. Microsoft verduidelijkte dat de telemetriegegevens voor vijf doeleinden gebruikt konden worden:

  1. Fouten oplossen
  2. Apparaten up-to-date en veilig houden
  3. Het verbeteren van Microsoft producten en diensten.
  4. Het tonen van gepersonaliseerde reclame in Windows en Edge, inclusief reclame voor alle apps uit de Windows store
  5. Het tonen van gepersonaliseerde reclame in apps

Die laatste twee waren uit te schakelen, en voor die eerste twee valt wel te verdedigen dat dat misschien wel nodig is in de relatie leverancier-gebruiker. Alleen, bij het onderzoek bleek dat ontwikkelaars nieuwe toepassingen van de data konden implementeren zonder dat daar apart opnieuw melding van (laat staan toestemming voor) gevraagd werd. Een algemene opt-out was er wel, maar dat is niet genoeg (zeker niet omdat ie niet alles outte).

En dat kan gewoon niet, onder de Wbp niet en onder de AVG niet:

Door de combinatie van doeleinden waarvoor de verzamelde gegevens kunnen worden verwerkt en het gebrek aan transparantie, kàn Microsoft geen grondslag verkrijgen voor de gegevensverwerking, zoals toestemming of noodzaak voor de behartiging van haar gerechtvaardigd belang. Daarom kan ook geen sprake zijn van een gerechtvaardigd doeleinde voor de gegevensverwerking bij volledige telemetrie. Daarnaast geldt dat de eerste vier doeleinden zeer algemeen zijn geformuleerd, en daarmee niet voldoen aan het vereiste uit artikel 7 van de Wbp dat doeleinden welbepaald moeten zijn, en uitdrukkelijk omschreven.

Een belangrijk punt waarop Microsoft onderuit gaat, is de informatievoorziening. Nergens is in detail te lezen wat men nu precies verzamelt, laat staan wat daarmee gebeurt. Zelfs systeembeheerders kunnen niet zien wat er allemaal naar Microsoft gaat.

De typische ICT praktijk om in privacyverklaringen “Wij mogen alles doen onder het kader van verbetering van de gebruikservaring” op te nemen en dan te zeggen “dan moet je maar Linux gebruiken” als mensen het niet snappen, is dus eenvoudigweg niet toegestaan onder privacywetgeving. Je moet specifiek en gericht zeggen wat je gaat doen, en als je andere dingen wilt gaan doen dan moet je daar apart op terugkomen. Dat gaat nog een uitdaging worden volgend jaar.

Arnoud

Google moet wél buitenlandse e-mails overdragen aan de FBI

Geplaatst op in Intellectuele rechten, Privacy, 19 reacties

Een Amerikaanse rechter heeft bepaald dat Google ook e-mails die op servers buiten de VS zijn opgeslagen moet overdragen aan de FBI in een zaak over binnenlandse fraude. Dat meldde Nu.nl onlangs. Deze beslissing staat lijnrecht tegenover de hogerberoepszaak van Microsoft dat géén berichten opgeslagen in het buitenland hoefde af te geven aan de Amerikaanse justitie. Daarmee is vooral de kans levensgroot geworden dat dit naar de Supreme Court gaat, dat zo een definitieve uitspraak moet gaan doen over of Amerikaanse cloudbedrijven nog zaken mogen doen met Europese klanten.

De zaak begon relatief simpel: de FBI had twee warrants bij Google neergelegd om e-mails te vorderen van verdachten in twee strafzaken. De verdachten woonden in de VS, de strafzaken waren in de VS begaan en de andere partijen bij de mails waren ook allemaal Amerikaans. Om technische redenen bleek Google een deel van de maildata toch buiten de VS te hebben opgeslagen, en met een beroep op het Microsoft-precedent van vorig jaar weigerden ze daar dan ook inzage in te geven.

De rechter die de warrant had afgegeven, bepaalt nu dat ook die buitenlandse data gewoon afgegeven moet worden. Het Microsoft-precedent lag anders. Daar was de data in beheer bij een Ierse dochter. Als je daar als Europees burger zaken mee doet, dan sta je wel héél raar te kijken als de FBI je data meeneemt. Dat raakt dan aan je privacyverwachting, en de regels over warrants zijn uiteindelijk geschreven om de privacy van de burger te beschermen.

Hier lag dat anders: als je als Amerikaan met een Amerikaan mailt via de Amerikaanse dienst Gmail, dan wéét je dat de FBI jurisdictie heeft en zo nodig je mails kan opvorderen met een warrant. Dat er dan toevallig op de achtergrond af en toe een blokje van je data in het buitenland staat, maakt dan niet meer uit. Voor hetzelfde geld was die morgen weer terug in de VS en dan hadden we deze hele discussie niet gehad. Dus niks privacyverwachting.

Op zich een begrijpelijke uitkomst, maar het creëert wel weer een hoop onzekerheid over waar we nu staan met de Europese cloud. Want zou het ook zo uitpakken als een van de partijen Europees was? Dat is alweer een stapje verder richting het mogen opvragen van ieders data.

In ieder geval, we hebben nu twee tegengestelde uitspraken over data in het buitenland. En de kans is daarmee levensgroot dat de zaak naar de Supreme Court gaat voor een definitieve beslissing. Of dat goed nieuws is, kun je je afvragen: de Supreme Court is niet perse positief over privacy van buitenlanders. Daar staat tegenover dat zolang er 8 rechters in zitten (in plaats van de gebruikelijke 9) de kans op een ‘hung court’ groot is, en dan blijft het precedent van Microsoft in stand. Dát zou erg waardevol nieuws zijn, want alleen met zo’n uitspraak kan de cloud in stand blijven.

Arnoud

De cloud is (even) gered, Microsoft hoeft geen Europese klantgegevens af te geven

Geplaatst op in Privacy, Regulering, 12 reacties

simpsons-cloud-diefstal-data-fotoMicrosoft hoeft e-mails die opgeslagen zijn bij zijn datacenters in Ierland niet over te dragen aan de Amerikaanse rechter. Dat las ik bij Tweakers. In het langverwachte hoger beroep bepaalde het gerechtshof dat de Amerikaanse Justitie geen grond heeft om een Amerikaans moederbedrijf te dwingen data op te halen bij haar niet-Amerikaanse dochters. Daarmee is de cloud even gered, maar ik twijfel er geen seconde aan dat dit naar de Supreme Court gaat.

In 2014 bepaalde de Amerikaanse rechter dat Microsoft Inc. (de Amerikaanse moeder) gehouden kon worden om gegevens van een klant van haar Ierse dochtermaatschappij af te geven als de FBI dat wilde. De wettelijke basis hiervoor (de Stored Communications Act, niet de Patriot Act, mijn excuses voor de verwarring) was twee eeuwen jurisprudentie die zegt dat een Amerikaan die iets heeft dat moet komen brengen als de rechter daarom vraagt. Ook al ligt het iets in kwestie in een ander land. En als je die doctrine loslaat op e-mail dan moet Microsoft Inc de data dus maar gaan halen in Ierland. Of haar dochter bevelen dit te doen, wat ze juridisch kan aangezien dochterbedrijven moeten doen wat hun moederbedrijven zeggen.

Het Hof heeft een fundamentele reden om deze redenering af te wijzen:

When, in 1986, Congress passed the Stored Communications Act as part of the broader Electronic Communications Privacy Act, its aim was to protect user privacy in the context of new technology that required a user’s interaction with a service provider. Neither explicitly nor implicitly does the statute envision the application of its warrant provisions overseas. Three decades ago, international boundaries were not so routinely crossed as they are today, when service providers rely on worldwide networks of hardware to satisfy users’ 21st–century demands for access and speed and their related, evolving expectations of privacy.

Als een wet alleen gemaakt is om gegevens bij Amerikaanse bedrijven op te vragen, dan moet je vanuit rechtszekerheid er vanuit kunnen gaan dat die wat alleen daarvoor gebruikt zal worden. De wet heeft dus geen bevoegdheid geschapen om bij digitale gegevens zo’n wereldwijd ga-maar-halenbevel af te geven. Misschien dat het vandaag de dag handig was geweest als dat er stond, maar wetten worden niet opgerekt vanuit wat vandaag handig is. Zeker strafrecht niet.

De deur staat hiermee nog op een klein kiertje: als het Congres deze wet wijzigt zodat er wél staat dat het mag, dan moet het natuurlijk. Maar het Congres heeft wel wat anders aan z’n hoofd, en je weet als politicus nu al dat je álle ICT-bedrijven over je heen krijgt als je dat gaat proberen. Die kans acht ik niet heel groot.

Waarschijnlijker lijkt me dat de Supreme Court er nog wat over gaat zeggen. Voor Justitie is dit een nogal vervelende uitspraak, dus die zullen zeker proberen een fundamentele uitspraak van het hoogste Hof te krijgen. Dus het blijft nog even spannend. Spannender in ieder geval dan Privacy Shield – ja, leuk lapje tegen het bloeden maar dat houdt écht geen stand als, pardon wanneer de zaak weer bij het Hof van Justitie komt.

Arnoud

Hoe lang mogen Xbox credits geldig zijn?

Geplaatst op in Informatiemaatschappij, 11 reacties

xbox-credits-krediet-tegoed-cadeaubonEen vraag via Tweakers (dank voor de tip Yaz): bij Xbox live moet je een kredietsaldo opbouwen om spellen e.d. te kopen. Dit saldo bouw je op door tegoedkaarten in de winkel te tonen (zoals hiernaast getoond) of door online met je creditcard te betalen. Dit krediet kan vervallen na zekere tijd, en men vroeg zich af of dat rechtsgeldig is. Met name omdat je van tegoedkaart (te zien als waardebon) naar online krediet gaat.

In de context van Xbox lijkt het me niet uit te maken dat je van een papieren/plastic bon naar een digitaal tegoed gaat. Waar het om gaat is dat je een claim hebt, een recht om een nader te kiezen product of dienst te krijgen. Dat het een getal in Microsoft’s database is in plaats van een getal op een papier of in een magneetstrip maakt juridisch volstrekt niets uit. Er is een tegoed, een claim, een vordering.

Het maakt niet uit in welke vorm men het tegoed administreert, want de wet zegt niets letterlijk over waardebonnen, cadeaubonnen, credits of andere dergelijke kredietconstructies. Er is alleen algemene regelgeving over rechten en vorderingen, oftewel juridische claims die je kunt leggen jegens iemand.

Hoofdregel is dat een claim normaal oneindig lang duurt, hoewel dat in het recht nooit echt bestaat. Er is het concept van verjaring, oftewel vanaf dat moment mag je de claim niet meer opeisen bij de rechter. De termijn van verjaring is hier 5 jaar omdat het gaat om een claim die ontstond uit een overeenkomst (art. 3:307 BW).

Je kunt afspreken dat een claim eerder vervalt. Zo’n afspraak is een algemene voorwaarde, en daarover kent de wet een zogeheten zwarte lijst met verboden voorwaarden. Op die lijst staat een verbod op een voorwaarde die een claim binnen een jaar laat vervallen (art. 6:236 sub g BW).

Het maakt hierbij niet uit hoe je de afspraak noemt: verkoopvoorwaarden, EULA, TOS of “dat bordje boven de toog”. Als de afspraak standaard is en voor meerdere klanten wordt gehanteerd, dan is het een algemene voorwaarde en die moet zich dan aan dit verbod houden.

Daarnaast er een grijze lijst van algemene voorwaarden die onredelijk zijn tenzij de winkelier de redelijkheid kan bewijzen. Op deze lijst staat (art. 6:237 sub h BW) een verbod op het laten vervallen van een claim als “sanctie op bepaalde gedragingen, nalaten daaronder begrepen”. Je bon niet inwisselen kun je zien als een nalaten, en het ongeldig verklaren is dan een sanctie. Dit is een minder sterk argument, aangezien er vast wel een redelijk argument is om bonnen te laten vervallen (zoals dat de administratie na x jaar volloopt). Ik vind daarom het zwartelijstargument beter.

Dus: staat er niets bij de bon of kredietkoopfaciliteit, dan is het “oneindig” hoewel je na vijf jaar het niet meer op kunt eisen (verjaring). Staat er wel iets bij, dan moet dat iets minstens één jaar zijn. Staat er dat het minder dan een jaar zou zijn, dan is dat niet rechtsgeldig en dan is het “oneindig”.

Er is wel eens discussie hoe dit zit bij bijvoorbeeld festivalmunten. Dat zijn ook vorderingen, maar het is nogal gek dat ik een jaar na een festival nog een biertje zou kunnen eisen van de organisatie. Binnen het systeem van algemene voorwaarden kom je daar niet uit denk ik.

Er is nog de juridische exception handler van de redelijkheid en billijkheid: als je eis redelijkerwijs onaanvaardbaar zou zijn, dan gaat ie niet door ook al zegt de wet van wel (art. 6:248 BW). Dat zou heel misschien op digitaal tegoed kunnen gelden, maar dan zou ik wel eens willen weten waarom het redelijkerwijs onaanvaardbaar is – oftewel, waarom “kom nou toch, dat is belachelijk” een gepaste reactie is als iemand het probeert.

Ook lees je her en der dat die vijf jaar alleen geldt wanneer er een uitgiftedatum op staat (maar geen vervaldatum). Staat er geen uitgiftedatum op, dan zou de bon oneindig geldig moeten zijn. Ik weet niet waar dat op gebaseerd is. Ik denk dat het idee is dat zonder uitgiftedatum niet te bewijzen is wanneer de verjaringstermijn vervalt. In het topic verwees iemand naar een rechtszaak hierover. Als iemand nog weet welke rechtszaak dat is, dan hoor ik dat heel graag.

Blijft over de vraag of Microsoft zich hieraan moet houden, omdat de EULA vast zegt dat alles onder Amerikaans recht valt. Dat is niet per se rechtsgeldig als men zich duidelijk op Nederland richt. Wie in iDeal af laat rekenen op zijn Nederlandstalige webshop, richt zich op Nederland en valt dus onder ons recht. Afdwingen is vers 2, maar dat is altijd het probleem met consumentenrecht.

Arnoud

Microsoft vecht bevel tot afgifte Europese e-mails aan

Geplaatst op in Privacy, Regulering, 20 reacties

Microsoft gaat in beroep tegen een rechterlijk bevel om e-mails van Europese gebruikers te overhandigen aan de Amerikaanse overheid, las ik bij Webwereld. In april had de Amerikaanse Justitie een bevel gegeven aan de Amerikaanse moeder tot afgifte van mails opgeslagen bij Microsofts Ierse dochtermaatschappij. Het bevel wordt nu door de rechtbank bevestigd, maar Microsoft gaat dus in hoger beroep.

Wie rechtsmacht heeft in de cloud, blijft een lastige vraag. Het lijkt logisch uit te gaan van waar de servers staan, maar dan wordt het met de flexibiliteit van de cloud wel erg makkelijk om van jurisdictie naar jurisdictie te hoppen.

Kijken waar het bedrijf gevestigd is, is dan misschien beter. Maar hoe ga je dan om met buitenlandse dochters? Het doet gek aan dat je die niets zou mogen vragen terwijl ze toch net zo goed deel van het binnenlandse bedrijf zijn.

Binnen het Amerikaanse strafrecht komt deze vraag neer op de vraag hoe je een cloudmailopeising moet kwalificeren: een doorzoeking of een opvraging? Dit zijn grofweg de twee manieren om als Justitie iets te pakken te krijgenL langsgaan of het laten brengen.

Als je het ziet als een doorzoeking, dan is het bevel onterecht: Amerikaanse Justitie of politie mag geen buitenlandse panden doorzoeken, ook niet als ze eigendom zijn van een Amerikaan. Maar als je het ziet als een opeising dan mag het wel: een Amerikaan kan worden gedwongen naar zijn buitenlandse huis te gaan en daar iets op te halen als dat nodig is voor een strafrechtelijk onderzoek.

De rechtbank bevestigt nu dat ze lezing twee hanteert. Microsoft mag de mail dus gaan halen – of kan het haar dochter laten brengen, dat is om het even.

Het is goed dat Microsoft in beroep gaat, want dit maakt het wel érg makkelijk om wereldwijd dingen op te eisen die digitaal opgeslagen staan. Hoewel ik niet meteen een juridisch argument weet tegen het feit dat data geen pand is en dus wel een ding moet zijn, oftewel iets dat opeisbaar is in plaats van doorzoekbaar.

Arnoud

Microsoft haalt No-IP-domeinen offline vanwege malwaredistributie

Geplaatst op in Ondernemingsvrijheid, Security, 22 reacties

botnetMicrosoft heeft maandag ruim twintig domeinen van No-IP, een veelgebruikte ddns-provider, offline laten halen, meldde Tweakers. No-IP biedt dynamische domeinnamen die volgens Microsoft veel gebruikt worden door de Bladabindi- en Jenxcus botnets. Met een ex parte temporary restraining order (TRO) heeft Microsoft het voor elkaar gekregen beheerder van 23 domeinnamen in beheer bij No-IP te worden, om zo de controle over die botnets over te kunnen nemen. Maar wacht even, sinds wanneer kan een private partij domeinnamen afpakken?

Hoewel Microsoft zich beroept op strafwetgeving, is het bevel gebaseerd op het civiele recht. De strafwet overtreden is ook onrechtmatig, oftewel daar mag je een schadeclaim over indienen. Kort gezegd dus: Microsoft en haar klanten lijden schade door het nalatig handelen van No-IP, en de nalatigheid volgt uit die strafrechtartikelen zoals computervredebreuk. En wie schade veroorzaakt, moet daarmee stoppen (en de schade vergoeden). Op zich niet heel bijzonder. In Nederland zou Microsoft een kort geding tegen No-IP beginnen.

Een TRO lijkt een beetje op ons kort geding: er is spoed en er moet nú een maatregel komen om het probleem op te lossen. Ons kort geding is echter een ‘echte’ rechtszaak, met hoor en wederhoor. Een TRO aanvraag is makkelijker te krijgen en de procedure is korter. Zeker als je deze ex parte aanvraagt: dan wordt de wederpartij niet eens gehoord. Dat is in Amerika te rechtvaardigen als er echte bloedspoed is, en rechters zijn er niet happig op dat te erkennen.

In de Microsoft-TRO werd genoeg bloedspoed ontwaard om deze toe te staan, zelfs zonder No-IP te horen. No-IP is daar best boos om: Microsoft zou haar nooit zelfs maar gebeld hebben, en hadden ze dat gedaan dan zou No-IP’s abuseafdeling meteen in actie zijn gekomen. Microsoft zegt dat ze No-IP wél gecontacteerd hebben en dat het bedrijf niets heeft gedaan. Een lastige welles/nietes (lees ook de comments bij het Tweakersartikel met vele gezichtspunten) waarbij ik geen idee heb wie er gelijk zou hebben.

Is de maatregel op zich gepast? Tsja. Als No-IP werkelijk niet adequaat reageert op de botnets bij haar klanten, en Microsoft (en diens klanten) lijden daar werkelijk schade door, dan komt er een moment dat dit een gepaste maatregel is. Botnetschade is serieus en een botnet tegenhouden lijkt me dan ook een goede grond voor juridische acties.

Het alternatief is natuurlijk No-IP dwingen zélf de domeinnamen te blokkeren of verkeer daarheen te filteren (wat Microsoft zelf nu doet). Ik denk dat in Nederland dat eerder opgelegd zou worden bij een kort geding. Het voelt logischer om de schadebeperkende maatregelen op te leggen aan de eigenaar van het spul. Alleen: wie kán dit het beste, Microsoft of No-IP? En wat te denken van het argument dat de domeinnaamhoster zou profiteren van de malware. Dan wil je zeker niet dat zij de opdracht krijgen te gaan filteren.

Wat vinden jullie? Had No-IP gedwongen moeten worden dit zelf te doen? Hoe had dit wél opgelost moeten worden?

Arnoud

Amerikaanse rechter claimt rechtsmacht over data op Europese Microsoft-servers

Geplaatst op in Privacy, Regulering, 41 reacties

cloud-flag-usaEen Amerikaanse rechter heeft bepaald dat Microsoft data moet afgeven aan Justitie, ondanks het feit dat die data op een server in Ierland staat en onder beheer is van Microsofts Ierse dochter. Dat meldde Slashdot gisteren. Microsoft had de search warrant aangevochten met de stelling dat de Ierse dochter buiten Amerikaanse jurisdictie valt, maar de rechter bepaalt nu dat dit geen relevant argument is bij clouddatavorderingen.

Het gelinkte Reuters-artikel legt uit dat het ging om e-maildata van een klant die op servers in Ierland stond. Deze servers worden beheerd door Microsofts Ierse dochter. Toen het moederbedrijf het bevel kreeg deze data af te geven, stapte men naar de rechter – zoals het bedrijf al meerdere malen had gemeld te zullen doen, in een poging angst over wereldwijd Patriotactdatagraaien bij Europese bedrijven en instellingen weg te nemen.

Het argument van Microsoft was gestoeld in twee eeuwen jurisprudentie: de Amerikaanse Justitie kan geen bevel geven om een buitenlands huis (of kantoorgebouw) te doorzoeken, ook niet als dat huis van een Amerikaan is. Daar mag men simpelweg niet in zoeken. En wat is nu het verschil tussen een server en een kantoorgebouw?

De rechter ziet het echter anders: het gaat hier niet om fysiek bezoeken van een locatie maar om het opvragen van data. En het is óók twee eeuwen jurisprudentie dat een Amerikaan die iets heeft dat moet komen brengen als de rechter daarom vraagt. Ook al ligt het iets in kwestie in een ander land. En als je die doctrine loslaat op e-mail dan moet Microsoft Inc de data dus maar gaan halen in Ierland. Of haar dochter bevelen dit te doen, wat ze juridisch kan aangezien dochterbedrijven moeten doen wat hun moederbedrijven zeggen.

Microsoft gaat bezwaar maken tegen deze beslissing. Een goede zaak, want dan krijgen we eindelijk eens écht duidelijkheid over hoe ver Amerikaans clouddatagraaien nu mag gaan. (Overigens gaat het hier niet om de Patriot Act maar de Stored Communications Act, qua concept vergelijkbaar met ons Wetboek van Strafvordering. En nu vraag ik me dus af of onze wet ook zo te lezen zou zijn als toepasselijk op data op een in het buitenland gehoste server van een Nederlands bedrijf. Ik kan er alleen niets over vinden…

Arnoud

Gelden de EULA’s van Apple en Microsoft eigenlijk wel bij aanschaf van een nieuwe computer?

Geplaatst op in Informatiemaatschappij, 25 reacties

safari_license_agreement.jpgEen lezer vroeg me:

Als ik een MacBook van Apple koop (en die koop omvat de computer zelf inclusief het besturingssysteem), krijg ik de AV van Apple (hun EULA) pas te zien als ik de laptop aanzet. Is dat juridisch wel correct? Je moet toch algemene voorwaarden bij de aankoop ter hand stellen en niet pas na thuiskomst?

Een EULA valt in Nederland onder het regime van algemene voorwaarden. Dat houdt in dat ze al snel van toepassing zijn – meer dan melden en ter hand stellen van de tekst is niet nodig. Daar staat tegenover dat ze niet onredelijk bezwarend mogen zijn (bij consumenten). Dat een EULA in Nederland niet rechtsgeldig is, is dus een fabeltje.

De eis van ter hand stellen houdt in dat je voor of bij het sluiten van de overeenkomst de tekst van de EULA te zien moet krijgen. Slechts wanneer het praktisch gezien onmogelijk is om ze te overhandigen, mag je volstaan met melden dát ze er zijn en waar ze in te zien zijn. De Albert Heijn hoeft dus niet bij de kassa haar voorwaarden uit te delen, maar mag ze bij de servicedesk beschikbaar houden.

De vraag is dus of een computerwinkel vergelijkbaar is met Albert Heijn. Dan is het genoeg om te zeggen “Let op: EULA van toepassing op de software” en deze EULA aan de balie op voorraad te houden. Zijn ze ‘kleiner’, dan moet de EULA uitgeprint meegegeven bij elke aanschaf van een computer.

Gek genoeg is er bij mijn weten geen computerboer die bij aanschaf van een PC of Mac zelfs maar die opmerking plaatst dát er een EULA van toepassing is op de software die je koopt. Op dozen van sommige softwarepakketten (zoals Windows 7) staat het wel op de achterkant, dat lijkt me op zich wel genoeg. Maar bij voorgeïnstalleerde (OEM) software krijg je geen doos, dus ook geen achterkanttekst over de algemene voorwaarden.

Wie dus zwaar op de juridische hand wil zijn, mag nu concluderen dat EULA’s op dergelijke preinstalled software en masse niet bindend zijn.

Je vraagt je af waarom niemand daar ooit een punt van maakt. Omdat niemand wakker ligt van EULA’s? Omdat we gedresseerd zijn op “Accept” te klikken bij het installeren?

Arnoud

Microsoft verwijdert Tor-software in strijd tegen botnet, mag dat?

Geplaatst op in Security, 9 reacties

microsoft-botnet-tor-sefnit-bestrijdingOm het Sefnit-botnet tegen te houden, heeft Microsoft op zo’n twee miljoen computers de anonimiteitssoftware Tor verwijderd, zo las ik bij Daily Dot (via). Sefnit communiceerde via het Tor-netwerk waarmee een hoog niveau van anonimiteit kan worden behaald. Toen Microsoft dit doorhad, was het een kwestie van de Tor software toevoegen aan de detectie van haar Safety Scanner en zien hoe het aantal installaties achteruit ging. Maar mag dat?

De reden dat Tor wordt verwijderd, is omdat oude versies daarvan lek blijken te zijn, en daardoor eenvoudig te infecteren door het botnet. Zo te lezen worden enkel die oude versies geraakt, wie een recente versie van Tor heeft, zou nergens last van moeten hebben.

In Nederland hebben we het concept zaakwaarneming: “Het zich willens en wetens en op redelijke grond inlaten met de behartiging van eens anders belang” zonder daartoe bevoegd te zijn, artikel 6:198 BW. Het standaardvoorbeeld is bij de afwezige buren het overkokende pannetje melk van het gas halen, waarbij het zelfs toegestaan is de achterdeur te forceren. Maar het principe geldt voor alle soorten handelingen, dus er is geen principiële reden waarom het niet zou gelden op computers of internet.

Wel geldt er een noodzakelijkheidsvereiste en een proportionaliteitsvereiste. Je moet niet anders kunnen, dus de buren moeten écht met vakantie zijn en er moet niemand zijn die snel de sleutel kan pakken. En je mag niet verder gaan dan nodig om direct de situatie op te lossen; het huis voorzien van brandmelders en blusinstallatie gaat te ver en is dus geen zaakwaarneming.

In 2010 verwijderde de politie de Bredolab-botnetsoftware van geïnfecteerde computers, na toegang te hebben gekregen tot command&control servers daarvan. Ook daar kon ik niets anders bedenken dan zaakwaarneming om dit te rechtvaardigen.

Microsoft zou wellicht nog kunnen zeggen dat zij via de EULA van Safety Scanner het recht heeft dit te doen. Die zegt immers

The software will check for and remove certain high severity malicious software (“Malware”) stored on your device when you select this action. …
The software will only remove or disable low to medium severity Potentially Unwanted Software if you agree.

Maar is dat genoeg? We hebben immers een cookiewet die expliciete toestemming eist (oftewel niet slechts in een EULA of privacyverklaring opgeëist) voordat je gegevens mag opslaan of uitlezen via een netwerk. Oh, hee, dat is wel apart: het verwijderen van gegevens staat daar niet bij. Dan val je terug op de algemene regel dat er een grond moet zijn, en een EULA kan op zich best een grond geven om acties op een computer uit te voeren.

Dus hm. Het lijkt te mogen, zeker gezien die EULA. Maar toch voelt het als erg vérgaand. Zeker als (wat me niet duidelijk is) het om Tor als zodanig gaat, in plaats van enkel om geïnfecteerde versies van Tor. Het verwijderen van geïnfecteerde software vind ik minder ernstig dan het verwijderen van infecteerbare software.

Update: in de comments wordt gemeld dat het hier enkel ging om Tor-installaties die meegekomen waren met de Sefnit-malware. Andere versies (en waarschijnlijk zelfs de betreffende versie als deze anderszins geinstalleerd was) werden met rust gelaten.

Arnoud

Mag je OpenOffice verkopen en daarbij aanhaken bij Microsoft’s bekendheid?

Geplaatst op in Intellectuele rechten, Ondernemingsvrijheid, 32 reacties

Tip via Twitter: mag je software proberen te verkopen door een ander softwarepakket te imiteren? Het blijkt te gaan om Officedownloadcenter.nl waar men “populaire office software direct [kan] digitaal downloaden”. En nee, dan val ik niet over de onmogelijkheid van analoog downloaden: bekijk die site en zeg me dat je geen seconde aan een Microsoft Office-licentieverkoop dacht.

Tussen de regels door is het vrij duidelijk dat men hier OpenOffice (of LibreOffice) aanbiedt: dat is het enige legitieme LGPL-gelicentieerde officepakket dat op een beetje fatsoenlijke wijze compatibel is met de Microsoft Office® suite. En ja, open source verkopen mag. Het is volstrekt legaal om geld te vragen voor het verspreiden van open source, Red Hat en vele anderen zijn er groot mee geworden.

Onderdeel van de consumentenwetgeving is een verbod op oneerlijke handelspraktijken. “Een handelaar handelt onrechtmatig jegens een consument indien hij een handelspraktijk verricht die oneerlijk is”, staat in 6:193a BW. Ik moet altijd lachen om lid 4 dat hiervan uitzondert de “gangbare en rechtmatige reclamepraktijk waarbij overdreven uitspraken worden gedaan of uitspraken die niet letterlijk dienen te worden genomen”, maar dat terzijde. Iets relevanter is namelijk artikel 193c iets verderop, dat letterlijk verbiedt dat:

a. door de marketing van het product waaronder het gebruik van vergelijkende reclame verwarring wordt geschapen ten aanzien van producten, handelsmerken, handelsnamen of andere onderscheidende kenmerken van een concurrent;

Ik zet voor de grap even twee logo’s naast elkaar, links deze verkoopsite en rechts het logo van Microsoft Office®tm©:

niet-echt-legitiem

Dat vierkant heeft exact dezelfde kleurstelling, ook het lettertype is volgens mij hetzelfde als wat Microsoft gebruikt om de titel van hun merkproduct te vermelden. Toegegeven, het woord ‘Microsoft’ ontbreekt en ‘Office’ is geen merknaam maar voor de oneerlijke handelspraktijken is het niet vereist dat je letterlijk andermans naam of logo gebruikt: het is genoeg als er “verwarring wordt geschapen”. En daar twijfel ik geen seconde aan.

Verderop staat er nog deze:

compitabel-ahem

en daar staat wél het Microsoft logo. Maar dat kan denk ik net wel: je mag van de merkenwet aangeven waar je eigen producten of diensten voor bestemd zijn of “compitabel” (ahem) mee zijn. En dat geldt ook voor logo’s. Wel geldt de eis dat je geen verwarring mag stichten over de relatie tussen jouw product en dat van de merkhouder. Met een logo zit je sneller aan verwarring dan met enkel een naam, maar een automatisme is het niet.

Ook misleidend is het om valselijk de indruk te wekken dat je bijna ‘los’ bent met je voorraad:

bedrieglijk beweren dat het product slechts gedurende een zeer beperkte tijd beschikbaar zal zijn … om de consument onmiddellijk te doen beslissen en hem geen kans of onvoldoende tijd te geven een geïnformeerd besluit te nemen;

En dan zie ik een statement dat er nog slechts “twee exemplaren beschikbaar” zijn en dat men “niet lang in staat” is een kortingsactie lang in de lucht te houden vanwege “het beperkt aantal exemplaren”. Wat dát moet betekenen in de context van software die je onbeperkt mag kopiëren (en verkopen) ontgaat me volledig. Natuurlijk, je mag best op zeker moment je prijs aanpassen en met de tijd tot dat moment kun je prima urgentie creëren maar ik zie hier toch echt een bewering in dat de goedkope licenties straks op zijn.

Detail is wel dat formeel de Wet oneerlijke handelspraktijken alleen ter bescherming van consumenten geldt. Een concurrent die last heeft van zo’n handelspraktijk kan er dus geen beroep op doen. Microsoft zou dus niet direct met deze wet een halt kunnen toeroepen aan deze site. Ze zouden het op het merkenrecht moeten gooien, of jurisprudentie moeten creëren dat indirect die wet toch óók tot onrechtmatig handelen jegens concurrenten leidt. U weet wel, de exception handler in het recht die maatschappelijke zorgvuldigheid heet.

Er is nog het meer algemene artikel over misleidende reclame (art. 6:194 BW)., dat expliciet misleiding over “de omvang van de voorraad” noemt. Daar zou je dus dat beschikbaarheidsverhaal ook onder kunnen vegen. Ook misleiding over de aard en afkomst van het product mag niet, en doen alsof je Microsoft®&#24B9; Officetm℗ bent, lijkt mij daar wel onder te vallen.

Dat de domeinnaam achter een proxy zit, en ook alle informatieplichten voor internetdienstverleners schendt, wekt ook al weinig vertrouwen. Het niet noemen van je naam, adres en contactgegevens als online handelaar is trouwens óók een oneerlijke handelspraktijk (art. 6:193f BW) en zelfs formeel een strafbaar feit (economisch delict).

Oh, er staat ook nog een groot plaatje van een typische Microsoft-Officeverpakking met daarin de tekst “legale office pakketten” en de URL OrangeOffice.eu, waar men zich enige tijd geleden bij het TROS Radar-forum over opwond. Ook bij Klacht.nl lees ik alleen maar verhalen van mensen die dachten MS Office te krijgen en tot hun verrassing Open Office ontvingen.

Zien jullie nog meer?

Update (12 juni): bij Webwereld hebben ze Microsoft gebeld, en die zijn MS Boos®:

“De algehele indruk die gewekt wordt op de site is op zijn minst misleidend”, reageert Microsoft Nederland dinsdagnamiddag op vragen van Webwereld. “Deze kwestie is dan ook direct aan het hoofdkantoor van Microsoft gerapporteerd. Zij zullen deze kwestie verder oppakken.”

Ondertussen is de site enigszins aangepast.

Arnoud