Apple haalt tientallen gokapps uit Nederlandse App Store

onlinegokken.jpgTientallen apps voor casino’s en sportweddenschappen zijn door Apple uit de App Store verwijderd, meldde de NOS vorige week. Dit naar aanleiding van verzoeken van de Nederlandse Kansspelautoriteit; kansspelen organiseren is immers verboden en een app die dat faciliteert dus ook. Maar toch vind ik dit gek: hoezo vráág je zoiets als toezichthouder, en dan ook nog eens aan een andere partij dan de aanbieder van die kansspelen?

In Nederland is het organiseren van kansspelen al heel lang wettelijk verboden. Er komt verandering aan, met name ten voordele van internetgokken, maar dat duurt nog even. Tot die tijd mag je dus Nederlanders niet laten gokken (althans niet als er geld te winnen is, behalve als promotioneel kansspel).

Daar kun je van alles van vinden, maar juridisch gezien lijkt het me in de haak dat de Kansspelautoriteit op zoek gaat naar overtreders en ze vervolgens een last onder dwangsom oplegt om daarmee te stoppen. Dat is immers de geëigende weg: er is een wet, er is een toezichthouder die iets een overtreding vindt en dan komt er een last (besluit met verplichting). Daar kun je dan tegen in bezwaar bij de Ksa zelf, en daarna naar de bestuursrechter.

De route die hier wordt gekozen, doet bepaald raar aan. In plaats van een besluit te nemen tegen de aanbieders van de app of het achterliggende spel, zegt de Ksa tegen Apple “volgens ons is dit illegaal, wilt u daar wat aan doen” en dan haalt Apple die apps uit de store. Ja, notice en takedown bestaat en Apple verbiedt in haar voorwaarden apps die in strijd zijn met toepasselijke wetgeving. Dus Apple staat in haar recht, volgens mij.

Alleen: ik blijf erbij dat een overheidsinstantie niet mag vragen. Niet kán vragen. Natuurlijk, ze kunnen dingen in de vragende vorm formuleren en er bij zeggen dat het geen verplichting is et cetera et cetera. Maar uiteindelijk blijft het een uitspraak van een overheidsinstantie die een paar stevige knuppels in de kast heeft staan. En dan komt het toch een heel eind over als een bevel.

Dat is dus waarom we die constructie hebben van besluiten, bezwaar en beroep bij de rechter. Net als in het strafrecht, waar de politie geen dingen vraagt maar ze vordert. Bij die vorderingen staan grenzen en procedures in de wet (met name het wetboek van Strafvordering), en die heeft men dan te volgen. Zo weten we dat de gevorderde zaken legaal zijn en netjes verlopen. En als dat niet gebeurt, dan kan de rechter daar wat mee doen.

Hier gaat het mis. De aanbieders van de apps kunnen niets doen tegen de Ksa, want formeel is er geen besluit tegen ze genomen dat die apps illegaal zijn. Ook kunnen ze niet protesteren bij Apple, want Apple mag immers doen wat haar goeddunkt zo staat in de voorwaarden (en bij zakelijke partijen is dat in principe legaal om in je voorwaarden te zetten). Maar raar is het wel.

Arnoud

EC formuleert samen met techbedrijven gedragsregels tegen haatzaaien op internet

leeuw-boos-trol-figuur.jpgSamen met Microsoft, Facebook, YouTube en Twitter heeft de Europese Commissie een gedragscode tegen haatzaaien op internet opgesteld, meldde Tweakers vorige week. Daarin is onder andere vastgelegd dat dergelijke inhoud binnen 24 uur verwijderd wordt. De gedragscode is een uitvloeisel van nieuwe wetgeving voor online mediaplatforms.

Het doet wat gek aan, maar gezien de partijen waarmee de EC dit heeft opgesteld toch weer logisch. In het Amerikaans recht, waar deze clubs vandaan komen, staat de vrijheid van meningsuiting op een hoog voetstuk. Tussenpersonen zoals forumbeheerders zijn daarom volledig beschermd tegen aansprakelijkheid (47 U.S.C. § 230) voor hetgeen hun gebruikers plaatsen. Hierop geldt slechts één uitzondering: wanneer een forumlid een auteursrechtinbreuk begaat, is de beheerder gehouden op klacht de inbreuk te beëindigen (een DMCA notice/takedown). Maar ook al staat je sociale netwerk vol met de meest ranzige haat, je bent er formeel niet aansprakelijk voor.

In het Europese recht ligt de bescherming van tussenpersonen genuanceerder. De E-commercerichtlijn bepaalt dat tussenpersonen wiens dienst eruit bestaat dat zij informatie van anderen opslaan en doorgeven, niet aansprakelijk zijn voor de inhoud wanneer zij deze niet vooraf screenen en een adequaat notice-takedown regime hanteren. Dit betreft echter alle mogelijke onrechtmatige inhoud, en niet alleen auteursrechtinbreuk. Je moet dus bij ons sowieso al in actie komen als er haatzaai-inhoud geplaatst wordt.

Wel zit je natuurlijk met de lastige vraag wanneer sprake is van dergelijke inhoud. Onder de huidige regels moet sprake zijn van onmiskenbaar onrechtmatige inhoud, oftewel iets waar niet aan te twijfelen valt. De gedragscode maakt daar geen verwijzing naar. Wel zie ik een definitie van haatcontent, en die is specifiek gericht op bevolkingsgroepen en xenofobie:

all conduct publicly inciting to violence or hatred directed against a group of persons or a member of such a group defined by reference to race, colour, religion, descent or national or ethnic origin.

Je vraagt je dan af waarom niet doorgepakt naar álle vormen van discriminatie, zoals op grond van geslacht of seksuele voorkeur. Misschien omdat het zo beter te verkopen was aan de Amerikanen? Of omdat de werkgroepen in kwestie alleen gericht zijn op rassendiscriminatie?

De bedrijven beloven in principe binnen 24 uur te reageren op onderbouwde klachten, en wel door de berichten te blokkeren of weg te halen. Ook zeggen ze toe hun gebruikers op te gaan voeden op dit punt.

Ik zit een beetje in dubio. Enerzijds is dit (volgens Europese en Nederlandse regels) niets nieuws. Je moest sowieso al reageren op alle (evident juiste) klachten, ook bij haatzaaien en discriminatie. Je moest sowieso al op de stoel van de rechter gaan zitten als hoster/tussenpersoon en ingrijpen. “Kom maar terug met een gerechtelijk bevel” was nooit een geldige reactie. Maar anderzijds voelt het alsof er nu iets nieuws ingevoerd wordt, alsof de lat lager ligt en de verplichting hoger. Ik krijg er alleen niet de vingers achter waar hem dat in zou zitten.

Arnoud

Mag een bedrijf een datalek-publicatie offline halen?

persoon-persoonsgegeven-veilig-hek-beschermd-lek-dataEen lezer vroeg me:

Kan een bedrijf als Ashley Madison iedere website offline halen die hun gelekte data publiceert? Ik snap dat ze bepaalde rechten hebben op die data, maar er is toch ook zoiets als het algemeen belang, kunnen weten of je getroffen bent door deze datalek?

Vorige maand werden bij de datingsite data gestolen van 32 miljoen gebruikers, inclusief namen, adressen en creditcardtransacties. Kort daarna verschenen diverse sites waar deze data op gepubliceerd werd, zoals https://ashleymadisonleakeddata.com/

Wie nu op die site kijkt, ziet echter “I received a takedown notice from Avid Dating Life Media, Inc. so I’m forced to shut down this site”. De datingdienst heeft onder de Digital Millennium Copyright Act een bezwaar gestuurd: deze publicatie schendt ons auteursrecht en moet onmiddellijk offline. Onder het Amerikaans auteursrecht moet een hoster daar gehoor aan geven, en pas daarna gaan we eens uitzoeken hoe het zit.

Althans, áls er een geldig auteursrecht wordt geschonden. En dat kun je je ten zeerste afvragen. Voor auteursrecht is vereist dat de maker enige creativiteit in het werk stopte. Enkel veel data verzamelen of hard werken om het werk te maken, is gewoonweg niet genoeg. Niet bij ons en niet in de VS.

Ik zou werkelijk niet weten welke creativiteit er zit in een klantenbestand. In Europa bestaat er nog het databankrecht, waarmee je als producent van een dataverzameling rechten kunt claimen. Maar dat recht kennen ze niet in de VS.

Natuurlijk kun je zo’n bestand je “intellectual property” noemen, maar dat is een term zonder juridische betekenis. Data is geen eigendom, en “intellectueel eigendom” is jargon voor auteursrecht, octrooien en dergelijke. Meer niet. Je kunt je dus bij de rechter niet op je IP beroepen als je geen auteursrecht (of dergelijk recht) kunt aanwijzen.

Dus nee, ik heb geen idee op welke grond Ashley Madison meent dat zij een takedown mogen doen van die data.

Daar staat wel tegenover dat publicatie van die data de privacy schendt van de getroffen gebruikers. Daarmee zou je dus wel tegen de wet handelen. Alleen is dat niet iets waar het bedrijf iets tegen kan doen: een privacyschending is het probleem van de getroffen burger, niet van het bedrijf.

Bovendien geldt in de VS dan nog de specifieke regel dat je als hoster nóóit gehouden bent data te verwijderen op welke grond dan ook (zelfs als de inhoud strafbaar is), behalve bij auteursrechtinbreuk. Bij ons is dat breder: je moet als hoster optreden bij iedere evidente overtreding van de wet, dus ook bij privacyzaken. In Europa zou een getroffen persoon dus kunnen eisen dat zijn data offline gaat.

Arnoud

Moet je bij een notice/takedown je hele GitHub repository verwijderen?

notice-takedownEen lezer vroeg me:

Als ik in mijn GitHub repository een pull-request binnenhaal waar ik later een notice and takedown over krijg, voldoet het dan om met een nieuwe commit de omstreden code te verwijderen (de omstreden code blijft dan in in de git historie beschikbaar) of moet ik dan de hele repository verwijderen?

Voor de niet-programmeurs:

Als ik in de online broncode-opslag van mijn softwareproject code van elders toevoeg, en iemand klaagt dat daardoor zijn auteursrechten door geschonden worden, is het dan genoeg om deze code te wissen uit de meest recente versie van mijn project, of moet ik deze ook uit het archief met oude versies wissen?

Wanneer je een kopie van andermans software publiceert of verspreidt, is het mogelijk dat je daardoor auteursrechten schendt. Dit staat los van de techniek die je gebruikt, via een flitsende GitHub repository of heel ouderwets op een FTP server of website. Krijg je een klacht van de rechthebbende, dan zul je maatregelen moeten nemen en eentje daarvan is het staken van de inbreuk.

Bij zo’n ouderwetsche website is dat eenvoudig: weg is weg. Maar GitHub is een veel moderner en handiger systeem, en heeft onder meer een uitgebreid archief waarin je alle oude versies en varianten van de software kunt opvragen. Dan kun je het dus wel uit de huidige versie van de software halen, maar zit er nog steeds een kopie in dat archief.

En ja, ook die moet weg want ook een kopie in een archief telt als “verveelvoudiging” en als die in strijd is met auteursrechten dan moet er worden ingegrepen. Het argument dat het een historisch document is, of dat het veel werk is om die oude kopie op te ruimen, is niet relevant. Het had er nooit mogen staan, dus bij deze moet het alsnog weg.

Arnoud

Misbruik van de DMCA, hoe werkt dat eigenlijk?

youtube-dmca-takedown-noticeOnlangs las ik bij Popehat weer een prachtig verhaal over hoe de DMCA misbruikt wordt om onwelgevallige meningen te verwijderen. Het ging hier om een videospelmaker die een recensie op Youtube niet beviel en deze wegens auteursrechtschending weg liet halen. Dat is natuurlijk een werkelijk schandálige inbreuk op free speech en the American way. Nee maar serieus: kan dat zomaar, iets weg laten halen via de DMCA als de inhoud je niet bevalt?

De DMCA oftewel Digital Millennium Copyright Act is een aanpassing aan de Amerikaanse Auteurswet die onder meer een beperking van aansprakelijkheid voor internetdienstverleners zoals webhosters regelt. Zij zijn niet aansprakelijk voor auteursrechtinbreuk door een handeling van een gebruiker, mits ze maar direct na een klacht het materiaal offline halen. De gebruiker mag vervolgens reageren op de klacht, en daarna mogen klager en gebruiker het met elkaar uitzoeken en zit de provider er niet meer tussen.

Of nou ja, ik zeg wel beperking maar eigenlijk is het weer een verruiming: op grond van eerdere wetgeving (de Communications Decency Act, CDA) was een provider in de VS namelijk nérgens voor aansprakelijk als klanten of gebruikers het online zetten. Of het nu ging om smaad, haatzaaien, privacyschending of kinderporno: geen aansprakelijkheid want het gaat hier om meningsuitingen en daar is men fel op in de VS. Maar auteursrechten zijn ook heel belangrijk, dus vandaar dat die wél weg moesten na een klacht.

In ieder geval, dat is dus het proces dat de DMCA introduceerde. Na een klacht (notice) gaat het materiaal offline (takedown) en daarná kijken we eens of dat terecht was en hoe en wat. En de klager moet weliswaar een gezworen verklaring doen, maar die betreft alleen het feit dat hij namens de auteursrechthebbende spreekt. Formeel is het niet verboden een DMCA notice in te dienen terwijl je weet of redelijkerwijs moet weten dat de publicatie geen auteursrechtschending oplevert.

Want nee, een recensie met daarin videobeelden van een spel zal niet snel auteursrechtschending zijn onder Amerikaans recht. Zoiets wordt al heel snel ‘fair use’ genoemd: het opnemen van delen van een werk voor commentaar (al dan niet abject en infaam, dat mag immers van free speech) daarop is in principe legaal.

Maar negatieve reviews zijn bepaald onprettig, dus het auteursrecht biedt dan een haakje een klacht in te dienen. Een tekstuele review is niet aan te pakken vanwege die CDA: je kunt de provider niet aanklagen wegens beweerdelijke smaad. Maar eentje met beeld of geluid uit je spel kan wél: auteursrecht immers. En onder Amerikaans recht hoeft/mag de provider géén inhoudelijke afweging maken: na een klacht gaat het werk offline en daarna gaan we praten. Hinderlijk, zeker bij bedrijven als Youtube waar het hele proces automatisch gaat en je bovendien na drie klachten je account verliest.

In Europa zijn de regels iets anders. Een provider is niet aansprakelijk voor wat hij doorgeeft, mits hij maar ingrijpt bij terechte klachten. Dat betreft niet alleen auteursrechten maar ook bijvoorbeeld smaad, privacyschending of (in theorie) het ten onrechte gebruiken van de meester-titel door een gebruiker. De provider moet de klacht dus inhoudelijk onderzoeken, en als deze evident juist is, het materiaal offline halen. Hij mag daarbij de input van de gebruiker vragen.

Er zit dus in Europa geen automatisme in dat na een klacht het offline móet. Dat maakt de discussie iets fairder, hoewel een provider natuurlijk nog steeds snel kan beslissen dat de klacht terecht is. En met goede algemene voorwaarden is een tegenclaim wegens te snel offline halen snel te pareren.

Ik moet zeggen, ik weet niet welk systeem fairder is. Het Amerikaanse systeem is te automatiseren, en je vangt alleen de speciale gevallen op waarin mensen piepen voor handmatige afhandelingen. Bovendien is auteursrecht nog wel te beoordelen, in tegenstelling tot zeg een privacyschending of dat voeren van de mr-titel. In het Europese systeem moet je elke klacht evalueren en dat levert meer werk op, zeker als je ook in andere rechtsgebieden moet oordelen. Maar het is iets gebalanceerder omdat een takedown niet zomaar mag gebeuren.

Arnoud

Kabinet wil notice/takedown van extremistische uitingen opvoeren

Het kabinet wil verspreiding van online radicaliserende, haatzaaiende, gewelddadige jihadistische informatie tegengaan, maakte men vorige week bekend. Onderdeel daarvan is een specialistisch team dat notice/takedownbevelen gaat geven aan tussenpersonen zoals Facebook. “Ook maakt het team afspraken met internetbedrijven over effectieve blokkeringen.”

Onder de huidige wet is het mogelijk een bevel tot verwijdering te geven van een strafbare uiting (art. 54a Strafrecht). Wel vereist dit een machtiging van de onafhankelijke rechter-commissaris – de Nederlandse variant op wat in de VS een “gerechtelijk bevel” heet. Er is dus géén rechtszaak nodig waarin de tussenpersoon of de plaatser gehoord hoeft te worden.

Het persbericht lijkt te suggereren dat men het eerst vrijwillig wil vragen. Er is immers een notice/takedown gedragscode waar diverse internetbedrijven zich aan hebben gecommitteerd (al kan ik geen lijst vinden) en via die code mag iedereen vragen of iets weggehaald kan worden als het evident onrechtmatig is.

Iedereen? Nou ja bijna iedereen: volgens mij mag de politie echt niet vrijwillig vragen. Bevoegdheden van politie en Justitie zijn wettelijk geregeld, en alles dat men doet moet te herleiden zijn tot een bevoegdheid. En omgekeerd, als iets te herleiden is tot zo’n bevoegdheid dan móet men die gebruiken.

Inclusief de bij die bevoegdheid opgenomen grenzen. Dat is namelijk het punt: in de wet zijn waarborgen opgenomen, en die kun je dan niet zomaar passeren door het “vrijwillig vragen” te noemen. Zeker als je bedenkt dat veel mensen niet weten wanneer de politie iets vraagt en wanneer ze iets beveelt, of hoe je effectief “nee” kunt zeggen als de ondertoon is “dan komen we terug met een bevel en gaat je hele tent op z’n kop, plus je riskeert dan zelf vervolgd te worden”.

In het wetsvoorstel computercriminaliteit III werd overigens in eerste instantie voorgesteld die toets door de rechter-commissaris te schrappen. Maar de tekst zoals die er nu ligt, vereist wél (in nieuw art. 125p Sr) een machtiging van de rechter-commissaris.

Ik heb geen idee van hoe zeer Facebook of Twitter onder de indruk zal zijn van een Nederlands bevel.

Arnoud

Aansprakelijk voor je algoritmes

uploading.pngWie anderen informatie op zijn site laat plaatsen, is daarvoor niet aansprakelijk mits hij snel ingrijpt bij klachten. Echter, dat geldt alléén voor de user-generated content als zodanig. Wat je zelf daar vervolgens mee doet, al dan niet met een algoritme, komt alsnog voor je eigen rekening. Dat maak ik op uit een vonnis van eind vorig jaar over nieuwssite De Nieuwe Krant.

De site liet gebruikers nieuws plaatsen, en daarbij werden langs geautomatiseerde weg populaire artikelen geselecteerd en op de homepage geplaatst. Toen (uiteraard) Cozzmoss dat ontdekte, volgde gelijk een forse claim. DNK wilde dit pareren met een beroep op het beschermingsregime voor tussenpersonen (hosters): zij plaatste niet zelf de artikelen maar liet gebruikers dat doen, en ze reageerde adequaat op klachten. Dat er artikelen van Cozzmoss-achterban op de homepage kwamen, kwam uitsluitend omdat een algoritme dat volautomatisch bedacht. DNK had daarmee niet zelf redactionele invloed op deze selectie.

De rechtbank haalt uit het Europese eBay-arrest dat een tussenpersoon volstrekt neutraal moet zijn en geen controle mag hebben over wat waar terecht komt. Dat is op zich juist, maar de rechter concludeert dat het hebben van een selectie-algoritme controle oplevert. Dat bouw je zelf, dus bepaal je zelf wat er op je site komt.

Daarbij komt dat DNK de mogelijkheid had om het algoritme zodanig aan te passen dat inbreukmakende artikelen van het algoritme werden uitgesloten, maar dat zij van deze mogelijkheid geen gebruik heeft gemaakt omdat de software daarvoor te duur was. De rechtbank is van oordeel dat DNK aldus het algoritme heeft bedacht, heeft toegepast en in staat was om dit aan te passen zodat vastgesteld kan worden dat DNK controle had over de van andere afkomstige informatie.

Het is wel érg makkelijk om te zeggen dat je ‘controle’ hebt en het algoritme had kunnen aanpassen om zo inbreukmakende artikelen weg te laten. Ik zou niet weten hoe dat moet; het eerste algoritme dat me kan vertellen “stop, dit is van de Volkskrant” moet nog gemaakt worden volgens mij.

Bovendien, we hebben ook nog het Google Adwords-arrest: daar ging het om advertenties van users die vervolgens middels een Google-algoritme hier en daar getoond worden. Google was daar een passief doorgeefluik omdat ze niet zelf selecteerde wat waar moest komen, dat deden de adverteerders immers. Wat is het verschil tussen Adwords op de Googlezoekresultatenpagina en nieuwsberichten op een nieuwssite-homepage?

Het past in de lijn die we kennen uit het 123video-vonnis en eerder Galeries.nl, waarbij het beheer ook enigszins actief modereerde, hoewel dat daar handmatig gebeurde.

Ik moet zeggen dat ik in dubio zit. Dat handmatig modereren/kiezen aansprakelijkheid oplevert kan ik ergens begrijpen, hoewel me dat wel steekt omdat modereren juist maatschappelijk zeer wenselijk is om je site netjes en nuttig te houden. Maar als je zegt, inzet van een selectie-algoritme leidt óók tot aansprakelijkheid dan wordt de ruimte wel héél erg beperkt. Een spamfilter is ook een algoritme. En willekeurig de site van een van je bloggers uitzoeken en op je homepage vermelden is óók een algoritme. Een blogsite die dus zo zijn klanten in het zonnetje wil zetten, zou dan ook aansprakelijk zijn?

Arnoud<br/> PS: Gelukkig nieuwjaar!

Hoe werkt notice/takedown bij de Europese DMCA?

878922_notice.jpgNotice en takedown is een bekend begrip bij hostingproviders en andere partijen die (al dan niet terecht) menen dat ze bij claims kunnen volstaan met het weghalen van het materiaal waar over geklaagd wordt. Maar het is niet zo simpel als “klacht=weghalen en geen problemen meer”.

De Amerikaanse procedure is strak en simpel: als iedereen het nou exact zo doet, dan kan er geen misverstand ontstaan. Dat is typisch Amerikaansrechtelijke traditie; door alles precies op te schrijven weten alle partijen waar ze aan toe zijn en is de kans op rechtszaken kleiner. Bij ons zijn we daar wat pragmatischer in: regels hoeven niet per se keihard en bright lines te zijn, een wat vagere regel die we later met redelijkheid en billijkheid invullen, is ook prima. Maar de basis is wél dat je zelf als hoster de klacht moet onderzoeken. Je mag niet afschuiven of eisen dat een bepaalde procedure wordt gevolgd (tenzij de procedure gewoon redelijk is om te volgen).

Recent zag ik in een recente fotorechtszaak hoe dit mis kan gaan. De partij die (ook) de hosting deed, had een klacht ontvangen over een fotoauteursrechtschending en volstaan met deze doorsturen naar de exploitant van de site. Dat is niet genoeg: je hebt een eigen verantwoordelijkheid om te reageren op een klacht en in te grijpen als deze onmiskenbaar juist is. Die verantwoordelijkheid kun je niet doorschuiven naar je klant.

Een bekend misverstand daarbij is dat je als hoster gerechtelijk bevel mag verlangen voordat je aan de bak hoeft. De wet zegt daar niets over. Het artikel 6:194c6:196c BW is simpel: de hoster wordt aansprakelijk voor inhoud die onmiskenbaar onrechtmatig is, als hij deze niet prompt weghaalt of blokkeert. En iets is niet pas onmiskenbaar onrechtmatig als de rechter zegt dat het illegaal is.

In de praktijk zul je vaak willen overleggen met je klant, en dat is prima maar maak dat een duidelijk deel van je gepubliceerd beleid. En zorg ervoor dat je bij gewoon evidente gevallen zélf alsnog in actie komt. Als er geen twijfel kan bestaan, dan is navragen bij je klant niet nodig want wat kan die klant dan zeggen anders dan “ja oeps ik heb het meteen weggehaald”? Wil je per se je klant eerst zélf laten reageren, stel dan strakke deadlines en zit er bovenop zodat je weet dat je zelf in actie moet komen als de klant niet tijdig reageert.

Oh ja, en nog een misverstand: notice/takedown geldt bij ons niet alleen voor auteursrechten (zoals bij die DMCA) maar voor alle vormen van onrechtmatig handelen. Ook bij een claim wegens privacyschending, smaad of malafide webshops door je klant moet je als hoster aan de bak. Hier is het wel een stuk lastiger om te bepalen of de klacht onmiskenbaar juist is, maar dat doet aan het principe niet af. Als het evident is, dan moet je ingrijpen.

Overigens blijf ik van mening dat notice/takedown moet worden herzien: het moet ook gaan gelden voor partijen die een zorgvuldige redactie op hun forum, blog etc betrachten. De huidige wet heeft de perverse implicatie dat wie meeleest of -discussieert geen ‘hoster’ is en dus aansprakelijk voor berichten van anderen. Dus ja, ik ben aansprakelijk voor wat jullie zeggen. En ik vind niet dat dat zo moet zijn.

Arnoud

Gluren bij de buren versus de DMCA

De redactie van PC-Active werd getipt door een lezer, die erachter kwam dat openbaar hangende camera’s van het bedrijf WebCam.NL door een simpele wijziging van het webadres ineens inzoomen op gebieden die normaal gesproken niet zichtbaar mogen zijn, ontdekte PC-Active. De tipgever had ook enkele beelden van de webcams online gezet, en deze werden door het bedrijf weggehaald via een DMCA notice/takedownverzoek. Eh, wacht, wat?

Camera’s in de openbare ruimte zijn toegestaan mits duidelijk gemeld is dat er gefilmd wordt. Hetzij met een bordje, hetzij zo duidelijk opgehangen dat de camera niet te missen is. Maar als de camera niet in staat is om mensen herkenbaar in beeld te brengen, dan is niet eens een melding nodig. Een webcam die de sneeuw op de bergen of de golven op de Noordzee laat zien, mag dus zomaar en zonder enige melding. Maar als die webcam in staat is tot zoomen zodanig dat je mensen kunt zien (zoals in het screenshot rechtsboven) dan valt dat echt onder de (straf-)wetgeving over cameratoezicht en had er een bordje moeten hangen. Nog even afgezien van of het überhaupt mag van de privacywet.

Dat het bedrijf niet blij is met de actie van PC-Active, geloof ik meteen. Maar een DMCA claim slaat juridisch werkelijk helemaal nergens op. Met zo’n claim verklaar je auteursrechthebbende te zijn op de foto, en daar is geen sprake van. Iets dat het bedrijf zou moeten weten. Als er al iemand auteursrecht heeft, dan was dat de man (of vrouw) die op de printscreenknop drukte toen deze scène in beeld was. En ik waag ten zeerste te betwijfelen óf er auteursrecht zit op zo’n camerabeeld. Waar is de creativiteit? Welke eigen oorspronkelijke creatie zien we hier? Dit is gewoon een weergave van de werkelijkheid.

Helaas komen dergelijke DMCA-misbruiken vaker voor. In de VS is “DMCA abuse” inmiddels een gevleugelde term voor het sturen van takedownverzoeken die eigenlijk neerkomen op “ik vind het niet léuk dat ze dit doen”. Men ziet een kritische tekst waarin drie regels van het eigen werk staan en roept briesend dat sprake is van opzettelijke en grootschalige auteursrechtschending, waarna de hoster niet weet hoe snel hij het offline moet halen. Of, zoals hier, men ziet een foto in een onprettig bericht over het bedrijf en eist dat deze wordt weggehaald. En heel ergerlijk vind ik daarbij dat je bij de DMCA formeel moet verklaren dat je under penalty of perjury zeker weet dat je claim correct is – maar waar geen enkele sanctie staat op liegen.

Mogelijk is hier het verhaal dat men meneers privacy wilde beschermen, maar dat kán niet met de DMCA. Dat is een auteursrechtenregeling, niets meer en niets minder. Bij ons kan er wel op basis van de privacywet (of eender welke andere wet) worden geëist dat dingen worden verwijderd, maar dat moet de persoon in kwestie zelf doen. De exploitant van een webcamsite kan daar niets aan doen. En in deze situatie waarin een misstand aan de kaak wordt gesteld, zal de privacy toch echt moeten wijken voor het nieuwsbelang.

Inmiddels meldt PC-Active dat de problemen gedeeltelijk zijn verholpen. Niet helemaal want een aantal camera’s is (als je even goed doorkijkt) nog steeds op afstand te bedienen.

Arnoud

Automatische auteursrechtaansprakelijkheidsclaims

computer-says-no.jpgMicrosoft eist Google-ban op BBC, Wikipedia en Bing, meldde Webwereld maandag. Het bedrijf had via automatisch gegenereerde DMCA notice/takedownberichten de verwijdering geëist van zo’n vijf miljoen webpagina’s, volgens TorrentFreak omdat deze het getal “45” bevatten dat kennelijk iets met Windows 8 te maken heeft. Eh, oeps.

Het idee achter de DMCA was een simpel wettelijk systeem te bieden waarmee rechthebbenden materiaal kunnen laten weghalen dat in strijd is met hun auteursrechten. Omdat ze in Amerika houden van duidelijke regels, was het nogal zwartwit opgezet: een rechthebbende klaagt over een publicatie, de site moet het offline halen maar mag wel de gebruiker informeren. En als die stelt dat de klacht onterecht is, dan moet het teruggezet en dan mogen gebruiker en rechthebbende samen bij de rechter gaan klagen. Omdat iedereen alles on penalty of perjury moet verklaren, en je niet willens en wetens valse claims mag indienen, zit het systeem wel snor met misbruik.

Dacht iedereen. Want de laatste jaren is de volautomatische blokkade sterk in opmars. Het was dus eigenlijk afwachten totdat we een keer zo’n foutje zouden zien als dat van Microsoft. En het zal de laatste keer ook niet zijn. Omdat het op internet wemelt van de illegale uploads, is het niet zo gek dat rechthebbenden met grof geschut gaan schieten en niet elke keer een advocaat in bloed veertien pagina’s plus kopie identiteitsbewijs van een tekenbevoegde directeur willen laten aanleveren. Oh sorry, ik ben weer even cynisch over hoe dat mooie idee van beperkte aansprakelijkheid voor internetdienstverleners compleet is mislukt.

Een aanverwant recent voorbeeld is Youtube. Deze videosite heeft volautomatische herkenning van muziek met hun ContentID algoritme. Als dit algoritme in een upload muziek herkent die bekend staat als beschermd, dan wordt de audiotrack weggehaald. En herkende video’s worden zelfs compleet verwijderd.

Na veel kritiek over de onduidelijke klachtprocedure die hierbij hoort, had Youtube recent haar systeem aangepast. Kort gezegd wordt een tegenklacht (van de gebruiker) automatisch teruggestuurd, waarna de rechthebbende óf zijn keutel moet intrekken óf een formele DMCA notice moet indienen met dus dat “op straffe van meineed” verklaren dat je zeker weet dat de videouploader fout zit.

Leuk bedacht, maar gaat het écht werken? Want de eerste uploader die daadwerkelijk een klager aanpakt wegens meineed in die verklaring moet ik nog tegenkomen. De bewijslast is namelijk hoog: men moet willens en wetens een valse klacht hebben gedaan. Niet alleen maar “er valt over te twisten of die video mocht”, maar “er was geen twijfel dat die video wel mocht”. En omdat ze in de VS de vage open norm van fair use hanteren, is er eigenlijk áltijd wel een twistpuntje van te maken.

Dat, en het feit dat in de triviale gevallen de claim gewoon juist is (en we ook allemaal wéten dat er vele juiste claims tussen zitten) maakt dat er weinig tot geen incentive is om iets te gaan doen aan dit systeem. Dus we hobbelen gewoon nog een paar jaar rond, met regelmatig weer een leuk relletje over de Marslanders wiens livestream offline gehaald worden of dergelijke flauwekul, maar niemand die een wetswijziging gaat bepleiten waar we wat aan hebben. En ja daar word ik écht cynisch van.

Arnoud