Dus vanwege sociale media mag de krant een ophefmakende naam niet noemen?

| AE 11282 | Privacy | 49 reacties

NRC mag de naam van een ex-hoogleraar arbeidsrecht die zich schuldig maakte aan grensoverschrijdend gedrag niet publiceren, meldde de krant onlangs. Deze uitspraak in kort geding volgde op een uitgebreide en onderbouwde onthulling van de krant over dit wangedrag gedurende meerdere decennia, wat ondertussen al ontslag voor de man tot gevolg had. “[G]ezien de grote vlucht die de social media hebben genomen en alle commentaren die in de regel op uitingen van deze aard via internet te vinden zijn” vond de rechter het voldoende aannemelijk dat de man vervolgens aan de schandpaal genageld zou worden, zeker omdat NRC een kwaliteitskrant is en iedereen dus aanneemt dat het waar is wat daarin staat. Eh, wacht, die leggen we nog een keer uit.

Het recentste artikel van NRC beschrijft de gehele affaire, zo ongeveer beginnend in de studententijd van meneer B en ik kon mijn klompen bij het vuil zetten toen ik klaar was met lezen, zo vaak braken ze. Neem even de tijd en een goede kop koffie, of misschien een valium want het is niet goed voor je bloeddruk om dit zo allemaal te lezen.

De korte versie is dat NRC ontdekte dat de man al decennia grensoverschrijdend gedrag vertoonde naar studentes en vrouwelijke medewerkers toe, en dat dat gedrag breed geaccepteerd werd aan de Universiteit van Amsterdam. Vrouwen durfden geen klacht neer te leggen of konden daar nergens mee terecht, en iedereen die wat had kunnen doen, deed er het zwijgen toe. Pas naar aanleiding van de #MeToo beweging kwam daar verandering in, en toen ging het snel: neerleggen van zijn bijfunctie als raadsheer bij het gerechtshof, ontslag (pardon, bijzonder verlof) als hoogleraar et cetera. Over schuldbesef of verantwoordelijkheid nemen lees ik echter niets.

De publicatie van NRC zou ook de naam van de man noemen, wat me vrij logisch lijkt gezien zo’n schandaal van iemand in zo’n hoge positie. En dat past ook in de jurisprudentie rond journalistiek en privacy: namen noem je als ze relevant zijn, en bij een public figure zal dat al vrij snel zo zijn. “De bekende politicus Mark R. met een hoge functie in de ministerraad, maakte gisteren bekend..” nee kom nou.

De man stapte echter naar de rechter om nu juist vermelding van zijn naam te voorkomen. En het argument daarbij was de gevolgen die dat zou hebben: het verhaal gaat gekoppeld aan zijn naam rondzingen op social media, en omdat NRC zo’n kwaliteitskrant is zal niemand twijfelen aan de juistheid. Maar er is nog geen veroordeling geweest, dus is die rondzang disproportioneel. Bovendien:

Bovendien, zelfs – of juist – als hij verdachte zou zijn van een strafbaar feit, zouden de meeste media volstaan met vermelding van slechts zijn initialen en zou zijn portret in de regel onherkenbaar (moeten) worden gemaakt. Niet goed valt in te zien waarom de bescherming van de privacy van eiser in dit geval minder ver zou moeten gaan.

Met deze redenering heb ik wel de nodige moeite. NRC doet niet enkel verslag van een aanhouding en rechtszitting van een verdachte zonder verder de feiten te kennen. Dat je dan zegt, wees even terughoudend met naam en toenaam, dat kan ik ergens nog billijken. Maar dit was eigen onderzoeksjournalistiek met stevig onderbouwde feiten. Als je dan publiceert dan ben je lijkt mij behoorlijk zeker van je zaak, en dan is die naam plus verdachtmaking dus zo goed als een feit. Dat moet je toch kunnen melden bij iemand in zo’n positie?

Arnoud

Als een security onderzoeker een datalek ontdekt, is dat dan een datalek?

| AE 10811 | Privacy, Security | 13 reacties

Een vraag via Twitter:

Suppose during a contracted test a security testers stumbles upon a number of personal data… Is that a data breach? #gdpr – no clue yet…

Van een datalek is onder de AVG/GDPR sprake bij “een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens” (artikel 4 definitie 12). Kernwoorden hierbij zijn dat de beveiliging geschonden is en dat die persoonsgegevens vervolgens per ongeluk of onrechtmatig zijn verwerkt.

Je kunt als security-onderzoeker bij een opdracht ontdekken dat persoonsgegevens kwetsbaar zijn voor zulk onrechtmatig verwerken. Dat kan per toeval of door gericht onderzoek naar security-kwetsbaarheden. Een simpel voorbeeld is dat je een standaardwachtwoord gebruikt (het bekende admin/admin voorbeeld) of een trucje uithaalt om een beveiliging te omzeilen, dat is immers deel van security onderzoek bij een bedrijf.

Met zulk handelen wordt dan een beveiliging geschonden, en vervolgens krijg je toegang tot persoonsgegevens die niet voor jou bestemd zijn. Dat zou volgens de letter dan een datalek zijn.

Alleen, gezien de aard van het onderzoek zou ik het raar vinden om deze toegang als “onrechtmatig” te kwalificeren. Het is deel van je werk, het kan gebeuren dat je dit tegenkomt. Daar is dan niets onrechtmatigs (of per ongeluks) bij. Ook zou ik dit geen ‘inbreuk’ in de zin van de wet noemen – die term heeft een ondertoon van illegaal gedrag, en een ingehuurde security onderzoeker handelt natuurlijk niet illegaal in zijn werk.

Natuurlijk moet je als onderzoeker wel gebonden zijn aan geheimhouding, het is immers niet de bedoeling dat je die gegevens vervolgens ergens anders voor gaat gebruiken. Maar dat staat standaard in de algemene voorwaarden (of apart getekende NDA) lijkt me zo.

Belangrijk is wel dat deze constatering door de security onderzoeker moet leiden tot een nader onderzoek. Want als de onderzoeker erbij kon, dan konden anderen dat misschien ook. En dát zou dan wel een datalek opleveren.

Arnoud

Mag je reacties gebruiken voor wetenschappelijk onderzoek?

| AE 10542 | Intellectuele rechten | 20 reacties

Een lezer vroeg me:

Ik wil wetenschappelijk onderzoek doen naar stijlontwikkelingen in de taal, en wil daarvoor onder meer reacties van diverse grote forums gebruiken. De beheerders geven aan dat dat niet mag vanwege auteursrecht, maar zit er wel auteursrecht op de vaak korte en simpele reacties die je overal vindt? En is er geen uitzondering voor wetenschappelijke studie?

Auteursrechtelijk is het vrij simpel, als er een “eigen intellectuele prestatie” is geleverd dan zit er auteursrecht op de reactie. Een enkele “+1” of dergelijke opmerking is dus vrij, maar een zin of twee komt al door die toets heen. Ook als je niet weet wie de reageerder is en hem niet kunt bereiken.

Als site mag je aannemen dat je een licentie krijgt voor gebruik van die reacties, maar dat zal dan altijd in combinatie met het bronartikel zijn. De reacties opnemen in een corpus is dus problematisch, in theorie. Immers, dat is gebruik dat buiten de context van de site valt en dus niet door de reageerder in de licentie is toegestaan.

Soms zie je dat een site een bredere licentie eist, maar die is dan vaak weer beperkt tot enkel de forumbeheerder. Die mag er dan alles mee doen, inclusief op mokken afdrukken of in boeken compileren. In dat geval zou de forumbeheerder aan een onderzoeker kunnen toestaan dat hij de reacties gebruikt. Maar dat moet je dan echt uitzoeken vooraf, want het moet er dan wel expliciet hebben gestaan.

Juridisch gezien kun je zeggen dat wetenschappelijk gebruik eigenlijk niet als concurrerend of oneerlijk gebruik te zien is. Er wordt geen geld verdiend met de reacties, de reacties zelf worden eigenlijk niet eens verspreid. Ze worden -zoals hier- in woorden opgehakt en gebruikt voor bijvoorbeeld sentimentanalyse, detectie van taaltrends en ga zo maar door. Ook voor dergelijk analyseren is formeel toestemming nodig, want onze auteursrecht kent geen algemeen “fair use” recht en in de Auteurswet staat nergens expliciet een wettelijk recht op wetenschappelijk onderzoek naar auteursrechtelijk beschermde werken.

Daar komt bij dat je praktisch gezien zelden tot nooit ziet dat reageerders hier een punt van maken. Vaak zijn ze niet bekend, of willen ze niet zichzelf associëren met die opmerkingen. Bij een rechtszaak zou je jezelf bekend moeten maken immers. Plus, er is geen cent te halen want welke vergoeding had je kunnen vragen om je reactie te mogen gebruiken? Daar wordt alleen de advocaat rijker van dus.

Kortom het mag niet maar ik zie praktisch eigenlijk geen bezwaar om het te doen.

Arnoud

Nee, werknemers kunnen geen toestemming geven voor privacyzaken

| AE 9313 | Ondernemingsvrijheid, Privacy | 33 reacties

Energiebedrijf Uniper (tot 1 januari 2016 E.ON) heeft na onderzoek van de Autoriteit Persoonsgegevens (AP) zijn alcohol- en drugscontrolebeleid voor medewerkers ingetrokken, las ik een tikje vertraagd bij de toezichthouder. Dit beleid kwam erop neer dat het bedrijf alcohol- en drugstesten wilde inzetten om onveilige situaties te voorkomen, maar dat mag niet van de AP:… Lees verder

Mag je de Twitter API scrapen voor wetenschappelijk onderzoek?

| AE 8877 | Intellectuele rechten | 9 reacties

Een lezer vroeg me: Deze meneer heeft een mooie data-analyse gemaakt van Donald Trump zijn tweets: Trump zelf gebruikt een Android-apparaat en een ghostwriter nuanceert de boel vanaf een iPhone. Daarbij vroeg ik mij af of dit zomaar mocht. Twitter zegt van wel bij onderzoeksdoeleinden (onder bepaalde voorwaarden). Zoals dat je je dataset niet mag… Lees verder

Mag een museum oude computervirussen tentoon stellen?

| AE 8412 | Security | 17 reacties

Het Internetarchief heeft een collectie van virussen en andere ‘schadelijke’ software gepubliceerd die in 1980 en 1990 werd verspreid, meldde Nu.nl vorige week. Sommige van die virussen herinner ik me ook nog wel – ja, ik word oud. Vooral die ene waarbij ineens letters verticaal omlaag vielen, maar die zie ik er dan net weer… Lees verder

Mag een PC-reparateur aangifte doen van wat hij op je harddisk vindt?

| AE 7858 | Security | 23 reacties

Een lezer vroeg me: Als je je pc voor reparatie aanbiedt, kan men daarbij bijvoorbeeld zien dat je illegale software gebruikt. Of, als je pech hebt, dat je echt illegale zaken hebt staan (gestolen bedrijfsgegevens, terroristische literatuur, kinderporno, vul maar in). Mogen ze daar aangifte van doen? Ze hebben toch een geheimhoudingsplicht als opdrachtnemer? Als… Lees verder

Doorzoeken van een privélaptop mag ook niet zomaar

| AE 2308 | Privacy, Security | 17 reacties

Een curator mag niet zonder meer privélaptops onderzoeken, ondanks dat er mogelijk bewijs van faillissementsfraude op te vinden is. Dat las ik gisteren op Webwereld naar aanleiding van een arrest uit Den Bosch. In deze zaak wilde de curator toegang tot gegevens op de privélaptop van de bedrijfsjurist van een failliet bedrijf, omdat hij vermoedens… Lees verder

Massale laptopcontroles Schiphol leveren niets op

| AE 1574 | Informatiemaatschappij, Security | 10 reacties

De Marechaussee op Schiphol heeft vorig jaar meer dan duizend maal gecontroleerd op digitale gegevensdragers, meldde nu.nl afgelopen vrijdag. Vorig jaar begon men met een proef voor het doorzoeken van digitale gegevensdragers van reizigers, met als voornaamste doel het afschrikken van mensen die digitale kinderporno Nederland in zouden willen smokkelen. De juridische basis was en… Lees verder