Als Microsoft je account blokkeert, moeten ze wel bewijs aandragen waarom

| AE 13246 | Ondernemingsvrijheid, Regulering | 6 reacties

Microsoft heeft het e-mail- en OneDrive-account van eisende partij geblokkeerd, las ik bij ITenRecht.nl. Een verhaal dat we vaker hebben gehoord: MS scant uploads tegen een lijst van bekende kinderpornografie, en blokkeert je account wanneer men een match tegenkomt. Ook als het toevallig of onbedoeld was. Een nieuwe uitspraak voegt daar nu een nuance aan toe: MS moet je wel vertellen om welke afbeelding het gaat.

Het vonnis (rechtbank Rotterdam vorige week) leest als een kopie van de vele gevallen waarover in eerdere zaken en de pers is gerapporteerd. De kern is dat MS een dienst genaamd PhotoDNA gebruikt, die foto’s analyseert om op een slimme manier te matchen met een bestand met bekende (door politiediensten als zodanig aangemerkte) kinderporno. Wanneer een upload wordt gematcht, dan gaat je account meteen op slot. En dat kan dus een definitief slot zijn, zo wisten we van die zaak uit 2020.

In deze nieuwe zaak had de houdster van het account haar oude Samsung-telefoon gesynchroniseerd met Onedrive, zo te lezen om de data snel te redden voordat de telefoon het begaf – wat die daarna ook deed. Ergens in die upload zat een bestand dat matchte, en daarop ging het account dus dicht. Maar welk bestand, hoezo dan, zo vroeg zij? Dat mocht MS niet zeggen:

Waarschijnlijk is PhotoDNA getriggerd toen [naam eiseres] haar foto’s die opgeslagen stonden in de Samsung Cloud synchroniseerde met OneDrive. De afbeelding heeft dezelfde hash als een afbeelding in de database, zodat Microsoft er zeker van is dat de afbeelding die is gedetecteerd in het account van [naam eiseres] dezelfde is als de eerder geïdentificeerde afbeelding. Volgens Microsoft is het op grond van de wetgeving van de Verenigde Staten van Amerika (hierna: VS) niet toegestaan om de afbeelding te verstrekken of in het geding te brengen. Het is Microsoft alleen toegestaan om het file path van de afbeelding aan [naam eiseres] te verstrekken, wat zij ook gedaan heeft.
Microsoft wilde niet meer doen dan enkel de bestandsnaam en de daarboven liggende mapstructuur (“file path”) geven, zodat mevrouw het zelf kon opzoeken in haar Samsung Cloud dan wel lokaal. Maar dat ging in dit geval niet:
[eiseres] heeft ter zitting echter toegelicht, wat door Microsoft niet althans onvoldoende is weersproken, dat zij de afbeelding met de door Microsoft verstrekte informatie niet heeft kunnen vinden op haar computer en dat haar oude Samsung S8 telefoon dusdanig kapot is dat die niet meer op te starten is. Gelet hierop is het voor [naam eiseres] naar eigen zeggen nog steeds onduidelijk om welke afbeelding het gaat.
Wie moet er nu gaan zoeken? Microsoft, aldus de rechter, want die stelt dat er iets aan de hand is met een foto. De regels over bewijslevering impliceren dan dat Microsoft moet laten zien welke foto en wat er mis mee is. En dat MS dat niet zou kunnen vanwege (mij ook onbekende) Amerikaanse wetgeving, is dan haar probleem. Omdat MS dit niet kan of wil, is er dus geen geldige grond voor het afsluiten van het account.

Opvallend nog: het is niet heel gebruikelijk dat grote bedrijven een dwangsom tegen zich krijgen als een consument gelijk krijgt. Grote professionele bedrijven houden zich, zo menen rechters, immers keurig aan vonnissen. Maar deze rechter is wat argwanender:

Gelet op de principiële en onbuigzame opstelling van Microsoft en het door haar op zichzelf terecht benadrukte belang van bestrijding van seksuele uitbuiting van minderjarigen ziet de rechtbank onvoldoende reden om hier in de specifieke context van deze zaak zonder meer van uit te gaan en heeft [naam eiseres] een redelijk belang bij het opleggen van een dwangsom als prikkel om dit vonnis na te leven.
De dwangsom wordt gezet op 5000 euro per dag met een maximum van een ton. Ik wil niet meteen Apples opstelling richting dwangsommen erbij slepen maar ik behoud zelf toch enige skepsis of het account nu vrijgegeven wordt. Zeker als ik dan ook lees dat MS op dat moment dan ook begint over dat “zij niet kan uitsluiten dat het account van [naam eiseres] meer schadelijke afbeeldingen bevat”. Daar had je toch PhotoDNA voor?

Arnoud

Microsoft moet van rechter toegang tot Hotmail overledene verschaffen aan erven

| AE 13065 | Informatiemaatschappij | 27 reacties

Pexels / Pixabay

Microsoft moet aan nabestaanden van een overleden Nederlander toegang verstrekken tot zijn Hotmail-account, meldde Tweakers onlangs. Het bedrijf maakte zich zorgen om de privacy van de correspondenten en wilde voorkomen dat kwaadwillenden in het account zouden kunnen, wat voor mij een mooie manier is om te zeggen “eigenlijk willen we geen gedoe met nabestaanden”. Maar de rechter zegt nu dat dat gewoon wel moet, en wel op straffe van een stevige dwangsom.

Uit het vonnis blijkt dat het gaat om de ouders en zussen van een man die in juli 2021 overleed. Zij wilden toegang tot zijn Hotmailaccount en zijn OneDrive-account. Kan dat? Een nog niet eerder bij de rechtbank behandelde vraag, maar eentje die deze eisers in keurig juridisch Nederlands inkleden als:

de stelling, daartoe onder verwijzing naar artikel 4:182 BW (saisine), samengevat, dat zij als erfgenamen rechtsopvolgers onder algemene titel van de accounts van hun zoon en broer en de inhoud ervan zijn en dus ook de nieuwe wederpartij van Microsoft met betrekking tot de desbetreffende overeenkomsten.
Saisine is een begrip uit het erfrecht: “de regel dat de erfgenamen in beginsel de positie van de erflater ‘voortzetten’, hoort zowat tot de eerste lessen van iedere cursus erfrecht.” Concreet hier dus: toen deze man overleed, werden zijn erfgenamen (kennelijk ouders en zus) de rechtsopvolger onder het contract met Microsoft waaronder deze de diensten Hotmail en OneDrive aan hem leverde. (Niet eigenaar van het account, accounts bestaan juridisch niet.)

Microsoft reageert geheel zoals ik zou verwachten, namelijk naar Amerikaans recht met de dooddoener (sorry) dat men maar met een gerechtelijk bevel moet komen. In de VS laat je namelijk de rechter verzinnen wat logisch is, ongeacht de juridische kwestie. In Nederland doen we dat anders. Daar vinden we het logisch dat mensen zélf nazoeken hoe de wet zit en dat dan in alle redelijkheid gaan toepassen. In gewone taal: doe normaal, dat account is nu van deze mensen, reset het wachtwoord.

Oké, MS had ook wel juridische argumenten. Allereerst dat saisine niet zou gelden, waar de rechter niet in meegaat – alleen voor “hoogstpersoonlijke” overeenkomsten zoals huur of arbeid is het voortzetten door erfgenamen uitgesloten. En ten tweede zorgen over rechten van derden, namelijk de correspondenten van deze meneer wiens persoonsgegevens dus in de mailbox zitten. Ook dat gaat niet op: alle plichten uit de EULA gelden natuurlijk net zo goed voor de erfgenamen, inclusief dus de plicht om de privacy van anderen niet zomaar te schenden.

(Dan was er nog een verhaal dat Microsoft succesvolle inlogpogingen had gedetecteerd en daaruit concludeerde dat er iets raars aan de hand was. Snap ik niet helemaal, maar de rechter schuift het meteen terzijde.)

De conclusie van de rechter is dan ook rechttoe rechtaan: Microsoft moet toegang verlenen en wel zo snel mogelijk. Niet moeilijk doen, deze mensen zijn juridisch gezien gewoon de eigenaren na het overlijden van de eigenlijke eigenaar. MS krijgt twintig dagen en verbeurt daarna dwangsommen van tienduizend euro per dag. Dat is een fors bedrag, wat voor mij dus de indicatie is dat de rechtbank het handelen van MS als onnodig moeilijk doen zag.)

In de comments zie ik diverse mensen opmerken dat hiermee je ouders dus bijvoorbeeld de liefdesbrieven naar je partner (of je minnaar m/v/x) zouden kunnen zien, of discussie met je therapeut of wat maar zeer privé is en je niet wil dat je erfgenamen zien. Die snap ik, maar is dat anders dan die doos op zolder met je pikante ondergoed en zweepjes of de VHS band met privéopnames? Juridisch gezien niet volgens mij.

Het vonnis is een mooie bevestiging dat het erfrecht gewoon werkt in de digitale omgeving. Wie niet wil dat bepaalde erfgenamen toegang krijgen tot accounts, kan dat regelen bij testament. Of nog simpeler: je wachtwoord ergens in bewaring geven waar een vertrouwd persoon het account in kan en dingen kan wissen of opheffen, als dat is wat je wil.

Arnoud

 

Mag mijn werkgever privébestanden in de zakelijke OneDrive bekijken?

| AE 8998 | Ondernemingsvrijheid | 39 reacties

archief-opslag-bestanden-filesEen lezer vroeg me:

Mag en kan mijn werkgever mijn OneDrive van Office 365 lezen? We hebben tegenwoordig office365, met daarbij meer dan een terabyte aan opslagruimte. Dat is zakelijk veel meer dan wat ik nodig heb, en privé kom ik opslagruimte te kort. Dus ik dacht, niemand heeft er last van als ik daar mijn privézaken backup (ongeveer 150 gigabyte). Niets illegaals, gewoon een archief van een familieleven. Mag dat?

Vaste lezers van mijn blog kennen mogelijk het antwoord al: ook op het werk heb je privacy. Niet zo veel als thuis, maar meer dan nul. Een werkgever heeft zich daaraan te houden en mag dus niet zomaar gaan snuffelen in opgeslagen gegevens of daar wellicht iets privés tussen zit.

De werkgever mag niet gaan spitten, maar gezien de aard van deze gegevens is de kans aanwezig dat hij er toevallig tegenaan loopt. En dan mag hij er zeker wat van zeggen. Het is immers niet de bedoeling dat je privézaken doet via de werkmail of -opslag. Af en toe een mailtje, bestandje of printje zou geen punt moeten zijn, maar structureel je werk gebruiken als backup gaat mij ergens toch te ver.

Ook wanneer je deze bestanden in een submap stopt die “Privé” heet, zou dit een probleem blijven. De werkgever mag dan op zich die map niet zomaar aanklikken, maar hij kan en mag wél opvragen hoe groot deze is. En als dat dan zo’n vijftien procent is van de totale opslag, dan zou ik daar toch wat van vinden als werkgever.

Dus nee, ik zou dit écht niet doen en een berisping zou ik zomaar logisch vinden als de werkgever dit per toeval aantreft. Dan liever een paar euro voor extra opslag bij Microsoft (of elders).

Arnoud