Kaspersky wint zaak over krantenartikel met hackclaims van ‘Nieuwsuur-expert’

Kaspersky heeft van de Nederlandse rechter gelijk gekregen in een kort geding, waarin is bepaald dat De Telegraaf een krantenartikel moet rectificeren. Dat meldde Tweakers gisteren. In dat artikel werd gesteld dat Rian van Rijbroek claimde dat ze het wifinetwerk van het Nederlandse Kaspersky-kantoor was binnengedrongen en allerlei geheime informatie te pakken had gekregen. Dit ervoer het geplaagde securitybedrijf als smaad en men startte een rechtszaak tegen de Telegraaf.

Uit het vonnis haal ik vooral dat het artikel gerectificeerd moet worden omdat de Telegraaf niet hard kan maken wat Van Rijbroek nu precies gezegd had. Het artikel meldde uitgebreid hoe mevrouw de meesterhacker bij een Utrechts securitybedrijf uit Rusland (waar er maar ééntje van is) IP-adressen had weten te stelen, waarna een ‘deep throat’ haar wist te melden dat er een lek zit in de Tweede Kamer dat samenwerkt met de Russen op basis van deze informatie. Of zoiets. Wie uit de mist aan uitspraken een samenhangend en technisch kloppend relaas kan halen, wint een plagiaatvrij exemplaar van De wet op internet.

Kaspersky was nogal boos over het artikel, omdat hun reputatie hiermee nogal door de mangel werd gehaald. Men had zelfs het vermoeden dat de overheidsbeslissing om te stoppen met het bedrijf, hiermee samenhing of door was beïnvloed. Vandaar de stap naar de rechter: deze onrechtmatige perspublicatie moet worden gerectificeerd.

Een groot probleem voor de krant was dat er eigenlijk geen bewijs was van wat er was gezegd. Dit nog los van dat er geen onafhankelijke bronnen waren die het verhaal konden staven, zodat je uiteindelijk wel een héél magere onderbouwing overhoudt. Na het eerste interview is er diezelfde avond nog twee keer nagebeld, maar afgezien van een paar aantekeningen is er verder helemaal niets. Dat bevreemdt anno 2018, wie neemt er nou niet zijn interviews op? Tevens bleken de verklaringen van de twee journalisten onderling niet helemaal te kloppen.

Wie op dergelijke onderbouwing publiceert, loopt een serieus risico iets te publiceren dat niet klopt. En dan zul je de gevolgen moeten dragen, aldus de rechtbank:

Zonder nader onderzoek waarvoor in dit kort geding geen plaats is, is slechts op basis van de verklaringen van de journalisten en de informatie uit anonieme bron onvoldoende aannemelijk dat [naam 1] zich heeft uitgelaten over een inbraak op het computernetwerk van Kaspersky. [naam 1] ontkent, er geen aanwijzingen dat die inbraak heeft plaatsgevonden, en door TMG is geen eigen onderzoek gedaan naar die inbraak. Kaspersky is bovendien niet om een reactie gevraagd. Dat Kaspersky hierdoor schade heeft geleden en mogelijk nog zal lijden is voldoende aannemelijk. De berichtgeving kan (potentiële) klanten afschrikken. Een cybersecuritybedrijf dat haar eigen internetveiligheid niet in orde heeft levert commercieel zeer nadelige beeldvorming op. Al met al is de publicatie in De Telegraaf voorshands onrechtmatig tegenover Kaspersky.

Een verweer van de krant was nog dat het artikel niet serieus te nemen moest zijn. Weinig hackers kruipen (bij mijn weten) in lingerie door Dubaise hotelkamers, een titel als “Meesterspionne of misleidster?” belooft ook niet echt een diepgravende analyse van de toestand in de wereld en een belofte van “wilde verhalen” geeft ook eerder een suggestie van lekker lachen dan een stevige onthulling. Maar het artikel bevatte genoeg echte feiten en referenten om het toch als serieus aan te merken.

De Telegraaf moet rectificeren op de voorpagina van de zaterdageditie, en moet bovendien bij het archiefartikel een aanduiding opnemen dat het artikel onrechtmatig was.

Arnoud

Zit je vast aan de voorwaarden van de antiplagiaatsoftware van je universiteit?

Minister Van Engelshoven vindt het “onwenselijk” dat studenten de zeggenschap over hun werk kwijtraken als ze dat online op plagiaat laten controleren. Dat las ik bij Ad Valvas. Dit naar aanleiding van ophef dat je je rechten kwijt raakt door een scriptie of paper op plagiaat te laten checken. De voorwaarden van de plagiaatdienst (die je verplicht moet accepteren om de verplichte plagiaatcheck te doen) bepalen dat namelijk. Maar geen zorgen, aldus de minister: die voorwaarden zijn helemaal niet bindend gezien de raamovereenkomst tussen de universiteiten en de leveranciers van dergelijke software.

Dat onderwijsinstellingen met software naar plagiaat willen speuren, is op zich goed te begrijpen. Deze software maakt een snelle eerste check mogelijk, zodat je als docent of begeleider makkelijker kunt zien waar de problemen zitten. (Natuurlijk moet je dat wel nog handmatig controleren want de software kan legitieme citaten als plagiaat aanmerken.) En dat je die software niet zelf gaat ontwikkelen is ook niet meer dan logisch.

Het rare begint wanneer die ontwikkelende partij gebruiksvoorwaarden gaat hanteren richting de studenten, die dus verplicht zijn deze te aanvaarden omdat ze anders de verplichte plagiaatcontrole (zonder controle geen beoordeling) niet kunnen afsluiten. En dan bedoel ik niet perse of het raar is dat men een ‘nonexclusive, royalty-free, perpetual, worldwide, irrevocable license’ eist, maar algemeen: hoe kun je nou stellen dat mensen akkoord gaan met je voorwaarden als ze op straffe van niet afstuderen op die akkoordknop moeten klikken?

Juridisch gezien blijkt er echter niets aan de hand, aldus de minister:

Van SURF begrijp ik dat deze bepaling geen onderdeel uitmaakt van de licentieovereenkomst die onderwijsinstellingen sluiten met [de aanbieders]. … De medewerker of student die de dienst gebruikt onder de licentieovereenkomst van de instelling is zodoende niet gebonden aan de eindgebruikersovereenkomst waarin bovengenoemde bepaling is opgenomen.

De softwaredienst wordt immers juridisch gezien afgenomen door de onderwijsinstellingen, in dit geval met ondersteuning van SURF. Daarmee is de getoonde licentietekst betekenisloos, zoals overigens wel vaker bij online getoonde voorwaarden. Er is geen overeenkomst meer nodig, want het gebruiksrecht is al afgenomen. De klik op de akkoordknop heeft dus geen zin, juridisch gezien.

Is daarmee de kous af? Voor mij niet: waarom laat je die stomme popup dan toch steeds zien? Het wekt de indruk juridisch bindend te zijn (net als die disclaimerbordjes) maar is dat niet, dus dat hoort er niet te zijn. Maar of men bereid zal zijn die moeite te gaan doen?

Het onderliggende probleem is ingewikkelder: deze antiplagiaatbedrijven hebben die ingeleverde papers en scripties nodig om een effectieve controle te doen. Een groot deel van de plagiaatkwesties is immers dat een student iets inlevert dat een collega eerder gemaakt heeft. Dat kan enkel en alleen worden geconstateerd door eerdere papers te bewaren en daarmee te vergelijken. Dus die eis van een license is op zich noodzakelijk om plagiaatcontrole te kunnen doen. Ook over universiteiten heen, want dat uitwisselen van papers gebeurt niet alleen binnen dezelfde instelling. Ik weet niet hoe dát op te lossen.

Arnoud

Beveiligingsbedrijf Kaspersky wil ‘nepexpert’ Nieuwsuur voor de rechter slepen

Deze blockchain is smartBeveiligingsbedrijf Kaspersky wil Rian van Rijbroek, co-auteur van het boek ‘De wereld van Cybersecurity en Cybercrime’, voor de rechter slepen. Dat meldde RTL Nieuws onlangs. Het bedrijf is van plan haar aan te klagen wegens laster, omdat Van Rijbroek in de media zegt dat ze het Nederlandse kantoor van Kaspersky heeft gehackt. Men schrok bij Kaspersky zo van deze opmerking dat een intern onderzoek is uitgevoerd, dat liet zien dat het onwaar is: er is geen smart blockchain hack aangetroffen. De voorgenomen rechtszaak voelt een tikje als een overreactie, maar kan het überhaupt, iemand aanklagen voor zo’n opmerking?

Smaad en laster gaan over reputaties, en bedrijven hebben die net zo goed als privépersonen. Dus het is mogelijk een bedrijf te besmaden, hun eer en goede naam aan te tasten door bepaalde beweringen te doen. Het verschil tussen smaad en laster is dat je bij laster wéét dat hte niet waar is, die bewering. Bij smaad is het mogelijk dat je denkt dat het waar is (of zelfs dat het écht waar is). Het gaat er uiteindelijk om dat de uitlating nodeloos grievend is, even plat gezegd zoiets zég je niet, het is bedoeld als afzeiken of voor gek zetten, nergens voor nodig.

Gezien de uitgebreide kritiek op Van Rijbroek en haar boek ligt het voor de hand dat ze niet daadwerkelijk bij Kaspersky heeft ingebroken, nog even los van dat je bij zo’n beveiligingsbedrijf wel zou verwachten dat ze daar iéts van hebben gemerkt. Daarmee is het waarheidsgehalte van de opmerking marginaal, en dan kan het smaad opleveren.

Alleen heb ik dan één vraagteken: de uitlating moet er wel voor zorgen dat andere mensen gaan denken dat Kaspersky een waardeloos bedrijf is, dat dat zomaar gehackt kan worden zonder dat ze het merken. Smaad moet immers iemands reputatie aantasten. Oftewel, de uitlating moet wel enigszins geloofwaardig zijn. En gezien de reputatie van Van Rijnsbroek kun je daar natuurlijk twijfels bij hebben. Wie gelooft dat, als zij zegt Kaspersky te hebben gehackt?

Mogelijk speelt dan mee dat Nieuwsuur gezien wordt als een respectabel en gezaghebbend televisieprogramma, waardoor de mensen inderdaad geneigd zouden zijn haar te geloven. Zo’n redactie checkt dat toch, wat iemand beweert? En als je dat zwaar laat wegen, dan is er dus inderdaad een reële kans op reputatieschade en daarmee zou een smaadclaim mogelijk zijn.

Ben wel benieuwd wat het verweer gaat zijn. Stel het is waar, dan moet je bewijs overleggen dat je Kaspersky hebt gehackt. Daarmee stel je jezelf wel bloot aan een vervolging wegens computervredebreuk, een misdrijf met tot 4 jaar cel. Is het niet waar, dan is je enige verweer nog dat niemand jou zou geloven, dat het geen geloofwaardige opmerking was. Maar je eigen reputatie gaat natuurlijk wel een tikje stuk als je die positie inneemt. Blijft over “het is waar maar ik kan/wil het niet bewijzen, dus ik aanvaard dit vonnis voor het groter geheel”.

En ja, dit gaat over dat boek waarin ook stukken tekst van mij (over computercriminaliteit) zijn overgenomen “zonder bronvermelding”. Ik begrijp dat het boek nu voorzien wordt van een duidelijker bronvermelding, dus ik ben heel benieuwd hoe dat eruit gaat zien. Maar raar blijft het.

Arnoud

Antiplagiaattool Ephorus bruikbaar als bewijs bij examenopstel

detectie-ephorusEen één voor plagiaat toekennen nadat met Ephorus een match van 93% was vastgesteld, mag. Dat bepaalde de Raad van State onlangs in een rechtszaak van een scholier die bij een examenopdracht met deze tool betrapt was. Natuurlijk ging het niet alléén om Ephorus, de rector had nader onderzoek uitgevoerd. Ik ben heel benieuwd of meelezende forensisch experts een geloofwaardig weerwoord kunnen produceren op de bevindingen daarvan.

De scholier had een opstel ingeleverd (“Vettaks onzin!”) dat door het antiplagiaatprogramma Ephorus was gescand met een score van 93% overeenstemming met een opstel dat op 23 februari 2012 door een andere eindexamenkandidaat was ingeleverd. Dat is een stevige aanwijzing voor plagiaat, maar je kunt niet een besluit (zoals uitsluiting of een cijfer) opleggen uitsluitend op basis van wat een computerprogramma zegt.

Verder onderzoek dus. Stap 1: wat staat er in de bestandseigenschappen van meneers opstel? De naam van de eerdere mevrouw. Eh, oeps. En inhoudelijk was het ook vrij snel klaar:

Vergelijking van de twee opstellen wijst uit dat het door [de scholier] ingeleverde opstel, afgezien van de titel, een beperkt aantal woorden en de laatste paar zinnen, identiek is aan het opstel van een eindexamenkandidate, die haar opstel twee weken eerder heeft ingeleverd. Zelfs een taalfout komt overeen.

De scholier had nog aangedragen dat hij echt de auteur was, omdat hij het al in februari 2012 op internet had gezet, dus een week voor het inleveren van die collega-scholiere. Daar was alleen geen bewijs van (en, vraag ik me dan af, waarom zóu je). Bovendien is het dan bepaald onlogisch dat de naam van een ander in de bestandseigenschappen terechtkomen, lijkt mij.

Goed, in theorie zou iemand anders na het inleveren die eigenschap hebben kunnen wijzigen, maar een dergelijke theorie klinkt nogal onwaarschijnlijk en vereist dus stevig bewijs. Het recht werkt niet met mathematische zekerheden maar met waarschijnlijkheden – en zaken die onwaarschijnlijk zijn op het niveau “kóm nou” mag je gewoon negeren.

Meneer mag nog wel door met zijn examens, de 1 telt voor 12% mee en het is dus mogelijk dat hij alsnog slaagt.

Arnoud

Mijn idee is gestolen!

brievenbus-deponeren-idee.jpgEen lezer vroeg me:

Ik heb een tijd terug een bedrijf een voorstel gedaan voor een idee waar zij veel geld mee kunnen verdienen. Maar afgezien van een standaard bedankmailtje hoorde ik niets meer van ze. En vorige week zag ik ineens dat ze doodleuk met mijn idee de markt gaan betreden! Oké het is op details iets anders maar het is duidelijk van mij gestolen. Wat kan ik nu doen?

Een idee mág worden gestolen. Alleen de concrete uitwerking mag niet worden gekopieerd. Dus als men de mail heeft gelezen en toen dacht, leuk dit doen wij ook, dan is dat legaal als ze het daarna zelf hebben uitgewerkt.

Het maakt daarbij niets uit of je het idee hebt gedeponeerd als i-Depot, bij de notaris of Belastingdienst hebt laten dateren of bij een commerciële dienst ‘bescherming’ hebt aangevraagd. Zo’n depot of datering bewijst alleen dat het idee bestond, het geeft geen eigendomsrechten.

Met een geheimhoudingsverklaring sta je sterker, als ze dat tekenen dan belóven ze dat ze het idee niet hergebruiken. En dan kun je ze daarop aanspreken. (Protip: neem een boeteclausule op, dan krijg je geen discussie over hoe veel het idee waard was of hoe veel schade je hebt geleden.)

Maar het is maar zeer de vraag of een bedrijf die tekent als iemand zich zomaar meldt met “ik heb een idee en ik wil graag geld”. Waarom zou je immers betalen voor een idéé? Je moet als ontvanger van het idee nog steeds alle investeringen doen en daarbij alle risico’s nemen. En dat terwijl de ideegever achterover kan zitten en wachten tot hij geld krijgt. Dat is slechts heel zelden een faire verdeling van de verantwoordelijkheden.

Natuurlijk, als je een uitgewerkt idee hebt of al een business hebt draaien met dat idee, dan is een geldbedrag voor overname of participatie daarin gerechtvaardigd. Maar dan hebben we het allang niet meer over het “verkopen van een idee”.

Ik raak er steeds meer van overtuigd dat “verkopen van een idee” een wensdroom is, net als alle plannen om snel rijk te worden. Rijk worden als ondernemer kan wel maar is heel hard werken.

Arnoud

Wanneer is overnemen plagiaat?

twee-boekenIs het heruitgeven van een bewerking van een studieboek met alleen je eigen naam erop een vorm van plagiaat? Nee, oordeelde het College van Bestuur van de Universiteit van Amsterdam in een zaak over een basisboek rechten. Een hoogleraar had een leerboek, samengesteld door zijn voorganger, grotendeels overgenomen, onder een andere titel uitgegeven met alleen zijn eigen naam als auteur erop. Dat was “onzorgvuldig handelen” maar geen plagiaat. Of sprake van inbreuk op auteursrechten is, blijft in het midden. En dat is niet zo gek, want plagiaat heeft niets te maken met inbreuk op auteursrechten.

Het ging in deze kwestie over het boek Inleiding in de rechtswetenschap, waarvan twee derde letterlijk, zin voor zin, woord voor woord, terug te vinden is in het eerder verschenen leerboek Recht, een introductie. (Héé, dat boek heb ik ook nog gebruikt toen ik rechten studeerde.) Dat eerdere boek was aan een update toe, en het plan om er een reader van te maken met losse aanvullingen liep een beetje uit de hand, waarop de hoogleraar besloot -na overleg met de uitgever van het oude boek- in eigen beheer het werk als boek uit te geven.

Maar mocht dat wel? Hij meende van wel: de uitgever had in zijn visie toestemming gegeven, zodat hij er vanuit mocht gaan dat hij vrijelijk kon beschikken over de teksten. Maar het College wijst erop dat de man had moeten weten dat de uitgever dat helemaal niet mócht toezeggen. In het contract stond dat alleen al voor hergebruik van onderdelen aparte toestemming nodig was van de auteurs, dus voor integraal hergebruik dan helemaal. Daarmee zou het nieuwe boek best eens inbreuk op de auteursrechten van de oude auteurs kunnen zijn, hoewel de meesten daarvan werknemer zijn bij de UvA en het dus niet gezegd is dat zij nog auteursrechten hébben.

De vraag of iets plagiaat is, staat echter helemaal los van auteursrechten. Je kunt plagiëren zonder auteursrechten te schenden (en andersom). Plagiaat is vooral een wetenschappelijke doodzonde – een handelen in strijd met de mores van de beroepsgroep. (Net zoals er verschil is tussen ‘spam’ in de zin van de netiquette en ongevraagde elektronische communicatie in de zin van de Telecommunicatiewet.)

Volgens NRC heeft de actie geen verdere consequenties, maar wordt wel een goed gesprek ingepland met de hoogleraar. En wat mij betreft mag dat beginnen met de vraag: wat was u dénkende toen u dacht, ik haal al die auteurs eraf? Zó moeilijk voorstelbaar is het toch niet dat die mensen dat niet leuk gaan vinden?

Arnoud

Hergebruik van andermans idee, mag dat?

Een lezersvraag over de mogelijkheid andermans idee te hergebruiken:

In een Amerikaans boek kwam ik iets interessants tegen. Een bekende designer heeft een systeem ontworpen waarmee hij alle vrouwen in kan delen in 48 types (wel zo gemakkelijk toch?). Helaas doet hij hier verder weinig mee (hij heeft dus alleen dat boek geschreven). Ik vind dat zijn ideeën ook in Nederland verspreid moeten worden. De inhoud, titel, vormgeving moet dan echter wel drastisch worden veranderd (te Amerikaans). De opzet van het boek is verder prima. In hoeverre schend ik zijn auteursrecht wanneer ik “zijn theorie en ideeën” als uitgangspunt neem voor een eigen boek?

Een idee is vrij. Je mag dus je eigen boek schrijven over 48 types vrouwen. Wat niet mag, is de uitwerking uit dat boek vertalen en in je eigen boek overnemen. De namen en beschrijvingen van die 48 types zul je dus zelf moeten invullen. Maar ik denk dat Nederlandse vrouwen onvergelijkbaar zijn met Amerikaanse, dus dat zou geen probleem moeten zijn. (Toch? Dames, laat van u horen, tot nu toe is deze blog men only gebleken)

Vermeld je zijn theorie, dan mag je stukken citeren uit zijn boek (ook in vertaling), mits je dat maar zo kort mogelijk houdt en uiteraard de bronvermelding noemt.

Geheel los van het auteursrecht en andere juridische zaken denk ik dat het wel zo netjes is om te noemen op wiens werk je je baseert. Het kan worden gezien als plagiaat om zonder bronvermelding je eigen uitwerking van andermans idee te presenteren. Ook als er geen sprake is van inbreuk op het auteursrecht.

Arnoud