Tiradeweek: Nee, je kunt het sociaal contract niet opzeggen

Zo, dat lucht op, zo’n tiradeweek. Even net wat feller kunnen zijn en ongenuanceerd wat roepen (“maar Arnoud, jij bent toch altijd ongenuanceerd”, jaja ik weet het). Grappig dat dat zo gewaardeerd wordt, blijke de comments en mails afgelopen week. Dank iedereen. Mag ik vandaag een klein uitstapje maken naar het algemene recht, meer in het bijzonder het sociaal contract en hoe je daar onderuit kunt.

Het sociaal contract is een rechtsfilosofische constructie die probeert te verklaren waarom het recht op ons van toepassing is. Hij komt neer op de aanname dat wij ooit allemaal een contract met de staat hebben gesloten dat zij onze belangen behartigen en over ons beslissen in ruil voor bescherming en rechtszekerheid. Er zijn diverse varianten, die voornamelijk onderscheid maken naar hoe veel zeggenschap de staat heeft gekregen.

Klinkt mooi toch? En dan is het ergens prima te billijken dat je je aan de wet moet houden. Dat heb je immers samen zo afgesproken en afspraak is afspraak. (Side pet peeve: mensen die “we spreken het volgende af” zeggen terwijl ze “ik verplicht u tot het volgende” bedoelen.) Tot het moment dat je érg ontevreden bent over de staat of het recht, want bij wanprestatie mag je je contract opzeggen toch?

Nee, je kunt het sociaal contract niet opzeggen. Je hebt geen contract met de staat en er is geen mogelijkheid om buiten de wet te gaan staan zonder daar gedoe mee te krijgen. Ik weet dat het een populaire internettheorie is maar zo werkt het dus niet. Het verhaal rond het sociaal contract is een rechtsfilosofische rechtvaardiging van waarom je onder de wet valt. En het is een mooi verhaal, maar uiteindelijk niet relevant: je valt onder de wet omdat je hier woont, punt. Dat je die wet nooit aanvaard of zelfs maar besproken hebt gekregen, is jammer maar uiteindelijk niet van belang.

Toch proberen genoeg mensen het, met de meest vergezochte argumenten – tot en met je naam niet meer in hoofdletters schrijven want je bent een mens en geen serie hoofdletters, als ik het even goed samenvat. Goed, leuke discussie voor bij de borreltafel maar er zijn dus serieus mensen die claimen écht zichzelf Soeverein Mens verklaard te hebben. En dat is het moment dat ik afhaak. Dat ís gewoon niet zo binnen het juridisch systeem. Er zijn gewoon een aantal vaste aannames, axioma’s zo je wilt, of hardcoded values als je meer IT-er bent, en daar heb je het mee te doen. Eentje daarvan is “je doet mee”.

Aanverwante ergernis: juristen en filosofen die “het recht” presenteren als een prachtig geheel dat keurig in elkaar hangt, rechtvaardig en algemeen bruikbaar is en daarom zeer geschikt voor Nederland. Nope. Net als software is het recht een moeras van ooit leuke ideetjes, hier en daar opgedane patches, workarounds voor bugs die niet voor horen te komen en een berg legacy code die teruggaat tot de Babyloniërs. Niemand weet compleet hoe het werkt, er zitten dingen in die niemand gebruikt die er toch niet uit mogen en de systeembeheerders doen ook maar wat. Als ik mijn algehele ergernisniveau te ver voel dalen, dan lees ik weer een stukje in De wet als kunstwerk (prachtig boek in zijn soort, overigens, daar niet van).

Dus ja. Het recht is een puinhoop, en dat gaat niet snel beter worden. Het wordt alleen maar erger: patch bovenop patch, incompatibiliteiten zonder oplossing en een DWIM-compiler die het maar moet uitzoeken. Maar eruit stappen gaat je ook niet lukken. Het enige dat je kunt doen is doormodderen. En dat is in feite wat juristerij inhoudt.

Sorry voor de deprimerende tirade vandaag, maar ik moest het even kwijt.

Arnoud

Tiradeweek: Oh, en iemand wijzen op een vulnerability is dus géén strafbaar feit

cant-hear-you-epo-eob-software-patent-octrooi.pngKondig je een tiradeweek aan, krijg je allemaal tips van mensen met dingen waar je tenen van gaan krullen: Stop checking our code for vulnerabilities, aldus de (inmiddels ex-) Chief Security Officer van Oracle. Het doet me denken aan de standaardreactie van wel meer bedrijven: je meldt een probleem, en de reactie is niet “oh dat was stom, het wordt gefixt” maar “uw handelen is strafbaar ex art. 138ab Strafrecht” en vervolgens niets doen met de melding.

Een bekend probleem ja, en iets dat met responsible disclosure opgelost zou moeten zijn. Maar het blijft rondzingen. En wat me vooral zo frustreert, is het onbegrip voor die mensen die met zo’n tip aan komen zetten. Alsof het normaal is om te zeggen “rot op met je tip, jij bent strafbaar”.

Kijk. Natuurlijk is het ergens gek dat iemand aan je raam rammelt en dan zegt “joh, weet je dat dat raam van je heel gammel is”. Of ineens in de keuken staat en zegt “jij moet écht een beter slot op je achterdeur nemen hoor, hier zijn trouwens je koekjes, je kelderluik moet ook nodig gepatcht”. In het normale leven gebeuren die dingen niet, afgezien van een enkele buurman die je erop wijst dat je deur open staat.

Dit is echter een van die weinige situaties waarin het internet écht anders is dan de echte wereld en vergelijkingen niet opgaan, ook niet met auto’s.

En de reden dát het anders is, is dat internetdiensten van de software aan elkaar hangen. En iedereen weet: software, dat is kwetsbare ellende die je elke dag moet bijwerken. Dat doet niemand, en daardoor hebben we steeds die puinhoop met hacks, datalekken, DDOS aanvallen en ga zo maar door. Er is ook – waarom mag Joost weten – geen wet die zegt dat je je systemen veilig moet inrichten zodat je geen digitale overlast aanricht.

Het is dus legaal om een lekke puinzooi online te zetten, er nul kwaliteitscontrole op te doen, gevaar voor jezelf en anderen te scheppen. En dan heb je mensen die als ze daar een tip over krijgen, reageren met dat de kláger strafbaar is. Sorry maar daar zakt mijn broek van af. Wat mij betreft is het vanaf nu verboden te dreigen met aangifte of rechtszaken tenzij je kunt aantonen je veiligheidszaakjes op orde te hebben.

Arnoud

Tiradeweek: Doe niet zo moeilijk over elektronisch!

pen-contract-ondertekenen-algemene-voorwaardenOh ja, en in de zakelijke post zat een folder voor een tweedaagse cursus elektronisch contracteren. Leer alle uitdagingen herkennen en zorg voor rechtsgeldige elektronische contracten. Wat ís dat toch met het woord “elektronisch” dat de halve goegemeente meteen een blanco trekt en denkt dat het iets heel bijzonders zou moeten zijn?

Misschien ligt het aan mijn IT-nerd-achtergrond hoor, maar het maakt toch werkelijk geen bal uit of je nu via een e-mail wat afspreekt of per telefoon. Of dat je iemand een whatsappbericht stuurt in plaats van het hem zelf te zeggen. Maar nee, zodra er elektronen gaan springen bij een juridisch relevante gebeurtenis, is dat iets waar je twee dagen een cursus voor moet volgen.

Het meest extreme voorbeeld – ik heb me er eerder kwaad over gemaakt – is de elektronische handtekening. Wil je die op een correcte manier zetten, en wel zodanig dat de rechter er in mee moet gaan, dan moet je een hele technische infrastructuur optuigen, certificaten aanvragen en identiteitscontroles doen. Wil je een rechtsgeldige ‘natte’ handtekening zetten, dan heb je een pen en papier nodig. That’s it. En alleen als de plaatser keihard ontkent die handtekening gezet te hebben, kan deze worden aangevochten. Niks grafologie of verificatie van de ISO-betrouwbaarheid van de balpen of voorschriften voor de dikte van het papier of het aantal notarissen dat aanwezig moet zijn. Oh, en natuurlijk heb je in de praktijk geen handtekening nódig om welk contract dan ook te sluiten. Het is niet meer dan mooi extra bewijs van wat je als partij gewild had.

Maar ik zie het op meer plaatsen. Neemt er iemand ontslag via WhatsApp, dan is dat nieuws want er springen elektronen dus dat zal wel niet rechtsgeldig zijn. Wordt er gescholden op Twitter, dan moet er “cyber” voor en dan is het ineens Een Ding waar een bijlage in een weekblad aan gewijd kan worden. Welnee. Je kijkt naar de wet, en meestal staat er niets over het medium. Dan boeit het dus niet. Als er staat “schriftelijk”, dan wordt het misschien interessant of internet een geschrift is, maar neem van mij aan: dat is het in 99% van de gevallen en die 1% is alleen relevant als tentamenvraag.

Wat is dat toch? Is het nu wérkelijk zo bijzonder dat dingen via internet of elektronische middelen gebeurt?

Ik vraag me wel eens af of hier hetzelfde mechanisme bij zit dat ervoor zorgt dat iedereen het normaal vindt dat je geen verstand van computers hebt. Als je zegt dat je niet kunt lezen, is dat heel beschamend. Als je zegt dat je niks snapt van computers of internet, dan is dat heel herkenbaar en normaal en ah joh laat die rare nerds maar draaien. Er geen verstand van hebben is dus het uitgangspunt, en als je vervolgens er dan toch iets mee moet, ja dan moet je op dure cursus.

Of is het aansprakelijkheids-indekken? We weten dat het op papier allemaal legaal is, maar als een klant een elektronische handtekening zet dan hebben we nog geen 100% zekerheid. Derhalve moeten we eerst extra bestuderen of dat wel in orde is allemaal, want anders krijg je als jurist ineens een claim dat je onjuist geadviseerd hebt. Ik weet het niet. Maar ik erger me er dood aan.

Arnoud

Tiradeweek: Ja, en die privacyverklaringen zelf dan dus

Ah ja, die privacyverklaring. Gisteren noemde ik het een verplicht nummer, en daar kreeg ik wat geïrriteerde reacties op. Het is toch een nuttig instrument, en mensen hebben toch een eigen verantwoordelijkheid als ze niet de moeite willen nemen zich te informeren over wat een site doet? Eh, ja, whatéver: iedereen weet dat die privacyverklaring niet werkt, niet gelezen wordt en geen enkele bijdrage levert aan de voortgang van de maatschappij. In de shredder ermee dus.

Het concept privacyverklaring kent zowel een Europese als een Amerikaanse achtergrond. De Europese achtergrond is dat mensen alleen toestemming voor verwerking van hun persoonsgegevens kunnen geven als ze zijn geïnformeerd over het wat en hoe. Je ziet het zo voor je: een deskundig adviseur met vlot jasje die twee enigszins onzeker kijkende mensen uitlegt wat er gaat gebeuren met hun per-soons-ge-gevens waarna deze “nou ja, dat moet dan maar hè Henk, we willen toch héél graag dat spelletje spelen” zeggen en hun handtekening zetten. De Amerikaanse visie is dezelfde, maar dan nog iets explicieter het idee dat je “too bad, je had het kunnen weten sucker” kunt zeggen als mensen komen klagen.

Met enige regelmaat verschijnen studies die aantonen dat mensen die teksten niet lezen. Het is te veel, het is niet relevant voor de actie waar ze mee bezig zijn, het boeit ze niet, het is te moeilijk, alle mogelijke verklaringen noem ze maar op. Maar je zou denken dat privacy als iets belangrijks voelt, dus waarom steken we daar dan toch geen energie in? Misschien is het wel naïef optimisme: ja het zal wel die hele uitleg, dit is toch wettelijk geregeld en er is toch een toezichthouder, dan zal het uiteindelijk wel meevallen toch?

Recent las ik nog een betoog dat de reden is dat we het simpelweg opgegeven hebben, het idee dat we onze privacy kunnen beschermen:

[P]eople feel they cannot do anything to seriously manage their personal information the way they want. Moreover, they feel they would face significant social and economic penalties if they were to opt out of all the services of a modern economy that rely on an exchange of content for data. So they have slid into resignation

Oftewel: je kunt die privacyteksten wel lezen, maar uiteindelijk maakt het toch geen bal uit want ze doen toch wat ze willen en je móet meedoen anders word je uitgelachen als Facebookloze nerd of ouderwetse huisvrouw (m/v) die niet eens haar eten op Instagram zet.

Mensen geven wel om hun privacy maar als je niets kunt veranderen en mee móet doen, ja dan sjok je wel achter de massa aan. En dan is wel het laatste wat je wilt, een privacyverklaring lezen want daar word je alleen maar moedeloos van: oh, gaan ze óók al mijn GPS-locatie meten elke minuut en dat verkopen aan Nike zodat die haar advertenties beter bij mijn buitenbeleving kan laten aansluiten?

En dat is het natuurlijk precies waar het om gaat. Persoonsgegevens zijn waardevolle informatie voor bedrijven, hoe meer hoe beter en er is toch niemand die er wérkelijk een punt van maakt. We verzamelen en doen wat we willen, en we schrijven een schaamlap die met mooie woorden ongeveer uitlegt wat we doen zodat we een “too bad, je had het kunnen weten sucker“-excuus bij de hand hebben als mensen klagen, en een deskundig adviseur kunnen schetsen naar de toezichthouder. En zolang die (en de politiek) denkt dat de privacyverklaring net zo werkt als een zorgvuldige uitleg bij de medisch specialist, gaat er geen bal veranderen.

Dus: weg met de privacyverklaring. Het is vanaf nu verboden in een aparte tekst uit te leggen wat je doet. Alles dat je doet met mensen hun privacy, moet direct en onmiddellijk duidelijk zijn bij de feature zelf. Als dat niet kan, mogen er maximaal 3 regels (van 72 tekens elk, slimmeriken) aan uitleg bij. Als daar je uitleg niet in past, dan is het vanaf nu illegaal.

Arnoud

Tiradeweek: Die marketingblaat als je privacyvragen aan bedrijven stelt

privacy-statement.jpgBen je terug van vakantie, krijg je dit artikel van Forbes onder ogen waarin men de nieuwe privacy policy van Spotify eens onder de loep neemt. Ja, ze willen alles van je weten en het is volslagen onduidelijk wat ze daarmee gaan doen. Prima dus om je daar druk over te maken als journalist, maar wat mij dan steekt is het einde van het bericht. Want wat produceert het muziekvloeibedrijf dan als reactie op de analyse dat men stemcommando’s registreert, locatie vastlegt, het adresboek kopieert en een tot op de trilharen nauwkeurig interesseprofiel afstemt, en dat men dat óók gerust doet bij betalende klanten:

Spotify is constantly innovating and evolving its service to deliver the best possible experience for our users. This means delivering the perfect recommendations for every moment, and helping you to enjoy, discover and share more music than ever before.

Hoe krijg je het uit je vingers. En het gaat verder:

The data accessed simply helps us to tailor improved experiences to our users, and build new and personalised products for the future. Recent new features include Spotify Running, which matches the BPM of your music to the pace of your run, or the new Discover Weekly feature, which curates a weekly playlist based on your tastes.

Tussen de regels door snap ik denk ik wel waarom men die data verzamelt en dat er heus geen plannen zijn om werkelijk iedere trilhaar afzonderlijk te profileren en om dat te verkopen aan driehonderd zorgvuldig geselecteerde nepviagraverkopers. Maar: dat stáát er wel, dus dan is het normaliter gepast dat je uitlegt wat je bedoelt en vervolgens je privacyverklaring aanpast zodat ie klopt met je uitleg. Ja, moehaha inderdaad.

Kijk. Ik snap ergens best wel dat die privacyverklaring een verplicht nummer is, dat mensen niet werkelijk interesseert en eigenlijk alleen gebruikt wordt om pro forma compliance te claimen en privacyactivisten te kunnen pareren met “mensen moeten gewoon de privacyverklaring lezen en dan kunnen ze een vrije keuze maken”. En je wilt je opties openhouden als jurist dus we “kunnen” van alles doen met persoonsgegevens maar we respecteren je privacy en we doen niets zonder je toestemming tenzij anders vermeld – succes met interpreteren wat dát betekent.

Logisch dus dat journalisten zo’n privacyverklaring kritisch doornemen. En ja ik snap ook wel dat het vaak vooral gaat om een leuk stukje “oh noes ze stelen je privacy”, maar ongeacht insteek: er is kritiek, daar moet je wat mee. En dan bedoel ik dus meer dan zo’n meelbal van een ongeïnteresseerde voorlichter.

Ik word er zo moe van, van zulke gemakzuchtige reacties die vervolgens geen enkele band hebben met de juridische documentatie. Het ergste is dan nog dat iedere journalist die tekst gewoon publiceert, want hoor en wederhoor en zo. Maar káp daar nou eens mee. Dit is toch geen antwoord, dit is eenvormige blaat die bij elke mogelijke vraag geproduceerd kan worden. Vraag door, of vermeld “Spotify reageerde niet inhoudelijk op ons verzoek om uitleg”. Want zo schiet het niet op natuurlijk. Als je uitleg nodig hebt, is je tekst niet goed.

Arnoud