Mensen boos omdat Google Docs hun privédocumenten als abuse aanmerkte

| AE 9788 | Cloud | 18 reacties

Mensen worden buitengesloten van hun Google Docs, en daar zijn ze boos over. Dat meldde Slate vorige maand. Om onduidelijke redenen merkte een grote groep mensen ineens dat de toegang tot bepaalde van hun documenten geblokkeerd was, met als melding dat hier de Terms of Service waren overtreden. Censuur, omdat het ging om privédocumenten?

Uiteindelijk bleek het een typefout in de software:

This morning, we made a code push that incorrectly flagged a small percentage of Google Docs as abusive, which caused those documents to be automatically blocked. A fix is in place and all users should have full access to their docs.

Het laat wel weer mooi de grote zwakte van de cloud zien: er is geen cloud, er is alleen uitbesteden en daarmee een afhankelijkheid van je leverancier. Die kan en mag de dienstverlening veranderen, en als hij door een foutje je gegevens ontoegankelijk maakt dan heb je even pech. Net zoals een butler die de boodschappen vergeten is.

Die vergelijking maak ik niet zomaar, want voor de wet is er geen verschil tussen een butler en een clouddienst. Het is allebei dienstverlening, en de regels zijn simpel: die mag worden aangepast of opgezegd, en dat is het wel zo’n beetje. Dus nee, er is niet veel te doen tegen dit soort grappen.

Tegelijk weet ik ook niet goed hoe dit op te lossen, want het gaat ook weer erg ver om te zeggen, clouddiensten moeten tot jaar en dag ongewijzigd beschikbaar zijn. Dat kun je ook weer niet van mensen vragen.

Arnoud

Mag een appartementencomplex werken met kentekenherkenning?

| AE 9659 | Privacy | 35 reacties

Een lezer vroeg me:

De vereniging van eigenaren van mijn appartementencomplex wil gaan werken met kentekenherkennning bij de poort. Alleen bewoners en vooraf aangemelde bezoekers kunnen dan nog automatisch naar binnen, de rest moet aanbellen. En van iedere bezoeker worden naam, kenteken en in- en uitrijtijden vastgelegd. Hoe zit dat juridisch?

Het is natuurlijk toegestaan om de toegang tot je complex te reguleren. Alleen wanneer je gaat werken met kentekens, dan loop je tegen de privacywetgeving (nu de Wbp, vanaf 25 mei de AVG) aan. Kentekens worden namelijk gezien als persoonsgegevens, zeker in gevallen wanneer je ze concreet kunt koppelen aan de identiteit van bewoners of bezoekers.

Gelukkig verbiedt de wet niet categorisch het gebruik van persoonsgegevens om de toegang tot een pand of terrein te reguleren. Het mag, maar je bent aan een aantal regels gebonden. De belangrijkste eis is dat je kunt motiveren waarom je voor dit middel hebt gekozen. Kun je niet werken met sleutels en een bel bijvoorbeeld? Is er echt geen andere oplossing?

Daarnaast moet duidelijk zijn uitgewerkt wat er gebeurt met de vastgelegde gegevens. Waarom die, en niet minder? Wie heeft er toegang toe en onder welke voorwaarden? Hoe lang worden ze bewaard, en waarom kan het niet eerder weg. Wat gebeurt er mee? Komen alle kentekens op een bord in de hal, of blijft het bij de portier?

Beveiliging is natuurlijk ook van belang. Hoe worden de gegevens afgeschermd voor ongeautoriseerde toegang, welke logging is ingevoerd en wie heeft daar toegang toe. Afgeleid daarvan, wat gebeurt er met datalekken. Hoe wordt daarop gemonitord en wie gaat een datalek aanmelden en de betrokkenen informeren?

Het is dus vooral een kwestie van zaken goed motiveren en op schrift stellen. Dat reglement is ook nodig, je moet mensen informeren over het waarom en hoe. En het waarom is het belangrijkste.

Arnoud

Duitse rechter ontzegt ouders toegang tot Facebook van overleden tiener

| AE 9465 | Contracten | 22 reacties

Een rechtbank in Duitsland besluit dat de ouders van een overleden tiener geen toegang krijgen tot haar Facebook-account. Dat las ik bij Nu.nl. Het vijftienjarige meisje van wie het account is, overleed in 2012 na aanrijding met een trein. De ouders proberen vast te stellen of het om zelfmoord ging, maar de rechtbank oordeelt nu dat zij geen rechten hebben op het account omdat het hier gaat om persoonsgebonden dienstverlening die eindigt met de dood van de afnemer. Pijnlijk, maar wederom: dat krijg je ervan, van die diensteneconomie.

We denken over dingen als accounts vaak als eigendom, als fysieke dingen. Maar gebruik van Facebook is een dienst, en het account is niet meer dan een bioscoopticket: het bewijst dat je recht hebt op gebruik van die dienst.

Er is geen algemene regel dat een contract eindigt met je dood. Je moet echt per type contract gaan kijken wat de wet daarover zegt. In dit geval komen we dan uit bij de overeenkomst van opdracht, en daarover zegt art. 7:410 BW:

De dood van de opdrachtgever doet de opdracht slechts eindigen, indien dit uit de overeenkomst voortvloeit, en dan eerst vanaf het tijdstip waarop de opdrachtnemer de dood heeft gekend.

In principe loopt een Facebook-dienstcontract dus door tenzij in het contract staat dat het eindigt door overlijden van de gebruiker. Echter, de Facebook TOS, het betreffende contract, zegt niets over die situatie. Er is wel een FAQ daarover maar die noemt alleen de opties van omzetten naar een Memorial pagina of het opheffen van een account.

Dat lijkt me dan leidend: de dienst loopt juridisch dus door na overlijden als je de Memorial-optie hebt gekozen, maar wel binnen de daarop van toepassing zijnde beperkingen. De belangrijkste daarbij is dat niemand meer in kan loggen op het account, dus voor toegang tot berichten en dergelijke is dit niet genoeg. Maar zoals wel vaker gezegd: data is niets, dus ook berichten op Facebook niet. Je hebt geen recht op toegang tot die berichten tenzij contractueel afgesproken.

Dus nee, ik zie geen optie voor deze mensen om (naar Nederlands recht) bij die berichten van hun kind te kunnen. Dit is waar een social media testament (een wachtwoordenboekje met “Te openen in geval van mijn dood”) van belang voor is, maar dat is in de relatie ouder-kind denk ik lastig te realiseren.

Arnoud

Mijn hoster heeft mijn data kwijtgemaakt, wat nu?

| AE 6086 | Beveiliging | 23 reacties

Een lezer vroeg me: Ik host mijn website en de nodige bedrijfskritische data op een virtuele server beheerd door een Nederlands hostingbedrijf. Gisteren kreeg ik bericht dat de server offline is, omdat de leverancier van die hoster zijn dienstverlening heeft gestaakt (waarom is me onduidelijk). Nu ben ik dus mijn data kwijt! Kan ik mijn… Lees verder