Pornosite moet van rechter toestemming vragen aan mensen op amateurbeelden

| AE 13174 | Ondernemingsvrijheid | 17 reacties

De pornowebsite Vagina.nl mag alleen naaktbeelden publiceren na toestemming van de personen die in beeld komen, las ik bij Nu.nl. Dit bepaalde de rechtbank Amsterdam in een massaclaim van stichting Stop Online Shaming (SOS) en Helpwanted.nl vorige week. De site bevat naast professionele porno ook amateurporno, waaronder heimelijk gefilmd materiaal waarop mensen te zien zijn die geheel of gedeeltelijk ontkleed zijn. Het rondzingen van zulk materiaal is schadelijk voor de slachtoffers, en met deze massaclaim wilde men paal en perk daartegen stellen.

De site is een typische pornosite: gebruikers mogen zelf materiaal uploaden, dat komt na een minimale screening online en komt dan in een van tientallen categorieën terecht. De algemene voorwaarden klinken mooi, en er is een notice-takedown procedure die wederom op papier mooi klinkt: stuur een klacht, we kijken ernaar en als het ons terecht lijkt, halen we het weg.

Leuk en aardig, maar voor veel mensen is dit een lastige hobbel. Je moet dan aantonen dat jij in beeld was, dat jij géén toestemming hebt gegeven en dat het bezwaarlijk of schadelijk voor je is en ga zo maar door. Nog los van dat vele sites gewoon geen gehoor geven aan je sommatie, wetende dat je toch niet naar de rechter gaat als slachtoffer.

De stichting draaide het in haar massaclaim om: de eis kwam neer op een verklaring voor recht (een “gerechtelijk bevel”, zo u wilt) dat het onrechtmatig is om amateurporno online te zetten zonder dat je aantoonbaar toestemming hebt van de betrokken acteurs. Zoiets kan tegenwoordig onder de Wet massaclaims. Zoals de rechtbank het uitlegt, de wet gaat uit van de fictie dat alle Nederlanders die onder de groep vallen voor wiens belangen wordt opgekomen, betrokken zijn in het geding, tenzij ze expliciet hebben aangeven niet vertegenwoordigd te willen zijn door de eisers (opt-out).

Allereerst constateert de rechter dat de site inhoudelijk filtert op wat mensen uploaden. De stichting had een paar testvideo’s geupload, en die werden met inhoudelijke motivatie afgekeurd. Dan ben je dus redactioneel bezig, en dan kun je je niet beroepen op de vrijstelling voor platforms.

Vervolgens doet de rechtbank de gebruikelijke belangenafweging: de privacy van betrokkenen versus de nieuwswaarde van de video’s (vrijheid van meningsuiting, immers) en het commercieel belang (ondernemersvrijheid) van de site. Het gaat hier specifiek om gluurvideo’s, stiekem gemaakt in situaties waarin mensen zich onbespied mogen wanen, zonder dat er enig algemeen belang of iets dergelijks te bedenken is. Ook ging het om gelekte privébeelden (zoals wraakporno), waarbij mensen misschien dan de video wel wilden maken maar zeker niet akkoord gingen met openbare publicatie.

De slotsom is dat het onrechtmatig is om op een adult website beeldmateriaal te publiceren dat heimelijk is gefilmd en dat personen herkenbaar toont die (geheel of gedeeltelijk) ontkleed zijn te zien op plekken waar zij zich onbespied wanen of dat niet professioneel is gemaakt en personen herkenbaar toont die in de privésfeer seksuele handelingen verrichten, tenzij de exploitant, in dit geval [gedaagde] , zich ervan heeft vergewist dat die personen toestemmen in de openbaarmaking van die beelden.
Dat je een notice/takedownprocedure hebt of in je algemene voorwaarden mensen zogenaamd laat zeggen dat er toestemming is van iedereen, helpt daarbij helemaal niets. Je moet de schade vergoeden van iedere persoon die herkenbaar op zo’n video staat. Bovendien, en dat is belangrijker: er staan dwangsommen op het online houden van zulke video’s, namelijk 10.000 euro per video en 500 euro per dag. Dat is een enorme opsteker voor slachtoffers, want dan hoef je dus eigenlijk geen schadebedrag te onderbouwen.

De uitspraak is niet specifiek voor deze site, andere sites die op dezelfde manier werken (en dat doen ze vrijwel allemaal) kunnen dus op dezelfde manier worden aangesproken. Alleen de dwangsom geldt formeel niet voor andere sites.

Arnoud

 

 

Ik hoop dat die orthodontist z’n webbouwer aansprakelijk stelt voor die 12.000 euro boete

| AE 12727 | Security | 53 reacties

De Autoriteit Persoonsgegevens heeft een boete van 12.000 euro uitgedeeld aan een orthodontistenpraktijk omdat die op een aanmeldformulier geen ssl-verbinding gebruikte. Dat meldde Tweakers vorige week. Door het ontbrekende ‘slotje’ liepen patiënten de kans dat gevoelige gegevens, zoals hun BSN, in verkeerde handen zouden terechtkomen. Opmerkelijk dat die basale beveiligingsmaatregel er niet was, maar minstens zo opmerkelijk dat de AP er voor in actie kwam gezien de beperkte scope. Maar goed, ik ben dus fan van kleine boetes voor kleine overtredingen.

De betreffende website bood klanten van de orthodontist gelegenheid afspraken te maken voor een behandeling. Op zich logischerwijs vroeg men om onder meer NAW-gegevens, geboortedatum, BSN, telefoonnummers van de patiënt en de ouders, gegevens over de school, huisarts, tandarts en de verzekeringsmaatschappij.” Dat formulier werd zonder beveiliging (dus SSL-, TLS-certificaat oftewel “slotje”) opgestuurd, wat inderdaad een beveiligings-dingetje is.

Is het heel erg? Mwa. Technisch betekent het dat iedereen die in het netwerk tussen de klant en de orthodontist zit, de data kan onderscheppen. Het klassieke voorbeeld is het internetcafé of bibliotheek, waar je met de juiste software alles kunt zien dat anderen in diezelfde ruimte opsturen naar websites. Door https te gebruiken, is dit niet langer inzichtelijk – de communicatie naar de site is versleuteld en daarmee niet meer te lezen.

Het aantal scenario’s waarin dit een reëel risico is, is dus beperkt. Vanuit huis is dit bijvoorbeeld geen issue, de buren die ook bij Ziggo zitten kunnen sowieso niet meelezen. Huisgenoten mogelijk wel. Werk je met mobiel internet, dan is dit ook geen serieus risico. Maar natuurlijk is er een niet te verwaarlozen groep mensen die alleen via publieke terminals (zoals de bieb) kan werken, en ook die moet gewoon veilig internet op kunnen.

Daar komt bij: al sinds jaar en dag weet iedereen dat zo’n slotje weinig moeite is, zeker sinds initiatieven als Let’s Encrypt die je gratis certificaten geven om het slotje te realiseren. Dus het voelt als “oké beperkt risico maar het is zo gedaan, doe het dus gewoon” voor mij. Ik blogde er ooit in 2013 over en concludeerde dat het eigenlijk onvermijdelijk is, behalve wellicht bij triviale formulieren zoals de plek hieronder waarin u het hartgrondig met mij oneens gaat zijn.

In het boetebesluit kan de AP het nog simpeler houden: het gaat hier om persoonsgegevens in de zorg, daarbij is NEN 7510-2 leidend en daaruit volgt het gebruik van TLS. Punt, klaar, next. En dan gaat het om zeer gevoelige gegevens, ook nog eens (vooral) van kinderen en dan mag dat al helemaal niet gebeuren. Normaal kom je dan op een boete van een ton, maar omdat deze orthodontist dat absoluut niet kan betalen wordt deze gematigd naar 12.000 euro.

En dan gooi ik met dit citaat even de knuppel in het hoenderhok:

[Betrokkene] heeft erkend dat de oude website geen gebruik maakte van een versleutelde verbinding. De ontwikkelaar van de oude website heeft haar nooit gewezen op die mogelijkheid. Anders had zij daar zeker gebruik van gemaakt, aldus [betrokkene].
We hebben het dus over 2019. Let’s Encrypt was toen al best bekend, en het algemene idee dat SSL-certificaten verstandig waren ook. Om dus nog maar niet te spreken van die NEN-norm in de zorg. Dan wil ik van een kleine orthodontie-praktijk nog wel geloven dat die weinig verstand van internet heeft (de nieuwe site heeft geen online formulier meer maar een uit te printen pdf, ik bedoel maar)  maar van de webbouwer mag dit wel verwacht worden toch?

Oftewel, die orthodontist mag de webbouwer op grond van schending zorgplicht aansprakelijk houden voor die 12.000 euro wat mij betreft.

Arnoud

Hoe toegankelijk moet je videospel zijn?

| AE 12637 | Ondernemingsvrijheid | 19 reacties

Via Reddit:

I can’t use one hand and some fingers on the other after an industrial accident. I do things on the computer using mouse and 3 foot pedals. I play this game called Path of Exile, and in the game you need to refresh 4 potion buffs every 3-8 seconds. I physically can’t press 4 keys every few seconds so I use a macro that automatically does it for me. I got banned for it recently.

Een en ander blijkt nep te zijn, maar de vraag bleek desondanks interessant genoeg om duizenden discussies in allerlei subreddits op te werpen. De kern is: hoe ver moet je als game-ontwikkelaar mensen tegemoet komen die vanwege een lichamelijke beperking het spel niet kunnen spelen op de manier die jij had bedacht?

In de VS gaat het dan om de Americans With Disabilities Act uit 1990, die kort gezegd bepaalt dat je mensen niet vanwege een fysieke beperking de toegang tot een “locatie opengesteld voor publiek” mag ontzeggen. Heb je een verhoogde ingang, dan moet daar dus een oprit voor rolstoelen bij, bijvoorbeeld. En moet je dingen lezen om wat te kunnen doen, dan moet er dus braille bij (zoals bij geldautomaten op het nummerpad). Maar is een website een locatie? In 2016 bepaalde het Hof van Beroep van niet – de website van Domino’s hoeft niet toegankelijk te zijn voor een schermlezer van een blinde persoon die een pizza wilde bestellen.

Rond die tijd was er ook in Europa ophef: in januari 2016 werd het verdrag inzake de rechten van personen met een handicap goedgekeurd. Dit verdrag beschrijft rechten van mensen met een handicap (langdurige fysieke, mentale, intellectuele of zintuiglijke beperkingen) en bevat tevens de verplichting dat verdragsstaten alle passende maatregelen nemen om te waarborgen dat redelijke aanpassingen worden verricht.

Vanaf 2017 geldt in Nederland daarom de reden dat dienstverleners – ook online – “verplicht [zijn] tot het treffen van voorzieningen van eenvoudige aard en gaandeweg zorg te dragen voor de algemene toegankelijkheid voor personen met een handicap of chronische ziekte, tenzij dat voor hem een onevenredige belasting vormt.” Er zijn geen harde specifieke regels; zo is het ondertitelen van Youtubevideo’s een voorziening maar die hoeft dus alleen als dat geen onevenredige belasting oplevert.

Maar wat betekent dat nu voor games? In 2001 bepaalde het Amerikaanse Supreme Court dat een golfer met een fysieke handicap toegestaan moest worden met een golfkarretje van hole naar hole te rijden, omdat de reglementair verplichte wandeling voor hem niet haalbaar was. Dit omdat “use of the golf cart does not “fundamentally alter the nature” of the game of golf.” Een eis dat hij de bal met de hand zou mogen werpen, zou dus niet toegewezen hoeven te worden om eens een simpel voorbeeld te noemen.

In Nederland is er volgens mij nooit zo’n zaak geweest, maar in principe zou dit criterium heel goed bij ons kunnen werken. Er zit een fundamenteel stukje eerlijkheid in: als de regel mede bepalend is voor hoe het spel verloopt, dan zou je het spel dus aantasten als je uitzonderingen gaat maken. Is het een zijdelingse kwestie (zoals dat je een bril nodig hebt als voetballer) dan is een uitzondering dus in beginsel vereist.

Tussengevallen houd je dan nog over, en die zijn lastig. In een restaurant moet de voedselhygiëne goed geregeld zijn, dus geen dieren naar binnen. Maar als ik een hond nodig heb om vrij te kunnen lopen, dan moet die hond mee naar binnen. Daar kom je denk ik niet snel uit – al is in de VS bepaald dat zo’n hond dan wél mag omdat de impact van één geleidehond op de hygiëne acceptabel klein is.

Hoe zou dat bij dit spel uitpakken? De vraagsteller gebruikt dus een trucje om niet elke zo veel minuten snel vier toetsen achter elkaar in te hoeven drukken, omdat hij daar simpelweg de vingers en flexibiliteit in de hand niet voor heeft. Het doel van deze eis uit het spel is te controleren dat je nog steeds in het spel zit. Dat voelt voor mij als een zijdelingse kwestie. Bij een boks-spel waar snel toetsen indrukken snel slaan zou betekenen, zou dit een oneerlijk voordeel opleveren namelijk beter vechten dan je eigenlijk kan.

De complicatie is natuurlijk dat de spel-aanbieder dat niet kan zien, in tegenstelling tot een scheidsrechter bij het voetbal die je medische verklaring over je ogen kan lezen, of een restaurateur die zelf waarneemt dat een persoon blind is en die hond dus nodig heeft. Het voelt dan ook best risicovol om dit toe te staan enkel omdat mensen zeggen vingers te missen. Maar heel cru oordelen “dat doen we niet want cheaters” is wettelijk ook weer niet de bedoeling.

Hebben jullie een idee?

Arnoud

 

Schenden van de gebruiksvoorwaarden van een site is toch geen computervredebreuk

| AE 11863 | Regulering, Security, Uitingsvrijheid | 6 reacties

Het schenden van de gebruiksvoorwaarden van een site is toch geen computervredebreuk, las ik bij Ars Technica. Een federale rechter in Washington, DC heeft geoordeeld dat de strenge Amerikaanse Wet Computercriminaliteit (Computer Fraud and Abuse Act) niet van toepassing is enkel omdat iemand op een site actief is in strijd met de gebruiksvoorwaarden. Dat zal… Lees verder

Een website als gemeenschappelijk eigendom, het kan

| AE 10855 | Intellectuele rechten | 13 reacties

Een opmerkelijke (maar positieve) uitspraak van de rechtbank Amsterdam: de website Boschproject.org (over het werk van Jheronimus Bosch) telt als gemeenschappelijk eigendom van partijen die daaraan gewerkt hebben. Dat las ik bij IE-Forum. Dat is opmerkelijk omdat een website niet echt een ding is dat je in eigendom kunt hebben, laat staan gemeenschappelijk eigendom dus…. Lees verder

En nu eisen sitevoorwaarden ook al je eerstgeboren kind op

| AE 8802 | Informatiemaatschappij | 7 reacties

Gaan we weer: hee kijk, niemand leest websitevoorwaarden, zelfs als je erin zet dat je je eerstgeboren kind moet afstaan, gaat iedereen blindelings akkoord. Dat las ik bij Ars Technica. Leuk nieuwtje weer, maar wat mij betreft nieuwswaarde nul. Al sinds het begin van internet staat iedere site bol van de gebruiksvoorwaarden. Ergens wel logisch,… Lees verder

Gebruik van mijn browser betekent akkoord met mijn gebruiksvoorwaarden

| AE 8649 | Informatiemaatschappij | 14 reacties

Gebruik van mijn browser betekent akkoord met mijn gebruiksvoorwaarden, een idee van David Rosenthal, digitaal conservator uit Amerika. Hij vroeg zich af waarom al die sites wegkomen met “Gebruik van onze site betekent akkoord met onze voorwaarden” en of dat niet om te keren was. Dan stel jij voorwaarden aan gebruik van je browser, en… Lees verder

Wat moet ik doen als mijn mediabureau failliet gaat?

| AE 8149 | Informatiemaatschappij | 22 reacties

Een lezer vroeg me: Ik heb een website laten bouwen bij een fullservice mediabureau. Zij hosten, doen vormgeving, hebben de domeinnaam geregistreerd en regelen gewoon alles. Erg prettig, maar nu zitten zij in zwaar weer en is er een bewindvoerder aangesteld. Daarmee gaat het allemaal een stuk minder vlot. Ik wil graag naar een ander,… Lees verder