Eenzijdig nieuwe voorwaarden op je site zetten is niet bindend

Nieuwe voorwaarden alleen op je site zetten is niet genoeg, las ik bij de onvolprezen Eric Goldman (althans Kieran McCarthy): die zijn in de VS alleen bindend als je ze daadwerkelijk actief mededeelt aan je gebruikers. In de oude voorwaarden zetten “kom regelmatig maar controleren of bovenstaande anders is” kan dus echt niet meer, en interessant genoeg eist de rechtszaak waar McCarthy over blogt ook nog eens bewijs van het actief mededelen. Dat kan nog een pittige worden, ook bij ons.

In het Amerikaans recht noemen ze website-voorwaarden vaak nog “browsewrap” voorwaarden, je gaat er mee akkoord door op de site te bladeren. Daar zit dus een grens aan: je moet wel constructive notice hebben gehad dat er voorwaarden zijn, en hetzelfde geldt voor wijzigingen daarvan. Zoals Goldman zegt, “The Company may update these terms of use at any time by posting updates to this site.”  is dus altijd al dubieus geweest.

In Nederland had zoiets ook niet gewerkt. Bij ons moet bij het aanbod gemeld zijn dat de voorwaarden van toepassing zijn, en moet je ze kunnen lezen (en downloaden/opslaan, bij internettransacties). Je hoeft geen apart akkoord op de voorwaarden te geven, zo’n tekst als “Door op Bestellen te klikken ga je mede akkoord met de voorwaarden” of zelfs “Op ieder gebruik van deze dienst zijn onze voorwaarden van toepassing” is genoeg. Mits er een link naar de PDF bij staat en die zin niet te missen is in het bestelformulier. Dit geldt ook voor nieuwe voorwaarden, die moeten op dezelfde manier worden gemeld.

Wat nog intrigerend is is de afsluiter die McCarthy signaleert:

What’s more, the burden on websites to provide technical evidence of notice is perhaps greater than we might previously have expected. Mere assertions and declarations might not get the job done anymore. It was always a good idea for IT departments to track with cookies or logs whenever a user assents to an online agreement. But now it’s looking like a “need to have” instead of just a “good to have.”
Die “declaration” was in dit geval een verklaring van de advocaat van eiser dat er een popup was geweest met een verwijzing naar de nieuwe voorwaarden. De rechter gaat daaraan voorbij en wil daadwerkelijk objectief tastbaar bewijs van die popup. En dat gaat voor heel veel mensen een héle lastige worden als ze dat zouden moeten aantonen.

In Nederland hebben we zoiets in 2015 bij de hand gehad: een IT-leverancier stelde dat de klant bij een offerte via de website akkoord was gegaan met de de bekende FENIT voorwaarden:

Dat ter hand stellen [van de voorwaarden, wat verplicht is om ze verbindend te verklaren] kwam hier neer op bewijzen dat de voorwaarden op de site stonden op 31 mei 2010, de dag dat de overeenkomst werd gesloten. De persoon die de website had gebouwd, verklaarde als getuige dat hij in 2010 een document had gehad en dat zonder te lezen op de pagina van de voorwaarden had gezet. Niet heel sterk, en bovendien was deze persoon óók nog eens directeur van Quantaris. Een partijgetuige, zoals dat heet, wordt niet zomaar geloofd als ze dingen verklaren in hun eigen voordeel.
Ook waren screenshots van de oude site (die ondertussen weer online waren gezet) in gebracht als bewijs, maar dat overtuigt de rechter nog minder:
[Er] kan uit die schermafdrukken op geen enkele wijze worden opgemaakt dat de FENIT-voorwaarden 2003 op de ten deze relevante datum 31 mei 2010 gemakkelijk toegankelijk waren via de site http://www.quantaris.nl. De schermafdrukken vermelden geen enkele, in dit verband relevante datum. Bovendien wijkt de schermafdruk van de website van Quantaris.nl af van de screendumps van de website van Quantaris.com die Quantaris als producties 18 tot en met 20 in het geding heeft gebracht.
Hoe dit op te lossen, daar ben ik nog steeds niet over uit. Iemand een suggestie?

Arnoud

Oostenrijkse providers blokkeren Cloudflare-IP’s na gerechtelijk bevel

aitoff / Pixabay

In Oostenrijk zijn IP-adressen van Cloudflare geblokkeerd bij meerdere providers omdat websites die illegale software en media aanbieden daar gebruik van maken. Dat meldde Tweakers vorige week. Een foutje, een auteursrechtwaakhond had die IP-adressen per ongeluk opgenomen in een blokkadelijst die gericht was tegen de downloadsite Newalbumreleases punt net. Pijnlijk, want Cloudflare hergebruikt IP-adressen zeer regelmatig en legitieme websites waren dus uit de lucht hierdoor. Het gaf veel ophef, want hoezo had die rechter niet even gecontroleerd dat die IP-adressen echt bij die downloadsite hoorden? Nou ja: omdat dat de taak is van de partijen, niet van de rechter. Als die beiden zeggen, dit zijn de IP-adressen en die gaan jullie/wij wel/niet blokkeren, waarom moet de rechter dan apart gaan nakijken of die adressen correct zijn?

Op een lijst van ISP Liwest staat Newalbumreleases met diverse extensies genoemd. Ook staan er IP-adressen op die lijst, en daarvan behoorden een aantal toe aan proxynetwerk (CDN) Cloudflare. Door die te blokkeren, werden dus diensten van Cloudflare gehinderd waardoor een deel van haar klanten onbereikbaar werden. Cloudflare werd dus niet zelf aangemerkt als mede-inbreukmaker, iemand heeft zitten slapen bij het maken van die lijst en de verkeerde IP-adressen erop gezet. Waarschijnlijk omdat Newalbumreleases ook via Cloudflare werkte, zodat wanneer je diens IP-adressen opzoekt je ook Cloudflare-adressen krijgt.

De eerste berichtgeving had het allemaal over “court orders” die de ISPs zouden verplichten dit te doen. Ik kan alleen nergens een Oostenrijks vonnis vinden waaruit dit blijkt. Volgens provider Kabelplus zijn er wel zaken geweest, maar dit klinkt alsof men op basis daarvan overgestapt is naar die vrijwillige regeling. Als ik dan verder zoek, dan lijkt het erop dat dit een semi-vrijwillige afspraak is op basis van een strenge Oostenrijkse wettelijke regeling: als een rechthebbende een evident juiste klacht heeft dat een site structureel auteursrechten schendt, dan moet de provider deze blokkeren.

Provider RTR legt uit:

In the area of ??copyright, there is a special provision in Section 81 (1a) UrhG , according to which providers of Internet access services can also be obliged to refrain from providing access to structurally infringing websites if they have previously been duly warned by a rights holder. A structurally infringing website exists if exclusion rights within the meaning of the Copyright Act (UrhG) are violated not only in individual cases, but systematically and regularly. … According to § 7b VBKG, such measures are to be ordered in accordance with Art. 9 Para. 4 Letter g VBKVO due to a violation of the Consumer Authority Cooperation Ordinance, which the providers of internet access services, hosting services according to § 16 of the E-Commerce Act, services caching), search engines or registration offices for domain names, appointed the Telekom Control Commission. For this purpose, the authority responsible for the implementation of the VBKG can submit an application to the Telekom-Control Commission as another authority in accordance with Article 10 Paragraph 1 lit. b VBKVO. 
Zoals ik het dus begrijp. Uit de Oostenrijkse Auteurswet volgt dus dat een provider zo’n structureel inbreukmakende website op verzoek van een rechthebbende moet blokkeren. Een hele rechtszaak is daarvoor niet nodig. Wel kan een controle door de Oostenrijkse Consumentenautoriteit (de Telekom-Control-Kommission) worden verlangd, die dan nagaat of de Netneutraliteitsverordening wordt geschonden. Een voorbeeld is deze zaak over Kinox.to. Het idee is dan dat blokkades onder de Nnvo alleen mogen als ze een strikt beperkte uitzondering geven die gerechtvaardigd wordt door de auteursrechtinbreuk. Op die manier is er dus geen rechtszaak nodig maar wel een toetsing van een externe autoriteit.

Mij is alleen niet duidelijk of hier ook een uitspraak van die toezichthouder is geweest, want die lijkt nog nergens te vinden. Het is dus goed mogelijk dat de providers gewoon direct op het verzoek acteerden. Dat zou wel opmerkelijk zijn omdat er eerder nooit IP-adressen op zulke lijsten zijn gezet. Maar het zou verklaren waarom de ISPs niet hebben gecontroleerd van wie die IP-adressen zijn.

Arnoud

 

Hof vindt website geen geautomatiseerd werk en spreekt verdachte vrij

Een man uit Tiel die voor het inbreken op de website van een Haagse huisartsenpost werd veroordeeld tot een gevangenisstraf van twee maanden, waarvan één maand voorwaardelijk, is in hoger beroep vrijgesproken, las ik bij Security.nl. Dit omdat een website volgens het gerechtshof Den Haag niet als geautomatiseerd werk kan worden aangemerkt. Is dat een pietluttig zoeken naar spijkers op laag water of zit hier meer achter?

Eerst een organisatie hacken, en vervolgens voor veel geld aanbieden om het ‘lek’ te dichten. Dat was volgens het OM het business model van de 29-jarige man uit Tiel. Hem werd computervredebreuk ten laste gelegd, het OM kon zijn beroep op “white hat hacken” niet serieus nemen. Het was een mooie casus om eens te bepalen wat er wel en niet kan als je tegen lekken aanloopt en het je werk is die te dichten.

Die kans is gemist, want na een veroordeling in eerste instantie ging de man in hoger beroep. En daar werd hij vrijgesproken vanwege de semantische discussie dat een website geen “geautomatiseerd werk” is zoals de wet dat bedoelt, namelijk “een inrichting die bestemd is om langs elektronische weg gegevens op te slaan, te verwerken en over te dragen”. In 2013 hadden we nog een discussie over die term ‘inrichting’, dat mag best een samenstel van fysieke dingen zijn maar er moeten wel fysieke ding(en) gehackt zijn, uiteindelijk. (Ook de tegenwoordige definitie, die nog niet gold ten tijde van dit feit, vereist een of meer stukken hardware.)

In 2020 deed ditzelfde Hof ook zoiets, toen het ging om het hacken van een Facebook-account: “Een account op Facebook bestaat feitelijk slechts uit een samenstel van gegevens en heeft daarmee geen fysieke vorm. ” Het OM was daar destijds op voorbereid, door subsidiair “de server achter het account” op te nemen als voorwerp van hack, maar dat mocht dan ook weer niet:

Dat geldt eveneens ten aanzien van het tweede en derde gedachtestreepje, aangezien de webserver en/of het netwerk en/of de computer(s)(systemen) achter het Facebook-account waarop de verdachte trachtte in te loggen niet toebehoren aan [slachtoffer 2]. Het tweede en het derde gedachtestreepje uit de tenlastelegging kunnen naar het oordeel van het hof daarom evenmin wettig en overtuigend bewezen worden verklaard.
Nou weet ik dat men in het strafrecht van de precieze is, en het is inderdaad fout om te zeggen dat er bij Jansen is ingebroken als men bij een pand in eigendom Pietersen naar binnen ging. Maar ik snap in deze situatie niet welk belang het Hof probeert te beschermen. Had in die Facebook-zaak Meta als mede-slachtoffer moeten zijn opgevoerd? Dat voelt raar: als Jansen de huurder was van dat pand van Pietersen, dan is “inbreken bij Jansen” toch gewoon juist?

Een jaar later kwam de Hoge Raad met een arrest over ddos-aanvallen, die ook alleen op geautomatiseerde werken kunnen worden uitgevoerd. Daar was in de tenlastelegging alleen opgenomen dat “gegevens toegezonden naar de website “[internetsite 2]” waren, wat kennelijk genoeg was:

Het hof heeft vastgesteld dat de verdachte via de website ‘[internetsite 1]’ zestien Distributed Denial of Service-aanvallen (hierna: DDoS-aanvallen) heeft laten uitvoeren op de website ‘[internetsite 2]’, en dat de toegang tot de website ‘[internetsite 2]’ door deze aanvallen daadwerkelijk (tijdelijk) belemmerd is geweest. Op grond hiervan heeft het hof bewezenverklaard dat de verdachte de toegang tot en/of het gebruik van een geautomatiseerd werk heeft belemmerd. In het licht van de onder 2.5 en 2.6 weergegeven wetsgeschiedenis en gelet op wat hiervoor onder 2.7 is vooropgesteld, geeft dit oordeel niet blijk van een onjuiste rechtsopvatting.
De HR lijkt dus “website” zo te lezen dat “onderliggende serverhardware en netwerkinfrastructuur” er gewoon bij hoort, en heeft er geen moeite mee dat de website-eigenaar een andere entiteit is dan de eigenaar of exploitant van die hardware. Het belang van de strafbaarheid zit hem erin dat die website offline was, of hier dat de verdachte is gegaan waar hij niet mocht zijn. Niet of er een complete lijst bijgevoegd is van de eigenaren van alle componenten.

Dus nee, ik zie niet hoe het Hof in enige redelijkheid tot deze conclusie kan komen.

Arnoud

Pornosite moet van rechter toestemming vragen aan mensen op amateurbeelden

De pornowebsite Vagina.nl mag alleen naaktbeelden publiceren na toestemming van de personen die in beeld komen, las ik bij Nu.nl. Dit bepaalde de rechtbank Amsterdam in een massaclaim van stichting Stop Online Shaming (SOS) en Helpwanted.nl vorige week. De site bevat naast professionele porno ook amateurporno, waaronder heimelijk gefilmd materiaal waarop mensen te zien zijn die geheel of gedeeltelijk ontkleed zijn. Het rondzingen van zulk materiaal is schadelijk voor de slachtoffers, en met deze massaclaim wilde men paal en perk daartegen stellen.

De site is een typische pornosite: gebruikers mogen zelf materiaal uploaden, dat komt na een minimale screening online en komt dan in een van tientallen categorieën terecht. De algemene voorwaarden klinken mooi, en er is een notice-takedown procedure die wederom op papier mooi klinkt: stuur een klacht, we kijken ernaar en als het ons terecht lijkt, halen we het weg.

Leuk en aardig, maar voor veel mensen is dit een lastige hobbel. Je moet dan aantonen dat jij in beeld was, dat jij géén toestemming hebt gegeven en dat het bezwaarlijk of schadelijk voor je is en ga zo maar door. Nog los van dat vele sites gewoon geen gehoor geven aan je sommatie, wetende dat je toch niet naar de rechter gaat als slachtoffer.

De stichting draaide het in haar massaclaim om: de eis kwam neer op een verklaring voor recht (een “gerechtelijk bevel”, zo u wilt) dat het onrechtmatig is om amateurporno online te zetten zonder dat je aantoonbaar toestemming hebt van de betrokken acteurs. Zoiets kan tegenwoordig onder de Wet massaclaims. Zoals de rechtbank het uitlegt, de wet gaat uit van de fictie dat alle Nederlanders die onder de groep vallen voor wiens belangen wordt opgekomen, betrokken zijn in het geding, tenzij ze expliciet hebben aangeven niet vertegenwoordigd te willen zijn door de eisers (opt-out).

Allereerst constateert de rechter dat de site inhoudelijk filtert op wat mensen uploaden. De stichting had een paar testvideo’s geupload, en die werden met inhoudelijke motivatie afgekeurd. Dan ben je dus redactioneel bezig, en dan kun je je niet beroepen op de vrijstelling voor platforms.

Vervolgens doet de rechtbank de gebruikelijke belangenafweging: de privacy van betrokkenen versus de nieuwswaarde van de video’s (vrijheid van meningsuiting, immers) en het commercieel belang (ondernemersvrijheid) van de site. Het gaat hier specifiek om gluurvideo’s, stiekem gemaakt in situaties waarin mensen zich onbespied mogen wanen, zonder dat er enig algemeen belang of iets dergelijks te bedenken is. Ook ging het om gelekte privébeelden (zoals wraakporno), waarbij mensen misschien dan de video wel wilden maken maar zeker niet akkoord gingen met openbare publicatie.

De slotsom is dat het onrechtmatig is om op een adult website beeldmateriaal te publiceren dat heimelijk is gefilmd en dat personen herkenbaar toont die (geheel of gedeeltelijk) ontkleed zijn te zien op plekken waar zij zich onbespied wanen of dat niet professioneel is gemaakt en personen herkenbaar toont die in de privésfeer seksuele handelingen verrichten, tenzij de exploitant, in dit geval [gedaagde] , zich ervan heeft vergewist dat die personen toestemmen in de openbaarmaking van die beelden.
Dat je een notice/takedownprocedure hebt of in je algemene voorwaarden mensen zogenaamd laat zeggen dat er toestemming is van iedereen, helpt daarbij helemaal niets. Je moet de schade vergoeden van iedere persoon die herkenbaar op zo’n video staat. Bovendien, en dat is belangrijker: er staan dwangsommen op het online houden van zulke video’s, namelijk 10.000 euro per video en 500 euro per dag. Dat is een enorme opsteker voor slachtoffers, want dan hoef je dus eigenlijk geen schadebedrag te onderbouwen.

De uitspraak is niet specifiek voor deze site, andere sites die op dezelfde manier werken (en dat doen ze vrijwel allemaal) kunnen dus op dezelfde manier worden aangesproken. Alleen de dwangsom geldt formeel niet voor andere sites.

Arnoud

 

 

Ik hoop dat die orthodontist z’n webbouwer aansprakelijk stelt voor die 12.000 euro boete

De Autoriteit Persoonsgegevens heeft een boete van 12.000 euro uitgedeeld aan een orthodontistenpraktijk omdat die op een aanmeldformulier geen ssl-verbinding gebruikte. Dat meldde Tweakers vorige week. Door het ontbrekende ‘slotje’ liepen patiënten de kans dat gevoelige gegevens, zoals hun BSN, in verkeerde handen zouden terechtkomen. Opmerkelijk dat die basale beveiligingsmaatregel er niet was, maar minstens zo opmerkelijk dat de AP er voor in actie kwam gezien de beperkte scope. Maar goed, ik ben dus fan van kleine boetes voor kleine overtredingen.

De betreffende website bood klanten van de orthodontist gelegenheid afspraken te maken voor een behandeling. Op zich logischerwijs vroeg men om onder meer NAW-gegevens, geboortedatum, BSN, telefoonnummers van de patiënt en de ouders, gegevens over de school, huisarts, tandarts en de verzekeringsmaatschappij.” Dat formulier werd zonder beveiliging (dus SSL-, TLS-certificaat oftewel “slotje”) opgestuurd, wat inderdaad een beveiligings-dingetje is.

Is het heel erg? Mwa. Technisch betekent het dat iedereen die in het netwerk tussen de klant en de orthodontist zit, de data kan onderscheppen. Het klassieke voorbeeld is het internetcafé of bibliotheek, waar je met de juiste software alles kunt zien dat anderen in diezelfde ruimte opsturen naar websites. Door https te gebruiken, is dit niet langer inzichtelijk – de communicatie naar de site is versleuteld en daarmee niet meer te lezen.

Het aantal scenario’s waarin dit een reëel risico is, is dus beperkt. Vanuit huis is dit bijvoorbeeld geen issue, de buren die ook bij Ziggo zitten kunnen sowieso niet meelezen. Huisgenoten mogelijk wel. Werk je met mobiel internet, dan is dit ook geen serieus risico. Maar natuurlijk is er een niet te verwaarlozen groep mensen die alleen via publieke terminals (zoals de bieb) kan werken, en ook die moet gewoon veilig internet op kunnen.

Daar komt bij: al sinds jaar en dag weet iedereen dat zo’n slotje weinig moeite is, zeker sinds initiatieven als Let’s Encrypt die je gratis certificaten geven om het slotje te realiseren. Dus het voelt als “oké beperkt risico maar het is zo gedaan, doe het dus gewoon” voor mij. Ik blogde er ooit in 2013 over en concludeerde dat het eigenlijk onvermijdelijk is, behalve wellicht bij triviale formulieren zoals de plek hieronder waarin u het hartgrondig met mij oneens gaat zijn.

In het boetebesluit kan de AP het nog simpeler houden: het gaat hier om persoonsgegevens in de zorg, daarbij is NEN 7510-2 leidend en daaruit volgt het gebruik van TLS. Punt, klaar, next. En dan gaat het om zeer gevoelige gegevens, ook nog eens (vooral) van kinderen en dan mag dat al helemaal niet gebeuren. Normaal kom je dan op een boete van een ton, maar omdat deze orthodontist dat absoluut niet kan betalen wordt deze gematigd naar 12.000 euro.

En dan gooi ik met dit citaat even de knuppel in het hoenderhok:

[Betrokkene] heeft erkend dat de oude website geen gebruik maakte van een versleutelde verbinding. De ontwikkelaar van de oude website heeft haar nooit gewezen op die mogelijkheid. Anders had zij daar zeker gebruik van gemaakt, aldus [betrokkene].
We hebben het dus over 2019. Let’s Encrypt was toen al best bekend, en het algemene idee dat SSL-certificaten verstandig waren ook. Om dus nog maar niet te spreken van die NEN-norm in de zorg. Dan wil ik van een kleine orthodontie-praktijk nog wel geloven dat die weinig verstand van internet heeft (de nieuwe site heeft geen online formulier meer maar een uit te printen pdf, ik bedoel maar)  maar van de webbouwer mag dit wel verwacht worden toch?

Oftewel, die orthodontist mag de webbouwer op grond van schending zorgplicht aansprakelijk houden voor die 12.000 euro wat mij betreft.

Arnoud

Hoe toegankelijk moet je videospel zijn?

Via Reddit:

I can’t use one hand and some fingers on the other after an industrial accident. I do things on the computer using mouse and 3 foot pedals. I play this game called Path of Exile, and in the game you need to refresh 4 potion buffs every 3-8 seconds. I physically can’t press 4 keys every few seconds so I use a macro that automatically does it for me. I got banned for it recently.

Een en ander blijkt nep te zijn, maar de vraag bleek desondanks interessant genoeg om duizenden discussies in allerlei subreddits op te werpen. De kern is: hoe ver moet je als game-ontwikkelaar mensen tegemoet komen die vanwege een lichamelijke beperking het spel niet kunnen spelen op de manier die jij had bedacht?

In de VS gaat het dan om de Americans With Disabilities Act uit 1990, die kort gezegd bepaalt dat je mensen niet vanwege een fysieke beperking de toegang tot een “locatie opengesteld voor publiek” mag ontzeggen. Heb je een verhoogde ingang, dan moet daar dus een oprit voor rolstoelen bij, bijvoorbeeld. En moet je dingen lezen om wat te kunnen doen, dan moet er dus braille bij (zoals bij geldautomaten op het nummerpad). Maar is een website een locatie? In 2016 bepaalde het Hof van Beroep van niet – de website van Domino’s hoeft niet toegankelijk te zijn voor een schermlezer van een blinde persoon die een pizza wilde bestellen.

Rond die tijd was er ook in Europa ophef: in januari 2016 werd het verdrag inzake de rechten van personen met een handicap goedgekeurd. Dit verdrag beschrijft rechten van mensen met een handicap (langdurige fysieke, mentale, intellectuele of zintuiglijke beperkingen) en bevat tevens de verplichting dat verdragsstaten alle passende maatregelen nemen om te waarborgen dat redelijke aanpassingen worden verricht.

Vanaf 2017 geldt in Nederland daarom de reden dat dienstverleners – ook online – “verplicht [zijn] tot het treffen van voorzieningen van eenvoudige aard en gaandeweg zorg te dragen voor de algemene toegankelijkheid voor personen met een handicap of chronische ziekte, tenzij dat voor hem een onevenredige belasting vormt.” Er zijn geen harde specifieke regels; zo is het ondertitelen van Youtubevideo’s een voorziening maar die hoeft dus alleen als dat geen onevenredige belasting oplevert.

Maar wat betekent dat nu voor games? In 2001 bepaalde het Amerikaanse Supreme Court dat een golfer met een fysieke handicap toegestaan moest worden met een golfkarretje van hole naar hole te rijden, omdat de reglementair verplichte wandeling voor hem niet haalbaar was. Dit omdat “use of the golf cart does not “fundamentally alter the nature” of the game of golf.” Een eis dat hij de bal met de hand zou mogen werpen, zou dus niet toegewezen hoeven te worden om eens een simpel voorbeeld te noemen.

In Nederland is er volgens mij nooit zo’n zaak geweest, maar in principe zou dit criterium heel goed bij ons kunnen werken. Er zit een fundamenteel stukje eerlijkheid in: als de regel mede bepalend is voor hoe het spel verloopt, dan zou je het spel dus aantasten als je uitzonderingen gaat maken. Is het een zijdelingse kwestie (zoals dat je een bril nodig hebt als voetballer) dan is een uitzondering dus in beginsel vereist.

Tussengevallen houd je dan nog over, en die zijn lastig. In een restaurant moet de voedselhygiëne goed geregeld zijn, dus geen dieren naar binnen. Maar als ik een hond nodig heb om vrij te kunnen lopen, dan moet die hond mee naar binnen. Daar kom je denk ik niet snel uit – al is in de VS bepaald dat zo’n hond dan wél mag omdat de impact van één geleidehond op de hygiëne acceptabel klein is.

Hoe zou dat bij dit spel uitpakken? De vraagsteller gebruikt dus een trucje om niet elke zo veel minuten snel vier toetsen achter elkaar in te hoeven drukken, omdat hij daar simpelweg de vingers en flexibiliteit in de hand niet voor heeft. Het doel van deze eis uit het spel is te controleren dat je nog steeds in het spel zit. Dat voelt voor mij als een zijdelingse kwestie. Bij een boks-spel waar snel toetsen indrukken snel slaan zou betekenen, zou dit een oneerlijk voordeel opleveren namelijk beter vechten dan je eigenlijk kan.

De complicatie is natuurlijk dat de spel-aanbieder dat niet kan zien, in tegenstelling tot een scheidsrechter bij het voetbal die je medische verklaring over je ogen kan lezen, of een restaurateur die zelf waarneemt dat een persoon blind is en die hond dus nodig heeft. Het voelt dan ook best risicovol om dit toe te staan enkel omdat mensen zeggen vingers te missen. Maar heel cru oordelen “dat doen we niet want cheaters” is wettelijk ook weer niet de bedoeling.

Hebben jullie een idee?

Arnoud

 

Schenden van de gebruiksvoorwaarden van een site is toch geen computervredebreuk

Het schenden van de gebruiksvoorwaarden van een site is toch geen computervredebreuk, las ik bij Ars Technica. Een federale rechter in Washington, DC heeft geoordeeld dat de strenge Amerikaanse Wet Computercriminaliteit (Computer Fraud and Abuse Act) niet van toepassing is enkel omdat iemand op een site actief is in strijd met de gebruiksvoorwaarden. Dat zal enige rust geven bij veel onderzoekers, want in de literatuur werd vaak gedacht van wel: je bent dan immers ergens waar je niet mag zijn, en dat zou naar de letter van de wet al computervredebreuk zijn. Maar de rechter wijst erop dat je dan private partijen de strafwet laat schrijven, en dat is natuurlijk niet de bedoeling.

De zaak was aangespannen door onderzoekers die raciale discriminatie wilden vaststellen op banenzoeksites. Daarvoor moeten ze data scrapen van die sites, iets dat in de voorwaarden natuurlijk verboden is. Ook wilden ze nepprofielen aanmaken, en ook dat is tegen de voorwaarden. Hun zorg was niet dat ze dan een schadeclaim zouden krijgen (wat in theorie kan, mits de schade aan te tonen is) maar vooral dat de sites dan de FBI op ze los zouden laten wegens computervredebreuk.

De CFAA verbiedt namelijk ” intentionally accessing a computer without authorization or in excess of authorization”, waarbij onduidelijk is wat “authorization” dan precies is. De gedachte dat dat is wat men toestaat in de gebruiksvoorwaarden is geen gekke; op iemands privé-eigendom mag je doen wat die je toestaat en niet meer, dus dat zou ook bij computers gelden. Dat maakt het wel heel makkelijk voor site-eigenaren om ongewenst gedrag af te schrikken: formuleer een verbod en bel de FBI (het is een federale wet immers) wanneer iemand het toch doet.

Met name bij onderzoekers in securitygebied gaf dit veel zorgen, maar ook in andere gebieden zoals hier onderzoek naar gedrag van grote sites is dit een punt van zorg. Daarom de rechtszaak, die overigens mede ingestoken was op het First Amendment want als onderzoeker niet mogen zoeken in openbare data is toch wel een ernstige inbreuk op je informatievrijheid – ook het vergaren van informatie valt onder dit recht, namelijk. Ook bij ons.

De rechtbank heeft dat echter niet nodig, en concludeert simpelweg dat het niet de bedoeling is dat website-eigenaren zelf stukjes strafwet mogen schrijven:

Under such circumstances, the CFAA’s prohibition on “access[ing] a computer without authorization,” even though phrased “in the form of a general prohibition” that can often escape nondelegation worries, see Silverman v. Barry, 845 F.2d 1072, 1086 (D.C. Cir. 1988), becomes unworkable and standardless. Criminalizing termsof-service violations risks turning each website into its own criminal jurisdiction and each webmaster into his own legislature. Such an arrangement, wherein each website’s terms of service “is a law unto itself,” Emp’t Div., Dep’t of Human Res. of Or. v. Smith, 494 U.S. 872, 890 (1990), would raise serious problems. This concern, then, supports a narrow interpretation of the CFAA.

Dit is niet de eerste uitspraak langs deze lijn. Ars Technica citeert een 3-2 uitkomst van zaken die voor en tegen dit argument aanliepen. Dat betekent dat het naar de Supreme Court moet om een definitieve uitspraak te krijgen, iets dat nog wel even zal duren.

In Nederland zou ik overigens eveneens niet verwachten dat iemand wordt vervolgd enkel omdat de voorwaarden iets verbieden. Als je er ‘gewoon’ bij kunt komen, dan is het civiel onrechtmatig maar daarmee nog lang niet strafbaar. Data scrapen waar je zonder exploits bij kunt, is daarvan een voorbeeld. Idem voor een nepprofiel. Pas als wat je doet sowieso al strafbaar is (een nepprofiel ten behoeve van identiteitsfraude of oplichting bijvoorbeeld) dan krijg je het OM achter je aan.

Arnoud

Een website als gemeenschappelijk eigendom, het kan

Een opmerkelijke (maar positieve) uitspraak van de rechtbank Amsterdam: de website Boschproject.org (over het werk van Jheronimus Bosch) telt als gemeenschappelijk eigendom van partijen die daaraan gewerkt hebben. Dat las ik bij IE-Forum. Dat is opmerkelijk omdat een website niet echt een ding is dat je in eigendom kunt hebben, laat staan gemeenschappelijk eigendom dus. Maar de uitspraak is een mooie oplossing voor een praktisch probleem: wat doe je met een gezamenlijk gebouwde site als er ruzie ontstaat en partijen uit elkaar willen?

Achtergrond van deze zaak was de verdieping van kennis van het werk van Jheronimus Bosch door middel van internationaal wetenschappelijk onderzoek. Deel hiervan was het ontwikkelen van een projectwebsite waarin met geavanceerde technieken hoge kwaliteit reproducties van het werk van Bosch ontsloten zou worden. De ontwikkeling hiervan liep kort gezegd niet zoals iedereen beoogd had, maar uiteindelijk kwam er toch iets te staan dat rudimentair in de buurt kwam.

Na het nodige geharrewar wilde de stichting achter het Bosch-initiatief de website aanpassen en verder publiceren, maar de persoon die de reproducties maakte weigerde dat met onder meer een beroep op zijn auteursrechten op de software die daarbij nodig was. Vervolgens zette deze ook de domeinnaam op zijn eigen naam, althans niet meer die van de stichting. Wat nu?

Dit is een voorbeeld van iets dat ik vaak in de mail krijg: mensen hebben samen een site gebouwd, krijgen dan ruzie of verschil van inzicht over hoe verder en zitten dan met de vraag, van wie is dat ding nu? En daar zit hem het probleem, want een website is geen ding. Het is een verzameling rechten (met name auteursrechten) plus gestolde kennis rondom configuratie et cetera, en een heleboel nuttigs daar omheen dat juridisch echter niet bestaat. Daar een verdeling in maken is bepaald niet eenvoudig.

In dit geval zag de rechtbank gelukkig wel een optie: er is nauw samengewerkt in het begin om die site te bouwen, en ieders aandeel lijkt ongeveer van gelijke waarde te zijn geweest. Daarom merken we de site aan als een gemeenschap (art. 3:166 BW), waarbij iedereen gelijke rechten heeft op dat resultaat. Meestal hebben we het dan over fysieke dingen maar de gemeenschap gaat over goederen – inderdaad, die waarin je kunt trouwen – en omvat dus ook intellectuele scheppingen. Zoals een website.

Ik blijf er altijd wat moeite mee hebben om een website als een schepping te zien, alsof het één ding is zoals een stoel of een auto. Maar het werkt wel in dit soort situaties. Je moet vervolgens er samen uit zien te komen wie wat mag, want je bent nu tot elkaar veroordeeld. Het bijpassende schilderij mag u zelf bedenken.

Arnoud

En nu eisen sitevoorwaarden ook al je eerstgeboren kind op

ie-aagree-ezelGaan we weer: hee kijk, niemand leest websitevoorwaarden, zelfs als je erin zet dat je je eerstgeboren kind moet afstaan, gaat iedereen blindelings akkoord. Dat las ik bij Ars Technica. Leuk nieuwtje weer, maar wat mij betreft nieuwswaarde nul.

Al sinds het begin van internet staat iedere site bol van de gebruiksvoorwaarden. Ergens wel logisch, want er was bar weinig geregeld. Bovendien kwamen de eerste commerciële sites uit Amerika, en daar staat sowieso alles dichtgetimmerd met voorwaarden. Dus dat schept een precedent, zeker bij sitebouwers die denken “het zal wel moeten” en de tekst van de vorige site copypasten. Sorry, ja, ik ben wat cynisch.

Hoe dan ook, iedere site heeft dus voorwaarden. Ze komen allemaal op ongeveer hetzelfde neer: doe normaal en zeur niet. Ah sorry, ga ik weer. Ze komen allemaal op hetzelfde neer: je mag de dienst gebruiken, hij kan wijzigen of uit de lucht zijn, wij zij niet aansprakelijk en als je je wangedraagt dan gooien we je er van af. Precies – zeur niet en doe normaal.

Omdat ze allemaal hetzelfde zijn, en vooral omdat je in de praktijk toch weinig verhaal hebt, leest geen hond die voorwaarden. Je kent de site van reputatie, je weet dus ongeveer wat moderatoren of auteurs gaan doen en je merkt het wel als je foto wordt geblokkeerd of je bijdrage wordt aangepast wegens schending voorwaarden. Daar heb je die voorwaarden niet voor nodig. Ook niet omdat uiteindelijk er altijd staat “naar ons inzicht”, dus hoe dan ook hebben ze gelijk. Zeur niet.

Dit experiment bewijst dus niets nieuws, wat mij betreft. Het is een feit van algemene bekendheid dat voorwaarden niet worden gelezen. Desondanks: je zit er in principe wél juridisch aan vast. Het zijn algemene voorwaarden zoals de wet dat noemt, en die zijn ook bindend als ze niet worden gelezen. Zolang je ze maar had kúnnen lezen. Dat je dan twee jaar van je leven kwijt bent met al die voorwaarden is juridisch niet relevant.

Omdat het dan wel érg hard door kan schieten – ze zouden eens je eerstgeboren kind kunnen opeisen – kent de wet daar een paar correctiemechanismes voor. Algemene voorwaarden mogen niet onredelijk bezwarend zijn. Zo mag een dienst niet zomaar zijn aansprakelijkheid op nul zetten, dat is onredelijk bezwarend zonder héle goeie reden. De voorwaarden ineens 100% omgooien is ook onredelijk. En voor zaken als kinderen opeisen is er een nóg hardere juridische stok om mee te slaan: overeenkomsten in strijd met de openbare orde of goede zeden zijn nietig. Bestaan niet. Je kúnt niet contracteren dat je kind wordt afgestaan.

Vervelend blijft uiteindelijk wel dat je daarvoor naar de rechter moet. En als je dat niet weet of niet ziet zitten, dan kun je een probleem hebben als de site toch die voorwaarden gaat handhaven. Denk aan het opeisen van maandbedragen of het eisen van een schadevergoeding voor het een of ander. Dat is natuurlijk niet specifiek voor sitevoorwaarden, maar het is wel een probleem.

Wat mij betreft schaffen we het hele zootje dan ook zo snel mogelijk af, in ieder geval voor consumenten. Dat hebben we in feite al gedaan bij de ecommerce: het is wettelijk vrijwel 100% geregeld wat je mag als webwinkel. Je kunt alleen nog in het voordeel van de consument dingen anders doen, zoals een dertigdagenretourtermijn in plaats van de wettelijke veertien. Waarom doen we dat nog steeds niet voor online diensten?

Arnoud

Wanneer is een bericht per contactformulier aangekomen?

mail-to-cc-bccEen lezer vroeg me:

Op 20 juni stuurde ik een opzegbericht via het contactformulier bij een betaalwebsite. Pas drie dagen later kreeg ik een reactie, waarbij ze meteen meldden dat ik te laat was. Maar 20 juni was de laatste dag, dus ik was wél op tijd. Ik kan met een screenshot bewijzen dat ik het formulier heb ingevuld en dat de site daarop meldde dat het bericht is ontvangen. Is dat genoeg bewijslast?

De wet zegt dat wie een bericht verstuurt, moet bewijzen dat het aangekomen is bij de beoogde ontvanger. Bewijzen dat het verzonden is, is daarbij niet genoeg. Zelfs niet bij aangetekende post.

Bij e-mail is bewijs van ontvangst best ingewikkeld. Ik ken eigenlijk maar één manier en dat is dat de ontvanger terugmailt dat hij het heeft gehad. Ja, of je moet met portalen gaan werken waar een derde logt of en zo ja hoe laat het bericht is ingezien door de ontvanger.

Bij een contactformulier is de regel hetzelfde. Maar het bewijs is volgens mij iets makkelijker: vrijwel elk formulier zegt na insturen iets van “Dank u, uw bericht is ontvangen en wij reageren binnen X werkdagen”. Daaruit mag je concluderen dat het bericht ook echt binnengenkomen is. Natuurlijk gaat het bericht vervolgens per mail naar de persoon die er wat mee moet, en die mail kan net zo hard kwijtraken als jouw mail naar info@, maar dat doet er dan niet meer toe. Vanaf ontvangst door het bedrijf is alle vervolgdoorzending hun risico.

Lastig is dan weer wel bewijzen wát er is ontvangen. Want (grote ergernis) je kunt zelden tot nooit vragen om een kopietje naar je eigen mailbox, en “Uw bericht zoals ontvangen staat hieronder” zie je ook vrijwel nooit. Je kunt dan eigenlijk alleen screenshotten (of een filmpje maken) wat je invult en wat het bevestigingsscherm was, en dan moet je maar hopen dat de wederpartij niet gaat roepen dat je die vervalst hebt. Oh, en het filmpje ergens online neerzetten zodat er een onafhankelijke datering is van de inhoud.

Dat gezegd hebbende vind ik het altijd wel heel verstandig om bij zo’n late opzegging er zelf extra bovenop te gaan zitten. Even namailen, drie keer dat formulier insturen of bellen. Want het gedoe om het achteraf recht te trekken is altijd meer dan het gedoe van dat ene telefoontje.

(Terzijde: bewijslast gaat over wie bewijs moet leveren, niet de hoeveelheid bewijs die nodig is.)

Arnoud