Ik hoop dat die orthodontist z’n webbouwer aansprakelijk stelt voor die 12.000 euro boete

| AE 12727 | Security | 53 reacties

De Autoriteit Persoonsgegevens heeft een boete van 12.000 euro uitgedeeld aan een orthodontistenpraktijk omdat die op een aanmeldformulier geen ssl-verbinding gebruikte. Dat meldde Tweakers vorige week. Door het ontbrekende ‘slotje’ liepen patiënten de kans dat gevoelige gegevens, zoals hun BSN, in verkeerde handen zouden terechtkomen. Opmerkelijk dat die basale beveiligingsmaatregel er niet was, maar minstens zo opmerkelijk dat de AP er voor in actie kwam gezien de beperkte scope. Maar goed, ik ben dus fan van kleine boetes voor kleine overtredingen.

De betreffende website bood klanten van de orthodontist gelegenheid afspraken te maken voor een behandeling. Op zich logischerwijs vroeg men om onder meer NAW-gegevens, geboortedatum, BSN, telefoonnummers van de patiënt en de ouders, gegevens over de school, huisarts, tandarts en de verzekeringsmaatschappij.” Dat formulier werd zonder beveiliging (dus SSL-, TLS-certificaat oftewel “slotje”) opgestuurd, wat inderdaad een beveiligings-dingetje is.

Is het heel erg? Mwa. Technisch betekent het dat iedereen die in het netwerk tussen de klant en de orthodontist zit, de data kan onderscheppen. Het klassieke voorbeeld is het internetcafé of bibliotheek, waar je met de juiste software alles kunt zien dat anderen in diezelfde ruimte opsturen naar websites. Door https te gebruiken, is dit niet langer inzichtelijk – de communicatie naar de site is versleuteld en daarmee niet meer te lezen.

Het aantal scenario’s waarin dit een reëel risico is, is dus beperkt. Vanuit huis is dit bijvoorbeeld geen issue, de buren die ook bij Ziggo zitten kunnen sowieso niet meelezen. Huisgenoten mogelijk wel. Werk je met mobiel internet, dan is dit ook geen serieus risico. Maar natuurlijk is er een niet te verwaarlozen groep mensen die alleen via publieke terminals (zoals de bieb) kan werken, en ook die moet gewoon veilig internet op kunnen.

Daar komt bij: al sinds jaar en dag weet iedereen dat zo’n slotje weinig moeite is, zeker sinds initiatieven als Let’s Encrypt die je gratis certificaten geven om het slotje te realiseren. Dus het voelt als “oké beperkt risico maar het is zo gedaan, doe het dus gewoon” voor mij. Ik blogde er ooit in 2013 over en concludeerde dat het eigenlijk onvermijdelijk is, behalve wellicht bij triviale formulieren zoals de plek hieronder waarin u het hartgrondig met mij oneens gaat zijn.

In het boetebesluit kan de AP het nog simpeler houden: het gaat hier om persoonsgegevens in de zorg, daarbij is NEN 7510-2 leidend en daaruit volgt het gebruik van TLS. Punt, klaar, next. En dan gaat het om zeer gevoelige gegevens, ook nog eens (vooral) van kinderen en dan mag dat al helemaal niet gebeuren. Normaal kom je dan op een boete van een ton, maar omdat deze orthodontist dat absoluut niet kan betalen wordt deze gematigd naar 12.000 euro.

En dan gooi ik met dit citaat even de knuppel in het hoenderhok:

[Betrokkene] heeft erkend dat de oude website geen gebruik maakte van een versleutelde verbinding. De ontwikkelaar van de oude website heeft haar nooit gewezen op die mogelijkheid. Anders had zij daar zeker gebruik van gemaakt, aldus [betrokkene].
We hebben het dus over 2019. Let’s Encrypt was toen al best bekend, en het algemene idee dat SSL-certificaten verstandig waren ook. Om dus nog maar niet te spreken van die NEN-norm in de zorg. Dan wil ik van een kleine orthodontie-praktijk nog wel geloven dat die weinig verstand van internet heeft (de nieuwe site heeft geen online formulier meer maar een uit te printen pdf, ik bedoel maar)  maar van de webbouwer mag dit wel verwacht worden toch?

Oftewel, die orthodontist mag de webbouwer op grond van schending zorgplicht aansprakelijk houden voor die 12.000 euro wat mij betreft.

Arnoud

Hoe toegankelijk moet je videospel zijn?

| AE 12637 | Ondernemingsvrijheid | 19 reacties

Via Reddit:

I can’t use one hand and some fingers on the other after an industrial accident. I do things on the computer using mouse and 3 foot pedals. I play this game called Path of Exile, and in the game you need to refresh 4 potion buffs every 3-8 seconds. I physically can’t press 4 keys every few seconds so I use a macro that automatically does it for me. I got banned for it recently.

Een en ander blijkt nep te zijn, maar de vraag bleek desondanks interessant genoeg om duizenden discussies in allerlei subreddits op te werpen. De kern is: hoe ver moet je als game-ontwikkelaar mensen tegemoet komen die vanwege een lichamelijke beperking het spel niet kunnen spelen op de manier die jij had bedacht?

In de VS gaat het dan om de Americans With Disabilities Act uit 1990, die kort gezegd bepaalt dat je mensen niet vanwege een fysieke beperking de toegang tot een “locatie opengesteld voor publiek” mag ontzeggen. Heb je een verhoogde ingang, dan moet daar dus een oprit voor rolstoelen bij, bijvoorbeeld. En moet je dingen lezen om wat te kunnen doen, dan moet er dus braille bij (zoals bij geldautomaten op het nummerpad). Maar is een website een locatie? In 2016 bepaalde het Hof van Beroep van niet – de website van Domino’s hoeft niet toegankelijk te zijn voor een schermlezer van een blinde persoon die een pizza wilde bestellen.

Rond die tijd was er ook in Europa ophef: in januari 2016 werd het verdrag inzake de rechten van personen met een handicap goedgekeurd. Dit verdrag beschrijft rechten van mensen met een handicap (langdurige fysieke, mentale, intellectuele of zintuiglijke beperkingen) en bevat tevens de verplichting dat verdragsstaten alle passende maatregelen nemen om te waarborgen dat redelijke aanpassingen worden verricht.

Vanaf 2017 geldt in Nederland daarom de reden dat dienstverleners – ook online – “verplicht [zijn] tot het treffen van voorzieningen van eenvoudige aard en gaandeweg zorg te dragen voor de algemene toegankelijkheid voor personen met een handicap of chronische ziekte, tenzij dat voor hem een onevenredige belasting vormt.” Er zijn geen harde specifieke regels; zo is het ondertitelen van Youtubevideo’s een voorziening maar die hoeft dus alleen als dat geen onevenredige belasting oplevert.

Maar wat betekent dat nu voor games? In 2001 bepaalde het Amerikaanse Supreme Court dat een golfer met een fysieke handicap toegestaan moest worden met een golfkarretje van hole naar hole te rijden, omdat de reglementair verplichte wandeling voor hem niet haalbaar was. Dit omdat “use of the golf cart does not “fundamentally alter the nature” of the game of golf.” Een eis dat hij de bal met de hand zou mogen werpen, zou dus niet toegewezen hoeven te worden om eens een simpel voorbeeld te noemen.

In Nederland is er volgens mij nooit zo’n zaak geweest, maar in principe zou dit criterium heel goed bij ons kunnen werken. Er zit een fundamenteel stukje eerlijkheid in: als de regel mede bepalend is voor hoe het spel verloopt, dan zou je het spel dus aantasten als je uitzonderingen gaat maken. Is het een zijdelingse kwestie (zoals dat je een bril nodig hebt als voetballer) dan is een uitzondering dus in beginsel vereist.

Tussengevallen houd je dan nog over, en die zijn lastig. In een restaurant moet de voedselhygiëne goed geregeld zijn, dus geen dieren naar binnen. Maar als ik een hond nodig heb om vrij te kunnen lopen, dan moet die hond mee naar binnen. Daar kom je denk ik niet snel uit – al is in de VS bepaald dat zo’n hond dan wél mag omdat de impact van één geleidehond op de hygiëne acceptabel klein is.

Hoe zou dat bij dit spel uitpakken? De vraagsteller gebruikt dus een trucje om niet elke zo veel minuten snel vier toetsen achter elkaar in te hoeven drukken, omdat hij daar simpelweg de vingers en flexibiliteit in de hand niet voor heeft. Het doel van deze eis uit het spel is te controleren dat je nog steeds in het spel zit. Dat voelt voor mij als een zijdelingse kwestie. Bij een boks-spel waar snel toetsen indrukken snel slaan zou betekenen, zou dit een oneerlijk voordeel opleveren namelijk beter vechten dan je eigenlijk kan.

De complicatie is natuurlijk dat de spel-aanbieder dat niet kan zien, in tegenstelling tot een scheidsrechter bij het voetbal die je medische verklaring over je ogen kan lezen, of een restaurateur die zelf waarneemt dat een persoon blind is en die hond dus nodig heeft. Het voelt dan ook best risicovol om dit toe te staan enkel omdat mensen zeggen vingers te missen. Maar heel cru oordelen “dat doen we niet want cheaters” is wettelijk ook weer niet de bedoeling.

Hebben jullie een idee?

Arnoud

 

Schenden van de gebruiksvoorwaarden van een site is toch geen computervredebreuk

| AE 11863 | Regulering, Security, Uitingsvrijheid | 6 reacties

Het schenden van de gebruiksvoorwaarden van een site is toch geen computervredebreuk, las ik bij Ars Technica. Een federale rechter in Washington, DC heeft geoordeeld dat de strenge Amerikaanse Wet Computercriminaliteit (Computer Fraud and Abuse Act) niet van toepassing is enkel omdat iemand op een site actief is in strijd met de gebruiksvoorwaarden. Dat zal enige rust geven bij veel onderzoekers, want in de literatuur werd vaak gedacht van wel: je bent dan immers ergens waar je niet mag zijn, en dat zou naar de letter van de wet al computervredebreuk zijn. Maar de rechter wijst erop dat je dan private partijen de strafwet laat schrijven, en dat is natuurlijk niet de bedoeling.

De zaak was aangespannen door onderzoekers die raciale discriminatie wilden vaststellen op banenzoeksites. Daarvoor moeten ze data scrapen van die sites, iets dat in de voorwaarden natuurlijk verboden is. Ook wilden ze nepprofielen aanmaken, en ook dat is tegen de voorwaarden. Hun zorg was niet dat ze dan een schadeclaim zouden krijgen (wat in theorie kan, mits de schade aan te tonen is) maar vooral dat de sites dan de FBI op ze los zouden laten wegens computervredebreuk.

De CFAA verbiedt namelijk ” intentionally accessing a computer without authorization or in excess of authorization”, waarbij onduidelijk is wat “authorization” dan precies is. De gedachte dat dat is wat men toestaat in de gebruiksvoorwaarden is geen gekke; op iemands privé-eigendom mag je doen wat die je toestaat en niet meer, dus dat zou ook bij computers gelden. Dat maakt het wel heel makkelijk voor site-eigenaren om ongewenst gedrag af te schrikken: formuleer een verbod en bel de FBI (het is een federale wet immers) wanneer iemand het toch doet.

Met name bij onderzoekers in securitygebied gaf dit veel zorgen, maar ook in andere gebieden zoals hier onderzoek naar gedrag van grote sites is dit een punt van zorg. Daarom de rechtszaak, die overigens mede ingestoken was op het First Amendment want als onderzoeker niet mogen zoeken in openbare data is toch wel een ernstige inbreuk op je informatievrijheid – ook het vergaren van informatie valt onder dit recht, namelijk. Ook bij ons.

De rechtbank heeft dat echter niet nodig, en concludeert simpelweg dat het niet de bedoeling is dat website-eigenaren zelf stukjes strafwet mogen schrijven:

Under such circumstances, the CFAA’s prohibition on “access[ing] a computer without authorization,” even though phrased “in the form of a general prohibition” that can often escape nondelegation worries, see Silverman v. Barry, 845 F.2d 1072, 1086 (D.C. Cir. 1988), becomes unworkable and standardless. Criminalizing termsof-service violations risks turning each website into its own criminal jurisdiction and each webmaster into his own legislature. Such an arrangement, wherein each website’s terms of service “is a law unto itself,” Emp’t Div., Dep’t of Human Res. of Or. v. Smith, 494 U.S. 872, 890 (1990), would raise serious problems. This concern, then, supports a narrow interpretation of the CFAA.

Dit is niet de eerste uitspraak langs deze lijn. Ars Technica citeert een 3-2 uitkomst van zaken die voor en tegen dit argument aanliepen. Dat betekent dat het naar de Supreme Court moet om een definitieve uitspraak te krijgen, iets dat nog wel even zal duren.

In Nederland zou ik overigens eveneens niet verwachten dat iemand wordt vervolgd enkel omdat de voorwaarden iets verbieden. Als je er ‘gewoon’ bij kunt komen, dan is het civiel onrechtmatig maar daarmee nog lang niet strafbaar. Data scrapen waar je zonder exploits bij kunt, is daarvan een voorbeeld. Idem voor een nepprofiel. Pas als wat je doet sowieso al strafbaar is (een nepprofiel ten behoeve van identiteitsfraude of oplichting bijvoorbeeld) dan krijg je het OM achter je aan.

Arnoud

Een website als gemeenschappelijk eigendom, het kan

| AE 10855 | Intellectuele rechten | 13 reacties

Een opmerkelijke (maar positieve) uitspraak van de rechtbank Amsterdam: de website Boschproject.org (over het werk van Jheronimus Bosch) telt als gemeenschappelijk eigendom van partijen die daaraan gewerkt hebben. Dat las ik bij IE-Forum. Dat is opmerkelijk omdat een website niet echt een ding is dat je in eigendom kunt hebben, laat staan gemeenschappelijk eigendom dus…. Lees verder

En nu eisen sitevoorwaarden ook al je eerstgeboren kind op

| AE 8802 | Informatiemaatschappij | 7 reacties

Gaan we weer: hee kijk, niemand leest websitevoorwaarden, zelfs als je erin zet dat je je eerstgeboren kind moet afstaan, gaat iedereen blindelings akkoord. Dat las ik bij Ars Technica. Leuk nieuwtje weer, maar wat mij betreft nieuwswaarde nul. Al sinds het begin van internet staat iedere site bol van de gebruiksvoorwaarden. Ergens wel logisch,… Lees verder

Gebruik van mijn browser betekent akkoord met mijn gebruiksvoorwaarden

| AE 8649 | Informatiemaatschappij | 14 reacties

Gebruik van mijn browser betekent akkoord met mijn gebruiksvoorwaarden, een idee van David Rosenthal, digitaal conservator uit Amerika. Hij vroeg zich af waarom al die sites wegkomen met “Gebruik van onze site betekent akkoord met onze voorwaarden” en of dat niet om te keren was. Dan stel jij voorwaarden aan gebruik van je browser, en… Lees verder

Wat moet ik doen als mijn mediabureau failliet gaat?

| AE 8149 | Informatiemaatschappij | 22 reacties

Een lezer vroeg me: Ik heb een website laten bouwen bij een fullservice mediabureau. Zij hosten, doen vormgeving, hebben de domeinnaam geregistreerd en regelen gewoon alles. Erg prettig, maar nu zitten zij in zwaar weer en is er een bewindvoerder aangesteld. Daarmee gaat het allemaal een stuk minder vlot. Ik wil graag naar een ander,… Lees verder

Gebruik van AdBlock Plus (weer) legaal verklaard in Duitsland

| AE 7708 | Ondernemingsvrijheid | 16 reacties

AdBlock Plus is legaal verklaard in Duitsland, las ik bij Business Insider. Zij wonnen een rechtszaak aangespannen door website-uitgevers die stelden dat ABP misbruik maakte van haar machtspositie en bovendien auteursrechten schond door ongeautoriseerd webpagina’s aan te passen. Dit is de tweede overwinning in korte tijd voor de advertentiefilterdienst. Het blokkeren van advertenties bij websites… Lees verder