Oostenrijkse providers blokkeren Cloudflare-IP’s na gerechtelijk bevel

| AE 13524 | Informatiemaatschappij, Regulering | 13 reacties

aitoff / Pixabay

In Oostenrijk zijn IP-adressen van Cloudflare geblokkeerd bij meerdere providers omdat websites die illegale software en media aanbieden daar gebruik van maken. Dat meldde Tweakers vorige week. Een foutje, een auteursrechtwaakhond had die IP-adressen per ongeluk opgenomen in een blokkadelijst die gericht was tegen de downloadsite Newalbumreleases punt net. Pijnlijk, want Cloudflare hergebruikt IP-adressen zeer regelmatig en legitieme websites waren dus uit de lucht hierdoor. Het gaf veel ophef, want hoezo had die rechter niet even gecontroleerd dat die IP-adressen echt bij die downloadsite hoorden? Nou ja: omdat dat de taak is van de partijen, niet van de rechter. Als die beiden zeggen, dit zijn de IP-adressen en die gaan jullie/wij wel/niet blokkeren, waarom moet de rechter dan apart gaan nakijken of die adressen correct zijn?

Op een lijst van ISP Liwest staat Newalbumreleases met diverse extensies genoemd. Ook staan er IP-adressen op die lijst, en daarvan behoorden een aantal toe aan proxynetwerk (CDN) Cloudflare. Door die te blokkeren, werden dus diensten van Cloudflare gehinderd waardoor een deel van haar klanten onbereikbaar werden. Cloudflare werd dus niet zelf aangemerkt als mede-inbreukmaker, iemand heeft zitten slapen bij het maken van die lijst en de verkeerde IP-adressen erop gezet. Waarschijnlijk omdat Newalbumreleases ook via Cloudflare werkte, zodat wanneer je diens IP-adressen opzoekt je ook Cloudflare-adressen krijgt.

De eerste berichtgeving had het allemaal over “court orders” die de ISPs zouden verplichten dit te doen. Ik kan alleen nergens een Oostenrijks vonnis vinden waaruit dit blijkt. Volgens provider Kabelplus zijn er wel zaken geweest, maar dit klinkt alsof men op basis daarvan overgestapt is naar die vrijwillige regeling. Als ik dan verder zoek, dan lijkt het erop dat dit een semi-vrijwillige afspraak is op basis van een strenge Oostenrijkse wettelijke regeling: als een rechthebbende een evident juiste klacht heeft dat een site structureel auteursrechten schendt, dan moet de provider deze blokkeren.

Provider RTR legt uit:

In the area of ??copyright, there is a special provision in Section 81 (1a) UrhG , according to which providers of Internet access services can also be obliged to refrain from providing access to structurally infringing websites if they have previously been duly warned by a rights holder. A structurally infringing website exists if exclusion rights within the meaning of the Copyright Act (UrhG) are violated not only in individual cases, but systematically and regularly. … According to § 7b VBKG, such measures are to be ordered in accordance with Art. 9 Para. 4 Letter g VBKVO due to a violation of the Consumer Authority Cooperation Ordinance, which the providers of internet access services, hosting services according to § 16 of the E-Commerce Act, services caching), search engines or registration offices for domain names, appointed the Telekom Control Commission. For this purpose, the authority responsible for the implementation of the VBKG can submit an application to the Telekom-Control Commission as another authority in accordance with Article 10 Paragraph 1 lit. b VBKVO. 
Zoals ik het dus begrijp. Uit de Oostenrijkse Auteurswet volgt dus dat een provider zo’n structureel inbreukmakende website op verzoek van een rechthebbende moet blokkeren. Een hele rechtszaak is daarvoor niet nodig. Wel kan een controle door de Oostenrijkse Consumentenautoriteit (de Telekom-Control-Kommission) worden verlangd, die dan nagaat of de Netneutraliteitsverordening wordt geschonden. Een voorbeeld is deze zaak over Kinox.to. Het idee is dan dat blokkades onder de Nnvo alleen mogen als ze een strikt beperkte uitzondering geven die gerechtvaardigd wordt door de auteursrechtinbreuk. Op die manier is er dus geen rechtszaak nodig maar wel een toetsing van een externe autoriteit.

Mij is alleen niet duidelijk of hier ook een uitspraak van die toezichthouder is geweest, want die lijkt nog nergens te vinden. Het is dus goed mogelijk dat de providers gewoon direct op het verzoek acteerden. Dat zou wel opmerkelijk zijn omdat er eerder nooit IP-adressen op zulke lijsten zijn gezet. Maar het zou verklaren waarom de ISPs niet hebben gecontroleerd van wie die IP-adressen zijn.

Arnoud

 

Hof vindt website geen geautomatiseerd werk en spreekt verdachte vrij

| AE 13510 | Regulering, Security | 13 reacties

Een man uit Tiel die voor het inbreken op de website van een Haagse huisartsenpost werd veroordeeld tot een gevangenisstraf van twee maanden, waarvan één maand voorwaardelijk, is in hoger beroep vrijgesproken, las ik bij Security.nl. Dit omdat een website volgens het gerechtshof Den Haag niet als geautomatiseerd werk kan worden aangemerkt. Is dat een pietluttig zoeken naar spijkers op laag water of zit hier meer achter?

Eerst een organisatie hacken, en vervolgens voor veel geld aanbieden om het ‘lek’ te dichten. Dat was volgens het OM het business model van de 29-jarige man uit Tiel. Hem werd computervredebreuk ten laste gelegd, het OM kon zijn beroep op “white hat hacken” niet serieus nemen. Het was een mooie casus om eens te bepalen wat er wel en niet kan als je tegen lekken aanloopt en het je werk is die te dichten.

Die kans is gemist, want na een veroordeling in eerste instantie ging de man in hoger beroep. En daar werd hij vrijgesproken vanwege de semantische discussie dat een website geen “geautomatiseerd werk” is zoals de wet dat bedoelt, namelijk “een inrichting die bestemd is om langs elektronische weg gegevens op te slaan, te verwerken en over te dragen”. In 2013 hadden we nog een discussie over die term ‘inrichting’, dat mag best een samenstel van fysieke dingen zijn maar er moeten wel fysieke ding(en) gehackt zijn, uiteindelijk. (Ook de tegenwoordige definitie, die nog niet gold ten tijde van dit feit, vereist een of meer stukken hardware.)

In 2020 deed ditzelfde Hof ook zoiets, toen het ging om het hacken van een Facebook-account: “Een account op Facebook bestaat feitelijk slechts uit een samenstel van gegevens en heeft daarmee geen fysieke vorm. ” Het OM was daar destijds op voorbereid, door subsidiair “de server achter het account” op te nemen als voorwerp van hack, maar dat mocht dan ook weer niet:

Dat geldt eveneens ten aanzien van het tweede en derde gedachtestreepje, aangezien de webserver en/of het netwerk en/of de computer(s)(systemen) achter het Facebook-account waarop de verdachte trachtte in te loggen niet toebehoren aan [slachtoffer 2]. Het tweede en het derde gedachtestreepje uit de tenlastelegging kunnen naar het oordeel van het hof daarom evenmin wettig en overtuigend bewezen worden verklaard.
Nou weet ik dat men in het strafrecht van de precieze is, en het is inderdaad fout om te zeggen dat er bij Jansen is ingebroken als men bij een pand in eigendom Pietersen naar binnen ging. Maar ik snap in deze situatie niet welk belang het Hof probeert te beschermen. Had in die Facebook-zaak Meta als mede-slachtoffer moeten zijn opgevoerd? Dat voelt raar: als Jansen de huurder was van dat pand van Pietersen, dan is “inbreken bij Jansen” toch gewoon juist?

Een jaar later kwam de Hoge Raad met een arrest over ddos-aanvallen, die ook alleen op geautomatiseerde werken kunnen worden uitgevoerd. Daar was in de tenlastelegging alleen opgenomen dat “gegevens toegezonden naar de website “[internetsite 2]” waren, wat kennelijk genoeg was:

Het hof heeft vastgesteld dat de verdachte via de website ‘[internetsite 1]’ zestien Distributed Denial of Service-aanvallen (hierna: DDoS-aanvallen) heeft laten uitvoeren op de website ‘[internetsite 2]’, en dat de toegang tot de website ‘[internetsite 2]’ door deze aanvallen daadwerkelijk (tijdelijk) belemmerd is geweest. Op grond hiervan heeft het hof bewezenverklaard dat de verdachte de toegang tot en/of het gebruik van een geautomatiseerd werk heeft belemmerd. In het licht van de onder 2.5 en 2.6 weergegeven wetsgeschiedenis en gelet op wat hiervoor onder 2.7 is vooropgesteld, geeft dit oordeel niet blijk van een onjuiste rechtsopvatting.
De HR lijkt dus “website” zo te lezen dat “onderliggende serverhardware en netwerkinfrastructuur” er gewoon bij hoort, en heeft er geen moeite mee dat de website-eigenaar een andere entiteit is dan de eigenaar of exploitant van die hardware. Het belang van de strafbaarheid zit hem erin dat die website offline was, of hier dat de verdachte is gegaan waar hij niet mocht zijn. Niet of er een complete lijst bijgevoegd is van de eigenaren van alle componenten.

Dus nee, ik zie niet hoe het Hof in enige redelijkheid tot deze conclusie kan komen.

Arnoud

Pornosite moet van rechter toestemming vragen aan mensen op amateurbeelden

| AE 13174 | Ondernemingsvrijheid | 17 reacties

De pornowebsite Vagina.nl mag alleen naaktbeelden publiceren na toestemming van de personen die in beeld komen, las ik bij Nu.nl. Dit bepaalde de rechtbank Amsterdam in een massaclaim van stichting Stop Online Shaming (SOS) en Helpwanted.nl vorige week. De site bevat naast professionele porno ook amateurporno, waaronder heimelijk gefilmd materiaal waarop mensen te zien zijn die geheel of gedeeltelijk ontkleed zijn. Het rondzingen van zulk materiaal is schadelijk voor de slachtoffers, en met deze massaclaim wilde men paal en perk daartegen stellen.

De site is een typische pornosite: gebruikers mogen zelf materiaal uploaden, dat komt na een minimale screening online en komt dan in een van tientallen categorieën terecht. De algemene voorwaarden klinken mooi, en er is een notice-takedown procedure die wederom op papier mooi klinkt: stuur een klacht, we kijken ernaar en als het ons terecht lijkt, halen we het weg.

Leuk en aardig, maar voor veel mensen is dit een lastige hobbel. Je moet dan aantonen dat jij in beeld was, dat jij géén toestemming hebt gegeven en dat het bezwaarlijk of schadelijk voor je is en ga zo maar door. Nog los van dat vele sites gewoon geen gehoor geven aan je sommatie, wetende dat je toch niet naar de rechter gaat als slachtoffer.

De stichting draaide het in haar massaclaim om: de eis kwam neer op een verklaring voor recht (een “gerechtelijk bevel”, zo u wilt) dat het onrechtmatig is om amateurporno online te zetten zonder dat je aantoonbaar toestemming hebt van de betrokken acteurs. Zoiets kan tegenwoordig onder de Wet massaclaims. Zoals de rechtbank het uitlegt, de wet gaat uit van de fictie dat alle Nederlanders die onder de groep vallen voor wiens belangen wordt opgekomen, betrokken zijn in het geding, tenzij ze expliciet hebben aangeven niet vertegenwoordigd te willen zijn door de eisers (opt-out).

Allereerst constateert de rechter dat de site inhoudelijk filtert op wat mensen uploaden. De stichting had een paar testvideo’s geupload, en die werden met inhoudelijke motivatie afgekeurd. Dan ben je dus redactioneel bezig, en dan kun je je niet beroepen op de vrijstelling voor platforms.

Vervolgens doet de rechtbank de gebruikelijke belangenafweging: de privacy van betrokkenen versus de nieuwswaarde van de video’s (vrijheid van meningsuiting, immers) en het commercieel belang (ondernemersvrijheid) van de site. Het gaat hier specifiek om gluurvideo’s, stiekem gemaakt in situaties waarin mensen zich onbespied mogen wanen, zonder dat er enig algemeen belang of iets dergelijks te bedenken is. Ook ging het om gelekte privébeelden (zoals wraakporno), waarbij mensen misschien dan de video wel wilden maken maar zeker niet akkoord gingen met openbare publicatie.

De slotsom is dat het onrechtmatig is om op een adult website beeldmateriaal te publiceren dat heimelijk is gefilmd en dat personen herkenbaar toont die (geheel of gedeeltelijk) ontkleed zijn te zien op plekken waar zij zich onbespied wanen of dat niet professioneel is gemaakt en personen herkenbaar toont die in de privésfeer seksuele handelingen verrichten, tenzij de exploitant, in dit geval [gedaagde] , zich ervan heeft vergewist dat die personen toestemmen in de openbaarmaking van die beelden.
Dat je een notice/takedownprocedure hebt of in je algemene voorwaarden mensen zogenaamd laat zeggen dat er toestemming is van iedereen, helpt daarbij helemaal niets. Je moet de schade vergoeden van iedere persoon die herkenbaar op zo’n video staat. Bovendien, en dat is belangrijker: er staan dwangsommen op het online houden van zulke video’s, namelijk 10.000 euro per video en 500 euro per dag. Dat is een enorme opsteker voor slachtoffers, want dan hoef je dus eigenlijk geen schadebedrag te onderbouwen.

De uitspraak is niet specifiek voor deze site, andere sites die op dezelfde manier werken (en dat doen ze vrijwel allemaal) kunnen dus op dezelfde manier worden aangesproken. Alleen de dwangsom geldt formeel niet voor andere sites.

Arnoud

 

 

Ik hoop dat die orthodontist z’n webbouwer aansprakelijk stelt voor die 12.000 euro boete

| AE 12727 | Security | 53 reacties

De Autoriteit Persoonsgegevens heeft een boete van 12.000 euro uitgedeeld aan een orthodontistenpraktijk omdat die op een aanmeldformulier geen ssl-verbinding gebruikte. Dat meldde Tweakers vorige week. Door het ontbrekende ‘slotje’ liepen patiënten de kans dat gevoelige gegevens, zoals hun BSN, in verkeerde handen zouden terechtkomen. Opmerkelijk dat die basale beveiligingsmaatregel er niet was, maar minstens zo… Lees verder

Schenden van de gebruiksvoorwaarden van een site is toch geen computervredebreuk

| AE 11863 | Regulering, Security, Uitingsvrijheid | 6 reacties

Het schenden van de gebruiksvoorwaarden van een site is toch geen computervredebreuk, las ik bij Ars Technica. Een federale rechter in Washington, DC heeft geoordeeld dat de strenge Amerikaanse Wet Computercriminaliteit (Computer Fraud and Abuse Act) niet van toepassing is enkel omdat iemand op een site actief is in strijd met de gebruiksvoorwaarden. Dat zal… Lees verder

Een website als gemeenschappelijk eigendom, het kan

| AE 10855 | Intellectuele rechten | 13 reacties

Een opmerkelijke (maar positieve) uitspraak van de rechtbank Amsterdam: de website Boschproject.org (over het werk van Jheronimus Bosch) telt als gemeenschappelijk eigendom van partijen die daaraan gewerkt hebben. Dat las ik bij IE-Forum. Dat is opmerkelijk omdat een website niet echt een ding is dat je in eigendom kunt hebben, laat staan gemeenschappelijk eigendom dus…. Lees verder

En nu eisen sitevoorwaarden ook al je eerstgeboren kind op

| AE 8802 | Informatiemaatschappij | 7 reacties

Gaan we weer: hee kijk, niemand leest websitevoorwaarden, zelfs als je erin zet dat je je eerstgeboren kind moet afstaan, gaat iedereen blindelings akkoord. Dat las ik bij Ars Technica. Leuk nieuwtje weer, maar wat mij betreft nieuwswaarde nul. Al sinds het begin van internet staat iedere site bol van de gebruiksvoorwaarden. Ergens wel logisch,… Lees verder

Gebruik van mijn browser betekent akkoord met mijn gebruiksvoorwaarden

| AE 8649 | Informatiemaatschappij | 14 reacties

Gebruik van mijn browser betekent akkoord met mijn gebruiksvoorwaarden, een idee van David Rosenthal, digitaal conservator uit Amerika. Hij vroeg zich af waarom al die sites wegkomen met “Gebruik van onze site betekent akkoord met onze voorwaarden” en of dat niet om te keren was. Dan stel jij voorwaarden aan gebruik van je browser, en… Lees verder