Waarom vragen Wifi hotspots nog zo vaak om akkoord op vage disclaimers?

| AE 13763 | Ondernemingsvrijheid | 3 reacties

Een lezer vroeg me:

Zou je eens kunnen uitleggen of uitzoeken waarom zoveel WiFi hotspots een soort van bevestiging, of login vragen? Met daarbij een pagina met allerlei disclaimers of voorwaarden.
Wat een leuke vraag om het nieuwe jaar mee te beginnen, disclaimers én juridisch cargoculten.

Mijn inschatting is dat iedereen het doet omdat iedereen het doet (dat heet cargoculten). Er is inderdaad geen enkele juridische reden, maar het inlogscherm bevat zo’n vakje dus de leverancier vraagt ‘wat zal ik hier zetten’ en de directeur van IT googelt even een standaardtekst. Of iedereen laat het staan want het zal wel prima zijn.

De gedachte er achter is natuurlijk dat iemand iets illegaals kan doen vanaf de aangeboden internettoegang, en dat een derde jou daarvoor aansprakelijk houdt. Maar dat is al sinds grofweg eind jaren negentig geen ding meer, omdat je wettelijk gezien niet aansprakelijk bent voor wat mensen via jouw internetverbinding uithalen. Nee, ook niet als je het weet. Een hoster moet dan optreden, maar een toegangsprovider niet.

Ook zie je wel dat men dit soort teksten publiceert met de gedachte dan toestemming te kunnen eisen voor het monitoren of filteren van internetverkeer. Want ja, toestemming moet je vragen. Maar specifiek bij het kunnen monitoren of filteren van internetverkeer heb je helemaal geen toestemming nodig, nog los van dat men die drie seconden na het inloggen weer kan intrekken zonder gevolgen. 

Je kunt je hier prima beroepen op een legitiem belang (netwerkbeveiliging) en dan mag je monitoren, mits je maar informeert dat je dat doet. Dus dat is dan de énige reden om een tussenscherm te doen: je wilt mensen keurig tijdig informeren waar op wordt gemonitord, wat er wordt tegengehouden en wanneer je kunt worden afgeknepen/afgesloten. Maar dat kun je ook doen op het bordje waar je mensen vertelt wat de SSID of het wachtwoord is, met een link naar de privacyverklaring.

Arnoud

Man die wifi-wachtwoord voor ander doel gebruikte schuldig aan computervredebreuk

| AE 12888 | Privacy, Security | 12 reacties

Rollstein / Pixabay

Een 51-jarige man die als schoonmaker een verborgen camera plaatste en die koppelde met het wifi-netwerk van zijn slachtoffer heeft zich onder andere schuldig gemaakt aan computervredebreuk, meldde Security.nl onlangs. De rechtbank Amsterdam veroordeelde de man eind augustus tot 10 maanden cel (4 voorwaardelijk) voor deze computervredebreuk, gekoppeld aan het maken van stiekeme intieme beelden in de slaapkamer van zijn opdrachtgever. Het is in zoverre opmerkelijk dat enkel “gebruik voor ander doel” niet snel computervredebreuk is.

De zaak kwam aan het licht toen de vrouw een verborgen ip-camera had ontdekt, die was vastgeplakt met hetzelfde dubbelzijdige tape dat de schoonmaker eerder voor klusjes in haar huis had gebruikt. De verdachte was daarnaast één van de weinige personen die een sleutel van het huis van de vrouw had. De camera was aan het wifi-netwerk van het huis gekoppeld; de man had het wachtwoord gekregen zodat hij tijdens het werk naar muziek kon luisteren. En dat ziet de rechtbank als een probleem:

Nu verdachte het wifi-wachtwoord heeft gebruikt met een ander doel dan waarvoor deze aan hem was verstrekt is de rechtbank van oordeel dat verdachte opzettelijk wederrechtelijk is binnengedrongen in een geautomatiseerd werk (de router dan wel het wifi-netwerk), door middel van een valse sleutel.
Enige tijd geleden hadden we in Amerika de uitspraak dat je bevoegdheid misbruiken geen computervredebreuk meer was, dankzij de Supreme Court. In Nederland ligt dat iets subtieler: in 2019 hadden we bijvoorbeeld wijkagent Jan die mensen natrok, wat de grenzen van zijn autorisatie ver te buiten ging en computervredebreuk opleverde. Hier zou ik het ook zeker wel “vér te buiten” vinden gaan, de sprong van “mag ik muziek luisteren via je netwerk” naar stiekem een ip-camera via dat netwerk laten werken die met een bewegingssensor geactiveerd wordt is hoe dan ook te groot.

Het wil dus niet zeggen dat wanneer je autorisatie tot X hebt, dat dan ieder gebruik dat de letter van X te buiten gaat, automatisch computervredebreuk is. Had de man het wifi-wachtwoord gebruikt om ook te kunnen internetten (even Buienradar bekijken of googelen hoe je balpen van een houten tafel krijgt) dan zou ik er zeer veel moeite mee hebben gehad als dat computervredebreuk zou opleveren.

Naast de computervredebreuk wordt de man ook veroordeeld tot het afluisteren van gesprekken in die slaapkamer, en specifiek het vervaardigen en bezitten van “een afbeelding van seksuele aard” (art. 139h Strafrecht). Dit artikel is deel van het verbod op wraakporno, wat hier niet echt het geval is (“gewoon voyeurisme”) maar het artikel past bij het feit. Hij krijgt alles bij elkaar 10 maanden cel waarvan 4 voorwaardelijk, en moet bijna 1200 euro schadevergoeding betalen.

Arnoud

Franse politie arresteert café-uitbaters die wifidata niet bewaarden

| AE 12244 | Ondernemingsvrijheid | 6 reacties

In de Franse stad Grenoble zijn ten minste vijf uitbaters van cafés en restaurants opgepakt omdat ze een wifinetwerk in hun etablissement aanboden maar de logs niet minstens een jaar bewaarden. Dat meldde Tweakers maandag. Die bewaartermijn staat in de Franse wet, en is opmerkelijk gezien we in Europees verband dit juist hadden verboden. De Franse wet blijkt al sinds 2006 te bestaan maar heeft nooit echt aandacht gekregen, getuige de verbijstering bij de café-eigenaren.

Heel Frans vind ik dan de klacht dat “de informatie zou ook niet aan bod zijn gekomen bij trainingen van de UMIH, de Franse horecavakbond.” Ik weet niet of je in Nederland ver zou komen met het verweer dat je het niet gehad hebt bij je horecadiploma of de inschrijving bij de Kamer van Koophandel. Maar dat terzijde.

De complicatie zit hem er vooral in dat je dus actief data moet vergaren en vastleggen. Wat de meeste ondernemers doen, is gewoon een wifi access point neerzetten op een al dan niet forse internetverbinding, want zo zou iedereen dat doen. Mais non:

Or, les forfaits professionnels des opérateurs fournissent des outils qui permettent d’identifier les clients finaux, de collecter les IP, les historiques… et d’être conformes avec la loi de 2006. C’est d’ailleurs ce qui est fait dans les hôtels, les centres de congrès… Mais ces abonnements sont évidemment bien plus chers que les forfaits grand public.
Bezorgde horecaondernemers in Nederland: dit is een specifieke Franse wet, die geen Nederlands equivalent kent. Er is geen eis bij ons dat je weet wie je wifi gebruikt, laat staan dat je de logs een jaar bewaart zodat Justitie dit kan opvragen. (Je bent ook niet aansprakelijk als mensen je wifi gebruiken, maakt niet uit wat ze ermee uitvreten. En nu ik je toch spreek, kap met die “ik accepteer de voorwaarden”-startpagina’s. Nergens voor nodig.)

Een mogelijke nuance hierbij is dat het Hof van Justitie in 2016 heeft gezegd dat je in staat moet zijn je bezoekers te identificeren wanneer blijkt dat zij auteursrechten hebben geschonden. Daar is sindsdien niets meer over gehoord, en ik heb zelf ook niet het idee dat er nou heel massaal illegaal wordt geüp- dan wel -download via openbare wifi. Dus ik denk dat dit praktisch niet heel relevant is.

Arnoud

Starbucks gaat porno blokkeren op zijn gratis wifi

| AE 10997 | Ondernemingsvrijheid | 30 reacties

Na jaren van protestacties heeft Starbucks in de VS besloten om porno te blokkeren op de gratis wifi-netwerken in zijn koffiezaken. Dat las ik bij RTL Nieuws vorige week. De koffieketen staat al jaren onder druk van de bezorgde burgers van ‘Enough Is Enough’, die fel tegen porno is en bedacht heeft dat Starbucks wezenlijke… Lees verder

Is wifi op de camping standaard of een aparte dienst?

| AE 10511 | Ondernemingsvrijheid | 17 reacties

Hoort het aanbieden van wifi op de camping aan gasten bij de dienst van verblijf zelf, of is het een aparte dienst? Met die vraag zag de rechtbank Gelderland zich recent geconfronteerd in een belastingzaak. Ja, dit is relevant voor de belasting omdat er verschillende btw-tarieven gelden voor losse diensten bovenop logies en voor de… Lees verder

Kan ik wat claimen bij een telefoon met WPA2-kwetsbaarheid?

| AE 9752 | Ondernemingsvrijheid, Security | 23 reacties

Een lezer vroeg me: Recent werd de Krack-aanval gepubliceerd. Deze is met name zeer schadelijk voor tablets en smartphones die Android 6.0 draaien, wat 32% van alle Android apparaten zijn. Als ik nu zo’n apparaat heb, kan ik dan wat claimen bij de verkoper? De recente attack van Mathy Vanhoef van de KU Leuven en… Lees verder

Amazon-patent moet prijsvergelijken via wifi van winkel tegenhouden

| AE 9493 | Intellectuele rechten | 10 reacties

Amazon heeft onlangs goedkeuring ontvangen voor een patent, waarin een methode is beschreven om het vergelijken van prijzen via de wifi-verbinding van fysieke winkels tegen te gaan. Dat meldde Tweakers vorige week. Doel van die methode is te zorgen dat je niet snel online bestelt wat je zojuist in de winkel hebt gezien. Maar het… Lees verder

Huh, in alle grote steden word je via je telefoon gevolgd?!

| AE 8725 | Innovatie, Privacy | 53 reacties

Mensen die in grote steden winkelen, worden gevolgd via het wifi- en bluetoothsignaal van hun telefoon. Dat las ik bij RTL Z. Het bedrijf Citytraffic werkt samen met dertig gemeenten, waaronder Amsterdam, Rotterdam en Den Haag, en verzamelt gegevens van winkelend publiek in de stadscentra. Die gegevens worden gehasht en dan zou het geen overtreding… Lees verder

Mag je gratis betaald internetten met een covert channel?

| AE 8598 | Security | 15 reacties

Een lezer vroeg me: Als ik in een hotel wil internetten, moet ik betalen. Maar met tools zoals Iodine of PingTunnel kun je via een oneigenlijke weg alsnog gratis internet op. Is dat computervredebreuk? Van computervredebreuk is sprake als je binnendringt in een computer. Het is strikt gesproken niet nodig dat je een beveiliging omzeilt,… Lees verder