Windows 10 Enterprise en Office zijn risico voor privacy ambtenaren

| AE 10964 | Ondernemingsvrijheid, Privacy | 29 reacties

Via Windows 10 Enterprise en Microsoft Office verzamelt Microsoft gebruikersgegevens die het bedrijf in de VS opslaat. Dat meldde Tweakers op basis van onderzoek bij het ministerie. Deze opslag geeft een inbreuk op de privacy van de ambtenaren, plus een ieder wiens gegevens door die ambtenaren worden verwerkt. Het onderzoek werd uitgevoerd als een DPIA onder de AVG, waarbij werd gekeken naar de zogeheten telemetriedata die Windows- en Office-installaties verzamlen bij de gebruiker en doorsturen naar Microsoft in de USA. Bij Office gaat het mis: deze verzamelt een enorme hoeveelheid data, en dat is niet uit te schakelen.

Het is natuurlijk leuk en aardig dat Microsoft “telemetrie” oftewel statistieken verzamelt, maar dat is in de EU best problematisch omdat dat al héél snel onder de noemer van persoonsgegevens valt. Informatie over wat gebruiker thx1138 doet met zijn Office is een persoonsgegeven, ook al heb je niet de naam van die gebruiker of enig contactgegeven. Zelfs wanneer je aan die meetgegevens een eigen willekeurig toegekende ID hangt, val je nog onder de AVG. Dat voelt als nogal een ontwerpfout.

Met name dat “het kan niet uit” verbaast me hogelijk. Je zou zeggen dat je als bedrijf weet dat het verzamelen van gegevens over wat je gebruikers doen gevoelig kan liggen, zeker in enterprise-omgevingen (en daar hebben we het hier over). Dat is niet iets dat je met een vinkje in de EULA oplost, de belangen zijn daarvoor te groot. Dit mag gewoon niet.

Natuurlijk zal Microsoft vast ergens in de licentievoorwaarden hebben gezegd dat toestemming wordt verleend. Maar dat werkt niet op dit niveau. Software wordt ingekocht onder een groot contract, en deze afspraak moet dáár dan worden gemaakt.

Bovendien: een bedrijf of instelling mag die afspraak alleen maken als ze dat vervolgens aan haar personeel (en/of klanten) kan rechtvaardigen, en dat zie ik hier niet opgaan. Welke noodzaak binnen de arbeidsovereenkomst (aanstelling, het is ambtenarenrecht) is er om deze telemetrie aan Microsoft te verstrekken die het voor eigen doeleinden gaat gebruiken? Welk belang van Microsoft is zo dringend dat de privacy van het personeel mag worden gepasseerd? En heeft de OR wel ingestemd met die telemetrieverstrekking, dat is immers een apart recht onder de Wet OR?

Beloofd wordt om een en ander aan te passen om binnen de Europese regels te blijven, maar dat zal tot ergens in 2019 gaan duren. Dat is nogal lang, dus ik hoop dat er in de tussentijd een firewall of iets tussengezet kan worden zodat de privacy van de ambtenaren gewaarborgd blijft.

Arnoud

Fabrikanten mogen van EU-Hof pc’s met geïnstalleerde software verkopen

| AE 8952 | Intellectuele rechten | 22 reacties

hardware-software-computer-gollem-huh.jpgComputerfabrikanten mogen gewoon pc’s blijven verkopen met bijvoorbeeld Windows vooraf geïnstalleerd. Dat meldde Nu.nl onlang. Ze hoeven geen alternatief te bieden zonder de geïnstalleerde software. Dit volgt uit een uitspraak van het Hof van Justitie (zaaknr C-310/15) naar aanleiding van een Franse rechtszaak over de vraag of dit een oneerlijke handelspraktijk was.

Een Franse consument had in 2008 een laptop gekocht en kreeg daar ongevraagd Windows Vista bij. Hij wilde de EULA daarvan niet accepteren en claimde toen bij leverancier Sony het geld van die licentie terug. Dat werd geweigerd, waarop hij naar de rechter stapte met het argument dat hier sprake was van een oneerlijke handelspraktijk: het is niet netjes en dus niet eerlijk dat je geen laptop zónder Windows kunt kopen.

Volgens het Hof kan een handelspraktijk zoals reclame of het aanbieden van producten alleen oneerlijk zijn als aan twee eisen is voldaan:

Een handelspraktijk kan in dat verband slechts als oneerlijk […] worden beschouwd onder de dubbele voorwaarde dat zij in de eerste plaats in strijd is met de vereisten van professionele toewijding en in de tweede plaats het economische gedrag van de gemiddelde consument met betrekking tot het product wezenlijk verstoort of kan verstoren.

Is sprake van strijd met die professionele toewijding, zeg maar even wat je van een fatsoenlijk handelaar in de ICT-sector mag verwachten? Behoort een normale dozenschuiver ook dozen zonder OS te schuiven?

Nee, aldus het Hof:

In casu blijkt uit de verwijzingsbeslissing met name dat de verkoop door Sony van computers met voorgeïnstalleerde software voldoet aan de uit de analyse van de betrokken markt blijkende verwachtingen van een belangrijk deel van de consumenten die de aankoop van een aldus uitgeruste en onmiddellijk bruikbare computer verkiezen boven de afzonderlijke aankoop van een computer en software. Bovendien werd volgens diezelfde beslissing Deroo-Blanquart, als consument, vóór de aankoop van de betrokken computer door de detailhandelaar van Sony naar behoren geïnformeerd over het bestaan van voorgeïnstalleerde software op deze computer en de specifieke kenmerken van elk van de softwareprogramma’s. Tot slot heeft Sony, na de aankoop en bij het eerste gebruik van deze computer, Deroo-Blanquart de mogelijkheid geboden om in te stemmen met de „eindgebruikersovereenkomst” om deze software te kunnen gebruiken, dan wel de verkoop te herroepen.

In gewone taal: Je wist bij aanschaf dat er Windows op die laptop zou staan. Dat is ook normaal bij computerverkoop aan consumenten. En je mág de EULA annuleren, alleen moet dan wel de gehele aanschaf terug (dus ook de hardware) en niet alleen de software. Daar is niets mis mee. Ook niet omdat de prijs van Windows niet uitgesplitst is.

En moet een handelaar ook kale computers aanbieden? Nee, ook dat is niet in strijd met de professionele toewijding. Als een winkel alleen combinaties hardware/software wil verkopen, dan staat ze dat vrij (het mededingingsrecht even daargelaten) en zolang je als consument maar wéét dat je dat gaat krijgen, is er niets aan de hand. Je kunt dan naar een concurrent.

Arnoud

Mag een harddisk van 1 terabyte slechts 1 biljoen bytes bevatten?

| AE 8244 | Ondernemingsvrijheid | 42 reacties

harddisk-vier-terabyteRegelmatig krijg ik er vragen over: harddisks en USB-sticks die verkocht worden met zus-en-zo veel megabyte of terabyte aan opslagruimte, waarbij dan achteraf blijkt dat er met metrische aantallen gewerkt wordt. Een stick van 1 megabyte bevat dan 1 miljoen (10^6) bytes in plaats van 1.048.576 (2^20). Dat voelt nogal misleidend voor veel consumenten. Maar mag het?

In het algemeen is het voor aanbieders van producten verplicht om SI-eenheden te gebruiken. Dat is onder meer bij ons vastgelegd in het Meeteenhedenbesluit 2006, dat expliciet verwijst naar het Internationale stelsel van meeteenheden (Système International, SI) als de manier om eenheden aan te geven. De Metrologiewet verbiedt vervolgens (art. 22) het gebruik van andere meeteenheden dan in dat Besluit genoemd. Een pondje kaas aanbieden is dus strikt gesproken verboden – je moet “500 gram” in je advertentie vermelden dan.

Het Meeteenhedenbesluit noemt ook de termen voor veelvouden, en daarin zijn kilo, mega, giga en tera keurig gedefinieerd als machten van tien (10^3, 10^6, 10^9 en 10^12 respectievelijk). Dus als je wil zeggen dat iets een mega-hoeveelheid bevat, dan betekent dat volgens de wet een 10^6-hoeveelheid. Een andere invulling of betekenis mag je niet hanteren.

Natuurlijk weet ik dat leveranciers dit een prachtig gelegenheidsargument vinden om hun producten groter voor te stellen dan ze zijn. Immers, in de computerindustrie is er vanaf het begin eigenlijk altijd met machten van twee gewerkt. Een kilobyte is in die context 2^10 oftewel 1024 bytes, een megabyte dus 1.048.576 (2^20) en een terabyte 1.099.511.627.776 (2^40) bytes. Als je als consument met enige computerkennis een harddisk van een terabyte ziet, dan voel je je bekocht als er slechts 1.000.000.000.000 bytes op staan in plaats van 1.099.511.627.776, een verschil immers van bijna 10 procent. Zeker omdat Windows dat getal afkort naar 0,9 terabyte.

Maar is het echt een fout van de leveranciers? Die regel over SI-eenheden bestaat al een tijdje, sinds 2003 of daaromtrent. Het verrast dus hogelijk dat Microsoft en Apple nog steeds de computer-betekenis hanteren van de kilo, mega en tera. Dat lijkt me legaal (want zij adverteren niet, het is alleen een technische aanduiding in de Explorer) maar het geeft wel veel verwarring en boosheid bij consumenten die ineens een lagere hoeveelheid bytes zien op hun nieuwe opslagmedia. Iemand enig idee waarom zij dit nog niet aangepast hebben?

Arnoud

Italiaans Hooggerechtshof verbiedt Windowsbelasting

| AE 6969 | Intellectuele rechten | 55 reacties

Het Italiaanse Hooggerechtshof heeft de Windowsbelasting verboden, meldde Free Software Foundation Europe onlangs. Dat wil zeggen: men heeft het ongeldig verklaard om bij de verkoop van een laptop verplicht een Windowslicentie af te laten nemen. Vrijwel iedere laptop wordt geleverd met Windows, ongeacht of de klant dit nu wil of niet. En klanten die dat… Lees verder

Ben je als bedrijf aansprakelijk voor meegemailde virussen?

| AE 6632 | Ondernemingsvrijheid, Privacy | 14 reacties

Een lezer vroeg me: Op mijn werk werken we alleen met Apple computers en Mac OS X. We hebben geen virusscanners, omdat er geen reële virusdreiging is voor dat platform. Echter, het zou kunnen dat wij per mail bijlages ontvangen met Windowsvirussen erin. Daar hebben wij geen last van, maar als we die doorsturen naar… Lees verder

Gelden de EULA’s van Apple en Microsoft eigenlijk wel bij aanschaf van een nieuwe computer?

| AE 6458 | Informatiemaatschappij | 25 reacties

Een lezer vroeg me: Als ik een MacBook van Apple koop (en die koop omvat de computer zelf inclusief het besturingssysteem), krijg ik de AV van Apple (hun EULA) pas te zien als ik de laptop aanzet. Is dat juridisch wel correct? Je moet toch algemene voorwaarden bij de aankoop ter hand stellen en niet… Lees verder

Het einde van de power user, of waarom je Windows wél en Facebook níet mag tweaken

| AE 6012 | Innovatie, Security | 18 reacties

Bij Buzzfeed las ik een intrigerend artikel: het einde van de power user. Daarin het relaas van de populaire Facebookextensie Social Fixer, die op zeker moment de nek werd omgedraaid door het sociale netwerk wegens “overtreding van de gebruiksvoorwaarden”. U weet wel, die voorwaarden die op elk moment kunnen wijzigen zonder dat dat iemand hoeft… Lees verder

Mag Linux 3.11 for Workgroups eigenlijk wel?

| AE 5735 | Intellectuele rechten, Ondernemingsvrijheid | 6 reacties

Haha. De nieuwe kernel van Linux, versie 3.11 inmiddels, draagt de naam Linux for Workgroups zo meldde Webwereld. Voor de jonge lezertjes: Windows for Workgroups was de naam van het raampjesbesturingssysteem uit 1993, zeg maar toen internet nog geen plaatjes had. Linuxdictator Torvalds vond het kennelijk grappig dat zijn besturingssysteem ook op versie 3.11 zat,… Lees verder

Wat betekent ‘Dell raadt Windows aan’?

| AE 5201 | Intellectuele rechten, Ondernemingsvrijheid | 44 reacties

Een lezer vroeg me: Laatst heb ik een Dell Alienware laptop gekocht. Op de site staat “Alienware raadt Windows aan.”. “Ok dat mag” dacht ik. Aanraden kan altijd. Dus ik zet er Linux op en werkte tot volle tevredenheid. Na enige tijd merkte ik problemen op die waarschijnlijk met het bios te maken hebben. Gelukkig… Lees verder

Mag mijn school Windows eisen?

| AE 2299 | Intellectuele rechten | 51 reacties

Een lezer vroeg me: De opleiding die ik momenteel volg maakt gebruik van een Flash applicatie voor de wiskundelessen. Ik gebruik Linux, en daar werkt die applicatie eigenlijk niet goed op. Ik heb verschillende distributies, van Gentoo tot Ubuntu, geprobeerd maar het probleem blijft. Mijn docent geeft echter aan dat ik dat maar te accepteren… Lees verder