U bent hier

Rechten

Voorstel Europese rechters om samenwerking met Polen op te schorten

Het bestuur van het samenwerkingsverband van Europese Raden voor de rechtspraak (ENCJ) stelt voor de Poolse Raad te schorsen als lid. Door maatregelen van de Poolse regering staat de rechtsstaat in het land zwaar onder druk. In een verklaring (encj.eu) stelt het ENCJ-bestuur dat de Poolse Raad hierdoor niet meer voldoet aan de eisen die aan het lidmaatschap worden gesteld, zoals onafhankelijkheid van de uitvoerende macht. De ENCJ stemt volgende maand over het voorstel. NoodklokPoolse vlag

Het Europese netwerk luidde al vaker de noodklok over de situatie in Polen. Vorige maand nog spraken Europese rechters hun steun uit voor hun Poolse collega’s. De ENCJ voerde een factfinding mission uit, met als doel om de deelname van de Poolse Raad voor de rechtspraak onder de loep te nemen en te beoordelen of deze lid kan blijven van het Europese netwerk. Kees Sterk, president van de ENCJ en lid van de Nederlandse Raad voor de rechtspraak, zei destijds: ‘Elk land dat lid is van de ENCJ heeft beloofd dat er onafhankelijke en onpartijdige rechtspraak is. Als een land zich daar niet meer aan houdt, is het mogelijk om het land uit te sluiten van het netwerk.’ (zie video)

Grondleggers

Nu het ENCJ-bestuur geen andere mogelijkheid meer ziet dan Polen te schorsen als lid, reageert Sterk bedroeft: ‘We betreuren dat deze stap moet worden genomen. Polen is een van de grondleggers van de ENCJ en heeft enorm veel betekend voor de ontwikkeling van onafhankelijke rechtspraak binnen Europa. Dat het juist daar nu zo mis gaat doet iedereen die de rechtsstaat een warm hart toedraagt pijn.’ Om Polen te kunnen schorsen als lid moet tijdens de ENCJ-vergadering volgende maand driekwart van de aanwezigen het voorstel steunen.

Zie ook:

Categorieën: Rechten

Terugblik: Moet een koop op afstand in originele staat retour?

IusMentis - 16 augustus 2018 - 8:14am

Deze en volgende week ben ik met vakantie. Daarom deze week een terugblik op populaire blogs van de afgelopen jaren, vanuit het perspectief van 2018.

Deze week: Moet een koop op afstand in originele staat retour?, met een respectable 200 reacties en nog steeds tienduizenden views per jaar.

Wie iets koopt bij een webwinkel, mag dit binnen zeven werkdagen terugdraaien. De winkelier moet het artikel dan terugnemen, en natuurlijk het geld teruggeven. Dat staat in de Wet Koop op Afstand, art. 7:46d BW. Het idee is dat je het product kunt uitproberen in die zeven werkdagen, om zo te besluiten of het bevalt of niet. Maar daarbij bestaat de kans dat het product (of de verpakking) beschadigd raakt. Mag je het dan nog terugsturen? En zo ja, mag de winkelier dan een deel van het geld houden als vergoeding voor die schade?

Hier is natuurlijk wel een en ander veranderd, sinds de grote update aan het consumentenrecht in 2012. De retourregeling uit de Wet koop op afstand staat nu elders, in artikel 6:230o BW. En die kent een termijn van veertien dagen, geen zeven werkdagen. En voor deze vraag het belangrijkste: de oude wet regelde niet expliciet hoe het zat met beschadiging door uitproberen. De nieuwe wet wel:

De consument is slechts aansprakelijk voor de waardevermindering van de zaak als een behandeling van de zaak verder is gegaan dan noodzakelijk om de aard, de kenmerken en de werking daarvan vast te stellen. De consument is niet aansprakelijk voor waardevermindering van de zaak wanneer de handelaar heeft nagelaten om overeenkomstig 230m lid 1, onderdeel h, informatie over het recht van ontbinding te verstrekken.

Kort gezegd: je mag wettelijk gezien kijken of het product voldoet aan de eisen (“uitproberen”) maar als je meer doet (“gebruiken”) en daardoor ontstaat schade, dan moet je die schade vergoeden. De discussie wat uitproberen is, blijft natuurlijk bestaan.

Ik gooi hem er toch weer eens in: een kopje koffie zetten met een espresso-apparaat via internet, is dat uitproberen of gebruiken?

Arnoud

Het bericht Terugblik: Moet een koop op afstand in originele staat retour? verscheen eerst op Ius Mentis.

Spoor Hoekse Lijn mag worden verlengd tot aan de kust van Hoek van Holland

Het spoor van de Hoekse Lijn mag worden doorgetrokken tot op korte afstand van het strand in Hoek van Holland. Ook kan bij dat strand een nieuw eindstation worden gebouwd. Dat blijkt uit een uitspraak van de Afdeling bestuursrechtspraak van de Raad van State van vandaag (15 augustus 2018). De Afdeling bestuursrechtspraak heeft alle bezwaren tegen het bestemmingsplan voor de spoorverlenging ongegrond verklaard.

Rechtstreekse metroverbindingIllustratieve afbeelding

Deze spoorverlenging maakt deel uit van een groter project dat de Hoekse Lijn, een voormalige spoorlijn, omvormt tot een rechtstreekse metroverbinding tussen Hoek van Holland en Rotterdam. Het bestaande eindstation van de Hoekse Lijn ligt nu niet direct aan het strand, maar op zo’n 1.200 meter afstand. Door de spoorverlenging kunnen strandgangers vlak bij het strand uitstappen. Tegen het bestemmingsplan waren omwonenden van het traject in beroep gekomen bij de Afdeling bestuursrechtspraak.

Lees verder op de website van de Raad van State

Categorieën: Rechten

'Pastafarisme' is geen godsdienst

Het 'pastafarisme', dat uitgaat van de Kerk van het Vliegend Spaghettimonster, is geen godsdienst. Het dragen van een vergiet door aanhangers van het pastafarisme is dan ook geen godsdienstige uiting. De vrijheid van godsdienst vereist dus niet dat voor aanhangers van deze stroming, de pastafarians, een uitzondering moet worden gemaakt op de regel dat voor reisdocumenten pasfoto's met een onbedekt hoofd nodig zijn. Dit heeft de Afdeling bestuursrechtspraak van de Raad van State bepaald in een uitspraak van vandaag (15 augustus 2018).

Vergiet als heilig symboolVergiet

Een vrouw uit Nijmegen had een identiteitskaart en een rijbewijs aangevraagd met pasfoto's waarop zij een vergiet op haar hoofd draagt. Het vergiet is volgens haar een heilig symbool binnen het pastafarisme. De burgemeester van Nijmegen weigerde de gevraagde documenten te verstrekken, omdat het hoofd van de vrouw op de pasfoto's bedekt is. Daarmee voldoen deze pasfoto's niet aan de wettelijke criteria die daarvoor gelden.

Lees verder op de website van de Raad van State

Categorieën: Rechten

Terugblik: Een cynisch stukje piratenbaaifrustratie

IusMentis - 15 augustus 2018 - 8:14am

Deze en volgende week ben ik met vakantie. Daarom deze week een terugblik op populaire blogs van de afgelopen jaren, vanuit het perspectief van 2018.

Deze week: Een cynisch stukje piratenbaaifrustratie uit 2012, met vele vele reacties en ophef.

Nee, ik had geen zin erover te schrijven, die Pirate Bay vonnissen van vorige week. Juridisch was er weinig eer aan te behalen, en ik werd vooral heel erg cynisch van opschrijven waar we nu staan. Maar ik kreeg na mijn ps-je van vorige week zó veel mails en reacties dat ik toch maar een blogje ben gaan schrijven. En ja, deze is buitengewoon cynisch. …

Wat me vervolgens búitengewoon stoorde, is dat zo ongeveer iedereen weer ging roepen dat die rechters geen verstand hadden van internet, dat dit tegen netneutraliteit was en dat torrentsites geen auteursrechten schenden dus belachelijk dat rechters dit toewijzen. Ehm. Nee. …

Internet besloot daarom dat de contentindustrie dom was, en zoals dat gaat bij techneuten worden domme mensen gewoon gepasseerd. Vervolgens ontstond een jarenlange wedloop tussen contentindustrielobbyisten die met rechtszaken probeerden die diensten uit de lucht te krijgen, en internetslimmeriken die in die vonnissen net zo snel weer gaten schoten. Oh, dus je mag geen centrale server hebben waar je content op zet. Ok, dan doe ik het decentraal met alleen een coördinatieserver. Mag dat ook niet? Dan decentraliseer ik ook de coördinatie en dan zet iemand anders wel een site op met de toegangscodes. Enzovoorts. …

Internet wordt dus langzaam maar zeker gesloopt, en binnen het huidig recht is dat legaal. Daar kun je over razen en tieren wat je wilt, maar het is zo. Die wet moet anders. Ik zie dat alleen niet gebeuren, want het serieuze verhaal over internetdistributie en nieuwe businessmodellen is compleet ondergesneeuwd door knettergekke piraten en schuimbekkende antipiraten. We zullen nu dus eerst door een periode van heftig filteren heen moeten, en ik voorzie wel dat daar echt dingen stuk gaan die compleet legaal en nuttig zijn.

Ik voel mijn bloeddruk alweer stijgen, en dat is natuurlijk op vakantie geen goed idee. Maar hieronder mag u uw gedachten over online auteursrecht de vrije loop laten.

Arnoud

Het bericht Terugblik: Een cynisch stukje piratenbaaifrustratie verscheen eerst op Ius Mentis.

Moeten er meer rechters zijn met een niet-westerse achtergrond?

Regelmatig wordt er gesproken over het kleine aantal rechters met een niet-westerse achtergrond. Vandaag pleitte D66-Kamerlid Maarten Groothuizen ervoor de diversiteit onder rechters te vergroten. Hoe kijkt de Rechtspraak tegen dit onderwerp aan?

Marieke Koek (president gerechtshof Den Haag en voorzitter van de Landelijke selectiecommissie rechters) geeft antwoord op een aantal veelgestelde vragen.

Moeten er meer rechters komen met een niet-westerse achtergrond?

'In de Rechtspraak werken al veel collega’s met niet-westerse achtergrond, maar het gaat dan vooral om mensen die geen rechter zijn. Er is een aantal rechters en rechters in opleiding van niet-westerse komaf. Maar het zou goed zijn als zich meer juristen van uiteenlopende culturele achtergronden voor de rechtersopleiding zouden opgeven. De samenleving is diverser samengesteld en het is belangrijk dat mensen zich in het algemeen kunnen herkennen in degenen die rechtspreken. Dit vergroot het vertrouwen in de rechtsstaat, en daarmee het draagvlak en het gezag van de rechter. Meer diversiteit kan daaraan bijdragen, of het nu gaat om culturele achtergrond of bijvoorbeeld de verhoudingen op het gebied van gender: gelet op de grote instroom van vrouwen afgelopen jaren zouden er ook wel meer mannen mogen solliciteren.'

Heeft de achtergrond van een rechter invloed op zijn uitspraak?

'Rechters worden geselecteerd en opgeleid om onafhankelijk, onpartijdig, integer en deskundig recht te spreken. Persoonlijke voorkeuren, achtergronden of opvattingen van de rechter behoren bij de behandeling en beoordeling van rechtszaken geen enkele rol te spelen.'

Hoe probeert de Rechtspraak meer diversiteit onder rechters te krijgen?

'De Rechtspraak voert op dit moment geen specifiek diversiteitsbeleid. Wel proberen we het personeelsbeleid zo in te richten dat de Rechtspraak voor iedereen een aantrekkelijke werkgever kán zijn. Zo mogen er tijdens de selectieprocedure van rechters geen barrières zijn voor mensen met een bepaalde culturele achtergrond. In 2013 is de procedure vernieuwd, waarbij specifiek is gelet op neutrale beoordelingsinstrumenten. Ook krijgen de mensen die kandidaten selecteren een training om zo neutraal mogelijk te selecteren. Een aantal van deze selecteurs is ook zelf van niet-westerse achtergrond. Daarnaast hebben we onze arbeidsmarktcommunicatie rondom de werving van rechters aangepast zodat een meer diverse groep mensen wordt bereikt.'

Beoordeelt de Rechtspraak kandidaat rechters met een andere achtergrond anders?

'Nee, tijdens de selectieprocedure is voor iedereen gelijk. Bij de selectie en opleiding van rechters worden geen concessies gedaan aan de kwaliteit en de inhoud.'

Waarom zijn er zo weinig rechters met een niet-westerse achtergrond?

'‘Hier is helaas geen eenvoudig antwoord te geven. Binnen de Rechtspraak voeren we het gesprek hoe we ervoor zorgen dat iedereen, van welke achtergrond ook, zich welkom voelt binnen onze organisatie en daar ook op langere termijn graag blijft werken. Die boodschap dragen we ook naar buiten uit: als je de rechtenstudie hebt gevolgd, over de Nederlandse nationaliteit beschikt, 2 jaar juridische werkervaring hebt opgedaan en graag werk doet waarmee je direct bijdraagt aan de samenleving, ben je welkom om te solliciteren.'

Categorieën: Rechten

Terugblik: Gaat Getty Images procederen in Nederland?

IusMentis - 14 augustus 2018 - 8:14am

Deze en volgende week ben ik met vakantie. Daarom deze week een terugblik op populaire blogs van de afgelopen jaren, vanuit het perspectief van 2018.

Deze week: Gaat Getty Images procederen in Nederland? Met 924 reacties nog steeds de knaller wat betreft aantallen reageerders.

In 2009 blogde ik over de diverse blafbrieven die het stockfotobedrijf rondstuurde naar alles en iedereen dat een foto van haar zou gebruiken. Ik heb er tientallen gezien, met bedragen variërend van enkele honderden tot vele duizenden euro’s. Allemaal verstuurd vanaf het Ierse Getty, en vaak ook nog alleen in het Engels. Maar wie de foto meteen weghaalde en niet in discussie ging, hoorde er niets meer van. Nu lijkt daar verandering in te zijn gekomen. Hoewel Getty Ierland nog steeds brieven stuurt, is nu ook het Nederlandse Van der Steenhoven Advocaten (“Een gerust gevoel”) bezig met het leggen van eisen. En dat wijst er toch wel op dat men wil doorpakken: een Nederlandse advocaat huur je als Iers bedrijf niet in te blaffen maar om te bijten.

Dat bleek dus vies tegen te vallen. Getty haar claims bleken stuk voor stuk gebakken lucht, juridisch geblaf zonder bijten met als enige doel angst aan jagen om te incasseren. Ja, één keer is er tegen de TROS geprocedeerd maar dat was een bijzonder geval. Ik blijf het mooi vinden hoe dat werkt, dat je enorme juridische claims kunt indienen bij mensen en nooit naar de rechter hoeft maar wel de reputatie krijgt van partij voor wie je uit moet kijken. Als er nu iemand is die ik in auteursrechtenland niet meer serieus neem, dan is het Getty Images wel.

Arnoud

Het bericht Terugblik: Gaat Getty Images procederen in Nederland? verscheen eerst op Ius Mentis.

Terugblik: Mag een stiekem gemaakte geluidsopname gebruikt worden als bewijs?

IusMentis - 13 augustus 2018 - 8:14am

Deze en volgende week ben ik met vakantie. Daarom deze week een terugblik op populaire blogs van de afgelopen jaren, vanuit het perspectief van 2018.

Deze week: Mag een stiekem gemaakte geluidsopname gebruikt worden als bewijs?

Regelmatig krijg ik in diverse varianten de vraag of een stiekem gemaakte geluidsopname van een gesprek gebruikt mag worden als bewijs. Dit meestal naar aanleiding van mijn artikel Opnemen van gesprekken, waarin dat met zoveel woorden staat: Een telefoongesprek opnemen dat je zelf voert, mag je dus opnemen – ook wanneer je dat niet meldt aan de tegenpartij. Alleen het heimelijk opnemen van zo’n gesprek zonder deelnemer te zijn is dus strafbaar (tenzij je toestemming hebt van één van de deelnemers). Dit artikel gaat over de context van het strafrecht: het is verboden gesprekken af te luisteren met een technisch hulpmiddel als je geen deelnemer bent. Dat betekent dus dat als je wél deelnemer bent (of namens een deelnemer handelt) je wél het gesprek mag afluisteren en opnemen. Publiceren van die opname zal vaak wel een schending van de privacy van de wederpartij opleveren, dus daar zul je een fors nieuwsbelang voor moeten hebben.

Gebruik als bewijs is eigenlijk altijd toegestaan. In het gewone (civiele) recht gelden namelijk geen specifieke eisen voor hoe het bewijs verkregen mag zijn. De rechter mag zelf alles beoordelen op de merites. Hij hoeft bewijs niet uit te sluiten omdat het een stiekeme opname is. Wel zou hij het bewijs anders kunnen waarderen: een informeel gesprekje op de vrijmibo zal minder bewijskracht hebben over de intenties van een bedrijf dan een formele verklaring van de directie bij een persconferentie. Maar dat gaat dan over de inhoud, niet over de vorm.

Deze analyse staat op zich nog steeds. Het belangrijkste dat veranderd is sinds deze blog, is natuurlijk de AVG: het als bedrijf structureel maken van opnames en die bewaren in je klantdossier valt onder de nieuwe privacywet, en vereist dus een vermelding in je privacyverklaring plus een grondslag in je register. Dat zal niet heel moeilijk zijn, we hebben het dan over de grondslag uitvoering overeenkomst en/of eigen belang (bewijzen wat er gezegd is tegen een klant of relatie).

Maken jullie structureel opnames van gesprekken? Zou je dat doen als het triviaal was, technisch?

Arnoud

Het bericht Terugblik: Mag een stiekem gemaakte geluidsopname gebruikt worden als bewijs? verscheen eerst op Ius Mentis.

Mag Thuisbezorgd je een verplicht plastic tasje bij je bestelling verkopen?

IusMentis - 10 augustus 2018 - 8:19am

Een vraag via Twitter:

Ik dacht dat het idee van de verplichte kosten voor plastic zakjes was dat ik minder plastic zakjes zou gebruiken. Nu zit er bij mijn @thuisbezorgd bestelling een verplicht plastic zakje én de extra kosten daardoor. Dit heeft toch geen enkele zin?!

Sinds 2016 mogen winkels niet meer zomaar gratis plastic tasjes meegeven bij een aankoop, dit vanwege de gigantische plasticberg die daardoor ontstaat. Dergelijke tasjes mogen alleen nog tegen betaling worden verstrekt, behalve als de tasjes vanwege de hygiëne nodig zijn (denk aan verse vis) of als ze de primaire verpakking vormen (een zakje rijst, bijvoorbeeld). Dit volgt uit de Regeling beheer verpakkingen van januari 2016.

Naar de letter geldt deze regel ook voor webshops, want het verbod geldt op het verstrekken van draagtasjes aan consumenten bij een aankoop. Het maakt niet uit of dat in een fysieke winkel gebeurt, aan een kraam of bij een koop op afstand. Maar omdat dat al snel tot bizarre situaties zou leiden, is al vrijwel meteen een uitzondering gecreëerd:

“Het, al dan niet dichtgesealde, plastic zakje om vlees(waren), de plastic kledinghoes om bijvoorbeeld gereinigde kleding en de plastic verzendzak die webwinkels gebruiken voor het verzenden van hun producten, worden niet beschouwd als een draagtas.”

Daarmee zou de weg vrij moeten zijn voor restaurants die met Thuiswinkel en collega’s werken, om het eten gewoon in een plastic tasje aan te bieden voor vervoer naar de klant. Maar je kunt twijfelen of het soort tasje waar we het hier over hebben, wel valt onder deze uitzondering.

Het eten zit in een plastic bak, daar gaat papier omheen en dat gaat bijeen in een draagtas. Vervolgens gaat het in de koeltas van de bezorger. Is die draagtas dan wel echt functioneel relevant als verzendtas voor het eten? Moet het echt daarin zitten? Ik heb daar serieuze twijfels bij.

Wanneer het tasje niet nodig is als verzendzak, dan valt het onder de regeling en moet de consument de tas apart aankopen. Omdat we het hier hebben over internetverkoop, gelden dan de gewone regels voor webshops. De belangrijkste is dan dat als het tasje essentieel is en afgenomen móet worden (omdat de winkel de spullen niet los in de bezorgtas van Thuisbezorgd wil doen) dan moet de prijs van het tasje vooraf gemeld worden (art. 6:230m BW).

Wil de winkel de tas als optie aanbieden, dan moet de consument er apart zijn uitdrukkelijke instemming voor geven (art. 6:230j BW). Dit is de regel tegen vooraf aangevinkte vakjes, en een vinkje voor een draagtasje is natuurlijk niet anders. De enige uitzondering hier is als het tasje gewoon behoort tot de kern van de prestatie. Maar dan zijn we weer terug: als het tasje nodig is als deel van de aangeschafte maaltijd, dan is het een noodzakelijke verzendzak en is de Regeling niet van toepassing – en dan moet het tasje dus gratis zijn.

Ik zie dus niet hoe een restaurant bij internet-bezorgmaaltijden geld kan vragen voor een tasje. Jullie wel?

Arnoud

Het bericht Mag Thuisbezorgd je een verplicht plastic tasje bij je bestelling verkopen? verscheen eerst op Ius Mentis.

EuGH-Urteil: Keine Bagatellklausel für nicht-kommerzielle Bildnutzung

iRights.info - 10 augustus 2018 - 12:54am

Eine Schülerin benutzt für ein Referat ein Foto, das sie im Internet gefunden hat. Das Referat stellt sie dann auf die Schul-Homepage – und wird vom Fotografen abgemahnt. Über diesen Fall urteilte jetzt der Europäische Gerichtshof – und gab dem Fotografen recht.

Interessant an dem Fall ist, dass im Vorfeld der EuGH-Generalanwalt Campos Sánchez-Bordona argumentierte, dass die Nutzung des Bildes aus verschiedenen Gründen rechtens sei, wie Leonhard Dobusch im April auf Netzpolitik.org erläuterte. Das Bild war auf der Webseite eines Reisemagazins online gestellt worden ohne Angabe zum Namen des Fotografen und zu den Rechten. Die Schülerin hatte zwar nicht gefragt, ob sie das Bild verwenden darf, aber einen Link zum Originalbild gesetzt.

Außerdem erklärte Sánchez-Bordona in seinem Schlussantrag:

„Das Einstellen einer Schularbeit, die eine allen Internetnutzern frei und kostenlos zugängliche Fotografie enthält, ohne Gewinnerzielungsabsicht und unter Angabe der Quelle auf der Internetseite einer Schule stellt kein öffentliches Zugänglichmachen […] dar, wenn dieses Bild bereits ohne Hinweis auf Nutzungsbeschränkungen auf dem Internetportal eines Reisemagazins veröffentlicht war.“

Dieser Argumentation ist das EuGH nicht gefolgt, sondern entschied, dass die Nutzung eines Fotos, das schon online steht, auch ohne kommerzielle Absicht eine Urheberrechtsverletzung darstellt. Der Fotograf Dirk Renhoff ist zufrieden – er kann seine Bilder weiterhin exklusiv verwerten.

Das Gericht macht einen Unterschied zwischen Embedding – also dem Einbetten von fremden Inhalten –, das erlaubt ist, wenn der Urheber den Inhalt selbst hochgeladen hat, und dem Hochladen auf den eigenen Server.

Till Kreutzer von iRights.info erklärt im Interview bei Deutschlandfunk den Unterschied so:

„Man kann sich das so vorstellen: Jemand lädt ein Werk auf einen Server und das wird dann auf einer Website angezeigt, nehmen wir mal an, es ist ein Text. Wenn sich den Text dann jemand anderes holt sozusagen und den bei sich dann auf die Webseite stellt, gab es vorher eine Kopie des Textes und jetzt gibt es zwei Kopien des Textes. So ist das bei dem Runter- und Wiederhochladen. Beim Verlinken gibt es aber nur eine Kopie des Textes. Youtube-Video, der klassische Fall: Jemand lädt ein Video bei Youtube hoch, jemand anderes embedded das in seine eigene Webseite, wenn das jemand anklickt, dann sieht das zwar aus, wie seine eigene Webseite, es liegt aber immer noch auf dem Youtube-Server. Das heißt, es gibt nicht eine zweite Kopie dieses Werkes.“

Leonhard Dobusch kommentiert die Entscheidung bei Netzpolitik:

„Es bleibt damit beim bestehenden Rechtsregime, wonach grundsätzlich keine Nutzung ohne Zustimmung der Rechteinhaber im Einzelfall möglich ist, sofern es nicht unter eine Ausnahme wie das Zitatrecht oder Satire fällt. Eine solche Rechteklärung ist in vielen Situationen – so auch in diesem Fall – unrealistisch, weil mit großen Kosten verbunden, ohne dass dadurch den Rechteinhabern relevante Einnahmen zukommen würden.“

Seiner Ansicht nach – das führt er in den Kommentaren des Netzpolitik-Artikels aus – sollten solche Bagatellfälle, bei denen eine quasi-private Nutzung und keine Gewinnabzielungsabsicht vorliegt, per Schranke und gegebenenfalls gegen Zahlung einer Pauschalvergütung erlaubt sein. Das wäre im Sinne einer Bagatell- und Remixschranke für die sich Dobusch schon seit langem als Mitinitiator von „Recht auf Remix“ einsetzt.

Disclosure: Sowohl Till Kreutzer als auch Valie Djordjevic von iRights.info haben die Kampagne „Recht auf Remix“ unterstützt. Till Kreutzer hat auf der Webseite des Remix-Museums einige wichtige Rechtsfälle aufgearbeitet und kuratiert und Valie Djordjevic hat das Buch „Generation Remix“ gemeinsam mit Leonhard Dobusch herausgegeben.

Rechters zien steeds meer voornaamswijzigingen

Steeds meer mensen veranderen hun voornaam. Werden in 2015 bij de rechtbank nog 503 namen gewijzigd, in 2016 en 2017 steeg dat al naar 583 en 576 en voor dit jaar wordt eenzelfde aantal verwacht. Een duidelijke verklaring voor de stijging is er niet, maar je voornaam veranderen gaat niet zomaar. Daar heb je altijd een advocaat voor nodig die een verzoekschrift indient bij de rechtbank. Civiel rechter Jan Kloosterhuis van rechtbank Amsterdam legt uit hoe dat werkt: ‘Als rechter wil ik vooral graag weten welke motivatie iemand heeft om de voornaam te veranderen.’

Waarom moet je naar de rechtbank om je voornaam te veranderen?

‘Omdat de wet dat voorschrijft. Dat staat in artikel 4 van boek 1 van het Burgerlijk Wetboek, om precies te zijn. Maar verder kan ik me daarbij voorstellen dat het niet te eenvoudig moet zijn om je naam te kunnen veranderen. Hoe minder wijziging in de registers van de burgerlijke stand, hoe beter is de gedachte. Net als dat je aangifte moet doen bij de gemeente bij de geboorte van een kind, is het aan een rechter te besluiten of een voornaamswijziging kan doorgaan. Als je echt je naam wil veranderen, moet je een advocaat in de arm nemen. Die dient een verzoekschrift in bij de rechtbank en dat wordt doorgestuurd naar de rechter ter beoordeling.’

Aan welke voorwaarden moet een voornaamwijziging voldoen?

'Er is heel erg veel mogelijk bij een voornaamswijziging. Maar het belangrijkste is dat iemand echt een goed verhaal heeft om zijn of haar naam te veranderen. Het is niet zo dat ik verzoeken krijg van mensen die vreemde of extreme namen willen. Wel zie ik mensen die een bijnaam hebben, of met een andere naam dan hun voornaam bekend zijn bij familie of vrienden en het dan ook maar willen laten aanpassen. Wat zeker niet de bedoeling is dat iemand bijvoorbeeld de voornaam laat veranderen in iets dat ook een achternaam kan zijn. Janssen of zoiets. Een naam als Thomas kan weer wel, omdat het ook een gebruikelijke voornaam is. Verder mag het niet om een ongepaste naam gaan. Ook dat schrijft de wet voor.'

Wat voor redenen geven mensen om hun voornaam te veranderen?

'Dat is erg verschillend. Er is ook niet één bepaalde groep die er uit springt. Verzoeken komen uit alle lagen van de bevolking. Soms herinnert een naam iemand aan een vervelende familiegeschiedenis of iets dergelijks, dat zie ik voorkomen. Dat mensen dan in therapie zijn, er een vervelende gebeurtenis of relatie naar boven komt en zij naar aanleiding daarvan graag hun voornaam willen veranderen. Een voornaam en een verzoek tot wijziging daarvan is vooral iets heel persoonlijks, dat zie ik veel terug in de motivaties. Je draagt het dan ook de rest van je leven met je mee.'

Wanneer kan een wijziging echt niet doorgaan?

'Dat heb ik in alle zaken die ik heb gedaan maar één keer bijna meegemaakt. Toen heb ik een verzoeker op zitting langs laten komen (meestal handelen we een dergelijke zaak schriftelijk af), omdat in het verzoekschrift als motivatie maar één hele abstracte regel stond voor het aanpassen van de voornaam. Dat was te weinig. Ik begreep gewoon niet wat nu de reden was dat de voornaam moest worden gewijzigd. Uiteindelijk bleek het te gaan om een persoon die wel een goed persoonlijk verhaal bleek te hebben, maar dat stond dus niet goed in het verzoekschrift. Ook die voornaam is toen aangepast.'

Categorieën: Rechten

Met deze truc stel je ongemerkt inkoopvoorwaarden buiten werking

IusMentis - 9 augustus 2018 - 8:16am

Wie met grotere bedrijven zaken doet, heeft ze vast al eens langs gehad: de inkoopvoorwaarden (General Purchasing Terms of GPT). Vaak heel lange en dreigend klinkende documenten, waar je dan maar even mee akkoord moet gaan anders geen inkooporder voor jou. Erg vervelend, want als je zomaar tekent dan ben je volledig aansprakelijk voor het kleinste foutje of vergissinkje. Er is echter een truc waarmee je het jezelf een stuk eenvoudiger maakt om van lastige inkoopvoorwaarden af te komen.

Natuurlijk kun je met zo’n inkoper in discussie gaan over de inhoud, en misschien kom je na lang praten bij de bedrijfsjurist waar je die discussie nog eens over mag doen. En vooruit, als je goed onderhandelt dan krijg je al die teksten waarschijnlijk wel wat rechter getrokken. Maar een partij werk is het wel.

Toch is er een manier om die discussie fors te bekorten. Meestal staan inkoopvoorwaarden niet op zich, maar krijg je ze toegestuurd nadat je een offerte hebt uitgebracht (met daarbij je algemene voorwaarden, als het goed is). Dat is mooi, want dan ligt dus al het uitgangspunt op tafel dat ze met jouw offerte verder willen.

In je offerte zet je meestal je zakelijke afspraken zoals prijzen en omschrijvingen van de dienst. Maar als je bij een partij vreest dat ze met inkoopvoorwaarden gaan zwaaien, dan maak je je offerte gewoon langer: kopieer de kern van je algemene voorwaarden naar de offerte zelf. In ieder geval je toezeggingen over levertijden en kwaliteit, je betalingstermijnen, je aansprakelijkheid en de duur en opzegging. Maak het zo lang of kort als je wil, maar besef dat wat je weglaat waarschijnlijk heel eenzijdig in de inkoopvoorwaarden staat.

En nu komt het: zet onderaan die offerte “De inkoopvoorwaarden van Klant zijn van toepassing. Echter, de inkoopvoorwaarden kunnen afspraken uit deze offerte niet opzij zetten of aantasten”. Daarmee verklaar je dat die offerte altijd winnen van de inkoopvoorwaarden. En dan ben je er, want de kern van wat belangrijk is, had je immers nu net gekopieerd naar die offerte.

Natuurlijk kan de wederpartij nog steeds moeilijk doen over je betalingstermijn of eisen dat je voor meer aansprakelijk bent, maar dat is gewoon onderhandelen. En het grote voordeel: je vertrekt nu vanuit je eigen tekst, in plaats van een lap juridisch geformuleerde inkoopvoorwaarden waarvan je eerst moet gaan puzzelen wat het betekent.

Arnoud

Het bericht Met deze truc stel je ongemerkt inkoopvoorwaarden buiten werking verscheen eerst op Ius Mentis.

Amsterdam wil contact met Apple over wandelroute door tunnel

IusMentis - 8 augustus 2018 - 8:10am

De gemeente Amsterdam probeert met Apple in contact te komen naar aanleiding van het incident donderdagmiddag met fietsende toeristen in de Piet Heintunnel. Dat meldde Het Parool vorige week. Lokale omroep AT5 kwam een aantal toeristen tegen die in de tunnel fietsten, en maakten er een reportage van. Volgens de toeristen had hun Apple Maps app gezegd dat er door de tunnel gefietst (gewandeld) mag worden, iets dat in strijd is met de verkeersregels. Dat bleek te kloppen, waarop Amsterdam dus Apple tot de orde wil roepen. Oké, het is even leuk lachen om die stomme toeristen die als drones hun app volgen dwars door een drukke autotunnel, maar hebben ze een punt?

Het is inderdaad zo dat de Maps-app van Apple de Piet Hein tunnel aanmerkt als een looproute. Google Maps doet dat niet, en op Street view zie je dat dit klopt: de weg is afgesloten voor niet-gemotoriseerd verkeer en het voetpad houdt ook fysiek op – met een hek en een bordje Verboden voor voetgangers. Typefoutje van Apple waarschijnlijk, iets dat kan gebeuren en dat op zekere termijn ook wel aangepast zal worden.

Natuurlijk moet iedereen die aan het verkeer deelneemt, zich houden aan de verkeersregels en goed blijven kijken welke borden en verkeerstekens hij tegenkomt. Iedere Nederlander die de ingang van die tunnel ziet, snapt dat hij daar alleen met de auto in kan en zal het niet in zijn hoofd halen daar te gaan fietsen of lopen.

Voor een bezoekende toerist kun je dat natuurlijk ook zeggen, maar ik zou dat niet helemaal eerlijk vinden. Weinig landen hebben zo’n uitgebreid fietsnetwerk als Nederland, en het is dan ook vaak zeer gebruikelijk dat je gewoon fietst waar de auto’s rijden – inclusief op wegen met 70 als maximumsnelheid. Fietsen is een sport, geen vervoersmiddel. Als je vanuit die achtergrond in Nederland op de fiets stapt, dan is de Piet Heintunnel dus gewoon een sportieve uitdaging en komt het niet in je op dat hier een verboden verkeerssituatie geldt.

Natuurlijk kun je zeggen, dat is dan in Brazilië wellicht zo maar niet bij ons dus je verdiept je maar in onze verkeersregels. Ik denk alleen niet dat je déze specifieke situatie leert herkennen met een korte cursus, en om iedereen nu een fietsdiploma te laten halen is ook weer zo wat. Dus nee, voor mij is een betere oplossing dat Apple snel die kaart aanpast.

Arnoud

Het bericht Amsterdam wil contact met Apple over wandelroute door tunnel verscheen eerst op Ius Mentis.

Mag de ACM met mystery shoppers internetwinkels gaan testen en domeinnamen laten afsluiten?

IusMentis - 7 augustus 2018 - 8:16am

Met dit wetsvoorstel worden enkele aspecten ter uitvoering van verordening (EU) 2017/2394 (CPC-verordening) geregeld. Met die kandidaat voor saaiste zin ooit opent de internetconsultatie voor het stellen van nieuwe bevoegdheden voor toezichthouders onder het consumentenrecht, zoals onze Autoriteit Consument en Markt (ACM). Het voorstel noemt onder meer een expliciete bevoegdheid om met valse gegevens bestellingen te plaatsen (mystery shopping), maar kent ook nieuwe bevoegdheden om bij ecommerce zijdelings betrokken partijen bevelen te geven om mogelijke oplichting en fraude tegen te gaan. Zoals dus domeinnamen afsluiten.

De CPC-Verordening vereist vanuit Europa dat toezichthouders op het consumentenrecht beschikken over stevige middelen om in te grijpen bij marktpartijen die de boel belazeren. Natuurlijk kunnen ze al langer boetes uitdelen of specifieke bevelen (lasten) geven over hoe het gedrag aan te passen, maar bewijs verzamelen is daarbij nog wel eens een probleem. En ook heeft een last niet perse veel zin als die partij in het buitenland zit, onvindbaar is of onder een nieuwe bv gewoon verder gaat.

De mystery shopping-regeling moet aan dat eerste probleem tegemoet komen. Een opsporingsambtenaar mag onder opgaaf van valse gegevens een bestelling plaatsen, als dat relevant is voor een onderzoek naar marktgedrag. Hij mag daarbij geen uitlokking plegen, bijvoorbeeld door te vragen om levering van iets dat niet normaal in het assortiment zit omdat het in Nederland illegaal is dat te verkopen. Maar stel een webshop verkoopt verboden vuurwerk, dan mag de ambtenaar dat met een nepnaam bestellen om zo vast te stellen dát er verboden vuurwerk wordt verkocht. Op zich vind ik dit niet heel spannend.

Interessanter vind ik de nieuwe noodmaatregelen – want ze gelden alleen als laatste redmiddel – om handhaving van het consumentenrecht mogelijk te maken. Er worden drie maatregelen voorgesteld:

  1. Aanbieders van internetdiensten verplichten een bepaalde waarschuwing te tonen. Dit gaat volgens mij primair over sites als Marktplaats en andere handelsplatforms waar malafide partijen opduiken, niet op internetproviders die je netwerkverkeer moeten manipuleren om malafide shops herkenbaar te maken.
  2. Aanbieders verplichten bepaalde content niet te tonen of functionaliteit ontoegankelijk te maken. Dit is natuurlijk de volgende stap wanneer een waarschuwing niet effectief blijkt.
  3. Domeinregistries zoals SDIN verplichten een domeinnaam buiten gebruik te stellen of op naam van de ACM te zetten (inbeslagname). Dat is natuurlijk al helemaal het grof geschut.

De ACM mag deze bevoegdheden niet uitoefenen tenzij alle andere middelen geen doel treffen én als de rechter-commissaris in Rotterdam er een machtiging voor gegeven heeft. Dat is nog een opmerkelijke, want de R-C gaat over strafrecht en de ACM opereert als onafhankelijke toezichthouder onder het bestuursrecht. En die twee hebben weinig met elkaar te maken, het bestuursrecht is vele malen lomper en krachtiger dan het strafrecht. Ik ben benieuwd hoe dat uit gaat pakken.

Wat vinden jullie? Logisch idee gezien de markt, of zwaar overtrokken maatregelen?

Arnoud

Het bericht Mag de ACM met mystery shoppers internetwinkels gaan testen en domeinnamen laten afsluiten? verscheen eerst op Ius Mentis.

Mag Google Spotify (en alleen Spotify) in haar Android Klok stoppen?

IusMentis - 6 augustus 2018 - 8:11am

De Klok-applicatie van Android, die gebruikt kan worden om wekkers te zetten, krijgt Spotify-integratie. Dat meldde Tweakers vorige week. De integratie maakt het mogelijk om muzieknummers of afspeellijsten van de streamingdienst als wekker te gebruiken. Andere diensten (zoals Deezer) komen er niet in, wat in de comments de vraag opriep of dat wel mag van het mededingingsrecht. Immers, Google mocht ook niet haar eigen apps naar voren schuiven bij Android-licenties.

Het bundelen van twee zaken kan bij een grote machtige marktpartij inderdaad al snel tegen het mededingingsrecht aanlopen. De kans is dan immers aanwezig dat het publiek dat tweede ding eigenlijk niet wil hebben, maar vanwege de machtspositie rondom het eerste ding zich gedwongen voelt de bundel toch maar te kopen. Dit was de reden voor die boete: Google eiste dat alle Google-apps op een smartphone kwamen als je Android met Play Store erop wilde zetten. Smartphonefabrikanten wilden dat laatste graag, maar zagen zich zo gedwongen om dan ook maar de Google apps mee te leveren.

Hier gaat het dus om de integratie van Spotify in een standaardapp van Google, de klok/wekker. Dat is niet helemaal hetzelfde, het gaat er hier niet omdat je verplicht Spotify moet afnemen als je de klok wil (of andersom). Het is hier meer dat je als concurrerende streamer op achterstand komt omdat jouw streamingmuziekdienst niet in die klok kan, zodat mensen niet wakker kunnen worden met jouw muziek.

Je zou dat kunnen zien als een oneerlijk speelveld gecreëerd door Google. Of misschien wel door Spotify, die heeft immers ook een machtspositie op de streamingmarkt en zou wellicht exclusiviteit bij Google hebben geëist: als je wilt dat wij naar je klok streamen, dan geen optie om concurrenten ook te laten streamen.

Toch kun je je afvragen of dit mededingingsrechtelijk een probleem is. Een streamingdienst kan immers eenvoudig een klok/wekkerfunctie toevoegen aan hun eigen app, of een third-party klok zoeken en daarmee integreren. Dat lijkt me een reëel alternatief.

Het enige nadeel is natuurlijk dat mensen vaak de standaard app gebruiken omdat die nu eenmaal Klok heet en er vanaf het begin op staat, maar of dat genoeg moet zijn om het machtsmisbruik te noemen?

Arnoud

Het bericht Mag Google Spotify (en alleen Spotify) in haar Android Klok stoppen? verscheen eerst op Ius Mentis.

Britse wetgevers: Maak techbedrijven aansprakelijk voor nepnieuws

IusMentis - 3 augustus 2018 - 8:12am

Bedrijven zoals Facebook moeten aansprakelijk worden gesteld voor “schadelijk en misleidend” materiaal op hun websites, stellen Britse wetgevers. Dat las ik bij Nu.nl maandag. Het gaat dan met name om persoonsgegevens: “Bedrijven als Facebook maken het gemakkelijk voor ontwikkelaars om gebruikersdata in te zetten voor campagnes, zonder kennis of toestemming van die gebruikers”, aldus Damian Collins van de Britse Digital, Culture, Media and Sport-parlementscommissie zaterdag in een persbericht. Hij wil ze verantwoordelijk en aansprakelijk houden voor dergelijk misbruik.

Het gaat hier zo te lezen niet om het aansprakelijk houden van de platforms voor de inhoud van het nepnieuws zelf. Dat zou ook wel erg ingewikkeld worden; zoals ik eerder al blogde, is de term ‘nepnieuws’ zo lastig te definiëren dat je er echt niet uitkomt. En voor strafbaarheid (of civiele aansprakelijkheid) is dat toch echt wel nodig.

De focus van Collins lijkt meer te liggen op het bijeenharken van persoonsgegevens van de lezers van dergelijke berichten. In 2016 werd data van 87 miljoen socialemediaprofielen door het databedrijf gebruikt om de presidentsstrijd in het voordeel van Donald Trump te beïnvloeden, zo las ik bij Nu.nl nog. En het wereldwijde onderzoek naar Cambridge Analytica laat zien hoe ver je kunt gaan met zulke gevoelige data.

Hoe je dit voor elkaar kunt krijgen, blijft voor mij wel de grote vraag. De E-Commerce Richtlijn uit 2000 zegt dat providers en platforms niet aansprakelijk zijn voor inhoud van hun klanten, mits ze maar een adequaat notice-takedownbeleid voeren. (Niet alleen voor auteursrechten, ook voor smaad en andere nepberichten dus.) Dus die zou je dan moeten veranderen, en omdat dat een Europese regel is, zal dat niet meevallen.

Na de Brexit kan de UK zelf de regels aanpassen, dus misschien biedt dit dan een interessant experiment in een alternatieve manier van nepnieuws aanpakken?

Arnoud

Het bericht Britse wetgevers: Maak techbedrijven aansprakelijk voor nepnieuws verscheen eerst op Ius Mentis.

Waarom een vrijwaring eigenlijk een bom onder je aansprakelijkheid legt

IusMentis - 2 augustus 2018 - 8:21am

Wie contracten onderhandelt, weet dat het beperken van aansprakelijkheid een van de heetste hangijzers is in de discussie. De aansprakelijkheid is immers het risico dat de leverancier neemt, en dat moet in verhouding zijn tot de waarde van de deal. Wat me daarbij steeds vaker opvalt, is dat er nauwelijks aandacht wordt gegeven aan de verplichting tot vrijwaren. En dat is vreemd, want een vrijwaring is juridisch gezien een superaansprakelijkheid waar je vaak ook nog eens niet tegen verzekerd bent. Wat te doen met deze contractuele bermbom?

Het concept vrijwaring wil juridisch zo veel zeggen als dat je de ander afschermt, oftewel vrijwaart, tegen een claim die een derde bij hem neerlegt. Een bekende situatie is de auteursrechtvrijwaring: lieve klant, als iemand beweert dat mijn software zijn auteursrecht schendt, dan spring ik er voor en los ik het op. Zo laat je als leverancier zien dat je gelooft in je rechten.

Maar wat betekent “los ik het op” dan eigenlijk? Nou ja, vrij simpel. Jij gaat in discussie met die derde, en als het moet ga jij naar de rechter om zijn claim aan te vechten. Of hij klaagt je klant aan, maar jij springt er tussen en stelt jezelf in de plaats van je klant. Je komt dan in het beklaagdenbankje terecht en moet de schadevergoeding, advocaatkosten et cetera betalen die deze derde komt eisen.

Ja, dat is een forse kostenpost. Vrijwaringen zijn dan ook dure grappen om te geven. Toch worden ze meestal als eenvoudige standaardzinnetjes in een contract opgenomen en laten beide partijen hem staan. Dat is vreemd, helemaal als je bedenkt dat vrijwaren buiten je beperking van aansprakelijheid valt.

Wacht, wat? Ja precies: ook al ben je beperkt aansprakelijk, als je een vrijwaring geeft dan ga je tot de laatste cent betalen waar je voor vrijwaart. Dat is immers de plicht die je vrijwillig op je genomen hebt. En als je jezelf tot iets verplicht, dan moet je het doen.

Sommige ondernemers denken dan, dat komt goed want ik ben verzekerd voor aansprakelijkheid. En dat is leuk en aardig, maar een plicht tot vrijwaring is geen verplichting tot schade vergoeden. Bij vrijwaring doe je immers meer, je betaalt dan ook kosten en dergelijke die niet als schade bij jou zouden zijn gekomen. Je verzekeraar kan dus rustig weigeren uit te keren als je een vrijwaring moet nakomen.

Een goed leverancier weigert dus vrijwaringen in zijn contracten op te nemen, tenzij hij zeker weet dat hij deze kan dragen en/of de kans dat ze zich voordoen minimaal is. Of, als het echt moet, hij neemt een expliciet plafond op tot waar zijn vrijwaringsplicht gaat.

Arnoud

Het bericht Waarom een vrijwaring eigenlijk een bom onder je aansprakelijkheid legt verscheen eerst op Ius Mentis.

Mag je onder de cookiewet bloatware vooraf installeren?

IusMentis - 1 augustus 2018 - 8:14am

Een lezer vroeg me:

De cookiewet bepaalt dat cookies niet mogen worden geplaatst zonder expliciete toestemming van de gebruiker. Het juridische begrip cookies is veel ruimer dan het technische begrip cookies, ook scripts en programma’s vallen eronder. Wat betekent dit voor bloatware? Dat is ongewenste software die al op de computer staat bij aankoop. Waarom is dat geen ‘plaatsen van software’?

De cookiewet (artikel 11.7 Telecommunicatiewet) is inderdaad veel breder dan alleen cookies. Deze wet bepaalt dat er geen informatie mag worden gelezen of geplaatst op iemands randapparatuur (computer, telefoon, tablet) via een telecommunicatienetwerk zonder toestemming. Ongeacht of het met privacy te maken heeft. Dus ook een stiekeme update aan je software is niet toegestaan.

Dit wetsartikel kent ook het geval waarin “op een andere wijze dan door middel van een elektronisch communicatienetwerk” informatie wordt gelezen of geschreven. Ook dat is niet toegestaan. De memorie van toelichting noemt als voorbeelden usb-sticks, cd-roms of externe harde schijven. Maar wat ik mis, is de situatie “het stond al op het randapparaat toen dat op de markt kwam”. Ik denk dat er gewoon niet nagedacht is over deze situatie.

Afhankelijk van wat die bloatware/software precies doet op je computer, zou je misschien kunnen spreken van verboden uitlezen of versturen van informatie vanaf de randapparatuur. Denk aan software die rapporteert dat ie is geactiveerd, of zelfs gegevens van de computer uitleest en doorstuurt. Maar als die software bij het eerste gebruik een en ander meldt en toestemming vraagt, dan is er verder weinig aan te doen vanuit dit perspectief.

Misschien dat je kunt zeggen, de aanwezigheid van zulke software moet worden gemeld omdat het essentiële informatie is over het product. Wordt het niet gemeld, dan is het product nonconform en kun je je geld terugkrijgen bij de winkel. Dat is misschien nog een effectievere oplossing ook.

Arnoud

Het bericht Mag je onder de cookiewet bloatware vooraf installeren? verscheen eerst op Ius Mentis.

Heb ik een pentest waiver nodig naast mijn algemene voorwaarden als security onderzoeker?

IusMentis - 31 juli 2018 - 8:13am

Een lezer vroeg me:

Als IT-consultant werk ik al jaren met het systeem van contractje en algemene voorwaarden. Nu doe ik sinds een tijdje ook specifieke securityklussen, en collega’s in dit vakgebied wijzen me er nu op dat ik klanten dan een pentest waiver moet laten tekenen. Maar is gewoon een duidelijke opdracht niet genoeg?

Zowel algemene voorwaarden als een pentest waiver beschermen je als opdrachtnemer. Een pentest waiver heeft vooral het voordeel dat hij explicieter en concreter is over het specifieke onderwerp van securityonderzoek.

Als het goed is, staan in je algemene voorwaarden al de nodige bepalingen waar je je klanten aan kunt houden: ze moeten de benodigde informatie geven, ze moeten zorgen dat jij het werk ongestoord kunt doen en ze moeten je vrijwaren van claims van derden die door hun toedoen bij jou op je bordje komen. Dit is generiek genoeg om ook claims van bijvoorbeeld leveranciers te pareren, en met een beetje goede wil ook om ze te dwingen je strafrechtadvocaat te betalen om vrijgesproken te worden van computervredebreuk.

Generiek is bij juridische zaken gelijk aan twijfelachtig en daarmee gelijk aan vele dure uren van juridisch advies en gebakkelei. Een pentestwaiver heeft als voornaamste voordeel dat dit er allemaal expliciet staat, zodat er minder discussie kan ontstaan. (Discussie tot nul reduceren is bij juristen onmogelijk.)

Een typische pentestwaiver vermeldt bijvoorbeeld expliciet dat er toestemming is van alle betrokkenen om hun infrastructuur te mogen binnendringen, en dat geen aangifte zal worden gedaan van vernieling van gegevens wanneer het pentest onderzoek door onzorgvuldigheid tot gegevensverlies leidt. Zo’n harde toezegging is erg handig om een aangifte of civielrechtelijke procedure direct te laten stranden.

Zonder een pentestwaiver moet je dus terugvallen op generieke teksten uit je algemene voorwaarden, en misschien krijg je dan wel het risico dat de klant zegt die nooit gekregen of geaccepteerd te hebben. Of hij stelt dat “het werk ongestoord doen” betekent dat hij een bureau en stoel moest leveren, maar niet dat hij bij leveranciers moest melden dat jij de gehele infrastructuur ging proberen binnen te dringen. En dan heb je een fors probleem als het misgegaan is met je opdracht en er een boze hostingleverancier aangifte heeft gedaan en tachtig man personeel een schadeclaim indienen wegens AVG overtredingen.

Arnoud

Het bericht Heb ik een pentest waiver nodig naast mijn algemene voorwaarden als security onderzoeker? verscheen eerst op Ius Mentis.

Moving Your Site From "Not Secure" to Secure

Maybe you’re a beginner to web development, but you’ve done the hard work: you taught yourself what you needed to know, and you’ve lovingly made that website and filled it with precious content. But one last task remains: you don’t have that little green padlock with the word “secure” beside your website’s address. You don’t yet have that magical “S” after “HTTP”.

You might have heard or noticed recently that something is different on Google Chrome: if your website does not have a HTTPS certificate, your visitors will see a warning on your pages, cautioning them about your page’s security. This is because Google Chrome browser is now marking unencrypted websites that don’t provide HTTPS as “Not Secure.”

If you want to:

  • mark your website as secure
  • retain visitors to your website and boost search engine optimization
  • provide privacy to your site visitors
  • keep out nosey neighbors peeping on your and your users’ connections
  • prevent malicious actors from tampering with content on your site
  • prove that your site is not being impersonated (or prevent some malicious actor from pretending to be you)
  • do this all for free

Then, this post about getting an HTTPS certificate is for you! If transport-layer security, certificate authorities, and HTTPS are new concepts for you, check out this comic from How HTTPS Works: https://howhttps.works/.

The details about how to enable HTTPS on your site depend crucially on your hosting environment. Depending on the provider and software your site is hosted with, HTTPS setup could range anywhere from automatic, to a single click, to impossible (if your hosting provider specifically doesn’t allow HTTPS). For many web site owners, the most challenging or unfamiliar step in enabling HTTPS is getting a certificate, a document issued by a publicly-trusted certificate authority.  A valid certificate is required for browsers to confirm that encrypted connections to your site are secure.

EFF helped create a free, automated, publicly-trusted certificate authority called Let’s Encrypt, which is now the most-used certificate authority on the web. In this post, we’re going to provide advice about the process of getting a certificate from Let’s Encrypt. It’s a convenient option in many cases because it doesn’t charge money for the certificates, they’re accepted by all mainstream browsers, and the certificate renewal process can often be automated with EFF’s tool Certbot.

There are also many other certificate authorities (CAs), which have different policies and procedures for getting certificates. Most will expect you to pay for a certificate unless you have some other relationship with them (for example, through a university that gets free certificates from a particular CA, or if you use a web host that has a commercial relationship with a CA to let subscribers get certificates at no additional charge). For most purposes, you won’t get a different level of privacy or security protection by choosing one CA rather than another, so you can choose whichever public CA you conclude best meets your needs.

We’ve compiled some resources that we’re sharing here for beginners who are new to getting their own HTTPS certificates from the Let’s Encrypt Certificate Authority.

This blogpost isn’t a full tutorial, but is intended to help you get started with the journey to get a HTTPS certificate:

  1. Find whether your web hosting provider already provides free HTTPS certificates.
  2. Confirm with your web hosting provider to see what options are available for HTTPS.
  3. Learn what system and software your server uses.
  4. Troubleshoot until you find an appropriate tutorial to get HTTPS certificates for your site.
  5. Check that HTTPS is working!

We’re trying to improve this process to encrypt the web. When Let’s Encrypt first launched in 2016, only 40% of website connections were encrypted. Today, that number is as high as 73%. Help websites get to 100% encrypted and make the Internet more secure for everyone.

1. Find whether your web hosting provider already provides free HTTPS certificates.

Do you use Tumblr? Github pages? Weebly? Or a variety of other hosting providers?

There’s a chance that your web host already provides an option to obtain a certificate automatically, either from Let’s Encrypt or a different CA. Check if this is already described in your web host’s site or administrative interface. You can also check if they’re on this master list of web hosts supporting Let’s Encrypt, and if they have up-to-date instructions.

If you find your web host on the list of supported providers, or you already know that it has a tutorial or guide for using its HTTPS support, follow their instructions for enabling HTTPS on your site. If it is not supported, proceed below.

2. Confirm with your web hosting provider to see what options are available for HTTPS.

See if your site administration page has an option to enable HTTPS.

A lot of providers—including many that aren't on that community list—use software like cPanel on some of their hosting plans to let subscribers configure their hosting services. cPanel normally has a feature to let the subscriber automatically get a certificate for free (which may be either from Let's Encrypt or another CA).

Some of cPanel's competitors such as Plesk also have this configurable option. However, some hosts may be running outdated software or have deliberately disabled the ability to get a free certificate.

Get in touch with your provider and ask them about their options of HTTPS support.

Many providers are already working on making HTTPS available or  or may already provide an HTTPS feature. You can contact them and ask to see if this might be an option.

“Dear [company],

I would like to obtain a free HTTPS certificate for my site. I was wondering if this is already in the works?

Thank you.”

Your provider may then be able to guide you about whether your hosting plan allows you administrative access to the server (in which case a tool like Certbot may be relevant for you). See the next step if this is your circumstance.

3. Learn what system and software your server uses.

If your hosting provider doesn’t integrate Let’s Encrypt but you do have administrative access to your server, you can use software to obtain and install a certificate. This is dependent on what software your web server is using, and what operating system your server is running on.

If the above sounds like unfamiliar jargon and you’re not sure about what software or system you’re using, don’t worry! You can email your webhost to get that information

Try using the following language in an email to your webhost (influenced from Matt Mitchell).

“Dear [company],

I am using your hosting service. I’m interested in using Certbot to use a free certificate from Let’s Encrypt.. Can you send me the support webpage on how to do this? In particular, I’m wondering how I can SSH into your server from my computer? I need to know what software the server is using, and what system the server is on.

Thank you.”


If you know what software and operating system your web server is on and know how to use the command line, Certbot might be a good tool for you.

Check EFF’s Certbot site to generate instructions for getting Let’s Encrypt certificates on Unix servers that you administer. If you don’t see your server’s software and operating system reflected on Certbot, or are unable to get a certificate from following the Certbot instructions for your configurations, proceed to step 4.

4. Troubleshoot until you find an appropriate tutorial to get HTTPS certificates for your site.

This is the messy part: there are many, many tutorials out there for many possible situations. If you’re new to using your command line, we recommend calling a friend with experience in configuring a Let’s Encrypt certificate on their site to help. Be prepared to copy and paste error messages, and spend some time troubleshooting.

Try checking the service https://letsdebug.net/ for an analysis of your setup that can help point out a number of common problems. Try searching the Let’s Encrypt Community Forum for similar questions. If you don’t find the answer from the community’s responses, try submitting your own question to the Let’s Encrypt Community Forum, or calling a friend.

Some other things to look for as you set up HTTPS include:

  • Get the certificate to automatically renew every 90 days. This means you won’t have to go through the pains of configuring a new HTTPS certificate manually, or leaving your site with an expired certificate warning in web browsers if you forget to repeat these steps 3 months from now.
  • Redirect your sites to HTTPS by default, so that it doesn’t default to the HTTP connection.
  • Check with your site host if a wildcard certificate is available for you. This just means that it’ll apply to all your sites that are subdomains of the same domain (if the domain is “example.com”, the subdomains “transactions.example.com” and “email.example.com” will be covered by a “*.example.com” wildcard certificate).

Once you’ve found a tutorial and enabled HTTPS, you’re almost there!

5. Check that HTTPS is working!

Now, visit your site in your own browser and troubleshoot the HTTPS configuration for your site to make sure it’s working. If you have problems, some resources include:

For checking the certificate itself: https://www.ssllabs.com/ssltest/index.html

For checking the reason for security error messages in your browser: https://www.whynopadlock.com/

Categorieën: Openbaarheid, Privacy, Rechten

Pagina's

Abonneren op Informatiebeheer  aggregator - Rechten