U bent hier

Van dingen die voorbijkomen

Een klepper, een beenveeg en een onwaarschijnlijk vreemde toets

Nomeis (Siemon Reker) - 11 uur 42 min geleden
Nadat de pronostiek in de studio is afgewerkt (driekwart van de Belgen denkt dat Nederland van de VS zal winnen) en na een wat medelijdende opmerking over die jonkies van Amerika die tegen al die kleppers moeten voetballen (spelers uit … Lees verder →

Philosopher of science Winsberg to take up 4-year British Academy Global Professorship at Cambridge University HPS

Leiter Reports: A Philosophy Blog - 2 december 2022 - 12:49pm
Eric Winsberg (philosophy of science, philosophy of climate science, philosophy of physics), Professor of Philosophy at the University of South Florida, will spend the next four years at Cambridge University as a British Academy Global Professor in the HPS program,... Brian Leiter

JEZUS CHRISTUS wat een PARADE VAN COURTOIS! Peter Vandenbempt voor de VRT

Nomeis (Siemon Reker) - 2 december 2022 - 8:23am
Hoe een Nederlander via de Vlaamse televisie luisterde naar het verslag van Peter Vandenbempt (bij de laatste poulewedstrijd Kroatië-België, 01.12.2022) – goed, het is vijgen na Pasen want onze Zuiderburen werden door de 0-0 voor de volgende ronde uitgeschakeld maar … Lees verder →

Hoe erg is Office, pardon Microsoft 365 in strijd met de AVG?

IusMentis - 2 december 2022 - 8:10am

Microsoft 365 is volgens het Duitse Datenschutzkonferenz nog steeds in strijd met de Europese GDPR-privacyregelgevingen. Dat meldde Tweakers onlangs. Het gaat om een voorlopige conclusie van een tweejarig onderzoek naar de online services binnen de Office-tool (met nieuwe merknaam) van het bedrijf. Volgens de Dsk zijn er ‘geen substantiële verbeteringen’ doorgevoerd, Microsoft heeft een beter PR bureau want spreekt van “we halen, nee: overstijgen, GDPR-vereisten”. Nou gaat niemand voor z’n lol meer doen dan de AVG eist, dus wat is hier aan de hand?

Het probleem kwam in 2020 aan het licht: DSK, de Duitse waakhond voor databescherming, heeft onderzocht hoe de Enterprise-editie van Windows 10 omgaat met gebruikersinformatie. Gebruikers kunnen instellen dat Windows helemaal geen gegevens verzendt naar Microsoft. Volgens het onderzoek van DSK blijkt dit niet helemaal vlekkeloos te verlopen. Zelfs wanneer een gebruiker daar geen toestemming voor geeft, verzendt Windows 10 alsnog gegevens naar Microsoft. Sindsdien is Microsoft al twee jaar aan het onderhandelen en aanpassen om de goedkeuring van het Duitse samenwerkingsverband van privacytoezichthouders te verkrijgen (iedere deelstaat heeft zijn eigen AP). Het bleek niet alleen te gaan om dat stukje telemetrie, maar ook over zaken als de export van die gegevens naar buiten de EU (hoi Schrems II) en de omgang met subverwerkers. Microsoft kwam in september nog met een nieuwe privacyverklaring, waarin zwaarder ingezet werd op legitiem belang als grondslag voor van alles en nog wat.

De DSK mist nog steeds het nodige. Zo maakt die nieuwe privacyverklaring nog steeds niet duidelijk welke gegevens precies worden verstuurd naar de VS en voor welk doel. Lees ‘m hier in al haar juridische glorie, maar concreter dan deze wordt het niet volgens mij (“Microsoft stellt die nötige Transparenz über Verarbeitungstätigkeiten durch umfangreiche Dokumentation her.”): Klantgegevens, Gegevens van Professionele Diensten en Persoonsgegevens die Microsoft namens de Klant verwerkt, mogen niet worden overgedragen aan, of opgeslagen en verwerkt op een geografische locatie, uitgezonderd in overeenstemming met de Voorwaarden van de [Bijlage Bescherming van persoonsgegevens, BBP] en de waarborgen die hieronder in dit artikel worden beschreven. Rekening houdend met dergelijke waarborgen, machtigt de Klant Microsoft om Klantgegevens, Gegevens van Professionele Diensten en Persoonsgegevens over te dragen naar de Verenigde Staten of enig ander land waarin Microsoft of haar Subverwerkers actief zijn en om Klantgegevens en Persoonsgegevens op te slaan en te verwerken voor het leveren van de Producten, behalve zoals elders in de Voorwaarden van de BBP is beschreven. Er gaan nog steeds gegevens naar de VS. Volgens Microsoft zou dat mogen vanwege de privacyschaamlap pardon Executive Order die het Privacy Shield zou moeten vervangen. Daar valt het nodige over te zeggen, maar ik volsta met opmerken dat Microsoft vervolgens verwijst naar SCC’s als reden om de gegevens in de VS op te mogen slaan. Ook zou het alleen gaan om geanonimiseerde gegevens waar de AVG niet voor geldt.

Alles bij elkaar: ik krijg niet het gevoel dat Microsoft écht iets veranderd heeft, maar vooral meer argumenten heeft aangedragen waarom alles eigenlijk wel in orde is. Dat riekt naar tijd winnen en hopen dat die executive order door de Europese Commissie wordt geaccepteerd.

Arnoud

 

Het bericht Hoe erg is Office, pardon Microsoft 365 in strijd met de AVG? verscheen eerst op Ius Mentis.

"Ideology" conference

Leiter Reports: A Philosophy Blog - 1 december 2022 - 5:49pm
I'll be participating in the Social Philosophy & Policy conference on "Ideology" at the University of Arizona starting tomorrow, so there will be less posting until next week. Brian Leiter

The "for-profit" hospice industry sounds like bad news

Leiter Reports: A Philosophy Blog - 1 december 2022 - 1:45pm
This is a rather depressing report, but it's worth reading fora nyone who is confronting end-of-life decisions for someone. Brian Leiter

"Performative woundedness"

Leiter Reports: A Philosophy Blog - 1 december 2022 - 12:51pm
A reader just flagged for me an old tweet by smarmy Jonathan Ichikawa, in which he purported to be in search of examples of this phenomenon: One might have thought he did not have far to look! Brian Leiter

Comparative Report on the National Implementations of Article 17 of the Directive on Copyright in the Digital Single Market

International Communia Association - 1 december 2022 - 10:00am

In 2019, the EU’s Copyright in the Digital Single Market Directive (CDSMD) was adopted. This included the highly controversial Articles 15 and 17 on, respectively, the new press publishers’ right (PPR) and the new copyright liability scheme for OCSSPs (“online content-sharing services providers”). In a report published in September 2022, I undertook research into the national implementations of these two provisions in 11 Member States: Austria, Denmark, Estonia, France, Germany, Hungary, Ireland, Italy, Malta, the Netherlands and Spain. Based on information gathered through a questionnaire distributed to national experts from each examined Member State, the report assesses the compliance of the national implementations with the internal market objective of the Directive and the EU’s law of fundamental rights. The report was commissioned by C4C, but written in complete academic independence. 

This is Part 2 of a two-part contribution highlighting the report’s most significant findings. While Part 1 (published on Kluwer Copyright Blog) focused on Article 15 CDSMD, Part 2 considers Article 17 CDSMD. The report’s findings as regards Article 17 CDSMD were presented at the first session (“Fragmentation or Harmonisation? The impact of the Judgement on National Implementations”) of the Filtered Futures conference co-organised by COMMUNIA and Gesellschaft für Freiheitsrechte on 19 September 2022. 

The post is published under a Creative Commons Attribution 4.0 International licence (CC BY 4.0).



Subject matter and right-holders

As opposed to Article 15 CDSMD, Article 17 CDSMD does not introduce a new related right to EU copyright law. Instead, it expands the protections already afforded by copyright and related rights law. To this end, Article 17(1) links to Article 3(1) and (2) of the Information Society Directive (ISD). While Article 3(1) ISD covers copyright, Article 3(2) ISD lists four related rights: those of performers, phonogram producers, film producers and broadcasting organisations.

Based on the national reports, from among the 11 examined Member States, only two (Malta and the Netherlands) appear to have restricted protection to these four related rights. Denmark explicitly extends protection to producers of photographic pictures and producers of catalogues – i.e., related rights owners not mentioned in Article 3(2) ISD. Other Member States eschew a closed enumeration in favour of a general reference to related rights – implying that all related rights recognised in their national law are covered. To the extent that such rights fall outside of the EU acquis such gold-plating is arguably unproblematic. However, where harmonised related rights – such as the new PPR – are affected, implementations start slipping out of compliance.

France presents an added twist, given the absence in the French transposition of Article 15 CDSMD of an exception for private or non-commercial uses by individual users, as the Directive requires (see Part 1 on Kluwer Copyright Blog). The logical conclusion is that in France OCSSPs may be liable for non-commercial public sharing of press publications by end-users on their platforms – contrary to Article 15’s intended focus on own use by providers such as news aggregators and media monitoring services (see Recital 54 CDSMD).

Exclusive rights

Further issues arise with regard to the implicated exclusive rights. The Irish implementation of Article 17 is particularly perplexing in this regard: as the Irish national expert (Giuseppe Mazziotti) explains, while the transposition’s language is ambiguous and hard to decipher, the Irish implementation appears to require that OCSSPs also obtain authorisation from the owners not only of the right of communication to the public and of the making available right (as the CDSMD requires), but also of the reproduction right. Adding to the confusion, the immunity of Article 17(4) is transposed correctly, so that it is restricted to acts of communication to the public.

A number of possible interpretations exist. One option would be that absent authorisation from the holders of the reproduction right, OCSSPs are liable for communication to the public unless the immunity applies – though this would make little sense. An equally disconcerting possibility would be that there is no way out of a liability for unauthorised acts of reproduction that has no foundation in the Directive. Of course, it is also possible that the reference to the reproduction right is just a transposition glitch that should be ignored, in line with the Marleasing principle. This interpretation would be the most likely – were it not for the fact that it is very hard to say that OCSSPs (whose very definition in Article 2(6) CDSMD describes them as “storing” content) perform acts of communication to the public without also (at least temporarily) copying the relevant works: the absence of any reference to the reproduction right in Article 17 makes little sense. The omission has been belatedly recognised by the European Commission in its Guidance on Article 17, according to which the

acts of communication to the public and making content available in Article 17(1) should be understood as also covering reproductions necessary to carry out these acts.

The Guidance notes that Member States should not provide for an obligation on OCSSPs to obtain an authorisation for reproductions carried out in the context of Article 17. However, the Guidance is non-binding and, moreover – from a certain perspective – just confirms that acts of reproduction are inherent to acts of communication or making available to the public.

Authorized uploads by end-users

Interestingly, France has ignored the suggestion in Recital 69 of the Directive that authorisations granted to users to upload protected subject matter extend to OCSSPs. As Valerie-Laure Benabou, the French national expert, points out, the key issue here is whether OCSSPs are participating in a single act of communication to the public or making available to the public performed by the end-user or whether there are two independent acts, one performed by the user and the other by the intermediary.

Given that the Directive establishes primary and not accessory liability for OCSSPs, there is a strong argument that there are two acts of communication to the public. Of course, this seems counter-factual, as clearly only one material act occurs – the upload by the user onto the OCSSP’s platform. But that is a problem embedded in the entire solution adopted by Article 17, which holds OCSSPs liable for those uploads as primary infringers. Moreover, while recitals do have interpretative value, they do not have binding legal force and therefore cannot be used to counteract the operative part of a directive. As a result, clarity on this issue can only come with CJEU intervention.

Interaction with other types of liability

Another headscratcher is provided by the Spanish implementation. This contains a provision according to which, as has already been reported on Kluwer Copyright Blog by the Spanish national expert, Miquel Peguera, even when OCSSPs abide by the conditions of Article 17(4), right holders will be still able to rely on other causes of action for compensation, such as unjust enrichment.

How to assess this is not obvious. One view is that the provision digs a hole under the entire concept of immunity. The result, therefore, is an interference with the “occupied field” of the Directive in a way that erodes its useful purpose: the same claimant would be granted the same protection against the same OCSSP for the same behaviour for which the directive provides immunity.

As persuasive as this interpretation is, there is also a different perspective from which the provision is unproblematic. It is important to consider the difference between Article 17 and the hosting safe harbour Article 6 of the Digital Services Act (DSA) (previously Article 14 of the E-Commerce Directive): the wording of the latter clearly indicates its purpose to ensure that the relevant providers are, in a harmonised way, not held liable across the EU under certain conditions. By contrast, Article 17 arguably has the opposite objective: to ensure that OCSSPs are, in a harmonised way, held liable across the EU under certain conditions. If that is the case, then it could be said that the Spanish provision avoids interference with Article 17’s useful purpose.

Of course, even if that is so, it is highly unlikely that any OCSSP that meets the conditions of Article 17(4) would fail to meet the conditions set by any other national rule of law. The hosting safe harbour will provide additional refuge. While the issue is therefore likely a storm in a teacup, the theoretical question is an interesting one: does Article 17 exhaust the liability of OCSSPs for infringing copyright/related rights over uploaded content – does it provide total harmonisation of OCSSP liability for copyright-infringing content uploaded by their users or only total harmonisation of OCSSP liability for communication to the public?

Filtering and general monitoring obligations

Perhaps the most interesting question that arose from the study concerns the different national approaches to the implementation of Article 17(4) CDSMD. The issue was brought before the CJEU by Poland in an action for the annulment alleging that Article 17(4) makes it necessary for OCSSPs to adopt filtering technology to the detriment of end-users’ freedom of expression. In its decision, the CJEU accepted that the prior review obligations imposed by Article 17(4) on OCSSPs do require the use of filtering tools, but concluded that the resultant limitation on freedom of expression is acceptable because of the safeguards embedded in sub-paragraphs 7, 8 and 9. The Court refrained, however, from a detailed explanation on how these safeguards should operate in practice.

Among the examined Member States, Germany and Austria have taken a proactive elaborative interpretation geared at establishing how these safeguards can be put into practice. This approach has been described as a “balanced” one, as opposed to the more “traditional” one taken by those countries that adopted a copy-out transposition.

The question that arises is whether this “balanced” approach is compatible with the directive. As others have suggested, there is a strong argument that – to the extent that Article 17 does not explain how its various sub-paragraphs are intended to interact or how it’s intended to navigate freedom of expression – such elaboration might be necessary. As mentioned in Part 1, to be copiable in national law, it is necessary that a directive be internally consistent and well formulated. When provisions are in need of legislative repair or clarification, literal transposition should be dismissed. It can be said that Article 17 is precisely such a provision – as the analysis above reveals, it is not a well-drafted piece of legislation: it raises many questions, its wording is complex and confusing, and its purpose and scope are ambiguous.

That said, following the decision of the CJEU in Poland it is hard to hold that those Member States that have taken a copy-out approach to transposition were wrong to do so. Instead, the answer can be found in the final paragraph of Poland. This emphasises both that Member States themselves must transpose Article 17 in such a way as to allow a fair balance and that, “the authorities and courts of the Member States” must interpret their transpositions so as to respect fundamental rights. In this way, the Court has enabled the compatibility with the Directive and the Charter of both the “balanced” and “traditional” implementation approaches: with the first the legislator takes on the task of identifying the appropriate “fair balance” itself, via the process of transposition. With the second, the details on the right balance are delegated to judicial interpretation. The first approach may be preferable from a policy perspective – but both are open to the Member States.

Conclusion

Examination of the national implementations of Articles 15 and 17 reveals a number of potential incompatibilities. While some of these can perhaps be attributed to national intransigence or misplaced inspiration despite clear EU requirements (for example, the French failure to protect private or non-commercial uses of press publications by individual users is hard to explain otherwise), very often the root cause can be found in bad drafting by the EU legislator. The contentious subject matter and intricate structures of these articles, as well as their heavy reliance on undefined terminology and the occasional misalignment between the recitals and operative texts, are not designed to facilitate smooth national implementation and homogenous interpretation and application. As the European Commission has acknowledged, “[b]etter law-making helps better application and implementation”. In the intense discussions on Articles 15 and 17 in the run-up to the adoption of the CDSMD, this principle appears to have fallen by the wayside. To address the consequences, the CJEU will no doubt have much CDSMD-focused work ahead of it. Hopefully, future judgments will be clearer than Poland. 

The post Comparative Report on the National Implementations of Article 17 of the Directive on Copyright in the Digital Single Market appeared first on COMMUNIA Association.

‘Mijn’ – bezittelijk voornaamwoord dat uit de hoogte kan klinken

Nomeis (Siemon Reker) - 1 december 2022 - 8:40am
Bijzonder, dat begin van de proclamatie van Koningin Wilhelmina na de Duitse inval in Nederland. Met dank aan het Utrechts Archief, het gaat om deze tekst: Het is destijds voor de radio voorgelezen, mei 1940, ik herinner me een opname … Lees verder →

Verdachte niet bestraft voor phishingpanel omdat politie werking niet onderzocht

IusMentis - 1 december 2022 - 8:19am

Een verdachte die een phishingpanel op zijn telefoon had staan is hiervoor niet veroordeeld omdat de politie de werking ervan niet heeft getest. Dat meldde Security.nl maandag. Een phishingpanel is een tool om phishingwebsites mee op te zetten, maar je moet natuurlijk wel aantonen dat deze werkte. Opstekertje voor mij: het is een feit van algemene bekendheid dat een website ook serverhardware nodig heeft.

Op de site van onderzoeker Jarno Baselier staat een uitgebreide demonstratie van hoe een dergelijk panel werkt. Het doet sterk denken aan een gewone ecommercesite: je zet een controlepaneel op, vanuit daar programmeer je mailcampagnes die mensen naar je site moeten krijgen, en daar bouw je een landingpagina om ze een boek te verkopen. Alleen dan geen boek maar je ontfutselt ze hun wachtwoord. Vele voorbeelden van hoe dat eruit ziet bij Group-IB.

De getoonde tool heet GoPhish, dat zichzelf adverteert als “a powerful, open-source phishing framework that makes it easy to test your organization’s exposure to phishing.” Met onder meer een superhandige knop om bijvoorbeeld Facebook te ‘importeren’ zodat je jouw medewerkers kunt controleren op het invoeren van Facebookwachtwoorden wanneer jij een echt van Facebook lijkende mail stuurt. (Ik doe mijn best dit zakelijk op te schrijven).

Welke tool de verdachte uit deze zaak had, is mij niet duidelijk. De rechtbank Den Haag ook niet, want uit het proces-verbaal blijkt niet eens dat de panel is aangeklikt en uitgeprobeerd op werking, althans niet hoe dat zit: Ik [, verbalisant] heb onderzoek gedaan in de uitgelezen data van het eerder omschreven toestel. Uit mijn onderzoek is gebleken dat er data in het toestel aanwezig is die gebruikt kan worden voor het plegen van cybercrime delicten. Dat is natuurlijk te mager om te kunnen veroordelen op het hebben van een hulpmiddel om computervredebreuk mee te plegen. De verdachte blijkt wel een berg wachtwoorden voorhanden te hebben (goh, geen idee hoe) en dat is afzonderlijk grond voor een veroordeling.

Opstekertje voor mij dus nog dat de rechtbank scherp inspeelt op het te verwachten verweer dat die wachtwoorden alleen geschikt zijn om op een website in te breken, en dat een website volgens het Gerechtshof Den Haag geen server is: Door de verdediging is betoogd dat met de inloggegevens enkel toegang kon worden verschaft tot accounts en niet tot de betreffende servers. De rechtbank gaat voorbij aan dit verweer, nu het een feit van algemene bekendheid betreft dat het inloggen op een account via een (deel van) een server verloopt, wat een geautomatiseerd werk is als bedoeld in artikel 139d Sr. Ik heb een hele kleine twijfel of dit naar de letter van de kunst wel klopt, gezien “feit van algemene bekendheid” een argument is wanneer je iets feitelijks moet bewijzen. Maar het argument van de verdediging is dat niet ten laste is gelegd dat meneer op een server had willen inloggen. Vergeten te verwijten is wat anders dan vergeten te onderbouwen.

Maar ik denk dat het hier goed gaat, omdat het delict hier is “het hebben van wachtwoorden waarmee je computervredebreuk kunt plegen”. Voor dat laatste is dus nodig dat bewezen wordt dat je op een geautomatiseerd werk kunt inloggen, en dan is het wel logisch om te zeggen “het is algemeen bekend dat Netflix servers heeft”.

Arnoud

Het bericht Verdachte niet bestraft voor phishingpanel omdat politie werking niet onderzocht verscheen eerst op Ius Mentis.

Pagina's

Abonneren op Informatiebeheer  aggregator - Van dingen die voorbijkomen