Door Arnoud Engelfriet

ICT-jurist / Specialist internetrecht

'Data is niets'

Ict-jurist Engelfriet over eigendom van data

31-07-2022 • 06:00

83

‘Data is niets’: de juridische status van digitale diensten

Op 1 september worden de online-diensten van vijftien Ubisoft-games ontoegankelijk, zo werd onlangs bekend. Het is niet de eerste keer dat zoiets gebeurt, en het zal ook niet de laatste keer zijn. Door de transitie naar de cloud en meer algemeen naar digitale dienstverlening hebben we onszelf als maatschappij aardig in een hoekje geprogrammeerd. Een hoekje waar juridisch weinig over geregeld is.

Arnoud Engelfriet

Mr. ir. Arnoud Engelfriet is ict-jurist, gespecialiseerd in internetrecht. Hij is algemeen directeur bij juridisch adviesbureau ICTRecht en al jaren actief op Tweakers.

It’s just someone else’s computer

De cloud staat als zodanig niet in het wetboek. Ook software as a service is juridisch geen apart geregelde constructie. Dat is op zich niet erg; er zijn namelijk algemene regels over dienstverlening, en dat is wat de cloud of SaaS eigenlijk is. Een bekend gezegde luidt: ‘There is no cloud, it’s just someone else’s computer’. Wat er feitelijk gebeurt, is dat je ergens ruimte of opslag- dan wel rekencapaciteit krijgt. Dat noemen we in juridische zin gewoon dienstverlening, net zoals je de catering van je bedrijf kunt uitbesteden of een schoonmaakster je huis laat schoonmaken.

Far Cry 3, WindowsWat zegt de wet over diensten? Het belangrijkste is dat een dienstverlener een zorgplicht heeft: hij moet de ‘zorg van een goed opdrachtnemer’ in acht nemen. Wat dat precies inhoudt, is in het algemeen moeilijk te zeggen. Deze zorgplicht is bedoeld als open norm om bij concrete problemen te kunnen toetsen of de dienstverlener netjes heeft gehandeld, of juist niet. Heel algemeen kun je wel zeggen dat een dienstverlener in ieder geval moet doen wat in de branche gebruikelijk is. Als iedereen bijvoorbeeld dagelijks back-ups maakt, kan het in strijd met je zorgplicht zijn om dat niet te doen, tenzij je vooraf héél duidelijk zegt dat je het niet doet.

Een andere belangrijke regel is dat de dienstverlener niet zomaar zijn dienst mag opzeggen. Hij moet er gewichtige redenen voor hebben of het moet gaan om een contract voor onbepaalde tijd, en in dat laatste geval moet hij een voldoende lange opzegtermijn aanbieden voor de klant, zodat die de kans heeft om over te stappen. Dit is echter ‘regelend recht’, zoals het juridisch heet. Dat betekent dat je ervan mag afwijken in je contract. Vrijwel iedere clouddienstverlener doet dat, bijvoorbeeld door te zeggen dat hij iedere maand het contract zonder opgaaf van reden mag opzeggen. Als zakelijke klant zit je daaraan vast, ook als je een jaarcontract had afgesloten. Bij consumenten ligt dit iets ingewikkelder; daarover lees je verderop in dit artikel meer.

Beschikbaarheid van de cloud

Clouddiensten verschillen dus wezenlijk van klassieke software. De software staat op iemand anders’ computer en je moet er via internet bij. Dat vereist een goede beschikbaarheid van de dienst. Klassieke software staat op je eigen computer en is altijd beschikbaar. Natuurlijk is beschikbaarheid via internet niet gegarandeerd; overal kunnen storingen optreden. In ieder geval mag je van een clouddienst verwachten dat hij het doet wanneer jij verbinding weet te leggen met die computer van die iemand anders.

We doen ons best, maar als de dienst het desondanks niet doet, heb je pechDe meeste clouddiensten geven geen garanties hierover. Juridisch gezien zeggen ze niet meer dan een inspanningsverplichting toe: wij doen ons best, maar als de dienst het desondanks niet doet, heb je pech. Dat mag, bij dienstverlening. Doet de dienst het niet, dan moet jij als afnemer aantonen dat de clouddienstverlener niet zijn best heeft gedaan om hem wél te laten werken. Dat is in de praktijk vrijwel onmogelijk.

Wil je meer, dan kom je al snel bij een fors hoger tarief terecht. Met een zogeheten service level agreement (sla) leggen ict-dienstverleners harde afspraken vast over beschikbaarheid, snelheid en de tijd die het herstel van fouten mag kosten, maar daar betaal je als klant natuurlijk wel voor. Voor particulieren is dit dan ook meestal niet interessant. Voor bedrijven soms wel, afhankelijk van hoe bedrijfskritisch de dienst is. Je wilt als bedrijf niet dat je e-mail of klantenadministratie een hele dag niet beschikbaar is, maar dat je als particulier een middag geen nieuwe blogs kunt plaatsen, is misschien wat minder erg.

Eigendom van data

Wie data opslaat bij een online back-updienst of gebruikmaakt van een SaaS-dienst voor bijvoorbeeld de boekhouding of klantenadministratie, zal al snel geneigd zijn te spreken van ‘zijn’ data. Dat is op zich logisch; deze informatie is essentieel voor die betreffende persoon, en als hij hem fysiek ergens had opgeslagen, waren die mappen of papieren ook gewoon zijn eigendom. In de cloud is dat echter wezenlijk anders. Data is niets, juridisch gezien. Je kunt dus niet spreken van eigendom van data, en er is ook geen wettelijke manier om data op te eisen van een dienstverlener.

Dat data niets is, beschouw ik als het grootste juridische probleem binnen het internetrecht. We denken namelijk allemaal dat het anders ligt, omdat SaaS-diensten nu eenmaal zo duidelijk aansluiten bij de klassieke manier van werken. We kunnen altijd bij de data op onze laptops, die is in het gewone spraakgebruik dus ‘van ons’. En die data is essentieel, of het nu bedrijfskritische gegevens zijn of onvervangbare foto’s van je opgroeiende kinderen. Die data moet dus ook van ons zijn. Maar als je hem in de cloud opslaat, heb je er in juridische zin geen zeggenschap meer over.

Bij verlies van data heb je juridisch gezien gewoon dikke pech. Die data is weg en een claim wegensBij verlies van data heb je juridisch gezien gewoon dikke pech wanprestatie is buitengewoon ingewikkeld. Toon om te beginnen maar eens aan dat de clouddienstverlener zijn best niet heeft gedaan. Daarnaast kan de vraag worden gesteld waarom jij geen back-up van die data had, als hij zo belangrijk voor je is. Het aansprakelijkheidsrecht kent het concept van ‘eigen schuld’ (art. 6:101 BW), waardoor een schadevergoeding kan worden verlaagd. Met dat argument kreeg een consument in 2013 het deksel op de neus toen hij zijn Powerbook had laten repareren en de harde schijf daarna sneuvelde. Hij moest de helft van de schade zelf dragen.

Als de leverancier duidelijk een fout maakt, komt dat anders te liggen. In een vonnis uit 2014 moest KPN verloren clouddata vergoeden. “Hier ging duidelijk iets mis aan onze kant”, had KPN gezegd, maar vervolgens wees het bedrijf de claim tot schadevergoeding af met een beroep op de algemene voorwaarden, waarin inderdaad keurig stond dat men nooit aansprakelijk was voor dataverlies. Let wel, het ging hier om een online back-updienst. Gelukkig prikte de rechter daar doorheen; als data bewaren je dienst is, is verlies van data iets dat gewoon niet mag gebeuren. KPN moest dus betalen voor de uren die nodig waren om al die data opnieuw te produceren.

Het voorgaande laat zien wat de grote beperking is bij schadeclaims wegens dataverlies: je kunt in principe alleen tijd of geld vorderen. Als het gaat om het opnieuw intypen van een heleboel bonnetjes bijvoorbeeld, gaat dat nog wel goed. Het reconstrueren van klantgegevens via mails, adresboeken in telefoons en andere bronnen wil ook nog wel. Maar die onvervangbare foto’s van je kinderen, of meetresultaten van natuurfenomenen die inmiddels zijn verdwenen?

Een oud spreekwoord luidt: beter voorkomen dan genezen. In juridische termen: beter back-uppen dan aansprakelijk stellen. Een back-up maken van clouddata lost het hele probleem van dataverlies op, mits je de back-up netjes ergens bewaart.

Einde van de dienstverlening

Dienstverleners kunnen opzeggen. Dat is niet erg bij een schoonmaker en ook bij een cateraar die ermee wil stoppen, is dat nog te overzien. Bij clouddiensten kan dit echter erg zuur uitpakken. Als die dienstverlener besluit ermee te stoppen, verlies je als klant een stukje functionaliteit waar je op bent gaan rekenen. Je moet dan op stel en sprong overstappen naar een andere dienst. De vraag is of die vergelijkbaar is in functionaliteit en de dienst tegen dezelfde prijs geleverd wordt. Je moet vervolgens maar afwachten of je al je data wel gedownload krijgt bij de oude dienst, en geüpload bij de nieuwe.

wolken

Juridisch is er geen onderscheid tussen een clouddienst en andere periodieke of structurele dienstverlening, zoals de postbezorging of de bezorging van de wekelijkse boodschappen. Praktisch gezien heeft een clouddienstverlener echter een veel belangrijker positie, met name omdat de data van de klant bij hem staat en deze alleen met zijn software kan worden bediend. Dat is het hele doel van clouddienstverlening, maar het introduceert wel een valkuil: wat als de dienstverlener er - al dan niet vrijwillig - mee ophoudt? Dit probleem staat bekend als het continuïteitsvraagstuk bij clouddiensten.

Geen escrow, maar continuïteit

De klassieke oplossing voor het probleem van een failliete softwareleverancier was de escrow. Hierbij wordt de broncode van de software in bewaring gegeven bij een derde, met de instructie hem vrij te geven bij gebeurtenissen als faillissement of het staken van de dienst. Zo kan de klant verder met de broncode, als hij dat wil. Dit klinkt erg aantrekkelijk, maar kent behoorlijk wat praktische haken en ogen. De software zal immers regelmatig moeten worden bijgewerkt, en die derde moet verifiëren dat de laatste versie er is, in volledige vorm. Dat kan een dure grap worden. Wie software tien jaar lang in escrow onderhoudt, heeft daarbij waarschijnlijk meer uitgegeven dan de projectprijs voor het volledig opnieuw opbouwen van die software.

Voor clouddiensten werkt escrow echter sowieso eigenlijk niet. Een clouddienst omvat immers meer dan alleen software. De dienst draait in een online omgeving, is gekoppeld met databanken en externe diensten en is via een bepaalde domeinnaam toegankelijk. De broncode van de software achter die dienst is niet genoeg om dat allemaal te reproduceren. Je hebt al die andere informatie ook nodig, je moet een server op internet aansluiten en de domeinnaam overzetten. Zonder speciale kennis - die eigenlijk alleen de clouddienstverlener heeft - is het vrijwel niet te doen dat allemaal te reproduceren.

Een clouddienst moet het dus anders aanpakken. Helaas biedt de wet daar geen expliciete mogelijkheden voor. De dienstverlener moet dus zelf afspraken maken en zaken zo inrichten dat een faillissement of vergelijkbare malheur niet automatisch het einde van de dienst betekent. Zo zou men de klantdata bij een externe stichting kunnen onderbrengen die als doel heeft om bij faillissement een kopie van de data aan de klanten te verschaffen. Deze stichting zou wellicht ook een akkoord met de hostingpartij achter de clouddienstverlener kunnen treffen: wij betalen de rekening nog een paar maanden, laat de servers alstublieft nog even aanstaan. Wat de beste oplossing is, is nu nog lastig te zeggen.

In ieder geval gaat het recht je niet helpen. in het Nebula-arrest van 2006 bepaalde de Hoge Raad dat langetermijncontracten bij faillissement eenzijdig door de curator mogen worden opgezegd. Dit omdat de wederpartijen anders bij het faillissement in een betere positie zouden komen dan die ze volgens de wet zouden moeten hebben. Praktisch gezien betekende dit dat de curator bij een failliete clouddienst de stekker eruit mag trekken, en wel direct. In het Berzona-arrest werd dit licht beperkt: een curator hoeft niet in beweging te komen als het contract dat vereist, maar mag niet actief dingen doen die in strijd zijn met een contract. Hij mag dus weigeren data af te geven, maar niet zomaar een account op slot zetten. Als hij dat toch doet, ben je desondanks alsnog de pineut. Tegen de tijd dat je dit uitgevochten hebt met de curator en de boel weer online staat - als de boedel althans nog niet verkocht is - is je bedrijf failliet.

Rechter

Continuïteit bij de klant

Het omgekeerde kan ook voorkomen: niet de clouddienstverlener, maar zijn klant wordt getroffen door bedrijfsstremmingen of faillissement. De dienstverlener staat dan in zijn recht om de dienstverlening op te schorten; zijn facturen worden immers niet betaald. Dat raakt dat bedrijf echter wel meteen héél erg zwaar – de clouddienst is niet meer beschikbaar. Pijnlijk bij een online back-up, dodelijk bij een kalender- of e-maildienst.

Hosting- en cloudbedrijven hebben door de aard van hun dienst een ontzettend sterke machtspositie naar hun klanten toe. Zonder de medewerking van hostingbedrijven is soms per direct geen enkele bedrijfsactiviteit meer mogelijk, zoals de rechtbank Rotterdam het in 2015 formuleerde. Dit is op zich niet nieuw: ook de nutsbedrijven die elektriciteit, water en dergelijke leveren, hebben zo’n machtspositie. Voor die partijen is echter wettelijk geregeld wanneer zij tot afsluiting mogen overgaan.

SaasPlazaBij internetdienstverleners bestaat er geen enkele bescherming. Zitten al je klantgegevens in de cloud en schort de dienstverlener de toegang op wegens jouw surseance, dan heb je pech. Een hele enkele keer lukt het bij de rechter om tijdelijke voortzetting van een dienst af te dwingen tegen betaling van een zekere vergoeding. In de Oilily-zaak moest dienstverlener SaaSplaza nog een paar dagen de toegang openzetten tot de online kalender en e-mail, zodat een doorstart niet meteen de nek om werd gedraaid. Een geschorst lid van een franchiseorganisatie kreeg in 2015 nog acht weken toegang tot het centrale facturatiesysteem om lopende zaken af te kunnen wikkelen.

Consumentenrecht

De samenvatting voor de zakelijke afnemer zou dus kunnen zijn: doe het niet, die cloud, doe het gewoon niet. Als je toch moet, maak dan back-ups en houd die in eigen beheer. En oefen een transitie naar een alternatief systeem. Je moet het zelf regelen, de wet gaat je niet helpen.

Bij consumenten ligt dit iets anders. De wet kent immers veel meer bescherming voor deze arme zielige marktpartij die zonder kennis van zaken en zonder mogelijkheid van onderzoek zaken moet doen met grote partijen die eenzijdig voorwaarden opleggen. Er is bijvoorbeeld speciale wetgeving in Boek 7 van het Burgerlijk wetboek voor zogeheten overeenkomsten voor de levering van digitale inhoud en digitale diensten tussen handelaren en consumenten, wat juridische taal is voor een clouddienst.

De definitie uit de wet luidt (art. 7:50ab lid 1 sub a BW):

overeenkomsten waarbij de handelaar digitale inhoud of een digitale dienst aan de consument levert of zich ertoe verbindt die te leveren en de consument een prijs of een digitale weergave van waarde betaalt of zich ertoe verbindt die te betalen ongeacht of de digitale inhoud of digitale dienst volgens zijn specificaties is ontwikkeld.

Dergelijke inhoud of dienst moet aan de overeenkomst beantwoorden, zo formuleert artikel 7:50ad het vervolgens. Die zin kennen we van conformiteit van gewone producten, wat mensen ook wel de ‘wettelijke garantie’ noemen. Het volgende artikel noemt een aantal criteria om te bepalen of een game voldoet:

  • wat betreft de beschrijving, hoeveelheid en kwaliteit, functionaliteit, compatibiliteit, interoperabiliteit en andere kenmerken, voldoen aan de overeenkomst;
  • van updates worden voorzien als bepaald in de overeenkomst;
  • beschikken over de hoeveelheid, kwaliteit en prestatiekenmerken, onder meer met betrekking tot functionaliteit, compatibiliteit, toegankelijkheid, continuïteit en beveiliging, waarover de digitale inhoud of digitale diensten van hetzelfde type gewoonlijk beschikken en die de consument gezien de aard van de digitale inhoud of digitale dienst redelijkerwijs mag verwachten, rekening houdend met publieke mededelingen die zijn gedaan door of namens de handelaar of andere personen in eerdere schakels van de transactieketen, in het bijzonder in reclameboodschappen of op etikettering.

Die laatste is natuurlijk interessant - hoe langer de tekst, hoe meer een jurist eruit kan halen. Die term ‘continuïteit’ gaat precies over dit soort situaties: je moet zo’n dienst kunnen afnemen gedurende de tijd die je mag verwachten bij dit soort games, dit platform, et cetera. Daarmee zijn dienstverleners als Ubisoft dus wel degelijk aan te spreken; door een deel van een game - lees: dienst - uit te schakelen of dlc - lees: inhoud - te verwijderen, voldoet de game niet meer aan wat je mocht verwachten toen je hem kocht. Ubisoft maakt dus dingen non-conform en schendt de zogenoemde wettelijke garantie.

Alleen: wat dan? Artikel 7:50ai BW noemt het in mooie juridische taal:

Beantwoordt de afgeleverde digitale inhoud of digitale dienst niet aan de overeenkomst, dan is de consument bevoegd om nakoming te eisen, de prijs te verminderen in evenredigheid met de mate van afwijking van hetgeen is overeengekomen, of de overeenkomst te ontbinden.

Je geld terug is dus een optie, al zullen weinig mensen gaan procederen over deze bedragen; deJe geld terug is dus een optie, al zullen weinig mensen gaan procederen over deze bedragen proceskosten zijn ordegroottes hoger dan de aanschafprijs. Maar je wilt eigenlijk dat Ubisoft de dlc terugzet en de server weer aanzet voor de multiplayer-optie. Juridisch noemen we dat herstel of vervanging, meer algemeen heet het gewoon nakoming. Dan kom je uit bij lid 2:

De consument is bevoegd om nakoming te eisen overeenkomstig lid 1 tenzij dat onmogelijk is of voor de handelaar onevenredige kosten met zich brengt, rekening houdend met alle omstandigheden van het geval, waaronder: a.de waarde die de digitale inhoud of digitale dienst zou hebben wanneer er geen gebrek zou zijn geweest; b.de omvang van het gebrek.

Ubisoft zal bij de online multiplayer-variant meteen wijzen op die ‘onevenredige kosten’ en vast kunnen aantonen dat gezien het aantal spelers de kosten van de infrastructuur niet meer redelijk zijn. Dat lijkt op grond van de wet een winnend argument te zijn.

Afdwingen dat die gekochte dlc gewoon blijft werken, lijkt me dan weer niet iets waar ‘onevenredige kosten’ mee zouden zijn gemoeid. Ik kan niet echt achterhalen waarom dit überhaupt nodig is, of je nog recht hebt op die dlc moet te maken hebben met een serverside-controle. Het uitzetten van die check zou de simpele oplossing zijn die Ubisoft dan moet ontwikkelen. Dat is zeker te verdedigen als ‘herstellen van het gebrek’, maar om dat af te dwingen, zal er echt een principezaak bij de rechter nodig zijn. Ik hoop dus dat er in de gamerwereld een principiële strijder is te vinden die sociale gerechtigdheid wil afdwingen.

De eula van Ubisoft is bij bovenstaand verhaal overigens volledig irrelevant, aangezien art. 7:50ap BW bepaalt dat alle bovengenoemde artikelen dwingend recht zijn en dus niet in de overeenkomst uitgesloten mogen worden. Dat Europees recht geldt, volgt weer uit andere Europese regels.

Reacties (81)

81
77
33
5
1
38
Wijzig sortering
Voor grofweg 1980 hadden we in onze samenleving praktisch gezien geen hardware en software en voerden we al onze 'dagelijkse bezigheden/werkzaamheden' niet digitaal uit.

Werken was altijd fysiek, verzet door mensen met gereedschappen en input en output in verschillende vormen: een gesprek, een brief, getypt met typemachine, een fax bericht, etc.
Deze input en output waren de data 'in transit' en 'in rest' in een fysieke wereld en werden door mensen en gereedschappen omgezet naar benodigde/gewenste output/resultaten.

Na 1980 ging iedereen in rap tempo over naar digitaal werken, met mensen, gereedschappen, een portaal (het client device) om in de digitale wereld te kunnen komen en interactief te kunnen zijn.

Waar dus vroeger noodzakelijk alles (eindeloos) werd opgeslagen in kasten, kluizen, etc. Is dat in een digitale wereld net zo: file shares, databases, etc met of zonder beveiliging.

Kijk ik dan naar het principe dat als ik iets koop voor 1980 wat gemaakt is door iemand anders, dan bezit ik het en is het volledig aan mijzelf om het goed te bewaren zo lang ik wil en dat kost mij uiteindelijk ook iets afhankelijk waar ik het bewaar en hoe delicaat het is wat er bewaard moet blijven, etc.

In een digitaal tijdperk waarbij de maker/leverancier iets maakt en er bewust voor kiest om alleen maar 1 mogelijkheid te geven dat zij degenen mogelijk kunnen zijn om hetgeen dat gekocht is op te slaan en te bewaren dat is een keuze, maar het beginsel blijft toch 'ik heb er voor betaald' en de leverancier heeft bepaald 'wij slaan het op en gaan over de toegang'.

Het plotseling onteigenen van toegang tot deze betaalde dienst, die (nogmaals) een keuze was van de leverancier, zou dan contract breuk opleveren met schade, want je bent je gekochte product kwijt.
Alsof iemand een hamer die je nodig hebt in een kluis opslaat en vervolgens kan die kluis nooit meer open, maar die hamer heb jij gewoon gekocht. Hetzelfde perspectief bij iets dat gemaakt is met die hamer wat ook in die kluis ligt en nu ontoegankelijk is, ondanks daarvoor is betaald.

Het dillema in dit onderwerp zit in lifecycle. Software (als zijnde een stuk gereedschap of speelgoed) kan potentieel eindeloos bestaan. Dat de leverancier na verloop van tijd zijn kluis wil legen om er nieuwe spullen in te kunnen stoppen die door anderen vaker gebruikt worden klinkt leuk, maar dat de leverancier wil stoppen betekent niet dat de klant geen behoefte meer heeft en dus ga je hier richting escrow, met name omdat die leverancier primair wilde dat die dienst/verantwoordelijkheid bij hem/haar lag en nu daar onderuit wil.

Voor wat betreft cloudiensten/saas/iemand anders zijn computer... Allemaal onnodig wollig. IT is echt heel basaal: Om digitaal/virtueel dingen uitvoeren mogelijk te maken (enablen) net als in de echte wereld heb je veel nodig: water, energie, wegen, kruispunten, stoplichten, etc.

In een digitale wereld is dat net zo: verkeersregelaars, agenten, ambulance, kluizen, inspecties, douane, etc en vooral ook computing power om die software (het gereedschap) digitaal te kunnen presenteren aan de (digitale) gebruiker.
Een saas dienst is praktisch gezien niets anders dan een computer (welliswaar in een hypervisor, HCI, etc) die het mogelijk maakt om 'het gereedschap' of 'spel' in een digitale/virtuele wereld te kunnen presenteren/gebruiken/beschikbaar te stellen.

De data (de output, de ondertekende facturen/brieven/polissen in multomappen in de archiefkasten) is het resultaat van het werken van mensen met die digitale gereedschappen waarmee input is verwerkt tot output in welke vorm dan ook. Een leverancier is/kan niet verantwoordelijk zijn van de data zelf (maar wel de container, digitale doos/kast/kluis welke wordt aangeboden om data op te slaan). Deze container moet het wel altijd doen. Porceleinen beeldjes in een doorweekte kartonnen doos of plakband dat los zit/verteerd kan ook resulteren in 'verlies'.
Als de leverancier ophoud met het leveren van die containers, dan is dat een vorm van contractbreuk of eenzijdige opzegging, etc.

In deze tijd dat leveranciers in de digitale wereld stappen en een dienst leveren, moet er van te voren (mogelijk wetgeving) heel duidelijk worden overeengekomen hoe lang een stuk gereedschap of speelgoed 'meegaat', daarna wordt het digitaal 'kapot' verklaard (einde lifecycle). Dat zou vooraf gezien voor heel veel wollige vraagstukken duidelijkheid geven en verwachtingen over en weer beter kunnen faciliteren. Zonder complexe juridische geschillen vanwege onduidelijkheid die mijn inziens echt niet hoeft te bestaan.

[Reactie gewijzigd door loweedje op 22 juli 2024 18:12]

Ik denk er hetzelfde over. Persoonlijke gegevens dient net zo behandeld te worden als auteursrechtelijk beschermde gegevens. Een individu is de bron van die gegevens. Zonder individu -> geen gegevens.
En die gegevens zijn geld waard.

Mijn visie op hoe de huidige manier van verwerking van data de maatschappij een stukje kapotmaakt:
We hebben toegestaan dat producten/diensten "gratis" zijn in ruil voor onze persoonlijke gegevens. "Gratis", want we betalen direct met onze gegevens, dus niet gratis. Naast dat het producten/diensten bekostigt, gaat het verder dan dat: winst. Dus naast dat onze gegevens gebruikt worden om iets te realiseren, is het ook een verdienmodel. En daar begon probleem één: doordat het geld oplevert, is het lucratief om nóg meer data te verzamelen. Méér data -> méér winst.

Dat leidt er toe dat er een velerlei aan technieken zijn ontwikkeld om ons af te luisteren/data te verzamelen. Kies maar welke uitdrukking je wil, maar ze ontlopen elkaar weinig. Naast dat er van alles bedacht is en wordt om onze gegevens te verkrijgen, worden er ook technieken ontwikkeld om die data te verwerken ("big data").

En daar komt probleem twee. De technieken om data te verzamelen, de al verzamelde data die wereldwijd is opgeslagen en de technieken om deze data te interpreteren, worden door overheden gebruikt. En ik sta in het beginsel niet wantrouwend tegen overheden, maar ik denk dat Nederland erg democratisch is, weinig corrupt en relatief hoog opgeleid. En dat schept de verwachting dat er een competente en integere organisatie is om onze data te verwerken, maar ...
Kijkend naar SyRI, dan heeft de belastingdienst flink verzaakt, door zelfs door te willen gaan met het project, terwijl al duidelijk was dat dit niet goed werkte. Uiteindelijk moet de rechter de activiteiten laten stopzetten, de belastingdienst koos hier niet zelf voor.
Dan de toeslagenaffaire. Daar zijn niet alleen maar fouten gemaakt, dat heeft er toe geleid dat ons vorige kabinet is afgetreden.

Wat mij betreft is onze maatschappij collectief incompetent: we zijn niet in staat de ernst in te zien van het verzamelen en verwerken van onze gegevens. Het steekt me als ik ergens lees "gerechtvaardigd belang": dat bestaat niet. Er is een noodzakelijk belang om data te hebben, zoals een adres om een product op te sturen, maar er is geen gerechtvaardigd belang, dat recht is al lang verspeeld.

En wat nog meer steekt: ondertussen maken politieke partijen zich nog steeds druk om de etnische samenstelling van de samenleving, iets waar de afgelopen twintig jaar weinig is in veranderd, of de samenstelling moet diverser zijn geworden. En dan zijn partijen zoals de piratenpartijen nog zelfs heel mild in hun standpunten. Ik geloof dat ik de vorige keer op de partij voor de dieren heb gestemd, ik geloof dat ze meer voor de dieren kunnen betekenen dan de andere partijen voor de burgers.

"Data is niets", het product van onze collectieve incompetentie.
Voor grofweg 1980 hadden we in onze samenleving praktisch gezien geen hardware en software en voerden we al onze 'dagelijkse bezigheden/werkzaamheden' niet digitaal uit.

Werken was altijd fysiek, verzet door mensen met gereedschappen en input en output in verschillende vormen: een gesprek, een brief, getypt met typemachine, een fax bericht, etc.
Deze input en output waren de data 'in transit' en 'in rest' in een fysieke wereld en werden door mensen en gereedschappen omgezet naar benodigde/gewenste output/resultaten.

[...]

Kijk ik dan naar het principe dat als ik iets koop voor 1980 wat gemaakt is door iemand anders, dan bezit ik het en is het volledig aan mijzelf om het goed te bewaren zo lang ik wil en dat kost mij uiteindelijk ook iets afhankelijk waar ik het bewaar en hoe delicaat het is wat er bewaard moet blijven, etc.
Ook 40 jaar geleden was niet alles fysiek.
Je had muziek LP's en boeken. De datadrager (de plaat en het boek) waren fysiek en van jouw. De inhoud mocht je alleen maar afluisteren of lezen, die was niet van jou en je kon er ook geen rechten op claimen. Je mocht met de datadrager zelf doen wat je wilde, zolang je de inhoud maar niet kopieerde.

In principe heb je nu zelfs meer flexibiliteit. Wanneer Het stukje vinyl van je LP zoek raakte, stuk ging of beschadigd raakte, kon je niet even terug naar de platenzaak voor een kosteloze vervangen, met als argument dat het je om de inhoud ging en niet om het stukje vinyl waar het op stond. Tegenwoordig 'koop' je een album online, waarna je de inhoud download op je PC, telefoon en/of muziekspeler. (In feite koop je niets, je betaalt licentierechten om de muziek af te mogen luisteren.) Wanneer je door een crash van je PC het gedownloade album kwijt raakt, heb je nog een email met een download-link om het album opnieuw op je nieuwe PC of op je telefoon te downloaden. En wanneer je door de crash ook je email archief bent kwijtgeraakt, dan heb je meestal een account bij de aanbieder van de muziek, waar de download nog beschikbaar is.
Het vervelende is dat je wel afhankelijk blijft van de aanbieder voor de beschikbaarheid. Op iTunes van Apple na, zijn volgens mij alle digitale muziekaanbieders van het eerste uur verdwenen of opgedoekt. Dubbel vervelend omdat dat ook de hoogtijdagen van DRM op muziek waren. Verdween de dienst waar je je muziek vandaan haalde, dan dan had je niet alleen geen back-up meer, maar kon je de gedownloade muziek niet meer afspelen. (En juridisch was er geen speld tussen te krijgen.) Tegenwoordig zie je gelukkig nauwelijks meer DRM op muziekbestanden die je los kunt downloaden.
Hi @Arnoud Engelfriet, interessant artikel om te weten dat er standaard juridisch niets/weinig geregeld is. Hoe zit het met contracten die bedrijven afsluiten met cloud providers, deze moeten juridisch wel afdwingbaar zijn lijkt mij. Anders is het immers onmogelijk om je diensten te outsourcen als afnemer van cloud-diensten.

Ben ik één van de weinigen die het issue niet ziet dat er standaard juridisch voor bedrijven niets/weinig geregeld is? Consumenten zijn een ander verhaal en die horen wat mij betreft juridisch juist van extra bescherming te genieten.
Als bedrijf maak je namelijk bewust de keuze om cloud diensten in te zetten voor je bedrijfsvoering. Ten allen tijde ligt alle verantwoordelijkheid voor het vertrouwelijk en veilig (laten) verwerken van de data bij jou als afnemer van de cloud. Dan is het toch ook niet meer dan logisch dat je de verantwoordelijkheid hebt om je van de juiste kennis te voorzien zodat contracten met cloudproviders gevormd kunnen worden zodat dit past voor jouw bedrijfsvoering? Je moet namelijk aan je due diligence/due care kunnen voldoen.
Denk aan zaken als:
  • vendor lock-in, bijv regelen van data-portabiliteit
  • vendor lock-out, bijv. als de cloud provider failliet gaat
  • het paraat hebben van een exit strategy voor de betreffende cloud provider. En deze uiteraard ook tot op een zeker hoogte verifieren/testen anders is het alleen een zekerheid op papier
Het hebben van deze kennis is niet anders dan met traditionele (on-premise) IT, ook daar is contract kennis voor nodig? Een contract met een cloud provider zorgt er voor dat je kennis moet hebben van een aantal extra aspecten.
Hey @Arnoud Engelfriet, ik was nieuwsgierig hoe het vorderen van data werkt door bijvoorbeeld officier van justitie, kan men dan niet aangeven dat die niet in bezit is? Geen idee hoever je strafrechtkennis reikt, misschien vordert de ovj handelingen die effectief tot de overdacht zullen leiden?
Ze kunnen op basis van een vordering data krijgen. Mijn praktijk is echter dat de procedure 'hoe' hiervoor nog niet altijd duidelijk is. Dus hoe identificeert een ambtenaar zich (met een toezichthouderpas...) dat jij als leverancier kan verifiëren. En wat voor medium wordt gebruikt? En met het vorderen van data willen ze ook wel graag iets van een datamodel omschrijving en vinden ze het erg prettig als je ook context kan geven om hun onderzoek te versnellen en voorkomen dat ze interpretatiefouten maken. De vraag is hoe ver kan je gaan als leverancier.
Dat is geen argument ben ik bang. Een officier kan je (binnen het wetboek van strafvordering) van alles bevelen, en het doet er niet toe of het dan 'eigendom' is. Dit is gewoon allemaal specifiek geregeld, zodat je de hele discussie over wat data is, niet meer nodig hebt.

Los daarvan: als je daarover moeilijk doet, nemen ze het hele rack mee want dat is wél eigendom.
Maar als al die data dan in de cloud zit kunnen ze dus niks mee nemen,

en aangezien jij niet mee hoeft te werken aan je eigen veroordeling hoef je ze toch geen toegang te geven tot jouw stukje cloud dienst ?

Men kan een vordering indienen bij een cloud dienst alleen dat process gaat heeel lang duren.

[Reactie gewijzigd door Scriptkid op 22 juli 2024 18:12]

Dat kunnen ze toch wel? Data kun je prima kopiëren.

Toegang ertoe krijgen is inderdaad procedureel een dingetje, maar de bevoegdheden zijn er gewoon dus een cloudprovider zal gewoon meewerken. En "heel lang", in mijn ervaring is dat een dag of zo míts het bevel in orde is. Er wordt echt héél vaak door Justitie van vele landen data uit de cloud uitgelezen ten behoeve van strafrechtelijk onderzoek.
Er wordt echt héél vaak door Justitie van vele landen data uit de cloud uitgelezen ten behoeve van strafrechtelijk onderzoek.
Thanks voor dat inzicht,
bij het vorderen van data is eigendom niet van belang
nou, de definities staan iets scherper, met electronisch apparaat en communicatie-middelen of zoiets. De realiteit heeft die formulering aardig achterhaald dus enige nuancering is op zijn plaats.

Bovendien, historisch gezien is eigendom soort van essentieel in bijna alle strafrechtelijke procedures. Ik ben #IANEL én niet up-to-date maar dat lijkt me niet heel hard verandert.

@Arnoud Engelfriet

[Reactie gewijzigd door Bulkzooi op 22 juli 2024 18:12]

Door Arnoud Engelfriet:
Dat data niets is, beschouw ik als het grootste juridische probleem binnen het internetrecht.
Waarom zie ik in het artikel van Arnoud nergens het woord "persoonsgegevens"?

Dat zijn, inclusief "medische-" toch ook "data"?

Ook van deze data, door o.a. Amerikanen "PII" (Personal Identifiable Information) genoemd, staat "eigenaarschap" voortdurend ter discussie (aanvulling 08:33: die link verwijst naar mijn reactie op een andere bijdrage van Arnoud over de handel in persoonsgegevens).

Met bijvoorbeeld als risico dat de CIO van VWS schrijft, met alle consequenties van dien:
Steeds vaker hoor ik mensen zeggen: ik wil eigenaar zijn van mijn medische gegevens. Ik vind dat bijzonder, en het kan ook helemaal niet.

[Reactie gewijzigd door Verwijderd op 22 juli 2024 18:12]

Ik begrijp je niet. Inderdaad zijn persoonsgegevens data, maar hoe is dat een argument in de eigendom discussie? Van persoonsgegevens ben je ook geen eigenaar, en dat kan juridisch ook niet.
Het vakgebied InformatieBeveiliging (IB) hanteert de classificaties Vertrouwelijkheid, Beschikbaarheid en Integriteit van data (ook wel CIA voor Confidentiality, Integrity en Availability).

In jouw artikel lijk je alleen aandacht te besteden aan het aspect Beschikbaarheid; ik begrijp niet waarom je die andere twee negeert.

Ik ben het volstrekt met je eens dat de huidige (stokoude) wet veel te breed interpretabel is over wie de eigenaar is van data en/of wat de bezitter daarmee kan doen en laten.

Maar als je pleit voor duidelijker wetgeving, neem dan ook die andere aspecten mee.

Aanvulling 09:21: dit geldt overigens niet alleen voor persoonsgegevens, maar voor alle data die we op "somebody else's computer" opslaan. Waaronder hoeveel virtuele wapens we in een game bezitten, maar ook foto's, dagboeken en ga zo maar door.

Aanvulling 09:00: als iets "juridisch niet kan" betekent dat wetgeving ontbreekt, moet die er gewoon komen.

[Reactie gewijzigd door Verwijderd op 22 juli 2024 18:12]

Die andere twee zijn niet relevant voor de eigendom discussie maar gewoon kwaliteit van het geleverde.

En het kan niet vanwege de fundamentele reden dat voor eigendom iets schaars moet zijn. Vrij kopieerbare data is dat niet en dat fix je niet even met een wet.
En het kan niet vanwege de fundamentele reden dat voor eigendom iets schaars moet zijn. Vrij kopieerbare data is dat niet en dat fix je niet even met een wet.
Interessante stelling. Is het bestaan van intellectueel eigendom daarmee niet in strijd, of is het daar een uitzondering op? Inhoudelijk ben ik het wel met je eens, althans deels. Intellectueel eigendom kan als ik het goed heb wel betrekking hebben op een dataverzameling, zoals een ledenlijst, maar niet op losse data, zoals de gegevens van een individu. Dus persoonsgegevens kunnen an sich geen eigendom zijn, maar een collectie daarvan wel. Het verschil is dat er werk moet worden verzet om de gegevens te verzamelen.

[Reactie gewijzigd door pmeter op 22 juli 2024 18:12]

De term "intellectuele eigendom" is een rare, want die gaat niet over eigendomsrechten maar over afweerrechten. Je bent geen eigenaar van de software die je maakt, je kunt anderen verbieden deze te gebruiken.
De term "intellectuele eigendom" is een rare, want die gaat niet over eigendomsrechten maar over afweerrechten.
Nou, dat kan wel iets specifieker. De afweerrechten confusie is met name gelokaliseerd in het distributie gedeelte, zoals bijvoorbeeld waarneembaar bij software met de GPL-licentie, wat een distributie-hack op copyright is. Copyright an sich, daarentegen, heeft een isolatie doel met een monetaire insteek.

Alle concepten zijn bruikbaar en sluiten elkaar niet uit. Er zijn sinds de Eighties zoveel copyright license ontstaan, enkele andere belangrijke zijn MIT, BSD en ook de Creative Commons. Je kan ook gewoon je eigen licentie maken, zoals bijvoorbeeld Samba en Apache gedaan hebben.
Je bent geen eigenaar van de software die je maakt, je kunt anderen verbieden deze te gebruiken.
huh? Software is gewoon onderhevig aan copyright. Dat geldt ook voor de handleiding, wat vaak een andere license is. Je hebt ook nog patenten en trademarks maar die zitten over het algemeen in binaries.

@Arnoud Engelfriet

[Reactie gewijzigd door Bulkzooi op 22 juli 2024 18:12]

En het kan niet vanwege de fundamentele reden dat voor eigendom iets schaars moet zijn. Vrij kopieerbare data is dat niet en dat fix je niet even met een wet.
Het onkruid in mijn tuin is verre van schaars, maar is helaas wel mijn eigendom. Ik geef toe dat het zich niet eenvoudig oneindig laat kopieren (alhoewel het zelfstandig wel een poging doet), maar dat is jouw punt niet volgens mij. Dus "schaars" en "vrij kopieerbaar" betekent juridisch iets meer dan ik op het eerste gezicht zou aannemen.

Mijn punt laat zich volgens mij het best illustreren met onderzoeksdata. Als een wetenschapper (die dus heel hard en creatief moet werken om hele unieke data te verzamelen) die data in een notitieboekje opschrijft dan is de wet helder. Zoals jij verderop al aangeeft: als het notietieboekje in een garagebox eindigt, dan mag de verhuurder dat notitieboekje niet zomaar weggooien. Dat verhaal wordt radicaal anders als diezelfde wetenschapper diezelfde informatie in Excel in Office365 zet: de SAAS provider kan zomaar de inhoud wegkieperen want data kent geen rechten. Tegenargument is wellicht dat je als klant zorg zou kunnen/moeten dragen voor een alternatieve kopie, maar dat is eigenlijk een deel van het aanbod (office365 backupt intern en draagt bovendien zorg voor dataretentie). Dus is het dan zo terecht dat de technische verschijningsvorm zoveel invloed op de omgang zou moeten hebben?
Maar jouw onkruid en dat notitieboekje zijn beiden een tastbaar goed en daarvoor zijn er al veel wetten die eigendomsrechten bepalen. Voor niet tastbare goederen als digitale data ontbreekt zulke wetgeving. Als ik 50 foto's maak en die in de cloud gooi dan kun je nog beargumenteren dat ik het eigendom zou moeten hebben (Je hebt trouwens geen eigendom zoals bij papieren foto's je hebt alleen de rechten om gebruik door anderen te reguleren), maar wat als ik muziek, films e.d. die door anderen zijn gemaakt in de cloud stop, of ik maak een spreadsheet welke ook al door veel anderen is gemaakt, hoe zou ik daar eigendom over kunnen hebben?

Er zijn geen simpele wetten te maken hier, er zal een zeer uitgebreide afbakening moeten komen.
Het onkruid in mijn tuin is verre van schaars, maar is helaas wel mijn eigendom.
Het is eindig en daarmee schaars. Maar volgens mij is onkruid in je tuin niet je eigendom.
Omdat het jouw tuin is kan het onkruid wel jouw verantwoordelijkheid zijn en moet je er iets tegen doen wanneer het de tuin van de buren gaat overwoekeren of volgens gemeentelijke richtlijnen het aangezicht van de straat ontsiert. Wanneer het jouw eigendom zou zijn, zou het zonder toestemming wegnemen gelijk staan aan diefstal. Dan zou ik dus veroordeelt moeten worden voor diefstal, wanneer ik iets van dat onkruid zou plukken. Dat is niet het geval.
Over onkruid in jouw tuin schreef CivLord onder meer:
Wanneer het jouw eigendom zou zijn, zou het zonder toestemming wegnemen gelijk staan aan diefstal.
Er zijn mensen die stellen dat onkruid alleen onkruid is als je het onkruid vindt. M.i. hebben zij gelijk.

Als jij brandnetels uit een tuin jat van iemand die genoemde planten heeft om er thee van te maken, is dat ordinaire diefstal (en "trespassing" - waarvoor ik geen kort NL woord ken).
"trespassing" - waarvoor ik geen kort NL woord ken.
't Is toch godgeklaagd met die anglificering van het tweakers forum.
Trespassing: kan erfvredebreuk zijn (138 Sr) of "verboden toegang" (art 461Sr) maar voor beide gelden specifieke criteria.
Om bij het notitieblokje te blijven kun je het ook zien als de assistent van de wetenschapper die in zijn eigen notitieblokje de data noteert.
Als de assistent de wetenschapper verlaat dan zou hij het notitieblokje niet hoeven afstaan aan de wetenschapper of een kopie hoeven te leveren.
Die andere twee zijn niet relevant voor de eigendom discussie maar gewoon kwaliteit van het geleverde.
Beschikbaarheid is net zo goed kwaliteit van het geleverde.
En het kan niet vanwege de fundamentele reden dat voor eigendom iets schaars moet zijn. Vrij kopieerbare data is dat niet en dat fix je niet even met een wet.
Voor auteursrecht bestaat ook een (vziw) heldere wet.
Beschikbaarheid zijn dan ook al oude documenten met ellenlange geschiedenis, zoals een SLA in de IT en met producten zoals bv. Message Queuing in Windows of D-bus in GNU/Linux gebruikt voor Messaging.

Deze Digitale Diensten discussie is een evolutie, een mash-up, maar de mededingings-jurisprudentie zit in de weg.
De fundamentele reden dat voor eigendom iets schaars moet zijn
Welke reden bedoel je? Schaarste is een gevolg. Zo ver ik weet is er maar één reden: Het bezit moet erkent worden, door een officieel erkent instituut met de juiste bevoegdheid.

[Reactie gewijzigd door Bulkzooi op 22 juli 2024 18:12]

Is hier ook niet het subtiele verschil tussen "data" en "informatie" van belang: je kunt geen eigenaar van data zijn (alhoewel de rijksoverheid soms wel spreekt van authentieke bronnen), maar bepaalde informatie dient wel vertrouwelijk of zelfs geheim te zijn, of altijd beschikbaar te zijn (zoals de dossierplicht voor medici zoals beschreven in de WGBO).
Er gelden zeker plichten voor data, maar dat is allemaal los van de eigendomsvraag. Het vervelende is vooral dat je dus álles specifiek moet regelen, bijvoorbeeld dat je bij een exit een kopie van de data moet krijgen. Bij eigendom (opzeggen contract van een garagebox) gaat dat vanzelf, het spreekt voor zich dat de inhoud van die box meegenomen mag worden. Dat soort dingen.
Er gelden zeker plichten voor data, maar dat is allemaal los van de eigendomsvraag. Het vervelende is vooral dat je dus álles specifiek moet regelen, bijvoorbeeld dat je bij een exit een kopie van de data moet krijgen.
Stel je hiermee eigenlijk ook niet dat dit een hiaat in de wetgeving is? Er soms veel arbeid verricht om bepaalde data te genereren, maar om de zaken te regelen die iedereen eigenlijk normaal zou vinden als die informatie in een fysieke klapper zou zitten, moet je eigenlijk het halve burgerlijk wetboek overschrijven om het ook zo te gaan behandelen.

Gek genoeg doen we dat al een beetje, want er is de databankenwet die soms wel weer dingen regelt, en soms zelfs zijdelings al een beetje over eigendomsrechten heeft.
Bij eigendom (opzeggen contract van een garagebox) gaat dat vanzelf, het spreekt voor zich dat de inhoud van die box meegenomen mag worden. Dat soort dingen.
Het doet me een beetje denken aan mensen die niet trouwen, maar wel de boel zo geregeld willen hebben als waren ze getrouwd geweest. Je eindigt dan in veel contractueel en administratief werk, waar één simpele andere keuze in het begin alles vrijwel automatisch op zijn plek laat vallen.

En dan vraag ik me af (net als bij die mensen die niet willen trouwen maar wel alles willen regelen overigens): wat houdt ons tegen om het anders te doen en op dat ene fundamentele uitgangspunt terug te komen? Wat gaat er mis als iemand eigendom kan claimen van (een specifieke kopie van) informatie? Komen er dan andere zaken in de knel, of is het een meer fundamenteel juridisch uitgangspunt dat ontastbare zaken geen eigendom kunnen zijn (maar patenten kunnen wel weer eigendom zijn...)?
Mijn zorg is dat als je die hiaat gaat dichten door te zeggen "data is eigendom", je meer problemen creëert dan je oplost. Kan ik dan eigendom op mijn naam claimen bijvoorbeeld, en wat betekent dat voor jou: dan mag je mijn naam niet meer noemen zonder recht van overpad of zo?

De databankenwet helpt om gegevensverzamelingen te beschermen tegen overname of hergebruik, maar vestigt geen eigendom op een verzameling. Dat is ook lastig: ik kan dezelfde databank onafhankelijk maken en zou dan het eigendomsrecht schenden? Of zijn dat twee eigendommen die identiek zijn?

Wat voegt het toe om in de Dw te zeggen "Een databank is een voorwerp van eigendom als bedoeld in artikel 5:1 BW"? Wat kun je dan doen dat je niet al kon?
Door Arnoud Engelfriet:
Mijn zorg is dat als je die hiaat gaat dichten door te zeggen "data is eigendom", je meer problemen creëert dan je oplost.
Dat geloof ik niet, maar dat kan ik niet ik op voorhand (zonder uitgebreid onderzoek) uitsluiten.

Wat ik nagenoeg zeker weet is dat gewone mensen het niet begrijpen hoe hun data niet van hen zou kunnen zijn.

Wat ik echter vermoed is dat het eigenaarschap vooral niet in het belang is van sommige effectief machtige partijen (voor een deel die zich nu al met hand en tand verzetten tegen de GDPR en landelijke implementaties daarvan).

Door Arnoud Engelfriet:
Kan ik dan eigendom op mijn naam claimen bijvoorbeeld, en wat betekent dat voor jou: dan mag je mijn naam niet meer noemen zonder recht van overpad of zo?
Als dat het beste argument is dat tegenstanders kunnen bedenken, zou zo'n wet meteen gemaakt moeten worden.

Want als bijvoorbeeld mijn fiets als twee druppels water op jouw fiets lijkt, is het nog steeds mijn fiets. Als wij ze naast elkaar parkeren en niet op slot zetten, bestaat het risico dat ik jouw fiets meeneem. Dit geldt nog sterker voor schijnbaar identieke tastbare zaken zonder iets redelijk unieks als een slot. En daar hebben we wel een eigendomswet voor.

Het is een gegeven én algemeen bekend dat de meeste namen niet uniek zijn.

Er zijn bijvoorbeeld meer mensen die "Erik van Straten" heten. Als ik onder mijn echte naam publiceer (wat ik doe) weet je nog niet meteen waar ik woon (daar kun je, met wat zoekwerk, waarschijnlijk wel achter komen), noch mijn geboortedatum en -plaats, noch mijn BSN en mijn creditcardnummer.

Door het combineren van (bedoeld identificerende of niet) gegevens kun je steeds beter aantonen dat het om data van een persoon (of organisatie) gaat.

Het verlies van of onopzettelijk corrupt raken van mijn data betekent een (vaak redelijk voorspelbaar) risico voor mij, waar ik mij ook nog eens redelijk tegen kan wapenen (back-ups en checksums). Zelfs tegen opzettelijk wijzigen bij de opslagboer kan ik mij wapenen door zelf cryptografische hashes te bewaren of door de bestanden digitaal te signeren.

Het, onbedoeld door mij, in derde handen vallen van mijn data (niet alleen gegevens die bedoeld identificerend zijn) betekent meestal een onvoorspelbaar risico voor mij, waaronder phishing, identiteitsfraude, fysieke inbraak/diefstal, bedreiging, afpersing en geweld.

Ik kan die mogelijkheden niet eens allemaal voorspellen, en ook de kans niet. En als die kans vandaag waarschijnlijk klein is, zegt dat niks over morgen en daarna.

Zeker is wel dat mijn risico's toenemen naarmate de data méér identificerend is of naarmate duidelijker uit vertrouwelijke data zou blijken dat ik zou vinden dat de boeren hun kop moeten houden.

Mogelijk interesseren de voorbeelden je die ik in deze bijdrage van eerder vandaag geef.

Edit 12:59
"Door het combineren van (identificerende of niet)" ->
"Door het combineren van (bedoeld identificerende of niet)"

[Reactie gewijzigd door Verwijderd op 22 juli 2024 18:12]

Is hier ook niet het subtiele verschil tussen "data" en "informatie" van belang [...]
Een probleem is dat er geen consensus bestaat over wat dat soort begrippen (incl. "gegevens") exact betekenen.

Soms bedoelt men met "informatie" dat data, vaak uit meerdere bronnen, is "gecombineerd" wat we ook wel "verrijkt" noemen. Maar niet altijd.

Bovendien noemen we het beestje zelden fatsoenlijk bij de naam. Waarom hebben we het over de "AVG" (Algemene Verordening Gegevens ;-) in plaats van over het m.i. veel duidelijkere "WBPG" (Wet Bescherming PersoonsGegevens) en waarom eigenlijk niet "WBPD" met de D van Data uit "GDPR" (waarin trouwens ook iets als "Personal" ontbreekt)?

En als een cloudleverancier abrupt stopt met het leveren van een dienst waar persoonsgegevens bij betrokken zijn, is -volgens de AVG- sprake van een "datelek", maar echt lekker blijkt dat ook niet uit dat woord.

Bij "data" denk ik trouwens aan digitaal, maar als je die data op papier afdrukt, wat is het dan?

Hoe langer het duurt voordat je juridisch eigenaar van jouw data (of gegevens of informatie) bent, en er ook geen andere klip en klare wet bestaat die vastlegt hoe anderen met die jouw data om moeten gaan (BIV/CIA), hoe meer slachtoffers, hoe meer verwarring en hoe moeilijker het wordt om uit dit wespennest te ontsnappen.

Als gewone mensen denken dat hun data van hen is, en juristen zich in allerlei bochten moeten wringen om uit te leggen waarom jouw data niet van jou is, waar zit dan de fout?

Wetten zijn er voor mensen en niet andersom.
Als gewone mensen denken dat hun data van hen is, en juristen zich in allerlei bochten moeten wringen om uit te leggen waarom jouw data niet van jou is, waar zit dan de fout?
Er zijn geen wettelijk vastgelegde definities van veel termen.
De wetten die rechten/eigendom omtrent data e.d. regelen moeten nog bedacht worden.
En als dat er zou zijn ontbreekt er nog jurisprudentie omtrent deze wetten over hoe ze precies geïnterpreteerd moeten worden en welke rechten/plichten er nu wel of niet voortvloeien uit zulke wetten.

Oftewel dit gaat nog jaren duren voordat iedereen weet waar die aan toe is.
Erik van Straten schreef:
Als gewone mensen denken dat hun data van hen is, en juristen zich in allerlei bochten moeten wringen om uit te leggen waarom jouw data niet van jou is, waar zit dan de fout?
Groningerkoek reageerde daarop met:
Er zijn geen wettelijk vastgelegde definities van veel termen.
Dat is nou precies een voorbeeld van een uitvlucht die juristen zouden kunnen gebruiken. Mijn antwoord daarop luidt:

Welk deel van "mijn data" begrijp je niet?

Op websites waar je iets kunt bestellen en/of een account kunt aanmaken, staat vaak boven de invulvelden:

Uw gegevens:

Waarom zouden dat, na opslag op hun server, niet meer de gegevens van de invuller zijn? Gegevens die, als de betreffende organisatie ze verkoopt of onvoldoende beschermt, evident waarde voor derden blijken te hebben? Waarbij het in andere handen vallen, in een deel van de gevallen, leidt tot onvoorspelbare risico's voor de invuller - waaronder phishing, identiteitsfraude, fysieke inbraak/diefstal, afpersing en geweld?

In jurisprudentie kun je vaak "redelijkheid" en "billijkheid" terugvinden (interessant vind ik dat de U.S. wet spreekt van Good Faith).

Als ik in "good faith" een derde mijn data laat opslaan, wat is er dan redelijk en billijk aan om te stellen dat "mijn data" juridisch niet "mijn data" zou zijn en die opslagboer ermee mag doen wat zij of hij wil?

We zouden niet eens een wet nodig moeten hebben, maar kennelijk en helaas zijn velen in onze (verdigitaliserende) maatschapij helemaal niet redelijk en billijk, noch verdienen zij "good faith".

Enkele voorbeelden

De tekst die ik nu intik en zometeen publiceer is mijn tekst. Ik heb geen contract met Tweakers en moet mij aan hun voorwaarden houden, dus neem ik het risico dat zij mijn bijdrage verwijderen of de hele site opdoeken. Een inline wijziging, waarbij het duidelijk gemaakt wordt dat niet ik dat schreef, kan ik ook mee leven. Ik zou het echter volstrekt onacceptabel vinden als mijn tekst door een moderator of andere medewerker zou worden gewijzigd zonder dat dit duidelijk is voor lezers: mijn tekst moet authentiek blijven (in elk geval opzettelijke aantasting van de integriteit, zonder toelichting, vind ik onacceptabel).

Een vergelijkbaar voorbeeld van gisteren: naar verluidt zijn op internet gepubliceerde foto's van vrouwen door een derde partij gekopieerd, min of meer bewerkt en opgenomen in een gepubliceerde poster - zonder toestemming te hebben gevraagd aan de betrokkenen.

Van één vrouw, Sian Green-Lord, is op de poster haar beenprothese verdwenen en is okselhaar toegevoegd. Als je beter kijkt zijn er nog veel meer verschillen, maar naar verluidt herkent in elk geval de vrouw zichzelf en lijdt dit op z'n minst tot emotionele schade voor haar. Het gaat hierbij dus om haar foto waarvan anderen menen dat ze deze mogen wijzigen en het resultaat publiceren, zonder haar toestemming.

Laatstgenoemd voorbeeld zou op het eerste gezicht onder de copyrightwetgeving kunnen vallen, maar dan is het denkbaar dat de foto's "voldoende gewijzigd" zijn om die wetgeving voor niet ontvankelijk te verklaren. Desalniettemin vind ik dit een soort aanranding en sowieso onacceptabel; wat is hier redelijk en billijk aan, zelfs als het ondoordacht is?

En hoe redelijk en billijk is het als zorgverleners hun medisch beroepsgeheim moeten schenden door verplicht niet geanonimiseerde medische gegevens van patiënten met de NZa te moeten delen, zodanig dat binnen de NZa voldoende informatie beschikbaar is om elk van de betrokken 800.000 GGZ patiënten uniek te identificeren (met grote risico's voor betrokkenen) én hun behandelgeschiedenis te kennen - naar verluidt om de zorg efficiënter te maken?

De praktijk is dat partijen die onze data opslaan en/of verwerken, heel andere risicoafwegingen maken dan wij doen (of zouden moeten doen). De AVG heeft aangetoond dat, indien er persoonsgegevens in het spel zijn, die risicoafwegingen door o.a. cloudproviders tot andere uitkomsten leiden; je kunt immers een flinke boete krijgen als je je niet aan de wet houdt.

Mijn conclusie is dat de AVG niet deugt op twee punten:
1) Er zijn teveel uitzonderingen;
2) Zij zou over al mijn data moeten gaan.

Al mijn data is namelijk onderdeel van mijn identiteit. Bovendien leid ik (redelijk voorspelbare) schade bij verlies en corruptie van mijn data, en onvoorspelbare schade bij het in handen van derden vallen van dat deel van mijn data dat min of meer vertrouwelijk is.

Groningerkoek schreef ook:
De wetten die rechten/eigendom omtrent data e.d. regelen moeten nog bedacht worden.
Waarom is dit niet veel eerder gebeurd? Welke lobbyisten zitten hierachter?
Simpele vraag: Mag ik jouw telefoonnummer weten?

Ondanks dat ik om jouw telefoonnummer vraag, weten we allebeide dat het nummer niet jouw eigendom is.

Je zou zelfs met het argument kunnen komen aangaande de cloud dat je betaald om eigendommen van de cloud-provider te veranderen (Het veranderen van bitjes naar de volgorde die jij wilt). Maar daarmee verkrijg jij nog geen enkel eigendomsrecht op die bitjes. En daar zit een deel van het probleem, digitale data is niet tastbaar.
Door Groningerkoek:
Simpele vraag: Mag ik jouw telefoonnummer weten?

Ondanks dat ik om jouw telefoonnummer vraag, weten we allebeide dat het nummer niet jouw eigendom is.
Wat een waardeloos argument.

Een Nederlands telefoonnummer is, binnen Nederland, een uniek identificerend persoonsgegeven (inclusief landnummer wereldwijd). Het is technisch wellicht niet mijn eigendom, maar ik heb wel het unieke gebruiksrecht.

En daarom spreekt men van mijn of jouw telefoonnummer (dat de AVG trouwens al tracht te beschermen) en niet van iets als "het telefoonnummer dat jij van Vodafone in bruikleen hebt".

Door Groningerkoek:
Je zou zelfs met het argument kunnen komen aangaande de cloud dat je betaald om eigendommen van de cloud-provider te veranderen (Het veranderen van bitjes naar de volgorde die jij wilt). Maar daarmee verkrijg jij nog geen enkel eigendomsrecht op die bitjes. En daar zit een deel van het probleem, digitale data is niet tastbaar.
Dat zijn argumenten uit de eerste helft van de vorige eeuw, en die waren al suf.

Zo is het discutabel of elk koolstofatoom in jouw botten (voorbeeld) van jou is. Die atomen bestonden al vóór jouw geboorte en zullen ook na jouw dood voortbestaan; je zou dat dus ook bruikleen kunnen noemen. Samen met andere atomen (veel H en O) vormen die atomen jouw fysieke identiteit. Zelfs als jij een been verliest door een aanrijding met een taxi en met een prothese loopt (zoals Sian Green-Lord).

En, als je het zo stelt, zou geen enkele combinatie van binaire nullen en enen waarde kunnen hebben, terwijl de huidige gedigitaliseerde maatschappij in elkaar zou donderen als wij niet massaal waarde zouden hechten aan combinaties van binaire nullen en enen.

Zoals wat jij en ik schrijven, en bijvoorbeeld het digitale certificaat waardoor ik redelijk zeker weet dat ik dit schrijf op de enige echte tweakers.net.

Edit 12:47: protese -> prothese

[Reactie gewijzigd door Verwijderd op 22 juli 2024 18:12]

Natuurlijk kan een combinatie van nullen en enen waarde hebben want dankzij auteursrecht mag jij het gebruik hiervan voor anderen beperken (en nee, auteursrecht regelt geen eigendom maar slechts gebruik door derden)

En vindt je het zelf geen grote onzin dat mijn voorbeeld volgens jou waardeloos is terwijl jij zelf komt met "Uw gegevens" als je wat op een site besteld.

En je kunt mijn ander argument suf vinden, maar het geeft wel aan waarom het zo moeilijk is om eigendom van niet tastbare dingen te definiëren in sluitende wetgeving.

Oh en:
"Zo is het discutabel of elk koolstofatoom in jouw botten (voorbeeld) van jou is. Die atomen bestonden al vóór jouw geboorte en zullen ook na jouw dood voortbestaan; je zou dat dus ook bruikleen kunnen noemen. "
Wat is daar discutabel aan? Bruikleen geeft tenzij je het filosofisch bedoelt aan dat er iemand anders eigendomsrecht heeft en daar is natuurlijk geen sprake van. Mijn botten en de stoffen waaruit ze zijn opgebouwd zijn mijn eigendom en daar is de wet zeer duidelijk in.

[Reactie gewijzigd door Groningerkoek op 22 juli 2024 18:12]

Door Groningerkoek:
Natuurlijk kan een combinatie van nullen en enen waarde hebben want dankzij auteursrecht [...]
Niet "want", want in de meeste gevallen beschermt auteursrecht mijn data niet, terwijl die m.i. wel wettelijke bescherming verdient.

Door Groningerkoek:
En vindt je het zelf geen grote onzin dat mijn voorbeeld volgens jou waardeloos is terwijl jij zelf komt met "Uw gegevens" als je wat op een site besteld.
Zo te zien begrijp je niet wat ik daarmee bedoelde. Als er staat "Uw gegevens" dan is het kennelijk nodig dat ik daaronder mijn gegevens invul, die ik in vertrouwen invul voor een door mij verwacht specifiek doel en niks anders.

Daarmee blijven het mijn gegevens die genoemde partij uitsluitend mag gebruiken voor dat specifieke doel, niet langer mag opslaan dan strikt noodzakelijk voor dat specifieke doel en redelijkerwijs moet beveiligen.

Door Groningerkoek:
En je kunt mijn ander argument suf vinden, maar het geeft wel aan waarom het zo moeilijk is om eigendom van niet tastbare dingen te definiëren in sluitende wetgeving.
Met alle respect (andere reacties van jou gelezen hebbende denk ik dat we regelmatig ruwweg op een lijn zitten).

In dit geval zie ik nauwelijks of geen steekhoudende argumenten waarom het maken van zo'n wet (noch de uitvoering ervan) "moeilijk" zou zijn, in elk geval niet "moeilijker" dan andere wetten.

Wel is zo'n wet in het voordeel van burgers en tegelijkertijd in het nadeel van machtige data hoarders (zoals Facebook en TikTok, maar ook de NZa).

M.i. is vooral ondemocratische onwil de reden dat zo'n wet er maar niet komt.
Onwil of niet (Men had hier als wetgever jaren geleden mee moeten beginnen en niet wachten tot het vraagstuk dermate groot is dat het ontbreken van wetgeving de samenleving parten gaat spelen), het is allemaal nog niet zo simpel.

Het gebruiksrecht is vrij goed gedefinieerd en in wetgeving gegoten, maar dat is een heel andere discussie dan eigendom. Stel het is eigendom en jouw bedrijf gaat failliet of je krijgt een beslaglegging van een deurwaarder dan kan men volgens heersende wetgeving eigendommen opeisen en te gelde maken om de schuldenlast te verkleinen, maar aangaande data bij een cloud voor welke data geld dit wel en voor welke niet? En geld het onderbrengen van je data bij een cloudprovider in een land welke niet meewerkt dan als het onttrekken van goederen aan je boedel? En wat aangaande bewaarplicht? Als je de huur niet betaald van een opslag dan gaat er een aardige tijd en regelgeving overheen voordat de in de woning aanwezige goederen in de container mag gooien, moet een cloudprovider jouw gegevens bewaren of een poster jouw website zelfs al stop je de betaling?

Het probleem is niet zo zeer dat het moeilijk is om data als eigendom te bestempelen, maar dat er aangaande eigendom enorm veel andere wetten zijn die daar betrekking op hebben welke niet zomaar van toepassing kunnen worden op data, en dat zul je dus allemaal moeten regelen voordat je wetten invoert.
Dank voor jouw reactie!

Ik zag zojuist dat je jouw vorige reactie hebt aangevuld:
Mijn botten en de stoffen waaruit ze zijn opgebouwd zijn mijn eigendom en daar is de wet zeer duidelijk in.
Daar heb je wellicht gelijk in.

Maar als jij bij de GGD een Coronatest laat doen, een foute GGD'er jouw DNA-bevattende sample aan een fout lab verkoopt, en dat lab uitslagen van mensen met grote kans op kortere levensduur aan hypotheekverstrekkers en levensverzekerings-maatschappijen verkoopt, mag dat dan omdat jij vrijwillig afstand van een verzameling atomen hebt gedaan?

Of blijft jouw DNA (evt. in meer of mindere mate) altijd jouw eigendom?

En dat niet vanwege de losse atomen, maar de constellatie daarvan die jou uniek identificeert en vanalles over jou en jouw gesteldheid kan prijsgeven?

In deze bijdrage stelt @Arnoud Engelfriet:
En het kan niet vanwege de fundamentele reden dat voor eigendom iets schaars moet zijn.
Los van dat dit argument op andere wijze weerlegd kan worden, zijn onze kleinste bouwstenen niet schaars, net zo min als opslagbits. Maar daar gaat het dus niet om.

Wat ik probeerde aan te geven is dat een combinatie van de kleinste bouwstenen (in een bepaalde volgorde of constellatie) een zeer veel grotere waarde (ook negatief, denk aan virussen) kan hebben dan de gesommeerde waarde van de individuele bouwstenen.

Nog even los van het feit dat als iets "leeft" we het meestal een grotere waarde vinden hebben dan op het moment dat dezelfde verzameling atomen zojuist is doodgegaan.

Als securitymensen zoals ik risicoanalyses uitvoeren, moeten wij zeker ook rekening houden met niet-tastbare zaken zoals reputatie, groeimogelijkheden, kennis en vakbekwaamheid (en opleidingsbereidheid) van personeel, maar ook het klantenbestand en ga zo maar door. Ik bedoel niet dat er op al die punten wetgeving moet komen, maar in z'n algemeenheid dat de Nederlandse wetgeving enorm achterloopt op wat we tegenwoordig van waarde vinden in onze maatschappij.

Zo te zien zijn we het erover eens dat die wet er moet komen, maar zie jij daarbij meer beren op de weg dan ik (en da's grappig, mensen zeggen nog net niet "tot beerziens" als ik vertrek).

Het probleem zijn de dwarsliggers die met m.i. soms idiote argumenten beredeneren waarom zo'n wet ongewenst is, zoals staatssecretaris van Huffelen aan de Tweede kamer schreef:
"Het is ondenkbaar en onwenselijk dat een betrokkene de zeggenschap over zijn persoonsgegevens aan een ander kan overdragen en vervolgens dus niets meer te zeggen zou hebben over zijn of haar gegevens", zo staat in een verslag van het expertpanel.
En dat is dus precies wat er zou gebeuren als jij morgen jouw persoonsgegevens met een psycholoog zou delen: tenzij jij dit weet en er expliciet bezwaar tegen maakt, moet die psycholoog (sinds 1 juli) jouw dossier delen met de NZa.

Onwenselijk blijft het, maar ondenkbaar is het absoluut niet: het gebeurt gewoon.
Maar als jij bij de GGD een Coronatest laat doen, een foute GGD'er jouw DNA-bevattende sample aan een fout lab verkoopt, en dat lab uitslagen van mensen met grote kans op kortere levensduur aan hypotheekverstrekkers en levensverzekerings-maatschappijen verkoopt, mag dat dan omdat jij vrijwillig afstand van een verzameling atomen hebt gedaan?

Of blijft jouw DNA (evt. in meer of mindere mate) altijd jouw eigendom?
Yep, ik zie veel beren. Neem dit voorbeeld.

Bij de sample draag ik eigendom van het afgenomen testmateriaal over aan de GGD, dankzij de overeenkomst en de heersende jurisprudentie zijn er allemaal beperkingen in wat zij met dat materiaal mogen doen. Wordt het materiaal misbruikt dan kan ik hierdoor veroorzaakte schade opeisen, ik kan ook eisen dat het materiaal vanwege het misbruik wordt vernietigd om toekomstig misbruik tegen te gaan, maar het is geen eigendom van mij want dan zou ik kunnen eisen dat men het aan mij afstaat. Worden echter alleen de uitslagen zonder goede grondslag verhandeld dan wordt er inbreuk gemaakt op wie welke informatie over mij mag bezitten en verwerken en daar komt al helemaal geen eigendomskwestie bij kijken.
Die quote laat wel heel mooi zien wat er mis is met het idee "eigendom": dat kun je verkopen. Als ik mijn fiets verkoop, is dat niet zo'n ramp, maar als ik mijn medisch dossier verkoop dan ben jij vanaf dan heer en meester over mijn medische gegevens. Dat lijkt me toch niet de bedoeling?

De AVG werkt daarom niet met eigendom maar zegt gewoon dat iedereen zorgvuldig met persoonsgegevens moet omgaan. Ook als je dossiers deelt of informatie aan een ander verstrekt. Dat is dan toch béter dan een eigendomsregeling?

Ik denk dat we moeten uitkijken met alle vormen van zeggenschap 'eigendom' te noemen. Eigendom is bedacht om bezit van schaarse goederen te reguleren. Goederen kun je kopen en verkopen, en het is handig als we kunnen zeggen "Deze fiets is van mij" of "dit huis is van mij wil jij de hypotheek zodat ik het kan financieren".
Arnoud Engelfriet reageerde op deze bijdrage met:
Die quote [...]
Om misverstanden te voorkomen, ik ga ervan uit dat je verwijst naar de uitspraak van een expertpanel die ik aanhaalde (bron):
"Het is ondenkbaar en onwenselijk dat een betrokkene de zeggenschap over zijn persoonsgegevens aan een ander kan overdragen en vervolgens dus niets meer te zeggen zou hebben over zijn of haar gegevens", zo staat in een verslag van het expertpanel.
Daaronder gaf ik een voorbeeld van waarom de AVG een gatenkaas is (elders in dit topic gaf ik meer voorbeelden).

De volledige eerste zin in Arnoud's reactie luidt:
Die quote laat wel heel mooi zien wat er mis is met het idee "eigendom": dat kun je verkopen.
Een Facebook account betaal je met (een deel van) jouw privacy. D.w.z. met data van en over jou (min of meer identificerend), waar je Facebook grotendeels heer en meester over maakt.

Door Arnoud:
Als ik mijn fiets verkoop, is dat niet zo'n ramp, maar als ik mijn medisch dossier verkoop dan ben jij vanaf dan heer en meester over mijn medische gegevens. Dat lijkt me toch niet de bedoeling?
Twee aspecten:

1) Het primaire probleem is dat niet jij, maar anderen, jouw medisch dossier (of andere data die van waarde is voor jou) verkopen of (al dan niet onder druk) delen met derden (zoals de NZa), potentieel of zeker in jouw nadeel.

2) Daarnaast is het denkbaar dat je mensen tegen zichzelf zou willen beschermen, maar nu zijn er ook al mensen die hun organen (zoals een nier) verkopen. Desgewenst zou de overheid dit kunnen verbieden, dus dit punt beschouw ik verder als irrelevant in deze eigendomsdiscussie.

M.b.t. de vergelijking met een fiets: jouw data is eerder een "vermogensrecht" dan een "zaak" (zie Facebook hierboven). Nb. ik ben geen jurist.

Een ander, die een snapshot (kopie op een specifiek moment) van data van jou verkrijgt, heeft daar voordeel van ten koste van een of meer nadelen (meestal bestaande uit risico's) voor jou.

Die nadelen (vaak risico's) betreffen niet alleen vertrouwelijkheid, maar ook beschikbaarheid, integriteit en authenticiteit van jouw data.

Dat is toch gewoon handel? Je raakt een deel van de waarde van jouw data kwijt, en een ander verkrijgt dat.

Dus wellicht zou een "goed', naast een "zaak" of een "vermogensrecht" ook "data" moeten zijn.

Of data zou een bijzonder vermogensrecht kunnen zijn. Nb. het gaat hierbij niet alleen om (overduidelijke) persoonsgegevens, maar alle data "van jou", d.w.z. door jou zelf "gegenereerd" maar ook verzameld. Zoals ik eerder schreef: mijn data is deel van mijn identiteit.

En daarom wil ik niet, net zoals bij mijn fiets en mijn aandelen, dat anderen daar, zonder mijn toestemming, straffeloos mee kunnen doen wat zij willen.

Inclusief, als die data op hun opslagsysteem staat, daar "zomaar" de (netwerk) stekker uittrekken.

En dat zou je zelfs kunnen doortrekken naar dat, als je betaald hebt voor "de mogelijkheid om een online spel te spelen" (of een andere dienst geleverd te krijgen), dat gebruiksrecht ook een "goed" is.

Arnoud schreef ook:
De AVG werkt daarom niet met eigendom maar zegt gewoon dat iedereen zorgvuldig met persoonsgegevens moet omgaan. Ook als je dossiers deelt of informatie aan een ander verstrekt. Dat is dan toch béter dan een eigendomsregeling?
Nee, want a) uit de praktijk blijkt m.i. dat de AVG persoonsgegevens onvoldoende beschermt en b) deze hele discussie heeft mij doen realiseren (waarvoor dank :-) dat het bij "mijn data" om meer gaat dan de AVG tracht te beschermen.
Het lastige is voor mij dat je zo het begrip "goed" (of "eigendom") op van alles plakt, waardoor het niet goed meer werkt voor waar het voor bedoeld is. Ik krijg de indruk dat je bedoeling is zodat je een steviger aanspraak tegen anderen kunt maken: "ik verbied dit gebruik van mijn data, het is mijn eigendom!" Klopt dat?

Je argument tegen de AVG zie ik niet. Alle wetgeving staat of valt met handhaving. De AVG is op papier meer dan genoeg, maar wordt niet goed gehandhaafd. Ik zie geen enkele reden waarom handhaving van eigendom makkelijker zou gaan dan handhaving van de AVG.

Wat is er "meer" uit je laatste punt?
Door Arnoud Engelfriet:
Ik krijg de indruk dat je bedoeling is zodat je een steviger aanspraak tegen anderen kunt maken: "ik verbied dit gebruik van mijn data, het is mijn eigendom!" Klopt dat?
Niet precies.

Wat ik wil is dat, indien/omdat ik mijn data (ongeacht of en in hoeverre identificerend) bij een cloudprovider opsla of mijn zieleroerselen + persoonsgegevens deel met een psycholoog, in de wet staat dat het te allen tijde mijn data is en blijft, en dat die cloudprovider en psycholoog daar niets anders mee mogen doen dan redelijkerwijs door mij kan worden verwacht.

Dus geen idioterie als stilzwijgende opt-out zoals de NZa doet, of een Ubisoft die eenzijdig de stekker eruit trekt, of Meta en zorgverleners die denken dat zij met data van patiënten mogen doen wat zij willen, gesteund door het feit dat die data geen eigendom van die patiënten zou zijn.

M.i. niet toevallig omdat Ron Roozendaal, CIO van VWS, schrijft Eigenaarschap van gegevens bestaat niet, meent de NZa (vallend onder VWS), het medisch beroepsgeheim te kunnen schrappen, naar verluidt conform de AVG.

Kortom, mijn data, toevertrouwd aan een dienstverlener, blijft te allen tijde mijn data.

Ook als iemand die data zo (beperkt) verandert dat het duidelijk nog om mijn data gaat (vergelijkbaar met dat sommigen met neural hashes willen aantonen dat het om hetzelfde kinderporno-beeldmateriaal gaat dat enigszins is gewijzigd). Als ik mijn auto voor een beurt naar de garage breng en een monteur er een enorme deuk in rijdt en de hele auto in een andere kleur overspuit, blijft het ook mijn auto.

M.b.t. schaarsheid:

Hoewel al mijn data bij elkaar "schaars" is (en dat hopelijk ook geldt voor uniek identificerende gegevens van mij, maar steeds minder wordt naarmate meer partijen menen daarover te moeten "beschikken") is het een drogreden dat eigendom schaars zou moeten zijn.

Als ik bij AH boodschappen doe is daar zelden iets schaars. Maar na het afrekenen zijn er gewoon producten van eigenaar verwisseld. En bijv. graan is ook niet altijd schaars. Schaarsheid drijft de prijs op, maar is m.i. overduidelijk geen bindende voorwaarde voor eigenaarschap.

Door Arnoud Engelfriet:
Wat is er "meer" uit je laatste punt?
Je zou ook mijn bijdragen helemaal kunnen lezen voordat je erop reageert.
Je zou ook mijn bijdragen helemaal kunnen lezen voordat je erop reageert.
Dit vind ik flauw. Het is heel normaal dat je in een discussie elkaar niet helemaal begrijpt, daarom discussieer je verder en vraag je om verduidelijking. Ik krijg dit soort reacties alleen van mensen die hun eigen gelijk willen halen en niet openstaan voor discussie. Ik haak af en verzoek je niet meer op mij te reageren of mij te taggen.
Dit vind ik flauw. Het is heel normaal dat je in een discussie elkaar niet helemaal begrijpt, daarom discussieer je verder en vraag je om verduidelijking. Ik krijg dit soort reacties alleen van mensen die hun eigen gelijk willen halen en niet openstaan voor discussie.
Jammer. Ik doe mijn uiterste best om met steekhoudende argumenten te komen.

Ik heb het, zeker in mijn laatste bijdragen, voortdurend over al mijn data die ik met anderen moet delen of door anderen op laat slaan (inclusief wat ik nu schrijf). Dus niet uitsluitend wat onder de AVG, noch in z'n algemeenheid, onder persoonsgegevens wordt verstaan.

Dat zal best een revolutionaire verandering zijn, maar wat ons sinds het begin van internet is overkomen, vind ik ook een revolutionaire verandering.

Voordat internet er was hadden we geen issues die goed vergelijkbaar zijn met de zaak Ubisoft. Als je aan de hand van de AVG Ubisoft voor de rechter had kunnen slepen, was je, naar ik aanneem, dit topic niet begonnen.
Is hier ook niet het subtiele verschil tussen "data" en "informatie" van belang: je kunt geen eigenaar van data zijn (alhoewel de rijksoverheid soms wel spreekt van authentieke bronnen), maar bepaalde informatie dient wel vertrouwelijk of zelfs geheim te zijn, of altijd beschikbaar te zijn (zoals de dossierplicht voor medici zoals beschreven in de WGBO).
Het verschil tussen "data" en "informatie" is niet subtiel; da's keihard. Bovendien:
  • Het eigenaarschap van data in database zit al lang in de Nederlandse wetgeving. Nederland was hier zelfs wereldwijd kartrekker in.
  • Authentieke bronnen heeft betrekking op herkomst en vertrouwelijk of zelfs geheime informatie is ook al zo oud als Metusalem, via o.a. briefgeheim of bijvoorbeeld de crypto standaarden. En vertrouwelijkheid komt bijvoorbeeld ook terug in de liefde en tussen peuters die de concepten data en informatie niet eens snappen. Of bij dieren, en niet enkel die als koppel of als soortgenoten leven/interacten.
  • Verder kan data geen informatie worden zonder archivering dus bv. ambtenaren zijn onderhevig aan dossierplicht. De welbekende rompslomp van de overheid/overhead, waar ze zelfs reclames voor maakten waarin ze beloofden beter werk te gaan leveren.
Qua rechtsgeldigheid zijn er door de eeuwen heen zo vele oplossing gemaakt: Kaarsvet stempels, inkt stempels, watermerk, graveren, gedichten reciteren, bijten, wapens, symbolen, bloedband, handtekening, paraaf, crypto-token, etc. Wat het beste is, dat ligt echt een beetje aan de omstandigheden. De meest gebruikelijke toepassing qua beoordeling van rechtsgeldigheid blijft toch de kritische blik, gevolgd door een razendsnelle & cortex-brede print-out exposure over de beoordeling-synapsis.

@Arnoud Engelfriet

[Reactie gewijzigd door Bulkzooi op 22 juli 2024 18:12]

@Arnoud Engelfriet
Ik begrijp je niet. Inderdaad zijn persoonsgegevens data, maar hoe is dat een argument in de eigendom discussie? Van persoonsgegevens ben je ook geen eigenaar, en dat kan juridisch ook niet.
Nou, een eigendom staat ergens geregistreerd op een #ID. En het internetrecht? Is dat een nieuw wetboek?

[Reactie gewijzigd door Bulkzooi op 22 juli 2024 18:12]

Waar staat eigendom geregistreerd? Niet in het wetboek.

Internetrecht is het rechtsgebied dat de botsingen bestudeert tussen de grondrechten van de informatiemaatschappij die veroorzaakt worden door innovaties of regulering op internetgebied.
Juridisch is er geen onderscheid tussen een clouddienst en andere periodieke of structurele dienstverlening, zoals de postbezorging of de bezorging van de wekelijkse boodschappen.
Is dit zo? Want recente uitspraken spreken ook van een "Bijzondere zorgplicht", zeker omdat voor een SAAS of cloud-dienst je als afnemer zeer afhankelijk bent van je leverancier en het ondoenlijk is om binnen een maand én een vervanger te selecteren én de migratie af te ronden. Zie bijvoorbeeld de casus ANVA/Stepco: hier werd de leverancier/hoster verboden zomaar eenzijdig op te zeggen en moest men meewerken aan een exit-plan. In een rechtszaak waar ik zelf onderdeel van was is datzelfde argument gebruikt: als je als organisatie volledig afhankelijk bent van de bedrijfsvoering van een partij, dan kun je als leverancier je niet zomaar terugtrekken, dan moet je een redelijke transitie waarborgen.
Klopt van die zorgplicht. Mijn punt was, het is dienstverlening (overeenkomst van opdracht) en geen productlevering. Dus verwacht niets dat je bij producten zou verwachten.
SAAS Zorgplicht ivm afhankelijkheid
Juridisch is er geen onderscheid tussen een clouddienst en andere periodieke of structurele dienstverlening, zoals de postbezorging of de bezorging van de wekelijkse boodschappen.
Als je naar het laatste nieuws kijkt, dan zijn vendor's juist allemaal hardware en software aan het integreren. Microsoft al bijvoorbeeld sinds de Surface (al veel eerder natuurlijk) en bv. Google al sinds de Nexus (onder de Motorola vlag). Dit is natuurlijk al een mededingingsprobleem (o.a. browser, mediaplayer en virusscanner) tussen de EU en de Amerikaanse Bigtech van voor Nelie Smit-Kroes. Amazon focused'te eerste op lowend e-tablet (Amazon Fire, met OS en hun Prime-downloadwinkel voor in de USA maar die gaan nu met Philips Healthcare de koopkracht van de Europese burger aanvallen.
https://tweakers.net/nieu...zakelijke-gebruikers.html
RefReact: 17770322 :: Interference
Maar die zorgplicht zou in een goed functioneerde markt overbodig zijn; meestal is er dan overspannenheid door te weinig concurrentie waardoor de monopolist (of duo-polist) narcistische trekjes krijgt. Ik zie zelf ook algoritmische en logische truuks van vendor's om hun gebruikers "verslaafd" te maken.

De welbekende spreekwoordelijke sugar-tax, ook een regelmatig wederkerend fenomeen in de marketing, bekent als buyers-remorse waar internet vol mee staat. In de liefde zie je het ook veel, over-pretendatatie met een afbuigende presentatie-curve.

O+ liefde O+ een van de laatste markten met weinig overheidsbemoeienis hoewel ze natuurlijk al heel diep in het spirituele & privacy domein zitten wat niet zo lang geleden als absoluut privé werd behandelt. Zeker als de gordijnen dicht waren. Twitter is een key-player (of een pawn om de publieke opinie te beïnvloeden?) geworden in deze sector, waarbij de liefdes-markt per definitie aardig overgevoelig is.

@Arnoud Engelfriet

[Reactie gewijzigd door Bulkzooi op 22 juli 2024 18:12]

Ik durf dat toch te betwijfelen. Ik snap dat digitale producten in ons fysieke bestaan op meerdere manieren kunnen worden geinterpreteerd. Maar digitaal of fysiek: iemand heeft iets gemaakt. En hetgeen dat is gemaakt in geval van cloud diensten, bestaat uit assets: wat elementair weer software en hardware componenten zijn. Deze zijn gemaakt en daarmee worden diensten geleverd.
Net als een timmerman met een hamer, voor jou iets in elkaar kan timmeren.
In digitaal perspectief koop je een digitale hamer (software) waarmee je zelf digitaal kunt hameren. Of je betaalt voor een digitale hamer (als saas) en eventueel als dat geautomatiseerd betaal je praktisch gezien voor een digitale timmerman die zelf een hamer regelt ergens en jij betaalt zodat 'hij' voor je hamert.

Maw. Ik ben zeer verdeeld over het feit dat ik niet hetzelfde van een digitaal product mag eisen/verwachten als consument, wanneer en dit is cruciaal 'het mij ontnomen wordt door degene die ik betaald heb om het te mogen gebruiken'. Dat de vorm waarin hij het mij in staat stelt voor hem redelijkerwijs te duur is, mag ik dan als consument niet verwachten dat hij er alles aan doet om een alternatief te organiseren? Bijv het uitzetten van een check, het offline mogelijk maken, opensource maken. Ik kan het nog maar eens benadrukken: het gaat eigenlijk niet om het product zelf de game of de DLC. Het gaat om het wegnemen van het medium/middel om bij het product te kunnen komen. Daar heeft de leverancier zelf voor gekozen en kan dan blijkbaar beroepen op 'onredelijke kosten' maar dat is eenzijdig. De koper lijdt ook een vorm van onredelijkheid die niet evenredig wordt behartigd. Er volgt geen enkele vorm van compensatie of alternatief en dat mag momenteel blijkbaar.

[Reactie gewijzigd door loweedje op 22 juli 2024 18:12]

Mooi artikel en ook steeds relevanter! Veel organisaties blijven door standaard inkoopvoorwaarden vasthouden aan een ESCROW, terwijl dat niet meer past.

Wellicht nog een paar aanvullingen vanuit eigen ervaring. Op het moment dat je een Stichting Continuïteit wil oprichten zal je gebruik moeten maken van een 3 partijen overeenkomt (klant/leverancier/stichting) en de stichting zal een leverancier onafhankelijk bestuur moeten hebben. De overeenkomst zal dus aangepast moeten worden (met terugwerkende kracht als je ermee start). En je moet niet vergeten dat een stichting ook failliet kan gaan. Echter je kan als leverancier ook zonder de stichting al continuiteit inregelen met behulp van een bankgarantie/vooruitbetaling ter waarde van x maanden hosting, wat veelal de belangrijkste financiele afhankelijkheid is voor je ICT dienst. Echter wel voor het gebruik in specifiek het geval van faillissement. Dit kan vaak al voldoende zekerheid bieden.

Als het ICT bedrijf hosting inkoopt kan een stichting werken, maar als een leverancier enkel housing inkoopt en zelf eigenaar is van de servers/hardware, dan wordt het lastiger. Dat moet je op het moment van oprichten van de stichting eigenlijk de helft van de (redundante) infrastructuur verkopen aan de stichting continuiteit en terug leasen. Anders zou deze infrastructuur binnen de boedel vallen en heb je nog geen continuiteit geborgd. Dan is ook meteen de vraag: Hoe komt de stichting aan voldoende middelen? Al met al een complex (juridisch) onderwerp waar nog weinig over bekend is.
Goed artikel en leef er reeds decenia naar.
Cloud is vooral handig als je verbinding hebt en een one source principe erop na houd. Echter een back-up < vooral een richtings verkeer is essentieel voor het geval een partij ermee op houd. (nieuws: Amazon stopt vanaf 2024 met cloudopslagdienst Drive) heb dit meerdere malen gelezen dat "betrouwbare" partijen er gewoon mee stoppen.
Alle tech bedrijven zijn op de een of andere manier gestopt met cloud. Er was altijd transitie nodig na beeindigen van een service. De techniek gaat veel te snel op dit gebied en vooral de verander drift.
Vandaar dat ik dit zelf regel en cloud is mijn dagelijkse platform (onedrive).
Mijn thuis server back-up s'nachts onedrive (voor elk familie lid) en schuif dit in mijn server door naar een archief schijf. 2x per jaar max, zet ik het koud weg op een andere lokatie.
Bij een nieuwe apparaat gaat standaard de documentatie/foto's/muziek map naar lokale opslag (eenrichtings verkeer). Verander ik wat aan mijn administratie is de weg dus > onedrive , lokaal volgt automatisch.
Je moet een autist zijn wil je dit vol houden en nooit wat kwijt raken.
Veel mensen kiezen voor gemak en dat doet vroeg of laat een keer pijn.
Een top-artikel, dank hiervoor! Dit zou er eentje moeten zijn die niet achter een betaalmuur zit, maar op een grote poster huis-aan-huis verspreid. Weinig bedrijven beseffen hoe kwetsbaar ze zichzelf maken door op dienstverlening over te schakelen voor bedrijfskritische processen.
Aan de belofte van efficiëntie en kostenbesparing kan nog een apart artikel gewijdt worden, ik zie nu al regelmatig bedrijven terugkomen van het eerdere directiebesluit dat 'we naar de cloud' moeten. Vaak is de mate van innovatie en dynamiek bepalend of cloud een verstandige keuze is, niet het vergelijk van de factuur voor dezelfde mogelijkheden on-prem of in een cloud.

Het advies om zelf een een backup te regelen is me uit het hart gegrepen! Bij ons is de 3-2-1 regel (3 kopieën van je data, waarvan 2 backups op verschillende media, waarvan 1 off-site en gelocked) heilig. Off-site is vanuit het perspectief van een SaaS dienst dus buiten de omgeving van de SaaS aanbieder. On-prem dus, of als je toch all-cloud wil, bij een andere cloud aanbieder.

Wel een vraag: Misschien onderbelicht, zelfs al heb je een methode om data van een SaaS dienst in eigen handen te houden, vaak is deze in proprietary format voor die dienst. Encryptie, DRM of een obscuur dataformat kunnen gebruik buiten de SaaS dienst onmogelijk maken. Als je contractueel een overeenkomst hebt dat je recht hebt op een kopie van je data, kan je dan ook afdwingen dat deze data met algemene middelen te benaderen is?
Enkele zaken die zouden kunnen problematisch zijn wanneer juridisch gezien data niet meer niets is, is dat niet alle data even belangrijk is en dat er normering moet zijn over hoe je met die data moet kunnen omgaan als dan wel dienstverlener als consument van die dienst.

Bijvoorbeeld zou men wetgeving kunnen maken die stelt dat steeds volgens een bepaalde normering met de data moet omgesprongen kunnen worden, na einde en tijdens dienstverlening. Die normering zou bv. kunnen zijn:
  • a) Men moet d.m.v. sftp (dus een open protocol) aan de data kunnen
  • b) De data moet gemarkeerd zijn als data die valt onder de noemer bv. 'dat wat zonder fouten moet beschikbaar zijn'
  • c) De juistheid van de data moet verifieerbaar verzekerd zijn.
Technisch zou men dan bv. een md5sum file kunnen hebben, zoals die Robots.txt werkt, in directories om de files (b) te markeren (met eventueel een extra column indien er meer instructies nodig zijn) voor zulke data, zodat de tools van de dienstverlener (c) kunnen verifiëren en aanbieden d.m.v. (a) na einde dienstverlening. ISO documentje maken dat dit beschrijft, en vermelden in de wet.
freaxje schreef:
Enkele zaken die zouden kunnen problematisch zijn wanneer juridisch gezien data niet meer niets is, is dat niet alle data even belangrijk is en dat er normering moet zijn over hoe je met die data moet kunnen omgaan als dan wel dienstverlener als consument van die dienst.
Die normering bestaat, dat noemen we classificatie: BIV staat voor de mate van Beschikbaarheid, Integriteit en Vertrouwelijkheid.

Belangrijk daarbij is in elk geval:
1) Wie classificeert de data;
2) De lifecycle (de weersverwachting van gisteren is hooguit interessant voor bijvoorbeeld diegenen die achteraf willen uitzoeken hoe goed de voorspelling klopte en eventueel waarom niet).

Overigens splits ik "beschikbaarheid" bij voorkeur op in "bereikbaarheid" (kan ik er nu bij) en "onmisbaarheid" (heb ik een archief in een kluis, eerstvolgende werkdag toegang is prima).

Onder Integriteit vallen, wat mij betreft, niet eventuele inhoudelijke kwaliteitseisen (zoals "juistheid" en "volledigheid") op het moment dat de auteur (of de laatste bewerker) opslaat. IB gaat m.i. over het beschermen van "bestaande" informatie (en/of data en/of gegevens), inclusief het voorkómen dat deze door ongeautoriseerden wordt gewijzigd (dus niet hoe data door geautoriseerden wordt gewijzigd - dat kun je nl. zelden geautomatiseerd vaststellen).

Verwant (deels overlappend met) Integriteit is Authenticiteit, waarvan de eerste letter m.i. onterecht ontbreekt in "BIV".

Integriteit (d.w.z. geen beschadigingen, zoals gaten in je broeikas na een hagelbui) heeft overlap met beschikbaarheid: aan een opslagprovider die goedkope SSD's gebruikt, waardoor in een onvoorspelbaar deel van de bestanden "gaten" (gevuld met hexadecimaal 0 of FF en een "gatgrootte" van meestal 512 bytes of een meervoud daarvan) ontstaan, heb je weinig tot niets.

Oftewel, wat we nodig hebben is letterlijk een AVG - maar nu voor al onze data.

freaxje schreef ook:
Bijvoorbeeld zou men wetgeving kunnen maken die stelt dat steeds volgens een bepaalde normering met de data moet omgesprongen kunnen worden, na einde en tijdens dienstverlening.
Als data een eigenaar zou hebben, zouden dezelfde wettelijke basisregels kunnen gelden als voor "spullen" die je door een derde laat bewaren (denk aan een caravanstalling, bankkluisjes of grote containers van bedrijven als shurgard).

Daarbij heb ik allesbehalve de illusie dat er dan niks mis kan gaan, maar ik verwacht dan vaker te zien dat je die spullen kunt verzekeren tegen verlies of beschadiging (met waarschijnlijk belangrijke kleine lettertjes in de meeste voorwaarden).

Oftewel, er kunnen veel misverstanden (maar zeker niet alle) worden weggenomen als "mijn data" dezelfde wettelijke bescherming geniet als "mijn fiets" in bijvoorbeeld een betaalde en bewaakte fietsenstalling, of "mijn auto" bij een failliet gegaan of afgefikt garagebedrijf, of "mijn geld" op "mijn" bankrekening.

freaxje schreef verder:
Die normering zou bv. kunnen zijn:
  • a) Men moet d.m.v. sftp (dus een open protocol) aan de data kunnen
  • b) De data moet gemarkeerd zijn als data die valt onder de noemer bv. 'dat wat zonder fouten moet beschikbaar zijn'
  • c) De juistheid van de data moet verifieerbaar verzekerd zijn.
Ik vermoed dat dit veel te gedetailleerde eisen zijn. Zoals Arnoud schrijft is het zeer verstandig om, te allen tijde, een eigen, zo actueel mogelijke, back-up van je belangrijkste data te hebben.

Dat wil niet altijd zeggen dat je daar veel aan hebt (denk aan een multiplayer game die je niet meer kunt spelen).

Ik zou op z'n minst wettelijk geregeld willen zien dat "jouw data", die je in vertrouwen met een organisatie hebt gedeeld voor een specifiek doel, nooit zonder jouw expliciete toestemming (mits deze zonder druk kan worden en wordt gegeven) mag worden verkocht of weggegeven aan derden, ook niet door een curator als een bedrijf failliet is. Dat vind ik belangrijker dan beschikbaarheid.

freaxje schreef:
Technisch zou men dan bv. een md5sum file kunnen hebben, zoals die Robots.txt werkt, in directories om de files (b) te markeren (met eventueel een extra column indien er meer instructies nodig zijn) voor zulke data, zodat de tools van de dienstverlener (c) kunnen verifiëren en aanbieden d.m.v. (a) na einde dienstverlening. ISO documentje maken dat dit beschrijft, en vermelden in de wet.
In de eerste plaats kun je zelf de data die jij opslaat digitaal signeren of versleutelen met integriteitscontrole (lastig bij dynamische databases, hoewel maatregelen op record-niveau mogelijk zijn) en bijhouden welke bestanden je allemaal waar hebt opgeslagen.

Maar nogmaals, maak ook zelf tijdige back-ups en/of snapshots.

De dienstverlener zou, om te kunnen bewijzen dat zij aan haar (overeengekomen of zelf opgelegde) verplichtingen voldoet, een manifest kunnen maken (in elke map of van een tree), vergelijkbaar met manifests in Android APK files. Je weet dan ook wie een bepaalde toestand heeft vastgesteld.

Lastiger is het overigens om achteraf te bewijzen wanneer dat manifestbestand gemaakt is, anders dan dat bestand na elke update naar de klant te sturen (en de klant de ontvangst te laten bevestigen).

Ten slotte: je moet nooit meer md5sum (of SHA1) gebruiken, omdat het te eenvoudig is om twee verschillende bestanden te maken die dezelfde MD5 of SHA1 hash opleveren. Hoewel de kans klein lijkt dat iemand vanaf de klantzijde zo'n speciaal gemanipuleerd bestand uploadt, en iemand aan de opslagzijde dat vervolgens vervangt door een ander bestand met dezelfde hash, is de meerprijs die je betaalt door een niet gekraakte cryptografische hash te gebruiken klein dat je genoemd risico, hoe klein ook, nooit wilt lopen.

Edits 15:03: aanvulling over integriteit = deels beschikbaarheid en bovenaan "Authenticiteit" -> "Vertrouwijkheid".

[Reactie gewijzigd door Verwijderd op 22 juli 2024 18:12]

n de eerste plaats kun je zelf de data die jij opslaat digitaal signeren of versleutelen met integriteitscontrole (lastig bij dynamische databases, hoewel maatregelen op record-niveau mogelijk zijn) en bijhouden welke bestanden je allemaal waar hebt opgeslagen.
Zelf ja, maar wat ik belangrijk vind is dat de rechtbank deze integriteitscontrole erkent en dat deze juridisch bruikbaar is: m.a.w. beste mevrouw de rechter, dit is de integriteitscontrole van het originele bestand. Nadat ik van de dienstverlener mijn bestanden heb kunnen recoveren was dit de integriteitscontrole van hun bestand. De twee komen niet overeen. En daarom heeft de dienstverlener haar contract met mij niet nageleefd en is er juridisch voor mij de mogelijkheid om een schadevergoeding te eisen. Dat de dienstverlener dit niet kon weten is dan ook quatsch want die integriteitscontroles kunnen in de tooling van de dienstverlener (eenvoudig) verwerkt worden. Een dienstverlener die dat niet doet is dan zelf en op eigen initiatief incompetent bezig geweest (en verdient het eigenlijk, en ook eenvoudigweg, om zware boetes en schadevergoedingen te moeten gaan betalen aan consumten aan wie de dienstverlener bepaalde normen en normering beloofde).

M.a.w. we sluiten de prutsers uit en we maken een level playing field gebaseerd op minimale technische eisen die ook juridisch erkend worden en door de rechtbanken gebruikt worden.

Dat we zelf nog steeds backups horen te maken mag dan wel zo zijn. Maar dat doet volgens mij maar weinig ter zake. Misschien hebben we bv. thuis niet de middelen die de dienstverlener wel heeft (we hebben niet zo'n grote opslagcapaciteit, of zo - doet er niet toe wat). We hebben immers afspraken gemaakt met de dienstverlener. En de dienstverlener heeft beloftes gedaan. En dus wanneer die beloftes niet waar bleken te zijn, is er sprake van schade. En dus schadevergoedingen (ongeacht we zelf iets wel of niet gebackupped hebben).
De dienstverlener zou, om te kunnen bewijzen dat zij aan haar (overeengekomen of zelf opgelegde) verplichtingen voldoet, een manifest kunnen maken (in elke map of van een tree), vergelijkbaar met manifests in Android APK files. Je weet dan ook wie een bepaalde toestand heeft vastgesteld.

Lastiger is het overigens om achteraf te bewijzen wanneer dat manifestbestand gemaakt is, anders dan dat bestand na elke update naar de klant te sturen (en de klant de ontvangst te laten bevestigen).
En ik pleit er dus voor om dat 'manifest' te standarizeren opdat het kan gebruikt worden in een rechtzaak.
Ten slotte: je moet nooit meer md5sum (of SHA1) gebruiken, omdat het te eenvoudig is om twee verschillende bestanden te maken die dezelfde MD5 of SHA1 hash opleveren. Hoewel de kans klein lijkt dat iemand vanaf de klantzijde zo'n speciaal gemanipuleerd bestand uploadt, en iemand aan de opslagzijde dat vervolgens vervangt door een ander bestand met dezelfde hash, is de meerprijs die je betaalt door een niet gekraakte cryptografische hash te gebruiken zó klein dat je genoemd risico, hoe klein ook, nooit wilt lopen.
Prima, dan gebruiken we SHA1+x en dan standarizeren we het op zo'n manier dat wat er gebruikt moet worden de laatste standaard hoort te zijn (voor die checksums).

[Reactie gewijzigd door Verwijderd op 22 juli 2024 18:12]

De samenvatting voor de zakelijke afnemer zou dus kunnen zijn: doe het niet, die cloud, doe het gewoon niet. Als je toch moet, maak dan back-ups en houd die in eigen beheer. En oefen een transitie naar een alternatief systeem.
Vanuit juridisch perspectief is dit heel begrijpelijk. De consequentie is echter dat je van alle cloud innovaties als organisatie alleen de intersectie van alle features van je cloud provider en je alternatief kunt gebruiken. Alleen dan kun je een transitie testen.

Dus als je onafhankelijk wil zijn kun je bijv wel kubernetes gebruiken, maar niet die nieuwe closed source database die zo lekker schaalt.

Het is mijns inziens daarom een afweging tussen een continuïteit-risico en innovatiesnelheid.

Op dit item kan niet meer gereageerd worden.