image

Juridische vraag: is spyware illegaal?

woensdag 22 augustus 2012, 10:02 door Arnoud Engelfriet, 22 reacties

Heb jij een uitdagende vraag over beveiliging, recht en privacy, stel hem aan ICT-jurist Arnoud Engelfriet en maak kans op zijn boek
"Security: Deskundig en praktisch juridisch advies".

Vraag: Onlangs installeerde ik een gratis stuk software, en elke keer als ik dat gebruikte, merkte ik dat mijn modem actief werd. Ik heb toen een netwerksniffer geïnstalleerd en ik zag dat de software op de achtergrond allerlei gegevens verstuurde. Ik heb de leverancier hierop aangesproken, want dat is dus spyware. Maar zij zeggen dat het legaal is omdat ik in de gebruiksvoorwaarden toestemming heb gegeven hiervoor. Er staat "The software contains an internet-enabled module that may collect and transmit aggregated data to improve the workings of our software. By using the software, you consent to this collection and transmission." Mag dat zomaar?

Antwoord: Dat mag wel, maar niet zomaar. Software zoals deze wordt inderdaad spyware genoemd. Spyware geeft stiekem gegevens over de gebruiker of diens PC door aan derden. Zo zijn er programma’s die het surfgedrag van gebruikers bijhouden en dat doorgeven naar een centrale site, die zo passende advertenties kan aanleveren.

Spyware ligt juridisch in een grijs gebied. Het mag, maar de software moet voorafgaand aan installeren wel duidelijk melden wat er precies gaat gebeuren. En het is niet genoeg om dat alleen in de algemene voorwaarden (EULA) te doen. Hoewel EULA's juridisch bindend zijn, eist de wet meer dan alleen een contract: het moet "duidelijk en nauwkeurig" gemeld worden op “voldoende kenbare wijze”. Oftewel het moet als bulletpoint in de installatieprocedure naar voren komen, en je moet dan nog de gelegenheid krijgen om "nee" te zeggen en de installatie te annuleren.

In 2010 werd een OPTA-boete van bijna een miljoen euro grotendeels in stand gehouden. Het ging om "silent installs" van software die op de achtergrond allerlei informatie verzamelde. Dat was in strijd met de Telecommunicatiewet.

Arnoud Engelfriet is ICT-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. Hij schreef twee boeken, De wet op internet en Security: Deskundig en praktisch juridisch advies.

Reacties (22)
22-08-2012, 10:32 door Mysterio
Vaak lost men dit netjes op door het nog even apart te vermelden of de gebruiker nog een keer extra op 'akkoord' te laten drukken. De meeste mensen boeit het toch niet en drukken standaard op akkoord. Het lijkt mij dat er dan alsnog voldoende gegevens binnen komen om de informatie te verzamelen die blijkbaar nodig is.
22-08-2012, 10:41 door Arnoud Engelfriet
Het apart vermelden en vragen om akkoord is genoeg inderdaad. Maar het mag dus niet verstopt zijn in kleine lettertjes of bijlagen, het moet pontificaal in beeld.
22-08-2012, 11:56 door Bitwiper
Door Arnoud Engelfriet: Vraag: Onlangs installeerde ik een gratis stuk software
[...]
Hoewel EULA's juridisch bindend zijn, eist de wet meer dan alleen een contract: het moet "duidelijk en nauwkeurig" gemeld worden op “voldoende kenbare wijze”.
[...]
Is er bij gratis software sprake van een contract?
22-08-2012, 12:03 door Ron Janson
Door Bitwiper:
Door Arnoud Engelfriet: Vraag: Onlangs installeerde ik een gratis stuk software
[...]
Hoewel EULA's juridisch bindend zijn, eist de wet meer dan alleen een contract: het moet "duidelijk en nauwkeurig" gemeld worden op “voldoende kenbare wijze”.
[...]
Is er bij gratis software sprake van een contract?
Is er bij acceptatie van EULA's niet sowieso sprake van een eenzijdige overeenkomst?
22-08-2012, 12:11 door Arnoud Engelfriet
Een contract komt tot stand door aanbod en aanvaarding (6:217 BW). Het is niet nodig dat beide partijen iets doen onder het contract. Een schenking is bijvoorbeeld ook een contract (7:175 BW) terwijl daar per definitie maar één partij iets doet. Bij een EULA wordt je een licentie aangeboden, die accepteer je door op "Ik accepteer" te klikken.

Een contract mag eenzijdig door een partij worden gedicteerd; het is legaal om te zeggen "slikken of stikken" (behalve als je een hele dominante marktpartij bent, dan moet je met meer dingen rekening houden). Wel is er de bescherming dat algemene voorwaarden (wat EULA's zijn) niet onredelijk bezwarend mogen zijn, op straffe van vernietigbaarheid.
22-08-2012, 12:59 door Bitwiper
@Arnoud: dank voor jouw antwoord!

Toch ben in ik verwarring. Mijn gevoel is dat er bij een contract sprake is van twee (of meer) partijen die onderling iets overeenkomen.

Ik dacht (kennelijk onterecht) dat daar een zekere interactie, zoals een betaling, voor nodig was (mijn beeld wordt versterkt door http://en.wikipedia.org/wiki/Contract en http://nl.wikipedia.org/wiki/Overeenkomst, in die laatste zie vooral ook het plaatje http://commons.wikimedia.org/wiki/File:Handshake.jpg).

Als ik je goed begrijp is het dus zo dat als ik, al dan niet bewust, akkoord ga met de gebruiksvoorwaarden door bijv. een GNU open source programma te starten dat op een CDROM bij een tijdschrift stond, ik op dat moment niet alleen de "GNU General Public License" accepteer, maar ook meteen een contract heb afgesloten?

Zo ja, met wie dan?
22-08-2012, 14:05 door Anoniem
"Is er bij gratis software sprake van een contract?"

Het is een rechtsgeldige overeenkomst. Dat je geen geld hoeft te betalen doet daar helemaal niets aan af.

"Is er bij acceptatie van EULA's niet sowieso sprake van een eenzijdige overeenkomst?"

Hoezo eenzijdig ? Het lijkt me eerder een wederkerige overeenkomst. Jij stelt dat je je aan de voorwaarden houdt, en de leverancier stelt dat je daarom van hun produkt of dienst gebruik mag maken.
22-08-2012, 14:48 door [Account Verwijderd]
[Verwijderd]
22-08-2012, 16:09 door Arnoud Engelfriet
@Bitwiper: In het Engelse en Amerikaanse recht is dat anders, daar is inderdaad een tegenprestatie zoals betaling ("consideration") nodig alvorens je een contract hebt. Een schenking is daar een eenzijdige rechtshandeling en geen contract, wat dus betekent dat je neit via contractbreuk kunt eisen dat men alsnog je schenkt wat er is toegezegd.

De vraag is bij ons natuurlijk wel óf je akkoord gaat door iets te doen. Als ik zeg "door te reageren op deze reactie gaat u ermee akkoord mij 100 euro te geven" dan is dat niet bindend. Maar bij het installeren van software sluit je inderdaad een contract met de softwareleverancier, waarvan de inhoud bepaald wordt door de EULA.

Interessant wordt het als je éérder al had betaald voor de download (of CD). Want je kunt ook goed zeggen dat het aanbod toen werd gedaan, zodat men nu te laat is met de EULA.
22-08-2012, 16:28 door Anoniem
hoe doen grote bedrijven dit zoals blizzard met warden?

je gaat hier ook mee akkoord in de ToS en EULA maar er wordt niet aangegeven wat het precies gaat doen en wanneer.
Is dit dan rechtsgeldig?
22-08-2012, 16:57 door Mysterio
Door unbalanced:
Door Arnoud Engelfriet: Een contract komt tot stand door aanbod en aanvaarding (6:217 BW). Het is niet nodig dat beide partijen iets doen onder het contract. Een schenking is bijvoorbeeld ook een contract (7:175 BW) terwijl daar per definitie maar één partij iets doet. Bij een EULA wordt je een licentie aangeboden, die accepteer je door op "Ik accepteer" te klikken.

Een contract mag eenzijdig door een partij worden gedicteerd; het is legaal om te zeggen "slikken of stikken" (behalve als je een hele dominante marktpartij bent, dan moet je met meer dingen rekening houden). Wel is er de bescherming dat algemene voorwaarden (wat EULA's zijn) niet onredelijk bezwarend mogen zijn, op straffe van vernietigbaarheid.

Wat had ik kunnen doen toen ik pasgeleden Steam weer eens opstartte en met een nieuwe overeenkomst werd geconfronteerd waarbij ik automatisch instem met het niet zullen deelnemen aan een class-action case tegen Valve.

Als ik niet geaccepteerd had, kon ik niet meer bij mijn (onder andere voorwaarden) gekochte spellen. Bedrijven hebben gewoon 'schijt' om het grof te zeggen.
Ja, die is grappig. Valve is niet de enige die dit doet. EA, Microsoft en te veel bedrijven om op te noemen proberen hiermee weg te komen. Is het legaal? Dat is moeilijk te zeggen. Als eerste kun je als gebruiker claimen dat je geen onderhandelingspositie hebt, dus wanneer er iets wordt ge-eist je geen mogelijkheid hebt om daar tegenin te gaan en dus de keuze hebt om of akkoord te gaan of het product niet meer kunnen gebruiken.

Hoe dan ook: Lang leve de EU! Je kunt je recht om te procederen niet opgeven hier door op akkoord te klikken.
22-08-2012, 17:33 door [Account Verwijderd]
[Verwijderd]
22-08-2012, 17:48 door Bitwiper
@Arnoud: dank voor ook deze reactie. Ik ga er denk ik toch nog wat beter op letten. Ter info, enkele zaken die mij opvallen:

1. Abobe Flash
Bij elke handmatige Flash Player update moet ik een vinkje zetten bij "I have read and agree to the terms of the Flash Player License Agreement", daaronder staat een clickable link naar de online license (voor een schermshot zie http://helpx.adobe.com/flash-player/kb/installation-problems-flash-player-windows/_jcr_content/main-pars/procedure_2/proc_par/step_8/step_par/image.img.png/license_agreement.png).

Als ik de emergency Flash updates van gisteren download (bijv. http://download.macromedia.com/pub/flashplayer/current/support/install_flash_player_ax.exe) of bijv. van een CD installeer op een PC zonder internet verbinding, kan ik die license agreement dus niet lezen.

Nu is dat een beetje flauw, want aan Flash heb je niet heel veel zonder internetverbinding. Maar toch, waarom zit die EULA niet gewoon bijgepakt? (die paar kB op een bestand van 10MB maakt nou ook niet zo heel veel uit). Dan zou Adobe deze ook niet zomaar voor bestaande distributies kunnen wijzigen (zie de reactie van Unbalanced over Steam hierboven).

Daarnaast zijn er zoveel updates dat Adobe mijns inziens niet redelijkerwijs van de gebruiker mag verwachten dat deze de EULA leest bij elke update. Maar het is natuurlijk denkbaar dat je zo een wijziging van de EULA mist...

Terzijde: In de instructies in http://helpx.adobe.com/flash-player/kb/installation-problems-flash-player-windows.html staat, iets over de helft van de pagina, direct na de download instructies:
Select the check box to indicate that you have read and agree to the terms of the license agreement and click Install.
Lezen is kennelijk toch niet verplicht om het vinkje te mogen zetten? Hoezo discrepantie tussen wat de jurist vond dat er in de dialogbox moet staan en wat de helpdesk vind dat je moet doen... ;)
2. Naar huis (of een ander!) bellen door bijv. Firefox, NoScript en McAfee
Als ik Mozilla Firefox installeer krijg ik daar (ongevraagd) Google Safe Browsing bij cadeau. Dat betekent dat "mijn" Firefox webbrowser, bij elke website die ik bezoek, op z'n minst de hostname (en mogelijk de volledige URL) aan Google vertelt. Ook NoScript doet zoiets (bellen naar informaction.com). McAfee kan via 2 methodes "naar huis bellen", SiteAdvisor en DNS. Allemaal zaken waarvan zeker niet bovenin de EULA staat dat er allerlei gegevens over mijn surfgedrag over het internet vliegen naar partijen die (op dit moment nog?) te goeder trouw zijn en deze gegevens uitsluitend voor de beveiliging van mijn PC gebruiken. Ik vermoed echter dat genoemde partijen meer doen met die gegevens. Ik kan alleen maar hopen dat mijn gegevens geanonymiseerd worden. En dat iemand "sorry" zegt als dit niet zo blijkt te zijn en ze op dropbox verschijnen...

3. EULA's pas leesbaar na installatie
Ik heb zo snel geen voorbeelden, maar ik kom regelmatig programma's tegen waarbij EULA's en "readme first" instructies pas zichtbaar zijn nadat je de software hebt geïnstalleerd. Freeware blijkt vaak (en soms totaal onaangekondigd) "testware" of "demoware" te zijn en, na een bepaalde periode, nog maar deels of geheel niet te werken of het blijkt toch om shareware te gaan.

Als de regeltjes vooraf niet duidelijk zijn en/of ik wil weten wat er op mijn PC gaat gebeuren zodra ik setup.exe start, gebruik ik vaak 7Zip (of InnoUnp) om die setup.exe uit te pakken en te kijken wat de makers allemaal bedacht hebben. Dit soort onderzoekjes zijn echter, vermoed ik, maar aan weinigen voorbehouden.

Conclusie
Kortom, ik begrijp dat in het Nederlandse recht, ook bij gratis software, sprake is van een contract. Het lijkt mij dat dit betekent dat er niet alleen plichten voor de gebruiker zijn, maar ook voor de maker en/of leverancier! De vraag is natuurlijk of dit geen wassen neus is als het enige "contract" een EULA bestandje ergens op Internet is, en het nagenoeg onmogelijk is om een leverancier op bijv. fouten in de code aan te spreken.

Ik denk dan bijv. aan "gratis" software die system DLL's overschrijft door oudere versies waardoor andere software niet meer werkt, of adware die blijkt te barsten van kwetsbaarheden waardoor PC's gecompromitteerd worden. Bij die adware heb je, als gebruiker, "betaald" door naar advertenties te kijken (vergelijkbaar met commerciële TV) - maar krijgt er in de geschetste situatie een ondeugdelijk product voor terug - waardoor je aantoonbaar schade oploopt. Waar kun je met je schadeclaim naar toe?

Maar ik denk ook ook aan Flash Player (al jaaaaaaaren een vulnerability Emmentaler). Het verdienmodel van Adobe lijkt gebaseerd op de verkoop van de software om content mee te produceren, bekijken is "gratis". Who is to blame voor de lekke Fash player: Adobe? Of Microsoft omdat ze in de eerste versies van MSIE een Flash plugin vóórinstalleerde en ons zo een defacto standaard door de strot heeft geduwd? Of webmasters die kwijlen van Flash en je dwingen, onder het mom dat Flash een defacto standaard is, Flash te installeren omdat hun site anders niet werkt? Of alle gebruikers die hier nooit bezwaar tegen hebben gemaakt?

Voor bijv. Adobe Reader, Sun/Oracle Java en Apple QuickTime gelden natuurlijk vergelijkbare verhalen.
23-08-2012, 02:11 door Anoniem
Antwoord: Dat mag wel, maar niet zomaar. Software zoals deze wordt inderdaad spyware genoemd. Spyware geeft stiekem gegevens over de gebruiker of diens PC door aan derden. Zo zijn er programma’s die het surfgedrag van gebruikers bijhouden en dat doorgeven naar een centrale site, die zo passende advertenties kan aanleveren.


lekker dan
23-08-2012, 16:21 door Anoniem
"Antwoord: Dat mag wel, maar niet zomaar. Software zoals deze wordt inderdaad spyware genoemd. Spyware geeft stiekem gegevens over de gebruiker of diens PC door aan derden. Zo zijn er programma’s die het surfgedrag van gebruikers bijhouden en dat doorgeven naar een centrale site, die zo passende advertenties kan aanleveren. "

Stiekem ? Alleen als je (zoals bijna iedere gebruiker) de EULA niet leest, en blindelings op ja klikt. Men vertelt je wat ze gaan doen, je gaat er expliciet mee akkoord, en achteraf noem je het dan stiekem.

Ik vind het net zoiets als een Facebook account openen, akkoord gaan met het feit dat dat impliceert dat FB je informatie gebruikt t.b.v. commerciele doeleinden, en dan achteraf gaan zeuren dat ze je privacy schenden wanneer ze precies datgene doen waarvoor je zelf toestemming hebt gegeven.

Mensen kunnen ook wel een ophouden altijd in een slachtoffer rol te duiken. Iedereen wil gratis diensten gebruiken, maar als de aanbieders van die diensten dan doen wat ze je van te voren vertellen dan zijn het schoften die je privacy schenden.

Maak dan geen gebruik van dergelijke software of diensten zou ik zeggen.
23-08-2012, 18:24 door Arnoud Engelfriet
De Nederlandse wet zegt in dit geval expliciet dat er duidelijk moet worden gemeld wat de software gaat doen. Een zin in een EULA voldoet niet aan dat criterium. Het wordt wel gemeld maar niet duidelijk. En dus mag het niet.
23-08-2012, 21:29 door swake
Onlangs installeerde ik een gratis stuk software, en elke keer als ik dat gebruikte, merkte ik dat mijn modem actief werd. Ik heb toen een netwerksniffer geïnstalleerd en ik zag dat de software op de achtergrond allerlei gegevens verstuurde. Ik heb de leverancier hierop aangesproken, want dat is dus spyware.

Ik denk dat hier een kleine vergissing is. Je installeert nieuwe software. De software gebruikt services op de achtergrond die je kan in- en uitschakelen. Uitschakelen zou ik zeker niet aanbevelen omdat er dan geen updates meer worden uitgevoerd.
Via deze services word de software up to date gehouden. Spyware is een stukje software dat door kwaadwillenden op je computer word genstalleerd. Spyware behoort tot de categorie malware of wat ook malafide software word genoemd.
26-08-2012, 12:25 door cjkos


Als ik niet geaccepteerd had, kon ik niet meer bij mijn (onder andere voorwaarden) gekochte spellen. Bedrijven hebben gewoon 'schijt' om het grof te zeggen.

De wet stelt dat een EULA jouw wettelijke rechten NIET kan beperken of wettelijke rechten mag ontzeggen. Vaak staat er ook een bepaalde aanvullende regels in dat zo'n regeltje teniet doet door te verwijzen naar lokale wetgeving.

Overigens is een class action iets anders dan gewoon je recht halen, het betekend dat meerdere personen hun recht willen halen. Ik weet het niet zeker, maar volgens mij is dit een typisch Amerikaans iets.
26-08-2012, 12:27 door cjkos
Door swake:
Onlangs installeerde ik een gratis stuk software, en elke keer als ik dat gebruikte, merkte ik dat mijn modem actief werd. Ik heb toen een netwerksniffer geïnstalleerd en ik zag dat de software op de achtergrond allerlei gegevens verstuurde. Ik heb de leverancier hierop aangesproken, want dat is dus spyware.

Ik denk dat hier een kleine vergissing is. Je installeert nieuwe software. De software gebruikt services op de achtergrond die je kan in- en uitschakelen. Uitschakelen zou ik zeker niet aanbevelen omdat er dan geen updates meer worden uitgevoerd.
Via deze services word de software up to date gehouden. Spyware is een stukje software dat door kwaadwillenden op je computer word genstalleerd. Spyware behoort tot de categorie malware of wat ook malafide software word genoemd.

Hangt af wat er verzameld wordt. Als het gegevens verzamelt over hoe je speelt, hoe vaak je speelt etc, geen probleem.

Maar als het daarnaast gegevens gaat verzamelen uit je contactenlijst en je surfgeschiedenis die niets met het spel te maken hebben is het een ander verhaal.
31-08-2012, 15:11 door Anoniem
Ik heb altijd begrepen dat een EULA in Nederland in principe rechtsgeldig is, maar enkel indien ik er ook daadwerkelijk mee akkoord ga door op "Ik ga akkoord" te klikken. En dat de Nederlandse wet toestaat dat ik legaal verkregen software standaard mag gebruiken wanneer er geen contract of EULA van toepassing is. Dus als ik de software kan installeren zonder op "Ik ga akkoord" te klikken (en zonder te hacken), is sowieso helemaal niets wat in de EULA staat geldt. Klopt dat, of is dat een fabeltje?
31-08-2012, 21:07 door Arnoud Engelfriet
De wet eist niet dat men per se een klik geeft op een knop. De wet eist dat je akkoord gaat en dat ergens uit laat blijken. Software in gebruik nemen zónder de EULA-doorklik zou er ook onder kunnen vallen (*) Net zoals je akkoord gaat met huisregels door naar binnen te gaan, ook zonder dat je op het bordje klopt of je handtekening zet ten teken dat je dat gezien hebt.

(*) Er is discussie want er is ook een wettelijk gebruiksrecht, dus software in gebruik nemen dat binnen die grens valt, kun je dan moeilijk zien als akkoord op de EULA.
31-08-2012, 23:33 door Anoniem
Bedankt voor de uitleg, en voor de juiste term. Gebruik dat buiten het wettelijk gebruiksrecht valt, maar door de EULA wordt toegestaan, kan worden gezien als blijk van akkoord? Dat klinkt in ieder geval logisch.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.