Heb jij een interessante vraag op het snijvlak van privacy, cybersecurity en recht? Stuur je vraag naar juridischevraag@security.nl. Elke week geeft ict-jurist Arnoud Engelfriet in deze rubriek antwoord.

Juridische vraag: Buitenlandse media melden dat termen als "malicious" of "threat" in de context van virusbestrijding feitelijke uitspraken zijn en daarmee potentieel smaad kunnen opleveren. Wat zal dit betekenen voor de antimalwareindustrie?

Antwoord: Recent heeft het Amerikaanse Hof van Beroep (9th Circuit) inderdaad zolets geoordeeld. Antimalwarebedrijf Malwarebytes had de software van haar concurrent Enigma een "potentially unwanted program" genoemd, maar ook "malicious". Waarop Enigma naar de rechter stapte wegens smaad. Dat kan in Amerika ook bij een zakelijke uitspraak, maar men hanteert daar wel een streng onderscheid tussen opinies en feitelijke uitspraken. "Bevat cryptominingsoftware" is een feitelijke uitspraak, "traag" is een opinie.

Malwarebytes heeft dit soort zaken vaker gehad; in 2020 wonnen ze nog een rechtszaak tegen softwarebedrijf Asurvio (PC Driver) met als argument dat het gewoon hun mening is dat bepaalde software kwaadaardig is. Maar in de Enigma-zaak oordeelde de rechter eerder anders: omdat Enigma een concurrent is, is het denkbaar dat de mening van Malwarebytes ingegeven is door commerciële motieven in plaats van gewoon hun mening, en dat is niet eerlijk naar de markt toe.

De zaak is nu door het Hof terugverwezen naar de rechtbank voor een hernieuwde feitelijke beoordeling. Maar let wel: het Hof heeft niet gezegd dat de terminologie smadelijk is of niet meer gebruikt mag worden. Het oordeel is alleen dat het denkbaar is dat deze termen als feitelijk opgevat worden in de context van een mededeling van antimalwaresoftware. En dat is een factor bij het beoordelen van commerciële uitingen als oneerlijke reclame of misleiding van de consument.

In Nederland kennen we niet zo'n hard onderscheid tussen feiten en meningen. In de VS is een mening gewoon te allen tijde beschermd, vandaar de discussie hoe je "kwaadaardig" of "bedreiging" moet opvatten. Bij ons is "ik vind" er voor zeggen niet genoeg. Eventuele feitelijke aspecten van je uiting moeten gewoon kloppen of onderbouwd zijn, bijvoorbeeld met een methodologie waarbij je van "vrijwel onschuldig" naar "het grootste kwaad sinds het Cascade-virus" (plaatje) gaat met criteria.

Dit vereiste wordt sterker naarmate je meer als een autoriteit wordt gezien. Dus een willekeurige securityresearcher die een stuk software "kwaadaardige rotzooi" noemt in een boze tweet, dat zal geen problemen geven, maar wanneer het gaat om een officiële security advisory van een toonaangevend antivirusbedrijf dan moet die term wel ergens op gebaseerd zijn.

Arnoud Engelfriet is Ict-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. Hij schreef twee boeken, De wet op internet en Security: Deskundig en praktisch juridisch advies.