Mag antivirussoftware dingen nog wel “kwaadaardig” noemen?
Heb jij een interessante vraag op het snijvlak van privacy, cybersecurity en recht? Stuur je vraag naar juridischevraag@security.nl. Elke week geeft ict-jurist Arnoud Engelfriet in deze rubriek antwoord.
Juridische vraag: Buitenlandse media melden dat termen als "malicious" of "threat" in de context van virusbestrijding feitelijke uitspraken zijn en daarmee potentieel smaad kunnen opleveren. Wat zal dit betekenen voor de antimalwareindustrie?
Antwoord: Recent heeft het Amerikaanse Hof van Beroep (9th Circuit) inderdaad zolets geoordeeld. Antimalwarebedrijf Malwarebytes had de software van haar concurrent Enigma een "potentially unwanted program" genoemd, maar ook "malicious". Waarop Enigma naar de rechter stapte wegens smaad. Dat kan in Amerika ook bij een zakelijke uitspraak, maar men hanteert daar wel een streng onderscheid tussen opinies en feitelijke uitspraken. "Bevat cryptominingsoftware" is een feitelijke uitspraak, "traag" is een opinie.
Malwarebytes heeft dit soort zaken vaker gehad; in 2020 wonnen ze nog een rechtszaak tegen softwarebedrijf Asurvio (PC Driver) met als argument dat het gewoon hun mening is dat bepaalde software kwaadaardig is. Maar in de Enigma-zaak oordeelde de rechter eerder anders: omdat Enigma een concurrent is, is het denkbaar dat de mening van Malwarebytes ingegeven is door commerciële motieven in plaats van gewoon hun mening, en dat is niet eerlijk naar de markt toe.
De zaak is nu door het Hof terugverwezen naar de rechtbank voor een hernieuwde feitelijke beoordeling. Maar let wel: het Hof heeft niet gezegd dat de terminologie smadelijk is of niet meer gebruikt mag worden. Het oordeel is alleen dat het denkbaar is dat deze termen als feitelijk opgevat worden in de context van een mededeling van antimalwaresoftware. En dat is een factor bij het beoordelen van commerciële uitingen als oneerlijke reclame of misleiding van de consument.
In Nederland kennen we niet zo'n hard onderscheid tussen feiten en meningen. In de VS is een mening gewoon te allen tijde beschermd, vandaar de discussie hoe je "kwaadaardig" of "bedreiging" moet opvatten. Bij ons is "ik vind" er voor zeggen niet genoeg. Eventuele feitelijke aspecten van je uiting moeten gewoon kloppen of onderbouwd zijn, bijvoorbeeld met een methodologie waarbij je van "vrijwel onschuldig" naar "het grootste kwaad sinds het Cascade-virus" (plaatje) gaat met criteria.
Dit vereiste wordt sterker naarmate je meer als een autoriteit wordt gezien. Dus een willekeurige securityresearcher die een stuk software "kwaadaardige rotzooi" noemt in een boze tweet, dat zal geen problemen geven, maar wanneer het gaat om een officiële security advisory van een toonaangevend antivirusbedrijf dan moet die term wel ergens op gebaseerd zijn.
Arnoud Engelfriet is Ict-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. Hij schreef twee boeken, De wet op internet en Security: Deskundig en praktisch juridisch advies.
:-)
Als je als klant een contract afsluit met zo'n antivirus leverancier en daarbij overeenkomt dat die leverancier jou voorziet
van waarderingen van software zoals jij die graag krijgt, dan kan die leverancier die jou toch geven?
Het is niet dat ze dit in de krant zetten of op TV roepen, het gaat om communicatie met hun klanten.
(zelfs als die zoals hier gebruikelijk de mening is "geen geld betalen maar zelf het product zijn")
Als ik jou (Arnoud Engelfriet) inschakel voor advies over een bepaalde leverancier, bijvoorbeeld voor ik daar mee in zee
ga, en jij vertelt me "zou ik niet doen want zo te zien doet die leverancier rare dingen" dan kan die leverancier jou daar
toch ook niet op aanspreken of je dat verbieden?
Volgens mij maakt de wet daar geen onderscheid in. (maar ik ben geen jurist)
40 jaar geleden zou je het 'volledig doorslaan' noemen, nu is het nieuwe nederland...
wen er maar vast aan, anders wordt je gerecycled of eindig je als de bottom 90%, zonder ziektenkostenverzekering, zonder huis en geen internet
40 jaar geleden zou je het 'volledig doorslaan' noemen, nu is het nieuwe nederland...
wen er maar vast aan, anders wordt je gerecycled of eindig je als de bottom 90%, zonder ziektenkostenverzekering, zonder huis en geen internet
Wat heeft dit schrijfsel nou weer met het onderwerp te maken??? Het past op security.nl ja. Maar niet in dit onderwerp.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Information Security Officer (Operationele Techniek)
bij HHNK
Heb jij een passie voor informatiebeveiliging en wil je jouw expertise inzetten in een organisatie met impact? Solliciteer nu! Bij HHNK hechten we veel waarde aan de veiligheid van onze informatie en systemen. Met een breed scala aan operationele techniek (OT) voor onze taken, is het essentieel om deze veilig te houden.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.