Wie is eigenaar van de data van je Tesla-auto?

| AE 6816 | Innovatie | 2 reacties

tesla-app-data-eigendomElon, ik wil mijn data! Dat blogde ene Espen Andersen (via) naar aanleiding van zijn pogingen om inzage te krijgen in de data die het bedrijf Tesla centraal opslaat over het rij- en parkeergedrag van zijn auto. Je zou zeggen, zijn auto == zijn data, maar zo werkt het niet volgens Tesla: alleen met gerechtelijk bevel kan er inzage gekregen worden.

Data is op zich niets. Ook al verkrijgt een bedrijf data dankzij jouw input hulp, je kunt er niet zomaar een eigendomsrecht op claimen of een kopie van verlangen. (Heel misschien als de data jouw creatieve schepping is, dan zou je auteursrecht kunnen claimen.)

Hier gaat het echter om een specifiek soort data: persoonsgegevens. Data over waar je auto heen gereden is, zegt iets over jou. En wanneer data iets over een persoon zegt, is die data een persoonsgegeven. En dan zijn er meer mogelijkheden.

Iedereen die persoonsgegevens verwerkt, is verplicht daar inzage in te geven wanneer de betrokken persoon zich meldt. Dat staat in alle Europese privacywetten, waaronder onze Wbp in artikel 35:

1. … De verantwoordelijke deelt de betrokkene schriftelijk binnen vier weken mee of hem betreffende persoonsgegevens worden verwerkt.

2. Indien zodanige gegevens worden verwerkt, bevat de mededeling een volledig overzicht daarvan in begrijpelijke vorm, een omschrijving van het doel of de doeleinden van de verwerking, de categorieën van gegevens waarop de verwerking betrekking heeft en de ontvangers of categorieën van ontvangers, alsmede de beschikbare informatie over de herkomst van de gegevens.

Dat van dat ‘schriftelijk’ is wat vervelend, maar op grond van artikel 37 mag je ook in andere vorm (dus elektronisch bijvoorbeeld) het overzicht verstrekken mits een “gewichtig belang” dat eist.

Formeel is er dus geen discussie: als meneer Andersen dat wil weten, dan moet Tesla hem inzage geven in wat ze weten en dat “volledig overzicht daarvan in begrijpelijke vorm” geven. Alleen – welk Tesla? De Noorse vestiging of het Amerikaanse bedrijf dat de servers opereert waar de data naartoe gaat? Ik denk dat als je de wet letterlijk leest, je vrij snel in Amerika uitkomt en het valt niet mee Amerikaanse bedrijven aan Europese wetten te houden.

In de Google-vergeetrechtzaak bepaalde het Hof van Justitie dat Google Spanje verantwoordelijk is voor zoekresultaten door Google Inc met als motivatie dat die Inc uit Californië zo moeilijk aan te pakken is. Daar zit wel wat in maar het voelt wat geconstrueerd. Diezelfde redenering zou je dan hier toepassen om Tesla Noorwegen te dwingen met die data over de brug te komen. Ik hoop dat meneer Andersen hier een punt van gaat maken.

Arnoud

Nederland mag gegevens blijven uitwisselen met NSA

| AE 6828 | Beveiliging, Privacy | 4 reacties

prismDe Nederlandse inlichtingendiensten AIVD en MIVD mogen gegevens blijven uitwisselen met de Amerikaanse NSA, las ik bij Nu.nl. In een loei van een vonnis bepaalt de rechtbank Den Haag dat de samenwerking met buitenlandse inlichtingendiensten een dringende noodzaak in de zin van het Europees Verdrag voor de Rechten van de Mens oplevert, op grond waarvan grondrechten geschonden mogen worden. Verschillende burgers en organisaties hadden de rechtszaak aangespannen tegen de Staat naar aanleiding van de Snowden-onthullingen over grootschalig gebruik van data door de Amerikaanse NSA.

Allereerst is er een stuk discussie over óf deze burgers en organisaties wel een rechtszaak mogen beginnen. Je kunt niet zomaar naar de rechter, je moet wel een “redelijk belang” hebben zoals de wet dat noemt. En dat belang moet wel over jou gaan. Als mijn buurmans auto bekrast wordt, kan ik niets eisen. Hier erkent de rechter dat dat het geval is: de burgers (waaronder Rop Gonggrijp, Brenno de Winter en Mathieu Paapst) hebben een meer dan gemiddelde kans

dat zij door hun activiteiten een gevaar voor de nationale veiligheid zouden kunnen opleveren en derhalve op grond van de Wiv 2002 onderwerp zouden kunnen zijn van onderzoek door de diensten.

Het zal je maar gezegd worden.

Afijn. De inhoudelijke discussie is een stuk lastiger. De grootschalige uitwisseling van persoonsgegevens levert juridisch gezien een schending van de privacy op, en die is beschermd in het Europees Verdrag voor de Rechten van de Mens (EVRM) en het Internationaal Verdrag inzake Burgerrechten en Politieke Rechten (IVBPR). Ook is dit te rekenen onder de informatievrijheid, het beschermen van je bronnen is daar voor journalisten deel van.

Het grootste probleem zit hem in het ‘witwassen’ van gegevens: de NSA verkrijgt gegevens langs illegale weg, en verstrekt ze dan via het uitwisselingsprogramma aan de Nederlandse AIVD die dan vrolijk kan zeggen ze legaal van een buitenlandse partner verkregen te hebben.

Hoewel de NSA in principe legaal handelt naar Amerikaans recht, en er uitgebreid imbedding en controle is binnen het Amerikaanse rechtssysteem, moet er rekening worden gehouden met de mogelijkheid dat de diensten in het kader van de internationale samenwerking gegevens ontvangen die zijn verzameld op een wijze die niet in overeenstemming is met het EVRM en IVBPR. Die verdragen eisen allereerst een duidelijke wettelijke basis, daarna een legitiem doel en vervolgens een noodzakelijkheidstoets – moet dat nou écht op deze manier, kan het niet een onsje minder.

In een uitspraak van het Europese Hof voor de Rechten van de Mens (de hoogste privacyhandhaver, niet te verwarren met het Europese Hof van Justitie) is bepaald dat voor legaal aftappen duidelijk moet zijn:

the nature of the offences which may give rise to an interception order; a definition of the categories of people liable to have their telephones tapped; a limit for the duration of telephone tapping; the procedure to be followed for examening, using and storing of the data obtained; the precautions to be taken when communicating the data to other parties; and the circumstances in which recordings may or must be erased or the tapes destroyed.

Dit geldt ook voor ongericht aftappen van personen. Maar het grootschalig in bulk vergaren van data zoals de NSA doet, is nóg een stapje verder en de rechtbank wil er niet aan dat ook dáár zulke specifieke grenzen moeten worden getrokken. Dat voelt minder erg, net zoals het minder erg is om iemands locatie via GPS ontvangers bij te houden dan zijn gesprekken consequent af te luisteren. De vraag is dan of de nationale wetgeving toereikende en effectieve waarborgen biedt tegen een willekeurige inbreuk op de persoonlijke levenssfeer.

Voor toepassing van deze laatste maatstaf, meer dan voor toepassing van de gestelde minimumwaarborgen, is naar het oordeel van de rechtbank ook aanleiding in het geval van de ontvangst van gegevens in bulk, waarbij immers ten tijde van de ontvangst niet bekend is wat de aard van de gegevens is en op welk(e) individu(en) deze gegevens betrekking hebben.

Volgens de rechter hoeven we ons geen zorgen te maken: De Wiv 2002 bevat voorts voldoende waarborgen voor de verdere verwerking (waaronder het gebruik) van die gegevens. Immers in de wet staat

In artikel 12 Wiv 2002 is immers geborgd dat de verwerking van gegevens slechts plaatsvindt voor een bepaald doel en slechts voor zover dat noodzakelijk is voor een goede uitvoering van de Wiv 2002 of de Wet veiligheidsonderzoeken, en ook dat dit in overeenstemming met de Wiv 2002 en op behoorlijke en zorgvuldige wijze geschiedt. In artikel 13 van de Wiv 2002 zijn de categorieën van personen genoemd ten aanzien van wie gegevens kunnen worden verwerkt.

En er is niet bewezen dat de Nederlandse veiligheidsdiensten deze artikelen overtreden. Verder kun je als burger individueel naar de rechter als blijkt dat de veiligheidsdiensten specifiek informatie over jou delven uit NSA-bulkdata. Een tikje formele opstelling, ahem.

Dan komt nog de algemene vraag: is het doel en de noodzaak duidelijk aanwezig? Dat is immers nodig onder het EVRM en het IVBPR. Daarvan is sprake omdat het gewoon zo is en het gewoon niet anders kan:

Het gaat om een dringende maatschappelijke behoefte dat met buitenlandse diensten wordt samengewerkt en dat in dat verband verzamelingen gegevens in bulk worden uitgewisseld. Zoals de Staat ter zitting naar voren heeft gebracht, kan wel naar de herkomst van informatie worden geïnformeerd, maar zal daarop in de regel geen antwoord worden gegeven. Dat, als een partner eenmaal aan de voor samenwerking geldende criteria voldoet, de aard en inhoud van die samenwerking, op voorhand niet zijn beperkt, is ook gerechtvaardigd gelet op de risico’s voor de nationale veiligheid die aan een andere benaderingswijze zouden kunnen zijn verbonden.

Wat nu specifiek met de bulkgegevens die men van de VS kan verkrijgen die in strijd met het EVRM of IVBPR zijn verkregen? Die zijn in beginsel ook legaal. Immers:

Daarbij gelden voor het onderscheppen van (ruwe) gegevens in bulk zonder dat deze op relevantie zijn beoordeeld – hetgeen in deze procedure centraal staat – minder strikte eisen dan voor het kennisnemen van de inhoud van de communicatie. Er is bovendien een relevant onderscheid tussen het ontvangen van gegevens en het vervolgens gebruikmaken van die gegevens in individuele gevallen.

Dus ga maar op individuele basis naar de rechter als specifiek jij aangepakt wordt op basis van informatie die uit bulkgegevens is verkregen. “Het zwaarwegende belang van de nationale veiligheid geeft hier de doorslag.”

Jammer. Het is een láng en uitgebreid vonnis maar toch valt de onderbouwing me bij eerste lezing wat tegen. Waaróm is het zo dringend nodig dat er wordt samengewerkt en bulkdata wordt uitgewisseld? Waarom accepteren we dat een partner niet zegt waar de data vandaan komt? En daarbij komt de ergerlijke houding van “je kunt individueel een zaak aanspannen hoor”. Nee. Grmbl.

Arnoud

Inbeslagname van criminele bitcoins

| AE 6807 | Innovatie, Strafrecht | 19 reacties

bitcoin-cc-by-sa-flickr-zach-copleyIn de jacht op crimineel verkregen vermogen heeft het Openbaar Ministerie (OM) er een nieuw wapen bij, meldde het AD onlangs. Men kan bitcoins in beslag nemen als deze door criminele activiteiten verkregen zijn. Er was altijd twijfel of dat wel mocht, maar het OM heeft ondertussen drie gerechtelijke uitspraken verkregen waarin dit werd toegestaan. Daarmee is je criminele geld verstoppen in bitcoins geen optie meer. Maar hee, data was toch “niets”, juridisch gezien?

Ik zeg regelmatig dat data niets is inderdaad. En elke keer zegt er dan iemand dat daar wel wat nuances aan zitten. Oké oké, dat is ook terecht. Helemaal als je het hebt over strafrecht versus civiel recht. Negentig procent van de blogs en discussies hier gaat over civiel recht – tussen burgers onderling. Strafrecht is echt een heel ander beest, Linux versus Windows zeg maar. Soms lijken dingen op elkaar of werken ze ongeveer hetzelfde maar dat is meer toeval dan design.

Eén van die dingen die in het strafrecht echt anders werken is wanneer iets een ‘voorwerp’ is, een item dat gestolen of door misdrijf verkregen kan worden. We weten uit het Runescape-arrest dat dit kan met virtuele goederen in online spellen en dergelijke. Dit zegt alleen niets over de status van dat iets in het civiele of burgerlijke recht. Het is dus niet zo dat virtuele goederen dankzij deze uitspraak in eigendom gehouden kunnen worden, civielrechtelijk. Ga je scheiden, dan hoef je dus niet je World of Warcraft-bezit in de boedelscheiding te betrekken.

Bij de Runescape-uitspraak was het kerncriterium dat de virtuele goederen ‘verplaatsbaar’ waren: slechts één persoon kon ze tegelijk bezitten, kopiëren is niet mogelijk. En ze vertegenwoordigden waarde. Die criteria gaan wat mij betreft net zo hard op voor bitcoins, dus bitcoins zijn te stelen. En in beslag te nemen, want daarbij geldt dezelfde eis – het moet een voorwerp zijn, een ding.

In het strafrecht dus – dit maakt bitcoins nog geen voorwerpen, geen zaken zoals het civiel recht dat noemt. De status van bitcoins in het civiel recht is nog onduidelijk. Het is geen geld in ieder geval. Zaken (fysieke dingen waar je eigenaar van kunt zijn) lijken het ook niet te zijn. Je moet er belasting over betalen maar dat is gebaseerd op de waarde van de bitcoins en niet op het eigendom/bezit daarvan.

Wie die bitcoinbeslagvonnissen heeft, ik hoor graag van je. Het is erg frustrerend dat dergelijke vonnissen niet standaard online komen.

Arnoud

Tom Kabinet mag voorlopig tweedehands ebooks blijven verkopen

| AE 6822 | Auteursrecht | 14 reacties

De verkoop van tweedehands ebooks door de Nederlandse website TomKabinet.nl is niet evident illegaal. Dat vonniste de Amsterdamse rechter gisteren. De site had een rechtszaak aan de broek gekregen van het Nederlands Uitgeversverbond, dat meende dat bij tweedehandsebookhandel geen sprake van uitputting zou zijn. Sinds het Usedsoft-arrest weten we dat gedownloade software tweedehands mag worden… Lees verder

Hoe bewijs je nu dat een e-mail is aangekomen?

| AE 6804 | E-mail | 23 reacties

Bewijzen dat een e-mail is aangekomen, ga er maar aan staan. Het valt niet mee met voldoende zekerheid aan te tonen dat iemands mailserver een bericht heeft ontvangen, tenzij men natuurlijk een reactiemailtje heeft gestuurd. Maar in een recente rechtszaak was dit bewijs best belangrijk: per e-mail waren instructies gestuurd over het doorzetten van een… Lees verder

Franse moet schadevergoeding betalen om prominente negatieve recensie

| AE 6813 | Aansprakelijkheid, Meningsuiting, Zoekmachines | 41 reacties

Een Franse rechtbank heeft een blogger veroordeeld tot een schadevergoeding van 1500 euro omdat een negatieve recensie van een restaurant te hoog in de Google-zoekresultaten verscheen, meldde Tweakers gisteren. De recensie was nogal negatief, maar hoewel mijn Frans wat roestig is kan ik er niet echt smadelijke teksten in ontdekken. Helaas is het vonnis niet… Lees verder

Amazon in VS aangeklaagd om beleid in-app aankopen

| AE 6799 | Software, Webwinkels | 7 reacties

De Amerikaanse Federal Trade Commission (FTC) klaagt internetbedrijf Amazon aan vanwege zijn beleid met betrekking tot in-app aankopen, las ik bij Nu.nl. Dit beleid zou het te makkelijk maken dingen te kopen, met name voor kinderen. Na klachten werd er een wachtwoord gevraagd bij aankopen van $20 of meer, en pas een jaar later ook… Lees verder

Incompatibel internet reden voor ontbinding koop smarttelevisie

| AE 6793 | Webwinkels | 21 reacties

Hoe een televisie incompatibel kan zijn met het Nederlandse internet ontgaat me, maar het was in dit vonnis reden om de aanschaf van die televisie te mogen ontbinden. Wel mooi om te zien dat het verwijzen naar de fabrikant ook hier eenvoudig naar de prullenbak verwezen wordt. De winkel die een televisie verkoopt, is verantwoordelijk… Lees verder

Elektronische communicatie gaat onder het briefgeheim vallen

| AE 6795 | E-mail, Privacy | 25 reacties

Elektronische communicatie als e-mail wordt opgenomen in het brief-, telefoon- en telegraafgeheim uit de Grondwet, meldde Nu.nl vorige week. De geplande Grondwetswijziging zal een generiek ‘brief- en telecommunicatiegeheim’ vermelden, zodat alle vormen van privé telecommunicatie, dus ook berichten via bv. Facebook, in principe vertrouwelijk zijn. Hiermee komt eindelijk een eind aan de onzekere status van… Lees verder