De overheid gaat mijn privacypolicygenerator kapodtconcurreren!

| AE 7550 | Privacy | 21 reacties

privacy-policy-lap-tekstHet ministerie van Economische Zaken komt halverwege 2015 met een online dienst waarmee bedrijven hun privacyvoorwaarden kunnen versimpelen en transparanter kunnen maken, las ik bij Nu.nl. De dienst wordt ingezet omdat veel Nederlanders aangeven voorwaarden en het privacybeleid van online diensten die zij gebruiken niet lezen, met name (36%) omdat de tekst te lang is en (16%) omdat deze te moeilijk is.

Ik ben heel benieuwd waar deze dienst uit gaat bestaan. Op de site zie ik een hoop tips en advies, maar denk ik dan gelijk “dat is nóg meer tekst om te lezen” dus hoe effectief gaat dat zijn?

Maar potverdrie, wat lees ik dan in de gelinkte Kamerbrief:

in 2014 een aantal goede voorbeelden van transparante privacyvoorwaarden in kaart is gebracht. Deze zullen als basis dienen voor een online instrument, waarmee bedrijven op laagdrempelige wijze een goede (basis) privacyvoorwaarde kunnen genereren

Héé. Word ik daar een beetje weggeconcurreerd met mijn generator waarmee je ook basisprivacyvoorwaarden kunt genereren? Dat kan toch niet zomaar. Ik heb honderden euro’s geïnvesteerd in het programmeren van dat stuk software en dat zou ineens waardeloos worden door een gratis generatordinges van de overheid?

In 2009 werd de Kamer van Koophandel veroordeeld wegens valse concurrentie door bedrijfsplansoftware op te markt te brengen waar ook commerciële bedrijven zich gewoon mee bezig houden. Oké, wanneer het gaat om data die de overheid zelf produceert (zoals het Nationale Wegenbestand) dan kan dat anders liggen maar het NWB is basaal, dit in tegenstelling tot privacyverklaringen.

Wat nu? Een rechtszaak tegen de Staat? Maar iedere ondernemer weet, je gaat geen goed geld naar kwaad geld gooien. De privacyverklaring afschrijven als product? Dat stuit me dan ook weer tegen de borst. Iedereen weet hoezeer ik de Wbp waardeer, dit instrument moet gewoon beschikbaar zijn vanuit de markt. Dus wat te doen?

Arnoud

Curator van Radio Shack wil klantenbestand verkopen, mag dat?

| AE 7544 | Privacy | 8 reacties

radio-shackDe curator van het failliete Radio Shack is van plan hun klantenbestand te verkopen, las ik bij Ars Technica. Dit ondanks de privacyverklaring die men jarenlang hanteerde, waarin netjes “Wij verkopen uw data nimmer aan derden” stond. Mag dat zomaar?

Nou ja, het is recht, dus niets mag (of mag niet) zómaar. Maar dit soort zaken zijn erg lastig, omdat er geen harde regels zijn over wat een curator mag doen met gegevens. Digitale gegevens zijn immers niet iets dat je kunt kopen of verkopen. In het speciale geval van virtuele goederen (en belminuten of credits) kan dat wel, maar daarvan is hier geen sprake. De reden is simpel: iets is pas een zaak als iemand er de beschikkingsmacht over kan hebben, zeg maar als het gestolen kan worden. En dat kan niet bij zo’n klantenbestand. De curator zou het ding probleemloos honderd keer kunnen verkopen.

Het bestand zou bij ons onder de Wet bescherming persoonsgegevens vallen. Die bepaalt alleen niets over koop en verkoop daarvan. Het enige dat de Wbp zegt, is dat wie een bestand heeft, dit alleen mag gebruiken met toestemming of een wettelijke grondslag (zoals nakoming overeenkomst). Het tegen geld geven van een kopie van het bestand aan een derde vereist dus zo’n grondslag, en ik zou hem niet weten in dit geval.

Als iemand een doorstart wil maken met het bedrijf, dan is het logisch dat hij ook het klantenbestand krijgt. Dat is daarvoor nodig, zeker als hij de oude contracten met die klanten alsnog wil nakomen. De wet hanteert hiervoor het criterium van “verenigbaarheid” met het oorspronkelijke doel. Overnemen van klanten om de originele dienst zo veel mogelijk alsnog te leveren, lijkt me wel legaal.

Hier is echter geen sprake van verkoop van een klantenbestand mét contractsinformatie maar alleen van contactgegevens. Het enige doel daarvoor dat ik kan bedenken is acquisitie, kijken of die klanten nu interesse in jouw bedrijf hebben. Dat is problematisch, zeker als er ook digitale contactinformatie bij zit want dan loop je tegen spamverbod en dergelijke aan.

De insteek van de juridische klacht tegen de curator is ook wel een aardige: contractbreuk, er is immers via de privacyverklaring afgesproken dat dit niet zou gebeuren. Maar een curator contractbreuk verwijten is heel erg lastig. Weliswaar mag de curator geen contracten schenden, maar een schending is normaal een claim die je maar op de boedel van het failliete bedrijf moet zien te verhalen. En dat valt meestal niet mee, ze zijn niet voor niets failliet gegaan.

Arnoud

Kun je een zwartelijstbeheerder tegenhouden met een beroep op de Wbp?

| AE 7541 | Meningsuiting, Privacy | 3 reacties

block-botDe Block Bot is in de juridische problemen gekomen, las ik onlangs. Blogger Matthew Hopkins, zelfbenoemd “Witchfinder General” had een claim ingediend bij de beheerder van deze Twitter zwarte lijst, waar je op komt als de beheerder je een troll vindt, of een vrouwonvriendelijke man of nog wat niet bepaald vleiende kwalificaties. Het op smaad gooien leek Hopkins nogal ingewikkeld vanwege vrijheid van meningsuiting en zo, maar hij had een leukere truc gevonden: de Data Protection Act, oftewel de Engelse Wet bescherming persoonsgegevens. Want iemands naam in een bestand opnemen, dat mag niet he meneertje?

Ik krijg hier een lichte juridische jeuk van. Ja, natuurlijk geldt de Wbp en de DPA bij zwarte lijsten en ik weet dat men daar kritisch tegenover staat omdat onterecht op een zwarte lijst staan heel vervelend kan zijn, zeker als je er nauwelijks meer van af komt. En ik weet dat toestemming vragen bij opname in een bestand of lijst de hoofdregel is.

Maar het is écht niet zo dat je zonder toestemming eigenlijk niets kunt. Er is immers de eigen dringende noodzaak, op grond waarvan je best zonder toestemming iemands gegevens kunt gebruiken als daar een noodzaak voor is. Deze grond vereist een belangenafweging, hoe zwaar weegt de privacy van deze persoon en hoe zwaar is mijn noodzaak om die gegevens te gebruiken. En omdat het hier gaat om een meningsuiting, is er best een aardige noodzaak. Je mág immers over mensen praten en je mening geven over hun acties, dat is een grondrecht. De Wbp wint dus zeer zeker niet automatisch.

Verder is het in Nederland zo dat je in die situaties géén aparte afweging onder de Wbp hoeft te maken. Als het gaat om een verwerking die op grond van de vrijheid van meningsuiting wordt gedaan, dan kijk je ‘gewoon’ of de uiting onrechtmatig is. Een overtreding van de Wbp in een journalistieke context dient

te worden meegewogen bij beantwoording van de vraag of degene die verantwoordelijk is voor (handhaving van) publicatie van de beweringen hierdoor onrechtmatig handelt.

Dat maak ik op uit het Kleintje Muurkrant-arrest uit 2011.

Het doet me denken aan de discussie vorig jaar over merknamen: haha, mijn naam is een gedeponeerd merk, dus je mag zonder mijn toestemming niet over me praten. Ook dat voelt als een oneigenlijk gebruik van de wet. Met name omdat men zware juridische taal inzet naar mensen die daar weinig verstand van hebben. Ik zie dat als overbluffen of intimideren: holy shit, ik heb een mérkenrecht geschonden, ja nee kijk maar naar Disney en zo hoe ernstig dat is, daar staat tien jaar cel op, gauw weg die post. Bah.

Arnoud

Pleeg je merkinbreuk als Google je advertenties aanvult met iemands merk?

| AE 7532 | Merken, Zoekmachines | 8 reacties

Is sprake van merkinbreuk wanneer Google een keyword in je advertentie aanvult met iemands merknaam? Voor die vraag stond de rechter in Overijssel onlangs. Het bedrijf Serbo is eigenaar van het merk “Luminus” voor dakconstructies, lichtkoepels en dergelijke. En tot hun verbazing verscheen op zeker moment een advertentie van een ander bedrijf, Luxlight, wanneer je… Lees verder

Moet je je wachtwoord afgeven als de IT-afdeling dat wil?

| AE 7530 | Beveiliging | 37 reacties

Een lezer wees me op deze Tweakersdiscussie over het moeten afgeven van wachtwoorden aan de IT-afdeling: Mijn vriendin (werkzaam als arts) kreeg onlangs te horen dat zij, omdat ze op veel verschillende locaties werkzaam is, een mobiele telefoon zou krijgen. Ze kon contact opnemen met de IT-afdeling om een afspraak te maken om de telefoon… Lees verder

Je geld terug bij retourneringen via Steam, of toch niet?

| AE 7525 | Innovatie, Webwinkels | 14 reacties

Onlinegameexploitant Steam heeft eindelijk erkend dat men in Europa recht heeft om online digitale aankopen binnen veertien dagen te annuleren, las ik bij Ars Technica. Alleen: via de kleine lettertjes moet je dat recht meteen weer opgeven. Dus hoe zit het nu, mag je binnen veertien dagen nu je aangekochte spellen retourneren of niet? Dit… Lees verder

Moet je weten waar een kortingscode voor bedoeld is?

| AE 7521 | Webwinkels | 22 reacties

Een lezer wees me op deze discussie bij Tweakers over een recente kortingsactie van Alternate. Het bedrijf had kortingscodes uitgegeven om de verkoop van drie laptops onder Tweakers-gebruikers te promoten. Maar slimme Tweakers ontdekten al snel dat de code ook werkte bij andere bestellingen. Toen Alternate dat doorkreeg, annuleerde men alle ‘onterechte’ bestellingen direct. Maar… Lees verder

DUO stuurt onterecht deurwaarder naar 10.000 mbo-studenten

| AE 7519 | Aansprakelijkheid | 40 reacties

In februari stond bij ruim tienduizend mbo-studenten een deurwaarder op de stoep, las ik bij Nu.nl. De studenten waren te laat met de betaling van het lesgeld voor studiejaar 2014-2015, en hadden de berichten in in Mijn DUO niet gezien waarin ze daarop gewezen werden. Aandacht van Kassa zorgt er nu voor dat DUO zelf… Lees verder