Internetrecht door Arnoud Engelfriet

Een lezer vroeg me wat het betekende als hij bij een Google-zoektocht het volgende tegen komt:

Als reactie op een klacht die we hebben ontvangen in het kader van de Amerikaanse DMCA (Digital Millennium Copyright Act), hebben we 1 resulta(a)t(en) van de pagina verwijderd. Indien gewenst, kunt u op ChillingEffects.org de DMCA-klacht lezen op basis waarvan de resultaten zijn verwijderd.

De DMCA is het stuk van de Amerikaanse auteurswet waarin de regels over aansprakelijkheid voor tussenpersonen opgenomen zijn. Kort gezegd is een tussenpersoon niet aansprakelijk voor auteursrechtschendingen mits ze maar materiaal verwijderen nadat daar een legitiem uitziende klacht over komt. Daarna moet men de plaatser informeren, en als deze stelt dat de klacht onjuist is, moet het materiaal weer terug. Dit heet notice en takedown (en wij hebben ook zoiets natuurlijk).

Iedere tussenpersoon die zijn aansprakelijkheid wil beperken, moet een DMCA procedure hebben. Ook Google heeft een DMCA procedure. Google gaat daarbij echter nog een stapje verder. Elke DMCA klacht die ze ontvangen, wordt doorgestuurd naar www.ChillingEffects.org, waar deze wordt gepubliceerd. Zo kan iedereen nalezen wie de klacht indiende en waarom. Doel hiervan is chilling effects oftewel zelfcensuur tegen te gaan, omdat er nu geen stiekeme weghaalacties meer mogelijk zijn.

En ja, Google kan aansprakelijk zijn voor inbreukmakende inhoud die ze in zoekresultaatpagina’s laten staan. In theorie dan, want dit is nog nooit getest bij een Amerikaanse rechter.

In Nederland zou zo’n Chilling Effects-site misschien geen gek idee zijn. Alleen krijg je dan wel meteen boze advocaten die met hun auteursrechten gaan zwaaien, dus je zult een stevige terugblafdienst moeten hebben. Plus, bij ons kun je ook over andere zaken dan auteursrechten klagen in een notice-en-takedownprocedure, en bij bijvoorbeeld een smaad- of privacyzaak is publicatie van de klacht misschien minder gepast.

Arnoud

Regelmatig krijg ik vragen over identiteitsdiefstal, met name van journalisten die op zoek zijn naar een sappige juridische quote. Nou geef ik die graag, maar in dit geval is dat wel moeilijk: ‘identiteitsdiefstal’ staat als zodanig niet in het wetboek van strafrecht namelijk. Andermans naam aannemen (met opzet of per ongeluk) is niet strafbaar. Pas als je daarmee dingen doet, zoals producten bestellen op diens naam of zijn reputatie beschadigen, kan het strafbaar worden.

Vaak wordt geroepen dat dit valsheid in geschrifte oplevert. Dat feit is inderdaad strafbaar: artikel 225 Strafrecht verbiedt het valselijk opmaken of vervalsen van geschriften, en dat geldt ook voor elektronische geschriften. Alleen moet dat geschrift wel bestemd zijn om tot bewijs van enig feit te dienen. En daar wringt vaak de schoen bij online valse geschriften.

In 2009 vond iemand het grappig een comment onder mijn naam te plaatsen. Die comment is geen valsheid in geschrifte, want die diende niet tot bewijs van wat dan ook. Dat was een mededeling, niet een akte of ander stuk dat als bewijs zou moeten dienen. Bij “tot bewijs dienen” moet je eerder denken aan een schriftelijk contract of een diploma.

Zo’n gebruik van je naam zou eventueel smaad of laster kunnen opleveren, omdat dit een poging is jouw eer of goede naam aan te tasten. Smaad is niet alleen “hij is een dief” maar ook een vervalst bericht met daarin “hallo ik ben een dief”.

Gebruik van iemands identiteit om bijvoorbeeld spullen te kopen of bestellingen te doen is natuurlijk wel strafbaar: dat is oplichting, artikel 326 Strafrecht, en dit artikel noemt expliciet “het aannemen van een valse naam” als grond om van oplichting te mogen spreken.

Ook andere gevolgen van identiteitsdiefstal kunnen strafbare feiten opleveren. Maar in alle gevallen geldt: er kan formeel pas iets worden gedaan nadat die gevolgen zijn ingetreden. Dat iemand je wachtwoord weet, of je BSN heeft overgeschreven, is nog geen grond om legale stappen te ondernemen. Pas als hij inlogt met je wachtwoord, of je BSN gebruikt om je belastingteruggaaf op zijn bankrekening te krijgen, kun je aangifte doen. Maar dan is de schade al opgetreden.

Een apart wetsartikel tegen identiteitsdiefstal an sich lijkt een goed idee. Alleen: hoe definieer je identiteitsdiefstal?

Arnoud

Wegens een technische storing is Mailamac.nl tijdelijk niet bereikbaar, stond gisteren op hun homepage. Dat kwam vlak nadat onder meer MobileMac meldde dat de stuntuitverkoop van het bedrijf onder meer een iPad met 96% korting aanbood. Oftewel €21 voor een 64GB iPad 3G (normaal zo’n 550 à 700 euro).

Gevalletje OTTO, denken meteen alle juristen: de fypetout van 99 euro waar 699 bedoeld was, leidde niet tot een rechtsgeldige overeenkomst, omdat je als consument moet begrijpen dat zo’n lage prijs niet kan. Je hebt dan een onderzoeksplicht, oftewel je moet even controleren of die prijs wel klopt.

In het OTTO-geval had niemand dat gedaan, en er waren ook geen andere omstandigheden om te denken dat sprake was van een legitieme aanbieding. Als er nou “stuntaanbieding” of “de knettergekke dagen” bij stond, zou dat anders kunnen liggen.

En dat is waarom het hier interessant wordt: Mailamac hád er “stuntaanbieding” bij staan. Op de screenshot van MobileMac staat onder meer “Uitverkoop”, “Hoge kortingen” en “tot 428 euro” te lezen. Dus mag je er dan wél op vertrouwen dat sprake is van een bijzondere aanbieding?

Ja en nee. Je mag verwachten dat de prijzen lager zijn dan normaal. Ik vind alleen “96%” in blauw wel wat magertjes bij zo’n mega-aanbieding. Dat is zó ver onder de kostprijs dat daar wel meer aandacht gegeven was als dat serieus de bedoeling was. “Het hoesje is duurder!” of zo er bij.

Verder is 96% korting zó veel dat je redelijkerwijs kunt twijfelen of dat wel de bedoeling was. Ik heb nog nooit eerder 90% korting gehad, meer dan 50% à 60% zie je eigenlijk nooit. Daarmee geldt dan toch de OTTO-regel dat je navraag moet doen.

Afgezien van de OTTO-zaak ken ik geen rechtspraak op dit punt. Wel zijn er een paar uitspraken van geschillencommissies. In een al wat oudere zaak kreeg de consument gelijk bij een korting van 85% (125 euro in plaats van 850), vanwege “schreeuwerige kortingen in de showroom” maar ook omdat hij navraag had gedaan en de verkoper in de showroom had bevestigd dat het klopte. Ook had de consument aangeboden om 200 euro bij te betalen voor de normaal gratis extra’s.

Echter, in een zaak waar een product van normaal zo’n 300 euro werd aangeprezen voor 65 euro, sprak de commissie van een onbegrijpelijk lage prijs. Evenzo noemde de geschillencommissie Thuiswinkel een prijsverschil van 75% of meer echt te veel, zelfs bij stuntaanbiedingen, om aanspraak te kunnen maken op levering.

Wat is de hoogste korting die jullie ooit in ‘t openbaar geadverteerd gezien hebben bij een legitieme aanbieding?

Arnoud

Microsoft moet i4i 300 miljoen dollar betalen voor patentschending, nadat alle bezwaren zijn verworpen, meldde Webwereld vrijdag. Er wordt voor een invasie van patenttrollen gevreesd, omdat de Supreme Court de bewijsregels in patentrechtszaken wel heel pro-patenthouder lijkt te formuleren. Het patent van i4i is geldig, omdat Microsoft geen “helder en overtuigend” bewijs van het tegendeel heeft. Maar i4i hoeft slechts aan te tonen dat het “waarschijnlijk” is dat Microsoft het octrooi schendt om een verbod toegewezen te krijgen.

i4i is een Canadees bedrijf dat software maakt voor documentbeheer. Hun patent (US5,787,449) betreft een techniek om structuur en inhoud van een document apart te kunnen beheren, die gebruik maakt van metacodes in een aparte datastroom. Het patent is uit 1994 en heeft elke aanval weten te overleven. In 2009 werd Microsoft veroordeeld omdat Word inbreuk zou maken met het .DOCX en .DOCM bestandsformaat.

Microsoft had bij de procedure diverse prior art systemen gevonden, maar liep tegen een procedureel probleem aan: de jury(*) kreeg als instructie dat ze alleen het octrooi ongeldig mocht verklaren als de prior art “clear and convincing evidence” bevatte dat de uitvinding al bestond. Dat is een hoge eis, hoger dan de gebruikelijke “preponderance of the evidence”. En die laatste standaard mocht dan weer wél gebruikt worden om te bepalen of Microsoft inbreuk maakte en dus Word van de markt moest halen.

De Supreme Court in haar arrest (pdf) nu dat dit verschil juist is. Dit omdat het USPTO de patentaanvraag heeft onderzocht, en we toch mogen verwachten (hah!) dat deze daarbij zorgvuldig en grondig te werk gaat. Daarom is het terecht om in die situatie een extra hoge eis te stellen aan waar de gedaagde mee komt.

Webwereld vreest dat patenttrollen zich gesterkt zullen voelen door dit arrest. Logisch, de Supreme Court bevestigt hier dat het inderdaad moeilijk is een octrooi aan te vechten. Bovendien kost dat al snel enkele miljoenen Euros. Maar een kenmerk van trollen is dat ze zelden procederen, en liever een relatief laag bedrag eisen om zo snel binnen te lopen. Veel door trollen ingezette octrooien zijn zeer dubieus, maar als je moet kiezen tussen 1 miljoen betalen en 4 miljoen in een rechtszaak steken dan is -zakelijk gezien- de keuze duidelijk.

i4i lijkt me overigens geen patenttrol: zij verkopen eigen producten, en onder trollen worden over het algemeen alleen bedrijven verstaan die octrooien opkopen en licenties gaan eisen zonder zelf iets op de markt te brengen.

(*) In de VS worden octrooirechtszaken door een jury beslist. Daarbij is het gebruikelijk dat alle mensen met technische achtergrond worden uitgesloten van de jury, omdat die bevooroordeeld zouden zijn. Inderdaad betekent dat dat zaken over complexe technologie beslist worden door mensen met per definitie geen verstand daarvan.

Arnoud

Regelmatig krijg ik vragen als deze van verwarde Wikipedianen:

Bij een wijziging aan een Wikipedia-lemma wilde ik een citaat toevoegen om de tekst te verduidelijken en te onderbouwen waarom het is zoals ik het beschreef. Dat citaat werd weggehaald met als argument dat ik daarmee auteursrechten zou schenden omdat het geen vrije bron was. Maar citaatrecht is toch legaal?

Dat klopt, citaatrecht is een uitzondering op het auteursrecht. Wat je citeert, oftewel met bronvermelding aanhaalt om je punt te maken, is dan ook geen inbreuk op auteursrechten.

Echter, Wikipedia heeft als regel dat men alleen teksten (en beeld) mag toevoegen die volledig zelf geschreven zijn, of uit vrije (GFDL of Creative Commons) bronnen beschikbaar zijn. Dat moet niet alleen gelden voor de lemma’s als geheel, maar ook voor afbeeldingen en andere media, plus voor delen van lemma’s uit hun context.

Uit dat standpunt volgt ook dat citeren een probleem is. Immers, een beroep op citaatrecht vereist context. En als je het geciteerde uit de context rukt en op een t-shirt drukt en verkoopt, dan is dat geen citaat meer. Dat vindt men problematisch bij de vrije encyclopedie, want uit hun context gerukte lemmateksten moeten op t-shirts te verkopen zijn (mits je de Creative Commonslicentie erbij noemt).

Natuurlijk is citeren legaal, maar als Wikipedia als huisregel zegt “citeren is verboden” dan is dat hun goed recht. Hoe raar het ook is om dit te verbieden. Wel zou het goed zijn om dat standpunt eens wat beter te onderbouwen, want ik kan het nergens als beleidsregel vinden.

Arnoud
PS: op 5 november spreek ik op de Wikimedia Conferentie, al heb ik nog geen idee waarover precies. Iets met auteursrechten, dus ik zal vast cynisch worden.

Een lezer vroeg me

Op je site schrijf je dat wanneer je zelf deelneemt aan het gesprek, je niet hoeft te melden dat je het opneemt. Echter, ik las bij ConsuWijzer iets tegenstrijdigs, namelijk dat een bedrijf het altijd moet melden wanneer zij het gesprek opneemt. Wie heeft er nu gelijk?

We hebben allebei gelijk. Het opnemen is op zichzelf eigenlijk altijd toegestaan als je gesprekspartner bent. Je hoeft het dan niet te melden. Echter, als je structureel gesprekken opneemt en deze uitwerkt en archiveert in het kader van bedrijfsvoering dan valt dit onder het kopje “verwerking van persoonsgegevens”.

Een geluidsopname die wordt gearchiveerd in combinatie met identificerende gegevens van een klant, is namelijk een persoonsgegeven. Door ze structureel op te slaan, maak je een bestand met persoonsgegevens in de zin van de Wet bescherming persoonsgegevens. En dan is het inderdaad verplicht de betrokken wederpartij te melden dat je dit doet, en mensen inzagerecht geven in wat er over hen opgeslagen wordt.

Een bedrijf is verplicht een kopie van haar voicelogs te geven aan de klant als ze deze structureel verzamelt (art. 35 Wet Bescherming Persoonsgegevens. De Hoge Raad bepaalde in 2007 dat het recht op inzage tevens omvatte het recht op transcripties van opgenomen telefoongesprekken omvatte. Ook als het bedrijf dan kosten moet maken:

Het feit dat Dexia kosten moet maken om aan [verweerder] kopieen en transcripties te kunnen verstrekken, en het feit dat er enige tijd gemoeid is met het traceren van de telefoongesprekken met [verweerder], leveren geen bijzondere omstandigheden op als hier bedoeld.

Met de ‘hier’ doelt men op artikel 43, dat bepaalt dat het recht van inzage niet geldt bij bepaalde bijzondere omstandigheden, waaronder onder meer valt dat de inspanning niet redelijkerwijs van je gevergd kan worden.

In een rechtszaak uit 2008 bepaalde de rechter dat een opname van een telefoongesprek niet zomaar als bewijs gebruikt kon worden. Deze zou te eenvoudig te manipuleren zijn. In andere zaken werd een voicelog wel als bewijs aanvaard, hoewel aan de bruikbaarheid nog wel eens getwijfeld kan worden.

Arnoud

Een beveiligingsonderzoeker heeft het gedrag van de VoIP-software Skype onderzocht. Op basis van die reverse engineering heeft hij een groot deel van de code achterhaald, meldde Webwereld vrijdag. Daarop, zo meldde Phoronix, vloog Skype meteen in de tegenaanval, met gestrekt been, Zidane-kopstoot én kruistrap:

This unauthorized use of our application for malicious activities like spamming/phishing infringes on Skype’s intellectual property. We are taking all necessary steps to prevent/defeat nefarious attempts to subvert Skype’s experience. Skype takes its users’ safety and security seriously and we work tirelessly to ensure each individual has the best possible experience.

Nu kun je natuurlijk “gatver wat een rotopmerking” zeggen, maar we zijn hier een keurig juridisch blog (niet lachen daar achterin), dus laten we eens kijken naar de achterliggende vraag: mag je Skype reverse engineeren en daarmee je eigen Voice-over-IP-client op de markt brengen?

Reverse engineeren is een algemene term voor het uit elkaar halen van een product (of software) om te zien hoe dit opgebouwd is. Specifiek voor software worden ook wel termen als disassembleren of decompileren gebruikt, maar algemeen gesproken komen ze op hetzelfde neer: de software wordt uit elkaar geplozen en geanalyseerd om te zien hoe deze werkt. Omdat hierbij een kopie van de software wordt gemaakt, valt dit in principe onder het auteursrecht.

De Auteurswet zegt dat software mag worden gereverse-engineerd om interoperabiliteit van zelf ontwikkelde software met andere software tot stand te brengen. Zo mag een ontwikkelaar een eigen driver maken om de (embedded) software in de grafische kaart te kunnen besturen. Hij mag daarvoor de bestaande driver pakken en deze disassembleren: de binaire code uit elkaar halen om zo in één keer te zien wat de driver allemaal voor commando’s kan versturen en ontvangen. Ook mag hij het communicatieprotocol observeren en daarmee achterhalen hoe zijn eigen software moet werken.

Een lastige beperking aan het recht om te reverse engineeren is dat het moet gaan om het interoperabel maken van eigen software. In veel gevallen is het doel van reverse engineering eerder het maken van eigen software die hetzelfde doet als de software die uit elkaar wordt gehaald. Het ‘klonen’ van software via reverse engineering is echter expliciet verboden. Het voorbeeld van de driver hierboven is een grensgeval: weliswaar wordt de driver een soort van gekloond, maar het doel is om de eigen software met de software in de kaart te laten werken.

In de praktijk is dit lastig werkbaar: wie een driver disassembleert en dan een nieuwe driver maakt, zal al héél snel – bewust of onbewust – auteursrechtelijk beschermde delen overnemen. Als best practice geldt daarom het principe van de “Chinese muur”, waarbij twee teams samenwerken bij de ontwikkeling van software op basis van reverse engineering. Team A haalt de oorspronkelijke software uit elkaar en documenteert de functionaliteit. Team B ontvangt alleen deze documentatie en krijgt geen toegang tot de oorspronkelijke software. Daarmee kan team B zelf software maken zonder ‘besmet’ te zijn met de gereverse-engineerde broncode.

Speciaal voor protocollen ligt het net weer anders: je mag netwerkverkeer observeren en daaruit achterhalen hoe een protocol werkt. Als je dan zonder andermans client of server te bekijken je eigen implementatie van dat protocol maakt, is er juridisch niets aan de hand. Dat reverse engineeren van een protocol is niet waar de Auteurswet op doelt. Maar in het Skype-geval is niet alleen netwerkverkeer geanalyseerd maar ook de client van Skype zelf.

Arnoud
Afbeelding: Revealing Skype Traffic: When Randomness Plays with You, Dario Bonfiglio et al., SIGCOMM’07, August 27–31, 2007, Kyoto, Japan.

Worden 3D-printers de nieuwe Napster? Met die vraag in het achterhoofd bespreek ik elke dinsdag een aspect van het intellectueel eigendomsrecht en waar dat botst met de mogelijkheden van 3D printen. Op basis van deze blogs en jullie feedback daarop wil ik hier uiteindelijk een boek van maken. En natuurlijk publiceer ik dan geen comments van jullie daarin zonder aparte toestemming.

In deze serie hebben we het gehad over de verschillende IE-rechten (octrooien, modellen, merken en auteursrecht) zouden kunnen botsen met 3D printen. Vorige week besprak ik de vraag of je producten mag scannen. In alweer de laatste aflevering van 3D dinsdag dan nog één grote vraag: hoe zit het met een website (3dpiratebay.org?) die scans of handgemaakte 3D CAD bestanden aanbiedt? Mag dat eigenlijk wel van het intellectueel eigendomsrecht?

De meeste IE-rechten zijn gericht op fysieke producten. Alleen het auteursrecht houdt zich expliciet ook bezig met digitale producten. Vroeger werden rechten als octrooien, merken en tekeningen/modellen dan ook wel “industrieel eigendom” genoemd, en werd “intellectueel eigendom” alleen gebruikt voor de creatieve sector die met auteursrechten (en naburige rechten) en dergelijke bezig was. De industriële-eigendomshouder had alleen belang bij optreden tegen industrieel geproduceerde namaak, vandaar dat die rechten expliciet eisen dat sprake is van beroeps- of bedrijfsmatig gebruik van de uitvinding, dat de tekening of het model in een product zit of dat het merk in het economisch verkeer wordt gebruikt.

Vanuit die optiek is het begrijpelijk dat er geen expliciete regels in de IE-wetgeving staat over CAD-bestanden waarmee digitale producten kunnen worden geprint. Heel misschien kom je er met het verhaal van “indirecte inbreuk” of “middelen betreffende een wezenlijk bestanddeel”, maar de kans daarop lijkt me klein zonder wetswijziging.

Het auteursrecht heeft echter laten zien dat er altijd wel een mouw aan te passen is aan zo’n maas in de wet. Want ik noemde niet voor niets 3dpiratebay.org: sites als deze zullen snel weggezet worden als piratensites, of ze dat nu zijn of niet. En als ze niet direct als inbreukmaker aan te pakken zijn, dan is er altijd nog wel het argument van de “maatschappelijke zorgvuldigheid”. Met name stichting BREIN heeft met dit instrument heel wat bereikt: van linksites tot torrentsites en discussiefora met verwijzingen, ze zijn allemaal maatschappelijk onzorgvuldig bezig als ze op een of andere manier structureel behulpzaam zijn bij schendingen van auteursrechten. Ook al stond dat nergens in de auteurswet. Waarom zou dat anders zijn bij een site met CAD-bestanden voor zeg Nike-schoenen of LEGO-steentjes of iPhone-covers?

Zolang 3D printen in de experimentele fase zit waar we nu zijn, zal dit niet gaan spelen. Maar net zoals up- en downloaden van muziek ineens doorbrak toen Napster begon, kan ook 3D printen zomaar ineens ontploffen tot een groot maatschappelijk fenomeen. En de beeldvorming die direct op dat moment ontstaat, zal beslissend zijn voor de vraag of we ze als piraten dan wel als zakenpartners van de IE-industrie gaan zien. De vraag is dus: hoe kunnen we op voorhand zorgen dat dat laatste gebeurt?

Update (23 januari 2012) de Pirate Bay is cadbestanden voor 3D objecten gaan indexeren.

Arnoud
De afbeelding boven is oculos mane van Entoforms, een Creative Commons kunstproject rond 3D printen. Doneert u ook een euro?

Een lezer vroeg me

Als je als consument iets koopt bij een stichting is er dan altijd spraken van een consumentenkoop of zal dit af hangen van de omstandigheden en zo ja welke omstandigheden?

Wanneer een consument iets koopt bij een bedrijf of professioneel handelaar, is sprake van een consumentenkoop (art. 7:5 lid 1 BW). De wet spreekt formeel van een “verkoper die handelt in de uitoefening van een beroep of bedrijf”. Nergens is gedefinieerd wanneer je precies daaraan voldoet. Belangrijk is hoe de verkoper zichzelf presenteert: wie zich voordoet als bedrijf- of beroepsmatig handelaar, kan ineens een consumentenkoop hebben gesloten. Winst willen maken is ook een belangrijke factor.

Een stichting kan een onderneming drijven en die onderneming mag dan winst maken. Vaak wordt gezegd dat een stichting (of vereniging) geen winst mag maken, maar dat is onjuist. Het is alleen verboden deze winst uit te keren aan het bestuur of andere betrokkenen (art. 2:285 lid 3 BW). De winst kan echter probleemloos worden aangewend voor het doel van de stichting. Denk aan een stichting die een theatergezelschap ondersteunt en daarvoor toegangskaartjes verkoopt die meer dan een kostendekkende prijs kosten.

Van Hout noemt drie factoren waarmee de Belastingdienst oordeelt of een stichting een onderneming drijft:

1. Een duurzame organisatie van kapitaal en arbeid: een keer een t-shirt verkopen bij je jubileum maakt je nog geen onderneming, maar een webshop met diverse shirts die continu leverbaar zijn zou dat wel kunnen zijn; ook moet er op een of andere manier geld (kapitaal) en werk (arbeid) worden ingezet om de producten te verkopen.
2. Deelneming aan het economisch verkeer: de stichting moet zich richten op een “niet-gesloten groep” van wederpartijen (klanten); voor een vereniging kan het daarbij uitmaken of iedereen lid mag worden of dat er een ballotagecommissie actief is.
3. Het oogmerk om winst te behalen: er moet een opzet zijn waarmee winst gehaald kan worden. Een groot verschil tussen inkoop- en verkoopprijs kan zo’n opzet zijn. Dat in je statuten staat dat je geen winstoogmerk hebt, is niet relevant.

De webwinkel van de ANWB lijkt me zonder meer een onderneming. Die webwinkel is een duurzame organisatie. Weliswaar moet je lid zijn om er te mogen kopen, maar iedereen kan lid worden van de ANWB en dus richt men zich in principe op de gehele markt. En de prijzen zijn duidelijk niet puur kostendekkend, zodat er een winstoogmerk aanwezig is. Omgekeerd is echter een stichting die een keer wat t-shirts verkoopt en daar geld aan overhoudt niet automatisch een bedrijf.

Arnoud
Foto: De stichting in het Nederlandse belastingrecht, C.R.M. van Hout, Kluwer 2009.

Een lezer vroeg me:

Bij ons op de afdeling hebben we gedeelde printers, waar je je printjobs kunt uitdraaien na aanmelden met je badge. Nu kwam ik erachter dat de IT-afdeling daarmee precies bijhoudt wie wat print, en daar maandelijks rapportjes van rondstuurt naar de afdelingsmanagers. Dit omdat de kosten van printen aan elke afdeling intern doorbelast wordt. Maar mijn manager kan dus precies zien hoe veel ik print! Mag dat zomaar?

Voor het bijhouden van printgedrag geldt hetzelfde als alle andere privacygevoelige logging- en monitoractiviteiten op het werk. Dit dient in principe geanonimiseerd te gebeuren, tenzij er een gegronde reden is om een specifieke persoon onder de loep te nemen. En als men dat wil doen, moet in een privacyreglement (IT-reglement) een clausule over dergelijk monitoren opgenomen zijn. En dat reglement moet dan weer door de ondernemingsraad goedgekeurd zijn.

Persoonlijk zou ik niet weten waarom een manager per persoon zou willen weten wat er is geprint, zeker niet als de rapportage puur over de kosten gaat. Dan is alleen van belang hoe veel er totaal is geprint en wat dat kost. Het lijkt me dat de IT-afdeling vrij eenvoudig de rapporten moet kunnen aggregeren tot afdelingsniveau en dat rondsturen in plaats van de individuele rapportages.

Natuurlijk zijn er mensen die de bedrijfsprinters gebruiken om privéprintjes te maken. Dat kost dan hier aantoonbaar geld, en daar kun je mensen op aanspreken. Als er dus een IT-reglement is dat de bevoegdheid biedt om bij een vermoeden van misbruik individuele gegevens op te vragen, dan kan daarmee de veelprivéprinter worden opgespoord en aangesproken. Maar wederom: dat mag niet structureel en vooraf (”eens zien wat Jan deze week allemaal print”), het mag echt pas achteraf bij een vermoeden van misbruik (”waar komt die piek op vrijdag vandaan”).

Ongetwijfeld zitten er nu managers mee te lezen die koken van woede: mensen gaan onder het mom van privacy nu gratis privé printen op het werk en dat mag je niet detecteren. Maar a) hoe duur is dat nu écht en b) kost het je niet veel meer om dat allemaal op te sporen en aan te pakken? Nog even afgezien van de werksfeer die je dan totaal verpest.

Arnoud