Internetrecht door Arnoud Engelfriet

Een lezer vroeg me:

Na Lektober zijn we bij ons op het werk vol op de beveiliging gesprongen. Alle bestanden met persoonsgegevens zijn opgeschoond en alle systemen zijn maximaal beveiligd. Volgens mij net iets té ver: ik mag onze software niet meer testen met ‘echte’ persoonsgegevens, alleen met een bestand met een paar honderd nepadressen. Dit omdat testen met persoonsgegevens verboden zou zijn onder de Wet bescherming persoonsgegevens. Is dat echt zo?

De Wet bescherming persoonsgegevens (Wbp) verbiedt niet letterlijk het testen met productiegegevens. Die zegt alleen dat je de gegevens mag gebruiken voor het doel waarvoor je ze krijgt, en voor doelen die in duidelijk direct verband daarmee staan (art. 8 en 9 Wbp). Het testen van de omgeving waarbinnen je persoonsgegevens wilt gaan gebruiken, lijkt mij zonder meer voldoende verband te hebben met het daadwerkelijk (productie) gebruik van die omgeving.

De norm “Achtergrondstudies en Verkenningen Nr. 23” van het Cbp is streng:

Voor het testen van informatiesystemen met persoonsgegevens mogen uitsluitend gegevens van fictieve personen gebruikt worden.

Deze norm is niet wettelijk bindend. Je moet deze norm zien als “zo doe je het goed” maar daaruit volgt niet “als je wat anders doet, zit je fout”. Als je wat anders doet, begeef je je in onontgonnen terrein. Dat mag, zolang je zelf dan maar uiterst goed oppast wat je doet. Een eigen norm daarvoor maken is geen slecht idee dan. Ik vond de Richtlijn gebruik productiegegevens uit alweer 2005 van het Bureau Keteninformatie Werk en Inkomen waar nuttige tips in staan.

Testen met echte persoonsgegevens moet wel nodig zijn, oftewel het gebruik van die testgegevens zou niet voldoende moeten zijn. Om bijvoorbeeld te kijken of de interface voor het oproepen van klantgegevens of bestellingen prettig werkt (een usabilitytest), kun je prima volstaan met fictieve gegevens. Een stresstest op de performance kan echter niet met honderd nepadressen als je in productie met honderdduizend echte adressen gaat werken.

Natuurlijk moet je altijd adequate beveiliging (art. 13 Wbp) hanteren, dus ook in je testomgeving. De testomgeving moet dus op dezelfde wijze zijn afgeschermd voor ongeautoriseerde toegang en gebruik. De personen die het systeem testen, moeten aan dezelfde geheimhouding en audits onderworpen zijn als de personen die het productiesysteem beheren. Dat wordt nog wel eens vergeten - men huurt een IT-er in om een databasekoppeling te bouwen en denkt dan niet dat daarbij geheimhouding nodig is. Maar als hij dan een test met productiegegevens gaat doen, is dat wel degelijk wettelijk verplicht.

Het is jammer dat sommige bedrijven zo doorslaan meteen: van totale laksheid naar OMGWTFWBP alles-verbieden-volstrekte-geheimhouding-niets-mag-meer. Even rustig ademhalen graag voor je zulke beleidsregels opstelt.

Arnoud

Een lezer wees me op de huisregels van Diergaarde Blijdorp die in niet mis te verstane termen fotograferen verbieden:

Je mag voor je privé-verzameling natuurlijk foto’s maken en de dieren en verblijven op film vastleggen, echter alleen voor eigen gebruik en zolang je de andere parkbezoekers niet belemmert. Publicatie van beeld- en/of geluidsmateriaal is verboden, tenzij er door Diergaarde Blijdorp vooraf schriftelijk toestemming is verleend. Als je beroepsmatig opnames wilt maken, dien je daarvoor altijd vooraf contact op te nemen met de Afdeling Communicatie van Diergaarde Blijdorp. Dit geldt niet voor trouwfoto’s. Als je beroepsmatig zonder toestemming van de afdeling Communicatie foto’s of filmmateriaal maakt en/of gebruikt, bega je een strafbaar feit en kun je juridisch vervolgd worden.

Strafbaar feit? ಠ_ಠ

Het is op zich toegestaan dat een bedrijf (of persoon) regels stelt aan het fotograferen op hun privéterrein. Het ‘huisrecht’ oftewel eigendomsrecht op dat terrein gaat namelijk in principe boven het recht van anderen om informatie te vergaren. De Hoge Raad bepaalde in 2003 (na eerder in 1987) dat voetbalclubs

uit hoofde van hun eigendoms- of gebruiksrecht van het stadion of het terrein in beginsel de vrijheid [hebben] om aan hun toestemming tot het betreden ervan beperkingen te verbinden, ook met het oog op het tot stand brengen van radio- en/of televisieuitzendingen.

In uitzonderlijke omstandigheden (bij héle grote nieuwsfeiten) is het denkbaar dat het eigendomsrecht opzij gezet kan worden.

Blijdorp is een private organisatie, voor zover ik kan zien, en dus geldt ook voor hun deze regel. Maar het schenden van het eigendomsrecht levert alleen een onrechtmatige daad op, en niet (meteen) een strafbaar feit. Van erfvredebreuk of lokaalvredebreuk (een misdrijf, art. 138 Strafrecht) is pas sprake als je niet weggaat naar daartoe gesommeerd te zijn. In de context van het fotoverbod zou dus pas sprake zijn van strafbaar fotograferen als je niet ophoudt na sommatie én niet weggaat ook.

In theorie is er nog het strafbaar feit “zonder daartoe gerechtigd te zijn een portret openbaar maken” (art. 35 Auteurswet) maar dat speelt pas bij publicatie van dat portret. Je kunt fotograferen an sich niet verbieden met een beroep op je portretrecht. Nog even afgezien van het punt dat dat alleen geldt bij portretten en je prima in een dierentuin kunt fotograferen zonder portretten van mensen te maken.

(De regels voor het dierentuinabonnement zijn trouwens niet Van Dam-proof, maar dat is een andere discussie.)

Arnoud

Twitter moet persoonsgegevens van drie personen betrokken bij Wikileaks, waaronder de Nederlandse hacker Rop Gonggrijp, aan de Amerikaanse justitie overhandigen. Dat meldde Webwereld vrijdag. Dit in verband met dat het onderzoek naar het openbaren van de legervideo ‘Collateral Murder’.

In principe lijkt dit te mogen. Het privacybeleid van Twitter vermeldt expliciet

Law and Harm: We may preserve or disclose your information if we believe that it is reasonably necessary to comply with a law, regulation or legal request; to protect the safety of any person; to address fraud, security or technical issues; or to protect Twitter’s rights or property.

en in dit geval was er een gerechtelijk bevel, dat zelfs in hoger beroep getoetst en bevestigd werd. Aan de letter van de (Amerikaanse) wet is dus voldaan. In strijd met Europese privacyregels lijkt me dit niet. Hoewel er zeker dubieuze aspecten in met name de USA PATRIOT ACT staan, lijkt het hier volgens dezelfde soort regels te zijn gegaan als bij ons: opsporingsdienst verzoekt rechtbank om toestemming, rechtbank toetst aan de wet en staat toe.

De gebruikte regel (18 USC 2703(d)) is wel erg breed: het bevel mag ook tegen niet-verdachten gericht zijn en meer dan een “redelijke grond” voor de doorzoeking is niet nodig. Dit in tegenstelling tot een huiszoeking, die in de VS “probable cause” vereist, een hogere standaard. Dus als je redelijkerwijs mag denken dat deze twitteraar wellicht iets te maken heeft met een misdrijf, dan kun je zijn naam, adres, e-mailadres, IP-adres etcetera opvragen bij Twitter.

Maar die regel in de VS is strenger dan bij ons: in Nederland mag elke agent, zonder zelfs maar een officier van justitie te hoeven bellen, naam en adresgegevens (plus IP-adres en dergelijke) opvragen van gebruikers van een dienst (art. 126nc en 126na Strafvordering, plus 13.4 Telecomwet). Pas als er gespit gaat worden in mailboxen of meegelezen wordt met chats, is er een officier van Justitie nodig (art. 126nd en 126ne Strafvordering, bij niet heel ernstige misdrijven is de rechter-commissaris nodig).

Wat wel bevreemdt is dat het hier gaat om personen die niet allemaal Amerikanen zijn. Naast onze Rop betreft het ook de IJslandse parlementariër Birgitta Jonsdottir. Zij reageerde woedend:

We have to have the same civil rights online as we have offline. Imagine if the US authorities wanted to do a house search at my home, go through my private papers. There would be a hell of a fight. It’s absolutely unacceptable.

Ik snap het punt maar volgens mij is haar vergelijking niet helemaal juist. Men doorzoekt niet haar huis in IJsland, men doorzoekt in deze analogie haar vakantiebungalow in Californië, of misschien moet ik zeggen haar postbus in Californië. Want het gaat om een Amerikaanse dienst met opgeslagen data in de VS. Het lijkt me dan iets logischer dat de Amerikaanse justitie vindt dat ze daar wat over te zeggen heeft.

Veel zorgelijker vind ik het idee dat we Nederlanders zouden uitleveren op basis van een onderzoek als dit.

Arnoud

De Nederlandse politie heeft een cruciale rol gespeeld in het oprollen van een groot malafide DNS-netwerk, meldde Webwereld gisteren. RIPE verklaart een bevel te hebben gehad om van 8 november tot 22 maart volgend jaar deze DNS entriesIP-adressen niet te mogen wijzigen. Hiermee heeft het KLPD zo te lezen weer een botnet overgenomen, want Ronald Prins van Fox-IT meldt bij Webwereld: “De DNS-servers draaiden op bepaalde ip-adressen. Nu zijn die vervangen door servers van de politie zelf.”

In Nederland geldt de regel dat de politie alleen bevelen mag geven als die gebaseerd zijn op een bevoegdheid uit het wetboek van strafrecht. Men mag dus niet zomaar gegevens vorderen, vernietigen of aftappen. Voor elke vordering moet een grondslag aangewezen zijn, en natuurlijk moet aan de eisen uit de wet voldaan zijn. Vragen staat dus niet vrij voor de politie.

Wat is hier dan de wettelijke grondslag? Het KLPD is zeer creatief in het toepassen van de wet bij ICT-problemen. Op zich lovenswaardig, zolang ze maar binnen de wet blijven. En het zou leuk zijn als het KLPD in haar persberichten dan ook zou melden welk wetsartikel ze gebruiken. Nu moeten we maar raden wat het zou kunnen zijn.

Ik kan twee opties bedenken:

1. Artikel 126k: betreden van een besloten plaats om daar “sporen veilig te stellen”. In dit geval zijn de DNS entries dan de sporen, en het bevriezen door RIPE is een vorm van veiligstellen. Dat voelt niet helemaal kloppend, dit artikel is bedoeld om een plaats te betreden die met een misdrijf te maken heeft.
2. Artikel 126ni (ni!): het bewaren en beschikbaar houden van gegevens “waarvan redelijkerwijs kan worden aangenomen dat zij in het bijzonder vatbaar zijn voor verlies of wijziging”. DNS entries voldoen daar wel aan. Alleen, men mag ze hooguit 90 dagen bewaren en 8 november + 90 dagen is bij mij geen 22 maart. Verlengen is mogelijk, zo staat in het laatste lid, maar om nu meteen vanaf dag 1 er een verlenging tegenaan te gooien?

Eigenlijk zouden dit soort zaken eens moeten worden aangevochten bij de rechter, zodat we jurisprudentie krijgen over welke cyberbevoegdheden de politie heeft. Maar ja, een botnetbeheerder gaat echt niet naar Nederland komen om te procederen over artikel 126ni Wetboek van Strafrecht.

Arnoud

Op opensource.com vond ik (via) een mooi overzicht van gefaalde DRM systemen, van Realnetworks/Rhapsody tot Apple, Microsoft PlaysForSure en Nokia. Aanleiding was de aankondiging van Rhapsody dat iedereen voor 7 november zijn DRM-beveiligde muziek moet omzetten naar een ander formaat, omdat anders ze niet meer af te spelen zijn op die datum.

Het artikel laat de geschiedenis van DRM beginnen in 1998, toen de Digital Millennium Copyright Act werd aangenomen en het omzeilen of kraken van DRM verboden werd. Het idee van DRM is eigenlijk nog ouder dan dat, en niet alleen omdat de DMCA afkomstig is uit het WIPO Auteursrechtenverdrag uit 1996. In datzelfde jaar publiceerde Mark Stefik van Parc de paper Letting loose the light (PDF, 2,5MB) waarin hij het idee beschreef waar DRM op gebaseerd is. (Stefik was later oprichter van Intertrust, een firma die DRM technologie ontwikkelde. Intertrust werd in 2002 gekocht door Philips en ja ik werkte daar toen.)

Stefiks artikel was een reactie op John Perry Barlow die schreef dat door het eenvoudig en perfect kopiëren dat het internet mogelijk maakt, het idee van auteursrecht ondergraven wordt. Auteursrecht is gebaseerd op de aanname dat je werken per stuk kunt verkopen, en zo kunt afrekenen per stuk ook. Het elegante van dit systeem is dat het geen kwaliteitstoets nodig heeft, in tegenstelling tot systemen waarbij de overheid subsidie geeft aan bepaalde kunstenaars (wie kies je? welke werken koop je aan?) of waarbij je als maker een mecenas moet zoeken die je werk hopelijk leuk genoeg geeft. Met het auteursrecht in deze vorm beslist de markt. Als veel mensen je werk kopen, dan verdien je veel geld. Maak je werk waar niemand op zit te wachten, dan krijg je geen inkomsten en dan moet je maar wat anders gaan doen. Zo ontstaat er een markt voor werken waar iedere auteur/maker zich op kan begeven en via zijn auteursrecht kan proberen zijn of haar boterham te verdienen.

Die aanname komt echter flink onder druk wanneer iedereen onbeperkt kan kopiëren zonder enige kwaliteitsverlies. Je kunt werken wel “bottelen” zoals Barlow het noemt, maar alles loopt meteen weg door het elektronisch vergiet. Stefiks idee was dan ook om de onbeperkte waterval die het internet is, weer om te zetten in een grote verzameling flessen. Hij introduceerde daarvoor het concept van “trusted systems”, systemen die de regels gezet door auteursrechthebbenden netjes naleven en weigeren acties uit te voeren die niet gelicentieerd zijn. Met zulke systemen zou de elektronische handel in flessen, pardon werken op gang moeten komen. Je hoeft als auteur niet meer bang te zijn dat je werk wordt gekopieerd, en daarmee zou je de markt moeten willen betreden.

Het systeem werd ook wel superdistributie genoemd, want distributie en beschikbaarstellen stond centraal. Iedereen mocht werk kopiëren, graag zelfs. Alleen: wie het werk wilde gebruiken, moest gaan betalen. Stefik introduceerde daarvoor het concept van een rechtenbeschrijving, waarin de rechten zouden worden vastgelegd die je voor een werk kon kopen. Daarmee is in theorie een heel flexibel model mogelijk. Wil je heel weinig, bijvoorbeeld één keer kijken, dan betaal je weinig en het rechtensysteem zorgt ervoor dat je ook niet meer kunt dan dat. Wil je veel, bijvoorbeeld onbeperkt kijken én delen met vrienden, dan betaal je meer en dan wordt dat ook allemaal mogelijk. Wettelijke uitzonderingen zoals citaatrecht zouden kunnen worden voorgeprogrammeerd binnen zekere grenzen.

Helaas bleek de praktijk weerbarstig: de industrie zag dit model en paste het toe als “u mag heel weinig én u betaalt heel veel”. Geen enkel DRM-systeem op de markt heeft ooit de consument écht de mogelijkheid geboden flexibel rechten te kopen, of zelfs maar om meer te kopen dan een tijdelijk gebruiksrecht voor een lageresolutieversie op de PC.

In 1999 werd Napster opgericht. Deze bestandsdeeldienst had een goede positie om een DRM-achtige oplossing te introduceren. Haar centrale server maakte het mogelijk om alle uitwisseling in de gaten te houden, en dan af te rekenen en/of beperkingen te introduceren à la het systeem van Stefik. De muziekindustrie zag Napster echter als niets meer dan piraterij en procedeerde de club kapot.

In Nederland speelde iets later ongeveer hetzelfde bij Kazaa. Dit bedrijf was ook in de gelegenheid om te monitoren wat mensen up- en downloadden, en was bereid daar een vergoeding over af te dragen aan Buma/Stemra. Dit werd echter op het laatste moment onmogelijk gemaakt doordat Kazaa in de VS werd aangeklaagd. Juridische stappen tegen B/S leidden wel tot een Hoge Raad-arrest dat de software legaal was maar niet tot een gelegaliseerde uitwisselingsdienst.

Daarmee was eigenlijk de kans voor DRM binnen bestandsuitwisseling (filesharing) wel verkeken. Ontwikkelaars van nieuwe systemen richtten zich op het niet-aanpakbaar maken, bijvoorbeeld door centrale servers te dumpen zodat geen partij meer aan te klagen was. De Pirate Bay zette daarbij de toon. In reactie daarop begon de industrie steeds verder om zich heen te slaan en partijen aan te pakken die op indirecte wijze bij inbreuk betrokken waren. Bij ons heeft stichting Brein de afgelopen vijf, zes jaar een heel raamwerk van rechtspraak opgetuigd rond partijen die hyperlinks of andere informatie aanboden naar illegaal uitwisselen, en men is van plan ook door te pakken naar betaalsystemen en internetproviders. Ondertussen wordt elk DRM- en encryptiesysteem gekraakt zodra het op de markt komt. Dat is een wapenwedloop die onmogelijk tot een zinnige oplossing kan leiden.

Nieuwe systemen waarbij mensen een eerlijke prijs betalen voor een redelijke set mogelijkheden zie ik echter niet meer ontstaan. Sterker nog, de trend is juist om DRM te dumpen. Deze trend werd ingezet door Steve Jobs, die op geheel eigen wijze de muziekindustrie min of meer dwong te accepteren dat hij DRM-vrije muziek kon verkopen via iTunes. Sindsdien is muziek steeds vaker DRM-vrij te koop, hoewel vaker wel duurder en tegen slechtere kwaliteit maar dat zou een kwestie van tijd moeten zijn.

Voor films blijft de industrie vasthouden aan DRM, en wel in het model “u mag niets en betaalt de hoofdprijs”. Want ja, eigenlijk moet er nog een paar jaar verdiend worden aan Blu-Ray voordat het verkoopkanaal “internet” aangeboord kan worden. De industrie gaat namelijk uit van het idee “iedereen moet betalen, voor elk gebruik” en wil maximaal verdienen uit elk kanaal. Het meest extreme voorbeeld is de Disneykluis: Disneyfilms komen slechts ééns per generatie uit, zodat iedereen ze weer opnieuw gaat kopen.

En dat is de tragiek van het systeem: het had zo mooi kunnen zijn, superdistributie en betalen per gebruik. Maar DRM is alleen ingezet als antipiraterijsysteem en voor het maximaal uitpersen van de consument. Daarmee is ieder draagvlak voor het systeem weggenomen.

Hoe het dan wel moet? Eerlijk gezegd heb ik geen idee. Het lijkt me te laat om nu nog een vriendelijk en bruikbaar DRM systeem te introduceren zoals Stefik dat voor ogen had. De kampen zijn te verhard - de discussie gaat nu zo ongeveer over de vraag of elektriciteitsmaatschappijen aansprakelijk zijn voor inbreuk gepleegd door hun afnemers, niet over hoe we filmverkoop via internet gaan stimuleren. En ook de politiek lijkt alleen nog te focusseren op het idee dat piraterij moet worden gestopt zodat magischerwijs er ineens een groot legaal aanbod gaat komen.

Ik blijf terugkomen bij het idee van verplichte licenties: sta toe dat iedereen werk kopieert maar verplicht winstafdracht aan rechthebbenden. En nee, ook dat systeem is niet perfect. Maar wie wat beters weet, mag het zeggen.

Arnoud
Foto: Michael Vroegop, Flickr, CC-BY 2.0

Iedereen is vrij domeinnamen te registreren. De inhoud van de domeinnaam maakt daarbij niet uit. Zo kan het dus zijn dat er domeinnamen worden geregistreerd met daarin merknamen en handelsnamen van anderen, of domeinnamen die sterk op deze namen lijken. Degenen die eigenlijk recht hebben op deze naam treden hier vaak tegen op.

Maar…niet elke domeinnaam met een merk erin is automatisch op te eisen door een merkhouder en in sommige gevallen kunnen op elkaar lijkende handelsnamen online best naast elkaar bestaan.

Voor domeinnaamhouders én merkhouders is het belangrijk te weten wat precies de regels zijn. ICTRecht en BRight advocaten organiseren daarom op 6 december een middagworkshop over de regels rond domeinnamen. Deelname kost slechts 45 euro per persoon.

Programma

13.30-14.00 ontvangst

14.00-14.30 Merken en handelsnamen, inleiding (BRight)
Wat zijn merken en wat zijn handelsnamen? Welke soorten merken zijn er? Wat kan de merkhouder doen met een merk? Wat kan een bedrijf met een handelsnaam en waarom zou je een (veel duurder) merk registreren?

14:30-15.15 Merken versus domeinnamen (ICTRecht)

Wanneer is gebruik van een merk in een domeinnaam merkinbreuk/handelsnaaminbreuk? Kan een merkhouder zomaar elke domeinnaam opeisen waar zijn merk in zit? Maakt de inhoud van de site nog uit?

15.15-15.30 pauze

15.30-16.00 Legaal gebruik van merk online (ICTRecht)

Waar liggen de grenzen van merken en handelsnamen? Welke rechten heb je als verkoper van merkproducten, of als concurrent die vergelijkende reclame wil maken.

16.00-17.00 Merkinbreuk bij de rechter (BRight)
Wat te doen bij (vermeende) inbreuk? Naar de rechter of arbitrage bij WIPO/SIDN? Welke specifieke processuele regelingen zijn er op dit gebied? En hoe zit dat met de proceskosten?

17.00 uur Borrel

Locatie

De workshop vindt plaats bij Seats2meet te Utrecht, Moreelsepark 65 (Hoog Catharijne, Kantoren Hoog Overborch, 2e etage).

Inschrijven

Inschrijven voor de workshop kan via ICTRecht of per e-mail naar info@ictrecht.nl onder vermelding van “Workshop domeinnamen”. U ontvangt na de workshop een factuur voor de 45 euro deelnamekosten. Indien u na deelname aan de workshop een opdracht geeft aan ICTRecht of BRight zullen de kosten van 45 euro op de kosten van de opdracht in mindering worden gebracht.

Als deelnemer kunt u verder het boek De wet op internet van ICTRecht-partner Arnoud Engelfriet bestellen met 20% korting. Vermeld bij uw inschrijving dat u het boek wenst te ontvangen. U ontvangt het boek dan bij de workshop.

Wat voor workshops of seminars zouden jullie nog meer interessant vinden?

Arnoud

Verzekeraars maken gebruik van sociale media om te kijken of mensen die schade hebben, de boel niet oplichten. Dat meldde RTL Nieuws gisteren. Men verwijst naar de Telegraaf, dat meldt over een verzekerde wiens autoverzekering stopgezet zou worden, omdat hij mee zou hebben gedaan aan straatraces. En, voor mij opmerkelijk, dat meldt dat het Cbp dit goedkeurt want “sociale media zijn namelijk nog niet opgenomen in de privacywetgeving.”

Ik weet niet wie ze bij het Cbp aan de lijn hebben gehad maar daar klopt niks van. Goed, letterlijk staat “sociale media” niet in de wet maar ik mag hopen dat woordvoerders íets informatiever zijn dan dat. (Update zie onder voor reactie Cbp). Een publicatie op sociale media is ‘gewoon’ een publicatie op internet, zoals blijkt uit de Richtsnoeren persoonsgegevens op internet van datzelfde Cbp. Die zeggen bijvoorbeeld:

De aanbieders van profielsites zijn samen met de gebruikers medeverantwoordelijk voor de verwerking van persoonsgegevens op de betreffende website. De aanbieders van deze diensten moeten zich daarom houden aan de regels uit de Wbp. … Ze dienen geschikte beveiligingsmaatregelen te treffen, zoals het standaard afschermen van de profielen voor zoekmachines en alleen toegang te bieden aan vrienden van de gebruiker. Ook dienen ze de mogelijkheid te bieden de profielen en elders op de site geplaatste informatie te verwijderen.

Wel is het zo dat wie iets op een profielsite zet zónder privacysettings, daarmee toestemming geeft voor kennisname aan mensen die de pagina bezoeken. Dus ook je verzekeraar. Ook als het gaat om medische gegevens, zoals letterlijk in de Richtsnoeren:

Iedere volwassene die op zijn of haar eigen homepage of weblog met opzet en onder eigen naam gevoelige informatie over zichzelf publiceert, zoals verslagen van medische perikelen, maakt die ge­gevens duidelijk zelf openbaar. Daardoor vervalt het verbod om die bijzondere gegevens te verzamelen en te verwerken.

Worden die gegevens echter afgeschermd voor alleen een select groepje vrienden, dan wordt dat anders. Dan kan de verzekeraar ze niet zomaar meer zien. En dan zijn ze dus ook niet meer zomaar te gebruiken. Natuurlijk kan de verzekeraar een particulier rechercheur inschakelen die zich dan onder valse naam aan probeert te melden, maar dát is dan wel problematisch. Hun gedragscode vermeldt namelijk dat zij strikt in overeenstemming met de wet moeten werken.

Voor deze gedragscode geldt als eerste basisregel dat de rechten en plichten die gelden voor iedere burger, ook gelden voor particuliere onderzoeksbureaus. Hierbij geldt evenwel dat van particuliere onderzoeksbureaus een grotere mate van zorgvuldigheid mag worden verwacht in het kader van hun beroepsuitoefening. Bij bevoegdheden van iedere burger kan gedacht worden aan het raadplegen van openbare registers (zoals de registers van de Kamer van Koophandel en Fabrieken en de registers van het Kadaster) en openbare bronnen (zoals het internet).

Een particulier rechercheur kan zijn vergunning kwijtraken als hij in strijd met de wet gegevens verzamelt van anderen.

Omdat er bij gebruik van zulke gegevens altijd kans op misverstanden, onduidelijkheden of persoonsverwisselingen bestaan, is het zeer verstandig om altijd eerst navraag te doen. In de context van sollicitaties staat dat zelfs in de NVP-code als expliciete eis. Het lijkt me dat een afwijzing van een verzekeringsclaim zonder zulke navraag vrij eenvoudig te vernietigen moet zijn.

Wat alle problemen op zou lossen, is als verzekeraars bij de polisaanvraag toestemming gaan vragen voor het mogen uitvoeren van dergelijk onderzoek op Facebook en andere sociale media. Dat mag (mits de toestemming specifiek en duidelijk gevraagd wordt) en zeker als je het koppelt aan een korting. Stel je krijgt 5% korting op je verzekeringspremie als je ze laat snuffelen op Facebook, ik gok dat 80% van de verzekerden daarmee akkoord gaat.

Update: (9 november) per mail laat het Cbp weten:

In dat Telegraaf-artikel staat inderdaad een citaat van de woordvoerder van het CBP, zijnde ondergetekende. Helaas was het citaat onvolledig en onjuist. Ik heb niet gezegd of bedoeld te zeggen dat social media niet zijn opgenomen in de privacywetgeving. Inderdaad heeft het CBP al eerder richtsnoeren uitgebracht over persoonsgegevens op internet, waarnaar je ook verwijst in je column. Wat ik wel heb gezegd of bedoeld te zeggen is dat

• het CBP geen onderzoek heeft gedaan naar deze casus en dus geen inhoudelijk oordeel kan geven
• het aan de rechter is om te bepalen wie in deze zaak gelijk is
• en hoe hij het feit dat het bewijs is verkregen via Facebook weegt
• op dit punt moet nog meer jurisprudentie worden ontwikkeld
• de Wet bescherming persoonsgegevens is van toepassing op alle persoonsgegevens, dus ook die op internet staan

Arnoud

Een lezer vroeg me:

Als ik producten inkoop, dan mag ik verwachten dat die voldoen aan de gestelde eisen. Doen ze dat niet, dan gaan ze retour en dan krijg ik vervanging of herstel. Volkomen logisch lijkt me; je koopt iets en dan moet je dat ook krijgen. Maar bij software lijkt dat allemaal anders te liggen. Je vraagt om bepaalde functionaliteit, je krijgt iets dat er een beetje op lijkt maar vol zit met fouten - maar als je die hersteld wilt hebben dan moet je een onderhoudscontract afnemen, oftewel elke maand betalen in de hoop dat je op zeker moment krijgt wat je zoekt. Waarom kan dat zomaar, juridisch?

Dat kan vooral omdat iedereen het accepteert.

Hoofdregel is dat je bij elke overeenkomst recht hebt op nakoming op de manier die je mocht verwachten. Of het nu gaat om levering van een product of van een dienst (zoals ontwikkelen van software), er zijn afspraken en de leverancier moet die nakomen. Doet hij dat niet, dan is het wanprestatie.

Bij software-ontwikkeling is het zeer gebruikelijk om af te spreken (via niet-onderhandelbare clausules in algemene voorwaarden van leveranciers) dat de software zonder garantie komt en dat je maar moet hopen dat het werkt. Een wederpartij die dat accepteert, zit daar aan vast. En ja dat mag, een bedrijf is vrij om af te spreken dat ze veel geld betaalt zonder kwaliteit te hoeven verwachten. (Dit geldt óók voor producten trouwens, je mag als bedrijf je aanspraak op garantie of conformiteit ‘wegtekenen’ als je dat wilt.)

Vorig jaar oordeelde het Gerechtshof dat standaardsoftware als ‘zaak’ aangemerkt kan worden, waarmee je in principe langs dezelfde weg als bij producten kunt eisen dat fouten hersteld of vervangen worden. De Europese Commissie wil een dergelijke aanpak wettelijk vastleggen. Maar dat zal dan alleen voor consumenten gelden, voor bedrijven zal het mogelijk blijven om hiervan af te wijken.

Natuurlijk kun je als bedrijf prima eisen dat je wél kwaliteit krijgt, bijvoorbeeld via een uitgebreide acceptatietest of gratis onderhoud op alle fouten die je binnen $X maanden na levering ontdekt. Ook dat is onderdeel van dat vrije mogen afspreken. Wat er uiteindelijk wordt besloten, hangt dus af van hoe stevig de partijen kunnen onderhandelen.

Dit voorjaar kwam de Hoge Raad met een arrest over melkmachines, dat ook voor ICT-dienstverlening relevant kan zijn. (Met dank aan ITenRecht.) Er waren melkrobots geleverd, maar de robots bleken niet goed te werken. De storingen (”voortdurende stroom van klachten”) bleken zo erg dat de klanten gingen klagen, en op zeker moment zelfs kortingen gingen opleggen vanwege de slechte kwaliteit van de melk. Ook liep een aantal koeien uierontsteking op, wat het bedrijf weet aan de slechte kwaliteit van de machines.

Er was een onderhoudsovereenkomst: 24/7 beschikbaarheid van een storingsmonteur voor € 5.000 per jaar plus kosten per bezoek. En die monteur kwam ook wel, maar een definitieve oplossing bleek niet te kunnen worden gevonden. Het bedrijf ontbond op zeker moment de overeenkomst wegens wanprestatie, waar de leverancier bezwaar tegen maakte. Er was toch een onderhoudsovereenkomst? Daarmee was elke fout gedekt.

De Hoge Raad gaat daar niet in mee, omdat

het systeem ten gevolge van de herhaalde storingen telkens een of meer uren, oplopend tot een of meerdere dagdelen, plat ligt, hetgeen een aanzienlijk negatieve invloed op de bedrijfsvoering (welzijn van de koeien en kwaliteit van de melk) heeft, hetgeen [verweerder] niet behoefde te verwachten.

Het moest daarmee de leverancier duidelijk zijn dat er iets serieus mis was met het systeem. En dat de klant dan op zeker moment er genoeg van heeft, had hij ook moeten begrijpen.

Dat partijen tevens een onderhoudsovereenkomst hadden gesloten op grond waarvan [eiser] verplicht was tot herstel over te gaan, staat aan dat oordeel niet in de weg.

De klant mocht dus de overeenkomst opzeggen wegens wanprestatie, ondanks de onderhoudsovereenkomst en de daarbij behorende afspraken over herstel van fouten. Volkomen terecht, lijkt me.

Arnoud

Hangen er bij jullie supermarkt nog veel van die briefjes met tweedehands bankstellen en dergelijke? Bij mij zijn het er de laatste tijd opvallend weinig. Ongetwijfeld komt dat doordat iedereen zijn spullen nu gewoon op Marktplaats.nl of een van de vele andere advertentie- of veilingsites kan zetten. Veel eenvoudiger, en een grote kans dat je ergens iemand vindt die het wel wil hebben. Maar wat nu als er meerdere mensen reageren?

Bij een veiling nodig je mensen uit om te bieden, en jij kiest dan het beste (hoogste) bod. Je bent dus vrij om een bod af te wijzen, maar als je tegen iemand zegt dat hij hem krijgt, dan zit je daaraan vast. Het kan goed zijn om deadlines te koppelen aan de veiling, dan krijg je duidelijkheid. Veel veilingsites bieden ook de optie een eindtijd te zetten op het biedingsproces.

Als er niets staat, dan is het lastig. De wet zegt niet meer dan dat je een ‘redelijke tijd’ moet geven voor de aanvaarding (art. 6:221 BW). Maar ja, wat is redelijk bij een advertentie op Marktplaats? Hoe snel mag je verwachten dat iemand reageert?

Volgens Franken/Kaspersen/De Wild (p. 164) dien je mensen toch wel enkele dagen te geven bij een aanbod per e-mail. Ik denk dat dat ook wel opgaat bij een aanbod via Marktplaats of eBay. Wil je écht een kortlopende veiling, dan moet je dat er gewoon bij zetten.

Arnoud

RealNetworks is onderuit gegaan in de zaak tegen Hilbrand Edskes over een hyperlink naar Real Alternative, las ik gisteren bij Webwereld. Edskes beheert de website CodecPack waar veel links naar freeware op staan. Een van de pakketten is Real Alternative, een alternatief voor Real Player van RealNetworks. Real had via een ex parte beschikking(!) inbeslagname van zijn computers en een inval in zijn huis geregeld, omdat RA inbreuk op de rechten van Real zou maken. De rechtbank Den Haag vernietigt het vonnis compleet en verplicht Real tot betaling van Edskes’ advocaatkosten.

Reals vordering was gebaseerd op het feit dat Real Alternative (een meukvrije en snellere speler voor video’s in het Real-formaat) inbreuk op haar auteursrechten zou maken, omdat er codecs overgenomen zouden zijn. Real stelde daarvoor Edskes aansprakelijk en trok maar meteen het misbaksel van de ex parte beschikking uit de kast: een vonnis zonder tegenspraak, dat je zo ongeveer altijd krijgt met een mooi verhaal dat er inbreuk zou zijn. Voor zover ik kan zien primair gebaseerd op het feit dat Edskes linkte via een speciale DNS entry, waarbij je een redirect via “server-b1.edskes.com” kreeg die weer naar de de feitelijke URL (bij de Duitse softwaresite Freenet) verwees. Deze redirect helpt onder meer tegen linkjatters.

Vervolgens startte Real een bodemprocedure, een echte rechtszaak dus, waarin ze zo’n twee ton schadevergoeding eiste van de siteaanbieder. Daarbij werd die DNS-redirect aangegrepen als bewijs dat Edskes zelf zou verspreiden. Uit het vonnis blijkt dat de rechter dit niet accepteert. Dat het lijkt of een bestand van een bepaalde server komt, betekent nog niet dat het ook echt zo is. Wie doet of hij films verspreidt, pleegt nog geen inbreuk.

Ook het argument dat Edskes’ link de enige manier was om het programma te downloaden en daarmee een publicatie wordt afgewezen. De gedachte daarachter was dat “openbaarmaken” uit de Auteurswet neerkomt op “aan het publiek beschikbaar stellen” en wie de link of sleutel tot een verborgen bron publiceert, zou je kunnen zien als de beschikbaarsteller en dus de openbaarmaker.

Wie nu aan FTD moet denken: inderdaad, dat argument speelde ook daar. Zijn forumposts die zeggen “in alt.binaries.boneless staat de film Avatar.dvdrip.Axxo.mk4″ een publicatie van de film? Nee, zei het Hof Den Haag destijds en nee zegt de rechtbank Den Haag nu ook.

Het beschikbaar stellen van Real Alternative aan het publiek gebeurde niet binnen de website van [Edskes], althans onder zijn zeggenschap of controle, maar op een andere server namelijk die van Freenet. Na het aanklikken van de link werd een ander frame geopend waarbinnen de gebruiker diende in te stemmen met het downloaden van Real Alternative naar zijn eigen computer. [Edskes] stelde met zijn link dan ook slechts een ‘bewegwijzering’ ter beschikking naar de locatie waar het bestand Real Alternative voor het publiek toegankelijk was.

Ook had Real gesteld dat Edskes een ‘tussenpersoon’ is, vergelijkbaar met een internetprovider zeg maar, die anderen in staat stelt informatie op internet te betrekken. Als zo’n tussenpersoon betrokken is bij een inbreuk via zijn dienst, dan kan hij verplicht worden in te grijpen. (Inderdaad, dit is hoe Brein wil dat Ziggo en XS4All de PiraatBaai.org gaan blokkeren.) Die stelling was gebaseerd op het feit dat Edskes een link aanbood. De rechtbank “vermag niet in te zien” hoe dat argument in elkaar steekt (ik ook niet trouwens).

Als laatste trekt Real nog de Brein-jurisprudentie uit de kast omtrent linksites: het structureel en systematisch faciliteren van inbreuk is onrechtmatig, ook als je zelf niets verspreidt of openbaar maakt, als je daar financieel gewin mee haalt. En al meteen daar gaat het fout: Edskes verdiende niets aan zijn site.

Bovendien geldt er bij die rechtspraak ook dat je wel moet hebben geweten dat de hyperlinks structureel illegaal zijn. En zeg eens eerlijk, had u dat gedacht van Real Alternative totdat u las dat Realplayer Edskes ging slopen?

Edskes had stapels producties overlegd waaruit bleek dat zo ongeveer de hele IT-wereld Real Alternative als legaal zag, en dat naast Freenet tientallen websites Real Alternative (gratis) te downloaden aanboden en nog steeds aanbieden. Dat Freenet zelf een grote softwaresite is, van wie je toch enige zorgvuldigheid mag verwachten, woog ook mee.

Alles bij elkaar kan Edskes niet worden verweten dat hij structureel, systematisch en uit winstbejag een hyperlink aanbood. Oftewel: er was niets mis met wat hij deed. Real mag zijn advocaat betalen: 46.000 euro.

Mark Jansen van Dirkzwager wijst erop dat deze redenering van de rechtbank wel eens gevolgen kan hebben voor het embedden van foto’s en films. Daarbij wordt vaak gezegd “de techniek is niet relevant, het gaat erom dat mensen het zien”. Mooi gevonden!

Opmerkelijk is nog dat Real het ex parte misbaksel blijkt te hebben gebruikt om internationaal te claimen dat er een verbod is uitgesproken én tegen Techzine te claimen dat de software ‘dus’ onrechtmatig was en ook bij haar verwijderd moest worden. Hoezo op de zaak vooruit lopen?

Update (7 november) Realnetworks meldt “door te gaan” met de juridische stappen. Welk juridisch belang ze daarbij hebben (de software is weg immers) is me onduidelijk.

Arnoud