Internetrecht door Arnoud Engelfriet

Dit gaat nog leuk worden: Google en de Europese Commissie kwamen ongeveer tegelijkertijd met nieuwe privacyregels, maar ze gaan elk compléét de andere kant op. De EC heeft een machtig wapen ingevoerd: boetes tot 5% van de jaaromzet voor wie de privacywet negeert. Maar Google heeft ook een machtig wapen: uitsluiting van alle Googlediensten als hun privacyregels je niet bevallen.

Google heeft nu ongeveer zestig verschillende privacybeleiden en wil daar vanaf. Loffelijk, want er rammelde nogal wat aan die teksten. Dus nu maken ze één geconsolideerde tekst. En die rammelt gewoon in z’n eentje.

Korte samenvatting: wij verkrijgen gegevens van u, van anderen en wij leiden gegevens af van wat u allemaal doet (en wat u gebruikt en waar u bent). Wij gebruiken die voor onze diensten (joh), met name om je advertenties op maat voor te schotelen. We mogen informatie combineren, dus als we uit Gmail je echte naam halen dan mogen we die aan je andere profielen plakken en dat heb je maar te accepteren. Oh, en we geven geen informatie aan derden tenzij die zorgvuldig geselecteerd zijn en die zich beloven te gedragen. Bevalt u dat niet (”People have different privacy concerns”), dan kunt u opt-outen. Niet van alles; u kunt “bepaalde” zaken uitzetten, niet meer. Maar u mag natuurlijk altijd naar Bing.

Ongetwijfeld volstrekt toevallig verscheen het officiële voorstel voor de nieuwe Privacyverordening. Geen gedoe meer met nationale wetten maar gewoon één wet die in één klap alles regelt, zonder mogelijkheid om daar van af te wijken of aanvullende regels te stellen. Het zal vast geen verrassing zijn dat die regels compleet de andere kant op gaan dan waar Google heen wil.

Hoofdregel is dat je zo beperkt mogelijk met persoonsgegevens moet omgaan. Je moet specifieke en welomschreven doelen hebben, en gegevens mag je dan alléén daarvoor gebruiken. Daarbij moet je eigenlijk altijd toestemming hebben. Er is en blijft een uitzondering voor een eigen noodzaak, als die zwaarder weegt dan de privacy.

Er komen strakke informatieplichten, nog strakker dan we al hadden. Je moet kunnen inzien wat men over je weet (en dat moet je elektronisch kunnen opvragen), en je moet expliciet te horen krijgen hoe je daar correcties of verwijdering van kunt realiseren. Dat recht van verwijdering hadden we al, maar wordt nu enigszins melodramatisch omgedoopt tot “recht te worden vergeten” - de partij die je gegevens opsloeg, moet alle redelijke stappen nemen om je gegevens te wissen, inclusief verzoeken bij derden die de gegevens hebben overgenomen. Ja, daarmee bedoelen ze Google en andere mirrors, zoekindexen en archieven.

In de praktijk zal dat recht geen bal veranderen ten opzichte van wat we hebben (en maar goed ook). Er is namelijk een uitzondering: je hoeft gegevens niet te verwijderen als je gebruik onder de vrije meningsuiting valt. En in 95% van de gevallen willen mensen hun gegevens namelijk niet uit een databank hebben maar uit een forum, nieuwsartikel of blogarchief omdat de daarin geuite feiten hen niet meer bevallen.

En zoals gezegd staan er forse boetebepalingen in die de Commissie kan inzetten als bedrijven de regels negeren. Expliciet zijn die ook bedoeld voor internationale (lees: Amerikaanse) bedrijven die menen dat zij niet onder Europees recht vallen. Dus dat gaat nog leuk worden, want ik zie Google écht niet zomaar omrollen omdat de EC meent dat privacy een groot goed is en targeted advertenties eigenlijk maar smoezelige dingen zijn. Omgekeerd gaat de EC ook niet snel zeggen “oh, jullie zitten in Californië, nee laat maar dan, wij gaan eerst achter Ilse aan”.

Eerlijk gezegd vind ik beide aanpakken best wel slecht. Googles “wij mogen alles en als u dat niet bevalt gaat u maar lekker Bingen” is natuurlijk zo generiek dat het niet leuk meer is. Afgezien van zalvende woorden en een paar optoutaanvinkvakjes ben je op die manier compleet aan de zoekmachine overgeleverd. Maar wat de EC van plan is, zie ik ook niet werken. Zó veel invloed en controle bij mensen neerleggen is onwerkbaar, nog afgezien van het punt dat driekwart van de mensen (en dan ben ik positief) niet snapt wat er nu eigenlijk gebeurt en dus op voorhand overal maar mee akkoord gaat “anders doet ie het niet”.

Ik blijf erbij dat het beter is om het zo te doen:

1. Je moet altijd dat categorisch kunnen weigeren (en toch de dienst kunnen gebruiken, mits dan tegen betaling);
2. Je moet volledig disclosen wat je doet en waarom;
3. Mensen moeten inzage krijgen in de data die je hebt en hoe je daar conclusies uit trekt;
4. Als het niet klopt, moet je elke benadeelde burger 150 euro per fout voor betalen.

Arnoud

Zeer, zeer regelmatig krijg ik mails met als strekking “ik ben verbannen op een forum en dat vind ik onterecht”, met vervolgens een hele trits redenen waarom dat onterecht zou zijn. Men had bijvoorbeeld niet gezegd waarom, of niet de eigen huisregels goed gelezen, of de beheerder had wel iets gemeld maar wil niet in discussie over de feitelijke onjuistheden. Of hij trekt niet één lijn, zijn vriendjes mogen wel blijven maar de kritische forummer wordt eruit geschopt.

Een site-eigenaar stelt zijn eigen regels en daarbij mag hij arbitrair kiezen hoe redelijk of fair of makkelijk hij wil gaan werken. Als hij meldt mensen te bannen als ze hem tegenspreken of gewoon vervelend zijn naar zijn oordeel, dan mag dat. En daar heb je je maar bij neer te leggen als deelnemer.

Wél vind ik dat als je huisregels stelt, je als site-eigenaar daar ook naar moet leven. Als je zegt vrije discussie toe te staan en je verwijdert iedereen die je tegenspreekt, dan schend je je eigen regels en dat vind ik niet zomaar kunnen. Huisregels zijn deel van een contract tussen jou en je deelnemers, en dus ook bindend voor jou.

Ik zet daar wel tegenover dat ik veel klagers zie die ik moeilijk serieus kan nemen. Als ik tussen de regels door het gevoel krijg “wat ben jij een trol geweest” of “jamaar dit is gewoon spammen”, dan houdt het voor mij al heel snel op met de juridische analyse. Onredelijk overlastgevend gedrag is eigenlijk altijd wel een reden voor uitsluiting. En op het moment dat mensen beginnen over hun recht op vrije meningsuiting of “leven we nou in Nederland of Noord-Korea” dan ben ik er meteen klaar mee. Nee, je hebt geen recht je mening te uiten op andermans blog op forum.

En dáár weer tegenover staan de forumeigenaren die zich absoluut onredelijk gedragen, van dag tot dag andere regels hanteren, privéberichten lezen of zelfs aanpassen, modder over leden online zetten en zo de sfeer in hun eigen forum verpesten. Ja, dat is buitengewoon frustrerend en ik kan me voorstellen dat je dan kokend in de mail hangt naar een jurist om aan dat onrecht een einde te maken. Maar ja, als zo iemand tegen jou als lid onredelijk is waarom zou ik als buitenstaander dan wél wat kunnen bereiken?

Arnoud

Een lezer vroeg me:

Al een jaar of wat beheer ik met een aantal vrienden een forum. Gewoon voor de lol, we verdienen er niets aan maar we werken wel samen aan nieuwe features, subforums en leuke acties voor de gebruikers. Maar nu vroeg ik me af, zijn wij nu allemaal aansprakelijk als er iets misgaat en een gebruiker een claim indient? We zijn geen BV of vereniging immers.

Op internet zijn vele groepjes te vinden die samen een activiteit ontplooien, van bouwen aan software tot het beheren van forums, blogs of websites. Zolang het goed gaat is dat prima, maar zodra het fout gaat is de vraag “wie krijgt de claim”. En dat is een lastige wanneer er geen formele structuur is opgetuigd.

Het idee van “als groepje samen iets doen” is natuurlijk al ouder dan het internet, en het verbaast dan ook niet dat de wet hier toch regels voor heeft, met name de constructie van de “informele vereniging“.

Een vereniging is een zelfstandige rechtspersoon. Dat wil zeggen dat de vereniging zaken kan kopen, geld kan ontvangen, claims kan indienen en aangeklaagd kan worden. Het bestuur of de leden zijn zelf niet aansprakelijk, behalve in enkele bijzondere situaties. Wie dus als vereniging een site of forum exploiteert, hoeft niet als privépersoon bang te zijn voor claims. Idem voor de stichting met site of de BV met blog.

Een vereniging wordt officieel opgericht bij de notaris, maar strikt gesproken hóeft dat niet. De wet (art. 2:26 BW) eist alleen een “rechtshandeling”, oftewel een gezamenlijk genomen besluit “wij willen een vereniging zijn”. Dat mag ook in een serie e-mails naar elkaar of op een gezamenlijk ondertekend papiertje uitgewerkt worden zonder dure gang naar de notaris. Maar zelfs zo’n expliciete verklaring hoeft niet: het feit dat je samen (in vereniging, haha) werkt aan je doel kan al genoeg zijn om te spreken van een vereniging.

Wie zonder notariële akte een vereniging opricht, neemt wel meer risico. Want (art. 2:30 BW) de bestuurders zijn dan wél hoofdelijk aansprakelijk voor schulden en claims die tijdens hun bestuursperiode ontstonden (met een paar uitzonderingen en bijzondere regels; zo maakt het uit of jij wist van het besluit dat tot die claim leidde). Je kunt als bestuur je aansprakelijkheid iets indekken door de statuten bij de Kamer van Koophandel in te schrijven. Dan ben je pas persoonlijk aansprakelijk als duidelijk is dat de vereniging zélf de claim niet zal honoreren (hoewel dat geen héle hoge drempel is om te bewijzen).

De enige rechtszaak op internetgebied waarbij deze constructie werd gehanteerd, was die over intellectuele-eigendomsblog Boek 9. Deze site begon als een privé-initiatief maar kwam op zeker moment onder de vleugels van uitgeverij deLex. Na enige onenigheid wilde Boek 9 weer alleen verder, wat tot een rechtszaak leidde.

De Boek 9-redactieleden stelden hierbij onder meer dat zij een informele vereniging waren, met name vanwege de vraag of de later opgerichte stichting wel aan te klagen was. De rechter oordeelde van niet, omdat het enkele samenwerken aan de content van de groepsblog niet genoeg is:

De redactie van Boek9.nl bestond uit een wisselende groep personen en onduidelijk is of alleen de redactieleden of ook anderen tot de groep personen behoorden, die zich bezig hield met de content van Boek9.nl. Er bestonden geen statuten of andere regels, er waren geen regelmatige ledenvergaderingen en er was geen bestuur. De redactie is nooit zelfstandig (los van DeLex) verplichtingen aangegaan.

Wellicht dat men er wél zou kunnen komen als er ook een redactiestatuut of setje huisregels met gepaste en ongepaste content was, en de club af en toe zaken aankocht (naast het hostingcontract) op naam van Boek 9. Oftewel, je moet je wel als vereniging gedragen om je hierop te kunnen beroepen. Zorg dus voor:

• Duidelijke regels over de onderlinge samenwerking;
• Een naam waarmee je naar buiten treedt, liefst eentje die wijst op samenwerking (”club”, “netwerk”, “vereniging”)
• Een vergaderstructuur, minstens ééns per jaar met alle betrokkenen gaan zitten dus
• Daadwerkelijk dingen kopen of bestellen op naam van de vereniging, het liefst vanaf een eigen bankrekening
• Als het even kan op enig moment op schrift stellen dát je een vereniging wilt zijn, en dat ook ergens op de site publiceren

Natuurlijk kun je ook de formele route gaan bewandelen. Effectief is het enige verschil de dure notariële akte, en meer zekerheid over de aansprakelijkheid. En écht duur is die akte ook niet: volgens degoedkoopstenotaris.nl kun je al voor 257 euro de oprichting realiseren. Dát lijkt me toch geen onoverkomelijk hoog bedrag voor een club die van plan is langdurig samen te werken en zaken te kopen en verkopen.

Update (12:23) helemaal vergeten, er loopt hoger beroep in de Boek 9-zaak. Woensdag 1 februari is de zitting, wie gaat kijken c.q. twitteren?

Arnoud

En daar zijn we dan weer, conform de traditie: mijn Kroniek van het Internetrecht, aflevering 2011 alweer.

Van structureel procederende internetfietsenwinkels en falende kleine lettertjes tot al dan niet ondubbelzinnige toestemming in privacywetten, netneutraliteit en auteursrechtfilters en de Raad voor de Journalistiek die het internet op ging: volgens mij heb ik zo ongeveer alles wel behandeld dat relevant is. Maar uiteraard is het mijn geheel particuliere selectie zonder aanspraak op volledigheid of objectiviteit.

Wat heb ik allemaal gemist?

Arnoud

Veel voorkomende vraag van de week: mag ik een mirror van (of proxy voor) The Pirate Bay opzetten zodat klanten van Ziggo en XS4All de door Brein afgedwongen blokkade kunnen omzeilen? Of kan Brein dan mijn site ook aan die blokkadelijst laten toevoegen?

Om met dat laatste te beginnen: nee, dat kan niet. Het vonnis bepaalt dat de twee providers “The Pirate Bay” moeten blokkeren, en vanwege die Belgische grapjassen die gauw “depiraatbaai.be” registreerden om onder een vergelijkbaar Belgisch vonnis uit te komen, staat erbij dat Brein ook nieuwe IP-adressen en domeinnamen mag aanleveren als deze door “(de website van) The Pirate Bay” gebruikt worden.

Wat precies “The Pirate Bay” is, staat niet in het vonnis maar omdat het ‘dictum’ van een vonnis (de feitelijke gebods- of verbodsbepalingen op het einde) streng worden uitgelegd, kan een mirror niet onder die definitie worden gerekend. Misschien een privésite van één van de bekende beheerders wel, omdat hij dan zó dicht bij TPB zit dat hij ermee kan worden vereenzelvigd.

Wél kan Brein bij jou aankloppen als je een mirror host van de torrents die TPB aanbiedt. De rechtbank heeft immers uitgemaakt dat TPB onrechtmatig handelde door die collectie aan te bieden, en als jij dezelfde collectie aanbiedt dan handel jij ook onrechtmatig. Dus een Nederlandse mirror, of een buitenlandse mirror beheerd door een Nederlander, is snel weer gesloten en daar is die IP/DNS-lijst helemaal niet voor nodig.

Over een proxy waarmee je als klant van Ziggo of XS4All alsnog de site kunt bereiken is nog nooit geprocedeerd. Een generieke proxy is natuurlijk niet verboden, maar bij een specifieke proxy die alléén verbinding laat leggen met thepiratebay.org kun je je afvragen of dat nog wel legaal is. Het gaat wel érg ver want de aansprakelijkheid is wel héél afgeleid ondertussen (je faciliteert het verbinding leggen met een site die faciliteert dat mensen auteursrechten schenden). Uitsluiten dat Brein ook daarheen gaat blaffen, kan ik echter niet.

Arnoud

Het zal Apple eens een keer niet zijn: wie e-boeken wil maken en verkopen op hun iBooks platform, moet beloven dat boek dan ook alléén via iBooks te verkopen. Gratis weggeven mag bij hoge uitzondering wel op meerdere platforms. Eh, wat?

Inderdaad, in de licentie op iBooks Author staat:

As a condition of this License and provided you are in compliance with its terms, your Work may be distributed as follows:
(i) if your Work is provided for free (at no charge), you may distribute the Work by any available means;
(ii) if your Work is provided for a fee (including as part of any subscription-based product or service), you may only distribute the Work through Apple …

en dat kun je maar op één manier lezen: wie geld vraagt voor het met iBooks Author gemaakte werk, mag het alleen verspreiden via Apple. En dan moet je een aparte overeenkomst sluiten waarbij Apple een deel van dat geld krijgt.

Kan dat? Ja, in theorie wel. Zowel in Nederland als in de VS bestaat contractsvrijheid; je mag afspreken wat je wilt, ook als dat normaal gesproken gek, ongebruikelijk of onredelijk is. Zeker als het gaat om zakelijke contracten. Je bent er zelf bij, en als jij al je rechten wil opgeven voor 1 euro of de ander complete exclusiviteit wilt geven en 90% van de inkomsten, tsja dan moet je dat zelf weten.

De blogger die dit signaleerde, reageert met “I didn’t agree to it.” Hij installeerde immers alleen maar de software, en had nergens een handtekening gezet. Maar dát is geen argument. Ook mondelinge of via een installatie-met-”I agree”-klik gesloten overeenkomsten zijn in principe rechtsgeldig. Wel zal Apple moeten bewijzen dat die overeenkomst gesloten is, en dat zal hier nog lastig worden, want deze app wordt geïnstalleerd zonder dat je de licentietekst moet lezen en accorderen.

Ook haalt hij het argument “contract of adhesion” aan. Dat is een Amerikaansrechtelijke constructie die neerkomt op “contracten zijn niet rechtsgeldig als een partij met machtspositie ze opdringt én er hele rare dingen in staan”. Bij ons bestaat dat niet. Wel hebben we de regels voor algemene voorwaarden die niet onredelijk bezwarend mogen zijn (ook niet bij bedrijven als wederpartij), maar gek is niet automatisch onredelijk bezwarend.

Hier zou je het argument moeten voeren dat die distributievoorwaarde onredelijk bezwarend is, en wel omdat Apple misbruik maakt van haar machtspositie als controleur van apps op de iPad om zo concurrerende platforms op oneerlijke wijze kapot te concurreren. Daar valt wat voor te zeggen maar een uitgemaakte zaak is het niet. Belangrijk lijkt me de vraag of er alternatieve iPadboekmaaksoftware is. Als die er is, dan kun je moeilijker van misbruik van macht spreken. Weet iemand of zulke software er is?

Verder lees ik veel misbaar langs de lijn “mag een EULA wat zeggen over wat je met de software maakt”, maar juridisch gezien is dat geen discussie. Een EULA is normaal gewoon rechtsgeldig, en als daarin staat “op wat u maakt met onze software gelden regel X en Y” dan heb je je daaraan te houden. Dat het zeer ongebruikelijk is, of moreel verwerpelijk, ben ik onmiddellijk met hem eens maar dat zijn juridisch geen (sterke) argumenten. Een boycot of vergelijkbaar protest lijkt me de enige reële manier om hier wat aan te doen.

Arnoud

Een lezer vroeg me:

Het is wat vroeg, maar ik was al begonnen met mijn belastingaangifte. En nu vroeg ik me ineens af, stel dat ik een zakelijk gekocht tuinmeubel privé gebruik in mijn achtertuin. Dat mag natuurlijk niet van de Belastingdienst, maar er staat een hoog hek om mijn tuin dus knappe inspecteur die daar achter komt. Via Google Earth zou hij het wel kunnen zien, maar mag hij dat eigenlijk wel? Is dat geen onrechtmatig verkregen bewijs?

De Belastingdienst verbiedt op zich niet zo heel veel, alleen ongewenste praktijken kunnen leiden tot extra heffingen. Zo mag je best zo’n meubel privé gebruiken, alleen merkt de Belastingdienst het dan aan als loon in natura zodat je een forse naheffing krijgt.

Hoe dan ook, inderdaad moeten ze er wel eerst achter komen. En dat zal niet meevallen met een grote schutting. Maar inderdaad kijkt Google Earth daar overheen, en als de inspecteur dus de moeite neemt daar gebruik van te maken dan heb je echt een probleem. Roepen dat het onrechtmatig verkregen bewijs is, gaat je niet helpen.

Ook de politie mag in deze openbare bron kijken, zo blijkt uit een recent vonnis. In deze fiscale strafzaak werd de maat van een advocatenkantoor vervolgd wegens belastingontduiking en valsheid in geschrifte. Zo werden er facturen en orderbonnen vervalst, en zouden er producten zakelijk gekocht zijn om die vervolgens privé te gebruiken zonder dit aan te geven als loonuitkering.

Onder meer had men bonnen gevonden voor lichtgele Bubble Club fauteuils, en daarna Google Earth geraadpleegd om te constateren dat deze in de eigen achtertuin van deze maat stonden.

Geverbaliseerd is hoe via Google Earth het privéadres van verdachte is opgezocht en hoe vervolgens is ingezoomd op de tuin van verdachte, waarin verbalisante twee gele stoelen zag staan die volgens haar grote gelijkenis vertonen met de door verdachte gekochte stoelen.

Ik had dat proces-verbaal graag gelezen, want verbalisantentaal is een wonderlijk mengsel van taalgebruik, waarbij elke zin moet beginnen met “ik, verbalisante”. Dus je krijgt dan iets als “ik, verbalisante, dubbelklikte op het icoon van Google Earth, waarna ik het adres invulde dat mij bekend was als het privéadres van verdachte invoerde. Daarna constateerde ik, verbalisante, dat de applicatie een inzoomende animatie vertoonde naar Nederland en vervolgens een afbeelding liet zien welke mij, verbalisante, voorkwam als een bovenaanzicht van het privéadres van verdachte inclusief diens achtertuin. Daarna zag ik, verbalisante, in deze kennelijke achtertuin twee gele stoelen staan die volgens mij grote gelijkenis vertonen met de door verdachte gekochte stoelen.”

Hoe dan ook: mag deze agente dit doen en de uitdraai vervolgens als bewijs gebruiken?

Die vraag is serieuzer dan je zou denken, want de politie mag bij de opsporing in principe alleen de middelen gebruiken die in de wet zijn aangewezen als opsporingsmiddel. (Weet u nog, het gedoe om het IP-bevriezingsbevel tegen RIPE uit december?) Het via Google Earth inzoomen op een private plaats is geen in de wet genoemde opsporingsmethode, betoogde de verdachte dan ook. En iemands achtertuin is toch een privéplek, zodat je er niet met de generieke regel uit artikel 2 Politiewet komt. Die mag alleen worden gebruikt als dat slechts een ‘geringe’ inbreuk op de privacy oplevert.

De rechtbank gaat daar niet in mee. Het via Google Earth inzoomen op een of meer plaatsen kan niet worden aangemerkt als het gebruik van bijzondere technische opsporingsmiddelen, “nu iedere burger bij het gebruik van het internet, zulks kan doen.” Dat gaat mij wat snel; een burger kan ook een camera plaatsen of een afluisterapparaatje installeren, en toch is dat wel degelijk een bijzonder middel.

Maar in de memorie van toelichting bij de Wet Computercriminaliteit II had de minister expliciet gezegd:

Zoals de politie, al dan niet in burger, op straat mag surveilleren en rondkijken, zo mag een rechercheur vanachter zijn computer hetzelfde doen op Internet. Een uitdrukkelijke wettelijke grondslag is daarvoor niet nodig, mits dat optreden gerekend kan worden tot de uitvoering van de politietaak (zie artikel 2 Politiewet 1993).

De rechtbank vindt, met deze uitspraak in het achterhoofd, het een keertje kijken op Google Earth een geringe inbreuk op de privacy die moet kunnen zonder speciale bevoegdheid. Ik denk met mede de overweging dat als de agente een pootje had gekregen van een collega en zo over de schutting had gekeken, er ook geen sprake was geweest van onrechtmatig verkregen bewijs. (”Ik, verbalisante, ontving vervolgens een zogeheten ‘pootje’ van medeverbalisante en verhief mij aldus tot ongeveer een decimeter boven de schutting van het huis van verdachte, alzo ik constateerde…”).

De verdachte krijgt een geldboete van € 17.000 en een taakstraf van 40 uur.

Arnoud

Tsja, ik had er dus nooit een jaartal op moeten zetten. Want het is nu 2012 en nu denkt iedereen dat mijn boek De wet op internet zwaar verouderd is, omdat er “editie 2010″ op staat. Praktisch gezien is het nog geen anderhalf jaar oud, want de tekst is afgesloten in september 2010 en we zitten pas net in januari. Maar ja, jaartal is jaartal.

Internetrecht verandert snel, dat is waar. Op deze blog komt ongeveer elke dag wel een nieuwtje of een nieuw (een groot nieuwtje) voorbij. Maar bij een boek is dat wat lastiger. Zelfs als je met print-on-demand werkt; het bijwerken van teksten kost meer tijd dan je denkt. De grote lijnen van het internetrecht veranderen echter niet zó snel dat ik dat echt nodig vind bij het boek.

We hebben wel eens discussies gehad over een losbladige editie maar dat blijkt nogal begrotelijk, met name de verzendkosten elke keer zouden dit commercieel niet aantrekkelijk maken.

Wat ik wél kan doen is het ebook gratis maken: alstublieft.

Arnoud

Een lezer wees me op een discussie bij Fok! over ebooks en DRM daarop:

volgens mij mag je best je eigen drm eraf slopen. weet niet of FOK daar posts over wilt zien ivm de discussie die kan ontstaan, maar drm is vaak reteirritant.

Dat het irritant is, klopt zonder meer. Maar dat je het eraf mag slopen, nee, dat niet.

De Auteurswet kent speciale artikelen over het omzeilen of uitschakelen van kopieerbeveiligingen. Het belangrijkste is artikel 29a: het bewust omzeilen van “doeltreffende technische voorzieningen” is onrechtmatig, oftewel kan leiden tot schadeclaims van de rechthebbende. (Het is niet strafbaar en je krijgt dus geen boetes of celstraf.)

Er is bij de invoering van dit wetsartikel niet heel uitgebreid ingegaan op wanneer een beveiliging nu “doeltreffend” is. De minister liet het bij de opmerking dat het “uiteindelijk aan de rechter” is om dit te toetsen. Het proefschrift van Kamiel Koelman over auteursrecht en technische voorzieningen (PDF, 1,5MB, pagina 88 e.v.) gaat er iets dieper op in maar begint al meteen met “Het is echter onduidelijk wat ermee wordt bedoeld”.

Tot nu toe is er in Europa één vonnis geweest over dit onderwerp, en wel in Finland. De Finse rechter oordeelde toen dat de CSS beveiliging van DVD’s niet doeltreffend was, omdat de crack zó wijd en zijd bekend was dat iedereen deze meteen kon downloaden en toepassen.

Bij ebooks is het meestal niet zó eenvoudig om die beveiligingen eraf te halen, dus ik denk dat de rechter die best nog eens “doeltreffend” zou kunnen vinden.

Natuurlijk heb je het recht om kopieën voor eigen gebruik te maken van werk. Maar a) dat geldt niet voor boeken en b) artikel 29a maakt geen uitzondering voor het geval dat je dat recht zou willen uitoefenen. Oftewel, het blijft onrechtmatig om een doeltreffende beveiliging te omzeilen als je dat doet voor een legitiem doel.

De wet heeft een mogelijkheid voor de minister om nadere maatregelen te stellen als blijkt dat er daadwerkelijk problemen ontstaan met dit verbod. Daarmee kan de minister rechthebbenden verplichten aan de gebruiker van een werk middelen te verschaffen om van de wettelijke auteursrechtbeperkingen te profiteren, ondanks de beveiliging.

Ik zie het niet snel gebeuren dat zo’n verplichting er komt, want dit is een té obscuur probleem. Een klein stukje citeren uit een ebook kun je ook door overtypen, en dat is zo ongeveer de enige auteursrechtelijke uitzondering die Kamerleden direct zullen snappen. De meeste noobs hebben geen echte last van DRM, want ze denken dat dat gewoon zo hoort.

Arnoud

Een hele tijd geleden hadden we voor ICTRecht een Customer Relationship Management-systeem, oftewel een klantenadministratie nodig. Ik heb toen wat offertes opgevraagd, en dat hebben we geweten. Wát een gebral en loze marketingtaal krijg je dan. Eéntje maakte het helemaal mooi: graag wilde hij in een verkennend gesprek de mogelijkheden inventariseren en gelijk even ons datacenter inspecteren zodat hij kon bepalen welke server het beste geplaatst kon worden.

Eh, wat. Een server? Een datacenter? Ik heb een kastje onder de printer waar onze router in staat, bedoelt u dat? Niet helemaal: meneer had inderdaad in het hoofd een server te komen hangen in een datacenter, uiteraard met de optie van full managed hosting en wat al niet meer. Toen ik zei dat ik het liever gewoon in een webbased systeem wilde doen, reageerde hij met een verontwaardigde snuif: meneer u weet toch dat dat onveilig is? Hackers, wormen en andere rare figuren.

Die houding kom ik vaker tegen als het gaat om persoonsgegevens of gevoelige klantdata. Zodra iemand data ergens online wil opslaan reageert er meteen iemand met OMGWTFWBP en blijkt die data helemaal niet naar buiten te mogen. Beveiliging is cruciaal, de kans op aansprakelijkheid is aanwezig en de USA PATRIOT ACT is er natuurlijk ook nog.

Ik heb het allemaal al eens gehoord, maar wat niemand me kan uitleggen: waarom is het slimmer dat een klein kantoortje met (toen nog) zeven man personeel en een tweesterrenslotje in een bedrijfsverzamelpand een server neerzet, dan dat ze de opslag en verwerking laten doen door een partij die daar haar core business van maakt?

Onze klantdata staat bij 37signals in de VS en daar voel ik me prima en legaal bij. Ze hebben zelfs (op ons verzoek) een bewerkersovereenkomst/safeharborcontract getekend, zoals de wet vereist. En ik ga er zonder meer vanuit dat een bedrijf als dit veel en veel meer deskundige aandacht kan geven aan de beveiliging van wat ik daar opsla dan ik zelf. Dus waarom zou ik dat zelf moeten doen?

Arnoud