Internetrecht door Arnoud Engelfriet

Tweede Kamerfracties SP, PVV en D66 hebben vragen gesteld over een mogelijk verbod van het gebruiken van andermans naam op sociale media als Twitter, las ik bij Nu.nl. Dit naar aanleiding van een pleidooi in De Wereld Draait Door van een advocate om een strafwetbepaling in te voeren.

Het is natuurlijk heel erg des politiek om bij een geconstateerd probleem een wet te maken, net zoals een informaticus ongeacht het probleem een database gaat maken als oplossing. Maar echt zinnig lijkt het me niet; we hebben al meer dan genoeg wetten en regels die je hiertegen kunt inzetten.

Het enkele aannemen van iemands naam is op zich niet strafbaar, dat is waar. Maar ik vind het nogal wat om dat wél strafbaar te zetten, vooral omdat je dan té veel mogelijkheden krijgt om zaken aan te pakken die gewoon een meningsuiting zijn. Er moet meer zijn, zoals een poging tot zwartmaken of het afhandig maken van geld of goederen bij jou of bij anderen. En als dat meerdere er is, dan heb je al genoeg strafbare feiten - oplichting, smaad, privacyschending - waarmee je die persoon kunt aanpakken.

Bij Twitter is het ondertussen een kunstvorm om via nepaccounts op ludieke manier iemand op de hak te nemen. Dat vinden we normaal, net zoals we het normaal vinden dat in allerlei televisieprogramma’s mensen worden gepersifleerd. Natuurlijk moet het dan wel ergens grappig zijn, maar dat geldt voor die televisiepersiflages ook. Ook al heeft dat indirect een commercieel doel.

En als het vooral een commercieel doel heeft, dan zijn er ook nog andere mogelijkheden. Anke Verhoeven van Solv trekt de lijn naar domeinnaamkaping, waar inderdaad meer dan genoeg jurisprudentie ligt. Het wezenlijke verschil tussen een twittergebruikersnaam en een domeinnaam zie ik niet.

Er is ook nog wat rechtspraak over gebruik van stem of beeltenis e.d. in een commerciële context. Zo won de Staat in 2000 een rechtszaak over een reclamespotje waarin de stem van Beatrix werd gebruikt. Dat was geen toegelaten gebruik van haar “persoonlijke karakteristieken”, en dus moest het spotje van de buis. Als je die lijn doortrekt dan zou ook commerciële hinder op Twitter verboden kunnen worden. Update (19 januari): maar de stem is geen portret zegt vandaag de rechtbank Amsterdam in een zaak over TomTomstemmen.

Maar @Koningin_NL zou blijven mogen want dat is gewoon een hilarische parodie. Idem voor @NSCommunicatie. Wie weet er meer goede parodieaccounts?

Arnoud

Vele, vele lezers vragen me:

Ik heb een geweldig idee voor [iets] en dat wil ik graag beschermen. Ik las dat je het bij de Belastingdienst, het BBIE of de notaris kunt deponeren, dus dat heb ik gedaan. Ben ik nu beschermd of kan ik nog meer doen?

Nee, met een depot bij een van die diensten (of bij een commerciële club zoals File-reg) ben je niet beschermd. Je krijgt géén wettelijk recht dan waarmee je anderen kunt verbieden je idee te gebruiken.

Dat kan ook helemaal niet, want ideeën zijn niet beschermbaar.

Een uitgewerkt idee kan beschermd zijn via het auteursrecht, en als het een technisch idee is dan is een octrooi (dat wél moet worden aangevraagd) wellicht een optie. Met auteursrecht of octrooi kun je verbieden dat anderen hetzelfde gaan doen. Maar voor die rechten is deponeren bij zo’n dienst niet nodig.

Als je een idee wilt beschermen naar een specifieke partij toe, dan kun je dat onder geheimhouding doen. Je sluit dan een geheimhoudingsovereenkomst (NDA) met de wederpartij en vertelt hem dan wat je wilt delen.

De enige reden om een idee, een tekst of iets dergelijks te deponeren is om sterker bewijs te vergaren dat het idee bestond op de datum van depot. Een datum van een onafhankelijke derde heeft meer waarde dan een zelfgeschreven datum op het origineel. Alleen: dergelijk bewijs is zelden nodig. Je ziet vrijwel nooit discussie over “wanneer bestond dit”. Heel soms bij informatie onder NDA, omdat van geheimhouding uitgezonderd is informatie die de ontvanger zelf al had voordat de NDA werd getekend.

Discussie over “wie heeft het bedacht” speelt iets vaker, en daarbij kan een datum van een deponeringsdienst handig zijn. Alleen, formeel bewijst dat depot niets: ik kan bij elk van die diensten, en bij elke commerciële dateringsdienst, een kopie van de nieuwste Harry Potter deponeren en daar zetten zij dan braaf een datum op. En iedere dateringsdienstverlener die vertelt dat zijn dienst wél iets van bescherming pretendeert, faalt op dit punt.

Arnoud

Regelmatig krijg ik vragen van mensen die willen weten hoe ik toch aan al die informatie kom waar ik mijn blogjes op baseer. Daarom hier een overzicht van mijn meestgebruikte bronnen voor juridische informatie en nieuwtjes. Aanvullingen zijn welkom!

• Nieuwssites: Tweakers en Webwereld voor Nederlands nieuws, en Security.nl voor beveiligingsnieuws (en vele aluhoedjes). Voor Amerikaans nieuws vooral Ars Technica en Slashdot (en een beetje Boing Boing hoewel ik wat moe word van de activistische toon).
• Juridisch nieuws: Boek 9 en IE Forum, voor al uw IE-vonnissen en uitspraken, en een enkele column van een dappere advocaat die een mening durft te geven. Daarnaast The IP Kat voor Engelstalig nieuws. ITenRecht wil hetzelfde voor ICT in het algemeen, maar het blijft iets te vaak iets te stil. (Kom op jongens!) En als ik zo vrij mag zijn: mijn collega’s bij ICTRecht bloggen hele mooie stukken.
• Vonnissen: naast (onder?) de hierboven genoemde sites kijk ik elke dag op enkele specifieke RSS-feeds van Jure.nl. Je kunt heel eenvoudig de nieuwste vonnissen over zeg ‘websites’ vinden met http://jure.nl/feeds/website. Natuurlijk geeft dat valspositieven maar zó veel vonnissen zijn het nu ook weer niet per dag. En Cops in Cyberspace heeft soms ook leuke vonnissen, naast veel nieuwtjes over uitvoering van de politietaak op internet.
• Juristenblogs: helaas bloggen juristen veel te weinig, maar gelukkig komen er langzaam maar zeker steeds meer. In willekeurige volgorde: Remy Chavannes, Joris van Hoboken, Arno Lodder, Jan-Jaap Oerlemans, Margriet Koedooder en Gerrit-Jan Zwenne.
• Kantoorblogs: ook juridische kantoren bloggen steeds vaker. Wederom willekeurig: Media Report van Kennedy Vanderlaan, Cassatieblog van PelsRijcken, Solv, Dirkzwager en Merkwaardigheiden van Onel Merkenbureau, De Gier Stam (inclusief het creatieve Speelgoedrecht) en Wieringa advocaten.

Ik ben erg benieuwd naar jullie bronnen!

Arnoud

Providers Ziggo en XS4all moeten van de rechtbank in Den Haag torrentsite The Pirate Bay gaan blokkeren. De rechtbank ziet kort gezegd geen minder ingrijpende maatregel om een einde te maken aan de auteursrechtinbreuken die Ziggo- en XS4All-klanten plegen via Bittorrent.

Het is een doorwrocht vonnis, en ik kan niet anders dan zeggen dat de rechters hun best hebben gedaan een weloverwogen afweging te maken en die zo goed mogelijk te onderbouwen.

Het vonnis is buitengewoon onbevredigend omdat internetproviders de sleutel zijn tot internet, en zich niet moeten bemoeien met de inhoud. De post krijgt ook geen verbod om illegale zendingen tegen te gaan. Het precedent is dus ongewenst, maar het past binnen de gedachte dat auteursrecht te allen tijde beschermd moet worden ongeacht wat voor bijkomstige schade dat oplevert aan andere partijen.

Mensen die dus nu meteen roepen dat het een schande is en de rechters er niks van hebben begrepen, hebben het fout. Het is een héle moeilijke analyse waar de rechtbank mee zit. Als je op iemand wil schelden, doe dat dan op de wetgever die dit soort dingen in de wet mogelijk maakt.

De rechtbank begint met vast te stellen dat 90 à 95% van het op TPB genoemde Bittorrentaanbod daar staat zonder toestemming van de rechthebbenden. Ook blijkt dat circa 30% van de abonnees van Ziggo en 4,5% van de abonnees van XS4ALL recentelijk illegaal materiaal via The Pirate Bay hebben gedownload en dus geupload. Want, hoewel je in theorie kunt bittorrenten zonder te uploaden is dat volgens de rechtbank niet de praktijk. En uploaden is verboden, ook al is downloaden van datzelfde materiaal uit illegale bron wél legaal. Dit zijn geen verrassende conclusies, zeker niet na de eerdere rechtszaken tegen TPB.

Wél verrassend is hoe de rechter bij die conclusie komt. In overweging 4.2 staat dat van alle Nederlandse IP-adressen die 50 bepaalde speelfilms uitwisselen via BitTorrent (dat waren er 5143) er 1477 klant van Ziggo waren en 240 van XS4ALL, wat neerkomt op percentages van respectievelijk 28,7% en 4,7%. In 4.10 wordt daaruit vervolgens geconcludeerd dat dus 30% respectievelijk 4,5% van de abonnees van Ziggo en XS4ALL illegaal materiaal hebben gedownload via The Pirate Bay. Dat is dus compleet fout: “30% van de Nederlandse uploaders is Ziggo klant” is niet hetzelfde als “30% van de Ziggo klanten is uploader”.

Dan komt de vraag wat je als rechtbank mag doen op het moment dat zo’n situatie bestaat. Er zijn wettelijke regels over de positie van tussenpersonen wiens diensten worden gebruikt om auteursrechten te schenden. Artikel 26d Auteurswet bepaalt dat de rechter hen kan bevelen de diensten die worden gebruikt om die inbreuk te maken, te staken. Dat staat dus los van of die tussenpersonen aansprakelijk zijn voor die inbreuk, of zelfs maar dat ze iets te maken hebben met de inbreukmakende website of het gedrag van de klanten. De wet zégt dit gewoon letterlijk.

Goed, dus een stakingsbevel mag. Wat betekent dat bij TPB? Het blokkeren van routering naar IP-adressen of het via de DNS ontoegankelijk maken van een website is ’staken’, zegt de rechtbank vervolgens. De toegang tot thepiratebay.org / 194.71.107.15 moet immers worden gestaakt, en dat doe je door in de techniek dit te blokkeren. Wederom geen speld tussen te krijgen.

Maar gaat dit niet te ver? Mag een rechtbank generiek bevelen “staak alle toegang tot TPB”? Uit het eBay-arrest concludeert de rechtbank van niet. Daar werd bepaald dat een stakingsbevel niet alleen hoeft te gaan over specifieke inbreuken (”blokkeer toegang tot bestand X”) maar ook een generiek bevel om nieuwe, gelijksoortige inbreuken te voorkomen.

Wel moet “een juist evenwicht moet worden verzekerd tussen de grondrechten en belangen van alle betrokkenen”, zo blijkt uit het latere Sabam/Scarlet-arrest. In dat arrest werd een generieke plicht om al het P2P verkeer van internetproviderklanten te filteren, als in strijd met die eis geacht. Dat ging te ver; generieke filters blokkeren ook legitieme inhoud, houden geen rekening met auteursrechtelijke uitzonderingen (zoals parodie of citeren) en vereisen structureel meelezen met alle communicatie, wat een inbreuk op de privacy oplevert.

De vraag is dus: is sprake van een dergelijk evenwicht bij het bevel “verbied toegang tot thepiratebay.org / 194.71.107.15″?

Ziggo vond van niet: Brein kan toch ook de uploaders zelf aanschrijven, desnoods via hen, en zo de uploaders via de rechter laten ophouden daarmee. Maar dat vindt de rechtbank meer ingrijpend dan de door Brein gevraagde maatregel. Zeker omdat Ziggo in een persbericht had gezegd dat zij alleen NAW-gegevens van klanten afgeeft na opdracht van de rechter (wat te streng is gezien Lycos/Pessers). Dat wekt de indruk dat Ziggo het Brein wel héél moeilijk zou gaan maken om die duizenden bittorrende klanten aan te pakken.

Daarnaast zijn er natuurlijk buitenlandse uploaders, zegt de rechtbank, die niet via Ziggo of XS4All kunnen worden aangepakt. Maar dát is irrelevant in deze discussie: het gaat immers om wat Ziggo/XS4all kunnen doen, en dus alleen om maatregelen tegen hun klanten die uploaden. Een derde die uploadt buiten Ziggo om, heeft niets te maken met een blokkade die Ziggo invoert.

XS4All had een fundamenteler insteek: het kennisnemen van informatie op internet is een deel van het grondrecht van de vrije meningsuiting. Een blokkade als deze kan dus worden gezien als een schending van dat grondrecht.

Mee eens, zegt de rechtbank, dus we moeten (conform de regels omtrent schenden van grondrechten) een belangenafweging maken tussen enerzijds het recht van de rechthebbenden om hun auteursrechten te handhaven en anderzijds het recht van de abonnees van Ziggo en XS4ALL om inlichtingen of denkbeelden te ontvangen.

Op thepiratebay.org is, concludeert de rechter, afgezien van die torrents met 90-95% illegaal aanbod, eigenlijk maar “marginaal” andere informatie te vinden. Er is een webpagina ‘juridische vraagstukken’, een ‘blog’, ‘gebruikersvoorwaarden’, en een pagina ‘downloads en doodles’, en dat is het wel zo’n beetje. En het illegale aanbod levert veel schade op. Daarom moet die belangenafweging in het voordeel van Brein en het nadeel van de providers uitvallen.

Daar had Ziggo nog tegen ingebracht dat er operationele risico’s zijn bij het invoeren van DNS- of IP-blokkades. Dit kan storingen opleveren in de routering en tot een verminderde gebruikservaring, overbelasting van de helpdesk, schadeclaims en afbreuk aan het kwaliteitsimago van de providers leiden. Bovendien is het oneerlijk omdat andere providers géén blokkade hoeven in te voeren. Brein had echter laten zien dat enkele buitenlandse providers al wél zulke blokkades hanteren en daar niet echt overlast door hadden geleden. Dit argument veegt de rechter dan ook van tafel.

Tot slot hadden Ziggo en XS4ALL nog aangevoerd dat het bevel niet effectief zou zijn. Immers met een kleine ingreep (alternatieve DNS, proxy, etc) kom je om de blokkade heen. En dat is natuurlijk waar, alleen is het de vraag hoe veel mensen dit zullen doen. Niet veel, zo blijkt uit Italië en Denemarken. In Italië bleek na een blokkade in enkele maanden het aantal bezoekers van The Pirate Bay afnam van 140.000 naar minder dan 10.000 uniek per dag te gaan, met vergelijkbare cijfers in Denemarken.

De overige argumenten (strijd met netneutraliteit, schending van onschuldbeginsel en zo nog wat) worden vrij makkelijk afgedaan. Vermeldenswaardig is nog het argument tegen het verweer dat sprake zou zijn van “actief toezicht”, waartoe een provider niet mag worden veroordeeld. Daarvan is geen sprake, aldus de rechtbank, omdat er geen controle plaatsvindt op wat mensen doen. Het gaat om IP- en DNS-entries. De bewegwijzering weghalen is niet hetzelfde als automobilisten filmen.

Ziggo en XS4ALL moeten TPB blokkeren, inclusief door Brein nader aan te leveren IP-adressen. Dát gaat me dan weer erg ver, hoewel die aanlevering beperkt moet zijn tot nadere IP-adressen of domeinnamen van TPB zelf. En dat is natuurlijk de directe reactie op de Belgische grap om DePiraatBaai.org te gaan gebruiken nadat in België het vonnis beperkt was tot thepiratebay.org. Als er één ding is waar rechters een hekel aan hebben, dan is het wel bijdehantjes.

Tsja. Wat hiervan te zeggen? De geluiden op twitter dat de rechters geen verstand hebben van internet vind ik onzin. Het vonnis laat zien dat ze prima snappen hoe het werkt. Het enige discutabele is hoe zij de belangenafweging laten uitvallen. Met name op het punt “heeft een IP/DNS-blokkade enig praktisch nut” had die afweging net zo goed andersom kunnen uitvallen. En de interpretatie van die percentages klopt ook niet natuurlijk.

Natuurlijk overwegen XS4All en Ziggo hoger beroep. (Omgekeerd had Brein dat ook binnen een uur geroepen als de rechter wat anders had gezegd.) Het zou me hógelijk verbazen als men het hierbij laat zitten. En vragen aan het Europese Hof van Justitie zullen er ook wel inzitten. Dus we hebben nog wel een paar jaar blog- en discussievoer.

Arnoud

Tendentieus en ongefundeerd. Dat was het eerste dat in me opkwam toen ik dit bericht bij Nu.nl lees. “Google heeft geld verdiend aan een gesponsorde link naar een bedrijf die illegaal kaartjes voor de Olympische Spelen 2012 verkocht.” Ohòòh. En ze gaan het geld nog hóuden ook, stelletje gemeneriken.

Nee, serieus. Kom op zeg. Sinds wanneer is dit verboden? Google mág geld verdienen aan gesponsorde links, ook als die linken naar onrechtmatige handel. Dat bepaalde het Europese Hof van Justitie in het Google/Vuitton-arrest.

In die zaak ging het om de vraag of Google aansprakelijk zou zijn voor het laten verschijnen van gesponsorde links naar namaakmerkartikelen. Nee, oordeelde het Hof. Partijen die informatie van anderen opslaan en verwerken, zijn niet aansprakelijk voor die informatie

wanneer die dienstverlener geen actieve rol heeft gehad waardoor hij kennis kreeg van of controle kreeg over de opgeslagen gegevens.

Dit geldt ook voor zoekmachines en gesponsordekoppelingsdienstverleners zoals Google.

Indien dat het geval is, kan de dienstverlener niet aansprakelijk worden gesteld voor de gegevens die hij op verzoek van een adverteerder heeft opgeslagen, tenzij hij die gegevens niet snel verwijdert of de toegang daartoe onmogelijk maakt nadat hij kennis heeft gekregen van het onrechtmatige karakter van die gegevens of van activiteiten van die adverteerder.

Google hoeft dus alleen maar in actie te komen na klachten over illegale advertenties, en wel door de advertentie dan te verwijderen. En dat ze geld verdient met die dienst, doet daar niets aan af. Wat Nu.nl dus wil zeggen met haar bericht, weet ik niet. Maar nieuws is het niet.

Het zou me trouwens niets verbazen als de Olympische Spelen gaat claimen dat die regel niet voor hen geldt, of dat er tijdens de Spelen even een aparte wet moet worden gemaakt dat niemand op die term mag adverteren zonder hun toestemming. Dat is immers hun staande praktijk: alle wettelijke uitzonderingen moeten aan de kant voor dit sportevenement. Grmbl.

Arnoud

Ik las dit vonnis en wist meteen: hier ga ik telefoontjes over krijgen. De zin “Aegon heeft hierop een feitenonderzoek op internet uitgevoerd” is immers een prachtige voor allerlei hyperige nieuwsberichtjes over wat verzekeraars allemaal kunnen en mogen.

In deze zaak had een man in 2003 een bedrijfsongeval gekregen met een mobiele kraan, waarna hij arbeidsongeschikt werd verklaard. Hij kreeg een vergoeding van verzekeraar Aegon, maar over de definitieve vaststelling van de uitkering werd nog onderhandeld, tot omstreeks november 2009. Daarbij had de man aangegeven een zeer slechte lichamelijke conditie hebben, niet meer in staat te zijn om te wielrennen en voetbaltraining te geven, continu slecht humeur hebben en nauwelijks meer deelnemen aan enige vorm van sociale activiteiten.

Toen had Aegon dat feitenonderzoek op internet uitgevoerd, en daarbij ontdekt dat de man op sportief, zakelijk en sociaal gebied ook na het ongeval nog actief was geweest. Zo had hij vijf maal meegedaan aan de Amstel Curaçao Race (80 kilometer) en ook aan de Pre-Ride Twente (100 kilometer) en een wielertocht van 250 kilometer van Luxemburg naar Valkenswaard. En dat terwijl de man had gezegd “als een zombie op een fiets te zitten” en pijnstillers te moeten slikken.

Ook dat van die sociale activiteiten bleek iets anders te liggen. Men had een wedstrijdverslag gevonden van ‘zijn’ club Heracles, met daarin

“ [gedaagde] was UITERAARD ook weer van de partij in Arnhem en was ervan overtuigd dat zijn ploegje een goede pot zou spelen. Met sjaal en Heracles jas nam hij plaats op de hoofdtribune van Vitesse om zo zijn team aan te moedigen.”

Tevens bleek hij chauffeur en “psychologisch begeleider” van het zaalvoetbalteam van Oud-Heracles, zo was te concluderen uit foto’s waarop hij zichtbaar was op de tribune en poserend met één van de zaalvoetballers.

Volgens Aegon alles bij elkaar genoeg reden om van fraude te spreken. In ieder geval wilde men nu de betaalde voorschotten terug, omdat meneer duidelijk niet arbeidsongeschikt was.

De rechter vindt het door Aegon overlegde bewijs overtuigend, en hecht weinig waarde aan de verklaring van de man dat Aegon de boel groter zou voorstellen dan het is. Daarbij neemt de rechtbank ook mee dat hij had toegegeven acquisitieactiviteiten voor zijn bedrijf te hebben verricht, dat bedrijf ook geen terugval in inkomsten had sinds het ongeval en hij een UWV-uitkering kreeg.

Fraude of onrechtmatig is het niet. Wel is de uitkering van Aegon onterecht gedaan zodat deze moet worden terugbetaald, totaal € 75.336 euro.

Niet bepaald handig dus, om dat soort dingen op je Hyves of Facebook te zetten en dan héél wat anders tegen de verzekeraar te zeggen. Het is nieuw voor mij dat een verzekeraar gaat googelen om een claim te verifiëren, maar echt verbazingwekkend is het niet. Het is een open bron, dus legaal om te kijken, dat kijken is zo gedaan en wie weet wat je vindt?

Arnoud

Regelmatig krijg ik vragen als de volgende:

Ik heb een leuke domeinnaam geregistreerd waar ik producten/diensten/informatie/affiliatelinks aanbied. Nu ben ik onlangs aangesproken door een ander bedrijf dat zegt dat die domeinnaam inbreuk op zijn handelsnaam maakt. Kan dat kloppen? Moet ik nu de domeinnaam afgeven of zijn er nog mogelijkheden?

De naam van een bedrijf is beschermd als handelsnaam. Concurrenten mogen dan niet dezelfde naam gebruiken, of een naam die verwarringwekkend veel lijkt op de handelsnaam. Zo mag je geen boekhandel onder de naam “Bol.nl” gebruiken, omdat dat te veel lijkt op de bekende internetboekhandel Bol.com. Ook Wereldbol en Boekenbol mogen niet; Het Boekenbolletje vind ik een twijfelgeval.

Een domeinnaam is echter niet per se een handelsnaam. Het kan wel - wederom Bol.com - maar het hoeft niet. Zo is de handelsnaam van deze blog “Internetrecht door Arnoud Engelfriet” want dat is de titel die je overal terugvindt. De domeinnaam blog.iusmentis.com gebruik ik zelf eigenlijk niet als naam van de blog, alleen als adres. En het adres van een bedrijf is niet zijn handelsnaam.

Zo was het gebruik van “amsterdam-thuisbezorgd.nl” door concurrent Just-Eat géén handelsnaaminbreuk, omdat er geen zakelijke dienstverlening plaatsvond op die site. Men werd slechts doorgestuurd naar Just-Eat.nl na 10 seconden lang een reclameboodschap getoond te krijgen.

Zou je een site hebben die in niets lijkt op de concurrent én die onder een eigen naam opereert, dan zouden er geen handelsnaamrechtelijke problemen moeten kunnen ontstaan. En daar gaat het toch vaak fout, want mensen bouwen zulke sites vanaf sjablonen, en die nemen de domeinnaam als sitenaam (”Welkom bij domeinnaam.nl“). En dát maakt de domeinnaam tot handelsnaam.

Een merkwaardige kronkel bij domeinnamen is wel dat er soms tóch gesproken wordt van “inbreuk”, omdat de domeinnaamhouder aanhaakt bij de bekendheid van de domeinnaam en zo verwarring zaait en profiteert van die domeinnaam. Volgens mij is dat juridisch volstrekt onjuist: die termen komen uit het merkenrecht en een handelsnaam is geen merk. Maar rechters passen die regels gewoon toe, ik vermoed omdat “inbreuk op domeinnaam” heel ernstig klinkt.

Arnoud

In 2010 blogde ik dat het Weens Koopverdrag regelmatig uitgesloten wordt in allerlei algemene voorwaarden. Het duikt echter nog regelmatig op, ook in softwarelicenties. En daarover vroeg een lezer me waarom dat überhaupt nodig is: software is toch niet iets dat je kunt ‘kopen’?

Nou, daar heeft die lezer dus helemaal gelijk in. Software koop je niet maar neem je in licentie. Het is dan ook vooral een stukje copypastejuristerij, al dan niet om de tekst er wat gewichtiger te laten uitzien. De klant verwacht immers een uitgebreide juridische tekst, en een alinea “U mag deze software binnen uw bedrijf gebruiken maar niet verspreiden naar derden, en wij zij niet aansprakelijk voor fouten” voelt niet als een tekst waar je 950 euro voor betaalt. Dus dan maar wat extra uitsluitingen, herformuleringen van wettelijke rechten en beperkingen en opsommingen van dingen die onder “alles” gerekend moeten worden.

Specifiek over het Weens Koopverdrag vond ik echter nog een interessant artikel bij TechEye (waar ik de titel schaamteloos van gejat heb) dat laat zien dat het soms echter nog net iets meer betekent. Men had een stukje software van Broadcom gevonden, waarvan de licentie de bekende clausule bevatte dat

The parties expressly stipulate that the 1980 United Nations Convention on Contracts for the International Sale of Goods shall not apply.

Enig graafwerk van TechEye leidde tot de ontdekking dat er wel iets meer achter zit dan alleen copypastewerk. In Duitsland met name leeft er serieuze discussie of en wanneer dit verdrag relevant is voor software. Daar lijkt de conclusie te zijn dat als je standaardsoftware (geen maatwerk) op fysieke drager verkoopt, er sprake is van een ‘koop’ in de zin van het Koopverdrag. Iets dat ons Arnhems Hof in 2010 ook leek te oordelen, hoewel in een iets andere context. Ook dit paper uit Japan van de Japanse overheid lijkt dit standpunt te onderschrijven.

Ergens wel terecht ook: standaardsoftware wordt verkocht alsof het een fysiek ding is - Borland had al heel lang geleden de opvatting dat hun software was “sold like a book”, oftewel je had één licentie, die mocht je best doorverkopen of weggeven zolang je maar niet ging kopiëren. De nieuwe Consumentenrechtenrichtlijn zal digitale goederen op bepaalde (maar niet alle) punten gelijkstellen met fysieke goederen.

Eigenlijk vind ik het nog jammer dat de Europese Unie niet heeft doorgepakt en gewoon software of digitale goederen algemeen als ‘zaak’ heeft aangemerkt. Dan kun je gewoon alle regels over verkoop van producten ook toepassen op digitale producten. Het Weens Koopverdrag blijft uitsluitbaar in dat geval, dat wel. Maar waarom het maatschappelijk wenselijk is dat software niet kan worden verkocht maar alleen in licentie mag gegeven, heeft nog niemand me kunnen uitleggen.

Arnoud
Afbeelding: Drafting Contracts Under the CISG, Flechtner, Brand en Walter Oxford University Press, USA (December 31, 2007)

In het voorjaar van 2012 gaat Albert Heijn een grote groep Bonuskaartgebruikers extra waarderen en bedanken met aanbiedingen op maat, meldde de grootgrutter. Vertaling: op basis van je geregistreerde aankopen krijg je aanbiedingen op veel gekochte producten, gepersonaliseerde aanbiedingen dus. Hm, heb ik daar ooit toestemming gegeven, vroeg ik me af.

Het privacybeleid er dus even bijgepakt, en daar staat inderdaad letterlijk in dat men dit gaat doen:

Uw persoonsgegevens worden door AH verwerkt … voor het verstrekken van (eventueel op basis van uw aankopen) kortingen en voordelen;

en als ik dan bij het Cbp controleer (registratienummer 1062641, dieplinken niet mogelijk want daar is het nog 1998) zie ik keurig hetzelfde staan:

Doel(en) van verwerking: … De AH Bonus Kaarthouder (eventueel individueel op basis van zijn koopgedrag) informeren over de producten en diensten, die door of via Albert Heijn on- danwel offline worden aangeboden, alsmede voordelen en kortingen te kunnen verstrekken.

Iets zegt me alleen dat die tekst er vorige week nog niet stond. Dus eens zien hoe dat eerder zat. Gelukkig had het Internet Archive enkele oude teksten nog. In de oudste beschikbare versie (april 2010) vermeldde men héél wat anders:

Albert Heijn behandelt alle persoonsgegevens en uw spaar-, en boodschappengegevens strikt vertrouwelijk en gebruikt deze uitsluitend om u de voordelen te bieden die met de AH Bonuskaart verbonden zijn.

En ja, dat is ook hoe ik het me herinner uit 2006 of daaromtrent toen ik die kaart kreeg. De voordelen die je tóen kreeg waren korting op de Bonusaanbiedingen en een poging tot terugbezorgen van je verloren sleutelbos met bonuskaart eraan (en Justitie laten meekijken als dat gevorderd werd). Pas als je je apart registreerde bij de Mijn Voordeel dienst, kreeg je regelmatig persoonlijke kortingen, recepten en speciale acties.

Nu wordt dus in feite Mijn Voordeel over alle klanten uitgerold, als ik het goed zie. En dát is privacytechnisch iets nieuws. Toestemming is namelijk doelgebonden(*), oftewel dat je instemt met opslag in ruil voor toegang tot Bonusaanbiedingen, wil nog niet zeggen dat je instemt met profilering en gepersonaliseerde aanbiedingen.

Ik zie dus niet hoe de AH haar plan kan invoeren zonder apart aan bonuskaarthouders (pardon “houders van een AH Bonus Kaart®”) hiervoor toestemming te vragen. Dat zal niet zo moeilijk zijn natuurlijk gezien de worst (of andere voordeeltjes) die men de klant voorhoudt, maar het moet wel.

Arnoud
Off-topic frustratie: mijn boek is ooit afgekeurd bij een universiteit als lesboek enkel omdat het hoofdstuk over privacy niet de term ‘doelbinding’ gebruikte.

Er zal recent wel een cursus databankenrecht voor juristen zijn gegeven of zo, want ik kreeg het de afgelopen weken opmerkelijk vaak: mensen met blafbrieven van advocaten tot wie zich wendden diverse site-eigenaren wiens gegevens werden overgenomen. Het overnemen van die gegevens zou onrechtmatig zijn (”en mogelijk zelfs strafbaar”) en dit dient onmiddellijk gestaakt te worden. Voorts dienen in het bijzijn van een notaris of forensisch IT-expert alle gegevens onomkeerbaar gewist te worden, plus nog eens enkele duizenden euro’s advocaatkostenvergoeding. In de meeste gevallen zijn die claims aperte onzin, en wel hierom.

Wie substantieel investeert in het opbouwen van een databank, heeft daarop een databankrecht. Dit recht is eind jaren negentig ingevoerd om producenten daarvan te beschermen tegen overname. Op een databank rust namelijk meestal geen auteursrecht, omdat het op een rijtje zetten van feiten niet ‘creatief’ is in de zin van de Auteurswet. Een databank maken kan wel hard werk zijn of veel geld kosten, maar dat zijn auteursrechtelijk geen relevante criteria.

Hard werk of veel geld zijn nadrukkelijk wél de criteria voor het krijgen van een databankrecht. Wie “substantieel investeert” in opbouw of onderhoud van een databank, heeft daar bescherming voor. Wat ‘substantieel’ is, staat niet in de wet, maar 1,9 miljoen euro voor de Autotrack-site werd in november 2007 als substantieel aangemerkt.

Er is echter een belangrijke grens. De enige investering die je mag meetellen, is de investering op de databank zelf. Investeringen in een andere activiteit tellen niet mee. Anders gezegd: als je databank een bijproduct is van een andere activiteit, dan is deze niet beschermd. Dat blijkt uit het William Hill-arrest, dat bepaalde dat de lijsten met uitslagen van paardenraces geen beschermde databank waren omdat ze een bijproduct waren van het organiseren van die races. De investeringen waren gericht op dat organiseren, en niet op het maken van de lijstjes als zodanig. En een databankrecht krijg je als beloning voor het bouwen van een databank omdat je de substantiële investering dáárvoor anders niet terug kunt verdienen.

In Nederland komt dat ook gewoon terug in de rechtspraak. Zo weten we uit het Zoekallehuizen-arrest dat databanken van makelaars niet beschermd zijn. Post.nl verloor eind vorig jaar een rechtszaak over het eigendom van de postcodes, hoewel daarbij de rechter nu juist niet inging op het databankrecht. Wél beschermd was Autotrack.nl, maar ik vind het opbouwen van een databank met aangeleverde advertenties wel iets anders dan het naar HTML exporteren van een bestaande databank.

Niet dat zo’n arrest een beetje advocaat hindert bij het sturen van boze brieven zoals in de opening geschetst. Zo blogde ik eerder over de de app Trein en de RTL Gemist applicatie die inbreuk op databankrechten zouden maken, maar dat niet doen. Trein bestaat nog steeds, de Gemist app is vanwege angst voor legale stappen uit de lucht. En per mail heb ik er (binair geteld) nog een kleine hand vol langs zien komen.

Opmerkelijk vaak zie ik het van sportbonden, die het niet leuk vinden dat anderen applicaties gaan bouwen om ‘hun’ wedstrijden en standen in kaart te brengen. Want zij hebben het databankrecht op die uitslagen en wedstrijdschema’s - zeggen ze. Maar wie in William Hill de term ‘paardenrace’ vervangt door ‘voetbal/hockey/korfbal/tenniswedstrijd’, krijgt volgens mij precies te horen waar die bonden aan toe zijn: geen databankrecht natuurlijk.

Ook verbaasde ik me hogelijk (nou ja, eigenlijk niet) dat 9292ov databankrecht claimt op de dienstregeling van het openbaar vervoer. Is het organiseren van busroutes wezenlijk wat anders dan het organiseren van voetbalwedstrijden of paardenraces?

Een buitengewoon ergerlijke ontwikkeling. Juridisch blaffen terwijl je wéét dat er rechtspraak ligt die je standpunt onderuit gaat halen is buitengewoon ongepast. Maar vanwege de hoge kosten die je moet maken om terug te blaffen, komt men er vaak ongestraft mee weg.

Arnoud