Internetrecht door Arnoud Engelfriet

Een lezer vroeg me:

Mijn ex-werkgever, waarvan ik een jaar geleden afscheid heb genomen, heeft mijn oude mailaccount nog steeds niet opgeheven. Af en toe komen daar nog berichten op binnen, ook betreffende mijn huidige werkzaamheden. Kan ik daar nu tegen protesteren? Het staat gek voor mijn huidige klanten, en privéberichten hoort hij natuurlijk al helemaal niet te lezen.

De balans zoeken tussen privacy en het werk blijft een moeilijke, zeker bij mailboxen. Ik krijg haast wekelijks vragen hierover, variërend van “mijn baas leest mee” tot “kan ik een kopie van mijn zakelijke mailbox krijgen” en alle gradaties daartussen.

Hoofdregel is, de mailbox is beschikbaar gesteld als bedrijfsfaciliteit en de werkgever beslist dus hoe deze wordt ingezet. De werkgever kan de mailbox opheffen als hem dat zakelijk gezien beter lijkt, bijvoorbeeld. Wél moet hij respecteren dat er enig (niet-overlastgevend) privégebruik van gemaakt wordt. Wie in de lunchpauze even mailt met zijn partner of om half vier een loodgieter mailt voor een offerte, valt arbeidsrechtelijk niets te verwijten.

Na einde dienstverband mag de werkgever natuurlijk de mailbox opheffen. Maar zakelijk gezien is het soms beter dat niet te doen: klanten en relaties hebben dat adres en zullen daar nog enige tijd op blijven mailen. Als dat werkgerelateerd is, moeten die mails bij de opvolger terechtkomen anders worden de klanten boos, en dat is een zakelijk belang.

Als het gaat om privémails dan mag de werkgever die inderdaad niet zomaar lezen, maar in deze situatie lijkt me dat haast onvermijdelijk. Een relatie een jaar terug mailt met een nietszeggend onderwerp (”Fwd: Re: Betr: agenda”), wat moet je dan als collega? Weggooien omdat het mogelijk privé is? Lezen omdat het mogelijk werkgerelateerd is?

Ik vrees dan ook dat je eventuele privacyschendingen in deze situatie voor lief zult moeten nemen. Mocht je dienstverband eindigen, dan kun je zelf al je privérelaties erop wijzen dat ze je op je nieuwe adres moeten mailen. (Of je gebruikt sowieso niet je zakelijk adres voor privézaken als dat enigszins haalbaar is, en wie het web op kan, kan ook Hotmailen of Gmailen of webmailen bij zijn privéprovider.) En als de opvolger dan evidente privézaken meteen wegklikt en bij zakelijke mails zegt “Piet werkt hier niet meer” dan zou het verder goed moeten gaan.

Heeft jullie bedrijf iets geregeld over dit onderwerp in het ICT-reglement?

Arnoud

Dit gaat nog leuk worden: Google en de Europese Commissie kwamen ongeveer tegelijkertijd met nieuwe privacyregels, maar ze gaan elk compléét de andere kant op. De EC heeft een machtig wapen ingevoerd: boetes tot 5% van de jaaromzet voor wie de privacywet negeert. Maar Google heeft ook een machtig wapen: uitsluiting van alle Googlediensten als hun privacyregels je niet bevallen.

Google heeft nu ongeveer zestig verschillende privacybeleiden en wil daar vanaf. Loffelijk, want er rammelde nogal wat aan die teksten. Dus nu maken ze één geconsolideerde tekst. En die rammelt gewoon in z’n eentje.

Korte samenvatting: wij verkrijgen gegevens van u, van anderen en wij leiden gegevens af van wat u allemaal doet (en wat u gebruikt en waar u bent). Wij gebruiken die voor onze diensten (joh), met name om je advertenties op maat voor te schotelen. We mogen informatie combineren, dus als we uit Gmail je echte naam halen dan mogen we die aan je andere profielen plakken en dat heb je maar te accepteren. Oh, en we geven geen informatie aan derden tenzij die zorgvuldig geselecteerd zijn en die zich beloven te gedragen. Bevalt u dat niet (”People have different privacy concerns”), dan kunt u opt-outen. Niet van alles; u kunt “bepaalde” zaken uitzetten, niet meer. Maar u mag natuurlijk altijd naar Bing.

Ongetwijfeld volstrekt toevallig verscheen het officiële voorstel voor de nieuwe Privacyverordening. Geen gedoe meer met nationale wetten maar gewoon één wet die in één klap alles regelt, zonder mogelijkheid om daar van af te wijken of aanvullende regels te stellen. Het zal vast geen verrassing zijn dat die regels compleet de andere kant op gaan dan waar Google heen wil.

Hoofdregel is dat je zo beperkt mogelijk met persoonsgegevens moet omgaan. Je moet specifieke en welomschreven doelen hebben, en gegevens mag je dan alléén daarvoor gebruiken. Daarbij moet je eigenlijk altijd toestemming hebben. Er is en blijft een uitzondering voor een eigen noodzaak, als die zwaarder weegt dan de privacy.

Er komen strakke informatieplichten, nog strakker dan we al hadden. Je moet kunnen inzien wat men over je weet (en dat moet je elektronisch kunnen opvragen), en je moet expliciet te horen krijgen hoe je daar correcties of verwijdering van kunt realiseren. Dat recht van verwijdering hadden we al, maar wordt nu enigszins melodramatisch omgedoopt tot “recht te worden vergeten” - de partij die je gegevens opsloeg, moet alle redelijke stappen nemen om je gegevens te wissen, inclusief verzoeken bij derden die de gegevens hebben overgenomen. Ja, daarmee bedoelen ze Google en andere mirrors, zoekindexen en archieven.

In de praktijk zal dat recht geen bal veranderen ten opzichte van wat we hebben (en maar goed ook). Er is namelijk een uitzondering: je hoeft gegevens niet te verwijderen als je gebruik onder de vrije meningsuiting valt. En in 95% van de gevallen willen mensen hun gegevens namelijk niet uit een databank hebben maar uit een forum, nieuwsartikel of blogarchief omdat de daarin geuite feiten hen niet meer bevallen.

En zoals gezegd staan er forse boetebepalingen in die de Commissie kan inzetten als bedrijven de regels negeren. Expliciet zijn die ook bedoeld voor internationale (lees: Amerikaanse) bedrijven die menen dat zij niet onder Europees recht vallen. Dus dat gaat nog leuk worden, want ik zie Google écht niet zomaar omrollen omdat de EC meent dat privacy een groot goed is en targeted advertenties eigenlijk maar smoezelige dingen zijn. Omgekeerd gaat de EC ook niet snel zeggen “oh, jullie zitten in Californië, nee laat maar dan, wij gaan eerst achter Ilse aan”.

Eerlijk gezegd vind ik beide aanpakken best wel slecht. Googles “wij mogen alles en als u dat niet bevalt gaat u maar lekker Bingen” is natuurlijk zo generiek dat het niet leuk meer is. Afgezien van zalvende woorden en een paar optoutaanvinkvakjes ben je op die manier compleet aan de zoekmachine overgeleverd. Maar wat de EC van plan is, zie ik ook niet werken. Zó veel invloed en controle bij mensen neerleggen is onwerkbaar, nog afgezien van het punt dat driekwart van de mensen (en dan ben ik positief) niet snapt wat er nu eigenlijk gebeurt en dus op voorhand overal maar mee akkoord gaat “anders doet ie het niet”.

Ik blijf erbij dat het beter is om het zo te doen:

1. Je moet altijd dat categorisch kunnen weigeren (en toch de dienst kunnen gebruiken, mits dan tegen betaling);
2. Je moet volledig disclosen wat je doet en waarom;
3. Mensen moeten inzage krijgen in de data die je hebt en hoe je daar conclusies uit trekt;
4. Als het niet klopt, moet je elke benadeelde burger 150 euro per fout voor betalen.

Arnoud

Een lezer vroeg me:

Het is wat vroeg, maar ik was al begonnen met mijn belastingaangifte. En nu vroeg ik me ineens af, stel dat ik een zakelijk gekocht tuinmeubel privé gebruik in mijn achtertuin. Dat mag natuurlijk niet van de Belastingdienst, maar er staat een hoog hek om mijn tuin dus knappe inspecteur die daar achter komt. Via Google Earth zou hij het wel kunnen zien, maar mag hij dat eigenlijk wel? Is dat geen onrechtmatig verkregen bewijs?

De Belastingdienst verbiedt op zich niet zo heel veel, alleen ongewenste praktijken kunnen leiden tot extra heffingen. Zo mag je best zo’n meubel privé gebruiken, alleen merkt de Belastingdienst het dan aan als loon in natura zodat je een forse naheffing krijgt.

Hoe dan ook, inderdaad moeten ze er wel eerst achter komen. En dat zal niet meevallen met een grote schutting. Maar inderdaad kijkt Google Earth daar overheen, en als de inspecteur dus de moeite neemt daar gebruik van te maken dan heb je echt een probleem. Roepen dat het onrechtmatig verkregen bewijs is, gaat je niet helpen.

Ook de politie mag in deze openbare bron kijken, zo blijkt uit een recent vonnis. In deze fiscale strafzaak werd de maat van een advocatenkantoor vervolgd wegens belastingontduiking en valsheid in geschrifte. Zo werden er facturen en orderbonnen vervalst, en zouden er producten zakelijk gekocht zijn om die vervolgens privé te gebruiken zonder dit aan te geven als loonuitkering.

Onder meer had men bonnen gevonden voor lichtgele Bubble Club fauteuils, en daarna Google Earth geraadpleegd om te constateren dat deze in de eigen achtertuin van deze maat stonden.

Geverbaliseerd is hoe via Google Earth het privéadres van verdachte is opgezocht en hoe vervolgens is ingezoomd op de tuin van verdachte, waarin verbalisante twee gele stoelen zag staan die volgens haar grote gelijkenis vertonen met de door verdachte gekochte stoelen.

Ik had dat proces-verbaal graag gelezen, want verbalisantentaal is een wonderlijk mengsel van taalgebruik, waarbij elke zin moet beginnen met “ik, verbalisante”. Dus je krijgt dan iets als “ik, verbalisante, dubbelklikte op het icoon van Google Earth, waarna ik het adres invulde dat mij bekend was als het privéadres van verdachte invoerde. Daarna constateerde ik, verbalisante, dat de applicatie een inzoomende animatie vertoonde naar Nederland en vervolgens een afbeelding liet zien welke mij, verbalisante, voorkwam als een bovenaanzicht van het privéadres van verdachte inclusief diens achtertuin. Daarna zag ik, verbalisante, in deze kennelijke achtertuin twee gele stoelen staan die volgens mij grote gelijkenis vertonen met de door verdachte gekochte stoelen.”

Hoe dan ook: mag deze agente dit doen en de uitdraai vervolgens als bewijs gebruiken?

Die vraag is serieuzer dan je zou denken, want de politie mag bij de opsporing in principe alleen de middelen gebruiken die in de wet zijn aangewezen als opsporingsmiddel. (Weet u nog, het gedoe om het IP-bevriezingsbevel tegen RIPE uit december?) Het via Google Earth inzoomen op een private plaats is geen in de wet genoemde opsporingsmethode, betoogde de verdachte dan ook. En iemands achtertuin is toch een privéplek, zodat je er niet met de generieke regel uit artikel 2 Politiewet komt. Die mag alleen worden gebruikt als dat slechts een ‘geringe’ inbreuk op de privacy oplevert.

De rechtbank gaat daar niet in mee. Het via Google Earth inzoomen op een of meer plaatsen kan niet worden aangemerkt als het gebruik van bijzondere technische opsporingsmiddelen, “nu iedere burger bij het gebruik van het internet, zulks kan doen.” Dat gaat mij wat snel; een burger kan ook een camera plaatsen of een afluisterapparaatje installeren, en toch is dat wel degelijk een bijzonder middel.

Maar in de memorie van toelichting bij de Wet Computercriminaliteit II had de minister expliciet gezegd:

Zoals de politie, al dan niet in burger, op straat mag surveilleren en rondkijken, zo mag een rechercheur vanachter zijn computer hetzelfde doen op Internet. Een uitdrukkelijke wettelijke grondslag is daarvoor niet nodig, mits dat optreden gerekend kan worden tot de uitvoering van de politietaak (zie artikel 2 Politiewet 1993).

De rechtbank vindt, met deze uitspraak in het achterhoofd, het een keertje kijken op Google Earth een geringe inbreuk op de privacy die moet kunnen zonder speciale bevoegdheid. Ik denk met mede de overweging dat als de agente een pootje had gekregen van een collega en zo over de schutting had gekeken, er ook geen sprake was geweest van onrechtmatig verkregen bewijs. (”Ik, verbalisante, ontving vervolgens een zogeheten ‘pootje’ van medeverbalisante en verhief mij aldus tot ongeveer een decimeter boven de schutting van het huis van verdachte, alzo ik constateerde…”).

De verdachte krijgt een geldboete van € 17.000 en een taakstraf van 40 uur.

Arnoud

In het voorjaar van 2012 gaat Albert Heijn een grote groep Bonuskaartgebruikers extra waarderen en bedanken met aanbiedingen op maat, meldde de grootgrutter. Vertaling: op basis van je geregistreerde aankopen krijg je aanbiedingen op veel gekochte producten, gepersonaliseerde aanbiedingen dus. Hm, heb ik daar ooit toestemming gegeven, vroeg ik me af.

Het privacybeleid er dus even bijgepakt, en daar staat inderdaad letterlijk in dat men dit gaat doen:

Uw persoonsgegevens worden door AH verwerkt … voor het verstrekken van (eventueel op basis van uw aankopen) kortingen en voordelen;

en als ik dan bij het Cbp controleer (registratienummer 1062641, dieplinken niet mogelijk want daar is het nog 1998) zie ik keurig hetzelfde staan:

Doel(en) van verwerking: … De AH Bonus Kaarthouder (eventueel individueel op basis van zijn koopgedrag) informeren over de producten en diensten, die door of via Albert Heijn on- danwel offline worden aangeboden, alsmede voordelen en kortingen te kunnen verstrekken.

Iets zegt me alleen dat die tekst er vorige week nog niet stond. Dus eens zien hoe dat eerder zat. Gelukkig had het Internet Archive enkele oude teksten nog. In de oudste beschikbare versie (april 2010) vermeldde men héél wat anders:

Albert Heijn behandelt alle persoonsgegevens en uw spaar-, en boodschappengegevens strikt vertrouwelijk en gebruikt deze uitsluitend om u de voordelen te bieden die met de AH Bonuskaart verbonden zijn.

En ja, dat is ook hoe ik het me herinner uit 2006 of daaromtrent toen ik die kaart kreeg. De voordelen die je tóen kreeg waren korting op de Bonusaanbiedingen en een poging tot terugbezorgen van je verloren sleutelbos met bonuskaart eraan (en Justitie laten meekijken als dat gevorderd werd). Pas als je je apart registreerde bij de Mijn Voordeel dienst, kreeg je regelmatig persoonlijke kortingen, recepten en speciale acties.

Nu wordt dus in feite Mijn Voordeel over alle klanten uitgerold, als ik het goed zie. En dát is privacytechnisch iets nieuws. Toestemming is namelijk doelgebonden(*), oftewel dat je instemt met opslag in ruil voor toegang tot Bonusaanbiedingen, wil nog niet zeggen dat je instemt met profilering en gepersonaliseerde aanbiedingen.

Ik zie dus niet hoe de AH haar plan kan invoeren zonder apart aan bonuskaarthouders (pardon “houders van een AH Bonus Kaart®”) hiervoor toestemming te vragen. Dat zal niet zo moeilijk zijn natuurlijk gezien de worst (of andere voordeeltjes) die men de klant voorhoudt, maar het moet wel.

Arnoud
Off-topic frustratie: mijn boek is ooit afgekeurd bij een universiteit als lesboek enkel omdat het hoofdstuk over privacy niet de term ‘doelbinding’ gebruikte.

Het cookieicoon is leuk, maar wie zich aan de nieuwe privacywet wil gaan houden heeft er niets aan. Dat is ongeveer de samenvatting van het advies dat de Europese privacytoezichthouders (pdf) vorige week uitbrachten.

Al een hele tijd wordt er gesteggeld over de nieuwe privacywet, met name op het gebied van cookies. Doel van de nieuwe privacyrichtlijn is namelijk onder meer het tracken en profilen van burgers aan banden te leggen. Daar is straks altijd toestemming voor nodig, ook (juist!) als dat langs indirecte weg gebeurt. Precies, via cookies dus.

Wie de privacyrichtlijn letterlijk leest - en zeker het Nederlandse wetsvoorstel dat erop gebaseerd is - ziet dat het er eigenlijk op neerkomt dat je voor elk cookie toestemming moet vragen als dat cookie ingezet wordt bij profiling of tracking. En dat gaat dus niet werken.

De marketingbranche heeft een alternatief ontwikkeld, en wel het icoon rechtsboven. Dit komt dan op of bij een advertentieblokje te staan. Wie zo’n advertentie ziet, kan op het icoon klikken en gaat dan naar Your Online Choices, waar hij kan zien welke cookies er al bezig zijn hem te tracken en welke firma’s dat allemaal (willen) doen. Tevens kan daar dan een einde aan worden gemaakt.

Volgens de privacytoezichthouders is dit echter absoluut onvoldoende. Ten eerste snapt op dit moment niemand wat dat icoon betekent, dus je wordt niet (zoals wettelijk vereist) adequaat geïnformeerd over wat er allemaal gebeurt. Ten tweede wordt alleen gesproken van “advertenties” terwijl er eigenlijk “gepersonaliseerde advertenties” zou moeten staan.

Maar, het allerbelangrijkste: zo’n icoon is natuurlijk een opt-out terwijl de wet een opt-in eist. Je bent al gedragsmatig geprofileerd tegen de tijd dat je dat icoon ziet, en daar heb je op dat moment nog geen toestemming voor gegeven.

Daar is natuurlijk wel een draai aan te geven: toon eerst alleen generieke advertenties, en bied het icoon als optie om expliciet het profileren/tracken aan te zetten zodat je alleen nog maar relevante advertenties kunt zien. Maar is “geen Libresseadvertenties meer voor mannen” genoeg incentive om naar zo’n site te gaan?

Nog even afgezien van het praktische punt dat de opt-out op die site niet adequaat blijkt te werken, en dat als ie dat wél doet mensen (net als bij het Bel-me-nietregister) massaal gaan opt-outen zonder aanziens des persoonsadvertentienetwerks zodat dan effectief het hele targeted advertising op z’n gat gaat.

Hebben jullie jezelf al ontvolgd op Your Online Choices? Of juist expliciet een volging aangezet?

Arnoud

Bij Luuk Koelman las ik over zijn frustratie met steeds wijzigende prijzen bij vervoersbedrijven:

Heb je bijvoorbeeld vijf keer dezelfde reis gecheckt, schotelt KLM je bij de zesde keer de dubbele prijs voor. Om vervolgens, bij de zevende keer weer de oude prijs te tonen. Een slimme manier om de twijfelde klant over de streep te trekken. Ik zie ze ertoe in staat, want de reisbranche is gek op ip-adressen.

Mag dat? Nou ja, in principe wel. Een bedrijf is niet verplicht om iedere klant dezelfde prijs te bieden, of zelfs maar dezelfde klant steeds dezelfde prijs. Formeel is een aanbod (zoals “vlieg naar New York voor 200 euro”) geldig totdat het is verworpen, en het afhaken bij het boekingsproces kun je zien als een “verwerping”. Je mag daarna dus een nieuw aanbod doen en dat mag gerust anders zijn.

Hier is het echter niet een verkoper zelf die ter plekke een mooie offerte in elkaar draait. Het is een geautomatiseerd proces, gebaseerd op onder meer je IP-adres, cookies die ze hebben achtergelaten en daaraan gekoppelde profielgegevens. En dan wordt het interessant, want dan kun je als bezoeker je op de Wet bescherming persoonsgegevens beroepen. Zo’n automatisch proces is immers een “verwerking van persoonsgegevens” en dan heb je allerlei rechten.

Je kunt dus KLM vragen wat ze van jou weten én hoe ze erbij komen dat de prijs soms ineens omhoog schiet. Ja, ook dat laatste. Immers, bij het inzagerecht onder de Wbp hoort ook

Desgevraagd doet de verantwoordelijke mededelingen omtrent de logica die ten grondslag ligt aan de geautomatiseerde verwerking van hem betreffende gegevens.

En die logica is nu net wat je hier wilt weten: wat is de logica achter vijf keer te horen dat het 100 euro kost, de zesde keer dat het 400 is en de zevende dat het weer 100 euro is?

Ik twijfel alleen of het antwoord - als je dat al krijgt - verder komt dan “op basis van uw profiel en overige relevante factoren bepalen we de best passende aanbieding”. Of, zoals Facebook deed, “dat mogen we niet zeggen op grond van de wet op de handelsgeheimen”.

Arnoud

Een lezer vroeg me

Ik las dit artikel bij The Register. Zo te lezen is het iets belangrijks over de privacywet, maar ik snap werkelijk niet waar het over gaat. Kun jij je licht laten schijnen hierover?

In de Europese privacyrichtlijn staat dat je voor gebruik van persoonsgegevens toestemming nodig hebt, tenzij een wettelijke uitzondering geldt. Eén zo’n uitzondering is de “strikte noodzaak”. Deze komt neer op “het mag als het écht moet én de privacy minder zwaar weegt dan jouw noodzaak.” Het bekendste voorbeeld van zo’n noodzaak is de vrije meningsuiting: als iemands naam journalistiek relevant is, en onthulling zijn privacy niet meer schaadt dan nodig, dan mag je zijn naam publiceren in een journalistiek stuk. Google kwam via dit artikel weg met Streetview.

De privacyrichtlijn is op zichzelf geen wet, dus elke EU-lidstaat moest zijn eigen vacywet invoeren met daarin een tekst die gebaseerd is op de richtlijn. Bij ons is dit stuk uit de richtlijn één op één overgenomen in artikel 8 sub f Wet bescherming persoonsgegevens.

In Spanje hadden ze die “strikte noodzaak” ook in de wet gezet, maar met de extra eis dat de persoonsgegevens uit een publieke bron moesten komen. Je mocht dus geen private bestanden gebruiken met een beroep op de “strikte noodzaak”.

Dat mag niet, zegt het Hof (zaak C-486/10): de privacywet moet overal gelijk zijn, en dus niet strenger in Spanje. In Europees-juridische termen heet dit “volledige harmonisatie”. Een land mag dus geen extra eisen stellen, net zo min als ze lossere regels mag invoeren over het omgaan met persoonsgegevens.

De voorgenomen nieuwe privacywet waar ik recent over schreef zal waarschijnlijk een Verordening worden. Dan kan er in het geheel geen discussie meer zijn over hoe een land dit in de wet moet zetten: elke nationale privacywet komt dan te vervallen en alléén de Europese Privacywet geldt dan nog.

Arnoud

De Europese Unie wil de wirwar aan nationale wetten over databescherming vervangen door middel van een algemene voor de hele Unie geldende hervorming, las ik bij Nu.nl. Elk EU-land heeft nu een eigen privacywet, gebaseerd op Europese richtlijnen, maar deze moeten worden vervangen door een Europese Europese wet die precies bepaalt hoe het is, klaar. En zo te lezen gaan we heel wat toestemmingspopups krijgen als die er komt.

Reding wil een Verordening invoeren: een Europese wet die direct geldt, zonder dat de lidstaten zelf nog dingen mogen wijzigen of alternatieve regels mogen invoeren op dit punt. Dus als die Verordening er komt, mag Nederland geen eigen regels meer maken over wat Google met Streetview wel of niet mag doen. (Hoewel dat specifiek voor persoonsgegevens toch al niet bleek te mogen.) De rechter kan alleen nog toetsen aan de Verordening, waarbij hij hooguit indirect rekening mag houden met die lokale eigenaardigheden.

En die Verordening gaat streng zijn, als ik de speech van haar en Ilse Aigner goed begrijp:

EU law should require that consumers give their explicit consent before their data are used. And consumers generally should have the right to delete their data at any time, especially the data they post on the Internet themselves.

Met ‘explicit consent’ wordt nadrukkelijk iets strengers bedoeld dan de 48 pagina’s Terms of Service die Facebook en menig andere internetdienst hanteert. Mensen moeten snappen wat er gaat gebeuren en dan liefst op het moment zelf goed nadenken of ze dat willen, en dan uit vrije wil ja of nee zeggen.

Het idee is leuk maar dat gaat dus absoluut niet werken. Mensen snappen niet of willen niet snappen, of zijn niet geïnteresseerd in snappen, wat er allemaal gebeurt met hun persoonsgegevens. Ze willen gewoon hun porretjes sturen, mensen be- dan wel ontvrienden en op muren krabbelen (wat overigens prima is, daar niet van; die infantiele taal is niet mijn sarcastische keuze). En ze gaan ervan uit dat de bedrijven die ze dat laten doen, netjes met hun gegevens omgaan en “geen rare dingen” doen daarmee.

Nou kun je dat naïef vinden - mensen moeten weten wat voor enge dingen bedrijven allemaal doen en daar bezwaar tegen maken. Maar ik zie niet hoe je de gemiddelde consument in beweging krijgt om dat ook daadwerkelijk te doen. Laat staan om een cursus internetrecht te gaan volgen om te weten wat hun rechten en plichten zijn. Zou dat echt moeten voor je mag gaan Facebooken?

Logischerwijs zou de wetgever dan daarop moeten inspelen en als uitgangspunt nemen dat “rare dingen” niet mogen van de privacywet. Dat willen we niet hebben, dus dan moet het niet mogen.

Kennelijk voelt dat dan toch net weer iets te eng of zo, want net als bij de cookieregels wordt er dan toch maar naar het middel van “nou vooruit met expliciete, pardon uitdrukkelijke, pardon voorafgaande nee met geïnformeerde en vrije toestemming” gegrepen. Wat dus niet werkt want mensen klikken op whatever ze moeten klikken om hun porretje, krabbel of boerderijuitrusting te kunnen kopen.

Maar wat dan? Harde wettelijke regels à la “het is verboden mails te lezen om daar advertenties mee te targeten”? “Bonuskaartgegevens mogen niet worden gedeeld met verzekeraars”? En dan nog driehonderdvierentachtig van zulke regels? Hoe ga je dat in vredesnaam nog enigszins flexibel houden? Dat zie ik al helemaal niet gebeuren.

Nee, misschien moeten we het juist flexibeler maken. Profielen opbouwen en dingen daarop afstemmen, prima. Alleen:

1. Je moet altijd dat categorisch kunnen weigeren (en toch de dienst kunnen gebruiken, mits dan tegen betaling);
2. Je moet volledig disclosen wat je doet en waarom;
3. Mensen moeten inzage krijgen in de data die je hebt en hoe je daar conclusies uit trekt;
4. Als het niet klopt, moet je elke benadeelde burger 150 euro per fout voor betalen.

Dat laatste is natuurlijk de truc: hierdoor gaan mensen op zoek naar foutjes, natuurlijk puur om rijk van te worden, maar dat houdt die bedrijven wel scherp. Sommigen zullen dan maar afzien van profilen, anderen zullen de problemen kunnen beperken en weer anderen gaan failliet omdat ze te vaak boetes over zich heen krijgen.

In Duitsland bestaat een soort van vergelijkbaar systeem voor e-commerce. Bedrijven die de e-commercewet niet naleven, kunnen van voorheen ambulancesnajagende advocaten een schadeclaim verwachten. En ja, daardoor wordt er in Duitsland véél beter op die wetgeving gelet door bedrijven dan bij ons. (Bij ons kun je ook wel procederen over ontbrekende KVK-nummers op websites maar wat is je schade?)

Het lijkt me in ieder geval beter te kunnen werken dan “lees deze dertig pagina’s en geef dan vrijwillig uw toestemming”. Wat jullie?

Arnoud

Het Europees Hof van Justitie bepaalde gisteren dat een copyrightfilterplicht voor providers in strijd is met de Europese e-commerce wetgeving en de grondrechten. Het arrest verklaart dat het generieke filter op al het peer-to-peer verkeer dat Scarlet moest toepassen van de Sabam (de Belgische Buma) niet legaal is. Maar wat betekent dit nu voor andere zaken, zoals de BREIN/XS4All/Ziggo rechtszaak?

In de Belgische zaak had Sabam geëist dat Scarlet een auteursrechtenfilter zou implementeren dat moest voorkomen dat haar klanten nog beschermde werken illegaal kon uitwisselen. De rechter in eerste instantie wees de eis toe, maar Scarlet tekende hoger beroep aan met (naast het feit dat het filter niet werkend te krijgen was) de stelling dat het filter in strijd was met de grondrechten en Europese wetgeving. Daar geeft het Europese Hof ze nu gelijk in: generieke filters blokkeren ook legitieme inhoud, houden geen rekening met auteursrechtelijke uitzonderingen (zoals parodie of citeren) en vereisen structureel meelezen met alle communicatie, wat een inbreuk op de privacy oplevert.

Maar is daarmee iedere mogelijkheid voor een auteursrechtenfilter van de baan? Nee, want het Hof zegt niet dat filteren nooit en te nimmer mag. Het Hof zegt dat een generiek filter dat preventief alle klanten filtert, geen beperking in de tijd heeft én door de provider betaald moet worden niet mag. Dit omdat met zo’n lomp filter niet is voldaan aan

het vereiste dat een juist evenwicht wordt verzekerd tussen enerzijds het intellectuele-eigendomsrecht en anderzijds de vrijheid van ondernemerschap, het recht op bescherming van persoonsgegevens en de vrijheid om informatie te ontvangen of te verstrekken.

Daarmee blijft wel degelijk de deur open voor een meer fijnbesnaard filter dat wél dit juiste evenwicht weet te bereiken. Bij Webwereld meldt BREIN-advocaat Joris van Manen dan ook meteen dat

Brein niet [vraagt] om een algemene filtermaatregel van al het in en uitgaande P2P verkeer, maar om een blokkade van één specifieke, evident illegale website, die in Nederland al drie keer veroordeeld [waarvan twee keer bij verstek, tss, AE] is en aan die verboden geen gehoor geeft.

Eerder had dit hof in de L’Oréal/eBay-zaak al bepaald dat eBay verplicht moet filteren op advertenties waarvan gebleken is dat ze inbreukmakend zijn. Dus niet generiek “blokkeer alle L’Oréalproductadvertenties” maar “blokkeer specifiek deze advertentie, ook voor de toekomst”:

[de rechter kan] gelasten om maatregelen te treffen die niet alleen bijdragen tot het doen eindigen van de door de gebruikers van die marktplaats gepleegde inbreuken op die rechten, maar ook tot het voorkomen van nieuwe inbreuken van die aard. Deze bevelen moeten doeltreffend, evenredig en afschrikkend zijn en mogen geen belemmeringen voor het legitiem handelsverkeer scheppen.

Er lijkt me dus wel degelijk (enige) ruimte om een P2P filter te verzinnen dat niet tegen het verbod van het Hof aanloopt. Veel niet; de bezwaren waar het Hof de beslissing op baseert zijn fundamenteel. Hoge kosten, ieders verkeer monitoren en ongenuanceerd álle auteursrechteninbreuken najagen, dat kun je niet vragen. Maar lage kosten, gericht monitoren en alleen specifiek bij reeds vastgestelde inbreuken in actie komen: denkbaar.

Kortom, het is afwachten wat de rechtbank in BREIN/XS4All/Ziggo zegt, daarna wat het Gerechtshof in diezelfde zaak gaat zeggen (want hoe dan ook komt er hoger beroep in die zaak) en dáárna (hopelijk) wat het Europese Hof gaat zeggen over het door BREIN bepleite antipiratebayfilter.

Arnoud

Sinterklaasjournaal zet ouders voor het blok, las ik bij Ouders Online. Het journaal had kinderen opgeroepen naar SinterklaasJournaal.nl te gaan en daar hun naam en e-mail adres in vullen omdat ze anders geen cadeautjes zouden krijgen. Eh, privacytechnisch, wat?

Ouders Online maakt zich boos:

De druk die hier wordt toegepast om kinderen naar de site van het Sinterklaas-journaal te lokken en hun persoonsgegevens in te leveren. (”Als je je naam en adres niet meldt krijg je geen cadeautjes”) gaat wel erg ver. Evenals het popup-scherm dat verschijnt na het invullen van de persoonsgegevens. Daarin poogt men de bezoekertjes over te halen om extra vriendjes of vriendinnetjes aan te melden.

Ouders online heeft een sterk punt: hoe kun je weigeren om mee te werken aan deze oproep? Want geen kadootje met Sinterklaas, dat kun je een kind niet aandoen. Maar tegelijkertijd: hoe kun je als mediabewuste ouder toestaan dat je kind zijn persoonsgegevens invult op een of andere site?

Juridisch gezien is het simpel: een kind onder de zestien kan niet rechtsgeldig zijn persoonsgegevens ergens verstrekken. Daarvoor is gewoon toestemming van de ouders nodig (art. 5 Wbp). Zonder toestemming kunnen zijn gegevens alleen worden verwerkt op grond van een reeds gesloten contract of bij een dringende noodzaak - en hoe belangrijk het boek van Sinterklaas ook is, juridisch noodzakelijk is het niet.

Het invulformulier (met het omineuze ‘viral’ in de URL) hanteert ook een wat rare opt-in: je moet een vinkje weghalen bij “De Sint mag contact met mij opnemen in verband met pakjesavond” als je geen mail wilt krijgen. Dat lijkt me niet juist. (En ook hier weer: hoe leg je dat uit bij je kind?)

Of het CBP stappen gaat ondernemen tegen de NTR (er is immers ook geen registratie van de verwerking, wat boetewaardig is), is nog onduidelijk.

Arnoud