Internetrecht door Arnoud Engelfriet

Marketingbureau Conversion Company bekent dat het discussiefora spamde om klanten als KPN en Douwe Egberts hoger in de zoekmachineresultaten te duwen, zo las ik bij Emerce. Vanaf fictieve accounts plaatste men zogenaamd persoonlijke bijdragen met daarin stiekeme backlinks naar websites van klanten. Volgens Molblog mogelijk een overtreding op de wet op oneerlijke handelspraktijken. Eerder betrapte het ondernemersforum Higherlevel.nl Groupon op deze praktijken.

Het gaat hier niet om pure reclame, wat met een beetje spamfilter er wel uit te houden is (dank je Akismet, ook al blokkeer je soms legitieme comments). Nee, het gaat hier om berichtjes als:

aangezien blackberry het al 2 dagen laat afweten, gaan we maar over!! Vraagje: ik zie net op de iphone 4s site van kpn dat er een inschrijving mogelijk, maar is dat een pre-order of krijg je gewoon de laatste info, zodra die beschikbaar is…? Of hang je aan een abo vast… Weet iemand trouwens of dat 1080p recording vet is? hoor het graag

In het origineel stond er dan een stiekeme link naar een KPN-aanbieding met de iPhone 4s, wat als bedoeling had dat de KPN-site hoger in zoekmachines zou komen en/of mensen eerder bij KPN zouden gaan bestellen.

Mag dat? Nee. Dit is inderdaad een oneerlijke handelspraktijk. Op de zwarte lijst van te allen tijde verboden praktijken voor bedrijven staat namelijk:

De volgende handelspraktijken zijn onder alle omstandigheden misleidend: … op bedrieglijke wijze beweren of de indruk wekken dat de handelaar niet optreedt ten behoeve van zijn handel, bedrijf, ambacht of beroep of zich op bedrieglijke wijze voordoen als consument;

Het hierboven geciteerde berichtje lijkt van een consument die overweegt over te stappen en een legitieme vraag heeft. Maar het is dus in feite een bedrijfs- of beroepsmatig geplaatst bericht dat andere consumenten wil overhalen de iPhone 4S met abonnement bij KPN af te nemen. En dat is zonder enige twijfel bedrieglijk.

Toegegeven, een beetje ervaren forummer prikt door dat soort berichtjes heen (zoals bij Affiliateforum) maar de vraag is of de gemiddelde forummer dat doet. En dat lijkt me niet.

In reactie op de berichten van Molblog heeft Conversion Company besloten per direct het deelnemen aan internetfora te staken.

Arnoud

Ryanair kan niet verbieden dat handige jongens met botjes geautomatiseerd prijsopgaven komen opvragen. Dat bepaalde het Hof Amsterdam vorige week. Ryanair ligt al langer in de clinch met handige jongens met botjes. Het bedrijf Wegolo had een botje lopen dat bij een prijsverzoek op haar site gauw op de achtergrond bij Ryanair opvroeg wat dat zou kosten. Ryanair maakte daar bezwaar tegen, omdat zij wilde dat mensen bij haar eigen site boeken (zodat ze zelf kunnen upsellen met hotels en autoverhuur natuurlijk). Ryanair beriep zich op databankenrecht en geschriftenbescherming, maar het Hof wijst dat af.

In eerste instantie had de rechtbank beslist dat Wegolo de geschriftenbescherming van Ryanair schond door het herhaaldelijk opvragen van gegevens uit het “geschrift” (lees: de databank) van Ryanair met haar prijsinformatie. Dat is opmerkelijk, omdat met de Databankenwet de geschriftenbescherming eigenlijk gewoon dood had gemoeten. Maar de rechtbank vond een leuke kronkel: een databank die niet beschermd is onder de Databankenwet, mag beschermd blijven onder de geschriftenbescherming.

Het Hof beslist anders, en terecht, zeker nu het Europese Hof onlangs nog eens heeft bepaald dat auteursrecht alléén mag gelden wanneer een werk een “eigen intellectuele schepping van de maker” is.

Ryanair kan geen databankenrecht claimen op haar vertrektijden- en prijzenlijsten. Natuurlijk niet, zou je zeggen, maar ik herhaal het toch maar even om blaffende databankrechtadvocaten tegen de schenen te schoppen. Een databankrecht geldt alleen als er een substantiële investering is gedaan in de opbouw of het opschonen van de databank zelf. Investeringen gedaan voor het maken van de gegevens tellen niet mee. Ryanairs gegevens zijn vluchttijden en prijzen, en alle kosten die daarmee gemoeid gaan, vallen buiten het databankenrecht.

Ook het feit dat Ryanair een verkoopdienst aanbiedt bij haar databank, telt mee. De website is in feite een webwinkel voor vliegreizen, en de kosten van die website zijn dan kosten voor het runnen van de webwinkel. Dat zijn óók geen databankrechtelijk relevante kosten.

De informatie van Ryanair zijn “gewoon” geschriften, beter gezegd verzamelingen van gegevens. Op grond van artikel 24a Auteurswet mag de rechtmatige gebruiker deze verveelvoudigen als dat noodzakelijk is om toegang te verkrijgen tot en normaal gebruik te maken van de verzameling. Dit kan niet in een licentie worden verboden of ingeperkt. Een bezoeker van de Ryanairsite mag dus opvragen wat een vliegreis kost.

Oók Wegolo mag dit doen, omdat de manier die zij toepast precies is “zoals de klant dat zelf ook zou doen”. Wegolo kopieert geen gegevensverzameling, maar doet een onderwaterquery op Ryanair’s site en schraapt de resultaten naar haar eigen layout. Daar is niets mis mee. Wellicht dat dat anders zou zijn, zo overweegt het Hof, als Wegolo’s scrapen zou leiden tot overlast. Grootschalig e-mailadressen scrapen voor spamverzending is een voorbeeld van zulke overlast, net als het overbelasten van de servers van Ryanair.

Verder doet Wegolo ook niets anders dat onrechtmatig is. Ze mag de prijzen van Ryanairs vluchten tonen en mensen overhalen een vlucht daar te boeken (daar heeft Ryanair zelfs profijt van) en het is niet illegaal om daarbij dan zelf de upsells van huurauto’s en dergelijke te doen. Dat Ryanair dan provisie daarop misloopt, is gewoon vrije concurrentie.

Het Hof gaat niet zo ver om de geschriftenbescherming als geheel illegaal te verklaren, wat ik wel een gemiste kans vind maar het was in dit geval niet nodig. Had Wegolo nou de hele prijslijst van Ryanair gekopieerd, dan was dit nog een leuke geweest. Maar voorlopig blijft dit punt dus nog even in juridisch limbo hangen. Wel zijn er leuke juridische opinies te over.

Arnoud

Google mag gegevens rechtspersonen openbaar maken, las ik bij Rechtspraak.nl. De rechtbank Amsterdam vonniste vorige week over een zaak waarbij je via Google Maps en Google Street View het vestigingsadres van een stichting kon vinden.

Nou is dat op zich geen privacyschending, want dat speelt pas bij adressen en dergelijke van natuurlijke personen en een stichting is dat niet. Maar in de naam van deze stichting komen de namen van twee natuurlijke personen voor die wonen op het vestigingsadres van de stichting. Daarmee is dus zowel de naam van de stichting als vestigingsadres stiekem toch een persoonsgegeven, en er was geen toestemming om die persoonsgegevens op internet te zetten, aldus deze bestuurders.

Inderdaad, die zeer letterlijke en daarmee zéér verstrekkende lezing van de Wbp die mij al tijden de keel uitkomt. Het kan niet waar zijn dat het zó makkelijk is om allerlei gegevens weg te krijgen omdat je er direct of indirect aan te herkennen zijn.

De kantonrechter is gelukkig verrassend nuchter:

Het enkel vermelden van een straatnaam en huisnummer met daarbij een niet erg gedetailleerde luchtfoto van het pand dat op die locatie staat, zonder vermelding van gegevens over de bewoner, kan naar het voorlopig oordeel van de voorzieningenrechter niet worden beschouwd als een gegeven dat naar zijn aard op een persoon betrekking heeft. De door Google verschafte informatie bevat geen faciliteit waarmee deze informatie aan een bepaalde persoon valt te koppelen.

Hiermee komt dus enige praktische redelijkheid terug in het privacyrecht. Niet “met die letters kun je mijn naam maken” is genoeg om van een privacyschending te kunnen spreken, er moet een duidelijke aanwijzing zijn dat men daadwerkelijk een persoon op het oog had.

Maar die stichtingsnaam dan, waar letterlijk hun achternamen in stonden? Nou,

De naam van een rechtspersoon waarin de naam van een natuurlijk persoon is verwerkt kan niet zonder meer beschouwd worden als een gegeven dat betrekking heeft op die natuurlijke persoon en daarmee onder de werkingsfeer van de Wbp worden gebracht. De band tussen een natuurlijk persoon en de rechtspersoon die zijn naam draagt kan immers zeer divers zijn.

Ook hier dus een “laten we wel wezen”-toets. Theoretisch gezien zijn hiermee allerlei privacygevaren denkbaar, maar in de praktijk zullen mensen achter deze vermelding niet meer zoeken dan “goh daar zit een stichting en die heet X”. Een dergelijk generiek stukje informatie kan niet en hoort niet onder de privacywet te vallen.

Dit soort conflicten gaan we vaker krijgen nu meer en meer data op internet ontsloten wordt en daarbij ook direct of indirect mensen hun naam of adres terug zien. Het gaat mij écht te ver om dat allemaal uit te kunnen poetsen met de privacywet, zeker als het gaat om archieven of diensten die een algemeen nut hebben (en ja ook Street View valt daaronder). Omgekeerd snap ik ook wel dat er situaties zijn die echt te ver gaan, maar waar je de lijn precies moet trekken daar ben ik nog niet uit. In ieder geval niet hier.

Wie heeft een suggestie, hoe krijg je een goede balans tussen het algemeen nut en de privacy?

Arnoud

Dit gaat nog leuk worden: Google en de Europese Commissie kwamen ongeveer tegelijkertijd met nieuwe privacyregels, maar ze gaan elk compléét de andere kant op. De EC heeft een machtig wapen ingevoerd: boetes tot 5% van de jaaromzet voor wie de privacywet negeert. Maar Google heeft ook een machtig wapen: uitsluiting van alle Googlediensten als hun privacyregels je niet bevallen.

Google heeft nu ongeveer zestig verschillende privacybeleiden en wil daar vanaf. Loffelijk, want er rammelde nogal wat aan die teksten. Dus nu maken ze één geconsolideerde tekst. En die rammelt gewoon in z’n eentje.

Korte samenvatting: wij verkrijgen gegevens van u, van anderen en wij leiden gegevens af van wat u allemaal doet (en wat u gebruikt en waar u bent). Wij gebruiken die voor onze diensten (joh), met name om je advertenties op maat voor te schotelen. We mogen informatie combineren, dus als we uit Gmail je echte naam halen dan mogen we die aan je andere profielen plakken en dat heb je maar te accepteren. Oh, en we geven geen informatie aan derden tenzij die zorgvuldig geselecteerd zijn en die zich beloven te gedragen. Bevalt u dat niet (”People have different privacy concerns”), dan kunt u opt-outen. Niet van alles; u kunt “bepaalde” zaken uitzetten, niet meer. Maar u mag natuurlijk altijd naar Bing.

Ongetwijfeld volstrekt toevallig verscheen het officiële voorstel voor de nieuwe Privacyverordening. Geen gedoe meer met nationale wetten maar gewoon één wet die in één klap alles regelt, zonder mogelijkheid om daar van af te wijken of aanvullende regels te stellen. Het zal vast geen verrassing zijn dat die regels compleet de andere kant op gaan dan waar Google heen wil.

Hoofdregel is dat je zo beperkt mogelijk met persoonsgegevens moet omgaan. Je moet specifieke en welomschreven doelen hebben, en gegevens mag je dan alléén daarvoor gebruiken. Daarbij moet je eigenlijk altijd toestemming hebben. Er is en blijft een uitzondering voor een eigen noodzaak, als die zwaarder weegt dan de privacy.

Er komen strakke informatieplichten, nog strakker dan we al hadden. Je moet kunnen inzien wat men over je weet (en dat moet je elektronisch kunnen opvragen), en je moet expliciet te horen krijgen hoe je daar correcties of verwijdering van kunt realiseren. Dat recht van verwijdering hadden we al, maar wordt nu enigszins melodramatisch omgedoopt tot “recht te worden vergeten” - de partij die je gegevens opsloeg, moet alle redelijke stappen nemen om je gegevens te wissen, inclusief verzoeken bij derden die de gegevens hebben overgenomen. Ja, daarmee bedoelen ze Google en andere mirrors, zoekindexen en archieven.

In de praktijk zal dat recht geen bal veranderen ten opzichte van wat we hebben (en maar goed ook). Er is namelijk een uitzondering: je hoeft gegevens niet te verwijderen als je gebruik onder de vrije meningsuiting valt. En in 95% van de gevallen willen mensen hun gegevens namelijk niet uit een databank hebben maar uit een forum, nieuwsartikel of blogarchief omdat de daarin geuite feiten hen niet meer bevallen.

En zoals gezegd staan er forse boetebepalingen in die de Commissie kan inzetten als bedrijven de regels negeren. Expliciet zijn die ook bedoeld voor internationale (lees: Amerikaanse) bedrijven die menen dat zij niet onder Europees recht vallen. Dus dat gaat nog leuk worden, want ik zie Google écht niet zomaar omrollen omdat de EC meent dat privacy een groot goed is en targeted advertenties eigenlijk maar smoezelige dingen zijn. Omgekeerd gaat de EC ook niet snel zeggen “oh, jullie zitten in Californië, nee laat maar dan, wij gaan eerst achter Ilse aan”.

Eerlijk gezegd vind ik beide aanpakken best wel slecht. Googles “wij mogen alles en als u dat niet bevalt gaat u maar lekker Bingen” is natuurlijk zo generiek dat het niet leuk meer is. Afgezien van zalvende woorden en een paar optoutaanvinkvakjes ben je op die manier compleet aan de zoekmachine overgeleverd. Maar wat de EC van plan is, zie ik ook niet werken. Zó veel invloed en controle bij mensen neerleggen is onwerkbaar, nog afgezien van het punt dat driekwart van de mensen (en dan ben ik positief) niet snapt wat er nu eigenlijk gebeurt en dus op voorhand overal maar mee akkoord gaat “anders doet ie het niet”.

Ik blijf erbij dat het beter is om het zo te doen:

1. Je moet altijd dat categorisch kunnen weigeren (en toch de dienst kunnen gebruiken, mits dan tegen betaling);
2. Je moet volledig disclosen wat je doet en waarom;
3. Mensen moeten inzage krijgen in de data die je hebt en hoe je daar conclusies uit trekt;
4. Als het niet klopt, moet je elke benadeelde burger 150 euro per fout voor betalen.

Arnoud

Een lezer vroeg me:

Het is wat vroeg, maar ik was al begonnen met mijn belastingaangifte. En nu vroeg ik me ineens af, stel dat ik een zakelijk gekocht tuinmeubel privé gebruik in mijn achtertuin. Dat mag natuurlijk niet van de Belastingdienst, maar er staat een hoog hek om mijn tuin dus knappe inspecteur die daar achter komt. Via Google Earth zou hij het wel kunnen zien, maar mag hij dat eigenlijk wel? Is dat geen onrechtmatig verkregen bewijs?

De Belastingdienst verbiedt op zich niet zo heel veel, alleen ongewenste praktijken kunnen leiden tot extra heffingen. Zo mag je best zo’n meubel privé gebruiken, alleen merkt de Belastingdienst het dan aan als loon in natura zodat je een forse naheffing krijgt.

Hoe dan ook, inderdaad moeten ze er wel eerst achter komen. En dat zal niet meevallen met een grote schutting. Maar inderdaad kijkt Google Earth daar overheen, en als de inspecteur dus de moeite neemt daar gebruik van te maken dan heb je echt een probleem. Roepen dat het onrechtmatig verkregen bewijs is, gaat je niet helpen.

Ook de politie mag in deze openbare bron kijken, zo blijkt uit een recent vonnis. In deze fiscale strafzaak werd de maat van een advocatenkantoor vervolgd wegens belastingontduiking en valsheid in geschrifte. Zo werden er facturen en orderbonnen vervalst, en zouden er producten zakelijk gekocht zijn om die vervolgens privé te gebruiken zonder dit aan te geven als loonuitkering.

Onder meer had men bonnen gevonden voor lichtgele Bubble Club fauteuils, en daarna Google Earth geraadpleegd om te constateren dat deze in de eigen achtertuin van deze maat stonden.

Geverbaliseerd is hoe via Google Earth het privéadres van verdachte is opgezocht en hoe vervolgens is ingezoomd op de tuin van verdachte, waarin verbalisante twee gele stoelen zag staan die volgens haar grote gelijkenis vertonen met de door verdachte gekochte stoelen.

Ik had dat proces-verbaal graag gelezen, want verbalisantentaal is een wonderlijk mengsel van taalgebruik, waarbij elke zin moet beginnen met “ik, verbalisante”. Dus je krijgt dan iets als “ik, verbalisante, dubbelklikte op het icoon van Google Earth, waarna ik het adres invulde dat mij bekend was als het privéadres van verdachte invoerde. Daarna constateerde ik, verbalisante, dat de applicatie een inzoomende animatie vertoonde naar Nederland en vervolgens een afbeelding liet zien welke mij, verbalisante, voorkwam als een bovenaanzicht van het privéadres van verdachte inclusief diens achtertuin. Daarna zag ik, verbalisante, in deze kennelijke achtertuin twee gele stoelen staan die volgens mij grote gelijkenis vertonen met de door verdachte gekochte stoelen.”

Hoe dan ook: mag deze agente dit doen en de uitdraai vervolgens als bewijs gebruiken?

Die vraag is serieuzer dan je zou denken, want de politie mag bij de opsporing in principe alleen de middelen gebruiken die in de wet zijn aangewezen als opsporingsmiddel. (Weet u nog, het gedoe om het IP-bevriezingsbevel tegen RIPE uit december?) Het via Google Earth inzoomen op een private plaats is geen in de wet genoemde opsporingsmethode, betoogde de verdachte dan ook. En iemands achtertuin is toch een privéplek, zodat je er niet met de generieke regel uit artikel 2 Politiewet komt. Die mag alleen worden gebruikt als dat slechts een ‘geringe’ inbreuk op de privacy oplevert.

De rechtbank gaat daar niet in mee. Het via Google Earth inzoomen op een of meer plaatsen kan niet worden aangemerkt als het gebruik van bijzondere technische opsporingsmiddelen, “nu iedere burger bij het gebruik van het internet, zulks kan doen.” Dat gaat mij wat snel; een burger kan ook een camera plaatsen of een afluisterapparaatje installeren, en toch is dat wel degelijk een bijzonder middel.

Maar in de memorie van toelichting bij de Wet Computercriminaliteit II had de minister expliciet gezegd:

Zoals de politie, al dan niet in burger, op straat mag surveilleren en rondkijken, zo mag een rechercheur vanachter zijn computer hetzelfde doen op Internet. Een uitdrukkelijke wettelijke grondslag is daarvoor niet nodig, mits dat optreden gerekend kan worden tot de uitvoering van de politietaak (zie artikel 2 Politiewet 1993).

De rechtbank vindt, met deze uitspraak in het achterhoofd, het een keertje kijken op Google Earth een geringe inbreuk op de privacy die moet kunnen zonder speciale bevoegdheid. Ik denk met mede de overweging dat als de agente een pootje had gekregen van een collega en zo over de schutting had gekeken, er ook geen sprake was geweest van onrechtmatig verkregen bewijs. (”Ik, verbalisante, ontving vervolgens een zogeheten ‘pootje’ van medeverbalisante en verhief mij aldus tot ongeveer een decimeter boven de schutting van het huis van verdachte, alzo ik constateerde…”).

De verdachte krijgt een geldboete van € 17.000 en een taakstraf van 40 uur.

Arnoud

Tendentieus en ongefundeerd. Dat was het eerste dat in me opkwam toen ik dit bericht bij Nu.nl lees. “Google heeft geld verdiend aan een gesponsorde link naar een bedrijf die illegaal kaartjes voor de Olympische Spelen 2012 verkocht.” Ohòòh. En ze gaan het geld nog hóuden ook, stelletje gemeneriken.

Nee, serieus. Kom op zeg. Sinds wanneer is dit verboden? Google mág geld verdienen aan gesponsorde links, ook als die linken naar onrechtmatige handel. Dat bepaalde het Europese Hof van Justitie in het Google/Vuitton-arrest.

In die zaak ging het om de vraag of Google aansprakelijk zou zijn voor het laten verschijnen van gesponsorde links naar namaakmerkartikelen. Nee, oordeelde het Hof. Partijen die informatie van anderen opslaan en verwerken, zijn niet aansprakelijk voor die informatie

wanneer die dienstverlener geen actieve rol heeft gehad waardoor hij kennis kreeg van of controle kreeg over de opgeslagen gegevens.

Dit geldt ook voor zoekmachines en gesponsordekoppelingsdienstverleners zoals Google.

Indien dat het geval is, kan de dienstverlener niet aansprakelijk worden gesteld voor de gegevens die hij op verzoek van een adverteerder heeft opgeslagen, tenzij hij die gegevens niet snel verwijdert of de toegang daartoe onmogelijk maakt nadat hij kennis heeft gekregen van het onrechtmatige karakter van die gegevens of van activiteiten van die adverteerder.

Google hoeft dus alleen maar in actie te komen na klachten over illegale advertenties, en wel door de advertentie dan te verwijderen. En dat ze geld verdient met die dienst, doet daar niets aan af. Wat Nu.nl dus wil zeggen met haar bericht, weet ik niet. Maar nieuws is het niet.

Het zou me trouwens niets verbazen als de Olympische Spelen gaat claimen dat die regel niet voor hen geldt, of dat er tijdens de Spelen even een aparte wet moet worden gemaakt dat niemand op die term mag adverteren zonder hun toestemming. Dat is immers hun staande praktijk: alle wettelijke uitzonderingen moeten aan de kant voor dit sportevenement. Grmbl.

Arnoud

De game Google Shoot View, een first-person shooter binnen Street View is door Google offline gehaald wegens schending van auteursrecht, las ik bij Gameliner. Google Shoot View is een spelletje waarin spelers via Google Streetview op mensen en gebouwen konden schieten. Er ging niet echt iets stuk, het ging puur om het idee van rondlopen en schieten met een best groot geweer.

Dat van auteursrechten klopt niet helemaal: Google blijkt zich te beroepen op haar Terms of Service, die je verbieden gebruik te maken van de Maps API op een manier die leidt tot

(xvi) promote physical harm or injury against any group or individual

Tsja, wat moet je daar nou mee. Het “spel” is niet meer dan een overlay op Google Maps, waarbij je cursor zeg maar een schietgeweer is en je dus rondloopt met een schietkruis (video). Je kon de trekker overhalen, maar er ging dan niets stuk of wat dan ook. Om dat nou “aanzetten tot geweld” te noemen gaat mij wel érg ver. Als ze nou hadden gezegd dat “Shoot View” of de naam “Google” in de spelnaam merkinbreuk waren geweest, dan had ik dat nog wel kunnen begrijpen.

Maar het is wél Googles eigen server, en daar gelden hun regels. Als bedrijf kun je er weinig tegen doen als die regels je dingen verbieden, het is kiezen of delen (of onderhandelen). Wil men dus geen pistolen of geweren boven de Streetview content, dan houdt het meteen op.

Heel heel misschien zou je nog een puntje van “vrije meningsuiting” kunnen opwerpen, Google verhindert zo een bepaalde kunstvorm. Maar particuliere partijen hoeven eigenlijk nooit andermans mening te tolereren via hun eigendommen, behalve in zeer uitzonderlijke situaties waarin dat eigendom de enige manier is om een bepaald publiek te bereiken. Maar dan zou ik eerder denken aan het categorisch blokkeren van je zelfgemaakte video’s op Youtube dan op een overlay van een geweer op Google Maps.

Arnoud

Onder druk van privacywaakhond CBP biedt Google nu wereldwijd de optie om wifi-routers uit zijn database met locatiedata te verwijderen door ‘_nomap’ aan de netwerknaam (SSID) toe te voegen. Daarmee voldoet het bedrijf aan de Wet bescherming persoonsgegevens, aldus datzelfde CBP. Maar, eh, hoezo, vroegen veel mensen mij: dit is opt-out en de privacywet eist toch een opt-in?

Het College had Google een dwangsom opgelegd nadat bleek dat het bedrijf van 4 maart 2008 tot 6 mei 2010 met de rondrijdende Street View-auto’s gegevens had verzameld over ruim 3,6 miljoen verschillende wifi-routers in Nederland. Meer precies ging het om de locatie, de signaalsterkte en het SSID (netwerknaam) van die netwerken. Met die gegevens bood Google een geolocatiedienst aan. Door te kijken welke netwerken er in de buurt zijn, en in een database op te zoeken waar die zich bevinden, kun je redelijk nauwkeurig vaststellen waar jij bent. In ieder geval nauwkeurig genoeg om geografisch passende advertenties te sturen.

Deze gegevens zijn persoonsgegevens: ze zijn indirect ofwel met enige moeite te herleiden tot de eigenaar van dat netwerk, al is het maar door zijn huis te lokaliseren en aan te bellen. En daarmee is het opbouwen van zo’n database onderworpen aan de Wet bescherming persoonsgegevens, de privacywet. Hoofdregel daaruit is dat voor het gebruik van iemands persoonsgegevens toestemming nodig is. En die krijgt Google niet door rond te rijden - het feit dat iemand zijn SSID uitzendt is géén toestemming voor het opnemen daarvan in een database.

Toch vindt het Cbp dat Google de privacywet niet schendt, zeker niet nu men de “_nomap” extensie voor het SSID belooft te gebruiken om routers te negeren. Het Cbp doet dit door Google’s activiteit goed te keuren onder artikel 8 sub f. Dit artikel bepaalt dat je zonder toestemming iemands persoonsgegevens mag verwerken als dat “noodzakelijk is voor de behartiging van het gerechtvaardigde belang” van degene die die gegevens verwerkt én als dat belang van die persoon zwaarder weegt dan de privacy.

Googles belang is om een volle database te hebben van routers en locaties, zodat ze een goed werkende geolocatiedienst kunnen aanbieden. Dat vindt het Cbp op zich allemaal leuk en aardig, maar het is niet noodzakelijk voor een geolocatiedienst om zo’n database te hebben. Je kunt ook (zoals Microsoft, Skyhook en Apple doen) met andere middelen en uit andere geo-informatie vergaren. Er is dus niet voldaan aan de eerste eis, er is geen noodzaak deze gegevens te verzamelen.

Vervolgens gaat men verder over de tweede eis, die van de belangenafweging. Daarbij citeert men de memorie van toelichting bij de wet:

Bij de in onderdeel f voorgeschreven afweging speelt een rol de mate van gevoeligheid van de gegevens die de verantwoordelijke wil verwerken en de maatregelen die de verantwoordelijke heeft genomen ten einde rekening te houden met de belangen van de betrokkene. De belangen van de betrokkene zullen in mindere mate gewicht in de schaal leggen naarmate in zijn belang meer waarborgen voor een zorgvuldig gebruik van de gegevens zijn genomen

Bij deze belangenafweging is belangrijk dat Google moet zorgen voor een afmeldmogelijkheid, om de belangen van de betrokkenen (de eigenaren van die routers) tegemoet te kunnen komen. De _nomap is dus formeel geen opt-out maar een “waarborg voor zorgvuldig gebruik”. Ook moet Google de eigenaren van routers informeren, wat men deed met advertenties in landelijke kranten en een FAQ op de site.

Op onnavolgbare wijze komt het Cbp na dit stukje ineens tot de conclusie dat het wél legaal is wat Google doet als ze dus maar aan deze eisen voldaan. Ik snap daar werkelijk niets van. Eerst zeggen dat de ene eis (noodzakelijk voor je belang) niet gehaald wordt, daarna uitleggen hoe de andere eis (belangenafweging) wél gehaald wordt en dan is het legaal? Ik zal wel iets missen hoor.

In Tweede Kamer zijn ze al gaan roepen dat er een expliciete opt-in moet komen, maar hoe ze dat willen regelen, mis ik eveneens: dit zijn Europese privacyregels waar we niet zomaar een extra Nederlands wetje bij kunnen maken. Plus, het idee van opt-in als oplossing is onzinnig: 99% van de mensen weet niet waar ze voor opt-int en/of klikt ongezien op Akkoord bij alles dat je ze voorlegt.

Arnoud

Een lezer vroeg me:

Op mijn website recenseer ik regelmatig bepaalde producten en diensten. Ik bestel wat bij webwinkels en test hun bezorgtijden, of ik laat foto’s printen en vergelijk de kwaliteit. Bij mijn testen kijk ik naar zelfgekozen criteria en selecteer ik een aantal winkels, want ik kan natuurlijk niet iedereen tegelijk vergelijken. Vervolgens plaats ik bij elke recensie een affiliatelink naar de bedrijven, zodat ik provisie krijg wanneer een van mijn websitebezoekers een aankoop plaatst bij de betreffende aanbieder.

Nu werd ik onlangs via e-mail benaderd door een aanbieder die niet op mijn website staat. Hij geeft aan dat ik consumenten misleid omdat ik de producten niet daadwerkelijk getest zou hebben (wat dus wel zo is) en daarmee suggereer dat andere aanbieders van dezelfde producten niet betrouwbaar zijn. Ook zegt hij dat de affiliatelinks bewijzen dat ik alleen maar geld wil verdienen, en dus geen objectieve tests kan doen.

Als je geen onwaarheden vertelt en duidelijk documenteert wat je hebt gedaan, dan zie ik niet wat je fout doet. Het kan handig zijn uit te leggen waarom je die vijf bedrijven test en geen andere. Als je kunt uitleggen waarom je niet alle aanbieders noemt, dan moet dat ook goed zijn. De Consumentenbond gaat ook niet alle webwinkels testen bijvoorbeeld, ze kiezen de tien bekendste of grootste. Dat mag jij ook natuurlijk. (Aan de andere kant, als er 13 aanbieders zijn en jij test er tien, dan zou ik ik overwegen die andere drie ook te doen.)

Het is misschien een idee om je testen te documenteren en als PDF online te zetten. Screenshots en foto’s van de bestellingen, plus een vergelijking van de resultaten. Dat bewijst dat je de test gedaan hebt, en het is informatief voor je bezoekers omdat ze je test op waarde kunnen schatten.

Geld verdienen met een test is niet verboden, dus die affiliatelinks kunnen echt geen roet in het eten gooien. De vraag is of je test objectief en eerlijk is, en of het voor lezers duidelijk is wat je test en waarop. Het is niet verplicht om de hele markt te recenseren.

De regels over vergelijkende reclame zijn hier ook geen probleem: het is geen vergelijkende reclame om bedrijven op een rijtje te zetten en onderling te vergelijken.

Arnoud

Het Gerechtshof heeft geoordeeld dat de website Miljoenhuizen.nl een pagina moet aanpassen vanwege de manier waarop Google eruit citeert, meldde Tweakers vorige week. Dit is het hoger beroep van de Zwartepoorte-zaak uit medio 2009. De uitspraak van het Hof dat Miljoenhuizen tóch de site moet aanpassen, heeft veel stof doen opwaaien, maar volgens mij is deze wel degelijk correct.

De website van Miljoenhuizen.nl bevatte een pagina over het bedrijf Zwartepoorte, waar rechts in een kolom “reacties op andere pagina’s” een zinnetje werd getoond waarin het faillissement van een ander bedrijf werd gemeld. Bij zoeken naar de woorden “Zwartepoorte” en “failliet” kwam deze pagina als eerste resultaat, met een Google-samenvatting die de zinsnede “Zwartepoorte Specialiteit: BMW … Dit bedrijf is failliet verklaard, het is overgenomen door het motorhuis” bevatte.

Zwartepoorte eiste dat Miljoenhuizen.nl dit zou aanpassen omdat zij hiervan vreesde last te krijgen. De site weigerde dit echter, “om principiële redenen” zoals het arrest het noemt. De belangrijkste reden lijkt te zijn geweest dat dit toch Google’s stommiteit is en niet zijn handelen. Wat kun jij er nu aan doen dat een zoekmachine een gekke combinatie van citaten produceert?

Het Hof oordeelt echter dat Miljoenhuizen wel degelijk een eigen verantwoordelijkheid heeft. Niet voor de Google-resultaten - voor het nalaten iets te doen nadat het probleem bij haar werd gemeld. Het Hof lijkt een tikje geïrriteerd door de manier waarop Miljoenhuizen de zaak in hoger beroep voorstelde:

Anders dan [Miljoenhuizen] in zijn inleiding op de grieven suggereert, gaat het hier niet om de vraag of [Miljoenhuizen ] aansprakelijk is voor de vertekende weergave door een zoekmachine, maar om de vraag of van [Miljoenhuizen] actie kan worden verlangd wanneer blijkt dat (los van enige vraag naar verwijtbaarheid) sprake is van een dergelijke, schade opleverende, vertekende weergave. Ook de stelling dat [Miljoenhuizen] als gevolg van het dictum van het bestreden vonnis aansprakelijk wordt gehouden voor onrechtmatig handelen door een derde, is derhalve niet juist.

Het punt is echter wel erg subtiel. Miljoenhuizen wordt niet aansprakelijk gehouden voor de Google-resultaten of voor schade als gevolg daarvan, maar alleen voor het feit dat ze niets deed toen ze te horen kreeg dat dit probleem bestond. En daarbij was belangrijk dat Miljoenhuizen naar eigen zeggen met een geringe ingreep de zoekresultaten (voor de toekomst) kon beïnvloeden. In zulke situaties kún je verplicht zijn om dan ook echt die ingreep te nemen, ook wanneer het niet jouw schuld is dat de zoekresultaten er zo uitzien.

De Hoge Raad gebruikte deze zelfde insteek in het Lycos/Pessers-arrest om een plicht voor providers te verzinnen om NAW-gegevens te moeten afgeven van klanten die iets onrechtmatigs doen. De provider kan niets doen tegen onrechtmatig handelen, maar als iemand de NAW-gegevens wil hebben dan is dat een eenvoudige maatregel. En onder bepaalde voorwaarden moeten die worden afgegeven. Dit was een verbijzondering van de algemene regel dat je wel eens verplicht kunt zijn in te grijpen als er zich ergens schade voordoet, ook als jij die niet hebt veroorzaakt. De advocaat-generaal beschreef het zo: het is weliswaar uitzondering om verplicht te zijn een ander voor schade te behoeden of om die bij te staan bij het beperken of ongedaan maken van schade, maar uitzonderingen kunnen zich voordoen wanneer men

- in een unieke dan wel (qua informatie) geprivilegieerde positie verkeert, en andere mogelijkheden om de schade af te wenden (of te beperken, of goed te maken …) niet, of niet op aannemelijke voorwaarden beschikbaar zijn;
- men zich voor het bieden van de verlangde hulp geen ernstige risico’s of onevenredige belasting hoeft te getroosten; en ook
- men zelf (al is het dan zonder dáárvoor aansprakelijk te zijn) aan de schade heeft bijgedragen of aan het verder oplopen van de schade bijdraagt, doordat men instrumenteel is aan de handelwijze (of andersoortige gebeurtenis) die de schade mede (heeft) veroorzaakt.

Zo werd bijvoorbeeld in het Veenbroei-arrest geoordeeld dat als je weet van (de mogelijkheid van) ernstig gevaar bij een stuk grond dat je beheert, je moet waarschuwen voor dat gevaar. Ook als het gevaar een natuurverschijnsel is (zoals veenbroei) waar je zelf niets aan kunt doen.

In de context van de Google-snippet geldt eigenlijk hetzelfde. Miljoenhuizen wist van de problemen en kon die met een triviale maatregel oplossen, maar deed dat niet. Dát wordt hem aangerekend. Niet dat de problemen zijn ontstaan of dat hij Google verkeerde informatie voerde of iets dergelijks.

Natuurlijk had Zwartepoorte ook naar Google kunnen stappen, en misschien had dat wel de eerste stap moeten zijn. Maar ik weet 99% zeker dat Google niets gedaan zou hebben met zijn verzoek. Google werkt met algoritmen die informatie combineren, en snoeit daar niet handmatig in. Googles helpteksten zijn volgens mij duidelijk zat:

Als u niet de eigenaar van de site bent, neemt u eerst contact op met de webmaster van de site en vraagt u hem de inhoud te verwijderen. Afhankelijk van het type verwijdering (zie hieronder) moet u mogelijk ook enkele andere wijzigingen aanbrengen. Zodra de wijzigingen zijn aangebracht, kunt u de verwijdering van de inhoud aanvragen.

Google doet dus niets als de site-eigenaar de inhoud niet aanpast. De enige uitzondering is een auteursrechtenclaim van een rechthebbende, maar dat is hier niet aan de orde. (Naar Amerikaans recht heeft een takedownverzoek alléén zin bij auteursrechten, niet bij andere soorten wetsovertredingen.)

Ik moet toegeven, destijds bij het vonnis was ik ook best kritisch, maar ondertussen denk ik dat het Hof - en eerder dus ook de rechtbank - gelijk had. En met internetcluelessness heeft dit niets te maken: de vraag is, als je andermans probleem kunt oplossen, wanneer moet je dat dan doen? Het Hof zegt hier: als je dat eenvoudig en zonder kosten kunt doen.

De enige m.i. interessante vraag is wat nu die triviale maatregelen waren waar Miljoenhuizen het destijds over had. Het weghalen van de reactie is altijd een optie, maar lijkt me een noodgreep en niet wenselijk als eerste stap. Mooier zou zijn als je kon zeggen “beste Google, indexeer dit stukje tekst maar niet want dat gaat over wat ongerelateerds” maar ik weet niet of die constructie er is (behalve voor speciale situaties). Meelezende SEO’ers misschien wel? Reageer en win een followlink vanaf deze blog!

Arnoud