Internetrecht door Arnoud Engelfriet

De gegevensbeschermingsautoriteit van de Duitse deelstaat Hessen heeft het gebruik van Microsoft Office 365 door scholen verboden omdat dit in strijd met de AVG is. Dat meldde Security.nl op gezag van de toezichthouder zelf. De aanleiding is dat Microsoft eerder de speciale optie van een Duits datacenter voor scholendata had geschrapt, zodat de mogelijkheid ontstond dat persoonsgegevens van leerlingen en personeel in de VS zouden worden opgeslagen. Hetzelfde geldt voor telemetriedata over het gebruik, dat automatisch naar Microsoft wordt gestuurd en niet meer bij de Duitse grens moest stoppen. Waar ging dit nu precies op mis en wat betekent het voor andere cloudafnemers?

De pijn lijkt vooralsnog te liggen bij een specifieke Duitse uitwerking van de AVG, zo lees ik in het persbericht:

Public institutions in Germany have a special responsibility regarding the admissibility and traceability of the processing of personal data. Also the digital sovereignty of state data processing must be guaranteed.

Ik kan alleen zo 1-2-3 in de Duitse Uitvoeringswet niet terugvinden waar dat dan staat. Ik ga er dus maar vanuit dat men bedoelt dat de lat voor noodzaak en proportionaliteit extra hoog ligt, en waarschijnlijk ook dat Microsoft niet bepaald transparant is (aldus de toezichthouder) over wat er precies met die data gebeurt. Daar valt wel wat voor te zeggen.

Daarmee is het voor mij niet perse het einde van de cloud, hoewel dat natuurlijk wel in de lucht hangt (haha) met recente ontwikkelingen in de Schrems II-zaak bij het Hof van Justitie: is de optie om met zogeheten model contractual clauses data naar de VS over te dragen dan eigenlijk wél rechtsgeldig? Als dat niet zo is (en daar lijkt alles op te wijzen) dan blijft er vervolgens heel weinig grondslag over om persoonsgegevens in de VS op te mogen slaan. (Privacy Shield staat overeind maar alleen maar omdat het Hof er nog niet aan toegekomen is.)

Wie met een cloudoplossing bezig is die over vijf jaar een afhankelijkheid op Amerikaanse servers heeft, heeft dus nu een goede reden om die oplossing aan te gaan passen.

Arnoud

Met het populaire FaceApp kun je er op foto’s ouder uitzien, maar geef je ook je foto’s en persoonsgegevens weg aan een bedrijf dat deze mag verkopen. Dat meldde Nu.nl onlangs. Er is nogal wat ophef over deze voor mij onbegrijpelijk populaire app, omdat in de kleine lettertjes staat dat men alles mag met je foto en dat zou Russische criminelen faciliteren in het plegen van cybercrime. Aldus Rian van Rijbroek denk ik, want ik begrijp er niets van. Ik zie eerlijk gezegd niets dat fundamenteel anders is dan hoe zeg Facebook of Instagram met je foto’s omgaat. Maar dat zijn geen Russen, zoiets?

FaceApp heeft niets met Facebook te maken: het is een app waar je een portretfoto in stopt en die dan een verouderde versie van je gezicht genereert. Leuk, maar de foto’s gaan naar een server van FaceApp en die staat in Rusland ergens. De app bestaat al een paar jaar maar is nu populair vanwege de zogeheten “FaceApp Challenge”, wat geloof ik neerkomt op dat je laat zien wat de app met je gezicht doet. Ja, ik voel me ontzettend oud bij het typen van deze regels.

Een developer veroorzaakte enige ophef toen hij meldde dat foto’s naar servers in Rusland werden geüpload én dat in de voorwaarden van FaceApp staat dat de foto’s commercieel gebruikt mogen worden door het bedrijf en haar zusters/moeders, plus alle “bedrijven die zich later bij deze groep kunnen aansluiten”. Dat laatste suggereerde volledige vrijheid: iedereen kan immers lid worden van zo’n groep. Alleen: een ‘groep’ is juridisch voor “concern”, en zomaar lid worden van iemands bedrijfsconcern komt echt niet voor. Dat noemen we een fusie of overname, en het is vrij ondenkbaar dat je dat doet om toegang tot foto’s te krijgen.

Daarnaast bleek vervolgens dat de foto’s helemaal niet in Rusland terechtkomen maar gewoon gezellig in de VS, en het bedrijf wist foto’s na 48 uur. Ja, zeggen ze en dat kun je lastig controleren. Maar toch. Het voelt behoorlijk als een storm in een glas water, zeker gezien de weinig unieke werkwijze van deze app. Er zijn tientallen apps waar je foto’s uploadt die dan in de cloud terechtkomen, pardon in de VS.

Maar stel nu eens dat de gegevens echt in Rusland komen en dat de voorwaarden wel letterlijk zeggen “wij mogen alles inclusief verkopen voor alle doeleinden”. Mag dat dan? Auteursrechtelijk (je hebt auteursrecht op je selfies) is dat mogelijk, zo’n brede licentie kun je vormvrij geven zoals dat heet. Dus daar kun je als fotograaf weinig meer tegen doen.

Privacytechnisch ligt dit anders: de AVG is van toepassing op FaceApp omdat het gaat om persoonsgegevens die in Europa verzameld worden. FaceApp heeft dan toestemming nodig, en die kun je niet in de voorwaarden opvragen. FaceApp kan natuurlijk zeggen dat het uploaden en analyseren van de foto noodzakelijk is voor de gevraagde dienst – hoe kun je een portret verouderen als je geen kopie van het portret krijgt – maar dat zou met zich meebrengen dat de foto weg moet direct nadat deze is geanalyseerd en verouderd. Immers daarna is de dienst klaar.

Het enige argument voor FaceApp dat ik kan bedenken is dat het bijtrainen van de AI met geuploade foto’s een aanverwant doel is (en dus doelbinding heeft) met het maken van de veroudering. Het leren van een dienst om in de toekomst andere mensen betere dienstverlening te geven, is denk ik wel te rechtvaardigen als zo’n aanverwant doel. Ik mag ook tevredenheidsenquêtes doen onder mijn klanten zonder aparte toestemming. Daarnaast kun je zeggen dat dit bijtrainen een vorm van statistisch onderzoek is, en dan is er per definitie sprake van doelbinding. Hier is vooralsnog nul jurisprudentie over maar ik zie hem wel.

Arnoud

Interessante discussie bij Tweakers:

Lang verhaal in oktober 2017 wat besteld bij bol.com, week later geretourneerd via de AH daarvoor gekozen tijdens het retourproces. Daar een ontvangstbewijs van gekregen. Poos daarna herinnering ontvangen niet betaald, bewijs doorgestuurd niets meer gehoord. Toen opeens in januari van accountor een incassobureau een mail/brief gehad met een vordering.

Het pakket bleek vervolgens kwijtgeraakt ergens na die inleveractie bij het Bol.com-afhaalpunt, zo kon de topicstarter reconstrueren uit het verzendbewijs dat hij had meegekregen. De PostNL track&trace code liet zien dat het bij Bol.com was afgegeven door de postbezorger, maar Bol.com stelde het nooit in ontvangst te hebben gekregen. En nu is meneer dus gedagvaard door het incassobureau.

Hoofdregel uit de wet is dat je als afzender moet zorgen dat je zending aankomt bij de ontvanger. Ook bij het retourneren van een internetbestelling. Wie dus met een retourzending naar een PostNL punt gaat en het daar laat versturen, is afhankelijk van de zorg van de postvervoerder en moet maar verzekerde verzending kopen als hij het risico op kwijtraken niet wil dragen. Dat zou dus ook bij deze topicstarter zo zijn, als hij het per post (of DHL of wie dan ook) had laten versturen.

Echter, de topicstarter is naar een lokale Albert Heijn gegaan waar van die mooie Bol.com-afhaalpunten zijn. Logo en huisstijl van Bol. Dan spreken we van een “gemachtigde van Bol.com”, en dan is het pakket bij Bol.com aangekomen zodra het over de toonbank is gegaan bij de Appie (art. 6:230s lid 1 BW):

Tenzij de handelaar heeft aangeboden de op basis van de ontbonden overeenkomst geleverde zaken zelf af te halen, zendt de consument onverwijld en in ieder geval binnen veertien dagen na het uitbrengen van de in artikel 230o lid 3 bedoelde verklaring de door hem ontvangen zaken terug of overhandigt deze aan de handelaar of aan een persoon die door de handelaar is gemachtigd om de zaken in ontvangst te nemen.

Dat men het vanaf de Albert Heijn-vestiging door PostNL naar een Bol.com-sorteerpunt laat vervoeren, doet daar niet aan af. Dat hoef je als consument niet te weten, juist omdat je met zo’n afhaalpunt in huisstijl van Bol.com te maken hebt. Dat kleine lettertjes op het verzendbewijs misschien naar PostNL verwijzen, of dat je een label krijgt met een postadres erop, is daarbij eveneens niet relevant. Wat de grote letters geven, kunnen de kleine niet wegnemen.

Wat overigens niet wil zeggen dat als je een label krijgt van de webwinkel, je meteen mag zeggen dat het dus hun risico is. Dat label is alleen een manier om de terugzendkosten voor rekening van de winkel te laten komen, maar het blijft jouw risico om het dan via PostNL (of DHL of wie dan ook) te versturen.

Maar laat je het ophalen door zeg PostNL of DHL dan is het dus vanaf het inladen voor risico van de winkel. Dat is immers het “aanbod zelf af te halen”, en dat de winkel daarvoor een bezorgbedrijf inschakelt is zijn risico.

Arnoud

Mijn adviesbureau ICTRecht bestaat in november 15 jaar. En dat gaan we vieren met een uniek congres over internet, technologie en recht: The Future is Legal. 15 november. Houd deze datum vrij. Zodra het gehele programma klaar is, volgt de gehele uitnodiging! Wat is dan internetrecht, zult u misschien denken? Daar schreef ik een artikel… Lees verder

Een lezer vroeg me: Een tijd geleden had ik wat besteld bij een webwinkel, maar kennelijk een typefout in mijn mailadres gemaakt. Het bestelde is geleverd, en nu twee maanden later krijg ik een brief van een incassobureau of ik even de prijs plus incassokosten wil betalen, anders gaan ze dagvaarden. Het klopt dat ik… Lees verder

Medewerkers van Google luisteren gesprekken mee die Nederlanders voeren met hun slimme Google-assistent, zonder dat Google daar vooraf duidelijkheid over geeft. Dat meldde de NOS vorige week. Het gaat om fragmenten van gesprekken die door de AI-assistent niet werden verstaan; een mens maakt dan een transcriptie waar de AI van kan leren. Vanuit technisch perspectief… Lees verder

Gamebedrijf 3D Realms heeft de naam van zijn retroshooter Ion Maiden aangepast naar Ion Fury na claims van inbreuk op merkrecht door de metalband Iron Maiden. Dat meldde Tweakers vorige week. Iron Maiden eiste meer dan 2 miljoen dollar schadevergoeding, dat lijkt nu te zijn geschikt met onder meer de naamswijziging natuurlijk tot gevolg. Voor… Lees verder

De Rijksdienst voor Identiteitsgegevens heeft een nieuwe versie van de KopieID-app gelanceerd die het eenvoudiger voor gebruikers moet maken om een kopie van hun identiteitsdocument te maken. Dat meldde Security.nl vorige week. Er zijn de nodige verbeteringen doorgevoerd; zo is het et doorstrepen nu eenvoudiger gemaakt en is het watermerk beter leesbaar. Ook kan de… Lees verder

Een lezer vroeg me: Ik kom nog geregeld bedrijven en verenigingen tegen die wachtwoorden van maximaal 12 karakters accepteren. Als je ze hierop aanspreekt zeggen ze dat dit voldoende is of het later zal worden aangepast. Maar de AVG verplicht dat er “passende technische én organisatorische maatregelen” worden genomen om een adequaat beveiligingsniveau te waarborgen…. Lees verder

De EULA van deze wc-papierhouder verbiedt het navullen met ander papier dan van de eigen leverancier, zo las ik bij Boing Boing. Het doet een tikje bizar aan, hoezo mag je in een zelf gekochte papierhouder niet papier steken dat je ergens anders zelf koopt? En belangrijker, hoe hang je rechtsgeldig een EULA aan zo’n… Lees verder