Internetrecht door Arnoud Engelfriet

Waarover ging het eerste vonnis op het gebied van internetrecht? Volgens de onvolprezen jurisprudentiebundel van mr. Tina van der Linden was dat een Bulletin Board System (BBS) dat werd aangesproken op illegaal ter download aangeboden software. BBS’en bestaan niet meer, illegale software nog wel. Maar de kwestie van hoe illegale downloads onder het recht vallen, is welhaast zo alledaags geworden dat een junior medewerker van stichting BREIN zich afvraagt waar de AI blijft die deze kan afhandelen. Nee, de controversiële onderwerpen van vandaag in het internetrecht richten zich op heel andere afkortingen: naast AI de bezigheden van Facebook, Apple, Microsoft en Alphabet en de AVG versus de tracking pixel en andere technologie.

Een verschuivend rechtsgebied
De termijn van vijftien jaar is natuurlijk arbitrair. Internet, althans ICT, en de rechtsvragen die door deze technologie werden opgeroepen zijn al veel ouder dan dat. Maar natuurlijk werd dat niet vanaf het eerste moment als apart rechtsgebied onderkend. Curieuze kwesties en lastige feitencomplexen zijn van alle tijden in het recht. Maar op zeker moment ontstond toch een soort van consensus dat er iets was dat we internetrecht, ICT-recht of technologierecht zouden kunnen noemen.

Zoals ik recent nog blogde, de definitie van wat internetrecht dan is, lijkt vaak neer te komen op het feit dat het zwaartepunt van de rechtsvraag zich bevindt in een internet- of ict-aspect van de zaak. Oftewel: hoe ingewikkeld is het om de ict-georienteerde feiten juridisch te duiden of het best passende wetsartikel te vinden. En cynisch gezegd: pas als het zo ingewikkeld is dat de gemiddelde jurist deze duiding nog niet kan uitvoeren.

Zo cynisch hoeft het echter niet te zijn. Verfrissender is het gezichtspunt dat de kwalificatie van deze aspecten nieuw is en daarmee diepgaande aandacht vraagt. Bij dat BBS kon serieus nog de vraag worden opgeworpen of men wel van openbaarmaken kan spreken als iemand per telefoon rare piepjes genereert. Enkele jaren later speelde het debat of op een website op “Akkoord” klikken leidde tot een rechtsgeldige overeenkomst. Of wat denkt u van de jurisdictie-vraag wanneer een Griek in Duitsland via een app bij het in Nederland gevestigde Booking.com een hotelkamer boekt. Dit zijn geen klassieke kwesties in andere rechtsgebieden, en dus krijgt de internetjurist ze op het bord.

Of men het nu cynisch bekijkt of niet, een inherent kenmerk van internetrecht is dat wanneer de technische aspecten voldoende breed begrepen zijn, een casus minder snel als internetrecht wordt gekwalificeerd. Een aankoop bij een webwinkel is anno 2019 een standaardcasus in het consumentenrecht, bijvoorbeeld. Eind jaren negentig kon men menig juridisch congres vullen met internetrechtelijke vragen over dit onderwerp. Het is volgens mij uniek dat een rechtsgebied door de tijd heen ‘opschuift’ en rechtsvragen afschuift naar andere gebieden.

Zesentwintig woorden schiepen het internet
Het voorbeeld van het BBS onderstreept dat auteursrecht het eerste rechtsgebied was waar internetrechtelijke kwesties langskwamen, al was het ook toen al zeker zo dat contractuele kwesties rond ict-projecten actueel waren. Niet zo gek ook: het internet is ontworpen om informatie uit te wisselen, en auteursrecht is ontworpen om de verspreiding van informatie te reguleren. Daarnaast waren (en zijn) auteursrechthebbenden vaak goed geëquipeerd om hun rechten te handhaven. De eerste faxen met sommaties en schadeclaims volgden dan ook al vrij snel.

Een complicatie die daarbij zich vaak voordeed, was dat de partij die aan te wijzen was als verantwoordelijk voor de verspreiding, niet feitelijk de partij was die dit in gang zette. Webhostingbedrijven, internetproviders, forumbeheerders – en die meneer die het BBS beheerde, de sysop in de inmiddels vergeten terminologie – kregen met deze claims te maken. Dat was natuurlijk niet helemaal de bedoeling; niet zij maar de klant verrichten de onrechtmatige daad, en hoe kun je als bedrijf klanten informatie laten verspreiden als jij de schadeclaims krijgt? Moet een tussenpersoon zoals een internetprovider niet juridisch beschermd worden?

In Nederland kreeg deze kwestie zich medio jaren negentig grote aandacht toen publiciste Karin Spaink op haar website bij internetprovider XS4ALL publiceerde over de Scientology-beweging, daarbij citerend uit gelekte stukken van de organisatie zelf. Deze greep naar de auteursrechtelijke wapens om hier een eind aan te maken. Het Gerechtshof Den Haag bepaalde in 2003 echter dat de publiciste het gelijk aan haar zijde had – en dat de provider niet zelf aan te spreken was op auteursrechtinbreuk door haar klanten.

Ditzelfde thema kwam in andere landen terug, met name in de Verenigde Staten waar Section 230 van de Communications Decency Act in 1996 providers een keiharde wettelijke vrijwaring van aansprakelijkheid gaf voor handelen van hun klanten. Met de nuance van de Digital Millennium Copyright Act – dien uw auteursrechtelijke klacht bij de provider in en deze zal onmiddellijk ingrijpen – leidde dit tot een explosie aan online diensten waarbij gebruikers zaken konden plaatsen of versturen, zonder dat de provider continu zorgen hoefde te hebben over aansprakelijkheid. In bloemrijke taal is Section 230 daarom wel “The Twenty-Six Words That Created the Internet” genoemd.

Europa was met haar e-commercerichtlijn (2000) iets genuanceerder: een provider moest niet alleen op auteursrechtelijke klachten ingrijpen, maar op iedere beweerdelijke onrechtmatige daad wanneer deze ‘onmiskenbaar’ was. In de praktijk ging dit vrijwel altijd over auteursrechten, zodat de Europese en Amerikaanse praktijk op dit punt gelijk op ging. Naast auteursrechten waren overigens ook de merken en handelsnamen een belangrijk thema, met name rond de domeinnamen en online advertenties.

Van auteursrecht naar privacy
Amerikaanse jurisprudentie en richtsnoeren zijn in het internetrecht sowieso zeer zwaarwegend geweest in de beeldvorming rond dit rechtsgebied. Eind jaren negentig verscheen bijvoorbeeld de Databeschermingsrichtlijn, die strenge regels over omgang met persoonsgegevens stelde. Deze wet werd vrijwel compleet genegeerd in ICT-land. Ja, iedereen had netjes een privacy policy op de site waarin stond hoe men omging met persoonlijke gegevens van de bezoeker, maar dat was ingegeven door een aanbeveling van de Amerikaanse Federal Trade Commission dat transparantie en informatie over gegevensverwerking iets is dat een eerlijk ondernemer gewoon doet. Wat de sector oppakte als “zeg in wollige taal wat je doet, en dan mag alles”.

De Databeschermingsrichtlijn stond een heel ander regime voor. Wees expliciet en specifiek, vraag toestemming, let op je beveiliging en doe geen dingen die mensen raar, onverwacht of opdringerig vinden. Daar kwam dus weinig van terecht, mede omdat Europese handhaving sterk gefragmenteerd was en zich nauwelijks richtte op de online omgeving. Plus het feit dat er in de meeste landen geen boetebevoegdheid bij toezichthouders was.

De Algemene Verordening Gegevensbescherming, met strenger geformuleerde regels, veel bozere taal en vooral giga-boetes, zie ik dan ook als niets minder dan een aardverschuiving. Bedrijven moesten nu ineens serieus iets met privacy, en dat was lastig omdat daar nooit echt over was nagedacht. Nieuwsbriefsoftware volgde mensen standaard in hun leesgedrag, online advertenties registreren iedere klik in een interesseprofiel, security software monitort gedrag en ga zo maar door. Kennis over mensen bleek in de tussentijd een zeer waardevol bedrijfsbezit. Maar vanuit de AVG zien we nu langzaam maar zeker een tegenbeweging ontstaan tegen deze datahonger van met name Amerikaanse bedrijven.

De rol van data
Data is juridisch niets, roep ik al geruime tijd. Eigendom op digitale data is niet mogelijk, omdat deze de essentiële eigenschap van uniciteit ontbeert. Dat bepaalde onze Hoge Raad in het Computergegevens-arrest, dat een nuance op het bekende Elektriciteits-arrest vormde. Met name de opkomst van de cloud en software-as-a-service heeft de randen en risico’s van deze rechtspositie blootgelegd. (Het Runescape-arrest dat eigendom op virtuele objecten toepasselijk verklaarde is daar dan weer een specifieke nuance binnen.)

Deze wankele positie verbaast nogal. Data is centraal in de kenniseconomie. Data is the new oil, zo luidde het motto op menig venture capital pitch. Je zou dus zeggen dat als er iets juridisch beschermd moet zijn, dat het dan data is. Maar dat is dus niet zo. Data is een artefact van het juridische feit dat ict-diensten eigenlijk hetzelfde worden behandeld als andere dienstverlening (de overeenkomst van opdracht). En met artefacten houdt het recht geen rekening.

ICT is dienstverlening. U vraagt, wij draaien. Of het nu gaat om het opslaan van bestanden, het berekenen van aanbevelingen of het doorzoeken van websites. Data is daarbij essentieel maar tegelijk dus onbeschermd. Juridisch gezien is Google een slimme hotelconciërge die het beste tentje voor je weet en onthoudt waar je de vorige keer was. Die conciërge kun je ook niet vragen om een kopie van ‘jouw’ data.

Ook juridisch ongeregeld: toegang tot de diensten die die data verwerken. Het continuïteitsprobleem, in de literatuur. Diensten stoppen af en toe, en waar sta je dan als afnemer? Dit is wederom volstrekt ongeregeld. Stoppen mag, en wie dan afhankelijk was van die dienst die heeft juridisch gezien gewoon pech gehad. Dat is een probleem: die afhankelijkheid is groot en het probleem bij stoppen dus acuut. Gefragmenteerde rechtspraak tot nu toe laat niet echt een heldere lijn zien waar dit heen moet gaan.

De komende vijftien jaar
Toegang tot online diensten en gebruik van data gaan hét thema worden de komende vijftien jaar. Het kan niet waar zijn dat het recht geen antwoord heeft op een dergelijk fundamenteel probleem als zou men geen toegang kunnen eisen tot diensten waar men sterk afhankelijk van is, als platforms machtiger zijn dan overheden maar zich niet zo opstellen en als data onbruikbaar wordt omdat een opslagprovider dat zo beschikt.

De eerste slagen zullen worden gevochten rond de inzet van data bij wat vroeger big data heette en nu artificial intelligence: analyses op grote bakken met data om voorspellingen te doen en op basis daarvan beslissingen. De AVG zal daarbij een leidende rol spelen. Maar dit zal slechts een voorhoedegevecht blijken voor de grotere open rechtsvraag: welke positie heeft zo’n supermachtig platform als Facebook of Alphabet nu eigenlijk? Niet alleen aansprakelijkheid, zoals in de jaren negentig, maar ook andere vragen – de positie van de burger, de bevoegdheid tot privaat regels stellen, en ga zo maar door.

Meer leren én meediscussiëren over dit onderwerp? Kom dan naar mijn congres The Future is Legal op 15 november.

Arnoud

Een lezer vroeg me:

Van mijn garagebedrijf kreeg ik een toestemmingsformulier voor het verwerken van mijn gegevens: opname in klantenbestand, verstrekking van mijn persoonsgegevens aan derden in het kader van betalingen en verstrekking van mijn persoonsgegevens aan partners in het kader van een goede dienstverlening, zover dit nodig is. Waarom eist de AVG in hemelsnaam dat mensen in dit soort situaties toestemming vragen? Het spreekt toch voor zich dat ik dit wil als ik bij deze garage mijn auto wil laten repareren?

Als ik even zo vrij mag zijn op donderdagochtend: dit is pertinente onzin, en wie toestemmingsformulieren zit te maken onder de AVG mag daar gelijk mee ophouden. Kan me niet schelen wat je doet, je doet het fout. Behalve als je met nieuwsbrieven bezig bent.

Om een of andere reden hebben mensen het idee gekregen dat je onder de AVG overal toestemming voor moet vragen. Ik denk dat dat komt omdat toestemming als de eerste van de zes grondslagen in de wet staat (artikel 6.1 AVG) en men daarna ophoudt met lezen. Een kapitale fout wat mij betreft, met schandalige gevolgen zoals dat kinderen niet naar de tandarts gaan (wat https://twitter.com/toezicht_AP/status/1170688165155356672″>ook volgens de AP onzin is.) Toestemming is de minst zinvolle en minst werkbare grondslag, en als organisatie moet je niet willen werken onder die grondslag.

Het hele idee achter de AVG is dat je eigenlijk alleen persoonsgegevens gaat gebruiken als het niet anders kan. Bij die garage: je hebt gegevens nodig voor de overeenkomst, je wilt je factuur betaald krijgen en soms moeten gegevens ingewonnen bij de dealer of gaat een stukje van het werk door een ander (zoals de verzekeraar). Dat mag gewoon van de AVG, we noemen dat “noodzaak overeenkomst”, grondslag b.

Ook kun je je vaak beroepen op de grondslag van het eigen legitiem belang (sub f), waarbij je dus een afweging van belangen maakt. Toestemming vragen is daarbij niet aan de orde. Verwarrend is daarbij wel dat je vaak een opt-out invoert als deel van die belangenafweging, want met opt-out houd je meer rekening met mensen hun privacybelang, maar die opt-out is heel wat anders dan toestemming. En je moet niet vergeten die afweging daadwerkelijk te maken en op papier te zetten, dat is waar Manfield over struikelde toen ze vingerafdrukherkenning wilde inzetten bij hun personeel.

Mij bekruipt het gevoel dat mensen niet weten hoe zo’n afweging te maken, of het eng vinden een standpunt in te nemen en dan maar toestemming gaan vragen. “Dan zit je in ieder geval goed, toch?” Nope. Al is het maar omdat je óók bij toestemming een noodzakelijkheids- en proportionaliteitstoets moet maken, en geen hond die dat doet bij z’n toestemmingsformulier.

Maar belangrijker: toestemming kan op ieder moment worden ingetrokken, zonder opgaaf van redenen en zonder enige consequentie. Als je dus een bedrijfsproces hebt dat afhankelijk is van toestemming, dan moet je er dus vanuit gaan dat je bedrijfsproces stilstaat omdat niemand toestemming geeft. Ik kan me niet voorstellen dat dat een nuttig bedrijfsproces is.

Behalve nieuwsbrieven dus. Die verstuur je met toestemming (opt-in) en het is geen ramp als iemand die toestemming intrekt. Dan haal je ‘m gewoon uit het bestand. Specifiek daar zie ik toestemming wel werken.

Maar afgezien van nieuwsbrieven dus is er géén zakelijk belang denkbaar waarbij je gaat drijven op toestemming. Wie denkt van wel, ik hoor het graag maar dan wel alsjeblieft inclusief uitleg wat er gebeurt als die toestemming 1 seconde na het geven ingetrokken wordt. Of beter gezegd, waarom het niet erg is dat er niets gebeurt nadat die toestemming ingetrokken blijkt.

Arnoud

Stel er wordt een creditcard op je naam aangevraagd en gebruikt, hoe bewijs je dan dat jij dat niet was? Met die vraag zag een man in Noord-Holland zich onlangs geconfronteerd, toen hij werd gedagvaard door American Express wegens het niet voldoen van de schuld die op die kaart was opgebouwd. De kaart was via internet afgenomen op zijn naam, en ook was er een betalingspatroon dat consistent leek met het gedrag van de man. AmEx vond dat het daarom duidelijk was dat hij die kaart had afgenomen. De rechter kijkt er nog eens kritisch naar en komt tot een andere conclusie.

Het eerste bewijsmiddel van American Express was de online aanvraag, waarbij immers de gegevens van de man zijn ingevoerd. Niet alleen maar wat in het telefoonboek staat, ook identiteitsnummer en de meisjesnaam van zijn moeder. Maar die gegevens waren ook bij anderen bekend, met name bij ene [naam] die verderop in het verhaal nog even terug gaat komen. De rechtbank vindt dat niet overtuigend, ook niet als blijkt dat er daarna op het opgegeven nummer is gebeld met iemand die zei dat hij de gedaagde man was.

Vervolgens werd natuurlijk de kaart toegestuurd naar het opgegeven adres, dat aan de gedaagde toebehoorde. Alleen: hij woonde daar al een tijd niet meer, en die [naam] had toegang omdat die hielp was met de verkoop ervan. Dus ook dat bewijst weinig.

Het betalingspatroon levert een interessant stukje bewijs op. Er zijn tickets naar Italië gekocht, een villa in Italië gehuurd en de nodige extra transacties daar verricht. En dat in combinatie met de Facebook-informatie van de gedaagde dat hij “ff paar dagen chillen” was (ik vind dat niet passen bij de eigenaar van een woonboerderij, maar goed) in precies dezelfde plaats en in zo’n villa, zou dan toch wel overtuigend moeten zijn? Niet helemaal: er stonden ook van vóór de vliegreis daterende transacties in Italië op die kaart.

Uiteindelijk komen we bij de kern van het verhaal: die [naam] blijkt een handige (inmiddels ex-)schoonzoon van de man te zijn, die hem aan het lijntje zou hebben gehouden over verkoop van de woonboerderij en een mooi feestje ging bouwen met schoonvader, waarbij de kosten zouden worden gedeeld. Zo’n oplichterstruc zie je vaker, en het is volgens de rechter niet meteen ongeloofwaardig dat iemand daar in zou trappen.

Als laatste bleek dan nog dat de incasso’s op schoonvader’s rekening waren mislukt, maar ook dat was iets waar hij geen rekening mee hoefde te houden. En waaruit al helemaal geen aanvaarding van de kaart uit volgt, of zelfs maar wetenschap dat er een kaart is waar je dan wat mee moet. Met name omdat de ING bank niet meldt dat zo’n incasso is mislukt, zodat je er moeilijk actie op kunt ondernemen.

Een erg feitenspecifieke zaak maar wel een mooi voorbeeld van hoe rechters kijken. Maar ik zie het zomaar gebeuren dat andere mensen zich laten overtuigen door het juridisch geweld dat je bij zo’n incasso over je heen krijgt.

Arnoud

Politiekorpsen in de VS die van buurtbewoners video’s ontvangen van slimme deurbel Ring mogen dat beeldmateriaal eeuwig bewaren en onbeperkt delen met bijvoorbeeld andere korpsen of overheidsinstanties. Dat las ik bij Tweakers. Het vervolgt eerdere berichten dat Ring in de afgelopen jaren samenwerkingsovereenkomsten heeft gesloten met vierhonderd korpsen in de VS, die zo toegang krijgen… Lees verder

Een lezer vroeg me: Wij zijn een kraamzorgbureau met drie vaste verzorgenden. Recent kwam een van onze medewerkers bij een nieuwe cliënt thuis, die vertelde dat er diverse camera’s hingen om de baby te kunnen zien én, ik citeer, “om te zien wat de kraamverzorgende op een dag doet.” Dat voelde zeer onprettig dus zij… Lees verder

Move fast & break things, is al jaren het motto in Silicon Valley. De term komt van Facebook en was ooit bedoeld om hun interne processen en cultuur te schetsen, maar past heel goed bij hoe internetdiensten zich hebben gemanifesteerd. Snel de markt op, snel groeien en daarna kijken we wel wat er eventueel stuk… Lees verder

Een lezer vroeg me: In Australië is sinds vorig jaar een wet van kracht die techleveranciers verplicht om backdoors in te bouwen in hun software als die end-to-end encryptie toepast. Hoe zit dat in Nederland, geldt die plicht bij ons ook zo? Eind vorig jaar is in Australië inderdaad een wet aangenomen, de Assistance and… Lees verder

orgverzekeraars maken gebruik van omstreden tracking-software die is verstopt in e-mails aan klanten, zo meldde Radio 1 onlangs. Deze reportage was een vervolg op eerdere berichten dat onderwijsdienst DUO trackers gebruikte om te zien of studenten hun mail wel lazen, zonder dit te melden. Dat zou in strijd zijn met de AVG. DUO is ermee… Lees verder

Op de Sint-Bavohumaniora in Gent kunnen leerlingen binnenkort broodjes en drankjes afrekenen via een scan van hun handpalm. Dat meldde Tweakers onlangs. De biometrische technologie zou praktischer zijn dan de huidige badges en maaltijdbonnetjes, die regelmatig vergeten worden of kwijtraken. Maar het riep vragen op bij vele lezers, omdat het gebruik van biometrische persoonsgegevens toch… Lees verder

Een robot in de rechtbank zal niet snel voorkomen, want het werk van advocaten „is heel moeilijk te automatiseren”. Dat las ik in NRC Handelsblad onlangs. Het idee is hardnekkig: de robots en/of de AI’s komen eraan, en ze gaan onze banen inpikken (South Park referentie optioneel). Waarbij de illustrator van dienst dan vaste prik… Lees verder