Internetrecht door Arnoud Engelfriet

Het is altijd een goed onderwerp voor verwarring: hoezo persoonsgegevens, dit is toch geanonimiseerd? En dat klopt, als iets geanonimiseerd is dan zitten er (per definitie) geen persoonsgegevens meer in. Maar de grap is: echt anonimiseren dat doet bijna niemand. Wat bijna iedereen doet, heet pseudonimiseren en je blijft dan gewoon onder de AVG vallen. Zelfs de rechtspraak, zoals een recent vonnis laat zien.

In deze zaak had de eiser eerder een rechtszaak tegen Google gevoerd over verbergen van zekere zoekresultaten bij een opdracht op zijn naam. Dat verloor hij, en de uitspraak werd gepubliceerd. Uiteraard conform de anonimiseringsrichtlijnen van de rechtspraak, maar desondanks vond de man het nodig om verwijdering van het gepubliceerde vonnis te vorderen.

Dat roept de vraag op, staan er nog persoonsgegevens in zo’n vonnis dan, als het geanonimiseerd is? Namen worden weggehaald, geboortedata tot jaren teruggebracht en adressen blijven natuurlijk ook buiten schot. Daarnaast worden ook meer indirect identificerende dingen weggehaald, zoals URLs waarin de naam van de eisende partij voorkomt.

Maar wat doe je met persoonlijke informatie in het vonnis zelf? De rechter moet bijvoorbeeld als argument brengen dat weliswaar iemands naam op een website staat, maar dat die vermelding niet onjuist of irrelevant lijkt. Daarvoor moet je in het vonnis de naam noemen en denk ik ook de tekst van de vermelding, anders onderbouw je je analyse niet. Maar dan staat er dus een naam én een tekst die iets over die meneer zegt, in het vonnis.

Nu komen we in een van de vele hoofdpijnstukken uit de AVG. In 2014 bepaalde het Hof van Justitie dat juridische analyses over een persoon an sich wel persoonsgegevens bevatten maar geen persoonsgegevens zijn. Je kunt dus niet bijvoorbeeld een vonnis of beschikking laten corrigeren omdat er een fout in staat (artikel 16 AVG) of laten wissen (artikel 17). Daar zijn eigen procedures voor.

Ik zeg eerlijk dat ik hier helemaal niets van snap; een juridische redenering dat ik een strafbaar feit heb gepleegd (om eens wat te noemen) lijkt mij evident een persoonsgegeven want er staat in dat ik een oplichter ben. Dat ik dat niet mag corrigeren of verwijderen, volgt gewoon uit de systematiek van de AVG – het is niet fout en niet irrelevant of overdadig of zo. Maar goed, het Hof heeft het gezegd en het Hof heeft per definitie gelijk.

De beschikking (de uitspraak in een verzoekschriftprocedure) is dus geen persoonsgegeven en kan niet worden verwijderd op grond van de AVG. Mogelijk kan dat wel gelden voor specifieke feitelijke stukjes:

In het hiervoor onder 4.6. genoemde arrest heeft het HvJEU immers overwogen dat de gegevens die de feitelijke basis vormen voor de juridische analyse persoonsgegevens in de zin van de Richtlijn persoonsgegevens kunnen zijn. De omstandigheid dat die feitelijke gegevens in een rechterlijke beslissing door de rechter worden vastgesteld conform de regels van het procesrecht maakt niet dat van persoonsgegevens geen sprake meer is.

Arnoud

Dat klinkt goed, technische tooling die juridisch werk standaardiseert, het saaie werk weghaalt bij de mensen en de kwaliteit naar een hoger plan tilt. Niet alleen maar efficiënter werken, maar op een heel nieuwe manier werken. Een prachtige belofte. Maar dit is meteen ook de grootste zwakte. Want je vraagt dan aan mensen om hun werk anders te doen. Zowel de jurist als de businessman of -vrouw. En wie legal tech invoert zonder dáár rekening mee te houden, zal gegarandeerd met een mislukking blijven zitten.

In de Franse strip Guust Flater was een veel voorkomende grap dat de heer De Mesmaeker (zie plaatje) langs zou komen om “de contracten” te tekenen. Nooit wist je waar die contracten nu precies over gingen, hoe ze onderhandeld waren of waarom het zo belangrijk was dat ze perse nu getekend moesten worden. Maar dát ze belangrijk waren, dat stond buiten kijf. (En dat het tekenen mis zou gaan door toedoen van Guust. Maar dat terzijde.)

Voor veel organisaties is contracteren een noodzakelijk kwaad. Zakendoen is afspraken maken en nakomen, en afspraken vastleggen is dan ook een verstandige stap. Lange tijd was het opstellen van het contract zelf een ietwat schimmig proces, waar slechts een paar mensen bij betrokken waren of waarvoor men de niet heel benaderbare afdeling juridische zaken nodig had. Contracten werden op die manier ook vaak als maatwerk opgesteld. Daar was vaak prima de tijd voor, net als voor overleg om tot de beste deal te komen.

Digitalisering en de explosieve groei van online zakendoen hebben deze traditionele werkwijze sterk onder druk gezet. Klanten komen online binnen, verwachten snelle resultaten en een scherpe deal. Intern zijn veel meer stakeholders betrokken bij een afspraak: niet enkel “de directeur” beslist, een hele rij afdelingen heeft wat te zeggen. Finance wil duidelijkheid over facturatie. Compliance wil borging over transparantie van inkoopprocessen. Marketing wil het persbericht vooraf inzien. De manager Innovatie moet gevraagd worden of de gevraagde exclusiviteit kan botsen met een toekomstig product. Ook zijn inkopers, verkopers en andere medewerkers steeds meer gewend geraakt om zelf dingen te regelen, zelf afspraken te maken. En niet te vergeten: iedereen wil nu alles op papier uitgeschreven, in plaats van zakendoen op basis van goed vertrouwen en een mooie offerte.

Dit alles heeft geleid tot vaak ondoorzichtige manieren van contracteren. Vele partijen in de organisatie hebben conceptteksten waarmee ze de onderhandeling in gaan, of desnoods schrijven ze zelf wel even wat. De juridische afdeling komt met standaard inkoop- of verkoopvoorwaarden, maar kan niet altijd snel genoeg reageren op verzoeken tot afwijkingen. En dan is er sinds 2018 ook nog de AVG of GDPR waardoor de privacy officer ineens óók bij contractsonderhandelingen moet worden.

Kortom, ontzettend veel partijen die op hun eigen manier tegen het contracteringsproces aankijken. En het is niet gek dat als je dan leest over veranderingen in het beroep, dat je dan denkt hoe je specialisme gewaarborgd blijft bij zulke veranderingen. Maar ik blijf het zeggen: het gaat niet om dat gespecialiseerde, het gaat juist om het standaardwerk. Hoewel ook juristen en advocaten zich veelal zien als leveranciers van uniek maatwerk (de term ‘kleermaker’ komt heel vaak langs), is een hele berg van het werk juist standaard.

Verandering hoeft niet strategisch, hoeft niet enorm en hoeft niet ineens. Verandering komt er als de cultuur daar voor open staat. Vaak is dat wel het geval bij kleine dingen. Een net iets handiger tooltje om verwijzingen te checken. Een dienst die niet alleen jurisprudentie opzoekt maar het meteen als referentie in je Word document zet (én controleert of er hoger beroep was tegen de gevonden zaak). Een knop in Word die een conceptbrief afrondt en van handtekening voorziet.

Ook kan legal tech vaak snel een ingang vinden bij grote, nieuwe projecten die men nog niet vaak heeft gedaan. Dan is er nog geen culturele opvatting in de organisatie dat het op een bepaalde manier moet, dus waarom dan niet met die nieuwe tool.

Wie meer wil, moet echt aan de slag met de cultuur op kantoor. Waarom willen mensen geen documenten uit een tool halen, maar blijven ze werken met de eigen sjablonen? Dat kan zijn dat ze de tool niet vertrouwen, of omdat ze de leercurve te pittig vinden. Of – heel stom maar het komt regelmatig voor – omdat ze niet (meer) kunnen inloggen en daarna merkten dat niemand ze daarop aansprak.

En dat aanspreken, dat is uiteindelijk ook een cultuur-ding. Want als je als leiding van zo’n organisatie wil veranderen, dan moet je een cultuur van leiden hebben. Van mensen meenemen en motiveren. En als het niet anders kan, verplichten. Maar dan moet je dus zelf ook volledig achter de keuze staan en voor lief nemen dat er dan dingen (tijdelijk) minder lopen.

Een belangrijke factor daarbij is ook hoe je mensen afrekent. Als je bijvoorbeeld stuurt op omzet per maand, dan zal niemand een nieuwe tool gaan gebruiken ook al zegt het projectteam dat je er veel efficiënter mee werkt. De maanden waarin men zich inwerkt, zullen minder productief zijn – daar gaat dus de omzetdoelstelling, en de bonus. Een leider moet dat compenseren. En wanneer de directie zegt dat documenten uit de generator moeten komen, maar vervolgens de sectiehoofden met de hand deze gaan corrigeren, dan zullen mensen ook niet graag die generator gebruiken want dat levert extra werk op.

Arnoud

“Ik zat dit weekend nog eens te lezen maar kwam er toen achter dat deze api helemaal niet gratis is en dat elke call een paar centen kost. Nu zijn alle calls al gemaakt en heb ik berekend dat er ongeveer $40.000 in rekening gebracht zal worden… oeps”. Dat las ik bij Tweakers. Denk je een leuk testprogrammaatje te hebben gemaakt dat tegen een gratis API van Google aan praat, blijk je een paar cent per call gerekend te krijgen. Leuke rekening voor de werkgever. En leuke discussie natuurlijk, maar diverse mensen mailden me: moet deze persoon Koptelefoontje dit zelf betalen?

‘Koptelefoontje’ was als werknemer aan de slag gegaan om een aantal data zaken voor het werk te verbeteren. Zhij had daarvoor een gratis Google API gevonden, en ingezet in combinatie met een bestaand Google cloud account. Tabel aanmaken, script uitwerken en de boel lekker laten lopen. Voor wie het nu technisch duizelt: 100.000 bedrijfsadressen opvragen bij de KVK om te controleren of de eigen klantadministratie nog op orde is.

Alleen, die API (Google Places) bleek niet gratis maar enkele centen per aanroep. Dus dan zit je achteraf met een rekening van 40.000 dollar, hoewel dat na enig naspeuren ‘slechts’ 15.000 Euro bleek te zijn. Die dus niet goedgekeurd was door de werkgever maar wel binnenkort geïncasseerd zal worden door Google.

Een stevige fout dus, dat is duidelijk. Maar hoe veel pijn gaat dit doen bij de werknemer?

Om met het goede nieuws te beginnen, je hoeft je als werknemer geen zorgen te maken dat jij dit bedrag gekort krijgt op je salaris. Dat kan gewoon niet in het arbeidsrecht. De kosten van fouten bij het werk worden gedragen door de werkgeverwerknemer.

Het slechte nieuws is natuurlijk dat (een beetje afhankelijk van de omvang van het bedrijf) een fout van 15.000 euro arbeidsrechtelijk wel een forse is. Ontslag zal er niet in zitten, maar het riekt naar een stukje slecht inschatten van wat je mag en kan op het werk en dat kost je punten op je volgende beoordelingsgesprek. Bij een klein bedrijf kan ik me voorstellen dat je iemands contract dan niet verlengt.

Daar staat wel tegenover dat je ook als werkgever wel enige stappen moet nemen om zulke dingen te voorkomen. Zo kan een organisatie budgetten instellen bij Google’s clouddiensten, die werknemers dan niet kunnen overschrijden. Ook zou je de toegang tot die API’s kunnen beperken of loggen zodat je toezicht hebt op wie wat doet. Dat maakt dat ik het nogal cru zou vinden om dit zonder meer te zien als alleen maar een fout van de werknemer.

Ik kan niet zeggen zelf ooit zo’n dure fout te hebben gemaakt. Enkele duizenden euro’s uitgeven en dan concluderen dat iets niet werkt, dat wel. De verkeerde backup terugzetten op mijn home server, ja dat ook.

Arnoud

Als je twee jaar lang met een camera met telelens de overbuurvrouw filmt in haar slaapkamer, is dat dan strafbaar als stalking of niet? Met die vraag zat recent de Hoge Raad, want dit was dus gebeurd maar in artikel 285b Strafrecht staat dat het pas stalking is wanneer je iemand dwingt iets te doen, niet… Lees verder

De Kansspelautoriteit (Ksa) mag FIFA-maker Electronic Arts (EA) en zijn Europese dochterbedrijf beide een dwangsom van 250.000 euro per week opleggen, zo las ik bij Nu.nl. Dit naar aanleiding van een vonnis van de rechtbank Den Haag dat een besluit van de Kansspelautoriteit hierover in stand liet. Het gaat natuurlijk om de lootboxen die in… Lees verder

VoetbalTV heeft een boete van €575.000 van de Autoriteit Persoonsgegevens gekregen, maar hoeft die van de rechtbank niet te betalen. Dat meldde Rechtspraak.nl maandag.  Een mooie winst voor de amateurvoetbalaggregator en -uitzender: de Autoriteit Persoonsgegevens heeft volgens de rechtbank onvoldoende uitgelegd waarom VoetbalTV geen gerechtvaardigd belang heeft bij het opnemen en uitzenden van amateurwedstrijden. De… Lees verder

Het gaat langzaam, maar de trend is onvermijdelijk: juridische dienstverlening gaat naar standaardisatie toe. Klanten verwachten meer dan alleen zuiver maatwerk, met name omdat ze de prijs er niet meer voor over hebben. Alternatieve dienstverleners, van accountants tot verzekeraars, bieden dan ook meer en meer producten aan die op prijs concurreren met dat maatwerk van… Lees verder

Een verrassing voor velen: de bekendste vorm van online oplichting, namelijk gewoon het geld pakken en niet leveren, is juridisch geen oplichting. Kwam recent nog langs en het blijft verwarrend. Maar de kern is dat we niet iedere vorm van wanprestatie tot een strafbaar feit willen verheffen, zeker omdat het wetsartikel voor oplichting uitgaat van echt… Lees verder

Het Britse bedrijf Ticketmaster heeft een boete gekregen voor een datalek in 2018, las ik bij Nu.nl. Door een kwetsbaarheid in de chatbot op de website konden derden toegang krijgen tot betaalgegevens van 37.000 creditcardhouders, en in theorie zelfs 9.4 miljoen mensen uit de hele EU. Opmerkelijk aan de zaak vond ik vooral dat die… Lees verder

Een lezer vroeg me: Strekt de AVG zover dat softwarepartijen verplicht zijn – in het kader van beveiligen van de continuiteit – een escrowachtige regeling aan te bieden waarbij software en hosting geborgd zijn na een faillissement of overname? De AVG verplicht tot adequate maatregelen tot beschikbaar houden van persoonsgegevens zo lang als dat nodig… Lees verder