Internetrecht door Arnoud Engelfriet

Het Hooggerechtshof van de Verenigde Staten verplicht eigenaren van websites om deze toegankelijk te maken voor mensen met een handicap. Dat meldde Emerce onlangs. Een man had Domino’s pizza aangeklaagd omdat hun website niet accessible was, en tot de Supreme Court werd bevestigd dat een dergelijke claim mogelijk is onder de Americans with Disabilities act. Daarmee is niet perse gezegd dat de website van Domino’s de wet overtreedt, maar het bevestigt wel dat websites onder die wet vallen. Een tikje een schok voor Amerikanen die dachten dat het alleen over rolstoelingangen bij de winkel gingen. Maar hoe zit dat bij ons?

In 2016 is het Verdrag inzake de rechten van personen met een handicap goedgekeurd. Dit verdrag beschrijft rechten van mensen met een handicap (langdurige fysieke, mentale, intellectuele of zintuiglijke beperkingen) en bevat tevens de verplichting dat verdragsstaten alle passende maatregelen nemen om te waarborgen dat redelijke aanpassingen worden verricht. In Nederland is daartoe een Uitvoeringswet ingevoerd, die in artikel 2 vermeldt:

Degene tot wie het verbod van onderscheid zich richt, draagt daarnaast tenminste geleidelijk zorg voor de algemene toegankelijkheid voor personen met een handicap of chronische ziekte, tenzij dat voor hem een onevenredige belasting vormt.

En ja, dit is zo breed bedoelt als u het hier leest. “Algemene toegankelijkheid”, dus die rolstoelingang maar ook de brailleaanduiding in de lift – én de navigatie van de website. Maar het wordt enigszins genuanceerd door dat “geleidelijk zorg dragen” en “geen onevenredige belasting”.

In 2017 is dit nader uitgewerkt in een AMvB:

1. [Dienstverleners zijn] verplicht tot het treffen van voorzieningen van eenvoudige aard en gaandeweg zorg te dragen voor de algemene toegankelijkheid voor personen met een handicap of chronische ziekte, tenzij dat voor hem een onevenredige belasting vormt.
2. Onder een voorziening van eenvoudige aard wordt verstaan: een voorziening die op weinig ingrijpende wijze en zonder of met weinig kosten tot stand kan worden gebracht.

Helaas is er nog steeds weinig duidelijkheid wat daar nu allemaal onder valt. Uit de parlementaire stukken haal ik maar één echt voorbeeld, namelijk “er op websites voor zorgen dat teksten groter kunnen worden gemaakt en er voldoende contrast is tussen voor- en achtergrondkleur”. Dat vereist dus niet eens dat je een schermlezer kunt inzetten om door een bestelformulier heen te komen.

Arnoud

Mijn oog viel op deze tweet van de Engelse toezichthouder, waar ik een tikje van opkeek:

Hi, orgs should not look to adopt a blanket approach in asking for ID when responding to a SAR [inzageverzoek onder de AVG]. They should consider each request on a case by case basis and identify which form of ID is most proportionate if required.

De tweet was een reactie op een vraag van de onvolprezen privacyvoorvechter Pat Walshe, die constateerde dat je bij het vragen van een kopie van je persoonsgegevens bij Engelse politieke partijen altijd een kopie ID moet meesturen. Uit de reactie valt op te maken dat dat niet mag, en dat een organisatie dus per verzoek moet kijken of de persoon duidelijk geïdentificeerd is als de betrokkene en zo nee wat in dat geval het handigste is.

Mijn wenkbrauwen fronsen bij zo’n benadering, omdat ik net daarvoor dit onderzoek las over waarom organisaties regels schenden. Iets dat voor juristen vaak moeilijk te vatten is. Het staat toch in de wet dat dat niet mag, opgelost slotje. Maar voor organisaties werkt dat niet zo:

Because organizations rely on routines for following rules, complex rules would require complex routines, which would be harder to execute reliably. As expected, both types of rule complexity increased noncompliance. The two also reinforced one another such that having many components and connections made it far more likely that the rule would be broken.

Met name die eerste zin springt in het oog natuurlijk: organisaties werken altijd met routines, met procedures. Dat is de enige manier om het werkbaar te houden voor de mensen die het moeten doen. Elk geval toetsen op de individuele merites is ongelofelijk kostbaar en geeft veel ruimte voor onduidelijkheid. Het voelt dan ook wat onwerkbaar wat de ICO hier zegt.

Natuurlijk is het niet perse zo dat je altijd een kopie ID kunt vragen en anders stomeenvoudig zeggen, uw verzoek wordt afgewezen. Je moet een controle hebben die past bij de situatie. Als mensen bijvoorbeeld zich online aanmelden voor je dienst (zoals bij de bekende “Mijn Dinges” portalen) dan is een aanvullende identificatie niet nodig. En staan ze aan de balie, dan kun je gewoon hun ID bekijken zonder dat een kopie nodig is. Dat zijn prima procedures.

Maar écht maatwerk, dat zou de uitzondering moeten zijn. Ik vrees dat het juist eerder misgaat als ieder geval als maatwerk wordt behandeld. Dat duurt langer, leidt tot willekeur en fouten.

Arnoud

Ik raakte mijn portemonnee kwijt in de supermarkt en toen ik terugkwam, bleek het ding te zijn vernietigd want de AVG he meneertje. Nee, niet mijzelf overkomen maar ik las het op Reddit (dank tipgever). Oké, in Engeland waar ze wel meer rare dingen doen maar het voelt zomaar als een beleidsregel die ook bij ons gaat rondzingen als we niet uitkijken. Immers, als je ongevraagd toegezonden persoonsgegevens, moet vernietigen, dan toch zeker ook met ongewenst aangetroffen fysieke dragers met die gegevens?

Een vuistregel bij juridische uitkomsten is, als de uitkomst absurd is dan is je redenering fout. De winkelketen (het Engelse Co-op) maakt dus een fout, maar waar gaat het mis? Je kunt het op twee manieren bekijken.

Allereerst puur de AVG: het in bezit nemen van een gevonden portemonnee met pasjes is nog geen verwerking van persoonsgegevens die onder de AVG valt. Het betreft hier immers geen elektronische verwerking, dus geldt de AVG alleen wanneer de gegevens bestemd zijn om (bij jou) in een bestand opgenomen te worden. En daar is geen sprake van, de kluis van de manager is geen bestand. De AVG stelt dus überhaupt geen eisen aan deze verwerking, laat staan de eis tot vernietiging.

Ook kun je zeggen dat dit gewoon mag van de AVG, want dit is in het belang van de eigenaar (artikel 6 lid 1 sub f AVG) en als je het ding gewoon in de kluis laat liggen dan zijn de risico’s voor de eigenaar minimaal, mag ik aannemen. Het ligt in de kluis. Natuurlijk, als je portemonnees bewaart op een plankje achter de kassa dan wordt dat anders maar dat is gewoon dom en moet je dus niet doen. (Soms is juristerij makkelijk.) Er is dus niet a priori een eis dat die pasjes meteen vernietigd moeten worden.

Ten tweede speelt er naast de AVG – als die dus al geldt – ook nog gewoon andere wetgeving, zoals dat het strafbaar is om andermans eigendom te vernietigen. Nu is er in het recht de regel dat jonger recht (zoals de AVG) wint van ouder recht (zoals het wetboek van strafrecht), en ook de regel dat hoger recht (Europees) boven lager recht (Nederlands) gaat. Maar die regels spelen pas bij een conflict, en dat conflict is er pas als de AVG ondubbelzinnig zou zeggen dat die pasjes vernietigd moeten worden. En dat doet de AVG dus niet.

Arnoud

Huishoudelijke apparaten worden vanaf 2021 makkelijker te repareren, las ik bij de BBC. Fabrikanten moeten zorgen dat die dingen langer meegaan én dat reserveonderdelen 10 jaar beschikbaar blijven, waarbij ook anderen dan eigen dealers de reparatie moeten kunnen uitvoeren. Dit right to repair is al een jaar of tien een discussieding, want steeds vaker gaan… Lees verder

Een nieuwe toevoeging aan het opensourcefirmament: de Hippocratische licentie, grofweg de MIT licentie met de toevoeging dat de software niet mag worden ingezet voor doelen die de Universele Verklaring van de Rechten van de Mens schenden. Iets preciezer: die mensen in gevaar brengt of hun well-being aantast op een wijze in strijd met de UVRM…. Lees verder

Het Hof van Justitie in Luxemburg heeft bepaald dat er geen EU-regels zijn die zich verzetten tegen een verplichting voor hostingproviders als Facebook om commentaren te verwijderen die sterk gerelateerd zijn aan eerdere onwettig verklaarde commentaren. Dat las ik bij Tweakers. Nogal een omweg om te zeggen dat rechters providers kunnen verplichten om onrechtmatig verklaarde… Lees verder

De Duitse politie heeft donderdagavond een datacentrum voor darknetmarktplaatsen offline gehaald en zeven verdachten gearresteerd. Dat meldde Tweakers onlangs. De servers werden onder meer gebruikt voor darknetmarktplaats Wall Street Market en een aanval op Deutsche Telekom-routers. De beheerder van het dc omschrijft haar diensten als bulletproof hosting en heeft beleid dat men zich niet actief… Lees verder

Een lezer vroeg me: Onlangs werd bekend dat de politie ‘slimme camera’s’ gaat inzetten tegen automobilisten die met hun smartphone in de hand aan het appen of bellen zijn. Maar hoe kunnen ze met zo’n camera zien of ik een telefoon vasthoud of bijvoorbeeld een navigatie-unit of zelfs een plak roggebrood? Die is ook zwart… Lees verder

Ethiek en AI, twee begrippen die steeds vaker samen genoemd worden. Want als we overal AI gaan inzetten, met name voor besluitvorming en automatische systemen, dan moeten we wel vooraf nadenken wat voor impact dat heeft en of het wel ethisch wenselijk is dat dat zo werkt. Goed dat daar steeds meer aandacht voor komt,… Lees verder

Uber test een nieuwe functie die passagiers audio laat opnemen wanneer ze zich niet op hun gemak voelen tijdens een rit. Dat las ik bij Tweakers. De opname wordt verstuurd naar Uber, zodat die de opname als bewijs kan dienen mocht dat nietpluisgevoel in verband staan met een daadwerkelijk onrechtmatig handelen. Creatief idee, al is… Lees verder