Internetrecht door Arnoud Engelfriet

De Spaanse voetbalbond heeft een boete van 250.000 euro gekregen van de toezichthouder vanwege overtreding van de AVG, meldde Tweakers vorige week. De app luistert met de microfoon mee om illegale voetbalstreams op te sporen aan de hand van voor mensen onhoorbare tonen in de sportuitzendingen. Hoewel de app daarmee niet direct mensen afluistert (althans iets doet met wat mensen zeggen) is dat toch een AVG-overtreding: niet privacy by design, want je kunt niet zien dat je microfoon staat op te nemen.

In juni 2018 kwam in het nieuws dat de Liga (de Spaanse voetbalbond) microfoons van telefooneigenaren met hun app erop had ingezet om onhoorbaar geluid op te vangen dat als watermerk in voetbaluitzendingen zit. Hiermee kan men illegale voetbaluitzendingen detecteren en zo een database opbouwen van locaties die wedstrijden uitzenden, zowel thuis als in cafés en andere gelegenheden. Als dan blijkt dat een locatie geen licentie heeft, dan kan daartegen worden opgetreden. Maar ondertussen sta je dus wel tienduizenden (of meer) microfoons van mensen te beluisteren.

De algemene voorwaarden vermelden expliciet dat dit gebeurt:

LaLiga will enable the microphone of your device, solely if you accept by checking the box enabled for htis purpose or the pop-up window emerging in the APP, to find out if you are watching football matches. This information shall be employed to detect fraud in unauthorized public establishments.

Ik zei toen, vanuit AVG- of privacyperspectief zie ik hier weinig mis mee, omdat het hier niet gáát om het vastleggen van persoonlijke informatie zoals wat je zegt of waar je bent terwijl je iets zegt. Maar de Spaanse Autoriteit Persoonsgegevens is toch wat strenger: je bent wél bezig met persoonlijke informatie, ook al is het bijvangst in je jacht naar de verborgen piepjes.

En vooral: dit is niet privacy by design, want mensen hebben niet dóór dat je die informatie aan het verzamelen bent. De AV zijn natuurlijk niet relevant, je moet dit duidelijk melden. En dan dus niet een verplichte popup (de standaardkeuze van een geërgerde developer die iets hoort over “je moet X van de wet”) maar nadenken over design, hoe je dit integreert in je app. Een icoontje dat je microfoon aan staat bijvoorbeeld. En zo moeilijk zou dat ook niet hoeven te zijn.

Arnoud

Het portretrecht bestaat niet meer, roep ik bij tijd en wijle. Wat dan gevolgd wordt door mensen die zeggen, hoezo, dat staat toch gewoon in de Auteurswet nog steeds? En dat doet het natuurlijk. Al zo ongeveer sinds de Auteurswet zijn er regels over hoe om te gaan met de rechten van geportretteerden, en die regels zijn niet herzien of afgeschaft met de invoering van de AVG (of de uitvoeringswet). Toch staat het portretrecht op zijn zachtst gezegd op losse schroeven door de AVG, omdat dat nu eenmaal de Europese spelregels zijn.

Het portretrecht staat eigenlijk per toeval in de Auteurswet. Het is natuurlijk een vorm van privacyrecht, grip hebben op je portret. Maar omdat dat recht nu eenmaal ingezet moest worden tegen fotografen, en fotografen vooral leven van de Auteurswet (en er niet echt een meer logische plek was in het wetboek) kwam dat recht in de Auteurswet terecht. Het valt uiteen in twee delen: een fotograaf/rechthebbende mag een portretfoto niet zomaar exploiteren, en een geportretteerde mag zelf kopietjes maken van zijn portret.

Het portretrecht tegen de fotograaf is het bekendste. Als iemand herkenbaar op de foto staat, mag de fotograaf niet zonder belangenafweging die foto exploiteren. En als de geportretteerde opdracht gaf tot de foto, dan is zelfs altijd toestemming nodig, ongeacht hoe de belangenafweging uitgepakt zou hebben.

En dat is dus een probleem onder de AVG, want die kent naast toestemming nog vijf grondslagen, vijf redenen om iemands persoonsgegevens te verwerken. En een publicatie doen van een portret is een verwerking van persoonsgegevens. Daarmee zegt ons portretrecht dus iets over persoonsgegevens, maar wel iets anders dan wat de AVG zegt. En da mag nie, zoals dat dan heet. Algemene Europese regels zeggen dat als er een Europese wet over een onderwerp is, lidstaten geen eigen regels over datzelfde onderwerp mogen maken tenzij die Europese wet zegt van wel. En dat doet de AVG niet.

Voor het portretrecht anders dan in opdracht maakt het weinig uit. De belangenafweging onder artikel 6 lid 1 sub f AVG komt op hetzelfde neer als de klassieke afweging van belangen onder het portretrecht, je moet alleen andere terminologie gebruiken. Maar het portretrecht in opdracht (alleen gebruiken met toestemming) bestaat volgens mij echt niet meer, de AVG staat eenvoudigweg niet toe dat je mensen een beroep op de grondslag eigen belang ontzegt.

En om het dan nog ingewikkelder te maken, het portretrecht bestaat nog wél voor situaties waarin het gaat om andersoortige belangen dan puur je privacy. Er bestaat namelijk ook zoiets als het commercieel portretrecht en het verzilverbare portretrecht. Het commercieel portretrecht is het specifieke recht niet geassocieerd te worden met andermans reclame (het Discodanser-arrest), en het verzilverbare portretrecht gaat over je gezicht als BN’er te gelde te kunnen maken (het Cruijff/Tirion-arrest).

Het commercieel portretrecht is denk ik opgegaan in de belangenafweging onder de AVG; je moet een héél sterk verhaal hebben waarom je ongevraagd iemand in je reclame mag opnemen. Maar het zuiver verzilverbare portretrecht (ik ben Max Verstappen en ik wil niet als personage in de Picnic-reclame) staat denk ik los van de AVG omdat het puur gaat om een commercieel belang, los van privacyoverwegingen.

Arnoud

Een lezer vroeg me:

Recent heb ik mijn ex de deur uit getrapt omdat ze was vreemdgegaan. Wij deelden alles, dus ook telefoonwachtwoorden en zo kwam ik per toeval erachter. Nu heb ik recent per ongeluk nog eens ingelogd op haar Instagram, omdat dit wachtwoord onthouden was door mijn browser. Zij heeft nu aangifte gedaan van stalking en computervredebreuk. Ben ik strafbaar? Zij had toch haar wachtwoord even kunnen wijzigen?

Het is strafbaar als computervredebreuk om opzettelijk en wederrechtelijk binnen te gaan in andermans geautomatiseerd werk (art. 138ab Strafrecht). Per ongeluk ergens inloggen is dus niet strafbaar, omdat dan de opzet ontbreekt.

Het moet wel echt een ongeluk zijn, en een inlog op Instagram gaat volgens mij niet zó zeer automatisch dat je zonder enige bewuste handeling ineens in dat account zit. Misschien als je ingelogd blijven had aangevinkt. In ieder geval heb je de schijn fors tegen, zeker als je meer hebt gedaan dan één pagina openen en zien dat zij ingelogd was en daarna uitloggen.

Daarnaast zit je met die wederrechtelijkheid. Als je ergens mag zijn, dan heb je een recht en dan handel je niet wederrechtelijk. Als je in een relatie alles deelt, en dus ook wachtwoorden en tandenborstels, dan vind ik dat je niet kunt spreken van “wederrechtelijk” inloggen ook al staat het account formeel op naam van je partner.

Dat ‘recht’ om bij elkaars spullen te kunnen, eindigt natuurlijk met de relatie. Dus vanaf dat moment is het weer haar tandenborstel en haar Instagram, en niet meer de jouwe. Je moet er dan vanaf blijven. Dat zij het wachtwoord had kunnen aanpassen is niet relevant, net zo min als ze haar voordeurslot niet verandert – je mag nog steeds niet naar binnen in haar huis.

Arnoud

Het is waarschijnlijk een juridische primeur: een rechter heeft een schadevergoeding toegekend op grond van de Algemene verordening gegevensbescherming (AVG). Dat meldde RTL Z afgelopen vrijdag. De gemeente Deventer moet van de rechter 500 euro betalen aan een man van wie de gemeente de naam en woonplaats doorspeelde naar tientallen andere gemeenten. Ik ken ook… Lees verder

Het YouTube-kanaal van het Regionaal Archief Alkmaar is offline gehaald vanwege haatzaaien. Dat las ik op NRC. De aanleiding zouden beelden uit de Tweede Wereldoorlog zijn geweest, die “herhaalde of ernstige schendingen” van de richtlijnen van YouTube op zouden hebben geleverd. Na duizenden boze reacties ging de videosite overstag; het kanaal is weer hersteld. Maar… Lees verder

Talpa-oprichter John de Mol spant een kort geding aan tegen Facebook. Hij eist dat het sociale netwerk stopt met het tonen van nepadvertenties voor bitcoinproducten waarin zijn naam en foto worden gebruikt. Dat meldde het FD onlangs. De ondernemer is niet de enige: ook foto’s van zanger Waylon, presentator Matthijs van Nieuwkerk en techondernemer Alexander… Lees verder

ING gaat klanten ‘persoonlijke aanbiedingen’ doen op basis van hun bij- en afschrijvingen, las ik bij Tweakers. Het gaat om aanbiedingen van ING zelf, dus niet van externe partijen, en klanten kunnen zich er voor afmelden. Dat mag, zegt de bank: “Volgens de AVG moet er een wettelijke grondslag zijn voor het gebruik van persoonsgegevens…. Lees verder

De organisatie van de Zwarte Cross gaat zelf boetes uitdelen aan stiekeme rokers op het festival. Wie betrapt wordt met een sigaret, moet – na een eerste waarschuwing – 70 euro dokken. Dat meldde het AD onlangs. Niet echt internetrecht, maar het raakte kennelijk veel lezers want ik kreeg er nogal wat vragen over. Mag… Lees verder

Een lezer vroeg me: Recent bestelde ik iets bij een webwinkel, en bij de verzendopties stond de keuze voor het ‘Niet bij de buren bezorgen’ van de bestelling – een optie die extra geld kostte. Het lijkt een optie te zijn voor mensen die hun buren niet vertrouwen of bang zijn dat hun buren een… Lees verder

Een lezer vroeg me: Ik speel recreatief Stratego en wil graag een blog beginnen over strategieën, geschiedenis en andere aspecten van het spel. Mag ik dat doen, en zo ja mag ik dan de plaatjes op de speelstukken gebruiken om bijvoorbeeld een strategie te illustreren? Uitgever Jumbo schijnt nogal streng te zijn op hun auteursrechten… Lees verder