Internetrecht door Arnoud Engelfriet

De politie en de TU Eindhoven testen een systeem om data uit verschillende bronnen, met name camera’s, te koppelen en te analyseren, om winkeldieven uit Oost-Europa in een vroeg stadium te herkennen. Dat meldde Tweakers afgelopen maandag. De camera’s zijn die uit de anpr-nummerplaatherkenning, gekoppeld aan een database die de politie heeft over voertuigen die Oost-Europese bendes mogelijk gebruiken. Op basis van punten – vier mannen met Roemeens kenteken en een Duitse auto, honderd punten – wordt dan een signaal afgegeven aan de politie om deze auto eens nader te bekijken. Het klinkt leuk, maar riekt toch een beetje gevaarlijk.

Roermond heeft veel last van dit soort criminaliteit, las ik bij de NOS, omdat het dicht bij de grens ligt én een grote trekpleister heeft, namelijk winkelcentrum de Designer Outlet. De grote hoeveelheid overlast was de aanleiding om eens te kijken wat men met techniek kan doen.

In de kern komt het erop neer dat van iedere bezoeker richting het winkelcentrum op diverse punten wordt geclassificeerd. Van de auto wordt het kenteken uitgelezen, wat informatie geeft zoals land waar de auto geregistreerd staat en ouderdom/type. Speciale camera’s tellen het aantal inzittenden, middels antennes wordt vastgelegd uit welk land de telefoons (simkaarten) in de auto komen en zo nog een aantal slimmigheden. Van elk van die aspecten wordt een score vastgesteld, die bij elkaar opgeteld een totaalscore Verdacht Gedrag oplevert. En wie daarin te hoog scoort, mag even aan de kant en uitleggen wat hij komt doen in Roermond.

Natuurlijk is het uiteindelijk altijd een agent die de feitelijke controle uitvoert, en eventueel kan besluiten de auto toch niet staande te houden omdat het vier Roemeense omaatjes zijn die een auto geleend hadden in Hamburg. Alleen krijg ik bij systemen als deze niet het gevoel dat de hoofdregel zal zijn dat er geen controle nodig is wanneer de computer zegt van wel. Zelfs het toch niet als rabiaat links bekend staande GeenStijl fulmineert dat het hier gaat om een truc: “Het lijkt alsof de popo al precies weet wie ze hebben moeten, maar dat ze dus nu een hoogtechnologische smoes nodig hebben om preventief op te treden tegen de import die de rottigheid veroorzaakt.”

Het vervelende is, je komt dan vrijwel direct in een hellend-vlakargument terecht. Nu gaat het goed, maar wat als straks massaal alle Oosteuropeanen staande gehouden worden? Of als -zoals de NOS meldt- het geluid van dikke snelle auto’s een trigger geeft waardoor je voor ramkraker aangezien wordt, en door een arrestatieteam klemgereden wordt? Dat zou ernstig zijn, maar zo ver is het nog niet. Wat is dan wijsheid? Nu ageren en als overdreven weggezet worden? Of wachten tot we daar zijn, en dan horen “maar vandaag de dag is het doodnormaal”?

Arnoud

Gerda en Michel uit Scheemda hebben al jaren prima contact met de buren, zo begon een recente aflevering van De Rijdende Rechter. Dat liep scheef na wat geflikflooi op WhatsApp en escaleerde behoorlijk. Maar dat moet u zelf bekeken hebben om er een mening over te hebben. Nee, wat mij vanuit ICT-juridisch punt trof: de buren hadden een camera in de vensterbank gezet, zogezegd om haar auto te bewaken. En dat mocht niet, zo merkte Mr. Reid, John Reid, even in een terzijde op, want dat raakt aan de openbare weg. Eh wacht, zo makkelijk is het niet.

De vraag of je als particulier de openbare weg mag filmen met je beveiligingscamera, is eentje die al lang de gemoederen bezig houdt in juristenland. Het wetboek van strafrecht zegt niet meer dan dat het niet mag als je mensen niet goed waarschuwt. Dat kan problematisch zijn voor een particulier, want waar hang je dan het bordje op zodat iedereen het ziet? Je mag immers niet aan een lantaarnpaal een bordje ophangen, dat is niet jouw eigendom. Vanuit dat perspectief adviseer ik altijd de camera zo te hangen dat hij niet te missen is en niet meer filmt van de weg dan onvermijdelijk is om naar jouw terrein te komen.

Complexer wordt het als je vanuit privacyperspectief gaat kijken. De AVG is erg streng immers: iedere digitale registratie van de werkelijkheid valt onder de AVG als er mensen herkenbaar in beeld zijn, ook bij simpele camera’s die niet vastleggen. Het verzenden van persoonsgegevens valt er ook onder, tenslotte.

En als je dan denkt, maar ik ben een particulier die voor eigen veiligheid mijn eigendommen filmt, dan kom je bedrogen uit: ook dan val je onder de AVG. Er is weliswaar een uitzondering voor strikt huishoudelijk verwerken van persoonsgegevens, maar die houdt op zodra je de openbare weg filmt. Dat raakt aan anderen hun privacy en dan mag het niet meer, aldus het HvJ EU in de Rynes-zaak.

Wat velen volgens mij concludeerden uit deze uitspraak is dat het dus niet mág, het filmen van de openbare weg met een bewakingscamera. Maar dat is volstrekt onjuist. Het mag wel, alleen moet je het rechtvaardigen via een beroep op het “eigen gerechtvaardigd belang” (artikel 6 sub f AVG) van jouw veiligheid en toezicht, en dat vervolgens afwegen tegen de privacy van mensen die over de openbare weg lopen.

Eenvoudig zal dat niet zijn, want hoezo is een passant op de weg een bedreiging voor jouw veiligheid? Er zal dus meer moeten zijn dan alleen “ik wil weten wie er in de buurt is”. In 2007 vond het Hof Leeuwarden het legaal om met een camera op afstand te kijken naar je auto voor de deur. Deze camera legde niets vast, zodat je niet meer zag dan wanneer je zelf voor het raam ging zitten. Dat zou ik wel zien werken binnen de AVG, omdat er niet wordt opgeslagen en je dus niets grootschaligs binnenhaalt of structureel registreert.

Ook zou ik wat zien in het filmen van het stukje openbare weg dat direct naar jouw oprit of carport gaat. Een juwelier die reële vrees heeft voor ramkraken, zou een camera naar de weg kunnen richten om zo kentekens en/of gezichten van aanrijdende krakers te kunnen filmen (bij voorkeur dan met live opslag ergens extern, en natuurlijk afgeschermd voor iedereen behalve de politie). Die kan op geen enkele andere manier dit bewijs verkrijgen. Als de auto eenmaal ‘binnen’ is, dan zal iedere camera-installatie in de ruimte ook defect zijn of uit het lood geslagen, op zijn minst.

In de situatie van de Rijdende Rechter leek de camera me er meer te staan om te pesten. De gestelde angst voor krassen op de auto leek me niet heel realistisch (maar ik was er natuurlijk niet bij) en dan voelt het wat zwaar, meteen een camera te voorschijn halen.

Arnoud

Een campagne waarbij bloeddonoren een League of Legends-skin kunnen krijgen in ruil voor hun donatie heeft tot nu toe 300 nieuwe donoren opgeleverd. Dat las ik bij Tweakers, dat zich baseert op bloedbank Sanquin die de actie heeft georganiseerd. De campagne draagt de naam #myfirstblood en was een succes: in de beoogde doelgroep van 18 tot 35-jarige mannen werd een behoorlijk deel bereikt. Het riep wel de vraag op, mag dat eigenlijk, zo’n skin cadeau geven als je bloed komt doneren? Het riekt naar betalen om bloed te geven, en dat is wettelijk verboden.

Het verbod op betaald doneren van bloed komt uit artikel 4 Wet inzake bloedvoorziening. Je mag niet meer doen dan werkelijke kosten (bv. reis- of maaltijdkosten) vergoeden. Doel hiervan is te voorkomen dat mensen vanuit geldelijk motief de keuze maken om bloed te doneren en zo lichamelijk in de problemen komen.

Al langer kun je een symbolisch cadeautje krijgen als je bloed doneert. Dat is dan een item zonder waarde als geste voor een vrijwillige actie. Ik verwacht niet dat er mensen zijn die werkelijk vanwege dat cadeautje kiezen voor bloed doneren, ook niet als ze heel hard geld nodig hebben: het is immers niet verkoopbaar.

Dan kom je dus bij de vraag of het geven van een cadeau zoals zo’n skin telt als een beloning. Als Sanquin een cadeaubon van 25 euro zou uitreiken na donatie, dan zouden we dat denk ik vrij snel als een verboden beloning zien. Maar een tshirt met “Ik ben donor” meegeven, dat lijkt me gevoelsmatig geen ‘beloning’. Ook al zou je dat kunnen doorverkopen. En dat lijkt mij uiteindelijk ook het criterium om van “beloning” te spreken – het item dat je krijgt, moet een geldswaarde vertegenwoordigen.

Skins in dit spel zijn niet overdraagbaar, dus ook als je zegt, deze items zijn heel waardevol vanwege hun zeldzaamheid dan zit er nog niet direct een geldswaarde aan vast. Je zou je hele personage/account moeten verkopen om die skin over te dragen, en dat staat voor mij te ver af van de skin zelf om deze nog als ‘beloning’ aan te merken.

Arnoud

Een lezer vroeg me: Recent las ik deze hilarische blog (The Daily WTF) waarin een bedrijf een domeinnaam wilde verhuizen en alle security tokens had maar het niet voor elkaar kreeg omdat het verzoek niet op briefpapier was verstuurd. Een grap, maar ik weet dat het in all seriousness ook echt gebeurt. Waarom is dat?… Lees verder

1. Geen iTunes voor jou, Kim Jong-Il Ik begin met een klassieker: Apple verbiedt in de iTunes voorwaarden het gebruik van de software bij de productie of ontwikkeling van massavernietigingswapens: You also agree that you will not use these products for any purposes prohibited by United States law, including, without limitation, the development, design, manufacture… Lees verder

Een lezer vroeg me: Mag een bedrijf via email zonder toestemming tracken of je de email opent en of op een link klikt om te voldoen aan een wettelijke verplichting die op het bedrijf rust? Het klinkt als een makkelijke vraag: als een bedrijf iets moet van de wet, dan mag men dat ook van… Lees verder

Een lezer vroeg me: Recent ben ik verhuisd van Denemarken naar Noorwegen. Na het uitpakken van mijn Nintendo Wii U bleek deze echter niet te werken, omdat het Nintendo Network ID in Denemarken was geregistreerd en volgens de EULA niet overgezet kan worden naar een ander land. Mijn beroep op het correctierecht uit de AVG… Lees verder

Een vraag via Twitter: Suppose during a contracted test a security testers stumbles upon a number of personal data… Is that a data breach? #gdpr – no clue yet… Van een datalek is onder de AVG/GDPR sprake bij “een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het… Lees verder

Een lezer vroeg me: Ik las dat Apple heeft een reparatieprogramma opgezet voor de iPhone 8. Op hun site kunnen gebruikers het serienummer van hun iPhone 8 invoeren, waarna verteld wordt of een toestel in aanmerking komt. Waarom doen ze dat niet automatisch? Ze weten met dat serienummer al wie je bent, je moet immers… Lees verder

De Nederlandse staat is aansprakelijk voor uitlatingen die bewindslieden hebben gedaan over downloaden uit illegale bron. Dat meldde Tweakers gisteren. De rechtbank Den Haag heeft in een principezaak bepaald dat wanneer bewindslieden uitspraken doen die in strijd zijn met Europees recht, je als burger de staat mag aanspreken voor schade die daaruit het gevolg is…. Lees verder