Burgemeester Utrecht mocht geen dwangsom opleggen voor digitale oproep tot ordeverstoring

Photo by Igor Omilaev on Unsplash

De burgemeester van Utrecht mocht geen dwangsom opleggen aan een man die via Telegram in 2021 had opgeroepen tot een gewelddadige confrontatie met de politie in de Kanaalstraat. Aldus bevestigt de Raad van State de eerdere uitspraak van de rechter in wat je een proefproces zou kunnen noemen over de online ordeverstoring.

Bij Security.nl hebben ze meer achtergrond:

De destijds 17-jarige jongen uit Zeist had in november 2021 in een groepschat op Telegram het volgende bericht geplaatst: “Utrecht in opstand, nee 2G & nee vuurwerkverbod! 26-11-21, 19.30, Kanaalstraat, Be there!!! Neem je matties & vuurwerk mee.” Volgens de burgemeester overtrad hij daarmee de Utrechtse Algemeen Plaatselijke Verordening (APV). De burgemeester legde hem vervolgens een ‘online gebiedsverbod’ op. De jongen moest een dwangsom van 2500 euro betalen als hij weer zou oproepen om in Utrecht samen te komen voor het verstoren van de openbare orde.
Die ordeverstoring stond in de APV: “[Het is] verboden op of aan een openbare plaats of in een voor publiek toegankelijk gebouw, op enigerlei wijze:… g. door uitdagend gedrag aanleiding te geven tot wanordelijkheden.” Had de jongen de oproep met een megafoon in een Utrechts park gedaan, dan was de boete zonder twijfel terecht.

Het punt hier was echter dat hij het in een groepschat plaatste, zodat de juridische vraag ontstond of de dienst Telegram telt als een “openbare plaats”. Daar is de Raad van State net als de rechter snel klaar mee:

De groepschat is weliswaar voor iedereen toegankelijk , maar het is geen fysieke plaats. De Afdeling is daarom met de rechtbank van oordeel dat Telegram geen openbare plaats is in de zin van de Apv.
Ook het argument dat de zinsnede “openbare plaats” alleen slaat op waar de wanordelijkheden moeten gebeuren, wordt afgewezen. Taalkundig is evident dat het gaat om de oproep in een openbare plaats. Want nee, een APV kan niet verbieden dat jij in een privéruimte oproept tot wanordelijkheden.

Meer algemeen vindt de Raad van State het onjuist dat de burgemeester een duidelijk ‘fysiekewereld’-verbod inzet om online gedrag te beteugelen. De formele wetgever in Den Haag moet hier regels voor maken, mede omdat het hier gaat om de vrijheid van meningsuiting.

Utrecht heeft haar APV niet aangepast. Iets verderop in Almelo staat wél een expliciet digitalewereldverbod in de APV:

Het is verboden om via digitale middelen, onder andere via internet, virtuele ruimtes en sociale media, uitingen te doen, te delen en/of in stand te laten, die kunnen leiden tot een fysieke verstoring van de openbare orde binnen het grondgebied van de gemeente Almelo, dan wel voor het ontstaan van een ernstige vrees daarvoor.
Hierover werden kamervragen gesteld, maar de minister is niet echt bevoegd wat te vinden van APV’s van gemeenten dus daar kwam geen duidelijk antwoord uit. En ik zie dat in Bodegraven-Reeuwijk, Stichtse Vecht en Heemstede vergelijkbare verboden zijn opgenomen, dus kennelijk hebben meer gemeenten het idee dat het met een specifieke regeling wél moet lukken.

Arnoud

 

Mogen bedrijven van de AI Act en AVG een AI-chatbot in hun shop integreren?

Alexandra_Koch / Pixabay

Een lezer vroeg me:

Steeds vaker zie ik dat bedrijven bij klantenservice een AI-chatbot inzetten als eerste lijn. Die hebben vaak ook toegang tot je bestellingen en andere gegevens. Ik maak me daar zorgen over, wat zeggen de AVG en AI Act hierover?
De trend om menselijke ondersteuning te vervangen door chatbots is niet te stoppen, zo lijkt het. (Hoewel ze het bij Klarna een “flop” lijken te vinden.) Maar laten wij ons focussen op de juridische kant: mag dit?

De AI Act stelt eigenlijk geen eisen aan AI voor klantenservice, afgezien van de algemene eis (artikel 50) dat het duidelijk moet zijn voor de klant dát men met een bot communiceert. Dat moet expliciet en in het gesprek, dus niet een zinnetje in de algemene voorwaarden of ergens in de veelgestelde vragen. En afhankelijk van de lengte van het gesprek kan het nodig zijn deze boodschap periodiek te herhalen.

Lastiger ligt het met de AVG. Een AI-tool die een klantdossier leest, verwerkt daarmee persoonsgegevens. Het doel daarvan is legitiem, namelijk de klant helpen met een probleem bij diens aankoop of ander contract. Een menselijke medewerker zou dit net zo goed mogen. En in de praktijk zie je ook dat de tool er pas bij kan als jij een ordernummer of andere referentie kan geven, wat je kunt zien als een vorm van instemmen.

Een grotere zorg is wie er allemaal nog méér toegang heeft tot die persoonsgegevens. Want dat is wel even anders dan bij de menselijke medewerker. Veel van deze technologieën worden door een leverancier beschikbaar gesteld, en als je dan een paar tegels omdraait kom je al snel bij een Amerikaans foundation model zoals OpenAI’s GPT familie.

Oftewel: alle chats mét klantdossier gaan naar Amerika en dat is zoals bekend AVG-technisch een lastige situatie. Formeel mag het, om de simpele reden dat de EU heeft gezegd dat de VS een met Europa vergelijkbare bescherming van persoonsgegevens heeft. En tot men dat formeel intrekt, is er geen vuiltje aan de lucht.

(Sommigen zouden nu de woordgrap maken dat de lucht vol met stratocumuli zit.) We weten allemaal dat dit nergens op slaat, eigenlijk al sinds het Safe Harbor regime uit 2000. Maar dit is waar juridisch en werkelijkheid afscheid nemen: puur praktisch is het een probleem, maar juridisch klopt het gewoon. Althans, totdat de Europese Commissie of het Hof van Justitie zegt van niet. Want dan moet per direct iedere verbinding met alle Amerikaanse dienstverleners worden gestaakt.

Voor de webshop met AI-klantenservice is dit een nogal abstract en ver verwijderd probleem, en dat snap ik. Je kunt hier helemaal niets aan doen en je zocht alleen een handige extra chatbot omdat je zelf niet 24/7 achter je webshop kunt zitten typen. Mee bewegen met de massa en vooral met al je concurrenten is dan ook prima in die situatie. Uiteindelijk is de situatie met de VS een politiek probleem en niet jouw individueel juridisch probleem.

Uiteraard zoek je wel een goede dienstverlener die de beveiliging goed op orde heeft, zodat er niet bijvoorbeeld chatlogs mét bestelgegevens ergens bij de leverancier terecht komen en langdurig bewaard blijven.

Arnoud

Crypto’s in box 3 zijn belast vermogen, zegt de Hoge Raad. Maar of het ‘geld’ is blijft ongewis

Photo by David McBee on Pexels

Aan cryptogeld kun je geen rechten ontlenen, dus is het geen vermogen. Zo opende NRC onlangs over een belastinggeschil inzake cryptovaluta.

De aangeefster had 71.000 euro aan cryptovaluta, maar wilde geen vermogensrendementheffing (box 3) daarover betalen. Het onderliggende argument:

  1. Cryptovaluta zijn geen vermogensrechten in de zin van artikel 3:6 BW. Daarvoor is immers vereist dat ze “overdraagbaar zijn, of er toe strekken de rechthebbende stoffelijk voordeel te verschaffen”.
  2. Ook is een eis dat is van een verplichting (schuld) van een ander aan de belastingplichtige, en dat ontbreekt in het geval van cryptovaluta.
In haar arrest is de Hoge Raad daar snel klaar mee. In belastingwetgeving wordt gesproken van “vermogensrechten”, maar dat is een breder begrip dan “vermogensrechten” uit het BW. Belastingtechnisch is genoeg dat ze overdraagbaar zijn (en dat is zo) en dat dit tot voordeel leidt (je krijgt geld).

Weinig spannend uiteindelijk, en ook wel binnen de lijn de verwachting. Jammer is vooral dat de Hoge Raad open laat wát voor vermogensrechten in fiscale zin dit zijn. NRC citeert Sonja Dusarduijn, universitair hoofddocent belastingrecht aan Tilburg University, die uitlegt:

Vallen crypto’s in box 3 onder de categorie ‘geld’ of onder ‘overige bezittingen’? Bij ‘geld’ gaat de fiscus ervan uit dat je minder rendement maakt op je vermogen dan bij ‘overige bezittingen’. Maar het gerechtshof ontweek het antwoord op die vraag met de merkwaardige redenering dat als het geen geld is, het toch in elk geval onder ‘overige bezittingen’ valt.
Die redenering is genoeg om het argument te pareren dat het geen van beide is. Maar het is jammer dat niet is doorgepakt:
Het verschil doet zich ook voelen bij het zogenaamde ‘herstelrecht’, vertelt Dusarduijn. De Hoge Raad heeft in 2021 korte metten gemaakt met het door de fiscus gehanteerde fictieve rendement op vermogen, dat voor sommigen veel hoger lag dan hun daadwerkelijke rendement. Dusarduijn: „De wetgever moet daarom bepaalde vermogensbezitters rechtsherstel bieden. Je moet dan wel aantonen dat het werkelijke rendement op je héle vermogen in een bepaald jaar lager blijkt te zijn dan het fictieve rendement.”
Dit geldt dus ook voor het deel van je vermogen dat in crypto’s bestaat.

Mensen vragen nogal eens: waarom zou je je cryptovaluta opgeven, gezien de blockchainregistratie in principe anoniem is. De belangrijkste reden is natuurlijk dat je identiteit snel zichtbaar wordt bij aan- en verkopen tegen echt geld, want dat betreedt dan het gereguleerde systeem.

Arnoud

Mijn ex dreigt met gerechtelijke stappen omdat ik ons WhatsApp-gesprek deelde met ChatGPT

Photo by Matheus Bertelli on Pexels

Via Reddit:

[Mijn ex] beweert dat ik de GDPR geschonden heb omdat ik fragmenten van onze WhatsApp-gesprekken gedeeld heb met een AI-assistent (ChatGPT). Dit was niet publiek, enkel anoniem en privé, en bedoeld om psychologisch advies te krijgen in een verwarrende periode. … Toch beweert ze dat ze “een advocaat heeft” en dat ik vervolgd zal worden voor schending van haar privacy.
Gebruik van ChatGPT om psychologische inzichten of hulp te krijgen is een serieus populair ding. Ik kan me dus voorstellen dat iemand dit doet in de emotionele toestand van een vervelend geëindigde relatie.

In dergelijke situaties zie je ook veel dat mensen alle mogelijke juridische haakjes aangrijpen als stok om nog even na te trappen. Ook hier: de gebruikte taal van de ex is zeer herkenbaar als boosheid. Maar zit er een juridische kern van waarheid in?

De vraagsteller geeft aan dat het gebruik alleen voor hemzelf was. Het voor de hand liggende antwoord is dan ook dat dit valt binnen de uitzondering voor een “zuiver persoonlijke of huishoudelijke activiteit” (art. 2(2)(c) AVG). De AVG geldt dan niet, en een schadeclaim of wat dan ook kun je daar niet op baseren.

Het even zo voor de hand liggende tegenargument is dat de dienstverlener OpenAI achter de dienst ChatGPT eigen dingen doet met de ontvangen gegevens, zoals de chats lezen voor verbeteren van het taalmodel of de interactie gebruiken om Terminator-robots te ontwikkelen.

De vraag wordt dan: geldt de uitzondering voor zuiver persoonlijk gebruik ook bij een overdracht van persoonsgegevens aan een derde? Ik neig naar nee, omdat de gegevens dan buiten de directe invloedssfeer komen van de particulier.

Probleem daarmee is dat je dan geen enkele internetdienst kunt gebruiken. Oftewel: die conclusie vereist enige nuance.

In haar handreiking over persoonsgegevens op internet zegt de Autoriteit Persoonsgegevens dat gegevens op internet gepubliceerd mogen worden binnen deze uitzondering, mits onder een aantal voorwaarden. Belangrijkste daarvan is dat de informatie zo beperkt mogelijk verspreid wordt, bijvoorbeeld alleen gedeeld met familie en zeker niet openbaar en voor zoekmachines bereikbaar.

Die interpretatie hier analoog toepassend lijkt het dan alsnog in orde. Weliswaar staat de chat in andermans internetdienst, maar hij wordt niet openbaar voor derden. Dat die internetdiensten er zélf analyses mee doen, valt dan buiten jouw verantwoordelijkheid.

Arnoud

AWS brengt nieuw bedrijfsonderdeel volledig in EU onder, helpt dat tegen de almachtige CLOUD Act?

Amazon gaat een aantal bedrijfsonderdelen en processen rond AWS volledig in Europa onderbrengen. Dat meldde Tweakers vorige week. Het is een reactie op de discussie over Europese soevereiniteit, die een impuls kreeg vanwege het afsluiten van een mailbox van de ICC-hoofdaanklager onlangs. Uiteraard blijft de vraag: is dat genoeg tegen de CLOUD Act?

Ik klonk in de titel wellicht een beetje cynisch, maar ik erger me al een tijd aan de vanzelfsprekendheid waarmee mensen aannemen dat bedrijven alles doen omdat een Amerikaanse wet dat zegt. En natuurlijk, bedrijven in Amerika kunnen dat maar beter doen ook. Maar waarom een bedrijf in Europa, enkel omdat men in een Amerikaans concern zit?

Zoals ik in 2020 blogde:

[B]innen de regels voor concerns kán een moeder niet direct bevelen wat een dochterbedrijf moet doen. Aandelen geven wel zeggenschap, maar geen bestuursbevoegdheid. Je moet dus het bestuur overtuigen, en dat kan eigenlijk alleen door te zeggen dat je het bestuur eruit gooit als ze niet doen wat je zegt. Dat zou nogal opvallen, en als in de statuten van die dochter ook nog vervelende dingen staan dan wordt dit helemaal een heilloze route.
Ook is er artikel 48 AVG, dat zegt dat bevelen van Amerikaanse rechtbanken inzake afgifte persoonsgegevens zonder rechtskracht zijn. Het moet via een rechtshulpverzoek. Dus een Europese rechtbank zal zo’n bevel niet erkennen, zodat je ook langs die route niet verplicht kunt worden er aan te voldoen.

Natuurlijk kan de VS op allerlei manieren escaleren. Denk aan betalingsproviders (zoals creditcards) verbieden betalingen aan een soeverein Europees cloudbedrijf te accepteren. IP-dataverkeer tegen laten houden. Of het moederbedrijf uitsluiten van overheidsopdrachten. Maar dat valt op bij de Europese politiek.

Ik maak me zelf meer zorgen over de techniek. Hoe weet die Amazon-dochter dat er geen achterdeurtje voor Seattle in zit, zodat de Amerikanen de data gewoon kunnen grijpen als ze dat naar Amerikaans recht moeten geven?

Enerzijds, dat is hetzelfde probleem als met alle cybersecurity: of de inbreker nou bij je bedrijf werkt of niet, maakt niet uit voor de vraag of iemand ongeautoriseerd is. Anderzijds, wie volledige toegang tot alle hardware én software heeft, kan veel geniepiger achterdeuren inbouwen.

Arnoud

 

Vierdaagse blokkeert tickets die met hulp van bots zijn doorverkocht, mag dat?

Eerste dag avondvierdaagse Amsterdam (Berlageburg), Wikimedia Commons

Tickets voor de Nijmeegse Vierdaagse die via een tussenpersoon zijn verkocht worden door de organisatie ongeldig verklaard. Dat meldde Nu.nl dinsdag. Dit omdat het “oneerlijk” is dat zij via bots de kaarten opkopen. Heel begrijpelijk, maar wat is de stap van “oneerlijk” naar “onrechtmatig” hier?

De stichting achter deze traditionele wandeltocht wist het eerst ook even niet, maar men heeft zich nu “technisch, maar ook juridisch laten adviseren” en concludeert:

Startbewijzen die via dergelijke commerciële botdiensten worden verkregen, zijn ons inziens op onrechtmatige wijze bemachtigd. Vanaf de datum van deze berichtgeving (22-05-2025) zullen wij daarom tickets die aanwijsbaar via intermediairs van eigenaar zijn verwisseld, ongeldig verklaren. We adviseren alle wandelaars die op zoek zijn naar een 4Daagse ticket géén gebruik te maken van diensten die aangeven als intermediair op te treden.
Het persbericht spreekt van “op onrechtmatige wijze bemachtigd”, wat suggereert dat men een route vond die de inzet van de bot zelf. Daar twijfel ik zeer over, want er is algemeen geen wettelijke regel die kopen met een bot (of moet je nu “inzet van agentic AI agent” zeggen?) verbiedt.

Maar gelukkig hebben we de foto’s, ik bedoel het reglement van de 4Daagse nog. Dit vermeldt in artikel 19:

Bemiddeling, hoe ook genaamd, in startbewijzen is, behoudens met toestemming van Stichting DE 4DAAGSE, verboden. Een  startbewijs dat middellijk of onmiddellijk door bemiddeling is verkregen, verliest zijn geldigheid.
Je kunt de exploitanten van die bots zien als bemiddelaar of agent; zij kopen tickets ten behoeve van een specifieke derde, hun opdrachtgever. Eerder meldde Nu.nl:
Zo waren op Marktplaats advertenties te vinden waarin de verkoper ticketgarantie aanbood, omdat die met botsoftware kaarten opkocht bij de Vierdaagse. “Geïnteresseerde kopers delen hun gegevens met de adverteerder, die vervolgens geautomatiseerd controleert of er een ticket beschikbaar komt”, zegt een woordvoerder van Atleta Resale, het bedrijf dat de officiële doorverkoop van de Vierdaagse organiseert.
De tickets worden dus bij aanschaf op naam van de koper gezet. Het is geen opkopen van een stapel tickets en dan rustig zoeken naar belangstellenden. (Daarom zijn de regels over overdracht van startbewijzen ook niet van toepassing.)

Een constructie die zo’n bemiddelaar kan hanteren, is dat deze “slechts de software verhuurt”, waarna de wandelaar-in-spe zelf deze gebruikt en aldus snel het ticket verkrijgt. Dat zou ik geen bemiddeling meer noemen, dat is geen “werkzaam zijn” zoals de wet dat noemt “bij het tot stand brengen van een of meer overeenkomsten” (art. 7:425 BW).

Bij mijn weten doet geen bemiddelaar dat, en dat zal vast komen omdat je dan moeilijker een commissie kunt rekenen. Maar om dit te voorkomen, zal er echt iets in het reglement moeten komen dat inzet van geautomatiseerde middelen verbiedt om het ticket te kopen.

Arnoud

 

 

Mag mijn werkgever op eigen houtje een autoreply instellen dat ik er binnenkort niet meer werk?

Photo by Blue Arauz on Pexels

Een lezer vroeg me:

Bij mijn werkgever speelt momenteel een grotere reorganisatie, waarbij velen (waaronder ook ik) hun baan gaan verliezen. HR heeft alle medewerkers geïnstrueerd een automatische reply in te stellen met een tekst die erop neerkomt dat je er niet meer werkt en met wie de wederpartij contact moet opnemen.

Ik vind dit prematuur, omdat ik hier nog steeds werk en het collectief ontslag nog niet is goedgekeurd. Daarop heeft HR de accounts overgenomen (met hulp van IT) en het bericht zelf ingesteld. Ik kan niet meer bij mijn mail of bestanden en mijn contactpersonen lezen nu dat ik vanaf dd/mm hier niet meer werk. Kan dit zomaar?

Vragen als deze krijg ik vaak wanneer er iets met ict-systemen of persoonsgegevens gebeurt in de context van een reorganisatie of ontslag. Men wil daar bezwaar tegen maken en zoekt dan naar wetten die worden overtreden, want dat is een hele stevige om een punt mee te kunnen maken.

Het probleem is: situaties als deze zijn zeer specifiek, en de wet heeft daar geen pasklaar antwoord op. Bovendien is de oplossing lang niet altijd de zuiver juridische route. Dit maakt het erg lastig om vragen als deze te beantwoorden, maar laten we het toch proberen.

De kern van de vraag is dat het bedrijf een persoonsgebonden zakelijk account laat beheren door een ander persoon. Op zich is dat rechtmatig: die accounts zijn van het bedrijf, en het bedrijf bepaalt dus wat ermee gebeurt. Het bedrijf moet als goed werkgever wel rekening houden met de privacy, gegevensbescherming en andere belangen van de werknemer.

Een situatie waarin zo’n overname prima is, is als de werknemer ziek is en het werk door moet. Dan moet je in die mailbox kunnen om relevante mails op te duikelen. (Beter is natuurlijk dat er geen kritische informatie alleen in een mailbox zit, maar we hebben nog een lange weg te gaan hierin.) Mails versturen uit die mailbox vind ik een stuk spannender, maar in een kleine organisatie verdedigbaar als het bedrijfsbelang groot is en de collega zich duidelijk kenbaar maakt: “Bedankt voor je mail aan Wim, hij is ziek maar ik Kees neem het over”.

Hier gaat het meer om een conflict. De werkgever wil de klant tijdig informeren over de opvolging van deze Wim, en daar is zo’n automatische reply een standaardmanier voor. Voorschrijven dat je een dergelijke reply aanzet en met welke strekking is gewoon de instructiebevoegdheid van de werkgever, dus dat had Wim moeten doen. En ja, ook als het nog niet de laatste werkdag is: overdracht van werk kan en mag prima al eerder geregeld worden.

Het is alleen weer geen goed werkgeverschap om een onjuiste mededeling uit te laten gaan. Als Wim zijn ontslag er inderdaad nog niet door is, dan kun je hem niet verplichten “per dd/mm werk ik hier niet meer” in de mail te zetten. (Mogelijk weet HR meer dan Wim, maar dan is het weer zeer ongepast om op die manier Wim zijn ontslag aan te zeggen.)

Daar komt bij dat door deze handelwijze van HR Wim niet meer kan werken: zijn mail is ontoegankelijk, net als alle applicaties en bestanden die hij nodig heeft. Ik weet niet om wat voor reorganisatie het gaat, maar kan me moeilijk voorstellen dat Wim en collega’s per direct overbodig zijn.

De beste koers lijkt me dan ook om op basis van deze onmogelijkheid om te werken een escalatie te doen: beste directeur, graag wil ik blijven werken, alleen heeft HR mijn account uitgezet dus ik kan niets doen. Ik hoor graag je oplossing.

Het zou kunnen dat de werkgever dan zegt, dat is helemaal goed je bent per direct vrijgesteld en we laten je weten hoe het verder gaat. Afdwingen dat je bij je account kan terwijl je die niet nodig hebt voor het werk, is niet mogelijk. Ik snap dat je dan relaties niet meer zelf kunt informeren, maar dat is een te klein belang om alsnog toegang te eisen.

Je kunt dit gebruiken als een opstap naar een discussie over de inhoud van de autoreply. Als het ontslag er inderdaad nog niet door is, dan is de mededeling prematuur en mogelijk schadelijk voor de reputatie van Wim.

In theorie is een kopie van je mailbox opeisen via de AVG mogelijk. Berichten van en naar jou zijn persoonsgegevens. Maar onduidelijk is of dat recht dan gaat over enkel de metadata “je kreeg op 3 maart een mail van Kees” of dat de volledige lap tekst van Kees er bij mag. Verder krijg je dan direct discussies over bedrijfsgeheimen en relatiebedingen, wat een enorme ruis in het toch al aanwakkerende bedrijfsconflict gaat geven. Ik zou deze route dus afraden.

Arnoud

De AVG gebruiken om een premiumfunctie gratis te gebruiken is een vorm van misbruik

Photo by siden93 on Pixabay

Een bedrijf dat software levert voor het maken van screenshots hoeft een gratis gebruiker onder de AVG geen screenshots te verstrekken, zo heeft de Geschillenkamer van de Belgische privacytoezichthouder GBA bepaald. Dat las ik bij Security.nl. De gebruiker beriep zich op zijn recht op dataportabiliteit, en dat werd als misbruik van recht aangemerkt.

Security legt uit:

De softwareleverancier biedt een gratis en betaald abonnement. Bij de betaalde versie kunnen gebruikers hun screenshots ook downloaden. De gratis versie biedt alleen een optie om gemaakte screenshots via de website van de leverancier te bekijken.
Hoe screenshots precies persoonsgegevens zijn, laat ik even in het midden. De man beriep zich op zijn recht van dataportabiliteit of overdraagbaarheid van gegevens, artikel 20 AVG. Dit biedt inderdaad in de basis het recht om een kopie van je persoonsgegevens te krijgen, en wel “in een gestructureerde, gangbare en machineleesbare vorm”.

Vereist is wel dat het gaat om een geautomatiseerd proces, en dat de grondslag toestemming of uitvoering overeenkomst is. Bij dataverwerking op grond van legitiem belang kan dit dus niet. En het is ook beperkt tot gegevens die jij hebt verstrekt aan de verwerkingsverantwoordelijke, niet gegevens die zij maken of van elders verkrijgen. Het is wel omschreven als “het recht je Facebookfoto’s te kunnen downloaden”.

Nu kun je van screenshots wel zeggen dat jij ze verstrekt,. Wanneer jij op de knop drukt, start dat het proces van maken en uploaden. De grondslag uitvoering overeenkomst zie ik ook wel opgaan. Daar was ook geen discussie over, net zo min als over de vraag of door jou gemaakte screenshots persoonsgegevens zijn. (Meningen hierover zeer welkom.)

De discussie spitste zich toe op de vraag of de vraagsteller gratis een kopie er van kon krijgen. Dat moet, zowel van artikel 15 (inzagerecht) als van artikel 20 (dataportabiliteitsrecht). En je hoeft er geen reden voor op te geven. Het enige dat niet mag, is misbruik maken van het recht.

De toezichthouder ziet hier een vorm van misbruik. Ten eerste kun je de screenshots online inzien, dus de onderliggende zorg of alles wel klopt kun je daar prima adresseren. Ten tweede was de vraag nadrukkelijk gericht op het omzeilen van de abonnementstructuur van het bedrijf.

21. In dit geval wenst de klager gebruik te maken van een recht dat de AVG biedt om te profiteren van een ongerechtvaardigd economisch voordeel. Het downloaden van de screenshots die hij wil is een voordeel dat alleen wordt toegekend aan gebruikers die een betaalde licentie hebben van de software van de gedaagde. De klager beroept zich op zijn recht op toegang en zijn recht op gegevensportabiliteit om foto’s te downloaden, en dat verdraait de essentie van deze rechten.
De motivatie snap ik, maar het roept wel de vraag op waarom dit niet zou mogen bij ‘gewone’ persoonsgegevens. Downloaden van je personeelsdossier kost 50 euro, ze bij ons op kantoor bekijken is gratis. Dit passeert toch vrij evident je recht op een kopie. Ik denk dat hier meewoog dat het een commerciële dienst is waarbij betalen geen raar iets is.

Vanaf 2 September 2025 is de Datawet (Data Act) van kracht. Deze geeft je het recht om data verworven door een “verbonden product” te verkrijgen van de datahouder. Gratis en in wederom zo’n machineleesbaar formaat. Dat ligt dan meer voor de hand bij deze dienst – zij het dat er voor de Datawet een fysiek product nodig is dat je verkocht is door de datahouder. Dat gaat dus niet op bij een screenshotapp.

Arnoud

Mogen kinderen anno 2025 zelf smartphones kopen en apps installeren?

Photo by HelenJank on Pixabay

Een groep van ruim 1400 Nederlandse artsen heeft het kabinet opgeroepen om leeftijdsgrenzen in te stellen voor het gebruik van een smartphone en sociale media door kinderen. Dat meldde Tweakers vorige week. Uiteraard gaf dat veel discussie, met voor mij als interessante uitspringer de vraag: waarom mogen kinderen eigenlijk smartphones kopen en bezitten?

De Consumentenbond meldt dat de meeste kinderen rond de 9 jaar hun eerste smartphone krijgen. Advies is om een paar jaar te wachten: bij 10-12 jaar is er meer ruimte om dit verantwoord te doen. Maar trefwoord is ‘krijgen’, zelf kopen op die leeftijd is niet aan de orde.

Ouders moeten toestemming geven voor iedere aankoop van een kind tot 18 jaar (art. 1:234 BW). Omdat dit natuurlijk snel tot onwerkbare situaties leidt, zegt de wet dat die toestemming geacht wordt te zijn gegeven als de transactie er eentje is “waarvan in het maatschappelijk verkeer gebruikelijk is dat minderjarigen van zijn leeftijd deze zelfstandig verrichten.” Als een kind van 10 dat snoep koopt bij AH, kun je dat niet terugdraaien, dat is normaal.

Vraag is dus: is het gebruikelijk in Nederland anno 2025 dat kinderen van leeftijd X zelfstandig smartphones kopen?

Een relevanter punt is hoe dat zit met de apps op die smartphone, daar komt de verslaving en andere ellende immers vandaan. Hiervoor komen we bij de AVG, en dan met name bij de Uitvoeringswet AVG over persoonsgegevens van minderjarigen. (Want geen app zo leuk of er zit wel een datagraaier in.)

De AVG zegt eigenlijk niets over persoonsgegevens van kinderen bij apps. Ja, er is artikel 8 maar dat geldt alleen bij “een rechtstreeks aanbod van diensten van de informatiemaatschappij aan een kind” en alleen als de dienst op basis van toestemming wordt geleverd. Dan moeten de ouders toestemming geven.

De meeste diensten (apps) verwerken persoonsgegevens op basis van de grondslag uitvoering contract dan wel legitiem belang, en vallen dus buiten artikel 8 AVG. Hetzelfde geldt voor artikel 5 UAVG, dat de regel van artikel 8 AVG uitbreidt naar alle andere situaties: als de dienstverlener niet werkt met toestemming, is ouderlijke toestemming irrelevant.

Het enige soort van haakje dat je overhoudt, is dat overweging 38 en artikel 6(1)(f) AVG bijzondere waarde hechten aan de privacy en rechten van kinderen bij de afweging van het legitiem belang. Apps die persoonsgegevens van kinderen gebruiken, moeten daar dus meer rekening mee houden. (Maar omdat zelden om leeftijd wordt gevraagd, is dat meteen ook een lastige om uit te voeren.)

De populairste categorie apps zijn social media, en dat zijn dan weer diensten die gereguleerd worden door de Digital Services Act of DSA. Artikel 28 daarvan stelt dat

Aanbieders van voor minderjarigen toegankelijke onlineplatforms nemen passende en evenredige maatregelen om een hoog niveau van privacy, veiligheid en bescherming van minderjarigen binnen hun dienst te waarborgen.
Dit gaat over zaken als leeftijdscontrole en weren van voor hen ongeschikte content. En dat is belangrijk, 60% van de kinderen tussen de 8 en 12 jaar heeft een socialmediaaccount.

Nee, dat is niet verboden – er is geen harde leeftijdsgrens voor verwerking van persoonsgegevens in Europese of Nederlandse wetgeving. Die grens van 16 jaar (die tot 13 omlaag mag als een land dat wil) is uit artikel 8 AVG en gaat dus over toestemming geven door minderjarigen.

Het lijkt mij een héél goed idee om smartphonegebruik en afname van online diensten door kinderen te reguleren gezien de vele publicaties over slechte effecten, maar daar is dus echt nieuwe regelgeving voor nodig.

Arnoud

 

Kan ik per direct van deze defect geleverde laptopbatterij af?

Photo by Clint Patterson on Unsplash

Een lezer vroeg me:

Ik heb bij een webwinkel een vervangende batterij gekocht voor mijn consumentenlaptop. Deze werkt alleen niet, ook niet in een andere laptop waar de originele batterij wel werkt. Conclusie: de batterij is stuk. Ik wil daarop van de koop af, maar de webwinkel eist dat ik deze eerst moet terugsturen zodat zij deze kunnen repareren of vervangen. Ik heb nul vertrouwen meer, ik wil gewoon mijn geld terug. Kan dat?
Nee, dat kan niet. Je zult bij een aankoop de verkoper eerst de kans moeten geven om het product te onderzoeken en waar nodig te repareren of vervangen.

Als je iets koopt, moet dat conform de redelijkerwijs gewekte verwachtingen zij (art. 7:17 BW). Een batterij die geen stroom geeft, voldoet natuurlijk niet. De wet geeft je als koper dan het recht om te eisen dat dit in orde wordt gemaakt. Maar dat is geformuleerd als herstel of vervanging (art. 7:21 lid 1 BW), niet als recht om per direct van de koop af te kunnen.

Pas als de winkel er niet in slaagt om de batterij te repareren en ook geen andere op te sturen, dan krijg je een recht de koop ongedaan te maken (art. 7:22 lid 1 BW). Hetzelfde geldt als de verkoper te lang doet over dat herstel, of als ook na herstel er gedoe blijft.

Er is dus geen ruimte om bij constatering van een gebrek direct de koop te ontbinden. Dit lijkt me ook vrij onredelijk. Dingen kunnen nu eenmaal stuk gaan, zeker als het als pakket opgestuurd wordt. Een rondje proberen te herstellen is dan de aangewezen weg.

Arnoud