Langsgekomen bij de voorspellingen 2017: wordt het niet eens tijd om data-eigendom te gaan regelen? Data is de grondstof van de informatiesamenleving, maar juridisch gezien bestaat data niet bij diensten van diezelfde informatiemaatschappij. Dat is buitengewoon raar en leidt tot zeer onbillijke situaties. Tijd om er wat aan te gaan doen. Alleen: wát dan?
Je bent eigenaar van je data. Klinkt heel logisch, zeker vanuit het aloude mantra dat wat offline geldt, ook online moet gelden. Als je eigenaar bent van die fysieke mappen met documenten, die bonnetjes en die albums met foto’s, dan ben je dat natuurlijk ook van die gedigitaliseerde documenten, die PDF’s met bonnetjes en dat Instagram-account met foto’s.
Alleen: nee. De wet erkent het concept eigendom alleen op zaken, oftewel “voor menselijke beheersing vatbare stoffelijke objecten” (art. 3:2 BW). Computergegevens (data) vallen niet onder deze definitie, om de eenvoudige reden dat ze niet stoffelijk zijn. En dan is eigendom erop niet mogelijk.
Op virtuele objecten is eigendomsrecht wel erkend. Maar dat was een strafrechtelijke kwestie, en belangrijker: het ging om een specifiek soort data, namelijk data in een omgeving waarbij deze uniek gemaakt was. Een virtueel zwaard dat uniek is in een spel, kan worden weggenomen. Een belminuut die wordt gebeld is daarna op. In het algemeen gaat dat niet op voor data. Als iemand mijn foto kopieert, ben ik deze niet kwijt. Dus die jurisprudentie lever hier niets op.
Dan hebben we nog het auteursrecht en het databankenrecht. Op data kun je beide rechten hebben (mits creatief en/of verkregen door substantiële investering), en we noemen dat soms intellectuele eigendom ook. Maar dat gaat je niet helpen: die rechten zijn juridisch “exclusieve” rechten zoals dat heet, oftewel rechten om anderen iets te verbieden. Geen rechten om dingen mee op te eisen. Als een kopie mijn boek ergens in de winkel ligt, kan ik ze dat verbieden, maar ik kan die kopie niet opeisen van ze.
Wat is data dan wel? Niets, zeg ik altijd. Het is juridisch gezien een artefact van een dienst, en daarop heeft de opdrachtgever geen rechten. De wet ziet data bij een clouddienst als hetzelfde als de data die je butler onthoudt* tijdens zijn jarenlange dienstverband. Erg leuk en prettig, maar als de beste man met pensioen gaat dan is die data weg.
Misschien een tikje gechargeerd, maar wat ik ermee bedoel is dit: je hebt geen wettelijke aanspraak op data die je in een dienst opslaat, met een dienst genereert of dankzij een dienst verkrijgt. Je kunt die data niet opeisen, en van “jouw” data kun je al helemaal niet spreken. (Bij data over jezelf -persoonsgegevens- ligt dat een tikje anders, zeker straks onder de Privacyverordening. Maar dat laat ik even buiten beschouwing.)
Dit levert allerlei vervelende problemen op. Als een dienst wordt gestaakt, dan kan de bijbehorende data per direct de prullenbak in en als klant is daar niets aan te doen. Je hebt geen recht hier nog even een kopie van te downloaden. Ook als een dienst eenvoudigweg weigert die data beschikbaar te stellen voor download, dan houdt het snel op. Men mag zelfs in de voorwaarden verbieden dat je die data gaat downloaden (bijvoorbeeld door de website te scrapen of met een script alle data te downloaden).
Tijd voor de politiek, zou je zeggen. Als data zo belangrijk is voor de maatschappij, dan moet eigendom daarop wettelijk vastgelegd worden.
Alleen: hoe dan?
Je kunt natuurlijk botweg zeggen, we schuiven “en op digitale gegevens gegenereerd of opgeslagen middels diensten van de informatiemaatschappij” in artikel 3:2 BW. Dan is data je eigendom, punt. Maar dat creëert wel gigantische afbakeningsproblemen. Is de logfile met informatie over mijn logins dan ook “mijn” data? De reacties onder mijn blog, zijn die van mij of van mijn reageerders?
Een andere insteek is te handelen vanuit de problemen die er zijn. Je data ben je kwijt als de dienstverlener de dienst staakt of de toegang weigert, oké dat is een probleem dus laten we wettelijk zeggen dat dat niet mag. Een dienstverlener is gehouden data opgeslagen of gegenereerd door een gebruiker van zijn dienst in kopie te geven op verzoek, zoiets. Dat kan, alleen moet je dan wel elk probleem zien te onderkennen en daar een artikel voor schrijven. Bijvoorbeeld bij faillissement, dat de curator ook die plicht op zich heeft. En dat een schadeplicht ontstaat als die data weg is. Of dat de data pas weg mag nadat een redelijke termijn voor een download is verstreken.
Maar welke insteek je ook kiest, dan kom je bij het volgende probleem. Welke data, en hoe dan? Dat is geen simpele vraag. Moeten foto’s in het originele geüploade RAW formaat, of in de JPEG’s waarmee ze gepubliceerd worden? In welk formaat moet een Facebook-profiel worden geëxporteerd? Of de reacties op mijn blog? De todo-items uit mijn handige appjes?
Open standaarden, hoor ik van de achterste rij. Ja, mooi principe alleen gaat dat werken? Moet je dan voor álles een open standaard maken? Is er een standaard voor todo items of voor ticketbestellingen bij het theater via die mooie app? Of is die lijst met ticketbestellingen te triviaal om data-eigendom voor te laten gelden?
Dus nee. Ik denk echt dat de kwestie van data-eigendom een van de belangrijkste open issues uit de informatiemaatschappij is en vind het een nobel idee om dit te gaan regelen, maar het is allesbehalve triviaal hoe we dit voor elkaar moeten krijgen.
Arnoud<br/> * Hier zou een grap moeten over “Dat mag Joost weten, maar ik weet hem even niet.
Dat is de makkelijkste vraag in het hele stuk: Data krijg je in het formaat waarin het is opgeslagen. Als jij een RAW image upload naar een dienst die deze vervolgens opslaat als een JPEG, dan krijg je JPEG. Slaat die de RAW op krijg je de raw.
Staat jouw data in een database dan krijg je al jouw records in het gebruikte database/export format, tenzij anders overeengekomen. Elke database kent wel een export mogelijkheid van gegevens. Dan is ook het facebook probleem opgelost, je krijgt een database dump van al jouw posts en replies. Die kan je op facebook zelf bekijken, dus het mag geen enkel probleem zijn voor facebook om dat in een Database te dumpen en deze te exporteren in plaats van te renderen.
Ik upload images naar Google en die slaat ze daarna, gratis, in een aangepast “goed” format op. Dus de dienst kan de data ook transformeren. Of er 6 verschillende formaten van maken voor verschillende devices. wat is dan mijn data?
Jouw upload als die opgeslagen is, daar kan je zelf dan ook al die andere formaten van maken; terug kan niet altijd.
Dat klinkt inderdaad logisch. De data kan je terugvragen óf in de originele data-blob zoals jij deze geüpload hebt (dus bijvoorbeeld een RAW-bestand), óf in het bestandsformaat dat duidelijk bij uploaden vermeld staat.
Sommige bedrijven splitsen ontwikkeling en hosting(onderhoud)/beheer in verschillende entiteiten. Het laatste vindt soms plaats in een stichting die genoeg geld heeft om een bepaalde tijd te blijven draaien mocht het bedrijf zelf failliet gaan. Zulke bedrijven kiezen specifiek voor zo’n structuur als service. Ik weet niet of we dat voor alle bedrijven moeten gaan verplichten.
De andere kant op heb je ook een synchronisatie probleem als je data in de wet opneemt. for (int i = 0; i lt 1000000; ) copy(data);
Nu heb ik ineens 1000000 keer meer data, nog steeds goed te beheersen maar wel iets om wat over te zeggen als data is iets wet. Van wie is de copy, wat zegt dat over de waarde/schade etc.
for (int i = 0; i lt 1000000; ) copy( “voor menselijke beheersing vatbare stoffelijke objecten” aka een station wagen);
1 miljoen station wagens is niet meer vatbaar voor menselijke beheersing. 😀 En dan de hybride uitdaging, de data die een “voor menselijke beheersing vatbare stoffelijke object” wordt. Hoe ga je om met een 3D geprint object? Is dat object, data, dataobject. Hoeveel van de waarde van de data is nu opgedingest in dat fysieke 3D object?
Arnoud, je ziet toch zeker zelf wel in dat ‘welke data en in welk formaat’ ondergeschikt is aan de issue van dataeigendom. Laten we liever voor een imperfecte oplossing met rafelige randjes kiezen dan voor ‘geen oplossing’.
Als ik even een ideetje mag lanceren: data op een drager (en dat is alle data) is natuurlijk wel een ‘voor menselijke beheersing vatbaar stoffelijk object’ Je zou partijen van wie (op wettelijke of contractuele basis) data op een drager staat een soort afgeleid eigendomsrecht op de drager kunnen geven. Iets analoogs aan vruchtgebruik of opstal?
Die auto die de schrootpers in gaat is toch echt anders dan de auto die er uit komt. Een RAW die een lossy compressie algoritme ingaat is toch echt anders dan de JPG die er uit komt. En wat betreft die dragers, (cloud) data staat zelden voor 1 klant op 1 drager. Could data staat meestal/altijd (geografisch) verspreid over vele data dragers en ook nog verspreid over vele landen en meerdere kopieën. Die dragers zijn ook vaak weer in eigendom van 3e / 4e / 5e partijen die niets met jou als eigenaar van de data te maken hebben.
Ja maar laten we nu maar eerst het eigendom van die auto regelen. Dan komt de vraag of iemand hem mag vermorzelen vanzelf wel goed.
En wat betreft die data op die dragers: ja dat weet ik wel. Maar als je al iets wettelijk kunt regelen dat dat de drager niet vernietigd/vervreemd mag worden zolang de ‘dataopslager’ daar niet mee akkoord is, ben je al een heel eind. En daar zitten natuurlijk allerlei internationale aspecten aan, dat snap ik ook wel, en je kunt het niet afdwingen, maar je kunt wel zorgen dat een dergelijke eis contractueel in de hele keten wordt overgedragen.
Een NL firma die dat niet in zijn contracten met zijn leveranciers heeft staan, handelt dan gewoon niet volgens de wet. Who cares? Inderdaad, maar die paar die het wel doen kunnen daar dan mooi reclame mee maken.
In eerste instantie zou dit misschien iets zijn voor consumentenwetgeving, als in “je mag geen dienst aanbieden tenzij je aan deze data-beschikbaar-stelling-norm voldoet”. Probleem: een heleboel diensten worden gratis weggegeven, en dan lijkt het me lastig om het überhaupt als dienst te zien. Wat is dan het verschil met niet-dienstverlenende informatie-uitwisseling? Mag ik mijn mailbox dan ook niet legen, omdat iemand in de toekomst wel eens zijn/haar e-mail-correspondentie bij mij zou kunnen opvragen? En hoe zit het met peer-to-peer uitwisseling? Afgezien van auteursrechten, moeten torrent-seeders tot in lengte van dagen blijven seeden? Als je geen geld vraagt of om identificatie-gegevens vraagt, tot wie heb je dan precies de verplichting om data beschikbaar te blijven stellen?
Daar komt nog bij dat wetgeving die beperkt blijft tot Nederlandse, of zelfs Europese aanbieders niet echt nuttig is. De meeste aanbieders zitten in de VS. Ik denk dat ze na de cookie-wetgeving en het “recht om vergeten te worden” niet zitten te wachten om nog meer goedbedoelde-maar-slecht-uitvoerbare Europese regulering.
Wat wil je nou echt bereiken? Je wilt altijd bij je data kunnen. Wie moet daar voor zorgen? In eerste instantie zeg ik: daar moet je zelf maar voor zorgen. Je zou hooguit anderen kunnen verbieden om dat actief tegen te gaan. Een uitzondering is als iemand jou belooft data voor jou beschikbaar te houden: dan moet ‘ie zich aan die belofte houden.
Je zou misschien wel kunnen stellen dat als iemand jou een (web-)interface tot je data geeft, maar jou niet de mogelijkheid geeft om eigen kopieën te maken (in een open bestandsformaat), dat een vorm van bedrog is. Je hebt de indruk dat je toegang tot je data hebt, maar eigenlijk is dat niet zo (tenzij je speciale trucs toepast om je data via die interface alsnog te kopiëren, maar we hebben het hier over een interface die daar niet voor is ontworpen, dus zijn zulke trucs voor de gemiddelde gebruiker niet beschikbaar).
Is ‘eigendom’ wel altijd de juiste term?
De termen eigendom en bezit zijn mijn inziens gekoppeld aan het verdelen van schaarse goederen. Niemand is ‘eigenaar’ van de lucht bijvoorbeeld. Zo kun je data zoals fotos/films ook niet ‘stelen’ door het te kopiëren, want de oorspronkelijke ‘eigenaar’ heeft het dan nog. Bij het runescape arrest had de oorspronkelijke eigenaar ‘de data’ niet meer, dus daar kun je wel van eigendom spreken. Net zoals bij bitcoins etc. En dit is meer dan alleen een strafrechtelijk issue, want het raakt de essentie van waarom we het concept eigendom uberhaubt hebben.
Maar als iemand jouw foto (of andere data) verplaatst naar zijn eigen systeem of vernietigd, zijn wel je eigendomsrechten geschonden, toch? Bijvoorbeeld een curator van een cloudbedrijf zou jouw eigendomsrechten op je data in de cloud dan ook moeten respecteren?
Terzijde: als iemand mijn cloud storage kopieert, vind ik dat daarmee mijn auteurs-rechten en databank-rechten (kunnen) zijn geschonden (ik heb er eigen werken staan en veel tijd in de dataverzameling geinvesteerd). Dat kan vervelend zijn, maar zie ik niet als schending van mijn eigendomsrecht. Ik zou ook niet weten waarom dat zou moeten: als er wat definities opgerekt worden (in lijn met hiervoor), zie ik geen echt grote problemen…
Ik kan me niet voorstellen dat er geen analoge parallellen te trekken zijn. Bijvoorbeeld men neme een boekhoudkantoor (wellicht niet bij de tijd) dat nog netjes papieren grootboeken aanhoudt voor haar cliënten. Helaas, de zaak brand af/gaat op de fles (elektronische aangifte was niet voorzien) en de fysieke boeken zijn van de boekhouder want daar was niets over geregeld. Wat is de juridische positie van de klanten?
Je hebt niet 1 algemene open standaard voor todo-items, maar veel van dat soort apps exporteert het naar bestaande open standaarden, bijv. XML. Zo’n bestandje is dan vaak wel te importeren in een andere app, mits die app importeren ondersteunt. Zo’n lijst met ticketbestellingen kun je ook exporteren naar bijv. XML, of anders zouden ze het kunnen aanbieden in een ander gangbaar formaat, bijv. TXT of ODT. Of desnoods naar een mooi PDF’je.
Toegegeven dat het misschien niet helemaal ‘de ideale wereld’ is, maar er is genoeg mogelijk om een en ander naar te kunnen exporteren.