Anti-embed trucjes hebben auteursrechtelijke kracht gekregen van het Hof van Justitie

Het embedden of framen van andermans werk in je eigen site is tegenwoordig ook al auteursrechtinbreuk, althans soms. Dat maak ik op uit een recente beslissing van het Hof van Justitie (C-329/19) over een zaak waarbij foto’s van kunstwerken werden geëmbed. Het is dus niet, zoals Mr het samenvat, dat je mag beslissen of je wordt geframed. Pas als je dat besluit kracht bijzet met een technische blokkade en die wordt omzeild, dán heb je een auteursrechtelijk punt.

De zaak speelde tussen de Duitse CBO voor beeldende kunst (VG Bild-Kunst) en een stichting voor Pruisisch Kunsterfgoed (SPK). Die laatste beheert een digitale bibliotheek, waarbij thumbnails doorlinken naar het oorspronkelijke (gedigitaliseerde) werk op de site van de eigenaren. De VG Bild-Kunst wilde namens haar leden toestaan dat ook hun kunst werd gedigitaliseerd, maar wilde daarbij niet dat de thumbnails door derden konden worden geëmbed. Zij eisten in de licentieovereenkomst dan ook een plicht om dit technisch te blokkeren.

SPK was het hier niet mee eens, omdat een dergelijke contractuele bepaling uit auteursrechtelijk oogpunt niet redelijk was. Embedden mag immers van het Svensson-arrest, dus hoezo moet SPK dat dan verhinderen? Die redelijkheid is van belang, omdat een collectieve organisatie zoals de VG geen onredelijke voorwaarden mag stellen. Dat leidde tot de stap naar het Hof van Justitie, die nu concludeert dat je zo’n eis wél mag stellen.

Inderdaad zegt Svensson dat je een legaal gepubliceerd werk mag embedden, framen of hotlinken (hoe je het maar noemt) zonder nadere toestemming van de rechthebbende. Die heeft het immers op internet gezet en daarmee aan heel internet beschikbaar gesteld. Niet alleen aan de directe bezoekers van de bronsite.

Alleen: in Svensson stond ook iets over het omzeilen van beschermingsmaatregelen. Dat las ik dus altijd als “het omzeilen van een betaalmuur”, zoals door het erbij geven van wachtwoorden of het spoofen van sessiecookies of dergelijke randzaken. Maar het Hof doet ineens een zijstap naar de “doeltreffende technische voorzieningen” die je niet mag omzeilen (artikel 29a Auteurswet, de DRM-bepaling) en concludeert nu dat iédere dergelijke voorziening die je op een bronwerk plakt, er voor zorgt dat je het niet meer mag embedden – die maatregel omzeilen is dan auteursrechtinbreuk.

Voor de webbouwers onder ons, het gaat dus inderdaad om maatregelen van het niveau “met Javascript top.location = self.location.href uit een frame springen” of via een Referer-check constateren dat een afbeelding niet door je eigen webpagina wordt opgehaald. Deze trucs hebben nu dus juridische backing gekregen: wie deze trucs omzeilt, schendt het auteursrecht met wat de herpublicatie is geworden van de geëmbedde werken.

Als troost zegt het Hof dan nog wel dat de rechter wel moet checken of de maatregelen “doeltreffend” zijn. Simpeler trucs (zoals een mededeling “u mag niet embedden” na een rechtermuisklikpopup of in de algemene voorwaarden) gaan dus niet op.

Krijg je meteen de vraag, wat in de vredesnaam is een “doeltreffende” maatregel. Daar is al discussie over sinds artikel 29a er is, en we lijken er nog steeds niet uit te zijn. In een Finse zaak (DeCSS) werd in hoger beroep gezegd dat een maatregel niet meer “doeltreffend” is als je er geen speciale software of trucs voor nodig hebt. Kan iedereen het met algemeen beschikbare standaardsoftware, dan is het niet meer doeltreffend.

Daar valt wat voor te zeggen, alleen hoe trek je dan de grens van “algemeen beschikbaar”? Is een Ubuntu-pakket dat je met één commando installeert al “algemeen beschikbaar”, of moet het in de distributie zitten? En is Ubuntu dan bekend genoeg of moet het Windows zijn?

En hier belangrijker: hoe pakt dat uit bij het embedden van afbeeldingen, zoals in deze zaak? Het omzeilen van zo’n referer check is net zo triviaal als de check zelf (yourRequest.setHeader();met de beoogde waarde), dus om nou te zeggen dat dit heel doeltreffend is, ik weet het niet. Daar staat tegenover dat je dit alleen doet omdat je last hebt van die blokkade, wat je kunt opvatten als “je wéét dat de eigenaar dit niet wil en dat ben je nu aan het omzeilen”. Maar dat betekent juridisch volgens mij niet meer dan dat het een maatregel is, niet dat die doeltreffend is. Een grote popup met “magniet!!1!” geeft je immers dezelfde informatie maar is zeker weten niet doeltreffend.

Arnoud

30 reacties

  1. Eigenlijk ben ik hogelijk verbaasd over de juridische weg die hier wordt bewandeld, in het bijzonder de hele discussie over wat doeltreffend is. Arnoud geeft zelf een hoop voorbeelden van mogelijke technische maatregelen, maar tussen de regels door lees je eigenlijk dat geen enkele doeltreffend kan zijn en altijd door tijd en/of techniek wordt achterhaald. Je wéét dus dat er rechtszaken gaan volgen die constant op dat doeltreffend blijven dooremmeren.

    Dan vraag ik me dus af waarom een vonnis niet simpelweg bepaalt dat als op enige wijze duidelijk kan zijn dat de eigenaar het embedden niet toe wil staan dat gewoon voldoende is. En dan is een popup op je rechtermuisknop plus een toevoeging in je image URLs zoals ’this-picture-name__DO-NOT-EMBED.png’ afdoende.

    Het is een beetje als wederrechtelijke toegang tot een woning: ik hoef helemaal niet een met 5 mm staal gepantserde voordeur met SKF-2036+hatseflats keurmerk sloten te hebben om duidelijk te maken dat je niet zomaar mijn woning in mag. Al is het maar een gesloten hordeur, als je binnen komt zonder toestemming heb jij in principe een probleem.

    1. Je verplaatst dan alleen maar de discussie van “doeltreffend” naar “duidelijk”. Stel ik heb een braakliggend terrein, ik zet op één erfgrens een miniem bordje “Verboden toegang”. Heb ik dan afdoende mijn terrein afgeschermd als zijnde privéterrein, zodat ik mensen op erfvredebreuk kan aanspreken? Ik zou zeggen van niet. Een ijzerdraad op paaltjes rondom het hele terrein voelt wel als het minste. Dus kennelijk is er dan een ondergrens. Net als bij huizen, als ik een deuropening zonder deur heb en ook geen tuinhekje, heb jij dan een probleem als je naar binnen gaat? Moet er iets dicht zijn, moet het kenbaar zijn als een huis, doet de deurmat “Welkom!” nog ter zake?

      In internet termen: is een robots.txt genoeg? Mag ik op mijn site in gewone tekst zetten “Niet embedden graag”? Algemene voorwaarden met vinkje? En moet ik rekening houden met mensen bij wie Javascript uit staat, zodat de popup niet werkt en met een klein scherm zodat ze “this-picture-na….png zien in hun browser?

      Ik denk dus niet dat men met “doeltreffend” bedoelt “houdt de meest bekwame inbreker buiten”, maar “geeft een redelijk niveau van onderscheid tussen wel en niet beschermd.

      1. Ik ben het niet helemaal met je eens, al is je onderscheid tussen duidelijk en doeltreffend wel een mooi kapstokje. Met duidelijk kan je vrij snel tot een oordeel komen op basis van common sense. Jouw genoemde paaltjes met een ijzerdraadje als minimum, plus eventueel een bordje, zijn duidelijk maar niet doeltreffend (je stapt zo over dat ijzerdraadje) maar dat zou toch voldoende moeten zijn naar mijn oordeel. Als je het criterium echter verlegt naar doeltreffend, dan raak je per definitie verwikkeld in een technische wapenwedloop waarbij je continu de grens verlegt en je op basis daarvan steeds nieuwe discussies uitlokt. Je legt daarmee ook de bewijslast bij het slachtoffer, die moet maar aantonen dat zhij voldoende maatregelen had genomen. Dat vind ik de verkeerde insteek: als je iets wilt embedden wat niet van jou is, als je een terrein wilt betreden wat niet van jou is, dan mag je op z’n minst enige onderzoeksplicht verwachten en daar naar moeten handelen in plaats van simpelweg kunnen zeggen ‘je beveiliging of notificatie was wel erg mager, jammer!’

        1. Dan lees je “doeltreffend” dus als “verhindert 99% van de pogingen”. Ik twijfel of dat de bedoeling was. Is zo’n ijzerdraadje niet doeltreffend dan? Het doel is mijn terrein markeren: niemand zal na zo’n draadje denken nog op de openbare weg te zijn. Ik geef toe, wie echt naar binnen wil die lukt dat. In die zin is een betonnen muur van zes meter hoog beter. Maar het lijkt me niet de bedoeling dat je pas bij het beklimmen van dergelijke muren mag zeggen dat iemand erfvredebreuk pleegt.

          1. Is zo’n ijzerdraadje niet doeltreffend dan? Het doel is mijn terrein markeren

            Hiermee loopt je argumentatie niet meer synchroon met het feitelijk thumbnail onderwerp: met een rechtermuisknop popup die meldt dat embedden niet mag en eventueel hetzelfde in de URL opgenomen lijkt me ook op dezelfde wijze voldoende en doeltreffende ‘markering’. Maar daar wordt toch de drempel opgeworpen dat de beveiliging niet te makkelijk omzeilbaar mag zijn want anders is het opeens niet meer doeltreffend . Dat is nu juist het hele punt wat ik aankaart. Bij het terrein vind je dat het voldoende en doeltreffend genoeg is dat het ijzerdraadje er is, maar bij de thumbnail moet het hekwerk dusdanig zijn dat je er niet zomaar overheen kan stappen want die URL en popup zijn minstens net zo duidelijk als dat ijzerdraadje. Scheef…

              1. Een ijzerdraad is een feitelijke blokkade. Een popuptekst is alleen een tekst, het verhindert niet het kopiëren van de URL en het embedden.

                Eh, nee…. De manier voor een simpele embed is: rechtermuisklik, ‘copy image URL’ en dan de boel in je eigen webpagina verwerken. Die actie wordt door de custom popup met melding onmogelijk gemaakt: je zal dan de source van de pagina moeten opvragen, de plek van de image moeten opzoeken, en nogmaals over de melding in de URL zelf heen moeten lezen terwijl je die handmatig selecteert. Die blokkade vindt ik minstens net zo licht/zwaar als dat ijzerdraadje waar je zo makkelijk overheen stapt.

                Dus net zoals dat ijzerdraadje én duidelijk maakt dat je het terrein niet zou mogen betreden én een minimale belemmering vormt (je stapt er zo overheen…), doet die popup precies hetzelfde: het geeft je een niet te missen melding, én vereist extra handelingen om uiteindelijk te kunnen embedden. Beide gevallen hebben een duidelijke intentie, beide gevallen zijn een niet-doeltreffende beveiliging. Ik vind de analogie nog steeds doeltreffend…

                Maar goed: nieuwe dag, nieuw interessant artikel!

  2. dat een maatregel niet meer “doeltreffend” is als je er speciale software of trucs voor nodig hebt.

    Ik vermoed dat die “niet” hier te veel is?

    -edit Arnoud: sorry, heb “geen” toegevoegd omdat dat taalkundig mooier leek.

  3. Omdat het om cultureel erfgoed gaat, vraag ik mij sterk af of er uberhaupt auteursrecht op die werken zit, 2D reproducties van werken in het publiek domein zijn immers niet creatief en komen dus niet voor auteursrecht in aanmerking. Daarmee is ook dat hele beroep op de juridische bescherming van DRM onredelijk — er zijn namelijk uberhaupt geen rechten te managen, alleen het recht van het publiek op toegang tot het cultureel erfgoed (UVRM, artikel 27, lid 1, wordt hier geschonden).

      1. Erfgoed is naar mijn idee iets dat we van een vorige generatie hebben geerfd. Werk van 20 jaar oud zal dan vaak hooguit potentieel erfgoed zijn. Maar goed, als ik een “technische voorziening” omzeil van een werk waar geen auteursrecht meer op drukt, dan lijkt mij dat prima in de haak, omdat die voorziening dan niet doeltreffend is. Ik denk hier bijvoorbeeld aan de zaak van de Britse National Gallery tegen Wikipedia over het screen-scrapen van hoge-resolutie scans van schilderijen in dat museum (https://en.wikipedia.org/wiki/NationalPortraitGalleryandWikimediaFoundationcopyright_dispute).

        1. In het Svensson arrest zei het Hof het nog zo:

          Indien daarentegen een aanklikbare link de gebruikers van de website waarop deze link zich bevindt, in staat stelt om beperkingsmaatregelen te omzeilen die op de website waar het beschermde werk zich bevindt zijn getroffen teneinde de toegang van het publiek te beperken tot de abonnees ervan
          Dit leek dus beperkt te zijn tot alleen situaties waarin je een betaalmuur had (of alleen maar een gratis inlog na registratie) en men dáár omheen ging met trucjes. In deze zaak rekt het Hof een en ander dus stevig op: niet alleen bij betaalmuren maar bij iedere afbeelding die je een referer-check geeft. Ik vind dat een forse verruiming.

          1. Hier zit de nuance anders:

            Ik refereer aan dit overzichtje hier

            De vraag die hier speelt is: mag je als rechthebbende de toegang beperken. (dus voorkomen dat je van rij 2 in het overzichtje naar rij 1 gedwongen wordt). Het antwoord daarop lijkt me logisch: ‘Ja’

            Mag je die dan ook zeer licht beperken (dus alleen technisch vragen om de links niet te embedden)? Ja natuurlijk.

            Ik vind het dus nog vrij mild wat VG Bild-Kunst vraagt. Als ze gewoon hadden gezegd: ‘eerst registreren, dan pas inzien’, had er geen haan naar gekraaid, en nu ze een veel milde beperking willen is dat ineens een probleem?

            De essentie zit hem er volgens mij in dat Svensson inderdaad zegt dat je legaal gepubliceerde content mag embedden, maar legaal gepubliceerd omvat twee aspecten: vrij toegankelijk en met toestemming van de rechthebbende gepubliceerd.

            Dat tweede is hier het geval, maar dat eerste niet.

            Het is niet omdat je over een bospad

            1. Ik zie je punt, maar de tegenreactie op het verzoek van VG vind ik ook wel terecht: ze vroegen iets dat (althans zo leek het) buiten het auteursrecht ging. Alsof ze zouden zeggen “je moet mensen verhinderen stukjes tekst te citeren uit onze boeken”. Als CBO naar Duits recht mogen ze geen eisen stellen die verder gaan dan het auteursrecht toestaat. Dus dan wordt het een principekwestie en die is nu uitgemaakt.

              1. Misschien ben ik heel dom, maar volgens mij draait deze hele zaak om: is het redelijk dat VG deze beperkende voorwaarden stelt?

                En de rest lijkt me vooral een rookgordijn. Svensson en alle technische overwegingen daarin spelen pas op voorwaarde dat het werk legaal openbaar gemaakt is, maar geven geen extra redenen om openbaarmakingen toe te staan.

                Svenson stelt niet dat openbaarmakingen onder bepaalde voorwaarden uitzonderingen zijn op het auteursrecht (dan zou SPK misschien een punt gehad hebben), zoals jouw voorbeeld van het citaat, maar dat bepaalde activiteiten onder bepaalde voorwaarde geen openbaarmakingen zijn. Dat is wat anders.

                1. Je hebt gelijk, het punt is inderdaad of de eis van VG redelijk is – wat wel neerkomt op, is het een eis die je onder het auteursrecht kunt stellen. Dit is namelijk een wettelijke grens voor een CBO zoals VG, die mogen geen eisen stellen die het auteursrecht te buiten gaat.

                  En daarom is de Svensson-redenering heel belangrijk, want die bepaalt inderdaad of embedden/hotlinken een vorm van inbreuk is of niet.

  4. Ik vraag mij af of de referrer-controle al afdoende kan zijn, indien dit resulteert in een melding dat direct linken dus niet mag. Want als je dan yourRequest.setHeader(); toepast dan weet je ook dat je de beveiliging aan het omzeilen bent. En dus dat je iets doet dat niet mag.

    Ik zie anders eigenlijk geen methode om je content te beschermen, tenzij je ook van je bezoeker gaat bijhouden op het IP adres van de bezoeker wel de home pagina heeft bezocht voordat de request werd gemaakt. Een verzoek om een afbeelding op mijn server zonder een eerder verzoek om een pagina vanaf hetzelfde adres zou dan nog afdoende kunnen zijn als beveiliging. Maar dan moet je weer meer geschiedenis van je bezoeker bijhouden, waarmee je weer problemen kunt krijgen met privacy…

    En dat brengt mij op een ander punt: mijn site heeft een cookie-popup die waarschuwt dat ik allerlei gegevens verzamel over mijn bezoekers en dat ze daar dus toestemming voor moeten geven. Maar een direct-link naar een afbeelding op mijn server zou die cookiemuur omzeilen, maar toch ervoor zorgen dat gegevens van de bezoeker worden bijgehouden op mijn systeem. Een schending van de privacy, dus. Wie is daar dan verantwoordelijk voor? Want die cookie-popup wordt omzeild door die andere website.

  5. Simpeler trucs (zoals een mededeling “u mag niet embedden” na een rechtermuisklikpopup of in de algemene voorwaarden) gaan dus niet op.

    Waarom is de rechtermuisklikpopup te simpel? Als de wederpartij kan aantonen dat je de URL hebt achterhaald door JS uit te schakelen, heb je denk ik een probleem als je aan een rechter moet uitleggen, want daarvoor moet je best diep in de opties duiken. Ik zou betogen dat zo’n popup überhaupt niets van doen heeft met embedden, omdat je de URL van een plaatje op tig manieren kunt achterhalen en embedden an sich niet wordt voorkomen (itt bij een referercheck).

    En hier belangrijker: hoe pakt dat uit bij het embedden van afbeeldingen, zoals in deze zaak? Het omzeilen van zo’n referer check is net zo triviaal als de check zelf (yourRequest.setHeader();met de beoogde waarde)
    Je kunt de referer niet aanpassen tenzij je het gebruik van een browser add-on op je site verplicht stelt. Je kunt hier dus geen plaatjes van nos.nl inladen en daarbij een referercheck van nos.nl omzeilen (als die check zou bestaan). Een referercheck is dus effectief.
    “met Javascript top.location = self.location.href uit een frame springen”
    Dat gaat tegenwoordig niet meer als de sandbox-property van een iframe wordt gebruikt. Via zo’n sandbox kun je JS in een iframe uitschakelen, of je kunt voorkomen dat top.location wordt gewijzigd.

    1. Je maakt een denkfout als het om die referrer gaat. Je kunt namelijk plaatjes vanaf een andere website op je eigen pagina laden door middel van JavaScript. Je begint dan met een placeholder in je DOM voor waar het plaatje geladen moet worden en je JavaScript op dezelfde pagina geeft dan aan dat er een plaatje geladen moet worden in de placeholder. Volgens mij moet je daarbij een (valse) referrer bij door kunnen geven.

      Ik kan mij vergissen, hoor. Maar asynchroon plaatjes laden zou dit volgens mij mogelijk maken.

    2. Waarom is de rechtermuisklikpopup te simpel?

      Omdat afbeeldings-URLs gewoon in de openlijk leesbare broncode van een website staan, en er legio manieren zijn om die uit te lezen zonder handmatig op elke afbeelding te klikken, of omdat een dergelijk ‘rechter-muisknop’-script vaak niet werkt op een touch device en de notificatie dan dus niet wordt weergegeven.

      Er zouden dan toch eerder inderdaad referer-checks geconfigureerd moeten worden, of op zijn minst een ‘do not embed’-policy op de website opgenomen moeten worden die voldoende duidelijk is aangegeven, en niet enkel zichtbaar is via één specifieke handeling die wel of niet uitgevoerd kan worden.

      1. Als je via google op afbeeldingen zoekt, en dan ‘view image’ doet keijg je die rechtermuisknop-popup nooit te zien. En ook geen enkele andere melding van de site. Die gaat gewoon direct naar het plaatje.

            1. De conclusie die ik trok is dat zonder anti embed maatregelen het dus nog steeds mag.

              Dus je zoekt in het mooi gecategoriseerde Shutterstock een afbeelding die je wil gebruiken.

              Met Tin-Eye zoek je waar die afbeelding allemaal gebruikt wordt en checkt of daar een site tussen zit die geen maatregelen tegen embedden heeft genomen. En Bob’s your uncle…

              Maar uiteraard kan je dat met elke afbeelding die je achter een embed bescherming vindt doen. Kijken met tin eye of er een site is die dit heeft nagelaten en die gebruik je voor jouw embeds. Veel afbeeldingen op Medium kan je zonder trucjes direct embedden. Veel Medium gebruikers halen de afbeeldingen bij Getty en Shutterstock. Overigens zijn niet alle afbeeldingen op medium embeddable, ik heb niet verder uitgezocht waarom de ene wel en de andere niet.

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.