Auteur: Arnoud Engelfriet

About Arnoud Engelfriet

Website::Subscribe Feeds

Je personeel bespioneren met camera’s, wanneer mag dat?

Geplaatst op in Ondernemingsvrijheid, Security, 24 reacties

media-markt-cameratoezicht-foto-mania-posterMedia Markt heeft in vijf vestigingen in Nederland personeelsleden met geheime camera’s gefilmd, las ik bij z24. Een ‘mystery shopper’ met verborgen camera filmde zijn interactie met het personeel, en achteraf werden werknemers hiermee geconfronteerd. In het artikel verdedigt de Media Markt zich met het argument dat men de beelden alleen voor “interne trainingsdoeleinden” zou inzetten, wat net zoiets is als een verbeterde gebruikservaring of zorgvuldig geselecteerde derden: klinkt goed, het zegt alleen niets. Wanneer mag je nu je personeel filmen?

Er zijn twee wetten die een rol spelen bij cameratoezicht: de strafwet en de Wet bescherming persoonsgegevens. Die laatste speelt een rol zodra je beelden opslaat op een manier dat je er eenvoudig in kunt zoeken, meestal bij digitale opslag omdat er dan timecodes en zo aan vast zitten. Als je alleen live meekijkt (een deurbelcamera bijvoorbeeld) is er geen sprake van een verwerking. En ja, camerabeelden zijn persoonsgegevens want je kunt er kenmerken van mensen op zien. Bijzondere persoonsgegevens zelfs.

Met de strafwet zijn we snel klaar. Een aangebrachte camera die de openbare ruimte filmt, mag mits er duidelijk voor is gewaarschuwd. Een camera die een besloten ruimte filmt, vereist een waarschuwing én een belangenafweging. Ook bij niet-aangebrachte camera’s, dus ja als je op een verjaardag met de handycam gaat zwaaien dan moet je dat even aankondigen.

Volgens het College Bescherming Persoonsgegevens (Cbp) mag een personeelslid alleen worden gefilmd als er een vermoeden is van fraude of diefstal, staat er in het artikel. Dat is nou ook weer wat streng geformuleerd. De nieuwslezers van RTL worden echt niet gefilmd omdat ze verdacht worden van fraude. Wél is het zo dat als je het niet vooraf bekend maakt, je dit moet melden bij het Cbp en die kunnen dan een voorafgaand onderzoek starten om te bepalen of het door de beugel kan.

Hoofdregel bij de Wet bescherming persoonsgegevens is dat je toestemming nodig hebt om iemands persoonsgegevens te verwerken. Dat geldt dus ook voor cameratoezicht. Maar in de meeste gevallen wordt op het werk zonder toestemming gefilmd. Je valt dan terug op de “eigen dringende noodzaak die zwaarder weegt dan de privacy” zoals dat heet. Een belangenafweging. En wat het Cbp hiermee zegt, is dat die afweging eigenlijk altijd neerkomt op dat het niet mag, tenzij bij zo’n vermoeden van fraude of diefstal.

Filmen voor trainingsdoeleinden of evaluatie van iemands performance lijkt me op zich geen probleem, mits het vooraf gemeld is. En hoe heimelijker het gefilm, hoe meer je daarbij zult moeten uitleggen vooraf. De camera-opstelling bij de interne training lijkt me geen probleem, maar zo’n mystery shopper voelt wel iets ernstiger. Hoewel je natuurlijk bij die melding niet hoeft te zeggen “de persoon met de camera is 1.80 lang en heeft rood haar” of zo. Zeggen dát er gemystershopt met camera wordt, zou al genoeg moeten zijn.

Wel denk ik dat de beelden in principe alleen aan de medewerker zelf (en zijn manager en HR) vertoond mogen worden. Ze vertonen in de bioscoop waar al het personeel verplicht moest opdraven, gaat me iets te ver. Dat leidt al snel tot voor gek staan. En ik denk dat dáár dan ook de ophef vandaan komt. Als de mysteryshopper alleen had gefilmd bij wijze van ondersteunend bewijs, en ze waren alleen vertoond als de medewerker de gang van zaken zou betwisten, dan zie ik het probleem niet.

Arnoud

UPC introduceert fair use policy, is dat niet oneerlijk?

Geplaatst op in Informatiemaatschappij, 35 reacties

UPC hanteert vanaf deze week een fair use policy, meldde Tweakers gisteren. Klanten die meer dan vijf keer dan het gemiddelde verbruiken, kunnen een boete krijgen. Nu heb ik zelden zo’n vage FUP gelezen, dus dat roept de vraag op: mogen ze dat eigenlijk wel?

Eerst even een verplichte mededeling van de afdeing Communicatie: “Een Fair Use Policy (FUP) is geen datalimiet. UPC heeft geen datalimiet op haar internetabonnementen.” Want iemands abonnement (tijdelijk) wijzigen naar een lagere snelheid als hij een FUP overtreedt, is héél wat anders dan iemand afknijpen als hij een datalimiet bereikt. Dat u het even weet.

Het juridische probleem met fair use policies is dat ze (per definitie) onduidelijk zijn: wat is fair immers. En hoewel het recht altijd een stukje onduidelijkheid in zich heeft, loop je hier dan tegen het punt aan dat een fair use policy een oneerlijke handelspraktijk kan zijn. Hoe veel je mag up- en downloaden is immers nogal essentieel, en het weglaten of slechts vaag presenteren van essentiële informatie mag niet. In het bijzonder noemt de wet als essentieel:

b. de voornaamste kenmerken van het product, zoals beschikbaarheid, voordelen, risico’s, uitvoering, samenstelling, accessoires, klantenservice en klachtenbehandeling, procédé en datum van fabricage of verrichting, levering, geschiktheid voor het gebruik, gebruiksmogelijkheden, hoeveelheid, specificatie, geografische of commerciële oorsprong, van het gebruik te verwachten resultaten, of de resultaten en wezenlijke kenmerken van op het product verrichte tests of controles;
d. de prijs of de wijze waarop de prijs wordt berekend, of het bestaan van een specifiek prijsvoordeel;

Beiden lijken me zeer relevant voor een FUP. De uitvoering en levering van de dienst worden er direct door beïnvloed (afknijpen) en ook de prijs verandert (je gaat naar een duurder abonnement). Bovendien wéét je niet wanneer je een FUP overtreedt. Wanneer haal ik “meer dan vijf keer de gemiddelde gebruikte datahoeveelheid van alle abonnees met hetzelfde type abonnement”? Hoe weet ik dat? Nou ja, niet – want UPC meldt doodleuk dat ze me dat níet gaan vertellen:

Het is niet mogelijk om via UPC te controleren wat uw datagebruik is. Er zijn wel gratis verbruiksmeters te downloaden op het internet. UPC bepaalt of uw gebruik overmatig is.

Eh. Dus UPC bepaalt en ik heb dat maar te slikken?

Een schending van netneutraliteit is het niet; immers het afknijpen of extra belasten gebeurt objectief, zonder te kijken naar het soort verkeer. Wel is het mogelijk in strijd met het opzegverbod: samen met netneutraliteit staat er namelijk ook in de Telecommunicatiewet onder welke voorwaarden een IAP je contract mag opzeggen:

Een aanbieder van een internettoegangsdienst aan een eindgebruiker kan de levering van deze dienst slechts geheel of gedeeltelijk beëindigen of opschorten:
a. op verzoek van de abonnee;
b. bij een tekortkoming in de nakoming van de betalingsverplichting door de abonnee of faillissement van de abonnee;
c. bij bedrog in de zin van artikel 3:44 van het Burgerlijk Wetboek door de abonnee;
d. wanneer de looptijd van de overeenkomst van bepaalde duur tot levering van de internettoegangsdienst afloopt en de overeenkomst met instemming van de abonnee niet wordt verlengd of vernieuwd;
e. ter uitvoering van een wettelijk voorschrift of rechterlijk bevel; en
f. bij overmacht en onvoorziene omstandigheden in de zin van artikel 6:258 van het Burgerlijk Wetboek.

Goed, je kunt discussiëren of “gedeeltelijk opschorten” hetzelfde is als “afknijpen” maar ik zie “excessief gebruik door de abonnee” niet als grond hier genoemd. En nee, UPC komt er ook niet met “maar het staat in de algemene voorwaarden” want óók “overtreding van de algemene voorwaarden” staat niet in dit artikel. (En nee, UPC of een collega-IAP mag je dus óók niet afsluiten wegens abuse want abuse staat er óók niet.)

Natuurlijk mag je je contract opzeggen wanneer UPC dit doorvoert. Dat recht heb je bij iedere nadelige contractswijziging, en introductie van een FUP is nadelig. Maar dat is een nogal waardeloos recht: meestal heb je weinig keus qua televisie- en internetproviders. Ik zou dus liever hebben dat de OPTA, pardon Autoriteit Consument en Markt, dit gewoon verbiedt.

Arnoud

“Komt u maar terug met een gerechtelijk bevel”

Geplaatst op in Ondernemingsvrijheid, 34 reacties

bevel-crimesite.pngHet klinkt ontzettend stoer: “In verband met de privacy/vrije meningsuiting van onze klant/onze positie als neutrale tussenpersoon geven wij geen gehoor aan uw verzoek tot weghalen/afgifte NAW gegevens. U dient een gerechtelijk bevel te overleggen.” Maar juridisch houdbaar is het niet. Ook private partijen kunnen gegevens opeisen of dingen laten weghalen zonder dat een rechter zich daar vooraf over heeft gebogen.

Het standpunt “geen persoonsgegevens zonder gerechtelijk bevel” is over komen waaien uit de VS. Daar speelt internetrecht als vakgebied al wat langer dan hier, en veel van onze vroege algemene voorwaarden en FAQs zijn dan ook simpelweg vertaalde Amerikaanse documenten. De “subpoena” en “court order” die men daar eist, zijn volgens het woordenboek bij ons “gerechtelijk bevel” dus dat zal dan ook wel bij ons de eis zijn, toch?

In Nederland werkt het echter anders. Je bent aansprakelijk als je zaken niet weghaalt terwijl het onmiskenbaar is dat deze tegen de wet zijn. En de Hoge Raad bepaalde in het Lycos/Pessers-arrest dat ook het weigeren NAW-gegevens te geven onrechtmatig is, als voldoende duidelijk is dat deze behoren wél te worden afgegeven. Hier komt geen voorafgaande gerechtelijke toets bij kijken: dat is immers nooit het geval bij onrechtmatig handelen. Wie onrechtmatig handelt, moet de schade vergoeden – en niet pas vanaf het moment dat de rechter bevestigt dat de handeling onrechtmatig was.

Natuurlijk, in twijfelgevallen kun je zeggen: we laten de rechter bepalen óf het onrechtmatig is. Maar formeel is dat een achterafvaststelling, en dat betekent dat de schade die in de tussentijd geleden is door het bericht te laten staan, gewoon vergoed moet worden.

Maar weinig mensen willen aan de uitspraak in Lycos/Pessers. Met name de grote internetproviders weigeren in mijn ervaring categorisch ieder verzoek om afgifte op basis van een klacht, en verwijzen naar de rechter. Mogelijk dat deze houding ingegeven wordt door bureaucratie of onwetendheid bij de klachtendesk (never attribute to malice what can be attributed to incompetence). Ook denkbaar is dat men erop gokt dat de klager tóch niet gaat procederen. Een gok die in 90% van de gevallen juist is, want wie de rechtspraak erop naslaat komt afgezien van de onvermijdelijke stichting Brein slechts een handjevol eisers tegen.

Dat een dergelijke houding daadwerkelijk gevolgen kan hebben voor de provider, blijkt uit de XSnetworks-zaak. In deze zaak had stichting Brein NAW-gegevens geëist van een hostingprovider, maar niet alles gekregen dat de provider tot haar beschikking had. De rechtbank vond dat XSnetworks daarmee onrechtmatig had gehandeld en veroordeelde haar tot betaling van de schade die Brein had geleden, op te maken bij staat. Pijnlijk dus voor providers die menen een gerechtelijk bevel te kunnen verlangen.

En nee, ook deze blog gaat geen bal veranderen aan die opvattingen. Maar je moet toch wát.

Arnoud

Moet mijn contactformulier SSL-beveiligd zijn?

Geplaatst op in Privacy, Security, 28 reacties

https-secure-secuur-netwerkEen lezer vroeg me:

Op mijn site wil ik een contactformulier toevoegen. Nu las ik dat je dan verplicht een SSL-verbinding (https) toe te passen, dat is nogal een dure grap voor mij. En toen zag ik dat jij op je blog geen SSL-verbinding hanteert, niet bij je contactformulier en niet bij het plaatsen van reacties. Dus mag ik dan concluderen dat het niet hoeft?

Met een contactformulier sturen mensen persoonsgegevens in. De wet eist dat je die persoonsgegevens ‘adequaat’ beveiligt tegen misbruik en ongeautoriseerde toegang. Een SSL-beveiliging is de meest voor de hand liggende en simpelste manier om dit te doen, vandaar dat vrijwel iedereen dat middel toepast bij bestel- en contactformulieren.

De wet zegt echter nergens létterlijk dat SSL-beveiliging verplicht is. Sterker nog de wet bepaalt eigenlijk nergens überhaupt letterlijk welke maatregelen genomen moeten worden. Je moet als beheerder/exploitant van een site zelf bepalen welke maatregelen gepast zijn gezien de aard van de informatie en het mogelijk misbruik daarvan.

Bij een bestelformulier op een website stuur je allerlei gegevens op waarmee je een juridisch bindende bestelling plaatst, vaak inclusief betaalgegevens (creditcardnummer). Die kunnen worden gesnift en hergebruikt, en dat is wel ernstig genoeg om beveiliging bij het verzenden te vereisen.

Maar bij een blogcommentaarformulier? Oké stel iemand zit in hetzelfde internetcafé als jij, monitort het draadloze netwerk en onderschept je naam en reactie. En dan? Dan kan hij ook reageren op mijn blog. En de reactie te weten komen, drie seconden voordat deze online gaat voor de hele wereld. Nou en?

Het enige stukje echt vertrouwelijke informatie is het e-mailadres, dat ik als beheerder wel zie maar de andere reageerders niet. Tsja. Is de kans op misbruik van dat e-mailadres groot genoeg om een SSL verbinding op dat formulier te rechtvaardigen?

Arnoud

Mag Spamhaus eigenlijk wel een spammerszwartelijst publiceren?

Geplaatst op in Privacy, Security, 78 reacties

De grootste DDoS-aanval uit de geschiedenis, heet het met enige retoriek. Zelfbenoemd spambestrijder Spamhaus was vijf dagen onbereikbaar door een gigantische hoeveelheid dataverkeer. De reden heeft te maken met het feit dat Spamhaus de hosters Cyberbunker en CB3ROB als spammer of spammersvriend had aangemerkt. Dit omdat deze geen maatregelen nemen als Spamhaus vindt dat hun klanten spammen.

Tegenover webwereld zegt Sven Kamphuis van CB3ROB:

Ze denken dat ze de baas op internet, maar wíj zijn de baas. Op deze manier willen wij hun dubieuze rol in het daglicht zetten. Het is een slecht idee om censuur uit te besteden aan een vaag clubje dat aan niemand verantwoording aflegt.

Hetgeen de vraag oproept: mág Spamhaus inderdaad zomaar roepen “partij X is een spammer” volgens zelfbedachte criteria?

Nou ja, op zich natuurlijk wel. Vrijheid van meningsuiting en zo. Alleen, Spamhaus is niet zomaar een pipo met een blog die een mening produceert (zoals ik) maar een invloedrijke organisatie wiens meningsuiting directe gevolgen heeft. Als ik zeg “X is een spammer” dan gebeurt er verder weinig, als Spamhaus dat zegt (middels toevoeging aan hun blacklist) dan kan X ineens niet meer mailen.

Natuurlijk, daar zit geen spatje dwang achter: een heleboel providers luisteren op vrijwillige basis naar Spamhaus en hebben ooit bedacht dat zij volautomatisch de partijen gaan blokkeren die de spambestrijder aanwijst. Dat is hun keuze, en niet die van Spamhaus – niemand hóeft hun blacklist te hanteren, toch?

In 2000 wilde de Vereniging tegen de Kwakzalverij “een zo objectief mogelijke lijst presenteren van de kwakzalvers die [in de 20e eeuw] de hoofdrol vertolkten”. Een orthomanueel genezer maakte bezwaar tegen vermelding in de lijst, omdat hij naar eigen zeggen absoluut geen kwakzalver was. De Hoge Raad oordeelde dat de lijst legitiem was als vrije meningsuiting, met name omdat de Vereniging een eigen duidelijke definitie had geschreven waar de genezer aan voldeed. Dat andere media de lijst overnamen zonder die genuanceerde definitie erbij, kon niet voor rekening van de Vereniging komen.

Daarbij is in aanmerking te nemen dat de Vereniging c.s. blijkens de vaststellingen van het hof het grote publiek willen waarschuwen voor wat zij als kwakzalverij beschouwen, en dat zij zelf door de inhoud en context van hun publicaties geen onduidelijkheid laten bestaan over wat zij daarmee bedoelen.

In 2012 vorderde een chiropractor bij de Amsterdamse rechter dat het de Reclame Code Commissie verboden zou worden een uitspraak te doen over zijn reclame. De rechtbank bepaalde echter dat ook de RCC gewoon vrijheid van meningsuiting heeft en dus mag zeggen wat zij vindt van de praktijken van de man.

De omstandigheid dat de uitspraken van de Commissie als gezaghebbend worden ervaren en dat haar aanbevelingen op grote schaal worden nageleefd, hetgeen de SRC onbetwist heeft aangevoerd, geeft er slechts blijk van dat de SRC een in de reclamewereld bestaande behoefte aan een systeem van toezicht op de wijze waarop reclame wordt gemaakt bevredigt en is een teken dat de SRC in de verwezenlijking van haar statutaire doelstellingen succesvol is gebleken.

In beide zaken schemert wel door dat het belangrijk is dat je duidelijke maatstaven hanteert over wanneer iemand een kwakzalver, oneerlijke-reclameman of spammer is. Ook moet je daar op een eerlijke manier aan toetsen.

En hoe gezaghebbender je bent, hoe zorgvuldiger je moet zijn. Sta je bekend als objectieve beoordelaar, dan moet je zorgen dat je dat blijft. Dat zagen we bij een rechtszaak tegen de Consumentenbond:

Gegeven de invloed die aan zijn oordelen wordt gehecht, dient de informatieverstrekking en advisering [van de Consumentenbond] deskundig, objectief en duidelijk te zijn. Gezien de reputatie van de Consumentenbonden de impact van door hem ingenomen standpunten, dient de wijze waarop de Consumentenbond met die standpunten naar buiten treedt te voldoen aan hoge eisen van zorgvuldigheid, duidelijkheid en neutraliteit.

Alles bij elkaar zie ik dan ook voor Spamhaus geen probleem om te publiceren wie zij spammer acht, mits ze daar duidelijke criteria voor hanteert en objectief handelt. De criteria zijn er, en er is een snelle procedure voor verwijdering als je meent dat je onterecht opgenomen bent. Dat lijkt me dus in theorie prima in orde.

Wel bekruipt me het gevoel dat veel providers érg makkelijk lijsten als Spamhaus volgen. En dat is toch wel opmerkelijk. Niemand koopt blindelings op basis van wat de Consumentenbond zegt, en uitspraken van de Reclame Code Commissie leiden ook niet tot volautomatische advertentieblokkades bij de (vrijwillig) aangesloten uitgeverijen. Waarom doen we dat bij e-mailspam eigenlijk wel?

Arnoud

Mag ik een per e-mail gedane bestelling annuleren?

Geplaatst op in Ondernemingsvrijheid, Privacy, 27 reacties

Een lezer vroeg me:

Bij een webwinkel vond ik een product dat ik zocht, op wat details na. Ik heb toen de winkelier gemaild en na wat discussie waren we eruit wat ik nodig had. Via mail het akkoord gegeven. Helaas viel het na ontvangst tóch tegen, dus ik wilde het terugsturen via de Wet koop op afstand. Maar de winkel accepteert dat niet! Sta ik nu in mijn recht?

Ik vermoed van niet. Een koop op afstand mag je als consument inderdaad annuleren binnen zeven werkdagen, maar dan moet er wel sprake zijn van een koop op afstand volgens de wet. En die bepaalt dat iets een koop op afstand is als er een “systeem voor verkoop of dienstverlening op afstand” wordt ingezet zodat je de overeenkomst kunt sluiten via een website, telefoon of ander communicatiemiddel (art. 7:46a BW).

Nu is een webwinkel met shopping cart en zo natuurlijk een “systeem”, maar dat systeem moet dan wel gebrúikt zijn om die overeenkomst te sluiten. Ga je los van de shop zitten mailen met de winkelier, en geef je dan ook via de mail akkoord, dan heb je niet via het systeem besteld.

Een systeem dat werkt per mail is op zich mogelijk. E-mail is een techniek voor koop op afstand, net zo goed als een website. Maar los mailtjes heen en weer sturen kan ik echt niet zien als een “systeem”, daar zit voor mij echt een flinke component automatisch handelen in. Een autoresponder of script dat mails analyseert en daar acties op onderneemt (stuur mail naar jaikwil@ en krijg uw bevestiging in de mail) zou voor mij wel het minste zijn.

Meer algemeen is er nog de regel dat een “overeenkomst langs elektronische weg” te annuleren is wanneer de verkoper niet aan bepaalde informatieplichten heeft voldaan. Zo moet hij melden hoe die overeenkomst tot stand gaat komen, hoe je (eventueel) een kopie daarvan te pakken krijgt, en hoe je kunt annuleren voordat je definitief akkoord gaat (art. 6:227b BW). Maar ook bij deze regel is er een uitzondering voor e-mail:

… is niet van toepassing op overeenkomsten die uitsluitend door middel van de uitwisseling van elektronische post of een soortgelijke vorm van individuele communicatie tot stand zijn gekomen.

Ergens wel logisch, want als je met elkaar mailt dan is dat zo’n individueel contact dat je daar eigenlijk geen regels voor standaardbestellingen op van toepassing wilt laten zijn. Maar het wringt wél met de wet koop op afstand, want ook na zo’n individueel contact kan het product tegenvallen. En dan heb je dus pech.

Arnoud

Zweedse overheid schrapt ‘ongoogelbaar’ uit woordenboek

Geplaatst op in Ondernemingsvrijheid, Uitingsvrijheid, 26 reacties

Capture-1Na druk van Google heeft de Zweedse overheid ‘ongoogelbaar’ van de lijst met nieuwe woorden geschrapt, meldde Nu.nl dinsdag. De Zweedse Taalraad wilde het woord opnemen in het officiële woordenboek met de definitie ‘iets dat niet gevonden kan worden met behulp van een zoekmachine’, maar de zoekmachine zat fel op z’n merk en eiste dat ‘een zoekmachine’ vervangen zou worden door de eigen bedrijfsnaam. In reactie daarop schrapte de Taalraad het hele woord.

In een recente blogdiscussie kwam het ook al even aan de orde. Merkhouders houden er niet van als mensen hun merk als soortnaam of generieke term gaan gebruiken. Een merk verliest zijn geldigheid namelijk als het een generieke term is geworden, en als je dat wilt voorkomen dan moet je er dus bovenop zitten en overal en altijd piepen als mensen je merk als generieke term hanteren.

Ja, dat geldt ook bij niet-commercieel gebruik. Júist bij niet-commercieel gebruik zou ik zeggen, want juist daar vind je het generiek gebruik. Doe jij de luxaflex even dicht, dan zet ik een senseootje met m’n nieuwe Krupps, ondertussen even msn’en op facebook. Die zin levert me vier blafbrieven op van merkhouders gok ik. Maar als ze dat niet doen, dan wórdt senseo de generieke term voor koffiepad en msn’en synoniem voor chatten. (De term koffiepad is niet voor niets heel expliciet gemarket naast het merk Senseo.)

In de IT speelt dit heel erg, omdat nieuwe diensten vaak zó nieuw zijn dat er geen alternatieve term voor is. Of omdat de dienst zodanig synoniem is met de activiteit dat er geen ander woord bruikbaar is. Een avondje msn’en is gewoon gevoelsmatig wat anders dan een avondje chatten. Googelen bekt beter dan zoeken. En wat moet je anders zeggen dan “Facebooken” als je op het sociale netwerk gaat rondhangen?

Nu is dat op zich nog geen genericide – ja zo heet dat onder merkenmensen, en ja dat stelt volkerenmoord op één lijn met het verlies van een merk, maar dat terzijde. Maar het wordt het wel als je de term buiten de originele dienst gaat gebruiken. Ga je googelen met Bing dan verliest het merk Google waarde, wordt het synoniem voor zoeken. En dat is dus waarom Google die boze brief stuurde.

De reacte van de Taalraad snap ik dan weer niet. Met een disclaimer dat het gaat om een merknaam en/of een iets handiger definitie kunnen ze écht hun juridische case steviger maken. (Hela, Arnoud die zegt dat een disclaimer nut heeft.) Maar men is principieel en weigert dus te luisteren naar een merkhouder. Beetje rare reden, dat. Laat het dan op een rechtszaak aankomen.

Arnoud

Kan een Youtuber me verbieden zijn films te embedden op mijn site?

Geplaatst op in Intellectuele rechten, 12 reacties

youtube-logo.pngEen lezer vroeg me:

Op mijn site bied ik diverse filmpjes aan met relevante informatie voor mijn bezoekers. Deze embed ik vanaf Youtube, met de gewone code die Youtube daarvoor biedt. Nu kreeg ik gisteren een boze mail van een Youtuber dat ik dit niet mocht, omdat hij me als concurrent zag en hij niet met mij geassocieerd wilde worden. Maar kán hij dat wel?

Ik denk niet dat hij dit kan. Embedden is een feature van Youtube, en wie die feature aanzet (je kúnt embedden uitzetten) kiest ervoor toe te staan dat een ieder die embedded player opneemt.

De voorwaarden van Youtube zijn nogal generiek, maar embedden van wat daar de “YouTube Player” heet lijkt me echt gewoon toegestaan. En daarbij is er geen ruimte voor onderscheid van het soort “behalve door een concurrent” of “totdat ik hem mail en zeg, kap daar eens mee”. De grenzen liggen meer op het gebied van “concurreren met Youtube zelf”: je mag geen advertenties rondom een filmpje zetten bijvoorbeeld, of geld vragen voor een overzichtspagina met alleen filmpjes.

Volgens mij geef je dus als Youtuber gewoon iedereen een licentie om je video te bekijken én om deze te embedden, als je dat aan hebt staan. Maar toen ik dit terugmailde naar de boze Youtuber, kreeg ik een snauw terug dat ik maar eens moest lezen dat de Auteurswet dit via de persoonlijkheidsrechten geregeld had. Eh, oké.

De persoonlijkheidsrechten zijn rechten die je als maker altijd hebt, zelfs als je je auteursrecht afstaat. Met deze rechten wordt je integriteit en goede naam als maker beschermd, geheel los van eventuele commerciële rechten op je content. Zo kun je altijd eisen dat je naam wordt vermeld bij een publicatie van het werk, en dat het werk niet mag worden gewijzigd – voor zover dat niet in strijd met de redelijkheid is. Die rechten kun je opgeven, maar dat moet wel apart en expliciet worden bepaald.

Het recht om je te verzetten tegen verminking – en daar doelde de boze Youtuber op – kan niet worden opgegeven:

het recht zich te verzetten tegen elke misvorming, verminking of andere aantasting van het werk, welke nadeel zou kunnen toebrengen aan de eer of de naam van de maker of aan zijn waarde in deze hoedanigheid

En de boze Youtuber las dit als “als mijn filmpje op die vage site verschijnt, wordt mijn goede naam aangetast”. Of zoiets. En nee, dat klopt niet natuurlijk. Want het enkele embedden van een film is nog geen “misvorming, verminking of aantasting” van die film.

Natuurlijk is het in zijn algemeenheid verboden een valse indruk te wekken dat je geaffilieerd bent met een ander, zeker als die ander een directe concurrent van je is. Maar als je ‘gewoon’ een filmpje opneemt waarin men iets uitlegt, zie ik niet hoe die indruk kan ontstaan. Dus bzzt dat was fout, u bent af.

Arnoud

Meesurfen met internet van de buren toch wél computervredebreuk

Geplaatst op in Security, 29 reacties

Oké dus toch. Meeliften bij het internet van de buren is wel degelijk computervredebreuk, bepaalde de Hoge Raad gisteren. In 2011 had het Gerechtshof nog bepaald dat hiervan geen sprake is omdat een router geen “geautomatiseerd werk” is in de zin van de strafwet. Maar het was toch echt de bedoeling van de wetgever om inbreken op netwerken onder computervredebreuk te rangschikken.

In deze strafzaak had een jongen via het netwerk van de buren op het NSFL-imageboard 4chan een dreigende tekst geplaatst (“I”ll go and kill some peeps from my old school”). In het hoger beroep had het Gerechtshof bepaald dat dat meeliften bij dat netwerk niet strafbaar was (het dreigen zelf wel), want de wet (art. 80sexies Strafrecht) definieert een ‘geautomatiseerd werk’ als

een inrichting die bestemd is om langs elektronische weg gegevens op te slaan, te verwerken en over te dragen.

Het Hof interpreteerde die “en” als een AND: een apparaat moet alle drie die dingen doen met (een gegeven set) gegevens. En een router doet dat niet, want die slaat de gegevens die hij routeert niet op. Derhalve is het onmogelijk computervredebreuk op een router te plegen.

De Hoge Raad raadpleegde de wetsgeschiedenis en ontdekte dat de wetgever toch echt bedóeld had om ook inbraak op netwerken onder computervredebreuk te rekenen:

Artikel 80sexies Sr, zoals dit wordt aangevuld door het onderhavige wetsvoorstel, definieert geautomatiseerd werk als een inrichting die bestemd is om langs elektronische weg gegevens op te slaan, te verwerken en over te dragen. Met dit begrip worden op zichzelf staande computers aangeduid, maar ook netwerken van computers en geautomatiseerde inrichtingen voor telecommunicatie. Van belang is wel dat de inrichting zowel gegevens kan opslaan als deze verwerken én overdragen.” (Kamerstukken II, 2004-2005, 26 671, nr. 10, blz. 31)

Het hoeft dus niet per se om één apparaat te gaan waar je alle drie die functies mee kunt uitvoeren. Een netwerk met apparaten dat in zijn totaliteit in staat is tot zenden, ontvangen en opslaan is ook goed. Daarmee was dat netwerk van de buren van de /b/tard wel degelijk een ‘geautomatiseerd werk’ waar hij op binnengedrongen was.

Een rechter is dus een DWIM compiler van het recht. Wetten moet je niet alleen letterlijk lezen, de bedoeling is soms belangrijker dan de tekst.

Arnoud

Mijn oude werkgever herpubliceert mijn artikelen!

Geplaatst op in Intellectuele rechten, Ondernemingsvrijheid, 15 reacties

anoniem-pseudoniem-nickname-bijnaam-naam.pngEen lezer vroeg me:

Ik heb een aantal jaar gewerkt bij een online nieuwssite en ben onlangs overgestapt naar de concurrent. Echter, nu zie ik dat mijn ex-werkgever oude artikelen van mij herpubliceert met mijn naam erbij. Dat leidt dus tot de gekke situatie dat mensen denken dat ik bij allebei die bedrijven werken. Wat kan ik hieraan doen?

Als je als werknemer teksten schrijft, heeft de werkgever daarop het auteursrecht. Tenminste, als de teksten binnen het kader van je dienstverband vallen. Maar dat lijkt me wel het geval bij iemand die als journalist werkt (in loondienst) bij een nieuwssite.

De werkgever mag dus – ook na beëindiging van het dienstverband – besluiten wat hij wil doen met de teksten. Natuurlijk mogen ze online blijven staan, maar hij mag ze óók herpubliceren. Het zijn immers zijn teksten.

Deze gekke situatie is dus in principe wettelijk toegestaan. Maar wellicht is er nog een optie: de Auteurswet kent naast de exploitatierechten ook de zogeheten morele rechten of persoonlijkheidsrechten. Hiermee kun je onder meer eisen dat je naam als auteur wordt genoemd (of juist niet) bij een publicatie van je werk. Ook als je je rechten hebt overgedragen, zo staat in dit artikel 25 van de Auteurswet.

Het is alleen nog steeds een open vraag of die persoonlijkheidsrechten toekomen aan de werknemer of aan de werkgever. De laatste is de ‘maker’ in de zin van de wet, en de maker heeft de persoonlijkheidsrechten. Dus zo beredeneerd heeft de werknemer helemáál geen rechten. Maar je kunt ook zeggen, de persoonlijkheidsrechten zijn bedoeld om een persoon te beschermen en de enige fysieke persoon is de werknémer. Dat vind ik persoonlijk het meest sympathiek, maar er is dus geen juridische duidelijkheid.

Ik moet zeggen dat ik het wat gek vind om oude artikelen van een werknemer te herpubliceren. Wat zou hier het nut van zijn? Oud nieuws lijkt me überhaupt niet interessant, toch?

Arnoud