Einde van de Telefoongids?

Het lijkt er sterk op dat de papieren Telefoongids vanaf volgend jaar niet langer bezorgd wordt, meldde Webwereld gisteren. Ongetwijfeld compleet los van de opkomende verkiezingen meldden diverse politici dat het nu toch eens tijd wordt de wet te wijzigen zodat het bezorgen van de Telefoongids kan stoppen.

Directe aanleiding van een en ander was Alexander Klöpping’s SterfTelefoongidsSterf.nl, waarmee hij een statement wil maken over de papier- en andere verspilling rond de dodebomenmensenzoekmachine. Een succesvol statement: als je het object van je actie zó boos kunt maken dat ze met juridische stappen gaan dreigen, doe je het goed.

Ondertussen zie ik nu overal dat “een wijziging van de Telecomwet nodig” zou zijn om te regelen dat de gids niet langer verplicht door de bus gepropt wordt. Want dat is de spin van DTG: wij zijn wettelijk verplicht de gids te bezorgen, dus mogen wij die nee-nee sticker van u negeren ondanks dat de gids bomvol staat met advertenties en dus gewoon papieren spam is.

Zoals ik vorig jaar al schreef, nergens staat in de wet dat iedere Nederlander een gids onder de neus geduwd moet krijgen. De wet spreekt van “beschikbaar zijn” van deze faciliteit, maar er is geen enkele reden waarom je daar alleen aan kunt voldoen door de gids door de bus te duwen.

En ja dat staat in de wet, maar de wet wijzigen is niet eens nodig om hier eens expliciet een einde aan te kunnen maken. De wet bevat namelijk een plugin interface, pardon een delegatieregeling: er is bepaald dat nadere regels over dat “beschikbaar zijn” door de minister gesteld mogen worden in het BUDE.

Het BUDE is een zogeheten Algemene Maatregel van Bestuur, en een AMvB wijzigen is een stuk eenvoudiger dan een wet wijzigen. De minister kan zelf een wijziging doorvoeren, formeel is daarvoor niet eens instemming van de Tweede Kamer voor nodig. En het lijkt me zonder meer mogelijk om in het BUDE op te nemen dat “Telefoongidsen worden op papier uitsluitend verspreid met aparte voorafgaande toestemming van de ontvanger” of iets dergelijks. Dat hoeft absoluut niet in de telecommunicatiewet zelf.

Juridisch gezien kan dit dus prima op korte termijn geregeld worden. Met een beetje goede wil zelfs voor de verkiezingen.

Arnoud
Foto: huppetee weg ermee die telefoongids! van ‘CatChat.nl’.

Amsterdam mag e-mail personeel niet bekijken

outlook-machtigen-inzien.pngDe dienst werk en inkomen van de gemeente Amsterdam mag niet zomaar in de mailbox van medewerkers kijken, las ik bij Nu.nl. Het besluit waarmee de dienst zich dat recht gaf, was in strijd met de Wet op de ondernemingsraden. Het kunnen inzien van mailboxen valt namelijk onder “personeelvolgsystemen” en voordat je dat mag doen, moet de ondernemingsraad toestemming geven.

Zoals tegenwoordig vrijwel elk bedrijf had ook deze overheidsdienst een protocol over toegang tot mailboxen. Eerst als onderdeel van de algemene Gedragscode Elektronische Communicatiemiddelen, maar nu gewijzigd. En die gewijzigde regeling verschilde op een belangrijk punt: waar vroeger (behalve bij vermoedelijke integriteitschendingen) alleen met toestemming in een mailbox mocht worden gekeken, mocht dat nu ook zonder toestemming wanneer bij ziekte of iets dergelijks bleek dat je geen collega gemachtigd had om in je mailbox te kunnen.

De OR heeft instemmingsrecht bij dergelijke gedragscodes en protocollen. De Wet Ondernemingsraad bepaalt namelijk dat dat dit recht bestaat bij alle verwerkingen van persoonsgegevens in het algemeen (en mail lezen valt daaronder) maar ook iets specifieker bij “waarneming van of controle op aanwezigheid, gedrag of prestaties” van groepen werknemers.

Viel dit protocol nu onder deze regeling? Het was immers bedoeld om bij ziekte het werk over te kunnen nemen, vanwege de naar buiten toe gestelde responstijd van 24 uur op alle mails van cliënten. Snel je cliënten van dienst kunnen zijn, dat is toch geen controle op werknemers?

De rechter vindt van wel:

Het besluit is niet gericht op die controle, maar kan er wel geschikt voor zijn. Bepaald niet uitgesloten is immers dat de manager, wanneer de medewerker een achterstand in werk blijkt te hebben, deze hier op aanspreekt. Daarmee is ook voldaan aan het criterium dat het moet gaan om ‘de prestaties’ van de medewerker.

Oftewel, de manager kan langs deze weg toevallig zien hoe iemand functioneert en daar dan iets mee doen. En vanwege die mogelijkheid tot controleren van prestaties had er instemming van de OR moeten worden gevraagd.

De rechter merkt daarbij op dat dit de eerste uitspraak van zijn soort is. Eerdere relevante jurisprudentie is er niet. Wel had hij nog het boek Inzicht in de Ondernemingsraad gevonden (en om raadselachtige redenen zijn de auteurs geanonimiseerd in het vonnis), waarin werd aangegeven dat het er niet om gaat of de systemen gebruikt wórden om personeel te volgen maar of ze daarvoor gebruikt kúnnen worden. Dus toch nog een soort van externe onderbouwing.

Voor de volledigheid wordt ook nog de privacy erbij gehaald, immers je mag (in beperkte mate) privé mailen vanuit die mailbox en het lezen daarvan door de manager is dan een verwerking van je persoonsgegevens. Dat is óók weer een reden waarom toestemming van de OR nodig was.

Op straffe van een dwangsom moet de dienst nu het protocol eerst aan de OR voorleggen, en mag men het pas invoeren na hun toestemming. En ik kan me zo voorstellen dat de OR nu enigszins kritisch zal staan tegenover het protocol.

Arnoud

Mag mijn hoster mijn site zomaar weggooien?

Toevallig vroegen diverse lezers me:

Onlangs was ineens mijn website weg! Mag mijn hoster dat zomaar doen? Ik heb geen backups want ik vertrouw erop dat het gewoon bij de hoster staat. En die heeft ineens zonder mededeling mijn account dichtgezet en alles weggegooid. Ik ben nu drie jaar werk kwijt 🙁

Een hoster mag natuurlijk niet zomaar een account opheffen of bestanden weggooien. Maar het venijn zit ‘m in dat “zomaar”.

Bij een hostingcontract zegt de hoster toe bestanden te hosten (goh) en de klant zegt toe te betalen. Zolang de een zijn prestatie verricht, is de ander verplicht dat ook te doen. Maar wanneer een van de partijen tekort schiet, mag de ander zijn prestaties opschorten zoals dat juridisch heet (art. 6:262 BW).

De hoster mag dus bij wanbetaling zijn prestatie – het hosten – opschorten. In gewone taal: als je niet betaalt, gaat je site op zwart. Betaal je dan alsnog, dan gaat je site weer terug (op wit?). Het maakt niet uit of jou wat te verwijten valt bij dat niet betalen. Ook als het aan jouw kant overmacht was, mag de site op zwart.

De hoster moet dan wel aan de klant melden dat hij dit gaat doen. Dat mag op zich ook met een tekst op de site “Deze site is wegens administratieve redenen onbereikbaar, neem contact op met de helpdesk” maar ik vind het netter om even een mailtje te sturen.

Meer algemeen mag een contractspartij het contract opzeggen als de wederpartij tekort schiet (art. 6:265 BW). De hoster staat dus in principe zelfs in zijn recht als hij bij wanbetaling opzegt. En wederom ook als jou niets te verwijten valt.

Wel geldt zowel bij opschorting als bij opzegging dat dit wel gerechtvaardigd moet zijn door de tekortkoming. Eén keer twee cent te weinig betalen is bijvoorbeeld geen rechtvaardiging voor een contractsopzegging. Zes maanden je 100 euro maandelijkse kosten niet betalen wel.

Ook moet de hostingpartij zich redelijk opstellen bij de maatregelen die hij neemt. Meteen opzeggen én alles weggooien lijkt me niet redelijk, dat kan ook wel een onsje minder. De wijze van opschorting moet proportioneel zijn gezien de aard van de tekortkoming van de klant. Bij een site die virussen verspreidt kan ik me voorstellen dat je data weggooit, die data is immers schadelijk en je wil daar nu een einde aan maken. Bij een gewone site en een ‘gewone’ wanbetaling zou ik eerder verwachten dat de boel ontoegankelijk wordt maar niet volledig wég is.

Aan de andere kant mag je denk ik van een hostingklant ook wel verwachten dat hij regelmatig backups maakt van zijn data. Ik vergeet het zelf ook telkens met de database van deze blog, maar het is wel míjn fout als ik er pas na opzegging van mijn contract bij bHosted.nl achter kom dat mijn blogdatabasebackup een maand mist. Het lijkt me dus moeilijk om een schadeclaim in te dienen wegens kwijtgeraakte data.

Arnoud

Kun je echt zomaar willekeurige contracten sluiten via internet?

Een lezer vroeg me:

Voor veel tijdschriften kun je tegenwoordig een abonnement nemen via internet, door slechts een formuliertje in te vullen, zonder handtekening of telefonische toestemming. Stel dat een grapjas mijn gegevens invult, is zo’n contract dan bindend en rechtsgeldig? En zoniet, hoe beschermen uitgeverijen zich dan tegen klanten die achteraf ontkennen ooit een abo te hebben genomen?

Het is eigenlijk een wonder dat dit goed gaat elke keer. Want inderdaad het systeem is zo lek als een mandje en volstrekt triviaal te misbruiken.

Voor een overeenkomst (contract, abonnement, hoe je het maar wilt noemen) is niet meer nodig dan dat de ene partij een aanbod doet waar de andere partij akkoord op geeft. Dat aanbod en het akkoord mag op elke manier worden gedaan. De wet stelt daar geen vormvereisten aan, behalve bij enkele speciale contractsvormen zoals de aankoop van een woonhuis of een concurrentiebeding in een arbeidscontract – die moeten schriftelijk.

Een contract via een bestelformulier op internet is dus volstrekt rechtsgeldig, en je kunt er niet onderuit met de stelling dat je niets getekend hebt of dat er niet geverifieerd is of jij het wel was. Natuurlijk kan een grapjas niet jou aan een contract binden. Iemand die dus jouw gegevens invult op zo’n formulier, schept geen verplichtingen voor jou.

Praktisch gezien krijg je wel wat gedoe, want het proces bij zo’n uitgever is dat je na invullen van het formulier automatisch het tijdschrift krijgt en ook een en ander moet gaan betalen. En wie niet betaalt, die krijgt een incassobureau op zijn dak. Er is zelden ruimte voor “ja maar dat was ik niet, ik wil dat abonnement niet” in dat proces, dus je moet dan moeilijk doen om gehoord te worden.

Formeel-juridisch is het echter de uitgever die moet bewijzen dat jij het abonnement hebt afgesloten. En “uw gegevens staan in ons bestand” is natuurlijk volstrekt onvoldoende daarvoor. Men kan nabellen, of eerst een acceptgiro sturen en pas na betaling daarvan het eerste nummer opsturen. Als die naar het opgegeven adres gaat en vervolgens betaald wordt, dan lijkt me dat wel bewijs dat de bewoner daar het abonnement wil.

Dus inderdaad, er is potentieel voor misbruik. Maar ik denk dat de meeste mensen dit te puberaal vinden zodat het in de praktijk wel meevalt.

Arnoud

Kan het Zweedse Minecraft een Amerikaans patent schenden?

minecraft-patent.pngDe Zweedse Minecraft-ontwikkelaar Mojang wordt aangeklaagd door het Amerikaanse bedrijf Uniloc voor patentinbreuk, las ik bij Tweakers. Markus Persson, de bedenker van het concept, vond dit grappig want wat heeft hij als Zweeds bedrijf immers te maken met Amerikaanse patentwetgeving?

Nou, toch iets meer dan je zou denken. Het enkele feit dat jij als bedrijf niet in de VS gevestigd bent, maakt niet dat je automatisch niets met de Amerikaanse wetgeving te maken hebt. Waar het om gaat, is of je de gepatenteerde producten of werkwijze toepast (verhandelt, verkoopt, bedrijfsmatig inzet, etc) in de VS. Dat is ongeveer hetzelfde criterium als bij ons, en het wordt ook op dezelfde manier ingevuld: wat doe je precies en in hoeverre is daaruit af te leiden dat je je specifiek op de VS richt?

Wie bv. adverteert in Amerikaanse tijdschriften, prijzen in US dollars vermeldt en “free shipping in Continental USA” vermeldt, valt onder de Amerikaanse patentwetgeving. Idem voor verkoop van apps in een appstore van een Amerikaans bedrijf zoals Google of Apple. Een Nederlandstalige site waar toevallig een Amerikaan iets kan bestellen daarentegen niet. Bij een generieke Engelstalige site waar iedereen lid kan worden is het een grijs gebied.

Een andere vraag is wat de patenthouder kan doen met een voor hem gunstig vonnis als de gedaagde niet in de VS gevestigd is. Er is geen verdrag bijvoorbeeld tussen Amerika en Zweden (of de EU) dat tenuitvoerlegging van Amerikaanse octrooivonnissen mogelijk maakt in Zweden. Dus stel Minecraft verliest, dan is er bar weinig te halen financieel gezien. Heel misschien is er iets te verzinnen met inbeslagname van servers van het bedrijf die in een Amerikaans datacenter staan, maar meer zou ik zo niet weten.

Heb je wél bezittingen in de VS, of komen die er later te staan (je bedrijf breidt uit over een paar jaar) dan zijn die via dat vonnis alsnog op te eisen en te gelde te maken. Wuif dus zo’n octrooiclaim nooit zomaar weg, want ook jaren later kan het nog tot problemen leiden.

Arnoud

Nieuwe voorwaarden Steam verbieden ‘class action’-rechtszaken

In de nieuwe gebruiksvoorwaarden van gamingnetwerk Steam staat dat ‘Valve en de gebruiker bij problemen samen tot een oplossing moeten komen’, en dat met name class action lawsuits verboden zijn. Dat las ik tijdens mijn vakantie bij Tweakers. Met een class action lawsuit kunnen grote groepen gedupeerden zich verenigen en een massaclaim indienen.

In de VS gebeurt dit heel vaak, met name omdat advocaten daar op no cure no pay mogen werken, maar ook omdat je niet graag je rechtssysteem laat verstoppen door honderden identieke rechtszaken. Het idee is dat als iedereen in dezelfde situatie zit, er maar één rechtszaak nodig is. En men pakt dan meteen door: de rechter kan de uitkomst algemeen verbindend verklaren, zodat iedereen in diezelfde situatie aanspraak kan maken op de schadevergoeding.

Class actions zijn voor grote bedrijven een grote zorg, want je kunt zomaar een miljoenenclaim aan je broek krijgen vanwege een clubje activisten die het voor elkaar krijgen de rechtszaak algemeen verbindend verklaard te krijgen voor al je klanten. Die natuurlijk dan graag even gratis geld komen halen. Vandaar dat men zich in alle mogelijke bochten wringt om dit te voorkomen, en één zo’n bocht bleek buitengewoon succesvol: in je algemene voorwaarden opnemen dat je afstand doet van je recht om een class action te starten dan wel daaraan deel te nemen. De Supreme Court bevestigde namelijk in begin 2011 dat je in gebruiksvoorwaarden mag bepalen dat men verplicht naar een arbitragecommissie moet stappen en afstand doet van het recht op een rechtszaak.

In Nederland ligt het iets anders. Verplichte geschilbeslechting door een derde staat op de zwarte lijst van algemene voorwaarden, oftewel zo’n verplichting is altijd ongeldig te verklaren door de consument. De enige uitzondering is als er bij bepaald is dat de consument altijd een maand of meer heeft om te beslissen alsnog naar de rechter te willen. Voor arbitrage ligt het iets genuanceerder.

Voor Nederlanders speelt er nog iets in die voorwaarden: men kan bepalen dat het recht van Californië of de rechtbank in Santa Clara bevoegd is. Ook dat kan niet zomaar: dergelijke regels zijn eveneens onredelijk bezwarend. Je kunt niet worden afgehouden van de rechter waar je volgens de wet recht op hebt. Maar het kán voordelig zijn, want het recht van Californië kan je meer schadevergoeding opleveren dan ons recht.

Arnoud

Mag IP-adressen loggen van de privacywet?

Zo, ik ben weer terug van vakantie. Leuk om te zien dat de gastblogs zo populair zijn 🙂 Tijdens mijn vakantie bleven de vragen binnenstromen. Ga zo door!

Een veel voorkomend onderwerp betrof het al dan niet mogen loggen of vastleggen voor allerlei doeleinden van IP-adressen. IP-adressen zijn immers persoonsgegevens, en die mag je toch niet zomaar verwerken zonder toestemming? Bij sommige vraagstellers bespeurde ik een trollerige achtergrond (“ik wil ze terugpakken want ze hebben me geband”) maar het is natuurlijk een serieuze vraag.

Ja, een IP-adres is een persoonsgegeven. Meestal dan; een IP-adres identificeert een computer (ok, netwerkinterface) maar vaak is die computer door één persoon in gebruik, zodat het adres net zo persoonlijk wordt als een telefoonnummer. Het IP-adres van een server is natuurlijk geen persoonsgegeven.

Als je niet zeker weet of een IP-adres een persoon identificeert, maar je weet dat dit váák wel het geval zal zijn, dan kun je het beste op safe spelen als je privacytechnisch correct wilt zijn. Daarom (en omdat niet alleen de auteurswet last heeft van permanente expansie) wordt veelal aangeraden om IP-adressen altijd als persoonsgegeven te behandelen.

En dat betekent inderdaad dat je als hoofdregel alleen mag werken met een IP-adres als je toestemming hebt van de gebruiker daarvan.

Als hoofdregel, want er zijn wel degelijk uitzonderingen op die regel. Zo is er de regel dat je geen toestemming nodig hebt als het gebruik nodig is voor het uitvoeren van een overeenkomst met die gebruiker. Wil men een IP-sessie met jou, dan is het vrij logisch dat je het IP-adres gebruikt om die sessie op te zetten en te onderhouden. Wil men ingelogd blijven, dan mag je het IP-adres opslaan in je database om na te gaan of het nog steeds dezelfde persoon is. (Of dat slim is, is wat anders; het mag.)

Loggen van IP-adressen en met name het hebben van blacklists met IP-adressen vallen natuurlijk niet onder die “uitvoeren van een overeenkomst” uitzondering. Maar er is er nog eentje: als jouw gebruik van persoonsgegevens absoluut noodzakelijk is voor een legitiem doel én toestemming vragen is zinloos én jouw belang weegt op tegen de privacy van de wederpartij, dan mag het ook zonder toestemming.

Dit zijn drie hoge eisen maar het lijkt me dat een blacklist van structureel irritante personen wel voldoet aan deze eis. Het weren van zulke types is een legitiem doel, dat móet eigenlijk wel op basis van IP-adres en toestemming vragen aan trollen is waanzin.

Wel vraag ik me af hoe je dan om moet gaan met dynamische IP-adressen. Het overkwam mij ook laatst dat ik ineens geband was op Wikipedia: de vorige UPC-klant met dat IP-adres had kennelijk nogal huisgehouden. Een goede site heeft een bezwaarprocedure voor blokkades die irrelevant zijn geworden vanwege verlopen IP-adressen. Alleen, hoe ga je dan weer om met trollen die drie dagen niks zeggen en dan roepen dat ze tegen de ban van hun voorganger zijn aangelopen?

Arnoud

Gastpost: Het Nederlandse Cyberleger

cyberleger.jpgVanwege mijn vakantie blog ik zelf niet, maar ik ben blij diverse gastbloggers te mogen verwelkomen. Vandaag Homme Bitter over het Nederlandse cyberleger.

Nederland heeft geen cyberleger. Dat is als 1e wereldland en vooraanstaand lid van de NATO natuurlijk iets wat zo snel mogelijk opgelost moet worden. Daarom is er door de minister van defensie op 27 juni een presentatie gehouden van de plannen om ook Nederland mee te laten tellen. Deze presentatie heeft hij gegeven op de Nederlandse Defensie Academie in Breda tijdens een symposium over dit onderwerp. Ik ben daar als gast aanwezig geweest en wil graag mijn ervaringen delen.

Er wordt door defensie hoog ingezet. “Cyber” wordt gezien als een nieuw slagveld. Ter land, ter zee, in de lucht, in de ruimte en nu ook in de virtuele ruimte, kan je oorlog voeren.

Nu we een heel nieuw potentieel slagveld hebben, moet er ook een leger worden opgericht wat toegerust is om op dat slagveld zijn/haar mannetje te staan. Behalve de technische invulling daarvan, zal dat ook betekenen dat er juridisch een en ander geregeld moet worden. De laatste echt serieuze verdragen die internationaal bepalen wat wel en niet bij een oorlog hoort, komen nog uit Genève en dateren in beginsel uit 1949. Er zijn weliswaar toevoegingen aan gedaan in 1977 en 2005 maar die gaan nog steeds niet over wat je nou wel en niet mag bij cyberoorlogsvoering. Sowieso, wat mag het leger wel wat de politie of de AIVD niet mag en omgekeerd?

Een deel van het symposium waarop de presentatie van het cyberleger werd gedaan, ging over deze vraag. Wat moet het leger voor taak in gaan vullen, hoe zit dat nu wettelijk geregeld en wat moet er eventueel aan aanvullende wetgeving komen om die taak beter uit te kunnen voeren, of om die taak mogelijk te maken. In principe heeft het leger twee taken. Het verdedigen van de internationale rechtsorde en het voorkomen van maatschappij-ontwrichtende gebeurtenissen. Dit is niet de letterlijke tekst uit de wet, maar kort door de bocht komt het daar wel op neer. Als je dat naar het digitale domein vertaalt, zou dat in de praktijk betekenen dat het leger ingezet zou kunnen worden voor Internationale “vredesmissies” waarbij zowel verdedigend als aanvallend, samen met bondgenoten, acties worden uitgevoerd. Wat ook heel goed zou kunnen, is dat het leger net als bij het plaatsen van een veldhospitaal bij een ziekenhuis waar de operatiekamer besmet is, ook een “veldcomputercentrum” kan plaatsen bij zo’n zelfde ziekenhuis waar een virus de ICT plat heeft gelegd.

Wat gaan soldaten doen in conventionele oorlogsvoering, nu er een extra slagveld bij is gekomen? Gaan ze de infrastructuur van de vijand DDoSen? Gaan ze inbreken op de computers en de gegevens verminken of wissen? Gaan ze op Internet propaganda neerzetten die de bevolking van de vijand in opstand moet laten komen? Of gaan ze civiele doelen aanvallen, waardoor de brandweer en ambulances in het vijandelijke land niet meer kunnen functioneren? Het Internet daar platleggen? Worden het subtiele, doelgerichte aanvallen, al dan niet zonder dat de dader te achterhalen is? Gaan er ook cybersoldaten mee op patrouille om buitgemaakte datadragers forensisch te onderzoeken op strategische informatie? Dit is allemaal nog niet bekend en het is ook nog niet duidelijk hoe dat wettelijk allemaal geregeld is. Wat mag wel, wat mag niet, wat valt onder de huidige Internationale wetgeving en waar moet er nog wetgeving voor bij komen?

Een ander deel van wat er nu bij komt voor het leger, heeft met de militaire tegenhanger van de AIVD, de MIVD te maken. Die twee werken al nauw samen, maar omdat de AIVD zich meer met terrorisme en economische spionage bezig houdt, zal het militaire spioneren, pardon, het voorkomen van andermans militaire spioneren op de computernetwerken van Nederland en de bondgenoten op het bordje van de MIVD terecht komen. Sommigen binnen defensie vinden het lastig om dat te kunnen doen zonder dat er meer rechten komen voor de MIVD en andere inlichtingendiensten. De vergelijking wordt getrokken tussen radioontvangst en Internetontvangst. Alles wat in de ether langs komt, mag de MIVD uit de lucht plukken en opnemen, decoderen en wat ze er ook maar mee van plan zijn. Als ze heel Internet zouden kunnen “ontvangen” en er systemen op kunnen zetten zoals Echelon, of zoals FaceBook z’n gebruikers afluistert om pedofielen mee te vangen, zou dat hun werk een stuk makkelijker maken.

Niet iedereen binnen defensie heeft deze mening en het is uiteindelijk aan de wetgever om te bepalen wat de grens gaat worden. Het leger mag qua radio-ontvangst op zich ook niet veel meer dan wat iedere burger nu mag. Er is in principe vrije radioontvangst en de enige uitzondering die daar nu voor is, is het descramblen van C2000 en het hebben van een radarverklikker in je auto. De reden daarvoor is veel discussie over geweest, maar het komt er op neer dat je de politie zou hinderen in hun werk en je zou eens plotseling remmen als je radarverklikker afgaat, dat is gevaarlijk weggedrag. Of dat valide redenen zijn of niet kan je nog twijfels over hebben, maar het is een uitzondering op wat sowieso al mag en hij is beargumenteerd. Gewone burgers mogen niet zomaar iedereens Internet of telefonie afluisteren, dus waarom de overheid dat ineens wel zou mogen met als argument “voor onze veiligheid” is mij niet helemaal duidelijk geworden. Het is in ieder geval een discussiepunt en we kunnen verwachten dat dit opnieuw in de politiek ter sprake gaat komen in het kader van dit nieuwe legeronderdeel.

Het is duidelijk dat de Nederlandse overheid wel inziet dat ze dit niet in hun eentje moeten doen en dat het leger dit ook niet moet doen zonder met de politie en de AIVD samen te werken. Het onderscheid tussen terrorisme, criminaliteit, spionage, een ongeorganiseerde opstand zoals van Anonymous en een frontale aanval is vaak maar lastig en meestal pas achteraf te bepalen. Hoe je daar nou invulling aan moet geven en in hoe je je bondgenoten moet betrekken is nog niet helemaal duidelijk, dus we gaan in de toekomst vast nog interessante dingen over dit onderwerp te zien krijgen.

Ik vind zelf dat we in alle redelijkheid moeten gaan kijken naar hoe we dit als land aan gaan pakken. Dat er mensen met foute bedoelingen zijn die ICT gebruiken als middel om hun doel te bereiken is niet te vermijden. We zullen daar als samenleving en dus ook via onze overheid aandacht aan moeten besteden. Welke rechten en plichten we onze overheid daarin geven, is iets waar we zorgvuldig over na moeten denken. We moeten met zijn allen het doel niet uit het oog verliezen en onze vrijheid weg geven door de verkeerde middelen te kiezen om haar te beschermen.

Homme Bitter is consultant bij Sogeti. Hij is in zijn dagelijkse werk betrokken bij beveiliging van ICT-systemen en de problemen die daar mee samen gaan op juridisch vlak.

Gastblog: Internet en openbaar maken (II)

op-fm.jpgOmdat ik nog steeds met vakantie ben, ook vandaag weer een gastblog. Vandaag deel 2 van het tweeluik van ICT-advocaat Lex Bruinhof over internet, auteursrecht en openbaar maken.

In mijn vorige gastblog legde ik uit waarom voor embedded muziek op radioportals (of embedded muziek- of andere video’s op andere sites) naar mijn mening betaald moet worden aan Buma. In dat kader vertelde ik het een en ander over ons Nederlandse begrip “secundair openbaar maken”. Ik gaf daarbij echter aan dat zaken als radioportals tegenwoordig beoordeeld moeten worden met toepassing van de Auteursrechtrichtlijn en de uitleg daarvan door het Hof van Justitie van de EU (HvJEU). De richtlijn kent het begrip “openbaar maken”niet (laat staan “secundair openbaar maken”). Wel is er een begrip dat daarop lijkt: “het recht op mededeling aan het publiek”.

De richtlijn zelf maakt al duidelijk dat onder dat begrip moet worden verstaan:

een doorgifte of wederdoorgifte van een werk, per draad of draadloos, met inbegrip van uitzending.

Jurisprudentie van het HvJEU heeft daarbij inmiddels duidelijk gemaakt dat daarbij geldt dat het “publiek” in het kader van de “mededeling aan het publiek” een “nieuw publiek” moet zijn. Dat wil zeggen: een publiek waarmee de auteur geen rekening hield toen hij toestemming gaf tot de openbaarmaking van zijn werk (arresten Rafaël Hoteles en PremierLeague).

Waar hebben we dat meer gehoord? Ach ja, dat was de dwaalweg waarop onze eigen Hoge Raad zich oorspronkelijk ook bevond. Wat leidde tot al dat gepuzzel over de vraag of het publiek in een concreet geval nu wel of niet “nieuw” was. Toegegeven: het HvJEU hanteert een wat subjectiever criterium (“waarmee de auteur geen rekening hield”), maar in de praktijk moet dat natuurlijk toch geobjectiveerd worden.

Daarnaast geldt volgens het HvJEU (samengevat):

Om van een publiek te kunnen spreken moet sprake zijn van een onbepaald aantal potentiële kennisnemers van het werk. Zij kunnen van dat werk kennis nemen door de interventie van de openbaarmaker. Deze moet daarbij een winstoogmerk hebben (bovengenoemde arresten plus SCF/DelCorso en Iers hotel)

Gelukkig hanteert ook het HvJEU het winstoogmerk nog. Naar mijn mening zouden we aan dat criterium ook voldoende hebben. Steeds wanneer een nieuwe openbaarmaker een bestaande openbaarmaking verder verbreidt en daaraan verdient wordt het (muziek)werk geëxploiteerd en is het billijk dat de maker daarvan meeprofiteert. Nieuw publiek of geen nieuw publiek maakt daarbij wat mij betreft echt niets uit. Exploitatie of niet: dáár gaat het om.

Maar het HvJEU denkt er dus anders over en wil kennelijk een combinatie van winstoogmerk en nieuw publiek. Op die manier heeft het afgelopen maart geoordeeld dat een Turijnse tandarts geen “mededeling aan het publiek” deed. Volgens het Hof was er én “geen winstoogmerk” (onzin volgens mij) én waren er te weinig luisteraars, zeker tegelijkertijd beschouwd, om van “publiek” te kunnen spreken. Een Iers hotel dat een CD speler plus CD’s in de kamers had staan (waarbij het aan de gasten werd overgelaten daar al dan niet gebruik van te maken) werd echter wel geacht “mee te delen aan het publiek”.

Ik heb mijn verontwaardiging over deze tamelijk willekeurig overkomende uitspraken destijds al met de wereld gedeeld. Op dit moment is interessanter wat dit nu allemaal betekent voor de casus rond Nederland.fm en Op.fm uit deel I van deze gastblog.

Welnu: Nederland.fm doet ongetwijfeld naar geharmoniseerd Europees auteursrecht een “mededeling aan het publiek”. Er is een interventie (het beschikbaar stellen van de diverse stations op de site). Er is een “nieuw publiek” (de mensen die liever naar deze site gaan waar ze kunnen zappen dan naar de sites van de stations zelf). En dat publiek is ongetwijfeld groot genoeg. En, niet te vergeten: er is een winstoogmerk.

En hoe zit het met Op.fm? Tja… Als het HvJEU bereid is een mededeling aan het publiek aan te nemen als er alleen maar een CD speler en CD’s in een hotelkamer liggen, wie weet hoe het dan beslist ten aanzien van een website met links naar radiostations… De eigenaar van Op.fm “intervenieert” door de links naar de stations beschikbaar te stellen. Het nieuwe publiek is hetzelfde als bij Nederland.fm. Er zit een winstoogmerk element in het feit dat bij de link-catalogus op de site van Op.fm ook reclame wordt getoond. Die site is dan wel van het scherm af zodra het station aangeklikt is, maar het betreffende venster kan zo weer teruggeroepen worden.

Feit blijft natuurlijk dat de muziek niet via de site van Op.fm ten gehore wordt gebracht. Naar het oude Nederlandse recht is dat voor mij voldoende om aan te nemen dat er niet wordt openbaar gemaakt. Maar is het daarmee ook geen “mededeling aan het publiek”? De CD speler en de losse CD’s “liggen” immers ook alleen maar in de hotelkamer en doen zelf niets… Toch was dat voor het HvJEU genoeg.

Kortom: naar het nieuwe geharmoniseerde recht weet ik het nog niet zo net met dat Op.fm. Wat niet wegneemt dat ik het onzin zou vinden, temeer omdat het onze notie van de hyperlink als louter verwijzingsmiddel ondergraaft. Wie weet waar dat nog toe zou leiden. Vooralsnog hou ik het er daarom maar op dat Nederlandse rechters de Ierse hoteluitspraak niet gaan uitstrekken tot het internet. Wat offline geldt en niet deugt hoeft van mij online niet te gaan gelden 🙂

Hiermee is mijn gastbijdrage voltooid. Tot slot. Wat vinden jullie, (mede-)lezers van Arnoud’s blog? Zijn jullie het met mij eens dat onze Nederlandse regels rondom het begrip secundaire openbaarmaking een stuk verfijnder zijn (en de spijker meer op de kop slaan) dan de Europese rond het begrip mededeling aan het publiek? Of zien jullie wel wat in dat begrip? En hoe moet het dan met niet-embedded verwijzingen naar beschermd werk?

Lex Bruinhof is advocaat en compagnon bij Wieringa Advocaten. Hij heeft jarenlange ervaring in het intellectuele eigendoms- en mediarecht, vaak toegepast binnen de wereld van Internet en ICT. Lex is daarnaast voor één dag per week verbonden aan de Universiteit van Amsterdam, waar hij in kunst-, cultuur- en informatieopleidingen onder andere auteursrecht en informatierecht doceert.

Gastblog: Internet en openbaar maken (I)

op-fm.jpgOmdat ik nog steeds met vakantie ben, ook vandaag weer een gastblog. Ditmaal ICT-advocaat Lex Bruinhof in een tweeluik over internet, auteursrecht en openbaar maken.

Iemand riep eens: “Wat offline geldt, moet ook online gelden!”. Ik geloof dat het toenmalig minister van justitie Hirsch Ballin was, maar als ik zoek op Google kom ik voornamelijk verwijzingen tegen naar Arnoud (nr. 5, 7, 8 en 9!) en naar mijn kantoor (nr. 3). Hoe dan ook: de kreet was ooit wel het standpunt van de Nederlandse regering. Voor Buma was deze kennelijk niet aan dovemansoren gericht. Zij redeneert: “Als een kabelexploitant die een radio-uitzending doorgeeft geacht wordt openbaar te maken, dan geldt dat ook voor een website die dat doet”. En dus vraagt zij ten behoeve van haar aangeslotenen een vergoeding aan “radioportals” van 10% van de netto inkomsten.

Niet iedereen wil dat betalen. Zo is Buma al een tijdje verwikkeld in een procedure tegen Nederland.fm, een portal dat het mogelijk maakt online naar een Nederlands radiostation naar keuze te luisteren. Het betreffende station wordt dan embedded weergegeven op de homepage van Nederland.fm. Daar staan ook advertenties, waarmee het verdienmodel gegeven is. Buma zegt: “Dit is secundair openbaar maken” . Daar is iets voor te zeggen, zoals ik straks zal uitleggen.

Maar nu werd onlangs bekend dat Buma ook vergoeding zou willen vragen van een zustersite van Nederland.fm, genaamd Op.fm. Die site maakt het óók mogelijk naar radiostations te luisteren, maar dan niet embedded, maar door een link aan te bieden. Als je op Op.fm het radiostation van je keuze aanklikt opent je browser een nieuw venster, waarin de website van het gekozen station wordt weergegeven via welke het geluid binnenkomt. Bij Op.fm dus geen embedding, maar gewoon een catalogusje van links naar radiostations. Is dat óók openbaar maken?

Het probleem is dat onze prachtige Nederlandse begrippen “openbaar maken” en “verveelvoudigen”, waar we in 100 jaar jurisprudentie alle relevante vormen van het exploiteren van auteursrechtelijk beschermd materiaal in hebben weten onder te brengen, niet meer zijn wat ze eens waren. In 2001 is door de EU de Auteursrechtrichtlijn uitgevaardigd, met als doel het auteursrecht van de lidstaten op belangrijke punten te harmoniseren. Op die manier zouden wij allemaal auteursrechtelijk veilig door de internetrevolutie worden geloodst. Het begrip “openbaar maken” bestaat niet in de Auteursrechtrichtlijn. Wel is er het begrip “mededeling aan het publiek”. Volgens de richtlijn is daarvan sprake bij

een doorgifte of wederdoorgifte van een werk, per draad of draadloos, met inbegrip van uitzending.

De verdere invulling van het begrip is overgelaten aan het HvJEU, de hoogste Europese rechter. Zoals altijd bij Europese richtlijnen mogen de nationale rechters de begrippen en regels daaruit niet op eigen houtje gaan interpreteren. Als er vragen rijzen moeten die worden voorgelegd aan het HvJEU. Dat heeft de afgelopen jaren al tot een aantal opmerkelijke uitspraken geleid (waarover meer in deel II).

Eén ding staat wel vast. Het doorgeven van een muziekstation via internet valt absoluut onder de definitie van “mededeling aan het publiek”. Het is immers “de wederdoorgifte van (muziek)werken, per draad of draadloos”. De Nederlandse rechter zal dus (mede) op basis van de jurisprudentie van het HvJEU over de zaken van Nederland.fm en Op.fm moeten oordelen.

Is dat erg? Ja, ik vind eigenlijk van wel. Ons Nederlandse auteursrecht had kwesties als deze nu juist zo mooi in de bestaande jurisprudentie geregeld. Daarbij was weliswaar een moeilijk begrip geïntroduceerd: “secundair openbaar maken”, maar de daaraan opgehangen regels zijn glashelder. Zoals ik het tot dusver altijd aan mijn studenten heb kunnen uitleggen zat het naar (oud?) Nederlands recht aldus in elkaar.

Er is sprake van secundair openbaar maken als A een werk aan het openbaar maken is en B tegelijkertijd die openbaarmaking “verder zet” (op z’n Vlaams). “A” is dan bijvoorbeeld een radiostation dat een plaatje draait en “B” is een tandarts die de radio heeft aanstaan in zijn praktijk (secundaire openbaarmaking aan de patiënten). Óf “B” is een exploitant van een website die de mogelijkheid biedt via die site online naar het radiostation te luisteren (secundaire openbaarmaking aan de bezoekers).

Willen we daadwerkelijk van secundaire openbaarmaking kunnen spreken dat is er nog wel één vereiste: “B” moet bij dat verder gezette openbaar maken een beroeps of soortgelijk belang hebben. Grof gezegd: “hij moet er financieel beter van worden”. De tandarts wordt dat omdat zijn praktijk met muziek aantrekkelijker wordt voor zijn patiënten. En de website geniet opbrengsten uit de bij de muziek in beeld gebrachte reclame-banners. (Maar als ik via mijn ghettoblaster op het Zandvoortse strand datzelfde radiostation tot in IJmuiden hoorbaar maak, heb ik daar geen financieel belang bij en maak ik daarom niet secundair openbaar.)

Hartstikke helder. De Nederlandse rechtspraak heeft er dan ook wel een jaar of vijftig over gedaan om dit zo uitgekristalliseerd te krijgen. Eerst dacht men dat het van belang was of de secundaire openbaarmaker “een nieuwe kring van het publiek” bereikte. Dat gaf echter een behoorlijk gepuzzel (kunnen kabelontvangers nu wel of niet bepaalde signalen ook uit de ether plukken, etc.). Uiteindelijk kwam men tot het inzicht dat het eigenlijk helemaal niet om dat publiek gaat, maar om de openbaarmaker. Is dát een andere organisatie dan de oorspronkelijke openbaarmaker en profiteert hij van dat verdere openbaar maken, dán is die secundaire openbaarmaking relevant. Waarom? Heel simpel: omdat het openbaar maken dan het exploiteren van een werk is en dáár biedt het auteursrecht nu juist bescherming voor.

Niet alleen hartstikke helder dus, maar ook hartstikke eerlijk. Iedereen die er financieel van profiteert dat de tekstschrijver en componist zich in het zweet hebben gewerkt om een mooi nummer te maken moet een stukje van dat profijt aan hen afdragen.

Toegepast op de Buma-casus betekent dit dat Nederland.fm moet betalen en Op.fm niet. De eerste maakt secundair openbaar: de muziek komt binnen via de website Nederland.fm en daar genereert Nederland.fm ook zijn reclame-inkomsten. Op.fm levert daarentegen alleen een overzichtje van links naar online te beluisteren radiostations. Linken is, zolang het niet tot een embedded weergave leidt, geen openbaar maken. Het is louter verwijzen naar een openbaarmaking door een ander. Zodra de link gevolgd is, is de bezoeker weg van de oorspronkelijke site. De eigenaar daarvan maakt dus niet openbaar (waarmee het tevens irrelevant is geworden dat hij ook advertenties op zijn site had staan).

En in het kader van “Wat offline geldt moet ook online gelden”: Als ik tegen iemand roep: “Arrow Jazz 90.7 FM is een leuke zender; hier, laat me je radio daarop afstemmen” en dat vervolgens doe, dan maak ik toch ook niet openbaar? Zelfs niet als ik een T-shirt aanheb met daarop in grote letters “Wieringa Advocaten”. So there.

Of deze uitleg ook kan worden toegepast op het Europese begrip “mededeling aan het publiek” behandel ik graag in de volgende gastblog. Tot die tijd verneem ik graag jullie reacties. Vinden jullie het door mij geschetste stelsel óók zo eerlijk? Of vinden jullie dat embedded radioportals door Buma met rust gelaten zouden moeten worden?

Lex Bruinhof is advocaat en compagnon bij Wieringa Advocaten. Hij heeft jarenlange ervaring in het intellectuele eigendoms- en mediarecht, vaak toegepast binnen de wereld van Internet en ICT. Lex is daarnaast voor één dag per week verbonden aan de Universiteit van Amsterdam, waar hij in kunst-, cultuur- en informatieopleidingen onder andere auteursrecht en informatierecht doceert.