Nieuwe voorwaarden Steam verbieden ‘class action’-rechtszaken

In de nieuwe gebruiksvoorwaarden van gamingnetwerk Steam staat dat ‘Valve en de gebruiker bij problemen samen tot een oplossing moeten komen’, en dat met name class action lawsuits verboden zijn. Dat las ik tijdens mijn vakantie bij Tweakers. Met een class action lawsuit kunnen grote groepen gedupeerden zich verenigen en een massaclaim indienen.

In de VS gebeurt dit heel vaak, met name omdat advocaten daar op no cure no pay mogen werken, maar ook omdat je niet graag je rechtssysteem laat verstoppen door honderden identieke rechtszaken. Het idee is dat als iedereen in dezelfde situatie zit, er maar één rechtszaak nodig is. En men pakt dan meteen door: de rechter kan de uitkomst algemeen verbindend verklaren, zodat iedereen in diezelfde situatie aanspraak kan maken op de schadevergoeding.

Class actions zijn voor grote bedrijven een grote zorg, want je kunt zomaar een miljoenenclaim aan je broek krijgen vanwege een clubje activisten die het voor elkaar krijgen de rechtszaak algemeen verbindend verklaard te krijgen voor al je klanten. Die natuurlijk dan graag even gratis geld komen halen. Vandaar dat men zich in alle mogelijke bochten wringt om dit te voorkomen, en één zo’n bocht bleek buitengewoon succesvol: in je algemene voorwaarden opnemen dat je afstand doet van je recht om een class action te starten dan wel daaraan deel te nemen. De Supreme Court bevestigde namelijk in begin 2011 dat je in gebruiksvoorwaarden mag bepalen dat men verplicht naar een arbitragecommissie moet stappen en afstand doet van het recht op een rechtszaak.

In Nederland ligt het iets anders. Verplichte geschilbeslechting door een derde staat op de zwarte lijst van algemene voorwaarden, oftewel zo’n verplichting is altijd ongeldig te verklaren door de consument. De enige uitzondering is als er bij bepaald is dat de consument altijd een maand of meer heeft om te beslissen alsnog naar de rechter te willen. Voor arbitrage ligt het iets genuanceerder.

Voor Nederlanders speelt er nog iets in die voorwaarden: men kan bepalen dat het recht van Californië of de rechtbank in Santa Clara bevoegd is. Ook dat kan niet zomaar: dergelijke regels zijn eveneens onredelijk bezwarend. Je kunt niet worden afgehouden van de rechter waar je volgens de wet recht op hebt. Maar het kán voordelig zijn, want het recht van Californië kan je meer schadevergoeding opleveren dan ons recht.

Arnoud

Mag IP-adressen loggen van de privacywet?

Zo, ik ben weer terug van vakantie. Leuk om te zien dat de gastblogs zo populair zijn 🙂 Tijdens mijn vakantie bleven de vragen binnenstromen. Ga zo door!

Een veel voorkomend onderwerp betrof het al dan niet mogen loggen of vastleggen voor allerlei doeleinden van IP-adressen. IP-adressen zijn immers persoonsgegevens, en die mag je toch niet zomaar verwerken zonder toestemming? Bij sommige vraagstellers bespeurde ik een trollerige achtergrond (“ik wil ze terugpakken want ze hebben me geband”) maar het is natuurlijk een serieuze vraag.

Ja, een IP-adres is een persoonsgegeven. Meestal dan; een IP-adres identificeert een computer (ok, netwerkinterface) maar vaak is die computer door één persoon in gebruik, zodat het adres net zo persoonlijk wordt als een telefoonnummer. Het IP-adres van een server is natuurlijk geen persoonsgegeven.

Als je niet zeker weet of een IP-adres een persoon identificeert, maar je weet dat dit váák wel het geval zal zijn, dan kun je het beste op safe spelen als je privacytechnisch correct wilt zijn. Daarom (en omdat niet alleen de auteurswet last heeft van permanente expansie) wordt veelal aangeraden om IP-adressen altijd als persoonsgegeven te behandelen.

En dat betekent inderdaad dat je als hoofdregel alleen mag werken met een IP-adres als je toestemming hebt van de gebruiker daarvan.

Als hoofdregel, want er zijn wel degelijk uitzonderingen op die regel. Zo is er de regel dat je geen toestemming nodig hebt als het gebruik nodig is voor het uitvoeren van een overeenkomst met die gebruiker. Wil men een IP-sessie met jou, dan is het vrij logisch dat je het IP-adres gebruikt om die sessie op te zetten en te onderhouden. Wil men ingelogd blijven, dan mag je het IP-adres opslaan in je database om na te gaan of het nog steeds dezelfde persoon is. (Of dat slim is, is wat anders; het mag.)

Loggen van IP-adressen en met name het hebben van blacklists met IP-adressen vallen natuurlijk niet onder die “uitvoeren van een overeenkomst” uitzondering. Maar er is er nog eentje: als jouw gebruik van persoonsgegevens absoluut noodzakelijk is voor een legitiem doel én toestemming vragen is zinloos én jouw belang weegt op tegen de privacy van de wederpartij, dan mag het ook zonder toestemming.

Dit zijn drie hoge eisen maar het lijkt me dat een blacklist van structureel irritante personen wel voldoet aan deze eis. Het weren van zulke types is een legitiem doel, dat móet eigenlijk wel op basis van IP-adres en toestemming vragen aan trollen is waanzin.

Wel vraag ik me af hoe je dan om moet gaan met dynamische IP-adressen. Het overkwam mij ook laatst dat ik ineens geband was op Wikipedia: de vorige UPC-klant met dat IP-adres had kennelijk nogal huisgehouden. Een goede site heeft een bezwaarprocedure voor blokkades die irrelevant zijn geworden vanwege verlopen IP-adressen. Alleen, hoe ga je dan weer om met trollen die drie dagen niks zeggen en dan roepen dat ze tegen de ban van hun voorganger zijn aangelopen?

Arnoud

Gastpost: Het Nederlandse Cyberleger

cyberleger.jpgVanwege mijn vakantie blog ik zelf niet, maar ik ben blij diverse gastbloggers te mogen verwelkomen. Vandaag Homme Bitter over het Nederlandse cyberleger.

Nederland heeft geen cyberleger. Dat is als 1e wereldland en vooraanstaand lid van de NATO natuurlijk iets wat zo snel mogelijk opgelost moet worden. Daarom is er door de minister van defensie op 27 juni een presentatie gehouden van de plannen om ook Nederland mee te laten tellen. Deze presentatie heeft hij gegeven op de Nederlandse Defensie Academie in Breda tijdens een symposium over dit onderwerp. Ik ben daar als gast aanwezig geweest en wil graag mijn ervaringen delen.

Er wordt door defensie hoog ingezet. “Cyber” wordt gezien als een nieuw slagveld. Ter land, ter zee, in de lucht, in de ruimte en nu ook in de virtuele ruimte, kan je oorlog voeren.

Nu we een heel nieuw potentieel slagveld hebben, moet er ook een leger worden opgericht wat toegerust is om op dat slagveld zijn/haar mannetje te staan. Behalve de technische invulling daarvan, zal dat ook betekenen dat er juridisch een en ander geregeld moet worden. De laatste echt serieuze verdragen die internationaal bepalen wat wel en niet bij een oorlog hoort, komen nog uit Genève en dateren in beginsel uit 1949. Er zijn weliswaar toevoegingen aan gedaan in 1977 en 2005 maar die gaan nog steeds niet over wat je nou wel en niet mag bij cyberoorlogsvoering. Sowieso, wat mag het leger wel wat de politie of de AIVD niet mag en omgekeerd?

Een deel van het symposium waarop de presentatie van het cyberleger werd gedaan, ging over deze vraag. Wat moet het leger voor taak in gaan vullen, hoe zit dat nu wettelijk geregeld en wat moet er eventueel aan aanvullende wetgeving komen om die taak beter uit te kunnen voeren, of om die taak mogelijk te maken. In principe heeft het leger twee taken. Het verdedigen van de internationale rechtsorde en het voorkomen van maatschappij-ontwrichtende gebeurtenissen. Dit is niet de letterlijke tekst uit de wet, maar kort door de bocht komt het daar wel op neer. Als je dat naar het digitale domein vertaalt, zou dat in de praktijk betekenen dat het leger ingezet zou kunnen worden voor Internationale “vredesmissies” waarbij zowel verdedigend als aanvallend, samen met bondgenoten, acties worden uitgevoerd. Wat ook heel goed zou kunnen, is dat het leger net als bij het plaatsen van een veldhospitaal bij een ziekenhuis waar de operatiekamer besmet is, ook een “veldcomputercentrum” kan plaatsen bij zo’n zelfde ziekenhuis waar een virus de ICT plat heeft gelegd.

Wat gaan soldaten doen in conventionele oorlogsvoering, nu er een extra slagveld bij is gekomen? Gaan ze de infrastructuur van de vijand DDoSen? Gaan ze inbreken op de computers en de gegevens verminken of wissen? Gaan ze op Internet propaganda neerzetten die de bevolking van de vijand in opstand moet laten komen? Of gaan ze civiele doelen aanvallen, waardoor de brandweer en ambulances in het vijandelijke land niet meer kunnen functioneren? Het Internet daar platleggen? Worden het subtiele, doelgerichte aanvallen, al dan niet zonder dat de dader te achterhalen is? Gaan er ook cybersoldaten mee op patrouille om buitgemaakte datadragers forensisch te onderzoeken op strategische informatie? Dit is allemaal nog niet bekend en het is ook nog niet duidelijk hoe dat wettelijk allemaal geregeld is. Wat mag wel, wat mag niet, wat valt onder de huidige Internationale wetgeving en waar moet er nog wetgeving voor bij komen?

Een ander deel van wat er nu bij komt voor het leger, heeft met de militaire tegenhanger van de AIVD, de MIVD te maken. Die twee werken al nauw samen, maar omdat de AIVD zich meer met terrorisme en economische spionage bezig houdt, zal het militaire spioneren, pardon, het voorkomen van andermans militaire spioneren op de computernetwerken van Nederland en de bondgenoten op het bordje van de MIVD terecht komen. Sommigen binnen defensie vinden het lastig om dat te kunnen doen zonder dat er meer rechten komen voor de MIVD en andere inlichtingendiensten. De vergelijking wordt getrokken tussen radioontvangst en Internetontvangst. Alles wat in de ether langs komt, mag de MIVD uit de lucht plukken en opnemen, decoderen en wat ze er ook maar mee van plan zijn. Als ze heel Internet zouden kunnen “ontvangen” en er systemen op kunnen zetten zoals Echelon, of zoals FaceBook z’n gebruikers afluistert om pedofielen mee te vangen, zou dat hun werk een stuk makkelijker maken.

Niet iedereen binnen defensie heeft deze mening en het is uiteindelijk aan de wetgever om te bepalen wat de grens gaat worden. Het leger mag qua radio-ontvangst op zich ook niet veel meer dan wat iedere burger nu mag. Er is in principe vrije radioontvangst en de enige uitzondering die daar nu voor is, is het descramblen van C2000 en het hebben van een radarverklikker in je auto. De reden daarvoor is veel discussie over geweest, maar het komt er op neer dat je de politie zou hinderen in hun werk en je zou eens plotseling remmen als je radarverklikker afgaat, dat is gevaarlijk weggedrag. Of dat valide redenen zijn of niet kan je nog twijfels over hebben, maar het is een uitzondering op wat sowieso al mag en hij is beargumenteerd. Gewone burgers mogen niet zomaar iedereens Internet of telefonie afluisteren, dus waarom de overheid dat ineens wel zou mogen met als argument “voor onze veiligheid” is mij niet helemaal duidelijk geworden. Het is in ieder geval een discussiepunt en we kunnen verwachten dat dit opnieuw in de politiek ter sprake gaat komen in het kader van dit nieuwe legeronderdeel.

Het is duidelijk dat de Nederlandse overheid wel inziet dat ze dit niet in hun eentje moeten doen en dat het leger dit ook niet moet doen zonder met de politie en de AIVD samen te werken. Het onderscheid tussen terrorisme, criminaliteit, spionage, een ongeorganiseerde opstand zoals van Anonymous en een frontale aanval is vaak maar lastig en meestal pas achteraf te bepalen. Hoe je daar nou invulling aan moet geven en in hoe je je bondgenoten moet betrekken is nog niet helemaal duidelijk, dus we gaan in de toekomst vast nog interessante dingen over dit onderwerp te zien krijgen.

Ik vind zelf dat we in alle redelijkheid moeten gaan kijken naar hoe we dit als land aan gaan pakken. Dat er mensen met foute bedoelingen zijn die ICT gebruiken als middel om hun doel te bereiken is niet te vermijden. We zullen daar als samenleving en dus ook via onze overheid aandacht aan moeten besteden. Welke rechten en plichten we onze overheid daarin geven, is iets waar we zorgvuldig over na moeten denken. We moeten met zijn allen het doel niet uit het oog verliezen en onze vrijheid weg geven door de verkeerde middelen te kiezen om haar te beschermen.

Homme Bitter is consultant bij Sogeti. Hij is in zijn dagelijkse werk betrokken bij beveiliging van ICT-systemen en de problemen die daar mee samen gaan op juridisch vlak.

Gastblog: Internet en openbaar maken (II)

op-fm.jpgOmdat ik nog steeds met vakantie ben, ook vandaag weer een gastblog. Vandaag deel 2 van het tweeluik van ICT-advocaat Lex Bruinhof over internet, auteursrecht en openbaar maken.

In mijn vorige gastblog legde ik uit waarom voor embedded muziek op radioportals (of embedded muziek- of andere video’s op andere sites) naar mijn mening betaald moet worden aan Buma. In dat kader vertelde ik het een en ander over ons Nederlandse begrip “secundair openbaar maken”. Ik gaf daarbij echter aan dat zaken als radioportals tegenwoordig beoordeeld moeten worden met toepassing van de Auteursrechtrichtlijn en de uitleg daarvan door het Hof van Justitie van de EU (HvJEU). De richtlijn kent het begrip “openbaar maken”niet (laat staan “secundair openbaar maken”). Wel is er een begrip dat daarop lijkt: “het recht op mededeling aan het publiek”.

De richtlijn zelf maakt al duidelijk dat onder dat begrip moet worden verstaan:

een doorgifte of wederdoorgifte van een werk, per draad of draadloos, met inbegrip van uitzending.

Jurisprudentie van het HvJEU heeft daarbij inmiddels duidelijk gemaakt dat daarbij geldt dat het “publiek” in het kader van de “mededeling aan het publiek” een “nieuw publiek” moet zijn. Dat wil zeggen: een publiek waarmee de auteur geen rekening hield toen hij toestemming gaf tot de openbaarmaking van zijn werk (arresten Rafaël Hoteles en PremierLeague).

Waar hebben we dat meer gehoord? Ach ja, dat was de dwaalweg waarop onze eigen Hoge Raad zich oorspronkelijk ook bevond. Wat leidde tot al dat gepuzzel over de vraag of het publiek in een concreet geval nu wel of niet “nieuw” was. Toegegeven: het HvJEU hanteert een wat subjectiever criterium (“waarmee de auteur geen rekening hield”), maar in de praktijk moet dat natuurlijk toch geobjectiveerd worden.

Daarnaast geldt volgens het HvJEU (samengevat):

Om van een publiek te kunnen spreken moet sprake zijn van een onbepaald aantal potentiële kennisnemers van het werk. Zij kunnen van dat werk kennis nemen door de interventie van de openbaarmaker. Deze moet daarbij een winstoogmerk hebben (bovengenoemde arresten plus SCF/DelCorso en Iers hotel)

Gelukkig hanteert ook het HvJEU het winstoogmerk nog. Naar mijn mening zouden we aan dat criterium ook voldoende hebben. Steeds wanneer een nieuwe openbaarmaker een bestaande openbaarmaking verder verbreidt en daaraan verdient wordt het (muziek)werk geëxploiteerd en is het billijk dat de maker daarvan meeprofiteert. Nieuw publiek of geen nieuw publiek maakt daarbij wat mij betreft echt niets uit. Exploitatie of niet: dáár gaat het om.

Maar het HvJEU denkt er dus anders over en wil kennelijk een combinatie van winstoogmerk en nieuw publiek. Op die manier heeft het afgelopen maart geoordeeld dat een Turijnse tandarts geen “mededeling aan het publiek” deed. Volgens het Hof was er én “geen winstoogmerk” (onzin volgens mij) én waren er te weinig luisteraars, zeker tegelijkertijd beschouwd, om van “publiek” te kunnen spreken. Een Iers hotel dat een CD speler plus CD’s in de kamers had staan (waarbij het aan de gasten werd overgelaten daar al dan niet gebruik van te maken) werd echter wel geacht “mee te delen aan het publiek”.

Ik heb mijn verontwaardiging over deze tamelijk willekeurig overkomende uitspraken destijds al met de wereld gedeeld. Op dit moment is interessanter wat dit nu allemaal betekent voor de casus rond Nederland.fm en Op.fm uit deel I van deze gastblog.

Welnu: Nederland.fm doet ongetwijfeld naar geharmoniseerd Europees auteursrecht een “mededeling aan het publiek”. Er is een interventie (het beschikbaar stellen van de diverse stations op de site). Er is een “nieuw publiek” (de mensen die liever naar deze site gaan waar ze kunnen zappen dan naar de sites van de stations zelf). En dat publiek is ongetwijfeld groot genoeg. En, niet te vergeten: er is een winstoogmerk.

En hoe zit het met Op.fm? Tja… Als het HvJEU bereid is een mededeling aan het publiek aan te nemen als er alleen maar een CD speler en CD’s in een hotelkamer liggen, wie weet hoe het dan beslist ten aanzien van een website met links naar radiostations… De eigenaar van Op.fm “intervenieert” door de links naar de stations beschikbaar te stellen. Het nieuwe publiek is hetzelfde als bij Nederland.fm. Er zit een winstoogmerk element in het feit dat bij de link-catalogus op de site van Op.fm ook reclame wordt getoond. Die site is dan wel van het scherm af zodra het station aangeklikt is, maar het betreffende venster kan zo weer teruggeroepen worden.

Feit blijft natuurlijk dat de muziek niet via de site van Op.fm ten gehore wordt gebracht. Naar het oude Nederlandse recht is dat voor mij voldoende om aan te nemen dat er niet wordt openbaar gemaakt. Maar is het daarmee ook geen “mededeling aan het publiek”? De CD speler en de losse CD’s “liggen” immers ook alleen maar in de hotelkamer en doen zelf niets… Toch was dat voor het HvJEU genoeg.

Kortom: naar het nieuwe geharmoniseerde recht weet ik het nog niet zo net met dat Op.fm. Wat niet wegneemt dat ik het onzin zou vinden, temeer omdat het onze notie van de hyperlink als louter verwijzingsmiddel ondergraaft. Wie weet waar dat nog toe zou leiden. Vooralsnog hou ik het er daarom maar op dat Nederlandse rechters de Ierse hoteluitspraak niet gaan uitstrekken tot het internet. Wat offline geldt en niet deugt hoeft van mij online niet te gaan gelden 🙂

Hiermee is mijn gastbijdrage voltooid. Tot slot. Wat vinden jullie, (mede-)lezers van Arnoud’s blog? Zijn jullie het met mij eens dat onze Nederlandse regels rondom het begrip secundaire openbaarmaking een stuk verfijnder zijn (en de spijker meer op de kop slaan) dan de Europese rond het begrip mededeling aan het publiek? Of zien jullie wel wat in dat begrip? En hoe moet het dan met niet-embedded verwijzingen naar beschermd werk?

Lex Bruinhof is advocaat en compagnon bij Wieringa Advocaten. Hij heeft jarenlange ervaring in het intellectuele eigendoms- en mediarecht, vaak toegepast binnen de wereld van Internet en ICT. Lex is daarnaast voor één dag per week verbonden aan de Universiteit van Amsterdam, waar hij in kunst-, cultuur- en informatieopleidingen onder andere auteursrecht en informatierecht doceert.

Gastblog: Internet en openbaar maken (I)

op-fm.jpgOmdat ik nog steeds met vakantie ben, ook vandaag weer een gastblog. Ditmaal ICT-advocaat Lex Bruinhof in een tweeluik over internet, auteursrecht en openbaar maken.

Iemand riep eens: “Wat offline geldt, moet ook online gelden!”. Ik geloof dat het toenmalig minister van justitie Hirsch Ballin was, maar als ik zoek op Google kom ik voornamelijk verwijzingen tegen naar Arnoud (nr. 5, 7, 8 en 9!) en naar mijn kantoor (nr. 3). Hoe dan ook: de kreet was ooit wel het standpunt van de Nederlandse regering. Voor Buma was deze kennelijk niet aan dovemansoren gericht. Zij redeneert: “Als een kabelexploitant die een radio-uitzending doorgeeft geacht wordt openbaar te maken, dan geldt dat ook voor een website die dat doet”. En dus vraagt zij ten behoeve van haar aangeslotenen een vergoeding aan “radioportals” van 10% van de netto inkomsten.

Niet iedereen wil dat betalen. Zo is Buma al een tijdje verwikkeld in een procedure tegen Nederland.fm, een portal dat het mogelijk maakt online naar een Nederlands radiostation naar keuze te luisteren. Het betreffende station wordt dan embedded weergegeven op de homepage van Nederland.fm. Daar staan ook advertenties, waarmee het verdienmodel gegeven is. Buma zegt: “Dit is secundair openbaar maken” . Daar is iets voor te zeggen, zoals ik straks zal uitleggen.

Maar nu werd onlangs bekend dat Buma ook vergoeding zou willen vragen van een zustersite van Nederland.fm, genaamd Op.fm. Die site maakt het óók mogelijk naar radiostations te luisteren, maar dan niet embedded, maar door een link aan te bieden. Als je op Op.fm het radiostation van je keuze aanklikt opent je browser een nieuw venster, waarin de website van het gekozen station wordt weergegeven via welke het geluid binnenkomt. Bij Op.fm dus geen embedding, maar gewoon een catalogusje van links naar radiostations. Is dat óók openbaar maken?

Het probleem is dat onze prachtige Nederlandse begrippen “openbaar maken” en “verveelvoudigen”, waar we in 100 jaar jurisprudentie alle relevante vormen van het exploiteren van auteursrechtelijk beschermd materiaal in hebben weten onder te brengen, niet meer zijn wat ze eens waren. In 2001 is door de EU de Auteursrechtrichtlijn uitgevaardigd, met als doel het auteursrecht van de lidstaten op belangrijke punten te harmoniseren. Op die manier zouden wij allemaal auteursrechtelijk veilig door de internetrevolutie worden geloodst. Het begrip “openbaar maken” bestaat niet in de Auteursrechtrichtlijn. Wel is er het begrip “mededeling aan het publiek”. Volgens de richtlijn is daarvan sprake bij

een doorgifte of wederdoorgifte van een werk, per draad of draadloos, met inbegrip van uitzending.

De verdere invulling van het begrip is overgelaten aan het HvJEU, de hoogste Europese rechter. Zoals altijd bij Europese richtlijnen mogen de nationale rechters de begrippen en regels daaruit niet op eigen houtje gaan interpreteren. Als er vragen rijzen moeten die worden voorgelegd aan het HvJEU. Dat heeft de afgelopen jaren al tot een aantal opmerkelijke uitspraken geleid (waarover meer in deel II).

Eén ding staat wel vast. Het doorgeven van een muziekstation via internet valt absoluut onder de definitie van “mededeling aan het publiek”. Het is immers “de wederdoorgifte van (muziek)werken, per draad of draadloos”. De Nederlandse rechter zal dus (mede) op basis van de jurisprudentie van het HvJEU over de zaken van Nederland.fm en Op.fm moeten oordelen.

Is dat erg? Ja, ik vind eigenlijk van wel. Ons Nederlandse auteursrecht had kwesties als deze nu juist zo mooi in de bestaande jurisprudentie geregeld. Daarbij was weliswaar een moeilijk begrip geïntroduceerd: “secundair openbaar maken”, maar de daaraan opgehangen regels zijn glashelder. Zoals ik het tot dusver altijd aan mijn studenten heb kunnen uitleggen zat het naar (oud?) Nederlands recht aldus in elkaar.

Er is sprake van secundair openbaar maken als A een werk aan het openbaar maken is en B tegelijkertijd die openbaarmaking “verder zet” (op z’n Vlaams). “A” is dan bijvoorbeeld een radiostation dat een plaatje draait en “B” is een tandarts die de radio heeft aanstaan in zijn praktijk (secundaire openbaarmaking aan de patiënten). Óf “B” is een exploitant van een website die de mogelijkheid biedt via die site online naar het radiostation te luisteren (secundaire openbaarmaking aan de bezoekers).

Willen we daadwerkelijk van secundaire openbaarmaking kunnen spreken dat is er nog wel één vereiste: “B” moet bij dat verder gezette openbaar maken een beroeps of soortgelijk belang hebben. Grof gezegd: “hij moet er financieel beter van worden”. De tandarts wordt dat omdat zijn praktijk met muziek aantrekkelijker wordt voor zijn patiënten. En de website geniet opbrengsten uit de bij de muziek in beeld gebrachte reclame-banners. (Maar als ik via mijn ghettoblaster op het Zandvoortse strand datzelfde radiostation tot in IJmuiden hoorbaar maak, heb ik daar geen financieel belang bij en maak ik daarom niet secundair openbaar.)

Hartstikke helder. De Nederlandse rechtspraak heeft er dan ook wel een jaar of vijftig over gedaan om dit zo uitgekristalliseerd te krijgen. Eerst dacht men dat het van belang was of de secundaire openbaarmaker “een nieuwe kring van het publiek” bereikte. Dat gaf echter een behoorlijk gepuzzel (kunnen kabelontvangers nu wel of niet bepaalde signalen ook uit de ether plukken, etc.). Uiteindelijk kwam men tot het inzicht dat het eigenlijk helemaal niet om dat publiek gaat, maar om de openbaarmaker. Is dát een andere organisatie dan de oorspronkelijke openbaarmaker en profiteert hij van dat verdere openbaar maken, dán is die secundaire openbaarmaking relevant. Waarom? Heel simpel: omdat het openbaar maken dan het exploiteren van een werk is en dáár biedt het auteursrecht nu juist bescherming voor.

Niet alleen hartstikke helder dus, maar ook hartstikke eerlijk. Iedereen die er financieel van profiteert dat de tekstschrijver en componist zich in het zweet hebben gewerkt om een mooi nummer te maken moet een stukje van dat profijt aan hen afdragen.

Toegepast op de Buma-casus betekent dit dat Nederland.fm moet betalen en Op.fm niet. De eerste maakt secundair openbaar: de muziek komt binnen via de website Nederland.fm en daar genereert Nederland.fm ook zijn reclame-inkomsten. Op.fm levert daarentegen alleen een overzichtje van links naar online te beluisteren radiostations. Linken is, zolang het niet tot een embedded weergave leidt, geen openbaar maken. Het is louter verwijzen naar een openbaarmaking door een ander. Zodra de link gevolgd is, is de bezoeker weg van de oorspronkelijke site. De eigenaar daarvan maakt dus niet openbaar (waarmee het tevens irrelevant is geworden dat hij ook advertenties op zijn site had staan).

En in het kader van “Wat offline geldt moet ook online gelden”: Als ik tegen iemand roep: “Arrow Jazz 90.7 FM is een leuke zender; hier, laat me je radio daarop afstemmen” en dat vervolgens doe, dan maak ik toch ook niet openbaar? Zelfs niet als ik een T-shirt aanheb met daarop in grote letters “Wieringa Advocaten”. So there.

Of deze uitleg ook kan worden toegepast op het Europese begrip “mededeling aan het publiek” behandel ik graag in de volgende gastblog. Tot die tijd verneem ik graag jullie reacties. Vinden jullie het door mij geschetste stelsel óók zo eerlijk? Of vinden jullie dat embedded radioportals door Buma met rust gelaten zouden moeten worden?

Lex Bruinhof is advocaat en compagnon bij Wieringa Advocaten. Hij heeft jarenlange ervaring in het intellectuele eigendoms- en mediarecht, vaak toegepast binnen de wereld van Internet en ICT. Lex is daarnaast voor één dag per week verbonden aan de Universiteit van Amsterdam, waar hij in kunst-, cultuur- en informatieopleidingen onder andere auteursrecht en informatierecht doceert.

Gastpost: Mosterd na de maaltijd voor gamers

game-voucher.jpgOmdat ik met vakantie ben deze week nog enkele gastblogs. Vandaag een gastblog van Tim van Maarseveld over de gamingindustrie en hoe deze (in tegenstelling tot zekere andere contentindustrieën) wél snel omgaat met veranderingen in de markt.

Arnoud heeft er eerder over geschreven op zijn blog: de volgens ITenRecht baanbrekende uitspraak van het Hof van Justitie inzake tweedehands verkoop van software. Volgens het Hof is het toegestaan gedownloade software door te verkopen. Voor tweedehands softwareverkopers is dit ongetwijfeld fijn nieuws. Maar de software branche bestaat uit meer dan operating systems en office pakketten. Games zijn ook een groot onderdeel van de softwaremarkt. Kopers en verkoper van tweedehands games zullen in eerste instantie verheugd zijn, maar de praktijk is echter een stuk weerbarstiger.

Games worden nog steeds via fysieke gegevensdragers (dvd’s/blu-ray) aangeboden, maar er is ook een stijging in het aantal games dat via digitale distributieplatforms zoals Steam, Origin en Xbox Live wordt aangeboden. Naast de reguliere retail verkoop van games is er ook een levendig handel in tweedehands spellen. Ondanks dat de prijzen van eerstehands games na ongeveer een jaar met 50% afnemen, blijft dit voor veel jeugdige gamers (10 tot en met 25 jaar) toch nog een behoorlijk hoog bedrag. Daarom zoeken deze gamers hun heil op de tweedehands markt, waar de games, vaak met wat vertraging, een stuk goedkoper te verkrijgen zijn.

De gamesindustrie is groot en nog steeds groeiende. Men beweert zelfs dat de gamesindustrie groter is dan Hollywood. Met een omzet van 6 miljard dollar voor een van de bekendste game-franchises dit niet moeilijk te geloven. De gamesindustrie claimt al een aantal jaar dat het verlies ondervindt van deze tweedehands handel.

Nu er zoveel geld mee gemoeid is, heeft de industrie een paar jaar terug als reactie op de tweedehands markt vouchers bij haar spellen gevoegd. Deze voucher krijgt een koper bij zijn nieuw aangeschafte game. Zo’n voucher geeft recht op extra content of toegang tot online functionaliteit om gezamenlijk met andere gamers via internet te kunnen gamen). Deze vouchers zijn eenmalig bruikbaar en kopers krijgen er maar 1 van bij hun spel. Bij tweedehands doorverkoop van een spel is een gebruikte voucher nutteloos.

Naast de tendens tot het uitgeven van vouchers is er een andere tendens te zien in de gamemarkt. Games worden meer als dienst in de markt gezet dan als product. Tegenwoordig zijn er namelijk steeds meer spellen waar je voor een bepaalde speeltijd, extra content of bepaalde voorwerpen (micropayments) in het spel geld betaald. Het traditionele business model van eenmalig betalen en onbeperkt gebruiksgenot is langzaam aan het verdwijnen. Daarvoor in de plaats wordt ‘gaming’ meer als dienst in de markt gezet, dan als product.

Uit het bovenstaande valt te concluderen dat de industrie snel en adequaat reageert op veranderingen in haar omzet en de markt.

Juristen zullen op basis van de uitspraak van het Hof beargumenteren dat deze voucherconstructie tegen het wettelijke gebruiksrecht van de tweedehands koper ingaat, omdat de game in zijn totaliteit (voucher en game) gekocht is voor een vast eenmalig bedrag wat recht geeft op onbeperkt (qua tijd) gebruik.

Toch denk ik dat deze uitspraak weinig effect voor de tweedehandsmarkt voor games zal hebben. Ten eerste is het voor de consument penny wise, pound foolish om te procederen over het kunnen doorverkopen van een game. Ten tweede heeft de gamesindustrie al laten blijken snel en adequaat te kunnen reageren op veranderingen in de markt. En als laatste zijn al alternatieve modellen voor de voucherconstructie in de vorm van micropayments en het aanbieden van games als diensten.

Zetten deze tendensen voort dan zal, naar mijn mening, de vraag naar tweedehands spellen dalen en als resultaat de tweedehandsmarkt voor games krimpen tot een nichemarkt voor verzamelaars voor de koop en verkoop van oude spellen.

En om in de stijl van Arnoud af te sluiten met een vraag:

Hoe zien jullie de toekomst van de gamesindustrie en de rechten van de gamer?

Tim van Maarseveen is Consultant bij Thauris BV. Als jurist afgestudeerd in informatierecht, maar ook als IT’er en gamer volgt hij de gamesindustrie op de voet.

Gastpost: Het downloaddebat, water bij de wijn doen?

De komende twee weken ben ik met vakantie. Gelukkig heb ik een aantal gastbloggers gevonden die hier willen publiceren. Vandaag geeft mijn ICTRecht-collega Peter Kager zijn ongezouten mening over het downloaddebat en het blokkeren van The Pirate Bay.

Nu mijn werkgever Arnoud van zijn meer dan welverdiende vakantie geniet heb ik de mogelijkheid gekregen om hier een blog te schrijven. Niet alleen Arnoud is op vakantie, ons demissionaire kabinet rust ook uit. Vandaar dat het vanuit Den Haag relatief rustig is met wetstechnisch voer voor het ‘downloaddebat’. Maar in Den Haag zit men niet stil.

Het debat rust niet. Meer specifiek het debat over de blokkade van de roemruchte Pirate Bay. Het lijkt een welles-nietes verhaal te worden. BREIN zegt dat het Nederlandse verkeer naar de website gekelderd is sinds de blokkades van de acces providers. XS4ALL schreef in een antwoord daarop dat het bittorentverkeer juist licht gestegen is. En uit een onderzoek van Nu.nl blijkt dat providers geen grote veranderingen zien sinds de blokkades. De <a href=”http://www.uva.nl/actueel/nieuws/nieuws.cfm/E23822A1-C772-4CD8-A21DA2E6A0A1E7AC->UVA toonde dit eerder ook aan.

Het rapport van BREIN vertelt geen onwaarheden. Het Nederlandse verkeer zal ongetwijfeld gedaald zijn. Dat wil echter niet zeggen dat Nederlanders The Pirate Bay niet meer bezoeken. Internetters zijn creatief en het omzeilen van een blokkade via een (buitenlandse) proxy is kinderspel.

Het hele welles-nietes verhaal is net zo kinderachtig als het klinkt. Op The Pirate Bay wordt naar lieve lust auteursrechtelijk beschermd materiaal gratis gedeeld, uiteraard zonder toestemming, daar hoeft geen onderzoek meer aan te pas te komen. Als vertegenwoordiger van de rechthebbenden probeert BREIN de inbreuk te stoppen. De werkwijze van BREIN lijkt echter meer en meer een gebed zonder einde te worden. Proxy neerhalen hier, proxy neerhalen daar, maar ondertussen schieten andere proxies als paddenstoelen uit de grond en lachen de recalcitrante internetters zich rot.

Het aanpakken van The Pirate Bay zelf helpt niet, de oprichters blijven vluchten en als hosting providers niet langer mee wensen te werken verhuist de website doodleuk. De logische volgende stap was de access providers aanspreken. Nu dit ook geen succes lijkt te hebben is de vraag hoe The Pirate Bay aangepakt moet worden. Downloaders van films en muziek aanpakken kan naar Nederlands recht (nog) niet. Uploaders aanpakken wel, maar is dit wenselijk en / of haalbaar zonder (grove) privacy schendingen? Ik denk het niet.

De wet aanpassen is een goede tweede oplossing. Het oude en stoffige auteursrecht moet aangepast worden aan deze tijd. Maar hoe moet de wet aangepast worden? Harmonisatie binnen de EU zou een goede stap zijn.

Moeten auteursrechthebbenden veranderen? Zal het illegale aanbod afnemen als de legale alternatieven toenemen? Het zijn leuke discussiepunten, zo blijkt uit een recent onderzoek van de Nederlandse overheid.

Alle betrokkenen, rechthebbenden, (il)legale aanbieders, providers en internetgebruikers zullen water bij de wijn moeten doen. De rechthebbenden moeten keihard gaan werken om legaal aanbod te bieden. Prijzen moeten redelijk zijn en het zou een goede zaak zijn als content wereldwijd tegelijk beschikbaar komt, dat neemt een reden tot gratis downloaden weg. De wetgever moet de rechthebbenden hierbij, waar mogelijk, gaan helpen en de recalcitrante internetters moeten gaan accepteren dat er betaald moet gaan worden voor goede content.

Maar, opgepast, teveel water zorgt er voor dat de wijn niet meer te drinken is.

Peter Kager is sinds november 2011 juridisch adviseur bij ICTRecht. Peter is afgestudeerd aan de Vrije Universiteit van Amsterdam. Hij heeft daar de master IT en Recht gevolgd waarbij hij de nadruk heeft gelegd op de combinatie van het intellectueel eigendomsrecht en het internet. Zijn scriptie heeft hij geschreven over de problematiek rondom het downloaden van films uit evident illegale bron door thuisgebruikers. Een controversieel en misschien wel daarom, zeer interessant onderwerp.

Gastpost: Een Duitse webwinkel voeren, toch net even anders

germany-shop.jpgOmdat ik met vakantie ben, blog ik tijdelijk niet. Ter afwisseling een aantal gastblogs. Vandaag een gastblog van Armande Borghardt, webwinkelier in kralen en sieraden die met het Duitse e-commercerecht te maken kreeg.

Al jaren heb ik een webwinkel in Nederland. Dus nu ik in Duitsland woon, was het een logische stap om een webwinkel in Duitsland te beginnen. Ik had al vaker bedacht dat ik best in Duitsland kralen kon verkopen, maar als je geen Duits adres en telefoonnummer hebt, dan schrikt dat de Duitse bezoeker toch af.

Het zakendoen in Duitsland is anders dan in Nederland, zelfs al zijn het onze buren. Duitsers zijn een stuk formeler, ze zijn hiërarchischer ingesteld en ze vinden vakkennis heel belangrijk. Het feit dat ze formelere omgangsvormen hebben, betekent ook dat je heel vlot juridische problemen kunt krijgen als er iets niet klopt op je website. In de meeste gevallen ontvang je dan als eerste een brief van een advocaat. Er is geen stap daaraan vooraf met een brief van het bedrijf zelf, nee ze schakelen gelijk een advocaat in.

Die mogelijke juridische problemen zijn in mijn webshop ondervangen met certificering door Trustedshops. Trustedshops is een Duits keurmerk dat de belangen van consumenten behartigt. Dit keurmerk wordt verstrekt aan webwinkels die duidelijk zijn, zorgvuldig omgaan met de gegevens van hun bezoekers, en een “niet goed – geld terug” garantie geven.

Omdat ik al jaren een Nederlandse webwinkel voer, dacht ik dat het wel mee zou vallen om goedgekeurd te worden maar nee dus. Bij het aanvragen van het keurmerk wordt eerst je juridische status gecontroleerd (dat was akkoord) en daarna wordt de webwinkel gecheckt. Na controle krijg je een zogenaamd “Prüfungsprotokoll” van zo’n 40 pagina’s en blijkbaar was tweederde van de controlepunten niet akkoord. Dat stemt een beetje moedeloos maar ik moet erbij zeggen dat veel punten een herhaling waren omdat bepaalde afgekeurde punten op diverse plekken in de webshop terug kwamen.

Je krijgt er ook het Praxishandbuch van 211 pagina’s bij zodat je alles nog eens op je gemakje kunt nalezen. Of als je niet kunt slapen. Het Prüfungsprotokoll is, hoewel ontmoedigend in eerste instantie, ook behulpzaam want bij elk punt staat precies in de kolom ernaast vermeld wat het wel moet zijn. In de meeste gevallen kun je dit met knippen-plakken overnemen.

Een voorbeeld is de privacy-verklaring. In onze oude versie was dit een paragraaf van 5 a 6 zinnen waarin wij van de shop plechtig beloofden geen enkel stukje informatie over onze klanten te openbaren, waar dan ook. In de versie goedgekeurd door Trustedshops is dit een lap tekst van twee volle Aviertjes geworden waarbij elk snippertje van mogelijke data-verspreiding wordt ondervangen. Hieronder vallen bijvoorbeeld ook de gegevens die Google Analytics verzamelt en het feit dat er op de site “Langzeitcookies” worden gebruikt. Het systeem onthoudt namelijk de inhoud van het winkelwagentje, ook als je niet bent ingelogd.

Tijdens het traject werden we ook bewust gemaakt van een ander belangrijk punt om rekening mee te houden in de Duitse wetgeving. Dat gaat over hoe retourzendingen zijn geregeld in je algemene voorwaarden. Er zijn namelijk twee varianten om uit te kiezen: Rückgaberecht en Widerrufsrecht. Bij Widerrufsrecht moet de klant zelf de verzendkosten betalen voor retourzendingen tot 40 euro. Bij Rückgaberecht mag de klant het item zo zonder frankering op de post doen, en moet je als ontvanger betalen en dan ook nog met strafport als je daar geen regeling voor hebt.

Widerrufsrecht is het meest populair. Wij hebben dat ook want het komt zelden voor dat er voor meer dan 40 euro wordt terug gestuurd. Als de klant iets retour wil sturen boven dat bedrag, dan zorgen we ervoor dat diegene een DHL-label van ons krijgt. Rückgaberecht komt minder vaak voor maar wordt wel gebruikt bij de verkoop van duurdere producten die op rekening zijn verstuurd.

Het hele traject van goedkeuring duurde zo’n 6 weken. Dat had best sneller gekund maar het is toch knap taaie materie om je als leek doorheen te worstelen, zeker in het Duits. Van de kant van Trustedshops was er steeds vlotte en vriendelijke begeleiding.

Nederlanders zien vaak op tegen de formaliteit van het Duitse zakenleven en ook dagelijks leven, maar er is ook een positieve kant. Het is inderdaad formeler maar altijd correcter. Daar komt het stukje vakkennis om de hoek. Je mag wat verwachten van een dergelijke instantie. Ik heb ondervonden dat, als je eenmaal gewend bent aan de formaliteit, je in Duitsland vlotter en correcter wordt behandeld dan in Nederland. Neem nou de belastingdienst. Ook dat is in Duitsland gedecentraliseerd. Wij vallen onder Finanzamt Kleve. Dat houdt in dat we daar alle belastingzaken afhandelen en we hebben een contactpersoon. Diegene is makkelijk bereikbaar want de naam en het directe telefoonnummer staat op de brieven. Kom daar maar eens om in Nederland!

Nu we het Trustedshops logo mogen voeren, geeft dat zekerheid aan de bezoeker. Het feit dat het vermeld staat, is al voldoende. Bovendien geeft het mij gemoedsrust omdat ik zeker weet dat alles juridisch correct is in de shop.

Armande Borghardt woont in Duitsland, net over de grens, met man en “harige kinderen”. Ze verkoopt kralen en sieraden bij [Kralenwebwinkel Kralenkwarts en Perlenversand Steinperlenwelt.

Nieuwe opt-in vereist voor ex-Wanadoo en Orange abonnees?

Per 1 augustus stopt internetprovider T-Mobile met het ondersteunen van de @wanadoo en @orange e-mailadressen. Vanaf dat moment werkt alleen nog een nieuw aangemaakt @online e-mailadres. Bij DDMA las ik een interessant punt daarbij: mag je die oude adressen dan hernoemen naar @online, of schend je dan de antispamwet?

Je kunt hier twee kanten mee op: (1) het is dezelfde gebruiker, en je corrigeert/actualiseert alleen zijn e-mailadres, dus het mag, of (2) het is een nieuw e-mailadres en dus geldt de eerder verkregen opt-in daar niet voor.

Pakken we de Telecommunicatiewet erbij, dan zien we dat er letterlijk staat

Het gebruik van (…) elektronische berichten voor het overbrengen van ongevraagde communicatie voor commerciële, ideële of charitatieve doeleinden aan abonnees of gebruikers is uitsluitend toegestaan, mits de verzender kan aantonen dat de desbetreffende abonnee of gebruiker daarvoor voorafgaand toestemming heeft verleend (…)

Er staat dus niet letterlijk een verwijzing naar het “nummer”; het moet de abonnee zijn die toestemming heeft verleend. Toestemming kan op zich ook voor bv. meerdere e-mailadressen tegelijk worden gegeven, dus dat is logisch. En een abonnee is een “natuurlijk persoon of rechtspersoon”, niet een e-mailadres.

Het kan wél afhangen van hoe de opt-in is geformuleerd: stond daar “schrijf dit e-mailadres in” of “schrijf mij in”? In het eerste geval kun je niet zomaar een ander e-mailadres gaan mailen vanaf nu. Maar ik vermoed dat de meeste e-mailmarketeers werken met “ja ik wil de nieuwsbrief ontvangen”, zodat de toestemming niet e-mailadresspecifiek is.

Ik zie nu in de DDMA E-mail Code staan dat men daar wél opt-in als adresgebonden beschouwt, dus mogelijk is het advies binnen dat kader bedacht:

De adverteerder draagt er zorg voor dat de bestandseigenaar bij het verzamelen van e-mailadressen degene wiens e-mailadres wordt verzameld duidelijk en op eenvoudig toegankelijke wijze geïnformeerd wordt over de navolgende punten: a) dat het e-mailadres voor het toezenden van reclame zal worden gebruikt;

Maar ook hier twijfel ik of het écht zo streng bedoeld is dat opt-in per mailadres is verkregen.

Het advies bij de DDMA-blog om actief navraag te doen bij de abonnee lijkt me sowieso het beste, maar ik denk dat je op zich het e-mailadres wel kunt omzetten in een uitzonderlijke situatie als deze.

Arnoud

Kopiëren van paspoorten is verboden, tenzij

Van de frase “kopietje paspoort” krijg ik jeuk, maar het is op zich wel goed dat het College Bescherming Persoonsgegevens recent richtsnoeren heeft uitgegeven over het maken van zo’n kopie. Want het begint inderdaad belachelijk te worden, hoe veel bedrijven en instellingen een kopie van je identiteitsbewijs willen maken. En nee, dat mag dus niet zomaar.

In het algemeen hebben medewerkers van bedrijven en organisaties geen wettelijke bevoegdheid om een persoon te verplichten zich te legitimeren, zo beginnen de richtsnoeren. Ze kunnen iemand dus hooguit vragen om legitimatie. Okee, maar je kunt die vraag koppelen aan “anders mag je niet naar binnen/niets kopen” dus dat lijkt me enigszins een wassen neus. Meld het vooraf (bordje bij de deur) en je komt een heel eind.

Belangrijker -ook voor een organisatie zelf- is je afvragen waaróm je wilt dat mensen zich legitimeren. En natuurlijk wat je wilt gaan doen met die legitimaties. Kun je bijvoorbeeld überhaupt vaststellen of een gepresenteerd legitimatiebewijs wel echt is? Ga je je medewerkers op cursus doen om de echtheidskenmerken van een identiteitskaart te leren herkennen?

Soms zijn er wettelijke plichten om iemands identiteit vast te leggen of gegevens vast te leggen. Zo moeten hotels bepaalde gegevens van gasten registreren en die verifiëren uit een officieel identiteitsdocument (wat trouwens wat anders is dan een identiteitsbewijs, en dat is weer wat anders dan een legitimatiebewijs). Maar het vastleggen van die gegevens hoeft niet per se te gebeuren door het hele document te kopiëren, en dat mág dus niet, aldus het Cbp.

Het maken van een kopie van een identiteitsdocument is een verwerking van persoonsgegevens. Daarmee moet die kopie gerechtvaardigd worden onder de Wet bescherming persoonsgegevens. Er moet dus een grondslag zijn. De belangrijkste is de uitdrukkelijke toestemming, en ook de grondslag “dit is nodig om een contract na te komen” of “wettelijke plicht” zal hier vaak een rol spelen. Een werkgever móet bijvoorbeeld een kopie identiteitsbewijs bewaren van werknemers.

“Uitvoering contract” als grondslag komt dus neer op wat ik net zei: je meldt het vooraf en dan hoort het er gewoon bij. Maar in de richtsnoeren trekt het Cbp hier wel een grens: je mag géén contractuele eis stellen dat je een kopie mag maken als je daarmee “bijzondere” gegevens vastlegt, zoals het BurgerServiceNummer. Verwerken daarvan mag immers alléén als daar een wettelijke bevoegdheid voor bestaat, en “we hebben het als algemene voorwaarde bepaald” schept géén bevoegdheid.

Wie dus op grond van zo’n voorwaarde een kopie wil maken, moet het BSN weglaten, net als de foto. Foto’s zijn immers óók bijzondere persoonsgegevens, zodat foto’s niet zomaar mogen worden gekopieerd. Een toegangspas voor werknemers is bijvoorbeeld toegestaan, want een foto heeft daar een duidelijke noodzaak: het tegengaan van gebruik van andermans pas. Maar een hotel heeft voor haar gasten geen reden een foto te bewaren, en mág die dus niet bewaren.

Of je voor overige gegevens (naam, adres, geboortedatum etc) wél zomaar arbitrair mag eisen dat je een kopie mag maken, laat men soort van in het midden. Men zegt:

In zeer uitzonderlijke gevallen kan sprake zijn van het overnemen van gegevens van een identiteits­document of het kopiëren of scannen ervan. Een bedrijf of organisatie moet de noodzaak daartoe dan wel gedocumenteerd kunnen onderbouwen. In de praktijk zal een dergelijke situatie zich niet vaak voordoen, omdat bij een behoefte aan legitimatie het tonen van een identiteitsdocument in beginsel voldoende is.

Dit gaat echter volgens mij over de restcategorie uit de Wbp: de eigen dringende noodzaak die zwaarder weegt dan de privacy. Maar als je het via de algemene voorwaarden aanpakt, zit je niet in deze restcategorie. Dan beroep je je op “noodzakelijk voor uitvoering overeenkomst”, oftewel “dit was afgesproken dat het mocht”.

Daarover iets eerder:

Leveranciers of verkopers staat het in beginsel vrij om aan hun dienst of product voorwaarden te ver­binden. Voordat een overeenkomst wordt aangegaan – zeker als het kostbare producten betreft, langer lopende abonnementen of een koop op afstand – zal een ondernemer (meer) zekerheid willen hebben over met wie hij zaken doet om (toekomstige) betalingen veilig te stellen. Daarvoor kan de ondernemer aanvullende informatie verlangen of voorwaarden stellen om bijvoorbeeld fraude te voorkomen of snel te laten opsporen. Dat betekent overigens niet dat het kopiëren of scannen van identiteitsdocumenten zomaar als voorwaarde gesteld kan worden.

maar men laat het bij die laatste zin, zonder onderbouwing wanneer het dan “zomaar” is en wanneer je wél de voorwaarde mag stellen. Ik zou het eerlijk gezegd niet weten waarom het niet zomaar zou mogen (minus BSN en foto en zo). Zolang er maar een redelijke grond is om die gegevens te willen hebben.

Bij internetdienstverleners wringt dit nog iets meer: je kunt je klanten niet persoonlijk spreken, dus zodra je iets wilt verifiëren dan móet je haast wel een kopie laten opsturen. Denk aan het aangaan van een hostingcontract met achterafbetaling of het indienen van een inzageverzoek onder de Wbp (haha ironie). Ik denk dat het prima is om in die gevallen een kopie te vragen, natuurlijk met weglating van BSN en foto.

Uiteraard moet je wel je beveiliging op orde hebben; gewoon kopietjes paspoort (jeuk) in een doosje doen in het magazijn is natuurlijk niet de bedoeling.

Arnoud