Waarover ging het eerste vonnis op het gebied van internetrecht? Volgens de onvolprezen jurisprudentiebundel van mr. Tina van der Linden was dat een Bulletin Board System (BBS) dat werd aangesproken op illegaal ter download aangeboden software. BBS’en bestaan niet meer, illegale software nog wel. Maar de kwestie van hoe illegale downloads onder het recht vallen, is welhaast zo alledaags geworden dat een junior medewerker van stichting BREIN zich afvraagt waar de AI blijft die deze kan afhandelen. Nee, de controversiële onderwerpen van vandaag in het internetrecht richten zich op heel andere afkortingen: naast AI de bezigheden van Facebook, Apple, Microsoft en Alphabet en de AVG versus de tracking pixel en andere technologie.
Een verschuivend rechtsgebied
De termijn van vijftien jaar is natuurlijk arbitrair. Internet, althans ICT, en de rechtsvragen die door deze technologie werden opgeroepen zijn al veel ouder dan dat. Maar natuurlijk werd dat niet vanaf het eerste moment als apart rechtsgebied onderkend. Curieuze kwesties en lastige feitencomplexen zijn van alle tijden in het recht. Maar op zeker moment ontstond toch een soort van consensus dat er iets was dat we internetrecht, ICT-recht of technologierecht zouden kunnen noemen.
Zoals ik recent nog blogde, de definitie van wat internetrecht dan is, lijkt vaak neer te komen op het feit dat het zwaartepunt van de rechtsvraag zich bevindt in een internet- of ict-aspect van de zaak. Oftewel: hoe ingewikkeld is het om de ict-georienteerde feiten juridisch te duiden of het best passende wetsartikel te vinden. En cynisch gezegd: pas als het zo ingewikkeld is dat de gemiddelde jurist deze duiding nog niet kan uitvoeren.
Zo cynisch hoeft het echter niet te zijn. Verfrissender is het gezichtspunt dat de kwalificatie van deze aspecten nieuw is en daarmee diepgaande aandacht vraagt. Bij dat BBS kon serieus nog de vraag worden opgeworpen of men wel van openbaarmaken kan spreken als iemand per telefoon rare piepjes genereert. Enkele jaren later speelde het debat of op een website op “Akkoord” klikken leidde tot een rechtsgeldige overeenkomst. Of wat denkt u van de jurisdictie-vraag wanneer een Griek in Duitsland via een app bij het in Nederland gevestigde Booking.com een hotelkamer boekt. Dit zijn geen klassieke kwesties in andere rechtsgebieden, en dus krijgt de internetjurist ze op het bord.
Of men het nu cynisch bekijkt of niet, een inherent kenmerk van internetrecht is dat wanneer de technische aspecten voldoende breed begrepen zijn, een casus minder snel als internetrecht wordt gekwalificeerd. Een aankoop bij een webwinkel is anno 2019 een standaardcasus in het consumentenrecht, bijvoorbeeld. Eind jaren negentig kon men menig juridisch congres vullen met internetrechtelijke vragen over dit onderwerp. Het is volgens mij uniek dat een rechtsgebied door de tijd heen ‘opschuift’ en rechtsvragen afschuift naar andere gebieden.
Zesentwintig woorden schiepen het internet
Het voorbeeld van het BBS onderstreept dat auteursrecht het eerste rechtsgebied was waar internetrechtelijke kwesties langskwamen, al was het ook toen al zeker zo dat contractuele kwesties rond ict-projecten actueel waren. Niet zo gek ook: het internet is ontworpen om informatie uit te wisselen, en auteursrecht is ontworpen om de verspreiding van informatie te reguleren. Daarnaast waren (en zijn) auteursrechthebbenden vaak goed geëquipeerd om hun rechten te handhaven. De eerste faxen met sommaties en schadeclaims volgden dan ook al vrij snel.
Een complicatie die daarbij zich vaak voordeed, was dat de partij die aan te wijzen was als verantwoordelijk voor de verspreiding, niet feitelijk de partij was die dit in gang zette. Webhostingbedrijven, internetproviders, forumbeheerders – en die meneer die het BBS beheerde, de sysop in de inmiddels vergeten terminologie – kregen met deze claims te maken. Dat was natuurlijk niet helemaal de bedoeling; niet zij maar de klant verrichten de onrechtmatige daad, en hoe kun je als bedrijf klanten informatie laten verspreiden als jij de schadeclaims krijgt? Moet een tussenpersoon zoals een internetprovider niet juridisch beschermd worden?
In Nederland kreeg deze kwestie zich medio jaren negentig grote aandacht toen publiciste Karin Spaink op haar website bij internetprovider XS4ALL publiceerde over de Scientology-beweging, daarbij citerend uit gelekte stukken van de organisatie zelf. Deze greep naar de auteursrechtelijke wapens om hier een eind aan te maken. Het Gerechtshof Den Haag bepaalde in 2003 echter dat de publiciste het gelijk aan haar zijde had – en dat de provider niet zelf aan te spreken was op auteursrechtinbreuk door haar klanten.
Ditzelfde thema kwam in andere landen terug, met name in de Verenigde Staten waar Section 230 van de Communications Decency Act in 1996 providers een keiharde wettelijke vrijwaring van aansprakelijkheid gaf voor handelen van hun klanten. Met de nuance van de Digital Millennium Copyright Act – dien uw auteursrechtelijke klacht bij de provider in en deze zal onmiddellijk ingrijpen – leidde dit tot een explosie aan online diensten waarbij gebruikers zaken konden plaatsen of versturen, zonder dat de provider continu zorgen hoefde te hebben over aansprakelijkheid. In bloemrijke taal is Section 230 daarom wel “The Twenty-Six Words That Created the Internet” genoemd.
Europa was met haar e-commercerichtlijn (2000) iets genuanceerder: een provider moest niet alleen op auteursrechtelijke klachten ingrijpen, maar op iedere beweerdelijke onrechtmatige daad wanneer deze ‘onmiskenbaar’ was. In de praktijk ging dit vrijwel altijd over auteursrechten, zodat de Europese en Amerikaanse praktijk op dit punt gelijk op ging. Naast auteursrechten waren overigens ook de merken en handelsnamen een belangrijk thema, met name rond de domeinnamen en online advertenties.
Van auteursrecht naar privacy
Amerikaanse jurisprudentie en richtsnoeren zijn in het internetrecht sowieso zeer zwaarwegend geweest in de beeldvorming rond dit rechtsgebied. Eind jaren negentig verscheen bijvoorbeeld de Databeschermingsrichtlijn, die strenge regels over omgang met persoonsgegevens stelde. Deze wet werd vrijwel compleet genegeerd in ICT-land. Ja, iedereen had netjes een privacy policy op de site waarin stond hoe men omging met persoonlijke gegevens van de bezoeker, maar dat was ingegeven door een aanbeveling van de Amerikaanse Federal Trade Commission dat transparantie en informatie over gegevensverwerking iets is dat een eerlijk ondernemer gewoon doet. Wat de sector oppakte als “zeg in wollige taal wat je doet, en dan mag alles”.
De Databeschermingsrichtlijn stond een heel ander regime voor. Wees expliciet en specifiek, vraag toestemming, let op je beveiliging en doe geen dingen die mensen raar, onverwacht of opdringerig vinden. Daar kwam dus weinig van terecht, mede omdat Europese handhaving sterk gefragmenteerd was en zich nauwelijks richtte op de online omgeving. Plus het feit dat er in de meeste landen geen boetebevoegdheid bij toezichthouders was.
De Algemene Verordening Gegevensbescherming, met strenger geformuleerde regels, veel bozere taal en vooral giga-boetes, zie ik dan ook als niets minder dan een aardverschuiving. Bedrijven moesten nu ineens serieus iets met privacy, en dat was lastig omdat daar nooit echt over was nagedacht. Nieuwsbriefsoftware volgde mensen standaard in hun leesgedrag, online advertenties registreren iedere klik in een interesseprofiel, security software monitort gedrag en ga zo maar door. Kennis over mensen bleek in de tussentijd een zeer waardevol bedrijfsbezit. Maar vanuit de AVG zien we nu langzaam maar zeker een tegenbeweging ontstaan tegen deze datahonger van met name Amerikaanse bedrijven.
De rol van data
Data is juridisch niets, roep ik al geruime tijd. Eigendom op digitale data is niet mogelijk, omdat deze de essentiële eigenschap van uniciteit ontbeert. Dat bepaalde onze Hoge Raad in het Computergegevens-arrest, dat een nuance op het bekende Elektriciteits-arrest vormde. Met name de opkomst van de cloud en software-as-a-service heeft de randen en risico’s van deze rechtspositie blootgelegd. (Het Runescape-arrest dat eigendom op virtuele objecten toepasselijk verklaarde is daar dan weer een specifieke nuance binnen.)
Deze wankele positie verbaast nogal. Data is centraal in de kenniseconomie. Data is the new oil, zo luidde het motto op menig venture capital pitch. Je zou dus zeggen dat als er iets juridisch beschermd moet zijn, dat het dan data is. Maar dat is dus niet zo. Data is een artefact van het juridische feit dat ict-diensten eigenlijk hetzelfde worden behandeld als andere dienstverlening (de overeenkomst van opdracht). En met artefacten houdt het recht geen rekening.
ICT is dienstverlening. U vraagt, wij draaien. Of het nu gaat om het opslaan van bestanden, het berekenen van aanbevelingen of het doorzoeken van websites. Data is daarbij essentieel maar tegelijk dus onbeschermd. Juridisch gezien is Google een slimme hotelconciërge die het beste tentje voor je weet en onthoudt waar je de vorige keer was. Die conciërge kun je ook niet vragen om een kopie van ‘jouw’ data.
Ook juridisch ongeregeld: toegang tot de diensten die die data verwerken. Het continuïteitsprobleem, in de literatuur. Diensten stoppen af en toe, en waar sta je dan als afnemer? Dit is wederom volstrekt ongeregeld. Stoppen mag, en wie dan afhankelijk was van die dienst die heeft juridisch gezien gewoon pech gehad. Dat is een probleem: die afhankelijkheid is groot en het probleem bij stoppen dus acuut. Gefragmenteerde rechtspraak tot nu toe laat niet echt een heldere lijn zien waar dit heen moet gaan.
De komende vijftien jaar
Toegang tot online diensten en gebruik van data gaan hét thema worden de komende vijftien jaar. Het kan niet waar zijn dat het recht geen antwoord heeft op een dergelijk fundamenteel probleem als zou men geen toegang kunnen eisen tot diensten waar men sterk afhankelijk van is, als platforms machtiger zijn dan overheden maar zich niet zo opstellen en als data onbruikbaar wordt omdat een opslagprovider dat zo beschikt.
De eerste slagen zullen worden gevochten rond de inzet van data bij wat vroeger big data heette en nu artificial intelligence: analyses op grote bakken met data om voorspellingen te doen en op basis daarvan beslissingen. De AVG zal daarbij een leidende rol spelen. Maar dit zal slechts een voorhoedegevecht blijken voor de grotere open rechtsvraag: welke positie heeft zo’n supermachtig platform als Facebook of Alphabet nu eigenlijk? Niet alleen aansprakelijkheid, zoals in de jaren negentig, maar ook andere vragen – de positie van de burger, de bevoegdheid tot privaat regels stellen, en ga zo maar door.
Meer leren én meediscussiëren over dit onderwerp? Kom dan naar mijn congres The Future is Legal op 15 november.
Arnoud
Stel er wordt een creditcard op je naam aangevraagd en gebruikt, hoe bewijs je dan dat jij dat niet was? Met die vraag zag een man in Noord-Holland zich onlangs geconfronteerd, toen hij werd gedagvaard door American Express wegens het niet voldoen van de schuld die op die kaart was opgebouwd. De kaart was via internet afgenomen op zijn naam, en ook was er een betalingspatroon dat consistent leek met het gedrag van de man. AmEx vond dat het daarom duidelijk was dat hij die kaart had afgenomen. De