Van BBS tot FAMA en AI: vijftien jaar internetrecht in vogelvlucht

| AE 11481 | Informatiemaatschappij | 1 reactie

Waarover ging het eerste vonnis op het gebied van internetrecht? Volgens de onvolprezen jurisprudentiebundel van mr. Tina van der Linden was dat een Bulletin Board System (BBS) dat werd aangesproken op illegaal ter download aangeboden software. BBS’en bestaan niet meer, illegale software nog wel. Maar de kwestie van hoe illegale downloads onder het recht vallen, is welhaast zo alledaags geworden dat een junior medewerker van stichting BREIN zich afvraagt waar de AI blijft die deze kan afhandelen. Nee, de controversiële onderwerpen van vandaag in het internetrecht richten zich op heel andere afkortingen: naast AI de bezigheden van Facebook, Apple, Microsoft en Alphabet en de AVG versus de tracking pixel en andere technologie.

Een verschuivend rechtsgebied
De termijn van vijftien jaar is natuurlijk arbitrair. Internet, althans ICT, en de rechtsvragen die door deze technologie werden opgeroepen zijn al veel ouder dan dat. Maar natuurlijk werd dat niet vanaf het eerste moment als apart rechtsgebied onderkend. Curieuze kwesties en lastige feitencomplexen zijn van alle tijden in het recht. Maar op zeker moment ontstond toch een soort van consensus dat er iets was dat we internetrecht, ICT-recht of technologierecht zouden kunnen noemen.

Zoals ik recent nog blogde, de definitie van wat internetrecht dan is, lijkt vaak neer te komen op het feit dat het zwaartepunt van de rechtsvraag zich bevindt in een internet- of ict-aspect van de zaak. Oftewel: hoe ingewikkeld is het om de ict-georienteerde feiten juridisch te duiden of het best passende wetsartikel te vinden. En cynisch gezegd: pas als het zo ingewikkeld is dat de gemiddelde jurist deze duiding nog niet kan uitvoeren.

Zo cynisch hoeft het echter niet te zijn. Verfrissender is het gezichtspunt dat de kwalificatie van deze aspecten nieuw is en daarmee diepgaande aandacht vraagt. Bij dat BBS kon serieus nog de vraag worden opgeworpen of men wel van openbaarmaken kan spreken als iemand per telefoon rare piepjes genereert. Enkele jaren later speelde het debat of op een website op “Akkoord” klikken leidde tot een rechtsgeldige overeenkomst. Of wat denkt u van de jurisdictie-vraag wanneer een Griek in Duitsland via een app bij het in Nederland gevestigde Booking.com een hotelkamer boekt. Dit zijn geen klassieke kwesties in andere rechtsgebieden, en dus krijgt de internetjurist ze op het bord.

Of men het nu cynisch bekijkt of niet, een inherent kenmerk van internetrecht is dat wanneer de technische aspecten voldoende breed begrepen zijn, een casus minder snel als internetrecht wordt gekwalificeerd. Een aankoop bij een webwinkel is anno 2019 een standaardcasus in het consumentenrecht, bijvoorbeeld. Eind jaren negentig kon men menig juridisch congres vullen met internetrechtelijke vragen over dit onderwerp. Het is volgens mij uniek dat een rechtsgebied door de tijd heen ‘opschuift’ en rechtsvragen afschuift naar andere gebieden.

Zesentwintig woorden schiepen het internet
Het voorbeeld van het BBS onderstreept dat auteursrecht het eerste rechtsgebied was waar internetrechtelijke kwesties langskwamen, al was het ook toen al zeker zo dat contractuele kwesties rond ict-projecten actueel waren. Niet zo gek ook: het internet is ontworpen om informatie uit te wisselen, en auteursrecht is ontworpen om de verspreiding van informatie te reguleren. Daarnaast waren (en zijn) auteursrechthebbenden vaak goed geëquipeerd om hun rechten te handhaven. De eerste faxen met sommaties en schadeclaims volgden dan ook al vrij snel.

Een complicatie die daarbij zich vaak voordeed, was dat de partij die aan te wijzen was als verantwoordelijk voor de verspreiding, niet feitelijk de partij was die dit in gang zette. Webhostingbedrijven, internetproviders, forumbeheerders – en die meneer die het BBS beheerde, de sysop in de inmiddels vergeten terminologie – kregen met deze claims te maken. Dat was natuurlijk niet helemaal de bedoeling; niet zij maar de klant verrichten de onrechtmatige daad, en hoe kun je als bedrijf klanten informatie laten verspreiden als jij de schadeclaims krijgt? Moet een tussenpersoon zoals een internetprovider niet juridisch beschermd worden?

In Nederland kreeg deze kwestie zich medio jaren negentig grote aandacht toen publiciste Karin Spaink op haar website bij internetprovider XS4ALL publiceerde over de Scientology-beweging, daarbij citerend uit gelekte stukken van de organisatie zelf. Deze greep naar de auteursrechtelijke wapens om hier een eind aan te maken. Het Gerechtshof Den Haag bepaalde in 2003 echter dat de publiciste het gelijk aan haar zijde had – en dat de provider niet zelf aan te spreken was op auteursrechtinbreuk door haar klanten.

Ditzelfde thema kwam in andere landen terug, met name in de Verenigde Staten waar Section 230 van de Communications Decency Act in 1996 providers een keiharde wettelijke vrijwaring van aansprakelijkheid gaf voor handelen van hun klanten. Met de nuance van de Digital Millennium Copyright Act – dien uw auteursrechtelijke klacht bij de provider in en deze zal onmiddellijk ingrijpen – leidde dit tot een explosie aan online diensten waarbij gebruikers zaken konden plaatsen of versturen, zonder dat de provider continu zorgen hoefde te hebben over aansprakelijkheid. In bloemrijke taal is Section 230 daarom wel “The Twenty-Six Words That Created the Internet” genoemd.

Europa was met haar e-commercerichtlijn (2000) iets genuanceerder: een provider moest niet alleen op auteursrechtelijke klachten ingrijpen, maar op iedere beweerdelijke onrechtmatige daad wanneer deze ‘onmiskenbaar’ was. In de praktijk ging dit vrijwel altijd over auteursrechten, zodat de Europese en Amerikaanse praktijk op dit punt gelijk op ging. Naast auteursrechten waren overigens ook de merken en handelsnamen een belangrijk thema, met name rond de domeinnamen en online advertenties.

Van auteursrecht naar privacy
Amerikaanse jurisprudentie en richtsnoeren zijn in het internetrecht sowieso zeer zwaarwegend geweest in de beeldvorming rond dit rechtsgebied. Eind jaren negentig verscheen bijvoorbeeld de Databeschermingsrichtlijn, die strenge regels over omgang met persoonsgegevens stelde. Deze wet werd vrijwel compleet genegeerd in ICT-land. Ja, iedereen had netjes een privacy policy op de site waarin stond hoe men omging met persoonlijke gegevens van de bezoeker, maar dat was ingegeven door een aanbeveling van de Amerikaanse Federal Trade Commission dat transparantie en informatie over gegevensverwerking iets is dat een eerlijk ondernemer gewoon doet. Wat de sector oppakte als “zeg in wollige taal wat je doet, en dan mag alles”.

De Databeschermingsrichtlijn stond een heel ander regime voor. Wees expliciet en specifiek, vraag toestemming, let op je beveiliging en doe geen dingen die mensen raar, onverwacht of opdringerig vinden. Daar kwam dus weinig van terecht, mede omdat Europese handhaving sterk gefragmenteerd was en zich nauwelijks richtte op de online omgeving. Plus het feit dat er in de meeste landen geen boetebevoegdheid bij toezichthouders was.

De Algemene Verordening Gegevensbescherming, met strenger geformuleerde regels, veel bozere taal en vooral giga-boetes, zie ik dan ook als niets minder dan een aardverschuiving. Bedrijven moesten nu ineens serieus iets met privacy, en dat was lastig omdat daar nooit echt over was nagedacht. Nieuwsbriefsoftware volgde mensen standaard in hun leesgedrag, online advertenties registreren iedere klik in een interesseprofiel, security software monitort gedrag en ga zo maar door. Kennis over mensen bleek in de tussentijd een zeer waardevol bedrijfsbezit. Maar vanuit de AVG zien we nu langzaam maar zeker een tegenbeweging ontstaan tegen deze datahonger van met name Amerikaanse bedrijven.

De rol van data
Data is juridisch niets, roep ik al geruime tijd. Eigendom op digitale data is niet mogelijk, omdat deze de essentiële eigenschap van uniciteit ontbeert. Dat bepaalde onze Hoge Raad in het Computergegevens-arrest, dat een nuance op het bekende Elektriciteits-arrest vormde. Met name de opkomst van de cloud en software-as-a-service heeft de randen en risico’s van deze rechtspositie blootgelegd. (Het Runescape-arrest dat eigendom op virtuele objecten toepasselijk verklaarde is daar dan weer een specifieke nuance binnen.)

Deze wankele positie verbaast nogal. Data is centraal in de kenniseconomie. Data is the new oil, zo luidde het motto op menig venture capital pitch. Je zou dus zeggen dat als er iets juridisch beschermd moet zijn, dat het dan data is. Maar dat is dus niet zo. Data is een artefact van het juridische feit dat ict-diensten eigenlijk hetzelfde worden behandeld als andere dienstverlening (de overeenkomst van opdracht). En met artefacten houdt het recht geen rekening.

ICT is dienstverlening. U vraagt, wij draaien. Of het nu gaat om het opslaan van bestanden, het berekenen van aanbevelingen of het doorzoeken van websites. Data is daarbij essentieel maar tegelijk dus onbeschermd. Juridisch gezien is Google een slimme hotelconciërge die het beste tentje voor je weet en onthoudt waar je de vorige keer was. Die conciërge kun je ook niet vragen om een kopie van ‘jouw’ data.

Ook juridisch ongeregeld: toegang tot de diensten die die data verwerken. Het continuïteitsprobleem, in de literatuur. Diensten stoppen af en toe, en waar sta je dan als afnemer? Dit is wederom volstrekt ongeregeld. Stoppen mag, en wie dan afhankelijk was van die dienst die heeft juridisch gezien gewoon pech gehad. Dat is een probleem: die afhankelijkheid is groot en het probleem bij stoppen dus acuut. Gefragmenteerde rechtspraak tot nu toe laat niet echt een heldere lijn zien waar dit heen moet gaan.

De komende vijftien jaar
Toegang tot online diensten en gebruik van data gaan hét thema worden de komende vijftien jaar. Het kan niet waar zijn dat het recht geen antwoord heeft op een dergelijk fundamenteel probleem als zou men geen toegang kunnen eisen tot diensten waar men sterk afhankelijk van is, als platforms machtiger zijn dan overheden maar zich niet zo opstellen en als data onbruikbaar wordt omdat een opslagprovider dat zo beschikt.

De eerste slagen zullen worden gevochten rond de inzet van data bij wat vroeger big data heette en nu artificial intelligence: analyses op grote bakken met data om voorspellingen te doen en op basis daarvan beslissingen. De AVG zal daarbij een leidende rol spelen. Maar dit zal slechts een voorhoedegevecht blijken voor de grotere open rechtsvraag: welke positie heeft zo’n supermachtig platform als Facebook of Alphabet nu eigenlijk? Niet alleen aansprakelijkheid, zoals in de jaren negentig, maar ook andere vragen – de positie van de burger, de bevoegdheid tot privaat regels stellen, en ga zo maar door.

Meer leren én meediscussiëren over dit onderwerp? Kom dan naar mijn congres The Future is Legal op 15 november.

Arnoud

Hoe bewijs je of een creditcard echt of vals gebruikt wordt?

| AE 11473 | Informatiemaatschappij | 8 reacties

Stel er wordt een creditcard op je naam aangevraagd en gebruikt, hoe bewijs je dan dat jij dat niet was? Met die vraag zag een man in Noord-Holland zich onlangs geconfronteerd, toen hij werd gedagvaard door American Express wegens het niet voldoen van de schuld die op die kaart was opgebouwd. De kaart was via internet afgenomen op zijn naam, en ook was er een betalingspatroon dat consistent leek met het gedrag van de man. AmEx vond dat het daarom duidelijk was dat hij die kaart had afgenomen. De rechter kijkt er nog eens kritisch naar en komt tot een andere conclusie.

Het eerste bewijsmiddel van American Express was de online aanvraag, waarbij immers de gegevens van de man zijn ingevoerd. Niet alleen maar wat in het telefoonboek staat, ook identiteitsnummer en de meisjesnaam van zijn moeder. Maar die gegevens waren ook bij anderen bekend, met name bij ene [naam] die verderop in het verhaal nog even terug gaat komen. De rechtbank vindt dat niet overtuigend, ook niet als blijkt dat er daarna op het opgegeven nummer is gebeld met iemand die zei dat hij de gedaagde man was.

Vervolgens werd natuurlijk de kaart toegestuurd naar het opgegeven adres, dat aan de gedaagde toebehoorde. Alleen: hij woonde daar al een tijd niet meer, en die [naam] had toegang omdat die hielp was met de verkoop ervan. Dus ook dat bewijst weinig.

Het betalingspatroon levert een interessant stukje bewijs op. Er zijn tickets naar Italië gekocht, een villa in Italië gehuurd en de nodige extra transacties daar verricht. En dat in combinatie met de Facebook-informatie van de gedaagde dat hij “ff paar dagen chillen” was (ik vind dat niet passen bij de eigenaar van een woonboerderij, maar goed) in precies dezelfde plaats en in zo’n villa, zou dan toch wel overtuigend moeten zijn? Niet helemaal: er stonden ook van vóór de vliegreis daterende transacties in Italië op die kaart.

Uiteindelijk komen we bij de kern van het verhaal: die [naam] blijkt een handige (inmiddels ex-)schoonzoon van de man te zijn, die hem aan het lijntje zou hebben gehouden over verkoop van de woonboerderij en een mooi feestje ging bouwen met schoonvader, waarbij de kosten zouden worden gedeeld. Zo’n oplichterstruc zie je vaker, en het is volgens de rechter niet meteen ongeloofwaardig dat iemand daar in zou trappen.

Als laatste bleek dan nog dat de incasso’s op schoonvader’s rekening waren mislukt, maar ook dat was iets waar hij geen rekening mee hoefde te houden. En waaruit al helemaal geen aanvaarding van de kaart uit volgt, of zelfs maar wetenschap dat er een kaart is waar je dan wat mee moet. Met name omdat de ING bank niet meldt dat zo’n incasso is mislukt, zodat je er moeilijk actie op kunt ondernemen.

Een erg feitenspecifieke zaak maar wel een mooi voorbeeld van hoe rechters kijken. Maar ik zie het zomaar gebeuren dat andere mensen zich laten overtuigen door het juridisch geweld dat je bij zo’n incasso over je heen krijgt.

Arnoud

Move fast & break things, is dat innovatie of moedwillig wetsovertreden?

| AE 11468 | Informatiemaatschappij | 12 reacties

Move fast & break things, is al jaren het motto in Silicon Valley. De term komt van Facebook en was ooit bedoeld om hun interne processen en cultuur te schetsen, maar past heel goed bij hoe internetdiensten zich hebben gemanifesteerd. Snel de markt op, snel groeien en daarna kijken we wel wat er eventueel stuk gegaan is en hoe we dat recht kunnen breien.

Dat stukgaan, dat kon ook rustig een wettelijke verplichting betreffen. Oeps, we hebben veel meer data verzameld dan eigenlijk mocht. Oeps, we zijn eigenlijk een taxidienst zonder vergunning. Oh wacht, hebben we nu werkelijk miljoenen extremisten een gratis platform gegeven om haatboodschappen te verspreiden en kinderen gruwelijke animaties voor te schotelen? Ja dat ging voor ons ook een beetje snel. Die trage wetgeving ook altijd.

Ja, dat is flauw. Innoveren is namelijk bijna altijd ook een stukje wet overtreden. Wetten zijn bedoeld om de status quo vast te leggen, zo is het en dat vinden we eigenlijk wel best. Wetten beschermen de bestaande orde, wat hier gebeurt is goed en zo hebben de marktpartijen zekerheid over hoe ze moeten werken. Dat is goed voor de maatschappij, want het creëert rust en zekerheid en daar kunnen mensen op bouwen. Maar het creëert ook beperkingen, wie een andere manier van werken heeft die komt in de problemen met zo’n wet die zegt dat dat niet mag.

Neem Uber. Even los van hun onfrisse praktijken richting concurrenten en de prijstrucs naar chauffeurs. Het idee van een app waarmee je snel een taxi bestelt en een algoritme dat uitrekent wie het beste daarheen moet gaan, en een ratingsysteem met sterren, dat is best innovatief. Ik noemde ze ooit een snorder met een app maar dat was wel een tikje kort door de bocht (zelfs voor mij). Want het was een knappe prestatie die de markt heeft getransformeerd, ook in het voordeel van de consument. Ja, er zijn nu ook nieuwe nadelen zoals die steeds lagere prijzen en chauffeurs die onder de prijs werken. En dat moet dan opnieuw worden gereguleerd, op een of andere manier.

Een nieuwe wet is dan de oplossing – vanuit de status-quo gedachte in ieder geval. Verbieden die hap, roepen ze dan vanuit de gevestigde orde. Alleen, en dat is best uniek: tegen de tijd dat we die nieuwe wet hebben, is de technologie al zo ver dat er weinig anders meer te doen is dan het legaliseren. Want nu ineens zeggen, AirBNB mag alleen bij hotels, Uber wordt verboden zonder taxivergunning, filesharing is illegaal en drones alleen met pilotenbrevet, je maakt je alleen maar belachelijk. De maatschappij is er al aan gewend, je kunt niet meer terug.

Maar wat dan? Ik denk dat je er niet aan ontkomt om de status quo opnieuw te laten ontstaan. Het stof even neer te laten dalen, en dan zien waar we ongeveer staan. is goed dat nieuwe dingen een tijd een kans krijgen om zichzelf te bewijzen ondanks bestaande wetgeving. Maar al te lang moet dat niet duren, want meestal is die wetgeving ook op een bepaald nuttig doel of streven gebaseerd, en verwacht de maatschappij dat ook de nieuwe daaraan moet voldoen. Niet te snel, want meestal sla je dan dingen dood. Maar zoals het nu gaat duurt het vaak wel érg lang.

Arnoud

Wie een robot als confrère verwacht, begrijpt niets van legal tech

| AE 11449 | Informatiemaatschappij | 7 reacties

Een robot in de rechtbank zal niet snel voorkomen, want het werk van advocaten „is heel moeilijk te automatiseren”. Dat las ik in NRC Handelsblad onlangs. Het idee is hardnekkig: de robots en/of de AI’s komen eraan, en ze gaan onze banen inpikken (South Park referentie optioneel). Waarbij de illustrator van dienst dan vaste prik… Lees verder

Fakenews, trollen en de toekomst van de uitingsvrijheid

| AE 11452 | Informatiemaatschappij | 6 reacties

Wie als jurist problemen met internet moet duiden, kwam lange tijd standaard als eerste met het auteursrecht aan zetten. Of sinds 25 mei 2018 natuurlijk de AVG. Heel logisch en die wetten zijn heel belangrijk, maar binnen het internetrecht is de uitingsvrijheid minstens zo belangrijk – het is één van de vier grondrechten die centraal… Lees verder

Gaat de macht van de platforms omhoog of omlaag?

| AE 11439 | Informatiemaatschappij | 2 reacties

De macht van de platforms, de buzzphrase van 2019 in het internetrecht volgens mij. Want waar internet ooit begon als een open ruimte waar iedereen z’n eigen stalletje kon inrichten, zitten we nu met een paar hele grote silo’s waar je moet zijn om je klanten, partners of bezoekers te kunnen bereiken. Niemand schrijft meer… Lees verder

De EULA als dranghek versus de wet als verkeersbord

| AE 11409 | Informatiemaatschappij | 4 reacties

Blog ik vorige week over wat internetrecht is, zeg ik helemaal niets over de EULA. Opmerkelijk, want internet hangt van de EULA’s aan elkaar en die EULA’s bepalen feitelijk hoe het recht uitpakt, bepalen wat rechtens is. Tegelijkertijd is algemeen bekend dat niemand zich wat van EULA’s aantrekt. En dat geeft een raar spanningsveld, met… Lees verder

Je mag de openbare weg filmen als dat nodig is voor je beveiliging

| AE 11407 | Informatiemaatschappij, Privacy | 21 reacties

Een lezer vroeg me: Onze buren hebben sinds vorig jaar een camera in voor- en achtertuin. Als je voor hun tuin staat op de stoep, dan wordt alles opgenomen wat je doet of zegt. Zij zeggen dat ze dat doen vanwege overlastgevende mensen in de buurt (hondenpoep, vuilnis op straat) maar ik voel me er… Lees verder