EU-Hof: data doorverkopen is onder privacywet soms toegestaan

Photo by Pankaj Patel on Unsplash

Het verkopen van gegevens van klanten aan commerciële bedrijven mag onder de AVG, concludeert het Europees Hof van Justitie. Dat meldde Tweakers vorige week. Hiermee is het standpunt van onze AP eindelijk naar de prullenbak verwezen: ook commerciële belangen kunnen en mogen de basis zijn voor een “gerechtvaardigd belang” onder de AVG. Maar we zijn nog lang niet bij “verkopen van data mag als je een commercieel belang verzint”.

De zaak begon in 2018, toen de Koninklijke Nederlandse Lawn Tennis Bond (Knltb) een nieuwe stap deed:

Tussen de regels door lees ik dat de KNLTB op zoek is naar extra bronnen van inkomens, en haar ledenlijst als een waardevol betaalmiddel ziet. Daarom is besloten om die ledenlijst eens commercieel te activeren, door ze aan (ongetwijfeld zorgvuldig geselecteerde) partners te geven. Deze mogen dan bellen of brieven sturen met reclame, totaal maximaal drie keer per kwartaal. E-mail is uitgezonderd, daarvoor moeten leden een aparte opt-in geven vanwege het spamverbod uit de Telecomwet.
De Knltb beriep zich daarbij op het gerechtvaardigd belang, een van de zes grondslagen uit de AVG. De AP was het daar niet mee eens en deelde een half miljoen boete uit:
De AP komt nu met het strenge standpunt dat commerciële belangen nooit gerechtvaardigd kunnen zijn. Die zijn namelijk niet als zodanig in de wet erkend, in tegenstelling tot zeg eigendomsrecht of de vrijheid van meningsuiting. Er is natuurlijk het grondrecht van de ondernemingsvrijheid, maar dat vindt men te onbepaald en generiek om als grondslag te kunnen dienen voor de handel in persoonsgegevens. Daarmee is er dus eigenlijk nóóit een rechtvaardiging te verzinnen om in persoonsgegevens te handelen, als ik even tussen de regels samenvat.
De bond satpte daarop naar de rechter, en die besloot vragen aan het Hof van Justitie te stellen. Iets dat moet, als er een nieuwe en creatieve lezing van een term uit een Europese wet wordt gehanteerd. En nu eindelijk hebben we het verlossende woord:
In die omstandigheden kan een commercieel belang van de verwerkingsverantwoordelijke, zoals het in punt 47 van het onderhavige arrest genoemde belang, een gerechtvaardigd belang in de zin van artikel 6, lid 1, eerste alinea, onder f), AVG vormen, voor zover het niet in strijd is met de wet. Het staat evenwel aan de verwijzende rechter om van geval tot geval te beoordelen of een dergelijk belang bestaat, rekening houdend met het toepasselijke rechtskader en alle omstandigheden van de zaak.
Hieruit concludeerden velen dat je dus gewoon mag handelen in persoonsgegevens als je het maar even snel “gerechtvaardigd belang moehaha” noemt. Dat is dus onjuist.

De wet stelt namelijk vier eisen aan gerechtvaardigd belang:

  1. Het belang is op zichzelf legitiem,
  2. Het gebruik van de gegevens is proportioneel en redelijk voor dat belang,
  3. Er is goed rekening gehouden met de privacy, zoals door privacyvriendelijke maatregelen inbouwen,
  4. Er is een opt-out ingebouwd, die bij marketing/reclame altijd ingeroepen mag worden en bij andere dingen als je persoonlijke redenen hebt.
De AP zei dus dat bij stap 1 je nóóit aan mocht komen met commerciële belangen. Dat keurt het Hof nu af, dat kan wel. De grens ligt grofweg bij of het belang iets legaals is, dus tenzij wettelijk verboden kan het een belang zijn.

Blijven over 2 en 3: is dit proportioneel en heb je maatregelen genomen. De tennisbond kan bijvoorbeeld tegen juridisch uitgever Kluwer zeggen, ik heb 230 leden die advocaat zijn, welke reclame zullen wij ze sturen? Of contractueel afspreken dat er eenmalig een brief naar een lijst adressen mag en dat die daarna vernietigd wordt, op straffe van boetes.

Waar ineens vandaan komt dat “datahandel” legaal is, weet ik niet. Die term associeer ik met het doorverkopen van Excellijsten als zodanig, waarna de ontvanger daarmee mag doen wat die goeddunkt. Iets dat sowieso niet mag van de AVG.

Wat mij betreft verandert er dus weinig aan de praktijk. We weten nu dat je in principe mag zeggen dat je een commercieel belang gebruikt voor gegevensverwerking. Maar je moet nog steeds je belangenafweging rond krijgen, maatregelen inbouwen en met een opt-out rekening houden. Dat was altijd al zo.

En ja, ik snap het dat het Hof de gelegenheid niet te baat nam om persoonsgebonden marketing illegaal te verklaren. Maar de wet biedt deze ruimte nadrukkelijk, en dus moet de wetgever nieuwe regels maken als we als maatschappij dit willen afschaffen.

Arnoud

 

 

 

 

 

LAION-datasetcollectief wint rechtszaak over fotogebruik onder TDM-uitzondering

Photo by Willian Justen de Vasconcellos on Pexels

Datasetmakerscollectief LAION heeft een rechtszaak wegens auteursrechtinbreuk gewonnen van fotograaf Robert Kneschke. Dat meldde onder meer TechnoLlama vorige week. LAION hoeft de vermeldingen van de foto niet te verwijderen omdat ze zich op de text and data mining (TDM) uitzondering in de Auteurswet kan beroepen. Een opsteker voor anderen die met datasets werken, bijvoorbeeld om er AI modellen mee te trainen. Maar de impact is beperkt.

In mei vorig jaar diende Kneschke een claim in tot verwijdering van zijn foto’s uit de dataset. Hij kreeg een factuur van de advocaat van LAION voor het afhandelen van het verzoek, en stapte daarop naar de rechter. Ik blogde toen:

Het Duitse LAION project onderhoudt een van de bekendste datasets met geannoteerde afbeeldingen, waarmee AI systemen getraind kunnen worden. De bekende afbeeldingsgeneratoren zoals Midjourney en Stable Diffusion gebruiken LAION. Een discussiepunt bij dit soort sets is of hier sprake is van auteursrechtinbreuk, wat onder meer tot deze class action rechtszaak leidde.
De LAION dataset is enorm – zo’n 6 miljard afbeeldingen. Ook populair, alle grote AI afbeeldingengeneratoren bouwen op de dataset van LAION. Maar let wel, LAION bundelt niet een berg plaatjes in een zipfile. Ze hebben alleen metadata, in een gestructureerd formaat. Zeg maar URL en annotaties. Wil jij die dataset gebruiken, dan download jij wat je nodig hebt en plak je de metadata van LAION erbij.

Een set links is natuurlijk geen inbreuk (Svensson-arrest) maar het downloaden zul je zelf moeten verantwoorden. En daar komt die TDM uitzondering om de hoek kijken. LAION deed daar een beroep op. Ja, ze hadden elke afbeelding natuurlijk een keer gedownload maar dat was voor kwaliteitsdoeleinden en daarna werden deze weer gewist.

Is dat TDM? De wet (art. 25 Aw) definieert het als volgt:

In deze paragraaf wordt onder tekst- en datamining verstaan een geautomatiseerde analysetechniek die gericht is op de ontleding van tekst en gegevens in digitale vorm om informatie te genereren zoals, maar niet uitsluitend, patronen, trends en onderlinge verbanden.
Afbeeldingen zijn natuurlijk dergelijke gegevens en de metadat die LAION maakt, telt als “informatie genereren”. Dus dat zit wel goed. De vervolgvraag is onder welke voorwaarden je dit mag doen.

Onderzoeksorganisaties en cultureel erfgoedinstellingen mogen TDM Doen “met het oog op wetenschappelijk onderzoek” (art. 15n Aw). De rest van de wereld mag dat ook, maar moet machine-leesbare opt-outs respecteren. LAION is een nonprofit, maar is dat genoeg om “onderzoeksorganisatie” te mogen heten? Hier wreekt zich het probleem dat termen als “wetenschap” of “onderzoek” juridisch niet gedefinieerd zijn.

In het vonnis onderbouwt de Duitse rechter waarom LAION wél een dergelijke instelling is:

Wetenschappelijk onderzoek verwijst doorgaans naar het methodisch-systematisch nastreven van nieuwe kennis (…). [Het mag] niet zo eng worden opgevat dat het alleen de werkstappen zou omvatten die rechtstreeks verband houden met het verwerven van kennis; Veeleer is het voldoende dat de betreffende werkstap gericht is op het (later) verwerven van kennis, zoals bijvoorbeeld het geval is bij talloze dataverzamelingen die eerst moeten worden uitgevoerd om vervolgens empirische conclusies te kunnen trekken. Met name de term wetenschappelijk onderzoek veronderstelt niet het succes van later onderzoek.
LAION stelt de dataset samen en verbetert deze, waarna ze de resultaten publiceren zonder bijzondere voorwaarden of licentievergoedingen. Dat voldoet al aan de omschrijving. Natuurlijk weet LAION heel goed dat de grote commerciële AI-bedrijven precies hun dataset graag gebruiken. Maar dat is irrelevant, omdat dat andere bedrijven zijn.

Het is in zoverre jammer dat hiermee de vraag over de reikwijdte van het begrip “opt-out” niet beantwoord hoeft te worden, omdat dat pas speelt als LAION géén onderzoeksinstelling zou zijn geweest.

Er wordt zijdelings ingezoomd op een aspect van die discussie, namelijk of een AI niet gewoon een zin als “niet voor TDM gebruiken” had kunnen lezen. Ik vind dat een storende aanname, kort gezegd omdat ook juristen prima van mening kunnen verschillen over de interpretatie van een zin en het dus licht absurd is te denken dat ChatGPT dan wél de beoogde conclusie kan trekken.

Arnoud

 

Consumentenbond wil dat Brussel ingrijpt bij Meta om reclame voor nepwebshops

Photo by Shoper .pl on Pexels

De Consumentenbond heeft een klacht tegen Facebook-moederbedrijf Meta ingediend bij de Europese Commissie, aldus Nu.nl vorige week. Het socialemediabedrijf doet volgens de consumentenorganisatie te weinig tegen advertenties voor nepwebshops (wel geld incasseren, niet leveren). En dat is inderdaad een dingetje onder de DSA.

De Bond legt uit:

De Consumentenbond onderzocht ruim 100 nepwebshops. 71 daarvan bereiken klanten via advertenties op Facebook en Instagram. Meta controleert de identiteit van de adverteerders nauwelijks, wat de deur openzet naar misbruik. Maar grote onlineplatforms zijn verplicht om malafide content actief te weren. En risico’s voor consumenten zoveel mogelijk te beperken.
Dat laatste staat namelijk in de Digital Services Act (DSA), een Europese verordening (wet) die sinds februari van kracht is. Dit is soort-van de voortzetting van de regels uit 2000 over beperkte aansprakelijkheid van platforms en tussenpersonen, maar dan geschreven voor de moderne tijd. Kort en goed: je bent niet aansprakelijk voor wat adverteerders vermelden, maar je moet wel optreden bij klachten over onjuiste inhoud.

Dit gebeurt meestal via notice/action systemen, “mechanismen om personen of entiteiten de mogelijkheid te bieden hen in kennis te stellen van de aanwezigheid op hun dienst van specifieke informatie die de persoon of entiteit als illegale inhoud beschouwt” (art. 16 DSA). (Let op dat men met “illegaal” ook bedoelt wat wij in Nederland “onrechtmatig” bedoelt, niet alleen strafbaar.) Die mechanismen moeten gemakkelijk toegankelijk en gebruikersvriendelijk zijn en moeten het mogelijk maken om meldingen uitsluitend met elektronische middelen te doen.

Het probleem is altijd hoe je enerzijds genoeg informatie krijgt als platform om adequaat te kunnen handelen, en anderzijds hoe je het proces niet tot een farce maakt zoals bij iedere individuele klacht een rapport van tien kantjes met aangifte te vragen, bijvoorbeeld.

[Consumentenbond-directeur Sandra] Molenaar: ‘De fraudeafdeling van Meta verlangt per advertentie een compleet rapport met onderbouwing. Maar dat is een onmogelijke belasting van de politie. Meta moet, als de politie daarom vraagt, gewoon alle advertenties verwijderen die naar de criminele website verwijzen.’
Het onderliggende probleem is zoals zo vaak dat men alleen per individuele uiting handelt, en niet wil doorpakken. Als je oordeelt dat een advertentie verwijst naar een malafide webshop, waarom zou je dan andere advertenties met diezelfde verwijzing verwijderen?

Het doet denken aan die situatie met de celebrity sensationalist ads, de naam die Google hanteert voor “dag Jort Kelder we gaan je missen”-posts die dan naar cryptohandel en oplichting leiden. Daarvan zei het Hof Amsterdam nog dit voorjaar dat

Ook als het [door het ad cloaking] niet goed was vast te stellen of de betreffende advertentie doorlinkte naar een landingspagina waarop bitcoin-investeringen werden aangeboden, had het tonen van de advertenties in elk geval voor (menselijke) verificatie kunnen worden opgeschort op basis van de vaststelling dat de advertentie identieke/zeer gelijksoortige elementen bevat als de bitcoin-advertenties waarover Google door Kelder was geïnformeerd.
Eenzelfde mechanisme kun je prima invoeren voor malafide webshops.

Het is altijd een hele discussie of een shop strafbaar handelt door producten aan te bieden, geld te incasseren en dan niet te leveren (maar niet te restitueren). In 2016 oordeelde de Hoge Raad namelijk dat dit in principe geen oplichting is, omdat je geen truc uithaalt om mensen je geld te laten geven. Maar sinds een paar jaar hebben we art. 326e Strafrecht:

Hij die een beroep of een gewoonte maakt van het door middel van een geautomatiseerd werk verkopen van goederen of verlenen van diensten tegen betaling met het oogmerk om zonder volledige levering zich of een ander van de betaling van die goederen of diensten te verzekeren, wordt gestraft met gevangenisstraf van ten hoogste vier jaren of geldboete van de vijfde categorie.

Hiermee is het dus wel mogelijk om grootschalige internetbedriegers aan te pakken, maar blijven de individuele “je zei dat je zou leveren dus ik ga aangifte doen” gevallen buiten het strafrecht.

Arnoud

Moet een bestelling thuisbezorgd worden als de klant op afstand bestelt?

Photo by Bastian Riccardi on Unsplash

Via Reddit:

Ik heb een kleine webwinkel (eenmanszaak) en een klant liet mij weten dat het bezorgbedrijf aan wie ik de bestelling meegegeven heb, de klant een mailtje stuurde dat klant niet thuis geweest zou zijn en het pakket naar een pakketpunt zou gaan. Hierop heeft de klant mij een zeer agressieve e-mail gestuurd waarin klant claimt wel thuis geweest te zijn, eist dat ik regel dat het bij klant thuis bezorgd wordt en klant anders juridische stappen onderneemt. [Er] staat op mijn website ook nergens expliciet vermeld dat het om thuisbezorging gaat, alleen de woordkeuze “verzending” en “verzendkosten”. Qua levertijd staat er dat ik het binnen vijf dagen verzend, niks over hoeveel dagen tot bezorging of bezorglocatie. Bij het afrekenen kan de klant adresgegevens invullen.
Het is natuurlijk erg storend dat die klant er meteen met gestrekt been in gaat. Het zou voor mij als winkel reden zijn om het product retour te nemen en het geld terug te storten. Die klant moet dan wel héél principieel zijn om van zijn eigen geld (want rbs dekt het dan niet meer) een zaak te beginnen.

De onderliggende juridische vraag is op zich wel interessant: waar moet het product bezorgd worden? Je zou zeggen dat dat triviaal is, iedereen weet dat PostNL, DHL, UPS en vrijwel alle andere vervoerders het eerst bij je huisadres aanbieden en als dat niet lukt het bij de buren of een pakketpunt afgeven.

Het gaat bij een overeenkomst alleen niet over wat iedereen weet, maar wat jij afgesproken hebt. PostNL biedt bijvoorbeeld de optie “niet bij buren afgeven”, en als het dan toch bij de buren aankomt dan heeft de winkel niet geleverd zoals afgesproken. (PostNL is hier immers een hulppersoon van de winkel.)

De afspraken zijn bij deze winkel niet heel expliciet. Dan moet je terugvallen op wat partijen bedoeld hadden (Haviltex-arrest), en daarbij weegt mee (art. 6:248 lid 1 BW) wat de gewoonte is of wat als redelijk en billijk geldt. We moeten dan eigenlijk weten om welke vervoerder en wat voor product het gaat – een door een gespecialiseerd bedrijf af te leveren piano is wat anders dan een boek dat door de brievenbus past.

Gezien het algemene karakter en de terminologie van de vraag denk ik dat de vraagsteller het product met PostNL of DHL heeft verstuurd. Die komen één keer langs en brengen het dan naar een pakketpunt. Dat is een zó breed gebruik dat ik dat wel “de gewoonte” noem, en dan is dat dus gewoon de afgesproken handelswijze.

(Dit staat even los van eventuele leveringsvoorwaarden van PostNL of DHL, die zijn in principe geen deel van de overeenkomst tussen winkel en consument omdat de winkel de opdracht tot levering geeft.)

Ik weet dat de wetgever herhaaldelijk heeft gezegd dat bezorging bij de buren (en impliciet dus ook een pakketpunt) niet telt als bezorging bij de klant. Dat gaat echter over de vraag of het risico van bezorging is overgegaan. Als de buurman het pakket verduistert of het DHL-punt in brand vliegt, dan heb je inderdaad je pakket nooit gehad.

Dat is alleen wat anders dan de vraag of na één bezorgpoging ophalen bij het pakketpunt deel is van de koopovereenkomst. Dat laatste is het geval, tenzij expliciet anders aangegeven zoals met die “niet bij de buren bezorgen”-optie van PostNL of bij bestellingen waarbij het nadrukkelijk gaat over langskomen, installeren, rijklaar afleveren en zulke dingen waarbij inherent is dat het bij jou en alléén bij jou geleverd gaat worden.

Arnoud

 

Bedrijf met zelfde handelsnaam eist dat ik mijn vlog-kanaal offline haal en domeinnaam overdraag

Photo by Rasa Kasparaviciene on Unsplash

Via Reddit:

Ben actief als ‘@ Bomentuinderij, op instagram, en heb ook mijn website met Bomentuinderij .nl gekocht. Hierin laat ik zien hoe je een tuin onderhoudt, en aanlegt. Ik ben geen bedrijf, en verkoop geen goederen. Nu krijg ik een e-mail van een bedrijf die geregistreerd staan met ‘Bomentuinderij’ op KvK als ‘Handelsnaam’. Wat is mijn recht?
Een eerste gedachte is wellicht dat “Bomentuinderij” (een fictief gekozen naam ter anonimisering) een nogal generieke naam is in de categorie tuinonderhoud. Daar moet je mee uitkijken, omdat het hier gaat over handelsnamen en daar geldt formeel niet de eis dat de naam creatief of onderscheidend moet zijn.

Een naam is een handelsnaam als deze gebruikt om een onderneming mee aan te duiden (art. 1 Handelsnaamwet). Een ander mag niet dezelfde of een sterk lijkende naam gebruiken als daarmee “verwarring tussen die ondernemingen te duchten is” (art. 5). Dat kan ook met zeer generieke namen, denk aan twee kleine cafés met de naam Minibar tegenover elkaar in dezelfde straat.

Een sterker argument is dat de vraagsteller geen onderneming is. Als je geen onderneming hebt, heb je ook geen handelsnaam en dus schend je daarmee niet die van een ander. Maar ik twijfel daarover: ik lees dat “ik Tuinen aanleg en verkoop”, dus het Instagramkanaal is een marketingkanaal van dat hoveniersbedrijf zou ik dan denken.

Gebruikt hij de naam als handelsnaam? Ook dat is een sterk argument. Als enkel de accountnaam “@Bomentuinderij” is en deze persoon naar zichzelf verwijst als zeg “Teun de hovenier”, dan is geen sprake van handelsnaamgebruik door die accountnaam.

Als laatste is nog van belang waar de twee ondernemingen opereren. Een handelsnaam is namelijk geografisch beperkt: een hovenier in Panningen (L) kan weinig doen tegen een concurrent in Groningen (G), omdat hun activiteiten niet landelijk zullen zijn. Daarmee is verwarring in Groningen ondenkbaar. Is de oudere handelsnaamhouder wél landelijk actief (en dat vereist meer dan “ik heb een website en het hele land mag me bellen”), dan kan deze wel optreden tegen gebruik in een specifieke stad.

Arnoud

Mag mijn werkgever bijhouden vanaf waar ik in- en uitklok?

Simplex Time Recorder (KCF14L4), bron Wikipedia

Een lezer vroeg me:

Ik werk als vrachtwagenchauffeur en moet sinds deze week een nieuwe app gebruiken om in- en uit te klokken. Deze nieuwe app vraagt me om toegang tot mijn locatiegegevens. Als verklaring geeft de werkgever dat dit is omdat inklokken alleen op het bedrijfsterrein mag gebeuren. Ik heb daar moeite mee, want deze verplichting is nooit eerder gemeld en om toestemming is niet gevraagd. Wat kan ik nu doen?
Om met die toestemming te beginnen: een werkgever mag persoonsgegevens verwerken zonder toestemming. Sterker nog, hij zal wel moeten want werknemers kunnen (bijna) nooit rechtsgeldig toestemming geven onder de AVG vanwege de machtsverhouding tussen hen en de werkgever. De werkgever moet dus een noodzaak binnen de arbeidsovereenkomst vinden, of een gerechtvaardigd belang waarvoor de privacy van de werknemer mag worden gepasseerd (mits met waarborgen).

Cameratoezicht op de werkvloer is een bekend voorbeeld van dat laatste. Bewaken van spullen en mensen is een gerechtvaardigd belang, en met goede maatregelen worden de beelden dan afgeschermd en weggegooid. Dat is dan binnen de AVG.

Hetzelfde zou hier moeten gelden. Waarom moet je inklokken op het bedrijfsterrein? Het simpele antwoord is fraude, mensen klokken dan thuis in en gaan op het gemak naar het werk. De oplossing van de app dat laten checken is dan een voor de hand liggende. Gezien dat probleem denk ik dat deze oplossing wel kan. Een alternatief was geweest dat je alleen op het wifi-netwerk van het bedrijf bij de inuitklokappserver zou kunnen, maar dat is technisch moeilijker te realiseren.

Tegelijk snap ik dat dit mensen overvalt. Hier is de werkgever dus niet helemaal goed gegaan. De AVG eist immers duidelijke voorlichting over het wat en waarom van persoonsgegevens verwerken, en dat had vooraf moeten gebeuren. En bij een organisatie met een OR had deze om instemming moeten zijn gevraagd, want dat is verplicht bij ieder systeem voor personeelsvolgen en verwerken van persoonsgegevens (art. 27 Wet OR).

Bezwaar maken lijkt dus mogelijk omdat dit niet duidelijk is aangegeven. Alleen of het uiteindelijk veel uit gaat maken weet ik niet. Na betere uitleg over de randvoorwaarden en beveiliging kan de werkgever het alsnog invoeren. De vraag is of de OR er een fundamenteel bezwaar in ziet. Gezien de specifieke toepassing zie ik dat niet meteen.

Arnoud

Originele maker Flappy Bird zegt niets te maken te hebben met nieuwe versie, maakt dat uit?

De originele maker van de mobiele game Flappy Bird, Dong Nguyen, zegt niets te maken te hebben met de vorige week aangekondigde mobiele versie. Dat meldde Tweakers onlangs. De Flappy Bird Foundation kondigde vorige week de comeback van de game aan. Dat geeft dan de juridische vraag: kan dat zomaar dan, juridisch?

Zo’n tien jaar geleden was het ineens populair: een side-scroller waarin de speler een vogel, Faby, bestuurt die probeert te vliegen tussen kolommen met groene buizen zonder ze te raken. Nguyen haalde het echter na een jaartje offline, onder meer omdat hij te veel druk op zich kreeg van fans van het spel en omdat het te verslavend zou zijn voor spelers.

Nu is er dus een nieuwe editie. Een stichting “heeft de rechten gekocht”, en heeft gemeld in 2025 het spel opnieuw uit te brengen.

“De rechten” zijn gekocht. Om welke rechten gaat het dan? Allereerst het auteursrecht op de assets. Vogeltje Faby blijkt afkomstig uit Piou Piou vs. Cactus, en omdat je op concrete personages auteursrecht hebt, zijn die rechten dus netjes afgekocht. De andere onderdelen op het spel lijken opnieuw ontworpen, of waren zo triviaal (groene buis) dat er geen auteursrecht op te claimen is. De software is opnieuw geschreven. Dat gaat dus wel goed.

Het andere belangrijke recht is het merkrecht op de naam Flappy Bird. Nguyen heeft dat recht in 2014 vastgelegd, zij het als logo en de naam aan elkaar geschreven. Alleen is er iets bijzonders met dat merk gebeurd: in januari dit jaar werd het als “abandoned” aangemerkt.

In het merkrecht geldt de regel dat je je merk actief moet gebruiken. Het is niet de bedoeling dat je een naam of logo vastlegt en er dan niets mee doet; dat verhindert anderen om wél commercieel te gaan met dat teken. (Waarom bij domeinnamen deze regel niet geldt, weet ik nog steeds niet.)

Als een merk te lang niet gebruikt wordt, kun je als marktpartij het merkenbureau (hier het USPTO) vragen het merk door te halen. En dat is wat hier is gebeurd, vorig jaar september. Alleen was er meer aan de hand: de bezwaarmakende partij heet Gametech Holdings en heeft al sinds 2014 een eigen merkregistratie op het woord Flappy Bird. Hierover zegt men:

[Since 2014], Opposer has spent considerable amounts of money to advertise, use, promote, and develop public awareness for and goodwill in its FLAPPY BIRD mark. As a result of such expenditures and efforts, Opposer has developed a valuable reputation and critical goodwill in its FLAPPY BIRD mark and has created, launched, and maintained a range of computer game products and related offerings under its registered FLAPPY BIRD mark.
Ik kan zelf geen spel vinden dat Flappy Bird heet(te) en door Gametech op de markt gebracht werd, maar dat zal aan mij liggen. In ieder geval had Nguyen geen reactie op dit bezwaarschrift, zodat het USPTO aannam dat alle bezwaren juist waren en het merk doorhaalde.

Het merk van Gametech is ondertussen verkocht aan die Flappy Bird Foundation, die daarmee dan alle essentiële rechten heeft om de markt op te gaan. Of het nieuwe spel een succes gaat worden? They changed it, now it sucks:

According to The Flappy Bird Foundation, the new release will include “new game modes, characters, progression, and massive multiplayer challenges.” … [The new game] will include some form of microtransactions, unlike the original game, which was entirely supported by ads. Footage of the game also shows an interface displaying the player’s number of diamonds, which may indicate a premium in-game currency.
Dat is bepaald wat anders dan het origineel, waar weinig meer te doen was dan tussen de buizen te navigeren en advertenties te negeren. Maar goed, ik zou het over het juridische hebben.

Arnoud

 

Wanneer moeten we echt gaan stoppen met marketingcookies?

Een lezer vroeg me:

Marketingcookies (retargeting) worden vrijwel door alle websites toegepast om advertenties te tonen op sociale media. Onlangs heeft de EDPB bepaald dat Meta moet stoppen met onrechtmatige gepersonaliseerde advertenties binnen Europa. Moeten de richtlijnen van de EDPB geïnterpreteerd worden dat marketingcookies met verdere verwerking door Meta niet zijn toegestaan, ook als er toestemming is via de cookiebanner? En n hoeverre is de website die de marketing cookies plaatst verantwoordelijk voor de verdere verwerking door Meta en Google voor het opstellen van profielen?
Marketingcookies staan stevig in de spotlight de laatste maanden. Zo oordeelde de Oostenrijkse rechter onlangs dat cookiebanners een weigerknop moeten hebben direct in de eerste laag. Google ging er al helemaal mee stoppen, maar nu toch weer niet https://www.marketing-interactive.com/google-decides-to-keep-cookies-in-chrome-should-marketers-be-relieved En de populariteit van adblockers en cookiecutters neemt alleen maar toe.

De vraagsteller verwijst naar een uitspraak van de samenwerkende Europese AVG-toezichthouders. Die bepaalde dat Meta’s “pay or consent” model niet rechtsgeldig is. Je moet een “echte keuze” hebben en daar hoort eigenlijk gewoon een gratis variant zonder persoonsgetargete advertenties bij. De kern hierachter is dat toestemming onder de AVG vrij gegeven moet worden, iedere vorm van dwang of zelfs maar stevig nudgen maakt deze al niet meer rechtsgeldig.

Dit zien we ook terug bij marketingcookies. Ja, er komt een popup met “Ja ik wil” en er is een optie om aan te geven dat je niet wil. Maar we zijn zó getraind om blind om op “ja” te klikken, dat je nauwelijks nog kunt spreken van een vrije keuze. Zeker als er niet een equivalente knop “Nee, ik wil niet” naast staat, maar alleen

  • Een “Beheer instellingen” popup (onduidelijke term)
  • Een grijze knop “weiger alles” naast de groene “ja” knop (afschrikken, onaantrekkelijk presenteren van alternatief)
  • De knop “Beheer instellingen” tussen ja en nee (overweldigende opties)
  • Vooraf aangevinkte vinkjes voor bijvoorbeeld functioneel, analytics en marketing (mag niet van de AVG, doet afschrikken)
  • Een “weiger” knop die leidt naar een popup met instellingen, waarbij de standaardknop “Sla alles op” heet en daarmee alle cookies accepteert
En zo kan ik nog wel even doorgaan (meer voorbeelden link 1 en link 2). Toestemming voor marketingcookies is dus niet eenvoudig, of nou ja is dat wel maar je krijgt gewoon heel weinig mensen die je dat geven, en daar heeft niemand zin in.

Wat de tweede vraag betreft: ja, jij bent verantwoordelijk en aansprakelijk voor de gevolgen van trackingcookies. Althans, als die via jouw site en de popup daarop gezet zijn na een ongeldige toestemming. Je bent in AVG-jargon gezamenlijk verwerkingsverantwoordelijke met Meta of met Google, je beslist samen dat er persoonsgegevens verzameld worden via jouw site en wie daar wat mee mag doen. Dat de onderlinge verdeling neerkomt op “jij vraagt om toestemming en wij zeggen jou niet wat we gaan doen”, is volgens de wet jouw probleem.

Al sinds februari roept de AP dat ze cookies op de radar hebben staan. In juli kreeg de Kruidvat een boete van zes ton  voor het niet rechtsgeldigt vragen van cookies. Haar popup had vooraf aangevinkte categorieën en de afwijsoptie stond niet als equivalent naast de toestemmingsoptie. De hoogte kwam dan weer mede omdat een drogist al snel gezondheidsgegevens verzamelt, maar dat terzijde.

Het is flauw om dan als jurist te zeggen “stop maar met tracking cookies” want dat is makkelijk praten en ja mijn bedrijf heeft “Accepteren” ook aantrekkelijker dan “Alleen noodzakelijk”. Maar het blijft een probleem dat alleen dankzij trage handhaving steeds maar niet opgelost wordt.

Arnoud

Hoge Raad: ‘opstarttijd’ van tien minuten is betaalde werktijd

Photo by Chevanon Photography on Pexels

De tien minuten die een callcentermedewerker voor zijn werktijd aanwezig moest zijn, moet worden gezien als betaalde werktijd. Dat meldde BNR onlangs. De Hoge Raad bevestigde namelijk een arrest van het gerechtshof Den Haag met die strekking. Heel verrassend is het niet, maar het was toch een aardschok voor sommige werkgevers.

De zaak begon in 2022 met een rechtszaak van een werknemer tegen het callcenterbedrijf Teleperformance. Ik blogde toen:

Het bedrijf Teleperformance eist [dat werknemers tien minuten voor het begin van hun werktijd aanwezig zijn om in te loggen] zodat mensen stipt om 9 uur kunnen beginnen met de verwerking van telefoontjes, dit vanwege de SLA met hun klanten. Dat is geen werk, aldus het bedrijf: “[Het gaat erom dat mensen] dermate op tijd inloggen dat zij voorafgaand aan de aanvang van hun dienst desgewenst nog even rustig wat te drinken kunnen pakken en gebruik kunnen maken van het toilet.”
Het raakt aan een al langer spelend probleem van werknemers die vanaf (of tot) zekere tijd aanwezig moeten zijn maar niet perse dan werken, en daaarvoor niet betaald krijgen. Denk aan supermarktpersoneel dat moet wachten tot de manager heeft afgesloten (“vanwege veiligheid gaan we samen naar buiten”), maar ook aan situaties dat je stipt om 9uur in bedrijfskleding op de vloer staat of dat je een portofoon en sleutels moet ophalen en je inschrijven op de dienstlijst (voorbeelden uit conclusie p-g).

Het Gerechtshof oordeelde vorig jaar dat hier wel degelijk sprake is van ‘arbeid’, die dus gewoon betaald moet worden:

In de tien minuten voor aanvang van de dienst wordt de Agent immers geacht aanwezig te zijn op de werkplek en zich gereed te maken voor zijn dienst. De Agent is met andere woorden beperkt in zijn mogelijkheden zijn tijd aan eigen zaken te besteden. Dat hij in die tijd nog niet productief is voor Teleperformance, omdat dat Teleperformance pas door haar klant betaald wordt vanaf het moment dat de Agent in de lijn zit, doet daaraan niet af.
De Hoge Raad bevestigt dit oordeel zonder nadere motivatie. De kern is dus: als je er móet zijn voor je werkgever, ongeacht of je daadwerkelijk iets dóet, dan ben je aan het werk. Dus ook als je staat te wachten om naar buiten te mogen, of als je je aan het omkleden bent in de voorgeschreven veiligheidskleding.

Ik toonde hierboven een plaatje van een koffiezetter, want zo begint mijn dag: ik kom binnen, hang m’n jas op en neem een kop koffie. Ondertussen sluit ik de laptop aan, ik praat bij met collega’s et cetera. Hoe is dat wezenlijk anders? De kern is dat moeten, en ik zie dat verbonden met het stipt om 9 uur voor de klant beschikbaar zijn.

Maar ook het niet-triviale karakter van het voorbereidend werk weegt mee. Als ik om 9 uur stipt een klantgesprek moet voeren, dan moet ik dus om 5 voor 9 mijn jas ophangen, mijn haar fatsoeneren én die kop koffie op hebben (ja, dat moet). Alleen vind ik dat van een andere orde dan tien minuten lang overal inloggen, scripts opstarten en je telefonisch aanmelden, of je operatiekleding aandoen en inscrubben.

Arnoud

Mag Linkedin wel je paspoort via nfc uitlezen om je een vinkje te geven?

Photo by Mohamed_hassan on Pixabay

Menig lezer vroeg me:

LinkedIn vraagt om de identiteit van gebruikers te verifiëren door via de NFC-chip van een identiteitsbewijs gegevens op te vragen, zoals de volledige naam, geboortedatum en het BSN. Is dit juridisch gezien wel in lijn met de wet, zoals de AVG? Hotels mogen niet zomaar je paspoort kopiëren, waarom LinkedIn dan wel?
Dit systeem is door sociaal netwerk LinkedIn ingevoerd om meer vertrouwen te introduceren. Zaken doen (toch min of meer het doel van dit netwerk) gaat beter als je weet wie je tegenover je hebt. En hoewel je natuurlijk prima kunt werken onder pseudoniem of artiestennaam, ligt het wel erg voor de hand om dat te verbinden aan de naam aan je overheidsidentificatiedocument.

De uitvoering is uitbesteed aan het bedrijf Persona Identities, een Amerikaans bedrijf dat zich hierin specialiseert. Dat heeft praktische voordelen, zoals dat zij het veiliger en sneller kunnen. Ook aan AVG compliance is gedacht:

Persona is GDPR and CCPA compliant, which means we’ve implemented a robust privacy program that includes secure data transfer and processing practices. We also achieved SOC 2 Type II at the end of 2019. We have an intake process for data subject rights requests, continuous privacy impact assessments, secure data transfer and storage, and privacy and cookie policies reviewed by external legal counsel. We also maintain records of processing as both a controller and processor.
Men opereert – in de dienstverlening naar LinkedIn – als een verwerker: LinkedIn moet zeggen welke gegevens moeten worden uitgelezen en aan haar gegeven, waarna het sociaal netwerk bepaalt wat daarmee gebeurt. Meer informatie hierover zul je bij Persona dus niet vinden, en moeten we bij LinkedIn zijn:
  • Your name as it appears on your government issued ID
  • The type of ID document you’ve submitted to Persona to verify your identity (i.e., passport)
  • The issuer of that ID document
  • A hashed, unique identifier generated by Persona during the ID verification process (“UID”)
  • Your RequestID
  • … LinkedIn doesn’t receive your biometric data or photos, numbers, or expiry or issue dates associated with your government issued ID (e.g. passport).
Het is dus zeker mogelijk dat Persona het bsn uitleest als deel van de chipleesactie (hoewel ik dacht dat het bsn niet op de chip stond), maar dat gaat dus niet naar LinkedIn. Hetzelfde zal gelden voor andere informatie. En ja, je moet ze op hun woord geloven maar dat heb je altijd.

Blijft over de vraag: mag LinkedIn dit zo doen? Het antwoord is ja, gezien de beperkte uitvraag van je ID-kaart en het feit dat het volledig vrijwillig is. Je krijgt niet meer of minder functionaliteiten door je identiteit te verifiëren, je wordt niet afgesloten en je komt niet hoger of lager in algoritmische overzichten.

Arnoud