Internetrecht door Arnoud Engelfriet

Na jaren van protestacties heeft Starbucks in de VS besloten om porno te blokkeren op de gratis wifi-netwerken in zijn koffiezaken. Dat las ik bij RTL Nieuws vorige week. De koffieketen staat al jaren onder druk van de bezorgde burgers van ‘Enough Is Enough’, die fel tegen porno is en bedacht heeft dat Starbucks wezenlijke invloed daarop kan uitoefenen. Starbucks gaat nu overstag, waarschijnlijk vanuit bezorgdheid om haar reputatie – ik zag het argument “veroordeelde zedendelinquenten gaan dan ook in de Starbucks porno kijken” en dan wordt het ongezellig. Wel vooralsnog alleen in de VS, maar het riep toch de vraag op hoe dit bij ons zou uitpakken. Is dat niet in strijd met netneutraliteit?

Netneutraliteit is het beginsel dat alle internetverkeer gelijk moet worden behandeld. Er mag geen onderscheid op afkomst of inhoud worden gemaakt, behalve in een beperkte set situaties zoals netwerkbeveiliging of een wettelijke plicht. Een internetprovider mag dus geen toeslag vragen voor bijvoorbeeld internetbellen, maar mag ook geen blokkades opwerpen tegen ongepast (maar legaal) internetverkeer zoals pornografie.

In Nederland hadden we als tweede land ter wereld een wet die netneutraliteit regelde. Daarbij was lange tijd onduidelijk of dit nu gold voor iedereen die een ander op internet liet, of alleen voor ‘echte’ internetproviders die het algemene publiek toelieten.

De Europese Verordening op dit gebied die tegenwoordig geldt, lijkt duidelijk genoeg:

Aanbieders van internettoegangsdiensten behandelen bij het aanbieden van internettoegangsdiensten alle verkeer op gelijke wijze, zonder discriminatie, beperking of interferentie, en ongeacht de verzender en de ontvanger, de inhoud waartoe toegang wordt verleend of die wordt verspreid, de gebruikte of aangeboden toepassingen of diensten, of de gebruikte eindapparatuur.

Echter, een ‘aanbieder’ wordt in het vorige artikel gedefinieerd als een “onderneming die openbare communicatienetwerken of openbare elektronische communicatiediensten aanbiedt”. Een koffieketen zoals Starbucks voldoet niet aan die omschrijving, omdat hun netwerk en dienst alleen toegankelijk is voor het beperkte publiek dat haar cafés bezoekt. Dus ja, dit zou mogen.

Wel denk ik dat Starbucks dit expliciet moet melden, omdat anders een essentieel aspect van de geboden dienst (koffie met internet) ontbreekt. Dit vanuit de algemene informatieplichten die je als winkelier hebt. Ik weet alleen niet goed hoe je dát bordje zou moeten formuleren.

Arnoud

Een Amerikaanse tandartspraktijk heeft patiënten gewaarschuwd voor een mogelijk datalek omdat de softwareleverancier die de patiëntendatabase beheerde die niet wil teruggeven nu het contract is beëindigd, las ik bij Security.nl. Daarmee kan de tandarts de praktijk niet goed voortzetten, en dat is voor de patiënten natuurlijk heel vervelend. Het riep gelijk bij mij de vraag op, zou dat in Nederland / Europa net zo werken, met name gezien de AVG? Die Amerikaanse tandarts moet nu met de licentievoorwaarden betogen dat hij ergens recht op heeft, wat zonder de tekst te kennen geen sterk verhaal is. En oh ja, tentamenvraag, is dat een datalek, je database niet terugkrijgen?

Om maar met die tentamenvraag te beginnen, die is te makkelijk: ja, dat is een datalek – als je geen backup hebt. Onder een datalek of eigenlijk “inbreuk op de beveiliging” rekent de AVG ieder incident dat leidt tot ongeoorloofd gebruik maar ook verlies van persoonsgegevens. Het achterliggende idee is dat je als betrokkene – hier dus patiënt – je rechten jegens de verantwoordelijke niet goed kunt uitoefenen door zulk verlies. In dit geval, je kunt je patiëntgegevens niet inzien, je kunt niet (of veel moeilijker) bewijzen dat je hebt betaald of juist dat afgesproken is dat je niet hoefde te betalen voor iets. Als je er last van hebt, dan is het een datalek.

Stel nu even dat dit allebei Europese partijen waren geweest. Ook dan had dit de uitkomst van de zaak kunnen zijn, puur afgaande op de contractuele afspraken. Bij een business-to-business contract is het immers goed mogelijk om te zeggen, als de dienst eindigt dan gooit de dienstverlener de data weg. Dat dat onhandig is voor de klant, is iets dat die maar vooraf had moeten bedenken en een artikel over had moeten opnemen.

De AVG maakt dit niet anders. Die zegt alleen dat je inderdáád zo’n artikel had moeten opnemen in de verwerkersovereenkomst (art. 28 lid 3 punt g AVG). Maar heb je dat artikel niet, dan staat er in de AVG geen zelfstandige plicht waar je op terug kunt vallen als tandarts. Je hebt dan dus een héél serieus probleem, want je bent niet AVG compliant op meerdere punten (je data is niet gezekerd, je hebt een datalek, je verwerkersovereenkomst rammelt, je artikel 5-compliance is mislukt). Afspraken maken dus, en tot die tijd geen data bij die provider stallen.

Zelfs als je die afspraak wel hebt, is het erg nuttig om alsnog te borgen dat je daadwerkelijk een kopie van de data ergens hebt. Want alle mooie contractuele frases ten spijt, dingen kunnen kwijt raken of ontoegankelijk worden (denk faillissement, mega-grote brand, dikke vinger, ruzie over betalingen) en dan heb je precies hetzelfde probleem.

Toegang tot data regel je praktisch, niet alleen juridisch.

Arnoud

De rechter van de rechtbank Midden-Nederland heeft bepaald dat de persoon achter het stuur van een Tesla ondanks het gebruik van het Autopilot-systeem als feitelijke bestuurder van het voertuig is aan te merken. Dat las ik bij Tweakers vorige week. Tesla-bezitter Vincent Evers was vanwege een verkeersboete naar de rechter gestapt omdat hij deze onterecht was. Weliswaar had hij zijn telefoon vast, maar hij was niet de bestuurder van de Tesla nu die in de Autopilot-stand stond. Nee, leek mij ook geen sterk verhaal en het verrast geen seconde dat het afgewezen is.

De term ‘Autopilot’ vind ik al vanaf het begin dubieus (en met mij de Duitse minister van transport). Het suggereert dat de auto volledig automatisch bestuurd wordt zodat je als mens achter het stuur je verantwoordelijkheid compleet kunt opgeven. Ongeveer zoals een vliegtuig op de automatische piloot kan vliegen en zelfs landen zonder dat er een mens nodig is.

De technologie is bij lange na niet zo ver. Ja, hardwarematig heeft een Tesla alles aan boord om niveau 5 volledig autonoom te rijden, maar dat is niet het moeilijke stuk. Dat de auto uit zichzelf kan remmen, versnellen en sturen is mooi, maar het gaat om bepalen wannéér je dat gaat doen en waarom. En dat kan een Tesla nog bepaald niet. Dat zegt Tesla zelf ook, getuige hun site:

Bij gebruik van Autopilot moet de bestuurder altijd zelf opletten en actief blijven en gereed zijn elk moment in te grijpen.

Met die omschrijving kun je hooguit zeggen dat je handen- en voetenwerk wat ontspannener wordt tijdens de rit, maar niet dat de auto volledig zelfstandig rijdt. Oh en detail, als je drie keer niet reageert op een signaal van de Autopilot dan schakelt deze zichzelf uit. Zeer autonoom, inderdaad.

En daarmee is er geen reden om de mens in de auto anders aan te merken dan de bestuurder, volgens de wet:

bestuurder van een motorrijtuig: degene die het motorrijtuig bestuurt of degene die, overeenkomstig de bij algemene maatregel van bestuur gestelde voorwaarde, wordt geacht het motorrijtuig onder zijn onmiddellijk toezicht te doen besturen;

Vanwege dat continu vereiste toezicht en opletten is dat voor mij volkomen evident. Niet gek dus dat het vonnis hem gewoon schuldig verklaart aan het vasthouden van een telefoon als bestuurder.

Meer algemeen vind ik het raar om zoiets bij de rechter te brengen: de keuze of autonome auto’s de weg op mogen, is immers een politieke, die vraag ligt bij de wetgever. De rechter toetst alleen maar binnen het huidige stelsel, en het doet dan ook raar aan om aan de rechter te vragen een buitenwettelijke situatie legaal te verklaren.

Arnoud

Via Windows 10 Enterprise en Microsoft Office verzamelt Microsoft gebruikersgegevens die het bedrijf in de VS opslaat. Dat meldde Tweakers op basis van onderzoek bij het ministerie. Deze opslag geeft een inbreuk op de privacy van de ambtenaren, plus een ieder wiens gegevens door die ambtenaren worden verwerkt. Het onderzoek werd uitgevoerd als een DPIA… Lees verder

Een lezer vroeg me: Bij veel webwinkels wordt je gevraagd om je geboortedatum. Bij navraag is dat dan meestal omdat ze bestellingen van minderjarigen uit willen sluiten (die kunnen immers niet rechtsgeldig tot betaling gedwongen worden). Maar mag dat wel van de AVG? Je moet immers de minst privacyschendende oplossing kiezen. Dat zou hier dan… Lees verder

Een rechtbank heeft de Zweedse provider Bahnhof bevolen enkele internetdomeinen te blokkeren na claims van uitgever Elsevier van inbreuk op auteursrechten. Dat meldde Tweakers maandag. In antwoord daarop blokkeert Bahnhof de toegang tot de sites van de uitgever zelf, en bezoekers van deze uitgever mogen de site van de ISP niet meer bekijken. Dit als… Lees verder

Een federatie van 144 moskeeën in Nederland eist dat Twitter het account van Geert Wilders verbiedt. Zijn uitspraken zouden in strijd zijn met de gebruiksvoorwaarden van het platform. Dat meldde RTL maandag. De organisatie overweegt de gang naar de rechter als het medium niet zelf ingrijpt. In het AD lees ik iets meer over de… Lees verder

Een lezer vroeg me: Recent blogde je over de zorgplicht als ICT-dienstverlener om te beoordelen of een verzoek van je klant AVG-compliant is. Maar hoe ver moet je daar nu precies in gaan? Ik kan toch moeilijk het privacyreglement van mijn klanten gaan evalueren voordat ik ze toegang geef tot een mailbox. Maar enkel “geen… Lees verder

Excuses voor het klikvoer, ik kon het niet laten. Recent bepaalde de rechtbank Amsterdam dat een taxichauffeur uit de stad gewoon recht op toegang had tot het superchargerstation van Tesla, waar hij zijn auto had gekocht. Tesla mocht niet zomaar hem en zijn mede-chauffeurs de toegang ontzeggen tot deze stations, ook niet vanwege gewijzigde algemene… Lees verder

Stel je schrijft je in voor een opleiding, die maar liefst €3.630 kost. De opleiding valt fors tegen, en dan ontdek je ook nog dat de opleider zichzelf op een bekende vergelijkingssite met nepreviews flink de hemel in geprezen heeft. Je zou om minder boos worden. En je zou denken dat je dan de cursus… Lees verder