Brussel tikt Apple op de vingers om App Store-regels kosten abonnementen

| AE 13882 | Ondernemingsvrijheid, Regulering | 2 reacties

Apple mag appontwikkelaars niet verbieden om klanten over prijsverschillen binnen en buiten de appstore te informeren, las ik bij Nu.nl. Brussel heeft het techbedrijf daarvoor op de vingers getikt: een Formele Boze Brief oftewel statement of objections, de eerste stap in een mededingingsonderzoek dat kan uitmunten in een forse boete voor het elektronicabedrijf.

Wanneer een betaling via de App Store van Apple loopt, krijgt het bedrijf daar 30% van (soms minder). Dat is op zichzelf prima, zegt de Commissie: dat is geen onredelijk tarief voor dit betaalmiddel en er worden ook kosten voor de App Store mee gefinancierd. Maar wat Apple daarbij doet, is bedrijven verbieden in de app (of elders) te melden dat men goedkoper uit is door de betaling op een andere manier te doen, zoals via de eigen site.

Apple mag verplichten dat alle appbetalingen op bijvoorbeeld iPhones via de App Store gaan. Maar het techbedrijf mag niet verbieden dat appontwikkelaars mensen informeren dat er goedkopere betaalopties buiten de App Store om bestaan. Dit is onwenselijk:

The Commission’s preliminary view is that Apple’s rules distort competition in the market for music streaming services by raising the costs of competing music streaming app developers. This in turn leads to higher prices for consumers for their in-app music subscriptions on iOS devices. In addition, Apple becomes the intermediary for all [in-app purchase] transactions and takes over the billing relationship, as well as related communications for competitors.
Het hier specifiek over muziekstreaming omdat het onderzoek volgt uit een klacht van muziekstreamer Spotify, die natuurlijk concurreert met Apple Music en nu op het Apple-platform duurder is dan Music of minder winst zou mogen maken als ze de prijzen verlaagt om wél concurrerend te zijn. De uitspraak zal dan ook over muziekstreaming gaan, maar omdat het gaat om een algemene regel is de kans natuurlijk groot dat hetzelfde gaat gelden in andere gebieden.

Apple wordt nu in de gelegenheid gesteld te reageren. Ze hebben het druk; in januari startte de Japanse markttoezichthouder een vergelijkbaar onderzoek maar dan gericht op het niet toelaten van alternatieve betaaltechnieken vanuit de app.

Arnoud

Tesla past filmen met Sentry Mode-camera’s in Nederland aan na AP-onderzoek

| AE 13866 | Privacy, Regulering | 14 reacties

Tesla gaat voor Nederlandse gebruikers aanpassen hoe de Sentry Mode werkt, las ik bij Tweakers. De vier camera’s op de auto’s filmen voortaan niet meer standaard, en de bewaartermijn gaat omlaag. Dit op last van de Autoriteit Persoonsgegevens. Maar Tesla krijgt geen boete of andere sanctie: men ziet de bestuurder als de verwerkingsverantwoordelijke.

In 2019 blogde ik over de toen-net-ingevoerde Sentry Mode:

Deze modus zorgt ervoor dat verscheidene camera’s worden gebruikt om een beeld van 360 graden rondom de auto op te nemen. De nieuwere Tesla’s hebben acht camera’s rondom het voertuig en kunnen daarmee dus worden ingezet om bijvoorbeeld onvoorzichtige fietsers of doelbewuste bekrassers vast te leggen, zodat er bewijs is van hoe schade is ontstaan.
Mensen vroegen zich toen af of dat strafbaar was. Nee dus, dit is geen ‘aangebrachte’ camera in de zin van het strafrecht omdat een Tesla regelmatig verplaatst wordt. Een privacyschending is het ook niet, dat volgt uit jurisprudentie uit alweer 2009 over een camera die vanuit huis de auto in de gaten houdt.

Maar de AP gaat over de AVG, en komt daarbinnen terecht tot de conclusie dat het hier gaat om verwerking van persoonsgegevens – mensen komen herkenbaar in beeld, en dat valt onder de Europese regels over verwerking van persoonsgegevens. Dit dus los van de vraag of mensen hun privacy wordt geschonden als ze op de openbare weg langs een Tesla lopen.

Gegevensbescherming gaat over zaken als transparantie, weten dat iemand gegevens verzamelt en wat er dan gebeurt. De AP legt uit wat er zoal veranderd is:

Zo komt de Sentry Mode nu alleen in actie als de auto aangeraakt wordt. En niet zodra de camera’s een ‘verdachte’ beweging rond de auto zien. Ook gaat de auto op zo’n moment niet standaard filmen, maar krijgt de eigenaar alleen een tekstbericht op de telefoon.

De auto kan nog steeds camerabeelden maken, maar alleen wanneer de gebruiker die functie zelf inschakelt. Als de camera’s beelden opnemen, geeft de auto dit aan op het scherm in de auto. Ook geven de koplampen dan een speciaal lichtsignaal. Zo weten mensen dat zij gefilmd worden.

De AP ziet de eigenaar/bestuurder van de auto als verwerkingsverantwoordelijke. Dat is logisch vanuit de AVG, want de bestuurder beslist over het aanzetten van deze modus en over wat er met de beelden gebeurt. Tesla zegt namelijk dat ze niet voor hen toegankelijk zijn en ze ook niet zelf aan of uit kan zetten.

Een privépersoon kan zeker ook onder de AVG vallen. Er is een uitzondering voor persoonlijk/huishoudelijk gebruik van persoonsgegevens, maar die geldt niet bij het verzamelen van persoonsgegevens in het openbaar. Dat is een grijs gebied bij camera’s rond je huis, maar een auto parkeer je gewoonlijk op de openbare weg – in ieder geval als je Sentry Mode meent nodig te hebben lijkt me.

Het mooie van deze uitspraak is voor mij vooral dat de AP het bedrijf Tesla aanspreekt, hoewel die dus niet de verantwoordelijke voor de opnames zijn. Tesla maakt ‘slechts’ middelen, en onder de AVG is niet duidelijk in hoeverre dergelijke partijen gehouden zijn AVG compliant middelen op te leveren. Gezien de praktische impact van deze vorm van camerasurveillance is het dus goed dat Tesla deze kant kiest.

Arnoud

 

Rechter: burgemeester van Utrecht mocht geen online gebiedsverbod opleggen

| AE 13832 | Regulering, Uitingsvrijheid | 5 reacties

De burgemeester van Utrecht mocht een jongen uit Zeist in 2021 niet verbieden om online een oproep te doen om in opstand te komen tegen het coronabeleid en het vuurwerkverbod. Dat las ik bij Security.nl. De rechtbank Midden-Nederland had de primeur om te oordelen over de online gebiedsverboden, en is (terecht) kritisch. Het onderwerp is al ingewikkeld genoeg zonder dat termen als “plaats” worden opgerekt naar wat we ooit cyberspees noemden.

De jongen had in november 2021 opgeroepen: “Utrecht in opstand, nee 2G & nee vuurwerkverbod! 26-11-21, 19.30, Kanaalstraat, Be there!!! Neem je matties & vuurwerk mee.” Dit is typisch een voorbeeld van “aanzetten tot openbare-ordeverstoring” waar APV’s voor gemaakt zijn en burgemeesters bevelen tegen uit kunnen delen. Om nou te zeggen dat dit strafbaar is nee, maar het idee dat een club matties met vuurwerk gaat rondlopen vrijdagavond 19.30 (vlak na een coronapersconferentie, u weet wel toen alles dicht was), ja dat neigt wel naar verstorend.

Ingrijpen dus. Alleen: de jongen stond niet op een bankje in het park te roepen, waar de politie hem zonder twijfel had kunnen oppakken voor zo’n ordeverstoring. Hij zei dit namelijk in een Telegramgroep, terwijl hij fysiek in de naburige gemeente Zeist was op dat moment. Dan komen we dus bij de online ordeverstoring, waar Almelo in december haar APV voor aanpaste. Utrecht dacht dat men het met het ‘gewone’ ordeverstoringsartikel 2:2 APV aankon:

Onverminderd het bepaalde in de artikelen 424, 426 bis en 431 van het Wetboek van Strafrecht is het verboden op of aan een openbare plaats of in een voor publiek toegankelijk gebouw, op enigerlei wijze: … de orde te verstoren; … deel te nemen aan een samenscholing … door uitdagend gedrag aanleiding te geven tot wanordelijkheden.
De Telegram-oproep was dus het “uitdagend gedrag” dat aanleiding zou geven tot wanordelijkheden, voornoemde jeugdige matties die explosief materiaal ongecontroleerd tot ontploffing brengen buiten de daartoe aangewezen tijden. De burgemeester had gesteld dat je dit zo moet lezen dat de wanordelijkheden op die openbare plaats of dat gebouw plaats zouden vinden, maar dat het uitdagend gedrag ook elders mag gebeuren. De rechtbank leest het anders:
De APV-bepaling is duidelijk bedoeld voor de situatie dat er op de openbare plaats uitdagend gedrag wordt vertoond dat aanleiding geeft tot wanordelijkheden. Dit blijkt in de eerste plaats uit de tekst van artikel 2:2, eerste lid, onder g, van de APV zelf. Er staat namelijk dat het verboden is op of aan een openbare plaats op enigerlei wijze door gedrag aanleiding te geven tot wanordelijkheden. In de tweede plaats volgt uit de toelichting op het artikel ook niet dat het gedrag digitaal zou kunnen plaatsvinden. De bewoording ‘op enigerlei wijze’ in het artikel doet daar niet aan af, aangezien het gaat om gedrag op of aan een openbare plaats dat op enigerlei wijze kan worden geuit.
Alleen al daarom is het gedrag van de jongen niet aan te pakken met dit 2:2 APV. Maar de rechtbank gaat verder, stel dat er wél iets van “of via een elektronisch communicatiemiddel” of “op social media” in de APV had gestaan. Had het dan wel gemogen? Nee:
Als de uitleg van de burgemeester van artikel 2:2, eerste lid, onder g, van de APV vervolgens zou worden gevolgd, is er dus sprake van een verbodsbepaling in de APV om op social media uitdagende uitlatingen te doen die aanleiding geven tot wanordelijkheden. Dit is niet toegestaan, want in een gemeentelijke verordening mag de inhoud van uitlatingen niet aan banden worden gelegd. Het is een lokale regelgever (in dit geval de gemeenteraad) namelijk niet toegestaan om grondrechten te beperken wanneer een dergelijke beperking niet kan worden teruggevoerd op een wet in formele zin.
De vrijheid van meningsuiting (oproepen tot wanordelijkheden is óók een mening) staat in de Grondwet, en mag alleen worden beperkt als het parlement daar een wet (“wet in formele zin”) over aanneemt. Denk aan de strafwet over smaad, of de AVG over meningen met andermans persoonsgegevens. De APV is geen wet in formele zin, en mag dus niet over de inhoud gaan. Een APV mag wel “na 22:00 lawaai maken” verbieden, en hard je mening roepen is dan aan te pakken, maar dat is dan vanwege het volume en niet vanwege de inhoud.

Hoe had dit nu uitgepakt onder de Almelose APV? Die verbiedt immers:

Het is verboden om via digitale middelen, onder andere via internet, virtuele ruimtes en sociale media, uitingen te doen, te delen en/of in stand te laten, die kunnen leiden tot een fysieke verstoring van de openbare orde binnen het grondgebied van de gemeente Almelo, dan wel voor het ontstaan van een ernstige vrees daarvoor.
Aan de letter van dit verbod is mutatis mutandis (zoals juristen zeggen, techneuten zeggen s/Almelo/Utrecht/) wel voldaan. Maar je komt meteen bij hetzelfde probleem uit: dit verbod verbiedt het doen van uitingen, oftewel het geven van meningen. Hoewel het iets subtieler is geformuleerd: niet “uitdagende uitingen” (wat iets zegt over hun inhoud/karakter) maar “uitingen die leiden verstoring”, dus het gevolg. Dat mag je in de fysieke wereld ook reguleren, dus waarom niet online?

Eind januari kwamen er antwoord op Kamervragen over het Almelose online verbod, met daarin deze nadere nuancering:

Er is daarmee pas aanleiding om op te treden wanneer er sprake is van een verstoring (of een ernstige vrees daarvoor) van de openbare orde binnen de gemeente Almelo. Overigens is het opleggen van bestuurlijke maatregelen wegens het verstoren van de openbare orde aan personen die niet woonachtig zijn in de betreffende gemeente niet ongebruikelijk.
Dat lijkt er dus op dat de rechter het Almelose verbod wél in stand zou houden bij een vergelijkbare casus.

Arnoud

Hoezo moet je je ID laten zien maar mag de politie je niet dwingen daartoe?

| AE 13823 | Regulering | 23 reacties

Een lezer vroeg me: Ik las bij Security.nl een citaat van de minister van Justitie en Veiligheid: “Burgers zijn verplicht om hun identiteitsbewijs te tonen als de politie hier om vraagt. Het is echter niet mogelijk om iemand te dwingen om zijn of haar identiteit prijs te geven.” Kun jij als jurist duiden hoe je deze… Lees verder

Wat Picnic doet mag niet: Nederlands etiket op product verplicht, hoe zit dat?

| AE 13821 | Ondernemingsvrijheid, Regulering | 55 reacties

Sinds kort kunnen klanten van online super Picnic bij sommige producten kiezen voor een goedkoper alternatief uit Duitsland. Dat meldde RTL Nieuws onlangs. Fijn voor de klant misschien, maar dat is wel verboden. Want het etiket is dan natuurlijk ook in het Duits, en dat is in  strijd met de Warenwet. Wat diverse lezers ertoe… Lees verder

Twitter geeft toe externe apps te blokkeren, mag dat?

| AE 13818 | Regulering | 6 reacties

Twitter heeft bevestigd dat het een aantal externe apps bewust heeft geblokkeerd, las ik bij Nu.nl. Het socialemediabedrijf handhaaft naar eigen zeggen regels die al langer bestaan, hoewel velen dat niet tekstueel was opgevallen in de voorwaarden zeg maar. De vermoedelijke reden is dat Twitter hoopt meer geld te verdienen door mensen in de eigen… Lees verder

Coinbase krijgt boete van 3,3 miljoen euro voor overtreden registratieplicht DNB

| AE 13816 | Regulering | 8 reacties

Cryptobeurs Coinbase heeft van De Nederlandsche Bank (DNB) een boete van ruim 3,3 miljoen euro gekregen voor het overtreden van de registratieplicht, las ik bij Security.nl. Financiële dienstverleners moeten zich registreren bij de DNB als deel van de wetgeving tegen bestrijding van witwassen. De boete is hoger dan de standaardboete (2 miljoen) omdat Coinbase een van… Lees verder

Verdachte krijgt lagere straf voor phishing wegens politie-onderzoek naar iPhone

| AE 13796 | Regulering, Security | 3 reacties

Een man die via sms en WhatsApp phishingaanvallen uitvoerde heeft een lagere straf gekregen omdat de politie zijn iPhone zonder toestemming van de rechter-commissaris onderzocht, las ik bij Security.nl. De rechtbank Midden-Nederland oordeelde dat De strafzaak was het gevolg van een smishing-zaak (sms-phishing, sorry) waarbij verzekeraar Achmea als gezicht was gebruikt. Dat lijkt competent genoeg… Lees verder

Europol haalt bij actie met Nederlandse politie vijftig ddos-booters offline

| AE 13751 | Ondernemingsvrijheid, Regulering | 8 reacties

Verschillende internationale politiediensten, waaronder de Nederlandse, hebben tijdens een operatie tientallen ddos-booters offline gehaald. Dat meldde Tweakers vorige week. Dergelijke diensten leveren DDoS-aanvallen op verzoek en tegen betaling, met het dunne excuus dat bedrijven wellicht hun netwerk willen testen maar dan geen behoefte hebben aan contracten, facturen of betalingen met ouderwets fiatgeld. Of zoiets. Want,… Lees verder

Almelo past APV aan voor online ordeverstoringen

| AE 13733 | Regulering, Uitingsvrijheid | 21 reacties

Burgemeester Gerritsen van Almelo kan binnenkort eisen dat een opruiend bericht op social media wordt weggehaald. Dat meldde Gemeente.nu onlangs. Hij kreeg deze bevoegdheid op grond van een aanpassing aan de Algemene Plaatselijke Verordening (apv) van de gemeente. Naast dwangmiddelen tegen de plaatser van zo’n bericht kan de gemeente ook de beheerder van websites of… Lees verder