Uitingsvrijheid Archives

Welke disclaimer kunnen wij het beste onder onze mails zetten (oh man vragen ze dat echt nog in 2025)

Geplaatst op 17 maart 202510 maart 2025 in Uitingsvrijheid, 13 reacties

Een lezer vroeg me:

Ik ben CISO bij een middelgroot bedrijf en de directie heeft bedacht dat er een disclaimer onder de mail moet. Ik moet hier een tekst voor opstellen. Wat zou jij adviseren?

Disclaimers zijn juridisch van nul en generlei waarde. Ze opnemen is onzinnig, je hebt niets aan zo’n tekst en het zal lezers een net wat formeler gevoel geven dan bij de mail zonder de zin er onder. Dat kan in een sluipend conflict net het zetje zijn om te gaan escaleren.

Vaak worden deze redenen opgegeven als waarom men een disclaimer wil:

Men verstuurt wel eens vertrouwelijke informatie en die moet dan beschermd. Die zie ik, maar dan moet je in de mails met vertrouwelijke informatie een gerichte waarschuwing opnemen. “Deze bijlage is vertrouwelijk, verder verspreiden is verboden” is een effectieve mededeling. “Deze mail kan vertrouwelijke gegevens bevatten” is dat niet – hoe weet ik welke gegevens je bedoelt?
Men maakt zich zorgen over onjuiste ontvangers. Dan krijg je de “Deze mail is uitsluitend bestemd voor de geadresseerde(n)”-teksten. Dat zal best, maar (a) ik heb hem gehad en ben dus kennelijk een geadresseerde want (b) mijn adres stond in het “Aan:” veld. Dus wat bedoel je?
De auditor heeft gezegd dat het moet. Nee, geen enkele ISO of andere norm eist dat je disclaimers in je mail zet. Die eisen effectieve beveiligingsmaatregelen tegen bijvoorbeeld lekken van persoonsgegevens. Ik wil heel misschien wel erkennen dat een disclaimer als weloverwogen sluitstuk van een pakket maatregelen niet perse zinloos is, maar dat is niet hetzelfde als “je moet een disclaimer van ISO 27001”.

Als je vertrouwelijke informatie in een mail zet moet je gewoon goed opletten dat die naar de beoogde ontvanger gaat. Wil je extra waarschuwingen geven, zet dat in de mail en snij dat op maat. “Ik stuur hierbij de contactgegevens van zieke collega Piet, behandel deze strikt vertrouwelijk” is een effectieve zin. “De mail kan gegevens met betrekking tot een derde bevatten en dient u vertrouwelijk te gebruiken” is zinloos.

Wat staat er in de disclaimers onder jullie mail?

Arnoud

Waar moet ik op letten als ik een deurbelcamera wil ophangen?

Geplaatst op 14 maart 202510 maart 2025 in Uitingsvrijheid, 7 reacties

"Fermax doorbell with camera, Schiebroek, Rotterdam (2020) 01" by Donald Trung Quoc Don (Ch? Hán: ???) - Wikimedia Commons - © CC BY-SA 4.0 International.(Want to use this image?)Original publication ?: --Donald Trung ????? (No Fake News ?) (WikiProject Numismatics ?) (Articles ?) 14:07, 11 February 2021 (UTC) is licensed under CC BY-SA 4.0

Een lezer vroeg me:

Ik heb onlangs zoals zovelen een deurbel met camera aangeschaft. Heel handig maar ik me maak me toch een beetje zorgen. Ik heb namelijk geen voortuin dus de straat staat in het beeld. Waar moet ik op letten om niet in de problemen te komen?

Aan deze vraag zit zowel een juridisch als een praktisch aspect. Eerst het juridische.

Een deurbel-camera inzetten valt onder de AVG, omdat je er langs elektronische weg persoonsgegevens (beelden van mensen die aanbellen) mee maakt. Omdat je dat doet buiten je eigen terrein, val je buiten de uitzondering in de AVG voor strikt persoonlijk gebruik. Je moet dus zorgen dat je voldoet aan eisen als transparantie en een duidelijk afgewogen belang.

Concreet: de deurbelcamera moet als zodanig herkenbaar zijn, en mensen moeten geïnformeerd wat daarmee gebeurt. Mijn inschatting hierbij is dat als je meer doet dan alleen kort filmen na aanbellen, je een bordje “Cameratoezicht” moet ophangen. Mensen verwachten dat een deurbelcamera filmt na aanbellen, maar niet de hele dag.

Het gaat nogal ver dat je een privacyverklaring voor je deurbel moet maken (en aanbieden aan wie daarom vraagt) maar dat is wel wat formeel de AVG van je eist. Vergeet hierin niet de ISO certificering van je beeldenopslagleverancier te noemen, zei hij sarcastisch.

Zeer theoretisch is nog het bezwaar dat een heimelijke camera strafbaar is, maar een deurbelcamera is wat mij betreft nooit heimelijk in de zin van de strafwet. De politie kan de beelden van je camera vorderen, maar als je geen oude opnames bewaart (en dat hoef je niet), dan houdt dat snel op.

Het praktische aspect is veel belangrijker. Camera’s bij woningen geeft vaak gedoe met buren. Die willen niet in beeld, voelen zich bekeken of worden wantrouwig waarom jij ze filmt. Dat hoeft allemaal niet jouw reden te zijn, maar als die buren dat zo ervaren dan moet je er toch wat mee.

Overweeg altijd de camera fysiek af te schermen zodat de buren kunnen zien dat ze niet worden gefilmd. (Een privacy-instelling in de app kan natuurlijk ook, maar de buren weten niet dat jij die hebt ingesteld en bovendien kun je die zo weer opheffen.) Richt de camera zo dat duidelijk is dat je jouw voordeur wilt filmen, niet gewoon de straat. Ga open het gesprek aan als de buren zich melden, en sta open voor een oplossing als de buren zich er toch vervelend over voelen hoewel jij 100% in je recht staat.

Als je de deurbelcamera (mede) overweegt vanwege een geschil met de buren, kijk dan of er echt geen andere manier is om dit geschil aan te pakken. Veel gemeenten bieden een vorm van buurtbemiddeling aan, en de wijkagent kan soms ook helpen met een gesprek of andere interventie. De ervaring leert namelijk dat camera’s ophangen in een geschil er altijd voor zorgt dat het geschil escaleert.

Arnoud

Kijken naar de pest in de middeleeuwen: ‘AI-beeld klopt voor geen meter’

Geplaatst op 12 maart 20255 maart 2025 in Uitingsvrijheid, 13 reacties

Op Instagram en TikTok worden zulke AI-beelden miljoenen keren bekeken, al barsten ze van de fouten. Dat meldde Nu.nl recent in een artikel over accounts als POV Lab en Time Traveller POV. Experts schieten de beelden gemakkelijk af, maar ik kreeg van een lezer de vraag: wat vindt de wet hiervan?

Het algemene antwoord: het is niet strafbaar om historische onzin te verkopen. Desinformatie is immers niet verboden, althans niet expliciet. Via de Digital Services Act is er tegenwoordig wél een haakje hiertegen. Artikel 34 DSA bepaalt namelijk dat aanbieders van VLOPs zogeheten systeemrisico’s moeten aanpakken die voortvloeien uit hun systemen, en overweging 84 noemt expliciet “misleidende of bedrieglijke inhoud, met inbegrip van desinformatie”.

Als aanvulling daarop moeten aanbieders van generatieve AI van de AI Act (artikel 50) er voor zorgen dat uitvoer gemarkeerd in een machineleesbaar formaat en detecteerbaar als kunstmatig gegenereerd of gemanipuleerd. Het bekende Content Credentials logo is hierbij de leidende invulling. De grote platforms pikken deze markeringen op en tonen dan de bekende “made bij AI” aanduidingen.

TikTok was de eerste die dit protocol ging ondersteunen, maar bij de in Nu.nl geciteerde video’s zie ik dat logo niet terug. Los daarvan: of het genoeg is om mensen te laten beseffen dat dit nep is, betwijfel ik. Specifiek bij geschiedenis weten we immers in het algemeen wel dat je hier artist impressions krijgt, dus dat we dan AI-beeld zien is te verwachten. Of het inhoudelijk klopt, staat los van die markering.

Een inhoudseis staat verderop in de AI Act: zogeheten deepfakes zijn AI-beelden die pretenderen de werkelijkheid te tonen. Hierbij moet expliciet bekend gemaakt worden dat de content kunstmatig is gegenereerd of gemanipuleerd. Maar wederom: dat vindt niemand erg, want we weten dat dit een impressie is. De AI Act eist niet dat deepfakes kloppen met de werkelijkheid.

Ik zie dus niet echt een juridische optie om deze feitelijk onjuiste informatieverspreiding aan te pakken. Jullie wel? Of zou dit gewoon moeten kunnen, en moeten we maar geschiedenisgeletterder worden?

Arnoud

Ben ik verantwoordelijk voor wat de buren op mijn gedeelde wifi netwerk doen?

Geplaatst op 4 maart 202520 februari 2025 in Security, Uitingsvrijheid, 17 reacties

Een lezer vroeg me:

Ik heb het wachtwoord van mijn Wifi gedeeld met mijn buren. Ben ik nu ook verantwoordelijk voor wat zij op het internet uitspoken?

De Digital Services Act (DSA, voorheen de Ecommercerichtlijn) beschermt partijen die aan anderen de dienst internettoegang verlenen. Zo’n partij is niet aansprakelijk voor wat die ander er mee doet. En de bewoordingen zijn breed genoeg om ook niet-professionele partijen hier onder te rekenen, zoals het delen van je internetverbinding met de buren.

Als de buurman stelselmatig auteursrechten gaat schenden, bv. door illegaal downloaden, dan mogen rechthebbenden of hun vertegenwoordiger stichting BREIN bij jou eisen dat jij maatregelen neemt om daar een einde aan te nemen. Verder ben je niet echt tot maatregelen verplicht. Schadeclaims hoef je niet te vergoeden.

Het lastige is natuurlijk dat van buitenaf het erop lijkt dat jij al die acties begaat. Dat kan lastig uit te leggen zijn als de politie aanklopt vanwege een verdenking van strafbaar gedrag online, want “de buren hebben het wifi wachtwoord” is natuurlijk een veelgehoorde smoes. Waarmee niet gezegd is dat jij dus veroordeeld gaat worden, maar een hoop gedoe geeft het wel.

Verstandig is dus een manier te zoeken waarmee jouw netwerkverkeer en dat van de buren gescheiden is. (Misschien ook zodat ze niet per abuis printen op jouw netwerkprinter of je NAS als eigen opslag gebruiken.) Dat zou dan in ieder geval aanwijzingen geven dat er op dat tijdstip alleen vanaf het gastennetwerk is gewerkt, en dat kan in jouw voordeel werken als je wilt aantonen dat de buren het waren.

Sluitend is dat natuurlijk niet – je kunt zelf het gastennetwerk hebben gebruikt voor je snode activiteiten – maar het is beter dan niets. En voel je je hier niet senang bij, dan kun je verdergaande maatregelen nemen. Iemand suggesties?

Arnoud

Mag ik de camerabeelden van een vernielde fiets op het schoolplein?

Geplaatst op 20 februari 202520 februari 2025 in Privacy, Uitingsvrijheid, 22 reacties

Een lezer vroeg me:

Op de school van mijn zoon is recent een incident geweest waarbij diens fiets ernstig beschadigd is geraakt. Ik vermoed dat dit is gefilmd met de camera’s van school en wil inzage. De directeur weigert dit met een beroep op de AVG en stelt dat ik aangifte moet doen. De politie weigert dit, omdat het alleen zaakschade is en dus(?) een civiele kwestie die ik met de verzekering moet oplossen. Waar sta ik nu?

Inzage in camerabeelden kan inderdaad onder de AVG, maar vereist wel dat de betrokkene op de camerabeelden te zien is. Alleen dan zijn het immers persoonsgegevens van de betrokkene. Eventuele andere zichtbare personen moeten dan uitgeblurd worden.

Dat gaat natuurlijk mis bij een situatie waarin een ander is gefilmd die een fiets stuk maakte. Dan is de zoon van de vraagsteller niet in beeld, en onder de AVG beelden van een dader van vernieling opvragen gaat eenvoudig niet. De school heeft dus gelijk dat ze de beelden niet zomaar mogen geven.

Een mogelijkheid om de beelden toch te krijgen is een vordering onder artikel 194 Rechtsvordering (voorheen 843a).

Een partij bij een rechtsbetrekking heeft tegenover degene die beschikt over bepaalde gegevens over die rechtsbetrekking, recht op inzage, afschrift of uittreksel van die gegevens als zij daarbij voldoende belang heeft. De partij die om inzage, afschrift of uittreksel van bepaalde gegevens verzoekt, draagt de kosten die voor de verstrekking daarvan moeten worden gemaakt.

Camerabeelden zijn ‘gegevens’ in de zin van dit artikel en je kunt ze dus opeisen als sprake is van een ‘rechtsbetrekking’, zoals een onrechtmatige daad. In november 2024 speelde dit nog met NAW-gegevens, waarbij de rechter duidelijk maakte dat dit breder is dan gegevens van de wederpartij bij die rechtsbetrekking.

Weigeren van zo’n verzoek mag niet, tenzij je een verschoningsrecht hebt of je je kunt beroepen op “gewichtige redenen”. De Memorie van Toelichting noemt daarbij

Van gewichtige redenen kan ook sprake zijn als de bescherming van persoonsgegevens van derden niet kan worden gewaarborgd, bijvoorbeeld doordat deze niet voor het geschil ter zake doende gegevens, niet of niet eenvoudig kunnen worden weggelakt of zwartgemaakt.

Dit moet je dus lezen als: als je de privacy van irrelevante derden niet kunt borgen (bij camerabeelden: deze niet kunt uitblurren) dan heb je een gewichtige reden tegen afgifte. Maar hier gaat het om de privacy van relevante derden, namelijk de dader(s) van de vernieling. Die beschermen is geen ‘gewichtige reden’.

De vraagsteller moet wel de noodzakelijke kosten voor het verstrekken van de verlangde informatie vergoeden, maar je zou zeggen dat dat bij camerabeelden niet veel zal zijn. Wat kost de tijd om terug te kijken wanneer de fiets werd beschadigd?

Een punt hierbij is nog wel waarom je de beelden nodig hebt, in juridische termen wat je ‘belang’ bij de vordering is om een kopie te krijgen. Een schadeclaim bij (de ouders van) de dader is zo’n grond. Voor aangifte is dat niet nodig, de politie zal zelf de beelden vorderen als ze een onderzoek instellen.

Ga je de school aansprakelijk stellen, dan heb je de beelden niet nodig want de identiteit van de leerling (of leraar) doet er niet toe op dat moment. (Het is zeker niet gezegd dat de school aansprakelijk is, dat hangt af van hun zorgplicht en ook van het moment van de schade.)

Arnoud

Agent stopt met social media om beleid politie, mag dat zomaar?

Geplaatst op 22 januari 202520 januari 2025 in Uitingsvrijheid, 12 reacties

De politie heeft het socialmediabeleid aangepast voor agenten die bijvoorbeeld op Instagram of X zitten. Dat meldde RTL Nieuws vorige week. Hierdoor zijn er persoonlijke accounts van wijkagenten verdwenen. Diverse lezers vroegen zich af of dat zomaar kan, dat een werkgever ‘beleid’ invoert of aanpast en dat je dan je socialmediaaccount moet stoppen?

RTL belde een voorlichter en kreeg zowaar inhoudelijk antwoorde:

Een woordvoerder van de korpsleiding bevestigt dat er ‘een kleine aanpassing’ is geweest in het beleid. “We willen een eenduidig socialmediabeleid, zodat alle collega’s eenzelfde soort naam voor hun profiel gebruiken.” Volgens de woordvoerder hoefde deze operationeel expert, zoals zijn functie officieel heet, niet helemaal te stoppen met zijn account, maar moest hij zijn naam veranderen. “Zodat het account niet aan de persoon hangt.

Het lijkt er dus op dat de politie deze accounts wil verbinden met de werkgever. Zoals ik het lees, moet men in staat zijn het account aan een collega te geven. En dan is “politieteam Utrecht binnenstad” handiger dan “wijkagent Tim”, zeg maar.

Juridisch zie ik daar wel een grondslag voor. Zo’n socialmediaaccount beheer je tijdens je werk en het gaat over werk. Dat is dan een dienst afgenomen door de werkgever, en dat de werknemer dit op eigen houtje deed en het misschien aan een eigen Gmailadres koppelde in plaats van zijn werknemersmail is dan niet relevant.

(Het deed me denken aan Giel Beelen die in 2017 zijn social media moest inleveren toen hij wegging bij de publieke omroep. Maar dat is volgens mij nooit juridisch uitgevochten.)

Dit zie ik terug in het oude(?) socialmediabeleid uit 2020:

In het verlengde van webcare is het goed om te benoemen dat accounts die namens de politie spreken op social media geen persoonlijk eigendom zijn van de beheerder, maar een middel om te communiceren met burgers.

Je kunt als agent ook een privéaccount hebben, maar dat moet dan gaan over “persoonlijke intresses, hobby’s en/of passies” en niet over je werk als politieagent. Volgens RTL zijn er nu nieuwe richtlijnen, maar die kan ik even niet vinden.

Arnoud

Kunnen nabestaanden het account van een overledene laten verwijderen?

Geplaatst op 14 januari 20259 januari 2025 in Privacy, Uitingsvrijheid, 6 reacties

Een lezer vroeg me:

Op een forum waar ik moderator van ben, is het verzoek binnengekomen de berichten van een recent overleden vaste gebruiker allemaal te wissen (het gaat om duizenden berichten). Men stelt dat deze persoon slecht lag met de familie en vele roddels op het forum heeft geplaatst. Een daarvan meldt zelfs erfgenaam van het account te zijn en op die grond het gehele account te mogen opeisen. Hoe zit dat?

Er is geen aparte wet- of regelgeving over het verwijderen van berichten of accounts. Meestal wordt dan de AVG ingeroepen, die kent een recht van verwijdering (artikel 17). Echter, de AVG geldt alleen bij levende personen. Op grond van de AVG een persoonsgegeven (zoals een bericht, naam of account) van een overledene weghalen is dus niet mogelijk.

Ik lees echter dat de berichten iets over familie zeggen. Aangenomen dat dit gaat over nog levende mensen, kunnen die inderdaad op grond van de AVG verwijdering eisen. Jij moet dan als beheerder een afweging maken: hoe ernstig is de uitlating, hoe goed is deze onderbouwd en welke schade of nadeel hebben de personen over wie het gaat? Iemand die in een discussie uitgebreid ingaat op verwaarlozing uit zijn jeugd doet daar weliswaar een negatieve uiting, maar dat lijkt me niet snel smadelijk.

Ik zie dus alleen mogelijkheden op basis van inhoud die redelijkerwijs onrechtmatig is, dergelijke berichten moet je aanpassen of verwijderen. Dit is dan hetzelfde ongeacht of de plaatser overleden is natuurlijk, dus het zijn dan ‘gewoon’ klachten over vermeende smaad, privacyschending en dergelijke. Een geheel account verwijderen kan op die grond niet.

De erfgenaam die het account opeist, heeft goed opgelet op deze blog: het is (soms) mogelijk om toegang te krijgen tot een account van een overledene, als je diens erfgenaam bent. Op grond van wat juridisch ‘saisine’ heet, ben je dan de rechtsopvolger van de (dienst)overeenkomst met het forum op grond waarvan er mag worden gediscussieerd.

Dit levert je alleen geen extra rechten op ten opzichte van wat de overledene destijds mocht. Dus als die niet bevoegd was om zomaar berichten weg te halen (wat vrijwel altijd het geval is bij forums), dan ben je dat als contractsovernemende partij ook niet.

Arnoud

Maakt niet weghalen van oude, inmiddels strafbare tweets je alsnog strafbaar?

Geplaatst op 10 december 20245 december 2024 in Uitingsvrijheid, 19 reacties

Ten tijde van het plaatsen van berichten op Twitter was doxing nog niet strafbaar. Dat las ik in een recent vonnis van de rechtbank Rotterdam inzake doxing, het verspreiden van identificerende informatie met het doel iemand bang te maken, overlast te bezorgen of in zijn beroep te hinderen. Dat doen oude berichten niet, aldus de rechtbank.

De verdachte had in december 2023 berichten geplaatst op Twitter (“thans X geheten” aldus het vonnis). De strekking daarvan wordt duidelijk met dit geanonimiseerde voorbeeld:

“Of?cier van justitie [naam] ( [naam vereniging] [jaartal] ) is de broer van [naam] [werkgever broer].”

Onder dit bericht zijn vier afbeeldingen geplaatst, inhoudende foto’s van de officier van justitie [naam], vermelding van zijn vermeende adres, postcode en telefoonnummer (…)

Dit leest als doxing: het verspreiden van informatie over iemand met als doel dat diegene daar bang van wordt en/of diens werk niet meer goed kan doen. In dit geval die officier (die veel complotzaken doet; de verdachte is eerder veroordeeld in dat verband) hinderen door insinuaties.

Inhoudelijk valt daar vast over te twisten, maar het fundamenteler probleem was dat de berichten dus geplaatst waren vóórdat doxing strafbaar werd (1 januari 2024). Strafbaarstelling kan niet met terugwerkende kracht, dus vielen deze berichten wel onder het verbod?

Ja, aldus de officier: ze zijn ook nu in 2024 gewoon te lezen, en de verdachte had ze niet weggehaald. Dat is hetzelfde als in 2023 een poster voor je raam hangen en die laten hangen. Elke dag zullen passanten die zien, ook in 2024. Dan is het geen excuus dat je die in 2023 ophing.

De rechtbank ziet toch een fundamenteel verschil:

In het voorbeeld van de poster met strafbare teksten daarop zal de persoon die de poster heeft opgehangen zelf ook iedere dag geconfronteerd worden met de poster en zal hij iedere dag opnieuw ervoor kiezen om de poster te laten hangen zodat voorbijgangers, opnieuw en ook steeds, kennis kunnen nemen van de inhoud ervan. Het nalaten de poster te verwijderen wordt daarmee een bijna actieve handeling die kan worden geduid als (opnieuw) verspreiden met meergenoemd oogmerk. Dat ligt anders bij het plaatsen van berichten op een sociale netwerk website als Twitter waar dagelijks vele berichten worden geplaatst waarmee de verzender niet steeds opnieuw (dagelijks) wordt geconfronteerd.

Een oud Twitterbericht dat slingert nog wel rond, maar het is niet elke dag een nieuwe actieve beslissing om die te laten staan. Dat is dus anders dan die poster. Er zal echt meer nodig zijn, zoals het bericht retweeten/sharen na de inwerkingtreding van het verbod.

Ook dat de verdachte mogelijk wist dat doxing al bijna verboden was, is niet genoeg. Je moet echt alleen kijken naar wat men ná de strafbaarstelling doet, een dag voorafgaand aan de strafbaarstelling datgene doen is immers (nog) legaal.

Arnoud

Mag je citeren uit een mail in een mailinglijst met beperkte toegang?

Geplaatst op 2 december 202422 november 2024 in Intellectuele rechten, Uitingsvrijheid, 1 reacties

Een lezer vroeg me:

Mijn vriendengroep heeft een mailinglijst waarop we onderling kletsen, maar ook sociale afspraken maken en wat filosoferen over dingen. Een van mijn vrienden deed een mooie uitspraak, die ik recent op Linkedin heb gebruikt bij wijze van citaat (met naamsvermelding). Nu stelt hij dat dat niet mocht, omdat onze mailinglijst niet openbaar was. Klopt dat?

Citeren uit andermans werk mag, mits aan een aantal voorwaarden is voldaan. Naamsvermelding is nodig, je mag niet meer overnemen dan nodig voor jouw doel en er moet een inhoudelijke (functionele) reden zijn. Mijn vuistregel: als je het citaat weglaat, wordt dan je eigen bericht onbegrijpelijk?

Een vaak vergeten randvoorwaarde is dat het werk “rechtmatig openbaar” gemaakt moet zijn. Dit betekent dat je niet mag citeren uit ongepubliceerd werk, zoals een op zolder gevonden brief van een ander of een foto die jij alvast mocht zien van de bruidsfotograaf.

De term “openbaar maken” betekent in principe “aan het publiek bekend maken” (art. 12 Auteurswet). “Publiek” is daar de term voor “onbepaalde groep mensen die niet aan speciale regels gebonden is”, vat ik maar even samen.

Het gaat dus niet perse om het aantal mensen: een boek dat door 3 mensen is gekocht, is “openbaar gemaakt”. Maar een manuscript dat door 5 mensen op verzoek van de auteur van commentaar is voorzien, is nog niet “openbaar gemaakt”. Die groep is door de auteur gekozen voor het speciale doel van vooraf lezen en commentaar geven. Dit lijkt op maar is niet helemaal hetzelfde als een afspraak tot geheimhouding.

Bij deze mailinglijst krijg ik het gevoel dat de groep beperkt is samengesteld. Je wordt niet zomaar ‘vriend’ van deze mensen. Anders zou dat zijn bij bijvoorbeeld de mailinglijst van de bezoekers van een café, in principe kan iedereen dat bezoeken en dus abonnee worden van die lijst.

Arnoud

Strava past API-voorwaarden aan, mogen die wel van de AVG?

Geplaatst op 22 november 202421 november 2024 in Privacy, Uitingsvrijheid, 5 reacties

Fitnessapp Strava heeft zijn voorwaarden rondom zijn API aangepast, waardoor apps van derde partijen minder data kunnen tonen en geen data mogen gebruiken voor het trainen van AI-modellen. Dat meldde Tweakers. Volgens DC Rainmaker het einde van de third-party apps rond Strava. Denk aan coachingplatforms, die nu ineens geen Strava-data meer kunnen gebruiken. Dus: mag dat van de AVG of een andere DLA?

De reden dat vele tipgevers (dank) aan de AVG dachten, is omdat in de AVG een specifiek artikel staat over dataportabiliteit (art. 22.1 AVG):

De betrokkene heeft het recht de hem betreffende persoonsgegevens, die hij aan een verwerkingsverantwoordelijke heeft verstrekt, in een gestructureerde, gangbare en machineleesbare vorm te verkrijgen, en hij heeft het recht die gegevens aan een andere verwerkingsverantwoordelijke over te dragen, zonder daarbij te worden gehinderd door de verwerkingsverantwoordelijke aan wie de persoonsgegevens waren verstrekt (…)

Het recht is wat beperkt: het geldt alleen om gegevens die je zelf verstrekt hebt, niet om gegevens die “gededuceerd en afgeleid” zijn. Ook moet de grondslag toestemming dan wel overeenkomst zijn. Beiden gaan goed bij de Strava-dienst.

Je hebt bij Strava de mogelijkheid een zipfile te downloaden, die zou je dan weer kunnen uploaden bij zo’n coachingplatform. Maar dat kon dus volautomatisch en direct via de API, en nu mag dat ineens niet meer. Dat voelt als een vorm van “hinder”.

De Strava API overeenkomst vermeldt inderdaad een forse beperking:

If your Developer Applications log into Strava on behalf of a Strava user, then you are permitted to access and display data or functionality only for that Strava user, and you may not disclose such data to, or use it for, another user nor any other third party.

Een app die data ophaalt bij Strava (ook via de API) mag die vervolgens alleen tonen aan de gebruiker om wie het gaat. Dus niet de coach of andere gebruikers, zoals bij een leaderboard of competitie.

Artikel 22 AVG spreekt dat niet tegen: dat gaat alleen over toegang tot je eigen persoonsgegevens.

De Richtsnoeren van de AVG-toezichthouders hierover merken op dat het hele punt van dataportabiliteit is “the right to receive personal data and to process them, according to the data subject’s wishes”. Als een hardloper dus wél wil dat de coach meekijkt, dan moet dat kunnen – ook als de hardloopdata uit Strava komt via de API.

Strava zou kunnen zeggen dat deze bepaling uit zorg is over vertrouwelijkheid van persoonsgegevens. Maar dat is nadrukkelijk niet nodig, aldus diezelfde Richtsnoeren:

In this respect, the data controller is not responsible for compliance of the receiving data controller with data protection law, considering that it is not the sending data controller that chooses the recipient.

Als het jouw keuze is dat je coach je hardloopprestaties mag zien, dan heeft Strava daar niets meer van te vinden. Ze mogen dan weer wel een adequate authenticatie uitvoeren, om zeker te weten dat dit nog steeds jouw wens is.

De andere grote DLA om voor uit te kijken is de DMA, de Digital Markets Act. Deze sjagrijnige broer van de Digital Services Act is bedoeld om een eerlijke digitale market te creëren, en bevat stevige bepalingen tegen machtsmisbruik dat voortvloeit uit een digitale koppositie, wat de DMA “poortwachterschap” noemt.

Een poortwachter moet bijvoorbeeld haar communicatiedienst interoperabel maken (art. 7), iets waar WhatsApp nu mee worstelt. Appstores van poortwachters moeten te passeren zijn, de reden dat Apple zo boos is dat ze haar AI-speelgoed de EU markt niet op wil brengen (dus niet de AI Act).

Dataportabiliteit algemeen staat er ook in, en dan vanuit het perspectief van de concurrent:

De poortwachter zorgt ervoor dat zakelijke gebruikers en door een zakelijke gebruiker gemachtigde derden op hun verzoek kosteloos effectieve, kwaliteitsvolle en continue realtimetoegang hebben tot en gebruik kunnen maken van geaggregeerde en niet-geaggregeerde gegevens, persoonsgegevens inbegrepen, die door die zakelijke gebruikers en door de eindgebruikers die betrokken zijn bij de door die zakelijke gebruikers geleverde producten of diensten worden verstrekt voor of gegenereerd in het kader van het gebruik van de betrokken kernplatformdiensten of diensten die samen met of ter ondersteuning van de betrokken kernplatformdiensten worden aangeboden.

Met die bepaling is Strava’s API bepaling triviaal ongeldig. Alleen: daarvoor moet Strava een poortwachter zijn, en daar kom je pas aan als je

een aanzienlijke impact hebt op de interne markt;
een kernplatformdienst aanbiedt die voor zakelijke gebruikers een belangrijke toegangspoort tot eindgebruikers vormt, en
met betrekking tot haar activiteiten een stevig verankerde en duurzame positie inneemt of naar verwachting in de nabije toekomst een dergelijke positie zal innemen.

De DMA vermeldt enkele getallen die een vermoeden opleveren dat hiervan sprake is (jaaromzet van ten minste 7,5 miljard EUR, actief in drie lidstaten, minstens 45 miljoen maandelijks actieve eindgebruikers, zo nog wat en dat drie jaar lang). Maar daar komt Strava niet aan.

Terug naar de AVG dus. Hier lijkt er ruimte zijn voor handhaving, maar mijn vermoeden is dat er weinig prioriteit voor zal zijn bij de toezichthouders. Immers, de belangen van betrokkenen worden niet direct geraakt, Strava is eerder té beschermend dan te weinig.

Er is echter hoop: in de zaak Linden Apotheker heeft het Hof van Justitie bepaald dat ook concurrenten een verwerkingsverantwoordelijke mogen aanklagen wegens een AVG-schending. Dus niet alleen betrokkenen of hun massaclaimorganisaties. Een coachingplatform dat zich nu geblokkeerd ziet, mag Strava in Europa dus juridisch aanpakken onder de AVG.

Arnoud