Nederlandse overheid overweegt te stoppen met pagina’s op Facebook

| AE 13701 | Privacy, Uitingsvrijheid | 12 reacties

De Nederlandse overheid overweegt zijn pagina’s op Facebook te sluiten, las ik bij Tweakers. In een Kamerbrief meldt staatssecretaris Alexandra van Huffelen dit als conclusie van een dpia van de datapraktijken van moederbedrijf Meta, die zeven grote risico’s liet zien op het gebied van transparantie en controleverlies. Een goede zaak dat dit eindelijk op de politieke agenda staat, voor mij is vooral de vraag waarom het zo lang moest duren.

De Kamerbrief legt uit dat recent in Duitsland overheden wederom zijn gevraagd hun Facebookpagina’s te sluiten, omdat zij juridisch mede verantwoordelijk zijn voor wat er op die pagina’s gebeurt met data van bezoekers. Naar aanleiding daarvan heeft zij onderzoek laten uitvoeren, een data protection impact assessment: 

In de DPIA worden 7 hoge risico’s en 1 laag risico gevonden voor de gegevensverwerking. Volgens het onderzoek informeert Facebook niet duidelijk wat ze met de gegevens van burgers op overheidspagina’s doet, en hoe ze bepaalt welke berichten bezoekers in hun nieuwsoverzicht zien. Het onderzoek concludeert ook dat Facebook volgcookies op een misleidende (“Facebook makes deceptive use of tracking cookies”) manier gebruikt. Gegevens over het gedrag van de paginabezoekers worden verzameld, zonder dat voldoende inzage wordt gegeven in de logica van het gebruik van die gegevens om gepersonaliseerde berichten, aanbevolen andere content en advertenties te tonen. Ook zijn er zorgen over de doorgifte van persoonsgegevens aan derde landen en derde partijen.
De vaste lezer van deze blog zal weinig niets halen uit bovenstaande alinea, behalve misschien dat dit óók bij specifieke Facebookpagina’s van overheidsinstanties gebeurt. En tot voor vrij kort geleden kon je als instantie nog doen alsof dit niet jouw probleem was, maar in 2018 bepaalde het Hof van Justitie dat je als beheerder van een Facebookpagina mede-verwerkingsverantwoordelijke bent voor alles dat onder water gebeurt bij bezoek aan die pagina. Dat volgt uit de systematiek van de AVG.

Uit mijn blog van toen:

De belangrijkste implicatie van het arrest is dat je als persoon kunt eisen dat gegevens van jou worden verwijderd bij zo’n fanpagina, en dat de beheerder zich niet mag verschuilen achter Facebook. Je moet dus echt zelf aan de bak en ook zelf aangeven welke gegevens je verzamelt en wat je daarmee doet.

Maar pijnlijke bijkomstigheid is dat je dus óók (mede-) aansprakelijk bent voor datalekken, slechte beveiliging en andere fouten die je zakenpartner Facebook vergaart. Oké, dat mag je wettelijk gezien op haar verhalen maar dat is natuurlijk niet helemaal realistisch.

De overheid is nu in gesprek met Facebook met als doel álle pijnpunten weg te doen nemen. Leuk, maar persoonlijk zie ik dat niet snel gebeuren. De daarop volgende stap zou dan moeten zijn dat de overheid weggaat van Facebook. Daarop kwam op vele plekken de reactie, waarom zit de overheid op Facebook als zij zelf al websites te over heeft?

De reden daarvoor is vrij simpel: de overheid wil zo veel mogelijk mensen bereiken, en er is nu eenmaal een significante groep mensen die niet op Rijksoverheid.nl kijkt voor nieuws vanuit de overheid, maar alleen dergelijke informatie via de social media tot zich neemt. Die groep bereik je dus alleen met een Facebookpagina zeg maar, en daarom is die pagina er. Vanuit dat perspectief is het dus niet zo simpel als je zou denken om die informatievoorziening ook weer te stoppen.

Arnoud

Geldt een OSS licentie ook voor de data in de repository?

| AE 13696 | Intellectuele rechten, Uitingsvrijheid | 5 reacties

Een lezer tipte me over een interessante discussie bij het ChirpStack project. Een project waar men gebruik van maakte, The Things Network’s Device Repository, bleek niet meer importeerbaar, waarbij men zich beriep op databankrechten voor die data en tevens aangaf dat de opensourcelicentie op hun software niet zou gelden voor deze data. Toevallig was de licentie ook net een uur eerder weggehaald, wat erg raar aandoet. Wat is hier aan de hand?

Die repository is deel van The Things Network, “a global collaborative Internet of Things ecosystem that creates networks, devices and solutions using LoRaWAN®.” Dat laatste is dan weer een netwerkarchitectuur, maar daar hoeft het verder niet over te gaan. De kern is dat TTN een device repository heeft, een databank met belangrijke technische informatie over apparaten die op dit IoT-ecosysteem aan te sluiten zijn. En omdat er fors wat inspanning is gaan zitten in die repository, en The Things Industries (dat daarachter zit) een Nederlands bedrijf is dat het financiële risico draagt voor al die inspanningen, kan zij daar een databankrecht op claimen.

ChirpStack biedt net als TTN een open-source LoRaWAN Network Server aan. Inlezen van die repository is dan erg handig, maar dat maakte TTN recent onmogelijk onder verwijzing naar twee argumenten. Allereerst zou haar databankrecht worden geschonden, en ten tweede ging het importeren uit van een technische structuur die binnenkort zou veranderen, dus het zou alleen maar onhandig zijn voor de toekomst om dit te laten staan.

De beheerder van ChirpStack snapte van dat eerste niets: hij haalde de informatie uit het project op Github dat TTN zelf actief heeft. Daar stond (tot voor kort) een Apache licentie boven, een simpele OSS licentie die alles toestaat zonder copyleft-eisen of andere ingewikkelde dingen. En dan kun je wel een databankrecht hebben, maar licentie is licentie. De reactie van TTN:

There is and was no open data license on the concerning repository. We spend a lot of time and resources on the content of that database. In this instance, GitHub is a great channel to receive contributions from the device maker community and to contribute ourselves, verify, review and validate. But a GitHub repository doesn’t provide a license to reuse and extract it in its entirety. Sure, if you want to copy paste a payload codec that you are missing from the Device Repository, that is fine.
Oftewel: die licentie geldt alleen voor de software, niet voor de data. Dat vind ik raar in het algemeen. Het gebruik is dat je op sites als Github één licentie kiest, die dan voor alles geldt. (Of in ieder geval in de directory en daaronder van de plek waar je die neerzet.) Uitzonderingen kunnen, maar die documenteer je dan in de LICENSE file. Dat is hier niet gebeurd. Vroeger was er wel kritiek dat OSS licenties te specifiek op software geschreven waren, maar bij de Apache 2.0 licentie kun je dat moeilijk volhouden. De definitie van ‘werk’ is keurig generiek:
“Work” shall mean the work of authorship, whether in Source or Object form, made available under the License, as indicated by a copyright notice that is included in or attached to the work (an example is provided in the Appendix below).
Hiermee is het dus volkomen logisch dat ook databestanden als ‘work’ kunnen worden aangemerkt, zodat de rechten en plichten uit de Apache licentie gewoon gelden voor afnemers van die databestanden. Althans, als de licentie daarop van toepassing is. Want tegenover wat ik hierboven schetst, staat dat men in de README (die iedereen ook geacht wordt te lezen) een beperkte verklaring had staan:
The API is distributed under Apache License, Version 2.0. See LICENSE for more information.
De bedoeling van deze software was namelijk dat je voor een gegeven stuk hardware de informatie opvraagt, met die aangeboden API. Wat ChirpStack deed, was dus niet helemaal hun bedoeling: zij maakten een kopie van alle data zodat je niet steeds via de API deze op hoefde te vragen. Die API is er alleen nooit van gekomen, het werd ‘gewoon’ software met alle data in die repository beschikbaar. Dat maakt de term “The API” onduidelijk, als die API er niet is wat bedoelde men dan wel?

Ik denk dat je dan toch uitkomt bij “alles op deze site”, omdat dat nu eenmaal de meest voor de hand liggende interpretatie is gezien het gebruik in de softwarewereld. Bijgevolg kan TTN dus het gebruik van de data niet verbieden mits dat binnen de regels van de Apache licentie gebeurt. Daar staat dan weer tegenover dat de Apache licentie heel expliciet alleen over “copyright” en “patent” toestemming spreekt, en dus niets over databankrechten. In die lezing heb je dus nog steeds niets.

Daartegen heb ik dan alleen nog het argument dat in die situatie de genoemde licentie vrijwel geen betekenis heeft, want er is verder niets van waarde onder die licentie te krijgen en dat is raar. Als je daarbij optelt dat die licentie door Amerikaanse juristen is geschreven (waar databankrecht niet bestaat) en dus best om die reden genegeerd kan zijn, dan kom ik bij de conclusie dat deze overname gewoon mag.

Arnoud

Is het toegestaan om persoonsgegevens te delen in WhatsApp groepen?

| AE 13688 | Privacy, Uitingsvrijheid | 2 reacties

Een lezer vroeg me:

Is het toegestaan om persoonsgegevens te delen in WhatsApp groepen?(zowel zonder als met toestemming van die persoon). Ik weet bijna zeker van niet, maar kun jij mij helpen in welke artikel van de AVG dit is weergeven?
Persoonsgegevens verspreiden via digitale kanalen is een elektronische verwerking daarvan. De AVG is dan van toepassing. Het maakt niet uit of je dit als bedrijf of als particulier doet, en ook niet of het grootschalig of incidenteel gebeurt.

Als een verwerking onder de AVG valt, moet je een grondslag hebben. Toestemming is zo’n grondslag, dus in het geval dat er (specifiek en duidelijk) toestemming is verkregen, dan mag het. Maar ook zonder toestemming kan het, bijvoorbeeld als de verstrekking nodig is om een overeenkomst uit te voeren. Denk aan het adres van je Marktplaats-koper appen naar je broer die de vaas gaat brengen.

Bij delen in een groep kom je meestal uit bij grondslag van het gerechtvaardigd belang (art. 6 lid 1 sub f AVG). Je zegt dan eigenlijk, zowel ik als deze groep hebben er recht op deze informatie te delen, en we hebben rekening gehouden met de privacy van deze persoon. De vraag is dan wat dat recht is en hoe je dan rekening hebt gehouden.

Een veel voorkomende situatie is dat je wilt waarschuwen voor een verdacht persoon (de buurtapp, het is 4 uur en alles heit wel). Dan zijn de persoonsgegevens dus het signalement (of kenteken) van die persoon en waar die zich dan bevindt. Hierover had ik in 2016 ook al een vraag, het antwoord is eigenlijk ongewijzigd. Zie ook de comments!

Een andere optie is dat iemand in een groep vraagt om contactgegevens, bijvoorbeeld of iemand een oppas of klusser weet. In dat geval zou ik eerder kiezen voor een privéreactie, gezien die vraag is het niet nodig om de hele groep die gegevens te verstrekken.

Een derde optie is dat die persoon lid moet worden van de groep. Dat zou AVG-technisch beter via een privébericht naar een beheerder kunnen, waarbij die bij de persoon navraagt of die het echt wil.

En zo kan ik nog wel even doorgaan. Waarmee ik maar wil zeggen, er is niet één antwoord maar het is een beredeneerde keuze waarbij je met genoeg randzaken rekening moet houden.Arnoud

Bloggen over de huizenbouwperikelen van een BN’er is geen AVG overtreding

| AE 13626 | Privacy, Uitingsvrijheid | 5 reacties

Gedaagde hoeft artikel over woning niet te verwijderen, las ik bij ITenRecht.nl. Een lokale website had een artikel geplaatst over de bouwperikelen van de directeur en oprichter van het bedrijf Prijsvrij vakanties, inclusief foto en straatnaam. De directeur in kwestie maakte bezwaar en beriep zich op privacyschending en de AVG. De rechter wijst de eisen af… Lees verder

Welke verantwoordelijkheid heb je als (kleine) forumbeheerder als een draadje ontspoort?

| AE 13628 | Ondernemingsvrijheid, Uitingsvrijheid | 20 reacties

In hoeverre handel je onrechtmatig door een forum te faciliteren waarin iemands goede naam zou worden aangetast, die vraag kreeg de rechtbank Overijssel onlangs. Het is een onderwerp dat bij mij vaak langskomt, hoewel het zelden tot een rechtszaak leidt: op een forum – in dit geval over mountainbiking – worden twijfelachtige dingen gezegd over… Lees verder

Een NDA in je bug bounty stoppen is een heel slecht idee, ook voor Uber

| AE 13554 | Ondernemingsvrijheid, Uitingsvrijheid | 7 reacties

Het hoofd security van Uber hangt strafvervolging boven het hoofd voor de manier waarop hij een datalek wilde verstoppen, las ik bij Ars Technica. Dat deed hij namelijk door de hackers een ton in bitcoins te geven en ze een bug bounty contract met geheimhoudingscontract (NDA) te laten tekenen, waarna hij in het openbaar verwees… Lees verder

Cloudflare blokkeert stalkerforum wegens ‘acute dreiging voor mensenlevens’, dit blijkt controversieel

| AE 13546 | Regulering, Uitingsvrijheid | 5 reacties

Cloudflare blokkeert websites normaal niet, maar ziet in de website Kiwifarms een ‘acuut noodgeval en een onmiddelijke dreiging voor mensenlevens’. Dat meldde Tweakers vorige week. De site is berucht vanwege haar veelvuldige intimidatie van online persoonlijkheden en gemeenschappen, met meerdere zelfmoorden tot gevolg. Ze zouden zich daarbij vooral richten op minderheden, vrouwen, lhbt-personen of neurodiverse personen. Nadat… Lees verder

Amazon Prime vertraagt reviews met drie dagen bij Amazon’s Rings of Power

| AE 13533 | Ondernemingsvrijheid, Uitingsvrijheid | 46 reacties

Streamingdienst Amazon Prime Video heeft stilletjes een vertraging ingebouwd in zijn reviewsysteem voor films en series, las ik bij RTL Nieuws. Zo moeten neprecensies, bots en internettrollen worden afgevangen die met review bombing hun ongenoegen willen uiten over  de artistieke vrijheid die de schrijvers nemen met het verhaal en de inzet van acteurs van kleur. Bij… Lees verder

Mag ik van de AVG sfeerimpressies maken van een optreden?

| AE 13508 | Privacy, Uitingsvrijheid | 13 reacties

Een lezer vroeg me: Ik ben door een vriend gevraagd sfeerimpressies te maken tijdens een optreden in een café. Ze vragen geen toegangsgeld, het café is voor iedereen toegankelijk tijdens het optreden. Het komt neer op het publiek filmen vanaf de achterste rij, ik ga niet inzoomen op individuele aanwezigen. Mag dit van de AVG?… Lees verder

Nee, je kunt geen geld vragen voor het overnemen van populaire tweets

| AE 13310 | Ondernemingsvrijheid, Uitingsvrijheid | 11 reacties

Elon Musk heeft zijn banken beloofd Twitter winstgevend te maken, onder meer door geld te vragen voor overname van populaire tweets. Dat meldde Reuters onlangs. Voor de overname en beursverwijdering heeft Musk 44 miljard dollar nodig, waarbij een aantal banken voor de financiering zorgt. Deze eisen dan een businessplan, en deel van de visie daarover van… Lees verder