Internetrecht door Arnoud Engelfriet

Eindhovense startup Skotty laat je veilig e-mailen en bestanden delen, las ik bij RTL Z. En iets later op Twitter dat Wetransfer er boos over is: WeTransfer stuurt vanuit het niets met dreigende taal een jurist op me af vanwege dit. Wat raar, mag je dan niet meer zeggen dat jouw dienst een privacyvriendelijker Wetransfer-achtige dienst wil zijn?

Het voelt een beetje alsof een AI legal assistant het nieuws monitort en aanslaat op berichten waarin het bedrijf wordt genoemd, want wie het artikel leest zal niet snel concluderen dat Wetransfer de grootste datadief is sinds Facebook.

Het lijkt erop dat het datatransferbedrijf boos werd over passages als deze:

Veilig e-mailen en bestanden delen zonder dat anderen mee kunnen gluren. Dat is het doel van de Eindhovense startup Skotty, dat nu voor iedereen te gebruiken is. “We willen een veilige, privacyvriendelijke WeTransfer-achtige dienst zijn.”

Skotty noemt natuurlijk Wetransfer omdat het de bekendste naam is, en omdat zijn dienst een duidelijk onderscheidend kenmerk heeft met de focus op veiligheid. Ik haal nergens uit het artikel dat hij specifieke twijfels bij Wetransfer heeft, en als Europees bedrijf heeft Wetransfer de AVG-zaakjes ongetwijfeld prima op orde. En ik zie een slotje bij Wetransfer, dus dat zal ook wel goed zitten.

Desondanks zijn er vele niveaus van veiligheid, en als je als Skotty in wilt zetten op een hoger niveau, dan is het volkomen gerechtvaardigd om in je marketing te zeggen dat je veiliger bent dan. Dat betekent niet dat Wetransfer onveilig is, het betekent dat jij nóg veiliger wilt zijn.

Mijn nekharen gaan wel overeind staan van een bedrijf dat bij twijfels over hun veiligheid naar de blaffende jurist grijpt in plaats van vanuit zelfvertrouwen te staan achter het product. Ik ken die tactiek namelijk alleen bij bedrijven die malafide zijn, en begrijp dan ook totaal niet waarom Wetransfer dit zou doen. Dit kan toch niet anders dan averechts werken?

Arnoud

Boos bericht bij Techdirt: in Roemenië wordt misbruik van de AVG (GDPR) gemaakt om een journalistencollectief de mond te snoeren, en dat is een probleem van de AVG want zonder AVG had dit niet gekund. Of zoiets. Het leest als een stuk flamebait, maar ik kan de boosheid van de journalist wel begrijpen want de AVG kent specifieke uitzonderingen voor journalistiek en dan komen ze juist bij de journalisten uit met een (gedreigde) boete van 20 miljoen euro. Dat hoort niet te kunnen. Maar ik zie het als een probleem met de rechtsgang, en niet met de AVG specifiek.

Het achterliggende verhaal is wat moeilijk bij elkaar te puzzelen, maar in de kern komt het hierop neer. In Roemenië is journalistencollectief OCCRP bezig een corruptieschandaal aan te tonen. Men kreeg genoeg bewijs bij elkaar om de European Anti-Fraud Office er naar te laten kijken en een strafrechtelijk onderzoek in het land zelf op te laten starten. Dat suggereert een behoorlijk stevig en betrouwbaar onderzoek.

Na publicatie van resultaten kreeg de partner van OCCRP het Rise Project een sommatie van de Roemeense privacytoezichthouder: een betrokkene heeft een inzageverzoek bij u gedaan en u moet daar gehoor aan geven, op straffe van een boete van 20 miljoen Euro. Het inzageverzoek moet ook de documenten betreffen waar de journalisten bronbescherming op claimen. Niet verrassend: de betrokkene is een van de hoofdrolspelers in het corruptieschandaal. Wel verrassend: de voorzitter van de Roemeense toezichthouder komt uit de partij van diezelfde hoofdrolspeler en zou ook lijntjes naar het corruptieschandaal hebben.

Het theoretische antwoord is natuurlijk simpel. De journalisten hoeven hier geen gehoor aan te geven, omdat bij publicaties voor journalistieke doeleinden veel rechten uit de AVG niet gelden. Dat staat letterlijk zo in de AVG, en komt terug in de Roemeense Uitvoeringswet AVG als een tekstueel duidelijke uitzondering (artikel 7): inzage en verwijdering geldt niet bij journalistieke doeleinden. De iets breder onderlegde journalist zal wijzen op jurisprudentie over bronbescherming als fundamenteel recht, en eenvoudig betogen dat het inzagerecht zich daar niet tot zal uitstrekken (bijvoorbeeld via artikel 15 lid 4, rechten van anderen).

Praktisch gezien zit het Project met een enorm probleem: een dreigende boete van 20 miljoen wanneer ze niet gewoon die gegevens verstrekken. Want op papier klinkt dit allemaal leuk maar als de toezichthouder het anders ziet, dan heb je een héél duur traject om tot je gelijk te komen. Zelfs als iedereen vanaf de zijlijn roept dat je dit gewoon gaat winnen.

Is dit nu een probleem met de AVG, zoals Techdirt-auteur Masnick betoogt? Want de AVG is zo een heel bot instrument om onwelgevallige journalistiek de mond te snoeren. Ook al heb je op papier gelijk, de boete is zo hoog dat iedereen toch wel inbindt. Chilling effect, noemen de Amerikanen dat. Onrecht dat blijft bestaan ondanks dat het wettelijk niet hoort te bestaan.

Mij lijkt van niet. Zeker is het een probleem, maar het probleem zit hem in de praktische gang naar de rechter. Als een organisatie niet de mogelijkheid heeft zich effectief te verweren tegen een dreigende boete van 20 miljoen op grond van argumenten die gezien de wet evident overtuigend zijn, dan heb je geen effectieve rechtsstaat. Dat die boete van 20 miljoen uit de AVG komt, is dan niet meer dan bijzaak. Voor hetzelfde geld kan de eiser anders een smaadclaim construeren, zijn auteursrecht geschonden zien of interferentie met parlementaire privileges of welk bogus argument dan ook aandragen.

Dat maakt de zaak niet minder ergerlijk of fout natuurlijk.

Arnoud

Een federatie van 144 moskeeën in Nederland eist dat Twitter het account van Geert Wilders verbiedt. Zijn uitspraken zouden in strijd zijn met de gebruiksvoorwaarden van het platform. Dat meldde RTL maandag. De organisatie overweegt de gang naar de rechter als het medium niet zelf ingrijpt. In het AD lees ik iets meer over de beweegredenen, dat sprake zou zijn van systematisch de wet overtreden met extreme uitingen.

Allereerst is er het probleem dat Twitter in haar voorwaarden Amerikaans recht van toepassing verklaart, ook als je als klant uit Europa komt. Een rechtszaak bij de Nederlandse rechter moet daar dus allereerst doorheen breken. Dat is een tikje ingewikkeld; hoofdregel bij een internationale overeenkomst is dat de gemaakte afspraak voor de wet gaat. Bij consumentenrecht kun je daar van afwijken, maar dit lijkt me geen consumentenzaak. Dat is dus hobbel nummer één.

Ten tweede zit je met de uitdaging dat de TOS van Twitter gewoon algemene voorwaarden zijn bij de dienstenovereenkomst die je met ze hebt gesloten. Als derde partij deze voorwaarden inroepen is eigenlijk niet mogelijk, vanwege het simpele feit dat je geen partij bent bij die overeenkomst. (Er zijn wel zogeheten derdenbedingen maar die moeten apart zijn afgesproken, en ik zie dat niet bij Twitter.) Daarbij komt dat de voorwaarden weinig hard en specifiek zijn, zodat het moeilijk is te onderbouwen wat nu concreet de precieze overtreding is.

En als derde zit je met het probleem dat je als spreker in het politiek debat héél veel mag zeggen, ook dingen die ver op het randje zitten of daar soms overheen gaan. Dat is een onvermijdelijk deel van een vrij politiek debat. Natuurlijk kun je ook als politicus tot de orde worden geroepen als je echt strafbare zaken zegt, maar dat staat helemaal los van de gebruiksvoorwaarden en hoe Twitter die moet interpreteren. Je komt dan waarschijnlijk eerder uit bij de conclusie dat bepaalde Tweets tegen de regels zijn en dat Twitter die moet verwijderen.

Een paar stevige hobbels om te nemen dus. Ik zit zelf nog te twijfelen of het goed zou zijn als je als buitenstaander de TOS van een dienst kunt inroepen tegen een andere gebruiker. Het creëert wel een groter gevoel van eerlijkheid: iedereen krijgt dezelfde regels, dus waarom mag de handhaving dan zo willekeurig zijn? Als ik duidelijk last heb van een overtreding, moet ik dan niet kunnen verlangen dat men ingrijpt? Is dat niet óók deel van de voorwaarden van zo’n dienst?

Arnoud

Kaspersky heeft van de Nederlandse rechter gelijk gekregen in een kort geding, waarin is bepaald dat De Telegraaf een krantenartikel moet rectificeren. Dat meldde Tweakers gisteren. In dat artikel werd gesteld dat Rian van Rijbroek claimde dat ze het wifinetwerk van het Nederlandse Kaspersky-kantoor was binnengedrongen en allerlei geheime informatie te pakken had gekregen. Dit… Lees verder

Het Europese Hof van Justitie heeft in een uitspraak bepaald dat de beheerder van een Facebook-pagina samen met Facebook als gezamenlijk verantwoordelijke moet worden gezien als het gaat om de verwerking van persoonsgegevens. Dat meldde Tweakers vorige week. Deze juridische term houdt in dat beide partijen samen bepalen wat er gebeurt met persoonsgegevens, en elk… Lees verder

Een lezer vroeg me: Ik beheer een relatief groot discussieforum. Moet ik straks onder de AVG van iedereen die dat vraagt zijn berichten weghalen onder het vergeetrecht? Dan houd ik straks geen historie meer over! Het klopt dat je als aanbieder van internetdiensten al snel te maken krijgt met de AVG. Heel vaak werk je… Lees verder

Naar aanleiding van mijn blog van vorige week over accounts versus bewaarplicht kreeg ik via Twitter de reactie: Leerzaam! En in de comments ook: recht van betrokkene geldt ook voor een troll. Gegevens laten verwijderen na block, herinschrijven en overnieuw beginnen…. Nooit aan gedacht. Natuurlijk zullen er na 25 mei de nodige trollen zijn die… Lees verder

Beveiligingsbedrijf Kaspersky wil Rian van Rijbroek, co-auteur van het boek ‘De wereld van Cybersecurity en Cybercrime’, voor de rechter slepen. Dat meldde RTL Nieuws onlangs. Het bedrijf is van plan haar aan te klagen wegens laster, omdat Van Rijbroek in de media zegt dat ze het Nederlandse kantoor van Kaspersky heeft gehackt. Men schrok bij… Lees verder

De overheid kan verschillende maatregelen nemen om te voorkomen dat digitale platforms als Facebook, Google en Amazon misleidende informatie doorgeven. Dat meldde Nu.nl op gezag van een CPB-rapport dat waarschuwt tegen de snelle groei en steeds kleiner wordende transparantie van deze platformaanbieders. Met name de aanbeveling voor een vergunningenstelsel springt in het oog. Digitale platforms… Lees verder

Mag je beelden maken van gevaarlijk rijgedrag en dat op sociale media publiceren? De vraag kwam de afgelopen dagen vaak langs. De afgelopen dagen sneeuwde het zo hard dat code rood werd uitgeroepen: ga liever niet de weg op, tenzij het echt moet. Maar natuurlijk heb je mensen die zichzelf Max Verstappen wanen en gewoon… Lees verder