Wordt het niet eens tijd om data-eigendom wettelijk te gaan regelen? #dimorefi

| AE 9167 | Internetrecht | 15 reacties

Langsgekomen bij de voorspellingen 2017: wordt het niet eens tijd om data-eigendom te gaan regelen? Data is de grondstof van de informatiesamenleving, maar juridisch gezien bestaat data niet bij diensten van diezelfde informatiemaatschappij. Dat is buitengewoon raar en leidt tot zeer onbillijke situaties. Tijd om er wat aan te gaan doen. Alleen: wát dan?

Je bent eigenaar van je data. Klinkt heel logisch, zeker vanuit het aloude mantra dat wat offline geldt, ook online moet gelden. Als je eigenaar bent van die fysieke mappen met documenten, die bonnetjes en die albums met foto’s, dan ben je dat natuurlijk ook van die gedigitaliseerde documenten, die PDF’s met bonnetjes en dat Instagram-account met foto’s.

Alleen: nee. De wet erkent het concept eigendom alleen op zaken, oftewel “voor menselijke beheersing vatbare stoffelijke objecten” (art. 3:2 BW). Computergegevens (data) vallen niet onder deze definitie, om de eenvoudige reden dat ze niet stoffelijk zijn. En dan is eigendom erop niet mogelijk.

Op virtuele objecten is eigendomsrecht wel erkend. Maar dat was een strafrechtelijke kwestie, en belangrijker: het ging om een specifiek soort data, namelijk data in een omgeving waarbij deze uniek gemaakt was. Een virtueel zwaard dat uniek is in een spel, kan worden weggenomen. Een belminuut die wordt gebeld is daarna op. In het algemeen gaat dat niet op voor data. Als iemand mijn foto kopieert, ben ik deze niet kwijt. Dus die jurisprudentie lever hier niets op.

Dan hebben we nog het auteursrecht en het databankenrecht. Op data kun je beide rechten hebben (mits creatief en/of verkregen door substantiële investering), en we noemen dat soms intellectuele eigendom ook. Maar dat gaat je niet helpen: die rechten zijn juridisch “exclusieve” rechten zoals dat heet, oftewel rechten om anderen iets te verbieden. Geen rechten om dingen mee op te eisen. Als een kopie mijn boek ergens in de winkel ligt, kan ik ze dat verbieden, maar ik kan die kopie niet opeisen van ze.

Wat is data dan wel? Niets, zeg ik altijd. Het is juridisch gezien een artefact van een dienst, en daarop heeft de opdrachtgever geen rechten. De wet ziet data bij een clouddienst als hetzelfde als de data die je butler onthoudt* tijdens zijn jarenlange dienstverband. Erg leuk en prettig, maar als de beste man met pensioen gaat dan is die data weg.

Misschien een tikje gechargeerd, maar wat ik ermee bedoel is dit: je hebt geen wettelijke aanspraak op data die je in een dienst opslaat, met een dienst genereert of dankzij een dienst verkrijgt. Je kunt die data niet opeisen, en van “jouw” data kun je al helemaal niet spreken. (Bij data over jezelf -persoonsgegevens- ligt dat een tikje anders, zeker straks onder de Privacyverordening. Maar dat laat ik even buiten beschouwing.)

Dit levert allerlei vervelende problemen op. Als een dienst wordt gestaakt, dan kan de bijbehorende data per direct de prullenbak in en als klant is daar niets aan te doen. Je hebt geen recht hier nog even een kopie van te downloaden. Ook als een dienst eenvoudigweg weigert die data beschikbaar te stellen voor download, dan houdt het snel op. Men mag zelfs in de voorwaarden verbieden dat je die data gaat downloaden (bijvoorbeeld door de website te scrapen of met een script alle data te downloaden).

Tijd voor de politiek, zou je zeggen. Als data zo belangrijk is voor de maatschappij, dan moet eigendom daarop wettelijk vastgelegd worden.

Alleen: hoe dan?

Je kunt natuurlijk botweg zeggen, we schuiven “en op digitale gegevens gegenereerd of opgeslagen middels diensten van de informatiemaatschappij” in artikel 3:2 BW. Dan is data je eigendom, punt. Maar dat creëert wel gigantische afbakeningsproblemen. Is de logfile met informatie over mijn logins dan ook “mijn” data? De reacties onder mijn blog, zijn die van mij of van mijn reageerders?

Een andere insteek is te handelen vanuit de problemen die er zijn. Je data ben je kwijt als de dienstverlener de dienst staakt of de toegang weigert, oké dat is een probleem dus laten we wettelijk zeggen dat dat niet mag. Een dienstverlener is gehouden data opgeslagen of gegenereerd door een gebruiker van zijn dienst in kopie te geven op verzoek, zoiets. Dat kan, alleen moet je dan wel elk probleem zien te onderkennen en daar een artikel voor schrijven. Bijvoorbeeld bij faillissement, dat de curator ook die plicht op zich heeft. En dat een schadeplicht ontstaat als die data weg is. Of dat de data pas weg mag nadat een redelijke termijn voor een download is verstreken.

Maar welke insteek je ook kiest, dan kom je bij het volgende probleem. Welke data, en hoe dan? Dat is geen simpele vraag. Moeten foto’s in het originele geüploade RAW formaat, of in de JPEG’s waarmee ze gepubliceerd worden? In welk formaat moet een Facebook-profiel worden geëxporteerd? Of de reacties op mijn blog? De todo-items uit mijn handige appjes?

Open standaarden, hoor ik van de achterste rij. Ja, mooi principe alleen gaat dat werken? Moet je dan voor álles een open standaard maken? Is er een standaard voor todo items of voor ticketbestellingen bij het theater via die mooie app? Of is die lijst met ticketbestellingen te triviaal om data-eigendom voor te laten gelden?

Dus nee. Ik denk echt dat de kwestie van data-eigendom een van de belangrijkste open issues uit de informatiemaatschappij is en vind het een nobel idee om dit te gaan regelen, maar het is allesbehalve triviaal hoe we dit voor elkaar moeten krijgen.

Arnoud<br/> * Hier zou een grap moeten over “Dat mag Joost weten, maar ik weet hem even niet.

Mag Spotify mijn SSD-schijven tot prut reduceren?

| AE 9077 | Internetrecht | 15 reacties

ssd-schijf-opslagOeps. De afgelopen vijf maanden (zo niet langer) heeft de Spotify app zo hard staan schrijven naar de ssd-schijven in telefoons dat deze járen aan levensduur zijn kwijtgeraakt. Dat las ik bij Ars Technica. Frequent schrijven naar ssd schijven is serieus Niet Handig aangezien dat voor grote slijtage zorgt. En nee, het ging niet om overijverig downloadende gebruikers: dit was een oeps foutje bedankt van Spotify. De nieuwste versie lost het op, maar de schade is niet ongedaan te maken. Kan dat zomaar?

We hebben natuurlijk de productaansprakelijkheid in de wet, en die opent met een veelbelovend artikel:

De producent is aansprakelijk voor de schade veroorzaakt door een gebrek in zijn produkt, tenzij: (…)

Alleen gaat dat ‘gebrek’ vervolgens alleen over fysieke veiligheid, zeg maar ontploffingen en dergelijke. Overmatige slijtage is moeilijk te zien als een veiligheidskwestie, behalve misschien bij autogordels. Bovendien is een app zoals Spotify geen ‘product’ (al dan niet met een k), want dat moet een roerende zaak zijn. Dus daarmee komen we er niet.

Wanprestatie dan. De app doet niet wat je ervan mag verwachten, dus geen conformiteit dus herstel & vergoeding van schade. En ja, dit geldt ook voor software – het Beeldbrigade-arrest van de Hoge Raad bepaalde in 2014 expliciet dat standaardsoftware onder de kooptitel valt en daarmee aan de conformiteitseis moet voldoen. Alleen hm: is er wel sprake van een koop? Je koopt immers niet de app, die krijg je gratis. Je betaalt voor de dienst van Spotify, en dat zie ik als wezenlijk wat anders.

Onrechtmatige daad? Strijd met een wettelijke plicht of inbreuk op een recht, die zie ik niet. Dus dan houd ik over de maatschappelijke zorgvuldigheid, zeg maar dit dóe je gewoon niet. Dit is niet netjes, ook al staat het niet als verbod in de wet. Dat kan altijd, maar sterk vind ik ‘m niet.

Oké, er is een oplossing maar helemaal lekker zit het me niet. Ik vermoed dat dit zo’n ding is waar niemand ooit over nagedacht heeft. Sinds wanneer kan software immers hardware pijn doen (HCF daargelaten)

(Ongetwijfeld staat er in de Spotify EULA iets over geen aansprakelijkheid voor welke schade dan ook, maar ongezien mijn juridische hoela voor zo’n voorwaarde.)

Arnoud

Welke data over mijn auto mag worden doorgeappt?

| AE 9059 | Internetrecht | 23 reacties

ford-t-autoEen lezer vroeg me:

Ik zag dit artikel met de intrigerende opmerking “Verzekeraars willen bij een ongeluk nu weten of iemand op zijn telefoon zat te appen.” Met een speciale app kun je bijvoorbeeld je telefoon laten uitschakelen als je snelheid te hoog gaat, en je kunt lees ik zelfs kiezen voor een app die (in ruil voor korting) je verkeersgedrag doorstuurt naar de verzekeraar. Een voorbeeld is Flo. Mag dat?

Wettelijk gezien is er voor een verzekeraar op dit moment geen grond om bij een verkeersongeval data van iemands telefoon te vorderen. Dus nee, onder normale omstandigheden mag dat niet.

Verkeersgedrag is geen gevoelige informatie, dus met vrijwillig gegeven toestemming zou die wel mogen worden verstrekt. Dus als een verzekeraar daar apart om vraagt en geen negatieve gevolgen verbindt aan een weigering (zoals uitsluiting of opzegging van de verzekering) dan denk ik dat dit wel kan. (En nee, het mag niet als stiekeme functionaliteit in een “Declareer snel uw autoschade”-app, ook niet als in de privacypolicy er een mooie braaftaalzin over staat.)

Ik vraag me alleen wel af hoe vrijwillig dit is. Natuurlijk, korting is altijd optioneel dus in zoverre kun je het zien als vrijwillig. Je hóeft geen korting te accepteren. Maar als ze het andersom hadden geformuleerd – wie de app niet installeert, krijgt een boete/toeslag – dan zou iedereen het als afdwingen zien. Principieel vind ik het dan ook moeilijk om het verschil aan te geven.

Maar zelfs als je zegt, het is een korting dus vrijwillig dus prima. Dan zitten we over vijf jaar met de situatie dat 90% van de mensen de kortingsregeling heeft. Dan ís de verzekering toch goedkoper en dan ís de volle mep betalen toch een vorm van boete?

Arnoud

Ha. Administratiekosten niet noemen in je reclame is dus gewoon misleidend

| AE 9047 | Internetrecht | 19 reacties

Kijk, daar word ik vrolijk van. Het splitsen van abonnementskosten in maandelijks en halfjaarlijks te betalen componenten, moet als misleidend worden beschouwd. Dat meldde Boek9.nl onder verwijzing naar het Canal Digital-arrest van het Hof van Justitie. De prijs van een abonnementsdienst is essentieel en moet volledig worden vermeld. Dat je elk half jaar een kaart… Lees verder

‘Cookiewet is duur en beschermt onvoldoende’

| AE 9021 | Internetrecht | 31 reacties

De cookiebepaling die bepaalt dat websites om toestemming moeten vragen voor het gebruik van zogenoemde ‘tracking cookies’, is duur en zorgt voor een hoop ergernis. Dat las ik bij Nu.nl. De basis is een onderzoek van Actal, het Adviescollege toetsing regeldruk. Niet alleen zouden bedrijven 74 miljoen euro kwijt zijn voor cookietoestemmingspopups, ook zijn consumenten… Lees verder

Mag een internet provider onveilige IoT-apparaten blokkeren?

| AE 9025 | Internetrecht | 32 reacties

Een Amerikaanse senator vroeg me… nee die is te flauw. De Amerikaanse senator Mark Warner wil van de toezichthouder FCC weten of internetproviders onveilige Internet of Things-apparaten op hun netwerk mogen weren. Dat las ik bij Security.nl. Aanleiding voor de vraag was de grote ddos-aanval op dns-provider Dyn waarbij gehackte IoT-apparaten waren betrokken (en waarschijnlijk… Lees verder

Is encryptie een mensenrecht? #vrijmorefi

| AE 8902 | Internetrecht | 36 reacties

Begin september hadden we een discussie over crypto-achterdeuren, waarbij de vraag langskwam of encryptie eigenlijk niet gewoon een mensenrecht is. Je hebt toch het grondrecht privacy, en hoe kun je dat nu effectief uitoefenen anders dan door versleutelde communicatie? Een goed punt, en ik werd er door aan het denken gezet want dit is een… Lees verder

Gastpost: Radiopiraterij, verleden en toekomst

| AE 8835 | Internetrecht | 17 reacties

Deze week ben ik met vakantie. Traditiegetrouw dan ook een aantal gastposts. Vandaag Sophia Sipkens over het fenomeen radiopiraterij. De radio is met zijn brede aanbod van programma’s niet meer weg te denken uit onze maatschappij. Ondanks het brede aanbod echter, kennen we nog steeds het fenomeen van de radiopiraterij. Hoewel het iets van de… Lees verder