Vallen encrypted data ook onder de AVG als ik ze elders opsla?

| AE 14018 | Privacy | 14 reacties

Een lezer vroeg me:

Pas heb ik ‘Advanced Data Protection’ van Apple op mijn iCloud-account geactiveerd. Toen kwam bij mij de volgende gedachte op: Als mijn data volledig versleuteld is, en ik ben de enige die sleutels heeft, maakt het dan (voor AVG/GDPR) uit waar die data opgeslagen is?
Wanneer persoonsgegevens buiten de EU (eigenlijk de Economische Ruimte) opgeslagen worden, gelden daar allerlei eisen voor die kort gezegd neerkomen op het tegenhouden van buitenlandse datagraaiers. De ideale oplossing is als het land erkend is als adequaat, zoals is gebeurd bij Zuid-Korea of het Verenigd Koninkrijk, maar je kunt ook goochelen met dingen als bindende bedrijfsvoorschriften of de model contractuele clausules.

Als het niet gaat om persoonsgegevens, dan gelden al die regels niet. En daar zit hem de kneep: is een encrypted blob nu wel of niet een (set) persoonsgegeven(s)? Het antwoord daarop beantwoordt meteen de vraag of de AVG van toepassing is. Er is niet zoiets als “een beetje van toepassing”, je valt onder de AVG en de héle berg eisen, of je valt er volledig buiten.

Het onleesbaar maken van persoonsgegevens is in de terminologie van de AVG een vorm van pseudonimiseren, de herleidbaarheid onmogelijk maken tenzij je beschikt over extra informatie. Een decryptiesleutel is daarvan een voorbeeld. Dus wie de definities letterlijk leest, ontkomt niet aan de conclusie dat dit gewoon onder de AVG valt – die blob bevat persoonsgegevens, ze zijn heel goed beveiligd maar ze zitten er toch echt in.

Vorige week blogde ik over het Breyer-arrest en haar opvolger. Een IP-adres is daar een voorbeeld van een persoonsgegeven, omdat het via wettige middelen kan worden herleid tot een persoon. En in die opvolger werd bepaald dat je de analyse over herleidbaarheid moet doen vanuit het perspectief van de ontvanger van de gegevens. Dat het in abstracto voor iemand mogelijk is om de identificatie te doen (de decryptie) is niet genoeg, kon specifiek die ontvanger dit doen met redelijke en wettige middelen?

Vertaald naar deze casus is dan dus goed verdedigbaar dat die buitenlandse partij zich niet aan de AVG hoeft te houden. Die mag dus alles doen dat hij wil (binnen het contract) met die blob. Niet erg, want het is een encrypted blob dus wat gaat hij doen?

Maar voor de klant van die hostingpartij blijft de blob gewoon persoonsgegevens bevatten. Hij kan immers de encryptie triviaal ongedaan maken, hij heeft namelijk de sleutel. En dat betekent ook dat hij de data niet op een buitenlandse server mag zetten, tenzij het land waar hij dat doet adequaat is, er BCR of MCC zijn of een van de andere uitzonderingen van toepassing zijn. De regels zijn dus precies hetzelfde als wanneer je plaintext gegevens ergens wilt parkeren.

Ik geef toe, dat doet vreemd aan want juist als je gegevens sterk versleutelt dan zou er niets mee moeten kunnen gebeuren. En dan zijn er ook geen risico’s voor betrokkenen. Maar bekijk het eens zo: als de sleutel toch ooit uitlekt, en die blob staat in een land waar persoonsgegevens vogelvrij zijn, dan zou de hostingpartij die lekker kunnen ontsleutelen en met de gegevens aan de haal gaan – waar mensen dan niets tegen kunnen doen. En ook dat is niet de bedoeling.

Arnoud

Kan mijn werkgever met deze bepaling eigendom claimen van een boek dat ik in mijn vrije tijd schrijf?

| AE 14028 | Intellectuele rechten | 7 reacties

Die titel zag ik via Reddit, en laat “een boek in mijn vrije tijd schrijven” nou altijd mijn standaardvoorbeeld zijn van iets waar je werkgever géén rechten op kan claimen. Maar hier ligt het iets subtieler:

Dit is een bepaling in de arbeidsovereenkomst van een bedrijf waar ik aan de slag zal gaan als copywriter. Ik heb deze nog niet getekend, want ik vraag me af of de rechten van het boek waar ik in mijn vrije tijd aan werk en welke niets te maken heeft met deze werkgever, geclaimed kunnen worden door dit bedrijf.

De reden dat ik “boeken in vrije tijd” uitzonder is omdat het criterium grofweg is of het je werk is om zulke dingen te maken, en weinig mensen hebben als werk “boeken en zo” te schrijven. Alleen is dat een te makkelijk argument als we het over copywriters hebben, want een tekstschrijver of copywriter kan zeer zeker ook wel opgedragen krijgen een boek te schrijven als werk. En als je zo’n opdracht krijgt, dan liggen de rechten op dat boek echt bij je werkgever.

Schrijf je een boek zonder opdracht, maar hád je de opdracht redelijkerwijs niet kunnen weigeren als die je hypothetisch was gegeven, dan is dat boek in principe toch gewoon auteursrechtelijk van je werkgever. Eigen initiatief zeg maar, en dan doet het er niet toe of je spullen van het werk hebt gebruikt, onder werktijd schreef of je baseerde op eerdere teksten die al eigendom van het werk waren. De discussie gaat over de aard en inhoud van het boek, niet waarmee je het geschreven zou hebben.

In dit geval is het nog iets complexer, want er staat een hele lap hierover in het contract:

“Alle rechten van industriële en intellectuele eigendommen, zoals auteursrechten, merkrechten, octrooien, rechten op modellen en tekeningen, kwekersrechten enzovoorts, welke ontstaan tijdens, door of in verband met de uitoefening van de door werknemer op grond van de arbeidsovereenkomst te verrichten werkzaamheden komen uitsluitend toe aan werkgever en worden geacht aan werkgever te zijn overgedragen zonder dat hiervoor een nadere overdracht zal zijn vereist en zonder dat werknemer recht heeft op een vergoeding hiervoor. Werknemer is gehouden werkgever bij eerste gelegenheid op de hoogte te stellen van alle vindingen die tot de boven bedoelde rechten aanleiding zouden kunnen geven. Het is werknemer niet toegestaan om de resultaten van zijn werkzaamheden zelf openbaar te maken, te verveelvoudigen, in het verkeer te brengen, te verkopen, te verhuren, af te leveren of anderszins te verhandelen dan wel voor een ander aan te bieden of te doen inschrijven.”
Het is op zich legaal om in een schriftelijk en ondertekend arbeidscontract meer auteursrechten op te eisen dan waar je voor de wet recht op hebt als werkgever. De vraag is natuurlijk waarom een werknemer dit zou accepteren, maar de wet ziet dat als een onderhandelingspunt en bevat géén dwingend verbod op zo’n clausule. (Let op, in een personeelshandboek of eenzijdig medegedeeld arbeidsvoorwaardenreglement is dit dan weer niet mogelijk, net zo min als met een achteraf verplicht te tekenen documentje.)

De werkgever heeft hier een veelgebruikt criterium gehanteerd: rechten die zijn “ontstaan tijdens, door of in verband met de uitoefening van de werkzaamheden”. Dat “door of in verband met” is grofweg wat de wet zelf ook al zegt, de uitbreiding is dus het “tijdens” het werk. En dat is dus altijd precies mijn voorbeeld: de portier die onder werktijd op de werklaptop een thriller schrijft, heeft daar echt zelf het auteursrecht op. Hij doet zijn werk mogelijk niet goed (want opletten zal er niet bij zijn tijdens het schrijven), hij kan wellicht worden ontslagen voor plichtsverzuim maar dat is het – dat boek is en blijft van hem zelf.

Wie letterlijk dit beding leest, ziet “tijdens”, en dat zou ook de portier omvatten die onder werktijd (dus tijdens het werk) aan die thriller werkt. En dat kun je dus afspreken, als je het opschrijft in een ondertekend arbeidscontract.

Tegelijkertijd geldt ook bij arbeidscontracten de Haviltex-regel van contractsuitleg: niet alleen de taalkundige uitleg, maar ook wat partijen onderling bedoeld hadden toen ze dit opschreven. En daarbij wordt ook de onderlinge positie van de partijen meegewogen. Bij arbeidscontracten is dat meestal een deskundige en sterk staande werkgever, tegenover een werknemer die meestal weinig kan inbrengen behalve “tekenen of niet”. In dat geval wint al snel de interpretatie die in het voordeel is van de werknemer.

De interpretatie “ook de thriller die je als copywriter schreef hoewel je werk is marketingteksten voor de website te maken” vind ik niet echt in het voordeel van de werknemer. “Het handboek Online Marketing en Copywriting dat je in je vrije tijd schreef vanuit je ervaringen als copywriter bij ons” zou ik er dan weer wél onder vinden vallen. Dat komt dus neer op een lichte verbreding van het wettelijke criterium, met name om de grensgevallen richting de werkgever te duwen. Want het is een grijs gebied, een handboek hoe je werk te doen maar gericht op vakgenoten algemeen en niet collega’s.

Arnoud

Ziggo moet toch weer wel downloaders een Breinbrief sturen

| AE 14021 | Ondernemingsvrijheid, Privacy | 5 reacties

Ziggo is verplicht om een waarschuwingsbrief van Brein door te sturen naar haar klant via wiens IP-adres een bibliotheek met e-books online toegankelijk is voor internetgebruikers en als dat nodig is, de NAW-gegevens van deze klant aan Brein te verstrekken. Dat besliste het Hof Arnhem begin deze maand. Daarmee valt het hoger beroep in deze zaak verrassend anders uit dan de vorige uitspraken, waarbij Ziggo dit (vanwege AVG-perikelen) juist niet hoefde te doen. Wat is er nu ineens zo anders?

Het idee is zo simpel als wat: identificeer frequente uploaders, en stuur ze een “we hebben je in de gaten”-brief in de hoop dat men ermee stopt. Dat is niet hetzelfde als ze gelijk dagvaarden, wat gezien de kosten en gedoe niet meteen wenselijk is. Maar de ervaring leert dat als je mensen waarschuwt, ze er regelmatig mee stoppen – al is het maar omdat ze denken dat de volgende stap wél een rechtszaak is. Wat dus kan in Nederland, omdat zowel up- als downloaden van beschermd materiaal verboden is zonder toestemming.

Strafbaar zelfs, in theorie. En dat is waar dan het probleem zit: wie bijhoudt wie er auteursrechten schendt, verwerkt strafrechtelijke persoonsgegevens en daar gaan AVG-juristen altijd heel moeilijk bij kijken. De AVG kent daar immers zo ongeveer het strengste regime voor, met als belangrijkste relevante beperking dat je niet voor privédetectivebureau mag spelen als je daarbij zulke gegevens verwerkt. Tenzij je een vergunning hebt, en dan nog. En dat was voor de rechter vorig jaar reden om te bepalen dat Ziggo hier niet aan mee hoeft te werken.

Zoals ik altijd zeg, als het antwoord is dat een auteursrechthebbende pech heeft, dan is het antwoord vrijwel altijd fout. In juridische termen: dan wordt geen recht gedaan aan het hoog niveau van bescherming van intellectuele eigendom zoals in verdragen en Europese regels vastgelegd. Brein ging om die reden dan ook in hoger beroep. Maar Ziggo ook, want die vond dat het afgeven van NAW-gegevens niet automatisch  ‘ter instelling, uitoefening of onderbouwing van een rechtsvordering’ hoeft te zijn, zoals de rechtbank had geoordeeld.

Het Hof begint met te omschrijven wat Brein nu precies van plan is:

Brein verzoekt primair een trapsgewijze aanpak. Allereerst vordert zij dat Ziggo een waarschuwingsbrief en zo nodig nog een aangetekende brief stuurt naar haar klant, waarin de klant wordt gewezen op de inbreuk met het (dringende) verzoek om de openbare toegang tot de Calibre-bibliotheek onmiddellijk af te sluiten. Alleen als die brief (brieven) niet spoedig leidt (leiden) tot het stoppen van deze openbare toegang, verzoekt Brein om verstrekking van de NAW-gegevens van de Ziggo-klant, zodat zij zelf de klant kan aanspreken. Brein heeft daaraan toegevoegd dat zij uitsluitend het staken van de inbreuk (op last van een dwangsom) zal vorderen, maar dat zij geen schadevergoeding zal (mag) vorderen.
Deze aanpak voldoet eigenlijk prima aan privacyverwachtingen van de burger, aldus het Hof. Het ontvangen van zo’n brief via je eigen provider is minder inbreukmakend dan direct door Brein aangesproken te worden. Blijf je dan volhardend, dan mag je verwachten dat Brein je direct benadert. En om excessen te voorkomen (ik kijk naar jou, Dutch Filmworks) beperkt Brein alvast haar eisen bij de eventuele rechtszaak tot uitsluitend een stakingsbevel met dwangsom.

Daarmee is de zaak nog niet klaar, want de AVG heeft zo haar eigen mening over wat er met gegevens over mensen gebeurt. Het kan goed dat er geen enkel privacybelang (meer) is, maar dat je toch aan AVG regels moet voldoen. Zo ook hier: Ziggo gebruikt NAW-gegevens voor het leveren van internettoegang, en het doorsturen van Breinbrieven kun je moeilijk een vorm van internettoegang noemen. Daarmee ontbreekt de doelbinding, zou je zeggen. Maar het Hof ziet toch ruimte in de AVG, namelijk in artikel 6 lid 4:

Het hof is van oordeel dat de verwerking berust op een lidstaatrechtelijke bepaling die in een democratische samenleving een noodzakelijke en evenredige maatregel vormt ter waarborging van de in artikel 23 lid 1 AVG bedoelde doelstellingen. Zoals hiervoor in 4.7 overwogen baseert Brein haar vordering op artikel 28 lid 9 Aw en op de zorgvuldigheidsnorm uit artikel 6:162 BW om een inbreuk op de rechten en vrijheden van anderen (namelijk een inbreuk op auteursrechten) tegen te gaan (artikel 23 lid 1 onder i AVG).
In artikel 28 lid 9 Auteurswet staat dat je (ook) als isp verplicht kunt zijn om persoonsgegevens af te geven (“hij die op commerciële schaal diensten verleent die bij de inbreuk worden gebruikt”), en als je daar de Lycos/Pessers-criteria uit art. 6:162 BW bij optelt dan heb je een keurige wettelijke basis die het andersoortige gebruik van persoonsgegevens noodzakelijk maakt. Zeker omdat de AVG geen vrijbrief kan zijn om andersoortige rechten (zoals auteursrecht) maar gewoon te passeren (art. 23 lid 1 AVG).

Maar dat strafrechtelijke karakter dan, maakt dat de zaak nog anders? De AVG en de Uitvoeringswet zijn daar streng in, en de uitzonderingen zijn dan ook beperkt geformuleerd. De uitzondering waar het hier om ging, is artikel 32 UAVG, waarin staat dat het mag als dat “noodzakelijk is voor de instelling, uitoefening of onderbouwing van een rechtsvordering”. De rechtbank las dat als “van de partij die de persoonsgegevens verwerkt”, en omdat Ziggo niet zelf wilde procederen ging deze uitzondering dus niet op. Het Hof vindt dat een té beperkte lezing, met name omdat de wet zelf zegt “een rechtsvordering”, wat dus ook andermans rechtsvordering kan zijn. En dat sluit aan bij de tekst van de AVG zelf, en bij een Europees arrest over het koppelen van IP- en NAW-gegevens door een rechthebbende.

Alles bij elkaar wint de handhaving van het auteursrecht dus (weer eens) van andere rechten, in dit geval dat van privacy en gegevensbescherming. Er is in zoverre nog een streepje ruimte dat Brein per concrete soort inbreuk moet aangeven waarom zij de NAW-gegevens nodig heeft, en dus geen GPT-brievengenerator mag koppelen aan een bittorrent-IP-log.

Arnoud

 

 

Rechter: IT-bedrijf is niet verantwoordelijk voor cyberaanval Hof van Twente

| AE 14016 | Security | 1 reactie

De rechtbank Overijssel heeft geoordeeld dat IT-bedrijf Switch niet de schadevergoeding van 4 miljoen hoeft te betalen die Hof van Twente geëist heeft in verband met de ransomwareaanval in 2020. Dat las ik bij Tweakers. Weer eentje in de categorie zorgplicht, maar in dit geval had Switch het prima geregeld – en dat het RDP-wachtwoord ‘Welkom2020’ was,… Lees verder

Oh jee, mag je als burgemeester niet op Twitter met je ambtsketen?

| AE 14023 | Informatiemaatschappij | 4 reacties

Ja, het heet dus ambtsketen en niet ambtsketting, dat wilde ik vooraf even duidelijk hebben. Maar velen schrokken: Sjors Fröhlich, de burgemeester gemeente Vijfheerenlanden, moet stoppen met Twitteren zo meldde hij woensdag. Een burger had hem in niet mis te verstane bewoordingen aangegeven dat hij een ambtsmisbruik pleegde, omdat Fröhlich met ambtsketen op de foto stond,… Lees verder

Webshop vraagt of ik geld terug wil; ik wil graag dat product wordt geleverd. Hoe verder?

| AE 14014 | Ondernemingsvrijheid | 13 reacties

Via Reddit: Op Koningsdag heb ik bij een webshop een bestelling geplaatst voor sportvoeding. Hierbij heb ik gebruik gemaakt van een kortingscode die alleen op Koningsdag geldig was. Tijdens het bestellen koos ik voor Click&Collect. Hierbij heeft de webshop een label aangemaakt met mijn naam, maar het adres van het PostNL punt wat ik heb geselecteerd…. Lees verder

Wanneer is een gegeven een persoonsgegeven?

| AE 14012 | Ondernemingsvrijheid, Privacy | 5 reacties

Een persoonsgegeven is “alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon”. Zo staat het in de AVG. Maar dat is slechts het startpunt over de discussie of en hoe iemand identificeerbaar moet zijn. Een recent arrest van het Europese Hof voegt weer een nieuwe dimensie toe aan deze discussie. Spoiler alert: we zijn nog… Lees verder

Hoe kan een Britse marktautoriteit een Amerikaanse overname tegenhouden?

| AE 14009 | Ondernemingsvrijheid, Regulering | 5 reacties

Waarom het VK Microsofts megadeal wil tegenhouden, zo las ik bij Tweakers onlangs. Met een verrassend besluit maakte de Britse Competition and Markets Authority onlangs namelijk bekend dat het de geplande overname van Activision Blizzard door Microsoft zal blokkeren. Na de aankoop zou Microsoft het op twee na grootste gamingbedrijf ter wereld worden, na het Chinese Tencent en… Lees verder

Europees Hof: AVG vereist geen schadedrempelwaarde voor schadevergoeding

| AE 14007 | Privacy | 8 reacties

Het Hof van Justitie van de Europese Unie heeft geoordeeld dat een ‘drempelwaarde’ aan ernst van een overtreding van de AVG niet nodig is om een claim bij een rechtszaal in te dienen. Dat las ik bij Tweakers vorige week. Een man vorderde immateriële schadevergoeding, en naar Oostenrijks recht moet dat “voldoende ernstig” zijn alvorens… Lees verder

Verzekeraar moet 1,4 miljard dollar vergoeden in belangrijke ransomwarezaak

| AE 14004 | Ondernemingsvrijheid | 4 reacties

Een Amerikaanse verzekeraar moet 1,4 miljard dollar uitkeren aan Merck vanwege de NotPetya-ransomwareaanval. Dat meldde Tweakers onlangs. De verzekeraar had dit geweigerd met een beroep op de overmachtsclausule, specifiek het feit dat het om militair optreden ging: NotPetya wordt door beveiligingsexperts toegeschreven aan de Russische militaire inlichtingendienst GROe, die de ransomware wilde inzetten als sabotagedaad in… Lees verder