Internetrecht door Arnoud Engelfriet

Via Reddit:

Ik heb glasvezel er is sinds [afgelopen woensdag] ergens een breuk in de kabel, het bedrijf zegt dat het nog wel 5 werkdagen (t/m volgende week woensdag) kan duren. Momenteel zitten er bij mij thuis 3 mensen in thuisquarantaine die online lessen moeten volgen. Vandaag is dat geregeld door alle devices op een hotspot aan te sluiten, maar dit is erg duur. Dus mijn vraag is of mijn provider deze kosten moet vergoeden of misschien een andere optie (bijv. Wifikastje) voor ons regelen?

Een lezer vroeg me:

Volgens de AVG zijn er een aantal criteria wanneer je een DPIA moet uitvoeren. Maar vallen interne systemen, zoals o.a. een DMS, e-mail, backups ed. ook onder deze ‘plicht’ ? Ik vraag dit omdat onze FG ook die systemen als “hoog risico” aanmerkt, wat enorme vertraging geeft.

Om te bepalen of het risico hoog is, moet je volgens de AVG kijken naar “de aard, de omvang, de context en de doeleinden” van de verwerking. Er is geen expliciete uitzondering voor intern versus extern, wat dat ook zou mogen betekenen in de context van verwerken van persoonsgegevens.

De AP heeft een lijst gepubliceerd van verwerkingen die in ieder geval eerst aan een DPIA onderworpen moeten worden. Hieronder valt onder meer heimelijk onderzoek van personeel door werkgevers, grootschalige fraudebestrijding (concreet: AI-analyse van je klantenbestand), grootschalig monitoren van personeel of klanten, stelselmatig monitoren van dataverkeer anders dan voor security, uitgebreid profileren en ga zo maar door.

Ik zie wel hoe een “intern” gebruik van persoonsgegevens onder deze kopjes kan vallen. De kern is voor mij wel dat het vrijwel altijd gaat om “grootschalig” gebruik. Dus één werknemer tijdelijk volgen vanwege een vermoeden van lekken van bedrijfsgeheimen zou geen DPIA vereisen.

Het uitrollen van een nieuw e-mailsysteem zou voor mij ook geen DPIA nodig hebben, maar wél als je er productiviteitsdingen in gaat toevoegen en daarmee werknemers monitort op hun effectiviteit. Een nieuwe procedure voor backups van bedrijfsdata lijkt me op zich ook niet hogo risico, met backups ging je sowieso al om alsof het goud was.

Arnoud

Een intrigerend persbericht van de Amerikaanse beurstoezichthouder: “The Securities and Exchange Commission today charged James Roland Jones of Redondo Beach, California, with perpetrating a fraudulent scheme to sell what he called “insider tips” on the dark web.” Jones deed zich daar voor als een insider bij diverse beursgenoteerde bedrijven (en/of in contact met insiders) om zo te handelen in nog niet publieke, beursgevoelige informatie. Handel met voorkennis dus, “securities fraud” in het Amerikaanse jargon. Omdat het het dark web was (wat betekent dat je het met Google niet kunt vinden), dachten mensen daar lekker te scoren, het is natuurlijk heel aantrekkelijk om met voorkennis aandelen te kunnen kopen of verkopen. Alleen: Jones hád helemaal geen voorkennis, hij ging af op publieke informatie of deed gewoon een gok, kennelijk vaak genoeg met goed resultaat en bovendien kreeg je je geld terug als de tip niks was. Maar is dat dan fraude?

Handel met voorwetenschap (de Europese jargonterm) is natuurlijk al heel lang verboden, omdat het oneerlijk is naar andere beursdeelnemers toe. Een beursgenoteerd bedrijf moet iedereen gelijke kennis geven, en moet dus voorkomen dat werknemers of directieleden hun voorwetenschap die ze vanuit het werk opdoen, inzetten om snel te kopen of verkopen.

Het toezicht is relatief eenvoudig (je kunt zien wie er koopt of verkoopt immers) en daardoor vrij streng. Mensen hanteren dus trucjes, zoals de buurman een tip geven en dan de winst delen. Maar ook dat gaat opvallen, en dan krijg je dus dingen als het “dark web”, zeg maar een niet met Google te vinden forum waar je jezelf van alles kunt noemen en kunt handelen in je kennis. Zo ook Jones, die een forum had gevonden voor handel in zulke tips:

According to the complaint, in order to gain access to the insider trading forum, Jones lied about possessing material, nonpublic information.  By doing so, Jones allegedly gained access to the insider trading forum for a short period, but was unsuccessful in obtaining valuable material, nonpublic information.  The complaint further alleges that Jones subsequently devised a scheme to sell purported insider tips to others on the dark web.  The SEC alleges that, in the spring of 2017, Jones offered and sold on one of the dark web marketplaces various purported “insider tips” that he falsely described as material, nonpublic information from the insider trading forum or corporate insiders.

Voor de toepassing van deze verordening doet handel met voorwetenschap zich voor wanneer een persoon die over voorwetenschap beschikt die informatie gebruikt om, voor eigen rekening of voor rekening van derden, rechtstreeks of middellijk financiële instrumenten te verwerven of te vervreemden waarop die informatie betrekking heeft.

De SEC gooit het over die laatste boeg, door hem fraude bij aandelenhandel ten laste te leggen: liegen over de waarde van je informatie is fraude, en het gaat over aandelen dus het is aandelenfraude. Maar toch is het niet hetzelfde, volgens mij.

En nog een intrigerende: is het handel in voorwetenschap als je als directeur van je bedrijf zegt “volgens mij staan onze aandelen te hoog” zonder zelf te gaan kopen of verkopen?

Arnoud

Een beetje mysterieus bericht bij Tweakers: De motivatie om deze topic te starten komt naar aanleiding van een bericht [link weggehaald]. Kort samengevat: Dennis en Ronald werkten bij een softwarebedrijf. Ze waren met een hobby-project bezig en hun (inmiddels) oud-werkgever klaagt ze aan voor 1 miljoen. Gebeuren dit soort zaken wel vaker? Ik ben nu… Lees verder

Het lijkt erop dat degene die op 5 augustus 2017 om 2.31 uur bij de geldautomaat is gefilmd, ook in de politiedatabase staat: Thomas. Zo introduceert Nu.nl een strafzaak waarin gezichtsherkenning door het politiesysteem CATCH centraal stond in het bewijs. Nadat ook twee onderzoekers de gezichten met elkaar vergelijken, concludeert het Centrum voor Biometrie namelijk dat… Lees verder

Naar aanleiding van het persbericht van het EPO over de laatste uitspraak inzake softwarepatenten kreeg ik vele vragen, allemaal met de strekking “zijn softwarepatenten nu alsnog legaal geworden”. Het maakt nogal indruk natuurlijk: de Grote Kamer van Beroep bepaalde dat simulatiesoftware octrooieerbaar kan zijn, en dus niet categorisch uitgesloten zijn. Maar al meer dan twintig… Lees verder

De overheid heeft een moeizame relatie met ict, zo poneert een interessant Tweakers-artikel over openbaarheid bij overheids-ICT-projecten. Al geruime tijd (sinds 2002, Motie-Vendrik) worstelt men met het idee van openheid bij software en data die door de overheid wordt ontwikkeld. Het sterkst is het pleidooi geweest voor het openen (bevrijden) van software. Maar zelf neig ik… Lees verder

De nodige ophef: de nieuwste feature van de consumentenprinter en -snijmachine Cricut is dat je nog maar 20 ontwerpen per maand mag produceren, daarna moet je gaan betalen. Raar, want het ding is jarenlang verkocht voor de consumentenmarkt met als belofte “Creative freedom should be free. Cricut Design Space is free to use for all… Lees verder

Een lezer vroeg me: Zoals iedereen kan zien komt het steeds vaker voor dat organisaties worden getroffen door een ransomware aanval waarbij er losgeld moet worden betaald om weer toegang te krijgen tot de gegevens. Veel organisaties kiezen hiervoor omdat het in veel gevallen goedkoper is om te betalen, maar is dit eigenlijk niet tegen de… Lees verder

Vorige week verschenen drie uitspraken tegen Uber bv, waarin chauffeurs inzage in hun persoonsgegevens vroegen alsmede uitleg over de geautomatiseerde besluitvorming die het bedrijf zou toepassen. De uitspraken zijn fors en pittig, maar laten mooi zien hoe je als rechter de grenzen trekt tussen al dan niet toelaatbare besluitvorming. De kern van het geschil werd… Lees verder