Hoe kan Facebook legaal gezichten gaan scannen onder de AVG?

| AE 10513 | Privacy | 10 reacties

Als voorbereiding op de AVG gaat Facebook gezichtsherkenning aanzetten voor Europese gebruikers die dat willen, las ik bij de socialenetwerksite. Dat is verrassend, omdat ze het in 2011 uitgezet hadden na klachten dat de (Duitse) Wbp werd overtreden met deze feature. Doel van de nieuwe feature is te zorgen dat mensen in kunnen grijpen als hun gezicht ergens op Facebook opduikt, waarvoor gezichtsherkenning best wel nodig is.

De status van portretfoto’s onder de privacywet is lange tijd nogal punt van discussie geweest. Wanneer iemand herkenbaar in beeld is, dan is die foto een persoonsgegeven, daar is iedereen het wel over eens. Maar aan een foto kun je vaak ook dingen zien die als bijzonder persoonsgegeven aan te merken zijn, zoals iemands etnische afkomst of medische aandoeningen. Daarmee zouden portretten onder de strengste regels van de privacywet vallen, en dan gaan allerlei dingen mis.

De AVG kiest een compromis. Een foto van een mens is een persoonsgegeven, maar wordt pas een bijzonder persoonsgegeven als de foto wordt gemaakt of gebruikt met het oog op identificatie. De pasfoto op een toegangspas is dus een bijzonder persoonsgegeven, een sfeerfoto van een receptie is dat niet. (Het portret van het bruidspaar op de receptie denk ik dan weer wel, we willen immers weten wie er 50 jaar getrouwd waren. Maar die foto valt dan weer onder de uitingsvrijheid en daarmee buiten de AVG.)

Gaat zo’n sfeerfoto op Facebook, dan is dus een gewone verwerking. Je kunt je afvragen of dat dan valt onder het eigen gerechtvaardigd belang van de uploader, namelijk zijn uitingsvrijheid, of dat er toestemming nodig is van de geportretteerde. Maar wat Facebook vervolgens doet is problematisch: gezichtsherkenning om de personen op de foto te melden dat die foto geupload is, zodat ze daar bezwaar tegen kunnen maken.

Nu zegt Facebook dat ze dit alleen doen als je daarmee instemt:

If you choose to opt in then you will have access to the following features:
– We’ll let you know when someone else uploads a photo of you as their profile picture. We’re doing this to prevent people from impersonating others on Facebook.
– You’ll hear from us if you’re in a photo and are part of the audience, even if you haven’t been tagged. You can choose whether to tag yourself, leave yourself untagged, or reach out to the person who posted the photo if you have concerns about it.

En ik geloof onmiddellijk dat ik geen berichten ga krijgen hierover tenzij ik de feature aanzet. Maar in de praktijk betekent dit volgens mij dat ieder gezicht op iedere foto gescand en herkend wordt, inclusief dus personen die daar nog geen toestemming voor hebben gegeven. En dat zou een probleem zijn, want in die situatie werkt Facebook dus met bijzondere persoonsgegevens zonder uitdrukkelijke toestemming.

Misschien dat ze alleen screenen op features van gezichten van personen die die toestemming wel gaven. Dan worden andere personen dus niet herkend, en dan is het denk ik wel legaal. Dit voelt alleen erg inefficiënt, en bovendien kun je dan oude foto’s van mensen die later toestemming geven niet verwerken. Dus ik denk niet dat dit het gaat zijn.

(En terzijde: het portretrecht komt dus te vervallen vanaf 25 mei, afgezien van het verzilverbaar portretrecht voor bekende personen.)

Arnoud

Is wifi op de camping standaard of een aparte dienst?

| AE 10511 | Aansprakelijkheid | 17 reacties

Hoort het aanbieden van wifi op de camping aan gasten bij de dienst van verblijf zelf, of is het een aparte dienst? Met die vraag zag de rechtbank Gelderland zich recent geconfronteerd in een belastingzaak. Ja, dit is relevant voor de belasting omdat er verschillende btw-tarieven gelden voor losse diensten bovenop logies en voor de logies zelf. Het maakt daarbij niet uit of je het apart verkoopt, als het immers eigenlijk bij de dienst inbegrepen zit dan moet hetzelfde btw tarief daarop gelden. TL;DR: wifi is een essentieel en niet van vakantieverblijf los te ziene dienst bij een vakantiepark.

De gedaagde in deze zaak exploiteert een vakantiepark met woningen en plekken voor tenten en stacaravans. Wie toegang tot het internet wilde, moest apart betalen en kreeg vervolgens een wificode. In de praktijk bleek zo’n 70 à 80% van de mensen deze code af te nemen, en de eigenaar deed dan ook aangifte btw tegen het lage tarief voor deze aparte dienst. De Belastingdienst zag dat anders, internet is gewoon deel van de dienst van het verblijven in het park en daarom had er gewoon 21% btw op moeten zitten.Update: Pardon, zoals in de comments gezegd: “De belastingdienst vond het een losse dienst en vond dat het daarom belast moest worden met 21% BTW en niet met 6% BTW die over de verhuur van de huisjes werd geheven.”

Niet verbazingwekkend zijn er stapels jurisprudentie over de vraag wanneer iets een los extraatje is en wanneer deel van het origineel. De stand van zaken is kortweg als volgt:

Er is onder meer sprake van één prestatie indien een of meer elementen moeten worden geacht de hoofdprestatie te vormen, terwijl een of meer andere elementen moeten worden beschouwd als een of meer bijkomende prestaties, die het fiscale lot van de hoofdprestatie delen. Een prestatie moet in het bijzonder als bijkomend bij een hoofdprestatie worden beschouwd, wanneer zij voor de klanten geen doel op zich is, maar een middel om optimaal gebruik te kunnen maken van de hoofdprestatie van de dienstverrichter.

Heel gechargeerd is de vraag dus, hoe belangrijk is internet op de camping. Ik vermoed dat een aantal lezers nu gelijk wil roepen dat “je naar de camping gaat voor je rust” of “je hebt toch een 4g dongel bij je”, maar er blijkt zowaar onderzoek te zijn op dit gebied (van de ANWB) waaruit:

blijkt dat 99% van de kampeerders online gaat en 82% zelfs dagelijks. Drie op de vier ondervraagden vinden internet op de camping net zo vanzelfsprekend als een goed elektriciteitsnet.

En dat gaat dan over mensen in tenten, caravans én huisjes. De rechtbank in deze zaak vindt het daarmee nog zwaarder wegen voor huisjeshuurders, omdat die immers meer luxe verwachten dan tentkampeerders.

Naar het oordeel van de rechtbank moet geconcludeerd worden dat wifi inmiddels zo gewoon en algemeen is geworden, en ook in de jaren 2014 en 2015 al was, dat niet gezegd kan worden dat de wifi voor de klant een doel op zich is, zo min als andere bijkomende diensten als stromend water, elektriciteit en een televisie dat zijn. Aannemelijk is dat het ontbreken van de mogelijkheid van wifi zal leiden tot minder boekingen en dat spiegelbeeldig de aanwezigheid van wifi eraan bijdraagt dat optimaal gebruik kan worden gemaakt van het verblijf in de vakantiewoning.

Vanuit die conclusie is het dan ook onvermijdelijk dat de kosten voor wifi onder hetzelfde tarief vallen als het vakantieverblijf zelf. Belastingtechnisch is wifi op vakantie dus essentieel. U mag nu gaan mopperen dat in uw tijd je al blij mocht zijn met stromend water en/of een gat in de grond als wc.

Arnoud

Googles gebruik van de Java API is nu toch weer geen fair use

| AE 10509 | Software | 13 reacties

Googles gebruik van de Java API packages is geen fair use, las ik bij ITenRecht. Dit is de vierde stap in hoger beroep van de Google/Oracle rechtszaak over auteursrecht op de Java API die al enige jaren loopt. In eerste instantie bleek de API niet beschermd, in hoger beroep wel, toen bleek Googles gebruik een fair use en nu dus weer niet. Waar staan we nu met deze zaak?

De centrale kwestie is of Google de API van de taal Java van een eigen implementatie mag voorzien, om zo Java-compatibel te worden zonder een licentie van Oracle nodig te hebben. Dat kan alleen als op de API zelf geen auteursrecht rust, of als het gebruik van Google onder de Amerikaanse noemer van “fair use” gerechtvaardigd is.

In de eerste serie rechtszaken ging het om de vraag of er of de API auteursrecht rust. Een API is op zich een set creatieve keuzes (welke functie doet wat, hoe heet hij en welke variabelen zijn relevant), maar er zit ook een sterke technische component in. Daarom bepaalde de rechtbank in eerste instantie dat er geen sprake was van (Amerikaans) auteursrecht. In hoger beroep werd dat teruggedraaid, omdat weliswaar de functies zelf technische dingen doen, maar de keuze voor wélke functies en hoe dat te organiseren voldoende creatief te noemen is.

Heb je auteursrecht op een API, dan mogen anderen die dus niet gebruiken zonder een licentie. Echter, in Amerika geldt de algemene uitzondering van “fair use”: alle zeg maar legitieme, normale vormen van gebruik zijn legaal. Daarbij wordt een vierstappentoets langsgelopen waarbij zaken als de hoeveelheid overgenomen werk, de mate van aanpassing/transformatie en de aard van het werk meegewogen worden. Met deze open norm is in principe alles als “fair” aan te merken als je maar hard genoeg je best doet, maar er zit ook het nadeel aan dat je het nooit zeker weet tot de rechtbank er wat van gevonden heeft.

In het vervolg van de zaak beriep Google zich natuurlijk op fair use. Kern van het argument is dat als iemand een API maakt, het de bedoeling is dat mensen moeten weten wat deze kan. Daar een applicatie op schrijven is dan gewoon legitiem, normaal, zeker als je het argument interoperabiliteit meeweegt. Daar staat tegenover, aldus Oracle, dat Google met deze gratis weggegeven herimplementatie de hele markt voor de betaalde Java-licentie ondermijnde en vanwege de gigantische marktmacht van Google zou dat een enorme impact hebben op Oracle.

De rechtbank (en de jury) gaf Google gelijk, maar Oracle ging in hoger beroep. En nu wordt het even complex, want in de VS geldt een strikte scheiding tussen wat juries mogen zeggen en wat het primaat van de rechter is. De jury beslist wat de feiten zijn, de rechter past het recht toe. En bij fair use is dat ingewikkeld, omdat je daarbij feiten juridisch kwalificeert. Het Hof in hoger beroep moet dan ook de feiten en de juridische analyse uit elkaar trekken en vooral op die laatste gaan schieten.

Uiteindelijk weegt dan de vierde factor – het effect op de markt voor het origineel – het sterkste: Googles herimplementatie geeft een grote impact op de betaalde licentiemarkt voor Java (zelfs als je de open implementatie van Oracle zelf erbij betrekt), en daarmee blokkeert men eigenlijk de mogelijkheden voor Oracle compleet om geld te verdienen met haar werk. En iets waarmee de rechthebbende volledig met lege handen komt te staan, kan niet fair use zijn.

In Europa ligt het compleet anders. In de SAS-zaak werd bepaald dat de functionaliteit, de programmeertaal en de bijbehorende bestandsformaten geen deel van de beschermde code zijn, maar meer achterliggende ideeën of uitgangspunten waarmee je die code maakt. Zoals het Hof het formuleerde:

… neither the functionality of a computer program nor the programming language and the format of data files used in a computer program in order to exploit certain of its functions constitute a form of expression of that program and, as such, are not protected by copyright in computer programs for the purposes of that directive.

Hiermee zou een API dus wél vrij bruikbaar zijn omdat het dan enkel gaat om de functionaliteit die in de API ligt. Het ging in de SAS-zaak om het gebruik van een programmeertaal waarop auteursrecht werd geclaimd. Het schrijven in die taal zou dan inbreuk opleveren, omdat een programma in die taal immers de beschermde functionaliteit aanroept. En dát wijst het Hof van Justitie af. Dit lijkt mij 1-op-1 door te trekken naar API’s van een programma. Immers wat is het verschil tussen een instructie in een taal en een aanroep van een API?

Arnoud

Ook bij juwelen is bewijs van verzending geen bewijs van ontvangst

| AE 10507 | Webwinkels | 12 reacties

Wanneer een juwelier een dure ring per post verstuurt, en de envelop komt leeg aan, dan is dat zijn risico. Dat haal ik uit een recent arrest uit Den Bosch inzake een geschil tussen een Nederlandse webwinkelier en een Duitse consument. Die laatste had de ring via de website Catawiki gekocht, maar constateerde (samen met… Lees verder

Goh, lawyerbots zijn beter dan juristen in het lezen van saaie juridische documenten

| AE 10505 | Internetrecht | 6 reacties

Alweer ietsje langer geleden maar toch: in een ‘wedstrijd’ tussen een lawyerbot van het Israëlische LawGeex en twintig Amerikaanse advocaten bleek de eerste een stuk beter in staat om juridische fouten in NDA’s en andere documenten te vinden. Om precies te zijn: de AI was 94% accuraat waar de mensen rond de 85% scoorden. Dit… Lees verder

Licentiecodes meenemen van je werk is geen diefstal

| AE 10503 | Arbeidsrecht, Software, Strafrecht | 18 reacties

Een licentiecode meenemen van je werk als je ontslag neemt, is geen diefstal of heling. Dat vonniste de rechtbank Den Haag onlangs. De verdachte in deze strafzaak had ontslag genomen en wilde kennelijk met die licentiecode goede sier maken bij de nieuwe werkgever, iets dat de oude werkgever zó ernstig vond dat men aangifte deed,… Lees verder

Mag je een zoekmachine voor miljoenen gehackte Nederlandse wachtwoorden online zetten?

| AE 10501 | Beveiliging | 23 reacties

De zoekmachine Gotcha.pw waarmee je de wachtwoorden van miljoenen Nederlandse e-mailadressen kunt doorzoeken is online, las ik bij RTL Nieuws. Met meteen daarop dat de zoekfunctie offline was, zo te lezen vanwege angst of het wel legaal is, om zo’n zoekdienst aan te bieden. Want meer dan 1,4 miljoen wachtwoorden van onder meer LinkedIn, Dropbox,… Lees verder

Geldt het vergeetrecht onder de AVG ook bij forumdiscussies?

| AE 10495 | Meningsuiting | 24 reacties

Een lezer vroeg me: Ik beheer een relatief groot discussieforum. Moet ik straks onder de AVG van iedereen die dat vraagt zijn berichten weghalen onder het vergeetrecht? Dan houd ik straks geen historie meer over! Het klopt dat je als aanbieder van internetdiensten al snel te maken krijgt met de AVG. Heel vaak werk je… Lees verder

Hoe terecht is de kritiek op legal tech vanuit de juridische sector?

| AE 10497 | Internetrecht | 3 reacties

Legal tech proponenten doen er goed aan lering te trekken uit het Theranos debacle, las ik bij Above The Law. Dat bedrijf heeft een serieus probleem nu de Amerikaanse SEC haar beweerdelijk innovatieve technologie voor niet-invasief bloedonderzoek serieus betwist – nog lang niet klaar voor de markt. Maar lange tijd kwam men ermee weg, omdat… Lees verder

Failliet verklaard vanwege een halve bitcoin, kan dat?

| AE 10482 | Internetrecht | 4 reacties

Het bitcoinbedrijf Koinz Trading is failliet. Dat meldde Emerce onlangs. Het Nederlandse bedrijf verzorgde het minen van bitcoins voor klanten waarbij de klant de apparatuur kocht en Koinz het beheer uitvoerde, maar kwam al snel in de problemen omdat beloofde uitbetalingen niet werden gerealiseerd. Er zou sprake zijn geweest van een piramidespel, waarbij uitbetalingen werden… Lees verder