Internetrecht door Arnoud Engelfriet

Een lezer vroeg me:

Pas heb ik ‘Advanced Data Protection’ van Apple op mijn iCloud-account geactiveerd. Toen kwam bij mij de volgende gedachte op: Als mijn data volledig versleuteld is, en ik ben de enige die sleutels heeft, maakt het dan (voor AVG/GDPR) uit waar die data opgeslagen is?

Als het niet gaat om persoonsgegevens, dan gelden al die regels niet. En daar zit hem de kneep: is een encrypted blob nu wel of niet een (set) persoonsgegeven(s)? Het antwoord daarop beantwoordt meteen de vraag of de AVG van toepassing is. Er is niet zoiets als “een beetje van toepassing”, je valt onder de AVG en de héle berg eisen, of je valt er volledig buiten.

Het onleesbaar maken van persoonsgegevens is in de terminologie van de AVG een vorm van pseudonimiseren, de herleidbaarheid onmogelijk maken tenzij je beschikt over extra informatie. Een decryptiesleutel is daarvan een voorbeeld. Dus wie de definities letterlijk leest, ontkomt niet aan de conclusie dat dit gewoon onder de AVG valt – die blob bevat persoonsgegevens, ze zijn heel goed beveiligd maar ze zitten er toch echt in.

Vorige week blogde ik over het Breyer-arrest en haar opvolger. Een IP-adres is daar een voorbeeld van een persoonsgegeven, omdat het via wettige middelen kan worden herleid tot een persoon. En in die opvolger werd bepaald dat je de analyse over herleidbaarheid moet doen vanuit het perspectief van de ontvanger van de gegevens. Dat het in abstracto voor iemand mogelijk is om de identificatie te doen (de decryptie) is niet genoeg, kon specifiek die ontvanger dit doen met redelijke en wettige middelen?

Vertaald naar deze casus is dan dus goed verdedigbaar dat die buitenlandse partij zich niet aan de AVG hoeft te houden. Die mag dus alles doen dat hij wil (binnen het contract) met die blob. Niet erg, want het is een encrypted blob dus wat gaat hij doen?

Maar voor de klant van die hostingpartij blijft de blob gewoon persoonsgegevens bevatten. Hij kan immers de encryptie triviaal ongedaan maken, hij heeft namelijk de sleutel. En dat betekent ook dat hij de data niet op een buitenlandse server mag zetten, tenzij het land waar hij dat doet adequaat is, er BCR of MCC zijn of een van de andere uitzonderingen van toepassing zijn. De regels zijn dus precies hetzelfde als wanneer je plaintext gegevens ergens wilt parkeren.

Ik geef toe, dat doet vreemd aan want juist als je gegevens sterk versleutelt dan zou er niets mee moeten kunnen gebeuren. En dan zijn er ook geen risico’s voor betrokkenen. Maar bekijk het eens zo: als de sleutel toch ooit uitlekt, en die blob staat in een land waar persoonsgegevens vogelvrij zijn, dan zou de hostingpartij die lekker kunnen ontsleutelen en met de gegevens aan de haal gaan – waar mensen dan niets tegen kunnen doen. En ook dat is niet de bedoeling.

Arnoud

Die titel zag ik via Reddit, en laat “een boek in mijn vrije tijd schrijven” nou altijd mijn standaardvoorbeeld zijn van iets waar je werkgever géén rechten op kan claimen. Maar hier ligt het iets subtieler:

Dit is een bepaling in de arbeidsovereenkomst van een bedrijf waar ik aan de slag zal gaan als copywriter. Ik heb deze nog niet getekend, want ik vraag me af of de rechten van het boek waar ik in mijn vrije tijd aan werk en welke niets te maken heeft met deze werkgever, geclaimed kunnen worden door dit bedrijf.

Schrijf je een boek zonder opdracht, maar hád je de opdracht redelijkerwijs niet kunnen weigeren als die je hypothetisch was gegeven, dan is dat boek in principe toch gewoon auteursrechtelijk van je werkgever. Eigen initiatief zeg maar, en dan doet het er niet toe of je spullen van het werk hebt gebruikt, onder werktijd schreef of je baseerde op eerdere teksten die al eigendom van het werk waren. De discussie gaat over de aard en inhoud van het boek, niet waarmee je het geschreven zou hebben.

In dit geval is het nog iets complexer, want er staat een hele lap hierover in het contract:

“Alle rechten van industriële en intellectuele eigendommen, zoals auteursrechten, merkrechten, octrooien, rechten op modellen en tekeningen, kwekersrechten enzovoorts, welke ontstaan tijdens, door of in verband met de uitoefening van de door werknemer op grond van de arbeidsovereenkomst te verrichten werkzaamheden komen uitsluitend toe aan werkgever en worden geacht aan werkgever te zijn overgedragen zonder dat hiervoor een nadere overdracht zal zijn vereist en zonder dat werknemer recht heeft op een vergoeding hiervoor. Werknemer is gehouden werkgever bij eerste gelegenheid op de hoogte te stellen van alle vindingen die tot de boven bedoelde rechten aanleiding zouden kunnen geven. Het is werknemer niet toegestaan om de resultaten van zijn werkzaamheden zelf openbaar te maken, te verveelvoudigen, in het verkeer te brengen, te verkopen, te verhuren, af te leveren of anderszins te verhandelen dan wel voor een ander aan te bieden of te doen inschrijven.”

De werkgever heeft hier een veelgebruikt criterium gehanteerd: rechten die zijn “ontstaan tijdens, door of in verband met de uitoefening van de werkzaamheden”. Dat “door of in verband met” is grofweg wat de wet zelf ook al zegt, de uitbreiding is dus het “tijdens” het werk. En dat is dus altijd precies mijn voorbeeld: de portier die onder werktijd op de werklaptop een thriller schrijft, heeft daar echt zelf het auteursrecht op. Hij doet zijn werk mogelijk niet goed (want opletten zal er niet bij zijn tijdens het schrijven), hij kan wellicht worden ontslagen voor plichtsverzuim maar dat is het – dat boek is en blijft van hem zelf.

Wie letterlijk dit beding leest, ziet “tijdens”, en dat zou ook de portier omvatten die onder werktijd (dus tijdens het werk) aan die thriller werkt. En dat kun je dus afspreken, als je het opschrijft in een ondertekend arbeidscontract.

Tegelijkertijd geldt ook bij arbeidscontracten de Haviltex-regel van contractsuitleg: niet alleen de taalkundige uitleg, maar ook wat partijen onderling bedoeld hadden toen ze dit opschreven. En daarbij wordt ook de onderlinge positie van de partijen meegewogen. Bij arbeidscontracten is dat meestal een deskundige en sterk staande werkgever, tegenover een werknemer die meestal weinig kan inbrengen behalve “tekenen of niet”. In dat geval wint al snel de interpretatie die in het voordeel is van de werknemer.

De interpretatie “ook de thriller die je als copywriter schreef hoewel je werk is marketingteksten voor de website te maken” vind ik niet echt in het voordeel van de werknemer. “Het handboek Online Marketing en Copywriting dat je in je vrije tijd schreef vanuit je ervaringen als copywriter bij ons” zou ik er dan weer wél onder vinden vallen. Dat komt dus neer op een lichte verbreding van het wettelijke criterium, met name om de grensgevallen richting de werkgever te duwen. Want het is een grijs gebied, een handboek hoe je werk te doen maar gericht op vakgenoten algemeen en niet collega’s.

Arnoud

Ziggo is verplicht om een waarschuwingsbrief van Brein door te sturen naar haar klant via wiens IP-adres een bibliotheek met e-books online toegankelijk is voor internetgebruikers en als dat nodig is, de NAW-gegevens van deze klant aan Brein te verstrekken. Dat besliste het Hof Arnhem begin deze maand. Daarmee valt het hoger beroep in deze zaak verrassend anders uit dan de vorige uitspraken, waarbij Ziggo dit (vanwege AVG-perikelen) juist niet hoefde te doen. Wat is er nu ineens zo anders?

Het idee is zo simpel als wat: identificeer frequente uploaders, en stuur ze een “we hebben je in de gaten”-brief in de hoop dat men ermee stopt. Dat is niet hetzelfde als ze gelijk dagvaarden, wat gezien de kosten en gedoe niet meteen wenselijk is. Maar de ervaring leert dat als je mensen waarschuwt, ze er regelmatig mee stoppen – al is het maar omdat ze denken dat de volgende stap wél een rechtszaak is. Wat dus kan in Nederland, omdat zowel up- als downloaden van beschermd materiaal verboden is zonder toestemming.

Strafbaar zelfs, in theorie. En dat is waar dan het probleem zit: wie bijhoudt wie er auteursrechten schendt, verwerkt strafrechtelijke persoonsgegevens en daar gaan AVG-juristen altijd heel moeilijk bij kijken. De AVG kent daar immers zo ongeveer het strengste regime voor, met als belangrijkste relevante beperking dat je niet voor privédetectivebureau mag spelen als je daarbij zulke gegevens verwerkt. Tenzij je een vergunning hebt, en dan nog. En dat was voor de rechter vorig jaar reden om te bepalen dat Ziggo hier niet aan mee hoeft te werken.

Zoals ik altijd zeg, als het antwoord is dat een auteursrechthebbende pech heeft, dan is het antwoord vrijwel altijd fout. In juridische termen: dan wordt geen recht gedaan aan het hoog niveau van bescherming van intellectuele eigendom zoals in verdragen en Europese regels vastgelegd. Brein ging om die reden dan ook in hoger beroep. Maar Ziggo ook, want die vond dat het afgeven van NAW-gegevens niet automatisch  ‘ter instelling, uitoefening of onderbouwing van een rechtsvordering’ hoeft te zijn, zoals de rechtbank had geoordeeld.

Het Hof begint met te omschrijven wat Brein nu precies van plan is:

Brein verzoekt primair een trapsgewijze aanpak. Allereerst vordert zij dat Ziggo een waarschuwingsbrief en zo nodig nog een aangetekende brief stuurt naar haar klant, waarin de klant wordt gewezen op de inbreuk met het (dringende) verzoek om de openbare toegang tot de Calibre-bibliotheek onmiddellijk af te sluiten. Alleen als die brief (brieven) niet spoedig leidt (leiden) tot het stoppen van deze openbare toegang, verzoekt Brein om verstrekking van de NAW-gegevens van de Ziggo-klant, zodat zij zelf de klant kan aanspreken. Brein heeft daaraan toegevoegd dat zij uitsluitend het staken van de inbreuk (op last van een dwangsom) zal vorderen, maar dat zij geen schadevergoeding zal (mag) vorderen.

Daarmee is de zaak nog niet klaar, want de AVG heeft zo haar eigen mening over wat er met gegevens over mensen gebeurt. Het kan goed dat er geen enkel privacybelang (meer) is, maar dat je toch aan AVG regels moet voldoen. Zo ook hier: Ziggo gebruikt NAW-gegevens voor het leveren van internettoegang, en het doorsturen van Breinbrieven kun je moeilijk een vorm van internettoegang noemen. Daarmee ontbreekt de doelbinding, zou je zeggen. Maar het Hof ziet toch ruimte in de AVG, namelijk in artikel 6 lid 4:

Het hof is van oordeel dat de verwerking berust op een lidstaatrechtelijke bepaling die in een democratische samenleving een noodzakelijke en evenredige maatregel vormt ter waarborging van de in artikel 23 lid 1 AVG bedoelde doelstellingen. Zoals hiervoor in 4.7 overwogen baseert Brein haar vordering op artikel 28 lid 9 Aw en op de zorgvuldigheidsnorm uit artikel 6:162 BW om een inbreuk op de rechten en vrijheden van anderen (namelijk een inbreuk op auteursrechten) tegen te gaan (artikel 23 lid 1 onder i AVG).

Maar dat strafrechtelijke karakter dan, maakt dat de zaak nog anders? De AVG en de Uitvoeringswet zijn daar streng in, en de uitzonderingen zijn dan ook beperkt geformuleerd. De uitzondering waar het hier om ging, is artikel 32 UAVG, waarin staat dat het mag als dat “noodzakelijk is voor de instelling, uitoefening of onderbouwing van een rechtsvordering”. De rechtbank las dat als “van de partij die de persoonsgegevens verwerkt”, en omdat Ziggo niet zelf wilde procederen ging deze uitzondering dus niet op. Het Hof vindt dat een té beperkte lezing, met name omdat de wet zelf zegt “een rechtsvordering”, wat dus ook andermans rechtsvordering kan zijn. En dat sluit aan bij de tekst van de AVG zelf, en bij een Europees arrest over het koppelen van IP- en NAW-gegevens door een rechthebbende.

Alles bij elkaar wint de handhaving van het auteursrecht dus (weer eens) van andere rechten, in dit geval dat van privacy en gegevensbescherming. Er is in zoverre nog een streepje ruimte dat Brein per concrete soort inbreuk moet aangeven waarom zij de NAW-gegevens nodig heeft, en dus geen GPT-brievengenerator mag koppelen aan een bittorrent-IP-log.

Arnoud

De rechtbank Overijssel heeft geoordeeld dat IT-bedrijf Switch niet de schadevergoeding van 4 miljoen hoeft te betalen die Hof van Twente geëist heeft in verband met de ransomwareaanval in 2020. Dat las ik bij Tweakers. Weer eentje in de categorie zorgplicht, maar in dit geval had Switch het prima geregeld – en dat het RDP-wachtwoord ‘Welkom2020’ was,… Lees verder

Ja, het heet dus ambtsketen en niet ambtsketting, dat wilde ik vooraf even duidelijk hebben. Maar velen schrokken: Sjors Fröhlich, de burgemeester gemeente Vijfheerenlanden, moet stoppen met Twitteren zo meldde hij woensdag. Een burger had hem in niet mis te verstane bewoordingen aangegeven dat hij een ambtsmisbruik pleegde, omdat Fröhlich met ambtsketen op de foto stond,… Lees verder

Via Reddit: Op Koningsdag heb ik bij een webshop een bestelling geplaatst voor sportvoeding. Hierbij heb ik gebruik gemaakt van een kortingscode die alleen op Koningsdag geldig was. Tijdens het bestellen koos ik voor Click&Collect. Hierbij heeft de webshop een label aangemaakt met mijn naam, maar het adres van het PostNL punt wat ik heb geselecteerd…. Lees verder

Een persoonsgegeven is “alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon”. Zo staat het in de AVG. Maar dat is slechts het startpunt over de discussie of en hoe iemand identificeerbaar moet zijn. Een recent arrest van het Europese Hof voegt weer een nieuwe dimensie toe aan deze discussie. Spoiler alert: we zijn nog… Lees verder

Waarom het VK Microsofts megadeal wil tegenhouden, zo las ik bij Tweakers onlangs. Met een verrassend besluit maakte de Britse Competition and Markets Authority onlangs namelijk bekend dat het de geplande overname van Activision Blizzard door Microsoft zal blokkeren. Na de aankoop zou Microsoft het op twee na grootste gamingbedrijf ter wereld worden, na het Chinese Tencent en… Lees verder

Het Hof van Justitie van de Europese Unie heeft geoordeeld dat een ‘drempelwaarde’ aan ernst van een overtreding van de AVG niet nodig is om een claim bij een rechtszaal in te dienen. Dat las ik bij Tweakers vorige week. Een man vorderde immateriële schadevergoeding, en naar Oostenrijks recht moet dat “voldoende ernstig” zijn alvorens… Lees verder

Een Amerikaanse verzekeraar moet 1,4 miljard dollar uitkeren aan Merck vanwege de NotPetya-ransomwareaanval. Dat meldde Tweakers onlangs. De verzekeraar had dit geweigerd met een beroep op de overmachtsclausule, specifiek het feit dat het om militair optreden ging: NotPetya wordt door beveiligingsexperts toegeschreven aan de Russische militaire inlichtingendienst GROe, die de ransomware wilde inzetten als sabotagedaad in… Lees verder