Internetrecht door Arnoud Engelfriet

Als Ars Technica clickbaitkoppen mag doen, mag ik het ook. “Ars readers hated this startup’s privacy policy—so the company changed it”, meldde men onlangs. De Amerikaanse technieuwssite had zoekmachine Neeva gereviewd, maar de reacties van lezers gingen massaal en zeer negatief los op de privacypolicy van het bedrijf. Tot veler verrassing leidde dat tot daadwerkelijke verandering: CEO Sridhar Ramaswamy liet de policy aanpassen. Een lesje in hoe het wel moet.

Hoe kon dit nou gebeuren? Nou ja, de bedoelingen waren natuurlijk goed maar ja toen gingen de juristen moeilijk doen:

Ramaswamy told Ars that the company’s intention was to provide a secure and privacy-respecting platform from the start. But, he added—and we’re paraphrasing here—”lawyers will be lawyers,” and it was “on him” that he had not inspected the policies drafted by the company’s legal counsel closely enough.

En ja, ik herken dat: heel veel ondernemers denken dat als een jurist of advocaat iets opstelt, het wel zo zal moeten van de wet dus dan nemen we het maar over. Of de tekst is zó lang, dicht en onnavolgbaar dat men het van pure ellende maar online zet. (Als je klant tegen je zegt “Fantastische tekst, ik heb er geen woord aan veranderd en hij gaat meteen online” dan bedoelt hij “Ik kom er niét doorheen dus het zal wel.” Ik heb drie klanten die nog steeds een “wie dit leest krijgt een fles champagne”-clausule in hun algemene voorwaarden hebben.)

Wat ging er nu mis? Neeva presenteert zichzelf als een privacyvriendelijke zoekmachine, waarbij je betaalt voor de dienst. En dat is een mooie insteek voor een nichedienst, alleen moet je dan wel extra goed nadenken hoe je in je privacyverklaring dingen uitlegt. Dit werkt bijvoorbeeld niet:

We have not sold consumers’ personal information in the preceding 12 months.

Ik begrijp dat dit bedoeld was als een kanarie – zodra men wel data zou gaan verkopen, was dit statement een leugen en dan kun je ze daarop ‘pakken’. Maar dat werkte niet: mensen dachten dat Neeva dus alleen maar 12 maanden hoefde te wachten en dan commercieel los kon gaan. Dat is dus nu gewoon “We do not and never have sold consumers’ personal information”.

Wat ook niet hielp, was een generiek statement dat men informatie kon delen met affiliated companies. Er stond niet bij wat dat waren – zuster en dochterbedrijven? Zakenpartners? Bedrijven die tegen vergoeding klanten aanbrengen? Dus dat gaf enige ophef, met name omdat er niets stond over waarborgen of beperkingen.

Ook niet fijn:

we store the personal information we receive as described in this Privacy Policy for as long as you use our Services or as necessary to fulfill the purposes for which it was collected… [including pursuit of] legitimate business purposes.

Dat kan dus wel héél ver oplopen als je een paar jaar de dienst gebruikt, en wat zijn legitieme bedrijfsbelangen? Plus, in de advertenties stond dat men alles maximaal 90 dagen zou bewaren, dus wat is er nou waar? Dit werd dus meteen aangepast: automatisch verzamelde data (zoals zoekgeschiedenis) weg na 90 dagen, en alleen informatie die langer nodig is voor de dienst (zoals profielinformatie) bewaard zo lang de dienst afgenomen wordt.

Wat ging hier nou mis? Mijn vermoeden is dat men ‘gewoon’ ergens een privacy policy bestelde, en dat de jurist in kwestie zijn of haar best deed een keurig document te maken. Maar als je niet in detail doorspreekt wat belangrijk is, of als jurist wel denkt dat je weet wat belangrijk is, dan krijg je dit soort discrepanties.

Die quote hierboven over bewaartermijnen is bijvoorbeeld een heel normale voor juristen, dingen moeten weg als niet meer nodig (artikel 17 AVG, bij ons) dus dat schrijf je dan netjes op. Maar als de klant niet zegt “zoekdata gaat na 90 dagen weg”, hoe kom je er dan achter dat je die uitzondering moet maken? Dat is dus waar je extra werk in moet steken als juridisch adviseur, alleen vereist dat vaak meer gedoe dan oorspronkelijk begroot of voorzien. En dan kom je op het punt dat je een CEO moet uitleggen waarom een privacypolicy geen standaardtekstje is dat je er achteraf even op kwakt.

Arnoud

Ja sorry, ik word een beetje chagrijnig van dit gedoe. Maar zoals ik -en velen met mij- al een paar jaar roep: je kunt niet vertrouwen op Privacy Shield, en je mag niet zomaar data van je klanten naar Amerika sturen. Ook niet in een clouddienst en ook niet als je er een verwerkersovereenkomst bij hebt. En ja, ze hebben ook gezegd dat Standard Contractual Clauses wél rechtsgeldig zijn. Maar dat is alleen omdat in die SCC staat dat je onmiddellijk moet stoppen met data naar Amerika sturen zodra blijkt dat dat land onveilig is. Oftewel, per direct.

Goed, ik ben alweer rustig. het gaat dus om de Schrems II-zaak. Oostenrijkse GDPR-activist Max Schrems wilde alweer heel wat jaartjes geleden weten waarom Facebook Ierland persoonsgegevens van hemzelf mocht verstrekken aan Facebook Inc. uit Californië. Amerika heeft immers niet echt hetzelfde niveau van bescherming van persoonsgegevens als wij. De Ierse AP besloot die vraag aan het Hof van Justitie voor te leggen, en die kwamen toen met de verstrekkende uitspraak dat de toenmalige Safe Harbor-overeenkomst niet rechtsgeldig was. Mede gezien de Snowden-onthullingen kun je Amerika met de beste wil van de wereld geen persoonsgegevensrespecterend land noemen.

Dat gaf politieke onrust, vandaar dat een jaartje later het Privacy Shield er kwam. Daarmee was er formeel weer een grondslag voor uitbesteden van dataverwerking in de VS, mits het bedrijf maar plechtig zei dat ze Privacy Shield zou respecteren en de Amerikaanse overheid zou doen alsof die ombudsman en mooie verklaringen uit het verdrag iets betekenden. Ja moehaha zeg ik dan, maar goed het was even een schaamlap zodat u tijd had om uw clouddiensten en Amerikaanse onderaannemers uit te faseren.

En nu is het dus zover, het Hof van Justitie zegt wederom dat Amerika niet veilig is voor persoonsgegevens en dat je die er dus niet heen mag brengen vanwege mooie woorden in die Privacy Shield overeenkomst. De Europese Commissie had gewoon niet kunnen en mogen concluderen dat Amerika veilig is (net zoals ze dat bij Safe Harbor niet hadden gemogen). Met name specifiek omdat de NSA en andere overheidsinstanties data mogen besnuffelen zonder enige mogelijkheid van klacht of bezwaar, en dat recht moet je wel hebben. En die ombudsman valt onder de minister van binnenlandse zaken en is daarmee niet onafhankelijk. Daarmee had Privacy Shield nooit gesloten mogen worden, en dat ding dat ze wel gesloten hebben is dus ongeldig.

Vele privacyjuristen hadden hier al rekening mee gehouden en dus ingezet op de zogeheten Standard Contractual Clauses (SCC). Dat zijn door de Europese Commissie opgestelde bepalingen waarmee je een standaardcontract samenstelt om grip te krijgen op een buitenlandse (niet-EU) partij die voor jou persoonsgegevens gaat verwerken. In dat contract dwing je keihard af dat men zich aan de GDPR houdt, onder meer met een recht van audit voor jou bij hem, een plicht van hem om rare dingen te melden en de plicht om klachten van gebruikers daadwerkelijk op te lossen.

Het Hof van Justitie zegt nu dat die constructie nog wél geldig is. Die is immers bedoeld voor situaties waarin de buitenlandse partij ergens zit waar ze rare dingen doen met persoonsgegevens. Dus dan is het prima als je samen keiharde afspraken maakt waarmee je die rare dingen buiten de deur houdt. Afdwingbaar, met boetes en rechtszaken. Dat kan gewoon. Daarom zegt het Hof, prima om naar Amerika met SCC te werken.

Alleen en nu komt ie: die afspraken moet je dan wel daadwerkelijk handhaven. Zo moet de Amerikaanse partij jou bijvoorbeeld informeren over rare praktijken of wetten die botsen met Europese rechten. Als jij onder FISA valt, zoals alle ICT-providers, dan moet jij dat aan je Europese klanten melden. En die mogen dan geen persoonsgegevens meer aan jou geven. Dus als je met SCC werkt, dan heb je jezelf contractueel verplicht om vandaag nog te stoppen met persoonsgegevens naar Amerika sturen.

Einde US cloud dus. Althans: voor laten we zeggen zakelijk gebruik door Europese bedrijven. Als jij zelf een Amerikaanse dienst gebruikt voor dienstverlening aan jou (hetzij zakelijk hetzij privé) dan blijft dat prima. Dat valt onder het kopje “toestemming”, dat nog steeds kan. Boeken bij een Amerikaans hotel, een Amerikaanse prijsvergelijker, lezen van een Amerikaanse krantwebsite, betalen met Paypal of een Amerikaans-gecontroleerde creditcard: allemaal prima. Gegevens van je klanten of je websitebezoekers door een Amerikaan laten analyseren: niet prima.

Ook niet als je een verwerkersovereenkomst hebt. Die zegt alleen maar dat die Amerikaan niets mag doen behalve wat jij hem opdraagt, maar dit borgt niet dat de NSA van die persoonsgegevens afblijft. En zolang dát niet geborgd is, mag je geen data laten verwerken in de VS.

Arnoud

Een man uit Emmen gaat het juridische gevecht aan met MediaMarkt nadat hij voor een paar euro drie peperdure computers van Apple kon aanschaffen op de website van de winkel. Dat meldde het AD onlangs. De term “juridisch gevecht” voelt wat overdreven voor mij, het is niet alsof deze man een pleitbaar standpunt heeft. Ja, het klopt dat je drie iMacs hebt ontvangen van de MediaMarkt en dat er in dat proces niemand piepte. Maar je hebt werkelijk nul komma nul kans – hoewel zeer ergerlijk, toegegeven dat de MediaMarkt nu vanwege mediadruk (“ahh de eenling tegen de mega-winkel”) zou kunnen bezwijken. Maar oh ja, het juridische punt dat hij heeft komt van achter de maan: dat je het product hebt, zegt werkelijk niets over je overeenkomst.

De MediaMarkt had een Otto gedaan: iMacs van zo’n 2000 euro stonden te koop voor twee euro negentien, en zoals het Nederlanders betaamt was de voorraad binnen de kortste keren leeggekocht. Waarop de MediaMarkt natuurlijk de computers terugeiste, want iedereen snapt dat deze prijs niet kon.

En dat is het énige relevante juridische criterium. Dat je betaaltd hebt, dat het proces van levering automatisch doorging en nergens zei “hee rare prijs, dit is even onder voorbehoud” of zelfs maar dat je het product in huis hebt gekregen dat is allemaal leuk en aardig maar geeft nul punten op het tentamen overeenkomstenrecht.

Een overeenkomst komt tot stand door aanbod en aanvaarding, en iets is alleen een aanbod als men werkelijk tegen die prijs wilde handelen. Maakt de aanbieder een fout, dan is je enige redding dat de fout toch realistisch klonk – dat je redelijkerwijs mocht vertrouwen op de juistheid van de mededeling. Dat is bij een zó lage prijs volstrekt niet verdedigbaar.

Nee, ook niet bij de MediaMarkt. Ik weet dat ik die wel eens als voorbeeld heb opgevoerd: de “Wij zijn knettergek geworden-week” met bizar lage prijzen. Ja, als je dat bovenaan je site zet en dan een iMac van 2,19 opvoert dan mag ik er wel op vertrouwen dat je knettergek bent. En dan mag ik die Imac dus houden.

Maar hoewel de MediaMarkt het Gekkenhuis – we zijn helemaal koekoek noemt, zetten ze dat er dan dus wel bij. Het is natuurlijk geen argument dat omdat de prijzen soms opzettelijk krankzinnig zijn bij deze winkel, deze prijs dat óók was. De standaardsituatie bij de MediaMarkt is juist dat men niet gek geworden is. (Hun slogan is dus een van de weinige juridische disclaimers waar je wat aan hebt.)

En juridisch werkt het dan zo: als jij niet mocht vertrouwen op de prijs, dan was er geen aanbod. Zonder aanbod valt er niets te aanvaarden, en zonder aanvaarding geen overeenkomst. Niet, nop, nada. Nee, geen idee waarom je dan toch een iMac kreeg. Heel gek, stuur maar gauw terug. De MediaMarkt zal vast niet metéén aangifte van diefstal of verduistering doen maar een juridisch gevecht noem je het alleen als er enige winstkans is voor de houder van de computer.

Arnoud

Wanneer een film illegaal is geüpload op een onlineplatform zoals YouTube, kan de rechthebbende krachtens de richtlijn betreffende de handhaving van intellectuele eigendomsrechten bij de exploitant uitsluitend het postadres van de betrokken gebruiker opvragen, maar niet zijn e-mailadres, IP-adres of telefoonnummer. Dat las ik bij ITenRecht. Het Hof van Justitie bepaalde dat onlangs in een… Lees verder

?Een Amsterdams hotel heeft een assistent-manager op staande voet ontslagen, omdat zij loog dat ze ziek was. Dat meldde het AD vorige week. Het kwam uit omdat de werkgever zonder haar medeweten kon meelezen met haar whatsapp-berichten. Daaruit bleek glashard dat ze haar ziekte simuleerde – en sterker nog, dat ze ging solliciteren bij een… Lees verder

Apple heeft de update van een yoga-app geweigerd, omdat het bedrijf erachter niet wil dat gebruikers na een proefperiode automatisch gaan betalen tenzij ze annuleren. Dat meldde Tweakers onlangs. Wie apps met een abonnement aan wil bieden in de appstore van Apple, moet dat doen via App Store Connect. In de regels daarvan staat dat… Lees verder

Reiswebsite Booking.com mag haar bedrijfsnaam als merk vastleggen in de VS, las ik bij Ars Technica. De Supreme Court bepaalde dat hoewel de term ‘booking’ in het Engels natuurlijk vrij generiek is, de toevoeging van ‘.com’ het tot een unieke naam maakte. Hoewel mensen inderdaad “a booking” zouden maken bij een willekeurige dienstverlener, zou niemand… Lees verder

De Consumentenbond en de Data Privacy Stichting hebben Facebook gedagvaard in een poging om het socialenetwerkbedrijf te dwingen gebruikers te compenseren voor het schenden van hun privacy. Dat meldde Tweakers dinsdag. Deelname is gratis, wel wordt 18% van de toe te kennen schadevergoeding aan een advocatenkantoor betaald dat op no-cure-no-pay basis (of nou ja, niet… Lees verder

Het Nederlandse Bureau Krediet Registratie krijgt een boete van 830.000 euro omdat het geld vroeg aan mensen om versneld hun eigen dossiers in te zien. Dat meldde Tweakers maandag. Voor gratis inzage moest je vier weken wachten en een kopie identiteitsbewijs opsturen. Wie betaalde, kreeg direct toegang en wel elektronisch. Dat laatste maakt natuurlijk het… Lees verder

Al een tijdje blog ik over de moeilijkheden die je ondervindt als je probeert legal tech (met name AI) naar binnen te rollen in een organisatie. De cultuur is een groot ding bij organisaties, als men niet wil veranderen of van bovenaf verandering juist afgeschrikt wordt dan gebeurt het natuurlijk niet. Maar specifiek bij AI… Lees verder