Hoe moet je omgaan met bronvermeldingen versus de AVG?

| AE 11770 | Ondernemingsvrijheid, Privacy | 8 reacties

Interessante discussie via Twitter: wanneer moet of mag je nu bronvermeldingen geven met persoonsgegevens daarin, en hoe moet je omgaan met verwijderverzoeken van mensen die zich in de bron herkennen? Dit speelt vaak bij publicaties van genealogische gegevens zoals stambomen. Men wil graag de juiste bron noemen, ook voor andere onderzoekers, maar die bron kan best een persoon zijn of verwijzen naar een persoon. En dan loop je tegen de AVG aan. Wat dan?

Genealogie is een discipline van de geschiedkunde die zich bezighoudt met voorouderonderzoek dan wel de afstamming van de familienaam. Dat betekent vaak spitten in bronnen, en die wil je dan ook graag noemen bij je publicatie van de resultaten. Dat is wetenschappelijk gezien netjes, en het helpt andere onderzoekers om weer verder te komen met hun onderzoek. Maar zoals gezegd kan zo’n bron een persoon zijn: de naam van de persoon die de brondocumenten aanbood bijvoorbeeld, of de auteur van een boek waar je de gegevens in aantrof.

Wie iets overtypt uit een boek (of andere publicatie) zal gelijk denken, daar heb ik vast het citaatrecht voor nodig. En dat eist inderdaad dat je de bron, waaronder de naam van de maker noemt. Echter, dat geldt alleen als je iets overneemt dat anders het auteursrecht zou schenden. Typ je enkel feiten over (zoals een naam en geboortedatum) dan heb je niets met auteursrechten te maken en hoef je dus ook geen bron of maker/auteur te noemen.

Het mág natuurlijk wel, want ik snap goed dat het netjes voelt om een bron te noemen waar je je op baseert. Al is het maar dankbaarheid of een wetenschappelijke ethos. Maar dan kom je weer bij een andere wet terecht, namelijk die vermaledijde AVG die dat dan een verwerking van persoonsgegevens noemt en dan héél streng schijnt te doen over toestemming en recht te worden vergeten. Zit je dan met je ethos.

Gelukkig denk ik dat het specifiek hier wel meevalt. Het noemen van de naam van een bron zie ik als journalistieke verwerking onder de AVG, het is een vorm van feiten en informatie delen met het publiek immers. Daarmee zit je op het eigen belang (artikel 6 lid 1 sub f AVG) waardoor toestemming niet meer aan de orde is.

Natuurlijk moet je dan wel een privacy-afweging maken, maar als het gaat om een naam die de persoon zelf ook al publiek maakte bij een gelijksoortige publicatie dan heb ik héle grote moeite een te respecteren privacybelang te bedenken. Als er bijzondere redenen zijn, dan is dat wel iets om rekening mee te houden (artikel 21 AVG) maar dat is meer dan “ik vind het niet prettig”. En de persoon in kwestie moet zich dan eerst melden met die onderbouwde persoonlijke redenen.

Het verwijderrrecht geldt niet bij journalistieke verwerkingen (artikel 17 lid 3 AVG) en meer algemeen niet als jij gewoon een belang hebt bij publicatie. Wissen van gegevens moet pas als je ze eigenlijk toch al weg had moeten gooien.

Arnoud

Grote YouTube-kanalen moeten vanaf september Kijkwijzer hanteren

| AE 11767 | Ondernemingsvrijheid | 12 reacties

Nederlandse YouTube-kanalen met veel abonnees moeten vanaf september de Kijkwijzer hanteren, en leeftijdsaanduidingen en adviespictogrammen tonen. Dat meldde Tweakers onlangs. Wie niet meewerkt aan de Kijkwijzer, loopt het risico op boetes. Dit is het gevolg van Europese Richtlijn 2018/1808 die de Mediawet wijzigt, waardoor diensten als Youtube aangemerkt worden als ‘mediadienst op aanvraag’ en daarmee onder de Mediawet vallen. Waarmee dus meteen de vraag ontstaat wie zich dan aan die wet moet houden, is dat iedere vlogger, of alleen de grote jongens/meisjes met hun dikverdienende kanalen?

Het grote probleem bij diensten als Youtube is dat het in feite een tweetrapsraket is, in tegenstelling tot ‘gewone’ televisie. Daar is er een zenderbeheerder die programma’s kiest, en daarmee is er één partij die je kunt aanspreken op compliance-items als de Kijkwijzer of het niet uitzenden van voor minderjarigen ongeschikte dingen voor acht uur ’s avonds.

Bij Youtube werkt dat niet echt, omdat iedereen daar zelf kiest wat hij of zij uploadt. (Oh wacht even, zegt nu menig IT-er, dus als de televisie de zendercoördinator ontslaat en iedereen zijn eigen filmpjes laat uitzenden dan vallen ze ook buiten de Mediawet? Eh ja soort van, in ieder geval als je als toezichthouder dat tien jaar laat gaan onder het motto “het is maar internet” en dan merkt dat die bak met bagger-video’s zo groot is dat het niet meer te handhaven is. Sorry, mijn cynisme schoot even naar boven.)

Men lijkt er nu – na ook stevig onderhandelen met Google – uit te zijn dat wat Youtube doet, in principe wél onder de Mediawet gaat vallen. Althans, voor wie eigenlijk gewoon een eenmanstelevisiezender is. De grote commercieel ingestelde videomakers dus, niet de ‘hobbyisten’ zoals dat dan gelijk wat neerbuigend heet. Het Commissariaat heeft vooralsnog geen specifiekere richtsnoeren uitgevaardigd, dus ik zou voor nu aannemen dat als ik de inkomsten bij Youtube moet opgeven als inkomsten uit werk / overige arbeid bij de belastingdienst, of als ik bij de KVK ingeschreven sta, dat ik dan hier tegenaan loop.

Oh ja, en naast de Kijkwijzer is het dan ook wettelijk verplicht om te melden dat je kanaal reclame of productplaatsing bevat. Dat is nu eigenlijk alleen een aanbeveling uit de Reclamecode, die geen wet is.

Het wetsvoorstel ligt nu nog bij de Tweede Kamer, maar omdat we bij Richtlijnen als deze weinig te zeggen hebben, is er geen reden om te denken dat er dingen heel erg anders gaan worden tot aan de deadline.

Arnoud

Tesla schakelt features achteraf uit bij tweedehands auto, wat krijgen we nou?

| AE 11765 | Intellectuele rechten, Ondernemingsvrijheid | 10 reacties

Autofabrikant Tesla heeft bij de wederverkoop van een tweedehands Tesla enkele features uitgeschakeld, las ik bij The Verge. De wederverkoper had deze features per abuis meegekregen bij de aanschaf bij Tesla zelf(!), dus pardon wij komen even uw auto downgraden, sorry foutje bedankt. De wederverkoper zou niet hebben betaald voor die features “Enhanced Autopilot” en “Full Self Driving Mode”), maar ze stonden bij de aanbieding van Tesla zelf genoemd als inbegrepen. Wat natuurlijk diepgravende discussie oproept over de toekomst van de diensteconomie en het einde van eigendom. Toch?

The Verge maakt zelf al de vergelijking met de ouderwetse auto: als je daar een tweedehandsje koopt en er zitten mooie velgen op, dan is het vrij evident dat je die erbij krijgt. De fabrikant kan niet ineens eisen dat die teruggegeven moeten worden bij wederverkoop (bij huur wellicht wel, maar daar hebben we het hier niet over).

Dus waarom kan dat bij deze features wel? Nou ja, omdat ze software zijn en omdat Tesla dus kennelijk achteraf dingen kan wissen of uitschakelen in je auto. (Deze zin voelde wat beangstigend om te typen.) De reden daarvoor is dan kennelijk dat men na verkoop aan die wederverkoper ontdekte dat die features niet aan hadden mogen staan, dus dat werd bij nader inzien even gecorrigeerd.

Had dat bij een ‘gewone’ tweedehands gekund? Zeg maar, hij staat met dure velgen en een kinderzitje bij de fabrikant, een wederverkoper neemt ‘m mee en nadat hij deze weer verkocht heeft, belt de fabrikant dat dat zitje er helemaal niet in had moeten zitten. Dus of het even terug kan. Ik zou normaal zeggen dat de fabrikant dan pech heeft, in die omstandigheden mocht die wederverkoper vermoeden dat hij de auto met die velgen en met dat zitje kocht. Ook als dat niet expliciet in de advertentie of lijst met productkenmerken stond. En ook als ergens in de voorwaarden een voorbehoud van, eh, installatiefouten of ontbrekende informatie op de productkenmerken was opgenomen.

Het punt is natuurlijk dat dat nooit gebeurt. Het is nogal onlogisch dat iemand per abuis een kinderzitje plaatst of dure velgen onder een auto zet zonder dat dat de bedoeling is, maar zelfs als dat gebeurt dan is de schade zo klein dat het rechttrekken de moeite niet waard is. Dat schrijf je dan af en je wordt plichtmatig boos op je monteur, maar dat is het dan. Bij een ICT-dienst is corrigeren wél triviaal, je stuurt gewoon een update met een delete commando en de feature is weg.

Mag dat? Want ja, het einde van eigendom en alles wordt dienstverlening en dat is juridisch ongeregeld zeg ik altijd. Dat klopt, maar hier gaat het toch echt om een stukje verkoop, een stukje eigendomsoverdracht. Die wederverkoper kocht die auto, en mocht daarbij vertrouwen op de mededeling van de verkoper dat dit het ding was zoals hij het ging kopen. Dat daarbij een fout werd gemaakt, komt in principe voor rekening van de verkoper – tenzij de wederverkoper had moeten weten dat er iets niet klopte. En dat lijkt hier niet op te gaan.

Zorgelijk dus. Het krijgt nu herrie in de media, dus het zal wel teruggedraaid worden binnenkort. Maar daarna mag een jurist van Tesla hier wat van vinden, en komt er een disclaimer in de zakelijke contracten en een beperking in de EULA (zit er een EULA in je Tesla, eigenlijk?) die bepaalt dat dit mag. En dan kan het zomaar staande praktijk worden. Ik weet geen juridisch tegenargument in een zakelijke transactie tegen zoiets.

Arnoud

Legal tech gaat niets worden als je niet ook het declarabele uurtje afschaft

| AE 11762 | Innovatie | 6 reacties

Al jaren gaat het rond in de juridische sector: het wordt tijd om eens af te stappen van de billable hours oftewel het uurtje/factuurtje model. Klanten worden er nooit gelukkig van, het is een hoop gedoe voor medewerkers en het zou zo eenvoudig moeten zijn om gewoon een prijs te noemen. Maar toch blijft het… Lees verder

Die journalisten van Trouw hadden dikke mazzel dat ze een scoop vonden bij hun computervredebreuk

| AE 11749 | Ondernemingsvrijheid, Security | 24 reacties

Enkele KPN-medewerkers hebben zich intern kritisch uitgelaten over de door KPN ontwikkelde app WeGoEU. Dat las ik bij Tweakers. De kritiek luidt dat de app data van Chinese toeristen verzamelt en naar Chinese servers, en daarmee naar de Chinese overheid zou sturen. Oké, leuk nieuwtje maar het échte nieuws voor mij is dat Trouw dit… Lees verder

Rechter: Nintendo hoeft klanten geen kans te geven om pre-orders te annuleren

| AE 11751 | Ondernemingsvrijheid | 16 reacties

Nintendo is niet verplicht om een mogelijkheid te maken om pre-orders te annuleren, aldus Tweakers onlangs. De Duitse rechter bepaalde aldus in een proefproces van Duitse en Noorse consumentenorganisaties. Kern van de zaak is of je het “Ik doe afstand van mijn ontbindingsrecht”-vinkje ook mag inzetten bij een pre-order die pas veel later geleverd wordt…. Lees verder

Je zou denken dat die rechtszaak over SyRI niet nodig was geweest, zo logisch was die uitspraak (maar wel heel lang)

| AE 11759 | Regulering | 33 reacties

Het computersysteem dat de overheid gebruikt om fraude te ontdekken, schendt de privacy. Dat meldde NRC in de langverwachte SyRI uitspraak van de rechtbank Den Haag. Die wijst de inzet van SyRI door het UWV af omdat er geen onderbouwde noodzaak is. Logische uitspraak, zou je zeggen. Maar het is wel een héle dikke lap… Lees verder

Avast verkoopt data van gebruikers gratis antivirussoftware onder pseudoniem

| AE 11747 | Ondernemingsvrijheid, Privacy | 7 reacties

Beveiligingsbedrijf Avast verkoopt op grote schaal gepseudonimiseerde data van gebruikers van de gratis versie aan adverteerders. Dat meldde Tweakers vorige maand. Het gaat onder andere om de browsegeschiedenis, die onder andere aan grote bedrijven zoals Google, Microsoft, Pepsi en McKinsey wordt verkocht. Na enige herrie stopt men daarmee, want “Mensen beschermen is onze topprioriteit en… Lees verder

Met RPA klikt een robot op je knopjes #legaltechtuesday

| AE 11744 | Innovatie | 3 reacties

Legal tech gaat het juridische werk transformeren, lijkt mijn mantra te gaan worden. Nieuwe tools maken nieuwe manieren van werken mogelijk, en dat zal uiteindelijk zorgen voor een heel andere juridische sector. Waarschijnlijk met minder advocaten en meer andersoortige dienstverleners die juridische zaken erbij doen. In ieder geval de standaardzaken. Maar zo ver zijn we… Lees verder

Heb je nou voor pentesten óók al een verwerkersovereenkomst nodig?

| AE 11732 | Ondernemingsvrijheid, Privacy | 2 reacties

Wie penetration testing oftewel securityonderzoek naar binnendringmogelijkheden uitvoert, moet een verwerkersovereenkomst sluiten met zijn opdrachtgever. Dat maak ik op uit een recente Linkedinblog die me attendeerde op een uitspraak van de Saksische Autoriteit Persoonsgegevens van die strekking. Wat natuurlijk enige onrust gaf bij professionele pentesters, want je hébt al zo’n papierwinkel voordatje aan de slag… Lees verder