Account Archives - Pagina 2 van 4

“Als u uw account opheft, wordt alle informatie publiek zichtbaar’

Geplaatst op 6 november 20203 november 2020 in Ondernemingsvrijheid, 5 reacties

Vreemde mededeling bij hippepresentatiemaakdienst Prezi:

Wie komt er nou op het idee om te zeggen, als je je betaalde abonnement wilt opzeggen dan worden alle presentaties die je hebt gemaakt automatisch openbaar? Dat riekt naar, eh hoe zeg je dat netjes, een verwarrende UX beleving.

Prezi is een aantal jaar geleden groot geworden als online hip alternatief voor Powerpoint. De kern van hun presentaties is in- en uitzoomen, zodat je van het grote plaatje naar de details kunt en weer terug. Zo is de structuur duidelijker en weet je waar je zit, iets dat bij een 150-pagina Powerpoint iets lastiger is.

Prezi is gratis, maar dan zijn je presentaties openbaar. Wil je dat (en meer), dan neem je een betaald abonnement. Niet gek, maar wat er dan misgaat is als je dat betaalde abonnement op wil zeggen terwijl je nog presentaties in je account hebt. Prezi heeft namelijk bedacht dat je eigenlijk liever niet weggaat, dus je wordt bij opzegging automatisch omgezet naar een gratis dienstverlening en daar hoort dus die “your presentations will become viewable to anyone on the web” mededeling bij.

Ja dat vind ik raar, juridisch gezien. Als ik opzeg, dan eindigt mijn dienstverlening. Dan gaat mijn data dus weg, zou je zeggen. Dat is de consequentie van een beëindiging. En dat kan vervelend zijn – wellicht heb ik presentaties juist wél gedeeld met sommige mensen, of wellicht bedenk ik me zes maanden later – maar afgezien van daarvoor waarschuwen weet ik niet wat je daartegen wil doen.

Na de onvermijdelijke ophef (het is Twitter, alles is ophef) reageert Prezi snel met geruststellende woorden:

This copy does not reflect our policy – thank you for bringing this to our attention, and we’re currently fixing the mistake. Any private presentations created during your trial or paid subscription will remain private unless you change the privacy settings. Prezi offers free licenses, and when you cancel your trial or subscription, you’ll have the option to downgrade to a free license. After that, any new presentations created from the free license will be public.

De knop wordt dus aangepast, het gaat om nieuwe presentaties die je in dat gratis geworden account aanmaakt.

Ik zie dat de vraagsteller vervolgens speculeert of het verboden is wat Prezi doet. Als je weg wil, ga je weg. Omzetten naar een gratis account lijkt me dus in ieder geval een probleem onder de AVG, geredeneerd vanuit de persoonsgegevens van de accounthouder die dan blijven. Dat hoort niet, er is geen noodzaak meer voor de dienstverlening.

En ja, die truc zie je veel vaker bij gratis-met-premium diensten. Je neemt een betaald abonnement, zegt dat op en blijkt dan de gratis dienst te behouden. Die bestaat (in mijn cynische beleving) dan vooral uit je mailen dat de betaalde dienst fantastisch is en of je terug wilt komen.

Arnoud

Man verliest Microsoft-account (en alle data) vanwege gedoe over onbetamelijke foto

Geplaatst op 14 oktober 202013 oktober 2020 in Ondernemingsvrijheid, 57 reacties

Je krijgt ongevraagd een onbetamelijke foto toegestuurd, waarna Microsoft je levenslang verbant van al haar diensten. Dat meldde NRC afgelopen zondag. Want dat is terecht, zo vonniste de rechtbank: een man had een kort geding daartegen aangespannen maar krijgt zijn bestanden niet terug en mag ook zijn Microsoft-account nooit meer gebruiken. Althans, voor nu – de bestanden mogen niet weggegooid en er zal dus een bodemprocedure nodig zijn om echt uit te maken of Microsoft terecht handelde. Maar ja, je digitale leven mag dus worden geblokkeerd voor nu.

Het probleem begon in april dit jaar, toen de eisende man merkte dat zijn toegang tot zijn OneDrive account onmogelijk was, en Microsoft desgevraagd meldde dat er een “serious violation” was geweest van de Service Agreement. Doorvragen leverde slechts herhaling op van deze mededeling, waarna de man een advocaat inschakelde. Ook dat mocht niet baten, vandaar de rechtszaak.

Pas daarna kwam aan het licht dat de violation het feit betrof dat de eiser in een groepsapp van WhatsApp een foto gedeeld had gekregen die Microsoft als kinderpornografie aanmerkte. De foto was volgens eiser grappig bedoeld, toont niet werkelijk seks met kinderen maar “door het hele ongelukkige moment van afdrukken bij het maken van deze foto lijkt dat zo.” De rechtbank komt echter tot de conclusie dat de afbeelding ook dan kan kwalificeren als kinderporno, gezien internationale afspraken op dat gebied.

Microsoft heeft software draaien die het opslaan en vooral het delen van dergelijke foto’s detecteert. Een groot deel van het geschil ging over de vraag of de man deze afbeelding nu had gedeeld of niet. Hij zei van niet, Microsoft zegt van wel – en MS krijgt gelijk omdat de servicevoorwaarden zeggen dat je de foto niet mag hebben, ongeacht of je deze deelt. Een overtreding dus.

Dan krijg je de vraag, is de maatregel proportioneel. In juridische termen: de algemene voorwaarde die zegt dat je je gehele (betaalde) account geheel kwijt raakt, is onredelijk bezwarend bij één overtreding. Daarvan zegt de rechter, nee dat is niet zo: dit soort afbeeldingen zijn zeer ernstig en strafbaar, dus is een volledige vernietiging van het gehele account een gepaste reactie.

Uit het vonnis haal ik dat de man van de overige bestanden niets meer had gezegd dan dat ze emotionele waarde hebben. “Indien [eiser] naar voren zou hebben gebracht dat hij een of meer onderdelen van de bestanden dringend nodig had, dan zou de voorzieningenrechter dat belang bij de beoordeling kunnen betrekken maar [eiser] heeft dat niet gedaan.” Oftewel, als je als privépersoon alleen maar persoonlijke bestanden in de cloud hebt staan, dan heeft dat geen waarde en moet je niet klagen als ze worden vernietigd.

Ook een beroep op de AVG mag niet baten: weliswaar staat daar een recht op dataportabiliteit, maar dat geldt niet voor alle bestanden in je account. Je hebt alleen recht op een export van je persoonsgegevens, en een serie door jou gemaakte foto’s zijn op zichzelf geen persoonsgegevens van jou.

Het is een kort geding, dus voor uitgebreide discussie is geen plaats. Daarom verplicht de rechter Microsoft wel om de bestanden nu veilig te stellen, zodat de principiële discussie gevoerd kan worden bij de bodemrechter. Ik hoop heel erg dat dit ook snel gebeurt.

Arnoud

PS: links naar de betreffende afbeelding of suggesties hoe deze te vinden leiden tot een levenslange ban op deze blog. Geen grap.

Ook met auteursrecht krijg je je forumposts niet zomaar weg

Geplaatst op 5 juni 202030 mei 2020 in Uitingsvrijheid, 21 reacties

Een lezer vroeg me:

Wij hebben ruzie met een forumgebruiker die boos is vertrokken en nu eist dat zijn posts worden weggehaald. Hij stelt dat dat moet op grond van zijn auteursrecht. De licentie is beëindigd met zijn vertrek en dus schenden we zijn rechten door de posts te laten staan. We hebben inderdaad niets over licenties in onze forumregels maar werkt dat dan echt zo?

De meeste mensen die hun posts verwijderd willen na vertrek (of na een ban, dat ook) doen dat op grond van de AVG, of vroeger dan de Wbp. Het argument is dan dat die posts persoonsgegevens zijn. Maar zowel de Wbp als de AVG bieden geen grondslag voor het laten verwijderen van je eigen posts. Hooguit kun je verlangen dat je naam wordt verwijderd. Maar in de kern is hier het belang van de informatievrijheid hoger dan het privacybelang op grond waarvan je verwijdering zou willen.

Dan heb je dus slimmeriken die redeneren, mijn post is een creatief werk (“een eigen intellectuele schepping” of voor ouderwetse juristen “oorspronkelijk en draagt het stempel van de maker” maar dat mag je niet meer zeggen van Europa) en dus heb ik het auteursrecht. Auteursrecht kun je alleen bij akte overdragen – dus met handtekening – dus dat forum heeft nooit de auteursrechten verkregen. En als ik wegga, eindigt de licentie oftewel het gebruiksrecht en dan moeten ze stoppen.

Nou ja, ja en nee. Het klopt dat je auteursrecht hebt op je forumbijdragen, als ze het niveau van een trivialiteit overstijgen. Ook klopt het dat een forum de rechten niet kan opeisen, ongeacht hoe veel woorden in de AV of TOS ze daar aan besteden. Zonder handtekening blijven je auteursrechten bij jou. (Dit geldt ook bij Facebook, Instagram en al die andere clubs waarvan wordt beweerd dat je je rechten kwijt bent als je er post.)

Alleen die licentie, hoezo is die ineens opgezegd? Toen je het bericht plaatste, wat is er tóen gezegd over de duur van de licentie? In dit geval dus niets, want in de voorwaarden stond niets over auteursrecht. Maar de wet zegt niet dat licenties dan eindigen omdat jouw account opgeheven wordt. Je hebt een overeenkomst, en naast wat er staat, geldt ook wat volgt uit de redelijkheid, de gewoonte en de wet.

Er is nul jurisprudentie hierover maar ik ben er stellig van overtuigd dat het onredelijk is om aan te nemen dat die licentie per direct vervalt als je weggaat. Of als je verbannen wordt, wat dat betreft. Je post niet in een vacuüm maar doet mee aan discussies. Die moeten ook later nog leesbaar zijn, dus de enige redelijke interpretatie is dat je post er permanent moet gaan staan.

Je kunt ook zeggen: altijd en overal (oké, 90+% van de gevallen) blijven posts staan na verdwijnen van de accounthouder, dus het is gewoon de gewoonte op internet dat die dingen blijven staan.

Dan kun je nog zeggen, bij een vrijwillig vertrek oké maar wat als je verbannen wordt? Dan wil je niets meer met dat forum te maken hebben (en/of zij niet meer met jou), en die bijzondere omstandigheid zou een tussentijdse opzegging mogelijk maken. Dat zie ik niet. Het punt hierboven – men moet later de discussie kunnen blijven volgen – staat los van waarom je weggaat en welke relatie je tot het forum hebt na het vertrek. Je deed mee, dat is een historisch feit.

Heel misschien als er zeer bijzondere persoonsgebonden redenen zijn. Maar dat zou voor mij op het niveau zijn van “ik leed aan een psychische stoornis toen ik die posts deed” of wellicht “ik was minderjarig en dom toen ik dat schreef”, echt zeer de uitzondering. Dan zou ik weghalen wel zien.

Arnoud

Rechter dwingt ex-werknemer om wachtwoord Facebookpagina af te staan

Geplaatst op 23 oktober 201921 oktober 2019 in Ondernemingsvrijheid, 14 reacties

Een voormalig medewerkster van een dierenopvangtehuis moet het wachtwoord en beheer van een Facebookpagina overdragen aan haar voormalige werkgever, meldde Security.nl onlangs. Dit op gezag van de rechtbank Gelderland die dat bepaalde, versterkt met een dwangsom van 1000 euro per dag dat ze dit niet. De Facebookpagina was tijdens haar dienstverband aangemaakt en draagt de naam van het dierenopvangtehuis, waardoor de pagina uiteindelijk gezien werd als het ‘eigendom’ (quotes want het is dienstverlening) van de werkgever. Deze uitspraak voegt weer een mooie nuance toe aan het debat over van wie een pagina is.

De vrouw was van 1 december 2008 tot 1 augustus 2019 in dienst bij Dierenopvangtehuis, met als taak beheerder van het dierenasiel. In 2011 maakte zij vanuit haar eigen Facebookaccount een pagina aan die met de titel verwees naar de werkgever, en waar ze werkgerelateerde zaken postte maar ook haar eigen mening als beheerder gaf. De werkgever was daarvan op de hoogte, las mee en sprak haar soms aan op dingen die haar niet beviel. Ook werden er afspraken over tijd voor die Facebookpagina gemaakt in het werk.

Na uitdiensttreding verzocht de directeur om overdracht van de pagina, wat de vrouw weigerde. Zij paste wel de naam en het logo aan, maar de werkgever was het daar niet mee eens en stapte uiteindelijk naar de rechter met als eis de overdracht van de pagina aan haar. Het was immers een werkgerelateerde pagina en dus eigendom van het werk.

Net als bij die uitspraak in maart zet de rechter voorop dat wie een pagina aanmaakt, daar de beheerder/eigenaar van is (mantra: er is geen eigendom, het is dienstverlening). Dat kan anders worden als dit in opdracht van een ander is gebeurd of je geacht moet worden deze te hebben afgestaan. In maart werd dat vrijwel hetzelfde geformuleerd, alleen dan met “bindend toezeggen”, wat daar gezien de vrijwilliger-stichting relatie logischer was.

In dit geval is doorslaggevend dat de werknemer de pagina had aangemaakt terwijl ze in dienst was, met naam en logo van de werkgever erop. Ze postte daar (vrijwel) alleen werkgerelateerde zaken, en liet zich instrueren over wat er wel en niet op mocht – ook in gevallen waarin ze het er eigenlijk niet mee eens was. Ook werd ze op zeker moment vrijgesteld van werk zodat ze de Facebookpagina kon onderhouden. Dat alles ruikt wel heel erg naar een pagina onderhouden voor je werk.

Iets juridisch preciezer: de werkzaamheden op de Facebookpagina waren in de hoedanigheid van werknemer gedaan, zodat ze voor rekening van de werkgever komen en deze daarmee houder van het account is. Zou ik zeggen. Maar hoe dan ook, de eindconclusie is dat de ex-werknemer moet zorgen dat de werkgever beheerder wordt van deze pagina, en dus wel op straffe van een dwangsom van 1000 euro per dag.

Net als bij vrijwilligers lijkt het me zeer verstandig als werkgever om dergelijke accounts zo snel mogelijk naar een functioneel mailadres van IT-beheer over te zetten, of op zijn minst zo snel mogelijk per mail of schriftelijk duidelijk te maken dat het account werkgerelateerd is. Krijg je dan gelazer, dan heb je het zo snel mogelijk te pakken. En natuurlijk eis je dat er altijd twéé beheerders zijn, zodat het ontslag van eentje niet zo snel tot problemen leidt.

Arnoud

Ben ik strafbaar als ik per ongeluk inlog bij mijn ex?

Geplaatst op 13 juni 201910 juni 2019 in Privacy, Regulering, 27 reacties

Een lezer vroeg me:

Recent heb ik mijn ex de deur uit getrapt omdat ze was vreemdgegaan. Wij deelden alles, dus ook telefoonwachtwoorden en zo kwam ik per toeval erachter. Nu heb ik recent per ongeluk nog eens ingelogd op haar Instagram, omdat dit wachtwoord onthouden was door mijn browser. Zij heeft nu aangifte gedaan van stalking en computervredebreuk. Ben ik strafbaar? Zij had toch haar wachtwoord even kunnen wijzigen?

Het is strafbaar als computervredebreuk om opzettelijk en wederrechtelijk binnen te gaan in andermans geautomatiseerd werk (art. 138ab Strafrecht). Per ongeluk ergens inloggen is dus niet strafbaar, omdat dan de opzet ontbreekt.

Het moet wel echt een ongeluk zijn, en een inlog op Instagram gaat volgens mij niet zó zeer automatisch dat je zonder enige bewuste handeling ineens in dat account zit. Misschien als je ingelogd blijven had aangevinkt. In ieder geval heb je de schijn fors tegen, zeker als je meer hebt gedaan dan één pagina openen en zien dat zij ingelogd was en daarna uitloggen.

Daarnaast zit je met die wederrechtelijkheid. Als je ergens mag zijn, dan heb je een recht en dan handel je niet wederrechtelijk. Als je in een relatie alles deelt, en dus ook wachtwoorden en tandenborstels, dan vind ik dat je niet kunt spreken van “wederrechtelijk” inloggen ook al staat het account formeel op naam van je partner.

Dat ‘recht’ om bij elkaars spullen te kunnen, eindigt natuurlijk met de relatie. Dus vanaf dat moment is het weer haar tandenborstel en haar Instagram, en niet meer de jouwe. Je moet er dan vanaf blijven. Dat zij het wachtwoord had kunnen aanpassen is niet relevant, net zo min als ze haar voordeurslot niet verandert – je mag nog steeds niet naar binnen in haar huis.

Arnoud

Een Facebookpagina is van de vrijwilliger die hem aanmaakt

Geplaatst op 26 maart 201920 maart 2019 in Intellectuele rechten, Uitingsvrijheid, 12 reacties

Wanneer een vrijwilliger uit eigen beweging een Facebookpagina (of groep) aanmaakt, dan is die van hem en niet van de vereniging. Dat maak ik op uit een recent vonnis uit Rotterdam over de beheerrechten (“eigendom”) van een Facebookpagina van een lokale politieke partij. Die had een geschil met een ex-lid die de officiële verenigingspagina en een aanverwante Facebookgroep niet af wilde geven. Alleen als er een expliciete opdracht was, of specifieke afspraken over eigenaarschap, dan kan dat anders worden. Komt er vervolgens een geschil en loopt de ex-vrijwilliger weg met de pagina, dan heb je dus als vereniging geen poot om op te staan.

De politieke partij ONS.Vlaardingen had een conflict met het uit de fractie gezette raadslid Tim Thiel: die weigerde de beheerrechten van de ONS-Facebookpagina’s af te staan. Hij zag deze pagina’s als zijn persoonlijke investering en succes, en weigerde ze af te staan aan de partij. Deze stapte daarop naar de rechter, die nu dus het ex-lid gelijk geeft.

Uit het vonnis haal ik dat de Facebookpagina van de partij in 2014 is aangemaakt ten behoeve van de partij (maar niet door wie). Het ex-lid had in 2017 de Facebookpagina in beheer gekregen, opnieuw vormgegeven en stevig gewerkt aan promotie: het aantal volgers steeg van 340 naar meer dan 2000. Later, in 2018, maakte hij nog een Facebookgroep aan ter ondersteuning van de partijpagina.

Eind 2018 werd hij uit de fractie gezet, waarna men de toegangscodes en beheerrechten van de twee pagina’s opeiste. Na een eerste mail met toezegging gebeurde dat niet, integendeel. De man verwijderde volgers van de pagina om terug te komen naar de 340 originele, veranderde het mailadres, en maakte van de naam van de pagina en de profielfoto iets stekeligs (geen idee wat maar iets met poppenkastpoppen en een sneer naar de fractievoorzitter). Daarna stapte de vereniging naar de rechter.

De vraag is juridisch nog knap ingewikkeld, wat ís een Facebookpagina eigenlijk, juridisch? Je kunt erop afstuderen: is het een overeenkomst van opdracht, een licentie onder Facebook’s gebruiksrechten, een vermogensrecht dat je schept, of ga zo maar door?

De voorzieningenrechter had haast gezien de aard van de zaak, en gaat er dus niet in detail op in. Heel pragmatisch is dan ook de conclusie: degene die een pagina aanmaakt is in beginsel de beheerder (“eigenaar”) van die pagina, tenzij er concrete opdrachten zijn gegeven of je bindend hebt toegezegd deze over te dragen.

Die tenzij gaat op bij de pagina van de partij zelf. Deze is immers in 2014 aangemaakt voor de partij, en pas drie jaar later is het ex-lid gevraagd beheer daarvan te doen. Dat is dus werk in opdracht aan andermans pagina. Of hij zelf auteursrechten kan claimen op zaken daar geplaatst (en daarmee de overdracht of gebruik door de partij kan frustreren) laat de rechtbank even buiten beschouwing.

Voor de groep komt het anders uit. Het uitgangspunt blijft hetzelfde, maar deze groep is op eigen initiatief door het ex-lid aangemaakt, waarbij hij zichzelf als beheerder presenteerde en de groep niet als officieel of namens de partij aangemerkt had. Daarmee is er dan te weinig om te spreken van een groep die eigenlijk van de partij had moeten zijn. Het beheer over die groep hoeft hij dus niet terug te geven, ook niet nu hij uit de partij is gezet.

Ik blijf er op hameren dat als je als vereniging of stichting met vrijwilligers werkt voor je online activiteiten, je maar beter gewoon afspraken met ze kunt maken op papier. Of regel meteen dat een functioneel account (zoals bestuur@ of penningmeester@ of pr@) het beheer heeft op dergelijke pagina’s) zodat een aangewezen vrijwilliger niet met zijn account weg kan lopen met je pagina’s.

Arnoud

Valt mijn account onder de fiscale bewaarplicht?

Geplaatst op 5 februari 20185 februari 2018 in Ondernemingsvrijheid, 17 reacties

Een lezer vroeg me:

Bij een webwinkel heb ik gevraagd mijn account te verwijderen, omdat ik er al tijden niets meer koop. Zij weigeren dit met het argument dat de gegevens nodig zijn voor de fiscale bewaarplicht. Klopt dat?

Iedere ondernemer is wettelijk verplicht zijn administratie 7 jaar te bewaren, zo omschrijft de Belastingdienst de fiscale bewaarplicht. Doel van deze wettelijke plicht is dat men daarmee je financiële positie en je transactiegeschiedenis als bedrijf kan achterhalen bij een boekencontrole. Daarom moet je onder meer je facturen en bijbehorende contracten bewaren, net als tussentijdse rekeningen en het kasboek.

Een webwinkel heeft vaak geen aparte stapel getekende aankoopbonnen en facturen, maar registreert dat in het account van de klant. Ook handig voor de klant, die kan dan zijn bestellingen terugzoeken en eventueel de factuur downloaden, bijvoorbeeld om een garantieclaim mee te onderbouwen.

Wanneer een onderneming elektronisch de aan- en verkopen registreert, vallen dergelijke gegevens onder die fiscale bewaarplicht. Die factuur in dat account van die klant moet dus bewaard worden, net als de ‘overeenkomst’, de registratie van de bestelling. Die informatie zit in het klantaccount maar valt nog steeds onder die fiscale bewaarplicht. Vanuit dat standpunt is het bewaren daarvan dus begrijpelijk.

Alleen, in een account kun je nog meer handige dingen doen, zoals je in- of uitschrijven voor de nieuwsbrief of dingen op je verlanglijstje zetten. Die informatie valt buiten de bewaarplicht, maar is persoonsgebonden en moet dus weg zodra deze niet meer van belang is.

Ook is het vaak mogelijk vanuit het account snel nieuwe bestellingen te doen, bijvoorbeeld met bewaarde betaalgegevens zoals een automatische incasso, een opgebouwd tegoed of een gekoppelde creditcard. Ook die mogelijkheid moet uit te schakelen zijn.

Voor webwinkeliers is het vanuit de software soms alles of niets: het hele account met alle gegevens kan weg, maar het is vaak niet mogelijk om te zeggen dat aankoophistorie en facturen wél maar interesseprofielen, betaalmogelijkheden en verlanglijstjes niét moeten worden bewaard. Die software is dan niet privacy by design, en dat maakt het problematisch deze verplichting goed na te komen.

Dit geldt natuurlijk ook voor andere diensten met accounts, maar je moet per dienst dan kijken wat er onder het account bewaard wordt en of dat fiscaal relevant is (of vanuit een andere wettelijke bewaarplicht). Bij een hoster zou ik bijvoorbeeld weinig meer verwachten dan facturen en dergelijke administratie, dus daar zou ik eerder het gehele account onder de bewaarplicht rekenen. Maar bij bijvoorbeeld een chatdienst of forum worden dingen gepubliceerd, en dat is natuurlijk totaal niet fiscaal van belang.

Meelezende webwinkeliers, hoe makkelijk is het in jullie software om accounts bijvoorbeeld onzichtbaar te maken maar wel de aankoophistorie met betaalinformatie te bewaren?

Arnoud

Mag ik een klant persoonsgegevens over zijn logins verschaffen?

Geplaatst op 30 oktober 201723 oktober 2017 in Informatiemaatschappij, Security, 8 reacties

Een lezer vroeg me:

Wij zijn een clouddienstverlener voor bedrijven. Met enige regelmaat krijgen wij vragen van klanten over logingedrag. Wie logde er na 18 uur nog in, vanaf welk IP-adres is gistermiddag toegang tot de database gezocht en ga zo maar door. Omdat dit persoonsgegevens zijn, wil ik graag weten hoe dat zit onder de wet (en natuurlijk de AVG). Mogen wij deze informatie geven?

Logingedrag is inderdaad te classificeren als persoonsgegevens. Het gaat over een persoon – de gebruiker van het account – en zegt iets over zijn gedrag, zoals wanneer hij in- en uitlogde of wat hij deed in de tussentijd. En die data aan anderen geven mag niet zomaar, dus wat dat betreft is de zorg van de vraagsteller terecht.

Het gaat hier alleen om een bijzondere situatie, namelijk de afnemer van de dienst waar de accounts bij horen. In die specifieke situatie vind ik het eerder gerechtvaardigd dat die afnemer informatie krijgt over het daadwerkelijk gebruik. Je mag gevoeglijk aannemen dat de gebruikers van de accounts werknemers of andere hulppersonen van die afnemer zijn, en dat geeft dan een redelijk belang om in beginsel bij die gegevens te kunnen.

Ik zou hooguit twijfelen als de actie specifiek privacygevoelig is, denk aan een online agenda waar iemand een afgeschermde privéafspraak naar de tandarts in noteert. Maar dat zou de uitzondering zijn en niet de regel.

De clouddienstverlener zou natuurlijk kunnen zeggen, het is niet mijn taak hierop te letten, want ik ben slechts bewerker / verwerker in opdracht. Dat klopt natuurlijk, maar een verwerker heeft onder de AVG wel degelijk een zorgplicht om na te gaan of hij wel binnen de wet handelt. Hoewel de verwerkingsverantwoordelijke de doelen en middelen van de verwerking bepaalt en daarbij instructies geeft ontslaat dit de verwerker niet van de plicht het te melden wanneer naar zijn mening de instructie in strijd is met de AVG of andere wetgeving over persoonsgegevens. Hij mag dus weigeren de gegevens te geven als het verzoek daarom duidelijk niet door de beugel kan.

Arnoud

Is het verkopen van Netflixaccounts nu ook al auteursrechtinbreuk?

Geplaatst op 10 augustus 20177 augustus 2017 in Intellectuele rechten, 11 reacties

Stichting Brein heeft een schikking van 10.000 euro getroffen met een 26-jarige man uit Zwolle, die op zijn website logins verkocht voor verschillende streamingdiensten. Dat meldde Tweakers maandag. De man haalde de data uit uitgelekte databases en verkocht de logins voor een fractie van de prijs van een abonnement. Nu is het natuurlijk computervredebreuk om andermans account te gebruiken, maar daar gaat Brein niet over. Dus is dit nu auteursrechtinbreuk of wat gebeurt hier?

De truc van deze man is op zich vrij simpel. Met de regelmaat van de klok worden accounts of wachtwoorden gelekt, en die blijken dan ook te werken bij streamingdiensten zoals Netflix. Niet iedereen heeft dat door, onder meer omdat je bij dergelijke diensten vaak vanaf meerdere IP-adressen tegelijk ingelogd mag zijn. Een handige jongen kan dan dus op andermans account video’s streamen.

Uit het Tweakersartikel haal ik dat Brein deze aanpak ziet als inbreuk op auteursrecht. Ik dacht eerst het faciliteren of aanzetten van, omdat die mensen die de streams bekijken aan te merken zijn als illegale downloader (downloaden is hetzelfde als streamen, juridisch gezien). Maar dat lijkt het niet te zijn.

In 2014 bepaalde het Hof van Justitie in het Svensson-arrest dat hyperlinken legaal is. Maar ze maakten daarbij een voorbehoud:

Indien daarentegen een aanklikbare link de gebruikers van de website waarop deze link zich bevindt, in staat stelt om beperkingsmaatregelen te omzeilen die op de website waar het beschermde werk zich bevindt zijn getroffen teneinde de toegang van het publiek te beperken tot de abonnees ervan, en aldus een interventie vormt zonder welke die gebruikers niet zouden kunnen beschikken over de verspreide werken, dienen al deze gebruikers te worden beschouwd als een nieuw publiek dat door de houders van het auteursrecht niet in aanmerking werd genomen toen deze toestemming verleenden voor de oorspronkelijke mededeling, zodat de toestemming van de houders vereist is voor een dergelijke mededeling aan het publiek.

Bij het lezen van deze uitleg denk ik in eerste instantie aan het delen van sessie-URLs of iets dergelijks, zodat een ander direct in mijn account terecht komt. Of een deeplink die tevens authenticatie-elementen bevat zodat de aanklikker meteen ingelogd wordt en de beperkte toegang krijgt. Dat is ergens nog wel te begrijpen, als kleine nuance op de hoofdregel “het staat legaal online dus je mag er naar linken”.

Maar Brein gaat verder als ik het goed begrijp: “www.netflix.com” en mijn gebruikersnaam/wachtwoord zijn als combinatie hetzelfde als die “aanklikbare link” die je “in staat stelt om beperkingsmaatregelen te omzeilen”. Daar moet ik toch even mijn wenkbrauwen juridisch van fronsen.

Misschien dat men doelde op het Sanoma-arrest, dat bepaalt dat welbewust linken naar illegaal geplaatste content illegaal is?

Wanneer daarentegen vaststaat dat een dergelijke persoon wist, of moest weten, dat de door hem geplaatste hyperlink toegang geeft tot een illegaal op internet gepubliceerd werk, bijvoorbeeld doordat hij daarover gewaarschuwd is door de auteursrechthebbenden, moet ervan uitgegaan worden dat de verstrekking van die link een „mededeling aan het publiek” in de zin van artikel 3, lid 1, van richtlijn 2001/29 vormt.

Alleen heb je hier hetzelfde probleem: is een websitenaam met login wel hetzelfde als een hyperlink? Ik betwijfel het.

Uiteindelijk is het een schikking, en daar kun je geen juridische argumenten aan ontlenen. En de vraag is wie er zin heeft om hier wél een juridisch argument van te maken. Maar iets rammelt hier. Tim, kom er maar in.

Arnoud

Duitse rechter ontzegt ouders toegang tot Facebook van overleden tiener

Geplaatst op 7 juni 20172 juni 2017 in Informatiemaatschappij, 23 reacties

Een rechtbank in Duitsland besluit dat de ouders van een overleden tiener geen toegang krijgen tot haar Facebook-account. Dat las ik bij Nu.nl. Het vijftienjarige meisje van wie het account is, overleed in 2012 na aanrijding met een trein. De ouders proberen vast te stellen of het om zelfmoord ging, maar de rechtbank oordeelt nu dat zij geen rechten hebben op het account omdat het hier gaat om persoonsgebonden dienstverlening die eindigt met de dood van de afnemer. Pijnlijk, maar wederom: dat krijg je ervan, van die diensteneconomie.

We denken over dingen als accounts vaak als eigendom, als fysieke dingen. Maar gebruik van Facebook is een dienst, en het account is niet meer dan een bioscoopticket: het bewijst dat je recht hebt op gebruik van die dienst.

Er is geen algemene regel dat een contract eindigt met je dood. Je moet echt per type contract gaan kijken wat de wet daarover zegt. In dit geval komen we dan uit bij de overeenkomst van opdracht, en daarover zegt art. 7:410 BW:

De dood van de opdrachtgever doet de opdracht slechts eindigen, indien dit uit de overeenkomst voortvloeit, en dan eerst vanaf het tijdstip waarop de opdrachtnemer de dood heeft gekend.

In principe loopt een Facebook-dienstcontract dus door tenzij in het contract staat dat het eindigt door overlijden van de gebruiker. Echter, de Facebook TOS, het betreffende contract, zegt niets over die situatie. Er is wel een FAQ daarover maar die noemt alleen de opties van omzetten naar een Memorial pagina of het opheffen van een account.

Dat lijkt me dan leidend: de dienst loopt juridisch dus door na overlijden als je de Memorial-optie hebt gekozen, maar wel binnen de daarop van toepassing zijnde beperkingen. De belangrijkste daarbij is dat niemand meer in kan loggen op het account, dus voor toegang tot berichten en dergelijke is dit niet genoeg. Maar zoals wel vaker gezegd: data is niets, dus ook berichten op Facebook niet. Je hebt geen recht op toegang tot die berichten tenzij contractueel afgesproken.

Dus nee, ik zie geen optie voor deze mensen om (naar Nederlands recht) bij die berichten van hun kind te kunnen. Dit is waar een social media testament (een wachtwoordenboekje met “Te openen in geval van mijn dood”) van belang voor is, maar dat is in de relatie ouder-kind denk ik lastig te realiseren.

Arnoud