Tag: afgifte

About afgifte

Subscribe Feeds

Heb ik onder de AVG recht op beelden van de diefstal van mijn motorfiets?

Geplaatst op in Privacy, 21 reacties

Een lezer vroeg me:

Enkele dagen geleden is mijn motor gestolen die voor mijn huis geparkeerd stond. De plaatselijke supermarkt heeft dit feit opgenomen met één van hun beveiligingscamera’s. Heb ik recht op inzage?

Het recht op inzage in camerabeelden komt uit de Algemene Verordening Gegevensbescherming, en geldt dus alleen voor camerabeelden waar jouw persoonsgegevens in opgenomen zijn. Kort gezegd: alleen als je in beeld bent, heb je recht op de beelden.

Een afbeelding van een huis of motorfiets is als zodanig geen persoonsgegeven, omdat die objecten niet tot jou te herleiden zijn. Alleen heel indirect, als het adres van het huis zichtbaar is dan zou je via het Kadaster bij jou als eigenaar uit kunnen komen. En voor een motorfiets zou hetzelfde gelden via het nummerbord en de RDW. Maar of dat genoeg is voor inzage van die beelden, betwijfel ik zeer.

Zelfs als je de beelden ter inzage krijgt, dan nog zit je met een probleem. De beelden van de daders van de diefstal zijn hún persoonsgegevens, en jij hebt daar in principe geen recht op. De supermarkt zou die beelden dus moeten pixelen voordat jij ze krijgt, onder je recht van inzage.

De AVG biedt echter een escape: het “verwerken van persoonsgegevens”, hier dus het afgeven van de beelden, mag als er een eigen legitiem belang is bij jou als ontvanger. Aangifte kunnen doen van de diefstal lijkt me evident zo’n belang. Dan kom je in de belangenafweging van de AVG terecht, en die zou best in jouw voordeel uit kunnen vallen als de beelden inderdaad overtuigend zijn.

Een risico voor de supermarkt is dat jij de beelden voor andere doeleinden gaat gebruiken, bijvoorbeeld op internet publiceren met een “Wie deze motor buitengerechtelijk terughaalt, krijgt 1000 euro van me” tekstje er bij. Dat is een probleem want dat is geen legitiem doel, en zij zijn dan aansprakelijk voor de schade bij de huidige houder van de motorfiets. Ik vermoed dat zij dat risico niet willen lopen. Praktisch gezien kom je dan ook uit bij dat ze de beelden niet aan jou mogen geven, maar dat je ze wel moet kunnen bewegen tot aangifte. Of dat jij aangifte doet en meldt dat de supermarkt beelden heeft, die de politie dan kan vorderen.

Arnoud

Duitse pornoboer jaagt op Nederlandse downloaders

Geplaatst op in Intellectuele rechten, Ondernemingsvrijheid, 22 reacties

class-a-ip-address.pngUPC hoeft vooralsnog de identiteit van klanten die porno downloadden niet te verstrekken, las ik bij Webwereld. Een Duits pornobedrijf had bij de internetprovider de NAW-gegevens geëist van IP-adressen die bij UPC-klanten in gebruik waren. Uit het vonnis blijkt waarom UPC dit niet hoeft: er was simpelweg geen flintertje fatsoenlijk bewijs.

In beginsel is een internetprovider al een hele tijd verplicht NAW-gegevens van klanten af te geven als blijkt dat die klanten zich schuldig maken aan onrechtmatig gedrag en er niemand anders dan de provider ze kan identificeren. Dat geldt natuurlijk ook voor downloaden uit illegale bron, nu dit illegaal blijkt te zijn. Dus op zich niet zo gek dat bedrijven dergelijke claims gaan indienen.

UPC had een interessant verweer: die hoofdregel uit het Lycos/Pessers gaat hier niet op, want gezien de aard van de films zouden er gegevens over seksuele voorkeurens van die klanten afgegeven mogen worden. En dergelijke gegevens vallen onder een strenger regime dan normaal onder de Wet bescherming persoonsgegevens. De rechter vindt echter dat deze link te vergezocht is, omdat het primair gaat om “gegevens van commerciële aard”.

Een ander verweer van UPC had meer succes. De uitgeversnamen op de hoesjes zijn een andere dan de eisende partij hier. En partij A kan niet claimen wegens inbreuk op auteursrecht van partij B, dus hoe zit dat? Het antwoord van het filmbedrijf is wat onduidelijk.

Ook blijkt er volgens UPC te kunnen worden getwijfeld aan de juistheid van de tijden bij de verzamelde IP-adressen. Omdat die snel kunnen wijzigen, is het belangrijk zeker te weten dat de tijden kloppen, anders pak je (haha) de verkeerde. De rechter wil geen uitspraak doen over de juistheid van de gebruikte tool, omdat er geen onafhankelijke IT-deskundige in de zaal was.

Nadat tevens verwarring was gezaaid over het onderscheid tussen seeders en downloaders en de vraag of streamen eigenlijk wel onder het downloadverbod valt (ehh), heeft de rechter er genoeg van: jongens, we zitten hier om in kort geding een snelle uitspraak te doen, en dit is gewoon té moeilijk met al deze onduidelijkheden en technische complexiteit. De eis wordt dan ook niet toegewezen en de pornoboer mag zijn juridisch huiswerk opnieuw doen.

Arnoud

Moet ik het IP-adres of emailadres van mijn gebruiker afgeven als hij auteursrechten schendt?

Geplaatst op in Ondernemingsvrijheid, 46 reacties

Een lezer vroeg me:

Op ons forum worden wel eens foto’s geplaatst zonder toestemming. Op klacht haal ik die netjes weg. Maar nu wil een fotograaf van mij de naam en (woon-)adresgegevens van een forummer. Moet ik dat geven? En adresgegevens héb ik helemaal niet!

Een forumexploitant is in beginsel niet aansprakelijk voor wat de leden doen, mits hij maar netjes op klachten reageert. Dit kan anders worden als hij of zijn moderatoren zelf actief bemoeienis hebben bij het onrechtmatig gedrag, bijvoorbeeld door op te roepen tot het publiceren van inbreukmakende foto’s.

Een fotograaf zal dus in beginsel een schadeclaim moeten indienen bij de forumgebruiker, die heeft immers de auteursrechten geschonden. Maar dat kan eigenlijk niet zonder te weten waar deze gebruiker woont. Op zich dus een logische vraag van deze fotograaf.

Veel mensen denken dat zulke gegevens niet mogen worden afgegeven zonder gerechtelijk bevel, of dat alleen Justitie dit mag opvragen. Dat is onjuist: een benadeelde private partij (zoals een fotograaf) mág persoonsgegevens van een inbreukmakende gebruiker opvragen bij een provider (of forumbeheerder), mits aan bepaalde eisen is voldaan. Werkt de provider dan niet uit zichzelf mee, dan handelt hij onrechtmatig. Dat bepaalde de Hoge Raad in het Lycos/Pessers-arrest. Hierbij geldt een vierstappentoets:

  1. de mogelijkheid dat de informatie, op zichzelf beschouwd, jegens de derde onrechtmatig en schadelijk is, is voldoende aannemelijk;
  2. de derde heeft een reëel belang bij de verkrijging van de NAW-gegevens;
  3. aannemelijk is dat er in het concrete geval geen minder ingrijpende mogelijkheid bestaat om de NAW-gegevens te achterhalen;
  4. afweging van de betrokken belangen van de klager, de serviceprovider en de gebruiker (voor zover kenbaar) brengt mee dat het belang van de derde behoort te prevaleren.

We weten uit het 123video-arrest dat deze toets streng moet worden uitgelegd. Belangrijkste is eigenlijk dat er geen andere optie is dan het deze partij te vragen, je moet alle andere wegen hebben bewandeld.

Een andere eis is dat de provider een essentiële rol moet spelen. Hier struikelde Brein in mei over in een zaak tegen de ING. Een bank speelt geen essentiële rol bij onrechtmatig faciliteren van auteursrechtinbreuk enkel omdat op de faciliterende site om donaties wordt gevraagd en een bankrekeningnummer genoemd staat.

Hier lijkt het me echter dat in beginsel aan de eisen is voldaan. Een forumbeheerder heeft een vrij essentiële rol bij een auteursrechtinbreuk op het forum, er is zelden tot nooit andere informatie over wie de gebruiker is, en een auteursrechtclaim is al snel te onderbouwen tot een voldoende aannemelijk niveau. De belangenafweging kan een rol spelen: denk aan iemand die kritisch is over de fotograaf en daarbij een foto toont als ondersteuning. Maar dat lijkt me onwaarschijnlijk.

Het probleem is hier echter veel basaler: de forumbeheerder hééft zelden tot nooit de relevante informatie. Ja, een IP-adres vanaf waar de foto werd geplaatst en een emailadres dat gekoppeld is aan het account. Maar wat heb je aan een IP-adres van meer dan een half jaar oud? De internetprovider die daarbij hoort, is niet meer bewaarplichtig, dus die heeft de koppeling niet meer met de NAW-gegevens van de gebruiker. En dat emailadres zal zelden genoeg informatie bevatten om een dagvaarding uit te kunnen brengen.

Van een forumeigenaar kun je moeilijk verlangen dat hij NAW gegevens gaat opvragen. Zeker als er al een rechtszaak dreigt, wie gaat er dan nog vrijwillig aan zijn forumeigenaar die dingen geven? En om nou te zeggen, een forumeigenaar moet maar op voorhand NAW gegevens vragen en valideren van zijn gebruikers, dat zie ik al helemaal niet zitten.

Arnoud

‘E-bookverkopers mogen klantinformatie doorspelen aan Brein’

Geplaatst op in Intellectuele rechten, Privacy, 21 reacties

scanbook.pngAanbieders van e-books mogen in Nederland klanteninformatie doorspelen aan stichting Brein, las ik bij Nu.nl. Nou ja, mag: mag met apart gegeven toestemming onder de privacywet. Een beetje flauw dus, want met dergelijke toestemming mag zo ongeveer alles.

Naar aanleiding van eerdere berichtgeving dat Brein dit zou hebben afgesproken met ebookverkopers werden Kamervragen gesteld. In het antwoord hierop zegt de minister nu dat zoiets een verwerking van persoonsgegevens is en dat “de meest voor de hand liggende verwerkingsgrond” de uitdrukkelijke toestemming is.

Eh ja. Wanneer iemand zegt dat het gebruiken van privacygevoelige gegevens mag mits met toestemming, bedoelt hij eigenlijk dat het niet mag tenzij dat expliciet apart is gevraagd, na een stukje uitleg én mensen die toestemming mogen weigeren. Dat is immers de definitie van ’toestemming’ onder de privacywet. Een e-boekverkoper kan dus Breindoorgiftetoestemming bedingen als deel van de verkoop, maar zal dat wel met een apart aanvinkvakje moeten vragen:

toestemming-voor-brein

We weten van de cookiewet dat je bij een weigering weer mag weigeren je dienst te leveren. Een ebookverkoper kan dus zeggen, ik verkoop je dat ebook niet want je hebt me geen Breindoorgiftetoestemming gegeven.

Echter wat zegt nu de minister:

In casu lijkt daarvoor doorslaggevend of een klant ondubbelzinnig en uit vrije wil ingestemd heeft met de gegevensverwerking met het oog op handhaving van de op eboeken rustende intellectuele eigendomsrechten. Bij deze beoordeling zal – mede gelet op een vrije toegang tot informatie en cultuur – een rol spelen of een klant ook langs andere weg kennis kan nemen van het boek.

Oftewel: als dit boek niet óók op papier te koop is, dan is er in feite sprake van een afgedwongen toestemming want toegang tot boeken, tot informatie is zo belangrijk dat “dan lees ik wel géén boek” geen optie is. Dat is wel een opmerkelijke visie, die zeker ook in andere internetsituaties leuke toepassing kan opleveren.

Iets logischer lijkt mij de grond van het “dringend eigen belang” – wie écht absoluut die gegevens nodig heeft en redelijkerwijs niet om toestemming kan vragen, mag zonder toestemming werken mits hij maar de privacy van de betrokken personen zo veel mogelijk respecteert. Dat schemert hier door:

Webwinkels kunnen zelf belang hebben bij het bewaren van klantgegevens bijvoorbeeld ten behoeve van het optreden tegen distributie van e-boeken zonder toestemming van de rechthebbende.

Dat zou dan formeel onder “goede uitvoering van de overeenkomst” vallen. Maar of het dan noodzakelijk is de gegevens aan Brein te geven?

Meer algemeen: gaat dit nut hebben? Wie zal zich laten afschrikken door deze gegevensregistratie?

Arnoud

ING hoeft persoonsgegevens FTD World niet aan Brein te geven

Geplaatst op in Intellectuele rechten, Privacy, 44 reacties

Nee lieve Nutechpromotende keywordscoorders: niet dat FTD maar een forum genaamd FTD World. De ING-bank hoeft in een rechtszaak met Stichting Brein rond het Nederlandse internetplatform FTD World geen persoonsgegevens te verstrekken van een rekeninghouder op wiens rekening je donaties voor het forum kon storten. Dat bepaalde de rechtbank Amsterdam vorige week. Hoewel je zeker (ook zonder gerechtelijk bevel) verplicht kunt zijn NAW-gegevens te verschaffen van je klant aan private partijen, is die plicht wel een laatste redmiddel als al het andere niet is gelukt. En in dit geval had Brein niet al het andere geprobeerd.

Nadat de FTD dienst in 2011 zijn deuren moest sluiten (waar ik nog steeds van baal), gingen diverse partijen zelf vervangers, opvolgers en alternatieven opzetten. Eentje daarvan is FTD World, dat volgens de Whois uit Litouwen komt maar dat een Nederlands Postbanknummer op de site vermeldde waar donaties naartoe konden.

Brein stapte daarop met het Lycos/Pessers arrest naar de ING bank en eiste alle NAW-gegevens van de accounthouder. De naam van deze mevrouw stond op de site (“ten name van”) en de bank bevestigde dat zij houder was, plus dat zij iemand had gemachtigd – maar niet hoe die gemachtigde zou heten. En dat was voor Brein reden om de NAW-gegevens bij de rechter op te gaan eisen.

De rechtbank gaat daar niet in mee. Vereist voor afgifte is namelijk dat de tussenpersoon (provider) een essentiële rol inneemt:

Naar het oordeel van de voorzieningenrechter miskent Brein hiermee dat de rol van een internet service provider of hostingprovider wezenlijkanders is dan die van een bank als ING Bank. Een“piratenwebsite” kan niet bestaan zonder een provider. Er is geen sprake van onrechtmatigheid als de provider zijn diensten niet verricht. ING Bank verzorgt “slechts” het bankverkeer, hetgeen niet als conditio sine qua non heeft te gelden met betrekking tot (mogelijke) auteursrechtinbreuk.

Daar zit ergens wel wat in, een bank kan moeilijker bepalen of handelen van zijn klant onrechtmatig is als de enige link tussen bank en handelen is dat het bankrekeningnummer ergens op staat. Tegelijkertijd: in andere omstandigheden lijkt dat minder een probleem: XS4All heeft bar weinig te maken met de informatie op de site van TPB, dus waarom moet XS4All dan tóch overgaan tot een blokkade? En als je zegt, XS4All kan zó zien dat die informatie onrechtmatig is, waarom kan de ING Bank dan niet even snel zien dat de informatie op dat FTD World onrechtmatig is?

Brein gaat in hoger beroep. En ik vraag me af wat dit zou betekenen voor partijen die oplichters via de bank willen identificeren. Bij die transactie is de bank wél essentieel: zonder bankrekening geen betaling. Dus in die situatie zou de rol vergelijkbaar zijn met die van een ISP of hostingprovider, en dan zou de bank dus wél gegevens moeten afgeven?

Update (20 juli 2015) het Hof van Justitie zegt in een Duitse merkenzaak dat een bank zich niet op bankgeheim mag beroepen als de klant IE-inbreuk pleegt. Er moet een afweging van belangen komen. Dat lijkt op de Lycos/Pessers-toets die wij hebben.

Arnoud