Tot eigendom van data geregeld is, kun je maar beter goede backups maken

| AE 9517 | Internetrecht | 12 reacties

Wie data opslaat bij een online backupdienst, of gebruik maakt van een SaaS-dienst voor bijvoorbeeld boekhouding of klantenadministratie, zal al snel geneigd zijn te spreken van ‘zijn’ data. Logisch: die informatie is essentieel voor die persoon, en als hij het fysiek ergens opgeslagen had, dan waren die mappen of papieren ook gewoon zijn eigendom. Maar in de cloud is dat wezenlijk anders. Data is niets, juridisch gezien. Je kunt dus niet spreken van eigendom van data, en er is ook geen wettelijke manier om data op te eisen van een dienstverlener.

Dat data niets is, beschouw ik als het grootste juridische probleem binnen het internetrecht. Want we dénken allemaal van wel, omdat SaaS-diensten nu eenmaal zo duidelijk aansluiten bij de klassieke manier van werken. Data op onze laptops, daar kunnen we altijd bij; die is dus ‘van ons’ in het gewone spraakgebruik. En die data is essentieel voor wat we doen – of het nu bedrijfskritische gegevens zijn of onvervangbare foto’s van je opgroeiende kinderen. Die data moet dus ook van ons zijn. Maar als je hem in de cloud opslaat, heb je er juridisch geen claims meer op. Data is een bijproduct van dienstverlening, meer niet.

Bij verlies van data heb je juridisch gezien gewoon dikke pech. Die data is weg, en een claim wegens wanprestatie is buitengewoon ingewikkeld. Toon maar eens aan dat de clouddienstverlener zijn best niet heeft gedaan, om te beginnen. En daarnaast: waarom had jij geen backup van die data, als die zo belangrijk was voor je? Het aansprakelijkheidsrecht kent het concept van “eigen schuld”, waardoor een schadevergoeding kan worden verlaagd. Met dat argument kreeg een consument in 2013 het deksel op de neus toen hij zijn Powerbook had laten repareren, waarna de harde schijf sneuvelde. Hij moest de helft van de schade zelf dragen.

Een oud spreekwoord luidt: beter voorkomen dan genezen. In juridische termen: beter backuppen dan aansprakelijk stellen. Een backup maken van clouddata lost het hele probleem op van dataverlies, tenminste als je de backup ook weer netjes ergens bewaart.

Een goede dienstverlener zal zijn klanten de gelegenheid geven alle geüploade data ook weer te downloaden, zodat de klant deze elders kan gebruiken als de overeenkomst wordt beëindigd, of bij calamiteiten natuurlijk. Sommige bedrijven doen dit liever niet, omdat ze bang zijn dat iemand dan naar de concurrent gaat. Maar het omgekeerde blijkt waar: als je weet dat je snel weg kunt, blijf je langer zitten. Het belangrijkste voor de klant is in ieder geval: máák die backup, en bij voorkeur iedere dag. Want een backup heb je pas nodig als je merkt dat de dienst het ineens niet meer doet. En dan is het te laat om hem nog te downloaden.

Arnoud<br/> PS: dit is een voorpublicatie uit editie 2017/18 van De wet op internet, en de voorintekening is geopend!

Hoe veel overgangsrecht krijgen we bij de Privacyverordening?

| AE 9200 | Privacy | 8 reacties

Een lezer vroeg me:

Op 25 mei volgend jaar treedt de Privacyverordening in werking, las ik. Dus vanaf dan krijgen we al die strenge nieuwe regels over toestemming, privacyverklaringen en datalekken, met boetes tot een paar miljoen per overtreding. Maar wat ik nergens kan vinden, is hoe veel overgangsrecht we dan krijgen om onze systemen en dergelijke aan te passen. Hoe veel jaar is dat?

Dit is misschien een tikje pijnlijk maar het ding is al in werking en we zitten al in het overgangsrecht. Op 25 mei vorig jaar werd de Privacyverordening aangenomen, en twee jaar daarna wordt hij “van kracht” oftewel dan gelden al die regels écht. Die twee jaar is de overgangsperiode.

Volgens mij beseffen nog maar héél weinig mensen dit. En ik durf nu al wel te voorspellen dat we straks in 2017 een heleboel boze berichten gaan lezen dat men zich overvallen voelt door die nieuwe wet en alles dat daarvoor “ineens” moet worden gedaan, inclusief hernieuwde toestemming vragen, bewerkersovereenkomsten herzien en de documentatie voor alles op orde hebben.

Maar wie het goed wil doen, kan beter nú al aan de slag. Een paar aandachtspunten:

  • Is je toestemmingsvraag losgekoppeld van andere vragen (dus niet “Ik bestel en wil de nieuwsbrief”) en kan toestemming net zo eenvoudig worden ingetrokken als gegeven?
  • Is je toestemmingsvraag specifiek? Wordt ieder beoogd gebruik duidelijk genoemd?
  • Kun je bewijzen dat iedere betrokkene toestemming heeft gegeven? En hoe lang bewaar je dat bewijs?
  • Zijn je privacyverklaringen al herschreven in duidelijke taal die geschikt is voor de doelgroep? Of heb je nog steeds dat typische wollige privacyjargon dat wij juristen prettig leesbaar vinden?
  • Heb je al gekeken of je een privacy officer nodig hebt?
  • Heb je al je processen nagelopen op verwerkingen van persoonsgegevens, en per verwerking vastgelegd wat er gebeurt en waarom dat niet een onsje minder kan?
  • Heb je daar ook bij gezet of je het risico verhoogd inschat, en zo ja een privacy impact assessment uitgevoerd?

De AVG kent natuurlijk nog véél meer aandachtspunten, maar als je deze op orde hebt dan moet je een heel eind komen.

(Terzijde: in ons boek De Algemene Verordening Gegevensbescherming lees je exact wat elk artikel van de Privacyverordening betekent voor de praktijk. Het verschijnt in februari, dus teken nu in!)

Arnoud

Gastbloggers gezocht, en onderwerpen voor mijn nieuwe boek!

| AE 8716 | Iusmentis | 10 reacties

boek-wetopinternet-arnoudengelfriet.jpgZoals elk jaar ga ik deze zomer er een paar weken tussenuit, en ik nodig dan ook hierbij graag mensen uit die een gastblog willen schrijven. Vrees niet, de tiradeweek blijft erin (suggesties welkom). Het onderwerp mag alles zijn zolang er maar een link met internetrecht is. Is het vergeetrecht dikke onzin, hoe beteugel je online trollen en is bitcoin een hype of juist een revolutie? Of: waarom bestaat internetrecht eigenlijk niet. Leef je uit – maar zonder voetnoten als het even kan.

Verder is mijn boek (De wet op internet) écht aan een update toe. De laatste editie is uit 2013 immers. En dan denk ik gelijk, een úpdate, kan ik niet beter een nieuw boek beginnen. Is dat version 2.0-syndroom of gewoon een goed plan, de focus in het internetrecht is immers een aardig eind verschoven. De hyperlinks- en filesharingruzies zijn wel zo ongeveer beslecht, online privacy wordt belangrijker en we zitten met een internet der dingen die zomaar uitgezet worden. Slimme contracten onderhandelen zichzelf en netneutraliteit blijft onder druk staan.

Welke onderwerpen zouden jullie willen lezen in een actueel boek over internetrecht?

Arnoud

Mag je Mein Kampf opnieuw uitbrengen nu het auteursrecht vervallen is?

| AE 8363 | Auteursrecht, Strafrecht | 32 reacties

Een lezer vroeg me: Het auteursrecht op “Mein Kampf” van Adolf Hitler is per 1 januari verlopen. Mag je dat boek dan nu in Nederland uitbrengen? Hoofdregel van het auteursrecht is dat dit recht vervalt op 1 januari 70 jaar na het sterfjaar. Bij overlijden in 1945 kom je dus inderdaad uit op 1 januari… Lees verder

De voorintekening voor ons boek “Reclame” is geopend!

| AE 5873 | ICTRecht blog, Iusmentis | 19 reacties

Het is ons meest uitgestelde boek ooit: al in 2011 stond het op de site. Maar nu gaat het dan toch echt gebeuren, ons boek Reclame: Deskundig en praktisch advies gaat uitkomen als een echte gebundelde stapel papier. (Ja, het ebook komt ook.) Welke wetten en regels gelden er voor reclame op internet, van spamwetgeving… Lees verder

Wanneer is overnemen plagiaat?

| AE 5124 | Auteursrecht | 11 reacties

Is het heruitgeven van een bewerking van een studieboek met alleen je eigen naam erop een vorm van plagiaat? Nee, oordeelde het College van Bestuur van de Universiteit van Amsterdam in een zaak over een basisboek rechten. Een hoogleraar had een leerboek, samengesteld door zijn voorganger, grotendeels overgenomen, onder een andere titel uitgegeven met alleen… Lees verder