Cloud Archives - Ius Mentis

Adobe zet je ontwerp op zwart (letterlijk) als je niet bijbetaalt voor kleurinformatie, wacht wat?

Geplaatst op 4 november 202231 oktober 2022 in Ondernemingsvrijheid, 27 reacties

Adobe-programma’s als Photoshop, Illustrator en InDesign hebben geen standaard toegang meer tot de meeste kleuren van Pantone, tenzij gebruikers daarvoor een abonnement afnemen. Dat meldde Tweakers onlangs. Wie dat abonnement niet neemt, krijgt zwarte vlakken waar eerst nog kleuren in de Pantone-kleurcoderingen stonden. Het verraste veel mensen, want hoezo kan Pantone auteursrecht claimen op een kleur? Dat kunnen ze ook niet, maar dankzij de wonderen van de cloud kan Pantone dit toch afdwingen.

Het bedrijf Pantone is marktleider in het vaststellen van kleurcoderingen, waarmee ontwerpers op eenduidige manier kunnen aangeven welke kleur bedoeld is. Dat lost bijvoorbeeld het probleem op dat een beeldscherm iets anders toont dan een printer produceert; als het bestand “PMS 012” vermeldt dan zal iedere drukker daar hetzelfde van maken. Een nuttige functie, waar wereldwijd op ingesprongen is en waardoor Pantone nu de dominante partij is in kleurcoderingen.

Het gaat natuurlijk om technische informatie: er zitten 2161 kleuren in het systeem, en van elke kleur is de hoeveelheid cyaan, magenta, geel en zwart vastgelegd. Ook krijgt elke kleur een naam, de Kleur van het Jaar 2022 is nummer 17-3938 en heet Very Peri (“Very Peri displays a spritely, joyous attitude and dynamic presence that encourages courageous creativity and imaginative expression”, aldus de jury).

Goed, leuk, maar is dat genoeg voor een auteursrecht? Ik betwijfel het zeer. Maar als je de hele lijst van 2161 kleuren mét code en naam neemt, dan denk ik dat daar wel een auteursrecht op rust. Wil je dus die hele lijst in je printer (of ontwerpprogramma) dan zul je een licentie moeten nemen. Fair enough, maar dat zou een eenmalig bedrag moeten zijn want het is absurd dat je jaarlijks betaalt voor zo’n lijst terwijl jouw klant het apparaat koopt of de software installeert op zijn desktop en daarvoor ook eenmalig betaalt.

Maar goed, toen kwam de cloud en werd alles anders (geen MLP referentie). Beter gezegd: Toen bedacht Adobe dat het veel leuker is dat je per maand betaalt voor haar tools, in plaats van eenmalig een enórme smak geld. En een paar jaar later dacht Pantone, dat kunnen wij ook. Vandaar dus die eis om maandelijks te betalen voor dat bestandje (en de merknaam), want als iemand zelf al aangeeft dat je per maand kunt betalen dan is als leverancier maandelijks afrekenen natuurlijk net zo logisch.

Heel erg juridisch is dit dus niet, dit is vooral een voorbeeld van hoe de cloud ingezet kan worden om nieuwe bedrijfsmodellen af te dwingen. En om diezelfde reden is er dus niets aan te doen, als je cloudtools gebruikt en de prijs gaat omhoog, dan kun je of betalen of wegwezen.

Arnoud

Hoe de curator toegang kan krijgen tot een administratie in de cloud

Geplaatst op 22 augustus 202215 augustus 2022 in Ondernemingsvrijheid, 10 reacties

“De curatoren hebben te maken met een grote en machtige Amerikaanse partij die elk risico dat zij mogelijk wereldwijd loopt als gevolg van de sancties, hoe klein ook, koste wat kost wil zien te vermijden en zich daarbij alleen door haar eigen belangen laat leiden.” Oh kijk, dat was een gezellige boel in Amsterdam: cloudleverancier Microsoft weigerde de curatoren van een dochter van de Russische Alfa Bank toegang te geven tot de bedrijfsadministratie, onder meer onder verwijzing naar de EU-sanctieregels tegen Russische bedrijven. Een dilemma zoals we dat vaker horen, de Nederlandse wet zou tot iets verplichten maar vanwege altijd schimmig blijvende “US law” zouden bedrijven daar dan geen gehoor aan hoeven geven.

In april ging de betreffende dochter – de Amsterdam Trade Bank – failliet, mede vanwege sanctieregels: “Leveranciers van bijvoorbeeld software konden door de strafmaatregelen niet langer zaken doen met ATB, waardoor het heel moeilijk was om nog verder te gaan met bankieren”, zo meldde het AD. Dat is op zich een begrijpelijke consequentie van sancties, maar creëert hier wel een bijzonder probleem bij de afwikkeling van datzelfde faillissement.

Je zou zeggen dat dit een klaar klontje was. De Faillissementswet zegt immers in artikel 105b letterlijk dat iedereen die administratie van een failliet heeft, die moet geven:

Derden met inbegrip van accountantsorganisaties en een externe accountant, die in de uitoefening van hun beroep of bedrijf, op welke wijze dan ook, de administratie van de gefailleerde geheel of gedeeltelijk onder zich hebben, stellen die administratie en de daartoe behorende boeken, bescheiden en andere gegevensdragers desgevraagd volledig en ongeschonden aan de curator ter beschikking, zo nodig met inbegrip van de middelen om de inhoud binnen redelijke tijd leesbaar te maken.

Microsoft weigerde echter, en dat ging zelfs zo ver dat niet eens duidelijk was welke partij eigenlijk de administratieve dienstverlening verricht. Daardoor ontstond het basale probleem van wie te dagvaarden, waarop de curatoren maar gewoon een vaste advocaat van Microsoft aanschreven. Men belandde uiteindelijk toch in de rechtszaal, en de ergernis van de rechter spat van het vonnis:

In de aanloop naar dit kort geding heeft (de advocaat van) Microsoft verstoppertje gespeeld door niet kenbaar te maken welke Microsoft-vennootschap moest worden gedagvaard en door nog niets van haar verweer prijs te willen geven.

Ook met de inhoudelijke vraag heeft de rechter weinig moeite. In de Nederlandse wet staat dat de curatoren recht hebben op de administratie, dus die moet Microsoft geven. Dat ze dan wellicht klem komt te zitten met andere wetgeving uit andere landen is haar probleem, maar geen excuus om onze wet te negeren als je in Nederland zaken wilt doen. Bovendien valt het inhoudelijk wel mee, als je die Sanctieverordening goed leest:

Evenmin is aannemelijk dat Microsoft bij het voldoen aan het gevorderde strafrechtelijke of financiële risico’s van enige betekenis loopt. Het verlenen van toegang tot de Microsoft-omgeving in het kader van een faillissement kan voorshands niet worden aangemerkt als een door de EU Sanctieverordening verboden handeling (het ter beschikking stellen van “economische middelen” die kunnen worden gebruikt om “tegoeden, goederen of diensten te verkrijgen”). Ook ten aanzien van het Amerikaanse sanctieregime geldt dat voorshands niet aannemelijk is dat het verlenen van toegang tot de Microsoft-omgeving in het kader van een faillissement strijd oplevert met de verplichting eigendommen van gesanctioneerde (rechts)personen te blokkeren en/of strijd oplevert met het verbod die eigendommen over te dragen, waarbij het nog de vraag is of gedaagde sub 3 (Microsoft Ireland Operations Limited) al dan niet (indirect) gebonden is aan het Amerikaanse sanctieregime.

Die laatste is ook een leuke in AVG-verband: de discussie over gebondenheid aan de US Cloud Act versus de Europese AVG gaat over precies hetzelfde probleem, namelijk of je gebonden bent aan beide wetten tegelijk en welke dan wint. Het antwoord is dus: mogelijk ben je aan beiden tegelijk gebonden, en je kunt dus tegenstrijdige vonnissen krijgen uit de VS en Europa en dan is dat even heel vervelend voor jou maar je gaat er wel aan voldoen:

veroordeelt gedaagde sub 3 (Microsoft Ireland Operations Limited) om al hetgeen noodzakelijk is te doen, zodat gegarandeerd is dat de Stichting Vereffening binnen 48 uur na het wijzen van dit vonnis ongehinderde toegang tot, en gebruik van, de volledige Microsoft-omgeving heeft en blijft houden, op straffe van een dwangsom van EUR 10 miljoen voor elke 24 uur na betekening van dit vonnis dat de Stichting Vereffening die ongehinderde toegang tot, of gebruik van, niet of niet volledig (meer) heeft, met een maximum van EUR 100 miljoen.

Een dwangsom van (maximaal) 100 miljoen euro is bij mijn weten in Nederland nog niet voorgekomen, en het is minstens zo opmerkelijk dat deze al na tien dagen aangetikt wordt. Dat onderstreept wel de haast die de rechtbank ziet. En terecht: 23.000 particuliere spaarders van de bank kunnen nu niet bij hun geld.

Arnoud

Als ik een app met datagevangenis gebruik, is de leverancier dan verantwoordelijke onder de AVG?

Geplaatst op 21 maart 202215 maart 2022 in Ondernemingsvrijheid, Privacy, 6 reacties

Een lezer vroeg me:

Wanneer je data opslaat in een clouddienst, is de exploitant daarvan de verwerkingsverantwoordelijke. Beheer je alles lokaal, dan ben je dat zelf. Tot zo ver duidelijk. Maar wat nu als je de data in een app beheert? De data staat wel lokaal maar zit ‘opgesloten’ in de app, waar de exploitant alle controle over kan uitoefenen. Kun je ze dan onder de AVG sommeren om bijvoorbeeld data-export mogelijk te maken?

Onder de AVG is een verwerkingsverantwoordelijke de partij die beslist voor welke doelen persoonsgegevens worden verwerkt, en met welke middelen. (Een verwerker is een partij die voor een verantwoordelijke een verwerking uitvoert, maar dus niet zelf doel of middelen bepaalt.)

Het klopt dus dat als je data in de cloud opslaat, de partij aan de andere kant (“there is no cloud”) de verantwoordelijke daarvoor is. Soms de verwerker – als jij de uiteindelijke zeggenschap hebt over wat men met die persoonsgegevens mag doen. Dit is minder vaak het geval dan je zou denken.

Omgekeerd, enkel het leveren van middelen maakt je geen verwerkingsverantwoordelijke. Als je dus een lokale applicatie gebruikt en daarin persoonsgegevens verwerkt, heeft de leverancier geen rol onder de AVG. Jij (of je organisatie) bent dan zelf de verwerkingsverantwoordelijke.

De situatie met een app is iets ingewikkelder. De vraagsteller noemt het “opsluiten”, dus de data is niet even uit de app te halen zoals bij desktopapplicaties waar je gewoon databestanden naast het programma hebt staan. En natuurlijk kan een app-leverancier veel makkelijker updates forceren dan een traditionele desktopsoftwareleverancier.

Toch maakt dat hem denk ik niet direct een verwerkingsverantwoordelijke: de appleverancier bepaalt nog steeds niet wat je doet met de app, dat doe jij als gebruiker van de app. Natuurlijk wordt dat anders als er functies ingebouwd zijn die onder controle van de leverancier dingen doen (zoals adresboeken uploaden), maar dan hebben we vaak meteen ook te maken met cloudopslag.

Als verwerkingsverantwoordelijke heb je de plicht te zorgen voor de rechten van de betrokken personen. Dat kan dus betekenen dat je ze een kopie van hun persoonsgegevens moet geven, en correcties moet doorvoeren. Als zo’n app dat niet toestaat, ben jij dus niet AVG compliant. De AVG regelt alleen niet dat jij van je leverancier dan een update kunt eisen waarmee dat wel kan – die zegt, gebruik die app dan maar niet.

Ben ik verwerker bij de accounts van mijn klanten?

Geplaatst op 7 mei 20214 mei 2021 in Privacy, 7 reacties

Een lezer vroeg me:

Zoals heel veel SaaS-diensten bied ik accounts aan voor bedrijfsmatig gebruik: één account per gebruiker, maar gekoppeld via een bedrijfsabonnement. Ben ik nu verwerker voor de gegevens in die accounts?

Het valt me inderdaad op dat vele SaaS-dienstverleners denken dat ze verwerker zijn omdat ze persoonsgebonden accounts hebben. Dat is alleen te kort door de bocht. Mogelijk komt dit door een spraakverwarring: je verwerkt dan wel persoonsgegevens, maar je bent pas verwerker als je dat doet in opdracht van een ander (de verwerkingsverantwoordelijke).

Wanneer ik een dienst afneem, en daarbij zijn mijn persoonsgegevens nodig (bijvoorbeeld voor een account + facturatie, of voor het tonen van mij als gebruiker aan andere gebruikers) dan is de dienstverlener gewoon de verwerkingsverantwoordelijke. Hij bepaalt immers wat er gebeurt met die gegevens van mij: waar worden ze getoond, wie heeft er toegang toe en waar mogen ze worden ingezet.

Ik zou die dienst namens mijn bedrijf kunnen afnemen. Dan kunnen ook collega’s een account krijgen binnen het bedrijfsaccount, en normaliter betaal ik dan maar één keer. Dit verandert alleen nog niets aan de situatie voor verwerkerschap: de dienstverlener bepaalt nog steeds wat er gebeurt met al die persoonsgegevens, van zowel mij als van mijn collega’s. Hij blijft dan dus verwerkingsverantwoordelijke.

Een dienstverlener wordt verwerker wanneer het verwerken van de persoonsgegevens onderdeel is van de dienst, want het juridisch criterium is dat ik als klant doel en middelen vaststel. Het triviale voorbeeld is een personeelsadministratie: ik upload dan een set personeelsgegevens met bijvoorbeeld loongegevens, en de SaaS-dienst genereert loonstroken. Voor die set is men dan verwerker, want ik bepaal wat ik upload (welke personeelsleden, welke gegevens) en waarom (ik wil loonstroken).

De accounts om toegang te krijgen tot de dienst zijn volgens mij geen onderdeel van de dienst, zodat daarvoor geen verwerkersovereenkomst met de klanten nodig is. Zolang de leverancier/dienstverlener zelf bepaalt wat hij doet met die accounts, is hij daar zelf verwerkingsverantwoordelijke voor.

Arnoud

Mag Ziggo mijn mediabox-opnames verplaatsen naar de cloud?

Geplaatst op 9 november 20204 november 2020 in Informatiemaatschappij, Ondernemingsvrijheid, 49 reacties

Een lezer vroeg me:

Binnenkort start Ziggo met de uitrol van een ingrijpende update van haar mediabox XL. Deze update zorgt ervoor dat opnames voortaan in de cloud worden bewaard in plaats van op de harde schijf van het apparaat. Als gevolg daarvan worden alle opnames die nog op de harde schijf staan gewist. Opnames kunnen echter niet worden verplaatst naar een ander opslagmedium. De update is verplicht en kan slechts tijdelijk worden uitgesteld om de bestaande opnames te bekijken. Mag Ziggo dat zomaar doen, die functionaliteit zo wijzigen?

Het klopt, Ziggo zelf zegt het ook: het voordeel is dat je tot 400 uur video kunt opnemen en het via de Go app overal kunt kijken. Maar ja, na de upgrade zijn de opnames namelijk verdwenen van je harde schijf. En jij dacht dat je die opnames voor eeuwig had. Het is vast flauw om te zeggen, maar dat krijg je ervan dat we in een diensteneconomie leven.

Het is alleen niet zo dat je nu “ineens” naar een dienst wordt geduwd. Ook de opnames op die mediabox bij je thuis waren altijd al een dienst, namelijk die van het vastleggen van bits om later een film of serie opnieuw te kijken. Volgens mij is de mediabox in bruikleen, maar zelfs al had je die doos echt gekocht in juridische zin, dan nog is wat er op die doos gebeurt een vorm van dienstverlening, volgens de wet.

Alles is namelijk dienstverlening in ICT-land, behalve levering van hardware (dat is koop, huur, bruikleen et cetera) en licentiëring van software (dat is ‘gewoon’ een overeenkomst). En bij dienstverlening geldt eenvoudigweg dat de dienstverlener van tijd tot tijd de dienst mag aanpassen.

Er is niet zo veel aan te doen, behalve wellicht het opzeggen van je abonnement als je kunt betogen waarom het een verslechtering is dat je nu vanuit de cloud kunt kijken. Ik moet zeggen dat ik dat argument niet meteen zie, gezien je in beide situaties even weinig controle hebt over de video’s die je aangaf op te willen slaan. Maar ik denk dat Ziggo niet heel moeilijk zal doen, als je weg wil kun je weg.

En ja, dat is dan ook de enige remedie. Ik zie niet hoe je af kunt dwingen dat Ziggo de oude opnames laat staan, je kunt niet eisen dat dienstverlening in oude vorm voortgezet wordt zolang jij wil. Althans, niet zonder het contractueel vast te leggen, en dat is in consumentenland nu eenmaal geen optie. Frustrerend, dat is het wel.

Arnoud

Man verliest Microsoft-account (en alle data) vanwege gedoe over onbetamelijke foto

Geplaatst op 14 oktober 202013 oktober 2020 in Ondernemingsvrijheid, 57 reacties

Je krijgt ongevraagd een onbetamelijke foto toegestuurd, waarna Microsoft je levenslang verbant van al haar diensten. Dat meldde NRC afgelopen zondag. Want dat is terecht, zo vonniste de rechtbank: een man had een kort geding daartegen aangespannen maar krijgt zijn bestanden niet terug en mag ook zijn Microsoft-account nooit meer gebruiken. Althans, voor nu – de bestanden mogen niet weggegooid en er zal dus een bodemprocedure nodig zijn om echt uit te maken of Microsoft terecht handelde. Maar ja, je digitale leven mag dus worden geblokkeerd voor nu.

Het probleem begon in april dit jaar, toen de eisende man merkte dat zijn toegang tot zijn OneDrive account onmogelijk was, en Microsoft desgevraagd meldde dat er een “serious violation” was geweest van de Service Agreement. Doorvragen leverde slechts herhaling op van deze mededeling, waarna de man een advocaat inschakelde. Ook dat mocht niet baten, vandaar de rechtszaak.

Pas daarna kwam aan het licht dat de violation het feit betrof dat de eiser in een groepsapp van WhatsApp een foto gedeeld had gekregen die Microsoft als kinderpornografie aanmerkte. De foto was volgens eiser grappig bedoeld, toont niet werkelijk seks met kinderen maar “door het hele ongelukkige moment van afdrukken bij het maken van deze foto lijkt dat zo.” De rechtbank komt echter tot de conclusie dat de afbeelding ook dan kan kwalificeren als kinderporno, gezien internationale afspraken op dat gebied.

Microsoft heeft software draaien die het opslaan en vooral het delen van dergelijke foto’s detecteert. Een groot deel van het geschil ging over de vraag of de man deze afbeelding nu had gedeeld of niet. Hij zei van niet, Microsoft zegt van wel – en MS krijgt gelijk omdat de servicevoorwaarden zeggen dat je de foto niet mag hebben, ongeacht of je deze deelt. Een overtreding dus.

Dan krijg je de vraag, is de maatregel proportioneel. In juridische termen: de algemene voorwaarde die zegt dat je je gehele (betaalde) account geheel kwijt raakt, is onredelijk bezwarend bij één overtreding. Daarvan zegt de rechter, nee dat is niet zo: dit soort afbeeldingen zijn zeer ernstig en strafbaar, dus is een volledige vernietiging van het gehele account een gepaste reactie.

Uit het vonnis haal ik dat de man van de overige bestanden niets meer had gezegd dan dat ze emotionele waarde hebben. “Indien [eiser] naar voren zou hebben gebracht dat hij een of meer onderdelen van de bestanden dringend nodig had, dan zou de voorzieningenrechter dat belang bij de beoordeling kunnen betrekken maar [eiser] heeft dat niet gedaan.” Oftewel, als je als privépersoon alleen maar persoonlijke bestanden in de cloud hebt staan, dan heeft dat geen waarde en moet je niet klagen als ze worden vernietigd.

Ook een beroep op de AVG mag niet baten: weliswaar staat daar een recht op dataportabiliteit, maar dat geldt niet voor alle bestanden in je account. Je hebt alleen recht op een export van je persoonsgegevens, en een serie door jou gemaakte foto’s zijn op zichzelf geen persoonsgegevens van jou.

Het is een kort geding, dus voor uitgebreide discussie is geen plaats. Daarom verplicht de rechter Microsoft wel om de bestanden nu veilig te stellen, zodat de principiële discussie gevoerd kan worden bij de bodemrechter. Ik hoop heel erg dat dit ook snel gebeurt.

Arnoud

PS: links naar de betreffende afbeelding of suggesties hoe deze te vinden leiden tot een levenslange ban op deze blog. Geen grap.

Hoe ver ben jij al met je migratieplan weg uit de Amerikaanse cloud?

Geplaatst op 15 september 202014 september 2020 in Ondernemingsvrijheid, 51 reacties

Zoek alternatieven voor Amerikaanse leveranciers, zo knalde Emerce erin begin deze week. Het Nederlandse en hele Europese bedrijfsleven schendt immers op grote schaal de AVG omdat ze nog steeds met Amerikaanse dienstverleners werkt. Sinds het Schrems II arrest is dat, hoe zeg je dat netjes als jurist, hartstikke illegaal. En ik snap best dat je nog even wil wachten om te zien wat toezichthouders precies gaan zeggen, maar je hebt natuurlijk wel een migratieplan klaar liggen voor zodra ze “U mag nu stoppen” gaan zeggen. Toch? Want dat gaan ze.

“Er is geen uitzicht op een nieuw Privacy Shield. Alle partijen die op Amerikaanse servers data opslaan schenden Europese privacyregels.” Zo citeert men JetStream-directeur Stef van der Ziel, die precies de vinger op de zere plek legt. Het probleem met de Amerikaanse cloud is al zo oud als de cloud; Amerikaanse wetgeving over snuffelen in persoonsgegevens botst op fundamentele manier met de Europese grondrechten. We hadden ooit de pretentie dat het Safe Harbor-arrest dat op zou lossen: Amerikaanse bedrijven beloven dat ze zich aan de Europese regels houden – behalve als ze wat anders moeten van Amerikaanse wetgeving.

En dat moesten ze, zo onthulde Edward Snowden enkele jaren terug. Safe Harbor sneuvelde dan ook, en het Privacy Shield werd ingevoerd met extra waarborgen en een ombudsman om het nu écht te regelen. Maar het uiteindelijke probleem blijft: Amerikaanse diensten mogen bij persoonsgegevens die in de VS zijn opgeslagen, ongeacht de Europese regels daarover. Dat weten we uit het Schrems II-arrest, waarin het Hof van Justitie net als in Schrems I (het Safe Harbor agreement) bepaalde dat het gewoon echt niet kan, zoals het werkt. (En nee, ook niet als je met SCC oftewel modelclausules gaat werken.)

De impact van de Amerikaanse cloud is echter te groot, zodat niemand echt de eerste stap durft te nemen. Want je zet jezelf op achterstand, als je concurrent wél met Google Analytics blijft werken en jij Matomo of Piwik moet gaan opzetten en vervolgens overal compatibiliteitsproblemen tegen gaat komen. Dus overstappen per direct is inderdaad nogal veel gevraagd.

Ik zie echter geen reden om dan maar te blijven zitten en niets te doen. Inventariseer op zijn minst welke alternatieven er zijn en wat je nodig hebt om die werkend te krijgen. Doe eens een pilot met Matomo, zoek een Europees nieuwsbriefbedrijf en kijk of je écht die twintig trackers op je website nodig hebt. Dan heb je dat maar gedaan, weet je wat de impact gaat zijn en kun je dán besluiten wanneer je gaat migreren. Misschien wel sneller dan je denkt, want “wij werken volledig Europees” begint langzaam maar zeker een marketingvoordeel te worden.

Arnoud

Is Office 365 nu echt een AVG probleem of alleen voor Hessense openbare scholen?

Geplaatst op 24 juli 201919 juli 2019 in Ondernemingsvrijheid, Privacy, 14 reacties

De gegevensbeschermingsautoriteit van de Duitse deelstaat Hessen heeft het gebruik van Microsoft Office 365 door scholen verboden omdat dit in strijd met de AVG is. Dat meldde Security.nl op gezag van de toezichthouder zelf. De aanleiding is dat Microsoft eerder de speciale optie van een Duits datacenter voor scholendata had geschrapt, zodat de mogelijkheid ontstond dat persoonsgegevens van leerlingen en personeel in de VS zouden worden opgeslagen. Hetzelfde geldt voor telemetriedata over het gebruik, dat automatisch naar Microsoft wordt gestuurd en niet meer bij de Duitse grens moest stoppen. Waar ging dit nu precies op mis en wat betekent het voor andere cloudafnemers?

De pijn lijkt vooralsnog te liggen bij een specifieke Duitse uitwerking van de AVG, zo lees ik in het persbericht:

Public institutions in Germany have a special responsibility regarding the admissibility and traceability of the processing of personal data. Also the digital sovereignty of state data processing must be guaranteed.

Ik kan alleen zo 1-2-3 in de Duitse Uitvoeringswet niet terugvinden waar dat dan staat. Ik ga er dus maar vanuit dat men bedoelt dat de lat voor noodzaak en proportionaliteit extra hoog ligt, en waarschijnlijk ook dat Microsoft niet bepaald transparant is (aldus de toezichthouder) over wat er precies met die data gebeurt. Daar valt wel wat voor te zeggen.

Daarmee is het voor mij niet perse het einde van de cloud, hoewel dat natuurlijk wel in de lucht hangt (haha) met recente ontwikkelingen in de Schrems II-zaak bij het Hof van Justitie: is de optie om met zogeheten model contractual clauses data naar de VS over te dragen dan eigenlijk wél rechtsgeldig? Als dat niet zo is (en daar lijkt alles op te wijzen) dan blijft er vervolgens heel weinig grondslag over om persoonsgegevens in de VS op te mogen slaan. (Privacy Shield staat overeind maar alleen maar omdat het Hof er nog niet aan toegekomen is.)

Wie met een cloudoplossing bezig is die over vijf jaar een afhankelijkheid op Amerikaanse servers heeft, heeft dus nu een goede reden om die oplossing aan te gaan passen.

Arnoud

Minister pakt Russische site met privédocumenten van Nederlanders niet aan

Geplaatst op 15 november 201713 november 2017 in Security, 11 reacties

Tegen de Russische website DocPlayer, die automatisch pdf-bestanden van internetgebruikers publiceert, wordt geen actie ondernomen. Dat meldde Nu.nl vorige week. De site publiceert 4,3 miljoen bestanden staan die door een computerprogramma worden verzameld en gepubliceerd. “Echter, het valt niet op voorhand te stellen dat deze gegevens illegaal verkregen zijn.” Want als ze uit openbare bronnen verkregen zijn, dan is het niet strafbaar. Eh, wacht, wat?

In september ontstond ophef over de site, toen RTL meldde dat daar miljoenen documenten te vinden waren met privéinformatie die via onduidelijke bronnen verkregen zouden zijn. Daarover werden kamervragen gesteld, wat ging de minister hier aan doen?

Vrij weinig dus. Op zich niet zo heel gek, wat kún je ook tegen zo’n site die in Duitsland staat. Zei hij sarcastisch. Maar iets serieuzer, als minister kun je hier natuurlijk echt weinig aan doen, die taak ligt immers bij toezichthouders zoals de Autoriteit Persoonsgegevens of bij de mensen die getroffen zijn door deze publicatie. Hoe vervelend ook, het is een civiele kwestie – je moet zelf een rechtszaak aanspannen als je auteursrechten worden geschonden of je privacy te grabbel wordt gegooid.

Indienen van een verwijderverzoek bij de site (haha) en bij Google (wie weet) zou dus de eerste aangewezen stap moeten zijn. Daarnaast een handhavingsverzoek bij de AP, hoewel de minister daar meteen een bezwaar oproept: de site zit in Duitsland, dus is de AP niet bevoegd. Nee, maar ze zouden toch kunnen bemiddelen bij de Duitse collega’s wellicht?

Het argument dat die gegevens “bewust of onbewust door gebruikers op het internet zijn geplaatst en daarna door deze site zijn verzameld” is natuurlijk compleet irrelevant en het is jammer dat dat zo prominent vooraan in de antwoorden staat. Want dat dóet er niet toe; ook als je zelf bewust iets op je site plaatst dan nog mag het niet worden gekopieerd in zo’n handigejongenssite.

Arnoud