Waarom ik steeds zeg dat data niets is, juridisch gezien

| AE 11415 | Informatiemaatschappij | 20 reacties

Een lezer vroeg me:

Met enige regelmaat zie ik je zeggen dat data “niets is” of niet bestaat onder de wet. Maar dat kan toch niet waar zijn, data is de grondstof voor de internetmaatschappij en dan zou daar geen enkele juridische status of recht op bestaan? Kun je eens uitleggen hoe dat nu precies zit?

“Data is niets” is mijn wat kortdoordebochtpoging om het probleem te signaleren dat je inderdaad geen specifieke juridische rechten kunt uitoefenen om toegang tot (of een kopie van) elektronische data te krijgen. Weliswaar spreken we in de praktijk vaak van “mijn data”, maar dat is niet meer dan een beleefdheidsfrase, juridisch heeft dat geen betekenis.

Eigendom is “het meest omvattende recht dat een persoon op een zaak kan hebben”, aldus artikel 5:1 BW. Een zaak is dan weer (artikel 3:2 BW) een stoffelijk object dat voor menselijke beheersing vatbaar is. Digitale data voldoet niet aan die omschrijving, het is zo ongeveer het schoolvoorbeeld van onstoffelijke objecten. Juridisch gezien is het daarom onmogelijk om van eigendom op data te spreken.

Maar het Elektriciteitsarrest dan, en het Runescape-arrest, zal menig juridisch geïnteresseerde nu denken. Klopt. Die arresten bepaalden dat bepaalde onstoffelijke objecten toch zaken waren – althans “goederen”, in de terminologie van het strafrecht. Elektriciteit is stoffelijk (het zijn hupsende elektronen) en voor menselijke beheersing vatbaar, wel graag met rubber handschoenen. En de virtuele goederen in het spel Runescape kun je ook beheersen en wegnemen. Dat is dan genoeg om van “goederen” te spreken.

Formeel georiënteerde juristen vinden dat niet overtuigend, omdat het hier gaat om arresten uit het strafrecht. Dat wetboek kent eigen terminologie en eigen jurisprudentie, die niet automatisch doorgetrokken kan worden naar andere rechtsgebieden. Dat het strafrecht iets een goed vindt, maakt het in die opvatting dus geen zaak in het Burgerlijk Wetboek.

Maar er is nog een reden waarom je die arresten niet zomaar nar het algemene geval kunt trekken. Elektriciteit is sowieso geen goed voorbeeld, omdat het daar gaat om de hupsende elektronen an sich. Bij data hebben we het over de informatie die in die elektronen dan wel magnetische velden verstopt zit. Beheersing daarvan gaat toch echt een stukje anders. En bij het Runescape-arrest zat die data in een speciaal geconstrueerde omgeving waarmee het mogelijk was die data tot unieke elementen te vormen. Ik heb dat virtuele zwaard, en dus jij niet.

In het algemene geval is data iets dat te kopiëren is. Daarmee is het eigenlijk al geen zaak meer, kan het geen zaak zijn. Ga eens na wat er zou gebeuren als ik eigenaar ben van zeg een lijst plaatsnamen, en iemand maakt daar een kopie van. Is hij dan mede-eigenaar? Is die kopie dan een schending van mijn eigendom, en wat nu als hij hem onafhankelijk maakt? Volgens mij kom je dan al heel snel in volkomen onwerkbare situaties terecht.

Er zijn natuurlijk wetten die in speciale gevallen een oplossing kunnen bieden, zoals de Auteurs- of Databankenwet bij zo’n lijst, maar dat terzijde. Die wetten maken je nog steeds geen eigenaar van die data. Je kunt daarmee hooguit een kopie laten vernietigen, geen toegang eisen tot die data. Ook de AVG niet: die zegt wel dat je recht hebt op een kopie van je persoonsgegevens (en onder omstandigheden zelfs een elektronisch leesbare dump in bekend formaat) maar ook daarmee ben je er nog geen eigenaar van.

De belangrijkste reden dat ik zeg “data is niets” is uiteindelijk dat je geen enkel rechtsmiddel hebt om een kopie van je data op te eisen dat zo ongeveer onder alle omstandigheden werkt. Bij gewoon eigendom kan dat wel, de revindicatie van artikel 5:2 BW. Er moet wel iets heel bijzonders zijn wil je je eigendom niet kunnen terugkrijgen. En omdat data zo belangrijk is tegenwoordig én tegelijkertijd bij online diensten van anderen ligt, is dit wel een heel groot gevaar om je van bewust te zijn. Zorg dus dat je gewoon een kopie hebt van die data, en denk niet “oh het is mijn data dus ik eis ‘m wel op als het nodig is”.

Arnoud

Curatoren verkopen geregeld klantgegevens zonder toestemming na faillissement

| AE 11241 | Privacy | 19 reacties

Curatoren verkopen na bedrijfsfaillissementen geregeld klantgegevens door, waaronder die van failliete webwinkels. Dat meldde Tweakers woensdag. Zij baseren zich op onderzoek van De Groene Amsterdammer en onderzoeksplatform Investico. Zij bekeken verschillende faillissementen en de dataverkoop die daarmee gemoeid ging. Zo’n dataverkoop mag niet, en wie zegt van wel -of dat het ingewikkeld is- die heeft het keihard fout. Ik ergerde me dan ook rot aan het bericht. Ik wil best geloven dat niet iedere curator even diep in de AVG zit, maar de partijen die die data kopen die moeten gewoon weten dat ze privacyheling plegen.

Curatoren moeten natuurlijk de failliete boedel te gelde maken, en ik zie heus wel dat er geld te verdienen is met een lijst klantgegevens of relaties. Er zijn altijd partijen die daar geld voor geven. Deze praktijk speelt dan ook al vele jaren. Het belang van zo’n bestand was tien jaar terug niet zo heel erg groot, en je merkte er niet altijd wat van als je gegevens werden doorverkocht. Maar vandaag de dag is dat wel anders.

Onder de AVG zijn de regels vrij simpel: zowel de kopende als de verkopende partij moet een eigen grondslag hebben om dit te mogen doen. Dat je iets van een curator koopt, betekent nog niet dat je er wat mee mag doen. En als je er niks mee mag doen, dan mag je die gegevens niet hebben. Dataminimalisatie, verwijderplicht.

“Het belang van de boedel gaat gewoon voor”, zegt een curator dan. Zou hij dat ook zeggen bij een partij asbest of Viagra-pillen die hij in de boedel aantreft? Ik kan me het niet voorstellen. Ja, ik weet dat de AVG erg ingewikkeld kan zijn, maar denk dan cynisch wel altijd “vooral voor mensen die er baat bij hebben dat ze het niet begrijpen”. Want je voelt op je klompen aan dat databestanden met klantgegevens niet bedoeld zijn voor derden om reclame op te doen. Dus dan mag het niet.

Oké, het hielp niet dat de AP eind 2017 op haar website expliciet vermeldde dat curatoren wel die gegevens mogen verkopen. Maar die zin is snel weer weggehaald, en terecht. Ik blijf cynisch: tot 2017 was het dus heel onduidelijk hoe de wet werkte, ondanks dat de AP op diverse manieren aangaf dat het niet mocht. En in 2017 was het dan ineens wél duidelijk dat het mocht omdat de AP het zei, en nu de AP weer zegt dat het niet mag is het heel onduidelijk en dus blijven we het maar doen. Ik kan daar met mijn eenvoudige juristenpet niet bij.

Arnoud

Veel Nederlanders sturen werkbestanden naar privémailadres, mag dat?

| AE 10898 | Informatiemaatschappij | 16 reacties

Veel Nederlandse werknemers versturen weleens werkbestanden vanuit hun zakelijke mailbox door naar hun privémailadres, las ik bij Security.nl. Dat baseert zich op het recent verschenen Cybersecurity bewustzijnsonderzoek van Alert Online dat onder meer dan duizend Nederlanders werd uitgevoerd. Volgens het onderzoek zegt 15 procent van de respondenten dat ze dit “altijd of meestal” wel doen. 29 procent zegt soms wel, soms niet of meestal niet. Het onderzoek werd uitgevoerd door Motivaction in opdracht van Omnicom Public Relations Group (OPRG), dat de NCTV-campagne Alert Online organiseert. Ik kreeg van diverse mensen de vraag, kun je dit niet beter gewoon verbieden als werkgever?

Het kan natuurlijk een risico zijn om werkbestanden naar jezelf te mailen. Ik vermoed dat in de enquête vooral werd gedacht aan risico’s rondom de slechter beveiligde thuiscomputer, waardoor virussen er met de data vandoor kunnen gaan of deze door een foutje gemaild of geupload wordt naar een plek waar hij niet hoort. Idem voor privémailboxen die minder goed beveiligd zijn. Daarnaast zit je als bedrijf nog met AVG issues, een bestand met persoonsgegevens dat op deze manier mee naar huis gaat, kan best een datalek opleveren.

Vanwege deze risico’s kan ik me goed voorstellen dat een bedrijf haar medewerkers verbiedt om bestanden naar privéadressen te mailen en/of op sticks en dergelijke mee naar huis te nemen. Wel moet je als bedrijf dan goed hebben nagedacht hoe je het wil doen met thuiswerken, iets dat vaak de facto zeer zeker verwacht wordt van medewerkers. (Ze nemen die informatie immers niet voor niets mee naar huis.) Je kunt als goed werkgever niet enerzijds thuiswerken verlangen en anderzijds geen middel bieden om de benodigde data thuis te hebben.

In de comments zag ik nog de suggestie om werknemers aansprakelijk te stellen als ze zo’n verbod overtreden of een datalek veroorzaken door slechte beveiliging thuis. Dat gaat ‘m niet worden: juridisch gezien kun je werknemers gewoon niet privé aansprakelijk houden voor fouten die ze op het werk maken. En data meenemen naar huis om daar onveilig te werken, is gewoon een werkgerelateerde fout. Ook als het expliciet verboden is. Het arbeidsrecht is hier zeer op de hand van het personeel.

Ik ken werkgevers die om deze reden USB-poorten fysiek onbruikbaar maken en Gmail en consorten blokkeren. Dat is wat radicaal maar voorkomt een hoop ongewenste datatransporten. Je maakt het mensen dan weer wel moeilijker om hun werk te doen, dus daar moet je dan wat anders op verzinnen.

Arnoud

Het gaat bij AI niet om algoritmes, het gaat om de data die je erin stopt

| AE 10622 | Innovatie | 15 reacties

Steeds vaker lees ik over aandacht voor AI en algoritmes bij de politiek. Een goeie ontwikkeling, zeker omdat AI software steeds vaker ingezet wordt om bestuur te ondersteunen. Bijvoorbeeld het selecteren van cold cases waar potentie in zit of herkennen van potentiële onrust zodat je de geweldprotesten voor kunt zijn. Steeds vaker lees ik daarbij… Lees verder

Univé verzekert gehackte pc consument

| AE 9764 | Security | 11 reacties

Verzekeraar Univé introduceert een verzekeringspakket waarmee consumenten hun pc of smartphone kunnen beschermen tegen hackers, las ik bij AMweb. Een speciaal kastje en een hulplijn moeten voorkomen dat het misgaat. Weten cybercriminelen je pc toch te vernielen dan vergoedt de coöperatieve verzekeraar de schade. En dat voor twaalf euro per maand. Ik kreeg er veel… Lees verder

Mijn hostingprovider weigert de DNS records van mijn domeinen te overhandigen!

| AE 9527 | Informatiemaatschappij, Intellectuele rechten | 15 reacties

Een lezer vroeg me: Voor een klant moeten we meerdere domeinnamen overnemen van de huidige hoster. Echter wil de hostingpartij huidige ingestelde DNS records niet overhandigen aan zowel de klant als ons, en er is ook geen toegang tot een online omgeving waar ik deze kan downloaden. Mag men dit zo weigeren? Ja, dat mag… Lees verder

Tot eigendom van data geregeld is, kun je maar beter goede backups maken

| AE 9517 | Informatiemaatschappij | 12 reacties

Wie data opslaat bij een online backupdienst, of gebruik maakt van een SaaS-dienst voor bijvoorbeeld boekhouding of klantenadministratie, zal al snel geneigd zijn te spreken van ‘zijn’ data. Logisch: die informatie is essentieel voor die persoon, en als hij het fysiek ergens opgeslagen had, dan waren die mappen of papieren ook gewoon zijn eigendom. Maar… Lees verder

Wat is het verschil tussen data delen en data verkopen?

| AE 9412 | Security | 10 reacties

Audiobedrijf Bose werd vorige maand aangeklaagd wegens het bespioneren van zijn gebruikers, las ik bij Nu.nl. De Bose Connect-app zou bijhouden naar welke muziek en podcasts gebruikers luisteren. Het bedrijf heeft de app aangepast, maar ontkent dat die data wordt verkocht aan derden. En dan lees ik “Het bedrijf ontkent echter niet dat de gegevens… Lees verder