Wat is het verschil tussen data delen en data verkopen?

| AE 9412 | Beveiliging | 10 reacties

Audiobedrijf Bose werd vorige maand aangeklaagd wegens het bespioneren van zijn gebruikers, las ik bij Nu.nl. De Bose Connect-app zou bijhouden naar welke muziek en podcasts gebruikers luisteren. Het bedrijf heeft de app aangepast, maar ontkent dat die data wordt verkocht aan derden. En dan lees ik “Het bedrijf ontkent echter niet dat de gegevens gedeeld worden met derde partijen” en denk ik, wat is dan het verschil?

Steeds meer apparaten vergaren informatie over hun eigenaren en sturen dat naar de fabrikant. Van slimme televisies die luisteren naar wat er wordt gezegd tot beeldbewerking op afstand. Maar ook heel simpel een website die je bezoekt, verzamelt van alles over je. Commercieel heel waardevolle informatie voor derden, met name voor adverteerders. Want weten wat iemands interesses zijn, maakt het mogelijk gericht te adverteren.

Dit is op zich Ouder dan het Internet(tm): ook daarvoor al werd er driftig gehandeld in databestanden zodat je wist waar je een direct mailing het beste heen kon sturen. Verkoopcijfers van huizen, interesse in dure meubels en ga zo maar door. Verkoop van klantenbestanden en -informatie werd privacytechnisch dan ook al snel een punt van zorg.

Dit zie je op veel websites en diensten dan ook terug in de privacyverklaring: Wij verkopen uw gegevens niet aan derden. En voor zover ik weet houdt iedereen zich daar ook netjes aan. En dat is maar goed ook, want bestandenhandel is sinds de Wet bescherming persoonsgegevens eigenlijk altijd verboden – en onder de AVG of GDPR van volgend jaar helemáál.

Erg is dat niet, want er is een veel slimmer alternatief. In plaats van bestanden met waardevolle persoonsgegevens aan derden te verkopen, verhuur je een reclameplekje voor die derden op een generiek omschreven (dus niet persoonsgebonden) plekje op je site. Facebook zal mij nooit data verkopen waarin staat welke gebruikers advocaat zijn, IT-savvy en druk bezig zich in te lezen over die AVG die eraan komt. Maar ik kan wel gericht reclame tonen voor mijn boek over de AVG op precies het segment advocaat, IT-savvy en vond-ik-leukte-AVG-artikelen.

Effectief is dat hetzelfde, maar verkopen is het niet. Ik denk dus dat dat ongeveer is wat men met dat “delen maar niet verkopen” bedoelde. En het is dus legaal denk ik, omdat je geen persoonsgegevens verkoopt maar alleen geaggregeerde data. Hoe je dat wettelijk zou verbieden, weet ik niet. Dat kan dan beter bij de bron aangepakt worden: je mag zulke gegevens niet verzámelen zonder aparte toestemming, en dergelijke toestemming mag niet verbonden worden aan de koop van een ‘slim’ apparaat.

Arnoud

Wanneer mag ik websites van wanbetalers weggooien?

| AE 9182 | Contracten, Domeinnamen | 18 reacties

Een lezer vroeg me:

Wij zijn een hostingbedrijf en beginnen steeds verder te groeien. Nu lopen we af en toe tegen de situatie aan dat klanten niet meer reageren bij een verlenging en dus ook geen factuur betalen. Wij houden de boel dan netjes in de lucht, maar dat wordt steeds meer gedoe, zeker als er ook domeinnamen bij betrokken zijn. Wanneer mogen wij deze data en/of domeinnamen offline halen? En mogen ze worden gewist/opgeheven?

Wettelijk sta je als hoster in je recht als je na beëindiging contract (ook bij wanprestatie/wanbetaling) de data meteen wist. Natuurlijk moet je wel eerst het contract opzeggen (ontbinden) wegens de wanbetaling. In de praktijk moet er dus minstens een aanmaning de deur uit zijn gegaan (op papier) en moet de daarin genoemde termijn zijn verstreken.

Data bewaren na zo’n opzegging is erg netjes, maar je bent er dus niet toe verplicht. Doe je het wel, dan sta je in je recht als je een vergoeding vraagt voordat de klant die data krijgt. Ik zou wel aanraden de procedure daarover in de algemene voorwaarden op te nemen.

De domeinnaam nog een jaar aanhouden lijkt me een ander verhaal. Daar zitten voor de ondernemer kosten aan en dat kan oplopen als je groeit. Op zich kan het wel (met een vergelijkbare procedure in de algemene voorwaarden) maar het lijkt me hier net zo prima om deze gewoon te laten verlopen. De domeinnaam komt dan in quarantaine, waar de klant deze tegen een meerprijs uit kan halen. Dat is de geaccepteerde gang van zaken, en mensen moeten hem dan maar daaruit halen als ze zich bedenken en/of alsnog geld vinden.

Arnoud

Wordt het niet eens tijd om data-eigendom wettelijk te gaan regelen? #dimorefi

| AE 9167 | Internetrecht | 15 reacties

Langsgekomen bij de voorspellingen 2017: wordt het niet eens tijd om data-eigendom te gaan regelen? Data is de grondstof van de informatiesamenleving, maar juridisch gezien bestaat data niet bij diensten van diezelfde informatiemaatschappij. Dat is buitengewoon raar en leidt tot zeer onbillijke situaties. Tijd om er wat aan te gaan doen. Alleen: wát dan?

Je bent eigenaar van je data. Klinkt heel logisch, zeker vanuit het aloude mantra dat wat offline geldt, ook online moet gelden. Als je eigenaar bent van die fysieke mappen met documenten, die bonnetjes en die albums met foto’s, dan ben je dat natuurlijk ook van die gedigitaliseerde documenten, die PDF’s met bonnetjes en dat Instagram-account met foto’s.

Alleen: nee. De wet erkent het concept eigendom alleen op zaken, oftewel “voor menselijke beheersing vatbare stoffelijke objecten” (art. 3:2 BW). Computergegevens (data) vallen niet onder deze definitie, om de eenvoudige reden dat ze niet stoffelijk zijn. En dan is eigendom erop niet mogelijk.

Op virtuele objecten is eigendomsrecht wel erkend. Maar dat was een strafrechtelijke kwestie, en belangrijker: het ging om een specifiek soort data, namelijk data in een omgeving waarbij deze uniek gemaakt was. Een virtueel zwaard dat uniek is in een spel, kan worden weggenomen. Een belminuut die wordt gebeld is daarna op. In het algemeen gaat dat niet op voor data. Als iemand mijn foto kopieert, ben ik deze niet kwijt. Dus die jurisprudentie lever hier niets op.

Dan hebben we nog het auteursrecht en het databankenrecht. Op data kun je beide rechten hebben (mits creatief en/of verkregen door substantiële investering), en we noemen dat soms intellectuele eigendom ook. Maar dat gaat je niet helpen: die rechten zijn juridisch “exclusieve” rechten zoals dat heet, oftewel rechten om anderen iets te verbieden. Geen rechten om dingen mee op te eisen. Als een kopie mijn boek ergens in de winkel ligt, kan ik ze dat verbieden, maar ik kan die kopie niet opeisen van ze.

Wat is data dan wel? Niets, zeg ik altijd. Het is juridisch gezien een artefact van een dienst, en daarop heeft de opdrachtgever geen rechten. De wet ziet data bij een clouddienst als hetzelfde als de data die je butler onthoudt* tijdens zijn jarenlange dienstverband. Erg leuk en prettig, maar als de beste man met pensioen gaat dan is die data weg.

Misschien een tikje gechargeerd, maar wat ik ermee bedoel is dit: je hebt geen wettelijke aanspraak op data die je in een dienst opslaat, met een dienst genereert of dankzij een dienst verkrijgt. Je kunt die data niet opeisen, en van “jouw” data kun je al helemaal niet spreken. (Bij data over jezelf -persoonsgegevens- ligt dat een tikje anders, zeker straks onder de Privacyverordening. Maar dat laat ik even buiten beschouwing.)

Dit levert allerlei vervelende problemen op. Als een dienst wordt gestaakt, dan kan de bijbehorende data per direct de prullenbak in en als klant is daar niets aan te doen. Je hebt geen recht hier nog even een kopie van te downloaden. Ook als een dienst eenvoudigweg weigert die data beschikbaar te stellen voor download, dan houdt het snel op. Men mag zelfs in de voorwaarden verbieden dat je die data gaat downloaden (bijvoorbeeld door de website te scrapen of met een script alle data te downloaden).

Tijd voor de politiek, zou je zeggen. Als data zo belangrijk is voor de maatschappij, dan moet eigendom daarop wettelijk vastgelegd worden.

Alleen: hoe dan?

Je kunt natuurlijk botweg zeggen, we schuiven “en op digitale gegevens gegenereerd of opgeslagen middels diensten van de informatiemaatschappij” in artikel 3:2 BW. Dan is data je eigendom, punt. Maar dat creëert wel gigantische afbakeningsproblemen. Is de logfile met informatie over mijn logins dan ook “mijn” data? De reacties onder mijn blog, zijn die van mij of van mijn reageerders?

Een andere insteek is te handelen vanuit de problemen die er zijn. Je data ben je kwijt als de dienstverlener de dienst staakt of de toegang weigert, oké dat is een probleem dus laten we wettelijk zeggen dat dat niet mag. Een dienstverlener is gehouden data opgeslagen of gegenereerd door een gebruiker van zijn dienst in kopie te geven op verzoek, zoiets. Dat kan, alleen moet je dan wel elk probleem zien te onderkennen en daar een artikel voor schrijven. Bijvoorbeeld bij faillissement, dat de curator ook die plicht op zich heeft. En dat een schadeplicht ontstaat als die data weg is. Of dat de data pas weg mag nadat een redelijke termijn voor een download is verstreken.

Maar welke insteek je ook kiest, dan kom je bij het volgende probleem. Welke data, en hoe dan? Dat is geen simpele vraag. Moeten foto’s in het originele geüploade RAW formaat, of in de JPEG’s waarmee ze gepubliceerd worden? In welk formaat moet een Facebook-profiel worden geëxporteerd? Of de reacties op mijn blog? De todo-items uit mijn handige appjes?

Open standaarden, hoor ik van de achterste rij. Ja, mooi principe alleen gaat dat werken? Moet je dan voor álles een open standaard maken? Is er een standaard voor todo items of voor ticketbestellingen bij het theater via die mooie app? Of is die lijst met ticketbestellingen te triviaal om data-eigendom voor te laten gelden?

Dus nee. Ik denk echt dat de kwestie van data-eigendom een van de belangrijkste open issues uit de informatiemaatschappij is en vind het een nobel idee om dit te gaan regelen, maar het is allesbehalve triviaal hoe we dit voor elkaar moeten krijgen.

Arnoud<br/> * Hier zou een grap moeten over “Dat mag Joost weten, maar ik weet hem even niet.

Zijn wij aansprakelijk als onze systeembeheerder alle klantdata wist?

| AE 9141 | Aansprakelijkheid, Arbeidsrecht | 17 reacties

Een lezer vroeg me: Wij zijn een klein hostingbedrijf en vroegen ons het volgende af. Stel een van onze systeembeheerders met root toegang besluit op een kwade dag om álle klantdata te wissen, en meteen ook maar de backups. Theoretisch kunnen zij dat, en waarschijnlijk ongemerkt ook. In hoeverre zijn wij dan als bedrijf aansprakelijk… Lees verder

Moet ransomware apart strafbaar worden gesteld?

| AE 8589 | Beveiliging | 22 reacties

Californië wordt zeer waarschijnlijk de eerste Amerikaanse staat die een aparte wet tegen ransomware krijgt, las ik bij Security.nl. Het wetsvoorstel verbiedt het infecteren van computers met ransomware en stelt dit gelijk aan afpersing. Er komt maximaal vier jaar cel op te staan. Dat voelt wat overdreven; afpersing is toch al lang strafbaar? Het probleem… Lees verder

Ben je nou eigenaar van je gekochte ebooks of niet?

| AE 8508 | Innovatie | 30 reacties

Je bent geen eigenaar van je ebooks als er DRM op zit, las ik bij Gizmodo. Je krijgt slechts een tijdelijk leesprivilege. Dat concludeert men uit het staken van eboekenleverancier Nook. Hierdoor worden alle aangekochte boeken ontoegankelijk. Men “werkt aan een oplossing” en bladiebla, maar ondertussen zijn je boeken dus mooi weg. Kan dat zomaar,… Lees verder

Mag ik hacken om mijn klant te migreren naar een nieuwe omgeving?

| AE 6478 | Hacken | 31 reacties

Een lezer vroeg me: Een nieuwe klant vroeg ons hen te migreren naar een nieuwe omgeving. Echter, er blijkt een geschil te zijn met de huidige ICT-leverancier en mijn klant heeft de benodigde wachtwoorden dan ook niet. De klant heeft me gevraagd de betreffende systemen te hacken omdat dat geschil nog wel even kan duren… Lees verder