Internetrecht door Arnoud Engelfriet

De gegevens van 92.901 leden en oud-leden van de Nederlandse politieke partij Forum voor Democratie zijn gelekt. Dat meldde Tweakers donderdag. De administratieserver had een fout waardoor je zonder controle lidmaatschapsgegevens kon opvragen (namen, e-mailadressen, telefoonnummers en rekeningnummers van leden en oud-leden). Auw. De journalisten van RTL Nieuws kregen 92.901 records te pakken. Wat de vraag opriep: mag dat eigenlijk wel, zo’n lijst downloaden, gaat dat niet te ver?

Het lek is ondertussen gedicht, en afgezien van een melding bij de AP en een dreiging met aangifte tegen iedereen die de gegevens misbruikt lijkt er niets meer van te komen. Maar het punt blijft: had je als journalist zo ver mogen gaan?

Hoofdregel is natuurlijk dat ook journalisten zich aan de wet moeten houden. Maar er is een uitzondering: als het absoluut noodzakelijk is voor het aan de kaak stellen van een ernstige misstand, dan mag je verder gaan. Inclusief dus inbreken in een computersysteem, wanneeer dat dus de enige manier is om vast te stellen dat daar inderdaad een lek zit.

De omvang van het lek vaststellen mag ook, want dat is dan deel van het nieuws. Maar dan krijg je het dilemma: is het nodig om 92.901 records te downloaden om te controleren of je werkelijk álle ledengegevens te pakken kunt krijgen? Kun je niet volstaan met enkele records te zoeken (op je eigen naam, of op de naam van bekende leden, zodat je geen nodeloze schade aanricht) om zo de omvang van het probleem vast te stellen?

In de al wat oudere Nieuwe Revu-zaak werd het hacken van de mailbox van de toenmalige Staatssecretaris van Defensie legaal geacht, maar het vervolgens snuffelen in de mails dan weer niet. Voor het nieuwsfeit “is die mailbox zwak beveiligd” was op zich aanleiding, maar “hij doet mogelijk staatszaken in de privémailbox” was te theoretisch. En Henk Krol kreeg in 2013 ook een boete voor het grasduinen in EPD dossiers na bewezen te hebben dat een arts een zwak wachtwoord had, zij het dat meewoog dat hij dat voor de televisiecamera deed.

Mijn eerste gevoel bij deze zaak is dat omdat het hier gaat om zeer gevoelige gegevens, je in je recht staat om vast te stellen hoe ernstig de zaak precies is. Dan is downloaden van de gehele dataset wel nodig, al is het maar om te kunnen reageren op de onvermijdelijke downplaying die menig organisatie zou doen bij een dergelijk nieuwsbericht. Natuurlijk moet je die dataset vervolgens ergens in een kluis stoppen en verder niet aankomen.

Weet er iemand een andere manier om dit lek te valideren op zo’n manier dat de scope vast komt te staan maar zónder dat je alle records downloadt?

Arnoud

De coldcaseteams van de Amsterdamse en Rotterdamse politie willen de Amerikaanse particuliere DNA-databank GEDmatch inzetten om de identiteit van onbekende doden te achterhalen. Dat meldde NRC gisteren. GEDmatch is een openbare, Amerikaanse databank waarin genetische gegevens van allerlei mensen zitten, en daarin kan iedereen zoeken op potentiële matches. Daarmee is in theorie de mogelijkheid voor de politie om ook te zoeken naar bijvoorbeeld een verdachte, of een bloedverwant van een slachtoffer. Maar het roept de nodige vragen op, omdat juridisch niet duidelijk is of men dit überhaupt mag.

Genetische informatie zoals DNA valt onder de AVG onder de strenge regels voor bijzondere persoonsgegevens. Deze mogen niet zomaar worden gebruikt, omdat er zeer gevoelige informatie uit afgeleid kan worden. Je eigen DNA in zo’n databank plaatsen mag in principe wel, wanneer daarbij duidelijk wordt gezegd wat en hoe er gaat gebeuren – je geeft dan uitdrukkelijke toestemming. Maar een complicatie is dat DNA ook informatie over anderen bevat, en dan kun je dus zeggen dat je andermans persoonsgegevens staat te uploaden.

Voor de politie en het OM geldt de AVG niet. Zij moeten zich houden aan de Wet politiegegevens en het Wetboek van Strafvordering. Onder de Wet politiegegevens mag er iets meer; als verwerking “onvermijdelijk is voor het doel van de verwerking” waarvoor andere gegevens worden gebruikt. Ik denk niet dat je daar snel aan komt met genetisch materiaal uit een openbare databank.

In het Wetboek van Strafvordering staan een aantal bevoegdheden over inzet en onderzoek van DNA-materiaal, en er is ook een Besluit DNA-onderzoek in strafzaken met nadere regels. Maar het probleem is eigenlijk vrij simpel: al deze regels gaan uit van matches in individuele zaken. Er is DNA bij het slachtoffer gevonden en dat willen we matchen aan de verdachte, even kort door de bocht. Er is gewoon geen regel die toeziet op het gebruik van grootschalige bronnen van DNA-materiaal. Dat is niet gek, want die regels zijn gemaakt voordat dergelijke databanken bestonden.

Dit maakt de situatie voor de cold case teams erg ingewikkeld, want in principe geldt voor opsporingsdiensten dan de regel dat het niet mag. De politie mag niets tenzij de wet zegt van wel, even weer heel kort door de bocht. Maar dat voelt specifiek bij het oplossen van oude zaken wel heel erg cru. Dit is wellicht de laatste kans om de zaak nog op te lossen, en het gaat om ernstige zaken zoals moord zodat het maatschappelijk belang wel héél zwaarwegend voelt.

Voor het identificeren van slachtoffers ligt dat anders. De AVG geldt niet bij overledenen, en datzelfde geldt op de Wet politiegegevens. Ik denk dus dat DNA materiaal wel mag worden gebruikt om te achterhalen wie een onbekende is, mits dat uitsluitend wordt ingezet voor het doel van informeren van de nabestaanden.

Arnoud

Een lezer vroeg me:

Ik ben bezig met het opbouwen van een databank met foto’s en informatie van jukeboxen. Ik wil dit commercieel gaan aanbieden via een app voor jukebox-verzamelaars. Hoe moet ik omgaan met copyrights? Complicerende factor is dat de meeste bedrijven die deze jukeboxen maakten, al lang failliet zijn.

Het ontwerp van een jukebox zal in veel gevallen auteursrechtelijk zijn beschermd. Auteursrecht kan ook gelden voor het uiterlijk van een apparaat; de eis is immers alleen dat er iets creatiefs in het werk zit, het stempel van de maker zoals dat vroeger heette.

(Naast auteursrecht is er ook het modellenrecht, waarbij het uiterlijk van een gebruiksvoorwerp kan worden vastgelegd tegen namaak. De eis van het modellenrecht is nog lager dan die van het auteursrecht, namelijk alleen dat er iets nieuws zit in de vormgeving. Maar die rechten verlopen normaliter na tien jaar, dus daar zou ik me bij deze oude apparaten niet druk om maken.)

Een foto van een auteursrechtelijk beschermd werk is een kopie (verveelvoudiging) daarvan, en die mag alleen als daar toestemming voor is of een uitzondering uit de auteurswet opgaat. De meest voor de hand liggende uitzondering lijkt me het citaatrecht: je wilt in een databank over het product kunnen laten zien hoe dit type eruit ziet, en dat kan redelijkerwijs alleen goed met een foto daarvan.

Natuurlijk mag de foto niet te groot zijn, hij moet een beeld geven van de soort jukebox maar meer ook niet. De app mag in geen geval een verkapte fotodatabase zijn waarbij in feite alleen maar de foto’s worden verkocht en er een paar regels tekst voor de vorm onder staan. Ook moet je de naam van de fabrikant noemen, citaatrecht eist immers een bronvermelding.

Het punt van faillissement zou niet moeten spelen bij citaatrecht. Zolang het auteursrecht bestaat, mag je citeren. Maar als je buiten het citaatrecht gaat, dan is het wel lastig: er is dan niemand meer om toestemming te vragen. Wat moet je dan?

Voor niet-commerciële erfgoedinstellingen is er sinds kort een uitzondering bij over verweesde werken (art. 16o Auteurswet). Maar deze app lijkt me commercieel gericht, daar gaat deze uitzondering dus niet op.

En dan houdt het op: je moet dan beslissen of je het risico wilt nemen dat die fabriek toch iets minder failliet was dan je dacht én een claim in gaat dienen wegens schending van zijn rechten.

Arnoud

De Nederlandse vergelijkingssite PR Aviation mag geen gegevens scrapen van de website van Ryanair, zodat prijzen automatisch in de vergelijker terechtkomen. Dat meldde Nu.nl gisteren. Het Hof van Justitie bepaalde namelijk dat hoewel de data van Ryanair niet beschermd is, het bedrijf met hun gebruiksvoorwaarden mag verbieden dat mensen deze gegevens gebruiken in prijsoverzichten. Wát… Lees verder

Een lezer vroeg me: Wij hebben als bedrijf behoorlijk veel data en overwegen dit nu in de cloud op te slaan. Maar mag dat wettelijk gezien of moeten we per se dit zelf in Nederland beheren? Er is geen algemene wet of regel die bepaalt dat een Nederlands bedrijf bedrijfsgegevens in Nederland moet opslaan, of… Lees verder

Een bekende zoeksite voor potentiële autokopers, Gaspedaal.nl, maakt inbreuk op de database van concurrent Autotrack.nl, zo las ik in de Volkskrant. De rechterlijke uitspraak kan verregaande gevolgen hebben voor de uitgevers van auto- maar bijvoorbeeld ook vacaturesites, die leven van het verzamelen van gegevens uit de databanken van andere sites, roept de krant vervolgens. Met… Lees verder

Het kabinet gaat de voorgestelde meldplicht voor datalekken beperken, las ik bij Tweakers. Bedrijven en organisaties zijn volgens de nieuwe voorstellen alleen verplicht melding te maken van datalekken als deze als ‘ernstig’ zijn te kwalificeren in plaats van zodra er een “aanmerkelijke kans” is dat er verlies of misbruik kan ontstaan, zo staat in de… Lees verder

Het maken en publiceren van stambomen blijft een onderwerp met lastige juridische vragen. Met name waar het gaat om gebruik van gegeven die anderen hebben verzameld. Het verzamelen van brongegevens voor een stamboom is een tijdrovend werk. Hergebruik van andermans gegevens is daarentegen buitengewoon eenvoudig, zeker als alles gewoon op internet staat. Niet zo gek… Lees verder

Met je eigen zoekmachine op de achtergrond andermans beschermde databanken doorzoeken en dan de resultaten als je eigen presenteren is inbreuk op het databankrecht. Dat is het oordeel van het Hof van Justitie in de Gaspedaal/Autotrack-saga die al sinds 2007 of daaromtrent loopt. Gaspedaal bood een metazoekmachine voor auto-advertenties: wie bij haar zocht op bepaalde… Lees verder

Een lezer vroeg me: Ik zat laatst te bedenken hoe er heel veel informatie op wikipedia wordt samengesteld uit andere bronnen en deze vervolgens op wikipedia worden gepubliceerd onder een “Creative Commons Attribution-ShareAlike License”. Een voorbeeld is de landencodelijst ISO 3166 die zomaar op Wikipedia staat. Mag dat zomaar, integraal zo’n lijst overnemen als je… Lees verder