Mag je onderzoeken naar een datalek bij een politieke partij?

De gegevens van 92.901 leden en oud-leden van de Nederlandse politieke partij Forum voor Democratie zijn gelekt. Dat meldde Tweakers donderdag. De administratieserver had een fout waardoor je zonder controle lidmaatschapsgegevens kon opvragen (namen, e-mailadressen, telefoonnummers en rekeningnummers van leden en oud-leden). Auw. De journalisten van RTL Nieuws kregen 92.901 records te pakken. Wat de vraag opriep: mag dat eigenlijk wel, zo’n lijst downloaden, gaat dat niet te ver?

Het lek is ondertussen gedicht, en afgezien van een melding bij de AP en een dreiging met aangifte tegen iedereen die de gegevens misbruikt lijkt er niets meer van te komen. Maar het punt blijft: had je als journalist zo ver mogen gaan?

Hoofdregel is natuurlijk dat ook journalisten zich aan de wet moeten houden. Maar er is een uitzondering: als het absoluut noodzakelijk is voor het aan de kaak stellen van een ernstige misstand, dan mag je verder gaan. Inclusief dus inbreken in een computersysteem, wanneeer dat dus de enige manier is om vast te stellen dat daar inderdaad een lek zit.

De omvang van het lek vaststellen mag ook, want dat is dan deel van het nieuws. Maar dan krijg je het dilemma: is het nodig om 92.901 records te downloaden om te controleren of je werkelijk álle ledengegevens te pakken kunt krijgen? Kun je niet volstaan met enkele records te zoeken (op je eigen naam, of op de naam van bekende leden, zodat je geen nodeloze schade aanricht) om zo de omvang van het probleem vast te stellen?

In de al wat oudere Nieuwe Revu-zaak werd het hacken van de mailbox van de toenmalige Staatssecretaris van Defensie legaal geacht, maar het vervolgens snuffelen in de mails dan weer niet. Voor het nieuwsfeit “is die mailbox zwak beveiligd” was op zich aanleiding, maar “hij doet mogelijk staatszaken in de privémailbox” was te theoretisch. En Henk Krol kreeg in 2013 ook een boete voor het grasduinen in EPD dossiers na bewezen te hebben dat een arts een zwak wachtwoord had, zij het dat meewoog dat hij dat voor de televisiecamera deed.

Mijn eerste gevoel bij deze zaak is dat omdat het hier gaat om zeer gevoelige gegevens, je in je recht staat om vast te stellen hoe ernstig de zaak precies is. Dan is downloaden van de gehele dataset wel nodig, al is het maar om te kunnen reageren op de onvermijdelijke downplaying die menig organisatie zou doen bij een dergelijk nieuwsbericht. Natuurlijk moet je die dataset vervolgens ergens in een kluis stoppen en verder niet aankomen.

Weet er iemand een andere manier om dit lek te valideren op zo’n manier dat de scope vast komt te staan maar zónder dat je alle records downloadt?

Arnoud

Nederlandse politie wil gebruikmaken van particuliere DNA-databank in VS

De coldcaseteams van de Amsterdamse en Rotterdamse politie willen de Amerikaanse particuliere DNA-databank GEDmatch inzetten om de identiteit van onbekende doden te achterhalen. Dat meldde NRC gisteren. GEDmatch is een openbare, Amerikaanse databank waarin genetische gegevens van allerlei mensen zitten, en daarin kan iedereen zoeken op potentiële matches. Daarmee is in theorie de mogelijkheid voor de politie om ook te zoeken naar bijvoorbeeld een verdachte, of een bloedverwant van een slachtoffer. Maar het roept de nodige vragen op, omdat juridisch niet duidelijk is of men dit überhaupt mag.

Genetische informatie zoals DNA valt onder de AVG onder de strenge regels voor bijzondere persoonsgegevens. Deze mogen niet zomaar worden gebruikt, omdat er zeer gevoelige informatie uit afgeleid kan worden. Je eigen DNA in zo’n databank plaatsen mag in principe wel, wanneer daarbij duidelijk wordt gezegd wat en hoe er gaat gebeuren – je geeft dan uitdrukkelijke toestemming. Maar een complicatie is dat DNA ook informatie over anderen bevat, en dan kun je dus zeggen dat je andermans persoonsgegevens staat te uploaden.

Voor de politie en het OM geldt de AVG niet. Zij moeten zich houden aan de Wet politiegegevens en het Wetboek van Strafvordering. Onder de Wet politiegegevens mag er iets meer; als verwerking “onvermijdelijk is voor het doel van de verwerking” waarvoor andere gegevens worden gebruikt. Ik denk niet dat je daar snel aan komt met genetisch materiaal uit een openbare databank.

In het Wetboek van Strafvordering staan een aantal bevoegdheden over inzet en onderzoek van DNA-materiaal, en er is ook een Besluit DNA-onderzoek in strafzaken met nadere regels. Maar het probleem is eigenlijk vrij simpel: al deze regels gaan uit van matches in individuele zaken. Er is DNA bij het slachtoffer gevonden en dat willen we matchen aan de verdachte, even kort door de bocht. Er is gewoon geen regel die toeziet op het gebruik van grootschalige bronnen van DNA-materiaal. Dat is niet gek, want die regels zijn gemaakt voordat dergelijke databanken bestonden.

Dit maakt de situatie voor de cold case teams erg ingewikkeld, want in principe geldt voor opsporingsdiensten dan de regel dat het niet mag. De politie mag niets tenzij de wet zegt van wel, even weer heel kort door de bocht. Maar dat voelt specifiek bij het oplossen van oude zaken wel heel erg cru. Dit is wellicht de laatste kans om de zaak nog op te lossen, en het gaat om ernstige zaken zoals moord zodat het maatschappelijk belang wel héél zwaarwegend voelt.

Voor het identificeren van slachtoffers ligt dat anders. De AVG geldt niet bij overledenen, en datzelfde geldt op de Wet politiegegevens. Ik denk dus dat DNA materiaal wel mag worden gebruikt om te achterhalen wie een onbekende is, mits dat uitsluitend wordt ingezet voor het doel van informeren van de nabestaanden.

Arnoud

Mag ik een databank met jukeboxen opbouwen?

jukebox-auteursrechtEen lezer vroeg me:

Ik ben bezig met het opbouwen van een databank met foto’s en informatie van jukeboxen. Ik wil dit commercieel gaan aanbieden via een app voor jukebox-verzamelaars. Hoe moet ik omgaan met copyrights? Complicerende factor is dat de meeste bedrijven die deze jukeboxen maakten, al lang failliet zijn.

Het ontwerp van een jukebox zal in veel gevallen auteursrechtelijk zijn beschermd. Auteursrecht kan ook gelden voor het uiterlijk van een apparaat; de eis is immers alleen dat er iets creatiefs in het werk zit, het stempel van de maker zoals dat vroeger heette.

(Naast auteursrecht is er ook het modellenrecht, waarbij het uiterlijk van een gebruiksvoorwerp kan worden vastgelegd tegen namaak. De eis van het modellenrecht is nog lager dan die van het auteursrecht, namelijk alleen dat er iets nieuws zit in de vormgeving. Maar die rechten verlopen normaliter na tien jaar, dus daar zou ik me bij deze oude apparaten niet druk om maken.)

Een foto van een auteursrechtelijk beschermd werk is een kopie (verveelvoudiging) daarvan, en die mag alleen als daar toestemming voor is of een uitzondering uit de auteurswet opgaat. De meest voor de hand liggende uitzondering lijkt me het citaatrecht: je wilt in een databank over het product kunnen laten zien hoe dit type eruit ziet, en dat kan redelijkerwijs alleen goed met een foto daarvan.

Natuurlijk mag de foto niet te groot zijn, hij moet een beeld geven van de soort jukebox maar meer ook niet. De app mag in geen geval een verkapte fotodatabase zijn waarbij in feite alleen maar de foto’s worden verkocht en er een paar regels tekst voor de vorm onder staan. Ook moet je de naam van de fabrikant noemen, citaatrecht eist immers een bronvermelding.

Het punt van faillissement zou niet moeten spelen bij citaatrecht. Zolang het auteursrecht bestaat, mag je citeren. Maar als je buiten het citaatrecht gaat, dan is het wel lastig: er is dan niemand meer om toestemming te vragen. Wat moet je dan?

Voor niet-commerciële erfgoedinstellingen is er sinds kort een uitzondering bij over verweesde werken (art. 16o Auteurswet). Maar deze app lijkt me commercieel gericht, daar gaat deze uitzondering dus niet op.

En dan houdt het op: je moet dan beslissen of je het risico wilt nemen dat die fabriek toch iets minder failliet was dan je dacht én een claim in gaat dienen wegens schending van zijn rechten.

Arnoud

Scrapen mag in de gebruiksvoorwaarden worden verboden, argh

De Nederlandse vergelijkingssite PR Aviation mag geen gegevens scrapen van de website van Ryanair, zodat prijzen automatisch in de vergelijker terechtkomen. Dat meldde Nu.nl gisteren. Het Hof van Justitie bepaalde namelijk dat hoewel de data van Ryanair niet beschermd is, het bedrijf met hun gebruiksvoorwaarden mag verbieden dat mensen deze gegevens gebruiken in prijsoverzichten. Wát een vervelende uitspraak.

Ryanair en PR Aviation hebben al jaren een slepend conflict over of de laatste de prijzen van Ryanair mag opvragen en in haar vergelijker mag opnemen.

Ryanair beriep zich daarbij altijd op haar auteursrecht en databankrecht, maar dat werd eerder door onze Hoge Raad afgewezen: er zit geen auteursrecht of databankrecht op een prijslijst, kom nou. Voor auteursrecht moet je iets creatiefs doen in de tekst, en daar is geen sprake van. En voor een databankrecht moet je investeringen hebben gedaan die specifiek zagen op het maken van de prijslijst, en die zijn er niet. Dat je investeert in je dienstregeling, is irrelevant: dat gaat niet over de lijst zelf.

Als laatste redmiddel had Ryanair ook nog in haar gebruiksvoorwaarden opgenomen dat je niet mocht scrapen. En het Hof van Justitie zegt nu dat dát rechtsgeldig is (in principe), ook al blokkeer je daarmee de rechten die mensen hebben om auteursrechtelijke of databankrechtelijke informatie te gebruiken. Die rechten zijn namelijk niet aan de orde omdat er geen auteursrecht of databankrecht rust op deze data.

Dus, eh, als er auteursrecht op zit dan mag ik citeren en als het een databankrecht is dan mag ik kleine stukjes overnemen voor legitieme doelen, maar als er géén bescherming is dan mag ik niets? Dat lijkt me een beetje raar, dan ga je toch als site met prijzen altijd zeggen, ik heb geen databankrecht, blijf van mijn data?

Welnee joh, zegt het Hof:

Een dergelijk betoog gaat immers voorbij aan het juridische en economische belang dat voor de persoon die heeft geïnvesteerd in het aanleggen van een databank, besloten ligt in de in de lidstaten geharmoniseerde automatische bescherming die verbonden is aan het uit het auteursrecht voortvloeiende uitsluitend recht om de verschillende in artikel 5 van richtlijn 96/9 genoemde handelingen aan zichzelf voor te behouden, en aan het recht om op grond van het recht sui generis de in de artikelen 7, leden 1 en 5, en 8, lid 2, van de richtlijn genoemde handelingen te verbieden.

Oftewel: omdat een databankrecht zo leuk is, gaan bedrijven als Ryanair écht liever investeren in alsnog een databankrecht (met verplicht toelaten dat je gescrapet wordt) dan dat ze nu op hun data blijven zitten en “Blijf met je rotpoten van onze rotprijzen af” in juridische taal roepen. Eh, juist.

Inderdaad, ik vind dit storend. Zoekmachines en prijsvergelijkers hebben een legitieme functie in de maatschappij en behoren prijsinformatie en dergelijke transparant te kunnen maken. Daar moet auteursrecht of databankrecht niet aan in de weg staan, daar zijn die rechten niet voor bedoeld. En oké het Hof laat doorschemeren dat dat niet gaat lukken, maar was het nou écht nodig om te zeggen dat je bij afwezigheid van die rechten een pseudo-recht kunt claimen met een contractuele afspraak? Want je wéét dat iedereen de komende jaren gaat roepen “wij hebben ergens een disclaimer met magniet erin, dus je bent in Ernstige Mate Maatschappelijk Onzorgvuldig en wanprestatie en juridische foei”.

Het enige lichtpuntje is dat er natuurlijk wel een contract moet zijn tussen de site en de scrapende bezoeker. En daarvoor is (zou ik zeggen) wel meer nodig dan dat je ergens een bestandje “gebruiksvoorwaarden” neerzet, zeker als je ongebruikelijke bepalingen opneemt zoals “je mag geen prijzen overnemen”. Dus ik hoop dat de Nederlandse rechter die straks het eindarrest moet wijzen, een duidelijke uitspraak doet wanneer je nu met website-gebruiksvoorwaarden een contract tot stand brengt met je bezoeker.

Arnoud

Moet je klantgegevens per se in Nederland opslaan?

disc-data-weg-bewaren-kruis.jpgEen lezer vroeg me:

Wij hebben als bedrijf behoorlijk veel data en overwegen dit nu in de cloud op te slaan. Maar mag dat wettelijk gezien of moeten we per se dit zelf in Nederland beheren?

Er is geen algemene wet of regel die bepaalt dat een Nederlands bedrijf bedrijfsgegevens in Nederland moet opslaan, of zelfs maar in Europa. Je bent daar als bedrijf dus vrij in.

De enige hierbij relevante wet die ik kan bedenken, is de Wet bescherming persoonsgegevens. Wanneer die bedrijfsgegevens iets zeggen over personen (bijvoorbeeld klantdata of personeelsadministratie) dan moeten die worden behandeld volgens deze wet.

De Wbp bepaalt grofweg dat je persoonsgegevens alleen mag opslaan binnen de Europese Unie (art. 76 Wbp) behalve in enkele specifieke gevallen. Zo mag het met aparte toestemming van de betrokken personen of wanneer het nodig is voor afwikkeling van een contract met die persoon. Bemiddel je bij aankoop bij een Amerikaans bedrijf, dan mag je dat bedrijf de klantgegevens geven want anders kan die koop niet worden afgehandeld.

Verder neem je een risico als je gegevens in een ver buitenland opslaat. Wat als het bedrijf ermee ophoudt, of iets simpeler gewoon weigert je toegang tot de bedrijfsgegevens te geven? Je kunt dan moeilijker naar de rechter dan in Nederland. En dat is een risico want stel de Belastingdienst wil inzage in je administratie en die staat net in de Braziliaanse cloud die even down is (huh, een wolk die beneden is?), wat dan?

Technische oplossingen zijn hier misschien beter dan juridische trouwens: ook de hardste SLA en de beste relaties met je leverancier beschermen je niet tegen faillissementen of andere calaimiteiten. Een extra backup ergens anders is dus altijd aan te bevelen.

Arnoud

De implicaties van het Gaspedaal-arrest voor metazoekmachines

Een bekende zoeksite voor potentiële autokopers, Gaspedaal.nl, maakt inbreuk op de database van concurrent Autotrack.nl, zo las ik in de Volkskrant. De rechterlijke uitspraak kan verregaande gevolgen hebben voor de uitgevers van auto- maar bijvoorbeeld ook vacaturesites, die leven van het verzamelen van gegevens uit de databanken van andere sites, roept de krant vervolgens. Met als gevolg dat mijn inbox vol zat met vragen van metazoekmachines: moeten we nu stoppen?

Autozoekersite Gaspedaal sluisde zoekopdrachten die mensen op hun site doen, door naar de zoekmachine van AutoTrack en herformatteerde de resultaten zodat het lijkt of je op Gaspedaal zoekt. AutoTrack meende dat zij een databankrecht had en dat Gaspedaal dit schond op deze manier. Na een voor Gaspedaal negatief vonnis ging men in hoger beroep, waarop het Gerechtshof haar juridische hulplijn inzette en het Hof van Justitie om antwoord op prejudiciële vragen omtrent het databankenrecht bij realtime metazoekmachines vroeg. En dat antwoord kwam in december vorig jaar.

Het arrest volgt de uitspraak van het Hof van Justitie op de voet. Onder het databankenrecht mag je andermans databank niet hergebruiken. En er is onder meer sprake van ‘hergebruiken’ als je, zoals Gaspedaal doet:

  • “in wezen dezelfde functionaliteiten” biedt als je bronnen,
  • je realtime data opvraagt bij diezelfde bronnen,
  • de resultaten ontdubbelt en
  • de bevindingen vervolgens in een eigen layout presenteert.

Het is dus niet -zoals de Volkskrant nogal alarmistisch roept- een algeheel verbod op metazoekmachines. Deze vier punten tesamen waren de juridische overtreding, dus wie op deze punten anders werkt, is niet automatisch ook in overtreding.

Belangrijkste lijkt me dat je een eigen dienst levert, dus niet slechts het doorzoeken van andermans databank. Ga je realtime opvragen, dan kom je in de gevarenzone. En ga je daarna de resultaten ombouwen tot ‘eigen’ resultaten (ontdubbelen en eigen layout) dan heb je een serieus probleem.

Dat realtime een probleem is, verbaast me een beetje. Ik zie weinig verschil tussen realtime en eens per dag. Misschien omdat het een hogere belasting neerlegt bij de server van de database-eigenaar? Google moet met eigen servers haar webindex doorzoekbaar maken, Gaspedaal kon het doorzoeken lekker bij AutoTrack laten liggen.

Voor mij is het ombouwen belangrijker. Daarmee presenteer je jezelf niet duidelijk als een metazoekmachine, maar kan de indruk ontstaan dat jij in feite de databank zelf beheert. Een soort van aanhaken bij andermans databank-investering dus. En dat is uiteindelijk waar het databankenrecht over gaat.

En dat ontdubbelen hoort daarbij, daarmee stap je weg van je positie als neutrale indexator en overzichtsmaker. Als Google duplicaten van webpublicaties bij elkaar zou gaan vegen, zou dit dus ook problematisch voor ze worden.

Wie weet er voorbeelden die voldoen aan deze vier criteria? Google valt af, want doet niets realtime en heeft hele andere functionaliteiten dan haar bronnen.

Arnoud

Kabinet zwakt wetsvoorstel meldplicht datalekken af

persoon-persoonsgegeven-veilig-hek-beschermd-lek-dataHet kabinet gaat de voorgestelde meldplicht voor datalekken beperken, las ik bij Tweakers. Bedrijven en organisaties zijn volgens de nieuwe voorstellen alleen verplicht melding te maken van datalekken als deze als ‘ernstig’ zijn te kwalificeren in plaats van zodra er een “aanmerkelijke kans” is dat er verlies of misbruik kan ontstaan, zo staat in de nota van wijziging.

Tsja. Het is subtiel woordenspel; in beide situaties moet de melder interpreteren of een diefstal of lek onder de wet valt. Ik weet niet of we daar heel gelukkig van worden. Ik denk dat met alle formuleringen die we gaan verzinnen, een melder of zijn slimme ICT-jurist een interpretatie weet te verzinnen waarom zijn lek er niet onder valt. “Nee sorry Heartbleed is geen ernstig datalek want er is geen aanwijzing in onze logs dat iemand het servergeheugen heeft leeggetrokken.”

Nee weet je: eigenlijk ben ik gewoon tégen een meldplicht. Mensen worden daar melddoof van – zie de cookiewet. Als je mensen om de haverklap vertelt dat er iets is, dan gaan ze dat negeren. Er is iets ernstig mis met je systeem als je denkt dat de oplossing is om mensen te waarschuwen. (Of je bent erg lui.)

Bovendien, specifiek bij datalekken, wat kún je doen? Stel mijn naam en huisadres worden gelekt. Wat moet ik dan? Verhuizen? Dat gaat toch niet? Ja oké bij een mailadres kan dat wel maar moet ik dan een ander mailadres nemen omdat een of andere nieuwsbriefbeheerder zo dom is een lekke database te hebben?

Nee. De vervuiler betaalt. Als jij zo dom bent, dan mag jij mij een vergoeding betalen als er overlast betaalt. In juridische termen: dan gaan we de directie eens aansprakelijk stellen voor verlies of diefstal van persoonsgegevens. En ja ik weet dat die schade moeilijk te kwantificeren is, dus daarom moet er in de wet komen te staan dat persoonsgegevens een vast bedrag waard zijn, zeg €150. En vervolgens moet de beheerder dus bij een datalek aan alle nieuwsbrieflezers €150 de man betalen.

Wedden dat bedrijven dan wél serieus gaan investeren in dichttimmeren van hun persoonsgegevendatabanken?

Arnoud

Mag je andermans stamboom overnemen onder auteursrecht of databankrecht?

stamboom-genealogie.pngHet maken en publiceren van stambomen blijft een onderwerp met lastige juridische vragen. Met name waar het gaat om gebruik van gegeven die anderen hebben verzameld.

Het verzamelen van brongegevens voor een stamboom is een tijdrovend werk. Hergebruik van andermans gegevens is daarentegen buitengewoon eenvoudig, zeker als alles gewoon op internet staat. Niet zo gek dus dat iemand die stamboomgegevens heeft verzameld, het niet leuk vindt als een ander die gebruikt.

Toch is daar juridisch wat tegen doen, niet eenvoudig. Het meest voor de hand liggende recht, het auteursrecht, gaat eigenlijk niet op bij stambomen. Voor auteursrecht moet je creatieve arbeid hebben verricht. En hoewel het verzamelen en combineren van gegevens veel arbeid is, is die arbeid niet creatief. Feiten op een rijtje zetten en de juiste combinaties maken levert dus geen auteursrechtelijk beschermd werk op.

Dit bleek uit een onlangs gepubliceerd vonnis. In deze zaak spande de verzamelaar van een uitgebreide stamboom aan gegevens een rechtszaak aan tegen een ander die delen daaruit op een genealogie-website had geüpload. De claim werd afgewezen, want

een stamboom betreft immers een opsomming van gegevens die vaststaan en waarin dus geen creatieve keuzes kunnen worden gemaakt, omdat anders de stamboom incorrect of onvolledig is. Verder valt niet in te zien dat het verbinden van de gegevens en het trekken van conclusies uit de voorhanden zijnde gegevens enige creatieve arbeid vereist. De keuze of rangschikking van stamboomgegevens vormt geen intellectuele schepping.

Een optie die wellicht wél had kunnen werken is het databankrecht. Het verzamelen, verbinden en verrijken van een collectie gegevens in een doorzoekbaar systeem is immers haast de definitie van een databank maken. En een databank is beschermd als je voor deze handelingen een substantiële investering in tijd, moeite of geld hebt gedaan.

Hiervoor zijn echter geen harde criteria. In bovengenoemde zaak was er ook te weinig bewijs hoe veel er nu was overgenomen uit de databank, en dan houdt het ook snel op natuurlijk.

Het lijkt ergens onrechtvaardig dat iemand zo je noeste arbeid kan overnemen en er goede sier mee maken. Maar een recht geven op het resultaat van hard werken lijkt me niet bepaald wenselijk: dat zou meer blokkeren dan mogelijk maken.

Arnoud

Dedicated metazoekmachines mogen niet zomaar beschermde databanken doorzoeken

gaspedaal-nl.gifMet je eigen zoekmachine op de achtergrond andermans beschermde databanken doorzoeken en dan de resultaten als je eigen presenteren is inbreuk op het databankrecht. Dat is het oordeel van het Hof van Justitie in de Gaspedaal/Autotrack-saga die al sinds 2007 of daaromtrent loopt. Gaspedaal bood een metazoekmachine voor auto-advertenties: wie bij haar zocht op bepaalde auto’s, kreeg resultaten die even snel bij AutoTrack werden opgehaald en omgefrommeld werden naar de eigen huisstijl. Omdat AutoTrack een beschermde databank heeft, is het niet de bedoeling dat een ander zo meelift op die databank, en dus is hier sprake van inbreuk.

Metazoekmachines zijn handig voor gebruikers, maar de exploitanten van de achtergelegen databanken zijn er vaak minder blij mee. Ik vermoed omdat hun aanbod dan makkelijker te vergelijken is met dat van de concurrent, maar bij inbreuk op absolute rechten zoals auteursrecht of databankrecht doet die reden er eigenlijk niet toe. Als een databank beschermd is, mag je die niet overnemen, ook niet als dat alleen maar meer omzet of bezoekers voor de databankeigenaar zou opleveren (en ook niet als jij er geen cent mee zou verdienen).

In dit geval gaat het Hof er vanuit dat de databank beschermd is. Iets waar ik nog wel een boom over zou willen opzettten, de meeste advertentiesites laten immers de adverteerders het werk doen (intypen gegevens, uploaden foto’s) en beperken hun redactionele werk tot een minimum. En voor databankrecht moet je toch echt zélf substantieel aan de bak. Maar goed, het Nederlandse Gerechtshof dat de vragen had gesteld, had erbij gezegd dat we mogen aannemen dat de databank beschermd is.

Inbreuk op een databankrecht doe je normaal door deze (vrijwel) integraal over te nemen, maar daarvan is hier geen sprake. Elke zoekopdracht wordt opnieuw uitgevoerd, en data wordt niet gekopieerd of bewaard. Maar ook het systematisch opvragen en hergebruiken van kleine stukjes databank kan inbreuk zijn.

Wat vooral bijzonder is, is dat het Hof hier zo nadrukkelijk uitgaat van het eindresultaat: dit opvragen doet de exploitant van de databank (AutoTrack dus) economisch pijn, en dús valt het onder de definitie van ‘hergebruiken’. Een doelredenering dus, maar dat kan legaal zijn in het recht.

Het doet er eveneens niet toe dat Gaspedaal bij het zoekresultaat doorlinkte naar AutoTrack. De schade is al geleden, omdat de bezoeker niet de hoofdpagina van AutoTrack is gaan bezoeken. Plus, Gaspedaal detecteerde doublures (zelfde auto bij meerdere sites) dus een bezoeker kon worden weggeleid naar een concurrent van AutoTrack na het zoeken bij Gaspedaal. En als die bezoeker nou naar Autotrack zelf was gegaan, dan had ie bij AutoTrack de auto gekocht. Tsja. Het voelt nogal speculatief.

Maar nee, dit arrest gaat niet Google onmogelijk maken: het is beperkt tot dedicated zoekmachines die “in wezen dezelfde functionaliteiten” bieden als hun bronnen, realtime opvragen bij diezelfde bronnen, resultaten ontdubbelen en de bevindingen vervolgens in een eigen layout presenteren.

Wel gek eigenlijk: als ik tienduizend bronnen doorzoekbaar maak dan ben ik een maatschappelijk nuttig iets, maak ik drie bronnen doorzoekbaar dan ben ik een parasiet.

Arnoud

Mag Wikipedia beschermde bronnen overtypen?

wikipedia-recht.pngEen lezer vroeg me:

Ik zat laatst te bedenken hoe er heel veel informatie op wikipedia wordt samengesteld uit andere bronnen en deze vervolgens op wikipedia worden gepubliceerd onder een “Creative Commons Attribution-ShareAlike License”. Een voorbeeld is de landencodelijst ISO 3166 die zomaar op Wikipedia staat. Mag dat zomaar, integraal zo’n lijst overnemen als je denkt aan op auteursrechten en databankrechten die bij de ISO-origanisatie liggen?

Niemand mag een beschermde bron overnemen en die onder zijn eigen licentie publiceren, tenzij daar toestemming voor is. Binnen het citaatrecht mag je natuurlijk wél dingen overnemen zonder toestemming, maar dat wil niet zeggen dat het citaat dan automatisch onder jouw licentie valt. Het citaat wordt krachtens wettelijk recht gebruikt, maar is niet herbruikbaar buiten de context waarin wordt geciteerd.

Dit verklaart waarom de Nederlandse Wikipedia veel minder citaten of afbeeldingen heeft dan de Amerikaanse. De Amerikanen redeneren, wij mogen op basis van fair use allerlei content gebruiken. Zolang we maar duidelijk maken dát iets op grond van fair use is gebruikt, is dat prima. In Nederland is besloten dat men alléén open en vrije bronnen wil gebruiken, omdat heel nl.wikipedia 100% vrij moet zijn (CC-BY-SA). Dan is het dus onmogelijk om bv. een albumcover op te nemen. Hoewel dat mag als citaat bij een lemma van dat album, is daarmee de albumcover niet vrij herbruikbaar.

Auteursrecht op een standaard is mogelijk en het is zelfs toegestaan dan geld te vragen voor toegang tot die standaard als die standaard bij wet voorgeschreven is. Dit is buitengewoon ergerlijk maar wordt gerechtvaardigd met het argument dat het maken van die standard nu eenmaal creatief nadenken en geld kost. Dat moet worden terugverdiend, en het is eerlijker om die kosten neer te leggen bij de partijen die de standaard nodig hebben.

Bij een landenlijst met afkortingen kun je je afvragen óf daar wel auteursrecht op zit. Hoe creatief is het om te bedenken dat Nederland NL moet zijn en Spanje ES? Is dat werkelijk creatieve arbeid van de ISO mensen? Zo niet, dan is de lijst vrij van rechten en mag ook Wikipedia deze overnemen. (Natuurlijk mag jij die dan ook weer uit Wikipedia overnemen en hoef je hun CC licentie niet te respecteren. Waar geen auteursrechten op zitten, kan ook geen licentie van toepassing zijn.)

Databankenrecht op een standaard zou kunnen, als de standaard een bak gestructureerde data bevat waar je in kunt zoeken én er substantieel is geïnvesteerd in het opbouwen van die structuur. Bij een landenlijst zie ik dat niet zo, maar bij een complexe verzameling data in onderlinge verbanden, wie weet. Ik hou me aanbevolen voor voorbeelden.

Echter, ISO als Zwitserse organisatie krijgt per definitie geen databankrechten. Alleen bedrijven en instellingen in de Europese Unie hebben recht op databankenrecht, zo staat in art. 11 Databankrichtlijn. Wie daar buiten woont, mg alleen databankrechten claimen als zijn lokale wetgeving deze óók erkent, op hetzelfde niveau als de Europese regels. Dit is juridische pesterij: het idee is de rest van de wereld over te halen óók databankenrechten in te voeren.

Arnoud