Telecomprovider Voys hoeft geen boete te betalen wegens weigering datadelen CIOT

Telecombedrijf Voys hoeft van het Nederlandse gerecht geen boete of dwangsom betalen omdat het weigerde klantendata te delen met de overheid wegens privacyoverwegingen. Dat meldde Tweakers dit weekend. De rechtbank vonnist dat Voys (dat tegenwoordig VoIPGRID heet) geen afdoende antwoorden kreeg op vragen en daarom niets verweten kan worden bij haar weigering sinds 2010. Die vragen betroffen data-verantwoordelijkheid, aansprakelijkheid en beveiliging. Echter nu de duidelijkheid er wel is, moet ze gewoon gaan beginnen.

Voys maakt bezwaar tegen de CIOT-databank, die sinds begin jaren nul actief is. Telecomproviders moeten elke dag hun logs (met name NAW + toegewezen IP-adres van klanten) daar uploaden, zodat Justitie daarin kan nazoeken wie het was als men bij een online misdraging een IP-adres tegenkomt. Daarbij zijn al vanaf het begin vele grote vraagtekens gesteld, onder meer door Bits of Freedom. En Voys vond dat zij vanwege die onduidelijkheden niet gehouden was mee te werken.

Zijdelings woog mee dat Voys zich zorgen maakte over claims van klanten: als provider moest je ermee akkoord gaan dat het CIOT niet aansprakelijk was voor eventuele claims, dus die kon jij op je bordje krijgen. Maar daar maakt de rechter korte metten mee. De verstrekking aan het CIOT, en het gebruik daarna door Justitie, is allemaal wettelijk geregeld. Als er dan iets fout gaat in die verwerking, dan komt dat op het bordje van het CIOT:

Eventuele onrechtmatige raadpleging van het CIS, komt dus niet voor verantwoordelijkheid van eiseres en levert dus ook geen aansprakelijkheid van eiseres op. Dit blijkt ook uit de nota van toelichting bij de wijziging van het Bvgt (Stb. 2006, 426, blz. 10) … Bedrijven zijn niet aansprakelijk voor onrechtmatige bevraging van de gegevens, noch voor onjuiste interpretatie van correct aangeleverde gegevens.
Zoals ik zelf ook bij meerdere partijen had gezien, was in de eerdere verwerkersovereenkomst (die tot ver na 2018 nog bewerkersovereenkomst heette) opgenomen dat het CIOT niet aansprakelijk is voor eventuele boetes die aan de provider worden opgelegd vanwege de schending van privacyregels. De reactie daarop was bepaald onduidelijk, en bleef sowieso uit tot in de administratieve beroepsfase. In zo’n geval mag een bestuursorgaan geen boete opleggen.

De dwangsom (vanaf nu gaan doen anders per dag geld betalen) blijft wel in stand. Want nu dit vonnis er ligt, zou alles duidelijk moeten zijn en zijn de zorgen van Voys niet meer relevant. Dan blijft alleen nog over dat er een wettelijke plicht is, en voor een rechter is het vrij logisch dat je doet wat een wettelijke plicht zegt.

Verweerder heeft er in dit verband terecht op gewezen dat het van groot maatschappelijk belang is dat iedere aanbieder is aangesloten bij het CIOT. Dit is noodzakelijk voor de effectieve opsporing van strafbare feiten. Als in een hypothetische situatie alle aanbieders zouden besluiten zich niet aan te sluiten op het CIS, dan wordt het voor de opsporingsdiensten zoeken naar de spreekwoordelijke ‘speld in de hooiberg’ bij welke persoon een IP-adres of telefoonnummer hoort. De opsporing van strafbare feiten zou daardoor ernstig worden bemoeilijkt.
Voys stelt in hun FAQ dat ze pas mee zouden werken als de beveiliging bij het CIOT op orde zou zijn. Daar gaat de rechter verder niet op in, net zo min als op de klacht van Voys dat er geen audit-trail is in die enorme database met alle NAW+IP gegevens van alle Nederlanders met wanneer ze online en offline gingen. Oftewel niemand houdt bij wie welke opvragingen doet. (Het Haga-ziekenhuis werd onder meer daarvoor beboet.) Maar uiteindelijk is dat dus “niet het probleem” van Voys, formeel gezien. Ik vraag me dan af wat er nodig zou zijn voordat je wél mag zeggen, die database van een overheidsinstantie is zo slecht beveiligd daar hoeft niemand data in te stoppen.

Arnoud

RTL: bsn’s van miljoenen Nederlanders online te zien door verlopen domeinnaam

De zorgverzekeringsgegevens en burgerservicenummers van miljoenen Nederlanders waren online in te zien doordat een zorginstelling een domein liet verlopen, zo las ik bij Tweakers. Nieuwsorganisatie RTL had een verlopen domein van een zorginstelling overnemen en daarmee ook e-mails naar dat domein onderscheppen. De inloggegevens voor de Vecozo-database (een bedrijf dat digitale ondersteuning biedt aan zorginstellingen) werden in plaintext naar die e-mailadressen gestuurd. Erg pijnlijk, en het laat maar weer eens zien hoe slecht er in de praktijk met domeinnamen wordt omgegaan.

De truc is namelijk niet nieuw: regelmatig krijg ik vragen over houders van domeinnamen die merken dat deze eerder in gebruik zijn geweest. Men krijgt dan mail voor de oude eigenaar, en dat kan variëren van babbelmails tot complete dossiers, facturen of bestellingen – en in dit geval dus medische informatie en wachtwoorden om daarbij te kunnen:
In de gelekte dossiers van Kenter Jeugdhulp, de nieuwe naam van Jeugdriagg, staan volledige namen van jonge kinderen met zeer gevoelige details over hun privéleven, zoals psychische aandoeningen, de instabiele thuissituatie, het drugsgebruik en allerlei problemen op school.
De reden hierachter is even stom als simpel: Jeugdriagg veranderde in 2015 zijn naam in Kenter Jeugdhulp. Daar hoort natuurlijk ook een nieuwe domeinnaam bij, en kennelijk beslist er dan iemand dat het tientje per jaar voor de oude domeinnaam het geld niet waard is, zodat die wordt opgezegd. Na enige tijd komt die dan vrij, en RTL kon deze vervolgens registreren. Computers van anderen zien niet of de domeinnaam ondertussen bij een ander in gebruik is, zodat het aanleveren van informatie gewoon doorgaat. (Het bevreemdt mij wel dat er kennelijk tussen 2015 en 2020 niemand bij dergelijke mails merkte dat er bounces opgetreden waren.)

Aan dit citaat heb ik niets toe te voegen:

Z-CERT, het expertisecentrum op het gebied van cybersecurity in de zorg, noemt het datalek een pijnlijke wake-upcall voor de sector: “Dit incident toont aan dat cybersecurity meer is dan beveiliging tegen hackers en ransomware. De meeste incidenten vinden nog steeds plaats omdat de basis niet op orde is, zoals het tijdig patchen van software of het registreren van een verlopen domeinnaam”, aldus directeur Wim Hafkamp.
Helaas weet ik ook geen eenvoudige manier om dit op te lossen. Ergens een wettelijke regel toevoegen dat een zorgorganisatie overbodige domeinnamen niet meer mag opheffen, is vast te simpel?

Arnoud

Scrapen mag in de gebruiksvoorwaarden worden verboden, argh

De Nederlandse vergelijkingssite PR Aviation mag geen gegevens scrapen van de website van Ryanair, zodat prijzen automatisch in de vergelijker terechtkomen. Dat meldde Nu.nl gisteren. Het Hof van Justitie bepaalde namelijk dat hoewel de data van Ryanair niet beschermd is, het bedrijf met hun gebruiksvoorwaarden mag verbieden dat mensen deze gegevens gebruiken in prijsoverzichten. Wát een vervelende uitspraak.

Ryanair en PR Aviation hebben al jaren een slepend conflict over of de laatste de prijzen van Ryanair mag opvragen en in haar vergelijker mag opnemen.

Ryanair beriep zich daarbij altijd op haar auteursrecht en databankrecht, maar dat werd eerder door onze Hoge Raad afgewezen: er zit geen auteursrecht of databankrecht op een prijslijst, kom nou. Voor auteursrecht moet je iets creatiefs doen in de tekst, en daar is geen sprake van. En voor een databankrecht moet je investeringen hebben gedaan die specifiek zagen op het maken van de prijslijst, en die zijn er niet. Dat je investeert in je dienstregeling, is irrelevant: dat gaat niet over de lijst zelf.

Als laatste redmiddel had Ryanair ook nog in haar gebruiksvoorwaarden opgenomen dat je niet mocht scrapen. En het Hof van Justitie zegt nu dat dát rechtsgeldig is (in principe), ook al blokkeer je daarmee de rechten die mensen hebben om auteursrechtelijke of databankrechtelijke informatie te gebruiken. Die rechten zijn namelijk niet aan de orde omdat er geen auteursrecht of databankrecht rust op deze data.

Dus, eh, als er auteursrecht op zit dan mag ik citeren en als het een databankrecht is dan mag ik kleine stukjes overnemen voor legitieme doelen, maar als er géén bescherming is dan mag ik niets? Dat lijkt me een beetje raar, dan ga je toch als site met prijzen altijd zeggen, ik heb geen databankrecht, blijf van mijn data?

Welnee joh, zegt het Hof:

Een dergelijk betoog gaat immers voorbij aan het juridische en economische belang dat voor de persoon die heeft geïnvesteerd in het aanleggen van een databank, besloten ligt in de in de lidstaten geharmoniseerde automatische bescherming die verbonden is aan het uit het auteursrecht voortvloeiende uitsluitend recht om de verschillende in artikel 5 van richtlijn 96/9 genoemde handelingen aan zichzelf voor te behouden, en aan het recht om op grond van het recht sui generis de in de artikelen 7, leden 1 en 5, en 8, lid 2, van de richtlijn genoemde handelingen te verbieden.

Oftewel: omdat een databankrecht zo leuk is, gaan bedrijven als Ryanair écht liever investeren in alsnog een databankrecht (met verplicht toelaten dat je gescrapet wordt) dan dat ze nu op hun data blijven zitten en “Blijf met je rotpoten van onze rotprijzen af” in juridische taal roepen. Eh, juist.

Inderdaad, ik vind dit storend. Zoekmachines en prijsvergelijkers hebben een legitieme functie in de maatschappij en behoren prijsinformatie en dergelijke transparant te kunnen maken. Daar moet auteursrecht of databankrecht niet aan in de weg staan, daar zijn die rechten niet voor bedoeld. En oké het Hof laat doorschemeren dat dat niet gaat lukken, maar was het nou écht nodig om te zeggen dat je bij afwezigheid van die rechten een pseudo-recht kunt claimen met een contractuele afspraak? Want je wéét dat iedereen de komende jaren gaat roepen “wij hebben ergens een disclaimer met magniet erin, dus je bent in Ernstige Mate Maatschappelijk Onzorgvuldig en wanprestatie en juridische foei”.

Het enige lichtpuntje is dat er natuurlijk wel een contract moet zijn tussen de site en de scrapende bezoeker. En daarvoor is (zou ik zeggen) wel meer nodig dan dat je ergens een bestandje “gebruiksvoorwaarden” neerzet, zeker als je ongebruikelijke bepalingen opneemt zoals “je mag geen prijzen overnemen”. Dus ik hoop dat de Nederlandse rechter die straks het eindarrest moet wijzen, een duidelijke uitspraak doet wanneer je nu met website-gebruiksvoorwaarden een contract tot stand brengt met je bezoeker.

Arnoud

Moet je klantgegevens per se in Nederland opslaan?

disc-data-weg-bewaren-kruis.jpgEen lezer vroeg me:

Wij hebben als bedrijf behoorlijk veel data en overwegen dit nu in de cloud op te slaan. Maar mag dat wettelijk gezien of moeten we per se dit zelf in Nederland beheren?

Er is geen algemene wet of regel die bepaalt dat een Nederlands bedrijf bedrijfsgegevens in Nederland moet opslaan, of zelfs maar in Europa. Je bent daar als bedrijf dus vrij in.

De enige hierbij relevante wet die ik kan bedenken, is de Wet bescherming persoonsgegevens. Wanneer die bedrijfsgegevens iets zeggen over personen (bijvoorbeeld klantdata of personeelsadministratie) dan moeten die worden behandeld volgens deze wet.

De Wbp bepaalt grofweg dat je persoonsgegevens alleen mag opslaan binnen de Europese Unie (art. 76 Wbp) behalve in enkele specifieke gevallen. Zo mag het met aparte toestemming van de betrokken personen of wanneer het nodig is voor afwikkeling van een contract met die persoon. Bemiddel je bij aankoop bij een Amerikaans bedrijf, dan mag je dat bedrijf de klantgegevens geven want anders kan die koop niet worden afgehandeld.

Verder neem je een risico als je gegevens in een ver buitenland opslaat. Wat als het bedrijf ermee ophoudt, of iets simpeler gewoon weigert je toegang tot de bedrijfsgegevens te geven? Je kunt dan moeilijker naar de rechter dan in Nederland. En dat is een risico want stel de Belastingdienst wil inzage in je administratie en die staat net in de Braziliaanse cloud die even down is (huh, een wolk die beneden is?), wat dan?

Technische oplossingen zijn hier misschien beter dan juridische trouwens: ook de hardste SLA en de beste relaties met je leverancier beschermen je niet tegen faillissementen of andere calaimiteiten. Een extra backup ergens anders is dus altijd aan te bevelen.

Arnoud

Mag ik een API reverse engineeren voor mijn eigen app?

zoeken-harde-schijf.jpgEen lezer vroeg me:

Steeds meer sites en platforms komen tegenwoordig met een eigen mobiele app, maar lang niet altijd zo handig als wel zou kunnen. Nu werken deze apps met op de achtergrond een API (application programming interface) die ik met mijn eigen app ook zou kunnen aanroepen. Maar mag ik hun app reverse engineeren om zo te achterhalen hoe die API van hen in elkaar steekt?

Reverse engineering, oftewel iets uit elkaar pluizen om te zien hoe het werkt, is in het algemeen toegestaan om principes en ideeën te achterhalen. De Auteurswet bevat een verbod op reverse engineering, maar dat gaat eigenlijk over decompileren: het reconstrueren van broncode uit een applicatie. Dat is aan meer regels gebonden. Je mag niet een applicatie decompileren om deze te klonen, maar wél om een compatibele app te maken.

Als je een app decompileert om zo de API te achterhalen, dan stap je in een grijs gebied. Enerzijds doe je dit om een eigen (met het platform) compatibele app te maken, maar anderzijds produceer je wel een soort van kloon van die “officiële” app, en dát mag dus niet. Gelukkig is het meestal genoeg om het dataverkeer te observeren en daaruit af te leiden hoe de API werkt. En dát mag altijd.

Een bijzonder geval ontstaat wanneer de API of het platform gericht is op het ontsluiten van een databank. Als zo’n databank beschermd is door een databankrecht, dan is jouw app mogelijk in strijd met dat recht, want hij biedt dan een middel voor de voorbehouden handeling van

het herhaald en systematisch opvragen of hergebruiken van in kwalitatief of in kwantitatief opzicht niet-substantiële delen van de inhoud van een databank, voorzover dit in strijd is met de normale exploitatie van die databank of ongerechtvaardigde schade toebrengt aan de rechtmatige belangen van de producent van de databank.

Ja, hele mond vol maar het is ook een draak van een wet. Even kijken: je app vraagt herhaald en systematisch data op, check. Per query is de inhoud niet substantieel (niet 90% van de databank), check. (En haal je wél substantieel de hele databank op dan ga je sowieso onderuit onder het databankenrecht.) Is het in strijd met de normale exploitatie of rechtmatige belangen van de producent? Ah, daar zit hem de kneep.

Ik zou zeggen dat wanneer de app hetzelfde soort functionaliteit biedt (maar dan handiger) als de officiële app, er niet snel strijd met normale exploitatie kan ontstaan. Als er een inkomstenstroom zit aan de officiële app (al zijn het maar advertenties) dan wordt het spannend want jouw app omzeilt die dan. En als je met jouw app iets gratis kunt opvragen dat normaal geld kost, dan zie ik ook wel een databankrechtelijk probleem.

Een app die iets heel nieuws doet op basis van een bestaande API, lijkt me in principe niet snel een probleem zolang er geen overlast komt door bv. onevenredig veel opvragingen. Stel je kunt op de Artis-site via een API de voedertijden opvragen, en jij maakt een app over apen (haha, hij zei apie en dat lijkt op API) die onder meer laat zien waar je in Amsterdam apen kunt bewonderen, inclusief de voedertijden van Artis, dan zie ik niet welk belang van Artis hier geschaad zou worden.

Dat zal rechthebbenden er echter niet van weerhouden met juridische dreigbrieven te komen. Of, iets praktischer, de opvragingen vanuit jouw app detecteren en blokkeren. En dat laatste mogen ze, ook als daar eigenlijk geen reden voor is. Het is hun server en willen ze jou niet faciliteren, dan houdt het op.

Arnoud

Blaffen met het databankenrecht

Er zal recent wel een cursus databankenrecht voor juristen zijn gegeven of zo, want ik kreeg het de afgelopen weken opmerkelijk vaak: mensen met blafbrieven van advocaten tot wie zich wendden diverse site-eigenaren wiens gegevens werden overgenomen. Het overnemen van die gegevens zou onrechtmatig zijn (“en mogelijk zelfs strafbaar”) en dit dient onmiddellijk gestaakt te worden. Voorts dienen in het bijzijn van een notaris of forensisch IT-expert alle gegevens onomkeerbaar gewist te worden, plus nog eens enkele duizenden euro’s advocaatkostenvergoeding. In de meeste gevallen zijn die claims aperte onzin, en wel hierom.

Wie substantieel investeert in het opbouwen van een databank, heeft daarop een databankrecht. Dit recht is eind jaren negentig ingevoerd om producenten daarvan te beschermen tegen overname. Op een databank rust namelijk meestal geen auteursrecht, omdat het op een rijtje zetten van feiten niet ‘creatief’ is in de zin van de Auteurswet. Een databank maken kan wel hard werk zijn of veel geld kosten, maar dat zijn auteursrechtelijk geen relevante criteria.

Hard werk of veel geld zijn nadrukkelijk wél de criteria voor het krijgen van een databankrecht. Wie “substantieel investeert” in opbouw of onderhoud van een databank, heeft daar bescherming voor. Wat ‘substantieel” is, staat niet in de wet, maar 1,9 miljoen euro voor de Autotrack-site werd in november 2007 als substantieel aangemerkt.

Er is echter een belangrijke grens. De enige investering die je mag meetellen, is de investering op de databank zelf. Investeringen in een andere activiteit tellen niet mee. Anders gezegd: als je databank een bijproduct is van een andere activiteit, dan is deze niet beschermd. Dat blijkt uit het William Hill-arrest, dat bepaalde dat de lijsten met uitslagen van paardenraces geen beschermde databank waren omdat ze een bijproduct waren van het organiseren van die races. De investeringen waren gericht op dat organiseren, en niet op het maken van de lijstjes als zodanig. En een databankrecht krijg je als beloning voor het bouwen van een databank omdat je de substantiële investering dáárvoor anders niet terug kunt verdienen.

In Nederland komt dat ook gewoon terug in de rechtspraak. Zo weten we uit het Zoekallehuizen-arrest dat databanken van makelaars niet beschermd zijn. Post.nl verloor eind vorig jaar een rechtszaak over het eigendom van de postcodes, hoewel daarbij de rechter nu juist niet inging op het databankrecht. Wél beschermd was Autotrack.nl, maar ik vind het opbouwen van een databank met aangeleverde advertenties wel iets anders dan het naar HTML exporteren van een bestaande databank.

Niet dat zo’n arrest een beetje advocaat hindert bij het sturen van boze brieven zoals in de opening geschetst. Zo blogde ik eerder over de de app Trein en de RTL Gemist applicatie die inbreuk op databankrechten zouden maken, maar dat niet doen. Trein bestaat nog steeds, de Gemist app is vanwege angst voor legale stappen uit de lucht. En per mail heb ik er (binair geteld) nog een kleine hand vol langs zien komen.

Opmerkelijk vaak zie ik het van sportbonden, die het niet leuk vinden dat anderen applicaties gaan bouwen om ‘hun’ wedstrijden en standen in kaart te brengen. Want zij hebben het databankrecht op die uitslagen en wedstrijdschema’s – zeggen ze. Maar wie in William Hill de term ‘paardenrace’ vervangt door ‘voetbal/hockey/korfbal/tenniswedstrijd’, krijgt volgens mij precies te horen waar die bonden aan toe zijn: geen databankrecht natuurlijk.

Ook verbaasde ik me hogelijk (nou ja, eigenlijk niet) dat 9292ov databankrecht claimt op de dienstregeling van het openbaar vervoer. Is het organiseren van busroutes wezenlijk wat anders dan het organiseren van voetbalwedstrijden of paardenraces?

Een buitengewoon ergerlijke ontwikkeling. Juridisch blaffen terwijl je wéét dat er rechtspraak ligt die je standpunt onderuit gaat halen is buitengewoon ongepast. Maar vanwege de hoge kosten die je moet maken om terug te blaffen, komt men er vaak ongestraft mee weg.

Arnoud

Hoe verboden is omgekeerd zoeken in telefoongidsen eigenlijk?

telefoongids-telefoonboek-gouden-gids-zoeken.jpgEen lezer vroeg me:

Op diverse sites kun je “omgekeerd zoeken” in telefoongidsen, dus op basis van een nummer de naam- en adresgegevens van een abonnee achterhalen. Als je dat wil aanbieden, moet je wel een CD-foongids kraken of iets anders illegaal doen. Maar stel nu dat je legaal bij die gegevens zou kunnen, mag het dan wel? Of is omgekeerd zoeken per definitie in strijd met de privacy?

Ik zou niet meteen durven zeggen dat het “kraken” van een CD-foongids illegaal is. Het is nog maar zeer de vraag of ereen databankrecht zit op een telefoongids. Je hebt namelijk alleen een databankrecht als je substantieel geïnvesteerd hebt in het telefoonboek zelf. Het lijkt me goed verdedigbaar dat een telefoongids een bijproduct is van het onderhouden van een telecommunicatiedienst.

Alleen geldt er hier de complicatie dat de telefoongids van KPN ondergebracht is in een aparte BV (De Telefoongids BV, inderdaad) wiens hoofdactiviteit is het onderhouden van de telefoongids. Het argument is dan dat de investeringen van DTG puur gericht zijn op de gids en daarmee geen bijproduct zijn. Ik kan het argument niet meteen weerleggen, maar ik heb er wel grote moeite mee dat een niet-beschermde databank alsnog beschermd wordt als je deze maar in een aparte BV stopt.

Maar goed, laten we eens aannemen dat er inderdaad geen databankrecht zit op een telefoongids. Kun je dan een omgekeerd-zoekendienst aanbieden?

Telefoongidsen vallen onder de Telecommunicatiewet, artikel 11.6. Dit artikel vereist toestemming voor opname in de gids, en ook nog eens aparte toestemming voor omgekeerd zoeken in lid 3. Bij mijn weten vragen telecomaanbieders alleen maar om toestemming om je “in de gids” op te nemen, en dat is dus nog geen toestemming voor omgekeerd zoeken. Een omgekeerd-zoekendienst kan dus niet legaal worden aangeboden, tenzij de aanbieder daarvan apart toestemming vraagt aan de betrokken abonnees.

In 2007 heeft DTG geprobeerd de OPTA los te laten op deze diensten, met precies dat argument. De OPTA vond dat echter niet opportuun:

Het college is van oordeel, dat het verschijnsel “omgekeerd zoeken” op zichzelf genomen niet als een inbreuk op de persoonlijke levenssfeer wordt ervaren, voor zover dit belang wordt beschermd door artikel 11.6, derde lid, van de Tw. De Richtlijn verbiedt omgekeerd zoeken niet en er zijn landen waarin “omgekeerd zoeken” wettelijk is toegestaan. Bovendien zijn bij het college in de afgelopen twee jaar geen klachten binnengekomen van natuurlijke personen (lees: particulieren of consumenten) over het zonder hun toestemming aanbieden van mogelijkheden tot omgekeerd zoeken.

Opmerkelijk: op grond van de privacy is het vereiste van aparte toestemming ingevoerd, maar omgekeerd zoeken is geen schending van de privacy. Maar als er geen klachten van consumenten zijn binnengekomen, dan hoeft de OPTA inderdaad niet op te treden. Het achterliggende idee lijkt te zijn dat mensen die geven om hun privacy, toch al niet in de gids staan (of een anonieme prepaid nemen). Dat DTG het vervelend vindt, is geen argument, want artikel 11.6 is er voor de eindgebruiker en niet voor de aanbieder.

Ik kan daaruit alleen maar de conclusie trekken “het mag niet, maar totdat er mensen grootschalig gaan klagen, zal de OPTA niet optreden”. Dus zolang die omgekeerd-zoekendiensten maar klein en onopvallend genoeg blijven, kunnen ze in de marge blijven opereren.

In juni vorig jaar meldde de staatssecretaris nog dat een “aantal marktpartijen” overwoog deze dienst aan te gaan bieden. Ik neem aan dat dat de telecomaanbieders zelf zijn, die dan via het inschrijfformulier die toestemming gaan regelen. Ik ben heel benieuwd wat er dan gebeurt.

Arnoud

Bewijs van overname uit databank

adresboek-gids-lijst-databank.pngWie stelt dat zijn databank is overgenomen, zal daarvoor bewijs op tafel moeten leggen. Je kunt niet eisen dat het bewijs geheim moet blijven, ook niet als het gaat om ‘sleepers’ die je speciaal tegen inbreukmakers hebt opgenomen. Dat blijkt uit een vonnis van de rechtbank Rotterdam. In deze zaak had de eiser, Ad Hoc Data, een CD-ROM met een bedrijfsgids verkocht aan de gedaagde. Deze had vervolgens een cafégids op internet opgezet, maar volgens Ad Hoc was daarbij haar CD-ROM gebruikt en dat was niet toegestaan onder de licentie. Ad Hoc eiste een contractuele boete van 25.000 euro per overtreding.

De cafégids vocht dit aan met als eerste argument dat de algemene voorwaarden (waar die boete in stond) nooit waren overhandigd. Ad Hoc meldde daarop

dat de bestelprocedure al sinds jaar en dag zo is ingericht, dat de bestelprocedure voor het online afsluiten van een abonnement niet kan worden afgerond indien niet wordt aangevinkt ‘ik ga akkoord met de Algemene Voorwaarden voor een doorlopend jaarabonnement tot schriftelijke wederopzegging’ (zie productie 10). De woorden ‘algemene voorwaarden’ zijn clickable, door hierop te klikken krijgt men de voorwaarden in html-format op het scherm en kunnen deze voorwaarden desgewenst tevens in pdf-format worden gedownload.

Klinkt goed, zou je zeggen. Alleen had Ad Hoc niets overlegd waaruit daadwerkelijk bleek dat die procedure ook zo bestond toen de cafégids het product bestelde. De overlegde producties lieten niet zien hoe de bestelprocedure van specifiek deze bedrijvengids verliep, laat staan dat daaruit bleek dat inderdaad dat aanvinkvakje moest worden aangevinkt.

Het tweede verweer van de cafégids was dat er in de huidige gids geen gegevens van Ad Hoc opgenomen waren. Ad Hoc reageerde daarop met de mededeling dat “ten aanzien van de ‘cafégids’ en ‘cafetariagids’ geldt dat nog in oktober 2008 is gebleken van de aanwezigheid van tenminste één sleeper“. Een sleeper of copyright trap is een item dat niet werkelijk bestaat en dus alleen in een database kan belanden door overname uit andermans database.

Op zich is dat een goede manier om te bewijzen dat er inderdaad is overgenomen, maar je zult dan wel die sleeper aan moeten wijzen. Maar dat weigerde Ad Hoc: men wilde alleen een verklaring overleggen van een getuige die dit had geconstateerd. De sleeper zelf moest strikt geheim blijven, en alleen de advocaten plus de rechtbank mochten daarnaar kijken (artikel 27 Rechtsvordering). De reden was -neem ik aan- dat als Ad Hoc die sleepers onthult, de cafégids die er gauw uit verwijdert en dan kan claimen dat er nu echt niets meer overgenomen is.

De rechter accepteert deze gang van zaken echter niet.

[Ad Hoc] wordt niet in haar belangen geschaad als zij in de databank van gedaagde aangetroffen sleepers openbaart: er zullen in haar databank nog genoeg andere sleepers blijven staan en zij kan in volgende edities van haar databank nieuwe creëren en tussenvoegen, aldus gedaagde. Een gang van zaken als door [Ad Hoc] verlangd, een besloten zitting, zou het de advocaat van gedaagde onmogelijk maken namens deze verweer te voeren tegen aangevoerde bewijsmiddelen . Het zou onaanvaardbaar zijn als gedaagde wordt veroordeeld op basis van geheime bewijsmiddelen.

Op zich terecht: je moet je inderdaad kunnen verweren tegen zulk bewijs, bijvoorbeeld door te controleren of die sleepers wel echt nep (echt nep, ahem) zijn en of die ook in de CD van Ad Hoc stonden. Maar het is wel lastig nu voor Ad Hoc als die sleepers bekend worden. Want je kunt wel zeggen ‘stop maar nieuwe in je volgende editie’ maar daarmee is de huidige versie alsnog kwetsbaar voor onbewijsbare overname. Het is dus maar te hopen voor Ad Hoc dat ze inderdaad genoeg andere sleepers in die database heeft.

Arnoud

Open source databanken: de OpenDatabankLicentie versie 1.0

Al eerder gemeld, maar nu is het definitief: de nieuwe open source licentie voor open en vrije databanken. Databanken bevatten vooral feitelijke data, en er komt zelden creativiteit aan te pas. Bestaande open source licenties zijn eigenlijk vooral bedoeld voor software, en ook de Creative Commons-licenties passen niet goed bij databanken. Vandaar deze nieuwe licentie.

De licentie noemt expliciet drie rechten: auteursrecht, databankenrecht en het recht op toegang tot de databank. Recht op toegang? Ja, wie een database publiceert, of algemener gezegd wie een dienst aanbiedt met een server, kan op grond van zijn eigendomsrecht op die server regels stellen over het gebruik van die dienst. Daar hoef je uiteindelijk helemaal geen intellectueel eigendomsrecht voor te hebben. Slim gevonden dus.

Ik heb al een paar keer (deel 1, deel 2, deel 3) aandacht besteed aan de vraag hoe het zit met afgeleide werken, kaarten die gemaakt worden op basis van de OpenStreetmap-databank. Ik kom volgende week met deel 4 trouwens, beloofd.

De ODBL is speciaal geschreven voor dit soort situaties. De definities bevatten de term “Produced Work”, en die luidt als volgt:

a work (such as an image, audiovisual material, text, or sounds) resulting from using the whole or a Substantial part of the Contents (via a search or other query) from this Database, a Derivative Database, or this Database as part of a Collective Database.

En het is natuurlijk de bedoeling dat zo’n Produced Work net zo vrij beschikbaar is als de oorspronkelijke brondatabase. Vandaar:

If You Publicly Use a Derivative Database or a Produced Work from a Derivative Database, You must also offer to recipients of the Derivative Database or Produced Work a copy in a machine readable form of:

a. The entire Derivative Database; or<br/> b. A file containing all of the alterations made to the Database or the method of making the alterations to the Database (such as an algorithm), including any additional Contents, that make up all the differences between the Database and the Derivative Database.

Onder “Use” wordt dan weer verstaan “alles wat normaal onder auteursrecht of databankenrecht valt, maar in ieder geval kopiëren, verspreiden, openbaar maken etcetera”. En “publicly” wil hier zeggen “naar personen die niet voor jou werken”.

Kort gezegd: wie een kaart maakt van een ODBL-databank, en deze kaart online aanbiedt aan het publiek, moet de databank erbij doen inclusief alle wijzigingen die hij op de databank heeft doorgevoerd.

En dat geldt zelfs als blijkt dat je helemaal geen recht hebt op grond van je auteurs- of databankenrecht om zoiets te eisen: het is immers een gebruiksvoorwaarde om toegang te krijgen tot de site. Op zich is dat slim bedacht, hoewel ik me afvraag in hoeverre dat ook echt werkt. Tegenover de persoon die dit accepteert en de site bezoekt lijkt het me wel rechtsgeldig. Die gaat het contract aan, en kan daar in principe aan gehouden worden. Uit het XS4All/Ab.Fab-arrest van de Hoge Raad blijkt dat je als eigenaar van een site in principe elke voorwaarde aan het gebruik mag stellen die je wilt. Maar tegenover derden? Dat kan nog een hele interessante worden.

Arnoud

Afgeleide werken bij Openstreetmap (3)

openstreetmap-logo.pngEn daar waren we dan weer met deel drie van de vraag welke rechten er op de databank van het vrijelandkaartenproject Openstreetmap zitten. Al in deel 1 bleek dit een lastige kwestie. Want: wat wordt nu precies waarvan afgeleid? (Waar vanaf geleid? Waar van afgeleid? Argh.) In deel 2 leek de tussenconclusie te zijn dat de kaarten gemaakt uit de OSM-database een afgeleid werk lijken te zijn van de stylesheet.

Kaarten uit OpenStreetmap worden namelijk gemaakt door een grote hoeveelheid GPS-coördinaten in een databank te stoppen en te voorzien van verbindingen die labeltjes krijgen met bijvoorbeeld “fietspad” of een straatnaam. Op basis van die databank kun je dan kaarten genereren voor elk oppervlak en op elke schaal die je wilt. Die stylesheet bepaalt welke kleuren en dergelijke er in die kaarten terechtkomt. Een voorbeeld uit de OSM-documentatie:

Vier kaarten uit het OpenStreetmap project, gebaseerd op dezelfde data

Het lijkt me dus zeker verdedigbaar dat een stylesheetmaker een auteursrecht kan claimen op de stijlkeuzes. Maar is een kaart een afgeleid werk van de stylesheet?

Ik vermoed van wel, al zal het afhangen van welke elementen uit de stylesheet zelf in de kaart terechtkomen. Want een afgeleid werk moet wel op een of andere manier concrete beschermde elementen uit het werk overnemen waar het van afgeleid is. Nu hoeft dat niet letterlijk – een toneelstuk is een afgeleid werk van een boek bijvoorbeeld, zelfs als de spelers geen woord letterlijk zeggen zoals het in het boek staat. In die situatie zijn zaken als het plot, de karakters, uiterlijk, verloop en dergelijke van het verhaal overgenomen, en dat is al genoeg.

Maar: wat neem je over uit de stylesheet in de kaart die uiteindelijk gegenereerd wordt? De kleurkeuzen in ieder geval, en de kleur en positionering van teksten zo te zien ook. De derde kaart uit dit voorbeeld heeft bijvoorbeeld veel duidelijker aanduidingen van plaatsnamen dan de andere drie.

Opvallend (voor mij dan) is dat ik geen enkele stylesheet kan vinden waar een expliciete licentie bij staat. De meest gebruikte stylesheet is Mapnik maar zelfs daarvan zie ik nergens wat daarmee mag. Ik neem aan dat ze onder dezelfde Creative Commonslicentie horen te vallen als de rest van het project, maar het staat nergens.

Nou, en nu eens inlezen in het databankenrecht zoals dat geldt voor kaarten.

Arnoud