Wordt het niet eens tijd om data-eigendom wettelijk te gaan regelen? #dimorefi

Langsgekomen bij de voorspellingen 2017: wordt het niet eens tijd om data-eigendom te gaan regelen? Data is de grondstof van de informatiesamenleving, maar juridisch gezien bestaat data niet bij diensten van diezelfde informatiemaatschappij. Dat is buitengewoon raar en leidt tot zeer onbillijke situaties. Tijd om er wat aan te gaan doen. Alleen: wát dan?

Je bent eigenaar van je data. Klinkt heel logisch, zeker vanuit het aloude mantra dat wat offline geldt, ook online moet gelden. Als je eigenaar bent van die fysieke mappen met documenten, die bonnetjes en die albums met foto’s, dan ben je dat natuurlijk ook van die gedigitaliseerde documenten, die PDF’s met bonnetjes en dat Instagram-account met foto’s.

Alleen: nee. De wet erkent het concept eigendom alleen op zaken, oftewel “voor menselijke beheersing vatbare stoffelijke objecten” (art. 3:2 BW). Computergegevens (data) vallen niet onder deze definitie, om de eenvoudige reden dat ze niet stoffelijk zijn. En dan is eigendom erop niet mogelijk.

Op virtuele objecten is eigendomsrecht wel erkend. Maar dat was een strafrechtelijke kwestie, en belangrijker: het ging om een specifiek soort data, namelijk data in een omgeving waarbij deze uniek gemaakt was. Een virtueel zwaard dat uniek is in een spel, kan worden weggenomen. Een belminuut die wordt gebeld is daarna op. In het algemeen gaat dat niet op voor data. Als iemand mijn foto kopieert, ben ik deze niet kwijt. Dus die jurisprudentie lever hier niets op.

Dan hebben we nog het auteursrecht en het databankenrecht. Op data kun je beide rechten hebben (mits creatief en/of verkregen door substantiële investering), en we noemen dat soms intellectuele eigendom ook. Maar dat gaat je niet helpen: die rechten zijn juridisch “exclusieve” rechten zoals dat heet, oftewel rechten om anderen iets te verbieden. Geen rechten om dingen mee op te eisen. Als een kopie mijn boek ergens in de winkel ligt, kan ik ze dat verbieden, maar ik kan die kopie niet opeisen van ze.

Wat is data dan wel? Niets, zeg ik altijd. Het is juridisch gezien een artefact van een dienst, en daarop heeft de opdrachtgever geen rechten. De wet ziet data bij een clouddienst als hetzelfde als de data die je butler onthoudt* tijdens zijn jarenlange dienstverband. Erg leuk en prettig, maar als de beste man met pensioen gaat dan is die data weg.

Misschien een tikje gechargeerd, maar wat ik ermee bedoel is dit: je hebt geen wettelijke aanspraak op data die je in een dienst opslaat, met een dienst genereert of dankzij een dienst verkrijgt. Je kunt die data niet opeisen, en van “jouw” data kun je al helemaal niet spreken. (Bij data over jezelf -persoonsgegevens- ligt dat een tikje anders, zeker straks onder de Privacyverordening. Maar dat laat ik even buiten beschouwing.)

Dit levert allerlei vervelende problemen op. Als een dienst wordt gestaakt, dan kan de bijbehorende data per direct de prullenbak in en als klant is daar niets aan te doen. Je hebt geen recht hier nog even een kopie van te downloaden. Ook als een dienst eenvoudigweg weigert die data beschikbaar te stellen voor download, dan houdt het snel op. Men mag zelfs in de voorwaarden verbieden dat je die data gaat downloaden (bijvoorbeeld door de website te scrapen of met een script alle data te downloaden).

Tijd voor de politiek, zou je zeggen. Als data zo belangrijk is voor de maatschappij, dan moet eigendom daarop wettelijk vastgelegd worden.

Alleen: hoe dan?

Je kunt natuurlijk botweg zeggen, we schuiven “en op digitale gegevens gegenereerd of opgeslagen middels diensten van de informatiemaatschappij” in artikel 3:2 BW. Dan is data je eigendom, punt. Maar dat creëert wel gigantische afbakeningsproblemen. Is de logfile met informatie over mijn logins dan ook “mijn” data? De reacties onder mijn blog, zijn die van mij of van mijn reageerders?

Een andere insteek is te handelen vanuit de problemen die er zijn. Je data ben je kwijt als de dienstverlener de dienst staakt of de toegang weigert, oké dat is een probleem dus laten we wettelijk zeggen dat dat niet mag. Een dienstverlener is gehouden data opgeslagen of gegenereerd door een gebruiker van zijn dienst in kopie te geven op verzoek, zoiets. Dat kan, alleen moet je dan wel elk probleem zien te onderkennen en daar een artikel voor schrijven. Bijvoorbeeld bij faillissement, dat de curator ook die plicht op zich heeft. En dat een schadeplicht ontstaat als die data weg is. Of dat de data pas weg mag nadat een redelijke termijn voor een download is verstreken.

Maar welke insteek je ook kiest, dan kom je bij het volgende probleem. Welke data, en hoe dan? Dat is geen simpele vraag. Moeten foto’s in het originele geüploade RAW formaat, of in de JPEG’s waarmee ze gepubliceerd worden? In welk formaat moet een Facebook-profiel worden geëxporteerd? Of de reacties op mijn blog? De todo-items uit mijn handige appjes?

Open standaarden, hoor ik van de achterste rij. Ja, mooi principe alleen gaat dat werken? Moet je dan voor álles een open standaard maken? Is er een standaard voor todo items of voor ticketbestellingen bij het theater via die mooie app? Of is die lijst met ticketbestellingen te triviaal om data-eigendom voor te laten gelden?

Dus nee. Ik denk echt dat de kwestie van data-eigendom een van de belangrijkste open issues uit de informatiemaatschappij is en vind het een nobel idee om dit te gaan regelen, maar het is allesbehalve triviaal hoe we dit voor elkaar moeten krijgen.

Arnoud<br/> * Hier zou een grap moeten over “Dat mag Joost weten, maar ik weet hem even niet.

Moeten we de toestemming niet eens afschaffen in het privacyrecht?

Meteen maar even een heilig huisje omver in het nieuwe jaar: moeten we niet eens stoppen met het idee dat toestemming vragen voor privacy-inbreuken een werkbaar idee is? Want allemaal leuk en aardig, maar anno 2017 is het concept toestemming geven verworden tot een volstrekt betekenisloze klik onder verwijzing naar een futloze lap tekst die nu eenmaal even nodig is om bij die site te kunnen. Toch kent ook de nieuwe privacywet de toestemming als basisbeginsel, en blijft het op allerlei plekken opduiken als basis voor wat je maar wilt doen met iemands privé. Raar.

Het uitgangspunt was ongetwijfeld heel nobel en integer. Als je iemands persoonsgegevens wilt verwerken, dan vraag je die persoon om toestemming. Net zoals je zonder toestemming mensen niet gaat opereren of hun huis betreedt. Gewoon een kwestie van integriteit, van fatsoen. Dus dat zetten we dan ook in de wet: toestemming is de algemene grond, en natuurlijk pas te geven na adequate informatieverstrekking en in volstrekte vrijwilligheid.

Volgens mij was er daarbij wel altijd soort van de aanname dat het verwerken van persoonsgegevens een ietwat bijzondere gebeurtenis was. Iets om even bij stil te staan, iets dat mensen niet perse dagelijks doen dus iets waar je best even de tijd voor mag nemen. Zeg maar een poliklinische ingreep: geen operatie met drie dagen herstel daarna, maar wel iets om je even over te laten inlichten en goed bij stil te staan voordat je ja zegt.

Die aanname is echter volledig verdwenen in de informatiesamenleving. Toestemming vragen is aan de orde van de dag, en gebeurt zó veel en zó vaak dat niemand er meer van opkijkt of bij stilstaat. En dan gaat het hele effect er vanaf natuurlijk. Dan wordt het die droge klik zonder nadenken, zonder betekenis.

Is dat erg, kun je je afvragen. Ik denk het wel, omdat de wet nog steeds opereert onder de aanname dat je wél nadenkt. Wél jezelf even goed informeert. Juridisch advies inwint over wat die wollige taal betekent. En vooral: er vanaf zou zien als je denkt, dit is toch niets voor mij. En de constructie daarbij is dat als je in die situatie toestemming geeft, eigenlijk alles mag. Daar zit voor mij dan de pijn: mensen klikken murwgebeukt op elke Akkoord-knop en de gevolgen worden gebillijkt omdat ze geacht worden te hebben nagedacht en afgewogen alsof ze bij de huisarts een nieuw medicijn moeten uitkiezen.

Het onmiddellijke tegenargument is natuurlijk, dan moet je maar écht eens even nadenken en afwegen als je privacyvragen krijgt. (Bij voorkeur met de flauwe dooddoener dat je toch al je privacy opgeeft door alles op Instagram en Facebook te delen.) Maar dat vind ik niet reëel meer. Als de situatie is dat je elke vijf minuten een lap tekst moet lezen en ja moet zeggen (en anders hup terug naar Google), hoe kun je dan nog in redelijkheid suggereren dat mensen de tijd moeten nemen om goed na te denken?

Dus nee. Wat mij betreft schrappen we dus de toestemming als grondslag. Wie persoonsgegevens wil gebruiken, moet maar gewoon aantonen dat hij dat nodig heeft en waarom dat belang zwaarder weegt dan de privacy.

Arnoud