Wat kun je doen om na de Brexit Engelse bedrijven data te laten verwerken?

| AE 11082 | Privacy | 15 reacties

Ook het laatste voorstel vanuit het Verenigd Koninkrijk om tot een ordelijke Brexit te komen lijkt te zijn mislukt, las ik in diverse media. Daarmee wordt de kans reëel dat men op 29 maart geen overeenstemming heeft bereikt met de Europese Unie over het vertrek van het land. Dat riep bij diverse lezers de zenuwachtige vraag op, mag ik dan nog wel persoonsgegevens bij Engelse (of Schotse of Welshe) bedrijven laten verwerken? Immers, zonder regeling is het VK straks gewoon een “derde land” en daar mag je eigenlijk geen persoonsgegevens stallen.

Onder de AVG zijn de regels voor opslag van persoonsgegevens buiten de Europese Economische Ruimte (de EU plus Liechtenstein, Noorwegen en IJsland) erg streng. Het onderliggende argument is dat deze landen geen fatsoenlijke wetgeving rondom persoonsgegevens hebben, en daarom die gegevens van Europese burgers gewoon niet moeten krijgen. Uitzonderingen daargelaten: twaalf landen zijn erkend als adequaat op dit gebied, en Japan is vlakbij erkenning. Met die landen kun je dus gewoon zaken doen rondom persoonsgegevens.

Voor andere landen ligt het ingewikkelder. Hoofdstuk V van de AVG noemt vele opties, maar de eisen zijn behoorlijk streng. Praktisch gezien zijn er twee werkbare opties: de uitdrukkelijke specifieke toestemming van de betrokken personen, en de zogeheten modelclausules als basis voor een overeenkomst met je Engelse bedrijf.

Toestemming. Artikel 49 AVG biedt deze optie, maar kleedt ‘m zo zwaar in dat het eigenlijk niets oplevert:

a) de betrokkene heeft uitdrukkelijk met de voorgestelde doorgifte ingestemd, na te zijn ingelicht over de risico’s die dergelijke doorgiften voor hem kunnen inhouden bij ontstentenis van een adequaatheidsbesluit en van passende waarborgen;

Even voor de duidelijkheid: hier staat niet dat je mag werken met een popup met vinkje “Ik ben akkoord met opslag van mijn gegevens in Londen”. Je moet een uitdrukkelijke handeling of verklaring halen en je moet kunnen bewijzen dat je mensen in eenvoudige en duidelijke taal (taalniveau B2, de folder bij de apotheek) hebt uitgelegd wat de risico’s zijn als hun gegevens in Engeland opslaat of een Engelse verwerker er mee aan de slag laat gaan.

Het zou flauw zijn om nu te zeggen, leg zelf maar eens uit wat die risico’s zijn. Maar ingewikkeld is het wel. In de kern komt het erop neer dat je niet kunt voorkomen dat die Engelse bedrijven die je erbij betrekt, andere dingen doen dan van de AVG/GDPR mogen. En dan heb ik het niet alleen over stiekeme toegang door overheidsdiensten zoals MI5 of Special Branch, maar ook over datahandel door die bedrijven zelf. Er is geen fatsoenlijke privacywet daar, dus je weet gewoon niet wat die bedrijven vinden dat legaal is.

Natuurlijk kun je dan zeggen, ik ga een contract met ze maken waarin ik dat gewoon keihard verbied. Dat is juridisch alleen niet genoeg binnen deze optie, je moet nog steeds die voorlichting bieden. En vooral – mijn grootste bezwaar – tegen deze optie: mensen kunnen hun toestemming te allen tijde intrekken. Dat maakt werken op deze basis erg wankel.

Werken met de zogeheten Model Clauses is dan ook volgens mij de enige reële optie. Je maakt dan een speciaal contract waarin in strenge taal (door de EU opgesteld en goedgekeurd) de Engelse partij allerlei plichten opgelegd krijgt over hoe om te gaan met persoonsgegevens, hoe te borgen dat jouw personeel of klanten hun rechten kunnen halen en hoe jij toezicht houdt op wat die Engelsen gaan doen.

Dit voelt als een redelijk papieren exercitie en dat is het natuurlijk ook. Maar het is wel iets om op papier mee verder te kunnen totdat de EU en het VK er werkelijk uit zijn. En dan hopen we maar dat dat binnen een jaar of twee bekeken is, want tegen die tijd zullen de model clauses sneuvelen vermoed ik gezien een rechtszaak van de onvermoeibare Max Schrems die tegen dit soort papieren tijgers ten strijde trekt.

De meer cynisch georiënteerde jurist zal dus zijn klanten eerder een vertrek uit het VK aanraden. Gebruik de model clauses als lapmiddel totdat je de migratie compleet hebt, maar heb een plan om weg te gaan op de kortst mogelijke termijn.

Arnoud

Het al-dan-niet illegaal bekijken van geo-restricted streams

| AE 2612 | Intellectuele rechten | 28 reacties

not-available.pngEen lezer vroeg me:

Actueel gezien de Tour de France: als een officiële videostream geblokkeerd wordt op basis van het land waar je bent, is het dan legaal of illegaal om een proxy IP-adres te gebruiken? En hoe zit het met een door een particulier aangeboden stream via zo’n Chinese site?

In Nederland is het legaal om videos uit illegale bron te downloaden. Streamen is natuurlijk ook gewoon downloaden (maar dan irritant), dus dat valt onder dezelfde regeling. Er is dus weinig mis met zoeken naar een particulier aangeboden stream als de officiële bron weigert te leveren.

Een proxy gebruiken om de IP-blokkade te omzeilen, kan natuurlijk ook. Dat is wel iets meer gedoe, maar er lijkt me weinig mis mee, juridisch gezien dan. (En als hier wél wat mis mee is, dan is er ook wat mis met de Auteurswet: dan is het legaal om een illegale stream te bekijken maar niet om de legale stream te bekijken met een digitale regenjas aan.)

Natuurlijk wél illegaal is het zelf streamen (uploaden) van video’s zonder toestemming, net als het exploiteren van een site die structureel linkt naar illegaal beschikbare streams. In maart wonnen de diverse Europese voetbalbonden van MyP2P. De site had een structureel aanbod aan hyperlinks naar illegaal aangeboden streams, en dat was “maatschappelijk onzorgvuldig”, hoewel geen auteursrechtinbreuk omdat ze niet zelf de streams doorgeven.

Het wordt de hoogste tijd voor een Europees auteursrecht en een verbod op geo-specifieke levering van entertainmentcontent.

Arnoud

Linken naar P2P stream is inbreuk op auteursrecht?

| AE 1432 | Intellectuele rechten | 11 reacties

myp2p-televisie-kijken-links.pngLinken is geen openbaar maken, roep ik al een hele tijd. B/S roept al een hele tijd het omgekeerde. En zo af en toe komt er een vonnis langs dat de discussie weer eens lekker stimuleert. Boek 9 bericht over een ex parte beschikking (een vonnis-zonder-wederhoor, een juridisch onding dat op zich een blogpost of tien waard is) waarin wordt bepaald dat de site MyP2P zelfstandig openbaarmakingshandelingen verricht. Dit omdat zij verwijst naar peer-to-peer streams waar je live televisie kunt kijken.

In de beschikking trektvolgt de rechtbank de eiser in haarde analogie met hotelgasten die televisie kunnen kijken. In het Hotelkamers-arrest ging het Europese Hof van Justitie in op de vraag of de distributie van een signaal door middel van televisietoestellen aan klanten die in hotelkamers logeren, een mededeling aan het publiek (wat de Nederlandse wet een “openbaarmaking” noemt) in de zin van artikel 3, lid 1, van richtlijn 2001/29 vormt.

In die richtlijn staat dat deze term breed moet worden uitgelegd om “een hoog beschermingsniveau voor onder meer de auteurs te verwezenlijken, zodat dezen met name bij een mededeling aan het publiek een passende beloning voor het gebruik van hun werk kunnen ontvangen”. Het Hof ziet daarom geen problemen om het installeren en laten gebruiken van televisietoestellen in hotelkamers als nieuwe openbaarmaking te zien.

het doorgeven van een signaal door middel van televisietoestellen door een hotel aan de gasten die in zijn kamers verblijven, ongeacht de gebruikte techniek van doorgifte van het signaal, [vormt] een mededeling aan het publiek in de zin van artikel 3, lid 1, van deze richtlijn.

De meer klassiek opgevoede auteursrechtdeskundigen doet dit denken aan het HR-arrest 30 oktober 1981 (CAI Amstelveen). Daar werd doorgifte via de kabel van vrij te ontvangen televisiesignalen ook als een nieuwe openbaarmaking gezien. Het HvJEG hanteert dezelfde redenering als onze HR in 1981: je boort een nieuw publiek aan met die doorgifte op je eigen netwerk, en dat valt onder openbaar maken.

In deze beschikking zegt de rechtbank:

Myp2p verricht vergelijkbare handelingen als het hotel in bovengenoemd arrest. Immers: Myp2p is een andere organisatie van wederdoorgifte dan de oorspronkelijke. Zij verricht haar handelingen ten behoeve van een ander, nieuw publiek. Het nieuwe publiek bestaat uit mensen die niet aan een van de officiële partners van Verzoeksters betaald hebben voor het zien van de wedstrijden. (“)”

Nu is het absoluut waar dat MyP2P een andere organisatie is, en ik geloof onmiddellijk dat zij een nieuw publiek aanboort ten opzichte van de klassieke televisiekijkers. Ik wil best aannemen dat dat nieuwe publiek ‘bestaat uit’ mensen die niet willen betalen voor televisie (hoewel je je kunt afvragen hoe die streams dan het P2P netwerk binnenkomen, maar ok).

Maar op één cruciaal punt zit er een wezenlijk verschil: MyP2P geeft geen signalen door van de televisieprogramma’s.

MyP2P verwijst naar de plek waar je die signalen kunt ontvangen, maar biedt zelf geen faciliteiten of een afnamepunt voor de signalen. In eerdere zaken over MP3-zoekmachines, torrentsites en dergelijke wordt dan ook steeds geoordeeld dat dergelijke links, hashcodes, torrents en hoe ze allemaal ook mogen heten geen openbaarmaking zijn. Het is vaak wel onrechtmatig om zulke links, hashcodes etcetera aan te bieden omdat je er iemand willens en wetens schade mee toebrengt, maar dat is een heel andere uitkomst.

En ja, dat verschil is belangrijk: als iemand inbreuk op auteursrecht pleegt, kun je maatregelen nemen met zo’n ex parte beschikking (zonder wederhoor) en de volledige proceskosten vergoed krijgen van de inbreukmaker. Bij een gewone schadeclaim kan dat allemaal niet. Bovendien kan B/S komen afrekenen bij mensen die inbreuk maken op auteursrechten van hun leden.

Kan iemand me uitleggen waarom de rechtbank een verwijzing naar een P2P-stream als hetzelfde zit als in hotelkamers televisies ophangen en aan je kabelaansluiting koppelen?

(Oh ja, deze beschikking is geen jurisprudentie maar ik voel het echte vonnis al aankomen.)

Arnoud