Mag je onderzoeken naar een datalek bij een politieke partij?

De gegevens van 92.901 leden en oud-leden van de Nederlandse politieke partij Forum voor Democratie zijn gelekt. Dat meldde Tweakers donderdag. De administratieserver had een fout waardoor je zonder controle lidmaatschapsgegevens kon opvragen (namen, e-mailadressen, telefoonnummers en rekeningnummers van leden en oud-leden). Auw. De journalisten van RTL Nieuws kregen 92.901 records te pakken. Wat de vraag opriep: mag dat eigenlijk wel, zo’n lijst downloaden, gaat dat niet te ver?

Het lek is ondertussen gedicht, en afgezien van een melding bij de AP en een dreiging met aangifte tegen iedereen die de gegevens misbruikt lijkt er niets meer van te komen. Maar het punt blijft: had je als journalist zo ver mogen gaan?

Hoofdregel is natuurlijk dat ook journalisten zich aan de wet moeten houden. Maar er is een uitzondering: als het absoluut noodzakelijk is voor het aan de kaak stellen van een ernstige misstand, dan mag je verder gaan. Inclusief dus inbreken in een computersysteem, wanneeer dat dus de enige manier is om vast te stellen dat daar inderdaad een lek zit.

De omvang van het lek vaststellen mag ook, want dat is dan deel van het nieuws. Maar dan krijg je het dilemma: is het nodig om 92.901 records te downloaden om te controleren of je werkelijk álle ledengegevens te pakken kunt krijgen? Kun je niet volstaan met enkele records te zoeken (op je eigen naam, of op de naam van bekende leden, zodat je geen nodeloze schade aanricht) om zo de omvang van het probleem vast te stellen?

In de al wat oudere Nieuwe Revu-zaak werd het hacken van de mailbox van de toenmalige Staatssecretaris van Defensie legaal geacht, maar het vervolgens snuffelen in de mails dan weer niet. Voor het nieuwsfeit “is die mailbox zwak beveiligd” was op zich aanleiding, maar “hij doet mogelijk staatszaken in de privémailbox” was te theoretisch. En Henk Krol kreeg in 2013 ook een boete voor het grasduinen in EPD dossiers na bewezen te hebben dat een arts een zwak wachtwoord had, zij het dat meewoog dat hij dat voor de televisiecamera deed.

Mijn eerste gevoel bij deze zaak is dat omdat het hier gaat om zeer gevoelige gegevens, je in je recht staat om vast te stellen hoe ernstig de zaak precies is. Dan is downloaden van de gehele dataset wel nodig, al is het maar om te kunnen reageren op de onvermijdelijke downplaying die menig organisatie zou doen bij een dergelijk nieuwsbericht. Natuurlijk moet je die dataset vervolgens ergens in een kluis stoppen en verder niet aankomen.

Weet er iemand een andere manier om dit lek te valideren op zo’n manier dat de scope vast komt te staan maar zónder dat je alle records downloadt?

Arnoud

Rechtbank: Ziggo hoeft vermaningen Brein niet naar torrentgebruikers te sturen

Ziggo hoeft torrent-waarschuwingsbrieven van Brein niet door te sturen naar frequente torrentgebruikers. Dat meldde Tweakers onlangs. Dit was een recent idee van de auteursrechthandhaver: identificeer frequente uploaders, en stuur ze een “we hebben je in de gaten”-brief in de hoop dat men ermee stopt. De rechtbank merkt de hierbij benodigde persoonsgegevens aan als strafrechtelijk, waardoor Ziggo ze niet mag verwerken zonder vergunning van de Autoriteit Persoonsgegevens.

Ziggo had bezwaar gemaakt tegen het verzoek van Brein om deze brieven te versturen, omdat zij dacht dat dit onder de AVG niet toegestaan zou zijn. Brein verzamelt immers IP-adressen van torrenters, en dat zijn persoonsgegevens. Maar op zich mag Brein dit, gezien het gerechtvaardigd belang dat zij als vertegenwoordiger van rechthebbenden heeft bij de handhaving en preventie van auteursrechtinbreuk.

Wel is er het fundamentele probleem dat het hier gaat om gegevens over strafrechtelijk relevant gedrag. Inbreuk op auteursrecht is immers een misdrijf (art. 31 en verder Auteurswet). Uit het vonnis:

De AP heeft in een besluit over de online handhaving van de intellectuele eigendomsrechten door Dutch Filmworks B.V. (DFW) vastgesteld dat het verwerken van persoonsgegevens van personen waartegen een min of meer gegronde verdenking bestaat van handelingen die inbreuk maken op een auteursrecht, aangemerkt moeten worden als het verwerken van strafrechtelijke persoonsgegevens (AP, Definitief besluit inzake de verklaring omtrent de rechtmatigheid van online handhaving van intellectuele eigendomsrechten door Dutch Filmworks B.V., z2017-02053, p. 4).
Door het soort analyse dat Brein uitvoert, is vrij zeker dat de betrokken personen dit misdrijf van inbreuk op auteursrecht plegen. Dat maakt de persoonsgegevens dan tot strafrechtelijke persoonsgegevens, waarvoor de AVG een zeer streng regime kent:
Persoonsgegevens betreffende strafrechtelijke veroordelingen en strafbare feiten of daarmee verband houdende veiligheidsmaatregelen mogen op grond van artikel 6, lid 1, alleen worden verwerkt onder toezicht van de overheid of indien de verwerking is toegestaan bij Unierechtelijke of lidstaatrechtelijke bepalingen die passende waarborgen voor de rechten en vrijheden van de betrokkenen bieden. Omvattende registers van strafrechtelijke veroordelingen mogen alleen worden bijgehouden onder toezicht van de overheid.
Er moet dus een concrete wet zijn die regelt dat je dit mag verwerken, en die wet moet ook nog eens passende waarborgen kennen. In Nederland is dit uitgewerkt in artikel 31 en 32 Uitvoeringswet AVG. Die kennen de optie dat je zulke gegevens mag verwerken als je bezig bent met een juridische procedure, maar daar kon Brein dus geen beroep op doen:
Op het moment dat Brein (naar aanleiding van de evaluatie van deze campagne) later besluit om toch (andere) handhavingsmaatregelen te treffen en het daarvoor nodig is om te procederen, zullen daarvoor opnieuw IP-adressen worden verzameld. De IP-adressen die zijn/worden verzameld in het kader van de FLU-waarschuwingscampagne worden daar niet voor gebruikt (zie 2.7) en dus is de verwerking daarvan niet noodzakelijk in verband met een rechtsvordering.
Een ander artikel (33) bepaalt dat strafrechtelijke persoonsgegevens mogen worden verwerkt ter bescherming van je eigen belangen, voor zover het gaat om strafbare feiten die jegens jou zijn gepleegd of naar verwachting zullen worden gepleegd. Dat past dus bij Brein, alleen is dat niet bruikbaar voor Ziggo. En dat is het probleem, want Ziggo is zélf verwerkingsverantwoordelijke wanneer zij die gegevens van haar administratie koppelt aan de brieven van Brein en deze doorstuurt.

Voor Ziggo is dit dan ook alleen een optie als zij een vergunning krijgen van de AP. Dat voelt een beetje als een heftige optie – waarom mag Brein dat zomaar maar Ziggo niet – maar de regel staat in hetzelfde rijtje als de regels over recherchebureaus. Het is dus eigenlijk de restoptie, je bent niet echt een privédetective maar je doet wel ongeveer hetzelfde, dan moet je dus een aparte vergunning halen.

Zijn we er dan? Ja, met zo’n vergunning dan mag – pardon, móet Ziggo dit gaan doen.

De rechtbank haalt het Lycos/Pessers arrest van stal, dat organisaties als Brein in principe het recht geeft om NAW-gegevens te eisen van providers zoals Ziggo, wanneer de klant waarschijnlijk inbreuk pleegt. Hetzelfde arrest dat Dutch Filmworks zonder succes inriep bij hun dreigbriefactie, maar dat liep stuk op het punt dat DFW onduidelijk was over de schadeclaims en andere rechtsmaatregelen waarmee ze in hun brieven schermden. Brein heeft daaraan gedacht: de brieven zijn alleen “pas op, doe dit niet nog eens” en na versturen van de brieven worden alle logs gewist.

Lycos/Pessers zegt dat je als provider zelf onrechtmatig handelt als je in zo’n situatie geen NAW gegevens afgeeft. De rechtbank trekt dat door: je handelt ook zelf onrechtmatig als je die brieven dan niet doorstuurt. Dus zou Ziggo een vergunning hebben, dan konden die brieven per direct de deur uit.

Het enige dat de rechtbank nu in het midden laat, is of Ziggo verplicht is om zo’n vergunning te gaan halen. Enerzijds lijkt het me lastig om zoiets af te dwingen, want het is niet een kwestie van een formuliertje invullen op de site van de AP en drie vinkjes laten zetten door je FG.

Anderzijds mag Brein volgens dit vonnis dus wél eisen dat ze NAW-gegevens van de torrenters krijgt, zodat ze zelf die brieven kan sturen. (Dat was niet de vraag van Brein dus de rechtbank verplicht Ziggo daartoe niet, maar wie 3.38 en 3.41 leest, ziet dat de rechtbank wel degelijk op de hand van Brein is.) En als dat zo is, dan is het halen van die vergunning en het zelf doen misschien nog de te prefereren keuze voor Ziggo.

Arnoud

 

Hoge Raad: Ziggo hoeft downloadergegevens niet af te staan aan Dutch FilmWorks

De Hoge Raad heeft het cassatieberoep van Dutch FilmWorks verworpen, las ik bij Tweakers. Door deze art. 81-afdoening hoeft Ziggo definitief niet de gegevens van klanten die illegaal zouden downloaden af te geven aan het bedrijf. Dat was immers de uitkomst van het hoger beroep van eind 2019. En dat bevestigt ook dat het Lycos/Pessers-arrest geen vrijbrief is om maar persoonsgegevens te kunnen vorderen “want het is inbreuk”.

Bij Tweakers doen ze een tikje verbaasd dat de Hoge Raad zonder motivatie de zaak afwijst, “Waarom de Hoge Raad het beroep heeft verworpen, is niet bekend.” Voor juristen zou dit geen verrassing mogen zijn, onze hoogste rechtscollege mag zonder motivatie zaken afwijzen

als het cassatieberoep ongegrond is en geen juridisch belangrijke nieuwe vragen oproept. Bijvoorbeeld als rechtzoekenden ‘naar de bekende weg vragen’ door rechtsvragen voor te leggen die al zijn beantwoord, en er verder geen reden is het verwerpen van het cassatieberoep nader te motiveren.
Kennelijk vroeg DFW dus naar de bekende weg. Dat is misschien wat al te onaardig gezegd, want waar het ze in de kern om ging was
[dat het Gerechtshof juridisch onlogisch was] door het verstrekken van de gevorderde NAW-gegevens te laten afhangen van de actie(s) die DFW uiteindelijk tegen individuele downloaders wil nemen en de transparantie die DFW daarover in deze procedure heeft betracht.
Als je namelijk naar de Lycos/Pessers criteria kijkt, dan staat daar niet letterlijk bij als factor wat men van plan is te doen. Maar het Hof had dat meegewogen in de AVG-beoordeling van wat DFW van plan was. Plus, criterium b is of je een “reëel belang” hebt bij je eis, en als je onduidelijk bent over je plannen dan zie ik het daar ook wel over struikelen.

Ook had DFW gesteld dat Ziggo verplicht is de gegevens af te geven als aan het Lycos/Pessers arrest is voldaan. Het Hof had echter geconcludeerd dat het geen automatisme is (zoals al vele, vele malen bevestigd daarvoor) maar dat het een afweging van belangen is. Van de manier waarop het Hof die uitvoerde, daar kun je van alles van vinden, maar dan kom je bij het juridische punt dat zo’n afweging al heel snel feitelijk is. En de Hoge Raad mag niet toetsen aan feitelijke bevindingen, maar alleen het juridisch kader controleren. Dus bezwaren tegen welke factoren zijn meegenomen, zijn niet geschikt voor cassatie.

Voor mij weinig verrassend, maar gezien de belangen bij DFW niet gek dat men er nog een bak geld tegenaan gesmeten heeft om zo lang mogelijk de dreiging in de lucht te houden. En ik blijf erbij, ik zie niet hoe DFW dit anders had kunnen doen. De situatie dat de IP-adreshouder niet de downloader is, is een fundamenteel probleem. Dat los je alleen op door botweg te zeggen, je bent aansprakelijk voor je account. En dan krijg je ook nog het schadebedrag waar al tien jaar over gesteggeld wordt – wat kost dat nou, zo’n illegale download? Is dat de prijs van de DVD, de Blu-Ray, de single play van Videoland of 1/30e van een Netflix maandabonnement? Ik denk niet dat je daar ooit uitkomt.

Arnoud

Verdachte illegale downloaders kunnen schuld niet bij huisgenoten leggen

Een illegale downloader die wordt vervolgd, kan niet zomaar een gezinslid of huisgenoot de schuld geven van het downloaden om onder de straf uit te komen, meldde Nu.nl onlangs. Het Europese Hof van Justitie deed eerder uitspraak (zaaknr. C-149/17) hierover in een Duitse kwestie waarbij de houder van een internetaansluiting van illegaal downloaden van een audioboek werd beschuldigd. Persoonlijk vond ik het niet zo’n belangrijk arrest (want in Nederland worden downloaders niet aangepakt) maar ik krijg er veel vragen over, dus laten we toch eens kijken wat er nu is bepaald.

In Duitsland wordt veel actiever achter downloaders aangezeten dan bij ons. De Abmahnung-praktijk met name is berucht: advocaten speuren naar IP-adressen en sturen blafbrieven voor enkele honderden euro’s naar vermeende downloaders. Volgens mij is er nog nooit daadwerkelijk doorgepakt en bij de rechter zo’n bedrag goedgekeurd, maar veel mensen daar maken zich er zorgen over en zoeken naar redenen om van de sommatie af te komen.

In de praktijk komt men natuurlijk bij de abonnementshouder achter het gebruikte IP-adres uit, want dat is de enige informatie die de internetprovider bezit. Het is natuurlijk goed mogelijk dat een huisgenoot of gezinslid feitelijk de download uitvoerde. Zo ook in de zaak die bij het Hof uitkwam: er was via het IP-adres van de gedaagde een audioboek gedownload, maar de man ontkende in alle toonaarden.

De rechtbank in eerste instantie sprak hem vrij, omdat hij had aangegeven dat ook zijn inwonende ouders toegang hadden tot internet. Daarmee is het in theorie mogelijk dat zij de download hadden begaan, hoewel zij

bij zijn weten evenwel dit werk niet op hun computer hadden, niet op de hoogte waren van het bestaan ervan en geen filesharing-software gebruikten. De computer van de betrokkene was op het tijdstip van die inbreuk op het auteursrecht bovendien uitgeschakeld.

In hoger beroep keek men er anders tegenaan: het meest waarschijnlijk was dat de man zelf de inbreuk had gepleegd door zonder toestemming te downloaden, en dat is nu eenmaal de bewijsrechtelijke lat in het aansprakelijkheidsrecht. Geen zekerheid zoals in het strafrecht, maar slechts iets meer dan 50/50 verdeling van de waarschijnlijkheden.

Alleen was er in Duitsland jurisprudentie van het Bundesgerichtshof, de hoogste rechter:

Conform de rechtspraak van het Bundesgerichtshof, zoals door de verwijzende rechter uitgelegd, is het immers aan de verzoeker om een inbreuk op het auteursrecht te stellen en te bewijzen. Voorts wordt vermoed dat de houder van een internetaansluiting een dergelijke inbreuk heeft gemaakt, wanneer op het tijdstip van de inbreuk geen enkele andere persoon deze aansluiting kon gebruiken. Indien de internetaansluiting ontoereikend was beveiligd of bewust voor anderen beschikbaar was gesteld, kan de houder van deze aansluiting evenwel niet geacht worden deze inbreuk te hebben gemaakt.

Oftewel, in Duitsland geldt (gold) dus de regel dat je alléén de houder van een aansluiting aansprakelijk mag stellen als hij de enige was die de aansluiting gebruikte. Zijn er meer mensen, dan moet je als rechthebbende met meer bewijs komen welke van die mensen het dan was. En dat lukt natuurlijk zelden.

Het Hof van Justitie gooit deze regel van tafel. Voor een effectieve handhaving van auteursrecht is het noodzakelijk dat er geen keiharde regels in de weg staan die in de praktijk nooit te bewijzen zijn. Als je met alles wegkomt door “mijn moeder kan hier ook internetten” te zeggen, dan is de handhaving van auteursrecht niet meer reëel. Die regel is dus oneerlijk en mag niet worden gevoerd. Daarom verklaart het Hof die Duitse jurisprudentie ongeldig.

Dit betekent dan weer niet dat je dus altijd wél aansprakelijk bent als er via jouw IP-adres iets wordt gedownload. Want je valt nu terug op de gewone, open regel van bewijsrecht dat de rechthebbende aannemelijk moet maken dat jij het was. Niet wettig en overtuigend bewijzen -dat is strafrecht- maar met dus 51% zekerheid. Ik denk dat je in Nederland dan uitkomt bij “je was de houder” met een snippertje extra feitelijke onderbouwing, waarna de houder iets van een verhaal moet geven waarom hij het niet is.

Arnoud

Dutch Filmworks gaat in oktober illegale downloaders opsporen en laten betalen

Filmdistributeur Dutch Filmworks heeft aangekondigd illegale downloaders van films vanaf oktober op te sporen en te laten betalen via een schikkingsvoorstel. Dat meldde Tweakers vorige week. De filmmaatschappij is al eventjes bezig, onder meer begin deze maand met toestemming van de privacytoezichthouder om IP-adressen aan NAW-gegevens te mogen koppelen van mensen die torrenten. Maar ik blijf erbij: dit is bangmakerij en geen effectieve bestrijding.

Zoals ik begin deze maand al zei, in theorie is het vrij simpel om achter illegale downloaders aan te gaan. Wie op Bittorrent up- of downloadt, zal daarbij immers zijn IP-adres onthullen aan de andere ‘peers’ in het netwerk. Wat je dus doet, is je aansluiten op dat netwerk en doen alsof je het bestand ook wilt hebben. De IP-adressen komen dan als vanzelf binnen. Daarmee kun je dan naar de betreffende internetproviders om NAW-gegevens te eisen, waarna je de betreffende persoon sommeert en aanklaagt.

Maar daar gaan we dan. Allereerst, hoe sterk moet je bewijs zijn dat iemand zat te downloaden? Is dan één registratie van één ontvangen blokje van de film genoeg, of moet deze persoon als seed geregistreerd staan en aantoonbaar jou alle blokken hebben gestuurd?

Ten tweede, wat gaan de providers doen? In de pers roepen die allemaal dat ze natuurlijk geen NAW-gegevens gaan geven zonder gerechtelijk bevel. Dat klinkt stoer, maar je loopt dan wel tegen dat vermaledijde Lycos/Pessers arrest aan dat bepaalt dat je bij evidente inbreuk gewoon die gegevens moet verschaffen. Heel veel kans geef ik ze dus niet. Althans, niet tot 25 mei: vanaf dan treedt de Privacyverordening in werking en die eist gewoon wettelijke regelingen voor dit soort zaken. En een HR-arrest is geen wet. En ik ben benieuwd welke politicus zo’n wet durft voor te stellen.

En ten derde, wat ga je eisen bij de rechter? Want leuk allemaal dat ze in Duitsland 800 euro per film vragen (en 600 per aflevering van een serie), maar ik ben er nog steeds niet achter wat voor schadeberekening daar nu echt achter zit. En wat daar verder ook van zij, in Nederland geldt gewoon de regel dat je je wérkelijke schade vergoed moet krijgen, en dat is hier simpelweg de gemiste verkoopprijs van de film of serie. Dus als iemand meer dan 50 euro per download aan schade onderbouwd krijgt, dan koop ik een hoed en eet ik die op.

Natuurlijk, de proceskosten. De leuke stok om mensen mee te slaan: bij auteursrechtinbreuk moet de verliezer de héle advocaatrekening betalen van de eiser. Dus dan wordt procederen om 50 euro ineens weer de moeite waard als je weet dat je wint (en je wint als DFW want downloaden ís inbreuk, zelfs als de schade maar 1 cent is). Maar in maart bepaalde de Raad voor de Rechtspraak in haar nieuwe indicatietarieven voor IE-zaken dat bij “zeer eenvoudige” zaken deze proceskostenveroordeling niet opgaat. Dat is gewoon liquidatietarief, dus een paar honderd euro hooguit.

En dan nog: die kosten zijn pas aan de orde wanneer het tot een procedure komt. Wie in reactie op een sommatiebrief de aankoopprijs van de DVD overmaakt, heeft volgens mij zonder enige twijfel de schade (meer dan) vergoed die DFW zou hebben geleden.

Dus alles bij elkaar snap ik niet goed wat nu de gedachte achter deze strategie is. Bangmakerij, verder kom ik niet. Want dit gaat rondzingen, DFW gaat boetes opleggen als je iets downloadt, en de taal in die brieven zal natuurlijk ontworpen zijn om je te doen vrezen voor duizenden euro’s aan kosten per klik. En nee, je rechtsbijstandsverzekering dekt het niet (IE-geschillen zijn altijd uitgesloten in consumentenrechtsbijstandsverzekeringen). Ik zou bijna DFW-content gaan downloaden om het op een proefproces aan te laten komen.

Arnoud

Mag je een film illegaal downloaden als je de Blu-Ray al hebt?

bluraydiscEen lezer vroeg me:

Stel dat ik een bluray disc (BD) aanschaf van een film, gewoon legaal gekocht in de winkel. Nu is het helaas niet mogelijk om deze film te kopiëren naar een ander afspeelapparaat, zoals mijn computer, en af te spelen, vanwege de aanwezige kopieerbeveiliging. Persoonlijk vind ik dit onhandig, want niet elk apparaat in mijn huis heeft een dergelijke player. Ik kan natuurlijk een BD rip downloaden van internet, bijvoorbeeld via bittorrent. Dat is normaal illegaal, maar geldt dat ook als ik de BD al heb?

Ik vrees dat het zo niet werkt onder het auteursrecht. Het feit dat je een exemplaar van het werk legaal gekocht hebt, betekent niet dat je een illegale kopie daarvan mag downloaden. Ook niet als je voornemen is om die in plaats van het legale exemplaar te gebruiken.

Je hebt het recht om die BD te converteren naar een ander formaat, dat valt binnen de thuiskopieregeling. Alleen is dat hier technisch onmogelijk voor gewone mensen. Natuurlijk zijn er altijd trucs om daar omheen te komen, maar dan loop je tegen de DRM-wetgeving uit de Auteurswet aan: het is onrechtmatig om een kopieerbeveiliging te omzeilen, ongeacht je doel.

Ja, ook als je doel legaal is. Bij de invoering van de wet is dit gesignaleerd maar niet als acuut probleem ervaren. De wet biedt wel de mogelijkheid (art. 29a lid 4 Auteurswet) om via een ministeriële regeling hier toestemming voor te scheppen, maar dat is niet gebeurd en zie ik nog niet gebeuren. Dus nee, dit mag niet.

Het enige dat ik nog kan bedenken is: wat is de schade? Meneer hééft betaald voor de film en hij doet niets met de film dat buiten zijn wettelijke rechten valt.

Arnoud

Geldt het recht op een thuiskopie ook als je een beveiliging moet kraken?

netflix-gratis-maandEen lezer vroeg me:

Mag ik een Netflix-stream opslaan onder de thuiskopieregeling? Dat is toch een legale bron? En mag ik dan de beveiliging kraken, anders krijg ik dit niet voor elkaar.

In de Auteurswet staat (art. 16b en 16c) dat je een kopie mag maken van elk werk dat je te pakken krijgt, behalve (kort gezegd) boeken en standbeelden. Het maakt niet uit of je het koopt of huurt, de enige eis is dat je het uit een legale bron krijgt. Dus ook Spotify-muziek of Netflix-video’s mag je kopiëren voor eigen gebruik. Downloaden uit die legale bron mag dus.

Het is vaak technisch moeilijk of zelfs onmogelijk zonder rare trucs. Dat is een probleem want er is wetgeving tegen het kraken van kopieerbeveiligingen. Die zegt botweg:

Degene, die doeltreffende technische voorzieningen omzeilt en dat weet of redelijkerwijs behoort te weten, handelt onrechtmatig.

Daar is geen woord genuanceerd aan. En het is dan ook een lastige vraag wat er gebeurt als je dat omzeilen doet met het doel een legitiem gebruik (zoals citeren of een thuiskopie) te maken van het werk. Zoals de tekst er ligt, mag het ook dan niet.

Dit onderwerp kwam bij de invoering van dit stukje wet aan de orde. Daarop is vervolgens dit toegevoegd:

Bij algemene maatregel van bestuur kunnen regelen worden vastgesteld die de maker of zijn rechtverkrijgenden er toe verplichten aan de gebruiker van een werk van letterkunde, wetenschap of kunst voor doeleinden als omschreven in de artikelen 15i , 16 , 16b , 16c , 16h , 16n , 17b en 22 van deze wet de nodige middelen te verschaffen om van deze beperkingen te profiteren, mits de gebruiker rechtmatig toegang tot het door de technische voorziening beschermde werk heeft. Het bepaalde in de voorgaande zin geldt niet ten aanzien van werken die onder contractuele voorwaarden aan gebruikers beschikbaar worden gesteld op een door hen individueel gekozen plaats en tijd.

Een AMvB is een lagere regeling dan een wet, die door de regering mag worden ingevoerd. De wet hoeft zo niet te worden gewijzigd, en de Tweede Kamer hoeft er dan ook niet over te stemmen. Dit is dus een manier om het makkelijker te maken om kleine dingen in een wet te enablen; zeg maar de plugin hooks van de wetgeving.

Hieronder valt het maken van de thuiskopie, dat is immers artikel 16b en 16c van de Auteurswet. Het probleem is dus in principe op te lossen – als het zich al voordoet in die mate dat de ministerraad vindt dat er wat aan gedaan moet worden.

Alleen, niet helemaal, want de laatste zin staat hier in de weg: “werken die onder contractuele voorwaarden aan gebruikers beschikbaar worden gesteld op een door hen individueel gekozen plaats en tijd” gaat over streaming content die op jouw verzoek wordt geleverd, Netflix-afleveringen dus. (Nee Wim, dat je het aanzet en dan in een binge-coma zakt terwijl het doorloopt is nog steeds “door hen gekozen plaats en tijd”). Het is niet de bedoeling dat streaming content wordt opgeslagen, dat botst met het businessmodel van de streamers. En daarom mag er geen thuiskopie van worden gemaakt als er DRM op zit.

Arnoud

Filmindustrie claimt miljard bij Staat om downloads

youwouldntdownloadverbod.pngNederlandse filmmakers en distributeurs dreigen de Nederlandse staat met een schadeclaim van ruim 1 miljard euro, meldde de Volkskrant afgelopen vrijdag. Dit omdat Nederland met haar ‘ruimhartige downloadbeleid’ dat in 2014 tegen de Europese wet bleek, zo veel schade zou hebben veroorzaakt bij de Nederlandse filmindustrie. One beeillion dollars. Wacht, wat, hoe komen ze daar nou bij?

Er is op dit moment nog geen daadwerkelijke rechtszaak aangespannen. Een brief aan staatssecretaris Klaas Dijkhoff (Justitie) dreigt met juridische stappen als de Staat niet vrijwillig met een compensatieregeling over de brug komt voor het feit dat we al een dik decennium een foute wet hebben gehad:

‘De Nederlandse staat heeft jarenlang volgehouden dat het kopiëren uit illegale bron was toegestaan. Het gevolg hiervan was dat een hele generatie consumenten het idee heeft gekregen dat gebruik van films zonder betaling gewoon mag. Het gevolg is ook dat consumenten onbekommerd aan het downloaden en kopiëren zijn geslagen zonder besef dat daarvoor enige vergoeding verschuldigd zou zijn.’

En ja, in theorie kan zo’n claim. Het achterliggende juridische argument is dat auteursrecht Europees geregeld is, waardoor de Nederlandse Staat verplicht is dit op een bepaalde manier uit te werken. Als ze dat niet doen, dan zijn ze aansprakelijk voor de schade die burgers en bedrijven daardoor lijden.

Het is dus niet zo dat je bij iedere wet of afwezigheid daarvan altijd schadeclaims kunt indienen. Er moet een hogere wet zijn op grond waarvan je kunt zeggen, de Nederlandse Staat hád die wet helemaal niet zo mogen hebben. Bij de EU is dat zo, de EU-regels gaan boven wat ons parlement vindt. Een willekeurig voorbeeld uit het arbeidsrecht: de Staat moest werknemers compenseren die ten onrechte (compensatie voor) vakantiedagen zijn misgelopen als gevolg van het onjuist implementeren van de Arbeidstijdenrichtlijn.

Bij die vakantiedagen kom je er nog wel uit met wat de schade is. Je kunt immers per werknemer uitrekenen wat een vakantiedag kost. Maar bij auteursrechten?

Uit de brief blijkt dat men de berekening baseert op een rapport van adviesbureau Considerati uit 2014, dat berekende dat de filmindustrie zo’n 78,4 miljoen euro omzet per jaar (inclusief btw) misloopt door downloaden van films uit illegale bron. Dat over tien jaar berekend met wettelijke rente komt dan op de genoemde dikke miljard. Waar dan dus sowieso 21 procent vanaf gaat want hoezo moet de gederfde btw worden vergoed?

De omzetderving komt kort gezegd neer op het aloude argument dat het consumeren van illegaal aanbod leidt tot verminderde afname van legaal aanbod. Considerati baseert zich op weer eerder onderzoek van IViR/CentERdata dat liet zien dat voor elke 10 downloads er 3,2 films uit legale bron minder worden gekeken. Hierbij is tevens rekening gehouden met het sampling-effect, oftewel dat je eerder films koopt als je ze (illegaal) gezien hebt.

Uit het IViR/CentERdata rapport:

Gemiddeld over een representatieve groep Nederlanders leiden naar elke honderd downloads uit illegale bron per saldo naar schatting tot 32 minder films die uit legale bron worden gezien: 11 minder op DVD of Blu-ray, 11 minder op televisie, en 10 minder als betaalde download of via video on demand. Opgemerkt zij dat het hier een geschat effect betreft; dat houdt in dat het de best mogelijke (punt)schatting is gegeven de data en de steekproef, maar dat een dergelijke schatting per definitie omgeven is met statistische onzekerheid waardoor het effect in werkelijkheid ook iets hoger of lager kan uitvallen.

Daarbij valt me op dat hier nogal wat nuances en aannames bij zitten die de advocaat voor het gemak even weglaat uit zijn brief. Zo merkt het rapport op “de meest intensieve downloaders zijn jongeren met een beperkt budget”, waarbij ik me dan meteen afvraag of die factor 3,2 daar dan wel opgaat. En is het niet meer op televisie kijken van films niet ook een meer algemene trend in plaats van een door downloaden ingegeven? En ja, dat is relevant want voor vergoeding komt alleen schade in aanmerking die er niet was geweest zonder de onrechtmatige daad. Maar hoe ga je bewijzen dat die 3,2 gemiste aankopen waarschijnlijk echt plaats zouden hebben gevonden?

Uiteindelijk kun je je afvragen of dit ooit bij de rechter komt natuurlijk. Ik zou van mijn stoel vallen als dat miljard werd toegewezen in ieder geval. Maar een leuke aandachttrekker voor je boze brief is het natuurlijk wel.

Arnoud

‘Grotere kans op boete voor Nederlandse Popcorn Time-gebruikers’, wacht, wat?

popcorn-time-film-serieDe kans dat auteursrechthebbenden gaan proberen om van Nederlandse Popcorn Time-gebruikers schadevergoedingen te eisen lijkt weer wat groter te zijn geworden, las ik bij NOS.nl (dat me ook om een weerwoord vroeg). Brein-opperhoofd Tim Kuik liet zich bij BNR ontvallen dat er in de wandelgangen wordt gefluisterd dat sommige rechthebbenden nadenken over mogelijke boetes voor sommige downloaders. Keihard bewijs dat het volgende week gaat gebeuren? Proest. Maar slim van Brein wel: het kost veel minder dan daadwerkelijk naar de rechter gaan, de negatieve PR-impact is een stuk minder en er zullen vast mensen zijn die nu denken “Oké, ik ga wel naar Netflix nu”.

Sinds de invoering van het downloadverbod is het al een discussie: gaan individuele up- en vooral downloaders nu aangepakt worden? Het is immers inbreuk op auteursrechten als je iets downloadt uit illegale bron, nu het excuus van de thuiskopie van tafel is.

Heeft het zin? In juridische zin vast wel: elke inbreuk beëindigd is er een. Maar praktisch gezien zie ik het niet. Een digitaal vergiet pak je niet aan door een voor een gaatjes te dichten, dat vereist andere middelen. En die heeft Brein al lang gevonden, namelijk de platforms aanpakken. The Pirate Bay blokkeren beperkt het downloaden van veel meer mensen dan een rechtszaak tegen een downloader.

Natuurlijk, er gaat een afschrikwekkend effect uit van een downloader aanpakken. Holy shit, die jongen van hier tegenover moet 8.000 euro boete (pardon, 100 euro schadevergoeding en 7.900 volledige proceskostenvergoeding, maar je weet hoe dat gaat) betalen omdat ie een film heeft gedownload op Bittorrent. Ik neem wel een VPNga wel naar Netflix. Zoiets.

Maar a) hoe groot is dat effect werkelijk en b) het afbreukrisico is veel te groot. Afbreukrisico? Ja. Voor je het weet sta je een grootmoeder van 85 te dagvaarden wiens aardige onderbuurjongen haar router heeft helpen beveiligen (en en passant er een seedbox-gateway van maakte), of een meisje van 13 dat alleen maar de Hunger Games wilde kijken. En je kunt je nu al de krantenkoppen (en mogelijk Kamervragen) wel voorstellen.

Dus nee, ik geloof het niet. Het is veel slimmer om door te laten schemeren dát het kan gebeuren. Want het is leuke clickbait, dit soort angstverhalen, en het kost niets om ze in de wereld te helpen. (En ja, dilemma: moet je er dan op reageren in de hoop het te ontkrachten, want zo valideer je dat het een talking point is. Maar goed.)

Arnoud

Mag je een Raspberry Pi verkopen die illegale streams kan streamen?

raspberry-pi-computer-chip-streamen-videoU verkoopt Raspberry Pi’s voor illegale streams, mag dat? Hee, dat vraagformat komt me bekend voor. In een rechtszaak van stichting BREIN tegen Raspberry Pi-verkoopsite Filmspeler.nl moet het EU-Hof oordelen of streamen uit illegale bron onrechtmatig is en of het verkopen van mediaspelers die linken naar sites met illegale streams ‘openbaarmaking’ is, zo meldde Computerworld onlangs. Sinds het downloadverbod is er discussie over streamen uit illegale bron, valt dat er nu onder of niet?

Het downloadverbod is eigenlijk geen expliciet verbod. Formeel komt het erop neer dat je een kopie voor eigen gebruik mag maken van een film, serie of muziek, maar alleen als je die uit een legale bron hebt verkregen. Hoewel onze wet die eis niet expliciet noemt, heeft het Hof van Justitie bepaald dat je dit er wel degelijk in moet lezen.

De wet noemt echter niet het concept ‘downloaden’ maar heeft het over het “maken van verveelvoudigingen”, kopieën van het werk. De techniek daarvoor is dus irrelevant. Of je nu een DVD ript of hem filmt met je telefoon, in beide gevallen maak je een verveelvoudiging en die mag dus alleen als je dat voor je eigen gebruik doet én je de DVD legaal gekocht, gehuurd of geleend hebt.

Valt een stream hieronder? Dat is ook een kopie zou je zeggen, hoewel hij een stuk minder permanent is dan een DVD. Maar vorig jaar oordeelde het Hof van Justitie dat een tijdelijke kopie in de browsercache géén verveelvoudiging is, omdat ze slechts “tijdelijk en van voorbijgaande of incidentele aard zijn en een integraal en essentieel onderdeel vormen van een technisch procedé”. Dat is welhaast de definitie van een stream. Alleen: die browsercachekopie wordt gemaakt van een legaal aangeboden bron, terwijl het hier gaat om een stream van iets zonder toestemming.

En valt een mediaspeler met voorgeconfigureerde hyperlinks naar illegale streams eronder? Dat is concreet de vraag die de rechtbank nu naar de juridische hulplijnhet Hof van Justitie stuurt:

[Of] er sprake is van een “mededeling aan het publiek” in de zin van die bepaling, wanneer iemand een product (mediaspeler) verkoopt waarin door hem add-ons zijn geïnstalleerd die hyperlinks bevatten naar websites waarop auteursrechtelijk beschermde werken, zoals films, series en live-uitzendingen, zonder toestemming van de rechthebbenden, direct toegankelijk zijn gemaakt?

Het gaat dus niet om los een kastje dat video’s kan streamen, dat is evident legaal. De kastjes hier zijn door de verkoper geconfigureerd om streams uit illegale bron te raadplegen, oftewel je zet het aan en je krijgt dat vermaledijde Popcorn Time keurig afgesteld voor je neus waar je kunt klikken en kijken. Is dat hetzelfde als een kopie op je server zetten?

De rechtbank vraagt er meteen bij of het uitmaakt dat je als consument zelf ook die add-ons zou kunnen installeren. Dat is wel een slimme; het zou wat raar aandoen als het gebruiksgemak van een apparaat bepaalt of het auteursrechten schendt. Tegelijkertijd: er zit ook een verschil tussen een kastje mét illegaal gekopieerde dvd en een kastje met “veel plezier met uw dvd-speler!”, dus ergens is de factor gemak toch juridisch relevant.

Het zal nog wel even duren voor het Hof antwoord geeft, hoewel er al diverse andere vragen liggen over ongeveer hetzelfde onderwepr. In de tussentijd blijf ik twijfelen. Ergens zie ik het verschil niet tussen streamen en downloaden, behalve dat je achteraf nóg een keer moet streamen en downloaden eenmalig is.

Arnoud