Facebook gaat echt niet weg uit Europa; SEC filings zijn indekdocumenten, geen strategiepowerpoints

Als Meta geen legale mogelijkheid heeft om data van Europese gebruikers op Amerikaanse servers te verwerken, dan zullen Facebook en Instagram waarschijnlijk niet meer werken in de EU. Daarmee opende Tweakers vorige week. Die legale mogelijkheid is een herziening of vernieuwing van de Privacy Shield-overeenkomst tussen de VS en de EU, die een paar jaar geleden werd afgeschoten wegens fundamentele gebreken. Het klinkt dramatisch, maar let op de bron: de jaarlijkse 10-K filing van Metabook. Dat is een zuiver indekdocument, geen bedrijfsstrategie.

Het is natuurlijk waar dat Meta, Google en collega’s een enorm probleem hebben met het overbrengen van data uit Europa naar de VS. Zonder opvolger van Privacy Shield is er eigenlijk geen legale manier om dat te doen, dus als daar strikt op wordt gehandhaafd dan houdt het op.

Ja, haha, strenge handhaving. Wie gelooft daar in? Ik ook niet, maar ik kan als jurist niet ontkennen dat het theoretisch gezien kan gebeuren. En dan heb je als beursgenoteerd bedrijf een probleem, want zulke risico’s kunnen je beurskoers aantasten en dan moet je er voor waarschuwen. De gebruikelijke manier is door dat op te nemen in je 10-K:

The government requires companies to publish 10-K forms so investors have fundamental information about companies so they can make informed investment decisions. This form gives a clearer picture of everything a company does and what kinds of risks it faces.
Het idee is dus openheid en volledigheid, zodat alle aandeelhouders (en potentiële kopers) dezelfde informatie hebben en dus op gelijke voet aan de wedstrijd beginnen. In de praktijk is het allang verworden tot een “noem ieder risico dan kunnen ze niet zeggen dat we het vergeten te melden zijn”. Want niet-gemelde risico’s die zich toch voordoen, zijn natuurlijk een prachtige bron voor aansprakelijkheidsclaims naar bedrijf of bestuurders.

Afijn. De kern is: het is geen strategiedocument, dit is niet wat Facebook het komende kwartaal op de radar heeft. Dit is het resultaat van de brainstormsessie bij de afdelingen Legal en Compliance, wat zou er eventueel aan risico’s kunnen spelen waar iemand over kan klagen dat we het vergeten zijn. Ik zou er dus geen waarde aan hechten.

Wie weet er nog een goede naam voor het opvolgverdrag? Op Twitter is #PrivacyTrampoline erg populair, ik zelf vond Privacy McPrivacyface wel een aardige.

Arnoud

EU gaat Verenigd Koninkrijk adequaat verklaren voor export persoonsgegevens

De EU-lidstaten hebben zich achter besluiten geschaard om het belemmeren van gegevensstromen na het vertrek van Groot-Brittannië uit de EU te voorkomen. Dat las ik bij Tweakers, en ik moest het ook twee keer lezen. Voor de juristen: we zijn een stapje dichterbij een adequaatheidsbesluit voor het Verenigd Koninkrijk, wat zou betekenen dat er zonder aanvullende bijzondere maatregelen persoonsgegevens in die unie mogen worden opgeslagen. De keuze roept wel vele vragen op, vooral omdat het VK bekend staat om haar massadataspionage die ze deelt met onder meer de Verenigde Staten.

Het plan hiertoe werd al in februari opgevat als een logisch gevolg van de Brexit: zonder een besluit als dit mogen in principe geen persoonsgegevens vanuit de EU naar het VK. Je moet dan gaan werken met de ingewikkelde Standard Contractual Clauses én je moet dan zelf nagaan of het VK veilig genoeg voor jou is. Een adequaatheidsbesluit lost dat op, omdat de Europese Commissie dan zelf verklaart dat het wel goed zit in het VK. De AVG zegt dat je dan niet zelf nog aanvullende controles uit hoeft te voeren. (Een verwerkersovereenkomst bij een Engelse IT-leverancier blijft wel vereist, maar dat is niet anders dan bij een Duitse of Italiaanse.)

De parallel met de Verenigde Staten doet zich meteen voor. Op grond van de Privacy Shield overeenkomst mocht je ook zonder nadere maatregelen data in de VS stallen (dat was geen adequaatheidsbesluit maar dat is iets voor de echte puristen). Daar is natuurlijk een streep door gehaald waarna iedereen met de handen in het haar zit hoe het gebruik van Amerikaanse diensten (van zeg Mailchimp tot Amazon) nog recht te breien.

De belangrijkste reden voor die streep was het uitgebreide spionageprogramma van de VS dat door Edward Snowden werd onthuld. In mei oordeelde het Europese Hof voor de Rechten van de Mens nog dat de Britse inlichtingendienst GCHQ met haar bulkdatagraaien de Europese grondrechten schendt. Nou is formeel het EVRM een ander verdrag dan de EU, maar deze rechten gelden wel gewoon in Europa én ze komen overeen met EU-grondrechten zoals in het Handvest vastgelegd. Het ligt dus laten we zeggen niet voor de hand dat het Europese Hof van Justitie anders zal oordelen. En een land dat zulke dingen structureel doet, kun je niet adequaat noemen.

Je zou je dan ook de vraag kunnen stellen waarom de EU nog verder gaat met deze procedure, want het voelt een weinig kansrijke papieren constructie. Nou ben ik nog wel eens cynisch over die dingen, dus mijn idee is dat men het doet zodat er een papieren constructie is (zodat de handel door kan) totdat het HvJ er een keer aan toekomt (over een jaar of drie) om dit af te schieten. Met als bijkomend voordeel dat het dan niet jóuw politieke keuze was om dit tegen te houden, maar een uitspraak van een onafhankelijke rechter waar niemand jou op aan hoeft te kijken.

Arnoud

 

Hoe ver ben jij al met je migratieplan weg uit de Amerikaanse cloud?

Zoek alternatieven voor Amerikaanse leveranciers, zo knalde Emerce erin begin deze week. Het Nederlandse en hele Europese bedrijfsleven schendt immers op grote schaal de AVG omdat ze nog steeds met Amerikaanse dienstverleners werkt. Sinds het Schrems II arrest is dat, hoe zeg je dat netjes als jurist, hartstikke illegaal. En ik snap best dat je nog even wil wachten om te zien wat toezichthouders precies gaan zeggen, maar je hebt natuurlijk wel een migratieplan klaar liggen voor zodra ze “U mag nu stoppen” gaan zeggen. Toch? Want dat gaan ze.

“Er is geen uitzicht op een nieuw Privacy Shield. Alle partijen die op Amerikaanse servers data opslaan schenden Europese privacyregels.” Zo citeert men JetStream-directeur Stef van der Ziel, die precies de vinger op de zere plek legt. Het probleem met de Amerikaanse cloud is al zo oud als de cloud; Amerikaanse wetgeving over snuffelen in persoonsgegevens botst op fundamentele manier met de Europese grondrechten. We hadden ooit de pretentie dat het Safe Harbor-arrest dat op zou lossen: Amerikaanse bedrijven beloven dat ze zich aan de Europese regels houden – behalve als ze wat anders moeten van Amerikaanse wetgeving.

En dat moesten ze, zo onthulde Edward Snowden enkele jaren terug. Safe Harbor sneuvelde dan ook, en het Privacy Shield werd ingevoerd met extra waarborgen en een ombudsman om het nu écht te regelen. Maar het uiteindelijke probleem blijft: Amerikaanse diensten mogen bij persoonsgegevens die in de VS zijn opgeslagen, ongeacht de Europese regels daarover. Dat weten we uit het Schrems II-arrest, waarin het Hof van Justitie net als in Schrems I (het Safe Harbor agreement) bepaalde dat het gewoon echt niet kan, zoals het werkt. (En nee, ook niet als je met SCC oftewel modelclausules gaat werken.)

De impact van de Amerikaanse cloud is echter te groot, zodat niemand echt de eerste stap durft te nemen. Want je zet jezelf op achterstand, als je concurrent wél met Google Analytics blijft werken en jij Matomo of Piwik moet gaan opzetten en vervolgens overal compatibiliteitsproblemen tegen gaat komen. Dus overstappen per direct is inderdaad nogal veel gevraagd.

Ik zie echter geen reden om dan maar te blijven zitten en niets te doen. Inventariseer op zijn minst welke alternatieven er zijn en wat je nodig hebt om die werkend te krijgen. Doe eens een pilot met Matomo, zoek een Europees nieuwsbriefbedrijf en kijk of je écht die twintig trackers op je website nodig hebt. Dan heb je dat maar gedaan, weet je wat de impact gaat zijn en kun je dán besluiten wanneer je gaat migreren. Misschien wel sneller dan je denkt, want “wij werken volledig Europees” begint langzaam maar zeker een marketingvoordeel te worden.

Arnoud

Gastpost: Mag KPN weer ‘Eindeloos Spotify’ aanbieden?

onbeperkt-spotifyDeze week ben ik met vakantie. Vandaar zoals elk jaar een serie gastposts. Vandaag Michel Arts over Eindeloos Spotify op een netneutraal internet.

Ongeveer een jaar geleden was in het nieuws dat KPN moest stoppen met het aanbieden van ‘Eindeloos Spotify’. Wat was er ook al weer aan de hand? KPN bood een Spotify-abonnement aan waarvan het datagebruik niet ten koste ging van de databundel. Aanvankelijk stelde de Autoriteit Consument & Markt (ACM) dat op een dergelijke losse dienst (je kon ‘Eindeloos Spotify’ ook gebruiken in combinatie met abonnementen zonder databundel) de netneutraliteitsregels in de telecommunicatiewet niet van toepassing waren. Nieuwe beleidsregels van de minister van Economische Zaken scherpte de interpretatie van deze regels aan. Voortaan zouden ze ook van toepassing zijn op combinaties van losse diensten en internettoegang. Losse diensten zijn alleen nog maar uitgezonderd als ze niet in combinatie met internettoegang worden aangeboden.

Een van de netneutraliteitsregels is het verbod op prijsdiscriminatie: een aanbieder van internettoegangsdiensten mag zijn tarieven niet afhankelijk stellen van diensten of toepassingen die via het internet gebruikt of aangeboden worden. Het buiten de databundel laten vallen van het gebruik van Spotify is een vorm van prijsdiscriminatie. Als je een andere (muziek)dienst gebruikt gaat dat immers wel ten koste van je databundel. Vlak nadat de nieuwe beleisregels gepubliceerd werden stelde de ACM in een brief aan KPN dat zij geen nieuwe abonnementen meer met ‘Eindeloos Spotify’ mocht aanbieden. Bestaande contracten mocht KPN wel voortzetten omdat deze op uiterlijk 1 mei 2017 aflopen.

Sinds 30 april van dit jaar geldt er een Europese netneutraliteitsverordening. Hierover is al veel discussie geweest. Vorig jaar schreef Arnoud op dit weblog al een artikel over de vraag of ‘Eindeloos Spotify’ volgens deze verordening wel is toegestaan. De definitieve tekst van de verordening was toen echter nog niet bekend. Hij kon in de conceptverordening geen bepaling vinden op grond waarvan prijsdiscriminatie zou zijn toegestaan.

Intussen is de netneutraliteitsverordening in werking getreden. We kunnen nu dus nagaan of KPN ‘Eindeloos Spotify’ weer mag aanbieden. Dit komt dus neer op de vraag of prijsdiscriminatie nu wel is toegestaan. De Nederlandse regering is van mening dat prijsdiscriminatie ook volgens de nieuwe regels verboden blijft. In tegenstelling tot een richtlijn hoeft een verordening niet ge??mplementeerd te worden in de nationale wetgeving omdat een verordening rechtsstreeks van toepassing is. Toch moeten nationale wetten vaak wel aangepast worden aan zo’n verordening. Een wetsvoorstel tot aanpassing van de telecommunicatiewet aan de netneutraliteitsverordening ligt op dit moment bij de Eerste Kamer. Dit wetsvoorstel schrapt de nationale netneutraliteitregels. Aanvankelijk zou ook het verbod op prijsdiscriminatie geschrapt worden. Later diende de minister een nota van wijzigingen (een wijziging van een wetsvoorstel dat bij de Tweede Kamer in behandeling is) in waarin het verbod op prijsdiscriminatie toch gehandhaafd wordt. De minster was tot de ontdekking gekomen dat prijsdiscriminatie ook volgens de nieuwe Europese regels verboden is.

Hoe zit dat nu? Het derde lid van artikel 3 van de verordening bepaalt:

Aanbieders van internettoegangsdiensten behandelen bij het aanbieden van internettoegangsdiensten alle verkeer op gelijke wijze, zonder discriminatie, beperking of interferentie, en ongeacht de verzender en de ontvanger, de inhoud waartoe toegang wordt verleend of die wordt verspreid, de gebruikte of aangeboden toepassingen of diensten, of de gebruikte eindapparatuur.
Alleen redelijke verkeersmaatregelen zijn toegestaan. De minister ziet hier een algemeen discriminatieverbod in. Dus prijsdiscriminatie is ook verboden.

Uiterlijk op 30 augustus moet de BEREC (de samenwerkende Europese toezichthouders op het gebied van telecommunicatie) met richtlijnen komen waarin staat hoe zij de netneutraliteitsverordening interpreteert. Er is een consultatie geweest waarbij belanghebbenden hun standpunt konden indienen. Het startpunt voor deze consultatie was een concept met richtlijnen van de BEREC. In dit concept kiest de BEREC voor een genuanceerde benadering: prijsdiscriminatie is niet altijd verboden. Alleen “A zero-rating offer where all applications are blocked (or slowed down) once the data cap is reached except for the zero-rated application(s)” is volgens de BEREC altijd verboden omdat dit in strijd is met het derde lid van artikel 3 van de verordening.

De BEREC baseert haar beleid m.b.t. prijsdiscriminatie vooral op het tweede lid van artikel 3. Daarin staat

Overeenkomsten tussen aanbieders van internettoegangsdiensten en eindgebruikers over commerci??le en technische voorwaarden en de kenmerken van internettoegangsdiensten zoals prijs, datavolumes of snelheid, en alle commerci??le praktijken van aanbieders van internettoegangsdiensten, mogen de uitoefening van de in lid 1 bedoelde rechten van eindgebruikers niet beperken.
Hier wordt niet verwezen naar het derde lid van artikel 3 maar alleen naar het eerste lid. De BEREC concludeert
Article 3(2) clarifies that agreements between ISPs and end-users on commercial and technical conditions and the characteristics of IAS such as price, data volumes or speed, and any commercial practices conducted by ISPs are allowed, but shall not limit the exercise of the rights of end-users laid down in Article 3(1).
en hieruit trekt zij dan weer de conclusie dat prijsdiscriminatie niet in alle gevallen verboden is.

Is een Nederlands verbod op prijsdiscriminatie dan in strijd met de netneutraliteitsverordening? Naar mijn mening niet. Het tweede lid van artikel 3 stelt alleen maar dat overeenkomsten en commerci??le praktijken niet in strijd mogen zijn met het eerste lid van artikel 3. Voor het overige laat de verordening deze materie ongeregeld en dat schept ruimte voor nationaal beleid. De BEREC stelt juist dat overeenkomsten en commerci??le praktijken zijn toegestaan als dit niet in strijd is met het eerste lid van artikel 3. Dat is toch net iets anders als wat in de verordening staat. Mijn conclusie is daarom dat een nationaal verbod op prijsdiscriminatie is toegestaan omdat regulering van tarieven niet het onderwerp van deze verordening is. Nederland mag dus haar regels behouden en Eindeloos Spotify blijft gewoon verboden.

Michel Arts heeft elektrotechniek gestudeerd aan de Technische Universiteit Eindhoven. Naast techniek gaat zijn persoonlijke belangstelling uit naar (de geschiedenis van) auteursrecht, mediarecht en telecommunicatierecht.

De cloud is (even) gered, Microsoft hoeft geen Europese klantgegevens af te geven

simpsons-cloud-diefstal-data-fotoMicrosoft hoeft e-mails die opgeslagen zijn bij zijn datacenters in Ierland niet over te dragen aan de Amerikaanse rechter. Dat las ik bij Tweakers. In het langverwachte hoger beroep bepaalde het gerechtshof dat de Amerikaanse Justitie geen grond heeft om een Amerikaans moederbedrijf te dwingen data op te halen bij haar niet-Amerikaanse dochters. Daarmee is de cloud even gered, maar ik twijfel er geen seconde aan dat dit naar de Supreme Court gaat.

In 2014 bepaalde de Amerikaanse rechter dat Microsoft Inc. (de Amerikaanse moeder) gehouden kon worden om gegevens van een klant van haar Ierse dochtermaatschappij af te geven als de FBI dat wilde. De wettelijke basis hiervoor (de Stored Communications Act, niet de Patriot Act, mijn excuses voor de verwarring) was twee eeuwen jurisprudentie die zegt dat een Amerikaan die iets heeft dat moet komen brengen als de rechter daarom vraagt. Ook al ligt het iets in kwestie in een ander land. En als je die doctrine loslaat op e-mail dan moet Microsoft Inc de data dus maar gaan halen in Ierland. Of haar dochter bevelen dit te doen, wat ze juridisch kan aangezien dochterbedrijven moeten doen wat hun moederbedrijven zeggen.

Het Hof heeft een fundamentele reden om deze redenering af te wijzen:

When, in 1986, Congress passed the Stored Communications Act as part of the broader Electronic Communications Privacy Act, its aim was to protect user privacy in the context of new technology that required a user’s interaction with a service provider. Neither explicitly nor implicitly does the statute envision the application of its warrant provisions overseas. Three decades ago, international boundaries were not so routinely crossed as they are today, when service providers rely on worldwide networks of hardware to satisfy users’ 21st–century demands for access and speed and their related, evolving expectations of privacy.

Als een wet alleen gemaakt is om gegevens bij Amerikaanse bedrijven op te vragen, dan moet je vanuit rechtszekerheid er vanuit kunnen gaan dat die wat alleen daarvoor gebruikt zal worden. De wet heeft dus geen bevoegdheid geschapen om bij digitale gegevens zo’n wereldwijd ga-maar-halenbevel af te geven. Misschien dat het vandaag de dag handig was geweest als dat er stond, maar wetten worden niet opgerekt vanuit wat vandaag handig is. Zeker strafrecht niet.

De deur staat hiermee nog op een klein kiertje: als het Congres deze wet wijzigt zodat er wél staat dat het mag, dan moet het natuurlijk. Maar het Congres heeft wel wat anders aan z’n hoofd, en je weet als politicus nu al dat je álle ICT-bedrijven over je heen krijgt als je dat gaat proberen. Die kans acht ik niet heel groot.

Waarschijnlijker lijkt me dat de Supreme Court er nog wat over gaat zeggen. Voor Justitie is dit een nogal vervelende uitspraak, dus die zullen zeker proberen een fundamentele uitspraak van het hoogste Hof te krijgen. Dus het blijft nog even spannend. Spannender in ieder geval dan Privacy Shield – ja, leuk lapje tegen het bloeden maar dat houdt écht geen stand als, pardon wanneer de zaak weer bij het Hof van Justitie komt.

Arnoud

Europese illegale downloaders blijven ongestraft (gastpost)

europa-kaart-poppetjes.pngAuteursrechtenorganisaties zitten er maar mee in de maag: het internet. Het publiek kan dankzij dit medium heel gemakkelijk auteursrechtelijk beschermde werken met elkaar uitwisselen. Burgers zien geen enkel moreel bezwaar en dus wordt er op grote schaal gedownload.

Dit bemoeilijkt de handhaving omdat voor iedere overtreding apart naar de rechter gegaan moet worden. Frankrijk dacht daarvoor de oplossing te hebben gevonden. Het Franse plan bood een simpele oplossing voor de pijn van de entertainmentindustrie. En doorgaans werkt een simpel plan beter dan een ingewikkeld plan. De vraag is alleen wat het doel is?

Ze hebben simpelweg toegegeven aan de verleiding om aan de ene kant de procedures te versoepelen en aan de andere kant de straffen te verhogen. “Dan laten ze het wel uit hun hoofd” is de gedachte hierachter. Het doel is dus duidelijk om effectief op te komen voor de belangen van de gene die de auteursrechten bezitten. En effectief opkomen voor deze belangen doet het. Het bezwaar is dat met de belangen van alle partijen moet worden opgekomen.

Deze versoepeling gaat zo ver dat private auteursrechtenorganisaties de macht krijgen om eigenhandig internet provider te dwingen om hun klanten af te sluiten. Het moge duidelijk zijn dat dit plan op gespannen voet staat met het burgerrecht op een onafhankelijk oordeel van een rechter (art. 6 EVRM). En om dan ook nog eens zo ver te gaan dat mensen volledig van het internet afgesloten worden, maakt dat hier spraken is van een doodzonde.

auteur-author-tekst-schrijven-handschrift.pngPartijen die zelf een belang hebben in de zaak kunnen zelf niet effectief opkomen voor de belangen van de klant. De belangen van de klant zijn immers veelal tegenover gesteld aan de gezamenlijke belangen van de internet provider en de auteursrechtenorganisaties. De belangen van de auteursrechtenorganisaties worden niet geschonden op het moment dat klanten onterecht worden afgesloten. Maar de belangen van die klant worden wel geschonden door dit onderonsje tussen de internetprovider en deze auteursrechtenorganisaties.

Niet verwonderlijk dus dat de Europese ministers het Franse plan afwezen. Maar om de Franse regering niet helemaal in de kou te laten staan heeft de Europese Commissie nog eens goed naar het Franse plan gekeken. En zij zijn tot een compromis gekomen.

Het Europees Parlement heeft echter voor dat compromis een stokje gestoken. Een meerderheid in het parlement vond het geen goed idee om de veroordeling van internetters over te laten aan een door de overheid ingestelde commissie. Het is een beetje te vergelijken met dat je een product hebt gekocht, een geschil met de winkelier krijgt en dan verplicht naar een geschillencommissie moet. Daar zitten winkeliers in die zelf een indirect belang hebben bij de zaak. Hier heeft de Franse overheid een belang in de zaak. Onder druk van de overheid kunnen dan onrechtmatige beslissingen genomen.

De hoop is nu dat Frankrijk haar plannen zal laten varen. Anders is de kans groot dat dat een slecht plan over een paar maanden weer effectief zal worden weggestemd.

Alex de Kruijff
Alex is een ingenieur die elektronica en informatica heeft gestudeerd en juridische interesse heeft. Op zijn website kun je artikels over het besturingssysteem FreeBSD vinden, die je helpen bij het configureren er van.

Europese ministers wijzen anti-’three strikes’ amendement af

De Europese telecomministers hebben het amendement van het Europese Parlement tegen de voorgestelde ’three strikes, you’re out’-regels afgewezen, meldde Tweakers gisteren. Over een verder nogal saai pakket regels voor de telecomsector woedt al een tijdje een verhitte discussie. Europa zou hiermee stiekem een “three strikes”-beleid willen invoeren, waarbij internetproviders hun klanten moeten afsluiten na drie vermeende schendingen van auteursrecht. Dat bleek niet waar, maar het Europees Parlement nam toch maar voor de zekerheid een amendement aan waarin zulk beleid nog eens expliciet werd verboden. En daar hadden de telecomministers dus weer geen zin in.

Frankrijk werkt al een tijd aan regels die internetproviders moeten verplichten om klanten af te sluiten wanneer deze tot drie maal toe auteursrechten zou schenden. Het kwalijke aan deze regels is dat het afsluiten zou moeten gebeuren zonder rechterlijke tussenkomst. Drie meldingen van rechthebbenden zouden genoeg moeten zijn.

In Europees verband heeft Frankrijk zich juist tegen auteursrechtbepalingen in dit telecompakket gekeerd. Uit principe, of omdat men bang was dat de verkeerde amendementen in de richtlijn terecht zouden komen?

Bij Tweakers wordt nog gezegd dat “Dit betekent dat providers abonnees niet kunnen afsluiten zonder tussenkomst van de rechter” wat natuurlijk onzin is. Providers mogen op iedere redelijke grond abonnees afsluiten, mits dat maar in de algemene voorwaarden opgenomen staat. Schending van auteursrechten door de abonnee staat in vrijwel alle algemene voorwaarden genoemd als grond om af te sluiten.

De interessante vraag is daarmee of het redelijk is om zo’n schending als grond voor afsluiting aan te merken. Het gaat mij nogal ver. Op grond van de algemene notice en takedown verplichting is een provider alleen verplicht om doorgifte van inbreukmakend materiaal te staken. Niet om de doorgever af te sluiten van internet als geheel. Pas wanneer de provider zelf overlast krijgt door die doorgifte, zou hij tot afsluiting kunnen overgaan.

Helemaal onredelijk wordt het als internettoegang nu eindelijk eens als universele dienst wordt aangemerkt. Internet is tenslotte een basisvoorziening van de informatiemaatschappij. Daarmee zouden providers de plicht krijgen om de toegang tot internet (althans de meestgebruikte diensten) tegen een redelijke prijs te garanderen voor iedereen.

Wat vinden jullie? Mogen providers op eigen houtje mensen afsluiten wegens geconstateerde schendingen van auteursrechten?

Arnoud

Europese Commissie in de ban van de beursval (gastpost)

chart-grafiek-valt-omlaag.pngDe Europese Commissie is acht oktober j.l. met een nieuw voorstel gekomen dat consumenten meer vertrouwen zou moeten geven om in andere lidstaten aankopen te doen. Het voorstel geld voor zowel fysieke winkels als internetwinkels. De belangrijkste punten op een rijtje:

  • De winkelier moet volgens het voorstel een zekere hoeveelheid aan informatie over de koop vooraf geven. Dit kennen we al van de richtlijn koop op afstand. Nieuw is dat dit ook gaat gelden voor fysieke winkels.

  • De winkelier moet het product binnen een termijn van 30 kalenderdagen leveren. Doet hij dit niet dan heeft de consument recht op zijn geld terug. Als er iets vooruit is betaald, moet de winkelier dat bedrag binnen zeven dagen terugbetalen aan de consumenten. Ook dit kennen we al van de Richtlijn koop op afstand. En ook hier is nieuw is dat dit ook gaat gelden voor fysieke winkels.

  • De consument moet volgens het voorstel een bedenktermijn krijgen van 14 kalenderdagen voor verkoop op afstand en verkoop onder druk (colportage). Dit zijn 3 à 5 dagen extra voor een koop op afstand en ongeveer een verdubbeling voor colportage.

  • Aan de richtlijn verkoop van en de garanties voor consumptiegoederen wordt niet getornd in het voorstel, maar wel wordt het consumentenrecht overal hetzelfde. Een product moet twee jaar meegaan, staat in de tekst. Op dit punt gaat de Nederlandse consument er fors op achteruit. Het Nederlandse wet kent geen verjaringstermijn voor de rechten die gebaseerd zijn op het het conformiteitsbeginsel, maar dit voorstel voor een richtlijn kent die wel. Hier gaan consumenten er fors op achteruit waar het gaat om duurzame producten. Een auto, brommobiel of TV gaan gemiddeld tien jaar mee en als het voorstel onveranderd wordt omgezet in een richtlijn wordt daar acht jaar vanaf gepakt.

  • Daarnaast worden de regels op het gebied van online-veilingen en verkoop onder druk verbeterd en mazen in de richtlijnen weggenomen. Maar ook onze zwarte- en grijze lijst voor bedingen, die niet op de algemene voorwaarden van bedrijven mogen voorkomen, worden beperkt.

De consumentenbond heeft al laten weten dat de Nederlandse consument slechter af is. Het grote probleem van dit voorstel is dat lidstaten geen mogelijkheid hebben om zaken beter te regelen. De bewindspersonen Heemskerk en Hirsch Ballin hebben al aangegeven dat dit voorstel onbespreekbaar is. De consumentenbond heeft het sterke vermoeden dat de richtlijn vooral gericht is op “het verminderen van administratieve lastendruk voor bedrijven.”

Ik denk dat dit voorstel ook niet tot de gewenste resultaten zullen leiden. Als het vertrouwen ontbreekt dan kopen mensen niet. Dit geld voor de reële economie net zo hard als voor de virtuele economie. Daarnaast zal het gemak ook spelen. In je eigen land ken je de taal en de weg, maar in het buitenland is dit allemaal lastiger. De Europese commissie zou zich moeten richten op informatievoorziening en geschillenbeslechting.

  • In Europa zijn nu, per land, diverse partijen die de consument voorlichten en allemaal doen ze dat voor de eigen burger in het eigen land. In ieder land moet één groep verantwoordelijk zijn voor de voorlichting die o.a. via een informatie site plaats vind. Door de krachten te bundelen kan de er gewerkt worden aan kwaliteit en kan informatie over andere landen worden opgenomen. De leidraad voor de informatie zou moeten bestaan uit het uitleggen van de richtlijnen, met daarnaast alle extra’s zoals deze gelden in de 27 lidstaten.

  • Een Europese geschillencommissie zou in ieder land een afdeling moeten hebben. De consument kan vanuit zijn luie stoel een brief sturen naar de afdeling in Nederland. Deze vertaalt dit naar Engels en stuurt dat door naar het land waar het geschil zich afspeelt. Die geschillencommissie laat zich bijstaan door een deskundige en vervolgens wordt de uitspraak terug gestuurd. De partij die verliest moet een eigen bijdrage betalen naar draagkracht. (Dit beperkt het oneigenlijk gebruik.)

Maar laat in godsnaam de mogelijkheid voor lidstaten bestaan om met betere wetgeving te komen aanwezig.

Alex de Kruijff
Alex is een ingenieur die elektronica en informatica heeft gestudeerd en juridische interesse heeft. Op zijn website kun je artikels over het besturingssysteem FreeBSD vinden, die je helpen bij het configureren er van.

Afgifte persoonsgegevens door providers toegestaan, maar niet zomaar

Europese landen mogen geen ongenuanceerde regels hanteren dat internetproviders persoonsgegevens van klanten altijd moeten afgeven bij rechtszaken, zo oordeelde het Europese Hof van Justitie gisteren. Een instantie als BREIN, of iemand die zich beledigd voelt, heeft dus niet per definitie recht op persoonsgegevens van een klant. Zij zal moeten aantonen dat afgifte gezien de specifieke omstandigheden van de zaak echt noodzakelijk, redelijk en proportioneel is.

Voor Nederland betekent dat dat er niets verandert aan de huidige praktijk. Bij ons moeten providers persoonsgegevens van klanten afgeven wanneer deze mogelijk iets illegaals doen en er geen snellere manier is om achter klantgegevens te komen. Dat blijkt uit het arrest HR Lycos/Pessers, waarin provider Lycos de persoonsgegevens moest afgeven van de klant die Pessers beledigd en besmaad zou hebben.

De HR oordeelde destijds dat afgifte niet altijd moest, maar alleen als de rechter

een nauwgezette afweging [heeft] gemaakt van alle betrokken belangen, waaronder het belang van de bescherming van de persoonlijke levenssfeer van de websitehouder (r.o. 5.4.3).

En dat is precies het soort afweging die het Europese Hof nu zegt dat je moet maken. De HR haalde dit uit art. 8 sub f van de Wet Bescherming Persoonsgegevens, en die WBP is de implementatie van de Europese privacywetgeving.

Hoewel de meeste media het gelijk hebben over “muziek uitwisselen mag nu anoniem”, is dit arrest niet speciaal voor filesharing. Het gaat om de vraag of iemand, ongeacht onderwerp, de persoonsgegevens van een klant van een provider mag eisen omdat hij die klant een proces wil aandoen. Dat speelt vaak bij filesharing, maar ook bij smaad, schending van portretrecht en andere onrechtmatige dingen is deze vraag relevant.

De aanleiding voor de zaak was een Spaans geschil over illegale muziekverspreiding via KaZaA. Promusicae, zeg maar de Spaanse BREIN, had bij de Spaanse rechter de persoonsgegevens opgeëist van een klant van internetprovider Telefónica. Deze weigerde dat met een beroep op de Spaanse privacywetgeving. Omdat zowel de wetgeving over auteursrecht als die over privacy uit Europese richtlijnen komt, en op dit punt dus een botsing ontstond tussen Europese regels, stelde de Spaanse rechter een zogeheten prejudiciële vraag aan het Europese Hof van Justitie over hoe deze wet nu moet worden uitgelegd.

De Spaanse rechter krijgt de bal nu dus netjes terug en moet gaan afwegen of het echt de beste oplossing is als Telefónica nu de persoonsgegevens afgeeft aan Promusicae. In het geval van Lycos/Pessers bleek dat achteraf trouwens niet zo zinvol: de beledigende klant bleek vervalste persoonsgegevens opgegeven te hebben.

Remy Chavannes wees al eerder op het lastige aan zo’n belangenafweging. Wat vaak gemist wordt, is

(…) het bredere belang om niet lichtvaardig te worden geconfronteerd met informatieverstrekkingsverzoeken van beweerdelijk beschadigde derden. Dergelijke verzoeken brengen immers onderzoeks- en juridische kosten met zich mee, terwijl de beslissing om al dan niet te voldoen aan het verzoek steeds juridische en publicitaire risico’s met zich brengt

Ziijn voorstel voor een John Doe procedure is m.i. een betere oplossing.

Via Volledig bericht, pardon Boek 9.

UPDATE: zie ook de blog van Lex Bruinhof die tot dezelfde conclusie komt.

Arnoud

Het einde van de spin in het web bij octrooizaken

Wie een Europese octrooi heeft, denkt misschien dat hij dan in heel Europa octrooi heeft. Dat valt tegen. Met een Europees octrooi krijg je niet meer dan een verzameling nationale octrooien, waarbij je ook nog eens in elk land een vertaling in een landstaal aan moet leveren. Doe je dat niet, dan vervalt het octrooi in dat land. Ook voor rechtszaken geldt: in elk land afzonderlijk. Al dat procederen is een dure grap, en het lijkt nogal overdreven omdat de inbreuk vaak steeds hetzelfde bedrijf betreft in diverse Europese landen.

Kan dat nou niet anders, dacht het Gerechtshof in Den Haag, en men verzon de “spin in het web” theorie:

Deze theorie hield kort gezegd in dat als het hoofdkantoor van het vermeend inbreukmakende concern was gevestigd in Nederland, en vanuit dit kantoor een beleidsplan was uitgegaan, de Nederlandse rechter zich ook bevoegd achtte in een procedure waarin de andere buitenlandse vennootschappen van hetzelfde concern werden gedagvaard. De octrooihouder kon dus volstaan met een procedure in Nederland tegen meerdere vermeende nationale en buitenlandse inbreukmakers.

Slim bedacht, maar de constructie bleek in strijd met Europees recht. Je kunt niet zomaar in Nederland het Duitse dochterbedrijf dagen wegens inbreuk in Duitsland op je Europese octrooi, ook niet als je tegelijkertijd het Nederlandse moederbedrijf daagt wegens inbreuk in Nederland op hetzelfde octrooi. Want, zo oordeelde het Hof van Justitie, het is niet hetzelfde octrooi. Het zijn twee losse octrooien, die je naar nationaal octrooirecht moet toepassen.

Onlangs heeft onze eigen Hoge Raad uitspraak gedaan over een spin-in-het-web arrest, en de theorie definitief naar de prullenbak verwezen. Tot er dus een Gemeenschapsoctrooi komt, blijft het nodig om in elk land afzonderlijk te procederen.

Via Volledig bericht, pardon Boek 9.

Arnoud