Europese Commissie berispt gamewinkel Steam voor ‘geoblocking’

De Europese Commissie heeft Valve, de maker van gamewinkel Steam, en vijf uitgevers van games op de vingers getikt voor het zogenoemde ‘geoblocking’. Dat meldde Nu.nl vorige week. Deze activiteit is in strijd met de mededingingsregels in de Europese Unie. Steam en de uitgevers hanteerden regiogebonden activatiesleutels voor games, waarbij de prijzen per regio voor dezelfde sleutel konden verschillen. Zo kon je dus niet elders in Europa shoppen voor een goedkopere licentie. Tevens bleken er afspraken te zijn voor een marktverdeling binnen de EU, wat een harde no-no is in de EU.

Sinds december 2018 geldt de Geoblockingverordening in de EU. Deze kent strenge regels tegen onderscheid maken op geografische afkomst. Dat gaat primair over verkoop op afstand – een Belgische webshop die Spaanse klanten weert of Duitsers hogere prijzen rekent – maar óók over dienstverlening op afstand. En een game zoals via Steam geleverd valt nu eenmaal onder het regime van dienstverlening.

Hoofdregel uit de Verordening is dat je géén onderscheid mag maken op basis van nationaliteit, verblijfplaats of plaats van vestiging van de klant. De enige echte uitzondering betreft situaties waarin een wettelijke regel (je mag bepaalde dingen niet verkopen in Duitsland, of een auteursrecht verbiedt jou te leveren naar Frankrijk) anders bepaalt. Dat is hier niet aan de orde met Steam, die spellen zijn allemaal gewoon in de hele EU legaal speelbaar en moeten dus vanuit de hele EU kunnen worden gekocht tegen dezelfde voorwaarden – althans, dezelfde in het kader van nationaliteit of afkomst. (Studentenkortingen mogen dus nog steeds, bijvoorbeeld.)

De overtreding zou hem zitten in deze handeling:

Valve and the five PC video game publishers agreed, in breach of EU antitrust rules, to use geo-blocked activation keys to prevent cross-border sales, including in response to unsolicited consumer requests (so-called “passive sales”) of PC video games from several Member States (i.e. Czechia, Estonia, Hungary, Latvia, Lithuania, Poland, Slovakia, and in some cases Romania). This may have prevented consumers from buying cheaper games available in other Member States.

In de kern komt dit erop neer dat Valve (de beheerder van de dienst Steam) andere activatiesleutels voor games uitgeeft afhankelijk van de locatie van de koper. Die kunnen dan niet aan andere landen worden doorverkocht, of vanuit andere landen worden gekocht. Zo ontstaat een mogelijkheid voor prijsdiscriminatie op basis van locatie, en dat is dus in strijd met deze verordening.

Een complicatie daarbij is nog wel dat de Verordening niet echt geschreven is voor streaming content en downloads, zoals games. Daarmee is het twijfelachtig of je rechtstreeks deze Verordening in kunt roepen bij online gameverkoop. De Commissie houdt dan ook een slag om de arm, en gooit het enerzijds op geoblocking en anderzijds op een ‘gewone’ overtreding van artikel 101 (voor oudgediende juristen: artikel 81) EU Verdrag, het verbod om marktverpestende afspraken te maken.

De bedrijven mogen zich nu verweren tegen de Commissie. En uiteindelijk kan (en, naar ik hoop, zal) de boel naar het Hof van Justitie gaan dat hier een definitieve uitspraak over kan doen.

Arnoud

Filmindustrie claimt miljard bij Staat om downloads

youwouldntdownloadverbod.pngNederlandse filmmakers en distributeurs dreigen de Nederlandse staat met een schadeclaim van ruim 1 miljard euro, meldde de Volkskrant afgelopen vrijdag. Dit omdat Nederland met haar ‘ruimhartige downloadbeleid’ dat in 2014 tegen de Europese wet bleek, zo veel schade zou hebben veroorzaakt bij de Nederlandse filmindustrie. One beeillion dollars. Wacht, wat, hoe komen ze daar nou bij?

Er is op dit moment nog geen daadwerkelijke rechtszaak aangespannen. Een brief aan staatssecretaris Klaas Dijkhoff (Justitie) dreigt met juridische stappen als de Staat niet vrijwillig met een compensatieregeling over de brug komt voor het feit dat we al een dik decennium een foute wet hebben gehad:

‘De Nederlandse staat heeft jarenlang volgehouden dat het kopiëren uit illegale bron was toegestaan. Het gevolg hiervan was dat een hele generatie consumenten het idee heeft gekregen dat gebruik van films zonder betaling gewoon mag. Het gevolg is ook dat consumenten onbekommerd aan het downloaden en kopiëren zijn geslagen zonder besef dat daarvoor enige vergoeding verschuldigd zou zijn.’

En ja, in theorie kan zo’n claim. Het achterliggende juridische argument is dat auteursrecht Europees geregeld is, waardoor de Nederlandse Staat verplicht is dit op een bepaalde manier uit te werken. Als ze dat niet doen, dan zijn ze aansprakelijk voor de schade die burgers en bedrijven daardoor lijden.

Het is dus niet zo dat je bij iedere wet of afwezigheid daarvan altijd schadeclaims kunt indienen. Er moet een hogere wet zijn op grond waarvan je kunt zeggen, de Nederlandse Staat hád die wet helemaal niet zo mogen hebben. Bij de EU is dat zo, de EU-regels gaan boven wat ons parlement vindt. Een willekeurig voorbeeld uit het arbeidsrecht: de Staat moest werknemers compenseren die ten onrechte (compensatie voor) vakantiedagen zijn misgelopen als gevolg van het onjuist implementeren van de Arbeidstijdenrichtlijn.

Bij die vakantiedagen kom je er nog wel uit met wat de schade is. Je kunt immers per werknemer uitrekenen wat een vakantiedag kost. Maar bij auteursrechten?

Uit de brief blijkt dat men de berekening baseert op een rapport van adviesbureau Considerati uit 2014, dat berekende dat de filmindustrie zo’n 78,4 miljoen euro omzet per jaar (inclusief btw) misloopt door downloaden van films uit illegale bron. Dat over tien jaar berekend met wettelijke rente komt dan op de genoemde dikke miljard. Waar dan dus sowieso 21 procent vanaf gaat want hoezo moet de gederfde btw worden vergoed?

De omzetderving komt kort gezegd neer op het aloude argument dat het consumeren van illegaal aanbod leidt tot verminderde afname van legaal aanbod. Considerati baseert zich op weer eerder onderzoek van IViR/CentERdata dat liet zien dat voor elke 10 downloads er 3,2 films uit legale bron minder worden gekeken. Hierbij is tevens rekening gehouden met het sampling-effect, oftewel dat je eerder films koopt als je ze (illegaal) gezien hebt.

Uit het IViR/CentERdata rapport:

Gemiddeld over een representatieve groep Nederlanders leiden naar elke honderd downloads uit illegale bron per saldo naar schatting tot 32 minder films die uit legale bron worden gezien: 11 minder op DVD of Blu-ray, 11 minder op televisie, en 10 minder als betaalde download of via video on demand. Opgemerkt zij dat het hier een geschat effect betreft; dat houdt in dat het de best mogelijke (punt)schatting is gegeven de data en de steekproef, maar dat een dergelijke schatting per definitie omgeven is met statistische onzekerheid waardoor het effect in werkelijkheid ook iets hoger of lager kan uitvallen.

Daarbij valt me op dat hier nogal wat nuances en aannames bij zitten die de advocaat voor het gemak even weglaat uit zijn brief. Zo merkt het rapport op “de meest intensieve downloaders zijn jongeren met een beperkt budget”, waarbij ik me dan meteen afvraag of die factor 3,2 daar dan wel opgaat. En is het niet meer op televisie kijken van films niet ook een meer algemene trend in plaats van een door downloaden ingegeven? En ja, dat is relevant want voor vergoeding komt alleen schade in aanmerking die er niet was geweest zonder de onrechtmatige daad. Maar hoe ga je bewijzen dat die 3,2 gemiste aankopen waarschijnlijk echt plaats zouden hebben gevonden?

Uiteindelijk kun je je afvragen of dit ooit bij de rechter komt natuurlijk. Ik zou van mijn stoel vallen als dat miljard werd toegewezen in ieder geval. Maar een leuke aandachttrekker voor je boze brief is het natuurlijk wel.

Arnoud

Gastblog: Gebruik van modelcontractbepaling vergt extra justificatie. Omgekeerde wereld?

cloud-flag-usaOmdat ik met vakantie ben vandaag een gastbijdrage. Vandaag: Marc Steenbergen over de Europese modelbepalingen voor export van persoonsgegevens.

De Data Protection Directive (officieel “Directive 95/46/EC on the protection of individuals with regard to the processing of personal data and on the free movement of such data”) is de richtlijn binnen de Europese Unie met betrekking tot het verwerken van persoonlijke data. Sinds 1995 is dit een belangrijke onderdeel van Europese wetgeving over privacy en mensenrechten. In Nederland is de richtlijn omgezet in de Wet bescherming persoonsgegevens. In België geldt de Privacywet.

De huidige EU Data Protection Directive 95/46/EC houdt geen rekening met belangrijek aspecten zoals globalisatie en technologsiche ontwikkelingen zoals social networks, cloud computing, etc. De Europese Commissie heeft daarom bepaald dat een nieuwe richtlijn noodzakelijk is, die tevens een belangrijke rol kan spoelen in het bereiken van een “single digital market” binnen de EU. De verwachting is dat er in de loop van 2016 een definitief akkoord zal zijn over de nieuwe General Data Protection Regulation, die vanaf dat moment voor alle landen in de Europese Unie zal gelden.

Om gegevensuitwisseling tussen de Verenigde Staten (VS) en Europa mogelijk te maken waarbij door Amerikaanse bedrijven voldaan wordt aan de EU Data Protection Directive 95/46/EC is het VS-EU Safe Harbour mechanisme in het leven geroepen. Amerikaanse bedrijven die voldoen aan het Safe Harbour framework zijn daarmee compliant met de EU Data Protection Directive 95/46/EC. Amerikaanse organsiaties die gebruik willen maken van het Safe Harbour mechanisme moeten onder regulering staan van de Federal Trade Commission of het Department of Transportation, waardoor bv. financiele instellingen en non-profit organisaties er geen gebruik van kunnen maken. En het bepalen of een Amerikaans bedrijf voldoet aan de Safe Harbour vereisten is iets wat dat bedrijf zelf mag doen (“self certification”). Met andere woorden: de slager keurt zijn eigen vlees. Dat is voor veel Europese bedrijven geen situatie waardoor men de vereiste zekerheden verkrijgt. Zo heeft de Duitse data protectie autoriteit recent verkaard dat zij er geen voorstander van zijn om data overdracht op basis van Safe Harbor goed te keuren. En de Europese Commissie heeft zich uitgesproken voor een update van de Safe Harbor afspraken.

Naast het Safe Harbor mechanisme zijn er nog twee andere mechanismen om veilige gegevensoverdracht te waardborgen: EU Model Clauses en Binding Corporate Rules.

Binding Corporate Rules zijn gedragsregels, gedefinieerd en gecontroleerd door nationale Europese autoriteiten, die door multi-nationale bedrijven geïmplementeerd dienen te worden om al het interne grensoverschrijdende dataverkeer in vereenstemming te laten zijn met de Europese wetgeving. De EU Model Clauses zijn standaard contracten voor de overdracht van data tussen EU en niet-EU landen. De Europese Raad en het Europees Parlement hebben de Europese Commissie begin van deze eeuw de bevoegdheid gegeven om te beslissen op grond van artikel 26 van Richtlijn 95/46/EG dat bepaalde modelcontractbepalingen voldoende waarborgen bieden met betrekking tot de bescherming van de privacy en de fundamentele rechten en vrijheden van personen, alsmede ten aanzien van de uitoefening van de bijbehorende rechten. De Europese Commissie heeft tot nu toe twee sets van modelcontractbepalingen vastgesteld: een set voor de overdracht van data controllers (“verantwoordelijken”) binnen de EU naar data controllers buiten de EU en een set voor de overdracht van data controller binnen de EU naar buiten de EU gevestigde data processors (“verwerkers”).

De afgelopen periode is het nodige te doen geweest rondom deze EU Model Clause. Sommige bedrijven gebruiken de EU Model Clauses al sinds ze beschikbaar gesteld zijn, in 2001. Andere partijen deden dat tot kort geleden niet, maar hebben recentelijk de terms & conditions van de EU Model Clauses geincorporeerd in eigen (cloud) contracten. Vervolgens hebben ze de Europese autoriteiten voor gegevensbescherming gevraagd om deze contracten goed te keuren. Nadat deze goedkeuring verkregen was, konden deze bedrijven het niet laten om luid van de kanseel te schreeuwen dat ze goedkeuring hadden gehad van de Europese Unie, met statements als “It is the only enterprise cloud that meets EU privacy law standards and be approved by the EU’s data protection authorities.” Dit heeft geleid tot verwarring in de markt omdat sommige eindgebruikers de perceptie kregen, of de perceptie werd aangepraat, dat alleen deze bedrijven compliant zouden zijn met de Europese wetgeving. Terwijl deze bedrijven in feite een probleem hebben opgelost wat ze jarenlang gehad hebben, daar waar andere bedrijven al die jaren lang al compliant waren aan de vereiste Europese wetgeving.

Navraag bij de EU 29 Working Group door partijen die sinds 2001 al exact de door de EU vastgelegde modelcontracten gebruiken, heeft (natuurlijk!) geresulteerd in de schriftelijke bevestiging dat zij compliant zijn met de Europese wetgeving. Wat logisch is, want dat is nou juist het principe van die model clausules!. En dergelijke schriftelijke bevestigingen worden dan weer gebruikt om eindgebruikersorganisaties duidelijk te maken dat de standaard EU Model Clause, “used ever since 2001”, toch echt voldoende is.

Eigenlijk vind ik dit best raar: er is een standaard. Een bedrijf heeft zich jarenlang niets gelegen laten liggen aan de EU Model Clause, besluit haar leven te beteren, incorporeert de EU Model Clause in haar contracten, vraagt confirmatie dat dit okee is, krijgt deze ook, en gebruikt dit voor tendentieuze marketingcommunicatie. Waardoor vervolgens partijen die vanaf dag 1 de standaard Eu Model Clause gebruikten gedwongen worden nog eens additioneel gaan uitleggen aan het publiek dat zij de standaard al sinds 2001 gebruiken, en dat de Europese autoriteiten dit nog eens expliciet hebben bevestigd dat dit die standaard goed is. Maar ja, het onderwerp data privacy is een uiterst gevoelig onderwerp, en terecht. Laten we daarom vooral goed en duidelijk, en feitelijk, blijven communiceren over de daartoe in het leven geroepen wetgeving. Want zoals Jim Barksdale, ex-CEO van Netscape ooit zei: “If we have facts ,let´s look at the facts. If we have opinions, let´s go with mine”.

Marc is Business Development Executive bij IBM. Dit artikel representeert zijn eigen mening en staat los van de opinie van zijn werkgever.

Gastblog: Europa is niet gebaat bij digitaal protectionisme

fence-hek-bord-afscheiding-blokkade-concurrentie-beding-verbod.jpgOmdat ik met vakantie ben vandaag een gastbijdrage. Vandaag: Marc Steenbergen over de Europese worstelingen rond privacy en security.

De onthullingen van Edward Snowden van de afgelopen jaren hebben een veelal grimmig beeld geschetst van de spionageactiviteiten van de Amerikaanse National Security Agency (NSA). Snowden had zo’n 20 tot 25 medewerkers van het NSA-kantoor overgehaald om hun wachtwoord met hem te delen. Zo verkreeg hij toegang tot tienduizenden documenten over programma’s en andere spionagepraktijken van de NSA. Positief effect van alle onthullingen is de toegenomen aandacht voor beveiliging van informatie en protectie van data privacy. Een ander, minder positief, effect is het ontstaan van een anti-Amerikaanse houding ten opzichte van cybersecurity.

Hoewel ik de verontwaardiging over bepaalde NSA activiteiten zeer goed kan begrijpen, moeten we ons beseffen dat ook Europese landen hun geheime diensten hebben en hun bijdrage aan dit soort spionage activiteiten leveren. Neem bv. zo´n twee jaar geleden, toen bleek dat de Engelse geheime dienst, de GCHQ, jarenlang de netwerken van Belgacom (nu Proximus) afgeluisterd heeft. Of de recente openbaring dat de Duitse geheime dienst jarenlang intensief met de NSA heeft samengewerkt in het aftappen van Internetverkeer. En ook in Nederland zijn er de nodige discussies over wat onze geheime dienst wel en niet mag. Geheime diensten, het woord zegt het al, doen activiteiten die niet voor niets hun werk in het geheim, en ik ben er van overtuigd dat ieder land wat een geheime dienst heeft een potentieel “bommetje” heeft indien die activiteiten in de openbaarheid komen.Ik heb geen inzicht in de omvang van al de activiteiten van alle geheime diensten, maar … ik denk niet dat de ene geheime dienst onderdoet voor de andere.

Dat gezegd hebbende zijn er ook tal van discussies rondom met name data privacy die zich wel volledig in het daglicht afspelen. De Belgische overheid start een rechtszaak tegen Facebook voor de schending van privacyrechten. Google verzamelt zoveel informatie over miljarden bewoners van deze planeet en wordt scherp in de gaten gehouden door organisaties zoals Privacy International. En wetgeving op het gebied van informatiebeveiliging wordt aangescherpt, zowel door individuele landen alsook in de loop van 2016 voor de gehele Europese Unie. Ook hier geldt wat mij betreft weer dat het goed is dat we ons dieper buigen over wat er met data, zeker met onze persoonlijke data gebeurd. Dat geldt voor technologische ontwikkelingen die gedreven worden door Amerikaanse bedrijven, waar nou eenmaal de snelheid van technologische innovatie helaas een stuk hoger ligt dan bij ons, maar dat geldt even zo zeer voor technologische innovatie die vanuit Europa wordt gerealiseerd. En daar zijn we zelf bij, daar zijn we zelf voor medeverantwoordelijk.

Het debat rond informatiebeveiliging en data privacy in Europa heeft geleid tot wantrouwen over hoe technologiebedrijven met data c.q. gegevens omgaan. Wat mij betreft een zeer gezond wantrouwen als onderdeel van onze drive naar continue innovatie. Maar terwijl dit gezonde wantrouwen in gelijke mate van toepassing zou moeten zijn op technologiebedrijven waar dan ook ter wereld, focust zich het wantrouwen de laatste tijd met name op Amerikaanse technologiebedrijven. Deels is dat logisch want zoals hierboven reeds gesteld is de innovatiekracht in Amerika nou eenmaal groter dan die in het overgrote deel van Europa, en dus zijn er ook meer technologiegedreven innovaties die de toets moeten doorstaan. Maar deels is het ook niet logisch, sterker nog wordt ons blikveld teveel beperkt, want als innovatie niet uit Amerika komt, moeten we met dezelfde kritische blik de security en data privacy aspecten bekijken. Er lijkt af en toe achter een golf van protectionistische sentiment (“digitaal protectionisme”) ontstaan te zijn met betrekking tot opslag en verwerking van data op Europese bodem. Diverse politici en Europese bedrijven hebben pleidooien gehouden voor Europese data zones, voor opschorting van het Safe Harbor mechanisme voor gegevensoverdracht tussen de EU en de USA, en voor de ontwikkeling van een “Europese Cloud”. Dit alles heeft vooralsnog niet geleid tot concrete wetgeving of beleid, maar heeft wel een negatief effect op de adoptie van cloud diensten door Europese bedrijven. En dat vind ik een gemiste kans voor Europa!

Vorige week was er een bijeenkomst van ECP, het E-commerce Platform Nederland, over de vorming van een “digital single market” voor Europa. Dit is het ambitieuze plan van de Commissie-Juncker om de komende jaren in Europa naast de fysieke vrije markt die we al hebben ook een digitale interne markt te creëren. Op dit moment winkelt slechts 15% van de consumenten in een ander EU land, en verkoopt slechts 7% van de MKB bedrijven online over de eigen landsgrenzen. We laten kansen liggen om van 28 nationale markten 1 Europese markt te maken. Een “digital single market” met een economische omvang van €415 miljard per jaar, en met de potentie om honderdduizenden nieuwe banen te creëren.

Belangrijke componenten uit het plan werden toegelicht door de Europese Commissie en het Ministerie van Economische Zaken, dat het pakket ook nadrukkelijk in de context plaatste van het aankomende Nederlandse voorzitterschap van de Europese Unie in de eerste helft van 2016. Robert-Jan Smits, directeur-generaal Research & Innovation bij de Europese Commissie, hield een helder pleidooi voor het uitrollen van een digitale interne markt in Europa. Hij gaf aan dat de “digital single market” in de top-drie van prioriteiten voor de Commissie-Juncker staat. Hij noemde onder andere het gebrek aan vertrouwen van consumenten in e-commerce over de grens, geoblocking, een verouderd copyright, verzendkosten van pakketten, digitale veiligheid en bescherming van persoonlijke gegevens als problemen die aangepakt moeten gaan worden. Zijn collega Paul Timmers (directeur Cybersecurity) benadrukte dat er in principe geen grenzen dienen te zijn voor gebruik van data door heel Europa heen. Daarbij blijven de bestaande plannen van de Commissie omtrent cybersecurity, om trust en security goed te regelen, leidend. De heren van de Europese Commissie sloten af met een oproep tot politieke steun voor het pakket, ook vanuit Nederland, om door de gevestigde belangen (“vested interest”) heen te kunnen breken. Ze waarschuwden dat de prijs hoog zal zijn als Europa op dit gebied niet genoeg doet en dat we het risico lopen het wereldwijde initiatief kwijt te raken, juist in die industrieën waar Europa nu een voorsprong heeft.

Tijdens de discussieronde in het tweede gedeelte van de bijeenkomst heb ik gesproken met diverse aanwezigen inclusief Paul Timmers omtrent de balans tussen “we moeten in Europa alles goed regelen” en “Europa is geen eiland”. De meesten beaamden dat juist het vinden van die balans de uitdaging is, wetende dat het op 1 lijn krijgen van alle Europese landen al een hele flinke kluif is maar dat we in Europa vooral ook de verbinding moeten houden met wat er in de USA en Azie gebeurt, en daarvan moeten leren en hergebruiken wat we kunnen gebruiken. Daar waar wij ons al Europa zouden afzonderen leert de geschiedenis dat dit geen positieve impuls geeft aan economische noch sociale ontwikkeling. Daarom zeg ik: willen wij als Europa, en als Nederland, onze leidende positie behouden en mogelijk zelf uitbreiden, dan dient het pad naar de “digital single market” doorlopen te worden met een open blik naar de rest van de wereld. Een niet door emoties gedreven maar door feiten en ratio begeleid debat rond informatiebeveiliging en data privacy in Europa en tussen Europa, USA en Azie zal hier een positieve bijdrage aan kunnen leveren.

Marc is Business Development Executive bij IBM. Dit artikel representeert zijn eigen mening en staat los van de opinie van zijn werkgever.