Internetrecht door Arnoud Engelfriet

De Nederlandse overheid overweegt zijn pagina’s op Facebook te sluiten, las ik bij Tweakers. In een Kamerbrief meldt staatssecretaris Alexandra van Huffelen dit als conclusie van een dpia van de datapraktijken van moederbedrijf Meta, die zeven grote risico’s liet zien op het gebied van transparantie en controleverlies. Een goede zaak dat dit eindelijk op de politieke agenda staat, voor mij is vooral de vraag waarom het zo lang moest duren.

De Kamerbrief legt uit dat recent in Duitsland overheden wederom zijn gevraagd hun Facebookpagina’s te sluiten, omdat zij juridisch mede verantwoordelijk zijn voor wat er op die pagina’s gebeurt met data van bezoekers. Naar aanleiding daarvan heeft zij onderzoek laten uitvoeren, een data protection impact assessment: 

In de DPIA worden 7 hoge risico’s en 1 laag risico gevonden voor de gegevensverwerking. Volgens het onderzoek informeert Facebook niet duidelijk wat ze met de gegevens van burgers op overheidspagina’s doet, en hoe ze bepaalt welke berichten bezoekers in hun nieuwsoverzicht zien. Het onderzoek concludeert ook dat Facebook volgcookies op een misleidende (“Facebook makes deceptive use of tracking cookies”) manier gebruikt. Gegevens over het gedrag van de paginabezoekers worden verzameld, zonder dat voldoende inzage wordt gegeven in de logica van het gebruik van die gegevens om gepersonaliseerde berichten, aanbevolen andere content en advertenties te tonen. Ook zijn er zorgen over de doorgifte van persoonsgegevens aan derde landen en derde partijen.

Uit mijn blog van toen:

De belangrijkste implicatie van het arrest is dat je als persoon kunt eisen dat gegevens van jou worden verwijderd bij zo’n fanpagina, en dat de beheerder zich niet mag verschuilen achter Facebook. Je moet dus echt zelf aan de bak en ook zelf aangeven welke gegevens je verzamelt en wat je daarmee doet.

Maar pijnlijke bijkomstigheid is dat je dus óók (mede-) aansprakelijk bent voor datalekken, slechte beveiliging en andere fouten die je zakenpartner Facebook vergaart. Oké, dat mag je wettelijk gezien op haar verhalen maar dat is natuurlijk niet helemaal realistisch.

De reden daarvoor is vrij simpel: de overheid wil zo veel mogelijk mensen bereiken, en er is nu eenmaal een significante groep mensen die niet op Rijksoverheid.nl kijkt voor nieuws vanuit de overheid, maar alleen dergelijke informatie via de social media tot zich neemt. Die groep bereik je dus alleen met een Facebookpagina zeg maar, en daarom is die pagina er. Vanuit dat perspectief is het dus niet zo simpel als je zou denken om die informatievoorziening ook weer te stoppen.

Arnoud

Als Meta geen legale mogelijkheid heeft om data van Europese gebruikers op Amerikaanse servers te verwerken, dan zullen Facebook en Instagram waarschijnlijk niet meer werken in de EU. Daarmee opende Tweakers vorige week. Die legale mogelijkheid is een herziening of vernieuwing van de Privacy Shield-overeenkomst tussen de VS en de EU, die een paar jaar geleden werd afgeschoten wegens fundamentele gebreken. Het klinkt dramatisch, maar let op de bron: de jaarlijkse 10-K filing van Metabook. Dat is een zuiver indekdocument, geen bedrijfsstrategie.

Het is natuurlijk waar dat Meta, Google en collega’s een enorm probleem hebben met het overbrengen van data uit Europa naar de VS. Zonder opvolger van Privacy Shield is er eigenlijk geen legale manier om dat te doen, dus als daar strikt op wordt gehandhaafd dan houdt het op.

Ja, haha, strenge handhaving. Wie gelooft daar in? Ik ook niet, maar ik kan als jurist niet ontkennen dat het theoretisch gezien kan gebeuren. En dan heb je als beursgenoteerd bedrijf een probleem, want zulke risico’s kunnen je beurskoers aantasten en dan moet je er voor waarschuwen. De gebruikelijke manier is door dat op te nemen in je 10-K:

The government requires companies to publish 10-K forms so investors have fundamental information about companies so they can make informed investment decisions. This form gives a clearer picture of everything a company does and what kinds of risks it faces.

Afijn. De kern is: het is geen strategiedocument, dit is niet wat Facebook het komende kwartaal op de radar heeft. Dit is het resultaat van de brainstormsessie bij de afdelingen Legal en Compliance, wat zou er eventueel aan risico’s kunnen spelen waar iemand over kan klagen dat we het vergeten zijn. Ik zou er dus geen waarde aan hechten.

Wie weet er nog een goede naam voor het opvolgverdrag? Op Twitter is #PrivacyTrampoline erg populair, ik zelf vond Privacy McPrivacyface wel een aardige.

Arnoud

Mark Zuckerberg heeft een naamsverandering voor het bedrijf Facebook aangekondigd, meldde Tweakers onlangs. De nieuwe naam, zoals hiernaast getoond, is Meta. Dit in verband met de ontwikkeling van de ‘metaverse’ (ik heb vernomen dat het onaardig is dit Second Life met een bril op te noemen). Helaas kan ik het merkdepot nog niet vinden, maar ik kreeg al vele vragen of dat wel kan, een zo algemeen bekend internetwoord claimen als je eigen merk.

Hoofdregel uit het merkrecht is dat je ieder woord mag registreren als merk wanneer dat geschikt is om als merk te dienen. Dat klinkt circulair, maar het wil zeggen dat het woord jouw producten moet kunnen onderscheiden van de concurrent. “Fiets” voor zo’n ding met twee wielen is daarvoor niet geschikt, zo heten die dingen. Maar Gazelle, Batavus, Giant, Koga of Trek zijn prima merken voor fietsen.

Ja, ook “Gazelle” en “Trek” hoewel die allebei in het woordenboek staan. Waar het om gaat is dat ze niet in het woordenboek staan als synoniem voor fiets. Bij Trek is er de indirecte link naar op trektocht/fietstocht gaan, en bij Gazelle de belofte dat je snel en soepel het fietspad af zoeft, maar als je iemand vraagt om een Gazelle en die komt met een Giant, dan is dat duidelijk niet wat je had gevraagd.

Het woord “Meta” voor een internetdienst is dus niet per definitie ongeschikt om als merk te dienen. In Europa kan ik 17 woordmerkdepots vinden voor “Meta” voor producten of diensten zoals lettertypes, sportkleding en geluidsapparatuur. Sterker nog, er was ooit een Meta die werkte aan augmented reality-diensten met “Extramissive spatial imaging digital eye glass”, maar dat bedrijf lijkt nu gestopt te zijn.

Bij Facebook, pardon Meta Platforms Inc. ligt het iets complexer omdat men óók de term “metaverse” in de markt wil zetten, en dan ook nog eens als generieke term, zeg maar als fiets. Op zich is dat een slimme werkwijze: introduceer een generieke term en positioneer jezelf meteen als een topmerk binnen die nieuwe categorie. Zo voorkom je dat jouw merknaam de generieke naam wordt. Want als je de eerste bent met Hagelslag, dan gaat iedereen het hagelslag noemen ook als de concurrent chocoladestaafjes verkoopt. (Deze truc komt u misschien bekend voor uit de markt voor koffiepads, waar Senseo bedenker en marktleider van is.)

Het lastige is dat je moeilijker enerzijds kunt zeggen dat “metaverse” de algemene term is en anderzijds dat jij als merkhouder “Meta” daarin opereert. Je verweeft de namen dan zodanig dat mensen altijd bang zullen zijn dat jij de naam metaverse gaat claimen of regels stellen aan wat men daarbinnen mag doen. Zo komt het nooit écht als onafhankelijk internetconcept van de grond.

Arnoud

De Ierse privacytoezichthouder DPC heeft noyb, de organisatie van privacyactivist Max Schrems, een take down request gestuurd waarin wordt verzocht een document te verwijderen. Dat meldde Security.nl vorige week. Het document is het conceptbesluit op noyb’s handhavingsverzoek tegen Facebook, waarin een opmerkelijke interpretatie van de AVG wordt geïntroduceerd die een joekel van een loophole oplevert…. Lees verder

Het Oostenrijkse Hooggerechtshof heeft het Hof van Justitie van de Europese Unie gevraagd of Facebook juridisch gezien wel gebruikersdata mag verwerken. Dat las ik bij Tweakers. De vraag draait om het verschil tussen toestemming en een contract als grondslag om persoonsgegevens te mogen verwerken. Sinds de AVG van kracht is, houdt Facebook namelijk vol dat… Lees verder

Een lezer vroeg me: In mei leerden we dat diverse gemeenten met nep-profielen actief zijn op sociale netwerken om burgers te volgen. Veel socialmedia hanteren echter een ‘real-name policy’ waarbij in de voorwaarden staat dat je je echte naam moet gebruiken. Hoe zit dat nu juridisch? Is de gemeente dan strafbaar (valsheid in geschrifte), is… Lees verder

De Hamburgse privacytoezichthouder heeft Facebook verboden om WhatsApp-data van Duitse gebruikers voor eigen doeleinden te gebruiken. Dat meldde Tweakers afgelopen vrijdag. Het besluit van de Hamburgse commissaris met de onuitsprekelijke afkorting HmbBfDI heeft te maken met de gewijzigde gebruiksvoorwaarden van WhatsApp, die een dergelijke koppeling zouden autoriseren. Tegelijk was bij de overname van WhatsApp door Facebook nadrukkelijk… Lees verder

Facebook heeft een rechtszaak aangespannen tegen een verkoper van namaakspullen, las ik bij Tweakers. Facebook werkt daarbij samen met modehuis Gucci, de partij wiens producten nagemaakt werden door deze verkoper. Nu komt handel in namaak al vele decennia voor, ook met Facebook of Instagram als platform, dus het verbaast in zoverre niet dat er een… Lees verder

Facebook gaat de bijna 533 miljoen gebruikers van wie de data onlangs op een hackersforum is geplaatst, niet actief informeren over het datalek. Dat meldde Tweakers vorige week. Het platform zegt niet zeker te weten welke gebruikers ingelicht zouden moeten worden en dat de informatie toch openbaar online staat. Dat voelt een tikje absurd; de… Lees verder

Eurocommissaris Margrethe Vestager zegt dat Europa nieuwe antitrustonderzoeken kan beginnen naar bigtechbedrijven als die dreigen van de Europese markt te verdwijnen. Dat meldde Tweakers vorige week. Vestager reageert daarmee op de controverse in Australië: het land wil dat Facebook en Google de portemonnee trekken; dat moet de Australische media-industrie helpen. Daarop besloot Facebook de nieuwsvoorziening… Lees verder