Rechtbank: Ziggo hoeft vermaningen Brein niet naar torrentgebruikers te sturen

| AE 13146 | Intellectuele rechten, Ondernemingsvrijheid | 5 reacties

Ziggo hoeft torrent-waarschuwingsbrieven van Brein niet door te sturen naar frequente torrentgebruikers. Dat meldde Tweakers onlangs. Dit was een recent idee van de auteursrechthandhaver: identificeer frequente uploaders, en stuur ze een “we hebben je in de gaten”-brief in de hoop dat men ermee stopt. De rechtbank merkt de hierbij benodigde persoonsgegevens aan als strafrechtelijk, waardoor Ziggo ze niet mag verwerken zonder vergunning van de Autoriteit Persoonsgegevens.

Ziggo had bezwaar gemaakt tegen het verzoek van Brein om deze brieven te versturen, omdat zij dacht dat dit onder de AVG niet toegestaan zou zijn. Brein verzamelt immers IP-adressen van torrenters, en dat zijn persoonsgegevens. Maar op zich mag Brein dit, gezien het gerechtvaardigd belang dat zij als vertegenwoordiger van rechthebbenden heeft bij de handhaving en preventie van auteursrechtinbreuk.

Wel is er het fundamentele probleem dat het hier gaat om gegevens over strafrechtelijk relevant gedrag. Inbreuk op auteursrecht is immers een misdrijf (art. 31 en verder Auteurswet). Uit het vonnis:

De AP heeft in een besluit over de online handhaving van de intellectuele eigendomsrechten door Dutch Filmworks B.V. (DFW) vastgesteld dat het verwerken van persoonsgegevens van personen waartegen een min of meer gegronde verdenking bestaat van handelingen die inbreuk maken op een auteursrecht, aangemerkt moeten worden als het verwerken van strafrechtelijke persoonsgegevens (AP, Definitief besluit inzake de verklaring omtrent de rechtmatigheid van online handhaving van intellectuele eigendomsrechten door Dutch Filmworks B.V., z2017-02053, p. 4).
Door het soort analyse dat Brein uitvoert, is vrij zeker dat de betrokken personen dit misdrijf van inbreuk op auteursrecht plegen. Dat maakt de persoonsgegevens dan tot strafrechtelijke persoonsgegevens, waarvoor de AVG een zeer streng regime kent:
Persoonsgegevens betreffende strafrechtelijke veroordelingen en strafbare feiten of daarmee verband houdende veiligheidsmaatregelen mogen op grond van artikel 6, lid 1, alleen worden verwerkt onder toezicht van de overheid of indien de verwerking is toegestaan bij Unierechtelijke of lidstaatrechtelijke bepalingen die passende waarborgen voor de rechten en vrijheden van de betrokkenen bieden. Omvattende registers van strafrechtelijke veroordelingen mogen alleen worden bijgehouden onder toezicht van de overheid.
Er moet dus een concrete wet zijn die regelt dat je dit mag verwerken, en die wet moet ook nog eens passende waarborgen kennen. In Nederland is dit uitgewerkt in artikel 31 en 32 Uitvoeringswet AVG. Die kennen de optie dat je zulke gegevens mag verwerken als je bezig bent met een juridische procedure, maar daar kon Brein dus geen beroep op doen:
Op het moment dat Brein (naar aanleiding van de evaluatie van deze campagne) later besluit om toch (andere) handhavingsmaatregelen te treffen en het daarvoor nodig is om te procederen, zullen daarvoor opnieuw IP-adressen worden verzameld. De IP-adressen die zijn/worden verzameld in het kader van de FLU-waarschuwingscampagne worden daar niet voor gebruikt (zie 2.7) en dus is de verwerking daarvan niet noodzakelijk in verband met een rechtsvordering.
Een ander artikel (33) bepaalt dat strafrechtelijke persoonsgegevens mogen worden verwerkt ter bescherming van je eigen belangen, voor zover het gaat om strafbare feiten die jegens jou zijn gepleegd of naar verwachting zullen worden gepleegd. Dat past dus bij Brein, alleen is dat niet bruikbaar voor Ziggo. En dat is het probleem, want Ziggo is zélf verwerkingsverantwoordelijke wanneer zij die gegevens van haar administratie koppelt aan de brieven van Brein en deze doorstuurt.

Voor Ziggo is dit dan ook alleen een optie als zij een vergunning krijgen van de AP. Dat voelt een beetje als een heftige optie – waarom mag Brein dat zomaar maar Ziggo niet – maar de regel staat in hetzelfde rijtje als de regels over recherchebureaus. Het is dus eigenlijk de restoptie, je bent niet echt een privédetective maar je doet wel ongeveer hetzelfde, dan moet je dus een aparte vergunning halen.

Zijn we er dan? Ja, met zo’n vergunning dan mag – pardon, móet Ziggo dit gaan doen.

De rechtbank haalt het Lycos/Pessers arrest van stal, dat organisaties als Brein in principe het recht geeft om NAW-gegevens te eisen van providers zoals Ziggo, wanneer de klant waarschijnlijk inbreuk pleegt. Hetzelfde arrest dat Dutch Filmworks zonder succes inriep bij hun dreigbriefactie, maar dat liep stuk op het punt dat DFW onduidelijk was over de schadeclaims en andere rechtsmaatregelen waarmee ze in hun brieven schermden. Brein heeft daaraan gedacht: de brieven zijn alleen “pas op, doe dit niet nog eens” en na versturen van de brieven worden alle logs gewist.

Lycos/Pessers zegt dat je als provider zelf onrechtmatig handelt als je in zo’n situatie geen NAW gegevens afgeeft. De rechtbank trekt dat door: je handelt ook zelf onrechtmatig als je die brieven dan niet doorstuurt. Dus zou Ziggo een vergunning hebben, dan konden die brieven per direct de deur uit.

Het enige dat de rechtbank nu in het midden laat, is of Ziggo verplicht is om zo’n vergunning te gaan halen. Enerzijds lijkt het me lastig om zoiets af te dwingen, want het is niet een kwestie van een formuliertje invullen op de site van de AP en drie vinkjes laten zetten door je FG.

Anderzijds mag Brein volgens dit vonnis dus wél eisen dat ze NAW-gegevens van de torrenters krijgt, zodat ze zelf die brieven kan sturen. (Dat was niet de vraag van Brein dus de rechtbank verplicht Ziggo daartoe niet, maar wie 3.38 en 3.41 leest, ziet dat de rechtbank wel degelijk op de hand van Brein is.) En als dat zo is, dan is het halen van die vergunning en het zelf doen misschien nog de te prefereren keuze voor Ziggo.

Arnoud

 

Een auteursrechthebbende mag van Youtube alleen je postadres vragen (moehaha)

| AE 12062 | Ondernemingsvrijheid, Privacy | 16 reacties

Wanneer een film illegaal is geüpload op een onlineplatform zoals YouTube, kan de rechthebbende krachtens de richtlijn betreffende de handhaving van intellectuele eigendomsrechten bij de exploitant uitsluitend het postadres van de betrokken gebruiker opvragen, maar niet zijn e-mailadres, IP-adres of telefoonnummer. Dat las ik bij ITenRecht. Het Hof van Justitie bepaalde dat onlangs in een procedure tussen Constantin Film Verleih GmbH, een in Duitsland gevestigde distributeur van films en YouTube. En ja, ik weet dat je weinig hebt aan die informatie.

Al lange tijd proberen filmproducenten en handhavers zoals BREIN informatie te krijgen van Youtube over uploaders van illegaal materiaal. Youtube werkt daar niet aan mee (dat is namelijk niet handig voor het businessmodel, pardon Youtube staat voor de grondwettelijk vastgelegde privacy van haar gebruikers).

In 2004 verscheen een Europese Richtlijn (de Handhavingsrichtlijn) waarmee rechthebbenden een bevoegdheid kregen om bij platforms en andere tussenpersonen gegevens van uploaders te krijgen. Iets preciezer (artikel 8 lid 2): “de naam en het adres van de producenten, fabrikanten, distributeurs, leveranciers en andere eerdere bezitters”. Dat is vrij logisch voor de situatie waarin handelaren ergens gevestigd zijn en dingen in- en wederverkopen.

Bij Youtube is dit iets minder logisch. Dat bedrijf heeft alleen e-mailadressen, IP-adressen en mogelijk een telefoonnummer (bijvoorbeeld vanwege tweefactorauthenticatie). Is dat een “adres”? Dat is een lastige, want de Handhavingsrichtlijn specificeert dat niet en het staat ook niet in eerdere Europese regels als gedefinieerde term. Het Hof trekt dan de ietwat verrassende conclusie dat dit niét het geval is: als je zegt “naam en adres” van iemand, dan bedoel je een woon- of vestigingsadres, niet een IP-adres (het plaatje rechtsboven is dus een grapje).

Dat botst wel met het idee dat dit artikel van de Handhavingsrichtlijn bedoeld is om rechthebbenden te helpen handhaven door informatie op te vragen van platforms. En u weet het, als je rechten hebt en auteursrechten, dan winnen de auteursrechten. Alleen nu niet, en ik ben daar oprecht door verbaasd: het Hof concludeert dat de Europese wetgever het simpel wilde houden en (nog) niet wilde nadenken over IP-adressen en e-mail. (Of, denk ik, dat de lidstaten het daar niet over eens konden worden.) En dan kun je dus niet later uit die wet halen dat je alsnog die elektronische gegevens mag hebben.

Het is wel toegestaan dat lidstaten nadere regels maken die strenger zijn. Zo hebben we bij ons het Lycos/Pessers arrest, op grond waarvan je wél IP-adressen en e-mailadressen kunt opeisen van een dienstverlener. Dat arrest blijft gewoon overeind.

Arnoud

Doe mij eens wat meer van die boetes van 5000 euro

| AE 11637 | Ondernemingsvrijheid | 5 reacties

De Belgische privacywaakhond heeft twee boetes van 5000 euro opgelegd aan lokale politici, las ik bij Tweakers. De politici gebruikten gegevens die ze in hun ambt hadden verkregen (“burgers die een beroep op hen als burgemeester/schepen deden”) om ze politieke reclame te sturen. Dat is in strijd met het beginsel van doelbinding aldus de Gegevensbeschermingsautoriteit, die aan de boete tevens een berisping koppelde. Het getal van 5000 euro zal misschien wat wenkbrauwen doen fronsen: kon de AVG niet tot 20 miljoen per overtreding aan boetes opleveren? Ja, en toch ben ik erg blij met deze eh microboete. Want dit werkt beter.

In België zijn burgemeester en schepen (wethouden) politieke beroepen. De beboete burgemeester en schepen gebruikten lijsten van burgers uit hun gemeente om ze op te roepen op hen te stemmen. En die lijsten verkregen ze dus via hun ambt, wat strijd oplevert met de doelbinding: gegevens mag je niet voor andere doeleinden inzetten dan waarvoor ze zijn verkregen (behoudens de direct nabij en volkomen logisch aanverwante doelen). Politieke reclame voor jou als persoon heeft natuurlijk niets te maken met je werk als ambtenaar, ook niet als je via verkiezingen op die plek gekomen bent en daar graag weer wilt zitten.

Boetewaardig dus. En stevig ook, in theorie staat daar die 20 miljoen per overtreding op. Maar de Gegevensbeschermingsautoriteit houdt het bescheiden en wel bij 5000 euro per persoon. Dat komt zo te lezen omdat het gaat om een eerste overtreding door privépersonen en een gering aantal persoonsgegevens, hoewel de zaak zo ernstig wordt gezien (het gaat over verkiezingen, dat is de kern van de legitimatie van ons bestuur) dat men er ook nog een publieke reprimande tegenaan gooit. (Die de politieke tegenstanders ongetwijfeld in het verkiezingsdebat gaan aanvoeren.)

Waarom ben ik nou zo blij met 5000 euro? Nou ja, omdat zo’n boete écht afschrikt. Zeg nou zelf, als je weet dat je in privé 20 miljoen moet ophoesten, dan zul je daar weinig wakker van liggen. Dat bedrag lukt toch niet, dus dat spreekt niet tot de verbeelding. Maar 5000 euro kwijt zijn aan een overtreding? Dat is voorstelbaar, doet echt pijn en je kunt je inleven op welke manier. Dat hakt er dus veel meer in – zeker bij de vele kleinere bedrijven dan de clubs waarvoor die 20M als maximale boete in de wet is gezet.

Natuurlijk staat of valt het uiteindelijk met handhaving. Maar ook dan denk ik, juist kleine boetes kun je makkelijker opleggen. Megaboetes hebben de neiging gejuridiseerd te worden. Als je Facebook een boete oplegt, wéét je dat je hoe dan ook vele jaren verder bent totdat het Hof van Justitie van de EU een uitspraak doet, en dan nog. Een mkb-ondernemer die 5000 euro moet aftikken omdat hij een klantenlijst verkocht, die gaat die stappen niet nemen. Die baalt als een stekker, ontslaat zijn marketeer en doet het beter. En zijn collega’s ook.

En het leuke is volgens mij dat juist die handhaving in het klein vaak te automatiseren is. Privacystatements checken of ze wel in eenvoudige taal is, dat kun je met een script. Het verwerkingsregister van een bedrijf opvragen en op trefwoorden controleren (is er een tab Personeelsadministratie, bijvoorbeeld) is ook eenvoudig uit te voeren. Maak dáár nou eens werk van, dan wordt de AVG veel effectiever gehandhaafd.

Arnoud

“Het probleem is niet databescherming, maar dataverzameling.”

| AE 11585 | Ondernemingsvrijheid, Privacy | 6 reacties

Edward Snowden denkt dat de AVG tot nu toe nog weinig effect heeft gehad in Europa. Dat las ik bij Tweakers tijdens mijn kraamperiode (dank iedereen voor de felicitaties). De NSA-klokkenluider zei op een conferentie dat de Europese privacyverordening vooral ‘een papieren tijger’ is zolang internetbedrijven geen grote boetes krijgen opgelegd. De kern van het… Lees verder

ISP Bahnhof blokkeert toegang tot Elsevier uit protest, mag dat?

| AE 10946 | Ondernemingsvrijheid | 4 reacties

Een rechtbank heeft de Zweedse provider Bahnhof bevolen enkele internetdomeinen te blokkeren na claims van uitgever Elsevier van inbreuk op auteursrechten. Dat meldde Tweakers maandag. In antwoord daarop blokkeert Bahnhof de toegang tot de sites van de uitgever zelf, en bezoekers van deze uitgever mogen de site van de ISP niet meer bekijken. Dit als… Lees verder

Mag de ACM met mystery shoppers internetwinkels gaan testen en domeinnamen laten afsluiten?

| AE 10757 | Regulering | 15 reacties

Met dit wetsvoorstel worden enkele aspecten ter uitvoering van verordening (EU) 2017/2394 (CPC-verordening) geregeld. Met die kandidaat voor saaiste zin ooit opent de internetconsultatie voor het stellen van nieuwe bevoegdheden voor toezichthouders onder het consumentenrecht, zoals onze Autoriteit Consument en Markt (ACM). Het voorstel noemt onder meer een expliciete bevoegdheid om met valse gegevens bestellingen… Lees verder

Hoe kan WhatsApp alle Duitse klanten uitzonderen van haar Facebookkoppeling?

| AE 8967 | Privacy, Regulering | 12 reacties

Facebook moet WhatsApp-data wissen van Duitse privacywaakhond, meldde Tweakers vorige week. De privacytoezichthouder van de deelstaat Hamburg (waar Facebook gevestigd is) heeft bepaald dat de recente Facebook/Whatsapp-koppeling in strijd is met de Duitse Wet bescherming persoonsgegevens. Facebook mag nu geen gegevens van Duitse WhatsApp-gebruikers meer hebben. Maar hoe kan Facebook dat doen, vroegen diverse mensen… Lees verder

Wat is beter voor open source: rechtszaken of praten?

| AE 8911 | Intellectuele rechten | 16 reacties

Oh oh, Linus Torvalds in de bocht in een discussie bij de Linuxfoundation over GPL handhaving. Dan weet je het wel. De stelling was: “we can all decide to give up on the GPL, or we can enforce it in Courts.” Torvalds, zeer karakteristiek: “this arguing for lawyering has become a nasty festering disease, and… Lees verder

Gastpost: Cameratoezicht goed bekeken

| AE 6841 | Security | 18 reacties

Omdat ik met vakantie ben deze week een aantal bijdragen van vaste bezoekers. Vandaag IT-er Sander van Loosbroek over cameratoezicht vandaag de dag. Het gebruik van beveiligingscamera’s door onze overheid is aan duidelijke regels gebonden. Voor burgers zijn er striktere regels van toepassing maar een gebrek aan kennis over de technische mogelijkheden van camera’s bij… Lees verder

Wat gaan we nou eens doen met die cookiewet?

| AE 6488 | Innovatie, Privacy | 37 reacties

Nederlandse websites schenden massaal de privacywetgeving door informatie over surf- en klikgedrag van bezoekers, zonder hun toestemming, door te geven aan advertentiebedrijven, meldde NRC gisteren. Grote woorden: het gaat zo te lezen om de inzet van Google Analytics en dergelijke tools, niet om drones die bij de bezoeker in de slaapkamer het gedrag livestreamen naar… Lees verder