Brein verliest hoger beroep om Ziggo waarschuwingsbrieven te laten versturen

Ziggo hoeft waarschuwingsbrieven van stichting Brein niet door te sturen naar klanten, zo meldde Security.nl onlangs. Volgens het gerechtshof Arnhem-Leeuwarden is er er geen juridische grondslag die Ziggo verplicht hieraan mee te werken. Dit bekrachtigt een vonnis uit februari waarin de rechtbank ook bepaalde dat de provider geen torrent-waarschuwingsbrieven van Brein hoeft te sturen naar frequente torrentgebruikers.

Zoals ik in februari blogde, het ging hier om een nieuw idee van de auteursrechthandhaver: identificeer frequente uploaders, en stuur ze een “we hebben je in de gaten”-brief in de hoop dat men ermee stopt. Dat is niet hetzelfde als ze gelijk dagvaarden, wat gezien de kosten en gedoe niet meteen wenselijk is. Maar de ervaring leert dat als je mensen waarschuwt, ze er regelmatig mee stoppen – al is het maar omdat ze denken dat de volgende stap wél een rechtszaak is.

Alleen een probleempje: het verwerken van persoonsgegevens van personen waartegen een min of meer gegronde verdenking bestaat van handelingen die inbreuk maken op een auteursrecht, moet aangemerkt worden als het verwerken van strafrechtelijke persoonsgegevens. Dit aldus de Autoriteit Persoonsgegevens in haar onderzoek tegen Dutch Filmworks die direct met boetes naar torrenters wilde gaan smijten.

Vanwege die reden concludeerde de rechtbank in februari dat Ziggo een vergunning nodig zou hebben (om als “privédetective” in opdracht strafrechtelijke persoonsgegevens te verzamelen). Dat staat inderdaad in de AVG als je die formeel leest, maar het doet gek aan want Ziggo is niet echt een particulier recherchebureau dat in de virtuele bosjes gaat liggen om mensen structureel in de gaten te houden.

Het Hof begint in hoger beroep met zich af te vragen op grond waarvan Ziggo überhaupt brieven door moet sturen. De redenering van Brein was: op grond van Lycos/Pessers moet je namen en adressen afgeven van inbreukmakers, een brief doorsturen is minder erg voor die mensen hun privacy dus dan kan daar geen argument tegen zijn. Het Hof ziet dat anders:

In deze zaak gaat het er niet om dat Brein zich bij de burgerlijke rechter teweer wil stellen tegen specifieke onrechtmatige gedragingen. Zij wil overtreders waarschuwen. Het mogelijk onthouden van effectieve rechtsbescherming aan een (rechts)persoon die meent onrechtmatig bejegend te worden is hier niet aan de orde.
Lycos/Pessers ging erom dat je moet kunnen procederen tegen een concreet iemand. Maar diverse onbepaalde iemanden een boze brief sturen is nog geen juridische actie, daarom valt het buiten de rechtsplicht die dat arrest oplegt.

Brein eist op dit moment al NAW gegevens van grote uploaders met als doel daartegen rechtsmaatregelen te nemen.

Die verzoeken worden volgens Brein doorgaans toegewezen. Niet aannemelijk is dus dat het verzenden van waarschuwingsbrieven een noodzakelijke stap is om civielrechtelijke actie te kunnen ondernemen tegen (een andere groep van) inbreukmakers. Ook is nog niet duidelijk in hoeverre het doorsturen van waarschuwingsbrieven zal maken dat in de toekomst op een kleinere schaal auteursrechtinbreuken zullen worden gepleegd. Partijen verschillen daarover van mening, maar vooralsnog heeft Brein niet voldoende onderbouwd gesteld dat te verwachten valt dat dat doel juist bereikt kan worden met (dit onderdeel van) de waarschuwingscampagne.
Het belang van Brein is dus enigszins speculatief te noemen. Daar staat tegenover dat Ziggo dus inderdaad stevige maatregelen moet nemen: een nieuw bedrijfsproces inrichten, daarbij rekening houden met de strenge eisen uit de AVG voor strafrechtelijke persoonsgegevens, een DPIA uitvoeren en wat al niet meer. En inderdaad dus ook die recherche-vergunning ex artikel 33 lid 4 sub c UAVG.

Het klopt, maar toch voelt het een tikje raar. Brein mag dus wel NAW gegevens van inbreukmakers eisen voor een gerechtelijke procedure, maar niet NAW gegevens van inbreukmakers om een voorlichtingsfolder en “hou op” brief te sturen? Ik snap de weerstand maar het voelt inconsequent en ik heb moeite de argumentatie van het Hof te volgen.

Arnoud

Rechtbank: Ziggo hoeft vermaningen Brein niet naar torrentgebruikers te sturen

Ziggo hoeft torrent-waarschuwingsbrieven van Brein niet door te sturen naar frequente torrentgebruikers. Dat meldde Tweakers onlangs. Dit was een recent idee van de auteursrechthandhaver: identificeer frequente uploaders, en stuur ze een “we hebben je in de gaten”-brief in de hoop dat men ermee stopt. De rechtbank merkt de hierbij benodigde persoonsgegevens aan als strafrechtelijk, waardoor Ziggo ze niet mag verwerken zonder vergunning van de Autoriteit Persoonsgegevens.

Ziggo had bezwaar gemaakt tegen het verzoek van Brein om deze brieven te versturen, omdat zij dacht dat dit onder de AVG niet toegestaan zou zijn. Brein verzamelt immers IP-adressen van torrenters, en dat zijn persoonsgegevens. Maar op zich mag Brein dit, gezien het gerechtvaardigd belang dat zij als vertegenwoordiger van rechthebbenden heeft bij de handhaving en preventie van auteursrechtinbreuk.

Wel is er het fundamentele probleem dat het hier gaat om gegevens over strafrechtelijk relevant gedrag. Inbreuk op auteursrecht is immers een misdrijf (art. 31 en verder Auteurswet). Uit het vonnis:

De AP heeft in een besluit over de online handhaving van de intellectuele eigendomsrechten door Dutch Filmworks B.V. (DFW) vastgesteld dat het verwerken van persoonsgegevens van personen waartegen een min of meer gegronde verdenking bestaat van handelingen die inbreuk maken op een auteursrecht, aangemerkt moeten worden als het verwerken van strafrechtelijke persoonsgegevens (AP, Definitief besluit inzake de verklaring omtrent de rechtmatigheid van online handhaving van intellectuele eigendomsrechten door Dutch Filmworks B.V., z2017-02053, p. 4).
Door het soort analyse dat Brein uitvoert, is vrij zeker dat de betrokken personen dit misdrijf van inbreuk op auteursrecht plegen. Dat maakt de persoonsgegevens dan tot strafrechtelijke persoonsgegevens, waarvoor de AVG een zeer streng regime kent:
Persoonsgegevens betreffende strafrechtelijke veroordelingen en strafbare feiten of daarmee verband houdende veiligheidsmaatregelen mogen op grond van artikel 6, lid 1, alleen worden verwerkt onder toezicht van de overheid of indien de verwerking is toegestaan bij Unierechtelijke of lidstaatrechtelijke bepalingen die passende waarborgen voor de rechten en vrijheden van de betrokkenen bieden. Omvattende registers van strafrechtelijke veroordelingen mogen alleen worden bijgehouden onder toezicht van de overheid.
Er moet dus een concrete wet zijn die regelt dat je dit mag verwerken, en die wet moet ook nog eens passende waarborgen kennen. In Nederland is dit uitgewerkt in artikel 31 en 32 Uitvoeringswet AVG. Die kennen de optie dat je zulke gegevens mag verwerken als je bezig bent met een juridische procedure, maar daar kon Brein dus geen beroep op doen:
Op het moment dat Brein (naar aanleiding van de evaluatie van deze campagne) later besluit om toch (andere) handhavingsmaatregelen te treffen en het daarvoor nodig is om te procederen, zullen daarvoor opnieuw IP-adressen worden verzameld. De IP-adressen die zijn/worden verzameld in het kader van de FLU-waarschuwingscampagne worden daar niet voor gebruikt (zie 2.7) en dus is de verwerking daarvan niet noodzakelijk in verband met een rechtsvordering.
Een ander artikel (33) bepaalt dat strafrechtelijke persoonsgegevens mogen worden verwerkt ter bescherming van je eigen belangen, voor zover het gaat om strafbare feiten die jegens jou zijn gepleegd of naar verwachting zullen worden gepleegd. Dat past dus bij Brein, alleen is dat niet bruikbaar voor Ziggo. En dat is het probleem, want Ziggo is zélf verwerkingsverantwoordelijke wanneer zij die gegevens van haar administratie koppelt aan de brieven van Brein en deze doorstuurt.

Voor Ziggo is dit dan ook alleen een optie als zij een vergunning krijgen van de AP. Dat voelt een beetje als een heftige optie – waarom mag Brein dat zomaar maar Ziggo niet – maar de regel staat in hetzelfde rijtje als de regels over recherchebureaus. Het is dus eigenlijk de restoptie, je bent niet echt een privédetective maar je doet wel ongeveer hetzelfde, dan moet je dus een aparte vergunning halen.

Zijn we er dan? Ja, met zo’n vergunning dan mag – pardon, móet Ziggo dit gaan doen.

De rechtbank haalt het Lycos/Pessers arrest van stal, dat organisaties als Brein in principe het recht geeft om NAW-gegevens te eisen van providers zoals Ziggo, wanneer de klant waarschijnlijk inbreuk pleegt. Hetzelfde arrest dat Dutch Filmworks zonder succes inriep bij hun dreigbriefactie, maar dat liep stuk op het punt dat DFW onduidelijk was over de schadeclaims en andere rechtsmaatregelen waarmee ze in hun brieven schermden. Brein heeft daaraan gedacht: de brieven zijn alleen “pas op, doe dit niet nog eens” en na versturen van de brieven worden alle logs gewist.

Lycos/Pessers zegt dat je als provider zelf onrechtmatig handelt als je in zo’n situatie geen NAW gegevens afgeeft. De rechtbank trekt dat door: je handelt ook zelf onrechtmatig als je die brieven dan niet doorstuurt. Dus zou Ziggo een vergunning hebben, dan konden die brieven per direct de deur uit.

Het enige dat de rechtbank nu in het midden laat, is of Ziggo verplicht is om zo’n vergunning te gaan halen. Enerzijds lijkt het me lastig om zoiets af te dwingen, want het is niet een kwestie van een formuliertje invullen op de site van de AP en drie vinkjes laten zetten door je FG.

Anderzijds mag Brein volgens dit vonnis dus wél eisen dat ze NAW-gegevens van de torrenters krijgt, zodat ze zelf die brieven kan sturen. (Dat was niet de vraag van Brein dus de rechtbank verplicht Ziggo daartoe niet, maar wie 3.38 en 3.41 leest, ziet dat de rechtbank wel degelijk op de hand van Brein is.) En als dat zo is, dan is het halen van die vergunning en het zelf doen misschien nog de te prefereren keuze voor Ziggo.

Arnoud

 

Een auteursrechthebbende mag van Youtube alleen je postadres vragen (moehaha)

Wanneer een film illegaal is geüpload op een onlineplatform zoals YouTube, kan de rechthebbende krachtens de richtlijn betreffende de handhaving van intellectuele eigendomsrechten bij de exploitant uitsluitend het postadres van de betrokken gebruiker opvragen, maar niet zijn e-mailadres, IP-adres of telefoonnummer. Dat las ik bij ITenRecht. Het Hof van Justitie bepaalde dat onlangs in een procedure tussen Constantin Film Verleih GmbH, een in Duitsland gevestigde distributeur van films en YouTube. En ja, ik weet dat je weinig hebt aan die informatie.

Al lange tijd proberen filmproducenten en handhavers zoals BREIN informatie te krijgen van Youtube over uploaders van illegaal materiaal. Youtube werkt daar niet aan mee (dat is namelijk niet handig voor het businessmodel, pardon Youtube staat voor de grondwettelijk vastgelegde privacy van haar gebruikers).

In 2004 verscheen een Europese Richtlijn (de Handhavingsrichtlijn) waarmee rechthebbenden een bevoegdheid kregen om bij platforms en andere tussenpersonen gegevens van uploaders te krijgen. Iets preciezer (artikel 8 lid 2): “de naam en het adres van de producenten, fabrikanten, distributeurs, leveranciers en andere eerdere bezitters”. Dat is vrij logisch voor de situatie waarin handelaren ergens gevestigd zijn en dingen in- en wederverkopen.

Bij Youtube is dit iets minder logisch. Dat bedrijf heeft alleen e-mailadressen, IP-adressen en mogelijk een telefoonnummer (bijvoorbeeld vanwege tweefactorauthenticatie). Is dat een “adres”? Dat is een lastige, want de Handhavingsrichtlijn specificeert dat niet en het staat ook niet in eerdere Europese regels als gedefinieerde term. Het Hof trekt dan de ietwat verrassende conclusie dat dit niét het geval is: als je zegt “naam en adres” van iemand, dan bedoel je een woon- of vestigingsadres, niet een IP-adres (het plaatje rechtsboven is dus een grapje).

Dat botst wel met het idee dat dit artikel van de Handhavingsrichtlijn bedoeld is om rechthebbenden te helpen handhaven door informatie op te vragen van platforms. En u weet het, als je rechten hebt en auteursrechten, dan winnen de auteursrechten. Alleen nu niet, en ik ben daar oprecht door verbaasd: het Hof concludeert dat de Europese wetgever het simpel wilde houden en (nog) niet wilde nadenken over IP-adressen en e-mail. (Of, denk ik, dat de lidstaten het daar niet over eens konden worden.) En dan kun je dus niet later uit die wet halen dat je alsnog die elektronische gegevens mag hebben.

Het is wel toegestaan dat lidstaten nadere regels maken die strenger zijn. Zo hebben we bij ons het Lycos/Pessers arrest, op grond waarvan je wél IP-adressen en e-mailadressen kunt opeisen van een dienstverlener. Dat arrest blijft gewoon overeind.

Arnoud

Doe mij eens wat meer van die boetes van 5000 euro

De Belgische privacywaakhond heeft twee boetes van 5000 euro opgelegd aan lokale politici, las ik bij Tweakers. De politici gebruikten gegevens die ze in hun ambt hadden verkregen (“burgers die een beroep op hen als burgemeester/schepen deden”) om ze politieke reclame te sturen. Dat is in strijd met het beginsel van doelbinding aldus de Gegevensbeschermingsautoriteit, die aan de boete tevens een berisping koppelde. Het getal van 5000 euro zal misschien wat wenkbrauwen doen fronsen: kon de AVG niet tot 20 miljoen per overtreding aan boetes opleveren? Ja, en toch ben ik erg blij met deze eh microboete. Want dit werkt beter.

In België zijn burgemeester en schepen (wethouden) politieke beroepen. De beboete burgemeester en schepen gebruikten lijsten van burgers uit hun gemeente om ze op te roepen op hen te stemmen. En die lijsten verkregen ze dus via hun ambt, wat strijd oplevert met de doelbinding: gegevens mag je niet voor andere doeleinden inzetten dan waarvoor ze zijn verkregen (behoudens de direct nabij en volkomen logisch aanverwante doelen). Politieke reclame voor jou als persoon heeft natuurlijk niets te maken met je werk als ambtenaar, ook niet als je via verkiezingen op die plek gekomen bent en daar graag weer wilt zitten.

Boetewaardig dus. En stevig ook, in theorie staat daar die 20 miljoen per overtreding op. Maar de Gegevensbeschermingsautoriteit houdt het bescheiden en wel bij 5000 euro per persoon. Dat komt zo te lezen omdat het gaat om een eerste overtreding door privépersonen en een gering aantal persoonsgegevens, hoewel de zaak zo ernstig wordt gezien (het gaat over verkiezingen, dat is de kern van de legitimatie van ons bestuur) dat men er ook nog een publieke reprimande tegenaan gooit. (Die de politieke tegenstanders ongetwijfeld in het verkiezingsdebat gaan aanvoeren.)

Waarom ben ik nou zo blij met 5000 euro? Nou ja, omdat zo’n boete écht afschrikt. Zeg nou zelf, als je weet dat je in privé 20 miljoen moet ophoesten, dan zul je daar weinig wakker van liggen. Dat bedrag lukt toch niet, dus dat spreekt niet tot de verbeelding. Maar 5000 euro kwijt zijn aan een overtreding? Dat is voorstelbaar, doet echt pijn en je kunt je inleven op welke manier. Dat hakt er dus veel meer in – zeker bij de vele kleinere bedrijven dan de clubs waarvoor die 20M als maximale boete in de wet is gezet.

Natuurlijk staat of valt het uiteindelijk met handhaving. Maar ook dan denk ik, juist kleine boetes kun je makkelijker opleggen. Megaboetes hebben de neiging gejuridiseerd te worden. Als je Facebook een boete oplegt, wéét je dat je hoe dan ook vele jaren verder bent totdat het Hof van Justitie van de EU een uitspraak doet, en dan nog. Een mkb-ondernemer die 5000 euro moet aftikken omdat hij een klantenlijst verkocht, die gaat die stappen niet nemen. Die baalt als een stekker, ontslaat zijn marketeer en doet het beter. En zijn collega’s ook.

En het leuke is volgens mij dat juist die handhaving in het klein vaak te automatiseren is. Privacystatements checken of ze wel in eenvoudige taal is, dat kun je met een script. Het verwerkingsregister van een bedrijf opvragen en op trefwoorden controleren (is er een tab Personeelsadministratie, bijvoorbeeld) is ook eenvoudig uit te voeren. Maak dáár nou eens werk van, dan wordt de AVG veel effectiever gehandhaafd.

Arnoud

“Het probleem is niet databescherming, maar dataverzameling.”

Edward Snowden denkt dat de AVG tot nu toe nog weinig effect heeft gehad in Europa. Dat las ik bij Tweakers tijdens mijn kraamperiode (dank iedereen voor de felicitaties). De NSA-klokkenluider zei op een conferentie dat de Europese privacyverordening vooral ‘een papieren tijger’ is zolang internetbedrijven geen grote boetes krijgen opgelegd. De kern van het argument lijkt hem te zitten in dat het “prima is om data te verzamelen, dat het geen gevaar oplevert en dat het normaal is om iedereen te bespioneren, zolang die data maar niet uitlekt en je er zelf de controle over hebt.” Daarmee is de AVG kennelijk geen effectieve barrière tegen de grote techbedrijven: die doen wat ze willen en gooien er gewoon nieuwe braaftaal tegenaan – “We value your privacy” wordt “We respect your GDPR rights and we fully comply” en dat was het dan. Tsja.

De AVG is natuurlijk in eerste instantie een enorme stapel papier (99 artikelen) waar je als bedrijf maar wat van moet maken. Zowat alle aspecten van dataverzamelen en -gebruiken worden gereguleerd; je moet compliance kunnen aantonen, grondslagen onderbouwen, toezicht houden, security dichttimmeren en ga zo maar door. De normen zijn open en de boetes zijn hoog, althans op papier.

En daar wringt hem de schoen – heel veel papier is de AVG, maar (nog?) maar heel weinig daadwerkelijke handhaving. En dat voelt heel dubbel: overal zie en merk je dat mensen de AVG serieus proberen te nemen, maar tegelijk gebeurt er weinig tegen zij die dat niet doen. Links word je doodgegooid met toestemmingsformulieren (ahh ahh ahh de horreur) die nergens voor nodig zijn, en rechts wordt je gehele doopceel integraal verkocht aan malafide marketeers of erger nog semi-overheden.

Natuurlijk kun je dan heel spitsvondig zeggen dat het hem zit in de naam. “Data protection” impliceert dat je alles mag mits je het maar goed beschermt, en het moet gaan om of je überhaupt data mág verwerken. Die vondst klopt niet: het gaat om de bescherming van data in de zin van réchten op die data, mijn data moet veilig zijn als een bedrijf er wat mee doet. Dat is niet hetzelfde als “alles mag als je het veilig doet”, wat ook in artikel 5 AVG staat: alles moet rechtmatig zijn. Oh ja én moet voldoen aan dataminimalisatie, oftewel niet meer verzamelen dan nodig is voor je rechtmatige doel, dat je ook nog eens vooraf gemeld hebt en op papier uitgewerkt.

Uiteindelijk heeft Snowden wel gelijk als het gaat om de handhaving. Wetten die niet worden gehandhaafd zijn betekenisloos, of het nu de AVG is of het artikel over door rood rechtsaf fietsen uit de Wegenverkeerswet. Waarom die handhaving zo langzaam gaat, weet ik niet precies. Voor een deel zal het de complexiteit van de verwerking zijn, kom ermaar eens écht achter wat Facebook en consorten doet. En je wilt ook geen fouten maken want je weet dat je dan een rechtszaak tegen je krijgt. En het is politiek gevoelig, zo’n boetebesluit. Maar onderaan de streep blijft dan wel het probleem dat die wet met voeten getreden blijft.

Arnoud

ISP Bahnhof blokkeert toegang tot Elsevier uit protest, mag dat?

Een rechtbank heeft de Zweedse provider Bahnhof bevolen enkele internetdomeinen te blokkeren na claims van uitgever Elsevier van inbreuk op auteursrechten. Dat meldde Tweakers maandag. In antwoord daarop blokkeert Bahnhof de toegang tot de sites van de uitgever zelf, en bezoekers van deze uitgever mogen de site van de ISP niet meer bekijken. Dit als ludiek protest nu men hoger beroep te duur en te weinig kansrijk acht. Niet dat er veel medewerkers van Elsevier vanaf hun werk een abonnement bij een Zweedse internetprovider willen nemen, maar toch. Het gaat om het principe. Maar dan krijg je altijd van die principiële mensen terug die dan roepen, maar ho ho mag dat wel van netneutraliteit?

In Europa hebben we sinds 2015 netneutraliteit verankerd in een Verordening, een Europese wet. De hoofdregel uit deze Verordening is vrij simpel:

Aanbieders van internettoegangsdiensten behandelen bij het aanbieden van internettoegangsdiensten alle verkeer op gelijke wijze, zonder discriminatie, beperking of interferentie, en ongeacht de verzender en de ontvanger, de inhoud waartoe toegang wordt verleend of die wordt verspreid, de gebruikte of aangeboden toepassingen of diensten, of de gebruikte eindapparatuur.

Daar is weinig juridisch aan, je mag als ISP dus geen enkele discriminatie of blokkade instellen tegen iemands internetgebruik. Niet bij je klanten, en niet bij derden. Ook niet als ze jou net bij de rechter tot een blokkade hebben gedwongen.

Zo’n blokkade mag dan op zich weer wel:

Aanbieders van internettoegangsdiensten treffen geen verkeersbeheersmaatregelen die verder gaan dan de in de tweede alinea bedoelde maatregelen, en gaan met name niet over tot het blokkeren, vertragen, wijzigen, beperken of degraderen van, interfereren met of discrimineren tussen specifieke inhoud, toepassingen of diensten, of specifieke categorieën daarvan, behalve indien — en slechts zolang — dit nodig is om:
a) te voldoen aan de wetgevingshandelingen van de Unie of de nationale wetgeving die in overeenstemming is met het Unierecht, waar de aanbieder van de internettoegangsdiensten onder valt, of aan de met het Unierecht in overeenstemming zijnde maatregelen ter uitvoering van dergelijke wetgevingshandelingen van de Unie of dergelijke nationale wetgeving, met inbegrip van beslissingen van rechters of overheidsinstanties die ter zake bevoegd zijn;

Als het moet van de wet, of van de rechter die de wet heeft toegepast, dan is een blokkade of beperkende maatregel dus wel mogelijk binnen netneutraliteit. Elsevier heeft dus het recht aan haar zijde. Formeel zou Bahnhof dus op de vingers getikt kunnen worden voor haar tegenactie, hoewel ik het gezien de achtergrond en deze zeer beperkte scope (en het feit dat ze alleen haar eigen klanten dupeert, wat zich vanzelf oplost na wat klachten bij de helpdesk lijkt me) niet kan voorstellen dat de Zweedse telecomtoezichthouder hier wat van gaat vinden.

Arnoud

Mag de ACM met mystery shoppers internetwinkels gaan testen en domeinnamen laten afsluiten?

Met dit wetsvoorstel worden enkele aspecten ter uitvoering van verordening (EU) 2017/2394 (CPC-verordening) geregeld. Met die kandidaat voor saaiste zin ooit opent de internetconsultatie voor het stellen van nieuwe bevoegdheden voor toezichthouders onder het consumentenrecht, zoals onze Autoriteit Consument en Markt (ACM). Het voorstel noemt onder meer een expliciete bevoegdheid om met valse gegevens bestellingen te plaatsen (mystery shopping), maar kent ook nieuwe bevoegdheden om bij ecommerce zijdelings betrokken partijen bevelen te geven om mogelijke oplichting en fraude tegen te gaan. Zoals dus domeinnamen afsluiten.

De CPC-Verordening vereist vanuit Europa dat toezichthouders op het consumentenrecht beschikken over stevige middelen om in te grijpen bij marktpartijen die de boel belazeren. Natuurlijk kunnen ze al langer boetes uitdelen of specifieke bevelen (lasten) geven over hoe het gedrag aan te passen, maar bewijs verzamelen is daarbij nog wel eens een probleem. En ook heeft een last niet perse veel zin als die partij in het buitenland zit, onvindbaar is of onder een nieuwe bv gewoon verder gaat.

De mystery shopping-regeling moet aan dat eerste probleem tegemoet komen. Een opsporingsambtenaar mag onder opgaaf van valse gegevens een bestelling plaatsen, als dat relevant is voor een onderzoek naar marktgedrag. Hij mag daarbij geen uitlokking plegen, bijvoorbeeld door te vragen om levering van iets dat niet normaal in het assortiment zit omdat het in Nederland illegaal is dat te verkopen. Maar stel een webshop verkoopt verboden vuurwerk, dan mag de ambtenaar dat met een nepnaam bestellen om zo vast te stellen dát er verboden vuurwerk wordt verkocht. Op zich vind ik dit niet heel spannend.

Interessanter vind ik de nieuwe noodmaatregelen – want ze gelden alleen als laatste redmiddel – om handhaving van het consumentenrecht mogelijk te maken. Er worden drie maatregelen voorgesteld:

  1. Aanbieders van internetdiensten verplichten een bepaalde waarschuwing te tonen. Dit gaat volgens mij primair over sites als Marktplaats en andere handelsplatforms waar malafide partijen opduiken, niet op internetproviders die je netwerkverkeer moeten manipuleren om malafide shops herkenbaar te maken.
  2. Aanbieders verplichten bepaalde content niet te tonen of functionaliteit ontoegankelijk te maken. Dit is natuurlijk de volgende stap wanneer een waarschuwing niet effectief blijkt.
  3. Domeinregistries zoals SDIN verplichten een domeinnaam buiten gebruik te stellen of op naam van de ACM te zetten (inbeslagname). Dat is natuurlijk al helemaal het grof geschut.

De ACM mag deze bevoegdheden niet uitoefenen tenzij alle andere middelen geen doel treffen én als de rechter-commissaris in Rotterdam er een machtiging voor gegeven heeft. Dat is nog een opmerkelijke, want de R-C gaat over strafrecht en de ACM opereert als onafhankelijke toezichthouder onder het bestuursrecht. En die twee hebben weinig met elkaar te maken, het bestuursrecht is vele malen lomper en krachtiger dan het strafrecht. Ik ben benieuwd hoe dat uit gaat pakken.

Wat vinden jullie? Logisch idee gezien de markt, of zwaar overtrokken maatregelen?

Arnoud

Hoe kan WhatsApp alle Duitse klanten uitzonderen van haar Facebookkoppeling?

whatsappFacebook moet WhatsApp-data wissen van Duitse privacywaakhond, meldde Tweakers vorige week. De privacytoezichthouder van de deelstaat Hamburg (waar Facebook gevestigd is) heeft bepaald dat de recente Facebook/Whatsapp-koppeling in strijd is met de Duitse Wet bescherming persoonsgegevens. Facebook mag nu geen gegevens van Duitse WhatsApp-gebruikers meer hebben. Maar hoe kan Facebook dat doen, vroegen diverse mensen me.

De reden voor het Duitse stakingsbevel is dat WhatsApp nooit vooraf heeft gevraagd of zij gegevens aan andere bedrijven mag geven. Zoiets mag alleen met toestemming, ook als het gaat om je nieuwe moederbedrijf. En die toestemming heeft WhatsApp noch Facebook geregeld. Dat is dus gewoon een overtreding van de privacywet, de Wbp.

(Facebook kletst dan ook uit haar nek in haar persbericht dat zij zich zou houden aan Europese privacywetgeving. Allereerst omdat die er niet is – de Richtlijn is geen wet maar een instructie om wetten te máken. En ten tweede omdat in heel Europa die wetten hetzelfde zijn, en de Duitse interpretatie correct is.)

Maar goed, stel dat WhatsApp zegt, prima, we houden ons hieraan, we blokkeren dit voor Duitsers. Hoe moet dat dan? Want er is geen paspoortcontrole als je WhatsApp neemt, dus hoe weten zij dan welke accounts Duits zijn?

Er zijn natuurlijk diverse benaderingen te verzinnen. Accounts met Duitse telefoonnummers (kengetal +49) zullen vermoedelijk aan personen uit Duitsland behoren. Je kunt een landinstelling doen via je account. De taalinstelling zegt misschien ook iets (hoewel Oostenrijk en Zwitserland, en wellicht België, daar anders over zullen denken). Wellicht logt WhatsApp de landen waar je bent, het land waar je 90% van de tijd bent zal dan wel ‘jouw’ land zijn. Een optelsom van een aantal van die factoren zou voor mij een prima manier zijn. Maar toegegeven, 100% zekerheid heb je niet.

Is dat een probleem? Voor de wet niet. Wetten bepalen zelden hoe je dingen moeten doen, ze zeggen wat het gewenste eindresultaat is en verlangen van jou dat je dat doet of uitlegt waarom dat niet kan. En de lat bij dat laatste ligt hoog. In het algemeen moet je alles doen dat je redelijkerwijs kan om aan zo’n bevel te voldoen.

Honderd procent zekerheid wordt niet verlangd, en het is dus geen argument dat je die niet kunt geven. Laat maar zien wat je wél kunt doen en hoe goed dat resultaat is.

Arnoud

Wat is beter voor open source: rechtszaken of praten?

gpl-sans-plombeOh oh, Linus Torvalds in de bocht in een discussie bij de Linuxfoundation over GPL handhaving. Dan weet je het wel. De stelling was: “we can all decide to give up on the GPL, or we can enforce it in Courts.” Torvalds, zeer karakteristiek: “this arguing for lawyering has become a nasty festering disease, and the SFC and Bradley Kuhn has been the Typhoid Mary spreading the disease.” De juristerij als builenpest, oké dan. Heeft hij een bult, eh punt?

Handhaving van de GPL bij de rechter komt zelden voor. Afgezien van een paar simpele kortgedingzaken in Duitsland is er niemand die daarover echt procedeert. Daardoor ontstaat er enige onzekerheid in de markt: hoe ver gaat die GPL nou, wat mag er wel of niet. Maar het omgekeerde komt ook voor: geen rechtszaken, dan geloof ik het wel en ga ik gewoon doen wat ik wil totdat ze piepen.

Dat piepen, dat gebeurt regelmatig. De Linux-mensen, maar ook vele anderen, steken een hoop energie in het aanspreken van bedrijven en instellingen die de GPL niet netjes naleven. Informeel en achter de schermen, joh er gaat iets niet helemaal lekker, mag ik je een tip geven? En vrijwel altijd heeft dat effect, zij het dat het enige tijd kan duren. (Ik spreek uit persoonlijke ervaring vanaf de ‘andere kant’ van die tips.)

Zie je een overtreding van de GPL op jouw code, dan kún je natuurlijk ook een blafbrief sturen en daarna naar de rechter. Dat heeft nog niemand gedaan, mogelijk vanwege de kosten en het gedoe. Ook de onbekende status van de GPL speelt een rol – ga je wel winnen, zegt de rechter niet bijvoorbeeld iets doms straks over afgeleide werken waarmee de GPL tandeloos zou worden.

Torvalds:

But quite apart from the risk of loss in a court, there real risk is something that happens whether you win or lose, and in fact whether you go to court or just threaten: the loss of community, and in particular exactly the kind of community that can (and does) help. You lose your friends.

En dat is natuurlijk waar. Als je iemand aanklaagt, verstoor je de relatie. Want welk bedrijf je ook dagvaardt, de reactie zal eigenlijk altijd hetzelfde zijn: de luiken gaan dicht, een externe advocaat doet de correspondentie en alle banden met het OSS-project in kwestie gaan de ijskast in want alles kan tegen je worden gebruikt. Van zo’n klap herstel je niet makkelijk. En als je dat als community doet, loop je ook de kans dat ánderen gaan denken, die club daar moeten we van wegblijven want die klagen je aan, raar spul dat open source. Dus het is zeker niet gezegd dat het een goede move is.

Natuurlijk, het gevolg van de Linus-aanpak is wel dat sommige gebruikers wegkomen met licentieschendingen. Dat voelt oneerlijk; doe jij veel moeite netjes compliant te zijn, gaat je buurman je de pas afsnijden met in feite gejatte code. En dan zegt die Torvalds “heb geduld, we spreken ze nog wel een keer en over een jaar of twee draaien ze vast bij”. Logisch dat je daar juridisch van gaat dreigen. Maar dan kom ik weer bij het juridische punt: hoe groot acht je de kans dat je gaat winnen, en wat heeft jouw rechtszaak dan voor gevolgen voor de community?

Arnoud

Gastpost: Cameratoezicht goed bekeken

dome-camera.jpgOmdat ik met vakantie ben deze week een aantal bijdragen van vaste bezoekers. Vandaag IT-er Sander van Loosbroek over cameratoezicht vandaag de dag.

Het gebruik van beveiligingscamera’s door onze overheid is aan duidelijke regels gebonden. Voor burgers zijn er striktere regels van toepassing maar een gebrek aan kennis over de technische mogelijkheden van camera’s bij de wetgever en een evenzo groot gebrek aan toezicht op het naleven van de regels verklaren de bespioneerde burger vogelvrij. De alsmaar dalende prijs van deze camera’s maken ze toegankelijk voor iedereen en met dit artikel wil ik toelichten wat een burger volgens de wetgever wel en niet mag met een beveiligingscamera en hoe daar in de praktijk (niet) mee wordt omgegaan.

Beveiligingscamera’s inzetten op of rondom de werkplek mag, maar moet voldoen aan de criteria zoals vastgelegd in de Wet bescherming persoonsgegevens. Daarin staat onder andere dat de werkgever moet kunnen beargumenteren waarom het bedrijfsbelang zwaarder weegt dan de privacy van de medewerkers, dat het gebruik van camera’s aan medewerkers duidelijk kenbaar moet worden gemaakt en dat het filmen van de openbare ruimte niet is toegestaan.

Dat kenbaar maken wordt lastig als er sprake is van diefstal en je de dader middels beelden op heterdaad wil vastleggen. De wet biedt daar een uitzondering voor maar helaas gaat deze uitzondering gepaard met een meldplicht aan het College Bescherming Persoonsgegevens waarvan de werkgever over het algemeen is gevrijwaard zolang hij voldoet aan de voorwaarden in artikel 38 van de Wet Vrijstellingsbesluit Wbp. Daarin staat ook dat beelden na een maand moeten worden vernietigd en dat alleen directe leidinggevenden toegang mogen hebben tot de beelden. Bent u er nog?

De praktijk ziet er anders uit. Bedrijven filmen dat het lieve lust is en cameratoezicht op personeel en klanten wordt verondersteld in plaats van kenbaar gemaakt. Het CBP is belast met de handhaving van de Wbp en in hun beleidsregels van 17 januari 2011 is een prioriteitenlijst opgenomen waarin het toezicht op cameratoezicht niet te vinden is. Geen wonder dus dat u nog nooit een ambtenaar van het CBP heeft gezien die een camera inspecteerde. Het houden van toezicht op het naleven van de Wbp is dus geen taak van de politie, die maakt echter wel dankbaar gebruik van de aan hun toegekende bevoegdheid in de Wbp om beelden op te vragen van camera’s van burgers in het kader van onderzoek, ook als die camera’s “per ongeluk” de openbare ruimte filmen.

Privacyschending als gevolg van cameratoezicht levert vooralsnog alleen problemen op voor burgers c.q. werknemers. Deze laatste groep is zich er onvoldoende van bewust dat camera’s niet mogen worden gebruikt om ze aan te spreken of te beoordelen op hun functioneren. Op afstand toezicht houden of iedereen op tijd komt mag dus niet. De dalende prijs van camera’s zorgt er verder voor dat iedereen een camera aan de gevel kan hangen en daarmee de privacy van passerende burgers verder aantast. Dit leidt tot steeds meer zaken waar ook sommige rechters zich geen raad mee weten. Recentelijk verscheen op dit weblog een artikel waar het raam van de buren werd gefilmd omdat daar weleens inbrekers langs zouden kunnen lopen. De rechter stond dit toe terwijl IP camera’s tegenwoordig allerhande functionaliteit bieden waarmee een deel van het beeld altijd onherkenbaar wordt vastgelegd. Had de rechter dit geëist dan was iedereen blij geweest.

Is het tijd voor een herziening van de Wbp waarin de werkelijkheid van het filmen van de openbare order door burgers beter gereguleerd wordt of moet het CBP de privacy van burgers serieus gaan nemen en cameratoezicht tot prioriteit verheffen. Reguleren of handhaven dus, wat zien jullie graag dat het CBP doet?

Sander van Loosbroek is een freelance IT consultant en volgt momenteel een MBA opleiding aan de Nyenrode Business Universiteit. Zijn IT interesses gaan uit naar infrastructuur en beveiliging en in het bijzonder de juridische implicaties van de door zijn klanten gevraagde IT oplossingen. Hij houdt een weblog bij van losse hobbyprojecten en schrijft momenteel een scriptie over de mogelijke toepassingen van Bitcoin technologie in bestaande financiële transactieplatformen.