ACM legt last onder dwangsom van 100.000 euro op aan webshop die neplikes kocht

De Autoriteit Consument en Markt heeft een voorwaardelijke boete van 100.000 opgelegd aan een webwinkel die neplikes gebruikte op sociale media, las ik bij Tweakers. De webshop is het bedrijf van influencer Mo Bicep, die neplikes en nepvolgers gebruikt om zichzelf op Instagram populairder te laten lijken dan hij daadwerkelijk is. Dit is volgens de wet alleen een oneerlijke handelspraktijk. Bicep moet deze neplikes en volgers verwijderen.

Het bedrijf van Mo, dat Bicep Papa heet, verkoopt voedingssupplementen en aanverwante producten via de website biceppapa.nl en maakt reclame via social media. Volgens het onderzoek van de ACM heeft Bicep Papa over de periode september 2018 tot en met augustus 2020 98.000 volgers en 27.000 likes gekocht. Deze volgers en likes zijn nep, omdat ze niet van echte consumenten afkomstig zijn.

Het voelt natuurlijk niet goed, dat je likes of volgers zou kopen. Het hele punt van vindikleukjes is dat het een weergave is van wat mensen van je product of bedrijf vinden. Idem voor volgers: dat zijn mensen die wat over jou willen weten. Maar goed, zo werkt het natuurlijk al een hele tijd niet meer. Zo ver zelfs dat het voor hele groepen mensen doodnormaal is dat je volgers of likes koopt.

De ACM trekt nu hard aan de bel, in wat hopelijk een wake-up call moet zijn voor influencers en iedereen die oneigenlijk hard wil groeien (de grap over voedingssupplementen en spieren kweken mag u zelf maken). Ik dacht zelf dat ze zouden gaan zitten op het “zich op bedrieglijke wijze voordoen als consument” (art. 6:193g sub v BW) maar dat gaat over zelf geschreven testimonials. Hier is wat anders aan de hand:

Het is verboden om informatie te verspreiden die feitelijk onjuist is of die de gemiddelde consument misleidt of kan misleiden, onder andere ten aanzien van een verklaring of een symbool in verband met directe of indirecte sponsoring of erkenning van (de producten van) Bicep Papa. Ook is het verboden om misleidende informatie te verspreiden over de hoedanigheid en kenmerken van Bicep Papa of zijn tussenpersoon zoals zijn status, erkenning of connecties. Dit zijn overtredingen van artikel 8:8 Whc in samenhang met artikel 6:193c, eerste lid, onder c en f, BW.

Je mag immers mensen niet misleiden door onjuiste informatie te verstrekken over

de hoedanigheid, kenmerken en rechten van de handelaar of zijn tussenpersoon, zoals zijn identiteit, vermogen, kwalificaties, status, erkenning, affiliatie, connecties, industriële, commerciële of eigendomsrechten of zijn prijzen, bekroningen en onderscheidingen;

De ACM zet hier dus een like of aantal volgers gelijk aan een “status, erkenning of connecties”, wat ik een hele mooie lezing van de wet vindt.

Arnoud

Embedden van Instagram-foto’s is in Europa legaal, ongeacht wat dat bedrijf beweert

Instagram zegt dat foto’s die via een embed op sites worden geplaatst niet automatisch voldoen aan het auteursrecht. Dat meldde Tweakers afgelopen weekend. De embed-api valt niet onder de sublicenties die het bedrijf afgeeft voor het rechtmatig delen van foto’s, aldus moederbedrijf Facebook. Dat gaf enige consternatie want hele hordes mensen gebruiken die embedfunctie om foto’s te kunnen tonen op hun site, en dat zou dus nu ineens inbreuk op het auteursrecht van de fotograaf (meestal de Instagram-plaatser) zijn die dan dus een factuur kan sturen. Maar laten we even helder blijven: in Europa is dit een betekenisloze uitspraak van Facebook, aangezien embedden gewoon in het geheel geen inbreuk is. Kan me niet schelen wat Facebook of de TOS van Instagram zegt.

De discussie werd aangezwengeld door Ars Technica in het verlengde van een rechtszaak tussen een fotograaf op Instagram en een gebruiker van een van diens foto’s. Die laatste had eerst toestemming gevraagd om de foto te mogen herplaatsen, en toen die werd geweigerd dan de foto maar geëmbed met de daarvoor beschikbaar gestelde functie van Instagram. De fotograaf was not amused en stapte naar de rechter.

Nou dacht de gebruiker goed te zitten, maar dat viel dus vies tegen. Allereerst had hij in de terms of service van Instagram gelezen dat fotografen die daar foto’s neerzetten, een sublicentieerbare licentie verlenen door dat te doen. Oftewel, Instagram mag anderen toestemming geven om die foto te hergebruiken – en dat omvat dus ook het laten embedden van de foto. En ten tweede had in april een rechter bevestigd dit is hoe de TOS werkt.

De rechtbank waar zijn zaak diende, dacht er echter anders over: dat staat helemaal niet zo letterlijk in die TOS, dus geen onmiddellijke afwijzing van de claim (summary judgment). Dat was even schrikken, vandaar dat Ars Technica het navroeg. En wat zegt Instagram (of eigenlijk haar overlord Facebook) dan:

“While our terms allow us to grant a sub-license, we do not grant one for our embeds API,” a Facebook company spokesperson told Ars in a Thursday email. “Our platform policies require third parties to have the necessary rights from applicable rights holders. This includes ensuring they have a license to share this content, if a license is required by law.”

Met deze achtergrond is het natuurlijk een stuk lastiger om vol te houden dat er sublicenties zijn verleend. (Voor de fijnproevers, er staat sublicenseable in de TOS, oftewel Instagram mág sublicenties uitdelen aan bijvoorbeeld embedders. Maar dat hebben ze dus niet gedáán, tenzij je zegt, door die functie te maken ging je stilzwijgend akkoord met een sublicentie voor die context. En dat is dus lastig als Instagram hardop zegt dat men dat niet ging.

Afijn. Ook Europese embedders van Instagram-content maken zich nu zorgen. Dat is geheel ten onrechte: embedden van legaal gepubliceerde foto’s is volstrekt legaal want geheel geen inbreuk op het auteursrecht. Dat volgt uit de Svensson- en Bestwater-zaken die het Hof van Justitie een paar jaar terug wees. (Bij onrechtmatige bronpublicaties ligt dat wellicht anders, dankzij het Geenstijl-arrest). Die zegt gewoon keihard dat je mag linken en mag framen oftewel embedden.

Een discussiepuntje dat ik laatst in een Nederlandse zaak zag, is of het dan uitmaakt of je nog kunt zien dat er wordt geëmbed. Dat is niet perse het geval (helemaal niet bij wat vroeger inline linken heette), en die rechter bepaalde dus dat daarom embedden/inline linken wél inbreuk was. Dat is dus onjuist. In de woorden van het Svensson arrest:

Deze vaststelling wordt niet op losse schroeven gezet indien de verwijzende rechter zou vaststellen – hetgeen niet duidelijk blijkt uit het dossier – dat wanneer de internetgebruikers op de betrokken link klikken, het werk verschijnt en daarbij de indruk wordt gewekt dat het wordt getoond op de website waar de link zich bevindt, terwijl dit werk in werkelijkheid afkomstig is van een andere website.

Het maakt dus geen ene bal uit of je kunt zien of de foto van Instagram is geëmbed of dat het 100% lijkt of je hem hebt gekopieerd. Als je feitelijk de foto laat oproepen vanaf een Instagram-server, dan is het legaal.

Arnoud

Wat doen we met zijn profiel na overlijden? Facebook, Twitter en de digitale erfenis

Hoe ga je om met de berichten en foto’s van een dierbare na diens overlijden? Met die vraag opende de Volkskrant vorige week vrijdag. Sociale media gaan steeds vaker fungeren als online begraafplaatsen, je digitale nalatenschap. De journalist ging op onderzoek uit naar de vragen die dat oproept, waaronder dus juridische vragen en ik kreeg een klein beetje gekromde tenen van sommige antwoorden.

“Van wie zijn je berichten en foto’s nadat je overlijdt”, zo begint het eerste kopje bijvoorbeeld. Een redelijke clichévraag met volgens mij een bekend antwoord: van niemand, want data bestaat juridisch niet. Facebook is een butler met een ijzeren geheugen, en als de butler ontslag neemt krijg je nooit meer die mooie verhalen van wat opa allemaal uithaalde. Alleen dan met foto’s. Het is dus niet zo dat Facebook zich eigenaar maakt van je foto’s: het is gewoon data, en data gaat weg als de hostende partij dat wil. Of toegang ertoe gaat geld kosten. Juridisch niet raar, wel vervelend als je moet betalen om de foto’s van je ouders in de lucht te houden.

Een hele creatieve vond ik nog om alle chats en dergelijke van de overledene door een machine learning algoritme te halen, om zo een chatbot te maken die klinkt als die persoon. Technisch best een heel eind mogelijk, en die datasets kun je via de AVG te pakken krijgen (net als een kopie van de foto’s trouwens) dus zeker te doen. Maar toch zou ik het nogal raar vinden als mensen dat met mijn blogs gingen doen (postmortem.iusmentis.com, eh nee).

Ik zou niet weten wat ik juridisch daartegen zou kunnen doen. Met name omdat ik dan dood ben natuurlijk, maar er is ook niet echt een juridische remedie. Auteursrechtinbreuk is het volgens mij niet om teksten door zo’n learning algoritme te halen. En mijn privacy – mijn blogs zijn persoonsgegevens – houdt op bij overlijden: de AVG geldt alleen voor levende mensen, niet voor overledenen.

Voor accounts geldt overigens hetzelfde als voor data: je kunt niet zeggen dat die van iemand zijn, want het zijn slechts toegangskaartjes tot die butler. Het beheer van een account en wie er in mag, is dus niet een kwestie van “het is mijn account” of “ik heb het geërfd, laat me erin”. Het is een kwestie van afspreken, en de wet zegt niets over wat er in die afspraken mag staan. Er is van alles te verzinnen – zoals een specifieke machtiging voor je executeur via de notaris – maar praktisch gezien is het wachtwoord in een envelop ergens veilig bewaren een stuk handiger.

Arnoud

Jatten werkt: Instagram verplettert Snapchat met zijn Stories

Een jaar geleden kopieerde Instagram de belangrijkste functie van Snapchat: de verdwijnende fotoverhalen, genaamd Stories. En met succes, las ik bij RTL Z. Beter goed gejat dan slecht bedacht, leken ze bij Instagram te hebben gedacht. En ja, dat is volkomen legaal, zo een feature overnemen van een concurrerende dienst. Er is weinig tot niets te doen aan het ‘jatten’ van ideeën of concepten voor je nieuwe internetdienst.

Ongeveer wekelijks krijg ik van mensen vragen hoe ze hun idee kunnen vastleggen, of voorkomen dat een ander hun concept gaat overnemen en tot een groter succes gaat maken. Het korte antwoord: vergeet het maar, juridisch gezien is er niets aan te doen.

Natuurlijk zijn er juridische rechten, zoals het auteursrecht, merkenrecht of octrooirecht. Maar die gaan je weinig helpen. Een merkrecht helpt je alleen tegen gebruik van de náám van je dienst. Kwestie dus van andere naam verzinnen. Ook het auteursrecht zal niet helpen, want dat beschermt tegen overname van de broncode van je software, en die kan je concurrent toch al niet te pakken krijgen.

Patenten oftewel octrooien zijn het aangewezen middel om features van een product te beschermen, ook als ze geheel onafhankelijk zijn gebouwd en onder eigen naam op de markt komen. Maar specifiek in de ICT sector is ook dat erg moeilijk. Ik hoef maar ‘softwarepatent’ te zeggen en de halve sector begint te schuimbekken, en met reden want er zijn me een partij idiote patenten verleend op totale trivialiteiten, volslagen bekende ideeën en ga zo maar door. Dat kon ook allemaal door steeds ruimere jurisprudentie, met name in de VS.

Recent lijkt daar een kentering in te zijn gekomen door het Alice-arrest uit 2014, waarin grofweg werd gezegd dat bekende dingen automatiseren niet patenteerbaar is en dat je voor een uitvinding toch echt een stukje technische, hardwarematige verbetering nodig hebt. 99% van de lopende softwarepatenten voldoet daar niet aan. Langzaam maar zeker begint het softwarepatent dan ook ten onder te gaan.

Praktisch gezien zie ik dan ook weinig tot niets dat je kunt doen tegen zulk ‘jatwerk’ van je concurrenten. Ja, één ding: zorgen dat je steeds blijft innoveren, zodat men altijd twee features achterloopt. Ergens wel grappig, want het is dus juist het gebrek aan patenten in deze wereld dat zorgt voor de innovatie.

Arnoud

Privacyprogramma AVROTROS offline gehaald vanwege privacyschending

fail-faal-it-project-altijd-kat.jpgJaja, dat is hilarisch: het AVROTROS-programma De Privacytest, dat vorige week maandagavond werd uitgezonden op NPO 3, blijkt zelf de privacy van nietsvermoedende Instagram-gebruikers te hebben geschonden. Men wilde met een quiz aandacht vragen voor onverwachte privacykwesties, en daarbij werden foto’s van rijbewijzen en sleutels van Instagram geplukt om het punt te maken dat die makkelijk op Instagram staan. Maar eh ja, dan zet je wel iemands privé op teevee. Mag dat?

Het spreekt voor zich dat het op zijn zachtst gezegd niet handig is om je rijbewijs of identiteitskaart op internet te zetten. Zeker niet als je je bsn erin laat staan. (Over een foto van je creditcard op internet zetten heb ik het al helemaal niet.) Dus aandacht vragen daarvoor – doe het niet, in vredesnaam doe het niet – dat zie ik wel.

Ook bij sleutels (“Eindelijk, mijn nieuwe huis! #sleuteloverdracht”) speelt dat, en dat is nóg belangrijker want weinig mensen beseffen dat je een sleutel van zo’n foto kunt namaken met een 3D printer.

Mag je dan als televisieprogramma een paar voorbeelden laten zien? Ik meen van wel: het punt “dit komt vaak voor” is niet goed te maken als je vervolgens zegt “ik heb er alleen geen beeld van”. Dus ik denk dat auteursrechtelijk het wel goed zit met die foto’s. De bron had misschien wel moeten worden genoemd, maar in combinatie met de privacyschending is dat misschien niet zo handig. “Bron bij de redactie bekend” zou dan beter zijn, of “Bron ivm privacy verborgen”.

Wel hadden die foto’s natuurlijk geblurd moeten zijn vanwege de privacy. Het punt blijft dan duidelijk, dit is eenvoudig te vinden. Maar je hoeft dan niet dubbelop de privacy nog eens te schenden.

Arnoud

Ook Instagram moet zich aan het Lycos/Pessers-arrest houden

naam-handelsnaamDe rechtbank Noord-Holland heeft bepaald dat Instagram de naw-gegevens en het ip-adres van een account moet vrijgeven, meldde Tweakers. De moeder van een minderjarig kind eiste deze gegevens op, omdat het desbetreffende account pornografisch materiaal met de bijnaam van haar dochter verspreidde. Het verweer van Instagram was klassiek: we zijn een neutrale tussenpersoon en niet aansprakelijk, plus afgifte mag niet van onze community richtlijnen. Maar dat kun je dus echt vergeten.

Uit eerdere berichtgeving maak ik op dat dit account geen geïsoleerd incident of toeval was. De scholiere werd al tijden door een groep jongeren gepest, en daarbij was een scheldnaam voor haar gebruikt als naam van het Instagram-account. Bovendien werd bij de foto’s gesuggereerd dat ze van haar zouden zijn.

Reden genoeg om eens bij Instagram aan te kloppen, zou je zeggen. Want de bekende belangenafweging onder Lycos/Pessers vereist immers dat er een duidelijk vermoeden is van onrechtmatig handelen, en daarvan lijkt hier wel sprake.

Het vonnis zelf is nog niet online, maar het persbericht van Rechtspraak al wel. En daaruit maak ik op dat de toets impliciet werd afgelopen, en dat de rechtbank er vrij snel klaar mee was. Wel leuk om te lezen dat net als Facebook Instagram ook haar community richtlijnen om de oren krijgt: je zou abuse bestrijden, dit is bestrijden, dus doe het. Einde oefening, afgeven persoonsgegevens.

En ik blijf zitten met het gevoel dat als de VS vanaf dag 1 had gezegd, neutraal platform oké maar wel NAW afgeven, we nooit deze discussies hadden gehad. Want de hele wereld is Californië en alles dat afwijkt daarvan is eigenlijk maar raar.

Arnoud

Onder de 16 geen Facebook, geen Twitter, geen Instagram?

kinderen-oppassen-bord-verkeersbord-waarschuwing.pngWie jonger is dan 16 jaar, mag zonder toestemming van zijn ouders geen sociale media gebruiken, meldde het AD maandag. De nieuwe Privacyverordening stelt strenge regels over persoonsgegevens van minderjarigen, en als gevolg daarvan mogen die straks (2018) niet meer op sociale media. Alleen, hoe is dat nieuws?

Het AD denkt van wel, want: “[t]ot op vandaag bestaat er geen aparte wet over de leeftijd waarop je als kind een account mag hebben op sociale media zoals Facebook, Twitter of Instagram.” Maar dat klopt eenvoudigweg niet. Al sinds 2001 bestaat er een wet, namelijk de Wet bescherming persoonsgegevens die precies dat zegt. (Ja, of ze bedoelen dat er geen Wet op de Sociale Media is die letterlijk wat over accounts zegt. Maar, eh, kom nou.)

De Wbp regelt in het algemeen hoe om te gaan met persoonsgegevens, en in artikel 5 staat dat bij personen onder de 16 toestemming van hun ouders nodig is om die gegevens te mogen gebruiken. Om een of andere reden is dat een gekke regel die periodiek nieuws is: in 2007 bleken Hyves en Sugababes illegaal, en sindsdien zie ik het bij elk nieuw social netwerk weer opduiken als nieuwtje. Maar goed, dat zal aan mij liggen.

De Verordening verruimt eigenlijk juist de mogelijkheden. Lidstaten mogen een lagere grens instellen dan zestien, mits die grens maar minimaal dertien is. Een grens die wij overigens niet hebben, wederom in tegenstelling tot wat het AD schrijft. Toegegeven, de regel wordt totaal niet gehandhaafd dus als je wilt spreken van gedoogbeleid dan is dat prima, maar het stáát nergens.

Arnoud

Wanneer is auteursrechtinbreuk kunst?

instagram-kopie-richard-princeKunstenaar Richard Prince verdiende tonnen met het uitprinten en in een galerij ophangen van Instagram-foto’s van andere mensen, meldde Boing Boing vorige week. Geen kritisch commentaar of sterk bewerkte eigen creatieve interpretaties van het banale van de vluchtige online maatschappij, nee gewoon een printout op groot formaat (wel op stevig karton, zo te zien). Dus eh, hoezo is dat dan legaal? Nou ja, kennelijk omdat het kunst is.

Dit is niet de eerste keer dat meneer Prince zoiets doet, en ook niet de eerste keer dat een rechtbank verklaart dat het legaal is. Al sinds de jaren zeventig presenteert hij kopieën (schilderijen) van eerder gemaakte foto’s als kunst, hoewel menig fotograaf dat als een auteursrechtschending zag.

Onder Amerikaans auteursrecht is bij zoiets de vraag of sprake is van “fair use”. Daarbij was een belangrijke vraag of Prince op een of andere manier wilde reageren op die foto’s of er commentaar op wilde geven – ongeveer zoals wij zouden beoordelen of iets een geldig citaat is. Maar dat was totaal niet zijn punt: hij had in het geheel geen mening over het eerdere werk, of zelfs maar een boodschap met zijn werk. Kunst is gewoon kunst, zoiets.

De Amerikaanse rechter gaf Prince gelijk: fair use onder Amerikaans recht vereist niet perse dat je commentaar levert op het werk waar je gebruik van maakt. Bij ons geldt die eis ook niet altijd, maar je komt wel in een grijs gebied als je een werk citeert voor een doel dat niets te maken heeft met het werk waaruit je citeert. Het wordt dan al snel een versiering, en versiering is het tegenovergestelde van een citaat.

Maar eh, ja, het zou kunnen, een argument dat dit een geldig citaat is omdat het Kunst is wat hier wordt vertoond. Net zoals het urinoir van Duchamp dat kunst was, ook al ging het om een bestaand gebruiksvoorwerp. Alleen vraag ik me serieus af wat de boodschap is van deze Instagramgalerij. Oh wacht, dát is natuurlijk kunst. Hmm.

Arnoud

Amerikaanse politie mag nepaccounts op Instagram gebruiken, onze politie ook?

politie-bordje-logo-aangifte-bureau.jpgDe Amerikaanse politie mag nepaccounts op Instagram aanmaken en hiermee vrienden worden met verdachten, las ik bij Nu.nl. Zo kon men foto’s verkrijgen die bewijs leverden van een wetsovertreding zonder dat een bevelschrift nodig was. Een Amerikaanse rechter achtte dat legaal. Hoe zou dat bij ons gaan?

In Nederland mogen politieagenten minder dan gewone burgers. Althans, ze moeten altijd uit de wet kunnen halen dat ze iets wél mogen, terwijl gewone burgers alleen hoeven te kijken of ze iets níet mogen. Het idee is dat je zo misbruik van bevoegdheden voorkomt. Hoofdregel is: een agent mag het alleen als het in de wet staat, tenzij het gaat om iets met slechts geringe inbreuk op de burgerrechten. Op straat rondkijken is nou niet echt een stevige inbreuk op de privacy, dus dat is zonder specifieke wettelijke grondslag toegestaan aan de politie. Eenmalig in Google Earth kijken ook niet.

Bij ons is geen gerechtelijk bevel nodig om politieagenten videobeelden of foto’s te vorderen. De wet (art. 126nd Strafvordering) eist slechts een bevel van de officier van justitie, niet van de rechter-commissaris. Tenzij je de strenge lijn van de Hoge Raad volgt die zegt dat camerabeelden ‘bijzondere’ persoonsgegevens zijn, dan is een bevel rechter-commissaris nodig.

Alleen, dat gaat eigenlijk over het vorderen van gegevens die niet zomaar te pakken zijn. Bij Instagram en andere sociale media gaat het om openbare bronnen, waar in principe iedereen mag kijken, dus ook de politie. Net zoals ze op straat mogen lopen en observeren wat daar te observeren valt. Ik denk dan ook niet dat er iets nodig is om een agent openbare Instagram-foto’s of een publieke Twitterfeed te laten bekijken. Oké, iemand op Twitter volgen is nog soort van spannend omdat je dan structureel iemands online gangen nagaat. Maar één keer kijken, nee.

Zit een en ander afgeschermd, dan wordt het lastiger. Er is dan bijvoorbeeld artikel 126m Strafvordering, dat regelt wanneer de politie “niet voor het publiek bestemde communicatie die plaatsvindt met gebruikmaking van de diensten van een aanbieder van een communicatiedienst” mag opnemen. En dat artikel vereist wél een machtiging van de rechter-commissaris. Hoewel ook dit artikel niet geschreven is voor sociale media maar voor bijvoorbeeld afluisteren van telefonie, is goed verdedigbaar dat het ook hier opgaat want een afgeschermde Twitterfeed is ook “niet voor het publiek bestemd”. Maar het gaat me wat ver om dat al te laten gelden wanneer de afscherming enkel is dat je lid moet zijn van de dienst, zonder nadere toegang te vragen aan de verdachte. Iedereen mag op Instagram, dus als een politieagent toevallig ingelogd is en dan de foto’s kan zien dan vind ik dat nog wel “voor het publiek bestemd”.

Maar in deze Amerikaanse zaak ging om het aanmaken van nepaccounts, om zo vrienden te worden met de verdachte en zijn foto’s te kunnen inzien. Dan ga je nóg weer een stapje verder, je doet je dan voor als een ander dan je bent. Dat kun je “stelselmatig informatie inwinnen” (art. art. 126j Rv, Oerlemans & Koops). Er moet dan sprake zijn van een misdrijf maar toestemming van de rechter-commissaris is niet nodig.

Tenzij je hier zegt, het was eenmalig en even kort kijken. Dan zou je het, net als dat Google-Earthverhaal, kunnen rechtvaardigen als “slechts geringe inbreuk op de burgerrechten”. Daar valt wat voor te zeggen, immers hij heeft je zelf toegelaten terwijl hij niet wist wie je was, dus heel erg privé vond hij het allemaal niet. Of heb je dan toch iemand misleid dan wel omgepraat?

Arnoud