Internetrecht door Arnoud Engelfriet

Buurjongen schiet de drone uit de lucht. Dat zie je niet vaak in een vonnis, dat er wordt geschoten in Nederland. Maar in deze privacyzaak wel: de drone-eigenaar vloog met een drone met camera boven de tuin van de buren, waarop de buurjongen zich zó in zijn privacy aangetast voelde dat hij met een luchtbuks vanuit het raam van zijn ouderlijke woning op de drone geschoten heeft – en deze geraakt had ook. Drone stuk. Wie is nu waar voor aansprakelijk?

De zaak werd in twee delen beslist. Allereerst lag daar de kwestie of de drone-eigenaar wel mocht vliegen waar hij vloog. Het kan voor aansprakelijkheid nogal uitmaken of het slachtoffer zelf binnen de wet bleef of niet, immers. In dit geval ging het om een relatief kleine drone die binnen het zicht van de vliegenier bleef, en binnen de 300 meter vanaf de grond. Daar zijn verder dan geen specifieke regels voor over waar je dan mag vliegen. Ook is nergens expliciet vastgelegd of je met een drone-camera mag vliegen.

Dat wil echter niet zeggen dat het dan dus mag. Privacy is immers een grondrecht, dat dus ook geschonden kan worden met handelingen die op zich wettelijk toegestaan zijn. Het komt altijd neer op een afweging van belangen. Hier begint het dan met dat het ging om vrijstaande woningen op ruime percelen in een landelijke omgeving, waardoor je je thuis een stuk vrijer zou voelen dan in een kamertje in een pijpenla drie hoog achter.

Het vliegen met een drone, zodanig dat een aan de drone bevestigde camera beelden kan maken van hetgeen zich in de woning van [gedaagde] afspeelt levert een ongerechtvaardigde schending op van de persoonlijke levenssfeer. In de privésfeer van de eigen woning mag de bewoner absolute eerbiediging van zijn privacy verwachten. Voor een inbreuk daarop is geen rechtvaardiging aangevoerd. Ook indien de camera niet ‘aan’ staat en dus feitelijk geen beelden vastlegt, brengt het enkele gegeven dat de camera aanwezig is en dat onzeker is of deze in werking is, in werking zal worden gesteld, of ‘uit’ blijft een inbreuk op. De onzekerheid zorgt voor een gevoel van onvrijheid waarvan men in de eigen woning gevrijwaard behoort te blijven.

Dat over de uit-staande camera betrof een verweer van de drone-eigenaar: hij zou wel hebben gevlogen daar maar zonder camera aan. Maar dat is dus geen argument, want het gaat er uiteindelijk om of je je geschonden voelt of niet. Daarmee was de kwestie van de privacy-inbreuk dus gegeven: nee, de buurman mocht daar niet vliegen (tussenvonnis).

Vervolgens de schade in het eindvonnis. Want die drone is wel stuk door dat schieten (dat op zich óók onrechtmatig is, het is immers strafbaar andermans eigendom te vernielen) en wie gaat dat betalen?

Ieder de helft, in principe:

De beide onrechtmatige handelingen hebben samen de schade aan de drone veroorzaakt. Immers, wanneer geen inbreuk was gemaakt op de privacy van [gedaagde] had deze niet geschoten en wanneer [gedaagde] niet had geschoten was de drone niet beschadigd door het schot. In artikel 6:101 BW is opgenomen dat in een dergelijk geval de schade wordt verdeeld over beiden, in evenredigheid met de maakte waarin de aan ieder toe te rekenen omstandigheden tot de schade hebben bijgedragen. Daar kan een billijkheidscorrectie op worden aangebracht indien de ernst van de gemaakte fouten of andere omstandigheden dat eisen.

De rechter constateert dat hier zowel het grondrecht privacy als het grondrecht eigendom even zwaar wegen. Er is geen bijzondere reden waarom dan de een meer of minder zou moeten betalen dan de ander, dus het is en blijft 50/50. Er is nog wat discussie over de exacte hoogte van het bedrag, maar daar moeten partijen samen uit zien te komen.

De drone-eigenaar krijgt verder nog wel een verbod onder dwangsom om met een drone te vliegen boven het perceel van de buren, ongeacht of die drone filmt of niet.

Arnoud

Beetje raar verhaal: een Nederlandse League of Legends-speler kreeg bezoek van de politie na een tip van de maker van dat spel, las ik bij Numrush (dank, tipgever). Nee, geen reverse swatting van het bedrijf maar een stukje bezorgdheid: “Ze hebben ons laten weten dat je suïcidaal bent en daarom komen we een kijkje bij je nemen. Om te checken of alles goed met je gaat”, aldus de aanbellende agenten. En nee, dit waren ook geen medespelers of trollen in politiekostuum. Dus eh, wacht, wat krijgen we nou?

Numrush lijkt de oorzaak te hebben gevonden:

Soms gaat het niet zo lekker in de game, is hij aan het verliezen, en dan wil Xavieros zich nog wel eens uitdrukkingen met termen als “I want to kill myself” of “ow god please kill me”.

Daarnaast had hij mogelijk zich wel eens teneergeslagen geuit in de chat vanwege een hernia en andere frustraties. Dit leidde tot de conclusie dat het bedrijf berichten scant met algoritmes (of keywordscans) en bij bepaalde combinaties dan een suïcide-vermoeden concludeert en dan de autoriteiten inlicht. Wat ergens wel netjes voelt maar ook een tikje raar.

Mag het? Dit raakt aan persoonsgegevens, meer specifiek de zogeheten bijzondere persoonsgegevens van gezondheid en dergelijke. En die mag je als bedrijf eigenlijk helemaal niet verwerken. (Ik moet nu zeggen dat de GDPR of AVG hier streng op gaat zijn want dan verkoop ik meer boeken daarover, maar ook onder de Wbp mag dit eigenlijk al niet.)

Helemaal niet, nou ja er is een uitzondering: het zogeheten “vitaal belang” uit de Wbp en straks de AVG, zeg maar een dringende medische noodzaak. Ik citeer dat boek dan maar even, dan was die link geen reclame:

Een vitaal belang raakt aan het leven van die persoon. Te denken valt aan verwerkingen van medische gegevens bij een ongeval, of meer algemeen humanitaire doeleinden, onder meer voor het monitoren van een epidemie en de verspreiding daarvan of in humanitaire noodsituaties, met name bij natuurrampen of door de mens veroorzaakte rampen. Verwerking van persoonsgegevens op grond van het vitale belang voor een andere natuurlijke persoon is in beginsel alleen toegestaan indien de verwerking kennelijk niet op een andere rechtsgrond kan worden gebaseerd (overweging 46).

Een serieuze vrees dat iemand zichzelf om het leven gaat brengen, zou je kunnen zien als het dienen van een vitaal belang. De ultieme zaakwaarneming zeg maar. En het is vrij lastig in die situaties toestemming te vragen, waardoor dus deze route open staat.

Verdedigbaar dus, juridisch gezien. Maar het blijft gek aanvoelen. Ik weet niet hoe dit te zeggen zonder heel cru te klinken, maar is het echt zo’n reëel probleem specifiek bij online games, dat mensen daar een zelfdoding aankondigen en dat vervolgens uitvoeren ook? Is dat probleem zo groot dat het maatschappelijk relevant wordt dat aanbieders daar wat aan gaan doen? Ik heb denk ik iets gemist.

Arnoud

Kinderen die op school met digitale lesmethoden werken, hoeven niet meer hun eigen naam in te vullen. Dat stond in het papieren AD afgelopen weekend. De ministerraad heeft namelijk ingestemd met een wetsvoorstel van die strekking, hoewel exacte details nog ontbreken. Kort gezegd komt het erop neer dat bij gebruik van clouddiensten door scholen moet worden gewerkt met pseudoniemen of codes, zodat bij datalekken niet gelijk alle details van de leerlingen op straat liggen. Het idee is loffelijk maar moet dat nu echt zo met een wet?

De tekst van het wetsvoorstel wordt helaas pas openbaar nadat de Raad van State er advies over heeft gegeven, dus het is nog even speculeren. Ik hoop op een voorstel dat gewoon zegt, scholen mogen alleen pseudonimeen van leerlingen aan leveranciers doorgeven. In combinatie met een verbod voor leveranciers om meer dan dat te vragen. Het is immers echt nergens voor nodig om werkelijke persoonsgegevens van leerlingen te hebben om een dienst aan een school te leveren.

Ik ben een beetje bang dat er komt te staan dat de leverancier ontvangen persoonsgegevens moet pseudonimiseren. (Of, nog erger, dat dit in overleg moet worden vastgesteld.) Want dan schiet je er weinig mee op, dan is die brondata er nog steeds en dus blijft de kwetsbaarheid bestaan.

En ja ik weet het, de Privacyverordening roept op tot pseudonimiseren en staat toe dat dit gebeurt door de partij die vervolgens gaat werken met de gepseudonimiseerde gegevens. Het is niet verplicht dat je de sleutel en de pseudonieme data in aparte bedrijven bewaart. Dus het zou legaal zijn als een dienstverlener zo gaat werken, en het wetsvoorstel zou dan weinig toevoegen behalve dan dat dit móet in plaats van slechts een beste praktijk te zijn. (Sorry, de tekst van de Verordening is wat raar.)

Je kunt je natuurlijk sowieso afvragen wat dit wetsvoorstel gaat toevoegen bovenop die Verordening. Want ook daar staat al in dat je persoonsgegevens zo veel mogelijk moet beperken, dat je bij voorkeur pseudonimiseert dus en natuurlijk dat je adequaat beveiligt en daar afspraken over maakt met je verwerkers (voorheen je bewerkers), zoals die clouddienstverleners dus. Hooguit zou dat dan nog zijn dat het black letter law wordt in plaats van ahem een beste praktijk, of een richtsnoer van de toezichthouder waar een leverancier van kan zeggen dat zij toch alternatieve feitenandere inzichten hebben over hoe het zo veilig mogelijk te doen.

Arnoud

Meteen maar even een heilig huisje omver in het nieuwe jaar: moeten we niet eens stoppen met het idee dat toestemming vragen voor privacy-inbreuken een werkbaar idee is? Want allemaal leuk en aardig, maar anno 2017 is het concept toestemming geven verworden tot een volstrekt betekenisloze klik onder verwijzing naar een futloze lap tekst die… Lees verder

De Tweede Kamer vindt dat politieagenten voortaan niet meer herkenbaar in beeld mogen worden gebracht, las ik bij het AD. Men spreekt zelfs van het tegengaan van ‘treitervloggers’ die kennelijk agenten hinderlijk volgen. Maar de motie, die oproept tot een wetsvoorstel, gaat verder dan dat: agentenportretten mogen dan niet meer worden uitgezonden waar dan ook… Lees verder

Jaja, dat is hilarisch: het AVROTROS-programma De Privacytest, dat vorige week maandagavond werd uitgezonden op NPO 3, blijkt zelf de privacy van nietsvermoedende Instagram-gebruikers te hebben geschonden. Men wilde met een quiz aandacht vragen voor onverwachte privacykwesties, en daarbij werden foto’s van rijbewijzen en sleutels van Instagram geplukt om het punt te maken dat die… Lees verder

Het Bundeskartellamt laat weten dat het is begonnen met een onderzoek naar Facebook, omdat de toezichthouder vermoedt dat het bedrijf zijn dominante marktpositie misbruikt, las ik bij Tweakers. Het misbruik zou eruit bestaan dat ze steeds meer privacyschendingen opdringen, waar iedereen dan zich verplicht voelt toestemming voor te geven. Want tsja, ga maar eens weg… Lees verder

Mag je eisen dat je e-mailadres verwijderd wordt uit de GHTorrent dataset? Een veel voorkomende klacht bij dit project. GHTorrent is een onderzoeksproject dat Github-softwareprojecten indexeert en gemakkelijk doorzoekbaar maakt. Hierbij worden ook de e-mailadressen van ontwikkelaars geïndexeerd, waardoor je allerlei koppelingen kunt leggen. Maar mag dat eigenlijk wel? Github is een van de grootste… Lees verder

De datalekken vliegen je om de oren de laatste tijd. En om een of andere reden zit WhatsApp daar hoog in de buzz. Je communiceert dan immers over een kanaal beheerd door een derde, en niet zomaar een derde maar een perfide Amerikaanse imperialist met allerlei snode aftap- en profilingplannen. Dat moet toch haast wel… Lees verder

Het Openbaar Ministerie mag in de openbare ruimte opgenomen camerabeelden van ernstige publieke geweldincidenten in het openbaar tonen om zo dader(s) van dit geweld te kunnen opsporen, las ik (alweer een tijdje geleden) op Rechtspraak.nl. Sorry, ik loop wat achter. De Hoge Raad introduceert meteen maar een checklist met 7 factoren waarmee getoetst kan worden… Lees verder