Internetrecht door Arnoud Engelfriet

Een poging van twee leveranciers van GPS-horloges om een concurrent aan te pakken via de privacywet AVG is tot nu toe niet geslaagd. Dat meldde het FD onlangs. De rechtszaak was aangespannen omdat de concurrent de AVG zou overtreden, en daarmee een oneerlijke voorsprong zou nemen op de wél netjes AVG-compliant opererende eisers uit de zaak. Maar volgens de rechter is de AVG niet bedoeld om concurrenten mee aan te pakken; alleen consumenten en de AP kunnen zich op deze wet beroepen. Buitengewoon jammer!

De rechtszaak was aangespannen door Leading Care Technologies (LCT) en Lifewatcher uit Zoetermeer. Deze bedrijven leveren GPS-horloges aan ouderen, die daarmee direct contact kunnen houden met verzorgers. Alles netjes geregeld, zo te lezen: ze kopen in bij een Oostenrijks bedrijf en voor de verwerking van persoonsgegevens is een verwerkersovereenkomst gesloten met de leverancier.

De gedaagde was iets makkelijker: het door hem geleverde horloge en de app komen uit China. De app is gratis en kan gedownload worden uit de app-stores van Apple en Google, zonder enige check of toezicht vanuit de verkoper. Dat lijkt mij ook niet direct AVG-compliant, dus ik snap wel dat je je dan gefrustreerd voelt als concurrent die wél hard z’n best doet.

Het vonnis laat zien dat het gaat om de ‘relativiteit’, is het wel de bedoeling dat deze wet voor dit doel wordt ingezet. De AVG is een vertaling van het grondrecht van grip op je persoonsgegevens, en dat is per definitie iets persoonlijks waar gewone mensen wat aan hebben. De concurrent van een gebruiker van persoonsgegevens heeft weinig te maken met mijn grondrechten als betrokkene.

Het is natuurlijk erg jammer want juist private handhaving heeft bij dit soort wetgeving het meeste effect. Kijk naar reclamerecht en oneerlijke handelspraktijken: daar gaat het erg netjes mee in Nederland, omdat iedereen weet dat de concurrent in je nek springt als je ten onrechte zegt dat je goedkoper, sneller, beter of compatibeler bent.

Formeel is natuurlijk ook die wetgeving gericht op bescherming van consumenten, maar in de Europese Richtlijn over handelspraktijken staat vrij expliciet dat deze indirect legitieme ondernemingen beschermt tegen concurrenten die de regels in de richtlijn niet in acht nemen. Een dergelijke opmerking ontbreekt in de AVG, dus dat argument gaat hier niet op.

Dat had bij de AVG ook best kunnen werken: wie persoonsgegevens oneerlijk verwerkt, zet zichzelf op een oneerlijke voorsprong en daar lijdt de concurrent schade door. En bedrijven zijn prima in staat om in te schatten waar een bedrijf de fout in gaat met een wet als de AVG. Maar daar zet de rechter nu dus een streep door. Gemiste kans.

Opvallend nog is wat de rechter zegt over de gratis app. Die zou oneerlijke concurrentie opleveren: een gooi-en-smijt app met mogelijk Chinese achterdeur versus een zorgvuldig ontwikkelde en pas na dpia uitgebrachte Europese app, dat gaat nergens over natuurlijk. Maar nee:

Op computers kan gratis software worden geïnstalleerd en ook met de mogelijkheid om via App Store of Google Play Store gratis apps te downloaden zijn gebruikers van smartphones en tablets al jaren bekend. Ook de eventueel daaraan verbonden voor- en nadelen mogen inmiddels bekend worden verondersteld. Eén van die gratis apps is de SeTracker app, die niet alleen op de door Avium geleverd GPS-horloges werkt maar door iedereen op een geschikt apparaat, zoals een smartwatch of smartphone, kan worden geïnstalleerd.

Arnoud

Het is altijd een goed onderwerp voor verwarring: hoezo persoonsgegevens, dit is toch geanonimiseerd? En dat klopt, als iets geanonimiseerd is dan zitten er (per definitie) geen persoonsgegevens meer in. Maar de grap is: echt anonimiseren dat doet bijna niemand. Wat bijna iedereen doet, heet pseudonimiseren en je blijft dan gewoon onder de AVG vallen. Zelfs de rechtspraak, zoals een recent vonnis laat zien.

In deze zaak had de eiser eerder een rechtszaak tegen Google gevoerd over verbergen van zekere zoekresultaten bij een opdracht op zijn naam. Dat verloor hij, en de uitspraak werd gepubliceerd. Uiteraard conform de anonimiseringsrichtlijnen van de rechtspraak, maar desondanks vond de man het nodig om verwijdering van het gepubliceerde vonnis te vorderen.

Dat roept de vraag op, staan er nog persoonsgegevens in zo’n vonnis dan, als het geanonimiseerd is? Namen worden weggehaald, geboortedata tot jaren teruggebracht en adressen blijven natuurlijk ook buiten schot. Daarnaast worden ook meer indirect identificerende dingen weggehaald, zoals URLs waarin de naam van de eisende partij voorkomt.

Maar wat doe je met persoonlijke informatie in het vonnis zelf? De rechter moet bijvoorbeeld als argument brengen dat weliswaar iemands naam op een website staat, maar dat die vermelding niet onjuist of irrelevant lijkt. Daarvoor moet je in het vonnis de naam noemen en denk ik ook de tekst van de vermelding, anders onderbouw je je analyse niet. Maar dan staat er dus een naam én een tekst die iets over die meneer zegt, in het vonnis.

Nu komen we in een van de vele hoofdpijnstukken uit de AVG. In 2014 bepaalde het Hof van Justitie dat juridische analyses over een persoon an sich wel persoonsgegevens bevatten maar geen persoonsgegevens zijn. Je kunt dus niet bijvoorbeeld een vonnis of beschikking laten corrigeren omdat er een fout in staat (artikel 16 AVG) of laten wissen (artikel 17). Daar zijn eigen procedures voor.

Ik zeg eerlijk dat ik hier helemaal niets van snap; een juridische redenering dat ik een strafbaar feit heb gepleegd (om eens wat te noemen) lijkt mij evident een persoonsgegeven want er staat in dat ik een oplichter ben. Dat ik dat niet mag corrigeren of verwijderen, volgt gewoon uit de systematiek van de AVG – het is niet fout en niet irrelevant of overdadig of zo. Maar goed, het Hof heeft het gezegd en het Hof heeft per definitie gelijk.

De beschikking (de uitspraak in een verzoekschriftprocedure) is dus geen persoonsgegeven en kan niet worden verwijderd op grond van de AVG. Mogelijk kan dat wel gelden voor specifieke feitelijke stukjes:

In het hiervoor onder 4.6. genoemde arrest heeft het HvJEU immers overwogen dat de gegevens die de feitelijke basis vormen voor de juridische analyse persoonsgegevens in de zin van de Richtlijn persoonsgegevens kunnen zijn. De omstandigheid dat die feitelijke gegevens in een rechterlijke beslissing door de rechter worden vastgesteld conform de regels van het procesrecht maakt niet dat van persoonsgegevens geen sprake meer is.

Arnoud

Interessante vraag op Reddit:

Een kennis stuurt vaak screenshots heen en weer van privé WhatsApp gesprekken naar andere vrienden van die kennis, waarbij niet om toestemming gevraagd wordt. Kan deze persoon hiervoor legale consequenties voor ondervinden worden jegens schending van privacy?

Het opnemen of loggen van gesprekken waar je zelf deelnemer aan bent, is in Nederland toegestaan – ook zonder toestemming van je wederpartij. In andere landen (zoals Duitsland) kan dat anders liggen, maar hier is het juridisch prima om dat te doen. Een gesprek opnemen waar je géén deelnemer aan bent, is strafbaar (art. 139c Strafrecht).

De reden dat dat legaal is, is omdat wij vinden dat je bewijs moet kunnen bewaren van wat jij in een conversatie hebt gezegd, of wat je wederpartij tegen jou zei. Daaruit volgt natuurlijk meteen dat je die gesprekslogs (of screenshots dus) niet zomaar met derden mag delen, want dat gaat het doel te buiten. Doe je dat toch, dan kom je ook in het strafrecht terecht want het in strijd met de wet delen van gespreksopnames is strafbaar (art. 139e Strafrecht).

Je kunt het natuurlijk ook via de AVG spelen, want zo’n gesprekslogscreenshot is een persoonsgegeven en mag dus niet zonder toestemming of andere grondslag worden verspreid. Ik zou niet weten hoe je dat rechtbreidt.

De eigenlijk enige situatie waarin delen wél gerechtvaardigd is, is als je iets juridisch of nieuwswaardigs wil doen met dat gesprek. Een screenshot maken en delen met de politie bij een aangifte is natuurlijk wel toegestaan, net zoals het aan je werkgever geven omdat een collega je lastigvalt. Een journalist zou heel misschien een privégesprek kunnen screenshotten en gebruiken in het nieuws, al heb ik moeite met een concreet voorbeeld bedenken. Maar dit zijn echt uitzonderingen en zeker niet hetzelfde als “stuurt vaak screenshots naar andere vrienden”.

Arnoud

Een lezer vroeg me: Sinds de coronacrisis zitten we met z’n allen massaal in videovergaderingen, maar ook werkoverleg en online trainingen (elearning). Het valt me op dat de organisatoren dat vaak opnemen, en ik vroeg me af of dat wel in de haak is? Dat gebeurde bij ‘ouderwetse’ vergaderingen of trainingen ook lang niet altijd,… Lees verder

Geef gebruikers controle over hun persoonlijke data, om daarmee de te grote macht van grote technologiebedrijven terug te dringen, las ik in NRC voor mijn vakantie. Het huidige model van omgaan met data is niet geschikt om de techbedrijven te bedwingen, zo betoogt daar professor Ruben Verborgh. Zijn betoog lijkt vooral te gaan over het… Lees verder

Via de onvolprezen Charlotte Meindersma op Twitter: Als ik jullie goed advies mag geven: wees bij een belangrijk gesprek nooit zo fatsoenlijk om te vragen of je het op mag nemen, maar doe het gewoon. Als je zelf deelnemer bent aan het gesprek, is het niet strafbaar. Dat gaf enige heftige reacties, van ongeloof (“mag… Lees verder

Een lezer vroeg me: Ik fotografeer graag huizen. Wanneer ik een huis zie dat voldoet en waar ik een gevoel bij krijg dan neem ik vanaf de openbare weg, vaak staand op mijn auto, foto’s. Nu iedereen dus thuis zit ben ik afgelopen week al meerdere malen aangesproken door enkele buurtgenoten van het desbetreffende huis… Lees verder

Maar pas deze week zag ik welk fundamenteel maatschappelijk misverstand door dat rare begrip ‘privacy’ is ontstaan. Dat schreef Maxim Februari vorige week in NRC Handelsblad. Hij noemt het een ‘gruwelijk misverstand’ dat het steeds maar over de private kwestie van privacy gaat – de omgang met persoonsgegevens is een kwestie van algemeen belang. Het… Lees verder

Nederland is koploper thuiswerken, las ik op diverse plekken. Bestrijding van het coronavirus vereist dat we onszelf zo veel mogelijk isoleren, en thuiswerken is dan ook een logische maatregel (en ja, mijn kantoor is natuurlijk ook dicht nu). Ook het onderwijs is dicht, en daar wordt nu ook breed gegrepen naar elearning en video-oplossingen. En… Lees verder

Mijn werkgever verplicht alle werknemers nu thuis te werken vanwege de corona uitbraak. Dat las ik bij Tweakers (dank, tipgever). So far so good, maar dan komt ‘ie: men moet timetrackingsoftware installeren en deze “doet echter op random intervallen screenshots maken en volgens de privacy voorwaarden van deze software ook een lijst bijhouden met alle… Lees verder