Skype krijgt boete in België om weigeren medewerking in politieonderzoek

skype-chat-meetingMicrosoft-dochter Skype heeft in België een boete van 30.000 euro gekregen, omdat de dienst geen informatie over gesprekken vrij kon geven in een politieonderzoek. Dat meldde Nu.nl vorige week. De Belgische autoriteiten wilden toegang tot Skype-gesprekken, maar volgens het bedrijf waren die technisch niet te verstrekken. Bovendien zou de Belgische justitie geen rechtsmacht hebben omdat Skype in Luxemburg gevestigd zit.

Wanneer in een land een strafbaar feit is begaan, kan de lokale Justitie (politie en het openbaar ministerie, of hoe dat ter plaatse heet) daar natuurlijk onderzoek naar doen. Ook als het strafbaar feit (mede) via internetdiensten wordt gepleegd.

Daar kunnen buitenlandse partijen bij betrokken zijn die informatie hebben die nodig is voor het onderzoek. De meest voor de hand liggende manier om daarmee om te gaan is een rechtshulpverzoek bij Justitie in dat buitenland. Zo kan onze politie een verzoek bij de Amerikaanse FBI indienen als een verdachte mailt via Gmail of Microsoft Outlook.com. Deze beoordeelt dan het verzoek en haalt de gegevens op, zodat wij weer verder kunnen.

De Belgische rechtbank gaat echter een stapje verder. Skype adverteert haar diensten in België, en wordt daarmee geacht in België te opereren. Een niet onbekend argument, hoewel het hier natuurlijk gaat om strafrecht en niet om burgerlijk recht. Maar ik vind er wel wat voor te zeggen: als je de lusten wilt van zaken in een land, dan ook de strafrechtelijke lasten.

Het blijft een lastige. In de Eerste Wereldoorlog hadden we de zaak van het Azewijnse paard, dat vanuit Duitsland met een touw Nederland uit getrokken werd. Was dat nu een exporthandeling in Nederland (in strijd met de wet op dat moment)? Ja, want door het touw verbond men zich met het in Nederland bevindende paard en dus werd de strafbare handeling in Nederland gepleegd.

Als je dat als analogie loslaat op internet, dan is best verdedigbaar dat een communicatielijn naar een Belgische klant ertoe leidt dat je onder Belgisch recht valt. Zeker als je welbewust mikt op dat land. Dat je dan feitelijk lastiger aan te pakken bent (want je hebt geen directeur die d cel in kan of een bankrekening waar een boete van afgehaald kan worden) is een praktisch detail.

Arnoud

Moet je klantgegevens per se in Nederland opslaan?

disc-data-weg-bewaren-kruis.jpgEen lezer vroeg me:

Wij hebben als bedrijf behoorlijk veel data en overwegen dit nu in de cloud op te slaan. Maar mag dat wettelijk gezien of moeten we per se dit zelf in Nederland beheren?

Er is geen algemene wet of regel die bepaalt dat een Nederlands bedrijf bedrijfsgegevens in Nederland moet opslaan, of zelfs maar in Europa. Je bent daar als bedrijf dus vrij in.

De enige hierbij relevante wet die ik kan bedenken, is de Wet bescherming persoonsgegevens. Wanneer die bedrijfsgegevens iets zeggen over personen (bijvoorbeeld klantdata of personeelsadministratie) dan moeten die worden behandeld volgens deze wet.

De Wbp bepaalt grofweg dat je persoonsgegevens alleen mag opslaan binnen de Europese Unie (art. 76 Wbp) behalve in enkele specifieke gevallen. Zo mag het met aparte toestemming van de betrokken personen of wanneer het nodig is voor afwikkeling van een contract met die persoon. Bemiddel je bij aankoop bij een Amerikaans bedrijf, dan mag je dat bedrijf de klantgegevens geven want anders kan die koop niet worden afgehandeld.

Verder neem je een risico als je gegevens in een ver buitenland opslaat. Wat als het bedrijf ermee ophoudt, of iets simpeler gewoon weigert je toegang tot de bedrijfsgegevens te geven? Je kunt dan moeilijker naar de rechter dan in Nederland. En dat is een risico want stel de Belastingdienst wil inzage in je administratie en die staat net in de Braziliaanse cloud die even down is (huh, een wolk die beneden is?), wat dan?

Technische oplossingen zijn hier misschien beter dan juridische trouwens: ook de hardste SLA en de beste relaties met je leverancier beschermen je niet tegen faillissementen of andere calaimiteiten. Een extra backup ergens anders is dus altijd aan te bevelen.

Arnoud

Vijf auteursrechtelijke mythes die ook maar eens naar de prullenbak moeten

mythe-verhaalMijn blog over vijf juridische mythes riep veel reacties op. Dus ik dacht, tijd voor nog wat meer mythes die naar de prullenbak moeten, en dan nu over het onderwerp auteursrecht.

  1. Je mag iemands werk gebruiken als je maar bronvermelding doet (en niet commercieel bent.) Nope. De auteurswet kent geen algemene regel dat je een werk mag overnemen. De eis van naamsvermelding komt uit het citaatrecht, maar dat staat je niet toe een geheel werk te gebruiken. Er was een persexceptie maar die is de facto afgeschaft omdat je met een simpel “Alle rechten voorbehouden” de pers kunt verbieden je werk over te nemen. Alleen voor eigen gebruik (thuiskopie) mag je een werk overnemen, bijvoorbeeld een foto naschilderen voor je schildercursus of een artikel kopiëren om het later nog eens te lezen.
  2. Als je iets op een Amerikaanse site doet, valt dat onder Amerikaans auteursrecht (fair use). Nope. De locatie van de server is niet relevant bij de vraag welk recht (welke wet) van toepassing is. Het gaat erom in welk land je iets verspreidt (openbaar maakt) of kopieert. En dat kan best in meerdere landen tegelijk zijn. Als Google vanaf haar Amerikaanse serverfarm andermans werk als doodle opvoert bij Google.nl, wordt dat onder de Nederlandse auteurswet beoordeeld.
  3. Als er geen copyright-notice of watermerk bij staat, dan mag je het gebruiken (mits met bronvermelding). Nope. De auteurswet is duidelijk: je hebt toestemming nodig, of een wettelijke uitzondering. Het maakt niet uit of de maker bekend is of zijn auteursrechten actief claimt. En dat het zonder makernaam lastig is deze te vinden, is jouw probleem en niet dat van de maker.
  4. Als je een auteursrecht schendt, moet de rechthebbende je eerst waarschuwen voordat hij een schadeclaim mag doen. Nope. Juridisch gezien is het schenden van iemands auteursrecht hetzelfde als het bekrassen van iemands auto. Je moet de schade vergoeden, en de ander hoeft niet eerst te waarschuwen dat je daarmee op moet houden. Dat systeem van waarschuwingen (“notice/takedown”) bestaat wel maar dan alleen voor hostingproviders en andere tussenpersonen die niet zelf auteursrechten schenden. Zij hoeven geen schadeclaims te betalen als ze na klachten over hun klanten meteen ingrijpen.
  5. Als je de film al hebt gekocht, mag je deze ook downloaden. Dit is een subtiele. Downloaden uit illegale bron mag niet (meer), en iets van zeg Bittorrent afhalen is downloaden uit illegale bron. Of streamen met Popcorn Time. Dit wordt niet anders omdat je ook een dvd hebt gekocht met hetzelfde werk. De dvd-aankoop geeft je rechten met betrekking tot de film op de dvd, maar geen recht om uit eender welke bron een kopie van die film te betrekken. De dvd rippen naar een digitaal formaat mag wél.

Ik ben het onmiddellijk eens met iedereen die nu roept dat dit dus betekent dat auteursrecht niet goed samengaat met internet.

Misschien moet ik maar eens een mythische woensdag instellen?

Arnoud

“Jurisdictie wordt bepaald door waar je informatie als eerste binnenkomt”, pardon?

transatlantic-cable-kabel-internetIk heb een paar arresten gemist geloof ik. In NRC Handelsblad van gisteren stond een artikel over de cloud, met daarin de intrigerende opmerking:

Ja, Softlayer is een Amerikaans bedrijf, waarvoor Amerikaanse wetten gelden. Maar alleen voor informatie die als eerste in de VS is opgeslagen: „Het Amsterdamse deel is Nederlands. Informatie die hier als eerste binnenkomt, valt dus onder Nederlandse wet.”

Nee. Néé. Gewoon níet. Hoe kóm je bij dat criterium, “als eerste opgeslagen”. Noem mij één wet of gerechtelijke uitspraak waar dit uit volgt.

Voor zover ik weet zijn de Amerikanen heel simpel: als we erbij kunnen valt het onder ons recht. En aangezien 90% van de cloud fysiek in de VS staat, is dat lekker makkelijk voor ze. (Dit even los van hoe makkelijk ze erbij mogen, patriotacttechnisch.)

Verder ken ik geen enkele uitspraak van een rechter dat jurisdictie bepaald wordt door waar data het éérst binnenkomt. Het Hof van Justitie hier houdt het bij dingen als “gericht op een land”, door bv te kijken naar wat voor telefoonnummer je hebt, welke taal, valutakeuze en bezorgmethoden. Bol.com is Nederlands want 0900-nummer, iDealbetaling, Nederlands en Post.nl. Waar de servers staan en dat de domeinnaam een .com is, maakt niet uit. En over waar de data voor het eerst binnenkwam staat er al helemáál niets in die arresten.

Nog een leuke quote:

Wij passen de capaciteit van het serverpark daarop aan: informatie die op dat moment niet nodig is, verplaatsen we binnen ons netwerk naar een plek waar iedereen slaapt, zeg aan de Oostkust van de VS.

Ik heb me altijd afgevraagd wat er gebeurt als je in de VS een Nazi-site host (die daar legaal is) die dan ’s nachts naar Duitsland drijft (waar dat heel erg verboden is). Dan ben je dus strafbaar door de acties van je cloudprovider.

Iemand enig idee waar hij dit op baseert?

Arnoud

Wanneer is een cloudprovider Amerikaans (of Nederlands)?

cloud-flag-usaEen lezer vroeg me:

Vorig jaar blogde je over de Amerikaanse cloud en de risico’s daarvan. Maar wat maakt een cloudprovider “Amerikaans”? Moet je dan kijken naar de rechtsvorm van het bedrijf, de locatie van de servers, wat men op de site zet of welk ander criterium geldt er?

Met de term “Amerikaanse cloud” bedoelde ik clouddienstverleners waar de Amerikaanse overheid (rechts-)macht over kan uitoefenen. Een in de VS gevestigde en opererende partij (Amazon Inc. met haar datacenter in Virginia bijvoorbeeld) valt hier evident over. Maar ook het Amerikaanse Google Inc met haar datacenter in Groningen, Nederland valt eronder. Het bedrijf zelf opereert in de VS en kan dus door de rechter aldaar worden gedwongen data uit dat Nederlandse datacenter over te hevelen naar de Amerikaanse politie of Justitie.

Wat nu als het een Nederlandse BV is die eigenaar is van dat datacenter? Dat lijkt niet veel uit te maken, want men kan dan nog steeds de Amerikaanse moedermaatschappij bewerken en die kan dan haar dochter sommeren de data te overhandigen. Als de moedermaatschappij immers de zeggenschap heeft, dan kan de dochter daar niets tegen doen. Als in het contract tussen moeder en dochter staat dat de moeder niets mag vragen dat tegen de lokale wetgeving van de dochter in gaat, of als de dochter zegt dat de opdracht gewoon in strijd is met die lokale wetgeving, dan wordt het spannend. Of en hoe dát standhoudt durf ik echt niet te zeggen.

De omgekeerde situatie kan ook: een Nederlandse BV die servers fysiek in Amerika ondergebracht heeft (gehuurd of gekocht of virtueel). Die BV valt niet onder Amerikaans recht, maar de partij in wiens lokaal die servers fysiek staan wél. En langs die weg kan dan alsnog een gerechtelijk bevel tot inzage van de servers worden afgegeven. De Nederlandse BV kan de data encrypten (Mega, kom d’r maar in) zodat de Amerikaanse overheid niets met die data kan, maar het zal van de bedrijfsvoering afhangen of dat haalbaar is.

Maar ook als een bedrijf geen fysieke banden met een land heeft, kan dat land soms toch rechtsmacht uitoefenen tegen het bedrijf. Wanneer een bedrijf zich expliciet richt op een land, dan is het goed verdedigbaar dat dat land daar dan wat over mag zeggen. Een webshop die in het Nederlands is, iDealbetalingen toestaat en bezorgt via Postnl valt onder Nederlands recht. Dat de domeinnaam een .com is en de server in Duitsland staat, doet er dan niet meer toe. Je zou zoiets ook prima op een clouddienstverlener kunnen toepassen.

In het strafrecht ken ik geen vergelijkbare jurisprudentie, maar het Wetboek van Strafrecht kent wel de nodige expliciete bepalingen die mensen in het buitenland strafbaar maken onder de Nederlandse wet. Natuurlijk is het wel lastiger om een buitenlander hier te veroordelen én te bestraffen, maar als er een uitleveringsverdrag is dan zijn er mogelijkheden. En binnen de EU kan dit via overlevering bereikt worden.

De ietwat platte samenvatting is dus dat je onder het recht van een land valt als ze bij jou of bij je spullen kunnen. Dat kun je aankleden met allerlei mooie rechtstheorieën maar volgens mij komt het uiteindelijk daarop neer.

Arnoud

Welke rechter is bevoegd voor internet?

Welk recht is van toepassing op een website? Rechtsmacht op internet is een bijzonder netelig onderwerp. Zolang alles en iedereen zich in Nederland bevindt, is het duidelijk dat de Nederlandse rechter over een conflict mag beslissen. Maar dat is de uitzondering en niet de regel. In veel gevallen ligt het een stuk complexer. Dan staat de server ergens in Amerika, is het bedrijf Brits en wordt een Nederlandse gebruiker gedupeerd door een valsspeler uit Korea. Of een Fransman wordt besmaad door een Nederlander die iets schreef in de Japanse Wikipedia-pagina.

In andere rechtsgebieden zijn dit soort problemen al aan de orde geweest. Welke rechter is bevoegd als een Frans bedrijf giftig afval in de Maas dumpt, waardoor Belgische koeien die ervan drinken komen te overlijden? Volgens Europese jurisprudentie is dat zowel de Franse als de Belgische rechter. De Franse omdat de handeling in Frankrijk is verricht, en de Belgische omdat het gevolg van de handeling in België merkbaar was. Maar de Belgische rechter mag alleen oordelen over de in België geleden schade. Als er ook een Nederlandse koe zou zijn overleden, had de eigenaar daarvan naar de Nederlandse rechter gekund. De Franse rechter daarentegen kan beslissen over alle schade, ook de schade die in België en in Nederland opgelopen is.

Hoe ga je daarmee om bij internet? Internet is immers wereldwijd toegankelijk. In een recent vonnis over de site Torrent.to kwam dit aan de orde. De rechter overwoog:

Nu doet zich in het onderhavige geval de situatie voor dat de website www.torrent.to wereldwijd kan worden geraadpleegd, dat onduidelijk is in welk land de aanbieder van die website is gevestigd en dat de site kennelijk via verschillende servers in diverse landen, waaronder Nederland, wordt gehost. Uit de door Stichting BREIN overgelegde uitdraaien van de website www.torrent.to blijkt dat de site voornamelijk in de Duitse taal is opgesteld, maar zich ook specifiek richt op Nederlandse bezoekers, gelet op de aangeboden (Nederlandstalige) werken van Nederlandse artiesten en de reclameboodschappen in de Nederlandse taal. Ter zitting is voorts komen vast te staan dat de servers van waaruit de hosting plaatsvindt, in Amsterdam staan. Onder die omstandigheden kan het Nederlandse recht worden toegepast.

In 2003 vond de Utrechtse rechter zichzelf trouwens bevoegd omdat “het schadebrengende feit zich op het internet en derhalve tevens in Nederland en in het arrondissement Utrecht heeft voorgedaan.” Maar in 2005 vond de Haagse rechter zich niet bevoegd bij een geschil over reclame en merkinbreuk via een website waarbij alles erop wees dat deze zich alleen op de VS richtte. De voertaal was Engels, de maten en gewichten waren in inches en ponden, de prijzen in dollars en het telefoonnummer was een 800-nummer dat alleen in de VS gebeld kon worden.

Kortom, de vraag blijft moeilijk te beantwoorden. Het zal zoals wel vaker afhangen van de omstandigheden van het geval. Of weten jullie een handig en werkbaar criterium?

Via Volledig bericht, pardon Boek 9.

Arnoud