Minister Kamp: met Europees voorstel verdwijnt Nederlandse netneutraliteit

| AE 7511 | Ondernemingsvrijheid | 21 reacties

netneutraliteit.pngAls het huidige voorstel van de Europese Raad een Europese richtlijn wordt, verdwijnt de Nederlandse netneutraliteit, las ik bij Tweakers. Minister Kamp verklaarde dit naar aanleiding van de Europese discussie over het onderwerp. Want tsja, als Europa ergens regels over maakt, dan moeten de lidstaten hun regels daarover afschaffen. Of toch niet?

De Europese netneutraliteitsregels zijn er nog niet, maar de laatste geluiden zijn weinig veelbelovend: bepaalde diensten zouden voorrang moeten kunnen krijgen boven gewone internetdiensten. (Hoewel mij niet duidelijk is of dit een gevalletje klepel-klok is, want als het gaat om bijvoorbeeld VoIP of digitale televisie over IP dan is dat iets náást internet en ik zie geen netneutraliteitsproblemen met dingen náást internet sneller laten zijn dan internet zelf.)

In ieder geval, wat gebeurt er nu als Europa een richtlijn aanneemt waarin regels over netneutraliteit staan. Een richtlijn is geen wet, maar een instructie aan de lidstaten van de EU om hun wetten aan te passen zodat deze klopt met de richtlijn. De cookiewet was een richtlijn bijvoorbeeld, onze Telecommunicatiewet is destijds aangepast om een verbod op te nemen op het plaatsen of lezen van informatie zonder toestemming van de eindgebruiker.

Het komt vaak voor dat een richtlijn niet alles uitputtend regelt, maar alleen een minumumgrens trekt. Dan spreken we van minimumharmonisatie. Een land moet dat in zijn wet zetten, maar mag daar bovenop nog eigen dingen regelen zolang dat maar niet de minimumregeling doorkruist. De oude Europese richtlijn over conformiteit bood minimumharmonisatie: een product moest minimaal twee jaar van zijn levensduur gratis hersteld of vervangen worden bij problemen, maar landen mochten verder gaan en Nederland heeft dat ook gedaan, bij ons gold die eis gedurende de gehele levensduur.

Wanneer een richtlijn wél alles regelt, is sprake van maximumharmonisatie en als land mag je dan géén andere regels meer stellen dan de richtlijn opnoemt. Zo moest onze (belachelijke) geschriftenbescherming het veld ruimen omdat de Auteursrechtrichtlijn maximaal harmoniseert wanneer je auteursrecht hebt op een tekst.

Soms staat er bij een richtlijn of deze maximumharmonisatie biedt, maar vaak niet. Het komt dan op de tekst aan: hoe is deze bedoeld, hoe moet je het lezen, is er nog ruimte om te zeggen “daar bovenop mogen wij nog X en Y doen”?

Bij netneutraliteit vraag ik me af hoe die ruimte kan ontstaan. Het zal afhangen van hoe je de formulering insteekt. Stel je zegt “nationale wetten moeten providers verbieden te filteren, behalve bij redenen X en Y”, dan is er geen ruimte meer om nog een uitzondering Z in te voeren want die doorbreekt dan de minimumregel. Maar stel je zegt “nationale wetten moeten providers toestaan netneutraliteit te omzeilen bij reden X”, dan zou er misschien nog wel ruimte zijn voor een extra reden.

De trend is de laatste jaren wel steeds meer om maximumharmonisatie toe te passen, omdat je anders alsnog wildgroei van wetgeving krijgt en dat is vanuit Europa nu net niet de bedoeling met een richtlijn. Dus wat dat betreft zie ik het pessimistisch in.

Arnoud

Privacyfittie: Google versus de Europese Commissie

| AE 2882 | Privacy | 21 reacties

google-privacy.pngDit gaat nog leuk worden: Google en de Europese Commissie kwamen ongeveer tegelijkertijd met nieuwe privacyregels, maar ze gaan elk compléét de andere kant op. De EC heeft een machtig wapen ingevoerd: boetes tot 5% van de jaaromzet voor wie de privacywet negeert. Maar Google heeft ook een machtig wapen: uitsluiting van alle Googlediensten als hun privacyregels je niet bevallen.

Google heeft nu ongeveer zestig verschillende privacybeleiden en wil daar vanaf. Loffelijk, want er rammelde nogal wat aan die teksten. Dus nu maken ze één geconsolideerde tekst. En die rammelt gewoon in z’n eentje.

Korte samenvatting: wij verkrijgen gegevens van u, van anderen en wij leiden gegevens af van wat u allemaal doet (en wat u gebruikt en waar u bent). Wij gebruiken die voor onze diensten (joh), met name om je advertenties op maat voor te schotelen. We mogen informatie combineren, dus als we uit Gmail je echte naam halen dan mogen we die aan je andere profielen plakken en dat heb je maar te accepteren. Oh, en we geven geen informatie aan derden tenzij die zorgvuldig geselecteerd zijn en die zich beloven te gedragen. Bevalt u dat niet (“People have different privacy concerns”), dan kunt u opt-outen. Niet van alles; u kunt “bepaalde” zaken uitzetten, niet meer. Maar u mag natuurlijk altijd naar Bing.

Ongetwijfeld volstrekt toevallig verscheen het officiële voorstel voor de nieuwe Privacyverordening. Geen gedoe meer met nationale wetten maar gewoon één wet die in één klap alles regelt, zonder mogelijkheid om daar van af te wijken of aanvullende regels te stellen. Het zal vast geen verrassing zijn dat die regels compleet de andere kant op gaan dan waar Google heen wil.

Hoofdregel is dat je zo beperkt mogelijk met persoonsgegevens moet omgaan. Je moet specifieke en welomschreven doelen hebben, en gegevens mag je dan alléén daarvoor gebruiken. Daarbij moet je eigenlijk altijd toestemming hebben. Er is en blijft een uitzondering voor een eigen noodzaak, als die zwaarder weegt dan de privacy.

Er komen strakke informatieplichten, nog strakker dan we al hadden. Je moet kunnen inzien wat men over je weet (en dat moet je elektronisch kunnen opvragen), en je moet expliciet te horen krijgen hoe je daar correcties of verwijdering van kunt realiseren. Dat recht van verwijdering hadden we al, maar wordt nu enigszins melodramatisch omgedoopt tot “recht te worden vergeten” – de partij die je gegevens opsloeg, moet alle redelijke stappen nemen om je gegevens te wissen, inclusief verzoeken bij derden die de gegevens hebben overgenomen. Ja, daarmee bedoelen ze Google en andere mirrors, zoekindexen en archieven.

In de praktijk zal dat recht geen bal veranderen ten opzichte van wat we hebben (en maar goed ook). Er is namelijk een uitzondering: je hoeft gegevens niet te verwijderen als je gebruik onder de vrije meningsuiting valt. En in 95% van de gevallen willen mensen hun gegevens namelijk niet uit een databank hebben maar uit een forum, nieuwsartikel of blogarchief omdat de daarin geuite feiten hen niet meer bevallen.

En zoals gezegd staan er forse boetebepalingen in die de Commissie kan inzetten als bedrijven de regels negeren. Expliciet zijn die ook bedoeld voor internationale (lees: Amerikaanse) bedrijven die menen dat zij niet onder Europees recht vallen. Dus dat gaat nog leuk worden, want ik zie Google écht niet zomaar omrollen omdat de EC meent dat privacy een groot goed is en targeted advertenties eigenlijk maar smoezelige dingen zijn. Omgekeerd gaat de EC ook niet snel zeggen “oh, jullie zitten in Californië, nee laat maar dan, wij gaan eerst achter Ilse aan”.

Eerlijk gezegd vind ik beide aanpakken best wel slecht. Googles “wij mogen alles en als u dat niet bevalt gaat u maar lekker Bingen” is natuurlijk zo generiek dat het niet leuk meer is. Afgezien van zalvende woorden en een paar optoutaanvinkvakjes ben je op die manier compleet aan de zoekmachine overgeleverd. Maar wat de EC van plan is, zie ik ook niet werken. Zó veel invloed en controle bij mensen neerleggen is onwerkbaar, nog afgezien van het punt dat driekwart van de mensen (en dan ben ik positief) niet snapt wat er nu eigenlijk gebeurt en dus op voorhand overal maar mee akkoord gaat “anders doet ie het niet”.

Ik blijf erbij dat het beter is om het zo te doen:

  1. Je moet altijd dat categorisch kunnen weigeren (en toch de dienst kunnen gebruiken, mits dan tegen betaling);
  2. Je moet volledig disclosen wat je doet en waarom;
  3. Mensen moeten inzage krijgen in de data die je hebt en hoe je daar conclusies uit trekt;
  4. Als het niet klopt, moet je elke benadeelde burger 150 euro per fout voor betalen.

Arnoud

EU wil strenge nieuwe privacywet, nee dat moet anders

| AE 2805 | Privacy | 17 reacties

europees-recht-bakker.jpgDe Europese Unie wil de wirwar aan nationale wetten over databescherming vervangen door middel van een algemene voor de hele Unie geldende hervorming, las ik bij Nu.nl. Elk EU-land heeft nu een eigen privacywet, gebaseerd op Europese richtlijnen, maar deze moeten worden vervangen door een Europese Europese wet die precies bepaalt hoe het is, klaar. En zo te lezen gaan we heel wat toestemmingspopups krijgen als die er komt.

Reding wil een Verordening invoeren: een Europese wet die direct geldt, zonder dat de lidstaten zelf nog dingen mogen wijzigen of alternatieve regels mogen invoeren op dit punt. Dus als die Verordening er komt, mag Nederland geen eigen regels meer maken over wat Google met Streetview wel of niet mag doen. (Hoewel dat specifiek voor persoonsgegevens toch al niet bleek te mogen.) De rechter kan alleen nog toetsen aan de Verordening, waarbij hij hooguit indirect rekening mag houden met die lokale eigenaardigheden.

En die Verordening gaat streng zijn, als ik de speech van haar en Ilse Aigner goed begrijp:

EU law should require that consumers give their explicit consent before their data are used. And consumers generally should have the right to delete their data at any time, especially the data they post on the Internet themselves.

Met ‘explicit consent’ wordt nadrukkelijk iets strengers bedoeld dan de 48 pagina’s Terms of Service die Facebook en menig andere internetdienst hanteert. Mensen moeten snappen wat er gaat gebeuren en dan liefst op het moment zelf goed nadenken of ze dat willen, en dan uit vrije wil ja of nee zeggen.

Het idee is leuk maar dat gaat dus absoluut niet werken. Mensen snappen niet of willen niet snappen, of zijn niet geïnteresseerd in snappen, wat er allemaal gebeurt met hun persoonsgegevens. Ze willen gewoon hun porretjes sturen, mensen be- dan wel ontvrienden en op muren krabbelen (wat overigens prima is, daar niet van; die infantiele taal is niet mijn sarcastische keuze). En ze gaan ervan uit dat de bedrijven die ze dat laten doen, netjes met hun gegevens omgaan en “geen rare dingen” doen daarmee.

Nou kun je dat naïef vinden – mensen moeten weten wat voor enge dingen bedrijven allemaal doen en daar bezwaar tegen maken. Maar ik zie niet hoe je de gemiddelde consument in beweging krijgt om dat ook daadwerkelijk te doen. Laat staan om een cursus internetrecht te gaan volgen om te weten wat hun rechten en plichten zijn. Zou dat echt moeten voor je mag gaan Facebooken?

Logischerwijs zou de wetgever dan daarop moeten inspelen en als uitgangspunt nemen dat “rare dingen” niet mogen van de privacywet. Dat willen we niet hebben, dus dan moet het niet mogen.

Kennelijk voelt dat dan toch net weer iets te eng of zo, want net als bij de cookieregels wordt er dan toch maar naar het middel van “nou vooruit met expliciete, pardon uitdrukkelijke, pardon voorafgaande nee met geïnformeerde en vrije toestemming” gegrepen. Wat dus niet werkt want mensen klikken op whatever ze moeten klikken om hun porretje, krabbel of boerderijuitrusting te kunnen kopen.

Maar wat dan? Harde wettelijke regels à la “het is verboden mails te lezen om daar advertenties mee te targeten”? “Bonuskaartgegevens mogen niet worden gedeeld met verzekeraars”? En dan nog driehonderdvierentachtig van zulke regels? Hoe ga je dat in vredesnaam nog enigszins flexibel houden? Dat zie ik al helemaal niet gebeuren.

Nee, misschien moeten we het juist flexibeler maken. Profielen opbouwen en dingen daarop afstemmen, prima. Alleen:

  1. Je moet altijd dat categorisch kunnen weigeren (en toch de dienst kunnen gebruiken, mits dan tegen betaling);
  2. Je moet volledig disclosen wat je doet en waarom;
  3. Mensen moeten inzage krijgen in de data die je hebt en hoe je daar conclusies uit trekt;
  4. Als het niet klopt, moet je elke benadeelde burger 150 euro per fout voor betalen.

Dat laatste is natuurlijk de truc: hierdoor gaan mensen op zoek naar foutjes, natuurlijk puur om rijk van te worden, maar dat houdt die bedrijven wel scherp. Sommigen zullen dan maar afzien van profilen, anderen zullen de problemen kunnen beperken en weer anderen gaan failliet omdat ze te vaak boetes over zich heen krijgen.

In Duitsland bestaat een soort van vergelijkbaar systeem voor e-commerce. Bedrijven die de e-commercewet niet naleven, kunnen van voorheen ambulancesnajagende advocaten een schadeclaim verwachten. En ja, daardoor wordt er in Duitsland véél beter op die wetgeving gelet door bedrijven dan bij ons. (Bij ons kun je ook wel procederen over ontbrekende KVK-nummers op websites maar wat is je schade?)

Het lijkt me in ieder geval beter te kunnen werken dan “lees deze dertig pagina’s en geef dan vrijwillig uw toestemming”. Wat jullie?

Arnoud

Het pareltje van Europa (gastpost)

| AE 1246 | Informatiemaatschappij | 1 reactie

Wie een product koopt verwacht ook waar voor zijn geld te krijgen. De gemiddelde Europese burger zou als volgt kunnen redeneren: voor wat hoort wat! Ik heb -als koper- volledig aan mijn verplichtingen voldaan, dus moet de wederpartij -de verkoper- ook volledig aan zijn verplichtingen voldoen. Dit lijkt heel logisch voor een ieder met een… Lees verder

De geschriftenbescherming: tegen integraal overnemen

| AE 344 | Intellectuele rechten | Er zijn nog geen reacties

Naar aanleiding van het Jaap-vonnis nog even over de geschriftenbescherming die succesvol ingeroepen werd tegen de integrale overnamen van huizenomschrijvingen van de makelaarsites. De tekstjes in kwestie waren zo kort dat je je af kunt vragen of ze wel creatief genoeg waren voor auteursrecht. Maar dat deed er niet toe, want Jaap nam integraal over… Lees verder

Richtlijn Audiovisuele media diensten

| AE 292 | Informatiemaatschappij | Er zijn nog geen reacties

De Europese Commissie en het Parlement hebben overeenstemming bereikt over een nieuwe Audiovisual Media Services Directive. De richtlijn maakt een onderscheid tussen “lineaire” en “niet-lineaire” media, grofweg tussen televisie en Internet-televisie of radio. Niet-lineaire media zijn: an audiovisual media service provided by a media service provider for the viewing of programmes at the moment chosen… Lees verder