De eerste schadeclaim onder de AVG is binnen, maar het is wel een rare zaak

| AE 11321 | Privacy | 16 reacties

Het is waarschijnlijk een juridische primeur: een rechter heeft een schadevergoeding toegekend op grond van de Algemene verordening gegevensbescherming (AVG). Dat meldde RTL Z afgelopen vrijdag. De gemeente Deventer moet van de rechter 500 euro betalen aan een man van wie de gemeente de naam en woonplaats doorspeelde naar tientallen andere gemeenten. Ik ken ook geen andere uitspraken waarin sec voor misbruik van persoonsgegevens een schadevergoeding moest worden betaald. Het bedrag is niet mis dus ik hoop dat dit andere organisaties aan het denken zet. Want privaat handhaven kan iedereen, zelfs zonder advocaat.

De man wordt in diverse media als een professioneel wobber aangeduid, wat de zaak een reukje moet geven want wie doet dat nou, stelselmatig gemeentes om informatie vragen? Maar het is een grondrecht dat je dat mag doen. Gemeentes worstelen daar soms mee, en gaan dan onderling tips uitwisselen. RTL legt uit:

Een aantal van die gemeenten wilde kennis uitwisselen over hoe ze moesten omgaan met zijn verzoeken. In een e-mail aan ongeveer veertig tot vijftig andere overheden gaf de gemeente Deventer aan ook een Wob-verzoek van de man te hebben ontvangen, waarbij ze zijn naam noemden, aangaven dat het om een man ging (‘hij’), waar hij woonde en hoe ze zijn verzoek hadden afgehandeld.

Dat was een probleem, want onder de Wbp én de AVG is het zomaar delen van persoonsgegevens niet echt de bedoeling. Onrechtmatig dus, en een onrechtmatige daad geeft aanleiding tot een schadevergoeding. Alleen, wat is dan je schade? Dat is al een decennium of zo het discussiepunt bij privacykwesties. En waar ze dan bij andere rechten – zoals het auteursrecht – een willekeurige tarieflijst erbij pakken of een bedrag uit de duim zuigen, word je bij persoonsgegevens er hard op gewezen dat je schade écht moet onderbouwen meneertje. Frustrerend ja.

Deze rechter pakt het in zoverre verfrissend aan dat hij het als immateriële schade aanmerkt en dan een bedrag van €500 billijk verklaart. De grond is dan de algemene “schending van de privacy”, dat de rechter herleidt tot “verlies van controle over zijn persoonsgegevens”. Controle over persoonsgegevens is één van de kerndoelen van de AVG (overweging 7), dus dat is een mooie invulling van dat grondrecht. Blijf van mijn gegevens af.

Opvallend daarbij is wel dat de rechter nadrukkelijk vaststelt dat Deventer geen oogmerk had de man kwaad te doen. Dit is dus uitdrukkelijk de schade bij een onschuldige inbreuk. En dat maakt het precedent des te interessanter. Als deze vogel tot een zomer leidt, dan kunnen dus heel wat organisaties 500 euro per geval af gaan tikken voor onschuldige slordigheden. Ik zei al, private handhaving gaat het helemaal worden.

Arnoud

Help, mijn persoonsgegevens zijn gelekt, wat nu?

| AE 9069 | Privacy | 17 reacties

persoon-persoonsgegeven-veilig-hek-beschermd-lek-dataEen lezer vroeg me:

Je hebt regelmatig aandacht besteed aan datalekken, maar vanuit het perspectief van een slachtoffer wilde ik toch wat vragen. Afgelopen zaterdag informeerde mijn werkgever me dat mijn adres en BSN op straat ligt door een fout van een ingehuurd bedrijf. Maar meer dan “de kans op fraude is laag” en dat ik goed op mijn rekening moet letten zie ik niet. Kan ik hier juridisch wat mee?

Helaas komen datalekken erg vaak – te vaak – voor. Gelukkig niet altijd van deze omvang. Je zou hopen dat die nieuwe wet hier snel verandering in brengt.

Een bedrijf is verplicht datalekken te melden bij de toezichthouder, en bij vermoedelijke negatieve gevolgen ook bij betrokkenen zelf. Die brief is dus op zich terecht verstuurd. De brief moet ook vermelden wat “de aanbevolen maatregelen om de negatieve gevolgen van de inbreuk te beperken” zijn (art. 34a lid 3 Wbp).

De tekst van die brief doet wat plichtmatig aan. Dat kan ik zelf ook wel bedenken, dat ik goed moet gaan uitkijken. Maar ja, heel veel meer dan “let op je creditcard” en “log regelmatig overal even in om te zien of niemand met je bsn identiteitsfraude heeft gepleegd” kan ik ook niet bedenken. Want er ís niet veel meer dat je kunt doen als consument.

Ja, heb je concreet nadeel van dit datalek dan is dat te verhalen. Schending van de Wbp is een onrechtmatige daad, en wie die pleegt moet de schade vergoeden. Dit even los van boetes die de toezichthouder oplegt. Alleen, wat is je schade bij een privacyschending? Welk getal zet je op de tijd en het gedoe met je energiemaatschappij of zorgverzekeraar omdat een grapjas bijvoorbeeld je contract heeft opgezegd?

Ik zou graag positiever zijn maar helaas is het best wel slecht geregeld voor mensen die getroffen worden door een datalek.

Arnoud

Vijf auteursrechtelijke mythes die ook maar eens naar de prullenbak moeten

| AE 6621 | Intellectuele rechten | 25 reacties

mythe-verhaalMijn blog over vijf juridische mythes riep veel reacties op. Dus ik dacht, tijd voor nog wat meer mythes die naar de prullenbak moeten, en dan nu over het onderwerp auteursrecht.

  1. Je mag iemands werk gebruiken als je maar bronvermelding doet (en niet commercieel bent.) Nope. De auteurswet kent geen algemene regel dat je een werk mag overnemen. De eis van naamsvermelding komt uit het citaatrecht, maar dat staat je niet toe een geheel werk te gebruiken. Er was een persexceptie maar die is de facto afgeschaft omdat je met een simpel “Alle rechten voorbehouden” de pers kunt verbieden je werk over te nemen. Alleen voor eigen gebruik (thuiskopie) mag je een werk overnemen, bijvoorbeeld een foto naschilderen voor je schildercursus of een artikel kopiëren om het later nog eens te lezen.
  2. Als je iets op een Amerikaanse site doet, valt dat onder Amerikaans auteursrecht (fair use). Nope. De locatie van de server is niet relevant bij de vraag welk recht (welke wet) van toepassing is. Het gaat erom in welk land je iets verspreidt (openbaar maakt) of kopieert. En dat kan best in meerdere landen tegelijk zijn. Als Google vanaf haar Amerikaanse serverfarm andermans werk als doodle opvoert bij Google.nl, wordt dat onder de Nederlandse auteurswet beoordeeld.
  3. Als er geen copyright-notice of watermerk bij staat, dan mag je het gebruiken (mits met bronvermelding). Nope. De auteurswet is duidelijk: je hebt toestemming nodig, of een wettelijke uitzondering. Het maakt niet uit of de maker bekend is of zijn auteursrechten actief claimt. En dat het zonder makernaam lastig is deze te vinden, is jouw probleem en niet dat van de maker.
  4. Als je een auteursrecht schendt, moet de rechthebbende je eerst waarschuwen voordat hij een schadeclaim mag doen. Nope. Juridisch gezien is het schenden van iemands auteursrecht hetzelfde als het bekrassen van iemands auto. Je moet de schade vergoeden, en de ander hoeft niet eerst te waarschuwen dat je daarmee op moet houden. Dat systeem van waarschuwingen (“notice/takedown”) bestaat wel maar dan alleen voor hostingproviders en andere tussenpersonen die niet zelf auteursrechten schenden. Zij hoeven geen schadeclaims te betalen als ze na klachten over hun klanten meteen ingrijpen.
  5. Als je de film al hebt gekocht, mag je deze ook downloaden. Dit is een subtiele. Downloaden uit illegale bron mag niet (meer), en iets van zeg Bittorrent afhalen is downloaden uit illegale bron. Of streamen met Popcorn Time. Dit wordt niet anders omdat je ook een dvd hebt gekocht met hetzelfde werk. De dvd-aankoop geeft je rechten met betrekking tot de film op de dvd, maar geen recht om uit eender welke bron een kopie van die film te betrekken. De dvd rippen naar een digitaal formaat mag wél.

Ik ben het onmiddellijk eens met iedereen die nu roept dat dit dus betekent dat auteursrecht niet goed samengaat met internet.

Misschien moet ik maar eens een mythische woensdag instellen?

Arnoud

Ben ik aansprakelijk voor auteursrechtinbreuk in een template?

| AE 5986 | Intellectuele rechten | 19 reacties

Een lezer vroeg me: Ik exploiteer een aantal webshops en bouw deze vaak met templates die ik netjes aankoop bij de welbekende template-sites. Maar laatst kreeg ik een factuur van een fotograaf vanwege een foto uit zo’n template. Toen ik verwees naar de templatesite zei hij dat hem dat niet uitmaakte en dat ik gewoon… Lees verder