Kun je via algemene voorwaarden je auteurs- en persoonlijkheidsrechten afstaan?

| AE 12983 | Ondernemingsvrijheid | 29 reacties

stevepb / Pixabay

Een interessante op het forum van Security.nl: “Bij ons in het dorp heeft een bedrijf diverse uitjes, dit is te boeken voor een groep. Van escaperoom, kinderfeestjes tot aan Wie is de Mol. Maar nu staat er in de Algemene voorwaarde dit:

7.5 Mogelijk zullen beeld- en/of geluidsopnamen worden gemaakt van het evenement en de deelnemers en worden opnamen openbaar gemaakt of verveelvoudigd. De bezoeker verleent onvoorwaardelijk toestemming tot het maken van voornoemde opnamen en exploitatie daarvan zonder dat de organisatie of derden een vergoeding aan de bezoeker verschuldigd is of zal zijn. Een eventueel naburig- en/of auteurs- en/of portretrecht draagt de bezoeker bij deze en zonder enige beperking over aan de organisatie. Voorts doet de bezoeker onherroepelijk afstand van het recht zich te beroepen op zijn/haar persoonlijkheidsrechten.
Tsja, hoe rechtsgeldig is zoiets. Het staat er -zoals zo vaak bij algemene voorwaarden- vooral omdat het mooi klinkt en je 90% van de klachten kunt pareren door meewarig te glimlachen en te zeggen “ja meneertje, maar artikel 7.5 zegt wat anders he”.

Het achterliggende punt is natuurlijk dat de organisatie video wil produceren op zo’n evenement, bijvoorbeeld voor reclame of social media. Dat kan niet zomaar, de mensen die daar rondlopen hebben recht op privacy en bescherming van hun persoonsgegevens. (Vroeger zouden we dan ook nog zeggen dat mensen portretrecht hebben als ze gefilmd worden, maar portretrecht is opgegaan in de AVG.)

Wat hier opvalt, is dat deze clausule zijn leven begon als een auteursrechtclausule, waar het portretrecht en persoonlijkheidsrechten aan toegevoegd zijn. Als forensisch jurist zeg ik dus dat deze tekst geschreven is door een IE-specialist. Echter, de kans dat een bezoeker een naburig of auteursrechtelijk relevante handeling verricht op het evenement is minimaal. Nog los van het feit dat voor overdracht van die rechten een ondertekend document nodig is, en algemene voorwaarden worden niet ondertekend.

Privacy/AVG technisch is dit een stuk lastiger te regelen. Je kunt in AV geen toestemming opeisen voor gebruik van je persoonsgegevens, dat moet immers van de AVG expliciet en dus apart gebeuren. Bovendien moet je vrijelijk toestemming kunnen weigeren en intrekken – je hebt er dus eigenlijk niets aan, als je toestemming vraagt aan mensen.

En ja, specifiek bij journalistieke verwerkingen is toestemming niet intrekbaar, dat klopt. Maar het soort video dat deze organisatie gaat maken zou ik héél moeilijk een journalistieke verwerking kunnen noemen, hoewel ik daar normaal erg ruimhartig in ben. Maar zelfs dan blijft het punt over dat je de toestemming expliciet moet vragen en dat deze vooraf geweigerd moet kunnen worden.

Arnoud

Oostenrijks hof vraagt EU-hof of Facebook met gebruikersdata GDPR ‘ondermijnt’

| AE 12801 | Ondernemingsvrijheid, Privacy | 9 reacties

Het Oostenrijkse Hooggerechtshof heeft het Hof van Justitie van de Europese Unie gevraagd of Facebook juridisch gezien wel gebruikersdata mag verwerken. Dat las ik bij Tweakers. De vraag draait om het verschil tussen toestemming en een contract als grondslag om persoonsgegevens te mogen verwerken. Sinds de AVG van kracht is, houdt Facebook namelijk vol dat mensen bij hen een dienst met gepersonaliseerde advertenties bestellen (als in: een daartoe strekkende overeenkomst sluiten) zodat je het niet over toestemming hoeft te hebben. Eh, wat.

De vragen van het Hof komen (hoe kan het ook anders) uit een rechtszaak die de privacyvoorvechters van None Of Your Business hebben aangespannen. NOYB verzet zich op alle mogelijke manieren tegen de Amerikaanse dataplundering van Facebook en consorten, en dan is dit een logische stap.

Facebook had in het verleden altijd gezegd dat het zich beriep op toestemming. Maar sinds de AVG is toestemming een heikele, zo niet onmogelijke grond om mee te werken: toestemming kan op ieder moment worden ingetrokken en dat mag geen vervelende consequenties hebben. Logisch dus dat de Facebook-juristen al snel bedachten dat je beter op uitvoering overeenkomst kon gaan zitten, want dat is niet zomaar intrekbaar. Besteld is besteld, zeg maar.

De vraag is alleen: wát is er dan besteld. Waren dat die advertenties (graag met een onsje extra personalisatie en hee wat leuk, de doorverkoop voor militaire gezichtsherkenning is afgeprijsd, doe maar) of was dat de communicatiedienst, het kunnen chatten en lezen wat mijn vrienden online doen? Mijn idee was altijd het laatste, maar omdat de Facebook-juristen zo nadrukkelijk hameren op het eerste, moeten we daar een juridische discussie over gaan voeren.

Het Oostenrijkse Hof citeert allereerst een berg literatuur die hier vrij negatief over is: Facebook is steeds het standaardvoorbeeld van een dienst met het niet-essentiële aspect van advertenties erbij. Dat helpt niet voor de beeldvorming, zullen we maar zeggen. En dan concludeert men:

The objective purpose of the contract is decisive for the definition of “necessary” in the sense of Art. 6(1)(b) of the GDPR. Artificially or unilaterally imposed services cannot be subsumed under this. The necessity of data processing for the performance of a contract depends on whether there is a direct factual connection between the intended data processing and the specific purpose of the legal obligation. … The fact that the purposes of the processing are covered by contractual clauses formulated by the provider does not automatically mean that the processing is necessary for the performance of the contract.
Dat laatste is denk ik de kern: dat een partij zegt dát het hoort bij de dienst, maakt het nog niet écht noodzakelijk voor de dienst. Daarvoor is een objectieve toets nodig. Alleen: hoe ziet die toets eruit, en hoe veel speelruimte mag je daar dienstverleners in gunnen? Is bijvoorbeeld bij WhatsApp het noodzakelijk dat iedereen mijn profielfoto ziet, of is enkel de door mij ingevulde naam noodzakelijk om te tonen aan contacten? Of ook dat niet?

Tijd dus om de hoogste Europese rechter hier een uitspraak over te laten doen. Helaas duurt dat altijd wel een dik jaar.

Arnoud

Kan iemand mij uitleggen waarom ik het gerechtvaardigd belang van anderen aan en uit kan zetten?

| AE 12691 | Ondernemingsvrijheid | 10 reacties

Via Reddit:

Al een tijdje krijgen we in de koekjesschermen een andere keuze. Het gaat niet alleen meer om waar ik toestemming voor geef, maar ook om gerechtvaardigd belang. … Wat ik niet snap, is waarom ik dan in de cookiebanner naast de toestemmingsvraag ook een vraag krijg over legitiem belang. Er staat legitiem belang en dan met een slider ernaast. Alsof ik het legitieme belang van een bedrijf aan en uit kan zetten. Wat doet die slider daar?

Adverteerders zijn een jaartje of zo geleden ineens massaal van de toestemming afgestapt en naar legitiem belang gegaan. Waarom is me nog steeds niet helemaal duidelijk, maar ik vermoed dat men de bui wel zag hangen dat met cookiemuren afgedwongen toestemming niet rechtsgeldig zou zijn.

Legitiem belang of gerechtvaardigd belang is een andere grondslag: je zegt dan eigenlijk, ik mag dit gewoon want mijn belang weegt zwaarder dan uw privacy. Daar horen dan bepaalde privacybeschermende maatregelen bij. En de marketeers hebben dan het voordeel dat in overweging 47 staat dat “verwerking van persoonsgegevens ten behoeve van direct marketing kan worden beschouwd als uitgevoerd met het oog op een gerechtvaardigd belang.” Het jargon spreekt overigens van “legitiem belang” omdat de Engelse tekst ‘legitimate interest’ zegt.

Die slider heb ik ook altijd over zitten denken. Ik had altijd het beeld dat die er was omdat hij er bij toestemming ook stond, en dat daar verder niet over nagedacht is. Want het is niet logisch, dat je iemands belang aan of uit kunt zetten.

Als je even doorbladert in de AVG dan kom je uit bij het recht van bezwaar, artikel 21 AVG:

1. De betrokkene heeft te allen tijde het recht om vanwege met zijn specifieke situatie verband houdende redenen bezwaar te maken tegen de verwerking van hem betreffende persoonsgegevens op basis van artikel 6, lid 1, onder e) of f), van artikel 6, lid 1, met inbegrip van profilering op basis van die bepalingen. De verwerkingsverantwoordelijke staakt de verwerking van de persoonsgegevens tenzij hij dwingende gerechtvaardigde gronden voor de verwerking aanvoert die zwaarder wegen dan de belangen, rechten en vrijheden van de betrokkene of die verband houden met de instelling, uitoefening of onderbouwing van een rechtsvordering.
Bezwaar maken kan dus, maar het moet gaan om redenen vanwege zijn specifieke situatie, zeg maar persoonlijke redenen. En dan moet een afweging volgen: heeft de verwerkingsverantwoordelijke dwingende gronden om tóch door te gaan?

Maar voor direct marketing is het simpeler:

3. Wanneer de betrokkene bezwaar maakt tegen verwerking ten behoeve van direct marketing, worden de persoonsgegevens niet meer voor deze doeleinden verwerkt.
Je moet de slider dus zien als zo’n bezwaar tegen marketing. De slider op uit zetten is dus “I object”, ik maak bezwaar. Dat voelt ergens niet correct, UI-technisch gezien, maar het werkt wel.

Arnoud

Heeft die consent-balk van Teams bij video-opnames ook maar enige betekenis?

| AE 12255 | Ondernemingsvrijheid, Privacy | 29 reacties

Via Twitter: als tijdens een videooverleg de organisator ‘opnemen’ aanzet dan lijkt dit me geen AVG-conforme manier om toestemming omdat die ‘vrijelijk’ gegeven moet worden. Ik verbaas me ook regelmatig over dat balkje bovenin de meeting, met de tekst “This meeting is being recorded. By joining you are giving consent for this meeting to be… Lees verder

Waarom hebben alle cookiepopups ineens een legitiem belang?

| AE 12221 | Privacy | 13 reacties

Een lezer vroeg me: Sinds een tijdje valt me op dat allerlei cookiepopups niet alleen om toestemming vragen, maar ook opties aanbieden onder het kopje “legitiem belang”. Vaak kun je die opties niet uitzetten, maar soms wel alleen heet dat dan “bezwaar”. Wat is dit in vredesnaam? Wie dit heeft bedacht, weet ik ook niet,… Lees verder

Mag de horeca gasten weigeren die geen naam en contactgegevens willen geven?

| AE 12137 | Ondernemingsvrijheid, Privacy | 33 reacties

Horecagelegenheden mogen gasten die geen naam en contactgegevens willen geven niet weigeren, las ik bij Security.nl. Dit blijkt uit een bericht van Koninklijke Horeca Nederland in reactie op de nieuwe maatregelen voor de horeca in de strijd tegen corona. Een van die nieuwe regels is dat iedere horecatent moet werken met reserveringen, ook als het… Lees verder

Moet ik nog zeggen dat die ondergoedfotoapp van Albert Heijn van de AVG niet mag?

| AE 11634 | Ondernemingsvrijheid, Privacy | 28 reacties

Winkelpersoneel van Albert Heijn is binnenkort in nieuwe bedrijfskleding te zien. De maat zou worden bepaald door foto’s in ondergoed. Dat las ik bij NRC (dank, vele tipgevers, ook voor dit gedicht). De foto’s worden – als ik het goed begrijp – door een AI geanalyseerd om zo de best passende maat te weten te… Lees verder

Toestemming vragen voor inzage in je studieschuld is waarom toestemming niet werkt

| AE 11517 | Privacy | 21 reacties

“Hypotheekverstrekkers gaan toestemming voor toegang tot studieschuld bij DUO opvragen”, las ik in het AD vorige week. Momenteel hebben hypotheekverstrekkers hier standaard geen informatie over, zodat het kan gebeuren dat mensen een hogere hypotheek krijgen dan verstandig zou zijn als wél rekening zou zijn gehouden met de DUO schuldpositie. Maar softwarebedrijf Ockto gaat komende maand… Lees verder

Wie toestemming onder de AVG vraagt, snapt de AVG niet (of heeft een nieuwsbrief)

| AE 11479 | Privacy | 33 reacties

Een lezer vroeg me: Van mijn garagebedrijf kreeg ik een toestemmingsformulier voor het verwerken van mijn gegevens: opname in klantenbestand, verstrekking van mijn persoonsgegevens aan derden in het kader van betalingen en verstrekking van mijn persoonsgegevens aan partners in het kader van een goede dienstverlening, zover dit nodig is. Waarom eist de AVG in hemelsnaam… Lees verder

Mijn werkgever wil me op social media neerzetten, moet ik daaraan meewerken?

| AE 11428 | Ondernemingsvrijheid, Privacy | 17 reacties

Een lezer vroeg me: Mijn werkgever (een mkb-bedrijf met 14 man) wil dat wij allemaal onszelf op internet zetten. Op de bedrijfswebsite “zodat de klant weet wie er langskomt” en ook op social media, om onszelf te promoten. We moeten zelfs meedoen aan discussies op Linkedin. Na wat geruzie heeft een collega voorgesteld dat we… Lees verder