Internetrecht door Arnoud Engelfriet

Uber test een nieuwe functie die passagiers audio laat opnemen wanneer ze zich niet op hun gemak voelen tijdens een rit. Dat las ik bij Tweakers. De opname wordt verstuurd naar Uber, zodat die de opname als bewijs kan dienen mocht dat nietpluisgevoel in verband staan met een daadwerkelijk onrechtmatig handelen. Creatief idee, al is het nog niet duidelijk hoe breed het zal worden ingezet. Maar het riep meteen bij mensen de vraag op of dat wel mag, zo stiekem de conversatie met de chauffeur opnemen enkel omdat jou het niet bevalt.

Bij het opnemen van gesprekken heb je in de praktijk te maken met zowel de AVG als de strafwet. Eerst maar die laatste. In veel landen (waaronder alle Europese landen en de VS) is het strafbaar om gesprekken van anderen op te nemen of stiekem af te luisteren met apparatuur. Iets ingewikkelder wordt het wanneer je zelf gesprekspartner bent. Dan verschilt het nogal per land of dat mag of niet.

In Nederland is de wet duidelijk: het is alleen strafbaar een gesprek op te nemen als je daar geen deelnemer aan bent – en ook niet opdracht van een deelnemer hebt om dat te doen. Maar in bijvoorbeeld Duitsland is het ook strafbaar om je eigen gesprekken op te nemen, tenzij de wederpartij daarmee instemt. (Wikipedia heeft een lijst per land.) Het is me niet duidelijk hoe ‘papier’ die wetten zijn, het voelt nogal cru dat je een slachtoffer van aanranding in de taxi gaat vervolgen wegens illegaal opnemen en de chauffeur vrijuit laat. Ik heb zoals u leest wel hele grote moeite met dit soort wetten, vanwege de bewijsnood die het vaak geeft en de botsing die je (mede daarom) met de vrijheid van informatiegaring krijgt.

De AVG kan ook een rol spelen, maar die is beperkt. Je eigen gesprekken opnemen is een verwerking van persoonsgegevens – van je gesprekspartner immers. Maar wie dat enkel doet om voor zichzelf dat gesprek vast te leggen (als bewijs dat er iets toegezegd is, dat er een bedreiging langskwam of iets dergelijks) die handelt daarmee voor strikt eigen huishoudelijk gebruik. Daarop is de AVG dan in het geheel niet van toepassing. (Zou je die opname gaan publiceren, dan geldt de AVG wel maar kom je wellicht in de journalistieke exceptie terecht.)

Zou de chauffeur deze functie gebruiken, dan wordt dat anders. Weliswaar kan die ook prima behoefte hebben aan een gespreksopname, want ook chauffeurs worden bedreigd, aangerand, uitgescholden of opgelicht (“geef me korting of ik geef je maar één ster”), maar een chauffeur handelt bedrijfsmatig en zijn verwerkingen van persoonsgegevens vallen dan wél gewoon onder de AVG. Hij zou dus op de taxi een sticker moeten doen dat er opnames in de taxi gemaakt worden, en een reglement hebben wat daarmee gebeurt. Ook als het een zzp’er is.

Voor Uber zelf is me nog niet duidelijk hoe het uitpakt. Als ze de opname alleen bewaren ten behoeve van de passagier, dan stellen ze zich op als verwerker en dan lijkt me er verder weinig mis mee. (Ik moet een examenvraag maken over de verplichtingen van een verwerker voor een niet onder de AVG vallende partij voor mijn opleiding senior privacyjurist.) Maar ik krijg het gevoel van dat tekstje dat Uber zélf gaat beslissen wanneer de opname wordt vrijgegeven en waarvoor, en dat zou maken dat ze zelf de verantwoordelijke worden (mogelijk samen met de passagier). In dat geval valt de opname wél onder de AVG en dan moet de app duidelijk aan de chauffeur maken dat er wordt opgenomen.

Arnoud

Taxibedrijf Uber heeft een boete van 600.000 euro gekregen van de Autoriteit Persoonsgegevens. Dat meldde Tweakers eerder deze week. Uber was te laat met het melden van een datalek, dat de gegevens van 174.000 Nederlandse klanten en chauffeurs betrof. De boete is lager dan je onder de AVG zou verwachten, maar dat komt omdat het datalek onder de oude Nederlandse wet werd uitgedeeld. Verrassend daarbij is dat de hostingpartij van Uber eveneens aangesproken wordt, en wel als zelfstandig verantwoordelijke. Dit terwijl gewoonlijk hosters juist als verwerker worden gezien die de data beheren in opdracht van hun klanten.

Het meest opmerkelijke aspect van het lek vond ik nog dat Uber bewust het lek onder de pet hield: de hackers die het datalek hadden gevonden, kregen een ton in dollars betaald om het maar geheim te houden. Dat is nou net niet de bedoeling onder de meldplicht datalekken, vandaar dat de boete relatief hoog uitviel. Terecht, wat mij betreft. Ook in Engeland vielen boetes, mede om die reden.

Wat mogelijk nog een dingetje wordt, is dat in het boetebesluit hostingbedrijf UTI eveneens wordt aangesproken voor het datalek. Dit omdat zij (mede)verantwoordelijke is voor de verwerkingen rondom de hosting van de gegevens, waarbij de beveiliging niet op orde bleek. En dat is raar, want de standaardopvatting is dat hosters slechts verwerkers zijn. Ze handelen in opdracht en doen wat de klant zegt, niet meer en niet minder.

In dit geval ging UTI echter wel verder dan gewoon klassiek hosten. Zo nam het bedrijf zelf beslissingen over de beveiliging en de wijze van opslag. Maar het belangrijkste nog is dat UTI en Uber gezamenlijk besloten wat er precies moest gebeuren. Dat is geen klassieke klant/leverancier relatie maar klinkt meer als een strategisch partnerschap. En dan is het niet zo gek dat er een vermoeden ontstaat dat je samen beslist voor welke doeleinden (en met welke middelen) je persoonsgegevens online zet.

Wat volgens mij de doorslag gaf, is dat UTI ook naar buiten trad als de aanbieder van de Uber-app (haar naam stond er in de appstore bij) en zelfstandig besloot hoe om te gaan met het datalek. Dan positioneer je jezelf wel heel erg in de rol van de eindbeslisser. Dat er dan een verwerkersovereenkomst is die wat anders zegt, helpt dan verder niet meer.

Hosters die nu denken, ik sla data op en beslis hoe deze te beveiligen dus ik ben verantwoordelijke, zo snel gaat het niet. Het blijft een afweging uit de totaliteit van omstandigheden. Een hoster die generieke software heeft voor beheer van gegevens en met zijn klant duidelijk afspreekt waar die aan toe is, zal weinig te vrezen hebben. Ook als je zelf je beveiligingsbeleid opstelt – zorg er voor dat de klant dit mag reviewen en er formeel al dan niet mee akkoord gaan, en je komt al een heel eind.

Beheer je clouddiensten of SaaS en bepaal je dus ook precies wat de software gaat doen, dan geldt deze les voor alles dat je aan de software toevoegt. Een klantendag voor elke nieuwe feature (of een stemmingsronde met unanimiteit) gaat te ver, maar zorg er wel voor dat de klant weet wat hij gaat krijgen en daar wat van kan vinden.

Arnoud

Uber stopt in alle steden met zijn testen met zelfrijdende auto’s na een dodelijk ongeval, las ik bij Nu.nl. Een zelfrijdende auto van het bedrijf heeft in Arizona een vrouw aangereden, waarna zij overleed. Uit het voorlopige onderzoek bleek dat de aanrijding waarschijnlijk overmacht was vanwege beperkt zicht, maar het is natuurlijk mogelijk dat uiteindelijk blijkt dat de auto of haar bestuurder toch meer te verwijten valt. En meer algemeen, wat doen we met de aansprakelijkheid van zelfrijdende voertuigen?

Het ongeval van afgelopen maandag lijkt een lastig te voorkomen incident geweest te zijn. Een vrouw stak op een onverwacht moment plotseling over met een fiets waar een hoop tassen aan hingen. De auto remde niet (en bleek iets te hard te rijden). “Het is duidelijk dat het moeilijk was geweest om een aanrijding te voorkomen, afgaand op de manier waarop het slachtoffer uit de schaduw de weg op liep.” Aldus de voorlopige conclusie van de politie.

In die omstandigheden zou denk ik in Nederland voor een gewone auto met bestuurder denk ik toch wel aansprakelijkheid ontstaan. De lat ligt namelijk erg hoog, en je moet altijd rekening houden met onverwachte zaken zoals overstekende personen. Een strafrechtelijke vervolging lijkt me uitgesloten maar de schade zul je (via de verzekering) toch denk ik wel moeten betalen.

Hoe een autonome auto precies in dat plaatje past, is nog niet echt duidelijk. Onze wetgeving kent het concept niet van een auto die zelf rijdt, maar gaat er vanuit dat er altijd een mens het stuur vasthoudt en de pedalen bedient (behalve indien relevante ontheffingen zijn verleend bij gehandicapte bestuurders). Het zou dus geen argument zijn dat de auto zelf besloot te remmen of juist door te rijden.

Ik ben er nog niet uit wat voor wetswijziging nodig zou zijn om dit op te lossen. Het voelt raar dat we een autonome auto aansprakelijkheidstechnisch anders behandelen dan een mensenbestuurde auto. Maar ze hetzelfde behandelen voelt óók gek want de werking is wezenlijk anders.

Misschien moeten we gewoon de hele vraag van aansprakelijkheid loslaten. We eisen dat auto’s zorgvuldig geprogrammeerd zijn maar verklaren auto-ongelukken te allen tijde als overmacht, waarbij de schade wordt betaald uit een fonds waar iedereen verplicht aan meebetaalt. Dan ben je de hele discussie kwijt én is iedereen zeker van zorg en vergoeding bij schade.

Arnoud

Het bedrijf Uber is een taxidienst met een app, geen bemiddelingsplatform. Dat blijkt uit het arrest van het HvJ van 20 december vorig jaar. De uitspraak volgt op vragen uit 2012 van de Spaanse rechter in een zaak aangespannen door een concurrent. Door deze uitspraak is het duidelijk dat de diensten van Uber als iedere… Lees verder

Een lezer vroeg me: Voor mijn werk (een klein ICT-bedrijf, paar jaar oud) moet ik regelmatig naar klanten. Nu heeft de directie gemeld dat we dit via Uber moeten gaan doen om de kosten te drukken. Iedereen moet nu een account bij dat bedrijf nemen, en de kosten mag je wekelijks declareren. Ik ben het… Lees verder

“We may collect, use, transfer, sell and disclose non-personal information for any purpose.” Zomaar een zin uit zomaar een privacyverklaring? Nou nee, deze stond in de Unroll.me verklaring, een handig bedoelde nieuwsbriefafmeldapp die stiekem van taxibedrijf Uber afkomstig bleek. Uber gebruikte de app om te ontdekken wie er met concurrent Lyft reed, om zo het… Lees verder

Een lezer vroeg me: Ik wil een app maken waarbij je dingen selecteert door er doorheen te swipen, net zoals bij Tinder. Mag ik dan zeggen dat ik “de Tinder voor X” ben? Dat is voor iedereen duidelijk en je hoort het ook de hele tijd in reclame en zo. Maar ik gebruik wel hun… Lees verder

Taxidienst Uber moet een voormalig chauffeur een vergoeding betalen van meer dan vierduizend dollar omdat ze volgens de rechter een medewerkers was, en geen zzp’er. Dat las ik bij NRC. De California Labor Commission, de lokale toezichthouder op de arbeidswetgeving in die staat, is eigenlijk geen rechter maar wel bevoegd om zulke uitspraken te doen…. Lees verder

Niet onbeleefd doen tegen je Uber-chauffeur, las ik bij Slashdot: straks geeft hij je een laag cijfer en dan krijg je nooit meer een illegale taxi, pardon een dienst bij een disruptieve innoveerder. En ja dat is een probleem, las ik in de New York Times, dat het voorbeeld noemt van een meneer met onverwacht… Lees verder

De Inspectie Leefomgeving en Transport heeft boetes opgelegd aan een viertal chauffeurs die via Uberpop taxiritjes aanboden, meldde Tweakers gisteren. Juridisch niet gek, want taxivervoer aanbieden zonder vergunning is een strafbaar feit. Maar kennelijk wel opmerkelijk omdat de taxi’s via een app zijn geboekt en de chauffeurs ook een account bij de appdienst hebben. Ik… Lees verder