Mag je zelf bepalen wanneer je een datalek meldingswaardig vindt?

| AE 12252 | Privacy | 21 reacties

Tientallen keren per jaar komt privacygevoelige informatie van patiënten door datalekken bij het Noordwest Ziekenhuis in Alkmaar en Den Helder in verkeerde handen terecht. Dat las ik bij Langedijk Centraal, dat het weer van het Noordhollands Dagblad had. Vaak gaat het om verkeerd geadresseerde post, maar ook om rondslingerende usb-sticks of geneus zonder toestemming. En, zo lazen diverse tipgevers,  “Over het algemeen is degene die onbedoeld met informatie over een ander in aanraking komt een betrouwbare partij die het netjes terug bezorgd. Dat hoeft niet te worden gemeld aan de Autoriteit Persoonsgegevens of de betrokkene.” Met dus het welbekende CBR-motto er achteraan.

Volgens de AVG is iedere vorm van inbreuk op de beveiliging van persoonsgegevens een datalek (artikel 4 definitie 12), als die leidt tot al dan niet bedoelde verwerking in strijd met de AVG. Dus inderdaad is het verkeerd versturen van medische informatie een datalek, een usb-stick met onbeveiligde dossiers laten slingeren ook en het zonder bevoegdheid lezen van iemands medische statuschart eveneens.

Ieder datalek moet worden gemeld bij de AP (artikel 35 AVG), en wel zo snel mogelijk. Dus niet “binnen 72 uur”, dat is alleen de bovengrens voor “zo snel mogelijk”. Er geldt alleen een grote uitzondering:

tenzij het niet waarschijnlijk is dat de inbreuk in verband met persoonsgegevens een risico inhoudt voor de rechten en vrijheden van natuurlijke personen
De richtsnoeren van het Comité noemen als voorbeeld hiervan het feit dat het nieuwsbriefsysteem van een energiebedrijf er door een storing een week uitligt, zodat de klanten geen nieuwsbrief met nuttige weetjes over energiebesparing krijgen. Dat is geen risico voor die klanten, dus dit datalek (onbeschikbaarheid van persoonsgegevens) hoeft niet te worden gemeld.

Bij medische informatie zou je toch snel aannemen dat je wél een risico hebt. Maar de ziekenhuiswoordvoerder lijkt te doelen op de specifieke situatie dat de ontvanger betrouwbaar is en dus geen misbruik van de gegevens maakt. Bijvoorbeeld wanneer iemand bij de rookpaal een usb-stick vindt, die inlevert bij de receptie waar net twee minuten eerder een arts zich meldde met “heeft iemand een usb-stick gevonden”. Dan kun je zeggen, de kans is zeer klein dat er misbruik van de stick is gemaakt (natuurlijk, het kán dat de vinder snel een kopie heeft getrokken maar hoe waarschijnlijk is dat), en dan hoef je dat niet te melden.

Ik heb zelf wel eens een Excelsheet met persoonsgegevens per abuis naar mijn notaris gemaild in plaats van naar de beoogde ontvanger (zelfde voornaam, Outlook, jaja precies). Dat vond ik geen meldingsplichting datalek omdat de notaris geheimhouding heeft, en als die dan zegt het bestand meteen te vernietigen dan is dat genoeg. Maar dat gaat dus goed vanwege de speciale status van die notaris én de werkrelatie die ik met die persoon heb.

Ik ken ook het verhaal van iemand die klant A een lijst persoonsgegevens mailde die voor klant B bedoeld was. Daar hing hij binnen 30 seconden aan de lijn bij A, die vertelde in het gesprek “ik druk nú op delete en nú op prullenbak leeg” en daarna bevestigde hij dat schriftelijk, inclusief de toezegging “ik vertel niets hierover en mochten er backups zijn dan gooi ik het bestand daaruit ook weg; als ik lieg mag je me 100% aansprakelijk stellen”. Dat is denk ik ook wel genoeg, gezien de grote snelheid en de betrouwbaar overkomende reactie.

In het algemeen zeggen “het leek zo’n aardige man/vrouw” zou ik daarentegen wat mager vinden. Je neemt dan een risico, maar ik zie het ergens wel: waarschijnlijk heb je een langdurige patiëntrelatie met mevrouw A, dus als de behandelend arts die belt en zegt “ach wilt u die brief aan B in de kachel stoppen” en mevrouw reageert positief, dan kun je wel aannemen dat A dat ook echt doet. Ik zou die brief dan niet melden – als het om één (of een handvol) brieven gaat. Stuurde je er 500 naar verkeerde personen, dan is dat nabellen nauwelijks te doen én is er vast wel iemand die kwaad wil.

Arnou

Speluitgevers maken bezwaar tegen opheffen merkrecht offline gehaalde games

| AE 10410 | Intellectuele rechten | 16 reacties

Verschillende speluitgevers hebben bezwaar aangetekend tegen het verzoek om online games vrij te stellen van merkrecht als ze offline worden gehaald. Dat schreef Nu.nl vorige week. Juridische jeuk: het gaat over auteursrecht, niet over merkrecht. Het punt is namelijk dat de US Copyright Office, die dus over copyrights gaat en niet over trademarks, van plan is een uitzondering op de Amerikaanse auteurswet in te voeren waarmee ‘abandonware’ online games in musea of bibliotheken mogen worden opgenomen. Abandonware wil zeggen dat de eigenaar het spel achtergelaten heeft, zodat er geen economische reden meer zou zijn dit tegen te houden. Toch vinden deze speluitgevers dit buitengewoon vervelend.

Het begrip abandonware bestaat al langer. Een hele hoop software slingert nog her en der op internet rond terwijl de uitgever of maker al lang verdwenen is, bijvoorbeeld door een faillissement. Dat voelt zonde, vandaar dat er mensen zijn die dergelijke software opzoeken en proberen beschikbaar te houden. Net zoals met oude boeken of kranten wel gebeurt.

Een lastig punt daarbij is dat je voor gebruik van software kopieën moet maken, waardoor je tegen de Auteurswet aanloopt. Een oud boek mag je gewoon op de plank zetten als museum, en je mag mensen er doorheen laten bladeren zonder dat de Auteurswet daar iets van vindt. Maar een oud spel of ander stuk software beschikbaar stellen kan dus eigenlijk niet. In de VS is daar een regeling voor; het US Copyright Office heeft de bevoegdheid om uitzonderingen op de Auteurswet op te nemen en heeft dat gedaan voor oude spellen. Dit vanuit de motivatie dat dat deel is van het cultureel erfgoed (“wie is er niet opgegroeid met”).

Steeds meer spellen worden als dienst aangeboden: je hebt een server nodig om te spelen, bijvoorbeeld in een multiplayer modus of vanwege anti-valsspeelchecks. Als zo’n spel nu ook abandonware wordt, dan moet dus die server op een of andere manier ook worden nagemaakt door het museum of de bibliotheek.

Dat is waar de game-uitgevers bezwaar tegen maken, want dat gaat een stuk verder dan een rondslingerende kopie van software zonder zichtbare eigenaar op je museale harddisk zetten. Tegelijkertijd denk ik dan, juist als er geen eigenaar is, wat is dan het probleem van het klonen van de server? Wie zou daar bezwaar tegen hebben, tegen mógen hebben als de eigenaar weg is? Ik kom niet verder dan situaties waarin de serversoftware ook wordt gebruikt door andere aanbieders, zodat ook hun spellen met de kloonserver gespeeld kunnen worden.

De speluitgevers richten hun pijlen met name op het feit dat die musea geld verdienen door bijvoorbeeld toegang te vragen tot de ruimte waar de spellen liggen ($10 voor een dag gamen in het museum). Dat zou het “commercial use” maken, iets dat niet toegestaan is onder de beoogde uitzondering.

Arnoud

Is fair use een goed idee in ons auteursrecht?

| AE 2899 | Intellectuele rechten | 9 reacties

fair-use.pngVorige week werd het congres “Towards flexible copyright” gehouden. Ik kon er helaas niet bij zijn maar de diverse tweets van aanwezigen lieten al zien welke kant het op ging: moeten we het Amerikaanse fair use overnemen in de wet of niet ?

Fair use is een Amerikaans concept. Kort gezegd komt het erop neer dat een gebruik van een werk geen inbreuk is als dat ‘fair’ oftewel billijk is, zeg maar dat de rechthebbende eigenlijk niet behoort hierover te kunnen klagen. Het concept is in de rechtspraak ontwikkeld en op zeker moment expliciet vastgelegd in de wet. Er zijn vier factoren waarmee een belangenafweging wordt gedaan, waarbij onder meer het al dan niet commerciële karakter van je gebruik en de mate van letterlijk of transformerend gebruik wordt betrokken.

Bij ons bestaat dat systeem niet. In Europa geldt dat auteursrecht over álle vormen van verveelvoudiging en openbaarmaking gaat, tenzij er een expliciete uitzondering in de wet aan te wijzen is die zegt van niet. De Auteursrecht-richtlijn zegt expliciet

Deze richtlijn bevat een uitputtende opsomming van de beperkingen en restricties op het reproductierecht en het recht van mededeling aan het publiek.

en voor het geval iemand toch nog eens zo’n beperking of restrictie gebruikt op een manier waar een rechthebbende van gaat huilen, is er de driestappentoets waarmee de beperking afgeschoten kan worden. Waar vroeger nog de Hoge Raad een gaatje openliet voor zelfbedachte uitzonderingen wanneer “de behoefte aan de desbetreffende begrenzing door de wetgever niet is onderkend en zij past in het stelsel van de wet”, kunnen we dat nu -met dank aan Europa- eigenlijk wel vergeten.

Het voordeel van het Amerikaanse systeem is dat je veel flexibeler kunt zijn. Wanneer een nieuwe technologie langskomt, kan de rechter bepalen dat het eigenlijk fair is dat er op deze manier gebruik van werken gemaakt wordt. Als bij ons zoiets gebeurt, dan moet de wet worden aangepast en dat duurt járen. In de tussentijd is de technologie eigenlijk illegaal. Vanwege een beroep op fair use wist Sony in de VS dan ook de videorecorder legaal te krijgen. De Supreme Court vond timeshiften een billijke vorm van gebruik van films en televisieprogramma’s.

Het grote nadeel is echter dat het tot onzekerheid leidt. In het sue-happy Amerika zie je dan ook dat in de praktijk er lang niet zo vaak op fair use wordt gerekend als je wellicht zou denken. Wie wel eens Discovery Channel of MTV kijkt, heeft ongetwijfeld de afgeblokte petjes of shirts gezien: daar staan auteursrechtelijk beschermde werken op, en die rechten zijn niet gecleard dus ze mogen niet worden getoond. Dat het tonen van een werk op een shirt wellicht fair use is, zou kunnen maar het zóu ook kunnen dat er wordt gesued en dat de rechter het dan niet fair noemt.

Dit heeft natuurlijk ook te maken met de gigantische kosten van een rechtszaak in de VS. Wie niet minimaal een ton advocatenbudget heeft, kan het wel vergeten. Dus ook al lijkt een fair use defense haalbaar, je kunt maar beter voorkomen dat een claim gebracht kan worden.

Bij ons zijn rechtszaken iets goedkoper, en bovendien ook een stuk sneller klaar. Dus als onze rechter een mogelijkheid krijgt een eerlijke afweging van de belangen te maken, dan lijkt fair use een prima systeem bij ons. Maar ik weet het niet. Je zult de factoren héél duidelijk moeten vastleggen om aan te geven wat de bedoeling is en wat niet. En daar gaat dan een hele partij gelobby overheen, waarna we ongetwijfeld iets heel vaags met voorbehouden en mitsen en maren overhouden – en als je niet uitkijkt met de mits dat het niet de normale exploitatie van het werk mag aantasten want dan is de exceptie meteen dood te slaan.

Verder blijft het hoofdprobleem dat 90% van het gebruik van andermans werk ook onder fair use niet legaal is. Wat er op Bittorrent of Usenet gebeurt krijg je met geen honderdduizend fair use factoren rechtgepraat. Mensen die dat soort diensten willen ontwikkelen, blijven dus met het probleem zitten dat ze dat niet mogen. Want toestemming krijg je niet. Laat je vooraf zien wat je dienst kan, dan is het te speculatief of worden er irreële royaltybedragen geëist. En lanceer je zonder toestemming, dan ben je een piraat. En dát schiet niet op natuurlijk.

Arnoud