Gastpost: Mag KPN weer ‘Eindeloos Spotify’ aanbieden?

| AE 8819 | Ondernemingsvrijheid | 2 reacties

onbeperkt-spotifyDeze week ben ik met vakantie. Vandaar zoals elk jaar een serie gastposts. Vandaag Michel Arts over Eindeloos Spotify op een netneutraal internet.

Ongeveer een jaar geleden was in het nieuws dat KPN moest stoppen met het aanbieden van ‘Eindeloos Spotify’. Wat was er ook al weer aan de hand? KPN bood een Spotify-abonnement aan waarvan het datagebruik niet ten koste ging van de databundel. Aanvankelijk stelde de Autoriteit Consument & Markt (ACM) dat op een dergelijke losse dienst (je kon ‘Eindeloos Spotify’ ook gebruiken in combinatie met abonnementen zonder databundel) de netneutraliteitsregels in de telecommunicatiewet niet van toepassing waren. Nieuwe beleidsregels van de minister van Economische Zaken scherpte de interpretatie van deze regels aan. Voortaan zouden ze ook van toepassing zijn op combinaties van losse diensten en internettoegang. Losse diensten zijn alleen nog maar uitgezonderd als ze niet in combinatie met internettoegang worden aangeboden.

Een van de netneutraliteitsregels is het verbod op prijsdiscriminatie: een aanbieder van internettoegangsdiensten mag zijn tarieven niet afhankelijk stellen van diensten of toepassingen die via het internet gebruikt of aangeboden worden. Het buiten de databundel laten vallen van het gebruik van Spotify is een vorm van prijsdiscriminatie. Als je een andere (muziek)dienst gebruikt gaat dat immers wel ten koste van je databundel. Vlak nadat de nieuwe beleisregels gepubliceerd werden stelde de ACM in een brief aan KPN dat zij geen nieuwe abonnementen meer met ‘Eindeloos Spotify’ mocht aanbieden. Bestaande contracten mocht KPN wel voortzetten omdat deze op uiterlijk 1 mei 2017 aflopen.

Sinds 30 april van dit jaar geldt er een Europese netneutraliteitsverordening. Hierover is al veel discussie geweest. Vorig jaar schreef Arnoud op dit weblog al een artikel over de vraag of ‘Eindeloos Spotify’ volgens deze verordening wel is toegestaan. De definitieve tekst van de verordening was toen echter nog niet bekend. Hij kon in de conceptverordening geen bepaling vinden op grond waarvan prijsdiscriminatie zou zijn toegestaan.

Intussen is de netneutraliteitsverordening in werking getreden. We kunnen nu dus nagaan of KPN ‘Eindeloos Spotify’ weer mag aanbieden. Dit komt dus neer op de vraag of prijsdiscriminatie nu wel is toegestaan. De Nederlandse regering is van mening dat prijsdiscriminatie ook volgens de nieuwe regels verboden blijft. In tegenstelling tot een richtlijn hoeft een verordening niet ge??mplementeerd te worden in de nationale wetgeving omdat een verordening rechtsstreeks van toepassing is. Toch moeten nationale wetten vaak wel aangepast worden aan zo’n verordening. Een wetsvoorstel tot aanpassing van de telecommunicatiewet aan de netneutraliteitsverordening ligt op dit moment bij de Eerste Kamer. Dit wetsvoorstel schrapt de nationale netneutraliteitregels. Aanvankelijk zou ook het verbod op prijsdiscriminatie geschrapt worden. Later diende de minister een nota van wijzigingen (een wijziging van een wetsvoorstel dat bij de Tweede Kamer in behandeling is) in waarin het verbod op prijsdiscriminatie toch gehandhaafd wordt. De minster was tot de ontdekking gekomen dat prijsdiscriminatie ook volgens de nieuwe Europese regels verboden is.

Hoe zit dat nu? Het derde lid van artikel 3 van de verordening bepaalt:

Aanbieders van internettoegangsdiensten behandelen bij het aanbieden van internettoegangsdiensten alle verkeer op gelijke wijze, zonder discriminatie, beperking of interferentie, en ongeacht de verzender en de ontvanger, de inhoud waartoe toegang wordt verleend of die wordt verspreid, de gebruikte of aangeboden toepassingen of diensten, of de gebruikte eindapparatuur.
Alleen redelijke verkeersmaatregelen zijn toegestaan. De minister ziet hier een algemeen discriminatieverbod in. Dus prijsdiscriminatie is ook verboden.

Uiterlijk op 30 augustus moet de BEREC (de samenwerkende Europese toezichthouders op het gebied van telecommunicatie) met richtlijnen komen waarin staat hoe zij de netneutraliteitsverordening interpreteert. Er is een consultatie geweest waarbij belanghebbenden hun standpunt konden indienen. Het startpunt voor deze consultatie was een concept met richtlijnen van de BEREC. In dit concept kiest de BEREC voor een genuanceerde benadering: prijsdiscriminatie is niet altijd verboden. Alleen “A zero-rating offer where all applications are blocked (or slowed down) once the data cap is reached except for the zero-rated application(s)” is volgens de BEREC altijd verboden omdat dit in strijd is met het derde lid van artikel 3 van de verordening.

De BEREC baseert haar beleid m.b.t. prijsdiscriminatie vooral op het tweede lid van artikel 3. Daarin staat

Overeenkomsten tussen aanbieders van internettoegangsdiensten en eindgebruikers over commerci??le en technische voorwaarden en de kenmerken van internettoegangsdiensten zoals prijs, datavolumes of snelheid, en alle commerci??le praktijken van aanbieders van internettoegangsdiensten, mogen de uitoefening van de in lid 1 bedoelde rechten van eindgebruikers niet beperken.
Hier wordt niet verwezen naar het derde lid van artikel 3 maar alleen naar het eerste lid. De BEREC concludeert
Article 3(2) clarifies that agreements between ISPs and end-users on commercial and technical conditions and the characteristics of IAS such as price, data volumes or speed, and any commercial practices conducted by ISPs are allowed, but shall not limit the exercise of the rights of end-users laid down in Article 3(1).
en hieruit trekt zij dan weer de conclusie dat prijsdiscriminatie niet in alle gevallen verboden is.

Is een Nederlands verbod op prijsdiscriminatie dan in strijd met de netneutraliteitsverordening? Naar mijn mening niet. Het tweede lid van artikel 3 stelt alleen maar dat overeenkomsten en commerci??le praktijken niet in strijd mogen zijn met het eerste lid van artikel 3. Voor het overige laat de verordening deze materie ongeregeld en dat schept ruimte voor nationaal beleid. De BEREC stelt juist dat overeenkomsten en commerci??le praktijken zijn toegestaan als dit niet in strijd is met het eerste lid van artikel 3. Dat is toch net iets anders als wat in de verordening staat. Mijn conclusie is daarom dat een nationaal verbod op prijsdiscriminatie is toegestaan omdat regulering van tarieven niet het onderwerp van deze verordening is. Nederland mag dus haar regels behouden en Eindeloos Spotify blijft gewoon verboden.

Michel Arts heeft elektrotechniek gestudeerd aan de Technische Universiteit Eindhoven. Naast techniek gaat zijn persoonlijke belangstelling uit naar (de geschiedenis van) auteursrecht, mediarecht en telecommunicatierecht.

Privacyfittie: Google versus de Europese Commissie

| AE 2882 | Privacy | 21 reacties

google-privacy.pngDit gaat nog leuk worden: Google en de Europese Commissie kwamen ongeveer tegelijkertijd met nieuwe privacyregels, maar ze gaan elk compléét de andere kant op. De EC heeft een machtig wapen ingevoerd: boetes tot 5% van de jaaromzet voor wie de privacywet negeert. Maar Google heeft ook een machtig wapen: uitsluiting van alle Googlediensten als hun privacyregels je niet bevallen.

Google heeft nu ongeveer zestig verschillende privacybeleiden en wil daar vanaf. Loffelijk, want er rammelde nogal wat aan die teksten. Dus nu maken ze één geconsolideerde tekst. En die rammelt gewoon in z’n eentje.

Korte samenvatting: wij verkrijgen gegevens van u, van anderen en wij leiden gegevens af van wat u allemaal doet (en wat u gebruikt en waar u bent). Wij gebruiken die voor onze diensten (joh), met name om je advertenties op maat voor te schotelen. We mogen informatie combineren, dus als we uit Gmail je echte naam halen dan mogen we die aan je andere profielen plakken en dat heb je maar te accepteren. Oh, en we geven geen informatie aan derden tenzij die zorgvuldig geselecteerd zijn en die zich beloven te gedragen. Bevalt u dat niet (“People have different privacy concerns”), dan kunt u opt-outen. Niet van alles; u kunt “bepaalde” zaken uitzetten, niet meer. Maar u mag natuurlijk altijd naar Bing.

Ongetwijfeld volstrekt toevallig verscheen het officiële voorstel voor de nieuwe Privacyverordening. Geen gedoe meer met nationale wetten maar gewoon één wet die in één klap alles regelt, zonder mogelijkheid om daar van af te wijken of aanvullende regels te stellen. Het zal vast geen verrassing zijn dat die regels compleet de andere kant op gaan dan waar Google heen wil.

Hoofdregel is dat je zo beperkt mogelijk met persoonsgegevens moet omgaan. Je moet specifieke en welomschreven doelen hebben, en gegevens mag je dan alléén daarvoor gebruiken. Daarbij moet je eigenlijk altijd toestemming hebben. Er is en blijft een uitzondering voor een eigen noodzaak, als die zwaarder weegt dan de privacy.

Er komen strakke informatieplichten, nog strakker dan we al hadden. Je moet kunnen inzien wat men over je weet (en dat moet je elektronisch kunnen opvragen), en je moet expliciet te horen krijgen hoe je daar correcties of verwijdering van kunt realiseren. Dat recht van verwijdering hadden we al, maar wordt nu enigszins melodramatisch omgedoopt tot “recht te worden vergeten” – de partij die je gegevens opsloeg, moet alle redelijke stappen nemen om je gegevens te wissen, inclusief verzoeken bij derden die de gegevens hebben overgenomen. Ja, daarmee bedoelen ze Google en andere mirrors, zoekindexen en archieven.

In de praktijk zal dat recht geen bal veranderen ten opzichte van wat we hebben (en maar goed ook). Er is namelijk een uitzondering: je hoeft gegevens niet te verwijderen als je gebruik onder de vrije meningsuiting valt. En in 95% van de gevallen willen mensen hun gegevens namelijk niet uit een databank hebben maar uit een forum, nieuwsartikel of blogarchief omdat de daarin geuite feiten hen niet meer bevallen.

En zoals gezegd staan er forse boetebepalingen in die de Commissie kan inzetten als bedrijven de regels negeren. Expliciet zijn die ook bedoeld voor internationale (lees: Amerikaanse) bedrijven die menen dat zij niet onder Europees recht vallen. Dus dat gaat nog leuk worden, want ik zie Google écht niet zomaar omrollen omdat de EC meent dat privacy een groot goed is en targeted advertenties eigenlijk maar smoezelige dingen zijn. Omgekeerd gaat de EC ook niet snel zeggen “oh, jullie zitten in Californië, nee laat maar dan, wij gaan eerst achter Ilse aan”.

Eerlijk gezegd vind ik beide aanpakken best wel slecht. Googles “wij mogen alles en als u dat niet bevalt gaat u maar lekker Bingen” is natuurlijk zo generiek dat het niet leuk meer is. Afgezien van zalvende woorden en een paar optoutaanvinkvakjes ben je op die manier compleet aan de zoekmachine overgeleverd. Maar wat de EC van plan is, zie ik ook niet werken. Zó veel invloed en controle bij mensen neerleggen is onwerkbaar, nog afgezien van het punt dat driekwart van de mensen (en dan ben ik positief) niet snapt wat er nu eigenlijk gebeurt en dus op voorhand overal maar mee akkoord gaat “anders doet ie het niet”.

Ik blijf erbij dat het beter is om het zo te doen:

  1. Je moet altijd dat categorisch kunnen weigeren (en toch de dienst kunnen gebruiken, mits dan tegen betaling);
  2. Je moet volledig disclosen wat je doet en waarom;
  3. Mensen moeten inzage krijgen in de data die je hebt en hoe je daar conclusies uit trekt;
  4. Als het niet klopt, moet je elke benadeelde burger 150 euro per fout voor betalen.

Arnoud

EU wil strenge nieuwe privacywet, nee dat moet anders

| AE 2805 | Privacy | 17 reacties

europees-recht-bakker.jpgDe Europese Unie wil de wirwar aan nationale wetten over databescherming vervangen door middel van een algemene voor de hele Unie geldende hervorming, las ik bij Nu.nl. Elk EU-land heeft nu een eigen privacywet, gebaseerd op Europese richtlijnen, maar deze moeten worden vervangen door een Europese Europese wet die precies bepaalt hoe het is, klaar. En zo te lezen gaan we heel wat toestemmingspopups krijgen als die er komt.

Reding wil een Verordening invoeren: een Europese wet die direct geldt, zonder dat de lidstaten zelf nog dingen mogen wijzigen of alternatieve regels mogen invoeren op dit punt. Dus als die Verordening er komt, mag Nederland geen eigen regels meer maken over wat Google met Streetview wel of niet mag doen. (Hoewel dat specifiek voor persoonsgegevens toch al niet bleek te mogen.) De rechter kan alleen nog toetsen aan de Verordening, waarbij hij hooguit indirect rekening mag houden met die lokale eigenaardigheden.

En die Verordening gaat streng zijn, als ik de speech van haar en Ilse Aigner goed begrijp:

EU law should require that consumers give their explicit consent before their data are used. And consumers generally should have the right to delete their data at any time, especially the data they post on the Internet themselves.

Met ‘explicit consent’ wordt nadrukkelijk iets strengers bedoeld dan de 48 pagina’s Terms of Service die Facebook en menig andere internetdienst hanteert. Mensen moeten snappen wat er gaat gebeuren en dan liefst op het moment zelf goed nadenken of ze dat willen, en dan uit vrije wil ja of nee zeggen.

Het idee is leuk maar dat gaat dus absoluut niet werken. Mensen snappen niet of willen niet snappen, of zijn niet geïnteresseerd in snappen, wat er allemaal gebeurt met hun persoonsgegevens. Ze willen gewoon hun porretjes sturen, mensen be- dan wel ontvrienden en op muren krabbelen (wat overigens prima is, daar niet van; die infantiele taal is niet mijn sarcastische keuze). En ze gaan ervan uit dat de bedrijven die ze dat laten doen, netjes met hun gegevens omgaan en “geen rare dingen” doen daarmee.

Nou kun je dat naïef vinden – mensen moeten weten wat voor enge dingen bedrijven allemaal doen en daar bezwaar tegen maken. Maar ik zie niet hoe je de gemiddelde consument in beweging krijgt om dat ook daadwerkelijk te doen. Laat staan om een cursus internetrecht te gaan volgen om te weten wat hun rechten en plichten zijn. Zou dat echt moeten voor je mag gaan Facebooken?

Logischerwijs zou de wetgever dan daarop moeten inspelen en als uitgangspunt nemen dat “rare dingen” niet mogen van de privacywet. Dat willen we niet hebben, dus dan moet het niet mogen.

Kennelijk voelt dat dan toch net weer iets te eng of zo, want net als bij de cookieregels wordt er dan toch maar naar het middel van “nou vooruit met expliciete, pardon uitdrukkelijke, pardon voorafgaande nee met geïnformeerde en vrije toestemming” gegrepen. Wat dus niet werkt want mensen klikken op whatever ze moeten klikken om hun porretje, krabbel of boerderijuitrusting te kunnen kopen.

Maar wat dan? Harde wettelijke regels à la “het is verboden mails te lezen om daar advertenties mee te targeten”? “Bonuskaartgegevens mogen niet worden gedeeld met verzekeraars”? En dan nog driehonderdvierentachtig van zulke regels? Hoe ga je dat in vredesnaam nog enigszins flexibel houden? Dat zie ik al helemaal niet gebeuren.

Nee, misschien moeten we het juist flexibeler maken. Profielen opbouwen en dingen daarop afstemmen, prima. Alleen:

  1. Je moet altijd dat categorisch kunnen weigeren (en toch de dienst kunnen gebruiken, mits dan tegen betaling);
  2. Je moet volledig disclosen wat je doet en waarom;
  3. Mensen moeten inzage krijgen in de data die je hebt en hoe je daar conclusies uit trekt;
  4. Als het niet klopt, moet je elke benadeelde burger 150 euro per fout voor betalen.

Dat laatste is natuurlijk de truc: hierdoor gaan mensen op zoek naar foutjes, natuurlijk puur om rijk van te worden, maar dat houdt die bedrijven wel scherp. Sommigen zullen dan maar afzien van profilen, anderen zullen de problemen kunnen beperken en weer anderen gaan failliet omdat ze te vaak boetes over zich heen krijgen.

In Duitsland bestaat een soort van vergelijkbaar systeem voor e-commerce. Bedrijven die de e-commercewet niet naleven, kunnen van voorheen ambulancesnajagende advocaten een schadeclaim verwachten. En ja, daardoor wordt er in Duitsland véél beter op die wetgeving gelet door bedrijven dan bij ons. (Bij ons kun je ook wel procederen over ontbrekende KVK-nummers op websites maar wat is je schade?)

Het lijkt me in ieder geval beter te kunnen werken dan “lees deze dertig pagina’s en geef dan vrijwillig uw toestemming”. Wat jullie?

Arnoud