Met dank aan Wouter Dammers, SOLV. Dagblad De Pers bericht vandaag over de onduidelijkheid van privacyvoorwaarden van bedrijven als Facebook, Google en Apple. Dit naar aanleiding van de recente berichten over de opslag van locatiedata door de Apple iPhone en Google Android telefoons en de (vermeende) verkoop van data door TomTom, dat heeft gezorgd voor een licentiewijziging. Stuk voor stuk betreffen dit voorbeelden van hoe jouw persoonsgegevens gebruikt kunnen worden, zonder dat je je daar bewust van bent, of hoe het mis kan gaan met jouw (persoons)gegevens. Het artikel in De Pers geeft aan dat je als gebruiker van de diensten van deze bedrijven vaak (onbewust) akkoord hebt gegeven voor de opslag van jouw locatiedata, of dat het bedrijf jouw persoonsgegevens mag delen met derden...

In het artikel in De Pers leg ik uit dat de gebruiks- en privacy voorwaarden van deze bedrijven aan duidelijkheid te wensen over laat. Natuurlijk gaat de gemiddelde gebruiker deze voorwaarden niet stuk voor stuk doorlezen. Het betreffen meestal lange, lastige juridische documenten, waar het aan duidelijkheid te wensen over laat. Vaak wordt ook nog eens in het ene document verwezen naar een ander document, welke vervolgens weer verwijst naar een ander document. Door de spreekwoordelijke bomen zie je het bos niet meer.

Gelukkig heeft ook de Europese wetgever in de gaten dat "gewone mensentaal" veel meer duidelijkheid geeft aan de betrokkene - degene waar het om draait bij de verwerking van persoonsgegevens. Europa heeft, onder meer om deze reden, aangegeven om de huidige Privacy richtlijn - de richtlijn waarop onze Wet bescherming persoonsgegevens is gebaseerd - te herzien.

Een van de speerpunten bij die herziening is dat er meer duidelijkheid en transparantie moet komen voor de betrokkene (lees: de gebruiker).

Transparantie vormt een basisvoorwaarden, willen individuen controle kunnen uitoefenen over hun eigen gegevens en zich van een effectieve bescherming van hun persoonsgegevens kunnen verzekeren. Daarom is het van wezenlijk belang dat individuen door degenen die voor de verwerking verantwoordelijk zijn goed en duidelijk, op een transparante wijze, worden geïnformeerd over hoe en door wie hun gegevens worden verzameld en verwerkt, voor welke doeleinden, gedurende welke periode en in hoeverre zij het recht hebben hun gegevens in te zien, te corrigeren of te wissen.,

aldus een mededeling van de Europese Commissie. De huidige bepalingen die op de informatieverplichting voorzien, zouden niet meer volstaan:

Transparantie vereist in essentie dat de informatie vlot toegankelijk en gemakkelijk te begrijpen is en dat duidelijke en eenvoudige taal wordt gebruikt. Dit is in het bijzonder relevant in een online-omgeving, waarin privacyverklaringen vaak onduidelijk, moeilijk te vinden, ondoorzichtig en niet steeds conform de bestaande voorschriften zijn. Waar dit met name het geval zou kunnen zijn, is bij online "behavioural advertising" (gerichte reclame op basis van het surfgedrag). Zowel het grote aantal spelers dat zich ermee bezighoudt als de technologische complexiteit van deze praktijk maken dat het voor een individu moeilijk is te weten en te begrijpen of, door wie en met welk doel persoonsgegevens worden verzameld."

De Commissie overweegt bijvoorbeeld om een of meer EU-standaardformulieren (privacyverklaringen) op te stellen die door de voor de verwerking van gegevens verantwoordelijken moeten worden gebruikt. Een privacybijsluiter in normale mensentaal dus. Wat dat betreft is dat alleen maar aan te moedigen. Maar of het de situaties als in de inleiding van deze blog genoemd zal voorkomen durf ik te betwisten. Privacy by Design, een van de andere speerpunten van de herziening van de privacy richtlijn, zal in mijn optiek meer resultaat hebben in deze gevallen. Zo was het een 'foutje' van Apple dat de locatiedata werden opgeslagen. Iets wat met een software update gecorrigeerd zal worden.

Het staat bedrijven natuurlijk vrij om verder te gaan dan enkel een privacybijsluiter. Het is alleen maar aan te moedigen om met duidelijke grafische of audiovisuele uitleg aan te geven welke persoonsgegevens voor welke doeleinden worden gebruikt. Maar mijns inziens zou dit geen verplichting moeten zijn: Een duidelijke privacy verklaring - in combinatie met privacy by design - kan in mijn optiek volstaan.

Bron afbeelding: Onder CC BY-ND 2.0 licentie https://geekandpoke.typepad.com/geekandpoke/2006/11/googles_privacy.html

In navolging van IT 240 en IT 335 Inmiddels is het hostingbedrijf Alejandra transporte S.A. over de kop en zag de eigenaar geen andere uitweg dan een schikking. Het bedrijfje, in Costa Rica gevestigd, werd door Stichting BREIN beschuldigd de topsite SWAN te hosten. Een topsite wordt gebruikt om warez te verspreiden, op te slaan en archiveren.

Onderdeel van de schikking is, anders dan eerder door BREIN bericht, dat vier van de acht servers worden gewist. Of daar onrechtmatige content op staat/stond, weet de hostingprovider niet. Stichting Brein houdt vol dat er illegale content op de servers staat", zegt Antic. Het is echter onduidelijk hoe Brein daarachter is gekomen zonder de servers inhoudelijk te bekijken, zoals het altijd heeft volgehouden. Verder is er door BREIN een geldbedrag betaald, voor gemaakte (on)kosten, desondanks is de kleine hostingprovider over de kop gegaan.

Op tweakers staat in een "BREIN update" vermeld dat AlTransa niet zou bestaan. "Dit is onzin" aldus Advocaat Milica Antic: "er zijn genoeg bewijzen overlegd dat het bedrijf activiteit ondernam en bestond". Op dit moment lijkt het een overwinning voor BREIN, slechts vanwege gebrek aan financiën bij het buitenlandse hostingbedrijfje.

Vorige week werd bekend dat Apple en Google locatiegegevens opslaan op hun mobiele telefoons. Zonder toestemming van de gebruiker worden tijdstippen en locaties opgeslagen op Iphone en Android telefoons. Deze gegevens zijn niet beveiligd. Intussen blijkt ook Microsoft gebruik te maken van dergelijke locatie verzameling.

Apple heeft het recht deze gegevens te verzamelen en verkopen aan derde partijen blijkt uit de privacyvoorwaarden die het vorig jaar heeft ingevoerd. Google zegt dat gebruikers wel expliciet om toestemming wordt gevraagd om gebruik van de locatiegegevens, zodat Google hen een betere gebruikservaring kan leveren. Beide partijen stellen dat deze gegevens worden geanonimiseerd dus niet te herleiden zijn naar de gebruiker.

Intussen zijn in de Verenigde Staten al twee rechtszaken tegen Apple hierover aangespannen. Deze consumenten klagen over misleiding en fraude en eisen de optie om locatiediensten uit te schakelen.

Lees meer hierover op webwereld.nl (link)

Het tijdschrift Bright publiceerde afgelopen vrijdag een onderzoek naar de gebruikersvoorwaarden van enkele bedrijven zoals o.a. Apple, eBay, Facebook, Flickr, Google, Marktplaats en Skype. Hieruit blijkt dat de voorwaarden regelmatig herschreven worden, vaak ten nadele van de consument. Bright stelt dat de voorwaarden in moeilijke juridische taal worden opgeschreven en dat daarom niet duidelijk is wat ze precies inhouden. Bright concludeert kortweg dat door ondertekening van de voorwaarden, de gebruiker afstand doet van al zijn rechten en veel verplichtingen krijgt.

Hierbij de voornaamste conclusies uit het rapport.

1. De voorwaarden worden regelmatig aangepast zonder de gebruiker hierover in te lichten.
2. De aansprakelijkheid van de diensten zelf wordt zoveel mogelijk beperkt.
3. Gekochte applicaties zijn geen eigendom van de gebruiker, deze koopt alleen een licentie voor gebruik, welke kan worden ingetrokken en niet kan worden overgedragen.
4. Garantiemogelijkheden zijn zeer beperkt en er wordt veelvuldig gebruik gemaakt van het koppelen en dataminen van persoonlijke gegevens.
5. Ook wordt privé informatie van gebruikers wordt zonder expliciete toestemming van de gebruiker gebruikt voor financieel gewin en doorgespeeld naar derde partijen waardoor het niet meer controleerbaar is voor de gebruiker.
6. Verder worden vaak de (intellectuele) eigendomsrechten van foto's en video's die de gebruiker uploadt naar de diensten overgeheveld.

Lees het gehele rapport hier (link en pdf).

In navolging van IT 240.

De betrokken partijen hebben een regeling getroffen die het conflict over de Swan servers beëindigt. Het laatste aanbod van BREIN is geaccepteerd door de eigenaar van de servers waarop Swan draaide. In het kader daarvan wordt alle illegale content van de servers gewist. De schone servers worden weer ter beschikking gesteld aan de eigenaar die een onthoudingsverklaring met dwangsom ondertekent. Tevens geeft de eigenaar alle hem beschikbare gegevens omtrent Swan aan BREIN af. Hij onderneemt geen actie tegen BREIN of Worldstream. BREIN betaalt de kosten van de actie en ziet af van schadevergoeding. Er wordt over en weer geen aangifte gedaan. Momenteel ligt er enkel nog beslag van BREIN op de servers. Dat beslag werd onlangs verlengd.

Zie ook hier (website van BREIN)

Met dank aan Sander Remans, Escrow Alliance B.V. Sinds donderdag verschenen berichten in diverse media over de storing bij de Cloudhosting dienst van Amazon (o.a. tweakers en webwereld). In een webwereld opinie wordt door Andreas Udo de Haes zelfs gesproken over "cloudklunzen". Door de storing in een aantal van Amazon's hosting-centra zijn data en bijbehorende applicatie niet beschikbaar. Er is een angst ontstaan dat bij de uitval van de Cloudhosting leverancier er een totaal verlies van data en applicatie ontstaat. Een bedrijf kan zich beschermen tegen uitval van ICT infrastructuur, ook van cloud-omgevingen.

Een escrowregeling, met name een die specifieke eigenschappen van Cloudhosting in overweging neemt, voorkomt de paniek die bij een aantal bedrijven is opgetreden. In de escrowregeling worden vanuit historisch perspectief de broncode en de objectcode, en nu ook de onlosmakelijk verbonden database, de infrastructuur, het ecosysteem van relaties rondom de applicatie, de onderliggende contracten en de SLA’s.

Ook Wanda van Kerkvoorden heeft al eerder hier (IT 289) betoogd:

Als het internet “eruit ligt”, dan ligt het bedrijf stil en een back-up kan bijvoorbeeld het bedrijf een stap terug moeten laten zetten. Het is dus goed om hierover heldere afspraken te maken met de aanbieder, of juist situaties goed af te dekken als aanbieder van zulke diensten.

Door de juiste inzet van een escrowregeling worden bedrijfskritische applicaties en datasets beschermd.

Parallelle publicatie reclameboek RB 838 De internetindustrie heeft haar gedragscode voor online reclame 20 april j.l. in een petitie officieel aangeboden aan de Tweede Kamer. Hiermee is de gedragscode openbaar gemaakt. De zelfregulering is gericht op het aan banden leggen van online reclame op basis van surfgedrag.

De gedragscode is aangenomen door de Europese Stichting Reclame Code (EASA). De gedragscode zal volgens Marketingtribune z.s.m. worden ingediend bij de Nederlandse Stichting Reclame Code, op grond waarvan de RCC bevoegd zal zijn te oordelen over klachten m.b.t. de gedragscode. Bijzonder is de lancering van een gebruikerswebsite youronlinechoices waar gebruikers in toegankelijke taal uitleg krijgen over cookies, hoe werken, wat ze wel en niet kunnen en hoe de gebruiker daar zelf eenvoudig controle op kan uitoefenen.

Lees de IAB Europe Gedragscode voor Online Behavioural Advertising (OBA) hier (pdf) en hier (engelse  pdf)

De Europese digitale burger organisatie heeft een samenvatting gemaakt van (eventuele) misstanden die plaatsvinden in Europa.

Lees meer hier

met dank aan Mathieu Paapst, Rijksuniversiteit Groningen

De ministeries van Financiën (FIN), van Sociale Zaken en Werkgelegenheid (SZW) en het ministerie van Volksgezondheid, Welzijn en Sport (VWS) willen in de toekomst één financieel administratief systeem in gebruik gaan nemen. De drie ministeries willen daarom overgaan tot hergebruik en uitbreiding van het systeem dat SZW in 2003 (na een aanbesteding) in gebruik heeft genomen en dat is gebaseerd op SAP-software. Om deze uitbreiding uit te voeren doen de ministeries een nieuwe aanbesteding voor de inhuur van ICT personeel (perceel 1) en de levering van aanvullende softwarelicenties (perceel 2). In het nieuwe bestek worden zowel de expertise als de producten van SAP dwingend voorgeschreven. Volgens Oracle, de concurrent van SAP, is iedere andere producent van software hierdoor bij voorbaat uitgesloten van mededinging en staat de inschrijving alleen open voor dienstverleners die SAP-software kunnen leveren en beschikken over SAP-expertise.

Lees de volledige noot hier (pdf)

Vzr. Rechtbank ’s Gravenhage 17 december 2010, LJN BO9287, IT 198 (Oracle Nederland B.V. tegen De Staat der Nederlanden) - of klik hier (pdf)

BGH I. Zivilsenat 14 oktober 2010 I ZR 191/08; 'AnyDVD' (music companies tegen Heise Verlag).

Muziekproducten hebben Heise Verlag, een online uitgever gespecialiseerd in IT en computer nieuws, gedagvaard omdat er artikelen op de website stonden met hyperliunks naar SlySoft die software aanbod om DVD kopiebescherming technisch te omzeilen.

Landsgericht en OBL München bepaalde dat de artikelen een auteursrechtschending opleverden. BGH corrigeert dit door te oordelen dat het plaatsen van links behoorde tot constitutionele persvrijheid en vrijheid van meningsuiting (art. 5(1)Grundgesetz). De teksten zelf zijn beschermd door vrijheid van meningsuiting en persvrijheid en de links krijgen dezelfde bescherming toebedeeld. Rechters benadrukten dat de hyperlinks in artikelen niet slechts een technische faciliteit omvatten om toegang te krijgen tot SlySofts website, maar onderdeel van artikel zijn geworden om het bericht aan te vullen en "ondersteunen". Wetenschap van auteursrechtschending doet hier niet aan af, de informatie voor het algemene publiek toegankelijk maken heeft een hoger doel.

r.o. 17 Im Rahmen der Abwägung sei zu beachten, dass das Wesentliche eines Links nicht die Mitteilung einer Information sei - etwa der Adresse des Internetauftritts, auf den verwiesen werde -, sondern der davon zu  unterscheidende zusätzliche Service, den Nutzer unmittelbar mit dieser Website zu verbinden. Dies eröffne eine neue Dimension, die über die eigentliche redaktionelle Berichterstattung hinausgehe und im Offline-Bereich kein Äquivalent habe. Die mit dem Verbot des streitgegenständlichen Links verbundene Einschränkung der Pressefreiheit betreffe nur den Aspekt, die Verbindung zur fraglichen Website zu ermöglichen. Insoweit gehe es nicht um die Mitteilung von Meinungen oder Tatsachen zur Meinungsbildung, die in den Schutzbereich der Meinungsfreiheit falle und deren Rahmenbedingungen dem Kernbereich der Medienfreiheit zuzuordnen seien, sondern um die weniger zentrale Frage, welchen Service ein Medienunternehmen über die Informationsverschaffung hinaus erbringen dürfe. Der Link diene lediglich der Ergänzung der redaktionellen Berichterstattung.

Artikelen 95a Duitse Auteurswet, art. 6 Copyright Directive 2001/29/EG, 11(1) EVRM. 
Ook wordt er verwezen naar HvJ EG 6 maart 2001 C-274/99 P (Connolly/Commission)

Lees de uitspraak hier (link) en hier (pdf)