HR 31 januari 2012, LJN BQ9251 (Runescape.nl diefstal virtuele goedern, concl. AG Hofstee) - persbericht

In navolging van IT 416 Virtueel amulet en masker in het online spel Runescape kunnen worden aangemerkt als ‘goed’ in de zin van art. 310 Sr en zijn vatbaar voor diefstal. Verdachte en medeverdachte dwongen het slachtoffer met geweld en bedreiging met geweld zich aan te melden op zijn account in het online spel Runescape en de virtuele objecten achter te laten (te droppen) in de virtuele spelomgeving.

De verdachte kon vervolgens het virtuele amulet en masker overzetten naar zijn eigen Runescape-account, waardoor het slachtoffer de beschikkingsmacht over deze objecten is verloren. Die virtuele objecten, waarover het slachtoffer de feitelijke en exclusieve heerschappij had, hadden voor hem, verdachte en zijn mededader een reële waarde.

Tegen de achtergrond van de bedoeling van de wetgever om de beschikkingsmacht van de rechthebbende op een ‘goed’ te beschermen, en de eerdere rechtspraak dat daaronder ook niet-stoffelijk objecten kunnen vallen, heeft de Hoge Raad geoordeeld dat de virtuele aard van de objecten op zichzelf niet eraan in de weg staat deze aan te merken als goed in de zin van art. 310 Sr. De enkele omstandigheid dat een object ook eigenschappen heeft van ‘gegevens’ in de zin van art. 80quinquies Sr brengt niet mee dat dit object reeds daarom niet meer als goed in de zin van art. 310 Sr kan worden aangemerkt. In grensgevallen waarbij niet-stoffelijke zaken zowel kenmerken van een ‘goed’ als van ‘gegevens’ vertonen, is de juridische duiding afhankelijk van de omstandigheden van het geval en de waardering daarvan door de rechter. De klacht dat het wegnemen van het virtuele bezit van een ander juist een van de doelen van het spel Runescape is, stuit erop af dat de spelregels niet voorzien in de door verdachte en zijn mededader gevolgde wijze van wegnemen.

Op andere blogs
De Gier|Stam & Advocaten
SOLV
ICTRecht

Uit de mededeling: Het College bescherming persoonsgegevens (CBP) heeft in 2011 de Rotterdamse deelgemeente Charlois een last onder dwangsom opgelegd. De sanctie volgde nadat het CBP na onderzoek had geconcludeerd dat de deelgemeente in strijd met de wet handelde. Charlois verwerkte structureel gegevens betreffende ras/etniciteit ten behoeve van een specifieke aanpak van risicojongeren terwijl de deelgemeente niet kon aantonen dat deze aanpak geschikt is om de achterstand van de jongeren te verminderen of op te heffen. Charlois heeft tegen de beslissing van het CBP bezwaar gemaakt. Het CBP heeft in zijn beslissing op bezwaar geoordeeld dat het bezwaar ongegrond is. De deelgemeente is hiertegen in beroep gegaan bij de rechter.

A. Engelfriet, Kroniek internetrecht 2011, Ius mentis 22 januari 2012.

Een bijdrage van Arnoud Engelfriet, ICTRecht.

Inhoudsopgave:
1. Webwinkels en consumentenrecht
2. Contracten en algemene voorwaarden
3. Privacy en persoonsgegevens
4. Netneutraliteit en tussenpersonen
5. Vrijheid van meningsuiting

1. Webwinkels en consumentenrecht
Het probleem met webwinkelrecht, en meer algemeen het consumentenrecht, is dat mensen zelden of nooit procederen. De wet klinkt mooi, maar als een (web)winkel zich er niet aan houdt, dan blijft het vrijwel altijd bij wat gemopper bij Kassa of opgelichtforums. Een positieve oplossing (zoals de Hema bij haar bosvruchtenclafoutistaartprijsfout) komt er maar zelden. Maar dit jaar werden we verrast met toch wat leuke zaakjes.

Het opmerkelijkst was de internetfietsenwinkel die maar liefst drie maal procedeerde over hetzelfde: mag je als winkel volledige vooruitbetaling eisen alvorens het product te leveren? Of, andere insteek, heb je als internetkoper het recht de koop te annuleren voordat het product geleverd is? Het antwoord: ja, “vanwege de nutteloze exercitie die zou volgen indien de koper zou moeten wachten met de ontbinding van de overeenkomst totdat de zaak is ontvangen.”

In een andere zaak oordeelde de rechter dat informatie over het wettelijk retourrecht niet alleeen in de algemene voorwaarden verstopt moet zijn. Dit zal onder de nieuwe wet een expliciete regel worden. Daarnaast werden ook gas en elektra onder het retourrecht geschoven, iets wat onder de huidige wetgeving discutabel is. De nieuwe consumentenrechtenrichtlijn maakt ook dit echter expliciet het geval, dus ach.

Een mooie opsteker was het optreden van de Consumentenautoriteit tegen een vijftal elektronicaondernemingen. Deze gaven consumenten misleidende informatie over hun wettelijke rechten en garantie, en kregen daarvoor een flinke boete. Ik ben benieuwd of het effect zal sorteren bij de concurrentie.

2. Contracten en algemene voorwaarden
Weinig dingen gaven meer vragen dan “wanneer mag ik van mijn stilzwijgend verlengd contract af”. Want dit jaar werd de Wet Van Dam van kracht, maar hoe deze zou gelden voor bestaande contracten was meteen onduidelijk. Enkele juristen hadden de Overgangswet Nieuw BW uit 1969 (ja, 1969) afgestoft en op de Abonnementenwet van toepassing verklaard, en na wat geduw met een reparatiewetje ging men overstag bij de overheid: pas bij de eerste verlenging ná 1 december 2011 kun je opzeggen onder deze wet.

Oh, en ik roep het al zo ongeveer sinds het begin van deze blog, maar u moet uw algemene voorwaarden echt ter hand stellen als PDF of stuk papier. Ook als het de bekende FENIT voorwaarden zijn.

Linkedin faalde hard met haar zinnetje “Voortgezet gebruik van deze site impliceert akkoord met de voorwaarden”, zeker toen ze profielfoto’s van gebruikers in advertenties opnam met een beroep op die stilzwijgend aangepaste voorwaarden.

Ook andere diensten (zoals Dropbox en Twitpic) bleken opmerkelijke voorwaarden te hebben, met name over de auteursrechten en de al dan niet exclusieve licentie daarop die geëist bleek te worden. Lees ook het crowdonderzoek Accept or Decline, waar ik aan meewerkte, om te zien wat sociale sites zoal bepalen in de kleine lettertjes.

De rechtbank legde 14.000 euro boete op aan DollarRevenue, dat reclamewormen verspreidde met “silent installs” en zogenaamde toestemming in algemene voorwaarden - wat dus niet rechtsgeldig is. Een nog harder spammende spammer kreeg 550.000 boete voor zijn spamsmsjes. De nieuwe SMS Gedragscode naleven had dit wellicht kunnen voorkomen.

Privacy en persoonsgegevens
Het privacydebat in 2011 richtte zich vooral op de voorgestelde cookiewet. Steeds meer sites gebruiken cookies als onderdeel van profiling, oftewel het bijhouden van gedetailleerde interesseprofielen van bezoekers om zo gerichte inhoud (en advertenties) aan te bieden. Dat levert meer op dan generieke advertenties, maar is het wenselijk dat een website precies weet wat je wel en niet leuk vindt?

Nieuwe Europese telecommunicatiewetgeving werd aangepast om nog net wat strenger (duidelijker?) te zijn omtrent toestemming onder de privacy. Dat leverde een debat op van zeldzaam hoog haarsplitten: moet de toestemming voor die cookies “ondubbelzinnig”, “expliciet”, “duidelijk”, “vrij en specifiek” of gewoon “toestemming” zijn?

Ondertussen had de marketingbranche het volg-me-nietregister bedacht: een icoon bij elk advertentieblokje, waar je op kunt klikken om dan bij de website Your Online Choices te zien welke cookies er al bezig zijn hem te tracken en welke firma’s dat allemaal (willen) doen. Tevens kan daar dan een einde aan worden gemaakt. Maar of een achteraf gegeven opt-in voldoet aan het vereiste van “toestemming”, is de grote vraag.

Opt-in is trouwens sowieso een moeilijk begrijp. De OPTA deed de e-mailbranche opschrikken met een megaboete van zes ton voor een e-mail direct marketing bedrijf. Alle gehanteerde opt-in technieken werden afgewezen als zijnde niet duidelijk genoeg. Paniek: iedereen hanteert deze technieken en dacht dat ze legaal zat. De Hoge Raad merkte daar eerder nog over op dat toestemming niet genoeg is: je moet altijd nog een belangenafweging doen om te bepalen of wat je doet wel écht gepast is.

De huidige privacywetgeving gaf ook genoeg aanleiding voor discussie en enkele rechtszaken en overheidsoptredens. Zo werd Facebook verplicht advertentiedata van haar gebruikers na 90 dagen te wissen. Omdat ze vanuit een Ierse BV opereerde, viel ze onder het Europese privacyrecht. In Duitsland vond nieuwssite Heise dat het Vindikleukknopje van Facebook een privacyschending opleverde (omdat het ook niet-gebruikers trackt) en ontwikkelde een privacyvriendelijker alternatief. Dit zou echter merkinbreuk opleveren, aldus Facebook. Bits of Freedom lanceerde nog de Persoonlijke Inzagemachine (PIM).

De Vereniging Eigen Huis creëerde haar eigen privacydebatje toen ze een site aankondigde waar filmpjes van inbrekers online gezet konden worden. Dat zou een privacyschending van de heren wetsovertreders zijn, maar zoals wel vaker liep het met een sisser af.

Ook diverse overheden maakten graag inbreuk op de privacy van allerlei personen. Twitter moest persoonsgegevens afgeven van drie personen betrokken bij Wikileaks, waaronder de Nederlandse hacker Rop Gonggrijp. Dit in verband met dat het onderzoek naar het openbaren van de legervideo ‘Collateral Murder’ via de controversiële site Wikileaks. Een kleine opsteker was het afschieten van het elektronisch patiëntdossier (EPD), hoewel een beetje ICT project zich natuurlijk niet laat tegenhouden door zoiets geks als privacy (of slecht design, of onhaalbaarheid).

Opmerkelijk vond ik de beslissing van het Cbp om Google toe te staan SSID’s (persoonsgegevens toch) te verzamelen mits ze maar met een opt-out werkte. De Tweede Kamer wilde vervolgens de privacywet aanpassen, maar dat mag niet van Europa. En onder de in november aangekondigde nieuwe privacywet hebben we helemáál niets meer te willen.

4. Netneutraliteit en tussenpersonen
Het wetsvoorstel over cookies ligt trouwens nog steeds bij de Eerste Kamer, en de discussie houdt ook andere delen van de Telecomwet op - met name het stuk over netneutraliteit. Dat was erin gekomen nadat een berg herrie was ontstaan over KPN, dat in een sessie met investeerders had gemeld deep packet inspection te hebben gebruikt op zijn mobiele netwerk. Hoewel de KPN DPI niet zo diep ging als iedereen dacht (het was vooral headers lezen en slim routeren, niet meelezen), was netneutraliteit ineens zó hot dat er een wetsvoorstel op gemaakt werd.

Iets minder neutraal werd het vanuit auteursrechtenland. Het Hof van Justitie bepaalde dat eBay aan te spreken is wanneer haar gebruikers illegale import of namaakproducten verkopen via de wereldwijde elektronische marktplaats, mits eBay ‘actief’ betrokken is bij plaatsen of optimaliseren van de advertentie. De rechtbank kan een site als eBay vervolgens verplichten proactief te filteren op dergelijke advertenties.

Daarentegen hoefde internetprovider Scarlet géén generiek filter op al het peer-to-peer verkeer van haar klanten toe te passen. Dat zou een “generieke monitorplicht” opleveren, en die is in strijd met Europese regelgeving.

In hoger beroep moest Miljoenhuizen tóch haar site aanpassen, omdat Google een gekke samenvatting produceerde die de indruk wekte dat het bedrijf Zwartepoorte failliet zou zijn. Dit heeft veel stof doen opwaaien, maar volgens mij is dit wel degelijk correct. Miljoenhuizen wist van de problemen en kon die met een triviale maatregel oplossen, maar deed dat niet. Dát wordt hem aangerekend. Niet dat de problemen zijn ontstaan of dat hij Google verkeerde informatie voerde of iets dergelijks.

In december moest betalingsprovider Techno Design de NAW-gegevens plus IP- en bankrekeningnummers van een klant met een torrentsite afgeven aan Brein. En ook dat is wettelijk juist: de Hoge Raad heeft bepaald dat iedereen zulke gegevens moet afgeven aan een derde (ook zonder gerechtelijk bevel) als het voldoende aannemelijk is dat de betrokken persoon de wet schendt jegens de klager. Die consequentie geeft elke keer herrie maar niemand die iets dóet.

4. Meningsuiting
Bloggers opgepast: de Raad voor de Journalistiek achtte zichzelf in januari bevoegd over internet te oordelen. Ik heb nog geen uitspraken gezien over bloggers zonder redactiestatuut echter.

Als meningsuiter blijk je geen recht te hebben op toegang tot andermans forum, blog of krant. Je mag je mening wel uiten maar je zult zelf moeten zorgen voor de middelen. Zo mocht Elsevier haar onwelgevallige reacties verwijderen ook al waren deze on-topic. De sluiting van het Volkskrantblog gaf nog interessante discussie wat dát betekent voor de uitingsvrijheid.

Mijn persoonlijke ergernis dat de kaartenbakwet, pardon Wet bescherming persoonsgegevens kan worden ingezet tegen journalistieke publicaties kreeg een opsteker in het Kleintje Muurkrant-arrest. De afweging onder die wet blijkt namelijk precies dezelfde als de ‘gewone’ afweging of een publicatie rechtmatig is. Dus wie netjes schrijft, heeft van de Wbp niets te vrezen. Anders kan het uitvallen bij het publiceren van dossiers wanneer de wederpartij zijn auteursrecht inroept.

Vrolijk werd ik toch weer een beetje van de uitspraak dat TROS Radar en de Wereldomroep niet aansprakelijk bleken voor door anderen aangedragen inhoud.

Fotograferen op het station mag gewoon, zo bleek uit antwoord op Kamervragen. Maar dat zal menig agent, BOA of particuliere beveiliger er niet van weerhouden fotografen te arresteren of geheugenkaartjes in beslag te nemen, hoewel ook dat dus niet mag.

Oh, en nu we het toch over journalistiek hebben: nieuwssite Crimesite werd gesommeerd, pardon vriendelijk verzocht, om de IP-adressen van reageerders bij een artikel af te geven. De site weigerde met een beroep op journalistieke bronbescherming, en kreeg gelijk van de minister.

Dat vriendelijk verzoeken door osporingsinstanties is mij een doorn in het oog. Uitgangspunt van de wet is namelijk dat de politie alleen mag vorderen op grond van een expliciete wetsbepaling die regelt wat er mag worden gevorderd, wie daarover beslist en hoe ver de vordering kan gaan. Terecht klaagde RIPE dan ook het OM, KLPD en THTC aan. De IP-adresruimtebeheerder moest vier IP-ranges blokkeren maar niemand wist op grond van welke wet.

Onder licentie CC-BY-SA 2.5.

Artikel van Ruud Leether, eerder verschenen in Automatisering Gids.

Aan mislukte IT-projecten hebben, naast de IT-leveranciers, ook vaak de opdrachtgevers schuld, betoogt Leether. Opdrachtgevers geven de mogelijkheden tot verbetering onvoldoende aandacht. Leether focust op de overheid als opdrachtgever, maar zijn observaties zijn zeker ook relevant voor opdrachtgevers in de private sector.  Leether ziet onder meer de volgende aandachtspunten:

• “Knock out” criteria: meestal een verkeerde prikkel
• Professioneel opdrachtgeverschap: meer dan de goede vrede bewaren
• Budgetoverschrijdingen: zichtbaar maken en benoemen.
• Stuurgroepen en raden van advies: doen wat ze moeten doen
• Detachering en samenwerking: geen verstandige keuzes bij ICT` projecten

Lees het artikel hier.

Een bijdrage van Wouter Dammers, SOLV.

Iedere zichzelf respecterende jurist (en rechtzoekende) maakt regelmatig gebruik van de website www.rechtspraak.nl. Dit is de officiële site van de rechtbanken, gerechtshoven, CRvB, CBb, Hoge Raad en Raad voor de rechtspraak. Veel jurisprudentie wordt bijvoorbeeld op deze website gepubliceerd.

Bij mijn bezoek van vandaag viel mij echter iets op aan de site: een klein, groen mannetje, voorzien van grafisch gestyleerde hoed en schoeisel, hupsend met de armen wijd. Daaronder: twee sterretjes. Een vreemd icoon, maar mijn nieuwsgierigheid was gewekt. Met een klik werd ik doorgeleid naar de website https://accessibility.nl/toetsing/info/842, waar de volgende tekst wordt getoond:

Certificaat van toegankelijkheid

De inspectie-instelling Accessibility, afdeling Inspectie te Utrecht, heeft na inspectie van de betreffende internetpagina's van de certificaathouder, Raad voor de rechtspraak, vastgesteld dat de gekeurde pagina's van de website www.rechtspraak.nl op het moment van inspectie voldoen aan alle prioriteit 1 en prioriteit 2 keuringseisen zoals vastgesteld in het Normatief document (Webrichtlijnen) versie 1 van 20-07-2007 inclusief appendix van 06-09-2010 van de Stichting Waarmerk drempelvrij.nl. De site voldoet hiermee tevens aan de prioriteit 1 en 2 ijkpunten van WCAG 1.0 van W3C”

Het inspectiecertificaat blijkt betrekking te hebben op alle pagina’s op www.rechtspraak.nl.

Maar wat is de juridische status van zo’n certificaat? Wat betekent het? En wat is het nut er van?

Juridische status van de Webrichtlijnen
Het certificaat is een voortvloeisel van de zogenaamde Webrichtlijnen. De Webrichtlijnen zijn verplicht gesteld voor websites die onder de ministeriële verantwoordelijkheid vallen. Dat is geregeld in het Besluit Kwaliteit Rijksoverheidswebsites. Intranetten vallen daar overigens niet onder – daar kan overigens wel weer andere wet- en regelgeving voor gelden, zoals de Algemene Wet Gelijke Behandeling. Ook gemeenten, waterschappen en provincies zijn verplicht om aan de webrichtlijnen te voldoen. Dit is vastgelegd in het bestuursakkoord Nationaal Uitvoeringsprogramma Betere Dienstverlening en e-overheid. De overheid heeft ervoor gekozen om eerst te proberen het beoogde resultaat op basis van goede gemeenschappelijke afspraken te verkrijgen. Als resultaten uitblijven, kan er alsnog een wet komen. In de Tweede Kamer is hier in 2009 al op gezinspeeld. Ook in de EU wordt overwogen een formele toegankelijkheidsvereisten voor websites op te leggen aan de lidstaten.

Wat houden de Webrichtlijnen in?
De Webrichtlijnen zijn van toepassing op alle webactiviteiten waarbij sprake is van een 'world wide web user interface' en betreffen een “paraplustandaard” die de belangrijkste specificaties voor webinterfaces omvatten, en de samenhang tussen die specificaties beschrijven. De richtlijnen zijn gebaseerd op de internationale richtlijnen ontwikkeld door het World Wide Web Consortium (W3C) voor de publicatie van informatie op internet.

Wat is het nut van de Webrichtlijnen?
Toch meer dan je in eerste instantie zou vermoeden: Wanneer een website is gebouwd volgens de Webrichtlijnen, voldoet deze aan de eisen voor de toegankelijkheid voor mensen met een functiebeperking; is deze toegankelijk voor alle gangbare zoektechnologieën en zijn ze – vanwege de gestructureerde opbouw – beter, goedkoper en efficiënter te beheren. De webrichtlijnen zijn tevens een instrument voor goed opdrachtgeverschap, aldus het Besluit Kwaliteit Rijksoverheidswebsites.

HR 28 oktober 2011, LJN BQ9854 (Gemeente De Ronde Venen tegen Stedin)

Onder het mom van beter laat dan nooit. Naar aanleiding van Rechtbank Rotterdam 22 juni 2011 (BP / Maumo) schreef ik in IT 436 dat het naar Nederlands recht de vraag is of duurovereenkomsten voor onbepaalde duur altijd rechtsgeldig opzegbaar zijn. Inmiddels heeft de Hoge Raad bepaald dat opzegbaarheid uitgangspunt is. Zie ook IT 233. Met dank aan Polo van der Putt, Vondst Advocaten.

In de Rotterdamse zaak overwoog de rechter:

"4.6.1. De overeenkomst is voor onbepaalde tijd aangegaan. Dit betekent dat de vraag of opzegging mogelijk was en zo ja, onder welke voorwaarden, moet worden beantwoord aan de hand van de redelijkheid en billijkheid in verband met alle omstandigheden van het geval. Die omstandigheden kunnen meebrengen dat opzegging alleen mogelijk was op basis van een voldoende zwaarwegende grond, of mits een redelijke opzegtermijn in acht werd genomen."

Dus: bij gebreke aan een contractuele regeling moet aan de hand van de redelijkheid en billijkheid worden vastgesteld of een overeenkomst die is aangegaan voor onbepaalde duur opzegbaar is.

Inmiddels heeft de Hoge Raad (in bovengenoemde andere zaak) als volgt bepaald:

"3.5.1 Het gaat te dezen om de opzegging van een duurovereenkomst die voor onbepaalde tijd is aangegaan. Of en, zo ja, onder welke voorwaarden zo'n overeenkomst opzegbaar is, wordt bepaald door de inhoud daarvan en door de van toepassing zijnde wettelijke bepalingen. Indien, zoals hier, wet en overeenkomst niet voorzien in een regeling van de opzegging, geldt dat de overeenkomst in beginsel opzegbaar is. De eisen van redelijkheid en billijkheid kunnen in verband met de aard en inhoud van de overeenkomst en de omstandigheden van het geval meebrengen dat opzegging slechts mogelijk is indien een voldoende zwaarwegende grond voor de opzegging bestaat (HR 3 december 1999, LJN AA3821, NJ 2000/120). Uit diezelfde eisen kan, eveneens in verband met de aard en inhoud van de overeenkomst en de omstandigheden van het geval, voortvloeien dat een bepaalde opzegtermijn in acht moet worden genomen of dat de opzegging gepaard moet gaan met het aanbod tot betaling van een (schade)vergoeding."

Dus: bij gebreke van een contractuele regeling is een overeenkomst voor onbepaalde duur in beginsel opzegbaar, tenzij anders voortvloeit uit de redelijkheid en billijkheid. Zoals ik al eerder opmerkte leek in literatuur en lagere rechtspraak opzegbaarheid als uitgangspunt te worden genomen. Dit oordeel van de HR sluit daarbij aan.

J.J. Oerlemans, US v. Jones (GPS-tracking zaak), ITenRecht.nl, IT 651.

Met dank aan Jan-Jaap oerlemans, Universiteit Leiden.

Gisteren (23 januari 2012) is in de Verenigde Staten een interessant en belangrijk arrest gewezen door het Hooggerechtshof in de zaak ‘US v. Jones’. In deze zaak werd een apparaatje op een auto geplakt om daarmee de verdachte te volgen met door middel van GPS-technologie. Unaniem oordeelde de ‘Supreme Court’ dat dit handelen een ‘search’ (doorzoeking) constitueerde en inbreuk maakte op het Amerikaanse recht op privacy, zoals neergelegd in het vierde amendement van de Amerikaanse grondwet. In dit bericht geef ik een korte observatie over de zaak.

(Majority) opinion of the Court
De rechters waren het (uiteraard, het blijven juristen) niet eens met de reden waarom de opsporingsmethode een ‘search’ was. De meerderheid was in elk geval van mening dat het plaatsen van het apparaat op de auto een inbreuk maakte op de Fourth Amendment wegens een ontoelaatbare inbreuk op het eigendomsrecht (“When the Government physically invades personal property to gather information, a search occurs”, aldus de samenvatting van het arrest van rechter Sotoyama). Professor Kerr laat op zijn vaste blog weten dat de rechters niet de vraag hebben beantwoord of voor het plaatsen van het GPS apparaat altijd een rechterlijke machtiging (‘warrant’) nodig is. In een minderheidsmening geven de rechters in elk geval aan dat wat hun betreft voor een korte tijd in de gaten houden van verdachten via de GPS geen warrant noodzakelijk is.

De conservatieve rechters benadrukken dat slechts het observeren van de bewegingen van een auto binnen het publieke domein wel is toegestaan, op basis van de ‘reasonable expectation of privacy’-doctrine zoals geformuleerd in de Katz-zaak. Grof geformuleerd kunnen burgers binnen het publieke domein op basis van dit arrest geen beroep doen op het Amerikaanse privacyrecht en dat betekent dat het overheidshandelen niet aan bepaalde vereisten uit de ‘Fourth Amendment’ hoeven te voldoen, zoals een rechterlijke machtiging voor de opsporingsmethode en (een iets andere interpretatie van) een ‘redelijk vermoeden van een strafbaar feit’. Overigens kan in andere wetgeving wel voorwaarden worden opgelegd voor opsporingsmethoden in het publieke domein.

Elektronische observatie?
Ik relateer de zaak natuurlijk ook aan mijn eigen (rechtsvergelijkende) onderzoek. Met  betrekking tot stelselmatige observatie op internet kan binnen het Amerikaanse recht geen beroep worden gedaan op de ‘Fourth Amendment’. Met ‘stelselmatige observatie op internet’ bedoel ik dan het bijhouden en vastleggen van alle uitspraken en ‘bewegingen’ van een bepaald persoon voor langere tijd op internet. De vraag is of dit anders zijn voor het in de gaten houden van individuen op fora, websites of social media waarvoor eerst een account moet worden aangemaakt. Op basis van het arrest zou ik zeggen van niet, omdat geen ‘physical interference’ plaatsvindt. Mijn twijfels worden echter aangewakkerd door de volgende overweging op pagina 11: “It may be that achieving the same result through electronic means, without an accompanying trespass, is an unconstitutional invasion of privacy, but the present case does not require us to answer that question”. Een aantal rechters geven als voorbeeld dat nu twijfel bestaat aan welke vorowaarden het aanzetten van de GPS-functionaliteit van een smartphone of navigatie-apparatuur in de auto moet voldoen.

Concurring opinions
In de ‘concurring opinion’ komt rechter Alito met een andere redenering tot eenzelfde conclsuie. Hij heeft fikse kritiek op de redenering van rechter Scalia en anderen en merkt op dat een ’21st-century surveillance technique’ getoetst wordt met ‘18th-century tort law’. De rechters vinden het arrest ‘unwise’ en ‘kunstmatig’. Volgens hen levert het gebruik van de GPS-technologie voor langere tijd een inbreuk op de Fourth Amendment op, ongeacht of daar toevallig een apparaatje voor wordt gebruikt.

Rechter Sotoyama betwijfelt nog in haar stuk dat de ‘reasonable expectation of privacy’-doctrine in de moderne samenleving nog wel kan worden gehandhaafd. Zij merkt op:
“More fundamentally, it may be necessary to reconsider the premise that an individual has not reasonable expectation of privacy in information voluntarily disclosed to third parties (…). This approach is ill suited to the digital age, in which people reveal a great deal of information about themselves to third parties in the course of carrying out mundane tasks. People disclose the phone number that they dial or text their cellular providers; the URLs they visit and the e-mail addresses with which they correspond to their Internet service providers (…)”.
Toch is ook zij van mening dat het Hooggerechtshof deze vragen niet beantwoord hoeven worden.

Conclusie
Het grote verschil tussen de meerderheids- en minderheidsmening is dat niet geredeneerd wordt vanuit een inbreuk op eigendomsrechten, maar een inbreuk op privacy. De reikwijdte van het Amerikaanse grondrecht wordt door sommige rechters dus breder geïnterpreteerd. Volgens de meerderheid van de rechtbank levert een andere uitleg onnodig complexe vragen op; volstaan kan worden met het vaststellen van de inbreuk op het eigendomsrecht van de verdachte en daarmee de vaststelling van een inbreuk op de Fourth Amendment. Hierdoor worden juist die fundamenteel belangrijke vragen uit de weg gegaan en blijft onduidelijk wanneer opsporingsambtenaren bij elektronische surveillance moeten voldoen aan de vereisten uit de ‘Fourth Amendment’. Wel is het zo dat de Amerikaanse wetgever natuurlijk strikte voorwaarden kan stellen voor het gebruik van opsporingsmethoden. Daar gaat echter altijd een lang proces aan vooraf en in het verleden hebben zijn ze daartoe nog niet bereid geweest.

Zie ook:
https://www.washingtonpost.com/politics/supreme-court-warrants-needed-in-gps-tracking/2012/01/23/gIQAx7qGLQ_story.html
https://www.wired.com/threatlevel/2012/01/scotus-gps-ruling/
https://www.scotusblog.com/2012/01/reactions-to-jones-v-united-states-the-government-fared-much-better-than-everyone-realizes/#more-137698

Brief aan Vereniging van Zorgaanbieders voor Zorgcommunicatie, doorstart landelijke infrastructuur (EPD), kenmerk: z2011-901

Het College bescherming persoonsgegevens (CBP) heeft de plannen beoordeeld op basis waarvan de ‘Vereniging van Zorgaanbieders voor Zorgcommunicatie’ de landelijke uitwisseling van medische gegevens – voorheen bekend als het elektronisch patiëntendossier (EPD) – in 2012 zal voortzetten. Het CBP concludeert dat dit zogeheten ‘Doorstartmodel’ geen bijzondere risico’s bevat op overtreding van de Wet bescherming persoonsgegevens (Wbp). Het CBP wijst er op dat deze conclusie slechts een beoordeling van het Doorstartmodel betreft en niets zegt over de praktijk. Het bovenstaande doet ook niet af aan de toekomstige uitoefening van zijn toezicht op het landelijk EPD. Het CBP zal blijven toezien op de gang van zaken rond het landelijk EPD gezien de schaal van de verwerking van persoonsgegevens en de gevoeligheid van de gegevens.

CC BY-SA Sue Waters|Flickr.com

Een bijdrage van Tom Jozak, Mitopics.

Steeds vaker worden gegevens van Europese burgers en bedrijven verwerkt door Amerikaanse aanbieders van cloudcomputing-diensten. Aangezien de Amerikaanse Patriot Act van toepassing is op deze aanbieders, kan de Amerikaanse overheid al deze gegevens inzien. Dit is voor veel Europese landen een onaanvaardbare situatie. De laatste jaren promoten daarom steeds meer Europese landen de regionale cloudcomputing-agenda. Na Duitsland neemt nu ook Frankrijk dit standpunt in. Deze nieuwe ontwikkeling zou enorme gevolgen kunnen hebben voor de uitwisseling van data op het internationaal niveau en voor de huidige aard van cloudcomputing in het algemeen. Stand van zaken nu en een blik naar de toekomst.

France Telecom werkt samen met Thales SA, maker van lucht-, ruimtevaart en industriële elektronica, om een cloud-van-eigen-bodem te realiseren en de cloudsoftware binnen en buiten Frankrijk te kunnen aanbieden, bericht Bloomberg. "Het is het begin van een gevecht tussen twee reuzen [Frankrijk(Europa) en de Verenigde Staten, edit TJ]", zegt Jean-François Audenard, France Telecom Cloud security adviseur. Audenard vervolgt:

“It’s extremely important to have the governments of Europe take care of this issue because if all the data of enterprises were going to be under the control of the U.S., it’s not really good for the future of the European people.”

Deze ontwikkeling is op gang gekomen naar aanleiding van de Amerikaanse Patroit Act. Als gevolg van deze wetgeving zijn de Verenigde Staten (VS) namelijk bevoegd om de data die is opgeslagen in de cloud te raadplegen, indien deze data kan worden gebruikt om een bedreiging van de nationale veiligheid te signaleren en/of te weren. Het mag duidelijk zijn dat deze wetgeving de bevoegde Amerikaanse overheidsinstanties vrije handen geeft om bij een geringst vermoeden van bedreiging van de nationale veiligheid, bepaalde (persoons)gegevens door te lichten. Afgelopen voorjaar heeft ook Microsoft naar buiten gebracht dat zij de beschikbare cloudgegevens aan de Amerikaanse autoriteiten desgevraagd zou overdragen, zelfs als deze data zich in één van haar op het Europese grondgebied gevestigde datacentra zou bevinden.
Dergelijke verklaringen veroorzaken consternatie in landen van de Europese Unie, met name in Duitsland, waar veel strengere eisen gelden op het gebied van privacy dan in de meeste Europese landen.

Vorig jaar september verklaarde Reinhard Clemens, CEO van Deutsche Telekom's T-Systems Group, dat lokale wetgevers en toezichthouders de technische ontwikkelingen om een super beveiligde ‘cloud’ op het Europese grondgebied mogelijk te maken, niet in de weg mogen staan. Dit vraagt harmonisatie-inspanningen van de lidstaten op Europees niveau. Er is immers steeds meer vraag van klanten die niet willen dat hun informatie of informatie van hun klanten toegankelijk is voor derden zoals de Amerikaanse overheid. Ook grotere Europese bedrijven zijn zich hiervan bewust en zien kansen op dit gebied. Zij wachten niet af en zijn op steeds grotere schaal bezig met het (na)bouwen van de oplossingen die voorheen alleen vanuit Amerika afkomstig waren. Een ware concurrentieslag wordt nu uitgevochten als gevolg van de conflicterende Amerikaanse en Europese wetgeving. Het is echter slechts een kwestie van tijd voordat Europese bedrijven (‘de nieuwkomers’) hun diensten naar Amerika uitbreiden en aldaar aan de Amerikaanse wetgeving moeten voldoen. De Europese klant kan hier uiteindelijk de dupe van worden, tenzij de wetgever ingrijpt. Dat een oplossing hiervoor in de maak is, kan uit berichtgeving van Eurocommissaris Viviane Reding (en voorheen Neelie Kroes) worden afgeleid. De nieuwe General Data Protection Regulation (d.d. 29/11/2011), die nu als conceptvoorstel ter beoordeling ligt, geeft onafhankelijke Europese toezichthouders de middelen in handen om op te treden tegen eenzijdige beslissingen van Amerika bij het raadplegen van de uit Europa afkomstige persoonsgegevens (zie bijv. art. 79 lid 4 sub j van deze verordening, die een boete van 5% van de jaarlijkse wereldwijde omzet oplegt aan een bedrijf dat zonder toestemming uit Europa afkomstige data exporteert naar een land buiten Europa). Deze wetgeving gaat waarschijnlijk aanstaande woensdag in werking treden, bericht Tweakers.

De Amerikaanse cloudmarktleiders (Amazon, Facebook, Google, IBM en Microsoft) protesteren uiteraard tegen deze protectionistische benadering. Zij zijn namelijk bezig om een nieuw universeel clouddatanetwerk te creëren door middel van efficiënte, gedecentraliseerde datacenters om daarmee hun enorme cloudoperaties uit te voeren, en eigen (commerciële) belangen in Europa veilig te stellen. Als de Europese landen deze ontwikkelingen tegengaan, kan de waarde van cloudcomputing, niet alleen voor deze bedrijven, maar ook voor hun klanten aanzienlijk verminderen, zij het dat dit vooralsnog ‘slechts’ tussen de in de VS en de in EU gevestigde bedrijven parten zal spelen.

Deze Europese protectionistische benadering van cloudcomputing, initieel veroorzaakt door Amerikaanse wetgeving zal, als de patstelling langer voortduurt, ook nadelen brengen voor de Europese bedrijven, stelt Informa. Zij vervolgt:

“The European telecom operators who promote this strategy risk being sidelined in the global cloud computing market as aggressive North American and Asian operators spend billions to build international presence.”

The Informa Telecom Cloud Monitor (pdf) laat zien dat Europese operators slechts 7 procent uitmaken van de totale wereld cloudactiva, gemeten vanaf 2011, terwijl hun Noord-Amerikaanse en Aziatische collega's goed zijn voor 90 procent.

GigaOM meldde vorige maand nog, dat de Amerikaanse technologiegiganten deze bedreiging niet ongemoeid voorbij laten gaan. Google, IBM, Citi en een aantal andere grote Amerikaanse bedrijven en federale banken lobbyen bij hun regering voor verdragen die de vrije stroom van informatie over de grenzen waarborgen. De Patriot Act staat hun inspanningen echter in de weg en dat zal binnen afzienbare tijd ook niet veranderen, aangezien de nationale veiligheid vóór commerciële belangen gaat. De wil om een vrije stroom van informatie te waarborgen is er echter aan beide kanten van de Atlantische oceaan – als we een informeel commentaar op het nieuw voorstel voor General Data Protection Regulation mogen geloven en beide partijen lijken hetzelfde doel na te streven. Dit biedt hoop op een blijvende oplossing met betrekking tot vrije uitwisselbaarheid van gegevens tussen de twee nog steeds tegenstrijdige benaderingen. We zullen dus nog een tijdje geduld moeten hebben voordat bezorgdheden en openstaande punten worden weggewerkt en dat geeft op een korte termijn weinig troost.

Bron: Bloomberg, GigaOm)
Tags: General Data Protection Regulation, privacy, cloud computing

Vzr. Rechtbank Rotterdam 15 augustus 2011, KG ZA 11-682 (Teachers Channel c.s. tegen Holding XXL)

Met dank aan Bert Gravendeel en Merle Hafkamp, Gravendeel Advocaten.

Auteursrecht. Databankrecht. Geen afgifte kopie van de meest recente broncodes. Teachers Channel c.s. (hierna: TC) ontwikkelen en verzorgen professionele scholing en onderwijsinformatie via tv, internet en andere media. Ditnet (met als enig bestuurder Holding XXL) ontwikkelt, adviseert, implementeert en houdt informatietechnologische-/webapplicaties actueel. Holding XXL en Ditnet hebben een portal voor TC hebben ontwikkeld, en partijen van mening verschillen over de vraag wie de auteursrechten (en databankrechten) heeft ten aanzien van de portal en de broncode. TC vorderen afgifte van de meest recent broncode, zodat zij deze verder kan doorontwikkelen.

TC bepleiten als volgt: Op het functioneel ontwerp hebben TC het auteursrecht. Omdat XXL onder leiding van TC deze software tot stand heeft gebracht moeten TC als maker worden aangemerkt.

Holding XXL en Ditnet bepleiten als volgt: XXL heeft de portal ten behoeve van TC gebouwd aan de hand van de reeds bestaande portal, deze is door XXL aangepast ten behoeve van TC. Het doel daarbij was dat de mogelijkheid werd geboden de content in externe databases op trefwoord te doorzoeken en weer te geven in de portal. Noch de koppeling, de zoekfunctionaliteit en de werking konden middels het functioneel ontwerp worden gerealiseerd.

Het valt niet uit te sluiten dat de aangebrachte veranderingen (n.a.v. het functioneel ontwerp) van dien aard zijn dat het een eigen oorspronkelijk karakter heeft gekregen. Het beroep op art. 8 Aw kan niet baten nu partijen in de OSA anders zijn overeengekomen en artikel 8 Aw aanvullend recht geeft. Ook dat TC als producent in de zin van art. 1b Databankenwet heeft te gelden, kan haar niet baten, met verwijzing naar art.1 lid 3 Databankenwet.

Er volgt geen afgifte van de broncode op basis van de OSA noch art. 45j en k Auteurswet.

4.9. (...) zelfs indien de broncode van het door XXL ontwikkelde functioneel ontwerp ten behoeve van TC Concept zouden zijn gebaseerd op het functioneel ontwerp van TiM - XXL en Ditnet betwisten dat en daarmede staat de relevantie van de het Wend-ontwerp voor de thans door TC gepretendeerde rechten op zijn minst ter discussie - dan valt niet uit te sluiten dat de door XXL nadien aangebrachte veranderingen aan dit ontwerp van dien aard zijn dat het een eigen oorspronkelijk karakter heeft gekregen en daarmee het persoonlijk stempel van XXL en/of Ditnet bezit.

(...) het beroep op art. 8 Aw kan niet baten nu partijen in de OSA anders zijn overeengekomen en artikel 8 Aw aanvullend recht geeft.

4.10. Ook de stelling van TC dat zij als producent in de zin van artikel 1b Databankwet heeft te gelden kan haar niet baten. De voorzieningenrechter verwijst naar artikel 1 lid 3 Databankwet.