Advocaten en notariaat in Leiden en Den Haag
Menu

Vandaag is het eerste exemplaar van het boek “Smart Humanity” gelanceerd. Het boek bevat bijdragen van tientallen deskundigen uit de theorie en praktijk. Natascha van Duuren (advocaat IT, IE & Privacy) heeft het hoofdstuk “De privacy van de (smart) citizen in de smart city” voor haar rekening genomen.

Smart Humanity

Technologische ontwikkelingen gaan razendsnel. Door technologie kunnen we ons afvragen of wij het beste uit onszelf en uit onze producten, diensten en uitvindingen halen. Daarbij moet aandacht zijn voor sociale en ethische aspecten, zoals privacy. Technologie is pas ‘smart’ als de mens er baat bij heeft. Dát is Smart Humanity.

KNVI

Het boek is een initiatief van de KNVI, de Koninklijke Nederlandse Vereniging van Informatieprofessionals. De KNVI is in Nederland hét platform voor Professionals in Informatiemanagement, Informatietechnologie en Informatievoorziening.

De KNVI ziet het als haar taak om de ontwikkeling van informatieprofessionals te bevorderen, door samen te werken, te faciliteren, elkaar te ontmoeten, focus aan te brengen en voorop te lopen. Daarbij houden zij rekening met onze kernwaarden onafhankelijkheid, integriteit, professionaliteit.

Natascha van Duuren

Natascha adviseert nationale en internationale cliënten over kwesties met betrekking tot IT en privacy. Dankzij haar analytische vermogen, projectmatige aanpak en grote toewijding is ze al jaren de vaste sparringpartner van diverse grote bedrijven en instellingen. In 2013 werd Natascha door Global Law Experts uitgeroepen tot IT-Lawyer Of The Year. Sinds 2014 is zij Managing Partner van De Clercq. Daarnaast is zij voorzitter van de Special Interest Group IT-Recht van het KNVI.

Wilt u het boek Smart Humanity bestellen? Klik dan hier!

Bent u geinteresseerd in dit onderwerp en wilt u daar nu al meer over weten? Lees dan het blog “De privacy van de (smart) citizen in the smart city”!

Meer informatie over dit onderwerp? Neem dan contact op:

Natascha van Duuren | n.vanduuren@declercq.com | +31 (0)6 549 837 66

De Autoriteit Persoonsgegevens (AP) legt de AVG verkeerd uit, zo blijkt uit een uitspraak van de rechtbank Midden-Nederland. De AP heeft zich lang op het standpunt gesteld dat een zuiver commercieel belang geen gerechtvaardigd belang kan zijn als bedoeld in artikel 6 lid 1 onder f AVG. Dat standpunt vormde ook de basis voor een boete van € 575.000 die de AP in 2020 aan VoetbalTV oplegde. De rechter is het niet met die uitleg eens en veegt de boete van tafel.

Het inmiddels failliete VoetbalTV maakte video-opnamen van amateurvoetbalwedstrijden en verspreidde deze beelden via de VoetbalTV-app en andere kanalen. Volgens de AP verwerkte VoetbalTV daarmee persoonsgegevens van (vaak minderjarige) voetballers zonder dat VoetbalTV daarvoor een grondslag had. Er was namelijk geen toestemming gevraagd aan de voetballers en VoetbalTV had volgens de AP ook geen gerechtvaardigd belang bij de verwerking.

Volgens de AP is een gerechtvaardigd belang namelijk een belang dat in (algemene) wetgeving of elders in het recht is benoemd als een rechtsbelang. Het moet dus gaan om een belang dat ook in rechte beschermd wordt, dat beschermingswaardig wordt geacht en dat in beginsel gerespecteerd moet worden en ‘afgedwongen’ kan worden. Wil een belang als gerechtvaardigd belang kunnen worden aangemerkt, dan moet dit belang een min of meer dringend en specifiek karakter hebben dat uit een (geschreven of ongeschreven) rechtsregel of rechtsbeginsel voortvloeit. Zuiver commerciële belangen en het belang van winstmaximalisatie zijn niet specifiek genoeg en missen een dringend ‘wettelijk’ karakter, zodat zij niet kunnen worden aangemerkt als gerechtvaardigde belangen, aldus de AP.

De rechtbank is het niet met die uitleg eens. Volgens de rechtbank moet de vraag of een verwerker van persoonsgegevens een gerechtvaardigd belang heeft, aan de hand van een negatieve toets worden beoordeeld. Deze toets komt erop neer dat de verwerker geen belang mag nastreven dat in strijd is met de wet of met de statuten van de verwerker. Met andere woorden: in rechte toegestane belangen kunnen steeds ook gerechtvaardigde belangen zijn. In zijn motivering wijst de rechtbank onder meer op overweging 47 van de AVG waarin als voorbeeld van een mogelijk gerechtvaardigd belang ‘direct marketing’ wordt genoemd.

De rechtbank komt dan ook tot de conclusie dat de AP is uitgegaan van een verkeerde uitleg van de AVG en vernietigt het boetebesluit.

Belang voor de praktijk

Voor de praktijk is de uitspraak van groot belang. Waar de AP jarenlang het standpunt innam dat zuiver commerciële belangen geen gerechtvaardigd belang kunnen zijn, zet de rechtbank nu een streep door die interpretatie. Dit geeft ruimte aan organisaties die persoonsgegevens voor commerciële doeleinden willen verwerken.

Let op: een gerechtvaardigd belang als zodanig geeft nog geen grondslag als bedoeld in artikel 6 AVG. Daarvoor moet ook worden getoetst aan de twee overige criteria die van belang zijn bij de ‘gerechtvaardigd belang’ toets. Namelijk: i) de verwerking moet noodzakelijk zijn voor de behartiging van het gerechtvaardigde belang en ii) de fundamentele rechten en vrijheden van de betrokkene van wie persoonsgegevens worden verwerkt mogen niet zwaarder wegen dan het belang in kwestie. Pas wanneer aan alle drie de voorwaarden is voldaan (gerechtvaardigd belang, noodzakelijkheid en belangenafweging), mag een organisatie persoonsgegevens verwerken op basis van de grondslag gerechtvaardigd belang.

De AP heeft nog niet laten weten of zij in beroep gaat tegen de uitspraak.

Jeroen van Helden, advocaat IT, IE & Privacy

In het november nummer van AG Connect is een artikel verschenen van onze kantoorgenoot Jeroen van Helden. Daarin wordt duidelijk dat het aantal rechtszaken dat de overheid de afgelopen jaren voerde tegen IT-leveranciers na een mislukt IT-project op één hand te tellen is. Dit ondanks het advies van de Commissie-Elias in 2014 om het contractmanagement in IT-projecten steviger neer te zetten en vaker naar de rechter te stappen bij wanprestatie van betrokken opdrachtnemers.

Wilt u het hele artikel lezen? Klik dan hier.

AG Connect heeft ook een nieuwsartikel aan het onderwerp gewijd. Dit artikel kunt u hier lezen.

Bent u wel eens betrokken bij een IT-project en heeft u vragen over de juridische aspecten hiervan? Of verloopt een IT-project niet zoals gepland en wilt u weten wat uw mogelijkheden zijn? Neem dan contact op met onze specialisten van het team IT, IE & Privacy.


Jeroen van HeldenJeroen studeerde rechten aan de Universiteit van Amsterdam en de Universiteit van Michigan. Hij studeerde cum laude af. Tijdens zijn studie werkte hij onder andere als repetitor Europese rechtsgeschiedenis, deed ervaring op bij een advocatenkantoor in Den Haag en leerde programmeren. Na het behalen van zijn masterdiploma werkte hij enkele jaren als IT-jurist binnen de overheid. Sinds april 2018 versterkt hij de IT, IE & Privacy sectie van De Clercq Advocaten Notariaat.

“Het vakgebied dat ik beoefen, het IT-recht, is niet gemakkelijk te definiëren. Elke sector van economie en maatschappij voelt inmiddels de (ontwrichtende) invloed van digitale informatietechnieken en ook geen rechtsgebied blijft daardoor onberoerd. Het vakgebied heeft daarom de neiging flink uit te waaien over de verschillende domeinen van het recht, van Burgerlijk Wetboek tot Aanbestedingswet en van Algemene verordening gegevensbescherming tot Auteurswet. Dat maakt het vak wel zo interessant. Steeds komt het erop aan excellente kennis van het recht te combineren met goede kennis van informatietechnieken, om zo tot praktische oplossingen voor cliënten te komen. Dat vergt soms de nodige creativiteit, maar lukt eigenlijk altijd.”

Nadat de Safe Harbor afspraken tussen de Europese Unie en de Amerikaanse autoriteiten in 2015 al ongeldig werden verklaard door het Hof van Justitie van de Europese Unie (Schrems I), zette datzelfde Hof onlangs een streep door het Privacy Shield (Schrems II). De doorgifte van persoonsgegevens vanuit de Europese Unie naar organisaties in de Verenigde Staten mag dus niet meer gebaseerd worden op het Privacy Shield, zoveel is duidelijk. Met de uitspraak ontstond echter ook onzekerheid over de vraag onder welke voorwaarden doorgiften aan de VS nog wél zijn toegestaan. De Europese toezichthouders (EDPB) publiceerden inmiddels de eerste aanbevelingen.

De uitspraak in Schrems II was niet beperkt tot de ongeldigverklaring van het Privacy Shield alleen. Het Hof oordeelde namelijk ook dat de Standard Contractual Clauses (SCC’s) in algemene zin geldig zijn, maar voegde daaraan toe dat niettemin van geval tot geval moet worden beoordeeld of de rechtsbescherming in het ontvangende land in grote lijnen overeenkomt met de bescherming die binnen de Unie wordt geboden en dat soms aanvullende waarborgen nodig zijn. Dat laatste leidt uiteraard tot onzekerheid, want hoe moet die beoordeling precies worden uitgevoerd, aan welke extra waarborgen moet worden gedacht en wat betekent dit concreet voor doorgiften aan de VS, waarvan het Hof nu juist heeft vastgesteld dat de rechtsbescherming daar ontoereikend is?

In navolging op de uitspraak zijn inmiddels door de EDPB de eerste aanbevelingen gepubliceerd. De EDPB bevestigt dat de SCC’s en andere passende waarborgen genoemd in artikel 46 AVG niet in een vacuüm opereren. Bedrijven die persoonsgegevens willen doorgeven op basis van deze instrumenten zullen dus van geval tot geval moeten beoordelen of de waarborgen daadwerkelijk effectief zijn, waarbij zij ook moeten letten op de kwaliteit van het recht en de rechtspraktijk in het ontvangende land, in het bijzonder ten aanzien van surveillance door de overheid. De European Essential Guarantees kunnen bij die beoordeling als leidraad gelden. Blijkt uit het onderzoek dat de SCC’s of een andere passende waarborg onvoldoende effectief zijn, dan zal onderzocht moeten worden of aanvullende waarborgen de lacune kunnen dichten. De EDPB geeft in dit opzicht verschillende voorbeelden van technische, contractuele en organisatorische maatregelen die bedrijven kunnen overwegen.

In relatie tot de VS, stelt de EDPB expliciet dat het van belang is na te gaan of de ontvanger(s) onder de reikwijdte vallen van Sectie 702 van de US Foreign Intelligence Surveillance Act (FISA). Is dat het geval, dan zijn in ieder geval aanvullende technische waarborgen nodig die (effectieve) toegang tot de data door Amerikaanse veiligheidsdiensten onmogelijk maken, zoals encryptie en pseudonimisering. De EDPB geeft ook enkele richtlijnen voor de kwaliteit waaraan deze technieken moeten voldoen, zoals op het gebied van sleutellengte en sleutelbeheer.

Het valt te prijzen dat de EDPB relatief kort na Schrems II met deze – in een aantal opzichten concrete – aanbevelingen komt. Toch dringt zich de vraag op of bedrijven niet opgezadeld worden met een verantwoordelijkheid waar zij welhaast onmogelijk uitvoering aan kunnen geven. De beoordeling van de kwaliteit van wetgeving en rechtspraktijk in een derde land in relatie tot de effectiviteit van passende waarborgen is niet een vraag die de gemiddelde bedrijfsjurist eenvoudig kan beantwoorden. Datzelfde geldt voor de gemiddelde IT’er aan wie wordt gevraagd welke vorm van encryptie robuust genoeg is om niet gekraakt te kunnen worden door Amerikaanse veiligheidsdiensten. Toch wordt van bedrijven verwacht dat zij precies deze analyses maken als zij persoonsgegevens willen blijven doorgeven naar landen buiten de EER waarvoor geen adequaatheidsbesluit in de zin van artikel 45 AVG geldt.

Al met al is het belangrijker dan ooit voor elke organisatie om goed te weten binnen welke processen sprake is van doorgiften van persoonsgegevens aan derde landen, wat de grondslag is voor die doorgiften en om bij doorgiften op grond van artikel 46 AVG een uiterst zorgvuldige analyse te maken en deze analyse ook goed te documenteren.

Jeroen van Helden, advocaat IT, IE & Privacy

Als er op 1 januari 2021 geen akkoord ligt tussen de Britten en de EU, volgt een “harde Brexit”. Eerder blogde ik al over de gevolgen van Brexit voor uw EU-merk. Ongeacht of het een “harde” Brexit wordt, lijken de afspraken voor EU-merken ongewijzigd te blijven. Voor bestaande EU-merken zijn de gevolgen – op basis van de huidige plannen – te overzien: zij zullen automatisch een gelijkwaardig nationaal merk verkrijgen voor het Verenigd Koninkrijk met behoud van de oudere beschermingsdatum. Voor EU-merken die zich nog in de aanvraagprocedure bevinden, kan via een omweg hetzelfde resultaat worden bereikt. Er dient dan wel een aparte vergoeding te worden betaald aan het Britse IPO (“Intellectual Property Office”) om het merk ook in het Verenigd Koninkrijk te verkrijgen.

Vanaf 1 januari dient ook een extra vergoeding te worden betaald voor het doorgeven van wijzigingen met betrekking tot uw huidige EU-merken. Er dient dan immers aan twee instanties te worden betaald voor wijzigingsverzoeken (het Europese EUIPO en het Britse IPO). Gedacht kan worden aan het inschrijven van licenties, het wijzigen (inperken) van de classificatie of het doorgeven van een naamswijziging van de merkhouder. Met name dit laatste kan in veel gevallen nodig blijken. Een merkinschrijving is immers steeds voor perioden van tien jaar beschermd. In een dergelijke periode kan veel gebeuren. Zo kan simpelweg een naamswijziging zijn doorgevoerd bij de merkhouder of kan de naamswijziging het gevolg zijn van een fusie of een overname. Het doorvoeren van de wijziging in het merkenregister wordt vaak – al dan niet bewust – achterwege gelaten. Het achterwege laten van een dergelijke naamswijziging raakt de geldigheid van een merkinschrijving op zich niet, maar indien op enig moment actie moet worden ondernomen (bijvoorbeeld een procedure moet worden gestart) is natuurlijk wel van belang dat een en ander “op orde” is. Vanaf 1 januari a.s. leidt het doorgeven van dergelijke wijzigingen dus bovendien tot extra kosten. Daarom: dient u nog wijzigingen door te geven met betrekking tot uw EU-merken, doe dit dan zo spoedig mogelijk, zodat deze nog voor 31 december a.s. zijn afgewikkeld. De afhandeling van een dergelijk verzoek door EUIPO kan binnen enkele dagen plaatsvinden, maar kan ook enkele weken in beslag nemen. Wacht dus niet langer.

Teun Pouw

Advocaat IE-/IT-recht en BMM-merkengemachtigde

Eerder wees ik op het feit dat in merkenland een groot aantal partijen actief is, die valse facturen zendt aan merkhouders. Deze partijen maken hiervoor gebruik van de openbare informatie in de merkenregisters. Het betreft zogenaamde “spookfacturen” van malafide partijen, die hier zelfs hun business model van hebben gemaakt.

Het Europese Merkenbureau (“EUIPO”) heeft vandaag nogmaals gewaarschuwd voor deze praktijk en liet onder meer een onlangs opgedoken factuur zien voor een zogenaamde “vernieuwingsdienst”. Het betreft een partij die zelfs gebruik maakt van de naam, het adres en het logo van EUIPO. De betaling moet echter worden verricht op een Poolse bankrekening… Hier een voorbeeld van de betreffende factuur. Dus daarom merkhouders nogmaals opgelet: beter voorkomen dan genezen!

Teun Pouw

Advocaat IE-/IT-recht en BMM-merkengemachtigde

In een tweetal zaken is geoordeeld dat Facebook en YouTube gerechtigd zijn content offline te zetten op basis van het door hen gehanteerde COVID-19 beleid. De vraag lag voor hoe het recht op vrijheid van meningsuiting zich verhoudt tot beleidsregels van platforms als Facebook en YouTube.

De Facebook-zaak

In de zomer haalde het platform de pagina ‘Nee tegen 1,5 meter’ offline, omdat deze in strijd was met haar COVID-19 beleid. Dit beleid is erop gericht de verspreiding van desinformatie over het coronavirus tegen te gaan. De stichtingen Smart Exit en Viruswaarheid en een inwoner van Den Haag waren het er niet mee eens en stapten naar de rechter. Ze eisten dat Facebook de pagina weer terug zou plaatsen. Ook een pagina met de titel Viruswaanzin zou volgens hen onterecht zijn verwijderd. Ze stelden dat Facebook onder meer inbreuk heeft gemaakt op het recht van vrijheid van meningsuiting.

Vrijheid van meningsuiting

De voorzieningenrechter stelt in haar vonnis van 13 oktober jl. ten eerste dat het recht op vrijheid van meningsuiting een fundamenteel recht is dat van groot belang is in een vrije democratische samenleving, juist ook als het gaat om uitingen die strijdig zijn met de heersende opinie. Dit betekent echter nog niet dat het recht op vrijheid van meningsuiting meebrengt dat eenieder, via elk medium of platform, zijn mening onbeperkt moet kunnen uiten.

De rechter oordeelt voorts dat private partijen in principe niet kunnen worden verplicht om iedere uitlating van gebruikers op hun platform te dulden. Dit zou slechts anders zijn indien de uitingsvrijheid zodanig wordt belemmerd dat enige effectieve uitoefening van het grondrecht tot vrijheid van meningsuiting onmogelijk is. Het zou dan aan de staat zijn om in te grijpen en te waarborgen dat het recht op vrije meningsuiting kan worden uitgeoefend. Een dergelijke situatie doet zich hier niet voor volgens de rechter, die er op wijst dat eisers het nog steeds vrij staat om hun standpunten onder de aandacht van het grote publiek te brengen, door bijvoorbeeld de pers te benaderen of een eigen website op te zetten. Dat dat niet tot hetzelfde bereik als Facebook leidt is niet doorslaggevend, aldus de rechter.

Wel wijst de rechter erop dat Facebook bij de uitvoering van de overeenkomsten met haar gebruikers, verplicht is te handelen overeenkomstig de maatstaven van redelijkheid en billijkheid. Die norm kan mede worden ingekleurd door de vrijheid van meningsuiting (zoals neergelegd in artikel 10 EVRM) en de overige grondrechtelijke bepalingen waarop de vordering is gebaseerd. Ook een vordering op basis van het leerstuk van onrechtmatige daad kan op een zelfde wijze worden ingekleurd. De handelswijze van Facebook – en het door haar gehanteerde beleid – dient dus wel getoetst te worden.

COVID-19 beleid van Facebook

Ten aanzien van het COVID-19 beleid van Facebook merkt de voorzieningenrechter op, dat Facebook dit beleid juist op het verzoek van de overheid, in dit geval de Europese Commissie, heeft ontwikkeld. Zij wil daarmee een bijdrage leveren in de strijd tegen de verspreiding van onjuiste informatie over COVID-19. Het treffen van een balans tussen de concurrerende belangen (volksgezondheid en vrijheid van meningsuiting) is bij uitstek een taak van de overheid. Bovendien heeft Facebook volgens de rechter zelfs een maatschappelijke plicht om te zich te houden aan overheidsrichtlijnen, tenzij die evident onjuist zijn. Volgens de voorzieningenrechter is dit niet het geval. De rechter wijst er hierbij op dat het wetenschappelijk en maatschappelijk debat over COVID-19 (en wat passende en doeltreffende maatregelen zijn), nog steeds bezig is. Als dit niet tot uitgangspunt zou worden genomen, zou Facebook volgens de rechter in een onmogelijke positie komen te verkeren: met aan de ene kant de maatschappelijke plicht om te voldoen aan het verzoek van de Europese Commissie en aan de andere kant het beroep op onbeperkte vrijheid van meningsuiting op haar platform.

De vorderingen werden daarom afgewezen en de pagina’s behoefden niet door Facebook terug te worden geplaatst.

De YouTube zaak

In een andere recente zaak bij de Rechtbank Amsterdam stond het COVID-19 beleid van YouTube centraal.[1] YouTube had interviews, waarin wordt gesteld dat het middel hydroxychloroquine werkt tegen COVID-19, van een YouTube kanaal verwijderd, omdat de content niet in lijn was met haar COVID-19 beleid. Volgens eisers grijpt YouTube daarmee te diep in op hun vrijheid van meningsuiting en pleegt het platform daarmee censuur.

Het oordeel van de voorzieningenrechter is enigszins opmerkelijk gezien de Facebook-uitspraak. De rechter oordeelde in de YouTube-zaak namelijk dat YouTube haar COVID-19 -beleid niet te strikt mag toepassen. Meer specifiek oordeelde de rechter expliciet dat YouTube niet uitsluitend content mag toestaan die in lijn is met de visie van de WHO en het RIVM. Dit zou te beperkt zijn. De rechtbank wijst hierbij op “de horizontale werking” van de vrijheid van meningsuiting.

In de Facebook-zaak toetste de rechter daarentegen (slechts) of het overheidsbeleid niet evident onjuist is en hechtte hierbij belang aan het feit dat het debat nog volop gaande is. De rechter kwam vervolgens tot de conclusie dat Facebook haar beleid – dat in lijn was met het overheidsbeleid – mocht toepassen.

Wat opvalt is dat het gegeven dat het maatschappelijk debat nog volop plaatsvindt, in de YouTube-zaak – anders dan in de Facebook-zaak – juist in het voordeel van eisers lijkt te zijn en dus meer ruimte lijkt mee te brengen voor afwijkende meningen.

In de woorden van de rechter:

Ten behoeve van het publieke debat in een democratische samenleving en de rol die YouTube als een van de belangrijke online videoplatforms daarin heeft, strookt het niet met het recht op vrijheid van meningsuiting om wel de content die overeenstemt met de visie van de WHO en het RIVM toe te laten en niet andersluidende, kritische content. Daarmee zou de YouTube gebruiker die brede content mag verwachten, slechts kennis kunnen nemen van de mening van de groep experts die de WHO en het RIVM adviseren, terwijl de wijze van bestrijding en behandeling van COVID-19 wereldwijd nog volop in onderzoek is en nog allerminst vaststaat. Ook de WHO en het RIVM stellen hun adviezen nog steeds bij”.

De voorzieningenrechter oordeelt vervolgens echter toch dat de betreffende interviews door YouTube verwijderd mochten worden, omdat de content evident onjuist en mogelijk schadelijk en gevaarlijk is. De rechter wijst er in dit verband nog op dat door eisers ter zitting bepaalde aspecten zijn aangevoerd die mogelijk tot een ander oordeel hadden kunnen leiden als deze in de gewraakte interviews aan bod waren gekomen. Zo voerde een van de eisers aan dat hij meent dat het middel bij 10 van zijn patiënten daadwerkelijk heeft gewerkt en dat hij gelooft in een goede werking van het middel als het in een vroegtijdig stadium wordt gebruikt. De rechtbank oordeelt echter dat deze “nuances” niet uit de gewraakte interviews blijken. Hiermee zijn deze meningen “geen onderdeel van het debat, hetgeen YouTube wel zou hebben toegelaten, maar bevatten zijn uitlatingen onjuiste informatie die mogelijk schadelijk en gevaarlijk is”. Ook in deze zaak wijst de rechter het verzoek tot terugplaatsing dus af.

Interessant in de YouTube zaak is ook nog dat de rechter zich specifiek uitlaat over de kritische uitingen over de 1,5 meter-maatregel en zelfisolatie. Daarover wordt volgens de rechter wél een mening geventileerd, die kan bijdragen tot debat.

Conclusie

Het recht op vrijheid van meningsuiting is een fundamenteel recht dat van groot belang is in een vrije democratische samenleving, ook als het gaat om uitingen die strijdig zijn met de heersende opinie. Juist nu de coronacrisis zorgt voor meer wantrouwen tegenover overheid, pers en wetenschappers – gevoed door allerhande complottheorieën en desinformatie – moet andersluidende, kritische content (online) gepubliceerd kunnen blijven worden.

De keerzijde is dat men op platforms langzaamaan in een eigen parallelle werkelijkheid kan worden gezogen. Arjan Lubach noemde dat in ‘Zondag met Lubach’ ook wel “de fabeltjesfuik”[2]. Hoe langer mensen in die fuik zitten, hoe meer ze openstaan voor radicale ideeën die ze zelf nog niet hadden. Kortom, mede dankzij Facebook en YouTube creëren mensen een eigen waarheid.

Het is dan ook niet opmerkelijk dat volgens de rechter een maatschappelijke plicht bestaat voor platforms om zich aan overheidsrichtlijnen te houden en dat dit kan meebrengen dat bepaalde content op basis van eigen beleidsregels verwijderd mag worden. Wel acht ik hierbij van groot belang dat het dan wel moet gaan om informatie die aantoonbaar onjuist en bovendien schadelijk en/of gevaarlijk is. Juist met zo’n nieuw onderwerp als COVID-19, waarbij nog veel onduidelijk is – en nota bene wetenschappers met tegenstrijdige meningen over elkaar heen buitelen – is die scheidslijn dun. Hoe moet zo’n platform dan bepalen wat desinformatie is? Feitelijk vraag je deze platforms hiermee op de stoel van de rechter te gaan zitten, waarbij bovendien geldt dat ieder land hier juridisch anders mee omgaat. In dit verband zullen dan ook nog veel zaken volgen, waarbij ik de wens uitspreek dat rechters zich niet (te) lichtvaardig achter de heersende opinie zullen verschuilen om afwijkende content te (laten) verbieden.

Tot slot: Zoals Lubach terecht heeft opgemerkt, is censuur niet dé oplossing voor het probleem. Het versterkt mogelijk daarnaast bij veel mensen het wantrouwen dat ‘de elite’ iets te verbergen heeft. Volgens hem kunnen de platformen beter wat doen aan die algoritmes: “Zij moeten die fuik fixen, want alleen zij kunnen ervoor zorgen dat we allemaal weer in één werkelijkheid gaan leven.”

Teun Pouw
Advocaat IT-/IE-recht en BMM-merkengemachtigde

Met dank aan student-stagiaire Daisy Brugman

 

[1] Rb. Amsterdam 9 september 2020, ECLI:NL:RBAMS:2020:4435.

[2] https://www.youtube.com/watch?v=FLoR2Spftwg

Wat als één van je klanten je probeert te dwingen tot het verlenen van medewerking aan het tot stand brengen van een interface met door jouw onderneming geleverde software? Ben je hieraan gehouden of kan je een beroep doen op jouw auteursrecht?

Voor de vraag in hoeverre daadwerkelijk medewerking van de rechthebbende verlangd kan worden, is een goed begrip nodig van artikel 45m Auteurswet. In dit artikel is namelijk een wettelijke (dwang)licentie gecreëerd om te voorkomen dat de ontwerper van de oorspronkelijke software in een onwenselijke monopoliepositie zou komen. Dit artikel vormt een uitwerking (en equivalent) van artikel 6 van de EU-richtlijn 2009/24. In deze blog wordt nader op art. 45m Auteurswet ingegaan.

Artikel 45m Auteurswet

Het artikel beoogt de grenzen aan te geven waarbinnen “decompilatie” van computerprogrammatuur aan derden moet worden toegestaan. Decompilatie kan in dit verband ook wel als een onderdeel van het zogenoemde reverse engineeringsproces worden aangemerkt. De uitzondering op het auteursrecht die dit artikel meebrengt heeft specifiek (en uitsluitend) betrekking hebben op het – in bepaalde omstandigheden – moeten toestaan van het tot stand brengen van een koppeling en interactie met andere computerprogramma’s (‘interfaces’).

Voorwaarden van artikel 45m Auteurswet

Het artikel bepaalt dus dat decompilatie van een computerprogramma is toegestaan, mits dit plaatsvindt onder de strenge voorwaarden die in dit artikel zijn opgenomen. Deze strenge voorwaarden zijn opgenomen ten behoeve van de auteursrechthebbende om misbruik te voorkomen. De voorwaarden waaronder decompilatie mag plaatsvinden zijn de volgende:

  1. De handelingen moeten onmisbaar zijn om informatie te verkrijgen die nodig is om de interoperabiliteit van een onafhankelijk vervaardigd computerprogramma met andere computerprogramma’s tot stand te brengen (aanhef);

Met andere woorden: decompilatie is niet toegestaan wanneer dit alleen geschiedt om een ander programma te maken door de reproductie van het gedecompileerde programma. Daarnaast moet de gebruiker die de gegevens op een andere (legitieme) wijze dan door middel van reverse engineering boven tafel kan krijgen, deze andere werkwijze volgen.

  1. decompilatie mag slechts door de rechtmatige verkrijger van een computerprogramma worden verricht (lid 1 sub a);

De klanten van de auteursrechthebbende kunnen in principe als dergelijke rechtmatige verkrijgers worden beschouwd.

  1. de gegevens die noodzakelijk zijn om de interoperabiliteit tot stand te brengen mogen niet reeds via een andere weg snel en gemakkelijk beschikbaar zijn (lid 1 sub b);

Er zijn diverse situaties denkbaar waarbij de noodzakelijke gegevens niet op een snelle en gemakkelijke wijze verkrijgbaar zijn. Bijvoorbeeld wanneer de noodzakelijke gegevens niet via algemeen beschikbare handleidingen verkrijgbaar zijn en/of de rechthebbende niet redelijke (financiële) eisen stelt voor het beschikbaar stellen van de noodzakelijke gegevens. Op basis van de concrete omstandigheden moet per geval worden beoordeeld of aan deze voorwaarde is voldaan.

  1. decompilatie dient beperkt te blijven tot die onderdelen van het oorspronkelijke computerprogramma die voor het tot stand brengen van de interoperabiliteit noodzakelijk zijn (lid 1 sub c);

De uitzondering is niet van toepassing op verveelvoudigings- en vertalingshandelingen met betrekking tot de onderdelen van het bestaande programma die geen betrekking hebben op de koppeling en de interactie met andere programma’s. Van het tot stand brengen van de interoperabiliteit is dan per slot van rekening geen sprake.

Rechtspraak

Er is nog weinig rechtspraak over dit artikel. Er is echter een interessante recente uitspraak, waarin een beroep op artikel 45m Auteurswet aan de orde kwam.[1] Het betrof een kwestie waarin de broncode van de software nodig was om de software te kunnen aanpassen/upgraden. De rechter oordeelde in dit verband over artikel 45m Auteurswet:

’’4.17. Het artikel stelt als vereiste dat het moet gaan om een vertaling die nodig is om een koppeling (interoperabiliteit) te bewerkstelligen tussen computerprogramma’s. Het gaat er daarbij om dat de programma’s met elkaar samenwerken, en niet dat een programma een uitvoer moet generen die leesbaar is door een ander programma. Dit betekent vrij vertaald dat de broncode alleen mag worden gebruikt, voor zover dat nodig is om de koppeling tussen twee softwaresystemen te verwezenlijken. Het is echter aannemelijk dat, zoals NedTrain aanvoert, de opdracht niet kan worden uitgevoerd door koppeling van het huidige diagnosesysteem aan bijvoorbeeld een door Siemens Mobility te ontwikkelen softwaresysteem. De opdracht houdt in dat de bestaande software van het diagnosesysteem wordt aangepast (geüpdatet). NedTrain voert aan dat het diagnosesysteem uiterst complex is en het daarom ondenkbaar is dat een koppeling en uitwisseling van gegevens en signalen van twee systemen kan functioneren, zonder aanpassingen te maken in de software van Alstom Transport. Siemens Mobility heeft dit niet gemotiveerd weersproken, zodat het ervoor wordt gehouden dat NedTrain wat dit betreft gelijk heeft.

4.18. Het is op grond wat in 4.12. tot en met 4.17. is overwogen aannemelijk dat de opdracht alleen door Alstom Transport kan worden uitgevoerd, omdat het auteursrecht van Alstom Transport op het diagnosesysteem en de broncodes van de software van dit systeem moet worden beschermd.’’

Interessant in deze zaak is dat het volgens de rechter ging om een (complex) systeem en dat een koppeling en uitwisseling van gegevens niet kan plaatsvinden zonder aanpassingen te maken in de software van Alstom Transport. Deze partij behoefde hier dus niet aan mee te werken.

Conclusie

Artikel 45m Auteurswet bevat een beperking op het auteursrecht. Het artikel bepaalt, kort gezegd, dat onder strenge voorwaarden het kopiëren en vertalen van de codevorm van een computerprogramma voor het bereiken van interoperabiliteit geen auteursrechtinbreuk oplevert:

– de gezochte gegevens moeten onmisbaar zijn om de interoperabiliteit te realiseren (artikel 45m aanhef);

– en niet snel en gemakkelijk beschikbaar zijn (artikel 45m lid 1 sub b);

– het verveelvoudigen moet beperkt blijven tot hetgeen voor de interoperabiliteit noodzakelijk is (artikel 45m lid 1 sub c);

– en de verkregen informatie mag niet worden toegepast voor (kort gezegd) een kopie-product (artikel 45m lid 2 sub c).

Uit artikel 45m Auteurswet volgt voorts in principe niet een verplichting tot meewerken aan het overhevelen van gegevens.[2] Ook indien bepaalde aanpassingen in de software nodig zijn om de koppeling überhaupt te kunnen laten slagen (zie voornoemde uitspraak) komt de wederpartij mogelijk geen beroep toe op artikel 45m Auteurswet.

Teun Pouw, Advocaat IT-/IE-recht en BMM-merkengemachtigde

met dank aan student-stagiaire Daisy Brugman

 

 

[1] Voorzieningenrechter Rechtbank Midden-Nederland, 17-06-2020, ECLI:NL:RBMNE:2020:2212, nr. C/16/501515/KG ZA 20-192.

[2] Zie ook Koelman in zijn noot in Computerrecht bij dit vonnis: Vzr. Rb. Leeuwarden 25 mei 2005, Computerrecht 2005, nr. 42, p. 263, m nt K J Koelman; LJN. AT6118 (Openbaar Onderwijs Zwolle/Pendul).

De Autoriteit Persoonsgegevens (AP) heeft bij 31 organisaties uit de private sector, variërend van de sectoren handel, gezondheidszorg, media, vrije tijd en energie verkennend onderzoek gedaan naar verwerkersovereenkomsten. Het doel was om een beter beeld te krijgen over de wijze waarop invulling wordt gegeven aan de verplichting van het opstellen van een verwerkersovereenkomst bij het inschakelen van een verwerker door de verwerkingsverantwoordelijke. Het onderzoeksrapport is gepubliceerd op de website van de AP op 9 oktober 2020.

Wat is een verwerkersovereenkomst?

Organisaties die – kort gezegd – persoonsgegevens verwerken en bij die verwerking van persoonsgegevens gebruik maken van derde partijen, zijn op grond van de wet verplicht een verwerkersovereenkomst te sluiten. Een volledig overzicht van de eisen die in een verwerkersovereenkomst moeten worden geadresseerd, is opgenomen in art. 28 van de Algemene verordening gegevensbescherming (AVG). Lees meer over de vereisten in ons eerdere blog hierover.

Aanbevelingen van de AP

In het rapport worden de conclusies van het onderzoek weergegeven en aanbevelingen gedaan.  De AP geeft de volgende vijf algemene aanbevelingen voor organisaties:

  1. Houd overzicht en wees volledig: Maak inzichtelijk welke organisaties u inschakelt, welke verwerkingen zij doen, wat de risico’s zijn en of er een verwerkersovereenkomst vereist is.
  2. Duid risico’s en stel zo nodig verwerkersovereenkomsten op: Maak duidelijk welke organisaties worden ingeschakeld en voor welke verwerking zij persoonsgegevens verwerken, welke rol zij daarin hebben, wat de risico’s zijn en welke verwerkersovereenkomsten daarbij reeds gelden of benodigd zijn. Indien blijkt dat voor een verwerker geen verwerkersovereenkomst is opgesteld waar dit wel vereist is, stel dan een verwerkersovereenkomst op.
  3. Veranker het opstellen, beoordelen en aanpassen van verwerkersovereenkomsten in bestaande processen voor contractmanagement. Sluit aan op bestaande processen voor contractmanagement en ga periodiek na of de verwerkersovereenkomst nog voldoet aan de eisen.
  4. Toets bestaande overeenkomsten aan de verscherpte eisen uit de AVG. Voor de AVG gold de Wet Bescherming Persoonsgegevens, op basis waarvan ook de verplichting bestond verwerkersovereenkomsten af te sluiten. Veel organisaties hebben de indruk dat er geen nieuwe eisen zijn gesteld aan deze overeenkomsten, maar in de AVG is een aantal elementen verder uitgewerkt. Het is daarom noodzakelijk om de overeenkomsten aan te passen aan de aangescherpte eisen uit de AVG.
  5. Maak afspraken en maatregelen concreet. De AVG bevat doorgaans open normen die invulling behoeven aan de hand van de specifieke situatie waarin verwerkingsverantwoordelijken en verwerkers zich bevinden. Een verwerkersovereenkomst is bedoeld om open normen uit de AVG voor een specifieke situatie te concretiseren. Het is daarom van belang om afspraken en maatregelen concreet te maken.

Conclusie

Er zijn zeer diverse verwerkersovereenkomsten in gebruik bij organisaties. Dit past, volgens de AP, bij het beeld dat de AVG door de open normen mogelijkheden biedt voor maatwerk. Uit het onderzoek van de AP blijkt dat de verwerkersovereenkomsten niet in alle gevallen voldoen aan de vereisten uit de AVG. Uit het rapport blijkt dat het kan gaan om kleine en eenvoudig aan te passen zaken tot het niet volledig opnemen van specifieke verplichtingen. Het blijft dus oppassen geblazen met het opstellen en afsluiten van verwerkersovereenkomsten. Bekijk kritisch aan welke eisen de gegevensverwerking moet voldoen en maak duidelijke maatwerkafspraken.

Heeft u nog geen verwerkersovereenkomst of wilt u laten checken of uw verwerkersovereenkomsten aan alle eisen van de wet voldoen? Neem dan contact op met Natascha van Duuren, advocaat/partner IT, IE & Privacy.

Met dank aan Daisy Brugman, student-stagiaire

Een belangrijke ontwikkeling van het afgelopen decennium is de opkomst van sociale media. Steeds meer mensen gebruiken sociale media om in contact te blijven met vrienden en familie of om professioneel te netwerken. Als onderdeel van hun bedrijfsmodel bieden aanbieders van sociale media zogenaamde ‘’targeting’’ diensten aan bedrijven, waarbij partijen gericht advertenties kunnen tonen aan (groepen) gebruikers. Deze manier van adverteren brengt vele mogelijkheden, maar ook gevaren met zich mee.

De richtlijn

Het comité van Europese privacy toezichthouders (European Data Protection Board, ‘EDPB’) heeft daarom een nieuwe richtlijn opgesteld om sociale media gebruikers te beschermen. Het mechanisme dat kan worden gebruikt om gebruikers van sociale media te targeten, evenals de onderliggende verwerkingsactiviteiten die targeting mogelijk maken, kunnen aanzienlijke risico’s met zich meebrengen voor de fundamentele rechten en vrijheden van de sociale media gebruiker. De richtlijn richt zich daarom op de rollen en verantwoordelijkheden van adverteerders en aanbieders. Er wordt onder meer in gegaan op de privacy risico’s voor gebruikers van sociale media en op de belangrijkste vereisten uit de privacywetgeving, zoals de juridische basis voor de verwerking.

Deze richtlijn is echter niet bedoeld om een ​​uitputtende beschrijving te geven van de mogelijke risico’s. Desalniettemin vindt de EDPB het belangrijk om op bepaalde soorten risico’s te wijzen en een aantal voorbeelden te geven hoe deze zich kunnen manifesteren.

Gerechtvaardigd belang?

Opvallend is wel dat de richtlijn zuiver commerciële belangen kwalificeert als gerechtvaardigd belang. Afgelopen november publiceerde de Autoriteit Persoonsgegevens (AP) namelijk haar normuitleg voor de grondslag ‘gerechtvaardigd belang’. Daarin stond onder andere dat het werven van nieuwe klanten niet onder het gerechtvaardigd belang kan vallen, aangezien dit belang niet genoemd staat ‘in wetgeving of elders in het recht’. Het enkel dienen van zuiver commerciële belangen, winstmaximalisatie, en het zonder gerechtvaardigd belang volgen van het (koop)gedrag van (potentiële) klanten, is volgens de AP niet gekwalificeerd als gerechtvaardigd belang.

Open voor consultatie

Deze richtlijn is uitgebracht als een conceptversie, waar iedereen op mag en kan reageren tot en met 19 oktober 2020. Hierna stelt de EDPB definitief de richtlijn vast.

Natascha van Duuren, advocaat/partner IT, IE & Privacy

met dank aan Daisy Brugman, student-stagiair


Link van de guidelines:

Guidelines 08/2020 on the targeting of social media users?

https://edpb.europa.eu/our-work-tools/public-consultations-art-704/2020/guidelines-082020-targeting-social-media-users_nl

Normuitleg voor de grondslag ‘gerechtvaardigd belang’

https://autoriteitpersoonsgegevens.nl/sites/default/files/atoms/files/normuitleg_gerechtvaardigd_belang.pdf