Het juridische zit hem in het punt dat het Europese Hof enige tijd terug besloot dat lidstaten überhaupt geen extra eisen mogen toevoegen aan de privacywet. In Spanje had men bijvoorbeeld vermeld dat je zonder toestemming alleen gegevens uit openbare bronnen mag verwerken, maar dat stond niet in de Europese regels en was dus niet toegestaan, aldus de hoogste Europese rechter.

Om dezelfde reden zou een regeling die zegt “verzamelen van SSIDs vereist toestemming” in strijd zijn met Europees recht. Hoewel toestemming (opt-in) de hoofdregel is in de privacywet, zijn er uitzonderingen (waar Google dus onder valt, volgens het Cbp). En die uitzonderingen kun je niet buiten toepassing verklaren.

Bij Tweakers stak daarbij de weer discussie op of SSIDs überhaupt wel persoonsgegevens zijn, met hier en daar het bekende misverstand dat als iets een persoonsgegeven is, je altijd toestemming nodig hebt. Dat is dus niet zo: iets kan best een persoonsgegeven zijn en toch zonder toestemming te verwerken te zijn. Als er een wettelijke uitzondering van toepassing is, dan is ‘verwerking’ daarmee mogelijk zonder toestemming.

De Ierse Data Protection Commission had in oktober/december 2011 een audit uitgevoerd op Facebook Ierland, de dochter van de Amerikaanse gigant. Het is Facebook Ierland, ietwat verwarrend afgekort tot FB-I, waarmee je als niet-Amerikaanse en niet-Canadese gebruiker de gebruiksovereenkomst sluit. En daarmee valt de FB-I onder Europees recht, of beter gezegd Iers recht.

De bevindingen uit de audit mogen nadrukkelijk niet worden gezien als conclusies dat FB-I momenteel niet de wet naleeft, zo schrijft men in het rapport. Ehm, juist.

Eén van de kernpunten bij Facebook is dat het onvoldoende duidelijk is wat ze doen met je gegevens en wat je daaraan kunt doen. Een actiepunt is dan ook om de privacypolicy beter leesbaar te maken en duidelijker controls te introduceren. Ook zal de link daarnaar net zo groot worden als de link naar andere informatie.

Als aanvulling zal FB-I ook extra transparant worden over wat adverteerders kunnen opvragen en hoe de targeting werkt.

Gaat dat helpen? Mwa. In een theoretische wereld wel, want daar nemen mensen graag kennis van voorgenomen verwerkingen van hun persoonsgegevens om vervolgens een geïnformeerd en vrij besluit te nemen. De praktijk kent u net zo goed als ik.

Belangrijker lijken me de stappen omtrent de plugins: die gaan strengere limieten krijgen omtrent wat ze aan persoonlijke gegevens mogen opvragen, en knopjes waarmee mensen zelf dingen kunnen instellen. (En ik hoop dat “u moet alles aanzetten om uw plantjes water te geven” verboden wordt.) Er komt ook contextuele controle over wat third-party apps kunnen doen met data van Facebookers.

Verder wordt data die voor advertentiedoeleinden is verzameld, nu na twee jaar gewist in plaats van oneindig lang bewaard. Bij het Vindikleukknopje worden geen individuele IP-adressen meer geregistreerd, zodat niet-Facebookers en uitgelogde wel-Facebookers niet individueel getraceerd worden. De aldus geanonimiseerde data wordt 90 dagen bewaard, in plaats van permanent.

Wie wil weten wat de FB-I over ze weet, krijgt toegang tot een downloadtool. Althans, zodra die er is want deze komt gefaseerd vanaf januari online. Het is ook nogal een klus natuurlijk: ieder vriendverzoek, iedere tagging, iedere por, elk bericht en elke boodschap op jouw en andermans muur moet inclusief metadata beschikbaar komen. Als iedereen dat tegelijk doet, valt Facebook gewoon om.

Een groot aantal andere suggesties van de privacytoezichthouder “worden meegenomen” en FB-I “gaat ernaar kijken” wat voor bredere implicaties die zullen hebben. Zo is voorgesteld dat je het taggen van jezelf door anderen geheel uit zou moeten kunnen zetten, maar dat heeft kennelijk “bredere implicaties” zodat men daar in juli 2012 graag nog een keer op terugkomt.

Het rapport bevat nog veel meer interessante bevindingen. Ik hoor graag jullie vondsten!

Noem me een moraalridder, maar het feit dat het kinderlijk eenvoudig en toegestaan is om een film gratis te downloaden terwijl deze nog in volle glorie in de bioscoop draait vind ik vreemd. De argumenten om dit toe te staan zijn niet meer van deze tijd. Door dit downloaden van films toe te staan en onder artikel 16c van de Auteurswet te scharen zouden rechthebbenden nog enige vorm van vergoeding ontvangen door middel van de thuiskopieheffing op, onder andere, blanco DVD’s. De exacte cijfers ken ik niet, maar ik kan me voorstellen dat (HD) films in steeds grotere mate op externe harde schijven van 2 TB opgeslagen worden in plaats van de, relatief kleine, blanco DVD’s en dat daarmee de verkoop van blanco DVD’s en dus de compensatie voor rechthebbenden achteruit gaat.

Het tweede argument wat tot ons ‘ruimhartig’ thuiskopieregime heeft geleid gaat in het geval van films ook bijna niet op. Het downloaden van films, ook die uit evident illegale bron, is toegestaan omdat het voor de consument moeilijk is in te schatten of een bron evident illegaal is. Het lijkt mij vrij duidelijk dat een bron illegaal is wanneer een film hier gratis te vinden is terwijl de film nog in de bioscoop te zien is. Natuurlijk zijn er grensgevallen te bedenken maar die paar grensgevallen zijn naar mijn mening niet genoeg om het downloaden van alle films dan maar toe te staan.
De vermeende illegaliteit van te downloaden muziekbestanden is al moeilijker vast te stellen en dit probleem is daarom ook moeilijker op te lossen.

De gulden middenweg, waar we een vrij internet hebben zonder inbreuk te maken op intellectuele eigendomsrechten klinkt als een utopie. Maar dat is geen reden om te stoppen met zoeken!
Mijn kleine beetje teleurstelling bij het lezen van het bovengenoemde vonnis werd ook wel veroorzaakt door het feit dat er toch een oplossing gezocht moet gaan worden in de hoek van de providers, zonder toegang kan het internet immers ook niet misbruikt worden. Maar dan pleit ik wel voor een voor alle partijen reële oplossing.

Ik ben benieuwd wat er woensdag in de Tweede Kamer over het downloadverbod en de thuiskopieheffingen besproken gaat worden, maar ik verwacht niet dat er al een Utopia gecreëerd gaat worden.

Gelukkig ben ik niet de enige die dit heeft opgemerkt, want er zijn een tweetal onderzoeksrapporten verschenen, waarin geconcludeerd wordt dat er door de webwinkeliers en andere op afstand werkende leveranciers nauwelijks (lees eigenlijk; gewoon niet!) gecontroleerd wordt of de klant wel de vastgestelde leeftijd van 16 jaar dan wel 18 jaar heeft bereikt. Dit bericht heeft de overheid nu ook bereikt en er wordt op dit moment ook over de kwestie gesproken bij het ministerie.

Er zijn in het afgelopen jaar ook al een aantal mogelijke oplossingen bedacht om online de leeftijd van de klant te kunnen controleren, maar vooralsnog is er geen concrete oplossing. Ik gaf in mijn vorige blog ook al aan dat dat allemaal ook nog niet zo gemakkelijk is, als dat het lijkt. Verder wordt daarbij een belangrijk onderdeel vergeten en dat is wanneer je moet controleren. Is dat pas bij aflevering of bij het aangaan van de overeenkomst, bij het bestellen zelf dus?

Alle bedachte oplossingen gaan uit van controleren bij het bestellen zelf. Dat is volgens de wettelijk regels rond overeenkomsten en koop op afstand ook juist. Degene die bestelt, gaat immers de overeenkomst aan, hij moet in het geval bij het kopen van alcohol dus oud genoeg zijn. Echter spreekt de Drank en Horecawet over het feit dat de leeftijd vastgesteld moet worden bij! de verstrekking van de alcohol. Ik ben van mening dat dat inhoudt; bij de daadwerkelijke overhandiging aan de klant, de fysieke handeling.

Op dit moment ligt er een wetsvoorstel klaar met wijzigingen in de Drank en Horecawet. De status is dat het voorstel op dit moment bij de Eerste Kamer ligt. In de Memorie van Toelichting bij die wetswijziging staat het in de vorige alinea bedoelde weer net iets anders, namelijk dat de verstrekkers moeten controleren. Als je het zo leest, moet de verkoper de leeftijd controleren en online zou dat betekenen dat er gecontroleerd moet worden bij het bestellen zelf.

Toch denk ik dat de wetgever bedoelt bij! het daadwerkelijk overhandigen van de drank. Dat heeft te maken met het feit dat een verkoper ook geen drank mag verstrekken aan iemand die weliswaar oud genoeg is, maar waarvan hij het vermoeden heeft dat de drank voor een persoon bedoeld is die nog niet oud genoeg is. In een winkel moet de leeftijd vastgesteld worden van bijvoorbeeld alle jongeren uit de groep die bij de kassa staan. Hoewel ik vind dat die regel offline al best ver gaat, is dat online natuurlijk nooit te controleren. Het is ontzettend makkelijk om voor een ander een bestelling te plaatsen. Ook is de wet geschreven voor verkoop en dus verstrekken in winkels en niet voor verkoop op afstand. Helaas gaat de geplande wetswijzigingen verder niet in op online verkoop

Een gemiste kans dus om dit onderwerp niet nadrukkelijker mee te nemen in de wetswijziging. Dat vind ook de D66 Fractie, want zij hebben tijdens de Behandeling van deze wijzigingen de regering alsnog om een reactie gevraagd.

Verder heb ik het meest in het oog springende nog niet eens genoemd en dat is de handhaving, deze gaat voor een groot gedeelte naar de gemeentes en hun burgemeesters. Wie echter de burgemeester van het internet is, ik heb geen idee…..

In april werd de wetgeving ten behoeve van het landelijk EPD unaniem afgeserveerd door de Eerste Kamer. Na de verwoede doch mislukte poging van Nictiz om het alsnog tot een privaat succes te maken, dienen VVD, PVDA en CDA vandaag naar alle waarschijnlijkheid een motie in omdat ze de infrastructuur (het landelijk schakelpunt) en de daarmee gemoeide honderden miljoenen niet in de vuilnisbak willen gooien. Schippers moet van de fracties een en ander redden en nu actie ondernemen.

Ik wens haar veel succes en hoop dat zij een besluit kan nemen tot ieders tevredenheid. Iets is ten slotte beter dan niets en de extra waarborgen ten behoeve van de privacy (zoals vooraf toestemming vragen aan de patiënt) kunnen natúúrlijk gewoon worden opgenomen in de op handen zijnde aanvulling van de Wet Clientenzorg.

Lees het volledige bericht bij Computable.

Werkt u nu met:

• Opt-in voor “partnermailings” zonder te noemen wie dat allemaal zijn?
• Opt-in voor nieuwsbrieven die in feite alleen maar reclame van anderen bevatten?
• Opt-in via algemene voorwaarden of privacystatement?
• Verhuur van opt-inbestanden?

Dan loopt u nu juridisch risico. Weten hoe het wel moet? Volg dan ons gratis webinar! gratis webinar! (wat is een webinar?)

Duur en tijdstip

Het webinar zal plaatsvinden op Vrijdag 18 november om 15.00 uur. Het webinar zal ongeveer één uur duren.

Organisatie & Hosts

Dit webinar wordt u aangeboden door Yargon en ICTRecht. ICTRecht is specialist op het gebied van juridisch advies over ICT, internet en intellectueel eigendom. Het webinar zal geleid worden door Karel Geenen (Yargon) en Arnoud Engelfriet (ICTRecht).

Hoe kan ik deelnemen?

Deelnemen aan dit webinar is gratis en kan door het formulier bij Yargon in te vullen. Let op: het aantal plaatsen is beperkt dus wees er op tijd bij! Zolang het formulier nog online staat kunt u zich gratis aanmelden.

Na aanmelding ontvangt u een aantal dagen van tevoren een herinnering en krijgt u van ons de inloggegevens van het webinar.

In de FAQ staat keurig uitgelegd hoe en wanneer toestemming nodig is. Zo staat er dit lijstje:

1. de ontvanger moet via een actieve handeling toestemming geven voor het ontvangen van commerciële e-mail;
2. de ontvanger moet ook via een aparte actieve handeling toestemming geven voor het verstrekken van zijn e-mailadres aan derde partijen
3. bij de toestemmingsvraag moet in een bij- of onderschrift duidelijk gemaakt worden dat het e-mailadres gebruikt zal worden voor het toezenden van commerciële e-mail en/of derdenverstrekking,
4. alleen een bijschrift waarin staat dat de ontvanger akkoord gaat met Algemene Voorwaarden of een Privacy statement volstaat niet.

Dat is een prima vuistregel, alleen mist er één ding: de toestemming moet specifiek zijn, oftewel men moet weten wie men toestaat de commerciële mailing te sturen. Het voorbeeld verderop in de FAQ illustreert dit nog eens:

Een adverteerder met een nieuw sportdrankje, vraagt een uitgever van een sportmagazine of hij dit drankje via hun e-mailbestand onder de aandacht mag brengen. De producent van het sportdrankje krijgt de e-mailadressen dan niet fysiek in handen, maar de uitgever stuurt een dedicated e-mail aan zijn bestand waarin reclame voor de sportdrank staat.

Nergens wordt zelfs maar opgemerkt dat de uitgever wel specifieke, aparte toestemming moet hebben verkregen voor dit hergebruik van zijn bestand door deze specifieke adverteerder (en dus niet “u geeft toestemming voor reclame door derden”).

Dat lijkt geen toevallige omissie, getuige deze tweet van DDMA in reactie op mijn vraag:

Goede blog, mist 1 ding: toestemming moet per derde gegeven worden en niet “derdenverstrekking” alleen http://t.co/m2mXLB0h /cc @DDMA

@ictrecht. Dank voor het compliment. Wat betreft je opm. Dat vind OPTA, maar het staat nergens zo in de wet. Of dit zo is zal de rechter moeten bepalen. #blog #DDMA #code #email

Oeh, de wet. Laten we die er eens bij pakken. Artikel 11.7 Telecomwet (Tw) eist voorafgaande toestemming van de ontvanger. Het woord ‘toestemming’ is gedefinieerd in artikel 11.1 Tw en wel als “toestemming van een betrokkene als bedoeld in artikel 1, onder i, van de Wet bescherming persoonsgegevens”. Pakken we die wet erbij, dan zien we

elke vrije, specifieke en op informatie berustende wilsuiting waarmee de betrokkene aanvaardt dat hem betreffende persoonsgegevens worden verwerkt

Vindt de DDMA nu dat “ik geef toestemming voor uw partners om mij te mailen” “specifiek en op informatie berustend” is? Oftewel u bent afdoende geïnformeerd en u weet specifiek wat u nu gaat krijgen.

OPTA zegt hierover in dat boetebesluit:

Het is voor abonnees niet duidelijk van wie zij mailings kunnen verwachten, het wordt immers niet duidelijk wie de partners van Digital Magazines zijn. Hiermee zou een zeer brede en onbepaalde machtiging tot het verwerken van gegevens worden verkregen die volgens de wetsgeschiedenis niet als een geldige toestemming kan worden aangemerkt.

En dat slaat weer op wat in de Memorie van Toelichting bij dit wetsartikel is opgemerkt:

Een onbepaalde machtiging om persoonsgegevens te verwerken, niet gericht op bepaalde gegevens en op bepaalde vormen van verwerking, is niet toereikend. Duidelijk dient te zijn welke verwerking, van welke (soort) gegevens voor welke doeleinden zal plaatsvinden (gerichte toestemming). Tot slot moet de betrokkene zodanig zijn geïnformeerd dat hij begrijpt waarvoor hij toestemming geeft («informed consent»).

Oftewel: de ontvanger moet weten wát er gaat gebeuren en wélke (soort) mailings hij gaat krijgen. En hij moet begrijpen waar hij toestemming voor geeft. “Partnermailings” is niet begrijpelijk genoeg. Wélke partners? Wat voor mailings?

DDMA verduidelijkt in een followuptweet:

@ictrecht Nee, voor derdenverstrekking is aparte toestemming nodig. En de partners moeten of bij naam worden genoemd of bij categorie bv reisverzekering

Dat bij naam noemen is prima, maar bij categorie of het nog generiekere “onze partners” is écht te weinig. Verderop in het boetebesluit wordt bij een andere werkwijze gezegd

Bij het eerste voorbeeld van methode B geven abonnees toestemming om e-mail nieuwsbrieven van ondermeer Mail Garage en Digital Magazines te ontvangen. Als de abonnees ook daadwerkelijk nieuwsbrieven van deze partijen zouden ontvangen dan zou naar het oordeel van het college hiermee voldoende duidelijkheid zijn gegeven van welke partijen zij e-mail nieuwsbrieven mochten ontvangen.

Oftewel door de partijen te noemen en te melden dat deze partijen nieuwsbrieven sturen, is afdoende informatie gegeven wat je gaat krijgen: nieuwsbrieven van Mail Garage en Digital Magazines (en andere genoemde partijen).

Heb je een lange lijst namen, dan mag je volstaan met een hyperlink naar die lijst. Ook dat zegt OPTA expliciet:

… vervolgens een lijst met een groot aantal bedrijfsnamen, waaronder Digital Magazines en Mail Garage, werd gegeven. Het college is van oordeel dat abonnees in staat waren om te achterhalen dat zij e-mail nieuwsbrieven van Digital Magazines en Mail Garage mochten ontvangen.

Maar omdat de lijst met deelnemende bedrijfsnamen eindigde met “…en mogelijk andere derden” konden abonnees echter nooit volledig achterhalen van wie zij mailings mochten verwachten. En dát is waarom men hier de fout in ging.

De OPTA is hier zeker streng, maar gezien de wettelijke definities lijkt me dat niet meer dan terecht. Ik kan me ook werkelijk niet voorstellen dat een rechter gaat zeggen dat “toestemming voor uw partners” (zonder te noemen wie dat zijn) een afdoende toestemming is.

Agenten die menen dat zij worden gehinderd bij hun werk of dat iemand filmt waar dat niet mag, nemen snel camera’s in beslag of wissen zelfs de beelden. Soms beroept men zich daarbij op wettelijke voorschriften, soms op de NS-reglementen, en soms op hun portretrecht. Portretrecht geldt ook voor de politie, maar het betekent niet dat zij automatisch camera’s in beslag mogen nemen.

In dit geval werd een beroep gedaan op de Wet personenvervoer 2000, die in artikel 72 politie-optreden toestaat als de orde, rust, veiligheid of goede bedrijfsgang op het station bedreigd wordt. Maar, zo meldt Teeven, bij evaluatie is geconstateerd dat daarvan in dit geval geen sprake was. De journalist heeft ook excuses gekregen van de politie, alsmede 250 euro schadevergoeding voor het onterecht wissen van de betreffende foto’s.

In maart werden agenten berispt door de rechter omdat ze een filmpje van een politie-optreden op de mobiele telefoon van een verdachte hadden gewist. Daarmee was “de enige reële mogelijkheid voor verdachte om zijn onschuld voor de rechter aan te tonen” verloren gegaan, zodat zijn recht op een eerlijk proces was aangetast.

Export van persoonsgegevens (zoals naam, adres, IP-adres) vanuit Nederland naar andere landen mag alleen als dat land een “passend beschermingsniveau” waarborgt. De VS heeft dat niet, volgens de Europese Unie. Een uitzondering geldt als het bedrijf zich wil aansluiten bij de Safe Harbor-regeling. Daarmee verklaart het bedrijf zich te houden aan de wettelijk eisen uit Europa. Dat zou genoeg moeten zijn voor het Europese bedrijf.

Een andere optie is de klanten expliciet en ondubbelzinnig akkoord te laten gaan met opslag in de Verenigde Staten. De wet (artikel 77 Wbp) biedt daarvoor namelijk een uitzondering. Een dergelijke toestemming kan niet via privacyverklaring of algemene voorwaarden worden bedongen, maar moet apart en expliciet gevraagd worden.

Ook als “de doorgifte noodzakelijk is voor de uitvoering van een overeenkomst”, mag men de gegevens naar de VS sturen. Maar dat is niet hetzelfde als “wij hosten in de VS dus het móet naar de VS”. Hierbij moet u vooral denken aan zaken als “deze mail moet afgeleverd bij een Gmail-gebruiker dus ik móet het e-mailadres wel aan de mailserver van Google.com geven”.

Als laatste is wellicht het overwegen waard of u het systeem zo kunt opzeggen dat de Amerikaanse dienstverlener niet bij de gegevens kan, organisatorisch of technisch. Als hij de persoonsgegevens niet kan lezen, dan is er formeel geen sprake van verwerking van persoonsgegevens.

Overigens is er bij cloudhosting in de VS altijd veel discussie over hoe de Patriot Act roet in het eten kan gooien. Met de Patriot Act in de hand kan de Amerikaanse overheid namelijk bij een Amerikaanse cloudaanbieder aankloppen en gegevens opeisen, ook wanneer dat volgens Europese regels niet zou mogen. En daarmee zou de Nederlandse dienstverlener in de problemen kunnen komen alhier. Maar of dit écht een probleem is of alleen maar bezorgde borrelpraat, is mij nog steeds niet duidelijk.