Databank mag worden doorverkocht

money-718614_1920
CC0 Public Domain

Op 22 oktober 2015 oordeelde de voorzieningenrechter in Amsterdam dat een deurwaarder een database met daarin de gegevens van 10.000 “topvrouwen” uit het bedrijfsleven mag doorverkopen aan een derde partij.

Achtergrond

Woman Capital is een headhuntersbureau en was eerder door de rechter veroordeeld een bedrag van meer dan € 54.000,- te betalen aan een voormalig partner van het bureau. Omdat Woman Capital niet in staat was dit bedrag te betalen werd door een deurwaarder beslag gelegd op de database van Woman Capital met daarin de profielen van 10.000 vrouwen opgenomen. De deurwaarder was van plan de database te veilen.

Privacy

In reactie hierop heeft een groot aantal vrouwen bezwaar gemaakt op basis van schending van hun privacy. De deurwaarder is vervolgens een kort geding gestart om duidelijkheid te verkrijgen. De rechter oordeelde dat verkoop is toegestaan en de privacy van personen in de database voldoende is gewaarborgd. Dit voornamelijk omdat de deurwaarder in de veilingvoorwaarden had opgenomen dat alleen organisaties die in dezelfde branche opereren een bod mochten uitbrengen op de database.

Hieruit vloeit voort dat degenen die mogen bieden op het databestand gebonden zullen zijn aan dezelfde regelgeving met betrekking tot persoonsgegevens en privacy als Woman Capital en dezelfde discretie in acht dienen te nemen. Voldoende aannemelijk is dan ook dat de koper van het databestand dit voor hetzelfde doel als Woman Capital zal gebruiken. Hiermee zijn de gegevens van de personen die zijn opgenomen in het databestand en hun privacy vooralsnog voldoende gewaarborgd.

Juiste beslissing?

Helaas zijn via de website van Woman Capital geen voorwaarden of privacyverklaring (meer) toegankelijk. Ik vraag me namelijk af of hierin bijvoorbeeld was opgenomen dat gegevens niet zouden worden verkocht aan derde partijen. Als dit het geval zou zijn geweest, lijkt doorverkoop niet zonder meer mogelijk.

Het feit dat de rechter doorverkoop heeft toegestaan heeft volgens mij ook te maken met de omstandigheid dat iedere “topvrouw” aan de koper van de database een verzoek kan richten tot verwijdering uit de database. De koper moet aan zo’n verzoek voldoen en daarmee is de confidentialiteit toch nog gewaarborgd.

Op de website van Woman Capital lees ik dat het College Bescherming Persoonsgegevens een onderzoek zou zijn gestart. Mocht dat daadwerkelijk zo zijn dan ben ik benieuwd naar de bevindingen van het CBP.

 

Mini-congres Meldplicht Datalekken

Op 18 november a.s. geef ik samen met ir. Ed Muylkens van EMCS IT Services een presentatie op het mini-congres over de meldplicht datalekken. Het mini-congres wordt georganiseerd door EMCS IT Services in samenspraak met Tribes en het Juristencollectief. Het Juristencollectief is een samenwerking waarin ik vanuit LegalTech met andere juristen zelfstandig samenwerk en op die manier krachten bundel voor ondernemers.

Meldplicht Datalekken
Vanaf 1 januari a.s. bent u verplicht inbreuken op de beveiliging van privacygevoelige data te melden bij het College Bescherming Persoonsgegevens (CBP) en de betrokkenen. U heeft daar vast al over gelezen in de media. Dit is het gevolg van de wetswijziging Meldplicht Datalekken en de uitbreiding van de boetebevoegdheid voor het College Bescherming Persoonsgegevens (CBP) die de Eerste Kamer op 26 mei 2015 heeft aangenomen.

Wat betekent dit en wat zijn de gevolgen voor u?
Boetes voor overtreding van de wet kunnen oplopen tot € 810.000 of 10% van uw jaaromzet. U dient daarom stappen te ondernemen om u daartegen te beschermen. Dit ongeacht het aantal dossiers met privacy gevoelige informatie. Ook heeft deze wet gevolgen voor contracten met bestaande klanten en relaties.
Kom naar ons minicongres. Daar verneemt u wat dit voor u en uw bedrijf betekent.

Onderwerpen tijdens het mini-congres
De volgende onderwerpen zullen aan bod komen tijdens het mini-congres:
-Op welke gegevens is de Wet bescherming persoonsgegevens van toepassing? Wat mag wel en wat niet?
-Welke effecten heeft de nieuwe meldplicht datalekken op uw bedrijf?
-Wie is er aansprakelijk als de Wet bescherming persoonsgegevens niet wordt gevolgd en welke risico’s loopt u?
-Welke maatregelen moeten worden genomen op het gebied van informatiebeveiliging? Onderverdeeld naar techniek, organisatie en menselijke gedrag.
-Hoe realiseert u op praktische wijze informatiebeveiliging in uw bedrijf?

Wanneer, waar & hoe aan te melden?
De workshop wordt gehouden op 18 november a.s. op de Tribes lokatie, Flight Forum 840 in Eindhoven. Uw gastheer van Tribes is Jan-Joris Bernaards. Aanvang 13.00 uur, einde 17.00 uur aansluitend een netwerkborrel.
Kosten € 75 ex. BTW voor externen. Relaties van Tribes, Het Juristencollectief of EMCS IT Services betalen € 50 ex. BTW.
Aanmelden kan via mail: contact@emcs-it-services.nl, onder vermelding van de bedrijfsnaam, naam bezoeker(s), mailadres en telefoonnummer. U ontvangt dan een bevestiging.

Webshops voldoen niet aan regelgeving

shopping-cart-152462_640Vandaag kwam in het nieuws dat webshops massaal de regelgeving aan hun laars lappen. Vanaf juni 2014 gelden nieuwe regels voor het consumentenrecht in geval van koop op afstand. Indien u aldus producten en/of diensten verkoopt via een webshop geldt deze nieuwe regelgeving. In het kort zal ik hieronder de regels aanstippen.

Gegevens die verplicht zijn
De volledige naam van uw onderneming, het vestigingsadres, e-mailadres en telefoonnummer maar ook het KvK en btw-nummer zijn verplicht om te vermelden op uw website.

Stappen bestelproces
Alle stappen in het bestelproces dienen helder te worden getoond zowel in het totaaloverzicht als tijdens de afzonderlijke stappen. Nummer deze stappen bijvoorbeeld.

Algemene voorwaarden
De algemene voorwaarden dienen te worden meegenomen in het bestelproces waarbij rekening dient te worden gehouden met het volgende:
algemene voorwaarden gelden alleen als ze vooraf worden aangeboden;
de voorwaarden moeten eenvoudig kunnen worden gelezen en opgeslagen (in bijvoorbeeld een pdf formaat);
bij voorkeur dient klant akkoord te gaan met de voorwaarden bijv. door checkbox;

Betalingsverplichting
Met ingang van de nieuwe wetgeving wordt het ook verplicht duidelijk kenbaar te maken dat door het plaatsen van een bestelling een betaalplicht ontstaat voor de consument. Dit kan door het opnemen van een aparte bestelknop met daarop “bestelling met betaalplicht”. Het lijkt overbodig maar toch wordt het in de wet expliciet omschreven.

Herroeping/bedenktermijn
De bedenktermijn voor de consument wordt verlengd tot 14 dagen (dat was 7 dagen). Het is aan te raden op de website heel duidelijk aan te geven op welke wijze kan worden herroepen. Hiervoor dient gebruik te worden gemaakt van een modelformulier. Dit herroepen dient bovendien kosteloos te kunnen (dus zonder administratiekosten).
Tot op heden geldt dat in geval van het verstrekken van diensten het herroepingsrecht niet van toepassing is wanneer je als aanbieder als bent gestart met de uitvoering van de dienstverlening. Denk bijvoorbeeld aan toegang tot een online leslokaal waarbij de consument direct na betaling volledige toegang heeft. Deze uitzondering wordt vervangen door een strengere variant. Een consument kan alleen dan niet meer van een overeenkomst tot het leveren van diensten af als de overeenkomst volledig is nagekomen binnen de bedenktermijn. Dit is vrijwel nooit haalbaar.

Helderheid totaalprijs
Op de website dient de totaalprijs die de consument moet betalen duidelijk te zijn dus inclusief alle (verzend-)kosten en evt. toeslagen.

Geld terug
Vanaf juni dient u binnen 14 dagen geld terug te betalen op rekening van de consument in geval van herroeping/retournering door de consument.

Vragen?
Bent u webshop eigenaar en heeft u vragen? Neem dan vrijblijvend contact met me op.

Facebook veroordeeld tot het verstrekken van NAW-gegevens plaatser van wraakporno

CC BY-SA 3.0
CC BY-SA 3.0

Enige tijd geleden behandelde Peter R. de Vries in het programma Internetpesters aangepakt de zaak van Chantal uit Werkendam. Voor degenen die de uitzending hebben gemist, deze kan hier worden teruggekeken.

Achtergrond
In januari 2015 had iemand een nepaccount van haar op Facebook aangemaakt en plaatste daarop een seksfilmpje dat ooit gemaakt was door de toenmalige vriend van Chantal. Dit filmpje werd ontzettend vaak gedeeld en toen Chantal er achter kwam heeft ze Facebook verzocht het nepaccount te sluiten en ook aangifte gedaan bij de politie.

Helaas ondernam de politie niet voldoende snel actie en zodoende werd ook Peter R. de Vries ingeschakeld. Omdat ook met hulp van hem het niet lukte te achterhalen wie de persoon was die het nepaccount had aangemaakt en het filmpje had geplaatst werd besloten een rechtszaak te starten tegen Facebook. Tijdens deze zaak werd geëist dat Facebook deze gegevens aan Chantal diende te verstrekken.

Gegevens gewist
Facebook stelde dat de desbetreffende gegevens gewist zouden zijn, conform hun beleid en dat blijven ze tot op heden volhouden. In het huidige tijdperk lijkt het zeer onwaarschijnlijk dat dit ook werkelijk het geval is en dat absoluut niet te achterhalen valt wie destijds het nepaccount heeft aangemaakt en het filmpje heeft geplaatst.

Uitspraak
Op 25 juni 2015 deed de rechter uitspraak in Kort Geding en wees de vorderingen van Chantal toe.

Tegen de achtergrond van voornoemde feiten en omstandigheden is de voorzieningenrechter van oordeel dat Facebook, door op de valreep te volstaan met de mededeling dat zij niet meer over de gevraagde gegevens beschikt bij het naleven van haar – in dit geval in beginsel aanwezige – rechtsplicht jegens eiseres tot het verstrekken van NAW-gegevens met betrekking tot degene die onrechtmatig jegens eiseres heeft gehandeld, onvoldoende zorgvuldigheid in acht heeft genomen. Daarmee heeft Facebook op haar beurt naar het oordeel van de voorzieningenrechter onrechtmatig gehandeld jegens eiseres.

Van Facebook kan op zijn minst worden gevergd om alles in het werk te stellen om na te gaan of de gegevens toch niet nog ergens traceerbaar zijn en, zo zij erbij blijft dat dit niet het geval is, om aan eiseres antwoord te geven op de onder 4.8 en 4.9 genoemde vragen. In het verlengde daarvan ligt besloten dat in het geval Facebook volhardt in haar standpunt dat geen enkel gegeven meer te vinden is, eiseres in dit geval recht op en belang heeft bij een onafhankelijk onderzoek naar de juistheid van de mededelingen van Facebook op dit punt.

Dit betekent dat Facebook uiterlijk op 9 juli a.s. de NAW-gegevens van de persoon die het nepaccount heeft aangemaakt, gebruikt en het verwijderd. Mocht Facebook hier niet toe in staat zijn (vanwege het feit dat zij bij het standpunt blijven dat gegevens zijn verwijderd) dan dient Facebook medewerking te verlenen aan een onafhankelijk onderzoek. Ik ben erg benieuwd naar de uitkomsten hiervan.

Streaming juridisch nieuw(s)?

meerkatDe techniek blijft zich maar ontwikkelen en de mogelijkheden lijken eindeloos te zijn. Maar wat je kunt doen is zeker niet altijd toegestaan. Het live streamen van materiaal via Meerkat en Periscope is een goed voorbeeld daarvan. De betaalzender HBO blijkt boos op Periscope vanwege het streamen van de nieuwste aflevering van Games of Thrones.

Gebruikersvoorwaarden
Streamen van materiaal waarvan je zelf rechthebbende bent en dat ook rechtsgeldig is gefilmd (zie hieronder) vormt uiteraard geen probleem. In de gebruiksvoorwaarden van de streamingsdiensten staat duidelijk vermeld dat je zelf volledig verantwoordelijk bent voor de content die je plaatst/streamt. In artikel 4 van de voorwaarden van Meerkat wordt dit als volgt omschreven:

All Content, whether publicly posted or privately transmitted, is the sole responsibility of the person who originated such Content. We may, but are not required to monitor or control the Content posted via the Services and we cannot take responsibility for such Content. Any use or reliance on any Content or materials posted via the Services or obtained by you through the Services is at your own risk.

Materiaal legaal
De vraag of het materiaal dat wordt gestreamd legaal is hangt af van de vraag of het materiaal rechtmatig is verkregen. Mochten er opnames worden gemaakt op de desbetreffende plek? Bij concerten of in de rechtszaal gelden bijvoorbeeld huisregels waaruit blijkt dat het niet is toegestaan opnames te maken. Ditzelfde zal ook snel gelden voor een congres waarvoor deelnemers een toegangskaart dienen te betalen. Ook is het niet toegestaan stiekem opnames te maken van personen in besloten ruimtes.

Publicatie toegestaan?
Wanneer het gaat om opnames die rechtmatig zijn gemaakt dan kan het op grond van een privacybelang toch nog steeds verboden zijn om het materiaal te publiceren. Voornamelijk wanneer een persoon die is gefilmd een redelijk belang heeft zich te verzetten tegen een publicatie. Dit is mogelijk op basis van het portretrecht.

Daarnaast kan het verboden zijn om opnames te publiceren vanwege het feit dat daarmee het auteursrecht van de rechthebbende wordt geschonden.

Streamen is geen downloaden en dus legaal?
Na de invoering van het downloadverbod werd vanuit meerdere bronnen beweerd dat streamen niet hetzelfde zou zijn als downloaden en dus was toegestaan. Ook in het geval de “bron” illegaal zou zijn. Deze redenering klopt niet en dat is ook door een uitspraak van de Reclame Code Commissie van 31 juli 2014 benadrukt.

Wie moet je aanspreken?
Het zal duidelijk zijn dat degene die materiaal streamt in principe verantwoordelijk is. Toch lijkt het ondoenlijk om deze personen aan te pakken. Dat is dan ook de reden dat betaalzender HBO boos is op de aanbieder van de streaming app en pleit voor een technisch soort oplossing van het probleem (tools voor ontwikkelaars om schending van auteursrecht tegen te gaan). Een bijkomend probleem daarbij is echter wel dat het materiaal maar tijdelijk beschikbaar is.

Voorlopig zal live-streaming naar verwachting alleen nog maar groter worden. Ik verwacht dat a.s. zaterdagavond de kampioenswedstrijd van PSV op grote schaal beschikbaar zal zijn via streams. Is deze ontwikkeling nog (juridisch) te stoppen?

Nepaccount op social media

In eerdere blogs heb ik stilgestaan bij fraude met je online identiteit. Sinds 1 mei 2014 is (online) identiteitsfraude zelfs strafbaar.

De politie geeft op haar site heldere informatie omtrent de stappen die je kunt zetten wanneer je online identiteit wordt gestolen.

Melden

Het is zeker belangrijk dat je bij het social media platform dat je gebruikt meldt dat een nepaccount aanwezig is met het verzoek om dit zo spoedig mogelijk te verwijderen. Hoe je dit moet doen is op elk platform weer anders.

Van te voren maak je natuurlijk screenshots van het nepaccount als bewijs dat het account bestaat.

Nepaccount van bedrijf

Bedrijven die met consumenten zaken doen zijn vaak vertegenwoordigd op Facebook. Ook daarbij komt het steeds vaker voor dat een ander zich voordoet als uw bedrijf om zo reclame te kunnen maken voor eigen producten of diensten. Wat kun je dan het beste doen op Facebook?

Rapporteren op Facebook

20150325_fb melding nepaccount1

Merkregistratie

Wanneer je in zo’n geval actie wilt ondernemen is het aan te bevelen dat je de naam en/of het logo waaronder je jouw product of dienst aanbiedt hebt geregistreerd als merk (Facebook noemt dit een handelsmerk). Wat mij betreft is dit een extra reden om als bedrijf serieus aandacht te besteden aan mogelijke merkregistratie zodat je ongeoorloofd gebruik daarvan ook op social media kunt tegengaan.

2015-03-25 18_31_50-info_melding_nepaccounts.doc - LibreOffice Writer

Wil je weten of dit voor jouw bedrijf ook nuttig zou kunnen zijn? Ik denk graag met je mee.

Gratis bier met selfie; mag dat in Nederland?

#BarBandits by Carlsberg from Konstellation on Vimeo.

Het biermerk Carlsberg heeft een interessante marketingactie bedacht. Door het plaatsen van een selfie op Instagram onder vermelding van de hashtag #BarBandits kun je gratis bier winnen.

Ik vind het echt een goed bedachte actie van het Deense bureau Konstellation. Instagram is zeer populair onder jongeren en ook het maken en plaatsen van selfies lijkt niet meer weg te denken uit onze maatschappij. Wat ik me wel afvraag is of dit soort acties in Nederland is toegestaan.

Promotioneel kansspel

Voor zover ik begrijp geldt na het posten van de selfie dat er random wordt bepaald of er 3 dezelfde foto’s worden getoond en er dus gratis bier wordt gewonnen. Op basis daarvan zou een dergelijke actie onder de regels van een promotioneel kansspel kunnen vallen. Vanaf 1 januari 2014 is deze regelgeving aangepast. Het probleem hierbij is wel dat de totale waarde van het prijzenpakket vooraf bekend dient te zijn en mag een dergelijke actie alleen doorlopend worden gevoerd als er sprake is van een klein kansspel. Dit valt naar mijn idee als aanbieder nog wel te organiseren.

Speciale regels alcohol

Voor het aanbieden van alcohol gelden echter nog speciale regels. In artikel 20 van de Reclamecode voor alcoholische dranken  wordt expliciet bepaald dat het niet is toegestaan alcoholische dranken gratis of tegen minder dan de helft van de prijs aan te bieden.

Regulier kansspel

Wellicht is het voor Carlsberg mogelijk een vergunning te verkrijgen als regulier kansspel. Ik ben heel benieuwd op welke wijze deze actie uiteindelijk in Nederland gaat worden ingevoerd.

Cookies & Google Analytics

SAMSUNGDe cookiewet is vanaf 5 juni 2012 van toepassing. Op grond hiervan dienen gebruikers van websites vooraf expliciet toestemming te geven voor het plaatsen van cookies. Noodzakelijk ofwel functionele cookies vielen sowieso buiten de wet.

Wetsvoorstel
Op grond van de wet ontstond grote ophef. Uiteindelijk werd op 20 mei 2013 een concept wetsvoorstel door minister Kamp openbaar gemaakt waarin de cookiewet zo wordt aangepast dat er geen toestemming meer hoeft te worden gevraagd voor cookies die niet privacygevoelig zijn. Het gaat dan onder andere om cookies die de werking van websites verbeteren: de analytic cookies.

Op 28 maart 2014 is het wetsvoorstel daadwerkelijk ingediend. Op 7 oktober 2014 is dit wetsvoorstel aangenomen door de Tweede Kamer en de Eerste Kamer is hiermee op 4 februari 2015 akkoord gegaan. Vanaf 11 maart 2015 is de nieuwe wet van toepassing.

Geldigheid
De cookiewet is niet alleen van toepassing op cookies maar geldt voor alle methoden waarmee je via een elektronisch communicatienetwerk informatie opslaat van of toegang verkrijgt tot informatie in de randapparatuur van een gebruiker.

Google Analytics uitzondering?
Naast de noodzakelijke of functionele cookies behoeft er ook geen toestemming meer te worden gevraagd voor cookies die niet privacygevoelig zijn. Hieronder vallen de analytic cookies (first party analytics), testing cookies en affiliate cookies.

Eerder werd geoordeeld dat Google Analytics derhalve onder het uitzonderingsregime zou vallen. Dit is echter maar zeer de vraag. Om namelijk te beoordelen of je voor het plaatsen van een cookie daadwerkelijk niet hoeft te voldoen aan de informatie- en toestemmingsverplichting wordt gekeken naar het daadwerkelijke gebruik dat je als plaatser van de cookie maakt van deze informatie. Volgens de minister valt Google Analytics vaak niet onder dit regime.

Wel heeft het College Bescherming Persoonsgegevens onlangs een handreiking gepubliceerd om Google Analytics zo privacyvriendelijk mogelijk in te stellen. Dus wanneer je met Google Analytics werkt volg dan de instellingen die in deze handreiking worden geboden.

Tracking cookies
Voor cookies die het surfgedrag van internetgebruikers volgen verandert er niets. Hiervoor moet nog steeds vooraf toestemming worden gegeven. Toch wordt ook dit vereiste door bedrijven vaak overtreden. De toestemming voor dergelijke cookies kan op twee manieren. Ofwel door het actief klikken op een button waarmee je toestemming geeft ofwel door het doorklikken op de website terwijl je duidelijk bent geïnformeerd omtrent de soorten cookies die daar worden geplaatst. Cookiemuren zijn in beginsel nog wel toegestaan maar niet voor websites die een algemene of publieke taak hebben.

Voorlichting
Ten aanzien van de voorlichting richting consumenten en MKB’ers is door overheid in samenwerking met het bedrijfsleven de website http://www.veiliginternetten.nl gelanceerd. Het is de bedoeling dat hierop tzt een tool ter beschikking wordt gesteld voor MKB’ers om bijv. privacy statement te kunnen genereren.

Jaaroverzichten social media 2014

20141228_091233_resizedOok ditmaal ben ik aan de slag gegaan om de spraakmakende zaken op social media met een juridisch tintje van afgelopen jaar op een rijtje te zetten. In 2014 was wederom een stijging te zien zodat ik over afgelopen jaar zelfs heb besloten een drieluik op te stellen.

In deel 1 van het jaaroverzicht dat ik op 31 december 2014 publiceerde had ik een overzicht opgenomen van social media zaken met een juridisch tintje die ik had onderverdeeld in 5 deelgebieden uiteenlopend van de impact van social media berichten tot selfies. Hierin onder andere aandacht voor de tweets van Nicolette van Dam tijdens het WK en de groepsselfie van Oranje-spelers.

Het tweede deel geeft een overzicht van rechterlijke uitspraken op het gebied van onrechtmatige uitlatingen op internet in 2014. In de meeste zaken worden door de rechter twee fundamentele rechten tegen elkaar afgewogen, namelijk het recht op bescherming van eer en goede naam en eerbiediging van de persoonlijke levenssfeer aan de ene kant en het recht op vrijheid van meningsuiting aan de andere kant.

In het derde en laatste deel een top tien van arbeidsrechtelijke consequenties van social media. In dit overzicht is door mij de schorsing van een notaris opgenomen naar aanleiding van een foto op Facebook en ook een schorsing van een ambtenaar van het ministerie van Veiligheid & Justitie vanwege een tweet.

Ook dit jaar dus weer een groot aantal voorbeelden waaruit blijkt dat mensen de impact van social media onderschatten. De verzendknop wordt vaak ingedrukt zonder dat hier goed over is nagedacht. Ik denk dat er alleen maar meer zaken komen op dit gebied. Ben dus heel benieuwd wat 2015 ons op het snijvlak van recht & social media gaat brengen. De eerste zaken beloven een roerig jaar.