Jurel

Niettegenstaande  de geruchten dat de tekst van het (definitieve)voorstel voor de nieuwe privacy verordening ter  herziening van de huidige Privacy Richtlijn (95/46/EG) zou worden uitgesteld tot eind februari, (volgens kwade tongen  door de VS in de wereld gebracht) is de tekst toch op 25 januari bekend geworden.

Met name is van belang dat de harmonisatie binnen Europa is gediend bij het gebruik van het instrument verordening in plaats van een richtlijn. Een verordening is immers een op een van toepassing op de nationale regelgeving. Marges en verschillen in toepassing tussen de regelgeving van de verschillende lidstaten horen hiermee tot het verleden, tenminste als dit voorstel  als verordening wordt aangenomen.

De motivatie om te kiezen voor een verordening is, onder andere, dat de bescherming van persoonsgegevens (niet de privacy!) zoals neergelegd in artikel 8 EVRM geen afwijking  kan velen binnen de Europese Unie. Afwijkingen tussen staten onderling zou belemmeringen zowel voor de bescherming als zodanig als ook voor het verkeer van die data tussen de lidstaten opleveren.

De eerder uitgelekte tekst (versie 34) had al veel protest opgeroepen bij het bedrijfsleven omdat de lasten met name bij dat bedrijfsleven werden gelegd zonder dat er sprake zou zijn van een werkelijke verbetering van de positie van de betrokkene.

Het uiteindelijke voorstel van de verordening[1]is daarbij volgens mij niet zo desastreus voor het bedrijfsleven. De lobby, met name vanuit de DM hoek, heeft zijn vruchten afgeworpen.

Voor direct marketing is immers wederom  een uitzondering gemaakt op het uitgangspunt dat uitdrukkelijke toestemming voor het verzamelen en gebruiken van gegevens is  vereist. De bewijslast van die verkregen toestemming ligt overigens bij de verwerkende organisatie (artikel 7). Gegevens van kinderen onder de 13 worden zonder toestemming van de ouders niet verwerkt.

Natuurlijk zijn er wel  verdergaande verplichtingen voor het bedrijfsleven en overigens alle overige verwerkers van persoonsgegevens. Elektronische verzoeken tot informatie, verwijdering of, wijziging  van persoonlijke informatie  dienen zonder vertraging en in ieder geval binnen een maand te worden afgewikkeld, nog redelijke termijn voor de organisatie lijkt mij (artikel 12).

Wat betreft de beginselen (artikel  5 – 11) wordt een grote nadruk gelegd op de transparantie (artikel 11 -1 8)en een minimalisatie van het gebruik van persoonsgegevens .  Nieuw is het recht ”to be forgotten” (artikel 17) en toestemming te onthouden aan “profiling”activiteiten (artikel 19 en 20) voor zover technisch mogelijk natuurlijk.

Verder moeten bedrijfsleven en organisaties kunnen aantonen dat zij persoonsgegevens adequaat beschermen. Om te beginnen moet de bescherming gebaseerd zijn op “privacy by design’, De beveiligingsmaatregelen dienen afdoende te zijn, in aanmerking nemende de aard van de gegevens, state of the art en de kosten die bescherming met zich meebrengt, niet revolutionair in vergelijking met de bestaande regelgeving..

Als er sprake is van een datalek, moeten zij  dit zo spoedig mogelijk melden bij de nationale privacytoezichthouder (artikel30)  Verder dient ook de betrokkene te worden ingelicht (artikel 31).

Interessant is verder het opnemen van een “data impact assesment”,  “bij risicovolle verwerkingen van gevoelige gegevens, gedragingen of voorkeuren van natuurlijke personen of “gevoelige verwerkingen” als video opnamen van bewegingen en gedrag.(artikel 33).

Overigens vindt dit onderzoek plaats door de verantwoordelijke of bewerker van de eigen organisatie…

De reactie van het CBP op het voorstel is dan ook enigszins  terughoudend en verder tamelijk neutraal in zijn bewoordingen. Het College erkent dat het voorstel voor de verordening op onderdelen een versterking van de rechten van burgers van wie persoonsgegevens worden verwerkt betekent maar is niet juichend..
Wel zijn ze blij met de versteviging van de rol van privacytoezichthouders
In de conceptverordening staan immers duidelijke criteria voor de onafhankelijkheid van de privacytoezichthouders en hun onderzoeksbevoegdheden. Privacytoezichthouders hebben bijvoorbeeld het recht op informatie van bedrijven en organisaties en moeten toegang kunnen krijgen tot hun panden. Ook krijgen de toezichthouders geharmoniseerde en krachtige handhavingbevoegdheden, inclusief een boetebevoegdheid waarbij de boetes kunnen oplopen tot een miljoen Euro.

Het CBP -en naar alle waarschijnlijkheid ook het bedrijfsleven- zijn verder blij dat de bestaande verplichting tot melden van gegevensverwerking bij de toezichthouders komt te vervallen in het voorstel, omdat dit een verlichting van de administratieve lasten betekent en tegelijkertijd naar hun zeggen, niet ten koste gaat van het niveau van bescherming persoonsgegevens.

Kortom, de verwachte wijzigingen zijn opgenomen, de positie van de datasubjecten is enigszins verbeterd  en het bedrijfsleven is niet echt zwaar getroffen. Enigszins teleurstellend, gezien het lange draagtraject dat tot deze geboorte van de verordening heeft geleid.

Nu maar eens kijken wat er van de uiteindelijke verordening en de toepassing en handhaving overblijft!

Rob van den Hoven van Genderen

---

[1] http://ec.europa.eu/justice/data-protection/document/review2012/com_2012_11_en.pdf

Er was eens een land waar je nieuwe wapens mocht kopen, maar niet verkopen (tweedehands handel was verboden). Omdat er grote vraag was waar de officiële verkoopkanalen niet aan konden voldoen, gingen steeds meer kopers ook verkopen. De wapenproducenten vonden dit vervelend, omdat door de tweedehands verkoop de vraag naar nieuw materiaal afnam. Tot overmaat van ramp startte een ondernemer een bemiddelingsdienst wapenloods en zorgde dat vraag en aanbod elkaar gemakkelijker konden vinden. De wapenbelangenorganisatie KRUIT was not amused en liet de rechter wapenloods verbieden. Wapenloods bleef echter maar door gaan met bemiddelen. KRUIT was woest en wilde de consumentenverkopers gaan aanpakken. Dit leek de wapenproducenten geen goed idee, dat zou de populariteit van KRUIT niet ten goede komen. Dus besloot KRUIT een andere tussenpersoon aan te pakken, de koeriersdiensten die de wapens bezorgden. Er werd een lijst van afzenders gemaakt en de rechter nam deze over. Sinds die dag worden de pakketten apart gelegd op grond van een dagelijks bijgewerkte lijst afzenders.

Bovenstaande weerspiegelt ongeveer de uitspraak van de rechtbank Den Haag op 11 januari 2012. De koeriersdiensten (ISPs Ziggo en XS4ALL) moeten de pakketten van wapenloods (Pirate bay) niet langer bezorgen. Dit omdat iedere legitieme koper (downloader) een potentiële verboden verkoper (uploader) is. De metafoor maakt ondermeer duidelijk dat niet de juiste partij wordt aangepakt. Daar wordt helaas in het vonnis te weinig op ingegaan. Er staan uitgebreide overwegingen in, in de kern is het geschil eenvoudig: een tussenpersoon die toegang verleent tot internet is een vervoerder van informatie en moet niet gedwongen worden agent te spelen, of beveiligingsemployee van BREIN. De rechter bepaalde anders, dus nu heeft BREIN carte blanche om de varianten van Pirate bay qua domeinnaam of IP-adres ontoegankelijk te laten maken. Niet de overheid (censuur in eigenlijke zin) maar een civiele partij (censuur naar strekking) bepaalt de te bereiken webstekken. Het is censuur omdat met dit vonnis niet door een rechter wordt bepaald welke domeinnamen en/of IP-adressen geblokkeerd moeten worden. Er is een aanzetje gegeven in het dictum, maar de deur is keurig opengezet voor een dynamische lijst, desgewenst dagelijks aan te passen. Dat de rechter en ook BREIN/advocaten de complexiteit van het maken van een lijst onderschatten blijkt al in het vonnis:

“Ten eerste wil Brein de domeinnamen http://thepiratebay.nu en http://www.thepiratebay.nu van de lijst te blokkeren domeinnamen als opgenomen in het petitum sub a schrappen.”(r.o. 4.52)

Na afloop van het vonnis zijn er onderhandelingen gestart over een nieuwe lijst namen en IP-adressen. De lijst die voortkomt uit die onderhandelingen is dus niet door de rechter vastgesteld of gecontroleerd. Vermakelijke bijkomstigheid is dat de lijst op zichzelf niet volstaat en ook niet elektronisch kan worden gecommuniceerd. Deze lijst moet:

“zowel per fax als per aangetekende brief”. (r.o. 5.4)

Welk jaar leven we? Fax EN aangetekende brief? Zou de brief op een computer mogen worden opgesteld, of alleen met een typemachine mogen worden vervaardigd?

Hieronder enkele nadere punten van kritiek. Cruciale overweging is:

“Dat het wellicht (technisch) mogelijk is om de upload rate op ‘0′ te zetten, zoals Ziggo en XS4ALL stellen, doet naar het oordeel van de rechtbank niet af aan het feit dat in ieder geval in de praktijk gebruikers die downloaden ook uploaden.” (r.o. 4.11)

Zo lang de wet en politiek downloaden toestaan, kan je mensen niet afhouden van de belangrijkste bron op dit punt. Je zou gebruikers wel kunnen verplichten om het uploaden uit te zetten. Overigens is er een grote groep jeugd die niet eens strafbaar is (immers <12 jaar) als ze uploaden…

Merkwaardig is verder dat het bij elkaar brengen van vraag en aanbod eerst werd aangepakt via de bemiddelaar en nu dus niet de gebruikers maar direct een volgende tussenpersoon wordt aangepakt (access providers):

“het treffen van rechtsmaatregelen tegen vele duizenden individuele gebruikers die in Nederland via The Pirate Bay downloaden en uploaden naar het oordeel van de rechtbank geen minder ingrijpende maatregel die Brein eerst dient te benutten. Ook indien Brein de IP-adressen van de individuele gebruikers zou kunnen achterhalen (…)” r.o. 4.21

Inderdaad, niet minder ingrijpend, dat is ook waarom Brein deze directere en daarom meer voor de hand liggende maatregel niet treft: het zou Brein alleen maar impopulairder maken.

Juridisch inhoudelijk bijzonder bedenkelijk is r.o. 4.40:

“Het bevel moet in dit geval ook worden aangemerkt als noodzakelijk in een democratische samenleving ter bescherming van de rechten van anderen in de zin van artikel 10 lid 2 EVRM.”

Noodzakelijk? Pressing social need? Ik ben een brave burger van onze democratische samenleving,  heb geen belang bij de Piratebay, koop regelmatig CDs en DVDs, heb op twee gecorrumpeerde KaZaa-bestanden na nog nooit muziek e.d. gedownload en heb nooit begrepen dat downloaden van evident illegaal materiaal is toegestaan (een mooi voorbeeld van de achterhaaldheid van het auteursrecht, deze doorgeschoten kopie voor eigen gebruik). Toch zie zelfs ik niet de noodzakelijkheid op het moment dat BREIN meer dan een half miljoen te vergeven heeft aan het voeren van procedures zoals deze. Welk recht moet dan beschermd? Nog meer verdienen? En wie profiteren, vooral zogenaamde belangenbeheersorganisaties als BREIN, BUMA-STEMRA en REPRO (die fors aan mij verdient maar waar ik nog nooit een cent van heb ontvangen). BREIN en de industrie innoveren niet maar houden krampachtig vast aan de bestaande praktijk (veel marge op CDs en DVDs bijvoorbeeld). Het zou ze sieren als ze op grond van het bekende gezegde de wereld eerst bij zichzelf zouden verbeteren. Ik kan dan ook niet volgen dat het noodzakelijk zou zijn in onze samenleving dat partijen die toegang verlenen tot het internet zich moeten gaan bezighouden met het tegenhouden van door BREIN wekelijks (dagelijks?) opgestelde lijstjes IP-adressen en domeinnamen.

Tot slot, onduidelijk is voor mij waarom in het dictum geen (financiële!) sanctie op doorgifte van foutieve domeinnamen en IP-adressen is opgenomen. Wellicht dat deze site er binnenkort ook op pronkt. De glijdende schaal is in ieder geval ingezet. Laten we hopen dat de deze week gestarte en door Marietje Schaake voorgezeten commissie internetvrijheid van het Europese Parlement goed werk zal verrichten.

AR Lodder

Vanmorgen hoorde ik op de radio dat Pierre Vinken overleden is. Ik zie nu op de site van Elsevier dat hij vrijdag op 83 jarige leeftijd is overleden http://bit.ly/PJVinken.

De eerste keer dat ik hem ontmoette was hij al 80, eind juli 2008. Hij ontvouwde een plan over de automatisering van de rechtspraak. Aan het begin van het gesprek dacht ik dat het “yet another” niet-jurist was die wel even een rechtsprekende computer in elkaar zou zetten, maar zijn visie bleek veel genuanceerder. Er kwam een werkgroep onder zijn voorzitterschap, met vertegenwoordigers van verschillende universiteiten, de raad voor de rechtspraak en het ministerie van justitie. Er was geld en Pierre Vinken had duidelijke ideeën. Hij zag wel in dat het een langdurig traject zou zijn, een jaar of twintig en hij verwachtte het eind niet meer mee te maken. Helaas eindigde werkgroep door verschillende oorzaken eind 2009 zonder echt resultaat.

Het was een genot om met hem samen te werken. Regelmatig kwam hij naar de VU voor een overleg. Hij had als pensionado, zo duidde hij zichzelf aan, genoeg tijd, maar vroeg altijd maar een half uurtje. Meestal was hij al sneller weg. Tijdens zo’n kort overleg kwam alles wat uitgewisseld moest worden aan de orde. Het was een ontzettend slimme man, heel analytisch en daarnaast – mogelijk mild geworden want hij schijnt als zakenman hard geweest te zijn – bijzonder aardig.

De laatste keer dat ik hem zag was 9 mei 2011, we lunchten bij De Keyser. Ik wilde graag zijn visie op een initiatief Platform Open Commentaren (POC) – http://www.rechtencommentaar.nl/ - waar ik bij betrokken was. Ook nu weer wist hij heel snel de kern bloot te leggen. Het was een aangename lunch, waar we ook over tal van andere zaken spraken. Hij gaf aan dat ik als ik weer iets had om over te discussiëren zeker contact moest opnemen. Ik had dit heel graag gedaan, maar begrijp dat dit helaas niet meer mogelijk is.

AR Lodder

Het zal niemand ontgaan zijn dat er dit weekend een dodelijk slachtoffer viel doordat een voortvluchtige inreed op een door de politie kunstmatig in het leven geroepen file. Vooropgesteld kan worden dat de chauffeur van de betreffende auto primair verantwoordelijk is. Het is een klassiek voorbeeld van de grens tussen opzet (doodslag) en verwijtbaarheid (dood door schuld): iemand die op weg naar het ziekenhuis met zijn op bevallen staande vrouw een ander dodelijk aanrijdt heeft verwijtbaar gehandeld, iemand die op de vlucht is voor de politie en koste wat kost wil ontkomen handelt in een dergelijk geval opzettelijk.

De lichtste vorm van opzet is het aanvaarden van een niet als denkbeeldig te verwaarlozen kans dat iets zich voor zal doen. Hoe denkbeeldig was het dat deze voorvluchtige op een menselijk schild zou inrijden en daardoor mensen zou doden of verwonden? Wat mij hierbij vooral interesseert is de inzet van de techniek, de rode kruizen boven de weg. Deze zijn bedoeld om te waarschuwen voor gestremde rijstroken (omdat er een object is, of om redenen van verkeersregulering bij bijvoorbeeld in- en uitvoegen). Het noodlottige gebruik van de signalering door de politie lijkt op een veel gemaakte fout met technologie: het is technisch mogelijk, dus we doen het.

Uiteraard zullen er zelfs in de hitte van de achtervolging zorgvuldige afwegingen hebben plaatsgevonden, daar twijfel ik niet aan. Wat echter hier mis is gegaan is dat het opwerpen van een menselijk schild als een mogelijke toepassing wordt gezien. Ik kan me geen enkele situatie voorstellen dat dit een redelijk doel zou dienen (wellicht als een vrachtauto met springstof op weg is om tot ontploffing te worden gebracht op een plek met heel veel meer mensen dan in een schild aanwezig zijn, hoewel ik zelfs dan mijn twijfels heb).

Naar mijn mening moet je niet techniek gebruiken om een menselijk schild op te werpen. De commissaris bij Pauw & Witteman gisteren had het erover dat de signaleringen “niks bijzonders zijn voor een normale verkeersgebruiker.” Dat klopt, maar als iemand stoptekens van de politie negeert en politieauto’s ramt, zou die dan wel stoppen voor een rood kruis boven de weg? Ook noemde hij dit een redelijk middel bij zeer ernstige strafbare feiten. Ik ben het helemaal eens dat de feiten zeer ernstig waren (poging tot doodslag agenten), maar de aard van het delict zou er dan toe moeten leiden het schild juist niet in te zetten.

Terzijde, interessante derde in dit geheel is Rijkswaterstaat, die de lichten bedient. De vraag is welke informatie die kregen en in hoeverre er bij hen ruimte is voor een afweging.

Hoe het zij, zoals blijkbaar in een midden jaren negentig advies werd aangegeven moet je geen menselijke schilden opwerpen. De commissaris gaf aan dat dit geen goed advies was. Dat zou kunnen, maar belangrijk is om in onze steeds meer door technologie beheerste samenleving te blijven nadenken over de noodzakelijkheid en wenselijkheid van het inzetten van technologie. Er kan veel, maar kritisch van te voren nadenken over mogelijkheden, kan eventuele verkeerd uitpakkende beslissingen voorkomen.

A.R. Lodder

Een fascinerende overweging van AG Machielse (mogelijk al beslissing van de Hoge Raad, maar mij niet bekend),
zoals aangehaald in advies Runescape-zaak:

- dat de bestolene de feitelijke macht verliest over de belminuten op het moment dat een ander zich de feitelijke macht over de belminuten verschaft door deze te gebruiken of te consumeren onbegrijpelijk (…), omdat de verdachte zich niet de feitelijke heerschappij kan verschaffen over een tijdsduur.
- Sms-en (…) slechts tekst en hebben geen economische waarde
zie uitgebreider hieronder

30. Op het moment van dit schrijven heeft de Hoge Raad zich nog niet uitgesproken over de rechtsvraag of belminuten dan wel sms’en of een soortgelijke vorm van communicatie zijn aan te merken als ‘enig goed’ in de zin van de vermogensdelicten waaronder diefstal en verduistering. In zijn conclusie nr. 09/04109 (LJN BQ6575) bespreekt mijn ambtgenoot Machielse het cassatiemiddel behelzend de klacht dat het Hof door bewezen te verklaren dat de verdachte belminuten en sms’en heeft weggenomen en zich aldus schuldig heeft gemaakt aan diefstal, blijk heeft gegeven van een onjuiste rechtsopvatting omtrent het begrip ‘goed’. Machielse meent dat het oordeel van het Hof dat de bestolene de feitelijke macht verliest over de belminuten op het moment dat een ander zich de feitelijke macht over de belminuten verschaft door deze te gebruiken of te consumeren onbegrijpelijk is, omdat de verdachte zich niet de feitelijke heerschappij kan verschaffen over een tijdsduur. “De tijd is daarmee niet ineens weg”, aldus Machielse. En: “Hoewel tijd een schaars goed is, kan bezwaarlijk worden volgehouden dat tijd ook een goed is in de zin van art. 310 Sr.” Wat de sms’en betreft, deze zijn naar het oordeel van Machielse slechts tekst en hebben geen economische waarde. Aannemende dat de tekst van de sms’en door de verdachte zelf zijn geschreven, behoorden ze niet toe aan de betrokken B.V.

Onderstaand arrest is tot stand gekomen op basis van stukken tekst uit uitwerkingen van 30 studenten van Actualiteiten Internetrecht 2011. Als het goed is wordt in oktober duidelijk in hoeverre onderstaande overeenstemt (en uitstijgt boven) met het daadwerkelijke arrest.

Uitspraak

16 september 2011
Strafkamer
nr. 0123456789

Hoge Raad der Nederlanden

Arrest

op het beroep in cassatie tegen een arrest van het Gerechtshof te Leeuwarden van 10 november 2009 alsmede tegen alle op de terechtzitting van dit Hof gegeven beslissingen in de strafzaak tegen:
[verdachte], geboren te [geboorteplaats] op [geboortedatum] 1992, wonende te [woonplaats].

1. Het geding in feitelijke instanties

Het Hof heeft in hoger beroep de verdachte bij het arrest van 10 november 2009 wegens “diefstal, voorafgegaan en vergezeld van geweld en bedreiging met geweld tegen personen, gepleegd met het oogmerk om die diefstal voor te bereiden en gemakkelijk te maken, terwijl het feit gepleegd wordt door twee of meer verenigde personen”, veroordeeld tot één maand voorwaardelijke jeugddetentie met een proeftijd van twee jaar en een taakstraf, bestaande uit een werkstraf voor de duur van 160 uren, indien niet naar behoren verricht te vervangen door 80 dagen hechtenis.

2. Het geding in cassatie

Het beroep is ingesteld door een van de verdachten. Namens deze heeft mr. R.P. Snorn, advocaat te Heerenveen, bij schriftuur twee middelen van cassatie voorgesteld. De schriftuur is aan dit arrest gehecht en maakt daarvan deel uit. De Advocaat-Generaal Hofstee heeft geconcludeerd tot verwerping van het beroep.

3. Beoordeling van het eerste middel

3.1 Het gaat in deze zaak om de reikwijdte van art. 310 Sr, en dan met name om de vraag of een virtueel object zoals een amulet of een masker uit het spel RuneScape gekwalificeerd kan worden als goed, zoals bedoelt in dit artikel.

3.2 De bits en bytes waar het virtuele object uit bestaat is informatie waar een computer een weergave van kan maken. Het standpunt dat een virtueel object bestaat uit bits en bytes en een illusie is, kan niet het oordeel dragen dat een virtueel object niet onderhavig zou kunnen zijn aan diefstal. Dit mede bezien in het licht van de virtuele realiteit die is ontstaan.

Een virtueel object heeft geen zelfstandig bestaan, zonder hard- en software is het niet meer dan betekenisloze informatie. Hiernaast kunnen de virtuele objecten niet bestaan buiten de spelomgeving van het betreffende online platform, aangezien virtuele objecten tussen verschillende MMORPG spelwerelden niet uitwisselbaar zijn.

Een goed hoeft niet stoffelijk te zijn, maar wel waarneembaar wil het onder de werkingssfeer van artikel 310 Sr vallen. Het hof heeft terecht opgemerkt dat dit laatste het geval is bij een virtueel object.

3.3 RuneScape is een virtuele wereld die wordt gecreëerd door Jagex Ltd. Deze aanbieder zet de lijnen uit waarbinnen de deelnemers kunnen opereren. De regulering van RuneScape bestaat in eerste instantie dus uit de door de aanbieder aangegeven kaders. Los van deze spelvoorwaarden dienen de spelers zich ook aan de normale gedragsregels en sociale regels te houden. Het gaat hier om een interne regulering onderling.

De grenzen van het virtuele bestaan en het werkelijke bestaan vervagen. Het is aan aanbieders van een spel om hun virtuele wereld eerst zelf te reguleren. Het is belangrijk dat elke online gemeenschap zijn eigen spelregels en algemene voorwaarden handhaaft, dit houdt echter niet in dat het recht van de reële wereld niet geldt. Dat neemt niet weg dat het noodzakelijk kan zijn om wettelijke normen toe te passen. Door overschrijding van de spelregels van de virtuele wereld en hierdoor strafbare feiten uit de fysieke wereld te plegen is externe regulering noodzakelijk.

Hierbij moet vooropgesteld worden dat er een verschil bestaat tussen de virtuele realiteit van het spel RuneScape, waarbinnen spelers hun avatar op verschillende manieren kunnen verrijken, en de werkelijkheid. Voor zover de handelingen van de gebruikers binnen de context van het spel blijven (in game), worden deze handelingen gereguleerd door het regime dat Jagex Ltd. in het leven geroepen heeft. Dit geldt zowel voor de handelingen die in het spel legaal zijn, als voor de handelingen die in het spel wel mogelijk, maar niet toegestaan zijn onder de voorwaarden van Jagex Ltd. Het is juist voor deze categorie handelingen dat in het spel zelf de mogelijkheid bestaat om misbruik en/of vals spel aan te geven bij de aanbieder van het spel.

3.4 In het onderhavige geval gaat het echter om feitelijke handelingen buiten de spelcontext om, waardoor een virtuele wereld wordt beïnvloed. Bij JagexLtd, de eigenaar van het spel, kan onmogelijk het vermoeden bestaan dat er zich strafbare feiten afspelen of hebben afgespeeld. De diefstal van de virtuele objecten heeft buiten de spelcontext plaatsgevonden wat de gehele situatie in een strafrechtelijk kader plaatst en niet in de weg staat aan de redelijke wetsuitleg.

Wanneer de diefstal zich online (binnen de spelcontext) had afgespeeld, dan had ingrijpen door de aanbieder volstaan. De aanbieder zou dan als een soort scheidsrechter de diefstal kunnen herstellen. De situatie zou dan intern opgelost kunnen worden. Echter, aangezien het toegepaste geweld als verzwarende omstandigheid kan worden gezien, ligt de onderhevige zaak geheel in een strafrechtelijk kader.

3.5 Virtuele objecten zijn niet hetzelfde als computergegevens, hoewel ze er in beginsel wel uit voortvloeien. Er ontstaat een virtueel object met bepaalde functionaliteiten waarover de spelers kunnen beschikken (en verkopen). In het Elektriciteitsarrest (HR 23-05-1921, NJ 1921, 564) is overwogen dat energie slechts kan worden vastgesteld indien het in verbinding komt met een lichamelijke zaak. Datzelfde geldt in principe voor computergegevens. De cijferreeks op zich valt niet aan te merken als een goed als bedoeld in artikel 310 Sr. Zodra het echter vertaald wordt in een virtueel object met functionaliteit, verandert dit. Door het Elektriciteitsarrest is een rechtsontwikkeling in gang gezet waardoor het bestanddeel ‘goed’ een meer functionele interpretatie heeft gekregen, waarbij verschillende technologische en maatschappelijk ontwikkelingen van dit fenomeen, in de uitleg en toepassing van diverse bestanddelen dienen te worden meegenomen.

Het Hof heeft blijk gegeven van een juiste rechtsopvatting bij zijn oordeel omtrent de kwalificatie van virtuele objecten als ‘goederen’ in de zin van artikel 310 van het Wetboek van Strafrecht. Het door aangever in de virtuele wereld van het spel RuneScape verworven amulet en masker kunnen, ondanks het feit dat het geen stoffelijke dan wel tastbare objecten zijn, worden beschouwd als goederen in de zin van artikel 310 van het Wetboek van Strafrecht. Reeds sedert het elektriciteitsarrest is niet het stoffelijke karakter, maar de objectieve -dan wel intersubjectieve- waardebepaling van doorslaggevend belang voor de beoordeling van de vraag of sprake is van een goed. In de onderhavige zaak heeft het Hof voldoende gemotiveerd gesteld dat het virtuele amulet en het masker vanwege de waarde ervan voor de spelers van het spel zijn te beschouwen als goederen. Bovendien hebben de virtuele objecten een zelfstandig bestaan en kunnen ze door de spelers worden overgebracht van de ene naar de andere account.

Nu een virtueel goed een zelfstandig bestaan heeft, een economische waarde vertegenwoordigt, overdraagbaar en individualiseerbaar is, brengt, gezien de groeiende rol en functie van virtuele goederen in de samenleving, een redelijke wetsuitleg met zich mee dat virtuele goederen als voor diefstal vatbare goederen moeten worden aangemerkt.
Het voorgaande in overweging genomen kan worden geconcludeerd dat het virtuele masker en het amulet in het licht van voorgaande jurisprudentie van de Hoge Raad als individualiseerbaar goed kan worden gekwalificeerd.

3.6 Daarnaast kan er volgens eiser geen sprake zijn van ‘toebehoren’ in de zin van artikel 310 Sr omdat de spelers van Runescape slechts een gebruiksrecht hebben. Alles wat zich binnen de virtuele wereld bevindt behoort toe en blijft toebehoren aan de makers van het spel, zoals ook is opgenomen in de Terms and Conditions. Deze stelling is niet steekhoudend nu in strafrechtelijke zin, de in het geding zijnde goederen, zich binnen de spelcontext in de beschikkingsmacht van het slachtoffer bevonden. De motivering van het Hof dat het slachtoffer de feitelijke en exclusieve heerschappij had over de virtuele voorwerpen door in te loggen op zijn account, hij door diefstal in zijn ongestoorde genot van de beschikkingsmacht is getroffen en er aldus een te beperkte invulling is gegeven aan het begrip ‘toebehoren” in artikel 310 Sv., is dan ook begrijpelijk. Dat de aangever door middel van het inloggen op zijn RuneScape-account, bij de door hem verworven amulet en masker kon komen en daardoor het exclusieve gebruiksrecht had over de goederen, is juist.

3.7 Enkel door toedoen van menselijk handelen kunnen het masker en de amulet van de ene speler naar de andere speler overgedragen worden. Daarnaast zijn de virtuele objecten zowel binnen als buiten het spel duidelijk herkenbaar. In het spel is te zien wie de beschikking heeft over het masker en de amulet doordat deze worden weergegeven in het spel en de speler de objecten kan gebruiken. Buiten het spel is te zien wie de beschikking heeft over de objecten aangezien enkel deze speler op een account kan inloggen waar deze objecten op dat moment aan gekoppeld zijn. Door het exclusieve gebruik en de herkenbaarheid zijn deze virtuele objecten te individualiseren.

In onderhavige zaak verloor het slachtoffer zijn exclusieve macht over zijn amulet en masker op het moment dat hij het overhevelde naar de account van verdachten. De verdachte heeft de goederen uit de beschikkingsmacht van de speler ontnomen en in de zijne gebracht. De Hoge Raad acht de context van de wederrechtelijke virtuele toe-eigening van het goed van belang. Deze manier van toe-eigening ligt niet binnen het doel van het spel.

3.8 Als de bezitter van een virtueel object daar waarde aan hecht, impliceert dit niet dat er daadwerkelijk een economische waarde in besloten ligt. Daarom dient in deze zaak ook de objectieve waarde bekeken te worden. Deze objectieve economische waarde is in deze zaak vast te stellen uit de gegevens van voorgaande transacties van veilingsites als eBay. Daaruit blijkt dat de virtuele objecten economisch waardeerbaar zijn en verhandeld worden.

3.9 Uit bovenstaande in onderlinge samenhang volgt dat een virtueel object zoals een amulet of een masker uit het spel RuneScape gekwalificeerd kan worden als goed, in de zin van art. 310 Sr en door de exclusieve beschikkingsmacht van de gebruiker ook kan worden weggenomen.

Het eerste middel faalt.

4. Beoordeling van het tweede middel

4.1 Het middel kan niet tot cassatie leiden. Dat behoeft, gezien artikel 81 RO, geen nadere motivering nu het middel in zoverre niet noopt tot beantwoording van rechtsvragen in het belang van de rechtseenheid of de rechtsontwikkeling. Het oordeel van het Hof geeft geen blijk van een onjuiste rechtsopvatting.

4.2. Het tweede middel faalt.

5. Slotsom

Nu geen van de middelen tot cassatie kan leiden, terwijl de Hoge Raad ook geen grond aanwezig oordeelt waarop de bestreden uitspraak ambtshalve zou behoren te worden vernietigd, moet het beroep worden verworpen.

6. Beslissing

De Hoge Raad verwerpt het beroep.

Dit arrest is gewezen door de vice-president Van den Hoven van Genderen als voorzitter, en de raadsheren Bholasing, Bijleveld, Bonnike, Brake, Bree, Bui, During, Geer, Gorkovoi, Groot, Hoorenman, Houben, Ismail, Leeuw, Linden, Milshina, Norden, Offerhaus, Post, Putten, Ras, Schimmel, Schutte, Sijmons, Smelt, Vervelde, Vliet, Weermeijer, Wilson en Yeh, in bijzijn van de waarnemend griffier Lodder, en uitgesproken op 16 september 2011.

Na een Tsunami van berichten over het Diginotar en DigiD drama waaronder zelfs een bericht in de Telegraaf waarin wij zogenaamd door minister Donner zelf werden geadviseerd niets officieels meer te doen via internet blijven er toch wel een behoorlijk aantal open eindjes. De vraag is of die ook na de hoorzitting met deskundigen in de Tweede Kamer volgende week zullen zijn opgelost.  Na dat vorige week bekend werd dat  Iraanse hackers bij het Beverwijkse bedrijf Diginotar (eigendom van het internationale VASCO) hebben ingebroken en  via de vervalsing van de afgegeven veiligheidscertificaten zich toegang hadden verschaft  tot in eerste instantie Gmail accounts. De aansprakelijkheidsvraag voor die “hack” werd  voorzichtig  gelegd bij Diginotar dan wel bij Gmail. In eerste Instantie werd Diginotar geacht het slachtoffer van criminelen te zijn, te weten de Iraanse overheid en sympathiserende hackers.  Daar viel toch niet veel tegen te doen. DigiD, tevens beveiligd via een certificaat van Diginotar, zou geen gevaar lopen . OPTA had immers geen onregelmatigheden als toezichthouder geconstateerd?  Burgers die op overheidsites inlogden via Digid hoefden zich geen  zorgen te maken. Dat wil zeggen tot vrijdag 3 september. Search engine Mozilla Firefox wilde geen zaken meer doen met DigiNotar en ook minister Donner gaf ineens aan dat  de beveiligingscertificaten van DigiNotar onbetrouwbaar bleken en dat voor alle overheidsbeveiligingscertificaten naar een andere leverancier zou worden overgestapt. Uit een onderzoek  naar DigiNotar en door Fox IT bleek dat DigiNotar niet beschikte over  de “normale” beveiligingssoftware en dat geen redundancy mogelijkheden bestonden en dat verder de wachtwoorden makkelijk kopieerbaar waren.  De plotseling strijdlustige opstelling van de overheid werd nog versterkt door de aankondiging dat het Openbaar Ministerie nader onderzoek zou gaan doen en waarschijnlijk tot vervolging zou overgaan op grond van nalatigheid door DigiNotar en haar directie.

Als die vervolging zou plaatsvinden dient wel een zorgvuldig feitenonderzoek te worden gedaan en de vraag worden beantwoord of hier sprake is van een strafbaar feit, bijvoorbeeld op grond van het voldoen aan de delictsomschrijving  van artikel 161septies wetboek van strafrecht, in de zin van het nemen van onvoldoende veiligheidsmaatregelen om het gegevensverkeer en de toegang tot (overheids)sites te beschermen [1]

Of zijn zij medeschuldig aan computervredebreuk? Naast natuurlijk de hackers. Is er sprake van voorwaardelijke opzet? van DigiNotar of van een falende controlerende overheid? Er lijkt op zijn minst gelegenheid te zijn geboden door de kans op opzettelijk misbruik aanzienlijk te vergroten[2].

  

De vraag hierbij is of de ondeugdelijkheid wel volledig te wijten is aan DigiNotar. OPTA is immers toezichthouder op certificerende instellingen. Zij hebben de controle overgelaten aan organisaties als PWC. Het excuus hiervoor is dat de OPTA te weinig capaciteit heeft. Maar mag dat eigenlijk wel door een door de overheid ingestelde toezichthouder worden aangevoerd? En hoe zit het met de zorgvuldigheid van een organisatie als PWC?

Of gaat het OM over tot vervolging op grond van onvoldoende beveiligingsmaatregelen om de persoonsgegevens van burgers te beschermen, zoals vereist in artikel 13 van de Wet Bescherming Persoonsgegevens[3]De verantwoordelijke dient voldoende passende beveiligings maatregelen  te nemen om de persoonsgegevens te beschermen.

Maar wie is dan de verantwoordelijke: de overheid toch? Is DigiNotar bewerker cf. artikel 14?[4] Dat is twijfelachtig; zij hebben slechts een ondeugdelijk certificaat afgegeven en bovendien had de overheid toezicht moeten uitoefenen.　 

Als het OM tot vervolging wil overgaan zullen zij  duidelijk moeten maken dat DigiNotar ontegenzeggelijk een strafbaar heeft begaan en zullen zij moeten overwegen om ook andere ‘verdachte’ partijen te vervolgen. Het zou verstandig zijn eerst te bezien wie verantwoordelijk is voor het falende toezicht en welke certificaten verder nog een risico opleveren voor (potentieel) misbruik. Tijdens de hoorzitting dient eveneens niet te worden vergeten dat het gaat over de bescherming van gegevens van burgers en dat het aanpakken van het probleem door afdoende beveiligingsvereisten meer maatregelen vergt dan vervolgen van een bedrijf ..

Rob van den Hoven van Genderen

---

[1] ‘Hij aan wiens schuld te wijten is dat enig geautomatiseerd werk of enig werk voor telecommunicatie wordt vernield, beschadigd of onbruikbaar gemaakt, dat stoornis in de gang of in de werking van zodanig werk ontstaat, of dat een ten opzichte van zodanig werk genomen veiligheidsmaatregel wordt verijdeld (…)’

[2] Artikel 138ab Sr

‘1. Met gevangenisstraf van ten hoogste een jaar of geldboete van de vierde categorie wordt, als schuldig aan computervredebreuk,gestraft hij die opzettelijk en wederrechtelijk binnendringt in een geautomatiseerd werk of in een deel daarvan.Van binnendringen is in ieder geval sprake indien de toegang tot het werk wordt verworven:

a. door het doorbreken van een beveiliging,

b. door een technische ingreep,

c. met behulp van valse signalen of een valse sleutel, of

d. door het aannemen van een valse hoedanigheid’.

[3] Artikel 13 WBP

‘De verantwoordelijke legt passende technische en organisatorische maatregelen ten uitvoer om persoonsgegevens te beveiligen tegen verlies of tegen enige vorm van onrechtmatige verwerking. Deze maatregelen garanderen, rekening houdend met de stand van de techniek en de kosten van de tenuitvoerlegging, een passend beveiligingsniveau gelet op de risico’s die de verwerking en de aard van te beschermen gegevens met zich meebrengen. De maatregelen zijn er mede op gericht onnodige verzameling en verdere verwerking van persoonsgegevens te voorkomen.’

[4] Artikel 14 WBP

‘1.Indien de verantwoordelijke persoonsgegevens te zijnen behoeve laat verwerken door een bewerker, draagt hij zorg dat deze voldoende waarborgen biedt ten aanzien van de technische en organisatorische beveiligingsmaatregelen met betrekking tot de te verrichten verwerkingen.’

Ooit waren auteursrechtelijke werken scheppingen van echte makers als schilders, schrijvers, etc. Economische motieven speelden een rol, maar lang niet zo prominent als tegenwoordig.

De strijd tussen boek9 en DeLex past – helaas – in deze ontwikkeling.

In 2004 begon boek9.nl. Volgens de rechter in het op 1 september gewezen kort geding is een goed idee en een mooie domeinnaam niet genoeg. Het is in de kern wel waar het bij websites om draait. Het idee en de domeinnaam bleken een doorslaand succes. Dit werd opgepikt door de – ook dat moet gezegd – innovatieve uitgeverij DeLex.

Vanaf 2006 tot begin 2011 bloeide de site. In 2011 ging het mis. De geestelijke vader en de exploitant kregen onenigheid en kwamen er niet uit.

Ik kan en wil niet treden in de dynamiek van dit conflict. Als buitenstaander weegt voor mij echter het idee en de naam zwaarder dan het ontwikkelde business model en technische vormgeving. Als je een stadfiets hebt omgebouwd tot een racefiets die de Tour de France rijdt is het niet prettig om deze geld verdienende tweewieler los te laten en in handen te geven van de oorspronkelijke stadfiets bezitter. Te meer als je bedrijf mogelijk staat of valt met de exploitatie van de racefiets.

De polderconstructie met twee boek9 sites die over en weer elkaars berichten overnemen stemt niet tevreden. Het was natuurlijk het mooiste geweest als er geen splitsing had hoeven plaats te vinden. Nu dat niet zo is gaat – in aansluiting op het hierboven gezegde – mijn voorkeur uit naar het intellectuele (domeinnaam, idee) boven het economische.

Het is en blijft bijzonder jammer dat een zo succesvol toonbeeld van moderne informatieuitwisseling eindigt in een rechtszaak over auteurs- en databankrechten en hiermee verworden is tot content van zichzelf.

Arno R. Lodder

Mark Zuckerberg heeft herhaaldelijk beweerd dat privacy een sociale norm is die niet meer van deze tijd is. Hiermee heeft hij onder andere het wijzigen van de standaard privacy settings van Facebook proberen te rechtvaardigen. Het lijkt er op dat het veranderen van de sociale norm niet zozeer de oorzaak is van de gewijzigde settings, als dat het de gewijzigde settings zijn waarmee Facebook probeert de sociale norm te veranderen. Zuckerberg is niet de eerste en zal ook niet de laatste zijn die probeert om openheid als norm te vestigen, in een missie die als eindresultaat niet veel meer kan opleveren dan een klas van gehoorzame schoolkinderen waarin klikspanen cool zijn. Reeds in de vijftiende eeuw schreef de humanist Leon Battista Alberti de volgende woorden in de dialoog Della famiglia :

Nature, that excellent arbiter of things, has not only decreed that men live openly in the midst of other men, but has imposed on them the necessity of disclosing to others every passion and feeling, in words or other ways, and she rarely allows anyone to keep thoughts or deeds secret from others.

Als wij kijken naar de lessen die wij uit de natuur kunnen trekken, dan is het houden van geheimen toch niet zo’n triviale aangelegenheid als Leon ons wil doen geloven. Als hij zijn uitspraken zou doen voor het dierenrijk, hoe zouden zijn boude beweringen dan vallen bij de vele dieren die zich bedienen van camouflage? Zou hij tegen de kameleon zeggen dat deze niet bevreesd hoeft te zijn voor de boompython en daarom zijn groene schutkleur gerust kan transformeren in felrood? Zou hij tegen de kievit zeggen dat hij zijn eieren niet meer hoeft te verbergen en ze evengoed duidelijk kan markeren, omdat de kiekendief niet meer geïnteresseerd is in haar legsels? Om maar te zwijgen van de reactie die hij van de jagers zou krijgen nadat hij zijn ongevraagde adviezen zou geven. Ziet u al een jachtluipaard die rechtop naar een gazelle komt wandelen in de verwachting dat deze niet onmiddellijk wegrent bij het opvangen van de eerste glimp? Als de natuur geen geheimen meer voor elkaar zou bewaren dan stierven er al snel vele soorten uit. De evolutionaire wedloop tussen verscheidene soorten is nota bene vaak een duel tussen wie de beste en meeste verrassingselementen tot zijn beschikking heeft.

Nu zou Leon nog kunnen tegenwerpen dat zijn dialoog handelt in een context waarin mensen leefden in een gemeenschap, waarin solidariteit nog een dominante waarde was. De kinderlijke naïviteit waarmee Zuckerbergs uitspraken zijn doorspekt, contrasteren echter prachtig met de marktgedreven maatschappij waarin solidariteit allang is ingehaald door efficiëntie en de economische strijd tussen individuen, bedrijven en staten steeds meer doet denken aan de meedogenloosheid van een Afrikaanse savanne. Maar als het aan Mark en zijn miljardenbedrijf ligt dan is het een stuk beter om je te wanen in een 15-de eeuwse kerkgemeenschap, waarin iedereen solidair met u is als broeders en zusters. Dus werp uw schutkleur af, registreer u direct met uw eigen naam op Facebook en vertel de wereld over uw liefde, angsten en kwetsbaarheden. U hoeft nergens bang voor te zijn. Kerkvader Zuckerberg en de markt zullen over u waken en er zorg voor dragen dat geheimen niet meer nodig zijn.

Tijmen Wisman

Enige tijd terug hoorde ik vanuit mijn broekzak een mevrouw tegen mij praten. Ik begreep niet goed wat er aan de hand was. Het bleek een telefoniste van 112, die blijkbaar automatisch gebeld was. Het gaat niet vanzelf. Eerst moet er een knopje aan de rechterkant van het toestel ingedrukt worden (kan gebeuren), vervolgens moet de SOS-button aangeraakt en tenslotte op de vraag of het alarmnummer gebeld moet worden Ja worden geantwoord. Dit lijken veel waarborgen, maar helaas valt dit tegen. Het knopje aan de zijkant kan abusievelijk ingedrukt worden en in een broekzak wordt blijkbaar regelmatig snel een veeg over het scherm, gevolgd door aanraking van het SOS-knop deel gevolgd door aanraking van het JA deel op de vraag of gebeld moet worden.

Sindsdien heb ik een aantal 112 belpogingen weten te voorkomen. Ook heb ik vergeefs geprobeerd de SOS-knop uit te schakelen. Het schijnt overigens ook regelmatig te gebeuren dat babys met telefoon zonder sim spelen en ook contact krijgen met 112. Ik meen zelfs dat meer dan de helft van de 112 telefoontjes abusievelijk zijn.

Twee weken terug kreeg ik een SMS van de KLPD. Dat ik onnodig een noodlijn bezet hield. Vandaag belde een onbekende mij, het bleek een ‘automated call’, het bandje vertelde mij dat ik 112 had gebeld.

Na wederom een vergeefse poging mijn SOS-knop uit te schakelen de Vodafoon-klantenservice gebeld. Die konden me niet verder helpen, maar verwezen me door naar Samsung. Samsung gaf aan dat de SOS-knop er zat zodat altijd 112 gebeld kon worden, ook als je even je telefoonwachtwoord in nood vergat. Een prachtig streven, maar ik onthoud liever mijn wachtwoord in nood, dan dat ik steeds onnodig 112 bel. Het blijkt echter ECHT onmogelijk de knop uit te schakelen.

Ik vind het bijzonder vervelend 112 onnodig te bellen. Hoewel ik er alles aan gedaan heb de knop uit te schakelen, vrees ik dat ik verantwoordelijk blijf voor de onterechte telefoontjes. Een typisch voorbeeld van technologie die je gedrag dicteert. Ik heb veel affiniteit met technologie, maar hou zelf graag indien nodig controle. Dat blijkt dus helaas niet altijd mogelijk. In het vervolg zal ik niet meer mijn telefoon in mijn broek dragen en hoop dat 112 dan niet meer gebeld wordt.

Arno R. Lodder