Transparante misleiding of eerlijke informatie? vergelijkingssites zorgverzekeringen

november 21st, 2014

Sinds begin deze week, maandag 17 november, moeten vergelijkingssites bij de AFM een vergunning aanvragen. Wanneer sites meer vragen dan naam en adres is er sprake van bemiddeling, aldus Nu.nl. Dit betreft financiele dienstverlening inzake bijvoorbeeld hypotheken. In geval van vergunningen is er toezicht en handhaving mogelijk. AFM beperkt zich bij de zorgsector vooralsnog tot het waarschuwen voor instinkers.

Mede om die reden hebben de Kamerleden Lea Bouwmeester (PvdA) en Hanke Bruins Slot (CDA) deze week ook voorgesteld dat vergelijkingssites in plaats van transparent te misleiden er eerlijk informatie wordt verstrekt. Dat klinkt logisch, maar niet als je geld wil verdienen en niet per se wil onthullen op welke wijze je dat doet. Daar lijkt momenteel sprake van bij websites die aanbiedingen van zorgverkeraar vergelijken.

Al eerder was er ophef over de variatie in TOP 3 bij vergelijkingssites en zijn daar Kamervragen over gesteld. Op 10 december 2013 beantwoordde minister Schippers de vragen van Kamerleden Dik-Faber (CU) en Slob (CU). De antwoorden waren veelzeggend:

“Daarnaast heeft ook de korting die de vergelijkingssite heeft weten te bedingen bij de verzekeraar invloed op de ranking. Door een verschil in korting kan een identieke verzekering van Agis bij Zorgkiezer op jaarbasis goedkoper uitkomen dan bij de Consumentbond en daardoor hoger in de top 3 staan.”

De minister deelde ook niet de mening van de CU-ers dat “meer bekendheid gegeven moet worden aan KiesBeter.nl, waar consumenten polissen van verzekeraars kunnen vergelijken op een betrouwbare niet-commerciële vergelijkingssite”

Volstaan kon worden met transparantie:

“Deelt u de opvatting dat het niet eerlijk is naar consumenten toe wanneer vergelijkingssites alleen verzekeringen tonen die direct via hen kunnen worden afgesloten?

Ik vind het van belang dat de vergelijkingssite transparant is over welke verzekeringen in de vergelijking worden meegenomen en op welke wijze de verschillende factoren bij de totstandkoming van de vergelijking worden gewogen en gepresenteerd.”

Vooralsnog is het derhalve raadzaam goed op te letten hoe er vergeleken wordt, en kan een top 3 dus ook uit drie niet direct voor een consument meest gunstige verzekeringen bestaan. Dit riekt naar misleding. Hoe het zij, de discussie is deze week weer opgepakt. Ik kan niet anders dan instemmen met Bruins Slot:

“Het mag niet meer zo zijn dat sommige verzekeraars meer geld bieden aan een vergelijkingssite waardoor ze bovenaan het lijstje komen. De vergelijkingssites moeten een onafhankelijk advies geven”

AR Lodder

Eerder verschenen op SOLV-blog: http://www.solv.nl/weblog/transparante-misleiding-of-eerlijke-informatie-vergelijkingssites-zorgverzekeringen/20258#!lang=en

Miljoenenjacht, maar dan als abusievelijk miljoenenbod bij online veilingen

november 4th, 2014

Per ongeluk een overeenkomst sluiten is een onderwerp dat al sinds de begintijd van e-commerce de gemoederen bezig houdt. Zo is bij de totstandkoming van de richtlijn elektronische handel artikel 11 (Plaatsing van de order) onderwerp van heftig debat geweest: uit hoeveel stappen moet een online gesloten overeenkomst bestaan? Na 4 (voorstel), 3 (gewijzigd voorstel) werden het er uiteindelijk 2 (met een ontvangstbevestiging, zie art. 6:227c lid 2 BW “…bevestigt de dienstverlener zo spoedig mogelijk langs elektronische weg de ontvangst van deze verklaring.”).

Momenteel ben ik met Tina van der Linden bezig met het samenstellen van een overzicht van internetrecht uitspraken uit de periode 2009-2014. Vorsend door de prachtige overzichten van Tina kwam ik zojuist een uitspraak van de voorzieningenrechter Rotterdam (ECLI:RBROT:2014:6669) van afgelopen zomer tegen, 4 augustus om precies te zijn,.

Tijdens een online veiling drukt een deelnemer op een knop, maar hij had zich vergist. Op grond van de veilingvoorwaarden is aan de notaris om te bepalen of hier een beroep op gedaan kan worden, aldus artikel 2 lid 4 AVVI 2013:

“Het oordeel van de Veilingnotaris omtrent datgene wat zich tijdens de Veilingperiode afspeelt en de uitleg of de toepassing van de Bijzondere Veilingvoorwaarden op de Veilingperiode is beslissend.”

Dat er sprake van een vergissing is, is in de ogen van de rechter voldoende aannemelijk:

“Dit blijkt alleen al uit het feit dat [X Holding B.V.] enkele minuten na het drukken op de “MIJN”-knop bij het bedrag van € 550.000,00 en de ontdekking dat de totale koopsom neerkwam op ruim een miljoen euro, de in het veilinghuis aanwezige kandidaat-notaris telefonisch heeft laten weten dat sprake is van een vergissing.”

De rechter vervolgt met de prachtige observatie:

“Inherent aan een vergissing is dat deze pas achteraf wordt ontdekt.”

De bedoeling was 550 duizend euro te betalen, niet de meer dan een miljoen waar abusievelijk het bod uit bestond. In het verleden zijn er wel uitspraken geweest in Duitsland van een auto die voor de helft van de prijs wegging. In dat geval had de aanbieder zijn instellingen niet juist waardoor de auto voor een te lage prijs weg kon. Ook in Nederland is een huis op die wijze voor de helft van de prijs verkocht, ware het niet dat de rechter vaststelde dat de verkoper zijn echtgenote niet in zijn voornemen had gekend, waardoor de koop ongeldig werd verklaard.

De rechter in deze zaak stelde vast:

“Dat voldoende aannemelijk geworden dat een bedrag van ruim een miljoen euro voor het onderhavige bedrijfspand een buitengewoon hoog bedrag is.”

Bovendien was het pand getaxeerd op een bedrag tussen de € 750.000,00 en € 925.000,00. Een taxatie van een andere taxateur kwam zelfs op uit op € 600.000,00

Ondanks dit al meende de notaris dat er toch sprake was van een geldige overeenkomst. Hij was echter niet in procedure opgeroepen door de bank (de eisende partij), dus kon niet gehoord worden. Na enkele overwegingen over de veilingvoorwaarden en hoe overeenkomsten bij een veiling tot stand komen stelt de rechter:

“Thans staat onvoldoende vast dat de Bank een beroep toekomt op artikel 3:35 BW. Direct nadat [X Holding B.V.] de kandidaat-notaris heeft laten weten dat sprake was van een vergissing, heeft de kandidaat-notaris volgens [X Holding B.V.] overleg gehad met de Bank. Niet uit te sluiten valt dat de Bank hierdoor voor de gunning van de vergissing op de hoogte was en de Bank er aldus niet gerechtvaardigd op mocht vertrouwen dat de verklaring van [X Holding B.V.] (het bod op de afslag) overeenstemde met de wil van [X Holding B.V.] om € 1.064.000,00 plus bijkomende kosten voor het bedrijfspand te betalen.

Het voorgaande samenvattend oordeelt de voorzieningenrechter dat te ongewis is dat in een bodemprocedure beslist zal worden dat tussen partijen een perfecte overeenkomst tot stand is gekomen als bedoeld in 4.2., zodat op de afloop van die bodemprocedure niet vooruit gelopen kan worden. De vordering zal daarom worden afgewezen.”

Hoewel van onherroepelijkheid van biedingen bij veilingen in beginsel sprake is, kan ik mij in het oordeel van de rechter in deze zaak vinden. Het zou me verbazen als in een grondprocedure hier anders over geoordeeld zou worden.

AR Lodder (deze blog is ook raadpleegbaar via SOLV http://www.solv.nl/weblog/miljoenenjacht-maar-dan-als-abusievelijk-miljoenenbod-bij-online-veilingen/20237

Intelligente camera’s speuren naar afwijkende gedrag op Schiphol

september 12th, 2014

In de NRC van 11 september werd melding gemaakt van de proef door de Mareschaussee om met behulp van intelligente camera’s afwijkend gedrag van reizigers op te merken. Hierdoor zouden criminelen en terroristen eerder gespot kunnen worden. De camera’s zijn gebaseerd op onderzoeksresultaten van TNO die dit onderzoek heeft gedaan in opdracht van het Amerikaanse Ministerie van Defensie. De camera’s registreren onder andere vreemde gebaren, en zenuwachtig gedrag. Ook te lang toiletbezoek schijnt al verdacht te zijn. Waarschijnlijk zullen daardoor alle mensen met vliegangst en klamme handen als ook paniekerige reizigers die hun paspoort of ticket niet kunnen vinden als verdacht kunnen worden aan gemerkt.

Ik schat dat minimaal 50% van de reizigers onder die kwalificatie zal vallen. De NSA en het Amerikaanse Ministerie van Defensie zijn al jaren bezig met herkennen van afwijkend gedrag, speciale loopjes en herkennen van baarden en tatoeages met behulp van camera’s en digitale technieken. Ook rennen, stemverheffing, verhitte hoofden en zoekend rondkijken kan een aanwijzing voor criminele intenties zijn. Hierdoor zullen we waarschijnlijk ook de overgebleven 50% reizigers onder de potentiele criminelen kunnen scharen.

De eis dat inbreuken op onze privacy proportioneel en doelgericht dienen te zijn lijken niet meer al te serieus te worden genomen.

Rob van den Hoven van Genderen

World according to Google.com (en Google.countrytopleveldomainname)

mei 27th, 2014

In het NRC van 17 mei gaat Dommering in op de recente uitspraak van het Hof van Justitie EU over het recht om te vergeten. Het aanpakken bij de bron, bijvoorbeeld door oude artikelen niet door Google te laten indexeren, kan soelaas bieden, maar niet altijd. Indien zowel de uploader van de informatie als de provider die de informatie host niet meewerkt, is het verwijderen van de link door de zoekmachine een goed alternatief. Niet ideaal blijft dat Google een rechtersrol krijgt opgedrongen waar je internet providers liever niet mee opzadelt. Niet ontkend kan echter worden dat Google door hun centrale rol in onze “dat ga ik Googlen”-samenleving een verantwoordelijkheid heeft. Ook na deze uitspraak zie ik dit niet als een plicht, afweging  blijft mogelijk en wenselijk. Bij de verzoeken die worden ingediend zal Google zich terughoudend moeten opstellen. Daarbij verwacht ik geen hausse aan verwijderingsverzoeken, aangezien de meeste ego-surfers desgewenst dagelijks kunnen constateren dat zij door de eerste tien treffers geen reputatieschade oplopen. In het geval dat een verzoek gehonoreerd wordt, ontstaat overigens een vreemde situatie. Nu al wordt door Google lokaal meegewerkt (Google.nl, Google.es), maar doorgaans niet wereldwijd (Google.com). De vrijheid van meningsuiting is in Amerika bijna absoluut en ook voor Google is dit een van de leidende beginselen binnen haar bedrijfsvoering. Indien mensen de ongekuiste versie over een persoon willen, kunnen zij die blijven vinden zij via Google.com.

AR Lodder

The invalidity of the European retention directive (2006/24)

april 8th, 2014

Ruling by the European Court, April 8 2014 on ( Cases C-293/12 and C-594/12,

The European Court ruled that the retention directive is invalid because it contravenes the protection of privacy and does not provide for sufficient safeguards, as required by Article 8 of the Charter, to ensure effective protection of the data retained against the risk of abuse and against any unlawful access and use of that data.

The case is touching the essence of the validity of regulations as the retention directive first set of issues, consisting of the first question in Case C-293/12, concerns the validity of Directive 2006/24 in the light of Article 5(4) TEU. The  High Court asks very specifically whether Directive 2006/24 is, in general, proportionate within the meaning of Article 5(4) TEU, that is to say, whether it is necessary and appropriate to achieve the objectives which it pursues, which are to ensure that certain data are available for the purposes of investigation, detection and prosecution of serious crime and/or to ensure the proper functioning of the internal market[1]. The second set of issues, which comprises the second question in Case C-293/12 and the first question in Case C-594/12, relates to the compatibility of several provisions of Directive 2006/24 with a number of provisions of the Charter, primarily Article 7 on the right to privacy and Article 8 on the right to the protection of personal data, and, more broadly, to the proportionality of the measures which it imposes, within the meaning of Article 52(1) of the Charter. That question of validity is indisputably central to the problems raised by these cases.[2]  The second question referred by the Verfassungsgerichtshof in Case C-594/12 raises a third set of issues, concerning the interpretation of the general provisions of the Charter governing its interpretation and application, in the present instance the interpretation and application of Articles 52(3), (4) and (7) and 53. More specifically, the Verfassungsgerichtshof raises, in essence, the question of the relationship between, on the one hand, Article 8 of the Charter, enshrining the right to the protection of personal data, and, on the other hand, (i) the provisions of Directive 95/46 and Regulation No 45/2001, in connection with Article 52(1) and (3) of the Charter (questions 2.1, 2.2 and 2.3), (ii) the constitutional traditions of the Member States (question 2.4), in connection with Article 52(4) of the Charter, and (iii) the law of the ECHR, in particular Article 8 thereof, in connection with Article 52(3) of the Charter (question 2.5).[3] Finally, the third question of the High Court in Case C-293/12, which comprises the fourth and final set of issues, concerns the interpretation of Article 4(3) TEU and more specifically whether national courts are required, under the duty of sincere cooperation, to examine and assess the compatibility of national provisions transposing Directive 2006/24 with the provisions of the Charter, in particular Article 7 thereof.[4]

The AG stresses the fact that Article 8 of the Charter enshrines the right to the protection of personal data as a right which is distinct from the right to privacy as in article 7. Data protection fits in the protection of the internal market, which was the background intention of the data protection directives from the start referring to the second part of the title of  the data protection directive: the free movement of such data[5]

 

Still, and  this is very important, the AG accept and underlines, as described in  former chapter 4, the fact that there is a fusion between the Charter and the EU Treaty as such resulting in a harsh opinion on the validity of the actual retention directive as answer to the preliminary question and proposing the following ruling:

 (1)      Directive 2006/24/EC of the European Parliament and of the Council of 15 March 2006 on the retention of data generated or processed in connection with the provision of publicly available electronic communications services or of public communications networks and amending Directive 2002/58/EC is as a whole incompatible with Article 52(1) of the Charter of Fundamental Rights of the European Union, since the limitations on the exercise of fundamental rights which that directive contains because of the obligation to retain data which it imposes are not accompanied by the necessary principles for governing the guarantees needed to regulate access to the data and their use.

 

(2)      Article 6 of Directive 2006/24 is incompatible with Articles 7 and 52(1) of the Charter of Fundamental Rights of the European Union in that it requires Member States to ensure that the data specified in Article 5 of that directive are retained for a period whose upper limit is set at two years.

I’d close this paragraph with the remark made in the Report of CECILE, a FP 7 European commission project:

The Directive also ranks among the most controversial pieces of counter-terrorism legislation the EU has ever adopted and fierce debate as to its legitimacy and effectiveness has raged since the earliest stages of its drafting to the present day[6]

On the 8th of April 2014 the Court ruled the directive invalid:

“The Court takes the view that, by requiring the retention of those data and by allowing the competent national authorities to access those data, the directive interferes in a particularly serious manner with the fundamental rights to respect for private life and to the protection of personal data.

The Court ruled that  the meaning of the directive is to harmonise the law among member states taking into account the privacy requirements;

 

It follows from Article 1 and recitals 4, 5, 7 to 11, 21 and 22 of Directive 2006/24 that the main objective of that directive is to harmonise Member States’ provisions[7]

In considering this the Court took into account the following:

 The retention of data for the purpose of possible access to them by the competent national authorities, as provided for by Directive 2006/24, directly and specifically affects private life and, consequently, the rights guaranteed by Article 7 of the Charter. Furthermore, such a retention of data also falls under Article 8 of the Charter because it constitutes the processing of personal data within the meaning of that article and, therefore, necessarily has to satisfy the data protection requirements arising from that article (Cases C-92/09 and C-93/09 Volker und Markus Schecke and Eifert EU:C:2010:662, paragraph 47).[8]

 

Whereas the references for a preliminary ruling in the present cases raise, in particular, the question of principle as to whether or not, in the light of Article 7 of the Charter, the data of subscribers and registered users may be retained, they also concern the question of principle as to whether Directive 2006/24 meets the requirements for the protection of personal data arising from Article 8 of the Charter. [9]

 

To establish the existence of an interference with the fundamental right to privacy, it does not matter whether the information on the private lives concerned is sensitive or whether the persons concerned have been inconvenienced in any way (see, to that effect, Cases C-465/00, C-138/01 and C-139/01 Österreichischer Rundfunk and Others EU:C:2003:294, paragraph 75). [10]

 

As a result, the obligation imposed by Articles 3 and 6 of Directive 2006/24 on providers of publicly available electronic communications services or of public communications networks to retain, for a certain period, data relating to a person’s private life and to his communications, such as those referred to in Article 5 of the directive, constitutes in itself an interference with the rights guaranteed by Article 7 of the Charter.

 Furthermore, the access of the competent national authorities to the data constitutes a further interference with that fundamental right (see, as regards Article 8 of the ECHR, Eur. Court H.R., Leander v. Sweden, 26 March 1987, § 48, Series A no 116; Rotaru v. Romania [GC], no. 28341/95, § 46, ECHR 2000-V; and Weber and Saravia v. Germany (dec.), no. 54934/00, § 79, ECHR 2006-XI).

 Accordingly, Articles 4 and 8 of Directive 2006/24 laying down rules relating to the access of the competent national authorities to the data also constitute an interference with the rights guaranteed by Article 7 of the Charter.

Likewise, Directive 2006/24 constitutes an interference with the fundamental right to the protection of personal data guaranteed by Article 8 of the Charter because it provides for the processing of personal data. [11]

The Court takes into account the fact that the fight against terrorism is important and represents the individual right to security next to liberty(privacy) and the use of electronic data forms a necessary ingredient in this “war”:

 

It is apparent from the case-law of the Court that the fight against international terrorism in order to maintain international peace and security constitutes an objective of general interest (see, to that effect, Cases C-402/05 P and C-415/05 P Kadi and Al Barakaat International Foundation v Council and Commission EU:C:2008:461, paragraph 363, and Cases C-539/10 P and C-550/10 P Al-Aqsa v Council EU:C:2012:711, paragraph 130). The same is true of the fight against serious crime in order to ensure public security (see, to that effect, Case C-145/09 Tsakouridis EU:C:2010:708, paragraphs 46 and 47). Furthermore, it should be noted, in this respect, that Article 6 of the Charter lays down the right of any person not only to liberty, but also to security.

 

but those instruments have to be proportionate to the purpose

 

In that regard, according to the settled case-law of the Court, the principle of proportionality requires that acts of the EU institutions be appropriate for attaining the legitimate objectives pursued by the legislation at issue and do not exceed the limits of what is appropriate and necessary in order to achieve those objectives (see, to that effect, Case C-343/09 Afton Chemical EU:C:2010:419, paragraph 45; Volker und Markus Schecke and Eifert EU:C:2010:662, paragraph 74; Cases

C-581/10 and C-629/10 Nelson and Others EU:C:2012:657, paragraph 71; Case C-283/11 Sky Österreich EU:C:2013:28, paragraph 50; and Case C-101/12 Schaible EU:C:2013:661, paragraph 29). [12]

 

Taken into account

 

where interferences with fundamental rights are at issue, the extent of the EU legislature’s discretion may prove to be limited, depending on a number of factors, including, in particular, the area concerned, the nature of the right at issue guaranteed by the Charter, the nature and seriousness of the interference and the object pursued by the interference (see, by analogy, as regards Article 8 of the ECHR, Eur. Court H.R., S. and Marper v. the United Kingdom [GC], nos. 30562/04 and 30566/04, § 102, ECHR 2008-V).[13]

 

 

As regards the necessity for the retention of data required by Directive 2006/24, it must be held that the fight against serious crime, in particular against organised crime and terrorism, is indeed of the utmost importance in order to ensure public security and its effectiveness may depend to a great extent on the use of modern investigation techniques. However, such an objective of general interest, however fundamental it may be, does not, in itself, justify a retention measure such as that established by Directive 2006/24 being considered to be necessary for the purpose of that fight.[14]

 

 

Consequently, the EU legislation in question must lay down clear and precise rules governing the scope and application of the measure in question and imposing minimum safeguards so that the persons whose data have been retained have sufficient guarantees to effectively protect their personal data against the risk of abuse and against any unlawful access and use of that data (see, by analogy, as regards Article 8 of the ECHR, Eur. Court H.R., Liberty and Others v. the United Kingdom, 1 July 2008, no. 58243/00, § 62 and 63; Rotaru v. Romania, § 57 to 59, and S. and Marper v. the United Kingdom, § 99). [15]

 

Also here, following the opinion of the AG, it is considered of the utmost importance to specify rules and circumstances and guarantees in a transparent way. Because the directive requires the retention of all electronic communication of all European citizens without exception by all member states, the Court  states that  “It therefore entails an interference with the fundamental rights of practically the entire European population “[16]

And it does not , in any way, discriminate to access of authorities or specifies the concerned offences that legitimizes this access.

 

Secondly, not only is there a general absence of limits in Directive 2006/24 but Directive 2006/24 also fails to lay down any objective criterion by which to determine the limits of the access of the competent national authorities to the data and their subsequent use for the purposes of prevention, detection or criminal prosecutions concerning offences that, in view of the extent and seriousness of the interference with the fundamental rights enshrined in Articles 7 and 8 of the Charter, may be considered to be sufficiently serious to justify such an interference. On the contrary, Directive 2006/24 simply refers, in Article 1(1), in a general manner to serious crime, as defined by each Member State in its national law.[17]

Also other aspects of the directive are considered invalid on basis of the non specified way they are laid down in the directive, as of course the retention period:

 

Furthermore, that period is set at between a minimum of 6 months and a maximum of 24 months, but it is not stated that the determination of the period of retention must be based on objective criteria in order to ensure that it is limited to what is strictly necessary

 

As to the verdict:

 

 

 

It follows from the above that Directive 2006/24 does not lay down clear and precise rules governing the extent of the interference with the fundamental rights enshrined in Articles 7 and 8 of the Charter. It must therefore be held that Directive 2006/24 entails a wide-ranging and particularly serious interference with those fundamental rights in the legal order of the EU, without such an interference being precisely circumscribed by provisions to ensure that it is actually limited to what is strictly necessary.

Moreover, as far as concerns the rules relating to the security and protection of data retained by providers of publicly available electronic communications services or of public communications networks, it must be held that Directive 2006/24 does not provide for sufficient safeguards, as required by Article 8 of the Charter, to ensure effective protection of the data retained against the risk of abuse and against any unlawful access and use of that data. In the first place, Article 7 of Directive 2006/24 does not lay down rules which are specific and adapted to (i) the vast quantity of data whose retention is required by that directive, (ii) the sensitive nature of that data and (iii) the risk of unlawful access to that data, rules which would serve, in particular, to govern the protection and security of the data in question in a clear and strict manner in order to ensure their full integrity and confidentiality. Furthermore, a specific obligation on Member States to establish such rules has also not been laid down [18]

 

Also the aspect of independent control as required in Article 8(3) of the Charter, by an independent authority of compliance with the requirements of protection and security, is not required in the directive.[19]

 

On those grounds, the Court (Grand Chamber) hereby rules:

Directive 2006/24/EC of the European Parliament and of the Council of 15 March 2006 on the retention of data generated or processed in connection with the provision of publicly available electronic communications services or of public communications networks and amending Directive 2002/58/EC is invalid.

Rob van den Hoven van Genderen


[1] Par 23

[2] Par 26

[3] Par. 27

[4] Par. 28

[5] AG in par 55:Although data protection seeks to ensure respect for privacy, it is, in particular, subject to an autonomous regime, primarily determined by Directive 95/46, Directive 2002/58, Regulation No 45/2001 and Directive 2006/24 and, in the field of police and judicial cooperation in criminal matters, by Framework Decision 2008/977/JHA.

[6] The EU Data Retention Directive: a case study in the legitimacy and effectiveness of EU counter-terrorism policy, SECILE – Securing Europe through Counter-Terrorism – Impact, Legitimacy & Effectiveness

A Project co-funded by the European Union within the 7th Framework Programme – SECURITY theme.

[7] DIGITAL RIGHTS IRELAND AND SEITLINGER AND OTHERS

JUDGMENT OF 8. 4. 2014 — JOINED CASES C-293/12 AND C-594/12 I-18

[8] Idem, I-19

[9] Idem par 30,

[10] Idem, par. 33

[11] Idem par 35, 36, I-20

[12] Idem, par 46

[13] Idem, par 47

[14] Idem, para 51

[15] Idem, para 54

[16] Idem para, 56 e.f.

[17] Idem, Para 60 e.f.

[18] Idem, Para 66, 67

[19] Idem, para 68

Copyright cannot regulate new economy where money depends on the volume of internet traffic – Comments on Svensson Case

februari 14th, 2014

In the CJEU judgment of Case C-466/12, Svensson v. Retriever Sverige AB, published on 13 Feb. 2014, it was made clear that providing links to copyrighted works on news websites, does not constitute communication to the public. The key analysis of the court is that, according to settled case law, for the defendant’s behavior to be infringing, the communication made by Retriever Sverige AB, must be directed at a new public, i.e. a public that was not taken into account by the copyright holders when they authorised the initial communication to the public.

However, the concept “public” is very vague. Art. 3 of Directive 2001/29 protects authors’ exclusive right of “making available to the public of their works in such a way that members of the public may access them from a place and at a time individually chosen by them”, wherein the public is seen as a whole without any group specification. But is it possible that an author chooses his audience when uploading his works online?

When an author finished writing an article, of course he would like to have all the people in this world as his audience, whereas this rosy dream cannot come true in reality. Theoretically, when an article was posted on an open website without any accessing restrictions, all Internet users could read it. Whereas the public consists of people differing in geographical district, language, age, and interests etc., an author practically could never anticipate who would read his works when they are published online, let alone control who can read. Efforts to partition the potential online readers into “old public” and “new public” will only go in vain. Under this background, is it sensible to distinguish between the different “public” when defining communication to the public?

Maybe it would be more productive to interpret on “making available” in Art.3. The objective result of the clickable links to these journalists’ articles is that, these articles are made available to those net users who would not have read them unless they surfed the original news website. Therefore, the behavior subject of “making available” is the link providers, in stead of authors. Following such an analysis route, infringement could be found to a certain degree, entitling the authors to some compensation.

What really matters in this case is the commercial profit model of modern electronic newspaper. Observing the change of businiess model in the information age from a wider perspective, for numerous business websites, the volume of traffic the website attracts is everything to its business. Nowadays, accommodating the e-commerce trend, many newspapers publish the print edition and online edition simultaneously. Some newspapers require subscribers to the online edition to pay a certain fee for their reading, which has proved to be an unsuccessful and unpopular business model. Online readers like free digests with quality. Thus other newspapers just provide free press articles to online readers, operating on the sponsorship coming from advertisement sponsors. More traffic this news website generates, more money comes in the pocket of the website runners.

If a press article could be visited both from the original news website and by clicking the reference links provided by other websites, the traffic of the original news website would increase, even if websites providing reference links would also get some revenue as free riders. However, if this article was framed or deep linked by other websites, the traffic of the original news website would be diverted and drop. The profit that could have gone to the original news website would go to the other websites. In the latter situation, obvious infringement of copyright and unfair competition simultaneously exist. Yet the former situation is a bit tricky, seemingly legal but disputable. The Svensson case just belongs to the former, which reminds us of the debate over the legitimacy of press aggregators’ practice of “free riding”.

Although German legislators have voted against requiring news aggregators to pay money to newspaper publishers, the dispute does not rest. Once linking to press articles were totally banned, not only would people’s right to free access to information be violated, but also the revenue of news press would drop. Yet it’s a paradox to not provide protection to free news websites against those press aggregators. The implied information sent out by this judgment is that, lack of access restriction measures to visit the news website deprived the authors of their rights to their press articles. However, setting access restrictions on net users goes against the prevalent e-commerce model and trend. In the long run, this judgment will not bring in a win-win outcome for the news press and information service websites. Considering why Google is willing to set up a 60-million-euro fund to boost French digital publishing, we could see the interdependence relation between the two interest camps. Their interests are common rather than opposite.

Nina Xu, visiting Post-doc VU University, dep. TLS, Internet Governance

Security Operations Centre: de manier om cybersecurity te realiseren?

januari 23rd, 2014

Meer dan de helft van het internetverkeer is afkomstig van bots, scanners en andere geautomatiseerde hacking tools. Steeds meer organisaties die security serieus nemen, treffen maatregelen tegen dit soort dreigingen. Recentelijk is  een Security Operations Centre (SOC) opgericht. Dat is een soort controlekamer waar mensen internetverkeer en allerhande informatie daarover analyseren, real-time op jacht naar hackers, malware en inbraken. Een aantal belangrijke overheidspartijen en leveranciers was op uitnodiging van het CIP-CSP te gast bij het SOC van KPN in Hilversum om over dit onderwerp beelden en kennis uit te wisselen. Aanwezig waren HP, Sincerus, Capgemini, KPN, UWV, RWS, Ministerie van BZK, Taskforce BID, NCSC, SVB, CAK, CBS, VU, OM, CIZ en UMC.

Aandacht ging uit naar DO’s en DONT’s bij het inrichten van een SOC en de leerpunten van organisaties die al een SOC opgericht hebben of daarmee bezig zijn. De uitkomst is een overzicht van Lessons learnt.

In het verschiet ligt een onderzoek door een aantal van de genoemde partijen naar de mogelijkheden om op het vlak van SOC samen concrete activiteiten te gaan ontplooien. Aansluiting wordt tevens gezocht bij een actueel onderzoek door BZK naar de mogelijkheden om een gezamenlijk ‘virtueel Rijks SOC’ in te richten.

Hieronder enkele persoonlijke aantekeningen bij de bijeenkomst van een tevreden deelnemer:

Security Operation Centers worden een must.

Een business case daarachter is realiteit, geen theorie.

De CIP/CSP-bijeenkomst van 10 december 2013 ging over de positie van het SOC: Secure Operations Centre. Wat is de rol van het SOC? De experts maken data-analyses op basis van gelogde gegevens. Vervolgens signaleren zij onregelmatigheden. Die kunnen niet alleen van buiten, maar ook van binnen komen.

Naar aanleiding van het werk van het SOC zal het lijnmanagement (met steun van de chief information security officer) de verbetermaatregelen moeten treffen. De afstand van de technische beveiliging naar de betrokkenheid van de directie wordt in de praktijk korter. Immers, informatiebeveiliging is onderdeel geworden van de reguliere planning– en controlcyclus binnen een organisatie. Daar komt nog bij dat elke organisatie zelf de handschoen van informatiebeveiliging moet gaan oppakken. De reden is dat het internet niet zoals andere nuts-infrastructuren in Europa wettelijk is beschermd.

Nogmaals, een red issue is dat ICT en Compliance bij elkaar moeten komen. ICT doet de security monitoring. Compliance is de verantwoordelijkheid van de directie binnen een organisatie. Zij waarborgt dat de governance (sturen en beheersen) tussen de betrokken afdelingen expliciet wordt en vervolgens gemonitoord wordt. Uiteraard is ook onderdeel van de governance dat transparant en controleerbaar wordt wie de beveiligingskosten betaalt. Blijven het centrale en dus algemene kosten? Of komt er een verrekening op basis van IP-adressen? Of wordt de weg naar managed services ingeslagen?

Om het bewustwordingsproces op gang te brengen is het een goede zaak dat een directie een opleiding volgt op het gebied van informatiebeveiliging. Het positieve resultaat hiervan is dat zij begrijpt hoe er met bijvoorbeeld datalekken moet worden omgegaan, en wat de kosten daarvan kunnen zijn bij escalatie. Tevens zal het vergaren van kennis over informatiebeveiliging bij de directie de discussie over monitoring versnellen. Is de juiste aanpak jaarlijks en éénmalig te auditen op basis van vinklijsten verbonden aan een ISO/NEN–standaard? Of wordt de weg ingeslagen naar continuous improvement? Deze tweede aanpak vereist betrokkenheid van de security specialisten bij nieuwe ICT–projecten. Hun bevindingen leiden direct tot aanpassingen in de infrastructuur, applicaties of databases. En daarbij hoort documentatie als input voor de planning– en controlcyclus.

Een laatste opmerking betreft het programmamanagement met betrekking tot een nieuw SOC. Dit is niet slechts een technische operatie. Doelstellingen en ambities moeten vanaf dag één helder zijn, zodat een maturity circle kan worden neergeschreven voor een periode van drie tot vier jaar. Het programma plus projecten geeft aandacht aan de inzet van middelen en dus jaarkosten.

Cees Zwinkels

Morozov undermines own analysis by excluding the information society

december 14th, 2013

Regularly appearing in national news paper, Evgeny Morozov shares his interesting analyses with a broader audience than the “regular suspects”. Recently his focus is on data collection and big data analysis by big companies that he sees as a bigger threat to society than what NSA and other intelligence agencies do. At the end of his convincing analysis he states that discussion on the impact of the digital on our lifes is not important, a strawman from Silicon Valley.

In previous work he discussed the Arab Spring and indicated that technology is not liberating us but give governments of repressive (and democratic regimes) tools to control the people. It is not that his conclusions are wrong, but I believe he could make his point stronger by not ignoring in this case the benefits of internet.

Morozov utters clear and justified criticism on our information society en strives to make people more aware of what is happening. His suggestion to approach the discussion from a political and economic angle is interesting.

To me, and I assume many others, he could be more convincing if he does not evaluate the information society and the internet only from his dark perspective . His discussion should take place against the background of the internet, because only then the situation he desires can be reached.

I know he does not like cyber scholars, like cyber lawyers and philosophers, because they approach the issues in a too restricted way. I am sure he would not like my Ten Commandments of Internet Law. His observations in this respect are interesting too, but again he undermines his position by not wanting to include internet in the concluding part of the discussion at all. He does start his analysis in the information society with a central role for the internet, but his arguments would gain convincing power if he would discuss his brilliant observations on our information society (also) against this background and not fully separated from it. He want to get behind and find what he calls the real issues. Even if true, we cannot deny we are living in an information society so need to balance pros and cons in that context.

AR Lodder

Miljoenenjacht-kwestie: frustatie begrijpelijk, maar juridisch weinig kansrijk

november 26th, 2013

Boeiende kwestie rechtopmiljoenen.nl

Tijdens een spel drukt een deelnemer heel duidelijk en krachtig op een knop om direct daarna zich te realiseren iets doms te hebben gedaan. Hij aanvaardde daarmee 125.000 euro, wat op zichzelf niet onverstandig lijkt. Hij had echter de kans dat het meer zou zijn als hij niet geaccepteerd had (ook minder) en in werkelijkheid bleek het 5 miljoen. Linda de Mol, presentatrice, twijfelt aan de actie en vraagt hem of hij dat wel wil. Nee, zegt de deelnemer. De Mol suggereert het terug te draaien. Er wordt overlegd en de notaris zegt dat dit volgens de reglementen niet kan. Terecht, lijkt me, als je in een dergelijke situatie van je overeenkomst af zou kunnen komen vervalt de onherroepelijkheid van de aanvaarding en wordt het dubben voorafgaand aan het drukken in het vervolg voortgezet na het drukken.

Vermogensrechtelijk geen speld tussen te krijgen. Overeenkomst komt tot stand door aanbod en aanvaarding. Rechtshandelingen zijn vormvrij. Druk op de knop is hier de rechtshandeling, dat weet iedere deelnemer. Juist om interpretatie van uitingen te voorkomen is er zoiets overduidelijks als een knop.

Wat mogelijk vreemd overkomt is dat de bij iedereen bekende handeling niet in de reglementen stond en er na de uitzending aan is toegevoegd. Zoals gezegd was ook voor wijziging van het reglement  een overeenkomst tot stand gekomen. Het was onnodig om de spelregels aan te passen, maar zal neem ik aan te maken hebben met te verwachten publiciteit en gebrek aan kennis overeenkomstenrecht bij gemiddelde burger dat die toevoeging is gedaan.

Als e-contracteer specialist is de vraag waarom ik iets over deze zaak meen te moeten zeggen. Behalve dat het een interessante kwestie is als zodanig, is het gebruik van de knop een wijze van wilsverklaring die met behulp van technologie geschiedt. Een verstandige keuze, het voorkomt discussie over de aanvaarding van de overeenkomst, ook in dit geval.

Arno R. Lodder

 

De AIVD, onze eigen NSA

november 25th, 2013

De Media van de laatste tijd bulken uit van de onthullingen op grond van de “Snowden papers”.  Hierbij wordt wederom verwezen naar de acties van Verenigde Staten en de NSA die zijn eigen bondgenoten sinds 1946 liet afluisteren. Ook in het NRC van afgelopen weekend (23/24 november)  werd hier op verontwaardigde toon een boekje opengedaan op grond van zelf verkregen “snowdon papers”!

Maar is het niet logisch dat geheime diensten iedereen afluisteren die interessant is voor  de veiligheid van het eigen land?  De historie bewijst dat dit het bestaansrecht is van die diensten en dat de vrienden van vandaag de vijanden van morgen kunnen zijn.  Als variatie op een thema: “watch your enemies close but watch your friends even closer” werden  ook Angela Merkel en andere “vrienden” getapt.  Ook al behoor je tot de intieme kring van 5 of 9 nine eyes, het blijft interessant om van elkaars plannen op de hoogte te zijn. Zelfs naast de uitwisselingsafspraken die op grond van, al dan niet geheime verdragen, bestaan tussen de westerse geheime diensten is er immers nog meer dan genoeg “geheime” informatie die van belang is voor de veiligheid van een nationale staat.

Het komt mij logisch voor dat de spionerende staat de bespioneerde staat van die acties niet op de hoogte stelt.  Zou er nu echt iemand zijn die bijvoorbeeld tijdens de kruisraketten discussie in de jaren 80 zou kunnen denken dat de V.S. niet alles in het werk heeft gesteld om hier informatie over te krijgen? Het is toch van groot belang voorafgaand op de hoogte te zijn van belangrijke politieke beslissingen  van je bondgenoten.  Je moet immers weten hoe betrouwbaar die bondgenoten eigenlijk zijn en welke plannen ze maken . Dat is belangrijk voor de eigen nationale veiligheid en daar wordt geen middel voor geschuwd, al dan niet langs de randen van het juridisch oirbare.

Maar ook onze eigen AIVD heeft ruime bevoegdheden om informatie van wie dan ook te vergaren. Op grond van de wet op de inlichtingen en veiligheidsdiensten (Wiv) zijn  de diensten (AIVD en MIVD)  bevoegd tot het al dan niet met gebruikmaking van technische hulpmiddelen, valse signalen, valse sleutels of valse hoedanigheid, binnendringen in een geautomatiseerd werk (art 24 Wiv). Tot de bevoegdheid behoort het doorbreken van enige beveiliging en “het aanbrengen van technische voorzieningen teneinde versleuteling van gegevens opgeslagen of verwerkt in het geautomatiseerde werk ongedaan te maken’. Verder wordt in de overige artikelen de ruimte gegeven om onze bondgenoten  af te luisteren, af te tappen ,  in elke vorm van gesprek, telecommunicatie of gegevensoverdracht door middel van een geautomatiseerd werk, ongeacht waar een en ander plaatsvindt” (art. 25 Wiv). Via de ether verzonden communicatie die zijn oorsprong of bestemming in andere landen heeft  kan  zelfs zonder toestemming van de minister  worden afgeluisterd op basis van het adagium van de vrije ether (art. 26 Wiv).

Overigens wordt zelfs met toestemming van de minister, al dan niet gedelegeerd aan het “hoofd van de dienst”, de democratische controle op de activiteiten door de commissie van toezicht  en het parlement moeizaam.  We moeten er maar op vertrouwen dat “de Dienst” volgens democratisch aanvaarde regels te werk gaat.

Enigszins alarmerend is de opvatting die hierover bij de overheid heerst, gezien  het volgende citaat  van Staring in het stuk de Hoofdige Boer (1820) op de omslag van het rapport “data voor daadkracht” van de Adviescommissie Informatiestromen Veiligheid uit 2007 van de ministeries defensie, justitie en binnenlandse zaken:

“Al weten wij de reden niet  ‘t Is vast op goeden grond geschied’

Blijkbaar worden de burgers niet geacht op de hoogte te worden gesteld van de activiteiten op het gebied van nationale veiligheid. Bij navragen over het werk van de AIVD en de samenwerking met de NSA zullen de stoplappen van nationale veiligheid en staatsgeheim zonder twijfel  nog altijd worden benut om zaken buiten echt democratisch toezicht te houden.

De rechtszaak van Christaan Alberdink Thijm om via die weg informatie te verkrijgen over de samenwerking tussen NSA en AIVD heeft dan volgens mij ook weinig kans van slagen. Een werkelijk democratisch toezicht op geheime diensten blijft een naïef wishful thinking…

Rob van den Hoven van Genderen