Remy Chavannes, Anke Strijbos en Dorien Verhulst[1]De auteurs zijn advocaat bij Brinkhof in Amsterdam. Zij danken hun kantoorgenoten Sophie ten Bosch, Hanneke Kooijman, Leonie van Sloten en Bart Tromp voor hun waardevolle bijdragen aan de totstandkoming van deze kroniek. De kroniek bestrijkt de periode maart 2019 – maart 2021.
Terwijl in Nederland en Europa nog volop wordt geprocedeerd over de toepassing van richtlijnen uit de beginjaren van deze eeuw op nieuwe technische situaties, verschijnt de ene na de andere EU-richtlijn en -verordening die de online consument en concurrent moet beschermen tegen de veronderstelde almacht of onverschilligheid van de (helaas nog steeds vooral Amerikaanse) platforms. Na twee decennia van onder-regulering van online diensten waarvan vooral niet-Europese bedrijven hebben geprofiteerd – zo is de dominante gedachte – is het tijd voor een stevige inhaalslag, met regels die veel specifieker zijn afgestemd op de digitale diensten, dreigingen en dilemma’s van nu. Zo doemen misschien alsnog de contouren op van een Europees “internetrecht”.[2]Over het bestaan(srecht) en de reikwijdte van zoiets als “internetrecht” of “technologierecht”, zie onze eerdere kronieken (NJB 2012/2022, NJB 2014/1836, NJB 2016/1822, NJB 2019/835); A.P. Engelfriet, ‘Naar een definitie van het begrip ‘internetrecht’, Tijdschrift voor Internetrecht 2019 nr. 3/4; en R. Leenes, ‘Of Horses and Other Animals of Cyberspace’. Technology and Regulation, 2019, 1-9. En als de EU in het huidige tempo door bouwt aan een overkoepelend regelgevend raamwerk voor “data”, “data governance” en artificiële intelligentie, kan bijna twintig jaar na de eerste NJB-kroniek technologie en recht[3]Ch.A. Alberdingk Thijm, ‘Kroniek van technologie en recht’, NJB 2007, 691. De kroniek van B.J. Koops en C. Stuurman in NJB 2004, nr. 10 (2004) droeg nog de naam ‘Kroniek van het ICT-recht’ maar bestreek grotendeels dezelfde terreinen. zelfs zoiets gaan ontstaan als “technologierecht”.
Gepubliceerd in NJB 2021/16 [PDF].
Inleiding
Wie de bovenstaande openingsparagraaf vergelijkt met onze kroniek van twee jaar geleden,[4]NJB 2019/835. zal wellicht het gevoel bekruipen dat er sindsdien bar weinig is gebeurd op het gebied van technologie en recht (of dat de kroniekschrijvers het in elk geval niet hebben opgemerkt). Ook toen zaten we immers middenin de “techlash” en was Europa bezig met een fikse digitale inhaalslag die volgens ons werd “gekenmerkt door onduidelijke, overlappende definities; vaag omschreven maar streng genormeerde zorgplichten; en de onderliggende overtuiging dat ‘platforms’ tegelijkertijd zowel ‘meer’ als ‘minder’ moeten doen.” Ook toen predikte Brussel regels voor artificiële intelligentie die alle economische, morele en maatschappelijke belangen even goed beschermen. En inderdaad, we bevinden ons nog in hetzelfde proces van ontluikende Europese assertiviteit op het gebied van digitale regulering. De wetgevingsvoorstellen worden echter ingrijpender en fundamenteler, gedreven door een brede politieke overtuiging dat er iets gedaan moet worden aan de macht van online platforms en algoritmes. In tijden van pandemie hebben online diensten hun waarde bewezen, maar daarmee ook zorgen over hun onmisbaarheid vergroot.[5]Zie bijvoorbeeld: Dimitri Tokmetzis en Maurits Martijn, ‘Technologiebedrijven vormen de basis van de samenleving. Door corona is dit een steeds groter probleem’, De Correspondent 24 maart 2021.
Tegelijkertijd moet ook de snelheid van de ontwikkelingen niet worden overdreven. De nieuwe regels die wij in 2019 bespraken, zijn nog amper in werking getreden op nationaal niveau, terwijl de ambitieuze voorstellen van de Europese Commissie op zijn vroegst tegen het einde van deze tweejaarlijkse kroniekperiode van toepassing worden.
Het techdebat is de afgelopen jaren niet alleen verbreed en verdiept, maar ook verhard en gepolitiseerd. In de kakofonie van hot takes, ook in meme-vorm grif gedeeld via dezelfde online platforms, hoor je meer opportunisme en eigenbelang dan consistent beleid. Na jaren te worden weggezet als ongecontroleerde echokamers van haat en desinformatie, zagen platforms die begin dit jaar besloten om Donald Trump en andere overtreders te ‘deplatformen’ zich prompt bestempeld tot willekeurige vijanden van het vrije woord.[6]‘Angela Merkel wil Trumploos Twitter toetsen via de rechter’, Volkskrant 11 januari 2021. Zie ook: A. Strijbos, ‘Wie beslist of Trump weer online mag?’, Mediaforum 2021-1, p. 1. Waar traditionele media “de platforms” steeds openlijker bejegenen als hoofdschuldigen voor hun eigen commerciële achteruitgang, met “betalen voor nieuws” als nieuwe “value gap”, pleiten techbedrijven inmiddels zelf voor “verduidelijking van de regels” op manieren die hen zelf goed uitkomen. Het debat over artificiële intelligentie is nog relatief technisch en niche, maar de Toeslagenaffaire illustreerde op brute wijze hoe algoritmes kunnen lijden onder de vooroordelen van hun makers en gebruikers en de training data waarmee zij zijn opgevoed.[7]‘Rekenkamer: te weinig aandacht voor discriminatie bij gebruik algoritmes door overheid’, Trouw 26 januari 2021; Algemene Rekenkamer, Aandacht voor algoritmes, 14 januari 2021, Kamerstukken II 2020-2021, 26643, nr. 737.
In vorige kronieken hebben wij ons noodgedwongen beperkt tot een aantal grote thema’s, en tot rechtsgebieden waarvan de ontwikkeling wordt gedomineerd door technologische vernieuwing: digitaal auteursrecht, privacyrecht, informatievrijheid, de aansprakelijkheid en verantwoordelijkheid van internettussenpersonen en artificiële intelligentie. Inmiddels wordt die keuze steeds meer weerspiegeld door de keuzes van de Europese wetgever, die naastwetgevingsvoorstellen voor digitale diensten en markten bouwt aan een regelgevend raamwerk voor “data”, “data governance” en artificiële intelligentie. Daarmee zijn ook de belangrijkste onderwerpen van deze kroniek gegeven. Wederom onbesproken blijven allerlei technologie-gerelateerde rechtsgebieden, van octrooirecht[8]Zie o.a. de IE-Kroniek van Dirk Visser en Simon Dack elders in dit nummer. tot het traditionele IT-recht,[9]Zie o.a. Esther van Genuchten, Reinoud Westerdijk & Robert van Schaik, ‘Kroniek IT-recht’, Advocatenblad 2020, pp. 80-88; en Advocatenblad 2021, pp. 57-64; en P.G. van der Putt, ‘Update Nederlandse IT-wanprestatiejurisprudentie’, Computerrecht 2019/214. en een baaierd aan boeiende technologie-gerelateerde ontwikkelingen, van cyberoorlog[10]Lambèr Royakkers, Jurriën Hamer & Rinie van Est, ‘Onder de schaduw van cyberoorlog. Oplossingsrichtingen voor de de-escalatie van het cyberconflict’, NJB 2020/1640. en drones[11]Petra Chao, ‘Het juridische speelveld van drones’, NJB 2020/234. tot commerciële DNA-tests[12]Corrette Ploem, Martina Cornel & Sjef Gevers, ‘Commercieel aanbod van DNA-tests. Ruim baan voor vrije markt en zelfbeschikking?’, NJB 2019/1994. en genetische modificatie,[13]Britta van Beers, ‘Welkom in de CRISPR-dierentuin. Juridische grenzen aan genetische modificatie van het nageslacht in het CRISPR-tijdperk’, NJB 2019/1371. en van quantumcomputers[14]S. De Schrijver, ‘Quantum Computing: de zekerheid van het onzekere’, Computerrecht 2019/216. en gezichtsherkenning[15]E.L.O. Keymolen, M.E. Noorman en B. van der Sloot, ‘Gezichtsherkenning in Nederland: een toekomstperspectief’, Tijdschrift voor Internetrecht 2020/6. tot internetonderzoek door bestuursorganen[16]Jan-Jaap Oerlemans & Ymre Schuurmans, ‘Internetonderzoek door bestuursorganen’, NJB 2019/1132. en videobellen in het civiele proces.[17]René Jansen, ‘Aandachtspunten bij het gebruik van de videoconferentie in civiele procedures’, NJB 2020/2301. Voor een overzicht van digitale coronaperikelen in het burgerlijk procesrecht, zie Robert Hendrikse e.a., ‘Kroniek burgerlijk procesrecht 2020’, Advocatenblad 2021-2, p. 62. Ook digitale veiligheid,[18]B.F.H. Nieuwesteeg, L.T. Visscher, M.G. Faure & N. Brouwer, ‘Contractuele aansprakelijkheid voor digitale onveiligheid in B2B relaties’, AV&S 2020/22; N. Falot, ‘Cybersecurity in 2019: een beknopt overzicht van juridisch relevante ontwikkelingen’, TvI 2020-1. digitale grondrechten,[19]Bart Custers pleitte in dit blad (‘Nieuwe digitale (grond)rechten’, NJB 2019/2775) voor erkenning van nieuwe, aanvullende (grond)rechten voor het digitale tijdperk, zonder (al te veel) gebonden te zijn aan reeds bestaande grondrechten. Hij opperde onder meer een recht om offline te zijn, een recht om niet te weten, een recht om van gedachten te veranderen, het recht op een schone lei, een recht om de waarde van je gegevens te weten, en een recht op een schone en veilige digitale omgeving. Het artikel van Custers was onderdeel van een breder NJB-themanummer (2019 afl. 44) over ‘recht in het digitale tijdperk’, met artikelen over de juridische randvoorwaarden voor een datagedreven samenleving, effectieve rechtsbescherming bij algoritmische besluitvorming in het bestuursrecht, en artificiële intelligentie en risicotaxatie in het strafrecht. netneutraliteit,[20]Netneutraliteit: HvJ EU 15 september 2020, ECLI:EU:C:2020:708 (Telenor Magyarorszá), Tijdschrift voor Internetrecht 2020-6 m.nt. Marc Peeters; R.G. Waterman, ‘Vijf jaar netneutraliteit in de EU: de stand van zaken’, Computerrecht 2021/4; Hanneke Kooijman, ‘Waar loopt een internetprovider tegenaan bij de Netneutraliteitregels? Een overzicht van de Europese praktijk’, Mediaforum 2020/4. cookiemuren[21]M. Poulus, ‘De val van de cookiewall? Over de (on)houdbaarheid van cookiemuren onder de AVG, de e-Privacyrichtlijn en de toekomstige e-Privacyverordening’, Tijdschrift voor Internetrecht 2019, afl. 3-4, p. 93-102. en de regulering van online politieke reclame[22]T. Dobber, R. Fathaigh & F. Zuiderveen Borgesius, ‘The regulation of online political micro-targeting in Europe’, Internet Policy Review 2019, afl. 4; P. Leerssen e.a., ‘Platform ad archives: promises and pitfalls’, Internet Policy Review 2019, afl. 4. worden elk via een enkele voetnoot afgedaan. Wij staan wel kort stil bij “non-fungible tokens” (NFT’s), een nieuwe cryptohype die de Icarus-fase nog moet doorstaan maar ondertussen boeiende vragen opwerpt over eigendom, originaliteit, kunst en de online exploitatie van alles.
De regulering van online tussenpersonen: ontstaat er dan toch zoiets als internetrecht?
De veelal vrij specifieke wetten die de vlak voor de Europese verkiezingen van 2019 de eindstreep haalden beginnen op nationaal niveau in werking te treden, met gevolgen voor onder meer transparantieverplichtingen van onlinetussenhandelsdiensten,[23] jeugdbeschermingszorgplichten van videoplatformdiensten[24] en auteursrechtelijke aansprakelijkheid van uploadplatforms.[25] De daarna aangetreden Europese Commissie en Parlement werken ondertussen aan veel ambitieuzere projecten, waaronder het herschrijven van de basisregels voor digitale diensten zoals die sinds 2000 gelden op grond van de Richtlijn elektronische handel[26] en het optuigen van een nieuw systeem van preventief mededingingstoezicht op digital markten om de macht van de grootste “poortwachter”-platforms te beteugelen.[27] Deze nieuwe voorstellen nemen nog steeds tot uitgangspunt dat de grote platforms zowel “te weinig” als “te veel” doen, maar ook dat het feit dat ze überhaupt zelf kunnen bepalen of c.q. wat ze doen betekent dat ze te veel macht hebben.
Bestrijding van illegale en onwenselijke content
Van alle EU-burgers gebruikt 65% dagelijks tenminste één sociale media dienst.[28] De manier waarop een handvol Californische tech-bedrijven deze diensten beheert is volgens een groeiende groep critici ondoorzichtig en arbitrair. De roep om meer transparantie en verantwoording klinkt in het bijzonder bij ‘content moderation’: het door online platforms ontwerpen en handhaven van regels door online platforms over wat wel en niet op hun online diensten mag worden gezegd. Dat is logisch, verwijderbeslissingen over online speech – op enorme, wereldwijde schaal – hebben grote impact op de informatievrijheid en daarmee op de democratische rechtsstaat. Hét voorbeeld daarvan was bij het schrijven van de vorige kroniek nog ondenkbaar: na de bestorming van het Capitool door aanhangers van Trump ontzegden Facebook en Twitter een zittende Amerikaanse president de toegang tot hun diensten. Apple en Google verwijderden de app Parler, die gebruikt was om de bestorming te organiseren, uit hun app stores. Amazon staakte haar (hosting) dienstverlening aan de app.[29] Een principiële discussie over ‘deplatforming’ was geboren.[30] Ook hier in Nederland, waar een Joodse organisatie aangifte deed tegen Bol.com wegens de verspreiding van anti-semitische en extreemrechtse boeken via haar platform.[31]
Het ontwerpen van nieuwe spelregels voor de digitale publieke sfeer, en het beschermen van de digitale rechtsstaat, behoort vermoedelijk tot de grootste grondrechtelijke uitdagingen van onze tijd. Het verleden biedt weinig houvast: tech-bedrijven zijn geen natiestaten en evenmin goed vergelijkbaar met traditionele mediabedrijven of telecomaanbieders.[32] Overheidsingrijpen in de uitingsvrijheid is per definitie een netelige kwestie, met steeds het risico dat het middel erger is dan de kwaal.[33] Semi-onafhankelijke en -transparante zelfreguleringsmechanismen doen intussen hun intrede.[34] Facebook’s Content Oversight Board is daarvan momenteel de meest ontwikkelde. Sinds enkele maanden oordeelt deze groep externe experts over wat gebruikers wel en niet op het sociale netwerk moeten kunnen plaatsen. De eerste beslissingen suggereren dat de experts meer pro-uitingsvrijheid zijn dan (de publieke druk op) Facebook. De belangrijkste beproeving zit echter nog in de pijplijn, binnenkort beslist het toezichtsorgaan of het account van Trump moet worden gereactiveerd. Op de to-do-lijst staan daarnaast andere netelige kwesties, zoals COVID-19 desinformatie in Frankrijk, religieuze spanningen in India en Zwarte Piet in Nederland. De uitkomst zal hoe dan ook controversieel zijn.[35]
De maatschappelijke rol en impact van onlinediensten is onvergelijkbaar met de situatie in 2000, het jaar waaruit de huidige regulering stamt.[36] Over de uitleg en toepassing van die oude regels, over aansprakelijkheid en behulpzaamheidsverplichtingen, wordt niettemin nog steeds geprocedeerd. Tijdens de kroniekperiode hoefde Google zoekresultaten die verwezen naar de tuchtrechtelijke veroordeling van een plastisch chirurg volgens het Hof Amsterdam toch niet te verwijderen[37], negatieve recensies over een Amsterdamse kleermaker wel.[38] In twee latere zaken werd de doorgaans kritische rechterlijke lijn over online reviews wat genuanceerd.[39] De rechtbank Den Haag zette helder uiteen wanneer een reviewer (on)rechtmatig handelt bij het op internet delen van zijn ervaringen met een bedrijf, in die zaak een keukenbedrijf.[40] Advocaat-generaal Drijber adviseerde de Hoge Raad dat Ziggo geen klantgegevens hoefde te verstrekken aan Dutch Filmworks.[41] Ziggo en XS4ALL werden door het Hof Amsterdam wel veroordeeld om IP-adressen en domeinnamen van The Pirate Bay te blokkeren, op basis van een lijst van Stichting BREIN die kan worden geactualiseerd.[42] Stichting BREIN initieerde ook één van de eerste collectieve acties onder het nieuwe Nederlandse regime tegen drie internetaanbieders, om (o.a.) inzage te krijgen in inbeslaggenomen stukken over dienstverlening aan illegale streaming websites.[43]
Tegelijkertijd was zichtbaar dat het actiever modereren door online platforms leidde tot een tegenbeweging, met rechtszaken waarin de klacht was dat online platforms te veel doen om ongewenste content van hun diensten te weren. Vooralsnog lijken platforms door de rechter te worden gesteund in het actief handhaven van hun beleid. Microsoft hoefde een OneDrive-account niet te heropenen, nadat haar servicevoorwaarden waren geschonden met een kinderpornografische afbeelding die volgens de gebruiker als grap met hem was gedeeld in een appgroep (en vervolgens automatisch opgeslagen).[44] De Amsterdamse voorzieningenrechter handhaafde de beslissingen van respectievelijk Google en Facebook om een video waarin een Limburgse huisarts hydroxychloroquine aanprees en de groep ‘Nee tegen 1,5 meter’ offline te halen wegens strijd met hun COVID-19 desinformatiebeleid.[45] Twee adverterende websitehouders trokken in kort geding aan het kortste eind: Google had hen terecht afgesloten wegens schending van de reclameregels uit haar AdSense-beleid.[46]
Ook een combinatie van teveel én te weinig doen is mogelijk. In een kort geding aangespannen door John de Mol oordeelde de rechter dat Facebook ten aanzien van haar advertentiedienst geen beroep kon doen op de hosting exceptie van artikel 6:196c lid 4 BW. Door de (preventieve) handhaving van haar reclameregels had het platform een te “actieve rol”. Tegelijkertijd deed Facebook volgens de rechter te weinig tegen frauduleuze bitcoinadvertenties en handelde het daarmee onrechtmatig.[47] Een half jaar later begon presentator Rik van de Westelaken om dezelfde reden een kort geding, maar had Facebook volgens de voorzieningenrechter (inmiddels) wel genoeg gedaan tegen de misleidende advertenties.[48] Meer recentelijk werd Facebook bevolen om gegevens af te staan van klanten die met hun advertenties en Instagram-accounts inbreuk hadden gemaakt op de rechten van PVH (Tommy Hilfiger), en kreeg zij ook een (tot identieke gevallen beperkte) filterverplichting opgelegd.[49] Anders dan in de voorafgaande procedure in kort geding,[50] oordeelde de bodemrechter dat Facebook bij het aanbieden van haar advertentiedienst wél een neutrale tussenpersoon is, die zich kan beroepen op de hosting exceptie van artikel 6:196c lid 4 BW. Het feit dat zij een (volgens de rechtbank: aanzienlijke en tot meer dan 99% effectieve) preventieve screening van advertenties uitvoert maakt dat niet anders.[51] Zij maakt ook niet zelf inbreuk op de rechten van PVH.[52]
De dominante perceptie blijft niettemin dat ‘grote’ online platforms onvoldoende gereguleerd zijn, ten koste van consumenten, concurrenten en de maatschappij als geheel. Algoritmes die bedoeld zijn om de ‘engagement’ van gebruikers op sociale media te maximaliseren prioriteren prikkelende content boven een saai en feitelijk bericht. Dat draagt er vervolgens aan bij dat, bijvoorbeeld, desinformatie of hate speech zich op sociale media snel en op grote schaal kan verspreiden.[53] Informatici die de succesvolle algoritmes ontwierpen staan voor de uitdaging hun eigen monsters te temmen, zonder daarbij de aantrekkelijkheid van de dienst als geheel met het badwater weg te spoelen.[54]Parallel ontstaat aandacht voor de positie van slachtoffers voor wie het lastig kan zijn om onrechtmatige content te laten verwijderen.[55] Beleids- en wetgevingsinitiatieven concentreren zich rondom specifieke deelonderwerpen. Facebook, Google, Twitter, Mozilla, Microsoft en TikTok sloten zich samen met adverteerders aan bij de Europese gedragscode in de strijd tegen desinformatie.[56] In de coronacrisis pakten de grote tech-bedrijven de handschoen van de techlash duidelijk op, door misleidende berichtgeving over COVID-19 binnen hun diensten te verbieden en actief van hun diensten te weren, met meer of minder succes.[57] In de aanloop naar de landelijke verkiezingen verbonden sociale media platforms zich samen met Nederlandse politieke partijen aan gedragscode over politieke advertenties.[58]
Controversieel is de aankomende Verordening ter voorkoming van de verspreiding van terroristische online-inhoud. Nationale autoriteiten krijgen daarmee de bevoegdheid om verwijderingsbevelen tegen internetbedrijven uit te vaardigen met betrekking tot online terroristische content.[59] De complexiteit van de materie staat niet in de weg aan korte verwijdertermijnen (soms binnen een uur) en afschrikwekkende boetes (tot 4% van de wereldwijde jaaromzet).[60] Parallel werkt de Commissie aan wetgeving om seksueel misbruik van kinderen online doeltreffender te bestrijden.[61] Intussen consulteert de Nederlandse wetgever een bestuursrechtelijke bevoegdheid, waarmee een nieuw op te richten autoriteit voortaan een bevel tot ontoegankelijkmaking van kinderpornografisch materiaal kan geven aan in Nederland gevestigde hosting providers.[62]De toelichting bij het conceptwetsvoorstel benadrukt dat de autoriteit zich zal richten op een kleine groep aanbieders die onder het huidige systeem van zelfregulering systematisch nalaat om kinderpornografisch materiaal na melding binnen 24 uur te verwijderen. Zij riskeren bij niet-naleving van een bindende aanwijzing voortaan een boete van € 870.000 of van 4% van de winst van het hele bedrijf.
Het nieuwe landschap, waarvan we inmiddels allerlei contouren zien, is omvangrijk en gefragmenteerd. Er zijn meer meningen, en manieren om die online te uiten, dan er menselijke capaciteit is om die op juistheid en wenselijkheid te controleren. Geen techbedrijf kan alle content op zijn dienst door mensen laten modereren. Geen toezichthouder is uitgerust om daarop vervolgens op meer dan het meest macroniveau toezicht te houden. In plaats daarvan varen er patrouillebootjes rond op de oceanen met online content.[63] Notice & Takedown-systemen, aangevuld met automatiseerde algoritmische controles, vormen nog steeds de basis van het bestrijden van onrechtmatige en onwenselijke content. Internetgebruikers kunnen onrechtmatige of onwenselijke content rapporteren aan online platforms, die de inhoud vervolgens zonodig verwijderen. Facebook doet dat voor de posts op haar sociale netwerk, Twitter voor tweets, YouTube voor video’s, Google voor zoekresultaten en nieuwsorganisaties voor de comments van hun lezers. Platforms ontvangen een bonte mix van notificaties, van ernstige urgente kwesties tot onverbloemde pogingen om onwelgevallige-maar-rechtmatige uitingen te censureren. De regels die zij daarbij moeten toepassen zijn Europees of nationaal, verspreid over een scala aan (veelal thematische) wetgevings- en beleidsinstrumenten en in sommige gevallen sterk (lokaal) cultureel bepaald. De meeste internetbedrijven doen een serieuze poging om meldingen zo goed mogelijk te beoordelen en de grote tech-bedrijven hebben ook de middelen om ongegronde verzoeken af te wijzen en daarover zonodig te procederen. Bij het enorme volume aan verzoeken, en het inherent beperkte zicht op de relevante feiten van een tussenpersoon, zijn fouten onvermijdelijk. Kleinere bedrijven hebben minder te besteden aan geautomatiseerde opsporing en handmatige, menselijke controles. Zij kiezen logischerwijs voor een meer geautomatiseerde en/of risicomijdende koers en zullen in twijfelgevallen doorgaans sneller tot verwijdering overgaan. Intussen is gedegen empirisch onderzoek naar overblokkering nog schaars.[64]
Auteursrecht: persuitsgeversrecht en uploadplatforms
Een specifieke IE-interventie in de gepercipieerde overmacht van grote techbedrijven is te vinden in de DSM-auteursrechtrichtlijn 2019/790/EU, die wij in onze vorige kroniek al bespraken.
Artikel 15 van de richtlijn wordt geïmplementeerd in artikel 7b Wet op de naburige rechten, en geeft persuitgevers een naburig recht dat zij kunnen inzetten tegen online gebruik van hun perspublicaties door aanbieders van diensten van de informatiemaatschappij. Het is onderworpen aan de gebruikelijke beperkingen, en geldt überhaupt niet voor hyperlinken, particulier gebruik of – prejudiciële verwijzing claxon – “het gebruik van losse woorden of zeer korte fragmenten van een perspublicatie”.[65] Het persuitgeversrecht beoogt een serieus probleem aan te pakken – de ondergang van het traditionele verdienmodel voor kwaliteitsjournalistiek – maar doet dat met een curieus mechanisme dat meer wegheeft van een particulier gefinancierd staatssteunregime voor grote persuitgevers dan een IE-recht.[66] De komende kroniekperiode zal leren of het de pers toekomstbestendiger kan maken.
Artikel 17 van de richtlijn (hoofdzakelijk geïmplementeerd in artikel 29c Auteurswet) bepaalt dat een – prejudiciële verwijzing claxon – “aanbieder van een onlinedienst voor het delen van inhoud” verantwoordelijk is voor de openbaarmakingen door gebruikers van zijn dienst,[67] en daarvoor dus toestemming moet verkrijgen van de rechthebbenden. De hosting exceptie van artikel 6:196c lid 4 BW geldt in deze context niet, maar wordt vervangen door een specifieke “safe harbour” (artikel 29c lid 2 Aw) als de aanbieder aantoont dat hij zich voldoende heeft ingespannen om toestemming te krijgen en door rechthebbenden aangemelde werken te weren. Bij deze samenwerking tussen platforms en rechthebbenden moeten de rechten van gebruikers worden beschermd en zijn zowel preventieve monitoring als blokkering van onrechtmatige content verboden. De grootste platforms en rechthebbenden zullen daar wel een mouw aan passen, maar de veel grotere groepen daaronder tasten nog aardig in het duister over wat dit regime gaat betekenen.
De Nederlandse implementatie van deze richtlijnbepalingen is bewust saai en van elke nationale invulling gespeend,[68] en treedt op 7 juni a.s. – exact op tijd – in werking.[69] Ondertussen wordt in Duitsland nog druk geruzied over een implementatievoorstel dat moedig tracht enigszins werkbare nationale chocola te maken van de onmogelijke compromissen van met name artikel 17 (en waarvan dus nog jaren onzeker zal zijn of het Hof van Justitie die verenigbaar vindt met de richtlijn).[70]
Mediaregulering: videoplatformdiensten
De herziene Richtlijn Audiovisuele mediadiensten bespraken wij al in de vorige kroniek.[71] Inmiddels is de Nederlandse implementatiewet in werking getreden, waarin de wetgever geen gebruik heeft gemaakt van de mogelijkheid om videoplatformdiensten strenger te reguleren.[72] Daarmee zijn videoplatformdiensten voor het eerst onderworpen aan mediarechtelijk toezicht. Van Drunen bespreekt de verschuiving van een focus op redactionele verantwoordelijkheid (bij traditionele mediadiensten) naar organisationele verantwoordelijkheid (bij videoplatformdiensten) .[73]
Veel influencers hadden zich in 2017 al (met wisselend succes) gecommitteerd aan zelfregulering om ervoor te zorgen dat reclame, sponsoring en productplaatsing herkenbaar zouden zijn in hun video’s.[74] Door de implementatie van de herziene AVMS-richtlijn krijgen zij nu ook te maken met controle van de platforms zelf, die op basis van de herziene richtlijn verplicht zijn om ervoor te zorgen dat reclame op hun platform herkenbaar is en niet schadelijk is voor minderjarigen. Van in Nederland gevestigde videoplatformdiensten eist de gewijzigde Mediawet dat zij een gedragscode hebben waarin uiting wordt gegeven aan de maatregelen die de richtlijn voorschrijft.[75] Daarnaast krijgen influencers mogelijk te maken met strengere mediaregels, omdat hun videokanaal mogelijk zal kwalificeren als een audiovisuele mediadienst op aanvraag.[76]Dat betekent dat de influencer aan strenge regels onderworpen is voor reclame, sponsoring en productplaatsing, en dat ook de bijbehorende (forse) sanctiemogelijkheden van de mediatoezichthouders voor hen gelden. De Cock Buning signaleert in die controle een risico voor de uitingsvrijheid van influencers, omdat videoplatformdiensten mogelijk de veilige weg zullen willen kiezen en hun gebruikers daarom te strikt zullen reguleren en omdat grote videoplatformdiensten vanwege de omvang van de content die op hun platform verschijnt gebruik zullen moeten maken van geautomatiseerde controle, waarbij (zoals hierboven besproken) een inherent risico op beoordelingsfouten speelt.[77]
Privacyregulering: het recht om vergeten te worden
Wij bespreken in het volgende hoofdstuk de belangrijkste ontwikkelingen op het gebied van digitale privacy. Eén aspect daarvan dat al aparte aandacht verdient in deze bespreking van het thema ‘platformregulering’ is het recht van natuurlijke personen om onder voorwaarden te verlangen dat bepaalde zoekresultaten worden verwijderd uit de resultaten bij een zoekopdracht op hun naam: het ‘recht om vergeten te worden’. Tijdens de kroniekperiode heeft het Hof van Justitie daarover twee belangrijke arresten gewezen.[78] Wat betreft de territoriale reikwijdte van een geslaagd beroep op het verwijderingsrecht oordeelde het Hof dat de AVG[79] geen grondslag bevat voor een verplichting om wereldwijd zoekresultaten te verwijderen. Omdat het gegevensbeschermingsrecht als gevolg van de AVG in de hele EU grotendeel gelijk is, is er wel aanleiding om een verwijdering EU-breed door te voeren.[80] De zoekmachine moet daarnaast (technische) maatregelen nemen die het onmogelijk maken (of ten minste ernstig ontmoedigen) om vanuit een lidstaat alsnog toegang te krijgen tot de betreffende links via een zoekopdracht op de naam van de betrokkene. Het lijkt erop dat de manier waarop Google steeds al uitvoering gaf aan vergeetverzoeken in lijn is met dit arrest.
Het tweede arrest gaat over de maatstaf voor beoordeling van vergeetverzoeken met betrekking tot zoekresultaten die verwijzen naar bijzondere persoonsgegevens.[81] Zoals in de vorige kroniek bleek, hadden Nederlandse rechters al een manier gevonden om te voorkomen dat absolute toepassing van het verbod op verwerking van bijzondere persoonsgegevens ertoe zou leiden dat zoekmachines überhaupt niet meer mogen verwijzen naar websites met bijzondere persoonsgegevens (zoals een nieuwsartikel over de partijpolitieke voorkeur van Mark Rutte of de knieblessure van Virgil van Dijk). De Rechtbank Amsterdam en de Rechtbank Midden-Nederland kozen de lijn dat artikel 16 Wbp (inmiddels artikel 9 c.q. 10 AVG) buiten toepassing dient te blijven bij verzoeken op basis van het zoekmachine-verwijderingsrecht, omdat toepassing van het verbod in strijd zou zijn met het algemeen belang dat zoekmachines dienen en de informatievrijheid.[82] Het gevolg van die lijn is dat vergeetverzoeken met betrekking tot bijzondere persoonsgegevens, net als alle andere vergeetverzoeken moeten worden beoordeeld door afweging van de grondrechtelijk beschermde belangen van de betrokken partijen aan de hand van alle relevante feitelijke omstandigheden.[83]
Het Hof van Justitie overweegt echter dat het verbod om bijzondere persoonsgegevens ook moet gelden voor zoekmachines.[84] Het Hof van Justitie zoekt in plaats daarvan een uitweg in de uitzondering op het verbod om bijzondere persoonsgegevens te verwerken wanneer dat nodig is om redenen van zwaarwegend algemeen belang (artikel 8 lid 4 van de Privacyrichtlijn[85]). Hoewel de AVG strikt genomen niet van toepassing was op deze zaak, schijnt artikel 17 lid 3 daarvan, dat een uitzondering op het vergeetrecht bevat wanneer de verwerking nodig is voor het uitoefenen van de informatievrijheid, wel zijn licht vooruit.[86] In de context van dat artikel geeft het Hof van Justitie aan dat de zoekmachine een vergeetverzoek dat ziet op bijzondere persoonsgegevens kan weigeren wanneer hij vaststelt dat de opname van de betreffende link in de resultatenlijst die wordt weergegeven na een zoekopdracht op de naam van de verzoeker strikt noodzakelijk blijkt ter bescherming van de in artikel 11 van het Handvest verankerde recht op vrijheid van informatie van de internetgebruikers die mogelijk geïnteresseerd zijn in toegang tot deze webpagina via een dergelijke zoekopdracht.[87]
De conclusie is dus dat ook bij vergeetverzoeken die zien op zoekresultaten die verwijzen naar bijzondere persoonsgegevens een afweging uitgevoerd moet worden van enerzijds het privacybelang van de betrokkene (de verzoeker) en anderzijds het belang van informatievrijheid van zowel de zoekmachine als de potentiële ontvangers van de informatie (de gebruikers van de zoekmachine). Als het gaat om bijzondere persoonsgegevens geeft dat het privacybelang van de verzoeker hooguit wat extra gewicht.
Ook de Nederlandse rechters hebben het weer druk gehad met verzoeken om vergeten te worden. De zaken over dit onderwerp zijn grofweg in twee categorieën in te delen. Enerzijds zijn er de procedures van personen die willen dat bepaalde publicaties over hen niet meer verschijnen in de zoekresultaten bij een zoekopdracht op hun naam en anderzijds zijn er de procedures van personen die hun gegevens uit de BKR-registraties verwijderd willen zien. Beide categorieën hebben gemeen dat verreweg de meeste verzoeken worden afgewezen.
Wat betreft de verzoeken aan zoekmachines hebben de afgelopen twee jaar een gestage daling van het aantal procedures laten zien. Van de 8 gepubliceerde uitspraken sinds de vorige kroniek zagen 3 uitspraken op hoger beroepen van eerdere beschikkingen.[88] In de afgelopen 2 jaar zijn er dus 5 nieuwe zaken geweest, tegenover bijvoorbeeld 12 in alleen 2018.
Wat opvalt is dat de artsen en vastgoedondernemers bovengemiddeld gerepresenteerd zijn in de verzoekers. Veel van de procedures gingen dan ook om het onvindbaar maken van professionele misstappen die geleid hebben tot strafrechtelijke of tuchtrechtelijke veroordelingen.[89] Overigens stelde de rechtbank de verzoeker in slechts 1 zaak in het gelijk.[90] In de andere zaken was het vaak de waarschuwingsfunctie van de betreffende zoekresultaten die de balans in het voordeel van de zoekmachine deed uitvallen. Zo achtte het Hof Den Haag bijvoorbeeld van overwegend belang dat potentiële huurders toegang zouden kunnen hebben tot publicaties over de bestuursrechtelijke handhavingsprocedures tegen een bekende verhuurder wegens brandonveiligheid van zijn woningen en zijn civiel- en strafrechtelijke veroordelingen vanwege intimidatie van huurders die huurprijzen ter discussie stelden.[91]
De EDPB publiceerde in juli 2020 het eerste deel van haar guidelines over het recht om vergeten te worden.[92] Die guidelines bieden weinig daadwerkelijke ‘guidance’ en zijn meer gericht op het toelichten van verschillen tussen de Privacyrichtlijn en de AVG op dit onderwerp. Het wachten is op het tweede deel, dat onder andere zou bestaan uit een lijst criteria voor de beoordeling van vergeetverzoeken.
Consumentenrecht gaat online
Digitaal consumentenrecht is een nieuwe aanvulling op deze kroniek. Het consumentenrecht richtte zich de afgelopen twee jaren meer en meer op online platforms en online verkoop in het algemeen. Het consumentenrecht omvat een vergaarbak aan veelal Europeesrechtelijke wetgeving die beoogt consumenten te beschermen door (i) handelaren te verplichten om bepaalde informatie te geven,[93] (ii) agressieve of misleidende verkooptechnieken te verbieden,[94] en (iii) consumenten bepaalde rechten te bieden.[95]
Het consumentenrecht is in 2019 uitgebreid met drie EU-richtlijnen, die in 2021 moeten zijn omgezet in nationaal recht. De Richtlijn Digitale Inhoud en Digitale Diensten[96] en de Richtlijn betreffende Overeenkomsten voor de Verkoop van Goederen[97] vormen een tweeluik, waarmee de consument meer informatie en rechten krijgt bij de koop van “smart” apparaten, digitale inhoud of digitale diensten.[98] Daarnaast werd in 2019 de Moderniseringsrichtlijn aangenomen.[99] De Moderniseringsrichtlijn introduceert specifieke verplichtingen voor ‘online marktplaatsen’. Online marktplaatsen moeten verplicht informatie verstrekken over de identiteit van handelaars op het platform; de rangschikking van producten die wordt getoond; en of de marktplaats garandeert dat recensies daadwerkelijk van gebruikers afkomstig zijn. De Richtlijn breidt het toepassingsbereik van de wettelijke informatieverplichtingen bovendien uit naar diensten waarvoor de consument “betaalt” met zijn persoonsgegevens.
De consumentenregels worden in Nederland gehandhaafd door de Autoriteit Consument en Markt (ACM), die zich tijdens de kroniekperiode flink heeft geroerd in de digitale sector. De wettelijke regels hebben een breed toepassingsbereik, zijn algemeen omschreven waardoor ze ruimte bieden voor interpretatie, en de sancties zijn stevig.[100] In de afgelopen twee jaar heeft de ACM een aantal grote online platforms aangespoord om hun informatievoorziening en algemene voorwaarden te verberen: AliExpress (februari 2021), Booking.com en Expedia (december 2020), Bol.com (september 2020), Booking.com (december 2019), AirBnB (juli 2019), Facebook (april 2019) en Google en Apple (maart 2019).
Daarnaast heeft de ACM twee documenten met richtsnoeren gepubliceerd: de Leidraad ‘Bescherming van de online consument’[101] en de Vuistregels ‘Online Platformen’.[102] Met deze richtsnoeren legt de ACM de algemene consumentenregels op een praktische wijze uit voor toepassing in een online (verkoop)omgeving. Waar de Leidraad zich met name op online handelaren richt, richten de Vuistregels zich op de online platforms die deze handelaren faciliteren. Deze Vuistregels lopen grotendeels vooruit op de nieuwe regels die vanaf 2022 zullen gelden op basis van de Moderniseringsrichtlijn, maar gaan op een aantal punten verder; zij reppen zelfs van een verplichting voor platforms om toezicht te houden op de derde handelaren en indien nodig sancties op te leggen wanneer handelaren zich niet aan de consumentenregels houden.
In principe is alleen de handelaar onder het consumentenrecht verantwoordelijk voor het naleven van de regels – niet het platform waar hij gebruik van maakt.[103] De mate waarin een online platform verantwoordelijk kan worden gehouden, staat roept allerlei vragen op in de praktijk: kan sprake zijn van een misleidende omissie van een handelaar als er bij de aanbieding op Google Shopping geen ruimte is om de desbetreffende informatie te geven?[104] En mag de ACM Apple vragen om app aanbieders te verplichten om privacy-informatie prominent weer te geven in de App Store?[105]
Een belangrijke vervolgvraag is: in hoeverre kunnen online platforms worden betrokken bij het “de-platformen” (en zo effectief onschadelijk maken) van handelaren die de consumentenregels schenden? Was het YouTuber Tim Hofman met zijn kritische video’s,[106] de ACM met haar last onder dwangsom[107] of Google met haar nieuwe beleid voor overheidsdiensten[108] die de website MijnVerklaring.nl de das omdeed? En mocht de ACM Google wel vragen om Google Ads te weren van onbetrouwbare slotenmakers, waardoor deze effectief onvindbaar werden?[109] Het hoofdstuk ‘consumentenrecht’ is nog lang niet afgesloten voor online platforms.
Digital Services Act
In dit drukke speelveld stapt de Europese Commissie met een voorstel voor een verordening die de spelregels voor online platforms vergaand verruimt en verzwaart: de “Wet inzake digitale diensten” die iedereen aanduidt met de (gezien Brexit slechts: Iers-Maltese) roepnaam Digital Services Act (DSA).[110] Het voorstel omvat 45 pagina’s exclusief toelichting, overwegingen en financieel memorandum, met 74 gedetailleerde artikelen waarvan de Commissie hoopt dat die nog tijdens de komende kroniekperiode in werking treden. Terwijl lidstaten en belanghebbenden hun input geven en het Europees Parlement ruziet over welke commissie eerstverantwoordelijk is voor het voorstel, druppelen de eerste analyses in de Nederlandse vakliteratuur binnen.[111]
De DSA laat de Richtlijn elektronische handel uit 2000 grotendeels intact, inclusief het oorsprongslandbeginsel in artikel 3.[112] De bekende aansprakelijkheidsvrijwaringen voor access, caching en hosting providers, die zowel het moderne internet als de keerzijden daarvan mogelijk hebben gemaakt, worden behouden. Wel worden zij overgeheveld van de richtlijn naar de DSA, een verordening die dus straks in de hele EU geldt zonder nationale implementatieverschillen. De DSA codificeert de “safe harbour”-rechtspraak van het Hof van Justitie en bevestigt dat aanbieders hun aanspraak op die vrijwaring niet verliezen doordat zij zelf maatregelen treffen om illegale content te blokkeren of verwijderen. Artikel 5 lid 3 bevat een betrekkelijk willekeurige uitzondering op de vrijwaring in de situatie dat een hosting provider, kort gezegd, een transactie op afstand tussen consument en handelaar mogelijk maakt op een manier die suggereert dat de provider zelf de handelaar is.
Bovenop het oeroude fundament van de Richtlijn elektronische handel bouwt de DSA een forse nieuwe piramide met nadere verplichtingen. Voor alle hosting providers gelden basale – maar met name voor kleinere platforms nog altijd belastende[113] – regels over onder meer het afhandelen van klachten over “illegale” content en officiële bevelen om informatie te verwijderen of klantgegevens te verstrekken.
Meer gedetailleerde regels gelden voor een subgroep van hosting providers die kwalificeren als “onlineplatform”: een aanbieder van een hostingdienst die, op verzoek van een afnemer van de dienst, informatie opslaat en verspreidt bij het publiek. Let wel: “verspreiding bij het publiek” in de DSA is niet precies hetzelfde als “verspreiding aan het publiek” in de hierboven besproken Verordening terroristische online-inhoud.[114] Het is ook net wat anders dan “mededeling aan het publiek” in het auteursrecht, al wordt het wel gedefinieerd aan de hand van dezelfde concepten,[115] die het Hof van Justitie 15 jaar geleden heeft geleend uit het mediarecht en sindsdien probeert uit te leggen.[116] Ten aanzien van één en dezelfde uiting van een klant moet een online dienstverlener dus apart beoordelen of het die uiting verspreidt bij het publiek, verspreidt aan het publiek en/of meedeelt aan het publiek (zonder garantie dat het woord “publiek” steeds hetzelfde betekent).
De Europese Commissie noemt in haar website-toelichting[117]online marktplaatsen, app stores, deeleconomieplatforms en social media platforms als voorbeelden van onlineplatforms, wat ook laat zien dat het gaat om een heel eclectische groep diensten en dus de vraag oproept of het wel passend is om ze allemaal precies dezelfde verplichtingen op te leggen. Onlineplatforms krijgen te maken met verplichte procedures voor klachten en geschillen over verwijdering van content & account-beëindiging; wie kritisch was op het verbannen van Donald Trump zoekt hier echter tevergeefs naar materiële normen voor wanneer platforms content of gebruikers mogen (of moeten) ‘deplatformen’. Onlineplatforms moeten bepaalde zakelijke klanten identificeren, een langgekoesterde wens van rechthebbenden die onnodig bewerkelijk kan uitpakken voor semi-professionele gebruikers van een knutselaarsplatform als Etsy.[118] Platforms moeten bij de afhandeling van contentklachten voorrang geven aan de – vermoedelijk binnenkort zeer talrijke – ‘trusted flaggers’. Zij krijgen extra rapportageverplichtingen o.a. over het aantal geschillen, gebruikers, opschortingen en de inzet van automatische contentmoderatie. Ook moeten zij gebruikers real-time informatie tonen over de afkomst en targeting van online reclame (sommigen in het Europees Parlement pleiten voor een algeheel verbod op gerichte online reclame).
De allergrootste onlineplatforms (“very large online platforms” oftewel VLOP’s) komen onder ingrijpend systeemtoezicht te staan. Zij moeten bijvoorbeeld periodiek extern gecontroleerde beoordelingen publiceren over (hun maatregelen tegen) systemische risico’s voor de verspreiding van illegale content, manipulatie en schending van grondrechten, met name in verband met de inzet van contentmoderatie, aanbevelingssystemen en gerichte reclame. De definitie van VLOP in het voorstel is gebaseerd puur op het aantal klanten: een online platform met meer dan 45 miljoen gemiddelde maandelijkse gebruikers in de EU is een VLOP. Een harde, kwantitatieve definitie dient de rechtszekerheid, maar ook die is beperkt (de Commissie mag nader uitwerken hoe dat gemiddelde moet worden berekend). Belangrijk nadeel is dat het middelgrote platforms ontmoedigt om verder te groeien. Het laat bovendien geen ruimte om kleinere platforms alsnog wel – en grotere platforms alsnog niet – onder (een deel van) de zwaardere regels te brengen, afhankelijk van bijvoorbeeld de maatschappelijke risico’s die (de inrichting of het business model van) een platform met zich meebrengt, of de middelen die een platform heeft om die risico’s te mitigeren. Het proportionaliteitsbeginsel kan in de praktijk iets corrigeren, maar een enigszins ingekaderd ontheffingsmechanisme zou niet misstaan. Het ligt hoe dan ook voor de hand dat veel “probleemgebruikers” die door VLOP’s worden verbannen, hun toevlucht zullen zoeken tot minder geëquipeerde en lichter gereguleerde niet-VLOP’s. Op macroniveau wordt de uitdaging daar niet kleiner van.
Op al deze nieuwe regels moet toezicht worden uitgeoefend. Dat wordt de taak en bevoegdheid van de lidstaat waar de aanbieder zijn hoofdvestiging heeft. Een aanbieder die diensten aanbiedt in de EU zonder daar een vestiging te hebben, moet een EU-vertegenwoordiger aanwijzen en valt onder de rechtsmacht van de lidstaat waar die vertegenwoordiger is gevestigd.[119] De verantwoordelijke lidstaat moet één of meer toezichthouders aanwijzen, en één daarvan aanwijzen als “Coördinator digitale diensten” (CDD). De CDD moet beschikken over voldoende onafhankelijkheid, middelen en bevoegdheden, en onder meer “doeltreffende, evenredige en afschrikkende” boetes kunnen uitschrijven tot maximaal 6% van de jaarlijkse omzet. VLOPs zijn onderworpen aan verscherpt toezicht, inclusief zware onderzoeksbevoegdheden voor CDD’s en de mogelijkheid voor de Europese Commissie om tussen te komen als een VLOP zijn verplichtingen schendt, op verzoek van de CDD of juist op verzoek van andere CDD’s als de bevoegde CDD onvoldoende optreedt.
Als verordening zal de DSA rechtstreekse werking hebben, en anders dan de AVG laat de DSA vooralsnog weinig ruimte voor nationale invulling. Een van de vragen die Nederland wel zal moeten beantwoorden, is welke toezichthouders een rol krijgen bij de handhaving van de DSA, en wie van hen de status (in de praktijk misschien: last) krijgt van “Coördinator digitale diensten” (CDD). Voor ACM pleit dat zij beschikt over een grote organisatie die gewend is om (ook sectorspecifiek) toezicht te houden op (heel) grote bedrijven, en dat de DSA in belangrijke mate consumentenbescherming beoogt. Voor het Commissariaat voor de Media pleit dat het al toezicht uitoefent op media- en videoplatforms, en dat de DSA zijn urgentie toch vooral ontleent aan de gevoelde behoefte om de regulering van online content op een hoger plan te tillen. Het is ook denkbaar dat Nederland de bevoegdheden zo veel mogelijk verspreidt onder de bestaande toezichthouders, naar onderwerp of zelfs naar soort platform. De Europese koepel van mediatoezichthouders ERGA pleit er bijvoorbeeld voor dat de nationale media-autoriteiten in elk geval toezicht gaan uitoefenen over online content platforms (welk toezicht volgens ERGA dan overigens ook zou moeten worden uitgebreid naar de bestrijding van onwenselijke of schadelijke content).[120] Er valt inderdaad wel wat voor te zeggen dat het Commissariaat een rol krijgt bij de toepassing van DSA-regels op mediaplatforms, en dat de ACM dat beter kan doen bij prijsvergelijkingsdiensten. Bij dit alles moet bedacht worden dat Nederlandse toezichthouders een vermoedelijk relatief bescheiden rol zullen spelen, omdat de grootste platforms onder het toezicht zullen vallen van hun Ierse evenknie.
Mededingingsrecht
In de vorige kroniek werd duidelijk dat online platforms in het middelpunt van de aandacht van mededingingsautoriteiten stonden. Dit bleef onverminderd het geval.
De Europese Commissie trapte 2019 af met (nogmaals) een miljardenboete voor Google – dit keer voor Google AdSense for Search, het product waarmee advertenties worden getoond tussen de zoekresultaten op websites van derde partijen. Google had exclusieve afspraken met deze websites gemaakt, waardoor het andere aanbieders van advertentiediensten (vrijwel) onmogelijk werd om in de zoekresultaten op deze website voor te komen.[121] Daarnaast beboette de Commissie het gaming platform Steam voor het maken van geo-blocking afspraken.[122] De Commissie is verder vier onderzoeken gestart naar Amazon en Apple. Het eerste Amazon-onderzoek gaat over het gebruik van concurrentiegevoelige informatie van derde handelaren die gebruik maken van de online marktplaats.[123] In november 2020 heeft de Commissie een tweede onderzoek gestart naar mogelijke voorkeursbehandeling van Amazon’s eigen producten op het platform.[124] In juni 2020 begon de Commissie twee onderzoeken naar Apple. Het eerste onderzoek betreft het verplichte gebruik van het Apple betalingssysteem in de App Store (met 30% commissie voor Apple)[125], het tweede het weigeren van toegang tot de NFC-chip in de IPhones.[126]
Opvallend genoeg is de ACM in april 2019 (App Store)[127] en in december 2020 (NFC-chip)[128] precies dezelfde onderzoeken naar Apple gestart.[129] Deze onderzoeken waren de uitkomst van uitgebreide marktstudies naar de markt voor appstores[130] en de betaalmarkt & Big Tech.[131] De ACM heeft tevens onderzoek gedaan naar de risico’s van betaalde ranking voor consumenten en concurrentie, en doet vervolgonderzoek naar de rol van transparantie in dit kader.[132] Tot slot heeft de ACM in een drietal fusiebesluiten toezeggingen afgedwongen toegang tot essentiële data onder gelijke of zelfs FRAND-voorwaarden waarborgen.[133]
Hoewel de toezichthouders dus niet zijn opgehouden met het inzetten van het mededingingsrecht tegen mogelijk misbruikelijke gedragingen van Big Tech-bedrijven, hebben ook zij de beperkingen van het klassieke mededingingsrecht ingezien. Deze beperkingen kunnen met een zin worden samengevat: It’s simply too slow.[134] Voordat de toezichthouder klaar is met een onderzoek, is het kwaad al geschied. Ondanks de forse boete van de Europese Commissie, kan een telefoonfabrikant (anders dan Apple) geen telefoon verkopen zonder Android.[135] Zelfs van de strenge gedragsmaatregelen uit de Google Shopping-zaak wordt gesteld dat deze in de praktijk geen enkel verschil maken.[136]
De belangrijkste vragen uit de vorige kroniek, “Is het mededingingsrecht voldoende flexibel om ook op de digitale economie toepasbaar te zijn?” en “Is aanvullende regelgeving noodzakelijk?”, zijn ondertussen in de ogen van vrijwel alle betrokken partijen beantwoord: Nee, het mededingingsrecht is niet genoeg en ja, er moeten extra regels komen. De discussie ging dan ook niet langer over de vraag of er regelgeving moest komen, maar over de vraag hoe deze regels er dan uit moeten zien.[137]
Een vroege poging om het speelveld gelijker te trekken werd in juni 2019 ondernomen met de platform-to-business (P2B) Verordening.[138] De Verordening, die vanaf juli 2020 van toepassing is, introduceert met name transparantie- en zorgvuldigheidseisen voor zakelijke gebruikers van online tussenhandelsdiensten en online zoekmachines. Materiële eisen aan het gedrag van online platforms ontbreken in de P2B Verordening, waardoor het kernprobleem eigenlijk niet geadresseerd wordt: zakelijke gebruikers kunnen vaak niet vertrekken bij online platforms, vanwege het ontbreken van een level playing field.
In december 2020 kwam de Europese Commissie met haar langverwachte Digital Markets Act (DMA) voorstel.[139] Hieronder drie opvallende punten uit de DMA:
- Selectie van platforms die worden gereguleerd. De Commissie bakent de ondernemingen in de digitale sector die binnen het bereik van de DMA vallen op de volgende manier af. Ten eerste moet de onderneming een ‘kernplatformdienst’ aanbieden. Hieronder vallen online tussenhandelsdiensten (bv. Amazon), zoekmachines (bv. Google), sociale netwerken (bv. Instagram), video platforms (bv. YouTube), nummeronafhankelijke elektronische communicatiediensten (bv. WhatsApp), besturingssystemen (bv. iOS), cloud-diensten (bv. AWS) en advertentiediensten (bv. Google Display Network). Ten tweede moet de aanbieder van een kernplatformdienst kwalificeren als een poortwachter (gatekeeper). Dit wordt bepaald aan de hand van drie criteria, die alledrie zijn vertaald in kwantitatieve benchmarks: i) aanzienlijke impact op de markt, ii) beheer van belangrijke toegangspoort voor klanten en iii) stevig verankerde en duurzame positie.[140] Het idee is dat een onderneming daarmee relatief eenvoudig zelf kan bepalen of hij zal worden gereguleerd, maar de praktijk zal ongetwijfeld weerbarstiger zijn. Zo groeit het aantal overlappende definities in EU-plaformreguleringsland in razend tempo door, terwijl de bestaande definities al voor genoeg problemen zorgen.[141]
- Verplichtingen voor poortwachters. De DMA bevat twee – vrij gedetailleerde – lijsten met verplichtingen voor poortwachters – de ene lijst kan direct door de poortwachter worden toegepast, de andere vereist nog nadere uitwerking door het betrokken platform. De direct toepasbare lijst bevat een verbod op het combineren van persoonsgegevens van gebruikers, een verplichting om prijsinformatie te geven bij advertentiediensten, en een reeks verplichtingen die beogen om contractuele lock-in van zakelijke gebruikers te voorkomen.[142] De lijst die nog uitwerking behoeft bevat verplichtingen die zien op het gebruik van data van derden, standaard geïnstalleerde apps, non-discriminatie van producten van derden, dataportabiliteit en toegang tot door het platform gegenereerde data. Beide lijsten van verplichtingen gelden in beginsel voor alle poortwachters.[143]
- Europese Commissie en nationale autoriteiten. De Europese Commissie heeft de bevoegdheid om de status van poortwachter toe te kennen, de lijst met verplichtingen aan te passen of aan te vullen, en sancties op te leggen als een poortwachter zich structureel niet aan de verplichtingen houdt (die variëren van toezeggingen en hoge boetes tot het in het uiterste geval opbreken van de onderneming). De rol van de Lidstaten in het voorstel is beperkt. Lidstaten wordt expliciet verboden om andere regelgeving te introduceren voor poortwachters die ziet op het herstellen van het level playing field. De rol van nationale toezichthouders is beperkt – alleen wanneer zij zitting hebben in het comité dat de Commissie bij haar besluiten adviseert, hebben zij iets in de melk te brokkelen.[144]
Ondertussen hebben sommige (voormalige) lidstaten al eigen regelgeving geïntroduceerd. In het VK heeft de mededingingstoezichthouder geadviseerd om een gespecialiseerde toezichthouder op te richten, de geselecteerde platforms een individuele ‘code of conduct’ kan opleggen.[145] In Duitsland zijn ze al een stuk verder: daar heeft het parlement al een voorstel goedgekeurd waarin de toezichthouder ertoe kan overgaan om bepaalde ondernemingen specifieke verboden op te leggen, waarbij zij uit een ‘menu’ van zeven – vrij algemeen omschreven – gedragingen kan kiezen.[146] Wat opvalt aan beide initiatieven, is dat de nationale toezichthouder in verhouding tot het Europese voorstel relatief veel meer vrijheid krijgt om op maat gemaakte maatregelen op te leggen.
Het is afwachten hoe het Europese voorstel uiteindelijk vorm zal krijgen, nadat het Parlement, de Raad én ongetwijfeld vele lobbyisten en academici hun visie op het voorstel hebben gegeven. Eén ding is zeker: het digitale mededingingsrecht staat op het punt om fundamenteel te veranderen.
Wat niet verandert, althans niet ten goede, is het EU-platformreguleringsdefinitieoerwoud dat (potentiële) normadressaten tot wanhoop drijft. Hier besproken nieuwe definities zoals tussenhandelsdienst, onlineplatform, zeer groot onlineplatform (DMA), poortwachter en kernplatformdienst[147] (DMA), overlappen in vooralsnog onzekere mate met bestaande definities als onlinetussenhandelsdienst (P2B-verordening), videoplatformdienst (AVMS-richtlijn), onlinedienst voor het delen van content (DSM-auteursrechtrichtlijn) en nummeronafhankelijke interpersoonlijke communicatiedienst (ECC-richtlijn). Het zijn stuk voor stuk definities die bepalend zijn voor het toepassingsbereik van stevige regels. Of een bepaalde dienst(aanbieder) onder een bepaalde definitie valt, en dus te maken krijgt met bepaalde aanvullende verplichtingen en toezichthouders, kan nog jaren voorwerp zijn van geschillen en prejudiciële verwijzingen. Het heeft ondertussen wel verstrekkende gevolgen, zowel voor de onderneming die de daaraan gekoppelde regels (misschien) moet naleven als voor de ondernemingen en consumenten die daardoor moeten worden beschermd. Die onzekerheid heeft een prijs, ook voor de geloofwaardigheid van de EU als gidscontinent voor techregulering en broedplaats voor de techkampioenen van morgen.
De ontluikende Europese datarechtsorde
AVG
De ontwikkelingen van de afgelopen twee jaar in het kader van de Algemene Verordening Gegevensbescherming (AVG) zijn zo omvangrijk dat er meer dan genoeg is om een specifieke AVG-kroniek te vullen. In deze kroniek beperken we ons tot de technologie-gerelateerde ontwikkelingen en signaleren we relevante trends, wetgeving en rechtspraak. Voor een meer alomvattend overzicht verwijzen wij naar drie specifieke AVG-kronieken.[148]
Trends
Enkele jaren na zijn inwerkingtreding is duidelijk dat de AVG wereldwijde impact heeft. Niet alleen omdat de territoriale werkingssfeer van de AVG nogal ruim is en omdat de AVG regels bevat voor internationale gegevensdoorgifte, maar ook omdat de AVG als inspiratiebron geldt voor wetgevers over de hele wereld. Zo spelen de Europese gegevensbeschermingsregels een grote rol in de mondiale ontwikkeling van het recht op gegevensbescherming.[149]
Een zorgelijke ontwikkeling in de afgelopen kroniekperiode is de (toenemende en) grote hoeveelheid (bij de AP gemelde) datalekken, in het bijzonder naar aanleiding van hacking, phishing en/of malware-incidenten[150], waarschijnlijk als gevolg van de coronapandemie.[151] De meeste datalekken vinden (nog altijd) plaats in de financiële dienstverlening en de zorg, gevolgd door het openbaar bestuur. De AP gaf na de eerste helft van 2019 tips aan zorginstellingen om datalekken te voorkomen.[152] Dat lijkt niet helemaal te hebben geholpen, want nadat de GGD eerder al in opspraak kwam wegens een datalek bij de coronatestlijn, ontdekte RTLNieuws begin 2021 een grootschalig lek in de systemen van de GGD, waarin gegevens zijn opgeslagen omtrent de registratie van coronatests en bron- en contactonderzoek, en bleek een grote hoeveelheid data te zijn doorverkocht.[153] De AP luidde in maart 2021 de noodklok wegens explosieve toename van hacks en datadiefstal.[154] Niet lang daarna moest de AP alweer melden dat zij nog eens 75 datalekmeldingen had ontvangen vanwege lekken in Microsoft Exchange-servers, waardoor 1200 Nederlandse servers blijken te zijn geïnfecteerd.[155]
De grote hoeveelheid datalekken, en eveneens toenemende grote hoeveelheid klachten[156] over vermeende privacyschendingen roept de vraag op of de AP voldoende geëquipeerd is hieraan adequaat opvolging te geven.[157] Ondanks een meer dan verdubbeling van het budget van de AP in de afgelopen jaren[158], sprak de voorzitter van de AP zelf, Aleid Wolfsen, in een interview van achterstanden “zo groot dat het lachwekkend is”.[159] Het is nu aan het nieuwe (nog te formeren) kabinet om te beslissen over een verdere verhoging van het budget[160], onder andere op basis van een rapport van KPMG[161] en de eigen begroting van de AP[162].
Een andere trend die het signaleren waard is, is het spanningsveld tussen de AVG en andere rechtsgebieden, in het bijzonder het mededingingsrecht. Zo werd het besluit van Google om third party cookies voortaan te weren weliswaar positief ontvangen door de privacy-gemeenschap, maar heeft dat besluit ook geleid tot grote consternatie bij partijen die van dergelijke cookies afhankelijk zijn voor advertentie-inkomsten. De claim is dat Google met die beslissing in strijd handelt met het mededingingsrecht.[163] Ook in de rechtsliteratuur wordt gewaarschuwd voor een opeenstapeling van boetes van zowel mededingings-, consumenten- en persoonsgegevensautoriteiten voor hetzelfde datagebruik.[164]
Wetgeving
Aan de AVG zelf wordt voorlopig niet gesleuteld. Wel wachten we nog altijd op de komst van een nieuwe e-Privacyverordening. De e-Privacyverordening zal regelen in hoeverre elektronische communicatiegegevens en metadata mogen worden verwerkt en regelt bijvoorbeeld ook het gebruik van cookies. Na jaren onderhandelen in de Raad, is het begin 2021 gelukt om te komen tot een aangepast voorstel.[165] De trilogen met het Europees Parlement kunnen dus beginnen, maar die worden niet per se gemakkelijk, aangezien de Commissie en het Europees Parlement strengere regels willen dan de (lidstaten in de) Raad. Het Europees Parlement wil bijvoorbeeld een verbod op cookiewalls, terwijl de Raad dat wel wil toestaan. Ondanks de kleine doorbraak, lijkt het onwaarschijnlijk dat de e-Privacyverordening voor 2025 van kracht wordt.
Beleidsregels en andere guidance
De European Data Protection Board (EDPB), het gezaghebbend adviesorgaan waarin alle EU privacytoezichthouders zijn vertegenwoordigd, heeft een grote hoeveelheid nieuwe richtsnoeren en aanbevelingen aangenomen, waarin nadere uitleg wordt gegeven aan de AVG en van grote relevantie zijn in de praktijk.[166]
Ook de AP kan nadere (praktische) guidance geven en doet dat in de vorm van beleidsregels, informatiebladen, handleidingen, en Q&A’s op de website. Twee documenten van de AP hebben in de kroniekperiode tot wat opschudding geleid. Ten eerste de normuitleg over cookiewalls, waarin de AP definitief een streep zet door de cookiewall, terwijl er op Europees niveau nog volop discussie is over de toelaatbaarheid van cookiewalls.[167] Ook de normuitleg over het gerechtvaardigd belang lijkt uit de pas te lopen met de Europese visie.[168] De AP stelt kort gezegd dat zuiver commerciële belangen geen gerechtvaardigd belang kunnen zijn. Deze uitleg gaf begrijpelijkerwijs aanleiding tot flinke discussie, want die laat in veel gevallen alleen nog de grondslag van toestemming over.[169] De rechtbank heeft AP’s controversiële interpretatie van het gerechtvaardigd belang overigens verworpen en stelt in een procedure over een boetebesluit dat de AP had opgelegd aan VoetbalTV vast dat het gaat om een negatieve toets: een belang dat niet in strijd is met de wet is gerechtvaardigd.[170] In 2020 heeft het gros aan nieuwe guidance van de AP betrekking op de coronapandemie.[171]
Handhaving
De achillespees van de AVG is handhaving. De AP krijgt mogelijk een flinke budgetverhoging, maar het is de Ierse toezichthouder die daadwerkelijk invloed kan uitoefenen, omdat zij toezicht houdt op de Amerikaanse techreuzen.[172] De druk op de Ierse privacytoezichthouder om tot daadwerkelijke handhavingsacties over te gaan neemt dan ook toe.[173] Ondertussen is de focus van de AP verschoven van voorlichting in 2018 naar handhaving vanaf 2019 met een aantal boetes en lasten tot dwangsom tot gevolg.[174] In de periode 2020 tot 2023 zal de AP extra nadruk te leggen op datahandel, digitale overheid en AI en algoritmes.[175] Terwijl de AP het in 2019 nog grotendeels hield bij vrij onschuldige steekproefsgewijze controles[176], volgden daarna een aantal sancties en boetes van serieuze omvang. Blijkens haar website heeft de AP tenminste zeven bestuurlijke boetes, acht keer een last onder dwangsom[177], eenmaal een berisping en eenmaal een formele waarschuwing opgelegd.
De bestuurlijke boetes zagen op het te laat melden van een datalek (Uber, in 2018), slechte beveiliging van patiëntendossiers (HagaZiekenhuis en OLVG),[178] de verkoop van ledengegevens (KNLTB), het in rekening brengen van kosten voor inzage (BKR) en gebruik van vingerafdrukken van werknemers[179].[180] De boetes variëren van €440.000 tot €830.000 en bleven daarmee nog (ver) weg van de maximale boete van 20 miljoen of 4% van de globale jaaromzet van de overtreder. De AP heeft pas één keer besloten tot een verwerkingsverbod, welke is opgelegd aan de Belastingdienst wegens het onrechtmatig verwerken van het BSN in btw-nummers van zelfstandigen.[181] Er zijn enkele nuttige overzichtsartikelen verschenen over een aantal van deze boetes.[182]
De AP heeft momenteel nog enkele (verkennende) onderzoeken lopen[183], bijvoorbeeld naar de ontwikkeling van smart cities[184], betaalrekeninginformatiediensten met een PSD2-vergunning[185], connected cars)[186], en naar verwachting zal zij zich de komende periode eveneens richten op het uitwerken van haar toezicht op AI en algoritmes waarin persoonsgegevens worden gebruikt.[187] In 2020 heeft de AP in haar hoedanigheid van coronaprivacytoezichthouder onder meer onderzoek gedaan naar corona-apps, online (video)bellen en online proctoring in het onderwijs.[188] De Amsterdamse voorzieningenrechter oordeelde overigens dat de UvA niet in strijd handelde met de AVG door online proctoring in te zetten.[189]
Ondanks de klachten over beperkte capaciteit van de AP, verwachten we meer handhavingsbesluiten in de komende periode, onder andere naar aanleiding van de Toeslagen-affaire[190] en een onderzoek naar TikTok.[191]
Rechtspraak
Het Hof van Justitie van de EU heeft in de zomer van 2020 voor opschudding gezorgd door in de Schrems II-uitspraak[192] niet alleen het EU-U.S. Privacy Shield ongeldig te verklaren, maar ook te bepalen dat doorgifte van persoonsgegevens naar derde landen op basis van modelcontractbepalingen niet per definitie rechtmatig is. In november 2020 is de EDPB data-exporters te hulp geschoten met een tweetal aanbevelingen op basis waarvan data-exporters kunnen beoordelen of en zo ja welke aanvullende maatregelen nodig zijn.[193] Na ongeldigverklaring van eerst de Safe Harbour en nu het EU-U.S. Privacy Shield, is momenteel nog geen zicht op een eventueel nieuw instrument voor rechtmatige doorgifte naar de Verenigde Staten.[194] De combinatie van de onduidelijkheid van het juridische kader en het economische belang van internationale datadoorgifte maakt dat er ons zeker nog verdere ontwikkelingen te wachten staan op dit vlak. Ondanks de effectuering van Brexit, wordt doorgifte van persoonsgegevens naar het Verenigd Koninkrijk tot 30 juni 2021 niet aangemerkt als doorgifte naar een derde land.[195] Voor de periode daarna heeft de Europese Commissie een adequaatheidsbesluit voor dit land in de maak.[196]
Het Hof oordeelde in Fashion ID[197] dat een websitebeheerder die een Facebook plug-in gebruikt verwerkingsverantwoordelijke is voor het verzamelen en het doorsturen van deze gegevens. ACM ging daar trouwens altijd al van uit.[198] In Planet49 oordeelde het Hof – in lijn met de visie van de AP – dat geen geldige toestemming voor het gebruik van cookies wordt verkregen met een standaard aangevinkt selectievakje.[199] Het Hof herhaalt zich enigszins in Orange Romania[200] door te oordelen dat geen geldige toestemming is verkregen middels een overeenkomst waarin toestemmingsvragen zijn opgenomen die vooraf zijn aangevinkt.
Voor de liefhebber publiceerden Canneyt, Bertrand, Crouzet en Vanderdonckt een zeer uitgebreid overzicht van alle privacy-uitspraken van het Hof van Justitie sinds 1995.[201]
Er wordt in Nederland steeds vaker geprocedeerd over het gegevensbeschermingsrecht[202], meestal over het recht op inzage, correctie of verwijdering van hun persoonsgegevens.[203] Belangrijk om te noemen zijn de 1 april-uitspraken van de Afdeling bestuursrechtspraak[204] waarin de Afdeling voor het eerst schadevergoeding toewees wegens onrechtmatige verwerking van persoonsgegevens.[205] Voor de beoordeling daarvan zoekt de Afdeling aansluiting bij het Nederlands aansprakelijkheidsrecht en jurisprudentie van de Hoge Raad over schade wegens schending van fundamentele rechten[206], en achtte prejudiciële vragen over artikel 82 AVG niet nodig.[207] Nadien hebben verschillende rechtbanken de lijn van de Afdeling gevolgd en schadevergoeding van enkele honderden euro’s toegekend.[208] De voorzitter van de AP, Aleid Wolfsen, heeft in reactie op deze uitspraken opgemerkt dat smartengeld wegens strijd met de AVG regel en geen uitzondering is, ook als sprake is van ‘gewone’ persoonsgegevens, en roept op om dit “(nog) duidelijker” in de wet op te nemen.[209]
Recent heeft een rechtbank geoordeeld dat concurrenten zich niet rechtstreeks op de AVG kunnen beroepen, hoewel toewijzing van schadevergoeding wegens schending van de AVG door een concurrent nog wel mogelijk lijkt indien deze schending kwalificeert als een oneerlijke handelspraktijk, bijvoorbeeld als de concurrent onvoldoende of onjuist informeert omtrent de gegevensverwerking.[210]
Open Data en Data Governance
De Europese wetgever is niet gestopt na de AVG, maar bouwt hard verder aan een ‘datagestuurde economie’ met ‘eerlijke, praktische en duidelijke regels’ voor de toegang tot, en het gebruik van, data. Doel is een interne markt voor data waar gegevens binnen de hele Europese Unie, door alle sectoren, kunnen stromen. De Commissie schat de waarde van deze data-economie in 2025 op 829 miljard euro, met 175 zettabyte aan data wereldwijd en ruim 10 miljoen mensen werkzaam in de Europese datasector.[211]
Een van de speerpunten van Europa’s digitale strategie is toegang tot high-quality data.[212] Sinds 2013 zijn overheden verplicht om openbare overheidsinformatie beschikbaar te stellen voor (commercieel en niet-commercieel) hergebruik.[213] Dat regulatoire regime is verder aangescherpt met de Open Data Richtlijn die op 16 juli 2019 werd vastgesteld.[214] De Open Data Richtlijn stimuleert overheden om dynamische gegevens via API’s beschikbaar te stellen, waar mogelijk real-time. Regels over het in rekening brengen van meer dan marginale kosten, de inzet van een databankenrecht en exclusieve overeenkomsten worden aangescherpt.[215] Nieuw is de introductie van ‘hoogwaardige datasets’, die volgens de Europese wetgever bijzonder geschikt zijn voor het ontwikkelen van daarop gebaseerde toepassingen en diensten zodat hergebruik ervan temeer voordelen biedt voor de samenleving en de economie.[216] De Richtlijn wijst thematische categorieën aan waarbinnen door de Europese Commissie vast te stellen hoogwaardige datasets beschikbaar moeten zijn.[217] De richtlijn moet voor 16 juli 2021 in nationale wetgeving worden omgezet, maar de Nederlandse implementatie ligt niet op schema.[218] Op 25 november 2020 complementeerde de Europese wetgever de bestaande datawetgeving met een voorstel voor een Data Governance Act.[219] Doel is om hergebruik verder te bevorderen met een nieuw regime voor ‘data intermediaries’, regels over het delen van bepaalde beschermde gegevens en door ‘gegevensaltruïsme’ te faciliteren.[220]
Blockchaintechnologie en NFT’s
Blockchaintechnologie was al jaren booming als onderwerp voor afstudeerscripties en juridische congressen, maar begint de hype waar te maken. De groeiende populariteit van bitcoin en andere cryptovaluta heeft de afgelopen kroniekperiode geleid tot rechtspraak en publicaties, over klassieke onderwerpen zoals juridische kwalificatie[221] en (dus) beslaglegging[222] en over meer specifieke aspecten als witwassen[223] en grondrechten.[224] Grote technologie- en fintechbedrijven hebben inmiddels voor miljarden aan bitcoin op de balans staan,[225] waarmee de technologie inmiddels definitief (?) de mainstream heeft bereikt.
Een blockchain-toepassing die nog wat vroeger op de hype cycle zit is de zogenoemde non-fungible token (NFT). Daarmee wordt één exemplaar van een verder eindeloos reproduceerbaar digitaal bestand voorzien van een een digitaal, op een blockchain geregistreerd en dus traceerbaar, zelfstandig verhandelbaar ‘echtheidscertificaat’. Een NFT maakt het mogelijk om enig eigenaar te zijn van een digitaal bestand. Kunstenaar Beeple verkocht de ‘originele’ versie van een digitaal kunstwerk (een grote maar overigens doodgewone jpeg) voor $ 69 miljoen aan anonieme NFT-pionier Metakovan.[226] Twitter-oprichter Jack Dorsey veilde zijn eerste tweet (“just setting up my twttr”) voor het goede doel voor $ 2,9 miljoen.[227] Net als bij fysieke dragers van eenvoudig reproduceerbare kunstwerken (etsen, foto’s, video’s) krijgt de koper het alleenrecht op het exemplaar, maar nog geen (auteurs)rechten op het onderliggende werk. En misschien is het (overigens nogal stroomslurpende) ‘minten’ van een NFT zelf een (beschermbare?) vorm van performance art?[228] NFT’s kunnen digitale bestanden uniek, authentiek, traceerbaar en verhandelbaar maken. Zij kunnen een nieuwe goldrush inluiden voor allerhande virtuele media, markten en diensten, gefaciliteerd door rechtstreekse cont(r)acten tussen makers en fans en automatisch afgedragen volgrechtbetalingen bij doorverkoop.[229]
Uiteraard is niet iedereen overtuigd dat performatief pronken met digitale verzamelobjecten een blijvertje is, en dat de NFT het mecenaatsvehikel kan worden voor een digitale renaissance.[230] Volgens Bloomburg-columnist Matt Levine gaat het bij NFT’s eerder om verhandelbare opzichtigheid dan verhandelbare eigendom.[231] Ook dat is echter niet nieuw. De naam van Bernward von Hildesheim glimt nog altijd op de kerkdeur die hij in 1015 ob monimentum sui liet bouwen. De 15e-eeuwse Florentijnse handelaar Giovanni Rucellai liet zijn naam nog opzichtiger graveren op de door hem gefinancierde nieuwe geval van de Santa Maria Novella in Florence; dergelijke kapitale cultuuruitgaven schonken hem “de meeste voldoening en het meeste genot omdat de glorie van God, de eer van de stad en de nagedachtenis aan mijzelf ermee gediend zijn.” Hij hechtte naar eigen zeggen meer belang aan het zichtbaar goed uitgeven van geld dan aan van het verdienen ervan.[232] Deze ijdele mecenassen kregen voor hun geld echter niet alleen aardse en hemelse roem, maar ook een echte kerkdeur c.q. -gevel: de tijd zal leren of een duurzaam makersklimaat kan worden gebouwd op een fundament van virtuele eigendomsbewijzen die alleen op de blockchain bestaan. Ondertussen druppelen de juridische analyses binnen.[233]
Surveillance
Op 20 januari 2021 publiceerde de Commissie Jones-Bos haar evaluatie van de Wet op de Inlichtingen- en Veiligheidsdiensten 2017 (Wiv 2017).[234]Artikel 167 van de wet schrijft voor dat de wet iedere vijf jaar wordt geëvalueerd, het evaluatieproces werd echter al twee jaar na inwerkingtreding van de wet gestart vanwege de “stevige maatschappelijke discussie” daarover. Volgens de Commissie werkt de Wiv 2017 over het algemeen goed, maar zijn er een aantal verbeterpunten (vooral) om de wet werkbaarder te maken. Er moet één regime komen voor het verzamelen van bulkdatasets, ongeacht de bevoegdheid die daarvoor wordt gebruikt, en de gegevensverstrekking aan buitenlandse inlichtingendiensten moeten van steviger waarborgen worden voorzien. De Commissie vindt dat het gecombineerde toezicht, vooraf door de Toetsingscommissie Inzet Bevoegdheden (TIB) en achteraf door de Afdeling Toezicht van de Commissie Toezicht Inlichtingen en Veiligheidsdiensten (CTIVD) kan worden gehandhaafd, maar raadt aan de scope van de TIB-toetsing te versmallen. Het is volgens de commissie niet nodig om de rechtmatigheidsoordelen van de CTIVD een bindend karakter te geven.[235] De beide toezichthouders luidden daarop de noodklok, met de voorstellen zou het toezicht op de Nederlandse inlichtingendiensten worden uitgehold.[236] In strafrechtelijke context oordeelde de Hoge Raad dat het verplicht ontgrendelen van een smartphone door de vinger van een gedachte tegen het scherm te houden is toegestaan, mits proportioneel.[237] De Haagse rechtbank deed het algoritmesysteem Syri van de Nederlandse overheid in de ban. De overheid knoopte met het ‘Systeem Risico-Indicatie’ allerlei gegevens aan elkaar om fraude op te sporen, maar maakte daarbij feitelijk alle burgers bij voorbaat verdacht, in strijd met fundamentele rechten.[238] Het EHRM verklaarde een klacht over hackbevoegdheden in het Verenigd Koninkrijk niet-ontvankelijk, omdat de nationale remedies nog niet waren uitgeput.[239] Het Hof van Justitie oordeelde dat het EU-recht zich verzet tegen een algemene en niet-gerichte bewaarplicht van communicatiegegevens ten behoeve van misdaadbestrijding of staatsveiligheid.[240] Ook staan de e-Privacyrichtlijn en het Handvest er volgens het Europese Hof aan in de weg staat dat opsporingsautoriteiten toegang hebben tot communicatiegegevens op basis waarvan gedetailleerde conclusies over iemands privéleven kunnen worden getrokken. Volgens het Hof is dat uitsluitend toegestaan voor de bestrijding van ernstige criminaliteit en bij ernstige bedreigingen van de openbare veiligheid.[241]
Afronding
De EU tracht zich nadrukkelijk te ontwikkelen tot een zelfbewust, digitaal soeverein gidsland voor techregulering. Zij loopt echter nog steeds weg voor scherpe keuzes tussen tegenstrijdige doelstellingen, zoals privacy en mededinging, of consumentenbescherming en innovatiebevordering. Waar het Big Tech debat in de VS nog vaak draait om uitersten – het absolute censuurverbod van het First Amendment, “break them up”-impulsen uit het mededingingsrecht, miljardenclaims – richt de EU zich op gedetailleerde, probleemgerichte en steeds meer asymmetrische marktregulering. Er is veel te zeggen voor maatwerk. Een keerzijde van die aanpak is wel dat er voor elk probleem aparte regels worden opgesteld, met eigen definities en toezichthouders, zonder oog voor de coherentie en leefbaarheid van het geheel. Een samenhangend, systematisch doordacht Europees technologierecht is nog enkele kronieken weg.
[1] De auteurs zijn advocaat bij Brinkhof in Amsterdam. Zij danken hun kantoorgenoten Sophie ten Bosch, Hanneke Kooijman, Leonie van Sloten en Bart Tromp voor hun waardevolle bijdragen aan de totstandkoming van deze kroniek. De kroniek bestrijkt de periode maart 2019 – maart 2021.
[2] Over het bestaan(srecht) en de reikwijdte van zoiets als “internetrecht” of “technologierecht”, zie onze eerdere kronieken (NJB 2012/2022; NJB 2014/1836; NJB 2016/1822; NJB 2019/835); A.P. Engelfriet, ‘Naar een definitie van het begrip ‘internetrecht’, Tijdschrift voor Internetrecht 2019 nr. 3/4; en R. Leenes, ‘Of Horses and Other Animals of Cyberspace’. Technology and Regulation, 2019, 1-9.
[3] Ch.A. Alberdingk Thijm, ‘Kroniek van technologie en recht’, NJB 2007, 691. De kroniek van B.J. Koops en C. Stuurman in NJB 2004, nr. 10 (2004) droeg nog de naam ‘Kroniek van het ICT-recht’ maar bestreek grotendeels dezelfde terreinen.
[4]NJB 2019/835.
[5] Zie bijvoorbeeld: Dimitri Tokmetzis en Maurits Martijn, ‘Technologiebedrijven vormen de basis van de samenleving. Door corona is dit een steeds groter probleem’, De Correspondent 24 maart 2021.
[6] ‘Angela Merkel wil Trumploos Twitter toetsen via de rechter’, Volkskrant 11 januari 2021. Zie ook: A. Strijbos, ‘Wie beslist of Trump weer online mag?’, Mediaforum 2021-1, p. 1.
[7] ‘Rekenkamer: te weinig aandacht voor discriminatie bij gebruik algoritmes door overheid’, Trouw 26 januari 2021; Algemene Rekenkamer, Aandacht voor algoritmes, 14 januari 2021, Kamerstukken II 2020-2021, 26643, nr. 737.
[8] Zie o.a. de IE-Kroniek van Dirk Visser en Simon Dack elders in dit nummer.
[9] Zie o.a. Esther van Genuchten, Reinoud Westerdijk & Robert van Schaik, ‘Kroniek IT-recht’, Advocatenblad 2020, pp. 80-88; en Advocatenblad 2021, pp. 57-64; en P.G. van der Putt, ‘Update Nederlandse IT-wanprestatiejurisprudentie’, Computerrecht 2019/214.
[10] Lambèr Royakkers, Jurriën Hamer & Rinie van Est, ‘Onder de schaduw van cyberoorlog. Oplossingsrichtingen voor de de-escalatie van het cyberconflict’, NJB 2020/1640.
[11] Petra Chao, ‘Het juridische speelveld van drones’, NJB 2020/234.
[12] Corrette Ploem, Martina Cornel & Sjef Gevers, ‘Commercieel aanbod van DNA-tests. Ruim baan voor vrije markt en zelfbeschikking?’, NJB 2019/1994.
[13] Britta van Beers, ‘Welkom in de CRISPR-dierentuin. Juridische grenzen aan genetische modificatie van het nageslacht in het CRISPR-tijdperk’, NJB 2019/1371.
[14] S. De Schrijver, ‘Quantum Computing: de zekerheid van het onzekere’, Computerrecht 2019/216.
[15] E.L.O. Keymolen, M.E. Noorman en B. van der Sloot, ‘Gezichtsherkenning in Nederland: een toekomstperspectief’, Tijdschrift voor Internetrecht 2020/6.
[16] Jan-Jaap Oerlemans & Ymre Schuurmans, ‘Internetonderzoek door bestuursorganen’, NJB 2019/1132.
[17] René Jansen, ‘Aandachtspunten bij het gebruik van de videoconferentie in civiele procedures’, NJB 2020/2301. Voor een overzicht van digitale coronaperikelen in het burgerlijk procesrecht, zie Robert Hendrikse e.a., ‘Kroniek burgerlijk procesrecht 2020’, Advocatenblad 2021-2, p. 62.
[18] B.F.H. Nieuwesteeg, L.T. Visscher, M.G. Faure & N. Brouwer, ‘Contractuele aansprakelijkheid voor digitale onveiligheid in B2B relaties’, AV&S 2020/22; N. Falot, ‘Cybersecurity in 2019: een beknopt overzicht van juridisch relevante ontwikkelingen’, TvI 2020-1.
[19] Bart Custers pleitte in dit blad (‘Nieuwe digitale (grond)rechten’, NJB 2019/2775) voor erkenning van nieuwe, aanvullende (grond)rechten voor het digitale tijdperk, zonder (al te veel) gebonden te zijn aan reeds bestaande grondrechten. Hij opperde onder meer een recht om offline te zijn, een recht om niet te weten, een recht om van gedachten te veranderen, het recht op een schone lei, een recht om de waarde van je gegevens te weten, en een recht op een schone en veilige digitale omgeving. Het artikel van Custers was onderdeel van een breder NJB-themanummer (2019 afl. 44) over ‘recht in het digitale tijdperk’, met artikelen over de juridische randvoorwaarden voor een datagedreven samenleving, effectieve rechtsbescherming bij algoritmische besluitvorming in het bestuursrecht, en artificiële intelligentie en risicotaxatie in het strafrecht.
[20] Netneutraliteit: HvJ EU 15 september 2020, ECLI:EU:C:2020:708 (Telenor Magyarorszá), Tijdschrift voor Internetrecht 2020-6 m.nt. Marc Peeters; R.G. Waterman, ‘Vijf jaar netneutraliteit in de EU: de stand van zaken’, Computerrecht 2021/4; Hanneke Kooijman, ‘Waar loopt een internetprovider tegenaan bij de Netneutraliteitregels? Een overzicht van de Europese praktijk’, Mediaforum 2020/4.
[21] M. Poulus, ‘De val van de cookiewall? Over de (on)houdbaarheid van cookiemuren onder de AVG, de e-Privacyrichtlijn en de toekomstige e-Privacyverordening’, Tijdschrift voor Internetrecht 2019, afl. 3-4, p. 93-102.
[22] T. Dobber, R. Fathaigh & F. Zuiderveen Borgesius, ‘The regulation of online political micro-targeting in Europe’, Internet Policy Review 2019, afl. 4; P. Leerssen e.a., ‘Platform ad archives: promises and pitfalls’, Internet Policy Review 2019, afl. 4.
[23] Verordening (EU) 2019/1150 van het Europees Parlement en de Raad van 20 juni 2019 ter bevordering van billijkheid en transparantie voor zakelijke gebruikers van onlinetussenhandelsdiensten, van toepassing met ingang van 12 juli 2020.
[24] Wet van 30 september 2020, houdende wijziging van de Mediawet 2008 in verband met de implementatie van Richtlijn 2018/1808 van het Europees Parlement en de Raad van 14 november 2018 tot wijziging van Richtlijn 2010/13/EU betreffende de coördinatie van bepaalde wettelijke en bestuursrechtelijke bepalingen in de lidstaten inzake het aanbieden van audiovisuele mediadiensten (richtlijn audiovisuele mediadiensten) in het licht van een veranderende marktsituatie, Stb. 2020, 391; in werking getreden per 1 november 2020, zie artikel II.
[25] Wet van 16 december 2020 tot wijziging van de Auteurswet, de Wet op de naburige rechten, de Databankenwet en de Wet toezicht en geschillenbeslechting collectieve beheersorganisaties auteurs- en naburige rechten in verband met de implementatie van Richtlijn (EU) 2019/790 van het Europees parlement en de Raad van 17 april 2019 inzake auteursrechten en naburige rechten in de digitale eengemaakte markt en tot wijziging van de Richtlijnen 96/9/EG en 2001/29/EG (Implementatiewet richtlijn auteursrecht in de digitale eengemaakte markt), Stb. 2020, 558; treedt grotendeels in werking op 7 juni 2021, zie Stb. 2020, 559.
[26] De zogenoemde Digital Services Act (DSA): Voorstel voor een verordening van het Europees Parlement en de Raad betreffende een eengemaakte markt voor digitale diensten (wet inzake digitale diensten) en tot wijziging van Richtlijn 2000/31/EG, COM(2020) 825 final d.d. 15 december 2020.
[27] De zogenoemde Digital Markets Act (DMA): Voorstel voor een verordening van het Europees Parlement en de Raad over betwistbare en eerlijke markten in de digitale sector (wet inzake digitale markten), COM(2020) 842 final d.d. 15 december 2020.
[28] Social media usage in Europe – Statistics & Facts’ (Statista, 10 February 2020), https://www.statista.com/topics/4106/social-media-usage-in-europe, geraadpleegd op 25 maart 2021.
[29] A. Strijbos, Wie beslist of Trump weer online mag?, Mediaforum 2021-01.
[30] Zie bijv. ook: J. Vincent, ‘Zoom cancels talk by Palestinian hijacker Leila Khaled at San Francisco State University’, The Verge 24 september 2020.
[31] R. Blommestijn, M. Klos, ‘Een giftige paddestoel voor de vrijheid van meningsuiting, Bol.com en het verbieden van ‘foute’ boeken’, NJB 2020/1209.
[32] Zie voor een gedetailleerde bespreking van de reikwijdte en grenzen van de artikel 10 EVRM en de uitingsvrijheid online, W. Benedek & M.C. Kettemann, Freedom of Expression and the Internet (tweede editie), Straatsburg: Council of Europe Publishing 2020.
[33]Vgl. bijv. afl. 54 van de podcast Meet Me in the Middle, met J. Balkin over Social Media Regulation & Responsibility van 22 februari 2021, https://www.curtco.com/mmitm-54-jack-balkin-returns; C. Sunstein, Liars: Falsehoods and Free Speech in an age of Deception, 2021, ook via: https://www.youtube.com/watch?v=v26QcgxBD2M; E. Douek, ‘The Rise of Content Cartels’, februari 2020, https://ssrn.com/abstract=3572309.
[34] Vgl. E. Douek, ‘Verified accountability: self-regulation of content moderation as an answer to the special problems of speech regulation’, Hoover Aegis Paper 18 september 2019 via lawfareblog.com.
[35]Het illustreert de inherente kwetsbaarheid van de Oversight Board, die streeft naar de ontwikkeling van ‘global free speech norms’, maar tegelijkertijd oordeelt over Facebookberichten die nauw verweven zijn met lokale culturen. Zie: M. Scott, Facebook’s ‘Supreme Court’ struggles to set global free speech rules, Politico 25 maart 2021.
[36] C. Cauffman, De beschermenswaardigheid van online platforms anno 2000 en 2020: (n)iets nieuws onder de zon?, Ars Aequi 2020/1182.
[37] Hof Amsterdam 23 juni 2020, ECLI:NL:GHAMS:2020:1802 (Plastisch chirurg/Google). De auteurs traden in deze procedure op voor Google.
[38] Vzr. Rb. Amsterdam 11 november 2019, IEF 18816 (Kleermakerij/Google). De auteurs traden in deze procedure op voor Google.
[39]Vzr. Rb. Amsterdam 22 mei 2020, ECLI:NL:RBAMS:2020:2653 (Computerwinkel/Google),Vzr. Rb. Zeeland-West Brabant 24 december 2020, ECLI:NL:RBZWB:2020:6923 (Octrooibureau/Google). De auteurs traden in deze procedures op voor Google.
[40] Vzr. Rb. Den Haag 24 december 2020, ECLI:NL:RBDHA:2020:14372 (Kuchenwelt/X).
[41] Conclusie P-G Drijber 29 januari 2021, ECLI:NL:PHRL2021:83 (DFW/Ziggo).
[42] Hof Amsterdam 2 juni 2020, ECLI:NL:GHAMS:2020:1421 (Brein/Ziggo en XS4ALL).
[43] De dagvaarding kan worden geraadpleegd in het centraal register voor collectieve vorderingen op rechtspraak.nl, of zie de berichtgeving op stichtingbrein.nl.
[44] Wel werd het Microsoft verboden om bestanden definitief te verwijderen. Zie: Vzr. Rb. Midden-Nederland 8 oktober 2020, ECLI:NL:RBMNL:2020:4348 (X/Microsoft), Tijdschrift voor Internetrecht 2021 nr. 1 m.nt. J.J.H. Vos.
[45] Vzr. Rb. Amsterdam 9 september 2020 (ECLI:NL:RBAMS:2020:4435) en 13 oktober 2020 (ECLI:NL:RBAMS:2020:4966), Mediaforum 2020-06 m.nt. W. Hins. De auteurs traden in de eerstgenoemde procedure op voor Google. Zie ook: M. Klos, ‘“Wrongful moderation”. Aansprakelijkheid van internetplatforms voor het beperken van de vrijheid van meningsuiting van gebruikers’, NJB 2020/2976.
[46] Vzr. Rb. Amsterdam 8 september 2020, ECLI:NL:RBAMS:2020:7179 (X en Y/Google). De auteurs traden in deze procedure op voor Google.
[47] Vzr. Rb. Amsterdam 11 november 2019, ECLI:NL:RBAMS:2019:8415 (De Mol/Facebook). Facebook stelde hoger beroep in, maar de zaak werd vervolgens geschikt.
[48] Vzr. Rb. Amsterdam 15 mei 2020, ECLI:NL:RBAMS:2020:2602 (Rik van de Westelaken/Facebook). Zie ook: D.G. Kingma, ‘Van hate speech tot Bitcoinadvertenties: Facebooks aansprakelijkheid voor hosting’, AA 2020/0529.
[49] Rb. Den Haag 17 maart 2021, ECLI:NL:RBDHA:2021:2422 (PVH/Facebook). De auteurs traden in deze procedure op voor Facebook.
[50] Vzr. Rb. Amsterdam 21 december 2018, ECLI:NL:RBAMS:2018:9362 (PVH/Facebook).
[51] Zie voor een algemenere bespreking: M. Senftleben, ‘Intermediary Liability and Trademark Infringement – Proliferation of Filter Obligations in Civil Law Jurisdictions?’, 5 januari 2021, in: n: Giancarlo F. Frosio (ed.), Oxford Handbook of Online Intermediary Liability, Oxford: Oxford University Press 2020, 381-403 (zie ivir.nl).
[52] Volgens het Hof van Justitie maakte Amazon ook geen inbreuk op het merk van Coty Germany door inbreukmakende goederen namens een derde op te slaan, HvJ EU 2 april 2020, ECLI:EU:C:2020:267 (Coty / Amazon). Zie voor een bespreking: G. van der Wal en S. Said, ‘De voortdurende vraag naar de rol van de tussenpersoon in het merkenrecht’, IER 2021-1.
[53] ‘Hoe Nederlandse complotdenkers en virussceptici sociale media telkens te slim af zijn’, NRC 8 maart 2021.
[54] K. Hao, ‘How Facebook got addicted to spreading misinformation’, MIT Technology Review 11 maart 2021.
[55] J.V.J. van Hoboken e.a., WODC-onderzoek: voorziening voor verzoeken tot snelle verwijdering van onrechtmatige online content, Amsterdam 1 september 2020, ivir.nl; S. Kulk, Deepnudes aanpakken met IE-recht, IER 2021/1.
[56] Zie voor een bespreking: G. van Til, ‘Zelfregulering door online platforms, een waar wondermiddel tegen desinformatie?’, Mediaforum 2019, 1; M. Weij, ‘Fake it till you make it’, Tijdschrift voor Internetrecht 2020, 6; J.V.J. van Hoboken e.a., Het juridisch kader voor de verspreiding van desinformatie via internetdiensten en de regulering van politieke advertenties (rapport voor het Ministerie van Binnenlandse Zaken), Amsterdam december 2019.
[57] Vgl. Gezamenlijke mededeling ‘Desinformatie in verband met COVID-19 aanpakken: feiten onderscheiden van fictie’, Brussel 10 juni 2020 (JOIN(2020) 8 final) en de rapportages van online platforms als onderdeel van het monitoring programme; zie ook: ‘Managing the COVID-19 Infodemic’, gezamenlijke verklaring van de WHO, VN e.a., 23 september 2020 who.int. A. Knuutila e.a., COVID-related Misinformation on YouTube: The Spread of Misinformation Videos on Social Media and the Effectiveness of Platform Policies (COMPROP Data Memo 2020.6), University of Oxford 2020.
[58] Nederlandse Gedragscode Transparantie Online Politieke Advertenties, 9 februari 2021, zie: rijksoverheid.nl.
[59] Voorstel voor een Verordening van het Europees Parlement en de Raad inzake het tegengaan van de verspreiding van terroristische online-inhoud (2018/0331 COD), vastgesteld door de Raad op 16 maart 2021 (https://data.consilium.europa.eu/doc/document/ST-14308-2020-REV-1/nl/pdf); vgl. ook de terrorismebestrijdingsagenda voor de EU, 9 december 2020, COM(2020) 795 final.
[60] Zie voor een kritische bespreking van het voorstel A. Kuczerawy, The proposed Regulation on preventing the dissemination of terrorist content online: safeguards and risks for freedom of expression, 5 december 2018, https://bit.ly/2uD8MtL en D. Keller, ‘The EU’s terrorist content regulation: expanding the rule of platform terms of service and exporting expression restrictions from the EU’s most conservative member states’, cyberlaw.stanford.eu/blog 25 maart 2019.
[61]De impact assessment voor het voorstel is afgerond, een openbare consultatie loopt tot en met 15 april 2021. Zie: https://ec.europa.eu/home-affairs/news/fighting-child-sexual-abuse-have-your-say_en. Zie ook: EU-strategie voor een doeltreffendere bestrijding van seksueel misbruik van kinderen COM/2020/607 final, p. 6.
[62]Concept Wetsvoorstel bestuursrechtelijke aanpak online kinderpornografisch materiaal, 16 februari 2021. Zie: https://www.internetconsultatie.nl/autoriteitkp.
[63] T. Gillespie, Custodians of the Internet; platforms, content moderation, and the hidden decisions that shape social media, Yale University Press 2018.
[64] D. Keller, ‘Empirical evidence of over-removal by internet companies under intermediary liability laws: an updated list’, 8 februari 2021, zie: cyberlaw.stanford.edu/blog.
[65] A.-C. Lorrain, ‘Introducing an ancillary right for press publishers: a European law-making ambition for the press – but also on hyperlinking’, Computerrecht 2020/83.
[66] Zie o.a. Ben Thompson, ‘Publishing is Back to the Future’, Stratechery 27 januari 2021 https://stratechery.com/2021/publishing-is-back-to-the-future/); en ‘Media, Regulators, and Big Tech; Indulgences and Injunctions; Better Approaches’, Stratechery 14 mei 2020 (https://stratechery.com/2020/media-regulators-and-big-tech-indulgences-and-injunctions-better-approaches/). Zie ook: P.P.J. van Ginneken, ‘Het uitgeversrecht: iets voor de mededingingsautoriteit?’, Mediaforum 2020-4, p. 121.
[67] S. Depreeuw, ‘De ‘aanbieder van een onlinedienst voor het delen van content’ in de ‘richtlijn Digital Single Market’. Platformen, gebruikers, auteursrecht en aansprakelijkheid’, Computerrecht 2020/81.
[68] Remy Chavannes, ‘The Dutch DSM copyright transposition bill: safety first (up to a point)’, Kluwer Copyright Blog 11 juni 2020 (https://bit.ly/2QKCVp0).
[69] Wet van 16 december 2020 tot wijziging van de Auteurswet, de Wet op de naburige rechten, de Databankenwet en de Wet toezicht en geschillenbeslechting collectieve beheersorganisaties auteurs- en naburige rechten in verband met de implementatie van Richtlijn (EU) 2019/790 van het Europees parlement en de Raad van 17 april 2019 inzake auteursrechten en naburige rechten in de digitale eengemaakte markt en tot wijziging van de Richtlijnen 96/9/EG en 2001/29/EG (Implementatiewet richtlijn auteursrecht in de digitale eengemaakte markt), Stb. 2020, 558; inwerkingtreding Stb. 2020, 559.
[70] Zie o.a. Paul Keller, ‘German government draft on Article 17: Two steps forward, one step back’, Communia 26 februari 2021 (https://bit.ly/3u83eUt).
[71] Richtlijn 2018/1808/EU van het Europees Parlement en de Raad van 14 november 2018 tot wijziging van Richtlijn 2010/13/EU betreffende de coördinatie van bepaalde wettelijke en bestuursrechtelijke bepalingen in de lidstaten inzake het aanbieden van audiovisuele mediadiensten (Richtlijn audiovisuele mediadiensten) in het licht van een veranderende marktsituatie.
[72] Met ingang van 1 november 2020. Wet van 30 september 2020, houdende wijzing van de Mediawet 2008 in verband met de implementatie van Richtlijn 2018/1808 van het Europees Parlement en de Raad van 14 november 2018 tot wijziging van Richtlijn 2010/13/EU betreffende de coördinatie van bepaalde wettelijke en bestuursrechtelijke bepalingen in de lidstaten inzake het aanbieden van audiovisuele mediadiensten (richtlijn audiovisuele mediadiensten) in het licht van een veranderende marktsituatie, Staatsblad 2020/391.
[73] M.Z. van Drunen, ‘The post-editorial control era: how EU media law matches platforms’ organisational control with cooperative responsibility’, Journal of Media Law 2020-2, p. 166-190.
[74] X.W. Koehoorn ‘De ‘Social Code: Youtube’ – zwakke zelfregulering in de strijd tegen sluikreclame’, Mediaforum 2020/2, p. 42-46.
[75] S. Kulk ‘Platformaansprakelijkheid – van ‘notice and takedown’ naar algoritmisch toezicht’, NtER 2020/5-6, p. 132-140.
[76] Zo stelt het Commissariaat voor de Media ook op zijn website: https://www.cvdm.nl/actueel/kanalen-op-videoplatformdiensten
[77] M. de Cock Buning ‘Social Media Influencers: liever door de hond of de kat gebeten?’, IER 2019/5, p. 249-260.
[78] HvJ EU 24 september 2019, C-507/17 (Google, Portée territoriale du déréférencement), met noot van E.J. Dommering in NJ 2019/435.
[79] De zaak viel strikt genomen onder de werkingssfeer van de Privacyrichtlijn, maar het Hof van Justitie betreft de AVG in zijn oordeel om er zeker van te zijn dat het arrest ook voor de toekomst bruikbaar is.
[80] HvJ EU 24 september 2019, C-507/17 (Google, Portée territoriale du déréférencement), rov. 65-66.
[81] HvJ EU 24 september 2019, C-136/17 (GC/CNIL), met noot van E.J. Dommering in NJ 2019/434.
[82] Rb. Amsterdam 25 januari 2018, ECLI:NL:RBAMS:2018:2979, r.o. 4.6 en 4.10; Rb. Amsterdam 15 februari 2018, ECLI:NL:RBAMS:2018:1644, r.o. 4.5 en 4.9; Rb. Amsterdam 22 maart 2018, ECLI:NL:RBAMS:2018:3355, r.o. 4.7 en 4.11; Rb. Amsterdam 22 maart 2018, ECLI:NL:RBAMS:2018:3357, r.o. 4.6 en 4.10; Rb. Midden-Nederland 8 mei 2018, ECLI:NL:RBMNE:2018:2196, r.o. 4.2 en Rb. Midden-Nederland 14 november 2018, ECLI:NL:RBMNE:2018:5594, r.o. 4.19.
[83] G.J. Zwenne ‘Het vergeetrecht vijf jaar later’, Ars Aequi 2019/0604, p. 604-613. Dit artikel bevat ook een grondige bespreking van de lijn in de rechtspraak over het vergeetrecht tussen 2014 en 2019.
[84] HvJ EU 24 september 2019, C-136/17 (GC/CNIL), rov. 43-45.
[85] Richtlijn 95/46/EG van het Europees Parlement en de Raad van 24 oktober 1995 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens. De zaak waarover het Hof van Justitie had te beslissen viel nog onder de werkingssfeer van de Privacyrichtlijn.
[86] HvJ EU 24 september 2019, C-136/17 (GC/CNIL), rov. 56-60.
[87] HvJ EU 24 september 2019, C-136/17 (GC/CNIL), rov. 68.
[88] Hof Den Haag 16 april 2019, ECLI:NL:GHDHA:2019:1472, Rb Den Haag 28 juni 2019, ECLI:NL:RBDHA:2019:6302, Rb Amsterdam 12 december 2019, ECLI:NL:RBAMS:2019:9271, Rb Amsterdam 23 december 2019, ECLI:NL:RBAMS:2019:9887, Rb Noord-Nederland 12 december 2019, ECLI:NL:RBNNE:2019:5169, Hof Den Haag 17 december 2019, ECLI:NL:GHDHA:2019:3539, Hof Amsterdam 23 juni 2020, ECLI:NL:GHAMS:2020:1802, Rb Noord-Nederland 19 november 2020, ECLI:NL:RBNNE:2020:3897. De auteurs traden in deze zaken op voor Google.
[89] L.C. Molenaars en E.J. Peerboom-Gerrits schreven een overzichtsartikel over het vergeetrecht, met een focus op de beoordelingslijn ten aanzien van bijzondere persoonsgegevens: L.C. Molenaars en E.J. Peerboom-Gerrits ‘Annotatie – Het vergeetrecht van zoekresultaten herzien?’ Tijdschrift voor Internetrecht 2020/6, p. 1-5.
[90] Rb Amsterdam 12 december 2019, ECLI:NL:RBAMS:2019:9271.
[91] Hof Den Haag 17 december 2019, ECLI:NL:GHDHA:2019:3539.
[92] EDPB, Richtsnoeren 5/2019 betreffende de criteria voor het recht om vergeten te worden in de zoekmachinezaken krachtens de AVG (deel 1) Versie 2.0 Goedgekeurd op 7 juli 2020.
[93] Zie o.a. Richtlijn Consumentenrechten 2011/83. Soms overlappen deze informatieverplichtingen ook, met verwarring voor partijen én toezichthouder tot gevolg: M.Y. Schaud, ‘Efficiënt communiceren met een online handelaar: wat zegt de wet en hoe moet dat in de praktijk?’, TvC 2020-6.
[94] Richtlijn Oneerlijke Handelspraktijken 2005/29.
[95] Richtlijn Consumentenrechten en Richtlijn Oneerlijke Bedingen 93/13.
[96] Richtlijn (EU) 2019/770 van het Europees Parlement en de Raad van 20 mei 2019 betreffende bepaalde aspecten van overeenkomsten voor de levering van digitale inhoud en digitale diensten, Pb L 2019/136, p. 1
[97] Richtlijn (EU) 2019/771 van het Europees Parlement en de Raad van 20 mei 2019 betreffende bepaalde aspecten van overeenkomsten voor de verkoop van goederen, Pb L 2019/136, p. 68.
[98] Voor meer informatie over deze verplichtingen: L.E. den Butter, ‘De Implementatiewet richtlijnen verkoop goederen en levering digitale inhoud toegelicht’, TvI 2020-3.
[99] Richtlijn (EU) 2019/2161 van het Europees Parlement en de Raad van 27 november 2019 tot wijziging van Richtlijn 93/13/EEG van de Raad en Richtlijnen 98/6/EG, 2005/29/EG en 2011/83/EU van het Europees Parlement en de Raad wat betreft betere handhaving en modernisering van de regels voor consumentenbescherming in de Unie, Pb L 2019/328, p. 7. Ook wel aangeduid als de Omnibus Richtlijn.
[100] Tot 1% van de jaaromzet van de overtreder.
[101] ACM, ‘Leidraad ‘Bescherming van de online consument’, februari 2020.
[102] ACM, ‘Vuistregels Online Platformen’, november 2020.
[103] Voor meer informatie over deze verhouding: P.W.J. Verbruggen, ‘Online platformen en onveilige producten’, Tijdschrift voor Consumentenrecht en handelspraktijken (TvC) 2020-5.
[104] Gerechtshof Arnhem-Leeuwarden, 18 februari 2020, ECLI:NL:GHARL:2020:1556 (123inkt.nl/Prindo). Kantoorgenoten van de auteurs treden in deze zaak op voor Prindo.
[105] ACM, ‘Apple informeert consumenten in appstore over datagebruik apps na oproep toezichthouders’, december 2020.
[106] YouTube, Boos, ‘MijnVerklaring.nl verstopt kosten op de site en directeur vindt dat klanten moeten zoeken’, oktober 2020.
[107] ACM, ‘ACM legt last onder dwangsom op aan commerciële bemiddelingswebsites’, januari 2021.
[108] Google, ‘Nieuw beleid voor overheidsdiensten’, mei 2020.
[109] ACM, ‘ACM waarschuwt voor malafide praktijken slotenmakers en komt in actie’, februari 2021.
[110] Voorstel voor een verordening van het Europees Parlement en de Raad betreffende een eengemaakte markt voor digitale diensten (wet inzake digitale diensten) en tot wijziging van Richtlijn 2000/31/EG, COM(2020) 825 final d.d. 15 december 2020.
[111] Zie o.a. Vanessa Mak & Femke Schemkes, ‘With great power comes great responsibility. De Digital Services Act en de Digital Markets Act mogen wel wat strenger zijn voor Big Tech’, NJB 2021/716; F. Wilman, ‘Het voorstel voor de Digital Services Act. Op zoek naar nieuw evenwicht in regulering van onlinediensten met betrekking tot informatie van gebruikers’, NtER 2021-1/2.
[112] Overweging 33 suggereert dat het beginsel niet geldt voor officiële informatie- en verwijderingsbevelen. Dat lijkt ons onjuist en bovendien onwenselijk want zou de deur openen voor verwijderingsbevelen op basis van het (ten aanzien van de definitie van “illegale content” regelmatig conflicterende) nationale recht van 27 lidstaten.
[113] Zie bijvoorbeeld de reactie van de App Association, die opkomt voor kleinere aanbieders van software en online diensten d.d. 30 maart 2021 (https://ec.europa.eu/info/law/better-regulation/have-your-say/initiatives/12417-Digital-Services-Act-deepening-the-internal-market-and-clarifying-responsibilities-for-digital-services/F2163073).
[114] Artikel 2(i) DSA: “het op verzoek van de afnemer van de dienst die de informatie heeft verstrekt, beschikbaar stellen van informatie aan een mogelijk onbeperkt aantal derde partijen.” Artikel 2 lid 3 Verordening terroristische online-inhoud: “het op verzoek van een aanbieder van inhoud beschikbaar stellen van informatie aan een potentieel onbeperkt aantal personen”; artikel 2 lid 2 definieert de “aanbieder van inhoud” als “een gebruiker die informatie heeft verstrekt die door een aanbieder van hostingdiensten opgeslagen en onder het publiek verspreid wordt of werd.”
[115] Zie overweging 14 DSA: “Het begrip “verspreiding onder het publiek”, zoals gebruikt in deze verordening, moet inhouden dat informatie beschikbaar wordt gesteld aan een potentieel onbeperkt aantal personen, dat wil zeggen dat de informatie gemakkelijk toegankelijk wordt gemaakt voor gebruikers in het algemeen zonder dat de afnemer van de dienst die de informatie verstrekt, daar verder iets voor hoeft te doen, ongeacht of deze personen de informatie in kwestie daadwerkelijk raadplegen. Enkel de mogelijkheid om groepen gebruikers van een bepaalde dienst te creëren, mag op zich niet worden gezien als een teken dat de informatie die op die manier wordt verspreid, niet onder het publiek wordt verspreid. De verspreiding van informatie binnen gesloten groepen die bestaan uit een eindig aantal vooraf bepaalde personen, moet echter uit dit concept worden uitgesloten. Interpersoonlijke communicatiediensten, zoals gedefinieerd in Richtlijn (EU) 2018/1972 van het Europees Parlement en de Raad 39 , zoals e-mails of particuliere berichtendiensten, vallen buiten het toepassingsgebied van deze verordening. Informatie mag alleen worden beschouwd als verspreid onder het publiek in de zin van deze verordening wanneer dit gebeurt op een rechtstreeks verzoek van de afnemer van de dienst die de informatie heeft verstrekt.”
[116] HvJ EU 7 december 2006, zaak C-306/05 (Rafael Hoteles), onder verwijzing naar HvJ EU 2 juni 2005, zaak C‑89/04 (Mediakabel).
[117] Europese Commissie, ‘Wet inzake digitale diensten: Zorgen voor meer veiligheid en verantwoordingsplicht online’, https://ec.europa.eu/info/strategy/priorities-2019-2024/europe-fit-digital-age/digital-services-act-ensuring-safe-and-accountable-online-environment_nl
[118] Zie de reactie van Etsy d.d. 31 maart 2021, https://ec.europa.eu/info/law/better-regulation/have-your-say/initiatives/12417-Digital-Services-Act-deepening-the-internal-market-and-clarifying-responsibilities-for-digital-services/F2163497.
[119] Zie artikel 40 jo. 11 DSA. Aanbieders zonder EU-vestiging kunnen dus forumshoppen, al is het de vraag wie de rol van vertegenwoordiger op zich wil nemen gegeven de aansprakelijkheid voor boetes.
[120] ‘ERGA welcomes the DSA and DMA proposals and points out ways for better enforceability’, persbericht met bijbehorend ‘Statement about the European Commission’s proposals for a Digital Services Act (DSA) and a Digital Markets Act (DMA)’, 29 maart 2021, https://erga-online.eu/wp-content/uploads/2021/03/ERGA-DSA-DMA-Statement_29032021.pdf.
[121] European Commission, ‘Antitrust: Commission fines Google €1.49 billion for abusive practices in online advertising’, March 2019.
[122] European Commission, ‘Antitrust: Commission fines Valve and five publishers of PC video games € 7.8 million for “geo-blocking” practices’, January 2021.
[123] European Commission, ‘Antitrust: Commission opens investigation into possible anti-competitive conduct of Amazon’, July 2019.
[124] European Commission, ‘Antitrust: Commission sends Statement of Objections to Amazon for the use of non-public independent seller data and opens second investigation into its e-commerce business practices’, November 2020.
[125] European Commission, ‘Antitrust: Commission opens investigations into Apple’s App Store rules’, June 2020.
[126] European Commission, ‘Antitrust: Commission opens investigation into Apple practices regarding Apple Pay’, June 2020.
[127] ACM, ‘ACM start onderzoek misbruik machtspositie Apple in App Store’, april 2019.
[128] ACM, ‘ACM start onderzoek naar vrije keuze van betaalapps voor gebruikers in smartphones’, december 2020.
[129] Eenzelfde situatie van overlappende onderzoeken deed zich voor t.a.v. Amazon: zowel de Italiaanse autoriteit als de Europese Commissie startten een onderzoek naar mogelijke voorkeursbehandeling van Amazon’s eigen producten. Amazon is op dit punt een zaak gestart bij het Europees Gerecht: zaaknummer T-19/21.
[130] ACM, Marktstudie appstores’, april 2019.
[131] ACM, ‘Big Tech en betaalmarkt: aanscherping regels om gelijk speelveld betaalmarkt te behouden’, december 2020.
[132] ACM, ‘ACM ziet risico’s van betaald ranken voor consumenten en concurrentie’, februari 2021.
[133] ACM, ‘ACM keurt overname Iddink Group door Sanoma Learning goed onder voorwaarden’, augustus 2019, ‘Mobiliteitsbedrijf Pon en NS mogen onder voorwaarden samen reis-app maken’, mei 2020, en ‘Openbaarvervoersbedrijven mogen onder strikte voorwaarden vervoerplatform oprichten’, juli 2020. Voor een nadere analyse van deze toezeggingen verwijzen we naar het volgende artikel: J. Kohlen, M. van de Sanden en M. Cox, ‘‘Rebooting’ het mededingingsrecht – ook het
mededingingsrecht ontsnapt niet aan de digitale transitie’, M&M 2021, nr. 1, p. 6.
[134] Zoals ook werd vastgesteld door de European Court of Auditors: ‘The Commission’s EU merger control and antitrust proceedings: a need to scale up market oversight’, November 2020.
[135] Statista juni 2020: https://www.statista.com/chart/22702/andoid-ios-market-share-selected-countries/
[136] FT, ‘Google Shopping accused of failing to address competition problems’, september 2020 and T. Höppner, Google’s (Non-) Compliance with the EU Shopping Decision (September 28, 2020). Competition Law in Practice, 2020, Available at SSRN: https://ssrn.com/abstract=3700748.
[137] Voor een genuanceerde blik op deze discussie: Inge Graef, ‘Big tech en mededinging’, AA 2020/716.
[138] Verordening (EU) 2019/1150 van het Europees Parlement en de Raad van 20 juni 2019 ter bevordering van billijkheid en transparantie voor zakelijke gebruikers van onlinetussenhandelsdiensten, Pb L 186/2019, p. 57.
[139] Voorstel voor een Verordening over betwistbare en eerlijke markten in de digitale sector (wet inzake digitale markten) COM/2020/842 final. Voor meer over de inzet van Nederland om tot dit voorstel te komen zie: Bart Tromp, ‘Disruptors reguleren: verleden en toekomst – verslag studiemiddag VMC en VvM’, Mediaforum 2020/2.
[140] DMA, artikel 3.
[141] Naast de elders in deze kroniek besproken definities, zie ook: Serge Gijrath, ‘Skype & Google: elektronische communicatiedienst of niet?’, Mediaforum 2019/4.
[142] DMA, artikel 5.
[143] DMA, artikel 6.
[144] De ACM is er in ieder geval niet blij mee: ‘Give EU nations’ antitrust enforcers a role in gatekeeper platform regulation, says Dutch authority’s Snoep’, MLex, 2 March 2021.
[145] CMA, ‘Digital Markets Taskforce’, December 2020. Beschikbaar op: https://www.gov.uk/cma-cases/digital-markets-taskforce
[146] GWB-Digitalisierungsgesetz, 18 januari 2021, BGB 2021, nr. 1, p. 2.
[147] De definitie van kernplatformdienst omvat blijkens artikel 2 lid 2 DMA nog een reeks onderliggende definities, deels uit andere verordeningen en richtlijnen: onlinetussenhandelsdiensten, onlinezoekmachines, online socialenetwerkdiensten, videoplatformdiensten, nummeronafhankelijke interpersoonlijke communicatiediensten, besturingssystemen, cloudcomputerdiensten en advertentiediensten.
[148]N.M. Brouwer e.a., ‘Kroniek privacyrecht: anderhalf jaar AVG in vogelvlucht’, Privacy & Informatie, afl. 1, februari 2020, p. 2-23 (tijdsbestek van mei 2018 tot 31 oktober 2019); Mr. H.A.J. de Jong, mr. Drs. G.C.J. Erents, mr. E.Z. Fonville, ‘Kroniek AVG-jurisprudentie mei 2018-mei 2020’, Privacy & Informatie, Afl. 4, augustus 2020, p. 157-170; C.A. Alberdingk Thijm e.a., ‘Kroniek privacyrecht 2020’, Advocatenblad 2021, pp. 65-73.
[149]Herke Kranenborg, ‘Google en de extraterritoriale effecten van de AVG’, NJB 2020/1384.
[150]Website AP, ‘Cijfers datalekken 2020’; AP, Jaarrapportage meldplicht datalekken 2020, 1 maart 2021. Waar in 2018 nog 20.881 datalekken waren gemeld (stijging van 109% ten opzichte van 2017) , waren dat in 2019 bijna 27.000 (stijging van 29% ten opzichte van 2018; stijging van 25% ten opzichte van 2018 van meldingen naar aanleiding van hacking, phishing en/of malware-incidenten) en in 2020 bijna 24.000. De AP geeft als verklaring voor de daling dat incassobureaus hun werkwijze hebben aangepast waardoor zij minder datalekken hebben gemeld. Zie AP, Jaarrapportage meldplicht datalekken 2020, 1 maart 2021, eerste pagina
[151]Zie bijvoorbeeld: Website Politie, ‘Criminaliteit 2020: minder inbraak, meer cybercrime, 13 januari 2021, geraadpleegd via https://www.politie.nl/nieuws/2021/januari/15/00-criminaliteit-2020-minder-inbraak-meer-cybercrime.html; Website VeiligInternetten, ‘Explosieve toename cybercrime in 2020’, 18 juni 2020, geraadpleegd via https://veiliginternetten.nl/nieuws/explosieve-toename-cybercrime-2020/.
[152]Website AP, ‘5 tips voor zorginstellingen om een datalek te voorkomen’, 19 september 2019 (brochure). Website AP, ‘Zorgsector opnieuw koploper datalekmeldingen bij AP’, 19 september 2019 (nieuwsbericht).
[153]Website RTL Nieuws, ‘Illegale handel in privégegevens miljoenen Nederlanders uit coronasystemen GGD’, 25 januari 2021 en aangepast op 4 februari 2021. Door de talloze vragen van bezorgde burgers maakte de AP zelfs bekend hierdoor slecht bereikbaar te zijn: Website AP, ‘AP slecht bereikbaar door vragen datadiefstal GGD’, 27 januari 2021 (nieuwsbericht). Zie ook: Website AP, ‘AP eist opheldering van GGD’, 27 januari 2021 (nieuwsbericht).
[154]Website AP, ‘AP luidt noodklok: explosieve toename hacks en datadiefstal’, 1 maart 2021 (nieuwsbericht).
[155]Website AP, ‘AP ontvangt 75 datalekmeldingen na lekken in Microsoft Exchange-servers’, 19 maart 2021 (nieuwsbericht).
[156]Website AP, ‘Sterke toename van privacyklachten’, 9 september 2019 (nieuwsbericht). Zie ook: Kristel van Teeffelen, ‘Autoriteit Persoonsgegevens kampt met dramatische achterstand: nog 10.000 klachten op de plank’, 12 maart 2021, Trouw, geraadpleegd op 23 maart 2021 via: https://www.trouw.nl/nieuws/autoriteit-persoonsgegevens-kampt-met-dramatische-achterstand-nog-10-000-klachten-op-de-plank~b808a335/.
[157] Voor productiecijfers van de AP verwijzen wij naar de tab Publicaties, sub-tab ‘Feiten en cijfers over de AP’ op de website van de AP.
[158]Brief van Minister Dekker aan Tweede Kamer, 16 september 2019.
[159]Kristel van Teeffelen en Rufus Kain, ‘Voorzitter Autoriteit Persoonsgegevens: ‘De achterstanden zijn zo groot dat het lachwekkend is’, 10 november 2020, Trouw, geraadpleegd op 22 maart 2021 via: https://www.trouw.nl/binnenland/voorzitter-autoriteit-persoonsgegevens-de-achterstanden-zijn-zo-groot-dat-het-lachwekkend-is~bb44d7a8; Rufus Kain en Kristel van Teeffelen, ‘Aleid Wolfsen: Gestolen data zijn veel erger dan een gestolen fiets’, 10 november 2020, Trouw, geraadpleegd op 22 maart 2021 via: https://www.trouw.nl/binnenland/aleid-wolfsen-gestolen-data-zijn-veel-erger-dan-een-gestolen-fiets~b5aeaa91/.
[160]Motie van het lid Hijink c.s. over verhoging van het budget van de Autoriteit Persoonsgegevens, 3 februari 2021. Brief van Minister Dekker over uitvoering van de motie Hijink c.s. over het budget van de Autoriteit Persoonsgegevens, 1 maart 2021.
[161]KPMG, ‘Onderzoek taken en financiële middelen bij AP’, 2 november 2020, definitief 1.0, gepubliceerd op 19 november 2020 op de website van de AP. Volgens het rapport had de AP ultimo 2019 185 fte in dienst en een totale kostenbasis van EUR 21,4 mln en in 2020 184 fte in dienst en zijn de geprognosticeerde lasten door AP EUR 26 mln. De AP geeft aan dat de Minister Dekker het budget voor de AP verhoogd gelijk aan de lasten van 2020, waardoor de bezetting van 184 ft in stand blijft in 2021. Zie: Website AP, ‘Groei AP noodzakelijk voor bescherming burgers in digitaliserend Nederland’, 19 November 2020 (persbericht).
[162]AP, Meerjarenbegroting AP: Een korte toelichting’, 19 november 2020.
[163]Mike Masnick, ‘Google’s Efforts To Be Better About Your Privacy, Now Attacked As An Antitrust Violation, Techdirt.com, 16 Maart 2021, geraadpleegd op 22 maart 2021 via: https://www.techdirt.com/articles/20210316/09073246429/googles-efforts-to-be-better-about-your-privacy-now-attacked-as-antitrust-violation.shtml.
[164] S. Yakovleva, W.W. Geursen, A.M. Arnbak, ‘Drie mogelijke boetes van mededingings-, consumenten- en persoonsgegevensautoriteiten voor hetzelfde datagebruik’, Tijdschrift Mededingingsrecht in de Praktijk, No. 2, mei 2020, p. 30-37.
[165] Eindversie van de Raad van Ministers, 10 februari 2021.
[166]Van belang voor iedere organisatie zijn de volgende richtsnoeren: Guidelines 07/2020 on the concepts of controller and processor in the GDPR (conceptversie voor publieke consultatie); Guidelines 05/2020 on consent under Regulation 2016/679; Guidelines 4/2019 on Article 25 Data Protection by Design and by Default In het licht van de opkomende datarechtsorde, verwijzen we naar de volgende richtsnoeren: Guidelines 2/2019 on the processing of personal data under Article 6(1)(b) GDPR in the context of the provision of online services to data subjects; Guidelines 01/2020 on processing personal data in the context of connected vehicles and mobility related applications; Guidelines 02/2021 on Virtual Voice Assistants (conceptversie voor publieke consultatie); Guidelines 08/2020 on the targeting of social media users (conceptversie voor publieke consultatie); Guidelines 06/2020 on the interplay of the Second Payment Services Directive and the GDPR; Guidelines 3/2019 on processing of personal data through video devices. Daarnaast heeft de EDPB nog enkele andere richtsnoeren opgesteld, waaronder verklaringen, brieven en richtsnoeren inzake de wereldwijde coronapandemie.
[167]AP, ‘Normuitleg cookiewalls’, 7 maart 2019. Zie ook: Website AP, ‘Websites moeten toegankelijk blijven bij weigeren tracking cookies’, 7 maart 2019 (nieuwsbericht).
[168]AP, ‘Normuitleg grondslag ‘gerechtvaardigd belang’, 1 november 2019.
[169] Zie bijvoorbeeld Jeroen Piersma en Martijn Pols, ‘‘Toezichthouder gaat te ver met uitleg privacywet’’, 24 december 2019 geraadpleegd via https://fd.nl/ondernemen/1328971/toezichthouder-gaat-te-ver-met-uitleg-privacywet-rxc1caN5LFlT; Rob van Eijk en Gerrit-Jan Zwenne, ‘Privacytoezichthouder neemt heel opmerkelijk afstand van marktwerking’, 24 december 2019, geraadpleegd via https://fd.nl/opinie/1329082/privacytoezichthouder-neemt-heel-opmerkelijk-afstand-van-marktwerking-rxc1caN5LFlT.
[170]Rechtbank Midden-Nederland, 23 november 2020, ECLI:NL:RBMNE:2020:5111.
[171]Website AP met nieuws, guidance en Q&A’s over veilig thuiswerken, videobel-apps, temperatuurchecks, sneltesten, vaccinatie, thuisonderwijs, corona op school, inzage in medische dossiers en mobiel cameratoezicht: https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/corona.
[172] Politico 10 februari 2021, ‘What the US can teach Europe about privacy’, te raadplegen via: https://pro.politico.eu/news/europe-privacy-fines-tech-what-the-us-can-teach
[173] Zie bijvoorbeeld Politico, 21 mei 2020, EU privacy enforcer hits make-or-break moment – Ireland’s Data Protection Commission is under pressure to act soon. Te raadplegen via: https://www.politico.eu/article/data-protection-privacy-ireland-helen-dixon-gdpr/.
[174]AP website, ‘Jaarverslag AP 2019: meer focus op handhaving’, 1 juli 2020. De AP publiceert elk jaar een jaarverslag. Het meest recente jaarverslag op het moment van schrijven van deze bijdrage is het Jaarverslag 2019.
[175]AP website, ‘AP legt focus in toezicht op datahandel, digitale overheid en AI’, 11 november 2019 (nieuwsbericht). Zie tevens het document ‘Focus AP 2020-2023’ (het document waar de AP in het nieuwsbericht naar lijkt te verwijzen als zij spreekt over het visiedocument ‘Dataprotectie in een digitale samenleving’) en de Nederlandstalige of Engelstalige Infographic.
[176]Sinds 2018 voerde de AP bij verschillende sectoren steekproeven en controles uit, zoals de steekproef naar het register van verwerkingsactiviteiten (juli 2018), op het aanstellen van een FG bij de overheid (vanaf juni 2018 tot september 2018), privacybeleid van zorginstellingen en politieke partijen (december 2018), aanstellen van de FG bij ziekenhuizen en zorgverzekeraars (augustus 2018 tot en met oktober 2019), banken en verzekeraars (november 2018 tot en met januari 2019), controle van verwerkingsovereenkomsten in private sector (januari 2019) uitmondend in het onderzoeksrapport ‘Werkende verwerkingsovereenomsten’ (september 2019) en publiceerde na controle van datalekregistraties een handreiking daaromtrent in maart 2019.
[177]De AP heeft op haar website gepubliceerd dat zij een last onder dwangsom heeft opgelegd aan TGB (niet voldoen inzageverzoek), twee maal aan de Nationale Politie (slechte beveiliging politiegegevens), het UWV (slechte beveiliging werkgeversportaal), HagaZiekenhuis (slechte beveiliging patiëntendossiers), VGZ en Menzis (onbevoegde toegang tot medische gegevens) en CZ (te veel medische gegevens bij machtigingsaanvragen).
[178] De AP heeft ook haar beslissing op bezwaar van HagaZiekenhuis gepubliceerd d.d. 15 januari 2020.
[179] Na een deels toegewezen verzoek om voorlopige voorziening mocht de AP de naam van de overtreder niet in haar boeterapport bekend maken (ECLI:NL:RBLIM:2020:1795).
[180]Uit de uitspraak van Rechtbank Den Haag (ECLI:NL:RBMNE:2020:5111) volgt dat tevens VoetbalTV een boete heeft opgelegd gekregen, die niet is gepubliceerd op de website van de AP.
[181]Zie de nieuwsberichten op de website van de AP op 6 juli en 19 december 2018.
[182] Zie bijvoorbeeld: E.L.V. ‘t Hart, ‘Bedrijfsjuridische berichten, Onderzoek, handhaving en sancties door de Autoriteit Persoonsgegevens’, http://deeplinking.kluwer.nl/?param=00D3BF4B&cpid=WKNL-LTR-Nav2; Mr. H.W. Roerdink, mw. mr. C.A.M. van de Bunt, ‘Boetes onder het regime van de AVG’, http://www.uitgeverijparis.nl/reader_viewer_li/206232/1001451801/d08df3f5afc3aff42c970faaa4a024649e2bddd7.
[183]De AP heeft publicaties gedaan over diverse (vervolg)onderzoeken die zij heeft gestart of gesloten onder de Wet bescherming persoonsgegevens (Wbp), bijvoorbeeld: Microsoft (27 augustus 2019); Belastingdienst (16 oktober 2019);
[184]https://autoriteitpersoonsgegevens.nl/nl/nieuws/waarborg-privacy-de-ontwikkeling-van-smart-cities; https://autoriteitpersoonsgegevens.nl/nl/nieuws/update-onderzoek-ap-naar-smart-cities.
[185]https://autoriteitpersoonsgegevens.nl/nl/nieuws/ap-onderzoekt-aanbieders-van-nieuwe-online-rekeningdiensten
[186]Website AP, ‘AP kijkt naar Nederlandse autofabrikanten’, 24 maart 2020 (nieuwsbericht).
[187]Website AP, 17 februari 2020, “Toezicht op algoritmes” (nieuwsbericht). AP, “Toezicht op AI en algoritmes”, https://autoriteitpersoonsgegevens.nl/sites/default/files/atoms/files/toezicht_op_ai_en_algoritmes.pdf (document).
[188]Zie de onderzoeken naar de corona-apps (20 april 2020), onderzoek naar online (video)bellen en online proctoring in het onderwijs (1 oktober 2020). Dit laatste onderzoeksrapport en aanbevelingen naar aanleiding daarvan zijn eveneens gepubliceerd in het Engels op 16 december 2020.
[189]Vzr. Rechtbank Amsterdam 11 juni 2020, JBP 2020/04 m.nt. A.R. Deenen. Zie ook: Colette Cuijpers, ‘Privacy en online proctoring’, NJB 2020/1499.
[190] AP website, ‘Werkwijze Belastingdienst in strijd met de wet en discriminerend’, 17 juli 2020 (persbericht), geraadpleegd via https://autoriteitpersoonsgegevens.nl/nl/nieuws/werkwijze-belastingdienst-strijd-met-de-wet-en-discriminerend. Eveneens het onderzoeksrapport en een speech van Aleid Wolfsen wordt hier beschikbaar gesteld. Zie ook AP website, ‘AP doet onderzoek naar verwerking nationaliteit bij Belastingdienst’, 20 mei 2019 inclusief antwoorden op vragen van RTL Nieuws en Trouw.
[191]Website AP, ‘AP start onderzoek naar TikTok’, 8 mei 2020.
[192]HvJEU, 16 juli 2020, ECLI:EU:C:2020:559, C-311/18 (Facebook Ireland and Schrems) (Schrems II)
[193]Recommendations 02/2020 on the European Essential Guarantees for surveillance measures; Recommendations 01/2020 on measures that supplement transfer tools to ensure compliance with the EU level of protection of personal data – version for public consultation.
[194] Zie U.S. Department of Commerce, ‘Joint Press Statement from U.S. Secretary of Commerce Wilbur Ross and European Commissioner for Justice Didier Reynders’, 10 augustus 2020. Hierin wordt verklaard: “The U.S. Department of Commerce and the European Commission have initiated discussions to evaluate the potential for an enhanced EU-U.S. Privacy Shield framework to comply with the July 16 judgment of the Court of Justice of the European Union in the Schrems II case.”
[195]Zie EDPB, ‘Statement on the withdrawal of the United Kingdom from the European Union’, aangenomen op 15 December 2020 en aangepast op 13 januari 2021.
[196]Europese Commissie, ‘Draft decision on the adequate protection of personal data by the United Kingdom – General Data Protection Regulation, 19 februari 2021. Zie ook Europese Commissie, ‘Draft decision on the adequate protection of personal data by the United Kingdom: Law Enforcement Directive’, 19 februari 2021.
[197] HvJEU, 29 juli 2019, C-40/17 (Fashion ID).
[198]ACM, ‘Veelgestelde vragen cookiebepaling november 2016’, p. 12.
[199]HvJEU, 1 oktober 2019, C-673/17 (Planet49).
[200]HvJEU, 11 november 2020, C-61/19 (Orange Romania).
[201]T. Van Canneyt e.a., ‘Data Protection: CJEU case law review – 1995-2020’, Computerrecht 2021/56.
[202]Dit blijkt uit eenvoudig onderzoek van auteurs met hulp van www.rechtspraak.nl aan de hand van zoektermen ‘AVG’ en ‘Wbp’. Hieruit blijkt het aantal uitspraken waarin óf AVG óf Wbp in voorkwam per jaar: 2015 (106 hits); 2016 (110 hits); 2017 (141 hits); 2018 (209 hits); 2019 (247); 2020 (252 hits); 2021 (50 tot en met 21 maart 2021). Uiteraard is hierin niet meegenomen uitspraken over het recht op privacy of andere gegevensbeschermingsrecht wet- en regelgeving zoals de Wet Politiegegevens.
[203]Hieronder vallen uitspraken omtrent verwijdering uit incidentenregisters van financiële instellingen, verwijdering van BKR-registraties tegenover met name kredietaanbieders, ontkoppeling van zoekmachineresultaten, en inzage of correctie van persoonsgegevens vaak tegenover bestuursorganen.
[204] ABRvS 1 april 2020, ECLI:NL:RVS:2020:898, ECLI:NL:RVS:2020:899 , ECLI:NL:RVS:2020:900, ECLI:NL:RVS:2020:901.
[205] ABRvS 1 april 2020, ECLI:NL:RVS:2020:898 (€500).
[206]Hoge Raad van 15 maart 2019, ECLI:NL:HR:2019:376, r.o.4.2.2, van 28 mei 2019, ECLI:NL:HR:2019:793, r.o. 2.4.5. en van 19 juli 2019, ECLI:NL:HR:2019:1278, r.o. 2.13.2.
[207]T.F. Walree, ‘De onrechtmatige verwerking van persoonsgegevens: geen concrete gevolgen, wel schadevergoeding?’, RMThemis 2020/4, p. 167-180.
[208]Zie bijvoorbeeld Rb. Overijssel 28 mei 2019, ECLI:NL:RBOVE:2019:1827 (schadevergoeding van €500 is door Afdeling vernietigd, zie: ECLI:NL:RVS:2020:899); Rb. Amsterdam 2 september 2019, ECLI:NL:RBAMS:2019:6490 (€250); Rb. Noord-Nederland 15 januari 2020, ECLI:NL:RBNNE:2020:247 (€750); Rb. Noord-Nederland 12 januari 2021, ECLI:NL:RBNNE:2021:106 (€500).
[209]Website AP, ‘Privacyblog Aleid Wolfsen: Smartengeld’, 22 februari 2021, geraadpleegd via https://autoriteitpersoonsgegevens.nl/nl/nieuws/privacyblog-aleid-wolfsen-smartengeld.
[210] Rb. Zeeland-West-Brabant 3 februari 2021, ECLI:NL:RBZWB:2021:446.
[211] Europese Commissie, ‘Een Europese datastrategie’, COM(2020) 66 final, 19 februari 2020.
[212] Zie: https://ec.europa.eu/commission/presscorner/detail/en/fs_20_278
[213]Richtlijn 2003/98/EG van 17 november 2003 inzake het hergebruik van overheidsinformatie, gewijzigd door Richtlijn 2013/37/EU van 26 juni 2013 inzake het hergebruik van overheidsinformatie.
[214] Richtlijn 2019/1024 van 20 juni 2019 inzake open data en het hergebruik van overheidsinformatie.
[215] Voor een bespreking zie: M.M.E. van Eechoud, Bekeert Brussel zich tot artikel 8 Databankenwet?, AMI 2018/4.
[216]Zie met name hoofdstuk V (art. 2 lid 10) van de Open Data Richtlijn.
[217]Bijlage 1 bij de Richtlijn voorziet in de categorieën: geospatiale data; aardobservatie en milieu; meteorologische data; statistiek; bedrijven en eigendom van bedrijven; en mobiliteit.
[218]Kamerstukken II, 2020/21 21109 bijlage bij nr. Q.
[219]Voorstel van de Europese Commissie betreffende Europese datagovernance (COM(2020) 767, 25 november 2020.
[220] Jay Modrall, EU Data Governance Regulation – A Wave of Regulatory and Antitrust Reform Begins, Kluwer Competition Law Blog 30 november 2020. ZIe ook het BNC-fiche van 22 januari 2021, gepubliceerd op rijksoverheid.nl.
[221] Tycho de Graaf, ‘De kwalificatie van bitcoins’, NJB 2019/2; M.A.R. Nannings, ‘Kwalificatie van crypto-assets als effect’, Tijdschrift voor Financieel Recht 2019 nr. 12.
[222] Tycho de Graaf, ‘Verhaalsbeslag op bitcoins’, TCR 2019, p. 88-94.
[223] A.G. Silonero, ‘Heimelijke transacties met cryptocurrencies: een grijs gebied tussen witwaspraktijken en verstandige praktijken’, Computerrecht 2021/3; A.B. Schoonbeek en J.M. van Poelgeest, ‘Nadere beschouwing over witwasrisico’s bij gebruik van cryptovaluta en de impact van regulering’, Tijdschrift voor compliance 2020 nr. 2. Zie ook: Rb. Rotterdam 23 oktober 2020, ECLI:NL:RBROT:2020:10073, ECLI:NL:RBROT:2020:10078, ECLI:NL:RBROT:2020:10075 en ECLI:NL:RBROT:2020:10077; Rb. Overijssel 9 juni 2020, ECLI:NL:RBOVE:2020:1960.
[224] Christian Rueckert, ‘Cryptocurrencies and fundamental rights’, Journal of Cybersecurity 2019 (Vol. 5, Issue 1).
[225] ‘Bitcoin Welcomes Tesla, Mastercard, BNY Mellon, Venmo To The Cryptocurrency Party’, Forbes 12 februari 2021 (https://bit.ly/3cw2FxU).
[226] ‘The $69 Million JPEG’, NPR 12 maart 2021 (https://text.npr.org/976513031); ‘Here’s what the buyer of Beeple’s NFT digital art actually gets for $69 million’, CNBC 11 maart 2021, https://cnb.cx/3svprLL; ‘$69 million for digital art? The NFT craze, explained’, Los Angeles Times 11 maart 2021, https://lat.ms/3lXYNc9. Zie ook: ‘Non-Fungible Tokens 101: A Primer On NFTs For Brands And Business Professionals’, Forbes 28 februari 2021, https://bit.ly/3fiw9Be.
[227] ‘Twitter boss Jack Dorsey’s first tweet sold for $2.9 million as an NFT’, Reuters 22 maart 2021, https://reut.rs/3rx9iEt.
[228] William Holmes, ‘What the non-fungible token craze means for IP law’, LegalCheek 12 maart 2021 (https://bit.ly/3ftqTuq):“Because NFTs can provide an aura of authenticity for digital art, they have become an ideal canvas for digital artists to create a new type of performative digital art. Consider Jack Dorsey’s NFT tweet. It is just a screenshot of his tweet, something that anyone can make and therefore has little value. So, what makes it art? Is it inherent to the tweet itself? Or did Jack Dorsey become an artist (and his tweet art) when he created the NFT of his tweet? Is the act of selling his tweet an artistic performance that can be qualified as art?”
[229] Voor een heldere en optimistische uitleg, zie Jesse Walden, ‘NFTs make the internet ownable. Why crypto is becoming the “port of entry” for all internet media’, Variant Fund (https://variant.mirror.xyz); en de a16z Podcast ‘All about NFTs’, 27 maart 2021 (https://bit.ly/39xDA3L).
[230] ‘Digitale kunst salonfähig? ‘Ze kopen plaatjes voor veel te hoge bedragen’’, Het Parool 26 maart 2021 (https://bit.ly/3lXTIjW).
[231]https://twitter.com/matt_levine/status/1370784691029180425?s=20.
[232] M. Baxandall, Schilderkunst en leefwereld in het Quattrocento. Een inleiding in de sociale geschiedenis van de picturale stijl, Nijmegen 1986, p. 10.
[233] Zie bijv. Andres Guadamuz, ‘Can copyright teach us anything about NFTs?’, TechnoLlama 7 maart 2021 (https://bit.ly/3sx6it9); Judith Rinearson, Mark H. Wittow & Daniel Charles, ‘The Coming Blockchain Revolution in Consumption of Digital Art and Music: The Thinking Lawyer’s Guide to Non-Fungible Tokens (NFTS), National Law Review 25 maart 2021 (https://bit.ly/3m2GwdU); C. Goanta, ‘Selling LAND in Decentraland: The Regime of Non-fungible Tokens on the Ethereum Blockchain Under the Digital Content Directive’, in: Lehavi A., Levine-Schnur R. (eds), Disruptive Technology, Legal Innovation, and the Future of Real Estate, Springer 2020; Alexandra Giannopoulou e.a., ‘The Rise of Non-Fungible Tokens (NFTs) and the Role of Copyright Law – Part I’, Kluwer Copyright Blog 14 april 2021, https://bit.ly/3ve3d2b.
[234] De evaluatie is raadpleegbaar op rijksoverheid.nl.
[235] J.J. Oerlemans, Rapport evaluatiecommissie Jones-Bos: the good, the bad and the ugly, 26 januari 2021 jjoerlemans.com.
[236] S. Derix, R. Wassens, Toezichthouders op AIVD en MIVD vrezen ‘uitholling’ van hun bevoegdheden, NRC Handelsblad 7 maart 2021.
[237] Hoge Raad 9 februari 2021, ECLI:NL:HR: 2021:202. Zie ook: T. Beekhuis, C.M. Taylor Parkins-Ozephius, W. Albers & D.A.G. van Toor, ‘De ontgrendelplicht in rechtsvergelijkend perspectief’, Computerrecht 2020/131 (deel 1) en 2020/179 (deel 2); Jan-Willem van den Hurk & Sander de Vries, ‘Onderzoek van gegevens(dragers)’, NJB 2020/2806.
[238] Rb. Den Haag 5 februari 2020, ECLI:NL:RBDHA:2020;865. Zie ook: Red., ‘SyRi-coalitie: ‘Super-SyRi’ blauwdruk voor meer toeslagenaffaires’, NJB 2021/273.
[239] EHRM 4 september 2020, appl. Nr. 46259/16 (Privacy International e.a. / Verenigd Koninkrijk).
[240] HvJ EU 6 oktober 2020, zaken C-511/18, 512/18, 520/18, ECLI:EU:C:2020:791.
[241] HvJ EU 2 maart 2021, zaak C-746/18, ECLI:EU:C:2021:152 (H.K./Prokuratuur).