Category

Geschreven door Lynn Vleugels, semesterstagiaire bij het team corporate en IP/ICT recht.

In het kader van de Digital Single Market strategie wordt de Europese regelgeving inzake digitale diensten grondig herzien (e-commerce, telecom, online platformen,…). Ook op het vlak van privacy en gegevensbescherming wordt het wetgevend kader hervormd. Als aanvulling op de Algemene Verordening Gegevensbescherming (GDPR) en de nieuwe NIS- richtlijn, die beide 25 mei 2018 van toepassing worden, is er nu ook een voorstel gepubliceerd voor hervorming van de e-Privacy Richtlijn.

Het voorstel beoogt strengere privacyregels, in lijn met de strikte GDPR, voor alle elektronische communicatiediensten die gericht zijn aan eindgebruikers in de EU. Net zoals met de GDPR wordt de huidige richtlijn veranderd in een verordening, die de regels rechtstreeks toepasselijk maakt, in de hele EU.

Allereerst wordt in het voorstel het toepassingsgebied verruimd. Daar waar de huidige richtlijn zich louter tot de traditionele telecombedrijven richt, zou de verordening ook van toepassing zijn op marktspelers die communicatiediensten via het internet aanbieden, de “over-the-top” diensten (OTT) zoals Whatsapp, Skype, Facebook Messenger en e-maildiensten. Daarnaast zou de verordening ook toepassing vinden wat betreft elektronische communicatie tussen apparaten, het Internet of Things (IoT).

Het voorstel bevat ook nieuwe regels voor de opslag en verwijdering van de elektronische berichten en de metadata ervan (afkomst, datum,…). Na ontvangst moeten de dienstverleners de inhoud verwijderen of anonimiseren, tenzij ze uitdrukkelijke toestemming hebben bekomen van de eindgebruiker om de gegevens op te slaan of te verwerken, mits dat noodzakelijk is om de dienst te verlenen. Ook de metadata moeten worden verwijderd of geanonimiseerd behoudens toestemming, of indien ze noodzakelijk zijn voor de betaling of het opsporen van misbruik van de dienst.

Daarnaast wijzigt het voorstel de regels inzake ‘cookies’. De voorwaarden om cookies te plaatsen zijn: een actieve toestemming van de eindgebruiker en het weergeven van een duidelijke en specifieke reden voor het gebruik ervan. Volgens de nieuwe regels is echter geen toestemming meer nodig om de website of communicatie vlot te laten verlopen of om het aantal bezoekers te tellen. Met het voorstel zou de controle op de privacy-instellingen in het algemeen, waaronder het al dan niet accepteren van cookies, makkelijker worden.

Ook voor SPAM (of: ongewenste communicatie voor reclamedoeleinden) biedt het voorstel betere waarborgen. Voor alle elektronische (ook telefonische) marketing is toestemming nodig. Het wordt vereist dat callcenters, mits een speciale prefix of nummer, duidelijk maken dat het om reclame gaat. Wat betreft B2B-relaties stelt het voorstel dat de lidstaten zelf bepalen hoe ze ondernemingen hierbij voldoende kunnen beschermen.

Een laatste belangrijke wijziging betreft het sanctiemechanisme. Overeenkomstig de GDPR, zouden boetes kunnen worden opgelegd die tot 20 miljoen euro of 4% van de vorige globale jaaromzet.

Het blijft echter koffiedik kijken of ook deze hervormde verordening op 25 mei 2018 in werking kan treden, samen met de GDPR en de NIS-richtlijn.

Geschreven door Stefanie Vinck, semesterstagiaire bij het team corporate en IP/ICT recht.

Op 6 juli 2016 heeft het Europees Parlement een richtlijn aangenomen over netwerkbeveiliging en informatiesystemen (‘NIS Directive’). Het voorstel voor deze richtlijn dateerde al van 2013. Het doel is om een hogere beveiliging van netwerk- en informatiebeveiliging te verkrijgen over de hele unie.

Na de inwerkingtreding in augustus krijgen de lidstaten nog de tijd tot 9 mei 2018 om deze richtlijn te implementeren in hun eigen wetgeving. Dit heeft als gevolg dat bedrijven moeten beginnen met nadenken of zij onder deze nieuwe regelgeving vallen. Indien het antwoord hierop positief zou zijn, moeten zij nadenken of zij hun veiligheidsprocedure zullen moeten herzien en aanpassen naar het recht van het land waar ze zich bevinden.

De richtlijn zelf verplicht de lidstaten om voorbereid te zijn door de juiste uitrusting te hebben. Bijvoorbeeld door het oprichten van een NIS-autoriteit, samenwerking te creëren met andere lidstaten, … Ze zullen ook verplicht worden om een Computer Security Incident Response Team (CSIRT) in te zetten zodat er snel gereageerd kan worden op veiligheidsincidenten en zodat er informatie gedeeld kan worden over risico’s. De veiligheidscultuur zal zich uitstrekken over verschillende sectoren die van vitaal belang zijn voor de economie, van transport en water tot de cloud.

De Europese Unie zal zelf ook blijven werken aan cybersecurity. Dit door haar eigen netwerk, namelijk ‘the European Union Agency for Network and Information Security’ (ENISA). Bovendien haalde de Europese Commissie haar intentie aan om de cybersecurity te stroomlijnen, opleidingen te coördineren en trainingen te voorzien.

Anderzijds voorziet de richtlijn ook in de oprichting van twee werkgroepen: enerzijds is er de samenwerkingsgroep die de uitwisseling van informatie tussen de lidstaten moet garanderen, anderzijds is er het CSIRT-team, dat hierboven reeds besproken werd.

Verder is nog vermeldenswaardig dat de lidstaten zelf bevoegd zijn om inbreuken op de richtlijnen te sanctioneren.

Geschreven door Robin Olivier Karpiel, zomerstagiair bij het team corporate en IP/ICT recht.

Arrest Hof van Justitie 7 september 2016 (c-310/15, Vincent Deroo – Blanquart t. Sony Europe Limited)

Huidige praktijk

Als een consument zich een nieuwe computer aanschaft, dan koopt hij niet enkel de computer zelf (hardware), maar ook de bijbehorende, voorgeïnstalleerde software. Deze gezamenlijke koop is op de dag van vandaag zeer gebruikelijk, aangezien de software in principe een kant en klaar gebruik waarborgt voor de consument. De voorgeïnstalleerde software krikt echter in grote mate de prijs van de aankoop op, meestal zonder dat de consument de keuze krijgt om geen software of slechts bepaalde softwareproducten te kopen. Uit deze praktijk volgen dan ook interessante prejudiciële vragen die hierna besproken zullen worden in het licht van het arrest van het Hof van Justitie van 7 september 2016.

Redenering van het Hof

Het Hof onderzoekt eerst of het kopen van een computer met voorgeïnstalleerde software, zonder mogelijkheid voor de consument om hetzelfde model computer zonder voorgeïnstalleerde software te kopen, een oneerlijke handelspraktijk vormt. Vervolgens buigt zij zich over het feit dat de kostprijs van elk afzonderlijk deel van software niet bekend is bij de consument.

Het Hof van Justitie stelt dat een belangrijk deel van consumenten een gezamenlijke koop met software verkiest boven een afzonderlijke koop. Daarnaast werd men in casu door de detailhandelaar naar behoren geïnformeerd over het bestaan van de voorgeïnstalleerde software en de kenmerken ervan.[1] Ten slotte had men de mogelijkheid om in te stemmen met de eindgebruikersovereenkomst, of men kon anderzijds de koop herroepen.

Het Hof vindt bijgevolg niet dat er sprake is van een wezenlijke storing van het economisch gedrag, waarbij een consument een transactie zou besluiten waartoe hij anders niet zou besluiten. Aangezien de consument ‘perfect’ geïnformeerd zou zijn en het hem vrij zou staan om een ander model te kiezen, al dan niet met software, stelt het Hof dat er hier in principe geen sprake zou zijn van een oneerlijke handelspraktijk.

De consument is wel op de hoogte van de totaalprijs en gebaseerd op bovenstaande redenering van het Hof, is het gezamenlijk aanbod van computer en software geen oneerlijke handelspraktijk. Het Hof lijkt hier te zeggen dat, aangezien het aanbod toch onafscheidelijk verbonden is, de afzonderlijke prijzen geen essentiële informatie[2] vormen voor de consument. Aangezien dit geen essentiële informatie is, belet dit de consument niet om een geïnformeerd besluit te nemen, waardoor dus geen sprake zou zijn van een misleidende handelspraktijk.

Kritische analyse

KEUZE VAN DE CONSUMENT

Bij aankoop van een computer hebben veel voorgeïnstalleerde softwareprogramma’s vandaag de dag maar een beperkte functie waardoor zij steeds dichter en dichter komen te staan bij advertenties. Zo is sommige voorgeïnstalleerde software onderworpen aan een proefperiode en zal men later een volledige versie moeten aankopen (trialware). Andere voorgeïnstalleerde programma’s dienen als een digitale doorverwijzing naar een site of een digitale winkel om zo via bijkomende betaling volledig gebruik van de software toe te staan (adware). Dergelijke ongewilde voorgeïnstalleerde software, ook wel bloatware genoemd, zet de consument meestal enkel aan om bijkomende uitgaven te doen. Bloatware heeft op zich een uiterst beperkt nut, maar wordt opgenomen in voorgeïnstalleerde pakketten aangezien zij een bron van inkomsten vormt.

Het Hof stelt dat consumenten voorgeïnstalleerde software verkiezen, maar maakt hierbij geen onderscheid tussen de OS[3], die voor vele consumenten een snel en eenvoudig gebruik waarborgt, en andere softwareprogramma’s die, ofwel enkel bijkomende functies vervullen, ofwel zoals hierboven uiteengezet onder bloatware vallen. Op deze wijze laat het Hof een quasi onbeperkte implementering van bloatware en andere nutteloze software toe, aangezien deze door de prejudiciële beslissing onlosmakelijk verbonden wordt met de rest van het aanbod.

Opvallend is dat het Hof hier geen ruimte laat voor de keuze van de consument. Hij krijgt immers enkel de keuze om de EULA te aanvaarden of om het apparaat terug te geven. Het lijkt echter consumentvriendelijker om de koper de keuze te geven om slechts bepaalde software aan te schaffen of zelfs geen. Het argument van het Hof dat een belangrijk deel van consumenten een direct bruikbare computer verkiest, gaat op in zoverre men het heeft over een OS. Het verklaart niet waarom een consument op vlak van andere programma’s geen beperkingen kan stellen.

Zelfs op vlak van een OS zou het in principe mogelijk moeten zijn om de software te weigeren. Het Hof gebruikt een omgekeerde redenering door eerst te zeggen dat het gezamenlijk aanbod geen oneerlijke handelspraktijk is, o.a. doordat de koper perfect geïnformeerd is over het aanbod en dat men daarom dus ook niet de aparte prijs van elk software-onderdeel moet kennen. Het is echter omdat de koper de exacte prijs niet kent van elk software-onderdeel, dat de consument niet voldoende geïnformeerd is en dat het gezamenlijk aanbod juist een oneerlijke handelspraktijk vormt. Indien consumenten op de hoogte zouden zijn van de bijkomende kosten van een OS, dan zouden zij op een geïnformeerde wijze kunnen deelnemen aan het handelsverkeer en eventueel ook besluiten om een goedkopere versie van de computer aan te schaffen, zonder OS of met een andere OS.

Het Hof lijkt vervolgens ook volledig het bestaan van open-source OS (Linux, GNU, …) te negeren. Hoewel open-source OS voor de gemiddelde consument minder toegankelijk is, houdt zij in de regel niet een aanzienlijke stijging van de totaalprijs in, zoals bij andere OS. Aangezien het Hof heeft besloten dat afzonderlijke prijzen van software-onderdelen geen essentiële informatie vormen, zal een consument zich niet op de hoogte kunnen stellen van het prijsverschil met open-source OS en zal hij deze hoogstwaarschijnlijk niet aanschaffen. Op deze wijze bevoordeelt de beslissing van het Hof onrechtstreeks populaire en duurdere OS en benadeelt zij open-source OS aangezien zij door hun prijsvriendelijke status vaak niet in voorgeïnstalleerde softwarepakketen zitten begrepen. Het Hof komt dus in dit opzicht met zijn prejudiciële beslissing tussen op concurrentieel vlak.

Het argument waarbij er gesteld wordt dat de consument steeds de mogelijkheid zou hebben om een ander model van computer te kopen indien hij niet akkoord zou zijn met de EULA is een pure fictie. Het Hof lijkt niet het besef te hebben dat bijna een absolute meerderheid van computerfabrikanten op dezelfde manier handelt als Sony in casu en dus gebruik maakt van duurdere OS die de prijs van het volledige product opdrijft.

Het moge dus duidelijk zijn dat deze rechtspraak op meerdere wijzen beperkend is ten aanzien van de keuze van consumenten.

Het Hof gaat met zijn recente beslissing in tegen eerdere Europese rechtspraak. De meest noemenswaardige uitspraak hieromtrent is misschien wel die van het Hof van Cassatie van Italië[4], door consumenten geprezen als het einde van de ‘Microsoft-Tax’. In deze zaak van 2014 werd beslist dat, met het oog op de keuzevrijheid van de consument en de concurrentie tussen bedrijven, software en hardware geen gezamenlijke koop vormen. Zo stelt het arrest dat men bij de aankoop van een computer twee aparte contracten sluit (een koop en een licentie) met elk apart een mogelijkheid tot terugbetaling.

Het Hof legt met dit arrest onnodige beperkingen op general purpose hardware zoals computers en besteed met haar beslissing weinig aandacht aan hun breed toepassingsgebied. In hoeverre dit arrest doorweegt voor andere apparatuur met voorgeïnstalleerde software is nog onduidelijk. Deze beperking inzake computers stelt voor consumenten van andere digitale apparatuur echter weinig positieve vooruitzichten.

[1] HvJ 23 april 2009, VTB-VAB NV vs Total Belgium NV, C‑261/07 en Galatea BVBA vs Sanoma Magazines Belgium, C‑299/07, punt 66.

[2] art 7, lid 4, Richtlijn 2005/29

[3] Operating System, bv. Microsoft Windows 7, Apple MacOS, Google Android, …

[4] http://www.italgiure.giustizia.it/xway/application/nif/clean/hc.dll?verbo=attach&db=snciv&id=./20140912/snciv@s30@a2014@n19161@tS.clean.pdf

Geschreven door Lynn Vleugels, zomerstagiaire bij het team corporate en IP/ICT recht.

In navolging van de Europese Dataretentierichtlijn die in 2014 vernietigd werd door het Europees Hof van Justitie, heeft het Grondwettelijk Hof ook de Belgische Dataretentiewet vernietigd op 11 juni 2015. Overeenkomstig deze wet moesten telecom- en internetoperatoren de communicatiegegevens waarover zij beschikken gedurende 12 maanden bewaren voor het onderzoeken, opsporen en vervolgen van strafbare feiten.

De reden van nietigverklaring ligt in het feit dat die bewaring in strijd werd bevonden met het gelijkheids- en non-discriminatie beginsel en het recht op privacy en eerbiediging van het privéleven. Beide hoven keurden de ruime en algemene bewaringsplicht af, omdat die werd toegepast zonder enig onderscheid betreffende welke gegevens bewaard moesten worden en van wie.

De Europese Commissaris (afdeling Binnenlandse Zaken) berichtte eerder dat er geen nieuwe richtlijn komt en het dus aan de lidstaten is om nieuwe, niet-strijdige, regelgeving op te stellen. De Belgische wetgever heeft in de nieuwe Dataretentiewet de bewaringsplicht behouden. Wel voorziet de wet in meer en betere waarborgen die de privacy moeten veiligstellen en het risico op misbruik beperken.

Een eerste belangrijke garantie is dat de beschikbaarheid van de persoonsgegevens afhankelijk is van het soort misdrijf. Hoe zwaarder de potentiële straf, hoe langer men toegang heeft tot de gegevens. De wet bepaalt duidelijk welke personen of overheden (gerechtelijke autoriteiten, politie, inlichtingendiensten,…) de gegevens mogen ontvangen en voor welke doeleinden. Daarnaast bevat de wet strengere toegangs- en beschermingsvoorwaarden zoals technologische bewaringsmaatregelen en organisatorische beveiliging van de gegevens.

De hervormde Dataretentiewet is op 28 juli 2016 in werking getreden en wijzigde hierbij de Wet op de Elektronische Communicatie, het Wetboek van Strafvordering en de Wet houdende regeling van de inlichtingen- en veiligheidsdienst.

Daarnaast ging op 13 augustus 2016 het koninklijk besluit van kracht dat niet langer een onbeperkte bewaring van gegevens door de Staatsveiligheid en de militaire inlichtingendienst toelaat. Na 50 jaar – of in sommige gevallen reeds sneller – moeten zij alle persoonsgegevens vernietigen. In uitzonderlijke gevallen kunnen ze echter langer worden bijgehouden, bijvoorbeeld indien noodzakelijk in het kader van een gerechtelijk onderzoek. In die gevallen zal wel elke vijf jaar een evaluatie plaatsvinden waarbij de diensten bepalen of de gegevens nog moeten bewaard worden. Zo niet, worden ze onmiddellijk vernietigd.

Met al deze tijds- en gebruiksbeperkingen probeert de wet tegemoet te komen aan de moeilijke balans tussen het recht op privacy en criminaliteitsbestrijding. De nieuwe waarborgen die zijn ingevoerd moeten de proportionaliteit van de inmening in de privacy verzekeren en zo helpen aan de digitale opsporing van misdrijven, die in deze 21e eeuw een sterk hulpmiddel kan bieden.

Op 14 april 2016 heeft het Europese Parlement de General Data Protection Regulation/Algemene Verordening Persoonsgegevens (hierna de “Verordening”) goedgekeurd.

Deze goedkeuring is het eindpunt van een vier jaar durende inspanning van de Europese wetgever om het huidig wetgevend kader met betrekking tot de bescherming van persoonsgegevens te updaten, te optimaliseren en te harmoniseren. De Verordening, die rechtstreeks toepassing zal vinden in alle lidstaten zonder dat omzetting in de nationale rechtsordes vereist is, zal de huidige Richtlijn 95/46/EC vervangen.

Hieronder worden kort enkele belangrijke wijzigingen opgelijst:

• Responsabilisering van de verwerkers (diegenen die op instructie van de verantwoordelijke van de verwerking de persoonsgegevens verwerken) door enerzijds het opleggen van verplichtingen en anderzijds het instellen van sanctiemechanismen (onder het vigerend kader rusten de verplichtingen op de verantwoordelijke voor de verwerking en kan enkel de verantwoordelijke voor de verwerking worden aangesproken);
• Het herdefiniëren van het criterium van de toestemming om gegevens te verwerken, waarbij een duidelijke en actieve toestemming vereist is;
• Het versterken van de rechten van diegene wiens persoonsgegevens worden verwerkt door het introduceren van het recht om vergeten te worden (door het verwijderen van opgeslagen persoonsgegevens) en het recht om persoonsgegevens op gemakkelijke wijzen over de dragen naar een andere dienstverlener. Bijkomend dient ook op meer transparante wijze informatie verschaft te worden aan deze betrokkenen en moeten zij in bepaalde gevallen op de hoogte worden gesteld van inbreuken op de bescherming van hun persoonsgegevens;
• De introductie van de figuur van de Data Protection Officer/Functionaris voor de Gegevensbescherming die zal moeten worden aangesteld in ondernemingen die aan bepaalde criteria voldoen. Deze functionaris dient toezicht te houden op te verwerkingen.
• Introductie van enkele nieuwe concepten, zoals “privacy by design” and “privacy by default”, waarbij wordt uitgegaan van de regel dat ondernemingen gedurende de hele productiecyclus oog moeten hebben voor de bescherming van persoonsgegevens en waarbij het uitgangspunt in ieder geval een minimale verwerking van persoonsgegevens dient te zijn;
• De verplichtingen om een privacyeffectenbeoordeling uit te voeren in bepaalde gevallen waarbij er een risico bestaat dat verwerking van persoonsgegevens een gevaar vormt voor de bescherming ervan;
• Het instellen van een “one-stop shop” voor ondernemingen met verschillende vestigingen in de Europese Unie, waarbij één toezichthoudende autoriteit zal optreden als aanspreekpunt;
• Uitbreiding van het toepassingsgebied van de Verordening tot derde landen onder bepaalde voorwaarden.

De finale tekst zal in de komende weken in het Publicatieblad van de Europese Unie gepubliceerd worden. De inwerkingtreding staat vastgesteld op 20 dagen na de publicatie. De nieuwe regels zullen dan twee jaar later toepassing vinden. Dit betekent dat ondernemingen nog twee jaar de tijd hebben om zich de nieuwe regels eigen te maken, zodat zij met kennis van zaken en met inachtneming van hun gewijzigde verplichtingen het vernieuwde speelveld zullen kunnen betreden.

Op 28 november 2013 deed de Europese Commissie een voorstel voor een nieuwe richtlijn “betreffende de bescherming van niet-openbaar gemaakte knowhow en bedrijfsinformatie (bedrijfsgeheimen) tegen het onrechtmatig verkrijgen, gebruiken en openbaar maken daarvan.”

Na heel wat onderhandelingen en diverse aanpassingen heeft de Commissie Juridische zaken van het Europees Parlement op 16 juni 2015 haar goedkeuring gegeven over het ontwerp voor een nieuwe richtlijn ter bescherming van bedrijfsgeheimen. Op 24 november 2015 zal de ontwerprichtlijn in de plenaire vergadering van het Europees Parlement worden behandeld.

Deze ontwerprichtlijn heeft als voornaamste doelstelling de bescherming van bedrijfsgeheimen in Europa te verbeteren en verder te harmoniseren. Zo zal de notie bedrijfsgeheim op eenzelfde wijze worden gedefinieerd in alle lidstaten van Europa. De huidige ontwerptekst laat uitschijnen dat er zal worden gekozen voor een zeer algemene omschrijving van het begrip “bedrijfsgeheim”.

Bedrijfsgeheimen zullen door deze harmonisatierichtlijn een vergelijkbare bescherming krijgen in alle lidstaten van de EU. Opmerkelijk hierbij is dat ondernemingen geen voorafgaande deponering of registratie nodig zullen hebben om gebruik te kunnen maken van deze bescherming.

Hierdoor zal er heel wat geheime data en informatie van ondernemingen op doeltreffende wijze worden beschermd tegen het onrechtmatig verkrijgen, gebruiken en/of publiek maken van deze bedrijfsgeheimen. Zo zullen bedrijven voorlopige en bewarende (beslag)maatregelen, een stakingsbevel, stopzetting en/of schadevergoeding kunnen vorderen wanneer er misbruik wordt gemaakt van hun bedrijfsgeheim(en).

Ingevolge de goedkeuring van deze ontwerprichtlijn door het Europees Parlement zal er een veel betere bescherming voor heel wat ondernemingen en in het bijzonder voor KMO’s tot stand komen. Deze laatst genoemde groep heeft immers zeer veel waardevolle informatie die nog steeds op onvoldoende wijze wordt beschermd.

Desalniettemin verdient het de aanbeveling dat ondernemingen op heel omzichtig wijze blijven omspringen met hun geheime informatie. Het afsluiten van NDA verklaringen, het opstellen van een intern beleid betreffende de behandeling van geheime informatie moet nog steeds het uitgangspunt zijn.

Na de plenaire zitting in het Europees Parlement zullen wij u verder berichten over de status van deze nieuwe richtlijn.

Op 16 juni heeft Article 29 Working Party (WP29) haar advies (01/2015) omtrent de verwerking van persoonsgegevens in het kader van het gebruik van drones gepubliceerd.

Advies

In haar advies erkent WP29 de sociale en economische voordelen van de integratie van drones in de Europese luchtvaartmarkt maar wijst anderzijds ook op de gevaren en risico’s die het gebruik van dergelijke remotely piloted aircraft systems (RPAS) met zich meebrengen. Door hun techniciteit en beweeglijkheid kunnen drones immers enorme hoeveelheden data verzamelen over grote gebieden. Bepaalde van deze data kan persoonsgegevens bevatten (e.g. afbeeldingen, geluiden, geolocaties). Zonder duidelijke regels is het risico op misbruik van deze gegevens niet ver weg.

WP29 stelt dat hoewel een specifieke wetgeving omtrent bescherming van persoonsgegevens in het kader van het gebruik van drones ontbreekt, de EU richtlijn betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens (95/46/EG) wel van toepassing is.

In haar advies geeft WP29 tevens een aantal aanbevelingen voor (i) gebruikers van drones, (ii) fabrikanten en (iii) de nationale en Europese regelgeving.

In eerste instantie stelt WP29 dat de drone gebruiker onder andere:

• moet nagaan of het nationale recht het gebruik van drones toestaat en of er voorafgaande toestemming nodig is van de burgerlijke luchtvaartautoriteit;
• een manier moet vinden om de mensen voorafgaandelijk op de hoogte te brengen over de verwerking van hun persoonsgegevens (e.g. door het verspreiden van folders aan het publiek als drones worden gebruikt tijdens een publiek evenement);
• enkel persoonsgegevens mag verwerken voor zover hierbij het redelijkheids- en proportionaliteitsbeginsel worden nageleefd;
• alle passende veiligheidsmaatregelen moet nemen;
• alle onnodig verzamelde persoonsgegevens zo spoedig mogelijk moet verwijderen of anonimseren.

Aan fabrikanten beveelt de werkgroep aan om:

• zoveel mogelijk gebruik te maken van zogenaamde privacy friendly designs;
• procedures en policies op te stellen (e.v. via de data protection officer) die de impact van drones op het recht van individuen zoveel mogelijk evalueren.

Tenslotte beveelt WP29 aan de nationale en Europese regelgevende instanties aan om specifieke regels in te voeren die een verantwoord gebruik van drones toelaten.

De volledige tekst van het advies kan worden geraadpleegd op http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/files/2015/wp231_en.pdf

Situatie in België

Voorlopig ontbreekt in België een aangepaste dronewetgeving. Drones mogen in België in principe ook niet worden gebruikt. Op 31 maart 2015 kondigde minister van Mobiliteit Jacqueline Galant (MR) echter aan dat België nog dit jaar een nieuwe wettelijke regeling voor onbemande vliegtuigjes zou krijgen.

Naast de nieuwe wetgeving zal ook de wetgeving over het gebruik van het luchtruim en de privacywet van toepassing zijn (van zodra er persoonsgegevens worden verwerkt). Is er een camera op de drone gemonteerd, kan ook de camerawet van toepassing zijn.

De Belgische Privacycommissie zet op haar website uiteen welke verplichtingen de privacywetgeving en de camerawet opleggen aan de gebruikers van drones. Belangrijkste verplichting is de aanmelding van het gebruik van de drone bij de Privacycommissie.[1]

Voor meer vragen kan u contact opnemen met Mathias Baert (mathias.baert@questa-law.be).

[1] http://www.privacycommission.be/nl/nieuws/privacycommissie-beantwoordt-veelgestelde-vragen-over-drones

E-Health: de verwerking van gezondheidsgegevens via applicaties op je iPhone – iWatch – etc- “Working Party 29” verduidelijkt het toepassingsgebied

Dezer dagen zetten bedrijven als Apple en Samsung meer en meer in op de ontwikkeling van gezondheidsapplicaties. Het gaat hier over de zogenaamde “smart watches” en arm-/polsbanden die gezondheidsinformatie over de “user” verzamelen. Maar al te vaak beseffen de gebruikers van zulke applicaties niet dat hun gezondheidsgegevens worden verwerkt met mogelijks negatieve gevolgen voor hun privéleven. Het is hierbij dan ook van belang dat gebruikers bewust zijn of worden van de gevoelige data die zij ter beschikking stellen aan deze ondernemingen.

We dienen te benadrukken dat gezondheidsgegevens tot een beter beschermde categorie van data behoren. Maar ingevolge de toename van het aantal gezondheidsapplicaties, heeft de “Working Party 29” (hierna: WP 29) in februari van dit jaar een verduidelijking gegeven over welke data als gezondheidsgegevens dienen te worden beschouwd. Persoonlijke data wordt als gezondheidsdata aanzien wanneer:

1. de data inherent/duidelijk medische data zijn;
2. de data ruwe sensorgegevens zijn die kunnen worden gebruikt op zichzelf of in combinatie met andere data om tot een besluit te komen over de actuele gezondheidstoestand of gezondheidsrisico van een persoon; of
3. conclusies worden getrokken over een persoon zijn persoonlijke gezondheidsstatus of gezondheidsrisico (ongeacht of deze conclusies accuraat of inaccuraat, wettig of onwettig, of anderszins adequaat of inadequaat zijn).

Daarenboven verduidelijkt WP 29 dat wanneer de data niet worden verstuurd en/of verwerkt buiten het toestel, de verplichtingen van de richtlijn 95/46/EG niet van toepassing zijn (zie art. 3, 2 richtlijn 95/46/EG). Maar wanneer de verwerking van deze gegevens echter wel plaatsvinden buiten het toestel worden deze enkel toegestaan in de gevallen zoals bepaald in artikel 8 (2), (3), en (4) van richtlijn 95/46/EG.

Maar niet alle informatie die wordt verzameld via “health applications” zijn gezondheidsgegevens in de zin van artikel 8 van de richtlijn, e.g. de registratie, via een applicatie op je iPhone, van het aantal stappen gedurende een wandeling zal niet volstaan om een besluit te maken over jouw gezondheidsstatus. In dit kader waarschuwt WP 29 in haar annex voor data die zich in de zogenaamde “grijze zone” bevinden. In deze gevallen is het niet altijd even evident om te bepalen of de verzamelde data “gezondheidsgegevens” omvatten of niet.

WP 29 benadrukt wel dat niet enkel de aard van de data, maar ook de bestemming van deze gegevens in acht moet worden genomen bij de toetsing of de data te kwalificeren zijn als gezondheidsgegevens. Zo zal bijvoorbeeld een 1-mailge registratie van data betreffende een persoon zijn gewicht of bloeddruk (zonder bijkomende informatie over leeftijd of geslacht) niet volstaan om een conclusie te treffen over de gezondheidstoestand van deze persoon. Maar indien deze gegevens worden verzameld voor een bepaalde periode en in combinatie met de gebruiker zijn leeftijd en geslacht staat dit ons wel toe om een besluit te maken over de gezondheidsstatus van deze persoon.

Annex Working Party 29 – Health data in apps and devices

België is al lang een van de minder actieve EU-staten op het gebied van het optreden tegen inbreuken op de privacy en de verwerking van persoonsgegevens. Dit valt deels te verklaren door het feit dat de Belgische Privacycommissie weinig tot geen handhavingsbevoegdheid heeft. Volgens staatssecretaris voor de Privacy Bart Tommelein (Open VLD) komt hier tegen eind dit jaar verandering in en zal de Privacycommissie zelf kunnen optreden tegen bedrijven en particulieren die de wetten op de bescherming van de privacy overtreden.

Wanneer de Privacycommissie op heden een inbreuk vaststelt, kan zij zelf geen boetes opleggen. Wenst zij toch te sanctioneren dan dient zij een burgerlijke procedure op te starten bij de rechtbank van eerste aanleg of een klacht in te dienen bij het parket. Daar strafrechtelijke vervolging van inbreuken op de privacywet vrijwel onbestaande is, leidt dit in de praktijk tot een feitelijke straffeloosheid.

In aanloop naar de nieuwe EU-Verordening inzake de verwerking van persoonsgegevens in 2013 had de Privacycommissie er bij de regering reeds op aangedrongen om haar robuustere handhavingsbevoegdheden te verlenen. Deze oproep heeft nu gehoor gekregen. Zo zou de Privacycommissie in de toekomst de rol van toezichthouder krijgen, zoals er ook een in de energie- en telecomsector bestaat. Als toezichthouder zal zij tevens de mogelijkheid krijgen om boetes uit te delen.

Over de omvang van de boetes wou Tommelein zich niet uitspreken maar de voorzitter van de Privacycommissie, Willem Debeuckelaere, denkt dat die, net als bij energie- en telecomregulator, kunnen gaan van EUR 250 tot EUR 20.000. De omvang van de boete zal afhangen van de grootte van de inbreuk, de nalatigheid van een bedrijf of particulier en de inspanningen om het probleem op te lossen. Hoewel deze bedragen aanzienlijk lager zijn dan de maximale strafrechtelijke boete van EUR 600.000 die bedrijven kunnen oplopen in het (onwaarschijnlijke) geval van vervolging en niet eens in de buurt komen van de omvang van de potentiële boetes die in het kader van de toekomstige EU-Verordening worden overwogen, is dit een belangrijke stap in bescherming van het ongeoorloofd gebruik van persoonsgegevens.

De strijd tegen het illegaal reproduceren van auteursrechtelijk beschermde werken is allesbehalve gestreden. Na het downloaden, komen nu ook het streamen en de (il)legaliteit van de bron in de spotlights te staan.

 Stichting de Thuiskopie

De evolutie omtrent de vereiste van een legale bron voor downloaden van auteursrechtelijk beschermde werken werd op Europeesrechtelijk vlak beslecht door een arrest van het Hof van Justitie op 14 april 2014[1].

Voor dit arrest heerste er gedurende lange tijd een gedoogbeleid omtrent het downloaden van beschermde werken zonder toestemming van de auteur. De toen vigerende rechtsleer in België aanvaardde dat het downloaden toegestaan was en dat er geen toestemming nodig was van de auteur, op voorwaarde dat de reproductie enkel bestemd was voor privégebruik. Deze redenering had tot gevolg dat ook het downloaden uit illegale bron onder de uitzondering voor de privékopie bepaald in artikel 5(2)(b) van de Auteursrichtlijn[2] kon worden gebracht.

In het voormelde arrest haalde het Hof van Justitie deze visie evenwel onderuit. Een nationale regeling die geen onderscheid maakt tussen reproducties vanuit legale of illegale bron is strijdig met de in de richtlijn voorziene uitzondering voor de privékopie. Sterker nog, het uit illegale bron downloaden van bestanden kan niet worden gebracht onder de uitzondering van de privékopie.

Met dit arrest van het Hof van Justitie werd de daarvoor heersende onzekerheid met betrekking tot de legaliteit van de bron aldus beslecht in het voordeel van de rechthebbenden.

Streaming

Ook vragen met betrekking tot de legaliteit van de bron bij streamen steken nu de kop op. In een zaak voor de Rechtbank Midden-Nederland, afdeling Civiel recht,[3] is momenteel een procedure hangende met betrekking tot de tijdelijke reproductie door het streamen van beschermde werken uit illegale bron. Filmspeler.nl biedt een media speler aan, gebruik makend van open-source software en add-ons die hyperlinks bevatten naar steamingwebsites die fims, series en (live)sportwedstrijden vrij toegankelijk maken, al dan niet met toestemming van de rechthebbenden. Filmspeler zelf overweegt dat downloaden illegaal is, maar streamen niet.

In haar vonnis van 10 juni 2015 overweegt de rechtbank om prejudiciële vragen te stellen aan het Hof van Justitie, dit vanuit de overweging of er in navolging en in de lijn van bovenvermeld arrest van het Hof van Justitie ook niet moet worden geoordeeld dat het maken van tijdelijke reproducties bij het streamen uit ongeoorloofde bron evenmin toelaatbaar is.[4]

 Het verdere verloop

De partijen in bovenvermelde Nederlandse zaak hebben nu de mogelijkheid om nog opmerkingen te formuleren omtrent de voorgestelde prejudiciële vragen, waaronder de vraag omtrent de rechtmatigheid van streamen uit illegale bron.

De lezer moge al gewaarschuwd zijn. Ook het streamen van auteursrechtelijk beschermde werken kan binnenkort worden aangemerkt als strijdig met de Auteursrichtlijn indien het Hof van Justitie haar gestarte lijn voortzet.

Vonnis Rechtbank Midden-Nederland 10 juni 2015

[1]HvJ C-435/12, ACI Adam BV e.a. v. Stichting de Thuiskopie en Stichting Onderhandelingen Thuiskopie Vergoeding, 14 april 2014.

[2]Richtlijn 2001/29/EG van het Europees Parlement en de Raad van 22 mei 2001 betreffende de harmonisatie van bepaalde aspecten van het auteursrecht en de naburige rechten in de informatiemaatschappij.

[3] Rechtbank Midden-Nederland 10 juni 2015, IEF 15014 (Stichting BREIN tegen Filmspeler).

[4] Paragraaf 4.37.