Hoe zit het eigenlijk met eigendom op data?

In een tijdperk waarin big data het nieuwe goud zijn, big oil door big tech uit de Dow Jones is geknikkerd en de eerste tweet ooit is verkocht voor 2,9 miljoen dollar, dringt de vraag zich op: bestaat er zoiets als eigendom van data? En zo ja, wie is dan de eigenaar en wat houdt dit in?

Data hebben andere eigenschappen dan tastbare objecten, zoals een fiets of een auto. Een fiets kun je aanraken en identificeren en daardoor onderscheiden van andere fietsen. De eigenaar kan de fiets verkopen, verhuren of slopen mocht hij daar zin in hebben en anderen verbieden om zijn fiets te gebruiken. Het eigendom van de fiets is dus een exclusief en absoluut recht, dat tegen iedereen kan worden ingeroepen.

Bescherming van losse data

Bij data is dat anders. Eigendom van data, zoals een reeks namen, jaartallen, IP-adressen of sensorgegevens, bestaat niet. Losse gegevens hebben ook geen waarde. Pas in samenhang met andere data krijgen ze betekenis en ontstaat er informatie die waardevol kan zijn, afhankelijk van de kwaliteit en de hoeveelheid data in het bestand. Data vormen grondstof voor nieuwe verdienmodellen in alle mogelijke sectoren en zijn daarmee ook handelswaar geworden. Die waarde kan gigantisch zijn.

Maar hoe kun je handelen in iets wat niet beschermd is? Het is namelijk niet zo dat data nooit beschermd zijn. Een gestructureerd databestand kan bijvoorbeeld beschermd zijn door middel van een databankrecht. Dat is een exclusief recht op een verzameling van gegevens die ‘systematisch of methodisch geordend zijn’ (een databank) en waarvan ‘de verkrijging, controle of presentatie getuigt van een substantiële investering’. De producent van zo’n databank heeft een exclusief recht op de exploitatie van de databank, maar niet op de losse gegevens in de databank. Bovendien geldt dit recht niet voor zogenaamde spin-off databanken, dat wil zeggen dataverzamelingen die ontstaan als ‘bijvangst’ van een andere activiteit, zoals beurskoersen, uitslagen van sportwedstrijden of vluchtgegevens. Hierover zijn talloze rechtszaken gevoerd, bijvoorbeeld tussen Ryanair en PR Aviation over het ‘scrapen’ van vluchtgegevens voor de prijsvergelijkingssite Wegolo. Ryanair trok aan het kortste eind, omdat het bedrijf niet kon bewijzen dat in de totstandkoming van de databank als zodanig substantieel geïnvesteerd was.

Data als bedrijfsgeheim

Informatie kan ook beschermd zijn als bedrijfsgeheim, op grond van de Richtlijn bescherming bedrijfsgeheimen, die in heel Europa geldt. Daarbij gaat het om informatie met handelswaarde, juist omdat zij geheim is. Denk aan het recept van Coca-Cola, het ontwerp van een IT-systeem of een bestand met commerciële gegevens. Voor bescherming als bedrijfsgeheim is wel vereist dat er maatregelen zijn getroffen om de informatie geheim te houden, zoals geheimhoudingscontracten en technische beveiligingsmaatregelen. Iemand die bedrijfsgeheimen steelt of zonder toestemming deelt met derden, handelt onrechtmatig en kan worden veroordeeld tot schadevergoeding. Goed om te weten wanneer bijvoorbeeld een zakenpartner er met de knowhow van uw bedrijf vandoor dreigt te gaan.

Door geheimhouding ontstaat dus praktisch, en deels ook juridisch, een exclusief recht, dat verdacht veel lijkt op eigendom. Bezitter is de partij met datacontrole die bepaalt wie toegang krijgt tot de data en onder welke voorwaarden. Denk aan Google en Facebook die advertenties verkopen, terwijl onderliggende data niet worden gedeeld.

Toch zijn er duidelijke verschillen met het eigendom van een fiets. Het alleenrecht op het gebruik van data verdwijnt als sneeuw voor de zon zodra de data openbaar worden. Vanaf dat moment zijn de data in het publieke domein en is de bezitter van het bestand de controle voor altijd kwijt. Daarnaast kleven er beperkingen aan de handel in databestanden. Als het gaat om persoonsgegevens kan de AVG hieraan in de weg staan, bijvoorbeeld omdat verkoop niet in lijn is met het doel waarvoor de gegevens oorspronkelijk zijn verzameld.

Oké, maar hoe regelen we dit dan?

Afspraken vastleggen

Omdat eigendom van data niet bestaat, is het belangrijk dat afspraken over het gebruik ervan contractueel goed worden vastgelegd. Denk hierbij aan zaken als:

Wie heeft het gebruiksrecht, voor hoelang en waarop ziet dat gebruiksrecht precies?Zijn er persoonsgegevens in het spel? Dan is de AVG van toepassing, waarbij onder andere moet worden bepaald wie geldt als verantwoordelijke, voor welk doel de gegevens verwerkt (mogen) worden, hoelang de gegevens worden bewaard, of het gaat om gevoelige gegevens, hoe ze worden beveiligd, et cetera.Wie heeft recht op de verzamelde data of analytische gegevens na afloop van de samenwerking? In de samenwerking tussen een klant (die bijvoorbeeld advertentieruimte inkoopt) en een mediabureau is dit een belangrijk aspect. Wanneer een licentie wordt verleend op het gebruik van data, is het van belang om goed te regelen welke personen (feitelijk en juridisch) toegang krijgen, of het gebruiksrecht exclusief is en of sublicenties verleend mogen worden. Denk ook aan afspraken over vernietiging van informatie bij beëindiging van het contract. Bij Software-as-a-Service (SaaS), waarbij gegevens van de klant worden opgeslagen op servers van de provider, is juist van belang dat er afspraken worden gemaakt over migratie van data wanneer de klant overstapt naar een andere dienstverlener (een exitbepaling).

Lang verhaal kort: eigendom van data bestaat niet, maar feitelijk kan degene die de toegang tot de data controleert wel degelijk een alleenrecht hebben. Ook zijn data of daaruit afgeleide informatie op allerlei manieren verhandelbaar. Naast de technologie om data te verzamelen en te analyseren, spelen geheimhouding en contractuele afspraken een essentiële rol.

(c) Berber Brouwer, advocaat bij Walden Grene

Gerelateerde artikelen

ArtikelData, Tech & Legal

Autoriteit Persoonsgegevens gaat strenger toezicht houden

De Autoriteit Persoonsgegevens (AP) heeft met een brief aan de VIA aangekondigd in 2024 strenger toezicht te houden. Eerder al uitte het kabinet haar zorgen over het gebruik van cookies en online tracking, waardoor een extra budget van 500.000 euro per jaar aan de AP werd toegewezen voor het toezicht hierop. Dit extra budget zal de AP gebruiken om vaker te controleren of organisaties op de juiste manier toestemming vragen voor het plaatsen van onder andere tracking cookies. De AP heeft vuistregels op haar website gepubliceerd met uitleg hoe organisaties hun cookiebanner moeten inrichten en toestemming voor het plaatsen van tracking cookies gevraagd moet worden. De AP heeft deze brief naar de VIA gestuurd met het verzoek om de inhoud ervan onder de aandacht te brengen bij onze leden. Het is van belang dat jij, als lid van de VIA, hiervan op de hoogte bent. Zodat er nu de mogelijkheid is om eventuele aanpassingen uit te voeren. – Saskia Baneke-Delfgaauw, VIA-directeur Lees hieronder de brief van het AP. Via deze mail houden we onze leden op de hoogte van belangrijke juridische ontwikkelingen. Als contactpersoon van jouw organisatie vragen we je om deze e-mail door te sturen naar degenen binnen de organisatie voor wie deze updates van belang zijn. Alvast bedankt! Mochten er vragen zijn of hebben jullie hulp nodig, neem dan contact op met Saskia Baneke, [email protected] of Guido Grevink [email protected] Relevante links:Autoriteit Persoonsgegevens publiceert richtlijnen voor het opstellen van een correcte cookiebannerHeldere en misleidende cookiebanners | Autoriteit PersoonsgegevensLegal Digital Advertising Checklist VERSTERKT TOEZICHT OP TRACKING TECHNOLOGIEËN EN NORMUITLEG RONDOM COOKIES De Autoriteit Persoonsgegevens (AP) gaat vanaf dit jaar vaker controleren of websites op de juiste manier toestemming vragen voor het vragen van (tracking) cookies en andere volgsoftware. In de praktijk komt het namelijk regelmatig voor dat er misleidende cookiebanners worden gebruikt, waardoor de toestemming voor de verwerking van persoonsgegevens niet juist wordt verkregen. De AP wijst u middels deze brief graag op de normuitleg die de AP hier recent over heeft uitgebracht. Cookies en de AVGBij het gebruik van tracking cookies of vergelijkbare technieken kan ervan uit worden gegaan dat er persoonsgegevens worden verwerkt. Dit geldt ook voor sommige functionele en beperkte analytische cookies. Aangezien het gaat om een verwerking van persoonsgegevens moet er ook worden voldaan aan de Algemene verordening gegevensbescherming (AVG). Belang van een heldere cookiebannerDoor middel van tracking technologieën kunnen organisaties meekijken met het internetgedrag van hun websitebezoekers. Echter, dit is alleen toegestaan als websitebezoekers daar expliciet mee akkoord gaan. Zij moeten ook de optie hebben om cookies te weigeren, zonder nadelige gevolgen. Door het inzetten van een heldere cookiebanner kunnen websitebezoekers een weloverwogen keuze maken om wel of geen toestemming te geven. AP normuitlegNaast het versterkte toezicht brengt de AP ook normuitleg uit, zodat organisaties aan de hand van praktische regels kunnen voldoen aan de wettelijke vereisten met betrekking tot (tracking) cookies en andere technologieën. Inmiddels heeft de AP twee uitgebracht: normuitleg voor het maken van een heldere cookiebanner en normuitleg voor het intrekken van toestemming bij cookies. Voor verdere uitleg en voorbeelden verwijzen we u graag naar onze website. De volgende vuistregels helpen bij het opstellen van een correcte cookiebanner: Geef informatie over het doel; Zet vinkjes niet automatisch aan; Gebruik duidelijke tekst; Zet verschillende keuzes op één laag; Verberg bepaalde keuzes niet; Laat iemand niet extra klikken; Gebruik geen onopvallende link in de tekst; Wees helder over het intrekken van toestemming; Verwar toestemming niet met gerechtvaardigd belang. De volgende regels verduidelijken waaraan voldaan moet worden bij intrekken van toestemming bij cookies: Toestemming intrekken moet op ieder moment kunnen; Toestemming intrekken moet net zo gemakkelijk zijn als het aangeven; Toestemming intrekken mag geen nadelige gevolgen hebben voor uw websitebezoekers; Geef informatie over hoe websitebezoekers toestemming kunnen intrekken vóórdat zij toestemming geven; Zorg voor een vindbare plek voor het intrekken van toestemming; Gaat het (ook) om toestemming voor het verwerken van persoonsgegevens door derde partijen? Dan moet u deze derde partijen ook laten weten dat iemand de toestemming heeft ingetrokken.

Lees verder

WhitepaperData, Tech & LegalData & Techniek

Whitepaper Data-Cleanrooms: Wat zijn het en hoe zet je ze effectief in?

Het landschap van digitale marketing is flink veranderd. Firefox en Safari ondersteunen geen cookies van derden meer, Chrome is ze aan het uitfaseren en de ePrivacy Richtlijn en GDPR vereisen dat uitgevers en adverteerders toestemming van consumenten krijgen om hun data te verzamelen en te gebruiken. En dat zorgt voor de nodige uitdagingen op het gebied van data en privacy. Gelukkig bieden data-cleanrooms een oplossing. Cleanrooms maken het voor bedrijven mogelijk om samen te werken en data te analyseren met behoud van privacy en naleving van regelgeving. Ze zijn vooral nuttig in situaties waarin meerdere partijen de collectieve kracht van hun gegevens willen benutten zonder de individuele privacy of gegevensbeveiliging in gevaar te brengen. Klantgegevens worden zorgvuldig geanonimiseerd en ontdaan van alle persoonlijke of identificeerbare informatie. Deze gegevens kunnen vervolgens worden geanalyseerd en gebruikt om nieuwe inzichten te krijgen over gebruikers op een geaggregeerd niveau. Dit whitepaper geeft marketeers die nog geen of weinig ervaring hebben met data-cleanrooms inzicht in alle mogelijkheden. Van het definiëren van doelstellingen tot juridische zaken, uploaden van data en verbinding met andere bronnen tot het uitvoeren van data-analyses. De theorie wordt aangevuld met cases uit de Nederlandse reclame-industrie en aanbevelingen die betrekking hebben op de beperkingen en kosten van data-cleanrooms. Bijdragen van: Birgit Boing, Emmelijn Hermens, Weiwei Liu-Schröder, Bastiaan Spaans, Bernard de Vreede, Mark Wilmont.

Lees verder

RichtlijnenData, Tech & Legal

Legal Digital Advertising Checklist

In een tijdperk waarin digitale interactie en online aanwezigheid de norm zijn geworden, is het verzamelen van persoonsgegevens een integraal onderdeel geworden van het online ecosysteem. Dit gebeurt door middel van (tracking-)cookies en diverse andere vergelijkbare tracking-technieken. Het tonen van gepersonaliseerde advertenties is een essentieel onderdeel geworden van de digital advertising wereld. Deze vorm van adverteren maakt niet alleen gratis toegang tot websites mogelijk, maar biedt betrokkenen ook een op maat gemaakte ervaring. Het is van cruciaal belang dat deze vorm van adverteren plaatsvindt in overeenstemming met wet- en regelgeving. Deze checklist biedt een overzicht van de belangrijkste juridische aspecten waar bedrijven rekening mee moeten houden bij het plaatsen van advertenties online. Door deze checklist te volgen, kan worden nagegaan of online advertentiegebruik zowel juridisch correct als professioneel verantwoord is. Let op: deze checklist is ontwikkeld als hulpmiddel voor bedrijven om te streven naar naleving van het wettelijk en regelgevend kader binnen de advertentiebranche. Het gebruik van deze checklist impliceert echter geen garantie dat volledige naleving wordt bereikt. Het wordt altijd aangeraden een juridisch professional te raadplegen om te waarborgen dat alle relevante wetten en regels worden nageleefd en correct worden geïnterpreteerd.

Lees verder