Met de aanhouding van een 53-jarige man uit Spijkenisse is voorkomen dat mogelijk vele honderdduizenden persoonsgegevens op straat kwamen te liggen. Dat las ik bij Politie.nl vorige week (via). Een bedrijf in Utrecht ontdekte dat persoonsgegevens in strijd met de wet werden gebruikt (mooi stukje beveiliging/organisatorisch de AVG op orde hebben!) en deed aangifte, waarna de politie vrij snel bij deze verdachte uitkwam. Goede actie, en hopelijk zijn de gegevens niet ondertussen al ergens anders naartoe. Maar, zo kreeg ik dan de vraag: dat kan toch niet, data is toch niets, hoe kan het dan worden gestolen?
In de pers moet je altijd uitkijken met termen als “diefstal van gegevens” want de meeste journalisten zitten niet zo op de juridische nuances. Van diefstal is alleen sprake als je “een goed” wegneemt zonder daartoe bevoegd te zijn, en dan ook nog eens met het doel je dat goed zelf toe te eigenen. Iets dat geen goed is, kun je dus niet stelen.
Data is in het algemeen geen goed; de definitie daarvan vereist kort gezegd dat de houder ervan als enige er wat mee kan doen (en dat er enige waarde aan het goed verbonden is). Dit volgt uit het Runescape-arrest dat bepaalde dat die criteria niet gelden voor gegevens in het algemeen, maar wel specifiek voor gegevens die objecten in virtuele werelden vertegenwoordigen. Als jij dat zwaard hebt, dan de rest van de deelnemers niet. Idem voor belminuten (op dezelfde dag beslist), als ik ze opbel dan kun jij dat daarna niet meer.
Persoonsgegevens zijn duplicatief, je kunt ze kopiëren. Daarmee voldoen ze niet aan die beperkte criteria en dus zijn het geen goederen. Alle wetgeving over eigendom is daarmee niet van toepassing. Dat is waarom ik “data is niets” zeg. Je kunt niet “je data terug” eisen, want de term “jouw” kan juridisch alleen op eigendom geplakt worden. Het is of je data blauw noemt, dat klopt gewoon niet.
Dat wil niet zeggen dat data juridisch vogelvrij is. Je kunt bij een data-beheerder gewoon contractueel afspreken dat hij je een kopie geeft wanneer je dat vraagt. En bij het strafrecht zijn er – vanwege het eerdere Computergegevens-arrest – aparte regels gemaakt over het wegmaken of kopiëren van data in strijd met andermans recht. En dat is wat deze meneer ten laste gelegd gaat worden. We noemen dat dan wel ‘data-diefstal’ maar we bedoelen het overnemen van gegevens na computervredebreuk (artikel 138ab lid 2 Strafrecht) of wederrechtelijk aftappen van gegevens (artikel 139c).
Arnoud
