Privacyverklaring
De doeleinden van de verwerking van persoonsgegevens door Stichting BREIN
Stichting BREIN is opgericht met het doel Intellectuele Eigendomsfraude te bestrijden namens en ten behoeve van auteurs, uitvoerende kunstenaars, uitgevers, producenten en distributeurs van muziek, film, video, boeken, geschriften, games en interactieve software.
Persoonsgegevens
Bij haar werkzaamheden verwerkt BREIN persoonsgegevens in de zin van de Algemene Verordening Gegevensbescherming (AVG), die sinds 25 mei 2018 in alle landen van de EU van kracht is. Onder persoonsgegevens wordt volgens de AVG verstaan alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon (‘de betrokkene’). Een betrokkene wordt geacht identificeerbaar te zijn indien er indicatoren zijn waarmee hij of zij direct of indirect kan worden geïdentificeerd.
Contactgegevens
Stichting BREIN
Postbus 133
2130 AC Hoofddorp
Telefoon: +31 85 011 01 50
e-mail: [email protected]
Je kunt ook gebruik maken van het contactformulier op de website van BREIN: stichtingbrein.nl/contact
Functionaris voor Gegevensbescherming
BREIN heeft mr. P. Haringsma als Functionaris voor Gegevensbescherming (FG) aangesteld; [email protected]
Activiteiten en methoden
BREIN’s collectieve handhaving is civielrechtelijk. De aanpak is een mozaïek van maatregelen die door de wet en een raamwerk van rechtspraak gestaafd worden. BREIN treedt zowel in als buiten rechte op tegen de onrechtmatige exploitatie van producten van rechthebbenden van wie zij de rechten en belangen vertegenwoordigt en behartigt. In de aanpak van (mogelijke) inbreukmakers door BREIN zijn vier acties te onderscheiden: het sturen van een informatieve brief; het sturen van een sommatiebrief; een civielrechtelijke procedure/schikking en strafrechtelijke aangifte.
BREIN voert zelfstandig onderzoek uit op openbaar toegankelijk plaatsen zoals beurzen, winkels en internet. Dit onderzoek komt erop neer dat BREIN ter plaatse de aangeboden producten bekijkt, koopt of bestelt en tracht de identiteit te achterhalen van de aanbieder. Voorts ontvangt BREIN ook regelmatig meldingen (tips) van aangeslotenen en particulieren over (mogelijk) onrechtmatige activiteiten.
Het doel van de handhaving door BREIN op internet is de verstoring van het illegale aanbod en het gebruik daarvan. De handhavingsstrategie van BREIN ten aanzien van inbreukmakende websites is er in de eerste plaats op gericht af te dwingen dat onrechtmatige activiteiten door de exploitant zelf gestaakt en voorkomen worden. Als dat niet haalbaar is, verlangt BREIN van de hosting providers dat de sites offline gehaald worden en dat de sitehouders geïdentificeerd worden. In sommige gevallen richt BREIN zich tot de access providers om de toegang tot de sites te blokkeren. Van websites die door access providers op last van BREIN geblokkeerd worden, en proxies/mirrors daarvan, en van websites, die zich – met gebruikmaking van titels van aangeslotenen van BREIN – erop toeleggen consumenten geld en persoonsgegevens afhandig te maken (‘scamsites’), kan BREIN de domeinnamen doorgeven aan consumentenbeschermingsorganisaties als Scamadviser.
Op internet zoekt BREIN zowel handmatig als geautomatiseerd naar illegaal aanbod van auteursrechtelijk en nabuurrechtelijk beschermde werken en doet onderzoek naar de personen achter dit aanbod. Indien BREIN op illegaal aanbod stuit, stuurt BREIN, mits dit mogelijk is, een sommatie naar de aanbieders van de bestanden of degenen die het aanbod faciliteren. In gevallen waarin de ernst van de inbreuk daartoe aanleiding geeft, terwijl het niet mogelijk blijkt een sommatie te versturen, omdat bij BREIN geen contactgegevens bekend zijn, kan BREIN aan tussenpersonen zoals Internet Service Providers (ISP’s) vragen om hun klanten een bericht te sturen, waarin zij gesommeerd worden te bevestigen, dat zij de illegale activiteiten waarmee zij zich bezighouden zullen staken. Indien een sommatie niet wordt opgevolgd, onderneemt BREIN verdere stappen. In voorkomende gevallen zal BREIN een tussenpersoon dan verzoeken – en dit eventueel via de rechter vorderen – om identificerende gegevens van de inbreukmakers te verstrekken, zodat een civiele procedure tegen hen kan worden gestart. In het uiterste geval kan BREIN aangifte doen bij de strafrechtelijke autoriteiten.
Behalve NAW-gegevens kan BREIN bij haar onderzoeken ook gegevens vastleggen zoals aliassen, IP-nummers, e-mailadressen, telefoonnummers, bankrekeningnummers en – in sommige gevallen – kentekens van voertuigen en foto’s van betrokkenen. Met behulp van deze informatie benadert BREIN – indien mogelijk – de betrokkenen, of doet ze als daar aanleiding toe is, aangifte. BREIN is verwerkingsverantwoordelijke en schakelt geen professionele verwerkers (handelsinformatiebureaus of recherchebureaus) in bij het achterhalen van deze persoonsgegevens.
Wettelijke grondslag
De wettelijke grondslag voor de verwerking van persoonsgegevens door BREIN is artikel 6 sub f AVG: de verwerking van persoonsgegevens is noodzakelijk voor de behartiging van het gerechtvaardigde belang van BREIN zelf en van de rechthebbenden waarvan BREIN de belangen vertegenwoordigt en/of behartigt.
BREIN handelt namens of ten behoeve van een groot aantal organisaties op het gebied van productie, exploitatie en bescherming van e-books, audio, video en interactieve producten. Voor deze organisaties is het ongeautoriseerde aanbod van hun producten een groot probleem. BREIN heeft er dan ook recht op en belang bij om ter handhaving van de rechten van de bij haar aangesloten rechthebbenden de persoonsgegevens van (vermoedelijke) inbreukmakers te verwerken, die zij in het kader van haar activiteiten verzamelt.
Waarborg
De verwerking door BREIN voldoet aan eisen van proportionaliteit en subsidiariteit en vindt steeds onder passende waarborgen plaats. BREIN verzamelt uitsluitend die persoonsgegevens die nodig zijn voor de doeleinden waarvoor ze worden verwerkt. BREIN ziet erop toe dat de gegevensverwerking ter zake dienend is en niet bovenmatig wordt. De datum en – in geval van online piraterij – het tijdstip van iedere vastlegging worden nauwkeurig geadministreerd.
Beveiligingsmaatregelen
BREIN heeft passende technische en organisatorische maatregelen genomen om de persoonsgegevens te beveiligen, zoals maatregelen tegen ongeautoriseerde toegang en ongeoorloofd gebruik. De veiligheidsmaatregelen worden regelmatig gecontroleerd. Medewerkers van BREIN hebben een geheimhoudingsplicht.
Bewaartermijn
De termijn gedurende welke persoonsgegevens bewaard worden, is afhankelijk van de betrouwbaarheid van de informatie, de aard en de ernst van de gepleegde inbreuken en eventuele recidive van de betrokken inbreukmaker. Tips, mits onbevestigd, worden maximaal één jaar bewaard. Onderzoeksgegevens zullen maximaal vijf jaar na afsluiting van een dossier worden bewaard, tenzij een schikking is getroffen waarbij betrokkenen een onthoudingsverklaring met boetebeding hebben afgegeven of als BREIN een rechterlijk vonnis tegen een betrokkene heeft behaald, dan hanteert Stichting BREIN een bewaartermijn van maximaal 20 jaar. Recidive heeft verlenging van genoemde termijnen tot gevolg.
De Nederlandse IP-nummers die BREIN aantreft bij onderzoek op het Bittorrent netwerk worden gedurende maximaal zes weken bewaard. Alleen als IP-nummers in vier weken tijd drie keer of vaker in steekproeven worden aangetroffen (IP-nummers worden vaker aangetroffen als ze zijn gebruikt om meerdere inbreukmakende bestanden te down- en uploaden of als ze zijn gebruikt om langere tijd dezelfde upload te seeden) komen ze in aanmerking om langer bewaard te worden, zodat BREIN handhavingsacties kan starten. Daarvoor gelden de hierboven vermelde bewaartermijnen.
Verstrekking van de gegevens aan derden
In de regel zal BREIN gegevens van betrokkenen niet aan derden verstrekken, behalve als dit strikt noodzakelijk is. De gegevens die BREIN verzamelt kunnen worden verstrekt aan advocaten die de belangen van BREIN, haar aangeslotenen en hun leden behartigen. Gegevens van betrokkenen kunnen – als daar noodzaak toe is – ook worden verstrekt aan de aangeslotenen van BREIN, de leden van de aangeslotenen, of aan handhavingsorganisaties waarmee in internationaal verband wordt samengewerkt. Dit laatste gebeurt echter zelden.
Het komt voor – bijvoorbeeld als een IP-nummer het enige gegeven is waarover BREIN beschikt – dat het voor BREIN zonder medewerking van de ISP niet mogelijk is kennis te krijgen van de identiteit of de contactgegevens van de houder van een IP-nummer. BREIN is dan genoodzaakt een ISP te verzoeken identiteits- en contactgegevens te verstrekken, omdat die immers beschikt over deze gegevens van haar abonnees. Bij het indienen van een dergelijk verzoek wordt het IP-nummer noodzakelijkerwijs eerst door BREIN aan de ISP verstrekt, die het betreffende IP-nummer in beheer heeft.
Indien BREIN besluit aangifte te doen zullen persoonsgegevens aan de Nederlandse strafrechtelijke autoriteiten worden verstrekt.
In sommige gevallen geeft BREIN de domeinnamen van websites door aan consumentenbeschermingsorganisaties zoals Scamadviser. Het gaat dan om domeinnamen van websites die zich – met gebruikmaking van titels van aangeslotenen van BREIN – erop toeleggen consumenten geld en persoonsgegevens afhandig te maken (‘scamsites’) en/of websites die op last van BREIN zijn geblokkeerd inclusief proxies/mirrors van deze websites. In een beperkt aantal gevallen kunnen deze domeinnamen persoonsgegevens bevatten. BREIN geeft de betreffende domeinnamen door ter bescherming van de belangen van consumenten en de reputatie van haar aangeslotenen, zodat scamsites of websites waarmee inbreukmakende content kan worden gedownload makkelijker herkend kunnen worden.
Doorgifte naar het buitenland
Doorgifte van persoonsgegevens naar het buitenland door BREIN komt in de praktijk zelden voor. In uitzonderlijke gevallen kan het noodzakelijk zijn persoonsgegevens te verstrekken aan aangeslotenen in het buitenland die betrokken zijn bij het instellen van een rechtsvordering, of aan buitenlandse handhavingsorganisaties om internationale handhaving van auteursrechten te faciliteren. In die gevallen ziet BREIN erop toe dat doorgifte uitsluitend plaatsheeft naar landen of organisaties met een passend beschermingsniveau, of dat er een andere grondslag voor de doorgifte bestaat.
De rechten van de betrokkenen
Informeren
Stichting BREIN verwerkt persoonsgegevens van personen die vermoedelijk inbreuk op Intellectueel Eigendomsrecht plegen of daarbij behulpzaam zijn. Zodra de identiteit van een inbreukmaker is achterhaald en het handhavingsbelang dat toelaat wordt deze persoon aangesproken op de inbreuk en aldus tegelijkertijd geïnformeerd over het feit dat zijn persoonsgegevens zijn verwerkt.
Inzage, correctie, beperking, bezwaar, dataportabiliteit en verwijdering van de gegevens
Betrokkenen hebben recht op inzage in hun persoonsgegevens, en indien die gegevens onjuist blijken te zijn, op correctie ervan. Betrokkenen kunnen daarnaast een verzoek indienen om de verwerking van de gegevens te beperken. Ook kan bezwaar worden gemaakt tegen de verwerking en hebben betrokkenen in sommige gevallen het recht op gegevenswissing. Tenslotte bestaat er het recht op overdraagbaarheid van de door de betrokkenen zelf verstrekte persoonsgegevens.
Zie artikelen 15-21 van de Algemene Verordening Gegevensbescherming, en de website van de Autoriteit Persoonsgegevens voor meer informatie over deze rechten en wanneer deze uitgeoefend kunnen worden. Een verzoek tot uitoefening van rechten van een betrokkene kan worden ingediend door contact met BREIN op te nemen via de aan het begin van deze privacyverklaring genoemde contactgegevens.
Op verzoeken van betrokkenen tot het uitoefenen van hun rechten zal BREIN binnen één maand na indiening beslissen, tenzij de betrokkene binnen die termijn wordt geïnformeerd dat het nemen van een beslissing meer tijd vergt. In dat geval kan de termijn met maximaal twee maanden worden verlengd. Om misbruik te voorkomen vraagt BREIN betrokkenen om zich bij het indienen van een verzoek tot het uitoefenen van hun rechten adequaat te identificeren, bijvoorbeeld door een kopie van een geldig legitimatiebewijs mee te sturen. Let op: Zorg ervoor dat op de kopie het BSN én de pasfoto onleesbaar zijn gemaakt dan wel zijn afgeschermd. (De kopie van) het document waarmee de betrokkene zich heeft geïdentificeerd zal na de beslissing op het verzoek van de betrokkene worden verwijderd.
Het beleid van Stichting BREIN staat vermeld op https://stichtingbrein.nl/privacyverklaring.
Klachten
Betrokkenen die het niet eens zijn met de wijze waarop BREIN omgaat met hun persoonsgegevens, of die menen dat BREIN niet adequaat heeft gereageerd op een verzoek tot het uitoefenen van een van de hierboven genoemde rechten, kunnen gebruik maken van de Klachten- en geschillenregeling persoonsgegevens van Stichting BREIN.
Betrokkenen hebben tevens het recht om een klacht in te dienen bij de Autoriteit Persoonsgegevens. Meer informatie over klachten over de verwerking van persoonsgegevens is te vinden op de website van de Autoriteit Persoonsgegevens: https://autoriteitpersoonsgegevens.nl/nl/zelf-doen/privacyrechten/privacyklacht-indienen