Internetrecht door Arnoud Engelfriet

Met andermans (geraden of afgetroggeld) wachtwoord inloggen op Habbo Hotel is computervredebreuk. En haal je dan die ander zijn meubels naar je eigen account, dan pleeg je heel ouderwets diefstal. Dat bepaalde de rechtbank Amsterdam gisteren in twee grotendeels eensluidende vonnissen (LJN BH9789 en LJN BH9791, via Boek9.nl).

Dit is de Habbo-zaak waarover ik in november 2007(!) berichtte. Twee (veertienjarige) verdachten hadden wachtwoorden van Habbo-gebruikers bemachtigd en vervolgens de meubi’s die bij die accounts hoorden naar hun eigen kamer overgezet. En dat kwalificeert de rechtbank als computervredebreuk (het achterhalen en gebruiken van de wachtwoorden) en diefstal (het overzetten van de virtuele goederen).

De wachtwoorden werden achterhaald middels een fake-site (phishing) waarbij het slachtoffer dacht bij Hotmail in te loggen. Vervolgens werden die Hotmail-inloggegevens gebruikt om de mailbox van de slachtoffers in te zien. Handig, want daar was in de tussentijd net het “u was uw wachtwoord vergeten”-mailtje binnengekomen. En zo kwamen ze dan bij Habbo terecht. Het vonnis noemt nog keyloggers, maar ik zie even niet waar dat is gebruikt. “Hij heeft daartoe zelfs een speciaal programma gedownload waarmee hij op professionele wijze aan de inloggegevens van een ander kon komen” maar een fake-site is toch geen programma?

Vervolgens had men “met het oogmerk van wederrechtelijke toe-eigening” de virtuele meubelen uit deze speelwereld weggenomen uit de macht van de eigenaar. En dat is, zoals ook in het Runescape-vonnis van afgelopen oktober werd bepaald, een standaard gevalletje diefstal.

Het verweer dat het er bij Habbo toch om gaat “om zoveel mogelijk meubels te verzamelen”, wordt verworpen. Veel meubels verzamelen ok, maar dat rechtvaardigt niet dat je andermans meubels afneemt door hun wachtwoorden te raden. Dit heeft “niets meer te maken met de spelregels van het Habbohotel” zoals de rechtbank het terecht formuleert.

Kortom, weinig verrassend wat mij betreft maar wel goed dat deze lijn wordt aangehouden. Want: “Het internet dient daarom gevrijwaard te blijven van het zogenaamde ‘hacken’.” zoals de rechtbank fijntjes opmerkt.

Arnoud

Tsja, wat moet ik hier nou weer mee? Uit ons onderzoek over auteursrechtclaims bij communitysites bleek onder andere dat Hyves het profiel van “Chris”, onze Peter Pan-blogger, meteen verwijderde na de klacht van de fictieve jurist van de eveneens fictieve Peter Pan Heritage Foundation. Hyves-baas Raymond Spanjar reageerde bij Marketingfacts, en Yme Bosma van Hyves reageerde op zijn blog Ymerce.

Naast het punt dat we geen reactie hebben gevraagd alvorens over het onderzoek te publiceren, viel me op dat er ineens hard gehamerd werd op het feit dat het profiel van Chris nep zou zijn (en dat Hyves met SOLV werkt). En dat viel me op omdat het in tegenspraak is met wat Hyves meldde ten tijde van de verwijdering.

Eerst Spanjar bij Marketingfacts:

@all: Normaliter kijken wij erg nauwkeurig naar dit soort claims, in samenwerking met SOLV, de specialist voor recht & nieuwe media. In dit geval betrof het echter een profiel met 0 vrienden van een niet bestaand persoon, en is daarom besloten om niet een tijdrovende procedure te starten. Dat betreuren wij natuurlijk, maar het is geen representatief voorbeeld en geeft de normale gang van zaken helaas niet goed weer.

Waarom je een claim eerder moet geloven omdat de gebruiker 0 vrienden heeft, snap ik niet helemaal. Maar goed, daar gaat het even niet om - de gebruiker was fake, en zoals Yme Bosma schrijft:

Het betreffende net aangemaakte profiel voldeed uberhaupt al niet aan de Hyves voorwaarden want het was geen echt persoon.

Natuurlijk was “Chris” geen echt persoon, maar hoe kon Hyves dat weten ten tijde van de verwijdering?

Dat was dan ook niet de reden die Hyves opgaf toen het profiel werd opgeheven. De mail met motivatie staat in ons rapport, pagina 22:

Na een sommering van de advocaat van de Peter Pan Heritage Foundation Ltd. (gevestigd te Londen, Verenigd Koninkrijk) hebben wij je profiel moeten deleten. Op de blogs die je geplaatst hebt, rust auteursrecht. Daarom is het niet toegestaan om deze zomaar te plaatsen.

Niks “je profiel was fake” of “je bent toch al een loser zonder vrienden”, nee: “na een sommering van de advocaat”. Ik kan daar toch echt maar één ding van maken, en dat is dat men de klacht ontving en op basis daarvan besloot het profiel op te heffen. Niks eigen gedocumenteerde procedure; klik weg.

Yme Bosma reageerde op zijn blog nog:

Arnoud, in theorie heb je vast gelijk, maar het was in dit geval toch wel overduidelijk dat het niet klopte. Een nieuw profiel, 0 vrienden en een brief van een advocaat….

Dat “overduidelijk” was dat er “iets niet klopte” aan het profiel, kan ik niet uit de melding van Hyves halen. Waarom dan niet gewoon gezegd, je profiel schond de voorwaarden want het was fake? En als men het wel doorhad maar het spelletje mee wilde spelen, waarom dan niet stoer voor de Hyver gaan staan?

Nee, wat hier niet klopt is de reactie van Hyves. Zeg gewoon, “oeps, foutje bedankt” in plaats van te gaan draaien over de redenen van verwijdering.

Update (13:01) bij Emerce geeft Spanjar aan het toch positief op te pakken:

Engelfriet wil andere bedrijven meegeven de werkwijze van YouTube ook in te voeren: “Ik denk dat het goed is om een drempel op te werpen voor een klacht ingediend kan worden. Dat voorkomt misbruik. Spanjar is het met hem eens: “Het is natuurlijk zo dat wanneer iemand ten onrechte een claim indient, dat de aanvrager ook de verantwoordelijkheid moet dragen. We zullen kijken naar het advies dat Engelfriet op dit gebied geeft.”

En zo ben ik ook weer tevreden

Arnoud

Communitysites zoals Hyves, Web-log en Myspace geven veel te makkelijk toe aan claims van derden over inbreuk op auteursrechten. Zonder enig overleg met de gebruiker of zelfs maar controle van de juistheid van de claim verwijderen de beheerders materiaal waarover geklaagd wordt. Dat blijkt uit een onderzoek (PDF) onder de zeven belangrijkste communitysites dat (mijn) juridisch adviesbureau ICTRecht in maart en april 2009 heeft uitgevoerd. Ook te lezen op Nu.nl.

Zie het persbericht op de ICTRecht blog voor alle details; hieronder een samenvatting.

We plaatsten het Peter Pan-verhaal ‘The Little White Bird‘, waarvan de auteursrechten vervallen waren, op weblogs en profielpagina’s aangemaakt bij communitysites Web-log.nl, punt.nl, Netlog.com, Hyves.nl, WaarBenJij.Nu, Blogger.com en Myspace.com. Vervolgens stuurden we een sommatie namens de fictieve ‘Peter Pan Heritage Foundation’ om verwijdering van deze berichten te eisen.

Vrijwel alle sites, inclusief marktleider Hyves, reageerden direct door het bericht, of zelfs de gehele weblog of profiel, te verwijderen. Het eigen beleid over dergelijke klachten werd niet gevolgd. Klachten van de houder van de weblog/profiel mochten niet baten: er was een claim over auteursrecht, dus de pagina moest weg. “Auteursrecht kan niet zomaar vervallen lijkt me”, aldus een helpdeskmedewerker. Alleen Blogger.com en Punt.nl verwijderden het materiaal niet, om procedurele redenen.

Notice en takedown is een leuk idee, maar in de praktijk blijkt het veel te makkelijk voor een zogenaamde rechthebbende om van alles weg te krijgen. Ik vind dat bijzonder ernstig. Het laat maar weer eens zien hoe makkelijk rechthebbenden het hebben en hoe weinig tegengas ze krijgen. Tussenpersonen zoals providers of hosters van communitysites zouden meer op moeten komen voor de belangen van hun gebruikers, ook als die mogelijk rechten schenden.

(Uiteraard waren we geïnspireerd door het Multatuli-project van burgerrechtenorganisatie Bits of Freedom uit 2004.)

Arnoud

Op 16 juni zal ik spreken op de zevende Black Hats Sessions, de bekende securityconferentie in Ede, georganiseerd door Madison Gurkha en Array Seminars.

Het wordt CSI Ede op 16 juni. Walter Belgers van Madison Gurkha zal een presentatie geven over incident response “light”. Hoe kunt u eenvoudig incident response onderzoek doen met freeware tools? Roland Vergeer (Digital Intelligence) geeft een mooi voorbeeld uit de praktijk over een forensisch onderzoek naar een interne fraude (die niet intern bleek te zijn), Arnoud Engelfriet (ICTRecht) gaat in op bewijsvoering in een rechtszaak, wat de criteria zijn voor computervredebreuk of denial-of-service en wat er dus nodig is om een aangifte te kunnen doen of een civiele zaak om schadevergoeding te kunnen beginnen. Het Nederlands Forensisch Instituut zal een lezing over forensisch onderzoek geven.

Zie ook de folder voor meer informatie.

Arnoud

In mijn artikel “Consumenten hebben toch geen geldboom in de tuin?” besprak ik de situatie waarin een product ver voor de gemiddelde levensduur kapot gaat en de koper daardoor voor kosten komt te staan. De verkoper, van een non-conform product moet die kosten dan vergoeden. Consumenten hebben immers geen geldboom in de tuin, niet waar?

Het commentaar dat bij mijn artikel geplaatst werd ging in overwegende maten over de aansprakelijkheid bij diensten. Echter, diensten en producten zijn in de ogen van de wetgever heel iets anders. Daarom staat deze keer de aansprakelijkheid rondom diensten centraal.

Hoewel de wetgever een speciale wet heeft gemaakt waarin de aansprakelijkheid wordt geregeld van producten (en onroerend goed), gaat dit niet op voor diensten. Hiervoor moeten we dus terug vallen op de algemene regels zoals deze in boek 6 van het burgerlijk wetboek staan beschreven.

Net zoals bij de wetgeving rondom producten geldt dat je hier ook niet direct je geld terug kunt eisen. Anders is dat, in tegenstelling tot bij goederen, dit ook geldt voor een schadevergoeding. De wederpartij moet namelijk eerst in verzuim zijn. Daar kan hij op verschillende wijze in terecht komen. Ten eerste als er een fatale termijn, een (exacte) datum waarvoor hij had moeten leveren, is afgesproken en hij daarna nog niet heeft geleverd. Dan is er nog de mogelijkheid dat hij zijn verbintenis niet kan nakomen. En tenslotte kan hij daar in terecht komen doordat hij van jou een ingebrekestelling heeft ontvangen.

Een ingebrekestelling is een brief waarin de verkoper een laatste kans geeft om als nog aan zijn verplichtingen te voldoen. Je moet de tegenpartij wel een redelijke termijn geven om hieraan te voldoen. En wat redelijk is, verschilt natuurlijk per situatie. Daarna kun je de koop ontbinden, maar ook schadevergoeding en de wettelijke rente eisen. In je brief stel je de verkoper hiervan natuurlijk in het vooruitzicht. Vaak is het verstandig om deze brief aangetekend te versturen, voor het geval dat je naar de rechter moet. Echter soms is het versturen van zo’n brief al genoeg om de raderen aan het werk te krijgen. Een ingebrekestelling is dus breed inzetbaar: van het niet leveren van een product of dienst tot en met het innen van achterstallige betalingen. Je zou haast gaan denken dat de wetgever denkt dat winkeliers ook geen geldboom in de tuin hebben staan!

Er is echter een valkuil waar je in terecht kunt komen. Dit hele verhaal valt namelijk onder regelend recht, wat zoveel inhoudt als dat partijen vrij zijn om hierover iets anders af te spreken. Verkopers zouden hiervan misbruik kunnen maken door in de algemene voorwaarden een exoneratieclausule op te nemen waarin staat waar ze allemaal niet voor aansprakelijk te stellen zijn.

Neem bijvoorbeeld de algemene voorwaarden mobiele telecommunicatiediensten van KPN:

De Contractant (de klant, in casu de consument) is aansprakelijk voor schade die door een hem toerekenbare tekortkoming is ontstaan. Een Consument is uitsluitend aansprakelijk voor bedrijfs- of gevolgschade van KPN indien die schade met opzet, of roekeloos en met de wetenschap dat die schade daaruit zou ontstaan, door de Consument is veroorzaakt.

Nu heeft de KPN een voor consumenten heel voordelig exoneratieclausule maar het kan ook anders. Een bedrijf kan dit omdraaien en wat dikker aanzetten zoals zij alleen bij grove schuld of opzet aansprakelijk zijn te houden. En dan ook nog eens de gevolgschade uitsluiten, zodat ze enkel hoeven te betalen als ze niet leveren, of tot een bepaald bedrag. Dat laatste was de praktijk van Dell tot voor de veroordeling in de rechzaak HCC tegen Dell.

De wetgever heeft een dergelijk misbruik namelijk voorzien en heeft daar een oplossing voor bedacht. Algemene voorwaarden mogen niet onredelijk bezwarend zijn voor de wederpartij (de klant). Daarnaast geldt er voor consumenten en (in zekere mate) kleine ondernemers, zogenaamde ZZPers, een zwarte- en grijze lijst van bedingen die zeker of waarschijnlijk onredelijk bezwarend zijn. De wetgever heeft dit verhaal onder dwingend recht laten vallen.

Op de zwarte lijst staat een verbod op het beperken of uitsluiten van het recht op ontbinding. Eveneens staat op de zwarte lijst een verbod op bedingen waarbij de wederpartij (de klant) en de gebruiker (de verkoper) vrijwaart voor aansprakelijkheid. KPN gaat in de eerder aangehaalde voorwaarden op dit punt de mist in. En dan staat op de grijze lijst een algemeen verbod op het uitsluiten van schadevergoeding. Hier mogen bedrijven alleen afwijken als ze daar een goed verhaal bij hebben, waarom hun beding niet onredelijk bezwarend is voor de klant.

Totslot wil ik een vraag van Martijn Lodewijk beantwoorden die hij eerder stelde:

Ik [werk] bij een telecombedrijf / internetprovider die gevolgschade uitsluit in de algemene voorwaarden. Nu kan ik me best voorstellen dat een klant redelijke kosten moet maken om zijn gelijk te krijgen met betrekking tot een niet functionerende dienst (internet of telefonie bijvoorbeeld). Het kan ook voorkomen dat die klant tijdelijk meer mobiel moet bellen omdat zijn vaste aansluiting het niet doet. Dit uiteraard niettegenstaande onze inspanningen om zo’n dienst snel weer werkend te krijgen wil het toch nog wel eens voorkomen dat dit geruime tijd duurt en dat de klant zich hierdoor benadeeld voelt. Mijn vraag is dus mag een dienstverlenend bedrijf doodleuk via voorwaarden uitsluiten dat dergelijke kosten ooit vergoed worden?

Het antwoord is ja en nee, of dat hangt er van af. Allereerst moeten we vaststellen dat dergelijke voorwaarden wel onbeperkt in de overeenkomst zelf mogen worden geplaatst. Maar als een dergelijke beding in de algemene voorwaarden (leveringsvoorwaarden, actievoorwaarden, etc.) staat dan is deze in beginsel ongeldig. Het uitsluiten van kosten voor de telefoon acht ik onredelijk voor consumenten en dus mag dat niet. Ik ben wel benieuwd naar het verhaal dat de provider hierbij heeft.

Alex de Kruijff
Alex is een ingenieur die elektronica en informatica heeft gestudeerd en juridische interesse heeft. Op zijn website kun je artikels over het besturingssysteem FreeBSD vinden, die je helpen bij het configureren er van.

Een lezer vroeg me:

Ik heb een e-ticket besteld bij de NS, maar stom genoeg de verkeerde datum aangeklikt. Nu staat er in de voorwaarden expliciet aangegeven dat er geen mogelijkheid tot omboeken of restitutie is, maar een bedrijf mag mijn rechten als consument toch niet inperken?

Een kaartje of ticket kun je niet ruilen of annuleren, ook niet als je het via internet bestelt. Je koopt eigenlijk geen product, maar een dienst: het vervoer op een gegeven datum. En dat soort diensten zijn expliciet uitgezonderd van het recht op retour bij de Wet Koop op Afstand.

Het maakt daarbij niet uit of je de kaartjes zelf uitprint (zoals bij het NS e-ticket), afhaalt (zoals bij NS Hispeed) of thuisgestuurd krijgt (zoals bij veel concertorganisaties). En ook niet hoe lang van tevoren je de kaartjes boekt. Je bent hier echt afhankelijk van de coulance van de organisator.

Wat ik me nu afvraag: waarom zou de wetgever dit hebben uitgesloten? Wat is er zo bijzonder aan het boeken van een dienst op een bepaalde datum dat deze niet ontbonden mag worden?

Update de rechtbank Amsterdam vindt doorverkoop van toegangskaarten voor een popconcert geen dienst maar een product:

In het bijzonder is niet gesteld of gebleken dat de verkoop van tickets als de onderhavige kan worden aangemerkt als een ‘dienst’ nu er sprake is van de verkoop van voor menselijke beheersing vatbaar stoffelijk objecten.

Omdat de wederverkoper had verzuimd te melden dat de oorspronkelijke verkooporganisatie geen toestemming geeft voor wederverkoop en daarom de toegang kan weigeren, mocht de koper de transactie terugdraaien.

Arnoud

Gistermiddag stond op deze plaats een blogbericht dat als 1-aprilgrap bedoeld was. Ik had me echter niet gerealiseerd dat dit bericht gemakkelijk verkeerd te lezen zou zijn geweest. Hierdoor heb ik een aantal personen zwaar geschoffeerd, hetgeen ik ten zeerste betreur want dat was niet mijn bedoeling. Mijn welgemeende excuses aan de betrokkenen.

Ik heb het bericht alsmede alle reacties per direct verwijderd en deze post ervoor in de plaats gezet. Ook de RSS-feed is aangepast. Mensen die het bericht nog in hun cache hebben staan, verzoek ik vriendelijk doch dringend deze per direct te verwijderen en niet verder te verspreiden. Ook wil ik u verzoeken hieronder niet uit te wijden over de inhoud van dit bericht.

Het is jammer dat het niet altijd even duidelijk is wanneer een bericht wel of niet serieus is bedoeld. Achteraf gezien had ik meer aandacht moeten besteden aan hoe de tekst over zou komen en meer hints had moeten geven waaruit mensen meteen hadden kunnen afleiden dat deze post slechts als (droge) humor bedoeld was.

Volgend jaar zal ik ervoor zorgen dat de grap binnen de grenzen van het goed fatsoen blijft. Nogmaals, het spijt me!

Arnoud