Internetrecht door Arnoud Engelfriet

Europese landen mogen geen ongenuanceerde regels hanteren dat internetproviders persoonsgegevens van klanten altijd moeten afgeven bij rechtszaken, zo oordeelde het Europese Hof van Justitie gisteren. Een instantie als BREIN, of iemand die zich beledigd voelt, heeft dus niet per definitie recht op persoonsgegevens van een klant. Zij zal moeten aantonen dat afgifte gezien de specifieke omstandigheden van de zaak echt noodzakelijk, redelijk en proportioneel is.

Voor Nederland betekent dat dat er niets verandert aan de huidige praktijk. Bij ons moeten providers persoonsgegevens van klanten afgeven wanneer deze mogelijk iets illegaals doen en er geen snellere manier is om achter klantgegevens te komen. Dat blijkt uit het arrest HR Lycos/Pessers, waarin provider Lycos de persoonsgegevens moest afgeven van de klant die Pessers beledigd en besmaad zou hebben.

De HR oordeelde destijds dat afgifte niet altijd moest, maar alleen als de rechter

een nauwgezette afweging [heeft] gemaakt van alle betrokken belangen, waaronder het belang van de bescherming van de persoonlijke levenssfeer van de websitehouder (r.o. 5.4.3).

En dat is precies het soort afweging die het Europese Hof nu zegt dat je moet maken. De HR haalde dit uit art. 8 sub f van de Wet Bescherming Persoonsgegevens, en die WBP is de implementatie van de Europese privacywetgeving.

Hoewel de meeste media het gelijk hebben over “muziek uitwisselen mag nu anoniem”, is dit arrest niet speciaal voor filesharing. Het gaat om de vraag of iemand, ongeacht onderwerp, de persoonsgegevens van een klant van een provider mag eisen omdat hij die klant een proces wil aandoen. Dat speelt vaak bij filesharing, maar ook bij smaad, schending van portretrecht en andere onrechtmatige dingen is deze vraag relevant.

De aanleiding voor de zaak was een Spaans geschil over illegale muziekverspreiding via KaZaA. Promusicae, zeg maar de Spaanse BREIN, had bij de Spaanse rechter de persoonsgegevens opgeëist van een klant van internetprovider Telefónica. Deze weigerde dat met een beroep op de Spaanse privacywetgeving. Omdat zowel de wetgeving over auteursrecht als die over privacy uit Europese richtlijnen komt, en op dit punt dus een botsing ontstond tussen Europese regels, stelde de Spaanse rechter een zogeheten prejudiciële vraag aan het Europese Hof van Justitie over hoe deze wet nu moet worden uitgelegd.

De Spaanse rechter krijgt de bal nu dus netjes terug en moet gaan afwegen of het echt de beste oplossing is als Telefónica nu de persoonsgegevens afgeeft aan Promusicae. In het geval van Lycos/Pessers bleek dat achteraf trouwens niet zo zinvol: de beledigende klant bleek vervalste persoonsgegevens opgegeven te hebben.

Remy Chavannes wees al eerder op het lastige aan zo’n belangenafweging. Wat vaak gemist wordt, is

(…) het bredere belang om niet lichtvaardig te worden geconfronteerd met informatieverstrekkingsverzoeken van beweerdelijk beschadigde derden. Dergelijke verzoeken brengen immers onderzoeks- en juridische kosten met zich mee, terwijl de beslissing om al dan niet te voldoen aan het verzoek steeds juridische en publicitaire risico’s met zich brengt

Ziijn voorstel voor een John Doe procedure is m.i. een betere oplossing.

Via Volledig bericht, pardon Boek 9.

UPDATE: zie ook de blog van Lex Bruinhof die tot dezelfde conclusie komt.

Arnoud

“Het einde van anonimiteit op internet!” Arnout Veenman is geschrokken van Tim Kuik’s opmerkingen over anonieme klanten van internetproviders. Die verklaarde eerder dat providers aansprakelijk zijn wanneer ze geen of onvolledige adresgegevens van hun klanten kunnen afgeven. Veenman:

Stel dat Tim Kuik nou gelijk heeft, dan zouden YouTube, ISPam.nl, RapidShare en elke andere website waar gebruikers zonder sluitende controle van de naw-gegevens, aansprakelijk zijn voor alles wat hun bezoekers via hun website op internet plaatsen.

Ik schreef al, ik heb kennelijk een nieuwe collegebundel nodig want waar staat dat in de wet? Het Burgerlijk Wetboek kent namelijk alleen een plicht voor providers om materiaal te blokkeren (of verwijderen) wanneer hij weet of hoort te weten van het onrechtmatige karakter daarvan. Zo staat het ook in de Europese e-commerce Richtlijn.

De achterliggende gedachte hier was simpel: het maakt niet uit wie de informatie plaatste, als je weet van het onrechtmatig karakter moet je het weghalen. Providers kunnen vooraf of achteraf de klant informeren, en eventueel contractueel met de klant afspreken wie de schadevergoeding betaalt als ze het materiaal laten staan. De Richtlijn regelt dit met opzet niet, omdat deze algemene regels wil bieden “waarop sectorale overeenkomsten en normen kunnen worden gebaseerd.”

Wel blijft het voor de rechter mogelijk om “maatregelen ter beëindiging of voorkoming van een inbreuk” op te leggen, ook als die niet expliciet in de Richtlijn staan. Daaronder zou je ook het verstrekken van NAW-gegevens kunnen rekenen. Met NAW-gegevens kan de rechthebbende een zaak aanspannen tegen de inbreukmaker en een verbod met dwangsom eisen, zodat de inbreuk stopt.

In Nederland is in de Lycos/Pessers zaak uitgemaakt dat zo’n maatregel inderdaad opgelegd kan worden:

Daarnaast kan dan onder omstandigheden tevens een vordering jegens de serviceprovider tot bekendmaking van de NAW-gegevens van de websitehouder toewijsbaar zijn, met name indien bij die vordering een voldoende zwaarwegend belang bestaat.

Deze verplichting staat dus los van de regels uit de Richtlijn, en wordt opgehangen aan het kapstok-artikel over onrechtmatige daad. Je mag iemand niet nodeloos schade berokkenen, en doe je dat toch, dan moet je die vergoeden. Dus zomaar “nee” zeggen als iemand NAW-gegevens aan je vraagt, kan onder omstandigheden onrechtmatig zijn.

Maar dat zegt alleen dat een rechter kan beslissen dat de provider NAW-gegevens moet afgeven. Niet dat een provider NAW-gegevens moet hebben zodat ze kunnen worden afgegeven. Wat je niet weet, kun je niet afgeven.

In een andere Richtlijn, 2004/48 staat wel een expliciete regeling over het afgeven van NAW-gegevens:

de bevoegde rechterlijke instanties [kunnen] op gerechtvaardigd en redelijk verzoek van de eiser gelasten dat informatie over de herkomst en de distributiekanalen van de goederen of diensten die inbreuk maken op een intellectuele-eigendomsrecht, wordt verstrekt door de inbreukmaker en/of door een andere persoon die (…) op commerciële schaal diensten die bij inbreukmakende handelingen worden gebruikt, blijkt te verlenen

Alweer: als je ze hebt, en er is een zwaarwegend belang, dan moet je ze afgeven. Duidelijk. Maar moet je ze verzamelen? Dat zie ik nog steeds nergens staan.

In het bovenstaande komt één ding steeds terug: het gaat om een belangenafweging en een redelijkheidstoets. Welk belang heeft de eiser bij de gegevens, en hoe redelijk is het om te eisen dat een provider die afgeeft?

Ik denk daarom dat je niet kunt concluderen dat alle providers altijd alles van hun klanten moeten weten. Van een provider die een betaalde dienst levert, mag je verwachten dat zijn administratie redelijk op orde is. Daar is zo’n bevel tot identificatie dus mogelijk, aangenomen dat de privacy van de klant er niet onredelijk door geschaad wordt.

Voor dienstverleners zoals Youtube zou het betekenen dat ze een volledige administratie moeten opzetten van alle gebruikers, en ook nog eens een systeem om te controleren dat die administratie klopt. Dat lijkt me buiten alle proporties.

Bovendien werkt het systeem van de e-commerce richtlijn al goed genoeg: bij klachten weghalen of blokkeren. Dat lost ook het probleem van de klager op, en het is een stuk eenvoudiger voor de provider.

Arnoud