Internetrecht door Arnoud Engelfriet

Internetters zijn lastig te identificeren. Namen en e-mailadressen zijn zo vervalst, en ook op andere gegevens kun je nauwelijks afgaan. Het IP-adres is zo ongeveer het enige gegeven dat niet (nou ja, moeilijk) te vervalsen is als je met iemand communiceert. Het opvragen van een IP-adres is dan ook vaak de eerste stap als je juridische maatregelen tegen iemand wilt nemen.

Maar hoe betrouwbaar is zo’n IP-gebaseerde identificatie nu eigenlijk? Voor die lastige technische vraag stonden de raadsheren van het Gerechtshof Den Bosch recent. In een fikse ruzie tussen twee partijen was aangifte gedaan van smaadschrift per e-mail, maar die aangifte was geseponeerd. De benadeelde partij stapte daarop naar het Gerechtshof, want je mag via de zogeheten artikel-12-procedure eisen dat men alsnog vervolging instelt.

De smaadmail was via het contactformulier van de website verstuurd, dus via de logs van de site was het IP-adres van de verzender snel achterhaald. En dat adres bleek op naam te staan van de partij tegen wie hij aangifte had gedaan. (Iedereen die nu over RIPE of IANA begint: ik vermoed dat daarmee wordt bedoeld dat bij een reverse DNS lookup de domeinnaam van de wederpartij boven kwam.) Als bewijs werd daarbij een logfile van websitebezoeken overlegd.

De wederpartij ontkende ten stelligste dat hij het formulier had ingevuld: hij had een open netwerk achter dat IP-adres draaien, waar ook zijn gezin, de buren en diverse vrienden zomaar op konden. Een open netwerk als bewijs van onschuld? Volgens het Hof wel, en niet alleen omdat de logfiles eerder ophielden dan het tijdstip waarop de mail was ontvangen.

Uit de beschikking:

[N]aar het oordeel van het hof onvoldoende wettig en overtuigend bewijs aanwezig dat beklaagde de bewuste e-mail heeft verstuurd, gelet op het aantal personen dat kennelijk toegang had tot zijn computer. Naar het oordeel van het hof mag niet verwacht worden dat verder onderzoek nader bewijs zal opleveren.

In technische zin is het wel terecht: meer dan “vanaf deze computer is het verstuurd” kan men niet concluderen uit een IP-adres. De lijn doortrekken naar een specifieke gebruiker zal verdere omstandigheden vereisen, zoals dat hij de enige is die het wachtwoord weet of dat de PC op een afgesloten kamer staat waarvan alleen hij de sleutel heeft. En die omstandigheden liggen hier nu juist niet.

Maar het voelt ergens wel onrechtvaardig: de smadelijke uiting is zodanig dat eigenlijk alleen de eigenaar van de PC deze gedaan zou kunnen hebben.

Arnoud

Een lezer wees me op SMELL-WELL.net, “waar u op een subtiele wijze uw vrienden, kennissen, collega’s of partner kunt attenderen op hun ‘Geur-probleem’.” Het idee is dat je iemand niet zomaar in z’n gezicht zegt dat hij slechte adem of stinkvoeten heeft. Deze anonieme dienst biedt dan een manier om dat toch te kunnen melden zonder dat jij er persoonlijk op aangekeken wordt.

Even afgezien van de ethische vraag: is het legaal om zo’n dienst aan te bieden? Het riekt (haha) naar een reclamedienst gebaseerd op het tell-a-friendprincipe. Nu zijn tell-a-friendsystemen onder voorwaarden legaal, dus laten we eens kijken of aan de voorwaarden is voldaan.

1. De communicatie gebeurt volledig op eigen initiatief van de internetgebruiker (of afzender), de website stelt hier geen (kans op) beloning tegenover voor afzender of ontvanger.
Ik kan op de site nergens vinden dat jij of de ontvanger een beloning krijgt. Dit lijkt me dus prima.

Wel staat er een hyperlink naar deze site, waar je kunt kijken “welke oplossingen er voor je probleem beschikbaar zijn.” Dat is natuurlijk ook de insteek van deze site: reclame maken voor de producten van dit bedrijf.

2. Voor de ontvanger moet het duidelijk zijn wie de initiatiefnemer van de e-mail is, zodat hij diegene kan aanspreken als hij niet gediend is van dergelijke mails.
In de mails die je ontvangt via deze dienst, staat

Met Vriendelijke Groet, )|( Smell-Well.net

3. De afzender moet volledige inzage hebben in het bericht dat namens hem wordt verzonden, zodat hij de verantwoordelijkheid kan nemen voor de persoonlijke inhoud van het bericht.
Die krijg ik niet: na het invullen van het veld krijg ik alleen te horen dat de mail is verzonden. Wel krijg ik achteraf een kopie van de mail zoals verzonden, maar da’s natuurlijk een beetje laat.

4. De website in kwestie mag de e-mailadressen en andere persoonsgegevens niet gebruiken of bewaren voor andere doeleinden dan het eenmalig verzenden van een bericht namens de afzender. Daarnaast dient de website het systeem te beveiligen tegen misbruik, zoals het geautomatiseerd verzenden van spam.
Ik twijfel of hieraan wordt voldaan, want nadat de mail is verstuurd krijgt de afzender nog een mail, met daarin

Mocht het door jou gemelde Geurprobleem zijn opgelost, dan verzoeken we je vriendelijk om op onderstaande link te klikken. Gooi deze e-mail niet weg, want met deze link wordt een automatisch bericht gestuurd naar de voormalige Stinker waarbij hij/zij wordt bedankt voor het aanpakken van het geurprobleem.

Ik kan uit de URL niet halen of daar het e-mailadres van de ontvanger in zit (”reporterid=3560&token=0e000c1328b0a0870ee0ba02e0b3a58a”), maar ik zit er zélf wel in gezien die reporterid. En dat mag niet van de tell-a-friendregels: het is mailen en weggooien die informatie.

Er is wel een beveiliging in de vorm van een captcha, dus het is niet eenvoudig om mensen grootschalig te spammen met mails. Ook moet de afzender eerst zijn e-mailadres bevestigen via een link.

Alles bij elkaar vind ik ‘m twijfelachtig. Jullie?

Arnoud

Een lezer vroeg me:

Bij onze vereniging heeft laatst het bestuur iedereen een mail gestuurd met ieders e-mailadres zichtbaar in het cc-veld. Nu weet ieder lid mijn e-mailadres! Is dat strafbaar? Wat kan ik hieraan doen?

E-mailadressen in het kopieveld (cc) in plaats van het blindekopieveld (bcc) zetten, het kan iedereen gebeuren. Netjes is het niet, en het leidt ook vaak tot een storm van reacties (en daar weer reacties op dat iedereen moet ophouden met reply-to-all en dan daar weer reacties op, afijn..). Er is eigenlijk geen enkele reden waarom je grote hoeveelheden ontvangers zo zou moeten mailen, en het zou goed zijn als mailprogramma’s weigeren mails te versturen met meer dan zeg tien ontvangers in To of Cc velden.

Maar goed, dit is geen feedbackforum voor Thunderbird of Gmail maar een juridische blog: kun je nu juridisch gezien iets doen tegen een actie als deze?

De enige optie die ik kan verzinnen, is het over de boeg van de verwerking van persoonsgegevens te gooien. Het idee is dat je je dan beroept op artikel 13 Wet Bescherming Persoonsgegevens: je moet “passende technische en organisatorische maatregelen” nemen om persoonsgegevens (zoals e-mailadressen) te beschermen tegen “verlies of tegen enige vorm van onrechtmatige verwerking”.

De constructie wordt dan: je hebt mijn e-mailadres niet afdoende beschermd tegen onrechtmatige verwerking, want die ontvangers kunnen er zomaar mee aan de haal gaan. Het doet me wat gezocht aan, en ik twijfel of het de giecheltoets zal overleven. Maar uitsluiten dat het werkt, kan ik niet.

Arnoud

Een lezer vroeg me:

Regelmatig heb ik wel eens mail-contact met bedrijven (vaak MKB-bedrijven). Nu merk ik dat het de laatste tijd steeds vaker voorkomt dat ik meteen nadat ik mailcontact heb gehad, op hun nieuwsbrief geabonneerd bent. Mag dat eigenlijk wel?

Hoofdregel bij commerciële mail is dat je toestemming nodig hebt van de ontvanger voordat je deze mag sturen. De Telecommunicatiewet is streng en biedt maar weinig uitzonderingen op deze regel. Er zijn er grofweg twee:

1. Contactgegevens die een bedrijf zelf publiceert voor dat doel.
2. Contactgegevens die zijn verkregen in het kader van de verkoop van een product of dienst.

Bij de eerste uitzondering (die niet geldt voor contactgegevens van consumenten) moet je denken aan e-mailadressen als acquisitie@bedrijfsnaam.example, persberichten@nieuwssite.example of opensollicitaties@bedrijfsnaam.example. Bij zulke adressen is het duidelijk wat daarheen mag, en daar is dus geen nadere opt-in voor nodig.

De nieuwsbrief van de vraagsteller valt daar niet onder, al was het maar omdat een mailtje sturen naar een bedrijf niet is voor het doel “op iemands nieuwsbrief komen”. Bovendien overkomt dit ook vaak particulieren, en die uitzondering geldt daar dus niet voor.

De tweede uitzondering zegt kortweg dat je je klanten mag spammen met reclame, mits je ze maar bij elke mail een opt-out biedt. Dat begrip ‘klant’ wordt hier dus opgerekt tot “iemand die ons mailde”. Dat gaat me nogal ver. De wet spreekt duidelijk van “in het kader van de verkoop”. Ik kan me nog vinden in een interpretatie dat toeleveranciers (die aan het bedrijf verkopen) zomaar gespamd mogen worden, maar zomaar iemand die een vraag mailde? Nee.

Je zou natuurlijk nog kunnen zeggen dat nieuwsbrieven geen “commerciële” mail zijn maar informatieve. In theorie kan dat, maar de nieuwsbrieven van de meeste bedrijven zijn niet meer dan verkapte reclamefolders.

Arnoud

In mijn blogpost van gisteren sloot ik af met:

Heb je een afspraak dat een contract getekend moet worden, of loopt je wederpartij weg voordat je alle punten hebt geregeld, dan is er dus geen rechtsgeldige overeenkomst.

Een contract sluiten is vormvrij, zoals dat juridisch heet. Je kunt dus prima afspreken dat het contract pas geldig is als beide partijen hun handtekening hebben gezet. Weigert een partij dat, dan is hij niet gebonden aan het contract. Dat kan een flinke strop zijn: je hebt maanden onderhandeld, flink geïnvesteerd misschien al, alles lijkt in kannen en kruiken en dan krijg je ineens geen handtekening.

Dit probleem staat juridisch bekend als het probleem van de afgebroken onderhandelingen of ook wel van de precontractuele verhoudingen. Mag je onderhandelingen afbreken, en zo ja welke consequenties staan daarop?

In haar CBB/JPO arrest van 19952005 oordeelde de Hoge Raad dat je in principe zomaar onderhandelingen mag afbreken,

tenzij dit op grond van het gerechtvaardigd verlangen van de wederpartij in het totstandkomen van de overeenkomst of in verband met de andere omstandigheden van het geval onaanvaardbaar zou zijn.

Belangrijk daarbij is of je het vertrouwen hebt gewekt dat je door zou gaan. Een veel gezien gebruik bij grote bedrijven is dat bij elke onderhandelingsslag “Subject to management approval” bovenaan elk document gezet wordt. Je moet dan weten als wederpartij dat het management zomaar “nee” kan zeggen. Heel veel vertrouwen mag je dan niet hebben.

Omgekeerd, als je een intentieverklaring opstelt waarin je zegt “Wij gaan een overeenkomst sluiten” (of woorden van gelijke strekking), dan zit je vast aan de verplichting een contract te sluiten.

Dit arrest wijkt trouwens af van de oudere regel uit het Plas/Valburg-arrest, dat nog expliciet drie fases (fasen?) onderscheidde:

1. Afbreken mag, zonder recht op schadevergoeding voor de wederpartij.
2. Afbreken mag, maar de wederpartij heeft wel recht op schadevergoeding
3. Afbreken mag niet meer, je moet terug naar de onderhandelingstafel en tot een contract komen (plus schadevergoeding)

Het lijkt erop dat de tweede regels niet meer bestaat, maar helemaal duidelijk is dat niet.

In ieder geval lijkt het mij van wezenlijk belang dat je vooraf duidelijk maakt hoe je de onderhandelingen ziet, onder welke voorwaarden je weg wilt kunnen lopen en wanneer jij je gebonden acht aan de overeenkomst.

Arnoud

Een lezer vroeg me:

Per e-mail heb ik met een ander bedrijf uitgebreide correspondentie gevoerd over een koopcontract. Uiteindelijk waren we eruit (dacht ik), dus ik vroeg hem het contract uit te printen en te ondertekenen zodat het juridisch bindend zou worden. Toen hoorde ik ineens niets meer. Pas na veel nabellen kwam het hoge woord eruit: hij vond het toch maar niets en had dus besloten dat hij niet ging tekenen. Is hij nu werkelijk niet gebonden aan het contract?

Het is een misverstand dat je een contract moet ondertekenen om een rechtsgeldige overeenkomst te hebben. Zodra je overeenstemming hebt over de inhoud, heb je een contract. Of dat nu op papier staat, is niet belangrijk. Tenzij je natuurlijk in het onderhandeltraject afspreekt dat het contract op papier zal moeten en ondertekend moet worden voordat je jezelf eraan gebonden acht. Als je onderling zulke extra regeltjes wilt stellen, dan mag dat.

In een recente zaak van het Gemeenschappelijk Hof van Justitie v.d. Ned. Antillen en Aruba ging het over precies dit punt. Er was per e-mail gesproken over de koop (van een huisje) en er was een bod gedaan dat zonder enig voorbehoud was aangenomen. Het argument dat er eerst een koopcontract had moeten worden getekend, wordt van tafel geveegd:

Nu uit niets blijkt dat partijen hebben afgesproken dat de koopovereenkomst pas perfect zou zijn na ondertekening daarvan, is het feit dat er kennelijk geen voorlopige koopakte is opgestuurd en/of niet ondertekend geretourneerd, van geen belang…. De volledige emailwisseling tussen [koper] en [verkoper] bevat verder voldoende duidelijkheid over alle essentialia van een koopovereenkomst.

Dit lijkt me ook naar Nederlands recht volkomen juist. Zodra vaststaat wat je allebei wilt afspreken, zit je eraan vast. Of het nu getekend is of niet. Wil je pas na het tekenmoment gebonden zijn, dan moet je afspreken dat je het zo gaat doen.

Heb je zo’n afspraak, of loopt je wederpartij weg voordat je alle punten hebt geregeld, dan is er dus geen rechtsgeldige overeenkomst. Of dat weglopen of weigeren te tekenen mag, is een vraag die ik mijn blogpost van morgen beantwoord.

Arnoud

Er zit volgens mij iets in het water, of er is net een congres geweest “Juridische aspecten van e-mail” waarin het is gezegd, maar het aantal mails met disclaimers dat ik krijg, neemt ineens sterk toe. Nog steeds begrijp ik de zin van zulke disclaimers niet, en als ik vraag waarom men die gebruikt, kom ik niet verder dan “dat moet van Legal” of “mijn e-mailprogramma had het standaard ingebakken”.

Toevallig vond ik dit prachtige artikel bij designbureau SOV waarin men het concept disclaimer op duidelijke wijze aan de kaak stelt. In de gelinkte PDF vond ik ook het prachtige Duitse woord Angstklauseln, dat precies aangeeft waar het om gaat bij deze zinnen.

In een e-mail kun je alleen mededelingen doen en geen afspraken maken. Wil je afspraken maken, dan moet de ontvanger eerst een mail terugsturen waarin hij die afspraken bevestigt. “Wij zijn niet aansprakelijk voor virussen” is geen mededeling maar een afspraak, en kan dus niet. “Deze e-mail beschouw ik als privé” is wel een mededeling, hoewel de juridische impact ervan te betwijfelen is.

Ik krijg weleens vragen waarom ik in mijn zakelijke mails nooit een disclaimer opneem. Nou, omdat ik niet weet wat ik daarin zou moeten zetten. Mijn klanten weten heus wel of mails die ik ze stuur, vertrouwelijk zijn. Bovendien is dat in mijn algemene voorwaarden al geregeld, net als mijn aansprakelijkheid voor de inhoud van mijn adviezen. Het nut van “Als u niet de beoogde ontvanger bent, gelieve dan deze mail uit te printen en op te etente vernietigen” ontgaat me volledig. Een net persoon doet dat toch wel, een onfatsoenlijk persoon doet het toch niet.

Arnoud

Het is één van de meest gestelde vragen die ik krijg: mag mijn baas snuffelen in mijn mailbox? Hoofdregel is dat dat niet zomaar mag, tenzij er een zeer zwaarwegende reden is om het wel te doen. En zo’n reden leek er te zijn in de zaak uit dit arrest van de Centrale Raad van Beroep, de hoogste bestuursrechter in (o.a.) ambtenarenzaken. In deze zaak was een ambtenaar ontslagen, en de inhoud van haar mailbox stond daarbij centraal.

Het bestuur van de KVK Midden Nederland had een anonieme brief ontvangen in een interne envelop, waar de nodige zwartmakerij en ander moddergooien in stond. Daar werd een recherchebureau op gezet (waarom is dat altijd Hoffman). Dat had het originele idee om de mailboxen van medewerkers te doorzoeken om na te gaan van welke computer die brief afkomstig was. Inderdaad, mailboxen doorzoeken om de oorsprong van een papieren brief na te gaan.

Niet zo gek als het lijkt, want de brief bevatte een aantal zeer specifieke termen, en die werden ook teruggevonden in een aantal e-mails van de betrokken ambtenaar. De anonieme brief zelf werd niet aangetroffen, maar uit de mails en de rest van het onderzoek bleek dat zij “uiterst denigrerende uitlatingen had gedaan over collega’s, leidinggevenden en de organisatie, alsmede … frequent het internet voor privédoeleinden raadpleegde.” Op grond van deze bevindingen werd zij uiteindelijk ontslagen.

Bij het beroep tegen haar ontslag voerde de ambtenaar aan dat de KVK niet zomaar haar mailboxen mocht doorzoeken. De Raad verwerpt dit beroep:

Het bestuur had voldoende grond om één van zijn mede-werkers te verdenken van het schrijven van de anonieme brief en heeft in redelijkheid kunnen besluiten hiernaar een onderzoek in te stellen. De wijze waarop dit onderzoek heeft plaatsgevonden acht de Raad niet disproportioneel, nu dit werd uitgevoerd door een extern bureau en zich in eerste instantie uitstrekte tot het anoniem doorzoeken van alle e-mailboxen op de aanwezigheid van (twee) zoektermen, ontleend aan de inhoud van de anonieme brief.

Het bestuur had daarmee een gerechtvaardigd belang had om de e-mailbox van de betrokkene in te zien. En op grond van dat belang mocht zij optreden tegen de in die mails gedane uitlatingen. Dat de mails niet direct met de anonieme brief te maken hadden, was daarbij niet relevant:

Dat daarbij ook berichten zijn aangetroffen, die niet onmiddellijk zijn te herleiden tot de aan Hoffmann gegeven onderzoeksopdracht, betekent niet dat het bestuur die berichten niet ook bij zijn oordeelsvorming mocht betrekken.

Echter, het Hof vindt de sanctie van ontslag uiteindelijk te zwaar. De mails waren niet aan de hele afdeling gericht, maar alleen aan een beperkt aantal (oud-)collega’s. Ook op andere wijze had zij niet de sfeer op de afdeling negatief beïnvloed. En daarnaast zat zij al in een ‘verbetertraject’ vanwege haar eerder functioneren. Om daar nu ineens vanaf te wijken en tot ontslag over te gaan, was voor het Hof niet gepast.

Ik vind het wel een beetje merkwaardig hoe men van een brief naar mailboxen naar ontslag vanwege roddelmails naar ex-collega’s gaat, maar eerlijk gezegd zie ik niet waarom dit niet zou moeten kunnen.

Arnoud

Tijdens de discussie over opt-in per algemene voorwaarden kwam nog een interessante vraag naar boven: mag een vereniging haar leden ongevraagde mails of SMS-berichten sturen?

Hoofdregel is dat je bij ongevraagde elektronische berichten (SMS, e-mail, fax, MSN, noem maar op) toestemming moet hebben voor het versturen van deze berichten. Tenminste, als die berichten “commercieel, charitatief of ideëel” zijn. Een mededeling over de sluitingstijden van het clubhuis valt daar niet onder, maar een bedelbrief voor geld om een nieuw clubhuis te bouwen wel.

Ik heb de OPTA afgelopen maandag deze vraag voorgelegd, maar helaas nog geen reactie ontvangen. Het beste advies lijkt me dus om bij het lid worden mensen te vragen of ze nieuwsbrieven, verzoeken van het bestuur en dergelijke mails willen ontvangen. Alleen: hoe formuleer je dat op zo’n manier dat mensen het wel oké vinden maar je toch je maandelijkse bedelbrieven voor een nieuw clubhuis kunt sturen?

Arnoud

Da’s nog eens een originele vraag: wat is de juridische status van ‘read receipts’ (lees- en ontvangstbevestigingen) die sommige e-mailprogramma’s sturen als een bericht wordt geopend?

Deze techniek ken ik vooral uit Microsoft Outlook. In een e-mail die je via dit programma verstuurt, kun je aangeven dat je graag een ontvangst- of leesbevestiging wil hebben. Binnen een bedrijfscontext kan dat dan zelfs centraal en verplicht geregeld worden: de gebruiker heeft er dan weinig zeggenschap over.

Maar als het gaat om internetmail, dan ligt dat anders. Ik ken geen programma dat dan volautomatisch en ongevraagd die bevestigingen stuurt. Sommige programma’s vragen erom (zoals mijn Thunderbird) zodat je zelf kunt beslissen of en wat er moet gebeuren. Anderen negeren deze verzoeken gewoon.

Afijn, heeft zo’n verzoek of de daarop verstuurde bevestiging enige juridische status? Dat hangt er vanaf (ja sorry) wat je bedoelt met “status”. Het eerste waar ik dan aan denk, is gebruik als bewijs. In het civiele recht, dus tussen personen en bedrijven onderling, mag je in principe alles naar voren dragen om je stellingen te ondersteunen. Een gekregen ontvangstbevestiging kan dus als bewijs dienen als je moet bewijzen dat je een e-mail verstuurd hebt.

Natuurlijk, hij kan worden vervalst of onterecht zijn verstuurd, maar als de wederpartij daar niet moeilijk over doet, doet de rechter dat ook niet. En zelfs als de wederpartij er wel een punt van maakt, dan nog is het maar de vraag of hij het daarmee van tafel krijgt. Blijkt die wederpartij namelijk elke keer bevestigingen te sturen, dan is het wel heel raar dat net bij die ene mail de bevestiging vervalst zou zijn.

Een andere ’status’ van ontvangstbevestigingen is die binnen de privacywet. Mag je zomaar kijken op andermans PC of ze je mail gehad of zelfs gelezen hebben? Ik zou zeggen van niet, als het om privemail gaat. Ik bepaal zelf of en wanneer ik mails lees en wat ik daarmee doe. Zo’n bevestiging vragen is dan op zichzelf prima, zolang ik maar kan beslissen of die wordt verstuurd. E-mailprogramma’s moeten dus standaard die berichten niet beantwoorden.

Er zijn ongetwijfeld nog meer ’statussen’ van zo’n berichtje. Ben je aansprakelijk voor een niet verzonden (of valselijk verzonden) bevestiging bijvoorbeeld? Maar uiteindelijk is het een beetje een gekke vraag: het gaat er niet om wat zo’n berichtje als zodanig voor status heeft, maar wat je er gezien een bepaalde context mee mag doen.

Arnoud