Internetrecht door Arnoud Engelfriet

“Ik stem toe met de voorwaarden en ben ouder dan 13 jaar.” Wie zich op een Nederlandstalig forum registreert dat phpBB gebruikt, moet op deze zin klikken om de registratie te voltooien. Die zin is rechtstreeks afkomstig uit de Amerikaanse versie, waar de Children’s Online Privacy Protection Act eist dat forumbeheerders uitdrukkelijke toestemming van de ouders moeten vragen voordat ze personen onder de 13 jaar lid mogen laten worden van het forum.

De Nederlandse wet is veel strenger. Voor personen onder de zestien jaar is toestemming van diens ouders of verzorgers nodig.

Minderjarigen (personen onder de achttien) kunnen alleen overeenkomsten sluiten als zij daarvoor toestemming hebben van hun ouders of verzorgers. Een overeenkomst zonder toestemming kan altijd door de ouders worden teruggedraaid. De wederpartij heeft dan pech; hij kan zich niet beroepen op bijvoorbeeld het feit dat hij dacht dat de koper meerderjarig was. Registratie bij (lid worden van) een forum is ook een overeenkomst en valt dus ook onder deze regel.

De toestemming wordt verondersteld te zijn gegeven als de overeenkomst voor personen van diezelfde leeftijd gebruikelijk is. Een twaalfjarige kan dus rechtsgeldig een blikje cola kopen op het station. Een zeventienjarige kan een mountainbike kopen. De ouders van deze twee kunnen daar niets tegen beginnen.

Internet is natuurlijk erg populair onder jongeren, dus je kunt goed verdedigen dat lid worden van een internetforum gebruikelijk is. Daarmee is het voor jongeren toegestaan om zich zonder expliciete toestemming van hun ouders op te geven. Zou je denken.

De spelbreker hier is namelijk de artikel 5 van de Wet Bescherming Persoonsgegevens. Bij registratie op een forum geef je namelijk persoonsgegevens aan de site. Daarvoor is toestemming van de ouders nodig als de minderjarige de leeftijd van zestien jaren nog niet heeft bereikt.

En die toestemming moet altijd expliciet worden gegeven. De regel hierboven van “verondersteld te zijn gegeven” geldt hier niet.

Het “ik ben ouder dan dertien” moet in Nederland dus “ik ben minimaal zestien” worden.

En dat realiseren zich maar weinig sites. Habbo Hotel: “wanneer je jonger bent dan 12 jaar”). Myspace “verklaart en garandeert u dat … u 14 jaar of ouder bent”. Sugababes en Superdudes: “Je moet minimaal 13 jaar zijn om lid te mogen worden”. Hyves: stelt geen eisen. TMF: idem. De Nederlandse vertalers van phpBB bevelen zelfs aan de hele controle te verwijderen.

De Richtsnoeren persoonsgegevens op internet van het College Bescherming Persoonsgegevens leggen uit waarom:

De dagelijkse gang van zaken op internet is dat veel jongeren gedetailleerde informatie over zichzelf en hun vrienden en kennissen publiceren op internet, op een eigen website of in sociale netwerkomgevingen. Zo lang de betrokkenen geen hinder ondervinden van dergelijke publicaties, kan het wettelijk toestemmingsvereiste daarbij soms zinloos lijken. Bij publicatie op internet moet echter rekening worden gehouden met het feit dat de gevolgen pas jaren later merkbaar kunnen worden, door koppeling van gegevens over een persoon door de tijd heen, of omdat een jongere zich in een nieuwe omgeving (bijvoorbeeld bij wisseling van school) op een andere manier wil kunnen ontwikkelen dan voorheen.

Arnoud

Nog maar eens een lezersvraag:

Bij een forum waar ik regelmatig post, wordt het IP-adres van elk bericht bij dat bericht getoond. Nou snap ik dat ze IP-adressen bijhouden in verband met mogelijk misbruik, maar mogen ze het adres zo aan iedere andere bezoeker laten zien?

Een IP-adres is, samen met een datum en tijd van gebruik van dat adres, te herleiden tot een persoon. Je hebt daar de hulp van een provider bij nodig, maar het kan. Daarom is een IP-adres een persoonsgegeven.

Forumbeheerders houden wel vaker bij elk bericht bij vanaf welk IP-adres het geplaatst is, en natuurlijk ook wanneer. Dat is volgens de Wet Bescherming Persoonsgegevens een verwerking van persoonsgegevens. En verwerking mag alleen als je dit vooraf aanmeldt bij het College Bescherming Persoonsgegevens.

Specifiek voor dit soort verwerkingen is er een vrijstelling: de controle op en het beveiligen van de computersystemen of computerprogramma’s, en ook verwerking voor het beheer van de systemen of programma’s” hoeft niet te worden aangemeld. Forums hoeven hun logfiles dus niet aan te melden bij het CBP.

Publicatie van het IP-adres is ook een verwerking. Die mag alleen als “de betrokkene zijn ondubbelzinnige toestemming heeft verleend voor de gegevensverwerking”. Het zal dus expliciet in het reglement moeten staan, en liefst ook nog een keertje apart bij het formulier waar je je reactie kunt typen.

Waar heel veel forums (en Wikipedia trouwens ook) de fout in gaan, is dat de wet eist dat je de gegevens na zes maanden verwijdert. Ik ken geen forum waar IP-adressen na zes maanden onzichtbaar worden.

Arnoud

Een nieuwe lezersvraag: mag een forumbeheerder berichten verwijderen van een deelnemer?

Wie zijn website openstelt voor anderen, doet er verstandig aan om meteen duidelijke regels in te voeren. Forums en andere discussiesites lopen, net als bloggers, het risico aangesproken te worden voor wat deelnemers doen.

Een moderator of beheerder mag berichten alleen inhoudelijk wijzigen (of weghalen) wanneer daar duidelijke regels over gesteld zijn. Het wijzigen van de strekking van iemands betoog mag niet zomaar.

Soms komt het voor dat een deelnemer zelf vraagt om een bericht te laten verwijderen. Ook dat kan niet zomaar. Een deelnemer moet weten dat alle andere lezers het bericht onder ogen zullen krijgen. Formeel is dat een impliciete toestemming tot publicatie van het bericht. Zo’n toestemming kan ingetrokken worden, maar niet zomaar. Er moet wel een bijzondere reden voor zijn. Bijvoorbeeld dat er iets in stond dat nooit gepubliceerd had mogen worden.

De deelnemer moet namelijk rekening houden met de andere deelnemers. Door het weghalen van een bericht kan de inhoud of strekking van berichten van anderen onbegrijpelijk worden, en dat is niet de bedoeling.

Een beheerder moet dus heel terughoudend zijn met het verwijderen van berichten. Ook als de deelnemer er zelf om vraagt.

Arnoud