Internetrecht door Arnoud Engelfriet

Collega-jurist Danny Mekic’ kwam onlangs met de interessante observatie: hoe zit het met vertrouwen van gadgets op sociale netwerksites zoals Hyves?

Gadgets of widgets zijn kleine applicaties die je op een webpagina, blog of iets dergelijks kunt opnemen. Daarmee kun je bijvoorbeeld laten zien of je online bent op MSN, spelletjes toevoegen, het weerbericht in jouw stad laten zien of andere al dan niet nuttige dingen voor je bezoekers doen. Maar die applicaties kunnen ook allerlei persoonsgegevens verzamelen en daarmee enge dingen doen.

Vrij weinig mensen staan daarbij stil. Mensen vertrouwen Hyves, schrijft Danny terecht. Hyves heeft toch een privacypolicy? Dus dan zal het wel goed zitten met die privacyaspecten.

In de Hyves privacy policy staat echter:

Verder is het zo dat Hyves derden de mogelijkheid geeft om applicaties te ontwikkelen op basis van de Hyves API te ontwikkelen. Dit zijn, kort gezegd, applicaties die gebruik maken van Hyves. Deze applicaties worden gemaakt door derde partijen die niet aan Hyves gelieerd zijn. Ze worden dus niet door, voor of namens Hyves gemaakt. Hyves heeft geen invloed op de werking van deze applicaties of wat er met jouw gegevens gebeurt, als je gebruik maakt van een dergelijke applicatie. Als je een applicatie toestemming geeft voor het gebruik van jouw (persoons)gegevens, valt dit dan ook buiten de verantwoordelijkheid van Hyves. Je kunt je gegeven toestemming altijd zelf weer intrekken.

Kortom, Hyves stelt zich niet aansprakelijk voor privacyschendingen door gadgets of widgets.

Bij de zin “wij stellen ons niet aansprakelijk” zou u nu moeten denken “dat hoeft ook niet, dat doe ik wel”. Maar gaat dat hier op? Ik denk van niet.

De Hyves API is een generieke omgeving waarbinnen elke mogelijke applicatie ontwikkeld kan worden. Hyves heeft daar weinig tot geen invloed op. Tenzij men allerlei speciale maatregelen gaat nemen. Hyves zou bijvoorbeeld het systeem zo kunnen bouwen dat alleen gecertificeerde applicaties kunnen werken. Aan certificatie kunnen dan eisen worden gesteld, zoals het zich houden aan de privacywetgeving.

Maar daarmee halen ze zich een gigantische berg werk op de hals. Plus: is het wel realistisch om te verwachten dat men kan controleren op mogelijke privacyschendingen? Ik denk het niet. Microsoft probeerde dit al eerder met gesigneerde ActiveX controls maar echt lekker werken doet dat niet. Waarom zou het voor Hyves anders zijn?

Het enige wat ik nog kan bedenken, is dat Hyves bij installatie van een widget een waarschuwing toont dat zij niet aansprakelijk zijn. Maar goed, dat wordt dan toch blindelings weggeklikt. Dus meer dan dit kan Hyves niet doen, denk ik.

Arnoud
PS excuses voor de flauwe grap in het plaatje, maar ik wist niks beters ter illustratie van een API(E).

Intrigerend. Via SOLV vond ik een vonnis over stalking via internet, waarbij de dader onder andere een website en Hyve had aangemaakt met de naam en foto van zijn slachtoffer. Perfect dus voor een blogpost, maar toen ik het vonnis wilde lezen, kreeg ik slechts: Deze uitspraak is ingetrokken door de centrale redactie.

Nu zag ik in de bespreking bij Solv de nodige namen en andere persoonlijke details genoemd. Vonnissen op rechtspraak.nl worden altijd geanonimiseerd, maar in dit geval was dat niet gebeurd. Alleen zou ik dan verwachten dat men het vonnis alsnog snel anonimiseert in plaats van het geheel weg te laten.

Mogelijkerwijs besloot de redactie dat de privacy van de slachtoffers dusdanig zwaar woog dat het hele vonnis maar offline moest. Jammer, maar begrijpelijk. Want het is toch een intrigerende uitspraak als je leest:

In het licht van bovenstaand, verbiedt de rechter [gedaagde] onder meer om zich in woord en/of geschrift, of dat nu via internet, weblog, e-mail, sms, krant, persoonlijke schrijvens en circulaires of anderszins is, uit te laten omtrent [eisers] of zijn relatie met (één van) hen of zijn gevoelens jegens één van hen.

(anonimisering door mij)

Arnoud

Een afgeschermd Hyves-profiel kan in geval van smaad als openbaar worden beschouwd, meldde Nu.nl gisteren. Bij een afgeschermde Hyve kunnen alleen mensen die als ‘vriend’ zijn toegevoegd, iemands profiel of krabbels (berichten) lezen. Voor smaad (art. 261 Strafrecht) is echter nodig dat de uitlating in het openbaar gedaan wordt. Wat je tijdens het afwassen tegen je moeder zegt (hoi mam!) kan dus geen smaad zijn. Wat je op een zeepkist in het park zegt, is openbaar en kan dus smaad zijn.

De politierechter in Assen heeft afgelopen maandag besloten dat een afgeschermde Hyve eerder te vergelijken is met een zeepkist in het park dan de keuken van mijn moeder. Irritant is wel dat dat vonnis dus nergens te vinden is (wie het heeft, mag het mailen, graag!) zodat ik de motivatie niet kan nalezen of bespreken.

In een vonnis van afgelopen juni bepaalde de rechtbank Amsterdam nog dat een internetforum (Polinco) geen openbaar medium was, omdat men niet onverhoeds tegen de uitlatingen op het forum aan kon lopen. In een recent arrest van het Gerechtshof in Amsterdam werd deze redenering echter juist weer onderuit gehaald:

Door gebruik te maken van het internet heeft verdachte welbewust gekozen voor een medium met een groot potentieel publieksbereik en kon via zijn website ook daadwerkelijk een groot publiek worden bereikt. Daaraan doet niet af dat internetgebruikers de website van verdachte moesten aanklikken en aldus “niet ongevraagd” zoals bij het medium radio of televisie, met verdachte’s opinies in aanraking kwamen. Niet gebleken is dat de website bijvoorbeeld met een wachtwoord was beschermd. Het is een feit van algemene bekendheid dat het gebruik van internet een enorme vlucht heeft genomen en het hof ziet geen reden voor wat het publieksbereik betreft een onderscheid te maken tussen radio en televisie enerzijds en internet anderzijds.

Intrigerend hier vind ik die opmerking over wachtwoorden. Zou het arrest anders zijn uitgevallen als er wel een wachtwoord op de site had gezeten? Want dan zou de smadelijke Hyve ook niet verboden hoeven worden. Een systeem met autorisatie op basis van een vriendenlijst lijkt me toch sterk vergelijkbaar

Hoe openbaar vinden jullie dat afgeschermde Hyves-krabbels of profielen zijn?

Arnoud

“Ik stem toe met de voorwaarden en ben ouder dan 13 jaar.” Wie zich op een Nederlandstalig forum registreert dat phpBB gebruikt, moet op deze zin klikken om de registratie te voltooien. Die zin is rechtstreeks afkomstig uit de Amerikaanse versie, waar de Children’s Online Privacy Protection Act eist dat forumbeheerders uitdrukkelijke toestemming van de ouders moeten vragen voordat ze personen onder de 13 jaar lid mogen laten worden van het forum.

De Nederlandse wet is veel strenger. Voor personen onder de zestien jaar is toestemming van diens ouders of verzorgers nodig.

Minderjarigen (personen onder de achttien) kunnen alleen overeenkomsten sluiten als zij daarvoor toestemming hebben van hun ouders of verzorgers. Een overeenkomst zonder toestemming kan altijd door de ouders worden teruggedraaid. De wederpartij heeft dan pech; hij kan zich niet beroepen op bijvoorbeeld het feit dat hij dacht dat de koper meerderjarig was. Registratie bij (lid worden van) een forum is ook een overeenkomst en valt dus ook onder deze regel.

De toestemming wordt verondersteld te zijn gegeven als de overeenkomst voor personen van diezelfde leeftijd gebruikelijk is. Een twaalfjarige kan dus rechtsgeldig een blikje cola kopen op het station. Een zeventienjarige kan een mountainbike kopen. De ouders van deze twee kunnen daar niets tegen beginnen.

Internet is natuurlijk erg populair onder jongeren, dus je kunt goed verdedigen dat lid worden van een internetforum gebruikelijk is. Daarmee is het voor jongeren toegestaan om zich zonder expliciete toestemming van hun ouders op te geven. Zou je denken.

De spelbreker hier is namelijk de artikel 5 van de Wet Bescherming Persoonsgegevens. Bij registratie op een forum geef je namelijk persoonsgegevens aan de site. Daarvoor is toestemming van de ouders nodig als de minderjarige de leeftijd van zestien jaren nog niet heeft bereikt.

En die toestemming moet altijd expliciet worden gegeven. De regel hierboven van “verondersteld te zijn gegeven” geldt hier niet.

Het “ik ben ouder dan dertien” moet in Nederland dus “ik ben minimaal zestien” worden.

En dat realiseren zich maar weinig sites. Habbo Hotel: “wanneer je jonger bent dan 12 jaar”). Myspace “verklaart en garandeert u dat … u 14 jaar of ouder bent”. Sugababes en Superdudes: “Je moet minimaal 13 jaar zijn om lid te mogen worden”. Hyves: stelt geen eisen. TMF: idem. De Nederlandse vertalers van phpBB bevelen zelfs aan de hele controle te verwijderen.

De Richtsnoeren persoonsgegevens op internet van het College Bescherming Persoonsgegevens leggen uit waarom:

De dagelijkse gang van zaken op internet is dat veel jongeren gedetailleerde informatie over zichzelf en hun vrienden en kennissen publiceren op internet, op een eigen website of in sociale netwerkomgevingen. Zo lang de betrokkenen geen hinder ondervinden van dergelijke publicaties, kan het wettelijk toestemmingsvereiste daarbij soms zinloos lijken. Bij publicatie op internet moet echter rekening worden gehouden met het feit dat de gevolgen pas jaren later merkbaar kunnen worden, door koppeling van gegevens over een persoon door de tijd heen, of omdat een jongere zich in een nieuwe omgeving (bijvoorbeeld bij wisseling van school) op een andere manier wil kunnen ontwikkelen dan voorheen.

Arnoud

Steeds meer mensen bloggen of gebruiken sociale netwerken zoals Hyves, Linkedin, Myspace en Facebook. De meeste daarvan zijn puur voor privé: berichtjes uitwisselen met je vrienden, foto’s delen enzovoorts. Slechts een enkeling (met name Linkedin) richt zich primair op zakelijke netwerken. Toch worden die sites vooral onder werktijd gebruikt. Mag dat eigenlijk wel?

De Britse Trade Union Congress (TUC) heeft onlangs een paper gepubliceerd over sociale netwerken en de relatie tot het werk. Emerce citeert uit de conclusie:

“Dat sommige werkgevers de netwerken blokkereren, is een overreactie,” schrijft de TUC. Ze vindt dat goede werkgevers hun werknemers in ieder geval tijdens pauzes moeten toestaan om sociale handelingen te verrichten op hun Facebook of MySpace profiel. De belangrijkste reden: de netwerken zijn een onlosmakelijk onderdeel van de levens van veel werknemers geworden.

Nederlandse vakbonden hebben zich, zover bekend, nog niet over dit onderwerp uitgesproken, meldt Emerce er nog achteraan. We hebben natuurlijk wel het CBP-rapport Goed werken in netwerken (wat ik al kort noem in mijn gids Bloggen op het werk) en niet te vergeten het proefschrift Wangedrag van werknemers van Miranda Koevoets (2006).

Uitgangspunt is dat je als werknemer een zekere beperking op je vrijheid hebt te accepteren. Je wordt tenslotte betaald om te werken en niet om te twitteren. Maar dat betekent niet dat elk privé-telefoontje verboden is of even je Hotmail checken reden kan zijn voor ontslag. Laat staan dat de werkgever zomaar alle internetverkeer mag monitoren. Het CBP schrijft hierover:

In het algemeen zal een beperkte vorm van privé-gebruik worden toegestaan evenals bij telefoneren gebruikelijk is. In zijn algemeenheid is een totaal verbod op privé-gebruik van e-mail en internet niet aanvaardbaar. Alleen bij communicatiefaciliteiten met een specifieke doelstelling, kan het privé-gebruik verboden worden. De werknemer moet dan wel andere communicatiemogelijkheden ter beschikking hebben.

Overigens zou ook bij een algeheel verbod op privé-gebruik de werkgever nog niet het recht hebben om continue het gebruik te controleren. Dit zou immers een ingrijpende en niet-evenredige inmenging in het functioneren van de werknemers betekenen. Continue controle wordt door de Arbeidsomstandighedenwetgeving dan ook met reden als schadelijk gezien voor de gezondheid en het welzijn van de werknemer en zal in het algemeen ook niet kunnen worden gekwalificeerd als goed werkgeverschap.

En het draait om dat laatste. Een werkgever heeft de taak zich als “goed werkgever” te gedragen. Koevoets komt tot de conclusie (p. 78) dat dit betekent dat de privacy van de werknemer onder normale omstandigheden boven monitoren of loggen gaat. Pas bij een redelijk vermoeden van wangedrag mag de werkgever gaan observeren (zie ook cameratoezicht op het werk). Een essentieel element daarbij is het vooraf bekendmaken van het beleid over monitoren en toezicht.

Heeft de werkgever zo’n redelijk vermoeden, dan mag hij dus een werknemer in de gaten houden om te kijken of het vermoeden bevestigd kan worden. Blijkt na zulk toezicht dat de werknemer inderdaad onrechtmatig bezig is, dan kunnen aldus Koevoets de volgende sancties worden opgelegd:

de officiële, schriftelijke waarschuwing of berisping; overplaatsing; het passeren voor een periodieke verhoging; het intrekken van emolumenten; functieverlaging met de daarbij behorende loonsverlaging; vermindering van vakantiedagen; de schorsing of non-actiefstelling met of zonder behoud van loon; het inhouden van het loon; de boete; opzegging van de arbeidsovereenkomst, opzegging wegens een dringende reden en ontbinding door de kantonrechter, zowel wegens verandering in de omstandigheden, als wegens een dringende reden, als wegens wanprestatie.

De betreffende maatregel dient noodzakelijk te zijn ter beëindiging van de ongewenste situatie.

Arnoud

Een erg lastige vorm van computercriminaliteit is social engineering: niet een computer hacken maar de persoon er voor. Je voordoen als je slachtoffer, dat helaas zijn wachtwoord is vergeten (”en mijn gebruikersnaam is er-o-o-tee”) en zielig doen tot de helpdesk het wachtwoord verandert. Meer voorbeelden bij Microsoft en Securityfocus.

Daar heb je natuurlijk wel de nodige informatie over je slachtoffer bij nodig. Vroeger moest je dan diens vuilnisbak plunderen in de hoop een brief of bankafschrift te vinden. Tegenwoordig is dat een stuk makkelijker: bekijk iemands Hyves-profiel, blader door zijn Linkedin-contactenlijst of lees zijn weblog.

In Emerce een waarschuwend artikel over de risico’s van zulke Web 2.0-sites. Men citeert XS4All:

Met Web 2.0-toepassingen wordt van mensen verwacht dat ze informatie géven. Dat is wezenlijk anders dan de aard van het web een paar jaar geleden. Toen was internet er vooral om informatie tót je te nemen. Hoe meer je geeft, hoe meer risico je loopt. We vinden het verstandig om internetgebruikers erop te wijzen dat dat hun eigen risico is.

XS4All biedt ook een veiligheidstraining waar deze aspecten aan de orde komen.

Je voordoen als iemand anders kan computervredebreuk zijn. Het probleem is natuurlijk dat dat bijzonder lastig te bewijzen is als iemand jou je wachtwoord weet te ontfutselen. Dat laat geen sporen na die een echte ‘hack’ wel nalaat.

UPDATE: (6 september) ook Corcom heeft er een stukje over.

Arnoud