Internetrecht door Arnoud Engelfriet

Een lezer vroeg me:

Is het toegestaan algemene voorwaarden te hanteren waarin geen contactgegevens staan vermeld? Of überhaupt op je site alleen een info@ e-mailadres te vermelden als bedrijf?

Een bedrijf zoals een webwinkel of internetdienstverlener moet op zijn site duidelijk herkenbaar bedrijfsnaam, vestigingsadres en telefoonnummer vermelden. Niet alleen in de voorwaarden: op de site zelf (art. 3:15d en 7:46c BW).

Informatie verstoppen in algemene voorwaarden is eigenlijk nooit genoeg om mensen daaraan te houden. Het enige dat in algemene voorwaarden mag staan, zijn algemene voorwaarden: randvoorwaarden aan je dienstverlening. Geen prijzen, geen productomschrijvingen en geen wettelijk verplichte informatie over jezelf of je producten of diensten.

Op zich is het niet verboden om de algemene voorwaarden generiek te houden. Zo zou je bijvoorbeeld als ICT-dienstverlener de standaardvoorwaarden van ICT~Office kunnen gebruiken. Daar kun je je naam niet inzetten, maar dat is dus op zich niet erg.

Het moet wel altijd duidelijk zijn dat die voorwaarden gelden als je een contract met ze sluit. Maar dat is eigenlijk al gewoon de regel uit de wet. Gewoon ergens voorwaarden neerzetten is niet genoeg om die contractueel geldig te verklaren naar je klanten toe, of je naam er nu in staat of niet.

Arnoud

Internetters zijn lastig te identificeren. Namen en e-mailadressen zijn zo vervalst, en ook op andere gegevens kun je nauwelijks afgaan. Het IP-adres is zo ongeveer het enige gegeven dat niet (nou ja, moeilijk) te vervalsen is als je met iemand communiceert. Het opvragen van een IP-adres is dan ook vaak de eerste stap als je juridische maatregelen tegen iemand wilt nemen.

Maar hoe betrouwbaar is zo’n IP-gebaseerde identificatie nu eigenlijk? Voor die lastige technische vraag stonden de raadsheren van het Gerechtshof Den Bosch recent. In een fikse ruzie tussen twee partijen was aangifte gedaan van smaadschrift per e-mail, maar die aangifte was geseponeerd. De benadeelde partij stapte daarop naar het Gerechtshof, want je mag via de zogeheten artikel-12-procedure eisen dat men alsnog vervolging instelt.

De smaadmail was via het contactformulier van de website verstuurd, dus via de logs van de site was het IP-adres van de verzender snel achterhaald. En dat adres bleek op naam te staan van de partij tegen wie hij aangifte had gedaan. (Iedereen die nu over RIPE of IANA begint: ik vermoed dat daarmee wordt bedoeld dat bij een reverse DNS lookup de domeinnaam van de wederpartij boven kwam.) Als bewijs werd daarbij een logfile van websitebezoeken overlegd.

De wederpartij ontkende ten stelligste dat hij het formulier had ingevuld: hij had een open netwerk achter dat IP-adres draaien, waar ook zijn gezin, de buren en diverse vrienden zomaar op konden. Een open netwerk als bewijs van onschuld? Volgens het Hof wel, en niet alleen omdat de logfiles eerder ophielden dan het tijdstip waarop de mail was ontvangen.

Uit de beschikking:

[N]aar het oordeel van het hof onvoldoende wettig en overtuigend bewijs aanwezig dat beklaagde de bewuste e-mail heeft verstuurd, gelet op het aantal personen dat kennelijk toegang had tot zijn computer. Naar het oordeel van het hof mag niet verwacht worden dat verder onderzoek nader bewijs zal opleveren.

In technische zin is het wel terecht: meer dan “vanaf deze computer is het verstuurd” kan men niet concluderen uit een IP-adres. De lijn doortrekken naar een specifieke gebruiker zal verdere omstandigheden vereisen, zoals dat hij de enige is die het wachtwoord weet of dat de PC op een afgesloten kamer staat waarvan alleen hij de sleutel heeft. En die omstandigheden liggen hier nu juist niet.

Maar het voelt ergens wel onrechtvaardig: de smadelijke uiting is zodanig dat eigenlijk alleen de eigenaar van de PC deze gedaan zou kunnen hebben.

Arnoud

Intrigerende column van Peter Rietveld bij Security.NL:

Naymz.com is een ’sociale netwerksite’ voor Reputation Management for Professionals. Een soort LinkedIn dus. Maar met een interessant verschil: voor een heleboel mensen is er alvast een profiel aangemaakt. Ben je één van die gelukkigen en tref je je eigen naam aan, dan kun je zeggen “This Is Me”. Vervolgens kun je een wachtwoord kiezen en je profiel verder aanvullen en in gebruik nemen. Volgens de Terms of Use mag je je niet voor een ander uitgegeven. De rest van de Terms of Use gaan over vunzige content, de belangen van de aanbieder - kortom het feit dat je volledig aan de wolven bent overgeleverd als er iets misgaat. En als iemand anders je naam en profiel inpikt, ben je gebonden aan Terms of Use die je nooit gezien hebt… Op Naymz.com heb ik lekker zitten rondklikken en nu ben ik een heleboel verschillende mensen.

Dergelijk misbruik kan - hoewel iets minder eenvoudig - op alle sociale netwerksites. De feitelijke identificatie is namelijk meestal het e-mail adres. Ik kan een profiel aanmaken dat verdacht écht overkomt, zeker als ik het échte CV van iemand heb. Een leuke query op google met CV en filetype:doc levert genoeg kandidaten op om vrolijk te gaan klieren.

Lees verder in This Is Me door Peter Rietveld.

Arnoud

Dit is wel een hele mooie manier om te laten zien dat IP-adressen persoonsgegevens zijn: een visualisatie in Simcity-stijl van de logfile van je website. Door VisitorVille.

Via Digitaal Inlichtingenwerk Zeeuwse Bibliotheek, dat nog uitlegt:

Er verschijnt een voorstelling van een stad als in Sim City, waarbij de gebouwen alle afzonderlijke pagina’s vertegenwoordigen, de rondrijdende bussen de zoekmachines en alle avatars de bezoekers van dat moment.

De Google-bus is wel een hele grote dan.

Arnoud

Nog maar eens een lezersvraag:

Bij een forum waar ik regelmatig post, wordt het IP-adres van elk bericht bij dat bericht getoond. Nou snap ik dat ze IP-adressen bijhouden in verband met mogelijk misbruik, maar mogen ze het adres zo aan iedere andere bezoeker laten zien?

Een IP-adres is, samen met een datum en tijd van gebruik van dat adres, te herleiden tot een persoon. Je hebt daar de hulp van een provider bij nodig, maar het kan. Daarom is een IP-adres een persoonsgegeven.

Forumbeheerders houden wel vaker bij elk bericht bij vanaf welk IP-adres het geplaatst is, en natuurlijk ook wanneer. Dat is volgens de Wet Bescherming Persoonsgegevens een verwerking van persoonsgegevens. En verwerking mag alleen als je dit vooraf aanmeldt bij het College Bescherming Persoonsgegevens.

Specifiek voor dit soort verwerkingen is er een vrijstelling: de controle op en het beveiligen van de computersystemen of computerprogramma’s, en ook verwerking voor het beheer van de systemen of programma’s” hoeft niet te worden aangemeld. Forums hoeven hun logfiles dus niet aan te melden bij het CBP.

Publicatie van het IP-adres is ook een verwerking. Die mag alleen als “de betrokkene zijn ondubbelzinnige toestemming heeft verleend voor de gegevensverwerking”. Het zal dus expliciet in het reglement moeten staan, en liefst ook nog een keertje apart bij het formulier waar je je reactie kunt typen.

Waar heel veel forums (en Wikipedia trouwens ook) de fout in gaan, is dat de wet eist dat je de gegevens na zes maanden verwijdert. Ik ken geen forum waar IP-adressen na zes maanden onzichtbaar worden.

Arnoud

Een opvallende passage uit het persbericht van BREIN waarin men meldt weer 6 Bittorrent websites uit de lucht te hebben gehaald :

Met de verstrekte naam- en adresgegevens van de site-eigenaren kan BREIN deze in persoon aanspreken om herhaling te voorkomen en schadevergoeding te vorderen. Het komt voor dat service providers niet over betrouwbare klantgegevens beschikken omdat zij toestaan dat deze zich anoniem of met valse gegevens registeren. In dat geval trekken zij de aansprakelijkheid voor de door de site veroorzaakte schade naar zich toe.

Volgens mij heb ik een nieuwe Kluwer collegebundel nodig. Waar staat dat?

Artikel 6:196c BW gaat over de aansprakelijkheid van providers.

Een webhoster valt onder lid 4:

Degene die diensten van de informatiemaatschappij verricht als bedoeld in artikel 15d lid 3 van Boek 3, bestaande uit het op verzoek opslaan van van een ander afkomstige informatie, is niet aansprakelijk voor de opgeslagen informatie, indien hij:
a. niet weet van de activiteit of informatie met een onrechtmatig karakter en, in geval van een schadevergoedingsvordering, niet redelijkerwijs behoort te weten van de activiteit of informatie met een onrechtmatig karakter, dan wel
b. zodra hij dat weet of redelijkerwijs behoort te weten, prompt de informatie verwijdert of de toegang daartoe onmogelijk maakt.

Ik zie daar nergens staan dat ze moeten weten wie hun klanten zijn. Als ze (moeten) weten dat de informatie onrechtmatig is, dan moeten ze de informatie verwijderen. Dat lijkt me logisch, en dat zou ook genoeg moeten zijn.

De Nederlandse wet heeft wel een regeling over afgifte van identificerende gegevens:

Artikel 54A Wetboek van Strafrecht. Een tussenpersoon die een telecommunicatiedienst verleent bestaande in de doorgifte of opslag van gegevens die van een ander afkomstig zijn, wordt als zodanig niet vervolgd indien hij voldoet aan een bevel van de officier van justitie, na schriftelijke machtiging op vordering van de officier van justitie te verlenen door de rechter-commissaris, om alle maatregelen te nemen die redelijkerwijs van hem kunnen worden gevergd om de gegevens ontoegankelijk te maken.

Maar let wel: de officier van justitie. Niet Brein.

Dat past ook binnen het advies van de Advocaat-Generaal van het Europese Hof trouwens. Ook die was van mening dat de Richtlijn alleen gebruikt kan worden om afgifte van persoonsgegevens aan opsporingsdiensten toe te staan. Niet aan private personen of organisaties.

Via ISPam.nl.

Arnoud