Internetrecht door Arnoud Engelfriet

Ruzie met je mede-directeur, in echtscheiding liggen en er dan ook achterkomen dat allebei die wederpartijen weten wat je mailt. Daar zou ik ook boos om worden. De directeur van een bedrijf had ruzie met een compagnon, en lag ook nog eens in een zo te lezen niet prettig verlopende echtscheidingsprocedure. Tijdens de afwikkeling bleek dat zowel die compagnon als zijn vrouw kennis hadden van dingen die alleen in e-mails van en naar anderen stonden, zo wisten Zibb en de Telegraaf te vertellen. Enig onderzoek door een ingehuurde systeembeheerder bracht een stiekem ingestelde forwarding regel aan het licht, die alle mail kopieerde naar een Gmail-mailbox.

Het lag redelijk voor de hand dat die compagnon die regel had ingesteld, omdat hij als enige de gelegenheid en vakkennis had om dit te kunnen doen. Maar om dat te bewijzen, valt nog niet mee. Vandaar dat deze directeur Google voor de rechter sleepte en eiste dat het bedrijf de persoonsgegevens zou afgeven van de eigenaar van de mailbox.

De rechtbank toetst het verzoek aan het Lycos/Pessers-arrest, en herformuleert de eisen die daarin gesteld zijn in het vonnis als volgt:

1. Het moet voldoende aannemelijk zijn dat sprake is van onrechtmatig handelen van de desbetreffende gebruiker.
2. Het dient buiten redelijke twijfel te zijn dat degene van wie de gevraagde persoonlijke gegevens ter beschikking dienen te worden gesteld ook daadwerkelijk degene is die zich aan dit handelen schuldig zou hebben gemaakt.

Als hieraan is voldaan, moet de rechter nog een afweging maken tussen de privacybelangen van de betrokkenen bij het geheim houden van hun gegevens en het belang van de eiser om tegen het onrechtmatig handelen op te treden. Met andere woorden, wat is erger, de privacyschending door te onthullen wie er achter zit, of de onrechtmatige daad gepleegd door die persoon?

In deze zaak had de rechter er geen moeite mee om de afweging in het voordeel van de eiser uit te laten vallen. De belangrijkste overweging:

4.8. Zoals onder 4.5 overwogen is aannemelijk dat het Gmail-adres ook is gebruikt om de inhoud van aan [bestuurder] gerichte e-mails aan derden te overhandigen. Dit levert misbruik jegens [eiseres c.s.] op. De ernst van dit misbruik van het Gmail-adres en de gevolgen daarvan voor [eiseres c.s.] leveren een zo zwaarwegend belang van [eiseres c.s.] op dat het belang van Google bij de bescherming van de privacygevoelige informatie van haar gebruikers in dit geval dient te wijken.

Google moest dan ook de IP-adressen achter het account afgeven, plus het secundaire (backup) e-mailadres dat daaraan gekoppeld was.

Via Boek9.nl.

Arnoud

Privacy is een groot goed, maar er wordt me iets te vaak misbruik gemaakt van de wet om onwelgevallige gegevens van het net te halen. En dat is jammer, want het maakt het moeilijker voor gewone mensen om een gerechtvaardigd beroep op diezelfde privacywet te doen.

Gisteren werd bekend dat stichting Mijn Kind Online een waarschuwingsbericht had aangepast onder druk van haar provider (Web-log.nl, een dienst van Ilse). De waarschuwing betrof een typische tell-a-friend-spam site: “je geeft je MSN-account weg om je hele vriendenlijst te laten spammen zodat de maker van geldmetjepc.nl jouw vrienden kan ronselen voor de affiliatie-programma’s”, zo legt Mijn Kind Online uit. De site meldt dat je tot 4000 euro per maand zou kunnen verdienen door reclame te ontvangen per mail “tot wel 1 euro per bericht”.

Reden voor de aanpassing was dat Mijn Kind Online in de waarschuwing de naam noemde van de ondernemer achter het bedrijf in kwestie. Deze had bij Web-log geklaagd over de naamsvermelding met een beroep op de Wet Bescherming Persoonsgegevens. Hij had immers geen toestemming gegeven voor deze naamsvermelding, en hij was geen bekende Nederlander dus de naamsvermelding moest weg.

Web-log had een jurist geraadpleegd en die vond dat uit een belangenafweging volgde dat de naam inderdaad niet genoemd hoefde te worden. Mijn Kind Online had kunnen volstaan met verwijzen naar de bedrijfssite, en als mensen dan zo nodig wilden weten wie er achter het bedrijf zat, moesten ze dat maar zelf opzoeken.

Wat de jurist echter kennelijk vergat te controleren, is of de WBP uberhaupt wel van toepassing is op dit blogbericht van Mijn Kind Online. Mijns inziens is hier namelijk sprake van een journalistieke uiting, en die hebben geen toestemming nodig om namen te noemen als dat relevant is in de verslaggeving.

Mijn Kind Online schrijft trouwens nog “hij doet niets onwettigs”, maar daar zou ik nog even een flinke kanttekening bij willen zetten. Bij dit systeem moet je andermans e-mailadressen (MSN-adressen) opgeven. Tell-a-friend systemen zijn spam en daarmee verboden. Het is de beheerder van de site die de mails doet versturen, en daarmee vallen ze onder zijn verantwoordelijkheid en aansprakelijkheid.

De grapjassen zetten dan wel in hun algemenen (sic) voorwaarden:

Artikel 02.02: Geldmetjepc zal bij het akkoord gaan met deze algemene voorwaarden een uitnodigingsmail versturen naar alle contactpersonen in de msn gebruikers lijst van de aanmelder. Alle berichten die door de aanmelder via Geldmetjepc worden verstuurd vallen hierbij voor rekening van de aanmelder.
…
Artikel 03.02: De Geldmetjepc gebruiker vrijwaart Geldmetjepc van eventuele schadeclaims en of rechtzaken van derden, voortvloeiende uit het gebruik van Geldmetjepc door akkoord gaan en het aanvinken van de “checkbox”.

Het moge duidelijk zijn dat dit volstrekte onzin is. De gebruiker kan andere mensen niet opt-innen. Via algemene voorwaarden kan de site het risico van haar onrechtmatig handelen niet bij de gebruiker leggen. De site verstuurt de mails, en de site is dus aansprakelijk voor de schade.

Bovendien, zelfs al zou het zo zijn dat de gebruiker te zien is als de verzender in de zin van de antispamwet, dan nog is het terecht dat Mijn Kind Online erop wijst dat dit gebeurt. Lang niet iedereen zal hierop verdacht zijn. En zo’n wezenlijke bepaling wegstoppen in algemene voorwaarden is op zijn minst onzorgvuldig.

Klachten kunt u hierrr indienen.

Arnoud

Vandaag een gastbijdrage van strafrechtadvocaat mr. A.H. (Bert) Staring van advocatenkantoor Krikke & Staring.

Onlangs is het rapport High-tech crime: soorten criminaliteit en hun daders van het Ministerie van Justitie verschenen. High-tech crime is een overkoepelend containerbegrip dat verwijst naar een veelheid aan criminele activiteiten waarbij gebruik wordt gemaakt van ICT. Voorbeelden hiervan zijn kinderporno (cybercrime) en hackers (computercriminaliteit).

Een van de speerpunten van dit kabinet is de aanpak van cybercrime. Onder het mom hiervan kondigt de minister Hirsch Ballin aan dat hij de bevoegdheden van politie en justitie tot onder meer het vorderen van gegevens van bedrijven en instellingen opnieuw tegen het licht wil houden. Wat mogen politie en justitie op dit moment al?

De Wet bevoegdheid vorderen gegevens geeft politie en justitie vergaande bevoegdheden om persoonsgegevens op te vragen bij maatschappelijke instellingen en bedrijven. Toepassing van deze bevoegdheden mag alleen indien dat voor de opsporing noodzakelijk is en er sprake is van een verdenking van een zwaarder misdrijf. Het gaat dan niet alleen over high-tech crime maar ook om criminele activiteiten waarbij geen gebruik wordt gemaakt van ICT zoals bijvoorbeeld moord.

Bedrijven en instellingen die een openbaar telecommunicatienetwerk of -dienst (telefonie en internet) aanbieden kunnen met de op deze wet gebaseerde vorderingsbevoegdheid worden geconfronteerd. Het gaat dan over de aanbieders van een geheel of gedeeltelijk besloten communicatienetwerk of -dienst alsmede degenen die in de uitoefening van een beroep of bedrijf gegevens verwerken of opslaan ten behoeve van een aanbieder van een communicatiedienst of diens gebruikers. Met een aanbieder van een geheel of gedeeltelijk besloten communicatienetwerk of -dienst worden private netwerken bedoeld, zoals een vorm van intranet. Met degene die in de uitoefening van een beroep of bedrijf gegevens verwerkt of opslaat ten behoeve van een communicatiedienst of diens gebruikers dient men te denken aan een aanbieder van webhostingdiensten of een beheerder van websites.

Niet alleen de gegevens van de verdachte maar ook de gegevens van die personen waarmee verdachte contact heeft gehad of in relatie kan worden gebracht, kunnen middels deze wet worden opgevraagd door politie of justitie.

De wet maakt onderscheid tussen drie categorieën gegevens:

• identificeerbare gegevens (naam, adres);
• andere gegevens (verkeersgegevens, logs, administratie);
• gevoelige gegevens.

Bij ‘identificeerbare gegevens’ gaat het niet alleen om iemands naam, adres, woonplaats, postadres, geboortedatum of geslacht, maar ook om zogenoemde administratieve kenmerken, zoals een klantnummer, een nummer van een polis, een bankrekeningnummer, of een lidmaatschapsnummer. Deze gegevens kunnen door iedere agent of opsporingsambtenaar worden opgevraagd.

De categorie ‘andere gegevens’ is zeer omvangrijk. Het gaat vooral om gegevens uit de administratie van bedrijven. Om deze gegevens in te zien, is geen bevel van een rechter nodig, maar kan met een bevel van de officier van justitie worden volstaan. Alleen voor ‘gevoelige gegevens ‘, zoals godsdienst, ras, politieke gezindheid, gezondheid of seksuele leven, blijft een gerechtelijk bevel noodzakelijk.

Bedrijven en instellingen weten veelal niet hoe met een dergelijke vordering om te gaan en werken gemakshalve maar mee. Dit terwijl:

• Het verstrekken van gegevens veelal inhoud dat de gegevens, meestal persoonsgegevens, voor een ander doel worden gebruikt dan waartoe ze door internet provider of website exploitant, als houder van de gegevens, zijn verwerkt.
• De toepassing van deze opsporingsbevoegdheid door politie en justitie gegarandeerd tot een inbreuk van de persoonlijke levenssfeer van de klant leidt.
• Indien het gaat om gegevens van derden die geen persoonsgegevens zijn, er nog altijd belangen van derden aan de orde zijn die verstrekking problematisch maken, bijvoorbeeld een contractuele geheimhoudingsplicht.

Naar mijn mening dienen bedrijven en instellingen zich weerbaar op te stellen tegen de toenemende houdgreep van de overheid. Zij dienen in ieder geval op de navolgende punten te letten:

1. U hoeft niet vrijwillig gegevens aan politie of justitie te verstrekken.
2. Toepassing van vorderingsbevoegdheid mag alleen indien dat voor de opsporing noodzakelijk is en het gaat om een verdenking van een bepaald kaliber misdrijf.
3. Voor de vordering van gevoelige gegevens is toestemming van de rechter nodig.
4. In beginsel dient er bij de toepassing van een van de hier bovengenoemde bevoegdheden een schriftelijk vordering van de bevoegde ambtenaar vooraf te gaan. Waarin de gegevens staan vermeld die u minimaal nodig heeft om de vordering uit te kunnen voeren. U dient dat ook te allen tijde naar de schriftelijke vordering te vragen.
5. Bij een aantal bevoegdheden kan bij dringende noodzaak een vordering mondeling worden gegeven. Echter in dat geval dient achteraf en wel binnen drie dagen nadat de vordering is gedaan deze alsnog op schrift te worden gesteld.
6. In beginsel dient de bevoegde ambtenaar van elke vordering een proces-verbaal op te maken. Van belang is dat hierin wordt vermeld in welk onderzoek naar welk strafbaar feit de bevoegdheid is toegepast. U dient dat ook altijd naar het proces-verbaal te vragen.
7. De kosten die aan de nakoming van een vordering kunnen worden toegerekend in de vorm van extra personeelskosten en extra administratiekosten komen voor vergoeding in aanmerking.
8. Belanghebbende kunnen zich tegen de vordering tot verstrekken van gegevens zelf alsook tegen het gebruik van gegevens die gevorderd zijn beklagen. Zowel de houder van de gegevens tot wie de vordering is gericht als degenen op wie de gegevens betrekking hebben, kunnen als belanghebbende worden aangemerkt.

Gelet op de hier bovenstaande aandachtspunten is het verstandig contact op te nemen met een strafrechtadvocaat. Deze weet namelijk alles over de bijzondere opsporingsmethode die politie en justitie in het kader van een opsporingsonderzoek kan inzetten tegen u en uw klanten. Hij kan u derhalve adviseren wat hierbij uw rechten en plichten zijn.

mr. A.H. (Bert) Staring is partner van advocatenkantoor Krikke & Staring en gespecialiseerd in strafrecht.

Via de comments een interessante vraag over Twitter en privacy:

Twitter, een microblog site, biedt een speciale functie waarbij je berichten afschermt voor mensen die je niet aan je contacten hebt toegevoegd. Wanneer je als ‘contact’ van diegene toch iets publiceert als quote, in hoeverre ben je dan strafbaar bezig? Gevoelsmatig zou ik een bewust van de openbare site afgeschermd bericht op Twitter gelijk stellen aan een prive gesprek via sms, msn of email aan een bekende of enkele bekenden. Is zoiets strafbaar in Nederland of de Verenigde Staten?

Standaard kan iedereen ‘follower’ worden van elke Twitterfeed. Je moet er als Twitteraar dus rekening mee houden dat een willekeurig iemand je Twitterberichten (tweets) zal lezen. In een dergelijke situatie mag je juridisch gezien weinig privacybescherming verwachten. Wat je twittert, is voor de hele wereld te lezen en mag dan ook door de hele wereld gelezen en doorgestuurd worden. Ook als je er ‘@’ voor zet om aan te geven dat je bericht voor één persoon bedoeld is. Of wanneer het dom was om te zeggen.

Twitter biedt echter de mogelijkheid van beschermde updates, in het Nederlands ook wel het “slotje”. Zulke berichten kun je alleen volgen als iemand je toegelaten heeft. In die situatie heb je een duidelijke keuze gemaakt om berichten te lezen die iemand als privé beschouwt. Je moet dan diens privacy respecteren en die berichten niet zomaar publiceren of doorgeven aan anderen.

Dit geldt des te meer nu vrijwel elk Twitterbericht te zien is als een persoonsgegeven. Dat zijn namelijk niet alleen naam- en adresgegevens. Alle soorten uitspraken over een persoon, inclusief meningen en oordelen, zijn te zien als persoonsgegeven. Inderdaad, dus ook elk antwoord op de vraag wat iemand nu aan het doen is. En dat is precies waar het bij Twitter om draait.

Een Tweet valt dan ook onder de Wet Bescherming Persoonsgegevens. Publiceert de persoon over wie het gaat, zelf dit bericht, dan is er verder niets aan de hand. Herpublicatie mag dan gewoon. Maar markeert hij het bericht als privé, dan is herpublicatie niet toegestaan.

Wat kun je daar nu tegen doen als het toch gebeurt? De politie zal hier niets doen. Schending van de privacy is geen strafbaar feit. Het is wel onrechtmatig, maar je moet zelf naar de rechter om je schade vergoed te krijgen. Daarbij moet je zelf aantonen wat je schade is (in geld).

En dat kan nog wel eens lastig worden. Zeker omdat de rechter de schadevergoeding kan matigen vanwege ‘eigen schuld‘: als de schade gedeeltelijk toe te rekenen is aan een eigen handeling van het slachtoffer, hoeft de dader deze niet volledig te vergoeden. Wie dus privéinformatie deelt met mensen die hij niet goed kent, zal dus zelf (gedeeltelijk) op moeten draaien voor de eventuele schade die hij daardoor lijdt.

Voor de fanatieke Twitteraars hier: wat voor informatie zou je zelf niet snel via Twitter delen?

Arnoud