Internetrecht door Arnoud Engelfriet

Gamesaanbieder Blizzard (o.a. World of Warcraft, Diablo en StarCraft) gaat op haar online forums een wijziging doorvoeren waardoor alle posters verplicht met hun echte voor- en achternaam moeten posten, las ik bij Tweakers. Het doel van deze actie is kort gezegd de boel gezellig houden: door de anonieme nicknames die men nu graag gebruikt, loopt het getrol, geklier en geflame nogal de spuigaten uit. Blizzard is dat nu zat en voert daarom deze maatregel in.

Niet iedereen is daar blij mee, en lang niet alleen maar omdat ze dan niet meer kunnen trollen. Voor veel mensen is het een vervelend idee dat hun echte naam - en daarmee hun echte identiteit - ineens wereldwijd te zien is. Je kunt erop aangesproken worden op het werk (”haha, jij speelt World of Warcraft”) en mocht je iemand anders boos maken, dan weet hij nu hoe je heet en met enig googelen misschien ook waar je huis woont. Zeker als - zoals hier en daar wordt gemeld - Blizzard vervolgens je account koppelt aan je Facebook-account.

Nu is Blizzard een Amerikaans bedrijf, en de Amerikaanse privacywet kan worden samengevat als “zodra je met de buitenwereld interacteert, heb je geen privacy meer”, dus heel veel zal er niet aan te doen zijn. Maar hoe zou dat volgens de Europese privacyregels uitpakken?

Hoofdregel van de privacywet is hier dat je toestemming nodig hebt van de betrokkene, in dit geval dus de persoon die op het forum gaat posten. De richtsnoeren van het CBP vermelden hierbij:

Als het gaat om een openbaar toegankelijk discussieforum of gastenboek op internet, hoeft de verantwoordelijke echter niet expliciet toestemming te vragen voor publicatie van een reactie; hij mag er redelijkerwijs van uitgaan dat de betrokkene begrijpt dat de reactie op internet verschijnt.

Daarbij wordt echter vooral gedacht aan de situatie dat mensen zelf kíezen om hun naam (of andere dingen over zichzelf) in te vullen. Omdat de identiteit hier door het systeem van Blizzard wordt ingevuld, weet ik niet of die regel zonder meer opgaat.

Ik dénk dat het uiteindelijke wel mag, omdat Blizzard vooraf duidelijk genoeg meldt dat het gaat gebeuren. Niemand is verplicht de forums te gebruiken (ze staan los van de spellen). En de forums zijn niet dusdanig van levensbelang dat iemand per se anoniem moet kunnen posten daar.

Wanneer een site zó groot wordt dat het gebruik daarvan vrijwel onvermijdelijk is (zeg Hyves), dan zou dit wel eens anders kunnen liggen. Als zo’n site de regel invoegt dat iedereen met echte voor- en achternaam bekend moet zijn, dan word je namelijk wél gedwongen je identiteit te onthullen bij alles wat je online doet. Nu heeft World of Warcraft meer spelers dan Hyves leden, maar ik denk niet dat iemand kan zeggen dat het spelen van WoW (laat staan discussiëren op hun forum) onvermijdelijk is.

Update (12 juli) Blizzard ziet er vanaf naar aanleiding van massale protesten, pardon ‘feedback uit de gemeenschap’.

Arnoud

Een lezer vroeg me:

Ons bedrijf gaat buiten camera’s ophangen omdat er regelmatig dingen gestolen worden uit de auto’s op het parkeerterrein. Er worden netjes borden opgehangen, maar er is nu discussie over hoe lang de beelden bewaard mogen worden. Ik had gehoord dat dat maar drie dagen mag zijn, maar collega’s hebben het over een week, 24 uur of zelfs drie maanden. Welke termijn geldt er nu?

De wet noemt geen expliciete termijn voor het bewaren van camerabeelden. Camerabeelden zijn persoonsgegevens, en het maken van camerabeelden valt dus onder de Wet Bescherming Persoonsgegevens. Artikel 10 lid 1 bepaalt dat je persoonsgegevens (en dus camerabeelden) niet langer … dan noodzakelijk” mag bewaren voor de doelen waarvoor je ze verzamelt.

Je mag dus op zich de beelden zo lang bewaren als je zelf nodig acht, mits je maar kunt uitleggen waarom die termijn absoluut noodzakelijk is. Zoek je bijvoorbeeld bewijs van stelselmatig gedrag dat alleen op zondag plaatsvindt (diefstal uit auto’s bij een kerk bijvoorbeeld), dan zul je beelden van meerdere zondagen moeten bewaren om ze te kunnen vergelijken.

Er is één plek waar een termijn wordt genoemd. De vrijstelling voor videocameratoezicht bepaalt dat

De persoonsgegevens moeten uiterlijk 24 uur nadat de opnamen zijn gemaakt, of na -afhandeling van de incidenten, worden verwijderd.

Dit betekent dus niet dat het verboden is beelden langer dan 24 uur te bewaren. Het betekent alleen dat je geen beroep op de vrijstelling kunt doen. Moet je beelden dus langer dan 24 uur bewaren, dan zul je een melding moeten doen bij het CBP van je videocamerabewakingssysteem, en daarbij moeten vertellen hoe lang je de beelden dan wel bewaart.

24 uur lijkt me trouwens wel heel erg kort, ik kan me niet voorstellen dat in de praktijk bedrijven echt elke dag de opnames bekijken. Het zou een goede zaak zijn als deze termijn naar een week wordt opgerekt, al was het maar omdat je dan legaal verklaart wat iedereen toch al doet.

Arnoud

Het Openbaar Ministerie mag gevorderde bewakingsbeelden van een bewakingscamera van een bank gewoon gebruiken als bewijs in een strafzaak tegen een fietsendief. Dat oordeelde de politierechter Zutphen vorige week. Dat die beelden gevoelige persoonsgegevens over het ras van de verdachte zouden bevatten, was voor de rechter niet relevant.

In mijn blog van de 9e reageerde ik op een arrest van 23 maart waarin de Hoge Raad het gebruik van camerabeelden door het Openbaar Ministerie verbood omdat ze niet op de juiste wijze gevorderd waren. Op camerabeelden zijn namelijk het ras of de afkomst van de gefilmde personen te zien, en daarmee zijn die beelden aan te merken als “bijzondere persoonsgegevens” waarvoor extra zware regels gelden voordat het OM ze mag gebruiken in een strafzaak. Zo moet het gaan om een ernstig misdrijf en moet de rechter-commissaris toestemming hebben gegeven voor de opeising.

De politierechter oordeelt nu dat in gevallen als deze (opvragen beelden uit de openbare ruimte) er géén sprake is van een privacyschending. Beter gezegd: de strenge regels rond het opeisen van bijzondere persoonsgegevens gelden niet voor situaties als deze, omdat

het belang om zich onbespied in de openbare ruimte te begeven, niet het privacy-belang is dat de regeling van artikelen 126nc en verder Sv beoogt te beschermen.

De redenering erachter lijkt te zijn dat de politie niet op zoek was naar gegevens over het ras van de verdachte en dus geen bijzondere persoonsgegevens heeft opgevraagd. In de zaak waar de HR over oordeelde, werd expliciet gevraagd om pasfoto’s en dus ook om informatie over het ras/afkomst van de betrokken personen:

De vordering strekte er dan ook toe om tegelijk met een persoon identificerende gegevens, ook gevoelige gegevens, zoals uit een foto blijkende informatie omtrent huidskleur van de betrokken reizigers, te verkrijgen.

Ik heb echter grote moeite om deze redenering te volgen. Gaat het er nu om dat je een pasfoto opvraagt in plaats van een overzichtsbeeld? Of dat je moet weten dat op pasfoto’s het ras goed zichtbaar is? In beide gevallen heeft de politie niet gevraagd om te weten wat het ras van de gefotografeerde of gefilmde personen is, maar in beide gevallen is het wel inherent aan het opvragen van beelden dat je dat te weten komt.

Op zich ben ik het 100% eens met de stelling dat de regels over persoonsgegevens over ras en afkomst niet bedoeld waren om te voorkomen dat mensen gefilmd worden door bewakingscamera’s, maar ze lezen er wel op. Er is dus m.i. geen ruimte meer voor een belangenafweging of de privacyschending te verwaarlozen is of slechts als “bijvangst” (bijkomstige schade?) gezien man worden. Een hoger beroep zou dus zeker kansrijk zijn.

Het blijft een bijzonder onbevredigende situatie. Ik zie alleen nog steeds geen oplossing. De redenering “de wet is hier niet voor bedoeld dus die laat ik buiten beschouwing” is me te makkelijk, en geeft bovendien te veel ruimte voor willekeur. Dat moeten we niet hebben, zeker niet in het strafrecht.

Oh en @Matthijs: ik erger me al heel lang aan de toepasselijkheid van de kaartenbakwet op beelden.

Arnoud

Cameratoezicht is ondertussen onvermijdelijk. En bij enkel gefilmd worden blijft het niet: steeds meer camera’s krijgen automatische-gezichtsherkenningssoftware zodat ook nog eens bijgehouden kan worden waar je allemaal heen gaat. maar daar heeft Adam Harvey, onderzoeker bij NYU’s Interactive Telecommunications Program, nu een oplossing (via) voor gevonden: hij heeft de algoritmes gereverse-engineerd waarmee gezichtsherkenning werkt, en vervolgens patronen ontwikkeld die die algoritmes verstoren. De voorbeeldpatronen, onderdeel van zijn scriptie, laten enkele mooie voorbeelden zien.

Gezichtsherkenning werkt aan de hand van patroonherkenning. Een roze ellipsvormig ding waarbinnen een roodachtig langwerpig item en twee wittige objecten daarboven zal wel een gezicht zijn. Een bekende techniek, in vrijwel alle camera’s met gezichtsherkenning gebruikt, is gebaseerd op de Viola-Jones techniek. Deze deelt een afbeelding op in blokjes en probeert elk blokje te classificeren als bv. “oog” of “mond” of “wenkbrauw”. Met voldoende herkende (geclassificeerde) blokjes kan een gezicht worden herkend. Deze make-up verstoort die herkenning, zo bleek uit het onderzoek van Harvey.

Ben benieuwd of ik met zulke make-up het casino in kom.

Arnoud

Straatrovers, inbrekers en zakkenrollers dreigen vrijuit te gaan indien in hun strafzaak gebruik wordt gemaakt van beelden van bewakingscamera’s, las ik bij Security management. Men baseert zich op een artikel in De Telegraaf waarin wordt gemeld dat camerabeelden niet zomaar door justitie kunnen worden opgeëist als bewijs, omdat het ’gevoelige informatie’ kan bevatten over iemands ras. Dat zou de Hoge Raad geoordeeld hebben.

Het was even spitten, maar ik vond een arrest van 23 maart waarin de offficier van justitie persoonsgegevens had gevorderd (naam, adres, postcode, woonplaats en eventuele foto) van de gebruikers van kaarthouders van een OV-chipkaart die in een bepaalde tijdsperiode op bepaalde metrostations hadden in- en uitgecheckt. Dit op grond van artikelen 126nd en 126nf Strafvordering, dat expliciet zegt dat foto’s en andere van deze gevoelige persoonsgegevens wel mogen worden gevorderd, maar alleen:

1. in geval van verdenking van een ernstig misdrijf waar (kort gezegd) minstens 4 jaar cel op staat, en
2. na voorafgaande schriftelijke machtiging, op vordering van de officier van justitie te verlenen door de rechter-commissaris.

Omdat die machtiging er niet was, oordeelde de Hoge Raad dat de pasfoto’s van de ovchipkaarthouders niet mochten worden afgegeven. Zij verwerpt daarbij het standpunt dat artikel 126nf alleen zou gelden als de officier de intentie zou hebben het ras van de mensen op de foto te willen weten. Ook als ‘bijvangst’ mag een officier geen gegevens over ras of etnische afkomst opvragen zonder machtiging van de rechter-commissaris.

Hiermee is er dus een grond om tegen elk gebruik van opgeëiste camerabeelden te ageren: er is geen machtiging voor gevraagd. Bovendien zal lang niet bij elke beroving of inbraak sprake zijn van een misdrijf dat een “ernstige inbreuk op de rechtsorde” oplevert, zodat die machtiging niet altijd gegeven zal worden.

Het lijkt me niet echt een wenselijke uitkomst, want het doorkruist compleet het mogen opvragen van camerabeelden. Maar ik zie niet 1-2-3 een antwoord hierop.

Update: in dit arrest vindt Gerechtshof Arnhem juist dat

Het gaat immers om beelden die (anders dan in het geval van de Hoge Raad) niet aan [bank] waren toevertrouwd, maar om een opname van een beveiligingscamera waarvan de aanwezigheid op allerlei plekken in de publieke ruimte en in het bijzonder bij pinautomaten van algemene bekendheid is. Om meer of anders dan een foto- of videoregistratie van de (bij een duidelijke opname voor het bewijs bruikbare) fysionomie van degene die voor een bepaalde geldtransactie van de pinautomaat in kwestie gebruik heeft gemaakt, gaat het hier niet. Van een (aan de beelden of de opnamen daarvan) voorafgegane verwerking van gevoelige persoonsgegevens als bedoeld in artikel 16 Wet bescherming persoonsgegevens, is bij deze registratie geen sprake geweest. Het verbod van artikel 18 van de wet doet zich (daarom) evenmin gelden. Het beeldmateriaal in kwestie kon daarom op de voet van artikel 126nd/ud van het Wetboek van Strafvordering worden gevorderd en kan en mag om die reden voor het bewijs worden gebruikt en het hof doet dat.

Arnoud

Privacy is een groot goed, maar er wordt me iets te vaak misbruik gemaakt van de wet om onwelgevallige gegevens van het net te halen. En dat is jammer, want het maakt het moeilijker voor gewone mensen om een gerechtvaardigd beroep op diezelfde privacywet te doen.

Gisteren werd bekend dat stichting Mijn Kind Online een waarschuwingsbericht had aangepast onder druk van haar provider (Web-log.nl, een dienst van Ilse). De waarschuwing betrof een typische tell-a-friend-spam site: “je geeft je MSN-account weg om je hele vriendenlijst te laten spammen zodat de maker van geldmetjepc.nl jouw vrienden kan ronselen voor de affiliatie-programma’s”, zo legt Mijn Kind Online uit. De site meldt dat je tot 4000 euro per maand zou kunnen verdienen door reclame te ontvangen per mail “tot wel 1 euro per bericht”.

Reden voor de aanpassing was dat Mijn Kind Online in de waarschuwing de naam noemde van de ondernemer achter het bedrijf in kwestie. Deze had bij Web-log geklaagd over de naamsvermelding met een beroep op de Wet Bescherming Persoonsgegevens. Hij had immers geen toestemming gegeven voor deze naamsvermelding, en hij was geen bekende Nederlander dus de naamsvermelding moest weg.

Web-log had een jurist geraadpleegd en die vond dat uit een belangenafweging volgde dat de naam inderdaad niet genoemd hoefde te worden. Mijn Kind Online had kunnen volstaan met verwijzen naar de bedrijfssite, en als mensen dan zo nodig wilden weten wie er achter het bedrijf zat, moesten ze dat maar zelf opzoeken.

Wat de jurist echter kennelijk vergat te controleren, is of de WBP uberhaupt wel van toepassing is op dit blogbericht van Mijn Kind Online. Mijns inziens is hier namelijk sprake van een journalistieke uiting, en die hebben geen toestemming nodig om namen te noemen als dat relevant is in de verslaggeving.

Mijn Kind Online schrijft trouwens nog “hij doet niets onwettigs”, maar daar zou ik nog even een flinke kanttekening bij willen zetten. Bij dit systeem moet je andermans e-mailadressen (MSN-adressen) opgeven. Tell-a-friend systemen zijn spam en daarmee verboden. Het is de beheerder van de site die de mails doet versturen, en daarmee vallen ze onder zijn verantwoordelijkheid en aansprakelijkheid.

De grapjassen zetten dan wel in hun algemenen (sic) voorwaarden:

Artikel 02.02: Geldmetjepc zal bij het akkoord gaan met deze algemene voorwaarden een uitnodigingsmail versturen naar alle contactpersonen in de msn gebruikers lijst van de aanmelder. Alle berichten die door de aanmelder via Geldmetjepc worden verstuurd vallen hierbij voor rekening van de aanmelder.
…
Artikel 03.02: De Geldmetjepc gebruiker vrijwaart Geldmetjepc van eventuele schadeclaims en of rechtzaken van derden, voortvloeiende uit het gebruik van Geldmetjepc door akkoord gaan en het aanvinken van de “checkbox”.

Het moge duidelijk zijn dat dit volstrekte onzin is. De gebruiker kan andere mensen niet opt-innen. Via algemene voorwaarden kan de site het risico van haar onrechtmatig handelen niet bij de gebruiker leggen. De site verstuurt de mails, en de site is dus aansprakelijk voor de schade.

Bovendien, zelfs al zou het zo zijn dat de gebruiker te zien is als de verzender in de zin van de antispamwet, dan nog is het terecht dat Mijn Kind Online erop wijst dat dit gebeurt. Lang niet iedereen zal hierop verdacht zijn. En zo’n wezenlijke bepaling wegstoppen in algemene voorwaarden is op zijn minst onzorgvuldig.

Klachten kunt u hierrr indienen.

Arnoud

Vandaag een gastbijdrage van strafrechtadvocaat mr. A.H. (Bert) Staring uit Arnhem

Onlangs is het rapport High-tech crime: soorten criminaliteit en hun daders van het Ministerie van Justitie verschenen. High-tech crime is een overkoepelend containerbegrip dat verwijst naar een veelheid aan criminele activiteiten waarbij gebruik wordt gemaakt van ICT. Voorbeelden hiervan zijn kinderporno (cybercrime) en hackers (computercriminaliteit).

Een van de speerpunten van dit kabinet is de aanpak van cybercrime. Onder het mom hiervan kondigt de minister Hirsch Ballin aan dat hij de bevoegdheden van politie en justitie tot onder meer het vorderen van gegevens van bedrijven en instellingen opnieuw tegen het licht wil houden. Wat mogen politie en justitie op dit moment al?

De Wet bevoegdheid vorderen gegevens geeft politie en justitie vergaande bevoegdheden om persoonsgegevens op te vragen bij maatschappelijke instellingen en bedrijven. Toepassing van deze bevoegdheden mag alleen indien dat voor de opsporing noodzakelijk is en er sprake is van een verdenking van een zwaarder misdrijf. Het gaat dan niet alleen over high-tech crime maar ook om criminele activiteiten waarbij geen gebruik wordt gemaakt van ICT zoals bijvoorbeeld moord.

Bedrijven en instellingen die een openbaar telecommunicatienetwerk of -dienst (telefonie en internet) aanbieden kunnen met de op deze wet gebaseerde vorderingsbevoegdheid worden geconfronteerd. Het gaat dan over de aanbieders van een geheel of gedeeltelijk besloten communicatienetwerk of -dienst alsmede degenen die in de uitoefening van een beroep of bedrijf gegevens verwerken of opslaan ten behoeve van een aanbieder van een communicatiedienst of diens gebruikers. Met een aanbieder van een geheel of gedeeltelijk besloten communicatienetwerk of -dienst worden private netwerken bedoeld, zoals een vorm van intranet. Met degene die in de uitoefening van een beroep of bedrijf gegevens verwerkt of opslaat ten behoeve van een communicatiedienst of diens gebruikers dient men te denken aan een aanbieder van webhostingdiensten of een beheerder van websites.

Niet alleen de gegevens van de verdachte maar ook de gegevens van die personen waarmee verdachte contact heeft gehad of in relatie kan worden gebracht, kunnen middels deze wet worden opgevraagd door politie of justitie.

De wet maakt onderscheid tussen drie categorieën gegevens:

• identificeerbare gegevens (naam, adres);
• andere gegevens (verkeersgegevens, logs, administratie);
• gevoelige gegevens.

Bij ‘identificeerbare gegevens’ gaat het niet alleen om iemands naam, adres, woonplaats, postadres, geboortedatum of geslacht, maar ook om zogenoemde administratieve kenmerken, zoals een klantnummer, een nummer van een polis, een bankrekeningnummer, of een lidmaatschapsnummer. Deze gegevens kunnen door iedere agent of opsporingsambtenaar worden opgevraagd.

De categorie ‘andere gegevens’ is zeer omvangrijk. Het gaat vooral om gegevens uit de administratie van bedrijven. Om deze gegevens in te zien, is geen bevel van een rechter nodig, maar kan met een bevel van de officier van justitie worden volstaan. Alleen voor ‘gevoelige gegevens ‘, zoals godsdienst, ras, politieke gezindheid, gezondheid of seksuele leven, blijft een gerechtelijk bevel noodzakelijk.

Bedrijven en instellingen weten veelal niet hoe met een dergelijke vordering om te gaan en werken gemakshalve maar mee. Dit terwijl:

• Het verstrekken van gegevens veelal inhoud dat de gegevens, meestal persoonsgegevens, voor een ander doel worden gebruikt dan waartoe ze door internet provider of website exploitant, als houder van de gegevens, zijn verwerkt.
• De toepassing van deze opsporingsbevoegdheid door politie en justitie gegarandeerd tot een inbreuk van de persoonlijke levenssfeer van de klant leidt.
• Indien het gaat om gegevens van derden die geen persoonsgegevens zijn, er nog altijd belangen van derden aan de orde zijn die verstrekking problematisch maken, bijvoorbeeld een contractuele geheimhoudingsplicht.

Naar mijn mening dienen bedrijven en instellingen zich weerbaar op te stellen tegen de toenemende houdgreep van de overheid. Zij dienen in ieder geval op de navolgende punten te letten:

1. U hoeft niet vrijwillig gegevens aan politie of justitie te verstrekken.
2. Toepassing van vorderingsbevoegdheid mag alleen indien dat voor de opsporing noodzakelijk is en het gaat om een verdenking van een bepaald kaliber misdrijf.
3. Voor de vordering van gevoelige gegevens is toestemming van de rechter nodig.
4. In beginsel dient er bij de toepassing van een van de hier bovengenoemde bevoegdheden een schriftelijk vordering van de bevoegde ambtenaar vooraf te gaan. Waarin de gegevens staan vermeld die u minimaal nodig heeft om de vordering uit te kunnen voeren. U dient dat ook te allen tijde naar de schriftelijke vordering te vragen.
5. Bij een aantal bevoegdheden kan bij dringende noodzaak een vordering mondeling worden gegeven. Echter in dat geval dient achteraf en wel binnen drie dagen nadat de vordering is gedaan deze alsnog op schrift te worden gesteld.
6. In beginsel dient de bevoegde ambtenaar van elke vordering een proces-verbaal op te maken. Van belang is dat hierin wordt vermeld in welk onderzoek naar welk strafbaar feit de bevoegdheid is toegepast. U dient dat ook altijd naar het proces-verbaal te vragen.
7. De kosten die aan de nakoming van een vordering kunnen worden toegerekend in de vorm van extra personeelskosten en extra administratiekosten komen voor vergoeding in aanmerking.
8. Belanghebbende kunnen zich tegen de vordering tot verstrekken van gegevens zelf alsook tegen het gebruik van gegevens die gevorderd zijn beklagen. Zowel de houder van de gegevens tot wie de vordering is gericht als degenen op wie de gegevens betrekking hebben, kunnen als belanghebbende worden aangemerkt.

Gelet op de hier bovenstaande aandachtspunten is het verstandig contact op te nemen met een strafrechtadvocaat. Deze weet namelijk alles over de bijzondere opsporingsmethode die politie en justitie in het kader van een opsporingsonderzoek kan inzetten tegen u en uw klanten. Hij kan u derhalve adviseren wat hierbij uw rechten en plichten zijn.

mr. A.H. (Bert) Staring is advocaat in Arnhem, gespecialiseerd in strafrecht.

Europese landen mogen geen ongenuanceerde regels hanteren dat internetproviders persoonsgegevens van klanten altijd moeten afgeven bij rechtszaken, zo oordeelde het Europese Hof van Justitie gisteren. Een instantie als BREIN, of iemand die zich beledigd voelt, heeft dus niet per definitie recht op persoonsgegevens van een klant. Zij zal moeten aantonen dat afgifte gezien de specifieke omstandigheden van de zaak echt noodzakelijk, redelijk en proportioneel is.

Voor Nederland betekent dat dat er niets verandert aan de huidige praktijk. Bij ons moeten providers persoonsgegevens van klanten afgeven wanneer deze mogelijk iets illegaals doen en er geen snellere manier is om achter klantgegevens te komen. Dat blijkt uit het arrest HR Lycos/Pessers, waarin provider Lycos de persoonsgegevens moest afgeven van de klant die Pessers beledigd en besmaad zou hebben.

De HR oordeelde destijds dat afgifte niet altijd moest, maar alleen als de rechter

een nauwgezette afweging [heeft] gemaakt van alle betrokken belangen, waaronder het belang van de bescherming van de persoonlijke levenssfeer van de websitehouder (r.o. 5.4.3).

En dat is precies het soort afweging die het Europese Hof nu zegt dat je moet maken. De HR haalde dit uit art. 8 sub f van de Wet Bescherming Persoonsgegevens, en die WBP is de implementatie van de Europese privacywetgeving.

Hoewel de meeste media het gelijk hebben over “muziek uitwisselen mag nu anoniem”, is dit arrest niet speciaal voor filesharing. Het gaat om de vraag of iemand, ongeacht onderwerp, de persoonsgegevens van een klant van een provider mag eisen omdat hij die klant een proces wil aandoen. Dat speelt vaak bij filesharing, maar ook bij smaad, schending van portretrecht en andere onrechtmatige dingen is deze vraag relevant.

De aanleiding voor de zaak was een Spaans geschil over illegale muziekverspreiding via KaZaA. Promusicae, zeg maar de Spaanse BREIN, had bij de Spaanse rechter de persoonsgegevens opgeëist van een klant van internetprovider Telefónica. Deze weigerde dat met een beroep op de Spaanse privacywetgeving. Omdat zowel de wetgeving over auteursrecht als die over privacy uit Europese richtlijnen komt, en op dit punt dus een botsing ontstond tussen Europese regels, stelde de Spaanse rechter een zogeheten prejudiciële vraag aan het Europese Hof van Justitie over hoe deze wet nu moet worden uitgelegd.

De Spaanse rechter krijgt de bal nu dus netjes terug en moet gaan afwegen of het echt de beste oplossing is als Telefónica nu de persoonsgegevens afgeeft aan Promusicae. In het geval van Lycos/Pessers bleek dat achteraf trouwens niet zo zinvol: de beledigende klant bleek vervalste persoonsgegevens opgegeven te hebben.

Remy Chavannes wees al eerder op het lastige aan zo’n belangenafweging. Wat vaak gemist wordt, is

(…) het bredere belang om niet lichtvaardig te worden geconfronteerd met informatieverstrekkingsverzoeken van beweerdelijk beschadigde derden. Dergelijke verzoeken brengen immers onderzoeks- en juridische kosten met zich mee, terwijl de beslissing om al dan niet te voldoen aan het verzoek steeds juridische en publicitaire risico’s met zich brengt

Ziijn voorstel voor een John Doe procedure is m.i. een betere oplossing.

Via Volledig bericht, pardon Boek 9.

UPDATE: zie ook de blog van Lex Bruinhof die tot dezelfde conclusie komt.

Arnoud

Afgelopen voorjaar blijkt een Duitse rechtbank het bewaren van IP-adressen van website-bezoekers verboden te hebben, zo meldt heise. Het vonnis is nu pas gepubliceerd. Het bewaren van deze IP-adressen is een verwerking van persoonsgegevens, omdat ze (met enige moeite) terug te herleiden zijn tot individuele personen. En dan moet je een wettelijk toegelaten grondslag hebben, of toestemming vragen aan de Duitse broer van het College Bescherming Persoonsgegevens. Dat was niet gebeurd, dus de verwerking werd verboden.

Ook in Nederland is een IP-adres een persoonsgegeven. Weliswaar kun je niet meteen zien wie er achter een adres zit, maar als het theoretisch kan, gegeven IP-adres en tijdstip, dan heb je te maken met persoonsgegevens.

Toch denk ik dat de Nederlandse wet het niet verbiedt om bezoekers van je website te loggen. De Wet Bescherming Persoonsgegevens zegt dat persoonsgegevens zoals IP-adressen alleen voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden verzameld mogen worden. Daarbij moet de betrokkene ondubbelzinnig toestemming geven, wat ook via algemene voorwaarden kan gebeuren. Wel moet de bezoeker dan natuurlijk weten dat er gelogd wordt. Dit zou in de privacy-statement van de site moeten worden uitgelegd.

Een verwerking van persoonsgegevens moet normaal worden aangemeld bij het College Bescherming Persoonsgegevens. Verwerkingen die vallen onder de vrijstelling computersystemen, zijn legaal en hoeven niet te worden aangemeld. Eén van de toegestane verwerkingen van deze vrijstelling is “de controle op en het beveiligen van de computersystemen of computerprogramma’s”, en ook verwerking voor “het beheer van de systemen of programma’s” hoeft niet te worden aangemeld.

Het zal dus afhangen van het doel van het bijhouden van de logfile. Wie de logs of clickstream gebruikt om meer te doen dan de goede werking van de site of server te verzekeren, zal waarschijnlijk moeten aanmelden. Of op zijn minst de gegevens moeten anonimiseren door het IP-adres te wissen.

Dat past ook bij de specifiek hiervoor geschreven bepaling van artikel 11.5 van de Telecommunicatiewet:

De aanbieder van een openbaar elektronisch communicatienetwerk en de aanbieder van een openbare elektronische communicatiedienst verwijderen dan wel anonimiseren de door hen verwerkte en opgeslagen verkeersgegevens met betrekking tot abonnees of gebruikers, zodra deze verkeersgegevens niet langer nodig zijn ten behoeve van de overbrenging van communicatie, onverminderd het tweede, derde en vijfde lid.

Een website is een “openbare elektronische communicatiedienst”, dus is een website verplicht om verkeersgegevens (IP-adressen) zo snel mogelijk te verwijderen of te anonimiseren. Dat zou bijvoorbeeld kunnen door de gegevens tot statistieken te verwerken en daarna de logfile te verwijderen. Uit statistieken blijkt niet meer wie wat bezoekt tenslotte.Ik zat te slapen: een website is een “dienst van de informatiemaatschappij” en daarmee per definitie geen electronische communicatiedienst.

ISPam.nl merkt nog op dat dit consequenties kan hebben voor de dataretentie verplichting:

Naast de implicaties die dit vonnis mogelijk zal hebben voor zoekmachines en portals, laat dit ook zien hoe bizar de dataretentie verplichting voor ISP’s is. Volgens de Duitse privacywetgeving, die op de zelfde Europese richtlijn als de Nederlandse is gebaseerd, is het bewaren IP-adressen van website bezoekers niet toegestaan, terwijl de dataretentie wetgeving het verplicht stelt dat, elk gebeld telefoonnummer, bezochte website en verstuurde e-mail moet worden geregistreerd en voor lange tijd moet worden bewaard.

Dat gaat me te ver. Artikel 8 sub b van de WBP bepaalt dat opslaan en verwerken mag als “de gegevensverwerking noodzakelijk is om een wettelijke verplichting na te komen waaraan de verantwoordelijke onderworpen is”. Een dataretentie-plicht is natuurlijk zo’n wettelijke verplichting.

Als er dus een wet komt die eist dat providers deze gegevens twee jaar(!) bewaart, dan is dat geen conflict met de Wet Bescherming Persoonsgegevens.

Arnoud

De RIAA spant vele rechtszaken aan over inbreuk op auteursrecht, en wint die vaak omdat de gedaagde niet komt opdagen. En als je niet komt, wint de andere partij automatisch. Meestal dan. De RIAA is nu op de vingers getikt door een Californische rechter die vond dat ze toch op zijn minst enige feiten in de dagvaarding zouden kunnen zetten. Alleen maar roepen “Wij hebben zekere auteursrechten, en het is redelijk om aan te nemen dat de gedaagde deze geschonden heeft door werken te downloaden c.q. te verspreiden” is niet genoeg, zelfs niet als de gedaagde weigert te komen.

Ars Technica citeert:

“[O]ther than the bare conclusory statement that on ‘information and belief, Defendant has downloaded, distributed and/or made available for distribution to the public copyrighted works, Plaintiffs have presented no facts that would indicate that this allegation is anything more than speculation,” wrote the judge. “The complaint is simply a boilerplate listing of the elements of copyright infringement without any facts pertaining specifically to the instant Defendant.”

Het volledige vonnis staat bij P2Pnet.

Arnoud