Internetrecht door Arnoud Engelfriet

Waar had u vroeger meer last van? Uw grote broer of uw kleine zusje? Wie nu moeite heeft met Grote Broer, kan bij Klein Zusje terecht voor uitleg en software om zijn privacy beter te beschermen. Sinds kort is er namelijk het Small Sister Project.

SmallSister is a loosely organized group of volunteers that feel that we need to protect our privacy against increasingly invasive corporate and governmental snooping. See OurMotivation for an explanation about why we started this group.

SmallSister will not organize rallies; there are other groups that are better and have more experience in that. We will cooperate with them and individual SmallSister members are free to join any group that supports privacy and is critical of unbridled snooping.

Small Sister, een initiatief van Brenno de Winter, heeft o.a. een discussielijst en nieuwsoverzicht over privacy. Een belangrijk doel waar nu aan gewerkt wordt, is het maken van toolkits om technische bescherming van privacy eenvoudiger te maken. Wie wil meedoen, kan zich via de site aanmelden.

Arnoud

Vandaag een gastbijdrage van strafrechtadvocaat mr. A.H. (Bert) Staring van advocatenkantoor Krikke & Staring.

Onlangs is het rapport High-tech crime: soorten criminaliteit en hun daders van het Ministerie van Justitie verschenen. High-tech crime is een overkoepelend containerbegrip dat verwijst naar een veelheid aan criminele activiteiten waarbij gebruik wordt gemaakt van ICT. Voorbeelden hiervan zijn kinderporno (cybercrime) en hackers (computercriminaliteit).

Een van de speerpunten van dit kabinet is de aanpak van cybercrime. Onder het mom hiervan kondigt de minister Hirsch Ballin aan dat hij de bevoegdheden van politie en justitie tot onder meer het vorderen van gegevens van bedrijven en instellingen opnieuw tegen het licht wil houden. Wat mogen politie en justitie op dit moment al?

De Wet bevoegdheid vorderen gegevens geeft politie en justitie vergaande bevoegdheden om persoonsgegevens op te vragen bij maatschappelijke instellingen en bedrijven. Toepassing van deze bevoegdheden mag alleen indien dat voor de opsporing noodzakelijk is en er sprake is van een verdenking van een zwaarder misdrijf. Het gaat dan niet alleen over high-tech crime maar ook om criminele activiteiten waarbij geen gebruik wordt gemaakt van ICT zoals bijvoorbeeld moord.

Bedrijven en instellingen die een openbaar telecommunicatienetwerk of -dienst (telefonie en internet) aanbieden kunnen met de op deze wet gebaseerde vorderingsbevoegdheid worden geconfronteerd. Het gaat dan over de aanbieders van een geheel of gedeeltelijk besloten communicatienetwerk of -dienst alsmede degenen die in de uitoefening van een beroep of bedrijf gegevens verwerken of opslaan ten behoeve van een aanbieder van een communicatiedienst of diens gebruikers. Met een aanbieder van een geheel of gedeeltelijk besloten communicatienetwerk of -dienst worden private netwerken bedoeld, zoals een vorm van intranet. Met degene die in de uitoefening van een beroep of bedrijf gegevens verwerkt of opslaat ten behoeve van een communicatiedienst of diens gebruikers dient men te denken aan een aanbieder van webhostingdiensten of een beheerder van websites.

Niet alleen de gegevens van de verdachte maar ook de gegevens van die personen waarmee verdachte contact heeft gehad of in relatie kan worden gebracht, kunnen middels deze wet worden opgevraagd door politie of justitie.

De wet maakt onderscheid tussen drie categorieën gegevens:

• identificeerbare gegevens (naam, adres);
• andere gegevens (verkeersgegevens, logs, administratie);
• gevoelige gegevens.

Bij ‘identificeerbare gegevens’ gaat het niet alleen om iemands naam, adres, woonplaats, postadres, geboortedatum of geslacht, maar ook om zogenoemde administratieve kenmerken, zoals een klantnummer, een nummer van een polis, een bankrekeningnummer, of een lidmaatschapsnummer. Deze gegevens kunnen door iedere agent of opsporingsambtenaar worden opgevraagd.

De categorie ‘andere gegevens’ is zeer omvangrijk. Het gaat vooral om gegevens uit de administratie van bedrijven. Om deze gegevens in te zien, is geen bevel van een rechter nodig, maar kan met een bevel van de officier van justitie worden volstaan. Alleen voor ‘gevoelige gegevens ‘, zoals godsdienst, ras, politieke gezindheid, gezondheid of seksuele leven, blijft een gerechtelijk bevel noodzakelijk.

Bedrijven en instellingen weten veelal niet hoe met een dergelijke vordering om te gaan en werken gemakshalve maar mee. Dit terwijl:

• Het verstrekken van gegevens veelal inhoud dat de gegevens, meestal persoonsgegevens, voor een ander doel worden gebruikt dan waartoe ze door internet provider of website exploitant, als houder van de gegevens, zijn verwerkt.
• De toepassing van deze opsporingsbevoegdheid door politie en justitie gegarandeerd tot een inbreuk van de persoonlijke levenssfeer van de klant leidt.
• Indien het gaat om gegevens van derden die geen persoonsgegevens zijn, er nog altijd belangen van derden aan de orde zijn die verstrekking problematisch maken, bijvoorbeeld een contractuele geheimhoudingsplicht.

Naar mijn mening dienen bedrijven en instellingen zich weerbaar op te stellen tegen de toenemende houdgreep van de overheid. Zij dienen in ieder geval op de navolgende punten te letten:

1. U hoeft niet vrijwillig gegevens aan politie of justitie te verstrekken.
2. Toepassing van vorderingsbevoegdheid mag alleen indien dat voor de opsporing noodzakelijk is en het gaat om een verdenking van een bepaald kaliber misdrijf.
3. Voor de vordering van gevoelige gegevens is toestemming van de rechter nodig.
4. In beginsel dient er bij de toepassing van een van de hier bovengenoemde bevoegdheden een schriftelijk vordering van de bevoegde ambtenaar vooraf te gaan. Waarin de gegevens staan vermeld die u minimaal nodig heeft om de vordering uit te kunnen voeren. U dient dat ook te allen tijde naar de schriftelijke vordering te vragen.
5. Bij een aantal bevoegdheden kan bij dringende noodzaak een vordering mondeling worden gegeven. Echter in dat geval dient achteraf en wel binnen drie dagen nadat de vordering is gedaan deze alsnog op schrift te worden gesteld.
6. In beginsel dient de bevoegde ambtenaar van elke vordering een proces-verbaal op te maken. Van belang is dat hierin wordt vermeld in welk onderzoek naar welk strafbaar feit de bevoegdheid is toegepast. U dient dat ook altijd naar het proces-verbaal te vragen.
7. De kosten die aan de nakoming van een vordering kunnen worden toegerekend in de vorm van extra personeelskosten en extra administratiekosten komen voor vergoeding in aanmerking.
8. Belanghebbende kunnen zich tegen de vordering tot verstrekken van gegevens zelf alsook tegen het gebruik van gegevens die gevorderd zijn beklagen. Zowel de houder van de gegevens tot wie de vordering is gericht als degenen op wie de gegevens betrekking hebben, kunnen als belanghebbende worden aangemerkt.

Gelet op de hier bovenstaande aandachtspunten is het verstandig contact op te nemen met een strafrechtadvocaat. Deze weet namelijk alles over de bijzondere opsporingsmethode die politie en justitie in het kader van een opsporingsonderzoek kan inzetten tegen u en uw klanten. Hij kan u derhalve adviseren wat hierbij uw rechten en plichten zijn.

mr. A.H. (Bert) Staring is partner van advocatenkantoor Krikke & Staring en gespecialiseerd in strafrecht.

Wellicht naar aanleiding van Koninginnedag kreeg ik deze vraag:

Hoe zit het juridisch als ik een foto maak van het terras van ons café met diverse tafels met mensen eraan? De foto wordt gebruikt in een folder en website t.b.v. promotie van ons bedrijf. De mensen zijn niet groot in beeld maar je zou ze wel kunnen herkennen.

Als mensen herkenbaar op de foto staan, kunnen ze hun portretrecht gebruiken om publicatie tegen te gaan. Daarvoor moeten ze wel een redelijk belang laten zien op grond waarvan de publicatie niet terecht is.

Privacy is een veelgebruikt belang, maar dat zal niet snel opgaan bij een groepje mensen dat geniet van een terrasje. Maar ook commerciele exploitatie van het portret kan een redelijk belang zijn.

Zo hebben bekende Nederlanders een verzilverbaar commercieel belang: zij kunnen geld vragen voor portretfoto’s, en dan kunnen ze in principe bezwaar maken tegen “zomaar” gemaakte portretfoto’s.

Dat recht bestaat ook, tot op zekere hoogte, voor een gewone Nederlander. In het Discodanser-arrest oordeelde de Hoge Raad dat je je als geportretteerde in principe altijd kunt verzetten tegen gebruik van je portret in een commerciële reclameuiting.

De opname van een portret in een reclame voor een produkt of dienst heeft immers tot gevolg dat de geportretteerde door het publiek geassocieerd zal worden met dat produkt of die dienst, waarbij het publiek in het algemeen - en doorgaans terecht - ervan uit zal gaan dat het gebruik van het portret niet zal zijn geschied zonder toestemming van de geportretteerde en de opname van het portret in de reclame-uiting zal opvatten als een blijk van publieke ondersteuning van het produkt of de dienst door de geportretteerde. Op deze gronden is het op een dergelijke wijze gebruiken van een portret in beginsel aan te merken als een inbreuk op de persoonlijke levenssfeer van de geportretteerde.

Toch een privacy-argument dus, maar net even anders.

En het is in zoverre zwakker dan het belang dat bekende Nederlanders hebben: die kunnen ook protesteren tegen nietcommerciele exploitatie van hun portret. Een ‘gewone’ Nederlander zal daar weinig aan kunnen doen.

Bent u nog gefotografeerd op het terras? Of alleen verregend?

Arnoud

Geenstijl lacht zich rot: op concurrerend forum Fok! is een grote ruzie aan de gang over het lezen van privéberichten door het beheer. Fok! biedt namelijk gebruikers de mogelijkheid om elkaar persoonlijke berichtjes te kunnen sturen (in forumjargon ook wel pb’s of pm’s geheten). In de policy belooft het beheer deze niet te lezen, maar dit zou toch gebeurd zijn. Als gevolg van de ruzie is nu het hele systeem van persoonlijke berichten platgegooid door het beheer.

Zoals gebruikelijk bij dit soort ruzies is het volstrekt onduidelijk wat er nu precies gebeurd is. Volgens twee Fok!kers merkten zij dat webadressen die zij alleen in privéberichten hadden uitgewisseld, waren opgevraagd door iemand anders. Dat was voor hen aanleiding om een honeypot op te zetten: men kondigde aan een kopie van de hele Fok!-site op te gaan zetten en alle bezoekers daarheen te halen. Als beheer van Fok! werkelijk meelas, dan zouden ze daar gegarandeerd actie op ondernemen natuurlijk.

De beheerder zelf meldt juist dat hij pas na tips van derden over deze kopiesite besloten had de privéberichten te gaan lezen van de vermoedelijke daders.

Het is juridisch echter zeer twijfelachtig om om wat voor reden dan ook berichten te lezen die bedoeld zijn voor privécommunicatie, zoals ik vorig jaar al schreef. Voor beheerders van forums kan het zelfs een strafbaar feit zijn om kennis te nemen van gegevens die gebruikers uitwisselen (art. 273d Wetboek van Strafrecht) wanneer hij daar geen toestemming voor heeft.

De beheerder beroept zich op de privacy-policy van dit systeem. Die vermeldt dat berichten gecodeerd zijn zodat beheerders ze niet zomaar kunnen lezen. Echter, “Misbruik van het systeem wordt niet getolereerd” en “In dit geval hebben de administrators de mogelijkheid om berichten te decoderen en alsnog in te zien”. Dat is een bindende voorwaarde, die de eventuele strafbaarheid van het inzien opzij zet.

De vraag is echter wel wat dan het “misbruik” is. Of het opzetten van een concurrentsite misbruik is, betwijfel ik. Zeker nu die site helemaal niet blijkt te bestaan, kun je moeilijk volhouden dat er sprake is van misbruik.

Arnoud

Op het Rechtenforum vond ik een tijdje terug een erg interessante vraag over een verplichting tot verwijdering uit Google Cache. Een forumbeheerder kreeg een klacht over een vervelend bericht over een mevrouw X. Dat is verwijderd, maar nu vraagt mevrouw X ook:

Als u aan mijn verzoek hebt voldaan, dient u zo spoedig mogelijk de aanpassingen door te geven aan derden aan wie u mijn gegevens hebt verstrekt, dit is dus Google zodat hier ook mijn naam wordt verwijdert met betrekking tot de berichten die op jullie site zijn geplaatst.

Berichten die identificerende informatie over iemand bevatten, zijn persoonsgegevens. Op grond van de privacywetgeving kun je eisen dat zulke berichten over jouzelf worden verwijderd. Dit is door het College Bescherming Persoonsgegevens ook expliciet zo uitgewerkt in hun Richtsnoeren Privacy op Internet.

Artikel 36 van de Wet Bescherming Persoonsgegevens zegt dat je bij de ‘verwerker’ (het forumbeheer) een verzoek tot verwijdering kunt indienen. Die is dan verplicht de persoonsgegevens te verwijderen of het bericht te anonimiseren. Maar Google is niet de verwerker, en bovendien niet verbonden aan de verwerker. Kun je nu eisen dat het forumbeheer Google gaat verplichten iets weg te halen?

Artikel 38 WBP bepaalt dat iemand die op grond van artikel 36 iets heeft verwijderd (of aangepast) bij zijn eigen verwerking, verplicht is om derden die de persoonsgegevens hebben gekregen, hiervan op de hoogte te stellen. Het is dan aan die derden om iets te doen met de mededeling. De wet eist niet dat je Google moet dwingen de informatie te verwijderen, maar wel dat je je best doet om de informatie bij Google weg te krijgen.

Google heeft daarvoor de tool verwijderen van een URL. Deze biedt ook de mogelijkheid om aan te geven dat de eigenaar van de site de pagina gewijzigd heeft, zodat de pagina niet langer de informatie of afbeelding bevat die Google in haar cache heeft. Dan zal Google die pagina met voorrang opnieuw indexeren, of in ieder geval verwijderen.

Connie Breukhoven kreeg iets dergelijks vorig jaar voor elkaar bij de rechter: websites Witheet en ZIJonline moesten binnen vier dagen na het vonnis Google opdracht geven de berichten te verwijderen.

Arnoud

Een opmerkelijk vooruitziend artikel uit 1967 over bewaarplichten:

[A Government] Data Center poses a grave threat to individual freedom and privacy. With its insatiable appetite for information, its inability to forget anything that has been put into it, a central computer might become the heart of a government surveillance system that would lay bare our finances, our associations, or our mental and physical health to government inquisitors or even to casual observers. Computer technology is moving so rapidly that a sharp line between statistical and intelligence systems is bound to be obliterated. Even the most innocuous of centers could provide the “foot in the door” for the development of an individualized computer-based federal snooping system.

Met onder andere het BurgerServiceNummer, elektronische patiëntendossiers en zelfs Echelon (voor papieren post, dat dan weer wel).

Lees verder in The National Data Center and Personal Privacy.

Via Schneier on Security.

Arnoud

Via de comments een interessante vraag over Twitter en privacy:

Twitter, een microblog site, biedt een speciale functie waarbij je berichten afschermt voor mensen die je niet aan je contacten hebt toegevoegd. Wanneer je als ‘contact’ van diegene toch iets publiceert als quote, in hoeverre ben je dan strafbaar bezig? Gevoelsmatig zou ik een bewust van de openbare site afgeschermd bericht op Twitter gelijk stellen aan een prive gesprek via sms, msn of email aan een bekende of enkele bekenden. Is zoiets strafbaar in Nederland of de Verenigde Staten?

Standaard kan iedereen ‘follower’ worden van elke Twitterfeed. Je moet er als Twitteraar dus rekening mee houden dat een willekeurig iemand je Twitterberichten (tweets) zal lezen. In een dergelijke situatie mag je juridisch gezien weinig privacybescherming verwachten. Wat je twittert, is voor de hele wereld te lezen en mag dan ook door de hele wereld gelezen en doorgestuurd worden. Ook als je er ‘@’ voor zet om aan te geven dat je bericht voor één persoon bedoeld is. Of wanneer het dom was om te zeggen.

Twitter biedt echter de mogelijkheid van beschermde updates, in het Nederlands ook wel het “slotje”. Zulke berichten kun je alleen volgen als iemand je toegelaten heeft. In die situatie heb je een duidelijke keuze gemaakt om berichten te lezen die iemand als privé beschouwt. Je moet dan diens privacy respecteren en die berichten niet zomaar publiceren of doorgeven aan anderen.

Dit geldt des te meer nu vrijwel elk Twitterbericht te zien is als een persoonsgegeven. Dat zijn namelijk niet alleen naam- en adresgegevens. Alle soorten uitspraken over een persoon, inclusief meningen en oordelen, zijn te zien als persoonsgegeven. Inderdaad, dus ook elk antwoord op de vraag wat iemand nu aan het doen is. En dat is precies waar het bij Twitter om draait.

Een Tweet valt dan ook onder de Wet Bescherming Persoonsgegevens. Publiceert de persoon over wie het gaat, zelf dit bericht, dan is er verder niets aan de hand. Herpublicatie mag dan gewoon. Maar markeert hij het bericht als privé, dan is herpublicatie niet toegestaan.

Wat kun je daar nu tegen doen als het toch gebeurt? De politie zal hier niets doen. Schending van de privacy is geen strafbaar feit. Het is wel onrechtmatig, maar je moet zelf naar de rechter om je schade vergoed te krijgen. Daarbij moet je zelf aantonen wat je schade is (in geld).

En dat kan nog wel eens lastig worden. Zeker omdat de rechter de schadevergoeding kan matigen vanwege ‘eigen schuld‘: als de schade gedeeltelijk toe te rekenen is aan een eigen handeling van het slachtoffer, hoeft de dader deze niet volledig te vergoeden. Wie dus privéinformatie deelt met mensen die hij niet goed kent, zal dus zelf (gedeeltelijk) op moeten draaien voor de eventuele schade die hij daardoor lijdt.

Voor de fanatieke Twitteraars hier: wat voor informatie zou je zelf niet snel via Twitter delen?

Arnoud

Een datacentrum in Groningen is juridisch hetzelfde als een cookie op een PC in Eindhoven, vindt de Artikel 29-werkgroep. Dit samenwerkingsverband van Europese privacytoezichthouders (met de op het OHIM na onwaarschijnlijkste naam voor een overheidsinstelling) heeft een Opinie over zoekmachines en privacy uitgegeven met als doel het verzamelen van persoonsgegevens van Europeanen door Amerikaanse zoekmachines (u mag drie keer raden wie) aan banden te leggen.

Uitgangspunt is dat iemands zoekgeschiedenis (natuurlijk) persoonsgebonden informatie is, en daarmee onderworpen aan de privacywetgeving. Ook als er geen naam aan vast zit: via een cookie of e-mailadres zijn mensen ook te herkennen. En de mogelijkheid dat je een stukje informatie tot iemand kunt herleiden, is genoeg om die informatie tot persoonsgegeven te maken.

Maar hoe kan Europese privacywetgeving nu van toepassing zijn op een Amerikaans bedrijf? Simpel, omdat het bedrijf apparatuur en computersystemen in Europa gebruikt. Een datacentrum in Groningen bijvoorbeeld. Of een cookie op een PC van een Europeaan.

Inderdaad, het plaatsen van een cookie op een Europese PC is genoeg om je aan de Europese wetgeving te binden. Dat concludeerde deze werkgroep al in 2002 maar toen luisterde niemand, dus zegt men het nu nog maar een keer:

The use of cookies and similar software devices by an online service provider can also be seen as the use of equipment in the Member State’s territory, thus invoking that Member State’s data protection law. … [T]he user’s PC can be viewed as equipment in the sense of Article 4 (1) c of Directive 95/46/EC. It is located on the territory of a Member State.

De specifieke regels die zoekmachines vervolgens voor hun kiezen krijgen, zijn niet verrassend: men moet blokkades zoals robots.txt respecteren, duidelijk aangeven welke informatie men verzamelt en deze zo snel mogelijk, maar uiterlijk na zes maanden weer weggooien (waar Google het niet mee eens is). Of anonimiseren, maar dat is een vrijwel onmogelijke opgave. En wie dat wil, kan zoekmachines aanschrijven met een verzoek tot inzage in het over hem opgebouwde profiel.

Wat nog opvalt, is dat het document vooral ingaat op het verzamelen van persoonsgegevens van gebruikers van de dienst (zoekopdrachten en andere informatie over zoekgedrag). Het feit dat bij indexatie van webpagina’s ook persoonsgegevens worden hergepubliceerd en op nieuwe manieren wordt gekoppeld, komt slechts heel kort aan bod. Maar dat is natuurlijk ook een vele malen complexer probleem.

Via Tweakers.

Arnoud

Veel bedrijven hebben de irritante gewoonte om je mails te sturen en onderaan te zetten dat je geen antwoord per mail mag sturen. Daarvoor moet je bellen of een vaag formulier op de site gebruiken. Om nu te voorkomen dat mensen toch gaan mailen, gebruikt men dan een ongeldig e-mailadres als afzender. Een populaire is het gebruik van “donotreply.com”. Ietwat pijnlijk alleen is dat dit domein al jaren gewoon bestaat, en dat de beheerder in zijn gebruiksvoorwaarden heeft staan dat hij alle ontvangen mails op zijn site publiceert.

De site ontvangt wekelijks miljoenen bounces en foutmeldingen, maar ook reacties van consumenten en zakelijke klanten op mails die met een donotreply.com-adres zijn verzonden. En die reacties variëren van scheldpartijen tot gedetailleerde financiële rapporten of lijsten met wachtwoorden of pincodes.

Security.NL vertelt:

Als [eigenaar Chet Faliszek] de bedrijven inlicht reageren die vaak vol verbazing en hij wordt regelmatig met rechtszaken bedreigd door bedrijven die niet snappen waarom hij de e-mail inclusief vertrouwelijke bijlagen ontvangt. “Mensen schreeuwen soms tegen me dat de e-mails privé zijn en ik ze niet moet lezen. Ze raken helemaal in paniek, met name als je met niet technische mensen binnen die bedrijven praat,” zo laat Faliszek weten, die zijn avonturen in dit blog bijhoudt.

Die rechtszaken zullen weinig kans maken. Als de afzender zelf zo slordig is met het invullen van het e-mailadres, dan aanvaardt hij de kans dat mensen toch gaan reageren. Je kunt dan moeilijk die ontvanger aanspreken voor de schade die je daardoor lijdt.

Faliszek is wel zo netjes om persoonsgegevens te anonimiseren voordat hij de mails publiceert.

Arnoud

Het was al een hele tijd verplicht, maar pas nu Google het ook is gaan eisen, wordt het voor veel mensen actueel: de privacyverklaring. Voor webbouwersgemeenschap Netters schreef ik een artikel met de belangrijkste aandachtspunten.

Een privacyverklaring is, kort gezegd, een toelichting over wat je met persoonsgegevens van bezoekers en klanten doet. Veel mensen denken dat als een site een privacyverklaring heeft, het wel goed zit met hun privacy. Maar dat is niet waar. Een privacyverklaring zegt alleen wat je doet met persoonlijke gegevens van anderen. En je mag heel veel van de privacywetgeving, zolang je maar duidelijk aangeeft wat je doet. In sommige gevallen moet je expliciet toestemming vragen.

Lees verder in Privacy verklaring opstellen bij Netters.nl.

Arnoud