Internetrecht door Arnoud Engelfriet

Een lezer vroeg me:

Sinds kort hebben wij internet in ons scoutinggebouw en wij waren benieuwd waar wij ons wettelijk aan moeten houden op het moment dat wij internet aan gaan bieden aan groepen en individuen, die ons scoutinggebouw huren.

Hij is niet de eerste die me de vraag stelde: ook cafés, bibliotheken, bedrijvengebouwen en allerlei andere clubs en instanties die internet willen bieden aan bezoekers, worstelen met de vraag waar ze zich aan moeten houden.

De belangrijkste vraag als je internet gaat aanbieden, is aan welke groep je dat gaat doen. Wanneer die groep neerkomt op “eigenlijk heel Nederland”, dan krijg je te maken met de Telecommunicatiewet. Deze bepaalt namelijk dat mensen die “in het openbaar” internet aanbieden, zich moeten registreren. Ook moeten ze dan aan allerlei eisen voldoen, zoals het aftapbaar maken van hun netwerk en zorgen dat ze aan de wet bewaarplicht voldoen. Het maakt hierbij niet uit of je geld vraagt voor de toegang tot internet of niet.

In de SURFnetzaak werd echter bepaald dat wanneer men internettoegang beperkt tot een “voldoende afgebakende groep” (zoals studenten van hoger onderwijs), je niet onder deze wet valt. Vorig jaar hadden we nog de nodige ophef over hotels als internetaanbieder, maar dat liep met een sisser af. Wie de toegang beperkt tot “leden van onze vereniging” of “klanten/bezoekers van onze faciliteit” zou dan ook niet tegen de Telecommunicatiewet moeten aanlopen.

Een ander punt van zorg is aansprakelijkheid. Die leden, klanten of bezoekers gaan wellicht gekke dingen uithalen, en dan komt de politie (of stichting Brein of andere procedeergrage figuren) natuurlijk in eerste instantie bij de organisatie uit. Gelukkig is daar een wettelijke regeling voor: wie slechts passief toegang tot internet biedt, en niet gaat filteren of redactioneel selecteren wat mensen wel of niet mogen doen, is niet aansprakelijk voor dat geïnternet.

Daarbij geldt overigens niet dat je verplicht bent om te weten wie je gebruikers zijn of wat ze doen. Je hoeft dus niet te loggen of identificatie te vragen van mensen die je netwerk op willen. Het kan wel verstandig zijn, al was het maar omdat het afschrikt of je de mogelijkheid biedt om mensen gericht af te sluiten omdat ze de dienst misbruiken.

Als je echter gaat loggen en met name als je persoonsgericht gaat monitoren of filteren, dan kom je in de privacygevarenzone: de Wet bescherming persoonsgegevens verbiedt het arbitrair volgen of monitoren van personen, ook als ze jouw internetverbinding gebruiken. Op zijn minst moet er dan een reglement zijn dat zegt wat je allemaal doet en wanneer mensen gemonitord worden. Maar “ik mag alles en wel altijd” is daarbij géén acceptabele formulering. Persoonsgericht monitoren mag alleen bij een duidelijke concrete aanleiding.

Blokkeren of filteren van bronnen van ongewenst verkeer is daarentegen wel legaal én verstandig. Je bent niet verplicht om ongefilterd internet aan te bieden. Ook de regeling over aansprakelijkheid schrijft niet voor dat je alles moet doorlaten. Een generieke blokkade (bijvoorbeeld de dienst MSN of het netwerk Tor) tast je positie niet aan.

Er zijn technisch allerlei slimme trucs om het aanbieden van internet te faciliteren en te beveiligen. Denk aan aparte netwerksegmenten of wachtwoorden die na een half uur vervallen, of het geautomatiseerd afknijpen van mensen die te veel downloaden. Daar hebben jullie meer verstand van dan ik maar dergelijke trucs toepassen is legaal. Dat is immers geen persoonsgericht monitoren.

Arnoud
Afbeelding: Internet Scouting, dat me overigens niet de vraag stelde.

De “Nijn-Eleven”-tekening is een rechtmatige parodie, aldus het Gerechtshof Amsterdam eerder deze week. De uitgeverij van de kinderboeken met het schattige konijn had internetprovider Mijndomein aangeklaagd toen deze een aantal grappig bedoelde spotprenten over het dier niet wilde verwijderen. In eerste instantie won Mijndomein over vijf van de zeven afbeeldingen, maar verbood de rechter juist de grappigste. Het Hof vindt nu echter ook deze door de beugel kunnen.

Eind 2009 had Mercis, de uitgever van de Nijntje-kinderboeken, hostingprovider Mijndomein voor de rechter gesleept omdat deze geen gehoor hadden gegeven aan een sommatie tot weghalen van zeven tekeningen waarin Nijntje op de hak werd genomen. Deze zouden het auteursrecht van Dick Bruna schenden. Mijndomein (overigens een klant van mijn bedrijf; ze werden hier bijgestaan door Kennedy van der Laan) vond deze klacht niet terecht: deze tekeningen vielen onder de parodie-uitzondering en daarmee zijn ze geen inbreuk op het auteursrecht. En als er geen inbreuk is, hoeft er ook niets weggehaald te worden.

De rechter was het daar in december 2009 grotendeels mee eens, maar verbood wél twee van de zeven tekeningen omdat die de grenzen van de parodie-uitzondering te buiten gingen. Deze tekeningen waren namelijk niet zelfgemaakte imitaties maar copypastewerk uit een originele Nijntje-tekening. De bekende Nijn-Eleven cartoon is bijvoorbeeld gewoon een kopie van Nijntje vliegt met twee flatgebouwen in de Bruna-stijl. Omdat je voor een parodie niet meer mag overnemen dan nodig is om je punt te maken, vond de rechter dit te ver gaan. Oftewel: je mag wel parodiëren maar dan moet je zelf tekenen, niet copypasten.

Het Hof vernietigt deze redenering. Het gaat er niet om of je copypaste dan wel zelf tekent, het gaat erom of je aan het bespotten dan wel grappenmaken bent. Dat kan prima door een gecopypasted origineel te bewerken, zoals in de Nijn-Eleven cartoon is gebeurd. En daarmee zijn alle zeven cartoons toelaatbaar:

Dat gebruik is, objectief bezien, in overeenstemming met hetgeen naar de regels van het huidige maatschappelijk verkeer redelijkerwijs geoorloofd is, ook indien daarbij in aanmerking wordt genomen dat Bruna zich als geestelijk vader van Nijntje erdoor beledigd voelt, in verband waarmee hij zijn hierna nog te bespreken persoonlijkheidsrechten in het geding brengt. Aan Mercis c.s. kan worden toegegeven dat niet iedere als ‘humor’ gepresenteerde associatie van Nijntje met drugs, seks, terrorisme, racisme, of andere onderwerpen die niet als ‘braaf’ worden beschouwd, een toelaatbare parodie oplevert.

Ook had Mercis zich beroepen op de merkenrechten op het hoofd van Nijntje. Een gedeponeerd merk mag je niet zomaar gebruiken, ook niet voor nietcommerciële doelen, zo staat in de merkenwet. Maar bij een parodie is er óók onder de merkenwet ruimte. Deze parodieën hadden een humoristische bedoeling, concurrentiemotieven ontbraken en geen mens zal denken dat deze tekeningen van Bruna zelf zijn. Daarmee is er geen kans op verwarring (en profiteren daarvan) en dus is er geen sprake van merkinbreuk.

Mercis moet niet alleen de cartoons tolereren maar ook de advocaatkosten van Mijndomein betalen - een dikke 35 duizend euro.

Meer hele sterke Nijntjeparodieën bij Retecool.

Arnoud

Een lezer vroeg me:

Recent kwam mijn website (een colocated eigen server) onder vuur door een DoS-aanval van buitenaf. Ik heb toen mijn provider gevraagd maatregelen te nemen en met name de IP-adressen te filteren of blokkeren waar de aanval vandaan kwam. Zij weigeren dit echter omdat ze vinden dat ik het beheer moet doen op mijn machine. Ook zeggen ze dat het voor hen ondoenlijk is om maatregelen te nemen. Maar ik neem bij hen toch een dienst af, kan ik ze dan niet verplichten in te grijpen als de dienst niet goed werkt?

De plichten die de provider heeft, volgen primair uit het contract. De vraag is dus wat daar instaat over abuse en filteren. En als er niets staat, moet je uit de aard van het contract afleiden wiens verantwoordelijkheid dit moet zijn. Bij een eigen colocated server ben je als klant zelf verantwoordelijk voor het beheer; de plichten van de provider houden op bij de netwerkstekker. De vraag wordt dan dus, is een DDoS-aanval iets dat de stekker raakt of pas het apparaat waar die stekker in zit?

De klant kan zelf blokkeren op een eigen firewall maar dan zit zijn inkomende netwerkverkeer nog steeds vol. Droppen aan de buitenkant (netwerk van de ISP) is efficiënter, zeker, maar hoe weet de ISP dan welke adressen ze moeten droppen?

Een DDOS aanval zou ik eerder als iets van buitenaf zien, net zoals een hagelstorm. Je kunt het niet voorkomen, je kunt alleen de impact beperken. En dan wordt de vraag dus, wat moet een ISP doen om die impact te beperken. Zij hebben een zorgplicht, net zoals een huisbaas moet zorgen voor een goed dak in een huurhuis. Maar dat houdt ergens op: een hagelstorm met tennisbalformaat hagelstenen die onder een hoek van 45 graden binnenkomt en je kelderruitje eruit gooit, is overmacht. Je kunt dan geen vergoeding van je huisbaas eisen.

Verder speelt altijd de vraag tussen kosten en baten een belangrijke rol. Een dure maatregel tegen een uitzonderlijk probleem is niet billijk en hoeft niet te worden ingevoerd. Een goedkope maatregel tegen een routineprobleem moet er altijd zijn. En daartussen is het grijze gebied waar advocaten zich in thuisvoelen.

Ook speelt mee welke opvattingen er in de markt heersen: als iedereen vindt dat de klant dit moet doen, dan kun jij niet zomaar van de ISP eisen dat hij het oplost. Als de heersende mening is dat de ISP dit moet doen, dan kun je eisen dat jouw provider dat ook gaat doen.

Het is ontzettend moeilijk om iets te doen aan DDoS-aanvallen. Een tijd geleden las ik een uitgebreide review bij Tweakers over de technieken en mogelijkheden om het tegen te gaan. Maar fundamenteel is het nauwelijks op te lossen: er komt een berg verkeer binnen en dat moet je filteren.

Arnoud

Recent is netneutraliteit expliciet wettelijk vastgelegd. De Eerste Kamer moet er nog over stemmen, maar dat lijkt slechts een hamerstuk te gaan worden. Vorige week blogde ik over het gepuzzel met de cookiewet, die in hetzelfde wetsvoorstel is overgenomen. Puzzelen over de regels rond netneutraliteit hoeft niet meer, want het wetsvoorstel zoals aangeboden aan de Eerste Kamer is nu gewoon beschikbaar. Welke regels gelden er nu voor internetproviders?

Het belangrijkste artikel over netneutraliteit is artikel 7.4a geworden. Dit stelt in klare taal (nou ja, voor juristen dan): aanbieders van openbare elektronische communicatienetwerken waarover internettoegangsdiensten worden geleverd en aanbieders van internettoegangsdiensten belemmeren of vertragen geen diensten of toepassingen op het internet. Het gaat dus specifiek en alleen over internettoegang, voor andere diensten (bijvoorbeeld telefonie of televisie) geldt dus geen netneutraliteit. (Opmerkelijk genoeg bevat het wetsvoorstel geen definitie van ‘internet’, terwijl de Telecommunicatiewet zo ongeveer elk woord definieert dat erin voorkomt.)

Natuurlijk zijn er uitzonderingen op deze algemene regel. Deze zijn beperkt geformuleerd:

1. om de gevolgen van congestie te beperken, waarbij gelijke soorten verkeer gelijk worden behandeld;
2. ten behoeve van de integriteit en de veiligheid van het netwerk en de dienst van de betrokken aanbieder of het randapparaat van de eindgebruiker;
3. om de doorgifte van ongevraagde communicatie als bedoeld in artikel 11.7, eerste lid, aan een eindgebruiker te beperken, mits de eindgebruiker daarvoor voorafgaand toestemming heeft verleend;
4. ter uitvoering van een wettelijk voorschrift of rechterlijk bevel.

(In de wetstekst staat nog een item e. Dat is het SGP-amendement over filters met ideologische motieven, maar dat is ondertussen via een lompe hack er weer uit gehaald.)

Item a roept natuurlijk de vraag op wat “gelijke soorten verkeer” dan wel zijn. Skype is niet gelijksoortig met e-mail, en Youtube niet met Nu.nl. Het afknijpen van bijvoorbeeld streaming video via internet is dan ook toegestaan bij congestieproblemen, mits maar alle streamingvideodiensten worden afgeknepen en niet alleen die van de concurrentie. Ook toegestaan is bijvoorbeeld de snelheid van internet in het algemeen te beperken op drukke momenten, of om de capaciteit op de lijn met prioriteit in te zetten voor de eigen video-on-demanddienst die buiten internet om loopt. Tevens mag de provider premiumabonnementen invoeren waarvan het verkeer voorrang krijgt.

Item b gaat erg belangrijk worden voor providers die maatregelen willen nemen tegen malware en inkomende of uitgaande hackpogingen. Het categorisch blokkeren van bijvoorbeeld poort 139 (Samba) omdat daar vaak misbruik van wordt gemaakt, of een PC in quarantaine gooien zodra er spam of malware uit komt, is een probleem. De wet eist namelijk dat wanneer het gaat om verkeer afkomstig van een eindgebruiker, de provider deze eerst moet contacteren en gelegenheid moet geven de inbreuk te staken. Dat moet dus vóór het afsluiten gebeuren.

Pas als “wegens de vereiste spoed” dit niet haalbaar is, mag er eerst gehandeld en dan gemeld worden. Maar ik denk niet dat je mag zeggen “malware is vervelend dus er is vereiste spoed”. Spoedgevallen lijken me eerder zalen als ddos-aanvallen waar de klant aan meedoet, dat richt nú grote schade aan en moet dus nú gestaakt worden. Een grote spamrun is misschien ook wel spoedhandelwaardig.

Item c stelt kort gezegd dat een spamfilter alleen nog mag als de klant daar expliciet mee ingestemd heeft. Wat mij betreft had dat niet gehoeven; spam is categorisch verboden in artikel 11.7 Telecommunicatiewet, en het lijkt me geen probleem om toe te staan dat verboden ongevraagde communicatie sowieso geblokkeerd mag worden. Maar het is wel netjes en principieel juist natuurlijk. Al snap ik niet waarom spam wel en malware niet deze uitzonderingspositie krijgt.

Ook erg belangrijk is lid 3 van dit wetsartikel:

Aanbieders van internettoegangsdiensten stellen de hoogte van tarieven voor internettoegangsdiensten niet afhankelijk van de diensten en toepassingen die via deze diensten worden aangeboden of gebruikt.

Effectief mag een aanbieder dus alleen nog op de hoeveelheid dataverkeer afrekenen. Een “onbeperkt / fair use”-constructie kan denk ik ook nog wel, hoewel ik erbij blijf dat deze snel een oneerlijke handelspraktijk oplevert. Andere afrekenmodellen voor internetproviders kan ik niet echt bedenken. Ja, hij mag de up- en/of downloadsnelheid in het algemeen differentiëren (een supersneldownloadpakket of een goedkoop pakket voor mailende moeders - hoi mam!). Maar iets anders kan ik niet bedenken; wie het weet mag het zeggen!

Aanverwant is het nieuwe artikel 7.6a, dat beperkingen oplegt aan de gronden voor opzeggen van een internetabonnement door de provider. Kort gezegd mag dat alleen nog

1. op verzoek van de abonnee;
2. bij een tekortkoming in de nakoming van de betalingsverplichting door de abonnee of faillissement van de abonnee;
3. bij bedrog in de zin van artikel 3:44 van het Burgerlijk Wetboek door de abonnee;
4. wanneer de looptijd van de overeenkomst van bepaalde duur tot levering van de internettoegangsdienst afloopt en de overeenkomst met instemming van de abonnee niet wordt verlengd of vernieuwd;
5. ter uitvoering van een wettelijk voorschrift of rechterlijk bevel; en
6. bij overmacht en onvoorziene omstandigheden in de zin van artikel 6:258 van het Burgerlijk Wetboek.

Dit artikel is bedoeld om “lichtvaardig afsluiten” van klanten te kunnen blokkeren. Een internetprovider kan dus niet meer eigen regels verzinnen in de algemene voorwaarden en mensen op grond daarvan afsluiten. En ook is het hiermee onmogelijk geworden om mensen af te sluiten die auteursrechten schenden, tenzij een rechter oordeelt dat dit een gepaste sanctie is.

In het geval van bedrog (bijvoorbeeld een vals adres opgeven) heeft de provider de bewijslast: hij moet schriftelijk de klant informeren en hem een redelijke termijn gunnen om te reageren. Pas als daar niets uit komt, mag de provider tot afsluiting overgaan.

Bij het niet-betalen geldt overigens dat de provider nog steeds niet meteen mag afsluiten. De gewone regels van niet-nakoming gelden ook hier. De abonnee moet eerst in gebreke zijn gesteld en krijgt hij de gelegenheid het gebrek te herstellen en alsnog aan zijn betalingsverplichting te voldoen. (Waarom er dan niet gewoon gezegd is “de abonnee in verzuim is met zijn betalingsverplichting” in plaats van het generieke woord “tekortkoming”, weet ik niet. Voer voor iemands afstudeerscriptie.)

De regels over netneutraliteit treden niet meteen in werking. Ze gaan pas gelden voor abonnementen die een jaar na inwerkingtreding van de wet actief zijn. Ik ben benieuwd of KPN en collega’s dan ook tot die tijd gaan wachten met de aangekondigde prijsverhogingen. Vodafone in ieder geval niet.

Heel veel stof tot lezen dit, en de exacte implicaties zullen nog heel wat discussie geven. Misschien moest ik er maar eens een studiemiddag of workshop over organiseren. Zouden jullie daarbij willen zijn? En welke concrete vragen moeten we dan behandelen?

Arnoud

Vanwege de Paasvakantie ben ik vandaag offline (voor zover dat bij mij mogelijk is). Daarom vandaag een gastpost van mijn collega Matthijs van Bergen.

Amerika heeft vorig jaar na een ruim vijf jaar durend heftig publiek debat eindelijk een regeling voor netneutraliteit aangenomen en volgde daarmee Chili en Noorwegen. In Europa is recentelijk besloten om dat nog niet te doen, althans niet centraal via een richtlijn die de lidstaten daartoe zou verplichten (al lijkt de titel van het persbericht te suggereren dat men het wel wil; doe dat dan ook echt). Dat is een gemiste kans, aangezien netneutraliteit een cruciaal ontwerpprincipe is van het internet en er reeds voorbeelden zijn van schendingen, ook in Nederland, en ISP’s hun voornemens tot schending niet onder stoelen of banken steken.

De EU mikt vooralsnog alleen op transparantie en makkelijk switchen een laat een optie open voor lidstaten om minimumkwaliteitseisen te stellen. Een aardig begin, maar toch half werk. Een eenvoudige en noodzakelijke minimumkwaliteitseis in de vorm van netneutraliteit had reeds kunnen worden ingevuld om de Europese internetmarkt adequaat te harmoniseren, maar helaas is dat dus nog niet gebeurd.

Terwijl telco’s en hun economen er goed in zijn om netneutraliteit heel ingewikkeld te maken, zo goed dat men er kennelijk in is geslaagd om de Europese Commissie genoeg schrik aan te jagen dat zij zich er niet aan durft te branden, leek het mij aardig om juist eens te proberen zo Jip-en-Janneke mogelijk en zelfs voor mensen zonder enig benul van internet en hoe dat werkt, begrijpelijk uit te leggen wat netneutraliteit is en waarom uitzondering daarop alleen maar in heel beperkte gevallen toelaatbaar is.

Netneutraliteit ‘4 dummies’

De rol van een internetprovider in de informatiemaatschappij kan worden gezien als een digitale vrachtvervoerder. Op het internet bestaat alle informatie namelijk uit pakketjes met data die van A naar B moeten worden versleept.

Stel dat de offline wereld geen enkel elektronisch communicatiemiddel kende, dan zou iedere lange-afstandscommunicatie per (pakket)post moeten gebeuren. Stel dat er een netwerk van vrachtvervoerders zou zijn, ieder met een beperkt geografisch gebied waar zij kunnen komen. De vrachtvervoerders hebben onderlinge overeenkomsten om post die naar een eindbestemming buiten het eigen gebied moet, binnen hun eigen gebied zo ver mogelijk richting eindbestemming te brengen en dan over te geven aan de volgende aangesloten vrachtvervoerder, net zo lang totdat de eindbestemming is bereikt. Iedere bewoner van deze wereld, kan uit ongeveer twee tot zes vrachtvervoerders één kiezen om (voor een jaar lang) tegen betaling al zijn pakketjes te bezorgen, die volgens het hierboven omschreven systeem tussen zijn huis en eindbestemmingen over de hele wereld kunnen worden bezorgd.

‘Post’neutraliteit (ja, netneutraliteit dus) is het behandelen van alle pakketjes op basis van wie het eerst komt, wie het eerst maalt. Een uitzondering op ‘post’neutraliteit bestaat dan ook als de vrachtvervoerders de pakketjes niet meer op ‘fifo’-basis behandelen, maar de pakketjes prioriteren of zelfs weggooien op basis van hun eigen oordelen en voorkeuren wat betreft de verzender, de eindbestemming of het soort pakketje. Alle pakketjes zijn even zwaar en even groot, en dus even duur om te vervoeren, maar uit de vorm van het pakketje en het afzenders- en bestemmingsadres kan enigszins worden afgeleid of het bijvoorbeeld een liefdesbrief betreft of een reclamefolder.

Het zou kunnen zijn dat deze vrachtvervoerders nu eenmaal beperkte capaciteit hebben en het liefst zoveel mogelijk klanten zo goed mogelijk tevreden stellen door pakketjes te prioriteren op basis van hun inschatting van hoeveel haast deze zullen hebben en door klanten te helpen in het weren van ongewenste reclamefolders en door ze te beschermen tegen grapjassen die pakketten met rotjes (virussen) versturen. Mits zij die inschatting goed maken, kan dat inderdaad erg nuttig zijn.

Maar zou het acceptabel zijn dat de vrachtvervoerders pakketjes met liefdesbrieven weg zouden gooien uit morele overwegingen? Of sommige pakketjes vertraagd zouden gaan bezorgen, ook bij voldoende capaciteit? Of pakketjes weg zouden gooien die misschien ongewenste reclame bevatten, maar waarvan dat niet met enige zekerheid kan worden gezegd? Of voor sommige pakketjes extra betaling te vragen, die voor een klant inhoudelijk erg belangrijk zijn maar voor de vervoerder geen cent extra kosten om te bezorgen? Of als een vrachtvervoerder post afkomstig van een bepaalde afzender alleen naar de eindbestemmingen die alleen hij kan bereiken wil sturen, als de afzender hem daarvoor betaalt, terwijl de eindbestemmingen die vrachtvervoerder al hebben betaald om alle aan hen geadresseerde pakketjes bezorgd te krijgen?

Prioriteren en weggooien van bepaalde pakketjes kan dus soms gerechtvaardigd kan zijn, maar is dat meestal niet.

En waar de Europese Commissie niet eenvoudig heeft gesteld dat het prioriteren of weggooien van pakketjes steeds een legitiem doel moet hebben en proportioneel moet zijn aan dat doel, omdat men kennelijk vertrouwt dat marktwerking er wel voor zorgt dat de vrachtvervoerders voldoende in het belang van de klanten handelen, denk ik: ‘oh is dat dezelfde marktwerking die ervoor zou zorgen dat telco’s fatsoenlijke helpdesks zouden hebben? En geen buitensporige roamingtarieven zouden hanteren? Hoewel meer marktwerking via transparantie en makkelijker overstappen een aardig begin is, is het dus toch zeer zeker half werk.

Ruimte voor verbetering

Gelukkig laat de Europese aanpak wel ruimte aan lidstaten om het halve werk toch af te maken en een robuuste regel te maken die het blokkeren en vertragen van legaal verkeer gewoon verbiedt tenzij er een heel goede reden voor het vertragen of blokkeren is aan te geven, zoals het bestrijden van virussen of als bij hoge congestie een mailtje vertraagd moet worden om voorrang te geven aan bijvoorbeeld VoIP-verkeer. Ik zie het als een kans voor Nederland om behalve met het op één na grootste internetknooppunt ter wereld (AMS-IX) ook met netneutraliteit voorop te lopen.

Een domeinnaam kan flink wat waarde vertegenwoordigen voor een bedrijf. Als je domeinnaam dus per abuis wordt opgeheven door je provider terwijl je deze wilde verhuizen, dan kan dat een aardige schadepost zijn. Wat die schade precies bedraagt, is niet in het algemeen te zeggen maar dat die er is, is toch logisch. Dat oordeelde het Gerechtshof Den Haag in een recent arrest (via).

De domeinnaamhouder had een website voor een fitnessapparaat en wilde deze verhuizen. De hostingprovider was zijn bedrijf aan het verkopen, en had daarbij tegen zijn toeleverancier (TransIP) gemeld dat deze domeinnaam kon worden opgeheven. Naar het waarom blijft het gissen, maar gevolg was dat de domeinnaam vrij kwam en een handige Amerikaan deze snel registreerde en te koop zette voor $10.000. De houder spande een rechtszaak aan en kreeg gelijk, maar de provider ging in hoger beroep, waarbij deze in de tussentijd ook de domeinnaam (gratis) terug wist te krijgen van de handige Amerikaan.

Vervolgens ging het geschil in hoger beroep over de vraag of de domeinnaamhouder eigenlijk wel schade had geleden. Dat is op zich een terecht punt, want zonder bewijs van schade kom je nergens bij de rechter. Als blijkt dat het bepalen van die schade moeilijk is, kan de rechter vonnissen dat deze wordt opgemaakt bij staat. In de eigenlijke rechtszaak hoeft dus eigenlijk alleen te worden vastgesteld dat er schade is dankzij een onrechtmatige daad van de verliezende partij.

Hier speelde nog de complicerende factor dat de domeinnaamhouder nog meer domeinnamen had (www.fitpads.nl, .eu, .org en .biz en www.fit-pads.com en .nl) en die dus -volgens de hoster- had kunnen gebruiken ter vervanging van de kwijtgeraakte .com domeinnaam. En ja dat is een juridisch argument: wie schade heeft, moet wel zijn best doen de impact te beperken. Maar iedere SEM-specialist zal je vertellen dat een .nl niet echt equivalent is aan een .com, en dat ook het streepje aardig kan uitmaken in je zoekmachineresultaten (meelezende SEM/SEO-ers: voel je vrij hieronder uit te weiden hierover). Het argument “je had nog andere domeinnamen” is dus op zichzelf niet genoeg.

Het Gerechtshof Den Haag concludeert dan ook dat er best schade kan zijn, en dat partijen in die schadestaatprocedure mogen gaan uitvechten hoe veel en welke schade toerekenbaar is aan de hostingprovider. Wellicht dat daar ook nog gekeken kan worden naar de algemene voorwaarden van de provider, want die zullen ongetwijfeld een beperking van aansprakelijkheid bevatten.

Of die voorwaarden hier gaan helpen, vraag ik me af. Het is namelijk niet mogelijk om je aansprakelijkheid te beperken bij opzettelijk of “grof nalatig” handelen, en ik denk dat het kwijtmaken/opheffen van een domeinnaam van je klant al heel snel daar onder valt. Hoe raak je per ongeluk een domeinnaam kwijt?

Arnoud

Een lezer wees me op een blogbericht dat signaleerde dat de Amerikaanse provider Mediacom is begonnen met het invoegen van advertenties op webpagina’s die je bekijkt als je via die provider online gaat. Dit doet men door aan de HTML-code van een webpagina een <SCRIPT-regel toe te voegen die een Javascript aanroept waarmee de advertenties ingeladen worden. Daarvoor moet dus echt op packetniveau in het dataverkeer worden ingegrepen.

Op DSLReport wordt opgemerkt dat deze technologie ook in 2007 al eens uitgeprobeerd werd. Toen was het een experiment (ongetwijfeld door een overactieve stagiair) maar nu lijkt het echt een serieuze activiteit te zijn. En u voelt hem al aankomen: mag dat ook in Nederland?

In januari maakte telecomtoezichthouder OPTA de regels bekend over netneutraliteit: ga je gang maar meld wel duidelijk wat je doet. OPTA meldde bij Webwereld daarover:

“De regels omtrent netneutraliteit zijn afkomstig uit Brussel”, zegt zij. “Concurrentie tussen ISPs is de beste garantie voor een open internet, maar we willen vooralsnog geen specifieke verplichtingen ten aanzien.van openheid internet.

Provider UPC kreeg in 2009 nog een boze blikbrief van de toezichthouder omdat zij verkeer afkneep van klanten zonder dit duidelijk te melden. Daarbij gooide de OPTA het over de boeg van de contractswijziging: door ineens te gaan afknijpen werd het contract met de klant aangepast, want UPC deed niet meer wat oorspronkelijk was afgesproken. Op grond van artikel 7.2 Telecommunicatiewet mag dat alleen als het van tevoren is gemeld en de klant de gelegenheid is geboden op te zeggen.

Het lijkt me dat ook het invoegen van eigen advertenties binnen dat kader legaal is, hoewel natuurlijk buitengewoon hinderlijk (tot je een advertentieblokker hebt geïnstalleerd). Het moet dus vooraf worden gemeld en je moet je contract kunnen opzeggen voordat de maatregel in werking treedt.

Of je als website iets kunt doen aan deze aangepaste presentatie van je informatie, vraag ik me af. Je zou het dan moeten gooien op ‘verminking’ van je werk, wat verboden is op grond van de Auteurswet (artikel 25). Maar dat gaat me wel wat ver; als de eigen advertentie bij de presentatie duidelijk gescheiden is van de webpagina dan zie ik werkelijk niet wat daar de verminking zou kunnen zijn. Ook al ziet de Google-homepage uit het screenshot rechtsboven er wel heel tacky uit zo.

Een leuke op het gebied van vergelijkende reclame wordt nog als bij de bedrijfswebsite een advertentie voor de concurrent getoond wordt. Je mag aannemen dat de provider de reclames afstemt op de bezochte sites, en dan kan er zomaar een Blackberry aangeprezen worden bij de homepage van Apple.

Arnoud

Stichting Brein handelde in strijd met de wet door servers zonder gerechtelijk bevel in beslag te nemen, meldde Tweakers gisteren op gezag van onder meer hoogleraar executie- en beslagrecht Ton Jongbloed. De stichting had de servers meegenomen bij hostingprovider Worldstream omdat deze een grote topsite zouden hosten. “Ik heb de indruk dat Worldstream wat makkelijk heeft gezegd: neem maar mee”, zei ik voorzichtig bij Webwereld. “Al kan ik me wel voorstellen dat partijen snel overdonderd en geïntimideerd zijn door de manier waarop Brein werkt.” Minder voorzichtigheid bij ITenRecht.nl: daar spreken ze van eigenrichting (art. 284 Strafrecht).

Brein beroept zich op de Auteurswet, en inderdaad staat er in artikel 28 van die wet dat een rechthebbende roerende zaken (zoals harde schijven dus) die een inbreuk opleveren kan opeisen als zijn eigendom dan wel onttrekking aan het verkeer, vernietiging of onbruikbaarmaking daarvan kan vorderen. Doel hiervan is dat illegale kopieën zo van de markt gehaald kunnen worden. Maar om van dit recht gebruik te kunnen maken, moet een rechter daar wel toestemming voor hebben gegeven. Zie de Memorie van Toelichting en artikel 10 van de Europese Richtlijn waar dit uit komt.

De rechter moet daarbij (zie achtste lid) zoeken naar “evenredigheid tussen de ernst van de inbreuk en de gevorderde maatregelen en met de belangen van derden.” Het lijkt me bijvoorbeeld wel redelijk dat de rechter inbeslagname en vernietiging van een stapel illegaal gekopieerde dvd’s vordert, maar niet dat een boek wordt teruggehaald omdat er één inbreukmakende foto in staat. Hoe dat bij servers moet uitpakken, is een lastige vraag want dit is nog niet eerder aan de orde geweest. Belangrijk lijkt me in ieder geval wel dat zo’n server ook de nodige niet-inbreukmakende data zal bevatten, zodat opeisen als eigendom me niet redelijk lijkt. Dat zou een onevenredige privacyschending zijn. Vernietiging van de server lijkt me dan meer voor de hand liggen - als vaststaat dat dit een zaak is die inbreuk op het auteursrecht oplevert.

Brein blijkt volgens Webwereld en in de server rondgekeken te hebben:

Brein schrijft tevens: “Van het Gmail-adres dat uw klant gebruikt werden geen bestanden teruggevonden op de in beslag genomen servers.” Dit impliceert dat Brein de inhoud van de servers heeft onderzocht. Bovendien klaagt de eigenaar dat er wachtwoorden van verschillende accounts zijn veranderd.

Nog even afgezien van de opmerking in hun eigen persbericht dat “Er zijn geen aanwijzingen dat er iets anders dan de inbreuken en daarmee verband houdende gegevens op de servers staan.” Hoe weet je dat als er niet gekeken is op de harde schijven?

De advocaat van de provider heeft beslag laten leggen bij Brein zodat deze de servers niet meer mag kwijtmaken of daar nog langer iets mee doen. Of en wanneer de provider een rechtszaak gaat beginnen tegen Brein is nog niet duidelijk.

Tijd in ieder geval voor een nieuw shirt (bedankt eth0 voor de tip): You wouldn’t download a server!

Update (14:46) bij Webwereld meldt de hoster dat “Als wij lucht krijgen van illegale content dan halen we dat meteen offline. Dat is ons goed recht. We willen gewoon geen rommel in ons netwerk.” Het meegeven aan Brein zou in overleg met een jurist zijn geaccordeerd.

Arnoud

Afgelopen week twee leuke uitspraken over de aansprakelijkheid van tussenpersonen. De publieke omroep TROS hoeft niet te controleren of berichten van gebruikers op het Radar-forum ‘lasterlijke’ berichten over Pretium Telecom bevatten, meldde Tweakers vrijdag. En woensdag publiceerde Media Report over een arrest uit Amsterdam over een voorgelezen SMS-bericht bij de Wereldomroep.

Eerst maar de Pretiumzaak. Dat telecombedrijf is berucht om haar wijze van klantenwerving, en op forums zoals die van Radar en Kassa stroomt het dan ook over van de klachten. En wat doe je dan als bedrijf? Inderdaad, dan ga je iedereen aanklagen (net als in 2009 een ‘boevenbende’.)

Pretium had honderden berichten gesignaleerd die volgens haar “lasterlijk en/of onrechtmatig” waren, maar afgezien van een arcering in screenshots geen toelichting gegeven. En dat keurt de rechter af: dat zou véél te tijdrovend zijn in het kader van dit kort geding. Bovendien mag je van een eiser verwachten dat hij kan onderbouwen waarom een bericht lasterlijk of anderszins onrechtmatig is.

Ook Pretiums eis dat Radar haar eigen huisregels strakker zou handhaven (omdat persoonsgegevens van derden, oftewel van Pretiummedewerkers) gepost zouden worden, wordt afgewezen. Een schending van de huisregels is iets tussen Radar en forumleden en betekent nog niet dat Pretium verwijdering kan eisen.

Pas indien deze inhoud onrechtmatig zou zijn jegens Pretium, en dit onrechtmatig karakter ook voor Tros kenbaar is, kan aan de orde zijn of Tros onrechtmatig handelt jegens Pretium indien zij deze berichten laat plaatsen of niet verwijdert.

Ook in de Wereldomroepzaak werd een dergelijke overweging gebruikt. In die zaak ging het niet om forumberichten maar om voorgelezen SMS-berichten. Meer in het bijzonder:

“En dan wat het gisteravond nog heel gezellig met Johnny Walker en de zes chauffeurs van Edgard Vermaas, die door inkrimping op straat zijn gekomen. Welkom bij Van Doesburg.”

Hartstikke leuk toch van dat Van Doesburg? Dat vond de presentator inderdaad ook. Maar aan het einde van de uitzending ontving men een e-mail die met koeienletters, “dikke koeienletters zelfs” meldde dat Vermaas helemaal niet ingekrompen had of failliet zou zijn. Bovendien was Van Doesburg de grote concurrent, dus men voelde zich belachelijk gemaakt. En Vermaas hield vervolgens de Wereldomroep aansprakelijk voor de reputatieschade; je kunt toch niet zomaar een SMS op de radio voorlezen zonder hoor en wederhoor?

Nou, dat kan wel zo blijkt uit het arrest. De Wereldomroep hoefde gezien de formulering van de sms redelijkerwijs niet te beseffen dat de mededeling in de sms onjuist was of dat er wellicht een smadelijke bedoeling achter zat. Ook de aard van het programma speelde mee: dit was geen journaal maar een duidelijk user generated content-momentje, oftewel de luisteraars snappen heus wel dat de Wereldomroep hier niet noodzakelijkerwijs achter staat. En dat wordt niet anders omdat de presentator op het bericht reageert met “hartstikke leuk”.

Beide uitspraken zijn leuke opstekers voor forumbeheerders. Langzaam maar zeker wordt duidelijk dat je niet zonder meer voor alles aansprakelijk bent, maar het is wel elke keer een zeer feitenafhankelijke analyse. Ik zou het prettig vinden als er nu toch eens een duidelijke grens getrokken wordt waar je je in abstracto aan kunt houden om zeker te weten dat je niet aansprakelijk wordt voor je comments.

Arnoud

De Zweedse isp Bahnhof gaat het internetverkeer van alle klanten leiden over een vpn-verbinding, meldde Tweakers afgelopen vrijdag. Door het netwerkverkeer over zo’n versleutelde verbinding te leiden kan de provider niet meer zien wat voor sites en diensten klanten gebruiken, zodat ze die informatie ook niet kan doorgeven aan de overheid in het kader van de Zweedse bewaarplicht (dataretentie).

In Zweden lopen ze kennelijk een beetje achter, want de Richtlijn dataretentie is uit 2006 en had dus volgens mij allang in de Zweedse wet moeten staan. (En in andere landen is hier en daar al geoordeeld dat de bewaarplicht ongrondwettig is.) In ieder geval, in Zweden geldt dus nu ook een Wet bewaarplicht op grond waarvan providers bepaalde informatie moeten bewaren over hun klanten, zoals de MAC- en IP-adressen van klanten, de logon- en logoff-tijden van elke internetsessie en de mailadressen van alle mails die via de provider worden verzonden of ontvangen. Niet verplicht is het bijhouden van elke website die wordt bezocht.

De Richtlijn bewaarplicht verplicht echter niet tot het actief genereren van die informatie. De eis is dat je bewaart wat je verzamelt, meer niet. Artikel 3 van de Richtlijn zegt expliciet:

[De wet bewaarplicht eist dat] gegevens, voorzover deze in het kader van de aanbieding van de bedoelde communicatiediensten worden gegenereerd of verwerkt … worden bewaard overeenkomstig de bepalingen van deze richtlijn

Wie dus die gegevens niet nodig meent te hebben als provider, logt die gegevens simpelweg niet en hoeft ze dan ook niet te bewaren.

Wat echter de meerwaarde is van zo’n VPN, ontgaat me volledig. Ten eerste omdat je dus niet hoeft bij te houden welke websites men bezoekt, dus waarom zou je dat dan afschermen? Ten tweede omdat ik gewoon niet snap hoe dat VPN gaat werken. Bij Torrentfreak lees ik:

“Technically, this is a stealth section, we will store all data up to this point of invisibility,” adds Karlung, referring to the first-hop connection the customer makes with the company’s servers when going online.
“What happens after that is not our responsibility and is outside Bahnhof. So the only thing we are going to store is very little information, which in practice will be irrelevant.”

Als ik dit goed begrijp, dan gaat de VPN-verbinding dus vanaf mijn thuisnetwerk naar de eerste hop bij Bahnhof. Vanaf daar gaat het onversleuteld verder. Maar dan kan de provider toch nog steeds zien welke klant (die is en blijft identificeerbaar via de inkomende poort) naar welke website gaat?

Volgens mij kan dit alleen werken als het VPN-eindpunt buiten het netwerk van Bahnhof staat. Zouden ze dat bedoelen met “outside Bahnhof”? Maar bij welke dienstverlener wordt dan het eindpunt van de verbinding gelegd?

Arnoud