Een domeinnaamhouder kan worden aangesproken op gedrag van de website-eigenaar

| AE 10942 | Intellectuele rechten | 31 reacties

Het is uitzonderlijk, maar het kan: als domeinnaamhouder aansprakelijk gesteld worden voor wat de gebruiker van je domeinnaam doet. Dat maak ik op uit een recent vonnis van de rechtbank Midden-Nederland. Zoals eigenlijk altijd in het recht is niets absoluut, ook niet de regel dat je als domeinnaamhouder geen bemoeienis en dus geen aansprakelijkheid hebt met wat de beheerder van de daaraan gekoppelde site vervolgens doet. Alles hangt af van de omstandigheden van het geval – een ergerlijke omschrijving, maar wel eentje waar we het mee moeten doen.

De eisers in deze zaak waren ondernemers, die op een website achter een specifieke domeinnaam ineens artikelen lazen waarin zij in verband werden gebracht met ernstige misdrijven, waaronder moord. In de artikelen stonden hun namen en adressen en hun onderneming en er werden foto’s van ze getoond. Als je zoiets gebeurt, dan is het logisch dat je allereerst kijkt op de site zelf – maar daar stonden geen duidelijke contactgegevens.

Contactgegevens vind je vaak wel bij de domeinnaam, omdat daar een openbaar register van is waar dat in staat. In dit geval ging het om een .nl domeinnaam, zodat men via het SIDN register uitkwam bij de gedaagde partij. Die verweerde zich met het argument dat hij niet aansprakelijk is, omdat hij de inhoud niet zelf had geplaatst en niet aansprakelijk gehouden kan worden voor wat zijn klanten (de domeinnaam-huurder in dit geval) doen met websites achter die domeinnaam.

Dat principe gaat inderdaad op als hoofdregel, maar zoals elke hoofdregel in het recht zijn daar uitzonderingen op. In dit geval is dat het feit dat je als hostingprovider (wat een DNS-aanbieder kennelijk is, de rechter oordeelt dat vrij makkelijk) gehouden bent een effectieve notice/takedown procedure te voeren. Bij klachten over inhoud als deze zul je als hoster op zijn minst verhaal bij je klant moeten gaan halen. De klacht naast je neerleggen en een video terugmailen met een sketch uit de serie “Little Britain” met het thema “computer says no” terugsturen lijkt me op geen enkele manier een redelijke NTD procedure te noemen.

Omdat de hoster geen effectieve NTD voerde, is hij aansprakelijk voor de schade als gevolg van de onrechtmatige publicatie vanaf het moment dat hij daarop werd gewezen. Zeker nu er geen werkelijke auteur in beeld is, is dat ook niet meer dan redelijk wat mij betreft. De domeinnaambeheerder moet nu zorgen dat de betreffende artikelen ontoegankelijk wordt (regel het maar met je klant, je hebt er een zootje van gemaakt, maar dan in juridische taal) en als dat niet gebeurt dan moet hij de gehele website offline halen (en dan schadeclaims over en weer over wanprestatie met zijn klant gaan oplossen, zijn probleem).

En mocht dat alles geen effect hebben, zelfs niet met dwangsommen, dan wordt het vonnis aangemerkt als een verzoek door de domeinnaamhouder om deze offline te halen. Daarmee kunnen de eisers dan terecht bij SIDN, die dat vervolgens uit zal voeren. (Dit is de Nederlandse vertaling van “een gerechtelijk bevel”.)

Arnoud

Politie en FBI geven elkaar toegang tot databank met vingerafdrukken

| AE 10967 | Privacy, Regulering | 21 reacties

De Nederlandse politie krijgt toegang tot databanken met daarin vingerafdrukken van miljoenen Amerikanen, las ik bij Tweakers. Omgekeerd kan de FBI de Nederlandse strafdatabank met vingerafdrukken van 1,3 miljoen veroordeelden en verdachten benaderen. Zo moeten beide politiediensten makkelijker vingerafdrukken kunnen matchen aan bekende daders (of verdachten) uit eerdere onderzoeken. Een nogal opmerkelijke stap, die veel vragen opriep bij lezers, maar ik moet zelf zeggen dat ik het niet meteen de grootste inbreuk van 2018 vindt. Nee, een vingerafdrukdatabank, dát is eng.

Voor de duidelijkheid: de bedoeling is nadrukkelijk niet dat het gehele vingerafdrukbestand met naam en rugnummer als zipfile naar de VS gaat. De organisatorische opzet komt erop neer dat de FBI een vingerafdruk van een person of interest heeft, ze die opsturen naar onze politie die kijkt of er een match is. Het antwoord gaat als “nee” dan wel “ja” terug, in het geval “ja” voorzien van een willekeurig gekozen identificatienummer. Dat nummer neemt de FBI dan op in een ouderwets rechtshulpverzoek “graag ontvangen wij wat u weet over deze persoon”.

Door deze dubbele slag voorkom je dat er al te makkelijk gespit wordt zonder dat het opvalt. Er wordt niets verstrekt zonder rechtshulpverzoek, iets dat al tijden de procedure is. En zo’n verzoek wordt alleen toegewezen bij ernstige misdrijven. Het enige nieuwe is dus feitelijk dat je voorheen als FBI iets van een naam moest hebben om aan te geven wie je zocht, en dat je nu op basis van een vingerafdruk kunt aangeven wie je waarschijnlijk bedoelt. Dat is op zich wel een mooie privacyconstructie.

Zo ongeveer de enige vorm van misbruik die ik kan bedenken, is dat je met een vingerafdruk van een betrekkelijk onschuldige nu kunt gaan vissen in de FBI databank (of de FBI bij ons) of er in die databank iets bekend is. Je zou als FBI dan dus bijvoorbeeld irritante toeristen (die met vingerafdruk zich moeten registreren bij bezoek aan de VS) kunnen matchen, en als er een “ja, 481” terugkomt dan gooi je ze het land uit omdat ze op het inreisformulier hebben gezegd “nooit met Justitie in aanraking geweest”. Maar in die situatie heb je de namen ook al, dus of dat nu veel toevoegt?

Enger vind ik de opmerkingen in Trouw dat men bij de politie liever een nationale vingerafdrukdatabase zou hebben (gekoppeld aan het paspoort) waar alle Nederlanders in moeten zitten. Dat idee is al in 2011 afgeschoten, “Een ingrijpend besluit, waar we wekelijks ongemak van ondervinden” aldus de initiatiefnemers van dit databankdelen. De redenen voor afschaffen waren technische problemen, zoals twijfel over de veiligheid van de opslag maar ook onbetrouwbare matching.

Met name dat laatste zou voor mij genoeg reden zijn dit niet te willen: ik schrik te lezen dat bij vingerafdrukken 1 op 10.000 gevallen vals positieven geven. Bij een databank met zelfs maar 1,3 miljoen mensen heb je dus 130 matches voor elke vingerafdruk, bij een databank met 17 miljoen Nederlanders zijn dat er dan 1.700. Hoe kun je daar überhaupt nog in zoeken als politie? Waar filter je dan op, zonder bias te introduceren zoals “nu iedereen met een zwaar strafblad, en de 5 die overblijven maar even ophalen”? Hoe meer ik er over nadenk, hoe enger ik dat vind.

Arnoud

Mag de Belastingdienst op je social media kijken om je aangifte te controleren?

| AE 10959 | Informatiemaatschappij | 14 reacties

De belastingdienst in Frankrijk gaat accounts op sociale media inspecteren om fraudeurs op te sporen, las ik bij Nu.nl. Het betreft een proef, waarmee de Franse Belastingdienst hoopt belastingontduikers op te sporen. Het idee is dat een Instagram-foto van jezelf met een dure auto tot een audit kan leiden: leg maar even uit hoe u aan deze auto komt, anders slaan we u aan voor ongedeclareerde inkomsten en/of bezit. Of zoiets. Het bericht is vrij kort op details, ik hoop de proef niet. Maar het roept de vraag op: zou dat in Nederland ook kunnen?

Het komt wel eens voor, en al geruime tijd ook. Zo lees ik dat al in 2008 social media accounts van mensen werden bekeken in het kader van een onderzoek door de Dienst. Heel raar is dat niet, het is een openbare bron en die kan relevante informatie geven, dus daar mag een bestuursorgaan als de Belastingdienst in kijken.

Een wetstechnisch bezwaar tegen zoeken op social media door de Belastingdienst zie ik zo niet. Je bent verplicht juiste informatie te verschaffen, en het raadplegen van openbare bronnen om dat na te gaan lijkt me een legitieme controlestap daarop. Ook onder de AVG; dit valt binnen de grondslag van een overheidstaak.

De voornaamste reden dat het weinig gebeurt, is volgens mij dat het behoorlijk arbeidsintensief is en zelden een duidelijk geval oplevert. Neem die auto. Leuk zo’n foto, maar “die heb ik voor de foto geleend” is een niet te verifiëren excuus. Dan is het wat handiger om bij de RDW na te gaan hoe veel auto’s iemand op de naam heeft. Dat is allereerst veel betrouwbaarder, en ten tweede kun je dat meer in bulk doen.

En dat lijkt me dan ook het bezwaar bij deze Franse pilot, het voelt meer als een publiciteitsstunt dan iets dat werkelijk winst voor de Franse schatkist gaat opleveren.

Arnoud

Windows 10 Enterprise en Office zijn risico voor privacy ambtenaren

| AE 10964 | Ondernemingsvrijheid, Privacy | 29 reacties

Via Windows 10 Enterprise en Microsoft Office verzamelt Microsoft gebruikersgegevens die het bedrijf in de VS opslaat. Dat meldde Tweakers op basis van onderzoek bij het ministerie. Deze opslag geeft een inbreuk op de privacy van de ambtenaren, plus een ieder wiens gegevens door die ambtenaren worden verwerkt. Het onderzoek werd uitgevoerd als een DPIA… Lees verder

Mag Rijkswaterstaat je flitsen en dan een enquete opsturen?

| AE 10957 | Privacy | 19 reacties

Wie volgende week op de A12 bij Zoetermeer of op de A4 bij Delft-Zuid rijdt, heeft de kans te worden ‘geflitst’. Niet voor te hard rijden maar vanwege een onderzoek van Rijkswaterstaat. Dat meldde Omroep West onlangs. De wegbeheerder wil meer inzicht krijgen in de ontwikkelingen op de autosnelwegen in de Randstad. Met camera’s langs… Lees verder

Mag een webwinkel een geboortedatum vragen of moet een meerderjarigheidsvinkje genoeg zijn?

| AE 10955 | Ondernemingsvrijheid, Privacy | 24 reacties

Een lezer vroeg me: Bij veel webwinkels wordt je gevraagd om je geboortedatum. Bij navraag is dat dan meestal omdat ze bestellingen van minderjarigen uit willen sluiten (die kunnen immers niet rechtsgeldig tot betaling gedwongen worden). Maar mag dat wel van de AVG? Je moet immers de minst privacyschendende oplossing kiezen. Dat zou hier dan… Lees verder

Overheidsdienst nam duizenden gesprekken van advocaten op door softwarefout

| AE 10951 | Regulering | 16 reacties

De Nederlandse Dienst Justitiële Inrichtingen heeft drieduizend gesprekken van advocaten opgenomen door een softwarefout. Dat las ik bij Tweakers. De bron is een brief van de staatssecretaris waarin hij meldt van een incident: gesprekken van advocaten wiens nummer meerdere malen in de lijst met niet-opnemen-nummers stonden, werden wél opgenomen. Dit kwam uit nadat een advocaat… Lees verder

EU test nepwetenschappelijke leugendetector bij grenscontroles

| AE 10949 | Regulering | 16 reacties

Wat bizar: in Griekenland, Hongarije en Letland begint een test van de Europese Unie met een leugendetector bij de grenscontrole, las ik bij Tweakers. Het iBorderCtrl-systeem analyseert ‘microgezichtsuitdrukkingen’ van reizigers om te controleren of ze de waarheid vertellen. Niet alleen is deze test gebaseerd op onderzoek waarbij slechts 32 vrijwilligers betrokken waren als proefpersonen, er… Lees verder

ISP Bahnhof blokkeert toegang tot Elsevier uit protest, mag dat?

| AE 10946 | Ondernemingsvrijheid | 4 reacties

Een rechtbank heeft de Zweedse provider Bahnhof bevolen enkele internetdomeinen te blokkeren na claims van uitgever Elsevier van inbreuk op auteursrechten. Dat meldde Tweakers maandag. In antwoord daarop blokkeert Bahnhof de toegang tot de sites van de uitgever zelf, en bezoekers van deze uitgever mogen de site van de ISP niet meer bekijken. Dit als… Lees verder

Hoe illegaal is het om andermans elektrische auto op te laden bij de IKEA?

| AE 10939 | Informatiemaatschappij | 56 reacties

De ‘valsspelers’ bij Ikea, zo opende een column van Maarten Hachmang bij E-driving.com. Maarten geniet ervan om naar Ikea te gaan, omdat hij dan op vol vermogen met zijn elektrische auto kan rijden – bij Ikea kun je lekker rustig weer snelladen namelijk terwijl je winkelt. Alleen viel dat deze keer tegen: alle plekken bezet,… Lees verder