Privacyschending op website: ook provider aansprakelijk

kleinkindonbereikbaarpuntnl-logo.pngDe website Kleinkind onbereikbaar schendt de privacy van de (klein-)kinderen wiens naam, geboortedatum, woonplaats en dergelijke zonder hun toestemming op deze site waren gezet. Dit levert reputatieschade op voor die kinderen en kleinkinderen. Dat blijkt uit een vonnis van afgelopen donderdag. Opmerkelijk daarbij is de reden om de website-beheerder aansprakelijk te houden: de E-commercerichtlijn zegt dat de bescherming voor providers niet geldt voor privacyzaken.

De site Kleinkind onbereikbaar is bedoeld voor grootouders die hun kleinkind niet meer kunnen zien, vanwege een geschil met de ouders. Wie op die site zijn of haar verhaal kwijt wil, kan dat doen via een speciaal formulier. Na screening door de beheerders wordt het verhaal dan geplaatst. En daarbij werd de volledige naam, geboortedatum, geboorteplaats, woonplaats en nationaliteit, alsmede de naam van de moeder en van de vader van het kleinkind vermeld op een open deel van de website. Dat was ook expliciet de bedoeling:

Door de gegevens van uw kleinkind op internet te publiceren ” dat doet u bij het invullen van de gegevens bij “mijn kleinkind”- komen die gegevens beschikbaar voor zoekmachines, en zo hopelijk bij uw kleinkind of diens omgeving terecht. … Dit werkt het beste als u zoveel mogelijk gegevens ” foto’s, teksten, namen ” invult. Het is hierbij van belang dat u zich realiseert dat dit persoonsgegevens betreft. U bent zelf verantwoordelijk voor wat u invult

Deze manier van werken acht de kortgedingrechter onrechtmatig. Er wordt “op grove wijze inbreuk op de privésfeer van de kleinkinderen en de ouders wordt gemaakt”. Dat bleek ook uit het feit dat de (klein-)kinderen in kwestie in hun dagelijks leven werden aangesproken op wat er op deze site stond. Bovendien:

Ook het gevaar van commerciële belangstelling is niet denkbeeldig. Zo is bijvoorbeeld denkbaar dat de persoonsgegevens interessant zijn voor gerichte reclame, zoals bijvoorbeeld voor mediationdienstverleners, gezien het doel van de website om de verstoorde familierelatie te herstellen.

Maar waarom was de websitebeheerder nu aansprakelijk? Volgens de Wet Bescherming Persoonsgegevens is hij degene die het doel en de middelen voor deze “verwerking van persoonsgegevens” vaststelt. Daarmee is hij de ‘verantwoordelijke’ en daarmee degene die je moet aanspreken als er geen toestemming of noodzaak tot publicatie is. Op zich denk ik wel begrijpelijk: de beheerder screende vooraf en bepaalde wat hij online zou zetten.

Daarmee is denk ik ook wel duidelijk dat deze beheerder geen aanspraak op art. 6:196c BW kan maken; hij biedt niet slechts een platform maar plaatst zelf de berichten.

Update (12:15) de beheerder van de site vroeg me deze reactie van hem toe te voegen:

De uitspraak is inderdaad opmerkelijk. Zeker ook omdat ik NIET de inhoud vooraf, tijdens of achteraf controleer(de). het enige wat ik wel verifieerde is wie ik toegang verleen, met daarbij uitdrukkelijk uitleg over wat wel en niet kan. Dus volgens mij wel bescherming ex. 6:196c.

De rechter vond echter nog een andere reden: de WBP gaat boven de bescherming van internettussenpersonen, omdat artikel 1 lid 5 van Richtlijn 2000/31/EG (waarin deze bescherming is geregeld) expliciet zegt dat deze niet van toepassing is op diensten die onder de privacyrichtlijnen 95/46/EG 97/66/EG vallen. Dat is bij mijn weten de eerste keer dat een rechter deze redenering hanteerde.

In de Martijn-zaak ging ook de privacy boven de bescherming van de beheerder, maar dat was expliciet vanwege het bijzondere karakter van die website. De rechter in die zaak verklaarde dat vereniging Martijn een extra zware verantwoordelijkheid had tegen privacyschendingen: “anders dan wellicht [bij] eigenaren of beheerders van websites die door hun aard niet op dergelijk misbruik en onbedoeld gebruik bedacht behoeven te zijn”.

Maar moeten sitebeheerders zich nu zorgen gaan maken? Ik denk het niet. Het gaat in artikel 1 lid 5 om kwesties in verband met diensten die onder de privacyrichtlijn vallen. Zo’n dienst kan bijvoorbeeld zijn een elektronisch adresboek (telefoongids of e-mailgids). Wie zo’n dienst aanbiedt, kan geen aanspraak maken op de uitsluiting van aansprakelijkheid voor providers. Maar als de dienst zelf niet het verwerken van persoonsgegevens is, dan lijkt dit artikel me niet van toepassing.

Een forumbeheerder die aangesproken wordt op publicatie van iemands naam in een forumbericht bijvoorbeeld kan gewoon de bescherming van art. 6:196c claimen: het bericht moet aangepast maar voor schade is die beheerder niet aansprakelijk. De dienst “online forum” is geen dienst in de zin van de privacyrichtlijn.

Arnoud

18 reacties

  1. Maar moeten sitebeheerders zich nu zorgen gaan maken? Zorgen maken? Nee. We hebben nu met deze en de trendylaarzen zaak twee recente gevallen, waarin de sitebeheerders zelf actief waren/zijn en mede daarom flink op de vingers zijn getikt. Dat kan ander forum/ sitebeheerders wel aanzetten beter na te denken over hun rol.

  2. Misschien kleine opmerking over de keuze van de titel: met “provider” associeer ik eerder de hosting provider, niet de website beheerder (die een site op een bepaalde manier inricht en daarmee dus mede doel en middelen bepaalt) waar in dit geval sprake van is.

  3. Reactie op ‘BSpecht’: zie m’n aanvulling, de sitebeheerde was/is in dit geval NIET actief met de inhoud: de grootouders zetten zelf die informatie op de website, beheerder controleert niet.

    Reactie op Pascal: provider of beheerder, volgens mij spreekt de wet van de “leverancieer van informatie diensten”, een heel breed begrip.

  4. Een website beheerder is niet hetzelfde als een provider!

    Ook niet als de beheerder niet controleert wat er op zijn site wordt geplaatst. De beheerder heeft zijn site met een bepaald doel (informatie verzamelen over… / discussieforum bieden over….) ingericht en daar kan (en zal vaak) een noodzaak aankleven om in de gaten te houden wat er op die website gebeurt.

    Een website is in zijn algemeenheid niet hetzelfde als de louter technische faciliteit die een hosting provider biedt. Ik snap dat jij vanuit je copyleft visie (en met het oog op de zaakjes die je voert voor FTD en anderen) liever anders zou zien en het daarom blijft roepen, maar doe svp niet of het een voldongen feit is dat een site beheerder als een hosting provider kan worden gezien! Sterker nog: afgaande op jurisprudentie lijkt het tegenovergestelde als leidend te worden gezien.

  5. Ik denk dat deze uitspraak interessant is voor sociale netwerk sites, of andere tussenpersonen waar de verwerking van persoonsgegevens volgt uit het karakter van de site.

    Bij de laatste bijeenkomst van de Vereniging voor Media en Communicatierecht ging het over deze materie. In het bijzonder over de vraag naar onrechtmatigheid van publicaties op Internet op grond van de Wbp. De conclusie was dat de rechtmatigheid van publicaties over personen op internet zowel op grond van onrechtmatige daadsrecht als de Wbp bestreden kan worden. De afweging die voor het bestaan van de Wbp in lijn met het Vondelparkarrest gemaakt diende te worden valt nu samen met de afweging in de Wbp (ihb art 8 onder f). De Wbp heeft de toen al bestaande zorgvuldigheidsnormen voor publicaties over personen geinternaliseerd. Het maakt dus – in theorie!- juridisch niet zoveel uit of je je als eiser beroept op onr. daad of op de Wbp.

    Deze uitspraak betekent dat dit niet het geval is als het gaat om een verantwoordelijke die zich mogelijk kan beroepen op art 6:196c BW. Als de onrechtmatigheid gestoeld wordt op de Wbp is dat beroep volgens de Vzr niet mogelijk. Als de onrechtmatigheid volgt uit art 6:162 BW dan is dat beroep wel mogelijk. Dat is een opmerkelijke conclusie. De verhouding tussen het aansprakelijkheidsrecht en de Wbp wordt door deze uitspraak volgens mij nog verder in de war gestuurd.

    De MvT bij de implementatie van 2000/31/EG zwijgt volgens mij over art. 1 lid 5 onder b.

    Het is overigens opmerkelijk dat de beveiliging van de gegevens hier relevant wordt geacht. De verplichting tot beveiliging van gegevens lijkt me niet echt relevant bij publicaties van persoonsgegevens. Het gaat er om of de publicatie rechtmatig is. Als dat niet zo is dan ben je er al. Als dat wel zo is dan hoeven de gegevens in beginsel niet beveiligd te worden, tenzij de publicatie slechts rechtmatig is als deze tot een bepaalde groep beperkt is.

  6. @Ron: het wetsartikel spreekt van “dienstverlener” en dat is breder dan alleen “aanbieder van technische faciliteiten”. Ik heb daarover ook al in Tijdschrift voor Internetrecht gepleit. Het is m.i. gewoon fout om te redeneren “ze doen meer dan hardeschijfruimte aanbieden dus ze zijn geen dienstverlener”. Dat was nooit de bedoeling van de Europese wetgever.

  7. @ Ron & @ Arnoud:

    Uit de Nederlandse jurisprudentie over de aansprakelijkheid van websites voor onrechtmatige bijdragen van derden volgt volgens mij ook dat de vraag of art. 6:196c BW van toepassing is mogelijk minder interessant is dan de vraag wat op grond van art. 6:162 BW geldt. Er zijn maar weinig uitspraken waar de vraag of art. 6:196c van toepassing is doorslaggevend wordt geacht voor de mate van de beperking van aansprakelijkheid. Dat komt mede doordat de vereisten van de hosting safe harbour voortkomen uit algemene tort law beginselen. Zolang de rechter niet strenger is dan die regels is de vraag naar de reikwijdte van de hosting safe harbour overbodig. Zowel voorstanders als tegenstanders van een toepassing van de hosting bepaling op (ongemodereerde) bijdragen van derden op websites kunnnen hun standpunt dus blijven verkondigen zonder tegengesproken te worden door de Nederlandse rechter.

  8. @ Joris,

    Dit laat wel onverlet dat het wel wenselijk kan zijn dat websites onder de bescherming zouden moeten vallen. Art 6:162 is dusdanig globaal van aard dat elke toetsing een sterk ad hoc karakter krijgt. Het toekennen van bescherming op basis van 6:196c vormt een verduidelijking van tot nu toe minder duidelijke gedragsregels. Websites als mininova en FTD, maar ook martijn, internetoplichting, marktplaats etc. hebben best een belang bij toekenning van een minimum bescherming. Is die hobbel voor een klager genomen ligt de bal uiteraard nog steeds bij de rechter om op basis van 6:162 te toetsen. Dit is hoe ik er tegenaan kijk.

  9. @ Maarten,

    Eens. Dat was volgens velen het idee van art 12-15 Ecomdir en het idee van de Amerikaanse bepalingen waar deze van afgekeken zijn. Dat idee is mislukt om tenminste twee redenen:

    1. Er vallen gehele categorieen tussenpersonen buiten de regeling, zoals zoekmachines. (Zie mijn artikel in Computerrecht).

    2. Het betrof een compromis tussen de ISPs en de rechthebbenden. Afgaande op de tekst van de richtlijn is slechts traditionele ISP activiteit overduidelijk te brengen onder art 12-15. En dan is er nog veel onduidelijkheid over de betekenis van die artikelen. Voor online service providers is er veel onduidelijkheid ipv rechtszekerheid. De Europese Commissie lijkt voorlopig niet te weten wat ze met de situatie aanmoet. De nieuwe commissie zal er iets mee moeten gaan doen.

  10. Mag een moderator mijn andere namen neerzetten die ik gebruik.Ik had mezelf op het Senegambiaprikbord afgemeld en gevraagd mijn man zijn e-email te laten staan.Dit omdat ik er niet meer op wilde schrijven.Nu heeft hij alles geblogd en ook mijn andere namen die ik voor andere Sites gebruik neergezet.Ook dat HIJ me geblogd had,terwijl ik dit zelf had gedaan.Nu krijg ik heel wat over me heen en wordt er zelfs voor hoer uitgemaakt.Mag dit?Hij wist dat die andere persoon mijn man was,maar nu wordt ik al met een rasdta vernoemd.Dit blijft allemaal staan.Als er iemand vergeleken wordt met A.H de man met een klein snorretje uit Duitsland vergelijkt,laat hij dit ook staan.Mag dit allemaal.Hoor het graag van u. vr. groetjes Tilly VR. GROETJES tILLY

    \

  11. Wat een ICT geklets. Ik dacht dat het hier om emotionele zaken gaat! Echt juridisch gelul, terwijl Kinderrechten door ouders ernstig worden geschonden! Je bent nog te jong om te beseffen waar je meebezig bent. en wat je eigenlijk aan het veroorzaken bent. In sommige andere landen krijg je al twee jaar gevangenis straf opgelegd als je kinderen van hun familie isoleert. Ken jij de redenen waarom kinderen vaak van hun hele familie worden geisoleerd? Nooit van het meisje Savannah gehoord of andere vermoorde kinderen? Ook nooit gehoord van zwaar mishandelde kinderen die blij waren toen ze achttien jaar werden dat zij hun grootouders konden vinden? Dat is een resultaat van deze website. Bovendien zijn er al weer een aanmerkelijk aantal kinderen en hun ouders die zich via deze website terug hebben gevonden. Problematiek is soms van tijdelijke aard. Nooit erbij nagedacht dat ouders ook ziek kunnen worden en overspannen zodat ze niemand meer in hun omgeving willen spreken? Met hun grootouders verlieen zij ook vaak hun hele familie van tantes, ooms neef en nichtjes. Nooit gerealiseerd wat dit voor kinderen betekent? Nooit gehoord van kinderen in Kindertehuizen die van al hun familie worden gescheiden inclusief hun grootouders? Ook daarvoor is de site heel erg nuttig. ICT en jurist zijn is een gevaarlijk vak als je je gevoelens daarbij buitenwerking stelt. Of ben je met een marktonderzoek bezig om veel ouders naar je toe te geleiden om vooral een soort gevecht te organiseren tussen grootouders en kinderen. Wat een juridische wereld kennen wij in Nederland, waarbij onze (klein)kinderen nog niet eens automatisch recht hebben op een Kinderjeugdzorg advocaat. Waarbij juristen hun mond moeten houden als zij weten dat ouders hun kinderen mishandelen, anders zijn zij nog strafbaar ook. Wat een wereld waarin juristen voor rechters in de doofpot stoppen dat niets nog geregeld is voor kinderen, dat de ouders zich achter de rug nog te pletter vechten, terwijl kinderen hopeloos alleen worden gelaten. Heb je niks nuttigers te doen? Zeker geen aardige grootouders gehad die ervoor zouden knokken om je als kleinkind niet uit het oog te verliezen!

  12. Geachte mijnheer, Zo vind ik het nogal schokkend dat u in een artikel grootouders en de Stichting Martijn noemt! Dat is een vergelijking die u op juridisch en verstandelijke niveau maakt, echter wij zijn als grootouders liefhebbende mensen die hun kinderen en kleinkinderen missen en daar een inmens verdriet om hebben. Waar zit uw hart? Zo’n vergelijking maak je toch niet? Geschokte moeder/grootmoeder.

  13. Er wordt over schending privacy gesproken, maar tot mijn grote verbazing zijn de ouders die de site Voormijnkleinkind privacy schending op internet hebben gezet zelf de privacy van kinderen aan het schenden door er foto’s van kinderen, anders dan van hen op te zetten. Mag dat dan wel? Zijn zij niet strafbaar?

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.