Een lezer vroeg me:
Wij (een groep netwerk engineers in een appartementencomplex) hebben een eigen netwerk gebouwd en gekoppeld aan internet via één provider. De kosten worden omgeslagen en via de VvE geïncasseerd. We loggen echter niets in verband met privacy. Nu krijgen wij wel eens abusemeldingen maar we weten dus niet om wie het gaat. Moeten we hier nu meer in doen?
Een internettoegangsprovider is in beginsel niet aansprakelijk voor wat er over zijn lijn gaat, ook niet na een abusemelding. De wet (art. 6:196c lid 1 BW) zegt dat je categorisch niet aansprakelijk bent wanneer je als passief doorgeefluik fungeert, dus niet zelf het initiatief neemt voor de informatielevering, niet kiest naar wie het moet en niet selecteert of wijzigt wat er doorgegeven wordt.
Een abusemelding is dus leuk en aardig maar wettelijk ben je als ISP niet verplicht daaraan gehoor te geven. Het is vaak wel handig omdat je anders op allerlei zwarte lijsten komt, maar dat is geen juridisch argument.
Het hiervoor bepaalde staat niet in de weg aan het verkrijgen van een rechterlijk verbod of bevel, zo staat in lid 6 van dat wetsartikel. Een rechter (of toezichthouder) kan dus bepalen dat bepaalde abuse wél moet stoppen. Zo heeft de rechter ooit toegang tot The Pirate Bay verboden (hoewel dat werd teruggedraaid in hoger beroep) en zou de toezichthouder (de ACM) ook bepaalde blokkadebevelen kunnen geven.
Dat laatste geldt dan weer niet voor het soort netwerk als hierboven, want de ACM is alleen bevoegd op te treden bij aanbieders van openbaar internet, zoals Ziggo of Vodafone. Een netwerk waar alleen een beperkte categorie gebruikers bij kan, valt niet onder die definitie. Dat scheelt, want dan geldt ook niet de plicht het netwerk stevig te beveiligen (art. 11.3 Telecomwet) en de vertrouwelijkheid van de communicatie te borgen (art. 11.2 en 11.2a).
Recent bepaalde het Hof van Justitie echter dat ook niet-openbare aanbieders soms wel in beweging moeten komen. In die zaak ging het om een auteursrechtclaim vanwege een download door een bezoeker van een winkel via het winkelwifinetwerk. Het Hof bepaalde dat de winkel niet aansprakelijk was voor die download, omdat de winkel slechts een platform was.
Op grond van dat lid 6 mag een rechter dus een verbod of bevel uitspreken om aan een abuse-situatie een einde te maken. En concreet waar het ging om auteursrechtinbreuk, bepaalde het Hof dat het opnemen van een wachtwoord en het identificeren van ontvangers daarvan een legitiem bevel kan zijn. Op die manier kun je inbreukmakende klanten identificeren (en dat aan eisende rechthebbenden geven) zonder dat je gelijk je hele netwerk zou moeten opheffen of moeilijk moet doen met voorwaarden en zo.
Het is nog niet duidelijk hoe ver die identificatieplicht moet gaan. Maar in de situatie van zo’n appartementencomplex denk ik dat je toch al snel uitkomt bij een koppeling van de NAT-vertaling aan het appartementsnummer. Dat adres zou genoeg moeten zijn voor een rechthebbende om dan een dagvaarding uit te brengen.
Hoe het zit met andere abuse-situaties (bijvoorbeeld een privacyschending of participatie in een ddos-aanval) is nog niet bepaald. Ik denk dat je daar ook al snel bij identificatie van de gebruiker uitkomt, dat is immers het meest geëigende middel om aan die abuse-situatie een einde te maken. Maar wie een andere effectieve oplossing heeft, mag dat ook doen.
Arnoud
Als bijvoorbeeld Brein langskomt met een klachten over illegaal verspreiden van content en eventueel schikkingsvoorstel. Draait dan de VVE er voor op en moeten dan alle bewoners afzonderlijk tekenen dat ze zich aan de schikking zullen houden?
Er zijn meer opties… Een andere is dat de netwerkbeheerders na de binnengekomen klacht van Brein een onderzoekje doen en het bezoek doorgeleiden naar een specifiek appartement.
Hoe moet de netwerkbeheerder een onderzoekje doen ?
Als de inbreuk nog steeds aan de gang is: even het verkeer scannen.
Als die niet meer aan de gang is dan zou je specifiek en beperkt kunnen gaan loggen, bijvoorbeeld alle verbindingen naar een specifieke website en die voor een of twee weken bewaren.
Mijns inziens is er bij alle deelnemers op het internet de maatschappelijke plicht (kennelijk dus helaas niet juridisch) om misbruik van de systemen van anderen te stoppen zodra dat geconstateerd wordt en gemeld is. Ik heb een broertje dood aan meldingen als “Ja, u wordt lastig gevallen door mijn IP, maar het is een NAT dus ik weet niet wie erachter zit, dus ik doe er niets aan.” Als upstream ISP van zo’n club zou mijn geduld daarmee ook niet lang zijn.
De gebruikers van het netwerk hebben hier ook zelf een direct belang bij. Een zeer groot deel van alle abusemeldingen wordt namelijk veroorzaakt doordat de betreffende host zelf geïnfecteerd is. Als mijn machine deel uitmaakt van een botnet of grote hoeveelheden spam verstuurd, dan wil ik dat absoluut weten.
Volgens mij dienen ze dus op zoek te gaan naar een methode waarbij misbruikmeldingen wel degelijk terug getraceerd kunnen worden naar de betreffende host. Dat is in mijn ervaring zeer wel mogelijk met behoud van privacy.
Het internet was ooit opgezet op basis van enig onderling vertrouwen tussen de providers. Je kunt dan inderdaad in onderling overleg bepaalde problemen (zoals misbruik) aanpakken. Ik denk dat het internet daar inmiddels te groot voor is, en een te grote diversiteit aan jurisdicties en partijen overspant.
Maar, inderdaad: je hoeft niet per sé de NAW-gegevens van de misbruiker te bewaren of te overhandigen om mee te werken aan het stoppen van misbruik:
0. Kijk even of een binnenkomende klacht enige rechtvaardiging heeft (dat er echt schade is). Zo niet -> spamfolder.
1. Je kijkt, nadat je de klacht hebt binnengekregen, of het misbruik nog aan de gang is. Zo nee, dan is er blijkbaar geen probleem meer -> klaar. Je kunt de klager sowieso niet verder helpen want je slaat geen gegevens van het verleden op.
2. Kijk van welke host het misbruik afkomstig is, en geef de klacht door aan de verantwoordelijke persoon.
3. In veel gevallen zal die medewerking geven: er is bijvoorbeeld sprake van een virus-infectie, en iedereen is blij als die wordt verholpen.
4. Wat te doen bij geen medewerking? Bijv., iemand is zelf opzettelijk bezig met een aanval? Misschien is dit iets voor de algemene voorwaarden? Je zou zelf wat maatregelen kunnen nemen om het te stoppen, in het meest extreme geval door de betreffende gebruiker af te sluiten; dit allemaal zonder de identiteit van de gebruiker naar buiten te brengen. Interessant: moet je hierbij netneutraliteit in acht nemen?
Als je geen maatregelen neemt, dan zal je waarschijnlijk zelf tegen de algemene voorwaarden van je eigen provider aan lopen.
Ik denk dat de gang naar de rechter meestal dus niet nodig is; die is pas nodig als er onenigheid is tussen provider/klant over of iets wel/niet misbruik is en/of of een afsluiting terecht was.
Dat betekent nogal wat. Je zult dan niet alleen gebruik moeten maken van statische private IP-adressen, maar je zult ook moeten bijhouden welk private IP-adres welke sites bezoekt, omdat je anders onmogelijk kunt weten welk private IP-adres (en dus welk appartementsnummer) nou die onrechtmatige content heeft geplaatst (of gedownload).
NB: De mogelijkheid om een verbod of bevel opgelegd te krijgen staat overigens in art. 6:196c lid 5 (lid 6 bestaat niet).
Als je niet verplicht bent om gegevens over de koppeling tussen fysieke identiteit en bepaald dataverkeer op te slaan, dan is het voor de privacy toch beter om het niet te doen? Ik zou juist verwachten dat het dan verboden is om die gegevens op te slaan, omdat het een onnodige privacy-schending is.
Als er dan iemand komt klagen over bepaalde gebruikers, dan heeft die toch maar te accepteren dat jij de gegevens niet hebt, en dat je de klager dus niet verder kunt helpen? Dit zou ook moeten gelden als de klager een opsporingsinstantie is (politie e.d.) of de rechter aan zijn kant heeft. Je kunt niet verplicht worden tot iets wat je niet kan.
Stel dat de wet niet is zoals ‘ie volgens mij zou moeten zijn, is het dan een nuttige work-around om al het data-verkeer door te sluizen naar een VPN in een gunstigere jurisdictie? Je ping-tijd wordt wat groter, maar je hebt in ieder geval een scheiding tussen je “kabel-aanbieder” en je “data-interface-aanbieder”. Als je dan problemen krijgt aan de data-kant (“we willen graag weten wie deze data heeft verstuurd”) kan je tenminste makkelijk overstappen: VPN-aanbieders zijn er wereldwijd een stuk meer dan kabel-aanbieders in jouw regio.
Bij het lezen van dit artikel dringt zich mij een vergelijking op met de casus van de Zutphense Waterjuffer (https://nl.wikipedia.org/wiki/Zutphense_waterleiding). Het ging hier om een gesprongen waterleiding waardoor het leerpakhuis van Nijhof onderstroomde. Juffrouw De Vries die het boven het pakhuis liggende apartement bewoonde weigerde medewerking te verlenen aan het beperken van de schade door Nijhofs verzoeken om de hoofdkraan dicht te draaien af te wijzen. Dit arrest vormde de opmaat voor het huidige Nederlandse onrechtmatige daadsrecht, wat wordt ingekleurd door de zorgvuldigheid welke in het maatschappelijke verkeer betaamt ten aanzien van eens anders persoon of goed. Je bent dan wellicht als VVE niet aansprakelijk voor de schade die wordt aangericht door gebruik van het VVE-netwerk, maar zodra iemand je op de hoogte stelt van schadeveroorzakende gebeurtenissen die zijn oorsprong hebben in jouw netwerk terwijl je in de positie bent om aan die gebeurtenissen een einde te maken dan lijkt het me aanbevelenswaardig om in overweging te nemen medewerking te verlenen. Ook zonder gerechtelijk bevel daartoe…