Beheerder usenet-site Nzbxs.com schikt met Brein en geeft userdata

Stichting Brein heeft een schikking getroffen met de beheerder van usenet-indexsite Nzbxs.com. Dat meldde Tweakers vorige week. De site bevatte nzb-bestanden voor het downloaden van onder andere films, muziek en games. De beheerder van de site heeft volgens Brein informatie verschaft over bij de site aangemelde leden. Deze zijn ondertussen benaderd door de auteursrechtenwaakhond: “Bij toekomstige inbreuken kan BREIN vervolgonderzoek doen naar uw activiteiten en uw naam-, adres- en woonplaatsgegevens opvragen bij uw internet dienstverleners om een onthoudingsverklaring af te spreken of een rechterlijk bevel te vorderen.” Woef. Mag dat van de AVG?

Allereerst is natuurlijk de vraag of Brein van de beheerder van Nzbxs de usergegevens kan vorderen. Het is onderdeel van een schikking, een vrijwillig aangegane afspraak waarmee een juridisch geschil opgelost moet zijn. Als de wederpartij van Brein meende dat dit niet mocht, dan had zhij de afspraak niet moeten aangaan. Zou ik zeggen. En natuurlijk zal er best wat druk achter zitten vanuit Brein, maar dat maakt het voor mij niet fundamenteel anders.

Verder denk ik dat de AVG wel degelijk ruimte biedt om zo’n afgifte toe te staan. Hetzelfde geldt voor het gebruik van Brein om een (redelijk netjes geformuleerde) blafbrief te sturen.

Ik zou zeggen dat onder het Lycos/Pessers arrest die afgifte toch wel had gemoeten (het is een misverstand dat dat via de rechter vooraf getoetst moet worden). En de inhoudelijke afweging onder het Lycos/Pessers arrest komt voor mij neer op grofweg dezelfde analyse als artikel 6 lid 1 sub f AVG (het gerechtvaardigd belang) vereist:

  1. Een recht of legitiem belang van Brein: het auteursrecht (van hun achterban) verdedigen.
  2. Noodzaak, je kunt niet echt anders: dit is de enige lijst van downloaders (van nzb bestanden) dus enige manier ze te bereiken.
  3. Proportioneel, je doet ze geen Dutch Filmworks-claim aan maar alleen een “hee let op” mail. En ik denk/gok dat ze daarna de gegevens weggooien.
  4. Privacybelangen daar tegenover: privacy van accounthouder/IP-adresgebruiker, mogelijk niet de feitelijk downloader, maar het gaat om een e-mail en niet een rechtszaak of publiciteit.
  5. Afweging: Dan komt het neer op “als ik een mailadres heb van een geregistreerd NZB-site gebruiker, mag ik die dan mailen “niet van Usenet downloaden want dat is illegaal, grtz tkuik”?
Om die redenen kom ik dus tot de conclusie dat dit gewoon mag. Het belangrijkste verschil met Dutch Filmworks zit hem voor mij bij 3: Brein gaat geen slecht onderbouwde schadeclaims doen maar alleen een “let op dit mag niet” mail. Die ruimte is er volgens het Gerechtshof in de DFW-zaak. Natuurlijk pakt men (getuige het citaat uit de openingsalinea) wel door met “de vólgende keer kom je er niet zo vanaf”, maar dat is vaag genoeg om mee weg te komen.

Je kunt je natuurlijk afvragen hoe realistisch het is om te denken dat iemand die op een NZB site zich registreert, ook daadwerkelijk illegaal downloadt van Usenet (waar je NZB-bestanden bij kunt gebruiken, praktisch gezien is zonder NZB vrij ingewikkeld). Het klinkt voor mij als een I Read it for the Articles-verweer.

Arnoud

28 reacties

  1. Ik vraag mij af wat Brein precies voor data heeft gekregen. Als ik Tweakers lees, alleen wie lid is van de site en niet van de exacte download activiteiten van de leden.

    Nu weet ik nog uit de tijd dat men hier dacht dat downloaden legaal was en alleen uploaden illegaal dat elke NZB site ook vol stond met NZBs naar legale downloads (Opensource sorftware was volop van usenet te downloaden). Ik heb zo zelfs wel eens een Ubuntu install disc gedownload omdat dit vele malen sneller ging dan de aangeboden torrents en ftp sites. Daarnaast weet ik eker dat mijn account op sommige van die sites nog steeds bestaat, ook al heb ik sinds de uitspraak dat ook downloaden niet mag hier geen gebruik meer van gemaakt.

    Dus tenzij brein ook gegevens heeft over wanneer de gebruikers hebben ingelogd en welke ze hebben gedownload zie ik wel meer dan alleen de ‘ík lees het voor de artikelen’ verdediging.

    Daarnaast heb ik mijn vragen bij de opmerking van Brein dat ze bij toekomstige inbreuken stappen ondernemen. DE NZB site is niet meer, dus die moet men elders vanaan halen. Men is gewaarschuwd, dus alleen een heel dom persoon gebruikt nu nog geen wegwerp e-mail adres en vpn/TOR. En data over de NZB zegt helemaal niets over welke van de vele usenet providers een gebruiker uiteindelijk heeft benut om te downloaden. Dus waar gaan ze hun onderzoek dan beginnen?

    De waarschuwingsmail van Brein klinkt dan ook vooral als bangmakerij.

  2. En ik denk/gok dat ze daarna de gegevens weggooien.

    Als ze dit doen, hoe kunnen ze dan “de volgende keer” harder doorpakken? Ze weten dan immers niet of dit een volgende keer is, of een nieuw geval. Ze zouden de gegevens kunnen hashen zodat deze niet leesbaar zijn, maar wel vergeleken kunnen worden met toekomstige gevallen. Ik ben alleen iets te cynisch om ervan uit te gaan dat Brein dit uit eigen initiatief gaat doen.

  3. Zal zo’n brief niet krijgen, want ik doe niet aan NZB’s, maar als er zoiets binnenkomt komt er geheid een verzoek onder de AVG aan Stichting Brein (en de commerciele entiteit erachter, Cedar BV, want het is gewoon een business) om alle gegevens die ze van mij hebben aan mij bekend te maken, en ze daarna allemaal te verwijderen. Bij geen of onvoldoende reactie volgt dan een klacht bij de AP.

    Ik raad iedereen met zo’n brief aan dat ook te doen, en dan bij voorkeur allemaal tegelijk op een datum als 15 december, zodat ze al snel over de wettelijke reactietermijnen heen gaan.

    1. En waarom precies moet Brein gehoor geven aan dat verzoek? Zij werken onder een eigen legitiem belang en hebben die gegevens redelijkerwijs nodig, een vergeetverzoek hoef je dan niet te honoreren. Een inzageverzoek moet wel, dus dan krijg je keurig de gegevens die men over je heeft. Waar wou je precies over klagen?

      1. [advocaat van de duivel modus]

        Hebben ze dan gegevens van wie welke NZBs precies heeft gedownload. Anders was er alleen maar de mogelijkheid dat een accounthouder iets illegaals gedownload heeft. De politie kan ook niet elke automobilist staande houden en een waarschuwing voor te hard rijden geven ongeacht of ze daarvoor te hard gereden hebben of niet. (Ok, politie valt onder andere wetgeving dan Brein, maar het gaat om het principe van met een brede kwast iedereen waarschuwen.)

        Daarnaast vraag ik mij af of een NZB (of .torrent) bestand op zich al illegaal is (Geenstijl hyperlink uitspraak?). Als dat niet illegaal is, dan weet de Nzbxs.com niet wie daadwerkelijk de NZBs gebruikt heeft, dat weten alleen de nieuwsgroepen.

        1. Voor zover ik weet, heeft men alleen de userlijst, dus grof gezegd de mailadressen en laatste logindata (mogelijk IP adres) van alle actieve gebruikers. Je kunt uit bezoek op een NZB site niet afleiden wat men illegaal downloadt, zelfs als men alle NZB’s heeft gedownload.

          Het aanbieden van een NZB bestand naar een onrechtmatige kopie van een film is auteursrechtinbreuk, zeker bij zo’n site die echt wel weet dat dat niet mag. Bij incidentele publicaties maakt het GeenStijl/Sanoma-arrest inderdaad een uitzondering, maar dit alles gaat nog steeds over uploaden/publiceren. Ik ken geen arrest waaruit blijkt dat het downloaden van een NZB bestand op zichzelf inbreuk of onrechtmatig is. Heel misschien via het FTD vonnis als je aanvullend kunt laten zien dat je mensen aanmoedigt meer spots te posten.

          1. Maar als het downloaden van een NZB niet illegaal is, ze uberhaupt alleen maar weten dat je een account hebt en niet welke of zelfs maar dat je een nzb (legaal) hebt gedownload. Wat is dan het legitiem belang om jouw gegevens te administreren?

            “Zodat wij kunnen vaststellen als je nog eens een NZB account ergens aanmaakt” lijkt mij niet aangezien dat account aanmaken niet verboden is en Brein hier dus helemaal niets mee te maken heeft.

      2. Ik denk dat ze dat legitieme belang per individueel gegeven moeten aantonen. Dus zullen ze alleen die gegevens moeten houden die daarvoor echt noodzakelijk zijn, de rest moet weg. Omdat ze geen verdere plannen hebben om iets met de verkregen gegevens te doen, hebben ze geen legitiem belang meer na het sturen van de betrokken email.

          1. Dat kan een legitiem belang zijn. Maar de waarschuwing gaat over het illegaal downloaden, dus hebben ze alleen een legitiem belang bij de users, van wie bekend is, dat ze een illegale download hebbn gedaan. Als je niet uitkijkt kom je m.i. in een soort van kip-ei conflict

              1. Dit lijkt me vergelijkbaar met die politieactie “Wij hebben Uw telefoonnummer aangetroffen in het mobieltje van een drugshandelaar. Heeft U verslavingsproblemen neem dan contact op met …”.

                Een waarschuwing sturen aan iemand die zich in “downloadkringen” bevindt is te verdedigen zonder actueel bewijs van downloaden. Voor verdergaande acties (onthoudingsverklaring met dwangsom) is harder bewijs nodig.

  4. Ik begrijp dan niet waarom er niet een heel simpel alternatief is gekozen: Brein stelt brief op en NZBXS stuurt deze dan rond naar de leden “Doorgestuurd: blafbrief van Brein”. En wat nu wanneer je als NZBXS-lid niet onder de indruk raakt van wat geblaf?

        1. Volgens mij is een algemeen rechtsbeginsel dat dreigen met een rechtszaak in beginsel geen afdreiging of afpersing kan zijn, omdat je gerechtigd bent rechtszaken te voeren als je meent dat je rechten geschonden zijn.

          Specifiek bij afdreiging eist de wet dat je “bedreiging met smaad, smaadschrift of openbaring van een geheim” toepast (art. 318 Wetboek van Strafrecht). Die zie ik niet bij “stop met je auteursrecht-inbreuksite en geef je userlijst zodat we die mensen bang kunnen maken zodat ze stoppen met downloaden”.

          1. Ik ben het met je eens dat dreigen met een rechtszaak om onrechtmatig gedrag te stoppen geen afpersing is. Maar wat wanneer je de dreiging van een rechtszaak gebruikt om bij de tegenpartij onrechtmatig gedrag (in dit geval het overdragen van persoonsgegevens van derden) af te dwingen?

            1. Kort en goed: ik zou altijd een illegale eis in de schikking zetten als ik dan minder legale eisen op me krijg.

              Het stellen van een illegale eis (als in: wederpartij moet de wet overtreden) is onredelijk en maakt de verbintenis onafdwingbaar. Zou Brein dan naar de rechter stappen om nakoming te eisen van de schikking, dan zal die de eis afwijzen omdat deze illegaal was (art. 3:41 BW). En omdat de schikking als zodanig wél legaal is, kan zij niet dan alsnog naar de rechter voor gewoon de auteursrechtinbreuk.

              Tegenargument is dat in datzelfde artikel staat dat de gehéle schikking vernietigd kan worden wanneer sprake is van een “onverbrekelijk verband” tussen het illegale en de rest. Dat zou ik hier niet zien: er is immers rechtsgeldig afgesproken dat de site uit de lucht gaat en blijft, op straffe van een dwangsom. Het ene aspect van de afgifte persoonsgegevens is niet zodanig daarmee verweven dat de gehele schikking dan van tafel moet.

              Ik ben er niet van overtuigd dat het overdragen van de persoonsgegevens in dit geval onrechtmatig was, maar dat terzijde. Dit is natuurlijk wel het risico bij “oh die eis is illegaal, hihihi zet er maar gewoon in” want als de rechter zegt dat die eis wel gewoon legaal is, dan moet je hem nakomen.

        2. Brein had legitieme redenen om een rechtszaak te beginnen, het was geen uit de lucht gegrepen eis zonder enige onderbouwende feiten. Vervolgens is men gaan onderhandelen om de rechtszaak te voorkomen. Tot zo ver is alles nog heel normaal en legaal.

          Je kan van mening verschillen of de eisen van Brein in deze onderhandeling redelijk zijn.

          Ik weet niet of Lycos/Pessers van toepassing is (zie orginele blogpost), omdat zoals eerder in deze reacties geredeneerd is, het downloaden van NZBs niet perse inhoud dat er inbreuk gepleegd is door de gebruiker. Afweging 2 van de blogpost is dan niet meer correct. Nzbxs heeft geen lijst aan inbreukmakers. Ga maar aankloppen bij de newsgroepen om daar een lijst IP adressen te krijgen wie wat daadwerkelijk heeft gedownload (die houden dit natuurlijk niet bij).

          Waarschijnlijk stond in de privacy statement van Nzbxs niet dat ze deze gegevens aan andere konden overhandigen. In mijn ogen is legitiem belang ook niet van toepassing, net zoals je de gegevens niet zomaar kan verkopen omdat geld goed is voor het bedrijf en dus van legitiem belang is.

          Deze redenatie volgend zou je dus kunnen zeggen dat Brein in de schikkingsonderhandelingen heeft geëist dat Nzbxs de privacywetgeving schend omdat uitzonderingen zoals Lycos/Pessers, nakomen contract (met de gebruikers) of legitiem belang niet van toepassing zijn. Ik kan geen wetsartikel noemen, maar ik ga ervan uit dat je in dit soort onderhandelingen geen illegale dingen mag eisen.

          1. De opmerking in de privacy statement lijkt me niet relevant, anders zet iedereen voortaan “gegevens mogen nimmer voor opsporing of rechtszaken worden gebruikt” en dan zou iedere politieagent of Brein-achtige club met lege handen staan. (Vroeger had je ook van die algemene voorwaarden met “Toegang voor undercoveragenten en auteursrechthandhavers is verboden en deze mensen beloven informatie die ze hier vinden nimmer te gebruiken.”)

            Het uitoefenen of verdedigen van een grondrecht vind ik wezenlijk anders dan het commerciële “ik wil geld verdienen met datahandel”. Auteursrecht is juridisch gezien nu eenmaal een grondrecht, daar kunnen we niet omheen. En zelfs onze AP vindt dat de redelijke uitoefening van een grondrecht een legitiem belang geeft, dat is voor de vrije meningsuiting zo dus waarom niet voor de handhaving van auteursrechten? Daarmee is voor mij in beginsel het legitiem belang gegeven.

            Ik kom dan dus uit bij de belangenafweging uit de AVG, en die loopt volgens mij hetzelfde als Lycos/Pessers. De vier eisen daar zijn: a. de mogelijkheid dat de informatie, op zichzelf beschouwd, jegens de derde onrechtmatig en schadelijk is, is voldoende aannemelijk; b. de derde heeft een reëel belang bij de verkrijging van de NAW-gegevens; c. aannemelijk is dat er in het concrete geval geen minder ingrijpende mogelijkheid bestaat om de NAW-gegevens te achterhalen; d. afweging van de betrokken belangen van de derde, de serviceprovider en de websitehouder (voor zover kenbaar) brengt mee dat het belang van de derde behoort te prevaleren.

            Ik ben het bij punt a met je eens dat het niet vaststaat dat NZB downloaden gelijk staat aan film downloaden. Maar ik zou wel neigen naar dat het “aannemelijk” is dat iemand een NZB downloadt omdat zhij de film wil hebben, een ander doel kan ik eigenlijk niet bedenken. Het reële belang (punt b) zou dan zijn het stoppen van toekomstige inbreuken.

            1. Bedankt voor de toelichting.

              De enige stap in de logica die dan nog gemaakt moet worden is dat het “aannemelijk” is dat alle gebruikers wel eens een illegale NZB hebben gedownload. Ik denk dat het voor het overhandigen van informatie en het sturen van een waarschuwing aannemelijk genoeg zou zijn.

              In mijn hoofd zat ik teveel te vergelijken met de bewijslast om een gebruiker veroordeeld te krijgen. “Je hebt een account, dus heb je vast wel eens een illegale NZB gedownload, waarmee je vast wel eens de uiteindelijke inbreukmakende bestanden hebt gedownload.” zou te weinig zijn voor een veroordeling van de gebruiker. Deze vervolgstappen zouden waarschijnlijk moeilijk te bewijzen zijn vanwege een gebrek aan logbestanden.

              1. Het gaat niet om “je hebt wel eens een illegale download gedaan” maar meer specifiek “Je hebt met jouw download een inbreuk op mijn rechten begaan.” als je een civiele rechtszaak wilt starten. Een concreet voorbeeld: Softwaremakers hebben zich in de BSA verenigd en worden niet door Brein vertegenwoordigd. Iemand die met NZB’s alleen software illegaal downloadt heeft juridisch niets met Brein te maken (maar alles met de BSA.)

              2. Dat is zeker mogelijk. Maar wat nu als je het vraagt en je krijgt gewoon eerlijk een bekentenis? Of als je een Usenetprovider hebt die wél logt? Ik heb al menigmaal gezien dat een “no logging” dienst tóch logging bleek te hebben. Altijd handig voor als je moet schikken, zouden ze wellicht denken?

  5. Ik vraag me wel af wat brein denkt met die data te kunnen. Zoals Arnoud al aangaf zegt de registratie niets over het wel of niet downloaden. Daarnaast is het zelfs zo dat als je een nzb donwload je nog steeds niet de content hebt dat vergt nog een handeling waarvan helemaal niet vast staat dat je dat hebt gedaan. Dus ik vraag me af wat brein nu wil met die gegevens gaat doen.

  6. Een hele andere kant van het verhaal. Zijn de berichten die BREIN naar de bij de site aangemelde leden heeft verstuurd juridisch gezienj niet gewoon spam?

    Het is nu verboden om “automatische oproepsystemen zonder menselijke tussenkomst, faxen en elektronische berichten” te gebruiken voor het overbrengen van ongevraagde communicatie voor commerciële, ideële of charitatieve doeleinden.

    Het is automatisch, want ik neem aan dat BREIN niet met de hand al die mensen een e-mail gestuurd heeft, en het is ongevraagd. Ik kan alleen niet achterhalen aan de hand van de criteria op de ACM website of het wel of geen spam is.

    1. Ik kan die mails met geen mogelijkheid “voor commerciële, ideële of charitatieve doeleinden” noemen. Dus nee, de antispamwet wordt niet overtreden. De strekking van spam is dat het reclame is (commercieel, ideëel of charitatief) en dat andersoortige berichten, ook indien automatisch, er niet onder vallen. Al je klanten spammen dat je zaterdag gepland onderhoud hebt, is dus niet verboden onder de antispamwet.

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.