Ziggo moet toch weer wel downloaders een Breinbrief sturen

Ziggo is verplicht om een waarschuwingsbrief van Brein door te sturen naar haar klant via wiens IP-adres een bibliotheek met e-books online toegankelijk is voor internetgebruikers en als dat nodig is, de NAW-gegevens van deze klant aan Brein te verstrekken. Dat besliste het Hof Arnhem begin deze maand. Daarmee valt het hoger beroep in deze zaak verrassend anders uit dan de vorige uitspraken, waarbij Ziggo dit (vanwege AVG-perikelen) juist niet hoefde te doen. Wat is er nu ineens zo anders?

Het idee is zo simpel als wat: identificeer frequente uploaders, en stuur ze een “we hebben je in de gaten”-brief in de hoop dat men ermee stopt. Dat is niet hetzelfde als ze gelijk dagvaarden, wat gezien de kosten en gedoe niet meteen wenselijk is. Maar de ervaring leert dat als je mensen waarschuwt, ze er regelmatig mee stoppen – al is het maar omdat ze denken dat de volgende stap wél een rechtszaak is. Wat dus kan in Nederland, omdat zowel up- als downloaden van beschermd materiaal verboden is zonder toestemming.

Strafbaar zelfs, in theorie. En dat is waar dan het probleem zit: wie bijhoudt wie er auteursrechten schendt, verwerkt strafrechtelijke persoonsgegevens en daar gaan AVG-juristen altijd heel moeilijk bij kijken. De AVG kent daar immers zo ongeveer het strengste regime voor, met als belangrijkste relevante beperking dat je niet voor privédetectivebureau mag spelen als je daarbij zulke gegevens verwerkt. Tenzij je een vergunning hebt, en dan nog. En dat was voor de rechter vorig jaar reden om te bepalen dat Ziggo hier niet aan mee hoeft te werken.

Zoals ik altijd zeg, als het antwoord is dat een auteursrechthebbende pech heeft, dan is het antwoord vrijwel altijd fout. In juridische termen: dan wordt geen recht gedaan aan het hoog niveau van bescherming van intellectuele eigendom zoals in verdragen en Europese regels vastgelegd. Brein ging om die reden dan ook in hoger beroep. Maar Ziggo ook, want die vond dat het afgeven van NAW-gegevens niet automatisch  ‘ter instelling, uitoefening of onderbouwing van een rechtsvordering’ hoeft te zijn, zoals de rechtbank had geoordeeld.

Het Hof begint met te omschrijven wat Brein nu precies van plan is:

Brein verzoekt primair een trapsgewijze aanpak. Allereerst vordert zij dat Ziggo een waarschuwingsbrief en zo nodig nog een aangetekende brief stuurt naar haar klant, waarin de klant wordt gewezen op de inbreuk met het (dringende) verzoek om de openbare toegang tot de Calibre-bibliotheek onmiddellijk af te sluiten. Alleen als die brief (brieven) niet spoedig leidt (leiden) tot het stoppen van deze openbare toegang, verzoekt Brein om verstrekking van de NAW-gegevens van de Ziggo-klant, zodat zij zelf de klant kan aanspreken. Brein heeft daaraan toegevoegd dat zij uitsluitend het staken van de inbreuk (op last van een dwangsom) zal vorderen, maar dat zij geen schadevergoeding zal (mag) vorderen.
Deze aanpak voldoet eigenlijk prima aan privacyverwachtingen van de burger, aldus het Hof. Het ontvangen van zo’n brief via je eigen provider is minder inbreukmakend dan direct door Brein aangesproken te worden. Blijf je dan volhardend, dan mag je verwachten dat Brein je direct benadert. En om excessen te voorkomen (ik kijk naar jou, Dutch Filmworks) beperkt Brein alvast haar eisen bij de eventuele rechtszaak tot uitsluitend een stakingsbevel met dwangsom.

Daarmee is de zaak nog niet klaar, want de AVG heeft zo haar eigen mening over wat er met gegevens over mensen gebeurt. Het kan goed dat er geen enkel privacybelang (meer) is, maar dat je toch aan AVG regels moet voldoen. Zo ook hier: Ziggo gebruikt NAW-gegevens voor het leveren van internettoegang, en het doorsturen van Breinbrieven kun je moeilijk een vorm van internettoegang noemen. Daarmee ontbreekt de doelbinding, zou je zeggen. Maar het Hof ziet toch ruimte in de AVG, namelijk in artikel 6 lid 4:

Het hof is van oordeel dat de verwerking berust op een lidstaatrechtelijke bepaling die in een democratische samenleving een noodzakelijke en evenredige maatregel vormt ter waarborging van de in artikel 23 lid 1 AVG bedoelde doelstellingen. Zoals hiervoor in 4.7 overwogen baseert Brein haar vordering op artikel 28 lid 9 Aw en op de zorgvuldigheidsnorm uit artikel 6:162 BW om een inbreuk op de rechten en vrijheden van anderen (namelijk een inbreuk op auteursrechten) tegen te gaan (artikel 23 lid 1 onder i AVG).
In artikel 28 lid 9 Auteurswet staat dat je (ook) als isp verplicht kunt zijn om persoonsgegevens af te geven (“hij die op commerciële schaal diensten verleent die bij de inbreuk worden gebruikt”), en als je daar de Lycos/Pessers-criteria uit art. 6:162 BW bij optelt dan heb je een keurige wettelijke basis die het andersoortige gebruik van persoonsgegevens noodzakelijk maakt. Zeker omdat de AVG geen vrijbrief kan zijn om andersoortige rechten (zoals auteursrecht) maar gewoon te passeren (art. 23 lid 1 AVG).

Maar dat strafrechtelijke karakter dan, maakt dat de zaak nog anders? De AVG en de Uitvoeringswet zijn daar streng in, en de uitzonderingen zijn dan ook beperkt geformuleerd. De uitzondering waar het hier om ging, is artikel 32 UAVG, waarin staat dat het mag als dat “noodzakelijk is voor de instelling, uitoefening of onderbouwing van een rechtsvordering”. De rechtbank las dat als “van de partij die de persoonsgegevens verwerkt”, en omdat Ziggo niet zelf wilde procederen ging deze uitzondering dus niet op. Het Hof vindt dat een té beperkte lezing, met name omdat de wet zelf zegt “een rechtsvordering”, wat dus ook andermans rechtsvordering kan zijn. En dat sluit aan bij de tekst van de AVG zelf, en bij een Europees arrest over het koppelen van IP- en NAW-gegevens door een rechthebbende.

Alles bij elkaar wint de handhaving van het auteursrecht dus (weer eens) van andere rechten, in dit geval dat van privacy en gegevensbescherming. Er is in zoverre nog een streepje ruimte dat Brein per concrete soort inbreuk moet aangeven waarom zij de NAW-gegevens nodig heeft, en dus geen GPT-brievengenerator mag koppelen aan een bittorrent-IP-log.

Arnoud

 

 

5 reacties

  1. Brein vordert sowieso nooit schadevergoedingen over auteursrechtschendingen maar als er een direct rechthebbende zoals een uitgeverij of platenmaatschappij dat wel zou willen doen dan moet dat toch ook via deze route mogelijk zijn?

    1. Goeie vraag. De rechter lijkt mee te laten wegen dat Brein zich terughoudend opstelt met alleen de vordering tot staking. Dat wordt zo expliciet benoemd dat ik zou denken dat het anders uitpakt als een filmmaatschappij expliciet zegt “wij gaan 750 euro per aflevering van een serie vorderen en 2500 euro per film”.

  2. De ipv4 adressen raken schaars. Met de komst van cgnat is het voor providers die dit toepassen niet mogelijk om een ipv4 adres te herleiden naar 1 aansluiting. En aangezien de providers geen deep packet inspection mogen doen vanwege netneutraliteit, zal het voor providers die met cgnat werken en een ipv4 adres krijgen van Brein niet mogelijk zijn dit door te sturen naar de aansluiting.

    https://www.sidn.nl/nieuws-en-blogs/cgnat-frustreert-alle-ip-adres-gebaseerde-technieken

    1. Bij NAT kun je niet meer het IP externe adres naar een unieke computer (gebruiker) herleiden. Maar iedere TCP connectie is wel te herleiden tot een unieke klantcomputer. Dat betekent dat de provider (in theorie) aan de hand van de connectie identificatie (SRC-IP, SRC-PORT, DEST-IP, DEST-PORT) en een voldoende nauwkeurige tijd de klant zou kunnen achterhalen, indien de provider deze informatie logt.

      Ik kan me heel goed voorstellen dat een ISP deze (privacygevoelige) informatie niet wil loggen. Dit kan uit praktische overwegingen, daar een enkele klant met groot gemak tientallen connecties per seconde opzet en de logfiles daardoor aanzienlijk van omvang zullen zijn.

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.