Internetrecht door Arnoud Engelfriet

Twitter heeft de ban op de account van de Amerikaanse president Trump, @realDonaldTrump, een permaban gegeven.  Dat meldde heel internet, waaronder Tweakers, afgelopen weekend. Aanleiding voor de aangescherpte handhaving op de account van de president is de bestorming van het Capitool door pro-Trump-demonstranten, op 6 januari. Voor velen riep dit vragen op, met name of dit voor Twitter gevolgen heeft in haar aansprakelijkheid. Het hele punt van die beperkte aansprakelijkheid voor dienstverleners (“Section 230”) was toch dat je niet zou gaan filteren?

De dienst licht haar redenen toe in een uitgebreide blogpost. Ook lijkt mee te hebben gespeeld dat honderden medewerkers hier heel hard om hebben gevraagd, en dat het gevoel was dat het toch al uit was met Trump zodat repercussies vanuit het Witte Huis niet meer te verwachten waren. (En wellicht het idee als mede-samenzweerder voor een gewapende revolutie gezien te worden.)

Maar hoe zit dat dan met die aansprakelijkheid? Volgens de Amerikaanse wet, de fameuze Section 230, is een dienst als Twitter niet aansprakelijk voor wat anderen ermee communiceren:

No provider or user of an interactive computer service shall be treated as the publisher or speaker of any information provided by another information content provider.

Dat is ook logisch, want het hele punt van Section 230 was om providers (met name hosting en internettoegangsdiensten, maar zeker ook BBS’en, chatdiensten en forums) een zorgvrije toekomst te geven. De wet komt uit een tijd dat een aantal rechtszaken leken te suggereren dat je als hostingprovider of forumdienstverlener wél aansprakelijk was voor wat er gebeurde.

Weliswaar staat er het nodige over modereren en ingrijpen, maar ook die staat er in beschermende zin voor de provider. Er ontstaat géén aansprakelijkheid bij

any action voluntarily taken in good faith to restrict access to or availability of material that the provider or user considers to be obscene, lewd, lascivious, filthy, excessively violent, harassing, or otherwise objectionable, whether or not such material is constitutionally protected;

Ik zet dat even in een aparte alinea, want bij veel mensen bestaat de indruk dat dit alleen geldt als de provider neutraal is over waar ze op ingrijpen, of als ze alleen ingrijpen op basis van vooraf gepubliceerd beleid (de infameuze Terms of Service). Dat is dus niet waar. (Ook bij ons niet; art. 6:196c lid 3 BW eist dat je “prompt de nodige maatregelen neemt om de informatie te verwijderen of de toegang daartoe onmogelijk te maken” maar niet dat die neutraal zijn, uit beleid volgen of consistent met eerdere beslissingen zijn.)

Wel is het zo dat je alleen een ‘provider’ bent als je niet “responsible, in whole or in part, for the creation or development” van de betreffende content bent. Maar die uitzonderingssituatie (bij ons equivalent onder het L’Oréal/eBay arrest van het Hof van Justitie) is zeldzaam. Enkel modereren of een account blokkeren valt er zeker weten niet onder.

Het is natuurlijk een hele nobele statement om te maken, dat je als informatiedienst neutraal wil zijn en geen partij wil kiezen. Maar het is echt zwaar overdreven dat je net als een krant of televisiestation behandeld gaat worden (want die zijn immers wél inhoudelijk aansprakelijk voor wat ze publiceren, ook bij ingezonden stukken) wanneer je inconsistent modereert, een politieke bias zou hebben of ingrijpt bij “verheerlijking van geweld”, zoals Twitter het in haar policy noemt – de regel die Trump overtreden heeft, aldus het bedrijf. En de grap is dus: als Twitter víndt dat sprake is van verheerlijking, dan is dat reden genoeg voor ingrijpen.

Natuurlijk kun je je afvragen of het wel wenselijk is dat Twitter zó machtig is, dat ze effectief de president van het machtigste land ter wereld de mond kunnen snoeren. (Negeer even dat als de president de #msm belt voor een persconferentie, ze allemaal integraal uitzenden wat hij zegt.) Maar dat is zeker niet hetzelfde als dat men juridisch verplicht zou zijn om het account actief te houden, ongeacht wat er vanaf dat account wordt gezegd.

Een van de ingewikkeldste vragen vind ik dan, hoe consequent moet Twitter dan zijn. Want dat klinkt natuurlijk leuk maar elke situatie is toch weer anders, zeker door de jaren heen.

Neutraal dan? Dat vind ik ook een erg hoge lat. En vooral: waarom? Dat eisen we van kranten of tv zenders toch ook niet? (Bij toegangsproviders ligt dat anders maar die merken ook weinig van de kleur van de bijdragen van hun klanten.)

Arnoud

De Nederlandse ethische hacker Victor Gevers heeft vorige week naar eigen zeggen het Twitter-account van Donald Trump gehackt. Dat meldde Tweakers vorige week. Het wachtwoord (maga2020!) was eenvoudig te raden, zegt Gevers tegen Vrij Nederland. VN zegt ook dat er sterke aanwijzingen zijn dat Gevers achter een beruchte tweet van de president zat. Het gaf de nodige discussie over ethisch hacken, dingen mogen veranderen en hoe publiek je mag gaan met zo’n ontdekking.

Victor Gevers was ook een van de hackers die in 2016 in wisten te breken op het account van Trump. Daarom kreeg deze inlog zo veel aandacht, hoewel er ook twijfel is over de echtheid. Twitter zelf zegt geen rare inlog te hebben gezien, en bij een screenshot van Gevers dat het interne profiel van Trump toont, ontbreekt het Amerikaanse vlaggetje in de biografie-regel. (Mogelijk kwam dat door de gebruikte browser/OS combinatie.)

Maar dat even terzijde. Stel inderdaad, je weet het wachtwoord van zo’n prominent account te raden en je ziet dat ook alle beweerdelijke extra maatregelen (zoals 2FA) er niet zijn. Wat mag je dan doen? Nou ja, het slachtoffer en/of de dienstverlener informeren natuurlijk, dat past volledig binnen de heersende spelregels voor ethische hackers.

Ermee naar buiten treden is een ander verhaal. Natuurlijk, bij responsible disclosure hoort ook een melding op zeker moment zodat het publiek ook weet wat er mis is. Maar dat is omdat het publiek getroffen kan zijn door het lek dat jij als ethisch hacker had ontdekt. Of omdat ze moeten weten dat die dienstverlener zat te prutsen. Bij een probleem als dit zie ik geen reden om met (responsible) disclosure te dreigen.

Wel is het natuurlijk zo dat het zeer groot nieuws is dat dit oppermachtige Twitteraccount zó slecht beveiligd is. Dan kun je prima naar de pers stappen en melden dat je dit nieuws ontdekt hebt. Ook als je het zelf hebt gemaakt, dat nieuws. Een journalistieke hack is niet hetzelfde als een ethische hack.

Arnoud

Een lezer vroeg me:

Er zijn beperkingen bij het doorgeven van het e-mailadres aan derden. Maar contactgegevens doorgeven via WhatsApp is een standaard feature. Het zijn weliswaar geen e-mailadressen, maar kan dat volgens de wet zo maar?

Het maakt niet uit of je handmatig een 06-nummer in een e-mail plakt en deze zo doorgeeft, of dat je in de WhatsApp applicatie voor de optie “Contactpersoon toevoegen” kiest, een gegevenssetje kiest uit de lijst van je Android/Apple adresboek en deze in mooie layout laat verschijnen bij de ontvanger. In beide gevallen gebeurt hetzelfde: de contactgegevens komen bij de ontvanger.

Of dat mag, hangt allereerst af van of het delen onder de AVG valt. Die kent immers een uitzondering voor huishoudelijk of zuiver persoonlijk gebruik (artikel 2 lid 2c AVG). In principe geldt die alleen als je de gegevens voor jezelf houdt, maar in zeer beperkte kring delen kan vaak nog net. Als de buurvrouw mijn nummer aan de overbuurman geeft omdat die een afspraak wil om een pakketje bij me te halen, dan zie ik dat als buiten de AVG.

Als het onder de AVG valt heb je een grondslag nodig. Dat zal vaak toestemming zijn (“geef mijn nummer maar aan Jaap, hij mag me altijd appen voor een offerte”), maar dat is niet de enige. Uitvoering van een overeenkomst kan ook (“Jaap is mijn accountant, app hem maar over de jaarcijfers zodat we het contract kunnen finaliseren”). En wellicht kom je er ook met een eigen gerechtvaardigd belang (“Jaap vindt het vast fijn als Pieter hem appt hierover”).

Ik lees vaak dat men zegt, als je WhatsApp (of vergelijkbare applicatie) gebruikt dan ben je akkoord met de voorwaarden en dan mag iedereen je dus appen. Dat argument volg ik niet. Ten eerste staat dat niet in de voorwaarden van WhatsApp, en ten tweede kunnen die voorwaarden geen toestemming afdwingen voor levenslang gecontacteerd te worden door eender wie.

Het maakt dus niet uit hoe je iemands contactgegevens deelt. De kern is dat je het alleen moet doen als het netjes is om te doen.

Arnoud

Facebook mag pagina’s offline halen die in strijd zijn met haar eigen COVID-19 beleid, las ik bij Rechtspraak.nl. Dat is gek, want Youtube mocht laatst juist niet bepaalde video’s offline halen omdat ze in strijd waren met haar eigen regels. De betreffende Facebook-regels dateren uit januari. Sinds die tijd “werkt Facebook samen met wereldwijde organisaties zoals… Lees verder

Interessante vraag op Reddit: Een kennis stuurt vaak screenshots heen en weer van privé WhatsApp gesprekken naar andere vrienden van die kennis, waarbij niet om toestemming gevraagd wordt. Kan deze persoon hiervoor legale consequenties voor ondervinden worden jegens schending van privacy? Legaal gezien, pardon juridisch gezien maakt het niet heel veel uit met welk technisch middel… Lees verder

YouTube moet video’s met daarin kritiek op de visie van het Nederlandse RIVM en wereldwijde WHO toestaan, meldde Tweakers woensdag. Voorlopig, zeg ik er meteen bij – dit is een kort geding, dus het gaat om een ordemaatregel in afwachting van een eindoordeel in de bodemprocedure die er ongetwijfeld gaat komen. De video waar de… Lees verder

Een lezer tipte me over deze Viva-forumdiscussie: Vorige week werd ik getagged op Facebook in een bericht van een winkelcentrum in de buurt. Hierop staat mijn kind in het midden met verder alleen een ander persoon die je alleen van De achterkant ziet weglopen. Mijn kind zie je vanaf de zijkant en precies midden in de foto. Nu… Lees verder

Hoever mag YouTube gaan in zijn strijd tegen misinformatie over corona, zo vroeg NRC zich onlangs af. En staat het verwijderen van video’s die niet aan de huisregels voldoen een open maatschappelijk debat over het coronabeleid van de overheid en het RIVM in de weg? Interviewer Ab Gietelink en huisarts Rob Elens hebben een kort… Lees verder

Via de onvolprezen Charlotte Meindersma op Twitter: Als ik jullie goed advies mag geven: wees bij een belangrijk gesprek nooit zo fatsoenlijk om te vragen of je het op mag nemen, maar doe het gewoon. Als je zelf deelnemer bent aan het gesprek, is het niet strafbaar. Dat gaf enige heftige reacties, van ongeloof (“mag… Lees verder

Rapper Jay-Z is een rechtszaak begonnen over muziek-deepfakes met zijn stem, las ik bij Pitchfork. Met deepfakes bedoelen we door machine learning gegenereerde werken die lijken op echte werken. Meestal in de context van video, maar het kan ook met audio. Daardoor ontstaan haast niet van echt te onderscheiden muziekwerken in dit geval, waarbij je… Lees verder