Internetrecht door Arnoud Engelfriet

Kaspersky heeft van de Nederlandse rechter gelijk gekregen in een kort geding, waarin is bepaald dat De Telegraaf een krantenartikel moet rectificeren. Dat meldde Tweakers gisteren. In dat artikel werd gesteld dat Rian van Rijbroek claimde dat ze het wifinetwerk van het Nederlandse Kaspersky-kantoor was binnengedrongen en allerlei geheime informatie te pakken had gekregen. Dit ervoer het geplaagde securitybedrijf als smaad en men startte een rechtszaak tegen de Telegraaf.

Uit het vonnis haal ik vooral dat het artikel gerectificeerd moet worden omdat de Telegraaf niet hard kan maken wat Van Rijbroek nu precies gezegd had. Het artikel meldde uitgebreid hoe mevrouw de meesterhacker bij een Utrechts securitybedrijf uit Rusland (waar er maar ééntje van is) IP-adressen had weten te stelen, waarna een ‘deep throat’ haar wist te melden dat er een lek zit in de Tweede Kamer dat samenwerkt met de Russen op basis van deze informatie. Of zoiets. Wie uit de mist aan uitspraken een samenhangend en technisch kloppend relaas kan halen, wint een plagiaatvrij exemplaar van De wet op internet.

Kaspersky was nogal boos over het artikel, omdat hun reputatie hiermee nogal door de mangel werd gehaald. Men had zelfs het vermoeden dat de overheidsbeslissing om te stoppen met het bedrijf, hiermee samenhing of door was beïnvloed. Vandaar de stap naar de rechter: deze onrechtmatige perspublicatie moet worden gerectificeerd.

Een groot probleem voor de krant was dat er eigenlijk geen bewijs was van wat er was gezegd. Dit nog los van dat er geen onafhankelijke bronnen waren die het verhaal konden staven, zodat je uiteindelijk wel een héél magere onderbouwing overhoudt. Na het eerste interview is er diezelfde avond nog twee keer nagebeld, maar afgezien van een paar aantekeningen is er verder helemaal niets. Dat bevreemdt anno 2018, wie neemt er nou niet zijn interviews op? Tevens bleken de verklaringen van de twee journalisten onderling niet helemaal te kloppen.

Wie op dergelijke onderbouwing publiceert, loopt een serieus risico iets te publiceren dat niet klopt. En dan zul je de gevolgen moeten dragen, aldus de rechtbank:

Zonder nader onderzoek waarvoor in dit kort geding geen plaats is, is slechts op basis van de verklaringen van de journalisten en de informatie uit anonieme bron onvoldoende aannemelijk dat [naam 1] zich heeft uitgelaten over een inbraak op het computernetwerk van Kaspersky. [naam 1] ontkent, er geen aanwijzingen dat die inbraak heeft plaatsgevonden, en door TMG is geen eigen onderzoek gedaan naar die inbraak. Kaspersky is bovendien niet om een reactie gevraagd. Dat Kaspersky hierdoor schade heeft geleden en mogelijk nog zal lijden is voldoende aannemelijk. De berichtgeving kan (potentiële) klanten afschrikken. Een cybersecuritybedrijf dat haar eigen internetveiligheid niet in orde heeft levert commercieel zeer nadelige beeldvorming op. Al met al is de publicatie in De Telegraaf voorshands onrechtmatig tegenover Kaspersky.

Een verweer van de krant was nog dat het artikel niet serieus te nemen moest zijn. Weinig hackers kruipen (bij mijn weten) in lingerie door Dubaise hotelkamers, een titel als “Meesterspionne of misleidster?” belooft ook niet echt een diepgravende analyse van de toestand in de wereld en een belofte van “wilde verhalen” geeft ook eerder een suggestie van lekker lachen dan een stevige onthulling. Maar het artikel bevatte genoeg echte feiten en referenten om het toch als serieus aan te merken.

De Telegraaf moet rectificeren op de voorpagina van de zaterdageditie, en moet bovendien bij het archiefartikel een aanduiding opnemen dat het artikel onrechtmatig was.

Arnoud

Het Europese Hof van Justitie heeft in een uitspraak bepaald dat de beheerder van een Facebook-pagina samen met Facebook als gezamenlijk verantwoordelijke moet worden gezien als het gaat om de verwerking van persoonsgegevens. Dat meldde Tweakers vorige week. Deze juridische term houdt in dat beide partijen samen bepalen wat er gebeurt met persoonsgegevens, en elk aansprakelijk zijn voor de gehéle verwerking. Was deze blog kort door de bocht, dan ware de conclusie dat iedere Facebookpaginabeheerder dus aansprakelijk is voor wat Facebook doet met gegevens van groepsgenoten. Auw.

De uitspraak (zaak ECLI:EU:C:2018:388) was onder de Richtlijn (en wat wij de Wbp zouden noemen) maar de begrippen zijn onder de AVG hetzelfde, zodat de uitspraak nog steeds van belang is. En uit de feiten maak ik op dat het om de zogeheten fanpagina’s gaat, waarbij je als beheerder bepaalde statistieken te zien krijgt over je bezoekers, waarbij onder meer cookies worden ingezet die tot personen te herleiden zijn.

Een Duitse toezichthouder had een beheerder van zo’n pagina aangesproken op haar plicht bepaalde gegevens te verwijderen, maar die weigerde dat omdat niet zij maar Facebook verantwoordelijk zou zijn hiervoor. Dat leidde tot een rechtszaak die nu bij het Hof van Justitie uitkwam. En die concludeert niet verrassend dat primair Facebook de verantwoordelijke is, omdat Facebook bepaalt hoe haar platform werkt en wat er mogelijk is.

Wél verrassend is dat zij ook de beheerder van zo’n pagina aanmerkt als (mede-)verantwoordelijke. Die besluit immers zo’n pagina op te zetten, waar mensen lid van kunnen worden en zo gegevens achterlaten. Zonder die ingreep waren die persoonsgegevens rondom interesses over die pagina (zeg maar) er niet gekomen, dus daarvoor ligt de verantwoordelijkheid bij deze beheerder. Dat je als beheerder alleen anonieme gegevens krijgt van Facebook, maakt niet uit – in de definitie van gezamenlijk verantwoordelijke staat niet dat je beiden bij alle persoonsgegevens moet kunnen.

De belangrijkste implicatie van het arrest is dat je als persoon kunt eisen dat gegevens van jou worden verwijderd bij zo’n fanpagina, en dat de beheerder zich niet mag verschuilen achter Facebook. Je moet dus echt zelf aan de bak en ook zelf aangeven welke gegevens je verzamelt en wat je daarmee doet.

Maar pijnlijke bijkomstigheid is dat je dus óók (mede-) aansprakelijk bent voor datalekken, slechte beveiliging en andere fouten die je zakenpartner Facebook vergaart. Oké, dat mag je wettelijk gezien op haar verhalen maar dat is natuurlijk niet helemaal realistisch.

Arnoud

Een lezer vroeg me:

Ik beheer een relatief groot discussieforum. Moet ik straks onder de AVG van iedereen die dat vraagt zijn berichten weghalen onder het vergeetrecht? Dan houd ik straks geen historie meer over!

Het klopt dat je als aanbieder van internetdiensten al snel te maken krijgt met de AVG. Heel vaak werk je immers met persoonsgegevens, informatie die tot personen te herleiden is. Namen of e-mailadressen, maar ook IP-adressen en cookies met unieke nummers zijn persoonsgegevens. Als die informatie achterhaald of irrelevant is, dan moet deze op verzoek weg.

Dit geldt dan net zo goed voor online forums. Punt is wel dat een bericht dat mensen posten (net als een reactie op deze blog) an sich óók persoonsgegevens zijn, omdat de berichten van iemand zijn en daarmee over die iemand gaan. Dan zou die iemand dus ook bij een inmiddels compleet dode discussie of stokoud bericht kunnen eisen dat het wordt weggehaald.

Echter, specifiek bij forums loop je dan tegen een probleem aan dat daarmee de discussie toch een stuk verstoord wordt, of het archief niet meer volledig. Dat is een probleem, want bij zulke situaties komt dan de vrijheid van meningsuiting in het gedrang. Mensen moeten kunnen lezen wat in het verleden is gezegd, en de privacy mag daar niet als een 1984-bulldozer doorheen rauzen.

Dit probleem werd bij invoering van de AVG al onderkend, en er staat dan ook bij het vergeetrecht dat het niet van toepassing is wanneer de verwerking (de publicatie dus) noodzakelijk is voor de uitoefening van het grondrecht van de uitingsvrijheid (artikel 17 lid 3 AVG). Daarmee kan een forumbeheerder dus in principe het weghalen van berichten voorkomen. Een profiel of registratie van een gebruiker valt buiten dat grondrecht en moet dus wél worden weggehaald op verzoek.

In Nederland komt er naast de AVG de zogeheten Uitvoeringswet AVG, met daarin een aantal belangwekkende uitzonderingen bij “journalistieke doeleinden of academische, artistieke of literaire uitdrukkingsvormen”. Alle rechten die je normaal hebt, zoals inzage, correctie en verwijdering, gelden bij deze uitingsvormen niet. Daarmee kun je als forum dus ook andere verzoeken pareren, althans voor zover het gaat om persoonsgegevens die als journalistiek of literair te duiden zijn. Dat is wat mij betreft beperkt tot de postings of reacties zelf. Zaken als iemands profiel of interesses vallen daar buiten.

Arnoud

Naar aanleiding van mijn blog van vorige week over accounts versus bewaarplicht kreeg ik via Twitter de reactie: Leerzaam! En in de comments ook: recht van betrokkene geldt ook voor een troll. Gegevens laten verwijderen na block, herinschrijven en overnieuw beginnen…. Nooit aan gedacht. Natuurlijk zullen er na 25 mei de nodige trollen zijn die… Lees verder

Beveiligingsbedrijf Kaspersky wil Rian van Rijbroek, co-auteur van het boek ‘De wereld van Cybersecurity en Cybercrime’, voor de rechter slepen. Dat meldde RTL Nieuws onlangs. Het bedrijf is van plan haar aan te klagen wegens laster, omdat Van Rijbroek in de media zegt dat ze het Nederlandse kantoor van Kaspersky heeft gehackt. Men schrok bij… Lees verder

De overheid kan verschillende maatregelen nemen om te voorkomen dat digitale platforms als Facebook, Google en Amazon misleidende informatie doorgeven. Dat meldde Nu.nl op gezag van een CPB-rapport dat waarschuwt tegen de snelle groei en steeds kleiner wordende transparantie van deze platformaanbieders. Met name de aanbeveling voor een vergunningenstelsel springt in het oog. Digitale platforms… Lees verder

Mag je beelden maken van gevaarlijk rijgedrag en dat op sociale media publiceren? De vraag kwam de afgelopen dagen vaak langs. De afgelopen dagen sneeuwde het zo hard dat code rood werd uitgeroepen: ga liever niet de weg op, tenzij het echt moet. Maar natuurlijk heb je mensen die zichzelf Max Verstappen wanen en gewoon… Lees verder

Een lezer vroeg me: Ik begrijp dat een zwarte lijst voor personen erg lastig is om aan te leggen, vanwege privacywetgeving. Maar nu las ik dat privacy niet geldt voor bedrijven, dus klopt het dan dat ik wel voor mijn b2b webshops een zwarte lijst mag hanteren van zakelijke klanten met wie ik geen zaken… Lees verder

Amerikaans president Donald Trump heeft via Twitter opnieuw een waarschuwing gegeven aan Noord-Korea, las ik in De Morgen. “Alle militaire eenheden zijn volledig klaar”, klinkt het. En eerder, omineuzer: fire and fury zou het regenen, als Noord-Korea niet ophoudt met haar dreigementen. Wat de semi-serieuze vraag oproept, mag dat wel, op Twitter een ander land… Lees verder

Amerikaanse politici mogen van een rechter in de staat Virginia geen mensen blokkeren op sociale media, las ik bij Nu.nl. Dit is strijd met het 1st Amendment, de vrijheid van meningsuiting, omdat politici in een openbaar forum niet zomaar mensen mogen verbieden hun mening te uiten. En daaronder valt ook het als politicus jezelf afschermen… Lees verder