Internetrecht door Arnoud Engelfriet

Een lezer vroeg me:

Recent heb ik mijn ex de deur uit getrapt omdat ze was vreemdgegaan. Wij deelden alles, dus ook telefoonwachtwoorden en zo kwam ik per toeval erachter. Nu heb ik recent per ongeluk nog eens ingelogd op haar Instagram, omdat dit wachtwoord onthouden was door mijn browser. Zij heeft nu aangifte gedaan van stalking en computervredebreuk. Ben ik strafbaar? Zij had toch haar wachtwoord even kunnen wijzigen?

Het is strafbaar als computervredebreuk om opzettelijk en wederrechtelijk binnen te gaan in andermans geautomatiseerd werk (art. 138ab Strafrecht). Per ongeluk ergens inloggen is dus niet strafbaar, omdat dan de opzet ontbreekt.

Het moet wel echt een ongeluk zijn, en een inlog op Instagram gaat volgens mij niet zó zeer automatisch dat je zonder enige bewuste handeling ineens in dat account zit. Misschien als je ingelogd blijven had aangevinkt. In ieder geval heb je de schijn fors tegen, zeker als je meer hebt gedaan dan één pagina openen en zien dat zij ingelogd was en daarna uitloggen.

Daarnaast zit je met die wederrechtelijkheid. Als je ergens mag zijn, dan heb je een recht en dan handel je niet wederrechtelijk. Als je in een relatie alles deelt, en dus ook wachtwoorden en tandenborstels, dan vind ik dat je niet kunt spreken van “wederrechtelijk” inloggen ook al staat het account formeel op naam van je partner.

Dat ‘recht’ om bij elkaars spullen te kunnen, eindigt natuurlijk met de relatie. Dus vanaf dat moment is het weer haar tandenborstel en haar Instagram, en niet meer de jouwe. Je moet er dan vanaf blijven. Dat zij het wachtwoord had kunnen aanpassen is niet relevant, net zo min als ze haar voordeurslot niet verandert – je mag nog steeds niet naar binnen in haar huis.

Arnoud

Wanneer een vrijwilliger uit eigen beweging een Facebookpagina (of groep) aanmaakt, dan is die van hem en niet van de vereniging. Dat maak ik op uit een recent vonnis uit Rotterdam over de beheerrechten (“eigendom”) van een Facebookpagina van een lokale politieke partij. Die had een geschil met een ex-lid die de officiële verenigingspagina en een aanverwante Facebookgroep niet af wilde geven. Alleen als er een expliciete opdracht was, of specifieke afspraken over eigenaarschap, dan kan dat anders worden. Komt er vervolgens een geschil en loopt de ex-vrijwilliger weg met de pagina, dan heb je dus als vereniging geen poot om op te staan.

De politieke partij ONS.Vlaardingen had een conflict met het uit de fractie gezette raadslid Tim Thiel: die weigerde de beheerrechten van de ONS-Facebookpagina’s af te staan. Hij zag deze pagina’s als zijn persoonlijke investering en succes, en weigerde ze af te staan aan de partij. Deze stapte daarop naar de rechter, die nu dus het ex-lid gelijk geeft.

Uit het vonnis haal ik dat de Facebookpagina van de partij in 2014 is aangemaakt ten behoeve van de partij (maar niet door wie). Het ex-lid had in 2017 de Facebookpagina in beheer gekregen, opnieuw vormgegeven en stevig gewerkt aan promotie: het aantal volgers steeg van 340 naar meer dan 2000. Later, in 2018, maakte hij nog een Facebookgroep aan ter ondersteuning van de partijpagina.

Eind 2018 werd hij uit de fractie gezet, waarna men de toegangscodes en beheerrechten van de twee pagina’s opeiste. Na een eerste mail met toezegging gebeurde dat niet, integendeel. De man verwijderde volgers van de pagina om terug te komen naar de 340 originele, veranderde het mailadres, en maakte van de naam van de pagina en de profielfoto iets stekeligs (geen idee wat maar iets met poppenkastpoppen en een sneer naar de fractievoorzitter). Daarna stapte de vereniging naar de rechter.

De vraag is juridisch nog knap ingewikkeld, wat ís een Facebookpagina eigenlijk, juridisch? Je kunt erop afstuderen: is het een overeenkomst van opdracht, een licentie onder Facebook’s gebruiksrechten, een vermogensrecht dat je schept, of ga zo maar door?

De voorzieningenrechter had haast gezien de aard van de zaak, en gaat er dus niet in detail op in. Heel pragmatisch is dan ook de conclusie: degene die een pagina aanmaakt is in beginsel de beheerder (“eigenaar”) van die pagina, tenzij er concrete opdrachten zijn gegeven of je bindend hebt toegezegd deze over te dragen.

Die tenzij gaat op bij de pagina van de partij zelf. Deze is immers in 2014 aangemaakt voor de partij, en pas drie jaar later is het ex-lid gevraagd beheer daarvan te doen. Dat is dus werk in opdracht aan andermans pagina. Of hij zelf auteursrechten kan claimen op zaken daar geplaatst (en daarmee de overdracht of gebruik door de partij kan frustreren) laat de rechtbank even buiten beschouwing.

Voor de groep komt het anders uit. Het uitgangspunt blijft hetzelfde, maar deze groep is op eigen initiatief door het ex-lid aangemaakt, waarbij hij zichzelf als beheerder presenteerde en de groep niet als officieel of namens de partij aangemerkt had. Daarmee is er dan te weinig om te spreken van een groep die eigenlijk van de partij had moeten zijn. Het beheer over die groep hoeft hij dus niet terug te geven, ook niet nu hij uit de partij is gezet.

Ik blijf er op hameren dat als je als vereniging of stichting met vrijwilligers werkt voor je online activiteiten, je maar beter gewoon afspraken met ze kunt maken op papier. Of regel meteen dat een functioneel account (zoals bestuur@ of penningmeester@ of pr@) het beheer heeft op dergelijke pagina’s) zodat een aangewezen vrijwilliger niet met zijn account weg kan lopen met je pagina’s.

Arnoud

Een lezer vroeg me:

Bij een webwinkel heb ik gevraagd mijn account te verwijderen, omdat ik er al tijden niets meer koop. Zij weigeren dit met het argument dat de gegevens nodig zijn voor de fiscale bewaarplicht. Klopt dat?

Iedere ondernemer is wettelijk verplicht zijn administratie 7 jaar te bewaren, zo omschrijft de Belastingdienst de fiscale bewaarplicht. Doel van deze wettelijke plicht is dat men daarmee je financiële positie en je transactiegeschiedenis als bedrijf kan achterhalen bij een boekencontrole. Daarom moet je onder meer je facturen en bijbehorende contracten bewaren, net als tussentijdse rekeningen en het kasboek.

Een webwinkel heeft vaak geen aparte stapel getekende aankoopbonnen en facturen, maar registreert dat in het account van de klant. Ook handig voor de klant, die kan dan zijn bestellingen terugzoeken en eventueel de factuur downloaden, bijvoorbeeld om een garantieclaim mee te onderbouwen.

Wanneer een onderneming elektronisch de aan- en verkopen registreert, vallen dergelijke gegevens onder die fiscale bewaarplicht. Die factuur in dat account van die klant moet dus bewaard worden, net als de ‘overeenkomst’, de registratie van de bestelling. Die informatie zit in het klantaccount maar valt nog steeds onder die fiscale bewaarplicht. Vanuit dat standpunt is het bewaren daarvan dus begrijpelijk.

Alleen, in een account kun je nog meer handige dingen doen, zoals je in- of uitschrijven voor de nieuwsbrief of dingen op je verlanglijstje zetten. Die informatie valt buiten de bewaarplicht, maar is persoonsgebonden en moet dus weg zodra deze niet meer van belang is.

Ook is het vaak mogelijk vanuit het account snel nieuwe bestellingen te doen, bijvoorbeeld met bewaarde betaalgegevens zoals een automatische incasso, een opgebouwd tegoed of een gekoppelde creditcard. Ook die mogelijkheid moet uit te schakelen zijn.

Voor webwinkeliers is het vanuit de software soms alles of niets: het hele account met alle gegevens kan weg, maar het is vaak niet mogelijk om te zeggen dat aankoophistorie en facturen wél maar interesseprofielen, betaalmogelijkheden en verlanglijstjes niét moeten worden bewaard. Die software is dan niet privacy by design, en dat maakt het problematisch deze verplichting goed na te komen.

Dit geldt natuurlijk ook voor andere diensten met accounts, maar je moet per dienst dan kijken wat er onder het account bewaard wordt en of dat fiscaal relevant is (of vanuit een andere wettelijke bewaarplicht). Bij een hoster zou ik bijvoorbeeld weinig meer verwachten dan facturen en dergelijke administratie, dus daar zou ik eerder het gehele account onder de bewaarplicht rekenen. Maar bij bijvoorbeeld een chatdienst of forum worden dingen gepubliceerd, en dat is natuurlijk totaal niet fiscaal van belang.

Meelezende webwinkeliers, hoe makkelijk is het in jullie software om accounts bijvoorbeeld onzichtbaar te maken maar wel de aankoophistorie met betaalinformatie te bewaren?

Arnoud

Een lezer vroeg me: Wij zijn een clouddienstverlener voor bedrijven. Met enige regelmaat krijgen wij vragen van klanten over logingedrag. Wie logde er na 18 uur nog in, vanaf welk IP-adres is gistermiddag toegang tot de database gezocht en ga zo maar door. Omdat dit persoonsgegevens zijn, wil ik graag weten hoe dat zit onder… Lees verder

Stichting Brein heeft een schikking van 10.000 euro getroffen met een 26-jarige man uit Zwolle, die op zijn website logins verkocht voor verschillende streamingdiensten. Dat meldde Tweakers maandag. De man haalde de data uit uitgelekte databases en verkocht de logins voor een fractie van de prijs van een abonnement. Nu is het natuurlijk computervredebreuk om… Lees verder

Een rechtbank in Duitsland besluit dat de ouders van een overleden tiener geen toegang krijgen tot haar Facebook-account. Dat las ik bij Nu.nl. Het vijftienjarige meisje van wie het account is, overleed in 2012 na aanrijding met een trein. De ouders proberen vast te stellen of het om zelfmoord ging, maar de rechtbank oordeelt nu… Lees verder

Via Twitter kreeg ik de vraag: [V]raag me af of het ook niet gewoon strafbaar is (via gekocht domein www reset en account kapen), @ictrecht? Iets meer achtergrond: het Twitteraccount voor @recensiekoning “keerde terug” met nieuwe eigenaren, waar oude eigenaar Arjan Lubach niet zo blij mee was. Hij had jarenlang een blog onder die naam,… Lees verder

Een lezer vroeg me: Veel leveranciers van mobiele telefoons en tablets verplichten gebruikers tegenwoordig om extra diensten af te nemen, ook als je daar helemaal geen behoefte aanhebt. Zo moet je voor het kunnen gebruiken van een mobiele telefoon die het door Google gemaakte Android draait een account aanmaken bij Google – ook als dat… Lees verder

Apple wilde een weduwe geen toegang geven tot het account van haar overleden echtgenoot, las ik in de AutomatiseringGids. Zij zou een “court order” naar Californisch recht nodig hebben. Zonder zo’n bevel zou haar de toegang tot alle gezamenlijk aangekochte apps en andere content worden ontzegd. Maar hela, ze waren toch getrouwd? Ik heb al… Lees verder

De Argentijnse president wil haar presidentiële socialemediaaccounts niet inleveren nu ze geen president meer is, las ik bij Vice. De accounts, allemaal iets met @CasaRosadaAR (“roze huis”, de ambtswoning van de president), zijn nu omgezet in een soort van tribute-pagina. De nieuwe president moet nu zijn eigen Twittervolgers en Facebookvrienden gaan werven. Kan dat zomaar?… Lees verder