Internetrecht door Arnoud Engelfriet

Een voormalig medewerkster van een dierenopvangtehuis moet het wachtwoord en beheer van een Facebookpagina overdragen aan haar voormalige werkgever, meldde Security.nl onlangs. Dit op gezag van de rechtbank Gelderland die dat bepaalde, versterkt met een dwangsom van 1000 euro per dag dat ze dit niet. De Facebookpagina was tijdens haar dienstverband aangemaakt en draagt de naam van het dierenopvangtehuis, waardoor de pagina uiteindelijk gezien werd als het ‘eigendom’ (quotes want het is dienstverlening) van de werkgever. Deze uitspraak voegt weer een mooie nuance toe aan het debat over van wie een pagina is.

De vrouw was van 1 december 2008 tot 1 augustus 2019 in dienst bij Dierenopvangtehuis, met als taak beheerder van het dierenasiel. In 2011 maakte zij vanuit haar eigen Facebookaccount een pagina aan die met de titel verwees naar de werkgever, en waar ze werkgerelateerde zaken postte maar ook haar eigen mening als beheerder gaf. De werkgever was daarvan op de hoogte, las mee en sprak haar soms aan op dingen die haar niet beviel. Ook werden er afspraken over tijd voor die Facebookpagina gemaakt in het werk.

Na uitdiensttreding verzocht de directeur om overdracht van de pagina, wat de vrouw weigerde. Zij paste wel de naam en het logo aan, maar de werkgever was het daar niet mee eens en stapte uiteindelijk naar de rechter met als eis de overdracht van de pagina aan haar. Het was immers een werkgerelateerde pagina en dus eigendom van het werk.

Net als bij die uitspraak in maart zet de rechter voorop dat wie een pagina aanmaakt, daar de beheerder/eigenaar van is (mantra: er is geen eigendom, het is dienstverlening). Dat kan anders worden als dit in opdracht van een ander is gebeurd of je geacht moet worden deze te hebben afgestaan. In maart werd dat vrijwel hetzelfde geformuleerd, alleen dan met “bindend toezeggen”, wat daar gezien de vrijwilliger-stichting relatie logischer was.

In dit geval is doorslaggevend dat de werknemer de pagina had aangemaakt terwijl ze in dienst was, met naam en logo van de werkgever erop. Ze postte daar (vrijwel) alleen werkgerelateerde zaken, en liet zich instrueren over wat er wel en niet op mocht – ook in gevallen waarin ze het er eigenlijk niet mee eens was. Ook werd ze op zeker moment vrijgesteld van werk zodat ze de Facebookpagina kon onderhouden. Dat alles ruikt wel heel erg naar een pagina onderhouden voor je werk.

Iets juridisch preciezer: de werkzaamheden op de Facebookpagina waren in de hoedanigheid van werknemer gedaan, zodat ze voor rekening van de werkgever komen en deze daarmee houder van het account is. Zou ik zeggen. Maar hoe dan ook, de eindconclusie is dat de ex-werknemer moet zorgen dat de werkgever beheerder wordt van deze pagina, en dus wel op straffe van een dwangsom van 1000 euro per dag.

Net als bij vrijwilligers lijkt het me zeer verstandig als werkgever om dergelijke accounts zo snel mogelijk naar een functioneel mailadres van IT-beheer over te zetten, of op zijn minst zo snel mogelijk per mail of schriftelijk duidelijk te maken dat het account werkgerelateerd is. Krijg je dan gelazer, dan heb je het zo snel mogelijk te pakken. En natuurlijk eis je dat er altijd twéé beheerders zijn, zodat het ontslag van eentje niet zo snel tot problemen leidt.

Arnoud

Een lezer vroeg me:

Recent heb ik mijn ex de deur uit getrapt omdat ze was vreemdgegaan. Wij deelden alles, dus ook telefoonwachtwoorden en zo kwam ik per toeval erachter. Nu heb ik recent per ongeluk nog eens ingelogd op haar Instagram, omdat dit wachtwoord onthouden was door mijn browser. Zij heeft nu aangifte gedaan van stalking en computervredebreuk. Ben ik strafbaar? Zij had toch haar wachtwoord even kunnen wijzigen?

Het is strafbaar als computervredebreuk om opzettelijk en wederrechtelijk binnen te gaan in andermans geautomatiseerd werk (art. 138ab Strafrecht). Per ongeluk ergens inloggen is dus niet strafbaar, omdat dan de opzet ontbreekt.

Het moet wel echt een ongeluk zijn, en een inlog op Instagram gaat volgens mij niet zó zeer automatisch dat je zonder enige bewuste handeling ineens in dat account zit. Misschien als je ingelogd blijven had aangevinkt. In ieder geval heb je de schijn fors tegen, zeker als je meer hebt gedaan dan één pagina openen en zien dat zij ingelogd was en daarna uitloggen.

Daarnaast zit je met die wederrechtelijkheid. Als je ergens mag zijn, dan heb je een recht en dan handel je niet wederrechtelijk. Als je in een relatie alles deelt, en dus ook wachtwoorden en tandenborstels, dan vind ik dat je niet kunt spreken van “wederrechtelijk” inloggen ook al staat het account formeel op naam van je partner.

Dat ‘recht’ om bij elkaars spullen te kunnen, eindigt natuurlijk met de relatie. Dus vanaf dat moment is het weer haar tandenborstel en haar Instagram, en niet meer de jouwe. Je moet er dan vanaf blijven. Dat zij het wachtwoord had kunnen aanpassen is niet relevant, net zo min als ze haar voordeurslot niet verandert – je mag nog steeds niet naar binnen in haar huis.

Arnoud

Wanneer een vrijwilliger uit eigen beweging een Facebookpagina (of groep) aanmaakt, dan is die van hem en niet van de vereniging. Dat maak ik op uit een recent vonnis uit Rotterdam over de beheerrechten (“eigendom”) van een Facebookpagina van een lokale politieke partij. Die had een geschil met een ex-lid die de officiële verenigingspagina en een aanverwante Facebookgroep niet af wilde geven. Alleen als er een expliciete opdracht was, of specifieke afspraken over eigenaarschap, dan kan dat anders worden. Komt er vervolgens een geschil en loopt de ex-vrijwilliger weg met de pagina, dan heb je dus als vereniging geen poot om op te staan.

De politieke partij ONS.Vlaardingen had een conflict met het uit de fractie gezette raadslid Tim Thiel: die weigerde de beheerrechten van de ONS-Facebookpagina’s af te staan. Hij zag deze pagina’s als zijn persoonlijke investering en succes, en weigerde ze af te staan aan de partij. Deze stapte daarop naar de rechter, die nu dus het ex-lid gelijk geeft.

Uit het vonnis haal ik dat de Facebookpagina van de partij in 2014 is aangemaakt ten behoeve van de partij (maar niet door wie). Het ex-lid had in 2017 de Facebookpagina in beheer gekregen, opnieuw vormgegeven en stevig gewerkt aan promotie: het aantal volgers steeg van 340 naar meer dan 2000. Later, in 2018, maakte hij nog een Facebookgroep aan ter ondersteuning van de partijpagina.

Eind 2018 werd hij uit de fractie gezet, waarna men de toegangscodes en beheerrechten van de twee pagina’s opeiste. Na een eerste mail met toezegging gebeurde dat niet, integendeel. De man verwijderde volgers van de pagina om terug te komen naar de 340 originele, veranderde het mailadres, en maakte van de naam van de pagina en de profielfoto iets stekeligs (geen idee wat maar iets met poppenkastpoppen en een sneer naar de fractievoorzitter). Daarna stapte de vereniging naar de rechter.

De vraag is juridisch nog knap ingewikkeld, wat ís een Facebookpagina eigenlijk, juridisch? Je kunt erop afstuderen: is het een overeenkomst van opdracht, een licentie onder Facebook’s gebruiksrechten, een vermogensrecht dat je schept, of ga zo maar door?

De voorzieningenrechter had haast gezien de aard van de zaak, en gaat er dus niet in detail op in. Heel pragmatisch is dan ook de conclusie: degene die een pagina aanmaakt is in beginsel de beheerder (“eigenaar”) van die pagina, tenzij er concrete opdrachten zijn gegeven of je bindend hebt toegezegd deze over te dragen.

Die tenzij gaat op bij de pagina van de partij zelf. Deze is immers in 2014 aangemaakt voor de partij, en pas drie jaar later is het ex-lid gevraagd beheer daarvan te doen. Dat is dus werk in opdracht aan andermans pagina. Of hij zelf auteursrechten kan claimen op zaken daar geplaatst (en daarmee de overdracht of gebruik door de partij kan frustreren) laat de rechtbank even buiten beschouwing.

Voor de groep komt het anders uit. Het uitgangspunt blijft hetzelfde, maar deze groep is op eigen initiatief door het ex-lid aangemaakt, waarbij hij zichzelf als beheerder presenteerde en de groep niet als officieel of namens de partij aangemerkt had. Daarmee is er dan te weinig om te spreken van een groep die eigenlijk van de partij had moeten zijn. Het beheer over die groep hoeft hij dus niet terug te geven, ook niet nu hij uit de partij is gezet.

Ik blijf er op hameren dat als je als vereniging of stichting met vrijwilligers werkt voor je online activiteiten, je maar beter gewoon afspraken met ze kunt maken op papier. Of regel meteen dat een functioneel account (zoals bestuur@ of penningmeester@ of pr@) het beheer heeft op dergelijke pagina’s) zodat een aangewezen vrijwilliger niet met zijn account weg kan lopen met je pagina’s.

Arnoud

Een lezer vroeg me: Bij een webwinkel heb ik gevraagd mijn account te verwijderen, omdat ik er al tijden niets meer koop. Zij weigeren dit met het argument dat de gegevens nodig zijn voor de fiscale bewaarplicht. Klopt dat? Iedere ondernemer is wettelijk verplicht zijn administratie 7 jaar te bewaren, zo omschrijft de Belastingdienst de… Lees verder

Een lezer vroeg me: Wij zijn een clouddienstverlener voor bedrijven. Met enige regelmaat krijgen wij vragen van klanten over logingedrag. Wie logde er na 18 uur nog in, vanaf welk IP-adres is gistermiddag toegang tot de database gezocht en ga zo maar door. Omdat dit persoonsgegevens zijn, wil ik graag weten hoe dat zit onder… Lees verder

Stichting Brein heeft een schikking van 10.000 euro getroffen met een 26-jarige man uit Zwolle, die op zijn website logins verkocht voor verschillende streamingdiensten. Dat meldde Tweakers maandag. De man haalde de data uit uitgelekte databases en verkocht de logins voor een fractie van de prijs van een abonnement. Nu is het natuurlijk computervredebreuk om… Lees verder

Een rechtbank in Duitsland besluit dat de ouders van een overleden tiener geen toegang krijgen tot haar Facebook-account. Dat las ik bij Nu.nl. Het vijftienjarige meisje van wie het account is, overleed in 2012 na aanrijding met een trein. De ouders proberen vast te stellen of het om zelfmoord ging, maar de rechtbank oordeelt nu… Lees verder

Via Twitter kreeg ik de vraag: [V]raag me af of het ook niet gewoon strafbaar is (via gekocht domein www reset en account kapen), @ictrecht? Iets meer achtergrond: het Twitteraccount voor @recensiekoning “keerde terug” met nieuwe eigenaren, waar oude eigenaar Arjan Lubach niet zo blij mee was. Hij had jarenlang een blog onder die naam,… Lees verder

Een lezer vroeg me: Veel leveranciers van mobiele telefoons en tablets verplichten gebruikers tegenwoordig om extra diensten af te nemen, ook als je daar helemaal geen behoefte aanhebt. Zo moet je voor het kunnen gebruiken van een mobiele telefoon die het door Google gemaakte Android draait een account aanmaken bij Google – ook als dat… Lees verder

Apple wilde een weduwe geen toegang geven tot het account van haar overleden echtgenoot, las ik in de AutomatiseringGids. Zij zou een “court order” naar Californisch recht nodig hebben. Zonder zo’n bevel zou haar de toegang tot alle gezamenlijk aangekochte apps en andere content worden ontzegd. Maar hela, ze waren toch getrouwd? Ik heb al… Lees verder