Is het verkopen van Netflixaccounts nu ook al auteursrechtinbreuk?

| AE 9592 | Auteursrecht | 11 reacties

Stichting Brein heeft een schikking van 10.000 euro getroffen met een 26-jarige man uit Zwolle, die op zijn website logins verkocht voor verschillende streamingdiensten. Dat meldde Tweakers maandag. De man haalde de data uit uitgelekte databases en verkocht de logins voor een fractie van de prijs van een abonnement. Nu is het natuurlijk computervredebreuk om andermans account te gebruiken, maar daar gaat Brein niet over. Dus is dit nu auteursrechtinbreuk of wat gebeurt hier?

De truc van deze man is op zich vrij simpel. Met de regelmaat van de klok worden accounts of wachtwoorden gelekt, en die blijken dan ook te werken bij streamingdiensten zoals Netflix. Niet iedereen heeft dat door, onder meer omdat je bij dergelijke diensten vaak vanaf meerdere IP-adressen tegelijk ingelogd mag zijn. Een handige jongen kan dan dus op andermans account video’s streamen.

Uit het Tweakersartikel haal ik dat Brein deze aanpak ziet als inbreuk op auteursrecht. Ik dacht eerst het faciliteren of aanzetten van, omdat die mensen die de streams bekijken aan te merken zijn als illegale downloader (downloaden is hetzelfde als streamen, juridisch gezien). Maar dat lijkt het niet te zijn.

In 2014 bepaalde het Hof van Justitie in het Svensson-arrest dat hyperlinken legaal is. Maar ze maakten daarbij een voorbehoud:

Indien daarentegen een aanklikbare link de gebruikers van de website waarop deze link zich bevindt, in staat stelt om beperkingsmaatregelen te omzeilen die op de website waar het beschermde werk zich bevindt zijn getroffen teneinde de toegang van het publiek te beperken tot de abonnees ervan, en aldus een interventie vormt zonder welke die gebruikers niet zouden kunnen beschikken over de verspreide werken, dienen al deze gebruikers te worden beschouwd als een nieuw publiek dat door de houders van het auteursrecht niet in aanmerking werd genomen toen deze toestemming verleenden voor de oorspronkelijke mededeling, zodat de toestemming van de houders vereist is voor een dergelijke mededeling aan het publiek.

Bij het lezen van deze uitleg denk ik in eerste instantie aan het delen van sessie-URLs of iets dergelijks, zodat een ander direct in mijn account terecht komt. Of een deeplink die tevens authenticatie-elementen bevat zodat de aanklikker meteen ingelogd wordt en de beperkte toegang krijgt. Dat is ergens nog wel te begrijpen, als kleine nuance op de hoofdregel “het staat legaal online dus je mag er naar linken”.

Maar Brein gaat verder als ik het goed begrijp: “www.netflix.com” en mijn gebruikersnaam/wachtwoord zijn als combinatie hetzelfde als die “aanklikbare link” die je “in staat stelt om beperkingsmaatregelen te omzeilen”. Daar moet ik toch even mijn wenkbrauwen juridisch van fronsen.

Misschien dat men doelde op het Sanoma-arrest, dat bepaalt dat welbewust linken naar illegaal geplaatste content illegaal is?

Wanneer daarentegen vaststaat dat een dergelijke persoon wist, of moest weten, dat de door hem geplaatste hyperlink toegang geeft tot een illegaal op internet gepubliceerd werk, bijvoorbeeld doordat hij daarover gewaarschuwd is door de auteursrechthebbenden, moet ervan uitgegaan worden dat de verstrekking van die link een „mededeling aan het publiek” in de zin van artikel 3, lid 1, van richtlijn 2001/29 vormt.

Alleen heb je hier hetzelfde probleem: is een websitenaam met login wel hetzelfde als een hyperlink? Ik betwijfel het.

Uiteindelijk is het een schikking, en daar kun je geen juridische argumenten aan ontlenen. En de vraag is wie er zin heeft om hier wél een juridisch argument van te maken. Maar iets rammelt hier. Tim, kom er maar in.

Arnoud

Duitse rechter ontzegt ouders toegang tot Facebook van overleden tiener

| AE 9465 | Contracten | 22 reacties

Een rechtbank in Duitsland besluit dat de ouders van een overleden tiener geen toegang krijgen tot haar Facebook-account. Dat las ik bij Nu.nl. Het vijftienjarige meisje van wie het account is, overleed in 2012 na aanrijding met een trein. De ouders proberen vast te stellen of het om zelfmoord ging, maar de rechtbank oordeelt nu dat zij geen rechten hebben op het account omdat het hier gaat om persoonsgebonden dienstverlening die eindigt met de dood van de afnemer. Pijnlijk, maar wederom: dat krijg je ervan, van die diensteneconomie.

We denken over dingen als accounts vaak als eigendom, als fysieke dingen. Maar gebruik van Facebook is een dienst, en het account is niet meer dan een bioscoopticket: het bewijst dat je recht hebt op gebruik van die dienst.

Er is geen algemene regel dat een contract eindigt met je dood. Je moet echt per type contract gaan kijken wat de wet daarover zegt. In dit geval komen we dan uit bij de overeenkomst van opdracht, en daarover zegt art. 7:410 BW:

De dood van de opdrachtgever doet de opdracht slechts eindigen, indien dit uit de overeenkomst voortvloeit, en dan eerst vanaf het tijdstip waarop de opdrachtnemer de dood heeft gekend.

In principe loopt een Facebook-dienstcontract dus door tenzij in het contract staat dat het eindigt door overlijden van de gebruiker. Echter, de Facebook TOS, het betreffende contract, zegt niets over die situatie. Er is wel een FAQ daarover maar die noemt alleen de opties van omzetten naar een Memorial pagina of het opheffen van een account.

Dat lijkt me dan leidend: de dienst loopt juridisch dus door na overlijden als je de Memorial-optie hebt gekozen, maar wel binnen de daarop van toepassing zijnde beperkingen. De belangrijkste daarbij is dat niemand meer in kan loggen op het account, dus voor toegang tot berichten en dergelijke is dit niet genoeg. Maar zoals wel vaker gezegd: data is niets, dus ook berichten op Facebook niet. Je hebt geen recht op toegang tot die berichten tenzij contractueel afgesproken.

Dus nee, ik zie geen optie voor deze mensen om (naar Nederlands recht) bij die berichten van hun kind te kunnen. Dit is waar een social media testament (een wachtwoordenboekje met “Te openen in geval van mijn dood”) van belang voor is, maar dat is in de relatie ouder-kind denk ik lastig te realiseren.

Arnoud

Een Twitteraccount kapen via een verlopen domein, hoe legaal is dat?

| AE 9350 | Domeinnamen | 38 reacties

Via Twitter kreeg ik de vraag:

[V]raag me af of het ook niet gewoon strafbaar is (via gekocht domein www reset en account kapen), @ictrecht?

Iets meer achtergrond: het Twitteraccount voor @recensiekoning “keerde terug” met nieuwe eigenaren, waar oude eigenaar Arjan Lubach niet zo blij mee was. Hij had jarenlang een blog onder die naam, maar stopte er in 2014 mee. De domeinnaam is toen op zeker moment kennelijk verlopen, en nu was er iemand anders die deze naam wel wat leek, de domeinnaam registreerde en daarmee een password reset kon doen op het bijbehorende Twitteraccount.

Het lijkt me niet strafbaar om een verlopen domeinnaam te registreren en daar dan een vergelijkbare dienst bij op te gaan zetten. Als een domeinnaam verlopen is, dan mag een ieder die opnieuw registreren. Dat er dan nog bezoekers voor de oude site komen, of dat men zo meelift op de bekendheid van de oude site, lijkt mij niet onrechtmatig. Dit is volgens mij niet anders dan een oud V&D-pand huren en er een warenhuis in beginnen.

Het Twitteraccount kapen is dubieuzer. Als je heel formeel gaat doen, dan wordt hier met een truc toegang verkregen tot dat account: je krijgt een password reset gemaild naar dat domein dat je net geregistreerd had, en vervolgens kun je inloggen op dat account. Dat is dan naar de letter van de wet computervredebreuk.

Ik aarzel hier wel een tikje over, zeker in situaties waarin het Twitteraccount net zo ongebruikt blijkt als de site. Het zou dan niet uit moeten maken dat dat Twitteraccount formeel nog steeds actief is. Dat Twitter accounts niet opruimt en domeinnaamregistries wel, moet niet het verschil zijn tussen computervredebreuk en legaal ergens gaan zitten.

Maar ik kan niet ontkennen dat het account actief ís en dat je het dus overneemt van de oude eigenaar. Hooguit zou je dan kunnen zeggen dat wat Twitter betreft de eigenaar de partij is met dat e-mailadres. Dus door dat domein te gebruiken, ben je ook gerechtigd tot het Twitteraccount. Dan is er geen sprake van computervredebreuk, dat is dan gewoon een nieuw slot plaatsen op het door jou gehuurde pand. Maar ook dat voelt wat geconstrueerd.

Arnoud

Ik wil helemaal geen account op mijn telefoon!

| AE 8270 | Contracten, Innovatie | 17 reacties

Een lezer vroeg me: Veel leveranciers van mobiele telefoons en tablets verplichten gebruikers tegenwoordig om extra diensten af te nemen, ook als je daar helemaal geen behoefte aanhebt. Zo moet je voor het kunnen gebruiken van een mobiele telefoon die het door Google gemaakte Android draait een account aanmaken bij Google – ook als dat… Lees verder

Apple geeft weduwe niet zomaar toegang tot digitale aankopen echtgenoot

| AE 8357 | Aansprakelijkheid | 37 reacties

Apple wilde een weduwe geen toegang geven tot het account van haar overleden echtgenoot, las ik in de AutomatiseringGids. Zij zou een “court order” naar Californisch recht nodig hebben. Zonder zo’n bevel zou haar de toegang tot alle gezamenlijk aangekochte apps en andere content worden ontzegd. Maar hela, ze waren toch getrouwd? Ik heb al… Lees verder

Moet een president zijn socialemediaaccounts inleveren na zijn ambtstermijn?

| AE 8294 | Internetrecht | 12 reacties

De Argentijnse president wil haar presidentiële socialemediaaccounts niet inleveren nu ze geen president meer is, las ik bij Vice. De accounts, allemaal iets met @CasaRosadaAR (“roze huis”, de ambtswoning van de president), zijn nu omgezet in een soort van tribute-pagina. De nieuwe president moet nu zijn eigen Twittervolgers en Facebookvrienden gaan werven. Kan dat zomaar?… Lees verder

Een Spotify-account overnemen versus de Wet computercriminaliteit

| AE 8064 | Strafrecht | 15 reacties

Weer een interessante Tweakersdiscussie, ditmaal over een jongen die een Spotify premium account generator gebruikt had dat van een politie-stagiair bleek te zijn. Die wist de jongen te traceren en dreigde met aangifte wegens creditcardfraude. Hoe strafbaar is dat dan, een Spotify-account overnemen? De agent-in-opleiding noemt art. 232 Strafrecht als basis. Dat artikel stelt strafbaar… Lees verder

Zijn webwinkels verplicht een klantaccount te verwijderen?

| AE 6983 | Webwinkels | 11 reacties

Een lezer vroeg me: Zijn webshops verplicht mijn account (inclusief orderhistorie) te verwijderen indien ik daar als klant om vraag? Een account bij een site of dienst is een verzameling persoonsgegevens. Ze bevatten immers gegevens die over de eigenaar gaan: contactinformatie, maar ook gegevens over bestellingen en mogelijk ook betaalinformatie. De Wet bescherming persoonsgegevens bepaalt… Lees verder

Mijn ex-ex-werkgever blijft mijn e-mailadres gebruiken

| AE 6286 | Arbeidsrecht, Beveiliging | 29 reacties

Een lezer vroeg me: Een tijdje geleden ben ik van baan veranderd. Omdat mijn vervanger op het moment van mijn vertrek nog geen email/werkaccount had, heb ik mijn accountgegevens achtergelaten, zodat mijn email gelezen kon worden en mijn bestanden ingezien. Nu zijn we bijna 10 weken verder en mijn account wordt nog steeds actief gebruikt… Lees verder