Tag: Adresgegevens

About Adresgegevens

Subscribe Feeds

Eindelijk! Zzp’ers kunnen straks vestigingsadres afschermen in Handelsregister KVK

Geplaatst op in Ondernemingsvrijheid, 18 reacties

Alle zzp’ers en eenmanszaken kunnen straks altijd hun vestigingsadres volledig laten afschermen in het Handelsregister van de Kamer van Koophandel (KVK). Dat meldde Security.nl vorige week. Minister Adriaansens van Economische Zaken heeft een Kamerbrief hierover naar de Tweede Kamer gestuurd. Het is vele, vele ondernemers (waaronder mijzelf) al jaren een stevige doorn in het oog dat je als zelfstandige je huisadres moet opgeven, helemaal omdat dat óók nog vrijelijk wordt doorverkocht.

Een van mijn eerste gastposts betrof precies dit onderwerp. Ook toen al stond in de publiciteit dat er in KvK-gegevens gehandeld werd. De KvK wist de hartekreet van de gastposter mooi bureaucratisch te pareren:

Het handelsregister is een openbaar register dat door derden geraadpleegd kan worden. Derden die het handelsregister raadplegen kunnen wij niet beletten om die openbare gegevens in hun bestand op te nemen.
Het oorspronkelijke idee van het handelsregister was natuurlijk een betrouwbare plek te hebben waar je bedrijfsinformatie kon vinden. Handig als je officiële brieven naar ze wil sturen, of ze wilt aanklagen of iets in die richting. Want, zo staat in de wet, het adres in het handelsregister is het juiste – als je dat dagvaardt dan zit je goed, ook al is de ondernemer verhuisd.

Aandacht voor privacy was nooit echt een ding. Het handelsregister van de Kamer van Koophandel en Fabrieken is uit 1921. Veel bedrijven hadden een vestiging (los van het woonadres van de directeur), en de zelfstandigen zonder personeel hadden vaak ondernemingen aan huis dus dan is het niet erg als iemand weet waar je huis woont, zeg maar. En voor de meer artistieke beroepen – zoals fotografen of tekstschrijvers – was er heel lang geen inschrijfplicht.

De opkomst van internet en datahandel heeft dit alles fors veranderd, sprak hij met typische juristenclichés. Mensen ontdekten eerder dat er gouden handel in adresgegevens zat dan dat de betrokkenen ontdekten wat voor risico’s dat met zich meebracht. En tegen de tijd dat dat laatste aandacht kreeg, was het al te laat: “wij doen dit al jaren en we verdienen er goud geld mee” is klaarblijkelijk een juridisch argument.

Nu gaat dit toch veranderen door een standaard afscherming, waarbij wel de mogelijkheid open blijft voor deurwaarders, advocaten en vergelijkbaren (de details zijn nog niet duidelijk) om bij een concrete aanleiding de gegevens op te vragen. Het zal wel nog even duren, getuige zinnen als “te komen tot een beleidskader voor integer gebruik van de Handelsregistergegevens voor de samenleving.” Maar toch.

Arnoud

Mag je met ‘lead forensics’ websitebezoekers opsporen en nabellen?

Geplaatst op in Privacy, 25 reacties

blog-ip-adres.pngEen lezer vroeg me:

Onlang werden wij benaderd door een bedrijf dat “Lead forensics” aanbood. Daarmee kon je heel gedetailleerd (met naam adres en telefoonnummer) zien welke bezoekers er op je site komen, zodat je concreet geïnteresseerden (leads) kon nabellen of mailen als ze direct wat bestelden. Klinkt interessant maar mag dat wel van de privacywet?

Ik had er nog nooit van gehoord, maar Lead Forensics is een dure naam voor het opzoeken van contactgegevens op basis van bezoekersgegevens. Men kan bv. aan een IP-adres zien dat de bezoeker van een bepaald bedrijf afkomstig is, als het bedrijf surft vanaf een IP-range waar de bedrijfsnaam aan gekoppeld is. Vervolgens is het een kwestie van bedrijfsgegevens opvragen bij bijvoorbeeld de Kamer van Koophandel of gewoon de WHOIS en dat tonen.

Uiteraard is een voorwaarde dat de klant afkomstig is van zo’n bedrijfs-IP-adres (Ruud, help, hoe schrijf je dat?). Bij mijn bedrijf is dat niet zo, wij hebben gewoon een generiek UPC IP-adres (upcipadres? argh!) maar bij grote clubs (bv. Philips of Shell) is dat wel zo. Dus daar kan deze technologie nuttige informatie opleveren.

Afijn, dan heb je zo’n IP-adres en dan zoek je de bedrijfsnaam erbij. Daarna gaat men spitten in de KVK of andere openbare bronnen om tot contactgegevens te komen, en dan kun je gaan bellen of mailen om een concreet geïnteresseerde te benaderen met een interessant voorstel. “Dag, ik zag u rondkijken op onze site, met name onze FAQ las u met interesse, en nu heb ik een whitepaper dat alles in één keer beantwoordt, mag ik dat toesturen”. Of zoiets. Ik zou er redelijk van opkijken als ik dat hoorde.

Of dit mag, betwijfel ik. Het combineren is één ding, mensen gaan bellen iets anders. Je mag in Nederland niet ongevraagd mensen commercieel bellen, in ieder geval niet zonder het Bel-me-niet register te raadplegen. Maar dat geldt alleen voor natuurlijke personen, niet voor bedrijven. (Hoewel ik me wel afvraag hoe ver je komt als je een philips.com IP-adres ziet en dan 0900-2021177 gaat bellen om de lead binnen te halen.)

Bedrijven máilen is een groter probleem. Zo’n leadmailtje heeft een duidelijk commercieel oogmerk, en dat stuur je ongevraagd naar een persoon of bedrijf. Dat mag niet van de spamwet (art. 11.7 Telecommunicatiewet) aangezien je geen specifieke toestemming hebt gekregen om dat te doen. Het bezoeken van je website* is niet genoeg om als specifieke toestemming voor reclamemailings te tellen.

(*Off-topic: reclamemailtoestemming is juridisch hetzelfde als cookietoestemming. Iedereen die dus pleit voor “mijn site bezoeken is toestemming voor cookies” pleit dus ook voor “iemands site bezoeken is toestemming voor reclame mailen als men dat in datgrijze balkje erbij zet”.)

Maar oké, als je het enkel gebruikt om te zien welke bedrijven langssurfen en je gaat niemand contacteren, dan is het denk ik legaal. Maar waarom zou je?

Arnoud

Brein wint zaak over naw-gegevens van e-paymentprovider

Geplaatst op in Intellectuele rechten, Ondernemingsvrijheid, 14 reacties

betalen-payment-provider.pngStichting Brein heeft een rechtszaak tegen Techno Design gewonnen, meldde Tweakers gisteren. Techno Design, bij trouwe lezers bekend van de ZoekMP3-zaak, blijkt tegenwoordig een digitale betalingsprovider en leverde diensten aan torrentsite www.greece-forever.info. Brein wilde – en kreeg – de NAW-gegevens plus IP- en bankrekeningnummers van de contractspartij.

OMGWTFBBQ persoonsgegevens privacy verwacht u misschien nu te horen. Nou nee. Het vonnis is juridisch volstrekt in lijn met wat de Hoge Raad in Lycos/Pessers bepaalde: als je identificerende gegevens van iemand hebt, en die iemand handelt onrechtmatig tegenover een derde, dan kan je verplicht zijn die gegevens af te geven aan die derde.

Daar zit wel een privacytoets op, maar die valt in dit geval vrij eenvoudig in het voordeel van Brein uit. De torrentsite is een bedrijf, en bedrijven moeten sowieso van de wet al hun adresgegevens op hun site zetten (art. 3:15d BW). Er is dus geen reden om anoniem te mogen blijven.

De zaak is wel opmerkelijk omdat deze eis van Brein in september de nodige ophef veroorzaakte. Brein had toen gemeld dat ze een paymentprovider hadden overtuigd, maar Techno Design sprak dat tegen. Brein zou tegen de afspraken in publiek zijn gegaan over een vrijwillige afgifte en directeur Dros meende dat Brein “gewoonweg procedures wil voeren en media-aandacht wenst te krijgen”. Volgens Brein lag dat volstrekt anders en was de procedure noodzakelijk.

Op zich ben ik dus totaal niet verrast door deze uitspraak. Je kunt je nog afvragen welke partijen nu nog meer in aanmerking komen voor deze medewerkingsplicht: de domeinnaamhouder natuurlijk ook, en waarschijnlijk ook de accessprovider via wiens netwerk de site wordt beheerd. Maar wie leveren er nog meer relevante diensten?

Wel blijft lastig dat de Lycos/Pessers regels niet eisen dat de rechter er tussen moet gaan zitten. De persoon met de gegevens moet zélf beoordelen of aan de toets is voldaan. Maakt hij die afweging verkeerd, dan handelt hij onrechtmatig en moet hij de schade vergoeden die de derde lijdt door het niet krijgen van de gegevens. In het geval van Techno Design komt dat neer op ” 1.466,81 aan advocaatkosten, maar ik zie het wel gebeuren dat een rechthebbende een concrete schadepost neerlegt.

(Ik weet niet of ik liever een gerechtelijke toets heb elke keer; in theorie is dat perfect natuurlijk maar de rechtbank zit al zo verstopt.)

Arnoud

Ziggo hoeft uploadende gebruiker toch niet te identificeren bij videosite

Geplaatst op in Ondernemingsvrijheid, 34 reacties

Internetprovider Ziggo hoeft bij nader inzien de persoonsgegevens van een illegaal uploadende klant toch niet af te geven aan videosite 123video.nl. In hoger beroep heeft het Gerechtshof het vonnis van november vorig jaar waarin dat werd bepaald, vernietigd. De videosite (die ruzie heeft met Kim Holland over die filmpjes) had dit pas mogen eisen als er echt geen andere manier was om de naam- en adresgegevens van de uploader te achterhalen.

123video had internetprovider Ziggo gedaagd omdat zij zelf was aangeklaagd door Kim Holland vanwege illegaal geüploade filmpjes. Via het IP-adres had men achterhaald dat de uploader destijds van Ziggo gebruik had gemaakt. Men wilde van Ziggo weten wie deze persoon was, zodat men hem “in vrijwaring kon oproepen” oftewel op laten draaien voor die schadeclaim. Formeel biedt de wet geen grond voor zo’n identificatie, maar in het arrest Lycos/Pessers heeft de Hoge Raad toch een mogelijkheid gecreëerd.

De HR stelde daarbij wel een paar strenge eisen, met name dat “aannemelijk is dat er in het concrete geval geen minder ingrijpende mogelijkheid bestaat om de NAW-gegevens te achterhalen”. In latere rechtspraak (bijvoorbeeld de rechtbank in BREIN/UPC) werd die eis heel wat losser geformuleerd:

Ten eerste moet daarvoor voldoende aannemelijk zijn dat sprake is van inbreukmakend (onrechtmatig) handelen van de desbetreffende abonnees en ten tweede dient buiten redelijke twijfel te zijn dat degene(n) van wie de identificerende gegevens ter beschikking worden gesteld ook daadwerkelijk degenen zijn die zich aan dit handelen schuldig zouden hebben gemaakt.

Ook in het 123video-vonnis werd op deze manier geoordeeld (zie rechtsoverweging 4.3). Maar het Gerechtshof fluit de rechtbank nu expliciet terug – die afweging over alternatieve identificatiemogelijkheden is wel degelijk essentieel. Zowel het belang van 123video om te weten wie haar die schadeclaim bezorgde als het belang van Ziggo om de privacy van haar klanten te beschermen is belangrijk, en daarom moet er elke keer een nauwgezette afweging van alle betrokken belangen worden gemaakt.

In dit geval valt de afweging in het nadeel uit van 123video, omdat de site te weinig heeft gedaan om langs andere weg de identiteit van de uploader te achterhalen. Zo had 123video ook de provider van het opgegeven e-mailadres kunnen verzoeken om de gebruiker te identificeren (ja dat zeggen ze écht) en hadden ze ook uit de e-mails met de gebruiker zelf wellicht zijn naam en geboortedatum kunnen achterhalen. Daarmee had een beetje gerechtsdeurwaarder al kunnen vinden waar deze gebruiker woonde, zodat het niet nodig was Ziggo lastig te vallen met een identificatievraag op basis van IP-adres.

Een beetje gekke overweging wel. Is het écht zo veel logischer dat je afgaat op de gebruikersnaam, geboortedatum en e-mailadres bij registratie in plaats van op het IP-adres dat je logde tijdens de upload? En hoe foutgevoelig is het als je op die basis gaat dagvaarden via gespit in de gemeentelijke basisadministratie?

Ik waardeer het dat het Hof de privacy van de gebruiker zwaar laat wegen maar dit lijkt me toch een wat misplaatst moment. Ik had liever een uitspraak gehoord of het wel redelijk is dat je een consument-gebruiker in vrijwaring mag oproepen.

Arnoud

Afgifte persoonsgegevens door providers toegestaan, maar niet zomaar

Geplaatst op in Intellectuele rechten, Privacy, nog geen reacties

Europese landen mogen geen ongenuanceerde regels hanteren dat internetproviders persoonsgegevens van klanten altijd moeten afgeven bij rechtszaken, zo oordeelde het Europese Hof van Justitie gisteren. Een instantie als BREIN, of iemand die zich beledigd voelt, heeft dus niet per definitie recht op persoonsgegevens van een klant. Zij zal moeten aantonen dat afgifte gezien de specifieke omstandigheden van de zaak echt noodzakelijk, redelijk en proportioneel is.

Voor Nederland betekent dat dat er niets verandert aan de huidige praktijk. Bij ons moeten providers persoonsgegevens van klanten afgeven wanneer deze mogelijk iets illegaals doen en er geen snellere manier is om achter klantgegevens te komen. Dat blijkt uit het arrest HR Lycos/Pessers, waarin provider Lycos de persoonsgegevens moest afgeven van de klant die Pessers beledigd en besmaad zou hebben.

De HR oordeelde destijds dat afgifte niet altijd moest, maar alleen als de rechter

een nauwgezette afweging [heeft] gemaakt van alle betrokken belangen, waaronder het belang van de bescherming van de persoonlijke levenssfeer van de websitehouder (r.o. 5.4.3).

En dat is precies het soort afweging die het Europese Hof nu zegt dat je moet maken. De HR haalde dit uit art. 8 sub f van de Wet Bescherming Persoonsgegevens, en die WBP is de implementatie van de Europese privacywetgeving.

Hoewel de meeste media het gelijk hebben over “muziek uitwisselen mag nu anoniem”, is dit arrest niet speciaal voor filesharing. Het gaat om de vraag of iemand, ongeacht onderwerp, de persoonsgegevens van een klant van een provider mag eisen omdat hij die klant een proces wil aandoen. Dat speelt vaak bij filesharing, maar ook bij smaad, schending van portretrecht en andere onrechtmatige dingen is deze vraag relevant.

De aanleiding voor de zaak was een Spaans geschil over illegale muziekverspreiding via KaZaA. Promusicae, zeg maar de Spaanse BREIN, had bij de Spaanse rechter de persoonsgegevens opgeëist van een klant van internetprovider Telefónica. Deze weigerde dat met een beroep op de Spaanse privacywetgeving. Omdat zowel de wetgeving over auteursrecht als die over privacy uit Europese richtlijnen komt, en op dit punt dus een botsing ontstond tussen Europese regels, stelde de Spaanse rechter een zogeheten prejudiciële vraag aan het Europese Hof van Justitie over hoe deze wet nu moet worden uitgelegd.

De Spaanse rechter krijgt de bal nu dus netjes terug en moet gaan afwegen of het echt de beste oplossing is als Telefónica nu de persoonsgegevens afgeeft aan Promusicae. In het geval van Lycos/Pessers bleek dat achteraf trouwens niet zo zinvol: de beledigende klant bleek vervalste persoonsgegevens opgegeven te hebben.

Remy Chavannes wees al eerder op het lastige aan zo’n belangenafweging. Wat vaak gemist wordt, is

(…) het bredere belang om niet lichtvaardig te worden geconfronteerd met informatieverstrekkingsverzoeken van beweerdelijk beschadigde derden. Dergelijke verzoeken brengen immers onderzoeks- en juridische kosten met zich mee, terwijl de beslissing om al dan niet te voldoen aan het verzoek steeds juridische en publicitaire risico’s met zich brengt

Ziijn voorstel voor een John Doe procedure is m.i. een betere oplossing.

Via Volledig bericht, pardon Boek 9.

UPDATE: zie ook de blog van Lex Bruinhof die tot dezelfde conclusie komt.

Arnoud

Moeten providers hun klanten (kunnen) identificeren?

Geplaatst op in Ondernemingsvrijheid, 1 reacties

“Het einde van anonimiteit op internet!” Arnout Veenman is geschrokken van Tim Kuik’s opmerkingen over anonieme klanten van internetproviders. Die verklaarde eerder dat providers aansprakelijk zijn wanneer ze geen of onvolledige adresgegevens van hun klanten kunnen afgeven. Veenman:

Stel dat Tim Kuik nou gelijk heeft, dan zouden YouTube, ISPam.nl, RapidShare en elke andere website waar gebruikers zonder sluitende controle van de naw-gegevens, aansprakelijk zijn voor alles wat hun bezoekers via hun website op internet plaatsen.

Ik schreef al, ik heb kennelijk een nieuwe collegebundel nodig want waar staat dat in de wet? Het Burgerlijk Wetboek kent namelijk alleen een plicht voor providers om materiaal te blokkeren (of verwijderen) wanneer hij weet of hoort te weten van het onrechtmatige karakter daarvan. Zo staat het ook in de Europese e-commerce Richtlijn.

De achterliggende gedachte hier was simpel: het maakt niet uit wie de informatie plaatste, als je weet van het onrechtmatig karakter moet je het weghalen. Providers kunnen vooraf of achteraf de klant informeren, en eventueel contractueel met de klant afspreken wie de schadevergoeding betaalt als ze het materiaal laten staan. De Richtlijn regelt dit met opzet niet, omdat deze algemene regels wil bieden “waarop sectorale overeenkomsten en normen kunnen worden gebaseerd.”

Wel blijft het voor de rechter mogelijk om “maatregelen ter beëindiging of voorkoming van een inbreuk” op te leggen, ook als die niet expliciet in de Richtlijn staan. Daaronder zou je ook het verstrekken van NAW-gegevens kunnen rekenen. Met NAW-gegevens kan de rechthebbende een zaak aanspannen tegen de inbreukmaker en een verbod met dwangsom eisen, zodat de inbreuk stopt.

In Nederland is in de Lycos/Pessers zaak uitgemaakt dat zo’n maatregel inderdaad opgelegd kan worden:

Daarnaast kan dan onder omstandigheden tevens een vordering jegens de serviceprovider tot bekendmaking van de NAW-gegevens van de websitehouder toewijsbaar zijn, met name indien bij die vordering een voldoende zwaarwegend belang bestaat.

Deze verplichting staat dus los van de regels uit de Richtlijn, en wordt opgehangen aan het kapstok-artikel over onrechtmatige daad. Je mag iemand niet nodeloos schade berokkenen, en doe je dat toch, dan moet je die vergoeden. Dus zomaar “nee” zeggen als iemand NAW-gegevens aan je vraagt, kan onder omstandigheden onrechtmatig zijn.

Maar dat zegt alleen dat een rechter kan beslissen dat de provider NAW-gegevens moet afgeven. Niet dat een provider NAW-gegevens moet hebben zodat ze kunnen worden afgegeven. Wat je niet weet, kun je niet afgeven.

In een andere Richtlijn, 2004/48 staat wel een expliciete regeling over het afgeven van NAW-gegevens:

de bevoegde rechterlijke instanties [kunnen] op gerechtvaardigd en redelijk verzoek van de eiser gelasten dat informatie over de herkomst en de distributiekanalen van de goederen of diensten die inbreuk maken op een intellectuele-eigendomsrecht, wordt verstrekt door de inbreukmaker en/of door een andere persoon die (…) op commerciële schaal diensten die bij inbreukmakende handelingen worden gebruikt, blijkt te verlenen

Alweer: als je ze hebt, en er is een zwaarwegend belang, dan moet je ze afgeven. Duidelijk. Maar moet je ze verzamelen? Dat zie ik nog steeds nergens staan.

In het bovenstaande komt één ding steeds terug: het gaat om een belangenafweging en een redelijkheidstoets. Welk belang heeft de eiser bij de gegevens, en hoe redelijk is het om te eisen dat een provider die afgeeft?

Ik denk daarom dat je niet kunt concluderen dat alle providers altijd alles van hun klanten moeten weten. Van een provider die een betaalde dienst levert, mag je verwachten dat zijn administratie redelijk op orde is. Daar is zo’n bevel tot identificatie dus mogelijk, aangenomen dat de privacy van de klant er niet onredelijk door geschaad wordt.

Voor dienstverleners zoals Youtube zou het betekenen dat ze een volledige administratie moeten opzetten van alle gebruikers, en ook nog eens een systeem om te controleren dat die administratie klopt. Dat lijkt me buiten alle proporties.

Bovendien werkt het systeem van de e-commerce richtlijn al goed genoeg: bij klachten weghalen of blokkeren. Dat lost ook het probleem van de klager op, en het is een stuk eenvoudiger voor de provider.

Arnoud