Gordon wil anoniem reageren online onmogelijk maken, maar is dat haalbaar?

| AE 12525 | Uitingsvrijheid | 18 reacties

Zanger en entertainer Gordon is een petitie gestart waarmee hij wil zorgen dat anoniem reageren op internetfora en sociale media niet meer mogelijk is. De SBS-presentator vindt dat mensen een identiteitsbewijs moeten indienen voordat ze een account kunnen aanmaken. “Ik wil ervoor zorgen dat er jurisprudentie komt waar andere collega’s die gestalkt worden of van wie naaktfoto’s worden verstuurd op terug kunnen vallen”, zei hij eerder. Dat gaat nog best eens een probleem worden.

De aanleiding lijkt te zijn geweest dat Gordon een nieuwe televisieserie was begonnen over zijn hondje, dat volgens deskundigen te ziek zou zijn daarvoor. “Wij zien op basis van de vele filmpjes en foto’s dat de fokker van dit hondje zich niet aan alle regels heeft gehouden”, constateert de Hondenbescherming op basis van de voorschriften van de NVWA. Dit gaf vele anonieme commentaren, waarvan een groot deel inderdaad te walgelijk voor woorden is. Bij lang niet alle fora krijgt Gordon daar wat tegen gedaan, en vanwege anonimiteit is het lastig die mensen zelf aan te pakken. Vandaar het plan.

De presentator ziet het als oplossing als mensen niet meer anoniem een online account kunnen aanmaken. Hij stelt bijvoorbeeld voor om inlogs te koppelen aan de DigiD of het BSN. Dat heeft natuurlijk enig effect: wie weet dat zhij te traceren is, zal zich enigszins inhouden bij het doen van al te rare commentaren. Dit zal alleen wel een wetswijziging vereisen: gebruik van BSN voor dit doel – of voorschrijven van DigiD inlog – is niet mogelijk af te dwingen enkel met jurisprudentie. En ook meer algemeen, het eisen dat men de klanten identificeert is iets dat in principe een wet eist.

Je kunt natuurlijk (Lycos/Pessers) eisen dat het platform geeft wat men heeft, zoals het IP-adres. Maar stel nu eens dat ook het BSN of de gegevens van de DigiD-inlog daarbij zitten. Dan heb je toch nog steeds dezelfde route? Je elimineert alleen de tweede stap naar de internetprovider die IP-adres naar abonnee kan vertalen. Heel veel effectiever lijkt me dat niet.

In uitzonderlijke gevallen kun je binnen de huidige jurisprudentie de platformaanbieder aansprakelijk stellen. Het Delfi-arrest uit 2015 bepaalde dat een website die zeer controversiële berichten plaatst en weet dat daar grove, onrechtmatige reacties op gaan komen, zelf aansprakelijk is voor de inhoud daarvan. Wel lijkt het Hof de lat redelijk hoog te leggen: niet bij theoretisch mogelijk strafbare zaken, maar evidente dat-kan-écht-niet doodsbedreigingen en uitspraken die “tegen de menselijke waardigheid” ingaan. Dat lijkt dan aan te sluiten bij de regel die we al kennen bij de Europese notice/takedowns: alleen bij evident onrechtmatige zaken moet je ingrijpen als hoster of beheerder – en nee, niet alleen bij klachten, ook als je er zelf achter komt. Als je het zo bekijkt, dan zegt het Hof dus, je moet je comments gewoon lézen en als je dat-kan-écht-niet zaken ziet, dan moet je ingrijpen. Lees je niet, dan is dat jouw probleem. En Delfi deed weinig, te weinig, om in te grijpen bij dergelijke reacties.

Indirect zou van zo’n aansprakelijkheid een dreiging uit kunnen gaan naar platformeigenaren: als je dát soort troep doorlaat, dan ben je kennelijk zelf aan te spreken, en iemand als Gordon zal dat ook met veel kabaal gaan doen. Dus dan maar beter daarop modereren. Dan krijg je natuurlijk meteen de discussie dat daarmee alle platforms alle negatieve uitingen zullen gaan weren – of stoppen met commentaar in het algemeen – omdat ze niet kunnen modereren op enkel de zeer ernstige gevallen. Ik heb met dat laatste altijd wat moeite gehad. Natuurlijk, vrijheid van meningsuiting is een groot goed maar het soort oprispingen waar we het hier over hebben, zijn die echt niet te onderscheiden van de serieuze kritiek wegens dierenmishandeling die met een tikje emotie wordt geplaatst?

Arnoud

Volgens mij bestaat “echt geanonimiseerde data” helemaal niet bij locatiedata, maar goed

| AE 11846 | Privacy, Regulering | 12 reacties

De Algemene verordening gegevensbescherming (AVG) is niet van toepassing op echt geanonimiseerde data, las ik bij Security.nl. Deze citeert de Europese privacytoezichthouder (EDPS) die daarmee reageert op plannen van de Europese Commissie om mobiele locatiegegevens in de strijd tegen het coronavirus te gebruiken. Het punt is namelijk dat locatiedata van mensen geldt als persoonsgegevens, maar dat je wel die data grootschalig nodig hebt om een goede analyse te doen over verspreidingspatronen en dergelijke. En ja, in de AVG staat dat anonieme gegevens geen persoonsgegevens zijn. Maar het is vrijwel onmogelijk om data echt te anonimiseren. En wie denkt dat hij daarmee bezig is, is vrijwel altijd stiekem aan het pseudonimiseren.

Doel van de gegevensverzameling is verspreidingspatronen van het coronavirus in kaart te brengen. Omdat veel mensen rondlopen met mobiele telefoons, en telecomoperators daarmee in detail van de hele Europese bevolking de gangen kunnen reconstrueren (excuses als u zich nu in de koffie verslikt) is het voor de bestrijding van corona zeer nuttig om deze informatie te verkrijgen. Maar dergelijke gegevens zijn – terecht – in de AVG als persoonsgegevens aangemerkt, en kunnen dus niet zomaar even bijeengeharkt in een mega-Excel bestand (pardon, “in een big data cluster”) worden voor wat dan ook.

De EDPS is de toezichthouder op het equivalent van de AVG voor de Europese instanties. Deze heeft dus een advies uitgebracht dat zegt dat het mag als de data maar écht anoniem is. Want in de AVG (en in dat EU-equivalent) stat dat data die echt anoniem is, geen persoonsgegeven meer is. Nogal wiedes: data is echt anoniem als hij totaal niet meer tot een persoon te herleiden is, en dat is dus precies het tegenovergestelde van de definitie van een persoonsgegeven.

Het punt is natuurlijk dat het vrijwel onmogelijk is om zoiets te doen. Ja, natuurlijk denkt u meteen aan het weghalen van namen en 06/IMEI/sim-nummers maar dát is onder de AVG echt niet genoeg. De AVG noemt dat pseudonimiseren, je vervangt dan een naam door een zelfgekozen label. Maar dat is niet hetzelfde als anonimiseren, want je hebt dan nog steeds een gegeven over een persoon. Je weet alleen niet meer hoe die persoon heet (of je kunt hem niet meer bellen), maar het is nog steeds data over die persoon.

De EDPS geeft niet aan hoe dit probleem op te lossen. Ik zit er zelf ook best wel mee, volgens mij is het hier fundamenteel onmogelijk. Natuurlijk, geaggregeerde patronen zijn anoniem (want gaan niet over individuele personen) maar om die te maken moet je eerst de persoonsgebonden brondata hebben. En tot dat punt zit je dus gewoon met de AVG als telecomoperator. Het enige wat ik kan bedenken is dan ook dat die operators de bronbewerkingen doen en de Europese instanties vanaf daar verder gaan. Maar dat lijkt me minder effectief dan dat één organisatie direct (en alleen voor dit doel) met álle data aan de slag kan.

Arnoud

Websites verantwoordelijk voor reacties anonieme bezoekers

| AE 7758 | Uitingsvrijheid | 35 reacties

Als bezoekers anoniem op een website bedreigingen achterlaten, kan de eigenaar van die website verantwoordelijk worden gehouden voor het verspreiden van die bedreigingen. Dat meldde Nu.nl gisteren in buitengewoon stellige termen: het Europese Hof voor de Rechten van de Mens heeft definitief een einde gemaakt aan een rechtszaak die al negen jaar lang voortsleept, en mogelijk grote gevolgen heeft voor vrijheid van meningsuiting op het internet. En dat allemaal vanwege gescheld op een Estse nieuwssite – Delfi – waar mensen erg boos waren over een brug.

U denkt nu wellicht net als ik: Delfi, die zaak hádden we toch al gehad? Inderdaad had het Europese Hof voor de Rechten van de Mens dit al bepaald, maar nu heeft de Grote Kamer van dat Hof er nog eens naar gekeken en vandaar het ‘definitieve’ karakter van de uitspraak.

Op de nieuwssite kon iedereen reageren op nieuwsberichten, ook anoniem. Een bericht over een bedrijf dat een ijsweg zou gaan aanleggen, gaf grote boosheid: mensen moesten flink gaan omrijden als het bedrijf zijn zin zou krijgen, want de korte autoroute over het ijs werd opgeheven en je moest naar een ver weg gelegen brug of de dure veerpont van dat bedrijf nemen. Een aantal comments ging juridisch echt te ver, en het bedrijf stelde de site dan ook aansprakelijk voor de schade als gevolg van deze bedreigende teksten.

Uiteraard stelde de site niet aansprakelijk te zijn (hoewel ze wel de comments weghaalden, notice/takedown inderdaad), maar daar nam het bedrijf geen genoegen mee. De eis tot schadevergoeding werd toegewezen, waarop de site stelde dat de vrijheid van meningsuiting werd aangetast – als je als site aansprakelijk bent voor comments, dan kun je de comment-tent wel sluiten en dat zal flink wat minder uitingen opleveren.

Het Hof oordeelde in eerste instantie dat een site die anonieme commentaren toelaat, aansprakelijk is voor smadelijke of anderszins strafbare uitingen. Je hebt anders geen enkele optie je schade te verhalen, en dat is niet eerlijk naar de slachtoffers van die uitingen. En die uitspraak wordt nu bevestigd. Een professionele nieuwssite moet gewoon rekening houden met extreme uitingen en deze proactief monitoren.

Maar hoe zit het dan met de wettelijke bescherming voor tussenpersonen? Daar kan het EHRM formeel niets over zeggen, omdat dat een regel uit het EU-recht betreft en geen grondrecht of mensenrecht. Men volstaat dan ook met te zeggen dat een nationale rechter moet bepalen of je een tussenpersoon bent in de zin van de wet, en dat de conclusie van de Estse rechter (nee, want je bemoeit je door achteraf te modereren en een tussenpersoon moet neutraal blijven) dan ook definitief is.

Wel lijkt het Hof de lat redelijk hoog te leggen. Het ging in deze zaak niet om theoretisch mogelijk strafbare zaken, maar evidente dat-kan-écht-niet doodsbedreigingen en uitspraken die “tegen de menselijke waardigheid” ingaan. Dat lijkt dan aan te sluiten bij de regel die we al kennen bij de Europese notice/takedowns: alleen bij evident onrechtmatige zaken moet je ingrijpen als hoster of beheerder – en nee, niet alleen bij klachten, ook als je er zelf achter komt. Als je het zo bekijkt, dan zegt het Hof dus, je moet je comments gewoon lézen en als je dat-kan-écht-niet zaken ziet, dan moet je ingrijpen. Lees je niet, dan is dat jouw probleem. En Delfi deed weinig, te weinig, om in te grijpen bij dergelijke reacties.

Ik snap de overwegingen achter de uitspraak, maar zie ook wel meteen de tegenreactie: nu kun je dus je panelen wel sluiten als site. Dat klopt niet helemaal: de uitspraak is gedaan vanuit de context van een grote commerciële nieuwssite waar men zelf redactionele content plaatst en dan zegt “roept u maar”. Niet iedere site waar gereageerd kan worden:

Accordingly, the case does not concern other fora on the Internet where third-party comments can be disseminated, for example an Internet discussion forum or a bulletin board where users can freely set out their ideas on any topics without the discussion being channelled by any input from the forum’s manager; or a social media platform where the platform provider does not offer any content and where the content provider may be a private person running the website or a blog as a hobby.

GeenStijl is dus wél aansprakelijk voor z’n reaguurders, maar het Nationaal Computer Forum (ik noem maar een dwarsstraat) is dat niet. Hoe het zit bij de forums van bijvoorbeeld Fok, is een leuke. Ik denk dat die ook geen last van het vonnis moeten hebben, omdat die forums voldoen aan de “without being channelled” eis. Maar de reacties op frontpage-artikelen zijn natuurlijk dan wél de verantwoordelijkheid van de exploitant.

Ik ben heel erg benieuwd of dit werkelijk iets aan de praktijk gaat veranderen. Ik lees al veel mensen die roepen “we moeten stoppen met reacties toelaten”, maar dat is echt overdreven. Hooguit kun je overwegen om anonieme reacties te gaan weren. Maar het is echt geen gegeven dat je nu voor iedere comment aansprakelijk bent als een bijdehante advocaat er met een gezochte redenering tot een mogelijk strafbaar grensgeval van kan maken. Je bent aansprakelijk als grote commerciële partij wanneer je keihard strafbare uitingen er doorheen laat én achterover zit als mensen klagen. En die aansprakelijkheid-situatie kan ik ergens wel billijken.

Arnoud

Facebook moet pseudoniemen toestaan in Duitsland

| AE 4853 | Privacy | 17 reacties

De huisregel van Facebook dat je je echte naam moet gebruiken is in strijd met de Duitse privacywetgeving, las ik bij Nu.nl. Facebook meldt het bevel tot aanpassing van de Duitse privacywaakhond (nou ja, die van Schleswig-Holstein) te zullen aanvechten, want de Ierse collega’s hadden eerder nog geen problemen op dit punt bespeurd. Facebook hanteert… Lees verder

Ben ik strafbaar als ik een TOR exit node draai?

| AE 2890 | Ondernemingsvrijheid | 27 reacties

Een lezer vroeg me: Ben ik in Nederland strafbaar, of zou ik er problemen mee kunnen krijgen als, ik een Tor relay/bridge/exit-point opzet vanuit mijn flat? Mag dit van de wet? TOR is een open netwerk voor anonieme communicatie, die werkt volgens het principe van Onion Routing. Heel in het kort: een berichtje wordt niet… Lees verder