Twitch gaat mensen ook voor wangedrag buiten de site bannen

Videostreamingdienst Twitch gaat voortaan niet alleen wangedrag op zijn site aanpakken, maar ook hatelijk gedrag dat buiten Twitch plaatsvindt. Dat meldde Nutech.nl onlangs. Enerzijds kan het dan gaan om intimideren buiten de dienst om naar aanleiding van een gebeurtenis op het platform. Anderzijds denkt men ook aan wangedrag buiten de dienst dat geen verband houdt met een incident op Twitch, maar wat wel een “aanzienlijk risico vormt” voor andere gebruikers. En dat roept natuurlijk de vraag op, mag Twitch zo ver gaan?

Het supersimpele antwoord is natuurlijk: dat mag als ze dat in hun voorwaarden zetten. Maar dan zou dit geen juridische blog zijn. Je kunt namelijk niet zomaar alles in je voorwaarden zetten en verwachten dat dat juridisch blijft plakken. De kern van juridische zaken is dat men redelijk is naar elkaar toe. En is dat wel redelijk, als je twee volkomen losstaande activiteiten (willekeurig voorbeeld, iemand bestormt de wetgevende macht van zijn land in de hoofdstad, en hij streamt Call of Duty gameplay op Twitch) aan elkaar verbindt (je krijgt een ban op Twitch)?

Ik zou zeggen als hoofdregel niet. Als die twee dingen werkelijk niets met elkaar te maken hebben, dan is het niet redelijk dat men de een koppelt aan de ander, zeker niet als daar een ernstige sanctie op volgt zoals een verbanning/verwijdering. Anders gezegd: dan heb je geen belang bij die verbanning, dat heeft niets met jou te maken.

We kennen dit al uit het arbeidsrecht, waar mensen nog wel eens ontslagen worden wegens privéactiviteiten. Of bij onderwijsrecht waar scholieren een sanctie krijgen vanwege iets dat ze buiten schooltijd en/of -terrein doen. Dat kan net zo goed niet om die reden, wat heeft de school dan wel de werkgever te maken met je privé?

Daar is natuurlijk meteen een uitzondering op, en die staat hier ook centraal: als de school, het werk of Twitch er last van heeft. Wat natuurlijk ook zo is als collega’s dan wel andere gebruikers die last ondervinden. Als jij als scholier een medeleerling ’s avonds gaat opzoeken en bedreigen vanwege wat die in de pauze tegen jou zei, dan kan de school natuurlijk wel degelijk handhavend tegen jou optreden. Een werknemer die in privétijd grote ophef veroorzaakt, waardoor de hele werkvloer in rep en roer is, die kan ook een stevig gesprek verwachten met de werkgever.

En idem dus voor Twitch: zoals men in haar blog toelicht, moet je dan denken aan zaken als gewelddadig extremisme, geloofwaardige dreigementen over grootschalig geweld (zoals de in de VS vaak voorkomende mass shootings), seksueel geweld en het lastigvallen of groomen van kinderen. Dat kan dus volledig buiten Twitch plaatsvinden, zoals het voorbeeld van die COD-speler die uitlogt en dan het Capitool bestormt.

Twitch noemt niet letterlijk waarom ze deze keuze maakt, afgezien van mooie woorden over de veilige gemeenschap. Je kunt dan ook twee kanten op: men wil voorkomen dat de ophef over zo’n figuur ook de Twitch-gemeenschap raakt, of men is bang voor de eigen reputatie. Want het is natuurlijk bepaald onprettig om met iemand te spelen die zeer gewelddadig blijkt te zijn. (Ik ben zelf ooit van sportschool gewisseld toen bleek dat twee mede-gymmers betrokken waren bij een roofoverval elders.) Maar natuurlijk komt Twitch ook ernstig negatief in het nieuws “Twitchlivestreamer probeert rechtsstaat omver te werpen” is natuurlijk geen fijne kop.

Dat laatste is natuurlijk voor velen reden om te zeggen dat het niet eerlijk is, maar dan kom ik dus weer terug bij het begin: als je activiteiten zo ver gaan dat je werkgever, je school of dus je gamestreamingdienst er last van krijgt, dan is er gewoon een belang om daar wat aan te doen. Ik zou niet weten waarom die sportschool die twee overvallers nog binnen moet laten, zeker niet als andere sporters dan gaan vertrekken.

Arnoud

Mag een trol eisen dat hij wordt vergeten op een forum?

Naar aanleiding van mijn blog van vorige week over accounts versus bewaarplicht kreeg ik via Twitter de reactie:

Leerzaam! En in de comments ook: recht van betrokkene geldt ook voor een troll. Gegevens laten verwijderen na block, herinschrijven en overnieuw beginnen…. Nooit aan gedacht.

Natuurlijk zullen er na 25 mei de nodige trollen zijn die grappen uit gaan halen met het vergeetrecht onder de Algemene Verordening Gegevensbescherming (AVG of GDPR). Het is immers een sterk recht, en je hoeft geen reden op te geven om vergeten te willen worden.

Echter, het vergeetrecht is niet absoluut. Er zijn situaties waarin je niet vergeten hoeft te worden. En specifiek bij een forumblokkade of ban zie ik die situatie wel. Als je iemand verbant, dan wil je die ban een zekere tijd handhaven. Gedurende die tijd móet je dus onthouden wie de gebande persoon is en met welke persoonsgegevens je hem herkent, anders is handhaving onmogelijk. Dit geeft dan een legitiem belang om die persoonsgegevens te verwerken.

Wanneer een organisatie een legitiem belang heeft om je gegevens te verwerken, kun je geen beroep doen op het vergeetrecht. Juridisch gezien kan een vergeetverzoek namelijk alleen worden ingediend bij gegevens die niet meer nodig zijn voor zo’n belang. (Of bij verwerkingen waarvan de toestemming wordt ingetrokken of die überhaupt niet mochten plaatsvinden, maar dat is hier niet aan de orde.)

Natuurlijk moet het legitiem belang wel opwegen tegen het privacybelang van de trol, pardon de forumgebruiker. Dat is een zorgvuldigheidseis, waarbij de beheerder moet laten zien dat de keuze tot bannen goed onderbouwd is en de banperiode gerechtvaardigd voor het doel. Er zal dus een reglement moeten zijn met wat er wel en niet mag, en iets van een aankondiging met de redenen voor de ban en de periode van de ban. Ontbreekt dat, dan is de ban onrechtmatig en dan zou je wel opheffing daarvan kunnen eisen.

Arnoud

Je mag een kind niet bannen zonder ouderlijke toestemming?!

you-are-banned-permabanEen lezer vroeg me:

Ik beheer een (gratis) online spel en daar zitten regelmatig kinderen op. Prima, maar die misdragen zich soms en dan krijgen ze van mij een tijdelijke en soms een permanente ban. Meestal gaat dat goed, en komen ze met hangende pootjes terug of ze alsjeblieft weer mogen spelen. Alleen nu heb ik er eentje wiens moeder zich boos meldt: alleen ouders zijn bevoegd strafmaatregelen jegens de kinderen op te leggen, en we hadden dus met haar moeten overleggen voor we zoonlief hadden geband. Klopt dat?

Eh, nee.

Wanneer kinderen gebruik maken van diensten van derden, mogen die derden daar huisregels aan stellen, net zo goed als ze dat bij volwassenen doen. En als die huisregels worden overtreden, dan mogen de exploitanten van die diensten gepaste maatregelen nemen, zoals een ban of permaban.

Het is wel zo dat kinderen niet zomaar contracten kunnen sluiten zonder toestemming van hun ouders – tenzij het soort contract normaal is voor kinderen van die leeftijd (art. 1:234 BW). Ook mogen kinderen niet zonder ouderlijke toestemming op diensten die hun persoonsgegevens verwerken (art. 5 lid 1 Wbp). Een argument dat het kind niet gebonden is aan het contract voor die dienst, is dus wel te maken. Alleen: de consequentie is dan dat het kind de dienst niet mag gebruiken, permaban tot je 18e dus.

Ik ken werkelijk geen enkele regel uit de wet die zegt dat een dienstverlener geen maatregelen jegens een kind mag opleggen, aangenomen natuurlijk dat de maatregel op zich redelijk is gezien de overtreding (en in het reglement is beschreven). Ook overleg met de ouders is voor zover ik weet geen wettelijke eis, en ik vind het ook onredelijk om bij een internetdienst te verlangen dat je dat doet als exploitant.

Iemand enig idee waar moeder dit op baseert?

Arnoud

Een permaban voor een betalende speler, mag dat?

you-are-banned-permabanEen lezer vroeg me:

Bij een spel waar ik al jaren speel (tegen betaling) ontdekte ik recent een beveiligingsfout op de server. Hierdoor kon ik snel een heleboel kredieten vergaren en zo mijn voertuig versterken. Echter, gisteren is het beheer hier achter gekomen en ze hebben me nu een permaban opgelegd. Nu ben ik dus niet alleen die kredieten kwijt, maar ook al mijn investeringen én ik krijg het restant van mijn jaarabonnement niet terugbetaald. Mag dat zomaar?

In principe lijkt het me gerechtvaardigd dat men een of andere vorm van straf oplegt als een speler de spelregels schendt. Als iemand bij het voetbal een overtreding van de spelregels pleegt, kan hij het veld uitgestuurd worden. Bij ernstige overtredingen kan hij zelfs een paar wedstrijden op de bank zitten. Dat die speler lidmaatschap betaalt aan de club, doet daar niets aan af. Een reglementaire ban is legaal.

De overtreding zou wel uit de spelregels moeten blijken. Slim opereren binnen de spelregels of bij een ongereguleerd gebied lijkt me niet iets waar je mensen voor behoort te bannen.

Lastiger wordt het bij permabans. Dan wordt in feite de gehele dienstverlening gestaakt, en dat is toch iets ernstigers dan uit een lopend spel geschopt worden of drie wedstrijden op de bank moeten zitten. Permabans bestaan ook in het echte leven, maar zijn daar een zeer zwaar middel. In de gaming-industrie niet. Volgens mij worden er per jaar meer mensen gepermaband uit online spellen dan er voetballers sinds de invoering van het betaald voetbal permanent geschorst zijn.

Mag Dat®? Nou ja, niet zomaar. Allereerst moet er wel ergens een spelvoorwaarde zijn die rechtvaardigt dat je nóóit meer met deze speler zaken wilt doen. Je kunt mensen moeilijk schorsen zonder dat je ergens hebt staan waarom. Heb je geen spelregel dan moet het wel extreem fout zijn wat de speler deed, zeg maar de “ben jij wel goed bij je harses”-toets.

Het is niet zo simpel als “Exploitant mag op ieder moment iedereen permabannen” in je TOS of EULA zetten. Zo’n botte bijl is namelijk in strijd met de wet. Op de zwarte lijst voor algemene voorwaarden staat namelijk:

Bij een overeenkomst tussen een [bedrijf] en een [consument] wordt als onredelijk bezwarend aangemerkt een in de algemene voorwaarden voorkomend beding […] dat de [consument] geheel en onvoorwaardelijk het recht ontneemt de door [het bedrijf] toegezegde prestatie op te eisen.

Een dergelijke permaban-clausule ontneemt je geheel en onvoorwaardelijk het recht om toegang tot het spel te eisen. Immers, als je dat eist, dan zegt de exploitant “permaban, doei” en dan sta je met lege handen. Dat kan dus niet.

Een permabanclausule moet dus ingevuld zijn met enige nuance. Bijvoorbeeld: als u bij herhaling zware overtredingen begaat of andere spelers lastigvalt, dan wordt u er permanent uitgeschopt. Dan heb je een escalatie én een waarschuwing ingebouwd. Dat lijkt me wel redelijk. Er zou wel iets van een discussie of hoger beroep mogelijk moeten zijn. Ook bedingen als “Het beheer beslist wanneer u overlast veroorzaakt” en vooral een onredelijke uitleg daarvan, zijn namelijk juridisch dubieus. Op diezelfde zwarte lijst staat namelijk:

[Het is verboden je TOS zo te schrijven] dat de bevoegdheid van de wederpartij om bewijs te leveren uitsluit of beperkt, of dat de uit de wet voortvloeiende verdeling van de bewijslast ten nadele van de wederpartij wijzigt,

Als je zegt “wij beslissen en u heeft pech, dan sluit je dus de mogelijkheid van tegenbewijs door de wederpartij uit. Dat mag dus niet.

Krijg je je geld terug bij een permaban? Dat lijkt me dan weer niet redelijk. Je beging immers een zware overtreding. Dat je dan je in-game spullen kwijt bent, voelt als een logisch gevolg daarvan. Ook al heb je daar veel in geïnvesteerd. Ik zou dit wel expliciet in de TOS vastleggen, maar ik zie er geen regels tegen.

Voor het restant van je abonnementsgeld ligt dat volgens mij anders. Wat je in feite doet als je “permaban, doei” zegt, is de overeenkomst beëindigen of zelfs ontbinden. In dat geval is er te veel betaald, en ik denk dan ook dat dat gewoon echt moet worden terugbetaald.

In de praktijk werkt dat anders. Ik zie bij allerlei verenigingen dat in de statuten staat “bij schorsing geen restitutie” maar dat gaat over lidmaatschapsgelden, en dat voelt net wat anders dan betaalde abonnementsprijzen. Een lid is wat anders dan een klant. Dus daarom twijfel ik of je je klanten ook mag opzeggen en het geld mag houden als ze zich misdragen.

Arnoud

Mag een forum IP-adressen van een klager matchen tegen zijn gebruikers?

blog-ip-adres.pngVia een lezer (dank) vond ik een interessante discussie bij Tweakers: een bedrijf werd besproken op het forum van de techsite, waarna het bedrijf bij het beheer ging klagen dat er hackpogingen werden ondernomen vanuit Tweakers. Waarop het beheer van Tweakers meldde dat personen die zoiets zouden doen, een ban zouden krijgen. Herrie in de tent natuurlijk, onder meer over de vraag of T.net wel mocht kijken naar IP-adressen die door dat bedrijf waren aangeleverd. En waar stond dat dan in de wet?

De pest met internetrecht is dat er bar weinig concrete aanknopingspunten zijn om een onderbouwde uitspraak te kunnen doen. Zo zijn er eigenlijk geen fatsoenlijke rechtsbronnen die over persoonsgegevens in ICT-security gaan, laat staan zo specifiek als wat hier aan de hand is. Je kunt als jurist weinig meer doen dan speculeren, pardon je deskundige mening geven. Dus nou ja, dat doen we dan maar.

Het bedrijf leverde IP-adressen aan van vermeende kwaadwillenden, en Tweakers bekeek of die IP-adressen op dat moment ook in gebruik waren bij ingelogde gebruikers. Dat is een verwerking van persoonsgegevens, omdat het hier immers gaat om IP-adressen van personen (of proxy’s maar dat terzijde).

De Wbp noemt 6 gronden voor verwerking van persoonsgegevens, waarvan normaal de toestemming en de eigen dringende noodzaak de twee meest relevante gronden zijn. (Een derde is de noodzaak in verband met nakoming overeenkomst, bv. een adres geven aan de post omdat je een bestelling wilt versturen.)

Van een eigen dringende noodzaak is sprake als je een eigen belang hebt dat zwaarder weegt dan de privacy, en waarbij de maatregel die je neemt echt absoluut nodig is om dat belang te dienen. Het kan niet een onsje minder en er is geen alternatief. In principe moet je hierbij een opt-out bieden als dat enigszins te doen is.

Op je site IP-adressen loggen om hackpogingen te signaleren, is wat mij betreft een evident voorbeeld. Het kicken of bannen van je gebruikers wegens overtreding van de gebruiksvoorwaarden lijkt me er ook onder vallen, en wellicht is dat wel te rechtvaardigen als gebruik ten behoeve van nakoming overeenkomst. Het bewijzen van wanprestatie vind ik daar wel onder passen.

(Overigens – maar dit is offtopic denk ik – vind ik niet dat “ik heb geen zin meer in je, ga van mijn server” rechtsgeldig is. T.net heeft een overeenkomst met zijn gebruikers en die mag niet zomaar per direct en zonder grond worden opgezegd.)

Specifiek hier zit het punt dat partij A een persoonsgegeven* verstrekt aan B, waarna B daarmee aan de slag gaat. A heeft een noodzaak (loggen/decteren intruders) en B ook (schorsen van wanpresterende gebruikers) maar mag je die noodzaken combineren?

Ik ben geneigd te zeggen van wel. Als T.net een noodzaak heeft om in te grijpen bij hackpogingen waarbij T.net een wezenlijke schakel was, dan mag ze daarbij ook extern aangedragen bewijs hanteren. Het zou wat gek zijn dat T.net zelf bewijs moet vergaren als een derde klaagt “er hackt iemand vanaf jullie site”. Meer algemeen wil het er bij mij niet in dat een op zich legitieme wet een blokkade zou opleveren voor op zich legitiem gedrag. Wat zou het alternatief zijn, dat T.net zijn gebruikers vraagt “jongens mag ik van jullie nagaan wie er crimineel bezig is ja/nee”?

Arnoud

Moet een forumbeheerder foto’s weggooien als een gebruiker daarom vraagt?

Een jaar geleden blogde ik over de vraag wat een forumbeheerder weg moet gooien als een (ex-)lid daarom vraagt. In de comments vroeg een lezer zich af wat dat nu specifiek voor foto’s betekent. Hij had een lid van zijn forum geband, en die eist nu dat al zijn foto’s van het forum verwijderd worden. Mag het forum dit laten staan, moeten ze de foto’s anonimiseren of is verwijdering nu geboden?

Op grond van de Wet bescherming persoonsgegevens (de “privacywet”) heb je het recht om te verzoeken dat je naam en andere persoonsgegevens uit bestanden worden verwijderd, als deze niet meer “ter zake dienen” zoals de wet dat noemt. Forumberichten en foto’s die daaraan hangen zijn ook persoonsgegevens, omdat ze gekoppeld zijn aan je account. Ook als je echte naam er niet bij staat en ook als je een vaag Hotmailaccount hebt gebruikt en een proxy zodat niemand je IP-adres weet.

De algemene regel die ik vorig jaar blogde, geldt bij foto’s net zo goed als bij tekstuele bijdragen. Een bijdrage moet weg, tenzij er een aantoonbare noodzaak is die zwaarder weegt dan de privacy. Dat zal bij forums de vrijheid van meningsuiting zijn, meer specifiek het belang om een compleet en begrijpelijk archief te kunnen publiceren. Kort gezegd betekent dit dat je niet kunt zeggen “mijn privacy, weghalen”, maar trouwens ook niet dat de beheerder altijd mag zeggen “vrijheid van meningsuiting, het blijft staan”. Er moet een balans worden gevonden tussen de belangen van beide partijen.

Bij forumbijdragen betekent dat in de praktijk dat je berichten moet anonimiseren maar ze niet hoeft te verwijderen. Uitzondering zou een bericht zijn dat inhoudelijk van alles vertelt over de plaatser, bijvoorbeeld een voorstelbericht of een persoonlijke onthulling of berichten over iemands medische situatie bijvoorbeeld. Dergelijke berichten moeten weg op verzoek, behalve in héél uitzonderlijke gevallen waarin de nieuwswaarde zó groot is dat weghalen objectief gezien echt onacceptabel zou zijn. (Ik ben daar nog geen voorbeelden van tegengekomen.)

Anonimiseren van een foto is moeilijker. Moet je dan iemand onherkenbaar maken met een balkje of blurcirkel rond zijn gezicht? Moet je hem eraf knippen?

Bij foto’s roept iedereen natuurlijk ook “auteursrecht”. En ja, dat heeft de plaatser op zijn foto’s. Maar dat heeft hij óók op zijn tekstuele berichten. Door deze te plaatsen heeft hij een licentie (gebruiksrecht, toestemming) gegeven aan de forumbeheerder, en die licentie is niet zomaar in te trekken. Niet bij teksten en niet bij foto’s.

Als in de gebruiksvoorwaarden* komt te staan dat de licentie eeuwigdurend is, dan is die discussie eigenlijk meteen gepareerd. Eeuwigdurend is eeuwigdurend. Maar ook als het er niet staat, is niet gezegd dat de foto’s weg moeten bij beëindiging van de gebruiksovereenkomst. Volgens de Hoge Raad

Als wet en overeenkomst niet voorzien in een regeling voor opzegging, dan is een duurovereenkomst voor onbepaalde tijd in beginsel opzegbaar. De eisen van redelijkheid en billijkheid kunnen meebrengen dat opzegging slechts mogelijk is indien daarvoor een voldoende zwaarwegende grond bestaat.
En die zwaarwegende grond is dan de vrijheid van meningsuiting, waarbij je dan een zelfde soort afweging moet maken als bij de privacywet hierboven. Maar de afweging is dan tussen de auteursrechtelijke belangen van de fotograaf en het belang bij de licentie van het forum. En ik kan me eigenlijk geen auteursrechtelijke belangen voorstellen. Heel misschien als de fotograaf intussen de rechten verkocht heeft of een exclusieve licentie aan iemand heeft beloofd, maar zelfs dan zou ik zeggen, dat is dan zíjn probleem dat hij nu in de knoop komt.

Arnoud<br/> PS: ik durf geen advertentielink meer te zetten naar de generator want de vorige keer dat ik een ADV in de tekst opnam, wilde bijna niemand meer reageren. Was het zó vervelend om die link te zien? Of was het gewoon een saai onderwerp?

Wat moet een forumbeheerder weggooien als je dat vraagt?

delete-user.pngZeer, zeer regelmatig krijg ik vragen van mensen die hun account op een of ander forum verwijderd willen hebben. Of van forumbeheerders die die vraag kregen en niet weten wat ze ermee moeten. Wat kun je eisen dat weg moet, wat mag een beheerder laten staan en wanneer wordt het moeilijk?

Op grond van de Wet bescherming persoonsgegevens (de “privacywet”) heb je het recht om te verzoeken dat je naam en andere persoonsgegevens uit bestanden worden verwijderd, als deze niet meer “ter zake dienen” zoals de wet dat noemt. Forumberichten zijn ook persoonsgegevens, omdat ze gekoppeld zijn aan je account. Ook als je echte naam er niet bij staat en ook als je een vaag Hotmailaccount hebt gebruikt en een proxy zodat niemand je IP-adres weet.

Wanneer zijn je postings niet meer “ter zake dienend”? Dat is een hele lastige. De privacywet werkt dat niet uit, omdat die er vanuit gaat dat dat eigenlijk vanzelf spreekt. Ben je ergens geen klant meer, dan zijn je adresgegevens niet meer ter zake dienend en die moeten dus op verzoek worden verwijderd. En heb je ooit toestemming gegeven om je naam ergens op een lijst te zetten, dan kun je die toestemming intrekken en dan is men in principe ook verplicht je naam te verwijderen.

Bij een forum speelt er meer. Je berichten zijn niet zomaar persoonsgegevens, het zijn óók bijdragen aan een discussie, ze maken deel uit van de gemeenschap die rond het forum is ontstaan. En daarmee gaat er een uitzondering uit de privacywet gelden: wanneer iemand een “eigen aantoonbare noodzaak” heeft om je persoonsgegevens te publiceren, dan kun je geen verwijdering daarvan eisen.

Die noodzaak is bij forums de vrijheid van meningsuiting, meer specifiek het belang om een compleet en begrijpelijk archief te kunnen publiceren. De integriteit van archieven zijn namelijk een essentieel deel van die vrijheid van meningsuiting. En die vrijheid is, net als privacy, een grondrecht. Dat betekent dat je niet kunt zeggen “mijn privacy, weghalen”, maar trouwens ook niet dat de beheerder altijd mag zeggen “vrijheid van meningsuiting, het blijft staan”. Er moet een balans worden gevonden tussen de belangen van beide partijen.

De privacytoezichthouder heeft in hun Richtsnoeren over privacy op internet uitgewerkt hoe die balans er in principe uit zou moeten zien. Kort gezegd komt dit op het volgende neer:

  • Wie op een forum post, geeft daarmee toestemming voor publicatie van de persoonsgegevens die hij in zijn berichten opneemt. Op die grond mag het forum de posts publiceren, verspreiden en archiveren.
  • De toestemming kan op elk moment worden ingetrokken. Het forum moet dan bepalen of ze nog een “eigen noodzaak” heeft om berichten te laten staan. Zo niet, dan moeten de berichten weg.
  • In principe bestaat die eigen noodzaak bij berichten die deel zijn van een discussie, want die discussie wordt anders onbegrijpelijk. Een los berichtje, bv. een tekst op de profielpagina, is geen deel van een discussie en moet dus in principe weg.
  • De naam en contactgegevens moeten echter worden verwijderd, het profiel moet dus worden geanonimiseerd. Men kan “gast” of “verwijderd account” of eventueel “Ex-gebruiker 651” gebruiken om de berichten alsnog een ‘eigenaar’ te laten hebben. Is de naam op zichzelf nieuwswaardig (bv. omdat veel mensen over die gebruiker discussiëren) dan zou de beheerder hiervan kunnen afzien, maar dat moet hij wel onderbouwen.
  • In bijzondere gevallen moeten berichten tóch weg als ze deel zijn van een discussie. Het beste voorbeeld is als er gevoelige medische gegevens in het bericht staan. Het privacybelang weegt dan meestal zwaarder dan de vrije meningsuiting.
  • Als het echter genoeg is om in zo’n geval te knippen in het bericht, dan hoeft het bericht niet weg. Iemand kan dus het feit dat zijn 06-nummer in het bericht staat, niet aangrijpen om het hele bericht weg te krijgen. Vervang gewoon het nummer door 06-********.
  • De bewijslast dat sprake is van een bijzonder geval ligt bij de gebruiker. Bij een verzoek tot verwijdering hoeft de beheerder dus alleen het profiel op te heffen, de gebruikersnaam te vervangen door “Ex-gebruiker 651” en eventuele profielteksten onzichtbaar te maken. Voor andere zaken moet de gebruiker aandragen om welke berichten het gaat, welke bijzondere situatie daar speelt en waarom weghalen belangrijker is dan de integriteit van het forum.

Oh ja, soms zie je dat forumeigenaren in hun huisregels expliciet bepalen dat bijdragen nooit worden weggehaald, of dat je eeuwigdurende toestemming onder de privacywet geeft. Dat kan niet: de privacywet is “dwingend recht” en kan niet via een contract opzij worden gezet. Toestemming kan altijd worden ingetrokken.

Ook fout is wat ik sommige forummers wel zie roepen: dat ze auteursrecht hebben op hun bijdragen en dat ze de licentie bij deze intrekken. Dat je auteursrecht hebt op teksten of foto’s klopt, maar de Auteurswet biedt niet zomaar een mogelijkheid om je licentie in te trekken.

Arnoud

Ik ben verbannen van het forum en dat is oneerlijk!

Zeer, zeer regelmatig krijg ik mails met als strekking “ik ben verbannen op een forum en dat vind ik onterecht”, met vervolgens een hele trits redenen waarom dat onterecht zou zijn. Men had bijvoorbeeld niet gezegd waarom, of niet de eigen huisregels goed gelezen, of de beheerder had wel iets gemeld maar wil niet in discussie over de feitelijke onjuistheden. Of hij trekt niet één lijn, zijn vriendjes mogen wel blijven maar de kritische forummer wordt eruit geschopt.

Een site-eigenaar stelt zijn eigen regels en daarbij mag hij arbitrair kiezen hoe redelijk of fair of makkelijk hij wil gaan werken. Als hij meldt mensen te bannen als ze hem tegenspreken of gewoon vervelend zijn naar zijn oordeel, dan mag dat. En daar heb je je maar bij neer te leggen als deelnemer.

Wél vind ik dat als je huisregels stelt, je als site-eigenaar daar ook naar moet leven. Als je zegt vrije discussie toe te staan en je verwijdert iedereen die je tegenspreekt, dan schend je je eigen regels en dat vind ik niet zomaar kunnen. Huisregels zijn deel van een contract tussen jou en je deelnemers, en dus ook bindend voor jou.

Ik zet daar wel tegenover dat ik veel klagers zie die ik moeilijk serieus kan nemen. Als ik tussen de regels door het gevoel krijg “wat ben jij een trol geweest” of “jamaar dit is gewoon spammen”, dan houdt het voor mij al heel snel op met de juridische analyse. Onredelijk overlastgevend gedrag is eigenlijk altijd wel een reden voor uitsluiting. En op het moment dat mensen beginnen over hun recht op vrije meningsuiting of “leven we nou in Nederland of Noord-Korea” dan ben ik er meteen klaar mee. Nee, je hebt geen recht je mening te uiten op andermans blog op forum.

En dáár weer tegenover staan de forumeigenaren die zich absoluut onredelijk gedragen, van dag tot dag andere regels hanteren, privéberichten lezen of zelfs aanpassen, modder over leden online zetten en zo de sfeer in hun eigen forum verpesten. Ja, dat is buitengewoon frustrerend en ik kan me voorstellen dat je dan kokend in de mail hangt naar een jurist om aan dat onrecht een einde te maken. Maar ja, als zo iemand tegen jou als lid onredelijk is waarom zou ik als buitenstaander dan wél wat kunnen bereiken?

Arnoud

Verwijdering eisen uit de banmanager van een forum

Een lezer vroeg me:

Op een forum waar ik zit, gebruikt men een zogenaamde banmanager. In de banmanager slaat het beheer twijfelachtige posts op van leden die ze vervolgens van het forum zelf verwijderen. Tevens worden waarschuwingen en bans hierin opgeslagen. Tot slot worden ook ip-adressen en andere usernames (‘undercover’s’) hier aan een user verbonden. In hoeverre is het eigenlijk toegestaan om zomaar forumposts van users op te slaan in een database waarin users ze zelf niet meer kunnen zien, editten of verwijderen?

Het lijkt me op zich toegestaan om een database op te bouwen met bewijsmateriaal van uitgedeelde bans. Je hebt als forumbeheerder het recht om bewijs te verzamelen voor je acties. Dat moet je dan ook ergens bewaren, en zo’n database als hier wordt beschreven, lijkt me een prima manier om dat te doen.

Auteursrechtelijk kun je daar niets aan doen, dit valt binnen de licentie die je geeft wanneer je iets plaatst.

De wet bescherming persoonsgegevens zegt dat je het recht hebt om te vragen welke gegevens men van je bewaart (artikel 35 Wbp). Het beheer moet je dus desgevraagd toelichten wanneer je in de bandatabase komt, wat men dan opslaat en wat er met die gegevens gebeurt. Dat zou niet zo’n probleem moeten zijn voor het beheer.

Eisen tot wijzigen of verwijderen kan echter alleen als de gegevens niet meer “ter zake dienend zijn”. In dit geval dient de database als bewijs, en het is niet handig als jij het bewijs over jezelf kunt aanpassen. Die eis gaat dus niet op.

Arnoud

Mag ik een bot voor een online spel maken?

botcraft-wow-spel-online-mmo.jpgEen lezer vroeg me:

Voor een massive multiplayer online strategy game heb ik een nieuwe userinterface ontwikkeld die inlogt (met je normale naam en wachtwoord) op de officiele servers en bepaalde taken in het spel automatiseert. Ik heb deze gemaakt door het netwerkverkeer te observeren, en heb geen code uit de officiële client gebruikt. Nu zie ik dat in de EULA van deze game staat dat je geen bots mag gebruiken, maar is het ook verboden voor mij om bots te verspreiden?

Ik denk niet dat het strafbaar is in de zin dat de politie je arresteert en je de cel in gaat. Wel zou het kunnen zijn dat de dienstaanbieder zegt dat je hen schade berokkent en dat jij die moet vergoeden.

Op zich is het niet verboden software te maken die samenwerkt met andermans software, zolang je geen code overneemt (copypaste of door reverse engineering). Je mag een protocol reverse engineeren en daar dan je eigen client of server voor schrijven, maar niet de client reverse engineeren en klonen. (In de Amerikaanse Glider-zaak ging het erom dat de bot de clientsoftware aanpaste als die in RAM geladen was. Ik vind dat hoogst dubieus als juridisch argument, maar goed dat geldt voor wel meer Amerikaanse zaken.)

Als je software beveiligingsmaatregelen omzeilt, met name als mensen gratis iets kunnen doen dat normaal geld kost, dan ben je mogelijk wel strafbaar. Er zijn regels in de Auteurswet over het omzeilen van kopieerbeveiligingen en ook strafwetten over het omzeilen van een beveiliging voor een betaaldienst.

De aanbieder zou kunnen zeggen dat jouw UI in feite een bot is waarmee mensen valsspelen. Dan kunnen ze je bot bannen. Als dat moeilijk blijkt (omdat jij cloakingtechnieken gaat inbouwen) dan zouden ze kunnen zeggen dat ze nu op kosten gejaagd worden om jouw bot te blokkeren en dat ze die op jou verhalen. Dat kan onrechtmatig zijn immers.

In de praktijk denk ik dat het in Nederland wel meevalt; men blokkeert de bot en gaat over tot de orde van de dag.

Arnoud