Internetrecht door Arnoud Engelfriet

Een lezer vroeg me:

Ik ben eigenaar van een website en wil vanwege mijn privacy en veiligheid niet met mijn echte voor- en achternaam bekend zijn bij mijn klanten. Ik communiceer dus onder een alias. Bijkomend voordeel is dat mijn collega en ik zo elkaars communicatie kunnen overnemen. Maar is dat wel rechtsgeldig? Ik las ergens dat je officiële stukken (zoals contracten?) moet tekenen met je volledige echte naam.

Bij sommige officiële stukken moet dat inderdaad, maar dan gaat het echt over diploma’s of aanvragen bij de overheid. Bij het rechtsverkeer tussen burgers onderling (zoals dat zo mooi heet) geldt een dergelijke eis niet.

Sterker nog: het is niet eens verplicht dat je weet hoe je wederpartij heet, en je voorstellen is ook niet verplicht. In veel branches wordt dat als netjes gezien, en het kan raar overkomen om te ontdekken dat je zaken doet met iemand die onder een alias werkt, maar zeker op internet heb je toch geen manier om dit te ontdekken.

Daar komt bij dat je vaak geen zaken doet met die persoon, maar met het bedrijf achter die persoon. De naam van de werknemer dóet er dan niet toe. Zelfs als je elk bericht van een andere werknemer krijgt, dan nog hangt het bedrijf gewoon aan de uiteindelijk tot stand gekomen afspraak.

Een issue kan zijn of de werknemer het bedrijf wel mag vertegenwoordigen. Dit is te achterhalen via de KVK, maar dat is zo’n plek waar dus wél officiële namen moeten staan. In de praktijk doet echter geen hond zo’n controle (behalve advocaten en notarissen die alles gecheckt willen hebben) en wordt er gewerkt met de vertrouwensregel: als het bedrijf redelijkerwijs de indruk wekt dat deze werknemer dit mag doen, dan zit het bedrijf eraan vast ook al stond die werknemer niet bij de KVK als bevoegd persoon.

Ik zou zeggen dat als je mailt met iemand achter een bedrijfsmailadres en die persoon gaat vrolijk de onderhandelingen en dergelijke met je aan, je wel mag verwachten dat het bedrijf dit goed vindt. En als het gaat om klantenservice en dergelijke (want je bestelt gewoonlijk via een automatisch proces) dan is de kwestie van vertegenwoordiging al helemaal minder relevant.

De chatapp WhatsApp heeft een rechtszaak verloren van de Autoriteit Persoonsgegevens, de Nederlandse privacywaakhond. Dat meldde Nu.nl gisteren. Op straffe van een dwangsom van 10.000 euro per dag moet het bedrijf een vertegenwoordiger aanstellen in Nederland. Want hoewel het bedrijf in de VS zit en geen servers en dergelijke in Nederland heeft staan, valt men toch onder de Nederlandse Wbp.

WhatsApp en de toezichthouder liggen al een tijdje in de clinch over naleving van de Wbp. In november 2015 werd een besluit opgelegd waarin WhatsApp onder meer toezegde hashing te gaan gebruiken zodat ze alleen nog gegevens kon matchen van gebruikers onderling, en niet meer tevens van niet-gebruikers. “WhatsApp betwist de bevoegdheid van het CBP, maar heeft wel meegewerkt aan het onderzoek” stond er dan omineus in het persbericht, en nu zien we dat men die betwisting heeft doorgepakt, maar zonder succes.

Het lijkt een formeel puntje. Een bedrijf dat buiten Europa gevestigd is en persoonsgegevens van Nederlanders verwerkt, moet een vertegenwoordiger aanstellen (art. 4 lid 3 Wbp). Het idee daarachter is dat je als Nederlands burger dan makkelijker klachten en claims kunt indienen bij dat bedrijf.

WhatsApp had nooit zo’n vertegenwoordiger gesteld, ik vermoed omdat ze vonden dat ze überhaupt niet onder Nederlands recht vallen (als ze daar al ooit van gehoord hadden, Nederland is de hoofdstad van Denemarken, toch?). Maar de rechtbank bevestigt nu dat dat toch echt moet. Het juridische argument dat onze wet in strijd is met de Privacyichtlijn uit 1995 (omdat het tekstueel niet 100% matcht) gaat van tafel, de Nederlandse regels zijn een prima invulling van de Richtlijn.

Belangrijker vind ik echter het onderliggende punt: WhatsApp valt onder de Wbp, hoewel ze hier geen vestiging of server hebben. Dit vanwege artikel 4 lid 2 Wbp:

Deze wet is van toepassing op de verwerking van persoonsgegevens door of ten behoeve van een verantwoordelijke die geen vestiging heeft in de Europese Unie, waarbij gebruik wordt gemaakt van al dan niet geautomatiseerde middelen die zich in Nederland bevinden, tenzij deze middelen slechts worden gebruikt voor de doorvoer van persoonsgegevens.

Je zou denken dat dat gaat over servers en zo, maar de AP zegt nu – met instemming van de rechtbank – dat dit óók gaat over smartphones. Niet heel verrassend, de Artikel 29-Werkgroep had dat al in 2013 gesteld, maar het is nu door de rechter bevestigd.

Misschien een tikje gek, want die smartphones zijn toch uitsluitend voor persoonlijk gebruik door de consument-eigenaren? Klopt, maar de WhatsAppapp doet meer, die stuurt immers data door naar WhatsApp het bedrijf in de VS die er meer mee doet. Zoals dus dat matchen. En daarom kan WhatsApp niet zeggen dat ze slechts een faciliterend bedrijf (‘bewerker’ in het jargon) is voor de consument.

Ik moest glimlachen bij het verweer “Het is eiseres niet gelukt om een commerciële partij te vinden die een dergelijk risico wil aanvaarden.” Want die vertegenwoordiger is dus aansprakelijk voor alle claims en boetes die WhatsApp veroorzaakt, en je zou dus wel gek zijn. Maar, zo merkt de rechtbank ook op, je kunt als vertegenwoordiger prima afspreken dat WhatsApp je schadeloos stelt bij deze claims. Dus nee, ook dat is geen argument.

Alles bij elkaar een best belangwekkende uitspraak, want dit geldt niet alleen voor WhatsApp. Iedere app-exploitant die gebruikerspecifieke data naar de VS laat sturen, is nu verplicht zichzelf in Europa daar verantwoordelijk (en aansprakelijk) voor te stellen.

Arnoud

Een Franse Facebook-gebruiker wiens account werd geblokkeerd na het plaatsen van een naaktafbeelding, mag het sociale netwerk in Frankrijk voor de rechter slepen. Dat meldde Nu.nl vorige week. Facebook had in eerste instantie gesteld dat alleen de Californische rechter bevoegd is zo’n geschil te horen, omdat dat nu eenmaal in de TOU staat. Maar de Franse hogerberoeprechter oordeelt anders.

De gebruiker is een Parijse leraar die linkte naar een artikel over de schilder Gustave Courbet, en daarbij een foto van een naaktschilderij toonde. Facebook zag dit als overtreding van de TOU en blokkeerde zijn account. De leraar maakte bezwaar, wat uiteraard weinig uithaalde, en stapte naar de (Franse) rechter.

Daar was Facebook het mee oneens: in de Terms of Use van het netwerk staat duidelijk dat alleen de Californische rechter bevoegd is bij geschillen. Maar zowel in eerste instantie als in hoger beroep veegt de Franse rechter dat van tafel. In het Europese consumentenrecht is het een vrij uitgemaakte zaak dat je de toegang tot jouw rechter niet kunt ‘wegtekenen’ met een contract. De rechtbank voor jouw woonplaats is eigenlijk altijd bevoegd. En dat geldt dus ook wanneer het gaat om internetdiensten.

Inhoudelijk is er dus nog niets beslist, het enige dat we nu weten is dat Facebook met haar TOU niet de consumentenrechten opzij kan zetten. Dat heeft een redelijk juridisch ‘duh’-gehalte, maar het is toch fijn om te weten. De volgende slag gaat zijn of Facebook haar (Amerikaans-morele) regels mag opleggen ten koste van wat in andere landen gebruikelijk is. Naakt, en zeker in de kunst, is in Europa vrij normaal. Amerikanen zijn zo preuts als wat – een tepel is eigenlijk al bizar, toon liever een machinegeweer of een afgehakt hoofd.

Op zich zou je zeggen, het is Facebooks netwerk dus hun regels. Maar Facebook is wel iets meer dan een dorpscafé waar de eigenaar wat rare opvattingen heeft. De discussie hebben we al vaker gehad – wanneer moet een internetdienst zich conformeren aan de mores van een land, in plaats van andersom. Ik ben heel benieuwd hoe dit uit gaat pakken, want het zou een interessant precedent zijn. Er is immers niets illegaals aan de uitingen, noch in de VS noch in Frankrijk. Het zou dus zuiver gaan over “mag Facebook haar eigen regels stellen”, en die had ik nog niet eerder gezien.

Arnoud

De Chinese webwinkel AliExpress voegt ondersteuning toe voor de Nederlandse betaalmethode iDeal, meldde Tweakers onlangs. En een lezer vroeg me toen: vallen ze daarmee onder Nederlands recht? Er is al een Nederlandstalige site, met eigen subdomein en Nederlandse taal immers. Er is geen hard criterium wanneer je onder welk recht valt. Bij zakendoen en e-commerce… Lees verder

Als een website in een bepaald land op te roepen is, en daar is een inbreuk op auteursrecht (oid) te zien, dan is de rechter van dat land daarvoor bevoegd. Ook als die website niets te maken had met dat land, bijvoorbeeld omdat de domeinnaam een extensie van een ander land heeft. Wel is de… Lees verder

Videodienst Netflix is in overtreding van de Nederlandse wet op de bescherming van persoonsgegevens, maar omdat het bedrijf in Luxemburg is gevestigd kan het College Bescherming Persoonsgegevens er niets tegen doen. Dat schreef Webwereld vrijdag. Wacht even, heb ik iets gemist? Ja dus. In september waren er Kamervragen gesteld over het privacybeleid van de nieuwe… Lees verder

Ik heb een paar arresten gemist geloof ik. In NRC Handelsblad van gisteren stond een artikel over de cloud, met daarin de intrigerende opmerking: Ja, Softlayer is een Amerikaans bedrijf, waarvoor Amerikaanse wetten gelden. Maar alleen voor informatie die als eerste in de VS is opgeslagen: „Het Amsterdamse deel is Nederlands. Informatie die hier als… Lees verder

Een lezer vroeg me: Vorig jaar blogde je over de Amerikaanse cloud en de risico’s daarvan. Maar wat maakt een cloudprovider “Amerikaans”? Moet je dan kijken naar de rechtsvorm van het bedrijf, de locatie van de servers, wat men op de site zet of welk ander criterium geldt er? Met de term “Amerikaanse cloud” bedoelde… Lees verder

De Nationale Recherche eist dat Publicintelligence.net stopt met het publiceren van het magazine Inspire, meldde Webwereld gisteren. De site zou opruiende informatie publiceren, die volgens de KLPD tegen de wet is. Als de publicatie niet vrijwillig gestaakt wordt, zal de server offline gehaald worden, dreigt de brief. Alleen: dat mag de politie helemaal niet. In… Lees verder

Wanneer richt een bedrijf zich op Nederland? Wie een bedrijf exploiteert, heeft een handelsnaamrecht: een ander bedrijf in dezelfde geografische regio en zelfde branche mag die naam niet ook voeren. Die geografische regio beperkt het handelsnaamrecht: een café in Eindhoven en een café in Amsterdam kunnen dezelfde naam hebben, want die zullen niet snel met… Lees verder