De Duitse politie heeft donderdagavond een datacentrum voor darknetmarktplaatsen offline gehaald en zeven verdachten gearresteerd. Dat meldde Tweakers onlangs. De servers werden onder meer gebruikt voor darknetmarktplaats Wall Street Market en een aanval op Deutsche Telekom-routers. De beheerder van het dc omschrijft haar diensten als bulletproof hosting en heeft beleid dat men zich niet actief bemoeit met wat klanten doen “except child porn and anything related to terrorism.” De inval lijkt te suggereren dat dat beleid niet geheel binnen de wet blijft, maar ik kreeg bezorgde hosters in de mail of zij ook strafrechtelijk aansprakelijk gehouden kunnen worden als er een strafbare klant tussen zit.
Bij Emerce een fascinerend verhaal over de geschiedenis van deze cyberbunker. In principe is onder de wet iedere hoster gelijk – je bent als partij die gegevens van klanten opslaat en doorgeeft als hoofdregel niet aansprakelijk voor die gegevens. Dat zou immers ook onwerkbaar zijn, hoe moet je dan iedere klant op ieder moment toetsen.
Het is dan ook weer niet de bedoeling dat je bewust de andere kant op kijkt. In de wet (art. 6:196c BW) staat dan ook dat zodra je actief bewust bent van bepaalde onrechtmatige inhoud, je moet ingrijpen. De bekende notice-takedownpolicies zijn op dat stukje gebaseerd. En voor de duidelijkheid: dat gaat over álle wetsovertredingen, niet alleen auteursrechtschendingen of strafbare zaken. Een NTD verzoek gebaseerd op de AVG behoort dus ook gewoon te werken, zij het dat de overtreding wel onmiskenbaar (evident) juist moet zijn en dat is bij AVG-dingen niet perse het geval.
Maar dat is civiel recht. Strafrecht kent zijn eigen regime, in dit geval artikel 54a Strafrecht, waarin staat:
Een tussenpersoon die een telecommunicatiedienst verleent bestaande in de doorgifte of opslag van gegevens die van een ander afkomstig zijn, wordt als zodanig niet vervolgd indien hij voldoet aan een bevel van de officier van justitie, na schriftelijke machtiging op vordering van de officier van justitie te verlenen door de rechter-commissaris, om alle maatregelen te nemen die redelijkerwijs van hem kunnen worden gevergd om de gegevens ontoegankelijk te maken.
De definitie is grofweg hetzelfde. Je moet een hoster (of access provider) zijn, een partij die gegevens van anderen opslaat en doorgeeft. Die definitie is breed genoeg om ook diensten als Skype of Twitter te vangen. Je kunt dan volgens de normale regels van het strafrecht worden vervolgd voor die handelingen, je bent immers formeel gezien behulpzaam en dus op zijn minst medeplichtig als die handelingen strafbaar zijn.
Maar dit artikel zegt van niet. Althans, wanneer je op bevel van de officier van justitie meteen die gegevens ontoegankelijk maakt. Dat bevel mag dan weer niet zomaar worden gegeven, er moet een machtiging van de onafhankelijke rechter-commissaris worden verkregen. Daar zit dus een stukje gerechtelijke toetsing. Dit mag je “alleen met gerechtelijk bevel” noemen, alleen laat je dan wel zien dat je meer vaart op Amerikaanse rechtbankseries dan Nederlandse wetboeken. De RC is de gerechtelijke instantie die zegt dat de officier mag eisen dat het weggaat. Bevalt dat je niet, dan kun je naar de ‘echte’ rechtbank maar dan sta je dus al in het strafbankje – geen gehoor geven aan een bevoegd gegeven bevel op zijn minst, of als men echt boos is dus medeplichtigheid aan dat strafbare feit.
Wanneer je je echter structureel inhoudelijk gaat bemoeien met wat je klanten doen, dan kun je niet meer spreken van een “tussenpersoon als zodanig”. Dan kun je je dus niet meer beroepen op de bescherming van artikel 54a, en je zou dan als medeplichtige van het handelen van die klanten gezien kunnen worden. Ik denk dat diezelfde situatie kan ontstaan als je je ook nadrukkelijk profileert als bulletproof hoster: je moet weten dat dat een bepaald type klanten aantrekt, met name vaak het type dat illegale zaken op het oog heeft. Dat voelt voor mij niet meer als de opstelling als neutraal tussenpersoon.
Arnoud