Ziggo hoeft torrent-waarschuwingsbrieven van Brein niet door te sturen naar frequente torrentgebruikers. Dat meldde Tweakers onlangs. Dit was een recent idee van de auteursrechthandhaver: identificeer frequente uploaders, en stuur ze een “we hebben je in de gaten”-brief in de hoop dat men ermee stopt. De rechtbank merkt de hierbij benodigde persoonsgegevens aan als strafrechtelijk, waardoor Ziggo ze niet mag verwerken zonder vergunning van de Autoriteit Persoonsgegevens.
Ziggo had bezwaar gemaakt tegen het verzoek van Brein om deze brieven te versturen, omdat zij dacht dat dit onder de AVG niet toegestaan zou zijn. Brein verzamelt immers IP-adressen van torrenters, en dat zijn persoonsgegevens. Maar op zich mag Brein dit, gezien het gerechtvaardigd belang dat zij als vertegenwoordiger van rechthebbenden heeft bij de handhaving en preventie van auteursrechtinbreuk.
Wel is er het fundamentele probleem dat het hier gaat om gegevens over strafrechtelijk relevant gedrag. Inbreuk op auteursrecht is immers een misdrijf (art. 31 en verder Auteurswet). Uit het vonnis:
De AP heeft in een besluit over de online handhaving van de intellectuele eigendomsrechten door Dutch Filmworks B.V. (DFW) vastgesteld dat het verwerken van persoonsgegevens van personen waartegen een min of meer gegronde verdenking bestaat van handelingen die inbreuk maken op een auteursrecht, aangemerkt moeten worden als het verwerken van strafrechtelijke persoonsgegevens (AP, Definitief besluit inzake de verklaring omtrent de rechtmatigheid van online handhaving van intellectuele eigendomsrechten door Dutch Filmworks B.V., z2017-02053, p. 4).
Door het soort analyse dat Brein uitvoert, is vrij zeker dat de betrokken personen dit misdrijf van inbreuk op auteursrecht plegen. Dat maakt de persoonsgegevens dan tot strafrechtelijke persoonsgegevens, waarvoor de AVG een zeer streng regime kent:
Persoonsgegevens betreffende strafrechtelijke veroordelingen en strafbare feiten of daarmee verband houdende veiligheidsmaatregelen mogen op grond van artikel 6, lid 1, alleen worden verwerkt onder toezicht van de overheid of indien de verwerking is toegestaan bij Unierechtelijke of lidstaatrechtelijke bepalingen die passende waarborgen voor de rechten en vrijheden van de betrokkenen bieden. Omvattende registers van strafrechtelijke veroordelingen mogen alleen worden bijgehouden onder toezicht van de overheid.
Er moet dus een concrete wet zijn die regelt dat je dit mag verwerken, en die wet moet ook nog eens passende waarborgen kennen. In Nederland is dit uitgewerkt in artikel 31 en 32 Uitvoeringswet AVG. Die kennen de optie dat je zulke gegevens mag verwerken als je bezig bent met een juridische procedure, maar daar kon Brein dus geen beroep op doen:
Op het moment dat Brein (naar aanleiding van de evaluatie van deze campagne) later besluit om toch (andere) handhavingsmaatregelen te treffen en het daarvoor nodig is om te procederen, zullen daarvoor opnieuw IP-adressen worden verzameld. De IP-adressen die zijn/worden verzameld in het kader van de FLU-waarschuwingscampagne worden daar niet voor gebruikt (zie 2.7) en dus is de verwerking daarvan niet noodzakelijk in verband met een rechtsvordering.
Een ander artikel (33) bepaalt dat strafrechtelijke persoonsgegevens mogen worden verwerkt ter bescherming van je eigen belangen, voor zover het gaat om strafbare feiten die jegens jou zijn gepleegd of naar verwachting zullen worden gepleegd. Dat past dus bij Brein, alleen is dat niet bruikbaar voor Ziggo. En dat is het probleem, want Ziggo is zélf verwerkingsverantwoordelijke wanneer zij die gegevens van haar administratie koppelt aan de brieven van Brein en deze doorstuurt.
Voor Ziggo is dit dan ook alleen een optie als zij een vergunning krijgen van de AP. Dat voelt een beetje als een heftige optie – waarom mag Brein dat zomaar maar Ziggo niet – maar de regel staat in hetzelfde rijtje als de regels over recherchebureaus. Het is dus eigenlijk de restoptie, je bent niet echt een privédetective maar je doet wel ongeveer hetzelfde, dan moet je dus een aparte vergunning halen.
Zijn we er dan? Ja, met zo’n vergunning dan mag – pardon, móet Ziggo dit gaan doen.
De rechtbank haalt het Lycos/Pessers arrest van stal, dat organisaties als Brein in principe het recht geeft om NAW-gegevens te eisen van providers zoals Ziggo, wanneer de klant waarschijnlijk inbreuk pleegt. Hetzelfde arrest dat Dutch Filmworks zonder succes inriep bij hun dreigbriefactie, maar dat liep stuk op het punt dat DFW onduidelijk was over de schadeclaims en andere rechtsmaatregelen waarmee ze in hun brieven schermden. Brein heeft daaraan gedacht: de brieven zijn alleen “pas op, doe dit niet nog eens” en na versturen van de brieven worden alle logs gewist.
Lycos/Pessers zegt dat je als provider zelf onrechtmatig handelt als je in zo’n situatie geen NAW gegevens afgeeft. De rechtbank trekt dat door: je handelt ook zelf onrechtmatig als je die brieven dan niet doorstuurt. Dus zou Ziggo een vergunning hebben, dan konden die brieven per direct de deur uit.
Het enige dat de rechtbank nu in het midden laat, is of Ziggo verplicht is om zo’n vergunning te gaan halen. Enerzijds lijkt het me lastig om zoiets af te dwingen, want het is niet een kwestie van een formuliertje invullen op de site van de AP en drie vinkjes laten zetten door je FG.
Anderzijds mag Brein volgens dit vonnis dus wél eisen dat ze NAW-gegevens van de torrenters krijgt, zodat ze zelf die brieven kan sturen. (Dat was niet de vraag van Brein dus de rechtbank verplicht Ziggo daartoe niet, maar wie 3.38 en 3.41 leest, ziet dat de rechtbank wel degelijk op de hand van Brein is.) En als dat zo is, dan is het halen van die vergunning en het zelf doen misschien nog de te prefereren keuze voor Ziggo.
Arnoud