AIVD trok grote webfora onrechtmatig leeg, dat mocht meestal

| AE 6956 | Regulering | 16 reacties

forum-discussie-post-phpbbDe inlichtingendienst AIVD heeft bij het binnenhalen van grote algemene webfora in een aantal gevallen onrechtmatig gehandeld, oordeelt de toezichthouder Ctivd in een onderzoeksrapport. Dat meldde Tweakers vorige week. Vorig jaar werd bekend in één van de vele Snowden-onthullingen dat de AIVD op internetforums inbrak en grootschalig gegevens downloadde. In de meeste gevallen was dat legaal, zo blijkt nu, maar bij algemene webforums had men toch beter moeten uitkijken.

De AIVD heeft als inlichtingen- en veiligheidsdienst brede bevoegdheden als het gaat om het vergaren van, eh, inlichtingen. De toezichthouder maakt onderscheid tussen het raadplegen van ‘open bronnen’ en het verkrijgen van afgeschermde gegevens. Een forum waar iedereen lid van mag worden, of zeg een Twitter, is een open bron en de AIVD mag daar rondkijken net als iedereen. Echter, zodra men dingen dan structureel gaat bijhouden dan gaat het schuren. Bij het grootschalig vergaren van gegevens spelen namelijk regels rond privacy en persoonsgegevens een rol.

De Wet Inlichtingen- en veiligheidsdiensten 2002 (Wiv) bepaalt namelijk (art. 13) dat de dienst in beginsel alleen persoonsgegevens mag vergaren van personen die

aanleiding geven tot het ernstige vermoeden dat zij een gevaar vormen voor de democratische rechtsorde, dan wel voor de veiligheid of voor andere gewichtige belangen van de staat;

Een forum waar een groep georganiseerde terroristen informatie uitwisselt, zou zonder meer in hun vizier moeten staan. Maar bij zeg een Fok! voelt dat iets minder dringend. En dat vertaalt zich naar de wettelijke eis dat het monitoren, hacken of anderszins gegevens vergaren bij zulke forums noodzakelijk en proportioneel moet zijn, en dat er eigenlijk geen ander middel (subsidiariteit) moet zijn om de gegevens te verkrijgen.

Bij enkele forums ging men zelfs nog verder dan alleen meelezen: er werd ook ingebroken op webforums om zo grootschalig gebruikersgegevens en berichten over te kunnen nemen. En dat is een bevoegdheid die apart is geregeld in artikel 24 Wiv:

De diensten zijn bevoegd tot het al dan niet met gebruikmaking van technische hulpmiddelen, valse signalen, valse sleutels of valse hoedanigheid, binnendringen in een geautomatiseerd werk.

Echter, deze bevoegdheid mag alleen worden uitgeoefend als dat noodzakelijk is voor de goede uitvoering van de wettelijke taken van de dienst (art. 18 Wiv). En dat was hier een probleem bij enkele van die algemene forums. Daar was niet echt een reden om databases leeg te trekken of rond te snuffelen op niet algemeen toegankelijke gedeeltes. En dan mag ook de AIVD het niet.

Verder bleek niet altijd de toestemming correct te zijn verkregen: bij hacken in servers op afstand moet de directeur toestemming geven, en dat is niet altijd gebeurd.

Het rapport raadt aan om in de toekomst hacks te beperken tot specifieke forums, of om direct na verkrijging irrelevante gegevens (van ‘onschuldige’ burgers) te wissen. Ik vraag me af hoe dat moet werken: het idee is nu juist om grootschalig data te mijnen om daarin patronen e.d. aan te treffen. Als je al weet wat je zoekt, dan zijn er betere methoden lijkt me. Big data mag dus niet voor de AIVD?

Arnoud

Kan een forum zijn leden aansprakelijk stellen na een claim?

| AE 6914 | Ondernemingsvrijheid | 42 reacties

Als je als forum aansprakelijk bent voor foto’s (of teksten) die je leden geplaatst hebben, dan kan dat een dure grap worden. Dat ondervond het Brandweerforum vorig jaar. Men werd toen met succes aansprakelijk gesteld door een fotograaf voor foto’s geplaatst door leden van het forum. Het forum was geen neutraal platform maar vervulde een “actieve rol” bij het laten plaatsen van de foto’s, aldus de rechtbank. Daarom moest men 50 euro per foto afrekenen, plus bijna 7000 euro proceskosten.

Het forumbeheer besloot vervolgens die claim te verhalen op haar gebruikers. Die hadden immers de foto’s geplaatst en daarmee de auteursrechten geschonden. Op grond van de forumregels was het immers verboden auteursrechten te schenden, en bij wanprestatie onder een contract kun je de schade verhalen op de wanpresterende partij. Maar de kantonrechter wijst (pdf, 1MB) de eis af omdat de forumregels niet duidelijk genoeg waren.

Dit was wat er exact in de regels stond:

Plaats geen berichten waarin een duidelijke overtreding van copyright wetgeving laatsvindt. Plaats niet zonder toestemming als je niet de auteur bent! Als je teksten, foto’s en of video’s van andere websites of uit kranten/bladen post, vermeld dan waar je de tekst vandaan heb gehaald …
Andere gebruikers kunnen zo de betrouwbaarheid en authenticiteit inschatten en het is wel zo netjes richting de schrijver van het artikel dan wel de maker van de foto of video. Wij zullen altijd een poging wagen om rechthebbende te achterhalen. …
Het forumlid blijft als enige verantwoordelijk en aansprakelijk voor de inhoud van zijn/haar berichten.

Op zich bekende clausules: geen rechten schenden, regel toestemming en vermeld zo nodig de bron. Plus je bent aansprakelijk. Maar het komt uiteindelijk wel aan op hoe je het exact formuleert, zo blijkt ook weer hier.

De rechter leest namelijk die tekst drie keer en concludeert dan dat er ruimte is voor “misvattingen omtrent de strekking”. In de tweede zin gaat het over ‘auteurs’ bijvoorbeeld: worden daarmee ook fotografen bedoeld, of zijn foto’s (gezien de derde zin) een andere categorie werken waar andere regels gelden? Gezien de zin over bronvermelding is verdedigbaar dat je bij teksten toestemming moet halen en bij foto’s alleen de bron noemen.

Maar zelfs als het wél allemaal over toestemming gaat en je dus ook bij foto’s de regels overtrad, dan nog komt de schade niet voor vergoeding in aanmerking. De fout moet je wel te verwijten zijn, en dat gaat hier niet op:

Gelet op de onduidelijkheid en inconsistentie van de tekst … acht de kantonrechter het niet onbegrijpelijk dat de forumleden zich van geen kwaad bewust waren en meenden te handelen volgens voorschrift.

Ook als je het gooit op ‘gewoon’ onrechtmatig handelen, kom je er niet:

De kantonrechter is van oordeel dat het geen feit van algemene bekendheid is dat het niet is toegestaan foto’s van anderen op internet te plaatsen.

Je kunt daarmee niet spreken van ‘bewust’ rechten schenden, wat wel vereist is aldu de rechter om de uiteindelijke schade bij de fotograaf bij de uploaders neer te leggen.

Nog los daarvan had het beheer de claim ook kunnen voorkomen door conform de wet meteen te reageren op het verwijderverzoek in plaats van het op een rechtszaak te laten aankomen. Die volg ik niet helemaal: het forum hád de claim niet kunnen voorkomen door snel de foto’s te verwijderen want juridisch gezien is verwijderen niet genoeg tegen aansprakelijkheid.

Ik denk dat de rechter dit bedoelt als: we kunnen niet (meer) vaststellen welk deel van de schade door de plaatsers komt en welk deel door het handelen van het beheer. En daarom ga ik niet 100% van de schade bij de plaatsers neerleggen.

De uitspraak verrast me een tikje, moet ik zeggen. Zó onduidelijk vind ik die regels nu ook weer niet, en dat men in het algemeen niet weet van auteursrechten is wel wáár maar voor een rechter toch een opmerkelijke constatering. We doen toch met z’n allen alsof wetten algemeen bekend zijn, ook als ze nul komma nul compatibel zijn met de maatschappij?

Arnoud

Mag een moderator privéberichten lezen op het forum?

| AE 6693 | Privacy | 24 reacties

phpbb-private-message-pb-bericht-inbox.pngEen lezer vroeg me:

Bij een forum waar ik lid van ben, is onlangs uitgekomen dat moderatoren privéberichten lezen. Dit naar aanleiding van een forumruzie waarbij de moderator zijn gelijk wilde halen. Je begrijpt dat dat nogal wat ruzie gaf, maar hoe zit dit juridisch? Wanneer mag dit, en moet het in de privacyverklaring staan of niet dat ze dit mogen?

Het lezen van privéberichten (private messages, PM, soms ook direct messages) is op veel forums een heikel punt. Beheerders vinden regelmatig dat ze dat mogen, op diverse gronden. En gebruikers vinden dat gewoonlijk een stevige schending van hun privacy.

Er geldt geen Grondwettelijk briefgeheim voor elektronische communicatie. Hier wordt al lang over gedebatteerd maar de Grondwet wijzigen is voor de politiek even een brug te ver.

Artikel 273d Strafrecht stelt het wederrechtelijk kennisnemen van privécommunicatie van gebruikers van een telecommunicatiedienst strafbaar. Echter, een internetforum is geen ‘telecommunicatiedienst’ want dat vereist kort gezegd dat je zelf signalen (ISO level 3) routeert over kabels dan wel draadloos. En weinig forums hebben hun eigen backbone naar de gebruikers.

Dat wil niet zeggen dat het dús mag. Privacy bestaat ook op internet. Men mag niet zomaar iemands privacy schenden. ‘Zomaar’, want er zijn situaties denkbaar waarin het wel mag. Stel het forum werkt niet meer goed door veel te grote (of rare codes bevattende) privéberichten, dan mag de beheerder die lezen als dat nodig is om het probleem te verhelpen.

De gewekte verwachting is daarbij van groot belang. Zo hanteert Tweakers de term “direct message” in plaats van “private message” met de expliciete bedoeling duidelijk te maken dat die berichten niet privé zijn voor het beheer. Het idee is dat als je tegen iemand zegt “dit als privé eruitziend kanaal is niet privé”, ze dan hun privacy opgeven.

Ik twijfel of de Wet bescherming persoonsgegevens geldt op dit lezen. Het openklikken van een bericht vind ik niet echt passen bij ‘verwerken’, hoewel dat een zeer breed begrip is. Maar als je de wet breed leest, dan valt het eronder. En dat betekent toestemming of een dringende noodzaak voor het beheer.

Algemene voorwaarden en een privacyverklaring zullen hier weinig bij helpen. Aangezien mensen die niet lezen, en dat ook niet hoeven, kun je die niet gebruiken om privacygerelateerde toestemming te verkrijgen van mensen. Ook bij de dringende noodzaak zal dat weinig helpen. Die noodzaak moet in je privacyverklaring toegelicht zijn, maar het moet wel een noodzaak zijn. Een regel “Wij mogen elk bericht lezen op elk moment” in de privacyverklaring is niet genoeg om alles te rechtvaardigen onder dit kopje.

Meelezende moderatoren: wanneer lezen jullie privéberichten? En meelezende forummers: wat is jullie grootste horrorstory rond privéberichten?

Arnoud

Kun je privéberichten opeisen bij een forum via de Wet bescherming persoonsgegevens?

| AE 6580 | Privacy | 18 reacties

Een lezer vroeg me: Recent ben ik verbannen van een forum. Hierdoor ben ik de toegang verloren tot al mijn privécommunicatie op dat forum. Deze wil ik nu opeisen via de Wet bescherming persoonsgegevens, de berichten betreffen immers mijzelf. Maar het forum wil me die niet geven, ze zeggen dat de Wbp niet geldt. Hoe… Lees verder

Moet ik het IP-adres of emailadres van mijn gebruiker afgeven als hij auteursrechten schendt?

| AE 6402 | Ondernemingsvrijheid | 46 reacties

Een lezer vroeg me: Op ons forum worden wel eens foto’s geplaatst zonder toestemming. Op klacht haal ik die netjes weg. Maar nu wil een fotograaf van mij de naam en (woon-)adresgegevens van een forummer. Moet ik dat geven? En adresgegevens héb ik helemaal niet! Een forumexploitant is in beginsel niet aansprakelijk voor wat de… Lees verder

Europees Hof stelt website verantwoordelijk voor reacties

| AE 6022 | Ondernemingsvrijheid | 25 reacties

Het Europese Hof voor de Rechten van de Mens (EHRM) heeft geoordeeld dat een website verantwoordelijk gehouden kan worden voor de reacties die op de website geplaatst worden, meldde Nu.nl vrijdag. In de Delfi-zaak ( 64569/09) bepaalde deze hoogste rechtbank voor de Europese mensenrechten (niet te verwarren met het Europese Hof van Justitie) dat wie… Lees verder

Welke persoonsgegevens moet ik aan mijn forumbezoeker geven?

| AE 5489 | Privacy | 22 reacties

Een lezer vroeg me: Op mijn internetforum heb ik een gebruiker die mij vraagt om zijn persoonsgegevens toe te sturen op basis van de Wet bescherming persoonsgegevens. Prima, maar hoe ver gaat dat? Hij vraagt bijvoorbeeld om alle logs met zijn IP-adres, alle privéberichten van en naar hem, maar ook om forumberichten en privéberichten van… Lees verder

Moet een forumbeheerder foto’s weggooien als een gebruiker daarom vraagt?

| AE 5150 | Privacy, Uitingsvrijheid | 23 reacties

Een jaar geleden blogde ik over de vraag wat een forumbeheerder weg moet gooien als een (ex-)lid daarom vraagt. In de comments vroeg een lezer zich af wat dat nu specifiek voor foto’s betekent. Hij had een lid van zijn forum geband, en die eist nu dat al zijn foto’s van het forum verwijderd worden…. Lees verder

‘Aggregatiesites mogen foto’s overnemen van de rechter’

| AE 5104 | Intellectuele rechten | 12 reacties

Hee, foto’s overnemen, mag dat nou toch? Dit artikel van advocaat Jens van den Brink maakte veel los, vooral bij mensen die recent een claimbrief van een Nederlandse fotograaf hadden gehad op hun blog, forum of nieuwssite. Want de rechter Oost-Nederland (we hebben nieuwe arrondissementen) bepaalde dat de manier waarop Ik hou van Breda werkte,… Lees verder