Een auteursrechthebbende mag van Youtube alleen je postadres vragen (moehaha)

| AE 12062 | Ondernemingsvrijheid, Privacy | 16 reacties

Wanneer een film illegaal is geüpload op een onlineplatform zoals YouTube, kan de rechthebbende krachtens de richtlijn betreffende de handhaving van intellectuele eigendomsrechten bij de exploitant uitsluitend het postadres van de betrokken gebruiker opvragen, maar niet zijn e-mailadres, IP-adres of telefoonnummer. Dat las ik bij ITenRecht. Het Hof van Justitie bepaalde dat onlangs in een procedure tussen Constantin Film Verleih GmbH, een in Duitsland gevestigde distributeur van films en YouTube. En ja, ik weet dat je weinig hebt aan die informatie.

Al lange tijd proberen filmproducenten en handhavers zoals BREIN informatie te krijgen van Youtube over uploaders van illegaal materiaal. Youtube werkt daar niet aan mee (dat is namelijk niet handig voor het businessmodel, pardon Youtube staat voor de grondwettelijk vastgelegde privacy van haar gebruikers).

In 2004 verscheen een Europese Richtlijn (de Handhavingsrichtlijn) waarmee rechthebbenden een bevoegdheid kregen om bij platforms en andere tussenpersonen gegevens van uploaders te krijgen. Iets preciezer (artikel 8 lid 2): “de naam en het adres van de producenten, fabrikanten, distributeurs, leveranciers en andere eerdere bezitters”. Dat is vrij logisch voor de situatie waarin handelaren ergens gevestigd zijn en dingen in- en wederverkopen.

Bij Youtube is dit iets minder logisch. Dat bedrijf heeft alleen e-mailadressen, IP-adressen en mogelijk een telefoonnummer (bijvoorbeeld vanwege tweefactorauthenticatie). Is dat een “adres”? Dat is een lastige, want de Handhavingsrichtlijn specificeert dat niet en het staat ook niet in eerdere Europese regels als gedefinieerde term. Het Hof trekt dan de ietwat verrassende conclusie dat dit niét het geval is: als je zegt “naam en adres” van iemand, dan bedoel je een woon- of vestigingsadres, niet een IP-adres (het plaatje rechtsboven is dus een grapje).

Dat botst wel met het idee dat dit artikel van de Handhavingsrichtlijn bedoeld is om rechthebbenden te helpen handhaven door informatie op te vragen van platforms. En u weet het, als je rechten hebt en auteursrechten, dan winnen de auteursrechten. Alleen nu niet, en ik ben daar oprecht door verbaasd: het Hof concludeert dat de Europese wetgever het simpel wilde houden en (nog) niet wilde nadenken over IP-adressen en e-mail. (Of, denk ik, dat de lidstaten het daar niet over eens konden worden.) En dan kun je dus niet later uit die wet halen dat je alsnog die elektronische gegevens mag hebben.

Het is wel toegestaan dat lidstaten nadere regels maken die strenger zijn. Zo hebben we bij ons het Lycos/Pessers arrest, op grond waarvan je wél IP-adressen en e-mailadressen kunt opeisen van een dienstverlener. Dat arrest blijft gewoon overeind.

Arnoud

Waarom is een IP-adres een persoonsgegeven en een kenteken niet?

| AE 10365 | Privacy | 28 reacties

Een lezer vroeg me:

Regelmatig lees ik dat IP-adressen als persoonsgegevens worden gezien, omdat ze tot een persoon (de gebruiker van de computer waar dat adres aan toegekend is) herleidbaar zijn. Dat klopt in theorie, maar je hebt daar de internetprovider voor nodig en die zal zonder gerechtelijk bevel niet meewerken, toch? Maar bij kentekens is de situatie hetzelfde en daarvan zegt de toezichthouder dat het géén persoonsgegevens zijn voor jou of mij, alleen voor de RDW. Waarom dat onderscheid?

Dit onderscheid is inderdaad lastig uit te leggen, maar gelukkig verdwijnt het met de AVG: beide gegevens zijn vanaf 25 mei gewoon keihard persoonsgegevens voor iedereen, punt.

Ik denk dat het onderscheid vooral om historische redenen zo gegroeid zijn. Bij invoering van de Wbp is gezegd dat kentekens alleen voor de RDW persoonsgegevens zijn. Dit was namelijk de klassieke opvatting: een gegeven is alleen persoonsgegeven voor wie de persoon kan identificeren, en gewone mensen kunnen dat niet. Omdat juristen graag de wet en dit soort parlementaire stukken overschrijven in leerboeken, is de opvatting “kenteken alleen voor RDW persoonsgegeven” gemeengoed geworden. (Zei hij cynisch.)

De discussie over IP-adressen is van recenter datum en veel meer een open vraag gebleven. Onze toezichthouder was er altijd stellig in: ja, in principe wel. Daar was de nodige kritiek op, met terechte vraagtekens overigens. Pas zeer recent (oktober 2016) is er een definitieve uitspraak gekomen: ja, in principe wel. Er is immers een mogelijkheid tot identificatie van de gebruiker, en dat daarvoor een gerechtelijk bevel nodig is, is een praktijkdetail maar theoretisch niet relevant. Voor iedereen die IP-adressen verwerkt, geldt dus dat ze persoonsgegevens zijn. En ook voor kentekens dus.

Maar zoals gezegd, eigenlijk is de discussie achterhaald want de AVG (of GDPR) kent een nieuwe definitie van het begrip ‘identificeerbaar’ bij persoonsgegevens:

als identificeerbaar wordt beschouwd een natuurlijke persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificator zoals een naam, een identificatienummer, locatiegegevens, een online identificator of van een of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon;

Die ‘online identificator’ kan natuurlijk prima het IP-adres van de persoon zijn. En het nieuwe is dan dat de AVG zegt dat je iemand geïdentificeerd hébt. Dus niet “deze persoon is te herkennen door NAW-gegevens op te vragen voor het IP-adres 192.168.1.1” maar “deze persoon héét 192.168.1.1”. Het doet er dan dus niet meer toe of je ook nog andere identificerende gegevens te pakken kunt krijgen en hoe moeilijk dat is.

Arnoud

Dynamische ip-adressen zijn ook persoonsgegevens voor websitehouders

| AE 9016 | Privacy | 8 reacties

shirt-127-0-0-1-ip-adresHet Europese Hof van Justitie heeft bepaald dat dynamische ip-adressen persoonsgegevens kunnen zijn, zo meldde Tweakers vorige week. Daar schijn je over te kunnen twijfelen, dus goed dat er nu een uitspraak (zaaknr. C-582/14) over is.

De zaak werd aangespannen door een Duitse burger die constateerde dat overheidswebsites zijn IP-adres logden. Hij maakte daartegen bezwaar: als hij zich op de website had geïdentificeerd (bijvoorbeeld door in te loggen) dan zou na de bezoeksessie er geen reden meer zijn om zijn IP-adres te bewaren. En wat niet nodig is, moet weg onder de privacywet. Nee, aldus de instantie: dat IP-adres is geen persoonsgegeven als u niet inlogt want wij weten niet dan wie u bent. Dus niks privacywet.

Dit lijkt een wat gezocht argument en dat is het natuurlijk ook, maar het raakt wel aan een heel fundamenteel punt. Namelijk, hoe ver ga je met iets persoonsgegeven verklaren? De literatuur is daarover verdeeld in de objectieven en de relatieven, zeg maar de preciezen en de rekkelijken. De objectieven/preciezen vinden dat een gegeven een persoonsgegeven is als de koppeling naar de betrokkene met redelijke moeite te maken is, ook als je daarvoor een derde (zoals de isp, in dit geval) nodig hebt en ook als die daar niet perse aan mee werkt. De relatieven/rekkelijken vinden dat iets alleen een persoonsgegeven is voor wie de koppeling kan maken, in dit geval dus alleen de isp.

Het Hof pakt de wet er nog eens bij en constateert dat de objectieven gelijk hebben: de wet spreekt ook van “indirect identificeerbaar” zijn, dus iets is niet alleen maar een persoonsgegeven voor wie zélf de koppeling kan leggen. Dus de vraag is alleen nog, hoe moeilijk is het om de identificatie ui te voeren, oftewel hoe moeilijk is het die isp’s mee te krijgen?

Redelijk moeilijk, want in Duitsland gaat het opvragen van NAW-gegevens bij een IP-adres altijd via Justitie. Maar dat is genoeg:

Hoewel de verwijzende rechter in zijn verwijzingsbeslissing preciseert dat de internetprovider de extra informatie die noodzakelijk is voor de identificatie van de betrokken persoon, naar Duits recht niet rechtstreeks mag doorgeven aan de aanbieder van onlinemediadiensten, lijken er – onder voorbehoud van de door de verwijzende rechter in dit verband te verrichten verificaties – voor de aanbieder van onlinemediadiensten juridische mogelijkheden te bestaan om zich, met name in geval van cyberaanvallen, te wenden tot de bevoegde autoriteit opdat deze de nodige stappen onderneemt om die informatie van de internetprovider te verkrijgen en om strafvervolging in te stellen. … De aanbieder van onlinemediadiensten lijkt dan ook te beschikken over middelen waarvan mag worden aangenomen dat zij redelijkerwijs kunnen worden ingezet om de betrokken persoon met behulp van derden, te weten de bevoegde autoriteit en de internetprovider, te identificeren aan de hand van de bewaarde IP-adressen.

Als dát al genoeg is, dan zijn we er. In Nederland ligt de lat lager dankzij het Lycos/Pessers-arrest, zodat ik er geen enkele twijfel over heb dat in Nederland aan het vereiste is voldaan dat het Hof hier oplegt.

Gelukkig voor de Duitse overheidssites mogen zij wel gewoon doorgaan met loggen. Dit is namelijk te rechtvaardigen onder een “eigen dringende noodzaak” (bij ons art. 8 sub f Wbp), zonder ip-adressen is het lastig aanvallen en dergelijke te herkennen. Maar dat is dus wel het kader waarbinnen élk gebruik van een IP-adres zal moeten worden bekeken vanaf nu. Hoe groot is de noodzaak dat gegeven te gebruiken, en hoe groot is het privacybelang van de websitebezoeker?

Arnoud

Mijn provider blokkeert IP-adressen van schurkenstaten, mag dat?

| AE 8382 | Informatiemaatschappij | 23 reacties

Een lezer vroeg me: Wij zijn klant bij het Amerikaanse cloudbedrijf SoftLayer. Nu lezen wij dat SoftLayer network-wide blocking implementeert van IP-adressen uit Cuba, Iran, North Korea, Soedan en Syrië. Dit in verband met Amerikaanse handelssancties. Kan dat zomaar? Inderdaad zijn er al diverse jaren allerlei zware handelssancties tegen de genoemde landen. President Bush noemde… Lees verder

In één nacht het internet scannen, hoe strafbaar is dat?

| AE 8048 | Regulering, Security | 12 reacties

Het begon als grap, las ik in De Correspondent. Een onderzoeker wilde kijken hoeveel apparaten Telnet gebruikten. Op heel internet dus. “Hij bedacht daarom een list en liet een botnet het vuile werk opknappen.” Ook goeiemorgen. Een botnet van 30.000 computers die uiteindelijk concludeerden dat van 1,3 miljard IP-adressen een reactie kwam en van 2,3… Lees verder

IP-adressen ministerie gekaapt door Bulgaren, mag dat?

| AE 7880 | Regulering | 24 reacties

IP-adressen van het ministerie van Buitenlandse Zaken zijn vorig jaar een week lang in handen gekomen van Bulgaarse criminelen, meldde de Volkskrant vorige week. Middels een BGP Hijack wist men internetverkeer van en naar deze IP-adressen te kapen, waarmee men in theorie in staat zou zijn geweest malware of phishingmails te versturen die niet te… Lees verder

Mag een bedrijf me weigeren omdat ik een Tor exit node draai?

| AE 7503 | Informatiemaatschappij | 25 reacties

Een lezer vroeg me: Als ik de supportpagina’s van Apple (support.apple.com en discussions.apple.com) probeer te benaderen, krijg ik een “Access Denied” foutmelding. Ik vermoed dat dit is omdat ik een Tor exit node draai (zie https://trac.torproject.org/projects/tor/wiki/org/doc/ListOfServicesBlockingTor). Maar mag Apple me nu zomaar support ontzeggen? Ik heb toch een dure iPhone bij ze gekocht! Ik kan… Lees verder

Wat mag er nu de cookiewet wordt versoepeld?

| AE 7414 | Privacy | 20 reacties

Het voelt een tikje als verplicht nummer, deze blog, maar goed. De versoepelde cookiewet is aangenomen in de Eerste Kamer. Nu is het alleen nog even wachten op inwerkingtreding, maar dan zal het toegestaan zijn om niet-functionele cookies te plaatsen zonder toestemming te vragen zolang het gaat om cookies die “geen of slechts geringe” inbreuk… Lees verder

“U krijgt geen logs van hackpogingen want dat is strijdig met de privacy”

| AE 7171 | Privacy, Security | 15 reacties

Een lezer vroeg me: Mijn account bij AirBNB was gekaapt, en alleen met heel veel moeite heb ik de toegang terug kunnen krijgen. Nu wil ik achter de kaper aan, en daarvoor heb ik IP-adressen en tijdstippen van inlogpogingen nodig. AirBNB wil me die echter niet geven, omdat dit onder de privacywet niet zou mogen…. Lees verder