Snapchat versus de bewaarplicht

snapchatMenig lezer blijkt geïntrigeerd door Snapchat, getuige mijn inbox afgelopen week. Met deze dienst kun je foto’s versturen, met als unique selling point dat je kunt instellen dat ze na 10 seconden gewist moeten worden bij de ontvanger. Dat blijkt -natuurlijk- niet helemaal te werken, maar de vraag die ik kreeg was iets anders: mág dat wel, data wissen na 10 seconden? Er is toch zoiets als een bewaarplicht?

Eh ja, er is een Wet bewaarplicht maar die heeft helemaal niets te maken met internetdienstverleners. Het onding dat wet bewaarplicht heet, is bedoeld voor telecom- en internetproviders. Zij moeten gegevens die zij van hun klanten krijgen, een half jaar tot een jaar bewaren.

Nou ja, niet alles: het gaat kort gezegd over identificatie van de klant en de randapparatuur waarmee hij online komt (MAC-adres, telefoonnummer, dat soort zaken). En het IP-adres waarmee hij dan via jou het internet opgaat. Niet elke site die hij bezoekt trouwens.

Een belangrijk misverstand daarbij is dat je niet hoeft te verzamelen, maar alleen te bewaren wat je toevallig al hebt. Bied je prepaid anoniem internet aan, dan is dat niet in strijd met de Wet bewaarplicht. Maar factureer je klanten dan mag je niet hun NAW-gegevens wissen na drie maanden, die NAW gegevens moeten dan bewaard worden en wel samen met het IP-adres van hun internetsessies.

Snapchat is een “dienstverlener van de informatiemaatschappij”: zij levert diensten over internet maar geen toegang tot internet. Daarom valt zij niet onder de bewaarplicht. Dit geldt ook voor forums, chatsites en andere diensten waar mensen informatie kunnen plaatsen.

En over Snapchat’s zelfvernietigingsfunctie, het blijft een aantrekkelijk klinkend idee maar hoe je echt kunt geloven dat dit gewoon werkt, ik zou het niet weten.

Arnoud

Wat mag een webhoster doen bij overlast door een klant?

account-suspended.pngEen lezer vroeg me:

Als webhoster merk ik regelmatig dat sites van mijn klanten overlast veroorzaken. Mensen versturen (bedoeld of onbedoeld) spam, hun websites worden gehackt met spamscripts of Trojans die drive-by-downloads met malware inzetten. Of er staat ineens een proxy of IRC-botje op dat allerlei ongewenst verkeer veroorzaakt.

Nu kan ik natuurlijk het account op zwart zetten, maar dat voelt nogal zwaar als het gaat om één concreet dingetje. Mag ik in zo’n geval ook het bestand in kwestie fixen of verwijderen? Moet ik met de klant overleggen wat te doen? Ben ik sneller aansprakelijk bij het wijzigen van bestanden dan bij het afsluiten van de klant?

Een hoster heeft een zorgplicht naar zijn klant én naar andere klanten. Hij mag alles doen dat redelijkerwijs binnen die zorgplicht past en proportioneel is. Bij één spamrun een hele website offline halen is niet proportioneel bijvoorbeeld. Het lijkt me dan logischer dat je even een zware limiet zet op het aantal mails dat vanuit zijn account naar buiten gaat.

Bestanden wijzigen of weggooien is proportioneler dan een geheel account op zwart zetten. Je hebt alleen wel een groter risico op problemen, want een ontbrekend bestand kan allerlei andere fouten veroorzaken of tot onvoorziene schade leiden. En de vraag is dan of je dat had moeten voorzien; zo ja, dan ben je er voor aansprakelijk. Wat dat betreft is op zwart zetten ‘veiliger’. Maar het voelt niet prettig vanuit klantvriendelijkheid natuurlijk.

Het beste is om dit in de AV van de hoster te regelen. Als daarin staat dat hij alles mag doen dat hem goeddunkt, dan kan er eigenlijk nooit discussie ontstaan. Nou ja, tenzij hij hele grote dingen sloopt om één probleempje op te lossen.

Overleg met de klant is netjes maar de hoster is niet verplicht dit te doen, zeker niet als in de AV staat dat het niet hoeft. En als de klant niet op tijd reageert, dan mag de hoster sowieso zelf door want hij moet toch iets.

Meelezende hosters: hoe gaan jullie om met geïnfecteerde klantwebsites, overlastgevende eggdrops of spamruns bij klanten die niet in het spammerprofiel passen?

Arnoud