Europese landen mogen geen ongenuanceerde regels hanteren dat internetproviders persoonsgegevens van klanten altijd moeten afgeven bij rechtszaken, zo oordeelde het Europese Hof van Justitie gisteren. Een instantie als BREIN, of iemand die zich beledigd voelt, heeft dus niet per definitie recht op persoonsgegevens van een klant. Zij zal moeten aantonen dat afgifte gezien de specifieke omstandigheden van de zaak echt noodzakelijk, redelijk en proportioneel is.
Voor Nederland betekent dat dat er niets verandert aan de huidige praktijk. Bij ons moeten providers persoonsgegevens van klanten afgeven wanneer deze mogelijk iets illegaals doen en er geen snellere manier is om achter klantgegevens te komen. Dat blijkt uit het arrest HR Lycos/Pessers, waarin provider Lycos de persoonsgegevens moest afgeven van de klant die Pessers beledigd en besmaad zou hebben.
De HR oordeelde destijds dat afgifte niet altijd moest, maar alleen als de rechter
een nauwgezette afweging [heeft] gemaakt van alle betrokken belangen, waaronder het belang van de bescherming van de persoonlijke levenssfeer van de websitehouder (r.o. 5.4.3).
En dat is precies het soort afweging die het Europese Hof nu zegt dat je moet maken. De HR haalde dit uit art. 8 sub f van de Wet Bescherming Persoonsgegevens, en die WBP is de implementatie van de Europese privacywetgeving.
Hoewel de meeste media het gelijk hebben over “muziek uitwisselen mag nu anoniem”, is dit arrest niet speciaal voor filesharing. Het gaat om de vraag of iemand, ongeacht onderwerp, de persoonsgegevens van een klant van een provider mag eisen omdat hij die klant een proces wil aandoen. Dat speelt vaak bij filesharing, maar ook bij smaad, schending van portretrecht en andere onrechtmatige dingen is deze vraag relevant.
De aanleiding voor de zaak was een Spaans geschil over illegale muziekverspreiding via KaZaA. Promusicae, zeg maar de Spaanse BREIN, had bij de Spaanse rechter de persoonsgegevens opgeëist van een klant van internetprovider Telefónica. Deze weigerde dat met een beroep op de Spaanse privacywetgeving. Omdat zowel de wetgeving over auteursrecht als die over privacy uit Europese richtlijnen komt, en op dit punt dus een botsing ontstond tussen Europese regels, stelde de Spaanse rechter een zogeheten prejudiciële vraag aan het Europese Hof van Justitie over hoe deze wet nu moet worden uitgelegd.
De Spaanse rechter krijgt de bal nu dus netjes terug en moet gaan afwegen of het echt de beste oplossing is als Telefónica nu de persoonsgegevens afgeeft aan Promusicae. In het geval van Lycos/Pessers bleek dat achteraf trouwens niet zo zinvol: de beledigende klant bleek vervalste persoonsgegevens opgegeven te hebben.
Remy Chavannes wees al eerder op het lastige aan zo’n belangenafweging. Wat vaak gemist wordt, is
(…) het bredere belang om niet lichtvaardig te worden geconfronteerd met informatieverstrekkingsverzoeken van beweerdelijk beschadigde derden. Dergelijke verzoeken brengen immers onderzoeks- en juridische kosten met zich mee, terwijl de beslissing om al dan niet te voldoen aan het verzoek steeds juridische en publicitaire risico’s met zich brengt
Ziijn voorstel voor een John Doe procedure is m.i. een betere oplossing.
Via Volledig bericht, pardon Boek 9.
UPDATE: zie ook de blog van Lex Bruinhof die tot dezelfde conclusie komt.
Arnoud