Opnieuw hoeft Ziggo waarschuwing van Brein niet naar klant door te sturen

De rechtbank Midden-Nederland heeft opnieuw geoordeeld dat Ziggo geen waarschuwingsbrief van Stichting Brein hoeft door te sturen naar een klant die mogelijk illegaal downloadde. Dat meldde Tweakers onlangs. De vorige keer ging het om mensen die meehielpen beschermde werken te torrenten, deze keer ging het om een open directory met meer dan 200 e-books. Maar in beide gevallen vindt de rechter het niet nodig dat Ziggo het mogelijk moet maken dat Brein de klant kan waarschuwen.

Zoals het vonnis het uitlegt:

Een open directory is een database die staat opgeslagen op de computer van de gebruiker of op een externe server. De gebruiker heeft die database [met Calishot, AE] toegankelijk gemaakt voor iedereen via het IP-adres waarmee de gebruiker toegang heeft tot het internet. Onder de e-books in de database die via het IP-adres [IP-adres] toegankelijk wordt gemaakt, bevinden zich werken van Nederlandse auteurs. … Het gaat om illegale kopieën en om legaal aangekochte boeken die zonder toestemming van de rechthebbenden openbaar worden gemaakt.
Brein eiste dat Ziggo de klant achter dat IP-adres een waarschuwingsbrief zou doorsturen, zodat deze (hopelijk) met zijn of haar gedrag zou stoppen. Dat was een minder ingrijpende vraag dan waar het die vorige keer om ging, omdat daar Brein zélf de NAW-gegevens van torrentende klanten wilde hebben om ze brieven te sturen. Met dat laatste ging de rechter in februari niet mee, onder meer omdat het zou gaan om strafrechtelijke persoonsgegevens (auteursrechtinbreuk is immers een misdrijf) en Ziggo die niet mag verzamelen ten behoeve van Brein zonder vergunning privédetective.

Brein had zich op het Lycos/Pessers arrest beroepen, maar tot mijn verrassing zegt de rechter nu dat dat niet kan: de Uitvoeringswet AVG zegt namelijk dat alléén de in artikelen 32 en 33 genoemde uitzonderingen het mogelijk maken om strafrechtelijke persoonsgegevens te verzamelen. Lycos/Pessers is gebaseerd op artikel 6:162 BW, dat artikel staat niet in artikel 32 of 33 UAVG en is dus geen grondslag.

Dit is erg raar omdat zeg maar het punt van Lycos/Pessers is dat persoonsgegevens soms mogen worden afgegeven, waaruit volgt dat ze ook mogen worden verzameld in die gevallen. De redenering van de voorzieningenrechter kan ik in ieder geval niet volgen:

Overigens gaat het arrest Lycos/ [naam] zelf ook niet over de verwerking van strafrechtelijke persoonsgegevens, maar over persoonsgegevens in het algemeen. In het arrest Lycos/ [naam] wordt dus ook geen antwoord gegeven op de vraag hoe artikel 6:162 BW zich verhoudt tot artikel 10 AVG en de uitzonderingsbepalingen van artikel 32 en 33 UAVG.
In de zaak van [naam] (Pessers zelf dus) ging het om het misdrijf smaad gepleegd door een Lycos-klant, dat handelaar Pessers civielrechtelijk wilde aanpakken. Het was mij ontgaan dat de AVG zo streng was dat dit arrest niet meer toepasbaar zou zijn in haar eigen geval.

Binnen de uitzonderingen van de UAVG komt Brein er niet. Weliswaar staat daar een uitzondering voor het mogen starten van rechtszaken (artikel 33 lid 2 sub b UAVG), maar die geldt dus alleen voor verwerkingen door Brein zelf. Ziggo wil geen rechtszaak starten en mag de gegevens niet verzamelen. (Wie nu denkt, dan tekent Ziggo een verwerkersovereenkomst en dan mag het wel – nope, zo werken VO’s niet, en bovendien mag Ziggo-de-verwerker niet bij de administratie van Ziggo-de-dienstverlener dus daar valt dan weinig te verwerken).

De rechter ziet dus geen andere optie dan de zaak afwijzen, met (beperkte) kostenveroordeling voor Brein. Terecht? Ik heb enorme moeite met de redenering, hoewel ik wel zie dat Lycos/Pessers aan z’n houdbaarheid zit.

Arnoud

 

Ziggo hoeft adresgegevens illegale downloaders niet te delen

De rechtbank Midden-Nederland vindt dat internetprovider Ziggo geen NAW-gegevens (naam, adres en woonplaats) van illegale downloaders hoeft over te dragen aan filmexploitant Dutch FilmWorks (DFW). Dat meldde de NOS vrijdag. De rechtszaak was het logisch gevolg van DFW’s plan downloaders aan te spreken op illegaal downloaden, inclusief boete, pardon schikkingsvoorstel van 150 euro per download. Nodig daarvoor is dat providers gezellig NAW-gegevens verstrekken wanneer DFW een IP-adres verstrekt en een rapportje dat er daarmee gedownload is. Maar de rechtbank vindt dat even iets te makkelijk gaan.

In de basis had DFW natuurlijk een punt om providers aan te kunnen spreken. Dat Lycos/Pessers-arrest uit 2006 bepaalt dat je bij evidente inbreuk gewoon die gegevens moet verschaffen. Maar daar zit wel een belangenafweging bij: hoe reëel is de claim, zijn er andere opties en vooral, welke belangen spreken eventueel tegen het afgeven van die NAW-gegevens?

De rechtbank kiest een nieuwe insteek bij die belangenafweging: wacht eens even, wat gaat u dan dóen met die mensen? Want natuurlijk, ik hoor u zeggen, mensen aanspreken op mogelijke inbreuk, maar hóe dan. Dat was kennelijk ook bij de zitting gevraagd, en het antwoord viel niet goed:

De opmerking van DFW ter zitting dat er een brief zal worden gestuurd en dat er dan rustig zal worden afgewacht wat de reactie zal zijn, is erg mager, zeker in de omstandigheid dat de inhoud van de brief niet (voldoende) bekend is.

Gezien de beruchte praktijken van rare clubs als Permission Machine ligt het inderdaad bepaald niet voor de hand dat DFW ineens wél netjes gaat zeggen “mogelijk heeft u inbreuk gemaakt, laten we een goed gesprek voeren rekening houdend met uw situatie en zien of de kostprijs van een Blu-Ray wellicht de schade dekt”. Mede vanwege het feit dat DFW in de pers eerder 150 euro als schadebedrag had genoemd, en ook nog “honderden euro’s”. Dan ga je toch denken, is deze partij uit op handhaving volgens het boekje of wil men binnenlopen op illegale downloaders.

En dat telt zwaar:

Het bedrag dat DFW thans wenst te ontvangen, vermoedelijk € 150,–, is echter op geen enkele wijze onderbouwd en niet is uitgesloten dat in het door DFW te vragen schadebedrag ook elementen van een boete zitten. Dat de sancties bij de handhaving van het auteursrecht doeltreffend en evenredig moeten zijn en de sancties ook bijzondere preventieve werking moeten hebben, betekent echter niet dat er ruimte is voor punitieve elementen bij een schadevergoeding. De bestaande onduidelijkheid over het daadwerkelijk te vragen (schade)bedrag en de samenstelling daarvan, werkt bij de afweging van alle belangen in het nadeel van DFW.

De rechter ziet de bui al hangen: geef je ze die namen, gaan ze blafbrieven sturen waarin op hoge toon van vaststaande inbreuk wordt gesproken die gerechtelijk gestraft wordt met een conform de jurisprudentie berekende staffel van 150 euro, gelieve binnen 14 dagen te betalen bij gebreke waarvan een procedure zal worden gestart waarbij volledige proceskosten ex 1019h Rechtsvordering zullen worden geëist dewelke kunnen oplopen tot 8.000 euro conform het door de Rechtspraak goedgekeurde tarievenmodel. Toch een iets andere brief dan “kunnen wij even praten, volgens mij heeft u een auteursrecht van ons geschonden”, nietwaar?

Geen NAW-gegevens dus. Dit wil natuurlijk niet zeggen dat DFW nooit meer terug mag komen, ze kunnen een nieuwe procedure starten en dan laten zien wat ze concreet wél aan de downloaders, althans de accounthouders gaan sturen. Ik ben heel benieuwd.

Arnoud

Facebook moet gegevens Nederlandse gebruiker doorgeven om chantage

naam-handelsnaamFacebook moet gegevens van een gebruiker opsporen en doorgeven om vervolging van die persoon mogelijk te maken, meldde Nu.nl maandag. Het gaat om gegevens van iemand die dreigde intieme foto’s van een gebruiker te publiceren. De rechter bepaalde dat Facebook die moet afgeven. Opmerkelijk genoeg wel met de overweging dat Facebook terecht niet zelf die gegevens heeft afgegeven maar het op een rechtszaak liet aankomen. Ik mis even iets.

De eiseres had via Facebook een ander leren kennen op wie ze verliefd was geraakt, en die ander wist bij haar intieme beelden los te peuteren (in ruil voor nepbeelden terug). Op zeker moment ontstonden bij haar twijfels over of haar wederpartij wel echt was, waarop het gesprek explodeerde en de ander dreigde deze beelden van haar op internet te slingeren.

Een klassiek geval, en lastig aan te pakken want de politie ziet hier vaak weinig heil in (“niet strafbaar, had je maar geen naaktfoto’s moeten sturen”, is een klant van me eens verteld) en zelf een rechtszaak beginnen is toch een hele hoop tijd en moeite. Al is het maar omdat je dan op zijn minst een naam nodig hebt, en alleen Facebook heeft dergelijke informatie.

Naar de rechter dus en opeisen die gegevens. Lycos/Pessers biedt daar een grondslag voor: bij onrechtmatig handelen van een klant waarbij alleen Facebook diens identiteit kent én er geen andere optie is én de klant zijn privacy ondergeschikt is aan de claim, moeten deze gegevens worden afgegeven. Alleen: staat dan in voldoende mate vast dat hier sprake is van iets onrechtmatigs?

Natuurlijk, een dreigement om naaktfoto’s te publiceren is een strafbaar feit (smaad, schending van portretrecht en als er iets wordt gevraagd om het dreigement niet uit te voeren dan is het chantage) maar hoe weten we dat dat echt is uitgevoerd? Veel zal immers in privéberichten (of zelfs buiten Facebook om) gebeuren, dus dat is geen gelopen race.

De rechter in deze zaak kijkt niet naar dit arrest, maar formuleert een eigen norm toegespitst op dit soort gevallen:

Een vordering zoals ingesteld door [eiseres] kan slechts worden toegewezen, indien een gebruiker door middel van een valse identiteit tracht om in het bezit te komen van gegevens die niet voor hem of haar zijn bedoeld en die hij of zij, indien zijn of haar ware identiteit was gebruikt, niet zou hebben ontvangen.

Wanneer iemand dus met een nepprofiel gegevens probeert los te peuteren, handelt hij onrechtmatig. Dat biedt dan voldoende grondslag om tegen de dienstverlener te zeggen, afgeven wat je over deze persoon weet zodat het slachtoffer hem kan aanklagen.

Opmerkelijk vind ik dan dat de rechtbank zegt dat Facebook onrechtmatig handelt door die gegevens niet te geven, maar:

De voorzieningenrechter is van oordeel dat Facebook terecht niet op eerste verzoek van [eiseres] privacy gevoelige informatie van haar gebruikers heeft prijsgegeven, maar een uitspraak van de rechter over dit punt heeft afgewacht.

Onder het Lycos/Pessers arrest moet nu juist wél direct die gegevens worden verschaft. Dat is het hele idee van “onrechtmatig handelen door ze niet te geven”. Je richt schade aan door die gegevens achter te houden terwijl het duidelijk is dat ze afgegeven moeten worden. Ik denk dat de rechter tussen de regels door bedoelt dat het voor Facebook hier niet duidelijk genoeg was of sprake was van onrechtmatigheid, en in dat geval is inderdaad een rechterlijke toets nodig.

Maar het is wel jammer dat het zo geformuleerd staat, want dit wekt dan toch weer de indruk dat je als tussenpersoon altijd naar de rechter mag verwijzen. En dat is nadrukkelijk onjuist.

Arnoud

Ook Instagram moet zich aan het Lycos/Pessers-arrest houden

naam-handelsnaamDe rechtbank Noord-Holland heeft bepaald dat Instagram de naw-gegevens en het ip-adres van een account moet vrijgeven, meldde Tweakers. De moeder van een minderjarig kind eiste deze gegevens op, omdat het desbetreffende account pornografisch materiaal met de bijnaam van haar dochter verspreidde. Het verweer van Instagram was klassiek: we zijn een neutrale tussenpersoon en niet aansprakelijk, plus afgifte mag niet van onze community richtlijnen. Maar dat kun je dus echt vergeten.

Uit eerdere berichtgeving maak ik op dat dit account geen geïsoleerd incident of toeval was. De scholiere werd al tijden door een groep jongeren gepest, en daarbij was een scheldnaam voor haar gebruikt als naam van het Instagram-account. Bovendien werd bij de foto’s gesuggereerd dat ze van haar zouden zijn.

Reden genoeg om eens bij Instagram aan te kloppen, zou je zeggen. Want de bekende belangenafweging onder Lycos/Pessers vereist immers dat er een duidelijk vermoeden is van onrechtmatig handelen, en daarvan lijkt hier wel sprake.

Het vonnis zelf is nog niet online, maar het persbericht van Rechtspraak al wel. En daaruit maak ik op dat de toets impliciet werd afgelopen, en dat de rechtbank er vrij snel klaar mee was. Wel leuk om te lezen dat net als Facebook Instagram ook haar community richtlijnen om de oren krijgt: je zou abuse bestrijden, dit is bestrijden, dus doe het. Einde oefening, afgeven persoonsgegevens.

En ik blijf zitten met het gevoel dat als de VS vanaf dag 1 had gezegd, neutraal platform oké maar wel NAW afgeven, we nooit deze discussies hadden gehad. Want de hele wereld is Californië en alles dat afwijkt daarvan is eigenlijk maar raar.

Arnoud

Usenetproviders moeten gegevens van ebookuploaders verstrekken aan Brein

scanbook.pngDe rechtbank in Haarlem heeft geoordeeld dat Eweka en Usenetter de gegevens van twee uploaders van ebooks moeten verstrekken aan Stichting Brein, las ik bij Tweakers. Het belang van Brein weegt volgens de rechter zwaarder dan het belang van de usenetproviders. En elke keer is iedereen weer verbaasd dat dat kan “zonder gerechtelijk bevel” en strijd met de e-Privacy richtlijn, oh hooh.

In 2006 bepaalde de Hoge Raad dat je als tussenpersoon (zoals hoster of toegangsprovider) verplicht bent om onder voorwaarden NAW gegevens af te geven aan klagende derden. Daarbij gelden vier eisen (inbreuk is aannemelijk, geen andere route, alternatieven uitgeput en belangenafweging). En wat iedereen dan zo gek vindt: dit is dus géén “kom maar met een gerechtelijk bevel dat aan deze eisen is voldaan”; nee, je moet zélf afwegen hoe dit zit. Is het nu werkelijk zo gek dat je als bedrijf geacht wordt een juridische afweging te maken? Dat doe je toch met wel meer dingen, zoals of een klant je algemene voorwaarden schendt?

Dan is er hier nog een argument gebaseerd op de e-Privacy richtlijn, de cyber-Wbp dus. Ik doe het vast onrecht maar het komt erop neer dat omdat we nu pas voor de rechter staan en die personen geen klant meer zijn, de klantgegevens allang weggegooid hadden moeten zijn en Brein dus verlangt dat men de wet overtreedt. Daar heb ik moeite mee: die gegevens werden gevraagd toen die personen nog klant waren. Dat het dan even duurt voor we eruit zijn dat ze echt afgegeven moeten worden, kan dan geen argument zijn tegen afgifte.

Kijk. Natuurlijk is het niet prettig dat klagende derden (en dan met name Brein, in de Facebookzaak lag dat anders) in je klantgegevens mogen snuffelen. Maar denk ik dan, er is wat te zeggen voor het afgeven áls er genoeg waarborgen zijn. En het raamwerk uit Lycos/Pessers is echt wel genuanceerd te noemen. Dus volgens mij zit de pijn hem echt in die gerechtelijke toets, en daar kan ik steeds moeilijker bij.

Of mis ik iets fundamentelers?

Arnoud

Duitse pornoboer jaagt op Nederlandse downloaders

class-a-ip-address.pngUPC hoeft vooralsnog de identiteit van klanten die porno downloadden niet te verstrekken, las ik bij Webwereld. Een Duits pornobedrijf had bij de internetprovider de NAW-gegevens geëist van IP-adressen die bij UPC-klanten in gebruik waren. Uit het vonnis blijkt waarom UPC dit niet hoeft: er was simpelweg geen flintertje fatsoenlijk bewijs.

In beginsel is een internetprovider al een hele tijd verplicht NAW-gegevens van klanten af te geven als blijkt dat die klanten zich schuldig maken aan onrechtmatig gedrag en er niemand anders dan de provider ze kan identificeren. Dat geldt natuurlijk ook voor downloaden uit illegale bron, nu dit illegaal blijkt te zijn. Dus op zich niet zo gek dat bedrijven dergelijke claims gaan indienen.

UPC had een interessant verweer: die hoofdregel uit het Lycos/Pessers gaat hier niet op, want gezien de aard van de films zouden er gegevens over seksuele voorkeurens van die klanten afgegeven mogen worden. En dergelijke gegevens vallen onder een strenger regime dan normaal onder de Wet bescherming persoonsgegevens. De rechter vindt echter dat deze link te vergezocht is, omdat het primair gaat om “gegevens van commerciële aard”.

Een ander verweer van UPC had meer succes. De uitgeversnamen op de hoesjes zijn een andere dan de eisende partij hier. En partij A kan niet claimen wegens inbreuk op auteursrecht van partij B, dus hoe zit dat? Het antwoord van het filmbedrijf is wat onduidelijk.

Ook blijkt er volgens UPC te kunnen worden getwijfeld aan de juistheid van de tijden bij de verzamelde IP-adressen. Omdat die snel kunnen wijzigen, is het belangrijk zeker te weten dat de tijden kloppen, anders pak je (haha) de verkeerde. De rechter wil geen uitspraak doen over de juistheid van de gebruikte tool, omdat er geen onafhankelijke IT-deskundige in de zaal was.

Nadat tevens verwarring was gezaaid over het onderscheid tussen seeders en downloaders en de vraag of streamen eigenlijk wel onder het downloadverbod valt (ehh), heeft de rechter er genoeg van: jongens, we zitten hier om in kort geding een snelle uitspraak te doen, en dit is gewoon té moeilijk met al deze onduidelijkheden en technische complexiteit. De eis wordt dan ook niet toegewezen en de pornoboer mag zijn juridisch huiswerk opnieuw doen.

Arnoud