Facebook moet gegevens Nederlandse gebruiker doorgeven om chantage

| AE 8976 | Ondernemingsvrijheid, Privacy | 5 reacties

naam-handelsnaamFacebook moet gegevens van een gebruiker opsporen en doorgeven om vervolging van die persoon mogelijk te maken, meldde Nu.nl maandag. Het gaat om gegevens van iemand die dreigde intieme foto’s van een gebruiker te publiceren. De rechter bepaalde dat Facebook die moet afgeven. Opmerkelijk genoeg wel met de overweging dat Facebook terecht niet zelf die gegevens heeft afgegeven maar het op een rechtszaak liet aankomen. Ik mis even iets.

De eiseres had via Facebook een ander leren kennen op wie ze verliefd was geraakt, en die ander wist bij haar intieme beelden los te peuteren (in ruil voor nepbeelden terug). Op zeker moment ontstonden bij haar twijfels over of haar wederpartij wel echt was, waarop het gesprek explodeerde en de ander dreigde deze beelden van haar op internet te slingeren.

Een klassiek geval, en lastig aan te pakken want de politie ziet hier vaak weinig heil in (“niet strafbaar, had je maar geen naaktfoto’s moeten sturen”, is een klant van me eens verteld) en zelf een rechtszaak beginnen is toch een hele hoop tijd en moeite. Al is het maar omdat je dan op zijn minst een naam nodig hebt, en alleen Facebook heeft dergelijke informatie.

Naar de rechter dus en opeisen die gegevens. Lycos/Pessers biedt daar een grondslag voor: bij onrechtmatig handelen van een klant waarbij alleen Facebook diens identiteit kent én er geen andere optie is én de klant zijn privacy ondergeschikt is aan de claim, moeten deze gegevens worden afgegeven. Alleen: staat dan in voldoende mate vast dat hier sprake is van iets onrechtmatigs?

Natuurlijk, een dreigement om naaktfoto’s te publiceren is een strafbaar feit (smaad, schending van portretrecht en als er iets wordt gevraagd om het dreigement niet uit te voeren dan is het chantage) maar hoe weten we dat dat echt is uitgevoerd? Veel zal immers in privéberichten (of zelfs buiten Facebook om) gebeuren, dus dat is geen gelopen race.

De rechter in deze zaak kijkt niet naar dit arrest, maar formuleert een eigen norm toegespitst op dit soort gevallen:

Een vordering zoals ingesteld door [eiseres] kan slechts worden toegewezen, indien een gebruiker door middel van een valse identiteit tracht om in het bezit te komen van gegevens die niet voor hem of haar zijn bedoeld en die hij of zij, indien zijn of haar ware identiteit was gebruikt, niet zou hebben ontvangen.

Wanneer iemand dus met een nepprofiel gegevens probeert los te peuteren, handelt hij onrechtmatig. Dat biedt dan voldoende grondslag om tegen de dienstverlener te zeggen, afgeven wat je over deze persoon weet zodat het slachtoffer hem kan aanklagen.

Opmerkelijk vind ik dan dat de rechtbank zegt dat Facebook onrechtmatig handelt door die gegevens niet te geven, maar:

De voorzieningenrechter is van oordeel dat Facebook terecht niet op eerste verzoek van [eiseres] privacy gevoelige informatie van haar gebruikers heeft prijsgegeven, maar een uitspraak van de rechter over dit punt heeft afgewacht.

Onder het Lycos/Pessers arrest moet nu juist wél direct die gegevens worden verschaft. Dat is het hele idee van “onrechtmatig handelen door ze niet te geven”. Je richt schade aan door die gegevens achter te houden terwijl het duidelijk is dat ze afgegeven moeten worden. Ik denk dat de rechter tussen de regels door bedoelt dat het voor Facebook hier niet duidelijk genoeg was of sprake was van onrechtmatigheid, en in dat geval is inderdaad een rechterlijke toets nodig.

Maar het is wel jammer dat het zo geformuleerd staat, want dit wekt dan toch weer de indruk dat je als tussenpersoon altijd naar de rechter mag verwijzen. En dat is nadrukkelijk onjuist.

Arnoud

Usenetproviders moeten gegevens van ebookuploaders verstrekken aan Brein

| AE 8750 | Intellectuele rechten, Privacy | 54 reacties

scanbook.pngDe rechtbank in Haarlem heeft geoordeeld dat Eweka en Usenetter de gegevens van twee uploaders van ebooks moeten verstrekken aan Stichting Brein, las ik bij Tweakers. Het belang van Brein weegt volgens de rechter zwaarder dan het belang van de usenetproviders. En elke keer is iedereen weer verbaasd dat dat kan “zonder gerechtelijk bevel” en strijd met de e-Privacy richtlijn, oh hooh.

In 2006 bepaalde de Hoge Raad dat je als tussenpersoon (zoals hoster of toegangsprovider) verplicht bent om onder voorwaarden NAW gegevens af te geven aan klagende derden. Daarbij gelden vier eisen (inbreuk is aannemelijk, geen andere route, alternatieven uitgeput en belangenafweging). En wat iedereen dan zo gek vindt: dit is dus géén “kom maar met een gerechtelijk bevel dat aan deze eisen is voldaan”; nee, je moet zélf afwegen hoe dit zit. Is het nu werkelijk zo gek dat je als bedrijf geacht wordt een juridische afweging te maken? Dat doe je toch met wel meer dingen, zoals of een klant je algemene voorwaarden schendt?

Dan is er hier nog een argument gebaseerd op de e-Privacy richtlijn, de cyber-Wbp dus. Ik doe het vast onrecht maar het komt erop neer dat omdat we nu pas voor de rechter staan en die personen geen klant meer zijn, de klantgegevens allang weggegooid hadden moeten zijn en Brein dus verlangt dat men de wet overtreedt. Daar heb ik moeite mee: die gegevens werden gevraagd toen die personen nog klant waren. Dat het dan even duurt voor we eruit zijn dat ze echt afgegeven moeten worden, kan dan geen argument zijn tegen afgifte.

Kijk. Natuurlijk is het niet prettig dat klagende derden (en dan met name Brein, in de Facebookzaak lag dat anders) in je klantgegevens mogen snuffelen. Maar denk ik dan, er is wat te zeggen voor het afgeven áls er genoeg waarborgen zijn. En het raamwerk uit Lycos/Pessers is echt wel genuanceerd te noemen. Dus volgens mij zit de pijn hem echt in die gerechtelijke toets, en daar kan ik steeds moeilijker bij.

Of mis ik iets fundamentelers?

Arnoud

Google moet naw-gegevens verstrekken van valse reviewer kinderdagverblijf

| AE 8475 | Ondernemingsvrijheid, Privacy | 38 reacties

thumbs-down.jpgGoogle moet de persoonsgegevens overhandigen van mensen die neprecensies over een Amsterdams kinderdagverblijf hebben achtergelaten op de kaartendienst Google Maps. Dat meldde Nu.nl vorige week. De neprecensies gaven ophef bij ouders, maar Google was niet vrijwillig bereid deze weg te halen totdat het bij de rechter kwam.

Uit het vonnis komen een paar wonderlijke feiten naar voren. Het ging om vier recensies, die gekopieerd bleken van andere kinderopvangen. De namen van de recensenten waren niet bekend bij het kinderdagverblijf (oké, dat kan, maar van álle recensenten?) en de profielfoto’s daarbij waren afkomstig van andere personen op internet.

Google deed niets met klachten van het kdv, behalve standaardriedels terugmailen zoals we gewend zijn van Californische techbedrijven:

Google+ local host inhoud van derden. Het is niet de maker van of een tussenpersoon voor die inhoud. We raden u aan geschillen rechtstreeks op te lossen met het individu die de inhoud heeft gepost. Als u niet tot overeenstemming kunt komen en besluit juridische stappen te nemen tegen de individu die de inhoud heeft gepost, en als die stappen leiden tot een juridisch besluit dat het materiaal illegaal is of moet worden verwijderd, stuurt u ons een rechterlijk bevel waarin de verwijdering wordt geëist.

Daarop stapte het kdv naar de Nederlandse rechter. Op enig moment na de rechtszitting kreeg Google een nieuw inzicht en werden drie van de vier recensies verwijderd wegens -u raadt het al- niet nader gespecificeerde strijd met de huisregels. Waarom de vierde mocht blijven staan, is onduidelijk, maar de rechter ziet een overtreding van de regel over valse identiteiten en auteursrechtschendingen (de recensie was immers gekopieerd van elders) en deze moet er dus af.

Hiermee staat tevens vast dat de recensies juridisch niet door de beugel kunnen. Daarmee is aan de eerste van de vier Lycos/Pessers-eisen voldaan. Dat er schade is geleden en dat het kdv die wil verhalen, ligt voor de hand en is legitiem (eis 2). Er is geen andere manier om deze gegevens te achterhalen dan via Google (eis 3). En omdat de onrechtmatigheid hier evident is, is er geen reden om afgifte dan toch tegen te houden (eis 4). Afgeven dus die IP-adressen en wat je nog meer weet.

Voor zover bekend is het voor het eerst dat Google de gegevens van Nederlandse neprecensenten op Google Maps moet overhandigen, zegt Nu.nl dan. Klopt, maar dat is wel een erg specifieke invulling van “voor het eerst”. Het raamwerk (Lycos/Pessers) is immers al lang bekend, dus het is niet gek dat het ook geldt voor Maps-recensenten. Maar ja, iets is alleen nieuws als het de eerste keer is. Of zo.

Arnoud

Facebook moet gegevens geven aan slachtoffer wraakporno

| AE 7781 | Ondernemingsvrijheid | 32 reacties

Facebook moet binnen twee weken de gebruikersgegevens verstrekken van de persoon die een seksfilmpje op de website heeft gezet. Dat meldde NRC gisteren. In een kort geding had het slachtoffer dit geëist, en de rechter wijst deze eis nu toe. En wanneer Facebook niet binnen 14 dagen die gegevens overlegt, moet een onafhankelijke IT-deskundige bevestigen… Lees verder

Duitse pornoboer jaagt op Nederlandse downloaders

| AE 7403 | Intellectuele rechten, Ondernemingsvrijheid | 22 reacties

UPC hoeft vooralsnog de identiteit van klanten die porno downloadden niet te verstrekken, las ik bij Webwereld. Een Duits pornobedrijf had bij de internetprovider de NAW-gegevens geëist van IP-adressen die bij UPC-klanten in gebruik waren. Uit het vonnis blijkt waarom UPC dit niet hoeft: er was simpelweg geen flintertje fatsoenlijk bewijs. In beginsel is een… Lees verder

Moet ik het IP-adres of emailadres van mijn gebruiker afgeven als hij auteursrechten schendt?

| AE 6402 | Ondernemingsvrijheid | 46 reacties

Een lezer vroeg me: Op ons forum worden wel eens foto’s geplaatst zonder toestemming. Op klacht haal ik die netjes weg. Maar nu wil een fotograaf van mij de naam en (woon-)adresgegevens van een forummer. Moet ik dat geven? En adresgegevens héb ik helemaal niet! Een forumexploitant is in beginsel niet aansprakelijk voor wat de… Lees verder

‘E-bookverkopers mogen klantinformatie doorspelen aan Brein’

| AE 5993 | Intellectuele rechten, Privacy | 21 reacties

Aanbieders van e-books mogen in Nederland klanteninformatie doorspelen aan stichting Brein, las ik bij Nu.nl. Nou ja, mag: mag met apart gegeven toestemming onder de privacywet. Een beetje flauw dus, want met dergelijke toestemming mag zo ongeveer alles. Naar aanleiding van eerdere berichtgeving dat Brein dit zou hebben afgesproken met ebookverkopers werden Kamervragen gesteld. In… Lees verder

ING hoeft persoonsgegevens FTD World niet aan Brein te geven

| AE 5558 | Intellectuele rechten, Privacy | 43 reacties

Nee lieve Nutechpromotende keywordscoorders: niet dat FTD maar een forum genaamd FTD World. De ING-bank hoeft in een rechtszaak met Stichting Brein rond het Nederlandse internetplatform FTD World geen persoonsgegevens te verstrekken van een rekeninghouder op wiens rekening je donaties voor het forum kon storten. Dat bepaalde de rechtbank Amsterdam vorige week. Hoewel je zeker… Lees verder