Moet ik het IP-adres of emailadres van mijn gebruiker afgeven als hij auteursrechten schendt?

Een lezer vroeg me:

Op ons forum worden wel eens foto’s geplaatst zonder toestemming. Op klacht haal ik die netjes weg. Maar nu wil een fotograaf van mij de naam en (woon-)adresgegevens van een forummer. Moet ik dat geven? En adresgegevens héb ik helemaal niet!

Een forumexploitant is in beginsel niet aansprakelijk voor wat de leden doen, mits hij maar netjes op klachten reageert. Dit kan anders worden als hij of zijn moderatoren zelf actief bemoeienis hebben bij het onrechtmatig gedrag, bijvoorbeeld door op te roepen tot het publiceren van inbreukmakende foto’s.

Een fotograaf zal dus in beginsel een schadeclaim moeten indienen bij de forumgebruiker, die heeft immers de auteursrechten geschonden. Maar dat kan eigenlijk niet zonder te weten waar deze gebruiker woont. Op zich dus een logische vraag van deze fotograaf.

Veel mensen denken dat zulke gegevens niet mogen worden afgegeven zonder gerechtelijk bevel, of dat alleen Justitie dit mag opvragen. Dat is onjuist: een benadeelde private partij (zoals een fotograaf) mág persoonsgegevens van een inbreukmakende gebruiker opvragen bij een provider (of forumbeheerder), mits aan bepaalde eisen is voldaan. Werkt de provider dan niet uit zichzelf mee, dan handelt hij onrechtmatig. Dat bepaalde de Hoge Raad in het Lycos/Pessers-arrest. Hierbij geldt een vierstappentoets:

  1. de mogelijkheid dat de informatie, op zichzelf beschouwd, jegens de derde onrechtmatig en schadelijk is, is voldoende aannemelijk;
  2. de derde heeft een reëel belang bij de verkrijging van de NAW-gegevens;
  3. aannemelijk is dat er in het concrete geval geen minder ingrijpende mogelijkheid bestaat om de NAW-gegevens te achterhalen;
  4. afweging van de betrokken belangen van de klager, de serviceprovider en de gebruiker (voor zover kenbaar) brengt mee dat het belang van de derde behoort te prevaleren.

We weten uit het 123video-arrest dat deze toets streng moet worden uitgelegd. Belangrijkste is eigenlijk dat er geen andere optie is dan het deze partij te vragen, je moet alle andere wegen hebben bewandeld.

Een andere eis is dat de provider een essentiële rol moet spelen. Hier struikelde Brein in mei over in een zaak tegen de ING. Een bank speelt geen essentiële rol bij onrechtmatig faciliteren van auteursrechtinbreuk enkel omdat op de faciliterende site om donaties wordt gevraagd en een bankrekeningnummer genoemd staat.

Hier lijkt het me echter dat in beginsel aan de eisen is voldaan. Een forumbeheerder heeft een vrij essentiële rol bij een auteursrechtinbreuk op het forum, er is zelden tot nooit andere informatie over wie de gebruiker is, en een auteursrechtclaim is al snel te onderbouwen tot een voldoende aannemelijk niveau. De belangenafweging kan een rol spelen: denk aan iemand die kritisch is over de fotograaf en daarbij een foto toont als ondersteuning. Maar dat lijkt me onwaarschijnlijk.

Het probleem is hier echter veel basaler: de forumbeheerder hééft zelden tot nooit de relevante informatie. Ja, een IP-adres vanaf waar de foto werd geplaatst en een emailadres dat gekoppeld is aan het account. Maar wat heb je aan een IP-adres van meer dan een half jaar oud? De internetprovider die daarbij hoort, is niet meer bewaarplichtig, dus die heeft de koppeling niet meer met de NAW-gegevens van de gebruiker. En dat emailadres zal zelden genoeg informatie bevatten om een dagvaarding uit te kunnen brengen.

Van een forumeigenaar kun je moeilijk verlangen dat hij NAW gegevens gaat opvragen. Zeker als er al een rechtszaak dreigt, wie gaat er dan nog vrijwillig aan zijn forumeigenaar die dingen geven? En om nou te zeggen, een forumeigenaar moet maar op voorhand NAW gegevens vragen en valideren van zijn gebruikers, dat zie ik al helemaal niet zitten.

Arnoud

‘E-bookverkopers mogen klantinformatie doorspelen aan Brein’

scanbook.pngAanbieders van e-books mogen in Nederland klanteninformatie doorspelen aan stichting Brein, las ik bij Nu.nl. Nou ja, mag: mag met apart gegeven toestemming onder de privacywet. Een beetje flauw dus, want met dergelijke toestemming mag zo ongeveer alles.

Naar aanleiding van eerdere berichtgeving dat Brein dit zou hebben afgesproken met ebookverkopers werden Kamervragen gesteld. In het antwoord hierop zegt de minister nu dat zoiets een verwerking van persoonsgegevens is en dat “de meest voor de hand liggende verwerkingsgrond” de uitdrukkelijke toestemming is.

Eh ja. Wanneer iemand zegt dat het gebruiken van privacygevoelige gegevens mag mits met toestemming, bedoelt hij eigenlijk dat het niet mag tenzij dat expliciet apart is gevraagd, na een stukje uitleg én mensen die toestemming mogen weigeren. Dat is immers de definitie van ’toestemming’ onder de privacywet. Een e-boekverkoper kan dus Breindoorgiftetoestemming bedingen als deel van de verkoop, maar zal dat wel met een apart aanvinkvakje moeten vragen:

toestemming-voor-brein

We weten van de cookiewet dat je bij een weigering weer mag weigeren je dienst te leveren. Een ebookverkoper kan dus zeggen, ik verkoop je dat ebook niet want je hebt me geen Breindoorgiftetoestemming gegeven.

Echter wat zegt nu de minister:

In casu lijkt daarvoor doorslaggevend of een klant ondubbelzinnig en uit vrije wil ingestemd heeft met de gegevensverwerking met het oog op handhaving van de op eboeken rustende intellectuele eigendomsrechten. Bij deze beoordeling zal – mede gelet op een vrije toegang tot informatie en cultuur – een rol spelen of een klant ook langs andere weg kennis kan nemen van het boek.

Oftewel: als dit boek niet óók op papier te koop is, dan is er in feite sprake van een afgedwongen toestemming want toegang tot boeken, tot informatie is zo belangrijk dat “dan lees ik wel géén boek” geen optie is. Dat is wel een opmerkelijke visie, die zeker ook in andere internetsituaties leuke toepassing kan opleveren.

Iets logischer lijkt mij de grond van het “dringend eigen belang” – wie écht absoluut die gegevens nodig heeft en redelijkerwijs niet om toestemming kan vragen, mag zonder toestemming werken mits hij maar de privacy van de betrokken personen zo veel mogelijk respecteert. Dat schemert hier door:

Webwinkels kunnen zelf belang hebben bij het bewaren van klantgegevens bijvoorbeeld ten behoeve van het optreden tegen distributie van e-boeken zonder toestemming van de rechthebbende.

Dat zou dan formeel onder “goede uitvoering van de overeenkomst” vallen. Maar of het dan noodzakelijk is de gegevens aan Brein te geven?

Meer algemeen: gaat dit nut hebben? Wie zal zich laten afschrikken door deze gegevensregistratie?

Arnoud

ING hoeft persoonsgegevens FTD World niet aan Brein te geven

Nee lieve Nutechpromotende keywordscoorders: niet dat FTD maar een forum genaamd FTD World. De ING-bank hoeft in een rechtszaak met Stichting Brein rond het Nederlandse internetplatform FTD World geen persoonsgegevens te verstrekken van een rekeninghouder op wiens rekening je donaties voor het forum kon storten. Dat bepaalde de rechtbank Amsterdam vorige week. Hoewel je zeker (ook zonder gerechtelijk bevel) verplicht kunt zijn NAW-gegevens te verschaffen van je klant aan private partijen, is die plicht wel een laatste redmiddel als al het andere niet is gelukt. En in dit geval had Brein niet al het andere geprobeerd.

Nadat de FTD dienst in 2011 zijn deuren moest sluiten (waar ik nog steeds van baal), gingen diverse partijen zelf vervangers, opvolgers en alternatieven opzetten. Eentje daarvan is FTD World, dat volgens de Whois uit Litouwen komt maar dat een Nederlands Postbanknummer op de site vermeldde waar donaties naartoe konden.

Brein stapte daarop met het Lycos/Pessers arrest naar de ING bank en eiste alle NAW-gegevens van de accounthouder. De naam van deze mevrouw stond op de site (“ten name van”) en de bank bevestigde dat zij houder was, plus dat zij iemand had gemachtigd – maar niet hoe die gemachtigde zou heten. En dat was voor Brein reden om de NAW-gegevens bij de rechter op te gaan eisen.

De rechtbank gaat daar niet in mee. Vereist voor afgifte is namelijk dat de tussenpersoon (provider) een essentiële rol inneemt:

Naar het oordeel van de voorzieningenrechter miskent Brein hiermee dat de rol van een internet service provider of hostingprovider wezenlijkanders is dan die van een bank als ING Bank. Een“piratenwebsite” kan niet bestaan zonder een provider. Er is geen sprake van onrechtmatigheid als de provider zijn diensten niet verricht. ING Bank verzorgt “slechts” het bankverkeer, hetgeen niet als conditio sine qua non heeft te gelden met betrekking tot (mogelijke) auteursrechtinbreuk.

Daar zit ergens wel wat in, een bank kan moeilijker bepalen of handelen van zijn klant onrechtmatig is als de enige link tussen bank en handelen is dat het bankrekeningnummer ergens op staat. Tegelijkertijd: in andere omstandigheden lijkt dat minder een probleem: XS4All heeft bar weinig te maken met de informatie op de site van TPB, dus waarom moet XS4All dan tóch overgaan tot een blokkade? En als je zegt, XS4All kan zó zien dat die informatie onrechtmatig is, waarom kan de ING Bank dan niet even snel zien dat de informatie op dat FTD World onrechtmatig is?

Brein gaat in hoger beroep. En ik vraag me af wat dit zou betekenen voor partijen die oplichters via de bank willen identificeren. Bij die transactie is de bank wél essentieel: zonder bankrekening geen betaling. Dus in die situatie zou de rol vergelijkbaar zijn met die van een ISP of hostingprovider, en dan zou de bank dus wél gegevens moeten afgeven?

Update (20 juli 2015) het Hof van Justitie zegt in een Duitse merkenzaak dat een bank zich niet op bankgeheim mag beroepen als de klant IE-inbreuk pleegt. Er moet een afweging van belangen komen. Dat lijkt op de Lycos/Pessers-toets die wij hebben.

Arnoud