Notice and takedown gedragscode ingevoerd

printer-aangeklaagd-dmca.jpgAfgelopen donderdag is de ‘Notice-and-takedown’-gedragscode na meer dan een jaar steggelen afgekomen en uitgereikt aan staatssecretaris Heemskerk van Economische Zaken. In deze gedragscode staan procedures uitgewerkt voor webhosters en andere internetdienstverleners over hoe om te gaan met klachten en claims over materiaal dat hun klanten aanbieden. Internetbedrijven zijn aansprakelijk voor wat hun klanten aanbieden, als ze dit niet na een terechte klacht weghalen. Dat staat in de wet (art. 6:196c BW). Maar hoe een dienstverlener moet bepalen of een klacht terecht is, en welke stappen je het beste kunt nemen bij de afhandeling, was altijd onduidelijk. De gedragscode helpt daarbij.

Heel in het kort zou de procedure als volgt moeten gaan:

  1. Een provider publiceert details over zijn procedure, inclusief contactgegevens en beleid over bepaalde soorten inhoud. Bijvoorbeeld wat er wel en niet mag in e-mail, op websites of via andere diensten.
  2. Een klager dient via dat contactadres een klacht in, en verschaft daarbij in ieder geval zijn contactgegevens, de URL of andere vindplaats van het materiaal en een motivatie waarom dit materiaal in strijd is met de wet of het beleid van de provider. De provider kan een vrijwaring eisen dat de klager een terechte klacht indient – en opdraait voor de schade als dat niet zo is.
  3. De provider controleert de klacht en maakt een inschatting of de klacht onmiskenbaar juist is. Als hij dat zonder problemen kan, meldt hij zijn bevindingen aan de klager en sluit hij bij een juiste klacht het materiaal af.
  4. Als de provider niet kan inschatten of de klacht onmiskenbaar juist is (bv. bij klachten over smaad), geeft hij de klacht door aan de klant met het verzoek het materiaal weg te halen of met de klager in contact te treden om het samen op te lossen.
  5. Lukt dat laatste niet, en haalt de klant het materiaal ook niet weg, dan “moet de melder bij voorkeur in staat worden gesteld zijn geschil met de [klant] voor de rechter te brengen.”

Een belangrijk gemis in de NTD gedragscode is hoe om te gaan met afgifte van persoonsgegevens van klanten. De wet zegt hier niets over. In de jurisprudentie (vooral het Lycos/Pessers-arrest) is uitgemaakt dat een provider onder omstandigheden verplicht kan zijn deze gegevens toch af te geven. Het moet voldoende duidelijk zijn dat de klant onrechtmatig bezig is, de eiser moet een reëel belang hebben en er mag geen geen minder ingrijpende mogelijkheid zijn om aan de NAW-gegevens van de klant te komen. Helaas zegt de gedragscode alleen maar dat “de tussenpersoon [kan] overgaan tot het verstrekken van NAW-gegevens”.

In de praktijk blijkt die afgifte redelijk makkelijk te gaan, zeker als het gaat om inbreuken op auteursrecht. De criteria uit de jurisprudentie zijn echter niet eenduidig. Schreef Lycos/Pessers (van de Hoge Raad) nog een vierstappentoets voor, bij de Brein/UPC en Brein/KPN zaken werd heel wat makkelijker geoordeeld dat deze gegevens moesten worden overgedragen. Bij Webwereld laat stichting Brein dan ook weten

“Wij kunnen en zullen echter niet aanvaarden dat er op een melding van Brein geen NAW wordt afgegeven”, aldus een strijdbare Kuik. “Er is geen plaats voor anoniem zaken doen op Internet. Dat is niet anders dan offline. Wat offline geldt moet ook online gelden. Dat is de regel die de overheid heeft gesteld en die moet gelding krijgen.”

Dat laatste is natuurlijk kletspraat – anoniem zakendoen gebeurt elke dag offline, en dient dus ook online te kunnen gebeuren. Los daarvan is het een veel te conservatief principe dat “wat offline geldt, ook online moet gelden” want online kunnen er dingen die offline niet mogelijk zijn, en wat moet daar dan voor gelden?

Het is jammer dat de gedragscode niet uitwerkt hoe deze afgifte in zijn werk zou moeten gaan. Er zijn diverse voorstellen gedaan hoe een klager toch kan discussiëren met een anonieme klant en hem zelfs anoniem voor de rechter kan slepen. Een dergelijke procedure zou een wezenlijke verbetering zijn ten opzichte van de huidige situatie. En daarmee zou de gedragscode een hele stap vooruit geweest zijn, in plaats van de formalisatie van de wet die ze nu is.

Arnoud<br/> (PS: check die schoenen!)

Hoe een printer aangeklaagd werd voor auteursrechteninbreuk

printer-aangeklaagd-dmca.jpgEen netwerkprinter aan de University of Washington kreeg een DMCA takedown notice omdat deze zich bezig zou hebben gehouden met illegale verspreiding van films via peer-to-peer netwerken. Nee, niet door ze uit te printen. Netwerkprinters hebben ook IP-adressen, en die adressen kunnen opduiken in filesharing netwerken, waar organisaties zoals Mediasentry weer door getriggerd worden om blafbrieven te sturen.

Om aan te tonen dat dit proces vaak onzorgvuldig en op basis van te weinig bewijs gebeurt, hebben onderzoekers van deze universiteit een aantal simpele technieken bedacht waarmee opzettelijk onjuiste aanmeldingen in filesharing netwerken gedaan worden. Zo kunnen zij elk het doen voorkomen alsof een willekeurig IP-adres elke gewenste film in de aanbieding heeft. Omdat die toezichthoudende clubs niet controleren of die film ook werkelijk daar op te vragen is, kan het dus gebeuren dat een volstrekt onschuldige printer ineens een takedown notice krijgt.

Naast kwaadwillenden die anderen erbij willen lappen, is het ook mogelijk dat mensen per abuis voor illegale filesharers worden aangezien. Vrijwel iedereen gaat het internet op met een dynamisch IP-adres, dat bij elke sessie op internet verandert. Stel iemand gaat met zo’n IP-adres zijn collectie adverteren op een filesharing netwerk, maar verliest ineens zijn internetverbinding omdat hij per ongeluk de stekker uit de PC trekt. Dat IP-adres en de bijbehorende films blijven nog een tijdje ‘rondzingen’ op dat netwerk. In de tussentijd kan het adres alweer aan een nieuwe gebruiker zijn toegekend door de provider. Als de controleur daarna eens gaat kijken wie er nog illegale films in de aanbieding heeft, komt hij via de provider uit bij die nieuwe gebruiker.

Het volledige paper is als PDF beschikbaar. Het abstract:

We reverse engineer copyright enforcement in the popular BitTorrent file sharing network and find that a common approach for identifying infringing users is not conclusive. We describe simple techniques for implicating arbitrary network endpoints in illegal content sharing and demonstrate the effectiveness of these techniques experimentally, attracting real DMCA complaints for nonsense devices, e.g., IP printers and a wireless access point. We then step back and evaluate the challenges and possible future directions for pervasive monitoring in P2P file sharing networks.

Via Schneier on Security.

Arnoud

Vraag aan Europees Hof: wanneer zijn Adwords legaal?

Verkopen van “genuine replica” merkproducten is een populaire bezigheid. Je moet natuurlijk wel kunnen adverteren, en onlangs maakte Google het met haar nieuwe Adwords-policy bedrijven een stuk gemakkelijker. In de EU is het nu toegestaan om advertenties te kopen op andermans merknaam. Daar maken verkopers van “echte replicaproducten” handig gebruik van. In Frankrijk werd Louis Vuitton daar erg boos om. Zij stapte naar de rechter, en deze heeft nu vragen gesteld aan het Europese Hof van Justitie over hoe het Europese merkenrecht moet worden geinterpreteerd als het gaat om gesponsorde koppelingen.

Het Hof stelt drie vragen, die ik niet letterlijk ga overnemen (lees ze bij Legalis in het Frans of probeer de Google Vertaling eens).

1. Is het verkopen van gesponsorde koppelingen naar imitatie- of replicasites een vorm van merkinbreuk?<br/> Dit is natuurlijk de hamvraag. Het verkopen van replica- of imitatiemerkproducten is meestal merkinbreuk, zelfs als je erbij zet “replica vuitton”. Maar Google verkoopt de producten niet zelf. Zij verwijzen alleen naar sites die dat wel doen. Die sites maken ook reclame met behulp van de merknaam, en dat is al snel merkinbreuk. Uit uitspraak C-228/03 van het Hof van Justitie (Gilette/ La Laboratories) blijkt dat dat bijvoorbeeld het geval is als het aangeboden product wordt voorgesteld als een imitatie of namaak van het merkproduct.

Alleen, wie publiceert nu eigenlijk de reclame? Google of de adverteerder?

2. Kan de houder van een beroemd merk optreden omdat door dit gebruik ongerechtvaardigd voordeel getrokken wordt van het merk?<br/> Louis Vuitton is een zogeheten “beroemd merk” (art. 6bis van het Unieverdrag van Parijs) en heeft daarom recht op extra bescherming van haar merk tegen allerlei vormen van misbruik. Niet alleen mag je zulke merken niet gebruiken voor dezelfde of vergelijkbare producten, maar je mag ze ook niet op andere manieren gebruiken als je daardoor zonder geldige reden ongerechtvaardigd voordeel trekt uit het merk. Deze vraag komt dus neer op: zijn Google’s advertentieinkomsten uit advertenties naar sites met namaakproducten “ongerechtvaardigd voordeel” dat Google verkrijgt uit het merk?

In Nederland werd Google in 2007 nog vrijgesproken van merkinbreuk op het merkrecht van Farmdate. Daar speelde wel mee dat “Farm date” niet bepaald een sterk merk is voor daten met boeren.

3. Zou je Google als “provider” (dienstverlener) kunnen aanmerken zodat zij aansprakelijk wordt op het moment dat ze op de hoogte is gesteld door de eigenaar van het handelsmerk van het illegale gebruik?<br/> Google slaat advertentieteksten op haar servers op, en toont die wanneer mensen bepaalde zoekwoorden intypen. Daarmee is Google vergelijkbaar met een provider die webpagina’s opslaat en op verzoek opstuurt. Providers, in mooi juridisch “dienstverleners van de informatiemaatschappij” zijn pas aansprakelijk als ze op de hoogte zijn gesteld en dan niet ingrijpen. Deze constructie wordt bij auteursrecht veel gebruikt, maar je zou het bij merkinbreuk ook kunnen toepassen.

In 2006 speelde in Nederland iets dergelijks bij een zaak van merkhouder Stokke tegen Marktplaats. Deze probeerde te verhinderen dat mensen op Marktplaats namaakkinderstoelen verkochten met het merk “Tripp Trapp”. De rechtbank vond het echter niet nodig dat Marktplaats een preventief filter voor zulke advertenties zou moeten invoeren. Controle achteraf hoefde ook niet – Marktplaats had een notice and takedown systeem (“Melding van Inbreuk Programma”) waarmee merkhouders klachten konden indienen:

Met het ontwikkelen en in bedrijf houden van een programma met behulp waarvan inbreukmakende advertenties kunnen worden gemeld en verwijderd, voldoet Marktplaats aan hetgeen van haar op grond van de voor haar geldende zorgvuldigheidsplicht kan worden verlangd.

Google zou dus bij Adwords een vergelijkbare dienst kunnen invoeren. Merkhouders kunnen dan klagen over advertenties van namaakproducten op hun merknaam, en Google kan dan net als andere providers een notice en takedown procedure voeren.

Zou dat kunnen werken? Het lijkt me erg kwetsbaar voor misbruik en onderling gepest.

Arnoud

Wat moet Marketingfacts met klachten over mijn haar?

Voor Marketingfacts schreef ik een column over aansprakelijkheid van hosters en forumbeheerders:

“Die Engelfriet heeft raar haar.” Als iemand dat op Marketingfacts zou schrijven, zou ik hem of haar een proces aan kunnen doen wegens smaad. Het is tenslotte een aantasting van mijn eer en goede naam, ook al is het misschien wel waar. Maar ja, vind die anonieme reaguurder maar eens. Een e-mailadres kun je niet dagvaarden. Marketingfacts zelf is makkelijker te vinden, en ze hebben nog geld ook. Dan pak ik die wel, zij zijn tenslotte medeplichtig door die reactie openbaar te maken.

Heel ver zal ik daarmee niet komen, want M! geniet wettelijke bescherming. Zij zijn niet aansprakelijk voor opmerkingen over raar haar van haar gebruikers, of voor schendingen van privacy, inbreuken op auteursrecht of andere rare dingen die die gebruikers uithalen. Tenminste, wanneer de redactie ingrijpt als er een klacht komt over zo’n opmerking, en die klacht blijkt “onmiskenbaar onrechtmatig” (juridisch voor “wanneer die reactie echt niet kan”). Maar wanneer kan iets nou echt niet? Hoe raar ís mijn haar?

Lees verder in Wat moet Marketingfacts met klachten over mijn haar?.

Arnoud

Provider IS InterNed niet aansprakelijk voor smaad door klant

Een hostingprovider hoeft bij vermeende smaad door een klant niet meteen in te grijpen. Tenminste, als hij de feiten niet kent en daarom niet kan inschatten wat er klopt aan het verhaal. Dat blijkt uit een gisteren verschenen vonnis tussen de Staat en hostingprovider IS InterNed Services. En ik heb een leuke aankondiging, helemaal onderaan. 🙂

Een klant van IS had ruzie met de Belastingdienst. Zijn tweedehands-autobedrijf had de nodige aanslagen opgelegd gekregen, en omdat de Belastingdienst bang was dat meneer terug naar zijn eigen land zou gaan, had men aangekondigd deze aanslagen ineens te komen innen. Dat zette het nodige kwaad bloed, en de klant begon op zijn bedrijfswebsite een hetze tegen de Belastingdienst. Daarbij werd de betrokken inspecteur met naam en toenaam genoemd. Zo schreef hij bijvoorbeeld “this corrupt and racist tax official decided to impose a very high tax on me.” Ook werden zowel de inspecteur als de Dienst beschuldigd van racisme, corruptie, machtsmisbruik en discriminatie.

De Staat besloot om de hoster te sommeren de informatie weg te halen. De hoster had dit echter geweigerd met een beroep op de wettelijke bescherming voor hosting providers. De wet zegt namelijk dat providers alleen materiaal van klanten offline hoeven te halen als het ‘onmiskenbaar’ is dat dat materiaal niet door de beugel kan. Je moet met andere woorden in redelijkheid niet kunnen twijfelen aan de juistheid van de sommatie.

Wanneer is het onmiskenbaar dat iets niet mag? Bij een een illegaal aangeboden film gaat dat nog wel, maar hoe schat je als provider in of een uitlating van een klant beledigend of racistisch is? Je kent de feiten en achtergronden van de ruzie niet, dus hoe weet je dan of een opmerking terechte kritiek is of smaad?

Het is dan ook een goede zaak dat de rechter hier oordeelde dat de provider niet in de discussie tussen de Staat en de klant hoeft te treden. Precies omdat je van een provider niet kunt vragen om te oordelen over het beledigende of smadelijke karakter van een publicatie. Dat zou al snel tot een chilling effect leiden: providers die alles waar een klacht over komen, meteen maar offline halen om aansprakelijkheid te voorkomen.

Wel is het jammer dat de rechter niet nader toelicht waarom deze tekst niet onmiskenbaar beledigend is. Het vonnis zegt dat het niet hoefde omdat IS “niet wist, en ook niet kon weten, waarop de uitlatingen waren gebaseerd, zodat zij zich geen oordeel omtrent de juistheid of rechtmatigheid ervan kon vormen”. Dus als IS meer van het geschil had geweten, had ze wel zo’n oordeel moeten vormen? Waar ligt dan de grens? Hoe bekend moeten de feiten zijn? En wanneer moet de provider op de stoel van de rechter gaan zitten? Zou bijvoorbeeld de provider moeten weten dat teksten waarin de Holocaust ontkend of gebagatelliseerd wordt, discriminerend en haatzaaiend zijn? Want dan is de provider verplicht deze weg te halen. Op die vragen geeft dit vonnis helaas geen duidelijk antwoord.

En als ik dan even commercieel mag worden: sinds gisteren biedt mijn nieuwe werkgever ICTRecht een speciale Notice en takedown adviesdienst. Voor webhosters, maar ook voor bloggers en forumbeheerders die dit soort klachten krijgen en zelf niet kunnen of willen inschatten of die klachten kloppen en wat ze nu moeten doen.

Arnoud

Moeten providers hun klanten (kunnen) identificeren?

“Het einde van anonimiteit op internet!” Arnout Veenman is geschrokken van Tim Kuik’s opmerkingen over anonieme klanten van internetproviders. Die verklaarde eerder dat providers aansprakelijk zijn wanneer ze geen of onvolledige adresgegevens van hun klanten kunnen afgeven. Veenman:

Stel dat Tim Kuik nou gelijk heeft, dan zouden YouTube, ISPam.nl, RapidShare en elke andere website waar gebruikers zonder sluitende controle van de naw-gegevens, aansprakelijk zijn voor alles wat hun bezoekers via hun website op internet plaatsen.

Ik schreef al, ik heb kennelijk een nieuwe collegebundel nodig want waar staat dat in de wet? Het Burgerlijk Wetboek kent namelijk alleen een plicht voor providers om materiaal te blokkeren (of verwijderen) wanneer hij weet of hoort te weten van het onrechtmatige karakter daarvan. Zo staat het ook in de Europese e-commerce Richtlijn.

De achterliggende gedachte hier was simpel: het maakt niet uit wie de informatie plaatste, als je weet van het onrechtmatig karakter moet je het weghalen. Providers kunnen vooraf of achteraf de klant informeren, en eventueel contractueel met de klant afspreken wie de schadevergoeding betaalt als ze het materiaal laten staan. De Richtlijn regelt dit met opzet niet, omdat deze algemene regels wil bieden “waarop sectorale overeenkomsten en normen kunnen worden gebaseerd.”

Wel blijft het voor de rechter mogelijk om “maatregelen ter beëindiging of voorkoming van een inbreuk” op te leggen, ook als die niet expliciet in de Richtlijn staan. Daaronder zou je ook het verstrekken van NAW-gegevens kunnen rekenen. Met NAW-gegevens kan de rechthebbende een zaak aanspannen tegen de inbreukmaker en een verbod met dwangsom eisen, zodat de inbreuk stopt.

In Nederland is in de Lycos/Pessers zaak uitgemaakt dat zo’n maatregel inderdaad opgelegd kan worden:

Daarnaast kan dan onder omstandigheden tevens een vordering jegens de serviceprovider tot bekendmaking van de NAW-gegevens van de websitehouder toewijsbaar zijn, met name indien bij die vordering een voldoende zwaarwegend belang bestaat.

Deze verplichting staat dus los van de regels uit de Richtlijn, en wordt opgehangen aan het kapstok-artikel over onrechtmatige daad. Je mag iemand niet nodeloos schade berokkenen, en doe je dat toch, dan moet je die vergoeden. Dus zomaar “nee” zeggen als iemand NAW-gegevens aan je vraagt, kan onder omstandigheden onrechtmatig zijn.

Maar dat zegt alleen dat een rechter kan beslissen dat de provider NAW-gegevens moet afgeven. Niet dat een provider NAW-gegevens moet hebben zodat ze kunnen worden afgegeven. Wat je niet weet, kun je niet afgeven.

In een andere Richtlijn, 2004/48 staat wel een expliciete regeling over het afgeven van NAW-gegevens:

de bevoegde rechterlijke instanties [kunnen] op gerechtvaardigd en redelijk verzoek van de eiser gelasten dat informatie over de herkomst en de distributiekanalen van de goederen of diensten die inbreuk maken op een intellectuele-eigendomsrecht, wordt verstrekt door de inbreukmaker en/of door een andere persoon die (…) op commerciële schaal diensten die bij inbreukmakende handelingen worden gebruikt, blijkt te verlenen

Alweer: als je ze hebt, en er is een zwaarwegend belang, dan moet je ze afgeven. Duidelijk. Maar moet je ze verzamelen? Dat zie ik nog steeds nergens staan.

In het bovenstaande komt één ding steeds terug: het gaat om een belangenafweging en een redelijkheidstoets. Welk belang heeft de eiser bij de gegevens, en hoe redelijk is het om te eisen dat een provider die afgeeft?

Ik denk daarom dat je niet kunt concluderen dat alle providers altijd alles van hun klanten moeten weten. Van een provider die een betaalde dienst levert, mag je verwachten dat zijn administratie redelijk op orde is. Daar is zo’n bevel tot identificatie dus mogelijk, aangenomen dat de privacy van de klant er niet onredelijk door geschaad wordt.

Voor dienstverleners zoals Youtube zou het betekenen dat ze een volledige administratie moeten opzetten van alle gebruikers, en ook nog eens een systeem om te controleren dat die administratie klopt. Dat lijkt me buiten alle proporties.

Bovendien werkt het systeem van de e-commerce richtlijn al goed genoeg: bij klachten weghalen of blokkeren. Dat lost ook het probleem van de klager op, en het is een stuk eenvoudiger voor de provider.

Arnoud

Vraag het Mr. Ras: Wanneer is een blog hoster aansprakelijk? (op ISPam.nl)

In de serie Vraag het Mr. Ras op ISPam.nl beantwoordt Steven Ras van ICTRecht vragen over internetrecht. En zolang hij mij linkt bij de antwoorden, verwijs ik er graag naar. 🙂

De nieuwste vraag gaat over de aansprakelijkheid van providers. Een hostingprovider is in principe niet aansprakelijk voor informatie die klanten via hun websites of blogs op de server van de provider aanbieden. De wet bepaalt dat providers wel moeten werken met een “notice and take down” regime: optreden bij klachten. Maar wat is nu gepast optreden?

Indien jullie een melding ontvangen met het verzoek bepaalde informatie te verwijderen of te blokkeren, dient deze melding door jullie te worden beoordeeld. Mijn advies bij de beoordeling:
  • Niet aan de informatie komen bij twijfel over de onrechtmatigheid. Raadpleeg eventueel een jurist.
  • Verwijder of blokkeer de informatie indien onomstotelijk vaststaat dat het onrechtmatige informatie betreft (bijvoorbeeld zoals de in de vraag genoemde speelfilm).
Bij twijfel zal uiteindelijk de rechter moeten beoordelen of de informatie daadwerkelijk onrechtmatig is. Ik ben namelijk van mening dat een webhoster niet op de stoel van de rechter moet gaan zitten.

En zo hoort het ook. Zorgelijk is de ontwikkeling dat de webhoster of provider juist gedwongen wordt zelf te beslissen of iets onrechtmatig is.

Arnoud