Publiceren IP-adres van gebruikers forum

Nog maar eens een lezersvraag:

Bij een forum waar ik regelmatig post, wordt het IP-adres van elk bericht bij dat bericht getoond. Nou snap ik dat ze IP-adressen bijhouden in verband met mogelijk misbruik, maar mogen ze het adres zo aan iedere andere bezoeker laten zien?

Een IP-adres is, samen met een datum en tijd van gebruik van dat adres, te herleiden tot een persoon. Je hebt daar de hulp van een provider bij nodig, maar het kan. Daarom is een IP-adres een persoonsgegeven.

Forumbeheerders houden wel vaker bij elk bericht bij vanaf welk IP-adres het geplaatst is, en natuurlijk ook wanneer. Dat is volgens de Wet Bescherming Persoonsgegevens een verwerking van persoonsgegevens. En verwerking mag alleen als je dit vooraf aanmeldt bij het College Bescherming Persoonsgegevens.

Specifiek voor dit soort verwerkingen is er een vrijstelling: de controle op en het beveiligen van de computersystemen of computerprogramma’s, en ook verwerking voor het beheer van de systemen of programma’s” hoeft niet te worden aangemeld. Forums hoeven hun logfiles dus niet aan te melden bij het CBP.

Publicatie van het IP-adres is ook een verwerking. Die mag alleen als “de betrokkene zijn ondubbelzinnige toestemming heeft verleend voor de gegevensverwerking”. Het zal dus expliciet in het reglement moeten staan, en liefst ook nog een keertje apart bij het formulier waar je je reactie kunt typen.

Waar heel veel forums (en Wikipedia trouwens ook) de fout in gaan, is dat de wet eist dat je de gegevens na zes maanden verwijdert. Ik ken geen forum waar IP-adressen na zes maanden onzichtbaar worden.

Arnoud

Auteursrecht op foto’s bestaat niet, aldus privacy-waakhond

In een artikel van het CBP foto’s en ander beeldmateriaal op internet een bijzonder opmerkelijk stukje:

Uw foto kan worden gezien als een bijzonder persoonsgegeven omdat het iets zegt over uw ras. De houder van de website mag geen foto’s van u op zijn website plaatsen zonder dat hij u daarover heeft geïnformeerd en uw uitdrukkelijke toestemming heeft gevraagd. Als u de beelden zelf openbaar heeft gemaakt, bijvoorbeeld door ze op uw eigen website te plaatsen, dan is het niet verboden om de foto verder te publiceren.

Ik denk dat de fotograaf toch nog wel iets te zeggen heeft over het herpubliceren van zijn foto’s.

Via Planet, wier vergelijking van het CBP met “een aap [die kijkt] naar een verroest horloge: niet wetend wat te beginnen” ik absoluut hilarisch vond.

Arnoud

Geenstijl.nl: “UVA niet meer welkom!” (2)

Half september had Geenstijl ineens besloten UvA-studenten te weren, toen bleek dat een UvA-onderzoeksproject de volledige content en comments van haar site had overgenomen. In De nieuwe reporter nu een terugblik met reacties van onderzoeker en hoogleraar Maarten de Rijke, verantwoordelijk voor het project, en Geenstijl’s Dominique Weesie.

Dominique Weesie, directeur van GeenStijl, zegt dat vooral de openbaarmaking van de lezersreacties op De Rijke’s site Zookma in verkeerde aarde viel. “Het copyright van die reacties ligt in principe bij de mensen die commentaar geven. Er bestaat wel citaatrecht, maar niet als je alles volledig overneemt. Bovendien stond er op hun website dat ze de verzamelde informatie aan derden ter beschikking wilden stellen. Daar waren we het ook niet mee eens. We willen niet dat er straks berichten verschijnen dat onze lezers het ene merk pindakaas lekkerder vinden dan het andere.”

Volgens De Rijke gebeurde de publicatie van de reacties per ongeluk. “Dat was niet de bedoeling. Wij zijn ook niet zozeer geïnteresseerd in individuele blogposts of commentaren. We indexeren vele tienduizenden Nederlandse weblogs om op een hoger, geaggregeerd niveau vast te stellen wat er nu speelt.”

Geaggregeerde informatie valt niet onder het auteursrecht, dus wat dat betreft loopt het project wel goed. En deze verwerking van persoonsgegevens valt waarschijnlijk wel onder de vrijstelling Wetenschappelijk onderzoek en statistiek van het College Bescherming Persoonsgegevens. We zullen het dus maar houden op een slordigheid waardoor de individuele gegevens openbaar werden.

Via Volledig bericht, pardon Boek 9.

Arnoud

Erfenis inclusief Hotmail-account?

Kun je bits erven? Eva Visser, advocaat bij Stibbe, bespreekt de vraag of webmail-aanbieders verplicht kunnen worden tot afgifte van informatie uit een e-mailaccount, indien de gebruiker van dat account is overleden.

Aanleiding voor de vraag was de Amerikaanse zaak Ellsworth vs. Yahoo, waarin de ouders van een overleden militair toegang wilden tot diens mailbox. Yahoo weigerde dat, en wees op de algemene voorwaarden die een gerechtelijk bevel eisten. Probleem daarbij was dat het account na 90 dagen zou worden opgeheven. Uiteindelijk werd de zaak geschikt.

In Nederland valt het afgeven van zulke informatie onder de Wet Bescherming Persoonsgegevens, maar de bescherming vervalt met het overlijden van de persoon in kwestie. Wat dat betreft is er dus geen probleem.

Wat wel vaak een probleem is, is dat de contracten met de e-mail providers meestal geen regeling over dit onderwerp bevatten. Maar, schrijft Visser, in het algemeen is het zo dat de nabestaanden de contracten van de overledenen overnemen, en op die grond zouden zij dus toegang moeten kunnen krijgen tot het webmail account. Alleen, hoe komen ze dan aan het wachtwoord? Volgens Visser zou uit de redelijkheid & billijkheid, het grote vangnet in het recht, moeten volgen dat de provider in die situatie mee moet werken door het wachtwoord op te sturen.

Het artikel staat als PDF online bij Stibbe.

Arnoud

Aziatische privacyregeling: een model voor de wereld?

Google pleit voor wereldwijde regels voor privacy-bescherming, en dan het liefst voor harmonisatie volgens het APEC privacy framework. Zo schrijft Tweakers:

Peter Fleischer, die bij Google raadgever is betreffende privacy-aangelegenheden, stelt dat het van levensbelang is voor het internet en de wereldwijde economie, maar niet in het minst voor Googles eigen zaakjes, dat er maatregelen genomen worden tegen het huidige lappendeken van conflicterende privacyregels.

Nee, APEC kende ik ook niet. De Asia-Pacific Economic Cooperation is een samenwerkingsverband tussen 21 Aziatische landen (inclusief de VS), dat niet-bindende raamwerken en adviezen opstelt. Eentje daarvan is dus het privacy framework (PDF).

De pers lijkt positief: Google in de bres voor online privacy, meldt b.v. ZDNet. De Automatisering Gids ziet zelfs een kruistocht voor privacy. Slechts een enkel bericht (de NRC bijvoorbeeld) is kritisch. Wat staat er dan voor bijzonders in dat raamwerk?

De uitgangspunten komen grotendeels overeen met de Europese privacyregels: er is een informatieplicht voor de persoon in kwestie, deze heeft het recht de gegevens aan te passen, verwerking mag alleen voor de afgesproken doelen, enzovoorts. Het raamwerk kent op diverse plekken wel de mogelijkheid af te wijken als dat “not appropriate” zou zijn.

Wat mij trof, was de uitzondering voor “publicly available information”, alle informatie die de persoon zelf publiceert of die uit openbare bronnen te halen is.

The APEC Privacy Framework has limited application to publicly available information. Notice and choice requirements, in particular, often are superfluous where the information is already publicly available, and the personal information controller does not collect the information directly from the individual concerned. Publicly available information may be contained in government records that are available to the public, such as registers of people who are entitled to vote, or in news items broadcast or published by the news media.

Concreet: het recht van inzage en de meldingsplicht dat persoonsgegevens worden verwerkt, komen te vervallen bij verwerking van publiek beschikbare persoonsgegevens. Wat op internet bij elkaar geharkt wordt, hoeft niet gemeld te worden aan de betrokkene(n). Dat wijkt behoorlijk af van de Europese regels.

Een andere belangrijke afwijking is dat de APEC regels geen onderscheid maken tussen ‘gewone’ en ‘bijzondere’ persoonsgegevens. Die laatste zijn bijvoorbeeld ras, afkomst of seksuele voorkeur. Zulke gegevens mogen alleen in bijzondere gevallen worden verzameld en verwerkt, en daar gelden extra strenge regels voor. Het APEC raamwerk doet daar niet moeilijk over, dat mag gewoon allemaal.

Daarnaast is dit raamwerk zo algemeen geformuleerd dat je nauwelijks kunt spreken van een eenvormige regeling. De juridische kritiek is dan ook niet mals.

Natuurlijk zijn deze regels fijn voor Google, dat immers vrijwel alleen informatie uit openbare bronnen verwerkt. Denk aan Google Street View en allerlei databanken die zij verzamelen en combineren. Reden voor EPIC om boos te worden.

Het idee van wereldwijd dezelfde privacyregels is natuurlijk goed. Alleen, dan moeten het ook wel goede regels zijn.

Arnoud

BREIN: “providers zijn aansprakelijk voor wangedrag anonieme klanten”

Een opvallende passage uit het persbericht van BREIN waarin men meldt weer 6 Bittorrent websites uit de lucht te hebben gehaald :

Met de verstrekte naam- en adresgegevens van de site-eigenaren kan BREIN deze in persoon aanspreken om herhaling te voorkomen en schadevergoeding te vorderen. Het komt voor dat service providers niet over betrouwbare klantgegevens beschikken omdat zij toestaan dat deze zich anoniem of met valse gegevens registeren. In dat geval trekken zij de aansprakelijkheid voor de door de site veroorzaakte schade naar zich toe.

Volgens mij heb ik een nieuwe Kluwer collegebundel nodig. Waar staat dat?

Artikel 6:196c BW gaat over de aansprakelijkheid van providers.

Een webhoster valt onder lid 4:

Degene die diensten van de informatiemaatschappij verricht als bedoeld in artikel 15d lid 3 van Boek 3, bestaande uit het op verzoek opslaan van van een ander afkomstige informatie, is niet aansprakelijk voor de opgeslagen informatie, indien hij:
a. niet weet van de activiteit of informatie met een onrechtmatig karakter en, in geval van een schadevergoedingsvordering, niet redelijkerwijs behoort te weten van de activiteit of informatie met een onrechtmatig karakter, dan wel
b. zodra hij dat weet of redelijkerwijs behoort te weten, prompt de informatie verwijdert of de toegang daartoe onmogelijk maakt.

Ik zie daar nergens staan dat ze moeten weten wie hun klanten zijn. Als ze (moeten) weten dat de informatie onrechtmatig is, dan moeten ze de informatie verwijderen. Dat lijkt me logisch, en dat zou ook genoeg moeten zijn.

De Nederlandse wet heeft wel een regeling over afgifte van identificerende gegevens:

Artikel 54A Wetboek van Strafrecht. Een tussenpersoon die een telecommunicatiedienst verleent bestaande in de doorgifte of opslag van gegevens die van een ander afkomstig zijn, wordt als zodanig niet vervolgd indien hij voldoet aan een bevel van de officier van justitie, na schriftelijke machtiging op vordering van de officier van justitie te verlenen door de rechter-commissaris, om alle maatregelen te nemen die redelijkerwijs van hem kunnen worden gevergd om de gegevens ontoegankelijk te maken.
Maar let wel: de officier van justitie. Niet Brein.

Dat past ook binnen het advies van de Advocaat-Generaal van het Europese Hof trouwens. Ook die was van mening dat de Richtlijn alleen gebruikt kan worden om afgifte van persoonsgegevens aan opsporingsdiensten toe te staan. Niet aan private personen of organisaties.

Via ISPam.nl.

Arnoud

Privacywaakhond CBP kan burgers niet langer helpen

Mede door geldtekort gaat het College Bescherming Persoonsgegevens (CBP) zich niet langer bezighouden met privacy-problemen van privépersonen, meldt De Pers. In een memorandum op haar site legt het CBP uit waarom:

Daarnaast vinden talloze burgers en individuele professionals inmiddels de weg naar het CBP: in 2006 waren dat er 6200. … Maar eerlijkheid gebied te zeggen dat (te) veel van deze individuele voorlichtingsverzoeken en verzoeken om advies niet verder in behandeling worden genomen: wij kunnen ons , hoe graag we dat ook zouden willen, gegeven de hoogte van het aan ons toegekende budget, onmogelijk het privacyleed van een ieder aantrekken omdat dat ten koste zou gaan van ons toezicht op een selectie van ontwikkelingen die potentieel élke burger kunnen raken.

Zonder klachtmogelijkheid bij het CBP kan de burger alleen nog naar de rechter, wat niet altijd even praktisch is.

Jammer. Bewaking van de privacy is en blijft belangrijk. Ook al is wellicht nieuwe wetgeving nodig in het Internet-tijdperk.

Arnoud

Duitse rechter weigert persoonsgegevens filesharers af te geven

Schending van auteursrecht is Bagatellkriminalität, aldus de Duitse rechter. In Duitsland kun je als auteursrechthebbende niet zoals in Nederland van een provider eisen dat deze persoonsgegevens van gebruikers afgeeft als die je auteursrecht schenden. Alleen het Openbaar Ministerie kan dit opvragen, wanneer er sprake is van een misdrijf. Maar in deze recente beslissing (die volgens Heise niet uniek is in Duitsland trouwens) wordt schending van auteursrechten niet als ernstig genoeg gezien.

On the grounds of “obvious disproportionateness” the Local Court (AG) in Offenburg had on July 20 prohibited the local public prosecutor’s office from requesting that a provider reveal the personal data that match the IP addresses of alleged P2P network users. Offering a few copyright-protected music tracks via a P2P network client was “a petty offense,” the court declared.

Bovendien leek het niet waarschijnlijk dat de organisatie werkelijk geïnteresseerd was in strafvervolging.

The case did not fulfill the indispensable condition of an investigation being in the public interest, because the offenses committed by the alleged users of the file-sharing network had not “disturbed law and order beyond the sphere of life of the client,” the chief public prosecutor’s office in Celle declared. In addition the offenses were “minor.” And there was no evidence that substantial damage had been done. The chief public prosecutor’s office goes on to say that “some parties may regret the fact” that the legislator has not given holders of copyrights a civil law right to obtain the type of information in question from providers. Such parties “could not however expect such omissions on the part of the legislator to be offset in other areas and in every minor case by the endeavors of the prosecuting authorities with their limited resources.”

Het Duitse beleid is daarmee in lijn met het advies dat onlangs aan het Europese Hof van Justitie werd gegeven over precies dit onderwerp.

Arnoud

Privacy nieuw verkoopargument zoekmachines

Niemand weet hoe veel informatie zoekmachines bijhouden over gebruikers, maar het is ongetwijfeld meer dan we allemaal denken. Google bewaart bijvoorbeeld elke zoekvraag met daarbij het tijdstip, browser type, browser taal en IP adres van elke zoekvraag. En dankzij de deal met Doubleclick kunnen ze daar heel veel mee. Bovendien werd tot voor kort alles tot 2038 bewaard. Onlangs kondigde Google aan dit terug te brengen naar twee jaar, maar dat verstomde de kritiek allerminst.

Toch lijkt het er op dat zoekmachines wel degelijk hun beleid structureer gaan aanpassen op dit punt. De BBC meldt dat na Google nu ook Microsoft, Yahoo! en Ask.com persoonsgebonden informatie sneller weg gaan gooien. Microsoft na anderhalf jaar, Yahoo! na 13 maanden, en Ask.com nog sneller: die komen met een tool waarmee je zelf weg kunt gooien wat je niet bevalt over jezelf.

Google heeft ondertussen ook de Webgeschiedenis-dienst, waarmee gebruikers kunnen zien wat Google allemaal over hen weet.

Het wordt dus langzaam maar zeker een marketingtechniek om te laten zien dat je bezig bent met de privacy van je klant. Maar niet alleen dat. Zoekmachines staan onder steeds grotere druk over precies dit onderwerp, dus proactief maatregelen nemen kan juridisch of wettelijk ingrijpen wellicht voorkomen, aldus Ars Technica:

Such movements from Microsoft and Google are more than just an act of oneupmanship—though there’s certainly an element of that at work—but are a broader response to consumer concerns and nasty allegations of antitrust behavior that’ve been flung around recently. With the Senate set to review Google’s proposed merger with DoubleClick and with Microsoft’s own recent purchase of aQuantive, its in the industry’s best interest to appear very concerned about personal privacy, even as market consolidations point towards more specific, focused, and, in a word, personalized advertising on the horizon.

Het College Bescherming Persoonsgegevens schreef al eerder dat zoekmachines gewoon aan de Wet Bescherming Persoonsgegevens gehouden zijn en dus onjuistheden in persoonsgegevens moeten wijzigen als de betrokkene daarom vraagt. Je zou dus aan een zoekmachine moeten kunnen vragen om pagina’s in hun index te verwijderen of aan te passen.

Benieuwd hoe veel succes Witheet en ZIJonline daarmee hebben trouwens. Connie Breukhoven wist via de rechter af te dwingen dat deze sites smadelijke informatie over haar zouden verwijderen, en dat ze Google en Yahoo opdracht zouden geven tot verwijdering uit de zoekmachine van de publicaties.

Solv meldt nog dat een samenwerkingsverband van verschillende Europese privacytoezichthouders heeft aangekondigd onderzoek te gaan doen naar de bescherming van persoonsgegevens door zoekmachines.

Arnoud

Conclusie Europese Hof van Justitie over afgeven persoonsgegevens

Wat betekent de conclusie van de advocaat-generaal van het Europese Hof van Justitie over het afgeven van verkeersgegevens van klanten?

Over het afgeven van persoonsgegevens door providers is veel te doen. Recente jurisprudentie lijkt te suggereren dat dat altijd moet als er een klacht komt van bijvoorbeeld BREIN of de Buma. Zelfs XS4All heeft haar beleid op dit punt versoepeld. Nu moet het Europese Hof zich voor de eerste keer buigen over de vraag of een provider verplicht kan worden persoonsgegevens aan auteursrechten-organisaties af te geven.

Er zijn nu al twee stromingen over wat deze conclusie betekent: afgifte van verkeersgegevens is verboden, of juist het verbieden van afgifte is toegestaan.

Kokott begint namelijk als volgt (met dank aan Planet voor de vertaling)

Hieruit volgend zal ik aantonen dat de gemeenschapsrechterlijke voorschriften over databescherming bij elektronische communicatie de doorgifte van persoonlijke verkeersdata slechts toestaan aan instellingen van de staat en geen directe doorgifte aan de vertegenwoordigers van rechtenorganisaties, die hun eisen civielrechtelijk kunnen vorderen.

Dat lijkt dus duidelijk: afgifte is verboden.

De uiteindelijke aanbeveling aan het Hof is echter veel minder verstrekkend:

Het is met het Gemeenschapsrecht verenigbaar wanneer Lidstaten de doorgifte van persoonlijke verkeersgegevens in het kader van civielrechtelijke handhaving van auteursrechten verbieden.

En daarom zegt BREIN:

De conclusie van de AG komt erop neer dat het EU recht toestaat dat lidstaten bepalen dat persoonsgegevens niet voor dit doel aan private patrijen mogen worden afgegeven. Als het Europese hof die conclusie volgt dan is vervolgens de vraag of een lidstaat een dergelijke uitsluiting kent. In die landen zou dan alleen strafrechtelijke vervolging van inbreukmakende p2p-gebruikers zijn toegestaan. In Nederland is dat niet het geval.

Maar dat gaat me ook weer te snel. Het Hof moet antwoord geven op vragen van nationale rechtbanken, en de vraag was hier, “mag de Spaanse rechter verbieden dat persoonsgegevens worden afgegeven in civiele zaken?” Het antwoord daarop is dus “ja”, met als motivatie dat Europees recht geen ruimte biedt voor afgifte.

De vraag was niet “mogen providers verplicht worden persoonsgegevens afgeven in civiele zaken”. Het antwoord daarop zou zijn geweest “nee, want Europees recht biedt daar geen ruimte voor.”

Het uitgangspunt is dat verkeersgegevens en IP-adressen persoonsgegevens zijn en dus alleen mogen worden afgegeven als Europese wetgeving daar de mogelijkheid voor biedt. Dat volgt uit de Privacy-richtlijn 95/46, bij ons de Wet Bescherming Persoonsgegevens.

Is er een mogelijkheid voor auteursrechten-organisaties? Nee, zegt de A-G.

Zo bepaalt Richtlijn 2002/58 betreffende privacy en elektronische communicatie dat verkeersgegevens kunnen worden afgegeven aan “bevoegde organen … met het oog op het beslechten van geschillen, in het bijzonder met betrekking tot interconnectie en facturering”. De Spaanse auteursrechten-organisatie betoogde dat zij daar ook onder vielen, maar de A-G is het daar niet mee eens. Dit gaat uitsluitend over afgeven aan rechtbanken of instanties als de OPTA.

Artikel 15 van deze richtlijn biedt de mogelijkheid om uitzonderingen op deze regels te maken, maar “ruzie over auteursrecht” staat er niet bij:

De lidstaten kunnen wettelijke maatregelen treffen ter beperking van de reikwijdte van de in (…) deze richtlijn bedoelde rechten en plichten, indien dat in een democratische samenleving noodzakelijk, redelijk en proportioneel is ter waarborging van de nationale, d.w.z. de staatsveiligheid, de landsverdediging, de openbare veiligheid, of het voorkomen, onderzoeken, opsporen en vervolgen van strafbare feiten of van onbevoegd gebruik van het elektronische-communicatiesysteem (…)

De richtlijnen over auteursrecht bieden de mogelijkheid om inbreuk op auteursrecht strafbaar te stellen. Zo is in Nederland “opzettelijke inbreuk op het auteursrecht” strafbaar met zes maanden cel (artikel 31 Auteurswet). Een lidstaat zou kunnen besluiten uitwisseling zonder toestemming via filesharing strafbaar te stellen. In zo’n situatie kan een provider dus verplicht worden mee te werken aan de opsporing van de pleger van dat feit. Maar ook dan gaat het om “opsporen en vervolgen van strafbare feiten” en ook dat biedt geen basis voor het afgeven van die gegevens aan een private organisatie zoals BREIN of de Buma.

De recente richtlijn 2006/24 over bewaren van verkeersgegevens verplicht providers om verkeersgegevens te bewaren en zonodig af te geven. Ook hier weer: alleen aan de bevoegde nationale autoriteiten. Niet aan private organisaties.

Er is met andere woorden geen grondslag in Europees recht om afgifte van verkeersgegevens aan private organisaties toe te staan. Een verbod is dus in overeenstemming met Europees recht. Een plicht tot afgifte is dan echter juist in strijd met dit recht. Maar ja, dat was de vraag niet, en het Hof beantwoordt alleen de vragen die men stelt.

De conclusie van de A-G is trouwens juridisch niet bindend. Dat is alleen het arrest van het Hof, dat over een aantal maanden wordt verwacht. Het Hof kan zonder meer een heel ander besluit nemen. Maar vaak wordt de conclusie wel grotendeels overgenomen.

Arnoud