Internetproviders in problemen met persoonsgegevens

Wanneer moeten internetproviders (ISP’s) nog weigeren om persoonsgegevens van klanten af te geven? Na de uitspraak over BREIN vs. KPN lijkt het wel erg makkelijk te worden om die op te eisen in een civiele rechtszaak.

ISPam meldt over een artikel van Remy Chavannes in Mediaforum, waarover eerder Boek 9 ook berichtte:

“De antwoorden van de Haagse voorzieningenrechter in de zaak tussen Brein en KPN zijn in het licht van de feiten te begrijpen, maar vormen een onjuist en onwenselijk precedent. (…) De realiteit van het ‘internetrecht’ is echter dat er vrijwel uitsluitend uitspraken in kort geding zijn die, bij gebrek aan hardere precedenten, in volgende zaken worden aangehaald, door partijen en door rechters. Dat betekent dat een uitspraak als deze wel degelijk belangrijk is, met name voor wat betreft (a) welke criteria worden gehanteerd bij de beoordeling van vorderingen tot verstrekking van NAW-gegevens en afsluiting van internetverbindingen; en, even belangrijk (b) hoe streng die criteria in concreto worden toegepast. (…) Als de criteria uit Lycos/Pessers op deze manier gehanteerd (moeten) worden, dan brengt dat het risico met zich mee dat ISP’s zullen concluderen dat het op deze manier opkomen voor de privacy klanten een dure en onzekere – zo niet zinloze – exercitie is.”

Arnoud

Wilt u niet op Straatzicht? Geef dan al uw persoonsgegevens even

In Threat Level – Wired Blogs las ik dat Kevin Bankston van EFF heeft geprobeerd zichzelf van Google Street View te laten verwijderen (uit principe, niet omdat het een rare foto was).

Google wilde dat wel, maar vroeg wel om de volgende gegevens:

1. Provide your legal name.

2. Provide your e-mail address.

3. Provide the street view address of the Street View image you would like removed.

4. Include the sworn statement: “I declare, under penalty of perjury, that the information in this notification is accurate.”

5. Attach a clear, readable copy of a valid photo ID (e.g. driver’s license, national ID card, etc). If you are requesting removal of an image of a location, attach a copy of a document demonstrating your association with that location ( e.g. business card or letterhead).

Nu snap ik wel dat Google geen zin heeft in tienduizenden verzoeken om willekeurige foto’s te verwijderen, maar het gaat nogal ver om mensen te vragen naam, adres en kopie van identiteitsbewijs te laten overleggen. Vooral omdat Google nergens zegt dat ze die gegevens alleen zullen gebruiken ter verificatie van de claim.

Arnoud

Van privacyparadijs tot controlestaat – de nieuwste speeltjes van de geheime dienst (via SYNC.nl)

Op SYNC.nl een bespreking van het rapport Van privacyparadijs tot controlestaat? (PDF) over de nieuwe speeltjes van politie en geheime dienst bij misdaad- en terreurbestrijding in Nederland. Het rapport is van Anton Vedder, Leo van der Wees, Bert-Jaap Koops en Paul de Hert, bij TILT. Wat achtergrond in de NRC.

Nieuwe technologie maakt ook nieuwe manieren van opsporing mogelijk. En het is vaak een stuk makkelijker: in plaats van de hele nacht in een koude auto met vieze koffie voor iemands deur wachten, hang je gewoon een sensor op die een piepje geeft als de deur opengaat. En met de GPS-verklikker onder de auto kun je dan op je gemak nagaan waar de verdachte heengaat.

Zoals SYNC schrijft:

Regeringen zijn verslaafd aan gadgets. Van kleine draadloze microfoons en verborgen signaleringschips tot schotelantennes en satellieten, als het maar hightech is, geen methode wordt onbeproefd gelaten in de strijd tegen de illegaal, de crimineel, de terrorist.

Natuurlijk ontkom je er niet aan om inbreuk te maken op privacy van onschuldige mensen bij de opsporing van strafbare feiten of het voorkomen van aanslagen. Maar welke inbreuken ‘kunnen’ nog wel, en welke niet? Het rapport stelt terecht: “De vereiste afweging vraagt echter vóór alles om een open discussie, waarin alle voor- en tegenargumenten aan bod komen. … In het huidige politieke en maatschappelijke debat over de opsporings- en veiligheidsmaatregelen ontbreekt het aan een dergelijke openheid.”

Jacob Kohnstamm, voorzitter van het College Bescherming Persoonsgegevens zei vorig jaar nog vrijwel hetzelfde (op een debat in de Balie):

Een beetje privacy inleveren omwille van grotere veiligheid valt onder omstandigheden zeker te billijken. Maar dan moeten nut en noodzaak van nieuwe bevoegdheden in de strijd tegen terrorisme wel aangetoond worden. Want inadequaat optreden van de daarbij betrokken overheidsorganen mag geen reden zijn om aan grondrechten van burgers te tornen.

Een beetje jammer is wel dat technologie op deze manier alleen wordt gezien als de bedreiging van privacy, en niet als de oplossing. Je kunt wel strengere wetten of hogere straffen invoeren, maar daarmee los je het probleem niet op. Techniek kan wel oplossingen bieden.

Ja, een RFID chip kan op straat worden uitgelezen om stiekem te kijken wat je allemaal gekocht hebt. Dan kun je dat uitlezen wettelijk verbieden, of je eist dat fabrikanten een zelfmoordcommando in de chip stoppen. Dat laatste lijkt me iets effectiever.

Arnoud

Pleidooi voor nieuwe aanpak privacy-wetgeving

Op Opinieweblog pleit Victor Ruhlmann voor een nieuw wettelijk kader voor privacy-wetgeving, waarin twee principes centraal moeten staan:

1. Het recht op inzage en mogelijkheid tot correctie van (verkeerd) geregistreerde gegevens voor elke burger. Eventueel via een intermediair zoals het CBP.<br/> 2. In plaats van uitsluitend verbieden is het zinvol de registratie en uitwisseling van gegevens te definiëren vanuit de aantoonbare schade die kan ontstaan voor de betreffende burger en zijn persoonlijke levenssfeer.
De huidige privacy-wetgeving regelt wanneer iemand toestemming nodig heeft om persoonsgegevens te verwerken, en wat er dan allemaal mee mag gebeuren. Dat is nogal star, zeker wanneer nieuwe vormen van gebruik van persoonsgegevens ontstaan waar de wet niet in voorziet. Ruhlmann wil een flexibeler aanpak:
Deze nieuwe wet moet ruimte geven aan de burger om zijn persoonsgegevens te kunnen beschermen. Vanuit de ondersteuning die de wet hem geeft kan hij als ‘eigenaar’ van zijn gegevens wellicht effectiever communiceren met de overheid, bedrijven en instanties. De nieuwe wet zou er aan kunnen bijdragen dat de gebruikers, verantwoordelijken en toezichthouders zich meer bewust worden van de waarde en noodzaak van de ‘bescherming’ van de geregistreerde gegevens van elke burger. Ook zou het hen wellicht kunnen stimuleren een coalitie te gaan vormen om dit recht ook in de toekomst een bestaansrecht te geven. Het wachten is nu op de politici, beleidsmakers en beslissers die de urgentie gaan inzien en zich hiervoor willen gaan inzetten.

Het probleem is, zoals Gerrit-Jan Zwenne ook schrijft:

In werkelijkheid zijn de bepalingen van de wet in zó algemene termen gesteld, dat ze voor een normaal mens onbegrijpelijk zijn. De wetgever meende indertijd dat de vage en algemene normen concreter zouden worden gemaakt via binnen specifieke sectoren op te stellen gedragscodes en via rechterlijke uitspraken. Er is vandaag de dag echter slechts een handvol privacygedragscodes, en de rechter is maar in een beperkt aantal gevallen gevraagd aan te geven hoe de wet in concrete situaties moet worden toegepast.
Een probleem met nieuwe regels verzinnen is ook dat de huidige wet gebaseerd is op een dwingende Europese richtlijn. Dus wie het weet, mag het zeggen.

Arnoud

Loggen van privé-gebruik van e-mail en internet op het werk mag niet zomaar

Gevonden op Security.NL:

Het monitoren van telefoon- en internetverkeer van personeel in hun eigen huis door de werkgever is een schending van de mensenrechten, zo heeft het Europese Hof voor de Rechten van de Mens onlangs geoordeeld.

In de zaak Copland vs. het Verenigd Koninkrijk (zie ook Out-law.com)werd al het e-mail-, telefoon- en internet-verkeer van een medewerker gelogd. Het ging dan om verkeersgegevens (met wie belde of mailde ze, welke sites bezocht ze en op wel tijdstip) en niet op het opnemen van de inhoud zelf.

Het Europese Hof heeft al diverse malen eerder geoordeeld dat privé-telefoongesprekken op het werk ook onder het grondrecht van privacy vallen. In dit arrest wordt die lijn doorgetrokken naar privé-email en privé-internetgebruik.

Het bijhouden van privé-gebruik van telefoon, e-mail en internet op het werk mag dan alleen als dit bij wet geregeld is. In Nederland hebben we daarvoor de Wet Bescherming Persoonsgegevens. Op grond van deze wet is het toegestaan om netwerkverkeer te loggen om het netwerk goed te laten werken, voor de veiligheid en interne controle en onderhoud en beheer. Gebruikers moeten hierover wel worden geïnformeerd.

In het Verenigd Koninkrijk was er op dat moment nog geen vergelijkbare wet. En inbreuken op iemands privacy mogen alleen als er een wet is. Daarom werd het bedrijf in deze zaak in het ongelijk gesteld.

Arnoud

Nieuwe Notice & Takedown procedure van XS4All

XS4All staat bekend als een provider die staat voor de bescherming van haar klanten. Zonder gerechtelijk bevel werden bijvoorbeeld nooit persoonsgegevens verstrekt aan derden. Daar is nu verandering in gekomen, vanwege de ontwikkelingen in de jurisprudentie over aansprakelijkheid van providers. Vrijwel al die jurisprudentie was trouwens “Iemand vs. XS4All”.

Op 2 februari heeft XS4All een nieuwe klachtenprocedure ingevoerd. Bij deze procedure bestaat nu expliciet de mogelijkheid dat XS4All persoonsgegevens van klanten afgeeft aan de klager, ook als er nog geen rechtbank is geweest die ze daartoe verplicht.

Op het Opinieweblog legt Niels Huijbregts (teamleider van de abuse-afdeling van XS4All) uit waarom. Hij geeft daarbij een goed en leesbaar overzicht van de relevante jurisprudentie, dat hij samenvat met:

Het bovenstaande is een lang verhaal dat er uiteindelijk op neerkomt dat die houding niet te handhaven is: Providers zijn aansprakelijk als het gaat om materiaal dat onmiskenbaar onrechtmatig is, de provider moet daarover zelf oordelen. In de zaak-Deutsche Bahn vond de rechter al dat de provider onjuist had geoordeeld en veel te terughoudend was geweest en bij Pessers-Lycos werd besloten dat van onmiskenbare onrechtmatigheid helemaal geen sprake hoeft te zijn: de provider moet gewoon meewerken. Weigering betekent zelfs dat de provider zelf mogelijk onrechtmatig handelt.
Met name de Deutsche Bahn-zaak is kritisch ontvangen door juristen. Zie bijvoorbeeld de noot van Lodewijk Asscher over dit vonnis.

Het blijft natuurlijk een lastige zaak. De privacy van gebruikers is een groot goed. Tegelijkertijd kan daar ook best misbruik van worden gemaakt, omdat mensen zich dan kunnen verschuilen achter hun provider. En waarom zou het in zo’n situatie niet toegestaan kunnen worden om persoonsgegevens af te geven?

Terecht sluit Huijbregts af met:

Het feit dat je op internet relatief anoniem te werk kunt gaan, geeft je natuurlijk niet het recht de wet te breken. Wanneer iemand van mening is dat je dat toch doet, wordt je daarvan op de hoogte gesteld. Dat gebeurt voordat er een rechter aan te pas komt en dat is maar goed ook: zo heb je de mogelijkheid je te verweren of je fout te herstellen, voordat een rechter bepaalt dat je NAW-gegevens bekend moeten worden gemaakt. Mocht het ooit zover komen dat XS4ALL besluit NAW-gegevens bekend te maken, dan betekent dat dat de betreffende klant zelf al voldoende mogelijkheden heeft gehad om dat te voorkomen.

Arnoud

Auteursrecht en privacy op de markt(plaats.nl)

Het verkopen van imitatie-designstoelen mag niet. Ook niet via Marktplaats. Maar hoe ver reikt nu de verantwoordelijkheid van een site als Marktplaats.nl als mensen dat toch doen?

Al eerder was beslist dat Marktplaats niet aansprakelijk is als mensen nep-stoelen via haar site verkopen (zie Boek 9). Alleen de verkoper is aansprakelijk. Stokke (de makers van de “Tripp Trapp” stoelen) eiste vervolgens van Marktplaats.nl dat deze preventief alle naam-, adres- en woonplaats-gegevens (NAW-gegevens) van gebruikers zou registreren. Het liefst van iedereen, maar als dat niet kon, dan toch op zijn minst van iedereen die “Tripp Trapp”, “Trip Trap”, “Stokke” of iets dergelijks in de advertentie vermeldde. Zo zouden verkopers van imitatie-Tripp Trapps makkelijker op te sporen zijn.

De rechtbank vond het verweer van Marktplaats steekhoudender: Stokke kan toch gewoon op de advertentie reageren, een bod uitbrengen en dan wachten tot de adverteerder zelf zijn gegevens geeft?

Bovendien zou het installeren van een filter Marktplaats relatief veel geld en moeite kosten. Die discussie kreeg nog een opmerkelijke wending nadat bleek dat de kostenschattingen nogal uit elkaar liepen. Stokke had betoogd dat filteren veel goedkoper kon dan Marktplaats stelde, door gewoon open source software te gebruiken. Marktplaats was echter bang dat “haar kroonjuwelen”, de site-software, dan ook als open source vrijgegeven moest worden. Wat natuurlijk onzin is, want Marktplaats verspreidt geen software. Per definitie (de open source-definitie) hoef je dan geen broncode vrij te geven.

Conclusie: het “geringe belang” van Stokke weegt niet op tegen de hoge kosten die Marktplaats zou moeten maken om Stokke te kunnen helpen.

Dit wil overigens niet zeggen dat providers geen persoonsgegevens mogen bijhouden, of dat ze niet verplicht kunnen worden om die af te geven. Hier ging het er alleen om hoe veel inspanning je van een (soort van) provider als Marktplaats kunt verlangen om aan persoonsgegevens van klanten te komen.

Meer bij SOLV Advocaten en Boek 9.

Arnoud