Winkelhouder niet aansprakelijk voor inbreuken via open wifi-netwerk

| AE 8935 | Intellectuele rechten, Ondernemingsvrijheid | 16 reacties

wifi-hotel.pngHet Europese Hof van Justitie heeft in de Mc Fadden-zaak beslist dat een winkelhouder niet aansprakelijk is voor auteursrechtinbreuken die worden begaan via een open wifi-netwerk. Dat meldde Tweakers vorige week donderdag. Wel kan een rechthebbende partij eisen dat een winkel zijn netwerk beschermt met een wachtwoord, omdat je anders het té makkelijk maakt dat langsrijdende grapjassen illegaal downloaden.

Uit het arrest (zaaknr. C?484/14) blijkt dat het ging om een winkel voor de verkoop en verhuur van licht- en geluidsmateriaal. De eigenaar had een draadloos wifi-netwerk opgezet waar bezoekers op konden, waarbij hij geen beveiliging had toegepast om zo klanten van winkels in de omgeving, voorbijgangers en buren op zijn bedrijf te attenderen.

Op zeker moment downloadde iemand een muziekbestand via dat draadloze netwerk uit een illegale bron, waarop Sony de winkelier aansprakelijk stelde voor deze inbreuk op auteursrechten. In Duitsland niet ongebruikelijk: op basis van Duitse rechtspraak inzake indirecte aansprakelijkheid (“Störerhaftung”) was daar een basis voor.

Raar, want in de Europese E-commercerichtlijn uit 2000 staat dat een tussenpersoon die internettoegang biedt, niet aansprakelijk is voor wat er over zijn internetverbinding gebeurt. In Duitsland was de gedachte (als ik het goed begrijp) dat die regels alleen golden voor bedrijven met als hoofddoel het bieden van internettoegang, zeg maar de ‘echte’ providers zoals T-Mobile. Wifi als aardigheidje maakte je geen provider en dus was je gewoon aansprakelijk.

Het Hof van Justitie kreeg vervolgens van de Duitse rechter deze zaak op zijn bordje: hoe zit het nu, ben je als winkel met wifi nu wel of niet een provider en kun je je dan wel of niet op deze regeling beroepen?

Kort gezegd is het antwoord: ja, dat kun je. Ook een gratis wifidienst die niet je hoofdaanbod is, valt onder de regels van de e-commercerichtlijn. Zodra je wifi te gebruiken is door derden, ben je een ‘provider’ en dus niet aansprakelijk voor wat er over je lijn gaat. Er gelden geen andere voorwaarden, zoals of je een contract sluit, of je geld vraagt of wat dan ook.

Een internetprovider hoeft daarbij géén notice/takedown te hanteren of iets dergelijks. Een hoster moet dat wel – die slaat informatie op, en kan die dus weghalen als het moet. Maar een provider geeft alleen maar door en is dus niet gehouden inbreukmakende zaken te blokkeren.

Echter, in de Richtlijn staat dat de provider een concreet verbod opgelegd kan krijgen om specifieke inbreukmakende informatie nog langer door te geven. Een Pirate Bay-verbod (zeg maar) is dus in theorie mogelijk, maar er moeten dan wel zware waarborgen zitten aan dat verbod. Dan krijg je dus gelijk een hele stevige juridische kluif in het afwegen van belangen – informatievrijheid en ondernemingsvrijheid aan de ene kant, auteursrechten aan de andere kant.

Die discussie laat het Hof nu even voor wat het is: er lag een concrete vraag of het wachtwoordbeveiligen van je netwerk redelijk is, en het antwoord is ja. Het opnemen van een wachtwoord op je wifi is eigenlijk maar een hele lichte maatregel die inbreuken door gebruikers (enigszins) kan beperken terwijl het niet echt de toegang tot internet hindert. Die maatregel is dus in principe gerechtvaardigd om te eisen. Dus: geen aansprakelijkheid voor je gasten, mits je je netwerk beveiligt.

Opmerkelijk is wel dat men eist dat je de ontvangers van het wachtwoord kunt identificeren. Gewoon een dagelijks wisselend wachtwoord mag dus niet. Het Hof zegt niet waarom ze dit ook redelijk vinden, en een afweging tegenover de privacy van bezoekers zit er al helemaal niet in. Dat bevreemdt wel heel erg. Vermoedelijk is de gedachte dat rechthebbenden dan die gegevens kunnen vorderen en zo hun recht kunnen handhaven bij de echte inbreukmaker.

Ik ben benieuwd wat dit voor gevolgen heeft. Enerzijds kun je nu zeggen, einde van gratis wifi want dat is te veel gedoe, iedereen identificeren. Anderzijds zie ik het ook wel gebeuren dat rechthebbenden nu afhaken, want je kunt hooguit eisen dat bedrijven een triviale identificatie gaan doen en 90% van de tijd valse gegevens toelaten. Dat is zo veel tijd en moeite om te checken dat je beter ergens anders kunt gaan claimen.

Arnoud

Mag ik mijn klanten verplichten SSL/TLS te gebruiken?

| AE 8734 | Security | 37 reacties

security-beveiliging-ketting-slot-chainEen lezer vroeg me:

Mag ik, als hostingprovider, klanten dwingen om SSL/TLS te gebruiken? Via een aantal scripts is het gehele proces te automatiseren, zodat er tijdens het aanmaken van een account een certificaat wordt aangemaakt (via Let’s Encrypt, dus geen meerkosten) en verbindingen vervolgens over SSL/TLS forceren (mod_rewrite en HSTS header). Ik heb veel kleine ondernemers als klant die hier écht steken laten vallen en ik wil ze tegen zichzelf beschermen.

Ik denk dat dit in principe wel kan. Je kunt in je algemene voorwaarden opnemen dat je verlangt dat klanten hun websites en software goed beveiligen, en dat jij maatregelen mag nemen, zoals SSL/TLS beveiligde verbindingen, om dat af te dwingen.

Dit is wel een tikje ongebruikelijk (helaas) dus je moet de klant daar wel expliciet over informeren. Ik zou zelf dat heel proactief willen zien: stuur ze een mail dat er wat mis is, vraag of ze dat binnen 14 dagen willen herstellen en anders doe jij het. Aangenomen dat dit geen nadelige effecten heeft voor de site, zie ik dan het probleem niet.

Maak je dingen wél stuk, dan komt dat op jouw bordje te liggen. En natuurlijk heb je als hoster in je algemene voorwaarden je aansprakelijkheid beperkt, maar bij dit soort handelen gaat dat niet zomaar op. Voor opzettelijk handelen ben je altijd volledig aansprakelijk, en dit neigt daar toch wel een tikje naar. Een hoster zou er dan ook voor kunnen kiezen om te zeggen, binnen 14 dagen herstellen en anders de site in een sandbox of op zwart. (Ja, de wet vindt het erger dat je iets half doet dan wanneer je iemand op zwart zet.)

Arnoud

Is dat een warrant canary in je jaarverslag of ben je blij de NSA te zien?

| AE 8550 | Ondernemingsvrijheid, Regulering | 28 reacties

warrant-canaryInternetforum Reddit heeft donderdag een stuk tekst verwijderd dat gebruikt werd om aan te geven dat de site nog nooit in het geheim data heeft moeten overhandigen aan de Amerikaanse overheid, bij Nu.nl. De site heeft al jaren deze warrant canary in haar jaarlijks transparantierapport staan om een signaal te kunnen geven als men een National Security Letter of FISA-bevel krijgt, twee controversiële geheime bevelen die zonder gerechtelijke toetsing worden gegeven. Nu.nl zegt dat het dus ‘aannemelijk’ is dat zo’n bevel er is geweest, maar dat gaat me iets te snel.

Een warrant canary is een juridische truc om toch te kunnen laten weten dat je een opvraag- of tapbevel hebt gekregen waar een gag order (zwijglast) bij zit. Het idee is dat je zegt “Het afgelopen jaar kregen wij geen opvraag- of tapbevelen” en dat je die tekst weghaalt zodra je wél zo’n bevel kreeg. Zo zeg je het niet expliciet (wat immers niet mag) maar niemand kan jou bevelen te liegen. Is het idee.

Reddit publiceert een jaarlijkse canary gericht tegen National Security Letters en FISA-bevelen, beide controversiële bevelen omdat er geen voorafgaande gerechtelijke toetsing aan zit én je er altijd je mond over moet houden. Tot enkele jaren terug beweerde Justitie zelfs dat het niet toegestaan was bij de rechter zo’n bevel aan te vechten.

Dit jaar ontbreekt de canary. Het idee is dat daaruit dan volgt dat er een dergelijk bevel is gegeven, immers je mag niet liegen in je jaarverslag. Plus, niemand kan je dwingen iets te zeggen waar je niet achter staat. Aldus de Amerikaanse theorie: compelled speech is iets zeer onwenselijks in het Amerikaanse recht, dus reddit kan niet worden gedwongen die kanarietekst te herhalen als ze dat niet wil.

Ik blijf erbij: dit werkt niet. Ook niet in de VS – in het algemeen is compelled speech inderdaad een probleem, maar hier maak je zélf dat probleem door steeds iets te zeggen waarmee je straks de geest van een zwijglast kunt omzeilen. En als er iets is waar rechters een hekel aan hebben, dan is het wel aan bijdehante figuren die niet gewoon doen wat in de wet staat en daar met een zeer spitsvondig argument grijnzend omheen gaan draaien.

Het zou een zeer gedurfde actie van Reddit zijn om langs deze weg te laten weten dat er een geheim bevel met last is geweest. Maar ik denk dat ze dan écht een serieus probleem hebben bij de rechter. Mijn eerste gedachte naar aanleiding van de CEO’s reactie (“I’ve been advised not to say anything one way or the other.”) was dat hij van zijn eigen jurist had gehoord wat voor risico eraan zit, en toen dacht, ik haal het ding eruit want zulke strafrechtszaken dan wel mijn aandeelhouders voorliegen, daar heb ik geen zin in.

Arnoud

Mijn provider blokkeert spam, mag dat eigenlijk wel?

| AE 7150 | Ondernemingsvrijheid | 17 reacties

Een lezer vroeg me: Onlangs ontdekte ik dat mijn provider een eigen spamfilter hanteert, en wel op een vervelende manier: er waren belangrijke mails van een Aziatische klant geblokkeerd. Ik ben daar nooit over geïnformeerd en men zegt nu zelfs dat het filter er niet af kan “vanwege de integriteit van het netwerk”. Mag dat… Lees verder

Kun je een e-mailadres meenemen als de dienstverlener stopt?

| AE 6919 | Privacy | 36 reacties

Ik had het nieuws ook gemist maar internetprovider Knoware is overgenomen door Telfort en het domein gaat binnenkort uit de lucht. Dat gaf allerlei klachten zo lees ik van mensen die graag hun jarenlange mailadres @knoware.nl willen behouden. Dat “kan niet” volgens de helpdesk. Maar er is kunnen en willen, volgens mij. Technisch zie ik… Lees verder

Vodafone dringt proxy op aan gebruikers, mag dat?

| AE 6566 | Ondernemingsvrijheid | 24 reacties

Klanten van Vodafone klagen dat internetpagina’s traag laden, omdat Vodafone pagina’s laadt via een proxy. Dat meldde Tweakers gisteren. De proxy is opmerkelijk omdat deze webpagina’s aanpast, wat niet uit te zetten is. Plaatjes worden op een lelijke manier verkleind, en met een vaag scriptje is dat dan weer ongedaan te maken. Weinig mensen worden… Lees verder

Europese Hof verklaart bewaarplicht telecomproviders illegaal

| AE 6548 | Privacy | 20 reacties

Het Europese Hof van Justitie oordeelt in een dinsdag gepubliceerd arrest (C-293/12 en C-594/12) dat de Richtlijn die de bewaarplicht regelt ongeldig is, meldde Tweakers gisteren. De Richtlijn is in strijd met het grondrecht op privacy van de burger, omdat er te weinig waarborgen ingebouwd zijn en er geen garantie is dat de bewaarde gegevens… Lees verder

Moet ik het IP-adres of emailadres van mijn gebruiker afgeven als hij auteursrechten schendt?

| AE 6402 | Ondernemingsvrijheid | 46 reacties

Een lezer vroeg me: Op ons forum worden wel eens foto’s geplaatst zonder toestemming. Op klacht haal ik die netjes weg. Maar nu wil een fotograaf van mij de naam en (woon-)adresgegevens van een forummer. Moet ik dat geven? En adresgegevens héb ik helemaal niet! Een forumexploitant is in beginsel niet aansprakelijk voor wat de… Lees verder