Europese Hof verklaart bewaarplicht telecomproviders illegaal

| AE 6548 | Privacy | 20 reacties

vpn-private-network-tunnel-bewaarplicht.pngHet Europese Hof van Justitie oordeelt in een dinsdag gepubliceerd arrest (C-293/12 en C-594/12) dat de Richtlijn die de bewaarplicht regelt ongeldig is, meldde Tweakers gisteren. De Richtlijn is in strijd met het grondrecht op privacy van de burger, omdat er te weinig waarborgen ingebouwd zijn en er geen garantie is dat de bewaarde gegevens alleen voor strikt noodzakelijke doelen worden gebruikt.

De Richtlijn “betreffende de bewaring van gegevens die zijn gegenereerd of verwerkt in verband met het aanbieden van openbaar beschikbare elektronische communicatiediensten of van openbare communicatienetwerken” of iets korter de Richtlijn Bewaarplicht bepaalde dat telecomproviders verkeersgegevens en andere metadata van hun klanten moesten bewaren. Dit ter bestrijding en vervolging van ernstige misdrijven en terrorisme. Over deze wet is al veel gezegd, hoewel weinig positiefs. Het gedrocht van een wet verplichtte internetproviders tot het bewaren van zo ongeveer alle gelogde metadata, van IP-adressen en tijdstippen online komen tot het e-mailverkeer (headers, geen inhoud) van de mail die je via je provider verstuurt. Wat je hebt aan die berg data en vooral hoe makkelijk je als crimineel deze wet omzeilt, was vanaf dag 1 een grote discussie. En dat ondertussen die berg data een gigantische privacyschending opleverde, leek daarbij voor de wetgever nooit echt relevant.

Het Hof van Justitie verwijst nu deze wet naar de prullenbak. De redenering laat mooi zien aan welke eisen een inbreuk op de privacy moet voldoen om juridisch toegestaan te zijn. Privacy is een grondrecht (art. 8 EVRM), en grondrechten mogen niet worden geschonden. Echter, soms moeten grondrechten wijken voor andere rechten. De grondwetgeving kent daarvoor een stappenplan, dat kort gezegd vereist dat er een wettelijke basis is, dat de wet voor een legitiem doel wordt ingezet en dat dit wijken van het grondrecht echt noodzakelijk is gezien dat doel.

De wet bewaarplicht is een wet, dus er is een wettelijke basis. Deze eis klinkt triviaal, maar het gebeurde vroeger nog wel eens dat een grondrecht werd ingeperkt enkel op basis van een bevel van een opsporingsambtenaar of andere regeling waar geen wetgevend orgaan naar gekeken had.

De wet moet een legitiem doel dienen, en wel een doel dat bij het grondrecht is genoemd als legitiem. Eén van de genoemde doelen bij privacy is de bescherming van de nationale veiligheid, en dat biedt voor de wet bewaarplicht dus een doel. Ook de volksgezondheid of bescherming van rechten van anderen worden genoemd; het moeten afgeven van NAW-gegevens van je klant is bijvoorbeeld te legitimeren onder dat laatste (om mensen tegen anonieme smaad te beschermen).

De wet moet noodzakelijk zijn voor het doel, oftewel mag niet verder gaan dan nodig is om dat doel te dienen. Juristen gebruiken hierbij vaak de termen proportionaliteit en subsidiariteit: de inbreuk op de persoonlijke levenssfeer mag niet onevenredig zijn, en het doel van deze wet kan in redelijkheid niet op een andere voor betrokkene minder nadelige wijze worden bereikt. En dit is waar deze wet over struikelt. Het probleem met deze wet is, aldus het Hof, dat

de omvangrijke en bijzonder ernstige inmenging in de betrokken grondrechten niet voldoende ingeperkt om te garanderen dat deze inmenging daadwerkelijk tot het strikt noodzakelijke beperkt blijft.

Immers, alle gegevens van alle burgers worden bewaard, en dat riekt naar onevenredig inbreuk maken op de privacy. Kan het niet een onsje minder, hoezo is er geen selectie mogelijk op welke gegevens of wanneer? Ook zijn er te weinig waarborgen om te voorkomen dat opsporingsdiensten of anderen gaan grasduinen in bewaarde gegevens, voor andere doelen dan die bestrijding van ernstige criminaliteit. Zo mochten in 2012 private partijen gebruik maken van verplicht bewaarde NAW-gegevens om auteursrechtschendingen aan te pakken.

Wat betekent dit nu voor de Nederlandse Wet bewaarplicht? Da’s een goeie. Die wet is gebaseerd op de Richtlijn, sterker nog is ingevoerd omdat de Richtlijn zei dat dat moest. Maar formeel staat een wet los van een Richtlijn. Hij is dus niet automatisch ongeldig verklaard.

Wel staat handhaving van de wet nu op losse schroeven, omdat het Hof van Justitie immers heeft bepaald dat dit bewaren in strijd is met de grondrechten. En je hoeft als burger (of bedrijf) niet naar een wet te luisteren als die je dwingt grondrechten te schenden. Een provider kan nu dus weigeren te bewaren, en de boete aanvechten onder verwijzing naar dit arrest. De rechter zou dan de wet in strijd met hoger recht (Europese grondrechten) moeten verklaren. In de praktijk is deze wet door dit arrest een dode letter geworden. Hiep hoi!

Arnoud

Moet ik het IP-adres of emailadres van mijn gebruiker afgeven als hij auteursrechten schendt?

| AE 6402 | Ondernemingsvrijheid | 46 reacties

Een lezer vroeg me:

Op ons forum worden wel eens foto’s geplaatst zonder toestemming. Op klacht haal ik die netjes weg. Maar nu wil een fotograaf van mij de naam en (woon-)adresgegevens van een forummer. Moet ik dat geven? En adresgegevens héb ik helemaal niet!

Een forumexploitant is in beginsel niet aansprakelijk voor wat de leden doen, mits hij maar netjes op klachten reageert. Dit kan anders worden als hij of zijn moderatoren zelf actief bemoeienis hebben bij het onrechtmatig gedrag, bijvoorbeeld door op te roepen tot het publiceren van inbreukmakende foto’s.

Een fotograaf zal dus in beginsel een schadeclaim moeten indienen bij de forumgebruiker, die heeft immers de auteursrechten geschonden. Maar dat kan eigenlijk niet zonder te weten waar deze gebruiker woont. Op zich dus een logische vraag van deze fotograaf.

Veel mensen denken dat zulke gegevens niet mogen worden afgegeven zonder gerechtelijk bevel, of dat alleen Justitie dit mag opvragen. Dat is onjuist: een benadeelde private partij (zoals een fotograaf) mág persoonsgegevens van een inbreukmakende gebruiker opvragen bij een provider (of forumbeheerder), mits aan bepaalde eisen is voldaan. Werkt de provider dan niet uit zichzelf mee, dan handelt hij onrechtmatig. Dat bepaalde de Hoge Raad in het Lycos/Pessers-arrest. Hierbij geldt een vierstappentoets:

  1. de mogelijkheid dat de informatie, op zichzelf beschouwd, jegens de derde onrechtmatig en schadelijk is, is voldoende aannemelijk;
  2. de derde heeft een reëel belang bij de verkrijging van de NAW-gegevens;
  3. aannemelijk is dat er in het concrete geval geen minder ingrijpende mogelijkheid bestaat om de NAW-gegevens te achterhalen;
  4. afweging van de betrokken belangen van de klager, de serviceprovider en de gebruiker (voor zover kenbaar) brengt mee dat het belang van de derde behoort te prevaleren.

We weten uit het 123video-arrest dat deze toets streng moet worden uitgelegd. Belangrijkste is eigenlijk dat er geen andere optie is dan het deze partij te vragen, je moet alle andere wegen hebben bewandeld.

Een andere eis is dat de provider een essentiële rol moet spelen. Hier struikelde Brein in mei over in een zaak tegen de ING. Een bank speelt geen essentiële rol bij onrechtmatig faciliteren van auteursrechtinbreuk enkel omdat op de faciliterende site om donaties wordt gevraagd en een bankrekeningnummer genoemd staat.

Hier lijkt het me echter dat in beginsel aan de eisen is voldaan. Een forumbeheerder heeft een vrij essentiële rol bij een auteursrechtinbreuk op het forum, er is zelden tot nooit andere informatie over wie de gebruiker is, en een auteursrechtclaim is al snel te onderbouwen tot een voldoende aannemelijk niveau. De belangenafweging kan een rol spelen: denk aan iemand die kritisch is over de fotograaf en daarbij een foto toont als ondersteuning. Maar dat lijkt me onwaarschijnlijk.

Het probleem is hier echter veel basaler: de forumbeheerder hééft zelden tot nooit de relevante informatie. Ja, een IP-adres vanaf waar de foto werd geplaatst en een emailadres dat gekoppeld is aan het account. Maar wat heb je aan een IP-adres van meer dan een half jaar oud? De internetprovider die daarbij hoort, is niet meer bewaarplichtig, dus die heeft de koppeling niet meer met de NAW-gegevens van de gebruiker. En dat emailadres zal zelden genoeg informatie bevatten om een dagvaarding uit te kunnen brengen.

Van een forumeigenaar kun je moeilijk verlangen dat hij NAW gegevens gaat opvragen. Zeker als er al een rechtszaak dreigt, wie gaat er dan nog vrijwillig aan zijn forumeigenaar die dingen geven? En om nou te zeggen, een forumeigenaar moet maar op voorhand NAW gegevens vragen en valideren van zijn gebruikers, dat zie ik al helemaal niet zitten.

Arnoud

Is mijn provider aansprakelijk voor bugs in zijn router?

| AE 6399 | Security | 15 reacties

Een lezer vroeg me:

Is mijn Internet Service Provider aansprakelijk voor schade die ontstaat door een fout of een bug in de door hem aan zijn klanten beschikbaar gestelde router? Hierbij ga ik er van uit dat mijn eigen PC qua veiligheid op orde is.

Wie een product levert, moet zorgen dat die aan de redelijkerwijs gewekte verwachtingen voldoet. Of het nu gaat om een appel, een wasmachine of een tablet. Blijkt dat niet zo te zijn, dan heeft de consument recht op gratis herstel of vervanging van het product.

Deze ‘conformiteitseis‘ staat geheel los van eventuele garanties of toezeggingen van de fabrikant of leverancier. Een fabrikant kan garanderen dat de tablet een jaar lang perfect werkt, maar als na anderhalf jaar de batterij de geest geeft dan kun je toch écht bij de winkel gratis herstel daarvan verlangen. Ja, bij de winkel. Want volgens de wet is niet de fabrikant maar de winkel verantwoordelijk.

Probleem is altijd wel: wat is een redelijke verwachting bij dit soort dingen? Dit is namelijk niet hetzelfde als “is foutloos”. Dat een appel na een week bruin en oneetbaar wordt, is niet onredelijk. Die appel voldoet dus aan de conformiteitseis, en je kunt geen herstel of vervanging van de appel eisen. Een wasmachine die na een week defect is, is evident niet conform de verwachtingen.

Bij ICT-producten is dit een groot grijs gebied, met name als het gaat om security. We blijken met z’n allen nog steeds niet in staat om veilige en foutloze producten af te leveren. Dus enige fouten of problemen moet je helaas verwachten. Er is nog geen norm zoals we die wel kennen voor veiligheid: een router mag niet fysiek ontploffen of 240 volt op de netwerkaansluitingen zetten. Dat is per definitie buiten de conformiteitseis, ongeacht de reden voor een dergelijke fout.

Je moet dus op zoek naar de aard van de fout: hoe kon deze schade ontstaan, hoe moeilijk was het geweest dit te fixen en vooral had je redelijkerwijs mogen verwachten dát de fout er niet zou zijn? En daar is weinig zinnigs over te zeggen zonder te weten wat voor fout, wat voor router en wat voor gebruik daarvan.

Het lijkt mij dat wanneer een bedrijf een router levert met verouderde firmware – dus met bekende fouten – je al heel snel mag spreken van een conformiteitsgebrek. Dat hoort gewoon niet te gebeuren. Maar dat er fouten worden ontdekt in wat er is uitgeleverd, dat is nu eenmaal de praktijk. Meer dan een upgrade installeren, kun je niet doen denk ik. Natuurlijk moet die dan wel gratis beschikbaar gesteld worden.

Arnoud

UPC heft blokkade The Pirate Bay op

| AE 6404 | Ondernemingsvrijheid | 5 reacties

UPC heeft de blokkade van torrentsite The Pirate Bay opgeheven, meldde Tweakers gisteren. Dit naar aanleiding van het arrest in de XS4All-zaak. Hoewel UPC daar formeel geen partij bij was, zat dit er natuurlijk best hard aan te komen. In Nederland zijn uitspraken van rechtbanken, maar ook hoger-beroepshoven en zelfs de Hoge Raad formeel alleen… Lees verder

Gerechtshof verbiedt blokkade The Pirate Bay: niet effectief

| AE 6346 | Informatiemaatschappij | 29 reacties

De providersblokkade van torrentsite The Pirate Bay moet worden opgeheven, bepaalde het Gerechtshof Den Haag gisteren. Doel van de blokkade was te voorkomen dat klanten van de providers auteursrechten zouden schenden, maar het Hof bepaalt nu dat deze maatregel niet proportioneel en niet effectief is om dat doel te halen. En als iets niet werkt,… Lees verder

Aansprakelijk voor je algoritmes

| AE 6254 | Intellectuele rechten, Ondernemingsvrijheid | 10 reacties

Wie anderen informatie op zijn site laat plaatsen, is daarvoor niet aansprakelijk mits hij snel ingrijpt bij klachten. Echter, dat geldt alléén voor de user-generated content als zodanig. Wat je zelf daar vervolgens mee doet, al dan niet met een algoritme, komt alsnog voor je eigen rekening. Dat maak ik op uit een vonnis van… Lees verder

Mijn hoster heeft mijn data kwijtgemaakt, wat nu?

| AE 6086 | Security | 23 reacties

Een lezer vroeg me: Ik host mijn website en de nodige bedrijfskritische data op een virtuele server beheerd door een Nederlands hostingbedrijf. Gisteren kreeg ik bericht dat de server offline is, omdat de leverancier van die hoster zijn dienstverlening heeft gestaakt (waarom is me onduidelijk). Nu ben ik dus mijn data kwijt! Kan ik mijn… Lees verder

Britse politie vraagt registrars om blokkade torrentsites

| AE 6017 | Intellectuele rechten, Ondernemingsvrijheid, Regulering | 22 reacties

De Britse politie heeft registrars van piraterijsites brieven gestuurd met de eis de domeinnaam te blokkeren, las ik bij Tweakers. De sites MisterTorrent, SumoTorrent en ExtraTorrent zouden volgens de auteursrechtafdeling van de Britse politie in strijd zijn met de wet, dus of men even in wilde grijpen. Met een ondertoon dat de bobbies anders even… Lees verder

AMS-IX zet toch omstreden stap van Amerikaanse uitbreiding door

| AE 5981 | Ondernemingsvrijheid | 18 reacties

OMGWTFPATRIOTACT. Een meerderheid van leden van de AMS-IX heeft zich achter de omstreden uitbreiding van het internetknooppunt naar de Verenigde Staten geschaard, meldde Tweakers zaterdag. Die uitbreiding leverde flink wat zorgen bij de leden op, maar kennelijk net niet genoeg om voldoende tegenstemmen te krijgen. Maar beloofd is dat het opzetten van het Amerikaanse internetknooppunt… Lees verder

“Komt u maar terug met een gerechtelijk bevel”

| AE 5253 | Ondernemingsvrijheid | 34 reacties

Het klinkt ontzettend stoer: “In verband met de privacy/vrije meningsuiting van onze klant/onze positie als neutrale tussenpersoon geven wij geen gehoor aan uw verzoek tot weghalen/afgifte NAW gegevens. U dient een gerechtelijk bevel te overleggen.” Maar juridisch houdbaar is het niet. Ook private partijen kunnen gegevens opeisen of dingen laten weghalen zonder dat een rechter… Lees verder