Tag: Provider

About Provider

Subscribe Feeds

UPC heft blokkade The Pirate Bay op

Geplaatst op in Ondernemingsvrijheid, 5 reacties

piratebay-sunk-dank-bas-taart.pngUPC heeft de blokkade van torrentsite The Pirate Bay opgeheven, meldde Tweakers gisteren. Dit naar aanleiding van het arrest in de XS4All-zaak. Hoewel UPC daar formeel geen partij bij was, zat dit er natuurlijk best hard aan te komen.

In Nederland zijn uitspraken van rechtbanken, maar ook hoger-beroepshoven en zelfs de Hoge Raad formeel alleen bindend voor de partijen die bij de zaak betrokken zijn. De rechtszaken van Brein tegen Ziggo en XS4All enerzijds en UPC, KPN en Tele2 anderzijds staan dus formeel los van elkaar en het vonnis in die laatste zaak, staat nog steeds overeind. Inclusief dwangsommen die Brein zou mogen incasseren.

Praktisch gezien zag men bij Brein ongetwijfeld de bui al hangen, want hetzelfde gerechtshof zou het hoger beroep in de UPC/KPN/Tele2 zaak uitspreken en het ligt niet voor de hand dat men daar ineens wél zou oordelen dat de TPB-blokkade effectief en gepast is. En als je bedenkt dat ze dan ook nog een keer drie ton proceskosten te moeten vergoeden aan de providers, dan kan ik me goed voorstellen dat ze bij Brein dachten dat overleg met UPC geen gek idee was.

Natuurlijk heeft Brein cassatie aangekondigd te overwegen na het XS4All-arrest. Dat doe je namelijk altijd, al is het maar om het originele nieuws weg te kunnen drukken en zelf weer de talking points te bepalen. Maar het zal nog een hele tijd duren voordat de Hoge Raad iets gaat vinden van het Haagse arrest, en dan is het ook nog maar eens de vraag of die uitspraak gunstig voor Brein zal zijn.

Immers de Hoge Raad toetst alleen of de wet correct is toegepast, en niet of de feiten juist zijn. Wat het Hof heeft vastgesteld, is feitelijk juist binnen de cassatieprocedure. En de feiten in dat arrest waren vrij duidelijk: het illegaal uploaden door klanten van de providers is niet afgenomen, en daar ging het uiteindelijk allemaal om.

Hoe nu verder. Dat is een goeie vraag. Iedere jurist zit nu te wachten op het Kino.to-arrest van het Europese Hof van Justitie, waar de vraag voorligt of ISP’s de verbinding naar websites die illegale content aanbieden moeten blokkeren. De advocaat-generaal (de adviseur van het Hof) was alvast van mening van wel, hoewel het wel een beetje halfhartig terugverwijst naar de nationale rechter:

[Een blokkeerbevel] is in beginsel niet onevenredig louter vanwege het feit dat hij aanzienlijke kosten met zich brengt, maar zonder bijzondere technische kennis gemakkelijk kan worden omzeild. Het staat aan de nationale rechters om in het concrete geval met inaanmerkingneming van alle relevante omstandigheden een afweging te maken tussen de grondrechten van de betrokkenen en aldus een juist evenwicht tussen die grondrechten te verzekeren.
Oftewel: we zeggen geen nee, maar het is aan u om te bepalen wanneer u ja zegt. Daar hebben we ook veel aan.

En als uitsmijter dan nog tegelijkertijd het nieuws dat piraterijsites 165 miljoen omzet per jaar halen en dat de Nederlandse muziekindustrie 38 miljoen omzet wist te halen, een verdubbeling van vorig jaar. Dankzij of ondanks de blokkade?

Arnoud

Gerechtshof verbiedt blokkade The Pirate Bay: niet effectief

Geplaatst op in Informatiemaatschappij, 29 reacties

piratebay-sunk-dank-bas-taart.pngDe providersblokkade van torrentsite The Pirate Bay moet worden opgeheven, bepaalde het Gerechtshof Den Haag gisteren. Doel van de blokkade was te voorkomen dat klanten van de providers auteursrechten zouden schenden, maar het Hof bepaalt nu dat deze maatregel niet proportioneel en niet effectief is om dat doel te halen. En als iets niet werkt, is het juridisch weinig zinnig.

Omdat Brein de Pirate Bay maar niet uit de lucht krijgt, leek het de auteursrechtwaakhond een goed idee die taak maar eens bij de providers te leggen. Die kunnen immers wél met een botte bijl handelen en zorgen dat je niet meer bij die site kan. En er is een juridische grond, hoewel je daarvoor wel even overdwars moet kijken: de Auteurswet biedt de mogelijkheid om een tussenpersoon een blokkadeplicht op te leggen, als via zijn diensten auteursrechtinbreuk wordt gepleegd. XS4All en Ziggo zijn tussenpersonen, en klanten die uploaden via Bittorrent plegen auteursrechtinbreuk. Dus zij moeten dit onmogelijk maken, en de beste manier om dat te doen is dan TPB ontoegankelijk te maken. (Alternatief is alle Bittorrentverkeer filteren en inbreuken blokkeren, dat gaat ‘m niet worden).

In eerste instantie gaf de rechtbank Den Haag Brein gelijk. Maar in hoger beroep wordt dit teruggedraaid: deze maatregel is niet evenredig en niet effectief.

Het argument dat TPB zélf auteursrechten schendt door magnetlinks en torrents aan te bieden, wordt afgewezen. Dat soort links aanbieden is wellicht onrechtmatig, maar een blokkade mag echt alleen worden opgelegd bij auteursrechtschending.

Het moet dus gaan om filteren om te zorgen dat er minder auteursrechtschendend geüpload wordt via Bittorrent. En dan kun je natuurlijk wel een grote site blokkeren, maar wérkt dat wel? Juridisch relevant, want in het L’Oréal/eBay-arrest bepaalde het Europese Hof dat tussenpersonen (zoals eBay, maar dus ook Ziggo of XS4All) alleen een blokkade opgelegd mogen krijgen na een belangenafweging. Daarbij speelt de effectiviteit een belangrijke rol, net als de kosten en moeite voor de maatregel. Een simpele maatregel met hoog effect moet je doen, een dure actie die toch niet gaat werken is natuurlijk onzinnig.

Volgens Brein bewees de afname van het aantal bezoeken aan TPB dat de maatregel effectief was. Kritiek daarop was er alom: je moet ook proxyverkeer meetellen. En het Hof erkent nu dat als omzeiling van de blokkade (zoals via proxies) eenvoudig is, je niet kunt zeggen dat de maatregel effectief is. Het ging immers (weet u nog, overdwars kijken) om het aantal inbreuken omlaag krijgen, niet om TPB dood te maken. Als het aantal uploads hetzelfde blijft, dan is de TPB-blokkade niet effectief om het aantal uploads te beperken.

Uit TNO-onderzoek bleek echter niets van een afname van het aantal uploads, integendeel: bij alle onderzochte isps’s bleek het aantal uploads toegenomen. Weliswaar waren er genoeg abonnees gestopt met Bittorrenten, maar het gaat niet om het aantal uploaders maar het aantal uploads. Zeker als je bedenkt dat het vooral de beginnende internetgebruikers waren die waarschijnlijk zijn afgeschrikt (“oh jee dit mag niet”) en de doorgewinterde internetter gewoon een proxylijst opentrekt (“boeieh”).

Breins aanvullend argument was nog dat zij bezig is stap voor stap het illegale internet aan banden te leggen. Eerst TPB neerhalen of blokkeren als testcase, en met die jurisprudentie als basis de overige grote jongens (Kickass.to en Torrentz.eu; deze mogen nu “Aanbevolen door Tim Kuik” als ondertitel voeren) aanpakken. Precies zoals ze het ook doen natuurlijk: denk maar aan FTD, dat van de rechter moest sluiten waarna de andere Usenetindexers meteen ook boze brieven kregen.

Het Gerechtshof gaat daar echter niet in mee. Waarom moeten Ziggo en XS4All een niet-effective maatregel nemen omdat dat toevallig Breins strategie is? Het is niet fair om één blokkade op te leggen en pas daarna eens te kijken wie je nog meer wilt laten blokkeren. Brein had dus geen TPB-blokkade maar een torrentsiteblokkade moeten vorderen, heel illegaal torrentland op de lijst dus. Maar ik snap wel waarom ze dat niet doen; de bewijslast is dan veel lastiger. TPB is door de rechter verboden verklaard, en met zo’n naam kan geen zinnig mens volhouden dat dat een legitieme informatievrijheidsite is. Dus dat is makkelijk scoren. Maar “elke site met torrents naar aanbod van onze aangeslotenen” laten blokkeren overleeft volgens mij nog niet eens de giecheltoets.

Brein mag een slordige € 325.920 aan proceskosten vergoeden aan de advocaten van Ziggo en XS4All. In theorie zouden deze providers nu zelfs een schadeclaim kunnen indienen, omdat de blokkade immers onterecht opgelegd is. Maar onderbouwen welke schade dit is? Verder dan de kosten voor het aanleggen van de blokkade kom ik niet.

Formeel heeft dit arrest geen gevolgen voor de andere blokkade bij onder meer UPC en KPN. Van het hoger beroep hiervan moet nog apart arrest komen. Maar het zou me hógelijk verbazen als het Hof hier anders zou beslissen.

Arnoud

Aansprakelijk voor je algoritmes

Geplaatst op in Intellectuele rechten, Ondernemingsvrijheid, 10 reacties

uploading.pngWie anderen informatie op zijn site laat plaatsen, is daarvoor niet aansprakelijk mits hij snel ingrijpt bij klachten. Echter, dat geldt alléén voor de user-generated content als zodanig. Wat je zelf daar vervolgens mee doet, al dan niet met een algoritme, komt alsnog voor je eigen rekening. Dat maak ik op uit een vonnis van eind vorig jaar over nieuwssite De Nieuwe Krant.

De site liet gebruikers nieuws plaatsen, en daarbij werden langs geautomatiseerde weg populaire artikelen geselecteerd en op de homepage geplaatst. Toen (uiteraard) Cozzmoss dat ontdekte, volgde gelijk een forse claim. DNK wilde dit pareren met een beroep op het beschermingsregime voor tussenpersonen (hosters): zij plaatste niet zelf de artikelen maar liet gebruikers dat doen, en ze reageerde adequaat op klachten. Dat er artikelen van Cozzmoss-achterban op de homepage kwamen, kwam uitsluitend omdat een algoritme dat volautomatisch bedacht. DNK had daarmee niet zelf redactionele invloed op deze selectie.

De rechtbank haalt uit het Europese eBay-arrest dat een tussenpersoon volstrekt neutraal moet zijn en geen controle mag hebben over wat waar terecht komt. Dat is op zich juist, maar de rechter concludeert dat het hebben van een selectie-algoritme controle oplevert. Dat bouw je zelf, dus bepaal je zelf wat er op je site komt.

Daarbij komt dat DNK de mogelijkheid had om het algoritme zodanig aan te passen dat inbreukmakende artikelen van het algoritme werden uitgesloten, maar dat zij van deze mogelijkheid geen gebruik heeft gemaakt omdat de software daarvoor te duur was. De rechtbank is van oordeel dat DNK aldus het algoritme heeft bedacht, heeft toegepast en in staat was om dit aan te passen zodat vastgesteld kan worden dat DNK controle had over de van andere afkomstige informatie.

Het is wel érg makkelijk om te zeggen dat je ‘controle’ hebt en het algoritme had kunnen aanpassen om zo inbreukmakende artikelen weg te laten. Ik zou niet weten hoe dat moet; het eerste algoritme dat me kan vertellen “stop, dit is van de Volkskrant” moet nog gemaakt worden volgens mij.

Bovendien, we hebben ook nog het Google Adwords-arrest: daar ging het om advertenties van users die vervolgens middels een Google-algoritme hier en daar getoond worden. Google was daar een passief doorgeefluik omdat ze niet zelf selecteerde wat waar moest komen, dat deden de adverteerders immers. Wat is het verschil tussen Adwords op de Googlezoekresultatenpagina en nieuwsberichten op een nieuwssite-homepage?

Het past in de lijn die we kennen uit het 123video-vonnis en eerder Galeries.nl, waarbij het beheer ook enigszins actief modereerde, hoewel dat daar handmatig gebeurde.

Ik moet zeggen dat ik in dubio zit. Dat handmatig modereren/kiezen aansprakelijkheid oplevert kan ik ergens begrijpen, hoewel me dat wel steekt omdat modereren juist maatschappelijk zeer wenselijk is om je site netjes en nuttig te houden. Maar als je zegt, inzet van een selectie-algoritme leidt óók tot aansprakelijkheid dan wordt de ruimte wel héél erg beperkt. Een spamfilter is ook een algoritme. En willekeurig de site van een van je bloggers uitzoeken en op je homepage vermelden is óók een algoritme. Een blogsite die dus zo zijn klanten in het zonnetje wil zetten, zou dan ook aansprakelijk zijn?

Arnoud<br/> PS: Gelukkig nieuwjaar!

Mijn hoster heeft mijn data kwijtgemaakt, wat nu?

Geplaatst op in Security, 23 reacties

disc-data-weg-bewaren-kruis.jpgEen lezer vroeg me:

Ik host mijn website en de nodige bedrijfskritische data op een virtuele server beheerd door een Nederlands hostingbedrijf. Gisteren kreeg ik bericht dat de server offline is, omdat de leverancier van die hoster zijn dienstverlening heeft gestaakt (waarom is me onduidelijk). Nu ben ik dus mijn data kwijt! Kan ik mijn hoster daarvoor aansprakelijk stellen?

In principe ja. De hoster heeft contractueel beloofd de dienst van webhosting/datahosting te leveren, en hij doet dat niet. Dat is een contractuele wanprestatie en dan is hij aansprakelijk voor de schade die daaruit voortvloeit.

Natuurlijk wordt dat wel genuanceerd door de precieze afspraken. De algemene voorwaarden van de hoster kunnen bepalen wat er wel en niet hoeft te worden geleverd en met welke kwaliteit. Plus ze kunnen natuurlijk aansprakelijkheid beperken tot bv. een aantal maanden aan facturen of een vast maar laag bedrag. En dat is in principe bindend tegenover de klant.

Het feit dat de leverancier van de hoster niet meer levert, is niet het probleem van de eindklant, de vraagsteller dus. DIe heeft geen contract met die leverancier, dus de hoster lost het maar op. Downtime van zijn leverancier is gewoon zijn wanprestatie. Behoudens overmacht of expliciete algemene voorwaarden (“De backupdienst is mede afhankelijk van de beschikbaarheid van de Dropbox-service van het Amerikaanse bedrijf Dropbox Inc”) valt er dus wel wat te claimen bij dataverlies.

Daar staat wel tegenover dat je anno 2013 moet weten dat data kwijt kan raken. Het maken van backups lijkt me dan ook een volstrekt normale en te verwachten handeling voor ieder bedrijf dat bedrijfskritische data heeft. En dan kom je juridisch bij het begrijp ‘eigen schuld’ (art. 6:101 BW): dan wordt de schade verdeeld tussen de beide partijen. Wie zelf ook schuld heeft, moet zelf ook een stuk schade dragen.

Stelling: wie geen eigen backups maakt, verdient het gewoon 100% zelf de schade te moeten dragen van dataverlies.

Arnoud

Britse politie vraagt registrars om blokkade torrentsites

Geplaatst op in Intellectuele rechten, Ondernemingsvrijheid, Regulering, 22 reacties

seized-domain-name-city-londen-policeDe Britse politie heeft registrars van piraterijsites brieven gestuurd met de eis de domeinnaam te blokkeren, las ik bij Tweakers. De sites MisterTorrent, SumoTorrent en ExtraTorrent zouden volgens de auteursrechtafdeling van de Britse politie in strijd zijn met de wet, dus of men even in wilde grijpen. Met een ondertoon dat de bobbies anders even hun ouders de registry (ICANN) zouden wijzen op het feit dat de registrars dan de aansluitvoorwaarden zouden overtreden en dus geschorst zouden worden als domeinnaamuitgevers. Excuse me?

Als een dienst werkelijk in strijd handelt met toepasselijke wetgeving, dan mag de politie daar natuurlijk tegen optreden. Ze kunnen dan de site-eigenaren zelf aanpakken, maar als dat niet lukt dan is aanspreken van de hostingprovider of andere tussenpersoon ook een optie.

In Nederland is dit wettelijk geregeld: een hostingprovider moet op grond van artikel 54a Strafrecht dingen offline halen als de officier van justitie dat zegt. Wel moet die officier daar een machtiging van de rechter-commissaris voor hebben. Dat is een onafhankelijke toetsing – maar de site-eigenaar of hoster wordt niet vooraf gehoord.

Hoe het zit met een domeinnaamprovider is bij mijn weten nog nooit getest. Ik gok omdat de meeste sites domeinnaam en hosting bij dezelfde partij hebben, zodat het nooit aan de orde kwam. Maar het kan natuurlijk best dat de site bij partij A ondergebracht is en de domeinnaam bij partij B.

Het is juridisch eigenlijk al onduidelijk of een domeinnaamprovider een hostingprovider is, een partij die “een telecommunicatiedienst verleent bestaande in de doorgifte of opslag van gegevens die van een ander afkomstig zijn” zoals in dat wetsartikel staat. ‘Gegevens’ slaat eigenlijk op de inhoud van de site, als je de wetsgeschiedenis leest. Maar je kunt zeggen, de dns records van de site zijn ook gegevens (hoewel maar weinig) en die komen van de klant dus dan is dns de dienst van opslag/doorgifte van gegevens van een ander afkomstig.

Oké maar stel. Dan zou de politie dus met zo’n bevel een dns blokkade kunnen eisen, als de rechter-commissaris dat goed vindt. En dan moet je als domeinnaamregistrar daaraan gehoor geven. Je mag niet protesteren dat dit te ver gaat, dat er op de site ook legaal spul staat. Dat heeft (als het goed is) die rechter-commissaris meegenomen in de beslissing die machtiging te geven.

In deze zaak is echter geen sprake van een bevél maar van een verzoek. En dan wel een van een geniepig soort – als je niet doet wat wij zeggen dan gaan wij even jouw leverancier bellen en zeggen dat jij willens en wetens iets illegaals faciliteert. Want in zijn algemene voorwaarden staat dat jij dit niet mag, dus dan raak jij je accreditatie kwijt.

Ja, daar word ik cynisch van. Natuurlijk, áls er sprake is van overtreding van de voorwaarden dan mag de registry ingrijpen. Maar ís dat wel zo? Die agenten weten donders goed dat zij op hun blauwe uniformen vertrouwd gaan worden, en dat de dreiging van negatieve publiciteit dan genoeg kan zijn voor bot afsluiten door die registry. Een CEO die twee agenten op bezoek krijgt, heeft geen zin meer in een diepgravend juridisch onderzoek door de huisjurist – eruit met die lastpakken. En dat voelt als machtsmisbruik door die auteursrechtpolitie.

Arnoud

AMS-IX zet toch omstreden stap van Amerikaanse uitbreiding door

Geplaatst op in Ondernemingsvrijheid, 18 reacties

cloud-flag-usaOMGWTFPATRIOTACT. Een meerderheid van leden van de AMS-IX heeft zich achter de omstreden uitbreiding van het internetknooppunt naar de Verenigde Staten geschaard, meldde Tweakers zaterdag. Die uitbreiding leverde flink wat zorgen bij de leden op, maar kennelijk net niet genoeg om voldoende tegenstemmen te krijgen. Maar beloofd is dat het opzetten van het Amerikaanse internetknooppunt Patriotactrisicoloos zou gebeuren.

De uitbreiding is financieel interessant voor AMS-IX, omdat veel van de huidige Amerikaanse internetknooppunten duur en commercieel zijn. AMS-IX is een vereniging zonder winstoogmerk en kan daar dus best een stuk marktaandeel veroveren.

Alleen ja die gekke Amerikanen en hun USA PATRIOT ACT hè. Heb je een server of rechtspersoon in de VS, dan val je onder Amerikaanse rechtsmacht en dan kan de FBI dus via die antiterrorismewet komen snuffelen in je dataverkeer. En dat moet je toelaten – inclusief na verluidt snuffelbevelen in servers van je Europese datacenter. En in theorie is het dus denkbaar dat de Amerikaanse AMS-IX rechtspersoon dan te horen krijgt dat ze een livetap in de Amsterdamse AMS-IX moeten gaan zetten, op straffe van vakantie voor onbepaalde tijd in Guantanamo Bay.

Maar of dat ook wérkelijk zo gaat, is nog nooit getest bij de rechter. Dat is ook moeilijk want zulke bevelen worden onder geheimhouding (gag order) gegeven, en achteraf klokkenluiden vanuit Guantanamo Bay is best wel lastig. Maar misschien gebeurt het ook wel niet. (En misschien heb ik wel een FBI-bevel om dit zo te zeggen.)

Er zijn wel constructies denkbaar om dit tegen te gaan. Je kunt bijvoorbeeld werken met twee onafhankelijke stichtingen die alleen samenwerken maar technisch en organisatorisch gezien geen toegang tot elkaars datacenters hebben. (Nog even afgezien van de vraag of het niet op zou vallen dat een Amsterdams datacenter ineens bergen data naar Ford Meade, MY gaat versturen.) Maar het zal nog wel enig gepuzzel vergen.

Eerder kwam de AMS-IX al in opspraak over vermeend aftappen. Bezoekende Kamerleden konden echter geen NSA- of AIVD-aftapstekkers ontdekken.

Arnoud

“Komt u maar terug met een gerechtelijk bevel”

Geplaatst op in Ondernemingsvrijheid, 34 reacties

bevel-crimesite.pngHet klinkt ontzettend stoer: “In verband met de privacy/vrije meningsuiting van onze klant/onze positie als neutrale tussenpersoon geven wij geen gehoor aan uw verzoek tot weghalen/afgifte NAW gegevens. U dient een gerechtelijk bevel te overleggen.” Maar juridisch houdbaar is het niet. Ook private partijen kunnen gegevens opeisen of dingen laten weghalen zonder dat een rechter zich daar vooraf over heeft gebogen.

Het standpunt “geen persoonsgegevens zonder gerechtelijk bevel” is over komen waaien uit de VS. Daar speelt internetrecht als vakgebied al wat langer dan hier, en veel van onze vroege algemene voorwaarden en FAQs zijn dan ook simpelweg vertaalde Amerikaanse documenten. De “subpoena” en “court order” die men daar eist, zijn volgens het woordenboek bij ons “gerechtelijk bevel” dus dat zal dan ook wel bij ons de eis zijn, toch?

In Nederland werkt het echter anders. Je bent aansprakelijk als je zaken niet weghaalt terwijl het onmiskenbaar is dat deze tegen de wet zijn. En de Hoge Raad bepaalde in het Lycos/Pessers-arrest dat ook het weigeren NAW-gegevens te geven onrechtmatig is, als voldoende duidelijk is dat deze behoren wél te worden afgegeven. Hier komt geen voorafgaande gerechtelijke toets bij kijken: dat is immers nooit het geval bij onrechtmatig handelen. Wie onrechtmatig handelt, moet de schade vergoeden – en niet pas vanaf het moment dat de rechter bevestigt dat de handeling onrechtmatig was.

Natuurlijk, in twijfelgevallen kun je zeggen: we laten de rechter bepalen óf het onrechtmatig is. Maar formeel is dat een achterafvaststelling, en dat betekent dat de schade die in de tussentijd geleden is door het bericht te laten staan, gewoon vergoed moet worden.

Maar weinig mensen willen aan de uitspraak in Lycos/Pessers. Met name de grote internetproviders weigeren in mijn ervaring categorisch ieder verzoek om afgifte op basis van een klacht, en verwijzen naar de rechter. Mogelijk dat deze houding ingegeven wordt door bureaucratie of onwetendheid bij de klachtendesk (never attribute to malice what can be attributed to incompetence). Ook denkbaar is dat men erop gokt dat de klager tóch niet gaat procederen. Een gok die in 90% van de gevallen juist is, want wie de rechtspraak erop naslaat komt afgezien van de onvermijdelijke stichting Brein slechts een handjevol eisers tegen.

Dat een dergelijke houding daadwerkelijk gevolgen kan hebben voor de provider, blijkt uit de XSnetworks-zaak. In deze zaak had stichting Brein NAW-gegevens geëist van een hostingprovider, maar niet alles gekregen dat de provider tot haar beschikking had. De rechtbank vond dat XSnetworks daarmee onrechtmatig had gehandeld en veroordeelde haar tot betaling van de schade die Brein had geleden, op te maken bij staat. Pijnlijk dus voor providers die menen een gerechtelijk bevel te kunnen verlangen.

En nee, ook deze blog gaat geen bal veranderen aan die opvattingen. Maar je moet toch wát.

Arnoud

Snapchat versus de bewaarplicht

Geplaatst op in Ondernemingsvrijheid, 19 reacties

snapchatMenig lezer blijkt geïntrigeerd door Snapchat, getuige mijn inbox afgelopen week. Met deze dienst kun je foto’s versturen, met als unique selling point dat je kunt instellen dat ze na 10 seconden gewist moeten worden bij de ontvanger. Dat blijkt -natuurlijk- niet helemaal te werken, maar de vraag die ik kreeg was iets anders: mág dat wel, data wissen na 10 seconden? Er is toch zoiets als een bewaarplicht?

Eh ja, er is een Wet bewaarplicht maar die heeft helemaal niets te maken met internetdienstverleners. Het onding dat wet bewaarplicht heet, is bedoeld voor telecom- en internetproviders. Zij moeten gegevens die zij van hun klanten krijgen, een half jaar tot een jaar bewaren.

Nou ja, niet alles: het gaat kort gezegd over identificatie van de klant en de randapparatuur waarmee hij online komt (MAC-adres, telefoonnummer, dat soort zaken). En het IP-adres waarmee hij dan via jou het internet opgaat. Niet elke site die hij bezoekt trouwens.

Een belangrijk misverstand daarbij is dat je niet hoeft te verzamelen, maar alleen te bewaren wat je toevallig al hebt. Bied je prepaid anoniem internet aan, dan is dat niet in strijd met de Wet bewaarplicht. Maar factureer je klanten dan mag je niet hun NAW-gegevens wissen na drie maanden, die NAW gegevens moeten dan bewaard worden en wel samen met het IP-adres van hun internetsessies.

Snapchat is een “dienstverlener van de informatiemaatschappij”: zij levert diensten over internet maar geen toegang tot internet. Daarom valt zij niet onder de bewaarplicht. Dit geldt ook voor forums, chatsites en andere diensten waar mensen informatie kunnen plaatsen.

En over Snapchat’s zelfvernietigingsfunctie, het blijft een aantrekkelijk klinkend idee maar hoe je echt kunt geloven dat dit gewoon werkt, ik zou het niet weten.

Arnoud

Duitser verantwoordelijk voor versleuteld verkeer via zijn p2p-node

Geplaatst op in Intellectuele rechten, Ondernemingsvrijheid, 37 reacties

Een gebruiker van een anoniem versleuteld p2p-netwerk is door de Duitse rechter verantwoordelijk gehouden voor het feit dat auteursrechtelijk beschermde muziek zijn node passeerde. Dat meldde Tweakers zaterdag. Het gaat om een “einstweilige Verfügung”, zeg maar een kortgedingvonnis, maar intrigerend is het wel. De achterliggende redenering gaat namelijk érg ver.

Retroshare is een peer-to-peer, pardon een friend-to-friend netwerk waarbij je naast chatten en dergelijke ook bestanden kunt delen, maar alleen met mensen die je als vriend hebt toegevoegd. Al het verkeer verloopt volledig encrypted over het netwerk, zodat niemand weet wat een vriend van een vriend met een vriendin van een vriendin uitwisselt. De eiser in deze zaak had ontdekt dat via het IP-adres van de gedaagde zijn muziekwerk te downloaden viel, als ik het goed lees omdat Retroshare ook een anonimiseringsfaciliteit heeft waarbij (net als Tor) de transmissie via willekeurige derden in het netwerk verloopt. En zoals dat gaat in Duitsland, stuur je dan een claimbrief en pak je door als het antwoord je niet bevalt.

De rechtbank begint met vast te stellen dat de gedaagde niet zelf auteursrechten schendt of daar medeplichtig aan is. Klaar, zou je zeggen. Maar nee, hij is wél aansprakelijk onder de gewone regels van de onrechtmatige daad, want:

Indem es der Antragsgegner anderen Teilnehmern des RetroShare-Netzwerks ermöglichte, seinen Anschluss zur Weiterleitung des streitgegenständlichen Titels zu benutzen, hat er für die angegriffene Verletzung gleichwohl einen adäquat-kausalen Tatbeitrag geleistet.

Oftewel: als jij een situatie schept waarin mensen auteursrechten kunnen schenden, en dat gebeurt, dan draai jij op voor de consequenties. Een vorm van gevaarzetting, als het ware. Als deze node er niet was geweest, dan had de schending niet plaatsgevonden en dus mogen we jou aansprakelijk stellen. Daar zit ergens wel wat in, maar het houdt compleet geen rekening met de werkelijkheid dat dat uitwisselen tóch wel gebeurt, ook als deze node er niet was geweest. Dus of je dan nog kunt spreken van een causaal onmisbare schakel?

Tevens pakt de rechtbank een eerdere uitspraak van de hoogste Duitse rechter erbij: als aanbieder van een Wifi-netwerk ben je aansprakelijk voor misbruik daarvan, als je niet genoeg gedaan hebt om dat misbruik te voorkomen. Die lijn kun je doortrekken naar mensen die software als Retroshare inzetten:

Gemessen daran ist dem Antragsgegner eine Prüfpflichtverletzung vorzuwerfen, denn er hat bewusst eine Software eingesetzt, die es anderen Teilnehmern des RetroShare-Netzwerkes ermöglichte, rechtswidrig Dateien über seinen Anschluss öffentlich zugänglich zu machen, ohne dass er dies in irgendeiner kontrollieren konnte.

Oftewel: wie software aanzet waarmee rechten geschonden kunnen worden en daarbij geen enkele maatregel inbouwt of neemt om schendingen zelfs maar te verminderen, is aansprakelijk als er vervolgens inbreuken plaatsvinden. En ja, dat geldt dus ook als je niet kunt zien wat er wordt uitgewisseld omdat alles encrypted is. Daarom moet meneer op straffe van een dwangsom verhinderen dat het nog een keer gebeurt. En de enige reële manier om daaraan te voldoen is de stekker eruit.

Dit is dus precies waarom we eind jaren negentig een beperkte aansprakelijkheid voor internetdienstverleners hebben ingevoerd, want deze redenering kun je 1-op-1 loslaten op accessproviders. Die doen immers ook niets om inbreuken door hun gebruikers tegen te gaan. Maar om voor mij onverklaarbare redenen komt die aansprakelijkheidsbeperking totaal niet aan de orde in dit vonnis. In die uitspraak van het hoogste Duitse hof werd alleen geoordeeld dat een Wifi-aanbieder geen provider is, maar mijn Duits zal wel niet goed genoeg zijn want ik snap ‘m niet. En van deze Engelstalige Duitse blog begrijp ik dat die uitspraak nu al leidt tot een roep om duidelijke coverage van Wifi-aanbieders zoals hotels of congresorganisatoren.

Persoonlijk zie ik niet hoe je niet onder die definitie kunt vallen. De eis is dat je niet filtert en je niet actief bemoeit met de inhoud, daar voldoet deze meneer evident aan. Hooguit zou je discussie kunnen krijgen over de vraag of wel sprake is van een “dienst van de informatiemaatschappij”. Als je zegt “alleen bedrijven kunnen diensten leveren” dan verklaar je dus burgers die zelf iets leveren juridisch buiten die bescherming. Maar het wil er bij mij niet in dat dát de bedoeling zou zijn geweest.

Arnoud

Het bewijs wordt geleverd door het controlepaneel

Geplaatst op in Informatiemaatschappij, 51 reacties

Een lezer vroeg me:

Bij mijn webhoster heb ik een controlepaneel waarmee ik mijn domeinnamen en sites kan beheren. Laatst bleek er echter ineens een domeinnaam verdwenen uit de lijst. Deze was opgeheven volgens de provider, en dat had ik goedgekeurd via het controlepaneel, zo bleek uit hun logs. En die waren “dwingend bewijs”, zeggen ze. Maar ik heb niets gedaan! Hoe kan ik nu bewijzen dat hun controlepaneel het fout heeft?

Hoofdregel uit het bewijs is dat degene die een bepaald gevolg claimt, de oorzaak moet bewijzen. In dit geval zegt de provider dat ze de domeinnaam niet meer actief hoeven te houden, dus moeten zij bewijzen dat er een opdracht tot opheffen gekomen is.

De provider beroept zich op het controlepaneel, waarmee de klant de opdracht tot opheffen kan geven. Op zich is dat een prima manier: de logs van zo’n paneel leggen objectief vast wat er is gedaan, en daaruit kun je (rechts)gevolgen afleiden.

Veel providers versterken hun situatie nog meer door in de algemene voorwaarden te bepalen dat bepaalde logs of registraties dwingend bewijs zijn. Dat wil zeggen, wat daarin staat is de enige waarheid. Je kunt zelfs zo ver gaan om tegenbewijs uit te sluiten.

Mag dat? Niet snel. Bij consumenten staat dit op de zwarte lijst:

[een beding] dat de bevoegdheid van de wederpartij om bewijs te leveren uitsluit of beperkt, of …

Bij zakelijke contracten geldt de zwarte lijst niet, maar ook bij zakelijke contracten kan een algemene voorwaarde worden aangevochten als deze al te evident onredelijk is. En dat zal hier snel wel opgaan denk ik. Want de wet bepaalt al (art. 151 Rv) tegen dwingend bewijs tegenbewijs openstaat.

Het wordt alleen wel moeilijk want meestal ís er niets, afgezien van de logs van dat controlepaneel. Dus hoe ga je dan bewijzen wat er is gebeurd?

Gelukkig kwam men er hier snel uit: de bug bleek reproduceerbaar en met een schermfilmpje van hoe ineens de domeinnaam verdween was de provider snel overtuigd. Maar als zoiets er niet is, of als het een eenmalig freak incident was, dan wordt het toch moeilijk.

Arnoud