Telecomproviders mogen inflatiecorrectie toepassen van EU-Hof

bonnetjes-btw-ontvangst-betalen-bewijs-rekening-kassabon.jpgTelecomproviders hebben het recht om een regelmatige inflatiecorrectie toe te passen op hun tarieven, mits dit juist in de algemene voorwaarden van hun diensten staat. Dat las ik bij Nu.nl. Het Europese Hof van Justitie bepaalde in een Oostenrijkse zaak dat een inflatiecorrectie redelijk is, ook als de consument in dat geval niet op mag zeggen.

Over het wijzigen van prijzen of de overige inhoud van een contract bestaan de nodige broodjeaapverhalen. Een daarvan is dat prijsverhogingen altijd betekenen dat je als wederpartij mag opzeggen. Een aanverwante is dat voorwaarden altijd mogen worden aangepast (en dan ook weer, dat je als wederpartij mag opzeggen). Beiden zijn onjuist.

In het Nederlands contractenrecht is het heel simpel: het contract is wat je samen afgesproken hebt. Eenzijdig daar verandering in brengen, is dus niet mogelijk. Hooguit kan de rechter in uitzonderingssituaties besluiten dat een bepaald stuk van het contract even buiten toepassing blijft.

De enige manier om eenzijdig het contract te wijzigen, is door in het contract te zetten dat dat mag. Als de ander daar immers akkoord mee is, dan gaat het goed.

In zakelijke contracten gebeurt dat niet vaak, want waarom zou een wederpartij daarmee akkoord gaan? In consumentencontracten zie je het vaker, want a) niemand leest die, b) als je het toch ziet, dan is het slikken of stikken. Gelukkig zijn er daarom wettelijke regels, de grijze lijst voor algemene voorwaarden, waarop onder meer staat:

[Verdacht is een algemene voorwaarde die] de gebruiker de bevoegdheid verleent een prestatie te verschaffen die wezenlijk van de toegezegde prestatie afwijkt, tenzij de wederpartij bevoegd is in dat geval de overeenkomst te ontbinden;

Verdacht wil in dit verband zeggen dat de gebruiker van de voorwaarden (het bedrijf dus) moet bewijzen dat het wél redelijk is voor hem om zo’n algemene voorwaarde in zijn contract te zetten. En in dit geval geeft de wetgever al een voorzetje: als je bij zo’n wijzigingsbeding zet dat de consument in dat geval mag opzeggen, dan is het in principe wel redelijk. Dit is dus waar “als ze je contract wijzigen, mag je opzeggen” vandaan komt.

Een harde regel is het echter niet. Dan had het wel op de zwarte lijst gestaan. Er zijn dus situaties waarin eenzijdig wijzigen mag, zónder dat opzeggen nodig is om het contract redelijk te houden. En het Hof van Justitie bepaalt nu dat een beding à la “Leverancier mag de prijzen aanpassen aan de inflatie op grond van de consumentenprijsindex” een voorbeeld daarvan is. Dit is eenvoudigweg de prijzen bij de tijd houden, en dat is zó redelijk dat een opzegrecht niet meer nodig is.

Bij ons is het specifiek voor telecomproviders anders. Art. 7.2 Telecomwet bepaalt namelijk dat voor élke wijziging van een telecomcontract een opzegrecht geldt. Een prijswijziging is ook een “wijziging van een beding”, dus ook daar geldt dit recht. Ook bij inflatiecorrectie, zo bepaalde de OPTA (nu ACM) al in 2009.

En voor de duidelijkheid: het moet er wel stáán in het contract, dat de leverancier het aan mag passen. Als er niets staat, dan mag het niet (behalve soms, het blijft recht).

Arnoud

Kun je een e-mailadres meenemen als de dienstverlener stopt?

email-e-mail-elektronische-post-envelopIk had het nieuws ook gemist maar internetprovider Knoware is overgenomen door Telfort en het domein gaat binnenkort uit de lucht. Dat gaf allerlei klachten zo lees ik van mensen die graag hun jarenlange mailadres @knoware.nl willen behouden. Dat “kan niet” volgens de helpdesk. Maar er is kunnen en willen, volgens mij.

Technisch zie ik op zich geen bezwaren. Het doorsturen van mail op adres A naar adres B is een standaardfunctie van mailservers, en als dat eenmaal ingesteld is dan kan dat tot in de eeuwigheid (of het afschaffen van e-mail) gewoon blijven draaien. (Heren en dames mailadmins, mis ik iets?)

Of je het moet willen is vers twee. Je bent afhankelijk van twéé maildienstverleners nu, beiden kunnen spamfilters, storingen en configuratiefouten hebben dan daarmee vergroot je de kans op verloren e-mail. En je hebt dubbele kosten natuurlijk want verlangen dat men grátis een dienst actief houdt, lijkt me niet helemaal redelijk. Maar beiden zouden je eigen keuze moeten zijn.

Alleen wat nu als de dienstverlener er gewoon geen trek meer in heeft, ook niet voor $veel geld? Ik vrees dat je dan gewoon pech hebt.

De wet kent nergens een regel dat een overeenkomst tot dienstverlening eeuwig moet kunnen worden voortgezet als de klant daarom vraagt. Logisch op zich, een bedrijf moet kunnen stoppen zou je zeggen. Zolang alle lopende contractstermijnen worden uitgediend, en er dus tijdig wordt opgezegd, is dat niet meer dan logisch. Het probleem lost zichzelf dan op: in de voorwaarden staat dat het jaarlijks opgezegd kan worden, dus dan heb je een jaar om je voor te bereiden op een overstap.

Toch wringt dit voor mij een beetje. Een e-mailadres is geen onderhoudscontract voor je CV-ketel. Overstappen naar een ander impliceert gedoe welhaast vergelijkbaar met een fysieke verhuizing. En zou het vanwege dát gedoe niet redelijk zijn dat je nog een tijd een forward mag verwachten, of misschien zelfs levenslang?

Arnoud

Vodafone dringt proxy op aan gebruikers, mag dat?

vodafone-proxyKlanten van Vodafone klagen dat internetpagina’s traag laden, omdat Vodafone pagina’s laadt via een proxy. Dat meldde Tweakers gisteren. De proxy is opmerkelijk omdat deze webpagina’s aanpast, wat niet uit te zetten is. Plaatjes worden op een lelijke manier verkleind, en met een vaag scriptje is dat dan weer ongedaan te maken. Weinig mensen worden hier vrolijk van. En als je als juridisch techneut ergens niet vrolijk van wordt, dan vraag je jezelf af: mag dat?

Een boze techneut bij Stackoverflow niet heel gelukkig van deze oplossing:

What it does is to have a proxy recompress all images you fetch smaller by default (making image quality significantly worse). Then it crudely injects a script into your document that adds an option to load the proper image for each recompressed image. Unfortunately, since the script is a horribly-written 1990s-style JS, it craps all over your namespace, hijacks your event handlers and stands a high chance of messing up your own scripts.

Toen KPN het ooit in z’n hoofd haalde om te gaan kijken naar pakketjes, leidde dat tot een Wet netneutraliteit waarin stond dat providers geen dataverkeer mogen filteren of blokkeren (behalve om een paar technische redenen). Maar in diezelfde wet staat nóg een interessant artikel, namelijk artikel 11.2a Telecommunicatiewet:

De aanbieder van een openbaar elektronisch communicatienetwerk en de aanbieder van een openbare elektronische communicatiedienst onthouden zich van het aftappen, afluisteren of anderszins onderscheppen of controleren van de communicatie via een openbaar elektronisch communicatienetwerk of openbare elektronische communicatiedienst en de daarmee verband houdende gegevens(…)

Dit artikel staat los van waar KPN destijds van beschuldigd werd, namelijk het aftappen of beluisteren van gesprekken en communicatie tussen personen. Daarvoor was hun packet inspection niet deep genoeg, oordeelde het OM destijds. Hier wordt nu een aparte norm geïntroduceerd: blijf van de communicatie af. En nee, Vodafone luistert of onderschept ook geen communicatie. Maar er staat ook nog “controleren” bij, en een proxy die webpagina’s herschrijft zou ik toch wel een controledinges willen noemen. Alleen gaat dit artikel primair over bescherming van de privacy van de eindgebruiker, en je kunt veel zeggen over herschrijvende proxies maar de privacy schenden doen ze niet. Dus is dit wel het soort ‘controle’ dat de wet bedoelt?

Bij invoering van dit wetsartikel is nog gezegd:

Belangrijk op te merken is dat zowel artikel 7.4a als artikel 11.2a Tw (zie met name tweede lid, onder b en c) er niet aan in de weg staan dat een aanbieder zijn netwerk en diensten op een «normale» manier beheert. Zo mag, ook in het kader van artikel 11.2a Tw (zie tweede lid, onder c), een aanbieder van een netwerk om te beoordelen of zijn netwerk goed is gedimensioneerd of dat wellicht uitbreiding nodig is de diverse verkeersstromen die over dat netwerk worden afgewikkeld in kaart brengen.

Dit wijst erop dat het niet per se gaat om élke vorm van aftappen, kijken of controleren maar alleen op de “niet normale” manier (en ik weet ook niet waarom Kamerstukken dat met «» ipv “” markeren). En de normaliteit moet je dan beoordelen vanuit het belang van de eindgebruiker, met name zijn privacy.

Het artikel noemt nog vier uitzonderingen:

  1. de betrokken abonnee voor deze handelingen zijn uitdrukkelijke toestemming heeft gegeven;
  2. deze handelingen noodzakelijk zijn om de integriteit en de veiligheid van de netwerken en diensten van de betrokken aanbieder te waarborgen;
  3. deze handelingen noodzakelijk zijn voor het overbrengen van informatie via de netwerken en diensten van de betrokken aanbieder, of
  4. deze handelingen noodzakelijk zijn ter uitvoering van een wettelijk voorschrift of rechterlijk bevel.

Geen van deze vier lijkt me van toepassing. Er is geen toestemming, de integriteit van het netwerk komt niet echt in gevaar als je webpagina’s doorgeeft, technisch noodzakelijk is het ook niet echt en een wet die dit verplicht is er ook al niet. Nou ja, heel misschien als je zegt “ons netwerk is zó krap dat we echt alle plaatjes moeten reduceren in formaat anders werkt internet gewoon niet”. Dat zou het legaal maken, maar marketingtechnisch lijkt me dat geen handig standpunt om in te nemen.

Dus mja. Het valt letterlijk onder het wetsartikel, maar volgens mij is dat hier niet voor bedoeld. Een ander artikel weet ik zo niet. Het voelt wel buitengewoon storend dát er geen wetsartikel zou zijn tegen zo’n rare actie.

Arnoud

Europese Hof verklaart bewaarplicht telecomproviders illegaal

vpn-private-network-tunnel-bewaarplicht.pngHet Europese Hof van Justitie oordeelt in een dinsdag gepubliceerd arrest (C-293/12 en C-594/12) dat de Richtlijn die de bewaarplicht regelt ongeldig is, meldde Tweakers gisteren. De Richtlijn is in strijd met het grondrecht op privacy van de burger, omdat er te weinig waarborgen ingebouwd zijn en er geen garantie is dat de bewaarde gegevens alleen voor strikt noodzakelijke doelen worden gebruikt.

De Richtlijn “betreffende de bewaring van gegevens die zijn gegenereerd of verwerkt in verband met het aanbieden van openbaar beschikbare elektronische communicatiediensten of van openbare communicatienetwerken” of iets korter de Richtlijn Bewaarplicht bepaalde dat telecomproviders verkeersgegevens en andere metadata van hun klanten moesten bewaren. Dit ter bestrijding en vervolging van ernstige misdrijven en terrorisme. Over deze wet is al veel gezegd, hoewel weinig positiefs. Het gedrocht van een wet verplichtte internetproviders tot het bewaren van zo ongeveer alle gelogde metadata, van IP-adressen en tijdstippen online komen tot het e-mailverkeer (headers, geen inhoud) van de mail die je via je provider verstuurt. Wat je hebt aan die berg data en vooral hoe makkelijk je als crimineel deze wet omzeilt, was vanaf dag 1 een grote discussie. En dat ondertussen die berg data een gigantische privacyschending opleverde, leek daarbij voor de wetgever nooit echt relevant.

Het Hof van Justitie verwijst nu deze wet naar de prullenbak. De redenering laat mooi zien aan welke eisen een inbreuk op de privacy moet voldoen om juridisch toegestaan te zijn. Privacy is een grondrecht (art. 8 EVRM), en grondrechten mogen niet worden geschonden. Echter, soms moeten grondrechten wijken voor andere rechten. De grondwetgeving kent daarvoor een stappenplan, dat kort gezegd vereist dat er een wettelijke basis is, dat de wet voor een legitiem doel wordt ingezet en dat dit wijken van het grondrecht echt noodzakelijk is gezien dat doel.

De wet bewaarplicht is een wet, dus er is een wettelijke basis. Deze eis klinkt triviaal, maar het gebeurde vroeger nog wel eens dat een grondrecht werd ingeperkt enkel op basis van een bevel van een opsporingsambtenaar of andere regeling waar geen wetgevend orgaan naar gekeken had.

De wet moet een legitiem doel dienen, en wel een doel dat bij het grondrecht is genoemd als legitiem. Eén van de genoemde doelen bij privacy is de bescherming van de nationale veiligheid, en dat biedt voor de wet bewaarplicht dus een doel. Ook de volksgezondheid of bescherming van rechten van anderen worden genoemd; het moeten afgeven van NAW-gegevens van je klant is bijvoorbeeld te legitimeren onder dat laatste (om mensen tegen anonieme smaad te beschermen).

De wet moet noodzakelijk zijn voor het doel, oftewel mag niet verder gaan dan nodig is om dat doel te dienen. Juristen gebruiken hierbij vaak de termen proportionaliteit en subsidiariteit: de inbreuk op de persoonlijke levenssfeer mag niet onevenredig zijn, en het doel van deze wet kan in redelijkheid niet op een andere voor betrokkene minder nadelige wijze worden bereikt. En dit is waar deze wet over struikelt. Het probleem met deze wet is, aldus het Hof, dat

de omvangrijke en bijzonder ernstige inmenging in de betrokken grondrechten niet voldoende ingeperkt om te garanderen dat deze inmenging daadwerkelijk tot het strikt noodzakelijke beperkt blijft.

Immers, alle gegevens van alle burgers worden bewaard, en dat riekt naar onevenredig inbreuk maken op de privacy. Kan het niet een onsje minder, hoezo is er geen selectie mogelijk op welke gegevens of wanneer? Ook zijn er te weinig waarborgen om te voorkomen dat opsporingsdiensten of anderen gaan grasduinen in bewaarde gegevens, voor andere doelen dan die bestrijding van ernstige criminaliteit. Zo mochten in 2012 private partijen gebruik maken van verplicht bewaarde NAW-gegevens om auteursrechtschendingen aan te pakken.

Wat betekent dit nu voor de Nederlandse Wet bewaarplicht? Da’s een goeie. Die wet is gebaseerd op de Richtlijn, sterker nog is ingevoerd omdat de Richtlijn zei dat dat moest. Maar formeel staat een wet los van een Richtlijn. Hij is dus niet automatisch ongeldig verklaard.

Wel staat handhaving van de wet nu op losse schroeven, omdat het Hof van Justitie immers heeft bepaald dat dit bewaren in strijd is met de grondrechten. En je hoeft als burger (of bedrijf) niet naar een wet te luisteren als die je dwingt grondrechten te schenden. Een provider kan nu dus weigeren te bewaren, en de boete aanvechten onder verwijzing naar dit arrest. De rechter zou dan de wet in strijd met hoger recht (Europese grondrechten) moeten verklaren. In de praktijk is deze wet door dit arrest een dode letter geworden. Hiep hoi!

Arnoud

Moet ik het IP-adres of emailadres van mijn gebruiker afgeven als hij auteursrechten schendt?

Een lezer vroeg me:

Op ons forum worden wel eens foto’s geplaatst zonder toestemming. Op klacht haal ik die netjes weg. Maar nu wil een fotograaf van mij de naam en (woon-)adresgegevens van een forummer. Moet ik dat geven? En adresgegevens héb ik helemaal niet!

Een forumexploitant is in beginsel niet aansprakelijk voor wat de leden doen, mits hij maar netjes op klachten reageert. Dit kan anders worden als hij of zijn moderatoren zelf actief bemoeienis hebben bij het onrechtmatig gedrag, bijvoorbeeld door op te roepen tot het publiceren van inbreukmakende foto’s.

Een fotograaf zal dus in beginsel een schadeclaim moeten indienen bij de forumgebruiker, die heeft immers de auteursrechten geschonden. Maar dat kan eigenlijk niet zonder te weten waar deze gebruiker woont. Op zich dus een logische vraag van deze fotograaf.

Veel mensen denken dat zulke gegevens niet mogen worden afgegeven zonder gerechtelijk bevel, of dat alleen Justitie dit mag opvragen. Dat is onjuist: een benadeelde private partij (zoals een fotograaf) mág persoonsgegevens van een inbreukmakende gebruiker opvragen bij een provider (of forumbeheerder), mits aan bepaalde eisen is voldaan. Werkt de provider dan niet uit zichzelf mee, dan handelt hij onrechtmatig. Dat bepaalde de Hoge Raad in het Lycos/Pessers-arrest. Hierbij geldt een vierstappentoets:

  1. de mogelijkheid dat de informatie, op zichzelf beschouwd, jegens de derde onrechtmatig en schadelijk is, is voldoende aannemelijk;
  2. de derde heeft een reëel belang bij de verkrijging van de NAW-gegevens;
  3. aannemelijk is dat er in het concrete geval geen minder ingrijpende mogelijkheid bestaat om de NAW-gegevens te achterhalen;
  4. afweging van de betrokken belangen van de klager, de serviceprovider en de gebruiker (voor zover kenbaar) brengt mee dat het belang van de derde behoort te prevaleren.

We weten uit het 123video-arrest dat deze toets streng moet worden uitgelegd. Belangrijkste is eigenlijk dat er geen andere optie is dan het deze partij te vragen, je moet alle andere wegen hebben bewandeld.

Een andere eis is dat de provider een essentiële rol moet spelen. Hier struikelde Brein in mei over in een zaak tegen de ING. Een bank speelt geen essentiële rol bij onrechtmatig faciliteren van auteursrechtinbreuk enkel omdat op de faciliterende site om donaties wordt gevraagd en een bankrekeningnummer genoemd staat.

Hier lijkt het me echter dat in beginsel aan de eisen is voldaan. Een forumbeheerder heeft een vrij essentiële rol bij een auteursrechtinbreuk op het forum, er is zelden tot nooit andere informatie over wie de gebruiker is, en een auteursrechtclaim is al snel te onderbouwen tot een voldoende aannemelijk niveau. De belangenafweging kan een rol spelen: denk aan iemand die kritisch is over de fotograaf en daarbij een foto toont als ondersteuning. Maar dat lijkt me onwaarschijnlijk.

Het probleem is hier echter veel basaler: de forumbeheerder hééft zelden tot nooit de relevante informatie. Ja, een IP-adres vanaf waar de foto werd geplaatst en een emailadres dat gekoppeld is aan het account. Maar wat heb je aan een IP-adres van meer dan een half jaar oud? De internetprovider die daarbij hoort, is niet meer bewaarplichtig, dus die heeft de koppeling niet meer met de NAW-gegevens van de gebruiker. En dat emailadres zal zelden genoeg informatie bevatten om een dagvaarding uit te kunnen brengen.

Van een forumeigenaar kun je moeilijk verlangen dat hij NAW gegevens gaat opvragen. Zeker als er al een rechtszaak dreigt, wie gaat er dan nog vrijwillig aan zijn forumeigenaar die dingen geven? En om nou te zeggen, een forumeigenaar moet maar op voorhand NAW gegevens vragen en valideren van zijn gebruikers, dat zie ik al helemaal niet zitten.

Arnoud

Is mijn provider aansprakelijk voor bugs in zijn router?

Een lezer vroeg me:

Is mijn Internet Service Provider aansprakelijk voor schade die ontstaat door een fout of een bug in de door hem aan zijn klanten beschikbaar gestelde router? Hierbij ga ik er van uit dat mijn eigen PC qua veiligheid op orde is.

Wie een product levert, moet zorgen dat die aan de redelijkerwijs gewekte verwachtingen voldoet. Of het nu gaat om een appel, een wasmachine of een tablet. Blijkt dat niet zo te zijn, dan heeft de consument recht op gratis herstel of vervanging van het product.

Deze ‘conformiteitseis‘ staat geheel los van eventuele garanties of toezeggingen van de fabrikant of leverancier. Een fabrikant kan garanderen dat de tablet een jaar lang perfect werkt, maar als na anderhalf jaar de batterij de geest geeft dan kun je toch écht bij de winkel gratis herstel daarvan verlangen. Ja, bij de winkel. Want volgens de wet is niet de fabrikant maar de winkel verantwoordelijk.

Probleem is altijd wel: wat is een redelijke verwachting bij dit soort dingen? Dit is namelijk niet hetzelfde als “is foutloos”. Dat een appel na een week bruin en oneetbaar wordt, is niet onredelijk. Die appel voldoet dus aan de conformiteitseis, en je kunt geen herstel of vervanging van de appel eisen. Een wasmachine die na een week defect is, is evident niet conform de verwachtingen.

Bij ICT-producten is dit een groot grijs gebied, met name als het gaat om security. We blijken met z’n allen nog steeds niet in staat om veilige en foutloze producten af te leveren. Dus enige fouten of problemen moet je helaas verwachten. Er is nog geen norm zoals we die wel kennen voor veiligheid: een router mag niet fysiek ontploffen of 240 volt op de netwerkaansluitingen zetten. Dat is per definitie buiten de conformiteitseis, ongeacht de reden voor een dergelijke fout.

Je moet dus op zoek naar de aard van de fout: hoe kon deze schade ontstaan, hoe moeilijk was het geweest dit te fixen en vooral had je redelijkerwijs mogen verwachten dát de fout er niet zou zijn? En daar is weinig zinnigs over te zeggen zonder te weten wat voor fout, wat voor router en wat voor gebruik daarvan.

Het lijkt mij dat wanneer een bedrijf een router levert met verouderde firmware – dus met bekende fouten – je al heel snel mag spreken van een conformiteitsgebrek. Dat hoort gewoon niet te gebeuren. Maar dat er fouten worden ontdekt in wat er is uitgeleverd, dat is nu eenmaal de praktijk. Meer dan een upgrade installeren, kun je niet doen denk ik. Natuurlijk moet die dan wel gratis beschikbaar gesteld worden.

Arnoud

Gerechtshof verbiedt blokkade The Pirate Bay: niet effectief

piratebay-sunk-dank-bas-taart.pngDe providersblokkade van torrentsite The Pirate Bay moet worden opgeheven, bepaalde het Gerechtshof Den Haag gisteren. Doel van de blokkade was te voorkomen dat klanten van de providers auteursrechten zouden schenden, maar het Hof bepaalt nu dat deze maatregel niet proportioneel en niet effectief is om dat doel te halen. En als iets niet werkt, is het juridisch weinig zinnig.

Omdat Brein de Pirate Bay maar niet uit de lucht krijgt, leek het de auteursrechtwaakhond een goed idee die taak maar eens bij de providers te leggen. Die kunnen immers wél met een botte bijl handelen en zorgen dat je niet meer bij die site kan. En er is een juridische grond, hoewel je daarvoor wel even overdwars moet kijken: de Auteurswet biedt de mogelijkheid om een tussenpersoon een blokkadeplicht op te leggen, als via zijn diensten auteursrechtinbreuk wordt gepleegd. XS4All en Ziggo zijn tussenpersonen, en klanten die uploaden via Bittorrent plegen auteursrechtinbreuk. Dus zij moeten dit onmogelijk maken, en de beste manier om dat te doen is dan TPB ontoegankelijk te maken. (Alternatief is alle Bittorrentverkeer filteren en inbreuken blokkeren, dat gaat ‘m niet worden).

In eerste instantie gaf de rechtbank Den Haag Brein gelijk. Maar in hoger beroep wordt dit teruggedraaid: deze maatregel is niet evenredig en niet effectief.

Het argument dat TPB zélf auteursrechten schendt door magnetlinks en torrents aan te bieden, wordt afgewezen. Dat soort links aanbieden is wellicht onrechtmatig, maar een blokkade mag echt alleen worden opgelegd bij auteursrechtschending.

Het moet dus gaan om filteren om te zorgen dat er minder auteursrechtschendend geüpload wordt via Bittorrent. En dan kun je natuurlijk wel een grote site blokkeren, maar wérkt dat wel? Juridisch relevant, want in het L’Oréal/eBay-arrest bepaalde het Europese Hof dat tussenpersonen (zoals eBay, maar dus ook Ziggo of XS4All) alleen een blokkade opgelegd mogen krijgen na een belangenafweging. Daarbij speelt de effectiviteit een belangrijke rol, net als de kosten en moeite voor de maatregel. Een simpele maatregel met hoog effect moet je doen, een dure actie die toch niet gaat werken is natuurlijk onzinnig.

Volgens Brein bewees de afname van het aantal bezoeken aan TPB dat de maatregel effectief was. Kritiek daarop was er alom: je moet ook proxyverkeer meetellen. En het Hof erkent nu dat als omzeiling van de blokkade (zoals via proxies) eenvoudig is, je niet kunt zeggen dat de maatregel effectief is. Het ging immers (weet u nog, overdwars kijken) om het aantal inbreuken omlaag krijgen, niet om TPB dood te maken. Als het aantal uploads hetzelfde blijft, dan is de TPB-blokkade niet effectief om het aantal uploads te beperken.

Uit TNO-onderzoek bleek echter niets van een afname van het aantal uploads, integendeel: bij alle onderzochte isps’s bleek het aantal uploads toegenomen. Weliswaar waren er genoeg abonnees gestopt met Bittorrenten, maar het gaat niet om het aantal uploaders maar het aantal uploads. Zeker als je bedenkt dat het vooral de beginnende internetgebruikers waren die waarschijnlijk zijn afgeschrikt (“oh jee dit mag niet”) en de doorgewinterde internetter gewoon een proxylijst opentrekt (“boeieh”).

Breins aanvullend argument was nog dat zij bezig is stap voor stap het illegale internet aan banden te leggen. Eerst TPB neerhalen of blokkeren als testcase, en met die jurisprudentie als basis de overige grote jongens (Kickass.to en Torrentz.eu; deze mogen nu “Aanbevolen door Tim Kuik” als ondertitel voeren) aanpakken. Precies zoals ze het ook doen natuurlijk: denk maar aan FTD, dat van de rechter moest sluiten waarna de andere Usenetindexers meteen ook boze brieven kregen.

Het Gerechtshof gaat daar echter niet in mee. Waarom moeten Ziggo en XS4All een niet-effective maatregel nemen omdat dat toevallig Breins strategie is? Het is niet fair om één blokkade op te leggen en pas daarna eens te kijken wie je nog meer wilt laten blokkeren. Brein had dus geen TPB-blokkade maar een torrentsiteblokkade moeten vorderen, heel illegaal torrentland op de lijst dus. Maar ik snap wel waarom ze dat niet doen; de bewijslast is dan veel lastiger. TPB is door de rechter verboden verklaard, en met zo’n naam kan geen zinnig mens volhouden dat dat een legitieme informatievrijheidsite is. Dus dat is makkelijk scoren. Maar “elke site met torrents naar aanbod van onze aangeslotenen” laten blokkeren overleeft volgens mij nog niet eens de giecheltoets.

Brein mag een slordige € 325.920 aan proceskosten vergoeden aan de advocaten van Ziggo en XS4All. In theorie zouden deze providers nu zelfs een schadeclaim kunnen indienen, omdat de blokkade immers onterecht opgelegd is. Maar onderbouwen welke schade dit is? Verder dan de kosten voor het aanleggen van de blokkade kom ik niet.

Formeel heeft dit arrest geen gevolgen voor de andere blokkade bij onder meer UPC en KPN. Van het hoger beroep hiervan moet nog apart arrest komen. Maar het zou me hógelijk verbazen als het Hof hier anders zou beslissen.

Arnoud

Aansprakelijk voor je algoritmes

uploading.pngWie anderen informatie op zijn site laat plaatsen, is daarvoor niet aansprakelijk mits hij snel ingrijpt bij klachten. Echter, dat geldt alléén voor de user-generated content als zodanig. Wat je zelf daar vervolgens mee doet, al dan niet met een algoritme, komt alsnog voor je eigen rekening. Dat maak ik op uit een vonnis van eind vorig jaar over nieuwssite De Nieuwe Krant.

De site liet gebruikers nieuws plaatsen, en daarbij werden langs geautomatiseerde weg populaire artikelen geselecteerd en op de homepage geplaatst. Toen (uiteraard) Cozzmoss dat ontdekte, volgde gelijk een forse claim. DNK wilde dit pareren met een beroep op het beschermingsregime voor tussenpersonen (hosters): zij plaatste niet zelf de artikelen maar liet gebruikers dat doen, en ze reageerde adequaat op klachten. Dat er artikelen van Cozzmoss-achterban op de homepage kwamen, kwam uitsluitend omdat een algoritme dat volautomatisch bedacht. DNK had daarmee niet zelf redactionele invloed op deze selectie.

De rechtbank haalt uit het Europese eBay-arrest dat een tussenpersoon volstrekt neutraal moet zijn en geen controle mag hebben over wat waar terecht komt. Dat is op zich juist, maar de rechter concludeert dat het hebben van een selectie-algoritme controle oplevert. Dat bouw je zelf, dus bepaal je zelf wat er op je site komt.

Daarbij komt dat DNK de mogelijkheid had om het algoritme zodanig aan te passen dat inbreukmakende artikelen van het algoritme werden uitgesloten, maar dat zij van deze mogelijkheid geen gebruik heeft gemaakt omdat de software daarvoor te duur was. De rechtbank is van oordeel dat DNK aldus het algoritme heeft bedacht, heeft toegepast en in staat was om dit aan te passen zodat vastgesteld kan worden dat DNK controle had over de van andere afkomstige informatie.

Het is wel érg makkelijk om te zeggen dat je ‘controle’ hebt en het algoritme had kunnen aanpassen om zo inbreukmakende artikelen weg te laten. Ik zou niet weten hoe dat moet; het eerste algoritme dat me kan vertellen “stop, dit is van de Volkskrant” moet nog gemaakt worden volgens mij.

Bovendien, we hebben ook nog het Google Adwords-arrest: daar ging het om advertenties van users die vervolgens middels een Google-algoritme hier en daar getoond worden. Google was daar een passief doorgeefluik omdat ze niet zelf selecteerde wat waar moest komen, dat deden de adverteerders immers. Wat is het verschil tussen Adwords op de Googlezoekresultatenpagina en nieuwsberichten op een nieuwssite-homepage?

Het past in de lijn die we kennen uit het 123video-vonnis en eerder Galeries.nl, waarbij het beheer ook enigszins actief modereerde, hoewel dat daar handmatig gebeurde.

Ik moet zeggen dat ik in dubio zit. Dat handmatig modereren/kiezen aansprakelijkheid oplevert kan ik ergens begrijpen, hoewel me dat wel steekt omdat modereren juist maatschappelijk zeer wenselijk is om je site netjes en nuttig te houden. Maar als je zegt, inzet van een selectie-algoritme leidt óók tot aansprakelijkheid dan wordt de ruimte wel héél erg beperkt. Een spamfilter is ook een algoritme. En willekeurig de site van een van je bloggers uitzoeken en op je homepage vermelden is óók een algoritme. Een blogsite die dus zo zijn klanten in het zonnetje wil zetten, zou dan ook aansprakelijk zijn?

Arnoud<br/> PS: Gelukkig nieuwjaar!

Britse politie vraagt registrars om blokkade torrentsites

seized-domain-name-city-londen-policeDe Britse politie heeft registrars van piraterijsites brieven gestuurd met de eis de domeinnaam te blokkeren, las ik bij Tweakers. De sites MisterTorrent, SumoTorrent en ExtraTorrent zouden volgens de auteursrechtafdeling van de Britse politie in strijd zijn met de wet, dus of men even in wilde grijpen. Met een ondertoon dat de bobbies anders even hun ouders de registry (ICANN) zouden wijzen op het feit dat de registrars dan de aansluitvoorwaarden zouden overtreden en dus geschorst zouden worden als domeinnaamuitgevers. Excuse me?

Als een dienst werkelijk in strijd handelt met toepasselijke wetgeving, dan mag de politie daar natuurlijk tegen optreden. Ze kunnen dan de site-eigenaren zelf aanpakken, maar als dat niet lukt dan is aanspreken van de hostingprovider of andere tussenpersoon ook een optie.

In Nederland is dit wettelijk geregeld: een hostingprovider moet op grond van artikel 54a Strafrecht dingen offline halen als de officier van justitie dat zegt. Wel moet die officier daar een machtiging van de rechter-commissaris voor hebben. Dat is een onafhankelijke toetsing – maar de site-eigenaar of hoster wordt niet vooraf gehoord.

Hoe het zit met een domeinnaamprovider is bij mijn weten nog nooit getest. Ik gok omdat de meeste sites domeinnaam en hosting bij dezelfde partij hebben, zodat het nooit aan de orde kwam. Maar het kan natuurlijk best dat de site bij partij A ondergebracht is en de domeinnaam bij partij B.

Het is juridisch eigenlijk al onduidelijk of een domeinnaamprovider een hostingprovider is, een partij die “een telecommunicatiedienst verleent bestaande in de doorgifte of opslag van gegevens die van een ander afkomstig zijn” zoals in dat wetsartikel staat. ‘Gegevens’ slaat eigenlijk op de inhoud van de site, als je de wetsgeschiedenis leest. Maar je kunt zeggen, de dns records van de site zijn ook gegevens (hoewel maar weinig) en die komen van de klant dus dan is dns de dienst van opslag/doorgifte van gegevens van een ander afkomstig.

Oké maar stel. Dan zou de politie dus met zo’n bevel een dns blokkade kunnen eisen, als de rechter-commissaris dat goed vindt. En dan moet je als domeinnaamregistrar daaraan gehoor geven. Je mag niet protesteren dat dit te ver gaat, dat er op de site ook legaal spul staat. Dat heeft (als het goed is) die rechter-commissaris meegenomen in de beslissing die machtiging te geven.

In deze zaak is echter geen sprake van een bevél maar van een verzoek. En dan wel een van een geniepig soort – als je niet doet wat wij zeggen dan gaan wij even jouw leverancier bellen en zeggen dat jij willens en wetens iets illegaals faciliteert. Want in zijn algemene voorwaarden staat dat jij dit niet mag, dus dan raak jij je accreditatie kwijt.

Ja, daar word ik cynisch van. Natuurlijk, áls er sprake is van overtreding van de voorwaarden dan mag de registry ingrijpen. Maar ís dat wel zo? Die agenten weten donders goed dat zij op hun blauwe uniformen vertrouwd gaan worden, en dat de dreiging van negatieve publiciteit dan genoeg kan zijn voor bot afsluiten door die registry. Een CEO die twee agenten op bezoek krijgt, heeft geen zin meer in een diepgravend juridisch onderzoek door de huisjurist – eruit met die lastpakken. En dat voelt als machtsmisbruik door die auteursrechtpolitie.

Arnoud

AMS-IX zet toch omstreden stap van Amerikaanse uitbreiding door

cloud-flag-usaOMGWTFPATRIOTACT. Een meerderheid van leden van de AMS-IX heeft zich achter de omstreden uitbreiding van het internetknooppunt naar de Verenigde Staten geschaard, meldde Tweakers zaterdag. Die uitbreiding leverde flink wat zorgen bij de leden op, maar kennelijk net niet genoeg om voldoende tegenstemmen te krijgen. Maar beloofd is dat het opzetten van het Amerikaanse internetknooppunt Patriotactrisicoloos zou gebeuren.

De uitbreiding is financieel interessant voor AMS-IX, omdat veel van de huidige Amerikaanse internetknooppunten duur en commercieel zijn. AMS-IX is een vereniging zonder winstoogmerk en kan daar dus best een stuk marktaandeel veroveren.

Alleen ja die gekke Amerikanen en hun USA PATRIOT ACT hè. Heb je een server of rechtspersoon in de VS, dan val je onder Amerikaanse rechtsmacht en dan kan de FBI dus via die antiterrorismewet komen snuffelen in je dataverkeer. En dat moet je toelaten – inclusief na verluidt snuffelbevelen in servers van je Europese datacenter. En in theorie is het dus denkbaar dat de Amerikaanse AMS-IX rechtspersoon dan te horen krijgt dat ze een livetap in de Amsterdamse AMS-IX moeten gaan zetten, op straffe van vakantie voor onbepaalde tijd in Guantanamo Bay.

Maar of dat ook wérkelijk zo gaat, is nog nooit getest bij de rechter. Dat is ook moeilijk want zulke bevelen worden onder geheimhouding (gag order) gegeven, en achteraf klokkenluiden vanuit Guantanamo Bay is best wel lastig. Maar misschien gebeurt het ook wel niet. (En misschien heb ik wel een FBI-bevel om dit zo te zeggen.)

Er zijn wel constructies denkbaar om dit tegen te gaan. Je kunt bijvoorbeeld werken met twee onafhankelijke stichtingen die alleen samenwerken maar technisch en organisatorisch gezien geen toegang tot elkaars datacenters hebben. (Nog even afgezien van de vraag of het niet op zou vallen dat een Amsterdams datacenter ineens bergen data naar Ford Meade, MY gaat versturen.) Maar het zal nog wel enig gepuzzel vergen.

Eerder kwam de AMS-IX al in opspraak over vermeend aftappen. Bezoekende Kamerleden konden echter geen NSA- of AIVD-aftapstekkers ontdekken.

Arnoud