Internetrecht door Arnoud Engelfriet

Het klinkt ontzettend stoer: “In verband met de privacy/vrije meningsuiting van onze klant/onze positie als neutrale tussenpersoon geven wij geen gehoor aan uw verzoek tot weghalen/afgifte NAW gegevens. U dient een gerechtelijk bevel te overleggen.” Maar juridisch houdbaar is het niet. Ook private partijen kunnen gegevens opeisen of dingen laten weghalen zonder dat een rechter zich daar vooraf over heeft gebogen.

Het standpunt “geen persoonsgegevens zonder gerechtelijk bevel” is over komen waaien uit de VS. Daar speelt internetrecht als vakgebied al wat langer dan hier, en veel van onze vroege algemene voorwaarden en FAQs zijn dan ook simpelweg vertaalde Amerikaanse documenten. De “subpoena” en “court order” die men daar eist, zijn volgens het woordenboek bij ons “gerechtelijk bevel” dus dat zal dan ook wel bij ons de eis zijn, toch?

In Nederland werkt het echter anders. Je bent aansprakelijk als je zaken niet weghaalt terwijl het onmiskenbaar is dat deze tegen de wet zijn. En de Hoge Raad bepaalde in het Lycos/Pessers-arrest dat ook het weigeren NAW-gegevens te geven onrechtmatig is, als voldoende duidelijk is dat deze behoren wél te worden afgegeven. Hier komt geen voorafgaande gerechtelijke toets bij kijken: dat is immers nooit het geval bij onrechtmatig handelen. Wie onrechtmatig handelt, moet de schade vergoeden – en niet pas vanaf het moment dat de rechter bevestigt dat de handeling onrechtmatig was.

Natuurlijk, in twijfelgevallen kun je zeggen: we laten de rechter bepalen óf het onrechtmatig is. Maar formeel is dat een achterafvaststelling, en dat betekent dat de schade die in de tussentijd geleden is door het bericht te laten staan, gewoon vergoed moet worden.

Maar weinig mensen willen aan de uitspraak in Lycos/Pessers. Met name de grote internetproviders weigeren in mijn ervaring categorisch ieder verzoek om afgifte op basis van een klacht, en verwijzen naar de rechter. Mogelijk dat deze houding ingegeven wordt door bureaucratie of onwetendheid bij de klachtendesk (never attribute to malice what can be attributed to incompetence). Ook denkbaar is dat men erop gokt dat de klager tóch niet gaat procederen. Een gok die in 90% van de gevallen juist is, want wie de rechtspraak erop naslaat komt afgezien van de onvermijdelijke stichting Brein slechts een handjevol eisers tegen.

Dat een dergelijke houding daadwerkelijk gevolgen kan hebben voor de provider, blijkt uit de XSnetworks-zaak. In deze zaak had stichting Brein NAW-gegevens geëist van een hostingprovider, maar niet alles gekregen dat de provider tot haar beschikking had. De rechtbank vond dat XSnetworks daarmee onrechtmatig had gehandeld en veroordeelde haar tot betaling van de schade die Brein had geleden, op te maken bij staat. Pijnlijk dus voor providers die menen een gerechtelijk bevel te kunnen verlangen.

En nee, ook deze blog gaat geen bal veranderen aan die opvattingen. Maar je moet toch wát.

Arnoud

Menig lezer blijkt geïntrigeerd door Snapchat, getuige mijn inbox afgelopen week. Met deze dienst kun je foto’s versturen, met als unique selling point dat je kunt instellen dat ze na 10 seconden gewist moeten worden bij de ontvanger. Dat blijkt -natuurlijk- niet helemaal te werken, maar de vraag die ik kreeg was iets anders: mág dat wel, data wissen na 10 seconden? Er is toch zoiets als een bewaarplicht?

Eh ja, er is een Wet bewaarplicht maar die heeft helemaal niets te maken met internetdienstverleners. Het onding dat wet bewaarplicht heet, is bedoeld voor telecom- en internetproviders. Zij moeten gegevens die zij van hun klanten krijgen, een half jaar tot een jaar bewaren.

Nou ja, niet alles: het gaat kort gezegd over identificatie van de klant en de randapparatuur waarmee hij online komt (MAC-adres, telefoonnummer, dat soort zaken). En het IP-adres waarmee hij dan via jou het internet opgaat. Niet elke site die hij bezoekt trouwens.

Een belangrijk misverstand daarbij is dat je niet hoeft te verzamelen, maar alleen te bewaren wat je toevallig al hebt. Bied je prepaid anoniem internet aan, dan is dat niet in strijd met de Wet bewaarplicht. Maar factureer je klanten dan mag je niet hun NAW-gegevens wissen na drie maanden, die NAW gegevens moeten dan bewaard worden en wel samen met het IP-adres van hun internetsessies.

Snapchat is een “dienstverlener van de informatiemaatschappij”: zij levert diensten over internet maar geen toegang tot internet. Daarom valt zij niet onder de bewaarplicht. Dit geldt ook voor forums, chatsites en andere diensten waar mensen informatie kunnen plaatsen.

En over Snapchat’s zelfvernietigingsfunctie, het blijft een aantrekkelijk klinkend idee maar hoe je echt kunt geloven dat dit gewoon werkt, ik zou het niet weten.

Arnoud

Een gebruiker van een anoniem versleuteld p2p-netwerk is door de Duitse rechter verantwoordelijk gehouden voor het feit dat auteursrechtelijk beschermde muziek zijn node passeerde. Dat meldde Tweakers zaterdag. Het gaat om een “einstweilige Verfügung”, zeg maar een kortgedingvonnis, maar intrigerend is het wel. De achterliggende redenering gaat namelijk érg ver.

Retroshare is een peer-to-peer, pardon een friend-to-friend netwerk waarbij je naast chatten en dergelijke ook bestanden kunt delen, maar alleen met mensen die je als vriend hebt toegevoegd. Al het verkeer verloopt volledig encrypted over het netwerk, zodat niemand weet wat een vriend van een vriend met een vriendin van een vriendin uitwisselt. De eiser in deze zaak had ontdekt dat via het IP-adres van de gedaagde zijn muziekwerk te downloaden viel, als ik het goed lees omdat Retroshare ook een anonimiseringsfaciliteit heeft waarbij (net als Tor) de transmissie via willekeurige derden in het netwerk verloopt. En zoals dat gaat in Duitsland, stuur je dan een claimbrief en pak je door als het antwoord je niet bevalt.

De rechtbank begint met vast te stellen dat de gedaagde niet zelf auteursrechten schendt of daar medeplichtig aan is. Klaar, zou je zeggen. Maar nee, hij is wél aansprakelijk onder de gewone regels van de onrechtmatige daad, want:

Indem es der Antragsgegner anderen Teilnehmern des RetroShare-Netzwerks ermöglichte, seinen Anschluss zur Weiterleitung des streitgegenständlichen Titels zu benutzen, hat er für die angegriffene Verletzung gleichwohl einen adäquat-kausalen Tatbeitrag geleistet.

Oftewel: als jij een situatie schept waarin mensen auteursrechten kunnen schenden, en dat gebeurt, dan draai jij op voor de consequenties. Een vorm van gevaarzetting, als het ware. Als deze node er niet was geweest, dan had de schending niet plaatsgevonden en dus mogen we jou aansprakelijk stellen. Daar zit ergens wel wat in, maar het houdt compleet geen rekening met de werkelijkheid dat dat uitwisselen tóch wel gebeurt, ook als deze node er niet was geweest. Dus of je dan nog kunt spreken van een causaal onmisbare schakel?

Tevens pakt de rechtbank een eerdere uitspraak van de hoogste Duitse rechter erbij: als aanbieder van een Wifi-netwerk ben je aansprakelijk voor misbruik daarvan, als je niet genoeg gedaan hebt om dat misbruik te voorkomen. Die lijn kun je doortrekken naar mensen die software als Retroshare inzetten:

Gemessen daran ist dem Antragsgegner eine Prüfpflichtverletzung vorzuwerfen, denn er hat bewusst eine Software eingesetzt, die es anderen Teilnehmern des RetroShare-Netzwerkes ermöglichte, rechtswidrig Dateien über seinen Anschluss öffentlich zugänglich zu machen, ohne dass er dies in irgendeiner kontrollieren konnte.

Oftewel: wie software aanzet waarmee rechten geschonden kunnen worden en daarbij geen enkele maatregel inbouwt of neemt om schendingen zelfs maar te verminderen, is aansprakelijk als er vervolgens inbreuken plaatsvinden. En ja, dat geldt dus ook als je niet kunt zien wat er wordt uitgewisseld omdat alles encrypted is. Daarom moet meneer op straffe van een dwangsom verhinderen dat het nog een keer gebeurt. En de enige reële manier om daaraan te voldoen is de stekker eruit.

Dit is dus precies waarom we eind jaren negentig een beperkte aansprakelijkheid voor internetdienstverleners hebben ingevoerd, want deze redenering kun je 1-op-1 loslaten op accessproviders. Die doen immers ook niets om inbreuken door hun gebruikers tegen te gaan. Maar om voor mij onverklaarbare redenen komt die aansprakelijkheidsbeperking totaal niet aan de orde in dit vonnis. In die uitspraak van het hoogste Duitse hof werd alleen geoordeeld dat een Wifi-aanbieder geen provider is, maar mijn Duits zal wel niet goed genoeg zijn want ik snap ‘m niet. En van deze Engelstalige Duitse blog begrijp ik dat die uitspraak nu al leidt tot een roep om duidelijke coverage van Wifi-aanbieders zoals hotels of congresorganisatoren.

Persoonlijk zie ik niet hoe je niet onder die definitie kunt vallen. De eis is dat je niet filtert en je niet actief bemoeit met de inhoud, daar voldoet deze meneer evident aan. Hooguit zou je discussie kunnen krijgen over de vraag of wel sprake is van een “dienst van de informatiemaatschappij”. Als je zegt “alleen bedrijven kunnen diensten leveren” dan verklaar je dus burgers die zelf iets leveren juridisch buiten die bescherming. Maar het wil er bij mij niet in dat dát de bedoeling zou zijn geweest.

Arnoud

Een lezer vroeg me: Bij mijn webhoster heb ik een controlepaneel waarmee ik mijn domeinnamen en sites kan beheren. Laatst bleek er echter ineens een domeinnaam verdwenen uit de lijst. Deze was opgeheven volgens de provider, en dat had ik goedgekeurd via het controlepaneel, zo bleek uit hun logs. En die waren “dwingend bewijs”, zeggen… Lees verder

Een lezer vroeg me: Naar aanleiding van je recente blog over omgaan met overlast door hostingklanten vroeg ik me af wat ik kan doen met de schade die mij als hoster het oplevert als ik klantoverlast moet gaan oplossen. Het kost me tijd immers om de rommel op te ruimen, bijvoorbeeld het legen van de… Lees verder

Een lezer vroeg me: Sinds kort hebben wij internet in ons scoutinggebouw en wij waren benieuwd waar wij ons wettelijk aan moeten houden op het moment dat wij internet aan gaan bieden aan groepen en individuen, die ons scoutinggebouw huren. Hij is niet de eerste die me de vraag stelde: ook cafés, bibliotheken, bedrijvengebouwen en… Lees verder

De “Nijn-Eleven”-tekening is een rechtmatige parodie, aldus het Gerechtshof Amsterdam eerder deze week. De uitgeverij van de kinderboeken met het schattige konijn had internetprovider Mijndomein aangeklaagd toen deze een aantal grappig bedoelde spotprenten over het dier niet wilde verwijderen. In eerste instantie won Mijndomein over vijf van de zeven afbeeldingen, maar verbood de rechter juist… Lees verder

Een lezer vroeg me: Recent kwam mijn website (een colocated eigen server) onder vuur door een DoS-aanval van buitenaf. Ik heb toen mijn provider gevraagd maatregelen te nemen en met name de IP-adressen te filteren of blokkeren waar de aanval vandaan kwam. Zij weigeren dit echter omdat ze vinden dat ik het beheer moet doen… Lees verder

Recent is netneutraliteit expliciet wettelijk vastgelegd. De Eerste Kamer moet er nog over stemmen, maar dat lijkt slechts een hamerstuk te gaan worden. Vorige week blogde ik over het gepuzzel met de cookiewet, die in hetzelfde wetsvoorstel is overgenomen. Puzzelen over de regels rond netneutraliteit hoeft niet meer, want het wetsvoorstel zoals aangeboden aan de… Lees verder

Vanwege de Paasvakantie ben ik vandaag offline (voor zover dat bij mij mogelijk is). Daarom vandaag een gastpost van mijn collega Matthijs van Bergen. Amerika heeft vorig jaar na een ruim vijf jaar durend heftig publiek debat eindelijk een regeling voor netneutraliteit aangenomen en volgde daarmee Chili en Noorwegen. In Europa is recentelijk besloten om… Lees verder