Einde inhoudsopgave
De overeenkomst van Internet Service Providers met consumenten (R&P nr. 149) 2007/6.2.2.2
6.2.2.2 Persoonsgegevens
mr. L.A.R. Siemerink, datum 13-03-2007
- Datum
13-03-2007
- Auteur
mr. L.A.R. Siemerink
- JCDI
JCDI:ADS390417:1
- Vakgebied(en)
Verbintenissenrecht (V)
Voetnoten
Voetnoten
Vzr. Rb. Utrecht 9 juli 2002, KG ZA 02-563, Computerrecht 2002/5, p. 296-299, m.nt. W.A.M. Steenbruggen, JAVI 2002/2, p. 67-69, m.nt. W. Pors, (Teleatlas/Planet Internet).
Rb. 's-Gravenhage 9 juni 1999, Rechtspraak.nl, IJNI: AA1039.
Ekker 2002, p. 349.
Zie United States Court of Appeals, 4 januari 2005, no. 03-3802 (RIAA/Charter Communications Inc.).
Zie art. 61 RV.
Hof Den Bosch 25 juli 2002, KG 2002, 259, in JAVI 2004/1, p. 29-31, m.nt. D.Bosscher (Rutloh/Concept icr). Zie ook noot A.H. Ekker bij Hof Amsterdam 7 november 2002, rolnr. 762/02 SKG, Mediaforum 2003/1, p. 38-41, (xs4ALL/Deutsche Bahn).
De meeste van de onderzochte isP's hebben een privacybepaling in hun algemene voorwaarden opgenomen. Zie bijlage paragraaf 52 'Specifieke bedingen', onderdeel K. Privacy.
HR 25 november 2005, RvdW 2005, 133, Rechtspraak.nl, LJN: AU4019, tevens in Mediaforum 2006/1, p. 17-21, m.nt. A. Ekker, zie ook J.J.C. Kabel, Commentaar op Lycos/Pessers, Computerrecht 2006/1, p. 1-3 (Lycos/Pessers). Zie ook Hof Amsterdam 24 juni 2004, rolnr. 1689/03 en Rb. Haarlem 11 september 2003, Rechtspraak.nl, LJN: AL1882; Computerrecht 2003/6, p. 363-367, m.nt. A. Ekker; tevens in Mediaforum 2003/11/12, p. 378-381, m.nt. R.D. Chavannes; en in JAVI 2004/1, p. 29-31, m.nt. D. Bosscher.
Lycos begon daarna een kort geding tegen Pessers waarin centraal stond of de ISP ook op andere manieren moet proberen het juiste adres te achterhalen. Hier ging de rechter niet in mee. Een ISP hoeft alleen die gegevens over te dragen die hem bekend zijn. Rb. Haarlem, 1 april 2004, Rechtspraak.nl, LJN: A07187 (Lycos II/Pessers).
Zie ook Vrz. Rb. Utrecht, 12 juli 2005, Rechtspraak.nl, LJN: AT9073.
HR 25 november 2005, RvdW 2005, 133, Rechtspraak.nl, LJN: AU4019, r.o. 52.
Zie Wisman 2004.
Zie HR 16 december 2005, Nl 2006, 9, Rechtspraak.nl, LJN: AT2056 (Scientology/xs4ALL).
Hof Den Bosch, 8 november 2000, Mediaforum 2001/1, p. 18-20, m.nt. G.J. Zwenne, tevens in Computerrecht 2001/1, p. 39-46, m.nt. H.W.K. Kaspersen (Kinderpomozaak).
Zie Siemerink 1998. Over surveilleren op internet zie ook Siemerink 2003 D.
De WPR is per 1 september 2001 vervangen door de WBP.
Uit het praktijkonderzoek van de algemene voorwaarden van de verschillende isP's is gebleken dat isP's in hun algemene voorwaarden en/of in privacyverklaringen aangeven in welke situaties en onder welke voorwaarden zij (persoons)gegevens aan justitie verstrekken. Zie bijlage paragraaf 52 'Specifieke bedingen', onderdeel K. Privacy en hoofdstuk 4 paragraaf 4.32.7 'Gedragscodes'.
Zie ook noot H.W.K. Kaspersen bij Hof Den Bosch, 8 november 2000, in Computerrecht 2001/1, p. 45 (Kinderpornozaak).
'Provider wil kosten terug. XS4ALL naar rechter om aftapplicht', NRC-Handelsblad, d.d. 7 maart 2005.
Wet van 18 maart 2004, Stb. 2004, 105, tot wijziging van het Wetboek van Strafvordering en andere wetten in verband met de aanpassing van de bevoegdheden tot het vorderen van gegevens terzake van telecommunicatie (Vorderen gegevens telecommunicatie), welke op 1 januari 2006 in werking is getreden. Zie ook Rapport van de Commissie Strafvorderlijke gegevensvergaring in de informatiemaatschappij, Gegevensvergaring in strafvordering, Nieuwe bevoegdheden tot het vorderen van gegevens ten behoeve van strafvorderlijk onderzoek, mei 2001 (Rapport gegevensvergaring in strafvordering 2001).
Een internetgebruiker zal lang niet altijd zijn persoonsgegevens online vermelden. Wanneer de ISP die gegevens vervolgens evenmin verstrekt, is het voor de schadelijdende partij onmogelijk om zijn schade te verhalen op de internet-gebruiker en/of hem de beweerdelijk onrechtmatige informatie te doen verwijderen. In de Teleatlas /Planet Internet zaak gaat het om het verschaffen van persoonsgegevens door de ISP aan een auteursrechthebbende.1 De rechter wijst de vordering af omdat Teleatlas onvoldoende pogingen heeft ondernomen om de adressen op andere wijze te verkrijgen. De gevraagde voorziening kan alleen worden toegewezen als met aan zekerheid grenzende waarschijnlijkheid vaststaat dat de bodemrechter eveneens zal beslissen dat Planet de gevraagde persoonsgegevens dient te verschaffen.
Het is de vraag of in de zaak xs4ALL/Deutsche Bahn het risico van verspreiding van de onrechtmatige informatie het verschaffen van persoonsgegevens rechtvaardigt nu de betreffende informatie á wordt geblokkeerd. Het hof gaat helaas niet in op de vraag of Deutsche Bahn in dit geval een aantoonbaar belang heeft om de betreffende website-houder ook zelf in rechte te kunnen aanspreken. Het bekendmaken van persoonsgegevens speelde ook in het Scientology/xs4ALL vonnis van de rechtbank een rol waar de ISP werd bevolen om na een verzoek daartoe van eiser deze te informeren over de namen van derden die inbreukmakende documenten via hun computersysteem hebben openbaar gemaakt en/of verveelvoudigd.2 Met Ekker ben ik van mening dat een vordering tot onthulling van identiteit afzonderlijk dient te worden beoordeeld van een vordering tot verwijdering of ontoegankelijk maken van informatie.3 In Amerika kan een procedure worden aangespannen tegen een anonieme persoon, waarbij de ISP als derde partij in het geding wordt betrokken om de anonieme persoon op de hoogte te stellen van de poging om zijn identiteit te onthullen. Met behulp van zijn ISP kan de anonieme gedaagde vervolgens door de rechter in de gelegenheid worden gesteld om zich te verweren.4 Een dergelijke benadering is naar Nederlands recht niet wenselijk. Het uitbrengen van een dagvaarding aan een anonieme persoon moet in sommige hoogst uitzonderlijke situaties als onvermijdelijk worden geaccepteerd.5 Het behoort echter niet te worden gebruikt in gevallen waarin partijen voor de anonimiteit willen kiezen omdat zij ertegen bezwaar hebben, dat ons burgerlijk proces open en openbaar is. Voor een afwijking van de wet zie ik in dit verband dan ook geen reden.
In de Rutloh/Concept ICT zaak gaat het om het verschaffen van persoonsgegevens door een ISP aan een persoon die door een klant van de ISP wordt beledigd.6 Het hof stelt voorop dat er geen algemene rechtsregel bestaat op grond waarvan Concept ICT zo spoedig mogelijk nadat hij kennis heeft gekregen van onrechtmatige handelingen als de onderhavige, verplicht is mee te werken aan het ter beschikking stellen van gegevens die nodig zijn om vast te stellen wie voor die handelingen aansprakelijk is. Nagegaan moet worden of Concept ICT daartoe toch onder de gegeven omstandigheden verplicht is. Concept ICT heeft, daarop geattendeerd door Rutloh, inmiddels de accessaccount van de bewuste klant afgesloten. Niet gebleken is dat nadien soortgelijke e-mail-berichten via Concept ICT zijn verzonden. Van andere e-mail-berichten waarin de naam van Rutloh onrechtmatig als afzender wordt gebruikt en die de goede naam van Rutloh aantasten is niet gebleken. Het hof is voorshands van oordeel dat de maatschappelijke zorgvuldigheid niet meebrengt dat Concept ICT zal meewerken aan verdergaande acties dan hij gedaan heeft, in het bijzonder dat hij de persoonsgegevens van de gebruiker aan Rutloh bekendmaakt. Concept ICT heeft er immers zijnerzijds in het algemeen belang bij dat hij zo min mogelijk wordt belast met het opvragen door derden van persoonsgegevens van zijn klanten en het doorgeven daarvan aan die derden mede gelet op het feit dat hij zich — zoals hij onbetwist heeft gesteld — in zijn algemene voorwaarden tegenover de klant verplicht om vertrouwelijke informatie zoveel mogelijk te beveiligen.7
In de principiële zaak Lycos/Pessers gaat het om het verschaffen van persoonsgegevens door de ISP aan een derde (Pessers) die door een klant van de ISP op diens website in een kwaad daglicht wordt gesteld.8 Pessers was van mening dat de betreffende klant onrechtmatig jegens hem heeft gehandeld. De rechtbank oordeelde dat Lycos verplicht was de gevraagde gegevens te verstrekken. Lycos gaf vervolgens de persoonsgegevens aan Pessers, maar deze bleken vals te zijn.9 Daarna heeft Lycos doorgeprocedeerd om een principe-uitspraak te krijgen. Het hof is van oordeel dat er weliswaar geen sprake was van onmiskenbaar onrechtmatig handelen door de klant, maar dat Lycos toch verplicht was de gevraagde gegevens te verstrekken. De Hoge Raad sluit zich bij dit oordeel aan. De reden daarvoor is dat Pessers het voldoende aannemelijk heeft gemaakt dat de website onrechtmatig zou kunnen zijn. Lycos handelt vervolgens onrechtmatig wanneer zij de gegevens niet overdraagt. Het is juist dat een ISP er recht en belang bij heeft om zo min mogelijk te worden belast met het opvragen door derden van persoonsgegevens, doch een en ander neemt niet weg dat een ISP niettemin op grond van de zorgvuldigheid die in het maatschappelijk verkeer betaamt, gehouden kan zijn zijn medewerking te verlenen als hij ervan in kennis wordt gesteld dat één van de gebruikers van zijn computersysteem door middel van diens homepage onrechtmatig handelt.10 Van een dergelijke situatie zal sprake zijn, als er een belang is dat verstrekking van persoonsgegevens rechtvaardigt en de ernst van de inbreuk zodanig is dat opheffing van de anonimiteit daarmee in de rede ligt, terwijl het doel dat met de verstrekking wordt nagestreefd niet langs andere, minder ingrijpende weg — zonder opheffing van anonimiteit kan worden bereikt en bovendien de verstrekking in de mate die is beoogd evenredig is aan het nagestreefde doel.
De Hoge Raad heeft echter geen algemene regel vastgesteld, maar enkel geoordeeld op grond van dit specifieke geval.11 ISP's zullen elk geval op zijn eigen verdiensten moeten beoordelen en een belangenafweging moeten maken. Daarbij geraken zij wederom in een spagaatpositie. Een ISP heeft een vertrouwensrelatie met zijn klanten. Wanneer een ISP gegevens afstaat en later blijkt dat dit ten onrechte is gedaan, dan kan de klant zijn ISP aansprakelijk stellen. Het gevolg van de uitspraak zou echter toch kunnen zijn dat isP's sneller zullen overgaan tot het verstrekken van persoonsgegevens van klanten aan derden die stellen schade te ondervinden van beweringen op internet.12 Daarmee leidt de uitspraak tot beperking van anonieme meningsuiting. Daarnaast zou er ook misbruik kunnen worden gemaakt omdat het eenvoudig wordt om onder valse voorwendselen gegevens op te vragen. Wanneer de website onrechtmatig zou kunnen zijn, moet de ISP de identiteit van zijn klant prijsgeven aan de benadeelde partij. Het is daarbij mogelijk dat de website niet onmiskenbaar onrechtmatig is en dus voorlopig online mag blijven. In een procedure kan de benadeelde partij dan bijvoorbeeld een schadevergoeding van de klant eisen, en uiteindelijk ook verwijdering van de website. Het is ook mogelijk dat de informatie in bepaalde gevallen online mag blijven op grond van de vrijheid van meningsuiting13 terwijl toch de rechter van oordeel is dat persoonsgegevens moeten worden verschaft.
Verstrekking van persoonsgegevens valt onder art. 8 WBP, waarbij vooral sub a en f in dergelijke zaken een rol spelen. Op grond van sub a is verstrekking van persoonsgegevens toegestaan op grond van ondubbelzinnige toestemming van de klant. Met een enkele opname van een toestemmings- c.q. instemmingsbepaling in de algemene voorwaarden kan ondanks artt. 6:232 en 6:233 lid 1 BW, de WBP niet opzij worden gezet.14 Art. 8 sub f WBP geeft aan wanneer de ISP gegevens zou mogen verstrekken als hij dat zou willen, maar zegt niets over de vraag of hij tegenover een derde onrechtmatig handelt als hij dat weigert. Een ISP bevindt zich bij dit soort geschillen altijd tussen twee vuren. Aan de ene kant is er een contractuele relatie met de klant, ten opzichte van wie de ISP zich heeft verbonden om bepaalde diensten te leveren. Aan de andere kant is er de derde die stelt dat door tussenkomst van de ISP door diens klant inbreuk wordt gemaakt op zijn rechten. Weigert de ISP om op de eisen van de derde in te gaan, dan handelt hij onder omstandigheden zelfs onrechtmatig ten opzichte van die derde. Gaat de ISP wel op de eisen in en neemt hij maatregelen die de belangen van zijn klant raken, dan schiet hij mogelijk tekort in de nakoming van zijn contractuele verplichtingen ten opzichte van de klant. Het bekend maken van de identiteit van een klant mag daarom niet tot een onaanvaardbare belasting voor de isP's leiden en moet alleen gebeuren als er een duidelijke noodzaak is en de ISP gevrijwaard is.
In een zaak van 8 november 2000 van het Hof Den Bosch ging het om kinderporno. De kern van deze kinderpornozaak is gelegen in de vraag wanneer een ISP persoonsgegevens aan justitie mag c.q. moet verschaffen.15 Uit de bewijsmiddelen blijkt, dat zogenoemde nieuwsgroepensurveillance16 door de politie op internet in verband met de aanwezigheid daarop van kinderporno geleid heeft tot het aantreffen van dergelijke afbeeldingen bij een aantal accounts, waaronder de account die in het dossier 'zaak 10' wordt genoemd. Door de officier van justitie is vervolgens aan de betreffende ISP door middel van een standaard aanvraagformulier verzocht gegevens omtrent de naam, adres en de woonplaats (NAw-gegevens) van de accounthouder van zaak 10 te verstrekken. Die ISP heeft vervolgens aan de officier van justitie de NAWgegevens van de accounthouder en tevens verdachte bekend gemaakt. Er was sprake van een verdenking van overtreding van art. 240b SR en van de verdachte was bij het openbaar ministerie de identiteit niet bekend. Het internet is een medium dat uiterst snelle en wijde verspreiding van data c.q. afbeeldingen mogelijk maakt, zodat bij niet ingrijpen voor verdere verspreiding kon worden gevreesd. De NAw-gegevens hebben op zichzelf slechts in beperkte mate een privé-karakter. Naar het oordeel van het hof leiden deze omstandigheden ertoe, dat sprake was van een situatie die met voortvarendheid ter hand diende te worden genomen en dat daarom sprake was van een dringende en gewichtige reden in de zin van art. 11 lid 2 WPR.17 De WPR richtte zich, net als tegenwoordig de WBP, tot de houder van een bestand met persoonsgegevens. Aannemelijk in deze zaak is dat de ISP zijn klant voor de verstrekking van de gegevens niet heeft benaderd, het ging immers om kinderporno. Daarnaast is ook niet gebleken van een regeling voor dit soort situaties van de ISP in zijn algemene voorwaarden.18 Bij gebreke van andere wettelijke bevoegdheden om de betreffende NAw-gegevens te verkrijgen, bleef het om niets anders over dan de ISP om een vrijwillige verstrekking te vragen. Kennelijk neemt het hof aan dat er geen andere mogelijkheden openstonden om de identiteit van de dader te achterhalen. De beginselen proportionaliteit en subsidiariteit spelen bij deze overweging een rol.
De houder van een bestand met persoonsgegevens, in dit geval een ISP, dient bij zijn afweging tot verstrekking van persoonsgegevens aan justitie het gebruik dat de informatievrager van deze gegevens beoogt te maken te betrekken.19 Waar het gaat om het opsporen van strafbare feiten is het billijk dat het belang van de klant dat zijn identiteit niet aan derden wordt onthuld, moet wijken voor het algemeen belang dat de dader wordt opgespoord en vervolgd (proportionaliteit). Punt is echter nog steeds dat het voor het om bijna onmogelijk is om deze gegevens op een andere wijze te verkrijgen dan door medewerking van de ISP (subsidiariteit).20 De Wet vorderen gegevens telecommunicatie geeft sinds kort een meer duidelijke regeling van de bevoegdheden van politie en justitie om de gegevens te kunnen opvragen, waarvoor het spanningsveld bestaat tussen enerzijds justitie en politie en anderzijds de ISP die niet weet wanneer hij wel of niet gegevens moet/mag verschaffen.21