Einde inhoudsopgave
De overeenkomst van Internet Service Providers met consumenten (R&P nr. 149) 2007/6.2.4.2
6.2.4.2 Hosting
mr. L.A.R. Siemerink, datum 13-03-2007
- Datum
13-03-2007
- Auteur
mr. L.A.R. Siemerink
- JCDI
JCDI:ADS384403:1
- Vakgebied(en)
Verbintenissenrecht (V)
Voetnoten
Voetnoten
Zie hoofdstuk 2 paragraaf 2.3.2.2 'Hosting'. Zie ook bijlage paragraaf 5.2 'Specifieke bedingen', onderdeel G. Verplichtingen van de ISP.
Zie hoofdstuk 4 paragraaf 4.3.2.5 'Inspanningsverbintenis c.q. resultaatsverbintenis'.
Zie paragraaf 6.2.3.1 'Access'.
'Planet Internet wist door fout 2.000 sites', NRc-Handelsblad, d.d. 11 oktober 2001.
Zie: 'Chatsessie met kroonprins mislukt', NRc-Handelsblad, d.d. 23 januari 2002; 'Chat is nooit helemaal veilig', NRc-Handelsblad, d.d. 24 januari 2002; 'OM onderzoekt kraken chatsessie', NRc-Handelsblad, d.d. 25 januari 2002.
Kamerstukken II 2001/02, 28197, nr. 1-3, p. 25. Zie ook paragraaf 62.12 'Richtlijn en Aanpassingswet inzake elektronische handel'.
Zie ook Steenbruggen 2001 A en B en De Koning & Van Boxtel 2001.
Zie echter: 'Het e-mailvirus streft uit', NRc-Handelsblad, d.d. 7 augustus 2006.
Zie ook paragraaf 62.4.3 'Extra value'.
Op initiatief van de ministeries van Verkeer en Waterstaat en Economische Zaken is in oktober 2001 de landelijk campagne Surf op Safe gestart welke zich richt op een veiliger gebruik van internet. Zie
In de Kabinetsnota KWINT 2001 is uitgebreid ingegaan op kwetsbaarheden van het internet en de rol van de overheid daarin. De spam-problematiek moet worden gezien in het groter kader van veilig gebruik van internet. De Europese commissie schat dat 50% van het wereldwijde e-mail-verkeer momenteel (februari 2004) uit spam bestaat. In 2001 was dit percentage nog onder de 10 %. Zie Kamerstukken II 2003/04, 26 643, nr. 46. Zie ook Kabel 2003 en Kaspersen & Lodder 2004 en paragraaf 62.3.3 'Extra value'.
Zie Kamerstukken II 2003/04, 26 643, nr. 46, p. 1.
Zie ook
Als de ontvanger van e-mail na ontvangst van spam kan aangeven in het vervolg hier niet meer van gediend te zijn wordt gesproken van opt-out. Een eventueel verbod van spam komt de facto overeen met een opt-in regeling.
Lodder & Bergfeld 2002, p. 1051.
Zie paragraaf 6.2.2.3 'E-mail'.
Het www blijkt bijvoorbeeld geschikt voor het verspreiden van illegale en schadelijke informatie, geheime communicatie tussen terroristen, en het ongeoorloofd binnendringen in servers en databanken. Zie Siemerink 2003 D.
Zie paragraaf 62.1 'Wetgeving'.
Zie Rb. Middelburg, 21 januari 2004, Rechtspraak.nl, LJN: A02756.
Zie paragraaf 6.2.2 'Jurisprudentie'.
Demon heeft op eigen initiatief een website over pedofilie verwijderd van haar servers omdat Demon niet geassocieerd wil worden met pedofilie. De website op het domein
Zie paragraaf 6.2.2 'Jurisprudentie'.
Zie Nas 2001 en Gardeniers 2002. Zie ook paragraaf 6.2.2.2 'Persoonsgegevens'.
Volgens Ekker en Van Daalen bestaat alleen een plicht tot afgifte van persoonsgegevens door een ISP na tussenkomst van de rechter. Zie Ekker & Van Daalen 2003. Zie ook Ekker in zijn noot onder BR 25 november 2005, Mediaforum 2006/1, p. 17-21, m.nt. A. Ekker(Lycos/Pessers).
Gezien het grote belang dat een anonieme gebruiker bij de handhaving van zijn anonimiteit kan hebben, is het volgens Ekker raadzaam dat hij in kennis wordt gesteld van de poging om zijn identiteit te achterhalen en dat hij de gelegenheid krijgt om zijn argumenten naar voren te brengen. Het zou daarom volgens Ekker goed zijn wanneer aan de ISP een 'notificatieverplichting' wordt opgelegd, inhoudende dat hij verplicht is de klant in kwestie op de hoogte te stellen. Dit moet mijns inziens dan wettelijk worden geregeld, bij voorkeur door middel van een notice and take down procedure. Zie Ekker 2002.
Zie paragraaf 6.3 'Exoneratiebedingen in isP-overeenkomsten'.
De zorgplichten van de ISP met betrekking tot de functie hosting zijn het verschaffen van server-ruimte en adequate beschikbaarheid van de hostingdiensten.1 Indien een ISP fungeert als host is dit een inspanningsverplichting met als gewenst resultaat dat informatie van de klant door middel van de servers en het systeem van de ISP op het internet wordt verspreid en daarmee voor andere internetgebruikers toegankelijk wordt.2 Hieronder volgt een overzicht van de wettelijke aansprakelijkheidspositie van de ISP bij het verrichten van de functie hosting.
Tabel IV A: Aansprakelijkheidspositie ISP ten aanzien van klanten bij functie hosting
ISP functie
internetdiensten
aansprakelijkheid ten aanzien van klanten (art. 6:74 BW/ 6:162 BW)
op grond van
hosting
website nieuwsgroep
chat
geen beschikbaarheid
zie tabel III A Access
geen authenticiteit / integriteit
geen correcte weergave van informatie klant
geen vertrouwelijkheid
ongerechtvaardigd verstrekken persoonsgegevens klant (art. 8 w8P) op grond van informatie klant
e-mail
geen beschikbaarheid
zie tabel III A Access
spam
geen authenticiteit / integriteit
geen correcte weergave van informatie voor of van klant
geen vertrouwelijkheid
ongerechtvaardigd verstrekken persoonsgegevens klant (art. 8 w8P) op grond van informatie klant; Schending communicatiegeheim (art. 13 GW) ten aanzien van informatie klant
Tabel IV B: Aansprakelijkheidspositie ISP voor informatie van zijn klanten tegenover andere klanten of derden bij functie hosting
ISP functie
internetdiensten
aansprakelijkheid voor zijn klanten tegenover andere klanten of derden
op grond van
hosting
website nieuwsgroep chat
niet naleven voorwaarden art. 14 jo. 15 Richtlijn inzake elektronische handel / art. 6:196c lid 4 BW
onrechtmatige c.q. strafbare informatie klant
niet naleven voorwaarden art. 14 jo. 15 Richtlijn inzake elektronische handel / art. 54a SR
strafbare informatie klant
e-mail
art. 6:74 BW / art. 6:162 BW
virussen (strafbare informatie klant)
spam (informatie klant)
Techniek
Een ISP kan bij het uitoefenen van de functie hosting aansprakelijk zijn ten aanzien van zijn klanten op grond van gebreken in de technische voorzieningen, bijvoorbeeld indien er geen beschikbaarheid van de diensten is. Voorzover het beschikbaarheid van de hosting-internetdiensten betreft, is er sprake van access.3 Door een fout van het personeel van de ISP kunnen websites van klanten worden gewist.4 Ook kan er sprake zijn van een Ddos-attack (distributed denial of service) tijdens een chat-sessie.5 Via het systeem van de ISP kan de klant zijn website hosten op een server en op afstand inhoudelijk veranderen. Hiervoor is internettoegang niet noodzakelijk, toegang tot het systeem van de ISP is voldoende. Indien toegang tot het systeem van de ISP echter niet mogelijk is om dergelijke handelingen te verrichten kan de ISP daarvoor door de klant aansprakelijk worden gesteld.
De dienst e-mail dient te worden onderscheiden van de andere hostingdiensten omdat zich bij deze dienst specifieke problemen kunnen voordoen en de Richtlijn en Aanpassingswet inzake elektronische handel niet van toepassing zijn op de dienst omdat het geen informatie betreft die voor het publiek toegankelijk is.6 Indien de beschikbaarheid van de dienst e-mail die de ISP levert in het geding is, bijvoorbeeld in het geval van een computervirus, en de ISP hiervan kennis draagt, dan wel goede redenen heeft om aan te nemen dat zijn server door een virus is geïnfecteerd, is hij tegenover zijn klanten verplicht hier iets aan te doen.7 Veel virussen worden via e-mail verspreid door verzending samen met een besmet attachment.8 Door dit laatste document te openen wordt het virus actief. De virussen zijn vaak zo geprogrammeerd dat zij zichzelf kunnen reproduceren en verder verspreiden. ISP's zijn in staat de verspreiding van virussen te verhinderen dan wel te verminderen door naast het geven van waarschuwingen de op hun servers aanwezige mailboxen en e-mail-berichten te screenen op mogelijke virussen.9 De ISP kan, met speciale programmatuur, toegang krijgen tot de onder zijn beheer staande mailboxen. Indien een virus wordt gevonden, zou dit door de ISP verwijderd kunnen worden of hij zou waarschuwingen kunnen laten uitgaan naar zijn klanten. Indien de ISP niets zou ondernemen en hij dientengevolge zijn diensten niet meer kan leveren, kan hij hiervoor aansprakelijk zijn jegens de klanten die geen gebruik meer kunnen maken van de dienst e-mail. Een klant draagt echter zelf ook een zekere verantwoordelijkheid met betrekking tot het voorkomen van de nadelige gevolgen van virussen.10
Bij de dienst e-mail kan zich een specifiek beschikbaarheidsprobleem voordoen indien het e-mail-netwerk van de ISP wordt overladen met spamberichten en daardoor beschikbaarheid van de dienst e-mail onmogelijk is geworden.11 De spam-problematiek moet worden gezien in het kader van veilig gebruik van internet.12 Regelgeving is slechts beperkt effectief, omdat internet wereldwijd is en geen geografische grenzen kent. Veel spam komt vanuit landen buiten de EU, in het bijzonder uit Azië en de USA. Een effectieve bestrijding van spam vergt daarom dat ook de landen buiten de EU maatregelen treffen om het verschijnsel spam tegen te gaan. Internetgebruikers, en dus de klanten van isP's, moeten bewust worden gemaakt van de mogelijkheden die ze zelf hebben om zich te beschermen en van hun eigen verantwoordelijkheid daarin. Het ontvangen van ongevraagde e-mail-berichten is bijvoorbeeld mede afhankelijk van het surfgedrag, onder andere de wijze waarop men omgaat met het bekendmaken van het eigen e-mail-adres. De beveiligingsmaatregelen die een individuele eindgebruiker neemt, zijn een belangrijke factor in de kwetsbaarheid van het totale internet. Een slecht beveiligde PC kan bijvoorbeeld via internet door derden worden misbruikt, waardoor een onwetende particulier of ondernemer de afzender blijkt te zijn van een grote partij spam.13 Spam heeft drie eigenschappen: grootschalige verzending, ook wel bulk genaamd; ongevraagd c.q. ongewenst voor de ontvanger;14 commercieel karakter.15 Het risico dat spam de gehele internetinfrastructuur zal blokkeren, wordt op dit moment niet voorzien. Wel kan op het niveau van een individuele ISP een e-mail-server vastlopen indien te veel klanten van die ISP te grote hoeveelheden e-mail ontvangen (of verzenden) en kan op het niveau van een individuele internetgebruiker bepaalde programmatuur of zelfs de hele PC vastlopen als gevolg van grote hoeveelheden spam.16 Het probleem van spam zit vooral in de overlast en de kosten die spam met zich meebrengt voor zowel internetgebruikers als ISP's.17 Een ISP mag spam op zijn netwerk weigeren. Voorlichting aan gebruikers van e-mail is noodzakelijk. Hier ligt een zekere verantwoordelijkheid voor de ISP.
Informatie
Een ISP kan door zijn klanten aansprakelijk worden gesteld indien er geen sprake is van authenticiteit en integriteit, bijvoorbeeld wanneer de informatie van de klant niet correct wordt weergegeven. Daarnaast kan een ISP door derden of andere klanten aansprakelijk worden gehouden voor de informatie die zijn klant met behulp van zijn servers op het internet beschikbaar stelt.18 In eerste instantie is een klant aansprakelijk voor de inhoud van zijn website, de inhoud van een door hem beheerde nieuwsgroep en de inhoud van een door hem op het internet geplaatst chat-bericht. isP's die bemoeienis hebben met de inhoud van een bepaald informatieaanbod in de zin van selectie en samenstelling, kunnen (mede-)aansprakelijk zijn voor dat aanbod. Een ISP draagt een risico indien hij niet voldoet aan de voorwaarden neergelegd in de Aanpassingswet inzake elektronische handel.19 Een ISP is niet verplicht om informatie van een klant vooraf te controleren. Bij het uitoefenen van de functie hosting is een ISP in staat de inhoud van de op zijn server aanwezige informatie in te zien, aan te passen of te verwijderen.20 In hoeverre een ISP een overzicht heeft over informatie die klanten op zijn servers hebben geplaatst lijkt vooral het volume van belang te zijn. Een ISP kan gemakkelijk controleren of een klant de door de ISP toegestane hoeveelheid overschrijdt. Een inhoudelijke controleplicht is al snel in strijd met de privacy van de klant en met de vrijheid van meningsuiting. Een ISP moet informatie van een klant slechts vooraf controleren als de ISP een gegronde reden heeft te twijfelen aan de rechtmatigheid van de bij hem opgeslagen informatie in verband met de gerechtvaardigde belangen van derden.21 Een ISP is in eerste instantie niet aansprakelijk voor de inhoud van e-mail-berichten van zijn klanten, omdat het communicatiegeheim de ISP verbiedt van privé-communicatie kennis te nemen (art. 13 Gw). Een klant verwacht authenticiteit en integriteit indien hij gebruik maakt van de dienst e-mail van zijn ISP. Een klant kan zijn ISP aansprakelijk stellen indien e-mail-berichten onjuist c.q. verminkt worden verstuurd dan wel door hem worden ontvangen. De klant draagt echter ook een zeker risico, bijvoorbeeld of hij zijn beveiligingssoftware c.q. anti-virussoftware wel heeft geïnstalleerd. Door risicoaanvaarding van de klant kan aansprakelijkheid van de ISP worden opgeheven. Of een ISP daadwerkelijk aansprakelijk is voor de onrechtmatige dan wel strafbare openbaarmakingen van zijn klanten hangt samen met de vraag of hij zich bewust is van de onrechtmatige situatie, of dat redelijkerwijs had moeten zijn, maar desondanks afziet van het nemen van maatregelen.22 Van een ISP mag worden verwacht dat hij informatie of hyperlinks uit zijn computersysteem verwijdert indien hij van het onrechtmatig handelen in kennis is gesteld en aan de juistheid van die kennisgeving in redelijkheid niet valt te twijfelen.23
Persoonsgegevens
Het opvragen van persoonsgegevens speelt voornamelijk een rol bij de functie hosting omdat hosting ten doel heeft de informatie van de klant ter beschikking te stellen van een bepaalde groep of zelfs te openbaren. Bij alle vier hostingdiensten kan het opvragen van persoonsgegevens een rol spelen. Wanneer een ISP aan zijn klanten de mogelijkheid biedt om door middel van de diensten website, e-mail, nieuwsgroep en chat informatie op dan wel over het internet te verspreiden kan het zijn dat de ISP op grond van de inhoud van de informatie wordt aangesproken en wordt gevraagd om de persoonsgegevens te onthullen van de internetgebruiker die verantwoordelijk is voor de informatie. Een ISP is echter verplicht om vertrouwelijk met de persoonsgegevens van zijn klant om te gaan. Indien een ISP de persoonsgegevens van zijn klant ongerechtvaardigd verstrekt aan een derde kan de ISP door de klant aansprakelijk worden gesteld omdat de vertrouwelijkheid is geschonden. ISP's zijn wettelijk en contractueel verplicht om de privacy van hun klanten te beschermen maar moeten tegelijkertijd meewerken aan de handhaving van het strafrecht en gerechtvaardigde private belangen.24
De ISP zal moeten beoordelen of hij de persoonsgegevens van de betreffende klant aan de Mager ter beschikking stelt en waarom, om zo het risico voor onbedoeld gebruik te verkleinen.25 Bij het verschaffen van persoonsgegevens door een ISP dient altijd de vraag te worden gesteld of de opheffing van de anonimiteit van de klant een effectief middel is om verdere verspreiding te voorkomen. Informatie die ontoegankelijk is gemaakt kan weer terug worden geplaatst op het internet, maar de anonimiteit van een internetgebruiker kan niet meer worden hersteld als die eenmaal is onthuld. De noodzaak van een onthulling moet daarom streng worden beoordeeld en het is de vraag in hoeverre een ISP dat kan. Een volledige aansprakelijkheid zou á snel kunnen leiden tot beperking in het aanbod van internetdiensten, maar een volledige uitsluiting van aansprakelijkheid zou een effectieve rechtshandhaving ernstig kunnen belemmeren aangezien de ISP vaak de enige toegangspoort is tot het achterhalen van de oorspronkelijke bron.26 Ten eerste kan bij het afstaan van persoonsgegevens sprake zijn van strijd met het grondrecht op privacy van de klant. De ISP kan vervolgens ook in strijd handelen met de WBP. Ten derde kan de ISP in strijd handelen met specifieke bepalingen die in de overeenkomst tussen de ISP en de klant zijn opgenomen.
Het is duidelijk dat een ISP bij het uitoefenen van de functie hosting voor een dilemma wordt geplaatst. Verderop in dit hoofdstuk wordt onderzocht in hoeverre een ISP deze spagaatpositie kan vermijden door zijn aansprakelijkheid tegenover zijn eventueel inbreuk makende, dan wel strafbare klant contractueel af te dichten.27