Einde inhoudsopgave
De overeenkomst van Internet Service Providers met consumenten (R&P nr. 149) 2007/4.3.2.7
4.3.2.7 Gedragscodes
mr. L.A.R. Siemerink, datum 13-03-2007
- Datum
13-03-2007
- Auteur
mr. L.A.R. Siemerink
- JCDI
JCDI:ADS388052:1
- Vakgebied(en)
Verbintenissenrecht (V)
Voetnoten
Voetnoten
Zie ook hoofdstuk 3 paragraaf 3.5.2.2 'Informatieplichten bij het sluiten van de overeenkomst langs elektronische weg'.
Zie Terryn 2003.
Zie Asser-Vranken 2005, p. 96.
Overigens bestaan er vele systemen van zelfregulering. In al deze systemen komen gedragscodes voor. Zie daarover Follow-up groenboek consumentenbescherming, Brussel, 16 juni 2002, COM (2002) 289 final, p. 5-7.
Art. 6:227b lid 1 sub e jo. 6:227b lid 5 BW, zie hoofdstuk 3 paragraaf 3.52 'Informatie voor het sluiten van de overeenkomst'. Zie ook Siemerink 2003 C.
In het algemene deel van de MvT wordt wel aandacht besteed aan gedragscodes in praktische, maar niet zozeer juridische zin. Kamerstukken II 2001/02, 28 197, nr. 1-3, p. 31.
Dat wil niet zeggen dat deze vormen te kwalificeren zijn als gedragscodes bedoeld in art. 6:227b lid 1 sub e BW Aanpassingswet inzake elektronische handel, omdat een definitie van gedragscode ontbreekt in het Nederlandse privaatrecht.
Zie bijlage paragraaf 5.1 'Algemene bedingen' onderdeel A. Definities en paragraaf 5.2 'Specifieke bedingen' onderdeel H. Verplichtingen van de klant en onderdeel K. Privacy.
De vraag is echter of al deze vormen van 'gedragscodes', waarnaar isF's veelvuldig verwijzen in hun algemene voorwaarden, ook een gedragscode zijn zoals in de Aanpassingswet inzake elektronische handel bedoeld. Zie Siemerink 2003 C.
RFC staat voor Request For Comment, die bevatten informatie over intemetstandaarden, zie
Netwerk-etiquette. Sommige isF's spreken van nettiquette of net-etiquette, al dan niet met een hoofdletter. Waarschijnlijk wordt steeds hetzelfde bedoeld, ik gebruik steeds Netiquette. Het gaat om RFC 1855 van 19 oktober 1995, zie
Deze vertaling en bewerking van de Netiquette van maart 2001 is raadpleegbaar via
Zie bijlage paragraaf 5.2 'Specifieke bedingen' onderdeel H. Verplichtingen van de klant.
Echter onder dit kopje is de volgende tekst te lezen: 'Security issues are not discussed in this memo'. Dit kopje hoeft dus niet te worden opgenomen in de Netiquette.
Overgenomen uit de NLIP vertaling van de Netiquette.
In de praktijk kan dat vooral problemen geven wanneer de Engelse tekst voor een andere uitleg vatbaar is dan de Nederlandse. Om dit risico te beperken kan expliciet worden verwezen naar de Nederlandse vertaling van de Netiquette.
Hof Amsterdam 18 juli 2002, rolnummer 468/02, Mediaforum 2002/9, p. 293-298 m.nt. Q. Kroes; m.nt. A. Lodder, JAVI 2002/2, p. 63-65; m.nt. J.J.C. Kabel, Computerrecht 2002/5, p. 299-309, (AB.FAB/xs4ALL).
Art. 13 (3) Common Position (EC) No 26/2002, C113 E/3. Zie daarover verder Lodder & Bergfeld 2002, p. 1050-1057.
In producties bij de pleitnotities van XS4ALL tegen AB.FAB van 22 februari 2002, is een Franse zaak toegevoegd, zie <http://www.xs4all.nl/nieuws/overzicht/pleitnota/producties.html>. Ook wordt een zaak in Canada gemeld in: Prins & Gijrath 2000, p. 91.
De RFC's komen tot stand door discussie tussen intemetgebruikers waaraan in beginsel iedereen kan deelnemen. Uiteindelijk verwerkt een redacteur de commentaren tot een lopende tekst. Zie over de precieze totstandkoming, 30 years of RFc's, 7 april 1999, RFC Editor, et al.,
Inmiddels is in deze zaak door de Hoge Raad arrest gewezen. Zie hoofdstuk 6 paragraaf 6.2.2 'Jurisprudentie'.
Ook wel gedragsregels voor gebruikers, (aanvullende) gebruikersvoorwaarden, spelregels of gebruikersreglement genoemd. Zie bijlage paragraaf 5.2 'Specifieke bedingen' onderdeel H. Verplichtingen van de klant.
Net als sommige isP's elke dienst en de daarbij behorende voorwaarden in een apart artikel in hun algemene voorwaarden hebben omschreven. Zie bijlage paragraaf 52 'Specifieke bedingen', onderdeel L. Diensten en beheer.
Zie bijlage paragraaf 52 'Specifieke bedingen' onderdeel H. Verplichtingen van de klant.
De NLIP is op 21 april 2005 opgeheven.
Het Nu'-kwaliteitsbeleid voor isP's bestond verder uit een klachtenregeling, een geschillencommissie, security: recommended practices, en een facultatief keurmerk, zie
Zie onder andere bijlage paragraaf 5.1 'Algemene bedingen' onderdeel E. Geschillenbeslechting en toepasselijk recht.
De Nu'-gedragscode telt slechts 6 artikelen, genummerd G1-G6. Artikelen G3-G5 bevatten verwijzingen naar de genoemde andere regelingen. Nu'-gedragscode, versie 2.0, datum van inwerkingtreding 23 november 1999, zie
Daarvan werd in de Nu'-gedragscode geen melding gemaakt. Misleidend genoeg was het onderschrijven van deze aanbevolen best practices wel verplicht om lid van de Nur
Maar een dergelijk keurmerk (kwaliteitscriteria) kan in de toekomst wel verplicht worden met de afronding van het programma KWINT. Zie paragraaf 4.3.2.5 'Inspanningsverbintenis c.q. resultaatsverbintenis' en Kabinetsnota KWINT 2001.
Al eerder heb ik opgemerkt dat het bij isr-overeenkomsten juridisch verwarrend is om te spreken van een product, beter is het om het begrip dienst(en) of dienstenpakket te hanteren. Zie hoofdstuk 3 paragraaf 3.3.1'Aanbod ISP'.
Op grond van bijvoorbeeld gesignaleerde computervredebreuk (art 139 sR). Deze mogelijkheid werd expliciet in art. DI van de security practices genoemd.
Zie hoofdstuk 3 paragraaf 3.5.6 'Privacybescherming'.
Zie daarover de brochure Gedragscodes, bescherming van persoonsgegevens door zelfregulering, van het cm', oktober 2002, te downloaden op
Deze elementen zijn in de MvT uitgewerkt, zie Kamerstukken II 1997/1998, 25 892, nr. 1-3, p. 128-132.
Ook wel privacy-statement genoemd, zie bijlage paragraaf 5.2 'Specifieke bedingen' onderdeel K. Privacy.
Aldus de Brochure Gedragscodes 2002, p. 7.
Aldus de Brochure Gedragscodes 2002, p. 14.
Nadat de Nul' is opgeheven is er een nieuw platform opgericht: ISPO, Internet Service Provider Overleg. Zie
Deze term heb ik ontleend aan de presentatie van C. Stuurman tijdens het symposium ISPcontracten en aansprakelijkheid op 11 september 2002. Voor een verslag van het symposium zie Siemerink 2003 A en B.
Zie ook Siemerink 2004 A, p. 12.
Wessels & Jongeneel 1997, p. 74-75.
Loos 2001, p. 19-20.
Zie hoofdstuk 3 paragraaf 3.7.2.2 'Informatieplicht'.
Zie Hof Arnhem 19 oktober 1993, TvC 1994/1, 27-30, m.nt. J.G.J. Rinkes (W./Cooperatieve Rabobank B.A.)
Zie hoofdstuk 3 paragraaf 3.7 'Toepasselijkheid van algemene voorwaarden in isP-overeenkomsten'.
Zie Hof 's-Gravenhage 22 maart 2005, Rechtspraak.nl, LJN: AT1762, (HCC/Dell), r.o. 12, 65 en 77.
De overeenkomst kan dan worden ontbonden, art. 6:277b lid 1 sub e jo. lid 5 BW.
Zie RFC 1855.
Gedragscodes zullen veelal onderdeel uitmaken van algemene voorwaarden door middel van een verwijzing daarin.1 Zelfregulering wordt door de overheid gestimuleerd omdat de overheid bepaalde omstandigheden zelf niet kan regelen of niet wil regelen. Een vorm van zelfregulering is een door partijen buiten de overheid om zelfstandig vastgestelde gedragscode.2 Gedragscodes zijn instrumenten om normen te stellen zonder dat een specifiek wettelijk kader bestaat. Ze komen voor in zowel publiek- als privaatrecht. De rechtsbasis voor gedragscodes in het publiekrecht is soms een specifieke wettelijke bevoegdheid.3 In het privaatrecht is die formeel wettelijke basis er in het algemeen niet, maar worden gedragscodes op grond van de algemeen geldende contractsvrijheid opgesteld. De regels die ze bevatten, hebben geen wettelijk bindende kracht, maar zijn soft law. Dit wil volgens Vranken zeggen dat ze door betrokkenen feitelijk in acht worden genomen en op die manier, afhankelijk van hun overtuigingskracht, meer of minder regulerend werken.4 Gedragscodes vormen een belangrijk onderdeel van een privaatrechtelijk systeem van zelfregulering.5
Met de Aanpassingswet inzake elektronische handel is het begrip gedragscode in het BW geĆÆntroduceerd.6 De vraag is wat de juridische status is van deze rechtsfiguur. Een definitie ontbreekt in het Nederlandse privaatrecht. Ook biedt de MvT niet veel aanknopingspunten.7 Een gedragscode kan worden geacht regels te stellen over gedrag van de betrokkenen. Daarbij moet worden bedacht dat een gedragscode (ten dele) onderdeel van de overeenkomst kan zijn. Dat kan slechts zo zijn indien de verbintenissen die ontstaan voldoende bepaalbaar zijn in de zin van art. 6:227 BW. De afdwingbaarheid hangt af van de formulering van de gedragsregels die een gedragscode bevat. Dat is in een digitale context niet anders. Het aangaan van een gedragscode is in principe vormvrij,8 de code kan dus in beginsel ook langs elektronische weg worden aangegaan.
Gedragscodes kunnen worden opgevat als sociale normen, er rust geen overheidssanctie op zoals bij juridische normen het geval is. Een persoon die zich niet gedraagt conform een hem opgelegde gedragscode kan door anderen wel tot ander gedrag worden gedwongen.
Gedragscodes hebben het doel om gedrag te reguleren maar zij beogen dat te doen op een ander niveau dan de overeenkomst tussen ISP en klant. In het algemeen worden concrete verplichtingen geregeld in de kernbedingen en de algemene voorwaarden, terwijl gedragscodes een nadere invulling van de verplichtingen van de contractspartijen beogen te scheppen. Onder de benaming 'gedragscode' kunnen daarom ook wel delen van een overeenkomst schuil gaan. De benaming 'gedragscode' is echter niet doorslaggevend voor de juridische kwalificatie van de betreffende gedragsregels. Zelfstandig beschouwd bevat een gedragscode in het algemeen niet in voldoende mate bepaalbare rechten en plichten.
In de 5P-branche worden verschillende gedragscodes en gedragsregels gehanteerd. In het geval van gedragscodes van 5P's gaat het voornamelijk om het normeren van het gedrag van diens klanten op het internet. Uit het praktijkonderzoek is gebleken dat de 5P's in hun algemene voorwaarden in ieder geval naar de volgende gedragscodes verwijzen:9 fair use/acceptable use policies, privacyverklaringen, NuF-gedragscode en de Netiquette.10 Elk hebben zij een ander geldingsbereik en kennen zij eigen typen normen.11 Een verwijzing in de algemene voorwaarden naar de gedragscodes vindt meestal plaats door middel van een hyperlink. Hieronder worden de door isF's in de praktijk gehanteerde gedragscodes beschreven en gaan wij in op de vraag wanneer gedragscodes onderdeel uitmaken van de 5F-overeenkomst.
Netiquette
In het begin van de ontwikkeling van internet beschouwde men dit verschijnsel als een separate wereld met eigen regels en eigen sancties. Die regels waren met name neergelegd in zogenaamde Requests For Comments (hierna: RFc's).12Deze regels bevatten technische eisen voor een goede werking van het internet en ook een serie gedragsregels waaraan gebruikers van het internet zich dienen te houden. Die laatste staan bekend als de Netiquette, naar analogie van etiquette.13 Netiquette omvat de algemeen aanvaarde waarden en normen die gelden voor communicatie over het internet als zodanig. De 'Netiquette Guidelines', zoals het document officieel is genoemd, zijn opgesteld in het Engels en bieden een minimumpakket gedragsregels die organisaties en particulieren kunnen overnemen en aanpassen voor eigen gebruik. De NLIP heeft er een Nederlandse vertaling en bewerking van laten maken: 'Netiquette Richtlijnen NuF'.14 Naar de Netiquette wordt door isF's nog steeds verwezen in hun algemene voorwaarden.15
De Netiquette is gebaseerd op het prettig met elkaar omgaan op het internet. De inhoudsopgave luidt als volgt: introduction, one-to-one communication, one-to-many communication, information services, selected bibliography, security considerationsn16, author's address. Onder persoonlijke communicatie valt e-mail en chat, onder communicatie met groepen vallen nieuwsgroepen en mailinglijsten, onder informatie diensten vallen onder andere het www en FTP. De bibliografie kan als naslagwerk worden gebruikt. De bepalingen in de Netiquette zijn divers van aard en soms ook erg vaag of juist zeer voor de hand liggend. Enkele regels uit de Netiquette met betrekking tot gebruik van e-mail:17
'Zet nooit iets in een mailtje dat u niet op een ansichtkaart zou zetten. Wees conservatief over wat u verzendt en liberaal over wat u ontvangt. Uw provider kan u helpen met internetproblemen. Uw provider is evenzeer het juiste adres als u iets ontvangt dat verdacht of illegaal is. Gebruik grote en kleine letters. Wees beknopt zonder al te kort te zijn. Verstuur geen grote hoeveelheden ongevraagde informatie.'
Enkele regels uit de Netiquette met betrekking tot gebruik van chat en nieuwsgroepen:
'Onthoud dat chatten een onderbreking is voor de ander. Gebruik het alleen als het toepasselijk is. En praat nooit met vreemden. Het aanmaken van nep-persoonlijkheden en het parodiƫren van anderen is niet toegestaan. Reageer nooit op spam in een nieuwsgroep. Zo maakt u de overlast alleen erger.'
Enkele regels uit de Netiquette met betrekking tot gebruik van informatiediensten:
'Als een gebruiker een bijnaam, nickname of pseudoniem gebruikt, respecteer dan zijn of haar wens voor anonimiteit. Zelfs als u boezemvrienden bent met deze persoon is het welgemanierder om de nickname te gebruiken. Gebruik de echte naam van iemand niet zonder toestemming op het internet. Link niet naar andere sites zonder het eerst te vragen. Wees gevoelig voor de levensduur van uw informatie. Zorg dat tijdgevoelig materiaal van een datum voorzien is en wees waakzaam dat deze informatie goed onderhouden wordt.'
Bij de afdwingbaarheid van deze gedragsregels uit de Netiquette kunnen vraagtekens worden geplaatst. Bij de ene dienst is een nep-persoonlijkheid bijvoorbeeld wel toegestaan, bij de andere niet.
De status van de Netiquette is niet duidelijk. isP's noemen eigen gedragsregels soms ook Netiquette. Het is dus niet altijd duidelijk welke bron precies bedoeld wordt en hoe die bron te vinden is. De Netiquette mag worden aangepast voor eigen gebruik, maar dit duidt niet op transparantie. Duidelijk is dat in een Nederlandse consumentenovereenkomst niet rechtsgeldig kan worden verwezen naar een Engels document, toch doen bijna alle isP's dat. Het is de vraag of een Nederlandse vertaling van een van oorsprong Engelse tekst wel voldoet.18 De Netiquette wordt op dit moment minder goed toegepast dan zou kunnen, het juridische effect ervan is daardoor minder groot. In de interpretatie bij open normen, zoals de norm 'handelen zoals een zorgvuldig internetgebruiker betaamt', zou de Netiquette een rol kunnen spelen.
In Nederland is iets meer duidelijkheid gekomen over de juridische status van bepaalde regels uit de Netiquette die betrekking hebben op spam. Het Hof Amsterdam overwoog in de zaak AB.FAB tegen xs4ALL,19 het volgende:
'4.6.7 (...) komt (...) onvoldoende gewicht toe aan de door XS4ALL genoemde "Netetiquette" zoals blijkend uit een aantal RFc's; onbestreden is dat die regels vooral voortkomen uit de wereld van de internetproviders zelf.'
Deze rechtspraak is omstreden om een aantal redenen. Ten eerste worden in de EU aanpassingen op de privacyregels voorbereid die de betreffende RFC's codificeren.20 Ten tweede staat zo het functioneren van zelfregulering als geheel onder druk. Daarnaast zijn er buitenlandse vonnissen bekend waarin wel gelding wordt toegekend aan de RFC'S.21 Een Franse rechter ging daarbij het verst door te concluderen dat deelname aan het internetverkeer een impliciete instemming met de Netiquette veronderstelt. Dat laatste is na de uitspraak AB.FAB/XS4ALL vrijwel zeker van de baan. Het blijkt dat de status van de Netiquette niet volledig is uitgekristalliseerd. Onduidelijk is nog wat het Hof Amsterdam heeft bedoeld met de zinsnede 'uit de wereld van de internet-providers zelf'. Ten eerste is dat feitelijk niet geheel juist.22 Daarnaast is ook de juridische consequentie van deze opmerking onduidelijk.23
Fair use c.q. acceptable use policy
Naast Netiquette wordt door isP's in algemene voorwaarden verwezen naar zogenaamde fair use policies of acceptable use policies.24Een dergelijke policy bevat regels die, zoals de naam al aangeeft, het gedrag van de klant beogen te reguleren: beleid voor aanvaardbaar en redelijk gebruik door de klant van internetdiensten. In die zin zou men denken dat een policy een typisch voorbeeld is van een gedragscode. De praktijk leert echter dat deze policies vaak als integraal onderdeel van de overeenkomst worden bestempeld. Overigens hanteren niet alle isP's dergelijke policies. Daarentegen hebben sommige ISP's voor elke dienst (e-mail, nieuwsgroep, chat, website) een aparte policy opgesteld.25
De policies bevatten voor een groot deel de materie die de Netiquette ook bevat en gedragsregels die veel isP's in hun algemene voorwaarden bij de verplichtingen van de klant hebben opgenomen.26 Bijvoorbeeld een basisregel voor het goed gebruik van computer- en netwerkvoorzieningen:
'Wat u niet wilt dat u geschiedt, doe dat ook een ander niet...'
De fair use of acceptable use policies zijn, hoewel de aanduiding misschien anders doet vermoeden, in het Nederlands opgesteld. Fair use/acceptable use van het systeem van de ISP en het internet is belangrijk. Redelijkheid en billijkheid brengen mee dat ook op het internet bepaald gedrag en bepaalde gedragssituaties van mensen niet kunnen worden getolereerd. Normering van gedrag is niet eenvoudig, helemaal niet met betrekking tot het internet. Het internet is immers een grensoverschrijdend wereldwijd netwerk. Gedrag dat in het ene land rechtens geoorloofd is hoeft dat in het andere land niet te zijn. In deze policies is in het algemeen sprake van meer bepaalbare rechten en plichten dan in de Netiquette. De status van fair use en acceptable use policies is toch niet geheel duidelijk, mede omdat sommige ISP's dergelijke gedragsregels integraal in hun algemene voorwaarden opnemen terwijl andere isP's alleen verwijzen naar policies. De sancties die gelden indien een klant niet voldoet aan de gedragsregels neergelegd in deze policies zijn door isP's meestal integraal in de algemene voorwaarden opgenomen.
NLIP gedragscode
De NLIP27 had een gedragcode opgesteld, de NuF-gedragscode, die onderdeel was van het 'NLIP-kwaliteitsbeleid voor isP's'.28 Deze was gericht op het ondubbelzinnig vastleggen van belangrijke elementen in de relatie ISP ā consument. De gedragscode gold voor alle ISP's die waren aangesloten bij de NUP. Alle leden onderschreven met hun lidmaatschap de NUP-gedragscode. Uit het praktijkonderzoek is gebleken dat de meeste van de onderzochte ISP's die lid waren van de NIJP niet verwezen naar de NUP-gedragscode.29 De gedragscode was kort, maar bevatte een bepaling over het briefgeheim, een bepaling over privacy en verwijzingen naar een klachtenregeling, een regeling voor een geschillencommissie en een verwijzing naar de Netiquette.30 Het zou logischer zijn geweest wanneer de NLIP verwees naar de door haar gemaakte Nederlandse bewerking van de Netiquette: 'Netiquette Richtlijnen NLIP'. Voorzover ISP's waren aangesloten bij de NLIP waren zij 'verplicht' om de Netiquette over te nemen.
Naast de NUP-gedragscode zijn ook zogenaamde recommended security practices ontwikkeld.31 Deze best practices bevatten security aanbevelingen die waren vastgesteld door bestuur en leden van de NUP. Ten slotte kende de NIJP nog een regeling voor een keurmerk die met name betrekking had op de kwaliteit van de dienstverlening. NLIP-leden konden er voor kiezen om dit keurmerk te voeren, het was dus niet verplicht.32 Het keurmerk werd door de NLIP als volgt omschreven:
'Dit keurmerk bevat een minimum service level (de technische kwaliteitseisen) ten behoeve van het product33 inernetaccess voor consumenten. Kwaliteitseisen voor andere internetdiensten (hosting, backbone, websites) zijn nog in ontwikkeling.'
De NLIP was geen toezichthouder op de naleving van de gedragsregels en de branche kende geen eigen systeem van tuchtrecht. De NLIP had geen (formeel) wettelijke basis en kon daarom niet meer doen dan iedere andere vereniging. Zij kon slechts een lid van de branchevereniging schorsen of een lid dat de gedragsregels (aantoonbaar) niet naleefde royeren. De NLIP had daarnaast de mogelijkheid een strafklacht bij de justitiƫle autoriteiten in te dienen.34
Privacyverklaring
Het begrip privacy beslaat bij het internet in hoofdlijnen twee aspecten.35 Ten eerste de vertrouwelijkheid van de inhoud van de persoonlijke communicatie voor het transport tussen verzender en ontvanger. Ten tweede de privaatrechtelijke verhouding tussen klant en ISP. Het gaat daarbij om het verstrekken en het gebruik van persoonsgegevens en verkeersgegevens. Hierover geeft de WBP regels en is het College Bescherming Persoonsgegeven (cBP) als toezichthouder aangesteld. De WBP houdt voor een ISP het volgende in. Het verwerken van persoonsgegevens omvat elke handeling of elk geheel van handelingen met persoonsgegevens (art. 1 sub b wBP). Onder persoonsgegevens zijn te verstaan alle gegevens over identificeerbare natuurlijke personen (art. 1 sub a wBP). Het door een ISP bijhouden van een administratie van klanten valt hier onder. De ISP moet de consument informeren over de verwerking van zijn gegevens (art. 33 WBP e.v.) en deze verwerking dient uitdrukkelijk aan een bepaald doel te zijn gekoppeld (art. 7 wBP). Belangrijker is nog dat dit een legitiem doel moet zijn. Alleen indien er sprake is van toestemming voor verwerking, of een van de andere limitatief opgesomde gronden als genoemd in art. 8 WBP mag hiertoe worden overgegaan. Het verwerken van bijzondere gegevens zoals ras, politieke gezindheid of gezondheid is in de meeste gevallen verboden (art. 16 wBP). In sommige gevallen moet de ISP de verwerking melden aan het College Bescherming Persoonsgegevens (art. 27 WBP e.v.). De consument heeft een inzage- en correctierecht (art. 35 WBP e.v.). Een klant die schade lijdt doordat een ISP zich niet houdt aan de voorschriften van de WBP kan deze schade op de ISP verhalen (art. 49 wBP).
Naast wetgeving bestaan er beleidsopties voor het waarborgen van privacy bijvoorbeeld uit het bevorderen van het ontstaan van gedragscodes, de transparantie van het privacybeleid van isP's en het gebruik van Privacy Enhancing Technologies (PET). Voor privacygedragscodes geldt een eigen regime.36 Op grond van art. 25 WBP kunnen bedrijven een gedragscode vaststellen waarvoor het CBP een verklaring afgeeft. Deze verklaring geeft een vermoeden van juistheid van, kort gezegd, de omgang met persoonsgegevens. Het College geeft een dergelijke verklaring als de gedragscode niet in strijd is met de wet en voldoet aan eisen die redelijkerwijs ter bescherming van de persoonlijke levenssfeer kunnen worden gesteld.37
Twee van de onderzochte ISP's uit de bijlage verwijzen in hun algemene voorwaarden naar privacyverklaringen.38 De andere ISP's hanteren ook privacy-verklaringen en verwijzen daar naar op hun website(s) of zij nemen de bepalingen integraal op in hun algemene voorwaarden. In geen van deze gevallen is sprake van een gedragscode in de zin van art. 25 WBP. Het CBP toetst in beginsel geen individuele reglementen. Indien de normen van de WBP voor een hele sector of branche worden uitgewerkt, spreekt men van gedragscodes.39 Een gedragscode kan een verplichtend karakter hebben, maar eventueel ook slechts aanbevelingen bevatten.40 Organisaties die een gedragscode willen vaststellen, kunnen het CBP op grond van art. 25 WBP verzoeken te verklaren dat de daarin opgenomen regels een juiste uitwerking vormen van wetgeving over de verwerking van persoonsgegevens. Er staat nadrukkelijk 'kunnen', het blijft dus een vrije keuze. Voor burgers en organisaties kan het echter van belang zijn dat het CBP als toezichthouder heeft verklaard dat de opgestelde gedragscode aan de gestelde eisen voldoet. De branche vereniging van ISP's41 kan besluiten om een privacygedragscode op te stellen voor de ISP-branche en proberen daarvoor een verklaring te verkrijgen van het CBP. Naast in het kader van de SER opgestelde algemene voorwaarden zou dit een mooi pakket voor de ISP vormen.
De inhoud van de door de onderzochte ISP's gehanteerde privacyverklaringen levert het volgende beeld op. Het beginsel vertrouwelijkheid speelt bij privacy een belangrijke rol, dit begrip kom ik dan ook veelvuldig tegen in de verschillende privacyverklaringen die ISP's hanteren. Het begrip veiligheid hangt nauw samen met privacy. In de door mij onderzochte privacyverklaringen wordt door de ISP's voornamelijk uitleg gegeven over wat zij onder privacy verstaan, wat het wettelijke kader is en welke gegevens de ISP bijhoudt en wat daarmee gebeurt of kan gebeuren. Met betrekking tot de privacybescherming verdienen de volgende gegevens aandacht: klantgegevens (naam, adres, woonplaats, rekeningnummer, telefoonnummer), inloggegevens (gebruikersnaam, wachtwoord), verbruiksgegevens c.q. verkeersgegevens (elke server waar een klant in-logt registreert gegevens over het verbruik, zoals het soort verbinding, het telefoonnummer, het IP-adres van de klant, de in- en uitlogtijd en de hoeveelheid informatie die verzonden wordt). De klantgegevens en inloggegevens worden door een ISP verzameld met als doel het uitvoeren van de overeenkomst het verschaffen van de gevraagde internetdiensten en facturering. De verkeersgegevens verzamelt een ISP voor de interne bedrijfsvoering. Wat daar precies mee wordt bedoeld, is niet op te maken uit de privacyverklaringen en blijft daarom onduidelijk.
Doorverwijzen in algemene voorwaarden
In zekere mate is bij ISP's de 'gelaagde normstelling42 populair, dat wil zeggen er vindt in de algemene voorwaarden doorverwijzing naar andere documenten plaats. ISP's verwijzen in hun algemene voorwaarden veelvuldig door naar bovengenoemde gedragscodes. Dit roept bij mij de volgende vragen op:43 wat is de status van verwijzing in algemene voorwaarden naar deze gedragscodes en welke waarde kan er worden gehecht aan de inhoud van deze gedragscodes? Indien gedragscodes worden gewijzigd, is dan vereist dat de ISP dat aan de klant meedeelt? Een ander punt bij de gelaagdheid is de leesbaarheid en begrijpelijkheid. Hieronder zullen wij op deze vragen voor de genoemde gedragscodes ingaan.
In de praktijk komt het regelmatig voor dat in algemene voorwaarden wordt doorverwezen naar andere algemene voorwaarden. Omdat een klant algemene voorwaarden meestal ongelezen aanvaardt, mag men niet te snel uitgaan van toepasselijkheid van de voorwaarden waarnaar wordt verwezen. Wessels en Jongeneel verdedigen op grond van de artt. 3:33 en 3:35 BW dat men in de regel moet uitgaan van niet-toepasselijkheid van de voorwaarden waarnaar wordt doorverwezen.44 Loos is het niet eens met dit standpunt en acht de voorwaarden waarnaar een doorverwijzing plaats vindt wel toepasselijk.45 Tegen onredelijk bezwarende bedingen in het doorverwezen pakket algemene voorwaarden geeft de inhoudelijke toetsing van art. 6:233 sub a BW een verweer. Tegen een gebrekkige mogelijkheid tot kennisname van de doorverwezen algemene voorwaarden biedt de vernietigingsgrond van art. 6:233 sub b BW uitkomst. De consument zal in de regel gemakkelijk met doorverwijzingen kunnen afrekenen door een beroep te doen op de informatieplicht van de ISP.46
Verwijzing in algemene voorwaarden naar andere algemene voorwaarden kan soms efficiƫnt zijn. In een procedure tussen de Rabobank en klant W achtte het Hof Arnhem het samenstel van verwijzingen waarmee de bank wijziging van de algemene voorwaarden wilde bewerkstelligen slechts begrijpelijk als alle voorwaarden naast elkaar worden gelegd.47 Er was een incassobeding opgenomen via de algemene bankvoorwaarden en de bijzondere voorwaarden. Het hof overwoog dat deze wijze van hantering van leveringsvoorwaarden onvoldoende duidelijk is voor de wederpartij, mede gezien het feit dat naar de algemene bankvoorwaarden pas is verwezen geruime tijd nadat de vordering van de bank op de wederpartij was ontstaan. Belangrijk bij doorverwijzingen is daarom dat het ontstane geheel duidelijk en begrijpelijk moet zijn. De informatieplicht (artt. 6:233 sub b jo. 6:234 BW) geldt ook voor voorwaarden waarnaar in de oorspronkelijke algemene voorwaarden wordt verwezen. Aanvullende voorwaarden dienen dus te worden benaderd als algemene voorwaarden.
In de isP-praktijk komt een doorverwijzing naar gedragscodes in algemene voorwaarden veel voor. Een klant dient de algemene voorwaarden te aanvaarden en op de ISP als gebruiker van de algemene voorwaarden rust een informatieplicht.48 Deze plicht houdt in dat de ISP de klant een redelijke mogelijkheid moet bieden om van de algemene voorwaarden kennis te nemen. De door de isP's gehanteerde gedragscodes kunnen niet zonder meer worden beschouwd als algemene voorwaarden. Dit brengt mee dat ze niet door de klant uitdrukkelijk hoeven te worden aanvaard. Echter, voor de gedragscodes geldt wel een informatieplicht.
Wanneer doorverwijzing plaatsvindt in algemene voorwaarden naar een gedragscode moet deze doorverwijzing duidelijk zijn.49 De ISP die gedragscodes hanteert zal de klant daarom een redelijke mogelijkheid moeten bieden om van de gedragscodes kennis te nemen. De vraag is wanneer zo'n redelijke mogelijkheid elektronisch wordt geboden. In ieder geval moet er dan een gemakkelijk aan te klikken hyperlink zijn aangebracht.
Doorverwijzen naar Netiquette
Welke methode van verwijzing naar de Netiquette is een redelijke mogelijkheid voor elektronische raadpleging door de klant? Is bijvoorbeeld een enkele verwijzing in de algemene voorwaarden voldoende om van een redelijke mogelijkheid tot kennisneming van de Netiquette te spreken? In de praktijk komen verschillende wijzen van verwijzing voor. In de eerste plaats het plaatsen van de Netiquette op de eigen website van de ISP, op een nieuwe pagina of op dezelfde pagina als de algemene voorwaarden. Deze vorm van verwijzing voldoet in de praktijk goed. Het risico voor het niet functioneren van de pagina's waarop de Netiquette staat komt vanzelfsprekend voor rekening van de ISP. Dat wordt niet anders indien een hyperlink naar een adres buiten de website wijst. Indien de gedragscode niet raadpleegbaar is langs deze weg, is de klant geen redelijke mogelijkheid geboden tot het kennis nemen van die gedragscode.50 Het probleem rijst indien zonder meer naar 'de Netiquette' wordt verwezen, zonder dat daarbij een tekst of hyperlink is opgenomen. Er bestaan verschillende versies van de Netiquette, een ISP mag en kan de Netiquette immers zelf aanpassen51 en de NIJP heeft een Nederlandse vertaling van de Netiquette laten maken. Het is dan de vraag naar welke versie de ISP verwijst. Doorverwijzing naar de Netiquette zonder duidelijke markering van versie, vermelding van datum en bron, is onvoldoende en kan ook bezwaarlijk worden tegengeworpen in de relatie met consumenten. Het document kan steeds van inhoud veranderen. Het noemen van een datum of versie van de Netiquette kan, naast het noemen van een vertaling en eventueel prioriteitsregel, dit probleem voorkomen. Van nieuwe versies alsmede nieuwe vertalingen moet de klant ook steeds op een redelijke wijze kennis kunnen nemen. Het gaat er om dat documenten met een juridische status op een bepaald moment beschikbaar moeten zijn of beschikbaar moeten worden gesteld. Voldoende lijkt een redelijke mogelijkheid van elektronische verwijzing tot raadpleging van de Netiquette door middel van een duidelijke hyperlink welke op het eigen systeem van de ISP is opgeslagen die door middel van het aanklikken van de hyperlink de desbetreffende tekst in het Nederlands voor de klant leesbaar maakt en de mogelijkheid bevat om de tekst te printen. Indien er nieuwe versies van deze Netiquette komen dient dat aan de klanten te worden medegedeeld met de mogelijkheid om op gemakkelijke wijze kennis te kunnen nemen van de nieuwe versie.
Doorverwijzen naar fair use c.q. acceptable use policy en privacyverklaring
Bij verwijzing naar fair use policies of acceptable use policies en eveneens bij verwijzingen naar privacyverklaringen ligt het weer net even anders omdat hier geen sprake is van een algemeen document als de Netiquette, maar een document dat specifiek door de ISP is opgesteld en daarmee meer een juridische status heeft. De sancties die gelden voor het niet voldoen aan deze policies zijn door isP's integraal in de algemene voorwaarden opgenomen. De vraag is dan of deze policies niet ook integraal dienen te worden opgenomen in de algemene voorwaarden zelf of dat er een redelijke methode van verwijzing mogelijk is. Als er een fair use policy wordt gehanteerd dient de ISP daar in ieder geval naar te verwijzen, ĆØf op zijn website, ĆØf in de algemene voorwaarden met een duidelijke markering van versie, vermelding van datum en bron. Indien het bij deze policies gaat om gebruikersvoorwaarden van specifieke internetdiensten zou er in de artikelen in de algemene voorwaarden over de internetdiensten kunnen worden doorverwezen naar aanvullende voorwaarden maar daarbij dient dan te worden voldaan aan de vereisten die gelden als ware er sprake van een tweede pakket algemene voorwaarden waarnaar in de hoofdvoorwaarden wordt verwezen. Indien deze gebruikersvoorwaarden zo essentieel zijn, dat zij bijvoorbeeld een uitwerking geven van de kernbedingen, dan moeten ze onderdeel worden van de overeenkomst. Dergelijke policies dienen uitdrukkelijk te worden aanvaard door de klant. Het is bezwaarlijk een klant, zeker een consument, steeds te belasten met een telkens veranderend normenstelsel. In ieder geval moet de klant over de wijzigingen worden geĆÆnformeerd en hem daarbij de mogelijkheid worden geboden afscheid te nemen van de betreffende ISP. Mij lijkt het daarom beter om gebruikersvoorwaarden zoals neergelegd in policies die verstrekkende gevolgen kunnen hebben voor de klant integraal in de algemene voorwaarden op te nemen. Indien de gebruikersvoorwaarden van zo algemene aard zijn als die in de Netiquette kan, net als bij de Netiquette, een duidelijke hyperlink die op het eigen systeem van de ISP is opgeslagen en leesbaar wordt voor de klant door middel van het aanklikken van de hyperlink met daarbij de mogelijkheid om de tekst te printen ook volstaan.
Doorverwijzen naar NuP-gedragscode
Zoals hierboven bezien, bestaat er een branchespecifieke gedragscode, die ook weer een verwijzing bevat naar de Netiquette. Er ontstaat daarmee een gelaagde normstelling van drie lagen. Indien een ISP gedragscodes heeft aanvaard dient hij dit feit en de vindplaats van de gedragscodes te melden aan de aspirant-klant. Leden van de NUF hadden de NUP-gedragscode aangenomen en zouden dit moeten melden. Uit het praktijkonderzoek is gebleken dat niet alle isP's dat deden. Ook hier was sprake van een meer algemeen document. Wat toegankelijk maken betreft kon met een duidelijke hyperlink op de website naar de NUP-gedragscode worden volstaan. Daarbij is het veiliger indien de ISP de NLIP-gedragscode op zijn eigen systeem opslaat dan wanneer hij linkt naar de NLIP-website.52
Concluderend kan worden gesteld dat ISP's veelvuldig verwijzen naar gedragscodes. Verwijzing vindt meestal plaats met behulp van een hyperlink in de elektronische algemene voorwaarden of een hyperlink op de website van de ISP. De leesbaarheid en begrijpelijkheid zijn hiermee niet gediend. De regels van gedragscodes beogen in het algemeen niet om regels te stellen die dezelfde rechtskracht hebben als de regels in een overeenkomst. Indien de inhoudelijke betekenis van de gedragscodes verstrekkende gevolgen heeft voor de klant en dus wel beoogd wordt dat de regels dezelfde rechtskracht hebben als in de overeenkomst, bijvoorbeeld wanneer de ISP in de gedragscode verplichtingen aan de klant oplegt waaraan sancties zijn verbonden, moeten de bepalingen integraal in de algemene voorwaarden worden opgenomen dan wel door de klant worden aanvaard om bindende werking te krijgen. Opneming in de algemene voorwaarden voorkomt het probleem dat gedragscodes inhoudelijk conflicteren met de inhoud van de algemene voorwaarden. Indien er sprake is van een botsende inhoud tussen de algemene voorwaarden en een gedragscode geldt de inhoud van de algemene voorwaarden tenzij de gedragscode door de klant is aanvaard en de gedragscode daardoor als een tweede pakket algemene voorwaarden dient te worden beschouwd. Een rangordebepaling kan dan uitkomst bieden. Wanneer een gedragscode geen verstrekkende gevolgen heeft, bijvoorbeeld de Netiquette, dient een klant duidelijkheid te verkrijgen over wanneer een gedragscode van toepassing is, en zo ja waar deze te raadplegen is. Vermelding van een bron waar de gedragscode te raadplegen is en een datum zijn daarom noodzakelijk. Indien gedragscodes worden gewijzigd, is om die reden vereist dat de ISP dat aan de klant meedeelt.