Uit de antwoorden blijkt dat de basis voor deze software artikel 126l Strafvordering is: bij zeer ernstige misdrijven mag de politie vertrouwelijke communicatie opnemen (tappen). Daarvoor is wel goedkeuring van de Officier van Justitie nodig, en deze mag de goedkeuring pas geven na machtiging van de (onafhankelijke) rechter-commissaris. En wanneer het gaat om gesprekken in een woning, beslist het College van Procureurs-Generaal over het afgeven van het bevel.

De minister schrijft dat de software in kwestie gecertificeerd is door de Keuringsdienst van het KLPD. Daarbij wordt onder meer nagegaan of de software meer kan dan mag, en de illegale functionaliteit wordt dan geblokkeerd. Dat is een noodzakelijke eis om überhaupt dit middel in te mogen zetten.

Op zich lijkt me dit wetsartikel een prima basis om vertrouwelijke gesprekken af te luisteren, mits aan de genoemde voorwaarden is voldaan. Als je volgens dit artikel een hardware-’bug’ (een afluisterapparaat) mag ophangen in iemands huis, waarom dan niet een software-’bug’ in zijn computer?

Een onbeantwoorde vraag is echter hoe die software op de pc terechtkomt. Voor hardwarebugs is dit namelijk streng gereguleerd: binnentreden van een woning om een bug op te hangen mag alleen bij de allerernstigste misdrijven waarbij het ‘dringend’ nodig is om dat te doen.

Voor softwarebugs zijn er geen expliciete regels. En dat geeft zorg: in Duitsland ontwikkelde overheidstrojaansepaardsoftware zou ook in Nederland zijn verspreid, en dat vind ik een nogal enge manier van werken. Het antwoord van de minister dat illegale functionaliteit is uitgezet is niet afdoende. Trojaansepaardsoftware is moeilijk gericht te verspreiden. Hoe weet je dat die software bij je verdachte terechtkomt? Het doet me denken aan het rondstrooien van microfoontjes met een plakbandje erop en dan hopen dat ‘ie alleen blijft plakken bij de juiste persoon die je mag afluisteren.

De Amerikaanse website had in dit geval een Nederlandse internetprovider en om die reden stond de server in Nederland. Het verzoek van de politie was geen vrijblijvend verzoek om het magazine van de site te halen, want het verzoek sloot af met de bewoordingen “In case you might not respond positively to this request, we will under the force of circumstances take down your website.“ Een dreigend noticetakedownverzoekvan justitie dus. En de vraag is: Wie durft te weigeren?

Blijkbaar durfden zowel de Amerikaanse website-eigenaar als de Nederlandse hoster dat. De Amerikaanse site verwees naar het mensenrecht om in alle vrijheid informatie uit te wisselen, de Nederlandse hostingprovider zei niet te zullen overgaan tot verwijdering zonder een bevel van de rechtercommissaris.

Een vraag die inderdaad moet worden gesteld, is: Of een overheidsdienst het platleggen van een website misschien beter kan vorderen dan verzoeken?

Er zijn wettelijke regels over het weghalen van informatie. Een noticetakedown-verzoek, inclusief afgifte van persoonsgegevens, zal steeds moeten worden gevorderd en kan niet eenvoudigweg worden gevraagd. Dit omdat het recht op privacy een grondrecht is dat zwaarwichtiger weegt en dus een rechterlijke controle vereist door de rechtercommissaris.

Specifiek voor tussenpersonen die in Nederland een online openbare telecommunicatiedienst leveren, voorziet de Gedragscode Notice-And-Take-Down in een procedure die dient gevolgd bij ontvangst van meldingen over onrechtmatige en strafbare inhoud die online staat.

De Gedragscode Notice-And-Take-Down specificeert dat ‘een melder’ van strafbare website inhoud (artikel 2) zowel een burger als een overheidsinstantie kan zijn. Over een ‘gewone’ melding benadrukt de Gedragscode in artikel 4 a dat:

“[het]  van belang [is] dat de opsporings- of inspectiedienst duidelijk maakt dat in deze situatie geen sprake is van een formeel bevel.”

De opsporingsdienst moet met andere woorden aangeven dat het slechts een verzoek betreft dat geen enkele dwingende kracht heeft. De brief van de Nationale Recherche, aanleiding van mijn artikel, was geen vriendelijk verzoek. Als we ons baseren op de NTD Gedragscode mocht dat dus met recht en reden worden genegeerd door de website-houder en de hosting provider.

[Nu lijkt het parket het van de politie over te nemen. Gisteren gaf het Openbaar Ministerie op haar site gerucht aan het recent platleggen van de site JokeKaviaar.nl wegens `opruiende teksten`.]

Update: (10 december) de publicatie in het Tijdschrift voor Internetrecht is nu in te zien als PDF.

Nee, vanaf januari krijgen we onze eerste (jawel) cyberkolonel. De gelukkige is kolonel Hans Folmer en hij gaat zorgen voor een nieuw krijgsmachtonderdeel dat zich gaat specialiseren in het voeren van internetoorlogen.

De vraag naar een dergelijke krijgsmacht schijnt groot te zijn nu zo ongeveer alles (ja ook het bestellen van munitie) via het internet gaat. Mensen die erg goed met de pc overweg kunnen, zouden op deze wijze in tijden van oorlog een grote invloed kunnen uitoefenen. Het is toch vervelend als de bestelde munitie door de tegenpartij wordt geannuleerd of elders wordt bezorgd.

Dit alles houdt in dat er ook heuse cybersoldaten geworven moeten worden. Voor de geïnteresseerden: u dient computerexpert te zijn en als reservist aan de slag te gaan. Hierbij zorgt u ervoor dat cyberaanvallen geen kans krijgen. Daarnaast leidt u de krijgsmacht op zodat ze weten hoe er cyberoorlog gevoerd moet worden. U gaat aan de slag bij het opleidings- en trainingscentrum voor computeroorlog bij de Nederlandse Defensie Academie.

Zijn we  nu niet een beetje aan het overdrijven? Volgens generaal-majoor Sander Schnitger van Defensieplanning niet: computernetwerken in Estland en het Britse ministerie van Defensie zijn recentelijk al aangevallen.

Ook de VS heeft er last van. Zij sluiten steeds meer internetpoorten om zich te wapenen tegen cyberaanvallen. Deze aanvallen bleken uit China afkomstig.

Oh ja China! Waren die hier niet al heel veel jaar mee bezig?

Jan-Jaap Oerlemans reageerde negatief: dit zou een vrijbrief voor hackers opleveren om lekker te gaan inbreken, en benadeelde partijen kunnen hun schade dan niet meer verhalen. Op zich een terecht bezwaar.

Hij citeert echter mijn opmerking van gisteren dat “Publiceren over lekken of zwakheiden in beveiliging van computers of netwerken dient het algemeen belang, en is dus in principe toegestaan.”  en reageert daarop dat een hacker net zo goed strafbaar is als hij journalistiek bezig is, tenzij in uitzonderlijke gevallen de nieuwswaarde prevaleert.

Even ter verduidelijking: ik zeg niet dat white-hat hacken per definitie een maatschappelijk belang dient.

Ik had het in de geciteerde passage over “publiceren” en niet over “ontdekken”. Een publicatie over een bestaand gat is op zichzelf evident deel van de vrije meningsuiting. Zie bv. de Mifare-zaak van NXP tegen de Universiteit Nijmegen. Het achterhalen (vergaren) van de informatie ook, maar dat botst veel eerder met rechten van derden (art. 10 lid 2 EVRM). Dus ja, daar moet een andere afweging plaatsvinden.

Ik ben het met Jan-Jaap eens dat er geen wettelijke regel moet komen voor whitehats of voor klokkenluiders, omdat zo’n regel (net als een definitie van ‘journalist’) alleen maar tot nodeloze beperkingen van beschermde grondrechten leidt. Zolang de rechter kan toetsen aan het grondrecht vrije meningsuiting, kan hij in elk geval tot een billijke uitkomst komen. Als er een regel komt dat je bv. moet publiceren of dat de schade nihil moet zijn, dan creëer je alleen maar ruimte voor advocaten om te betogen dat hier niet aan voldaan is.

Er is een probleem in de praktijk: wie te goeder trouw een evidente fout meldt, kan een civiele claim of aangifte aan de broek krijgen. Dat is een kwalijke praktijk, en vanwege de hoge kosten om dat aan te vechten is het niet genoeg om te zeggen “de rechter zal je uiteindelijk vrijspreken”.

Inlichtingen en denkbeelden

De vrijheid van meningsuiting geldt voor iedereen, want dit is een grondrecht (artikel 10 Europees Verdrag van de Rechten van de Mens). Dit recht omvat zowel het recht om “inlichtingen en denkbeelden” te vergaren als om deze te publiceren – wat ik dan maar even de persvrijheid noem. Die naam wekt misschien de indruk dat dit recht alleen geldt voor professionele journalisten die bij de massamedia werkt, maar dat is niet zo: iedereen kan journalistiek bezig zijn.

De strafwet maakt geen onderscheid tussen journalisten en andere burgers. Iedereen moet zich aan de wet houden. Een journalist die fout parkeert, krijgt gewoon een boete – ook als hij daar moest parkeren omdat hij snel bij het nieuws moest zijn. Pas in heel bijzondere situaties kan een journalist zich beroepen op de persvrijheid (vrije meningsuiting) en zo een strafrechtelijke veroordeling ontlopen.

Niet verder dan noodzakelijk

De wet ziet de pers als een essentieel onderdeel van de democratische samenleving. Een belangrijke taak van de pers is namelijk het aan de kaak stellen van misstanden. Soms is het daarbij nodig om strafbare feiten te plegen, omdat anders de misstand niet kan worden aangetoond. In dergelijke gevallen kan de persvrijheid de strafwet opzij zetten. Vereist is dan dat sprake is van een bijdrage aan een maatschappelijk relevante kwestie waarbij niet verder wordt gegaan dan noodzakelijk voor het doel van die bijdrage.

In 1995 werd een journalist vrijgesproken van het strafbare feit “vervalsen van rijbewijzen” omdat dit een journalistiek doel diende en de journalist niet meer had gedaan dan dit aan het licht brengen. Dat hij daarvoor een vervalst rijbewijs moest aanvragen, was onvermijdelijk en daarmee niet strafbaar.

In een zaak over een ‘gat’ in het bancaire systeem van automatische incasso werd de journalist juist veroordeeld. Die betoogde dat hij wilde aantonen dat je eenvoudig geld kon incasseren via dat systeem zonder enige controle, maar daarbij had hij maar liefst € 739.435,80 geïncasseerd en dat ging de Hoge Raad te ver. De journalist had met name ook met een kleiner bedrag kunnen werken om zijn punt te maken. En dat het hier ging om geld dat bij willekeurige mensen werd afgeboekt en niet bij kennissen die hij had kunnen vragen om medewerking, woog ook zwaar mee.

Die instemming van anderen speelde dan weer geen rol in de Nieuwe Revu-zaak, waarbij men de privémailbox van de staatssecretaris van Defensie kraakte. Daarbij werd een botnet van 14.000 computers ingezet, maar het journalistieke punt bij het raden van dat wachtwoord vond de rechter belangrijk genoeg om dit te negeren. De Revu-journalisten werden weer wél veroordeeld voor het snuffelen in de mailbox nadat het wachtwoord was gekraakt. Immers, als je punt is dat bewindspersonen zwakke wachtwoorden gebruiken, dan is het niet nodig om de mails te lezen (laat staan daaruit te citeren in je tijdschrift). Het overzicht van de inbox is bewijs dat je binnen bent.

Iets dergelijks werd ook geoordeeld bij perspublicaties over de gestolen camera van prins Willem-Alexander en prinses Máxima. Daarbij werden ook beelden uit die camera afgedrukt als bewijs, maar dat werd niet geaccepteerd door de rechter. Het tonen van beelden voegt aan zo’n artikel niet veel toe, en omdat het privébeelden zijn hebben ze een groot privacybelang. Daarom is dergelijke publicatie niet toegestaan.

Stappenplan om te kraken

Publiceren over lekken of zwakheiden in beveiliging van computers of netwerken dient het algemeen belang, en is dus in principe toegestaan. Wel moet je daarbij uitkijken dat je publicatie niet neerkomt op een eenvoudig stappen plan of handleiding over hoe die lek of zwakheid kan worden misbruikt. Het tijdschrift Computer idee werd ooit veroordeeld omdat ze in detail uitlegden hoe gratis Canal+ betaaltelevisie kon worden gekeken zonder te betalen.

In 2008 stonden onderzoekers van de Universiteit Nijmegen bij de rechter vanwege een publicatie over fundamentele zwakheden in de OV-chipkaart. Hun publicatie werd niet verboden, ondanks de schade die volgens chipfabrikant NXP dreigde als het publiek deze informatie te weten zou komen. Volgens de rechter bevatte het artikel “een in hoge mate theoretische beschrijving, maar bevat het artikel in ieder geval zeker niet een praktische handleiding voor het kraken en klonen van de chip.”

Een beschrijving op hoog niveau is dus niet verboden. Maar hoe praktischer je de beschrijving maakt, hoe riskanter de publicatie wordt. Als journalist zul je moeten zoeken naar een compromis dat niet nodeloos schade aanricht bij anderen maar nog wel je journalistieke punt maakt. Als praktische vuistregel zou je kunnen hanteren dat als je een daadwerkelijke exploit of handleiding publiceert, je een paar details zo verandert dat deze niet direct bruikbaar is voor iedereen, of dat de handleiding alleen op relatief onschuldige wijze laat zien dat het lek bestaat.

Mark Jansen van Dirkzwager Advocaten schreef een blog over de aansprakelijkheid van DigiNotar. Goed punt, want hier zijn veel vragen over. Jansen haalt in zijn blog een artikel aan dat de aansprakelijkheid van certificatiedienstverleners regelt:

“Wat daar ook van zij, noemenswaardig voor dit blogbericht is dat er een specifieke regeling voor de aansprakelijkheid van certificaatdienstverleners (als Diginotar) in artikel 6:196b BW van de wet staat. Die regeling geldt alleen wanneer een zogenaamd “gekwalificeerd certificaat” is uitgegeven. Voor de aansprakelijkheid van certificaatdienstverleners bij uitgifte van andere certificaten geldt het “normale” aansprakelijkheidsrecht. Daar ga ik in dit bericht verder niet op in.”

Hiermee wekt Jansen de indruk dat het wetsartikel (artikel 6:196b BW) van toepassing is op de uitgifte van SSL-certificaten. Dat is niet het geval. SSL-certificaten, die nu bij DigiNotar onder vuur liggen, zijn juridisch gezien andere certificaten dan gekwalificeerde certificaten. De eisen voor gekwalificeerde certificaten zijn veel zwaarder. Zo moet je als certificatiedienstverlener van gekwalificeerde certificaten bij de OPTA staan ingeschreven. Ook gelden er specifieke wettelijke bepalingen voor gekwalificeerde certificaten (waaronder dus artikel 6:196b BW).

Wat zijn nu precies gekwalificeerde certificaten? Gekwalificeerde certificaten worden bijvoorbeeld gebruikt voor ondertekening van elektronische documenten. Met een gekwalificeerd certificaat kan je bijvoorbeeld een handtekening zetten op een PDF-document. Dit doe je met een smartcard (een zogenaamd “veilig” middel). Deze smartcard is persoonsgebonden en bevat een sleutel waarmee de handtekening wordt gezet. Om je handtekening te zetten dien je een pincode in te voeren.
Deze vorm van elektronisch ondertekenen is in Nederland nog vrij onbekend. Dit komt mede doordat het nogal ingewikkeld is om zo’n gekwalificeerd certificaat aan te vragen. Daarnaast is zo’n certificaat is vrij kostbaar. Een digitale handtekening, welke wordt gezet met een gekwalificeerd certificaat, staat gelijk aan een handgeschreven handtekening. Vandaar dat er allerlei strenge regels gelden en er niet veel partijen zijn die zo’n certificaat uit mogen geven. DigiNotar is wel zo’n partij. Zij staat bij de OPTA ingeschreven. Bovendien is zij door een auditor gecertificeerd om deze certificaten uit te mogen geven.

DigiNotar is ook door een auditor gecertificeerd om SSL-certificaten uit te mogen geven. Deze SSL-certificaten, waarvoor minder zware eisen gelden dan voor gekwalificeerde certificaten, kennen geen apart juridisch regime. Ze vallen, zoals gezegd, dus niet onder artikel 6:196b BW. Als SSL-certificaten wel als gekwalificeerde certificaten zouden kunnen worden aangemerkt en deze bepaling dus wel voor deze certificaten zou gelden, dan zou DigiNotar een groot probleem hebben. Ze zou dan door de OPTA kunnen worden aangesproken. De OPTA is namelijk belast met het toezicht op de certificatiedienstverleners van gekwalificeerde certificaten. Tevens is er dan een beroep mogelijk op de aansprakelijkheidsbepaling voor certificatiedienstverleners (artikel 6:196b BW).

Het is opmerkelijk dat de wetgever geen bijzondere aansprakelijkheidsbepaling heeft gemaakt voor andere certificaten dan gekwalificeerde certificaten. Zoals we de afgelopen dagen hebben kunnen zien, zijn de gevolgen van de uitgifte van valse SSL-certificaten erg groot. Waarschijnlijk heeft de wetgever dit niet voorzien.

Ook al kunnen de gebruikers, die hebben vertrouwd op een vals SSL-certificaat van DigiNotar, geen aanspraak kunnen maken op de bijzondere aansprakelijkheidsbepaling, wil dat nog niet zeggen dat er geen juridische mogelijkheden zijn. Naar mijn mening kan DigiNotar wel via het “normale” aansprakelijkheidsrecht aansprakelijk worden gesteld. Het zou onder andere kunnen gaan om de volgende punten:

- DigiNotar kan zelf geen SSL-certificaten meer leveren die goed functioneren. De browsers geven immers een foutmelding. Al zo’n SSL-certificaat niet langer wordt geaccepteerd door de browsers, schiet DigiNotar tekort in de nakoming van haar verplichtingen. DigiNotar heeft zich immers verplicht tot het leveren van goed werkende SSL-certificaten. De klanten van DigiNotar kunnen schadevordering instellen uit hoofde van wanprestatie. Het overigens nog de vraag in hoeverre de deze claim zin heeft. DigiNotar heeft haar aansprakelijkheid in de algemene voorwaarden en in het Certificate Practice Statement beperkt. Toch gek als je je bedenkt dat de gevolgen van het niet-functioneren groot zijn. Zo is het digitale loket van de rechtbanken voor advocaten op dit moment niet beschikbaar.

“Deze digitale diensten zijn tijdelijk niet bereikbaar vanwege een technisch probleem met de beveiliging. Betrouwbare digitale communicatie tussen browser en website is momenteel niet mogelijk. Daardoor heeft de advocatuur momenteel geen toegang tot lopende zaken op de roljournalen en het familiejournaal van het Digitaal loket rechtspraak.”

- Op de website van DigiNotar staat de volgende mededeling:

“Gebruikers van SSL certificaten kunnen afhankelijk van de desbetreffende browserleverancier geconfronteerd worden met een mededeling dat het certificaat niet vertrouwd wordt. Dit is in 99,9% van de gevallen onjuist, het certificaat kan wel worden vertrouwd. Dit kan handmatig door de gebruiker zelf worden aangegeven in de browser (hiervoor kunt u terecht op de FAQ op onze website).”

DigiNotar zegt dat haar SSL-certificaten kunnen worden vertrouwd, maar is dat wel zo? Dat zal nader onderzoek uit moeten wijzen. Bovendien heeft DigiNotar het over een garantie van “99,9%”. Dit betekent dat 1 op de 1000 certificaten niet te vertrouwen zou zijn.
Deze mededeling is juridisch gezien niet handig, want DigiNotar zou op basis van deze mededeling aansprakelijk gesteld kunnen worden. De mededeling dat je certificaten  zomaar als vertrouwd moet  toevoegen gaat geheel in tegen wat er in het algemeen als veilig wordt beschouwd. Dit is niet zorgvuldig.

Klanten van DigiNotar nemen deze mededeling zelfs over. De RDW verwijst nu ook al naar deze mededeling en loopt door dat te doen ook een juridisch risico.

Het einde van deze nachtmerrie voor DigiNotar is nog niet in zicht…

Een SSL-certificaat zorgt voor de beveiliging van het internetverkeer. Naast deze functie om de integriteit van gegevens te waarborgen, heeft het SSL-certificaat ook een functie om de identiteit van een website (domeinnaam) kenbaar te maken. Zo weet de internetter of hij ook daadwerkelijk met de juiste partij te maken heeft en niet met bijvoorbeeld de Iraanse regering.

Alles valt of staat dus met de uitgifte van het SSL-certificaat. Je mag als certificatiedienstverlener niet zomaar SSL-certificaten aan partijen verstrekken. Daar zijn strikte procedures aan verbonden. Zo worden voor uitgifte van een certificaat alle (bedrijfs)gegevens van de aanvrager gecontroleerd. Dit noemt men in certificaatland; de validatie. Daarnaast worden de certificaten uitgegeven via gecertificeerde systemen. Dit alles om te voorkomen dat er valse certificaten in omloop komen. Als je namelijk niet meer op een SSL-certificaat kan vertrouwen; welke waarde heeft zo’n certificaat dan nog? Er zijn honderden partijen die SSL-certificaten uitgeven en er hoeft maar een partij een verkeerd certificaat uit te geven en de het systeem verliest z’n vertrouwen.

De komende tijd zal moeten worden bekeken hoe groot de schade is. DigiNotar zal het vertrouwen in de uitgifte van SSL-certificaten moeten herstellen. Dit geldt niet alleen voor DigiNotar. De hele SSL-industie zal mee moeten werken aan het vertrouwensherstel. Wie zegt dat de andere SSL-certificaten wel goed zijn uitgegeven? En wat gaan de webbrowsers doen? Zij hebben de macht om certificatiedienstverleners niet langer toe te laten. Naar mijn mening is met dit voorval bewezen dat het certificeren van certificatiedienstverleners niet goed werkt. Een aparte organisatie, die alle certificatiedienstverleners toetst, en de nodige specialistische technische kennis in huis heeft, lijkt me een vereiste.

Update (30/8): Mozilla laat DigiNotar niet langer toe tot haar browser.

De beheerders werd het plegen, medeplegen of medeplichtig zijn ten laste gelegd ten aanzien van groepsbelediging en het aanzetten tot haat/discriminatie/geweld. Plegen houdt in dit geval in het zelf plaatsen van de strafbare uitingen of het verantwoordelijk zijn voor het openbaarmaken van de uiting. Medeplegen is een juridische bewoording voor bewuste samenwerking tussen (in casu) de beheerders en een gezamenlijke uitvoering van het plaatsen dan wel openbaarmaken van de strafbare uitingen. Medeplichtigheid veronderstelt minder deelname aan het strafbare feit. Het houdt in dat de beheerder voorafgaand aan het feit opzettelijk gelegenheid schept voor het openbaarmaken of het doen van de uitingen dan wel gedurende het doen van de uiting expres behulpzaam is bij het plegen.

Op de website behoorlijk wat opmerkingen te vinden die ik hier niet zal herhalen maar die verschillende groepen beledigden en discrimineerden. De uitingen gingen over of richtten zich tegen onder andere Joden, Moslims en homo’s.
Beide beheerders werden onafhankelijk van elkaar vrijgesproken voor de deelnemingsvormen medeplegen en medeplichtig zijn aan en wel om de volgende vier redenen:

1. Omdat er geen aanwijsbare vorm van hiërarchie bestond tussen de betreffende beheerder en andere beheerders van het forum;
2. omdat er geen overleg heeft plaatsgevonden tussen de beheerders van het forum (althans dat is niet bewezen) waarin is besproken hoe om te gaan met dergelijke uitlatingen;
3. omdat er geen verantwoording aan de betreffende beheerder moest worden afgelegd en;
4. omdat de betreffende beheerder geen aanwijsbevoegdheid had ten aanzien van andere beheerders.

De rechters voegden hier nog aan toe dat (LJN: BQ4301, overweging 3.3):

“Anders dan de officier van justitie is aangevoerd, is deze enkele hoedanigheid van beheerder van de website onvoldoende om verdachte als medepleger of medeplichtige verantwoordelijk te houden voor het handelen van de andere beheerders op het forum van de website.”

Tegen één beheerder bestond wel bewijs dat hij een aantal uitlatingen had gezien in zijn hoedanigheid als beheerder en dat hij zelf (onder zijn screenname) strafbare uitingen had geplaatst. Hij is uiteindelijk veroordeeld voor het plegen van het strafbare feit en werd gestraft met een taakstraf van 36 uur.

Uit de uitspraken is op te maken dat als het beheer niet gestructureerd geregeld is, een beheerder van een website niet verantwoordelijk is voor strafbare uitingen op de (mede) door hem beheerde website. In zoverre dat er in deze uitspraken wordt gezegd dat de beheerder dan niet verantwoordelijk is voor zulke uitingen van andere beheerders en niet te straffen is voor uitingen die op de door hem beheerde website staan zolang die niet door hem gezien zijn of geplaatst zijn. Voorgaande is prettig voor de beheerder (glas halfvol) en niet zo prettig voor de gediscrimineerde of beledigde (glas halfleeg). De laatste kan wel altijd nog de plaatser aanspreken.

Belangrijker is dat deze uitspraken lijken op te roepen tot het vooral niet structureren van het beheer (of de moderatie) van fora. Persoonlijk ben ik niet van mening dat een beheerder verantwoordelijk moet zijn voor elke uiting op de door hem gemodereerde/beheerde website. Doch, goede moderatie moet niet worden ontmoedigd maar moet juist gestimuleerd worden.

Een twitteraar had via anonieme Twitteraccounts een aantal Britse gemeenteraadsleden beschimpt. De gemeenteraad pikte dat niet en trok naar de Rechtbank in Californië. Die Rechtbank kon Twitter ertoe dwingen het IP adres, de naam, het telefoonnummer en emailadres van de accounthouder vrij te geven. De anonieme accounts van `Mr Monkey` , bleken toe te behoren aan het onafhankelijk raadslid Ahmed Khan.

De beslissing van de Amerikaanse rechter is ook buiten de VS van belang. Het snelgroeiend medium Twitter werd ook in Nederland al misbruikt voor onrechtmatige doeleinden. Nu de identiteit van de Britse twitteraar achterhaald werd, kan de gemeenteraad van South Tyneside klacht neerleggen tegen het (eigen) raadslid voor de smaad die hij uitte in zijn geanonimiseerde tweets. Onjuiste lasterlijke uitspraken zijn immers net als bedreigingen strafbare uitingen. Of het nu online of offline is.

Vorige maand berichtte mijn collega Arnoud Engelfriet over de effectieve werkstraf van 180 uur en voornamelijk voorwaardelijke gevangenisstraf die de Rechtbank van Rotterdam oplegde aan de man die via twitter de dochter van Groen Links politica Femke Halsema had bedreigd. Ook in dat geval had de veroordeelde zich bediend van een anoniem twitteraccount. De Rechtbank van Rotterdam oordeelde dat juist het feit dat `het volstrekt oncontroleerbaar was wie de bedreigingen uitte` de angst bij het slachtoffer vergroot had. Om die reden verklaarde de Rechtbank de angst bij de dochter van Halsema om `het leven te verliezen` bewezen.

In haar privacybeleid zegt Twitter persoonsgegevens in volgende gevallen vrij te geven: “If we believe that it is reasonably necessary to comply with a law, regulation or legal request; to protect the safety of any person; to address fraud, security or technical issues; or to protect Twitter’s rights or property“. In dit geval was er inderdaad sprake van een `legal request` (lees: gerechtelijke bevel).

In diezelfde privacystatement zegt Twitter haar gebruikers te zullen verwittigen voordat zij overgaat tot vrijgave. Ook in het geval van het Britse raadslid had Dhr Ahmed Khan/Mr Monkey bericht gekregen van Twitter dat zijn gegevens op vraag van de Amerikaanse rechter zouden worden vrijgegeven. Een waarschuwing waar deze op dat ogenblik waarschijnlijk niet veel meer aan had.

Anoniem twitteren is dus niet langer vrijblijvend. Al veronderstelde het in dit geval een retourtje Californië. Iets wat de twitteraar in kwestie te kostelijk vond, met als gevolg dat hij verstek liet gaan voor de Californische Rechtbank.

De doelstelling is het tegengaan van de verkoop van namaak producten via het internet omdat dit alle betrokkenen schaadt en dan met name, volgens de schrijvers, de consument die niet het product krijgt wat hij verwacht. De doelstelling wordt nagestreefd door (onder andere) een efficiënte en effectieve NTD-procedure te gebruiken.
De makers van de echte producten spreken de intentie uit om de procedure te gebruiken om de door hen opgespoorde nep-producten te melden. Hieruit maak ik op dat de rechthebbenden niet naar de rechter zullen stappen maar eerst de NTD-procedure zullen gebruiken. Verderop in het memorandum wordt aangegeven dat zij de NTD-procedure niet zullen misbruiken en ter goede trouw zullen invullen.
De internetplatforms geven aan een begrijpelijke NTD-procedure te hanteren en elk verzoek snel af te handelen. Indien zij in eerste instantie niet voldoende informatie hebben om het verzoek af te handelen, hebben de platforms het recht om te verzoeken om aanvullende informatie

Het gebruik van een NTD-procedure in de strijd tegen de aanwezigheid van onrechtmatige gegevens op het internet is niet nieuw. In Nederland bestaat sinds oktober 2008 de Gedragscode Notice-and-Takedown. Deze was echter specifiek geschreven voor de tussenpersoon (een internetdienstverlener zoals een een hoster of een ISP die geen toezicht of gezag heeft over content), dus alleen degene die de NTD-procedure hanteert. Hier gaat het om hoe de internetplatforms én de rechthebbenden handelen. Daarnaast wordt er ook gesproken over het nemen van pro-actieve en preventieve te nemen maatregelen. Daar wordt in de Gedragscode niet over gesproken. De rechthebbenden geven aan de intentie te hebben zelf te gaan monitoren en de platforms te gaan ondersteunen met bijvoorbeeld keyword-lijsten. Met behulp van die lijsten kunnen de platforms de namaak-producten en de aanbieders daarvan sneller opsporen.

De partijen die deelnemen aan dit initiatief bestaan uit internetplatforms (zoals Ebay; Amazon), rechthebbenden (zoals Microsoft; Adidas; Lego) en handelsorganisatie (zoals AIM; EURATEX; ISFE). Vier maal gedurende een periode van 12 maanden na de ondertekening zullen de partijen die het Memorandum hebben ondertekend onder de leiding van de Europese Commissie samenkomen om de voortgang, de implementatie en het functioneren te analyseren. Daarna zullen de partijen elkaar ontmoeten en de effectiviteit bespreken aan de hand van een rapport van de Commissie. Dit klinkt allemaal zeer constructief. Toch heb ik mijn twijfels over de concrete gevolgen van dit Memorandum. Het is niet bindend en klinkt meer als een verklaring van het braafste jongetje van de klas waarvan je maar moet afwachten of hij het ook waarmaakt.