Even voor de duidelijkheid, Ziggo en XS4ALL zijn beide internet service providers (ISP), Ziggo is zelfs de grootste ISP van breedband internet in Nederland. Stichting Brein, belangenbehartiger van (auteurs)rechthebbenden heeft gevorderd dat Ziggo en XS4ALL inbreukmakende diensten, in dit geval, The Pirate Bay gaan blokkeren voor haar abonnees. The Pirate Bay is, volgens het vonnis, “op dit moment ‘s werelds grootste index en een van de best bezochte websites”. De discussie over de illegaliteit van The Pirate Bay hoeft niet meer gevoerd te worden, de website is immers verscheidene keren veroordeeld. De vraag is of er van de ISP’s verwacht mag worden dat ze op gaan treden als ‘politieagent’.

Het downloaden van film- en muziekbestanden uit evident illegale bron is naar Nederlands recht toegestaan, het uploaden echter niet. Het up- en downloaden van games en andere software zonder toestemming van de rechthebbenden is, ook in Nederland, verboden. Toegang tot internet wordt door een beperkt aantal tussenpersonen gefaciliteerd. Ik schreef al eerder dat in deze hoek een oplossing gezocht moet kunnen worden om de inbreuken op het auteursrecht aan te pakken. De inbreukmakers zelf aanpakken werkt niet voldoende (The Pirate Bay is hier een voorbeeld van) en de individuele gebruikers aanpakken is vanuit privacy oogpunt niet wenselijk.

Interessant is de vraag of een blokkade wel effectief is. The Pirate Bay zelf en verschillende Tweets boden direct na het vonnis al oplossingen om een blokkade te omzeilen. De rechtbank twijfelde hier niet aan, maar noemde de blokkades een ‘extra barrière’. Naar mijn mening een redelijk argument. Het is duidelijk dat een blokkade de auteursrechtinbreuken niet volledig kan stoppen. Maar een blokkade is een goede stap in de richting om rechten te handhaven in de virtuele wereld, mits deze blokkade voldoende kan worden gereguleerd. Zelf ben ik geen voorstander van vergelijkingen maken met de ‘fysieke’ wereld, internet is een mooie ‘nieuwe’ wereld. Het interessante en uitdagende aan het internet is juist dat er ‘out of the box’ gedacht moet worden om bestaande wetgeving toe te passen op internet.

Ik ben benieuwd naar het aangekondigde hoger beroep. De vraag is of de ISP’s de onderzoeken waarop het vonnis mede is gebaseerd kunnen weerleggen. Tot nu toe hebben ze dat onvoldoende gedaan. De interpretaties van de rechtbank betreffende het percentage Ziggo en XS4ALL abonnees die gebruik maken van illegaal materiaal doet mijn wenkbrauwen fronsen. Dit is, net als de te weerleggen onderzoeken, voer voor hoger beroep.

Of de blokkade een goede oplossing is durf ik niet meteen te stellen, dat moet uit de praktijk blijken. Een extra barrière creëren houdt allicht een aantal gebruikers tegen. Het online handhaven van rechten enerzijds en de vrijheid op internet anderzijds blijven voor discussies zorgen. Internet is een fantastische inspiratiebron maar wanneer de vrijheid en inspiratie in botsing komen met andere rechten dient hier zorgvuldig en voorzichtig naar een oplossing gezocht te worden.

De Amerikaanse website had in dit geval een Nederlandse internetprovider en om die reden stond de server in Nederland. Het verzoek van de politie was geen vrijblijvend verzoek om het magazine van de site te halen, want het verzoek sloot af met de bewoordingen “In case you might not respond positively to this request, we will under the force of circumstances take down your website.“ Een dreigend noticetakedownverzoekvan justitie dus. En de vraag is: Wie durft te weigeren?

Blijkbaar durfden zowel de Amerikaanse website-eigenaar als de Nederlandse hoster dat. De Amerikaanse site verwees naar het mensenrecht om in alle vrijheid informatie uit te wisselen, de Nederlandse hostingprovider zei niet te zullen overgaan tot verwijdering zonder een bevel van de rechtercommissaris.

Een vraag die inderdaad moet worden gesteld, is: Of een overheidsdienst het platleggen van een website misschien beter kan vorderen dan verzoeken?

Er zijn wettelijke regels over het weghalen van informatie. Een noticetakedown-verzoek, inclusief afgifte van persoonsgegevens, zal steeds moeten worden gevorderd en kan niet eenvoudigweg worden gevraagd. Dit omdat het recht op privacy een grondrecht is dat zwaarwichtiger weegt en dus een rechterlijke controle vereist door de rechtercommissaris.

Specifiek voor tussenpersonen die in Nederland een online openbare telecommunicatiedienst leveren, voorziet de Gedragscode Notice-And-Take-Down in een procedure die dient gevolgd bij ontvangst van meldingen over onrechtmatige en strafbare inhoud die online staat.

De Gedragscode Notice-And-Take-Down specificeert dat ‘een melder’ van strafbare website inhoud (artikel 2) zowel een burger als een overheidsinstantie kan zijn. Over een ‘gewone’ melding benadrukt de Gedragscode in artikel 4 a dat:

“[het]  van belang [is] dat de opsporings- of inspectiedienst duidelijk maakt dat in deze situatie geen sprake is van een formeel bevel.”

De opsporingsdienst moet met andere woorden aangeven dat het slechts een verzoek betreft dat geen enkele dwingende kracht heeft. De brief van de Nationale Recherche, aanleiding van mijn artikel, was geen vriendelijk verzoek. Als we ons baseren op de NTD Gedragscode mocht dat dus met recht en reden worden genegeerd door de website-houder en de hosting provider.

[Nu lijkt het parket het van de politie over te nemen. Gisteren gaf het Openbaar Ministerie op haar site gerucht aan het recent platleggen van de site JokeKaviaar.nl wegens `opruiende teksten`.]

Update: (10 december) de publicatie in het Tijdschrift voor Internetrecht is nu in te zien als PDF.

Verschillende Belgische media berichten vandaag over een brief uitgaande van SABAM, de Belgische vereniging van auteurs, componisten en uitgevers. Die eist van internetproviders dat ze een licentie betalen voor de beschikbaarstelling van auteursrechtelijk beschermde werken op het internet.

SABAM heeft eerder dit jaar geprobeerd een aantal internetproviders te sensibiliseren. Bij gebrek aan vooruitgang heeft SABAM de providers nu schriftelijk aangemaand een tarief van 3,4% van de internetabonnementsprijs te betalen. Dit komt neer op € 1 per abonnee.

In haar meest recente persbericht meldt SABAM dat de licentie – gelijk aan 3,4% van de internetabonnementsprijs – alleen bedoeld is om de mededeling aan het publiek door de AP’s te legaliseren. De betaling door de providers legaliseert dus het principe van doorgifte via internet van werken waarop auteursrechten liggen. Per openbaarmarking moet wel nog steeds worden betaald. De licentie staat daarom los van alle andere activiteiten, zoals gratis of tegen betaling uploaden, downloaden of streamen.

Het resultaat van de licentie is dat providers dan niets hoeven te blokkeren.

Beweegreden voor deze actie is de toename van het aantal internetaansluitingen in België met 99% tussen 2002 en 2009 en daartegenover de daling van inkomsten van de Belgische muziekmarkt tijdens diezelfde periode met 40,4 %.

In haar persbericht voegt SABAM er nog aan toe te hopen dat de internetproviders voor een bedrijfsmodel kiezen waarbij de licentie niet wordt doorgerekend aan de internetgebruiker. Nochtans is het evident dat een prijsstijging voor breedband internet op die manier te verwachten is In België.

In Nederland zijn geen plannen om internetproviders te belasten. Al worden Buma/Stemra misschien geïnspireerd door het Belgische initiatief.

Export van persoonsgegevens (zoals naam, adres, IP-adres) vanuit Nederland naar andere landen mag alleen als dat land een “passend beschermingsniveau” waarborgt. De VS heeft dat niet, volgens de Europese Unie. Een uitzondering geldt als het bedrijf zich wil aansluiten bij de Safe Harbor-regeling. Daarmee verklaart het bedrijf zich te houden aan de wettelijk eisen uit Europa. Dat zou genoeg moeten zijn voor het Europese bedrijf.

Een andere optie is de klanten expliciet en ondubbelzinnig akkoord te laten gaan met opslag in de Verenigde Staten. De wet (artikel 77 Wbp) biedt daarvoor namelijk een uitzondering. Een dergelijke toestemming kan niet via privacyverklaring of algemene voorwaarden worden bedongen, maar moet apart en expliciet gevraagd worden.

Ook als “de doorgifte noodzakelijk is voor de uitvoering van een overeenkomst”, mag men de gegevens naar de VS sturen. Maar dat is niet hetzelfde als “wij hosten in de VS dus het móet naar de VS”. Hierbij moet u vooral denken aan zaken als “deze mail moet afgeleverd bij een Gmail-gebruiker dus ik móet het e-mailadres wel aan de mailserver van Google.com geven”.

Als laatste is wellicht het overwegen waard of u het systeem zo kunt opzeggen dat de Amerikaanse dienstverlener niet bij de gegevens kan, organisatorisch of technisch. Als hij de persoonsgegevens niet kan lezen, dan is er formeel geen sprake van verwerking van persoonsgegevens.

Overigens is er bij cloudhosting in de VS altijd veel discussie over hoe de Patriot Act roet in het eten kan gooien. Met de Patriot Act in de hand kan de Amerikaanse overheid namelijk bij een Amerikaanse cloudaanbieder aankloppen en gegevens opeisen, ook wanneer dat volgens Europese regels niet zou mogen. En daarmee zou de Nederlandse dienstverlener in de problemen kunnen komen alhier. Maar of dit écht een probleem is of alleen maar bezorgde borrelpraat, is mij nog steeds niet duidelijk.

Volgens Europese privacywetgeving moet een partij die persoonsgegevens (namen, adressen en andere tot personen herleidbare informatie) opslaat of verwerkt, zorgen voor adequate beveiliging daarvan. Ook moet men zorgen dat de gegevens binnen de EU blijven. Export naar andere landen mag alleen als dat land een “passend beschermingsniveau” waarborgt.

Wat precies “passend” is, staat niet in de wet, maar dat de VS het niet heeft, is algemeen aanvaard. Zie bijvoorbeeld deze Brein-zaak uit 2005, die afknapte op het gebruik van een Amerikaans recherchebureau.

Een Amerikaans bedrijf kan dit probleem oplossen door zich bij het zogeheten Safe Harbor-framework aan te sluiten. Alleen dan mogen persoonsgegevens vanuit de EU naar dit bedrijf worden gegeven (controleer dus of ze op deze lijst staan). Zo staan Amazon, Google en Rackspace op de lijst zodat ze in principe dus ‘veilig’ zijn. Zij beloven zich aan de strenge Europese regels te conformeren. Of toch niet?

De Uniting and Strengthening America by Providing Appropriate Tools Required to Intercept and Obstruct Terrorism Act of 2001 oftewel de Patriot Act is in reactie op 9/11 aangenomen om informatie te vergaren over en op te treden in geval van mogelijk terrorisme. De mogelijkheden voor opsporings- en inlichtingendiensten werden sterk verbreed. Zo mag de FBI bij een vermoeden van terrorisme mensen aftappen zonder een gerechtelijk bevel en kan men veel informatie opvragen bij internetdienstverleners, met vrijwel geen toezicht door de rechter.

Met de Patriot Act in de hand kan de FBI dus ook bij een Amerikaanse cloudaanbieder aankloppen en gegevens opeisen. Ook wanneer het gaat om data die van een Europese klant is verkregen en die onder het Safe Harbor-framework valt.

Natuurlijk kent ook Europese privacywetgeving een mogelijkheid voor afgifte van persoonsgegevens aan de bevoegde autoriteiten. Maar daar zitten de nodige waarborgen aan, zoals dat een rechter moet bepalen dat de afgifte plaats moet vinden. In de VS geldt dat in principe ook (het staat zelfs in de Grondwet), maar specifiek in het kader van antiterrorisme mag er veel meer. Met name mag een rechter zo’n bevel afgeven zonder de wederpartij te horen.

NSL met gag order, 2004

De meest controversiële bepaling is de National Security Letter, een bevel van de FBI om data af te geven omdat dat voor de staatsveiligheid relevant zou zijn. Een dergelijk bevel wordt niet bij de rechter getoetst. Ook mag de ontvanger van het bevel niet onthullen dat hij het heeft gekregen – een gag order.

Een NSL wordt niet alleen gebruikt in een concreet onderzoek naar een verdachte van terroristische activiteiten, maar ook bij wijze van algemeen middel van informatievergaring. De New York Times meldde hierover:

In many cases, the target of a national security letter whose records are being sought is not necessarily the actual subject of a terrorism investigation and may not be suspected at all. Under the USA PATRIOT Act, the F.B.I. must assert only that the records gathered through the letter are considered relevant to a terrorism investigation.

Minstens zo opmerkelijk is de conclusie die diverse Amerikaanse bedrijven – waaronder Microsoft – trokken: zij moeten ook data opgeslagen in Europa aan de FBI geven als die zich op de Patriot Act beroept. Het bedrijf schrijft immers:

As a general rule, customer data will not be transferred to datacenters outside that region. There are, however, some limited circumstances where customer data might be accessed by Microsoft personnel or subcontractors from outside the specified region (e.g., for technical support, troubleshooting, or in response to a valid legal subpoena).

Dit kun je maar op één manier lezen: als de FBI het vraagt, wordt er data vanuit Europa opgestuurd naar de Amerikaanse federale politie.

De grote vraag is nu: doet men dit ook werkelijk, of loopt iedereen zich zorgen te maken over een theoretisch probleem? Het indekken in algemene voorwaarden is bijvoorbeeld geen bewijs dat men werkelijk met een probleem zit. Het is goed denkbaar dat iedereen dit doet om zichzelf te beschermen voor het geval dat het een keer gaat gebeuren. En dat je vervolgens draait en vage antwoorden geeft, kan ook bewijs zijn dat je net als iedereen niet exact weet wat die wet eist.

De Washington Post meldde dat tussen 2003 en 2006 de FBI 192.499 van deze bevelen uitgaf. Nadat in 2007 de gag order ongrondwettig werd verklaard, zouden de aantallen wat gedaald zijn maar recentere cijfers kan ik niet vinden. Ook is nergens uitgesplitst hoe vaak er aan internetproviders of clouddienstverleners is bevolen data af te geven.

Verder dan dit kom ik niet. Ik weet dat er veel geschreven is, maar verder dan “dit kan een probleem zijn” en “kijk uit” kom ik niet. Wie weet er meer?

In België heet de toezichthouder op de telecomsector BIPT. Net als de OPTA kan BIPT bij inbreuk op de regelgeving omtrent telecom administratieve boetes uitdelen en dit tot maximaal 5% van de omzet die de overtreder maakt.

Net als in Nederland is wettelijk vereist dat elke operator die de tarieven verhoogt of de contractuele voorwaarden wijzigt, de abonnees ‘individueel, behoorlijk en tijdig’ informeerd, en dat minstens een maand voor de wijziging. De abonnee kan dan indien gewenst kosteloos het contract stopzetten.

In 2010 verhoogde Belgacom de downloadlimieten van een aantal internetabonnementen en om die reden verhoogde het telecombedrijf ook haar tarieven. Belgacom verwittigde haar klanten per mail dat het downloadvolume voor breedbandaanbod was uitgebreid en de downloadsnelheid verhoogd en dat dit een prijsstijging van respectievelijk € 0,95 en € 1,15 per maand met zich meebracht. In een daarop volgende brief deelde Belgacom sommige van haar klanten mee dat het opzegrecht kon worden uitgeoefend, maar slechts na ontvangst van de factuur met het verhoogde tarief, wat de opzegtermijn verkortte. De brief zou bovendien slechts naar een deel van de abonnees zijn verstuurd.

BIPT werd getipt over deze praktijk en oordeelde dat Belgacom niet transparant genoeg was geweest ten aanzien van haar abonnees. De Belgische toezichthouder legde Belgacom een boete op van
€ 800.000. Belgacom bestreed de boete voor de rechtbank, die de boete afgelopen week matigde tot € 500.000.

De conclusie is dat telecomaanbieders ook in de communicatie naar hun abonnees moeten weten dat de toezichthouder over hun schouder meekijkt. Informatie verstrekking is op zich niet voldoende. Die informatie moet ook juridisch correct, volledig en duidelijk zijn.

In de volgende video legt Google eenvoudig uit waarom ze de gegevens over de wifi-netwerken heeft verzameld:

Het komt neer op het volgende: applicaties als Google Maps maken gebruik van locatiegegevens. Die locatiegegevens zijn bijvoorbeeld nodig als je Google Maps als navigatiehulp wilt gebruiken of als je wilt zoeken naar bijvoorbeeld een winkel in de buurt. De makkelijkste manier om je locatie te verkrijgen is Global Positioning System (GPS). GPS werkt echter niet altijd omdat de verbinding met de satellieten die nodig zijn om GPS te laten werken niet altijd optimaal is. Er zijn vervolgens alternatieve methoden om alsnog je locatie te verkrijgen en die Google kan gebruiken op basis van haar privacyverklaring (zie de Android, Google en Google Mobile privacyverklaringen over “location”):

1. Aan de hand van de telefoonpaal waarop de telefoon is ingelogd kan worden bepaald waar de gebruiker zich bevindt. Dit is een techniek die ook regelmatig door de politie wordt gebruikt, maar volgens Google levert dit vaak slechts een regio op waarin de gebruiker zicht bevindt.
2. Een alternatieve methode is het gebruik te maken van de gegevens van wifi-netwerken. Google heeft bij het rondrijden met StreetView-auto’s direct alle locaties gescand op beschikbare open én gesloten wifi-netwerken. Daarbij heeft Google direct de locatie van de aangetroffen wifi-routers (in Nederland 3.606.579) opgeslagen, zodat er feitelijk een kaart met alle wifi-netwerken is ontstaan. Als ik dus mijn wifi aan heb staan op mijn smartphone en ik ben in de buurt van een door Google geïndexeerde wifi-router, dan kan Google Maps zien waar ik ongeveer sta.

Over die tweede methode heeft het Cbp nu aangegeven dat Google te veel informatie heeft opgeslagen. De sleutels waarmee de wifi-routers kunnen worden geïdentificeerd (MAC-adressen) mogen bewaard blijven, maar de netwerknamen (SSID’s) die reeds zijn verzameld moeten worden verwijderd. Bovendien moet Google in de toekomst een opt-out regime hanteren voor de wifi-routers, dus eigenaren kunnen aangeven niet opgenomen te willen worden in de databank van Google (en Google moet daar gehoor aan geven). Dat roept bij mij twee vragen op:

1. Wat gaat Google nu exact verwijderen: alle verzamelde wifi-netwerken in zijn geheel of enkel de namen van die netwerken? Het gaat om dat laatste: alleen de SSID’s moeten worden verwijderd. Het MAC-adres van de wifi-routers gecombineerd met de daarbij opgeslagen locatiegegevens mag Google in haar database houden. Daaraan wordt als voorwaarde gesteld dat eigenaren van wifi-netwerken die geïndexeerd zijn een uitschrijfmogelijkheid aangeboden krijgen (opt-out).
2. Waarom opt-out en geen opt-in: Terwijl het bijvoorbeeld bij telecomwetgeving (anti-spam) gebruikelijk is een opt-in te eisen, die vervolgens door het Cbp wordt gehandhaafd, heeft het Cbp hier gekozen voor een opt-out regime. Goed is wel dat Google verplicht wordt op grote schaal ruchtbaarheid te geven aan de manier waarop zij de wifi-gegevens gebruikt. Dat zal leiden tot de opt-out van velen, maar het blijft een vreemde gewaarwording dat mensen (die overigens niet per se klant zijn van Google) een opt-out in plaats van een opt-in regime voor hun kiezen krijgen.

Het verzamelen van de wifi-gegevens is tegenwoordig een stuk eenvoudiger dan een paar jaar geleden in het pre-Android-tijdperk. Want worden de gegevens van wifi-netwerken die ik elke dag zelf scan met mijn Android-telefoon niet ook direct naar Google gestuurd inclusief locatiegegevens? Bij het inschakelen van wifi vraagt een popup expliciet of ik anoniem gegevens wil versturen naar Google.

Daaronder kunnen bijvoorbeeld ook de gegevens van het wifi-netwerk gecombineerd met locatiegegevens vallen. De verzameling met StreetView-auto’s wordt daarmee achterhaald. De expliciete toestemming die Google hier vraagt is opzich netjes, maar als je niet akkoord gaat kan je natuurlijk geen gebruik maken van de locatiebepaling op basis van wifi-routers.

Overigens kan iedereen met een wifi-router zelf actie ondernemen om te voorkomen dat het netwerk gebruikt wordt door Google: de router “broadcast” doorgaans standaard de naam van het netwerk, maar dit kan ook worden uitgeschakeld. Dit maakt het zoeken naar het eigen wifi-netwerk wat lastiger, maar als het goed is zijn de gegevens van dat netwerk bij de eigenaar toch al bekend zodat het alsnog benaderd kan worden. Vanwege het door het Cbp opgelegde opt-out regime is het uitzetten van de broadcast helaas niet voldoende om reeds geïndexeerde wifi-routers helemaal verwijderd te krijgen. Ik heb net zelf nog even de proef op de som genomen en het bepalen van de locatie op basis van de wifi-netwerken werkt ontzettend goed. Hoewel ik het dus een erg mooie functionaliteit vind, denk ik dat het Cbp hier voor de privacy meer had kunnen betekenen door Google een opt-in regime op te leggen.

De feiten

De zaak waarover de Hoge Raad zich moest buigen ging over een klant die na 9 jaar steeds op tijd betaald te hebben, een termijnbetaling van 20 euro voor zijn schuld (een Comfort Card) bij kredietverstrekker Santander had gemist. Santander stuurde nog een herinnering, maar toen ook daarop geen betaling volgde, eiste zij het gehele bedrag van de schuld (à ruim 315 euro) op en wees er op dat het niet betalen kon leiden tot een negatieve codering bij het Bureau Kredietregistratie (BKR). Nadat het bedrag niet betaald werd, volgens de klant omdat de aanmaning na zijn verhuizing nog op zijn oude adres bezorgd waren, ging Santander over tot het plaatsen van een negatieve codering bij het BKR.

Toen de klant uiteindelijk op zijn nieuwe adres een brief kreeg van de door Santander ingeschakelde deurwaarder betaalde hij het bedrag direct. Bovendien verzette hij zich tegen de verstrekking van zijn gegevens aan het BKR, mede omdat hij daardoor geen hypotheek kon krijgen om een huis te kopen. Santander weigerde echter de gegevens uit het register van het BKR te laten verwijderen en de klant stapte daarom naar de rechter.

Het arrest van de Hoge Raad

In het arrest benadrukt de Hoge Raad ten eerste dat er altijd een wettelijke rechtvaardigingsgrond moet zijn voor het verwerken van persoonsgegevens. Maar ook als er van zo’n rechtvaardigingsgrond sprake is, moet u als verwerker van persoonsgegevens blijven opletten. Steeds moet gekeken worden of de belangen van degene op wie de persoonsgegevens betrekking hebben niet onevenredig worden aangetast in verhouding met het doel van de verwerking. Het doel van de verwerking mag verder ook niet op een andere – minder ingrijpende wijze – bereikt kunnen worden. Dit worden ook wel de beginselen van subsidiariteit en proportionaliteit genoemd.

Steeds als er nieuwe informatie beschikbaar komt, moet u verder de belangenafweging opnieuw uitvoeren. Dit houdt in dat als degene op wie de gegevens betrekking hebben bijvoorbeeld bezwaar maakt tegen de gegevensverwerking en hij u daarbij nieuwe informatie verstrekt, u ook die informatie moet meewegen bij het besluiten of u ingaat op zijn verzoek tot bijvoorbeeld verwijdering van de gegevens.

Dit alles geldt ook als er voor de gegevensverwerking toestemming is gegeven door de persoon op wie de gegevens betrekking hebben. Hoewel toestemming over het algemeen met zich meebrengt dat de gegevensverwerking mag plaatsvinden, zult u soms toch een belangenafweging moeten uitvoeren. Dit kan bijvoorbeeld zo zijn als de persoon op wie de gegevens betrekking hebben er op wijst dat met zijn belangen te weinig rekening is gehouden bij de gegevensverwerking.

Zelfs als u gegevens verwerkt in verband met een wettelijke verplichting, zoals Santander betoogde dat zij deed, moet worden getoetst of de verwerking in dit concrete geval gerechtvaardigd is.

De uitkomst

Kredietverstrekker Santander, die naar de Hoge Raad stapte omdat zij het niet eens was met het eerdere oordeel van de Rechtbank en het Gerechtshof, krijgt van de Hoge Raad, net in de eerdere instanties, ongelijk. De gegevens die zij naar aanleiding van de uitspraak van de Rechtbank al had laten verwijderen uit het register van het BKR, waren dan ook terecht verwijderd.

Toestemming en transparantie

Net als in de Telecommunicatiewet is ook in de nieuwe Code de hoofdregel dat organisaties alleen maar reclame via e-mail mogen sturen als de geadresseerde daarvan daarvoor:

• ofwel van te voren toestemming heeft gegeven door middel van een actieve handeling;
• ofwel het e-mailadres is verkregen in het kader van een verkoop aan de geadresseerde en wordt gebruikt voor het aanbieden van eigen soortgelijke producten of diensten en er geen gebruik is gemaakt van de geboden mogelijkheid tot verzet tegen dit gebruik.

Zulke toestemming mag niet verkregen worden in de Algemene Voorwaarden of privacy statement.

Een belangrijk uitgangspunt van de nieuwe Code is verder dat organisaties vanaf 1 januari meer transparantie moeten bieden ten aanzien van e-mailreclame. Omdat bij reclame via e-mail vaak meerdere partijen betrokken zijn, maakt de Code nu onderscheid tussen de “Adverteerder” en de “Bestandseigenaar”. De Adverteerder is degene in wiens opdracht reclame wordt verzonden, terwijl de Bestandseigenaar de partij is die zeggenschap heeft over de databank met e-mailadressen. Als de Adverteerder e-mail toestuurt aan zijn eigen klantenbestand, dan is hij naast Adverteerder dus ook Bestandseigenaar.

Uit de e-mail moet steeds blijken wie de Bestandseigenaar is en hoe hij gemakkelijk en effectief te bereiken is. Daartoe moeten in ieder geval diens naam adres en contactgegevens vermeld worden of moet daarnaar verwezen worden via een werkende link. De Bestandseigenaar moet bovendien in het “Van:”-veld duidelijk maken voor welk merk en/of bedrijfsnaam toestemming is verkregen voor het toesturen van de ongevraagde e-mails en moet een werkend e-mailadres in het “Reply To”-veld opnemen. Hiermee wordt bereikt dat de geadresseerde ook bij bijvoorbeeld hostmailings weet waar hij zich af moet melden en wie hij kan aanspreken over het gebruik van zijn e-mailadres voor commerciële doeleinden.

Verder moet de Bestandseigenaar bij het verzamelen van de e-mailadressen degene wiens e-mailadres wordt verzameld duidelijk en op eenvoudig toegankelijke wijze informeren over de volgende punten:

• dat het e-mailadres voor het toezenden van reclame zal worden gebruikt;
• de identiteit van de bestandseigena(a)r(en);
• of het e-mailadres verzamelt wordt voor eigen gebruik, dan wel (mede) voor gebruik ten behoeve van derden of verstrekking aan derden.

Uit de Code blijkt verder uitdrukkelijk dat het niet voldoende is deze informatie te verstrekken in de algemene voorwaarden of privacy statement. Bij de aanmelding moet dus duidelijk worden aangegeven waar het e-mailadres voor gebruikt gaat worden.

Belangrijk is dat de Adverteerder verantwoordelijk wordt gehouden voor de naleving van deze verplichtingen door de Bestandseigenaar. Als u dus gebruik maakt van een e-mailadressenbestand van een derde, moet u zich er van vergewissen dat de eigenaar van dat bestand zich aan de regels houdt.

De geadresseerde dient zich verder kosteloos en eenvoudig op elektronische wijze af te kunnen melden bij de Bestandseigenaar voor het gebruik van zijn e-mailadres voor reclame. Hij moet zich kunnen afmelden voor het “label” of de product of dienst waarvoor de toestemming verkregen is, zodat hij zich niet bij elke Adverteerder apart hoeft af te melden. De Adverteerder is weer verantwoordelijk om ervoor te zorgen dat de Bestandseigenaar (die de afmelding moet afhandelen) zich aan de regels houdt.

Verhouding tot de Telecommunicatiewet

De meeste regels uit de nieuwe Code gelden ook volgens de Telecommunicatiewet al. Er gelden echter ook een aantal nieuwe aangepaste en meer specifieke regels. Volgens de Code mogen (naast de hierboven al besproken regels) bijvoorbeeld bijlagen voor reclame (gezamenlijk) nu voor zowel consumenten als zakelijke ontvanger niet groter zijn dan 150 kb. Bij Tell a Friend systemen moet verder de naam van de verzender worden opgenomen in het “Van:”-veld en moet in het “Reply to:”-veld het e-mailadres van deze verzender worden opgenomen.

De toezichthouder is ook in de nieuwe Code de Reclame Code Commissie. Daarnaast blijft de OPTA natuurlijk verantwoordelijk voor het handhaven van de bepalingen die voortvloeien uit de wet.

Heeft u vragen over de nieuwe Code Reclame via E-mail of de bepalingen over spam uit de Telecommunicatiewet? Dan kunt u natuurlijk contact met ons opnemen.

Het belangrijkste artikel over netneutraliteit is artikel 7.4a geworden. Dit stelt in klare taal (nou ja, voor juristen dan): aanbieders van openbare elektronische communicatienetwerken waarover internettoegangsdiensten worden geleverd en aanbieders van internettoegangsdiensten belemmeren of vertragen geen diensten of toepassingen op het internet. Het gaat dus specifiek en alleen over internettoegang, voor andere diensten (bijvoorbeeld telefonie of televisie) geldt dus geen netneutraliteit. (Opmerkelijk genoeg bevat het wetsvoorstel geen definitie van ‘internet’, terwijl de Telecommunicatiewet zo ongeveer elk woord definieert dat erin voorkomt.)

Natuurlijk zijn er uitzonderingen op deze algemene regel. Deze zijn beperkt geformuleerd:

1. om de gevolgen van congestie te beperken, waarbij gelijke soorten verkeer gelijk worden behandeld;
2. ten behoeve van de integriteit en de veiligheid van het netwerk en de dienst van de betrokken aanbieder of het randapparaat van de eindgebruiker;
3. om de doorgifte van ongevraagde communicatie als bedoeld in artikel 11.7, eerste lid, aan een eindgebruiker te beperken, mits de eindgebruiker daarvoor voorafgaand toestemming heeft verleend;
4. ter uitvoering van een wettelijk voorschrift of rechterlijk bevel.

(In de wetstekst staat nog een item e. Dat is het SGP-amendement over filters met ideologische motieven, maar dat is ondertussen via een lompe hack er weer uit gehaald.)

Item a roept natuurlijk de vraag op wat “gelijke soorten verkeer” dan wel zijn. Skype is niet gelijksoortig met e-mail, en Youtube niet met Nu.nl. Het afknijpen van bijvoorbeeld streaming video via internet is dan ook toegestaan bij congestieproblemen, mits maar alle streamingvideodiensten worden afgeknepen en niet alleen die van de concurrentie. Ook toegestaan is bijvoorbeeld de snelheid van internet in het algemeen te beperken op drukke momenten, of om de capaciteit op de lijn met prioriteit in te zetten voor de eigen video-on-demanddienst die buiten internet om loopt. Tevens mag de provider premiumabonnementen invoeren waarvan het verkeer voorrang krijgt.

Item b gaat erg belangrijk worden voor providers die maatregelen willen nemen tegen malware en inkomende of uitgaande hackpogingen. Het categorisch blokkeren van bijvoorbeeld poort 139 (Samba) omdat daar vaak misbruik van wordt gemaakt, of een PC in quarantaine gooien zodra er spam of malware uit komt, is een probleem. De wet eist namelijk dat wanneer het gaat om verkeer afkomstig van een eindgebruiker, de provider deze eerst moet contacteren en gelegenheid moet geven de inbreuk te staken. Dat moet dus vóór het afsluiten gebeuren.

Pas als “wegens de vereiste spoed” dit niet haalbaar is, mag er eerst gehandeld en dan gemeld worden. Maar ik denk niet dat je mag zeggen “malware is vervelend dus er is vereiste spoed”. Spoedgevallen lijken me eerder zalen als ddos-aanvallen waar de klant aan meedoet, dat richt nú grote schade aan en moet dus nú gestaakt worden. Een grote spamrun is misschien ook wel spoedhandelwaardig.

Item c stelt kort gezegd dat een spamfilter alleen nog mag als de klant daar expliciet mee ingestemd heeft. Wat mij betreft had dat niet gehoeven; spam is categorisch verboden in artikel 11.7 Telecommunicatiewet, en het lijkt me geen probleem om toe te staan dat verboden ongevraagde communicatie sowieso geblokkeerd mag worden. Maar het is wel netjes en principieel juist natuurlijk. Al snap ik niet waarom spam wel en malware niet deze uitzonderingspositie krijgt.

Ook erg belangrijk is lid 3 van dit wetsartikel:

Aanbieders van internettoegangsdiensten stellen de hoogte van tarieven voor internettoegangsdiensten niet afhankelijk van de diensten en toepassingen die via deze diensten worden aangeboden of gebruikt.

Effectief mag een aanbieder dus alleen nog op de hoeveelheid dataverkeer afrekenen. Een “onbeperkt / fair use”-constructie kan denk ik ook nog wel, hoewel ik erbij blijf dat deze snel een oneerlijke handelspraktijk oplevert. Andere afrekenmodellen voor internetproviders kan ik niet echt bedenken. Ja, hij mag de up- en/of downloadsnelheid in het algemeen differentiëren (een supersneldownloadpakket of een goedkoop pakket voor mailende moeders - hoi mam!). Maar iets anders kan ik niet bedenken; wie het weet mag het zeggen!

Aanverwant is het nieuwe artikel 7.6a, dat beperkingen oplegt aan de gronden voor opzeggen van een internetabonnement door de provider. Kort gezegd mag dat alleen nog

1. op verzoek van de abonnee;
2. bij een tekortkoming in de nakoming van de betalingsverplichting door de abonnee of faillissement van de abonnee;
3. bij bedrog in de zin van artikel 3:44 van het Burgerlijk Wetboek door de abonnee;
4. wanneer de looptijd van de overeenkomst van bepaalde duur tot levering van de internettoegangsdienst afloopt en de overeenkomst met instemming van de abonnee niet wordt verlengd of vernieuwd;
5. ter uitvoering van een wettelijk voorschrift of rechterlijk bevel; en
6. bij overmacht en onvoorziene omstandigheden in de zin van artikel 6:258 van het Burgerlijk Wetboek.

Dit artikel is bedoeld om “lichtvaardig afsluiten” van klanten te kunnen blokkeren. Een internetprovider kan dus niet meer eigen regels verzinnen in de algemene voorwaarden en mensen op grond daarvan afsluiten. En ook is het hiermee onmogelijk geworden om mensen af te sluiten die auteursrechten schenden, tenzij een rechter oordeelt dat dit een gepaste sanctie is.

In het geval van bedrog (bijvoorbeeld een vals adres opgeven) heeft de provider de bewijslast: hij moet schriftelijk de klant informeren en hem een redelijke termijn gunnen om te reageren. Pas als daar niets uit komt, mag de provider tot afsluiting overgaan.

Bij het niet-betalen geldt overigens dat de provider nog steeds niet meteen mag afsluiten. De gewone regels van niet-nakoming gelden ook hier. De abonnee moet eerst in gebreke zijn gesteld en krijgt hij de gelegenheid het gebrek te herstellen en alsnog aan zijn betalingsverplichting te voldoen. (Waarom er dan niet gewoon gezegd is “de abonnee in verzuim is met zijn betalingsverplichting” in plaats van het generieke woord “tekortkoming”, weet ik niet. Voer voor iemands afstudeerscriptie.)

De regels over netneutraliteit treden niet meteen in werking. Ze gaan pas gelden voor abonnementen die een jaar na inwerkingtreding van de wet actief zijn. Ik ben benieuwd of KPN en collega’s dan ook tot die tijd gaan wachten met de aangekondigde prijsverhogingen. Vodafone in ieder geval niet.

Heel veel stof tot lezen dit, en de exacte implicaties zullen nog heel wat discussie geven. Misschien moest ik er maar eens een studiemiddag of workshop over organiseren. Zouden jullie daarbij willen zijn? En welke concrete vragen moeten we dan behandelen?

Arnoud