Anonieme VPN aanbieden: de aansprakelijkheid (deel 3)

In de vorige twee blogs over anonieme VPN besprak ik eerst of het überhaupt mag worden aangeboden (deel  href="https://securityrecht.nl/anonieme-vpn-aanbieden-mag-dat/">1) en vervolgens de relatie tot de bewaarplicht voor telecomgegevens (deel href="https://securityrecht.nl/anonieme-vpn-aanbieden-en-de-bewaarplicht-dan-deel-2/">2). Deze blog zal ingaan op de aansprakelijkheid bij dergelijke dienstverlening.

De Richtlijn Elektronische handel bepaalt dat “wanneer een dienst van de informatiemaatschappij bestaat in het doorgeven in een communicatienetwerk van door een afnemer van de dienst verstrekte informatie, of in het verschaffen van toegang tot een communicatienetwerk, de dienstverlener niet aansprakelijk is voor de doorgegeven informatie, op voorwaarde dat:

a) het initiatief tot de doorgifte niet bij de dienstverlener ligt; /> b) de ontvanger van de doorgegeven informatie niet door de dienstverlener wordt geselecteerd, en /> c) de doorgegeven informatie niet door de dienstverlener wordt geselecteerd of gewijzigd.”

Dit wordt de vrijstelling voor “mere conduits”, of “zuivere doorgeefluiken”, genoemd. Internetproviders worden normaliter geacht aan deze voorwaarden te voldoen en onder de vrijstelling voor mere conduits te vallen, zodat zij niet aansprakelijk zijn voor de inhoud die zij doorgeven. Internetproviders geven normaliter immers vrij passief de informatie door die hun klanten willen verzenden en ontvangen en (a) nemen niet het initiatief tot doorgifte van de gegevens, (b) selecteren de ontvanger van de doorgegeven informatie niet en (c) selecteren en wijzigen de doorgegeven informatie niet. VPN-providers doen dat ook niet en kunnen om dezelfde redenen worden geacht onder de vrijstelling te vallen.

De wijze waarop de vrijstelling is geformuleerd, brengt wel enige risico’s met zich mee. Als wij de criteria uit sub (b) en (c) erg letterlijk nemen, dan lijkt een internetprovider zijn vrijstelling al te verliezen als hij ook maar één IP-pakketje selecteert om weg te gooien uit zijn routers. Zelfs als de weggegooide pakketjes bijvoorbeeld een virus of een DDOS-aanval bevatten, zou immers kunnen worden gezegd dat hij alle wel doorgegeven informatie in feite dus selecteert, waardoor de vrijstelling niet meer zou gelden. Aangezien tegenwoordig vermoedelijk alle internetproviders wel enige actieve maatregelen nemen (op transportniveau) om spam en virussen op de netwerken te weren – gelukkig maar! – zou de vrijstelling nu voor geen enkele internetprovider nog gelden, wat moeilijk de bedoeling kan zijn. Internetproviders die daarnaast uit commerciële overwegingen bepaalde websites, toepassingen of inhoud blokkeren of veel aan actieve prioritering en management doen, lopen mijns inziens wel een reëel risico hun vrijstelling van aansprakelijkheid te verliezen.

Er is tevens een vrij gering te achten kans dat men het encrypteren van het verkeer opvat als “wijzigen”. Internetproviders encrypteren zelf het verkeer dat zij doorgeven niet; zij geven normaliter hooguit het verkeer door dat door of via diensten van anderen, zoals de VPN-aanbieder, is geëncrypteerd. Daarnaast is de bedoeling van encryptie niet om de informatie als zodanig te wijzigen, maar om deze onleesbaar te maken voor onbevoegden. Het encrypteren van verkeer hoort daarom niet als “wijzigen” te worden opgevat zoals bedoeld in artikel 12 van de Richtlijn Elektronische Handel.

Indien bijvoorbeeld een auteursrechtenorganisatie zich tot een internetprovider of de anonieme VPN-aanbieder zou wenden met een claim dat gebruikers inbreuk maken op auteursrechten van derden, kunnen de internetprovider en VPN-aanbieder zich dus beroepen op de vrijstelling van aansprakelijkheid. Dit neemt uiteraard niet weg dat de rechter bijvoorbeeld wel kan beslissen dat de internet- of VPN-aanbieder een of meerdere specifieke en proportionele maatregelen moet nemen om bepaalde websites die vooral auteursrechtinbreuk faciliteren, te blokkeren.

Terug naar overzicht