De smartphone en tablet zijn niet meer weg te denken uit het straatbeeld. En hoewel het overgrote deel van de smartphonebezitters beschikt over een grote databundel, is de aanwezigheid van een gratis WiFi-netwerk altijd welkom. Of je nu een drankje neemt op een terras of gaat dineren in een restaurant, op de menukaart prijkt steeds vaker de naam en/of het wachtwoord van het WiFi-netwerk. Maar wat nu als de klant onder de neus van de nietsvermoedende eigenaar op illegaal films download?
Valt dit onder de verantwoordelijkheid van de eigenaar van het netwerk? De kans is groot dat het IP-adres naar de eigenaar wijst en dat is voor de auteursrechthebbende vaak genoeg om een boze brief te sturen. Hoe kan een ondernemer nu het gedrag van de gebruikers van zijn WiFi-netwerk controleren en in overeenstemming laten zijn met bepaalde gedragsregels?
De belangrijkste vraag voor veel aanbieders van internet is wanneer ze aansprakelijk zijn voor illegale handelingen via de door hen geleverde internetverbinding. Deze aansprakelijkheid kan in veel gevallen beperkt zijn en is wettelijk geregeld.
Om niet aansprakelijk te zijn voor het doorgeven van informatie middels het verschaffen van toegang tot een internetverbinding, is het van belang dat de aanbieder van het netwerk niet het initiatief neemt tot het doorgeven van informatie, de aanbieder niet degene is die bepaalt aan wie de informatie wordt doorgegeven en de aanbieder de informatie niet heeft geselecteerd of gewijzigd.
Kort gezegd, wie slechts passief toegang tot het internet biedt is niet aansprakelijk voor het handelen van de gebruikers van het netwerk. Deze aansprakelijkheid ziet echter alleen toe op de doorgegeven informatie door gebruikers van het netwerk.
Gaat de aanbieder van het netwerk het internetverkeer echter actief monitoren en controleren, dan is geen sprake meer van het passief toegang verschaffen. In dat geval kan de aanbieder van het netwerk wel aansprakelijk gesteld worden voor het handelen van de gebruiker.
> Maak eenvoudig zelf gebruiksvoorwaarden met onze generator op JuriDox
Bij het aanbieden van internet aan klanten of bezoekers is de verleiding groot om al het internetverkeer te monitoren en te controleren. Het internetverkeer is namelijk op een eenvoudige manier te loggen en de aanbieder van het netwerk kan daardoor precies zien welke sites de gebruikers van het netwerk hebben bezocht.
Je raadt het al, dit heeft gevolgen voor de privacy van de gebruiker. Bij het monitoren en controleren van
internetverkeer van de gebruikers worden namelijk persoonsgegevens verwerkt en daarop is de Wet
bescherming persoonsgegevens (Wbp) van toepassing. In de eerste plaats mogen persoonsgegevens alleen worden verwerkt onder welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden. Het zomaar volgen of monitoren van gebruikers is dus verboden onder de Wbp. Daarnaast dient er een rechtsgeldige grondslag te zijn voor de gegevensverwerking. De Wbp noemt een limitatief aantal grondslagen, waarvan enkele grondslagen hier kort zullen worden benoemd.
Het verkrijgen van toestemming kan gerealiseerd worden door de gebruiker te laten registreren (let op, hierbij worden eveneens persoonsgegevens verwerkt!) en daarbij de gebruiker om toestemming te vragen voor het monitoren en controleren van zijn internetverkeer. Maar hiermee ben je er nog niet. De toestemming moet vrij, specifiek en geïnformeerd zijn. Dit houdt in dat het voor de gebruiker helder moet zijn waarvoor hij toestemming geeft. Dit dient duidelijk uit de toestemmingsvraag naar voren te komen.
Een toestemmingsvraag zou bijvoorbeeld kunnen zijn: “Ja, ik geef toestemming voor het monitoren en controleren van het internetverkeer bij een vermoeden van misbruik van het netwerk ter controle van de gebruiksregels”.
Het is lastig om een voldoende specifieke toestemmingsvraag te formuleren voor het monitoren en controleren van het internetverkeer. Degene die toestemming geeft moet immers weten voor welke verwerking, gegevens en doel hij de toestemming geeft. Zorg er daarnaast voor dat de toestemming wordt vastgelegd. De bewijslast ligt namelijk bij de aanbieder van het netwerk. Overigens moet de bezoeker wel de mogelijkheid hebben om de toestemming te weigeren.
De aanbieder van het WiFi-netwerk mag vervolgens de toegang tot het netwerk weigeren. Een andere grondslag voor de gegevensverwerking is de noodzakelijkheid voor de uitvoering van de overeenkomst.
Is er sprake van een overeenkomst als je als bezoeker inlogt op een gratis WiFi-netwerk? Het beschikbaar stellen van een WiFi-netwerk is te zien als een aanbod, waarna het inloggen op het betreffende netwerk als aanvaarding van het aanbod kan worden beschouwd.
Hier is dus wel degelijk sprake van een overeenkomst. Het monitoren en controleren van het internetverkeer dient wel noodzakelijk te zijn voor de uitvoering van de overeenkomst. Dit is het geval indien het leveren van een veilig en betrouwbaar netwerk onderdeel is van de overeenkomst.
Tot slot is monitoren en controleren van het WiFi-netwerk mogelijk, indien de gegevensverwerking noodzakelijk is ter rechtvaardiging van het algemeen belang van de verantwoordelijke. Het Europees Hof heeft geconcludeerd dat het opslaan van persoonsgegevens mogelijk is als dit de goede werking van de website in stand houdt, bijvoorbeeld ter bescherming tegen cyberaanvallen.
Ook bij het beschermen van het WiFi-netwerk is een dergelijk gerechtvaardigd belang te beargumenteren. Naast de grondslag gelden er nog meer vereisten zoals de informatieplicht. De gebruiker dient middels een privacyverklaring vooraf geïnformeerd te worden over de gegevensverwerking.
In alle gevallen van monitoring en controle van het internetverkeer zal rekening moeten worden gehouden met de beginselen van proportionaliteit en subsidiariteit. Zo moet het loggen van het internetverkeer zoveel mogelijk anoniem te gebeuren. Pas als er specifieke klachten of aanwijzingen zijn kan de controle tot een specifieke gebruiker gericht worden.
Tot slot moet goed gekeken worden of er geen andere, minder ingrijpende, methodes beschikbaar zijn voor het bereiken van dit doel.
Op het geautomatiseerd filteren en/of blokkeren van bepaalde websites of diensten zijn de strenge bepalingen van de Wbp niet van toepassing. In dit geval wordt het internetverkeer niet gemonitord of gecontroleerd door de aanbieder, maar zorgt het systeem voor de blokkade van websites en diensten. Hiermee wordt overigens geen afbreuk gedaan aan de passieve houding van de aanbieder van het netwerk. Bij het automatisch filteren en blokkeren is de aanbieder niet aansprakelijk voor het doorgeven van de informatie naar websites die wel zijn toegestaan.
Het kan zijn dat de gebruikers schade lijden door het gebruik van het netwerk van de aanbieder. Middels het hanteren van gebruiksvoorwaarden heeft de aanbieder de mogelijkheid om zijn aansprakelijkheid te beperken. Houdt wel rekening met de strenge consumentenwetgeving. Het beperken van je aansprakelijkheid staat op de zogenaamde ‘grijze lijst’ en wordt vermoed onredelijk bezwarend te zijn. Echter, bij het aanbieden van een gratis WiFi-netwerk is de beperking van aansprakelijkheid wel te rechtvaardigen. Wie iets gratis afneemt, mag immers niet te veel verwachten.
Met gebruiksvoorwaarden kunnen daarnaast grenzen worden gesteld aan het gebruik van het netwerk, zoals het hanteren van een data- of tijdslimiet. Naast de inhoud van de gebruiksvoorwaarden is ook
de manier waarop ze worden aangeboden van belang. In de praktijk gaat dit namelijk vaak mis.
Niet alleen dienen de gebruiksvoorwaarden van toepassing verklaard te worden op het gebruik van het
netwerk, ook aan de wijze waarop ze worden aangeboden zijn voorwaarden verbonden. Het van toepassing verklaren kan bijvoorbeeld door de gebruiker vóórdat hij gebruik kan maken van het netwerk duidelijk te maken dat de gebruiksvoorwaarden van toepassing zijn.
Daarnaast dienen de gebruiksvoorwaarden ook op de juiste manier overhandigd te worden. In de eerste plaats moeten de gebruiksvoorwaarden overhandigd worden vóórdat de gebruiker toegang krijgt tot het netwerk. Daarnaast moeten de gebruiksvoorwaarden door de gebruiker op te slaan of uit te printen zijn. Vaak worden de voorwaarden middels een scrollvenster overhandigd, wat het bijzonder onhandig maakt om de voorwaarden op te slaan. Het is dus beter om de voorwaarden in PDF-formaat aan te bieden.
De risico’s bij het aanbieden van internet aan klanten is iets wat al langer in de belangstelling staat. Het is dan ook niet gek dat de Europese rechter zich recentelijk over dit onderwerp heeft uitgesproken. De bedrijfsleider McFadden stelde in zijn winkel gratis en anoniem toegang tot internet ter beschikking. Via zijn netwerk werd op illegale wijze muziek gedeeld met een derde. De bedrijfsleider werd vervolgens veroordeeld door de nationale rechter tot het betalen van een schadevergoeding.
Het Europees Hof concludeert dat de aanbieder van het netwerk slechts een doorgeefluik is. Hij oefent geen invloed uit en neemt geen initiatief bij de doorgifte van de informatie. De auteursrechthebbende van het muziekwerk kan dus geen vordering tot schadevergoeding instellen tegen McFadden. Het vervolg van het arrest heeft echter wel een interessante wending. Hoewel McFadden als aanbieder van het netwerk slechts als doorgeefluik fungeert, is het wel mogelijk dat de rechthebbende van het muziekwerk bij de nationale rechter een verzoek tot beëindiging of voorkoming van de inbreuk indient.
Het Hof oordeelt vervolgens dat het bevel tot het beveiligen van het netwerk met een wachtwoord een
goede mogelijkheid is om voor evenwicht te zorgen tussen enerzijds de intellectuele eigendomsrechten van de rechthebbenden en anderzijds het recht op vrijheid van ondernemerschap voor de aanbieder van het netwerk.
Ook het vereiste dat gebruikers van het netwerk zich moeten identificeren, leidt tot een afschrikwekkend effect. Het Hof geeft hiermee aan dat het beveiligen van het netwerk en het registreren van de gebruikers door de rechthebbende van een werk geëist kan worden.
Volgens het Hof hebben aanbieders van internet wel degelijk een bepaalde verantwoordelijkheid voor het handelen van de gebruikers. Of hiermee een trend wordt gezet dat alle aanbieders voortaan het netwerk met een wachtwoord moeten beveiligen en daarbij de gebruikers dienen te registreren, moet nog blijken.
In 2010 ontstond er ophef toen de toenmalige OPTA, nu de Autoriteit Consument & Markt (ACM) geheten, besloot om te onderzoeken of hotels als aanbieder van een openbaar telecommunicatienetwerk zijn te bestempelen, als zij internet aanbieden aan haar gasten. Voor het aanbieden van toegang tot internet is het in de eerste plaats van belang of dit ‘in het openbaar’ gebeurt. In dat geval zijn namelijk de strenge vereisten uit de Telecommunicatiewet van toepassing, zoals het aftapbaar maken van het netwerk en het registreren als aanbieder van een openbaar telecommunicatienetwerk.
Na alle ophef heeft de toezichthouder besloten dat bedrijven en instellingen die internet aanbieden aan
hun klanten en bezoekers niet als aanbieders van een openbaar telecommunicatienetwerk zijn aan te merken. De toegang is immers beperkt tot een duidelijk afgebakende groep gebruikers. De netneutraliteitsregels zijn evenmin van toepassing op deze aanbieders. Hierdoor kunnen bedrijven en instellingen bepaalde toegang tot diensten beperken of blokkeren. Het gebruik van bijvoorbeeld Netflix kan dus beperkt worden!
Aanbieders van WiFi netwerken moeten dus goed controleren hoe zij op dit moment omgaan met
monitoring en controle. Wanneer dit niet goed geregeld is, kan dat vergaande gevolgen hebben voor de eigen aansprakelijkheid in geval van claims van derden. Hanteer dus of gebruiksvoorwaarden of zorg dat je alleen passief het WiFi-netwerk aanbiedt.
Dit artikel is eerder verschenen in nr. 1 2017 van ons magazine ICTRecht in de praktijk.
Meld je nu aan voor één van de nieuwsbrieven van ICTRecht en blijf op de hoogte van onderwerpen zoals AI, contracteren, informatiebeveiliging, e-commerce, privacy, zorg & ICT en overheid.