Tagarchief: Privacy

Masterscriptie: moet de EU cookiewalls en andere walls verbieden?

Ook nu.nl maakt gebruik van cookiewalls.

Elke masteropleiding wordt afgesloten met het schrijven van een masterscriptie. Nu ik alle vakken van mijn masteropleiding met succes heb afgerond, rest mij alleen nog maar het schrijven van mijn scriptie. Ik ben lange tijd van plan geweest om mijn scriptie te schrijven over een onderwerp dat gelieerd is aan het auteursrecht of aan de aansprakelijkheid van providers op internet. Het zoeken naar een geschikt onderwerp zou niet veel moeite moeten kosten, want ik had het afgelopen jaar al een flink rijtje met mogelijke onderwerpen verzameld.

Gedurende het tweede semester werd ik echter geraakt door het vak Privacy en gegevensbescherming. En omdat ik door mijn rechtszaak tegen Stichting BREIN toch al redelijk wat kennis heb opgedaan over het auteursrecht en de aansprakelijkheid van tussenpersonen op het internet, leek het me wel een goed idee om mijn kennis te verbreden door voor een ander rechtsgebied te kiezen. Privacy & gegevensbescherming dus. Nu alleen nog maar een interessant scriptieonderwerp verzinnen.

Na enig (nja, best veel) geworstel heb ik een geschikt scriptieonderwerp gevonden. Mijn scriptie gaat, kort gezegd, over de vraag of websites te allen tijde voorwaarden mogen stellen aan het verlenen van toegang tot de website. Of kan het stellen van voorwaarden in strijd zijn met het recht van internetgebruikers om informatie te vergaren of het recht op hun privacy? Kortom, mijn scriptie gaat over het gebruik door websites (en andere diensten van de informatiemaatschappij) van ‘walls’. We kennen inmiddels de paywall (betaalmuur), de cookiewall (cookiemuur) en ook de adblocker wall is een steeds bekender fenomeen. Inmiddels is mijn onderzoeksplan goedgekeurd en zit ik midden in mijn onderzoek.

Natuurlijk heeft een websitehouder in beginsel het recht om te bepalen wie zijn website mag bezoeken. Een winkelier heeft immers ook het recht om te bepalen wie hij verwelkomt in zijn winkel. De vraag rijst of hier geen grenzen aan zijn verbonden.

Vrijwel elke website gebruikt cookies om het doen en laten van internetgebruikers in kaart te brengen. Cookies zijn kleine bestanden die websites op je computer plaatsen om informatie in op te slaan of uit te lezen. Zo kunnen deze websites zien welke andere websites je hebt bezocht. Anoniem informatie vergaren is vrijwel onmogelijk geworden.Websites en vooral adverteerdersnetwerken bouwen zo zeer gedetailleerde profielen van internetgebruikers op. Aan de hand van deze profielen zijn adverteerders in staat om advertenties te tonen die zijn gericht op de interesses van de individuele gebruikers. Deze gerichte reclames zijn effectiever (en dus winstgevender) dan ongerichte reclames. Sommige websites verplichten met cookiewalls de bezoekers om toestemming te verlenen voor het bijhouden van hun gedrag. Zonder het verlenen van die toestemming, verlenen zij geen toegang tot de website.

Maar hoe zit het dan met het recht op een privé-leven? Natuurlijk kan iemand in een specifiek geval afstand doen van dit grondrecht door toestemming te verlenen om door een website te worden gevolgd. Een website vraagt echter in vrijwel alle gevallen niet alleen om toestemming om zelf het gedrag van zijn bezoekers in kaart mag brengen (first-party cookies), hij vraagt deze toestemming meestal ook namens een onbepaald aantal derde partijen (third-party cookies). Dit zijn bijvoorbeeld partijen die advertenties of sociale media knoppen zoals de Facebook like-knop op websites plaatsen. Zouden websitebezoekers zich wel bewust zijn waarvoor zij toestemming geven? En worden zij niet gedwongen om toestemming te verlenen, omdat zij zonder die toestemming deze websites niet mogen bezoeken?

Op dit moment wordt er binnen de Europese Unie hard gewerkt aan de nieuwe ePrivacy verordening die in mei 2018 de ePrivacy richtlijn zal moeten gaan vervangen. De ePrivacy verordening vult de Algemene verordening gegevensbescherming (AVG of GDPR) aan en moet het privé-leven en de persoonsgegevens van burgers in de online-omgeving beschermen. Omdat websitebezoekers bij het gebruik van cookiewalls worden gedwongen om toestemming te verlenen voor het monitoren van hun gedrag, zijn diverse toezichthouders en belangenorganisaties van mening dat het gebruik van cookiewalls moet worden verboden. Maar waarom zou de EU daar stoppen? Als cookieswalls worden verboden, zouden adblocker walls dan niet ook verboden moeten worden?

Een adblocker is een browser-plugin die advertenties blokkeert. Een website met een adblocker wall geeft geen toegang tot de site zolang de adblocker actief is. Het komt ook voor dat websites de gebruiker proberen te overtuigen om de adblocker uit te schakelen.Ook Tweakers maakt gebruik van cookiewalls.

Omdat advertenties net als cookies vaak ook worden gebruikt om het internetgedrag in kaart te brengen, worden adblockers niet alleen gebruikt door mensen die een hekel hebben aan reclame, maar ook door mensen die hun (online) privacy proberen te beschermen. Daarnaast wordt er regelmatig malware (kwaadaardige software) verspreid via advertenties (zogenaamde malvertising) en helpt een adblocker om je computer hiertegen te beveiligen. Er zijn dus genoeg legitieme redenen om een adblocker te gebruiken.

Er is echter ook een keerzijde. Als iedereen een adblocker zou gebruiken, hoe kunnen websites dan nog inkomsten genereren? Zou dat het einde betekenen van veel websites die afhankelijk zijn van inkomsten uit reclame? Of zouden deze websites zich verplicht voelen om betaalmuren op te richten?

Deze en vele andere vragen zal ik proberen te beantwoorden in mijn masterscriptie.

De rechtspositie van de internetgebruiker in het Lycos/Pessers-tijdperk

In mijn vorige blog vertelde ik al dat het eerste semester van de master Informatierecht werd afgesloten met het schrijven van een paper. De titel van deze blog is tevens de titel van mijn paper. Deze blog bevat een korte samenvatting van mijn paper, die met een mooie 8 is beoordeeld.

Om iemand te kunnen aanspreken op het schenden van bijvoorbeeld auteursrechten, zal die persoon eerst moeten worden geïdentificeerd. Afhankelijk van de gegevens waarover een (auteurs)rechthebbende beschikt, is daarvoor de medewerking van één of meer providers benodigd. Een provider is bijvoorbeeld je internetprovider, je usenetprovider, of een platform zoals Facebook of YouTube.

In de bekende wraakporno zaak waarbij Chantal probeerde te achterhalen wie een intiem filmpje van haar op Facebook heeft geplaatst, werd bijvoorbeeld eerst Facebook aangesproken om het IP-adres te achterhalen waarmee het filmpje is geplaatst, om vervolgens van de desbetreffende internetprovider de NAW-gegevens (naam, adres, woonplaats) van de gebruiker van dat IP-adres te vorderen.

In Nederland heeft de wetgever het aan de rechtelijke macht overgelaten om te bepalen onder welke voorwaarden een provider de NAW-gegevens van een abonnee dient te verstrekken. Bepalend is het Lycos/Pessers arrest uit 2004.

Deze zaak ging over postzegelverzamelaar Pessers die op eBay postzegels verkocht. Nadat hij op een forum van Lycos anoniem werd beschuldigd van fraude, spande hij een kort geding aan om achter de identiteit van de persoon achter de beschuldigingen te komen. Het Gerechtshof Amsterdam bepaalde de voorwaarden wanneer een provider aan het verzoek tot verstrekking van NAW-gegevens dient te voldoen. De Hoge Raad heeft deze uitspraak in 2005 bevestigd.

De Lycos/Pessers-leer houdt in dat een provider de gegevens van haar klant dient te verstrekken, indien de volgende omstandigheden zich voordoen:

  1. de mogelijkheid dat de informatie, op zichzelf beschouwd, jegens de derde (bijvoorbeeld een auteursrechthebbende) onrechtmatig en schadelijk is, is voldoende aannemelijk;
  2. de derde heeft een reëel belang bij de verkrijging van de NAW-gegevens;
  3. aannemelijk is dat er in het concrete geval geen minder ingrijpende mogelijkheid bestaat om de NAW-gegevens te achterhalen;
  4. afweging van de betrokken belangen van de derde, de provider en de internetgebruiker (voor zover kenbaar) brengt mee dat het belang van de derde behoort te prevaleren.

Het grote bezwaar van de Lycos/Pessers-leer is dat van providers wordt verwacht dat zij zelf verzoeken om NAW-gegevens toetsen en dat zij daarbij een belangenafweging moeten maken. Daarbij spelen de belangen van de rechthebbende, van de vermeende inbreukmaker (de internetgebruiker) en van de provider zelf een rol. De provider wordt kortom gedwongen om op de stoel van de rechter te gaan zitten.

Providers komen hiermee in een onmogelijke positie te verkeren. Indien een provider van mening is dat de belangen van de internetgebruiker prevaleren boven die van de auteursrechthebbende en de rechter besluit achteraf anders, dan heeft de provider onrechtmatig gehandeld jegens de auteursrechthebbende en kan hij daarvoor aansprakelijk worden gesteld. Indien een provider echter te snel overgaat tot het verstrekken van NAW-gegevens, loopt hij het risico om aansprakelijk te worden gesteld door de internetgebruiker wegens schending van zijn privacy.

Omdat providers uit angst voor een slechte reputatie liever geen persoonsgegevens verstrekken, weigeren zij meestal om vrijwillig aan het verzoek te voldoen. De rechthebbende wordt daarmee gedwongen om een procedure (meestal een kort geding) te starten. In deze procedure tussen provider en de verzoeker, wordt vaak over de rug van de internetgebruiker beslist of zijn persoonsgegevens zullen worden verstrekt en zijn privacy zal worden geschonden. Slechts een enkele keer wordt de internetgebruiker in de gelegenheid gesteld om (anoniem) zijn verhaal te doen. Afhankelijk van het soort gegevens kan het niet horen van de internetgebruiker in strijd zijn met de Wet bescherming persoonsgegevens (Wbp).

Omdat rechters steeds vaker providers verwijten dat zij niet vrijwillig zijn overgegaan tot verstrekking van NAW-gegevens, wordt de druk op providers om zonder tussenkomst van de rechter NAW-gegevens te verstrekken steeds groter. Een provider handelt immers onrechtmatig indien een rechter achteraf besluit dat de provider wel tot verstrekking van NAW-gegevens had moeten overgaan. Mijn paper sluit af met de conclusie dat deze gang van zaken een bedreiging vormt voor de rechtspositie van de internetgebruikers wier persoonsgegevens worden gevorderd.

Voor de liefhebber is mijn paper hieronder in z’n geheel te lezen.

Afbeelding: De eiser in Lycos/Pessers was een postzegelverzamelaar (flickr)

U heeft Bits of Freedom nodig!

Supporter Bits of FreedomStichting Bits of Freedom is een burgerrechtenbeweging die opkomt voor de communicatievrijheid en privacy op internet. Iedereen die enigszins betrokken is bij de snelle ontwikkeling van het internet en de vraagstukken die daarbij komen kijken kent de stichting die strijdt voor een open en vrij internet. Misschien ken je ze als organisator van de jaarlijkse uitreiking van de Big Brother Awards. Anders ken je ze misschien van het Zwartboek datalekken, een inventarisatie van incidenten (nou ja, incidenten..) waarbij persoonlijke gegevens onbedoeld op straat komen te liggen.

Vandaag publiceert Bits of Freedom een juridisch onderzoek naar de toepassing van Nederlandse privacyregels bij grote internetbedrijven. Zij concludeert dat door de te ruime formulering in Nederlandse en Europese wetgeving en door gebrek aan controle de internetgiganten massaal de regels aan hun laars lappen. Lees verder U heeft Bits of Freedom nodig!

Auteursrechthandhaving op internet

Gisteren was ik aanwezig bij het Symposium Internet en Recht 2012 in het Felix Meritis in Amsterdam. Tijdens dit jaarlijkse symposium, georganiseerd door XS4ALL en advocatenkantoor Brinkhof, wordt de Internet Scriptieprijs uitgereikt aan de schrijver van de beste juridische scriptie over internet. Het thema van dit jaar lag voor de hand, gezien de juridische procedure met Stichting Brein waarin XS4ALL momenteel is verwikkeld, namelijk Auteursrechthandhaving op Internet.

Sprekers waren Ot van Daalen, directeur van de digitale burgerrechtenbeweging Bits of Freedom; Joost Poort, senior economisch onderzoeker bij het Instituut voor Informatierecht; Marietje Schaake (per video), Europarlementariër D66 en Okke Delfos Visser, deputy general counsel bij The Motion Picture Association of America (MPAA). Lees verder Auteursrechthandhaving op internet

Verslag van Dag van IE en Internet 2012

Gisteren heb ik zowaar aan de juridische cursus Dag van IE en Internet 2012 deelgenomen. Ik moet bekennen dat ik bij mijn aanmelding niet het idee had dat ik me inschreef voor een cursus. Ik had meer het idee dat het een soort congres cq themadag betrof. Misschien had ik beter moeten lezen. Ik liep in ieder geval tegen onderstaande tekst aan:

De Dag van IE en Internet besteedt aandacht aan actuele juridische vraagstukken. Onderwerpen die aan de orde komen zijn onder andere: bescherming van content online (auteursrecht), bescherming van onderscheidingstekens (merkenrecht), bescherming van uitingen online (privacy en vrijheid van meningsuiting) en handhaving van bestaande IE-rechten.

Lees verder Verslag van Dag van IE en Internet 2012

Datalekken makkelijk te voorkomen

Steeds vaker kom je een berichten tegen over datalekken: Een hacker is erin geslaagd om vertrouwelijke gegevens uit bijvoorbeeld een database van een website te halen. Stichting Bits of Freedom houdt een Zwartboek van datalekken bij, maar volgens mij komt het momenteel zó regelmatig voor dat niet alle voorvallen het Zwartboek halen.

Soms dezelfde dag, soms enkele dagen later kom je een bericht tegen met wat meer achtergrondinformatie over het voorval. Het valt mij op dat het datalek vrijwel altijd heeft kunnen gebeuren door achterstallig onderhoud. Vandaag las ik op Tweakers een bericht over het recente datalek bij KPN. Je weet wel, die hack die KPN deed besluiten om hun maildienst uit voorzorg uit de lucht te halen. KPN wil zo snel mogelijk een crisiscentrum gaan oprichten om voortaan het eigen netwerk continue te gaan monitoren. Klinkt verstandig, toch?

Lees verder Datalekken makkelijk te voorkomen