Internet

IT 174

Onvoldoende beveiligde websites schenden privacywetgeving

De laatste tijd is er in IT-land veel te doen om de open-source software Firesheep. Met deze software is het heel eenvoudig het acccount van een ander op een website over te nemen. De betreffende websites schenden hiermee de verplichting tot het garanderen van een passend niveau van beveiliging. Gebruikmaken van de software is echter ook niet zonder risico.

Met dank aan Mark Jansen, Dirkzwager advocaten & notarissen

Werking software Firesheep

De software Firesheep maakt gebruik van het volgende principe. Op moderne “web 2.0″ websites moet je veelal inloggen om de (volledige) functionaliteit van de website te kunnen gebruiken (sites als Facebook, Hotmail, Hyves, etc.). Na succesvol inloggen wordt meestal een cookie teruggezonden aan de bezoeker, zodat deze bij een volgend bezoek eenvoudig herkend kan worden. Die cookie wordt vaak onversleuteld verzonden en is dus – bijvoorbeeld bij gebruik van draadloos internet – door iedereen af te vangen. Firesheep detecteert dergelijke onbeveiligd verzonden cookies automatisch op ieder draadloos netwerk in de buurt. Na afvangen van de betreffende cookie kan eenvoudig worden ingelogd op de website onder de naam van degene wiens cookie is afgevangen.

Beveiligingsverplichting

Deze software roept juridisch de nodige vragen op. Websites waarop moet worden ingelogd om toegang te krijgen tot het eigen account, verwerken persoonsgegevens in de zin van de Wet bescherming persoonsgegevens (WBP). Op grond van artikel 13 WBP moet de exploitant van de website “passende technische en organisatorische maatregelen” treffen om die gegevens te beveiligen tegen o.a. verlies. Uit de wetsgeschiedenis volgt dat dit onder andere betekent dat de beveiliging in overeenstemming moet zijn “met de stand van de techniek“.

Huidige stand van de techniek

Een korte zoektocht op internet leert dat diverse bedrijven hun beveiliging naar aanleiding van de software hebben aangepast. Ook blijkt uit onderzoek dat bij diverse websites het inlogproces niet af te luisteren is. Daarmee kan denk ik goed verdedigd worden dat, voor zover het hanteren van een versleuteld inlogproces en het versleuteld versturen van cookies niet al tot de stand van de techniek behoorde, dat thans toch in ieder geval wel de stand van de techniek is geworden.

Risico websitehouders die stand techniek niet gebruiken

Websitehouders die deze stand van de techniek niet hanteren voor hun inlogproces, schenden dus hoogstwaarschijnlijk de beveiligingsverplichting die artikel 13 WBP stelt. Het College Bescherming Persoonsgegevens zou hier tegen kunnen optreden door het opleggen van dwangsommen of boetes. Ook is denkbaar dat individuele gebruikers van wie de account gekaapt is, de websitehouder voor alle daaruit voortvloeiende schade aansprakelijk kunnen stellen.

Risico gebruikers software

Overigens is het gebruik van de Firesheep software ook niet zonder risico. Het inloggen op andermans account met gebruikmaking van afgevangen cookies valt zeer waarschijnlijk onder het delict computervredebreuk (artikel 138ab Wetboek van Strafrecht). Op dit misdrijf staat maximaal een jaar gevangenisstraf of € 19.000 boete. Die gevangenisstraf wordt verhoogd naar maximaal vier jaren wanneer na inloggen op het account gegevens worden overgenomen. Wanneer na inloggen op andermans account gegevens worden gewijzigd, is vermoedelijk sprake van het misdrijf beschreven in artikel 350a Sr. Hierop staat maximaal twee jaar gevangenisstraf en dezelfde boete.

Dit bericht is oorspronkelijk verschenen op: http://dirkzwagerieit.nl/2010/12/02/onvoldoende-beveiligde-websites-schenden-privacywetgeving/ 

IT 171

Website aansprakelijk voor illegale content die door derden is geplaatst

Rechtbank Amsterdam, 24 november 2010, LJN BP6880, HA ZA 09-185 (Kim Holland Productions B.V. c.s. tegen 123 Video B.V.)

Op grond van art. 6:196c BW is een louter faciliterende tussenpersoon niet aansprakelijk voor eventuele inbreuken door uploaders. De rechtbank is in deze zaak echter van mening dat 123video niet slechts het uploaden van filmpjes faciliteert, maar deze zelf opnieuw publiceert. En daarbij mag ze géén beroep doen op de uitsluiting voor aansprakelijkheid voor tussenpersonen. Met dank aan Arnoud Engelfriet.

Op 123video kunnen gebruikers zelf filmpjes uploaden in diverse categorieën, waaronder "XXX - Erotiek & Sex". Eind 2007 en begin 2008 werden er filmpjes geüpload van Kim Holland, die daarvoor de site aansprakelijk stelde. De site had de
uploader in vrijwaring
opgeroepen, maar dat bleek uiteindelijk geen praktisch haalbare kaart. 123video verweerde zich vervolgens zelf, met als hoofdargument dat zij niet aansprakelijk is voor auteursrechteninbreuk. 123video ziet zich als een tussenpersoon, een dienstverlener die mensen filmpjes laat uploaden maar zelf geen bemoeienis heeft met de inhoud. En volgens art. 6:196c BW is zo'n tussenpersoon niet aansprakelijk voor eventuele inbreuken door uploaders.

De rechtbank denkt daar anders over:

"123 Video komt met volledige kennis van de gevolgen van haar gedrag tussen om aan bezoekers van haar site toegang tot beschermde werken te verlenen. Zij heeft op haar website een aparte categorie voor pornovideo's aangemaakt, waardoor de op haar site geplaatste pornovideo's voor gebruikers eenvoudig toegankelijk zijn. Video's die in de categorie XXX niet thuishoren, maar daar desalniettemin zijn geplaatst, verplaatst 123 Video (al dan niet na een melding) naar een andere categorie."

Daarbij neemt de rechtbank voor onweersproken en dus waar aan dat:

"Bijna alle andere grote online pornosites hebben hetzelfde gedaan:
eerst veel materiaal naar de site laten uploaden. Dat genereert het nodige verkeer naar de site. ... Zodra er voldoende verkeer naar de site is, wordt de content gelegaliseerd. [...] De rechtbank houdt het er daarom voor dat de aanwezigheid van illegale content binnen de categorie XXX eerder regel dan uitzondering was."

123video faciliteert dus niet slechts het uploaden van filmpjes maar publiceert ze zelf opnieuw. En daarbij mag ze géén beroep doen op de uitsluiting voor aansprakelijkheid voor tussenpersonen: 123 laat zich "wel degelijk in met de van gebruikers afkomstige informatie, alsmede dat zij controle heeft over die informatie en de gebruikers van de website van 123 Video". Het beroep op 6:196c BW wordt dan ook afgewezen.

Kim Holland wordt opgeroepen nader bewijs te leveren dat zij auteursrechthebbende is op de filmpjes.

Lees de uitspraak hier.

Inmiddels ook verschenen op IEForum.

IT 165

Verplichtingen platformaanbieder op internet

Voorzieningenrechter Rechtbank Dordrecht 17 november 2010, 89093 / KG ZA 10-221 (LJN: BO4259). Wat mag van de aanbieder van een internetplatform verwacht worden terzake bestrijden onjuiste informatie die door derden op zijn platform wordt geplaatst? "Van onrechtmatig handelen door [gedaagde] is pas sprake als hij daadwerkelijk weet of redelijkerwijs moet weten dat de informatie in het register onwettig is en hij dan niet prompt handelt om de informatie te verwijderen of de toegang daartoe onmogelijk te maken. "

PumpSupport exploiteert de website www.pompengids.net. De website biedt bedrijven de mogelijkheid om zich gratis te registreren en daarbij aan te vinken welk merk pomp zij verhandelen c.q. aan welk merk pomp zij (reparatie/service)werkzaamheden verrichten. Op de website adverteren aanbieders met (diensten met betrekking tot) pompen waarvan VW&B exclusief importeur/distributeur is in Nederland. VW&B sommeert PumpSupport om de namen van die andere pompleveranciers-/servicebedrijven te verwijderen. PumpSupport geeft daar geen gehoor aan, maar wijst de andere aanbieders wel op de sommatie en het feit dat ze geen inbreuk mogen maken. Volgdens de voorzieningenrechter is dat voldoende:

"5.2. Partijen verschillen van mening over de vraag wat van [gedaagde] verwacht mag worden ter zake het bestrijden van onjuiste informatie die door derden op zijn website wordt geplaatst.

5.3. Dat [gedaagde] instaat voor de juistheid van de informatie in het register op zijn website www.PompenGids.net blijkt voorshands niet. Vast staat dat de geregistreerde bedrijven zelf de informatie op de website aanleveren en dat [gedaagde] deze niet op juistheid controleert. Ook staat vast dat VW&B van deze werkwijze op de hoogte is, nu zij zich zelf op de website heeft geregistreerd. Dat de tekst van de website melding maakt van de woorden 'onafhankelijke gids', 'objectief' en 'complete gegevensbestand' maakt het vorenstaande niet anders. Dit betekent dat [gedaagde] niet onrechtmatig handelt vanwege de enkele omstandigheid dat in het register op zijn website informatie voorkomt die jegens een derde onrechtmatig is.

5.4. Van onrechtmatig handelen door [gedaagde] is pas sprake als hij daadwerkelijk weet of redelijkerwijs moet weten dat de informatie in het register onwettig is en hij dan niet prompt handelt om de informatie te verwijderen of de toegang daartoe onmogelijk te maken.

5.5. [gedaagde] voert aan dat hij uit de kennisgeving van VW&B niet de conclusie kan trekken dat de informatie op zijn website jegens VW&B onrechtmatig is. [gedaagde] erkent dat VW&B ten aanzien van de in productie 4 bij de dagvaarding genoemde pompen de exclusieve fabrieksvertegenwoordiger is. Dit gegeven is echter onvoldoende om voorshands aan te nemen dat [gedaagde] weet of redelijkerwijs behoort te weten dat andere bedrijven die deze pompen aanvinken daarmee jegens VW&B onrechtmatig handelen. VW&B betwist niet dat subdealerovereenkomsten en parallelimport de mogelijkheid creëren van andere verkoop-, reparatie- en servicepunten dan die via VW&B worden geboden. Dit betekent dat de enkele kennisgeving over de aanwezigheid van onrechtmatige informatie niet voldoende is voor de conclusie dat [gedaagde] wist of redelijkerwijs behoorde te weten dat de informatie een onrechtmatig karakter heeft. [gedaagde] hoefde dan ook niet direct na de kennisgeving over te gaan tot het verwijderen van de betreffende informatie of het blokkeren van de toegang daartoe.

5.6. De vereiste zorgvuldigheid gebood [gedaagde] wel om na de kennisgeving van VW&B op passende wijze handelend op te treden. Vast staat dat [gedaagde] handelend heeft opgetreden met zijn oproep op de website om onjuistheden kenbaar te maken (zie 2.6.) en dat misbruik niet is toegestaan (zie 2.7.). De voorzieningenrechter is van oordeel dat dit optreden, in de gegeven omstandigheden, onvoldoende was. Uit de door VW&B als productie 8 overgelegde e-mail van [gedaagde] aan VW&B, waarvan de inhoud niet is betwist, blijkt dat de kennisgeving van VW&B betrekking heeft op 23 beheerders. Gelet op dit relatief kleine aantal en de relatief beperkte doelgroep waarop zijn website betrekking heeft, lag het op de weg van [gedaagde] de betreffende beheerders om nadere informatie te vragen. Daartoe is [gedaagde] eerst met zijn e-mail van 11 oktober 2010 (zie 2.8.) overgegaan. Voorshands blijkt niet dat deze handelwijze van [gedaagde] was ingegeven door eigen gewin. Het enkele feit dat [gedaagde] betaald wordt voor de wijze waarop de registratie plaatsvindt (zie 2.4.) is voor de aanname daarvan onvoldoende. Vast staat dat registratie op de website kosteloos is, zodat [gedaagde] niet beter wordt van zoveel mogelijk registraties. Bovendien staat vast dat [gedaagde] niet stil is blijven zitten, maar heeft gezocht naar passende maatregelen, terwijl VW&B slechts aandrong op het verwijderen van de informatie en [gedaagde] daartoe niet zonder meer hoefde over te gaan."

Lees het vonnis hier.

Lees hier het commentaar van Arnoud Engelfriet.

IT 162

Gerichtheid website naar Engels recht - plaats server (reactie)

Naar aanleiding van IT 161 wijst Fulco Blokhuis (Boekx Advocaten) op het belang van Rome II voor IE-zaken. De toepassing van Rome II gaat volgens hem vaak fout, waarbij Blokhuis wijst op C-More/P2P (zie ook IEForum). Daarbij gaat het volgens Blokhuis altijd ook om wat voor soort recht er in casu speelt. De Mediarichtlijn bepaalt immers dat het recht van de staat van vestiging van toepassing is, net als de E-commerce richtlijn.

De tekst van artikel 8 Rome II (onderstreping Fulco Blokhuis):

"Inbreuk op intellectuele-eigendomsrechten

1. De niet-contractuele verbintenis die voortvloeit uit een inbreuk op een intellectuele-eigendomsrecht, wordt beheerst door het recht van het land waarvoor de bescherming wordt gevorderd.

2. De niet-contractuele verbintenis die voortvloeit uit een inbreuk op een unitair communautair intellectueleeigendomsrecht, wordt, voor alle aangelegenheden die niet door het desbetreffende communautaire instrument zijn geregeld, beheerst door het recht van het land waar de inbreuk is gepleegd.

3. Van het recht dat krachtens dit artikel van toepassing is, kan niet bij overeenkomst op grond van artikel 14 worden afgeweken."

IT 161

Gerichtheid website naar Engels recht - plaats server

The High Court of Justice 17 november 2010 (Football Dataco/Sportradar), [2010] EWHC 2911 (Ch). Het Engelse High Court heeft bepaald dat een website wordt aangeboden in het land waar de server staat. In Nederland passen rechters doorgaans een ander criterium toe, namelijk of een website op Nederland is gericht. In gokzaken is bijvoorbeeld uitgemaakt dat een website op Nederland is gericht en dus onderworpen is aan Nederlands recht, als Nederlanders op de site kunnen gokken. Ook in IE-zaken wordt toepasselijkheid van Nederlands recht doorgaans beoordeeld aan de hand van de vraag op welk land de website zich richt. Met dank aan Polo van der Putt, Vondst Advocaten. Zie IT 162 voor de reactie van Fulco Blokhuis.

Lees de uitspraak van het High Court hier. De kernoverweging:

"74. I have come to the conclusion that the better view is that the act of making available to the public by online transmission is committed and committed only where the transmission takes place. It is true that the placing of data on a server in one state can make the data available to the public of another state but that does not mean that the party who has made the data available has committed the act of making available by transmission in the State of reception. I consider that the better construction of the provisions is that the act only occurs in the state of transmission."

Het land waar de server staat is dus doorslaggevend voor de Engelse rechter.

Vergelijk in Nederlandse gokzaken HR 18 februari 2005 (Ladbrokes/Lotto) (bevestigd in HR 13 juni 2008):

"3.3.3. [...] Gelet op dit een en ander moet worden aanvaard dat van hier te lande gelegenheid geven in evenbedoelde zin sprake is wanneer via internet door middel van een mede op Nederland gerichte website de toegang tot kansspelen wordt geboden aan potentiële deelnemers in Nederland en dezen via hun computer rechtstreeks aan het spel kunnen deelnemen, dat wil zeggen zonder dat andere handelingen zijn vereist dan die op de computer kunnen worden verricht. In dit verband is voldoende dat de website waarop de gelegenheid tot deelneming wordt geboden niet met gebruikmaking van de hiervóór bedoelde software de deelneming aan kansspelen onmogelijk maakt en blijkens haar inrichting mede is gericht op potentiële deelnemers in Nederland, hetgeen reeds het geval is indien Nederland is vermeld in een op de website voorkomende lijst van landen van waaruit aan de aangeboden kansspelen kan worden deelgenomen. De rechter behoeft zich dan derhalve niet te verdiepen in de vraag of de aangeboden kansspelen zelf een aanwijzing vormen van het mede op Nederland gericht zijn van de website. Bij het voorgaande is zonder belang vanuit welk land de kansspelen worden georganiseerd, waar de kansspelovereenkomst totstandkomt en welk recht op de kansspelovereenkomst van toepassing is."

Voor IE-zaken vergelijk bijvoorbeeld Rechtbank Amsterdam, 14 juli 2010, HA ZA 09-3194, Cassina S.P.A. c.s. tegen Dimensione Direct Sales SRL:

"4.5. Van openbaarmaking in Nederland is sprake indien de openbaarmakingen van de afbeeldingen van de (inbreukmakende) meubelen en het te koop aanbieden daarvan via de website, catalogus en de mailing op Nederland zijn gericht."

Om te bepalen welk recht een website beheerst kijken Nederlandes rechtersdoorgaans dus naar de gerichtheid van een website, en niet naar de plaats waar de server staat.

Vergelijk echter ook het country of origin principe uit artikel 3 van de E-commerce Richtlijn:

"1. Iedere lidstaat zorgt ervoor dat de diensten van de informatiemaatschappij die worden verleend door een op zijn grondgebied gevestigde dienstverlener voldoen aan de in die lidstaat geldende nationale bepalingen die binnen het gecoördineerde gebied vallen.

2. De lidstaten mogen het vrije verkeer van diensten van de informatiemaatschappij die vanuit een andere lidstaat worden geleverd, niet beperken om redenen die vallen binnen het gecoördineerde gebied."

Het land van vestiging van de dienstverlener is dus doorslaggevend.

Wie lijmt deze scherven tot een mooi geheel?

IT 160

DigiD, domeinnaam, geen commercieel gebruik merk

Rechtbank 's-Gravenhage 17 november 2010 (DigiD), zaaknummer 371238, KG ZA 10-891. Eiseres betoogt dat de overheid de naam Digid niet meer mag gebruiken voor digitale autenticatie met een beroep op het handelsnaamrecht c.q. onrechtmatige daad. De president wijst de vorderingen af en overweegt dat de overheid, onder meer met de domeinnaam www.digid.nl, geen gebruik maakt van een handelsnaam of merkrecht (ondanks merkregistratie), omdat de naam DigiD niet commercieel wordt gebruikt. Lees het vonnis hier. Met dank aan Martijn W. Scheltema, Pels Rijcken & Droogleever Fortuijn.

IT 158

Problematiek algemene voorwaarden en Dienstenrichtlijn op agenda Eerste Kamer - update 2

In vervolg op eerdere berichtgeving (hier en hier). De vaste kamercommissie voor Justitie in de Eerste Kamer stuurt een brief aan de Minister van Veiligheid en Justitie over onduidelijke samenhang tussen de dienstenrichtlijn en de wetgeving over algemene voorwaarden.

 

Uit de brief:

Deze leden vragen zich af of de koppeling doelbewust uit de wettekst is gehaald. Indien dat het geval is, kan de regering deze keuze dan toelichten? Geldt nu nog steeds dat dienstverrichters kunnen volstaan met het plaatsen van algemene voorwaarden op de eigen website? Bent u van mening dat er rechtsonzekerheid is ontstaan in de praktijk door eind 2009 bovengenoemde koppeling op te nemen en deze per juli 2010 te ve rwijderen? Bent u voornemens om met reparatiewetgeving te komen om de aldus ontstane rechtsonzekerheid weg te nemen?

IT 156

Downloaden uit illegale bron toegestaan, faciliteren illegaal uploaden niet

Gerechtshof ’s-Gravenhage, 15 november 2010, LJN: BO3982, ACI c.s. tegen Stichting De Thuiskopie & SONT. "Indien dit zo zou zijn, dan is het Nederlands recht zoals omschreven/uitgelegd in rov. 7.12 in fine wel richtlijnconform, en is downloaden uit illegale bron toegestaan." Zie IEForum hier.

Gerechtshof ’s-Gravenhage, 15 november 2010, LJN: BO398, FTD B.V. tegen Eyeworks Film & TV Drama B.V. "Wel handelt FTD onrechtmatig jegens Eyeworks nu zij het illegaal uploaden van de film 'Komt een vrouw bij de dokter' van Eyeworks stimuleert." Zie IEForum hier.