De wraakporno-zaak: Facebook bewijst internettussenpersonen een slechte dienst
Bijdrage ingezonden door Menno Weij, SOLV. Eerder in TVIR. Het kan u niet ontgaan zijn: de Amsterdamse voorzieningenrechter1 heeft Facebook onlangs gedwon geplaatst. Saillant: Facebook beweert bij hoog en laag die gegevens niet te hebben. Maar de rechter is bepaald niet overtuigd van dit argument van Facebook, en sluit niet uit dat Facebook nog wel degelijk over enige informatie beschikt. En levert Facebook die informatie niet, dan moet Facebook dulden dat een onafhankelijk deskundige daar nog eens naar speurt.
Dat het die kant op lijkt te gaan, staat al min of meer vast. Facebook heeft inmiddels een officiële verklaring uitgebracht na de publicatie van het vonnis, dat ze echt niet (meer) over de gevraagde informatie beschikt. Hiermee opent Facebook zo ongeveer letterlijk haar deuren, want dan zal Chantal een onafhankelijke IT expert mogen vragen om zelf naar die gegevens te gaan zoeken, en zal die IT-expert daar een rapport over moeten schrijven. Het is dan vervolgens een kwestie van tijd voordat dit rapport in het openbaar verschijnt.
Facebook bewijst de internettussenpersoon een slechte dienst. Afgaand op de inhoud van vonnis, laat de processtrategie van Facebook te wensen over. Ik ben mij er bewust van dat elke zaak en dus elk vonnis zijn eigen bijzonderheden kent, zo ook deze, maar waag mij toch aan de volgende stellingen. Het resultaat van deze Facebook-uitspraak is mijns inziens dat je als internettussenpersoon nu kennelijk moet gaan monitoren wat er allemaal op je platform gebeurt. Als dat gedrag van een persoon vervolgens ook maar enigszins onoirbaar lijkt op basis van meldingen van je andere gebruikers, moet je van die persoon kennelijk gegevens bewaren. Kortom, een verkapte bewaarplicht. Maar (i) in welke gevallen je nu precies gegevens moet bewaren, (ii) welke gegevens je dan moet bewaren en (iii) voor over te vinden heeft. Ik doe een poging een an ander uit te leggen.
1. De processtrategie van Facebook|
De processtrategie van Facebook heeft mijns inziens echt te wensen overgelaten.
1. Er was niemand tijdens de zitt ing van Facebook aanwezig, alleen de advocaten
Tot drie keer toe kunnen de advocaten van Facebook tijdens de zitting geen helderheid verschaffen aan de rechter over belangrijke feiten. De rechter straft dit genadeloos af. Het gaat om de volgende feiten.
‘De raadslieden van Facebook hebben ter zitt ing volstaan met de mededeling dat het hen niet bekend is of dergelijke gegevens toegankelijk zijn voor Facebook Nederland, maar dat dat hen onwaarschijnlijk lijkt, omdat Facebook Nederland met name is gericht op de verkoop. Nu een nadere toelicht ing van Facebook ontbreekt, wordt deze stellingname onvoldoende overtuigend geacht. De voorzieningenrechter gaat er daarom vooralsnog vanuit dat ook Facebook Nederland in beginsel toegang heeft tot de gevraagde gegevens en in aansluit ing daarop dat Facebook Nederland (mede) opdracht kan geven tot het verrichten van een onafhankelijk onderzoek als gevorderd. Dat de werkzaamheden van Facebook Nederland in hoofdzaak zouden bestaan uit verkoopact iviteiten is onvoldoende om daarover voorshands anders te oordelen.’
En ten tweede weten de advocaten niet zoveel over de 'rapportages' nadat het filmpje is geplaatst:
‘Eiseres heeft gesteld dat het filmpje op 22 januari 2015, vlak nadat het op Facebook was gepost, minimaal vijf maal (onder meer door eiseres en haar moeder) aan Facebook is ‘gerapporteerd’ als aanstootgevend en/of ongepast. Facebook kon dit desgevraagd ter zitt ing niet beamen of ontkennen, omdat ook deze meldingen volgens Facebook zouden (kunnen) vallen onder de inmiddels verwijderde informat ie. Eiseres heeft terecht gesteld dat het in de rede had gelegen, gezien het beleid van Facebook zelf met betrekking tot ongewenste berichten, dat Facebook dit soort informat ie zou bewaren en/of zich in verbinding zou stellen met degene die de ongepaste content heeft geplaatst. De tekst op haar ‘Help-pagina’ in dit verband wekt immers op zijn minst de suggest ie dat met de verantwoordelijke persoon in voorkomende gevallen contact kan worden opgenomen Vooralsnog bestaat geen aanleiding om eraan te twijfelen dat eiseres en haar moeder het filmpje hebben gerapporteerd. Nu onduidelijk is wat Facebook met die meldingen heeft gedaan (..).’
En ten derde kunnen de advocaten niet duidelijk verklaren over wat er precies is gebeurd toen de melding binnen kwam om het account te verwijderen:
‘Verder is in de verklaring van 8 juni 2015 vermeld dat de gegevens zijn verwijderd naar aanleiding van een op 26 januari 2015 ingediend verzoek om verwijdering van de ‘nep-account’ ‘door de gebruiker’. Op de vraag waarop deze informat ie is gebaseerd en of de gegevens van deze gebruiker niet tot een latere datum nog ergens, bijvoorbeeld op een back-upserver, terug te vinden zijn (geweest), hebben de raadslieden van Facebook bij gebrek aan wetenschap geen duidelijk antwoord gegeven, zodat niet valt uit te sluiten dat nog informat ie voorhanden is.’
Op basis van dit ‘zwalken’ tijdens de zitting, concludeert de voorzieningenrechter dus dat bepaald niet uitgesloten is dat Facebook wel degelijk nog over informatie kan beschikken. Daarmee is één deel van de basis voor de uitspraak gelegd.
2. Facebook heeft zich maar heel beperkt verweerd
Facebook heeft niet betwist dat er een rechtsplicht kan bestaan tot het verstrekken van NAW-gegevens:
‘Een rechtsplicht tot het verstrekken van NAW-gegevens zoals in deze zaak gevorderd, kan voor een provider bestaan als aannemelijk is dat anoniem, althans door een door de benadeelde niet te traceren persoon, onrechtmat ige uit ingen via deze provider openbaar zijn gemaakt en de benadeelde alleen door tussenkomst van de provider, door middel van het verstrekken van NAW-gegevens, dergelijk onrechtmat ig handelen zou kunnen bestrijden. Facebook heeft dat op zichzelf ook niet betwist. Sterker nog, uit voornoemde algemene voorwaarden en richtlijnen volgt duidelijk dat zij er alles aan stelt te doen om dergelijke onrechtmat ige uit ingen (zoals bijvoorbeeld in de vorm van pesten, het plaatsen van privacygevoelige informatie over anderen, seksueel misbruik) te voorkomen en te bestrijden. Ook mogen gebruikers van Facebook volgens haar richtlijnen geen profielen aanmaken met gegevens die niet van hen zijn.’
Facebook heeft ook niet betwist dat Chantal de NAW-gegevens niet op andere wijze kan achterhalen.
‘Verder heeft Facebook niet betwist dat het openbaar maken van de gewraakte opname waarbij eiseres herkenbaar in beeld seksuele handelingen verricht, jegens haar onrechtmat ig is, noch dat eiseres ten t ijde van het maken van het filmpje minderjarig was. Evenmin heeft Facebook betwist dat eiseres thans niet op andere wijze dan via het benaderen van Facebook de gegevens kan achterhalen van degene die op deze wijze onrechtmat ig jegens haar heeft gehandeld.’
Het gevolg is dat de rechter de hobbel van de rechtsnorm relatief makkelijk kan nemen:
‘Onder deze omstandigheden kan daarom worden aangenomen dat op Facebook in beginsel de rechtsplicht rust om aan eiseres de gevraagde gegevens te verstrekken en dat zij jegens eiseres onrechtmat ig handelt door daartoe niet over te gaan. Facebook heeft, behoudens het navolgende, waarop in r.o. 4.6 en volgende nader wordt ingegaan, geen (juridische) weren, feiten of omstandigheden aangevoerd op grond waarvan zich een dergelijke rechtsplicht in dit concrete geval niet zou voordoen.’
Dan beperk je de juridische strijd. Facebook voert eigenlijk dus maar 1 verweer: namelijk dat ze niet aan de vordering tot verstrekking kan voldoen, omdat de gegevens al gewist zijn:
‘Het inhoudelijke verweer van Facebook dat volgens haar zou moeten leiden tot afwijzing van de vorderingen, is beperkt tot haar stelling dat zij niet aan de vorderingen kan voldoen, omdat de gevraagde gegevens al volledig en permanent gewist zouden zijn.’
Maar zoals ik hiervoor aan aangaf: dat vindt de voorzieningenrechter dit verweer simpelweg niet geloofwaardig. Dat ziet met name op twee fases in het geschil tussen Chantal en Facebook.
(i) De rapporteer fase
Allereerst de fase tussen 22 en 26 januari 2015. Dit betreft (i) het aanmaken van het account en het plaatsen van het filmpje, (ii) de meldingen van andere Facebookers over dat filmpje ('rapportages'), en (iii) het verwijderen van het account. Ik schets nog even de tijdslijn: 22 januari wordt het account aangemaakt en het filmpje geplaatst. Er wordt tot aan 26 januari gerapporteerd dat het filmpje, zeg maar even, 'niet OK' is. Volgens Chantal 5x, en volgens de rechter in ieder geval 2x. Op 26 januari wordt het account verwijderd door Facebook op verzoek van de maker van het account.
Facebook is onduidelijk over die rapportages, en zegt niet te weten of zij nog over informatie beschikt van Facebookers die hebben gerapporteerd; zie hiervoor het eerdere citaat. Facebook stelt dus met zoveel woorden dat die informatie misschien al verwijderd was. De rechter vindt dat weinig geloofwaardig, omdat Facebook zelf suggereert dit soort informatie te moeten hebben, bijvoorbeeld om zich in verbinding te kunnen stellen met de Facebooker over wie wordt gerapporteerd.
Bovendien kan die informatie rondom het moment van rapporteren sowieso nooit verwijderd zijn geweest in deze zaak, want Facebook stelt in een (latere) officiële verklaring dat de informatie over het account in ieder geval tot 10 februari beschikbaar was. En hiermee maakt Facebook zichzelf volgens mij opnieuw ongeloofwaardig, want in haar eigen privacybeleid zegt Facebook dat ze gegevens met betrekking tot het account direct verwijdert als het account wordt verwijderd. Dat had in deze zaak dus op 26 januari moeten zijn gebeurd ...
(ii) De fase na de eerste sommatie
De 2e fase is na de eerste officiële sommatie van Chantal, op 30 april. Ik schets weer even de tijdslijn. Op 30 april sommeert de advocaat van Chantal om gegevens te verstrekken over de persoon die het account heeft aangemaakt en het filmpje heeft geplaatst.
Nog diezelfde dag reageert Facebook afhoudend, namelijk:
‘in order to assist you with your request, we’ll need to receive a valid subpoena or court order. Additionally, please be aware that there are situations where we may be unable to retrieve the informat ion you have requested due to technical limitat ions (…)’.
Op 5 mei sommeert de raadsman wederom. Er gebeurt kennelijk niks en dan besluit Chantal Facebook te dagvaarden voor de zitting van 11 juni jl. Maar pas na die dagvaarding komt Facebook op 8 juni met een officiële verklaring van het hoofd van de afdeling Online Safety Policy. Die verklaring luidt:
‘I have invest igated the Facebook account with user ID [naam digitaal adres] (‘Account’). The user who owned the Account requested that the Account be permanently deleted on 26 January 2015. As of that date, the Account was inaccessible to all people using Facebook. After the fourteen-day wait ing period, Facebook’s systems permanently deleted the Account on 10 February 2015. Because Facebook received no preservat ion request for the Account as of that date, all data, including basic subscriber information, was deleted on 10 February 2015. Facebook has had no access to or record of the informat ion requested by Ms. (…)’.
De rechter neemt het Facebook kwalijk dat ze op 30 april niet al heeft gezegd niet meer over die gegevens te beschikken:
‘Hoewel niet op voorhand aanleiding bestaat om aan de juistheid van de inhoud van die verklaring te twijfelen, is de vraag gerechtvaardigd waarom dit pas op 8 juni 2015 en niet reeds meteen naar aanleiding van de brief van 30 april 2015 aan eiseres is meegedeeld. Indien de gegevens na de brief van 30 april 2015 zijn verwijderd, is dat naar het oordeel van de voorzieningenrechter aan te merken als onzorgvuldig omgaan van Facebook met het door (de raadsman van) eiseres genoemde verzoek.’
Al deze onduidelijkheden leiden uiteindelijk tot een hard slotoordeel:
‘Tegen de achtergrond van voornoemde feiten en omstandigheden is de voorzieningenrechter van oordeel dat Facebook, door op de valreep te volstaan met de mededeling dat zij niet meer over de gevraagde gegevens beschikt bij het naleven van haar – in dit geval in beginsel aanwezige – rechtsplicht jegens eiseres tot het verstrekken van NAW-gegevens met betrekking tot degene die onrechtmat ig jegens eiseres heeft gehandeld, onvoldoende zorgvuldigheid in acht heeft genomen. Daarmee heeft Facebook op haar beurt naar het oordeel van de voorzieningenrechter onrechtmat ig gehandeld jegens eiseres.
Van Facebook kan op zijn minst worden gevergd om alles in het werk te stellen om na te gaan of de gegevens toch niet nog ergens traceerbaar zijn en, zo zij erbij blijft dat dit niet het geval is, om aan eiseres antwoord te geven op de (...) genoemde vragen. In het verlengde daarvan ligt besloten dat in het geval Facebook volhardt in haar standpunt dat geen enkel gegeven meer te vinden is, eiseres in dit geval recht op en belang heeft bij een onafhankelijk onderzoek naar de juistheid van de mededelingen van Facebook op dit punt.’
Voor mij is er maar één conclusie: Facebook is volstrekt niet transparant geweest, hetgeen tot argwaan bij de rechter heeft geleid. Die argwaan leidt tot het zelfs toestaan van een speurtocht naar data door een onafhankelijke deskundige. Dit moet pijnlijk zijn voor Facebook.
2. Onduidelijkheid voor internettussenpersonen: een verkapte bewaarplicht
Facebook bewijst niet alleen zichzelf, maar ook internettussenpersonen in het algemeen een slechte dienst met deze uitspraak. De positie van de neutrale, niet-aansprakelijke internettussenpersoon schuift weer een beetje op, en met deze uitspraak wordt kennelijk een verkapte bewaarplicht geïntroduceerd.
Even een stapje terug in de geschiedenis. Met de implementatie van de e-Commerce Richtlijn2 werd het zogenaamde ‘niet-aansprakelijkheidsregime’ voor internettussenpersonen geïntroduceerd. De Hoge Raad heeft in het Lycos/Pessers-arrest3 als volgt geformuleerd:
‘Met betrekking tot de levering van de in de art ikelen 12, 13 en 14 bedoelde diensten leggen de lidstaten de dienstverleners geen algemene verplicht ing op om toe te zien op de informat ie die zij doorgeven of opslaan, noch om act ief te zoeken naar feiten of omstandigheden die op onwett ige act iviteiten duiden.’ (…)
Art. 6:196c BW luidende, voor zover hier van belang:
‘4. Degene die diensten van de informat iemaatschappij verricht als bedoeld in art ikel 15d lid 3 van Boek 3, bestaande uit het op verzoek opslaan van een ander afkomst ige informat ie, is niet aansprakelijk voor de opgeslagen informat ie, indien hij: a. niet weet van de act iviteit of informatie met een onrechtmat ig karakter en, in geval van een schadevergoedingsvordering, niet redelijkerwijs behoort te weten van de act iviteit of informatie met een onrechtmatig karakter, dan wel b. zodra hij dat weet of redelijkerwijs behoort te weten, prompt de informat ie verwijdert of de toegang daartoe onmogelijk maakt.
5. Het hiervoor bepaalde staat niet in de weg aan het verkrijgen van een rechterlijk verbod of bevel.’
Het ‘niet-aansprakelijk, tenzij’ regime ziet op onmiskenbaar onrechtmatige content. De Hoge Raad introduceert in genoemd Lycos/Pessers-arrest vervolgens ook de algemene rechtsplicht voor het moeten vrijgeven van NAW-gegevens, die leidt tot onrechtmatig handelen als je dat niet doet. Niet onbelangrijk in deze kwestie: Lycos betwist als zodanig niet over deze gegevens te beschikken. Dat ligt in de Facebook zaak natuurlijk wezenlijk anders.
Inmiddels zien we dat de lijn van ‘niet aansprakelijk, tenzij’ aan het schuiven is; ik veronderstel die verschuiving enigszins bekend. Voorbeelden uit het verleden zijn onder andere de uitspraken rondom Marktplaats en Mininova. En recentelijk natuurlijk ook nog de Delfi-uitspraak van het EHRM.4 Rechters zoeken– kennelijk – naar argumenten waaruit blijkt dat je je als internettussenpersoon als het ware toch ‘bemoeit’ met de content. Dat lijkt de voorzieningenrechter in de Facebook-zaak ook te doen:
‘Wat betreft de grondslag van de vorderingen, wordt het volgende voorop gesteld. Onder omstandigheden kan op een provider de rechtsplicht rusten om NAW-gegevens te verstrekken aan een benadeelde (vgl. Hoge Raad 25 november 2005, Lycos/Pessers, ECLI: NL: HR: 2005: AU4019). Dit geldt temeer voor een provider van USG (User Generated Content) als Facebook, die zelf (mede) invloed uitoefent op hetgeen via haar medium wordt verspreid, onder meer door middel van het kenbaar maken van haar richtlijnen, het stellen van voorwaarden aan personen die een account aanmaken en het (al dan niet) ingrijpen wanneer ongepaste of aanstootgevende content wordt geplaatst.’
Ik ben het hier niet mee eens. Het enkel stellen van spelregels om lid te kunnen worden van een platformgemeenschap – die er feitelijk op neerkomen dat je geen onrechtmatige content mag plaatsen – betekent in mijn ogen niet dat je wetenschap hebt van die content. Het is sowieso niet toegestaan om onrechtmatige content te plaatsen, dus ik zie niet in waarom je kleur als neutrale internettussenpersoon verschiet als je contractuele borging van die regel zoekt.
3. Verkapte Bewaarplicht
Facebook betwist over de gegevens te beschikken, maar wordt toch veroordeeld deze gegevens te verstrekken. Dit is wat ik als de ‘verkapte bewaarplicht’ zie. Op drie plaatsen in het vonnis kan je deze verkapte bewaarplicht mijns inziens inlezen. Allereerst met betrekking tot de ‘rapporteer’ knop. Daarvan overweegt de voorzieningenrechter als volgt: ‘eiseres heeft terecht gesteld dat het in de rede had gelegen, gezien het beleid van Facebook zelf met betrekking tot ongewenste berichten, dat Facebook dit soort informat ie zou bewaren’. Met ‘dit soort informatie’ wordt gedoeld op meldingen van Facebookers dat content is ‘gerapporteerd’ als aanstootgevend en/of ongepast. Dat kan wat mij betreft niet anders betekenen dan dat je informatie moet bewaren over de (i) de content, en (ii) persoon over wie gerapporteerd wordt, maar ook over (iii) de Facebookers die rapporteren. Maar wat je dan precies moet bewaren? En in welke omstandigheden moet je die meldingen serieus nemen? Toegegeven, in het filmpje over Chantal is dat eigenlijk klip-en-klaar, maar er zijn ongetwijfeld minder duidelijke gevallen te bedenken. Bovendien kan je dit als gebruikers van een platform beïnvloeden. Even een berichtje aan je ‘vrienden’ om te rapporteren over bepaalde (negatieve) content. Klaar is kees.
Ten tweede met betrekking tot het gebruikersprofiel. Daarvan overweegt de voorzieningenrechter het volgende: ‘indien de gegevens na de brief van 30 april 2015 zijn verwijderd, is dat naar het oordeel van de voorzieningenrechter aan te merken als onzorgvuldig omgaan van Facebook met het door (de raadsman van) eiseres genoemde verzoek.’ Nog even voor de duidelijkheid: dit ziet op het verzoek van Chantal om onder andere naam, adres en woonplaats gegevens te verstrekken. Vast staat dat deze gebruiker zijn profiel heeft verwijderd op 26 januari. Ook staat vast dat de sommatie van Chantal gedateerd is op 30 april. Dat betekent mijns inziens dat je informatie over het gebruiksprofiel kennelijk minimaal 3 maanden moet bewaren.
Ten derde het dictum zelf. De voorzieningenrechter oordeelt dat Facebook de volgende gegevens moet afgeven:
‘a. de (opgegeven) voor- en achternaam
b. het e-mailadres en het mobiele nummer
c. de geboortedatum
d. het IP-adres van de computer die is gebruikt om de account aan te maken
e. de datum en tijd (en andere log-gegevens waarover Facebook mocht beschikken) ten aanzien van het aanmaken, gebruik en het verwijderen van de account’
Saillant: je bent bij Facebook niet verplicht je telefoonnummer op te geven als je een profiel aanmaakt. En nog saillanter wellicht: onderschat niet de reikwijdte en impact van de gegevens onder sub d. en sub e: dit is nogal wat om allemaal te moeten bewaren.
Als uitsmijter is mijn voorspelling dat Facebook (maar ook een beetje de voorzieningenrechter natuurlijk) de internettussenpersoon in een bijna onmogelijke spagaat brengt. Want deze uitspraak bevestigt immers dat je (persoons-)gegevens over onrechtmatig gedrag van je gebruikers moet bewaren. Dan word je op de voet van art. 31 van de Wet Bescherming Persoonsgegevens in de armen van het College Bescherming Persoonsgegevens gedreven. Die dient namelijk ‘voorafgaand aan een verwerking’ een onderzoek te verrichten naar de verwerking van persoonsgegevens over onrechtmatig gedrag te behoeve van derden, met name om de rechtmatigheid van die verwerking te toetsen. Daarmee heeft Facebook haar collega internettussenpersonen dus een slechte dienst bewezen. Wordt ongetwijfeld vervolgd.
