DOSSIERS
Alle dossiers

Internet  

IT 1593

De gestolen naaktfoto’s van Kate Upton, Jennifer Lawrence en tientallen anderen

J. van Groenendaal, De gestolen naaktfoto’s van Kate Upton, Jennifer Lawrence en tientallen anderen, IT 1593
Bijdrage ingezonden door Jurian van Groenendaal, Boekx Advocaten.
Het is even schrikken voor een flink aantal actrices, popsterren en modellen. Een hacker heeft toegang gekregen tot hun iCloud account met daarop persoonlijke foto’s en filmpjes. In deze cloud worden - in beginsel automatisch - kopieën opgeslagen van beelden die met Apple-apparaten zijn gemaakt. En de celebs houden er nogal wat naaktfoto’s en pikante video’s op na. Van onder meer model Kate Upton en actrice Jennifer Lawrence werd dit soort materiaal online gezet. Sommigen ontkenden de authenticiteit van de beelden, maar andere gaven toe dat het om echte foto’s gaat. En er zou nog veel meer gepubliceerd worden. Een lijst met tientallen bekende vrouwen werd gepubliceerd op internetforum 4Chan, waar de hackers hun buit presenteerden.

Voyeurisme
Een schrale troost voor de vrouwen is dat het civielrechtelijk een makkelijke zaak wordt. Het publiceren van foto’s, in de beslotenheid van een privéomgeving genomen, schendt de persoonlijke levenssfeer evident. Al helemaal wanneer er naakt of erotiek in beeld is. Alhoewel het publiek op zichzelf wel informatie mag ontvangen over het privéleven van celebrities, wordt er een grens overschreden wanneer de publicatie niet bijdraagt aan een publiek debat. In de Von Hannover I en II uitspraken heeft het Europese Hof voor de Rechten van de Mens (“EHRM”) het publieke debat als essentieel criterium aangemerkt in de belangenafweging van grondrechten.1 Het grondrecht op bescherming van de persoonlijke levenssfeer aan de ene kant en het grondrecht op vrijheid van meningsuiting aan de andere kant. In de Von Hannover II uitspraak is bovendien overwogen dat het louter bevredigen van nieuwsgierigheid geen zwaarwegend belang is. Het gaat natuurlijk om puur voyeurisme wanneer naaktfoto’s worden gestolen en gedeeld. De manier waarop de foto’s zijn verkregen speelt ook een relevante rol. Het is alsof een inbreker door je onderbroekenla gaat, maar dan voor het oog van de hele wereld. Een belangenafweging door de rechter dient onder deze omstandigheden in het voordeel van de celebrities uit te vallen.

Axel Springer en Naomi Campbell
Het openbaar maken van deze naaktfoto’s is in die zin heel anders dan de zaak over een Duitse acteur door Axel Springer.2 De acteur werd voor bezit van cocaïne gearresteerd op een openbaar festival. Dat vond hij ook tot zijn loutere privésfeer behoren. Een dagblad publiceerde over het voorval met de volledige naam van de acteur en zijn foto. Dat was volgens het EHRM toelaatbaar. Zijn bekendheid bij het publiek, de betrouwbaarheid van de feiten (een openbaar aanklager had het voorval bevestigd) en een drugsverleden speelden in de belangenafweging een rol. Naast het feit dat bekende personen ook een voorbeeldfunctie bezitten voor het publiek. Een soortgelijke zaak betrof supermodel Naomi Campbell die werd gefotografeerd buiten een afkickkliniek.3 Het publiceren van de foto’s ging echter te ver volgens het EHRM. Al was het op zichzelf gerechtvaardigd om over het feit dat zij onder behandeling was te berichten. In het oordeel speelde mee dat de met telelens genomen foto’s een negatief effect op haar behandeling zouden kunnen hebben, en ook niets wezenlijks bijdroegen aan de berichtgeving.

Strafbaar
Het stelen van beeldmateriaal uit de cloud en het openbaar maken van dat materiaal heeft ook zeker strafrechtelijke gevolgen. Computervredebreuk, het omzeilen van een beveiliging en het binnendringen van een computer, is een strafbaar feit. Daarvoor zullen de autoriteiten de hackers van de cloud van de celebrities moeten zien te vervolgen. Maar ook al wordt in deze opinie het woord “stelen” herhaaldelijk gebruikt, van diefstal in de zin van het Wetboek van Strafrecht is geen sprake. Dat is relevant voor iedereen die de foto’s overneemt en openbaar maakt. Zij lopen anders het risico zelf vervolgd te worden voor heling. Volgens de Hoge Raad is diefstal van virtuele items uit een game weliswaar te kwalificeren als diefstal, maar daar ging het om virtuele spullen waarover de eigenaar feitelijk de beschikkingsmacht verloor.4 Dat is bij de foto’s niet het geval. Wel kan het openbaar maken van beeldmateriaal waarvan de verkrijger weet dat het door een misdrijf is verkregen, onrechtmatig zijn.5 SBS mocht geen beelden uitzenden van de gestolen digitale camera van (toen nog) prinses Máxima.

Manon Thomas
In Nederland hebben we de zaak Manon Thomas gehad. Naaktfoto’s en een filmpje van Thomas werden gestolen door haar buurman, die toegang had gekregen tot haar computer. Die foto’s werden gedeeld via MSN aan een klein groepje personen en het filmpje werd op Youtube gezet. De strafrechtelijke veroordeling door rechtbank en gerechtshof voor inbreuk op het auteursrecht, werd door de Hoge Raad gecasseerd wegens een vormfout.6 De primair ten laste gelegde computervredebreuk en belediging konden niet bewezen worden. Voor de ad informandum aan de dagvaarding toegevoegde feiten met betrekking tot inbreuk op het auteursrecht, had een nieuwe dagvaarding gemaakt moeten worden. Dat was niet gebeurd waardoor het OM niet ontvankelijk werd verklaard. Wel was Thomas toen al succesvol in het verwijderen van de foto’s en het filmpje van internet. Naast de strafrechtelijke relevantie van het auteursrecht in deze zaak, in de praktijk zeldzaam, kon zij het ook gebruiken voor civielrechtelijke vorderingen tot verwijdering natuurlijk.

Secundaire openbaarmakers
Of de hackers ooit gevonden en vervolgd worden valt zeer te betwijfelen. Wat wel gaat gebeuren is dat er een leger advocaten achter alle websites aangaat die de foto’s hebben overgenomen en openbaar (blijven) maken. Dat geldt natuurlijk ook voor Nederlandse partijen die inhaken op het verspreiden van de foto’s. Zij lopen een risico. Al is het de vraag of de foto’s werkelijk van het internet af te halen zijn. In geval van bekende persoonlijkheden gaat het verspreiden van “verboden” beeldmateriaal zo snel dat het niet meer in te dammen is. Het Britse koningshuis ondernam geen actie tegen foto’s van prins Harry die zich naakt in een hotelkamer in Las Vegas vermaakte met een onbekende dame. Wel werd er een procedure gestart tegen openbaarmaking van foto’s van Kate Middleton die topless aan het zonnen was in de tuin van een vakantiehuis. De Franse rechter verbood publicatie van de foto’s maar deze waren inmiddels al zo ver verspreid dat daar geen actie meer tegen werd genomen. Om praktische redenen hoogstwaarschijnlijk. Het aanspreken van honderden partijen in talloze jurisdicties is geen makkelijke klus.

1 EHRM 7 februari 2012, ECLI:NL:XX:2012:BW0603 (Von Hannover II), EHRM 24 september 2004, zaak 59320/00 (Von Hannover I)
2 EHRM 7 februari 2012, zaak 39954/08, (Springer / Duitsland)
3 EHRM 18 januari 2011, zaak 39401/04, (MGN Limited / Verenigd Koninkrijk)
4 HR 31 januari 2012, ECLI:NL:HR:2012:BQ9251 (Runescape)
5 Rb. Amsterdam, 20 april 2005, ECLI:NL:RBAMS:2005:AT4199 (digitale camera Máxima)
6 HR 20 maart 2012, ECLI:NL:HR:2012:BU8695 (Manon Thomas)

mr. Jurian van Groenendaal is advocaat media en intellectuele eigendom bij Boekx Advocaten in Amsterdam.

IT 1583

Geen filter voor usenet mits efficiënte NTD-procedure

Hof Amsterdam 19 augustus 2014, IT 1583 (News-service tegen Stichting BREIN)
Uitspraak ingezonden door Christiaan Alberdingk Thijm, bureau Brandeis. Tussenarrest na IEF 10442. Auteursrecht. Aansprakelijkheid 6:196c BW. Eisen effectieve notice-take-down-procedure. NSE voert aan dat de rechtbank moest oordelen of er sprake was van een werk: het gaat slechts over alfanumerieke berichten met fragmenten van werken, zij voert geen handelingen uit om fragmenten om te vormen tot een volledig werk. NSE maakt artikelen openbaar voor zover zij deze vanaf haar servers aan gebruikers ter beschikking stelt. Dat de opslag van berichten op de servers van NSE van voorbijgaande aard is ex 13a Auteurswet wordt door het hof verworpen. De opslag van die berichten is niet de enkele doorgifte en valt niet onder 6:196c lid 1 BW. Het hof oordeelt dat de onderhavige door NSE verrichte diensten (hiërarchische nieuwsgroepen en zoekfunctie) een louter technisch, automatisch en passief karakter hebben. Een efficiënte NTD-procedure is in beginsel voldoende om aan de voorwaarde ex 6:196c lid 4 BW te vervullen. Het hof volgt Brein niet in haar stelling dat NSE het vonnis dat haar dwingt te filteren aan zichzelf te wijten heeft, omdat zij niet de kans heeft gegrepen om maatregelen te nemen.

Er is geen grond voor de toewijzing van de verklaring voor recht dat NSE mede aansprakelijk is als inbreukmaker. Het hof onderzoekt de mogelijkheden tot het opleggen van een minder verstrekkend bevel; een effectieve NTD-procedure is af te meten aan de omvang waarin en de snelheid waarmee inbreukmakend materiaal kan worden verwijderd, in beginsel zonder limiet aan aantal meldingen per tijdseenheid.

Uitsluiting van de aansprakelijkheid
3.4.3. Voor zover NSE de berichten op haar servers opslaat, valt haar dienstverlening niet onder de definitie van artikel 6:196c lid 1 BW. Er is immers sprake van het opslaan van informatie en niet van de enkele doorgifte daarvan. Evenmin kan worden gezegd dat deze opslag uitsluitend geschiedt ten behoeve van het enkele doorgeven van informatie of het enkele verschaffen van toegang tot een communicatienetwerk als bedoeld in het tweede lid van artikel 6:196c BW. Het opslaan van de berichten gedurende de retentietijd heeft immers tot gevolg, en dient daar ook toe, dat de bij de resellers van NSE aangesloten gebruikers in een veelheid aan berichten kunnen opzoeken wat van hun gading is en desgewenst op een door hen te kiezen moment kunnen downloaden wat zij willen. Dat is van een andere orde dan het enkele doorgeven van informatie of het enkele toegang verschaffen tot een communicatienetwerk. Kenmerk daarvan is immers dat de informatie na doorgifte of communicatie zijn nut verloren heeft en daarom verwijderd kan worden en meestal ook daadwerkelijk verwijderd zal worden. Dat is hier niet het geval, mede gelet op de duur van de retentietijd van 400 dagen. Voor zover sprake is van opslag van berichten op haar eigen servers komt NSE dan ook niet de bescherming van artikel 6:196c lid 1 BW toe. Dit geldt eveneens voor de berichten die NSE gedurende de retentietijd op haar servers opslaat voor zover deze afkomstig zijn van andere Usenetproviders. Ook de opslag van deze berichten gaat op dezelfde gronden als hiervoor genoemd, verder dan is bedoeld in artikel 6:196c lid 2 BW.

3.4.4. Het beroep komt erop neer dat de diensten die NSE verricht, voor zover deze bestaan uit het bieden van toegang tot de op haar servers opgeslagen artikelen en de daarmee gegevens mogelijkheid deze berichten te downloaden, diensten die NSE rechtstreeks aan de bij haar resellers aangesloten gebruikers levert, niet onder de bescherming van artikel 6:196c lid 1 BW vallen. Bij het leveren van deze diensten is immers doorslaggevend de opslag van de berichten die door haar gebruikers en door de gebruikers van andere Usenet providers zijn aangeleverd, welke opslag – zoals hiervoor overwogen – niet onder bedoelde bescherming valt.

3.4.6. Het hof is voorst van oordeel dat, voor zover NSE berichten afkomstig van haar eigen gebruikers dan wel van (gebruikers van) andere Usenetproviders gedurende de retentietijd op haar servers opslaat, zij diensten verricht bestaande uit het op verzoek opslaan van een ander afkomstige informatie en dus in beginsel, indien zij aan de onder a en b genoemde voorwaarden van dit artikellid voldoet, wat deze diensten betreft onder de bescherming van artikel 6:196c lid 4 BW valt. Brein heeft dit bestreden door te stellen dat NSE op eigen initiatief heeft besloten om Usenetbestanden langdurig op te slaan, dat NSE de retentietijd bepaalt en aldus niet de gebruikers maar NSE bepaalt wanneer de informatie wordt verwijderd en voorts dat sprake is van anonieme gebruikers. Brein heeft, zo overweegt het hof, met deze stellingen onvoldoende betwist dat de opslag van de berichten plaatsvindt op verzoek van derden. Daaraan doet niet af dat deze derden anoniem blijven – wat daar verder van zij: NSE heeft aangevoerd dat zij wel degelijk in staat is om de identiteit van de poster van een bericht te achterhalen – of dat de gebruiker de door hem geplaatste berichten kennelijk niet zelf kan verwijderen. Brein heeft evenmin voldoende aangevoerd om te concluderen dat NSE een actieve rol heeft met betrekking tot de berichten in die zin dat zij daardoor kennis heeft van of controle heeft over de door haar opgeslagen gegevens. Daartoe is onvoldoende dat NSE zelf de retentietijd bepaalt en dat de gebruikers niet zelf de door hem geplaatste berichten kan verwijderen. Evenmin is voldoende dat NSE kennelijk onderscheid maakt in de retentietijd voor tekstnieuwsgroepen en nieuwsgroepen bestemd voor binaries of dat zij de overzichten van de nieuwsgroepen op aparte servers opslaat. Het verwijderen van de berichten na de retentietijd, ook al wordt kennelijk een onderscheid gemaakt naar de aard van de nieuwsgroep waarin de berichten zijn geplaatst, heeft immers naar uit de stellingen van partijen blijkt een technisch, automatisch en passief karakter. Hetzelfde geldt voor het plaatsen van de overzichten op aparte servers of, zoals reeds besproken, het controleren van de berichten op de aanwezigheid van spam. Voor een andere conclusie is evenmin afdoende dat NSE een zoekfunctie aanbiedt waarmee men (op namen van) nieuwsgroepen kan zoeken. Brein heeft niet aangevoerd dat en toegelicht waarom met betrekking tot enige van deze handelingen kan worden geconcludeerd dat NSE daardoor kennis heeft van of controle heeft over de door haar opgeslagen gegevens. Het hof houdt het ervoor dat – het voorgaande ook in samenhang bezien – de onderhavige door NSE verrichte diensten een louter technisch, automatisch en passief karakter hebben.

3.4.10. Het hof overweegt dat het beschikbaar stellen van een efficiënte NTD-procedure in beginsel voldoende is om de voorwaarde van artikel 6:196c lid 4 onder b BW te vervullen. Een dergelijke procedure komt immers erop neer dat de host na een melding van (een vertegenwoordiger van) een rechthebbende dat inbreukmakend materiaal aanwezig is, dit materiaal onmiddellijk verwijdert. Voor zover Brein beoogt dat de door NSE gehanteerde procedure niet effectief is omdat deze niet voorkomt dat het inbreukmakend materiaal opnieuw wordt ge-upload, volgt het hof haar daarin niet. NSE heeft onbetwist gesteld dat eenmaal ontoegankelijk gemaakt berichten niet wederom beschikbaar kunnen komen door verlate peering, door een back-up-voorziening of doordat berichten met zelfde message-id op andere wijze opnieuw worden geplaatst. Dat is in dit verband voldoende. De voor een beroep op uitsluiting van aansprakelijkheid gestelde voorwaarde houdt niet in dat de host na een melding van inbreuk dient te voorkomen dat hetzelfde inbreukmakende materiaal te allen tijde door een willekeurige gebruiker opnieuw wordt ge-upload. De in lid 4 van artikel 6:196c BW gestelde voorwaarde kan evenmin zo worden uitgelegd dat NSE dient te voorkomen dat door haar gebruikers geposte berichten aan andere Usenetproviders worden doorgegeven. Dit deel van de door NSE geleverde diensten bestaat immers uit de enkele doorgifte van informatie en valt daarmee, zoals reeds hiervoor onder 3.4.5 overwogen, onder de bescherming van het eerste lid van artikel 6:196c BW en niet het vierde.

3.4.11. Dat NSE slechts een maximum aantal meldingen van 25 per uur zou verwerken is in dit verband, gelet op de gang van zaken, niet doorslaggevend. Brein heeft niet gesteld dat zij op enig moment daadwerkelijk meer meldingen per uur aan NSE heeft aangeboden en dat NSE heeft geweigerd deze meldingen te verwerken. Zij heeft evenmin (voldoende concreet) gesteld dat zij aan NSE heeft laten weten meer meldingen per uur te willen aanbieden en dat NSE daarop zodanig heeft gereageerd dat zij daaruit kon afleiden dat NSE dit aantal meldingen niet, ook niet binnen een daaraan in redelijkheid te stellen termijn, zou gaan verwerken. (...) Brein komt gelet op deze omstandigheden geen beroep toe op het ontbreken van een efficiënte NTD-procedure wegens het destijds door NSE genoemde maximum aantal te verwerken meldingen, waarbij het hof ervan uitgaan dat NSE dit aantal heeft genoemd in het kader van het opstarten van de Fast Track-procedure en dus kennelijk niet als een ook op langere termijn definitief te hanteren maximum dat niet verder onderhandelbaar zou zijn. De conclusie van een en ander is dat NSE voor wat betreft de opslag van artikelen op haar servers een beroep toekomst op de uitsluiting van haar aansprakelijkheid als bedoeld in artikel 6:196c lid 4 BW. Het hof volgt Brein aldus niet in haar stelling dat NSE het vonnis, dat haar dwingt te filteren aan zichzelf te wijten heeft, omdat zij niet de kans heeft gegrepen om gepaste maatregelen te nemen.

Handelen in strijd met de zorgvuldigheid
3.8.5. Brein stelt nog dat de binaries 'voor een belangrijk deel' beschermd materiaal bevatten en dat dit grote schade toebrengt aan de rechthebbenden. Zij gaat uit, zo begrijpt het hof, van een percentage van 80 tot 90%. In de Brein overgelegde onderzoeken worden diverse percentages aan inbreukmakend materiaal genoemd. NSE heeft de resultaten van deze door Brein geproduceerde onderzoeken gemotiveerd betwist en heeft daarbij onder meer aangevoerd dat de onderzochte gegeven niet representatief zijn. Zij komt bovendien met een eigen onderzoek waarin wordt geconcludeerd dat 6% van het materiaal inbreukmakend is. Aldus is niet vast komen te staan dat het door Brein genoemde percentage juist is. Brein heeft bewijs aangeboden van het feit dat 'de binaries substantieel inbreukmakend zijn'. Bewijslevering (door een of meer deskundigen) is echter slechts zinvol indien in de te bewijzen feiten aanleiding kan worden gevonden tot een verdergaand bevel dan reeds kan worden gegeven op grond dat NSE tussenpersoon is wier diensten door derden worden gebruikt voor het maken van inbreuken. Brein zal in de gelegenheid worden gesteld zich bij akte hierover uit te laten. Zij zal daarbij rekening dienen te houden met hetgeen hiervoor onder 3.8.3 en 3.8.4 is overwogen. Brein zal in elk geval dienen in te gaan op (a) wat - in concrete termen - het object van onderzoek zou moeten zijn, te meer daar SNE thans geen Usenet diensten verleend, (b) op welke wijze rekening dient te worden gehouden met reeds aan NSE als tussenpersoon op te leggen maatregelen en (c) welke uitkomst tot welke conclusie dient te leiden. NSE zal in de gelegenheid worden gesteld bij antwoordakte te reageren.

Op andere blogs:
bureau Brandeis
SOLV
PatSchreurs.nl

IT 1580

Brief Regering: aanpak van botnets

Brief aan de Voorzitter van de Tweede Kamer der Staten-Generaal, Kamerstukken II 2013-2014, 26 643, nr. 320.
Tijdens het algemeen overleg Cybersecurity van 27 maart jongstleden (Kamerstuk 26 643, nr. 312) is een aantal vragen gesteld over de aanpak van botnets in Nederland. Deze vragen hebben betrekking op de verantwoordelijkheidsverdeling en de samenhang van de activiteiten van de private en publieke organisaties die betrokken zijn bij de aanpak van botnets, alsmede op aspecten als privacy en aansprakelijkheid. Met deze brief voldoe ik, mede namens mijn ambtgenoot van Economische Zaken, aan de toezegging uw Kamer voor de zomer te informeren over de aanpak van botnets in Nederland.

Met enige regelmaat worden burgers het slachtoffer van cybercriminaliteit. Daarbij maken criminelen geregeld gebruik van botnets. Een botnet is een netwerk van samenwerkende apparaten, meestal privé- of bedrijfscomputers, de zogeheten «bots», die met dezelfde malware zijn besmet. Criminelen kunnen een botnet centraal aansturen om de bots voor eigen doeleinden in te zetten. Deze problematiek is door het NCSC in de opeenvolgende Cyber Security Beelden Nederland geschetst.

De dreiging die uitgaat van botnets neemt het kabinet serieus. De aanpak van deze dreiging vraagt inzet van overheid, bedrijfsleven en burgers. De overheid handelt daarbij op verschillende vlakken en vanuit verschillende rollen, zoals hieronder wordt geschetst. Vanuit het bedrijfsleven pakken de Internet Service Providers een actieve rol in de bestrijding van botnets en geven daarbij invulling aan de in de tweede Nationale Cyber Security Strategie (NCSS 2)1 beschreven zorgplicht die leveranciers jegens hun klanten hebben. Daarnaast ligt er voor burgers in de rol als eindgebruiker een belangrijke rol in het verbeteren van de eigen cyberhygiëne.

Bij het bestrijden van botnets is het van belang dat genoemde partijen de volgende maatregelen nemen: het verhogen van veiligheidsbewustzijn en het tegengaan van besmettingen, het actief bestrijden van besmettingen, het opsporen en vervolgen van beheerders van botnets en het verstoren van de werking van botnets.


Verhogen van veiligheidsbewustzijn en het tegengaan van besmettingen

De eigenaar van een computer is zelf verantwoordelijk voor de eigen informatiebeveiliging en heeft daarmee de taak om voldoende maatregelen te nemen om zijn of haar computer vrij te houden van malware. De samenleving dient zich daarom in toenemende mate bewust te zijn van de dreigingen en daarbij bekwaam te handelen. Hiertoe zet de overheid vanuit de NCSS-2 actief in op het verhogen van dit bewustzijn en het versterken van de bekwaamheid. Van 27 oktober tot 6 november 2014 zal voor de derde keer de awareness-campagne Alert Online worden gehouden. Deze draagt bij aan de bewustwording van iedereen in de samenleving om veilig om te gaan met computers. Ook werkt het Ministerie van Economische Zaken samen met het Ministerie van Veiligheid en Justitie en ECP, platform voor de informatiesamenleving, aan een nieuwe informatiebron voor burgers, veiliginternetten.nl. Deze zal in het najaar tijdens de campagne Alert Online worden gelanceerd.

Bestrijden van besmettingen

Bij brief van 17 mei 2011 is uw Kamer geïnformeerd over de Digitale Agenda Nederland2. Hierin is de actielijn Schone computers door aanpak van Botnets opgenomen. Uit deze actielijn is met eenmalige steun van het Ministerie van Economische Zaken het private initiatief van de vereniging Abuse Information Exchange ontstaan. Deze vereniging van internet service providers heeft recent een centrum (Abuse HUB) opgericht dat centraal informatie over botnetbesmettingen verzamelt en verwerkt. Deze informatie wordt ter beschikking gesteld aan leden van de vereniging. Zij kunnen zo besmette computers sneller opmerken en hun klanten beter helpen bij de ontsmetting van hun computers. Bij Abuse Information Exchange zijn de meeste nationale internetproviders aangesloten, samen goed voor meer dan 90% van de vaste internettoegangsmarkt. Het Ministerie van Economische Zaken doet in 2014 onderzoek naar de vraag of botnetbesmettingen bij eindgebruikers in Nederland zijn afgenomen ten opzichte van landen die geen vergelijkbare initiatieven als Abuse Information Exchange hebben ontplooid. Eind 2014 zullen de uitkomsten daarvan beschikbaar zijn. Deze kunnen bruikbaar zijn voor de verbetering van de werking van Abuse HUB en van de aanpak van botnets in Nederland in het algemeen.

Opsporen en vervolgen van botnetbeheerders
Het creëren en gebruiken van een botnet is in Nederland strafbaar. De politie is belast met de opsporing, het Openbaar Ministerie is belast met de vervolging en heeft de leiding bij opsporingsonderzoeken. Botnets zijn een prioriteit voor het Team High Tech Crime (THTC) van de politie. Het THTC heeft in 2013 15 grote onderzoeken uitgevoerd. Bij het merendeel van die onderzoeken maakte een botnet deel uit van de werkwijze van de criminelen. Ook wordt door de politie bijgedragen aan gecoördineerde internationale acties tegen botnets. Botnets worden vaak aangestuurd via computers uit het buitenland. Het is mede daarom vaak lastig de identiteit en locatie van de desbetreffende crimineel te achterhalen. Indien het land waar de crimineel zich bevindt bekend is, dan kan een rechtshulpverzoek worden gedaan of kan de opsporing gezamenlijk ter hand worden genomen. Het is van belang dat het creëren en gebruiken van botnets ook in dat land strafbaar is en dat de autoriteiten voldoende capaciteit en expertise beschikbaar hebben om op te treden. Dat is helaas niet altijd het geval. Het kabinet zet daarom in op het versterken van de internationale samenwerking en het harmoniseren van de (straf)wetgeving. Richtlijn 2013/40 van de Europese Unie over aanvallen tegen informatiesystemen verplicht lidstaten onder meer het stellen van een bepaalde maximumstraf voor het gebruik van botnets bij bepaalde vormen van cybercrime in de strafwetgeving op te nemen. Ik heb een wetsvoorstel in procedure gebracht om de Nederlandse wetgeving in overeenstemming te brengen met deze richtlijn. Dit wetsvoorstel is thans aanhangig bij de afdeling advisering van de Raad van State.

Verstoren van de werking van botnets

Naast op het opsporen van daders, wordt ingezet op het effectief verstoren van botnets zodat burgers en bedrijven die als gevolg van een besmetting onderdeel zijn van een botnet, niet langer bloot staan aan de kwaadaardige invloed van de comman and control server (de centrale computer waarmee een botnet wordt aangestuurd). Bij het verstoren wordt veelal op vordering van het Openbaar Ministerie het dataverkeer van deze command and control server uitgeschakeld door de betrokken provider en worden de voor de opsporing relevante gegevens zeker gesteld. Verder vraagt het NCSC met enige regelmaat, bij gebleken aanwijzingen voor een botnet, nadrukkelijke aandacht hiervoor van de providers. Soms is er sprake van zogenoemde bad hosters. Dat zijn providers die bewust of onbewust een platform bieden aan bad hosting, het aanbieden van servers die onder meer gebruikt worden in botnets. In het najaar zullen politie en OM een pilot starten om bad hosters effectief aan te kunnen pakken. De pilot bestaat uit een samenwerking met de TU Delft om de omvang van bad hosting in kaart te brengen. Daarnaast worden publieke en private partners bij elkaar gebracht om tot een gezamenlijke aanpak van bad hosters te komen.

Rol van het NCSC

Het NCSC, als onderdeel van de NCTV van het Ministerie van Veiligheid en Justitie, vervult zijn taken ter voorkoming en beperking van verstoringen in het digitale domein in het belang van de nationale veiligheid. Het NCSC richt zich daarom op de (rijks)overheid en vitale sectoren. Als spin in het web heeft het centrum toegang tot een veelheid aan informatie over ICT-gerelateerde kwetsbaarheden en dreigingen, waaronder botnets. Wanneer het NCSC, zoals reeds geschetst in mijn brief d.d. 18 maart 20133 over de aanpak van het Pobelka-botnet, de beschikking krijgt over IP-adressen van computers die deel uit maken van een botnet, dan streeft het NCSC ernaar de eigenaar hiervan zo mogelijk op de hoogte te stellen. Bij vitale organisaties en (rijks)overheid gebeurt dat in de regel rechtstreeks. In andere gevallen wordt zo mogelijk samengewerkt met organisaties die op hun beurt de eigenaar op de hoogte stellen. In geval van een grootschalig cyberincident waar botnets bij betrokken zijn en dat kan leiden tot maatschappelijke ontwrichting zal het NCSC conform haar rol, met inachtneming van de bestaande publiek-private contacten en crisismanagementstructuren, de coördinatie op zich nemen voor een gezamenlijke respons. Daarbij voert het NCSC, in samenspraak met andere betrokken overheidspartijen, de eerste analyse uit van de aard van de verstoring en geeft een inschatting van de potentiële maatschappelijke gevolgen. Dit is bijvoorbeeld gebeurd bij het onderzoek naar het Pobelka botnet in het voorjaar van 2013, waarover ik uw Kamer per brief heb geïnformeerd.

Privacybescherming
Bij de activiteiten die worden ondernomen op het gebied van botnetbestrijding is het van belang om zorgvuldig om te gaan met informatiestromen, in het bijzonder daar waar het persoonsgegevens betreft. Bedrijven en overheden die persoonsgegevens verwerken moeten in beginsel aan de eisen van de Wet bescherming persoonsgegevens voldoen. Dit betekent onder meer het nemen van passende technische en organisatorische maatregelen om persoonsgegevens te beveiligen, rekening houdend met de stand van de techniek en afgezet tegen de risico’s die met de specifieke gegevensverwerking(en) zijn gemoeid. In specifieke gevallen kan in aanvulling hierop sectorale wet- en regelgeving van toepassing zijn. De politie verwerkt (persoons)gegevens op basis van een specifieke wet, te weten de Wet politiegegevens (Wpg). Het College bescherming persoonsgegevens is met het toezicht op de naleving en de handhaving van de Wbp en de Wpg belast.

Aansprakelijkheid
Op het punt van civielrechtelijke aansprakelijkheid geldt als uitgangspunt dat wanneer iemand als gevolg van handelen door de overheid of private partijen schade lijdt, ook als dat handelen plaatsvindt in het kader van de aanpak van botnets, in voorkomende gevallen een actie uit onrechtmatige daad kan worden gestart.

Ter afsluiting
Uit het bovenstaande wordt duidelijk dat de aanpak van botnets een samenspel van activiteiten van private en publieke partners vormt. Op 20 juni jongstleden heeft op initiatief van de Ministeries van Veiligheid en Justitie en Economische Zaken en ECP, een publiek-private bijeenkomst plaats gevonden om de aanpak van botnets te bespreken. Naar aanleiding van deze bijeenkomst is besloten tot het instellen een publiek-private botnetwerkgroep, waarin sleutelorganisaties bij botnetaanpak in Nederland vertegenwoordigd zullen zijn. ECP zal het secretariaat van deze werkgroep verzorgen. De werkgroep start na de zomer en zal voor afstemming en regie zorgen op de botnetaanpak in Nederland, kennis en informatie uitwisselen en nieuwe initiatieven ontwikkelen en aanjagen.
Hiermee is het kabinet van mening dat er een samenhangende, brede aanpak van botnets bestaat, die verder wordt uitgebouwd en verdiept. Een veiliger internet door minder botnets versterkt het vertrouwen van eindgebruikers bij het internetgebruik, geeft een impuls voor de ontwikkeling van meer online diensten en leidt tot meer economische groei. Zo wordt een bijdrage geleverd aan een samenleving waarin de kansen die digitalisering ons biedt volop worden benut, dreigingen het hoofd worden geboden en fundamentele rechten en waarden worden beschermd.

De Minister van Veiligheid en Justitie,
I.W. Opstelten

IT 1578

CBP adviseert over 'hackbevoegdheid' politie en opsporingsdiensten

CBP adviseert over 'hackbevoegdheid' politie en opsporingsdiensten, CBPweb.nl 17 februari 2014
Uit de mededeling: Op verzoek van de minister van Veiligheid en Justitie heeft het College bescherming persoonsgegevens (CBP) geadviseerd over het conceptwetsvoorstel Computercriminaliteit III. Hierin worden onder meer nieuwe bevoegdheden voorgesteld om de opsporing en vervolging van computercriminaliteit te verbeteren. Het CBP adviseert het voorstel niet aldus in te dienen.

​In zijn advies bespreekt het CBP de voorgestelde bevoegdheid voor de politie en opsporingsdiensten tot zogeheten 'onderzoek in een geautomatiseerd werk', ook wel aangeduid als 'hackbevoegdheid'. Volgens het CBP wordt onvoldoende onderkend dat deze nieuwe bevoegdheid een ongekend verreikend karakter heeft. Het gaat namelijk om zeer veel gegevens van een uitgebreide kring mensen.
 
De 'hackbevoegdheid' maakt onder meer volledige toegang mogelijk tot alle historische - en ook toekomstige - gegevens opgeslagen op randapparatuur en uitgewisseld met alle hiermee verbonden communicatiekanalen. Dit zijn niet alleen gegevens die de verdachte zelf betreffen, maar ook gegevens van iedereen die in documenten voorkomt of met wie er digitaal contact is geweest. Daarmee raakt de toepassing van deze bevoegdheid een grote groep mensen die geen verdachten zijn.
 
Daarom moet het wetsvoorstel blijk geven van een zorgvuldige afweging binnen de grondrechtelijke kaders van het recht op eerbiediging van de persoonlijke levenssfeer, aldus het CBP. Dit recht is vastgelegd in artikel 10 van de Grondwet en artikel 8 van het Europees Verdrag tot bescherming van de rechten van de mens en de fundamentele vrijheden (EVRM).
 
Inbreuken op grondrechten zijn alleen rechtmatig als wordt voldaan aan de eisen van noodzakelijkheid, proportionaliteit en subsidiariteit. Uit de toelichting op het wetsvoorstel blijken echter onvoldoende de gronden en overwegingen die de noodzaak van invoering van een zo ingrijpende bevoegdheid kunnen rechtvaardigen. Het CBP adviseert daarom het wetsvoorstel beter te onderbouwen.
 

IT 1574

Tegenbewijs ontzenuwt beroep op akte als dwingend bewijsmiddel

Hof Arnhem-Leeuwarden 29 Juli 2014, IT 1574 (Proximedia tegen geïntimeerde)
Bewijs. In navolging van het tussenarrest IT 1333 heeft geïntimeerde bewijs geleverd van feiten en omstandigheden waaruit moest blijken dat de medewerker van Proximedia, voorafgaand aan het sluiten van de overeenkomst aan geïntimeerde heeft meegedeeld dat de maandelijkse aflossing € 5,61 zou bedragen, naast een eenmalige betaling van € 90,-. Proximedia stelt dat de akte waarin de overeenkomst is vervat dwingend bewijs oplevert van de juistheid van hetgeen daarin is opgenomen waaronder ook de prijs van € 201,11 per maand, echter staat tegenbewijs hier volgens het hof open. Het hof acht het geleverde bewijs voldoende en bekrachtigt het vonnis van de rechtbank. (ECLI:NL:RBLEE:2011:BQ6203)

2.7. Het hof stelt voorop dat ingevolge artikel 164 lid 2 Rv de verklaring van [geïntimeerde] omtrent de door haar te bewijzen feiten geen bewijs in haar voordeel kan opleveren, tenzij haar verklaring strekt ter aanvulling van onvolledig bewijs. De beperking van de bewijskracht van de verklaring van de partijgetuige geldt niet als er aanvullende bewijzen voorhanden zijn die zodanig sterk zijn en zodanig essentiële punten betreffen, dat zij de verklaring van de partijgetuige voldoende geloofwaardig maken (Hoge Raad, 31 maart 1995, ECLI:NL:HR:1995:ZC1688). Dit aanvullende bewijs kan naar het oordeel van het hof worden gevonden in de verklaringen van de getuigen [dochter van geïntimeerde] en [medewerker van appellante]. Beide getuigen hebben immers verklaard dat [medewerker van appellante] tijdens het bezoek aan [geïntimeerde] heeft gesproken over een bedrag van € 5,61 of € 5,63. Dat de getuigenis van [dochter van geïntimeerde] uit de aard van haar relatie met [geïntimeerde] - zij is de dochter van [geïntimeerde] - met enige voorzichtigheid moet worden behandeld, is hier niet relevant nu de verklaring van [dochter van geïntimeerde] op dit punt overeenstemt met de verklaring van [medewerker van appellante].

2.10. Op zich is juist dat deze akte dwingend bewijs oplevert dat partijen het over een dergelijk bedrag eens zijn geworden, doch ook tegen een dergelijke akte staat tegenbewijs open (vgl. HR 16 maart 2007, ECLI:NL:HR:2007: AZ0613 en HR 22 oktober 2010, ECLI:NL:HR:2010:BM8933). Dit tegenbewijs is geleverd indien het in de akte vervatte bewijsmiddel is ontzenuwd, terwijl het tegenbewijs, gelet op de toepasselijke Haviltex-maatstaf, op alle omstandigheden van het geval betrekking heeft. Het hof acht het geleverde bewijs, onder verwijzing naar hetgeen hiervoor is overwogen, dusdanig sterk dat het de akte waarop Proximedia zich beroept, voldoende heeft ontzenuwd. Onder de gegeven omstandigheden mocht Proximedia er niet vanuit gaan dat [geïntimeerde] de overeenkomst had willen sluiten indien de vergoeding € 201,11 per maand bedroeg.
IT 1572

Automatische koppeling internetbankieren voor online huishoudboekje niet toegestaan

Vzr. Rechtbank Midden-Nederland 30 juli 2014, IT 1572 (ING tegen AFAS Software)
Software. Internetbankieren. ING-betaalrekeninghouders kunnen internetbankieren via Mijn ING. Via het onlineplatform AFAS Personal biedt AFAS aan particuliere klanten een online huishoudboekje aan om beter inzicht te krijgen in hun geldzaken. AFAS introduceert een nieuwe functionaliteit waarbij transactiegegevens automatisch worden gesynchroniseerd in AFAS Personal. Hiervoor moeten particuliere betaalrekening-houders hun persoonlijke gebruikersnaam en wachtwoord invoeren in AFAS Personal. Daarnaast maakt AFAS Personal gebruik van het ING-beeldmerk en ING-logo. Het verbod om deze functionaliteit aan te bieden wordt toegewezen. Staking van merk- en auteursrechtinbreuk wordt afgewezen.

4.8. (…) Vaststaat dat de NVB, De Nederlandsche Bank (DNB) en de individuele grootbanken, waaronder ING, sinds 2007 diverse inspanningen verrichten om (schade door) fraude met internetbankieren terug te dringen. Dit onder meer door particuliere betaalrekeninghouders bewust te maken van de gevaren en risico’s die kleven aan het onjuiste gebruik van persoonlijke authenticatiemiddelen als inlognaam en wachtwoord. De gezamenlijke boodschap is dat dergelijke persoonlijke authenticatie-middelen geheim moeten worden gehouden. In dat licht heeft ING in haar algemene voorwaarden opgenomen dat persoonlijke inloggegevens niet op een andere site dan die 
van ING mogen worden ingevoerd. Indien de particuliere betaalrekeninghouder zich aan deze en de andere in de voorwaarden genoemde veiligheidsregels houdt, dient ING hem te compenseren voor het geval hij niet met een betaling heeft ingestemd (zie artikel 79 Voorwaarden Betaalrekening en de Voorwaarden Mijn ING). AFAS is van dit alles op de hoogte. ING heeft AFAS daar in het kader van de gesprekken over een mogelijke samenwerking immers op gewezen. Door het aanbieden van de automatische updatefunctie zet AFAS de particuliere ING-betaalrekeninghouders desondanks aan tot het – in strijd met hun verplichtingen jegens ING – invoeren van hun persoonlijke inloggegevens op een andere site dan Mijn ING. Weliswaar biedt AFAS gebruikers van het online huishoudboekje nog steeds de mogelijkheid om transactiegegevens handmatig naar AFAS Personal te uploaden, maar deze optie wordt door AFAS ontmoedigd. Bij de vraag “Hoe wil je je ING rekening toevoegen?” in AFAS Personal wordt vermeld dat de automatische koppeling – aangeduid met een afbeelding van een haas – wordt aanbevolen en dat de gegevens via deze methode het snelste en beste worden bijgewerkt. Bij de handmatige koppeling, die wordt aangeduid met een afbeelding van een schildpad, wordt vermeld “lastig en tijdrovend” (productie 4 van AFAS). Door deze handelwijze ondermijnt AFAS het hiervoor geschetste veiligheidsbeleid van (onder meer) ING. Dat klemt te meer nu door het gebruik van het ING-beeldmerk ten onrechte wordt gesuggereerd dat ING tegen de automatische koppeling geen bezwaar heeft. Hoewel aan AFAS moet worden toegegeven dat in de “FAQ” op AFAS Personal is opgenomen dat ING geen voorstander is van het invullen van inloggegevens op de site van een derde partij zoals AFAS Personal, wordt daarbij niet vermeld dat een dergelijke handeling in strijd is met de algemene voorwaarden van ING. Evenmin wordt vermeld wat de gevolgen daarvan kunnen zijn voor de particuliere ING-betaalrekening-houder.

4.11. Uit het hiervoor overwogene volgt dat ING een spoedeisend belang heeft bij het onder I gevorderde verbod. Door het onrechtmatig handelen van AFAS wordt immers de veiligheid van het internetbankieren, waarin ING aanzienlijk investeert, in gevaar gebracht. Voldoende aannemelijk is dat ING als gevolg van fraude met internetbankieren schade lijdt. De voorzieningenrechter is daarom van oordeel dat het belang van ING bij toewijzing van het verbod dient te prevaleren boven het belang van AFAS bij afwijzing daarvan. Daarbij wordt mede in aanmerking genomen dat AFAS haar diensten ook kan aanbieden zonder automatische koppeling. Dat het handmatig downloaden en uploaden van transactie-gegevens omslachtig is, is onvoldoende zwaarwegend om tot een ander oordeel te komen.

Merken en logo
4.15. Hiervoor is overwogen dat AFAS de huidige automatische updatefunctie niet meer mag aanbieden. Indien deze functie niet meer wordt gebruikt, wordt ook geen gebruik meer gemaakt van het ING-beeldmerk en ING-logo in dat verband. Dit brengt mee dat ING c.s. geen belang heeft bij de vorderingen onder II en III. De voorzieningenrechter neemt daarbij in aanmerking dat ING c.s. heeft gesteld dat ING Groep geen moeite had met de oude propositie van AFAS en daarom het gebruik van haar beeldmerk en logo door AFAS toestond. Bovengenoemde vorderingen zullen dan ook worden afgewezen. Of er een zelfstandige grondslag bestaat voor deze vorderingen kan derhalve in het midden blijven.

Andere blogs:
SOLV

IT 1567

Ontbinding koopovereenkomst niet rechtsgeldig door gelding ontvangsttheorie

Vzr. Rechtbank Midden-Nederland 11 juli 2014, IT 1567 (eiseres tegen gedaagden)
Ontbinding koopovereenkomst. Ontvangsttheorie. Eiseres en gedaagden hebben een koopovereenkomst gesloten met betrekking tot een woning. In de koopovereenkomst is een ontbindende voorwaarde opgenomen, wanneer de bank weigert de hypotheek te royeren. Gedaagden beroepen zich op de ontbindende voorwaarde en hebben hiertoe een e-mail verzonden naar eiseres. Eiseres stelt dat gedaagden tekort zijn gekomen in de nakoming van hun verplichtingen uit hoofde van de koopovereenkomst door de woning niet te leveren en vordert nakoming. Tevens betwist zij de ontvangst van de e-mail. Er kan geen beroep worden gedaan op de ontbindende voorwaarde op grond van de ontvangsttheorie.

4.5. Nog daargelaten of de inhoud van de e-mail van 9 mei 2014 van 15:28:03 uur voldoet aan hetgeen is bepaald in artikel 23 jo artikel 16.3. van de koopovereenkomst kan er voorshands niet van worden uit gegaan dat deze e-mail [eiseres] heeft bereikt. [eiseres] heeft de ontvangst van deze e-mail betwist. De voorzieningenrechter is van oordeel dat ingevolge artikel 3:37 BW de zogenaamde ontvangsttheorie dient te gelden, hetgeen betekent dat een tot een bepaalde persoon gerichte verklaring (in dit geval het beroep op artikel 23 van de koopovereenkomst richting [eiseres]) pas zijn werking heeft als de verklaring die persoon heeft bereikt. Verzending alleen is niet voldoende. Een verklaring die de geadresseerde niet bereikt heeft geen werking. De bewijslast ligt op degene die zich op de gevolgen van de mededeling – in casu ontbinding van de koopovereenkomst – beroept. Het is aan [gedaagde 1] en [gedaagde 2] om aan te tonen dat de e-mail van 9 mei 2014 van 15:28:03 uur [eiseres] ook heeft bereikt. Nu deze e-mail zonder ontvangstbevestiging is verstuurd, kan van de ontvangst niet worden uitgegaan. Het aanbod ter zitting van [gedaagde 1] en [gedaagde 2] om bij Google te laten onderzoeken of de e-mail daadwerkelijk is verstuurd, wordt gepasseerd nu voor nadere bewijslevering in het kader van dit kort geding geen plaats is.

De voorzieningenrechter is van oordeel dat van een professionele partij, als de door [gedaagde 1] en [gedaagde 2] ingeschakelde makelaar, mag worden verwacht dat hij in het geval er sprake is van een cruciale verklaring, zoals het onderhavige beroep op een ontbindende voorwaarde, zich ervan vergewist dat deze verklaring is ontvangen door de wederpartij, door middel van het vragen van ontvangstbevestiging en/of leesbevestiging, dan wel had de makelaar in de e-mail zelf om een bevestiging van ontvangst moeten vragen of moeten verifiëren bij [eiseres] of zij de e-mail in goede orde heeft ontvangen.
De voorzieningenrechter voegt hieraan nog toe dat de door [gedaagde 1] en [gedaagde 2] overgelegde e-mail van 9 mei 2014 van 15:28:03 uur waar zij zich op beroepen niet is voorzien van een geadresseerde en dat er geen stukken van de bank zijn toegevoegd, zodat er voorshands niet vanuit kan worden gegaan dat [gedaagde 1] en [gedaagde 2] hebben voldaan aan de “documentatie-eis” van artikel 16.3. van de koopovereenkomst. De omstandigheid dat de makelaar van [gedaagde 1] en [gedaagde 2] heeft verzuimd zich overeenkomstig het bepaalde in de koopovereenkomst te beroepen op de ontbindende voorwaarde komt voor rekening en risico van [gedaagde 1] en [gedaagde 2].

4.7.
Voorgaande betekent dat de gevorderde veroordeling tot nakoming van de koopovereenkomst toewijsbaar is en dat [gedaagde 1] en [gedaagde 2] zullen worden veroordeeld om binnen vijf dagen na betekening van dit vonnis te verschijnen bij de notaris en mee te werken aan de levering van de woning. Voorts zal worden bepaald dat dit vonnis zo nodig in de plaats treedt van de (handtekening onder de) akte tot levering als bedoeld in artikel 3:300 BW, indien [gedaagde 1] en [gedaagde 2] niet verschijnen bij de notaris en de notaris bericht heeft ontvangen dat het gekochte vrij is van hypotheken en beslagen.



IT 1565

ACM mag verzoek tot opschorting invordering spamboete weigeren

Rechtbank Rotterdam 17 juli 2014, (eiser tegen ACM, voorheen OPTA) ECLI:NL:RBROT:2014:5821
Persbericht: De Autoriteit Consument & Markt (ACM) -destijds OPTA- heeft in 2007 aan een overtreder van het spamverbod  een boete opgelegd van 55.000 euro. Nadat deze boete definitief was geworden wilde ACM de boete gaan invorderen. De overtreder heeft ACM verzocht de invordering van de opgelegde boete op te schorten omdat hij de boete naar eigen zeggen niet kon betalen.

ACM heeft het verzoek afgewezen, omdat de overtreder zijn verzoek onvoldoende had onderbouwd. Deze beslissing heeft de overtreder vervolgens aangevochten. In beroep oordeelt de rechtbank dat ACM de overtreder voldoende mogelijkheden heeft gegeven om  te onderbouwen waarom hij de boete niet kon betalen. In de stukken die de overtreder had overgelegd, werd onvoldoende duidelijk of de overtreder de boete wel of niet kon betalen. De rechtbank is van oordeel dat ACM voor de onderbouwing mocht vragen naar een accountantsverklaring en geen genoegen hoefde te nemen met een verklaring van een boekhouder.

Bovendien vindt de rechtbank de klacht van die de overtreder bij het Europese Hof van de Rechten van de Mens heeft ingediend geen reden om de invordering van de boete op te schorten. De boete is namelijk onherroepelijk vast komen te staan na de uitspraak van het College van Beroep voor het bedrijfsleven. Volgens de rechtbank mocht ACM in deze zaak weigeren om de invordering van de boete op te schorten.

IT 1564

Canvas Fingerprinting: De Volgende Worsteling Met De Cookiewet? Of Gewoon Een Privacy-Inbreuk?

Redactionele bijdrage ingezonden door Mark Jansen, Dirkzwager. Op diverse websites, waaronder op Tweakers, wordt op dit moment geschreven over een nieuwe techniek om internetters te kunnen volgen: canvas fingerprinting. In dit artikel sta ik kort stil bij de mogelijke juridische complicaties.

Wat is canvas fingerprinting?
Canvas fingerprinting komt, als ik het goed begrijp, in de kern neer op het volgende. Het is in moderne browsers eenvoudig mogelijk om een afbeelding door de browser te laten genereren. De afbeelding staat dan niet opgeslagen op de server van de websitehouder, maar ontstaat pas bij het bekijken van de website. De aanbieder van de website kan hiermee ruimte en bandbreedte uitsparen, maar veel interessanter: dynamische afbeeldingen maken (zoals een afbeelding met de naam van de bezoeker in beeld, of denk ook aan overtype-codes die je wel eens bij formulieren ziet staan).

De locatie op het scherm waar die afbeelding wordt gegenereerd wordt het canvas genoemd. De vingerafdruk komt vervolgens als volgt in beeld: het blijkt dat verschillende browsers op basis van dezelfde instructies, toch een verschillende afbeelding produceren. De verschillen zijn soms slechts heel miniem. Dit verschijnsel kan worden veroorzaakt door de versie van de browser, maar bijvoorbeeld ook de grafische kaart die wordt gebruikt.

De uiteindelijk gemaakte afbeelding, zegt dus iets over het apparaat waarop/waarmee deze is gemaakt. Door de gegenereerde afbeelding tot in detail te onderzoeken, ontstaat dan ook een soort vingerafdruk van het betreffende apparaat. Het lijkt in zoverre dus op een variant van het al bekende device fingerprinting.

Zijn deze handelingen toegestaan of niet?
De cookiewet (eigenlijk: artikel 11.7a Telecommunicatiewet) verbiedt – kort samengevat – om zonder toestemming van de gebruiker “toegang (…) te verkrijgen tot gegevens die zijn opgeslagen in de randapparatuur van een gebruiker dan wel gegevens (…) op te slaan in de randapparatuur van de gebruiker“.

Dit roept de vraag op of het analyseren van de wijze waarop een browser een afbeelding genereert, sprake is van het verkrijgen van toegang tot “gegevens die zijn opgeslagen in de randapparatuur van een gebruiker“. Daarvoor is de vraag wat is bedoeld met “opgeslagen“: de gegenereerde afbeelding staat immers niet op de harde schijf van de eindgebruiker, maar zal vermoedelijk wel ergens in het werkgeheugen worden vastgehouden (om te kunnen vertonen). Ik vraag me af of de Europese wetgever bij het opstellen van de eprivacy richtlijn ook dergelijke toegang heeft voorzien en heeft bedoeld op te nemen in de richtlijn. Gelet op punt 24 in de considerans lijkt een ruime privacybescherming bedoeld; aan de andere kant lijkt de richtlijn gelet op overweging 25 toch wel sterk op cookie toegespitst.

Toezichthouder is helder: het mag niet
De toezichthouder ACM is in ieder geval wel heel stellig. In de huidige FAQ op de cookiewet valt immers het volgende te lezen:

'Alle gegevens die na het initiële request worden geplaatst of uitgelezen vallen wel onder het bereik van artikel 11.7a Tw.'

Met andere woorden: het op enige wijze uitlezen van gegevens over de computer van de gebruiker dat niet functioneel is, vereist volgens ACM toestemming van die gebruiker. In een eerder blogbericht signaleerde ik overigens al dat dit nieuwe vragen oproept. Die vragen zullen denk ik alleen maar verder toenemen met de opkomst van technieken als responsive design en progressive enhancement.

Gelet op de (enorme) hoogte van de boetes die ACM op kan leggen, en het gegeven dat je die boete pas aan kunt vechten nadat deze (met persbericht en al) is opgelegd, doen partijen er echter verstandig aan die discussieruimte niet op te zoeken en dergelijke nieuwe technieken dus (voorlopig) niet te gebruiken.

Waarom maken we de privacywet niet duidelijker?

Uit het voorgaande volgt dat er discussie mogelijk is of dergelijke technieken wel of niet onder de specifieke “cookiewet” vallen. Vervolgens kun je nog de discussie voeren of canvas fingerprinting niet onder omstandigheden (ook) functioneel kan zijn (en daarmee toegestaan onder de cookiewet). Dergelijke discussies zijn overigens een logisch bijeffect van wetgeving die heel specifiek gedrag reguleert.

Mijn stelling is dat het zinvoller is het specifieke belang in kwestie te reguleren (bescherming van de privacy) dan een bepaalde techniek (cookies, canvas fingerprinting, een toekomstige techniek, etc.). Voor de bescherming van de privacy is er al lang wetgeving in de vorm van de Wet bescherming persoonsgegevens (zie ook onze privacycheck). Het zou m.i. veel zinvoller zijn wanneer op basis van die wet duidelijke grenzen worden gesteld aan het volgen van individueen, dan dat er middels specifieke wetgeving grenzen worden gesteld aan volgtechnieken.

In de recente opinie van de artikel 29 werkgroep over de grondslag van het gerechtvaardigd belang, wordt deze duidelijkheid in grote lijnen gegeven. De privacytoezichthouders laten namelijk weten dat in hun visie, onder de privacywetgeving, er “bijna altijd” toestemming vereist is voor het volgen van mensen:

'In this respect, it is useful to recall the Working Party’s Opinion on purpose limitation, where it is specifically stated that ‘when an organisation specifically wants to analyse or predict the personal preferences, behaviour and attitudes of individual customers, which will subsequently inform ‘measures or decisions’ that are taken with regard to those customers …. free, specific, informed and unambiguous ‘opt-in’ consent would almost always be required, otherwise further use cannot be considered compatible. Importantly, such consent should be required, for example, for tracking and profiling for purposes of direct marketing, behavioural advertisement, data-brokering, location-based advertising or tracking-based digital market research.’

Het is nu alleen nog afwachten wanneer deze redenering voor het eerst wordt toegepast. In rapportages van het CBP over YD Advertising en de cookies bij de NPO is dit al terug te zien. Het is nu wachten op de eerste last onder dwangsom of, zodra de wet daartoe is aangepast, de eerste boetes. Daarna pas kunnen we zien of de rechter het standpunt van de WP29 en het CBP in deze ook volgt. We houden u op de hoogte.

Mark Jansen

IT 1556

Report of workshop on Privacy, Consumers, Competition and Big Data

EDPS: Report of workshop on Privacy, Consumers, Competition and Big Data, 2 june 2014
In March 2014 the EDPS published a Preliminary Opinion on 'Privacy and competitiveness in the age of big data: The interplay between data protection, competition law and consumer protection in the Digital Economy'. The paper has helped stimulate discussions between policy makers, regulators and specialists across these policy areas. The EDPS hosted a workshop in Brussels on 2 June, attended by experts from the European Commission, national regulators, academics and NGOs, as well as the US Federal Trade Commission.

This report of the workshop is structured according to the five big, overlapping themes which were subject of discussions:

1. The features of the digital economy and the importance of personal data to its development
2. The aims of competition law and how those are played out in practice
3. The various ways in which the interests of the ‘consumer’ are understood in competition law and consumer protection law
4. The extent to which privacy is considered a competitive advantage in digital markets
5. Challenges for enforcement cooperation in the fields of competition, consumer protection and data protection. (...)

Conclusions
It was agreed that stakeholders, regulators and experts should continue to talk about how data protection principles, in particular those of purpose limitation and legitimate interest, can be applied to the digital economy, and how the various policy areas could be deployed most effectively to facilitate transparency, choice and competitiveness in privacy policies which protected the fundamental rights and interests of individuals. Data protection and competition specialists do not necessarily speak the same language. Laws may currently be applied effectively to address visible large scale abuses. But the laws seem not to cover the incremental ‘day-by-day drops into the ocean of data’ which are assembled to construct user profiles, where even seemingly innocuous data can reveal sensitive information. This process will be accelerated as more and more devices go online, which will in turn intensify the need for privacy by design, high standards of data security and data minimisation. (…)