1
Aansprakelijk voor je gasten(-‐netwerk)
Enkele Nederlandse instellingen voor hoger onderwijs overwegen draadloos internet (wifi) aan te bieden aan bezoekers. Dit moet een aanvulling worden op het reeds bestaande wifi-‐netwerk dat zij hebben voor studenten en medewerkers. Dit betreft echter specifieke groepen, terwijl een ‘bezoeker’ lastiger grijpbaar is. Van gastdocent tot bezoekende geïnteresseerde of een toevallige wandelaar. Hun gedrag is lastiger te voorspellen dan dat van de ‘eigen’ mensen. Dit roept de vraag op of de instelling aansprakelijk gehouden kan worden voor wangedragingen op het netwerk? 1.1
Z u i v e r d o o r g e e f l u i k
“Zuivere doorgeefluiken”, in het Engels: “mere conduits”, van informatie kunnen zich beroepen op een vrijwaring van aansprakelijkheid voor hetgeen zij doorgeven. De vrijwaring is opgenomen in artikel 12 van de richtlijn inzake elektronische handel en in Nederland geïmplementeerd in artikel 6:196c lid 1 BW. Degene die toegang verschaft tot een communicatienetwerk is niet aansprakelijk voor de doorgegeven informatie, indien hij/zij: a. niet het initiatief tot het doorgeven van de informatie neemt; b. niet degene is die bepaalt aan wie de informatie wordt doorgegeven; en c. de doorgegeven informatie niet heeft geselecteerd of gewijzigd. Een belangrijke doelstelling van de vrijstelling is om (private) censuur te voorkomen. Vanwege de angst van providers om zelf aansprakelijk te worden gehouden voor doorgegeven informatie, zouden zij immers verder kunnen gaan dan noodzakelijk om zo hun risico op aansprakelijkheden te beperken. Zo zouden zij informatie die weliswaar controversieel en juridisch mogelijk 'op het randje' is, maar waarvan een rechter (nog) niet heeft bepaald dat deze ook echt illegaal is, alvast bij voorbaat kunnen weren. Filters zouden uit zelfbescherming misschien strakker worden afgestemd dan noodzakelijk, wat zou kunnen leiden tot meer 'overvangst' en blokkering van ook legitiem materiaal. In algemene zin kan dergelijke private censuur als onwenselijk worden beschouwd. Het is wel mogelijk dat de rechter of een bestuursorgaan (zoals OPTA, AT of CBP), binnen diens bevoegdheden, een voldoende specifieke maatregel oplegt om een voldoende specifieke inbreuk te beëindigen of te voorkomen. Specifieke filtermaatregelen die zijn gericht tegen specifieke websites of inhoud waarvan de rechter de onrechtmatigheid reeds heeft vastgesteld, kunnen dus verplicht worden gesteld. Hoewel het Gerechtshof Amsterdam een rechterlijk opgelegde filtermaatregel tegen de website thepiratebay.org ongedaan maakte, heeft het Hof van Justitie in de Kino.to uitspraak de deur opengezet voor dergelijke verboden. 1.2
R e i k w i j d t e
Over de exacte reikwijdte van de vrijstelling is veel discussie mogelijk. Uit de formulering blijkt dat aan alle bovengenoemde voorwaarden tegelijk moet zijn voldaan; als één van de omstandigheden niet van toepassing is, is de vrijstelling ook niet van toepassing. Dit betekent dat het de vraag zou kunnen zijn in hoeverre de vrijstelling nog zou gelden wanneer de instelling bepaalde sites zou blokkeren. De instelling zou dan immers geacht kunnen worden in zekere zin te bepalen aan wie er
1
informatie wordt doorgegeven, namelijk aan alle personen/websites met uitzondering van de geblokkeerde. Bepaalde beveiligingsmaatregelen die erop gericht zijn om het risico voor anderen op schade te verminderen, zouden, paradoxaal genoeg, dus ook kunnen betekenen dat de vrijstelling haar toepassing verliest doordat niet meer is voldaan aan één van de voorwaarden hierboven. In de considerans van de richtlijn inzake elektronische handel (nr 43) wordt gesteld dat de provider zich kan beroepen op de vrijstelling als deze “op geen enkele wijze betrokken is bij de doorgegeven informatie”. Dit criterium lijkt de reikwijdte van de vrijstelling iets ruimer te maken. Immers, ook als de instelling voor de veiligheid monitoring en filtering heeft ingesteld, kan m.i. moeilijk worden gezegd dat dit tot gevolg heeft dat de instelling “betrokken” zou zijn bij de informatie die nog wel wordt doorgegeven. Helaas bestaat er geen rechtstreeks relevante jurisprudentie en slechts weinig literatuur om deze argumentatie mee te staven. Een aspect dat hierbij verder relevant kan zijn is dat de vrijstelling is gericht op aansprakelijkheid voor de doorgegeven informatie zelf. Als wij het voorbeeld nemen van een gebruiker die via het gastennetwerk een financiële instelling plat legt, is niet zozeer de door deze gebruiker verzonden informatie zelf onrechtmatig, maar veeleer de daad die met het versturen en ontvangen van de informatie wordt gepleegd. Toch bestaat die daad in werkelijkheid ook uit het sturen van digitale gegevens en het uitgangspunt behoort daarbij wel te zijn dat de instelling, mits zij een 'zuiver doorgeefluik' vormt en niet betrokken is bij het misdrijf zelf, daar niet voor aansprakelijk kan zijn. 1.3
I e t s t e v e r w i j t e n
Overigens is het niet zo dat al het illegaal gedrag dat gebruikers zouden kunnen plegen via het gastennetwerk zomaar aan de instelling toegerekend zou kunnen worden indien de vrijstelling niet van toepassing is. Daarvoor is wel noodzakelijk dat de instelling werkelijk iets te verwijten valt. Van een aanbieder kan in beginsel niet in algemene zin worden verwacht dat deze haar netwerk zo inricht dat het gebruiken ervan voor misdadige doeleinden volstrekt onmogelijk is. Een bepaalde, maar moeilijk in te schatten, mate van filtering en monitoring zou de vrijstelling mogelijk teniet kunnen doen gaan, maar zonder vrijstelling en bij toepassing van de algemene leerstukken van onrechtmatige daad en aansprakelijkheid, zou de instelling in veel, zo niet de meeste, gevallen ook al geen verwijt treffen voor illegaal gedrag van gebruikers van het netwerk. Paradoxaal genoeg zouden bepaalde maatregelen die een beroep op de vrijstelling onmogelijk zouden kunnen maken, in een concreet geval juist kunnen betekenen dat de instelling wat beveiliging en preventie betreft niet heeft tekort geschoten en heeft voldaan aan de mate van zorgvuldigheid die in het maatschappelijk verkeer van haar mag worden verwacht, waardoor zij toch niet aansprakelijk gehouden kan worden.
2
1.4
N e t n e u t r a l i t e i t
De Telecommunicatiewet bepaalt in artikel 7.4a, kort gezegd, dat “aanbieders van internettoegangsdiensten en aanbieders van openbare elektronische communicatienetwerken waarover internettoegangsdiensten worden geleverd”, geen diensten of toepassingen op internet mogen belemmeren of vertragen, tenzij voor zover noodzakelijk voor een legitiem doel uit de limitatieve lijst doelen in de wet. Hiermee is het beginsel van netneutraliteit vastgelegd: internet moet voor iedere gebruiker even goed werken, en iedere dienst op internet moet even goed bereikbaar zijn. De wet noemt vier doelen: a. om de gevolgen van congestie te beperken, waarbij gelijke soorten verkeer gelijk worden behandeld; b. ten behoeve van de integriteit en de veiligheid van het netwerk en de dienst van de betrokken aanbieder of het randapparaat van de eindgebruiker; c. om de doorgifte van [spam] aan een eindgebruiker te beperken, mits de eindgebruiker daarvoor voorafgaand toestemming heeft verleend, of d. ter uitvoering van een wettelijk voorschrift of rechterlijk bevel. Bij elk van deze doelen is vereist dat de maatregel noodzakelijk en proportioneel is. Enkel ‘wenselijk’ zijn van de maatregel is niet genoeg. Zo zal in het algemeen eerder ingrijpen achteraf bij geconstateerde problemen te verdedigen zijn in plaats van preventief iets blokkeren om mogelijke problemen te voorkomen. Doel b wordt nader uitgewerkt in de wet: wanneer de aanbieder constateert dat de integriteit of veiligheid bij een klant wordt gecompromitteerd (bijvoorbeeld door een virus op diens computer) dan dient de klant eerst te worden gewaarschuwd. Pas als dat geen effect heeft, mag de aanbieder overgaan tot technische maatregelen. De werking van artikel 7.4a beperkt nadrukkelijk dus niet tot 'openbare' aanbieders. Dat standpunt heeft ook de Minister van EL&I uitdrukkelijk onderschreven in de beantwoording van kamervragen over de Rijksuniversiteit Groningen (RUG), die Bittorrent-‐verkeer blokkeerde op haar netwerk. 1.5
C o n t r o l e e n h a n d h a v i n g
Een instelling kan bij het aanbieden van de internettoegang uit twee benaderingen kiezen met betrekking tot controle op het netwerk en het vermijden van eigen aansprakelijkheid. a. Ten eerste kan de instelling kiezen om zich geheel niet in te laten met de wijze waarop de internetvoorzieningen worden gebruikt en om het verkeer niet te monitoren of (inhoudelijk) te managen en zodoende de kans van slagen van een beroep op de vrijstelling van aansprakelijkheid te maximaliseren.
3
b. Als alternatief kan de instelling in zekere mate loggen en monitoren wat de gebruikers op het netwerk doen, aan de hand van de persoonlijke aan de gebruiker toegekende inlog-‐ gegevens (gebruikersnaam/nummer en wachtwoord). Vormen van internetgebruik die illegaal of in het kader van de onderwijsverstrekking op de instelling niet toegestaan zijn, zou de instelling zoveel mogelijk technisch kunnen blokkeren. Daarbij kan gedacht worden aan het blokkeren van port 25 ter bestrijding van automatische spam, het blokkeren van bittorrent-‐protocollen ter bestrijding van illegale bestandsuitwisseling en aan het installeren van een filter dat materiaal blokkeert dat ongeschikt wordt geacht voor minderjarigen. De tweede benadering kan de instelling in staat stellen gebruikers aan te spreken op overtredingen van gedragsregels en helpen de veiligheid op het netwerk te vergroten. Tegelijkertijd levert dit de paradox op dat hoe meer de instelling doet, hoe meer er van haar verwacht zal worden. Immers als men gevaarlijke sites X en Y kon blokkeren, waarom dan niet ook Z? En waarom werden wel virussen tegengehouden maar geen maatregelen genomen tegen e-‐mailwormen? Bij de tweede benadering is daarbij moeilijker te verdedigen dat de instelling een zuiver doorgeefluik is, afhankelijk van hoe assertief de instelling zaken blokkeert. Daarbij komt dat het blokkeren van diensten op gespannen voet staat met het wettelijk vastgelegde beginsel van netneutraliteit. Hoewel deze benadering voor de hand ligt vanuit het voorkomen van problemen, roept zij wel weer andere problemen op. 1.6
B e p e r k t e t o e l a t i n g
Een andere weg die kan worden bewandeld, is niet een ieder op het netwerk toe te laten maar enige screening of filter toe te passen. Personen op het netwerk mogen dan doen wat zij willen – benadering 1, de instelling is dan een zuiver doorgeefluik en netneutraal – maar door deze screening aan de poort wordt de kans verkleind dat vervelende dingen gebeuren. De instelling kan bijvoorbeeld gebruikers slechts toelaten nadat een wachtwoord is ingevoerd. Daarmee wordt de anonimiteit van de gebruiker in zeer lichte mate opgeheven – een kwaadwillende zal zich niet snel aan de balie melden om een wachtwoord te krijgen vanwege de sociale controle die dan zal volgen. En wanneer alleen de gastheer van een bezoeker de wachtwoorden mag uitgeven, is er nog meer controle. De instelling kan gebruik maken van internettoegang van een bekende grote internetaanbieder en vast laten leggen dat geen specifieke IP-‐adressen voor haar worden gereserveerd. Daarmee zijn gevallen van misbruik niet te traceren tot de instelling maar slechts tot die provider, hetgeen de PR-‐ impact voor de instelling beperkt. De instelling kan mensen vragen zich te registreren en/of akkoord te gaan met algemene voorwaarden. Dit heeft alleen nut als de opgegeven informatie kan worden gevalideerd. Een valse naam is immers zo te geven. En akkoord op algemene voorwaarden levert ook weinig op wanneer het aldus ontstane contract niet kan worden gehandhaafd tegen de wederpartij.
4
Validatie van informatie kan bijvoorbeeld bij de servicedesk of beveiliging worden uitgevoerd. Dit vereist dan echter dat deze mensen persoonsgegevens van de gasten vastleggen en in staat zijn deze op juistheid te controleren. Dit brengt dan extra beveiligingsmaatregelen met zich mee, zo moeten de verkregen gegevens veilig worden opgeborgen. 1.7
R i s i c o a n a l y s e
Het nemen van maatregelen tegen verwacht misbruik van de draadloos-‐internetfaciliteit brengt de nodige juridische consequenties met zich mee. Dit betekent dat de baten daartegen op moeten zullen wegen.
5