INFORMATIEBEVEILIGING

juli 2009 nummer 5

AutoNessus: makkelijk herhaald scannen

Black Hat Europe

European Identity Conference 2009

Anonimiteit versus verantwoording

http://creativecommons.org/licenses/by­sa/3.0/nl/

INFORMATIEBEVEILIGING

Vertrouwelijke informatie in het buitenland

Internet: anonimiteit versus verantwoording Auteur: ing. Ellen Wesselingh > Ellen Wesselingh is als docent verbonden aan de opleiding Information Security management van de Haagse Hogeschool.

Dienstverleners die diensten aanbieden op internet kunnen te maken krijgen met het gedrag van hun klanten. Internet is een digitale openbare ruimte, waar mensen met hun uitingen of handelen anderen kunnen beschadigen. We denken dan aan uitingen die door derden als beledigend of als laster worden ervaren, of het aanbieden van inhoud die intellectuele eigendomsrechten schendt. De derde wiens belang wordt geschonden, zal willen weten wie de persoon is die dit heeft gedaan en zal dan een beroep doen op de internetdienstverlener om persoonsgegevens van de anonieme eigenaar van de informatie te achterhalen, de NAW (naam, adres, woonplaats) gegevens. De dienstverlener heeft er een zeker belang bij dat zijn klanten (de inhoudsaanbieders) geen onrechtmatige dingen doen via de diensten die hij aanbiedt, maar is niet zelf direct in zijn belang geschaad. Wat moet die dienstverlener dan met een verzoek om hulp bij de aanpak van de inhoudsaanbieder die de rechten van een derde partij schendt?

Het verzoek om verstrekking van persoons­

gestreden (waarover later meer), maar om

De branche over het verstrekken van

gegevens brengt de internetdienstverlener

een aantal redenen is dit een onwenselijke

identificerende gegevens

in een spanningsveld tussen enerzijds het

situatie.

De gang naar de rechter is niet ideaal en

recht op persoonlijke levenssfeer en

daarom heeft een aantal partijen het

anderzijds het recht om gevrijwaard te

Ten eerste is de gang naar de rechter een

initiatief genomen om tot een andere

blijven van allerlei onrechtmatige uitingen

forse drempel. Het is een zwaar middel om

procedure te komen. In oktober 2008 is

en criminaliteit. Het eerste verplicht de

via de rechter gegevens af te moeten

de gedragscode Notice-and-Take-Down van

dienstverlener niet zo maar de gegevens

dwingen voordat over de inhoud van het

kracht geworden. De code beschrijft hoe

van zijn klanten vrij te geven, het tweede

conflict gestreden kan worden. Daarnaast

dienstverleners moeten omgaan met

verplicht de dienstverlener om mee te

wordt de rechterlijke macht door dit soort

meldingen van onrechtmatig en strafbaar

werken door gegevens ter beschikking te

procedures extra belast. Tenslotte is het

gedrag. De acties die een dienstverlener

stellen. Dit belangenconflict is hieronder

een vreemde situatie dat de dienstverlener,

kan ondernemen zijn bijvoorbeeld het

weergegeven. De focus in dit artikel ligt op

die in feite geen partij in het conflict is,

off-line halen van ongewenste inhoud en

de relatie tussen de derde en de dienst­

zich voor de rechter moet verantwoorden

het verstrekken van persoonsgegevens aan

verlener. Tot nu toe werd de strijd om de

ten behoeve van iemand anders.

anderen wiens belang is geschaad.

persoonsgegevens nogal eens via de rechter

Onderschrijving van de code is vrijwillig en betreft internetdienstverleners in

Figuur 1: spanningsveld bij anonieme uitingen

Nederland. De gedragscode geeft vooral de procedurele aspecten aan, er wordt geen indicatie gegeven van wat ongewenste inhoud zou kunnen zijn. Wel wordt gesteld dat er een argument gegeven moet worden voor de beoordeling of er persoonsgegevens moeten worden verstrekt, waarbij dat argument de onmiskenbare onrechtmatigheid en/of strafbaarheid duidelijk maakt. Het is niet altijd juridisch af te dwingen dat de persoonsgegevens van de inhoudsaanbieder worden verstrekt, maar de gedragscode sluit nadrukkelijk aan bij de stappentoets die door het hoogste rechtscollege, de

14 •

• • • • • Informatiebeveiliging juli 2009

Figuur 2: wie stelt welke regels vast?

Hoge Raad, is gegeven voor het verstrekken

heid waar de rechter uitgaat van aanneme­

het blokkeren van een mogelijk onrecht­

van persoonsgegevens.

lijke onrechtmatigheid, de gedragscode

matige inhoud, niet op verstrekking van

geeft echter een strengere toets aan.

persoonsgegevens. Het bureau benaderde

De gedragscode maakt onderscheid tussen

Daarnaast maakt de gedragscode niet

zeven dienstverleners met het verzoek om

een onmiskenbaar onrechtmatige inhoud en

helder dat de dienstverlener afzonderlijke

vermeend auteursrechtelijk beschermd

de situatie dat de dienstverlener niet tot

afwegingen moet maken voor het blokkeren

materiaal te verwijderen. Het verzoek

een eenduidig oordeel kan komen. In het

van de inhoud en het verstrekken van

voldeed niet aan de eisen die in de

eerste geval worden de identificerende

identificerende gegevens. Ook het juridi­

gedragscode worden gehanteerd, niettemin

gegevens verstrekt, in het tweede geval

sche belangrijke principe van hoor en

gingen vijf van de zeven dienstverleners

niet. Als niet tot een eenduidig oordeel

wederhoor is niet geborgd in de gedrags­

over tot verwijdering of blokkering zonder

te komen is, zal de dienstverlener de

code. Ten slotte is de code weinig specifiek

te onderzoeken of de klacht over schending

inhoudsaanbieder op de hoogte stellen

over de afhandeling van het contact met de

van het auteursrecht daadwerkelijk doel

en verzoeken de inhoud te verwijderen.

inhoudsaanbieder indien deze zich beroept

trof. Verder blijken veel dienstverleners

De gedragscode sluit in zoverre aan bij de

op zijn recht op anonimiteit.

geen procedure te hebben of - indien er

wet dat deze code voornamelijk gaat over het blokkeren van onrechtmatige inhoud.

wel een procedure is - zich er niet aan te In hoeverre zijn dienstverleners bereid

houden. Kortom; de resultaten zijn nog

zich aan de gedragscode te conformeren?

niet overtuigend. Maar waarom eigenlijk

Er zit in de code nog een aantal punten dat

In maart 2009 deed het bureau ICTRecht

die gedragscode, waar ook nog eens

voor problemen kan zorgen bij verstrekking

weinigen zich aan houden?

van persoonsgegevens. De gedragscode

een onderzoek naar de toepassing van de code door diverse dienstverleners1. Het

gaat uit van onmiskenbare onrechtmatig­

onderzoek had uitsluitend betrekking op

1. Zie ICTRecht, Onderzoeksrapport – Notice & Takedown in Web 2.0: Never Neverland?, 6 maart 2009

Informatiebeveiliging juli 2009 • • • • • •

15

Internet: anonimiteit versus verantwoording 16 •

Van Europese richtlijn tot gedragscode

van de dienstverlener is voor wat betreft

auteursrecht in Nederland bij de

De Europese Gemeenschap heeft al in een

verstrekken van persoonsgegevens niet en

belangenafweging de betreffende bepaling

vroeg stadium onderkend dat regulering

het blokkeren van uitingen wél expliciet in

in de Auteurswet moet meenemen.

van het Internet een belangrijke

de Europese richtlijnen en de nationale

Daarnaast moet bij de verstrekking van

voorwaarde is voor het realiseren van de

wetgeving geregeld. Die onduidelijkheid

persoonsgegevens rekening worden

vrije handel in de Europese Unie. Daartoe is

heeft er toe geleid dat een groot aantal

gehouden met de eisen die de Wet

een aantal richtlijnen op het gebied van

lidstaten van de EU in de nationale

elektronische handel uitgevaardigd, dat in

wetgeving een algemene verplichting tot

Bescherming Persoonsgegevens (Wbp) stelt2.

Nederland is uitgewerkt in het recht dat de

verstrekking van die gegevens heeft

relaties tussen private (rechts)personen

opgenomen, in zowel strafrechtelijke als

Omdat de verantwoordelijke partij de

onderling regelt. Vrijwaring van dienst­

civiele zaken. Het Nederlandse artikel

bevoegdheid heeft, maar geen verplichting

verleners – waarbij de dienstverlener niet

6:196c BW zegt niets over verstrekking

heeft om gegevens te verstrekken, is er een

aangesproken kan worden voor de schade

van die gegevens, de interpretatie over

motiveringsplicht indien wordt besloten de

van derden – is expliciet uitgewerkt (artikel

dit vraagstuk is via de rechter gevormd.

gegevens te verstrekken. De wetgever heeft in de Memorie van Toelichting bij de Wbp

6:196c BW). Hieronder in schema de verschillende partijen die op dit gebied

De Europese regelgeving staat verstrekking

aangegeven dat de verstrekker zich daarbij

regels vaststellen.

van persoonsgegevens ook toe in het geval

een aantal vragen moet stellen over het

van bescherming van de rechten van

belang van de verwerking: Wordt er inbreuk

Als een procedure over (vermeend)

derden. De nationale wetgever is niet

gemaakt op fundamentele rechten, kan

onrechtmatig handelen wordt gevoerd

verplicht om verstrekking van persoons­

het doel ook op een andere wijze worden

voor de rechter, wordt vaak tegelijkertijd

gegevens als zodanig verplicht te stellen

bereikt en is de verstrekking evenredig aan

geprocedeerd over het blokkeren van de

en bij het treffen van maatregelen moet

het beoogde doel? Er dient een belangen­

onrechtmatige uitingen én de verstrekking

rekening worden gehouden met het recht

afweging te worden gemaakt tussen het

van persoonsgegevens van de onrechtmatig

op privacy. Dit betekent dat de rechter in

recht op anonimiteit en het geschade

handelende persoon. De aansprakelijkheid

het geval van schendingen van het

belang.

Figuur 3: criteria voor verstrekking

• • • • • Informatiebeveiliging juli 2009

In 2005 oordeelde de Hoge Raad dat er

kan het achterwege worden gelaten.

de gegevens van haar cliënt aan [klager]

ruimte is om de zorgplicht van dienst­

Latere uitspraken van lagere rechters

moet verschaffen”. Hieronder zijn de

verleners binnen de nationale wetgeving

bevestigen de door de Hoge Raad

criteria in een figuur weergegeven.

te regelen. De Hoge Raad stelde ook de

aangegeven stappentoets uit 2005.

criteria vast waaraan getoetst moet worden

Daarmee is de facto het de huidige

Hoe nu verder

of verstrekking plaats moet vinden. Het is

juridische richtlijn dat aan de volgende

De gedragscode Notice-and-Take-Down

niet noodzakelijk dat sprake is van

zaken wordt getoetst: “Voldoende

biedt aanknopingspunten om aan de hand

onmiskenbaar onrechtmatig handelen, het

aannemelijk dat er sprake is van

van de door de Hoge Raad vastgestelde

is voldoende als dit aannemelijk is, degene

inbreukmakend (onrechtmatig) handelen,

criteria te komen tot een afweging over het

die de NAW-gegevens opvraagt, moet een

het staat buiten redelijke twijfel dat

al dan niet verstrekken van identificerende

reëel belang hebben en er is geen minder

degene van wie de NAW-gegevens worden

gegevens. Er is echter een discrepantie met

ingrijpende mogelijkheid om de gegevens

gevorderd de inbreukmaker is, [klager]

uitspraken van de rechter in concrete

te verkrijgen. Tenslotte moet een belangen­

heeft een gerechtvaardigd belang en zij

gevallen, vooral de gebruikte definitie over

afweging worden gemaakt tussen de

heeft geen minder ingrijpend middel

de onrechtmatigheid van het gedrag en de

belangen van de benadeelde, dienstverlener

voorhanden om de NAW-gegevens te

uitwerking van het ‘hoor en wederhoor’-

en abonnee. Overigens wil dat niet zeggen

achterhalen. Zij heeft hiertoe verschillende

een dienstverlener altijd van haar adver­

pogingen ondernomen, maar is hierin niet

principe kunnen leiden tot conflicten in concrete gevallen3. Ook biedt de gedrags­

teerders moet eisen hun NAW-gegevens te

geslaagd. Het is bovendien in lijn met

code weinig aanknopingspunten voor

verstrekken, als dit onredelijk bezwarend is

vaste rechtspraak dat [de dienstverlener]

inhoudelijke beoordeling van het verzoek.

2. Art. 8 sub f Wbp: “De gegevensverwerking noodzakelijk is voor de behartiging van het gerechtvaardigde belang van de verantwoordelijke of van een derde aan wie de gegevens worden verstrekt, tenzij het belang of de fundamentele rechten en vrijheden van de betrokkene, in het bijzonder het recht op bescherming van de persoonlijke levenssfeer, prevaleert.” 3. Artikel 40 lid 1 Wbp geeft de anonieme internetgebruiker de mogelijkheid zich te verzetten tegen verstrekking van zijn NAW-gegevens. Daarvoor moet het die gebruiker wel bekend zijn dat de tussenpersoon deze gegevens wil verstrekken.

Informatiebeveiliging juli 2009 • • • • • •

17

Internet: anonimiteit versus verantwoording 18 •

Veel dienstverleners zijn (nog) niet bekend

De brancheverenigingen kunnen een rol

Deze commissies bieden een laagdrempe­

met de gedragscode, of passen deze onjuist

spelen bij de oplossing van dit probleem.

lige en - door de afstand tot de strijdende

toe.

Voor een deel gebeurt dit al: met de

partijen - onafhankelijke wijze van klacht­

Notice-and-Take-Down procedure en

afhandeling. Wel is duidelijk dat deze

Er zijn mij geen uitspraken bekend waarbij

Algemene Voorwaarden wil branchevereni­

werkwijze moet worden afgedwongen in

de dienstverlener wél wilde overgaan tot

ging ISPConnect als branchevereniging een

de regelgeving. De relevante branche­

verstrekking van identificerende gegevens,

verenigingen kunnen er voor zorgen dat er

en de anonieme inhoudsaanbieder

bijdrage aan de professionalisering van de branche leveren 4. Daarbij kan de ISP of

vervolgens via de rechter probeerde zijn

dienstverlener in de algemene voorwaarden

dat de aanvragen tot verstrekking van

anonimiteit af te dwingen. Andersom zijn

een clausule opnemen dat - hoewel de

NAW-gegevens behandelt. De branche

er uitspraken waarbij de rechter alsnog de

persoonsgegevens in principe alleen

levert een aantal commissieleden en

dienstverlener dwong de identificerende

gebruikt worden voor uitvoering van de

consumentenorganisaties worden gevraagd

gegevens te verstrekken nadat verstrekking

contractuele relatie - persoonsgegevens

een aantal andere onafhankelijke leden aan

in eerste instantie was geweigerd. Het lijkt

aan een derde kunnen worden verstrekt,

te melden. In zo’n gezamenlijk klachte­

er dus op dat dienstverleners het recht op

indien deze aannemelijk maakt door het

norgaan kan ook de benodigde (juridische)

anonimiteit strikter handhaven dan de

handelen van de abonnee benadeeld te

expertise worden geregeld, dat voor de

rechter. Dit is ook terug te zien in de

zijn. Dit werkt echter alleen voor dienst­

individuele bedrijven moeilijk blijkt te

verschillende definities die worden gehan­

verleners die onder Nederlands recht vallen.

regelen. Een zekere drempel is in te

teerd door de rechter (aannemelijk onrecht­

een onafhankelijk klachtenorgaan komt,

bouwen door een bedrag in rekening te

matig gedrag) en in de gedragscode

Tot slot

brengen bij de aanvraag. Als de klacht

(onmiskenbaar onrechtmatig gedrag).

In het licht van de constatering dat de

gegrond wordt verklaard, wordt dit bedrag

De verwoording van de code is zodanig dat

code nog weinig door dienstverleners wordt

teruggestort.

niet op korte termijn valt te verwachten

uitgevoerd en de hierboven beschreven

dat rechter en dienstverlener verzoeken om

spagaat van het ‘tussen twee vuren’

Noot van de redactie:

verstrekking van identificerende gegevens

geraken, moet worden beschouwd of de

Dit artikel is een samenvatting van het

op dezelfde wijze zullen afhandelen.

code in haar huidige vorm de verant­

referaat van Ellen Wesselingh. Het

woorde­lijkheid op de juiste plaats belegt.

complete referaat zal op de website van

De ervaringen met zogeheten ‘zelfregule­

Ik ben van mening dat dit niet het geval

het PvIB bij de digitale versie van dit

ring’ binnen de branche bieden weinig

is: uit de onderzoeken tot nu toe blijkt dat

nummer beschikbaar worden gesteld.

hoop dat zelfregulering op korte termijn

een dienstverlener niet goed in staat is om

een transparante oplossing is. Het is niet

de belangenafweging te maken. Daarbij

uit te sluiten dat dienstverleners ervaren

maakt het niet uit of dit onwil of

dat zij zich ondanks de gedragscode ‘tussen

onwetendheid is. In de praktijk blijkt de

twee vuren’ bevinden. De dienstverlener

dienstverlener bij een klacht te weinig

heeft immers een contract met de klant

onderzoek te doen en wordt soms te snel

Ing. Ellen Wesselingh is sinds september

en niet met de derde wiens belang is

en onterecht informatie geblokkeerd.

2008 is als docent verbonden aan de

geschaad. Daarnaast is niet uit te sluiten

Bij het verstrekken van NAW-gegevens lijkt

opleiding Information Security

dat het bij de dienstverlener aan juridische

te tendens omgekeerd te zijn en moet de

management van de Haagse Hogeschool.

kennis ontbreekt om een inhoudelijke

rechter er soms aan te pas komen om

Daarnaast is zij als onderzoeker

beoordeling van een aanvraag te kunnen

alsnog de verstrekking te gelasten.

verbonden aan het lectoraat

Over de auteur

Informatiebeveiliging van diezelfde

doen. Een ander mogelijk bezwaar is gelegen in de hoeveelheid aanvragen die

Een veel betere invulling van de op zich

instelling. Naast haar werk studeert zij

een dienstverlener te verwerken kan

juiste intenties van de code is mogelijk.

Nederlands recht, dit artikel is een

krijgen. De dienstverlener heeft er een

Daarvoor maak ik een uitstapje richting

bewerking van haar bachelorscriptie.

zeker belang bij niet op alle verzoeken in

consumentenrecht. Daar is het geaccep­

te hoeven gaan.

teerd dat elke branche een onafhankelijke

Favoriete websites

klachtencommissie inricht.

- http://www.rechtspraak.nl/ - http://www.iusmentis.com/

4.

• • • • • Informatiebeveiliging juli 2009