Mag een forum IP-adressen van een klager matchen tegen zijn gebruikers?

[Gast RSS-bot]

Via een lezer (dank) vond ik een interessante discussie bij Tweakers: een bedrijf werd besproken op het forum van de techsite, waarna het bedrijf bij het beheer ging klagen dat er hackpogingen werden ondernomen vanuit Tweakers. Waarop het beheer van Tweakers meldde dat personen die zoiets zouden doen, een ban zouden krijgen. Herrie in de tent natuurlijk, onder meer over de vraag of T.net wel mocht kijken naar IP-adressen die door dat bedrijf waren aangeleverd. En waar stond dat dan in de wet?

De pest met internetrecht is dat er bar weinig concrete aanknopingspunten zijn om een onderbouwde uitspraak te kunnen doen. Zo zijn er eigenlijk geen fatsoenlijke rechtsbronnen die over persoonsgegevens in ICT-security gaan, laat staan zo specifiek als wat hier aan de hand is. Je kunt als jurist weinig meer doen dan speculeren, pardon je deskundige mening geven. Dus nou ja, dat doen we dan maar.

Het bedrijf leverde IP-adressen aan van vermeende kwaadwillenden, en Tweakers bekeek of die IP-adressen op dat moment ook in gebruik waren bij ingelogde gebruikers. Dat is een verwerking van persoonsgegevens, omdat het hier immers gaat om IP-adressen van personen (of proxy’s maar dat terzijde).

De Wbp noemt 6 gronden voor verwerking van persoonsgegevens, waarvan normaal de toestemming en de eigen dringende noodzaak de twee meest relevante gronden zijn. (Een derde is de noodzaak in verband met nakoming overeenkomst, bv. een adres geven aan de post omdat je een bestelling wilt versturen.)

Van een eigen dringende noodzaak is sprake als je een eigen belang hebt dat zwaarder weegt dan de privacy, en waarbij de maatregel die je neemt echt absoluut nodig is om dat belang te dienen. Het kan niet een onsje minder en er is geen alternatief. In principe moet je hierbij een opt-out bieden als dat enigszins te doen is.

Op je site IP-adressen loggen om hackpogingen te signaleren, is wat mij betreft een evident voorbeeld. Het kicken of bannen van je gebruikers wegens overtreding van de gebruiksvoorwaarden lijkt me er ook onder vallen, en wellicht is dat wel te rechtvaardigen als gebruik ten behoeve van nakoming overeenkomst. Het bewijzen van wanprestatie vind ik daar wel onder passen.

(Overigens – maar dit is offtopic denk ik – vind ik niet dat “ik heb geen zin meer in je, ga van mijn server” rechtsgeldig is. T.net heeft een overeenkomst met zijn gebruikers en die mag niet zomaar per direct en zonder grond worden opgezegd.)

Specifiek hier zit het punt dat partij A een persoonsgegeven* verstrekt aan B, waarna B daarmee aan de slag gaat. A heeft een noodzaak (loggen/decteren intruders) en B ook (schorsen van wanpresterende gebruikers) maar mag je die noodzaken combineren?

Ik ben geneigd te zeggen van wel. Als T.net een noodzaak heeft om in te grijpen bij hackpogingen waarbij T.net een wezenlijke schakel was, dan mag ze daarbij ook extern aangedragen bewijs hanteren. Het zou wat gek zijn dat T.net zelf bewijs moet vergaren als een derde klaagt “er hackt iemand vanaf jullie site”. Meer algemeen wil het er bij mij niet in dat een op zich legitieme wet een blokkade zou opleveren voor op zich legitiem gedrag. Wat zou het alternatief zijn, dat T.net zijn gebruikers vraagt “jongens mag ik van jullie nagaan wie er crimineel bezig is ja/nee”?

Arnoud

Kent u onze boekenserie Deskundig en praktisch juridisch advies al? Webwinkels, hosting, software, security en meer!

Bron/Auteur: Arnoud Engelfriet

[Sjattuh]

Ik denk dat het probleem hier is dat je het niet kan bewijzen en er zitten een paar maren aan dit verhaal...

 

Het eerste wat mij b.v. te binnen schiet is een webwinkel die ruzie krijgt met een klant over een bestelling. Die klant gaat klagen op Tweakers.net over dit bedrijf. Bedrijf leest dit en dan?

 

Wat voor bewijs heb je om de klager te geloven? Logs zijn zo gefaket. Mensen zijn niet eerlijk. En zoals je al aangeeft zal niemand het toegeven.

 

Pittig van Tweakers om deze stap te nemen....

 

Overigens vind ik dat het eenzijdig opzeggen van een verbintenis rechtsgeldig zou moeten zijn als iemand zich (bewezen dan wel veroordeeld tot) bezig houdt met crimineel gedrag. Of dit nu wel of niet te maken heeft met de opzeggende partij.

9 november 2014 aangepast door Sjattuh

[jeanj]

Ik ben zeer verbaasd dat tweakers dit doet. Het is niet aan hun om mensen te straffen die op hun site zich wel aan de regels houden en op een ander aspect van leven niet (= het hacken van een site). Wat is het volgende, gaat tweakers mensen die te hard rijden bannen, of mensen die pro IS zijn?

 

Arnaud bouwt in zijn antwoord "en wezenlijke schakel" in, er is een link geplaatst op tweakers.net (zonder een verzoek de site te hacken, dat komt niet in het topic aan bod). En een aantal mensen, die ook tweakers gebruiker zijn,  hebben zich misdragen. Laat de beschadigde partij een aangifte doen, dan kan de politie onderzoek doen.

 

Ik rijd wel eens te hard, als tweakers dat te weten komt, gaan ze mij dan ook bannen?