Juridische aspecten van social networking

TI KVIV woensdag 28 januari 2009Geert Somers

Web 2.0

“Web 2.0 gaat niet over het feit dat het internet veranderd is. Het gaat over wij, de mensen, die veranderd zijn, en het internet anders gaan gebruiken.”

Dion Hinchcliffe

User generated content

Uitgewisselde informatie

Video’s

Foto’s

Beoordelingen

Nieuwsberichten

Muziek

Persoonlijk profiel

CV’s

PrijsinformatieBedrijfsinformatie

Logo’s

Betrokken partijen

Surfende internaut

Derde partijen

Platform bezoekers

Platform leden

Platform provider

Uploaders

Downloaders

Content aggregators

Website houders

Content generators

Tussenpersonen

6

(Conflicterende) rechten

PersoonsgegevensCopyright

Vertrouwelijkheid

Persoonlijkheidsrechten

Privacy Eerlijke mededinging

Consumentenbescherming Merken

Databanken

Goede zeden

Discriminatie

…

Informatievrijheid

Vrijheid van meningsuiting

Aansprakelijkheid

Overname van informatie

Doorgifte van informatie

Linken naar informatie

Creëren van informatie

Verspreiden van informatie

Laten posten van informatie

Bewaren van informatie

Citeren van informatie

Informatieverspreiding en  aansprakelijkheid van betrokken 

partijen

Online verspreiding van content : rol van tussenpersonen

Dienstverlener (aanbieder van de informatie)

Tussenperso(o)n(en) Gebruiker

Loutere doorgifte/mere 

conduit

Herbergen van informatie/information 

host

Puur technische rol

Niet puur technische rol

Aansprakelijkheid tussenpersoon voor doorgifte van informatie

Loutere doorgifte        (internet access provider)

• Geen aansprakelijkheid op voorwaarde dat– het initiatief tot doorgifte niet 

bij de dienstverlener ligt

– de ontvanger van de doorgegeven informatie niet door hem wordt geselecteerd

– de doorgegeven informatie niet door hem wordt geselecteerd of gewijzigd

Herbergen van informatie (internet hosting provider)

• Geen aansprakelijkheid op voorwaarde dat– opslag van de informatie op 

verzoek van de gebruiker geschiedt

– geen daadwerkelijke kennis van de onwettige activiteit of informatie

– zodra daadwerkelijke kennis, prompt handelen om informatie te verwijderen of toegang onmogelijk te maken

Wanneer sprake van verwerking van persoonsgegevens?

• Persoonsgegevens – alle gegevens die redelijkerwijze toelaten iemand direct of indirect te identificeren

– voorbeeld: teksten, foto’s, video’s op een website

• Verwerking – iedere geautomatiseerde verwerking of opname van gegevens in een bestand

– voorbeeld: gebruik gegevens op een website (zaak Lindqvist, HvJ, 6 november 2003, C‐101/01); doorgifte en opslaan van persoonsgegevens

Aansprakelijkheid tussenpersoon voor verwerking persoonsgegevens?

• Verantwoordelijke– degene die het doel en de middelen van de verwerking van persoonsgegevens bepaalt

– voorbeeld: uitbater van een website

– gevolgen: de verantwoordelijke staat in voor de naleving van de bepalingen van de privacywet inzake finaliteit, bekomen van toestemming van de betrokkene, transparantie, etc.)

Toepassing op user generated content en sociale netwerken

User generated content:rol van platform

Website platform

Platform gebruikers

Platform provider

Platform bezoekers

Platform leden

Derde partij

Platform uitbater• Biedt een technisch platform waardoor

– gebruikers met elkaar in contact kunnen treden

– gebruikers informatie kunnen uitwisselen

• Oefent in principe geen controle uit

• Stelt soms wel technische modaliteiten ter beschikking – bijvoorbeeld: zoekfuncties, afscherming van bepaalde delen van de website door verificatie leeftijd via informatie in profiel

– overstijgt dit het louter technische?– Fair Housing Council of San Fernando Valley v. Roommates.com, LLC, 

2008 WL 879293 (9th Cir. 3 April 2008)

Platform leden

• Hebben een eigen profiel, al dan niet anoniem

• Kunnen zelf informatie uploaden (video’s, commentaren, etc.) 

• Kunnen schade berokkenen aan – de platform provider

– derde partijen

– andere platform leden

• Kunnen zelf schade lijden door – handelingen van de provider

– handelingen van andere platform leden

Platform bezoekers

• Hebben geen eigen profiel

• Kunnen niet zelf informatie uploaden

• Kans op berokkenen of lijden van schade gering

Derde partijen

• Kunnen schade lijden ten gevolge van handelingen van gebruikers of de provider– auteursrechten

– databankrechten

– merkenrechten

– goede naam en eer

– persoonlijke levenssfeer

Debat: wat is de rol van het platform?

Louter technisch of niet? 

Wat zijn de gevolgen?

Publisher versus user generated content: aansprakelijkheid

Publisher generated content (passieve media)

• Uitgever publiceert en controleert

• Gebruiker consumeert

• Uitgever is aansprakelijk voor content

User generated content (actieve media)

• Gebruiker genereert 

• Gebruiker consumeert

• Wie publiceert?

• Wie controleert? Wie moet controleren?

• Wie is aansprakelijk?

• Controleverplichtingen of aansprakelijkheid voor tussenpersoon?

Publisher versus user generated content: verwerking persoonsgegevensPublisher generated content

• Uitgever bepaalt het doel en de middelen van de verwerking

• Uitgever is verantwoordelijk voor naleving van de bepalingen uit de privacywet– privacy policy, adequate 

beschermingsmaatregelen, aangifte bij privacycommissie, etc.

User generated content

• Bepaalt de gebruiker het doel en de middelen?

• Is de gebruiker verantwoordelijk voor de naleving van de bepalingen uit de privacywet

– publicatie persoonsgegevens van derden door gebruiker: wie moet anonimiseren? moet site haar privacybeleid toepassen?

Privacydilemma van sociale netwerken

• Gebruiker – wil zoveel mogelijk informatie via het netwerk met zoveel mogelijk online ‘vrienden’ delen

• Platform provider– wil zoveel mogelijk informatie hergebruiken en ten aanzien van derde partijen commercialiseren

Onderscheid tussen meer open en meer gesloten sociale netwerken

• Open sociale netwerken– er is echt sprake van publicatie en terbeschikkingstelling van het internetpubliek

• Gesloten sociale netwerken– is er wel sprake van publicatie?

– moet dit vergeleken worden met een dagboek of persoonlijke correspondentie?

Gevolg

Juridische onzekerheid

Risicomanagement:aansprakelijkheidsregelingen in de algemene voorwaarden:

User generated content:rol van platform

Website platform

Platform gebruikers

Platform provider

Platform bezoekers

Platform leden

Algemeen toepasselijk 

recht

Algemene gebruikersvoorwaardenAlgemeen toepasselijk 

recht

Derde partij

Algemene voorwaarden en betrokken partijen

• Platform provider– stelt algemene gebruikersvoorwaarden ter beschikking

• Gebruikers– hebben de algemene gebruikersvoorwaarden expliciet aanvaard (click wrap/accept button)

• Platform bezoekers– hebben de algemene gebruikersvoorwaarden niet expliciet aanvaard (browse wrap/mere link)

• Derde partijen– hebben de algemene gebruikersvoorwaarden nietaanvaard

Algemene gebruikersvoorwaarden: typische aansprakelijk van gebruiker

• Gebruikers – dragen volle verantwoordelijkheid voor hun bijdragen

– garanderen dat informatie die ze uploaden geen inbreuk op rechten van derden uitmaakt, zoals privacy, auteursrechten, contractuele rechten, …(UGC is immers niet noodzakelijk user created content!)

– vrijwaren de platform provider tegen claims van gebruikers of derden

– geven een gebruikslicentie aan de provider op de informatie die ze uploaden 

Algemene gebruikersvoorwaarden: rechten van de provider

• Provider mag naar eigen goeddunken – illegale of ongewenste informatie verwijderen (notice and takedown)

– een gebruikersaccount opzeggen of tijdelijk opschorten

– de algemene gebruikersvoorwaarden aanpassen

– persoonsgegevens gebruiken om met gebruikers in contact te treden

– gebruik van materiaal op het platform beperken via technische beveiligingsmaatregelen

Voorbeeld: LinkedInLaatste update 22 januari 2009 (!)

• Gebruikers verlenen licentie aan LinkedIn om hun informatie te kopiëren of hergebruiken, ook voor commercieel gebruik (i.t.t. MySpace)

• LinkedIn is niet aansprakelijk voor misbruik van UGC door andere gebruikers

• LinkedIn is niet verplicht de identiteit van leden te controleren en is niet aansprakelijk voor identiteitsdiefstal

Voorbeeld: MySpaceLaatste update 22 februari 2008 (!)

• Gebruikers verlenen geen licentie aan andere gebruikers om hun informatie te kopiëren of hergebruiken (i.t.t. YouTube)

• De licentie die gebruikers aan MySpace verlenen geldt niet voor commercieel gebruik door MySpace (i.t.t. YouTube)

• MySpace is niet verantwoordelijk voor de controle van de MySpace diensten op ongepaste content of ongepast gedrag.

Voorbeeld: Legal360 (1/2)Sinds 7 oktober 2008 (alleen voor juristen…)

• Het gebruik van deze website is op eigen risico. U bent niet verplicht alle velden in te vullen, behoudens de door ons als verplicht aangeduide velden. Wij kunnen niet instaan voor de beschikbaarheid van deze website. 

• U bent niet verplicht gegevens te verstrekken om van deze site gebruik te kunnen maken. U kunt zelf aangeven welke gegevens voor anderen zichtbaar zijn.

• Uw gegevens bevinden zich op een beveiligd gedeelte van onze website. Echter, het internet is een open net, wij kunnen NIET garanderen dat onbevoegde derden er nooit in zullen slagen om uw gegevens voor oneigenlijke doelen te gebruiken. 

Voorbeeld: Legal360 (2/2)Sinds 7 oktober 2008 (alleen voor juristen…)

• Wij zijn niet verantwoordelijk voor het gebruik dat anderen maken van gegevens die u op Legal360 achterlaat. Legal360 zal nimmer aansprakelijk zijn voor schade, die het gevolg is van: – a. onjuiste en/of onvolledige verstrekte gegevens;– b. verlies van gegevens; 

– c. onjuist of oneigenlijk gebruik van deze website;

– d. misbruik van deze website door derden.

Informatieverspreiding en belangrijkste rechten

Vrijheid van meningsuiting en informatievrijheid 

• Grondwettelijke vrijheid en mensenrecht

• Actieve component– vrijheid mening te koesteren/informatie door te geven

• Passieve component– vrijheid inlichtingen en informatie te ontvangen

Privacy

• Grondwettelijk recht en mensenrecht

• Rekening houden met omstandigheden

• Briefgeheim en telecommunicatiegeheim– bestaan van communicatie

– inhoud van communicatie

Persoonsgegevens

• Voorwaarden– verwerking moet rechtmatig en toelaatbaar zijn (finaliteit, proportionaliteit, transparantie)

– bijzondere bescherming voor gevoelige gegevens

– adequate bescherming/beveiliging

– doorgifte buiten de EU streng beperkt

Auteursrecht:beschermingsvoorwaarden 

• Uitdrukking van een origineel concreet idee (bv. foto, tekst, video, krantenkop, slogan, format, websites, databanken, …)

• Persoonlijke stempel van de auteur 

• Beoordeling geval per geval door feitenrechter

• Meestal soepele invulling van deze abstracte vereisten 

• Geen auteursrechten: puur feitelijke info (bv. prijsinformatie)

Exclusieve rechten van de auteur (toestemming vereist)

• Vermogensrechten: auteur kan zich verzetten tegen – publicatie: open website, gesloten website, …

– reproductie: kopiëren, vertalen, uitlenen, …

– distributie: papieren of elektronische drager, …

• Morele rechten: auteur behoudt – recht op vaderschap: al dan niet naamsvermelding

– recht op eerbied/integriteit: geen wijzigingen

– recht op bekendmaking: al dan niet publicatie

Uitzonderingen op het auteursrecht (geen toestemming nodig) (1/2)

• Citaatrecht– letterlijke overname, ook wanneer zeer beperkt

– enkel ten behoeve van kritiek, polemiek, recensie, onderwijs en wetenschappelijk onderzoek

– thumbnail van een foto? (Nederland vs. Duitsland)

• Kosteloze privé‐uitvoering in familiekring– geen commercieel voordeel

– strikte interpretatie van het begrip familiekring

Uitzonderingen op het auteursrecht (geen toestemming nodig) (2/2)

• Karikatuur en parodie (bv. filmpjes op YouTube)

– publiek niet in verwarring brengen

– goede naam auteur niet nodeloos aantasten

• Samenvattingen?– moet als een zelfstandig werk kunnen worden beschouwd

Eer en goede naam

• Bescherming tegen opzettelijke handelingen om persoon te schaden of te beledigen

• laster en eerroof: publieke aantijging van een krenkend feit zonder bewijslevering

• belediging: vaag verwijt zonder specifiek feit

Portretrecht

• Geen reproductie of mededeling aan het publiek zonder toestemming van de geportretteerde

• Talrijke uitzonderingen: – publieke figuren;

– nieuwsgaring;

– vrijheid van expressie, …

Enkele juridische vragen met betrekking tot sociale netwerken

Privacy (1/2)• VASTSTELLINGEN: 

– aanbieders van sociale netwerken en hun dienstverleners (ontwikkelaars, etc.) en gebruikers hebben potentieel toegang tot enorme hoeveelheden privacygevoelige informatie (digitaal dossier, audit trail, …)

– onduidelijk welke informatie verzameld en doorgegeven wordt

– gebruikers kunnen digitaal dossier kopiëren 

– foto’s (persoon en afgebeelde voorwerpen) en metadata dienen als unieke identificatie om (anonieme) profielen aan mekaar te linken

– moeilijk een account volledig te verwijderen (secundaire informatie blijft)

Privacy (2/2)

• Vragen:– is de huidige privacywetgeving voldoende afgestemd op sociale netwerken? 

– is transparantie voldoende verzekerd? 

– kan verantwoordelijkheid voor de verwerking worden afgeschoven op de gebruiker?

– kan een beroep worden gedaan op de vele uitzonderingen in de privacywet voor ‘journalistieke doeleinden’? (EHJ, Satamedia arrest, 16 december 2008 ‘iedereen is journalist)) 

47

Spam• VASTSTELLING: spammers wijken uit naar inbox van sociale netwerken

• E‐commercewet:

– het gebruik van elektronische post voor reclame is verboden zonder de voorafgaande, vrije, specifieke en geïnformeerde toestemming van de geadresseerde van de boodschappen. 

– afzender heeft bewijslast.

Phishing

• VASTSTELLING: sociale netwerken worden gebruikt om persoonlijke informatie te crawlen 

• Publiek gemaakte informatie consulteren mag. Informatie van een website met beschermde toegang halen zal meestal een inbreuk vormen op de algemene voorwaarden van die site. Zeker ten aanzien van gebruiker die algemene voorwaarden aanvaard heeft kunnen deze afgedwongen worden.

• Moeten aanbieders van sociale netwerken maatregelen tegen phishing nemen?  

Anonimiteit

• VASTSTELLING: soms wordt valse of lasterlijke informatie op sociale netwerken geplaatst

• Recht op anonimiteit erkend in Verklaring van Raad van Europa betreffende Expressievrijheid op Internet

• Echter: anonimiteit mag geen dekmantel zijn om aansprakelijkheid voor misdrijven te ontlopen

• Toegenomen juridische mogelijkheden om via de ISP de identiteit of het IP‐adres van de auteur van strafbare inhoud op internet te achterhalen (zie bijvoorbeeld EHRM 2 december 2008, K.U. t. Finland)

Malware

• VASTSTELLING: sociale netwerken worden misbruikt door cybercriminelen die gebruikers verleiden om allerlei malware te installeren

• Moeten aanbieders van sociale netwerken de creatie van valse profielen beter in het oog houden en sterkere authenticatie bij registratie hanteren? 

• Moeten zij hun gebruikers beter informeren om meer op hun hoede te zijn voor verdachte praktijken?

Hyperlinks

• VASTSTELLING: op sociale netwerken staan veel hyperlinks die kunnen doorverwijzen naar illegaal materiaal

• In principe is hyperlink toelaatbaar maar 

– niet wetens en willens linken naar illegale informatie (bv. medewerking aan schending auteursrecht)

– niet deeplinken wanneer de houder van de gelinkte site reclame‐inkomsten zal derven

– niet frame linken wanneer het publiek wordt misleid over de houder van de gelinkte site 

– RSS feeds: beperken tot summiere info en niet gebruiken in een commerciële context

Aanbevelingen ENISA (1/3)

• Betere informatie van de burger

• Technische privacysettings moeten default in het belang van de gebruiker

• Herzien van regelgevend kader (vooral privacy)

• Meer transparantie over verwerking van persoonsgegevens

• Sterkere authenticatie

• Eenvoudig kanaal voor rapportering van misbruik aanbieden

Aanbevelingen ENISA (2/3)

• Gebruikers moeten mogelijkheid hebben volledige account te verwijderen, inclusief commentaren op publieke onderdelen van de site

• Gebruik van positieve reputatiemechanismen aanmoedigen

• Geautomatiseerde filters inbouwen

• Geen tags toelaten in foto’s zonder toestemming van de gebruiker

Aanbevelingen ENISA (3/3)

• Spidering en bulk downloads strict beperken

• Anti‐spam mechanismen implementeren

• Anonimiseringstechnieken van foto’s aanmoedigen

• Best practices voor omgang met phishing aannemen

Vragen?

Aanbevolen lectuur

• http://www.enisa.europa.eu/doc/pdf/deliverables/enisa_pp_social_networks.pdf

• http://www.linkedin.com/static?key=privacy_policy

• http://nl‐nl.facebook.com/terms.php?ref=pf

• http://ec.europa.eu/justice_home/fsj/privacy/docs/wpdocs/2007/wp136_en.pdf

• www.privacycommission.be

57

Contactinformatie

Jos DumortierAdvocaat ‐ PartnerTel +32 0477 33 82 96jos.dumortier@timelex.eu

Geert SomersAdvocaat ‐ PartnerTel +32 474 89 04 20geert.somers@timelex.eu

58

Expertise

• Commercial and IT‐related contracts

• Intellectual property rights

• Privacy and personal data protection 

• IT‐related fraud

• Electronic commerce

• Electronic government

• Data and network security

• Electronic communications

• Media and entertainment