Heb jij een uitdagende vraag over beveiliging, recht en privacy, stel hem aan ICT-jurist Arnoud Engelfriet en maak kans op zijn boek
"De wet op internet".
Arnoud is van alle markten thuis, maar vindt vooral in technische / hacking vragen een uitdaging. Vragen over licenties worden niet behandeld, aangezien die geen raakvlak met beveiliging hebben. De Juridische vraag is een rubriek op Security.nl, waar wetgeving en security centraal staan. Elk kwartaal kiest Arnoud de meest creatieve vraag, die dan zijn boek zal ontvangen.
Vraag: Recent werd bekend dat het Nederlandse bedrijf YouPorn via Javascript je browsergeschiedenis uitleest. Ze worden in de VS hiervoor nu aangeklaagd. Nu vroeg ik me af, is het onder Nederlands recht legaal om dit te doen?
Antwoord: Die truc om de surfgeschiedenis uit te lezen is al vrij oud, maar om een of andere reden wordt er pas sinds korte tijd heftig over gegild. Waar het in het kort op neerkomt, is dat webbrowsers bezochte hyperlinks met een andere kleur weergeven dan nog niet bezochte hyperlinks. Door met een Javascript nu een heleboel hyperlinks (onzichtbaar) in een webpagina te zetten en dan de kleur daarvan op te vragen, kun je zien of de bezoeker recent die hyperlinks heeft bezocht.
Strafbaar lijkt het me niet: ik vind dit geen "binnendringen" in je computer (computervredebreuk, art. 138ab Strafrecht) of diefstal van gegevens (art. 139c lid 1 Strafrecht).
Op die manier snuffelen in iemands browsergeschiedenis valt wél onder de Wet Bescherming Persoonsgegevens wanneer je dat gesnuffel kunt koppelen aan een persoon. Dat hoeft niet per se met naam en adres te zijn: een cookie dat uniek is voor die bezoeker zou al genoeg moeten zijn. Ga je dus met die gegevens concluderen dat gebruiker 28f36c0cf7897fc39f135fb042815975 een man is die vaak naar dierenporno kijkt en op zoek is naar een Opel Astra, dan verwerk je zijn persoonsgegevens. Je hebt daarvoor zijn "ondubbelzinnige toestemming" nodig en die heb je niet. En dan mag het niet - tenzij je een "aantoonbare noodzaak" hebt om dit te doen die zwaarder weegt dan de privacy. Maar ik zou niet weten wat dat zou kunnen zijn.
Ook mag je zonder nadere toestemming gegevens verzamelen en gebruiken die noodzakelijk zijn voor de uitvoering van de overeenkomst. Zo hoef je als webwinkel niet toestemming te vragen om je adres aan TNT Post te mogen geven. De post moet dit weten om je bestelling te bezorgen, dus mag de winkel dit afgeven. Bij zo'n site als YouPorn zou je kunnen zeggen dat je de gegevens nodig hebt om het video-aanbod beter op de bezoeker af te stemmen. Maar heel sterk zou ik dat niet vinden.
Alles bij elkaar denk ik dat je wel kunt eisen dat de site daarmee ophoudt en jouw gegevens vernietigt. Mocht je aan kunnen tonen dat je schade hebt, dan kun je daar een claim voor indienen bij het bedrijf. Maar zonder bonnetjes als bewijs van de schade is zo'n claim kansloos.
Arnoud Engelfriet is ICT-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. In 2008 verscheen zijn boek "De wet op internet".
Deze posting is gelocked. Reageren is niet meer mogelijk.