Heb jij een uitdagende vraag over beveiliging, recht en privacy, stel hem aan ICT-jurist Arnoud Engelfriet en maak kans op zijn boek
"Security: Deskundig en praktisch juridisch advies".
Vraag: Bij ons bedrijf willen we draadloze netwerktoegang aanbieden aan bezoekers. De technische oplossing is vrij simpel: bezoekers kunnen dan tijdelijk (maximum 3 uur) zonder wachtwoord het draadloze netwerk gebruiken. Daarna kunnen ze 24 uur niet verbinden, pas na 24 uur kunnen ze weer 3 uur verbinden. Er wordt wel gelogd welke machine verbindt, maar niet wat ze doen op het netwerk.
Zijn wij nu aansprakelijk voor wat deze bezoekers doen? En hoe kunnen we onze aansprakelijkheid inperken?
Antwoord: Er is een wettelijke regeling die partijen beschermt die internettoegang bieden aan anderen. Wie slechts passief toegang tot internet biedt, en niet gaat filteren of redactioneel selecteren wat mensen wel of niet mogen doen, is niet aansprakelijk voor dat geïnternet. (Het blokkeren van bepaalde sites of SMTP poort 25 telt niet als "redactioneel selecteren" overigens.)
Daarbij geldt niet dat je verplicht bent om te weten wie je gebruikers zijn of wat ze doen. Je hoeft dus niet te loggen of identificatie te vragen van mensen die je netwerk op willen. Het kan wel verstandig zijn, al was het maar omdat het afschrikt of je de mogelijkheid biedt om mensen gericht af te sluiten omdat ze de dienst misbruiken. Maar de wet eist dit niet.
Voor partijen die aan "het publiek" internet aanbieden, geldt de Telecommunicatiewet en daarmee ook de regels rond de bewaarplicht. Maar ook die regels eisen niet dat je weet wie je gebruikers zijn. Je moet bewaren wat je bij je bedrijfsvoering genereert, maar de Wet bewaarplicht eist niet dat je gegevens gaat maken om die vervolgens te bewaren. Een aanbieder van prepaid mobiel internet die stickjes verkoopt in winkels hoeft dus niet te weten wie die sticks afneemt. Houdt hij bij dat de heer Engelfriet 20 euro tegoed heeft gekocht voor SIM 0614230806 dan moet hij die informatie wel een jaar bewaren.
In de SURFnetzaak werd echter bepaald dat wanneer men internettoegang beperkt tot een “voldoende afgebakende groep” (zoals studenten van hoger onderwijs), je niet onder deze wet valt. Vorig jaar hadden we nog de nodige ophef over hotels als internetaanbieder, maar dat liep met een sisser af. Wie de toegang beperkt tot “klanten/bezoekers van onze faciliteit” zou dan ook niet tegen de Telecommunicatiewet moeten aanlopen.
Loggen van wat mensen doen lijkt me wel verstandig. Als je echter persoonsgericht gaat monitoren of filteren, dan kom je in de privacygevarenzone: de Wet bescherming persoonsgegevens verbiedt het arbitrair volgen of monitoren van personen, ook als ze jouw internetverbinding gebruiken. Op zijn minst moet er dan een reglement zijn dat zegt wat je allemaal doet en wanneer mensen gemonitord worden. Maar “ik mag alles en wel altijd” is daarbij géén acceptabele formulering. Persoonsgericht monitoren mag alleen bij een duidelijke concrete aanleiding. Afijn, dat roep ik zo ongeveer elke week de laatste tijd.
Arnoud Engelfriet is ICT-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. Hij schreef twee boeken, De wet op internet en Security: Deskundig en praktisch juridisch advies.
Deze posting is gelocked. Reageren is niet meer mogelijk.