ICT-jurist Arnoud Engelfriet geeft elke week antwoord op een interessante vraag over beveiliging, recht en privacy. Heb jij een vraag? Stuur hem naar juridischevraag@security.nl.
Vraag: Kan een bedrijf als Ashley Madison iedere website offline halen die hun gelekte data publiceert? Ik snap dat ze bepaalde rechten hebben op die data, maar er is toch ook zoiets als het algemeen belang, kunnen weten of je getroffen bent door dit datalek?
Antwoord: Vorige maand werden bij de datingsite data gestolen van 32 miljoen gebruikers, inclusief namen, adressen en creditcardtransacties. Kort daarna verschenen diverse sites waar deze data op gepubliceerd werd, zoals ashleymadisonleakeddata.com.
Wie nu op die site kijkt, ziet echter "I received a takedown notice from Avid Dating Life Media, Inc. so I'm forced to shut down this site". De datingdienst heeft onder de Digital Millennium Copyright Act een bezwaar gestuurd: deze publicatie schendt ons auteursrecht en moet onmiddellijk offline. Onder het Amerikaans auteursrecht moet een hoster daar gehoor aan geven, en pas daarna gaan we eens uitzoeken hoe het zit.
Althans, áls er een geldig auteursrecht wordt geschonden. En dat kun je je ten zeerste afvragen. Voor auteursrecht is vereist dat de maker enige creativiteit in het werk stopte. Enkel veel data verzamelen of hard werken om het werk te maken, is gewoonweg niet genoeg. Niet bij ons en niet in de VS.
Ik zou werkelijk niet weten welke creativiteit er zit in een klantenbestand. In Europa bestaat er nog het databankrecht, waarmee je als producent van een dataverzameling rechten kunt claimen. Maar dat recht kennen ze niet in de VS.
Natuurlijk kun je zo'n bestand je "intellectual property" noemen, maar dat is een term zonder juridische betekenis. Data is geen eigendom, en "intellectueel eigendom" is jargon voor auteursrecht, octrooien en dergelijke. Meer niet. Je kunt je dus bij de rechter niet op je IP beroepen als je geen auteursrecht (of dergelijk recht) kunt aanwijzen.
Dus nee, ik heb geen idee op welke grond Ashley Madison meent dat zij een takedown mogen doen van die data.
Daar staat wel tegenover dat publicatie van die data de privacy schendt van de getroffen gebruikers. Daarmee zou je dus wel tegen de wet handelen. Alleen is dat niet iets waar het bedrijf iets tegen kan doen: een privacyschending is het probleem van de getroffen burger, niet van het bedrijf.
Bovendien geldt in de VS dan nog de specifieke regel dat je als hoster nóóit gehouden bent data te verwijderen op welke grond dan ook (zelfs als de inhoud strafbaar is), behalve bij auteursrechtinbreuk. Bij ons is dat breder: je moet als hoster optreden bij iedere evidente overtreding van de wet, dus ook bij privacyzaken. In Europa zou een getroffen persoon dus kunnen eisen dat zijn data offline gaat.
Arnoud Engelfriet is ICT-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. Hij schreef twee boeken, De wet op internet en Security: Deskundig en praktisch juridisch advies.
Deze posting is gelocked. Reageren is niet meer mogelijk.