Stichting Brein verzamelt met nieuwe software op grote schaal ip-adressen en gebruikersnamen van gebruikers van Bittorrent-software. Mag dat eigenlijk wel? Hoe werkt het systeem van Brein? En welke rechten heeft een Bittorent-gebruiker?
Eind 2015 heeft de Stichting Brein aan de Autoriteit Persoonsgegevens een voorgenomen verwerking van persoonsgegevens gemeld. Brein gaat een nieuw softwaresysteem gebruiken dat in staat is tot het opsporen van gebruikers van illegale content via het Bittorent-netwerk. De Autoriteit Persoonsgegevens oordeelde al in januari dat deze verwerking van persoonsgegevens rechtmatig is, maar hoe gaat Brein eigenlijk te werk?
Op 14 maart 2016 kondigde Brein via zijn website www.anti-piracy.nl aan dat het een systeem in werking stelt waarmee ‘op basis van ip-adressen grotere aantallen eerste en/of grote uploaders van recente titels kunnen worden geïdentificeerd’. Met dit systeem verzamelt Brein de ip-adressen en gebruikersnamen van gebruikers. Vervolgens zal Brein van de internetserviceproviders de naw-gegevens, behorend bij de ip-adressen, moeten krijgen. Dat is echter geen gemakkelijke opgave, maar daarover meer in een eerdere blog.
Aan welke juridische verplichtingen moet Brein zich houden wanneer zij illegale uploaders registreert? Hoe werkt het systeem van Brein? En hoe komt iemand erachter of hij of zij is opgenomen in de database van Brein? Dit alles (en meer) komt onderstaand aan bod.
Juridische verplichtingen
Verwerking strafrechtelijke persoonsgegevens.
Brein verwerkt in het softwaresysteem persoonsgegevens van personen die verdacht worden van schending van de Auteurswet (in het bijzonder van de artikelen 31 tot en met 35d). Deze persoonsgegevens zijn aan te merken als strafrechtelijke persoonsgegevens in de zin van artikel 16 Wbp. Artikel 16 Wbp merkt strafrechtelijke gegevens aan als bijzondere persoonsgegevens. De verwerking van bijzondere persoonsgegevens is in beginsel verboden, tenzij een van de uitzonderingsgronden van artikel 22 of 23 Wbp van toepassing is.
Het softwaresysteem van Brein voldoet aan de uitzonderingsgrond van artikel 22 lid 4 Wbp. Deze uitzondering vereist dat er voldoende passende en specifieke waarborgen zijn getroffen, en het softwaresysteem voorafgaand aan de verwerking is onderzocht door de Autoriteit Persoonsgegevens. Daarnaast valt het systeem van Brein onder de algemene uitzondering van artikel 23 lid 1 sub c Wbp: de verwerking is ‘noodzakelijk voor de verdediging van een recht in rechte’.
Informeren van de betrokkene.
Eenieder die persoonsgegevens verwerkt, moet dit melden aan de betrokkene (degene over wie de persoonsgegevens gaan). Dit zou voor Brein het nut van het verzamelen van de gegevens wegnemen. Wanneer iemand weet dat hij wordt gevolgd door Brein, zal hij of zij waarschijnlijk niet doorgaan met uploaden. Gelukkig voor Brein bestaat een uitzondering op deze informatieplicht, die is opgenomen in artikel 43 Wbp. Een van de uitzonderingsgronden is dat de verwerking noodzakelijk is ter voorkoming, opsporing en vervolging van strafbare feiten.
Indien Brein, via de internetserviceprovider, meer persoonsgegevens dan een gebruikersnaam en ip-adres verkrijgt, dan dient de betrokkene hiervan persoonlijk op de hoogte te worden gesteld. Voor de uploader is het dan al te laat, want dan heeft Brein al de gegevens over het uploaden verzameld.
Grondslag.
Niemand mag in Nederland persoonsgegevens verwerken, zonder hier een grondslag voor te hebben. De grondslag waar Brein voor heeft gekozen is de behartiging van een gerechtvaardigd belang. Het belang van Brein is gelegen in de grote schaal waarop er via Bittorent ongeautoriseerde uitwisseling van auteursrechtelijk beschermde werken plaatsvindt. Het verwerken van gebruikersnamen en ip-adressen zijn in deze context het enige aanknopingspunt om de personen die vermoedelijk inbreukmakende handelingen verrichten op het spoor te komen.
De belangenafweging, die dient plaats te vinden op grond van artikel 8 sub f Wbp, valt in dit geval dan ook positief uit voor Brein. Er is een duidelijke afbakening gemaakt van het type bestanden dat wordt onderzocht en er worden prioriteringscriteria gehanteerd aan de hand waarvan wordt bepaald welke gebruikersgegevens verder worden onderzocht en welke niet.
Prioriteringscriteria
Aan de hand van prioriteringscriteria bepaalt Brein welke ip-adressen (en bijbehorende gebruikersnamen) worden opgenomen in het softwaresysteem van Brein. De prioriteringscriteria zijn:
- Enkel ip-adressen met een Nederlandse oorsprong;
- Ip-adressen die zich vroeg in de zwerm bevinden, dat wil zeggen: degene die het bestand als eerste aanbiedt (eerste uploader) of degene die kort (seconden) na de eerste publicatie van een torrent begint met downloaden;
- Ip-adressen van gebruikers die het bestand volledig in bezit hebben en beschikbaar stellen (100 procent seeding);
- Ip-adressen komen in aanmerking voor nader onderzoek als de betreffende gebruiker regelmatig voorkomt in meerdere zwermen als aanbieder van vermoedelijk inbreukmakend materiaal (grote uploader).
Alle ip-adressen die voldoen aan de prioriteringscriteria worden gedurende twaalf weken in het softwaresysteem bewaard. Ip-adressen die in deze twaalf weken slechts eenmalig in een zwem worden aangetroffen, worden na twaalf weken weer verwijderd. Ditzelfde geldt voor ip-adressen die meer dan eens in een zwerm worden aangetroffen, maar waarvan niet wordt vermoedt dat ze toebehoren aan een ‘eerste uploader’ of ‘grote uploader’.
Ip-adressen waarvan wel wordt vermoedt dat ze aan een van deze twee soorten uploaders toebehoren, maar waarnaar binnen zes maanden geen verder onderzoek is ingesteld, worden na zes maanden verwijderd. Indien er binnen zes maanden wel nader onderzoek is ingesteld, zullen deze ip-adressen door een medewerker van Brein worden opgenomen in een onderzoeksdossier en worden overgeheveld naar het anti-piraterij databestand van Brein.
Werkwijze Bittorent-onderzoek
Om ‘eerste uploaders’ en ‘grote uploaders’ te kunnen opsporen laat Brein medewerkers deelnemen aan zwermen in een Bittorrent-netwerk. Indien er vervolgens een vermoedelijke eerste uploader of grote uploader is opgespoord neemt Brein contact op met de internetserviceprovider om aan de hand van het ip-adres en de gebruikersnaam, al dan niet via de rechter, verdere contactgegevens te op te vragen. Op het moment dat deze contactgegevens zijn verkregen, informeert Brein de betreffende gebruiker over het onderzoek en de opname van diens persoonsgegevens in het anti-piraterij databestand. Aan deze informatieverstrekking wordt daarnaast één van de onderstaande vijf sancties gekoppeld:
- Brein stuurt een waarschuwing aan de betrokkene;
- Brein treft een minnelijke schikking met de inbreukmaker en vraagt deze een onthoudingsverklaring met boetebeding te ondertekenen;
- Brein treft een schikking, vraagt een onthoudingsverklaring met boetebeding en verhaalt de gemaakte kosten op de betrokkene;
- Brein stuurt de inbreukmaker een dagvaarding waarin een verbod en vergoeding van de kosten wordt gevorderd; of
- Brein stuurt een dagvaarding waarin naast een verbod en kostenvergoeding ook schadevergoeding wordt gevorderd. In deze gevallen treedt naast Brein ook de rechthebbende als eisende partij op.
Ben ik opgenomen in het bestand van Brein?
De Wbp kent een inzagerecht, wat betekent dat iedereen het recht heeft om te weten welke gegevens van hem of haar worden verwerkt. Wie Brein hiertoe verzoekt, moet informatie krijgen over de gegevens die Brein van hem of haar verwerkt.
Indien Brein gegevens over iemand verwerkt, heeft deze ook het recht op verbetering, aanvulling, verwijdering of afscherming van deze persoonsgegevens, bijvoorbeeld wanneer deze feitelijk onjuist zijn. Hieraan valt bijvoorbeeld te denken als het ip-adres niet toebehoort aan jouw computer of de opgenomen gebruikersnaam onjuist is.
Conclusie
Kortom, wie slechts eenmalig via een Bittorent-netwerk auteursrechtelijk beschermd materiaal uploadt hoeft niet te vrezen voor opname in het anti piraterij-databestand. Het softwaresysteem van Brein is enkel gericht op ‘eerste uploaders’ en ‘grote uploaders’. Wel kan Brein, al is het maar uit interesse, verzocht worden om gegevens te verstrekken over jouw gegevens in de verzameling van Brein.
Prachtig verhaal, maar nog nooit gehoord van TOR neem ik aan?
Brein zou volgens mij als organisatie verboden moeten worden. Het enige dat daar telt is een zeer commercieel doel, de funktie (handhaving auteursrecht) zou bij een overheidsinstantie moeten liggen. De verregaande bevoegdheden voor deze “stichting” vind ik meer als bedenkelijk.
Wie eens een beroep gedaan heeft op de bescherming van zijn auteursrechten bij Brein weet dat deze stichting alleen interesse heeft in zeer kapitaalkrachtige klanten, ik spreek uit ervaring.
Ik vind iets anders juridisch laakbaar en onoorbaar en dat is namelijk het volgende;
Brein is een stichting
Een ieder weet dat een stichting is opgericht en word onderhouden door private partij of individu. Deze zijn geen overheidsorgaan en kunnen derhalve ook niets ondernemen m.b.v. overheids instrumenten. Ik vind het vreemd dat de overheid niet meteen Brein sommeert hiermee te stoppen omdat er a: geen aanmerkelijk algemeen belang is gediend en b. er genoeg juridische mogelijkheden zijn om aan de gewenste data te kunnen komen van ‘ veelplegers’ die ‘ zeer veel downloaden’.
Zij kunnen namelijk gewoon naar de rechter stappen en een provider dwingen gegevens af te staan in om het even welk onderhavig geval.
Controle door de overheid
Wij weten allemaal, als IT professionals, dat kennis van software, de werking van IT en data, niet echt bij de overheid te vinden is. Ook al pretendeert zij dat nog zo graag. Dat betekend in dit geval een ander precedent. Het gegeven dat het CBP niet is staat is te controleren of brein zich wel houd aan hetgeen wat zij heeft voorgegeven aan het CBP.
Ik lees ook nergens, en die vraag zal ik zeker bij het CBP beleggen, of het CBP de software wel heeft getest en ook actief monitort hoe brein hiermee om zal gaan. Immers, als je als een beetje IT professional back ups maakt, kan zich nu al indenken dat data in backups doorgaans niet word ‘ aangepast’. Lees dus dat de kans aanzienlijk is dat persoonlijke gegevens gewoon binnen de systemen van brein zullen blijven bestaan, zonder dat er ook maar enige ordentelijke controle op is.
Met de staat van dienst van de overheid op het vlak van handhaving en IT systemen is het zeer te betwijfelen of brein zich wel zal gaan houden aan hetgeen zij zelf aan het CBP heeft voorgegeven omdat men bij brein ook wel weet dat een ‘individu’, dat wil weten of haar/zijn persoonlijke gegevens onterecht in brein’s software zou zijn opgeslagen, zelf actie zal moeten nemen.
Door al deze factoren zou het CBP gewoon neen hebben moeten zeggen tegen dit initiatief van brein.
In de marge
Ben ik voor vervolging van digitale diefstal van content en intellectueel eigendom? Absoluut. Mag een private onderneming gebruik maken van overheidsmiddelen om dwang en pressie uit te oefenen zoals brein dit doet? Ik ben hier al, vanwege de individuele vrijheid van personen, gewoon geneigd nee te zeggen. Er zijn genoeg andere manieren om achter persoonlijke gegevens te komen waar brein zich aan moet conformeren gelijk elk private persoon.
Interessant blijft het.
Als je wat opmerkelijks te weten wil komen moet je eens kijken door wie Brein gefinancierd wordt.
Daar vindt je alle grote commerciele bedrijven, de stichtingsvorm is eigenlijk boeren bedrog, het is een lobby-verband met veel te ver gaande bevoegdheden.
Ik vraag me af of hier geen geld aan de politici betaald is om dit juridisch zo te buigen.
Als je wat opmerkelijks te weten wil komen moet je eens kijken door wie Brein gefinancierd wordt.
Daar vindt je alle grote commerciele bedrijven, de stichtingsvorm is eigenlijk boeren bedrog, het is een lobby-verband met veel te ver gaande bevoegdheden.
Ik vraag me af of hier geen geld aan de politici betaald is om dit juridisch zo te buigen.
Zojuist gevonden dat Brein het bedrijf News-Service Europe (een usenetprovider ) met een juridische procedure van het net heeft gehaald. De procedure loopt al jaren (sinds 2009) en Brein heeft tot nog toe geen bewijzen kunnen leveren voor iets onrechtmatigs bij genoemde News-Service Europe.
Hoe kan men zoiets juridisch rechtvaardigen? Ik beschouw dat als mobbing, met medewerking van de staat.
De rechter die toegestaan heeft om grootschalige ip adressen te verzamelen, volgens mij past niet in onze rechts systeem, een IP ( digitaal ) = postcode-nr( fysiek ) = auto kenteken.( fysiek )
Ik denk dat de rechter die dit besloten heeft, niet meegenomen heeft dat je tegenwoordig via een IP adres online regelmatig gegevens achter laat, dit betekent velen website weten jou ip adres dus ze weten wie je bent. http://www.bol.com http://www.nu.nl etc etc Er zijn ook bedrijven die profielen verzamelen op basis van cookies/ip adressen en verkopen deze gegevens. Het kan toch niet zijn dat BREIN een lijst van IP adressen aanlevert aan instanties de profielen verkopen of andere en krijgen alle gegevens van de gebruiker achter de ip adres ? Dat gebeurt toch ook niet met kenteken van autos of postcode-nr
Dit juridische punt het verzamelen van grootschalige ip adressen moet volgens mij opnieuw bekeken worden, volgens moet dit niet niet mogen in onze recht systeem ?