Brief GeenCommentaar aan het CBP

Foto: Sargasso achtergrond wereldbol
,

Aan: College Bescherming Persoonsgegevens
Betreft: openbare ip-banlijsten

Amsterdam, 25 september 2008

Geachte heer/mevrouw,

Websites slaan routinematig ip-adressen op van hun bezoekers, niet zelden in combinatie met hun bezoekgedrag. Het voornaamste doel daarvan is vaak het op maat toedienen van advertenties. Slechts in uitzonderlijke gevallen wordt hiervoor expliciet om toestemming gevraagd, in weerwil van het bepaalde in artikel 8 sub b van de Wet Bescherming Persoonsgegevens. Reden hiervoor is dat een ip-adres, zoals ook door uw college vastgesteld niet automatisch geldt als een persoonsgegeven. Door het tekort aan ip-adressen maken in de praktijk meerdere individuen gebruik van hetzelfde adres, zodat doorgaans additionele informatie, zoals het exacte tijdstip van een website-bezoek, nodig is om het adres tot een individu herleidbaar te maken.

Weblogs en andere sites die aan bezoekers de mogelijkheid bieden een reactie achter te laten, leggen vaak een zogeheten banlijst aan. Dit is een lijst van ip-adressen die gebruikt zijn om een reactie achter te laten die door het betreffende weblog als onwelvoeglijk is aangemerkt. Gebruikers met deze ip-adressen kunnen de site dan nog wel bezoeken, maar geen reactie achterlaten. Bezoekers zullen vaak tegen hun zin met hun ip-adres in dit specifieke bestand belanden (en andere gebruikers van hetzelfde ip-adres met hen).
Een vriendelijk verzoek volstaat doorgaans om van de banlijst afgevoerd te worden. Overigens hebben weblogs geen belang bij het aanleggen van zo groot mogelijke banlijsten, want iedere actieve bezoeker minder scheelt advertentie-inkomsten. De banlijst is een noodmaatregel om verpesting van het door de beheerder gewenste discussieklimaat te borgen. Het bijhouden van een ip-banlijst wordt gezien als een gerechtvaardigd belang, zoals bepaald in de WBP artikel 8 sub f.
Het betreffende artikel spreekt niet alleen over het belang van de verantwoordelijke, maar ook van een derde aan wie de gegevens worden verstrekt. Het verstrekken van ip-adressen aan derden gebeurt bijvoorbeeld op grote schaal ter bestrijding van spam: het belang van een ‘schone’ mailbox weegt zwaarder dan de privacy van spammers. Sommige spammers doen een beroep op de vrijheid van meningsuiting om hun activiteiten te rechtvaardigen. Deze redenering wordt juridisch niet houdbaar geacht.

Een verschijnsel op internet is dat een site haar bezoekers ertoe aanzet om de reactiemogelijkheid van een andere site te misbruiken. Dit is bijvoorbeeld een handelsmerk van GeenStijl.nl, een onderdeel van de Telegraaf Media Groep, dat door haar grote bezoekersbasis in staat is andermans reactiemogelijkheden volledig te doen ?volspammen? met onzinbijdrages.
Dit overkwam GeenCommentaar.nl in september 2008, toen een petitie over persvrijheid door bezoekers van GeenStijl gesaboteerd werd na een oproep daartoe door laatstgenoemd weblog. Vele andere websites kunnen verhalen van soortgelijke overvallen. Het probleem wordt breed erkend, maar uit vrees voor represailles van GeenStijl durft niemand werkelijk actie te ondernemen.
GeenCommentaar heeft in dit licht geoordeeld dat er sprake was van een gerechtvaardigd belang om een eenmalig aangelegde lijst met 2000 adressen van saboteurs niet alleen voor eigen gebruik aan te leggen, maar ook voor het publiek raadpleegbaar te maken. Om de privacy zoveel mogelijk te waarborgen is daarbij een aantal maatregelen genomen:
? De lijst is niet in zijn geheel beschikbaar gemaakt. In plaats daarvan kan van een bepaald ip-adres getoetst worden of het gebruikt is voor het bekladden van GeenCommentaars petitie. Concreet werkt het zo: op de speciale website of via een zogeheten api kan één ip-adres per keer getoetst worden en daarop komt een 1 of een 0 terug: staat wel of niet in de database. Er vindt dus nadrukkelijk geen overdracht van ip-adressen plaats.
? Er worden geen additionele gegevens beschikbaar gemaakt, zodat de ip-adressen slechts in uitzonderlijke gevallen tot personen zijn terug te leiden.
? Dankzij de aandacht die GeenStijl aan onze actie besteedde zijn wij er vrij zeker van dat alle betrokkenen op de hoogte gesteld zijn van onze actie. Uit de reacties die wij ontvangen hebben, bleek wel dat sommigen dachten dat iedereen die ons via GeenStijl bezocht, in het bestand was opgenomen. Dat is nadrukkelijk niet het geval. Alleen degenen die zich naar ons inzicht misdroegen zijn opgenomen.
? Iedereen die daarom verzoekt wordt onvoorwaardelijk van de lijst gehaald. De mogelijkheid hiertoe is helder aangegeven op de speciale website: zodra een ip-adres getoetst wordt dat op de lijst blijkt te staan, krijgt de gebruiker de mogelijkheid een verzoek tot verwijdering in te dienen. Inmiddels zijn tientallen aanvragen om verwijdering binnengekomen (en gehonoreerd), waaruit wij afleiden dat deze optie in voldoende mate bekend gemaakt is.
? Hoewel de lijst veel geraadpleegd wordt, blijkt uit onze logs vooralsnog niet dat dit systematisch door één partij gebeurt. Wij concluderen hieruit dat de gebruikers vooralsnog individuen zijn die willen weten of zij er zelf op voorkomen. Zelf gebruiken wij de lijst ook niet om mensen van ons weblog te weren. De praktische consequenties van het bestaan van de lijst zijn op dit moment dan ook beperkt.

Deze handelswijze is ons op kritiek komen te staan (en een heuse ddos-aanval van GeenStijl, maar die valt buiten dit bestek). Dat is begrijpelijk, want we openbaarden potentieel privacygevoelige informatie op een niet eerder vertoonde wijze. We hebben onze actie dan ook direct bekend gemaakt en ict-jurist Arnoud Engelfriet om een reactie gevraagd. Hij gaf aan onze actie ?niet netjes? te vinden, maar stelde niet bij voorbaat vast dat van een wetsovertreding sprake was. Wij menen daarom vooralsnog onze afweging binnen het kader van de wet gemaakt te hebben, om bovenstaande redenen. In elk geval denken wij dat onze actie een maatschappelijk relevante functie als testcase kan hebben.

Twee additionele overwegingen komen bij ons op die in deze materie een rol zouden kunnen spelen:
? Op internet is meer en meer sprake van netwerken die als actor optreden. GeenCommentaar, bijvoorbeeld, is geen rechtspersoon, maar een netwerk van vrijwilligers die samen een weblog maken. Vaak genoeg zijn er overlappingen tussen netwerken. Daardoor is het niet altijd duidelijk waar de grenzen van een groep liggen. Dat roept vragen op wanneer sprake is van de verantwoordelijke voor een verzameling ip-adressen en wanneer sprake is van overdracht aan een derde.
? Bedrijven en overheden maken zich meer en meer zorgen over de uitstraling die niet-functioneel surfende werknemers hebben op hun organisatie. Zie bijvoorbeeld het artikel in het tijdschrift, Intermediair van 17 november 2007 over ambtenaren die onder werktijd Wikipedia bekladden. Weliswaar kan de ip-informatie die GeenCommentaar beschikbaar stelt an sich niet tot personen herleidbaar zijn, als bedrijven constateren dat vanaf hun bedrijfsnetwerk ongewenste activiteiten zijn ondernomen, beschikken zij intern allicht over voldoende informatie om deze alsnog tot een persoon te herleiden.

Dit leidt tot een aantal concrete vragen die wij aan u zouden willen voorleggen:
? Acht u het toelaatbaar dat weblogs banlijsten aanleggen en zo ja onder welke omstandigheden?
? Acht u het toelaatbaar dat banlijsten volledig openbaar gemaakt worden, dus alle gebande adressen in een downloadbaar bestand beschikbaar gesteld?
? Acht u het toelaatbaar dat banlijsten raadpleegbaar worden gemaakt, zoals door GeenCommentaar gedaan?
? Acht u het toelaatbaar dat banlijsten niet op het niveau van ip-adressen openbaar gemaakt worden, maar op het niveau van de eigenaar van het betreffende netwerk?
? Acht u het toelaatbaar dat organisaties en/of netwerken bilateraal afspraken maken over het uitwisselen van banlijsten?
? Acht u het toelaatbaar dat aan de banlijst extra informatie wordt toegevoegd, zoals de reden waarom de ban is uitgedeeld (racisme, obsceniteit, enzovoort) of het ip-adres dan wel de website die de bezoeker bezocht voordat hij op de plek belandde waar hij zich naar inzicht van de beheerder misdroeg?

Wij wachten uw antwoord met belangstelling af. Uiteraard zijn we te allen tijde bereid een nadere toelichting te geven en zal het voortbestaan van onze eigen raadpleegbare banlijst afhangen van uw oordeel.

Met vriendelijke groet,

Namens de volledige redactie van GeenCommentaar,

Joost Berculo

Bijlage: puntsgewijze beantwoording

Puntsgewijze beantwoording van vragen uit uw brief van 23 september 2008

Voor zover bovenstaande brief ? die wij u sturen omdat wij immers zelf onze actie bij u aangemeld hebben ? geen duidelijk antwoord geeft op de vragen die u ons per brief op 23 september stelde, volgt hieronder een puntsgewijze beantwoording.

1. Het betrof een eenmalige actie. Voortzetting ervan is afhankelijk van uw oordeel erover.
2. Er was geen sprake van toestemming voor het verzamelen van de adressen. Die is er bij banlijsten zelden, omdat veel mensen het als hun recht zien om hun mening op een weblog te geven, terwijl in de praktijk de eigenaars van het weblog juridisch aansprakelijk gehouden worden voor de inhoud van reacties.
3. Er was geen sprake van een contractuele relatie met betrokkenen. Sommige weblogs vergen registratie van gebruikers voor zij kunnen reageren, waarbij met een aantal huisregels akkoord gegaan moet worden. GeenCommentaar heeft ook huisregels, maar vraagt geen expliciet akkoord van gebruikers.
4. De verzameling van de gegevens was in ons belang. Deze handelswijze wordt door alle weblogs gevolgd, omdat structureel hinderlijke gebruikers anderen afschrikken en als hun uitingen onwettig zijn de beheerders van het weblog als uitgever blootstellen aan vervolging.
5. De ip-adressen zijn aan niemand verstrekt. Het bestand is slechts raadpleegbaar door een ip-adres ter controle op aanwezigheid in de database aan te bieden. Gezien het beperkte aantal adressen in de lijst op de totale ip-adresruimte in het Nederlandse taalgebied is het praktisch ondoenlijk voor derden om door systematisch opvragen onze lijst na te bouwen.
6. De afweging tussen ons belang en de privacy van betrokkenen is in de brief gemotiveerd.
7. Betrokkenen zijn niet door onszelf, maar door GeenStijl ingelicht over het bestaan van de lijst. De mogelijkheid van onvoorwaardelijke verwijdering is op de speciale website zelf helder aangegeven.

Reacties zijn uitgeschakeld