IP&T Bites Newsletter August 2021 - Obligation of platform administrator to provide data (Dutch)

Dentons
Contact

Dentons

Welkom bij de nieuwe editie van de maandelijkse Dentons Amsterdam IP&T Bites. Deze maand staat er weer een interessant en actueel onderwerp op het programma: online platformbeheerders en de (mogelijke) verplichting om gegevens van haar gebruikers te verstrekken. In deze editie wordt dit dilemma en de daarbij behorende belangenafweging besproken, zowel vanuit het perspectief van de IE-rechthebbende alsook vanuit privacyrechtelijk perspectief.

Verplichting van platformbeheerder om gegevens te verstrekken (Dutch)

Beheerders van online platforms en rechthebbenden van intellectuele eigendomsrechten worden regelmatig geconfronteerd met IE-inbreuken, gemaakt door derde partijen op platforms. Denk bijvoorbeeld aan de verkoop van namaakproducten op e-commerce platforms (online marktplaatsen) of het uploaden van auteursrechtelijk beschermd materiaal op content sharing platforms (YouTube, Facebook etc.). Wanneer de IE-rechthebbenden tegen deze inbreukmakers willen optreden is het vaak in de praktijk onduidelijk welke persoon daadwerkelijk verantwoordelijk is voor de schending van de IE-rechten op het platform. De inbreukmakers zijn lastig te identificeren, omdat zij vaak acteren op basis van een nepaccount en/of een account hebben aangemaakt op basis van anonieme gegevens. De IE-rechthebbenden vragen in deze gevallen de beheerder van het platform om identificerende gegevens van deze inbreukmakende gebruikers te verstrekken. Dit betekent dat de beheerder van het platform voor een lastig dilemma staat. Enerzijds zal de platformbeheerder zijn bijdrage willen leveren aan een ‘schoon’ platform (zonder namaakproducten en/of inbreukmakende content), anderzijds zal de platformbeheerder voorzichtig willen zijn met het onnodig vrijgegeven van privacygevoelige gegevens.

In het Lycos/Pessers arrest heeft de Hoge Raad bepaald dat platformbeheerders onder bepaalde omstandigheden onrechtmatig kunnen handelen door de bij hen bekende identificerende gegevens van inbreukmakende gebruikers niet te verstrekken op verzoek van een belanghebbende.1 Onder hierna te noemen omstandigheden kan een platformbeheerder verplicht worden om identificerende gegevens van haar gebruikers te verstrekken aan bijvoorbeeld een IE-rechthebbende op wiens rechten inbreuk is gemaakt door desbetreffende gebruiker(s). Per geval moet daarbij een evenwichtige belangenafweging worden gemaakt. Hierbij dient gekeken te worden naar de verschillende belangen van de betrokken partijen, te weten i) van de IE-rechthebbenden op handhaving van hun rechten, ii) het belang van de gebruikers van het platform op hun privacyrechten en iii) het belang van de platformbeheerders om de privacyrechten van hun gebruikers te waarborgen.

In deze blog bespreken we het dilemma en de daarbij behorende belangenafweging eerst vanuit het perspectief van de IE-rechthebbende en vervolgens vanuit privacyrechtelijk perspectief.

IE-rechthebbende

Een tussenpersoon kan onrechtmatig handelen door de identificerende gegevens niet op verzoek af te geven indien de verzoekende IE-rechthebbende voldoende aannemelijk maakt dat:

  1. de op het platform gepubliceerde informatie, op zichzelf beschouwd, jegens de IE-rechthebbende onrechtmatig en schadelijk is;
  2. de IE-rechthebbende een reëel belang heeft bij de verkrijging van de gegevens;
  3. er in het concrete geval geen minder ingrijpende mogelijkheid bestaat om de gegevens te achterhalen en;
  4. de afweging van de betrokken belangen - van de IE-rechthebbende, het platform en de inbreukmakers – in het voordeel uitvalt van de IE-rechthebbende.

Gegevens waar een IE-rechthebbende volgens Nederlandse rechtspraak aanspraak op kan maken zijn onder andere NAW-gegevens, IP-adressen, identificerende betaalgegevens en ID-kaart gegevens. Dit alles indien en voor zover deze gegevens ertoe strekken de inbreukmakende partijen te kunnen herleiden en identificeren.

In de praktijk worden dergelijke gegevensverzoeken doorgaans in bulkvorm van platforms gevorderd. Dat wil zeggen een gegevensverzoek van meerdere gelijksoortige inbreukmakers op een platform in één procedure door middel van een collectieve vordering ingesteld door collectieve IE-beheersorganisaties zoals Stichting BREIN en Stichting Namaakbestrijding React.

Privacyrecht

Voor de vraag of een platformbeheerder mag voldoen aan een dergelijk gegevensverzoek moet een onderscheid worden gemaakt tussen particuliere- en professionele gebruikers. Bij professionele gebruikers die in het economisch verkeer actief zijn, zoals het geval is bij de verkoop van namaak op e-commerce platforms, volgt uit de rechtspraak dat zij geen belang hebben om anoniem te blijven en dat hun identiteit duidelijk moet kunnen worden vastgesteld.2 Wanneer een gegevensverzoek ziet op verstrekken, doorsturen, verspreiden of op andere wijze ter beschikking stellen van “informatie over een geïdentificeerde of identificeerbare natuurlijke persoon” – een particuliere gebruiker – is sprake van een verwerking van persoonsgegevens in de zin van de Algemene Verordening Gegevensbescherming (AVG).

Een platformbeheerder moet als verwerkingsverantwoordelijke in zijn reactie op een dergelijk gegevensverzoek rekening houden met zijn AVG-verplichtingen. Zo moet er worden nagegaan of er een rechtmatige grondslag voor verwerking van persoonsgegevens bestaat (artikel 6 (1) AVG), dat wil zeggen toestemming van betrokkene(n) (sub a) of een gerechtvaardigd belang (sub f). Logischerwijs zal een inbreukmakende gebruiker niet snel toestemming geven zijn of haar gegevens te delen met de IE-rechthebbende. Men is dan ook aangewezen op de verwerkingsgrondslag van gerechtvaardigd belang (artikel 6 (1) (f) AVG).

Volgens Nederlandse rechtspraak3 geldt dat er een rechtsplicht tot afgifte van persoonsgegevens bestaat indien aan de volgende drie voorwaarden is voldaan: i) er is sprake van een gerechtvaardigd belang, ii) de verwerking is noodzakelijk, en iii) het belang van de IE-rechthebbende weegt zwaarder dan dat van de inbreukmaker. Dit is conform de vaste “drie-stapstoets” voor toepassing van artikel 6 (1) (f) AVG.Een gerechtvaardigd belang kan erin gelegen zijn om inbreukmakers van IE-rechten aan te spreken en een verbodsvordering in te stellen en eventueel de toegebrachte schade op hen te verhalen. De verwerking is noodzakelijk als alleen op die wijze onderzoek gedaan kan worden naar de identiteit van de inbreukmaker, er geen minder ingrijpende mogelijkheid bestaat om de identiteit vast te stellen en de afgifte van persoonsgegevens voldoende is afgebakend. In het kader van de belangenafweging behoort het belang van de IE-rechthebbende te prevaleren boven het belang van de inbreukmakende particuliere gebruiker wil dat belang als gerechtvaardigd worden aangemerkt. Dit komt neer op een afweging tussen het recht op de bescherming van persoonsgegevens van de particuliere inbreukmaker, en het recht op bescherming van intellectuele eigendom en effectieve rechtsbescherming van de IE-rechthebbende. Daarbij moet de IE-rechthebbende, bij het doen van een verzoek op het verstrekken van de gegevens, op transparante wijze (aan de hand van duidelijke en begrijpelijke criteria) uiteenzetten:

  1. waarop hij diens beslissing tot een bepaalde actie baseert; en
  2. wat de inhoud en omvang van de te vorderen bedragen is.

Daarbij is van belang dat platformbeheerders namens hun particuliere inbreukmakende gebruikers een inschatting moeten kunnen maken van de gevolgen die de gegevensverstrekking meebrengt voor die gebruikers. Ten eerste omdat de platformbeheerder de gevolgen mee moet wegen in de belangenafweging en ten tweede omdat de platformbeheerders hun gebruikers vooraf adequaat moeten kunnen informeren over de gevolgen van de gegevensverstrekking.

WHOIS / ICANN

Een vergelijkbaar privacyvraagstuk speelt bij de verplichte openbare registratie van persoonsgegevens in WHOIS-registers. In een WHOIS-register worden bijvoorbeeld de naam, het telefoonnummer, het adres en het e-mailadres van de houder van een domeinnaam (openbaar) opgenomen. Een WHOIS-register kan worden gebruikt om fraude, misleiding van consumenten, schendingen van intellectuele eigendommen of andere schendingen van de wet te onderzoeken. Hoewel het wordt vereist door ICANN (Internet Corporation for Assigned Names and Numbers), is de registratie van dergelijke (persoons)gegevens in een openbaar register vanuit Europees privacy-rechtelijk perspectief problematisch.

Zowel de Artikel 29-werkgroep (later bevestigd door de Europese Data Protection Board (EDPB)4 als de Autoriteit Persoonsgegevens (AP)5 stellen zich op het standpunt dat volledige openbaarmaking van gegevens in een dergelijk register – zoals ICANN vereist – niet toelaatbaar is onder de AVG. ICANN heeft hiervoor geen rechtmatige grondslag aldus de EDPB en de AP (zoals vereist op grond van artikel 6 AVG).

De EDPB verwacht van ICANN dat zij een WHOIS-model ontwikkelt en implementeert dat legitiem gebruik door relevante belanghebbenden (zoals wetshandhavers) in overeenstemming met de AVG mogelijk maakt, maar zonder dat dit leidt tot een onbeperkte openbaarmaking van persoonsgegevens.Een mogelijke oplossing bestaat volgens de EDPB uit het toegang verlenen tot een dergelijk WHOIS-register via een ‘layered access model’ (‘gelaagde toegang’), waarbij enkel bevoegde autoriteiten en bedrijven toegang hebben tot de persoonsgegevens in de WHOIS-registers indien dit noodzakelijk is in het kader van het uitoefenen van hun publiekrechtelijke of private taken.

Hoe verder?

Al met al een lastig dilemma voor de platformbeheerders. Enerzijds kan de platformbeheerder onrechtmatig handelen wanneer hij geen identificerende gegevens van zijn inbreukmakende gebruikers verstrekt, maar anderzijds dient de platformbeheerder per geval een evenwichtige belangenafweging te maken tussen belangen van de particuliere inbreukmaker en de IE-rechthebbende. Bij het maken van een evenwichtige belangenafweging is het raadzaam om juridische hulp in te schakelen. Hiermee kan een geschil over het onrechtmatig verstrekken van identificerende gegevens voorkomen worden.Ook een IE-rechthebbende zal alvorens hij een verzoek om inzage in identificerende gegevens doet moeten nagaan bij welk type gegevens hij in dat specifieke geval een belang heeft en er geen minder ingrijpende mogelijkheid bestaat om de gegevens te verkrijgen.


  1. Hoge Raad 25 november 2005, ECLI:NL:HR:2005:AU4019 (Lycos / Pessers).
  2. Hof van Justitie 12 juli 2011, ECLI:EU:C:2011:474 (L’Oréal / eBay).
  3. Hof Arnhem-Leeuwarden 5 november 2019, ECLI:NL:GHARL:2019:9352 (Dutch Film Works / Ziggo).
  4. EDPB-letter to ICANN 5 July 2018.
  5. https://www.autoriteitpersoonsgegevens.nl/nl/onderwerpen/internet-telefoon-tv-en-post/persoonsgegevens-op-internet (onder: ‘WHOIS-gegevens op internet’).

DISCLAIMER: Because of the generality of this update, the information provided herein may not be applicable in all situations and should not be acted upon without specific legal advice based on particular situations.

© Dentons | Attorney Advertising

Written by:

Dentons
Contact
more
less

Dentons on:

Reporters on Deadline

"My best business intelligence, in one easy email…"

Your first step to building a free, personalized, morning email brief covering pertinent authors and topics on JD Supra:
*By using the service, you signify your acceptance of JD Supra's Privacy Policy.
Custom Email Digest
- hide
- hide

This website uses cookies to improve user experience, track anonymous site usage, store authorization tokens and permit sharing on social media networks. By continuing to browse this website you accept the use of cookies. Click here to read more about how we use cookies.