Uitspraak
vonnis
RECHTBANK MIDDEN-NEDERLAND
Civiel recht
handelskamer
locatie Utrecht
zaaknummer / rolnummer: C/16/530061 / KG ZA 21-617
Vonnis in kort geding van 9 juni 2022
in de zaak van
de stichting
STICHTING BREIN,
gevestigd in Amsterdam en kantoorhoudende te Hoofddorp,
eiseres,
advocaten mr. D.J.G. Visser en mr. P. de Leeuwe te Amsterdam,
tegen
de besloten vennootschap met beperkte aansprakelijkheid
ZIGGO BV,
gevestigd te Utrecht,
gedaagde,
advocaten mr. J.R. Spauwen en mr. N.M. de Visser te Amsterdam.
Partijen zullen hierna BREIN en Ziggo genoemd worden.
1.De procedure
1.1.
Het verloop van de procedure blijkt uit:
- de dagvaarding van 18 maart 2022 met producties 1 tot en met 14
- de op 12 mei 2022 van BREIN ontvangen producties 15 tot en met 17
- de op13 mei 2022 van Ziggo ontvangen productie 1
- de op 16 mei 2022 van BREIN ontvangen producties 18 tot en met 20
- de op 16 mei 2022 van Ziggo ontvangen producties 2 tot en met 5
- de mondelinge behandeling van 17 mei 2022
- de pleitnota van BREIN
- de pleitnota van Ziggo.
1.2.
Daarna is bepaald dat er op 7 juni 2022 vonnis wordt gewezen. Die dag is verschoven naar 9 juni 2022.
2.Waar gaat deze zaak over?
2.1.
BREIN houdt zich bezig met de collectieve bestrijding van auteursrechtinbreuken. Zij doet dit ten behoeve van de bij haar aangesloten uitvoerend kunstenaars, producenten, omroepen, uitgevers en distributeurs.
2.2.
Ziggo is de grootste internetserviceprovider van Nederland. Ziggo stelt tegen betaling IP-adressen ter beschikking aan haar klanten, waarmee zij toegang krijgen tot het internet.
2.3.
Volgens BREIN is het volgende aan de hand: met één van de IP-adressen die Ziggo ter beschikking heeft gesteld ( [IP-adres] ), worden meer dan 200 e-books voor het publiek toegankelijk gemaakt via een “open directory”.
Een open directory is een database die staat opgeslagen op de computer van de gebruiker of op een externe server. De gebruiker heeft die database toegankelijk gemaakt voor iedereen via het IP-adres waarmee de gebruiker toegang heeft tot het internet.
Onder de e-books in de database die via het IP-adres [IP-adres] toegankelijk wordt gemaakt, bevinden zich werken van Nederlandse auteurs. Deze boeken kunnen door derden worden gedownload. Er worden steeds nieuwe boeken aan de database toegevoegd. Het gaat om illegale kopieën en om legaal aangekochte boeken die zonder toestemming van de rechthebbenden openbaar worden gemaakt. Door het toegankelijk maken van de e-books via de open directory wordt inbreuk gemaakt op de daarop rustende auteursrechten.
2.4.
Op 20 september 2021 heeft BREIN Ziggo per e-mail op de hoogte gesteld van het door haar gestelde inbreukmakende handelen via het IP-adres [IP-adres] en haar gevraagd om een waarschuwingsbrief aan de klant te sturen aan wie dit IP-adres ter beschikking is gesteld. In de waarschuwingsbrief wordt de klant er op gewezen dat hij inbreuk maakt op auteursrechten en wordt hem verzocht deze inbreuk te (doen) staken. Ziggo heeft niet op deze e-mail van BREIN gereageerd en ook niet op een herinneringsmail van 30 september 2021.
2.5.
Op 11 oktober 2021 heeft BREIN Ziggo gesommeerd om óf de waarschuwingsbrief aan de klant door te sturen óf de NAW-gegevens van die klant aan BREIN te verstrekken, zodat BREIN de waarschuwingsbrief zelf kan versturen. Ook hierop heeft Ziggo niet gereageerd.
2.6.
Eerder verstuurde waarschuwingsbrieven hebben er toe geleid dat open directories offline zijn gegaan.
2.7.
In dit kort geding vordert BREIN:
A. primair dat Ziggo:
- per e-mail een waarschuwingsbrief stuurt aan de klant die gebruik maakt van IP-adres [IP-adres] en aan andere door BREIN in de toekomst aan te wijzen klanten van Ziggo die ook via een open directory auteursrechtinbreuk maken, en als dat geen effect heeft;
- dat zij de waarschuwingsbrief per aangetekende post verstuurt, en als dat ook geen effect heeft;
- dat zij de NAW-gegevens van de betreffende klant(en) aan BREIN verstrekt;
- alles op straffe van een dwangsom;
B. subsidiair vordert BREIN dat Ziggo de NAW-gegevens aan haar toestuurt van de klant die gebruik maakt van IP-adres [IP-adres] en van andere door BREIN in de toekomst aan te wijzen klanten van Ziggo die ook via een open directory auteursrechtinbreuk maken, op straffe van een dwangsom;
C. ook vordert zij dat Ziggo op grond van artikel 1019h Rv wordt veroordeeld in de volledige proceskosten.
3.Hoe oordeelt de voorzieningenrechter?
Leeswijzer
3.1.
De voorzieningenrechter wijst de vorderingen van BREIN af. Hieronder wordt dit uitgelegd. Daarbij wordt eerst een samenvatting gegeven van een eerder vonnis tussen partijen, wordt de link met onderhavige zaak gelegd en wordt vermeld hoe het oordeel in onderhavige zaak luidt. Daarna wordt per onderwerp een inhoudelijke toelichting op dit oordeel gegeven.
Brein/Ziggo I
3.2.
Op 2 februari 2022 heeft deze voorzieningenrechter een vonnis gewezen in een andere zaak die tussen BREIN en Ziggo speelde (hierna: Brein/Ziggo I, ECLI:NL:RBMNE:2022:297). In die zaak ging het om een grootschalige waarschuwingscampagne van BREIN, waarbij zij wilde dat Ziggo namens haar waarschuwingsbrieven zou doorsturen aan klanten waarvan door BREIN was geconstateerd dat via hun IP-adres illegaal werd gedownload door gebruik te maken van het BitTorrent-protocol. Voor het doorsturen van de waarschuwingsbrieven is het nodig dat Ziggo de IP-adressen die BREIN aan haar doorgeeft, koppelt aan de bij Ziggo bekende NAW-gegevens die bij dat IP-adres horen.
3.3.
De voorzieningenrechter oordeelde in BREIN/Ziggo I:
- dat het IP-adres dat wordt gebruikt voor het illegaal downloaden een strafrechtelijk persoonsgegeven is;
- dat BREIN en Ziggo – in het geval Ziggo de waarschuwingsbrieven van BREIN doorstuurt aan haar klanten – beide verwerkingsverantwoordelijke zijn ten aanzien van die gegevens;
- dat er voor de verwerking door BREIN geen voorafgaande toetsing van de Autoriteit Persoonsgegevens (hierna: AP) nodig is;
- dat BREIN en Ziggo beide een grondslag moeten hebben voor de verwerking: algemeen en strafrechtelijk. De algemene grondslag is te vinden in artikel 6 lid 1 sub f AVG (BREIN), zoals ingevuld door Lycos/ [naam] , Hoge Raad 25 november 2005, ECLI:NL:HR:2005:AU4019 (Ziggo). De strafrechtelijke grondslag voor BREIN is gelegen in 33 lid 2 sub b UAVG (verwerking ter bescherming van haar belangen), voor Ziggo ontbreekt die. Ziggo heeft een vergunning van de AP nodig en moet eerst een gegevensbeschermingseffectbeoordeling doen;
- dat er geen strijd is met het doelbindingsbeginsel uit de AVG;
- dat het onrechtmatig is als Ziggo weigert de waarschuwing door te sturen op het moment dat zij daarvoor een vergunning van de AP heeft verkregen (Lycos/ [naam] -toets):
- dat het doorsturen van de waarschuwingen niet in strijd is met de Telecommunicatiewet.
3.4.
In het vonnis van 2 februari 2022 heeft de voorzieningenrechter de vorderingen van BREIN afgewezen, omdat Ziggo daarvoor (nog) geen vergunning van de AP heeft. Ziggo hoeft de waarschuwingsbrieven dus (nog) niet door te sturen. Om partijen zoveel mogelijk duidelijkheid te geven, heeft de voorzieningenrechter ook alvast een oordeel gegeven over de vraag of het onrechtmatig is als Ziggo de waarschuwingsbrieven niet doorstuurt als zij wel over een vergunning beschikt. Het antwoord op die vraag is: ja.
3.5.
Er is hoger beroep ingesteld van het vonnis van 2 februari 2022 inzake BREIN/Ziggo I.
Verband tussen BREIN/Ziggo I en BREIN/Ziggo II
3.6.
In de onderhavige zaak (hierna ook: BREIN/Ziggo II) wil BREIN dat Ziggo een waarschuwingsbrief stuurt naar een klant van Ziggo via wiens IP-adres (volgens BREIN) op onrechtmatige wijze boeken zijn gedownload (en om dat in de toekomst in vergelijkbare gevallen ook te doen bij andere klanten). Als die waarschuwing niet voldoende resultaat oplevert of Ziggo niet wordt veroordeeld om de waarschuwingsbrieven door te sturen, wil BREIN dat Ziggo de NAW-gegevens van die klant (en in vergelijkbare gevallen in de toekomst van andere klanten) aan haar verstrekt.
3.7.
In dit kort geding staat tussen partijen niet ter discussie dat als via een IP-adres inbreuk wordt gemaakt op auteursrechten, dat IP-adres (en de daaraan te koppelen NAW-gegevens) een strafrechtelijk persoonsgegeven zijn en dat zowel BREIN als Ziggo bij het verwerken van die gegevens als gegevensverwerkingsverantwoordelijke hebben te gelden.
3.8.
BREIN is het eens met het in BREIN/Ziggo I gegeven oordeel dat er een algemene verwerkingsgrondslag is (artikel 6 lid 1 sub f AVG, al dan niet in combinatie met Lycos/ [naam] ) en dat het doelbindingsbeginsel en de telecommunicatiewet niet aan het doorsturen van waarschuwingsbrieven in de weg staan. Ziggo is het hier niet mee eens, maar voert in deze zaak geen verweer daartegen.
3.9.
Wat in dit kort geding wél speelt, is het volgende. BREIN is het er niet mee eens dat Ziggo een vergunning van de AP nodig heeft. Zij voert allerlei redenen aan waarom dit volgens haar niet het geval is. Ziggo op haar beurt betwist dat er sprake is van een inbreuk door haar klant. Ook zijn partijen het niet eens over de vraag of het onrechtmatig is als Ziggo de waarschuwingen niet doorstuurt of de NAW-gegevens niet verstrekt. Ziggo werpt, bij wijze van primaire verweren, de volgende voorvragen op: zij stelt dat BREIN geen spoedeisend belang heeft bij haar vorderingen en dat zij niet-ontvankelijk is in haar vordering die ziet op het sturen van waarschuwingsbrieven of het verstrekken van NAW-gegevens bij toekomstige inbreuken.
Oordeel BREIN/Ziggo II
3.10.
De voorzieningenrechter is van oordeel dat BREIN een spoedeisend belang heeft bij haar vorderingen en dat zij ontvankelijk is in haar vordering die ziet op inbreuken in de toekomst.
3.11.
In dit kort geding kan de voorzieningenrechter niet vaststellen of de klant van Ziggo, die BREIN als eerste door Ziggo wil laten waarschuwen, zelf inbreuk maakt op de auteursrechten van degenen die bij BREIN zijn aangesloten.
3.12.
De voorzieningenrechter is van oordeel dat Ziggo (ook nu) een vergunning van de AP nodig heeft om het IP-adres aan de NAW-gegevens te koppelen en een waarschuwingsbrief te versturen of om die NAW-gegevens aan BREIN te verstrekken.
3.13.
In BREIN/Ziggo I heeft de voorzieningenrechter – ten overvloede en ondanks dat de vorderingen niet toewijsbaar waren op grond van de AVG – toch aan de hand van het toepasselijke toetsingskader (Lycos/ [naam] ) beoordeeld of Ziggo onrechtmatig handelt door de waarschuwingsbrieven niet door te sturen op het moment dat zij een vergunning van de AP zou hebben. In dit vonnis zal de voorzieningenrechter deze beoordeling achterwege laten. Nu niet alleen de AVG een drempel vormt voor toewijzing van de vorderingen, maar er ook onzekerheid bestaat over de vraag of de klant van Ziggo inbreuk maakt, voert het te ver om alvast te oordelen over de eventuele onrechtmatigheid van het handelen van Ziggo in het geval zij een vergunning van de AP zou hebben.
3.14.
De vorderingen van BREIN worden afgewezen. Hieronder wordt het oordeel over de voorvragen, de inbreukvraag en de AVG toegelicht.
Uitleg oordeel
Spoedeisend belang
3.15.
Volgens Ziggo heeft BREIN geen spoedeisend belang meer bij haar vorderingen, omdat de open directory vanaf 12 mei 2022 dicht staat. De voorzieningenrechter ziet dat anders. De boeken zijn op dit moment niet via het IP-adres van de klant van Ziggo te downloaden, maar het is niet duidelijk waarom dat zo is en voor hoe lang dat zo zal zijn. BREIN heeft – onbetwist door Ziggo – gezegd dat de directory al twee keer eerder kort dicht heeft gestaan, maar daarna weer open is gezet. Dat maakt dat er een nieuwe inbreuk dreigt en BREIN de afloop van een bodemprocedure niet kan afwachten. BREIN heeft dus een spoedeisend belang bij haar vorderingen.
Ontvankelijkheid
3.16.
Volgens Ziggo is BREIN op grond van artikel 111 lid 2 sub d Rv niet-ontvankelijk in haar vorderingen die zien op inbreuken in de toekomst, omdat zij deze vorderingen niet heeft onderbouwd. Ook dit ziet de voorzieningenrechter anders. In de dagvaarding wordt het specifieke geval waarop BREIN zich beroept (van de open directory die via het IP-adres [IP-adres] is te bereiken) uitvoerig onderbouwd. Uit de dagvaarding wordt ook duidelijk dat de vorderingen die zien op de toekomst, gaan over gevallen die vergelijkbaar zijn met het in de dagvaarding omschreven geval. Dat vormt voldoende grondslag voor de vordering die ziet op toekomstige inbreuken.
Is de klant van Ziggo inbreukmaker? Dat is niet duidelijk
3.17.
Het is van belang om te weten of de klant van Ziggo die gebruik maakt van IP-adres [IP-adres] zelf inbreuk maakt of onbedoeld mogelijk maakt dat een derde –die via Calishot de Calibre-bibliotheek heeft geïndexeerd en voor iedereen toegankelijk heeft gemaakt – deze inbreuk pleegt. Voor de belangenafweging in het kader van de vraag of Ziggo onrechtmatig handelt door de waarschuwingsbrief niet door te sturen of niet de NAW-gegevens te verstrekken (zie Lycos/ [naam] ), maakt het uit of de klant zelf de inbreukmaker is of niet. In het eerste geval zal de belangenafweging namelijk eerder in het nadeel van Ziggo (en de klant) uitpakken.
3.18.
De klant maakt inbreuk als hij de boeken in zijn Calibre-bibliotheek op ongeoorloofde wijze openbaar maakt, ongeacht of deze boeken op legale of illegale wijze zijn verkregen. Openbaar maken (artikel 12 Aw) houdt in: het toegankelijk maken van een werk voor het publiek. Daarvoor is toestemming van de rechthebbende vereist. Als die toestemming ontbreekt, is er sprake van ongeoorloofde openbaarmaking. Dat er geen toestemming is van de rechthebbenden staat hier niet ter discussie. Wel is in geschil of de klant van Ziggo die gebruik maakt van IP-adres [IP-adres] , de boeken openbaar heeft gemaakt en nog maakt.
3.19.
Voor “openbaar maken” in de zin van de Auteurswet is vereist dat de degene die openbaar maakt zich bewust is van de gevolgen van zijn handelen (of nalaten). Het moet dus gaan om een weloverwogen handeling (of nalaten) met het doel om een publiek te bereiken dat zonder die handeling (of nalaten) geen toegang tot de werken had gehad (vgl. nr. 35 HvJEU 8 september 2016, ECLI:EU:C:2016:644, GS Media/Sanoma).
3.20.
Tussen partijen is niet in geschil dat de boeken waar het hier om gaat, online staan in de Calibre-bibliotheek van de klant van Ziggo en dat de toegang tot die bibliotheek niet is afgeschermd met een wachtwoord. Dat betekent volgens Ziggo niet dat iedereen zomaar toegang heeft tot de boeken op het moment dat de url van de klant wordt ingetypt. Volgens Ziggo werkt het als volgt:
Als de klant de Calibre-bibliotheek thuis (hiermee wordt bedoeld het adres dat hoort bij het IP-adres) gebruikt, zal die bibliotheek normaal gesproken beschermd zijn door de gebruikelijke beveiliging. Alleen als de klant toegang tot de Calibre-bibliotheek zoekt vanaf een andere locatie dan zijn thuisadres (de voorzieningenrechter begrijpt: met gebruikmaking van een niet beveiligd netwerk), zal een derde toegang tot de bibliotheek kunnen krijgen door de url van de klant in te typen (hierna: directe route). Een groep genaamd Calishot zoekt deze “gaatjes” op en kan zo in de Calibre-bibliotheek van de klant van Ziggo komen. Daar wordt dan de optie “indexeren” aangezet. Als gevolg daarvan kan iedereen via de Calishot-tool toegang krijgen tot de boeken in de Calibre-bibliotheek van de klant van Ziggo (hierna: indirecte route). BREIN heeft dit niet weersproken, maar hier aan toegevoegd dat derden of Calishot ook gebruik kunnen maken van de directe route als de gebruiker van de Calibre-bibliotheek thuis gebruik maakt van een (naar de voorzieningenrechter aanneemt, onvoldoende afgeschermde) server.
3.21.
Gelet op de door partijen geschetste varianten van de wijze waarop de toegang tot de Calibre-bibliotheek voor derden mogelijk is, verstaat de voorzieningenrechter het volgende: (a) de klant heeft bewust die toegang voor derden gecreëerd, al dan niet met gebruikmaking van Calishot, ofwel (b) een derde heeft, buiten de klant om, met gebruikmaking van de genoemde ‘gaatjes-situatie’ zichzelf die toegang verschaft en daarbij in voorkomend geval met gebruikmaking van Calishot die toegang ook voor andere derden mogelijk gemaakt. In geval (b) bestaat het handelen van de klant van Ziggo er enkel in dat hij zijn computerbestanden en dus ook zijn Calibre-bibliotheek een tijdlang niet heeft beveiligd.
3.22.
Het ligt niet direct voor de hand ligt dat zich hier geval (b) heeft voorgedaan, omdat daar voor nodig is dat de derde de specifieke url van de klant van Ziggo kent en zich met gebruikmaking daarvan toegang tot de Calibre-bibliotheek van de Ziggo-klant verschaft (en al dan niet Calishot inzet), nét op het moment dat die toegang ook mogelijk is, omdat de klant toegang tot die bibliotheek zoekt vanaf een andere locatie dan zijn thuisadres. Toch vloeit uit de door Ziggo geschetste gang van zaken rond geval (b) teveel twijfel voort omtrent de vraag wat zich in dit geval nu precies heeft afgespeeld, om – vooruitlopend op wat daarover in een bodemgeding zal worden beslist – nu van de lezing van BREIN uit te gaan, namelijk dat zich hier het genoemde geval a) voordoet. Daarom blijft open dat hier sprake is van de “gaatjes-situatie” (b). In die situatie kan niet worden gezegd dat de klant van Ziggo, door zijn computerbestanden en dus ook zijn Calibre-bibliotheek een tijdlang niet te beveiligen, de inhoud van die bibliotheek openbaar heeft gemaakt.
BREIN heeft haar vorderingen gebaseerd op variant (a). Nu die niet vaststaat, kunnen die vorderingen al daarom niet worden toegewezen.
AVG: vergunning AP noodzakelijk voor Ziggo
3.23.
Als wel voldoende vast zou staan dat zich hier geval (a) voordoet, dan nog dienden de door Ziggo aangevoerde AVG-verweren beoordeeld te worden en zou die beoordeling aan het gelijk van BREIN in de weg staan. De voorzieningenrechter gaat volledigheidshalve hier op die verweren in. In BREIN/Ziggo I is geoordeeld dat Ziggo eerst een vergunning van de AP moet verkrijgen en er een gegevensbeschermingseffectbeoordeling moet plaatsvinden, voordat zij waarschuwingsbrieven kan doorsturen. Voor het verstrekken van de NAW-gegevens geldt dit te meer, nu dit een verder strekkende verwerking is dan het sturen van waarschuwingsbrieven. BREIN voert zeven argumenten aan, waarom Ziggo ook zonder vergunning van de AP en/of een gegevensbeschermingseffectbeoordeling gehouden kan worden om waarschuwingsbrieven te sturen of NAW-gegevens te verstrekken. Hieronder staat waarom die argumenten niet slagen.
Argument 1
3.24.
In BREIN/Ziggo I staat in randnummer 3.11: “Op grond van artikel 10 AVG in combinatie met artikel 31 UAVG is de verwerking van strafrechtelijke persoonsgegevens alleen in bepaalde uitzonderingsgevallen toegestaan. In de artikelen 32 en 33 UAVG worden deze uitzonderingsgevallen genoemd”.
3.25.
BREIN brengt hier het volgende tegenin. Strafrechtelijke persoonsgegevens mogen op grond van artikel 10 AVG worden verwerkt
“onder toezicht van de overheid of indien de verwerking is toegestaan bij (…) lidstaatrechtelijke bepalingen die passende waarborgen voor rechten en vrijheden van de betrokkenen bieden”. Op grond van artikel 10 AVG in combinatie met artikel 31 UAVG is de verwerking van strafrechtelijke persoonsgegevens in ieder geval toegestaan in de uitzonderingsgevallen die worden genoemd in de artikelen 32 en 33 UAVG, maar dit zijn niet de enige uitzonderingen. Onder de “lidstaatrechtelijke bepalingen” valt ook artikel 6:162 BW zoals toegepast conform Lycos/ [naam] . BREIN verwijst ter onderbouwing van dit standpunt naar de conclusie van de A-G in DFW/Ziggo, ECLl:NL:PHR:2021:83 (3.31-3.41), de uitspraak van het Hof van Justitie EU van 24 september 2019, zaak C-136/17, ECLl:EU:C:2019:773 en naar de uitspraak van het Gerechtshof Den Haag van 24 december 2019, ECLl:NL:GHDHA:2019:3539 (r.o. 4.6 - 4.7).
“onder toezicht van de overheid of indien de verwerking is toegestaan bij (…) lidstaatrechtelijke bepalingen die passende waarborgen voor rechten en vrijheden van de betrokkenen bieden”. Op grond van artikel 10 AVG in combinatie met artikel 31 UAVG is de verwerking van strafrechtelijke persoonsgegevens in ieder geval toegestaan in de uitzonderingsgevallen die worden genoemd in de artikelen 32 en 33 UAVG, maar dit zijn niet de enige uitzonderingen. Onder de “lidstaatrechtelijke bepalingen” valt ook artikel 6:162 BW zoals toegepast conform Lycos/ [naam] . BREIN verwijst ter onderbouwing van dit standpunt naar de conclusie van de A-G in DFW/Ziggo, ECLl:NL:PHR:2021:83 (3.31-3.41), de uitspraak van het Hof van Justitie EU van 24 september 2019, zaak C-136/17, ECLl:EU:C:2019:773 en naar de uitspraak van het Gerechtshof Den Haag van 24 december 2019, ECLl:NL:GHDHA:2019:3539 (r.o. 4.6 - 4.7).
3.26.
Volgens Ziggo volgt uit de Memorie van Toelichting (hierna: MvT) bij artikel 31 van de UAVG dat de uitzonderingen die genoemd staan in artikel 32 en 33 van de UAVG de enige uitzonderingen zijn en dat er dus sprake is van een gesloten systeem.
In de MvT (Kamerstukken II 2017/18, 34851, nr. 3) bij artikel 31 staat:
“Artikel 31 regelt dat de verwerking van persoonsgegevens van strafrechtelijke aard alleen is toegestaan met inachtneming van de artikelen 32 en 33. (…). De artikelen 32 en 33 van de Uitvoeringswet zijn een uitwerking van de mogelijkheid die artikel 10 van de verordening biedt om de verwerking van persoonsgegevens van strafrechtelijke aard toe te staan bij lidstaatrechtelijke bepalingen die passende waarborgen voor de rechten en vrijheden van de betrokkenen bieden.”
“Artikel 31 regelt dat de verwerking van persoonsgegevens van strafrechtelijke aard alleen is toegestaan met inachtneming van de artikelen 32 en 33. (…). De artikelen 32 en 33 van de Uitvoeringswet zijn een uitwerking van de mogelijkheid die artikel 10 van de verordening biedt om de verwerking van persoonsgegevens van strafrechtelijke aard toe te staan bij lidstaatrechtelijke bepalingen die passende waarborgen voor de rechten en vrijheden van de betrokkenen bieden.”
3.27.
De voorzieningenrechter is van oordeel dat hieruit inderdaad volgt dat de artikelen 32 en 33 van de UAVG de uitzonderingen op artikel 10 AVG uitputtend regelen (behoudens verwerking onder toezicht van de overheid). Dat betekent dat artikel 6:162 BW geen aanvullende uitzonderingsgrond biedt.
3.28.
Dat dit zo is, volgt ook uit artikel 33 lid 5 UAVG. Daarin staat:
“Een vergunning als bedoeld in het vierde lid, onderdeel c,[dat is de vergunning van de AP, toevoeging voorzieningenrechter],
kan slechts worden verleend, indien de verwerking noodzakelijk is met het oog op een zwaarwegend belang van derden en bij de uitvoering is voorzien in zodanige waarborgen dat de persoonlijke levenssfeer van de betrokkene niet onevenredig wordt geschaad. (…)”.
“Een vergunning als bedoeld in het vierde lid, onderdeel c,[dat is de vergunning van de AP, toevoeging voorzieningenrechter],
kan slechts worden verleend, indien de verwerking noodzakelijk is met het oog op een zwaarwegend belang van derden en bij de uitvoering is voorzien in zodanige waarborgen dat de persoonlijke levenssfeer van de betrokkene niet onevenredig wordt geschaad. (…)”.
Die zinsnede past bij wat in artikel 6 lid 1 sub f AVG staat:
“de verwerking is noodzakelijk voor de behartiging van de gerechtvaardigde belangen van de verwerkingsverantwoordelijke of van een derde, behalve wanneer de belangen of grondrechten en de fundamentele vrijheden van de betrokkene die tot bescherming van persoonsgegevens nopen, zwaarder wegen dan die belangen (…).”
“de verwerking is noodzakelijk voor de behartiging van de gerechtvaardigde belangen van de verwerkingsverantwoordelijke of van een derde, behalve wanneer de belangen of grondrechten en de fundamentele vrijheden van de betrokkene die tot bescherming van persoonsgegevens nopen, zwaarder wegen dan die belangen (…).”
De Hoge Raad heeft in het arrest Lycos/ [naam] geoordeeld dat als aan de in dat arrest genoemde voorwaarden is voldaan, ook is voldaan aan artikel 6 lid 1 sub f AVG.
De voorzieningenrechter trekt hieruit de conclusie dat de AP een vergunning verleent
mitsis voldaan aan gelijksoortige voorwaarden als die worden genoemd in Lycos/ [naam] . Daaruit vloeit dus geenszins voort dat er geen vergunning van de AP (meer) nodig is als is voldaan aan de voorwaarden van Lycos/ [naam] .
mitsis voldaan aan gelijksoortige voorwaarden als die worden genoemd in Lycos/ [naam] . Daaruit vloeit dus geenszins voort dat er geen vergunning van de AP (meer) nodig is als is voldaan aan de voorwaarden van Lycos/ [naam] .
3.29.
De handleiding van de algemene verordening gegevensverwerking van de AP (pagina 45 en 46) sluit aan bij de hierboven getrokken conclusie dat de uitzonderingen op artikel 10 AVG uitputtend zijn geregeld. De AP geeft in die handleiding een opsomming van uitzonderingsgronden en die opsomming lijkt sluitend te zijn.
3.30.
De door BREIN aangehaalde uitspraken leiden niet tot een andere conclusie. In het arrest DFW/Ziggo is niet aangevoerd dat de omstandigheid dat het om strafrechtelijke persoonsgegevens gaat, Ziggo belemmert om deze te verwerken (zie r.o. 5.24 van dat arrest). Dat arrest zegt dus niets over artikel 10 AVG en de uitzonderingsbepalingen van artikel 32 en 33 UAVG. Bovendien schrijft de A-G in randnummer 3.35 van zijn conclusie dat artikel 6:162 BW kan gelden als een nationale regeling op grond waarvan een accesprovider klantgegevens moet verstrekken aan een IE-rechthebbende, maar wel
mitsdat artikel kan worden uitgelegd en toegepast op een manier die verenigbaar is met onder andere de AVG.
mitsdat artikel kan worden uitgelegd en toegepast op een manier die verenigbaar is met onder andere de AVG.
Het arrest van het HvJEU zegt ook niets over de vraag hoe artikel 6:162 BW zich verhoudt tot artikel 10 AVG en de uitzonderingsbepalingen van artikel 32 en 33 UAVG.
Het arrest van het Gerechtshof te Den Haag gaat over artikel 9 AVG in plaats van artikel 10 AVG en artikel 9 AVG is niet van toepassing op strafrechtelijke persoonsgegevens (zie r.o. 4.23 en MvT bij artikel 22 UAVG).
Overigens gaat het arrest Lycos/ [naam] zelf ook niet over de verwerking van strafrechtelijke persoonsgegevens, maar over persoonsgegevens in het algemeen. In het arrest Lycos/ [naam] wordt dus ook geen antwoord gegeven op de vraag hoe artikel 6:162 BW zich verhoudt tot artikel 10 AVG en de uitzonderingsbepalingen van artikel 32 en 33 UAVG.
Argument 2
3.31.
Volgens BREIN is er sprake van de uitzondering die wordt genoemd in artikel 32 sub c (de verwerking heeft betrekking op persoonsgegevens die kennelijk door de betrokkene openbaar zijn gemaakt). Het gaat om een open directory en dus zijn het IP-adres en poortnummer door de klant van Ziggo kennelijk openbaar gemaakt, zo zegt BREIN.
3.32.
De verwerking die plaatsvindt is echter het koppelen van het IP-adres en poortnummer aan de NAW-gegevens van de klant van Ziggo. De NAW-gegevens worden dus ook verwerkt en die zijn – ongeacht of het IP-adres en poortnummer kennelijk openbaar zijn gemaakt, wat Ziggo betwist – in ieder geval niet kennelijk openbaar gemaakt. Dat Ziggo al bekend is met de NAW-gegevens, betekent niet dat deze kennelijk openbaar zijn gemaakt. Dat BREIN een vergunning heeft (rechtmatigverklaring) voor de doorgifte van persoonsgegevens van strafrechtelijke aard aan Ziggo, doet er niet aan af dat Ziggo deze gegevens zelfstandig verwerkt en zij dus ook een grondslag moet hebben voor de verwerking daarvan en er ten aanzien van haar dus ook sprake moet zijn van één van de uitzonderingen. De uitzondering van artikel 32 sub c UAVG geldt voor haar niet.
Argument 3
3.33.
BREIN zegt ook dat de uitzondering van artikel 32 sub d UAVG van toepassing is (de verwerking is noodzakelijk voor de instelling, uitoefening of onderbouwing van een rechtsvordering). BREIN heeft immers met dit kort geding een rechtsvordering ingesteld om de inbreuk tegen te gaan. Deze uitzondering geldt ook voor Ziggo, want het hoeft niet om een eigen rechtsvordering te gaan, aldus BREIN.
3.34.
Ziggo voert het verweer dat er nog geen rechtsvordering is ingesteld, omdat BREIN (primair) vordert dat er waarschuwingsbrieven worden gestuurd en in BREIN/Ziggo I is geoordeeld dat de uitzonderingsgrond van artikel 32 sub d UAVG dan niet van toepassing is. De (subsidiair) gevorderde afgifte van NAW-gegevens zal waarschijnlijk ook niet tot het instellen van een rechtsvordering leiden, omdat het sturen van een waarschuwing volgens BREIN meestal voldoende effect zal sorteren.
3.35.
De voorzieningenrechter overweegt als volgt. In BREIN/Ziggo I ging het om een waarschuwingscampagne waarna – als die campagne onvoldoende effect zou sorteren – een separaat traject zou worden gestart om eventuele inbreukmakers in rechte aan te spreken (mogelijk met voorafgaand daaraan een traject om de NAW-gegevens van die inbreukmakers te achterhalen). De persoonsgegevens van strafrechtelijke aard die in het kader van de waarschuwingscampagne zouden worden verwerkt, werden dus niet gebruikt voor het instellen van een inbreukvordering. Dat is een andere situatie dan hier aan de orde is, nu ook afgifte van de NAW-gegevens wordt gevorderd. Gelet op de tekst van artikel 32 sub d UAVG (“instelling, uitoefening of onderbouwing”) hoeft het nog niet om een al ingestelde rechtsvordering te gaan. In de visie van BREIN – en die is hier maatgevend – gaat het in dit kort geding om de aanloop naar een gerechtelijke procedure, waarvan ze hoopt dat die niet gevoerd hoeft te voeren. BREIN stelt dat voldoende is dat er een rechtsvordering in de lucht hangt, ongeacht wie die zal instellen. Die lezing van artikel 32 sub d UAVG is echter onjuist. Het moet wél om een eigen rechtsvordering gaan, zo blijkt uit de MvT bij artikel 22 UAVG:
“Particulieren kunnen onder omstandighedenhun[onderstreping door voorzieningenrechter]
rechten in een rechterlijke procedure niet effectueren zonder dat zij beschikken over bepaalde gegevens van hun wederpartij”. De verwerking van strafrechtelijke persoonsgegevens
door Ziggois daarom niet op grond van artikel 32 sub d UAVG toegestaan omdat
BREINmogelijk een rechtsvordering als bedoeld in dat artikellid zal instellen. Los daarvan geldt, zoals in BREIN/Ziggo I al is geoordeeld, dat de omstandigheid dat BREIN opkomt voor de rechten van degenen die bij haar zijn aangesloten, niet betekent dat zij de persoonsgegevens niet voor zichzelf verwerkt. Dat betekent naar het oordeel van de voorzieningenrechter dat wanneer BREIN een rechtsvordering instelt ten behoeve van de bij haar aangeslotenen, ten aanzien van haar eigen verwerking van strafrechtelijke persoonsgegevens wel sprake is van een rechtsvordering in de bedoelde zin.
“Particulieren kunnen onder omstandighedenhun[onderstreping door voorzieningenrechter]
rechten in een rechterlijke procedure niet effectueren zonder dat zij beschikken over bepaalde gegevens van hun wederpartij”. De verwerking van strafrechtelijke persoonsgegevens
door Ziggois daarom niet op grond van artikel 32 sub d UAVG toegestaan omdat
BREINmogelijk een rechtsvordering als bedoeld in dat artikellid zal instellen. Los daarvan geldt, zoals in BREIN/Ziggo I al is geoordeeld, dat de omstandigheid dat BREIN opkomt voor de rechten van degenen die bij haar zijn aangesloten, niet betekent dat zij de persoonsgegevens niet voor zichzelf verwerkt. Dat betekent naar het oordeel van de voorzieningenrechter dat wanneer BREIN een rechtsvordering instelt ten behoeve van de bij haar aangeslotenen, ten aanzien van haar eigen verwerking van strafrechtelijke persoonsgegevens wel sprake is van een rechtsvordering in de bedoelde zin.
Argument 4
3.36.
BREIN doet een beroep op de uitzonderingsgrond die staat in artikel 33 lid 2 sub b UAVG:
“Persoonsgegevens van strafrechtelijke aard mogen worden verwerkt door de verwerkingsverantwoordelijke die deze gegevens ten eigen behoeve verwerkt:
(…)
b. ter bescherming van zijn belangen, voor zover het gaat om strafbare feiten die zijn of op grond van feiten en omstandigheden naar verwachting zullen worden gepleegd jegens hem of jegens personen die in zijn dienst zijn.
(…)”
Volgens BREIN levert de auteursrechtinbreuk ook een strafbaar feit op jegens Ziggo.
3.37.
Gelet op de wetstekst gaat deze uitzondering alleen op als er sprake is van een strafbaar feit jegens Ziggo. Die wetstekst legt de voorzieningenrechter beperkt uit, nu de AVG tot doel heeft om de privacy te bewaken. Dat betekent dat het er om moet gaan dat Ziggo wordt geraakt in de belangen die het strafbare feit beoogd te beschermen. Het strafbare feit is de schending van het auteursrecht op de boeken. Ziggo is geen auteursrechthebbende en behartigt ook niet de belangen van de auteursrechthebbenden. Dat Ziggo negatieve gevolgen kan ondervinden van inbreuken die via de door haar verleende internettoegang worden gepleegd en dat zij zich in haar algemene voorwaarden het recht voorbehoud daar tegen op te treden, maakt niet dat de inbreuk jegens Ziggo wordt gepleegd. Deze negatieve gevolgen spelen zich op civielrechtelijk (met name contractrechtelijk) vlak af, niet op het gebied van het strafrecht.
Argument 5
3.38.
Op grond van artikel 33 lid 4 sub c UAVG is er een vergunning van de AP vereist bij verwerking van strafrechtelijke persoonsgegevens ten behoeve van een derde. Volgens BREIN is er bij het sturen van waarschuwingsbrieven geen sprake van dat Ziggo de gegevens ten behoeve van BREIN verwerkt, omdat de gegevens niet met BREIN worden gedeeld.
3.39.
Ook dit argument slaagt niet. De verwerking is, onder andere, het koppelen door Ziggo van het IP-adres dat BREIN bij haar aanlevert, aan de bij Ziggo bekende NAW-gegevens. Die verwerking doet Ziggo ten behoeve van BREIN, namelijk om de inbreuk tegen te gaan jegens degenen wiens belangen BREIN behartigt. Dat de NAW-gegevens niet met BREIN worden gedeeld, maakt daarvoor niet uit. Dat Ziggo zich jegens haar klanten contractueel het recht voorbehoudt om op te treden tegen misbruik van de internetverbinding en dat dit – volgens BREIN – ook in het belang van Ziggo is, maakt niet dat de specifieke verwerking waar het in dit kort geding om draait ten behoeve van Ziggo wordt uitgevoerd.
Argument 6
3.40.
BREIN stelt zich op het standpunt dat Ziggo geen gegevensbeschermingseffectbeoordeling (artikel 35 AVG) hoeft uit te voeren, omdat er geen sprake is van een grootschalige verwerking van strafrechtelijke gegevens, maar van de verwerking van een specifiek IP-adres in het kader van een specifieke inbreuk.
3.41.
Op grond van de handleiding van de algemene verordening gegevensverwerking van de AP (pagina 58) moet er een gegevensbeschermingseffectbeoordeling worden uitgevoerd, onder meer, als er sprake is van verwerking van 1) gevoelige gegevens of gegevens van zeer persoonlijke aard en 2) op grote schaal verwerkte gegevens. Of de verwerking grootschalig zal zijn, kan de voorzieningenrechter nu niet beoordelen. Hier ligt de concrete vordering met betrekking tot één klant van Ziggo voor en mogelijke toekomstige vorderingen. Anders dan bij de FLU-campagne die een rol speelde in BREIN/Ziggo I, is er in dit kort geding geen enkele indicatie wat de omvang van toekomstige inbreuken gaat zijn.
Argument 7
3.42.
BREIN zegt ook nog het volgende. Ook als Ziggo wel een gegevensbeschermingseffectbeoordeling moet uitvoeren en een vergunning van de AP nodig heeft, is Ziggo tot medewerking aan het doorsturen van de waarschuwingsbrieven verplicht. In Brein/Ziggo I is immers in het kader van de FLU-campagne geoordeeld dat Ziggo onrechtmatig handelt als zij de waarschuwingsbrieven niet doorstuurt. Dan geldt dit ook ten aanzien van een klant die inbreuk maakt via een open directory. Althans, Ziggo zal zich naar beste vermogen moeten inspannen om die beoordeling te verrichten en die vergunning te krijgen. De door Ziggo uitgevoerde gegevensbeschermingseffectbeoordeling zal hetzelfde moeten uitpakken als de door BREIN uitgevoerde beoordeling, nu de risico’s in BREIN/Ziggo I door de voorzieningenrechter aanvaardbaar zijn gevonden, alles volgens BREIN.
3.43.
In Brein/Ziggo I is geoordeeld dat Ziggo onrechtmatig handelt als ze niet doorstuurt
alsze een vergunning van de AP heeft. De voorzieningenrechter hoeft niet te oordelen over de vraag of Ziggo moet doen wat nodig is om een vergunning van de AP te verkrijgen en een gegevensbeschermingseffectbeoordeling te verrichten, want deze medewerking/inspanning is niet gevorderd door BREIN.
alsze een vergunning van de AP heeft. De voorzieningenrechter hoeft niet te oordelen over de vraag of Ziggo moet doen wat nodig is om een vergunning van de AP te verkrijgen en een gegevensbeschermingseffectbeoordeling te verrichten, want deze medewerking/inspanning is niet gevorderd door BREIN.
Proceskosten
3.44.
BREIN krijgt ongelijk en moet daarom de proceskosten van Ziggo betalen. Volgens Ziggo is een volledige proceskostenveroordeling op grond van artikel 1019h Rv in deze zaak niet aan de orde. Dat is ook het oordeel van de voorzieningenrechter. Net als in BREIN/Ziggo I gaat het hier niet om een zaak tussen enerzijds de houder van een intellectueel eigendomsrecht en anderzijds de vermeende inbreukmaker over de vraag of er sprake is van een (dreigende) inbreuk. De inbreuk zelf staat hier niet ter discussie, wél wie de inbreukmaker is. Die discussie zal uiteindelijk moeten worden beslecht tussen BREIN en de vermeende inbreukmaker(s). In deze zaak draait het om de vraag of die inbreuk Ziggo noopt tot meewerken aan het versturen van waarschuwingsbrieven of het verstrekken van NAW-gegevens. Dat was in de door BREIN aangehaalde uitspraak anders. De voorzieningenrechter zal dus de liquidatietarieven toepassen. De proceskosten van Ziggo worden aan de hand daarvan begroot op:
- griffierecht € 676,00
- salaris advocaat
1.016,00
1.016,00
Totaal € 1.692,00
3.45.
De door Ziggo gevorderde nakosten worden toegewezen op de manier die in “de beslissing” staat.
4.De beslissing
De voorzieningenrechter
4.1.
wijst de vorderingen af,
4.2.
veroordeelt BREIN in de proceskosten, aan de zijde van Ziggo tot op heden begroot op € 1.692,00,
4.3.
veroordeelt BREIN in de na dit vonnis ontstane kosten, begroot op € 163,00 aan salaris advocaat, te vermeerderen, onder de voorwaarde dat BREIN niet binnen 14 dagen na aanschrijving aan het vonnis heeft voldaan en er vervolgens betekening van de uitspraak heeft plaatsgevonden, met een bedrag van € 85,00 aan salaris advocaat en de explootkosten van betekening van de uitspraak,
4.4.
verklaart de kostenveroordeling uitvoerbaar bij voorraad.
Dit vonnis is gewezen door voorzieningenrechter mr. R.A. Steenbergen, bijgestaan door griffier mr. M. Braam, en in het openbaar uitgesproken op 9 juni 2022. [1]