Uitspraak
vonnis
RECHTBANK MIDDEN-NEDERLAND
Civiel recht
handelskamer
locatie Utrecht
zaaknummer / rolnummer: C/16/531572 / KG ZA 21-672
Vonnis in kort geding van 2 februari 2022
in de zaak van
de stichting
STICHTING BREIN,
gevestigd in Amsterdam en kantoorhoudende te Hoofddorp,
eiseres,
advocaten mr. D.J.G. Visser en mr. P. de Leeuwe te Amsterdam,
tegen
de besloten vennootschap met beperkte aansprakelijkheid
ZIGGO B.V.,
gevestigd te Utrecht,
gedaagde,
advocaten mr. J.R. Spauwen, mr. J.P. van den Brink en mr. N.M. Visser te Amsterdam.
Partijen zullen hierna Brein en Ziggo genoemd worden.
1.De procedure
1.1.
Het verloop van de procedure blijkt uit:
- de dagvaarding van 31 december 2021 met producties 1 tot en met 22
- de op 7 januari 2022 van Ziggo ontvangen conclusie van antwoord
- de op 11 januari 2022 van Ziggo ontvangen producties 1 tot en met 7
- de op 11 januari 2022 van Brein ontvangen producties 23 tot en met 25
- de mondelinge behandeling van 12 januari 2022
- de pleitnota van Brein
- de pleitnota van Ziggo.
1.2.
Daarna is meegedeeld dat er op 26 januari 2022 vonnis wordt gewezen of zoveel later als nodig blijkt. Partijen zijn ervan op de hoogte gebracht dat de vonnisdatum is verschoven naar 2 februari 2022.
2.Waar gaat deze zaak over?
2.1.
Brein houdt zich bezig met de collectieve bestrijding van auteursrechtinbreuken. Zij doet dit ten behoeve van de bij haar aangesloten uitvoerend kunstenaars, producenten, omroepen, uitgevers en distributeurs.
2.2.
Ziggo is een van de grootste internetserviceproviders (hierna: isp’s) van Nederland.
2.3.
In Nederland worden auteursrechtelijk en nabuurrechtelijk beschermde werken nog steeds illegaal aangeboden en geconsumeerd, onder andere via het BitTorrent-protocol. Het overgrote deel van de bestanden die via BitTorrent worden uitgewisseld is IE-rechtelijk beschermd en wordt zonder toestemming van de rechthebbende gedeeld.
2.4.
Het BitTorrent-protocol werkt als volgt:
2.4.1.
Via het BitTorrent-protocol kunnen gebruikers (“peers”) bestanden delen (“filesharen”) nadat zij specifieke software (BitTorrent-client) hebben gedownload. De uit te wisselen bestanden zijn in kleine stukjes opgeknipt en worden gedeeld via de computers/servers van de peers.
2.4.2.
Een gebruiker die downloadt (“leecher” genoemd) stelt in beginsel het gedownloade (deel van het) bestand meteen weer ter beschikking aan andere gebruikers. Een peer die het hele bestand heeft gedownload en aan derden ter beschikking stelt, wordt een “seeder” genoemd.
2.4.3.
De bestanden worden uitgewisseld via een “torrent” of “magnet link”, die informatie bevat over hoe een bestand is opgedeeld en op welke computers/servers de individuele delen van het bestand kunnen worden gevonden. Via de torrents/magnetlinks wordt door een “tracker” bijgehouden welke peers beschikbaar zijn om een bepaald werk te kunnen downloaden. De torrents/magnetlinks worden tussen gebruikers gedeeld via BitTorrent-platforms, zoals bijvoorbeeld The Pirate Bay en Popcorn Time.
2.4.4.
De peers die een bepaald bestand uitwisselen, nemen deel aan een “BitTorrent-zwerm”. Via de BitTorrent-client is voor een peer in de zwerm te zien welke andere peers op een bepaald moment aan die zwerm deelnemen, doordat de IP-adressen (en poortnummers) van de deelnemers aan die zwerm zichtbaar zijn.
2.4.5.
De deelnemers aan de zwerm zijn meestal niet de initiële bron (“initial uploader”) van het illegale aanbod. De initial uploader is meestal een persoon of personen (“release team”) die onder een alias op grote schaal beschermde werken op internet (in een zwerm) plaatst/plaatsen. Na het plaatsen van de werken en de verwijzingen daar naartoe, verdwijnt de initial uploader uit de zwerm. Deze is daardoor moeilijk te achterhalen. Zodra een werk door de initial uploader is gedeeld, zorgen de peers ervoor dat het illegale aanbod via de zwerm beschikbaar blijft. Zonder seeders die veelvuldig en/of langdurig illegaal aanbod delen, functioneert het BitTorrent-protocol niet.
2.5.
In december 2020 is Brein de FLU-waarschuwingscampagne gestart. FLU staat voor Frequent en Langdurig Uploaden. Met uploaden wordt in dit verband bedoeld: het ter beschikking stellen van illegaal aanbod via BitTorrent. De FLU-waarschuwingscampagne is in de media aangekondigd via een persbericht en daarna is er op verschillende wijzen media-aandacht aan besteed.
2.6.
De FLU-campagne is er op gericht om een waarschuwingsbrief te sturen aan de houder van een IP-adres waarvan Brein met behulp van speciale software (AnalyseProgramma Frequente en Langdurige Uploaders, “AFLU”) steekproefsgewijs heeft geconstateerd dat via dat IP-adres in een periode van vier weken minimaal 2 keer illegaal aanbod ter beschikking is gesteld via BitTorrent. In de brief worden de werken genoemd die aldus in de zwerm zijn geplaatst en wordt benoemd dat dit illegaal en schadelijk is. De houder wordt gevraagd voortaan alleen gebruik te maken van legale platforms en actie te ondernemen als een derde misbruik maakt van zijn internetaansluiting. Ook wordt gezegd dat Brein bij toekomstige inbreuken de NAW-gegevens van de houder kan opvragen om een onthoudingsverklaring af te spreken of een rechterlijk bevel te vorderen. Brein verwacht dat wanneer de houders van een IP-adres op het illegale gebruik van hun internetaccount worden gewezen, dat gebruik in veel gevallen vrijwillig zal stoppen.
2.7.
Na afloop van de FLU-campagne zal Brein door marktonderzoeksbureau Kantar onderzoek laten verrichten naar het effect van de waarschuwingsbrieven. Brein heeft voor dit onderzoek subsidie ontvangen van het ministerie van OC&W. Aan de hand van de uitkomst van dat onderzoek, bepaalt Brein of zij doorgaat met de waarschuwingscampagne of dat zij overgaat tot handhavingsmaatregelen tegen de frequente en/of langdurige uploaders. Die eventuele handhaving vindt plaats ten aanzien van nieuwe door Brein te verzamelen IP-adressen aan de hand van andere, strengere, criteria dan die gelden bij de FLU-waarschuwingscampagne. De in het kader van de FLU-waarschuwingscampagne verzamelde IP-adressen worden dus niet voor de eventuele latere handhaving gebruikt.
2.8.
De steekproef aan de hand waarvan personen als frequente en/of langdurige uploader worden bestempeld, komt als volgt tot stand:
2.8.1.
AFLU is een BitTorrent-client waarmee Brein kan deelnemen aan de BitTorrent-zwerm van een bestand dat op een bepaald moment wordt uitgewisseld. Met AFLU voert Brein steekproeven uit. Een medewerker van Brein zoekt in populaire BitTorrent-indexeringssites naar bepaalde illegale (mede) op Nederland gerichte werken van haar aangeslotenen die zonder toestemming worden aangeboden. Als zo’n werk wordt aangetroffen, opent Brein de torrent die naar het werk verwijst en neemt zo deel aan de BitTorrent-zwerm waarmee het werk wordt uitgewisseld. Brein kan dan de IP-adressen en poortnummers achterhalen van de deelnemers aan de zwerm. Brein blijft zo kort in die zwerm dat zij geen seeder wordt. Brein plaatst geen werken en creëert dus geen nieuwe zwerm. Via AFLU worden alleen IP-adressen verzameld die bij een Nederlandse isp in beheer zijn.
2.8.2.
Om in het kader van dit project als frequente en/of langdurige uploader te worden gekwalificeerd, moet een IP-adres van een inbreukmaker in een periode van vier weken tenminste twee keer in een zwerm worden aangetroffen. Dat kan zijn één keer in twee verschillende zwermen of twee keer in dezelfde zwerm met een duur van minimaal 7 uur. Omdat het om een steekproef gaat, gaat Brein er vanuit dat deze inbreukmaker dan (veel) vaker inbreuken pleegt.
2.8.3.
De IP-adressen die niet aan de criteria van FLU voldoen, worden gewist. De IP-adressen van degenen die uit de steekproef zijn gekomen, worden ook gewist na het sturen van de waarschuwingsbrief.
2.9.
De gegevens van de houders van de IP-adressen die via AFLU uit de steekproef komen, zijn aan Brein onbekend. Brein kent alleen het IP-adres. De isp’s van het betreffende IP-adres kunnen dat IP-adres koppelen aan NAW-gegevens van hun abonnee. Voor het sturen van de waarschuwingsbrieven heeft Brein dus de medewerking van de isp’s nodig, in die zin dat deze de brief van Brein aan hun abonnees doorsturen. Brein zal maximaal 1.000 doorstuurverzoeken per maand sturen aan alle isp’s gezamenlijk.
2.10.
De FLU-waarschuwingscampagne is, naast tal van andere maatregelen, een van de manieren waarop Brein de auteursrechten van de bij haar aangesloten (rechts)personen probeert te handhaven. Ondanks de door Brein getroffen maatregelen wordt er nog steeds vaak gebruik gemaakt van illegaal aanbod. Daarom vindt Brein het een onmisbaar onderdeel van effectieve handhaving, dat bewustwording wordt gecreëerd bij personen die frequent of langdurig illegaal aanbod consumeren en uitwisselen en dat zij worden gewaarschuwd. Volgens Brein is de waarschuwingscampagne mede ingegeven doordat de Autoriteit Persoonsgegevens (hierna: AP) Brein in het verleden heeft laten weten het van groot belang te vinden dat BitTorrent-gebruikers worden gewaarschuwd, voordat wordt overgegaan tot handhaving.
2.11.
De meeste beschikbaarstellingen van illegaal aanbod die Brein in het kader van het FLU-waarschuwingsproject ontdekte, gaan via IP-adressen die Ziggo beheert. Brein wil daarom dat Ziggo de waarschuwingsbrieven van Brein aan haar betreffende klanten doorstuurt. Ziggo werkt daar niet vrijwillig aan mee.
2.12.
In dit kort geding vordert Brein dat Ziggo wordt veroordeeld om de waarschuwingsbrieven van Brein door te sturen aan de betreffende klanten van Ziggo, op straffe van een dwangsom.
3.Hoe oordeelt de voorzieningenrechter?
Conclusie en leeswijzer
3.1.
De voorzieningenrechter wijst de vordering van Brein af. Brein en Ziggo zijn beide verwerkingsverantwoordelijke van strafrechtelijke persoonsgegevens en moeten beide een grondslag hebben voor de verwerking daarvan. Brein heeft die, maar Ziggo niet. Ziggo verwerkt de strafrechtelijke persoonsgegevens ten behoeve van een derde (Brein) en mag dat alleen als de AP hiervoor een vergunning aan haar heeft afgegeven. Dat is (nog) niet het geval. Daarom kan de vordering (nog) niet worden toegewezen.
Om partijen zoveel mogelijk duidelijkheid te geven, behandelt de voorzieningenrechter in dit vonnis alle geschilpunten die tussen partijen spelen. Dan blijkt dat het enige obstakel voor toewijzing is dat het Ziggo vooralsnog ontbreekt aan een verwerkingsgrondslag. Hieronder wordt uitgelegd waarom de voorzieningenrechter zo oordeelt als hij doet. De verweren van Ziggo vormen hierbij de rode draad.
3.2.
In hoofdlijnen heeft Ziggo de volgende verweren gevoerd.
- privacy: het doorsturen van de waarschuwingsbrieven is volgens Ziggo niet verenigbaar met de Algemene Verordening Gegevensverwerking (AVG);
- de opzet van het project: volgens Ziggo is de definitie van het begrip FLU te breed;
- volgens Ziggo is er geen grondslag voor de verplichting om waarschuwingsbrieven door te sturen;
- daarnaast vindt Ziggo de vordering te ruim en voert zij verweer tegen de hoogte van de dwangsom en tegen de op grond van artikel 1019h Rv gevorderde volledige proceskostenveroordeling.
AVG
Zijn de IP-adressen persoonsgegevens? Ja
3.3.
In artikel 4 van de AVG wordt een persoonsgegeven als volgt gedefinieerd:
“alle informatie over een geïdentificeerde of identificeerbare persoon”. Partijen zijn het erover eens dat het IP-adres ten aanzien van Ziggo een persoonsgegeven vormt, nu zij over de informatie beschikt waarmee zij dat IP-adres aan een individuele gebruiker kan koppelen en deze daardoor dus is te identificeren. Partijen verschillen van mening over de vraag of een IP-adres ook ten aanzien van Brein geldt als een persoonsgegeven. Brein vindt van niet en Ziggo van wel. De voorzieningenrechter geeft Ziggo op dit punt gelijk.
“alle informatie over een geïdentificeerde of identificeerbare persoon”. Partijen zijn het erover eens dat het IP-adres ten aanzien van Ziggo een persoonsgegeven vormt, nu zij over de informatie beschikt waarmee zij dat IP-adres aan een individuele gebruiker kan koppelen en deze daardoor dus is te identificeren. Partijen verschillen van mening over de vraag of een IP-adres ook ten aanzien van Brein geldt als een persoonsgegeven. Brein vindt van niet en Ziggo van wel. De voorzieningenrechter geeft Ziggo op dit punt gelijk.
3.4.
In het arrest van het Hof van Justitie EU (HvJEU) inzake Breyer (HvJEU 19 oktober 2016, ECLI:EU:C:2016:779, r.o. 45-49) heeft het Europese Hof bepaald dat als een aanbieder van een onlinemediadienst een (dynamisch) IP-adres registreert op het moment dat een persoon een website bezoekt die door die aanbieder toegankelijk wordt gemaakt voor het publiek, dat IP-adres voor die aanbieder een persoonsgegeven vormt als die aanbieder over wettelijke middelen beschikt waarmee hij de betrokken persoon kan identificeren aan de hand van extra informatie die bij de internetprovider van deze persoon berust. In het arrest inzake Mircom (HvJEU 17 juni 2021, ECLI:EU:C:2021:492) herhaalde het Europese Hof dit. Een IP-adres is dus een persoonsgeven voor degene die wettelijke mogelijkheden heeft om dat IP-adres met behulp van informatie van een isp aan een persoon te koppelen. Uit het arrest lijkt te volgen dat het begrip “wettelijke mogelijkheden” door het Europese Hof ruim wordt opgevat. In het Breyer-arrest is immers overwogen dat van die wettelijke mogelijheden geen sprake is indien de identificatie van de betrokkene bij de wet verboden wordt of in de praktijk ondoenlijk is, bijvoorbeeld omdat zij – gelet op de vereiste tijd, kosten en mankracht – een excessieve inspanning vergt, zodat het gevaar voor identificatie in werkelijkheid onbeduidend lijkt. De voorzieningenrechter concludeert daarom dat de mogelijkheid om (al dan niet via de rechter) NAW-gegevens van de gebruiker van een IP-adres bij de isp op te vragen, wel onder de in het Breyer-arrest bedoelde wettelijke middelen valt. Dat Brein in het kader van de waarschuwingscampagne (nog) niet van plan is om NAW-gegevens bij Ziggo op te vragen (en, wanneer dat zonder succes blijft, deze van Ziggo te vorderen) en dat het niet zeker is dat – als zij dat wel doet – zij die gegevens ook verkrijgt, doet er niet aan af dat zij wel over dat wettelijke middel beschikt, dat de daarmee gemoeide tijd, kosten en mankracht niet excessief zijn in de genoemde zin en dat de IP-adressen die Brein verzamelt dus ook ten aanzien van haar gelden als persoonsgegevens.
Zijn het strafrechtelijke persoonsgegevens? Ja
3.5.
Vervolgens twisten partijen over de vraag of de door Brein verzamelde IP-adressen strafrechtelijke persoonsgegevens vormen. Het antwoord op die vraag is van belang, omdat strafrechtelijke persoonsgegevens op grond van de AVG alleen in uitzonderingsgevallen mogen worden verwerkt.
3.6.
In artikel 1 van de Uitvoeringswet AVG (UAVG) worden persoonsgegevens van strafrechtelijke aard gedefinieerd. Uit dat artikel blijkt dat daarvan onder meer sprake is als het gaat om persoonsgegevens
“betreffende strafbare feiten”.Auteursrechtinbreuk is strafbaar gesteld in de artikelen 31-33 Auteurswet (Aw). De AP heeft in een besluit over de online handhaving van de intellectuele eigendomsrechten door Dutch Filmworks B.V. (DFW) vastgesteld dat het verwerken van persoonsgegevens van personen waartegen een min of meer gegronde verdenking bestaat van handelingen die inbreuk maken op een auteursrecht, aangemerkt moeten worden als het verwerken van strafrechtelijke persoonsgegevens (AP, Definitief besluit inzake de verklaring omtrent de rechtmatigheid van online handhaving van intellectuele eigendomsrechten door Dutch Filmworks B.V., z2017-02053, p. 4). In dit geval worden door Brein de IP-adressen verzameld waarmee auteursrechtelijk beschermde werken worden gedownload en uitgewisseld. Het vermoeden is gerechtvaardigd dat dit downloaden en uitwisselen gebeurt door de abonnee van Ziggo en/of zijn huisgenoten. Op hen allemaal rust dus een min of meer gegronde verdenking van het plegen van een auteursrechtinbreuk. De voorzieningenrechter is daarom van oordeel dat die IP-adressen gelden als strafrechtelijke persoonsgegevens. Dat de strafbepaling uit de Aw in de praktijk niet wordt gehandhaafd en Brein in dit stadium nog niet weet wie de inbreukmaker is, doet hier niet aan af. Dit handelen is nu eenmaal strafbaar en er is een voldoende concrete verdenking tegen alle betrokkenen.
“betreffende strafbare feiten”.Auteursrechtinbreuk is strafbaar gesteld in de artikelen 31-33 Auteurswet (Aw). De AP heeft in een besluit over de online handhaving van de intellectuele eigendomsrechten door Dutch Filmworks B.V. (DFW) vastgesteld dat het verwerken van persoonsgegevens van personen waartegen een min of meer gegronde verdenking bestaat van handelingen die inbreuk maken op een auteursrecht, aangemerkt moeten worden als het verwerken van strafrechtelijke persoonsgegevens (AP, Definitief besluit inzake de verklaring omtrent de rechtmatigheid van online handhaving van intellectuele eigendomsrechten door Dutch Filmworks B.V., z2017-02053, p. 4). In dit geval worden door Brein de IP-adressen verzameld waarmee auteursrechtelijk beschermde werken worden gedownload en uitgewisseld. Het vermoeden is gerechtvaardigd dat dit downloaden en uitwisselen gebeurt door de abonnee van Ziggo en/of zijn huisgenoten. Op hen allemaal rust dus een min of meer gegronde verdenking van het plegen van een auteursrechtinbreuk. De voorzieningenrechter is daarom van oordeel dat die IP-adressen gelden als strafrechtelijke persoonsgegevens. Dat de strafbepaling uit de Aw in de praktijk niet wordt gehandhaafd en Brein in dit stadium nog niet weet wie de inbreukmaker is, doet hier niet aan af. Dit handelen is nu eenmaal strafbaar en er is een voldoende concrete verdenking tegen alle betrokkenen.
Moet de AP voorafgaand worden geraadpleegd? Nee
3.7.
Nu er sprake is van het verwerken van strafrechtelijke persoonsgegevens, moet er – voordat hiertoe wordt overgegaan – eerst worden beoordeld wat het effect is van de beoogde verwerkingsactiviteiten op de bescherming van de persoonsgegevens (artikel 35 AVG). Dat heeft Brein gedaan. Zij heeft een Data Protection Impact Assessment (DPIA) uitgevoerd. Als uit de gegevensbeschermingseffectbeoordeling van artikel 35 AVG (in dit geval het DPIA) blijkt dat de voorgenomen verwerking van persoonsgegevens een hoog risico oplevert en het niet lukt om die risico’s te beperken door het nemen van maatregelen, moet de gegevensverantwoordelijke (in dit geval Brein) voorafgaand aan de verwerking de AP raadplegen (artikel 36 AVG).
3.8.
Volgens Brein volgt uit het DPIA dat er geen hoge restrisico’s zijn. Volgens Ziggo schat Brein dat verkeerd in en zijn die er wel. Uit het systeem van de AVG en de informatie op de website van de AP volgt dat Brein de gegevensbeschermingseffectbeoordeling uit moet (laten) voeren en dat zij aan de hand daarvan moet beoordelen of er sprake is van hoge restrisico’s en dus of er voorafgaande raadpleging nodig is. Brein heeft daarin een zekere mate van beoordelingsvrijheid. Dat maakt dat de voorzieningenrechter de door Brein uit het DPIA getrokken conclusie (dat er geen hoge restrisico’s zijn) slechts marginaal zal toetsen.
3.9.
In het onderstaande zullen de argumenten van Ziggo worden verworpen:
1. Volgens Ziggo kan uit het FLU-project het gedrag van mensen worden afgeleid. Daar is de voorzieningenrechter het mee eens. Het is de bedoeling van Brein om bepaald gedrag van downloaders te herkennen. Dit gedrag is echter feitelijk beperkt (het gaat alleen om het illegaal downloaden van een beperkte selectie beschermde werken in een beperkte periode), voor Brein niet herleidbaar tot een te identificeren individu en voor een gerechtvaardigd doel (het bestrijden van auteursrechtinbreuk).
2. Ziggo vindt dat Brein ook andere risico’s van de gegevensverwerking had moeten noemen, namelijk: stigmatisering, financieel verlies, economisch of sociaal nadeel en dat er op basis van die gegevens beslissingen kunnen worden genomen die (ernstig) nadelig zijn voor de betrokkenen, zoals strafrechtelijke aangifte of vervolging, civielrechtelijke procedures of opzegging van het internetabonnement. Dat zijn echter allemaal risico’s die kleven aan strafbaar handelen. Dat is niet het risico van de beoogde gegevensverwerking zelf, maar van het doel ervan (het tegengaan van strafbaar handelen). Anders gezegd: de risico’s die Ziggo noemt, zijn het gevolg van het handhaven van auteursrechten anders dan door het sturen van waarschuwingen en daar is op dit moment nog geen sprake van. Voor het risico van stigmatisering/sociaal nadeel ligt dit anders. Dat verwezenlijkt zich nu al, maar dit risico is gerechtvaardigd. Als personen iets strafbaars doen, bestaat nu eenmaal de kans dat ze daar op worden aangesproken. In dit geval kan dat aanspreken niet anders dan door een brief te sturen aan de abonnee van Ziggo, terwijl er mogelijk meerdere gebruikers zijn en de kans bestaat dat huisgenoten van elkaars internetgedrag op de hoogte raken. De abonnee en eventuele andere gebruikers van de internettoegang hebben dit risico aanvaard, door anderen tot de internettoegang toe te laten, dan wel gebruik te maken van de internettoegang van een ander.
3. Ziggo zegt dat betrokkenen in veel gevallen zullen worden verrast door de waarschuwingsbrief. Een verrassingseffect is inderdaad niet uitgesloten, maar Brein heeft gedaan wat redelijkerwijs van haar verwacht kan worden om dit te voorkomen. Zo heeft zij de FLU-waarschuwingscampagne in de media aangekondigd (wat door andere media is opgepakt). Bovendien weet een illegale downloader via BitTorrent dat het daartoe gebruikte IP-adres in de zwerm zichtbaar is, of kan deze dat weten. Daarbij komt dat de verrassing zit in het feit dat iemand wordt betrapt op inbreukmakend gedrag, terwijl diegene zich onbespied voelde.
4. Brein onderkent dat het mogelijk is dat de waarschuwingsbrief naar een bepaald adres wordt gestuurd en dat blijkt dat de BitTorrent-gebruiker jonger is dan 16 jaar. Ziggo wijst er op dat deze groep minderjarigen, net als personen van 16 of 17 jaar, gelden als kwestbare betrokkenen. Anders dan Ziggo stelt, neemt Brein dit risico voldoende weg door alle gegevens te verwijderen, zodra zij er achter komt dat het gaat om een minderjarige inbreukmaker. Ook hier speelt weer een rol dat het altijd mogelijk is dat de houder van het IP-adres huisgenoten heeft die gebruik kunnen maken van zijn internettoegang en dat het van tevoren niet duidelijk is of dat zo is, nu Brein de identiteit van de houder niet kent. Veel abonnees van Ziggo zullen een gezin/huisgenoten hebben. Het risico dat er minderjarigen worden betrokken, kan dus alleen volledig worden weggenomen als er geen waarschuwingsbrief wordt verstuurd. Dat maakt handhaving in deze vorm onmogelijk en dat gaat te ver.
5. Tot slot noemt Ziggo nog dat de AFLU-software, volgens haar, niet foutloos is en niet afdoende is beveiligd. Ziggo benoemt dat er bugs waren en dat er is getest in een gecontroleerde omgeving. Ook zegt zij dat één door Brein geselecteerde gebruiker niet voldoet aan de criteria van Brein om aangemerkt te worden als een frequente en/of langdurige uploader.
Brein heeft als productie 21 twee deskundigenrapporten overgelegd. Eén deskundige acht de software betrouwbaar en de andere oordeelt dat de software voldoet aan de eisen die daaraan gesteld mogen worden. Dat er bugs zijn geweest en dat er sprake was van een gecontroleerde omgeving, maakt – zonder nadere toelichting, die ontbreekt – niet dat niet kan worden afgegaan op de conclusies van de deskundigen. Ook heeft Brein uitgelegd dat de gebruiker die Ziggo bedoelt, wel aan de criteria voldoet. Dat was voor Ziggo niet zichtbaar, omdat een medewerker van Brein een fout heeft gemaak bij het overnemen van gegevens. Brein heeft toegelicht dat de verzamelde data zelf niet handmatig worden bewerkt. Daar kan dus niets mis mee gaan. Daarmee heeft Brein de bezwaren van Ziggo voldoende weerlegd.
3.10.
De voorzieningenrechter is al met al, marginaal toetsend, van oordeel dat Brein gerechtvaardigd heeft kunnen concluderen dat er geen sprake is van hoge restrisico’s op grond waarvan de AP voorafgaand aan de beoogde verwerking geraadpleegd zou moeten worden.
Is er een grondslag voor de verwerking?Voor Brein wel, voor Ziggo (deels) niet.
Grondslag strafrechtelijke gegevens
3.11.
Op grond van artikel 10 AVG in combinatie met artikel 31 UAVG is de verwerking van strafrechtelijke persoonsgegevens alleen in bepaalde uitzonderingsgevallen toegestaan. In de artikelen 32 en 33 UAVG worden deze uitzonderingsgevallen genoemd.
a. Brein
3.12.
In artikel 33 lid 4 sub c UAVG staat dat strafrechtelijke persoonsgegevens mogen worden verwerkt ten behoeve van derden als de AP hiervoor een vergunning heeft afgegeven. Brein heeft (voor de zekerheid) een dergelijke vergunning aangevraagd bij de AP, maar deze achtte Brein niet vergunningsplichtig, omdat er volgens de AP wél sprake was van verwerking van strafrechtelijke persoonsgegevens, maar níet ten behoeve van derden. Deze uitzonderingsgrond doet zich dus ten aanzien van Brein niet voor.
3.13.
Volgens Brein kan zij zich op de uitzondering van artikel 32 sub d UAVG beroepen. Die uitzondering houdt in dat strafrechtelijke gegevens (onder meer) mogen worden verwerkt, als die verwerking noodzakelijk is voor de instelling, uitoefening of onderbouwing van een rechtsvordering. Er is op dit moment echter alleen nog sprake van een waarschuwingscampagne. Op het moment dat Brein (naar aanleiding van de evaluatie van deze campagne) later besluit om toch (andere) handhavingsmaatregelen te treffen en het daarvoor nodig is om te procederen, zullen daarvoor opnieuw IP-adressen worden verzameld. De IP-adressen die zijn/worden verzameld in het kader van de FLU-waarschuwingscampagne worden daar niet voor gebruikt (zie 2.7) en dus is de verwerking daarvan niet noodzakelijk in verband met een rechtsvordering.
3.14.
Brein kan zich wél met succes beroepen op de uitzondering die staat in artikel 33 lid 2 sub b UAVG. Dat artikel bepaalt dat strafrechtelijke persoonsgegevens door de gegevensverantwoordelijke ten eigen behoeve mogen worden verwerkt ter bescherming van zijn belangen, voor zover het gaat om strafbare feiten die jegens hem zijn gepleegd of naar verwachting zullen worden gepleegd.
Volgens Ziggo gaat het om strafbare feiten (auteursrechtinbreuk) tegen degenen die bij Brein zijn aangesloten en niet tegen Brein zelf. De AP heeft echter geoordeeld dat Brein de gegevens niet ten behoeve van derden verwerkt. Daaruit volgt logischerwijs dat zij dat dan ten behoeve van zichzelf doet en, nu het doel van Brein is om inbreuken op de rechten van de bij haar aangesloten leden tegen te gaan, volgt daar dan ook logischerwijs uit dat die inbreuken in het kader van de AVG hebben te gelden als inbreuken jegens Brein.
b. Ziggo
3.15.
Als Ziggo de IP-adressen die Brein bij haar aanlevert aan de NAW-gegevens van haar klanten koppelt ter adressering van Breins waarschuwingsbrief aan de houders van die IP-adressen, verwerkt zij deze (dit is een vorm van
“gebruiken, verzamelen en vastleggen”zoals staat genoemd in artikel 4 AVG bij de definitie van verwerken). Ziggo verwerkt die gegevens (weliswaar niet op eigen initiatief en mogelijk onder dwang van een vonnis) onder eigen verantwoordelijkheid, dus ze is niet slechts verwerker, maar zelfstandige verwerkingsverantwoordelijke van strafrechtelijke persoonsgegevens. Ook Ziggo moet daarom een grondslag hebben voor de verwerking daarvan.
“gebruiken, verzamelen en vastleggen”zoals staat genoemd in artikel 4 AVG bij de definitie van verwerken). Ziggo verwerkt die gegevens (weliswaar niet op eigen initiatief en mogelijk onder dwang van een vonnis) onder eigen verantwoordelijkheid, dus ze is niet slechts verwerker, maar zelfstandige verwerkingsverantwoordelijke van strafrechtelijke persoonsgegevens. Ook Ziggo moet daarom een grondslag hebben voor de verwerking daarvan.
Die grondslag kan niet worden gevonden in artikel 32 lid 1 sub a UAVG (toestemming van de betrokkene). Weliswaar staat in artikel 17 van de algemene voorwaarden (AV) van Ziggo dat zij bepaalde maatregelen mag treffen om onregelmatig gedrag (zoals illegaal downloaden) te stoppen, maar dat betekent niet dat de klanten van Ziggo met het overeenkomen van deze algemene voorwaarden ook uitdrukkelijk toestemming hebben gegeven voor het verwerken van hun persoonsgegevens op de manier die Brein voorstaat. De enige andere mogelijke verwerkingsgrondslag is dan artikel 33 lid 4 sub c UAVG. Ziggo verwerkt de strafrechtelijke persoonsgegevens ten behoeve van Brein. Ziggo mag dit op grond van artikel 33 lid 4 sub c UAVG alleen doen als de AP hiervoor een vergunning heeft afgegeven en dat is (nog) niet het geval. Het ontbreekt Ziggo (vooralsnog) dus aan een grondslag voor de verwerking van de strafrechtelijke persoonsgegevens. Daarbij geldt dat Ziggo ook zal moeten overgaan tot een gegevensbeschermingseffectbeoordeling (artikel 35 AVG).
Algemene grondslag
3.16.
Ook overigens – los van de extra eisen die gelden voor de verwerking van strafrechtelijke persoonsgegevens – moet er een grondslag zijn voor de verwerking. Die is te vinden in artikel 6 lid 1 sub f AVG (gerechtvaardigd belang).
a. Brein
3.17.
Aan de grondslag gerechtvaardigd belang is voldaan als:
er daadwerkelijk sprake is van een gerechtvaardigd belang;
de verwerking nodig is om dit belang te behartigen;
de belangen van Brein zwaarder wegen dan die van de (beweerdelijke) inbreukmakers.
3.18.
Ten aanzien van Brein is aan deze drie voorwaarden voldaan. Het tegengaan van inbreuken is een gerechtvaardigd belang. Dit belang wil Brein behartigen door middel van de eerder in dit vonnis omschreven waarschuwingscampagne. Brein heeft voldoende aannemelijk gemaakt dat deze waarschuwingscampagne noodzakelijk is in het scala van maatregelen dat zij inzet tegen de zeer hardnekkige en lastig te bestrijden praktijk van illegaal downloaden en dat daarbij de medewerking van Ziggo nodig is. De manier waarop de waarschuwingscampagne is ingericht (Ziggo stuurt de brieven door) zorgt ervoor dat Brein niet de beschikking krijgt over de NAW-gegevens van de IP-adreshouders/inbreukmakers. Dit middel is minder bezwaarlijk voor die personen (en voor Ziggo) dan wanneer Brein de NAW-gegevens, al dan niet via een gerechtelijke procedure, bij Ziggo zou opvragen (waarover het Hof van Justitie EU heeft geoordeeld dat artikel 6 lid 1 sub f AVG hier niet aan in de weg staat, HvJEU 17 juni 2021, ECLI:EU:C:2021:492 Mircom/Telenet, r.o. 132). Dat maakt dat de belangen van Brein zwaarder wegen dan die van de IP-adreshouders/inbreukmakers.
b. Ziggo
3.19.
De Hoge Raad heeft in het arrest Lycos/ [naam] (Hoge Raad 25 november 2005, ECLI:NL:HR:2005:AU4019) geoordeeld dat als aan de in dat arrest genoemde voorwaarden is voldaan, ook is voldaan aan artikel 6 lid 1 sub f AVG. In de overwegingen 3.30-3.42 van dit vonnis wordt geoordeeld dat aan de voorwaarden van het arrest Lycos/ [naam] is voldaan. Op deze grond heeft Ziggo dus een gerechtvaardigd belang bij de verwerking van de gegevens.
Staat het doelbindingsbeginsel aan de verwerking in de weg? Nee
3.20.
Op grond van artikel 5 lid 1 sub b AVG geldt dat er – naast een verwerkingsgrondslag – ook sprake moet zijn van een bepaald, duidelijk omschreven en gerechtvaardigd doel voor de verwerking van de persoonsgegevens en dat deze niet mogen worden verwerkt op een manier die niet met dat doel verenigbaar is (doelbindingsbeginsel). Als de verwerking buiten het doel valt, is er sprake van “verdere verwerking”. Verdere verwerking is alleen toegestaan wanneer deze verenigbaar is met het oorspronkelijke doel. Bij de beoordeling of daarvan sprake is, moet rekening worden gehouden met de in artikel 6 lid 4 AVG genoemde factoren. Wanneer een verwerkingsverantwoordelijke persoonsgegevens van een betrokkene bij die betrokkene verzamelt, moet deze de betrokkene informeren over de verwerkingsdoelen (artikel 13 lid 1 sub c AVG).
3.21.
Artikel 6 lid 4 AVG luidt:
“Wanneer de verwerking voor een ander doel dan dat waarvoor de persoonsgegevens zijn verzameld niet berust op toestemming van de betrokkene of op een Unierechtelijke bepaling of een lidstaatrechtelijke bepaling die in een democratische samenleving een noodzakelijke en evenredige maatregel vormt ter waarborging van de in artikel 23, lid 1, bedoelde doelstellingen houdt de verwerkingsverantwoordelijke bij de beoordeling van de vraag of de verwerking voor een ander doel verenigbaar is met het doel waarvoor de persoonsgegevens aanvankelijk zijn verzameld onder meer rekening met:
a. ieder verband tussen de doeleinden waarvoor de persoonsgegevens zijn verzameld, en de doeleinden van de voorgenomen verdere verwerking;
b. het kader waarin de persoonsgegevens zijn verzameld, met name wat de verhouding tussen de betrokkenen en de verwerkingsverantwoordelijke betreft;
c. de aard van de persoonsgegevens, met name of bijzondere categorieën van persoonsgegevens worden verwerkt, overeenkomstig artikel 9, en of persoonsgegevens over strafrechtelijke veroordelingen en strafbare feiten worden verwerkt, overeenkomstig artikel 10;
d. de mogelijke gevolgen van de voorgenomen verdere verwerking voor de betrokkenen;
e. het bestaan van passende waarborgen, waaronder eventueel versleuteling of pseudonimisering.”
3.22.
Artikel 23 lid 1 AVG luidt:
“De reikwijdte van de verplichtingen en rechten als bedoeld in de artikelen 12 tot en met 22 en artikel 34, alsmede in artikel 5 kan, voor zover de bepalingen van die artikelen overeenstemmen met de rechten en verplichtingen als bedoeld in de artikelen 12 tot en met 20, worden beperkt door middel van Unierechtelijke of lidstaatrechtelijke bepalingen die op de verwerkingsverantwoordelijke of de verwerker van toepassing zijn, op voorwaarde dat die beperking de wezenlijke inhoud van de grondrechten en fundamentele vrijheden onverlet laat en in een democratische samenleving een noodzakelijke en evenredige maatregel is ter waarborging van:
(…)
d. de voorkoming, het onderzoek, de opsporing en de vervolging van strafbare feiten of de tenuitvoerlegging van straffen, met inbegrip van de bescherming tegen en de voorkoming van gevaren voor de openbare orde en veiligheid;
(…)
i. de bescherming van de betrokkene of van de rechten en vrijheden van anderen;
(…)”.
3.23.
Volgens Brein staat het doelbindingsbeginsel niet aan het doorsturen van de waarschuwingsbrieven in de weg. Allereerst niet, omdat het doorsturen van de waarschuwingen valt binnen het verwerkingsdoel van Ziggo en er dus geen sprake is van verdere verwerking. Brein onderbouwt dit als volgt:
In de algemene voorwaarden van Ziggo staat dat zij ingrijpendere maatregelen kan nemen dan het sturen van een waarschuwingsbrief als er sprake is van auteursrechtinbreuk. Op grond van artikel 17 lid 2 AV heeft Ziggo bij een ernstig vermoeden van een inbreuk, al dan niet na een sommatie, het recht om de klant toegang tot het internet te ontzeggen, de content van de klant te verwijderen, het dataverkeer van de klant stop te zetten of andere maatregelen te treffen die Ziggo passend acht om de inbreuk te stoppen. Contractueel kan Ziggo dus veel zwaardere maatregelen nemen dan die Brein nu van haar verlangt en Ziggo behoudt zich ook het recht voor om eerst te waarschuwen.
Op de website van Ziggo staat bovendien dat Ziggo bij copyright-zaken met gebruik van de computersystemen van Ziggo, de door haar ontvangen klacht voor een deel zal doorsturen naar de betreffende klant, omdat zij niet verantwoordelijk is voor het dataverkeer tussen gebruikers.
Ook de gedragscode Notice-and-Take-Down (NTD), die Ziggo onderschrijft, bepaalt dat als het niet duidelijk is of een inbreuk wordt gepleegd, de isp gehouden is om de inhoudsaanbieder op de hoogte te stellen van de melding over die mogelijke inbreuk met het verzoek de inhoud te verwijderen of contact op te nemen met de melder.
Het is dus gebruikelijk dat klanten van Ziggo bij inbreuken eerst een melding ontvangen van Ziggo of een derde. Ziggo heeft in het verleden ook waarschuwingen van Brein doorgestuurd aan haar klanten in het kader van inbreuk via een open directory, alles volgens Brein.
3.24.
Voor zover er wel sprake is van verdere verwerking, is het doorsturen van de waarschuwingsbrieven volgens Brein niet onverenigbaar met het oorspronkelijke verwerkingsdoel in de zin van artikel 6 lid 4 AVG. Het meewerken aan het tegengaan van inbreuken is uiteraard verenigbaar. Bovendien is de verenigbaarheidstoets niet nodig als er voor Ziggo een wettelijke verplichting bestaat voor de verwerking en die is er, namelijk artikel 6:162 BW, zo zegt Brein.
3.25.
Volgens Ziggo is het koppelen van de door Brein bij haar aangeleverde/nog aan te leveren IP-adressen aan de bij haar bekende NAW-gegevens, niet verenigbaar met het doel waarvoor zij die NAW-gegevens heeft verzameld: namelijk het beschikbaar maken van internettoegang voor de klant. Dat laatste is ook het verwerkingsdoel dat Ziggo aan haar klanten meedeelt. Daarbij deelt Ziggo ook aan haar klanten mee dat de inhoud van het internetverkeer niet door haar wordt verwerkt. Ziggo informeert haar klanten niet over het koppelen van gegevens op de manier die Brein nu van haar wil.
Er is geen verband tussen het aanbieden van internet door Ziggo en het beschermen van de auteursrechten van degenen die bij Brein zijn aangesloten. De klanten van Ziggo zullen de verdere verwerking die Brein van Ziggo wil, niet verwachten. Deze klanten zijn afhankelijk van Ziggo voor internettoegang en mogen wél verwachten dat Ziggo niet meekijkt als zij daarvan gebruik maken. Bovendien gaat het om de verwerking van strafrechtelijke persoonsgegevens met potentieel ernstige gevolgen. De beveiligingsmaatregegelen die Brein heeft getroffen wegen niet tegen die risico’s op. Daarom is de verwerking onverenigbaar met het oorspronkelijke verwerkingsdoel en staat het doelbindingsbeginsel aan het doorsturen van de waarschuwingsbrieven in de weg.
Ziggo heeft in het verleden in het kader van een andersoortige inbreuk (via een open directory) één keer waarschuwingen van Brein doorgestuurd, maar dat was in strijd met haar interne beleid en is daarna niet meer gebeurd. Daar mag Brein dus geen conclusies aan verbinden. De tekst op de website van Ziggo strookt niet met haar beleid en zal worden herzien. Daaruit kan niet worden afgeleid dat Ziggo op verzoek waarschuwingen doorstuurt die gericht zijn aan haar klanten. De gedragscode NTD gaat over internetcontent en heeft weinig te maken met het doorsturen van de hierbedoelde waarschuwingsbrieven, alles volgens Ziggo.
3.26.
De voorzieningenrechter overweegt als volgt. De NAW-gegevens van de klanten van Ziggo zijn door haar verzameld met als doel om een internetverbinding te faciliteren en om mogelijk te maken dat de bij de desbetreffende overeenkomsten overigens afgesproken rechtsverhouding op reguliere wijze kan worden uitgevoerd. Op grond van artikel 17 AV van Ziggo zijn de klanten van Ziggo jegens haar verplicht om bij het gebruik van de internetaansluiting niet in strijd met de wet te handelen en komt Ziggo het recht toe om, als zij dat toch doen, maatregelen te treffen (waaronder het sturen van een sommatie aan de klant). Om die reden moet onder het hiervoor genoemde verzameldoel ook worden begrepen de verwerking die plaatsvindt doordat Ziggo de door Brein aan te leveren/aangeleverde IP-adressen aan de NAW-gegevens van haar klanten koppelt ter adressering van Breins waarschuwingsbrief aan die klanten. Daarbij is van belang dat niet is gesteld of gebleken dat de contractuele bevoegdheid om maatregelen te treffen enkel het geval omvat waarin Ziggo zelf het onwettige gebruik van de internetverbinding constateert. Integendeel: Ziggo heeft verklaard zelf niet van de inhoud van het internetverkeer van haar klanten kennis te (mogen) nemen en zal de gevallen van onwettig gebruik door haar klanten dus veelal van derden vernemen. Dat Ziggo er (al dan niet rechtens toe gedwongen) zelf voor kan kiezen een dergelijke waarschuwing uit te sturen of dit na te laten, leidt niet tot een ander oordeel. Voor het geval over het voorgaande anders moet worden gedacht, geldt dat er sprake is van verdere verwerking.
3.27.
Die verdere verwerking is toegestaan op grond van artikel 6 AVG, omdat de verwerking berust op een lidstaatrechtelijke bepaling die in een democratische samenleving een noodzakelijke en evenredige maatregel vormt ter waarborging van de in artikel 23 lid 1 AVG bedoelde doelstellingen. In casu zal de verwerking door Ziggo namelijk gegrond zijn op artikel 6:162 BW (het is onrechtmatig als zij de waarschuwingsbrieven niet doorstuurt, zie 3.30-3.42) waarmee wordt gewaarborgd dat strafbaar handelen en een inbreuk op de rechten en vrijheden van anderen (inbreuk auteursrecht) wordt tegengegaan.
De plicht van artikel 13 AVG om de betrokkene voorafgaand van die verdere verwerking op de hoogte te stellen, staat niet aan deze verdere verwerking in de weg. Hier doet zich namelijk de situatie voor dat de verdere verwerking en de mededeling aan de betrokkene van die voorgenomen verdere verwerking niet los zijn te koppelen: om een klant te kunnen vertellen dat Ziggo zijn/haar NAW-gegevens verder gaat verwerken, moet Ziggo die verwerking al doen. Anders weet Ziggo immers niet welke klant zij moet benaderen. Als Ziggo een vergunning krijgt van de AP voor deze verdere verwerking, mag artikel 13 AVG daarom voor het uitvoeren van die verwerking in deze omstandigheden geen belemmering vormen.
Reikwijdte definitie FLU te breed? Nee
3.28.
Volgens Ziggo is de definitie van Brein van de frequente en/of langdurige uploader te breed. Zij zegt daarover het volgende. Als iemand twee keer in een verschillende zwerm wordt aangetroffen, is er twee keer sprake van het doen van een poging tot het downloaden van een bestand. Als iemand twee keer in dezelfde zwerm wordt aangetroffen, gaat het om het downloaden van maar één bestand. Dat is niet te beschouwen als frequent of langdurig uploaden. Bovendien lopen veel BitTorrent-programma’s op de achtergrond door, nadat het programma is afgesloten door op het kruisje rechtsboven in beeld te klikken. Dat betekent dat het overgrote deel van de downloaders het BitTorrent-programma al gauw 7 uur open heeft staan, waarschijnlijk zonder dat de downloaders dat in de gaten hebben, laat staan dat zij daartoe het opzet hebben. Hierdoor richt Brein zich in de praktijk niet op de langdurige en/of frequente BitTorrent-gebruikers, maar op vrijwel elke willekeurige BitTorrent-downloader en dus op de downloadende consument. Dat laatste is problematisch voor de AP, alles volgens Ziggo.
3.29.
De voorzieningenrechter ziet dit anders. Brein wil BitTorrent-gebruikers selecteren die langer dan 7 uur in één zwerm of in minimaal twee zwermen te vinden zijn. Het is voldoende aannemelijk dat dit met de AFLU-software ook lukt. In de definitie van Brein is er in dat geval geen sprake van een eenmalige BitTorrent-gebruiker of gewone consument. Omdat er sprake is van een steekproef en alleen op bepaalde werken wordt gezocht, is het volgens Brein zo dat als iemand in een maand tijd in twee verschillende zwermen wordt aangetroffen, dat er op duidt dat deze persoon veel vaker van BitTorrent gebruikt maakt. Als iemand langer dan 7 uur in één zwerm wordt aangetroffen, houdt deze persoon die zwerm (mede) in stand en maakt daardoor het werk langdurig beschikbaar voor anderen. Zonder deze gebruikers functioneren de BitTorrent-platforms niet. Zij spelen dus een belangrijke rol bij het illegaal uitwisselen van bestanden. De voorzieningenrechter vindt deze uitleg van Brein overtuigend.
Grondslag voor het verplicht doorsturen van waarschuwingsbrieven? Ja
3.30.
In het voorgaande is geoordeeld dat er in het kader van de AVG een obstakel is voor de toewijzing van de vordering van Brein (vergunning AP voor Ziggo ontbreekt). Zoals gezegd, zal de voorzieningenrechter ook alle andere door partijen naar voren gebrachte geschilpunten behandelen om hen zoveel mogelijk duidelijkheid te geven. In dat kader wordt nu beoordeeld of er, in het geval Ziggo wel over de vereiste vergunning beschikt, een grondslag is om Ziggo te veroordelen de waarschuwingsbrieven door te sturen.
3.31.
Die is er, en wel op grond van het toetsingskader dat door de Hoge Raad is gehanteerd in het arrest Lycos/ [naam] (vindplaats: zie 3.19). Weliswaar ging het in dat arrest om de vraag of een isp onrechtmatig handelde door niet de NAW-gegevens af te geven van een websitehouder op wiens website onrechtmatige uitlatingen werden gedaan aan degene die daarvan het mikpunt was, maar de voorzieningenrechter is van oordeel dat dit toetsingskader ook in onderhavige casus het meest passend is. Ook hier gaat het om onrechtmatig handelen (in casu auteursrechtinbreuk) via de diensten die de isp aanbiedt. Het gaat niet om het afgeven van NAW-gegevens, maar om het doorsturen van waarschuwingen, een voor de inbreukmaker minder ingrijpende maatregel. Daar zal de voorzieningenrechter in het onderstaande rekening mee houden. Dat maakt echter niet dat het toetsingskader niet op de onderhavige situatie kan worden toegepast.
3.32.
In Lycos/ [naam] is geoordeeld dat een hostingprovider onrechtmatig handelt als zij identificerende gegevens van een websitehouder niet aan een derde verstrekt, in het geval:
het voldoende aannemelijk is dat de informatie die de websitehouder op de website heeft geplaatst mogelijk onrechtmatig en schadelijk tegenover de derde is;
de derde er een reëel belang bij heeft om de identificerende gegevens te verkrijgen;
het aannemelijk is dat er in dit concrete geval geen minder ingrijpende mogelijkheid is om de identificerende gegevens te achterhalen;
e afweging van de belangen van de derde, de serviceprovider en de websitehouder in het voordeel van de derde uitvalt.
De Hoge Raad heeft ook geoordeeld dat dan is voldaan aan artikel 8 sub f van de Wet bescherming persoonsgegevens (nu artikel 6 lid 1 sub f AVG).
3.33.
Ziggo betwist niet (concreet) dat dit toetsingskader bruikbaar is, zij zegt (slechts) dat er in de situatie die tussen partijen speelt, geen sprake van is dat Ziggo onrechtmatig handelt door de waarschuwingsbrieven niet door te sturen. Ziggo stelt, en de voorzieningenrechter is het daarmee eens, dat uit Lycos/ [naam] geen algemene verplichting volgt voor het verstrekken van gegevens, maar dat die in concrete omstandigheden kan ontstaan als het maatschappelijk onaanvaardbaar is dat anders onrechtmatige gedragingen ongehinderd kunnen worden voortgezet. Volgens Ziggo doet zich dat hier niet voor, omdat Brein altijd nog de NAW-gegevens van de inbreukmakers kan opvragen. De voorzieningenrechter ziet dat anders, zoals hierna blijkt.
3.34.
De in 3.32 genoemde voorwaarden zullen hieronder worden behandeld, toegespitst op de situatie die tussen partijen speelt.
Ad a
3.35.
Het is tussen partijen niet in geschil dat het onrechtmatig is om IE-rechtelijk beschermde werken van de bij Brein aangeslotenen te down- en uploaden via BitTorrent-platforms zonder dat zij daarvoor toestemming hebben gegeven. Ook is niet in geschil dat de IP-adressen die uit de steekproef van Brein zijn gekomen hiervoor worden gebruikt. Het is dus voldoende aannemelijk dat die IP-adressen zijn betrokken bij inbreukmakend handelen.
Ad b
3.36.
Brein heeft een reëel belang bij het doorsturen van de waarschuwingsbrieven: het tegengaan van toekomstige inbreuken.
Ad c
3.37.
Dit is de voor de inbreukmaker minst ingrijpende manier om de inbreuk tegen te gaan. In het alternatief zullen de NAW-gegevens van de klant van Ziggo die houder is van het IP-adres aan Brein worden afgegeven, zodat zij kan gaan handhaven. Dat is ingrijpender.
Ad d
3.38.
De afweging van de belangen van Brein, Ziggo en de betrokkenen valt in het voordeel van Brein uit. Hieronder wordt dit toegelicht.
3.39.
Volgens Ziggo spelen aan haar kant en aan de kant van haar klanten de volgende belangen. Het en masse surveilleren van BitTorrent-gebruikers door Brein en het vervolgens waarschuwen van die gebruikers, is een indringende beperking van hun privacy en hun recht op bescherming van persoonsgegevens. De impact op klanten van Ziggo die een waarschuwingsbrief ontvangen is groot; het is de facto een rapport van het online-gedrag, dat huisgenoten mogelijk onder ogen krijgen.
De impact op de bedrijfsvoering van Ziggo is ook serieus. Het is een hoop werk om handmatig de IP-adressen aan de bijbehorende NAW-gegevens te koppelen en vervolgens, gedurende een qua duur ongedefinieerde periode, de waarschuwingsbrieven te versturen. Dat kan niet van Ziggo verlangd worden, aldus Ziggo.
3.40.
Aan de kant van Brein speelt volgens Ziggo het volgende. De BitTorrent-gebruikers zijn ook te bereiken via informatiecampagnes op televisie of via BitTorrent-sites. Dat heeft Brein nog niet gedaan. Bovendien is het eigenlijke doel van de waarschuwingscampagne om het BitTorrent-verkeer in te perken, maar Brein weet nog niet of dat op deze manier lukt. Dat moet nog worden onderzocht. Daarbij komt nog dat de IP/DNS-filters volgens Brein effectief zijn en het de vraag is in welke mate BitTorrent nog relevant is. Popcorn Time is al gestopt en er zijn legale en illegale alternatieven. Het belang van Brein bij het sturen van de waarschuwingsbrieven is dus onvoldoende duidelijk, zo zegt Ziggo. Ook voert Ziggo aan dat Brein direct na het doorsturen van de waarschuwingsbrieven wil gaan handhaven door het opvragen van de NAW-gegevens behorend bij de “verdachte” IP-adressen die uit de zwerm zijn geselecteerd en is onvoldoende duidelijk wat die handhaving precies zal inhouden. Dat telt volgens Ziggo in haar voordeel, juist omdat het hier niet gaat om stelselmatige inbreukmakers.
3.41.
De voorzieningenrechter overweegt als volgt. Brein heeft een groot belang bij het sturen van de waarschuwingsbrieven. Het is aannemelijk dat er via BitTorrent-sites (met behulp van internettoegang via Ziggo) nog een significant aantal malen auteursrechtinbreuk wordt gemaakt en het is gebleken dat deze inbreuken, ondanks veel moeite en kosten (waaronder juridische procedures) van Brein, lastig zijn tegen te gaan. Deze waarschuwingscampagne kan daaraan wellicht een positieve bijdrage leveren. Dat het resultaat daarvan nog niet zeker is, doet er niet aan af dat Brein er belang bij heeft dit middel uit te proberen. Bovendien is de door Brein beoogde waarschuwingscampagne een lichter middel dan het opvragen van NAW-gegevens ten behoeve van individuele handhaving of het blokkeren van het BitTorrent-platform.
Er is geen sprake van dat het internetgedrag van de klanten van Ziggo en masse door Brein wordt gemonitord. Brein verzamelt alleen IP-adressen van klanten die uit een beperkte en zorgvuldige opgezette steekproef komen en waarvoor geldt dat zij met enige regelmaat en/of gedurende een tijdsbestek van enige omvang illegaal up- en downloaden via BitTorrent-platforms. Dat deze klanten zich feitelijk wel op de vingers gekeken zouden kunnen voelen en dat hun illegale gedrag wellicht bekend wordt bij huisgenoten, is vooral de consequentie van hun eigen onrechtmatige handelen, zodat dit belang geen groot gewicht in de schaal legt.
Ten aanzien van Ziggo geldt dat van haar (zo blijkt ook uit Europese jurisprudentie, HvJEU 27 maart 2014, ECLI:EU:C:2014:192, Telekabel/Wien) kan worden gevergd alle redelijke maatregelen te treffen om inbreuken tegen te gaan. Ziggo heeft niet gemotiveerd waarom het door Brein gestelde maximale aantal van 1000 brieven per maand (voor alle isp’s gezamenlijk) die redelijkheid te boven gaat, temeer niet nu Brein onweersproken heeft gesteld dat zij in de elf maanden voorafgaand aan dit geding in totaal 507 verzoeken om doorsturing van een waarschuwingsbrief aan Ziggo heeft gedaan.
Wat betreft de duur van de periode waarin Brein haar waarschuwingsbrieven doorgestuurd wil zien, geldt het volgende. Brein stelt (en heeft ter zitting nader toegelicht) dat de eerste periode van het FLU-traject zes maanden beslaat, dat de evaluatie door Kantar na die periode zal plaatsvinden en dat Brein pas tot vervolstappen zal besluiten na kennisname en overweging van de evaluatie-uitkomst. De voorzieningenrechter begrijpt de vordering daarom zo dat deze beperkt is tot de periode vanaf het begin van het FLU-traject tot zes maanden na de dag van dit vonnis. Daarvan uitgaande zou een toewijzend vonnis betekenen dat niet alleen aan de houders van de al “gevangen” IP-adressen maar ook aan de houders van de in die zes maanden nog te “vangen” IP-adressen een waarschuwingsbrief doorgestuurd zou moeten worden. Op die manier begrepen is niet van een zodanig lange periode sprake dat de bedoelde belangenafweging op die grond in het nadeel van Brein dient uit te vallen.
Wat Ziggo heeft aangevoerd over de verwachting dat Brein snel tot handhaving zal overgaan en dat niet duidelijk is wat die handhaving precies zal inhouden, legt hier geen gewicht in de schaal. Brein heeft immers (onweersproken) aangevoerd dat zij, nadat Ziggo de waarschuwingsbrieven aan de IP-houders zal hebben doorgestuurd, de lijst met die adressen zal vernietigen. Zij zal bij eventuele verdere acties ter bestrijding van illegaal down- en uploaden van beschermde content (dus: na de genoemde periode van zes maanden), weer “blanco” beginnen met het in kaart brengen van de IP-adressen die bij die eventuele latere inbreuken betrokken zijn. Bij de mogelijk door Brein te treffen maatregelen (en de vraag of dat haar rechtens is toegestaan), spelen de thans in geding zijnde IP-adressen dus geen rol.
Al met al valt de belangenafweging, zoals gezegd, dus in het voordeel van Brein uit.
Conclusie
3.42.
Dat betekent dat als Ziggo over een vergunning van de AP zou beschikken, zoals bedoeld in artikel 33 lid 4 sub c UAVG, zij onrechtmatig handelt door de waarschuwingsbrieven niet door te sturen.
3.43.
Artikel 11.2a Tw staat niet aan het doorsturen van de waarschuwingsbrieven door Ziggo in de weg. Dat artikel bepaalt dat de aanbieder van een elektronisch(e) communicatienetwerk of -dienst de via dat netwerk of die dienst verstuurde communicatie niet mag
“aftappen, afluisteren of anderszins onderscheppen of controleren”.Daarvan is hier geen sprake. Ziggo koppelt de door Brein verzamelde IP-adressen aan de bij haar bekende NAW-gegevens. Voor zover dit wel onder de bovenstaande opsomming zou vallen, geldt bovendien dat uit lid 2 van dat artikel ook volgt dat dit wel is toegestaan indien en voor zover deze handelingen noodzakelijk zijn om de integriteit en de veiligheid van de netwerken en diensten van de betrokken aanbieder te waaarborgen (sub b) of noodzakelijk zijn ter uitvoering van een wettelijk voorschrift of rechterlijk bevel (sub d). Onder die laatste uitzondering valt in ieder geval het naleven van een vonnis tot het doorsturen van de waarschuwingsbrieven.
“aftappen, afluisteren of anderszins onderscheppen of controleren”.Daarvan is hier geen sprake. Ziggo koppelt de door Brein verzamelde IP-adressen aan de bij haar bekende NAW-gegevens. Voor zover dit wel onder de bovenstaande opsomming zou vallen, geldt bovendien dat uit lid 2 van dat artikel ook volgt dat dit wel is toegestaan indien en voor zover deze handelingen noodzakelijk zijn om de integriteit en de veiligheid van de netwerken en diensten van de betrokken aanbieder te waaarborgen (sub b) of noodzakelijk zijn ter uitvoering van een wettelijk voorschrift of rechterlijk bevel (sub d). Onder die laatste uitzondering valt in ieder geval het naleven van een vonnis tot het doorsturen van de waarschuwingsbrieven.
3.44.
Nu de vordering van Brein wordt afgewezen, komt de voorzieningenrechter niet toe aan de beordeling van de bezwaren van Ziggo tegen de formulering van de vordering en de hoogte van de dwangsom. De voorzieningenrechter loopt te ver op de zaken vooruit als hij hier ten overvloede over zou oordelen.
Proceskosten
3.45.
Brein krijgt ongelijk en moet daarom de proceskosten van Ziggo betalen. Ziggo vordert dat Brein op grond van artikel 1019h Rv wordt veroordeeld in de redelijke en evenredige proceskosten die zij heeft gemaakt. Artikel 1019h Rv is hier echter niet van toepassing. Het gaat hier niet om een zaak tussen enerzijds de houder van een intellectueel eigendomsrecht en anderzijds de vermeende inbreukmaker over de vraag of er sprake is van een (dreigende) inbreuk. De inbreuk staat hier niet ter discussie en voor zover daar wel discussie over kan ontstaan, speelt dat tussen Brein en de klanten van Ziggo die kunnen worden gekoppeld aan de IP-adressen die uit de steekproef komen en/of hun huisgenoten. In deze zaak is “slechts” de vraag aan de orde of die (in dit geding) vaststaande inbreuk een derde partij, Ziggo, noopt tot meewerken aan de door Brein gewenste mailing (en of haar weigering daartoe een onrechtmatige daad tegenover Brein vormt). De voorzieningenrechter zal dus de liquidatietarieven toepassen. De proceskosten van Ziggo worden aan de hand daarvan begroot op:
- griffierecht € 676,00
- salaris advocaat
1.016,00
1.016,00
Totaal € 1.692,00
3.46.
De door Ziggo gevorderde nakosten worden toegewezen op de manier die in “de beslissing” staat.
4.De beslissing
De voorzieningenrechter
4.1.
wijst de vorderingen af,
4.2.
veroordeelt Brein in de proceskosten, aan de zijde van Ziggo tot op heden begroot op € 1.692,00,
4.3.
veroordeelt Brein in de na dit vonnis ontstane kosten, begroot op € 163,00 aan salaris advocaat, te vermeerderen, onder de voorwaarde dat Brein niet binnen 14 dagen na aanschrijving aan het vonnis heeft voldaan en er vervolgens betekening van de uitspraak heeft plaatsgevonden, met een bedrag van € 85,00 aan salaris advocaat en de explootkosten van betekening van de uitspraak, en te vermeerderen met de wettelijke rente als bedoeld in art. 6:119 BW over de nakosten met ingang van de vijftiende dag na de betekening van dit vonnis tot aan de dag van volledige betaling,
4.4.
verklaart deze kostenveroordeling uitvoerbaar bij voorraad,
4.5.
wijst het meer of anders gevorderde af.
Dit vonnis is gewezen door voorzieningenrechter mr. R.A. Steenbergen, bijgestaan door griffier mr. M. Braam, en in het openbaar uitgesproken op 2 februari 2022. [1]