Hoe moeilijk is het om de NAW-gegevens behorend bij een IP-adres te achterhalen?

Op 27 januari 2016 heeft de rechter geoordeeld dat Ziggo niet de NAW-gegevens van de abonnee hoeft te verstrekken die volgens de eiser (een bouwbedrijf) bezig was met een lastercampagne door het plaatsen van vele anonieme slechte reviews. Dit onderbouwde het bouwbedrijf door verwijzing naar het vergelijkbare taalgebruik en de vergelijkbare opbouw van de negatieve reviews. De rechter oordeelt dat dit onvoldoende bewijs is om aan te nemen dat alle reviews van één persoon afkomstig zijn. Dit leidt tot de vraag: hoe moeilijk is het eigenlijk om de NAW-gegevens behorend bij een IP-adres te achterhalen?

Het is relatief simpel om het IP-adres te achterhalen van de internetaansluiting van waaraf, bijvoorbeeld, kwetsende uitingen worden gedaan. Met dit IP-adres is te achterhalen in welke regio of stad de internetaansluiting zich bevindt, maar niet op wiens naam deze internetaansluiting staat. Hiervoor is de hulp van de ISP nodig, maar die geven deze informatie niet zonder slag of stoot weg. Terecht, zo bleek in de uitspraak in kort geding van 27 januari 2016 tussen Ziggo en het bouwbedrijf. Deze uitspraak is nog niet gepubliceerd op www.rechtspraak.nl, maar is hier te downloaden.

Zoals gezegd is het niet ingewikkeld om iemands IP-adres te achterhalen. Wanneer iemand een e-mail verstuurt staat dit in de zogenaamde ‘header’, de code die onzichtbaar wordt meegestuurd met de e-mail. Voor websites geldt dat de beheerder vaak erg gewillig is om het IP-adres te verstrekken van de gebruiker die bijvoorbeeld strafbare of schadeveroorzakende handelingen verricht. Met dit IP-adres is in het Regionale Internet Register, voor Europa het Réseaux IP Européens Network Coordination Centre (https://www.ripe.net/). Dit register geeft de IP-adressen uit, en weet zodoende waar de aansluiting (ongeveer) gevestigd is. De naam van de persoon die achter deze internetaansluiting zit, die is echter alleen bekend bij zijn internetprovider (‘ISP’). Deze ISP’s zijn een stuk minder gewillig om gegevens te verstrekken dan de meeste websites. Dit enerzijds omdat hun goede naam als privacy-minded ISP op het spel staat en anderzijds omdat zij gebonden zijn aan de Wet bescherming persoonsgegevens voor de verstrekking van privacygevoelige gegevens.

ISP Lycos heeft tot aan de Hoge Raad geprocedeerd over de vraag of zij verplicht was de NAW-gegevens van een Lycos-gebruiker te verstrekken die een website had waarop een postzegelhandelaar voor fraudeur werd uitgemaakt. In 2005 deed de Hoge Raad uitspraak in de zaak Lycos/Pessers (HR, 25 november 2005, LJN: AU4019). De Hoge Raad oordeelde dat het niet verstrekken van de NAW-gegevens van de Lycos-gebruiker in strijd was met de zorgvuldigheid die de serviceprovider jegens een derde in acht dient te nemen. De omstandigheden die hierbij een rol spelen zijn:

1. a.de mogelijkheid dat de informatie, op zichzelf beschouwd, jegens de derde onrechtmatig en schadelijk is, is voldoende aannemelijk;
2. b.de derde heeft een reëel belang bij de verkrijging van de NAW-gegevens;
3. c.aannemelijk is dat er in het concrete geval geen minder ingrijpende mogelijkheid bestaat om de NAW-gegevens te achterhalen;
4. d.afweging van de betrokken belangen van de derde, de serviceprovider en de websitehouder (voor zover kenbaar) brengt mee dat het belang van de derde behoort te prevaleren.

Naar aanleiding van deze uitspraak maakte BREIN in korte tijd succesvol gebruik van deze mogelijkheid om aanbieders van illegale films aan te pakken. In 2006 oordeelde (rb. Amsterdam, 24 augustus 2006, LJN: AY6903) de rechter dat Chello de NAW-gegevens van haar abonnee moest afgeven die volgens BREIN illegale films deelde op internet. Aan bovenstaande vierstappentoets kwam de rechter niet eens toe: de rechter oordeelde dat voldoende was dat:

1. a.voldoende aannemelijk is dat de gebruiker van het IP-adres inbreukmakend (onrechtmatig) handelt, en;
2. b.buiten redelijke twijfel vast staat dat degene van wie de NAW-gegevens worden opgevraagd ook daadwerkelijk degene is die zich aan dit handelen heeft schuldig gemaakt.

Volgens de rechtbank was in dit geval dusdanig duidelijk dat sprake was van onrechtmatig handelen door de personen wiens NAW-gegevens werden opgevraagd dat hun recht op privacy minder zwaar weegt. Deze toets is een stuk minder zwaar dan de Hoge Raad in het Lycos/Pesser arrest gebruikte. Dezelfde lijn werd in 2007 in een ander vonnis gewezen, waarin BREIN opnieuw NAW-gegevens opeiste (rechtbank ’s-Gravenhage, 5 januari 2007, LJN: AZ5678). In 2008 werd Google zelfs veroordeeld tot het verstrekken van de NAW-gegevens van een Gmail-gebruiker, waarnaar bedrijfsgevoelige informatie zou zijn verzonden (rechtbank Amsterdam, 9 oktober 2008, LJN: BF7448). Kortom, het leek wel erg gemakkelijk te worden om NAW-gegevens op te eisen. Een (concrete) verdenking leek in 2008 voldoende.

Dit staat in schril contrast tot de leer van een aantal jaar daarvoor. Zo speelde voor de Rechtbank Utrecht speelde 2002 (9 juli 2002, LJN:AE5537) een zaak waarin het bedrijf Teleatlas van een internetserviceprovider afgifte van NAW-gegevens van een abonnee eiste, omdat Teleatlas schade had geleden door de gedragingen van die abonnee. De internetserviceprovider weigerde en stelde dat het bedrijf onvoldoende heeft geprobeerd op een andere, minder ingrijpende wijze de benodigde gegevens te verkrijgen. Zo had het bedrijf in kwestie via de bank of zelfs via een privaat onderzoekbureau kunnen pogen de gegevens te achterhalen. De rechtbank oordeelde: “Gelet op het onomkeerbare karakter van het verschaffen van de NAW-gegevens en de terughoudendheid die bij het verschaffen van deze gegevens in acht genomen dient te worden zal, nu onvoldoende vast is komen te staan dat Teleatlas op een andere, minder ingrijpende wijze heeft geprobeerd de benodigde gegevens te verkrijgen, de gevraagde voorziening in conventie worden afgewezen.” Dit was wel een erg strikte uitspraak, met name omdat moeilijk valt in te zien waarom het inschakelen van een opsporingsbureau minder vergaand zou zijn dan het rechtstreeks opvragen van de gegevens bij de internet service provider.

Dat de rechtbanken iets te gemakkelijk waren geworden in het vrijgeven van NAW-gegevens bleek in 2010 toen Ziggo in hoger beroep ging bij het gerechtshof Amsterdam (14 december 2010, LJN: BP7309). In deze zaak eiste had Kim Holland 123video.nl aangesproken omdat iemand daar illegaal een filmpje van haar had geüpload. 123video.nl had zodoende de NAW-gegevens van deze persoon nodig, om hem of haar in vrijwaring op te kunnen roepen. Het hof oordeelde dat de NAW-gegevens niet hoefde te worden verstrekt: “De belangen van Ziggo bij het niet verstrekken van de NAW-gegevens dienen in dit geval te prevaleren. 123 Video heeft onvoldoende aannemelijk gemaakt dat er in het onderhavige geval geen minder ingrijpende mogelijkheden bestonden de door haar benodigde gegevens van [de klant] te achterhalen.”

Kortom, het hof stelde paal en perk aan de ietwat vrijzinnige uitleg die de rechtbanken aan het arrest Lycos/Pessers gaven. In dit licht is de uitspraak van 27 januari 2016 wel te begrijpen. Het bouwbedrijf in kwestie stelde dat een groot aantal negatieve reacties van één persoon afkomstig zou zijn. Dit onderbouwde het bouwbedrijf door verwijzing naar het vergelijkbare taalgebruik in de reviews en de vergelijkbare opbouw van de reviews. De rechter stelt dat hiermee de stelling dat deze persoon bezig is met een lastercampagne tegen het bouwbedrijf onvoldoende is onderbouwd. Tot zo ver logisch, maar de rechter betrekt ook een nieuwe overweging bij de afweging: er is geen reële kans op herhaling. Dit omdat met de websitehouder is afgesproken dat dergelijke reviews niet meer op de site zullen worden geplaatst. Hoe deze afweging moet worden gezien in het licht van de vier vereisten van het Lycos/Pesser-arrest licht de rechtbank niet toe, maar ik vermoed dat het onderdeel is van de belangenafweging, die de rechtbank overigens niet expliciet maakt.

De uitspraak van 27 januari 2016 is in het licht van de uitspraak van het hof Amsterdam in 2010 niet heel verwonderlijk. Hoewel de rechtbanken niet bepaald een uniforme uitleg geven aan de Lycos/Pesser-vereisten, is wel duidelijk dat concreet bewijs van het onrechtmatig handelen van de persoon wiens NAW-gegevens worden noodzakelijk is.

Heeft u vragen na het lezen van dit artikel, neemt u dan contact op met Natascha van Duuren, Advocaat/Partner IE/ICT-recht