De Rechtbank Midden-Nederland heeft onlangs Stichting Brein een flinke nederlaag toegebracht. In kort geding oordeelde de rechtbank dat Ziggo niet verplicht is om waarschuwingsbrieven te sturen aan abonnees die volgens BREIN illegaal gedownload hebben. Sterker nog, Ziggo mag dat niet eens doen. Ziggo heeft namelijk geen vergunning van de Autoriteit Persoonsgegevens voor de verwerking van strafrechtelijke gegevens, en heeft die daarvoor wel nodig.
De feiten
Stichting BREIN houdt zich bezig met het aanpakken van auteursrechtinbreuk. Voor het tegengaan van illegale downloads is de stichting in 2020 een waarschuwingscampagne gestart. Zij verzamelt hiervoor IP-adressen die worden gebruikt om illegale content te up- en downloaden via BitTorrent. Met alleen een IP-adres bereik je de inbreukmaker echter niet.
BREIN heeft daarom de medewerking van ISP’s nodig om een waarschuwingsbrief te kunnen sturen aan de inbreukmaker. ISP’s kunnen de IP-adressen namelijk koppelen aan de NAW-gegevens van de abonnee. BREIN heeft Ziggo verzocht om een waarschuwingsbrief te sturen aan de abonnees waarvan BREIN de IP-adressen heeft verzameld. Ziggo weigert om hieraan mee te werken en zo geschiedde dat BREIN naar de rechter is gestapt.
Oordeel van de rechtbank
De rechtbank haalt ten eerste standaard jurisprudentie van het Europese Hof van Justitie aan, waarin wordt bevestigd dat IP-adressen als persoonsgegevens moeten worden aangemerkt. Dat betekent dat de AVG van toepassing is op iedere verwerking van die gegevens. Ten tweede heeft de rechtbank geoordeeld dat er hier sprake is van verwerking van strafrechtelijke persoonsgegevens. Auteursrechtinbreuk is immers een strafbaar feit, en volgens de rechtbank kwalificeert het gegeven dat een IP-adres is gebruikt voor een strafbaar feit als gegeven betreffende een strafbaar feit.
Die vaststelling is van belang omdat verwerking van strafrechtelijke persoonsgegevens verboden is, tenzij een verwerkingsverantwoordelijke zich kan beroepen op een van de uitzonderingsgronden zoals neergelegd in artikel 32 en 33 UAVG.
Het verbod op verwerking van strafrechtelijke persoonsgegevens
De rechter heeft vervolgens getoetstof er sprake was van een rechtmatige grondslag voor de verwerkingen. BREIN kan zich met succes beroepen op de uitzonderingsgrond zoals neergelegd in artikel 33 lid 2 sub b UAVG. Deze grond ziet op de verwerking ten eigen behoeve, ter bescherming van zijn belangen, voor zover het gaat om strafbare feiten die zijn of op grond van feiten en omstandigheden naar verwachting zullen worden gepleegd jegens hem of jegens personen die in zijn dienst zijn.
Ziggo stelde dat het beroep op deze grond niet mogelijk is, nu de verwerkingen worden gedaan vanwege strafbare feiten tegen degenen die bij BREIN zijn aangesloten en niet tegen BREIN zelf. Op het moment dat gegevens worden verwerkt ten behoeve van derden geldt artikel 33 lid 2 sub b UAVG niet en moet er een beroep worden gedaan op de uitzonderingsgrond genoemd in artikel 33 lid 4 UAVG. Je bent dan verplicht om een vergunning aan te vragen bij de Autoriteit Persoonsgegevens. BREIN heeft deze vergunning aangevraagd alvorens zij begon met de campagne. De Autoriteit Persoonsgegevens oordeelde echter dat BREIN niet vergunningsplichtig is, omdat zij niet ten behoeve van derden gegevens verwerken. De rechter is hierin meegegaan en heeft Ziggo op dat punt in het ongelijk gesteld.
Ziggo als verwerkingsverantwoordelijke
Ziggo is daarnaast zelf verwerkingsverantwoordelijke van strafrechtelijke persoonsgegevens, wanneer Ziggo de IP-adressen koppelt aan de NAW-gegevens van haar klanten en een waarschuwingsbrief verstuurd. Deze brieven worden dan onder eigen verantwoordelijkheid van Ziggo verstuurd, maar wel ten behoeve van BREIN.
In tegenstelling tot BREIN, is Ziggo dan ook wel vergunningsplichtig voor de verwerking van strafrechtelijke persoonsgegevens. Ziggo heeft echter geen vergunning van de Autoriteit Persoonsgegevens en dus is er geen geldige grondslag voor de verwerking. De rechter oordeelde dat Ziggo de brieven daarom simpelweg niet mag versturen.
Wat als Ziggo wel een vergunning zou hebben
De rechtbank is verder ingegaan op de situatie waarin Ziggo wel over een zou vergunning beschikken. Ziggo is dan verplicht om de waarschuwingsbrieven te versturen. De rechtbank heeft dit beoordeeld aan de hand van een in de jurisprudentie ontwikkeld toetsingskader. De illegale downloads zijn onrechtmatig en BREIN heeft een reëel belang bij het doorsturen van de waarschuwingsbrieven om zo toekomstige inbreuken te voorkomen.
Nu BREIN de NAW-gegevens niet van Ziggo verkrijgt, is dit ook nog de meest privacyvriendelijke manier voor de betreffende inbreukmakers. Het belang van BREIN om de gegevens te verwerken staat daarnaast boven de belangen van Ziggo en de inbreukmakers. Het tegengaan van deze vorm van auteursrechtinbreuken blijkt in de praktijk zeer lastig en de door BREIN ontwikkelde campagne is een redelijk licht middel om het probleem aan te pakken. Dat is zeker het geval nu Ziggo het internetgedrag van haar klanten niet in vergaande mate gemonitort.
Hoe nu verder?
Deze nederlaag kan een bom leggen onder het plan van BREIN inzake de waarschuwingsbrieven. BREIN laat het er niet bij zitten en gaat in hoger beroep. In hoger beroep zou BREIN kunnen aanvoeren dat Ziggo helemaal geen verwerkingsverantwoordelijke is, maar slechts de verwerker van BREIN. Het argument daarvoor: Ziggo beschikt weliswaar over de gegevens en de middelen die nodig zijn voor het versturen van de brieven, maar BREIN bepaalt het doel van die verwerking. Ziggo werkt daarbij enkel in opdracht van BREIN.
Ook kan BREIN betogen dat artikel 32 sub d van toepassing is. Daarin is bepaald dat het toegestaan is om strafrechtelijke persoonsgegevens te verwerken wanneer dat noodzakelijk is voor het instellen van een rechtsvordering. BREIN moet dan wel uitleggen waarom een waarschuwingsbrief noodzakelijk is in het kader van het instellen van een rechtsvordering. In een waarschuwingsbrief wordt immers enkel, zo neem ik althans aan, gewaarschuwd.
BREIN zal Ziggo vast ook een verzoek sturen om zo snel mogelijk de vergunning aan te vragen. Het is echter de vraag of een organisatie verplicht is om die vergunning aan te vragen. We houden u op de hoogte.