Aansprakelijkheid bij openbare wifi

Het gratis aanbieden van wifi is een mooie geste naar klanten toe. Zeker toeristen stellen het echt wel op prijs, maar ook voor zakenpartners of externen is een gratis wifinetwerk altijd handig. Aanbieders hebben echter vaak een aantal vragen, zeker als het over de aansprakelijkheid gaat wanneer bezoekers illegale dingen doen op hun wifinetwerk.

Aansprakelijkheid voor bezoekers die illegale dingen doen op het netwerk

Hoe de aansprakelijkheid geregeld is, is grotendeels afhankelijk van de vraag of de internetverbinding actief of passief wordt aangeboden. Dit onderscheid volgt rechtstreeks uit artikel 6:196c BW. Een passieve aanbieder is iemand die gewoon een internetverbinding aanbiedt en deze verder niet monitort. Zo'n aanbieder draagt weinig verantwoordelijkheid en is dan ook niet zomaar aansprakelijk. Gelukkig maar, want anders zouden partijen als Ziggo elke dag tegen schadeclaims aanlopen en snel op de fles gaan. Deze zogeheten access provider hoeft niet eens een notice-and-take-downbeleid te hebbenom aansprakelijkheid op het internet te voorkomen.

Een actieve aanbieder is dan weer iemand die ook de verbinding monitort en het gebruik reguleert. Dit gaat verder dan het louter blokkeren van bepaalde sites of het filteren van content (bv. het blokkeren van erotische websites of piraterijwebsites). Zo'n actieve aanbieder zal sneller aansprakelijk zijn voor de illegale handelingen die op het netwerk worden gesteld.

Bevestiging door het Europees Hof van Justitie

Recent heeft het Europees Hof van Justitie dit ook bevestigd. Het gaf aan dat de aanbieder van een openbaar wifinetwerk niet aansprakelijk is voor de illegale handelingen die op het wifinetwerk zijn verricht. Het hof gaf wel aan dat daarbij een aantal voorwaarden gelden. Zo mag het initiatief tot doorgifte van illegale data niet bij de aanbieder liggen, mag de aanbieder de doorgegeven informatie niet hebben gewijzigd of geselecteerd en mag de uiteindelijke ontvanger van de data niet door de aanbieder worden bepaald. Eigenlijk geeft het Europees Hof van Justitie dus aan dat wie enkel zijn netwerk openstelt en zich verder niet met de data bemoeit, niet aansprakelijk is voor gedragingen.

Toch plaatst het Europees Hof van Justitie hier een belangrijke kanttekening bij. Het geeft namelijk aan dat aanbieders, ook passieve aanbieders, redelijke maatregelen moeten nemen om inbreuken te voorkomen. Een van deze redelijke maatregelen is het beveiligen van het netwerk met een wachtwoord dat niet anoniem kan worden verkregen, bijvoorbeeld door het gebruik in combinatie met een unieke login of door de vereiste om aan te melden met een mailadres. Een affiche met een gedeeld wachtwoord volstaat dus niet. En ook voor gebruikers is het overigens niet veilig. Hackers kunnen namelijk een netwerk aanmaken dat net lijkt op het echte wifinetwerk, terwijl ze gewoon meekijken in het internetverkeer.

Monitoren van gebruikers en privacybekommernissen

Voor de actieve aanbieder wordt het extra complex omdat men mogelijk ook de privacy van bezoekers aantast, waardoor ze automatisch in het vaarwater van de AVG komen. Ook voor privacyschendingen kan men namelijk aansprakelijk zijn en de Autoriteit Persoonsgegevens kan zelfs flinke boetes opleggen.

Zo moet de aanbieder een rechtsgeldige grondslag hebben om het internetgedrag van gebruikers te monitoren. Toestemming kan volstaan, indien dit voldoende specifiek en duidelijk is gegeven. Hierbij kunnen bij het eerste gebruik voorwaarden worden meegedeeld die de gebruiker kan aanvaarden of weigeren. Bovendien dient het monitoren dan nog steeds proportioneel te zijn en aan het subsidiariteitsbeginsel te voldoen. Dit wil zeggen dat het monitoren van het internetverkeer zo anoniem mogelijk moet gebeuren, maar ook niet verder moet gaan dan nodig.

Een voorbeeld van een ongeldige bepaling is het recht om te allen tijde het internetverkeer te monitoren. Wat wel mag, is een bepaling die de aanbieder het recht geeft om te onderzoeken hoe het komt dat er excessief veel dataverkeer wordt gebruikt. Ook automatische en anonieme ingrepen, zoals het filteren of blokkeren van websites, zijn steeds toegestaan omdat dit anoniem gebeurt.

Aansprakelijkheid voor schade bij gebruikers

Bij het aanbieden van wifi draait het niet alleen om de aansprakelijkheid voor wat de gebruikers van het netwerk doen, maar ook om de aansprakelijkheid voor het geval dat zijzelf schade lijden omdat het netwerk onvoldoende beveiligd was. Deze vorm van aansprakelijkheid staat volledig los van het onderscheid tussen een actieve en een passieve aanbieder. Ook een passieve aanbieder kan aansprakelijk zijn voor de schade door een onbeveiligd netwerk en is dus gebaat bij een adequate beveiliging. Denk daarbij opnieuw aan het voorbeeld van een affiche met een gedeeld wachtwoord, wat een interessante opportuniteit voor cybercriminelen is.

Zowel om redenen van privacy als omwille van aansprakelijkheidsbeperkingen is het opstellen van goede gebruiksvoorwaarden aan te raden. Zorg er dan wel voor dat deze gebruiksvoorwaarden eenvoudig in te zien zijn en op te slaan zijn, zeker bij particulieren. Een PDF-bestand krijgt daarom de voorkeur op een venstertje waarin men eindeloos moet scrollen.

Aansprakelijkheid van de IT-leverancier

Ten slotte moet er ook aandacht zijn voor de situatie van de IT-leverancier. Neem bijvoorbeeld een winkelier. Zo'n winkelier is mogelijk een leek en besteedt het beheren en onderhouden van de IT-infrastructuur dan ook uit aan een IT-leverancier. De IT-leverancier heeft vervolgens een zorgplicht en kan in de verhouding met de winkelier aansprakelijk worden gesteld. Hierdoor kunnen aansprakelijkheidsclaims die bij de winkelier binnenkomen uiteindelijk weer bij de IT-leverancier worden geclaimd. Daarom voorziet de IT-leverancier maar beter de nodige beveiliging en weigert hij zo nodig de opdracht.