image

Juridische vraag: Mag ik forumbezoeker verbannen?

woensdag 12 januari 2011, 12:12 door Arnoud Engelfriet, 25 reacties

Heb jij een uitdagende vraag over beveiliging, recht en privacy, stel hem aan ICT-jurist Arnoud Engelfriet en maak kans op zijn boek
"De wet op internet".

Arnoud is van alle markten thuis, maar vindt vooral in technische / hacking vragen een uitdaging. Vragen over licenties worden niet behandeld, aangezien die geen raakvlak met beveiliging hebben. De Juridische vraag is een rubriek op Security.nl, waar wetgeving en security centraal staan. Elk kwartaal kiest Arnoud de meest creatieve vraag, die dan zijn boek zal ontvangen.

Vraag: Ik beheer een forum, waar iedereen mag meediscussiëren mits men zich registreert. Enige tijd geleden heb ik echter een gebruiker gehad die ik verbannen heb van mijn forum vanwege misdragingen. Echter blijft deze persoon steeds terug komen, waarbij hij continue andere mailadressen en IP-adressen gebruikt om mijn blokkade te omzeilen. Ik heb gedreigd aangifte te doen van computervredebreuk, en nu reageert hij dat hij mij een procedure gaat aandoen omdat ik zijn grondrecht op vrije meningsuiting schend! Maar het is toch mijn forum, ik mag toch beslissen wie ik wel of niet toelaat of verwijder?

Antwoord: Inderdaad, als forum- of sitebeheerder bepaal jij de regels: wat mag er wel, wat mag niet, wat is off-topic en wanneer mogen gebruikers worden geweerd (geband). Wel is het zo dat als je je site openstelt voor anderen, je iemand niet zomaar kunt verwijderen. Hij moet wel eerst de regels overtreden hebben - of zich dermate onredelijk of hinderlijk gedragen dat van jou niet gevergd kan worden dat je zijn account handhaaft. In twijfelgevallen adviseer ik altijd om een waarschuwing te geven: als je dit nog eens doet, wordt je verwijderd. Dan heb je een duidelijke grond om die persoon uit te sluiten bij herhaling.

In het MultiMediaMachines-arrest werd bepaald dat je de gebruiker van een forum niet zomaar zonder reden kunt verwijderen. En belangrijker, als je iemand verwijdert en je meldt op het forum waarom, dan zal die reden wel moeten kloppen. In die zaak bleek de reden onjuist, en de gebande persoon kon dus eisen terug te mogen komen.

Heb je iemand uitgesloten, dan mag die persoon niet terugkeren. Je bent dus gerechtigd filters of blokkades (zoals een IP-ban) op te zetten om dit te voorkomen. Een schending van de vrije meningsuiting is dat niet: niemand heeft het recht om andermans apparatuur in te zetten om zijn mening te uiten. Censuur is dat niet: alleen de overheid kan censureren.

Praktisch gezien is het wel lastig iets te doen aan zo'n irritant figuur. Aangifte wegens computervredebreuk lijkt me kansloos: deze persoon dringt niet binnen in je forum, hij maakt 'gewoon' gebruik van je registratie- en postfaciliteiten. Een civiele procedure tegen hem zou een optie kunnen zijn, maar dan moet je wel weten waar hij woont.

Hebben jullie nog praktische tips hoe je een geband figuur permanent geband houdt?

Arnoud Engelfriet is ICT-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. In 2008 verscheen zijn boek "De wet op internet".

Reacties (25)
12-01-2011, 12:22 door Anoniem
Een IP nummer en/of email adres is eenvoudig aan te maken danwel te wijzigen.

Neem een verificatie welke lastiger is.

Bijvoorbeeld een eenmalige SMS verificatie code.

Hiermee kan je een ban opleggen op basis van een 06 nummer het ip nummer en het email adres.
12-01-2011, 12:49 door Syzygy
Arnoud, bedankt wederom voor je aandeel om de zaken wettelijk scherp te krijgen.
Ik prijs ons elke keer weer gelukkig met jouw input.

Met betrekking tot het bannen van dit soort uitwassen het volgende:

Allereerst deleten account maar dat is logisch.

Afhankelijk van het "toegangsbeleid" tot het forum gaan we verder:
Bij sommige fora kun je alleen lid worden door introductie, dit is een extra vorm van security omdat een ge-banned lid natuurlijk niet makkelijk een "sponsor zal vinden"

We gaan er even van uit dat je dus een open policy hanteert, dus kan iemand die ge-banned is gewoon weer een verzoek indienen voor een nieuwe account.
Er staan eigenlijk maar een paar controle maatregelen tot je beschikking die ook aan jou kant weer beperkingen opleggen.

Username / Password vaak gekoppeld met een E-mail adres / Telefoonnummer of ander communicatie of persoonsgebonden middel.
Je kunt bepalen dat het e-mail adres geen free-mailer adres mag zijn maar daarmee beperk je de privacy van je bezoekers.

IP.
Daar red je natuurlijk de boel niet mee want sommige mensen willen het forum van hun werk bekijken in de pause of wellicht vanuit vakantie. Daarnaast bestaat er de mogelijkheid om via een proxy te kijken of andere IP maskerading -technieken.

MAC
Ook al is MAC spoofing vreselijk eenvoudig, men moet het wel eerst door hebben. Nogmaals, mensen zullen ook vanuit ander hardware in moeten kunnen loggen dus beperk je je klanten enorm met deze restrictie.

Je begrijpt dat het makkelijker zou zijn als je alleen ACCESS kon krijgen op basis van een combinatie van IP - MAC - USER gegevens maar daarmee beperk je de mobiliteit van je leden en dat werkt niet het voordeel van je Forum

Je zult dus iemand de toegang moeten gaan ontzeggen . Je aanpak wordt dan op basis van DENY, zoals je al doet.
Het enige wat je dan rest is patronen gaan zoeken.
Username - IP en MAC adressen van de boosdoener verzamelen en daarop filteren.
Erg arbeidsintensief maar het is vaak of de goede bezoekers beperkingen gaan opleggen of zelf wat energie in de zaak steken.

Een eenduidige oplossing zal je niet snel vinden.
12-01-2011, 12:50 door Anoniem
mac addres iemand? en browsers hebben toch ook een eigen identificatiecode?
12-01-2011, 12:52 door Anoniem
Een 06-nummer kun je ook zo krijgen, volgens mij bestaat prepaid nog steeds.
12-01-2011, 13:13 door Anoniem
Misschien helpt een goed gesprek tussen de persoon in kwestie en de beheerder. Misschien is de oplossing niet eens juridisch of technisch van aard...
12-01-2011, 13:16 door Sheriffnl
Ik heb eenzelfde situatie aan de hand gehad. Een gebruiker van mijn website / forum, hield zich na meerdere waarschuwingen niet aan de regels, waardoor hij op een dag de volle laag over zich heen kreeg van de andere gebruikers via een shoutbox.

Ik heb dit een paar minuten aangekeken en heb toen de shoutbox dichtgegooid, de 'boosdoener' apart genomen en hem verteld dat het echt niet langer kon zo, en hem verbannen van de site; accounts disabled, ipban...

Dit resulteerde in serieuze bedreigingen van zelfmoord via het skype gesprek wat wij toen voerden, omdat dit forum het enige was wat hij kon doen, etc....
Ik heb hem netjes verzocht om eerst even tot zichzelf te komen, en als hij weer normaal kon discussiëren, hij mij terug mocht bellen, en de verbinding toen verbroken.

weken... wat.... MAANDEN aan een stuk probeerde hij zich in allerlei bochten te wringen om weer terug te komen op de site, aliassen, meerdere emailaccounts, verschillende IP-adressen, alle trucjes passeerde de revue.

Wij waren van mening dat deze gebruiker niet erg labiel was, wat ook goed terug te zien was in zijn forum posts waardoor het keer op keer door de mand viel.


Dit is zo'n anderhalf / twee jaar geleden gebeurt.

Nu ben ik zelf niet meer zo actief op die site, maar hoor nog wel het nodige... Het laatste wat ik hoorde is dat 1 van de gebruikers hem toch nog een kans wilde bieden, en hiervoor de volledige verantwoording op zich zou nemen.

Hoe dit verders is verlopen weet ik niet... zal me weer eens laten zien op die site...

Het betreft een RPG forum omtrent star trek... ( Ariesfleet )
12-01-2011, 13:28 door Wim ten Brink
Sommige fora-software staat het toe om een gebruiker te blokkeren in plaats van deze te verwijderen. Dit is een betere optie omdat de account dan blijft bestaan, alleen kan de gebruiker dan niet meer inloggen.
Blokkeren kan vervolgens op IP adres en op email adres, maar beiden zijn aan te passen. In geval van een email adres kun je een klacht indienen naar de bijbehorende provider wat kan resulteren in het afsluiten van de betreffende mail account. Dit zal niet snel gebeuren maar is altijd een optie om te proberen. Niet geschoten, altijd mis.
Bij IP adressen hoort ook altijd een provider, hoewel deze lastiger te bepalen is. http://www.robtex.com/ kan hier uitkomst bij brengen zodat je alsnog de ISP kunt bepalen en je klacht naar hen doorsturen. Dat kan weer resulteren in het afsluiten van iemand's internet-connectie. (Maar als de vandaal meelift op open WiFi verbindingen dan wordt de vandaal niet zelf aangepakt maar die personen die hun WiFi hebben opengesteld voor misbruik door anderen.)
Aangifte doen van computervredebreuk is een beetje extreem maar kan helpen bij je klacht richting ISP.
-
Ik heb in het verleden ook met een dergelijk probleem te maken gehad op een van mijn websites en het klagen bij de provider van de vandaal bleek toen verrassend effectief: hij werd eraf geschopt en mocht op zoek naar een andere provider. Die vond hij twee dagen later waarna hij opnieuw begon en ik bij zijn nieuwe provider weer een klacht indiende. Hij werd toen meteen bij die nieuwe provider er weer uit geschopt en moest toen door naar een derde provider in twee maanden tijd. Daarna heb ik geen last meet gehad van hem. (Het was hierbij overigens iemand uit de UK, niet NL.)
12-01-2011, 13:44 door Anoniem
Het wordt ook tijd dat forumsoftware eens wat slimmere methodes toe gaan passen. Hoezo, bannen of blokkeren? De moderator moet gewoon de mogelijkheid hebben om de posts van een troublemaker voor anderen te verbergen. Laat de herrieschopper maar denken dat hij gewoon door kan posten, zonder dat hij doorheeft dat anderen zijn berichten helemaal niet meer zien. Er wordt gewoon niet op hem gereageerd dus voor hemzelf gaat de lol eraf, en ondertussen heeft niemand last van 'm.

Ook inloggen via Hyves, Twitter of Facebook kan een optie zijn. Met een minimumvereiste dan iemand bv 10 of 20 vrienden moet hebben (uit te lezen via de api's) hou je de opportunisten een stuk makkelijker buiten terwijl je in de praktijk vrijwel niemand ermee zult uitsluiten.
12-01-2011, 15:03 door Anoniem
@Anoniem 13:44

In Vbulletin 3+ is er een optie "Tachy goes to Coventry" --> oftewel een Global Ignore list. De gebruiker kan nog wel posten, maar niemand ziet zijn/haar posts.

http://www.vbulletin.com/forum/showthread.php/73604-Tachy-Goes-to-Coventry <-- Topic hierover.
12-01-2011, 15:41 door Anoniem
Ook inloggen via Hyves, Twitter of Facebook kan een optie zijn. Met een minimumvereiste dan iemand bv 10 of 20 vrienden moet hebben (uit te lezen via de api's) hou je de opportunisten een stuk makkelijker buiten terwijl je in de praktijk vrijwel niemand ermee zult uitsluiten.

Dat laatste kon nog wel eens tegenvallen. Ik blijf verre van Hyves, Twitter of Facebook. Heb er geen zin straks naast Rop Gonggrijp in de kist van "Air CIA" te zitten op weg naar de VS of Guantanamo.

Het hele verhaal van lastige gebruikers doet me denken aan de tijd dat ik moderator was van een drukke echo (~= forum) in FidoNet. (POINTS.028). Ook daar had ik wel eens een hinderlijk lastige gebruiker. Goed gesprek deed vaak wonderen, maar zo af en toe was er één die niet voor rede vatbaar was. Dan zat er uiteindelijk niets anders op dan hem uit te sluiten. Dat was niet altijd even makkelijk want het verreiste de medewerking van de sysop van het BBS via welke hij toegang had tot FidoNet. Om die medewerking te krijgen is het volgede belangrijk:

1) Stel duidelijke regels op.
2) Geef bij overtreding van de regels een waarschuwing. Bij voorkeur via private mail. Doe je het in het openbaar, dan loop je de kans dat anderen zich er mee gaan bemoeien en kan de zaak escaleren. Bij een private bericht heeft de betrokkene ook minder gezichtsverlies.
3) Geef bij herhaling nog een waarschuwing en maak duidelijk dat er na de derde waarschuwing afgesloten kan worden.
4) Ik heb overigens nooit iemand permanent uitgesloten. Altijd alleen tijdelijk. Meestal niet langer dan een week. Bij een zeer lastige user heb ik de tijd bij iedere recedieve verdubbeld. Op het laatst liep het op tot 16 maanden. Toen gaf hij het op..

Modereren is niet makkelijk. Belangrijke stelregels zijn: Wees fair, wees consequent, wees onpartijdig en wees duidelijk.
12-01-2011, 16:49 door Anoniem
Door Anoniem: mac addres iemand? en browsers hebben toch ook een eigen identificatiecode?

Voor het veranderen van het MAC adres zijn er bepaalde tools te downloaden.
Je kunt ook een andere browser gebruiken met java en javascript aan of uit.
Of men kan opstarten met een linux-live cd, of onder een vm machine.

Dus weg met je browsers identificatiecode of systeem identificatie.

Dan kun je nog instellingen wijzigen aan je systeem zelf, dus helaas gaat dat allemaal niet werken.
Tenmiste als de persoon in kwestie dit allemaal weet, en toepast.
12-01-2011, 18:12 door Syzygy
Door Anoniem:
Door Anoniem: mac addres iemand? en browsers hebben toch ook een eigen identificatiecode?

Voor het veranderen van het MAC adres zijn er bepaalde tools te downloaden.
Niet nodig, gewoon in je systeem in te stellen

Je kunt ook een andere browser gebruiken met java en javascript aan of uit.
Browser profiling gaat op basis van heel wat variabele , een nieuwe plugin laden brengt hier dus al verandering in dus niet erg zinvol voor dit doel.

Of men kan opstarten met een linux-live cd, of onder een vm machine.
of met een andere browser

Dus weg met je browsers identificatiecode of systeem identificatie.
Inderdaad , helaas - FLUSHHHhhhhhh

Dan kun je nog instellingen wijzigen aan je systeem zelf, dus helaas gaat dat allemaal niet werken.
Tenmiste als de persoon in kwestie dit allemaal weet, en toepast.

Dit wordt echt een kwestie van een "vossenjacht".
12-01-2011, 18:40 door DJ de DJ
LOL, moet je vooral doen, het MAC adres van deze bezoeker bannen. Lekker rustig wordt het dan op je forum.

MAC adressen zitten op je lokale (ethernet) niveau. Iedere ethernetframe die jij ontvangt, komt van je default gateway. Het MAC adres in dat frame is dus altijd het MAC adres van de interface van je default gateway. Blok je die, heb je dus geen verkeer meer.

Goeie ban, dat dan weer wel.....
12-01-2011, 20:47 door root
"niemand heeft het recht om andermans apparatuur in te zetten om zijn mening te uiten."

Als dat zo was, dan laat ik op iedere billboard "Ik vind Wilders een eikel" zetten.

(of word ik nou gebanned?)
12-01-2011, 22:01 door [Account Verwijderd]
[Verwijderd]
13-01-2011, 02:49 door laforge
+1 voor
- "Geef bij overtreding van de regels een waarschuwing. Bij voorkeur via private mail"
- "Laat de herrieschopper maar denken dat hij gewoon door kan posten, zonder dat hij doorheeft dat anderen zijn berichten helemaal niet meer zien"

Wat ook kan helpen is een minimale wachttijd. Als mensen een nieuwe account aanvragen komen ze bijvoorbeeld op een lijst met hun naam, email, ip, mac. Iedereen op die lijst wordt dan automatisch na 4 dagen of een week ofzo geactiveerd.
Extra voordeel van de lijst is dan dat je mensen (al dan niet stilzwijgend) kan weigeren voordat ze geactiveerd worden.

Het zou nog een stapje strenger kunnen in bijvoorbeeld een gaming community. Laat mensen bij hun account aanvraag dan een klein stukje over zichzelf typen zoals roepnaam en voorkeuren in het spel, welke tijden ze meestal online zijn en eventueel of ze zelf interesse hebben om te modereren.
13-01-2011, 10:08 door capricornus
Het forum van rorate.nl heeft enkele jaren veel last gehad met gelovigen die de puntjes op de i zetten en dus moesten verwijderd worden. Moderatoren en gelovigen hebben kat en muis gespeeld.De gelovigen zijn er uitgeknikkerd. De spelregels zijn heel streng geworden. Een aanvraag gebeurt schriftelijk en is omslachtig. Werkt fantastisch. Het forum is alle aantrekkingskracht verloren. De gelovigen komen niet terug.
13-01-2011, 11:28 door Anoniem
Goed vraag? Je kan beter je forum sluiten , waarom zou
je iemand verbannen omdat die anders is, en in jou ogen
misdaad ondergaat. Maar het kan ook wezen dat het
echt een etterbak is en geef je hem toch aan bij politie
wegens stalking van andere gebruikers.
Jij als sitebeheerder bepaald wie
op je webform iets post, maar door slim truck kan die etterbak
toch telkens weer via een andere ip adress
toch jou form bezoeken en bericht posten.
Persoon A kan ook andere pc kopen,
en overstappen op internet profider. *persoon A is
dan geestelijk niet helemaal gezond dat die zo
doet. Erg lastig. Ik zou zegen sluit je webform voor
een tijdje of controleer gescheven bericht van gebruikers,
voor ze het kunnen post op je webform. Sluit voor
een tijdje het aanmaken van een niew geregisteerd accounts!
13-01-2011, 11:36 door spatieman
Dat geloof ik niet...
13-01-2011, 12:15 door Prlzwitsnovski
Door spatieman: Dat geloof ik niet...
Wat precies niet?
13-01-2011, 17:37 door Syzygy
Door DJ de DJ: LOL, moet je vooral doen, het MAC adres van deze bezoeker bannen. Lekker rustig wordt het dan op je forum.

MAC adressen zitten op je lokale (ethernet) niveau. Iedere ethernetframe die jij ontvangt, komt van je default gateway. Het MAC adres in dat frame is dus altijd het MAC adres van de interface van je default gateway. Blok je die, heb je dus geen verkeer meer.

Goeie ban, dat dan weer wel.....


Ik zat meer te denken aan een scriptje op de webpagina.

In ieder geval iets dat bij die persoon hoort dat je kunt testen.
14-01-2011, 15:35 door rodin
Door Anoniem: Sluit voor een tijdje het aanmaken van een niew geregisteerd accounts!
Dan geef je je dus gewonnen, niet echt de heldhaftige, superadmin optie...
14-01-2011, 15:41 door Wim ten Brink
Door rodin:
Door Anoniem: Sluit voor een tijdje het aanmaken van een niew geregisteerd accounts!
Dan geef je je dus gewonnen, niet echt de heldhaftige, superadmin optie...
Klopt. Ik blijf er dan ook bij dat je het IP-adres van de overtreder gewoon moet gebruiken om een klacht over zijn wangedrag neer te leggen bij zijn provider. Maak het de provider duidelijk dat je hen verantwoordelijk houdt indien ze hun gebruiker niet tot de orde roepen.
Mocht de provider zelf niet reageren, dan kun je nog altijd een complete IP-ban doen op de reeks IP-adressen van die provider en bezoekers van die provider omleiden naar een klachten-pagina die uitlegt waarom je deze provider blokkeert.
Natuurlijk kan die vervelende gast doorgaan vanaf andere IP adressen maar ook die rapporteer je dan, en sluit je eventueel ook uit. Uiteindelijk raakt het aantal mogelijkheden voor de misbruiker toch gewoon op. Zelfs als hij op open WiFi netwerken meelift zal hij vroeg of later toch door alle locaties heen raken, zeker als je complete providers verbant.
19-01-2011, 16:05 door Anoniem
Na zo'n 11 jaar ervaring met forums kan ik stellen dat het moeilijk is daar iets tegen te doen, je zult bepaalde keuzes moeten maken.

Fatsoenlijke forumsoftware gebruiken en gratis email adressen blokkeren voor registratie en gebruiker bannen, dus account wel laten bestaan. Email verificatie gebruiken dus.
Dat maakt het niet alleen voor spammers heel moeilijk om terug te kunnen komen maar ook voor dit soort gebruikers die steeds een nieuw ip kunnen krijgen als ze dat willen.
De "voorraad" vrije adressen raakt dan snel op en mochten ze nog iets vinden heb je gelijk weer een nieuwe om bij je lijstje te plaatsen.:)

Dit heeft echter wel als nadeel dat je minder gebruikers zult krijgen. Veel mensen willen nu eenmaal graag registreren met hun hotmail of live of gmail account en hebben niets anders, of hebben dat wel maar gebruiken dat nooit.
IP bans hebben totaal geen zin bij mensen met dynamische ip's want uiteindelijk ban je dus ook onschuldigen op die wijze omdat de boosdoener zijn ip wijzigt en dat weer bij anderen terecht komt.

Een andere mogelijkheid is registraties handmatig te verifiëren. Dat is leuk voor forums waar niet zoveel registraties per dag plaats vinden, maar weer schier ondoenlijk voor forums met veel gebruikers en veel nieuwe registraties per dag.

Optie 3 is om verplicht te maken dat een gebruiker ergens eerst een paar berichten moet posten alvorens hij op de rest van het forum kan posten.
Nadeel daarvan is weer dat een gebruiker snel wat crap kan posten en alsnog zijn gang kan gaan.

Optie 4 kun je evt. combineren met optie 3 en stellen dat iemand eerst X dagen geregistreerd moet zijn alvorens hij elders op het forum kan posten. Maar ook hier is de echte kwaadwillende geduldig, de ervaring heeft geleerd dat ook spammers hier gewoon een paar maanden wachten en dan opeens beginnen.

Dus het blijft een kwestie van keuzes maken en echt uitsluitend is vrijwel onmogelijk.

Klagen bij een ISP haalt niets uit.
21-04-2011, 00:36 door Anoniem
Wat ik hier niet lees is dat, een forum een plaats is van vrije meningsuiting, en, in geval dat een forumgebruiker een andere mening heeft dan de forum beheerder, en deze er niet mee zou kunnen omgaan, de forum gebriker blokt bant o.i.d, het gelijk geen vrij forum meer is maar een diktaat word.
Erg leuk natuurlijk al de technische tips, maar het ging erom of een forum beheerder legaal een forum geregistreerde mag bannen.
Welnu, daar is inmiddels een strenge regelgeving voor in de maak, juist vanwege diktatoriaal gedrag van forumbeheerders, die geen verschil kunnen maken in het begrip openbaar.
Als iemand ,hoe goed bedoeld dan ook, een laten we zeggen liefhebbers forum van het een of ander opend, en als enige daadwerkelijke eis stelt dat een forum gebruiker zich registreerd, dan is het een openbaar forum, met alle gevolgen van dien.
In weze komt het op het zelfde neer als een toilet in een kroeg, de kroegbaas is wettelijk verplicht iedereen, zonder uitzondering, toe te laten voor toiletgebruik, zelfs als het geen klant is, want het is immers een openbare gelegenheid, en dus de toilet een openbaar toilet, wettelijk vast gelegd.
Zowel voor het forum als voor het voorbeeld de kroeg, het is geen besloten club.
Er is ook al een zaak aangespannen geweest van een geband forum gebruiker die in zijn recht werd hersteld door uitspraak van de rechter.
De forumbeheerder eigenaar had het probleem welke pet hij ophad niet in de gaten.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.