Is het strafbaar mijn wachtwoord van online diensten te delen met vrienden?

| AE 7067 | Contracten, Hacken | 17 reacties

login-inloggen-pin-number-nummer-password-wachtwoordEen lezer vroeg me:

Het is vaak tegen de gebruikersvoorwaarden om mijn login gegevens van een digitale dienst zoals een krantenabonnement of streamingdienst met anderen te delen. Maar is het ook strafbaar? En hoe zit het als ik er een vergoeding voor vraag, zodat de ander en ik allebei de helft van het abonnement betalen?

Het is strafbaar om gebruik te maken van een betaaldienst zonder daarvoor te betalen (art. 326c Strafrecht). Het moet dan wel gaan om een “dienst die via telecommunicatie aan het publiek wordt aangeboden”, zoals betaaltelevisie. Gratis parkeren in een (private) parkeergarage valt hier niet onder.

Eis is dat je een technische ingreep pleegt (‘hacken’) of met behulp van valse signalen je toegang verschaft tot die betaaldienst. De vraag is dus of het gebruik van andermans wachtwoord telt als een vals signaal. Ik twijfel daarover, omdat elders (bij computervredebreuk bijvoorbeeld) altijd “valse signalen of een valse sleutel” wordt gebruikt, waarbij het wachtwoord als ‘sleutel’ wordt aangemerkt. Die term is hier weggelaten, is dat dan opzettelijk of niet?

Uit de wetsgeschiedenis blijkt dat het moet gaan om

enig teken dat bij de ontvanger, ongeacht of dit een natuurlijke persoon of een geautomatiseerd werk is, een gevolg bewerkstelligt dat gebaseerd is op (geprogrammeerde) veronderstellingen die onjuist blijken te zijn, terwijl degene die het teken geeft, weet dat hij met dat teken, gegeven die veronderstellingen, dat gevolg uitlokt.

In dit arrest had het gerechtshof in Arnhem er geen moeite mee het bellen vanaf andermans vaste lijn naar een 09xx-nummer (om credits op te waarderen) onder “vals signaal” te rekenen. De redenering was: het gebruiken van een valse sleutel (een identificatiemiddel) levert het geven van een vals signaal op want daardoor denkt de wederpartij dat hij met een ander te maken heeft, in die zaak de eigenaar van de telefoonlijn (waardoor die de rekening krijgt).

In dit geval is de sleutel echt want het wachtwoord hoort bij een normaal, betalend account. Maar het signaal dat je afgeeft is vals in die zin dat je je voordoet als die accounteigenaar in plaats van als een derde. En daarmee is het formeel dus strafbaar om je wachtwoord van zo’n betaaldienst te delen.

Arnoud

Nintendo ‘gijzelt’ Wii U’s totdat nieuwe EULA is aanvaard, mag dat?

| AE 7069 | Contracten | 14 reacties

nintendo-wii-u-eulaWie de nieuwe EULA voor de Nintendo WII U niet wil accepteren, kan het apparaat niet meer gebruiken. Dat meldde de EFF, die het meteen maar apparaatgijzeling noemt. Nintendo heeft onlangs een softwareupdate voor haar spelcomputer uitgebracht en wie deze installeert, krijgt een EULA voor de neus die niet te weigeren is. Pas wanneer je op “Accept” drukt, kun je weer iets doen met de console. Mogen ze dat zomaar doen?

Met enige regelmaat roep ik dat er een wet op de cloud moet komen, maar een wet over de EULA zou misschien ook geen gek idee moeten zijn. Want ja, dit is legaal onder huidig recht en er zijn slechts beperkte escapes voor mensen die geen zin hebben in de nieuwe EULA.

Het idee van algemene voorwaarden – want dat zijn EULA’s, wat er ook in de koptekst staat – is dat je ze als bedrijf eenvoudig kunt invoeren. De klant hoeft ze niet eerst gelezen te hebben, jouw enige verplichting is ze vooraf ter hand te stellen. Op papier in de gewone situatie, en als downloadbare pdf of simpele printbare webpagina in een online situatie. Daar staat tegenover dat als je ze niet juist ter hand stelt, ze niet rechtsgeldig zijn.

Overeenkomsten mag je niet wijzigen, tenzij je afspreekt van wel. En met een simpele clausule in de oude EULA (“Nintendo may change these Terms at any time”) kun je zoiets afspreken. Dit voelt nogal onredelijk, want je kunt zo mensen verlokken met een simpele eerlijke EULA en na drie maanden een verplichte update met een wanstaltig lange en eenzijdige EULA er doorheen rammen. Een specifieke wetsbepaling die dit soort dingen verbiedt, ken ik niet.

We hebben de zogeheten zwarte en grijze lijsten. Daarop staan zaken die per definitie (zwart) of meestal (grijs) onredelijk zijn. Op de zwarte lijst staat een verbod op clausules die “het recht ontneemt de door [het bedrijf] toegezegde prestatie op te eisen”. Dit slaat primair op clausules die zeggen “als we niet willen leveren dan heb je pech en mag je ons niet sue’en” maaar met enige fantasie zou je ook een verplichte “Klik hier om de overeenkomst compleet te wijzigen” hieronder kunnen rekenen. Maar enkel “je moet akkoord gaan met de nieuwe voorwaarden en tot die tijd is je apparaat gegijzeld” valt hier volgens mij niet onder.

Op de grijze lijst staat een verbod om “een prestatie te verschaffen die wezenlijk van de toegezegde prestatie afwijkt”, en ook dat kun je inzetten als de inhoud sterk wijzigt ten opzichte van wat er voorheen mocht. Maar omdat erbij staat “tenzij de wederpartij bevoegd is in dat geval de overeenkomst te ontbinden”, gaat dat hier niet werken: zeg gerust je overeenkomst met Nintendo op hoor. Alleen tsja leuke deurstopper heb je dan.

Meer algemeen geldt dat wanneer je je algemene voorwaarden wijzigt, je dat op dezelfde manier ter hand moet stellen als de originele. Op de screenshot hierboven is te zien dat dát een beetje lastig is met de Nintendo EULA. Dat is een scrollvenster met een Agree-knop, en dat is te weinig. Hoe sla ik dit op? Waar is de pdf? Dát maakt de nieuwe EULA vernietigbaar onder Nederlands recht. Maar dat is snel op te lossen met een “Click to print/e-mail these terms” knopje eronder.

Wat je eigenlijk wilt, is een verbod op het eenzijdig mogen wijzigen van algemene voorwaarden maar dat is ook weer te streng denk ik. Maar wat is dan wel een zinnig compromis? Een verbod op het wijzigen zonder een maand om te lezen en na te denken? Een verplichting de oude voorwaarden te respecteren als bedrijf wanneer men de nieuwe niet wil? Oftewel dat je alleen een nieuwe EULA bij nieuwe features mag invoeren?

Arnoud

Zijn ouders verantwoordelijk voor Facebookgedrag van hun kinderen?

| AE 7063 | Aansprakelijkheid | 12 reacties

kinderen-oppassen-bord-verkeersbord-waarschuwing.pngOuders zijn verantwoordelijk voor wat hun kinderen op Facebook doen, las ik bij de Wall Street Journal. Dat bleek uit een vonnis van een gerechtshof in de Amerikaanse staat Georgia. Het kind had een ander kind gepest, en de ouders hadden nagelaten in te grijpen terwijl ze wel hadden moeten weten dat dit speelde. Hoe zou dat bij ons gaan?

De wet is voor aansprakelijkheid van ouders in principe helder. Een kind is tot 14 jaar niet aansprakelijk voor zijn handelen (art. 6:164 BW). Ouders zijn dat wel (art. 6:169 BW), mits het gaat om actief handelen (en dus niet nalaten door het kind, bijvoorbeeld omdat het kind niet waarschuwt voor een gevaarlijke situatie in het ouderlijk huis).

Vanaf 14 jaar is het kind in principe zelf aansprakelijk, hoewel hier dan wel het kalekipprincipe opgaat natuurlijk. Voor de ouders ligt het dan iets complexer. In beginsel zijn zij aansprakelijk voor hun kind van 14 tot 16 jaar. Vanaf 16 jaar is alleen het kind aansprakelijk. Je leest wel eens dat je als ouder tot 18 of 21 aansprakelijk bent voor je kind, dat is dus niet juist. Je hebt wel een onderhoudsplicht tot 21 jaar voor levensonderhoud en studie van je kind. (En er is een wetsvoorstel tot verruiming van de aansprakelijkheid voor ouders.)

Bij dat beginsel geldt een uitzondering die ik altijd drie keer moet lezen. Een ouder is aansprakelijk voor het kind,

tenzij hem niet kan worden verweten dat hij de gedraging van het kind niet heeft belet.

Dit wil zeggen: je bent aansprakelijk voor een fout van je kind als blijkt dat jij als ouder in had moeten grijpen, maar dat hebt nagelaten. En de bewijslast ligt bij jou als ouder: jij moet bewijzen dat je niet in had moeten grijpen, oftewel dat dit gedrag van het kind binnen zijn normale vrijheid valt en daarom alleen de schuld van het kind is. Rijdt een kind van 15 iemand aan met de fiets, dan zijn de ouders daar dus normaliter niet voor aansprakelijk. Het is immers normaal dat kinderen van 15 zelfstandig fietsen en ongelukken kunnen dan gebeuren.

Is het normaal dat kinderen van 14 jaar en ouder zelfstandig Facebooken? ‘Duh’ lijkt mij het enig juridisch correcte antwoord hier. (Of misschien “Facebook is voor oude mensen, wij zitten op Snapchat of Instagram” maar ik ben oud dus dat weet ik niet.) In dat geval heb je dus niet snel een plicht als ouders om in te grijpen en is alleen het kind juridisch aansprakelijk voor wangedrag daar.

In 2009 was er een rechtszaak tegen de ouders van een vijftienjarige die auteursrechtinbreuk had gepleegd (de Cruijffclaim van vierduizend euro). Omdat de jongen niet betaalde, wilde de rechthebbende via dit wetsartikel dat de ouders dat zouden doen. Maar dat wees de rechter af:

Het gaat kennelijk om een handige jongen – zoals zoveel kinderen tegenwoordig zeer handig zijn in het omgaan met internet en alles wat met computers te maken heeft – die op deze wijze zijn liefhebberij mede vorm geeft. Dat is tegenwoordig niets bijzonders. Er zijn veel kinderen van (ongeveer) deze leeftijd die een website hebben. Het onderwerp van de site -voetbal- is onschuldig: volstrekt normaal voor een jongen van 15 jaar.

Mede gezien die omstandigheid zag de rechtbank geen reden om de ouders aansprakelijk te houden voor deze inbreuk. De vrijheid om een website te bouwen is voor een vijftienjarige “normaal” en de ouders zijn “niet tekort geschoten in hetgeen in de gegeven omstandigheden redelijkerwijze van hen kon worden gevergd.” En als een website bouwen al normaal is, dan lijkt me het updaten van je Facebook ook heel normaal.

Anders wordt het misschien als je wéét van wangedrag door je kinderen en je laat dat doorgaan. Op zeker moment komt er toch een soort van verwijt dat je in had moeten grijpen bij pesterij en dergelijke. En dan vervalt de ‘tenzij’ dat het je niet had kunnen worden verweten dat je niet ingreep. Hoewel ik me dan wel afvraag, wanneer wéét je als ouder dat je kind rare dingen doet op internet.

Arnoud

Mag een school een leerling schorsen wegens installeren van illegale iPadsoftware?

| AE 7058 | Hacken | 33 reacties

Een lezer vroeg me: De vwo-school van mijn zoon heeft iedereen een iPad in bruikleen gegeven. Handig als mijn zoon is, heeft hij er allerlei eigen software op gezet en daarbij kennelijk ‘gehackt’. Hij gebruikt een Chinese appstore en dat mag niet volgens de school. Hij moet nu de iPad binnen 24 uur in originele… Lees verder

Maakt de ‘1’ toets op je telefoon een overeenkomst schriftelijk?

| AE 7051 | Contracten | 21 reacties

Ik had ‘m gemist maar een tijdje terug bleek telecombedrijf Pretium bij TROS Radar in de uitzending te zijn geweest. Pretium ligt onder vuur omdat ze via telefonische acquisitie contracten sluit, en daarbij de schriftelijkheidseis uit de wet voor dat soort contracten creatief invult: druk op de ‘1’ toets op je telefoon om te bevestigen… Lees verder

Mag je met ‘lead forensics’ websitebezoekers opsporen en nabellen?

| AE 7039 | Privacy | 24 reacties

Een lezer vroeg me: Onlang werden wij benaderd door een bedrijf dat “Lead forensics” aanbood. Daarmee kon je heel gedetailleerd (met naam adres en telefoonnummer) zien welke bezoekers er op je site komen, zodat je concreet geïnteresseerden (leads) kon nabellen of mailen als ze direct wat bestelden. Klinkt interessant maar mag dat wel van de… Lees verder

Rijscholenvergelijker wil overheidsalternatief laten verbieden

| AE 7046 | Aansprakelijkheid | 18 reacties

De online rijscholenvergelijker Rijschoolregister.nl is van plan juridische stappen te ondernemen om een soortgelijk project van de overheid, de site Rijscholenkiezer.nl, te verbieden. Dat meldde Nu.nl onlangs. Het overheidsproject werd in september 2013 opgezet, toen Rijschoolregister.nl al ruim een jaar bestond. “We moeten het hier als twee studenten afleggen tegen een project dat 15 miljoen… Lees verder

Is Google Analytics zonder toestemmingspopup legaal onder de nieuwe cookiewet?

| AE 7044 | Privacy | 32 reacties

De Tweede Kamer is dinsdagmiddag akkoord gegaan met een minder strenge cookiewet, meldde onder meer Tweakers. Cookies die geen inbreuk maken op de privacy, zoals first-party analytics en affiliatecookies, zullen legaal worden als dit wetsvoorstel de Eerste Kamer overleeft. Waarbij de hamvraag natuurlijk is: mag dan Google Analytics ineens zonder toestemming te vragen? Al sinds… Lees verder

Inspectie legt boetes op aan Uberpop-chauffeurs in Amsterdam

| AE 7041 | Innovatie | 61 reacties

De Inspectie Leefomgeving en Transport heeft boetes opgelegd aan een viertal chauffeurs die via Uberpop taxiritjes aanboden, meldde Tweakers gisteren. Juridisch niet gek, want taxivervoer aanbieden zonder vergunning is een strafbaar feit. Maar kennelijk wel opmerkelijk omdat de taxi’s via een app zijn geboekt en de chauffeurs ook een account bij de appdienst hebben. Ik… Lees verder