Papieren treinkaartje hoeft niet meer, vanwege incheckdisplay

| AE 7018 | Privacy | 26 reacties

ov-chipkaart-paal-inchecken-saldoHet papieren treinkaartje hoeft niet terug te keren, meldde Nu.nl onlangs. De Nederlandse Spoorwegen (NS) moeten op verzoek wel laten zien welke reis de reiziger op zijn OV-chipkaart heeft staan. Dat blijkt uit een uitspraak van de hoogste rechtbank voor sociaal-economisch bestuursrecht, het College van Beroep voor het Bedrijfsleven. Hoewel Europese regels eisen dat een OV-reiziger zijn reisrecht kunnen controleren, voldoet de NS omdat je bij de incheckpaal en bij de conducteur inzage kunt krijgen in dat rechter.

Een ICT-er was naar de rechter gestapt met de eis dat het papieren treinkaartje moest blijven, omdat je met de ov-chipkaart geen objectief bewijs hebt dat je legaal mag reizen. En dat is wél verplicht van Europese Verordening 1371/2007. Bij een elektronische kaart is dat een probleem, want het is niet echt mogelijk een identiek resultaat neer te zetten als met een papieren vervoerbewijs. Maar, zo staat in die Verordening:

De voor de registratie en bewerking van de gegevens gebruikte procedures moeten uit functioneel oogpunt gelijkwaardig zijn, in het bijzonder wat betreft de bewijskracht van het vervoerbewijs (…)

Hoe kun je nu het bewijs dat je mag reizen halen met een ov-chipkaart? Het College noemt vijf manieren:

  1. op het display van een incheckpaal of –poortje ziet de reiziger, zeer kort, dat hij tot de reis is toegelaten omdat er voldoende saldo is, de klasse waarmee wordt gereisd en of er al dan niet een voltarief wordt berekend;
  2. bij een kaartautomaat op het station kunnen op het display de laatste tien transacties ingezien worden;
  3. bij een NS-servicebalie kan om een papieren uitdraai van de NS-transacties gevraagd worden;
  4. via internet kunnen transactiegegevens worden opgeroepen indien de houder van de OV-chipkaart daarvoor een account heeft aangemaakt;
  5. op het uitleesapparaat van de conducteur is zichtbaar of is ingecheckt, het station waar is ingecheckt, de inchecktijd, de klasse waarmee wordt gereisd, alsmede gegevens over een eventueel op de kaart geladen reisproduct (bijvoorbeeld een bepaald soort abonnement).

Is dit nu genoeg? In principe ja, zegt het Cbb: je kunt (optie 3) naar een servicebalie gaan en die printen het voor je uit. Maar ben je op reis, dan is dat geen optie. Dan ben je afhankelijk van de conducteur (optie 5) en dan moet je maar hopen dat die meewerkt. De NS zegt toe dat ze hier de conducteur over zullen instrueren, maar bij Nu.nl meldt Rikus Spithorst (reizigersbelangenorganisatie ‘Voor Beter OV’ ) dat de conducteur “meester is in het onvindbaar zijn”. Dat wordt dus nog wat.

Voor mij voelt het bepaald onbevredigend: niemand gaat werkelijk naar de servicebalie om te zien of hij ingecheckt is. En in de drukte van de spits kun je gemakkelijk het piepje van de incheckpaal missen, en daar sta je dan als vertwijfelde reiziger. Ja oké ik heb een laptop bij me en zou dus kunnen zien of ik ingecheckt ben, maar het voelt alsnog wat om een laptop mee te moeten nemen om informatie te krijgen die vroeger gewoon op een stukje papier staat.

Arnoud

Wie is aansprakelijk voor niet-genoemde actievoorwaarden?

| AE 6976 | Contracten, Webwinkels | 5 reacties

Onlangs las ik over een cashbackactie van Logitech die via Bol.com werd gemeld:

logitech-cashback-bol

Drie halen, twee betalen. De topicstarter bij Tweakers had vervolgens drie dezelfde Logitech-producten besteld in de hoop op twee betalen, maar hij kreeg bij navraag bij Logitech het teleurstellende antwoord dat dit alleen gold bij bestelling voor drie verschillende producten. Maar dát stond er niet bij in de actievoorwaarden die bij Bol.com waren vermeld.

Algemene voorwaarden – en dus ook actievoorwaarden – moeten voor of bij het sluiten van de koop worden gemeld. Pas achteraf voorwaarden melden is dus gewoon te laat: die voorwaarden gelden niet, dikke punt voor je.

Natuurlijk is het vervelend voor een leverancier als Logitech als haar acties zonder volledige voorwaarden worden verspreid door partners. Maar dat moeten zij onderling oplossen. De wet zegt dat wanneer iemand anders mededelingen namens jou doet, de wederpartij daarop mag vertrouwen als jij de indruk hebt gewekt dat die iemand anders uit jouw naam mag spreken. Dit ziet er in alles uit als een officiële actie van Logitech, en dus mag de consument erop vertrouwen dat de actie correct is.

En ja, de consument had in theorie de voorwaarden op de website van Logitech kunnen ontdekken. Daar stond wel correct in beschreven dat men drie verschillende producten moet bestellen. Maar dat is niet hoe het werkt. De regels van algemene voorwaarden zeggen dat degene die ze wil hanteren, moet zorgen dat ze ter hand worden gesteld bij de wederpartij. Zelfs zeggen waar je ze kunt vinden is (normaal) niet genoeg: ze moeten meteen bij het aanbod bijgesloten zijn.

Gelukkig liep het hier goed af: Bol meldde enkele dagen later dat de actie ook gaat gelden voor drie dezelfde producten.

Arnoud

Acht ton boete voor reclamemails wegens ontoereikende toestemming

| AE 7011 | E-mail | 4 reacties

daisycon-optin-email-spamDe Autoriteit Consument & Markt (ACM, voorheen OPTA) heeft acht ton boete opgelegd aan affiliatenetwerk Daisycon voor haar betrokkenheid bij het op grote schaal versturen van spamberichten. Het bedrijf had tussen oktober 2009 en juli 2011 enkele miljoenen reclamemails verstuurd op basis van de bekende zin “aanbiedingen van dit bedrijf en (geselecteerde) partners”. En de ACM oordeelt nu volstrekt terecht dat die zin zinloos is: opt-in voor mail moet specifiek en dat vereist zeggen wie de partners zijn. De zogeheten coregistratie is niet rechtsgeldig.

Daisycon is een affiliatenetwerk: men bemiddelt tussen adverteerders en websites. Websites die advertenties laten zien, krijgen een vergoeding als er bezoekers of concrete leads naar de adverteerder worden geleid. Naast websites konden ook reclames per mail worden gedaan. Zo werden per mail nieuwsbrieven als als de Nationale Consumenten Enquête rondgestuurd, met daarin advertenties voor Daisycon’s adverteerders.

De ACM oordeelt nu dat die mails ongevraagde commerciële communicatie zijn, oftewel dus spam, waarvoor geen toestemming is gegeven. En nou ja er stond wel een vakje bij (zie boven) waar het woord ‘toestemming’ in staat maar daarin werd verwezen naar ‘partners’ en als generieke term is dat onvoldoende.

In het onderzoeksrapport laat de ACM zien dat dit vér gaat. Ook als je wel degelijk partijen noemt, is het niet genoeg: de “en overige partners” wordt Daisycon stevig aangerekend zelfs nu deze niet wordt gebruikt. Bovendien

… nu de gebruikte privacy statements doorgaans geen uitputtende lijst bevatten, maar ook vermelddendat mogelijk andere derdenof niet nader gespecificeerde “partners” of “adverteerders”onderdeel uit maakten van de geselecteerde bedrijven. Hierbij moet worden opgemerkt dat Daisycon heeft verklaard dat zij geen gegevens daadwerkelijk heeft uitgeleverd aan partijendie niet bij naam waren opgenomen in het privacy statement. Dit laat echter onverlet dat het privacy statement niet uitputtend was en derhalve is een dergelijke bepaling onvoldoende specifiek.

Betekent dit nu dat in de vráág zelf de partners genoemd moeten worden? Het is juist dat je niet met een privacystatement kunt volstaan maar als ik een lijst heb met twintig partners dan moet het toch duidelijk zijn als ik zeg “klik hier voor de partners”?

Waar het ook misging, was dat de genoemde partners niet zelf reclame stuurden maar dat deden namens weer anderen. En dan gaat het inderdaad mis: toestemming is partijgebonden en kan niet worden overgedragen, verhuurd of verkocht.

Dat Daisycon de bestanden met mailadressen heeft ingekocht bij anderen, maakt voor de ACM niets uit. Terecht. Ook al staat er in je contract dat de leverancier van alles garandeert, dat is gewoon niet genoeg. Hooguit kun je met zo’n contract de boete dan verhalen op de leverancier. Maar je blijft zelf verantwoordelijk voor gebruik van aangekochte mailadressen.

In sommige gevallen hadden adverteerders in de enquêtes gesponsorde vragen laten opnemen: “Wil je lid worden van ons netwerk van 1900 aangesloten webwinkels”? Dat lijkt specifiek en duidelijk, maar er stond niet bij wie dit dan waren, hoe vaak je de mails zou krijgen en waar dit dan over zou gaan. En oh ja, je kreeg ook mails van dat netwerk als je “nee” had gezegd. Auw.

Ook op het gebied van opt-out ging het mis. Meerdere bij Daisycon aangesloten partijen konden hetzelfde mailadres gebruiken, maar wie zich wilde afmelden kon dat slechts per nieuwsbrief. Er had ook een algemene opt-out moeten zijn voor álle nieuwsbrieven van aangesloten partijen.

Daisycon gaat in hoger beroep dus het is afwachten wat overeind blijft maar mij doet de uitspraak stevig en duidelijk aan. De geschetste praktijken zijn populair bij e-mailmarketeers maar buitengewoon irritant voor ontvangers. Het legt wel de bijl aan de wortel van handel in e-mailadressen, maar misschien moet dat ook maar eens gewoon kappen. (Haha, kappen en wortel.)

Arnoud

Mag je de Shellshock-kwetsbaarheid gebruiken om die kwetsbaarheid te repareren?

| AE 7008 | Beveiliging, Hacken | 23 reacties

Een recent ontdekte softwarekwetsbaarheid laat aanvallers code injecteren in de Bash-shell, die door OS X en vrijwel alle Linux-distributies wordt gebruikt. Dat meldde Tweakers woensdag. Door de kwetsbaarheid kun je op afstand code laten uitvoeren op systemen die met die shell werken. Een slimme lezer mailde me vervolgens: wat nu als die code geen kwade… Lees verder

Mag mijn werkgever structureel chatberichten monitoren?

| AE 7002 | Arbeidsrecht, Privacy | 13 reacties

Een lezer vroeg me: Op mijn werk gaat het hardnekkige gerucht dat het management monitort wat we met elkaar bespreken via Lync, het chatprogramma dat onderdeel is van Microsoft Office. Stel dat dit waar is, wat kunnen we daaraan doen? In theorie zou het gerucht eenvoudig te verifiëren moeten zijn. Om ICT-handelingen van werknemers te… Lees verder

Is Googles Eemshavens datacenter nou privacytechnisch spannend?

| AE 6999 | Internetrecht, Privacy | 8 reacties

Google gaat in de Eemshaven in Groningen een enorm datacenter bouwen., las ik bij NRCQ. Het datacenter zal zo’n 150 banen in Nederland opleveren en vertegenwoordigt een investering van minstens 600 miljoen euro. Waarop iedereen dacht: ja maar wacht eens, valt dat datacentrum niet onder Amerikaanse (privacy- en andere) jurisdictie? Althans, als ik mijn inbox… Lees verder

Vodafoneklanten mogen abonnement wijzigen vanwege torenhoge rekeningen

| AE 6988 | Contracten | 29 reacties

Vodafone-klanten met oude abonnementen mogen deze omzetten naar abonnementen van een nieuw type, waarbij de internetsnelheid na het bereiken van de datalimiet wordt verlaagd. Dat las ik bij Nu.nl. De provider nam deze stap na negatieve publiciteit bij TROS Radar, waarin klanten klaagden dat ze torenhoge rekeningen kregen zonder dat duidelijk werd hoe zij hun… Lees verder

Recht vergeten te worden geldt niet bij strafrechteljke veroordeling

| AE 6985 | Meningsuiting, Privacy, Zoekmachines | 19 reacties

Het recht om vergeten te worden, dat gebruikers irrelevante en verouderde informatie uit zoekmachines laat verwijderen, geldt niet voor een zware crimineel die daarom vroeg. Dat meldde Tweakers vrijdag naar aanleiding van een kort geding te Amsterdam. De man wilde dat Google verschillende links die verwijzen naar websites (waarop informatie staat over de veroordeling van… Lees verder

Zijn webwinkels verplicht een klantaccount te verwijderen?

| AE 6983 | Webwinkels | 11 reacties

Een lezer vroeg me: Zijn webshops verplicht mijn account (inclusief orderhistorie) te verwijderen indien ik daar als klant om vraag? Een account bij een site of dienst is een verzameling persoonsgegevens. Ze bevatten immers gegevens die over de eigenaar gaan: contactinformatie, maar ook gegevens over bestellingen en mogelijk ook betaalinformatie. De Wet bescherming persoonsgegevens bepaalt… Lees verder

Komt er een einde aan het Amerikaanse softwarepatent?

| AE 6974 | Octrooien, Software | 9 reacties

Gaat de Alice-uitspraak van het Amerikaanse Supreme Court een einde maken aan de beruchte vage en brede Amerikaanse softwarepatenten? Die intrigerende vraag stekde Vox, dat meldde dat sindsdien maar liefst elf softwareoctrooiinbreukzaken zijn afgewezen met een beroep op deze uitspraak. Elf klinkt als weinig maar gezien het aantal softwarepatentzaken en de korte tijd sinds het… Lees verder