Internetrecht door Arnoud Engelfriet

Een lezer vroeg me:

Hoe anoniem is het om eigenlijk jou om advies te vragen? Je ontvangt regelmatig vragen van lezers en ik denk dat hier soms ook wel eens vragen tussen zitten die indirect toegeven dat een persoon betrokken is geweest bij een (digitaal) misdrijf. Of een misdrijf heeft begaan. Ben je dan niet verplicht om aangifte te doen?

Ik heb nog nooit gehad dat iemand vrijelijk een misdrijf kwam bekennen. Wel mensen die worstelen met de vraag of een computerhack strafbaar was, maar die zijn slim genoeg om een anoniem adres te gebruiken.

Daarover aangifte doen zou ik ongepast vinden, hoewel het wel mag. (Niemand is verplicht aangifte te doen, het is alleen een recht.) Maar ik heb dan niet genoeg informatie om de politie in beweging te krijgen, en als ze dat wel doen dan gaat de vraagsteller natuurlijk gigantisch rondbazuinen dat ik niet te vertrouwen ben. Dat zou dan het einde van mijn reputatie zijn. Er is dus impliciet vertrouwen dat ik zulke dingen niet doe, en dat vertrouwen wens ik niet te beschamen. Maar zulk vertrouwen moet je wel verdienen natuurlijk.

Wanneer een strafrechtadvocaat op dezelfde manier zou gaan werken als ik, dan is het misschien goed om te zeggen dat je de vragen alleen gebruikt voor een vertrouwelijk eerste advies, en dat je altijd apart toestemming vraagt voordat je ze doorspeelt aan een derde. Met ‘derde’ houd je de ruimte open om te publiceren of om aangifte te doen.

Persoonlijk vind ik het lastiger om vragen te beantwoorden die gaan over conflicten (of conflicten-in-wording) met bedrijven die klant van me zijn. Als ik een webwinkel heb geadviseerd over het retourbeleid, en een klant vraagt aan mij of dat retourbeleid wel klopt, dan geef ik natuurlijk naar eer en geweten antwoord maar hoe weet die klant dat? Als het advies niet is wat hij zoekt, dan kan hij denken dat ik mijn klant naar de mond praat. Dat vind ik wel moeilijk.

Arnoud

Het was mij niet opgevallen, maar een lezer stuurde me dit screenshot van zijn Linkedin:

Met andere woorden, Linkedin vraagt niet expliciet een akkoord van haar gebruikers maar doet alsof voortgezet gebruik van de site mag worden gezien als akkoord. Kan dat zomaar?

In principe wel. Het Nederlands recht eist nergens dat je expliciet een handtekening zet of een vinkje voor akkoord plaatst om ergens mee akkoord te gaan. Een rechtshandeling mag op elke manier worden verricht (art. 3:37 BW), ook door een bepaalde handeling of gedraging. Zelfs stilzitten kan onder omstandigheden als rechtshandeling worden opgevat.

Het is dan ook zeker mogelijk om gebruik van een website op te vatten als aanvaarding van de (gewijzigde) voorwaarden van die website. Wel zul je mensen dan expliciet moeten wijzen op het feit dát er voorwaarden gelden, het enkele hebben van een linkje ‘disclaimer’ onderaan lijkt me daarvoor niet genoeg. Zoals Linkedin het doet, lijkt het me juist.

Ook naar Amerikaans recht trouwens. Het 9th Circuit oordeelde in 2007 dat je gebruiksvoorwaarden alleen mag wijzigen met expliciete notice naar de wederpartij. Een clausule “U dient elke week te kijken of deze voorwaarden wijzigen” werd expliciet ongeldig verklaard.

Bij geregistreerde gebruikers moet natuurlijk in de oude algemene voorwaarden staan dat je deze mag wijzigen. En de wederpartij moet dan het recht hebben om op te zeggen, anders is het wijzigingsbeding al snel ongeldig (art. 6:237 sub c BW, de grijze lijst).

Arnoud

debug=1. Een onschuldig uitziend statement, zo zou je denken. Maar in mei 2009 had het een heel wat minder onschuldig effect als het werd toegevoegd aan de URL van de vacaturesite Juristenbank.nl: er werden dan telkens maximaal 10 kandidaten, dan wel werkgevers, in willekeurige volgorde volledig onomkeerbaar verwijderd. Dat bleek een logisch bommetje van een gefrustreerde werknemer te zijn. De vraag voor het Gerechtshof Arnhem: was hierbij sprake van computervredebreuk, oftewel binnendringen op de webserver?

De verdachte was ICT-medewerker bij een bedrijf dat geavanceerde webapplicaties maakte ten behoeve van arbeidsmarktcommunicatie. Daarbij had hij een tool ontwikkeld, zo te lezen een library met handige standaardfuncties. De geweldige neutrale formulering “Een verslechterde werkrelatie lag aan het einde van het dienstverband ten grondslag” uit het arrest doet al nattigheid vermoeden, en inderdaad: na het vertrek van deze meneer bleken diverse records van werkzoekende juristen verdwenen te zijn.

Dit bleek terug te traceren tot websiteaanroepen waarvan de URL was voorzien van “debug=1″ (en soms “debug=2″), die code triggerde die het feitelijk weggooiwerk verrichte. Die code bleek geïmplementeerd met precies de tool van de werknemer met de ‘verslechterde werkrelatie’, plus de aanroepen waren vanaf zijn IP-adres gedaan. Reden dus om meneer op het politiebureau uit te nodigen, en daar vertelde hij dat hij inderdaad (”het kan zijn dat”) deze code had toegevoegd. Wat zijn verklaring daarvoor was, blijkt niet uit het arrest. Maar hij ontkende ten stelligste de destructieve code te hebben aangeroepen na zijn dienstverband. Iemand had zijn IP-adres gespooft om hem in de problemen te brengen.

Het Hof acht dat verweer “op geen enkele wijze aannemelijk”. Alleen de verdachte kende die code, en hij was de IT-guru bij het bedrijf. De code in kwestie was in productie genomen op zijn laatste werkdag, én de arbeidsovereenkomst was vanwege een verslechterde arbeidsrelatie beëindigd. Het is dan nauwelijks voorstelbaar dat een derde hiervan heeft kunnen profiteren, en dan ook nog binnen een dag nadat de code was ingecheckt in productie én vanaf het IP-adres uit de woning van de verdachte. (Het kan, maar dan komen we in serieus aluhoedjesland.) Ook speelde mee dat een specialist bij het Team Digitale Expertise had verklaard dat het na sporenanalyse

zeer veel minder waarschijnlijk dat een computer waaraan het IP adres [nummer IP adres]niet is toegewezen de sporen in de logbestanden heeft veroorzaakt dan dat de computer waaraan het IP adres [nummer IP adres] wél was toegewezen dit heeft veroorzaakt.

Deze vorm van misbruik van de website levert volgens het Hof computervredebreuk op. Er is binnengedrongen in de server dus. Oftewel, het aanroepen van een URL die niet geautoriseerd is, is binnendringen in de webserver? Een tikkeltje eng als conclusie. Ik ben geen fan van dingen strafbaar verklaren enkel en alleen omdat ze ongeautoriseerd zijn. Er moet meer zijn dan alleen “u mocht dit niet intypen” (en eigenlijk vind ik dat een adequate beveiliging een harde eis moet zijn, maar goed) voordat je de intyper strafrechtelijk gaat vervolgen.

Natuurlijk, er is data vernield, maar daar hebben we een apart wetsartikel voor: het opzettelijk en wederrechtelijk veranderen, wissen, onbruikbaar of ontoegankelijk maken van gegevens die door middel van een geautomatiseerd werk of door middel van telecommunicatie zijn opgeslagen, worden verwerkt of overgedragen, (art. 350a Strafrecht). Om dat feit te plegen, hoef je niet binnen te dringen in een computersysteem. Dit wordt subsidiair ook bewezen geacht, daar niet van.

Misschien was de achterliggende gedachte dat niet slechts de URL het binnendringen opleverde, maar de URL plus de kwade code in de webserver. Daarmee werd toegang verkregen tot de database, een plek waar een ex-werknemer (of willekeurige derde) absoluut niet hoorde te zijn. De debug-instructie was dan slechts de trigger om het binnendringen te starten. Net zoiets als een kopietje van de sleutel van de achterdeur van het bedrijfspand maken en dan daarmee naar binnen gaan.

Iemand tips om dit soort ongein tegen te houden? Wat doe je tegen een IT-er die op zijn laatste dag een logisch bommetje achterlaat?

Arnoud

Wat mag er nu wel en niet onder de nieuwe cookiewet? Die vraag kreeg ik vele malen de afgelopen week. Het was ook een onoverzichtelijk zootje, de procedure rond de aanpassing van de Telecommunicatiewet. En er is nog geen geconsolideerde tekst beschikbaar met de definitieve versie van dit wetsartikel. Je moet echt het dossier door en dat naast de apart gepubliceerde stemmingsuitslagen leggen om te zien wat nu concreet het wetsvoorstel wordt.

Het cookieartikel in de Telecommunicatiewet heeft als nummer 11.7a gekregen, en komt daarmee direct na het spamverbod. Volgens mijn reconstructie gaat het er dan als volgt uitzien (met onderstreept en doorgehaald de wijzigingen):

Artikel 11.7a

1. Onverminderd de Wet bescherming persoonsgegevens dient een ieder die door middel van elektronische communicatienetwerken toegang wenst te verkrijgen tot gegevens die zijn opgeslagen in de randapparatuur van een gebruiker dan wel gegevens wenst op te slaan in de randapparatuur van de gebruiker:

a. de gebruiker duidelijke en volledige informatie te verstrekken overeenkomstig de Wet bescherming persoonsgegevens, en in ieder geval omtrent de doeleinden waarvoor men toegang wenst te verkrijgen tot de desbetreffende gegevens dan wel waarvoor men gegevens wenst op te slaan, en
b. van de gebruiker ondubbelzinnige toestemming te hebben verkregen voor de desbetreffende handeling.

Een handeling als bedoeld in de aanhef, die tot doel heeft gegevens over het gebruik van verschillende diensten van de informatiemaatschappij door de gebruiker of de abonnee te verzamelen, combineren of analyseren voor commerciële, charitatieve of ideële doeleinden, wordt vermoed een verwerking van persoonsgegevens te zijn, als bedoeld in artikel 1, onderdeel b, van de Wet bescherming persoonsgegevens.

2. De in het eerste lid, onder a en b, genoemde vereisten zijn ook van toepassing in het geval op een andere wijze dan door middel van een elektronisch communicatienetwerk wordt bewerkstelligd dat via een elektronisch communicatienetwerk gegevens worden opgeslagen of toegang wordt verleend tot op het randapparaat opgeslagen gegevens.

3. Het bepaalde in het eerste en tweede lid is niet van toepassing, voor zover het de technische opslag of toegang tot gegevens betreft met als uitsluitend doel:

a. de communicatie over een elektronisch communicatienetwerk uit te voeren, of
b. de door de abonnee of gebruiker gevraagde dienst van de informatiemaatschappij te leveren en de opslag of toegang tot gegevens daarvoor strikt noodzakelijk is.

4. Bij algemene maatregel van bestuur kunnen in overeenstemming met Onze Minister van Veiligheid en Justitie nadere regels worden gegeven met betrekking tot de in het eerste lid, onder a en b, genoemde vereisten. Het College bescherming persoonsgegevens wordt om advies gevraagd over een ontwerp van bedoelde algemene maatregel van bestuur.

Het stuk over ondubbelzinnige toestemming was de kern van de zaak. Punt was hier dat de Europese richtlijn spreekt van ‘toestemming’ maar de ministerraad in eerste instantie koos voor “ondubbelzinnige” toestemming. Dat leverde felle protesten op, waarna het wetsvoorstel formeel werd ingediend met alleen “toestemming”.

Uiteindelijk is de wet toch aangenomen met een expliciet toestemmingsvereiste, maar dan indirect vastgelegd. De crux zit hem in het feit dat artikel 11.1(g) Telecommunicatiewet bepaalt dat onder «toestemming» in de Telecommunicatiewet moet worden verstaan «toestemming» als bedoeld in de Wet bescherming persoonsgegevens. Oftewel:

elke vrije, specifieke en op informatie berustende wilsuiting waarmee de betrokkene aanvaardt dat hem betreffende persoonsgegevens worden verwerkt;

Dat biedt iets meer ruimte dan de originele tekst die expliciet ondubbelzinnig toestemming wilde hebben. Echter, er zal wel degelijk nog iets gevraagd moeten worden. De cookieinstellingen van huidige browsers voldoen niet, zo verklaarde de minister eerder. Met name omdat ze standaard alle cookies accepteren, maar ook omdat je vaak alleen grofmazig wel/geen cookies kunt accepteren of alleen heel moeilijk de cookies van zeg DoubleClick of Facebook kunt weren. (En Flashcookies vaak al helemaal niet.)

Een sprankje hoop voor de marketingbranche:

De toestemming hoeft slechts eenmalig verkregen te worden en dus niet bij elke handeling opnieuw. De aanbieder kan die toestemming zelfstandig verkrijgen van de gebruiker, maar ook collectief. Dat laatste vergt voor de gebruiker slechts een enkele handeling, waarna ongestoord gebruik kan worden gemaakt van het internet en andere diensten. Het is aan de sector zelf om dit slim te organiseren. Essentieel is dat de toestemming ondubbelzinnig is, zoals bedoeld in de Wet bescherming persoonsgegevens.

Er mag dus niet worden gewerkt met een puur passief systeem waarbij de gebruiker zelf maar moet ontdekken of er wellicht cookies op zijn PC staan en wat daarmee gebeurt. Maar een actief systeem van informeren zodra het gebeurt in combinatie met een knop “hou daarmee op” zou er denk ik wel onder kunnen vallen.

De zinsnede “onverminderd de Wet bescherming persoonsgegevens” komt uit amendement 39 (aangenomen 21 juni) en

voorkomt dat de indruk ontstaat dat met het verkrijgen van toestemming voor het plaatsen of lezen van een cookie op grond van artikel 11.7a Tw ook een grond voor verwerking van de met deze cookie verzamelde persoonsgegevens in de zin van de Wbp ontstaat. Dat is uitdrukkelijk niet het geval.

Er moet dus naast het plaatsen van cookies apart (uitdrukkelijke) toestemming worden gevraagd voor het aanmaken van profielen en dergelijke waarmee persoonsgegevens van gebruikers kunnen worden vergaard. Het onderstreepte blok tekst (uit datzelfde amendement) legt daarbij de bewijslast ook nog eens bij de site, die moet bewijzen dat het cookie níet wordt ingezet om persoonsgegevens te verwerken. Kan hij dat bewijs niet rondkrijgen, dan wordt zijn cookie geacht wél een privacyschending op te leveren.

Uitgezonderd van dit alles zijn de cookies die vallen onder lid 3, oftewel de cookies met als doel communicatie mogelijk te maken of die noodzakelijk zijn om een dienst te leveren. Daaronder vallen volgens de minister onder meer cookies die instellingen onthouden:

Deze functie zorgt er bijvoorbeeld voor dat de door de gebruiker zelf gekozen persoonlijke instellingen en voorkeuren van een site (zoals de taal) worden «onthouden» bij het browsen binnen het bezochte internetdomein en bij herhaald bezoek aan dit domein. … zonder deze technische opslag of toegang tot gegevens, is communicatie met gebruik van voorkeuren en instellingen niet mogelijk dan wel uitermate moeilijk.

Hetzelfde geldt voor cookies die de bekende virtuele winkelwagentjes en bijbehorende transacties mogelijk maken of die onthouden dat je echt niet mee wilt doen aan die enquête over die website. Zolang deze cookies nergens anders voor worden gebruikt, vallen ze onder lid 3 en is er dus geen aparte toestemming voor nodig.

Overigens geldt de eis van toestemming niet alleen voor cookies. De minister noemde:

(flash)cookies, Java-scripts (sic), webtaps, spionagesoftware of soortgelijke programmatuur (waaronder zogeheten dialerpprogramma’s en inbelprogramma’s)

Met name de Javascripts fascineren me. Ik zie even niet hoe je met een Javascript meer kunt doen dan een dienst mogelijk maken. Worden er daadwerkelijk JS-applicaties gebruikt om gebruikers te tracken, of om überhaupt iets meer te doen dan alleen functionaliteit van de site mogelijk te maken?

Arnoud

Internetbank Bizner stopt ermee, maar op de valreep leveren ze nog een leuk vonnis over de aansprakelijkheid van een bedrijf voor misbruik van de inlogcodes rond internetbankieren.

Bizner had een bedrijf voor een kleine 40.000 euro aangeklaagd. Er waren leningen aangevraagd vanuit het bedrijf via de internetbankierapplicatie van Bizner. Voor een deel werd dit erkend, maar voor één lening van € 10.000,- stelde het bedrijf dat dit zonder toestemming aangevraagd was door een werknemer met wie ze in een conflict lagen.

De werknemer had toegang tot de BizKey, het apparaatje waarmee je inlogt op de internetbankierapplicatie. Volgens de directeur was hij echter niet geautoriseerd de lening te sluiten zonder overleg. In de voorwaarden van Bizner stond niet expliciet wat er in zo’n situatie zou moeten gebeuren. De rechtbank valt dan ook terug op de algemene rechtsregel of het te verwijten is aan het bedrijf dat deze medewerker de BizKey kon gebruiken:

Indien dit misbruik te wijten is aan gebrek aan zorg van [gedaagde], dan wordt dat in beginsel aan hem toegerekend, tenzij [gedaagde] omstandigheden stelt en bewijst die een zodanig gebrek aan zorg uitsluiten.

In dit geval bleek de werknemer in te wonen bij de directeur. De betaalrekening van Bizner werd door hen gezamenlijk op een vaste computer beheerd, waarbij de werknemer ook de beschikking had over de BizKey en daarbij behorende codes. Waarom de directeur dit toestond, wordt niet duidelijk uit het vonnis. Je gaat je dan wel achter je oren krabben als je leest dat de directeur wist dat deze werknemer een fraudeverleden had.

De rechtbank oordeelt dan ook dat het bedrijf aan te spreken is op de lening, en dat deze dus gewoon moet worden terugbetaald.

Door [persoon1] niet te betrekken in de rechtsverhoudingen met Bizner en hem daarentegen wel in de gelegenheid te stellen te beschikken over en gebruik te laten maken van de BizKey en de codes, heeft [gedaagde] het risico genomen dat jegens Bizner misbruik van zijn identiteit kon worden gemaakt en kan hem dat worden toegerekend.

Wel had men nog betwist dat Bizner een vertragingsrente in rekening mocht brengen. Deze claim was op de algemene voorwaarden gebaseerd (en was dus hoger dan de wettelijke rente). Volgens het bedrijf waren de algemene voorwaarden niet van toepassing, maar daar gaat de rechter niet in mee.

Namens Bizner is immers op de comparitie onweersproken verklaard dat het onmogelijk is om via internet een aanvraag van haar producten te voltooien zonder het aanvaarden van de algemene voorwaarden.

Helaas werd niet nader ingegaan op de vraag of die voorwaarden wel correct werden aangeboden, iets dat verbazingwekkend vaak fout gaat bij grote bedrijven. Maar ja, wie bewaart er screenshots van het algemenevoorwaardenscherm?

Dat het de werknemer was die hier de voorwaarden aanvaardde, maakt niet uit. Het bedrijf is vanwege het wanbeheer van de Bizkey en code aansprakelijk voor de gevolgen, en is dus gebonden aan die algemene voorwaarden. Bizner mag dus het bedrijf houden aan het artikel over de vertragingsrente.

Arnoud

Een lezer vroeg me:

Ik bied op internet een spel aan waarbij je moet betalen voor premiumfunctionaliteit. Vorige week kreeg ik een brief van een rechtsbijstandsverzekeraar dat ik een bepaalde dienst moet annuleren, en al het betaalde geld moet teruggeven, omdat een minderjarige de creditcard van zijn vader had gebruikt zonder toestemming. Ik heb het account geblokkeerd, maar moet ik ook geld terugbetalen? Ik heb bij registratie gevraagd of mensen 18+ zijn, en als je dat niet aanvinkt dan kun je geen account aanmaken.

Hoofdregel uit de wet is dat een minderjarige (jonger dan 18 jaar) geen contracten mag afsluiten zonder toestemming van zijn ouders. Uitzondering is als het gaat om producten of diensten die ongebruikelijk zijn voor zijn leeftijd. Een kind van tien mag dus snoep kopen bij de Jamin maar geen fiets bij de fietsenmaker. Op internet mag een tienjarige credits kopen voor Habbo Hotel of ander spelletje, maar geen webhostingpakket. Een vijftienjarige mag wel hostingpakketten afnemen want dat is vrij normaal (mits het een basic pakketje is).

Als de minderjarige iets ongebruikelijks heeft besteld, en de ouders maken bezwaar, dan draait de wederpartij in beginsel voor de kosten op. Hij moet alle aanbetalingen teruggeven en op eigen kosten alles terugdraaien. Er is een uitzondering voor het geval het geleverde de minderjarige tot daadwerkelijk voordeel heeft gestrekt (art. 6:209 BW en 6:276 BW). Hij moet dan de kosten van het geleverde vergoeden.

Plat gezegd: de minderjarige moet werkelijk iets hebben gedaan met hetgeen waarvoor is betaald. Het opnemen van een op zijn bankrekening gestort geldbedrag is een voorbeeld. Het aankopen van goederen in een online spel zou daar m.i. ook kunnen vallen. Credits vind ik een twijfelgeval - daar doe je nog niks mee. Idem voor vooruit betalen van bv. een hostingabonnement.

Soms is een schadeclaim richting de minderjarige mogelijk (Hijma p. 145). Hij moet dan onrechtmatig hebben gehandeld, bijvoorbeeld door opzettelijk te liegen of een vervalst identiteitsbewijs te laten zien. Een “Ja ik ben 18+” vakje moeten aanvinken zou daaraan kunnen voldoen, maar het is nog nooit getest in de praktijk. Essentieel is wel dat het bedrijf íets moet doen op het gebied van leeftijdscontrole. Als het bedrijf niets vraagt, kan de minderjarige niet verweten worden te hebben gelogen over zijn leeftijd immers.

Vanwege het 18+-vakje zou ik dus geneigd zijn te zeggen dat je een vergoeding mag rekenen voor de daadwerkelijk afgenomen diensten, maar niet meer. Heeft hij bijvoorbeeld een jaarabonnement genomen en komt dat na een maand uit, dan mag je 1/12e van het jaarabonnement houden - als hij gebruik heeft gemaakt van de dienst in die maand natuurlijk. Ook kosten die je daadwerkelijk gemaakt hebt bij je eigen leveranciers, mag je als vergoeding opvoeren. Het restant moet dan wel terug.

Arnoud

Een lezer vroeg me:

Anderhalf jaar geleden heb ik een HP-laptop gekocht bij een webwinkel. De laptop geeft nu (via een bootscreen) aan dat de accu nodig vervangen moet worden. De winkel geeft aan dat zij slechts 1 jaar garantie geven op de accu en verwijst me naar HP. Maar ik heb toch recht op garantie gedurende de gehele levensduur? Kan ik bij de winkel toch garantie gaan claimen of is dit een verloren zaak?

Regelmatig krijg ik vragen als deze, waarbij ‘garantie’ en ‘recht op een goed product’ als synoniem worden gebruikt. Dat is juridisch niet handig, omdat die twee dingen geheel verschillende betekenissen hebben.

Garantie (art. 7:6a BW) wil zeggen dat de klant mag eisen dat het apparaat doet wat de fabrikant of winkel zegt gedurende de garantietermijn. Een garantie “Werkt 3 jaar probleemloos” betekent dus dat u met elk probleem mag eisen dat het gratis hersteld wordt. “Een jaar garantie op verkleuringen” betekent dat u alleen bij een verkleuring in het eerste jaar herstel/vervanging mag eisen, maar als het doormidden breekt geldt de garantie niet. Garantie kan worden beperkt tot bepaalde aspecten van het product. Een garantie kan zowel door de winkel als door de fabrikant worden verleend, en de klant moet dan die partij aanspreken.

De wet (art. 7:17 BW) zegt dat u recht heeft op een product dat voldoet aan de redelijke verwachtingen. Dit wordt ook wel “wettelijke garantie” genoemd. Dit geldt voor alle aspecten van het product, en een winkel kan dit conformiteitsrecht niet beperken in de voorwaarden. Slijtage hoort bij de redelijke verwachtingen, dus een product dat slijt is geen grond om op grond van de wet te eisen dat men tot herstel of vervang overgaat. Bij een conformiteitsprobleem is altijd de winkel aansprakelijk en niet de fabrikant. (De winkel kan wel de kosten verhalen op de fabrikant.)

Van accu’s is bekend dat hun levensduur al na een jaar achteruit kan gaan. Daarmee is het verminderd laadvermogen geen grond om de wettelijke garantie in te roepen. Een accu die na anderhalf jaar helemáál niet meer werkt, lijkt me echter dan weer onder de maat. Maar ik denk dat dat afhangt van hoe intensief de accu gebruikt wordt.

In ieder geval ligt de bewijslast dat deze accu onverwacht snel stuk is, bij de klant. Alleen in de eerste zes maanden draait de bewijslast om: bij elke klacht moet de winkel bewijzen dat hier sprake is van gewone slijtage of onzorgvuldig gebruik en dat de schade dus conform de verwachtingen is.

Arnoud

Een oudere domeinnaam kan worden opgeëist door een jongere handelsnaamhouder, maar dan moeten er wel bijzondere omstandigheden zijn. Dat blijkt uit een vonnis in kort geding van de rechtbank Amsterdam over Mediavacature.nl (2006) en mediavacatures.nl (2002). Maar het volgen van volgers van de concurrent op Twitter is daarentegen niet verboden, tenzij je “op slinkse wijze” klanten van de concurrent “weglokt” door verwarring te scheppen over jouw identiteit versus die van de concurrent.

Domeinnaamhouders hebben vaak het idee dat hun oudere domeinnaamregistratie ze beschermt tegen acties van latere merk- of handelsnaamhouders. Omgekeerd denken handelsnaam- of merkhouders nog wel eens dat ze alles kunnen opeisen omdat zij een juridisch recht hebben. De waarheid ligt in het midden. De wet gaat uit van de merk of handelsnaam en bekijkt dan of daar inbreuk op gepleegd wordt. De datum van registratie van de domeinnaam kan daarbij een factor zijn, maar is op zichzelf niet doorslaggevend.

In dit geval kon de eiser aantonen dat hij vanaf najaar 2006 met de handelsnaam Mediavacature.nl (zonder s) opereerde. Hij had facturen, offertes, persberichten en dergelijke overlegd waar deze handelsnaam op stond. En zo hoort het. Handelsnaamgebruik bewijs je door daadwerkelijk met die naam naar buiten te treden. Het registreren bij de KVK helpt je niet.

De domeinnaam mediavacatures.nl dateerde uit 2002. Tussen 2002 en 2007 werd de domeinnaam echter niet als handelsnaam gebruikt, maar alleen als doorlink-URL naar mediaflex.nl. Rond augustus 2006 verschenen er stukken waarin plannen werden voorgesteld om iets te doen met die domeinnaam, maar plannen zijn nog geen handelsnaamgebruik. Je moet echt naar buiten treden en je profileren als bedrijf onder die naam. Daarmee kan de gedaagde zich niet beroepen op een ouder handelsnaamrecht.

De rechtbank, die zich overigens bevoegd achtte “omdat de gewraakte handelingen van gedaagden op het internet plaatsvinden, [en dus] tevens plaats in het arrondissement Amsterdam”, vindt dat inbreuk wordt gepleegd op het handelsnaamrecht van de eiser. De domeinnaam lijkt zo veel dat er haast wel verwarring móet ontstaan. Maar omdat men al vrijwillig het gebruik van deze domeinnaam had gestaakt en had toegezegd niet langer te opereren onder die naam, blijft het bij een verbod an sich. De domeinnaam hoeft niet te worden overgedragen.

Ook bleek de gedaagde op Twitter actief te zijn geweest met het account @mediavacatures. Daarmee werden klanten van eiser gevolgd. Dat vindt de rechtbank niet verboden:

Het volgen van de volgers van een concurrent kan dan ook voorshands niet onrechtmatig worden geacht. Uitgangspunt is immers dat het profiteren van andermans product, inspanning, kennis of inzicht op zichzelf niet onrechtmatig is, ook niet als dit nadeel aan die ander toebrengt. Dit is pas anders indien een twitteraar (al dan niet bewust) bij het publiek verwarring creëert over zijn identiteit en zodoende “op slinkse wijze” klanten van de concurrent “weglokt”.

De rechtbank vindt het echter niet meer aannemelijk dat de eiser nu nog klanten kwijt zal raken, omdat de gedaagde immers niet meer de bedrijfsnaam Mediavacatures.nl mag gebruiken. Het wordt ze wel verboden om deze handelsnaam op Twitter te voeren. En als je nu kijkt op Twitterrr dan lijkt men daaraan voldaan te hebben: bij het account staan nu duidelijkde bedrijfsnaam “MV Jobs Media” met alleen als ondertitel “@Mediavacatures on the world wide web”. Ook het logo is van MV Jobs. Niemand kan dit nog aanzien voor het bedrijfstwitteraccount van @Mediavacature.

Arnoud

Internetplatform SplinQ overtreedt niet de Wet op de vaste boekenprijs door mensen een cashback te geven bij een boekaankoop die via hun site tot stand komt. Dat blijkt uit een arrest van het Hof Amsterdam (via) in een zaak tussen SplinQ en het Commissariaat voor de Media. Daarmee wordt het vonnis vernietigd dat deze constructie juist wél in strijd met de wet verklaarde. (Maar de Telegraaf kletst uit haar nek met de stelling dat de vaste boekenprijs nu is afgeschaft.)

SplinQ exploiteert sinds februari 2008 websites waarop bedrijven adverteren ten behoeve van de verkoop van producten. De grap daarbij is dat SplinQ de advertentie-inkomsten deelt met de koper. Een cashbackconstructie (zoals dit heet) is op zich een prima regeling, alleen bij boeken ontstaat er dan een probleem. Een cashback kun je namelijk zien als een korting, maar het verlenen van kortingen op boekverkoop aan eindafnemers is namelijk alleen onder bijzondere omstandigheden mogelijk, zo blijkt uit de Wet op de vaste boekenprijs (Wvbp).

De korting werd echter niet verleend door de boekhandel, maar door SplinQ. Daarmee draait het om de vraag in hoeverre je het de boekverkoper kunt toerekenen dat deze cashback wordt verleend wanneer er via SplinQ een boek wordt verkocht. Het Hof vindt dat dit niet kan bij SplinQ, omdat de boekverkoper niets te zeggen heeft over wat SplinQ doet met de advertentie-inkomsten die het binnenhaalt.

Dat het riekt naar omzeilen van de strekking van de Wvbp, is voor het Hof geen reden deze wet dan maar om te gaan buigen:

Indien de verantwoordelijkheid van de boekverkoper zo ver strekt dat hij rekening moet houden met derden die de verkoop van boeken betrekken in een algemeen voor hun website geldend beloningssysteem, zoals hier aan de orde is, had de wet daarvoor een uitdrukkelijke grondslag moeten bieden.

En terecht. Zoals het Hof zelf ook al opmerkt, de Wvbp is een inbreuk op het Europese grondrecht van een vrij verkeer van goederen, en deze wet moet dus zo beperkt mogelijk worden toegepast. Bovendien gaat de Wvbp in principe alleen over de relatie boekverkoper-boekkoper, en in die relatie wordt geen korting verleend door de verkoper.

Een boekhandel mag dus adverteren op sites als SplinQ, ook als hij weet dat die sites een deel van de advertentie-inkomsten terugbetalen aan de koper van een boek.

Arnoud

Een Gronings bedrijf had de domeinnaam www.shoetime.nl geregistreerd voor hun bedrijfswebsite. Prima, alleen vond een bedrijf uit Panningen, gemeente Peel en Maas, dat dat inbreuk op hun handelsnaam opleverde. Zij heette namelijk óók Shoetime en beide bedrijven deden iets met schoenen. Het Gerechtshof wijst de eis af (via): de bedrijven opereren niet in hetzelfde geografische gebied. Dat de gedaagde een .nl-domeinnaam had, maakt niet dat ze in heel Nederland actief zijn.

De handelsnaam is een ietwat apart recht in de intellectuele-eigendomswereld. Je hoeft hem niet aan te vragen; het gebruik van die naam is genoeg om er bescherming voor te krijgen. En dat geldt óók als de naam beschrijvend is (in tegenstelling tot merken), hoewel je bescherming minder sterk wordt naarmate je handelsnaam beschrijvender is. En als laatste geldt de bescherming alleen daar waar je actief bent in Nederland.

In deze rechtszaak draaide het om dat laatste punt. Groningen en Panningen liggen bepaald niet bij elkaar in de buurt, zodat je moeilijk kunt spreken van twee bedrijven die in hetzelfde gebied opereren. Het enige twistpunt is volgens het Hof dan ook het gebruik van de domeinnaam shoetime.nl. Deze bleek namelijk in de praktijk tot verwarring te leiden, omdat mensen die zochten naar het Panningse bedrijf ’shoetime.nl’ intypten en dan ineens een Gronings bedrijf op het scherm hadden.

Daarover begint het Hof met een opmerkelijke overweging:

Het gebruik van een handelsnaam in en met name als een domeinnaam zal immers, nu het internet heel Nederland bestrijkt, zonder meer meebrengen dat die handelsnaam in heel Nederland niet meer gebruikt kan worden.

Anders gezegd: wie kiest er nou een handelsnaam waarvan de .nl niet meer beschikbaar is?

Maar toch is dat niet genoeg om meteen van inbreuk te kunnen spreken.

Het enkele feit dat een onderneming een website heeft brengt echter nog niet mee dat reeds daarom de bekendheid waarop artikel 5 Hnw doelt tot heel het land wordt uitgebreid en bescherming geboden dient te worden. Artikel 5 Hnw heeft dan ook niet de strekking de (regionale) bescherming die zij (de domeinnaam weggedacht) biedt, uit te breiden tot heel Nederland indien en zodra een onderneming haar handelsnaam in een domeinnaam opneemt.

De Handelsnaamwet (Hnw) is expliciet bedoeld om regionale bescherming in te voeren, en geen landelijke. Het kan dus niet zo zijn dat een .nl-domeinnaam automatisch handelsnaaminbreuk oplevert. Dat vond de rechtbank Den Bosch een tijd geleden ook (met “uit een beeldscherm komt geen bier” als argument waarom café en site verschillend zijn).

Er kan pas sprake zijn van inbreuk als klanten uit de regio van de handelsnaamhouder zaken gaan doen met de concurrent. Immers dan pas opereert de concurrent in die regio. En dat is hier niet gebeurd. Het enkele feit dat de domeinnaam verwarring kan doen ontstaan is onvoldoende om van handelsnaaminbreuk te spreken.

Terecht, lijkt me. Hoe irritant het ook is dat je domeinnaam niet meer vrij is, het handelsnaamrecht is beperkt en kan dus niet zomaar ingezet worden om de domeinnaam van een ander bedrijf in een ander deel van Nederland in te pikken.

Arnoud