Internetrecht door Arnoud Engelfriet

Via internetspellen als Farmville en Happy Harvest betalen kinderen soms tientallen euro’s voor zaken als het onderhouden van een digitaal tuintje, las ik bij Adformatie. Hoogleraar Jeugd en Media Patti Valkenburg wil paal en perk stellen aan deze praktijk, onder meer door een vernieuwde Kinder- en Jeugdreclamecode. Deze code bevat -voor zover ik kan zien- geen enkel artikel dat ziet over in-game purchases.

Zou zo’n artikel er moeten komen? Ik denk het wel, hoewel ik niet verder kom dan “dit moet gewoon niet mogen” en dat zal op iets te veel weerstand stuiten bij de gemiddelde socialemediaspelletjesaanbieder.

De huidige juridische grens biedt niet echt soelaas. In mei blogde ik over ongewenst gekochte Facebookcredits door het kind en of de ouders deze aankoop ongedaan kunnen maken.

Minderjarigen mogen dingen kopen die “gebruikelijk” zijn voor hun leeftijd. Een snoepje bij de Jamin is voor een negenjarige gebruikelijk, een nieuwe fiets niet. Voor een 15-jarige is een fiets of dure broek denk ik weer wel gebruikelijk, er zijn er genoeg die dat doen immers. Als de aankoop niet gebruikelijk is, dan kunnen de ouders deze terugdraaien en de winkel moet dat accepteren.

Bij microtransacties zoals veevoer in Farmville ligt het juridisch lastig: je kunt namelijk goed stellen dat elke transactie een aparte aankoop is en dus juridisch een apart contract. En dan kun je het niet terugdraaien: een kind van negen mag best 10 cent uitgeven aan een spelletje. Dat hij dat dan duizend keer doet, tsja dát valt buiten het bereik van dit wetsartikel.

Je kunt natuurlijk verdedigen dat het kind in feite een aankoop van duizend keer 10 cent oftewel 100 euro doet en dát is niet gebruikelijk voor een kind van negen. Maar dan moet je een constructie opvoeren waaruit blijkt dat er één overeenkomst is waarbij die 100 euro in fragmenten van 10 cent wordt besteed. En volgens mij is die er niet. Wel natuurlijk als je een berg credits vooraf koopt, dan is de aanschaf van die credits 100 euro in één keer.

De vervolgvraag is dan of het ‘gebruikelijk’ is dat een kind van negen 100 euro besteedt aan zulke credits. De hoogte van het bedrag is niet doorslaggevend. Als blijkt dat ‘iedereen’ van die leeftijd dit doet, dan is dat al genoeg om het gebruikelijk te noemen. En ik weet niet hoe veel kinderen er op Farmville zitten en credits kopen, maar dat zullen er toch al aardig wat zijn.

Arnoud

Een lezer vroeg me:

Mijn kinderen spelen op Facebook allerlei spelletjes, en gebruiken daarbij het account van mij of van mijn vrouw. Bij sommige spellen kun je via extra credits hogerop komen, maar die moet je dan kopen. Onze dochter van 9 ontdekte echter dat onze creditcardgegevens werden onthouden door Facebook, zodat ze snel voor 55 euro wat credits aanschafte. Hoger kon niet, want daarvoor hadden ze de pincode nodig. Kan ik deze ongewenste betaling ongedaan maken?

De wet (art. 1:234 BW) bepaalt dat minderjarigen niet zelfstandig overeenkomsten kunnen sluiten. Daarvoor is toestemming nodig van de ouders. Het is alleen niet handig als een kind voor elke reep chocola een briefje van zijn ouders nodig zou hebben. Daarom staat in de wet staat dat die toestemming wordt verondersteld te zijn gegeven als het een rechtshandeling is “waarvan in het maatschappelijk verkeer gebruikelijk is dat minderjarigen van zijn leeftijd deze zelfstandig verrichten.”

De vraag is dan, is het voor minderjarigen van 9 jaar gebruikelijk dat ze credits voor Facebookspelletjes kopen. Ik heb eerlijk gezegd geen flauw idee. Wie onderzoek heeft naar dit onderwerp, ik hoor het graag.

Een bijkomstig punt is hier wel dat het niet het kind is dat de aanschaf deed, maar de vader. Althans, zo zag het eruit voor Facebook. Er werd immers gewerkt vanaf diens account, en niet vanaf een account dat gekoppeld was aan de negenjarige dochter. Ik denk dan ook dat het in die situatie niet mogelijk is de aankoop te annuleren op grond van artikel 1:234 BW. Het zou wel érg makkelijk zijn voor volwassen om dan dingen te kopen en achteraf te zeggen dat het hun minderjarige kind was.

Een juridisch argument om dat te onderbouwen is dat wanneer je je kind jouw account laat gebruiken, je hem of haar in feite als jouw vertegenwoordiger aanstelt. Het kind koopt dan niets, maar jíj koopt die zaken en het kind handelt daarbij als uitvoerder in jouw naam. In die situatie is het onmogelijk om je op artikel 1:234 BW te beroepen want jij als ouder bent meerderjarig.

Het lijkt me dus handiger je kinderen een eigen account te geven, dat stevig af te sluiten tegen ongewenst gebruik en ze zelf te laten sparen voor eventuele credits.

Arnoud

Sony stelt zichzelf niet aansprakelijk in het geval een onbevoegde buitenstaander zichzelf toegang verschaft tot persoonlijke gegevens, las ik bij Nu.nl. Dat zou blijken uit de TOS van de dienst. Bij een inbraak werden persoonsgegevens en creditcardinformatie gestolen uit de databases van het Playstation Network van Sony. Hoewel het CVV-getal niet is gestolen, kan er toch misbruik worden gemaakt van de informatie omdat lang niet elke creditcard-acceptant deze code vraagt. Sony

Het is me onduidelijk of Sony dit nu daadwerkelijk heeft gezegd of dat Nu.nl (en Gamer.nl) het klakkeloos overnemen van Edge, dat de pechgehadclausule in de terms of service ontdekte:

We exclude all liability for loss of data or unauthorised access to your data, Sony Online Network account or Sony Online Network wallet and for damage caused to your software or hardware as a result of using or accessing Sony Online Network.

Kan dat zomaar? Natuurlijk niet. Een bedrijf kan haar aansprakelijkheid proberen te beperken, maar de wet (zowel in Nederland als in de Verenigde Staten) stelt daar grenzen aan. Eén van die grenzen is “opzet en grove nalatigheid”: daarvoor ben je te allen tijde aansprakelijk, ongeacht je voorwaarden.

Voor specifieke soorten datadiefstal zijn er strengere regels. Zo kent de Wet bescherming persoonsgegevens de plicht om data “adequaat” te beschermen tegen diefstal en ongeautoriseerd gebruik. Die plicht is niet in de voorwaarden weg te tekenen, en aansprakelijkheid bij schending van die plicht is niet uit te sluiten. Een probleem is wel om aan te tonen wélke schade je hebt geleden door deze schending. Ik blijf het een goed idee vinden om gewoon een vast bedrag, zeg 300 euro, in de wet te zetten als schadebedrag als er geen hogere schade is geleden. Als Sony een risico van 70 miljoen maal 300 euro loopt, vinden ze een investering in een beveiligingsbedrijf misschien wel een goed idee.

En specifiek voor creditcardgegevens is er nog artikel 7:529 BW. (Voor de mensen met e-commerce achtergrond: artikel 7:46g BW bestaat niet meer.). Dit bepaalt dat de kaarthouder slechts aansprakelijk is tot een bedrag van ten hoogste € 150 voor niet-toegestane betalingstransacties met een verloren of gestolen betaalinstrument. Uitzondering is als de kaarthouder “frauduleus of opzettelijk of met grove nalatigheid heeft gehandeld”. Het lijkt me niet dat het geven van je creditcardgegevens aan Sony telt als grove nalatigheid, dus het risico voor de Playstation-Netwerkgebruikers is beperkt.

Het blijft een goed idee om je creditcardstatements te controleren en meteen de bank te bellen als er een ongeautoriseerde transactie verschijnt. (Dit níet doen zou kunnen worden gezien als grove nalatigheid.) En misschien kun je maar beter sowieso een nieuwe creditcard aanvragen om elk risico uit te sluiten.

Arnoud

Ja, daar stond ik even van te kijken. Ik heb op diverse plekken rondgetoeterd dat het niet duidelijk is of skimmen strafbaar is. Dit vanuit de gedachte dat er pas sprake is van oplichting als er werkelijk iets wordt gekocht met een nagemaakte kaart. Maar een lezer wees me op diverse vonnissen, zoals bv. rechtbank Zwolle en eerder rechtbank Breda, waarin het wel degelijk strafbaar werd geacht om skimapparatuur voorhanden te hebben en te proberen deze op pinautomaten te installeren.

In de wet staat namelijk een apart artikel dat gewoon het namaken van een betaalpas verbiedt (art. 232 lid 1 Strafrecht):

Hij die opzettelijk een betaalpas, waardekaart, enige andere voor het publiek beschikbare kaart of een voor het publiek beschikbare drager van identiteitsgegevens, bestemd voor het verrichten of verkrijgen van betalingen of andere prestaties langs geautomatiseerde weg, valselijk opmaakt of vervalst, met het oogmerk zichzelf of een ander te bevoordelen, wordt gestraft met gevangenisstraf van ten hoogste zes jaren of geldboete van de vijfde categorie.

Er hoeft dus geen sprake te zijn van daadwerkelijk ‘bevoordelen’ of daadwerkelijk zaken kopen of rekeningen plunderen. Zolang dat oogmerk er maar is, ben je al strafbaar. Wie legitiem onderzoek doet naar kwetsbaarheden in betaalkaarten hoeft zich dus geen zorgen te maken, want zo’n onderzoeker heeft niet het oogmerk zich te ‘bevoordelen’ (wetenschappelijke roem is geen ‘voordeel’ in de zin van de strafwet).

Nu waren er in de aangehaalde zaken nog geen betaalpassen nagemaakt. Het ging zuiver om het skimmen: het aanbrengen van apparatuur waarmee de gegevens konden worden gekopieerd die nodig zijn om betaalkaarten na te maken. Daar is geen expliciet artikel voor, maar we hebben wel de algemene regel van “poging tot” in het strafrecht. Zoals dat zo mooi heet: “wanneer het voornemen van de dader zich door een begin van uitvoering heeft geopenbaard” ben je al strafbaar als pleger van een poging tot een misdrijf.

Is het ophangen van een skiminstallatie een poging tot vervalsen van een betaalpas? Ja, zegt de rechtbank Breda:

Het plaatsen van een camera op een pinautomaat, waarmee de pincodes van de ingevoerde passen kunnen worden opgenomen, kan echter volgens de rechtbank niet anders worden uitgelegd dan te zijn gericht op de voltooiing van het misdrijf skimmen. … De pincode is bedoeld om te voorkomen dat onbevoegden betalingen doen langs geautomatiseerde weg ten laste van bevoegde gebruikers. Het kopiëren van de pincodes is een wezenlijk onderdeel van skimmen. Derhalve is het plaatsen van een camerabalk op zichzelf al een begin van uitvoering van het misdrijf skimmen.

Ook de rechtbank Zwolle redeneert op die manier. In die zaak werd nog geschermd dat de verdachte zelf niet de kennis had om de passen te maken, zodat het onmogelijk voor hem zou zijn om het misdrijf te plegen. Maar nee:

De omstandigheid dat verdachte mogelijk niet over de apparatuur en kennis beschikt om zelf de volgende stap in het valselijk opmaken van de bankpassen te kunnen zetten, wat daar verder ook van zij, doet aan het oordeel van de rechtbank niets af. Blijkens de verklaring van verdachte worden deze volgende stappen immers door anderen in de organisatie uitgevoerd. Aangezien verdachte het medeplegen van dit feit wordt verweten, is het niet vereist dat verdachte zelf ook tot het daadwerkelijk valselijk opmaken van bankpassen in staat zou zijn.

‘Medeplegen’ wil zoveel zeggen als samenwerken met een ander om zo in vereniging het misdrijf te plegen. Je bent allebei evenveel dader, zeg maar. Dit is strenger dan “medeplichtig”, waarbij je alleen maar gelegenheid, hulpmiddelen of assistentie hoeft te hebben geleverd.

Beiden rechtbanken leggen een gevangenisstraf op: in Breda 21 maanden, in Zwolle 6 maanden. Wat precies het verschil verklaart, kan ik zo niet vinden. Misschien omdat in Breda er meer apparaten geïnstalleerd waren.

Update (7 december 2011) in een andere zaak wordt voor onder meer skimmen én het ook echt namaken van de passen, alsmede oplichting, een straf van negenendertig maanden cel opgelegd.

Arnoud
Foto: Paul Wiegmans.

Als u een creditcard heeft, dan moet u namelijk elke dag even controleren hoe het daarmee staat:

4.2 De Card-houder dient minimaal één keer per dag te controleren of de Card nog in zijn of haar bezit is en dient tevens de informatie van [de maatschappij] - waaronder ook het rekeningoverzicht - terstond te controleren.

Dat blijkt uit de algemene voorwaarden (overigens in Ieniemienieletters) die voor VISA, Mastercard en enkele andere bedrijven gelden.

Op zich is het natuurlijk een goed idee om regelmatig te controleren of er geen misbruik van je kaart wordt gemaakt, maar om dat nu als contractsvoorwaarde op te nemen gaat misschien een beetje ver. Zeker nu in de voorwaarden rond misbruik en diefstal staat:

6.1 Als de Card-houder een redelijk vermoeden van misbruik van de Card, de pincode en/of overige gepersonaliseerde veiligheidskenmerken heeft, bijvoorbeeld uit het rekeningoverzicht, dient de Card-houder dit zo spoedig mogelijk telefonisch aan ICS te melden.

en iets daaronder

Uitsluitend indien de Card-houder frauduleus heeft gehandeld of sprake is van opzet of grove nalatigheid aan de zijde van de Card-houder, draagt de Card-houder alle verliezen als gevolg van verlies, diefstal of misbruik … Van grove nalatigheid is in ieder geval sprake indien de Card-houder één of meer verplichtingen uit hoofde van de artikelen 4, 5.1 en 6.1 niet is nagekomen.

En ja, dat leest u goed: u bent aansprakelijk voor alle onterechte afboekingen die u had kunnen voorkomen als u elke dag uw creditcard-statement zou hebben gecontroleerd.

Nu valt er misschien nog wel een mouw aan te passen omdat je onterechte afboekingen kunt laten storneren (deze voorwaarden hebben het zelfs over “13 maanden na de valutadatum” terwijl ik dacht dat het één maand was). Maar toch denk ik dat het in het algemeen wat te kort door de bocht is om te zeggen “als u niet elke dag uw afboekingen controleert, verliest u elk recht van claimen”.

Arnoud

Creditcardbetalingsbedrijf PaySquare is niet verplicht haar diensten aan pornobedrijf Cybermedia te leveren. Dat blijkt uit een vonnis van de rechtbank Utrecht van afgelopen week. PaySquare was erachter gekomen dat Cybermedia onder andere dierenporno verspreidde (hoewel daar niet voor betaald hoefde te worden), en voerde toen eenzijdig een contractswijziging door dat “goederen/diensten aanbieden die de goede naam en faam van PaySquare dan wel de Card Schemes kan schaden” verboden is en tot contractsopzegging kan leiden.

Cybermedia vocht deze wijziging aan maar krijgt nul op het rekest van de rechter. In de originele overeenkomst stond duidelijk dat PaySquare deze eenzijdig mocht wijzigen, en daar zit je dan als bedrijf gewoon aan vast. De rechter oordeelt dat Cybermedia niet kan zeggen dat ze gedwongen was (art. 3:44 BW) om met de wijziging in te stemmen, al was het maar omdat niet vaststaat dat PaySquare wist dat ze hiermee Cybermedia onevenredig zou treffen.

Ook het verweer dat zo’n verbod op “diensten die de goede naam kunnen schaden” tegen de redelijkheid en billijkheid is, gaat niet op:

De creditcardmaatschappijen mogen hun beleid wijzigen en het staat hen in beginsel ook vrij om te besluiten hundiensten niet (langer) te verlenen voor specifieke transacties. Daarvoor is op zich niet vereist dat zij schade lijden of anderszins benadeeld worden door die specifieke transacties. PaySquare mag vervolgens gelet op haar rol als tussenschakel in het betalingsverkeer met creditcards en haar contractuele verplichtingen ten opzichte van zowel Cybermedia als de creditcardmaatschappijen zulke beleidswijzigingen ook in haar overeenkomsten met merchants verwerken, ook als dat ingrijpende gevolgen voor de merchant heeft

Op zich snap ik dat PaySquare zo’n wijziging door mag voeren, zij zijn immers niet meer dan een tussenschakel. Maar ik had dan wel wat meer woorden verwacht over de vraag of een creditcardmaatschappij zomaar hun beleid mag wijzigen. Die bedrijven hebben immers een aanzienlijke machtspositie als het gaat om betalingen op internet.

Wat hier wel meewoog is dat het beleid over een periode van ruim drie jaar herhaaldelijk is aangepast. Cybermedia had daar rekening mee kunnen houden, aldus de rechter, en op zoek kunnen gaan naar alternatieven. Nu ze dat nagelaten heeft, is het jammer maar helaas dat ze nu geen creditcardbetalingen meer kan krijgen.

In 2004 kwam de rechtbank Utrecht in een andere zaak tot een vergelijkbaar oordeel, en in 2007 mocht Visa ook weigeren creditcarddiensten te leveren aan Cybermedia (wie het vonnis heeft: graag).

Update (31 januari 2011): de Hoge Raad verwerpt alle cassatieklachten van Cybermedia omdat ze onvoldoende onderbouwd zouden zijn. Jammer!

Arnoud

Perfect 10, de pornoboer met de vele rechtszaken, heeft onlangs een zaak verloren waarin ze probeerde creditcard-maatschappijen aansprakelijk te houden voor inbreuk op auteursrecht door betaalsites. Dat meldt de Register:

Perfect10, which touts its products as featuring “tasteful copyrighted images of the world’s most beautiful natural models,” sued Visa, MasterCard and others after sending repeated notices that some of the websites receiving credit card processing services from the financial institutions contained stolen Perfect10 images.

The court dismissed Perfect10’s contributory copyright claim after determining that the credit card companies had neither materially contributed to nor induced the infringing behavior. Since, the court argued, Visa and MasterCard did not use their payment processing systems to locate, transmit, alter or display copyrighted works, they did not contribute to the infringement.

In de Verenigde Staten kent men naast de “gewone” inbreuk op auteursrecht ook afgeleide varianten. Een “contributory infringer” is iemand die weet van de inbreuk en deze ook nog eens actief steunt. Bijvoorbeeld door de apparatuur te leveren waarmee het kan. Sony werd destijds onder dit leerstuk aangepakt toen ze de Betamax-videorecorder op de markt brachten, maar werd vrijgesproken omdat de videorecorder “substantial noninfringing uses” had en daarmee niet de inbreuken actief steunden. Filesharing bedrijf Grokster ging daarentegen hiermee nat omdat hun software vooral gericht was op het uitwisselen zonder toestemming.

Een “vicarious infringer” weet van de inbreuk en heeft de mogelijkheid om deze te stoppen. Bijvoorbeeld de organisatie van een computerbeurs: die kunnen een kraampje sluiten als daar illegale DVD’s worden verkocht. Doen ze dat niet, dan zijn ze in de VS aansprakelijk voor de inbreuk door die verkopers.

Het argument hier was dus dat de creditcard-maatschappijen onder een van deze varianten moest vallen, omdat zij immers inbreuk steunen door de betaling mogelijk te maken. Bovendien kunnen ze het stoppen: weiger je medewerking, en de inbreukmaker gaat vanzelf failliet.

Het 9e Hof vindt dit echter wel erg vergezocht. Je moet immers meehelpen aan de inbreuk zelf, en niet alleen maar in het algemeen samenwerken met het bedrijf:

The credit card companies cannot be said to materially contribute to the infringement in this case because they have no direct connection to that infringement. Here, the infringement rests on the reproduction, alteration, display and distribution of Perfect 10’s images over the Internet. Perfect 10 has not alleged that any infringing material passes over Defendants’ payment networks or through their payment processing systems, or that Defendants’ systems are used to alter or display the infringing images.

Je bent pas aansprakelijk als je op een of andere manier meehelpt aan de verspreiding van de inbreukmakende materialen zelf. Een online betalingsmogelijkheid doet dat niet. Die heeft net zo veel te maken met de dienst die verkopers leveren als bijvoorbeeld het electriciteitsbedrijf of de cateraar.

Arnoud

Security.NL bericht over een Russische webshop met wel heel lage prijzen, tot wel 20% van de nieuwprijs. En dat is geen typefout-OTTO-style maar de werkelijke prijs.

Op de vraag waarom de online winkel zulke lage prijzen hanteert geeft de webshop het volgende antwoord: “Het is erg eenvoudig. We kopen deze producten in Westerse landen met gestolen creditcards. Je loopt geen enkel risico als je deze producten koopt.” Niet alleen vindt de webshop het geen enkel probleem om haar handelswijze op deze manier bekend te maken, het zoekt zelfs partners die naar de winkel willen linken.

Arnoud