Mag ik een game op CD (ja, op CD) twee maal installeren op twee computers?

Via Reddit:

Hello, I own the physical copy (bought legally from a store over 10 years ago) of a game that (for those who never bought games during the CD era) installs the game files on the computer and allows the game to be run without disk. I was wondering: Is installing the game using the disk on a laptop A and then moving the game files on a computer B considered illegal?
In de tijd van games streamen en alles maar online is het verfrissend zo’n ouderwets aandoende vraag aan te treffen. En het is juridisch nog iets gecompliceerder dan je zou denken.

Hoofdregel van de Auteurswet is natuurlijk dat je werken niet mag kopiëren zonder toestemming. Maar we hebben daar een uitzondering op, en die heet de thuiskopie. Je mag van een legaal verkregen werk (dus niet illegaal downloaden) een kopie maken, dat is ook waar je de thuiskopieheffing voor betaalt die op je laptop en andere lege muziek- en filmopslagmedia wordt berekend. Een film mag je dus rippen van dvd naar een digitaal bestand om op je laptop af te spelen, bijvoorbeeld.

Specifiek bij software was de lobby iets succesvoller: daar geldt het recht op thuiskopie namelijk niet, zo staat expliciet in de Auteurswet (artikel 45n). Weliswaar mag je een reservekopie maken (artikel 45k) maar dat is niet bedoeld voor een apart speelbare kopie van een spel. Wat de vraagsteller wil, mag dus binnen dat kader alleen als de ‘move’ naar B bedoeld is om van laptop A over te stappen naar computer B, met name wanneer laptop A kapot is gegaan of iets dergelijks.

Als het erom gaat om het spel op twee computers tegelijk te kunnen spelen (de laptop op het werk, de computer thuis) dan kan dat alleen als de licentie het toestaat. Daarvoor zul je dus terug moeten naar de verpakking die je tien jaar geleden weggegooid hebt, of kijken of de bij installatie langskomende EULA hier wellicht wat over zegt. Sommige spelaanbieders waren redelijk inschikkelijk, dus het is niet uitgesloten.

(Het maakt niet uit of de vraagsteller het spel twee maal installeert vanaf CD of de geïnstalleerde versie op A kloont naar computer B.)

Arnoud

Hoe krijg je het voor elkaar: “Google-beleid op stalkerware was een typo”

Google heeft het beleid omtrent stalkerware in de Play-appwinkel aangepast, las ik bij Tweakers. Op dit moment staat in de regels dat stalkerware wel gebruikt mag worden om zonder toestemming partners te volgen, maar mag het tracken van kinderen niet. In het nieuwe beleid is dit omgedraaid.

Inderdaad leest de oude tekst erg raar (vervettingen van mij ter illustratie):

Stalkerware apps transmit data to a party other than the PHA provider. Legitimate forms of these apps cannot be used by parents to track their children. However, these apps can be used to track a person (a spouse, for example) without their knowledge or permission unless a persistent notification is displayed while the data is being transmitted.
Met name dat laatste is natuurlijk bizar: het mag tenzij je de persoon meldt dat je het doet. Nee, daar had een rechter ook wel van gemaakt dat die tweede ‘can’ een ‘cannot’ had moeten zijn. En de eerste leest ook raar, hoezo zou dat nooit of te nimmer kunnen? Terwijl als daar “can” staat, je een soort van legitieme uitleg krijgt over waarvoor “legitieme stalkerware” gebruikt kan worden.

Legitieme stalkerware noem je trouwens natuurlijk niet zo, ik zou eerder aan parental controls of monitoring software denken. En ja, ook in Europa mag dat in principe, je kinderen online in de gaten houden. Het is wel een glijdende schaal: bij een zevenjarige die de familie-iPad mag gebruiken is een andere vorm van toezicht gepast dan een zeventienjarige met eigen laptop en telefoon (en iCloud-account). Er zijn geen harde regels, omdat het een afweging is van privacy van het kind (een grondrecht) versus de zorgplicht voor een goede opvoeding (ook een grondrecht, van het kind). En die maak je alleen op basis van wat dit kind nodig heeft.

Voor andere categorieën gebruik kan ik niet snel een legitieme case verzinnen. Ja, heel misschien bij werknemers die met zeer gevoelige informatie werken en waarvan je wilt kunnen aantonen dat die ze niet hebben gelekt of misbruikt. Maar daar zijn genoeg andere maatregelen voor dan een volg-app op hun telefoon – plus, je zou wel gek zijn als je zulke gevoelige informatie überhaupt toelaat op iemands eigen telefoon.

Weten jullie een use case voor “legitieme stalkerware” anders dan ouder-kind monitoring? (Detectivebureaus zijn dat denk ik niet, mede vanwege de eis tot persistente notificatie bij het doelwit van onderzoek.)

Arnoud

Zullen we EULA’s in beeldschermen gewoon eens afschaffen jongens?

Via Twitter deze screenshot van een Volkswagen:

Wijzig uw privésfeerinstellingen (dat geforceerde nepnederlands alleen al) om de juiste juridische teksten te kunnen laden. Wat krijgen we nou. Ik vermóed dat men op basis van locatie andere landgebonden teksten wil tonen, want in sommige landen is het explicieter verboden om aan je navigatie te zitten tijdens het rijden dan andere, zoiets.

Als dat vermoeden klopt, dan heeft dit dus geen betekenis en mag je het negeren. Ik weet niet of dat kan, dit soort onderdelen van IT-systemen hebben de neiging in beeld te blijven tot ze zijn opgelost “want dat moet van Legal” of iets dergelijks. Maar als het kan, mijn zegen heb je.

Als het wel gaat om een juridisch bindende tekst, bijvoorbeeld een landgebonden EULA met andere regels over aansprakelijkheid of zo, dan heeft Volkswagen een probleem. Want dan zijn ze wel rijkelijk laat, de auto is al verkocht en mensen dán nog binden aan voorwaarden heeft geen enkele betekenis. Te laat.

Ook niet als mensen dan alsnog op “Akkoord” klikken. Dat argument kwam ik laatst ergens tegen – je zou dan weliswaar de voorwaarden mogen afwijzen wegens te laat, maar als jij in plaats daarvan op akkoord klikt ga je alsnog akkoord en doe je afstand van het recht ze te mogen afwijzen wegens te laat. Zoiets.

Dat zie ik niet. Dit soort systemen is ontwikkeld voor een verplicht akkoord. En in een situatie waarin je akkoord kunt vragen dit opeisen is tot daar aan toe – contractsvrijheid is in principe een ding, dus afgezien van speciale gevallen zoals de AVG is het mogelijk akkoord af te dwingen als deel van een transactie. Maar als de boel al verkocht en geleverd is dán nog eisen dat iemand op akkoord klikt, is echt onmogelijk. In juridische taal is het eenvoudigste argument dat de op rechtsgevolg gerichte wil ontbrak – men wil verder met die boordcomputer, men wil geen overeenkomst sluiten.

Arnoud

De EULA als dranghek versus de wet als verkeersbord

Blog ik vorige week over wat internetrecht is, zeg ik helemaal niets over de EULA. Opmerkelijk, want internet hangt van de EULA’s aan elkaar en die EULA’s bepalen feitelijk hoe het recht uitpakt, bepalen wat rechtens is. Tegelijkertijd is algemeen bekend dat niemand zich wat van EULA’s aantrekt. En dat geeft een raar spanningsveld, met vaak hoog oplopende discussies over hoe bindend of rechtsgeldig die EULA’s nu zijn. Merkwaardig.

De EULA of end-user license agreement komt uit de softwarewereld, waar men op zeker moment van maatwerkcontracten naar standaardsoftware overstapte en daarbij ook standaardlicenties wilde verkopen. “Software like a book”, zoals softwaremaker Borland het ooit noemde. Je kreeg rechten, vaak niet zo veel, en een zwik plichten. De in theorie simpelste vorm was het eindgebruik: je mag de software gebruiken zoals ‘ie is, en daar moet je voor betalen, aansprakelijkheid en updates bla bla, punt.

Parallel daaraan hadden online forums en dergelijke diensten ook steeds vaker behoefte aan voorwaarden. Het oudste voorbeeld dat ik ken, was Compuserve dat te maken kreeg met ongewenste/ongepaste discussies en daarom Terms of Service opstelde met wat je wel en niet mocht bespreken en op welke manier. De structuur was grotendeels hetzelfde. Met de opkomst van online softwarediensten (SaaS) kwamen die twee werelden een beetje bij elkaar, en zag je online zowel EULA’s als TOSsen opduiken. Maar de strekking is ondertussen wel gelijk: dit is wat je mag, dit is wat wij kunnen doen als jouw gedrag ons niet bevalt, aansprakelijkheid blabla juridisch bla. Nee, ik lees ze ook niet in detail meer.

Omdat er eigenlijk geen wetsartikelen zijn die regelen wat je online bij een dienst mag, zijn EULA’s voor dienstverleners van groot belang. Zo kunnen ze zelf de regels stellen, ongeveer zoals café’s huisregels stellen. Daar is op zich niets mis mee; de een wil streng zijn, de ander wat minder, en zolang je het vooraf rustig kunt lezen en beoordelen zou daar weinig mis mee moeten zijn. Bovendien, we hebben toch gewoon regels over onredelijk bezwarende voorwaarden? Vanuit dat perspectief is er lange tijd nooit echt regelgeving ingevoerd om EULA-voorwaarden aan banden te leggen.

Wat wel een essentieel verschil is met dat café met z’n bordje, is dat een EULA niet alleen maar een setje regels is. Vaak is het gekoppeld aan een stuk techniek: een EULA verbiedt het gebruik van ongepast taalgebruik, en een filter checkt je bericht op de aanwezigheid van een of meer ongepaste woorden uit een lijst. En dat heeft gevolgen: woon je dan in Scunthorpe of Lopik dan heb je pech. Bij het café kun je daar -met ongetwijfeld wat gehinnik vanaf de bar- nog wel een punt van maken, en dan is het opgelost.

Meer algemeen kom je dan bij wat Lawrence Lessig code as law noemt: software die de wet wordt. Dat begon als programmeren van de wet: we willen geen gescheld, dus we blokkeren scheldwoorden. Maar gaandeweg werd de code daarmee de wet. En haast per definitie is dat een verschraling, een verlies. Want wetten kennen nuances, uitzonderingen, beroepsmogelijkheden, spitsvondigheden, variaties. Software kent dat niet, het improgrammeren van redelijkheid en billijkheid is tot dusverre weinig succesvol gebleken.

In de praktijk geeft dat vaak frustratie. Waar je denkt dat iets mag (laat ik een filmpje van mijn circusbezoek op internet zetten, de muziek is een citaat) kom je erachter dat de software het niet toestaat (uw muziek werd geclaimd door Universal Music, sorry) én dat je vervolgens helemaal niets kan. Alsof je ergens linksaf wil en een betonblok tegenkomt bij wijze van wegafzetting. Oké, dan mocht je kennelijk die weg niet in maar wat nu als je een noodgeval hebt, een kind met stevige bloeding op de achterbank? Een verbodsbord kun je negeren in een noodgeval, een betonblok niet. Een agent heeft begrip voor dat noodgeval, een AI die je kenteken registreert en de boete uitstuurt niet.

Ik blijf me erover verbazen. Het recht is geprivatiseerd en geautomatiseerd. Maar is het nog wel het recht zoals we dat bedacht hadden?

Arnoud

Windows 10 Enterprise en Office zijn risico voor privacy ambtenaren

Via Windows 10 Enterprise en Microsoft Office verzamelt Microsoft gebruikersgegevens die het bedrijf in de VS opslaat. Dat meldde Tweakers op basis van onderzoek bij het ministerie. Deze opslag geeft een inbreuk op de privacy van de ambtenaren, plus een ieder wiens gegevens door die ambtenaren worden verwerkt. Het onderzoek werd uitgevoerd als een DPIA onder de AVG, waarbij werd gekeken naar de zogeheten telemetriedata die Windows- en Office-installaties verzamlen bij de gebruiker en doorsturen naar Microsoft in de USA. Bij Office gaat het mis: deze verzamelt een enorme hoeveelheid data, en dat is niet uit te schakelen.

Het is natuurlijk leuk en aardig dat Microsoft “telemetrie” oftewel statistieken verzamelt, maar dat is in de EU best problematisch omdat dat al héél snel onder de noemer van persoonsgegevens valt. Informatie over wat gebruiker thx1138 doet met zijn Office is een persoonsgegeven, ook al heb je niet de naam van die gebruiker of enig contactgegeven. Zelfs wanneer je aan die meetgegevens een eigen willekeurig toegekende ID hangt, val je nog onder de AVG. Dat voelt als nogal een ontwerpfout.

Met name dat “het kan niet uit” verbaast me hogelijk. Je zou zeggen dat je als bedrijf weet dat het verzamelen van gegevens over wat je gebruikers doen gevoelig kan liggen, zeker in enterprise-omgevingen (en daar hebben we het hier over). Dat is niet iets dat je met een vinkje in de EULA oplost, de belangen zijn daarvoor te groot. Dit mag gewoon niet.

Natuurlijk zal Microsoft vast ergens in de licentievoorwaarden hebben gezegd dat toestemming wordt verleend. Maar dat werkt niet op dit niveau. Software wordt ingekocht onder een groot contract, en deze afspraak moet dáár dan worden gemaakt.

Bovendien: een bedrijf of instelling mag die afspraak alleen maken als ze dat vervolgens aan haar personeel (en/of klanten) kan rechtvaardigen, en dat zie ik hier niet opgaan. Welke noodzaak binnen de arbeidsovereenkomst (aanstelling, het is ambtenarenrecht) is er om deze telemetrie aan Microsoft te verstrekken die het voor eigen doeleinden gaat gebruiken? Welk belang van Microsoft is zo dringend dat de privacy van het personeel mag worden gepasseerd? En heeft de OR wel ingestemd met die telemetrieverstrekking, dat is immers een apart recht onder de Wet OR?

Beloofd wordt om een en ander aan te passen om binnen de Europese regels te blijven, maar dat zal tot ergens in 2019 gaan duren. Dat is nogal lang, dus ik hoop dat er in de tussentijd een firewall of iets tussengezet kan worden zodat de privacy van de ambtenaren gewaarborgd blijft.

Arnoud

Vijf EULA-clausules waar je je koffie van tegen het scherm zult spugen

1. Geen iTunes voor jou, Kim Jong-Il
Ik begin met een klassieker: Apple verbiedt in de iTunes voorwaarden het gebruik van de software bij de productie of ontwikkeling van massavernietigingswapens:

You also agree that you will not use these products for any purposes prohibited by United States law, including, without limitation, the development, design, manufacture or production of nuclear, missiles, or chemical or biological weapons.

Dit is een mooi stukje cargo culting: high-end software kan onder exportverboden of dual use regelingen rondom wapenhandel en -ontwikkeling vallen. Om te voorkomen dat je software in die categorie komt, kun je maar beter je klant verbieden Dus komt er een verbod daarop in de licenties voor die software. En dat komt dan ook in de voorwaarden voor gewone software.

2. Dit verbod vervalt bij de Zombie Apocalyps
Maar deze kende je nog niet: ga je via de Amazon marketplace in hout handelen, dan geldt ook zo’n verbod tegen gebruik of handel met militaire doeleinden. Echter, dit vervalt wanneer de Zombie Apocalyps zich voor zal doen:

However, this restriction will not apply in the event of the occurrence (certified by the United States Centers for Disease Control or successor body) of a widespread viral infection transmitted via bites or contact with bodily fluids that causes human corpses to reanimate and seek to consume living human flesh, blood, brain or nerve tissue and is likely to result in the fall of organized civilization.

3. Jouw testresultaten zijn van mij
Je zou zeggen dat als je kijkt hoe software werkt, dat dan jouw toegenomen kennis is. Sommige EULA’s – zoals die van analyticspakket Crobox – denken daar anders over:

10.5 The Customer acknowledges that details of the Product, and the results of any performance tests of the Product, constitute Crobox’s Confidential Information.

Dit is juridisch bindend maar natuurlijk wel heel vervelend.

4. Tot de dood van de Koningin ons opzegt
Een Engelse softwarelicentie – die ik helaas niet mag publiceren – bevatte een wel heel aparte einddatum:

This license shall be in force for the period ending at the expiry of 21 years from the death of the last survivor of all the lineal descendants of her Majesty Queen Elisabeth II who have been born on the date of this agreement, whichever comes later.

Dit blijkt dus een in Engeland niet ongebruikelijke clausule. Onder Engels recht zijn eeuwigdurende overeenkomsten problematisch, maar door het op te hangen aan een gebeurtenis die technisch niet eeuwig hóeft te zijn zou je dat dan omzeilen.

5. Op voorwaarde van persoonlijke groei en het nemen van maatschappelijke verantwoordelijkheid De “Replace Tekst” softwarelicentie eist een zoektocht naar zingeving:

You agree to admit your own fallibility and to embrace personal growth to the benefit of yourself, and those around you.
You agree to act responsibly towards the environment and to help improve the environment however you see fit.
You agree to treat all people with respect and to help other people in whatever way you are most passionate about.

In een zakelijke context minder gek; menig inkoopcontract bij een groot bedrijf eist dat je maatschappelijk verantwoord onderneemt, geen kinderarbeid toepast, milieuvriendelijk werkt en je bedrijfsprocessen continu verbetert. Waarom dan niet je persoonlijke mentale processen?

Arnoud

Kan ik onder de AVG mijn Nintendo-landkeuze aanpassen?

Een lezer vroeg me:

Recent ben ik verhuisd van Denemarken naar Noorwegen. Na het uitpakken van mijn Nintendo Wii U bleek deze echter niet te werken, omdat het Nintendo Network ID in Denemarken was geregistreerd en volgens de EULA niet overgezet kan worden naar een ander land. Mijn beroep op het correctierecht uit de AVG – ik woon nu immers in Noorwegen – werd afgewezen omdat ik akkoord was gegaan met de EULA. Maar EULA’s gaan toch niet boven de wet?

Het klopt dat een EULA niet boven de wet kan gaan. Althans niet boven wat juristen “dwingend recht” noemen, want er is ook “regelend recht” en dat is nadrukkelijk bedoeld om contractueel anders te mogen doen. Dat je een internetbestelling binnen 14 dagen retour mag melden is dwingend recht. Dat een langlopend contract op ieder moment opgezegd mag worden is regelend recht – je kunt afspreken dat je er een jaar aan vastzit.

De AVG is dwingend recht, althans de delen die burgers rechten geven, dus een EULA kan geen bepalingen bevatten die in strijd zijn met de AVG. Doen ze dat toch, dan zal de rechter die clausule negeren.

De Nintendo Wii U EULA vermeldt dat je een ID krijgt dat gekoppeld is aan je “country of residence”, het land waar je op dat moment woont. De EULA vermeldt ook dat deze niet kan worden gewijzigd:

The Nintendo Network ID is linked to your country of residence that you indicated during the registration. If you move to another country, you may not be able to use your Nintendo Network ID (including Digital Products) and you may have to create another Nintendo Network ID if you want to enjoy Nintendo Network in this new country. If you move back to the country, in which your Nintendo Network ID was registered, you will be able to use your original Nintendo Network ID again.

Op grond van de AVG heb je het recht om onjuiste gegevens te laten rectificeren (art. 16 AVG). Als je van Denemarken naar Noorwegen verhuist, dan is een registratie “Country of residence: Denmark” vervolgens onjuist, zodat je die mag laten corrigeren. Hiervoor mogen overigens geen kosten worden gevraagd (artikel 12 AVG).

Echter, ik vraag me dan af of dit wel de informatie is die men opslaat. Gezien de tekst van de EULA gaat het om een keuze, in welk land wil ik dat mijn landgebonden Nintendo-dienst werkt. Die keuze is en blijft dan Denemarken. Het zou net zoiets zijn als vergeten je betaaldparkeren af te melden in je app en vervolgens een AVG-correctie eisen naar de werkelijke wegrijtijd. De geregistreerde eindtijd is geen fout, dat was de tijd dat je áángaf weg te rijden. Dat je feitelijk eerder wegreed en vergat de parkeeractie te stoppen in de app, is iets heel anders.

Omdat de Nintendo-dienst landgebonden is, lijkt het me legitiem dat die landkeuze niet onder de AVG aangepast kan worden. Dan forceer je langs oneigenlijke weg dat de dienst ineens EU-breed geleverd moet worden op dezelfde voorwaarden. Natuurlijk kun je erover twisten of dat laatste niet behoort de werkelijkheid te zijn, maar dat los je niet op door de AVG in te zetten.

Arnoud

Samsung bakt er niets van met algemene voorwaarden voor hun nieuwe oven

“To use my oven I have to accept terms and conditions”, klaagde Morten Nielsen recent op Twitter. De hele discussie rond die oven is interessant. Zo blijkt de oven internet op te gaan ook als je dat uitschakelt, de bedienings-app wil toegang tot je contactenlijst en de voorwaarden beperken aansprakelijkheid voor schade nogal. Spannend, want de oven kan op afstand worden bediend namelijk, inclusief voorverwarmen. En natuurlijk zit er alleen stokoude software in. Het internet der dingen wordt zo steeds meer een synoniem voor krakkemikkige prutsapparaten.

Vroeger was het nog wel eens een grap, dat je oven of je auto algemene voorwaarden zou tonen voordat je kon wegrijden. Maar de werkelijkheid heeft dit allang ingehaald: het wegklikken van zulke voorwaarden is een bekend fenomeen bij nieuwere apparatuur. Hoewel ik het zelf bij ovens nog niet heb gezien.

De voorwaarden lijken de algemene cloudvoorwaarden van Samsung te zijn, dus strikt gesproken niet die voor de oven zelf maar voor de diensten die men eraan koppelt. Wie ze leest, zal concluderen dat ze vol staan met gebakken lucht zoals gebruikelijk bij generieke cloudvoorwaarden. Er is een dienst, deze kan wijzigen, er zijn geen garanties en geen aansprakelijkheid en een heleboel meer blabla die niets wezenlijks doet.

Op zich zie ik er niets in dat de werking van de oven betreft, noch dat aansprakelijkheid voor problemen met de oven zou beperken. Dat kan natuurlijk juridisch ook niet. Wel kun je je afvragen wat er zou gebeuren als door een slechte levering van deze dienst de oven oververhit en de keuken in de fik zet. Het lijkt me dat een beetje rechtbank dan de beperking van aansprakelijkheid opzij zet, alleen is hier een complicatie dat je niet naar de rechtbank mag maar private arbitrage moet doen.

Een praktisch probleem bij deze oven lijkt me (zo te zien) wel dat je niet verder kunt zonder de voorwaarden te accepteren. En dat is precies de ergernis die dit oproept: het klopt niet maar je moet wel.

Of het bindend is, die voorwaarden accepteren, is natuurlijk zeer de vraag. Het is rijkelijk laat na het aankoopmoment, en algemene voorwaarden moeten overal ter wereld bij de verkoop worden gemeld of genoemd. Daar staat tegenover dat het de voorwaarden zijn van een aanvullende dienst die je strikt gesproken optioneel afneemt, en ze worden geboden op het moment dat je die aanvullende dienst in gebruik neemt. Dus ik denk dat er vanuit die hoek weinig aan te doen is.

Arnoud

Wat gebeurt er als een kind een EULA accepteert en dan gaat cheaten?

“De gedaagde is een cheater, en niemand houdt van cheaters”, aldus Epic Games in haar rechtszaak tegen een veertienjarige. Dat las ik bij The Verge. De zaak is op zichzelf al opmerkelijk genoeg: de jongen werd aangeklaagd vanwege het op Youtube plaatsen van videos waarin hij laat zien hoe een cheat werkt. Epic had de video weg laten halen met een DMCA notice/takedown, waarna de jongen bezwaar maakte en Epic vervolgens doorpakte met een (volgens mij zonder verder nadenken) auteursrechtzaak. De takedownclaim was mede gebaseerd op overtreding van de EULA, waar de moeder een interessant argument tegen had: hij is veertien, daar ben ik nooit mee akkoord gegaan, dus niks overtreding.

We klikken allemaal gedachteloos door EULAs heen, ongeacht leeftijd. Juridisch gezien is dat raar: je krijgt iemands algemene voorwaarden, natuurlijk ga je dat eerst goed lezen en deskundig juridisch advies inwinnen waarna je de onderhandeling ingaat om tot een wederzijds aanvaardbare overeenkomst te komen. (Niet lachen daar achterin.) Praktisch gezien schiet dat weinig op, omdat je eenvoudigweg geen ruimte hebt om te onderhandelen. Ik zou graag willen dat het anders was, bijvoorbeeld door standaardregels uit de wet net zoals bij webwinkels, maar ja.

Op het specifieke aspect van leeftijd zit er echter wél een speciale regeling: een minderjarige mag niet zomaar contracten afsluiten. Hij is handelingsonbekwaam, zoals dat heet. De ouders moeten zo’n rechtshandeling, zo’n akkoord dus expliciet bevestigen. Dat staat in artikel 1:234 BW. En daarbij geldt geen onderscheid tussen dure maatwerkcontracten en online EULAs waarbij je gedachteloos op “I agree” klikt. De enige uitzondering is wanneer de rechtshandeling gebruikelijk is voor iemand van die leeftijd.

Het gebruik van een cheat in een spel is niet per se onrechtmatig. De normale reden waarom het niet mag, is omdat het in strijd is met de gebruiksvoorwaarden van het spel. Maar wie de EULA niet heeft geaccordeerd, kan moeilijk in strijd daarmee handelen. Als de moeder dus de EULA van tafel krijgt met een beroep op haar ouderlijke macht én ze wint het argument dat het abnormaal is dat veertienjarigen met online spelaanbieders contracten sluiten, dan is zijn gebruik van deze cheat dus niet verboden.

Het Verge artikel wijst er dan op dat het mogelijk wél computervredebreuk kan zijn, omdat de jongen dan immers zonder toestemming – die stond namelijk in de EULA – zich toegang tot de server had verschaft. Dat gaat natuurlijk veel te ver. Als een meisje van 12 een dure fiets koopt en meeneemt, en de ouders vernietigen die overeenkomst, dan zeggen we niet dat dat meisje bij nader inzien de fiets gestolen of verduisterd heeft (want ze had hem zonder recht meegenomen met het oogmerk zich die toe te eigenen). De fiets moet terug, maar dat is het dan ook. Ik zie analoog daaraan dus geen argument dat de jongen strafbaar heeft gehandeld.

Ook het argument van Verge dat hij het auteursrecht overtreedt, zie ik niet opgaan. Voor dit spel moet je ook op je eigen pc software installeren, en daar had hij de cheat overheen gehaald. Die cheat verandert het spel zoals in het werkgeheugen geladen, en aanpassing van software ís in principe iets waar je toestemming voor nodig hebt. En die was er niet want geen EULA. Maar die software heeft hij legaal verkregen, hij is immers gegeven door de rechthebbende, en zonder contractueel verbod is het legaal om een cheat toe te passen. Ik zie dus zo de overtreding niet.

Natuurlijk, die leverancier heeft de software gegeven in de veronderstelling dat de persoon de EULA rechtsgeldig aanging. Maar dat is het risico van een bedrijf dat zaken doet met minderjarigen zonder ouderlijke toestemming te zoeken. Die fietsenmaker kan dus de slijtage aan die fiets niet verhalen op dat meisje of haar ouders, en Fortnite kan geen schadeclaims indienen bij deze jongen of zijn moeder om diezelfde reden.

Dat wil niet zeggen dat de rechtszaak natuurlijk nu voorbij is, want zelfs met een kansloze claim kom je nog altijd héél ver in de VS als je maar genoeg geld hebt.

Arnoud

Waarom mag een app gewoon verwijzen naar privacybeleid van derden?

Een lezer vroeg me:

Veel apps op de telefoon gebruiken analyticssoftware van derden. In de EULA en/of wordt er dan verwezen naar het privacy beleid van de derde partij en aangegeven dat ik daar moet zijn voor een opt-out. Nu vraag ik me af of dat zo wel mag. Is de leverancier van de App niet degene die dit met de derde partij moet regelen? Ik heb toch alleen een end-user overeenkomst met de leverancier van de App?

Het klopt dat je die software gebruikt onder een eindgebruikersovereenkomst (EULA) met die leverancier. Maar dat wil niet zeggen dat je dus altijd alleen maar een relatie met die partij hebt.

Een softwareleverancier mag software van derden bundelen. Dit kan gebeuren onder sublicentie – het gebruiksrecht is deel van de eigen EULA – of als aparte licenties. In dat laatste geval zou je dan ieder van die licenties apart moeten accepteren.

Meestal zal de leverancier die software van derden onder sublicentie verspreiden, zodat je geen aparte EULA per derde nodig zal hebben. Maar als die software iets doet waarbij data wordt opgeslagen of uitgelezen op je computer (terwijl dat niet technisch noodzakelijk is) dan is er desondanks toestemming nodig – dat is waar de cookiewet voor bedoeld is.

Wie precies die toestemming moet vragen, is onder de cookiewet altijd een lastige. Voor de hand ligt dat de derde dat moet doen – het is zijn analytics of andere opslag/uitlezen immers. Maar ik doe zaken met die ene leverancier en het boeit mij niet met wie hij samenwerkt, dus dan is het ook weer logisch dat hij toestemming vraagt voor zijn partners.

Als er geen toestemming wordt gevraagd, dan is het problematisch voor beide partijen, want dan overtreedt die software de cookiewet. (Tenzij het gaat om simpele first party analytics gefaciliteerd door een derde, dan is er geen toestemming nodig. Ook geen opt-out trouwens.)

Arnoud