Schade Archives - Ius Mentis

Een rondgemaild Excelbestand kan je zomaar 250 euro per persoon kosten van de AVG

Geplaatst op 17 maart 202214 maart 2022 in Privacy, 14 reacties

Het standaardvoorbeeld van een “datalek in het klein”: een Excelbestand met een berg mensen hun gegevens, rondgemaild naar die hele berg. Ergerlijk, vervelend maar “in het klein” want het zal zelden meer zijn dan een paar honderd mensen en gaat meestal om basale gegevens. Zoals je naam, 06 en huisadres naar de dertig mede-ouders van de schoolklas. Maar wat nu als het gaat om 1100 mensen en dan ook je jaarinkomen, eigen vermogen en hypotheek van een te kopen huis? Dat kan dus 250 euro kosten, aldus de rechtbank Rotterdam.

Aanleiding was het nieuwbouwproject ‘Koningskwartier’ in Zevenhuizen in 2021. Ongeveer 1100 mensen hadden zich met interesse gemeld, en daarbij allerlei financiële gegevens verstrekt zoals gewenste koopsom, maximaal te lenen bedrag en jaarinkomen, naast natuurlijk naam en contactgegevens. En toen kwam een dikke vinger:

Op 12 april 2021 heeft [gedaagde] een e-mail verzonden aan alle personen die zich hebben ingeschreven voor het project Koningskwartier. Bij deze e-mail heeft [gedaagde] een onbeveiligd Excelbestand gevoegd met daarin de gegevens van alle ongeveer1100 personen die zich hebben ingeschreven voor het nieuwbouwproject.

Auw. Ja, een minuut later probeerde men dit in te trekken maar dat werkt eigenlijk nooit buiten de eigen organisatie. Datalek dus. Diezelfde avond is iedereen nagemaild met de vraag het bestand te wissen, maar dan is het kwaad natuurlijk al geschied.

Een van de getroffenen ondervoer naar eigen zeggen zo veel overlast dat hij een nieuwe mobiele telefoon moest aanschaffen. De kosten daarvan (750 euro) claimde hij als schade bij de organisatie. Die wilde dat niet betalen, waarop een rechtszaak ontstond. Kern van die zaak was natuurlijk hoe je de schade nu precies onderbouwt. Die 750 euro wordt bijvoorbeeld afgewezen, omdat een nieuwe telefoon het probleem niet oplost (immers met nummerbehoud overgestapt) en het nummer van de man bovendien op onder meer zijn Linkedin vermeld stond.

Eerder hadden we een duidelijke afwijzing, geen 500 euro schadeclaim enkel omdat de AVG is geschonden. Je moet nog steeds aantonen dat er schade is. Dat lukte in één zaak, omdat het daar ging om medische gegevens en het dan “voor de hand lag” dat dit tot schade zou lijden. De rechtbank hier noemt deze zaken niet, maar lijkt wel hetzelfde te redeneren: omdat het gaat om gevoelige financiële gegevens die ook nog eens bij (waarschijnlijk) toekomstige buren terechtgekomen zijn. Dan is schade (reputatieschade, lastig gevallen worden met verzoeken om geld, kwetsbaarheid) wel te voorzien. Daarom kent de rechtbank hier 250 euro schadevergoeding toe.

Een kleine opsteker dus weer voor al die mensen die dachten dat schadevergoeding er onder de AVG niet in zit. Het kan wel, maar het moet wel echt om een pijnlijk datalek gaan. En hoe je dat precies onderbouwt, dat blijft nog onduidelijk.

Arnoud

Een laptop met illegale software, is die nonconform eigenlijk? Joh!

Geplaatst op 9 november 20214 november 2021 in Ondernemingsvrijheid, 10 reacties

Stel je bestelt bij een klein IT-bedrijf een tweedehands laptop met het verzoek er software voor “tekeningen voor metaalconstructies” op te zetten, zodat je als zzp’er direct kunt gaan werken. Oh ja, en het mag 150 euro kosten. Zou je dan gek opkijken als er op zeker moment claims van de rechthebbende op die software komen, mede omdat de echte versie 6000 euro kost en een phone-home functie heeft? Afgaande op dit arrest komt dat voor, met daarbij dus de vraag of er geleverd is wat er besteld was.

De discussie bij de rechter spitste zich toe op wat er nu besteld was: een laptop geschikt voor ~~AutoCAD~~ Solidworks, een laptop met een trial zodat je kon zien dat die software erop zou werken, een laptop met een illegale (gekraakte) full versie of een geheel legale full versie? Het bedrag van 150 euro maakt dat laatste een tikje onwaarschijnlijk, maar het idee van een trial versie is misschien zo gek gedacht nog niet. Hoewel, de Nederlandse distributeur in de mail:

De enigen die ene trialversie kunnen regelen bij [softwarebedrijf] in NL zijn: [licentiebedrijf] , [naam 1] en [naam 2]. Dit is niet bedoeld voor doorverkoop, maar om te kijken of de software aansluit bij de wensen van de potentiële klant. (…) Daarnaast zijn wij vanuit [licentiebedrijf] niet op de hoogte dat er een trialversie door [handelsnaam appellant] is geregeld. Dit kan het beste bij [softwarebedrijf] zelf worden gecheckt.

Het [licentiebedrijf] sprak de [handelsnaam appellant] van de laptop vervolgens aan op [illegaal] gebruik, waarna werd geschikt. Dat is dan meteen de reden voor het aanspreken op nonconformiteit natuurlijk, het verhalen van het schikkingsbedrag.

Het Gerechtshof kwam tot de tussenconclusie dat de klant maar moest bewijzen wat er precies besteld was. Als dat een legale versie van Solidworks was, dan zou de leverancier tekort geschoten zijn. Echter, zou dat niet de afspraak zijn geweest, dan waren alle gevolgen voor rekening en risico van de klant. De klant kwam daarop met een getuige, een van zijn werknemers:

Tegen [de leverancier] heb ik gezegd dat ik een laptop zocht met SolidWorks. Ik heb uitdrukkelijk gezegd dat het om SolidWorks ging. [De leverancier] zou gaan kijken of hij dat voor mij kon regelen. Er is op dat moment niet specifiek gesproken over een legale of illegale versie. Er is ook niets gezegd over een trialversie, alleen dat het om SolidWorks ging. [De leverancier] zei dat hij ervoor kon zorgen. Hij zou in eerste instantie kijken of hij aan mijn wensen kon voldoen om een laptop met die software te leveren. Er is bij de aflevering van de laptop nog gesproken over SolidWorks. Hij heeft aan de keukentafel bij mijn schoonouders gedemonstreerd dat er SolidWorks op de laptop zat. Hij heeft laten zien dat het programma er op zat door het programma te openen maar niet laten zien hoe het werkte. Er is niet gesproken over de versie van SolidWorks op het moment van aflevering.

Verder was niet gesproken over de aard van de Software. De klant kende deze niet, maar de software werd aangeraden door een zakenrelatie (een tekenaar) en men had geen idee wat het moest kosten, maar kan het voor 1000 euro?

Meer bewijs was er dus niet. Het Gerechtshof trekt vervolgens zelf de conclusie dat een bedrijf dat vraagt om een laptop met zakelijke software, normaal de bedoeling heeft om daarmee te werken. Dan heb je een legale, volledige versie nodig. Als je zonder nader overleg dus dit bestelt bij een leverancier, dan moet die begrijpen dat de volledige, legaal gekochte software erop moet. Geen trials en al helemaal geen gekraakte/illegale versies.

Natuurlijk kan dat wel eens te duur zijn – de standaardlicentie is 6000 euro. Maar zoiets even uitzoeken is toch echt deel van je zorgplicht als IT-leverancier. Je moet dus even doorvragen, en het is dan prima als je zegt “dit kan niet voor jouw budget want die licentie is zes keer wat jij hebt”. Of “dit gaat niet maar ik kan de open source FreeCAD er wel op zetten”. Of “ik heb een trial erop gezet, want die software kost 6000 euro en ik weet niet of je dat wel wil”. Of “wil je even bijbetalen dan koop ik die licentie voor je”. Maar niet leveren en achteraf zeggen:

Midden September 2017 heb ik een 2e hands laptop voor jou geregeld en geleverd, met daarop de trialversie van [softwareprogramma] . (…) Vanaf begin November 2017 is het gebruik van een niet legitieme software op een IP-adres gelokaliseerd van de gebruiker van de laptop. Dit is ruim anderhalf maand later, ik weet niet wat er in de tussentijd met de laptop is gebeurt en als het daadwerkelijk om de desbetreffende laptop gaat. Ik heb de laptop sinds midden September 2017 niet meer in mijn bezit en ik ben niet verantwoordelijk voor wat er in de tussentijd op de laptop gezet is en ermee gedaan word.

Nonconforme laptop dus, en/of wanprestatie onder de overeenkomst. Dat betekent betalen. Alleen, hoe veel?

De klant had de volledige € 7.500 in rekening gebracht, en het Hof erkent dat dat nu eenmaal de schade is. Dat men voor een echte licentie ook dik 6000 euro had moeten neerleggen, is dan niet relevant: bij een correcte nakoming had de klant niets aan Solidworks of haar distributeur hoeven te betalen. (Hetzij omdat de IT-leverancier de kosten in rekening had gebracht, hetzij omdat deze magischerwijs een licentie voor 1000k had kunnen kopn, hetzij omdat de klant had gezegd “ben je betoeterd, 6000 euro, doe maar FreeCAD”.) Bijgevolg komt die volledige 7500 ook echt voor rekening van de leverancier.

Het bevestigt het beeld van die zorgplicht: niet zelf bedenken wat de klant wil (of niet), maar onderzoeken en navragen. En natuurlijk op papier zetten (al is het maar de e-mail) wat de klant heeft gezegd.

Arnoud

Hoge Raad: Ziggo hoeft downloadergegevens niet af te staan aan Dutch FilmWorks

Geplaatst op 6 juli 20213 juli 2021 in Informatiemaatschappij, 23 reacties

De Hoge Raad heeft het cassatieberoep van Dutch FilmWorks verworpen, las ik bij Tweakers. Door deze art. 81-afdoening hoeft Ziggo definitief niet de gegevens van klanten die illegaal zouden downloaden af te geven aan het bedrijf. Dat was immers de uitkomst van het hoger beroep van eind 2019. En dat bevestigt ook dat het Lycos/Pessers-arrest geen vrijbrief is om maar persoonsgegevens te kunnen vorderen “want het is inbreuk”.

Bij Tweakers doen ze een tikje verbaasd dat de Hoge Raad zonder motivatie de zaak afwijst, “Waarom de Hoge Raad het beroep heeft verworpen, is niet bekend.” Voor juristen zou dit geen verrassing mogen zijn, onze hoogste rechtscollege mag zonder motivatie zaken afwijzen

als het cassatieberoep ongegrond is en geen juridisch belangrijke nieuwe vragen oproept. Bijvoorbeeld als rechtzoekenden ‘naar de bekende weg vragen’ door rechtsvragen voor te leggen die al zijn beantwoord, en er verder geen reden is het verwerpen van het cassatieberoep nader te motiveren.

Kennelijk vroeg DFW dus naar de bekende weg. Dat is misschien wat al te onaardig gezegd, want waar het ze in de kern om ging was

[dat het Gerechtshof juridisch onlogisch was] door het verstrekken van de gevorderde NAW-gegevens te laten afhangen van de actie(s) die DFW uiteindelijk tegen individuele downloaders wil nemen en de transparantie die DFW daarover in deze procedure heeft betracht.

Als je namelijk naar de Lycos/Pessers criteria kijkt, dan staat daar niet letterlijk bij als factor wat men van plan is te doen. Maar het Hof had dat meegewogen in de AVG-beoordeling van wat DFW van plan was. Plus, criterium b is of je een “reëel belang” hebt bij je eis, en als je onduidelijk bent over je plannen dan zie ik het daar ook wel over struikelen.

Ook had DFW gesteld dat Ziggo verplicht is de gegevens af te geven als aan het Lycos/Pessers arrest is voldaan. Het Hof had echter geconcludeerd dat het geen automatisme is (zoals al vele, vele malen bevestigd daarvoor) maar dat het een afweging van belangen is. Van de manier waarop het Hof die uitvoerde, daar kun je van alles van vinden, maar dan kom je bij het juridische punt dat zo’n afweging al heel snel feitelijk is. En de Hoge Raad mag niet toetsen aan feitelijke bevindingen, maar alleen het juridisch kader controleren. Dus bezwaren tegen welke factoren zijn meegenomen, zijn niet geschikt voor cassatie.

Voor mij weinig verrassend, maar gezien de belangen bij DFW niet gek dat men er nog een bak geld tegenaan gesmeten heeft om zo lang mogelijk de dreiging in de lucht te houden. En ik blijf erbij, ik zie niet hoe DFW dit anders had kunnen doen. De situatie dat de IP-adreshouder niet de downloader is, is een fundamenteel probleem. Dat los je alleen op door botweg te zeggen, je bent aansprakelijk voor je account. En dan krijg je ook nog het schadebedrag waar al tien jaar over gesteggeld wordt – wat kost dat nou, zo’n illegale download? Is dat de prijs van de DVD, de Blu-Ray, de single play van Videoland of 1/30e van een Netflix maandabonnement? Ik denk niet dat je daar ooit uitkomt.

Arnoud

Mogen winkels preorders van grafische kaarten annuleren omdat de fabrikant de productie stopt?

Geplaatst op 19 april 202115 april 2021 in Ondernemingsvrijheid, 21 reacties

Webwinkels als Azerty en Alternate melden klanten die de RTX 3080 Gaming X Trio 10G van MSI besteld hadden, dat ze deze niet meer gaan leveren. Dat las ik bij Tweakers. Alternate geeft aan: “Helaas heeft MSI besloten om de RTX 3080 Gaming X Trio 10G niet meer te produceren. Door dit besluit, dat buiten onze macht ligt, is levering van dit product onmogelijk geworden.” Pijnlijk voor hele hordes mensen die vijf maanden op een wachtlijst hebben gestaan, nadat de eerste batch van deze kaarten snel uitverkocht bleek en er nu dus geen nieuwe gaat komen. Mogen winkels dat, en kun je wat claimen?

Hoofdregel uit het overeenkomstenrecht is natuurlijk dat je moet leveren wat je belooft. (Iedere advocaat leert dat je het pleidooi dan opent met Pacta Sunt Servanda. Rechters weten dan dat het een lange dag gaat worden.) Dat waren die webwinkels natuurlijk ook van plan, alleen als de fabrikant dan vijf maanden lang je aan het lijntje houdt en daarna mededeelt dat ze toch niet meer komen, dan houdt het op.

Je schiet dan tekort, je levert niet wat je had beloofd. Dat is ook onmogelijk, die kaart is er niet meer op de markt. Feitelijk noem je dat overmacht (handelen van fabrikant MSI is geheel buiten de macht van webwinkel Azerty) maar juridisch gezien kun je daar fors wat vraagtekens bij zetten. Een fabrikant lijkt mij formeel een “hulppersoon” en diens handelen wordt jou toegerekend. Anders gezegd, het is niet mijn probleem dat jij het een ander laat produceren en dat jij geen afspraken maakt over gegarandeerde levering.

Maar hoe dan ook, die grafische kaart ga je niet krijgen. Natuurlijk krijg je je geld terug, maar menig Tweaker zal nu denken of er meer te halen is. Schadevergoeding dus. Maar dan krijg je – omdat het consumentenrecht is – meteen de vraag wat je schade is. Dingen als “ik had vijf maanden crypto kunnen minen” of “ik heb niet kunnen thuiswerken als zzp’er” gaan niet op, dat is te speculatief en daar hoeft een winkel geen rekening mee te houden.

Iets reëler is “ik moet nu een andere kopen en die is duurder, compenseer me het prijsverschil”. Juridisch noem je dat vervangende schadevergoeding (art. 6:74 lid 1 BW). Ik zie daar vooral praktische problemen mee: weliswaar zijn andere kaarten duurder (want de hele markt voor grafische kaarten is krankzinnig vanwege milieuvervuilende cryptospeculanten) maar het is per kaart niet zó veel duurder dat een rechtszaak de moeite waard is. Nog even los van hoe je dan bepaalt welke kaart vergelijkbaar genoeg is om als het alternatief te gelden.

(De voorwaarden van die webwinkels zijn verder totaal niet interessant want dit is allemaal dwingend consumentenrecht.)

Arnoud

Wat kan ik als mijn werkgever mijn bsn en medisch dossier lekt?

Geplaatst op 30 oktober 202027 oktober 2020 in Privacy, Security, 19 reacties

Een lezer vroeg me:

De laptop van mijn leidinggevende is recent gestolen. Helaas was het systeem niet versleuteld, waardoor gevoelige persoonsgegevens (zoals mijn naam, geboortedatum, BSN, handtekening en medische gegevens) door de dief te lezen zouden kunnen zijn. Ik ben netjes geïnformeerd en het lek wordt gemeld, maar ik vind dit niet genoeg. Wat kan ik juridisch doen tegen mijn werkgever?

Allereerst: erg jammer en vervelend dat er anno 2020 nog steeds werkgevers zijn die dus dit soort gevoelige gegevens rondsjouwen zonder zelfs maar full-disk encryptie. Het is erg pijnlijk om daar via een datalekmelding achter te moeten komen.

De procedure is zo te lezen netjes gevolgd: de werknemer moet worden geïnformeerd en de AP ook, want de gegevens zijn zeer gevoelig en misbruik daarvan kan zeker tot schade bij de werknemer(s) leiden. Ook als het maar een handjevol mensen was – BSN en medische gegevens tellen als zeer gevoelig ook bij kleine hoeveelheden.

Dat wil niet zeggen dat de kous daarmee af is. De werknemer kan desondanks immers schade lijden door het lek, en volgens de AVG is de werkgever daar gewoon voor aansprakelijk stellen.

Het lastige hierbij is natuurlijk aan te tonen wat je schade is, zeker als er nog geen kwaadwillend gebruik van je gegevens is gemaakt. En bij diefstal van een laptop is de kans reëel dat dat ook niet gaat gebeuren; waarschijnlijk herinstalleert de dief Windows en verkoopt hij het ding tweedehands. Je kunt dan natuurlijk gaan monitoren op misbruik maar je zult waarschijnlijk niets tegenkomen.

Het gaat me wat ver om te zeggen dat een werkgever maar gewoon een bedrag moet geven bij wijze van forfaitaire schadevergoeding. Maar zonder concreet aangetoonde schade kan de werknemer verder niet zo veel. Bij financiële gegevens zou je nog kunnen eisen dat de werkgever een monitoringdienst betaalt om op het ahem “dark web” te kijken of je creditcard daar opduikt, maar voor bsn’s of medische dossiers is er niet echt zo’n markt.

Arnoud

Mag je op het werk de internetradio aan laten staan als dat geld kost?

Geplaatst op 24 januari 201820 januari 2018 in Ondernemingsvrijheid, 26 reacties

Wie in zijn eentje aan het werk is, zal snel geneigd zijn een muziekje aan te zetten. Vandaag de dag zelden meer een probleem voor de werkgever (de Buma/Stemra even daargelaten), maar twintig jaar geleden vaak een serieus discussiepunt vanwege de kosten. Maar toch ook in 2017 kennelijk nog, genoeg zelfs om in hoger beroep uitgevochten te worden: als je een werknemer een dongel geeft, mag hij dan naar de radio luisteren of is hij persoonlijk aansprakelijk voor de databundel-overschrijding?

De werknemer in deze zaak stond in haar eentje op een cateringlocatie, en had alleen via een dongel mobiel internet. Via die verbinding luisterde zij naar muziek tijdens het werk, maar kreeg na een maand de rekening gepresenteerd van de werkgever voor maar liefst € 1.239,60 aan datakosten bij Vodafone. Het verweer dat er toestemming was gegeven, werd niet geaccepteerd door de werkgever: volgens het reglement moest er dan nog steeds worden betaald voor zulke data als de bundel zou worden overschreden. Daarbij speelde mee dat de dongel-software waarschuwingen zou geven bij (dreigende) overschrijding van de databundel per maand.

Nou zijn dat soort reglementen altijd leuk en aardig, maar als het gaat om werknemers aansprakelijk stellen en/of schade laten vergoeden dan heb je maar heel weinig ruimte onder de wet. Die zegt namelijk dat een werknemer eigenlijk nooit privé aansprakelijk is voor wat hij op het werk doet, behalve bij opzet of bewuste roekeloosheid (en dat krijg je vrijwel nooit bewezen) of als hij verzekerd is voor de gevolgen.

De werkgever gaf aan dat duidelijk was aangegeven hoe de dongel werkt, inclusief waarschuwingspopups voor (dreigende) overschrijdingen van de datalimiet. De werknemer stelde daar tegenover dat zij dacht

dat voor de laptop een onbeperkt abonnement gold en zij heeft betwist dat is gesproken over betalen voor gebruik van de radio. Zij is geen ervaren gebruiker van internet en heeft nooit van een dongel gehoord. Zij liet de laptop aanstaan en deed alleen de klep dicht wanneer zij wegging. Wanneer zij weer op haar werk kwam deed zij de klep open en startte de radio door op 538 te klikken.

In principe is het dus zo dat een werknemer voor kosten gemaakt op het werk niet aansprakelijk is. Schade als gevolg van een slechte uitvoering van het werk zijn gewoon voor rekening werkgever.

Het Gerechtshof ziet een sprankje hoop voor de werkgever: als hij kan bewijzen dat bij naderende overschrijding van de databundel popups met waarschuwingen worden getoond en de werknemer deze heeft weggeklikt, én dat de werkgever de werknemer heeft geïnstrueerd hoe op de kosten te letten, dan zou een situatie van bewuste roekeloosheid ontstaan. Ik ben benieuwd hoe ze dat voor elkaar gaan krijgen.

Arnoud

Univé verzekert gehackte pc consument

Geplaatst op 31 oktober 201724 oktober 2017 in Security, 11 reacties

Verzekeraar Univé introduceert een verzekeringspakket waarmee consumenten hun pc of smartphone kunnen beschermen tegen hackers, las ik bij AMweb. Een speciaal kastje en een hulplijn moeten voorkomen dat het misgaat. Weten cybercriminelen je pc toch te vernielen dan vergoedt de coöperatieve verzekeraar de schade. En dat voor twaalf euro per maand. Ik kreeg er veel vragen over: voegt dit wat toe en wat heb je er aan?

Het is bij mijn weten de eerste verzekeraar die expliciet ICT-schade dekt onder een verzekering. Natuurlijk heeft iedereen al schadeverzekeringen, maar die dekken meestal alleen zogeheten letsel- en zaakschade: mensen of dingen die fysiek stuk gaan. Bij ICT-problemen is vaak eerder sprake van vermogensschade, áls er al schade is: zet maar eens een prijs op driehonderd verloren JPEG’s of de kosten van het opnieuw instellen van je tienduizend persoonlijke voorkeuren op je net opnieuw geïnstalleerde laptop. Dus een specifieke ICT-verzekering kan wat toevoegen hier.

Of deze verzekering genoeg doet daarvoor, is me nog niet duidelijk. Het ND zocht het uit en concludeerde dat je nou net geen schadevergoeding krijgt voor het verlies van bestanden met een emotionele waarde, zoals familiefoto’s, of voor betaald losgeld bij ransomware. Maar men dekt je wel wanneer jouw pc bij anderen schade aanricht, zoals wanneer een virus op jouw laptop overspringt naar zeg de postduivenvereniging waar je secretaris bent. (Bij je werkgever boeit dat niet, want die kan jou niet aansprakelijk stellen voor virussen die door jouw nalatigheid het bedrijfsnetwerk infecteren.)

Een interessant punt vond ik dat de verzekeraar je een modem met F-Secure SENSE firewall geeft, om zo de risico’s praktisch te beperken. (Een ding van 199 euro en na het eerste jaar 9,90 per maand securityupdates.) Dat is een mooie geste die voor veel consumenten wel wat toe kan voegen. En het past in de trend die ik in de zakelijke markt zie: niet alleen een risico dekken maar ook actief stimuleren (of zelfs verplichten) dat schadebeperkende maatregelen worden genomen.

Tegelijk kun je je afvragen, zou je voor dat geld niet zo’n firewall en een backupoplossing kunnen kopen als consument?

Arnoud

Zijn wij aansprakelijk als onze systeembeheerder alle klantdata wist?

Geplaatst op 22 december 201619 december 2016 in Ondernemingsvrijheid, 17 reacties

Een lezer vroeg me:

Wij zijn een klein hostingbedrijf en vroegen ons het volgende af. Stel een van onze systeembeheerders met root toegang besluit op een kwade dag om álle klantdata te wissen, en meteen ook maar de backups. Theoretisch kunnen zij dat, en waarschijnlijk ongemerkt ook. In hoeverre zijn wij dan als bedrijf aansprakelijk naar onze klanten? En is dit te verhalen op die personen in privé?

Een bedrijf is aansprakelijk voor schade die ze hun klanten berokkenen door een slechte uitvoering van hun opdracht. Dat is de definitie van wanprestatie.

Bij een hostingbedrijf lijkt me het kwijt zijn van data een triviaal voorbeeld van wanprestatie, en dus moet die schade worden vergoed. De schadevergoeding zou dan gelijk zijn aan de tijd die het kost om de data te herstellen en de sites weer in de lucht te krijgen, en mogelijk zelfs de gederfde omzet van die klantsites.

Natuurlijk zal een hostingbedrijf in zijn algemene voorwaarden zijn aansprakelijkheid beperken. Dat is in principe redelijk – je mag in zakelijke relaties met je klanten afspreken dat jij maar tot een zeker bedrag aansprakelijk bent voor schade. Dat zou hier dus onder normale omstandigheden het bedrijf kunnen redden.

Of dat hier veel zal helpen, betwijfel ik. Wanneer de schade het gevolg is van opzet of bewuste roekeloosheid, is het eigenlijk niet mogelijk je op je beperking van aansprakelijkheid te beroepen. Dit is in strijd met wat juridisch heet de openbare orde en goede zeden (art. 3:40 BW) en is ook nog eens redelijkerwijs onaanvaardbaar (art. 6:248 lid 2 BW).

Dit is dus écht een heel serieus probleem als het je overkomt. En natuurlijk, je kunt die schade dan verhalen op de systeembeheerder. Hoewel werknemers normaal niet aansprakelijk zijn voor schade die ze bij het werk toebrengen, is ook daar die opzet en bewuste roekeloosheid een uitzondering. Die mag dus worden verhaald. Maar veel zal het niet opleveren, wie heeft er in privé geld genoeg om al dat dataverlies te dekken?

Dit vind ik dus een situatie waarin je niet juridisch moet gaan redderen achteraf maar organisatorisch en technisch preventief maatregelen moet nemen. Zorg dat data niet gewist kán worden door één persoon, maak backups waar alleen een ander bij kan en heb logging en alarmbellen die afgaan als mensen rare dingen doen.

Even nieuwsgierig: meelezende hosters, hoe hebben jullie dit scenario geborgd?

Arnoud

Wie stel ik aansprakelijk als de ober mijn telefoon laat vallen?

Geplaatst op 5 december 20163 december 2016 in Ondernemingsvrijheid, 26 reacties

Een lezer vroeg me:

Stel je geeft je telefoon aan een ober om een foto te maken van jou en je geliefde tijdens een diner. De ober laat vervolgens per ongeluk de telefoon op de plavuizen vloer vallen, en hij is stuk. Wie moet betalen voor de geleden schade?

Het voor de hand liggende antwoord zou zijn: de ober. Die laat immers het toestel vallen (al dan niet in de soep), en wie een ander (onrechtmatig) schade berokkent, moet deze vergoeden.

Alleen: die ober handelt hier niet als persoon, maar als werknemer van het restaurant waar je op dat moment bent. Hij doet zijn werk, en wie in de uitvoering van zijn werk fouten maakt, is daar niet zelf voor aansprakelijk. Dat is zijn werkgever, het restaurant dus. Die zal de telefoon moeten vergoeden (in de praktijk natuurlijk via hun verzekering, maar dat terzijde).

Ook als het restaurant obers verboden had om gasten te fotograferen met hun telefoons, want een verbod (al dan niet op papier en ondertekend) kan deze wettelijke regeling niet doorkruisen. En inderdaad dat geldt ook voor al die ICT-reglementen die werknemers verbieden X en Y te doen: allemaal leuk en aardig maar er ontstaat geen aansprakelijkheid van de werknemer voor.

Hooguit zou het restaurant nog tegen de gast kunnen zeggen, dit is (mede) uw eigen schuld want het is nu eenmaal algemeen bekend dat telefoons kunnen vallen als een ander die voor het eerst vasthoudt om een foto te maken. Bij zulke domme pech moet u zelf de gevolgen dragen. En dan is het dus maar hopen dat je zelf een goede telefoon- of inboedelverzekering hebt.

Arnoud

Moeten wij nu ook schadeclaims betalen voor downloaden van films?

Geplaatst op 7 mei 20146 mei 2014 in Intellectuele rechten, 71 reacties

download-downloading-uploaden Een Belgische man dreigt een schadevergoeding van meer dan 60.000 euro opgelegd te krijgen omdat hij films, software en muziek had gedownload van de site belgium-scene.be, las ik bij Tweakers. Hij had Disneyfilms gedownload voor zijn dochters, maar werd door de Belgische Brein (BAF) aangeschreven voor € 37.714 nadat men dankzij een schikking met de sitebeheerders de downloaders had weten op te sporen. En nu we in Nederland een downloadverbod hebben, roept dat de vraag op: kan dat bij ons ook?

Het is natuurlijk ‘maar’ een eis, wat het vonnis gaat zijn moeten we maar afwachten. Maar in principe werkt het in België net als bij ons: je mag geen kopie maken van een werk zonder toestemming, en doe je dat toch dan schend je het auteursrecht. Dat is formeel een onrechtmatige daad, net als iemands auto bekrassen. En wie dat doet, moet de schade vergoeden. Ook als je het per ongeluk deed, ook als je niet wist dat het niet mocht en ook als je geen commerciële bedoelingen had.

De vraag is dus: wat is de schade? Bij een auto bekrassen is dat nog wel te bepalen. Vraag een paar offertes op van autospuiterijen, neem het gemiddelde en klaar ben je. Maar bij auteursrechtinbreuk heel wat lastiger – zie de discussie over schade bij foto-inbreuk. Waar vraag je offertes op van auteursrechtinbreukherstel?

De BAF rekent voor het gemak de verkoopprijs van de DVD als schade. Dat voelt wat erg makkelijk, maar er zit een kern van juistheid in. De schade is in beginsel de waarde van de licentie die je zou hebben gekocht in de hypothetische situatie dat je het netjes gevraagd had. In die foto-inbreukzaken wordt de schade dan ook gewoonlijk gesteld op de prijs van de foto (met 25% opslag voor opsporing en aanverwant gedoe). En als dat werkt bij foto’s, waarom dan niet bij films?

Brein heeft bij ons altijd gezegd niet van plan te zijn achter downloaders aan te gaan. Deze zaak laat zien waarom: deze meneer is zielig want onwetend en Disneyfilms dus kleine huilende dochters in roze tutu’s op televisie, dat kost je je reputatie als eerzaam handhaver van auteursrechten. Dan liever zelfverklaarde piraten aanpakken onder geroep over winst die ze maken, btw die ze dan niet afdragen en wellicht connecties naar georganiseerde misdaad of terrorisme.

Daar komt bij dat Brein als belangenorganisatie geen schadevergoeding mag eisen namens hun achterban (art. 3:305a lid 3 BW) dus het houdt snel op, mochten ze van gedachten veranderen over tutumeisjes. (Dit is bij de Belgische BAF dus anders, een equivalent van 3:305a BW kennen ze niet.)

Maar dat geldt dan alleen voor een dergelijke organisatie. Een individuele rechthebbende mag wél schadevergoeding eisen van een downloader, mits hij deze kan vinden natuurlijk. Dat zal nog niet meevallen bij filesharing, hoewel je natuurlijk altijd een honeypot kunt opzetten en IP-adressen gaan loggen. En dan via de provider deze geïdentificeerd krijgen, wat in principe zou kunnen via het Lycos/Pessers arrest.

Veel zul je er niet aan overhouden. Goed, je krijgt de verkoopprijs van de DVD als schade, en de dader moet de volledige rekening van je advocaat vergoeden. Maar zelfs voor auteursrechthebbenden lijkt het me wat harteloos om voor €17,99 iemand €8000 aan proceskosten aan te doen.

Arnoud