Internetrecht door Arnoud Engelfriet

Een filiaal van de Albert Heijn in Den Haag kon overlastgevende scholieren in de gaten houden nadat een smoelenboek van het Maerlant-Lyceum in de supermarkt was beland. Dat meldde Omroep West onlangs. De conrector loste het datalek adequaat op door het boek op te gaan halen en te vragen of de Appie voortaan gewoon de politie wil bellen als ze strafbare feiten ziet. Het blijkt te zijn gegaan om een papieren smoelenboek, dus dat gaf wat vragen bij de AVG-deskundige lezers.

Hoe kon dit boek daar terechtkomen?

Een oud-medewerker van de school heeft het boek aan de supermarkt gegeven. Daarmee konden medewerkers de foto, voor- en achternaam en schoolnummer van de leerlingen zien. ‘In het verleden heeft het filiaal onze hulp gevraagd bij de ongeregeldheden in de supermarkt’, vertelt tijdelijke rector van de school, Peter Reenalda. ‘Naar aanleiding van die vraag is het smoelenboek daar terechtgekomen.’

Het smoelenboek van de Haagse school wordt alleen onder een zeer beperkt aantal medewerkers verspreid. ,,We hebben op school een aantal exemplaren liggen. Voor een conciërge is het bijvoorbeeld heel handig bij het registreren van te-laat-komers ‘s ochtends. Dan hoef je dat niet allemaal in een computer op te zoeken.”

elk gestructureerd geheel van persoonsgegevens die volgens bepaalde criteria toegankelijk zijn, ongeacht of dit geheel gecentraliseerd of gedecentraliseerd is dan wel op functionele of geografische gronden is verspreid;

In 2018 oordeelde het Hof van Justitie dat lijsten met namen en adressen van mensen die je deur-aan-deur wilt bezoeken (of juist niet) eronder vallen:

[Onder] het in deze bepaling gebruikte begrip ‘bestand’ ook valt een geheel van in het kader van een van-huis-tot-huisverkondiging verzamelde persoonsgegevens, bestaande uit de naam en het adres van en andere informatie over de aan huis bezochte personen, wanneer deze gegevens zijn gestructureerd volgens specifieke criteria die het in de praktijk mogelijk maken deze gegevens gemakkelijk terug te vinden voor een later gebruik ervan. Om onder dit begrip te vallen hoeft een dergelijk geheel geen steekkaarten, specifieke lijsten of andere ordeningssystemen te omvatten.

Wat dat laatste betreft: ja, het is aan Albert Heijn gegeven door een kennelijk bevoegd persoon, namelijk een medewerker die dacht dat dit een goed idee was. Maar dat is niet relevant bij de vraag of iets een datalek is. Daarbij gaat het er alleen om of de persoonsgegevens bij een onbevoegde partij terecht zijn gekomen, en niet of dat door misdrijf, per ongeluk of door een andere reden is gebeurd.

Arnoud

Ministers Adriaansens van Economische Zaken en Yesilgöz van Justitie en Veiligheid moeten opheldering geven over identiteitsfraude bij het afsluiten van online contracten. Dat las ik bij Security.nl vorige week. De PvdA stelde naar aanleiding van een uitzending van Radar hier Kamervragen over. Als cynisch jurist zeg ik: wat had je dan verwacht, dat identiteitsfraude online moéilijk zou zijn?

De uitzending van Radar was veelzeggend:

Met een vals e-mailadres is rond juni vorig jaar met haar naam en bankrekeningnummer een energiecontract afgesloten bij Energiedirect, dochteronderneming van Essent. Op dit adres wordt ontzettend veel energie verbruikt. Energiedirect gelooft de gedupeerde in eerste instantie niet als zij zich tot hen wendt. Zij blijven incassorekeningen sturen en dreigen zelfs met een deurwaarder. … Ook de politie onderneemt geen actie. In Radar Checkt! gaat Fons Hendriks naar het adres waarop het energiecontract is afgesloten. Hier blijkt een groep krakers te wonen die bekend zijn bij de politie.

Voor juristen is dit geen spannend verhaal: de leverancier moet maar naar de rechter en bewijzen dat die persoon werkelijk de overeenkomst heeft gesloten. Het deed me denken aan deze blog uit alweer 2018:

De feiten achter het vonnis zijn eenvoudig genoeg. Op naam van de gedaagde werden studieboeken besteld, deze werden ook geleverd maar de bijgesloten factuur bleef onbetaald ook na aanmaning. Daarop stapte de verkoper naar de rechter: er was gekocht, dus er moest worden betaald. Het kort maar krachtige verweer luidde simpel genoeg dat niet de gedaagde zelf maar haar stiefvader de boeken had gekocht. En dat slaagde (…).

Arnoud

mohamedhassan / Pixabay

De fietskoeriers van Deliveroo waren werknemers en geen zzp’ers, zo zegt ook de Hoge Raad. Dat meldde NRC vorige week. Heeft dat gevolgen voor alle 1,2 miljoen zzp’ers in Nederland, vraagt men er direct achteraan. Naar goed journalistiek gebruik moet het antwoord dan “nee” zijn, maar laten we eens kijken wat de Hoge Raad nu echt vond.

De uitspraak is de laatste in een lange reeks van discussies en rechtszaken over de status van bezorgers die voor een bedrijf met een app, pardon een participant in de platformeconomie, aan het werk zijn. In 2018 vonniste de rechtbank Amsterdam nog dat een Deliveroo-bezorger freelancer was, mede omdat deze zeer parttime werkte en het contract keurig “ZZP-overeenkomst” heette.

De zaak waar het nu om gaat, startte in 2019: Deliveroo-bezorgers zijn toch werknemers, was de uitkomst. Wat was nu het verschil?

In juli vorig jaar concludeerde de rechtbank nog op basis van de tekst van een freelancer-contract dat de fietskoerier een zzp’er was, maar dat was wat kort door de bocht: je mag aan een contract met een hulppersoon alleen waarde hechten als er inhoudelijk onderhandeld is. Is het een standaardcontract dat de hulppersoon opgelegd kreeg (“alsjeblieft, hier tekenen graag”) dan is daaraan geen aanwijzing te ontlenen dat partijen samen beiden wilden dat de koerier zzp’er was. Ook de andere stappen die de rechter vorig jaar zag – het inschrijven bij de KvK, het zelf kopen van kleding en vervoersboxen – tellen niet mee in zo’n situatie.

Deliveroo ging natuurlijk in hoger beroep, want je zou het eens een keer eens zijn met een vonnis als groot bedrijf, kom nou. Maar ook daar kreeg men ongelijk: ook als Deliveroo zelf zegde géén maaltijdbezorgplatform te zijn (dat is serieus met droge ogen verdedigd door een overigens zeer competente advocate) maar slechts een IT-bedrijf, dan nog kun je best werknemer zijn van dat bedrijf.

Het was bij het Hof ook voor een deel de IT die ervoor zorgde dat Deliveroo werkgever was:

Het GPS-systeem geeft Deliveroo daarmee een vergaande controlemogelijkheid op de werkwijze van de bezorger. FNV heeft erop gewezen, en zulks komt het hof ook aannemelijk voor, dat deze GPS-bekendheid ook een druk op de bezorger uitoefent. De klant rekent op bezorging van een maaltijd op een bepaald tijdstip; wanneer een bezorger bijvoorbeeld langzamer gaat fietsen, dan zal de klant (en daarmee Deliveroo) hierover teleurgesteld zijn, hetgeen een bezorger menselijkerwijs zal willen proberen te voorkomen. Het GPS-systeem geeft Deliveroo (al dan niet via haar klanten) dus een vergaande controlemogelijkheid, die eveneens als een vorm van gezag is aan te merken.

Men voegt daar nu aan toe dat je uiteindelijk wel gewoon naar alle omstandigheden van het geval moet kijken. Als iemand zich bijvoorbeeld nadrukkelijk profileert als zelfstandige (eigen ondernemersnaam/logo, reputatie, aantal opdrachtgevers, fiscale kwalificatie) dan is dat een factor die meeweegt. Maar er is geen hard criterium “doe x en je bent zzp’er”.

Deliveroo had dat namelijk geprobeerd met het argument dat je niet hóefde te werken. Je mag als IT-medewerker-met-maaltijdtas (de Capgemini-bezorgers, wie kent ze niet) immers weigeren een maaltijd te bezorgen, waar een gewone 9-tot-5 medewerker een probleem zou hebben als die besluit vandaag gewoon even thuis te blijven. De HR trekt de vergelijking met de appelplukkers en vakantiewerkers, en concludeert dat dit geen keiharde eis is om van een arbeidsovereenkomst te kunnen spreken. Het kan, een arbeidscontract waarbij je soms thuis mag blijven. Als je dat allebei zo wil, waarom niet.

Er blijft dus niets over van de stellingen van Deliveroo, en onvermijdelijk is dan ook dat de fietsbezorgers aangemerkt worden als werknemers. Wellicht zou dat anders kunnen of mogen zijn (zie onder meer dit artikel uit alweer 2017), maar dat verklaart de HR tot nadrukkelijk een politieke discussie.

De HR wilde niet zelf een harde lijn trekken: velen waren bang dat de hoogste rechter zou bepalen dat je alleen moest kijken naar het soort werk – wie hetzelfde doet als de werknemers, is automatisch en ongeacht de omstandigheden óók een werknemer. Dat zou heel vervelend zijn voor alle bedrijven en instellingen die met een flexschil werken.

Heeft dat gevolgen voor alle 1,2 miljoen zzp’ers in Nederland, zo vroeg NRC zich af. Antwoord dus: nee. Ook niet direct voor de Deliveroo-bezorgers, want in oktober 2022 vertrok het bedrijf, naar eigen zeggen omdat het niet meeviel de markt te veroveren. Men deed wel een aanbod tot vergoeding:

De vaste werknemers van Deliveroo in Nederland krijgen compensatie voor het verlies van hun baan. De bezorgers zijn echter niet in dienst, maar krijgen ook een bedrag uitgekeerd. ‘Dat maakt dit sociaal heel uniek. Deliveroo heeft zelf contact met ons opgenomen, en dat heeft geleid tot deze afspraken’, zegt Anja Dijkman, FNV-bestuurder Platformwerk. ‘Ik denk dat zij op een nette manier uit Nederland willen vertrekken.’

Arnoud

Een lezer vroeg me: Ik ben grafisch artiest en erger me natuurlijk rot aan die AI-hype waarbij iedereen je werk gebruikt zonder te vragen. Nu las ik over Glaze, een systeem dat ervoor zorgt dat het trainen van AI modellen misgaat als ze jouw afbeeldingen gebruiken. Dat wil ik gaan gebruiken, maar mede dankzij deze… Lees verder

“Eiser heeft al vrijwilliger software ontwikkeld voor gedaagde.” Een zin in een arrest waar menig ict-jurist rillingen van krijgt: weinig dingen gaan zo vervelend verkeerd als afspraken tussen vrijwilligers. Ook in deze zaak: de software was heel handig, maar op zeker moment is de samenwerking beëindigd, en oh ja oeps, toen “heeft gedaagde de computer… Lees verder

Een lezer vroeg me: Ik las dat Stanford een AI-tekstmodel had gebouwd dat voortbouwt op het Davinci model van OpenAI. De resultaten zijn verrassend goed ondanks hun veel kleinere aanpak, maar wat ik me nu afvroeg is of dit wel toegestaan is? Je zou zeggen dat dat model toch op een of andere manier beschermd… Lees verder

Een lezer vroeg me: Bij mijn huidige werkgever gebruik ik al sinds het begin een GPG sleutel, gekoppeld aan mijn zakelijk mailadres. Deze sleutel is bekend bij al mijn professionele relaties, en hij is getekend door bekende personen in mijn vakgebied. Dus die authenticiteit is belangrijk. Mag ik nu met deze sleutel een nieuwe sleutel… Lees verder

Een lezer vroeg me: Ik ben programmeur en in mijn arbeidscontract staat dat alle software die ik maak, eigendom van mijn werkgever is. Fair enough, maar ik gebruik vaak ChatGPT om basis-stukjes code op te zetten of oplossingen te suggereren voor problemen waar ik tegenaan loop. Is dan alleen die ene uitkomst van de bot… Lees verder

Er moet in Nederland een leeftijdsgrens komen van 15 jaar voor het aanmaken van accounts op sociale media. Dat las ik bij Tweakers vorige week. Het betreft een suggestie in Kamervragen van regeringspartij ChristenUnie. Vraagsteller Drost vraagt erom omdat sociale media volgens hem een negatieve invloed hebben op jongeren, en in andere landen er wél een… Lees verder

Telecombedrijven durven niet de volledige inflatierekening bij klanten te leggen, uit angst dat ze weglopen. Dat las ik bij Nu.nl maandag. Ziggo is de snelste stijger met een prijsverhoging van 8,5 procent, en schokkend voor mij was vooral dat de inflatie dus op 10% staat tegenwoordig. Het riep natuurlijk meteen de juridische vraag op: mag… Lees verder