Internetrecht door Arnoud Engelfriet

Nadat een intentieverklaring was uitgewisseld, hebben partijen uitvoering gegeven aan het beoogde project terwijl zij gelijktijdig de gemaakte afspraken hebben uitgewerkt in contractdocumentatie. Aldus rechtspraak.nl over een recent geschil tussen een fotomarketingbedrijf en een marketingbureau, dat ook relevant is voor de ICT praktijk want de fout is dezelfde: denken dat je pas aan een contract vast zit als je een handtekening hebt gezet. Hoe mensen dat denken? Nou ja, omdat ze in het contract zetten dat dit pas in werking treedt na handtekening. Maar zo werkt het dus niet.

De klant in deze zaak was bezig met een reclamecampagne voor Schiphol, waarbij men de eiser verzocht om een aantal foto’s te verzorgen. Die deed in mei 2017 een voorstel (“inclusief visuals, antwoord op je vragen en een verdere uitwerking van de interface en de benodigdheden”), waarbij men tevens het kostenplaatje nog eens ging bekijken.

Een maandje later stuurde men de klant een intentieverklaring, met daarin de typische mooie woorden uit een intentieverklaring:

• [Gedaagde] wenst op (internationale) luchthavens interactieve foto experiences te ontwikkelen en exploiteren;
• [Eiser] kan voorzien in deze behoefte;
• [Eiser] zal als exclusief technologiepartner van [Gedaagde] op het gebied van fotomarketing optreden;
• [Gedaagde] en [Eiser] wensen om samen te werken en spreken de intentie uit om hierover nader te overleggen;
• Partijen zullen zich beiden inzetten om de onderhandelingen succesvol af te ronden;
• [Gedaagde] en [Eiser] kunnen aan deze verklaring geen rechten ontlenen;
• Deze verklaring behelst geen overeenkomst en rechten ontstaan pas nadat een overeenkomst tussen partijen is ondertekend waarin over essentiële elementen overeenstemming is bereikt.

Vervolgens ging men onderhandelen en kreeg men een offerte, SLA en algemene voorwaarden, waarin driftig werd gewijzigd. Ondertussen begon men ook alvast maar met de klus, ik denk onder meer omdat er in oktober een grote beurs was in het vakgebied en men daar de producten wilde demonstreren.

Daar ging vervolgens het nodige mis, niet alleen software die niet alles kon maar ook hardware die veel te heet werd. Dat werd een rechtszaak, en daarbij stond dus onder meer het punt centraal of er überhaupt een contract was gesloten.

Het is natuurlijk te makkelijk om te zeggen dat je het eens bent als de een al aan het werk gaat. Bedrijven gaan ook wel eens alvast beginnen met de gok dat het goed komt, dat is gewoon ondernemersrisico. Maar vrijwel altijd gaat het dan om eenzijdig alvast wat gaan maken, niet om -zoals hier- samen de klus opstarten terwijl er nog getekend moet worden. Als je dán spreekt van risico opdrachtnemer, dan moet je met fors bewijs komen waarom jij nergens aan vast zat terwijl je toch ‘samen’ aan de slag was.

En die eis dat het schriftelijk vastgelegd moet zijn en dat je er op ieder moment onderuitkon? Dat kun je in de praktijk passeren:

Partijen hebben uitvoering gegeven aan de gemaakte afspraken terwijl deze nog verder uitgewerkt en geformaliseerd werden en zijn het over die afspraken ook eens geworden. Daarmee zijn zij stilzwijgend voorbijgegaan aan de schriftelijkheidseis en kan [Gedaagde] zich daarop niet langer beroepen.

Op onze cursus ICT-contracten krijg ik dit onderwerp ook vaak langs, waarbij dan al snel de vervolgvraag komt: waarom teken je dan eigenlijk een intentieverklaring? Ja, dat is een goede, zeg ik dan altijd. Ik zou niet weten wanneer dat nuttig is, maar je ziet wel vaak dat mensen er door op het verkeerde been gezet worden.

Natuurlijk kan het zijn dat je het alvast eens bent over bepaalde punten, en dan kun je de intentie uitspreken dat deze punten het gaan worden terwijl je over de rest nog onderhandelt. (Een soort ‘vastklikken’ van wat je al afgekaart hebt.) Maar heeft dat veel waarde, als je allebei nog uit elkaar kunt?

Meestal zie je dat een intentieverklaring getekend wordt omdat men “alvast iets” vast wil leggen. Dan is het toch echt beter om een “alvast iets”-overeenkomst te tekenen: een trial licentie, een geheimhoudingscontract, een evaluatiecontract, zoiets.

Vuistregel, de naam van je contract beschrijft wat je wilt gaan doen. Dus als de intentie is, we gaan kijken of het werkt, dan heb je een pilot of een evaluatieovereenkomst. En natuurlijk, heb je enkel een intentie om wat leuks te gaan doen, dan kun je een intentieverklaring tekenen. Maar dan zeg je dus niets toe en ga je nog niets doen.

Arnoud

Zanger en entertainer Gordon is een petitie gestart waarmee hij wil zorgen dat anoniem reageren op internetfora en sociale media niet meer mogelijk is. De SBS-presentator vindt dat mensen een identiteitsbewijs moeten indienen voordat ze een account kunnen aanmaken. “Ik wil ervoor zorgen dat er jurisprudentie komt waar andere collega’s die gestalkt worden of van wie naaktfoto’s worden verstuurd op terug kunnen vallen”, zei hij eerder. Dat gaat nog best eens een probleem worden.

De aanleiding lijkt te zijn geweest dat Gordon een nieuwe televisieserie was begonnen over zijn hondje, dat volgens deskundigen te ziek zou zijn daarvoor. “Wij zien op basis van de vele filmpjes en foto’s dat de fokker van dit hondje zich niet aan alle regels heeft gehouden”, constateert de Hondenbescherming op basis van de voorschriften van de NVWA. Dit gaf vele anonieme commentaren, waarvan een groot deel inderdaad te walgelijk voor woorden is. Bij lang niet alle fora krijgt Gordon daar wat tegen gedaan, en vanwege anonimiteit is het lastig die mensen zelf aan te pakken. Vandaar het plan.

De presentator ziet het als oplossing als mensen niet meer anoniem een online account kunnen aanmaken. Hij stelt bijvoorbeeld voor om inlogs te koppelen aan de DigiD of het BSN. Dat heeft natuurlijk enig effect: wie weet dat zhij te traceren is, zal zich enigszins inhouden bij het doen van al te rare commentaren. Dit zal alleen wel een wetswijziging vereisen: gebruik van BSN voor dit doel – of voorschrijven van DigiD inlog – is niet mogelijk af te dwingen enkel met jurisprudentie. En ook meer algemeen, het eisen dat men de klanten identificeert is iets dat in principe een wet eist.

Je kunt natuurlijk (Lycos/Pessers) eisen dat het platform geeft wat men heeft, zoals het IP-adres. Maar stel nu eens dat ook het BSN of de gegevens van de DigiD-inlog daarbij zitten. Dan heb je toch nog steeds dezelfde route? Je elimineert alleen de tweede stap naar de internetprovider die IP-adres naar abonnee kan vertalen. Heel veel effectiever lijkt me dat niet.

In uitzonderlijke gevallen kun je binnen de huidige jurisprudentie de platformaanbieder aansprakelijk stellen. Het Delfi-arrest uit 2015 bepaalde dat een website die zeer controversiële berichten plaatst en weet dat daar grove, onrechtmatige reacties op gaan komen, zelf aansprakelijk is voor de inhoud daarvan. Wel lijkt het Hof de lat redelijk hoog te leggen: niet bij theoretisch mogelijk strafbare zaken, maar evidente dat-kan-écht-niet doodsbedreigingen en uitspraken die “tegen de menselijke waardigheid” ingaan. Dat lijkt dan aan te sluiten bij de regel die we al kennen bij de Europese notice/takedowns: alleen bij evident onrechtmatige zaken moet je ingrijpen als hoster of beheerder – en nee, niet alleen bij klachten, ook als je er zelf achter komt. Als je het zo bekijkt, dan zegt het Hof dus, je moet je comments gewoon lézen en als je dat-kan-écht-niet zaken ziet, dan moet je ingrijpen. Lees je niet, dan is dat jouw probleem. En Delfi deed weinig, te weinig, om in te grijpen bij dergelijke reacties.

Indirect zou van zo’n aansprakelijkheid een dreiging uit kunnen gaan naar platformeigenaren: als je dát soort troep doorlaat, dan ben je kennelijk zelf aan te spreken, en iemand als Gordon zal dat ook met veel kabaal gaan doen. Dus dan maar beter daarop modereren. Dan krijg je natuurlijk meteen de discussie dat daarmee alle platforms alle negatieve uitingen zullen gaan weren – of stoppen met commentaar in het algemeen – omdat ze niet kunnen modereren op enkel de zeer ernstige gevallen. Ik heb met dat laatste altijd wat moeite gehad. Natuurlijk, vrijheid van meningsuiting is een groot goed maar het soort oprispingen waar we het hier over hebben, zijn die echt niet te onderscheiden van de serieuze kritiek wegens dierenmishandeling die met een tikje emotie wordt geplaatst?

Arnoud

Clubhouse, de nieuwe social media app, is echt iets voor dummies, aldus een van de vele blogs over deze nieuwe dienst. Want je hoeft er weinig voor te kunnen: alleen luisteren. De app draait namelijk om live gesprekken, zonder beeld of chatten. De app is nieuw en hip, en je kunt er alleen gebruik van maken als je uitgenodigd wordt (en een iPhone hebt). En daarbij een opmerkelijk detail: “Omdat Clubhouse gebruik maakt van je contactenlijst (in je telefoon) ziet de app direct wie van je bekenden er al gebruik maakt van de app.” Dat is even geleden, dat apps je adresboek standaard leegtrekken om zo andere mensen te kunnen werven. Hoe zit dat ook alweer, mocht dat nou of niet?

Je adresboek moet je delen om anderen te kunnen uitnodigen. Doel hiervan is namelijk dat Clubhouse kan zien wie van deze mensen al een account heeft. Maar indirect natuurlijk ook het opbouwen van een groot informatiebestand van kennelijk kapitaalkrachtige mensen met interesse in high tech en het laatste en hipste, je bent startup of niet natuurlijk. (Tenzij je voor de app betaalt, gaat het om je data en niet om de dienstverlening.)

Dit delen van adresboeken is in Europa problematisch, omdat een vermelding in je adresboek een persoonsgegeven is van die contactpersoon. Die mag jij daar hebben – uitzondering voor persoonlijk gebruik en/of toestemming tot communicatie met die persoon. Maar delen van die vermelding met een ander mag in principe gewoon niet, tenzij het netjes is van wel, en in bulk lijkt me eigenlijk nooit netjes. Dat is niet waarom jij in mijn adresboek zit, juridisch gezegd: de doelbinding ontbreekt, en toestemming is er ook al niet. Dus nee.

Tegelijk zie ik ook wel de legitieme behoefte van alleen uitnodigingen willen sturen aan mensen die de app al hebben. Dus dat Clubhouse wil nagaan of een opgegeven genodigde de app heeft, dat lijkt me legitiem. Precies dat was wat Whatsapp vroeger deed, totdat onze AP ingreep: die gegevens mag je wel verwerken, maar niet zodanig dat je ze óók voor gewone marketingdoeleinden (profielopbouw van niet-klanten) kunt inzetten. De dienst stuurt nu alleen hashes van 06-nummers uit het adresboek, en de server kan daarmee zien of iemand al klant is (men heeft dezelfde hash in het klantenbestand) of niet (hash onbekend). Dit is dus wat Clubhouse ook moet gaan doen.

Arnoud

Deze discussie kan ook alleen op Wikipedia: mag je een lijst van bekende mensen met rood haar publiceren in je online encyclopedie, of is dat in strijd met de AVG? (Dit speelde in januari, maar ik kom er pas net achter dankzij een tipgever.) Je kunt je natuurlijk afvragen hoe encyclopedisch zo’n lijst is, maar… Lees verder

Ook in hoger beroep oordeelt de rechter dat de maaltijdbezorgers in feite werknemers zijn, en ze dus als zodanig betaald en behandeld dienen te worden. Dat meldde NRC vorige week. Inderdaad vonniste de rechtbank hetzelfde in 2019, en nu is er dus het Hof dat dit bevestigt. Ongetwijfeld een klap voor het verdienmodel van het… Lees verder

Een poging van twee leveranciers van GPS-horloges om een concurrent aan te pakken via de privacywet AVG is tot nu toe niet geslaagd. Dat meldde het FD onlangs. De rechtszaak was aangespannen omdat de concurrent de AVG zou overtreden, en daarmee een oneerlijke voorsprong zou nemen op de wél netjes AVG-compliant opererende eisers uit de… Lees verder

De vordering van het bureau w&s op de werkgever tot betaling van een vergoeding wordt afgewezen: geen overeenkomst, geen vergoedingsplicht op grond van ongerechtvaardigde verrijking. Aldus de rechtbank Gelderland in een randgevalletje ICT-recht, die ik vooral toch noem omdat de ergernis van online razendsnel handelende recruiters ook mij als opdrachtgever de neus uitkomt. Kort en… Lees verder

De Zweedse politie heeft van de Zweedse privacytoezichthouder een boete van 250.000 euro opgelegd gekregen wegens het onrechtmatig gebruik van het gezichtsherkenningssysteem van het bedrijf Clearview AI. Dat meldde Security.nl onlangs. “De politie heeft onvoldoende organisatorische maatregelen ingevoerd om ervoor te zorgen dat het verwerken van persoonlijke data in dit geval volgens de wet plaatsvond”, aldus de… Lees verder

Levert onder dwang gebruikmaken van vingerafdruk van verdachte ter ontgrendeling van bij hem in gebruik zijnde smartphone met het oog op bewijsgaring inbreuk op het o.m. in art. 6 EVRM vervatte nemo tenetur-beginsel op? Die vraag kreeg de Hoge Raad onlangs voorgelegd in een strafzaak, en het antwoord is nu gegeven: nee We hebben het… Lees verder

Leuke vraag bij Tweakers: Helaas helaas houdt het bij mijn huidige werkgever op en moet ik eerdaags mijn laptop inleveren. Nu overlappen er altijd wat privédingen op een zakelijk laptop voornamelijk wat internet gerelateerde dingen zoals wachtwoorden etc. hebben jullie goede tips hoe ik mijn laptop het beste kan opschonen en leeg in kan leveren? Mijn… Lees verder