Mag mijn collega sollicitanten door AI screenen omdat we daar nog geen beleid over hebben?

Geplaatst op in Ondernemingsvrijheid, 13 reacties
Yutong Liu & Kingston School of Art / Better Images of AI (CC-BY 4.0)

Een lezer vroeg me:

In ons bedrijf is er geen duidelijk beleid over het gebruik van AI. Initiatieven om de efficiëntie te vergroten worden echter wel aangemoedigd, en in het kader daarvan gebruikt een van mijn collega’s nu bij voorkeur AI om sollicitanten te screenen. Ik ben daar persoonlijk geen voorstander van omdat ik niet weet wat er van die informatie uit de sollicitaties dan bij de AI blijft hangen. Hij claimt dat dit een standaardprocedure is en dat sollicitanten weten dat ze dit tegenwoordig kunnen verwachten en dat we niet in een ‘gevoelige’ sector werken (retail). Hoe zit dit juridisch gezien?
Deze vraag is een schoolvoorbeeld van het al langer bestaande concept van ‘shadow IT’, persoonlijke initiatieven om IT-diensten of apps in te zetten voor het werk buiten de officiële kanalen om. Een leuke manier om nieuwe dingen te ontdekken (die best positief voor efficiëntie of omzet kunnen uitpakken) maar ook een manier om keihard tegen deuren aan te lopen.

In dit geval is dat de AI Act, omdat het met AI screenen of beoordelen van sollicitanten hoogrisico is onder die wet. Dat mensen dat zouden moeten weten of dat iedereen dat doet, is daarbij niet relevant. Je krijgt een berg complianceverplichtingen op je dak als organisatie, en je kunt beboet worden als je die niet naleeft. Waar is je bias evaluatie? Welk kwaliteitsbeheersysteem heb je ingericht om te borgen dat prestaties op niveau blijven? Welke vorm van uitleg geef je sollicitanten over de AI-beoordeling?

Uiteraard is er ook nog de AVG, die evenzo wat te zeggen heeft over persoonsgegevens van sollicitanten in third-party tools stoppen zonder op zijn minst een verwerkersovereenkomst met geheimhoudingsbeding. Daarnaast zegt de NVP Sollicitatiecode sinds 2025 dat je duidelijk moet zijn naar de sollicitant toe over AI-gebruik, en dat je tool voldoet aan de AI Act.

Het belangrijkste voor mij is echter dat je als organisatie de consequenties krijgt als een medewerker op die manier eigenzinnig opereert. Daar helpt dan geen “het is maar een individuele keuze” of “de impact op mensen valt mee”. Ik snap de keuze voor zo’n initiatieven-beleid, maar dat moet wel verbonden worden aan begeleiding en controle.

Arnoud

Moet het delen van beelden van slachtoffers strafbaar worden?

Geplaatst op in Privacy, Regulering, 17 reacties
Photo by Igor Omilaev on Unsplash

Ik wil graag een nieuwe regel introduceren. Steeds vaker maken jongeren bij ongelukken en geweld foto’s of filmpjes die ze daarna delen via sociale media. Dat meldde NRC onlangs. Gevaarlijk en schadelijk, het zou verboden moeten worden. Nee: dan moet er meer geld naar handhavers.

Recent verzuchtte ik dit elders al, maar ik vind het zó zó vermoeiend die reflex “er is iets vervelends, laten we het verbieden”. Online is alles al strafbaar, niets mag van de AVG en anders had dit allang onder artikel 34 Digital Services Act aangepakt moeten zijn. En anders is het gewoon maatschappelijk onaanvaardbaar.

Maar serieus. Het probleem is eigenlijk nooit dat het niet mag. Hooguit dat de bestaande regels wat algemener zijn dan wat hier misgaat, zodat niet meteen 100% duidelijk is welke regel je nodig hebt en er dan altijd iemand jamaar-hangt-er-van-af kan roepen.

Het probleem is eigenlijk heel simpel: er is te weinig geld voor toezicht. Politie en OM of toezichthouders – ze moeten er tegen optreden, handhaven en duidelijk aangeven hoe de regels geïnterpreteerd worden. En dat kan niet. Ook niet als er een nieuwe strafbaarheidstelling komt voor delen van foto’s van “een afbeelding van iemand die dringend hulp behoeft” (wetsvoorstel).

Natuurlijk, dan komen er vanzelf ook gaten aan het licht. Was het toch een keer niet strafbaar. Maar dán is er het moment om gericht een nieuwe wet hierop aan te nemen.

Arnoud

Nederlandse clouddiensten maken afspraken om aantrekkelijker te zijn dan bigtech

Geplaatst op in Ondernemingsvrijheid, 3 reacties
Photo by Cova Software on Unsplash

Zeven Nederlandse IT-bedrijven gaan samenwerken om een alternatief te vormen voor de grote Amerikaanse cloudpartijen die nu de markt domineren. Dat meldde NRC woensdag. Het gaat om technische standaardisatie voor data-soevereniteit, en wederzijdse garanties voor elkaars verplichtingen naar klanten.

NRC vat het bekende verhaal nog eens kernachtig samen:

Sinds Trump opnieuw aan de macht is in de Verenigde Staten wordt veel gepraat over de noodzaak om digitaal onafhankelijker te worden. De politieke wens om minder te leunen op de grote Amerikaanse techspelers is sterk, maar in de praktijk komt daar nog weinig van terecht. Overheden en bedrijven zijn bang voor verstoringen in hun dienstverlening als ze overstappen naar kleinere aanbieders. Of zien op tegen de technische complexiteit van zo’n transitie.
Een zeer recente gids van de Dienst ICT Uitvoering (DICTU) introduceert een hulpmiddel om digitale soevereiniteit bij de inkoop door het Rijk te toetsen. Maar het kernprobleem blijft: niemand in Nederland, of zelfs Europa, is van het niveau Microsoft of Amazon. En dus ben je duurder en kom je minder goed uit de verf in je inschrijving.

Met deze serie afspraken ontstaat in feite een groot samenwerkingsverband met meer slagkracht. Een verboden kartel is dit niet, als ik het juridisch bekijk. Doel van de samenwerking is niet partijen buiten te sluiten of de prijzen kunstmatig te verhogen. Het gaat om wat de mededingingswet (artikel 6 lid 3) noemt:

verbetering van de productie of van de distributie of tot bevordering van de technische of economische vooruitgang, mits een billijk aandeel in de daaruit voortvloeiende voordelen de gebruikers ten goede komt, (…).
Standaardisatie op open standaarden is wat in het jargon precompetitief heet: daar wordt niet op geconcurreerd, iedereen kan daar hetzelfde gebruiken.

De werkelijke issue zit dieper, ik citeer weer NRC:

De bedrijven denken er met hun samenwerking voor te kunnen zorgen dat meer werk in Nederland blijft. Jurgen de Jong, verantwoordelijk voor de cloudtak van KPN: „We zien dat soevereiniteit vaak nog geen onderdeel is van aanbestedingen. Terwijl het hier gaat om strategische waarde: kennisopbouw in Nederland, grip op data en continuïteit.” Baauw: „Je kunt allemaal voor je eigen taartpunt gaan, of samen de taart groter willen maken.”
En dat is natuurlijk de kern. Inkoop van ict, zeker bij de overheid, hoort soevereiniteit te benadrukken. Maar momenteel is dat juridisch nog ongeregeld.

Arnoud

Hallucinante klantenservice-chatbots kunnen je op een boete wegens misleiding komen te staan

Geplaatst op in Ondernemingsvrijheid, 9 reacties
Photo by Mohamed Nohassi on Unsplash

Een chatbot die ten onrechte beweert dat het bedrijf geen telefonische klantenservice aanbiedt, is een misleidende handelspraktijk. Dat berichtte het Zweedse advocatenkantoor Delphi onlangs. De Zweedse mededingingsrechtbank legde een verbod op inzet van deze bot op tot het euvel was gefixt, op straffe van een boete van ongeveer 45.000 euro.

De zaak was aangespannen door de Zweedse consumentenombudsman (wat goed dat die bestaat) op basis van klachten. De kern:

De AI-chatbot van mobiele operator Hallon vertelde klanten die naar contactmogelijkheden vroegen dat Hallon “geen telefonische klantenservice aanbiedt” – hoewel het telefoonnummer wel in de algemene voorwaarden stond vermeld.
De rechtbank is het met de ombudsman eens dat dit misleidend is, omdat je als consument redelijkerwijs mag geloven dat dit klopt. Dan ga je minder snel je abonnement opzeggen of in discussie over een factuur. En bovendien: dat mág helemaal niet van het Europees consumentenrecht, geen telefoonnummer hebben.

Op zich allemaal heel logisch, maar kennelijk is het toch iets vernieuwends omdat het nu een chatbot is in plaats van een stagiair. De achterliggende regel zou toch simpel genoeg moeten zijn: jij bent aansprakelijk voor elke uiting die vanuit je organisatie wordt gedaan. Dat je technologie inzet die dat niet foutloos kan, komt voor jouw risico.

Arnoud

‘Populaire webshops verplichten nog altijd dat klanten een account aanmaken’

Geplaatst op in Ondernemingsvrijheid, Privacy, 7 reacties
Photo by TheDigitalArtist on Pixabay

Een aantal populaire webshops verplicht nog altijd dat klanten een account aanmaken om te kunnen bestellen. Dat meldde de Telegraaf onlangs. Men onderzocht dit naar aanleiding van het EDPB-standpunt dat dit niet zomaar mag onder de AVG. Al veel langer wordt hier tegen geageerd.

De Telegraaf noemt een aantal redenen waarom webshops dit doen, zoals dataprofielen kunnen monetizen en fraudepatronen detecteren. Winkels zelf noemen het de ‘winkelervaring gemakkelijker en prettiger’ maken, maar zelfs ChatGPT wist niet wat dat betekent. Niet steeds je adres invoeren, denk ik.

Voor mij is ook een belangrijke reden dat veel webshopsoftware standaard op deze manier is ingesteld, en dat winkels geen prikkel hebben om het aan te passen. (Is er een xkcd over de impact van een achteloos gemaakte standaardinstelling?)

Maar goed, de vraag is natuurlijk of dat mag. Dit telt als verwerking van persoonsgegevens, want er gaan namen, adressen, contactgegevens, bestelhistorie en wat al niet meer in. Je zou denken dat dat onder de grondslag “nodig uitvoering overeenkomst” valt, maar dat gaat me te ver: je adres is wel nodig om déze bestelling bij jou te krijgen, maar je adres bewaren in een account, valt buiten deze bestelling.

De AVG-toezichthouders, verenigd in de EDPB, zien dit ook zo. Wanneer mensen een abonnement afnemen, lijkt een account wél te kunnen als noodzakelijke voorwaarde. Dit is redelijk wanneer men regelmatig bij de geabonneerde content of dienst moet kunnen, of wanneer historie daaromtrent moet worden opgebouwd.

Ook ziet men ruimte voor accounts voor vaste klanten die daarmee recht hebben op voordeeltjes zoals exclusieve aanbiedingen. Het account is dan zeg maar het bewijs dat je vaste klant bent. Ik vind die op het randje.

In de meeste andere gevallen zul je je moeten beroepen op het gerechtvaardigd belang. Commerciële belangen zoals tracking of gepersonaliseerde aanbiedingen tellen daarin zeker mee, maar de rechtvaardiging daarvan ten opzichte van de privacy van de klant lijkt me lastig. Je komt al heel snel uit bij “een account mag, maar hoeft niet” en dat is eigenlijk hetzelfde als gewoon toestemming vragen “wilt u een account?”

Een interessant geval is fraudedetectie. Het idee is dat als je een historie hebt van een klant, en aanvullende klantgegevens, dat je dan makkelijker afwijkingen in zijn gedrag kunt spotten. Genoeg webwinkels bieden de optie voor op krediet kopen als je een historie hebt opgebouwd, bijvoorbeeld.

Die noodzaak ziet de EDPB echter niet:

Regarding necessity under Article 6(1)(f) GDPR, many e-commerce websites do not require the creation of an account, and a purchase and usage history is actually not available when a customer account is used for the first time. In addition, the relevance of the anti-fraud measures allowed when imposing the creation of an account is questionable as changes in the delivery address usually happen right before an order is placed, users often use different devices, and software updates, which are necessary for security purposes, lead to different browser fingerprints and may be misinterpreted as an indicator of fraud.
Mij lijkt ook dat je bij iedere bestelling een fraudedetectie doet, waarbij het minder relevant is hoe eerdere bestellingen gingen. En mensen herkennen op basis van hun profiel is inderdaad lastig genoeg.

De toezichthouders wijzen nog op het principe van privacy-by-design, wat ook al impliceert dat een account vrijwillig moet zijn. En dat deed me eraan denken dat het soms toch jammer is dat de AVG alleen geldt voor partijen die gegevens verwerken. Als de PBD verplichting ook gold voor softwarebouwers (dus niet shop-hosters), dan zou je zo centraal deze partijen kunnen aanspreken en afdwingen dat veelgebruikte webshopsoftware altijd een account als optie implementeert.

Arnoud

 

 

Mag je nog zeuren als je in de algemene voorwaarden akkoord ging met gebruik van je data?

Geplaatst op in Ondernemingsvrijheid, Privacy, Regulering, 2 reacties
Photo by Markus Winkler on Unsplash

Een lezer vroeg me:

In discussies over hoeveel informatie sociale media van je mogen gebruiken, wordt er vaak gezegd dat je niet moet zeuren dat ze je gegevens gebruiken en doorspelen naar derden, omdat je daarmee akkoord bent gegaan op het moment dat je op ‘agree’ klikte toen de gebruikersvoorwaarden werden gepresenteerd.

Zitten er aan die gebruikersvoorwaarden nog grenzen over wat redelijk is, vooral op het gebied van privacy en bescherming van persoonsgegevens, of mag een bedrijf min of meer alles van je verkopen omdat je nou eenmaal in hebt gestemd met hun voorwaarden?

Voor deze vraag moeten we het concept ‘gegevens’ in twee splitsen, omdat het Europese juridische kader onderscheid maakt tussen persoonsgegevens (gegevens over mensen) en niet-persoonsgegevens (alle andere).

Voor niet-persoonsgegevens zijn er vrij weinig regels, afgezien van de recente Datawet (Data Act), een Europese verordening uit 2025 over toegang tot data. Dit raakt aan data uit slimme apparaten, maar ook voor data opgeslagen in clouddiensten. De Datawet zegt echter niets over wat de dienstverlener met je data mag, behalve enkele specifieke verboden:

  • Alleen doen wat je in de voorwaarden hebt gezegd (en ‘alles dat ik wil’ zeggen is niet toegestaan)
  • Geen gebruik om de commerciële positie van de gebruiker te ondermijnen (het Amazon-jat-je-product probleem)
  • Geen doorverkoop of verstrekking aan derden behalve voor zover nodig voor de dienst zelf
Hier zijn dus de voorwaarden inderdaad leidend, en bestaat er een redelijkheidstoets bij wat die voorwaarden mogen zeggen. Jurisprudentie daarover is er (nog) niet.

Voor persoonsgegevens is het hard en simpel: het is juridisch niet mogelijk om in gebruiksvoorwaarden, terms of service of hoe je wilt noemen toestemming te bedingen voor welk gebruik van persoonsgegevens dan ook. Volgens de AVG moet een dergelijke toestemming ‘specifiek’ worden gegeven, en een toestemmingsbeding in voorwaarden is dat haast per definitie niet. Daarnaast eist artikel 7 lid 2 dat

het verzoek om toestemming in een begrijpelijke en gemakkelijk toegankelijke vorm en in duidelijke en eenvoudige taal zodanig gepresenteerd dat een duidelijk onderscheid kan worden gemaakt met de andere aangelegenheden.
Een juridisch artikel in voorwaarden haalt deze lat eigenlijk nooit. Je ontkomt dus niet aan een apart vinkje. En dat moet specifiek zijn ook “Wij mogen je gegevens verkopen” is dat niet – er moet bij staan aan wie.

De vervolgreactie in discussies als deze is dan “je moet sowieso de voorwaarden lezen, en als je dan zulke rare -of zelfs verboden- dingen toch leest, dan moet je de dienst niet gebruiken”. Begrijpelijk, maar ik heb daar structureel moeite mee: we zijn compleet doodgegooid als maatschappij met zulke voorwaarden, het is irreëel te verwachten dat mensen dat allemaal lezen. En dat zeg ik als jurist.

Belangrijker: het wettelijk systeem in Europa is dat je het  niet hoeft te lezen. Voorwaarden gelden ook als je ze niet leest, maar daar tegenover staat dat ze makkelijk van tafel te vegen zijn (“vernietigbaar”) wanneer ze rare dingen bevatten (“onredelijk bezwarend”). De regel is dus niet “je moet ze lezen en dan gewoon niet gebruiken” maar “rare dingen in de voorwaarden mag je negeren, zijn niet bindend”.

Natuurlijk zal zo’n bedrijf zich daar niets van aantrekken, ook niet na een formele brief van een advocaat die hierbij per direct de vernietiging uitspreekt van het onredelijk bezwarend beding krachtens relevante Europese richtlijnen en artikel 6:233 Burgerlijk Wetboek. Maar dat is een algemener probleem: het uitoefenen van je juridische rechten, zeker als consument, is duur en tijdrovend, en toezichthouders zitten hier niet altijd bovenop. Dat kan ook niet altijd, zeker niet bij niet-Europese bedrijven.

Nederlandse rechtbank verbiedt uitkleedfuncties van X-tool Grok

Geplaatst op in Ondernemingsvrijheid, Regulering, 7 reacties

[De] Nederlandse rechter verbiedt X om uitkleedbeelden en beelden van kindermisbruik te genereren met Grok. Dat meldde Tweakers vorige week. Zolang het bedrijf zich hier niet aan houdt, mag het Grok ook niet meer aanbieden in Nederland, op straffe van stevige dwangsommen.

Zoals ik een tijdje geleden al uitlegde, de AI-bot maakt zonder enige guardrail seksualiserende deepfakes van geplaatste foto’s, ook van duidelijk minderjarigen. Niet direct harde porno – daar zit een blurfilter op – maar iemand in een bikini zetten tegen haar wil is natuurlijk ook niet de bedoeling.

Stichting Offlimits en Fonds Slachtofferhulp stapten naar de rechter, nadat uit overleg bleek dat X niet aan hun eisen tegemoet zou komen.

De stichtingen zeggen dat Grok op grote schaal illegaal beeldmateriaal genereert en verspreidt. X zei dat dit niet mocht volgens de gebruiksvoorwaarden. Daarnaast zei het platform op 4 januari maatregelen te hebben genomen waardoor het ‘onmogelijk’ zou zijn om kindermisbruikmateriaal te maken. Twee weken later voerde het platform maatregelen in om het genereren van uitkleedbeelden verder tegen te gaan.
De rechter had grote moeite met de proceshouding van X, als ik het zo lees. Als je eerst zegt dat het ‘onmogelijk’ is en in de rechtszaal dat “het onmogelijk is om honderd procent te garanderen”, wordt het ongezellig.

Sowieso was het een opmerkelijke zitting als ik het zo lees:

Om aan te tonen hoe doodeenvoudig het is om met Grok een blootfoto te genereren, voerde advocaat Otto Volgenant, die optrad namens Offlimits, een portret van [X-advocaat Albert] Knigge in op Grok. … Hij gaf een paar prompts en niet veel later was de topadvocaat dansend te zien in zijn onderbroek, met op zijn rug een tattoo, zo vertelde Volgenant in de rechtszaal.
Opmerkelijk daarbij is ook dat nonconsensual naakt erger is als het de betrokken mannen zélf raakt, maar dat terzijde.

Als vaststaat dat de maatregelen niet werken zoals verwacht, dan is de vervolgvraag of je X daarvoor aansprakelijk kunt houden. Het standaardverweer is dan natuurlijk dat niet X maar de gebruikers die beelden genereren. Dat accepteert de rechter niet:

Als internet tussenpersoon die controle heeft over de functionaliteiten van Grok als beeldgenerator, is X.AI de aangewezen partij om het genereren en verspreiden van onrechtmatige afbeeldingen te voorkomen. Daardoor bestaat voldoende grond voor toewijzing van de gevorderde verboden, los van de vraag of gedaagden zelfstandig aansprakelijk zijn voor die afbeeldingen, naast de gebruikers die die content genereren / verspreiden.
Ophouden hiermee dus. En totdat dit adequaat gefixt is, mag de dienst Grok niet in Nederland worden aangeboden.  Met een voor Nederlandse begrippen stevige dwangsom van een ton per dag, gemaximeerd op tien miljoen euro.

In het perspectief van de geschatte 2.9 miljard jaaromzet is dat natuurlijk geen enorm getal. Maar allereerst moet je dit zien in het licht van de scope Nederland voor het verbod. En ten tweede kan Offlimits altijd naar de rechter als het plafond wordt aangetikt, om een verhoging te vorderen.

Arnoud

Meta en Google zijn aansprakelijk voor schade door verslaving aan sociale media

Geplaatst op in Ondernemingsvrijheid, Privacy, 7 reacties
Photo by cottonbro studio on Pexels

De jury in een rechtszaak in de VS heeft Google en Meta aansprakelijk gesteld voor de schade die een 20-jarige vrouw leed door verslaving aan sociale media. Dat meldde Tweakers vorige week. De vergoeding is zes miljoen dollar en uiteraard komt er hoger beroep. Maar toch.

Bij The Conversation hebben ze de achtergrond:

KGM – now 20 years old – said she began using YouTube at age six and Instagram at age nine, and allegedly developed compulsive use patterns, including up to 16 hours in a single day on Instagram. The platforms’ design features, she argued, contributed to her anxiety, depression, body dysmorphia, and suicidal ideation.
En niet alleen wist men tot op het hoogste niveau bij Meta en Google van deze effecten, men maakte op dat niveau de vergelijking met drugs en gokken. Dat soort uitspraken komen via de discovery-regels dan naar buiten bij een rechtszaak, en de jury concludeerde hieruit dat er bewust ingezet is op de dienst verslavend maken:
In addition, a YouTube memo reportedly described “viewer addiction” as a goal, and an Instagram employee wrote the company was staffed by “basically pushers”.
Mag ik even kwijt dat hiermee het argument “jamaar de ouders moeten hun kinderen in de gaten houden op internet” definitief naar de prullenbak mag. Het is -zoals ik al lang roep- niet realistisch om van individuele mensen te verwachten dat die op kunnen tegen het marketinggeweld van enorme bedrijven die alle tijd en geld hebben om hun misleiding te optimaliseren.

Arnoud

 

Ziggo heeft zijn voorwaarden gewijzigd. Mag ik nu opzeggen?

Geplaatst op in Ondernemingsvrijheid, 4 reacties
Ziggo sign. Kabelweg, Amsterdam - May 7, 2016 More: Original public domain image from Flickr

Een lezer vroeg me:

Op 16 maart verschenen de nieuwe voorwaarden van Ziggo. Mag ik nu opzeggen omdat ze de voorwaarden wijzigen? Of zitten daar nog eisen aan?
Met enige regelmaat wijzigen algemene voorwaarden van grote dienstverleners zoals internet- en telefonieproviders. Dat geldt dan ook voor vaste klanten, want vrijwel altijd staat er een wijzigingsbeding in de oude voorwaarden.

Dat voelt oneerlijk (en is het natuurlijk ook), want je ging het contract aan onder bepaalde voorwaarden en die worden nu ineens anders. Daarom zijn er diverse wettelijke regelingen die bepalen dat je een opzegrecht krijgt.

Ziggo is hier coulant: bij ongeveer elke wijziging bieden ze een opzegoptie aan. Maar laten we het eens juridisch bekijken: wanneer heb je een wettelijk recht van opzeggen?

De eerste eis is natuurlijk dat de wijzigingen de voorwaarden betreffen waaronder jij zaken met het bedrijf doet, en dat ze jouw contract raken. Dit moet het bedrijf dan ook duidelijk aan je melden, en wel minstens dertig dagen voordat de wijzigingen in werking treden.

De tweede is dat de wijziging voor jou nadelig moet uitpakken. Artikel 7.2 Telecommunicatiewet heeft het alleen over “voorgenomen wijziging van een beding”, maar je moet dit lezen binnen de Europese Richtlijn waar dit uit komt (artikel 105 EECC):

(…) tenzij de voorgestelde wijzigingen uitsluitend in het voordeel zijn van de eindgebruiker, van strikt administratieve aard zijn en geen negatieve gevolgen hebben voor de eindgebruiker, of rechtstreeks worden opgelegd door het Unie- of het nationale recht.
Dit moet dan voor iedere voorwaarde gelden, het is niet zo dat drie voordelige wijzigingen één negatieve goedmaken. Dit is ook hoe de ACM het interpreteert. Wanneer een voorwaarde negatief is, moet objectief maar per geval worden bekeken. ‘Objectief’ betekent hier vooral “los van jou als persoon”.

Het is hierbij verplicht om expliciet de wijzigingen toe te lichten, zodat je niet zelf hoeft te zoeken op welke woorden anders zijn. Als ik dat document lees, zie ik vooral administratief geneuzel, maar een paar dingen springen er uit:

  • De definitie van ‘fair use’ is veranderd: je mag diensten alleen gebruiken waarvoor deze zijn bedoeld, en niet op een manier die in strijd is met de wet. Nieuw is de toevoeging dat je respectvol met Ziggo-medewerkers omgaat.
  • Het prijsveranderings-beding is aangepast. Voorheen stond er een algemeen onbegrensd recht om de (hoogte van de) vergoedingen te wijzigen. Dit is nu beperkt tot maximaal 4% van de vaste maandelijkse kosten, of € 2,75 per maand en moet uit een kostenverhoging, heffingen of nieuwe diensten volgen.
  • Ziggo mag een klacht buiten beschouwing laten als deze gebaseerd is op feiten van meer dan 12 maanden geleden.
  • Arbitrage door het beruchte e-Court is niet meer mogelijk.
Ik zie eerlijk gezegd niet meteen hier een evident nadelige wijziging in, afgezien van het fair-use beding. Dus die pakken we er even bij:
We leveren onze diensten onder de voorwaarde dat jij deze op een eerlijke manier gebruikt en je niet als een onredelijke gebruiker gedraagt. Dit noemen we ‘fair use’. Fair use houdt onder andere in dat: a je de diensten niet commercieel gebruikt. b je de diensten alleen gebruikt waarvoor deze zijn bedoeld, en niet gebruikt op een manier die in strijd is met de wet. c je geen overbelasting van ons netwerk of overlast voor andere gebruikers veroorzaakt. d je geen excessief gebruik maakt van de dienst. Een voorbeeld hiervan is als je twee keer meer data verbruikt dan de 10% grootverbruikers. e je respectvol omgaat met onze medewerkers, en je niet discriminerend seksistisch, of agressief gedraagt
In de oude voorwaarden heette dit nog “oneigenlijk of excessief” gebruik. Daar was geen definitie voor, behalve bij telefonie waar langdurig de verbinding open laten staan of vele korte gesprekken in korte tijd voeren golden als excessief.

Wel stond er in de oude voorwaarden: “De beoordeling van excessief en oneigenlijk gebruik ligt geheel bij Ziggo.” Dat is volgens mij zelfs een oneerlijk (zwartelijst) beding (art. 6:236 sub d BW), dus goed dat dat aangepast is.

Over het algemeen is de nieuwe definitie van ‘fair use’ dus voordeliger voor de klant dan de oude “oneigenlijk of excessief gebruik” definitie. Of staan er stiekem toch dingen in die nieuw en nadelig zijn?

  1. Commercieel gebruik: dit stond al in de oude voorwaarden als verbod (artikel 10 lid 3).
  2. Alleen bedoeld en geen illegaal gebruik:  dit is het oude “oneigenlijk” criterium (artikel 21 lid 1).
  3. Overbelasting/overlast: dit is het oude “excessief of overlast” criterium (artikel 21 lid 1).
  4. Excessief: dit stond er dus al, maar het voorbeeld van “2x de top 10%” is nieuw.
  5. Respect naar de medewerkers: dit is inderdaad echt nieuw.
Beleid over excessief is, is min-of-meer wettelijk verplicht: al in 2021 bepaalde de rechter dat je beleid duidelijk kenbaar moet zijn (iets waar ik me sinds 2008 over opwind). Dus dat kun je nog als ‘neutrale wijziging’ opvoeren.

Ik zet vraagtekens bij of “2x de top 10% is automatisch excessief” een negatieve wijziging is. Hiervoor zou je eigenlijk moeten bepalen hoe vaak dat voorkomt, want excessen zijn naar hun aard zeldzaam.

Het respectbeding negatief noemen komt bij mij niet door de giecheltoets, omdat je het objectief moet lezen. Er is geen rechtens te respecteren belang om respectloos met de helpdesk te mogen bellen.

Dus: opzeggen mag, als je kunt hardmaken dat de “2x de top 10%” regel objectief gezien negatief uitpakt voor de consument. Wie suggesties heeft, roept u maar!

Arnoud

Moet ik wat doen als mijn gebruikers mijn ERP-tool voor planning van misdrijven gebruiken?

Geplaatst op in Ondernemingsvrijheid, Regulering, 11 reacties
Photo by 1981 Digital on Unsplash

Via Reddit:

Eén van de gebruikers van mijn SaaS voorraadbeheersoftware (ERP) heeft voorraadartikelen gelabeld met termen als wit, blauw, groen en hemelsblauw en hoeveelheden in grammen en kilogrammen. Hun herbevoorradingsmeldingen zijn ingesteld om 3 uur ’s nachts en per locatie is een “heat level” van 1 tot 5. Ze hebben meer dan $2 miljoen aan omzet gegenereerd via mijn SaaS-oplossing van $29 per maand. Dit riekt naar drugshandel. Ben ik wettelijk verplicht hier iets mee te doen?
De hoogst gepluste reactie suggereert dat dit bedrijf kleurpotloden verkoopt, al is onduidelijk wat dan het “heat level” zou zijn. Anderen denken aan het peperniveau van hot sauce. Bij drugshandel zou dat verwijzen naar het risico van politie-aandacht voor je verkooplocatie, en ook daar wordt in grammen verkocht.

In Europa worden SaaS-dienstverleners beschermd door de Digital Services Act (DSA). Deze bepaalt dat hosting providers niet aansprakelijk zijn voor illegale inhoud van klanten. Meestal denken we dan aan uitingsdelicten, maar de wet is zeer algemeen:

“illegale inhoud”: alle informatie die op zichzelf of in verband met een activiteit, waaronder de verkoop van producten of het aanbieden van diensten, indruist tegen het Unierecht of tegen het met het Unierecht in overeenstemming zijnde recht van een lidstaat, ongeacht het precieze voorwerp of de precieze aard van dat recht;
ERP-informatie over drugshandel voldoet aan deze beschrijving, want betreft informatie in verband met verkoop van producten in strijd met nationaal (straf-)recht in de EU.

Artikel 6 DSA zegt dan dat de hosting provider niet aansprakelijk is, mits hij:

  1. niet daadwerkelijk kennis heeft van de illegale activiteit of illegale inhoud (…) en
  2. zodra hij dergelijke kennis of dergelijk besef krijgt, prompt handelt om de illegale inhoud te verwijderen of de toegang daartoe onmogelijk te maken.
De uitdaging hier dus is: heeft deze SaaS-aanbieder door zijn gesnuffel in de klantdata “daadwerkelijk kennis” gekregen?

Die kennis moet in ieder geval (overweging 22) specifiek zijn; algemeen weten dat er illegale inhoud tussen kan zitten is niet genoeg. Bij meldingen wordt als criterium gehanteerd (overweging 53) dat er voldoende informatie is

om een zorgvuldige aanbieder van hostingdiensten in staat te stellen zonder een gedetailleerd juridisch onderzoek vast te stellen dat het duidelijk is dat de inhoud illegaal is (…).
Het moet dus ‘duidelijk’ zijn en je moet er geen advocaat of jurist bij hoeven halen om een juridische kwalificatie te doen. De rechtspraak rond de ecommerce richtlijn (voorloper van de DSA) gaat hier niet direct op in, en focust vooral op de vraag of geautomatiseerd scannen leidt tot ‘kennis’ (nee).

Ik zie hoe je met bovenstaande feiten redelijkerwijs zou kunnen denken dat de klant illegale zaken (drugs) aan het verkopen is. Een twijfelgeval daarbij vind ik wel de “heat level” factor. Inderdaad is “heat” een slang term voor “politieaandacht” maar dat is dan net té direct als je verder je productnamen camoufleert met kleuren.

Mijn advies bij deze vraag zou wel zijn om het account tijdelijk te sluiten (suspension) en de klant te verzoeken duidelijkheid te geven over wat ze verkopen. Aanleiding daarvoor zou dan het ongebruikelijk grote data- of opslagverkeer zijn. Het is toegestaan om dan te kijken wat er gebeurt, en als je dan zoiets opvalt dan mag je verduidelijking vragen.

Arnoud