Nu ga ik aan mezelf twijfelen, is de GPLv2 eigenlijk wel een contract?

| AE 10903 | Intellectuele rechten | 18 reacties

Heibel in de Linuxtent, <A HREF=’https://blog.iusmentis.com/2018/10/10/kunnen-linux-ontwikkelaars-de-gplv2-intrekken-als-ze-het-met-de-code-of-conduct-oneens-zijn/”>blogde ik vorige week. Ontwikkelaars aan het besturingssysteem lagen in de clinch over een Code of Conduct die ongepast gedrag vastlegt, met de nodige interpretatieproblemen tot gevolg. Dat leidde tot een oproep om je GPL-licentie in te trekken en zo je stem te laten horen. Waarop ik me afvroeg, kan dat wel, een contract opzeggen in zo’n situatie? Maar nu ga ik zelfs twijfelen of er wel een contract ís.

Dat de GPL naar Europees recht een contract is, is al een hele lange aanname. De standaardlicentie komt uit de VS, en daar is de twijfel wel iets serieuzer: voor een overeenkomst is onder de common law het specifieke concept ‘consideration’ nodig, oftewel een tegenprestatie. Een schenking is dus géén overeenkomst daar, maar een eenzijdige rechtshandeling. In Europa waar de civil law geldt (zeg maar heel Europa behalve Ierland, Engeland en Wales) is het goed mogelijk een overeenkomst te hebben met maar één prestatie.

De GPL kent geen tegenprestatie, en kan daarmee dus geen contract zijn onder common law principes. In Europa is dat geen beletsel, dus kun je hier prima spreken van een GPL contract. (Bijkomstig voordeel is dat het Amerikaanse juristen irriteert zonder dat ze er wat aan kunnen doen.) Voor een contract is niet meer nodig dan een aanbod (dit mag je doen, onder deze voorwaarden) dat wordt aanvaard (lijkt me leuk, ik ga typen en verspreiden).

Hoe meer ik er echter over nadenk, hoe meer ik twijfel of dit eigenlijk wel goed gaat. Want die aanvaarding past niet goed in het systeem van de wet, dat er vanuit gaat dat je akkoord zegt tegen de aanbiedende partij. Als die aanvaarding niet daadwerkelijk aankomt, dan gaat er van alles schuiven. Het belangrijkste is dat de aanbieder dan het aanbod mag intrekken, waarmee het vervalt. Oftewel, zolang niemand jou daadwerkelijk meldt “ik aanvaard de GPL op jouw software, dank je” dan kun je gewoon roepen “licentieaanbod ingetrokken, sorry” en kan niemand meer wat met je software.

De praktijk is natuurlijk dat iedereen gewoon zoekt naar de regel “GPL” in de hoofddirectory van de software en concludeert dat het wel goed zit. Maar je moet je best wel in juridische bochten wringen om dan tot een juridisch perfecte aanvaarding te komen. Een mogelijkheid is bijvoorbeeld dat je zegt, de aanvaardingshandeling (het gebruik van de software) bereikt de aanbieder niet maar dat is de aanbieder zijn eigen probleem (art. 3:37 lid 3 BW), had hij maar meer moeten opletten wie zijn software gebruikt.

Maar wat is het dan wel? De Amerikaanse constructie is een “toestemming onder voorwaarden”, analoog aan een bordje bij je erfgrens. Wie zijn landgoed openstelt met een bordje “Vrije toegang dagelijks tussen zonsopgang en zonsondergang” sluit dan geen overeenkomst, maar verleent eenzijdig toestemming onder een voorwaarde (namelijk dat het overdag is). Zolang die voorwaarde wordt gerespecteerd, mag je er zijn. Schend je de voorwaarde of vervalt deze, dan pleeg je erfvredebreuk en moet je dus wegwezen. Vertaal je dat naar softwareland, dan krijg je toestemming onder het auteursrecht om te handelen maar zodra je de voorwaarden schendt, eindigt de toestemming en heb je een probleem.

Het mooie van deze oplossing is, het maakt niet uit of je de voorwaarden aanvaardt of niet. Negeer ze en je pleegt sowieso inbreuk. Dus je hoeft helemaal niets te zeggen tegen de rechthebbende. De toestemming is ook niet zomaar intrekbaar: gezegd is gezegd, zeker gezien de constructie in de aanhef van de GPL dat het krijgen van een kopie van de software tevens toestemming inhoudt.

Het grote nadeel is natuurlijk, het is nog nooit getest bij de rechter. En ik weet ook niet op welke plek in het Burgerlijk Wetboek ik deze constructie zou moeten duiden. Maar het past beter bij mijn rechtsgevoel anno 2018.

Arnoud

Wanneer is een uitlating vanuit een bedrijfsaccount bindend op het bedrijf?

| AE 10900 | Ondernemingsvrijheid | 18 reacties

Een lezer vroeg me:

Ik vroeg mij af in hoeverre uitlatingen van bedrijfsaccounts op forums ‘bindend’ zijn, in de zin dat consumenten bedrijven kunnen houden aan hun uitlatingen op forums, zoals bijvoorbeeld Tweakers. Bijvoorbeeld op Tweakers zie je wel eens de melding ‘Bedrijfsaccount’. Stel dat men vanaf zo’n account bijvoorbeeld zegt dat iets gratis is, zonder overleg met de bevoegde directie. Is dat dan bindend, zo’n informeel bericht?

Mensen denken nog wel eens dat iets alleen bindend is wanneer het officieel door een bij de KVK aangewezen bevoegd persoon is gedaan. Dat is niet waar. Wat zo’n persoon zegt binnen zijn bevoegdheid is zeker bindend, maar uitingen daarbuiten kunnen ook bindend zijn. Tot een toezegging van een stagiair aan toe, die eigenlijk helemaal niets mag zeggen.

De hoofdregel over bindendheid is artikel 3:35 BW, dat bepaalt dat de wederpartij een uitlating als bindend kan beschouwen als hij dat onder de gegeven omstandigheden redelijkerwijze mocht doen. Specifiek over spreken namens een ander is artikel 3:61 BW, dat bepaalt dat

Is een rechtshandeling in naam van een ander verricht, dan kan tegen de wederpartij, indien zij op grond van een verklaring of gedraging van die ander heeft aangenomen en onder de gegeven omstandigheden redelijkerwijze mocht aannemen dat een toereikende volmacht was verleend, op de onjuistheid van deze veronderstelling geen beroep worden gedaan.

Oftewel: als de ‘ander’ – het bedrijf dus – de indruk heeft geschapen dat deze persoon namens het bedrijf dit mocht zeggen, dan mócht hij dit en dan is het bindend voor het bedrijf. Ongeacht wat de KVK zegt of wat er intern is afgesproken.

In theorie kan dus een stagiair een bedrijfsaccount maken zonder overleg en allerlei toezeggingen gaan doen die bindend zijn, terwijl het bedrijf daar geen weet van heeft. De enige bescherming voor het bedrijf is dat dit pas geldt als zij iets gedaan hebben waardoor de indruk werd gewekt dat de stagiair het mocht zeggen. Maar volgens mij zit je daar al snel aan: als iemand een als zodanig aangewezen bedrijfsaccount neemt (dit is een aparte categorie accounts bij Tweakers.net), daar een logo et cetera op zet en dan in taal en uitingen communiceert als het bedrijf, dan denk ik dat je als bedrijf er wel aan hangt. Ook als je er feitelijk niets van wist.

Begin augustus werd een vonnis gewezen over dit onderwerp in het kader van telefonische acquisitie. De Nationale Zorggids had gebeld met een psychologie-praktijk, waar een stagiair had opgenomen en zich had voorgesteld als assistent van de psycholoog. De verkoper smeerde haar een vermelding in de gids aan, waarna zij bevestigde dat de psycholoog dit wilde en akkoord was. Dat bleek bij de rechter bindend op de praktijk, ook al mocht de stagiair zich helemaal niet zo voorstellen en was er niet eens overleg geweest over de wenselijkheid van de vermelding. De zakelijke telefoon van het bedrijf opnemen en dan zeggen dat je bevoegd bent, is dus al een heel eind genoeg om je werkgever te binden aan van alles en nog wat.

Dat biedt natuurlijk ruimte voor allerlei misbruik. (Ik hoor Wim ten Brink nu al in de comments voorstellen een ICTRecht bedrijfsaccount te openen bij Tweakers en dan namens mij kortingen geven op allerlei producten.) Uiteindelijk komt het dan neer op een afweging van de omstandigheden, hoe geloofwaardig was dit bedrijfsaccount, en hadden mensen kunnen zien dat dit een neppert met een gevonden logo was?

Arnoud

Veel Nederlanders sturen werkbestanden naar privémailadres, mag dat?

| AE 10898 | Informatiemaatschappij | 16 reacties

Veel Nederlandse werknemers versturen weleens werkbestanden vanuit hun zakelijke mailbox door naar hun privémailadres, las ik bij Security.nl. Dat baseert zich op het recent verschenen Cybersecurity bewustzijnsonderzoek van Alert Online dat onder meer dan duizend Nederlanders werd uitgevoerd. Volgens het onderzoek zegt 15 procent van de respondenten dat ze dit “altijd of meestal” wel doen. 29 procent zegt soms wel, soms niet of meestal niet. Het onderzoek werd uitgevoerd door Motivaction in opdracht van Omnicom Public Relations Group (OPRG), dat de NCTV-campagne Alert Online organiseert. Ik kreeg van diverse mensen de vraag, kun je dit niet beter gewoon verbieden als werkgever?

Het kan natuurlijk een risico zijn om werkbestanden naar jezelf te mailen. Ik vermoed dat in de enquête vooral werd gedacht aan risico’s rondom de slechter beveiligde thuiscomputer, waardoor virussen er met de data vandoor kunnen gaan of deze door een foutje gemaild of geupload wordt naar een plek waar hij niet hoort. Idem voor privémailboxen die minder goed beveiligd zijn. Daarnaast zit je als bedrijf nog met AVG issues, een bestand met persoonsgegevens dat op deze manier mee naar huis gaat, kan best een datalek opleveren.

Vanwege deze risico’s kan ik me goed voorstellen dat een bedrijf haar medewerkers verbiedt om bestanden naar privéadressen te mailen en/of op sticks en dergelijke mee naar huis te nemen. Wel moet je als bedrijf dan goed hebben nagedacht hoe je het wil doen met thuiswerken, iets dat vaak de facto zeer zeker verwacht wordt van medewerkers. (Ze nemen die informatie immers niet voor niets mee naar huis.) Je kunt als goed werkgever niet enerzijds thuiswerken verlangen en anderzijds geen middel bieden om de benodigde data thuis te hebben.

In de comments zag ik nog de suggestie om werknemers aansprakelijk te stellen als ze zo’n verbod overtreden of een datalek veroorzaken door slechte beveiliging thuis. Dat gaat ‘m niet worden: juridisch gezien kun je werknemers gewoon niet privé aansprakelijk houden voor fouten die ze op het werk maken. En data meenemen naar huis om daar onveilig te werken, is gewoon een werkgerelateerde fout. Ook als het expliciet verboden is. Het arbeidsrecht is hier zeer op de hand van het personeel.

Ik ken werkgevers die om deze reden USB-poorten fysiek onbruikbaar maken en Gmail en consorten blokkeren. Dat is wat radicaal maar voorkomt een hoop ongewenste datatransporten. Je maakt het mensen dan weer wel moeilijker om hun werk te doen, dus daar moet je dan wat anders op verzinnen.

Arnoud

Mag een webwinkel me verplichten mijn geboortedatum in te vullen?

| AE 10893 | Ondernemingsvrijheid | 55 reacties

Een lezer vroeg me: Mag een bedrijf een klant verplichten om zijn geboortedatum te geven? Onder de AVG geldt het principe van dataminimalisatie: je mag niet meer persoonsgegevens gebruiken dan je strikt nodig hebt om je doel te halen. Vanuit dat principe mag je dus ook niet meer vragen dan wat je nodig hebt. Veel… Lees verder

Kunnen Linux-ontwikkelaars de GPLv2 intrekken als ze het met de Code of Conduct oneens zijn?

| AE 10887 | Informatiemaatschappij | 57 reacties

Herrie in de Linux-tent: een nieuwe Code of Conduct in het project heeft veel ophef veroorzaakt, inclusief dreigementen dat men bijdragen aan de kernel gaat intrekken. Deze zijn door vrijwilligers ingebracht onder de GPLv2 open source licentie, maar volgens partijen die het oneens zijn met de Code is het nu mogelijk deze licentie weer in… Lees verder

FBI verkreeg toegang tot iPhone X door ontgrendeling met gezicht via Face ID

| AE 10884 | Regulering | 9 reacties

De FBI heeft in een Amerikaans kinderporno-onderzoek het gezicht van een verdachte gebruikt om via Face ID toegang te krijgen tot zijn iPhone X. Dat meldde Tweakers onlangs. Het zou de eerste zaak zijn waarin deze methode is gebruikt. In eerdere zaken werd al wel gebruikgemaakt van vingerafdrukken. In een online beschikbaar rechtbankdocument staat dat… Lees verder

Wie moet de verzendkosten betalen bij een gebrickt navigatiekastje na een update?

| AE 10800 | Ondernemingsvrijheid | 21 reacties

Een lezer vroeg me: Twee jaar geleden heb ik een fiets-GPS gekocht bij een online winkel. Na een door de fabrikant aangeraden update te hebben doorgevoerd, werkt het apparaat niet meer (“gebrickt”). Volgens de winkel moet ik het apparaat nu opsturen naar de fabrikant in Duitsland, wat mij ongeveer 20 euro zou kosten. Maar er… Lees verder