Wanneer is een Message of the Day rechtsgeldig?

login-warningEen lezer vroeg me:

Bij sommige diensten binnen ons bedrijf moet je inloggen. Daarbij krijg je een bannertekst te zien, ook wel “message of the day” (MOTD) geheten. Daarin staat onder meer dat je persoonlijk aansprakelijk bent voor misbruik, dat privégebruik verboden is en dat men je te allen tijde in de gaten mag houden. Is dat juridisch houdbaar? En hoe ver mag je gaan met zo’n banner of motd?

Of je het nu MOTD, banner, disclaimer, terms of service, EULA of wat dan ook noemt, naar Nederlands recht zijn bepalingen die voor meerdere gebruikers hetzelfde zijn “algemene voorwaarden”. Algemene voorwaarden zijn immers per definitie (art. 6:231 BW) voorwaarden die bestemd zijn om in meerdere overeenkomsten op gelijke wijze gebruikt te worden.

Algemene voorwaarden zijn snel bindend; ook als je ze niet gelezen hebt en ook als je geen vinkje hebt geplaatst zit je eraan vast als vóór contractsluiting is gemeld dat ze gelden. Het idee hierachter is dat toch geen hond die voorwaarden leest. Maar daar tegenover staat dat je als wederpartij algemene voorwaarden sneller kunt aanvechten dan voorwaarden die wél specifiek onderhandeld zijn. Zodra algemene voorwaarden ‘onredelijk bezwarend’ zijn, kun je ze vernietigd krijgen. Een motd of banner of EULA is dus in principe rechtsgeldig.

Een loginbanner wordt echter pas bij het inloggen getoond, en een motd pas ná dat inloggen. Beiden zijn te laat. In de meeste gevallen sluit je het contract met het bedrijf achter de dienst immers bij registratie of bestelling en niet bij inloggen.

In de context van werknemers die inloggen ligt het iets anders. Een werknemer sluit natuurlijk geen contract met zijn werkgever elke keer als hij inlogt. Meldingen als deze zijn in dat kader dus geen algemene voorwaarden maar moeten onder het kopje “instructies betreffende de arbeid” (art. 7:660 BW) worden gerekend. De werkgever mag zulke instructies geven, mits ze redelijk zijn, maar hij hoeft ze niet apart in een ICT-reglement of het arbeidscontract vast te leggen. En hij mag ze dus ook na het sluiten van het arbeidscontract stellen. Een werkgever kan dus prima via een motd of banner voorwaarden stellen aan het gebruik van de ICT-faciliteiten.

Natuurlijk mogen die voorwaarden op zich niet ingaan tegen de wet, dus een voorwaarde die zomaar de privacy opzij zet kan niet door de beugel. Hiervoor gelden dezelfde regels als bij ICT-reglementen in het algemeen: de privacy staat voorop, en de werkgever mag daar alleen doorheen als dat noodzakelijk is voor een eigen legitiem belang, er geen andere keuze is die de privacy niet of slechts in beperktere mate schendt én de maatregel proportioneel is gezien het doel. Op een bedrijfskritische server alles loggen lijkt me daar net wel in te passen. Persoonlijke aansprakelijkheid is echt volstrekte onzin, je bent als werknemer eigenlijk nooit persoonlijk aansprakelijk (art. 6:170 BW) voor wat je doet met je werknemerspet op. Maar mogelijk staat dat er alleen om mensen schrik aan te jagen.

Meelezende systeembeheerders: hoe komen jullie aan je banner- dan wel motdteksten? Zijn die opgesteld door de bedrijfsjurist, ergens van internet geplukt, bij de installatie meegekomen of hebben jullie er zelf over nagedacht?

En wat stáát er in jullie banners?

Arnoud

36 reacties

  1. Als Linux beheerder; liever geen Juridische MOTD’s en/of Banners. (Net zoals ik Email Disclaimers veracht.) Maar ja, klanten geven nog wel eens teksten die men perse in de banner wil terug zien. Vaak om “Hackers” extra te kunnen “aanpakken”. Yeah right…

    Per email kan ik wel een paar voorbeelden opsturen zo gewenst?

  2. Een loginbanner wordt echter pas bij het inloggen getoond, en een motd pas ná dat inloggen. Beiden zijn te laat. In de meeste gevallen sluit je het contract met het bedrijf achter de dienst immers bij registratie of bestelling en niet bij inloggen.

    Daar sluit je een belangrijke doelgroep mee uit: de groep die geen contract heeft en gewoon een beetje probeert binnen te dringen. Door een pre-login banner vermijd je de discussie dat men niet wist dat het een afgeschermde omgeving betrof. (Vroegah, in de tijd van telnet BBS-en, gopher diensten en semi-publieke FTP servers was dat nog een gebruikelijke afweging).

    Overigens raadde onze Amerikaanse bedrijfsjurist ons eind jaren ’90 aan om overal de tekst ‘welkom’ uit die banners te verwijderen, omdat dat dat een hacker een excuus zou geven (“Wat nou binnendringen, er stond toch welkom?”).

    1. Eh, ja. “Op de deurmat stond Welkom dus hoezo ben ik aan het inbreken door met een koevoet de deur open te maken.”

      Het is inderdaad nodig dat op een of andere manier blijkt dat je op verboden terrein bent, anders is geen sprake van binnendringen. En vroegah had je zelfs een beveiliging nodig die moest worden doorbroken. Het digitale equivalent van het art. 461 Strafrecht-bordje dus, en daar zou je een MOTD/banner voor kunnen gebruiken. Maar meer dan “verboden toegang voor onbevoegden”* zou niet nodig moeten zijn.

      • En volgens mij zelfs dat niet want het spreekt voor zich dat ONbevoegden niet naar binnen mogen.
  3. Enige jaren geleden werkte ik voor het minsterie van justitie. Bij inloggen kreeg men een pop-up te zien waarin stond dat oneigenlijk gebruik van computers en IT-faciliteiten (daaronder viel eigenlijk alles wat niet direct werkgerelateerd was) zou worden “gesanctioneerd” waarmee dus feitelijk een vrijbrief werd gegeven voor hacken, megadownloads en andere waarschijnlijk ongewenste activiteiten. Laat dus je MOTD opstellen door een jurist, of in ieder geval door iemand met basale kennis van de Nederlandse taal. (http://onzetaal.nl/taaladvies/advies/sanctioneren)

  4. Ik heb nog geen meegeïnstalleerde berichten gezien in de strekking van “privé gebruik verboden” e.d. Dat zou natuurlijk ook wat raar zijn, want de ontwikkelaar van een softwarepakket maakt het natuurlijk niets uit of je als werknemer in de gaten gehouden wordt of wie er verantwoordelijk is. Tijdens mijn werk heb ik wel een paar interessante teksten gezien;

    The programs included with the Debian GNU/Linux system are free software; the exact distribution terms for each program are described in the individual files in /usr/share/doc/*/copyright.

    Debian GNU/Linux comes with ABSOLUTELY NO WARRANTY, to the extent permitted by applicable law.Dit bericht verschijnt bij iedere gebruiker die inlogt op een Debian systeem. Deze informatie lijkt me nuttig voor een systeembeheerder, maar dan enkel bij installatie. De informatie voor iedere gebruiker bij iedere login herhalen lijkt me overdreven, maar misschien is het nodig in Amerika? Gelukkig is dit bericht makkelijk uit te schakelen [1].

    Ook interessant is het bericht wanneer je het programma sudo gebruikt (om voor een speciale taak tijdelijk een hoger toegangsniveau te verkrijgen); de eerste keer dat je dit programma als gebruiker aanroept krijg je het volgende bericht te zien:

    We trust you have received the usual lecture from the local System Administrator. It usually boils down to these three things:

    #1) Respect the privacy of others.
    #2) Think before you type.
    #3) With great power comes great responsibility.
    

    Goed advies, maar deze tekst is zeer lastig te verwijderen uit het systeem. Ik vraag me af wat dat doet met de juridische status van een dergelijke tekst; als je als ervaren Linux beheerder die tekst te zien krijgt bij je nieuwe werkgever, moet je dan verwachten dat het beleid is of mag je het simpelweg wegwuiven omdat je het herkent als een standaardtekst waarvan niemand de moeite heeft genomen om hem weg te halen?

    [1] http://thomashunter.name/blog/a-better-debian-ssh-login-message/

    1. Ah ja, software die zelf met disclaimers of waarschuwingen komt. Pet peeve van mij, er klopt zelden iets van.

      • Microsoft Outlook web access dat je bedreigt met de organizational security policy, ongeacht of de organisatie die heeft (en je kunt het niet uitzetten)
      • phpBB dat zelf gebruiksvoorwaarden meelevert met onder meer dat je minstens 13 moet zijn, wat Europees gezien nergens op slaat
      1. phpBB dat zelf gebruiksvoorwaarden meelevert met onder meer dat je minstens 13 moet zijn, wat Europees gezien nergens op slaat
        Mag dan wel nergens op gebaseerd zijn maar de makers van het forum mogen natuurlijk wel een leeftijds-limiet instellen. Toch? Bij phpBB hebben ze hier een mooie discussie die eigenlijk aangeeft dat het met de Amerikaanse COPPA-regelgeving te maken heeft, die deze leeftijd voorschrijft. Een belachelijke wet, overigens. Maar goed, bedrijven die in de USA opereren moeten zich hier aan houden…

          1. Tja, maar bedenk wel dat phpBB in de USA best populair is en deze default voorwaarden dus al goed zijn. Daarnaast zijn er genoeg mensen buiten de USA die hun site op servers binnen de USA laten hosten, of door een bedrijf laten hosten dat wortels heeft in de USA, of die hun forum ook mensen uit de USA toelaten. Eigenlijk hebben we hier in Europa en Nederland een vergelijkbare gekte, namelijk onze cookie-wetgevingen. Te idioot voor woorden maar het betekent voor mij als web developer dat ik mijn sites moet aanpassen aan deze wet, indien ik ze in Nederland uitlever aan anderen. (En in de USA moet iets gezegd worden over dat mensen onder de 13 geen toegang mogen zonder BlaBlaBla…) Voor web developers die generieke producten maken die anderen weer installeren en gebruiken is al deze wetgeving eigenlijk alleen maar lastig, maar we moeten wel rekening houden met deze rare zaken. Dus dan maar volstoppen met overbodige regels om zelf ingedekt te zijn. Laat de gebruiker het maar op maat maken. En natuurlijk gebeurt dat bij WordPress, phpBB en andere populaire producten dus bijna nooit…

              1. Om eerlijk te zijn, ik heb geen bezwaar tegen dat tracking, mits dat maar bedoeld is om te voorkomen dat ik advertenties voor tampons, afslank-producten, datingsites of andere rotzooi te zien krijg. Als een site dan toch advertenties biedt, dan liever advertenties waar ik wel interesse in heb… 🙂

                1. Sorry Wim, maar ik heb er wel bezwaar tegen als mijn gedrag gevolgd wordt door bedrijven die zich niet aan de Nederlandse privacywet houden. Voor je het weet is je complete surfgeschiedenis gearchiveerd door de NSA. Adblock Plus is trouwens een prima privacytool… de adverteerder hoeft niet bij te houden welke advertenties ik niet wil zien: Allemaal!

                  1. @MathFox, het is prima als jij geen advertenties wilt zien, maar ga dan niet klagen dat het Internet opeens onbetaalbaar wordt. Er zijn veel sites afhankelijk van de extra inkomsten die deze advertenties genereren. Zonder deze vorm van inkomsten worden diverse sites afhankelijk van giften van de bezoekers. Of dan krijg je dat veel websites achter een PayWall verdwijnen. Denk bijvoorbeeld aan het populaire Nu.nl waar je iedere dag gratis nieuws te zien krijgt. Die site kan zonder advertenties niet eens bestaan, maar gelukkig zijn hun advertenties in het algemeen niet al te opdringerig.

                    Of denk aan dit blog, wat eigenlijk een enkele, enorme advertentie is voor Arnoud, Internet-Jurist. 🙂 En ook hier zie je advertenties, hoewel deze enorm doelgericht zijn. (En bovendien allemaal aan ICTRecht gerelateerd.) ICTRecht heeft nu een advertentie voor het maken van EULA’s voor 45 euro. Mooie aanbieding toch? Maar desondanks wel een advertentie!

                    Als websites informatie over mij nodig hebben om zo via doelgerichte advertenties extra inkomsten voor zichzelf te genereren, okay. Vind ik beter dan dat ik maandelijks 10 euro mag betalen om dezelfde inhoud te zien. Voor sommige sites, zoals DeviantArt of mijn hosted WordPress blog ben ik wel bereid om een klein bedrag te betalen om geen advertenties te hebben. Maar ik kan toch niet betalen voor alle sites die ik bezoek?

                    Maar je zegt het goed: er zijn bedrijven die zich niet aan de privacy-wetgeving houden. Maar om dan iedereen die zich wel aan de wet houdt meteen af te straffen, dat gaat mij te ver. Bedrijven die zich niet aan de wet houden zijn te betrappen via honeypot-constructies. En worden ze dan betrapt dan zullen ze meteen zware boetes mogen gaan betalen. (En via deze honeypot-constructies kun je ook mooi zien wie er data aan het lekken zijn!)

                    1. Wim, ik betaal voor mijn Internettoegang en die rekening zal niet hoger uitpakken als ik geen advertenties meer bekijk. (Die advertenties van ICTRecht op Iusmentis komen trouwens prima door.) En bij het advertentienetwerk dat nu.nl gebruikt krijg je soms zaken geserveerd die je liever niet hebt! Ik heb niet zoveel bezwaar tegen de advertenties op zich, maar wel bezwaar tegen de privacyschending (tracking) door de adverteerders die de advertenties serveren. Ik vraag me af waar al die 1×1 transparante gifs reclame voor maken…

                      1. @MathFox, het probleem is niet jouw internet-rekening, maar de extra rekeningen voor de diverse websites die je wilt bekijken, maar die nu minder (of niets) verdienen doordat ze geen (doelgerichte) advertenties meer kunnen tonen. Dan betaal je straks 10 euro per maand om nu.nl te bekijken, 5 eurocent per Google-search, 20 euro per maand voor je Windows Live account en ga zo maar door. Nee, je UPC abonnement zal niet duurder worden, maar de “gratis” websites houden gewoon op te bestaan omdat adverteerder niet meer in hen investeren, simpelweg omdat het hen te weinig oplevert.

                        Kijk, als jij de Viva website gaat bezoeken heb je vast geen bezwaar tegen tampon-reclames en zo. Maar op nu.nl in de sportsectie of auto-sectie wil je dat natuurlijk niet zien. Dan zie je liever reclames voor sportschoenen of de nieuwste Mitsubisho Space Star. 🙂 Maar die reclames met vleugeltjes en witte doekjes… YECH!

                        En ja, malware… Shit happens. Websites raken soms besmet, of ze nou wel of niet achter een paywall zitten. Dat het toevallig gebeurt doordat de advertentisite besmet raakte, jammer. Maar websites zoals nu.nl hebben nu eenmaal een bron van inkomsten nodig en de meeste bezoekers gaan echt niet betalen.

                        1. @Wim en @Richard: tegen advertenties die gebaseerd zijn op de content van een pagina heb ik helemaal geen bezwaren (mits ze niet de hele pagina gebruiken en geen geluid maken). Van het tracken wordt ik echter niet blij, om die reden zet ik af en toe bepaalde hosts op een blacklist om het tracken moeilijker te maken. Als iemand hier een oplossing voor heeft dan zou ik dat gebruiken in plaats van AdBlock Plus.

                          1. @Mark, er zijn veel websites die vrij algemeen van aard zijn. Nu.nl is gewoon een nieuwssite en daarbij is alles eigenlijk wel van toepassing. Nu kun je wel advertenties gerelateerd maken aan het onderwerp, maar dat gaat lang niet altijd goed. Bij een artikel over een vliegramp bij Schiphol wil je geen reclames zien voor vliegvakanties. En ook geen condoom-reclames indien minderjarigen aan het browsen zijn, lijkt mij. Maar als een adverteerder merkt dat jij regelmatig de Viva website bezoekt dan kan reclame voor tampons op nu.nl best wel de juiste doelgroep treffen. Grote kans dat jij dan een vrouw bent. Of reclames over zwangerschaps-producten voor als de adverteerder uit je surfgedrag opmaakt dat jij wel eens zwanger kunt zijn. Pakt soms verkeerd uit, maar meestal is dergelijke gerichte reclame veel effectiever dan maar willekeurig wat tonen. Adverteerders betalen niet voor inefficiente advertentie-methodes. Wil je met een minimum aan advertenties een website draaiende kunnen houden dan zul je moeten zorgen dat de advertenties op jouw site zo efficient mogelijk zijn, zonder meteen alle bezoekers weg te jagen. De kosten voor het onderhouden van een website kunnen aardig oplopen. Ja, met shared hosting kun je erg goedkoop uitkomen en die zijn handig als je weinig bezoekers hebt. Maar sites zoals nu.nl hebben zulke grote aantallen bezoekers dat ze een stevig server-park moeten laten draaien met daarop goed beveiligde software, plus het nodige personeel om de boel te onderhouden. |En met alleen inkomsten uit advertenties moeten die advertenties ook zeer efficient werken. Of ze gaan per bezoeker 5 euro per maand vragen. Wat heb je liever? En ga je echt betalen of ga je zoeken naar een andere nieuwssite die wel gratis is?

                      2. ’t Wordt wat offtopic maar ik moet het toch even kwijt.

                        Wim, ik betaal voor mijn Internettoegang en die rekening zal niet hoger uitpakken als ik geen advertenties meer bekijk.
                        Ik heb wel eens overwogen om op de websites die ik exploiteer gewoon toegang te weigeren voor mensen die dit soort adblock-software draaien, en met dit soort freeloading-is-fine reacties krijg ik daar weer helemaal zin in!

                        Als die advertenties je niet bevallen blijf dan lekker weg van de hele website…

                        1. Hij heeft het toch niet over dat er geen advertenties meer getoond mogen worden maar hij wil alleen niet getracked worden en niet dat er profielen over hem aangelegd worden. Als jij die mensen wilt weren, prima, maar ik denk dat dit soort mensen toch al nooit op een banner klikt. Althans ik kan me de laatste keer niet herinneren dat ik op een reclame op een site heb geklikt*.

                          Wat is er mis met het verplicht stellen van luisteren naar de DNT-header? Ik wil niet gevolgd worden en heb er geen probleem mee als er tampon reclames getoond worden. Dus ik zet die header aan. Wim wil geen tampon reclames en heeft geen problemen met tracking dus hij zet het uit. Probleem opgelost toch?

                          En over het gratis zijn van websites. Die sites zijn nu ook al niet gratis want je betaalt met je privacy. Ik heb graag de keuze of ik met geld betaal of met privacy….

                          * Uitzondering is er voor de Google ads bij een zoekopdracht omdat dat echt relevante advertenties zijn en deze prima zonder tracking getoond kunnen worden.

                          1. Maar adverteerder moeten zorgen dat de advertenties in meer verkopen resulteren. Dat is beter te bereiken als je iemand doelgerichte advertenties aanbiedt, zodat ze sneller geneigd zijn om toch te klikken. De truuk is namelijk om mensen die normaal niet op een banner klikken nu toch te laten klikken in de hoop dat je eindelijk iets interessants voor hen hebt. Maar daarvoor moet je toch echt weten wat de bezoeker interesseert.

                            En de prijs? Privacy of euro’s? Tja, euro’s heb ik maar in beperkte hoeveelheid. Maar privacy heb ik in overvloed. 🙂 Er zijn sowieso genoeg personen die willen kopen met hun privacy, indien het hen geen geld kost. Het enige wat ik wil is dat ikzelf kan bepalen welke delen van mijn privacy ik inlever voor bepaalde voordelen. Mijn hobbies, mijn werk, mijn leeftijd en geslacht zijn helemaal geen geheim. Mijn adres en telefoonnummer wel een beetje, net als mijn email adres. Maar andere zaken hou ik nog wel prive. Maar goed, ik ben bewust van de privacy die ik her en der inlever. Niet iedereen is zich hier goed bewust van.

                            1. Het enige wat ik wil is dat ikzelf kan bepalen welke delen van mijn privacy ik inlever voor bepaalde voordelen.

                              Precies mijn punt, maar de denkfout die je maakt is dat je dat zelf kan bepalen en dat is dus niet waar zonder je in hele grote bochten te wringen.

                              Doordat jouw surfgedrag vrijwel non-stop wordt bekeken door Google,FB en advertentie-netwerken kan er een vrij accuraat profiel van je gemaakt worden. Inclusief je inkomen, hobbies, geloof, politieke voorkeur, sexuele voorkeur(en), ziektes, etc. Het is prima dat jij dat niet erg vindt maar ik vind dat wel erg. Dus geef me de keuze.

                              Ik wil daar graag zelf de controle over houden en betaal dan graag (geld) om bepaalde sites te bezoeken als dat nodig zou zijn. Maar ik ben er van overtuigd dat je prima rendabele sites kan maken zonder tracking.

  5. Arnoud, even helemaal offtopic, ik weet niet of je een cache gebruikt ofzo maar vandaag moet ik steeds dingetjes als ?blaat toevoegen aan de URL om de laatste posts op deze pagina te zien.

      1. Ja! Er staat dan wel een nieuwe reactie aan de rechterkant maar als je daar op klikt is de reactie nergens te vinden en is deze ook verdwenen aan de rechterkant. Iets te veel cache denk ik. Het is overigens al een paar dagen zo.

          1. Ja nu werkt het weer soepel…. En ook de Naam en Email wordt nu weer gewoon onthouden, erg prettig.

            Deze problemen waren echt nieuw en niet al een paar maanden oud. Misschien is er een nieuwe versie geïnstalleerd of toch iets veranderd in de instellingen?

              1. Het is inderdaad over. Ik kan me herinneren dat dit een hele tijd geleden ook kortstondig heeft gespeeld. Als nu die cookies ook weer een normale lifetime hebben dan ben ik echt perfect gelukkig.

                EDIT geweldig, de cookie lifetime is weer 30 miljoen seconden.

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.