Microsoft moet aan nabestaanden van een overleden Nederlander toegang verstrekken tot zijn Hotmail-account, meldde Tweakers onlangs. Het bedrijf maakte zich zorgen om de privacy van de correspondenten en wilde voorkomen dat kwaadwillenden in het account zouden kunnen, wat voor mij een mooie manier is om te zeggen “eigenlijk willen we geen gedoe met nabestaanden”. Maar de rechter zegt nu dat dat gewoon wel moet, en wel op straffe van een stevige dwangsom.
Uit het vonnis blijkt dat het gaat om de ouders en zussen van een man die in juli 2021 overleed. Zij wilden toegang tot zijn Hotmailaccount en zijn OneDrive-account. Kan dat? Een nog niet eerder bij de rechtbank behandelde vraag, maar eentje die deze eisers in keurig juridisch Nederlands inkleden als:
de stelling, daartoe onder verwijzing naar artikel 4:182 BW (saisine), samengevat, dat zij als erfgenamen rechtsopvolgers onder algemene titel van de accounts van hun zoon en broer en de inhoud ervan zijn en dus ook de nieuwe wederpartij van Microsoft met betrekking tot de desbetreffende overeenkomsten.Saisine is een begrip uit het erfrecht: “de regel dat de erfgenamen in beginsel de positie van de erflater ‘voortzetten’, hoort zowat tot de eerste lessen van iedere cursus erfrecht.” Concreet hier dus: toen deze man overleed, werden zijn erfgenamen (kennelijk ouders en zus) de rechtsopvolger onder het contract met Microsoft waaronder deze de diensten Hotmail en OneDrive aan hem leverde. (Niet eigenaar van het account, accounts bestaan juridisch niet.)
Microsoft reageert geheel zoals ik zou verwachten, namelijk naar Amerikaans recht met de dooddoener (sorry) dat men maar met een gerechtelijk bevel moet komen. In de VS laat je namelijk de rechter verzinnen wat logisch is, ongeacht de juridische kwestie. In Nederland doen we dat anders. Daar vinden we het logisch dat mensen zélf nazoeken hoe de wet zit en dat dan in alle redelijkheid gaan toepassen. In gewone taal: doe normaal, dat account is nu van deze mensen, reset het wachtwoord.
Oké, MS had ook wel juridische argumenten. Allereerst dat saisine niet zou gelden, waar de rechter niet in meegaat – alleen voor “hoogstpersoonlijke” overeenkomsten zoals huur of arbeid is het voortzetten door erfgenamen uitgesloten. En ten tweede zorgen over rechten van derden, namelijk de correspondenten van deze meneer wiens persoonsgegevens dus in de mailbox zitten. Ook dat gaat niet op: alle plichten uit de EULA gelden natuurlijk net zo goed voor de erfgenamen, inclusief dus de plicht om de privacy van anderen niet zomaar te schenden.
(Dan was er nog een verhaal dat Microsoft succesvolle inlogpogingen had gedetecteerd en daaruit concludeerde dat er iets raars aan de hand was. Snap ik niet helemaal, maar de rechter schuift het meteen terzijde.)
De conclusie van de rechter is dan ook rechttoe rechtaan: Microsoft moet toegang verlenen en wel zo snel mogelijk. Niet moeilijk doen, deze mensen zijn juridisch gezien gewoon de eigenaren na het overlijden van de eigenlijke eigenaar. MS krijgt twintig dagen en verbeurt daarna dwangsommen van tienduizend euro per dag. Dat is een fors bedrag, wat voor mij dus de indicatie is dat de rechtbank het handelen van MS als onnodig moeilijk doen zag.)
In de comments zie ik diverse mensen opmerken dat hiermee je ouders dus bijvoorbeeld de liefdesbrieven naar je partner (of je minnaar m/v/x) zouden kunnen zien, of discussie met je therapeut of wat maar zeer privé is en je niet wil dat je erfgenamen zien. Die snap ik, maar is dat anders dan die doos op zolder met je pikante ondergoed en zweepjes of de VHS band met privéopnames? Juridisch gezien niet volgens mij.
Het vonnis is een mooie bevestiging dat het erfrecht gewoon werkt in de digitale omgeving. Wie niet wil dat bepaalde erfgenamen toegang krijgen tot accounts, kan dat regelen bij testament. Of nog simpeler: je wachtwoord ergens in bewaring geven waar een vertrouwd persoon het account in kan en dingen kan wissen of opheffen, als dat is wat je wil.
Arnoud
Heeft een overledene nog recht op privacy? In de GDPR staat in Recital 27 heel luid en duidelijk: nee.
Dat klopt, maar Microsoft lag wakker van de privacy (gegevensbescherming) van de correspondenten van de overledenen. Die leven in principe nog wel.
Ik mag hopen dat ik niet een printje kan photoshoppen om op die manier toegang te krijgen. Het is zaak om goed te verifiëren dat het een valide overlijdensakte is. Ik kan geen neppe versie van een Belgische akte herkennen.
Het zou me niet verbazen als de onderliggende reden om hier tegen te zijn is de $$ kosten voor het valideren van overlijdensaktes. In alle talen, in alle landen van de wereld.
Dat is natuurlijk geen juridisch valide argument. Ik heb ook geen idee hoe een overlijdensakte eruitziet, maar je kunt altijd navragen bij de uitgevende instantie.
Onzekerheid over of het een valide akte is, maakt het een privacy-risico.
Maar natuurlijk, dat dat mensen / geld kost mag geen argument zijn. Neemt niet weg dat het niet de eerste keer zou zijn als het een reden is om een juridisch argument te verzinnen. Dat hier van tafel is gegooid.
Ik vind 20 dagen om toegang te regelen nog best wel veel. Ik zou verwachten dat die 15 minuten werk zou zijn voor een van de vele support medewerkers.
Waarom wordt er zoveel tijd gegeven? Zodat Microsoft eerst rustig kan overwegen om in beroep te gaan en vervolgens een vergadering in kunnen plannen met allerlei managers die bijna nooit tegelijk beschikbaar zijn om te bepalen welke support medewerker dit gaat doen?
Ik herinner me dat iemand (Bruce Willis? Geen idee meer) erg geschokt was toen hij erachter kwam dat hij zijn aangeschafte muziekverzameling in Spotify niet aan zijn kind kon achterlaten. Uiteraard Amerikaans recht in Amerika. Misschien dat dit email vonnis dan ook wel kan worden doorgetrokken naar digitale goederen die men voor geld heeft aangeschaft. Arnoud zegt wel altijd dat het diensten zijn (die kist met goud in WOW is niet echt een kist met goud), maar als je de rechtmatige voortzetter van een account bent … kom dan maar op met de films, muziek en virtuele goudkisten. Toch?
Klopt, als erfgenaam heb je dus recht op ongestoorde voortzetting van de dienstverlening inclusief alle afgenomen extraatjes zoals het mogen rondlopen met een kist met goud. Of de kist op zichzelf verhandelbaar is naar een ander, is weer een heel ander verhaal.
Betekent het nu dat heel veel EULA’s doorlopen na overlijden? Het lijkt me in veel gevallen lastig daar een (volledig) overzicht over te krijgen, maar toegang tot de mail zal ook daar een een start voor zijn …
Het afwikkelen van een overlijden wordt dan wel een enorme opgave … (je moet tegenwoordig 10-tallen ‘contracten’ per jaar aangaan als je een beetje mee wilt blijven doen:-)Waarom zou je die willen doornemen? Oprechte vraag, dat doe je toch ook niet als je zélf het account afsluit?
Ik bedoel eigenlijk niet de Eula zelf, maar denk vooral aan de accounts die overledene heeft aangemaakt wellicht met slecht passwords. Veel daarvan wil je wellicht zsm stoppen, om aansprakelijkheid voor misbruik door slordigheid te voorkomen. Voor dit arrest kon je er als nabestaande niets aan doen. Nu wel…
Dat is wel een aardige, je krijgt ook de verantwoordelijkheden voor al die accounts (hoewel niet perse de aansprakelijkheid voor onrechtmatig handelen van de overledene) dus er is dan soort van een plicht er even doorheen te gaan. Net als de klassieke erfenis, waarbij er wellicht ook ergens een garagebox is met spullen of een periodieke afspraak met een coach waar je wat mee moet.
“inclusief dus de plicht om de privacy van anderen niet zomaar te schenden.”
En toch ga ik GEEN 23 jaar oude e-mails uit mijn persoonlijk archief wissen. Wat dat is onderdeel van MIJN persoonlijke levenshistorie.
https://rudhar.com/about/privacy/privstnl.htm
“Of nog simpeler: je wachtwoord ergens in bewaring geven waar een vertrouwd persoon het account in kan”
O.a. https://lastpass.com schijnt daar goed voor te zijn. Werd me ooit aangeraden door een van mijn kinderen, en ik wil het ook gaan gebruiken, maar moet het eerst nog eens grondig bestuderen, of het echt wel veilig is. Ik ben 66, dus het is tijd om over zulke dingen na te denken en iets te doen.
Seconds after I posted that krijg ik een reclame van Facebook over Lastpass. Dat kan toch geen toeval zijn? Ik dacht dat ik 3rd party cookies had uitgezet? Hier ook al one-pixel sublinks? Nee toch?
Ik kan je garanderen dat Lastpass, Bitwarden (gebruik ik zelf), Keepass en andere bekende password managers je digitale leven een stuk veiliger maken. Dat komt voornamelijk omdat je door gebruik van deze tools eenvoudig op elke plek een ander lang wachtwoord kun gebruiken. Het grootste risico voor de gemiddelde gebruiker is namelijk dat een wachtwoord op platform 1 lekt en daarmee op platform 2 wordt ingelogd door een hacker. De enige veilige alternatieven zijn het bewaren van al je logingegevens op papier. (Voor de gemiddelde burger, als je veel (digitaal) geld hebt, beroemd bent of spion kun je dat beter niet doen) Of in je hoofd [Controleert password manager…] 354 wachtwoorden van > 20 tekens onthouden 🙂
Hoe zou dit in zijn werk moeten gaan voor complexere accounts zoals een Steam account. Binnen zo’n account heb je niet alleen de verzameling games en software maar ook publieke zaken zoals forum posts en reviews, en zeer persoonlijke zaken zoals achievements. De erfgenaam toegang geven tot de library is simpel. Maar hoe zit het met de rest? Is het ok als de erfgenaam forum posts en reviews gaat aanpassen of verwijderen? Mag de erfgenaam pronken met achievements die hij nooit zelf heeft gehaald? Moet/mag Steam een waarschuwing plaatsen dat sinds datum x/y/z het account niet meer gebruikt wordt door de oorspronkelijke eigenaar?
In beginsel is de erfgenaam de rechtsopvolger van het hele contract. Dus alle rechten ten aanzien van de content gelden nu voor hem. Als de poster dingen mocht wissen, mag de erfgenaam dat ook. Maar die mag niet meer of minder dan de overledene destijds mocht. Een forum dat kan hardmaken dat posts niet weg hoeven (persexceptie onder de AVG) kan dat dus ook weigeren tegen nabestaanden.
Achievements gaan inderdaad over, net zoals die medaille van de Elfstedentocht dat in de la lag bij opa nu via vererving jouw eigendom wordt. Je kunt ervoor kiezen daarmee te gaan schaatsen, echt netjes is dat niet maar het ding is jouw eigendom. Ik zie dit dus hetzelfde als een gekochte achievement of eentje die je door een ingehuurde beroepsspeler aan jouw account laat toevoegen. Het kan, het mag, maar het is niet echt de bedoeling en je zult er vast op uitgelachen worden.
(Ik dacht dat dat bij militaire onderscheidingen ook zo is, maar die blijken dus eigendom van de Staat te blijven en moeten terug bij overlijden.)
Microsoft (of andere dienstverleners) kunnen net als banken gewoon naar een verklaring van erfrecht vragen.
Het probleem dat MS ziet is dat zij in veel landen opereert en dus per land moet verifiëren of die verklaring echt is. Ik zou zelf bijvoorbeeld niet weten hoe een Duitse verklaring van erfrecht te herkennen op valsheid of echtheid, en ik zie het wel gebeuren dat oplichters met nepverklaringen komen om accounts over te nemen.
Natuurlijk, dat is iets dat ze kunnen inkopen maar dat kost geld dus waarom zou je? Het is dan makkelijker om te zeggen “kom maar terug met een vonnis” want dat gebeurt bijna nooit en als het gebeurt dan zegt jouw advocaat of het vonnis echt is. En die betaalde je toch al. Dat is dus een veel zakelijk slimmere oplossing.
Grote banken opereren ook in veel landen, en moeten zich ook aanpassen aan de plaatselijke regels, dus dat is geen excuus. Laat MS maar in elk land een kantoor openen om dit soort zaken af te handelen.
Een advocaat zou -als het goed is- ook een verklaring van erfrecht moeten kunnen beoordelen. Dat zal allicht goedkoper zijn dan als gedaagde partij verweer moeten voeren in een proces dat is aangespannen door de erfgenamen. Zeker als het Duitse of Nederlandse erfgenamen betreft loopt MS gezien de jurisprudentie grote kans zo’n proces te verliezen,
Natuurlijk. Maar voor elke verklaring een advocaat inhuren is duurder dan die ene rechtszaak in drie jaar voeren en verliezen. Want lang niet iedereen gaat procederen, zeker niet tegen het grote machtige Microsoft.
Zo’n reactie is roepen om een wetswijziging.
Hangt er denk ik ook vanaf hoeveel ruchtbaarheid een verlies van Microsoft krijgt. Zeker als op basis hiervan nog een paar zaken gevoerd en door MS verloren zouden worden zal het langzaam doordringen dat een rechtszaak geen risico op kosten zonder resultaat meer is.
Ik dacht ook ergens gelezen te hebben dat Microsoft deze rechtzaak vooral heeft laten doorgaan omdat ze graag zeker wilde weten of het inderdaad verplicht is. Nu dat duidelijk is verwacht ik dat ze gewoon een proces gaan inrichten. Ook logisch dat ze het zo doen, als er nu een probleem ontstaat mbt privacy van geadresseerden in een mailbox of een datalek mbt een vervalst overlijden dan kunnen ze naar deze uitspraak wijzen.
Google heeft daarvoor functionaliteit, waarbij je kunt instellen wie toegang mag krijgen tot welke onderdelen… Op zich is dat zo netjes geregeld… Zo kun je aangeven dat je partner bij je Drive mag met contracten en andere documenten, je partner en kinderen bij je foto archief mogen, maar dat je chatgeschiedenis gewist moet worden…
Dat zouden er meer moeten doen!