Via Reddit:
Eén van de gebruikers van mijn SaaS voorraadbeheersoftware (ERP) heeft voorraadartikelen gelabeld met termen als wit, blauw, groen en hemelsblauw en hoeveelheden in grammen en kilogrammen. Hun herbevoorradingsmeldingen zijn ingesteld om 3 uur ’s nachts en per locatie is een “heat level” van 1 tot 5. Ze hebben meer dan $2 miljoen aan omzet gegenereerd via mijn SaaS-oplossing van $29 per maand. Dit riekt naar drugshandel. Ben ik wettelijk verplicht hier iets mee te doen?De hoogst gepluste reactie suggereert dat dit bedrijf kleurpotloden verkoopt, al is onduidelijk wat dan het “heat level” zou zijn. Anderen denken aan het peperniveau van hot sauce. Bij drugshandel zou dat verwijzen naar het risico van politie-aandacht voor je verkooplocatie, en ook daar wordt in grammen verkocht.
In Europa worden SaaS-dienstverleners beschermd door de Digital Services Act (DSA). Deze bepaalt dat hosting providers niet aansprakelijk zijn voor illegale inhoud van klanten. Meestal denken we dan aan uitingsdelicten, maar de wet is zeer algemeen:
“illegale inhoud”: alle informatie die op zichzelf of in verband met een activiteit, waaronder de verkoop van producten of het aanbieden van diensten, indruist tegen het Unierecht of tegen het met het Unierecht in overeenstemming zijnde recht van een lidstaat, ongeacht het precieze voorwerp of de precieze aard van dat recht;ERP-informatie over drugshandel voldoet aan deze beschrijving, want betreft informatie in verband met verkoop van producten in strijd met nationaal (straf-)recht in de EU.
Artikel 6 DSA zegt dan dat de hosting provider niet aansprakelijk is, mits hij:
- niet daadwerkelijk kennis heeft van de illegale activiteit of illegale inhoud (…) en
- zodra hij dergelijke kennis of dergelijk besef krijgt, prompt handelt om de illegale inhoud te verwijderen of de toegang daartoe onmogelijk te maken.
Die kennis moet in ieder geval (overweging 22) specifiek zijn; algemeen weten dat er illegale inhoud tussen kan zitten is niet genoeg. Bij meldingen wordt als criterium gehanteerd (overweging 53) dat er voldoende informatie is
om een zorgvuldige aanbieder van hostingdiensten in staat te stellen zonder een gedetailleerd juridisch onderzoek vast te stellen dat het duidelijk is dat de inhoud illegaal is (…).Het moet dus ‘duidelijk’ zijn en je moet er geen advocaat of jurist bij hoeven halen om een juridische kwalificatie te doen. De rechtspraak rond de ecommerce richtlijn (voorloper van de DSA) gaat hier niet direct op in, en focust vooral op de vraag of geautomatiseerd scannen leidt tot ‘kennis’ (nee).
Ik zie hoe je met bovenstaande feiten redelijkerwijs zou kunnen denken dat de klant illegale zaken (drugs) aan het verkopen is. Een twijfelgeval daarbij vind ik wel de “heat level” factor. Inderdaad is “heat” een slang term voor “politieaandacht” maar dat is dan net té direct als je verder je productnamen camoufleert met kleuren.
Mijn advies bij deze vraag zou wel zijn om het account tijdelijk te sluiten (suspension) en de klant te verzoeken duidelijkheid te geven over wat ze verkopen. Aanleiding daarvoor zou dan het ongebruikelijk grote data- of opslagverkeer zijn. Het is toegestaan om dan te kijken wat er gebeurt, en als je dan zoiets opvalt dan mag je verduidelijking vragen.
Arnoud
Arnoud, je zegt dat het toegestaan is om te kijken wat er gebeurt – ik neem aan dat je daarmee doelt op verkeer, opslag etc – beheersgerelateerde zaken. Minder relevant voor deze specifieke casus, maar wel opvallend afwezig, is het benoemen van het feit dat deze beheerder/leverancier uberhaupt kennis heeft genomen van inhoudelijke zaken mbt de administratie van zijn gebruiker. Dit voelt niet correct – mag deze leverancier eigenlijk op dat niveau wel naar informatie kijken?
Het begint inderdaad bij oppervlakkig observeren. Maar als je gekke dingen ziet, mag je dieper spitten. Een klant die er qua omzet enorm uitspringt maar zeer onopvallende metadata heeft, daarvan zou ik ook denken “wat doet die eigenlijk”. Het op Reddit zetten is vers 2, maar hier zou ik geen moeite hebben met die tabelnamen bekijken. En hoe meer je ziet, hoe raarder het wordt.
Ik vermoed dat de gebruiker het niet leuk vindt dat iemand in zijn data zit te snuffelen. Zolang dat inderdaad potloden zijn zal de reactie wellicht wel meevallen. Maar als dat inderdaad drugshandel is zou ik goed opletten als ik buiten was.
Ook als ik gewoon kleurpotloden verkoop zou ik gelijk op zoek gaan naar een andere partij. Samen met een publieke, negatieve review, over hoe de partij in klantdata snuffelt.
Ook al zou het juridisch mogen. Het gaat alle perken te buiten om in klantdata te gaan snuffelen.
Maar wat is dan de norm voor er qua omzet uit springen?
Nu is de omzet 2 miljoen maar wat als al je klanten 2 miljoen omzet hebben? Dan springt 2 miljoen er niet meer uit.
En is een hoge omzet hebben verdacht genoeg om verder te mogen kijken?
En waarom zou een SaaS dienstverlener zonder aanleiding mogen kijken naar de omzet van zijn klanten?
Huh, je bent toch niet wettelijk verplicht corrupt politieagentje te spelen?
Waar slaat dat nou weer op? Als jij een klant ziet die zich raar gedraagt (ongebruikelijk groot data/opslag) dan mag je dat onderzoeken. Dat is toch gewoon jouw zakelijk belang? Als jouw garagebox enorm stinkt, mag ik als verhuurder ook onderzoeken.
Ik lees nergens dat er ongebruikelijk groot data- of opslagverkeer was.
Ik denk dat een klant niet blij is als met een smoesje zijn account tijdelijk gesloten zou worden. Risico bestaat dat zo’n klant dan tegenmaatregelen neemt, en afhankelijk van het type klant hoeft dat niet strikt juridisch te zijn…
Het probleem is dat het “rare gedrag” in dit geval alleen opvalt wanneer je inhoudelijk naar de klant-data gaat kijken, iets wat je in beginsel al niet zou moeten doen als saas-provider.
Crayons zijn geen kleurpotloden, maar wat wij waskrijt of wasco noemen.. En waskrijt kan smelten als het te heet wordt, daar doelde die reactie op, overduidelijk op een manier als “ja het is drugs, maar je kan net doen alsof het waskrijt is en er dan verder gewoon buiten blijven”.
En dat is ook geen onredelijke reactie. Het is duidelijk een klein bedrijfje of kleine zelfstandige, en de realiteit van de situatie is gewoon dat het daadwerkelijk levensgevaarlijk kan zijn om handelaren in drugs te gaan verklikken bij de politie.
Ik zou dat niet doen. Zo’n klant is afhankelijk van al z’n bedrijfsvoering voor zo’n product. Als dat door zo’n geintje een halve dag stil ligt dan levert dat significante schade op.
Als er dan achteraf niets aan de hand blijkt te zijn ben je alsnog je klant kwijt (en mogelijk een claim rijker) vanwege de veroorzaakte schade. Je kan ze alsnog vragen wat ze aan ’t doen zijn, maar lukraak sluiten dus beter niet doen.