Kun je als freelancer de aansprakelijkheid voor je werk afschuiven op de opdrachtgever?

| AE 9189 | Aansprakelijkheid, Software | 6 reacties

Een lezer vroeg me:

Sel dat je als freelancer aan een (software)project werkt voor een opdrachtgever, en om de een of andere reden is wat je aan het bouwen bent niet legaal. Misschien niet heel evident maar je ziet wel twijfels. Moet je daar dan nader onderzoek naar doen, juridisch advies inwinnen of kun je dat bij je opdrachtgever neerleggen in bijvoorbeeld de opdrachtbevestiging of algemene voorwaarden?

Dit is zo heel algemeen natuurlijk lastig te zeggen. Je kunt in een zakelijke overeenkomst veel doen, inclusief aansprakelijkheden voor van alles en nog wat verleggen naar je opdrachtgever. Je zult daar wel expliciet over moeten zijn en het is natuurlijk maar de vraag waarom je opdrachtgever daarmee akkoord zou gaan.

Voor mij zou een belangrijke zijn of wat je aan het bouwen bent nooit legaal kan zijn of juist soms. Een goksite kan illegaal zijn, maar als de opdrachtgever keurig een vergunning weet te krijgen, dan is er niets aan de hand. Als de opdrachtgever je vraagt iets te maken om zijn ex permanent te kunnen volgen, dan is de legale optie iets minder goed voorstelbaar.

Ook zou het nogal uitmaken hoe ernstig de illegaliteit is. Als een webwinkelier zijn btw-nummer niet op de site wil (dat is immers ook zijn BSN), dan is dat een wetsovertreding maar dat is van een iets andere orde dan die spyware. Ik zou daar minder moeite mee hebben om in mee te gaan als ontwikkelaar.

Hetzelfde geldt voor de vraag wiens idee het was, die illegale feature. Standaard het btw-nummer weglaten omdat het de klant zijn privacy raakt (het is immers zijn BSN) vind ik heel wat anders dan op klantverzoek en na discussie dat nummer weglaten. Of bij implementatie van iemands analytics geen cookietoestemming vragen omdat de cookiewet idioot is en toch niemand het leest. Dat mag je vinden, maar dat is een beslissing van je klant.

In de security-wereld kennen ze dit probleem al langer: veel security-onderzoek botst tegen de grijze randjes van computervredebreuk aan. Hiervoor is het instrument van de pentest waiver uitgevonden, waarin de opdrachtgever kortweg zegt dat het onderzoek mag en dat hij van iedereen toestemming heeft en je vrijwaart van claims van de hele wereld.

Het belangrijkste lijkt me om in zulke twijfelgevallen vast te leggen wat de zorg is, hoe daarover gesproken is en wat de conclusie was. Dat sluit ook aan bij je zorgplicht als opdrachtnemer (art. 7:400 BW). Als een opdrachtgever willens en wetens een bepaald risico neemt, dan kan hij daarna moeilijk nog een claim bij de ontwikkelaar leggen. Het vergt dus meer dan alleen een zin “alle aansprakelijkheid op het resultaat ligt bij de klant”.

Hebben jullie wel eens een opdracht gehad waarvan je dacht, dit lijkt me niet legaal?

Arnoud

Zijn wij aansprakelijk als onze systeembeheerder alle klantdata wist?

| AE 9141 | Aansprakelijkheid, Arbeidsrecht | 17 reacties

Een lezer vroeg me:

Wij zijn een klein hostingbedrijf en vroegen ons het volgende af. Stel een van onze systeembeheerders met root toegang besluit op een kwade dag om álle klantdata te wissen, en meteen ook maar de backups. Theoretisch kunnen zij dat, en waarschijnlijk ongemerkt ook. In hoeverre zijn wij dan als bedrijf aansprakelijk naar onze klanten? En is dit te verhalen op die personen in privé?

Een bedrijf is aansprakelijk voor schade die ze hun klanten berokkenen door een slechte uitvoering van hun opdracht. Dat is de definitie van wanprestatie.

Bij een hostingbedrijf lijkt me het kwijt zijn van data een triviaal voorbeeld van wanprestatie, en dus moet die schade worden vergoed. De schadevergoeding zou dan gelijk zijn aan de tijd die het kost om de data te herstellen en de sites weer in de lucht te krijgen, en mogelijk zelfs de gederfde omzet van die klantsites.

Natuurlijk zal een hostingbedrijf in zijn algemene voorwaarden zijn aansprakelijkheid beperken. Dat is in principe redelijk – je mag in zakelijke relaties met je klanten afspreken dat jij maar tot een zeker bedrag aansprakelijk bent voor schade. Dat zou hier dus onder normale omstandigheden het bedrijf kunnen redden.

Of dat hier veel zal helpen, betwijfel ik. Wanneer de schade het gevolg is van opzet of bewuste roekeloosheid, is het eigenlijk niet mogelijk je op je beperking van aansprakelijkheid te beroepen. Dit is in strijd met wat juridisch heet de openbare orde en goede zeden (art. 3:40 BW) en is ook nog eens redelijkerwijs onaanvaardbaar (art. 6:248 lid 2 BW).

Dit is dus écht een heel serieus probleem als het je overkomt. En natuurlijk, je kunt die schade dan verhalen op de systeembeheerder. Hoewel werknemers normaal niet aansprakelijk zijn voor schade die ze bij het werk toebrengen, is ook daar die opzet en bewuste roekeloosheid een uitzondering. Die mag dus worden verhaald. Maar veel zal het niet opleveren, wie heeft er in privé geld genoeg om al dat dataverlies te dekken?

Dit vind ik dus een situatie waarin je niet juridisch moet gaan redderen achteraf maar organisatorisch en technisch preventief maatregelen moet nemen. Zorg dat data niet gewist kán worden door één persoon, maak backups waar alleen een ander bij kan en heb logging en alarmbellen die afgaan als mensen rare dingen doen.

Even nieuwsgierig: meelezende hosters, hoe hebben jullie dit scenario geborgd?

Arnoud

Waarom gaat die fotograaf achter mij aan en niet mijn gebruiker?

| AE 9116 | Aansprakelijkheid, Auteursrecht | 29 reacties

groep-claim-geld.jpgEen lezer vroeg me:

Recent kregen wij een claim van een fotograaf vanwege een foto geplaatst door een lid van ons forum. In onze forumvoorwaarden staat duidelijk dat de gebruiker zelf verantwoordelijk is, ook bij schade door dit soort claims. Gebruikers vrijwaren ons van elke vorm van aansprakelijkheid. Maar die fotograaf stelt dat hij daar niets mee te maken heeft. Is dat zo, en wat is dan de waarde van die voorwaarden?

Die fotograaf heeft toch echt een punt. Als een forum iemand anders schade berokkent, dan moet de organisatie achter dat forum die schade vergoeden. Het doet er dan niet toe welke persoon de schade in gang zette. Als het forum medeverantwoordelijk is voor de schade, dan mag je daar je claim leggen als benadeelde partij.

In je gebruiksvoorwaarden kun je van alles zetten, maar voorwaarden zijn contractuele afspraken en dus alleen bindend op partijen die er mee akkoord zijn gegaan. Je forumleden zitten hier dus aan vast, maar een derde zoals zo’n fotograaf niet. Die is geen forumlid dus waarom zou hij zich moeten houden aan voorwaarden die jij aan je leden stelt?

Een veel lastiger vraag is óf het forum wel aansprakelijk is voor auteursrechtclaims wegens foto’s geplaatst door leden. Daar wordt nu vaak heel makkelijk over gedaan: het forum is geen beschermde tussenpersoon dús zijn ze aansprakelijk, klaar. Dat klopt niet volgens mij: je hebt nog altijd de vraag of de forumbeheerders iets fout doen door mensen foto’s te laten publiceren, als daar auteursrechten van derden op zitten. Zonder fout geen onrechtmatige daad.

(Je bent een beschermde tussenpersoon als je je niet inhoudelijk bemoeit met wat mensen plaatsen. Forums modereren – ze kunnen niet anders – dus voldoen ze niet aan die beschermingsregel.)

Het enkele verspreiden van berichten van derden met onrechtmatige inhoud is op zichzelf niet onrechtmatig. In de Wereldomroep-zaak werd een SMS-bericht van een luisteraar voorgelezen. Het Hof Amsterdam oordeelde dat slechts wanneer de Wereldomroep had moeten weten dat het bericht onjuist was, zij aansprakelijk geacht zou kunnen worden. Diezelfde blog citeert een Pretium-zaak waarbij dezelfde norm werd aangelegd. In de Garagetest-zaak zag de rechtbank geen onrechtmatig handelen in het incidenteel laten verschijnen van valse recensies. Deze waren niet eenvoudig kenbaar voor de beheerder. Bovendien konden gerecenseerde garages een weerwoord plaatsen en mochten negatieve recensies alleen worden geplaatst met onderbouwing.

Je zou daaruit dus kunnen concluderen dat wanneer een forum niet weet of had moeten weten dat er auteursrechten van derden op zitten, ze niet aansprakelijk zijn voor schade bij de fotograaf. Alleen: bij auteursrechten werkt dat kennelijk anders – er staat een foto, betaal maar en verhaal het op je leden of zo. Ik heb geen idee waar dat op gebaseerd is in het recht. Het wordt tijd dat een forum hier eens een principezaak van maakt.

Arnoud

Moeten alle zakelijke Youtubevideos vanaf 2017 ondertiteld zijn?

| AE 9085 | Aansprakelijkheid | 14 reacties

Moeten alle websites per 1 januari toegankelijk zijn voor mensen met een handicap, en meer in het bijzonder moeten alle (zakelijke) video’s op sites als Youtube vanaf die datum ondertiteld zijn? Vele lezers stuurden me die vraag, vaak met linkje naar dit bericht uit januari dat inderdaad stellig meldt “websites moeten toegankelijk gaan worden voor… Lees verder

Amerikaans WhatsApp valt onder Nederlandse privacywet

| AE 9088 | Aansprakelijkheid, Privacy | 18 reacties

De chatapp WhatsApp heeft een rechtszaak verloren van de Autoriteit Persoonsgegevens, de Nederlandse privacywaakhond. Dat meldde Nu.nl gisteren. Op straffe van een dwangsom van 10.000 euro per dag moet het bedrijf een vertegenwoordiger aanstellen in Nederland. Want hoewel het bedrijf in de VS zit en geen servers en dergelijke in Nederland heeft staan, valt men… Lees verder

Ben ik nog aansprakelijk als ik het IE op mijn software overdraag?

| AE 9038 | Aansprakelijkheid, Software | 7 reacties

Een lezer vroeg me: Voor een klant heb ik maatwerksoftware ontwikkeld. Zij willen nu het intellectueel eigendom daarop verkrijgen. Op zich prima, alleen wil ik dan geen aansprakelijkheid meer voor fouten. Ik heb er dan immers geen controle meer over. Daar reageerden ze heel verbaasd op. Maar dit is toch geen gekke vraag? Nee, een… Lees verder

Hoe moet Samsung die teruggeroepen Note 7’s vernietigen, qua persoonsgegevens?

| AE 9055 | Aansprakelijkheid, Privacy | 14 reacties

Het is nog altijd onduidelijk wat er gaat gebeuren met de persoonlijke data op de miljoenen Note 7-toestellen die door Samsung zijn teruggeroepen. Dat las ik (dank, Franc) bij Security.nl. De wasmachines, pardon telefoons worden teruggeroepen vanwege ontploffende accus. Vanwege dat ontploffingsgevaar werd geadviseerd het toestel meteen uit te zetten en terug te sturen, zodat… Lees verder

Facebook moet gegevens Nederlandse gebruiker doorgeven om chantage

| AE 8976 | Aansprakelijkheid, Privacy | 5 reacties

Facebook moet gegevens van een gebruiker opsporen en doorgeven om vervolging van die persoon mogelijk te maken, meldde Nu.nl maandag. Het gaat om gegevens van iemand die dreigde intieme foto’s van een gebruiker te publiceren. De rechter bepaalde dat Facebook die moet afgeven. Opmerkelijk genoeg wel met de overweging dat Facebook terecht niet zelf die… Lees verder

Winkelhouder niet aansprakelijk voor inbreuken via open wifi-netwerk

| AE 8935 | Aansprakelijkheid, Auteursrecht | 16 reacties

Het Europese Hof van Justitie heeft in de Mc Fadden-zaak beslist dat een winkelhouder niet aansprakelijk is voor auteursrechtinbreuken die worden begaan via een open wifi-netwerk. Dat meldde Tweakers vorige week donderdag. Wel kan een rechthebbende partij eisen dat een winkel zijn netwerk beschermt met een wachtwoord, omdat je anders het té makkelijk maakt dat… Lees verder