Uber is een taxidienst, geen digitaal deelplatform

| AE 10165 | Aansprakelijkheid | 10 reacties

Het bedrijf Uber is een taxidienst met een app, geen bemiddelingsplatform. Dat blijkt uit het arrest van het HvJ van 20 december vorig jaar. De uitspraak volgt op vragen uit 2012 van de Spaanse rechter in een zaak aangespannen door een concurrent. Door deze uitspraak is het duidelijk dat de diensten van Uber als iedere andere taxidienst mogen worden gereguleerd, de hippe app-interface en alle mooie woorden over de deeleconomie ten spijt.

Uber is al jaren verwikkeld in een hevige strijd met taxibedrijven en toezichthouders. Zij ziet zichzelf als een exponent van de nieuwe economie, waarbij bedrijven bemiddelen tussen aanbieders en afnemers maar zelf inhoudelijk geen rol hebben bij de diensten die vervolgens worden afgenomen. Die discussie is een moeilijke, maar nu lijkt het Hof de knoop wel doorgehakt te hebben.

In deze Spaanse zaak was de vraag in essentie of Uber aan te merken was als een vervoersdienst, een in het EU-verdrag speciaal geregelde categorie van diensten. Normaal mogen diensten niet zomaar worden gereguleerd vanuit het oogpunt van een vrij verkeer van diensten, maar specifiek bij vervoers- en taxidiensten kan dat wel.

Uber verweerde zich met een beroep op de E-commercerichtlijn: zij bood immers een dienst waarbij op afstand mensen met elkaar informatie uitwisselden, waarbij Uber niet bepaalde welke informatie dat was. Een dienst van de informatiemaatschappij, in het jargon. Die kwalificatie heeft een aantal belangrijke gevolgen, zoals dat je niet aansprakelijk bent voor de inhoud, maar voor Uber ook belangrijk: zo’n informatiedienst is per definitie geen vervoersdienst (of andersom). En lidstaten mogen informatiediensten in principe niet aan nadere regulering onderwerpen.

Het Hof van Justitie prikt echter door die opstelling heen en ziet Uber gewoon als een vervoersbemiddelingsdienst, wat binnen de scope van “vervoersdiensten” valt.

the intermediation service provided by Uber is based on the selection of non-professional drivers using their own vehicle, to whom the company provides an application without which (i) those drivers would not be led to provide transport services and (ii) persons who wish to make an urban journey would not use the services provided by those drivers. In addition, Uber exercises decisive influence over the conditions under which that service is provided by those drivers. On the latter point, it appears, inter alia, that Uber determines at least the maximum fare by means of the eponymous application, that the company receives that amount from the client before paying part of it to the non-professional driver of the vehicle, and that it exercises a certain control over the quality of the vehicles, the drivers and their conduct, which can, in some circumstances, result in their exclusion.

Kort gezegd, Uber bemoeit zich inhoudelijk met wat er gebeurt en dat houdt niet op bij de informatie-uitwisseling op het platform. Daarmee is het zwaartepunt van wat Uber doet, gericht op het vervoer en niet op de informatiedienst. Uber is dus een taxicentrale met een app, en geen deelplatform.

(De uitspraak is in zoverre uniek dat hij specifiek hangt aan de regels over vervoer uit het EU-verdrag. Voor andere bemiddelingsapps zoals AirBNB (logies) of Peerby (spullen bij je buurt) gaat dit arrest dus niet meteen op.)

Arnoud

‘Overheid kan nepnieuws op digitale platformen aanpakken’

| AE 10074 | Aansprakelijkheid, Meningsuiting | 37 reacties

De overheid kan verschillende maatregelen nemen om te voorkomen dat digitale platforms als Facebook, Google en Amazon misleidende informatie doorgeven. Dat meldde Nu.nl op gezag van een CPB-rapport dat waarschuwt tegen de snelle groei en steeds kleiner wordende transparantie van deze platformaanbieders. Met name de aanbeveling voor een vergunningenstelsel springt in het oog.

Digitale platforms brengen substantiële voordelen voor consumenten en bedrijven door op te treden als makelaar voor uiteenlopende diensten en producten, zo opent het rapport enigszins plichtmatig. Maar vanaf daar gaat het alleen nog over de nadelen: er wordt steeds meer misleidende en foute informatie doorgegeven, politieke propaganda is niet te herkennen, en ga zo maar door. En daar moet iets tegen gebeuren, een vergunning is iets dus er moet een vergunning komen.

De ontvangst van dit rapport was vast iets anders geweest als het pleitte voor een vergunningsstelsel voor kranten of televisieprogramma’s. Want ik kan er niets anders uit halen dan dat dit het plan is. Strekking van de vergunning is dat je kwalitatief slechte publicaties (misleidend, fakenieuws, propaganda) moet weren, en ik ben heel benieuwd hoe je dat rechtbreit binnen de vrijheid van meningsuiting. Bovendien moet dit vanuit Europa worden gedaan, want al sinds 2000 geldt dat EU-lidstaten geen eigen regels mogen stellen aan “diensten van de informatiemaatschappij” waar dit soort platforms onder vallen.

Markeren van kwestieuze informatie, mét filteroptie voor de consument, lijkt mij een betere suggestie. Helemaal als de overheid dan ook limitatief opsomt waar je op moet scannen, om zo te voorkomen dat men zelf vanuit angst al te veel gaat blokkeren. Daar zie ik wel wat in.

Een creatieve is de regel dat politieke reclame niet mag verschillen bij verschillende burgers. Die snap ik niet, ook niet na het voorbeeld:

Nu kunnen politieke partijen naar de ene burger toe adverteren dat zij, bijvoorbeeld, de belasting voor hoge inkomens gaan verlagen, terwijl zij aan een andere burger toezeggen dat juist de belasting voor lage inkomens omlaag gaat.

Ik zie eerlijk gezegd niet wat er mis is met deze advertenties? Ze spreken elkaar niet tegen en beantwoorden een vraag van een doelgroep. En ik zie nu ook al lange tijd doelgroepadvertenties, denk aan boodschappen in vaktijdschriften versus abris langs de weg. Volgens mij is veel belangrijker dat politieke reclame direct herkenbaar moet zijn, en aan dezelfde eisen moet voldoen als commerciële als het gaat over toezeggingen en informatie.

Arnoud

Kan ik wat claimen bij een telefoon met WPA2-kwetsbaarheid?

| AE 9752 | Aansprakelijkheid, Beveiliging | 23 reacties

Een lezer vroeg me: Recent werd de Krack-aanval gepubliceerd.

Deze is met name zeer schadelijk voor tablets en smartphones die Android 6.0 draaien, wat 32% van alle Android apparaten zijn. Als ik nu zo’n apparaat heb, kan ik dan wat claimen bij de verkoper?

De recente attack van Mathy Vanhoef van de KU Leuven en Frank Piessens van imec-DistriNet maakt het mogelijk om de WPA2-beveiliging van wifi-netwerken aan te vallen. Kort gezegd wordt een key reinstallation attack uitgevoerd, waarbij een aanvaller het slachtoffer dezelfde encryptiesleutel laat gebruiken met nonce-waarden die al in het verleden zijn gebruikt.

De aanval gaf veel ophef door het breed gebruik van WPA2, maar met name bij Android 6 is het een probleem: daar kan een aanvaller de client een voorspelbare “all-zero” encryptiesleutel laten gebruiken, waardoor al het verkeer voor de aanvaller eigenlijk onversleuteld is. Heb je dus een telefoon of ander apparaat met Android 6, dan heb je nu een serieus probleem.

Helaas is er nog steeds geen duidelijke wetgeving over de vraag of een apparaat securitytechnisch goed in orde moet zijn. Er zijn wel regels over productveiligheid, maar dat gaat in principe over fysieke veiligheid zoals ontploffingen en giftige stoffen.

De wet is formeel breder: een produkt is gebrekkig, indien het niet de veiligheid biedt die men daarvan mag verwachten, zo staat in art. 6:186 BW. Uiteraard in alle redelijkheid en met de presentatie en te verwachten gebruik van het product in het achterhoofd, plus kijkend naar de stand der techniek van toen het product uitkwam. Is een product dan toch fysiek onveilig, dan is de producent aansprakelijk – en dat is naast de feitelijk producent ook de Europese importeur. Je zou dat in theorie ook kunnen toepassen op ICT-veiligheid, maar het is nog nooit geprobeerd.

Daarnaast is er nog de algemene regel van conformiteit: een product moet aan de redelijkerwijs gewekte verwachtingen voldoen, en zo niet dan moet de winkelier dat gratis oplossen of een vervangend apparaat verzorgen. Je moet dan verdedigen dat een onveilige WPA2-implementatie die verwachtingen schendt. Ik zie dat wel een heel eind: WPA2 werd altijd als de veiligste optie geadverteerd in de media, dus zou je als consument mogen verwachten dat je toestel veilig is als je dat gebruikt.

Dat de aanval zeer geavanceerd is en onverwacht voor iedereen, is daarbij niet relevant. Het risico dat zoiets gebeurt, ligt bij de winkel die het product verkoopt. (En die kan het verhalen op die importeur of fabrikant.)

Het enige tegenargument dat ik kan bedenken is dat je moet weten dat ieder ICT-product tot op zekere hoge onbetrouwbaar is, omdat aanvallen in de toekomst niet uit te sluiten zijn. Dan is het dus niet redelijk om te verwachten dat je apparaat onhackbaar/onkwetsbaar is. Maar ik vind dat argument specifiek bij deze aanval niet opgaan, juist omdat WPA2 als veilig werd geadverteerd.

Lenovo geeft drie maanden oude Moto E4-smartphones geen update naar Android 8

| AE 9683 | Aansprakelijkheid | 24 reacties

Smartphonemaker Lenovo zal zijn Moto E4-serie van toestellen die deze zomer verschenen geen update geven naar Android 8.0. Dat meldde Tweakers vorige week. De reden is me niet helemaal duidelijk, gezien andere toestellen (zoals de Z- en G5-modellen) wel een update naar Android 8 “Oreo” krijgen. Wat dan de vraag oproept, zijn ze niet verplicht… Lees verder

Ja, als ICT-dienstverlener moet je gewoon backups maken bij je klanten

| AE 9536 | Aansprakelijkheid | 21 reacties

Als ICT-dienstverlener heb je gewoon de plicht om backups te maken alvorens je dingen gaat doen waarbij dataverlies kan optreden. Dat maak ik op uit een recent vonnis over een huisartsenpraktijk waar een aardige database verloren ging door de afwezigheid van die backup. De ICT-dienstverlener krijgt dit voor de voeten geworpen. Wat precies de schade… Lees verder

Kun je Microsoft aansprakelijk stellen voor schade uit een ransomware-aanval?

| AE 9521 | Aansprakelijkheid, Software | 25 reacties

De computersystemen zijn nog steeds niet bruikbaar, zo liggen beide containerterminals van APM in de Rotterdamse Haven nog steeds stil. Dat las ik bij Bright. De ransomware Petya wist vele computers te gijzelen in de IT-omgeving van de Haven, en dat is niet eenvoudig op te lossen. De reden blijkt een bug in Windows, die… Lees verder

Hoe de Supreme Court 20 jaar geleden internet anders dan televisie verklaarde

| AE 9511 | Aansprakelijkheid | 11 reacties

Deze week twintig jaar geleden, op 26 juni 1997, verklaarde de Amerikaanse Hoge Raad het internet fundamenteel anders dan radio en televisie. Op die dag deed zij uitspraak in een zaak rond de Communications Decency Act, die internet moest reguleren. De Act verklaarde het illegaal om inhoud te versturen wanneer deze indecent zou zijn en… Lees verder

Ministers stelt ontwikkelaars aansprakelijk voor softwarefouten

| AE 9502 | Aansprakelijkheid, Software | 23 reacties

Demissionair staatssecretaris Klaas Dijkhoff heeft in een Kamerbrief gezegd zegt dat softwareontwikkelaars op verschillende manieren aansprakelijk zijn voor schade die als gevolg van hun product ontstaat. Dat las ik bij Tweakers. Juridisch gezien zegt hij weinig nieuws; de regels over conformiteit bij producten bevatten immers geen uitzondering voor de software-delen van producten. Nieuw is wel… Lees verder

Ex-werknemer Nederlandse vps-provider wist alle server- en klantgegevens

| AE 9480 | Aansprakelijkheid, Arbeidsrecht | 12 reacties

Auw. Een medewerker van hostingprovider Verelox uit Den Haag heeft alle servergegevens verwijderd, las ik bij Tweakers. Dat betekent dat ook alle klantgegevens zijn gewist, en mogelijk ook niet allemaal meer terug te halen zijn. Buitengewoon pijnlijk voor het bedrijf, want hierdoor moet Verelox druk aan de bak om alle servers weer te herstellen. Wat… Lees verder

Pleegt Mozilla smaad met haar anti-http-waarschuwing?

| AE 9329 | Aansprakelijkheid, Meningsuiting | 19 reacties

Een beheerder van de website Oil and Gas International heeft tegenover Mozilla geklaagd omdat Firefox op de website een melding geeft dat het onveilig is om in te loggen of via een creditcard te betalen. Dat las ik bij Security.nl vorige week. De website biedt gebruikers namelijk een inlogveld via http aan en sinds kort… Lees verder