Je kunt niet zomaar verwachten dat je werknemers in hun AFAS berichtenbox kijken

Photo by Andersen Jensen on Unsplash

Het blijft voor rekening en risico van verwerende partij dat de inhoud van de aanzeggingsbrief (via het online systeem) verzoekende partij niet heeft bereikt. Zo opende een recent gepubliceerd vonnis over een arbeidszaak waarbij berichten via het bekende AFAS Insite werden gecommuniceerd.

De werknemer had een jaarcontract gekregen, en sinds een tijdje is het daarbij wettelijk verplicht om aan te zeggen of je deze gaat verlengen of niet. Doe je dat niet, dan krijgt de werknemer een extra maandsalaris. Het bericht dat niet werd verlengd, werd weliswaar op tijd verzonden, maar via Insite en dat stelde de werknemer niet te hebben gekregen.

De wet eist dat zo’n mededeling expliciet en schriftelijk is, en daar was geen discussie over. Echter:

[T]ussen partijen is wel in geschil of [werkgever] heeft voldaan aan de informatieplicht uit dit artikel, omdat tussen hen vast staat dat [werknemer] de via AFAS Insite verzonden brief niet heeft geopend en gelezen. Daarmee heeft de inhoud van de brief [werknemer] niet bereikt, terwijl dat op grond van de ontvangsttheorie uit artikel 3:37 lid 3 BW wel vereist is om haar werking te hebben.
Gelezen hebben is dus geen juridische eis, hij moet je hebben “bereikt” oftewel binnen jouw macht zijn gekomen. Een WhatsApp-bericht met twee blauwe vinkjes is bijvoorbeeld genoeg. Maar let wel, de afzender moet gewoonlijk bewijzen dat het bericht de ontvanger heeft bereikt.

De casus komt dus neer op de vraag: had de werknemer moeten weten dat AFAS Insite de plek was waar HRM-gerelateerde berichten worden gedeponeerd? Daar bleek niets expliciet over te zijn afgesproken of gecommuniceerd. Er was wel gezegd dat je een digitaal personeelsdossier zou krijgen en elektronische loonstroken, maar niet dat communicatie via je dossier zou lopen.

Daarnaast is niet komen vast te staan dat er gedurende het jaar vaker berichten via AFAS Insite aan [werknemer] zijn gecommuniceerd. Dat dat is gebeurd, heeft [werkgever] – na vragen van de kantonrechter – niet met zekerheid kunnen zeggen. Op basis daarvan had [werknemer] dus ook niet hoeven te begrijpen dat dit het communicatiemiddel was. Daarnaast staat vast dat [werknemer] geen melding ontving dat er een document voor hem klaar stond in AFAS Insite, als hij AFAS Insite niet opende.
Met name die laatste is voor mij een zware: als jij in je mail een bericht krijgt dat er een bericht klaar staat in Uw Jouw Mijn Berichtenbox, dan zou je als goed werknemer eens moeten gaan navragen wat dat dan is, AFAS Insite. En dan had HR je dat verteld, en dán komt bij jou de taak om regelmatig te monitoren.

Ik ben eerlijk gezegd een tikje verbaasd dat de werkgever kennelijk nooit actief had gezegd “formele HR berichten vind je vanaf vandaag in AFAS”. Mogelijk is dit blijven liggen bij de algemene introductie – je dossier staat hier, je loonstroken staan daar – omdat niemand op het idee kwam dat de AFAS berichtenbox niet als vanzelf bekeken zou worden.

Arnoud

 

Agent stopt met social media om beleid politie, mag dat zomaar?

Photo by Nathan Dumlao on Unsplash

De politie heeft het socialmediabeleid aangepast voor agenten die bijvoorbeeld op Instagram of X zitten. Dat meldde RTL Nieuws vorige week. Hierdoor zijn er persoonlijke accounts van wijkagenten verdwenen. Diverse lezers vroegen zich af of dat zomaar kan, dat een werkgever ‘beleid’ invoert of aanpast en dat je dan je socialmediaaccount moet stoppen?

RTL belde een voorlichter en kreeg zowaar inhoudelijk antwoorde:

Een woordvoerder van de korpsleiding bevestigt dat er ‘een kleine aanpassing’ is geweest in het beleid. “We willen een eenduidig socialmediabeleid, zodat alle collega’s eenzelfde soort naam voor hun profiel gebruiken.” Volgens de woordvoerder hoefde deze operationeel expert, zoals zijn functie officieel heet, niet helemaal te stoppen met zijn account, maar moest hij zijn naam veranderen. “Zodat het account niet aan de persoon hangt.
Het lijkt er dus op dat de politie deze accounts wil verbinden met de werkgever. Zoals ik het lees, moet men in staat zijn het account aan een collega te geven. En dan is “politieteam Utrecht binnenstad” handiger dan “wijkagent Tim”, zeg maar.

Juridisch zie ik daar wel een grondslag voor. Zo’n socialmediaaccount beheer je tijdens je werk en het gaat over werk. Dat is dan een dienst afgenomen door de werkgever, en dat de werknemer dit op eigen houtje deed en het misschien aan een eigen Gmailadres koppelde in plaats van zijn werknemersmail is dan niet relevant.

(Het deed me denken aan Giel Beelen die in 2017 zijn social media moest inleveren toen hij wegging bij de publieke omroep. Maar dat is volgens mij nooit juridisch uitgevochten.)

Dit zie ik terug in het oude(?) socialmediabeleid uit 2020:

In het verlengde van webcare is het goed om te benoemen dat accounts die namens de politie spreken op social media geen persoonlijk eigendom zijn van de beheerder, maar een middel om te communiceren met burgers.
Je kunt als agent ook een privéaccount hebben, maar dat moet dan gaan over “persoonlijke intresses, hobby’s en/of passies” en niet over je werk als politieagent. Volgens RTL zijn er nu nieuwe richtlijnen, maar die kan ik even niet vinden.

Arnoud

TikTok hervat dienstverlening in de Verenigde Staten na kortstondig verbod

Photo by cottonbro studio on Pexels

TikTok hervat zijn diensten in de Verenigde Staten, las ik bij Tweakers. Dit na zo’n 24 uur offline te zijn geweest vanwege een wettelijk verbod. President Donald Trump heeft gemeld een executive order uit te geven om het verbod uit te stellen zodat het proces van verkopen door kan gaan.

De Protecting Americans from Foreign Adversary Controlled Applications Act (PAFACA) is in april 2024 aangenomen. Deze bepaalt dat de president socialemediadiensten als “foreign adversary controlled application” mag aanwijzen, waarna die binnen 270 dagen verkocht moeten worden aan een partij die geen “foreign adversary” is. (Die term komt dan weer uit exportwetgeving.)

De wet noemde expliciet Bytedance en Tiktok als voorbeelden van zulke diensten, en dat had een groot voordeel bij de onvermijdelijke rechtszaak. Omdat de wetgever nu Bytedance had aangewezen, mag je vermoeden dat daar een uitgebreide afweging in zit vergeleken bij situaties dat de president in z’n eentje bedrijven mag aanwijzen:

The provisions of the TikTok law, the court explained, are instead subject to a less rigorous test, known as intermediate scrutiny, which requires courts to look at whether the provisions of the law advance an important government interest that is not related to the suppression of free expression and do not restrict substantially more speech than is necessary to do so. The TikTok provisions satisfy that test, the court concluded. There is no dispute, the court wrote, that the government “has an important and well-grounded interest in preventing China from collecting the personal data of tens of millions of U.S. TikTok users.”
Behalve de NOS (“Hard bewijs daarvoor ontbreekt”) ken ik eigenlijk niemand die serieus twijfelt aan de dataverzamelingspraktijken door Tiktok. Het opmerkelijke is vooral dat de hoeveelheid en soort data niet echt bijzonder is. Iedere socialemediadienst verzamelt zulke gegevens.

De drukte in de VS komt natuurlijk omdat deze keer het niet zij zelf zijn, maar het machtige China. Ook zorgen over potentiële propaganda bij de volgende verkiezingen (aangenomen dat die er komen) wogen zwaar mee bij het wetsvoorstel.

De wet is ondertussen aangenomen, en die 270 dagen zijn verstreken. Er is een bepaling dat de president die termijn met 90 dagen mag verlengen als deze kan beloven dat er goede voortgang is:

(A) a path to executing a qualified divestiture has been identified with respect to such application; (B) evidence of significant progress toward executing such qualified divestiture has been produced with respect to such application; and (C) there are in place the relevant binding legal agreements to enable execution of such qualified divestiture during the period of such extension.
Dit is dus de grond waarop Trump zijn bevel baseert. Juridisch kun je je afvragen welk pad naar verkoop er nu dan is dat er vrijdag nog niet was. Ook is onduidelijk of de wet wel toestaat dat de 270-dagentermijn wordt verlengd nadat deze is verlopen, want normaal verleng je dingen vóór ze zijn afgelopen. Maar als je wetgevende en rechterlijke macht daar flexibel in zijn, dan kan er veel.

Arnoud

Hoe bescherm ik mijn idee tegen claims van mijn werkgever?

Photo by Nick Fewings on Unsplash

Via Reddit:

Mijn werk ligt in het bedenken, ontwerpen en het begeleiden van de productie & testen van “klantspecifieke toepassingen”. Het duurt gemiddeld meer dan 8 jaar bij de werkgever voordat iemand zelfstandig zo’n toepassing kan ontwerpen vanwege de hoge complexiteit op meerdere technische disciplines. … Ik ben er van overtuigd dat ik een generator kan programmeren die 80% van de ontwerpen kan afvangen en een reductie van 60% van het jaarlijks aantal engineeringsuren kan bewerkstelligen. … Als ik in mijn eigen tijd deze generator ontwerp en het toch anders loopt dan verwacht als ik hiermee aan kom bij werkgever. Hoe zorg ik er dan voor dat werkgever deze niet opeist mits het tot een rechtsgang komt?
Het komt vaker voor dat mensen ergens werken waar een bepaald proces handmatig gebeurt en al jaren nooit de moeite is genomen om dit te automatiseren. Dat kan zijn omdat men niet weet hoe, er geen tijd/geld voor heeft of de meerwaarde er niet van inziet. Maar dat wil niet zeggen dat als jij dat dan ineens ongevraagd gaat bouwen, het je “eigen” idee is.

Basisregel uit het IE-recht is dat wat werknemers bedenken of maken, eigendom wordt van de werkgever. Althans, als het redelijkerwijs verbonden is met het werk. Nadrukkelijk niet relevant is of je het onder werktijd dan wel in eigen tijd maakte, op eigen hardware dan wel de werklaptop of op instructie dan wel eigen initiatief.

Wat is dan “redelijkerwijs verbonden”? Dat hangt een beetje van het recht af, maar grofweg komt het er op neer of de werkgever je hád kunnen instrueren dit te gaan maken. Als dat een rechtmatige instructie was, dan is het ook van de werkgever als je het zonder had gemaakt.

Deze poster werkt aan het ontwikkelen van bepaalde toepassingen, en dat moet handmatig gebeuren. Een generator die je eigen werk versnelt, ligt voor mij zó dicht bij het eigenlijke werk dat ik altijd wel die verbinding zie. Er is dus geen ruimte om te claimen dat zo’n generator auteursrechtelijk (of octrooirechtelijk) van jou is.

Natuurlijk kun je je werkgever vragen of je dit als eigen hobbyproject mag doen. Ik blogde in 2020 over hoe je dat afspreekt, maar de voorvraag is natuurlijk waarom je werkgever dat zou willen toestaan. Van iets dat automatiseert dat nu (kennelijk) 8 jaar handwerk is, kan ik me voorstellen dat de werkgever niet wil dat de concurrent er toegang tot heeft.

Arnoud

 

 

Mag ik ondertussen data in de cloud zetten als die fysiek in Europa blijft?

Een lezer vroeg me:

Het is 2025 en ik heb duidelijkheid nodig. De AVG zegt dat persoonsgegevens niet zonder aanvullende waarborgen naar een niet-Europese partij mogen worden doorgegeven. Als ik bij een cloudprovider zoals bijvoorbeeld Amazon AWS of Microsoft Azure gebruik maak van region in Europa, wat betekent dat de servers fysiek in Europa staan, voldoe ik dan gewoon aan deze regel?
De AVG stelt inderdaad strenge eisen aan ‘doorgifte’, iedere handeling met persoonsgegevens waardoor ze buiten een EU/EER land komen. Het maakt daarbij niet uit of je doorgeeft aan een verwerker of een verwerkingsverantwoordelijke.

Overigens is de AVG niet de enige: ook bij niet-persoonsgegevens gelden er vanaf 12 september regels over doorgifte van data naar buiten de EU, wanneer dat in strijd is met andere EU regels. Dit volgt uit de Data Act (Verordening 2023/2854) die vanaf die datum van kracht wordt.

Aan dergelijke doorgifte kleven twee kanten, de praktische en de formele. Het makkelijkst te regelen is de formele. Je spreekt af dat de data niet buiten de EU/EER mag komen, en dat de ontvanger de Europese wet- en regelgeving zal respecteren. Dit is bijvoorbeeld de EU Data Boundary van Microsoft, het contractuele raamwerk waarmee Microsoft garandeert dat EU data binnen de grenzen van de Unie blijven. Amazon heeft ook iets dergelijks.

Wie de juiste set papieren doorloopt, de afspraken reviewt en de juiste kruisjes bij de juiste opties zet, heeft formeel de doorgifte goed afgeschermd.

De praktische kant is iets ingewikkelder, en dat zie je al meteen aan termen als “behoudens bijzondere gevallen” in die MS belofte. (Andere aanbieders hebben dit net zo goed, Amazon houdt het bij “or to comply with law”.) Soms moet data toch naar de VS, denk aan klantenservice of incidentanalyse na een cyberaanval. Of omdat de Amerikaanse justitie dit eist.

Of en in hoeverre die laatste eis mag, is nog steeds onderwerp van héél veel discussie. De Amerikaanse CLOUD Act staat daarbij centraal. Al in 2022 stelde ons NCSC dat “data en (persoons)gegevens die in Europa worden verwerkt en opgeslagen, en dus in beginsel in Europa zijn en blijven, [soms vallen] onder Amerikaanse wetgeving en kunnen door de Amerikaanse overheid worden opgevraagd op basis van de CLOUD-Act.”

Het lastige aan deze discussie is wanneer sprake is van ‘soms’, met name als het gaat om een Europees dochterbedrijf dat zich nadrukkelijk niet op de Amerikaanse markt richt en organisatorisch onafhankelijk binnen het concern opereert. Die dochter is dan niet aan Amerikaanse jurisdictie onderworpen, en bovendien onder de AVG verboden om mee te werken aan Amerikaanse bevelen (art. 48 AVG). Maar de moeder (Microsoft Inc in Seattle, Washington) is dat natuurlijk wel – en die zou druk op de dochter kunnen uitoefenen, of de directie ontslaan en een gewilliger setje installeren.

Daar staat dan weer tegenover dat het de core business van het bedrijf is om EU compliant te opereren. Dus er is dan ruimte voor tegendruk, zeker omdat die Europese directeuren geen zin hebben in claims van Europese toezichthouders. En de directie vervangen gaat hoe dan ook flink opvallen.

Natuurlijk, technische trucs kunnen altijd. Men kan een achterdeur in de onderliggende software hebben gebouwd, zo subtiel dat de ISO auditor het niet gezien heeft. Men kan dataleidingen voorzien hebben van een aftakking naar de VS, om zo stiekeme kopietjes te trekken. En ook organisatorisch: men zou een Amerikaanse expat-systeembeheerder persoonlijk onder druk kunnen zetten om die kopie te trekken.

Maar dan komen we buiten het juridisch kader waar je redelijkerwijs over na moet denken, en meer in de sfeer van cybercriminaliteit binnen de organisatie. Want laten we wel wezen: wat is dan nog het verschil met een systeembeheerder die van een Colombiaans kartel die kopie moet trekken of een achterdeur gebouwd door Cozy Bear? Tegen beiden moet je je wapenen, en dat lost dan meteen dat (in de EU écht illegale) gedrag van de moedermaatschappij op.

Wat mij betreft is het antwoord dus: als jij zaken doet met een Europees bedrijf – dochter van een Amerikaans concern of niet – en de data blijft fysiek in de EU met waarborgen tegen aftappen en stiekeme kopietjes, dan zit je van de Europese regelgeving goed. Waarbij meehelpt dat juristen dan mogen zeggen: en als dat niet zo is, dan zat je in ieder geval samen met iedereen fout. Want dat maakt het minder erg.

Arnoud

Een webshop mag je niet verplichten te zeggen of je De Heer dan wel Mevrouw (laat staan Mejuffrouw) bent

Photo by Magda Ehlers on Pexels

Je geslacht is objectief irrelevant bij het aankoopproces in een webwinkel. Je zou zeggen dat dit een open deur is, maar toch was het Hof van Justitie nodig (zaak C-394/23) om te bepalen dat het eisen van iemands aanspreekvorm niet objectief noodzakelijk is in een commerciële transactie. Bij deze dan.

Ik had iets dergelijks al in 2018 gesteld:

Onder de AVG geldt het principe van dataminimalisatie: je mag niet meer persoonsgegevens gebruiken dan je strikt nodig hebt om je doel te halen. Vanuit dat principe mag je dus ook niet meer vragen dan wat je nodig hebt. … De geboortedatum van de klant is typisch zo’n element. Hoe belangrijk is het dat je weet wanneer je klant jarig is, of dat je weet hoe oud deze is? Ik kan eigenlijk nauwelijks een scenario bedenken waarin je dat móet weten.
Hetzelfde geldt voor de aanspreekvorm. Het is natuurlijk leuk en beleefd om “Geachte heer Engelfriet, uw leggings maat 38 zijn weer op voorraad” te kunnen zeggen. En ik snap ook dat je in Amerika ontwikkelde webshopsoftware gewoon Mr/Mrs in een verplichte dropdown heeft en dat jij ook niet weet hoe je dat aan moet passen. Maar echt nodig is het niet.

In het arrest bevestigt het Hof dat het gaat om “noodzaak” en dat dit een hoge lat is. “Nuttig” of “gebruikelijk” is bij lange na niet hetzelfde:

Volgens de rechtspraak lijkt de personalisatie van de inhoud immers niet noodzakelijk om een klant diensten aan te bieden wanneer hem, in voorkomend geval, voor deze diensten een gelijkwaardig alternatief kan worden verstrekt waarvoor een dergelijke personalisatie niet nodig is, zodat deze niet objectief onontbeerlijk is voor een doel dat integrerend deel uitmaakt van die diensten.
In dit geval kun je prima volstaan met genderneutrale aanduidingen, zoals “Geachte Arnoud Engelfriet”. Ook “generieke, inclusieve beleefdheidsformules die geen verband houden met de veronderstelde genderidentiteit van de klanten” zoals het beroemde “Beste reizigers” van onze NS zijn altijd mogelijk.

De Franse spoorwegen (tegen wie de zaak liep) hadden echter nog een inhoudelijk argument waarom het soms wél noodzakelijk was:

namelijk de vervoersdiensten aanpassen voor nachttreinen, met wagons die zijn voorbehouden aan personen met eenzelfde genderidentiteit, en bijstand verlenen aan passagiers met een handicap. Volgens SNCF Connect is het voor deze aangepaste vervoersdiensten noodzakelijk om de genderidentiteit van de betrokken klanten te kennen.
In de Franse nachttrein is het namelijk mogelijk een sleepercoupé voor vrouwen te boeken. Dan moet je natuurlijk wel weten dát je met een vrouw te maken hebt. Het Hof vindt het dan alleen om bij iedereen op voorhand te vragen of ze man of vrouw zijn; dit kun je ook doen nadat iemand “Espace Dame Seule” aanvinkt.

Praktische oplossing: laat je webdeveloper “Wil ik niet zeggen” toevoegen aan die dropdown – en dan gelijk “mejuffrouw” eruit.

Arnoud

 

Bitcoin-investeerder moet private sleutel inleveren van Texaanse rechter

Photo by Colton Jones on Unsplash

Een vroege Bitcoin-investeerder uit Texas kreeg het bevel om zijn crypto- en andere persoonlijke sleutels en toegangscodes in zijn wallet in te leveren als onderdeel van een contactverbod. Dat las ik bij Coin Telegraph.

De man was veroordeeld tot twee jaar gevangenisstraf voor belastingfraude – hij had de inkoopwaarde van bitcoins te hoog opgegeven bij de belastingaangifte, zodat de winst kleiner werd en hij minder belasting hoefde te betalen. De rechtbank legde hem een nabetaling van ongeveer 1,1 miljoen dollar op.

Heel vreemd is dat niet, maar opmerkelijk is wel dat meneer “alle fysieke apparaten die gebruikt worden om zijn cryptovaluta op te slaan, te identificeren en te overleggen, samen met alle publieke sleutels, privésleutels, seed phrases of wachtwoordzinnen” moet overleggen.

Achterliggend doel is te zorgen dat er genoeg vermogen bij hem aanwezig is om die 1,1 miljoen daadwerkelijk te incasseren. Normaal zou je dat geld direct van zijn rekening halen (of de daarmee gekochte spullen fysiek meenemen), maar bij bitcoins is dat iets lastiger. Vandaar het bevel.

Het gaat hier dus niet om afgifte van sleutels bij een verdachte om bewijs te ontsleutelen. Meneer was al veroordeeld en ze weten waar het geld zit. Hij moet het geld afgeven van de rechter, maar werkt niet mee. Dat is een vrij specifieke situatie, die we volgens mij in Nederland nog niet bij de hand gehad hebben.

In Nederland kan de strafrechter je bij een veroordeling naast diverse straffen ook ‘maatregelen’ opleggen. Eentje daarvan is “ontneming van wederrechtelijk verkregen voordeel” (art. 77h.4(d) WvSr), oftewel het afpakken van wat je met je misdrijf hebt verkregen. Dat kan prima ook als dat voordeel verpakt zit in een bitcoin. Maar of je daarmee ook kunt bevelen dat het wachtwoord erbij gegeven wordt?

Arnoud

 

Kunnen nabestaanden het account van een overledene laten verwijderen?

Photo by gustavofer74 on Pixabay

Een lezer vroeg me:

Op een forum waar ik moderator van ben, is het verzoek binnengekomen de berichten van een recent overleden vaste gebruiker allemaal te wissen (het gaat om duizenden berichten). Men stelt dat deze persoon slecht lag met de familie en vele roddels op het forum heeft geplaatst. Een daarvan meldt zelfs erfgenaam van het account te zijn en op die grond het gehele account te mogen opeisen. Hoe zit dat?
Er is geen aparte wet- of regelgeving over het verwijderen van berichten of accounts. Meestal wordt dan de AVG ingeroepen, die kent een recht van verwijdering (artikel 17). Echter, de AVG geldt alleen bij levende personen. Op grond van de AVG een persoonsgegeven (zoals een bericht, naam of account) van een overledene weghalen is dus niet mogelijk.

Ik lees echter dat de berichten iets over familie zeggen. Aangenomen dat dit gaat over nog levende mensen, kunnen die inderdaad op grond van de AVG verwijdering eisen. Jij moet dan als beheerder een afweging maken: hoe ernstig is de uitlating, hoe goed is deze onderbouwd en welke schade of nadeel hebben de personen over wie het gaat? Iemand die in een discussie uitgebreid ingaat op verwaarlozing uit zijn jeugd doet daar weliswaar een negatieve uiting, maar dat lijkt me niet snel smadelijk.

Ik zie dus alleen mogelijkheden op basis van inhoud die redelijkerwijs onrechtmatig is, dergelijke berichten moet je aanpassen of verwijderen. Dit is dan hetzelfde ongeacht of de plaatser overleden is natuurlijk, dus het zijn dan ‘gewoon’ klachten over vermeende smaad, privacyschending en dergelijke. Een geheel account verwijderen kan op die grond niet.

De erfgenaam die het account opeist, heeft goed opgelet op deze blog: het is (soms) mogelijk om toegang te krijgen tot een account van een overledene, als je diens erfgenaam bent. Op grond van wat juridisch ‘saisine’ heet, ben je dan de rechtsopvolger van de (dienst)overeenkomst met het forum op grond waarvan er mag worden gediscussieerd.

Dit levert je alleen geen extra rechten op ten opzichte van wat de overledene destijds mocht. Dus als die niet bevoegd was om zomaar berichten weg te halen (wat vrijwel altijd het geval is bij forums), dan ben je dat als contractsovernemende partij ook niet.

Arnoud

Je mag niet zeuren om schriftelijke opzegging als je weet dat je klant heeft opgezegd

Photo by Annie Spratt on Unsplash

Vrijwel iedere ondernemer heeft het in de voorwaarden: opzegging dient schriftelijk te gebeuren. Handig als bewijs, maar soms ook leuk om de klant aan te wrijven. Nee, u had me wel gebeld/gechat maar nooit een mail gestuurd, dus hierbij de factuur voor de verlenging, helaas ja sorry. Rechters accepteren dat lang niet altijd, zoals ook in dit arrest over ict-dienstverlening.

In 2016 hadden de partijen een overeenkomst gesloten voor levering van een softwareapplicatie. Deze liep af in 2021 maar zou worden verlengd (met steeds 5 jaar) behoudens schriftelijke opzegging. Nadat de klant in 2020 meldde te willen opzeggen, is een tijdelijke verlenging afgesloten, met als doel de klant

extra tijd te gunnen om tot een gedegen afweging te komen voor een strategische keuze voor een organisatie brede applicatie welke toekomstbestendig is.
Wat ik – cynisch als ik ben – lees als, we willen niet dat je weggaat dus blijf nog even zitten en dan hoop ik dat je van gedachten verandert.

Die verlenging had wel een addertje:

Wanneer deze overeenkomst niet tijdig (voor 1 oktober 2021) wordt opgezegd loopt deze automatisch door voor de overeengekomen periode in de hoofdovereenkomst.
De klant besloot in die verlengingsperiode toch met een andere partij verder te gaan, en verzocht de leverancier mee te werken aan een overdracht. Wat niet in dat verzoek stond, was de formele zin “bij deze zeg ik de overeenkomst op”.

Het Hof begint met de vraag waarom we ook weer schriftelijkheidseisen hebben. Dat is vrij simpel:

Een dergelijk schriftelijkheidsvereiste heeft tot doel om te voorkomen dat bij partijen onduidelijkheid bestaat over de vraag of en zo ja op welke datum is opgezegd.
Als die onduidelijk er om andere redenen niet is, dan is er geen reden meer om alsnog te hameren op een schriftelijk stuk. Oftewel: als je al wéét dat en wanneer de klant weggaat, dan mag je niet meer een brief verlangen waarin dat nog een keer staat.
Door in het kader van dat selectieproces mondeling op 4 juni 2021 aan [leverancier] mee te delen dat zij niet de partij zou zijn die de nieuwe applicatie mocht gaan leveren en daarna op 8 juni 2021 een e-mail te sturen over de gewenste samenwerking met [leverancier] voor de overgang naar de nieuwe applicatie van een andere partij, heeft [afnemer] er geen twijfel over laten bestaan wat haar bedoeling was.
Dat ze het had begrepen, volgt ook uit wat er daarna gebeurde: men stuurde een offerte voor read-only toegang tot de applicatie, want dat zou nodig zijn voor het overgangstraject. Dat doe je alleen als je weet dat de klant over gaat naar een andere leverancier, immers.

Natuurlijk is er discussie mogelijk over hoe iemand iets bedoelt. Maar dat vertaalt zich eerder naar de plicht even navraag te doen (“wil je echt weg, of is dit ter oriëntatie?”) dan om te blijven zitten en gewoon een factuur voor opnieuw 5 jaar te sturen.

Arnoud

 

Een rijbewijs is een geldig identiteitsbewijs en toch hoeft de bank dat (soms) niet te accepteren

Voorkant rijbewijs 2014

Al sinds 2005 staat in de wet dat het rijbewijs geldt als “document waarmee in bij de wet aangewezen gevallen de identiteit van personen kan worden vastgesteld”. Ik kom echter anno 2025 nog steeds organisaties tegen die dit roze kaartje afwijzen als je je moet identificeren. U begrijpt dat ik dus even opkeek van deze uitspraak van het Kifid: een bank hoeft geen rijbewijs te accepteren omdat daar de volledige voornamen van de betreffende persoon niet op staan vermeld.

In deze zaak had de consument een bankrekening geopend, maar (her)identificatie lukte niet omdat zijn rijbewijs niet werd herkend. Daarop blokkeerde de bank de rekening, wat tot renteverlies leidde en de consument een klacht indiende.

De bank stelde vervolgens dat zij toch echt een paspoort of Nederlandse identiteitskaart nodig heeft, omdat daar alle voornamen van de betrokkene op staan. Een rijbewijs bevat alleen je voorletters, vaak wel je eerste naam zoals op het specimen hierboven (dat van de RDW afkomstig is en afgelopen november verliep).

Bij het aanvragen van de rekening had de consument wél een paspoort (met alle namen) overlegd. Bij de heridentificatie ontbraken er dus een of meer voornamen. Ik geef toe dat er een káns is dat een voorletternaamgenoot met zelfde geboortedatum én sterk gelijkende pasfoto kan zijn, maar dat heeft wel een sterk “kom nou toch” gehalte.

Toch is het standpunt van het Kifid juist, zij het zeer formeel. Het eerste argument daarvoor is dat artikel 33 Wwft eist dat de bank “de geslachtsnaam, de voornamen, de geboortedatum [etc]” vastlegt. En met een rijbewijs kun je niet alle voornamen vaststellen.

Daar staat tegenover dat artikel 4 Uitvoeringsregeling Wwft expliciet “een geldig Nederlands rijbewijs” noemt als instrument waarmee je je identificeert onder de Wwft. Je zou zeggen dat je er dan bent: de wet zegt dat dit genoeg is, dus is het genoeg.

Echter, je mag als bank strengere regels stellen, en “wij willen alle voornamen van klanten weten” is in dat kader toegestaan. Een iets diepgravender reden voor die afwijzing lees ik in een uitspraak uit 2022:

De bank voert daartoe aan dat de app de NFC-chip uitleest en dat een rijbewijs niet over een dergelijke chip beschikt. Bovendien bevat het rijbewijs niet de volledige voornamen en geen gegevens over verblijfsstatus en nationaliteit, aldus de bank. Dit verweer slaagt. Zoals hiervoor onder 3.25 is overwogen staat het de bank vrij om bij het cliëntenonderzoek gebruik te maken van de chip op het identiteitsdocument. De bank mag er dus voor kiezen om vanwege die reden geen rijbewijzen te accepteren.
Als een bank het handig of wenselijk vindt dat mensen uitsluitend via een app bankieren, dan mogen ze daarbinnen dus invullen dat identificatie gebeurt door uitlezen van de NFC chip daarvan. Dan valt het rijbewijs als vanzelf af, geheel los van de discussie over voornamen.

Meelezende CISO’s en andere beveiligingsmensen die nu reden zien om het rijbewijs weer af te gaan keuren bij de identiteitscontrole: bovenstaande gaat specifiek over banken. Een andere organisatie moet zelf motiveren waarom voornamen écht nodig zijn bij het identificeren van (medewerkers van) je klanten.

Arnoud