Auteur: Arnoud Engelfriet

About Arnoud Engelfriet

Website::Subscribe Feeds

Hoe bewijs ik dat ik als consument iets koop?

Geplaatst op in Ondernemingsvrijheid, 35 reacties

Een lezer vroeg me:

Laatst had ik een internetbestelling op het werk laten bezorgen. Toen ik deze wilde retourneren, weigerde de winkel dat omdat de bestelling zakelijk zou zijn! Maar ik heb hem privé betaald en hij was ook niet voor het werk, mogen zij dit dan toch zo zeggen?

Alleen wanneer je als consument een koop op afstand (internetkoop) doet, heb je recht op een retournering binnen zeven werkdagen. Een bedrijf heeft dit niet – tenzij de algemene voorwaarden van de winkel opzettelijk of per ongeluk vermelden van wel. (Of mogelijk via reflexwerking.)

De bewijslast dát sprake is van een consumentenkoop, ligt bij de consument. Hij moet dus aantonen dat het bedrijf niets met de transactie zelf te maken heeft. En dat is toch lastig als de bedrijfsnaam in het bestelproces opduikt. Koop je als consument “op de zaak” dan is formeel sprake van een zakelijke bestelling. Immers het bedrijf is dan de contractspartij, voor zover de winkel kan zien.

Bij een bestelling op eigen naam maar met adressering het bedrijf maak je het dus twijfelachtig wat de bedoeling was, zeker als je bij “Naam klant” de bedrijfsnaam invult en pas ergens bij “opmerkingen” de tekst “ter attentie van Jan de Vries, kamer 3A” invult. Mijn advies is dan ook om, als dat kan, het privéadres op te geven als klantadres/factuuradres, en dan “afwijkend bezorgadres” te kiezen met daar het bedrijf. Dan is het duidelijk dat je privé koopt en het alleen laat bezorgen.

Arnoud

Goedemorgen, wij komen even wat bitcoins bij u minen

Geplaatst op in Ondernemingsvrijheid, Security, 19 reacties

esea-wtfIn de categorie párdon: De softwareclient van ESEA, een e-sportswebsite en -community, heeft enige tijd Bitcoins gemined op de computers van gebruikers. Dat las ik bij Tweakers. Een programma dat valsspelen bij hun online spellen moest tegengaan, bleek op de achtergrond stevig te rekenen op zoek naar de virtuele valuta Bitcoin. Nadat eerst werd gemeld dat het een vergeten 1-aprilgrap was, ging het daarna ineens om een al drie weken draaiende client die € 2900 aan Bitcoin had gevonden. En, zo werd gesteld, diverse grafische kaarten had opgeblazen. “lol that got aggressive quickly” om de baas aldaar te citeren. Joh.

ESEA biedt toegang tot online spellen, onder meer Counter Strike. Om valsspelen te voorkomen, moet je een anticheatprogramma draaien. Dat programma draait continu en kan niet uitgeschakeld worden, natuurlijk. Maar het is niet de bedoeling dat die software op de achtergrond ondertussen naar Bitcoins gaat zoeken. Zeker niet omdat dat proces nogal arbeidsintensief is, en daarmee tot een zware belasting van CPU of grafische kaart kan leiden. Ja, grafische kaart – die blijken efficiënter in het rekenwerk dat nodig is om Bitcoins te vinden.

Die zware belasting kan zó zwaar zijn dat je apparatuur er eerder van stuk gaat. Oftewel, concrete, hardwarematige schade is mogelijk door dit geintje. Wat is hieraan te doen?

Strafrechtelijk niet heel veel, vrees ik. Natuurlijk, er is een artikel dat het “verspreiden of ter beschikking stellen van programma’s die bestemd zijn om schade aan te richten in een geautomatiseerd werk” strafbaar stelt. Maar is zo’n bitcoin mining trojan bestemd om schade aan te richten? Dat lijkt me niet, want het is de bedoeling dat je PC goed blijft werken en braaf bitcoins zoekt. Met “bestemd” wordt echt gedoeld op virussen die dingen gaan wissen of kapotmaken, of de werking van je PC opzettelijk onderuit trekken.

De cookiewet biedt misschien een uitweg: het is immers verboden om zonder voorafgaande specifieke toestemming data (cookies, maar ook plugins, browserbalken, add-ons, updates et cetera) via een netwerk op iemands PC te parkeren. En die bitcoinminer is er vast niet via een USB-stick op gekomen. In Nederland zou de OPTA dus een boete kunnen opleggen.

Civielrechtelijk kun je natuurlijk een schadeclaim indienen bij ESEA: zij hebben je grafische kaart overbelast, dat is concrete schade dus die kun je verhalen. Alleen: je moet wél bewijzen dat de schade het directe gevolg was van de bitcoinzoekactie van het bedrijf. Dus niet, je gamet toch al zo veel dus hij zou toch een dezer dagen wel de geest geven. En hoe bewijs je dat?

Arnoud

Garantie telefoons mag niet vervallen bij root of jailbreak

Geplaatst op in Ondernemingsvrijheid, Security, 44 reacties

levenslang-100-garantie.jpgDe garantie op een telefoon mag niet vervallen als een gebruiker zijn telefoon root of jailbreakt, zo vatte Tweakers mij samen vorige week. Wettelijke garantie oftewel conformiteit is namelijk geen binair ding dat vervalt zodra je ergens waar dan ook iets geks doet. Het is een wettelijk recht dat je telefoon (of ander apparaat) moet doen wat je ervan mag verwachten. Zolang de jailbreak of andere ongeautoriseerde actie los staat van de oorzaak van het conformiteitsgebrek, is de winkel nog steeds verplicht dat gebrek gratis te herstellen.

Al minstens tien jaar hebben we het systeem van wettelijke garantie: een product moet gewoon doen wat je er (redelijkerwijs) van mag verwachten. Fabrikanten (en winkels) mogen daarnaast aanvullende garanties verlenen als ze daar zin in hebben, maar dat moet bóvenop de wettelijke garantie gebeuren. Rechten inperken is niet toegestaan, en mensen wijsmaken dat ze alleen recht hebben op fabrieksgarantie of dat ze garantie móeten kopen om ergens aanspraak op te maken ook niet. In 2011 werd nog een flinke boete opgelegd voor dergelijke grappen.

Aan aanvullende garanties mogen voorwaarden worden gesteld, en de voorwaarde “deze vervalt volledig als u gaat zitten hobbyen” is bij een aanvullende garantie op zich legaal. Maar die voorwaarde tast niet je wettelijke garantie aan.

Het systeem van wettelijke garantie werkt genuanceerd: bepaal de oorzaak van de fout, en ga dan na of deze oorzaak redelijkerwijs verwacht mocht worden. Daarbij kun je van alles meewegen, zoals de leeftijd van het apparaat, het soort gebruik, het verwachte gebruik, mededelingen bij de verkoop (‘showroommodel’) en ga zo maar door. Een toetsenbord dat na 2 jaar intensief gebruik letteraanduidingen op bepaalde toetsen kwijt is, is niet nonconform, net zoals een batterij die na drie jaar minder capaciteit heeft. Dat is gewoon slijtage. Een toets die na 2 jaar compleet van dat toetsenbord áf valt, lijkt me wel een conformiteitsgebrek – afhankelijk van de te verwachten kwaliteit natuurlijk.

Of je een apparaat zelf hebt aangepast, staat dus in principe los van de vraag of je wettelijke garantie hebt. De vraag is dan eigenlijk of de eigen aanpassing (mede) de oorzaak is van het probleem. Zo niet, dan is de winkel gehouden het probleem te herstellen of je gratis een nieuw apparaat te geven. Dat ik mijn firmware flash, betekent niet dat de batterij straffeloos binnen een uur leeg mag lopen, tenzij mijn nieuwe firmware continu wifi en GPS aan laat staan en héél veel radioverkeer genereert natuurlijk. Garantie is een lokale variabele die per feature op ja/nee/beetje kan staan.

Als de fout los staat van het jailbreaken of aanpassen, dan moet de winkel de telefoon dus herstellen of vervangen. Volgens mij is daarbij een open vraag of ze dan een standaard firmware mogen terugzetten. Je zou zeggen van niet, want de firmware heeft dan immers niets te maken met de fout. Maar het onderzoek naar de fout kan bemoeilijkt worden door die custom firmware, en je zult sowieso moeten beginnen bij de vraag óf de firmware de fout maakt. Stock firmware terugzetten en zien of het probleem dan weg is, is de meest geëigende weg om die vraag te beantwoorden.

De gebruiker is dan wel bepaalde data kwijt, maar dat risico kun je wel bij de gebruiker leggen lijkt me.

Arnoud

Wetsvoorstel computercriminaliteit: terughackbevoegdheid, webcammeekijkrecht, decryptiebevel en wereldwijde rechtsmacht bij cybercrime

Geplaatst op in Security, 55 reacties

team-high-tech-crimeMinister van Veiligheid en Justitie Ivo Opstelten wil de politie de mogelijkheid geven om fors in te grijpen tegen hackers, meldde NRC en vele andere media. In een nieuw wetsvoorstel tegen cybercrime stelt hij voor de politie een terughackbevoegdheid en een webcamgluurrecht te geven. Oh ja, en weigeren je wachtwoord te geven wordt strafbaar.

Het wetsvoorstel bevat een al lang liggend verlanglijstje van Justitie om meer bevoegdheden te krijgen. Zo wordt het apart strafbaar gesteld om gegevens te ‘helen’, oftewel gegevens over te nemen die niet openbaar zijn. Dit naar aanleiding van de Manon Thomas-zaak, waarin er strafrechtelijk weinig te doen was tegen de publicatie van via computervredebreuk verkregen privéfoto’s van de bekende Nederlandse. Dat kan nu wel – een jaar cel – maar “overnemen van niet-openbare gegevens” is gelijk wel een pondje zwaarder dan “publicatie van gevoelige privégegevens”.

De gegevens hoeven niet via computervredebreuk verkregen te zijn. Een laptop ouderwets jatten en dan de inhoud op pastebin zetten is ook strafbaar als dit wet wordt. Netjes is wel dat er een expliciete uitzondering is opgenomen voor serieuze journalistiek:

Niet strafbaar is degene die te goeder trouw heeft kunnen aannemen dat het algemeen belang bekendmaking van de gegevens vereiste.

Het decryptiebevel. Tsja. Zoals de minister zelf al zegt:

De verdachte kan zich erop beroepen niet in staat te zijn aan het bevel te voldoen omdat hij niet in staat is de sleutel te reproduceren.
Dat levert dan overmacht op, waardoor hij niet strafbaar is. Maar de rechter mag wel zijn conclusies trekken over hoe geloofwaardig dit overkomt en wat dat betekent voor de rest van het bewijs. Opmerkelijk is nog dat het bevel alleen gegeven mag worden bij terrorisme en kinderporno, want dan durft niemand er tegen te zijn.

Verder wordt de gerechtelijke toets bij weghaalbevelen voor tussenpersonen (zoals hostingpartijen) toch niet geschrapt. Wel wordt de regeling herschreven maar voor zover ik kan zien, is dat vooral een verduidelijking. De belangrijkste aanvulling is dat er nu eindelijk een klachtmogelijkheid is tegen een dergelijk bevel.

Meest controversieel is toch wel de hackbevoegdheden die Justitie gaat krijgen onder dit wetsvoorstel. Men mag binnendringen in een computer, router of cloudserver waar de verdachte gebruik van maakt (ja, ook als hij niet de enige is) en deze “onderzoeken” om vast te stellen wie de eigenaar is of waar het apparaat staat. Maar ook alle gegevens overnemen “die noodzakelijk zijn om de waarheid aan het licht te brengen” – de wettelijke definitie van “bewijs vergaren”. Wel moet sprake zijn van een ernstig delict, en er moet toestemming zijn van de rechter-commissaris.

Hiermee mag dus ook de cloud gehackt worden – en neemt Nederland dus rechtsmacht aan voor alle cloudservers waar ze bij kunnen.

Aangenomen wordt dat bevoegdheden als de ontoegankelijkmaking of het veiligstellen van gegevens tot de eigen territoriale beschikkingsmacht behoort voor zover de Nederlandse strafwet toepasselijk is op het strafbare feit dat wordt opgespoord. De noodzaak tot onverwijld optreden maakt dit onvermijdelijk en ook volkenrechtelijk goed verdedigbaar. Dit betekent dat wanneer de plaats van opslag van de gegevens niet bekend is, zelfstandig kan worden opgetreden.

En wij maar piepen als de FBI gaat datagraaien in Europese computers onder hun Patriot Act.

Met een apart bevel mag men ook communicatie aftappen, vertrouwelijke communicatie opnemen en de verdachte stelselmatige observeren – inderdaad, de politie mag dan je webcam stiekem aanzetten en meekijken. Hiervoor komt een aanvulling op het Besluit technische hulpmiddelen strafvordering, waarin nu al staat wanneer de politie met richtmicrofoons of camera’s mag afluisteren of meekijken.

De hiervoor te gebruiken software lijkt nog te moeten worden ontwikkeld:

De softwareapplicatie dient te zijn gecertificeerd. De eisen voor de certificatie worden neergelegd in het Besluit technische hulpmiddelen strafvordering. Dit brengt met zich mee dat de mogelijkheid bestaat om technische hulpmiddelen van verschillende leveranciers te betrekken, op voorwaarde dat deze middelen aan de wettelijke eisen voldoen.

Harde eis: In het geval dat de software wordt herkend, is het van essentieel belang dat deze niet te herleiden is tot de politie. Eh.

Arnoud

Britten introduceren weeswerkenwet

Geplaatst op in Intellectuele rechten, 14 reacties

Met de Enterprise and Regulatory Reform Bill hebben de Britten een weeswerkenwet met “seismic repercussions” voor fotografen, meldde BJP gisteren. Deze wet bepaalt dat werken waarvan de maker niet te achterhalen is, via een collectief licentiesysteem gebruikt mogen worden. En de aardschok voor fotografen zit hem in wanneer een werk een weeswerk is.

Een weeswerk is algemeen gesproken een werk waarvan de rechthebbende niet kan worden achterhaald, maar dat nog geen publiek domein is. Gebruiken van een weeswerk mag dus niet (behalve onder citeren of thuisgebruik, et cetera) maar toestemming vragen is niet mogelijk. En dat leidt tot vervelende situaties, zeker als het werk in een verouderd formaat is en dus moet worden gedigitaliseerd of bewerkt om het te behouden. Of zelfs maar wanneer je als bibliotheek het werk beschikbaar wil stellen aan het publiek, zoals je altijd doet als bieb.

Iedereen is het er eigenlijk wel over eens dat dit weeswerkenprobleem moet worden opgelost. Maar hoe dat moet gebeuren, weet eigenlijk niemand. Het probleem is namelijk fundamenteel dat je een ontkenning moet bewijzen als gebruiker: de rechthebbende moet onmogelijk te vinden zijn. Maar dat jij hem of haar niet hebt gevonden, kan ook betekenen dat je niet hard genoeg hebt gezocht. Dus hoe trek je daar de grens?

Het klinkt dan als een oplossing om te zeggen dat je een “diligent search”, oftewel stevig je zoekbest, moet hebben gedaan en dan niets hebt gevonden. Maar wat is een ‘diligent’ search? Wanneer heb je genoeg je best gedaan bij een foto die je ergens op een website vond?

Het FUD-verhaal van Andrew Orlowski dat nu rondzingt op Slashdot en elders, komt er op neer dat als er geen metadata in de foto staat, je meteen mag stoppen met zoeken. En omdat Instagram en collega’s bij het uploaden alle metadata strippen, zijn alle foto’s op social media nu publiek domein. Eh, nee. Dát staat niet in die wet. Zonder metadata is je zoektocht moeilijker, maar even de foto in Google Afbeeldingen gooien is nul moeite en levert vaak meteen zeer nuttige resultaten. Ik zou dus zeggen dat wie géén zoekresultaten van Google (en TinEye) kan overleggen, niet ‘diligent’ handelde.

De achterliggende discussie specifiek voor foto’s vind ik eigenlijk nog interessanter. Ik riep al eens het failliet van het plaatjesauteursrecht uit, en ik zie nu weer precies dezelfde argumenten langskomen: plaatjes zijn de olie, de grondstof van de internetcultuur en die moet iedereen kunnen gebruiken – versus, foto’s maken kost geld en vereist deskundigheid en ervaring, dat wordt nu onmogelijk dus je maakt een branche kapot op deze manier.

In de comments zei ik toen: als de overgrote meerderheid van de bevolking iets vindt, dan moet je daar als wetgever wat mee doen. Niet per se het volk haar zin geven, maar blijven zitten op een uitgangspunt uit 1912 is echt onwenselijk.

Voorbeeld: fietsers reden massaal rechtsaf door rood. Dat was tegen de wet, maar het gebeurde zó massaal en het verbod werd zo onzinnig geacht, dat daar nu een wettelijke uitzondering voor is gemaakt (art. 68 RVV, moet wel met bordje aangegeven zijn).

Fietsers reden ook massaal zonder licht ‘s nachts. Dat werd door fietsers óók onzinnig geacht (auto’s hebben zelf toch licht, en er staan lantaarnpalen, en de automobilist is toch aansprakelijk) maar daar is de wet niet op veranderd. Nou ja, een beetje: volgens art. 35 RVV is naast verlichting op de fiets ook toegestaan dat “de bestuurder een wit of geel licht voert op zijn borst” en/of dat “de bestuurder of een achter de bestuurder gezeten passagier een rood licht voert op zijn rug.”

Daarnaast is er flink geïnvesteerd in campagnes om fietsers licht te laten voeren, en zijn daarna intensieve boetecampagnes opgezet. En zo creëer je draagvlak, ik zie nu véél minder fietsers die fietsen zonder licht (no pun intended).

Beide keuzes zijn democratisch gezien legitiem. Een vergelijking in het auteursrecht zou kunnen zijn dat je bv. nietcommercieel hergebruik toestaat, of dat je een heffing bij providers neerlegt die het dan weer aan klanten kunnen doorberekenen (“Nu Hyves Premium met recht om drie filmpjes te plaatsen”). Of alle auteursrechten onder Buma/Stemra schuiven en zo één loket bieden. Maar er moet íets gebeuren.

Arnoud

Mag je sollicitanten googelen?

Geplaatst op in Ondernemingsvrijheid, 46 reacties

google-homepage-patent.pngIn onze vacatures bij ICTRecht nemen wij sinds kort de standaardzin “NB: een Google-onderzoek maakt deel uit van de procedure.” op. Dat gaf enige discussie op: mag dat eigenlijk wel dan, sollicitanten googelen? En welke eisen gelden daarbij?

Heel formeel is het googelen van een sollicitant een geautomatiseerde verwerking van zijn persoonsgegevens. Je doorzoekt immers een databank op zoek naar persoonlijke informatie (persoonsgegevens) van een natuurlijk persoon. In beginsel is daarvoor dus toestemming nodig, ondubbelzinnige toestemming om precies te zijn. Die is een beetje moeilijk te krijgen in een personeelsadvertentie. Onze advertenties mélden dat we dit doen, en ik meen dat je dan de toestemming kunt afleiden uit het feit dat iemand dan toch solliciteert.

Je kunt het ook gooien op de “eigen dringende noodzaak”, de uitzondering in de privacywet waarmee je zonder toestemming mag handelen. Je noodzaak moet dan zwaarder wegen dan de privacy van de persoon. Dat vereist een belangenafweging, en daarbij zal meespelen welke bronnen je raadpleegt. Openbare, zelf gepubliceerde bronnen zoals een homepage of openbare LinkedIn-pagina zijn daarmee wel te raadplegen, maar gaan snuffelen op Facebook vanaf het privéaccount van de HR-medewerker lijkt me niet kunnen. Sterker nog, je kunt je afvragen of je als werkgever überhaupt wel op Facebook moet gaan kijken, dat is immers privé en dus niet relevant voor het werk.

De NVP Sollicitatiecode gaat hierbij nog een stapje verder: naast toestemming verkrijgen moet je ook aan de sollicitant je resultaten melden (met bronvermelding) en bespreken wat je gevonden hebt. Dit is niet wettelijk verplicht maar wel een goede best practice. Zeker omdat de kans op persoonsverwisseling of onjuist interpreteren van gegevens best aanwezig is bij Google.

Een complicatie daarbij zijn nog de “bijzondere persoonsgegevens”, gegevens over iemands ras, gezondheid, seksuele voorkeur en dergelijke. Die mag je eigenlijk helemáál niet verwerken, dus wat moet je dan als je die tegenkomt in een openbare databank zoals Google? Gelukkig is er een uitzondering in de Wbp: wanneer zulke gegevens “door de betrokkene duidelijk openbaar zijn gemaakt”, geldt het verbod niet. En ook bij uitdrukkelijke toestemming van de betrokkene zelf, mag je ernaar kijken. Een datingprofiel of een foto die die persoon zelf online zette, mag je dus bekijken als potentieel werkgever.

In ons geval gaat het er ons niet om of we gekke dingen vinden, om daarmee mensen af te wijzen. Sterker nog: het maakt ons niet uit of je gekke dingen doet in je privétijd. Ik zou het raarder vinden als iemand solliciteert voor ICT-jurist en dan niets gepubliceerd heeft. Dan ben je óf heel goed, óf heel slecht in de ICT.

En in dat verband: wat vinden jullie van mijn standaardvraag tijdens het eerste gesprek “We hebben je gegoogeld maar niets geks gevonden. Hoe kan dat?”?

Arnoud

Wat mag ik met een opgenomen zakelijk gesprek?

Geplaatst op in Privacy, 6 reacties

richtmicrofoon.jpgEen lezer vroeg me:

In een zakelijk conflict heb ik een gesprek met de helpdesk van de wederpartij opgenomen. Nu heb ik in een brief aan de bedrijfsjurist hiernaar verwezen, en deze wil nu een kopie van de opname. Mag ik deze afgeven? Hoe zit het met de privacy van de wederpartij?

Een gesprek opnemen waar je zelf deelnemer aan bent, is eigenlijk altijd toegestaan. De strafwet verbiedt alleen het afluisteren van andermans gesprekken.

Wanneer je dat gesprek alleen bewaart en gebruikt als bewijs, is dat volkomen legaal. Ook de wet bescherming persoonsgegevens zit hier niet in de weg: hoewel een gespreksopname met naam en tijdstip een persoonsgegeven is, is een dergelijk beperkt gebruik gerechtvaardigd onder je “dringende eigen noodzaak”, je moet immers bewijs kunnen verzamelen van zakelijke gesprekken. En dan mag dat, ook zonder toestemming te vragen. Bedrijven die structureel gesprekken opnemen, moeten het wél melden onder de Wbp, dat hoort bij de informatieplicht (die zin is dus een gesproken privacystatement, zeg maar).

Naast de Wbp is er ook nog ‘gewoon’ de privacy, de persoonlijke levenssfeer. Het is niet echt prettig om opgenomen te worden zonder dat te weten. Maar een werknemer die een zakelijk gesprek voert met een klant, heeft daar eigenlijk geen privacyverwachting in. Vergelijk het met een zakelijke brief, ook daar is niets privé aan.

Het afgeven van een kopie van het gesprek, of een transcriptie, lijkt me een redelijk verzoek. Als het ooit bij de rechter komt, zul je het toch ook moeten overleggen als bewijs en dan krijgt de wederpartij ook al een kopie. En je zou zelfs kunnen zeggen dat er een récht op afgifte is: de persoon wiens persoonsgegevens worden verwerkt, heeft recht van inzage en daaronder vallen ook het opvragen van kopieën van geluidsopnames, zo blijkt uit het Dexia-arrest van de Hoge Raad.

Arnoud

Mag je je LinkedIn-contacten spammen?

Geplaatst op in Privacy, 24 reacties

linkedin-connecties-contacten.pngEen lezer vroeg me:

Ik word een erg moe van de vele (ik gok een stuk of 10 per week) emails die ik van mijn LinkedIn-contacten krijg met volgens mij ordinaire reclame:
– hoera, mijn boek is uit
– ik geef een workshop voor 500 euro
– mijn website is vernieuwd
– ik verloot een ipad aan nieuwe klanten
– binnenkort heb ik een event waar ik jou voor wil uitnodigen. het kost slechts 280 euro
– ik heb nu toch weer een nieuw product, poehee dat is echt gaaf en nieuw
– ik heb een hele bijzondere mededeling over een klus die ik ga doen, ik ben echt heel interessant, huur mij dus ook in
Het zijn altijd onpersoonlijke mails, gericht aan iedereen en niet persoonlijk aan mij. Het doel is vrijwel altijd commercieel en ze doen weinig onder voor een nieuwsbrief. Is dat eigenlijk ook geen spam, of moet ik dat maar accepteren omdat ik ooit iemand heb toegelaten als LinkedIn-contact?

Ik ken de frustratie, en het is voor mij een reden om niet of nauwelijks naar LinkedIn-berichten te kijken. Erg jammer, maar ja.

Is het spam? Volgens de wet wel: zonder toestemming, ongevraagd en met commercieel oogmerk is spam, ook als het maar een paar berichten zijn (dus geen bulkmail). Want ja, spammen kan ook via andere communicatiekanalen dan e-mail. Dat weten we uit de Hyveskrabbelspamzaak uit 2009.

Er is echter een uitzondering voor zelf opengestelde zakelijke communicatiemiddelen:

Indien de gebruiker, bedoeld in het eerste lid, een rechtspersoon is dan wel een natuurlijke persoon die handelt in de uitoefening van zijn beroep of bedrijf, geldt met betrekking tot het door middel van elektronische berichten overbrengen van ongevraagde communicatie voor commerciële, ideële of charitatieve doeleinden dat geen voorafgaande toestemming is vereist:
a. indien de verzender bij het overbrengen van de communicatie gebruik maakt van elektronische contactgegevens die door de gebruiker daarvoor zijn bestemd en bekendgemaakt, en deze zijn gebruikt in overeenstemming met de door de gebruiker aan die contactgegevens verbonden doeleinden

Wie op LinkedIn zit, handelt daarbij normaliter zakelijk oftewel “in de uitoefening van zijn beroep of bedrijf”. En dan wordt de vraag dus: heb je door het connecten met iemand je LinkedIn-berichtenbox opengesteld voor dit soort “poe hee wat gaaf mijn workshop”-berichten?

De LinkedIn User Agreement is niet heel duidelijk over of dit soort communicatie nu toegestaan is. Men verbiedt wel “unsolicited or unauthorized advertising” maar die tekst lijkt meer te gaan over het ongevraagd lastigvallen van onbekenden. Ik denk niet dat een statusupdate met commercieel oogmerk hieronder valt.

Wat vinden jullie? Is LinkedIn bedoeld voor dit soort updates, en geef je dus toestemming om ze te krijgen als je op dit netwerk gaat zitten?

Arnoud

Ga wég met je optionele aanvinkvakjes bij installatie van software

Geplaatst op in Informatiemaatschappij, 27 reacties

Gisteren blogde ik op Cookierecht over het aanvinkvakje van Oracle’s Java-installer bij de Ask.com toolbar. Dat vinkje staat alvast aan, en wie de toolbar niet wil, moet het weghalen. Dat moet je maar net even zien. En nee, dat mag niet van de cookiewet. Maar het kan nóg erger: de installatiezin van AVG Toolbar waar ik gewoon juridisch jeuk van krijg.

Dit is hoe het pakket PowerISO de AVG toolbar presenteerde bij installeren:

powerisoavg

Ziet u hem? “Set, keep and protect AVG Secure Search as my homepage and default search provider.” Dus niet alleen “installeer dit” maar ook “neem alle mogelijke maatregelen die u goeddunkt om te verhinderen dat dit product ooit nog wordt gedeïnstalleerd of aangepast.” Wat zou “keep and protect… as my homepage” anders moeten betekenen?

Na klachten ging AVG dit aanpassen, als volgt:

avgcompliantscreen-v2

Dit is duidelijker dát er iets gaat gebeuren, maar de standaardkeuze staat nog steeds op “doe het” en dat kan ik geen opt-in noemen. Bovendien: die jeukzin staat er gewoon nog stééds. En alleen al daarom zou ik nooit zo’n pakket durven installeren.

Dan zijn er ook nog allerlei pakketten die de tekst omkeren: als u niet wilt dat deze toolbar niet uw default wordt, verwijder dan het vinkje waarbij staat “Installeer deze software niet”.

Wat is de gemeenste installatie-truc die jullie kennen?

Arnoud

Help, de helpdesk moet gaan skypen

Geplaatst op in Privacy, 43 reacties

skype-chatEen lezer vroeg me:

Bij ons bedrijf werkt de adviesdesk nu per telefoon, chat en e-mail. De directie wil echter naar Skype: zo kunnen klanten de medewerker dus zien, en dat zou de klant prettig vinden. Echter, niet alle werknemers voelen zich daar prettig bij want soms moet je vervelende gesprekken voeren en als klanten je dan kunnen zien, dan kunnen ze je later herkennen. Mag een werknemer weigeren Skype met video te gebruiken?

Een werkgever mag eenzijdig aanwijzingen geven hoe het werk moet worden uitgevoerd. Wel moet hij als goed werkgever de privacy respecteren. Het komt dus neer op een afweging van belangen: hoe groot is de privacy en hoe groot is het bedrijfsbelang? Kan een goed werkgever zoiets verlangen van werknemers, past dit binnen een goede uitvoering van de functie?

Natuurlijk is er de Wet bescherming persoonsgegevens, die gaat ook over video-opnames van werknemers. Maar die wet (net zoals de wet over cameratoezicht) gaat vooral over het structureel volgen en registreren van werknemers, en dat is hier niet aan de orde. Ja, oké, als alle gesprekken opgenomen worden en in een archief gaan, maar dat speelde niet bij de vraagsteller.

Mij lijkt dat een werkgever dit wel kan eisen. Het raakt natuurlijk aan de privacy van de werknemer, maar omdat het gaat om klantcontact tijdens het uitvoeren van het werk lijkt me dat op zich niet een héél zwaar belang.

Natuurlijk, er kunnen situaties zijn waarin een boze klant nu de werknemer kan herkennen en/of beelden kan publiceren of misbruiken. Maar de theoretische mogelijkheid dát dat kan gebeuren, is niet genoeg. Pas als dat structureel een risico is, bv. bij medewerkers van een uitkeringsfraude-controleur, kan ik me voorstellen dat je niet zomaar iedereen zichtbaar wil hebben voor de klanten.

Zouden jullie bezwaar hebben tegen verplicht videobellen in plaats van gewoon bellen?

Arnoud