Auteur: Arnoud Engelfriet

About Arnoud Engelfriet

Website::Subscribe Feeds

Ik moet van mijn werkgever op Facebook!

Geplaatst op in Ondernemingsvrijheid, Privacy, 33 reacties

facebookEen lezer vroeg me:

Mijn werkgever maakte recentelijk een Facebookgroep aan en heeft alle werknemers op Facebookopgezocht en toegevoegd aan deze bedrijfspagina. Ik heb zelf nog geen Facebook maar werd vorige week toch vriendelijk verzocht die aan te maken “zodat we allemaal op Facebook zijn”. Kan ik dat weigeren?

Het lijkt me niet dat de werkgever dit kan eisen. Een Facebookprofiel telt als verwerking van persoonsgegevens, en dat kan een werkgever alleen van een werknemer eisen als dat óf nodig is voor het werk óf er een zeer dringend belang is dat zwaarder weegt dan de privacy van de werknemer.

Die eis van “nodig voor het werk” zie ik niet opgaan bij Facebook. Bij LinkedIn vind ik het iets twijfelachtiger of je kunt weigeren. LinkedIn is een zakelijk netwerk, en als een bedrijf zich profileert als ICT-minded dan wordt verwacht dat de werknemers via LinkedIn te vinden zijn.

Bij het zeer dringend belang kan ik me ook niets voorstellen hier. Als je (volgens de privacywaakhond dan) al toestemming nodig hebt voor een foto op je eigen site dan bij de perfide Amerikaanse persoonsgegevensjatters al helemaal, lijkt me.

Tenzij het in het arbeidscontract staat of men vrijwillig toestemming geeft, zie ik niet hoe je dit voor elkaar krijgt.

Ik snap ook niet goed waaróm je dit zou willen als werkgever. Een profielpagina op je site voor klanten, oké. Een LinkedInprofiel om te netwerken, alla. Maar Facebook, dat is toch totaal irrelevant voor het werk?

Arnoud

Gluren bij de buren versus de DMCA

Geplaatst op in Intellectuele rechten, Security, 14 reacties

De redactie van PC-Active werd getipt door een lezer, die erachter kwam dat openbaar hangende camera’s van het bedrijf WebCam.NL door een simpele wijziging van het webadres ineens inzoomen op gebieden die normaal gesproken niet zichtbaar mogen zijn, ontdekte PC-Active. De tipgever had ook enkele beelden van de webcams online gezet, en deze werden door het bedrijf weggehaald via een DMCA notice/takedownverzoek. Eh, wacht, wat?

Camera’s in de openbare ruimte zijn toegestaan mits duidelijk gemeld is dat er gefilmd wordt. Hetzij met een bordje, hetzij zo duidelijk opgehangen dat de camera niet te missen is. Maar als de camera niet in staat is om mensen herkenbaar in beeld te brengen, dan is niet eens een melding nodig. Een webcam die de sneeuw op de bergen of de golven op de Noordzee laat zien, mag dus zomaar en zonder enige melding. Maar als die webcam in staat is tot zoomen zodanig dat je mensen kunt zien (zoals in het screenshot rechtsboven) dan valt dat echt onder de (straf-)wetgeving over cameratoezicht en had er een bordje moeten hangen. Nog even afgezien van of het überhaupt mag van de privacywet.

Dat het bedrijf niet blij is met de actie van PC-Active, geloof ik meteen. Maar een DMCA claim slaat juridisch werkelijk helemaal nergens op. Met zo’n claim verklaar je auteursrechthebbende te zijn op de foto, en daar is geen sprake van. Iets dat het bedrijf zou moeten weten. Als er al iemand auteursrecht heeft, dan was dat de man (of vrouw) die op de printscreenknop drukte toen deze scène in beeld was. En ik waag ten zeerste te betwijfelen óf er auteursrecht zit op zo’n camerabeeld. Waar is de creativiteit? Welke eigen oorspronkelijke creatie zien we hier? Dit is gewoon een weergave van de werkelijkheid.

Helaas komen dergelijke DMCA-misbruiken vaker voor. In de VS is “DMCA abuse” inmiddels een gevleugelde term voor het sturen van takedownverzoeken die eigenlijk neerkomen op “ik vind het niet léuk dat ze dit doen”. Men ziet een kritische tekst waarin drie regels van het eigen werk staan en roept briesend dat sprake is van opzettelijke en grootschalige auteursrechtschending, waarna de hoster niet weet hoe snel hij het offline moet halen. Of, zoals hier, men ziet een foto in een onprettig bericht over het bedrijf en eist dat deze wordt weggehaald. En heel ergerlijk vind ik daarbij dat je bij de DMCA formeel moet verklaren dat je under penalty of perjury zeker weet dat je claim correct is – maar waar geen enkele sanctie staat op liegen.

Mogelijk is hier het verhaal dat men meneers privacy wilde beschermen, maar dat kán niet met de DMCA. Dat is een auteursrechtenregeling, niets meer en niets minder. Bij ons kan er wel op basis van de privacywet (of eender welke andere wet) worden geëist dat dingen worden verwijderd, maar dat moet de persoon in kwestie zelf doen. De exploitant van een webcamsite kan daar niets aan doen. En in deze situatie waarin een misstand aan de kaak wordt gesteld, zal de privacy toch echt moeten wijken voor het nieuwsbelang.

Inmiddels meldt PC-Active dat de problemen gedeeltelijk zijn verholpen. Niet helemaal want een aantal camera’s is (als je even goed doorkijkt) nog steeds op afstand te bedienen.

Arnoud

Kan een ontsleutelplicht voor verdachten worden ingevoerd?

Geplaatst op in Security, 62 reacties

decryptie sleutelKinderporno- of terrorisme-verdachten kunnen in Nederland straks gedwongen worden om mee te werken bij het ontsleutelen van bestanden op systemen, las ik bij Tweakers. De minister wil een wetsvoorstel indienen waarmee er celstraf moet komen te staan op het weigeren zo’n bevel op te volgen. En dat roept dan meteen de vraag op: hoe past dit binnen het principe dat je niet mee hoeft te werken aan je eigen veroordeling?

Het “nemo tenetur”-beginsel uit het strafrecht bepaalt dat niemand kan worden gedwongen om tegen zichzelf te getuigen of een bekentenis af te leggen. Mede hierom krijg je als verdachte de “cautie”, een waarschuwing dat je niet verplicht bent te beantwoorden. En ook hierom staat in de huidige strafvorderingswet dat je als verdachte niet kan worden bevolen om dingen te ontsleutelen.

Wel moet je natuurlijk als verdachte tolereren dat de politie dan zélf gaat snuffelen en zoeken naar dingen. Weiger je de kluis met daarin het bewijs te openen, dan mag men een slotenmaker met thermische lans inschakelen. Het probleem met digitale kluizen (encryptie) is dat er geen thermische lans is. Openmaken is onmogelijk als iemand een béétje z’n best doet met het wachtwoord. Vandaar het idee, nou dán moeten we hem toch kunnen dwingen?

Bert-Jaap Koops deed onderzoek naar de reikwijdte van het nemo-teneturbeginsel. Hij noemt vier factoren die door het Hof van Justitie worden meegenomen in de bepaling of sprake is van een toegestane inbreuk:

  1. de aard en mate van dwang;
  2. het gewicht van het publiek belang;
  3. de aanwezigheid van relevante waarborgen in de procedure;
  4. de manier waarop het afgedwongen materiaal wordt gebruikt.

In het Verenigd Koninkrijk en Frankrijk zijn regelingen ingevoerd waarbij het inderdaad strafbaar is om niet mee te werken aan decryptie als verdachte. In theorie voldoen die regelingen, want zoals de bovenstaande factoren laten zien zitten er allerlei belangenafwegingen in. Als je daaraan voldoet, dan is geen sprake van een ongerechtvaardigde inbreuk op het rechtsbeginsel.

Algemeen aanvaard is dat het zwijgen van de verdachte kan worden gebruikt in de waardering van ander bewijs. In een rechtszaak over kinderporno werd het zwijgen van de verdachte gebruikt als bewijs van zijn intenties met het binnenhalen daarvan (dat is relevant voor de vraag of het per ongeluk dan wel opzettelijk gebeurde). Je zou een decryptieplicht binnen die regel kunnen positioneren, en dan zeg je dus: u mág zwijgen over uw sleutel maar de rechter kan dat dan de doorslag laten geven als er twijfel is.

Je kunt ook nóg verder gaan en gewoon expliciet een paar jaar celstraf zetten op het weigeren gegevens te ontsleutelen. Of, ietsiepietsie subtieler, bepalen dat als je toch al veroordeeld wordt je extra straf krijgt voor het niet ontsleutelen. In die laatste situatie kun je nog steeds gewoon vrijuit gaan als er geen bewijs is, maar is er verder genoeg bewijs dan ga je dus nog langer de bak in.

Oké, allemaal juridisch vast wel ergens in te bouwen. Maar heeft het zín? Het lijkt me vandaag de dag nóg makkelijker dan begin jaren nul (toen deze discussie ook speelde) om onkraakbare of zelfs ondetecteerbare encryptie in te zetten. Daar staat tegenover dat menig crimineel gewoon dom is en dus niet weet hoe dat moet. Daarmee zou het middel toch in de praktijk inzetbaar kunnen zijn. Maar goed, zelfs een domme crimineel kan nog bedenken dat “ik ben het wachtwoord vergeten, sorry” een prima verweer is. En dan?

En wat Bits of Freedom zegt: het is een schijnoplossing. Er zijn maar zó weinig zaken waarbij dit het cruciale probleem is.

Arnoud

De belseconde moet terug!

Geplaatst op in Innovatie, 24 reacties

OPTA wijst telefonieproviders erop dat ze per 1 januari ten minste één abonnement moeten aanbieden met bellen per seconde in plaats van per minuut, en zonder starttarief, las ik bij Webwereld. Naast de netneutraliteitswet (en de omgekeerde bewijslast bij de cookiewet) treedt dan ook de belsecondewet in werking. Of nou ja, ik noem het maar belsecondewet maar net als netneutraliteit en cookies gaat het in feite om één artikel uit de Telecommunicatiewet. Maar “artikel 7.2a lid 4 Telecommunicatiewet” bekt zo slecht.

Toen ik nog een klein nerdje was, moest ik online met een tikkenteller (zie foto) die per zo veel seconde een tik registreerde, waarna ik het bijbehorende tarief bij m’n ouders afrekende. Dat werd op zeker moment bellen per seconde, en in 2010 gingen alle providers ineens volstrekt toevallig tegelijkertijd naar het afrekenen per minuut. Ook was er het starttarief (maar dat was dacht ik er ook al in mijn tikkentellertijd?) waardoor met name korte gesprekken ineens relatief duur werden.

Per 1 januari wordt het dus verplicht om ten minste één mogelijkheid te bieden om per seconde te bellen en zónder starttarief. En omdat telecomjongens héél handig zijn in creatieve interpretatie van zulke regels (“nu slechts 75 euro per seconde!”), moet die mogelijkheid “vergelijkbaar” zijn met de andere door de aanbieder aangeboden abonnementen.

Maar wat is “vergelijkbaar”? Daar zou zelfs Wim ten Brink even over moeten nadenken, maar de OPTA heeft onlangs een toelichting op artikel 7.2 lid 4 gepubliceerd waarin zij een poging doet. Als algemeen criterium hanteert OPTA dat de perseconde-dienst “een volwaardig en serieus alternatief [moet] zijn” voor de andere diensten.

Voor de bijdehante telecomjongens nog een keertje uitleg van wat “per seconde” inhoudt:

[Bellen per seconde] geldt dus meteen vanaf de eerste seconde en derhalve is het bij de voorgeschreven overeenkomst niet toegestaan de eerste minuut af te ronden. De gespreksduur in seconden in rekening brengen betekent naar het oordeel van het college dat de consument moet betalen voor wat hij feitelijk belt

Dus per seconde en niet “na de eerste minuut betaalt u per seconde” of “u betaalt per seconde, berekenend in blokken van 60” of dergelijke bijdehante kleine letters.

Of het aanbod vergelijkbaar is, kan afhangen van alle factoren die consumenten meenemen in hun abonnementskeuze. De duur, de maandkosten, houdbaarheid van belminuten, wel of niet een gratis dan wel leasetoestel, en ga zo maar door. U kunt uitgaan van het gemiddelde belprofiel van afnemers van uw meest afgesloten overeenkomst, suggereert de OPTA heel behulpzaam. Maar de OPTA doet géén uitspraken vooraf of een bepaald abonnement (of juist een prepaidopzet) voldoet aan de regels. Op basis van klachten bij Consuwijzer kan men beboetend optreden.

De uitdaging van vandaag: verzin een abonnement of prepaidaanbieding waarbij per seconde wordt afgerekend die lijkt te voldoen aan het “vergelijkbaar”-criterium en tóch een volslagen flop gaat worden.

Arnoud

Ik moet heel juridisch lachen om die “Facebook Privacy Notice”

Geplaatst op in Iusmentis, 30 reacties

Onder het motto “geen idee wat het betekent maar het leest juridisch dus zal het vast wel nuttig zijn” knalt menig persoon de laatste tijd deze tekst op Facebook:

In response to the new Facebook guidelines I hereby declare that my copyright is attached to all of my personal details, illustrations, comics, paintings, professional photos and videos, etc. (as a result of the Berne Convention). For commercial use of the above my written consent is needed at all times!

By the present communiqué, I notify Facebook that it is strictly forbidden to disclose, copy, distribute, disseminate, or take any other action against me on the basis of this profile and/or its contents. The aforementioned prohibited actions also apply to employees, students, agents and/or any staff under Facebook’s direction or control. The content of this profile is private and confidential information. The violation of my privacy is punished by law (UCC 1 1-308-308 1-103 and the Rome Statute).

Ik ben blij dat ik geen Facebook heb want als ik dat de hele avond in mijn timeline zou zien, zou ik van ergernis helemáál overspannen raken.

Nee, het slaat helemaal nergens op, die Facebook notification. Tegen de tijd dat je een dergelijke tekst plaatst, ben je al lid van Facebook en dus ben je akkoord met hun gebruiksvoorwaarden. Je kunt dat niet achteraf opzij zetten of aanpassen, ook niet met een beroep op de Berner Conventie, het Verdrag van Rome (dat gaat over het Internationaal Strafhof, wtf?) of artikel 1-308 van de Uniform Commercial Code. Geen van die rechtsbronnen biedt jou de bevoegdheid om achteraf terug te komen op een contract dat je hebt gesloten.

En ook juridisch-inhoudelijk slaat het nergens op. Je kunt wel zeggen dat je auteursrecht hebt (en dat heb je ook inderdaad van die Berner Conventie) maar Facebook mag nog steeds alles dat ze in de gebruiksvoorwaarden van je eisen. Die voorwaarden hoeven niet schriftelijk te zijn gemeld, de hyperlink bij registratie is genoeg.

Ook melden dat je profiel privé en vertrouwelijk is, gaan je niet helpen, zelfs niet als je dat notificeert in een communiqué langs elektronische weg (in plaats van ze dat te zeggen per e-mail). Wederom, de voorwaarden van Facebook bepalen wat privé is – en belangrijker, wat Facebook mag doen met content die privé is. Toegegeven, als van specifiek content duidelijk is dat deze privé is dan mag Facebook die niet van de ene op de andere dag publiek maken (zoals ze ooit met foto’s deden door alles naar publiek te gooien) maar het idee dat je Facebook zelf zou kunnen verhinderen iets te doen (zoals jou bannen of je content verwijderen) met content op hun server is gewoon te hilarisch voor woorden.

Misschien dat deze tekst ingegeven is door het plan van Facebook om de feedbackregels aan te passen die zij moet volgen alvorens de voorwaarden te mogen wijzigen. Facebook vindt het niet meer leuk dat er gestemd moet worden, kort gezegd.

Dat artikel 1-308 UCC is trouwens een verhaal apart. Het artikel bepaalt kort gezegd dat je naar Amerikaans recht een overeenkomst onder protest kunt aangaan, oftewel onder voorbehoud van bepaalde rechten. Zo kun je een overeenkomst sluiten als niet op voorhand alles duidelijk is. Een handig juridisch trucje, maar ondertussen door rare figuren gekaapt die onder meer met dit artikel gaan beweren dat je jezelf buiten het rechtssysteem kunt plaatsen door een dergelijke disclaimer op te sturen naar de rechtbank. Een variant van het opzeggen van het sociaal contract met de Staat, wat ook niet kan. Like it or not (haha, hij zei “like” en Facebook), je valt onder het recht en daar is geen ontsnappen aan.

Aan Facebook valt wél te ontsnappen: zeg je account op en alle rechten die FB heeft op je content komen te vervallen. Of je daarna opnieuw lid kunt worden mét een geldig voorbehoud van rechten, betwijfel ik maar díe rechtszaak wil ik wel eens zien.

Arnoud

Duitser verantwoordelijk voor versleuteld verkeer via zijn p2p-node

Geplaatst op in Intellectuele rechten, Ondernemingsvrijheid, 37 reacties

Een gebruiker van een anoniem versleuteld p2p-netwerk is door de Duitse rechter verantwoordelijk gehouden voor het feit dat auteursrechtelijk beschermde muziek zijn node passeerde. Dat meldde Tweakers zaterdag. Het gaat om een “einstweilige Verfügung”, zeg maar een kortgedingvonnis, maar intrigerend is het wel. De achterliggende redenering gaat namelijk érg ver.

Retroshare is een peer-to-peer, pardon een friend-to-friend netwerk waarbij je naast chatten en dergelijke ook bestanden kunt delen, maar alleen met mensen die je als vriend hebt toegevoegd. Al het verkeer verloopt volledig encrypted over het netwerk, zodat niemand weet wat een vriend van een vriend met een vriendin van een vriendin uitwisselt. De eiser in deze zaak had ontdekt dat via het IP-adres van de gedaagde zijn muziekwerk te downloaden viel, als ik het goed lees omdat Retroshare ook een anonimiseringsfaciliteit heeft waarbij (net als Tor) de transmissie via willekeurige derden in het netwerk verloopt. En zoals dat gaat in Duitsland, stuur je dan een claimbrief en pak je door als het antwoord je niet bevalt.

De rechtbank begint met vast te stellen dat de gedaagde niet zelf auteursrechten schendt of daar medeplichtig aan is. Klaar, zou je zeggen. Maar nee, hij is wél aansprakelijk onder de gewone regels van de onrechtmatige daad, want:

Indem es der Antragsgegner anderen Teilnehmern des RetroShare-Netzwerks ermöglichte, seinen Anschluss zur Weiterleitung des streitgegenständlichen Titels zu benutzen, hat er für die angegriffene Verletzung gleichwohl einen adäquat-kausalen Tatbeitrag geleistet.

Oftewel: als jij een situatie schept waarin mensen auteursrechten kunnen schenden, en dat gebeurt, dan draai jij op voor de consequenties. Een vorm van gevaarzetting, als het ware. Als deze node er niet was geweest, dan had de schending niet plaatsgevonden en dus mogen we jou aansprakelijk stellen. Daar zit ergens wel wat in, maar het houdt compleet geen rekening met de werkelijkheid dat dat uitwisselen tóch wel gebeurt, ook als deze node er niet was geweest. Dus of je dan nog kunt spreken van een causaal onmisbare schakel?

Tevens pakt de rechtbank een eerdere uitspraak van de hoogste Duitse rechter erbij: als aanbieder van een Wifi-netwerk ben je aansprakelijk voor misbruik daarvan, als je niet genoeg gedaan hebt om dat misbruik te voorkomen. Die lijn kun je doortrekken naar mensen die software als Retroshare inzetten:

Gemessen daran ist dem Antragsgegner eine Prüfpflichtverletzung vorzuwerfen, denn er hat bewusst eine Software eingesetzt, die es anderen Teilnehmern des RetroShare-Netzwerkes ermöglichte, rechtswidrig Dateien über seinen Anschluss öffentlich zugänglich zu machen, ohne dass er dies in irgendeiner kontrollieren konnte.

Oftewel: wie software aanzet waarmee rechten geschonden kunnen worden en daarbij geen enkele maatregel inbouwt of neemt om schendingen zelfs maar te verminderen, is aansprakelijk als er vervolgens inbreuken plaatsvinden. En ja, dat geldt dus ook als je niet kunt zien wat er wordt uitgewisseld omdat alles encrypted is. Daarom moet meneer op straffe van een dwangsom verhinderen dat het nog een keer gebeurt. En de enige reële manier om daaraan te voldoen is de stekker eruit.

Dit is dus precies waarom we eind jaren negentig een beperkte aansprakelijkheid voor internetdienstverleners hebben ingevoerd, want deze redenering kun je 1-op-1 loslaten op accessproviders. Die doen immers ook niets om inbreuken door hun gebruikers tegen te gaan. Maar om voor mij onverklaarbare redenen komt die aansprakelijkheidsbeperking totaal niet aan de orde in dit vonnis. In die uitspraak van het hoogste Duitse hof werd alleen geoordeeld dat een Wifi-aanbieder geen provider is, maar mijn Duits zal wel niet goed genoeg zijn want ik snap ‘m niet. En van deze Engelstalige Duitse blog begrijp ik dat die uitspraak nu al leidt tot een roep om duidelijke coverage van Wifi-aanbieders zoals hotels of congresorganisatoren.

Persoonlijk zie ik niet hoe je niet onder die definitie kunt vallen. De eis is dat je niet filtert en je niet actief bemoeit met de inhoud, daar voldoet deze meneer evident aan. Hooguit zou je discussie kunnen krijgen over de vraag of wel sprake is van een “dienst van de informatiemaatschappij”. Als je zegt “alleen bedrijven kunnen diensten leveren” dan verklaar je dus burgers die zelf iets leveren juridisch buiten die bescherming. Maar het wil er bij mij niet in dat dát de bedoeling zou zijn geweest.

Arnoud

Studiemiddag: agile softwareontwikkeling juridisch bekeken

Geplaatst op in Intellectuele rechten, 2 reacties

Agile-software-ontwikkeling is een conceptueel raamwerk voor het uitvoeren van software-ontwikkelingsprojecten als alternatief voor traditionele methodes. Oké, leuk, maar wat moeten juristen daarmee? Met die gedachte was ik gisteren bij de najaarsvergadering van de NVvIR.

Agile coach Serge Beaumont trapte af met een introductie over “Enabling Agile”. Zijn bijna-openingszin “Maar het contract zegt” somde de kern mooi op. Het contract bepaalt hoe je mág werken, en als het contract geen rekening houdt met agile, dan heb je een probleem. Hij noemt meteen al een kernpunt: early termination, oftewel tussentijds opzeggen als het wel goed is (of als je er niet meer uitkomt samen).

Veel contracten gaan uit van wat Serge “productdenken” noemt: je legt vast waar je heen wilt, en de implementatie is dan de route daarheen. Maar Agile biedt een veel meer moving target, je weet nog niet precies waar je gaat komen. En dat is lastig: je kunt wel netjes vastleggen welke producteigenschappen er moeten komen, maar Agile focust op de doelen voor de stakeholders, het waaróm van die eigenschappen. En dat is veel moeilijker om op papier te krijgen.

Dat moving target betekent dus ook continu aanpassen gaande de rit. Dat is veel lastiger in het watervalmodel, omdat dat uitgaat van “eerst specificeren dan bouwen”. Gebruikers die niet weten wat ze willen, zijn irritant – in dat model. En helemaal moeilijk wordt het als Agile eigenlijk niet goed wordt begrepen (of geaccepteerd) door het management, want je kunt als Agile team snel dingen tegenkomen die jouw macht/bevoegdheid te buiten gaan en dat moet dan op een hoger niveau worden opgelost.

Early termination impliceert een andere manier van werken. Je probeert zo snel mogelijk iets te bouwen dat eigenlijk werkt, en dat wordt steeds uitgebreider en beter. Als illustratie: je begint met een potloodtekening, zet die dan in waterverf, daarna komt er wellicht een achtergrondillustratie en uiteindelijk kun je dingen in de inkt zetten. Of niet. Het is dus niet meer “wanneer is het af” maar “wat is wanneer klaar” en dan kiezen “zo is het wel genoeg”. Dit vereist wel dat je met de scope kunt variëren.

Daarna sprak Rutger Alsbach over de juridische kant: agile contracteren. Hij raadde overigens het rechtsboven gelinkte boek over Agile aan. Na een korte bespreking over de tekortkomingen van de watervalmethode legde hij de vinger op een aantal gevoelige punten bij Agile. Mooi punt vond ik, er komt steeds wat nieuws bij dus hoe bepaal je nu wat er geleverd moet worden? En continu wijzigen de prioriteiten: hoe kun je dan ooit iemand wanprestatie verwijten of in gebreke stellen?

Oh, nog een leuke: wanneer wordt de betaling getriggerd? Je kunt het niet aan oplevering ophangen want je weet niet vooraf wanneer wat opgeleverd wordt. Meten op uren kan altijd maar is niet altijd wenselijk. Een alternatief is factureren per functiepunt (pdf).

Grootste juridische beer op de weg: je kunt niet werken met Agile én de klassieke RfP/watervalprocedure. En dat blijkt een groot probleem in de praktijk want de klant is zó gewend aan die klassieke procedure dat ze er niet eens bij stilstaan dat het nu compleet anders gaat werken. Maar ook het omgekeerde is een risico: al te makkelijk werken met vage contractjes en onduidelijke einddoelen gaat ook tot problemen leiden. Ik vond tussendoor googelend nog deze goede contractsprimer over Agile contracten. Leesvoer voor later.

Na de pauze vertelde organisatiepsycholoog Hanneke Grutterink over werken in teams, een belangrijk deel van Agile ontwikkeling. Het idee van “scrum verbetert je teamprestatie” is alleen succesvol als je aan een aantal voorwaarden voldoet voor crossfunctionele teams. Dit zijn: betrokkenheid, coördinatie, kennisdelen en ondersteunende structuur. Bij betrokkenheid is een grote valkuil bijvoorbeeld dat mensen in meerdere teams tegelijk zitten, of dat de beloningsstructuur niet goed is. Bij coördinatie is een goede scrummaster (teamleider) essentieel. Kennisdelen vereist vooral een veilige omgeving waarbinnen mensen kritisch durven te zijn (wat natuurlijk ook weer op de teamleider terugkomt maar ook de organisatie).

Als laatste sprak ICT-advocaat Juliette van Balen. Zij benoemde als jurist de speerpunten in het contract: resultaat, prijs, aansprakelijkheid, garanties en beëindiging (exit). Maar, zo vroeg de zaal, waar is het proces dan, de samenwerking die zo cruciaal is in het Agile proces? Daarvoor verwees Juliette naar de vrij beschikbare modellen voor Agile contracten. De collega’s van Bird & Bird geven de nodige kennis weg in hun position paper met handvaten voor Agile contracten. Ook dit Franstalige Creative Commons-contract biedt perspectieven maar is gek genoeg niet voor commercieel gebruik gelicentieerd (parbleu). Juliettes presentatie bevatte nog vele nuttige aandachtspunten, deze komt binnenkort online.

Daarna ontstond een interessante discussie of Agile wel juridisch haalbaar is. Het verschil in inzicht ging met name over de vraag of je het resultaat voldoende bepaalbaar kunt omschrijven – waarbij er een wereld van verschil bleek te zijn tussen mensen die “ik wil een huis” als resultaat zien en mensen die “ik wil wonen” zien als resultaat. En dat is voor mij de belangrijkste les van Agile: de andere manier van kíjken naar softwareontwikkeling.

Arnoud

Een gratis proefpakket met stilzwijgende verlenging

Geplaatst op in Informatiemaatschappij, 101 reacties

Het blijkt nog steeds te bestaan: het gratis proefpakket met stilzwijgende verlenging. Een buitengewoon ergerlijke praktijk, waar ik veel klachten over krijg. Het is heel lastig om hier iets aan te doen, want hoewel de wet verlenging van proefabonnementen verbiedt, is er geen regel voor proefpakketten

Een mooi voorbeeld van zo’n ergerlijke proefpakketconstructie is het bedrijf DutchPharma, dat op haar bestelpagina deze voorwaarden vermeldt:

Actievoorwaarden: U kunt zich vrijblijvend één maand lang overtuigen van de kwaliteit van onze producten. Bent u tevreden: dan hoeft u niets te doen !. Aan het eind van de probeermaand krijgt u dan vanzelf een volgende pakket met voldoende voor twee maanden voor slechts € 12,50 per maand (exclusief verzendkosten). Wilt u deze vervolgzending niet, dan kunt u dat eenvoudig tot zeven dagen voor deze vervolgzending aangeven.

Goed, het staat er duidelijk maar de insteek “als u niets doet, mogen wij..” is buitengewoon consumentonvriendelijk. Als ik al expliciet toestemming voor een cookie moet geven, waarom zou dit dan wel mogen?

De Wet Van Dam verbiedt sinds 1 december vorig jaar het stilzwijgend omzetten van proefabonnementen naar “echte”, maar dat geldt alleen voor dag-, nieuws, weekbladen en tijdschriften. Een pakketje van DutchPharma valt daar niet letterlijk onder.

Het is bepaald merkwaardig dat deze beperking er staat. In de parlementaire stukken is geen motivatie te vinden voor deze keuze. Misschien bestellen parlementariërs geen vitaminepakketten?

Je kunt proberen te redeneren dat nu het voor kranten en tijdschriften verboden is, het toch op zijn minst verdacht is om het voor andere soorten periodieke dienstverlening wel te doen. Dat kan, want de zwarte en grijze lijsten van algemene voorwaarden zijn niet de énige verboden zaken: alles waarvan je kunt aantonen dat deze onredelijk bezwarend zijn, is ongeldig te verklaren door de rechter.

En in de praktijk heeft menig rechter daar geen moeite mee, zoals ik blogde in februari vorig jaar. Ik citeer even de kantonrechter uit Eindhoven die het concept tot op de grond toe affakkelde:

[M]et die voorwaarde maakt Lis het zichzelf gemakkelijk, zonder daar een rechtens te beschermen belang bij te hebben: van zo’n belang is althans niet gebleken. Daartegenover is het de klant juist moeilijk gemaakt; die moet maar zien dat hij het nodige doet om het abonnement op tijd opgezegd te krijgen, terwijl hij toch het rechtens te beschermen belang heeft dat hem niet als hij even niet oplet, en dus ongewild, een voortzetting van het abonnement aangesmeerd wordt.

Ook zie je bij proefabonnementen via internet regelmatig uitspraken (zoals deze en deze) dat een dergelijke constructie in strijd is met de Wet koop op afstand. Het gaat dan om het punt of duidelijk wordt aangegeven hoe het zit met opzeggen, iets dat wel verplicht is bij kopen via internet. Of de leverancier kan niet bewijzen dat het proefpakket is aangekomen.

Wat nog het beste zou werken is als we gewoon niet meer ingaan op “gratis” lokkertjes. Je wéét dat dingen niet gratis zijn.

Arnoud

Open source met verspreidingsverbod

Geplaatst op in Intellectuele rechten, 50 reacties

Interessante vraag vorige week bij mijn blog over “van wie is dat CMS”:

Hoe zit het met een constructie waarin de ontwikkelaar jou enerzijds het CMS onder de LGPL beschikbaar stelt en jij je er vervolgens contractueel op vastlegt het niet te verspreiden op last van een fikse boete? Waarbij de boete vervalt bij faillisement van de leverancier.

Dit is een creatieve poging om een soort van escrowregeling op te zetten. Het idee is dan dat je bij faillissement een LGPL opensourcelicentie krijgt, zodat je toch door kunt blijven werken met die software.

Alleen: het gaat niet werken.

De LGPL is in feite gewoon een licentiecontract (ja, een contract) en contracten kunnen door een curator worden gepasseerd. Dus of je nu een speciale escrowclausule in je ‘gewone’ licentie opneemt of zo’n LGPL-met-boete-constructie hanteert, het verliest zijn waarde zodra de leverancier failliet is.

De constructie deed me denken aan de term open source escrow. Dit komt erop neer dat de escrowagent de broncode in escrow houdt en uitbrengt onder een open source licentie zodra bekend is dat de leverancier failliet gaat (of met zijn bedrijfsvoering stopt om andere redenen). Dat kan dus, maar alleen als de agent de auteursrechten heeft.

Zouden mensen hier behoefte aan hebben? En zou het überhaupt werken, een stukje propriëtaire software die ineens open source wordt? Wie heeft zin daaraan te gaan werken?

Arnoud

Een pakketje bij de boze buren

Geplaatst op in Ondernemingsvrijheid, 86 reacties

Een lezer vroeg me:

Onlangs bestelde ik een sinterklaaskadootje via internet. Dit is bij de buren twee huizen verderop afgegeven, en dat is heel vervelend want daar hebben we op zijn zachtst gezegd een forse ruzie mee. Dat pakketje krijg ik dus niet terug. Mijn moeder is langsgegaan om uit te leggen dat het een kadootje was, maar daar wilden ze niet naar luisteren. Wat nu?

Ai. Ruzie met buren is iets dat je écht wilt vermijden, want het levert een van de grootste vormen van irritatie en derving van levensvreugde op.

Juridisch gezien is het vrij simpel. Dat pakketje is niet van de buren, en dat weten ze. Ze moeten het dus afgeven aan de werkelijke eigenaren. Je zou in theorie zelfs kunnen spreken van het misdrijf verduistering: het onder je houden van een goed zonder dat je daar recht op hebt (art. 321 Strafrecht).

Praktisch gezien wil je absoluut niet die juridische route bewandelen. Je krijgt je pakketje er niet mee terug (in ieder geval niet voor Sinterklaas) en aangifte doen wegens verduistering zal de relatie zeer zeker niet verbeteren.

Toch op een of andere manier het gesprek aangaan en kijken of je de relatie kunt verbeteren is vrees ik de enige optie. Of het pakket nog een keer bestellen en het elders laten bezorgen.

Een tip voor de volgende keer: laat er “alléén huisadres” op vermelden, en dan zal Post.nl het niet bij de buren afgeven. Althans, dat is de bedoeling: soms heb je van die zó behulpzame postbestellers dat die het toch doen. Die mogen in de Zak Naar Spanje.

Arnoud