Als ik in de winkel bij een zuil koop, heb ik dan een internetkoop gedaan?

| AE 12205 | Informatiemaatschappij | 24 reacties

Een lezer vroeg me:

In retailland is een trend gaande waarbij retailers kosten willen besparen op hun winkel ruimte. Je ziet dan dat ze in de winkel slechts een beperkt assortiment aanhouden en dat ze in plaats daarvan een zuil in de winkel hebben met een PC en internet verbinding. De consument kan in de winkel browsen voor een bepaald artikel en als de keuze is gemaakt dit toevoegen aan het winkelmandje. Bij het uitchecken kan de consument ervoor kiezen om in de winkel te betalen met een fysieke EMV+PIN pas. (dus niet dmv een 3DS transactie). Valt dit nu onder de Wet koop op afstand, oftewel heb ik dan bijvoorbeeld 14 dagen retourtermijn?
Voor deze vraag moeten we even helemaal terug naar de wet, want dit wordt een definitiespelletje. Daarbij maak ik gelijk van de gelegenheid gebruik om op te merken dat de Wet koop op afstand eigenlijk niet meer bestaat maar dat we eigenlijk spreken van “Overeenkomsten op afstand”. Maar op grote lijnen komt het nog steeds op hetzelfde neer. Goed, de definitie dan (art. 6:230g lid 1 item e BW):
overeenkomst op afstand: de overeenkomst die tussen de handelaar en de consument wordt gesloten in het kader van een georganiseerd systeem voor verkoop of dienstverlening op afstand zonder gelijktijdige persoonlijke aanwezigheid van handelaar en consument en waarbij, tot en met het moment van het sluiten van de overeenkomst, uitsluitend gebruik wordt gemaakt van een of meer middelen voor communicatie op afstand;
Onder het begrip “middelen voor communicatie op afstand” valt wat mij betreft zeer zeker zo’n zuil, dat is gewoon een computer met internetverbinding die naar de website van deze handelaar gaat, waar je dan uitzoekt wat je wilt hebben en dat afrondt tot een winkelmandje. Het gaat er dus om of er “tot en met het sluiten van de overeenkomst” alleen van die zuil gebruik gemaakt wordt. (Wat het “zonder gelijktijdige aanwezigheid betreft”, ik ga er vanuit dat het winkelpersoneel zich niet bemoeit met je online uitzoekgedrag.)

Wanneer sluit je dan de overeenkomst? Nou ja, volgens de wet is dat wanneer je aangeeft dat je akkoord bent. Niet relevant is wanneer je betaalt of wanneer je het product krijgt (weet u nog). Dus dat je bij het uitchecken kiest voor betalen in de winkel bij het pinapparaat in plaats van online betalen, dat is niet relevant. De locatie van de zuil ook niet. De enige vraag is of er een stap in het proces zit waarmee de bestelling definitief wordt. Zou de winkel jou eraan kunnen houden, even kort gezegd.

Zonder het proces te kennen met screenshots (ik houd me aanbevolen) is het lastig, maar ik neig er algemeen altijd naar om de knop “Bestelling met betalingsverplichting” als zwaarwegende aanwijzing te zien. Van de wet (art. 6:230v lid 3 BW) moet die stap er zijn vóórdat je eraan vast zit, dus lijkt het mij logisch dat de overeenkomst pas tot stand komt nadat je daarop geklikt hebt:

De handelaar richt zijn elektronische bestelproces op zodanige wijze in dat de consument een aanbod niet kan aanvaarden dan nadat hem op niet voor misverstand vatbare wijze duidelijk is gemaakt dat de bestelling een betalingsverplichting inhoudt.
Ik weet (hoi Alex) dat er achteraan in dat lid staat “Een overeenkomst die in strijd met dit lid tot stand komt, is vernietigbaar.” Het is dus mogelijk dat je op een andere manier aangeeft dat je deze bestelling wil, en dat er dan een overeenkomst is ontstaan. Ik vind het wat moeilijk om in de internetomgeving me voor te stellen wat zo’n manier kan zijn. Desondanks, dan ben je dus per definitie online de overeenkomst aangegaan en dan gelden de regels voor overeenkomsten op afstand.

De enige uitzondering die ik zie is als die zuil als een soort van reserveer-systeem fungeert: haal dit product naar deze vestiging, dan ga ik het bekijken en dan beslis ik of ik het wil hebben. Als het zo werkt – en je dus inderdaad van de regels na bekijken gewoon mag weglopen zonder product – dan levert die zuil geen overeenkomst op afstand op.

Arnoud

Mogen mensen je kind buiten fotograferen en op Facebook zetten?

| AE 12181 | Informatiemaatschappij, Privacy, Uitingsvrijheid | 8 reacties

Een lezer tipte me over deze Viva-forumdiscussie:

Vorige week werd ik getagged op Facebook in een bericht van een winkelcentrum in de buurt. Hierop staat mijn kind in het midden met verder alleen een ander persoon die je alleen van De achterkant ziet weglopen. Mijn kind zie je vanaf de zijkant en precies midden in de foto. Nu hebben ze de foto “bewerkt” en heeft mijn kind accessoires op zichzelf gefotoshopt gekregen van de fotograaf. Dit als onderdeel van het onderwerp van het Facebook bericht. Mag dit zomaar geplaatst worden zonder mijn toestemming?
De foto blijkt dus te zijn gemaakt door een fotograaf die ingeschakeld was door het winkelcentrum, en de accessoires zijn dingen die in het winkelcentrum te koop zijn. Daarmee werd niet geprobeerd het kind anoniem te maken, het lijkt veeleerder te zijn gegaan om de foto lekker grappig te maken.

Juridisch gezien is dit een typisch gevalletje “portretrecht niet in opdracht”, of onder de AVG een belangenafweging-legitiem-belang (u weet het, portretrecht bestaat niet meer sinds de AVG). Inhoudelijk komt het altijd op het zelfde neer: hoe groot was het belang van het winkelcentrum om deze foto zo te mogen tonen, en hoe groot is het privacybelang van het kind waar de ouders voor verantwoordelijk zijn?

Het gaat wat ver om te zeggen dat een winkelcentrum géén belang heeft. Ook een bedrijf heeft vrijheid van meningsuiting, maar hoe meer het naar zuiver commerciële reclame neigt hoe minder dat belang mee zal wegen. Zeker in situaties als deze waarin je makkelijk even kunt vragen aan geportretteerden wat ze ervan vinden, of lokale acteurs vragen, enzovoorts.

De privacy op de openbare weg is niet heel groot, maar zeker ook niet nul. Weliswaar mag iedereen je fotograferen op de openbare weg – en zo’n winkelcentrum is openbare weg ook al is ‘ie in privé eigendom – maar de publicatie daarvan moet nog steeds door die belangenafweging heen. En zeker bij kinderen mag je meer dan normaal verwachten dat ze met rust gelaten worden.

Een interessante zijsprong is nog of fotograferen in het winkelcentrum verboden is, zie de stickers bij de deur. Dan zou ik zeggen, dan heb je een hógere privacyverwachting. En dan maakt het niet uit dat de fotograaf voor het winkelcentrum werkte; je mag je onbefotografeerd wanen na zo’n sticker en het winkelcentrum moet dan meer dan normaal waarschuwen en opvolgen.

Alles bij elkaar neig ik naar: nee, deze publicatie moet eraf want er is niet even gevraagd of het kan.

Arnoud

Bedrijven gehackt door bij NCSC bekend lek, had men dit moeten delen?

| AE 12155 | Informatiemaatschappij | 21 reacties

Aanbieders van digitale infrastructuur verenigd in de Stichting DINL zijn gefrustreerd over het opnieuw achterhouden van informatie over een belangrijke hack door het NCSC. Dat las ik bij Computable.nl. Het Nationaal Cyber Security Centrum (NCSC) had actuele en gerichte informatie over de hack maar deelde die niet met de bedreigde organisaties, omdat data niet binnen haar wettelijke taak viel. De bedrijven werden ook werkelijk gehackt met deze zwakheid, iets dat dus voorkomen had kunnen worden.

Tweakers legt uit dat het ging om de inloggegevens van Pulse Secure-accounts van meer dan 900 bedrijven, die online werden gepubliceerd nadat ze door exploitatie van een lek in deze VPN software werden verkregen. Beveiligingsonderzoeker Matthijs Koot (hoi) lichtte het NCSC in, omdat ook Nederlandse bedrijven er tussen stonden. Maar die deed er dus niets mee.

In het FD licht de dienst dit toe:

Binnen de ‘juridische mogelijkheden’ heeft het NCSC er alles aan gedaan om organisaties te informeren, e-mailt een woordvoerder van Justitie. Maar ‘organisaties buiten het wettelijk mandaat kunnen helaas niet door het NCSC geïnformeerd worden.’ Ook nu bekend is dat de bedrijven daadwerkelijk zijn gehackt, worden ze dus niet op de hoogte gebracht.
Het probleem is dat er juridisch zoiets is als een vitale organisatie. Deel van het takenpakket van het NCSC is dat men alleen deze instanties mag informeren. Daarmee is er dus geen bevoegdheid om ook andere bedrijven te informeren.

De achterliggende logica snap ik niet helemaal, ik zie in de wet geen hard verbod op het informeren van een niet-vitale organisatie maar dat ligt vast aan mij. Ik kan me hooguit voorstellen dat je niet ieder lek aan ieder bedrijf wil melden, al is het maar omdat je niet zeker weet wie wel of niet lek is en het mogelijk héél veel belletjes worden als je voor iedere WordPress-vulnerability iedere slager met blog moet gaan bellen. Maar iets van een inhoudelijke afweging moet toch niet zo’n groot probleem zijn?

Arnoud

 

Een notaris is toch een stuk duidelijker dan een blockchain voor een authenticiteitsverklaring

| AE 12153 | Informatiemaatschappij | 7 reacties

Programmadirecteur Sylvia Bronmans krijgt de eerste notarisverklaring dat de coronameldersoftware in de appstore dezelfde is als de open source software op github. Dat meldde Brenno de Winter op Twitter. De software die recent uitkwam, is als open source ontwikkeld vanuit het oogpunt van transparantie. Hartstikke leuk, maar daarna moet deze vanuit de appwinkels van Apple… Lees verder

Techgiganten beloven banden met leveranciers te verbreken bij dwangarbeid, een wassen neus?

| AE 12125 | Informatiemaatschappij | 5 reacties

Techbedrijven Apple, Facebook, Amazon en Google hebben tegen het Amerikaanse Congres beloofd om de banden met bedrijven te verbreken als die gebruik maken van dwangarbeid. Dat las ik voor mijn vakantie bij Tweakers. Klinkt leuk, maar omdat er niet echt definities zijn van “dwangarbeid” (is een Foxconn-werknemer gedwongen, gezien je aldaar vrijwel zeker dood gaat van de… Lees verder

De lawyerbot van de toekomst wijzigt gewoon zelf je documenten even #ndalynnweek

| AE 12114 | Informatiemaatschappij | 2 reacties

Artificial Intelligence is wat een computer bijna kan, las ik ooit als definitie van die term. Want op het moment dat de computer het kan, is het gewoon een ding dat een computer kan. Er is maar een korte periode waarin een computer iets kan laten zien dat we nog echt nieuw vinden. Ik heb… Lees verder

Mag je openbaar toegankelijke databases wissen omdat het datalekken zijn?

| AE 12123 | Informatiemaatschappij | 15 reacties

Een lezer vroeg me: Recent kwam in het nieuws dat duizenden onbeveiligde databases worden gewist door een aanvaller die alleen het woord “Meow” achterlaat. Het gaat om per abuis onbeveiligd toegankelijke databases, soms met en soms zonder persoonsgegevens. Het motief is onduidelijk, dus nu vroeg ik me af of je dit zou kunnen rechtvaardigen vanuit… Lees verder

Moeten mensen bij een horecareservering hun contactgegevens opgeven?

| AE 12086 | Informatiemaatschappij | 24 reacties

Een lezer vroeg me: Vanwege de coronacrisis is het bij restaurants, pretparken en dergelijke verplicht om je naam en/of adres op te geven. Geldt daarvoor ook de AVG en wat moeten ze je hierover informeren? En mogen die gegevens voor marketing worden gebruikt? Als hygiënemaatregel geldt inderdaad sinds kort dat men verplicht is vooraf te… Lees verder

Ik krijg zo’n jeuk van dat “iedereen zet toch alles al op Facebook”-kulargument tegen privacy

| AE 12066 | Informatiemaatschappij | 19 reacties

Toen tijdens een van de persconferenties minister Hugo de Jonge (Volksgezondheid, CDA) alleen al het voornemen van een corona-app uitsprak, haalde men bijna collectief de neus op. Zo karakteriseerde Rosanne Hertzberger de ophef over de corona-app in een recente column in NRC. Zo raar he mensen, iedereen zet alles op Facebook maar als de overheid… Lees verder

Hoe westers is artificial intelligence, en wie durft dat met mij te onderzoeken?

| AE 11956 | Informatiemaatschappij | 33 reacties

Hoe Westers is AI? Met die vraag bleef ik zitten na het lezen van een Q&A-artikel over Ubuntu-ethiek, waar je een heel andere kijk ziet op mens en maatschappij. Het idee alleen al dat je de datasubjecten, de mensen dus, betrekt bij het maken en reviewen van je AI model.. ik moet het eerste AI-bedrijf… Lees verder