Internetrecht door Arnoud Engelfriet

Een lezer vroeg me:

In retailland is een trend gaande waarbij retailers kosten willen besparen op hun winkel ruimte. Je ziet dan dat ze in de winkel slechts een beperkt assortiment aanhouden en dat ze in plaats daarvan een zuil in de winkel hebben met een PC en internet verbinding. De consument kan in de winkel browsen voor een bepaald artikel en als de keuze is gemaakt dit toevoegen aan het winkelmandje. Bij het uitchecken kan de consument ervoor kiezen om in de winkel te betalen met een fysieke EMV+PIN pas. (dus niet dmv een 3DS transactie). Valt dit nu onder de Wet koop op afstand, oftewel heb ik dan bijvoorbeeld 14 dagen retourtermijn?

overeenkomst op afstand: de overeenkomst die tussen de handelaar en de consument wordt gesloten in het kader van een georganiseerd systeem voor verkoop of dienstverlening op afstand zonder gelijktijdige persoonlijke aanwezigheid van handelaar en consument en waarbij, tot en met het moment van het sluiten van de overeenkomst, uitsluitend gebruik wordt gemaakt van een of meer middelen voor communicatie op afstand;

Wanneer sluit je dan de overeenkomst? Nou ja, volgens de wet is dat wanneer je aangeeft dat je akkoord bent. Niet relevant is wanneer je betaalt of wanneer je het product krijgt (weet u nog). Dus dat je bij het uitchecken kiest voor betalen in de winkel bij het pinapparaat in plaats van online betalen, dat is niet relevant. De locatie van de zuil ook niet. De enige vraag is of er een stap in het proces zit waarmee de bestelling definitief wordt. Zou de winkel jou eraan kunnen houden, even kort gezegd.

Zonder het proces te kennen met screenshots (ik houd me aanbevolen) is het lastig, maar ik neig er algemeen altijd naar om de knop “Bestelling met betalingsverplichting” als zwaarwegende aanwijzing te zien. Van de wet (art. 6:230v lid 3 BW) moet die stap er zijn vóórdat je eraan vast zit, dus lijkt het mij logisch dat de overeenkomst pas tot stand komt nadat je daarop geklikt hebt:

De handelaar richt zijn elektronische bestelproces op zodanige wijze in dat de consument een aanbod niet kan aanvaarden dan nadat hem op niet voor misverstand vatbare wijze duidelijk is gemaakt dat de bestelling een betalingsverplichting inhoudt.

De enige uitzondering die ik zie is als die zuil als een soort van reserveer-systeem fungeert: haal dit product naar deze vestiging, dan ga ik het bekijken en dan beslis ik of ik het wil hebben. Als het zo werkt – en je dus inderdaad van de regels na bekijken gewoon mag weglopen zonder product – dan levert die zuil geen overeenkomst op afstand op.

Arnoud

Een lezer tipte me over deze Viva-forumdiscussie:

Vorige week werd ik getagged op Facebook in een bericht van een winkelcentrum in de buurt. Hierop staat mijn kind in het midden met verder alleen een ander persoon die je alleen van De achterkant ziet weglopen. Mijn kind zie je vanaf de zijkant en precies midden in de foto. Nu hebben ze de foto “bewerkt” en heeft mijn kind accessoires op zichzelf gefotoshopt gekregen van de fotograaf. Dit als onderdeel van het onderwerp van het Facebook bericht. Mag dit zomaar geplaatst worden zonder mijn toestemming?

Juridisch gezien is dit een typisch gevalletje “portretrecht niet in opdracht”, of onder de AVG een belangenafweging-legitiem-belang (u weet het, portretrecht bestaat niet meer sinds de AVG). Inhoudelijk komt het altijd op het zelfde neer: hoe groot was het belang van het winkelcentrum om deze foto zo te mogen tonen, en hoe groot is het privacybelang van het kind waar de ouders voor verantwoordelijk zijn?

Het gaat wat ver om te zeggen dat een winkelcentrum géén belang heeft. Ook een bedrijf heeft vrijheid van meningsuiting, maar hoe meer het naar zuiver commerciële reclame neigt hoe minder dat belang mee zal wegen. Zeker in situaties als deze waarin je makkelijk even kunt vragen aan geportretteerden wat ze ervan vinden, of lokale acteurs vragen, enzovoorts.

De privacy op de openbare weg is niet heel groot, maar zeker ook niet nul. Weliswaar mag iedereen je fotograferen op de openbare weg – en zo’n winkelcentrum is openbare weg ook al is ‘ie in privé eigendom – maar de publicatie daarvan moet nog steeds door die belangenafweging heen. En zeker bij kinderen mag je meer dan normaal verwachten dat ze met rust gelaten worden.

Een interessante zijsprong is nog of fotograferen in het winkelcentrum verboden is, zie de stickers bij de deur. Dan zou ik zeggen, dan heb je een hógere privacyverwachting. En dan maakt het niet uit dat de fotograaf voor het winkelcentrum werkte; je mag je onbefotografeerd wanen na zo’n sticker en het winkelcentrum moet dan meer dan normaal waarschuwen en opvolgen.

Alles bij elkaar neig ik naar: nee, deze publicatie moet eraf want er is niet even gevraagd of het kan.

Arnoud

Aanbieders van digitale infrastructuur verenigd in de Stichting DINL zijn gefrustreerd over het opnieuw achterhouden van informatie over een belangrijke hack door het NCSC. Dat las ik bij Computable.nl. Het Nationaal Cyber Security Centrum (NCSC) had actuele en gerichte informatie over de hack maar deelde die niet met de bedreigde organisaties, omdat data niet binnen haar wettelijke taak viel. De bedrijven werden ook werkelijk gehackt met deze zwakheid, iets dat dus voorkomen had kunnen worden.

Tweakers legt uit dat het ging om de inloggegevens van Pulse Secure-accounts van meer dan 900 bedrijven, die online werden gepubliceerd nadat ze door exploitatie van een lek in deze VPN software werden verkregen. Beveiligingsonderzoeker Matthijs Koot (hoi) lichtte het NCSC in, omdat ook Nederlandse bedrijven er tussen stonden. Maar die deed er dus niets mee.

In het FD licht de dienst dit toe:

Binnen de ‘juridische mogelijkheden’ heeft het NCSC er alles aan gedaan om organisaties te informeren, e-mailt een woordvoerder van Justitie. Maar ‘organisaties buiten het wettelijk mandaat kunnen helaas niet door het NCSC geïnformeerd worden.’ Ook nu bekend is dat de bedrijven daadwerkelijk zijn gehackt, worden ze dus niet op de hoogte gebracht.

De achterliggende logica snap ik niet helemaal, ik zie in de wet geen hard verbod op het informeren van een niet-vitale organisatie maar dat ligt vast aan mij. Ik kan me hooguit voorstellen dat je niet ieder lek aan ieder bedrijf wil melden, al is het maar omdat je niet zeker weet wie wel of niet lek is en het mogelijk héél veel belletjes worden als je voor iedere WordPress-vulnerability iedere slager met blog moet gaan bellen. Maar iets van een inhoudelijke afweging moet toch niet zo’n groot probleem zijn?

Arnoud

Programmadirecteur Sylvia Bronmans krijgt de eerste notarisverklaring dat de coronameldersoftware in de appstore dezelfde is als de open source software op github. Dat meldde Brenno de Winter op Twitter. De software die recent uitkwam, is als open source ontwikkeld vanuit het oogpunt van transparantie. Hartstikke leuk, maar daarna moet deze vanuit de appwinkels van Apple… Lees verder

Techbedrijven Apple, Facebook, Amazon en Google hebben tegen het Amerikaanse Congres beloofd om de banden met bedrijven te verbreken als die gebruik maken van dwangarbeid. Dat las ik voor mijn vakantie bij Tweakers. Klinkt leuk, maar omdat er niet echt definities zijn van “dwangarbeid” (is een Foxconn-werknemer gedwongen, gezien je aldaar vrijwel zeker dood gaat van de… Lees verder

Artificial Intelligence is wat een computer bijna kan, las ik ooit als definitie van die term. Want op het moment dat de computer het kan, is het gewoon een ding dat een computer kan. Er is maar een korte periode waarin een computer iets kan laten zien dat we nog echt nieuw vinden. Ik heb… Lees verder

Een lezer vroeg me: Recent kwam in het nieuws dat duizenden onbeveiligde databases worden gewist door een aanvaller die alleen het woord “Meow” achterlaat. Het gaat om per abuis onbeveiligd toegankelijke databases, soms met en soms zonder persoonsgegevens. Het motief is onduidelijk, dus nu vroeg ik me af of je dit zou kunnen rechtvaardigen vanuit… Lees verder

Een lezer vroeg me: Vanwege de coronacrisis is het bij restaurants, pretparken en dergelijke verplicht om je naam en/of adres op te geven. Geldt daarvoor ook de AVG en wat moeten ze je hierover informeren? En mogen die gegevens voor marketing worden gebruikt? Als hygiënemaatregel geldt inderdaad sinds kort dat men verplicht is vooraf te… Lees verder

Toen tijdens een van de persconferenties minister Hugo de Jonge (Volksgezondheid, CDA) alleen al het voornemen van een corona-app uitsprak, haalde men bijna collectief de neus op. Zo karakteriseerde Rosanne Hertzberger de ophef over de corona-app in een recente column in NRC. Zo raar he mensen, iedereen zet alles op Facebook maar als de overheid… Lees verder

Hoe Westers is AI? Met die vraag bleef ik zitten na het lezen van een Q&A-artikel over Ubuntu-ethiek, waar je een heel andere kijk ziet op mens en maatschappij. Het idee alleen al dat je de datasubjecten, de mensen dus, betrekt bij het maken en reviewen van je AI model.. ik moet het eerste AI-bedrijf… Lees verder