Categorie: Ondernemingsvrijheid

About Ondernemingsvrijheid

Subscribe Feeds

Internetbloemist mag geen klanten meer lokken met ‘Fleurop’-zoekterm

Geplaatst op in Intellectuele rechten, Ondernemingsvrijheid, 11 reacties

Een Drontense online bloemenhandelaar mag niet langer de naam ‘Fleurop’ gebruiken om klanten naar zijn websites te lokken. Dat las ik bij Omroep Flevoland. In kort geding verbood de rechter deze praktijk omdat het hier gaat om een beschermd merk van de concurrent. Maar hoewel dit op zich al een oude kwestie is, zit er toch weer een nieuw tintje aan.

“FLEUROP” is een merk van de Koninklijke Fleurop, “marktleider in het verzenden van bloemen en planten dankzij een grootschalig netwerk van vakkundige bloemisten” aldus Wikipedia. Zelfstandige bloemisten kunnen zich aansluiten en krijgen dan bestellingen die ze vervolgens zelf uitvoeren.

Het bedrijf Bloemenwinkel.nl (met ook de naam Florient.nl) was niet bij Fleurop aangesloten, maar adverteerde wel met diverse vermeldingen van het merk, zoals blijkt uit het vonnis. Een voorbeeldje: “Fleurop met verse bloemen – Vóór 13:00u, Vandaag Bezorgd”.

Dat zou je kunnen lezen als een ahem typefout voor “opfleuren met verse bloemen”, maar ik snap dat de juristen van Fleurop hier meeliften met hun merk in zagen. Na aangeschreven te zijn, paste Bloemenwinkel.nl hun advertenties aan. Het werden meer neutrale advertenties, zoals “Vandaag Bloemen Bezorgen? – Bezorgd op jouw gekozen dag”. Die verschenen dan wel als je zocht op het trefwoord “Fleurop”.

Dat laatste is een dingetje, want al geruime tijd is er het Google/Vuitton-arrest uit Europa, gevolgd door het Interflora-arrest (ja, het moederconcern van Fleurop). Beide arresten bepalen kort gezegd dat het in principe mogelijk is om een merknaam te gebruiken om je eigen advertenties op te richten, mits die je merknaam niet noemt. In die situatie moet er ruimte zijn om jezelf als concurrent neer te zetten. Echter, zoals ik in 2010 blogde, een adverteerder loopt dan wel een risico: als zijn advertentie afbreuk doet aan wat juridisch de “herkomstaanduidingsfunctie” heet, dan pleegt hij merkinbreuk.

Die herkomstaanduidingsfunctie is in feite waar het merkenrecht om draait; het doel van een merk is dat mensen het merkproduct kunnen onderscheiden van andere producten. Wie kort gezegd dat doel doorkruist, pleegt merkinbreuk. Daarvan is sprake wanneer

de advertentie het voor de normaal geïnformeerde en redelijk oplettende internetgebruiker onmogelijk of moeilijk maakt om te weten of de waren of diensten waarop de advertentie betrekking heeft, afkomstig zijn van de merkhouder of een economisch met hem verbonden onderneming
Zo’n internetgebruiker kan zich vergissen, aldus het Hof, wanneer hij een advertentie ziet verschijnen nadat hij een merknaam heeft ingetoetst. Het is immers logisch dat zo’n advertentie het merkproduct betreft. Daarom moet de merkhouder kunnen verbieden dat advertenties van derden worden weergegeven waarvan internetgebruikers ten onrechte kunnen denken dat zij van de merkhouder afkomstig zijn.

Sindsdien staan Google en anderen toe dat je zulke “merkloze” advertenties plaatst gekoppeld aan een zoekwoord dat andermans merk is. Als merkhouder kun je daar bij Google niet over klagen (wel over advertenties met je merk erin). Bloemenwinkel.nl dacht dus dat zij goed zat, maar de rechter opent een tikje chagrijnig: “Google bepaalt immers niet de juridische beschermingsomvang van Europese, internationale of Beneluxmerken.”

De vraag is: zouden mensen in de war raken en denken dat ze bij een Fleurop-aangesloten bedrijf bestellen als ze een advertentie zien met bijvoorbeeld deze tekst:

Bloemenwinkel.nl – Vóór 13.00u = Vandaag Bezorgd Bestel een prachtig boeket vanaf € 27,50 inclusief bezorging. Chique, Vrolijk, Lief, Stoer. Onafhankelijk bloemisten netwerk. Bestel rechtstreeks bij onze bloemist – Bloemenwinkel.nl Persoonlijk bezorgd. Direct lokaal bezorgd. Dezelfde dag in huis. Met persoonlijk kaartje.
Inderdaad, hier staat niets expliciet over Fleurop. Er staat wel dat je een bloemistennetwerk hebt en dat er direct bezorgd wordt. Uitgaande van een consument die zocht op Fleurop kan dat dan verwarrend zijn: aha, kennelijk heeft deze iets met Fleurop te maken, dit zal wel een aangesloten winkel zijn.
De voorzieningenrechter constateert dat in de advertenties van Bloemenwinkel.nl c.s. geen enkele aanwijzing staat waaruit blijkt dat de aangeboden bloemenbezorgdienst geen onderdeel uitmaakt van het netwerk van Fleurop. Sterker nog, er wordt geadverteerd met teksten zoals “Bestel rechtstreeks bij onze bloemist”, “Bloemisten-netwerk”, “Bezorgd door lokale bloemisten” die juist de indruk (kunnen) wekken van doen te hebben met een bloemist die behoort tot het bloemistennetwerk van Fleurop. Overige teksten zoals “bestel het mooiste boeket”, “vandaag bezorgd” of “bloemen laten bezorgen” zijn zeer algemeen en gebruikelijk dat daarmee niet duidelijk wordt gemaakt dat de aangeboden bloemenbezorgdienst geen onderdeel uitmaakt van het Fleurop-netwerk.
Bloemenwinkel.nl had dus expliciet moeten melden geen Fleurop-aangeslotene te zijn. In de context goed te begrijpen maar zakelijk natuurlijk een vervelende, want je hebt al zo weinig tekstruimte voor je reclame-uiting.

Wie een tekstvoorstel heeft, gooi het in de comments!

Arnoud

Signify gaat account verplichten voor aansturen van Hue-apparaten, mag dat?

Geplaatst op in Ondernemingsvrijheid, 10 reacties

Gebruikers van Hue-lampen moeten in de toekomst verplicht een account aanmaken, las ik bij Tweakers. Zonder zo’n account wordt een fors aantal functies onbruikbaar. In de reacties de opmerking: “Ben geen jurist maar een account achteraf verplichten is volgens mij juridisch onhoudbaar.” Ik ben wel jurist, wat vind ik?

Hue is een dienst van het bedrijf Signify, waarmee je instelbare lampen op zeer uitgebreide wijze kunt bedienen op afstand. Een selling point was altijd dat je dit puur lokaal kon doen, dus je moest thuis zijn om de hub te kunnen benaderen en het licht te variëren. Echter:

“Nu het aantal features dat we ontwikkelen groeit, groeit ook de noodzaak voor geavanceerdere beveiliging”, zegt het bedrijf. Het verwijst naar de mogelijkheid om tweetrapsauthenticatie toe te voegen, nieuwe gebruikers aan accounts toe te voegen en om gebruikerspermissies te verwijderen. Het bedrijf zegt ook dat aanvallers op die manier ‘niet binnen kunnen dringen in je huis’. Dat is niet zo; door een cloudverbinding te verplichten ontstaat voor veel gebruikers juist een nieuwe aanvalsvector.
Het is dus de toevoeging van een cloudverbinding en een account waar de bezwaren tegen zijn. Helemaal omdat dit dus niet gemeld is (ook niet als speculatie of toekomstig plan) bij de eerdere verkoop van de producten.

Dit is en blijft dat kernprobleem van de informatiemaatschappij: digitale dienstverlening is nog steeds veel te slecht geregeld. Ja, de DSA en DMA staan vol met randvoorwaarden, inclusief zaken als interoperabiliteit en vanuit het consumentenrecht zijn er allerlei verboden op al te eenzijdig opgelegde of te strenge regels.

Hier hebben we het over software-updates die extra functies toevoegen en oud gedrag breken. Daar is geen regel tegen. Je moet dan echt heel diep en indirect gaan redeneren vanuit de verwachtingen bij het product (conformiteit) of dat hiermee de toegezegde prestatie wordt ontnomen (zwarte lijst sub a). En het probleem daarmee is dat een eenvoudig verhaaltje over veiligheid dan al genoeg is om gerede twijfel te zaaien.

Een betoog over conformiteit komt erop neer dat een gemiddeld consument bij aanschaf geen account hoefde te verwachten, bijvoorbeeld omdat niet op de doos stond “Account verplicht” of dat Signify adverteerde met “bij ons kan het ook zónder account”. Dat adverteren heb ik niet gezien.

Het punt met de doos: inderdaad stond daar niet op “geen account verplicht”, maar dat is volgens mij meer omdat het hebben van accounts door salesmensen niet wordt gezien als een belangrijke feature, niet iets waar je een premiumplek zoals de doos voor gebruikt. En dat raakt dan aan het argument van conformiteit, als het niet belangrijk genoeg is om in de verkoopmaterialen genoemd te worden, waarom moet je er dan rekening mee houden bij het bepalen van de verwachtingen van consumenten?

Natuurlijk zullen er genoeg consumenten zijn die het kopen vanwege de afwezigheid van accounts. Alleen: niemand zegt dat tegen de winkel, zodat die er ook om die reden geen rekening mee hoeft te houden. Alles kán natuurlijk best essentieel zijn voor iemand, maar de standaard is of een gemiddeld consument het essentieel zou vinden.

Arnoud

 

 

Boetebedingen in huisregels kunnen ook gewoon onredelijke algemene voorwaarden zijn

Geplaatst op in Ondernemingsvrijheid, Uitingsvrijheid, 7 reacties
PeggyMarco / Pixabay

Een boete stellen op overtreding van je huisregels, het kan. Maar als je dat doet tegen gebruikers die consument zijn, dan kunnen die ook bij jouw dienst zich gewoon beroepen op het consumentenrecht. Dat maak ik op uit een recent vonnis (via).

Bij de dienst F2F (een soort OnlyFans) mag iedereen zich aanmelden en dan foto’s of videos plaatsen. Wellicht verbaast het u, maar “deze content bestaat voornamelijk uit erotisch getinte foto’s en/of video’s”, aldus het vonnis. Om te zorgen dat mensen geen wraakporno of gestolen beeld zouden plaatsen, had de dienstverlener een stevig boetebeding opgenomen:

“A.10.3. In the event F2F discovers User violated the provisions of Article A.7. or Article A.8, User will immediately be liable to pay a fine to F2F of 10.000 euro for each such violation, without prejudice to F2F’s right to claim damages and any other claims F2F may have on User relating to such violations.”
De gedaagde had erkend dat zij foto’s had geplaatst die niet van haarzelf waren, en ook dat ze op alle knopjes had doorgeklikt, dus akkoord was met de voorwaarden. Appeltje-eitje zou je zeggen: betalen maar, die boete. (Er is precedent immers.)

De rechtbank doet iets opmerkelijks: die onderzoekt ambtshalve (dus zonder dat dit was gesteld) of de gedaagde als consument de overeenkomst was aangegaan. Want consumenten mag je, in tegenstelling tot zakelijke gebruikers, niet zomaar allerlei bedingen opleggen. Dit is een standaardprocedure, maar het voelt wel gek bij een platform waar mensen deelnemen om content te produceren en te verkopen. Het zou niet mijn eerste gedachte zijn dat hier iemand als ‘consument’ in de zin van de wet aan te merken is.

In dit geval heeft [gedaagde] zich aangemeld als creator waardoor zij door het exclusief beschikbaar stellen van beeldmateriaal geld kon verdienen. Die enkele aanmelding maakt nog niet dat ervan moet worden uitgegaan dat [gedaagde] heeft gehandeld in de uitoefening van haar beroep of bedrijf en dat zij niet als consument kan worden aangemerkt. Iedereen kan zich namelijk aanmelden bij F2F als creator. Het is voor consumenten op een platform als F2F redelijk eenvoudig om zich als creator aan te melden en beeldmateriaal te delen met het doel iets bij te verdienen. Daarom is het ook zeer aantrekkelijk voor kwetsbare consumenten om foto’s en video’s te delen op het platform. Daarom zijn er andere omstandigheden nodig om te kunnen beoordelen of [gedaagde] al dan niet professioneel heeft gehandeld.
De rechter kan die omstandigheden niet ontdekken. Onduidelijk is wat haar primaire bron van inkomsten was, bijvoorbeeld. En weliswaar had zij 157 beelden geüpload, maar verder vrij weinig gedaan:
Het in een korte periode uploaden van foto’s met de bedoeling daar geld aan te verdienen betekent nog niet direct dat een persoon als handelaar moet worden aangemerkt.
De rechtbank ziet dus niets waaruit blijkt dat mevrouw handelaar was, en dus is zij consument. (Dit is volgens mij systematisch verkeerd om, want volgens mij is consument-zijn de uitzondering die dus bewezen moet worden.) En wat ik hier lastig aan vind: als men mevrouw pas na een jaar had betrapt, en zij had in de tussentijd 10.000 euro verdiend met een heleboel foto’s die in strijd met de regels waren, had de rechter haar dan óók als consument aangemerkt?

Vervolgens moet het boetebeding worden beoordeeld aan de hand van het consumentenrecht. Een boetebeding opgelegd via niet-onderhandelbare algemene voorwaarden is wel heel zwaar. Daar moet een stevige rechtvaardiging voor zijn, maar die is er: F2F wil afschrikwekkend zijn tegenover wraakporno, auteursrechtinbreuk en dergelijke, iets dat aan de orde van de dag is bij dergelijke diensten. Dus dat had gekund. Alleen:

Het beding ziet (…) op iedere overtreding van artikel A.7. en A.8. van de algemene voorwaarden. Daarbij is er geen oog voor verschillen in aard en ernst van de overtredingen. Er is in het beding of elders in de algemene voorwaarden ook geen limiet gesteld aan de boete. Het beding stelt de boete op € 10.000,- voor iedere overtreding. Dat maakt dat het beding cumulatief geïnterpreteerd kan worden, waardoor de boete bij meerdere overtredingen in een korte periode veel hoger kan zijn dan € 10.000,-, ook in die gevallen dat de consument niet op de hoogte is van de overtreding. … Het feit dat F2F in dit geval ondanks de 157 door [gedaagde] geplaatste foto’s en filmpjes slechts eenmaal € 10.000,- in rekening heeft gebracht doet daar niet aan af, omdat – zoals hiervoor al is overwogen – beoordeeld moet worden hoe het beding kan uitpakken.
De rechter kijkt dus niet naar de redelijkheid van de opgelegde concrete boete, maar naar de redelijkheid van het beding en wat dit voor effect kan hebben als het beding  wordt toegepast. Dat is namelijk hoe de consument tegen het beding aan zal kijken, wat kunnen ze me allemaal aandoen? En 10.000 euro voor iedere overtreding van een héle berg aan regels is andere koek dan specifiek bij overtreding van dit ene artikel.

Arnoud

 

Mag de bank bij geldezelen je rekening levenslang blokkeren?

Geplaatst op in Ondernemingsvrijheid, Privacy, 12 reacties

Via Twitter:

@ingnl beweert dat je bij (bedoeld of onbedoelde) fraude nergens meer een bankrekening krijgt. Is dit legaal? En hoe moet een kind dat dan de rest van zijn leven oplossen in een digitale wereld? Kan dit niet verkroppen!
En inderdaad, op de aangehaalde site vermeldt de ING bank dat wie betrapt wordt op geldezelen daar een stevige consequentie voor kan verwachten: “Je rekening wordt geblokkeerd, je kunt?nergens meer een bankrekening openen.?”

Dat is natuurlijk extreem heftig, zonder bankrekening sta je min of meer buiten de maatschappij. Je kunt nergens werken, want salaris moet verplicht op een bankrekening betaald (art. art 7:620 BW). Ook uitkeringen of toeslagen ga je niet contant krijgen.

Is er een wettelijke regeling voor zo’n extreme stap? Het Kifid legt in keurige taal de juridische kaders uit, inclusief dat het om een ernstige verdenking van fraude moet gaan, dat sprake moet zijn van proportionaliteit en subsidiariteit enzovoorts, maar noemt geen wetsartikelen. Maar als je het helemaal terugzoekt, dan gaat het echt om zelfregulering en niets meer.

Op zich mag dat. Fraudebestrijding is een zwaarwegend bedrijfsbelang in de financiële wereld. En er is een keurig uitgewerkt protocol dat keurig binnen de lijntjes van de AVG blijft, en bovendien wordt gesteund door een vergunning van de Autoriteit Persoonsgegevens omdat het gaat om strafrechtelijke persoonsgegevens.

Als je dat protocol volgt, dan is het inderdaad in theorie mogelijk dat je bij het strafbaar feit “medeplichting aan oplichting” door het uitlenen van je bankrekening uitkomt tot een signalering die leidt tot acht jaar uitsluiting. Maar die maatregel moet wel proportioneel zijn, dus gemotiveerd en een gepaste maatregel gezien de omstandigheden.

Volgens het protocol dan, want in de praktijk lijkt dit allemaal wat sneller en makkelijker te gaan dan voornoemde juridische paragraaf doet suggereren. Dat staat dan weer op gespannen voet met de leveringsplicht van banken om een basisrekening voor consumenten beschikbaar te stellen (art. 4:71f Wet op het Financieel Toezicht).

De Hoge Raad oordeelde in 2021 (via) dat banken inderdaad een vérgaande zorgplicht hebben, zowel voor consumenten als voor bedrijven:

Het hof heeft terecht tot uitgangspunt genomen dat op banken op grond van hun maatschappelijke positie ook ten aanzien van niet-consumenten, de verplichting kan rusten een betaalrekening aan te bieden (vgl. voor consumenten art. 4:71f Wft). Het heeft daarbij eveneens terecht zwaar laten wegen dat het zonder betaalrekening vrijwel onmogelijk is om deel te nemen aan het maatschappelijk verkeer en om een bedrijf te exploiteren. De onderdelen 1.1-1.3 falen daarom.
Het oordeel luidt dat banken wel mogen weigeren vanwege toezichtrechtelijke eisen of integriteitsrisico’s, maar dat dit een concrete belangenafweging eist die niet te makkelijk mag uitkomen bij het geheel blokkeren of weigeren van een bankrekening. Als er een alternatief is, dan moet dat eerst worden geprobeerd. In die zaak was de reden bijvoorbeeld zorg over witwassen van contant geld; een proportioneel alternatief is dan dat er geen cash meer mag worden gestort.

Arnoud

Mag een AI-gedreven zoekmachine advertenties in haar uitvoertekst verwerken?

Geplaatst op in Innovatie, Ondernemingsvrijheid, 1 reacties

Eduard Blacquière deed een interessante observatie: in de nieuwe zoekresultaten van Bing staan advertenties. Maar let op: die resultaten zijn geen lijstjes met sites, het is een lopende tekst gegenereerd door Edge CoPilot, de AI van Microsoft. “U kunt ook genieten van een drankje bij HIGH Bar Stockholm [ad]“. Mag dat?

De DSA is duidelijk over advertenties, of beter gezegd “commerciële communicatie” (art. 26):

Aanbieders van onlineplatforms die op hun online-interfaces reclame tonen, zorgen ervoor dat de afnemers van de dienst voor elke specifieke reclame die aan elke individuele afnemer wordt getoond, op een duidelijke, beknopte en ondubbelzinnige wijze en in real time het volgende kunnen vaststellen:
  1. dat de informatie reclame is, onder meer door opvallende markeringen, die standaarden kunnen volgen krachtens artikel 44;
  2. de natuurlijke of rechtspersoon namens wie de reclame wordt getoond;
  3. de natuurlijke of rechtspersoon die de reclame heeft betaald indien die persoon verschilt van de in punt b) bedoelde natuurlijke of rechtspersoon;
  4. vanaf de reclame rechtstreeks en gemakkelijk toegankelijke nuttige informatie over de belangrijkste parameters die worden gebruikt om te bepalen aan welke afnemer de reclame wordt getoond en in voorkomend geval over de wijze waarop die parameters kunnen worden veranderd.
Laten we de tekst van Microsoft erbij pakken (rechtsboven, klik voor groot). Deze tekst is een reactie op een vraag om leuke dingen voor op vakantie in Stockholm, Bing geeft een bolletjeslijst met dingen, zoals het Vasa-oorlogsschip dat bij tewaterlating zonk en 333 jaar onder water bleef liggen. Op zich prima.

De advertentie is de tweede helft van een bolletje over eten en drinken, waarbij eerst zo te zien een organisch resultaat (fusionrestaurant EAT) wordt getoond en dan dus de advertentietekst voor de HIGH Bar. Er staat een markering bij (het blokje “Ad”), ik kan dit niet heel erg opvallend noemen omdat er meteen ook een voetnoot bij staat voor de bronvermelding. Dus dat is meteen een vraagteken.

Het tweede punt van de DSA is namens wie de reclame wordt getoond (en punt 3 wie betaalde, indien anders). Uit de bronvermelding moet ik halen dat de adverteerder Tripadvisor is. Oftewel: deze vermelding van de HIGH Bar is opgenomen omdat Tripadvisor haar diensten wil promoten, niet omdat de HIGH Bar graag meer bezoekers wil.

Waar het volgens mij misgaat, is punt 4: waarom wordt deze advertentie getoond? Ik kan er wel een slag naar slaan, maar de DSA eist dat je uitleg kunt krijgen, en dat lijkt vooralsnog te ontbreken. (Mogelijk ligt dat aan het screenshot. Ik krijg zelf geen enkel zoekresultaat met advertenties.)

Wat dan weer wél kan, is via de Ad Library meer informatie opvragen over een advertentie. Hier vind je dan alle wettelijk verplichte informatie. Deze library volgt ook uit artikel 26 DSA. En dat lijkt me ook een prettig werkbare oplossing.

Arnoud

Is een verpletterd konijn nu ook al internetrecht?

Geplaatst op in Ondernemingsvrijheid, 5 reacties

Een pakketbezorger van PostNL blijkt vorige week een doos hondenvoer van 15 kilo bovenop konijn Okkie in de Almeerse Filmwijk te hebben gegooid. Dat meldde Omroep Flevoland woensdag. De zaak is direct opgelost door PostNL, maar velen tipten mij hierover met de vraag hoe dit zou zijn gelopen als iedereen zich zuiver juridisch had gedragen.

Juridisch bekeken ligt de casus als volgt. Een consument plaatst een bestelling bij een webwinkel. Die moet zorgen dat deze bij de consument wordt bezorgd. Dat de winkel daar een hulppersoon (bezorgbedrijf PostNL) voor inschakelt, is voor haar rekening en risico. Niet alleen bij kwijtraken, maar ook bij andere vormen van schade. Zoals letsel- en zaakschade; toegegeven dat is zeldzaam bij bezorging maar het kan. (En voor de fijnproevers: een konijn is geen zaak, art. 3:2a BW, maar de regels van zaken gelden in principe ook voor hen.)

De consument kan dus de winkel aanspreken voor de gevolgen van de fout bij het bezorgen. Oók PostNL mag zij aanspreken, al gaat het dan om onrechtmatige daad en niet om wanprestatie bij een bezorgovereenkomst – de consument heeft geen contract met PostNL, alleen de winkel heeft dat.

Mogelijk heeft de winkel een bepaalde uitsluiting van aansprakelijkheid in haar voorwaarden. Dat is sowieso naar consumenten toe twijfelachtig. De grijze lijst van algemene voorwaarden vermeldt immers dat het vermoedelijk onredelijk bezwarend is om je aansprakelijkheid in te perken. Als winkelier moet je dus een goede reden hebben om dat wél te mogen. En dat is zelden voorstelbaar. Maar er is hier nog iets bijzonders aan de hand.

“[H]et was wel een roekeloze actie. Het had ook een kind kunnen zijn.” Zo citeerde men de eigenaar van het konijn. En dat triggert de meelezende juristen wellicht: een categorie bijzondere gevallen in het aansprakelijkheidsrecht is de schade veroorzaakt door opzet of bewuste roekeloosheid. Als daarvan sprake is, dan kun je je sowieso niet beroepen op een beperking van aansprakelijkheid.

Opzet is makkelijk – en zeldzaam. Je had dan de bedoeling de schade te veroorzaken. Dus niet enkel “weet je wat, ik gooi die doos over de schutting”, dan heb je wel opzet op het gooien maar niet op het vernielen van het konijn. Bij opzet was je motivatie “ha, ik zie een konijn, daar gooi ik eens lekker een doos van 15 kilo op”. En nee, dat krijg je zelden bewezen.

Wat is dan “bewust roekeloos”? De Hoge Raad formuleerde het in 2012 zo:

Bij bewuste roekeloosheid is de schadeveroorzaker zich bewust van de aanmerkelijke kans op letsel of schade; er is sprake van een gebrek aan zorg met betrekking tot de gevolgen van het handelen of nalaten.
Een voorbeeld van dat laatste is het achterwege laten van eenvoudige maatregelen ter voorkoming van dreigende aanzienlijke schade. In dit geval: je had even over de schutting kunnen kijken of daar iets (of iemand) lag die de doos op zich zou krijgen. Dat nalaten maakt het dus bewust roekeloos, waarmee de (onbeperkte) aansprakelijkheid gegeven is.

Gelukkig ging het in de praktijk beter:

Nadat hij een melding deed bij PostNL kwam er een manager van de bezorger langs. “We hebben een fijn gesprek gehad, hij heeft zijn excuses aangeboden. Ook alle kosten voor de dierenarts worden vergoed. Maar het brengt Okkie niet terug.” Vreeswijk is blij dat PostNL goed heeft doorgepakt, maar baalt er wel van dat hij er zo achter moest komen. “Er ligt natuurlijk veel druk op die gasten. Maar doe dan ten minste een briefje in de bus dat er iets mis is gegaan.”
Arnoud

 

Cryptoplatform Coin Meester verplicht tot schadevergoeding na diefstal digiwallet van gebruiker

Geplaatst op in Ondernemingsvrijheid, Security, 13 reacties

Eiser was klant van het beleggingsplatform Coin Meester toen zijn crypto account op de website gehackt werd en vervolgens werd leeggeroofd, las ik bij ITenRecht. Oftewel: wat is de zorgplicht van een cryptoplatform, met name op het gebied van security? Had het platform specifiek moeten afdwingen dat tweefactorauthenticatie werd gebruikt?

De eerste vraag bij ICT-diensten is altijd: wat gebeurt hier juridisch nu precies. De klant stelde dat sprake was van een overeenkomst van opdracht, wat in principe bij 95% van de gevallen het juiste antwoord is. Coin Meester wees erop dat klanten akkoord gaan met een “gebruikersovereenkomst”. Wat dat precies zou moeten impliceren weet ik ook niet, en de rechter komt dan ook direct tot de conclusie dat het inderdaad een opdracht is.

Dat is van belang, want bij opdracht hoort een zorgplicht. Hier komt dat neer op een securityniveaudiscussie: had Coin Meester ervoor moeten zorgen dat je alleen met tweefactorauthenticatie kon inloggen, of was toelaten van enkel emailadres en wachtwoord op zich wel adequaat geweest?

Coin Meester bood allebei als keuzemogelijkheid, zij het met waarschuwingsmailtjes als je 2FA niet had aangezet. Dat is echter geen factor bij de vraag of je adequaat je best had gedaan; het enkele feit dat een crimineel toegang kreeg tot het account, maakt dat sprake is van een tekortkoming. De vervolgvraag is of Coin Meester dat verweten kan worden (toerekenbaarheid) en of wellicht sprake is van eigen schuld waardoor de schadevergoeding omlaag mag.

De kantonrechter legt bij Coin Meester een zware verantwoordelijkheid, omdat zij een professioneel gespecialiseerd bedrijf is en bovendien Wft-geregistreerd, hoewel niet als een ‘echte’ betaaldienst. Als professional moet je weten dat er criminelen binnen kunnen komen als je die zwakke beveiliging zonder 2FA hanteert. Het is dan een risico om die situatie te laten bestaan, en dat maakt dat de tekortkoming toerekenbaar is aan Coin Meester.

De keuzes van de consument spelen een beperkte rol, mede vanwege de wettelijke eisen voor betaaldiensten die laten zien dat de wetgever eigenlijk de consument toch best wel wil beschermen. Daarom hoeft de consument slechts 10% van de schade als eigen schuld (het niet instellen van 2FA terwijl dat wel kon) te dragen.

De rechter verwijst de uitsluiting van aansprakelijkheid snel naar de prullenbak, met een redenering die ik niet vaak gezien heb: op grond van Europese regels zijn bedingen verboden die de rechten van consumenten op oneerlijke wijze uitsluiten of beperken. Dit is de blauwe lijst, die meestal wordt gebruikt om boetebedingen te matigen.

De rechter gaat hier een stapje verder: de beperking van aansprakelijkheid sluit het recht op schadevergoeding volledig uit en daar is geen goede reden voor, dus is de hele exoneratie nietig. In dit concrete geval een te begrijpen uitkomst, het bewaren van de bitcoins is zeg maar de kern van de dienstverlening en het niet op orde hebben van security dus een kern-tekortkoming. Maar de rechter gaat niet in op waarom er dan geen goede reden is; het is toch vrij gebruikelijk om bij consumentendiensten je aansprakelijkheid in enige mate te mogen beperken.

Arnoud

De wassen neus van ‘open’ kunstmatige intelligentie

Geplaatst op in Intellectuele rechten, Ondernemingsvrijheid, nog geen reacties
OpenClipart-Vectors / Pixabay

Veel bedrijven die met kunstmatige intelligentie bezig zijn, noemen zichzelf ‘open’: ze zijn transparant over wat ze doen en hun software is voor iedereen gratis toegankelijk. Zo opende De Correspondent onlangs. Veel datamodellen – zoals LLaMa van Meta – zijn zo open beschikbaar, in tegenstelling tot het OpenAI GPT model dat stevig op slot zit. Maar hoe open is dat nou echt?

Open source heeft het internet gewonnen, daar is iedereen het wel over eens ondertussen. Het model waarbij je broncode deelt en samen bugs oplost onder het motto “with enough eyeballs all bugs are shallow” blijkt de meestgebruikte software te hebben opgeleverd waar zo ongeveer alle internetdiensten op gebaseerd zijn.

Velen willen meeliften op dit succes, dus alles en z’n broer heet “open dit” of “open dat”, maar je moet altijd wel even verder kijken of het écht open is. Want dat betekent niet alleen “je kunt het zonder registratie of aanvraag te pakken krijgen” maar ook “je mag er écht alles mee doen dat je wilt, inclusief aanpassen en ons ermee beconcurreren”. De Business Source License bijvoorbeeld is dus géén open source.

Men citeert in het artikel onderzoek van drie taalwetenschappers van de Radboud Universiteit in Nijmegen, die zo’n dertig verschillende modellen scoorden op dertien variabelen. Specifiek voor LLaMa2 concludeert men:

Zo blijven de data waarop het model is getraind geheim en is Meta minimaal scheutig met de onderliggende computercode. Er is geen erkende wetenschappelijke onderbouwing van het model en de technische uitleg haalt een ruime onvoldoende. In de techwereld zijn dit allemaal gebruikelijke standaarden waaraan je moet voldoen, wil je met goed fatsoen het label ‘open source’ kunnen dragen. Llama2 voldoet aan geen enkele.
De meeste andere modellen komen niet veel beter uit het onderzoek. Dat wordt nog ingewikkeld: de AI Act komt eraan en die gaat óók aan dit soort modellen regels stellen. Die regels gaan onder meer over transparantie en verantwoording, waar komt je data vandaan, hoe representatief en volledig ben je bijvoorbeeld. Hierover hadden we laatst dat onderzoek naar LLMs dat concludeerde dat niet eentje echt voldeed. (Bloom, dat daar het beste scoorde, komt ook nu het hoogste eruit.)

De term ‘open source’ is dan natuurlijk een mooie schaamlap om te doen alsof je model maatschappelijk heel nuttig is. Hopelijk zal de nieuwe wet ervoor zorgen dat we ook daadwerkelijk openheid gaan krijgen.

Arnoud

 

 

Kan ik als ontwikkelaar de AVG-risico’s van mijn software bij de klant leggen?

Geplaatst op in Ondernemingsvrijheid, Privacy, 8 reacties

Een lezer vroeg me:

Ik ben een eenmansbedrijf dat software maakt voor kassasystemen. Ik heb een klant die vasthoudt aan een legacy systeem van mij, waar persoonsgegevens in zitten. Ik kan echt niet meer 100% instaan dat dit veilig is gezien de leeftijd van het systeem, maar deze klant wil het persé aanhouden en alle risico’s dragen. Kan ik op een of andere manier alle AVG risico’s bij de klant leggen, of kan dit niet en zit er niets anders op dan het systeem echt af te sluiten?
Bij een onsite applicatie kun je alle verantwoordelijkheid verleggen, dat zou ik wel expliciet doen met een aparte verklaring.

Bij SaaS ben jij verwerker van die persoonsgegevens, en de AVG bepaalt apart dat ook jij aansprakelijk bent naar betrokkenen toe en dat jij apart beboet kan worden door de AP als het systeem niet adequaat is. Dat kun je niet verleggen met een contract.

Het beste dat je bij SaaS kunt doen is afspreken dat de klant je vrijwaart van eventuele boetes en claims. Dat betekent dan nog steeds dat jij ze moet betalen, maar je mag je dan omdraaien en ze verhalen op je klant die zo nodig dit systeem moest gebruiken. Punt is natuurlijk wel dat als de klant in de tussentijd gestopt is of failliet verklaard, er niets te halen is.

Arnoud

Kun je met een tweet de nieuwe voorwaarden van Twitter afwijzen?

Geplaatst op in Ondernemingsvrijheid, 17 reacties

Via Twitter:

Hey, @X: I #DoNotAccept the new terms of service, and my continued use of the site after they roll out should not be construed as acceptance of those terms. You can ban my account after the new terms roll out, for failure to agree to them. If not, you’ve agreed I can stay.
De plaatser is een Amerikaanse advocaat (NY) dus dat gaf vele vragen: is het na al die jaren gesteggel over websitevoorwaarden dan toch zó makkelijk om van de periodieke updates af te komen?

Cohen nuanceert zijn opmerking direct: er is geen rechtspraak over wat voorgaat, je mededeling “ik weiger de nieuwe voorwaarden” of het voortgezet gebruik waarvan Twitter had gezegd dat het zal worden opgevat als een aanvaarding. Als je bij Albert Heijn door het hekje gaat waar dat bordje hangt “Vanaf hier winkelwagen verplicht” terwijl je roept “Ik verwerp het aanbod tot binnentreden onder deze verplichting (art. 6:221 lid 2 BW)”, heb je je dan verplicht een winkelwagen te pakken?

AH zal er weinig juridische woorden aan vuil maken: allereerst kom je er in de praktijk natuurlijk vaak mee weg, en ten tweede is de remedie vrij simpel – de beveiliger sommeert je de winkel te verlaten, dat doe je en het is klaar.

Bij Twitter geldt in principe hetzelfde. Het maakt niet zo heel veel uit of je de redenering insteekt vanuit contractuele voorwaarden of huisregels gekoppeld aan server-eigendom, als jij iets doet dat het bedrijf verboden heeft, dan kunnen en mogen ze ingrijpen, inclusief verwijdering.

Er zijn echter een categorie verbintenissen die je wat lastiger kunt koppelen aan eigendomsrecht. Mag Twitter bijvoorbeeld een onbeperkte vrijwaring van claims van derden van je eisen, of je recht op toegang tot de burgerlijke rechter (met jury)? Dat heeft niet echt iets te maken met hoe jij je gedraagt op hun medium.

Je kunt natuurlijk op zich alles afspreken (althans in de VS; bij ons is het uitsluiten van de rechter en afdwingen van arbitrage iets ingewikkelder). Maar dan heb je wel echt een overeenkomst nodig, en dat vereist dat je kunt aanwijzen waar een aanbod is gedaan en of en hoe dat is aanvaard.

Dat Twitter een aanbod doet (“op gebruik van onze dienst gelden deze voorwaarden”) staat wel vast wat mij betreft. Het is mogelijk om bij een aanbod voorwaarden te stellen over de aanvaarding. Bekend is “uitsluitend schriftelijk aanvaarden” of “het aanbod vervalt binnen 48 uur als u niet aanvaardt”.

Hier is de voorwaarde “door de dienst te blijven gebruiken, ga je akkoord”. Dat is juridisch vergelijkbaar met een eis zoals schriftelijkheid: ik wil dat jij op een bepaalde manier aangeeft dat je akkoord bent. Dat is prima, al is hier wel lastig dat mensen ook onbedoeld de dienst kunnen blijven gebruiken, bijvoorbeeld omdat ze niet hebben gezien dat er nieuwe voorwaarden gelden.

In de VS is in 2022 uitgemaakt dat de lat voor een dienstverlener wel hoog ligt: deze moet bewijzen dat de mededeling niet te missen was geweest. Als dat lukt, dan wordt de gebruiker geacht eraan te zijn gebonden, omdat in die omstandigheden doen alsof je ‘gewoon’ nog verder wilde, niet genoeg is.

Het argument waar deze blog mee begon, is dat als je tegelijkertijd dus hard roept “ik verwerp het aanbod”, je daarmee die gebondenheid zou passeren. Ik denk dat dat hier niet opgaat, vanwege het massale karakter van deze dienst. Twitter heeft niet voor niets zo’n algemene manier van updaten en accorderen opgezet; individueel onderhandelen is niet haalbaar. Dan is het niet redelijk te verwachten dat jij met een tekstbericht wél ineens mag onderhandelen.

Arnoud