Hoe actief moet je opt-in vragen om brieven voor je buurtapp te sturen?

| AE 11435 | Ondernemingsvrijheid | 5 reacties

De politie stelt een onderzoek in naar nepbrieven die op diverse plekken in Overijssel huis-aan-huis worden bezorgd. Dat las ik bij RTV Oost onlangs. De brieven zouden zijn verstuurd om deelnemers aan een buurtpreventie-app te ronselen, en ondertekend zijn door medegebruikers die van niets weten. Tegenover Nu.nl meldt het netwerk, Nextdoor, dat je toch echt actief op een knop moet hebben gedrukt om zo’n brief te versturen. Nu.nl meldt overigens ook dat dat onderzoek er toch weer niet zou zijn. Maar het riep de vraag op, is het strafbaar om op deze manier brieven te sturen?

De politie komt erbij omdat er wordt gesproken van valsheid in geschrifte. Dat is inderdaad strafbaar:

Hij die een geschrift dat bestemd is om tot bewijs van enig feit te dienen, valselijk opmaakt of vervalst, met het oogmerk om het als echt en onvervalst te gebruiken of door anderen te doen gebruiken, wordt als schuldig aan valsheid in geschrift gestraft, met gevangenisstraf van ten hoogste zes jaren of geldboete van de vijfde categorie.

Andermans naam en handtekening onder een brief zetten, is natuurlijk een vorm van valselijk opmaken met als oogmerk het als echt en onvervalst te gebruiken. Ik twijfel hooguit over de vraag of die brief “bestemd is om tot bewijs te dienen”. Van welk feit dan? Dat je buurman je uitnodigt een app te installeren? Is dat het soort feit dat dit strafrechtartikel op het oog heeft? In mijn beleving gaat dit artikel meer over documenten met juridische strekking, bewijs van contracten, overdrachtsdocumenten, dat werk. Dus ik twijfel.

Daarnaast is er natuurlijk geen sprake van vervalsing als de naam gezet is met toestemming van die persoon. Een secretaresse mag namens hun directeur brieven tekenen die deze gedicteerd heeft, bijvoorbeeld. Daar is niets strafbaars aan. De vraag is dan dus, is wat Nextdoor doet een vorm van toestemming vragen?

Het plaatje van Nextdoor (via nu.nl gevonden) is wat klein maar je ziet toch wel dat er genoemd wordt wat er op de kaart komt: naam, straat en reclame (pardon “Helpful information about Nextdoor”). Je moet op een grote groene knop drukken waar “Send postcard” op staat. Dat lijkt me toch redelijk duidelijk.

Ik stel daar wel tegenover dat ik ook nogal verbaasd was te lezen dat men echt een plakje dode boom verstuurt. In de context van registratieprocedures en uitnodigingen denk ik altijd aan e-mailtjes, in dit geval dus een elektronisch uitnodigingskaartje. Wellicht dat daar de verwarring vandaan komt?

Arnoud

Waarom aansprakelijkheidsclausules altijd in hoofdletters staan

| AE 11417 | Ondernemingsvrijheid | 5 reacties

VEEL ICT-CONTRACTEN VERMELDEN UITSLUITINGEN VAN AANSPRAKELIJKHEID VOLLEDIG IN HOOFDLETTERS. DEZE GEWOONTE IS BUITENGEWOON STOREND: HET IS ALGEMEEN BEKEND DAT EEN TEKST DIE VOLLEDIG IN HOOFDLETTERS IS GESCHREVEN, NAUWELIJKS TE LEZEN IS. NIEMAND HEEFT ENIG IDEE WAAROM CONTRACTSJURISTEN DAT DOEN, MAAR ZE BLIJVEN HET ALLEMAAL DOEN. HOUD ERMEE OP.

Wie zo gek is om standaardvoorwaarden door te nemen, zal het vaak zijn opgevallen: als het over aansprakelijkheid gaat, staat de hele clausule ineens IN HOOFDLETTERS. Vaak hoor ik daar verklaringen voor als, dat is zo belangrijk in een contract dat het opvallend moet zijn. Of: ze willen zeker weten dat je niet gaat klagen het niet gezien te hebben.

Het grappige is: er is eigenlijk geen reden, behalve dat juristen elkaar allemaal na-apen, en mogelijk de beslissing uit de oertijd van de ICT dat beeldschermen enkel met hoofdletters werkten. Als je diep gaat speuren in het internationale recht, dan kom je op een gegeven moment uit bij conservatieve Amerikaanse contractsjuristen. Amerikaans recht, in het bijzonder de Uniform Commercial Code (UCC) die als harmonisatie van het common law contractenrecht geldt, eist dat een beperking van aansprakelijkheid ‘conspicuously’ gebeurt. De UCC noemt enkele voorbeelden, zoals een groter lettertype, boldface (vetgedrukt) en een contrasterende kleur.

Nergens in de UCC staat echter dat het gebruik van alleen hoofdletters een mogelijkheid is om aan deze wet te voldoen. Toch is dit op zeker moment ineens de trend geworden. Mogelijk is men begonnen hoofdletters te gebruiken toen de eerste online licenties en dergelijke moesten worden geschreven. In het begin van het internettijdperk waren veel diensten nog text-only en was zelfs het veranderen van lettertype of gebruik van kleur onmogelijk. Er zijn dan weinig andere manieren om iets te laten opvallen dan het in alleen hoofdletters vermelden. Maar wellicht is de gewoonte al in de typemachine-tijd ontstaan, waar ook zelden andere mogelijkheden zijn dan hoofdletters of onderstrepen.

Vandaag de dag lijkt deze gewoonte minder populair te zijn, in ieder geval bij uitonderhandelde contracten waarbij beide partijen wel beseffen dat de tekst anders onleesbaar wordt. In standaardcontracten komt het gebruik van hoofdletters nog wel voor, maar wat mij betreft mag iedereen daar meteen mee ophouden. Het heeft geen enkele juridische betekenis.

Arnoud

Een werkgever mag vingerafdruk niet zomaar verplichten bij personeel

| AE 11437 | Ondernemingsvrijheid, Privacy | 18 reacties

Een schoenwinkel in Tilburg mag werknemers niet verplichten hun vingerafdruk af te staan voor het bedienen van de kassa. Dat las ik bij Tweakers. De rechtbank had geoordeeld dat vingerafdruksystemen grote risico’s meebrengen, en de noodzaak voor deze eis niet voldoende onderbouwd was. Daarom was dit vereiste in strijd met de AVG. En dat is precies hoe de AVG werkt: dingen mogen prima, als je er maar goed over nagedacht hebt en vooraf hebt onderbouwd waarom het op deze manier moet. Heb je niet nagedacht, dan mag het niet. Zoals hier.

De zaak was aangespannen* door een werknemer die het niet eens was met deze verwerking van bijzondere persoonsgegevens (biometrie) bij de Manfield-keten. Alle winkels werden voorzien van kassa’s met vingerafdruk-loginsystemen, dat verplicht moest worden gebruikt om te kunnen afrekenen. Volgens Manfield was dit nodig vanwege de gevoelige gegevens die in de kassa zitten: financiële gegevens, maar ook persoonsgegevens van personeel. En tsja, de AVG verplicht tot gebruik van passende state of the art technische beveiliging en zo’n pincodetje zoals vroeger, dat is natuurlijk wel een tikje verouderd he meneertje. (Oh pardon, ga ik weer met mijn AVG cynisme.)

(* Met compliment voor Manfield, dat er een gezamenlijke stap naar de kantonrechter van maakte om duidelijkheid te krijgen én de griffiekosten betaalde.)

Een iets serieuzere reden was zo te lezen dat er in de oude systemen nog wel eens fraude werd gepleegd, je kunt immers elkaars pincode afkijken en dan valse transacties onder elkaars account boeken – of een collega inloggen die eigenlijk nog niet op het werk was, en zo toch voor de hele dag betaald kan krijgen. Er was “nagedacht” over alternatieven zoals pasjes, maar dat bleek niet 100% waterdicht.

Vanuit de AVG zijn de regels rond biometrische systemen streng. Het mag niet, tenzij een land in de wet heeft staan dat het wel mag en waarom. In Nederland staat er (art. 29 UAVG) dat het mag als noodzakelijk voor beveiliging of authenticatie. “Noodzaak” wil hier niet zeggen “we hebben geen reëel alternatief” en dat vereist een uitwerking van zowel de problemen die je oplost met het biometrisch systeem (dit is waarom het moet) als van de risico’s en hun maatregelen voor de privacy van de werknemer (dit is hoe we het netjes houden). En die uitwerking ontbrak bij Manfield, en dan ben je gewoon direct af onder de AVG. Had Manfield op papier de alternatieven uitgewerkt met hun voors en tegens en was er dán uiteindelijk dit systeem uitgekomen, dan had het zeer waarschijnlijk wel gemogen.

Wie nu denkt dat biometrie überhaupt niet meer mag in Nederland, heeft er dus weinig van begrepen. Het is prima, maar werk uit waarom het moet, waarom de privacy desondanks gewaarborgd is (en hoe dan) en waarom alternatieven niet goed genoeg zijn. Bij een datacenter dat toegangsbeveiliging met irisscan of vingerafdrukken regelt, is dit bijvoorbeeld een zeer eenvoudige casus: het gaat om zeer waardevolle en kwetsbare systemen en gegevens (fysieke toegang tot hardware), er komen veel wisselende mensen en er is niet altijd menselijk toezicht, en het gaat om beperkte werkzaamheden. Dat zie ik dus niet als een probleem.

(Meelezende DC security officers: doe me alleen een lol en ga je bezoekers geen consentformulier laten tekenen voor vingerafdrukgebruik. Consent is voor nieuwsbrieven.)

Arnoud

Ik mag mijn Android-telefoon niet updaten van mijn insuline-app leverancier!

| AE 11424 | Ondernemingsvrijheid | 12 reacties

Een lezer vroeg me: Een leverancier van een bloedglucose sensor (gebruikt door diabetici) heeft de mogelijkheid om een sensor uit te lezen via een app op een mobiele telefoon. Nu stelt deze leverancier dat, zodra er een update van de softwareversie van de mobiele telefoon beschikbaar is je dient te wachten met updaten tot zij… Lees verder

Je blijft echt gewoon bestuurder als je de AutoPilot van je Tesla aanzet

| AE 11430 | Ondernemingsvrijheid, Regulering | 10 reacties

Het gerechtshof in Leeuwarden stelt dat de bestuurder van een ‘zelfrijdende’ Tesla terecht is beboet, omdat hij tijdens het rijden zijn telefoon vasthad. Dat meldde Nu.nl gisteren. Hiermee wordt de uitspraak in eerste instantie van afgelopen november bevestigd. De Tesla-bestuurder was Vincent Evers, die stelde dat niet hij de bestuurder van de Tesla was, maar… Lees verder

Als je een like knop op je site zet, ben je aansprakelijk voor wat Facebook daarmee doet

| AE 11422 | Ondernemingsvrijheid, Privacy | 26 reacties

De beheerder van een website die een plug-in van een derde partij op zijn site opneemt waarmee persoonsgegevens van de gebruiker worden verzameld en doorgezonden, is medeverantwoordelijk voor de gegevensverwerking. Dat meldde Tweakers gisteren. Het Hof van Justitie bepaalde dat namelijk (zaak C-40/17) in een Duitse kwestie over een modewebwinkel die Like-knoppen bij haar producten… Lees verder

Is Office 365 nu echt een AVG probleem of alleen voor Hessense openbare scholen?

| AE 11405 | Ondernemingsvrijheid, Privacy | 14 reacties

De gegevensbeschermingsautoriteit van de Duitse deelstaat Hessen heeft het gebruik van Microsoft Office 365 door scholen verboden omdat dit in strijd met de AVG is. Dat meldde Security.nl op gezag van de toezichthouder zelf. De aanleiding is dat Microsoft eerder de speciale optie van een Duits datacenter voor scholendata had geschrapt, zodat de mogelijkheid ontstond… Lees verder

Mag FaceApp echt zomaar je gezicht voor alles gebruiken?

| AE 11401 | Ondernemingsvrijheid, Privacy | 9 reacties

Met het populaire FaceApp kun je er op foto’s ouder uitzien, maar geef je ook je foto’s en persoonsgegevens weg aan een bedrijf dat deze mag verkopen. Dat meldde Nu.nl onlangs. Er is nogal wat ophef over deze voor mij onbegrijpelijk populaire app, omdat in de kleine lettertjes staat dat men alles mag met je… Lees verder

Mijn pakket raakte kwijt bij het Albert Heijn verzendpunt, wat nu?

| AE 11399 | Ondernemingsvrijheid | 29 reacties

Interessante discussie bij Tweakers: Lang verhaal in oktober 2017 wat besteld bij bol.com, week later geretourneerd via de AH daarvoor gekozen tijdens het retourproces. Daar een ontvangstbewijs van gekregen. Poos daarna herinnering ontvangen niet betaald, bewijs doorgestuurd niets meer gehoord. Toen opeens in januari van accountor een incassobureau een mail/brief gehad met een vordering. Het… Lees verder

Mijn mailadres was fout en de webwinkel stuurt me nu incassokosten!

| AE 11390 | Ondernemingsvrijheid | 9 reacties

Een lezer vroeg me: Een tijd geleden had ik wat besteld bij een webwinkel, maar kennelijk een typefout in mijn mailadres gemaakt. Het bestelde is geleverd, en nu twee maanden later krijg ik een brief van een incassobureau of ik even de prijs plus incassokosten wil betalen, anders gaan ze dagvaarden. Het klopt dat ik… Lees verder