Internetrecht door Arnoud Engelfriet

Een nieuw fenomeen in licentieland: de Anti 996 licentie, een variant op de opensource BSD licentie die een unieke beperking kent. De licentienemer (gebruiker van de software) mag in zijn bedrijf geen onwettige arbeidsomstandigheden toelaten. De term “996” komt uit een Chinese praktijk- van 9 tot 9 werken, 6 dagen per week – dat leidde tot een protestbeweging om arbeidsomstandigheden te verlichten. Leuke inhaker dus, wie deze software gebruikt moet zijn personeel betere arbeidsvoorwaarden geven of in ieder geval gewoon de wet naleven. Een loffelijk initiatief, maar mag dat eigenlijk wel in een opensourcelicentie?

De bepaling is simpel en effectief geformuleerd:

The [licensee] must strictly comply with all applicable laws, regulations, rules and standards of the jurisdiction relating to labor and employment where the individual is physically located or where the individual was born or naturalized; or where the legal entity is registered or is operating (whichever is stricter). In case that the jurisdiction has no such laws, regulations, rules and standards or its laws, regulations, rules and standards are unenforceable, the individual or the legal entity are required to comply with Core International Labor Standards.

De ILO dient daarbij als minimumstandaard. Deze standaard verbiedt onder meer kinderarbeid en eist dat men zich mag verenigen in vakbonden, om eens twee controversiële onderwerpen te noemen.

Papier is geduldig, dus als jij deze eis in je licentievoorwaarden wilt opnemen en je wederpartij wil dit accepteren dan is dat juridisch verder helemaal prima. De praktijk kent dit al – grotere organisaties nemen vaak in hun inkoopvoorwaarden ook eisen op omtrent maatschappelijk verantwoord ondernemen, garanties tegen kinderarbeid en afspraken over groen ondernemen.

Specifiek bij open source is het echter iets spannender. De definitie van “open source” zoals gepubliceerd door het OSI verbiedt namelijk dat opensourcelicenties onderscheid maken naar “field of endeavour”. Dat is primair bedoeld tegen zaken als commercieel gebruik verbieden of eisen dat de software niet voor massavernietigingswapens wordt ingezet. Maar je zou in theorie ook kunnen zeggen dat deze bepaling dus gebruik in sweatshops verbiedt of discrimineert tegen ondernemingen met inzet van kinderarbeid. Daarmee zou de clausule dus tegen de open source definitie zijn.

Omdat de licentie zich nadrukkelijk beperkt tot het conformeren aan de toepasselijke lokale wetgeving, heb ik daar wel wat twijfels bij. Het onderliggende argument is dan namelijk dat je niet mag discrimineren op grond van iets dat de wet overtreedt. Ik zou het nogal onredelijk vinden als dat niet mag. Ik weet dat al langer geldt dat je “not to be used for Evil” niet mag zeggen, maar ethisch kwaad vind ik wezenlijk wat anders dan wettelijk verboden. Een verboden handeling mag niet. Een kwade handeling hoort niet, maar mag wel.

Arnoud

Een lezer (hoi Wim) wees me op sociale bezorgdienst Homerr dat zichzelf als de “toekomst van pakketbezorging” afficheert. Kern van het concept is dat iedereen, zowel particulier als bedrijf, zich kan aanmelden als pakketontvanger binnen zelfgekozen tijden. Je krijgt dan pakketjes van de logistieke dienst, waarna de werkelijke ontvangers -die in jouw buurt wonen natuurlijk- deze dan kunnen afhalen. En per pakketje krijg je betaald. Daarbij moeten die mensen zich identificeren, wat natuurlijk vragen oproept omtrent privacywetgeving. Mag dat eigenlijk wel, als pakketdienst eisen dat je een ID te zien krijgt? Of dat je daar een kopie van maakt?

Het concept is op zich best slim. Lang niet iedereen kan de hele dag thuis zijn, maar af en toe thuis zijn en dan een pakketje aannemen – tegen betaling, overigens – is voor veel mensen wel te doen. Omgekeerd heb je als webwinkelshopper zo ineens veel meer ruimte om een pakketje ergens te laten bezorgen dat op loopafstand is en open is wanneer jij daar tijd voor hebt, wat zeker in een buitenwijk erg fijn kan zijn.

Natuurlijk wil je niet dat mensen pakketjes aan de verkeerde meegeven. Ik zie dan ook geen bezwaar tegen het verlangen van het tonen van een identiteitsbewijs zodat de pakketontvanger naam en foto kan vergelijken met de persoon voor hem, en met het pakketje. Ik zou AVG-technisch dat gewoon een logische invulling noemen van de grondslag “uitvoering overeenkomst”.

Kopietjes maken van die identiteitsbewijzen ligt natuurlijk anders. Dan kom je in een mijnenveld terecht: er staan allerlei gegevens op die jij als pakketjesuitleveraar helemaal niet nodig hebt, zoals een pasfoto of een burgerservicenummer. Of een geboortedatum. Of een woonplaats. Of een, ja noem maar op. Want eigenlijk is de vraag algemener: waarom máák je überhaupt dat kopietje, wat wil je daarmee doen?

De enige reden die ik kan bedenken (naast de beperkte en niet niet van toepassing zijnde wettelijke plichten over kopietjes bewaren) is dat je bewijs wilt bewaren dat je het identiteitsbewijs hebt gezien. Een kopie van iets hebben bewijst immers onomstotelijk dat je het origineel hebt gezien.

Maar is het nódig? Als jij een proces hebt waarbij je identiteitsbewijzen ziet en daarna het nummer noteert, dan lijkt me dat bewijstechnisch prima in orde. Dat is ook de procedure die Homerr hanteert overigens. Prima in orde dus, wat mij betreft.

Zullen we gewoon afspreken dat we stoppen met kopietjes van identiteitsbewijzen maken? Gewoon, iedereen (behalve werkgevers en banken/verzekeraars want die moeten het). Dus ook hotels, autoverhuurders en anderen wiens werkprocessen dit voorschrijven of die denken dat een ISO-gedocumenteerd proces met deze stap erin het een wettelijke plicht maken?

Arnoud

Een lezer vroeg me:

Je leest natuurlijk veel over bewaartermijnen onder de AVG. Sommige kun je gewoon opzoeken, zoals de bewaartermijnen van facturen, maar bij andere dingen is dat lastiger. Met name bij e-mail kom ik er niet uit: hoe lang mag je die nu bewaren?

De AVG stelt als een van haar beginselen dat je persoonsgegevens niet langer mag bewaren dan nodig voor het doel waarvoor je ze inzet. Er is dus eigenlijk geen bewaarplicht maar een vernietigplicht-tenzij. Motiveer maar waarom deze mail nog niet door de shredder is, anders mag ie per direct alsnog weg.

De vraag hoe lang je een bepaalde soort persoonsgegevens nodig hebt, is niet in algemene zin te beantwoorden. Al helemaal niet bij mail. Sommige mails kunnen eigenlijk direct weg (“wat was je 06 ook weer”), andere mails wil je langer bewaren (“top werk dit, niets op aan te merken”) en weer andere mails móet je bewaren (“hierbij ga ik akkoord met uw offerte”).

Ik durf de stelling dan ook wel aan dat wie het heeft over “bewaartermijnen van e-mail” zijn zaakjes niet goed op orde heeft. E-mail is geen aparte categorie verwerkingen, het is een middel om persoonsgegevens te transporteren. Daar boven onderscheid je pas die categorieën: kattebelletjes, memo’s, informatieve berichten, formele dossiercorrespondentie, rechtshandelingen, verzin ze maar. En voor díe categorieën kun je bewaartermijnen (oké, wistermijnen) vaststellen.

Het ingewikkelde is denk ik vooral dat de meeste mensen dat onderscheid in soorten mails niet maken. E-mail is je inbox, en wie ouderwets is heeft er nog mapjes onder zitten. En daar zitten de offertes, aansprakelijkheidsstellingen, complimentjes en gebabbel gewoon gezellig naast elkaar. Vanuit dat perspectief wil je alle mails dus als één categorie behandelen natuurlijk. Maar ik denk dat dat niet kan.

Vanuit AVG oogpunt is het denk ik onvermijdelijk om voor zakelijke mails over te stappen naar een CRM systeem, waarbij je mails koppelt aan categorieën. Offerte, aanvaarding, factuur, dispuut, en ga zo maar door. Voor die categorieën kun je dan bewaartermijnen bepalen.

De enige uitweg die ik kan bedenken, is dat je een relatief korte bewaartermijn kiest die voor alle soorten mails die je hebt, redelijk is. Dan zeg je, voor het werkproces e-mail geldt een bewaartermijn van zeg zes maanden omdat we zo operationeel nu eenmaal werken en dit niet anders kan zonder enorme kosten. Het is te ingewikkeld voor ons om dan per klant of per mail terug te gaan en dingen te wissen. Daarom wissen we álle mail na zes maanden, en echt belangrijke zaken bewaren we geselecteerd in een apart klantdossier of archief.

Wie denkt dat hij met meer dan zes maanden wegkomt, ik hoor het graag.

Arnoud

Een issue op Reddit: [I]emand had mijn gegevens ingevuld bij het doen van een bestelling, en gezien de inhoud (goedkoop 4XL damesondergoed) vermoed ik hier een practical joke. Toen ik de bestelbevestiging op mijn mail binnenkreeg, heb ik ook contact gezocht met het postorderbedrijf, met de melding dat ik deze bestelling niet geplaatst heb, en… Lees verder

Een lezer vroeg me: Wij gaan binnenkort ons kantoorpand grondig verbouwen. Nu leek het ons leuk om een timelapse te maken van de voortgang, en deze elke week te publiceren op onze blog. Zo blijft iedereen betrokken. Maar er staat dan wel een camera op de werkvloer, dus hoe verhoudt zich dat tot de AVG?… Lees verder

De Kamer van Koophandel stopt met het op grote schaal verkopen van kant-en-klare bestanden met adressen, las ik bij de NOS. Dit na aandringen van de Autoriteit Persoonsgegevens, omdat dergelijke handel in persoonsgegevens in strijd is met de AVG. De Kamer van Koophandel biedt al sinds jaar en dag bestanden aan met contactgegevens van ondernemers,… Lees verder

Een lezer vroeg me: Vraag: De laatste jaren is er veel te doen over datalekken. Daarbij gaat het echter steeds over privacygevoelige data, wat ik snap gezien de gevolgen bij consumenten maar hoe zit het met andere bedrijfsdata? De term ‘datalek’ is immers breder, maar ik kan niet vinden hoe het zit met de meldplicht… Lees verder

Een lezer vroeg me: We overwegen een chatdienst voor onze webshop, en kwamen Tidio Chat tegen. Leuk en aardig, maar toen las ik “Use the Live Typing preview to see what your customers are typing before they even hit the ‘send’ button!” Is dat wel legaal onder de GDPR? Mijn eerste gedachte toen ik dat… Lees verder

De Ierse fastfoodketen Supermac’s had last van het merk van een van de hamburgers van McDonald’s, namelijk de BIG MAC hamburger. Dat las ik bij de blog van Van Diepen van der Kroef advocaten. Supermac startte daarop een rechtszaak om dat merk van tafel te krijgen, en tot verbijstering van de hele merkengemeenschap werd dat… Lees verder

Verzoeker wenst de bevoegdheden te verwerven van een meerderjarige, zo begint een beschikking van de rechtbank Gelderland. Ik kreeg deze van een lezer met de vraag of dat normaal is, omdat het gaat om een zestienjarige die een eigen bedrijf runt als Youtuber/influencer. Kun je vanwege zoiets ineens meerderjarig verklaard worden? Het korte antwoord: ja,… Lees verder