Internetrecht door Arnoud Engelfriet

Op 1 december van dit jaar zullen de servers van de muziekdienst van het spel Guitar Hero Live offline gaan, zo las ik bij Ars Technica. Met deze dienst konden spelers van het gitaarspel verschillende liedjes ontvangen om tegen elkaar te spelen. De dienst was gratis in een basisversie en betaald voor toegang tot meer muziek. Maar nee, je hebt desondanks nergens recht op. Als het offline gaat, dan is het weg.

Dit is weer het zoveelste voorbeeld van “data is niets”, in ieder geval van “data is geen eigendom”. In de digitale wereld is eigenlijk altijd sprake van dienstverlening en nooit van verkoop. Je hebt weliswaar dat spel ooit tegen betaling verkregen, maar je werd nooit eigenaar van de muziek die erbij zit. Die krijg je onder het mom van dienstverlening.

Nu is dienstverlening natuurlijk keurig juridisch gereguleerd. Alleen die regulering is niet echt ontworpen voor internetdiensten: de tekst uit het Burgerlijk Wetboek gaat over diensten als schoonmaken, advisering of tuinonderhoud. Die diensten hebben gemeenschappelijk dat ze redelijk persoonsgebonden zijn, in principe niet lang duren en dat je na opzegging eigenlijk zo weer verder kunt bij andere partijen.

Internetdiensten voldoen niet aan die criteria. Die zijn niet persoonsgebonden, ze duren eigenlijk best wel lang en een migratie is erg vervelend en complex, als het al mogelijk is. Het verschil zit hem erin dat internetdiensten eigenlijk datagedreven diensten zijn, het gaat altijd om opslag, doorgifte of het verwerken van data. Dat is niet aan de orde bij een schoonmaker of adviseur, hooguit dat de adviseur je nog wat laatste tips meegeeft of de schoonmaker op verzoek zegt welk schoonmaakmiddel hij voor de mop gebruikt.

Ik zeg altijd: data is niets, en dat is om deze reden. De wet kent niet het concept dat een dienstverlener data produceert of onder zich heeft. Er is dus niets geregeld over toegang, beschikbaarheid of afgifte daarvan. Bijgevolg heb je ook geen enkel recht waar het gaat om die data. Je kunt die niet opeisen, of juist eisen dat de dienstverlener doorgaat met het beschikbaar stellen daarvan.

Dit is een fundamenteel probleem in de informatiemaatschappij. Tegelijk heb ik geen idee hoe het op te lossen. Data even tot eigendom bombarderen gaat hem niet worden, want vaak hebben ook diverse andere partijen hier rechten op. Zoals hier, waar muziekmaatschappijen ook wat zullen vinden van “eigenaar van een stream” zijn. Maar minstens zo lastig, moet je dan een bedrijf zoals dit verplichten tot in de eeuwigheid hun server aan te houden? Dat is ook weer een ingewikkelde.

Arnoud

De rechtbank in Den Haag heeft in een zaak van de Consumentenbond bepaald dat Samsung niet snel beveiligingsupdates voor alle smartphones hoeft aan te bieden. Dat meldde Tweakers vorige week. De Bond had een principezaak tegen de smartphonemaker aangespannen omdat zij vond dat Samsung te weinig informatie gaf over updates, en bovendien te traag was met security updates uitgeven. Samsung belooft goedkopere modellen minimaal twee jaar na de release te voorzien van updates, terwijl dat bij high-end modellen minimaal drie jaar is.

De Consumentenbond spande de zaak aan in 2016. Op dat moment stond Samsung bekend als niet zo’n snelle updater, zeker voor goedkope modellen was er vaak snel geen fatsoenlijke security update te krijgen. Dat is sindsdien fors verbeterd, zo lees ik overal. Die verbeterslag weegt mee in het vonnis, want de rechtbank beoordeelt Samsung naar hoe ze nu werkt en niet naar hoe het bij de dagvaarding was.

Het eerste aspect dat in het vonnis aan de orde kwam, was dat Samsung met name te weinig doet om securityupdates zo snel mogelijk naar de consument te krijgen, en wel eigenlijk gewoon binnen een maand nadat de patch is verschenen. Maar dat vindt de rechtbank te rigide: Samsung zit nu eenmaal vast aan het updateproces zoals door Google gedefinieerd, en kan dus niet altijd zo snel met een update komen. Het is een complex proces en daarom kun je niet in het algemeen zeggen dat Samsung te weinig doet en daarmee nodeloos risico’s bij de consument legt.

Het tweede punt is dat Samsung te weinig zou doen om de consument te informeren over veiligheidsrisico’s die aan haar smartphones kleven. Dat zou eigenlijk wel moeten, want dat is toch essentiële informatie zou je zeggen en dan ben je wettelijk verplicht daarover actief mede te delen. Maar de rechtbank ziet dat Samsung op haar site een uitgebreide uitleg publiceert over beveiliging, en oordeelt dat dat genoeg is voor de gemiddelde consument:

De rechtbank neemt daarbij mede in aanmerking dat de “maatman consument” waarop de onder meer door de Consumentenbond ingeroepen artikel 6:193a e.v. 3W zien, een gemiddeld geïnformeerde, omzichtige en oplettende consument is, van wie verwacht mag worden dat hij bereid is zich in de aangeboden informatie te verdiepen, tvaarbij denkbaar is dat informatie langs verschillende wegen wordt aangeboden. De gemiddelde consument wordt in beginsel geacht in staat te zijn om verstrekte informatie op waarde te schatten, om zo nodig nadere informatie te zoeken en om vervolgens informatie uit verschillende bronnen met elkaar in verband te brengen; enige onderzoeksplicht is inherent aan de maatstaf van de gemiddelde consument.

De ‘maatman’ lijkt me daarmee iets proactiever en ondernemender in zijn informatieverwerving dan ik gewend ben. Het is jammer dat er niet inhoudelijk is ingegaan op waar deze lat had moeten liggen.

Alles bij elkaar worden alle eisen dus afgewezen; Samsung mag doorgaan met haar huidige beleid en hoeft niet meer te doen om de consument op te voeden.

Arnoud

Stel, je doet een overboeking van 93.000 euro via internetbankieren (nee, doe ik ook niet dagelijks), en de app waarschuwt je dat het nummer niet klopt. Als extra service komt er een suggestie: bedoelde u dit nummer? Je gaat daarin mee, maar daarna blijkt dat dit niet het nummer was dat je werkelijk wilde. De ontvanger geeft het geld niet terug, dus kun je nu bij de bank aankloppen om dat geld terug te krijgen wegens hun foute suggestie? Nee, aldus een recent vonnis van de rechtbank Amsterdam.

De klant was in dit geval gewend om geld naar zijn spaarrekening over te maken en daarbij de benodigde gegevens uit het adresboek van internetbankieren te halen. Dat werkte op deze specifieke dag niet naar behoren, waardoor een ander IBAN in beeld kwam dat de klant volgde. Dat was alleen niet het rekeningnummer dat hij bedoelde, en de ontvanger van het geld wist dit weg te sluizen zonder dat de klant het tijdig terug kon halen.

Is de bank hiervoor aansprakelijk? Je zou zeggen van wel, want wie als professional een foute suggestie doet is in principe aansprakelijk voor de gevolgen (zorgplicht). Maar specifiek bij banken is dat anders (art. 7:542 BW):

Indien de unieke identificator die door de betaaldienstgebruiker is verstrekt, onjuist is, is de betaaldienstverlener op grond van de artikelen 543, 544 en 545 niet aansprakelijk voor de niet-uitvoering of gebrekkige uitvoering van de betalingstransactie.

Een bank kan dus onjuiste suggesties doen zonder aansprakelijk te zijn voor de gevolgen. Het blijft de verantwoordelijkheid van de klant om na te gaan of hij het juiste nummer heeft gekozen dan wel ingevoerd.

De bank heeft wel een zorgplicht om al het redelijke te doen het geld terug te halen. Maar dat houdt hier snel op: het geld was naar een andere bank overgemaakt, dus de eigen bank kan dan vrij weinig meer doen behalve dringend vragen. Die andere bank hoeft daar niet aan mee te werken. Bovendien is een typefout van de klant niet automatisch een fout waarvan een bank moet snappen dat dit een fout is.

Arnoud

De bestuurder van de drone die gisterochtend in het Zeeuwse Hulst de hulpdiensten ernstig hinderde, heeft zich gemeld bij de politie. Dat meldde RTL Nieuws onlangs. De drone verhinderde met name het landen van een traumahelikopter, bedoeld om een hoogzwangere vrouw met hartaanval naar het ziekenhuis te brengen. “Het ergste van alles was nog een… Lees verder

Hela, die is grappig. Door op Schiphol geen volledige duidelijkheid te verschaffen over de verschillende tarieven, heeft [naam B.V.] immers essentiële informatie aan [eisers] over de opbouw van de prijs van haar diensten en de daarmee verband houdende kosten onthouden. Dat vonniste de Rechtbank Amsterdam onlangs. Het bedrijf biedt een dienst aan waarbij je men… Lees verder

De Nederlandse Kansspelautoriteit heeft tien populaire games met lootboxes onderzocht en stelt dat vier daarvan de gokwet overtreden, las ik. De namen van de games worden niet genoemd, maar volgens de NOS zou het gaan om de zeer populaire spellen Fifa18, Dota2, PubG en Rocket League. De bedrijven krijgen acht weken de tijd hun games… Lees verder

Wanneer je als werknemer op non-actief wordt gesteld, moet je op verzoek je telefoon en laptop inleveren. Dat deed een werknemer in deze rechtszaak dan ook, zij het dat hij alle data van de laptop en bijbehorende externe schijf had gewist. Dat was voor zijn privacy gaf hij aan, maar de werkgever zag dat als… Lees verder

De Amerikaanse markttoezichthouder FTC heeft de “warranty void if seal is broken” stickers als ongeldig aangemerkt, las ik bij Ars Technica. Elektronica wordt vaak standaard met zo’n sticker verkocht, of met een beperking in de garantievoorwaarden dat je nergens aanspraak op kunt maken als je zelf aan het apparaat prutst of er mee naar een… Lees verder

Hoort het aanbieden van wifi op de camping aan gasten bij de dienst van verblijf zelf, of is het een aparte dienst? Met die vraag zag de rechtbank Gelderland zich recent geconfronteerd in een belastingzaak. Ja, dit is relevant voor de belasting omdat er verschillende btw-tarieven gelden voor losse diensten bovenop logies en voor de… Lees verder

Wanneer een juwelier een dure ring per post verstuurt, en de envelop komt leeg aan, dan is dat zijn risico. Dat haal ik uit een recent arrest uit Den Bosch inzake een geschil tussen een Nederlandse webwinkelier en een Duitse consument. Die laatste had de ring via de website Catawiki gekocht, maar constateerde (samen met… Lees verder