Internetrecht door Arnoud Engelfriet

Een lezer vroeg me:

Twee jaar geleden heb ik een fiets-GPS gekocht bij een online winkel. Na een door de fabrikant aangeraden update te hebben doorgevoerd, werkt het apparaat niet meer (“gebrickt”). Volgens de winkel moet ik het apparaat nu opsturen naar de fabrikant in Duitsland, wat mij ongeveer 20 euro zou kosten. Maar er zit drie jaar garantie op het ding, kan de winkel nu zo de verantwoordelijkheid verleggen?

Hoofdregel bij het consumentenrecht is dat je alleen zaken doet met de winkel, en niet met de fabrikant. Alle problemen met het apparaat moeten dus tussen jou en de winkel opgelost worden. Natuurlijk mag hij op de achtergrond terugvallen op de fabrikant (of importeur) maar dat is zijn keuze, en niet iets waar jij wat mee hoeft te doen.

Het moet wel gaan om een conformiteitsgebrek, oftewel een probleem dat in het apparaat zat waardoor het niet doet wat je was beloofd. Als je achteraf de kleur niet mooi vindt, of je wilde alsnog een kaart voor Oostenrijk, dan is dat natuurlijk geen gebrek aan het apparaat. De winkel hoeft dan niets te herstellen. Biedt de fabrikant dan een update zoals een apart te downloaden kaart, dan is dat jouw keuze en alle problemen dáár omheen zijn dan tussen jou en de fabrikant.

Hier gaat het om een update die fouten herstelt (zo mag u even van mij aannemen). Je zou dan denk ik wel kunnen spreken van een conformiteitsgebrek, er is iets mis in het apparaat en deze update herstelt dat. Gaat het mis met dat herstel, dan is dat het probleem van de winkelier. Zou je zeggen. Alleen: je hebt zelf die update gedownload zonder overleg met de winkel, dus dan voelt het wat raar om die vervolgens het probleem voor de voeten te werpen. Had je niet eerst naar de winkel moeten gaan en zeggen, het apparaat is nonconform, wilt u dat even gratis repareren op grond van de wet (art. 7:17 BW)?

Misschien ligt het toch anders omdat de wet mededelingen van de fabrikant als uitingen van de winkel aanmerkt (art. 7:18 BW):

Bij de beoordeling van de vraag of een op grond van een consumentenkoop afgeleverde zaak aan de overeenkomst beantwoordt, gelden mededelingen die door of ten behoeve van een vorige verkoper van die zaak, handelend in de uitoefening van een beroep of bedrijf, omtrent de zaak zijn openbaar gemaakt, als mededelingen van de verkoper (…)

Alleen gaat dit in principe om mededelingen voorafgaand aan de verkoop, zoals in reclame of brochures van de fabrikant. Want in de bijzin die ik had weggelaten, staat een uitzondering voor situaties dat “de koop niet door deze mededeling beïnvloed kan zijn.” Je kunt moeilijk verdedigen dat ik iets koop omdat er later een security update komt. Misschien dan afhankelijk van of de fabrikant ten tijde van de verkoop heeft gezegd, er komen 3 jaar lang security updates, of meer algemeen dat er updates komen die je zelf kunt installeren.

Ik twijfel. Het voelt ergens raar dat je naar de winkel kunt omdat een zelf gekozen update het apparaat brickt. Maar aan de andere kant, het is iets officieels dat je kreeg (zij het dat je het zelf ging halen) dus dan mag je verwachten dat de update doet wat hij belooft.

Arnoud

De servers en harde schijven van de Canadese failliete computerwinkel Netlink Computer Inc., of NCIX, werden te koop aangeboden zonder dat deze schoongeveegd waren. Op de systemen stonden onder andere details van creditcardbetalingen. Dat las ik bij Tweakers. De curator vond kennelijk dat dit mocht. Zou dit in Nederland een datalek zijn onder de AVG, of valt de curator daar buiten? Kun je als betrokkene nu een schadeclaim indienen bij de curator?

Het openbaar te koop aanbieden van harde schijven met daarop persoonsgegevens lijkt mij evident een datalek. Die persoonsgegevens komen dan op deze manier zonder adequate beveiliging bij derden terecht, waar ze kunnen worden gebruikt zonder toestemming of andere grondslag onder de AVG.

Het maakt voor de AVG niet uit of de verkoop gebeurt door het bedrijf zelf of door de curator die de boedel te gelde maakt. De definitie van een datalek kent geen onderscheid op dit punt.

Er kan een uitzondering zijn in het geval van een failliet bedrijf: wanneer de persoonsgegevens worden verkocht aan een partij die de bijbehorende bedrijfsactiviteit overneemt, dan is het géén datalek. Die partij heeft dan immers een grondslag om die gegevens te verwerken, namelijk het voortzetten van de dienstverlening (bij klantgegevens) of de arbeidsrelatie (bij werknemers). Hij moet dan weten wie de klanten of het personeel zijn, en dan mag hij dat krijgen van het oude bedrijf.

De curator kan er ook voor kiezen om het bestand gewoon aan de hoogste bieder te verkopen. Een klantenbestand met name heeft op zich waarde, die mensen kun je wellicht je eigen product verkopen of een paar jaar servicecontracten aansmeren op de spullen van het oude bedrijf.

Voor deze verkoop is de curator verwerkingsverantwoordelijke. Hij maakt immers deze keuze en stelt daarmee doel (en middelen) vast van de verwerking, de verkoop. Dan is de vraag welke grondslag hij daarvoor heeft. Zonder grondslag mag dit niet, dan zit je in de sfeer van een datalek.

Toestemming van betrokkenen is natuurlijk een mogelijkheid, maar dat is nogal bewerkelijk voor een curator lijkt me. In de praktijk zal hij zich dan ook altijd beroepen op een eigen gerechtvaardigd belang, namelijk geld binnenhalen voor de schuldeisers. Het is dan de vraag of de privacy van de betrokkenen hieronder mag lijden. Dit is de belangenafweging die je onder de AVG altijd moet maken. Gezien de aard van de gegevens en het feit dat het doel niet meer is dan “ik wil geld en het zal me verder een zorg zijn wat jij doet met die gegevens” zal dit niet eenvoudig zijn.

Daar komt bij dat onder het beginsel van doelbinding gegevens niet voor willekeurige andere doelen mogen worden ingezet dan waarvoor ze zijn verzameld. Ook niet als je een nieuwe grondslag weet te verzinnen. (Dit paper van advocaat Marianne Martens legt het veel beter uit.)

En zelfs als je dat allemaal rond krijgt, dan zul je nog steeds mensen vóóraf hierover moeten informeren en hen wijzen op hun rechten, met name hun recht om de gegevens gewist te krijgen. En als het gaat om beoogde direct marketing dan moet daar ook vooraf bezwaar tegen gemaakt kunnen worden.

Alles bij elkaar zie ik niet echt hoe een curator AVG-compliant klantenbestanden kan verkopen, behalve in het specifieke geval van een derde partij die daarmee garantieverplichtingen of dergelijke dienstverlening overneemt.

Arnoud

Verschillende grootwinkelbedrijven gebruiken telefoongegevens om te zien wie bij hun concurrenten over de vloer komt. Dat meldde het FD onlangs. De achterliggende techniek staat bekend als ‘geo-conquesting’ en komt erop neer dat je op basis van iemands locatie – specifiek, hij is bij de concurrent – een advertentie toont die bedoeld is om hem weg te lokken bij de concurrent. Dit matchen gebeurt op basis van IMEI- en dergelijke nummers uit de telefoon, of profielen van dienstverleners zoals Facebook of Google. En het zou niet in strijd zijn met de AVG. Wishful thinking, als je het mij vraagt.

Commercieel is het een best slimme truc, om mensen een aanbieding te doen om naar jou te komen terwijl ze net bij de concurrent dat wilden kopen. Het voorbeeld uit de FD is koffieketen Dunkin’ Donuts dat kortingscoupons voor koffie stuurt als je bij de Starbucks in de buurt bent. Google weet dat je daar bent, en kan dan die advertentie op dat moment vertonen. Veel relevanter en daardoor effectiever dan wanneer je in de trein zit of ’s avonds na het diner nog even wat nazoekt.

Twee dingen vallen daarbij op. Allereerst wordt gezegd dat dit niet in strijd is met de AVG, omdat er geen naam of adres nodig is, “ze hebben genoeg aan anonieme gebruikerscodes – user id’s – van telefoons”. Maar dat is geen argument. Onder de AVG is ieder gegeven een persoonsgegeven zodra het gekoppeld is aan een identificator, en dat begrip is veel breder dan iemands naam of adres. Een online identificator zoals een cookie of een uit de telefoon uitgelezen IMEI is gewoon een persoonsgegeven.

Opvallender vind ik deze passage:

Klanten geven er, al zullen ze het niet doorhebben, zelf toestemming voor dat adverteerders die data verzamelen. Wie commerciële app’s gebruikt, geeft toestemming om gebruiksinformatie te delen of te verkopen.

Dit is vanuit AVG-perspectief de grootst mogelijke onzin. Toestemming onder de AVG moet immers een vrije, specifieke, geïnformeerde en ondubbelzinnige wilsuiting zijn. Je kunt dus niet op voorhand voor van alles en nog wat toestemming vragen in algemene zin. Wie dus een spelletje installeert, en op basis daarvan wordt geprofileerd als een koffiedrinker zodat hij bij de Starbucks een bon voor de concurrent gaat krijgen, heeft daar geen toestemming voor gegeven. Ook al staat het honderd keer in de privacyverklaring en weet iedereen dat appbouwers ook geld moeten verdienen.

Wat wél kan, is dat deze advertenties op basis van de grondslag “eigen gerechtvaardigd belang” worden verstuurd. Dan is er geen toestemming nodig. Wel moet je informeren dat je dit doet en waarom jouw belang opweegt tegen de privacy van mensen. Ook moet er een opt-out mogelijkheid zijn (recht van bezwaar).

Het argument wordt dan, waarom weegt jouw commercieel belang op tegen de privacy. Direct marketing kunnen doen is een legitiem belang onder de AVG, het gaat er dus om hoe ver je mag gaan met welke reclame je stuurt en wanneer. Dat gaat hier best ver, het voelt nogal indringend dat je weet waar ik ben en daar een gericht aanbod op doet. En dat maakt dat het privacybelang erg zwaar zal wegen. Ik denk dus niet dat je het onder deze grondslag rond krijgt.

Arnoud

Jaren terug sprak ik een ondernemer die zonder algemene voorwaarden werkte. Nergens voor nodig, zei hij; de wet biedt al een mooi kader en bovendien als je inzet op kwaliteit en klanttevredenheid dan is er geen reëel risico. Die paar keer dat het misgaat, geef je mensen hun geld terug en dan is het verder… Lees verder

Een lezer vroeg me: Recent las ik deze hilarische blog (The Daily WTF) waarin een bedrijf een domeinnaam wilde verhuizen en alle security tokens had maar het niet voor elkaar kreeg omdat het verzoek niet op briefpapier was verstuurd. Een grap, maar ik weet dat het in all seriousness ook echt gebeurt. Waarom is dat?… Lees verder

Een lezer vroeg me: Mag een bedrijf via email zonder toestemming tracken of je de email opent en of op een link klikt om te voldoen aan een wettelijke verplichting die op het bedrijf rust? Het klinkt als een makkelijke vraag: als een bedrijf iets moet van de wet, dan mag men dat ook van… Lees verder

Een lezer vroeg me: Recent ben ik verhuisd van Denemarken naar Noorwegen. Na het uitpakken van mijn Nintendo Wii U bleek deze echter niet te werken, omdat het Nintendo Network ID in Denemarken was geregistreerd en volgens de EULA niet overgezet kan worden naar een ander land. Mijn beroep op het correctierecht uit de AVG… Lees verder

Een lezer vroeg me: Ik las dat Apple heeft een reparatieprogramma opgezet voor de iPhone 8. Op hun site kunnen gebruikers het serienummer van hun iPhone 8 invoeren, waarna verteld wordt of een toestel in aanmerking komt. Waarom doen ze dat niet automatisch? Ze weten met dat serienummer al wie je bent, je moet immers… Lees verder

Games die in Duitsland worden verkocht mogen voortaan hakenkruizen en andere nazisymboliek in beeld laten zien, meldde Nu.nl net voor mijn vakantie. De Duitse Unterhaltungssoftware Selbstkontrolle (USK, zeg maar de Duitse PEGI) die in Duitsland games van een leeftijdclassificatie voorziet, heeft haar regels bijgesteld, zodat games net als films en andere kunst hakenkruizen mogen laten… Lees verder

Deze en volgende week ben ik met vakantie. Daarom deze week een terugblik op populaire blogs van de afgelopen jaren, vanuit het perspectief van 2018. Deze week: Moet een koop op afstand in originele staat retour?, met een respectable 200 reacties en nog steeds tienduizenden views per jaar. Wie iets koopt bij een webwinkel, mag… Lees verder