Je kunt niet zomaar verwachten dat je werknemers in hun AFAS berichtenbox kijken

Photo by Andersen Jensen on Unsplash

Het blijft voor rekening en risico van verwerende partij dat de inhoud van de aanzeggingsbrief (via het online systeem) verzoekende partij niet heeft bereikt. Zo opende een recent gepubliceerd vonnis over een arbeidszaak waarbij berichten via het bekende AFAS Insite werden gecommuniceerd.

De werknemer had een jaarcontract gekregen, en sinds een tijdje is het daarbij wettelijk verplicht om aan te zeggen of je deze gaat verlengen of niet. Doe je dat niet, dan krijgt de werknemer een extra maandsalaris. Het bericht dat niet werd verlengd, werd weliswaar op tijd verzonden, maar via Insite en dat stelde de werknemer niet te hebben gekregen.

De wet eist dat zo’n mededeling expliciet en schriftelijk is, en daar was geen discussie over. Echter:

[T]ussen partijen is wel in geschil of [werkgever] heeft voldaan aan de informatieplicht uit dit artikel, omdat tussen hen vast staat dat [werknemer] de via AFAS Insite verzonden brief niet heeft geopend en gelezen. Daarmee heeft de inhoud van de brief [werknemer] niet bereikt, terwijl dat op grond van de ontvangsttheorie uit artikel 3:37 lid 3 BW wel vereist is om haar werking te hebben.
Gelezen hebben is dus geen juridische eis, hij moet je hebben “bereikt” oftewel binnen jouw macht zijn gekomen. Een WhatsApp-bericht met twee blauwe vinkjes is bijvoorbeeld genoeg. Maar let wel, de afzender moet gewoonlijk bewijzen dat het bericht de ontvanger heeft bereikt.

De casus komt dus neer op de vraag: had de werknemer moeten weten dat AFAS Insite de plek was waar HRM-gerelateerde berichten worden gedeponeerd? Daar bleek niets expliciet over te zijn afgesproken of gecommuniceerd. Er was wel gezegd dat je een digitaal personeelsdossier zou krijgen en elektronische loonstroken, maar niet dat communicatie via je dossier zou lopen.

Daarnaast is niet komen vast te staan dat er gedurende het jaar vaker berichten via AFAS Insite aan [werknemer] zijn gecommuniceerd. Dat dat is gebeurd, heeft [werkgever] – na vragen van de kantonrechter – niet met zekerheid kunnen zeggen. Op basis daarvan had [werknemer] dus ook niet hoeven te begrijpen dat dit het communicatiemiddel was. Daarnaast staat vast dat [werknemer] geen melding ontving dat er een document voor hem klaar stond in AFAS Insite, als hij AFAS Insite niet opende.
Met name die laatste is voor mij een zware: als jij in je mail een bericht krijgt dat er een bericht klaar staat in Uw Jouw Mijn Berichtenbox, dan zou je als goed werknemer eens moeten gaan navragen wat dat dan is, AFAS Insite. En dan had HR je dat verteld, en dán komt bij jou de taak om regelmatig te monitoren.

Ik ben eerlijk gezegd een tikje verbaasd dat de werkgever kennelijk nooit actief had gezegd “formele HR berichten vind je vanaf vandaag in AFAS”. Mogelijk is dit blijven liggen bij de algemene introductie – je dossier staat hier, je loonstroken staan daar – omdat niemand op het idee kwam dat de AFAS berichtenbox niet als vanzelf bekeken zou worden.

Arnoud

 

TikTok hervat dienstverlening in de Verenigde Staten na kortstondig verbod

Photo by cottonbro studio on Pexels

TikTok hervat zijn diensten in de Verenigde Staten, las ik bij Tweakers. Dit na zo’n 24 uur offline te zijn geweest vanwege een wettelijk verbod. President Donald Trump heeft gemeld een executive order uit te geven om het verbod uit te stellen zodat het proces van verkopen door kan gaan.

De Protecting Americans from Foreign Adversary Controlled Applications Act (PAFACA) is in april 2024 aangenomen. Deze bepaalt dat de president socialemediadiensten als “foreign adversary controlled application” mag aanwijzen, waarna die binnen 270 dagen verkocht moeten worden aan een partij die geen “foreign adversary” is. (Die term komt dan weer uit exportwetgeving.)

De wet noemde expliciet Bytedance en Tiktok als voorbeelden van zulke diensten, en dat had een groot voordeel bij de onvermijdelijke rechtszaak. Omdat de wetgever nu Bytedance had aangewezen, mag je vermoeden dat daar een uitgebreide afweging in zit vergeleken bij situaties dat de president in z’n eentje bedrijven mag aanwijzen:

The provisions of the TikTok law, the court explained, are instead subject to a less rigorous test, known as intermediate scrutiny, which requires courts to look at whether the provisions of the law advance an important government interest that is not related to the suppression of free expression and do not restrict substantially more speech than is necessary to do so. The TikTok provisions satisfy that test, the court concluded. There is no dispute, the court wrote, that the government “has an important and well-grounded interest in preventing China from collecting the personal data of tens of millions of U.S. TikTok users.”
Behalve de NOS (“Hard bewijs daarvoor ontbreekt”) ken ik eigenlijk niemand die serieus twijfelt aan de dataverzamelingspraktijken door Tiktok. Het opmerkelijke is vooral dat de hoeveelheid en soort data niet echt bijzonder is. Iedere socialemediadienst verzamelt zulke gegevens.

De drukte in de VS komt natuurlijk omdat deze keer het niet zij zelf zijn, maar het machtige China. Ook zorgen over potentiële propaganda bij de volgende verkiezingen (aangenomen dat die er komen) wogen zwaar mee bij het wetsvoorstel.

De wet is ondertussen aangenomen, en die 270 dagen zijn verstreken. Er is een bepaling dat de president die termijn met 90 dagen mag verlengen als deze kan beloven dat er goede voortgang is:

(A) a path to executing a qualified divestiture has been identified with respect to such application; (B) evidence of significant progress toward executing such qualified divestiture has been produced with respect to such application; and (C) there are in place the relevant binding legal agreements to enable execution of such qualified divestiture during the period of such extension.
Dit is dus de grond waarop Trump zijn bevel baseert. Juridisch kun je je afvragen welk pad naar verkoop er nu dan is dat er vrijdag nog niet was. Ook is onduidelijk of de wet wel toestaat dat de 270-dagentermijn wordt verlengd nadat deze is verlopen, want normaal verleng je dingen vóór ze zijn afgelopen. Maar als je wetgevende en rechterlijke macht daar flexibel in zijn, dan kan er veel.

Arnoud

Hoe bescherm ik mijn idee tegen claims van mijn werkgever?

Photo by Nick Fewings on Unsplash

Via Reddit:

Mijn werk ligt in het bedenken, ontwerpen en het begeleiden van de productie & testen van “klantspecifieke toepassingen”. Het duurt gemiddeld meer dan 8 jaar bij de werkgever voordat iemand zelfstandig zo’n toepassing kan ontwerpen vanwege de hoge complexiteit op meerdere technische disciplines. … Ik ben er van overtuigd dat ik een generator kan programmeren die 80% van de ontwerpen kan afvangen en een reductie van 60% van het jaarlijks aantal engineeringsuren kan bewerkstelligen. … Als ik in mijn eigen tijd deze generator ontwerp en het toch anders loopt dan verwacht als ik hiermee aan kom bij werkgever. Hoe zorg ik er dan voor dat werkgever deze niet opeist mits het tot een rechtsgang komt?
Het komt vaker voor dat mensen ergens werken waar een bepaald proces handmatig gebeurt en al jaren nooit de moeite is genomen om dit te automatiseren. Dat kan zijn omdat men niet weet hoe, er geen tijd/geld voor heeft of de meerwaarde er niet van inziet. Maar dat wil niet zeggen dat als jij dat dan ineens ongevraagd gaat bouwen, het je “eigen” idee is.

Basisregel uit het IE-recht is dat wat werknemers bedenken of maken, eigendom wordt van de werkgever. Althans, als het redelijkerwijs verbonden is met het werk. Nadrukkelijk niet relevant is of je het onder werktijd dan wel in eigen tijd maakte, op eigen hardware dan wel de werklaptop of op instructie dan wel eigen initiatief.

Wat is dan “redelijkerwijs verbonden”? Dat hangt een beetje van het recht af, maar grofweg komt het er op neer of de werkgever je hád kunnen instrueren dit te gaan maken. Als dat een rechtmatige instructie was, dan is het ook van de werkgever als je het zonder had gemaakt.

Deze poster werkt aan het ontwikkelen van bepaalde toepassingen, en dat moet handmatig gebeuren. Een generator die je eigen werk versnelt, ligt voor mij zó dicht bij het eigenlijke werk dat ik altijd wel die verbinding zie. Er is dus geen ruimte om te claimen dat zo’n generator auteursrechtelijk (of octrooirechtelijk) van jou is.

Natuurlijk kun je je werkgever vragen of je dit als eigen hobbyproject mag doen. Ik blogde in 2020 over hoe je dat afspreekt, maar de voorvraag is natuurlijk waarom je werkgever dat zou willen toestaan. Van iets dat automatiseert dat nu (kennelijk) 8 jaar handwerk is, kan ik me voorstellen dat de werkgever niet wil dat de concurrent er toegang tot heeft.

Arnoud

 

 

Mag ik ondertussen data in de cloud zetten als die fysiek in Europa blijft?

Een lezer vroeg me:

Het is 2025 en ik heb duidelijkheid nodig. De AVG zegt dat persoonsgegevens niet zonder aanvullende waarborgen naar een niet-Europese partij mogen worden doorgegeven. Als ik bij een cloudprovider zoals bijvoorbeeld Amazon AWS of Microsoft Azure gebruik maak van region in Europa, wat betekent dat de servers fysiek in Europa staan, voldoe ik dan gewoon aan deze regel?
De AVG stelt inderdaad strenge eisen aan ‘doorgifte’, iedere handeling met persoonsgegevens waardoor ze buiten een EU/EER land komen. Het maakt daarbij niet uit of je doorgeeft aan een verwerker of een verwerkingsverantwoordelijke.

Overigens is de AVG niet de enige: ook bij niet-persoonsgegevens gelden er vanaf 12 september regels over doorgifte van data naar buiten de EU, wanneer dat in strijd is met andere EU regels. Dit volgt uit de Data Act (Verordening 2023/2854) die vanaf die datum van kracht wordt.

Aan dergelijke doorgifte kleven twee kanten, de praktische en de formele. Het makkelijkst te regelen is de formele. Je spreekt af dat de data niet buiten de EU/EER mag komen, en dat de ontvanger de Europese wet- en regelgeving zal respecteren. Dit is bijvoorbeeld de EU Data Boundary van Microsoft, het contractuele raamwerk waarmee Microsoft garandeert dat EU data binnen de grenzen van de Unie blijven. Amazon heeft ook iets dergelijks.

Wie de juiste set papieren doorloopt, de afspraken reviewt en de juiste kruisjes bij de juiste opties zet, heeft formeel de doorgifte goed afgeschermd.

De praktische kant is iets ingewikkelder, en dat zie je al meteen aan termen als “behoudens bijzondere gevallen” in die MS belofte. (Andere aanbieders hebben dit net zo goed, Amazon houdt het bij “or to comply with law”.) Soms moet data toch naar de VS, denk aan klantenservice of incidentanalyse na een cyberaanval. Of omdat de Amerikaanse justitie dit eist.

Of en in hoeverre die laatste eis mag, is nog steeds onderwerp van héél veel discussie. De Amerikaanse CLOUD Act staat daarbij centraal. Al in 2022 stelde ons NCSC dat “data en (persoons)gegevens die in Europa worden verwerkt en opgeslagen, en dus in beginsel in Europa zijn en blijven, [soms vallen] onder Amerikaanse wetgeving en kunnen door de Amerikaanse overheid worden opgevraagd op basis van de CLOUD-Act.”

Het lastige aan deze discussie is wanneer sprake is van ‘soms’, met name als het gaat om een Europees dochterbedrijf dat zich nadrukkelijk niet op de Amerikaanse markt richt en organisatorisch onafhankelijk binnen het concern opereert. Die dochter is dan niet aan Amerikaanse jurisdictie onderworpen, en bovendien onder de AVG verboden om mee te werken aan Amerikaanse bevelen (art. 48 AVG). Maar de moeder (Microsoft Inc in Seattle, Washington) is dat natuurlijk wel – en die zou druk op de dochter kunnen uitoefenen, of de directie ontslaan en een gewilliger setje installeren.

Daar staat dan weer tegenover dat het de core business van het bedrijf is om EU compliant te opereren. Dus er is dan ruimte voor tegendruk, zeker omdat die Europese directeuren geen zin hebben in claims van Europese toezichthouders. En de directie vervangen gaat hoe dan ook flink opvallen.

Natuurlijk, technische trucs kunnen altijd. Men kan een achterdeur in de onderliggende software hebben gebouwd, zo subtiel dat de ISO auditor het niet gezien heeft. Men kan dataleidingen voorzien hebben van een aftakking naar de VS, om zo stiekeme kopietjes te trekken. En ook organisatorisch: men zou een Amerikaanse expat-systeembeheerder persoonlijk onder druk kunnen zetten om die kopie te trekken.

Maar dan komen we buiten het juridisch kader waar je redelijkerwijs over na moet denken, en meer in de sfeer van cybercriminaliteit binnen de organisatie. Want laten we wel wezen: wat is dan nog het verschil met een systeembeheerder die van een Colombiaans kartel die kopie moet trekken of een achterdeur gebouwd door Cozy Bear? Tegen beiden moet je je wapenen, en dat lost dan meteen dat (in de EU écht illegale) gedrag van de moedermaatschappij op.

Wat mij betreft is het antwoord dus: als jij zaken doet met een Europees bedrijf – dochter van een Amerikaans concern of niet – en de data blijft fysiek in de EU met waarborgen tegen aftappen en stiekeme kopietjes, dan zit je van de Europese regelgeving goed. Waarbij meehelpt dat juristen dan mogen zeggen: en als dat niet zo is, dan zat je in ieder geval samen met iedereen fout. Want dat maakt het minder erg.

Arnoud

Een webshop mag je niet verplichten te zeggen of je De Heer dan wel Mevrouw (laat staan Mejuffrouw) bent

Photo by Magda Ehlers on Pexels

Je geslacht is objectief irrelevant bij het aankoopproces in een webwinkel. Je zou zeggen dat dit een open deur is, maar toch was het Hof van Justitie nodig (zaak C-394/23) om te bepalen dat het eisen van iemands aanspreekvorm niet objectief noodzakelijk is in een commerciële transactie. Bij deze dan.

Ik had iets dergelijks al in 2018 gesteld:

Onder de AVG geldt het principe van dataminimalisatie: je mag niet meer persoonsgegevens gebruiken dan je strikt nodig hebt om je doel te halen. Vanuit dat principe mag je dus ook niet meer vragen dan wat je nodig hebt. … De geboortedatum van de klant is typisch zo’n element. Hoe belangrijk is het dat je weet wanneer je klant jarig is, of dat je weet hoe oud deze is? Ik kan eigenlijk nauwelijks een scenario bedenken waarin je dat móet weten.
Hetzelfde geldt voor de aanspreekvorm. Het is natuurlijk leuk en beleefd om “Geachte heer Engelfriet, uw leggings maat 38 zijn weer op voorraad” te kunnen zeggen. En ik snap ook dat je in Amerika ontwikkelde webshopsoftware gewoon Mr/Mrs in een verplichte dropdown heeft en dat jij ook niet weet hoe je dat aan moet passen. Maar echt nodig is het niet.

In het arrest bevestigt het Hof dat het gaat om “noodzaak” en dat dit een hoge lat is. “Nuttig” of “gebruikelijk” is bij lange na niet hetzelfde:

Volgens de rechtspraak lijkt de personalisatie van de inhoud immers niet noodzakelijk om een klant diensten aan te bieden wanneer hem, in voorkomend geval, voor deze diensten een gelijkwaardig alternatief kan worden verstrekt waarvoor een dergelijke personalisatie niet nodig is, zodat deze niet objectief onontbeerlijk is voor een doel dat integrerend deel uitmaakt van die diensten.
In dit geval kun je prima volstaan met genderneutrale aanduidingen, zoals “Geachte Arnoud Engelfriet”. Ook “generieke, inclusieve beleefdheidsformules die geen verband houden met de veronderstelde genderidentiteit van de klanten” zoals het beroemde “Beste reizigers” van onze NS zijn altijd mogelijk.

De Franse spoorwegen (tegen wie de zaak liep) hadden echter nog een inhoudelijk argument waarom het soms wél noodzakelijk was:

namelijk de vervoersdiensten aanpassen voor nachttreinen, met wagons die zijn voorbehouden aan personen met eenzelfde genderidentiteit, en bijstand verlenen aan passagiers met een handicap. Volgens SNCF Connect is het voor deze aangepaste vervoersdiensten noodzakelijk om de genderidentiteit van de betrokken klanten te kennen.
In de Franse nachttrein is het namelijk mogelijk een sleepercoupé voor vrouwen te boeken. Dan moet je natuurlijk wel weten dát je met een vrouw te maken hebt. Het Hof vindt het dan alleen om bij iedereen op voorhand te vragen of ze man of vrouw zijn; dit kun je ook doen nadat iemand “Espace Dame Seule” aanvinkt.

Praktische oplossing: laat je webdeveloper “Wil ik niet zeggen” toevoegen aan die dropdown – en dan gelijk “mejuffrouw” eruit.

Arnoud

 

Je mag niet zeuren om schriftelijke opzegging als je weet dat je klant heeft opgezegd

Photo by Annie Spratt on Unsplash

Vrijwel iedere ondernemer heeft het in de voorwaarden: opzegging dient schriftelijk te gebeuren. Handig als bewijs, maar soms ook leuk om de klant aan te wrijven. Nee, u had me wel gebeld/gechat maar nooit een mail gestuurd, dus hierbij de factuur voor de verlenging, helaas ja sorry. Rechters accepteren dat lang niet altijd, zoals ook in dit arrest over ict-dienstverlening.

In 2016 hadden de partijen een overeenkomst gesloten voor levering van een softwareapplicatie. Deze liep af in 2021 maar zou worden verlengd (met steeds 5 jaar) behoudens schriftelijke opzegging. Nadat de klant in 2020 meldde te willen opzeggen, is een tijdelijke verlenging afgesloten, met als doel de klant

extra tijd te gunnen om tot een gedegen afweging te komen voor een strategische keuze voor een organisatie brede applicatie welke toekomstbestendig is.
Wat ik – cynisch als ik ben – lees als, we willen niet dat je weggaat dus blijf nog even zitten en dan hoop ik dat je van gedachten verandert.

Die verlenging had wel een addertje:

Wanneer deze overeenkomst niet tijdig (voor 1 oktober 2021) wordt opgezegd loopt deze automatisch door voor de overeengekomen periode in de hoofdovereenkomst.
De klant besloot in die verlengingsperiode toch met een andere partij verder te gaan, en verzocht de leverancier mee te werken aan een overdracht. Wat niet in dat verzoek stond, was de formele zin “bij deze zeg ik de overeenkomst op”.

Het Hof begint met de vraag waarom we ook weer schriftelijkheidseisen hebben. Dat is vrij simpel:

Een dergelijk schriftelijkheidsvereiste heeft tot doel om te voorkomen dat bij partijen onduidelijkheid bestaat over de vraag of en zo ja op welke datum is opgezegd.
Als die onduidelijk er om andere redenen niet is, dan is er geen reden meer om alsnog te hameren op een schriftelijk stuk. Oftewel: als je al wéét dat en wanneer de klant weggaat, dan mag je niet meer een brief verlangen waarin dat nog een keer staat.
Door in het kader van dat selectieproces mondeling op 4 juni 2021 aan [leverancier] mee te delen dat zij niet de partij zou zijn die de nieuwe applicatie mocht gaan leveren en daarna op 8 juni 2021 een e-mail te sturen over de gewenste samenwerking met [leverancier] voor de overgang naar de nieuwe applicatie van een andere partij, heeft [afnemer] er geen twijfel over laten bestaan wat haar bedoeling was.
Dat ze het had begrepen, volgt ook uit wat er daarna gebeurde: men stuurde een offerte voor read-only toegang tot de applicatie, want dat zou nodig zijn voor het overgangstraject. Dat doe je alleen als je weet dat de klant over gaat naar een andere leverancier, immers.

Natuurlijk is er discussie mogelijk over hoe iemand iets bedoelt. Maar dat vertaalt zich eerder naar de plicht even navraag te doen (“wil je echt weg, of is dit ter oriëntatie?”) dan om te blijven zitten en gewoon een factuur voor opnieuw 5 jaar te sturen.

Arnoud

 

Mag een promocodedienst stiekem commissie vangen als je deze gebruikt?

Photo by Ron_Hoekstra on Pixabay

PayPal Honey neemt geld af van adverteerders en biedt klanten niet altijd wat de dienst belooft, meldde Tweakers net na de kerst. Zo krijg je minder korting dan je voorgeschoteld werd, en worden affiliate-vergoedingen van adverteerders afgeroomd doordat Honey de onderliggende codes verandert. En dan nu de vraag: is dat strafbaar eigenlijk?

De dienst PayPal Honey is een coupondienst: ze sprokkelen internet af op zoek naar kortingscodes, en als jij (met hun plugin gewapend) ergens wat koopt, krijg je relevante coupons voorgeschoteld. Korting, altijd leuk, en Honey verdient er ook wat aan: zij voorzien jouw aankoop van een zogeheten affiliatecode, zodat de winkel hen een kickback geeft voor de klant.

Naast de klacht dat Honey lang niet altijd de beste kortingscodes heeft (en vaak met ‘eigen’ kortingen komt in plaats van een betere) gaat het hier over de klacht dat Honey eventuele bestaande affiliatecodes vervangt door de hare. Wanneer iemand een review van een product plaatst, kan die daar ook zo’n code aan hangen, zodat zhij voor mensen die dankzij de review besluiten te kopen ook een kickback krijgt.

Wat Honey dus doet, is die bestaande code vervangen door de eigen. Logisch vanuit haar businessmodel, maar erg vervelend voor die reviewer die uiteindelijk óók daarmee het geld moet verdienen.

Dit probleem is niet nieuw natuurlijk. Het kon al veel langer gebeuren dat er twee partijen waren die een product aanraadden: een review hier en een overzichtssite daar. Die geven dan beide zo’n code mee (via een cookie), en de webwinkel wil natuurlijk maar één keer de affiliatevergoeding betalen.

De best practice in de markt is dan “last-click attribution”, de laatste partij waar je geweest was voordat je bestelde krijgt de vergoeding. Dit is waar Honey zich op beroept als verdediging. Maar die praktijk is natuurlijk ontstaan onder marketingsites waarbij de ene keer de een wint en de andere keer de andere. Hier pakt Honey altijd die laatste klik, dat dwingen ze zelf af met hun plugin.

Strafbaar is dat niet, althans ik kan geen artikel bedenken uit het wetboek van strafrecht. Termen als diefstal of oplichting liggen voor de hand, maar zijn vooral emotie en niet zozeer een juridische kwalificatie. Al is het maar omdat de praktijk van het vervangen van andermans affiliatecode gangbaar is.

Is het misleidend, zodat bijvoorbeeld de ACM kan optreden? Daar twijfel ik over. Want de consument merkt niet dat dit gebeurt, het afrekenen met Honey of de marketingwebsite gebeurt buiten hem of haar om en dan ben je zo ongeveer alle regels van de oneerlijke handelspraktijk al kwijt.

Ik zie heel misschien een lichtpuntje in punt x van de zwarte lijst (art. 6:193g BW):

het verschaffen van zoekresultaten in reactie op een online zoekopdracht van een consument zonder duidelijk aan te geven dat het een betaalde reclame betreft of er een betaling is gedaan die specifiek was bedoeld om een hogere rangschikking voor producten te verkrijgen;
De vermelding in Honey zou dan een “zoekresultaat” moeten zijn, waarbij Honey dan niet duidelijk is dat zij betaald krijgt van de webwinkel en het dus een betaalde reclame is. Dit gaat me wat ver, met name omdat Honey niet zelf zoekresultaten toont maar bij een door jou gezocht product zegt “met deze coupon krijg je 10% korting”.

Natuurlijk heb je ook nog de open norm: iedere handelspraktijk kan oneerlijk zijn (art. 6:193b BW). Alleen is daarvoor vereist dat de consument er last van heeft, “het vermogen van de gemiddelde consument om een geïnformeerd besluit te nemen merkbaar is beperkt of kan worden beperkt”. En dat gebeurt gewoon niet met deze truc.

Arnoud

 

Een duim omhoog appen kan een bindende rechtsverklaring zijn, zegt rechtbank Saskatchewan

Photo by Rowen Smith on Unsplash

Het Hof van Beroep van Saskatchewan (Canada) heeft een eerdere beslissing bekrachtigd dat een duim-omhoog-emoji een bevestiging was van een contract tussen twee agrarische bedrijven. Dat meldde CBC News eind december. Wel woog mee dat de twee bedrijven al een lopende zakelijke relatie had, zodat je eerder van gewekt vertrouwen kunt spreken.

Ik blogde over de uitspraak in 2023:

The matter came to court after Mr Achter failed to deliver 86 tonnes of flax that grain buyer Kent Mickleborough was looking to purchase in 2021, prompting Mr Mickleborough to take legal action.
Als ik meen 86 ton vlas te mogen leveren en daarvoor betaald te krijgen, dan stap ik ook wel naar de rechter. Traditioneel laat je dan een ondertekend stuk papier zien, maar juridisch hoeft dat natuurlijk niet: een overeenkomst komt tot stand door aanbod en aanvaarding, wat op iedere manier kan gebeuren. Ook in Canada.
De communicatie hier verliep via WhatsApp, waarbij de ene partij appte “please confirm flax contract” en de ander daar de “thumbs-up” emoji als reactie op stuurde. Het Hof van Beroep signaleert heel slim dat daar natuurlijk ook metadata bij zat, zoals het telefoonnummer van de afzender.

Het probleem: hoe moet je die duim omhoog opvatten? Inderdaad ligt “ik stem in met het contract” voor de hand, maar dat duimpje sturen mensen óók vaak om te zeggen “ik heb dit gelezen en ga het doen #komtgoed”. Dat laatste is dan niet meer dan een ontvangstbevestiging dat het contract gelezen gaat worden.

De rechter in eerste aanleg had geconcludeerd dat in dit specifieke geval het duimpje omhoog als aanvaarding van het contract moest worden opgevat. Dit afgaande op de woordenboekbetekenis van de emoji van “assent, approval or encouragement in digital communications”. Maar ook woog mee dat de wederpartij wel vaker heel kort reageerde:

It is important to note that each time [Mr. Mickleborough] added to the offered contract “Please confirm terms of durum contract” and [Mr. Achter] did so by succinctly texting “looks good”, “ok” or “yup”. The parties clearly understood these curt words were meant to be confirmation of the contract and not a mere acknowledgement of the receipt of the contract by [Mr. Achter]. There can be no other logical or creditable explanation because the proof is in the pudding. [Mr. Achter] delivered the grain as contracted and got paid.
Als je meerdere keren “yup”-achtige termen appt op een contractsvoorstel en vervolgens het contract nakomt, dan bedoel jij met die termen dus “ik aanvaard het aanbod”. Dan kun je niet een volgende keer zeggen dat je alleen maar “ik ga het lezen en laat je weten” bedoele met een equivalente korte term.

Arnoud

 

Als je afspreekt backups te maken, dan zijn niet-gemaakte backups echt voor jouw rekening (ongeacht je algemene voorwaarden)

Photo by Markus Spiske on Pexels

“Leverancier [zal] met inachtneming van de schriftelijk overeengekomen periodes, en bij gebreke daarvan eens per week, een volledige back-up maken van de bij hem in bezit zijnde gegevens van klant.” Toen ging de backup mis en eiste de klant een half miljoen aan schadevergoeding. Kan Leverancier zich dan beroepen op de beperking van aansprakelijkheid uit de voorwaarden?

De klant had met de leverancier gecontracteerd voor ICT beheer bij diverse van haar vestigingen. Daarbij hoorde “Dagelijkse back-up controle” als ict-dienst, en apart gecontracteerd was wekelijks een volledige backup maken. Dit alles voor €150.000 per jaar.

Zoals dat gaat in de ict ging er op zeker iets mis:

Op 3 oktober 2024 bleken na een verdere analyse meerdere servers gecrasht en defect. [Leverancier] heeft de gecrashte servers vervangen, opdat back-ups daarop konden worden geplaatst. Tijdens het herplaatsen is duidelijk geworden dat er sinds juli 2022 geen back-up is gemaakt van de nieuwe server, met als gevolg dat alle data van de nieuwe server vanaf juli 2022, die door de crash verloren zijn gegaan, niet teruggeplaatst konden worden maar definitief verloren zijn gegaan.
Nee, die 2022 was geen typefout:
Vast staat dat de server waar de oude versie van het ERP-systeem op draaide één van de servers was waarvan [leverancier] conform de overeenkomst back-ups maakte. Na de vervanging van deze server door [leverancier] (zie 2.6), is [leverancier] abusievelijk gedurende een jaar lang back-ups blijven maken van de oude server die fysiek niet was verwijderd maar niet langer een functie had. Van de gegevens op de nieuwe server heeft [leverancier] geen back-ups gemaakt.
Diverse lezers zien “ERP-systeem” en schrikken zich nu rot. Want inderdaad is dat een bedrijfskritisch proces, de bedrijfsvoering en het productieproces van de klant ligt nu (gedeeltelijk) stil. En dat is iets dat zeker meeweegt als je als ict-beheerder optreedt.
De voorzieningenrechter acht het dan ook onbegrijpelijk dat [leverancier] in haar hoedanigheid van ICT-beheerder van [klant], na de vervanging van de server waarop dit ERP-systeem draaide, back-ups is blijven maken van de oude server, die niet meer in gebruik was, en geen back-ups heeft gemaakt van (de mutaties op) de nieuwe server. Anders dan door een menselijke fout is dit niet te verklaren.
Wanprestatie dus. Maar zoals vrijwel iedereen in de ict had ook deze leverancier algemene voorwaarden met daarin een stevige exoneratie. Alleen “directe schade tot maximaal het bedrag van de voor die overeenkomst bedongen prijs” van het afgelopen jaar kwam voor vergoeding in aanmerking. [Pet peeve: ‘directe schade’ is geen Nederlands juridisch begrip]

Kun je je daarop beroepen in zo’n situatie? Normaal wel, het zijn twee grootzakelijke partijen en die mogen zo ongeveer alles afspreken dat ze willen over ict-dienstverlening. Maar dat voelt hier wel héél onbillijk. En dat triggert artikel 6:248 lid 2 BW:

Een tussen partijen als gevolg van de overeenkomst geldende regel is niet van toepassing, voor zover dit in de gegeven omstandigheden naar maatstaven van redelijkheid en billijkheid onaanvaardbaar zou zijn.
De belangrijkste omstandigheid die de rechter hier laat meewegen is dat het maken van backups een kernverplichting is van de leverancier. Die term verwijst naar afspraken die de essentie van de overeenkomst raken: dit is waar je voor betaalt, dit is wat je afgesproken had, hoezo mag je dít nalaten zonder dat dat gevolgen heeft?

Ook weegt mee dat het bedrag dat onder die AV moet worden betaald, niet in verhouding staat tot de werkelijke schade. Dit wordt niet uitgespeld maar lijkt te gaan om het verschil tussen € 29.187 wegens uitval productielijnen en € 368.861,73 dat de rechter uiteindelijk toekent. Hadden de AV een plafond van zeg anderhalve ton ingesteld, dan was de discussie mogelijk anders verlopen.

Arnoud

De woningstichting wil deursloten vervangen met app, mag dat?

Iloq elektronisch slot

Via Reddit:

Ik woon in een studentenhuis met eigen kamer en een gemeenschappelijke voordeur. De huurbaas/Woningstichting stuurt ons vandaag een mail met het bericht dat zij van plan zijn de voordeursloten te veranderen voor digitale sloten, bediend door een app. Hier hebben wij verder geen inspraak of aankondiging op gehad.
De vraagsteller denkt dat het om sloten van het merk iLoq gaat; “toonaangevende, modulaire software en diensten voor al uw toegangsbehoeften” aldus de ronkende website. Een unieke toegangsbehoefte is dat je geen fysieke sleutel meer hebt, maar alleen een “breed scala aan slimme toegangsfuncties” met een app op je telefoon.

Het eerste wat je je dan kunt afvragen is wat er gebeurt als je batterij leeg is net op het moment dat je dringend naar buiten moet. Zoals bij een brandalarm, om eens wat te noemen. Wie kan vinden waar staat dat deze sloten van binnenuit zonder app te openen zijn, ik hoor het graag.

Ook interessant zijn de vele slimme rond toegang gegroepeerde behoeftes, zoals deze:

Houd actuele informatie bij over wie waar en wanneer toegang heeft. Gebruik audittrailrapporten om gevallen van onbevoegde toegang te voorkomen of te helpen oplossen.
In het Nederlands: dit slot houdt bij wie wanneer het slot open deed, en dat kun je correleren aan bevoegd en onbevoegd gebruik. Je kunt bijvoorbeeld een code geven aan bezoek, die dan op jouw gezag naar binnen gaat. De beheerder kan dan terugzien dat er dinsdag om 14:23 iemand naar binnen is gegaan dankzij jouw autorisatie. Volgens het privacybeleid is iLoq daarbij de verwerker en de gebouwbeheerder de verwerkingsverantwoordelijke.

Een aanverwante zorg van de vraagsteller/huurder is dat hiermee de verhuurder naar binnen zou kunnen gaan. Dat is inderdaad een risico, maar niet anders dan met fysieke sleutels waar men immers ook een duplicaat of loper zou kunnen hebben. Het mag natuurlijk absoluut niet zonder toestemming.

Normaal vervang je dan de cilinder (en bewaar je de originele) en dan is binnengaan onmogelijk. Maar hier zou je dan een bijzetslot moeten plaatsen. En als je dat ook van buifenaf bedienbaar wil maken, dan moet je dus een slotgat in je deur maken en dát is even iets heftiger dan een schroef losmaken en de cilinder vervangen.

Binnen het huurrecht is een niet-afsluitbare toegangsdeur een gebrek categorie A7. Het gaat dan om aan twee zijden afsluitbaar zijn, niet alleen aan de binnenzijde (waar een schuif nog een doe-het-zelf optie zou zijn). Je kunt dus naar de huurcommissie, in theorie is hiermee de huur tot 20% te verlagen totdat de verhuurder een deugdelijk slot heeft geplaatst.

Alleen: ís het wel een ondeugdelijk slot? De privacy policy leest solide, de verhuurder zal beleid overleggen dat niet binnengetreden wordt zonder toestemming of uitzonderlijke situatie en er zit een CE keurmerk op de slotelementen. Dan blijven theoretische speculaties over onveiligheid over, en daar kom je niet zo ver mee.

Ook dat van naar buiten bij brand is niet doorslaggevend. Ik lees dat iLoq speciale dingesen verkoopt die hetzelfde werken maar dan de vormfactor van een sleutel hebben. Die zouden tegen een redelijke meerprijs verstrekt kunnen worden, en hebben geen batterij nodig.

Ik realiseer me dat dit weinig opwekkend is, maar ik zie geen manier hier juridisch wat tegen te doen totdat het aantoonbaar een keer misgegaan is.

Arnoud