LinkedIn-gebruikers verliezen cookiezaak wegens geven van toestemming

Photo by Rai Vidanes on Unsplash
Twee LinkedIn-gebruikers die het platform ervan beschuldigden dat LinkedIn zonder hun toestemming trackingcookies plaatste hebben een rechtszaak verloren omdat ze hier toch toestemming voor gegeven hadden. Dat las ik bij Security.nl. Het vonnis leest wat raar: het voelt onlogisch dat je procedeert terwijl je weet dat je ergens mee instemde.

Vorig jaar oordeelde de rechter nog dat Linkedin geen trackingcookies mocht plaatsen, op straffe van een dwangsom van 500 euro per cookie. Mogelijk dat deze personen daardoor getriggerd werden eenzelfde claim te doen, want die teller kan flink oplopen natuurlijk.

Punt in die vorige zaak was wel dat daar vast stond dat er géén toestemming was gegeven. Hier lag dat even anders:

LinkedIn heeft vervolgens bij de mondelinge behandeling van dit kort geding aangevoerd dat [eiser 1] en [eiser 2] voorafgaand aan 12 augustus 2024 (de datum van het door hen uitgevoerde initiële onderzoek) via de privacyvoorkeuren op het LinkedIn-platform toestemming hebben gegeven voor het plaatsen en uitlezen van alle cookies, waaronder ook cookies voor advertentieactiviteiten van LinkedIn.
Dit is dus waar het voor mij raar voelt. Een claim als deze baseer je op een ‘kale’ sessie, waarbij je geen toestemming geeft voor wat dan ook en dan constateer je dat je toch tracking cookies krijgt.

De enige lezing die voor mij enigszins begrijpelijk is, is dat ze op 12 augustus 2024 zo’n kale sessie hebben gedaan, maar daarvóór bij gewoon gebruik wel de toestemmingsknoppen hebben bediend. Toestemming kun je intrekken maar dat moet je wel doen. Als je dat niet doet, dan blijft deze van kracht ook bij nieuwe sessies.

Een ander argument was dat bij Linkedin de toestemmingsknoppen standaard op ‘ja’ staan, en dat je deze dus op ‘nee’ moet zetten. Oftewel een opt-out, en dat is in strijd met de wet. Maar daar was men te laat mee aan komen zetten.

Arnoud

Hoofdaanklager van ICC heeft geen toegang meer tot Microsoft-mail na sancties VS

Photo by Morgane Perraud on Unsplash

De hoofdaanklager van het Internationaal Strafhof in Den Haag kan zijn werk amper doen omdat hij geen toegang meer heeft tot zijn Microsoft-e-mail. Dat meldde Tweakers vrijdag. Bij de AP wordt gemeld dat de reden Amerikaanse sancties tegen het ICC zijn, deel van een pakket dat in februari is aangenomen. Hopelijk komt de discussie over digitale soevereiniteit nu eens echt op gang.

De sancties dateren uit februari, zo meldt AP:

Neither the U.S. nor Israel is a member of or recognizes the court, which has issued an arrest warrant for Israeli Prime Minister Benjamin Netanyahu for alleged war crimes over his military response in Gaza after the Hamas attack against Israel in October 2023. Tens of thousands of Palestinians, including children, have been killed during the Israeli military’s response.
De sancties zijn bedoeld om de “baseless arrest warrants” tegen Netanyahu ongedaan te maken. Diensten leveren aan een gesanctioneerde partij is in principe dan verboden naar Amerikaans recht, vandaar dat Microsoft de MS365 mailbox van de hoofdaanklager heeft opgeheven. (Hij werkt nu met Proton.)

Kan Europa hier wat tegen doen? MS bevelen dit ongedaan te maken? Dat ligt formeel wat ingewikkeld, omdat het Strafhof geen Europees orgaan is maar een VN-orgaan. Als een en ander wél onder EU-jurisdictie valt, dan is er sinds 1996 de mogelijkheid om via de Blocking statute een partij als Microsoft juridische bescherming te bieden zodat ze door kunnen gaan met levering.

Velen moeten natuurlijk denken aan eind april, toen Microsoft bekend maakte snel naar de rechter te zullen stappen als de Amerikaanse overheid Europese digitale veerkracht in gevaar zou brengen:

Brad Smith pledged during an event in Brussels on Wednesday to protect Microsoft’s European customer data and “agreed to challenge any government demand for EU public sector or enterprise customer data where we have a legal basis for doing so.”
Als jurist vind ik dit geen héle sterke bewering maar de uitspraak had natuurlijk de context van Amerikaanse bevelen tot toegang bij Europese data. En het ICC is geen Europese organisatie dus valt buiten de toezegging. Maar het doet wel vreemd aan, die twee dingen zo kort na elkaar.

De zaak laat voor mij vooral zien dat de juridische en de praktische werkelijkheid fors uit elkaar liggen. En dat de problemen acuut zijn: die stekker eruit is geen proces van maanden. Je probeert in te loggen en dat mag niet, en dat is het dan. Heb je dáár al een strategie voor?

Arnoud

 

 

 

Mag onze verwerker zijn eigen reclame toevoegen aan onze berichten?

Photo by Ramon Kagie on Unsplash

Een lezer vroeg me:

Wij gebruiken al een tijd een SaaS dienst voor interne ERP-diensten. Nu valt het me sinds kort op dat er soms reclame voor de leverancier gemaakt wordt in de berichten. Het zijn korte tekstjes, dus niet heel storend, maar het gaat me om het principe: mogen ze dat doen?
In de kern werken dit soort diensten allemaal hetzelfde. Iedere medewerker krijgt een eigen login, de huisstijl kun je in mindere of meerdere mate aanpassen naar je eigen stijl, maar de naam en branding van de dienst is vaak wel zichtbaar genoeg.

Regelmatig krijg je mails van zo’n dienst. Eigenlijk zijn dat altijd systeemberichten: er staat een taak voor je klaar, er is een nieuw bericht, review dit document, et cetera. Allemaal prima, en het versturen van die berichten past prima binnen het verwerkerschap dat deze dienstverlener heeft in het kader van de AVG.

Bij die reclameberichten voelt dat wat anders. Die horen niet bij de dienstverlening an sich, en het versturen daarvan neigt dan ook meer naar zelfstandig verwerkingsverantwoordelijkeschap. Men kiest zelf of die boodschap verzonden moet worden, welke boodschap en naar wie.

Tegelijkertijd: er worden geen aparte reclameberichten gestuurd, het gaat om twee à drie regels onderaan berichten die toch al verstuurd worden. Dit lijkt sterk op de situatie dat je inlogt en in het portaal dan een bericht krijgt zoals “Wil je ons laten weten wat je van SuperMegaERP vindt, klik hier voor de enqûete”.

Ik heb er moeite mee dit als bezwaarlijk te zien. Natuurlijk, heel formeel moeten ze dit aan de inkoopmanager of contractuele contactpersoon vragen. Maar nu komen ze bij de mensen die écht weten wat ze vinden van SuperMegaERP. En de grondrechten van die mensen komen nou niet echt in het gedrang specifiek door die twee extra regels.

Arnoud

Nintendo kan Switch bricken in VS als gebruiker overeenkomst schendt, mag dat ook bij ons?

Photo by Tim Mossholder on Pexels

Nintendo heeft volgens de nieuwe gebruikersvoorwaarden voor een Nintendo-account het recht om bijvoorbeeld een Switch te bricken als de gebruiker deze overeenkomst schendt. Dat meldde Tweakers vorige week. Veel reacties van de strekking “rare VS, dat kan niet bij ons”, maar hoe zit dat nou echt?

Het nieuws werd ontdekt door de Amerikaanse gamejournalist Stephen Totilo. Hij zag in de voorwaarden een serie praktijken die een klant niet mag uitvoeren, met als consequentie

Je erkent hiermee dat Nintendo bij het schenden van de voorgaande beperkingen het recht heeft om Nintendo Account Services en de bijbehorende Nintendo-apparaten geheel of gedeeltelijk permanent onbruikbaar te maken.
De praktijken in kwestie gaan over ongeautoriseerd gebruik van de Nintendo accountdiensten in brede zin, dus niet alleen auteursrechtinbreuk of strafbaar kraken van beveilingen bijvoorbeeld.

Deze diensten neem je af met een Nintendo Switch, en dat is een ding dat je koopt in de zin van het BW. Dan word je er eigenaar van, en eigendomsoverdracht moet “vrij van alle bijzondere lasten en beperkingen” gebeuren (art. 7:15 BW).

Je kunt een beperking op je eigendom alleen “uitdrukkelijk” aanvaarden, en dat betekent “is er apart bij gezegd en afgesproken” en niet “staat diep diep in de enorme lappen voorwaarden waar we u twintig jaar murw mee hebben gebeukt” (ik zeg het maar even).

Een dienst is geen product, en daar mogen inderdaad voorwaarden worden gesteld over wanneer de dienstverlener deze mag stoppen. De Digital Services Act stelt daar een aantal grenzen aan, maar misbruik van de dienst is in principe legitiem en zolang de definitie van ‘misbruik’ redelijk is, is daar verder weinig aan te doen.

Maar goed, dat gaat dus over de dienst waar je uit geknikkerd wordt. Niet dat je apparaat een knikker, pardon een baksteen wordt. Ik geef toe, dat kan wat nodeloos precies overkomen want wat heb je aan het apparaat als de dienst het niet doet, maar juridisch is dat wezenlijk wat anders.

Arnoud

Achterafbetaaldienst Klarna verdient aan incassokosten, oordeelt rechter, en dat maakt ze ongeldig (de incassokosten, niet Klarna)

Photo by Jakub ?erdzicki on Unsplash

De kosten die achterafbetaaldienst Klarna in rekening brengt wanneer iemand te laat is met betalen, maken deel uit van het verdienmodel van het bedrijf. Dat meldde de NOS onlangs. En dat is een juridisch probleem: dan is er sprake van een consumentenkrediet dat op ongeldige manier tot stand kwam.

De zaak begon zoals zo vele. Een consument kocht wat bij een webwinkel en koos voor uitgestelde betaling via Klarna, maar betaalde vervolgens niet. Naar de rechter dus, en omdat het hier gaat om consumentenrecht moet de kantonrechter dan de zaak ambtshalve onderzoeken – dus ook als de consument zich niet verzet en zelfs als die niets laat horen (verstek).

Dat gebeurde in een tussenvonnis, waarin de rechter constateert dat achteraf betalen een vorm van consumentenkrediet is. Dat is belangrijk, want dan gaan extra beschermende regels gelden zoals een kredietwaardigheidstoets en een serie informatieplichten. Er is echter een uitzondering: een kredietovereenkomst waarbij het krediet binnen drie maanden moet worden terugbetaald en waarvoor slechts onbetekenende kosten kunnen worden aangerekend.

Het Hof van Justitie had eind 2024 geoordeeld dat bij achterafbetaling zoals hier je in principe in die uitzondering valt. Echter, zoals de kantonrechter het hier formuleert:

Dit kan anders zijn als de kredietverstrekker er, teneinde een economisch voordeel te verkrijgen, vanaf de sluiting van de kredietovereenkomst op anticipeert dat de consument de betalingsverplichting niet zal nakomen.
De bedoeling van de wetgever was om een uitzondering te creëren voor simpele koop-nu-betaal-later-met-toeslag situaties. Maar partijen als Klarna (en Riverty, uit het HvJ arrest) maken er een verdienmodel van door met rente en andere kosten significant meer te verdienen dan enkel dat beetje toeslag. En dat mag maar dan ben je gewoon een kredietverstrekker, en moet je je aan de regels daarvan houden.
De kantonrechter wijst er in dit verband op dat in het rapport van de Autoriteit Financiële Markten (AFM), waarnaar in het tussenvonnis is verwezen, met zoveel woorden is vermeld dat het verdienmodel van zogenoemde ‘buy now pay later’-aanbieders (waartoe ook de kredietverstrekker in deze procedure behoort) verschilt, maar dat een aantal aanbieders een substantieel deel van hun inkomsten verdient met het in rekening brengen van kosten aan consumenten die te laat betalen. Volgens de AFM zijn die kosten meer dan kostendekkend voor de werkzaamheden die deze aanbieders daar tegenover stellen, zijn ze voor die aanbieders zelfs winstgevend en vormen ze een wezenlijk deel van hun verdienmodel.
Vanwege deze constatering kan de kredietverstrekker zich dus niet op de uitzondering beroepen. En omdat er bij de achterafbetaalkeuze niet aan de informatieplichten en kredietwaardigheidstoets is voldaan, wordt de kredietovereenkomst vernietigd. Oftewel: geen rente, incassokosten en dergelijke verschuldigd.

De hoofdsom wel, want uiteindelijk hád de consument iets gekocht en dan moet je betalen. Maar ook dan onderzoekt de rechter ambtshalve of het allemaal wel goed gegaan is. Quod non, zoals juristen dan zeggen:

  • Op de bevestigingspagina stond niet de naam van de shop (Shein) maar de naam Zoetop Business Co Limited, wie dat ook moge wezen. En als je onderaan de Shein-pagina het colofon opent, gaat het ineens over Infinite Styles Ecommerce Co Ltd. Onduidelijkheid over de identiteit van de koper is een essentieel probleem.
  • De bij de dagvaarding gevoegde algemene voorwaarden waren recenter dan de dag van aankoop, zodat niet na te gaan is onder welke voorwaarden is gecontracteerd.
  • Volgens de dagvaarding vermeldt de bestelknop “Bestelling plaatsen”, maar screenprints zeggen “Plaats bestelling”. En geen van beide is duidelijk genoeg om aan te geven dat er een betalingsverplichting ontstaat bij het plaatsen van de bestelling. in de’, waarmee volgens de eisende partij voldoende duidelijk zou zijn gemaakt dat met het klikken op die knop een betalingsverplichting is aangegaan.
  • Oh ja, en ná die plaats-knop kwamen er nog knoppen “afrekenen” en “kopen”, waardoor het extra verwarrend wordt wanneer je nou precies de overeenkomst sluit en wanneer je de betalingsverplichting aangaat.
  • Onduidelijk is hoe de wettelijk verplichte  bestelbevestiging eruit ziet, waarin zaken moeten staan als de naam van de verkoper, een specificatie van de gekochte producten, de koopprijs, eventuele verzendkosten, informatie over de wijze van levering en de leveringstermijn, een pdf met daarin informatie over het herroepingsrecht en linkjes naar online hulp.
Vanwege deze tekortkomingen verlaagt de kantonrechter het te betalen bedrag met 60%, zodat de consument nog maar € 25,49 hoeft te betalen voor de spullen.

Niet vermeld is hoe veel de kwijtgescholden achterafbetaalkosten waren. En dat is jammer en wrang, want de consument wordt met deze betalingsverplichting alsnog in het ongelijk gesteld en moet dan € 303,54 proceskosten betalen.

Arnoud

Wat moet ik met een dagvaarding over een bestelling die ik niet gedaan heb?

Photo by rupixen on Unsplash

Een lezer vroeg me:

Ik ben daarnet gedagvaard wegens het niet-betalen van een rekening van een webwinkel. Probleem: ik heb daar nooit wat besteld, het lijkt erop dat iemand mijn naam en adres heeft gebruikt en via achterafbetaling het product heeft besteld. Kan ik dit negeren omdat het niet over mij gaat, of moet ik hier wat mee?
Eh ja, hier moet je wat mee. Als je gedagvaard wordt, dan gaat een rechter naar de zaak kijken. En als die oordeelt dat de winkel gelijk heeft, dan moet jij betalen. Als je dán pas met tegenargumenten komt, is dat rijkelijk laat.

Wel is het specifiek bij consumentenzaken zo dat de rechter een aantal dingen standaard (“ambtshalve“) onderzoekt, ook als niemand daar over begonnen is. Maar navragen bij de aangeklaagde partij “heeft u dit echt gekocht” gebeurt alleen als die er ook bij is.

Natuurlijk is het voor jou vrij lastig aan te tonen dat je iets niet besteld hebt. Maar dat hoeft ook niet: de winkel moet aantonen dat jij het wél besteld hebt. Zaken opgegeven bij de bestelling wegen daarin mee, maar als dat alleen algemene dingen zijn als je naam en adres dan is dat zeker niet overtuigend. Zie dit vonnis uit 2023:

Dat er bepaalde gegevens zijn ingevuld bij het plaatsen van een bestelling leidt er daarmee niet direct toe dat [gedaagde] de contractspartij is. Het had op de weg van [eiser] gelegen om na het ingediende verweer van [gedaagde] (aanvullende) gegevens te overleggen waaruit volgt dat [gedaagde] de bestelling wel degelijk heeft geplaatst (en in ontvangst heeft genomen) in plaats van te verwijzen naar hetgeen in de dagvaarding is gesteld. Bijvoorbeeld met een afschrift van de daadwerkelijke orderbevestiging of bewijs waaruit blijkt dat de bestelling is bezorgd op het adres waar [gedaagde] stond ingeschreven.
Iets dergelijks oordeelde ook de rechtbank Rotterdam diverse keren.

Een belangrijke vraag zal zijn waar het pakket is. Ga dus goed na of je écht niet iets gehad hebt op de in de dagvaarding genoemde datum. Je zult de eerste niet zijn die dacht iets voor de buren aan te nemen terwijl jouw huisnummer er op stond. (Een bekende truc is laten afleveren bij nummer 15 en dan met “excuses van nummer 51, typefout” het pakket daar ophalen.)

Hier en daar lees ik dat je wel kunt klagen over identiteitsfraude maar dat men dan eist dat je eerst aangifte gaat doen. Krijg het rambam denk ik dan, en met mij de rechtbank Midden-Nederland.

Arnoud

 

 

Ik kan met Docusign nooit mijn handtekening zetten, is dat toch rechtsgeldig?

Een lezer vroeg me:

Laatst moest ik weer een handtekening zetten met zo’n online ondertekendienst. Ik krijg het noch met mijn muis noch met mijn vinger voor elkaar om iets te maken dat zelfs maar lijkt op wat in mijn paspoort als handtekening staat. Hoe is dit rechtsgeldig?
Een zogeheten geavanceerde elektronische handtekening is rechtsgeldig niet omdat deze op je paspoort lijkt, maar omdat deze onlosmakelijk verbonden is met jouw identiteit en het document waar deze op staat. Dat is grofweg wat de wet (de eIDAS verordening) hierover zegt.

Veel online tools – zoals DocuSign, dat ik in de titel noemde – geven je de optie om een echte ’tekening’ te maken, om het gevoel te simuleren dat je krijgt bij het zetten van een natte of analoge handtekening. Maar meer dan dat is het niet. Je kunt vaak net zo goed een gestileerde versie van je voor- en achternaam laten verschijnen.

Een juridisch weetje dat maar weinigen weten, is dat er nergens in de wet staat dat je handtekening moet lijken op je “officiële” zoals in je paspoort of identiteitskaart staat. Sterker nog, er is geen regeling die iets zegt over wat nou echt je handtekening is.

De wet (art. 159 Rechtsvordering) zegt alleen dat

Een onderhandse akte waarvan de ondertekening door de partij, tegen welke zij dwingend bewijs zou leveren, stellig wordt ontkend, levert geen bewijs op, zolang niet bewezen is van wie de ondertekening afkomstig is. Is degeen tegen wie de akte wordt ingeroepen een ander dan hij die haar ondertekend zou hebben, dan kan worden volstaan met de verklaring, dat men de echtheid van de ondertekening niet erkent.
Een manier om dat in te vullen, is bij het zetten te controleren of de handtekening lijkt op die uit het identiteitsbewijs van de plaatser. Het idee is dan dat alleen die persoon die kan plaatsen (niet lachen daar achterin), zodat je bewijs hebt dat de ondertekening afkomstig is van de persoon met die identiteit.

Even los van de sterkte van dit argument is dit natuurlijk niet de enige manier om bewijs tegen zo’n ontkenning te leveren. Een getuige die je de handtekening zag zetten en je daarbij herkende is ook een prima manier om bewijs te geven dat een ondertekend geschrift (akte) door jou ondertekend was. (Als die getuige werkt bij de wederpartij, ligt dat iets subtieler want die wordt als partijdig gezien.)

Arnoud

 

Telecom- en internetabonnement opzeggen is vaak lastig, ACM start onderzoek

Photo by Markus Winkler on Unsplash

De Autoriteit Consument & Markt ontvangt veel klachten over telecom- en internetaanbieders die het onnodig moeilijk maken om een abonnement op te zeggen. Dat meldde Nu.nl vorige week. Vaak gaat het over de “eis” dat je alleen telefonisch mag opzeggen, wat “tegen de regels” is volgens de site. Laten we daar eens juridisch naar kijken.

De telecomtoezichthouder verduidelijkt:

Verschillende providers presenteren op hun website alleen de mogelijkheid om telefonisch op te zeggen. Dat is tegen de regels. “Als mensen willen opzeggen of overstappen, mag dat niet worden bemoeilijkt”, onderstreept directeur Edwin van Houten van de ACM. “Als je het abonnement online kunt aangaan, moet je het ook online kunnen opzeggen.”
Voornaamste reden voor dat telefonisch opzeggen is dat je dan speciaal getrainde mensen aan de lijn krijgt die hun best gaan doen om jou te laten blijven. Wil je korting, dan is opzeggen dus een goede truc. Maar wil je van je abonnement af, dan is dit heel frustrerend.

De laatste zin van het citaat van Van Houten vinden we terug in de wet bij de zwarte lijst van verboden algemene voorwaarden, art. 6:236 punt o BW:

[Verboden is een beding] dat de bevoegdheid van de wederpartij om de overeenkomst, die mondeling, schriftelijk of langs elektronische weg tot stand is gekomen, op een overeenkomstige wijze op te zeggen, uitsluit of beperkt.
Je hebt dus het recht om op dezelfde wijze op te zeggen als waarmee je het contract sloot. Meestal sluit je telefonie- of internetabonnementen via de site, dus moet dat ook via zo’n zelfde kanaal kunnen. Eisen dat je belt, is dus niet mogelijk.

Wat ook niet toegestaan is, is randvoorwaarden verbinden aan hoe je de mededeling van opzegging doet. Als jij de mededeling bij de provider afgeleverd krijgt, is dat bindend.

Natuurlijk moet jij bewijzen dat het bericht bij hen is aangekomen, en daarvoor is meer nodig dan dat hij in jouw map verzonden zit. Maar “sorry, deze opzegging kunnen wij niet accepteren want dat moet telefonisch” is wél duidelijk bewijs, want hieruit blijkt dat de opzeggingsmededeling is aangekomen.

Arnoud

 

 

Kun je met uitzetten van 2FA aansprakelijk zijn voor frauduleuze banktransacties?

Bunq betaalde in 2024 ruim tien miljoen euro terug aan klanten die slachtoffer werden van phishing. Dat meldde Tweakers vorige week. Er zijn vele klachten over het beveiligingsbeleid van de bank, vandaar dat zij haar beleid aanpaste. In de comments kwam een intrigerende vraag voorbij: je kunt de geavanceerde (2FA) beveiligingsmaatregelen uitzetten, maar schept dat aansprakelijkheid?

Bunq paste het beleid aan nadat de NOS en NRC in mei van 2024 concludeerden dat klanten van de bank disproportioneel vaak slachtoffer van phishing werden. Een punt van kritiek is dat bunq minder zou doen om fraude te bestrijden dan andere banken, bijvoorbeeld door 2FA niet te verplichten en minder vaak in te grijpen bij signalen van verdachte transacties.

In de comments bij Tweakers wordt dan gesteld “Ze hebben recent wat aanpassingen gedaan maar gelukkig ook een knop toegevoegd om alle extra beveiligingsdingen meteen weer uit te zetten – en daar zelf het risico voor te dragen.” Dat lijkt te gaan om zaken als de transactielimiet waarbij een extra authenticatie (securitycode of biometrie) nodig is.

Maar word je aansprakelijk als je die limiet sterk verhoogt en daardoor zeg 5000 euro kwijtraakt, terwijl toepassen van die authenticatie dat had kunnen voorkomen?

De juridische basis hiervoor is art. 7:529 BW:

De betaler draagt alle verliezen die uit niet-toegestane betalingstransacties voortvloeien, indien deze zich hebben voorgedaan doordat hij frauduleus heeft gehandeld of opzettelijk of met grove nalatigheid een of meer verplichtingen uit hoofde van artikel 524 niet is nagekomen.
Het idee is dan dat je door te kiezen voor “ik weet wat ik doe” je van ‘opzet’ mag spreken. Alleen gaat ‘opzet’ enkel over wat er in artikel 524 staat:
De betaaldienstgebruiker die gemachtigd is om een betaalinstrument te gebruiken, a.gebruikt het betaalinstrument overeenkomstig de voorwaarden die op de uitgifte en het gebruik van het betaalinstrument van toepassing zijn, en b.stelt de betaaldienstverlener, of de door laatstgenoemde gespecificeerde entiteit, onverwijld in kennis van het verlies, de diefstal of onrechtmatig gebruik van het betaalinstrument of van het niet-toegestane gebruik ervan.
Dus als je de voorwaarden opzettelijk schendt, zoals door je pincode op je pas te schrijven, dan ben jij aansprakelijk voor een onbevoegde pinopname. Maar je transactielimiet is geen voorwaarde.

Het is dan natuurlijk nog steeds mogelijk dat je een andere voorwaarde schond zoals inlogcodes delen. Als dat opzettelijk of met grove nalatigheid gebeurde, kun je nog steeds aansprakelijk zijn voor het verlies.

Gebruik van wat bunq Strong Customer Authentication (SCA) noemt, is wél een voorwaarde. Maar juist die is niet uit te zetten, dat ik kan vinden. Als dat wel zou kunnen, dan zou dat een enorm gat zijn.

Arnoud

Mag een bedrijf mijn gegevens verstrekken aan een enquetebureau?

"Customer satisfaction survey" by Kecko is licensed under CC BY 2.0

Een lezer vroeg me:

Regelmatig krijg ik na contact met een bedrijf allerlei enquêteverzoeken of uitnodigingen te vertellen hoe tevreden je bent etcetera. Dat wordt meestal gefaciliteerd door een extern bureau en niet door het bedrijf zelf. Mag dat eigenlijk wel van de AVG? Ik heb geen idee wat dat bedrijf nog meer doet met mijn gegevens.
In veel gevallen zal zo’n extern bureau opereren als verwerker voor het bedrijf waar je contact mee had. Het delen van de gegevens met het bureau is dan gedekt: het bureau voert een actie uit die het bedrijf ook zelf had kunnen doen, zeg maar.

Dit wordt anders als het bureau de gegevens (waaronder individuele enquêteresultaten) voor eigen doeleinden gaat gebruiken, maar dat kom ik eigenlijk niet tegen.

De vervolgvraag is, mag een bedrijf zelf mensen een enquêteverzoek sturen na een zakelijk contact? Dit is in AVG-termen een discussie over doelbinding. Dat houdt in dat er een concreet, logisch en nauw verband moet zijn tussen het oorspronkelijke doel en de verdere verwerking. En dat de verdere verwerking ook aansluit bij de verwachtingen van de betrokkene(n).

Als ik iets bestel of een dienst afneem, is het vrij logisch dat het bedrijf wil weten hoe dat is gegaan. Dit is ook een algemeen staande praktijk, dus dat voldoet wel aan de (geobjectiveerde) verwachting van de betrokkene. (Het maakt dan voor mij niet uit of het geleverde gratis was of tegen vergoeding.)

Iets meer moeite heb ik met een dergelijk tevredenheidsonderzoek na een meer vrijblijvend contact, zoals een vraag stellen over een product. Ik verwacht niet dat ik na zo’n kort en weinig diepgaand contact ook nog eens vragen over kwaliteit en tevredenheid hoef te beantwoorden. Hetzelfde geldt voor de nieuwsbrief die je er soms extragratis bij krijgt.

Arnoud