Internetrecht door Arnoud Engelfriet

Wie contracten onderhandelt, weet dat het beperken van aansprakelijkheid een van de heetste hangijzers is in de discussie. De aansprakelijkheid is immers het risico dat de leverancier neemt, en dat moet in verhouding zijn tot de waarde van de deal. Wat me daarbij steeds vaker opvalt, is dat er nauwelijks aandacht wordt gegeven aan de verplichting tot vrijwaren. En dat is vreemd, want een vrijwaring is juridisch gezien een superaansprakelijkheid waar je vaak ook nog eens niet tegen verzekerd bent. Wat te doen met deze contractuele bermbom?

Het concept vrijwaring wil juridisch zo veel zeggen als dat je de ander afschermt, oftewel vrijwaart, tegen een claim die een derde bij hem neerlegt. Een bekende situatie is de auteursrechtvrijwaring: lieve klant, als iemand beweert dat mijn software zijn auteursrecht schendt, dan spring ik er voor en los ik het op. Zo laat je als leverancier zien dat je gelooft in je rechten.

Maar wat betekent “los ik het op” dan eigenlijk? Nou ja, vrij simpel. Jij gaat in discussie met die derde, en als het moet ga jij naar de rechter om zijn claim aan te vechten. Of hij klaagt je klant aan, maar jij springt er tussen en stelt jezelf in de plaats van je klant. Je komt dan in het beklaagdenbankje terecht en moet de schadevergoeding, advocaatkosten et cetera betalen die deze derde komt eisen.

Ja, dat is een forse kostenpost. Vrijwaringen zijn dan ook dure grappen om te geven. Toch worden ze meestal als eenvoudige standaardzinnetjes in een contract opgenomen en laten beide partijen hem staan. Dat is vreemd, helemaal als je bedenkt dat vrijwaren buiten je beperking van aansprakelijheid valt.

Wacht, wat? Ja precies: ook al ben je beperkt aansprakelijk, als je een vrijwaring geeft dan ga je tot de laatste cent betalen waar je voor vrijwaart. Dat is immers de plicht die je vrijwillig op je genomen hebt. En als je jezelf tot iets verplicht, dan moet je het doen.

Sommige ondernemers denken dan, dat komt goed want ik ben verzekerd voor aansprakelijkheid. En dat is leuk en aardig, maar een plicht tot vrijwaring is geen verplichting tot schade vergoeden. Bij vrijwaring doe je immers meer, je betaalt dan ook kosten en dergelijke die niet als schade bij jou zouden zijn gekomen. Je verzekeraar kan dus rustig weigeren uit te keren als je een vrijwaring moet nakomen.

Een goed leverancier weigert dus vrijwaringen in zijn contracten op te nemen, tenzij hij zeker weet dat hij deze kan dragen en/of de kans dat ze zich voordoen minimaal is. Of, als het echt moet, hij neemt een expliciet plafond op tot waar zijn vrijwaringsplicht gaat.

Arnoud

Een lezer vroeg me:

Als IT-consultant werk ik al jaren met het systeem van contractje en algemene voorwaarden. Nu doe ik sinds een tijdje ook specifieke securityklussen, en collega’s in dit vakgebied wijzen me er nu op dat ik klanten dan een pentest waiver moet laten tekenen. Maar is gewoon een duidelijke opdracht niet genoeg?

Zowel algemene voorwaarden als een pentest waiver beschermen je als opdrachtnemer. Een pentest waiver heeft vooral het voordeel dat hij explicieter en concreter is over het specifieke onderwerp van securityonderzoek.

Als het goed is, staan in je algemene voorwaarden al de nodige bepalingen waar je je klanten aan kunt houden: ze moeten de benodigde informatie geven, ze moeten zorgen dat jij het werk ongestoord kunt doen en ze moeten je vrijwaren van claims van derden die door hun toedoen bij jou op je bordje komen. Dit is generiek genoeg om ook claims van bijvoorbeeld leveranciers te pareren, en met een beetje goede wil ook om ze te dwingen je strafrechtadvocaat te betalen om vrijgesproken te worden van computervredebreuk.

Generiek is bij juridische zaken gelijk aan twijfelachtig en daarmee gelijk aan vele dure uren van juridisch advies en gebakkelei. Een pentestwaiver heeft als voornaamste voordeel dat dit er allemaal expliciet staat, zodat er minder discussie kan ontstaan. (Discussie tot nul reduceren is bij juristen onmogelijk.)

Een typische pentestwaiver vermeldt bijvoorbeeld expliciet dat er toestemming is van alle betrokkenen om hun infrastructuur te mogen binnendringen, en dat geen aangifte zal worden gedaan van vernieling van gegevens wanneer het pentest onderzoek door onzorgvuldigheid tot gegevensverlies leidt. Zo’n harde toezegging is erg handig om een aangifte of civielrechtelijke procedure direct te laten stranden.

Zonder een pentestwaiver moet je dus terugvallen op generieke teksten uit je algemene voorwaarden, en misschien krijg je dan wel het risico dat de klant zegt die nooit gekregen of geaccepteerd te hebben. Of hij stelt dat “het werk ongestoord doen” betekent dat hij een bureau en stoel moest leveren, maar niet dat hij bij leveranciers moest melden dat jij de gehele infrastructuur ging proberen binnen te dringen. En dan heb je een fors probleem als het misgegaan is met je opdracht en er een boze hostingleverancier aangifte heeft gedaan en tachtig man personeel een schadeclaim indienen wegens AVG overtredingen.

Arnoud

Criminelen verkopen duizenden gehackte Nederlandse accounts voor webwinkels, las ik bij Tweakers. Onderzoek van RTL Nieuws had onthuld dat logins voor accounts bij webshops eenvoudig te krijgen zijn in het criminele circuit, zodat je eenvoudig een bestelling kunt plaatsen bij een nieuw adres en daar op achterafbetaling laat leveren. Tegen de tijd dat de accounthouder het doorheeft, ben jij allang weg met het pakket. Volgens de politie zijn er jaarlijks ‘honderden slachtoffers’ van deze vorm van fraude. Wat in de comments de vraag opriep: waarom bieden winkels dan nog achterafbetalen aan?

Nou ja, omdat dat moet van de wet natuurlijk. Artikel 7:26 lid 2 BW bepaalt dat een consumentkoper tot hooguit 50% vooruitbetaling kan worden gedwongen, en internetaankopen tellen nu eenmaal als vooruitbetaling omdat de levering altijd later gebeurt. Je kunt mensen niet zomaar afstand laten doen van dit recht, in ieder geval niet in je algemene voorwaarden of iets dergelijks generieks.

Het probleem is natuurlijk dat deze wijze van afrekenen specifiek in de internetcontext fraudegevoelig is. Stuur het pakket naar adres A, en de factuur later naar B. Tegen de tijd dat B aangesproken wordt op wanbetaling, is het pakket al lang weg bij A. En die heeft dan weer geen idee wie het heeft opgehaald.

Natuurlijk kun je als winkel je hiertegen proberen te wapenen, bijvoorbeeld door geen bestelling van nieuwe klanten te accepteren op achterafbetaling als er een ander afleveradres wordt opgegeven. Maar daarom zijn zulke accounts waardevol: die hebben een koopgeschiedenis en zijn daardoor vertrouwd, dus als daar een keer een ander adres komt, dan is dat prima. En dan gaat het dus mis.

Achteraf betalen is dus een wettelijk recht, maar specifiek bij accounts is er denk ik wel een truc: laat mensen in hun accountinstellingen bepalen dat zij afstand doen van deze optie. Dat mag van de wet (art. 7:6 BW, dit is geen algemene voorwaarde), en zo voorkom je dat je account wordt misbruikt met deze manier. Natuurlijk kan de dief de optie weer aanzetten, maar als je het combineert met “eerst een bestelling naar je huidige adres” dan is de impact te overzien.

Wie weet een betere?

Arnoud

Deliveroo fietskoerier Sytse Ferwerda (20) is een zelfstandig ondernemer en geen werknemer, las ik bij de NOS. De overeenkomst die Ferwerda sloot met de maaltijdkoerier is een overeenkomst van opdracht, ondanks het feit dat hij eerder in dienst was en eigenlijk onder dit nieuwe contract exact hetzelfde werk deed. Dat vonniste de Amsterdamse rechtbank afgelopen… Lees verder

De Europese Unie heeft zoekgigant Google een recordboete van 4,34 miljard euro opgelegd. Dat meldde Nu.nl afgelopen woensdag. Volgens Brussel werden telefoonmakers die Android wilden gebruiken verplicht om de zoekmachine van het bedrijf vooraf te installeren, net als een voorgeschreven bundel met apps. Zo kon Google zichzelf een oneerlijk voordeel geven op de markt voor… Lees verder

WhatsApp heeft een advocaat brieven laten sturen naar ontwikkelaars van Android-apps die de notificaties van de chatapp gebruiken in hun eigen apps. Dat meldde Tweakers vorige week. Volgens het bedrijf is hier sprake van een overtreding van de gebruiksvoorwaarden, die immers verbieden dat je “Collect the information of or about WhatsApp’s users in any impermissible… Lees verder

Iedere ondernemer zoekt continu naar meer omzet. Meer klanten en meer verkopen aan bestaande klanten zijn de meest voor de hand liggende strategieën. Juridische zaken zoals je algemene voorwaarden lijken daarbij irrelevant en dat zijn ze natuurlijk ook. Maar er is een foefje dat je uit kunt halen met je algemene voorwaarden waardoor je toch… Lees verder

Een lezer vroeg me: Bij ons bedrijf kunnen telefoongesprekken bij de klantenservice worden opgenomen voor trainingsdoeleinden, zo zegt ons bandje keurig. Dat gebeurt willekeurig bij 1 op de 10 gesprekken, die de HR medewerker vervolgens reviewt. Maar we maken ook opnames als een klant vervelend is, dat kan de servicemedewerker doen met een druk op… Lees verder

Wie met grote bedrijven zaken doet, kent het probleem. Heb je net uitgebreid onderhandeld over je mooie deal, en flink wat moeten toegeven om het verteerbaar te maken, krijg je vervolgens een dure advocaat die op alle punten uit het contract een probleem gaat zoeken. Aansprakelijkheid moet omhoog, prijsaanpassingen mogen niet, de SLA is een… Lees verder

Diverse lezers tipten me (dank) over deze vraag op Reddit: Mijn werkgever wilt mij een contract laten tekenen ivb met de nieuwe privacywet (avg). Is dit normaal? Wie het contract in kwestie leest, ziet dat het een addendum is op een arbeidscontract waarbij de werknemer geheimhouding opgelegd krijgt, en belooft netjes met persoonsgegevens om te… Lees verder