ParkeerWekker: boetes via scanauto zijn mogelijk in strijd met privacywet

| AE 12656 | Ondernemingsvrijheid | 32 reacties

ParkeerWekker, een door de rechter in Amsterdam verboden dienst voor gebruikers om scanauto’s te detecteren als ze voorbij hun auto of gebouw rijden, stelt dat opgelegde bekeuringen door een scanauto mogelijk in strijd met de privacywet zijn. Dat meldde Tweakers onlangs. Het argument is dan dat die bekeuringen waarschijnlijk automatisch worden uitgedeeld, met hooguit steekproefsgewijs een controle, en dat mag niet van de AVG he meneertje. Mijn juridische tenen jeuken want het zíjn geen bekeuringen, en bovendien: dat is niet het probleem van belastingontduikstimuleerder ParkeerWekker.

Volgens de rechter in februari handelt het bedrijf achter de app in strijd met de wet, doordat de gebruikers met de meldingsdienst worden aangezet tot parkeren zonder betalen van parkeerbelasting. Want ja, wat je betaalt om te mogen parkeren is géén boete (een strafrechtelijke sanctie) maar een belasting (een plicht binnen het bestuursrecht).

Maar hoe dan ook, je hebt een probleem als je artikel 22 AVG inroept bij overheidshandelen. Want artikel 40 lid 1 Uitvoeringswet AVG bepaalt dat artikel 22, AVG verordening niet geldt als zo’n automatisch besluit “noodzakelijk is om te voldoen aan een wettelijke verplichting die op de verwerkingsverantwoordelijke rust of noodzakelijk is voor de vervulling van een taak van algemeen belang.” En ik zie wel hoe parkeerbelastingheffing iets is waarbij je automatisch scannen redelijkerwijs nodig hebt, gezien het aantal parkeerbewegingen in de gemiddelde grote stad.

Wel moeten er dan passende maatregelen omheen zitten, zodat je als burger niet helemaal in de kou staat zodra er een onterechte boete wordt opgelegd. Maar dat terzijde.

Wat dit alles verder met ParkeerWekker te maken heeft? Ik zou het niet weten. Het idee van “met onze app voorkom je vergeetachtigheid” vond ik al niet door de giecheltoets komen, nu een pivot maken naar een principiële burgerrechtenhandhaver “met onze app vecht je ex artikel 22 AVG tegen de automatische bureaucratie!” doet me helemaal gillend van het lachen onder tafel rollen. Nog los van dat ik niet snap hoe dat dan zou moeten werken.

En dat is een probleem want je kunt alleen in hoger beroep als je een redelijk belang hebt bij je claim. “De gemeente schendt de wet bij haar wijze van parkeerbelastingheffing” is alleen een argument voor mensen die die belasting geheven kregen. Heel misschien voor belastingbetaalfaciliteerapps zoals Parkmobile, Parkline of Yellowbrick. Maar een app die zegt “gauw betalen want er komt een scanauto”, nee die zie ik niet.

Arnoud

Bitcoin Meester hoeft wegens bug teruggedraaide transacties niet te vergoeden

| AE 12643 | Ondernemingsvrijheid | 4 reacties

Cryptoplatform Bitcoin Meester hoeft veertien transacties van een klant die daarmee vierduizend procent winst maakte maar wegens een systeemfout werden teruggedraaid niet te vergoeden, las ik bij Security.nl. Ook hoeft men geen ruim 42.000 euro schadevergoeding te betalen vanwege misgelopen winst. Dit alles op gezag van de rechtbank Amsterdam die aldus vonniste nadat de klant erg boos was over de misgelopen gelden.

Op 26 februari vorig jaar verkocht de klant de cryptovaluta Hedera aan Bitcoin Meester om daarmee de cryptovaluta Aion te verkrijgen. Vervolgens verkocht de klant de verkregen Aion weer aan Bitcoin Meester voor Hedera. Dat kan, daar is zo’n platform voor.

Alleen, de prijs waarvoor Bitcoin Meester de Hedera van de klant kocht lag 2,5 tot 25 hoger dan de prijs waartegen die vrijwel tegelijkertijd diezelfde Hedera van Bitcoin Meester kocht. Hierdoor kon de klant binnen een tijdsbestek van ongeveer 12 minuten met 14 transacties een winst maken van ruim 4.000%. Doordat deze 14 transacties opvielen maakte een bot in het systeem van Bitcoin Meester melding van de transacties en werd [eiser] uitgelogd uit zijn account. Na opnieuw inloggen bleken de transacties te zijn teruggedraaid.

Zo te lezen had de klant een bug ontdekt in het systeem van Bitcoin Meester:

Bitcoin Meester heeft overtuigend aangetoond dat er een fout in haar systeem zat waardoor zij aan [eiser] een hogere inkoopprijs voor Hedera betaalde dan zij van [eiser] ontving voor diezelfde Hedera. Op zitting heeft Bitcoin Meester uitgelegd dat zij als broker fungeert en zelf pas een transactie uitvoert nadat een klant een cryptovaluta heeft ge- of verkocht. Door de fout in het systeem lag er voor haar geen reële transactie onder de door [eiser] opgedragen transactie, want Bitcoin Meester kon door de foutieve prijs de transactie van [eiser] immers niet uitvoeren op de cryptovalutamarkt.
Dat verklaart ook waarom 14 transacties in zeer korte tijd natuurlijk. En dan krijg je dus de vraag, zit zo’n platform vast aan de bug die ze zelf bouwde? Nee, aldus de rechtbank. Ook bij geautomatiseerde contracten (note to self: cursus Smart Contracts pluggen) geldt gewoon het Burgerlijk Wetboek:
[M]ocht [eiser] er op vertrouwen dat Bitcoin Meester de Hedera keer op keer voor een beduidend hogere prijs van hem wilde terugkopen dan waarvoor zij deze even tevoren aan hem had verkocht?
Dan krijg je een optelsom van factoren. Allereerst ga je dus in 12 minuten 14 keer hetzelfde kop, en ten tweede krijg je steeds 2,5 à 25 keer je inleg aangeboden. Dat kan niet kloppen, althans daarvan moet je je achter de oren krabben of het platform dat wel had gewild. En dan is er dus in juridische zin geen redelijkerwijs gewekt vertrouwen, en dus geen overeenkomst.

Omdat er geen overeenkomst is, kan de klant Bitcoin Meester niet verwijten de transacties te hebben gewist en de gemaakte winst niet te vergoeden. Wel werd de klant veroordeeld tot het betalen van de proceskosten van Bitcoin Meester die bijna 2900 euro bedragen.

Arnoud

Bol.com trapte in phishingmail en maakte 750.000 euro over naar oplichters

| AE 12647 | Ondernemingsvrijheid, Regulering | 28 reacties

Bol.com heeft 750.000 euro overgemaakt naar oplichters nadat het bedrijf in een phishingmail was getrapt, las ik bij Tweakers. De rechtbank Midden-Nederland oordeelde recent dat men argwanender had moeten zijn. Weliswaar klopte het afzendermailadres (door een computerhack) en leken ook layout en namen correct, maar het taalgebruik was van het niveau Google Translate halfbakken Engels en dat is voor twee jarenlang samenwerkende Nederlandse bedrijven bepaald gek.

Op 25 november 2019 werd een e-mail aan ‘supplierfinance@bol.com’ gestuurd met onder meer de volgende inhoud: ‘Bijgevoegd vindt u onze nieuwe betalingsroute zoals opgedragen door het management, doe het nodige voor de volgende betaling. Alvast bedankt!’. Afzender: meneer [A], wiens mailbox was gehackt “via de cloud”. Het vonnis bevat een printscreen van de gehele mail. De strekking: een verzoek om betalingen voortaan niet meer over te maken aan de bij Bol.com bekende bankrekening van Brabantia Netherlands maar aan een Spaanse bankrekening die ten name van ‘Brabantia International B.V.’ zou staan.

De oplichter bleek hardnekkig want de navolgende dagen werd een keurige reminder gestuurd (“Kunt u bevestigen dat uw crediteurenadministratie is bijgewerkt als bijgevoegd.“) Uiteindelijk werd daarop gereageerd, maar die mail bleef buiten het zicht van de gehackte Brabantia-medewerker. Daarna dacht Bol.com alles geregeld te hebben en werden de verkoopopbrengsten keurig overgemaakt naar het nieuwe nummer. Na zo’n 750.000 euro niet te hebben gekregen, trok het Brabantse bedrijf aan de bol, sorry bel, en kwam de fraude uit.

Wie draait daar voor op? Het begon dus bij een overgenomen mailbox van een medewerker van Brabantia, en ook kon men bij het briefpapier-template van Brabantia, zodat het op zich echt doen lijken van de berichten mogelijk was. De inhoud van de mails gaf echter te denken:

Om te beginnen bevat deze merkwaardige fouten als ‘Houd he [?] rekening mee’ en de frase ‘een wijziging in onze bankrekeninggegevens hebben voor incaende [?] betalingen’, waarbij ‘incaende’ meer dan een gewone typefout lijkt. Bovenal roept de frase ‘moten all incoming betalingen have been overgemaakt’ onmiddellijk grote vraagtekens op, zelfs als een zekere mate van gebrekkig taalgebruik of een overmatig gebruik van het Engels voor lief wordt genomen.
Bol.com moest begrijpen dat dergelijke frases praktisch niet van directeuren van Brabantia Netherlands afkomstig kunnen zijn of door hen kunnen zijn goedgekeurd. Dat met de daarop volgende Engelstalige passage ‘niets mis is’, zoals Bol.com benadrukt, doet hier niet aan af, nog afgezien van het feit dat het gebruik van de Engelse taal in deze context op zich zelf al tot twijfel had moeten leiden.

Vanwege al deze omstandigheden is de conclusie voor de rechter helder: Bol.com had beter op moeten letten, en zij heeft dus wanprestatie gepleegd jegens Brabantia door die 750k niet te betalen op de rekening waar die hoorde te komen.

Het enige vind ik steekhoudende tegenargument is dat Bol.com dus had gereageerd naar Brabantia (het gehackte mailadres) en dat men daar het niet opgepakt had. Dat kwam omdat de crimineel mails met als afzender Bol.com in het mapje “RSS Feeds” (zo’n standaardmap van Outlook die niemand wil) had laten komen en automatisch als gelezen gemarkeerd. Zo kon die keurig reageren maar zou de medewerker die waarschijnlijk niet zien. Je zou dan zeggen: die berichten zijn bij Brabantia aangekomen, het niet checken van dat mapje is voor rekening van dat bedrijf dus die hadden het moeten zien. Alleen:

Bij de vraag of Bol.com te goeder trouw was bij de betalingen, is bepalend of zij had moeten twijfelen (zie hiervoor in 3.11). Hiervoor heeft de rechtbank vastgesteld dat Bol.com door de brief van 25 november 2019 ernstig moest twijfelen. Die ernstige twijfel wordt naar het oordeel van de rechtbank niet weggenomen doordat Brabantia Netherlands de bevestiging van Bol.com onbeantwoord heeft gelaten.
Bol.com had al moeten twijfelen vóórdat ze een reply stuurde, laat staan voordat ze het rekeningnummer aanpaste. En dan kun je dus niet zeggen “jullie hebben nooit gereageerd op ons bericht dat we het nummer aangepast hebben”. Ook het sturen van betalingsaankondigingen hielp haar niet, als leverancier hoef je daar niet naar te kijken en al helemaal niet te denken, wat raar dat ze vier weken na de aankondiging nog niet betaald hebben.

Ook een argument van Bol.com was dat Brabantia haar mailboxen beter had moeten beveiligen, bijvoorbeeld met tweefactorauthenticatie. Dan was de inbraak waarschijnlijk niet gelukt, en had dit alles voorkomen kunnen worden. Een terechte klacht, en dit had ook zeker de doorslag gegeven als de mail perfect Nederlands was geweest en een Nederlands IBAN was gebruikt. Maar dat was dus niet zo, en precies  daarom had Bol.com argwanender moeten zijn. Als de afzender klopt maar de inhoud bizar is, dan is er iets mis. En dan ligt de bal écht bij jou als ontvanger.

Arnoud

Mag een computerwinkel geld vragen voor het resetten van je laptop?

| AE 12639 | Ondernemingsvrijheid | 36 reacties

Via Reddit: [Ik heb online een laptop gekocht.] Ik heb de laptop aangezet, de verplichte installatie doorlopen, hem een tijdje lang de nodige Windows updates laten doen, en heb hem daarna even uitgeprobeerd door Chrome te installeren, wat webpagina’s te openen en Windows verkenner gelijktijdig te openen. [De laptop viel tegen] De volgende werkdag werd ik… Lees verder

Tesla-baas Musk zegt dat automatische piloot was uitgeschakeld bij fatale crash

| AE 12630 | Ondernemingsvrijheid, Privacy | 9 reacties

Tesla-oprichter Elon Musk weerspreekt maandag de bewering dat de automatische piloot was ingeschakeld bij de Tesla die vorig weekend in de VS bij een eenzijdig ongeluk betrokken was. Dat meldde Nu.nl eerder deze week. De Amerikaanse lokale politie had eerder gemeld dat het “bijna 99,9 procent zeker” was dat er niemand achter het stuur zat,… Lees verder

Mogen winkels preorders van grafische kaarten annuleren omdat de fabrikant de productie stopt?

| AE 12618 | Ondernemingsvrijheid | 20 reacties

Webwinkels als Azerty en Alternate melden klanten die de RTX 3080 Gaming X Trio 10G van MSI besteld hadden, dat ze deze niet meer gaan leveren. Dat las ik bij Tweakers. Alternate geeft aan: “Helaas heeft MSI besloten om de RTX 3080 Gaming X Trio 10G niet meer te produceren. Door dit besluit, dat buiten… Lees verder

Onderzoek: managers kijken bij half miljoen werknemers thuis over de schouder mee, de hele dag

| AE 12611 | Ondernemingsvrijheid | 11 reacties

Bij 13% van de thuiswerkers komt de manager de hele dag langs om door het raam mee te kijken of zij wel aan het werk zijn. Dit blijkt uit CNV-onderzoek onder 1200 thuiswerkers. ‘Dit betekent dat ruim een half miljoen werkenden dus voortdurend in de gaten worden gehouden door hun werkgever. In de praktijk ligt dit… Lees verder

Twitch gaat mensen ook voor wangedrag buiten de site bannen

| AE 12607 | Ondernemingsvrijheid | 93 reacties

Videostreamingdienst Twitch gaat voortaan niet alleen wangedrag op zijn site aanpakken, maar ook hatelijk gedrag dat buiten Twitch plaatsvindt. Dat meldde Nutech.nl onlangs. Enerzijds kan het dan gaan om intimideren buiten de dienst om naar aanleiding van een gebeurtenis op het platform. Anderzijds denkt men ook aan wangedrag buiten de dienst dat geen verband houdt… Lees verder

Moet je ook een DPIA uitvoeren op interne systemen?

| AE 12578 | Ondernemingsvrijheid, Privacy | 6 reacties

Een lezer vroeg me: Volgens de AVG zijn er een aantal criteria wanneer je een DPIA moet uitvoeren. Maar vallen interne systemen, zoals o.a. een DMS, e-mail, backups ed. ook onder deze ‘plicht’ ? Ik vraag dit omdat onze FG ook die systemen als “hoog risico” aanmerkt, wat enorme vertraging geeft. Een DPIA of data… Lees verder