Ik moet mijn paspoort uploaden en voor de camera dansen om mijn game-account op te heffen

| AE 13302 | Ondernemingsvrijheid, Privacy | 18 reacties

jackmac34 / Pixabay

Een lezer vroeg me:

Een jaar geleden meldde ik me aan bij een game site. Nu wil ik mijn account verwijderen. De helpdesk zegt dat ik dan via een externe partij een foto van mijn ID en een filmpje van mezelf moet aanleveren ter bevestiging van mijn nationaliteit. Dit omdat ze alleen accounts verwijderen in landen waar dat wettelijk verplicht is. Is dit net zo raar als het klinkt?
In Europa is dit heel erg raar, ja. Onder de AVG kwalificeert een account bij een online dienst als een verwerking van persoonsgegevens. Je accountnaam, mogelijk meer personalia, loginggegevens of betalingsinformatie en dergelijke zijn immers allemaal gegevens over jou, ook als ze niet je echte naam hebben.

De AVG geeft je het recht zo’n account te laten verwijderen wanneer de dienstverlening afgelopen is. (Enkele administratieve gegevens mogen ze bewaren, bijvoorbeeld vanuit een fiscale bewaarplicht, maar dat is NIET hetzelfde als het account bevriezen. Het account moet weg, die fiscale gegevens bewaar je maar lekker ergens anders.)

Natuurlijk moet de dienstverlener bij zo’n verzoek om verwijderen vaststellen dat hij met de juiste persoon te maken heeft. Maar je mag daarvoor niet eisen dat iemand diens paspoort laat zien, of via een externe dienst zo’n bewijs van overheidsidentiteit levert. Dat is immers niet nodig: wie in het account kan inloggen, is de persoon om wie het gaat en dus de persoon die een verwijderverzoek mag doen. Klaar.

Helaas zijn er vele dienstverleners die baat hebben bij “al X miljoen mensen spelen bij ons” in de reclame, en daarom verzonnen argumenten er met de haren bij slepen om dit niet te hoeven doen. Dit is een mooi voorbeeld. Er is – ook los van de AVG – geen legitieme reden om een account te laten bestaan als de houder het op wil heffen.

“Wij willen uw paspoort zien want als u Braziliaan bent dan doen wij dit niet” komt bij mij niet door de giecheltoets. Er zijn genoeg manieren om eenvoudig vast te stellen uit welke regio iemand komt. Een GeoIP database bijvoorbeeld, of gewoon het vragen (en dat alleen op verzoek laten wijzigen, hoe vaak emigreren mensen immers) is al een stuk veiliger en goed genoeg.

Arnoud

Verkopers IoT-apparaten vanaf 27 april wettelijk verplicht updates te leveren

| AE 13305 | Informatiemaatschappij, Ondernemingsvrijheid | 14 reacties

Verkopers van Internet of Things (IoT)-apparaten, zoals smart tv’s en horloges, printers, camera’s en babyfoons, zijn vanaf 27 april wettelijk verplicht om software- en beveiligingsupdates te leveren. Dat las ik bij Security.nl vorige week. Nadat in februari de Tweede Kamer akkoord was met een updateplicht, stemt nu ook de Eerste Kamer in. En ja, 27 april was vorige week maar de stemming was op 19 april en het ging om invoering van een Europese regel, dus heel veel rek was er niet meer.

De kern van de updateplicht staat in artikel 7:18 lid 4 BW:

Bij een zaak met digitale elementen zorgt de verkoper ervoor dat de updates, waaronder beveiligingsupdates, die nodig zijn om te bewerkstelligen dat de afgeleverde zaak aan de overeenkomst beantwoordt, aan de koper worden gemeld en geleverd gedurende de periode die de koper redelijkerwijs kan verwachten, gezien de aard en het doel van de zaak en de digitale elementen, en rekening houdend met de omstandigheden en de aard van de overeenkomst als de koop voorziet in levering van de digitale inhoud of digitale dienst.
Een zaak met digitale elementen is hoe wetgevingsjuristen een IoT-apparaat of “slim apparaat” omschrijven: een ding dat op je tenen valt (en dan pijn doet) maar met software erin. De regel geldt dan weer niet voor los verkochte software op een drager, en ook niet voor software-als-download.

De wet schrijft dus niet een specifieke periode voor, maar koppelt deze -net als de ‘gewone’ verwachting omtrent goed werken- aan de redelijke verwachting van de koper. Dat is dus iets dat we in de rechtspraak moeten gaan zien wat redelijk is. Bij een slimme vaatwasser (ik heb er een: hij appt me als hij klaar is, dit schijnt slim te zijn) mag je denk ik langer updates verwachten dan bij een speelgoedlaptop voor kleuters, om eens wat te noemen. Maar simpelweg weigeren updates te leveren, of verwijzen naar de fabrikant, dat zit er niet meer in.

Zoals ik in februari al blogde, er is een gaatje in lid 6 van datzelfde artikel:

Van het niet beantwoorden van de afgeleverde zaak aan de overeenkomst in de zin van de leden 2 of 4 is geen sprake indien de koper er bij het sluiten van de overeenkomst uitdrukkelijk van in kennis werd gesteld dat een specifiek kenmerk van de zaak afweek en de koper die afwijking bij het sluiten van de overeenkomst uitdrukkelijk en afzonderlijk heeft aanvaard.
Mij is nog steeds niet duidelijk of dit een verplicht te aanvaarden vinkje mag zijn. Ik vermoed ondertussen van wel, mits maar duidelijk in de begeleidende informatie staat dat het zonder updates komt.

Een interessante signalering nog in de comments bij Security.nl:

Er komt een certificering Cyberveiligheid van consumenten IoT, zie https://www.kiwa.com/nl/nl/service/etsi-en-303-645-beveiliging-iot-consumentenelectronica/. De betreffende norm (ETSI EN 303 645) is redelijk specifiek in waar aan voldaan moet worden.
Een winkel zou bij haar inkoopbeleid dan kunnen eisen dat fabrikanten een dergelijke ETSI-certificering hebben, zodat zij weten dat de software goed te updaten is.

Arnoud

Tot wanneer kan ik mijn zonnepanelen op afstand annuleren?

| AE 13296 | Ondernemingsvrijheid | 19 reacties

PeggyMarco / Pixabay

Een lezer vroeg me:

Recent heb ik via een internetbedrijf een offerte voor zonnepanelen aangevraagd. Zelf de maten opgegeven met hun handige tool, via de mail installatiedatum afgesproken, 25% aanbetaald maar nu voel ik me er toch minder happy bij. Kan ik dit nog annuleren met de Wet koop op afstand?
Hoofdregel is dat je iedere als consument gesloten internetovereenkomst kunt annuleren, behalve de in de wet genoemde uitzonderingen. Er zijn daarbij geen arbitraire grenzen zoals een minimaal of maximaal geldbedrag, en er zijn ook geen categorale uitzonderingen. Zonnepanelen zijn misschien niet zo alledaags als een nieuwe onderbroek of een televisie, maar juridisch zijn ze gewoon ‘producten’ en die kunnen na aanschaf retour.

Alleen, vaak gaat het bij zonnepanelen (net zoals hier) om wat juristen een gemengde overeenkomst noemen, waarin zowel producten worden geleverd als diensten – de dienst van het bevestigen en installeren van de zonnepanelen. Bij diensten geldt de wet net zo, alleen begint de 14 dagen daar bij de dag van bestelling, niet van levering. Dat geeft dan tegenstrijdige uitkomsten: de installatie is te annuleren tot 14 dagen na tekenen offerte, de panelen mogen terug tot 14 dagen na installatie. Dat gaat niet.

De Europese Commissie heeft in 2014 een leidraad uitgebracht met uitwerkingen van hoe zij het consumentenrecht bedoeld had. Hierin staat dat je in zo’n geval moet kijken wat het zwaartepunt is, gaat het primair om de verkoop van de panelen of primair om de dienst. Op p8 noemen ze dan twee relevante voorbeelden van wat primair een koopovereenkomst is:

  1. de aankoop van een nieuwe keuken en de installatie ervan in het appartement van de consument;
  2. de aankoop van specifieke bouwelementen, zoals ramen en deuren en hun installatie in het huis van de consument;
Voor mij is de levering en installatie van zonnepanelen duidelijk hetzelfde als deze twee voorbeelden. Installatie van een keuken zal ook flink wat werk zijn, en een raam vervangen gebeurt ook niet in tien minuten. (Stilzwijgende aanname hierbij is wel dat er geen maatwerk in zit, zoals een ingemeten keukenblad of een gekke maat raam.)

De 14 dagen begint bij zonnepanelen dus bij de dag van levering, wat gewoonlijk samenvalt met de installatiedag. En omdat je mag annuleren tót die 14 dagen, zou je dus ook nu al je herroepingsrecht kunnen inroepen.

Een randvoorwaarde die bij een installatiebedrijf nog kan spelen: het moet wel gaan om een overeenkomst die gesloten is “in het kader van een georganiseerd systeem voor verkoop of dienstverlening op afstand”, zoals de wet dat noemt. Als je dus een installateur vindt via internet en dan via de mail of telefoon afspraken maakt, is dat nog géén overeenkomst op afstand.

Ook kan het zijn dat je wel een aanvraag doet via internet (al dan niet via een handige zelfservice opmeet/intake-tool zoals de vraagsteller) maar dat men daarna even langskomt, en vervolgens een offerte stuurt die moet worden getekend. Dat valt er voor mij ook buiten, omdat je dan niet de overeenkomst sluit via internet. Dat gebeurt pas immers als je de offerte getekend retourneert, en dat is dan geen systeem meer.

Arnoud

Met historisch akkoord herschrijft Brussel de regels voor het internet, nou nou nou

| AE 13299 | Ondernemingsvrijheid, Regulering | 4 reacties

De Europese Unie laat een tijdperk van zelfregulatie achter zich met de invoering van ingrijpende nieuwe regels voor internetbedrijven, zo noemt NRC het. Nu.nl is iets feitelijker: De EU-lidstaten, de Europese Commissie en het Europees Parlement zijn het in de nacht van vrijdag op zaterdag eens geworden over definitieve, strengere wetgeving die de macht van… Lees verder

Ik word een beetje moe van al die ongevraagde commerciële DMs op Linkedin wat kan ik doen?

| AE 13290 | Ondernemingsvrijheid | 18 reacties

Een lezer vroeg me: Ik krijg in toenemende mate ongewenste commerciële berichten via Linkedin van niet-contacten. Soms wederom niet gericht op mijn werk en/of interesses, maar meestal wel, want “We zitten toch in dezelfde groep op Linkedin!” Dit nog los van de officiële gesponsorde berichten die je via LinkedIn zelf kunt versturen. Hoezo is dat legaal,… Lees verder

In de VS mag je dus Linkedin scrapen (maar bij ons niet, ja vanwege de AVG)

| AE 13287 | Ondernemingsvrijheid, Privacy | 4 reacties

Het scrapen van data van Linkedinprofielen is geheel legaal, las ik bij TechRadar. De Court of Appeals for the Ninth Circuit (het hogerberoepshof dat onder meer over techstaat Californië gaat) heeft namelijk bevestigd dat dit geen computervredebreuk oplevert. Dit in hoger beroep (na cassatie bij de Supreme Court) van een zaak uit 2017 tussen Linkedin en… Lees verder

Als je eerder op je werk moet komen omdat het inloggen tien minuten duurt, dan ben je dus gewoon tien minuten eerder aan het werk.

| AE 13282 | Ondernemingsvrijheid | 38 reacties

Je zou zeggen dat dit logisch is. Maar nee: een Zuid-Hollands callcenter dat eist dat werknemers tien minuten voor het begin van hun werktijd aanwezig zijn om in te loggen, moet een medewerker voor die minuten gaan betalen. Dat meldde RTL Nieuws vorige week. Het bedrijf Teleperformance eist dit zodat mensen stipt om 9 uur kunnen… Lees verder

Het bestuur pakt zomaar mijn secretarismailbox af!

| AE 13279 | Ondernemingsvrijheid | 5 reacties

Een lezer vroeg me: Toen ik lid van het bestuur van de VvE van mijn appartementencomplex, kreeg ik een bestuursmailadres met mijn functie. Onlangs heb ik mij terug getrokken als bestuurslid. Op de datum waarop het terugtreden officieel werd is het e-mailadres geblokkeerd. Er is mij geen gelegenheid gegeven het adres op te schonen, berichten… Lees verder

Met een “bestel nu” op je knop hebben je klanten niets besteld

| AE 13270 | Ondernemingsvrijheid | 13 reacties

Snelle quiz, als er “Bestel nu” op een bestelknop in een webwinkel staat, sluit je juridisch gezien dan een overeenkomst als je erop klikt? Eh, nee, aldus de rechtbank Amsterdam een paar weken geleden. Ja, keek ik ook van op maar het klopt: bij een online bestelproces zit je ergens pas aan vast als het “op… Lees verder

Broncode van originele WipEout-game voor PSX en Windows verschijnt online

| AE 13253 | Ondernemingsvrijheid | 1 reactie

De originele broncode van de eerste WipEout-game is op internet verschenen, las ik bij Tweakers. Een groep historici heeft de broncode gevonden van de futuristische game uit 1995, een van de launchgames van de originele PlayStation. Men meldt op Twitterr dat onduidelijk is of de code zal compileren, en verzoekt vriendelijk doch dringend niet te vragen om… Lees verder