Categorie: Ondernemingsvrijheid

About Ondernemingsvrijheid

Subscribe Feeds

IT’er die klant met gestolen data afperste moet ex-werkgever 65.000 euro betalen

Geplaatst op in Internetrecht, Ondernemingsvrijheid, Security, 4 reacties
data, security, keyboard
Photo by TheDigitalWay, Pixabay

Een IT’er die bij een klant van zijn werkgever medische gegevens stal, en daarmee de klant vervolgens probeerde af te persen, moet zijn inmiddels ex-werkgever 65.000 euro betalen. Dat las ik bij Security.nl.

Uit het vonnis valt te halen dat dat de IT’er verantwoordelijk was voor het afpersen van een grote klant met gestolen medische gegevens. Dat leidde tot een strafrechtelijk traject, en deze civiele procedure sloot daar weer op aan. Dat is namelijk een handigheidje uit het procesrecht: als er een definitief strafvonnis is, dan is dat dwingend bewijs in een latere procedure.

Hier was de strafzaak nog niet definitief: de IT’er kon nog in hoger beroep. Daarom mag de rechter het vonnis niet als dwingend bewijs accepteren, maar vanuit de regel van vrije bewijslast er wel naar kijken. Dit kwam erop neer dat de rechter er van uitgaat dat het vonnis juist is, totdat de IT’er met tegenbewijs komt.

Het begint nog rechttoe rechtaan genoeg:

In het strafvonnis is overwogen dat na onderzoek is gebleken dat op 27 maart 2021 een dataoverdracht heeft plaatsgevonden van de server van [eiseres] via een IP-adres dat door [gedaagde] gebruikt bleek te zijn. Verder is overwogen dat die gegevens beveiligd waren met een certificaat waarover [gedaagde] beschikte. Dit heeft geleid tot nader onderzoek naar [gedaagde] , onder meer door een huiszoeking in zijn woning op 22 april 2021. Bij die gelegenheid is in zijn woning een USB-stick aangetroffen met daarop datasets die omstreeks het tijdstip van de download op een telefoon (Microsoft Lumia) van [gedaagde] zijn beland. Op die USB-stick stonden ook het voor toegang tot de server van [eiseres] benodigde certificaat en bijbehorende wachtwoord. Dit alles is in dit geding niet door [gedaagde] bestreden.
De ex-werknemer kwam echter met de verklaring dat derden op zijn thuisnetwerk hadden ingebroken omdat hij een gemakkelijk te raden wachtwoord had. Daar gelooft de rechter niets van, en om weer eens te laten zien dat rechters écht wel verstand van IT hebben citeer ik gewoon het vonnis:
[Verdachte geeft] geen enkele verklaring voor het feit dat het bestand, het certificaat en het bijbehorende wachtwoord op een usb stick terecht zijn gekomen (en tegelijk ook op zijn Microsoft Lumia telefoon), die in zijn woning lag. Een usb stick pleegt immers niet verbonden te zijn met een netwerk. Bovendien vraagt het veel meer toelichting dan geboden als [gedaagde] heeft willen betogen dat op het toevallige moment dat de usb stick met computer of telefoon verbonden was de download (zonder dat hij daar erg in had) plaatsvond én naar zijn telefoon én naar de usb stick.
En nog even los van het technische: de kantonrechter “probeert zich een voorstelling te maken” van waarom zo’n derde dit zou doen, want wat schiet die ermee op? Die doet dan een ingewikkelde inbraak van buitenaf, maar heeft de data dan op gegevensdragers waar die vervolgens niet bij kan. En waarom dan deze meneer de gegevens in de digitale schoenen schuiven?

Alles bij elkaar gelooft de rechter er dus niets van, en de technische bewijsvoering is overtuigend genoeg dat het feit vanaf de apparatuur van de IT-er is gepleegd. Maar is dat genoeg om hem tot schadevergoeding te dwingen? In het arbeidsrecht is dat geen eenvoudige vraag want werknemers zijn vrij stevig beschermd, zelfs bij handelen dat riekt naar opzettelijk de fout in gaan.

In dit geval was de complicatie dat die grote klant zo te lezen de werkgever aansprakelijk had gesteld voor de schade. Dat wil je als werkgever dan verhalen (regres nemen), maar dat vereist bij de werknemer opzet of bewuste roekeloosheid (art. 7:661 BW). En let op: het moet dan gaan om opzet op het willen aanrichten van de schade, niet enkel maar opzet op het verrichten van de handeling.

De rechter vindt dat hier aan opzet is voldaan – downloaden en afpersen is iets dat je alleen doet als je dat ook echt van plan was. Dan wil je schade veroorzaken. Daarom moet de IT-er alle schade vergoeden, wat oploopt tot een bedrag van € 64.795,28.

Arnoud

Wat moet ik als werkgever met de mailbox van een overleden werknemer?

Geplaatst op in Ondernemingsvrijheid, 6 reacties
Pexels / Pixabay

Een lezer vroeg me:

Hoe moet ik als werkgever bij een klein bedrijf omgaan met een mailbox van een overleden medewerker? Er is zo te zien niets geregeld bij overlijden. Bestaan er voorbeeldprotocollen voor werkgevers over dit onderwerp?
Nee, dergelijke protocollen zijn er niet of nauwelijks. Gewoonlijk gebruik je de “uit dienst” protocollen omdat het op hetzelfde neerkomt. Je moet erbij vanwege werkredenen, en je houdt als goed werkgever rekening met de persoonlijke levenssfeer van de ex-werknemer. Of in dit geval met de legitieme gevoelens van de nabestaanden en de achtergebleven collega’s.

De AVG geldt natuurlijk niet bij overledenen. Maar privacy en persoonlijke levenssfeer is meer dan de AVG. En goed werkgeverschap is een aparte norm los van die twee: je moet eerlijk, netjes en redelijk handelen in alles dat je doet als werkgever. Mensen verwachten dat je zorgvuldig omgaat met zo’n mailbox of set bestanden, dus dat moet je dan doen.

Een aanvullend punt is dat nabestaanden soms vragen om kopieën van privéberichten uit die mailbox (of chatlogs, of bestanden). Algemeen is er geen plicht om privemails aan ex-werknemers te geven, ook niet aan nabestaanden. Deze mails zijn geen zaken die eigendom werknemer zijn.

We hebben een precedent uit 2021 waarbij Microsoft nabestaanden toegang moest geven tot de mailbox van een overledene. Maar dat ging om een privéaccount waar de erfgenamen juridisch ‘eigenaar’ (eigenlijk opvolgende contractspartij) van waren geworden.

Dat is onvergelijkbaar met de situatie van een overleden werknemer: het mailboxaccount wordt niet krachtens een dienstverleningscontract aan de werknemer beschikbaar gesteld maar is een gereedschap waar de werknemer mee moest werken.

Je kunt ook hier hooguit weer met goed werkgeverschap oordelen dat je mails eventueel in kopie meegeeft, maar dat is dan hetzelfde soort argument als dat je een bepaald schilderij uit de kantoorruimte meegeeft omdat de overledene daar zo aan gehecht was. Het kan, het is prima en netjes, maar het is géén juridisch recht.

Arnoud

Vooruit, nog één keer over de privetelefoon en werkapps

Geplaatst op in Ondernemingsvrijheid, Privacy, Security, 24 reacties

Een lezer vroeg me:

Mijn werkgever eist dat ik een app op mijn privételefoon installeer. Ik maak me zorgen over misbruik van mijn persoonsgegevens door de app-leverancier. Er staat op de site van de app niets over privacy, en de werkgever reageerde verbaasd dat ik hiernaar vroeg. Welke AVG argumenten kan ik gebruiken om mijn zorgen kracht bij te zetten?
We hebben het natuurlijk al vaker gehad over zakelijke apps op de eigen telefoon. In 2018 bijvoorbeeld over een tweefactorauthenticatieapp en in 2019 zelfs een geval waarbij de werknemer ook maar snel een telefoon moest kopen(!) zodat daar een werkapp op gezet kon worden.

De strekking van het antwoord is steeds hetzelfde: de werkgever moet zorgen voor de spullen waarmee het werk wordt uitgevoerd. Als er dus apps nodig zijn voor werkzaken, dan moet de werkgever een apparaat geven waar die app op gebruikt kan worden. Of dat nou gaat om tijdschrijven, authenticatie, e-mail of wat anders is niet relevant.

De enige echte uitzondering is je loonstrookje. Als de werkgever die via een digitale omgeving beschikbaar stelt, dan heb je twee keuzes: of je installeert de app, of je meldt dat je je loonstrookje op papier wilt hebben. Dat laatste is je wettelijk recht, maar er is géén recht om een specifiek digitaal kanaal aan te wijzen zoals een pdf per mail.

Er is nog een soort-van uitzondering: als het normaal is dat een werknemer zelf voor die spullen zorgt, dan heeft de werknemer daar ook nu voor te zorgen. Het clichévoorbeeld is de professioneel kok die eigen messen meeneemt omdat die op zijn handen zijn afgestemd. Dit haakt in op “goed werknemerschap”: je moet redelijk en constructief zijn naar je werkgever toe. En als een app geen problemen of risico’s geeft (bv. een 2FA authenticator), dan is het best onredelijk om dan ‘nee’ te zeggen.

Als de werkgever een app aanwijst voor het werk, dan is de werkgever natuurlijk wel aansprakelijk voor wat die app doet. Dat raakt dus aan de AVG maar ook aan andere wetten, zoals in 2021 behandeld. Dit betekent dat hij onder de AVG de benodigde informatie moet verstrekken over wat de app verzamelt en doet op het gebied van persoonsgegevens. Dat mag in eerste instantie op het niveau van “hier is de privacyverklaring van de app-leverancier” maar hij mag niet verwijzen naar de helpdesk en je het zelf laten uitzoeken. (Voor de fijnproevers: het maakt daarbij niet uit of de app-leverancier kwalificeert als verwerker of verwerkingsverantwoordelijke.)

Als de app-leverancier in het geheel niets meldt over privacy, dan zou ik ernstig de wenkbrauwen optrekken. Het is haast ondenkbaar dat een app anno 2024 niets verzamelt, dus hier klopt iets niet. Dus daar drukt de zorgplicht van de werkgever extra zwaar.

Arnoud

Consumentenbond: webwinkels verplichten onnodig aanmaken account

Geplaatst op in Ondernemingsvrijheid, Privacy, 26 reacties

Twintig van de honderd grootste webwinkels verplichten dat elke klant een account aanmaakt, terwijl daar geen goede reden voor is, het slecht voor de privacy is en er een groter risico is om in een datalek voor te komen, zo stelt de Consumentenbond. Dat meldde Security.nl onlangs. Het is dan ook een veel voorkomende ergernis.

De Bond legt uit:

Je moet voor een account vaak ook teveel informatie (verplicht) invullen. Veel webshops willen bijvoorbeeld per se je geboortedatum weten of je geslacht. Dat is vooral interessant voor hun marketingafdeling. Voor het opsturen van de bestelde spullen is het totaal niet nodig (hooguit of je meerderjarig bent).
Vervolgens komt de vraag of het juridisch wel in de haak is. De ACM constateert dat de wet niks zegt over webwinkelaccounts en dat er dus geen regels worden overtreden. <denigrerend>Pff.</denigrerend> Maar goed, die gaan dan ook niet over de AVG en juist dáár zitten de pijnpunten natuurlijk.

De meeste webwinkels gebruiken persoonsgegevens voor het afhandelen van een bestelling. Dan is het in principe simpel: bestelling afgehandeld, gegevens weggooien. Ja ja, natuurlijk niet de factuurgegevens want de Belastingdienst wil dat je dingen bewaart. Maar dat hoeft niet in een account waar de klant bij kan, en geboortedatum of geslacht is al helemaal niet nodig voor de factuur.

Zoals ik in september blogde:

Natuurlijk zijn daar uitzonderingen op. Bij webwinkels zie je bijvoorbeeld vaak dat men redeneert, je hebt nog een periode garantie op het gekochte, en het account is nodig om de garantieaanvraag af te handelen. Daar valt wat voor te zeggen, zij het dat je garantie ook moet kunnen claimen als je geen toegang meer hebt tot het account. Het kan enige overtuigingskracht kosten om een organisatie dit duidelijk te maken, maar je staat in je recht als je zo’n account wil laten verwijderen.
Tegelijkertijd blijf ik sterk het gevoel houden dat webwinkels dit soort accounts aanbieden omdat (a) het zo in de software zit dus waarom niet (b) de direct marketing net wat eenvoudiger gaat en (c) niemand er moeilijk over doet.

Meelezende webwinkeliers, waarom bieden jullie accounts aan klanten aan?

Arnoud

 

Digitaal gekochte serie mag je niet altijd houden: ‘Koopknop is misleidend’

Geplaatst op in Intellectuele rechten, Ondernemingsvrijheid, 17 reacties

Mensen die via hun PlayStation-account een Discovery-serie kochten, kunnen die vanaf 2024 niet meer kijken. Dat meldde Nu.nl onlangs. En vooral: de aankopen worden van accounts af gehaald en niemand krijgt geld terug. Ik heb dat “misleidend” gezegd en drukte me nog zachtjes uit.

De nadere uitleg:

Het was van 2008 tot 2021 mogelijk om films en series te kopen via de PlayStation Store van Sony. De titels konden daarna worden afgespeeld via de spelcomputer. Twee jaar geleden verdween die optie, maar eerder gekochte films en series konden nog wel bekeken worden. Doordat Sony’s licentie voor titels van Discovery afloopt, verdwijnen die titels na 31 december dit jaar alsnog uit de accounts.
Nou is het tot daar aan toe dat men geen nieuwe films of series meer wil verkopen. Maar het is buitengewoon raar dat men nu de gekochte titels ontoegankelijk gaat maken, ook al is dat met een beroep op een afgelopen tijdelijke licentie met rechthebbenden.

Sterker nog: dat tijdelijke karakter is wat het zo erg maakt, want dan wist Sony dus dat de licentie op 31 december 2023 zou aflopen toen men tussen 2008 en 2021 de titels ‘verkocht’. En oké, misschien was dit een contract voor steeds 5 jaar met verlenging, maar dan nog weet je of moet je weten dat daar een eind aan kan komen.

Dat is belangrijk, want de term ‘koop’ betekent voor iedere jurist dat je ergens de eigendom op verwerft in ruil voor een eenmalige vergoeding. En inderdaad, digitale titels zijn geen ‘zaken’ zoals de wet dat noemt, je kunt een mp3-bestand niet op je voet laten vallen.

De wet regelt wel de aanschaf van zulke producten (boek 7, titel 1aa) maar stelt deze niet gelijk aan de koop van fysieke zaken. “De afgeleverde digitale inhoud of digitale dienst moet aan de overeenkomst beantwoorden”, is kort gezegd de eis. Daaronder valt onder meer dat deze

wat betreft de beschrijving, hoeveelheid en kwaliteit, functionaliteit, compatibiliteit, interoperabiliteit en andere kenmerken, voldoen aan de overeenkomst;
maar daar kun je hooguit uit halen dat als er is gezegd dat de licentie eeuwigdurend is, ze de licentie niet mogen intrekken.

Wat zeggen de PSN Terms of Service hierover? Artikel 11.3 komt het dichtst in de buurt:

Video Content may be made available to you as a live or near-live stream (“Live Stream Content”), as a licensed copy for rental for a limited duration (“Licensed Rental Content”), a licensed copy for an indefinite duration (“Other Licensed Content”) or (…).
Ik zie daar een duidelijk onderscheid tussen “rental” en “purchase” waarbij de laatste verbonden is aan “indefinite duration”. Nou zal Sony dat ook vast wel bevestigen, maar zij beroepen zich dus op een licentie die is verlopen, en dan komen we bij een heel ander artikel uit:
10.8. The limited license granted herein, and all use or access to the Content, is expressly conditioned on your compliance with this agreement’s terms, applicable Usage Terms, other applicable agreements, if any, and all applicable copyright and intellectual property rights laws.
Hier staat dus: alle toegang tot de content is afhankelijk van wat de copyrightwetgeving zegt en welke afspraken wij met anderen maken. Dus als Discovery (de contenteigenaar) het contract opzegt/niet verlengt, dan hebben wij geen “applicable agreement” meer om de licentie te verlenen en dan stopt deze dus.

Mag ik dit misleidend noemen? Ja, dit mag ik misleidend noemen. Je kunt niet in kleine lettertjes (en al helemaal niet zo’n boilerplate bepaling als 10.8) iets volledig wegnemen dat je in de grote letters expliciet hebt beloofd. En de term “koop” of “purchase” is nu eenmaal een belofte dat het voor eeuwig jouw eigendom is, dat is de hele betekenis van het woord.

Ondertussen komen we natuurlijk meteen terug bij de grote makke van het consumentenrecht: je recht halen is heel wat anders dan je recht krijgen. Wie gaat er voor een paar weggehaalde films Sony aanklagen, met alle heisa en advocatengedoe van dien?

Een massaclaim kan natuurlijk, maar ik denk dat daarvoor het collectief belang (lees: de opbrengst) te klein zal zijn. Wat wél interessant kan zijn, is massaal klagen bij het Europees Consumenten Centrum (ECC). Deze organisatie bemiddelt bij problemen met webwinkels elders in de EU, waar Sony Playstation (Ierland, natuurlijk) aan voldoet.

Zoals een anoniem commentende jurist het destijds uitlegde:

Het ECC is een organisatie die wordt betaald door de EU om consumenten bij internationale overeenkomsten te helpen en zo nodig te bemiddelen. Er zit dus een ECC kantoor in elke lidstaat en die kantoren overleggen zo nodig met elkaar. De consument en handelaar moeten dus in verschillende landen gevestigd zijn voor het ECC kan helpen. Maar anders dan het Juridisch Loket komt het ECC dus zelf in actie voor een consument.

En daar komt nog iets bij: de Europese Procedure voor Geringe Vorderingen of EPGV. Bij internationale geschillen binnen de EU (behalve Denemarken) kun je tot een bedrag van €5000 relatief eenvoudig procederen via een verzoekschriftprocedure (dus geen dagvaarding nodig). Simpelweg door standaard EPGV formulieren in te vullen. Nederlandse consumenten sturen dat naar een Nederlandse rechter die relatief snel overgaat tot een uitspraak nadat de wederpartij in de gelegen is gesteld om te reageren. Dat resulteert in een officiële beschikking met executoriale titel die in het andere land ten uitvoer kan worden gebracht. Er zit dus voor de helderheid ook een risico op verlies en een proceskostenveroordeling in het nadeel van de eiser aan vast.

Een heel andere route – vanwege de misleiding – is te klagen bij de consumententoezichthouder ACM. Ik weet alleen niet hoe veel mensen in Nederland hier daadwerkelijk last van hebben.

Arnoud

 

 

 

Rechter VS gaat onderzoek doen naar Google wegens verwijderde chatberichten

Geplaatst op in Ondernemingsvrijheid, Regulering, 2 reacties

Amerikaanse rechter James Donato zegt Google te gaan onderzoeken. Dat meldde Tweakers maandag. De aanleiding zijn chatberichten die Google moedwillig heeft vernietigd, terwijl dat potentieel bewijsmateriaal was in een lopende rechtszaak tussen het bedrijf en Epic Games. Dat vond Donato niet leuk: “Ik ga tot op de bodem uitzoeken wie er verantwoordelijk is”, zo wordt hij in The Verge geciteerd.

De zaak an sich is best interessant, omdat het duidelijkheid kan geven in wat grote bedrijven met appwinkels mogen. Epic is de aanbieder van het populaire Fortnite, en wilde onder meer een eigen betaalsysteem toepassen:

Ruim drie jaar geleden sleepte Epic Games de mobiele techgiganten Apple en Google voor de rechter. Beide bedrijven werden ervan beschuldigd illegale monopolies te hebben met hun appwinkels, concurrentie in de weg te zitten en hoge commissies te vragen op in-appaankopen, waarvoor geen alternatieven beschikbaar zijn.
Tijdens de zaak werd duidelijk dat Google, net als heel veel bedrijven, een auto-delete heeft op alle interne communicatie. Dat is mede vanwege zorgen over rechtszaken. In de VS moet je namelijk bij een civiele zaak alle mogelijk relevante stukken overleggen aan de wederpartij (“discovery”) zodat beide partijen met open vizier strijden. Dan is een onhandig geformuleerde e-mail uit 2012 erg vervelend.

Het voelt als vernietigen van (potentieel) bewijs, maar het is een staande regel dat als jij beleid hebt met objectieve criteria wat er weg gaat en wanneer, je niets verkeerd doet als je dat beleid uitvoert. Bijvoorbeeld: “alle mail van een ex-werknemer gaat weg 30 dagen na uitdiensttreding”.

Wanneer een rechtszaak eenmaal loopt, ligt dat natuurlijk anders. Dan mag potentieel bewijs absoluut niet worden weggegooid of vernietigd. In het jargon zit er dan een “litigation hold” of “legal hold” op zo’n stuk. (Het is open voor debat wanneer een zaak ‘loopt’, is dat vanaf de eerste blafbrief, pas na ontvangst dagvaarding of misschien zelfs vanaf wanneer je had kunnen dan wel moeten weten dát er een blafbrief of dagvaarding aan gaat komen. Dit verschilt per staat en ga hier alsjeblieft niet zelf mee knutselen.)

Gebruikelijk is dat de advocaten (of bedrijfsjuristen) aangeven wat er bewaard moet worden, omdat zij weten waar de zaak over gaat en de wet het beste kennen. Bij Google is het opmerkelijk genoeg de werknemer die het schuifje legal hold aanzet bij de chat en e-mail, wat er dus toe kan leiden dat ceo Sundar Pichai dat niet deed terwijl er al een rechtszaak liep.

Het ging ook mis bij een ander punt: Pichai gaf aan dat hij soms documenten als “privileged” markeert om te voorkomen dat ze in handen van de wederpartij komen. Privilege wil zeggen dat het vertrouwelijke communicatie tussen advocaat en cliënt betreft – daar mag de andere partij uiteraard geen inzage in hebben. Dat labeltje ergens op plakken is dus best wel een stap, en misbruik daarvan maken om spullen weg te houden zeer zeker niet de bedoeling.

Gezien de feiten snap ik best dat rechter Donato boos is. Hij spreekt van “een frontale aanval op de eerlijke rechtspraak”. “Ik ga tot op de bodem uitzoeken wie er verantwoordelijk is”, aldus Donato.

Wat hij precies kan doen om dat onderzoek uit te voeren is iets minder duidelijk. Hij heeft geen onderzoeksafdeling en kan ook de politie niet instrueren om iets te gaan doen. Hij kan wel dingen doen als als de advocaten van Google instrueren om nu álle documenten te geven en daar een onafhankelijk onderzoeker op zetten die zegt wat er echt advocaatcorrespondentie is, bij ieder onjuist gelabeld document krijgt de advocaat persoonlijk 1000 dollar boete. Hij kan ook een advies aan de beurstoezichthouder FTC geven dat die eens heel goed moeten kijken wat Google allemaal uitspookt, of de Orde van Advocaten aanraden dat ze alle Google-advocaten een fikse waarschuwing geven.

Arnoud

 

Consumentenbonden vinden keuze tussen betaald en gratis Instagram misleidend

Geplaatst op in Ondernemingsvrijheid, Privacy, 23 reacties

Mensen moeten sinds kort kiezen tussen betaalde of gratis varianten van Instagram en Facebook, las ik bij Nu.nl. Europese consumentenorganisaties noemen die keuze misleidend, oneerlijk en agressief. En dat zijn niet zomaar termen: het is de aanloop naar een rechtszaak wegens schending van het consumentenrecht.

Een klein maandje geleden maakte Facebook- en Instagram-moederbedrijf Meta bekend dat haar diensten nu ook tegen betaling afgenomen konden worden, en dan zonder personalisatie. Dit naar aanleiding van een uitspraak van het Hof van Justitie dat je AVG-technisch niet van ’toestemming’ kunt spreken als er geen betaald alternatief is voor je gratis-met-profiling dienst.

Je kunt nu dus kiezen: betalen of gratis met advertenties. Maar dat laatste is dus misleidend:

Volgens directeur Sandra Molenaar van de Consumentenbond misleidt Meta gebruikers. “Het bedrijf doet alsof er een keuze is tussen een betaalde en gratis optie”, zegt ze. “Terwijl consumenten in de gratis variant in feite betalen met hun gegevens. Er zijn heel duidelijke gerechtelijke uitspraken die zeggen dat deze vorm van gegevensverwerking ook een vorm van betaling is.”
Daarin weegt mee dat je niet verder kunt totdat je de keuze hebt gemaakt. Even een nachtje erover slapen is er dus niet bij. En dat is een klassieke vorm van een agressieve handelspraktijk, die net als de misleidende handelspraktijk sinds enige tijd verboden is in Europa.

Het roept de fundamentele vraag op: hoe moet het dan wel? Als ze alleen de betaalde dienst hadden laten bestaan, was er denk ik weinig juridisch tegenin te brengen. Een netwerkdienst voor 10 euro per maand en zonder tracking, wat precies is daar mis mee. Maar het komt nu agressief over omdat we al heel lang die gratis versie hadden, en dus ons op kosten gejaagd voelen om die tracking te kunnen vermijden.

Je zou deze duale constructie kunnen zien als een vorm van afschrikken: als jij niet gewoon toestemming geeft, dan gaat dat geld kosten vriend. En dan kom je alsnog terug bij de discussie over de vrijwilligheid van toestemming – als er nadelige gevolgen zitten aan je weigering, dan is de toestemming niet rechtsgeldig. Maar wat is een “nadelig gevolg” (detriment, in de literatuur)? Hierover schreef ik vorige maand in de comments:

Als ik terugga in waar die term “detriment” of “nadelig gevolg” vandaan kom, dan kom ik bijvoorbeeld bij WP 187 van wat nu de EPDB is. Hieruit haal ik dat iets nadelig is als het zeg maar bestraffend is, je afschrikt die optie te kiezen. Dit halen ze uit eerdere papers over consent bij medische zaken (bij weigering consent geen behandeling, WP 131) en bij het werk (WP 48, bij weigering geen promotie/nieuwe baan).

Ik kan “een dienst kost geld als je geen persoonsgegevens afstaat” niet op één lijn zien met dergelijke consequenties. Niet behandeld worden als je gegevens niet naar een universiteit mogen voor een breed onderzoek is een heel andere orde dan 10 euro betalen of verstoken blijven van de dienst. Zo veel dingen kosten geld, en geld vragen voor een dienst is ook een legitieme uitoefening van je recht van ondernemersvrijheid. Daarmee komt ook die “passende vergoeding” in een ander licht te staan: als je de fee zo kiest dat het een boete wordt, dan ben je aan het bestraffen in plaats van gewoon je recht op vergoeding voor geleverde diensten uit te oefenen.

Daar kun je wel tegenover stellen dat het aangeboden alternatief verder gaat dan het Hof zei: je betaalt voor advertentievrij Facebook of Instagram, en dat is meer dan enkel trackingvrije dienstverlening. Een optie van zeg 5 euro met ongerichte advertenties zou er dus nog prima tussen hebben gepast.

Arnoud

 

Oud-werkgever verwijdert foto niet van website ondanks afspraak wel te doen

Geplaatst op in Ondernemingsvrijheid, Privacy, 13 reacties

Via Reddit:

Op een dag werd besloten dat er foto’s van ons moest worden gemaakt voor op de website. … Begin dit jaar heb ik mijn ontslag ingediend en met de manager per mail vastgelegd; dat wanneer ik uit dienst treed, mijn foto van de website wordt verwijderd. Dat dat zou worden gedaan is toen nadrukkelijk bevestigd. Nu maanden later, staat mijn foto er nog steeds.
Een uitgemaakte zaak, zou je zeggen: er is gevraagd om verwijdering en verwijdering is toegezegd, dus dan moet dat er gewoon van komen. Hoe je dit juridisch ook speelt – AVG, portretrecht, goed werkgeverschap – het moge duidelijk zijn dat bij een toezegging “dit gaat weg” de foto weg moet, en wel zo snel mogelijk.

Maar wat nu als de werkgever had willen zeggen, wij halen geen foto weg? Dan wordt het ingewikkelder, want welke juridische rechten spelen er dan? Allereerst het portretrecht natuurlijk, maar ook de AVG speelt een rol.

Over dat portretrecht speelde in 2019 een zaak van een ex-werknemer op de bedrijfsbus. Die moest eraf, want de werkgever kon niet aantonen toestemming te hebben en na uitdiensttreding heeft de werknemer een redelijk belang zich tegen gebruik te verzetten.

Maar in 2021 won Coolblue als werkgever een vergelijkbare zaak omdat de werknemer rechtsgeldig toestemming had gegeven. Het arbeidscontract had namelijk een expliciete regeling over foto’s mogen maken en gebruiken voor reclame, ook na uitdiensttreding (“Dan hebben we gelukkig de foto’s nog”). Omdat je in een arbeidscontract vrij bent om afspraken te maken, was dat rechtsgeldig.

Ik zeg dat er expliciet bij, omdat vaak ná indiensttreding nog toestemming wordt bedongen, en dat is natuurlijk niét rechtsgeldig. De reden daarvoor laat de vraagsteller mooi zien:

Dit is toen gedaan door iemand, die destijds daar werkte en talent heeft voor fotograferen en photoshop. De foto’s hebben we toen ‘vrijwillig’ laten nemen. Niet op de foto gaan was niet echt een optie.
Je kunt geen toestemming geven als die vrijwilligheid ontbreekt. Dus zonder risico of nadeel “nee liever niet” zeggen. En dit is al heel snel aan de orde bij werkgevers: je wil die promotie, dat vaste contract of zelfs maar die loonsverhoging over drie maanden.

Kun je toestemming intrekken? De auteurswet zegt daar niets over, maar de AVG natuurlijk wel. Maar ook vanuit de redelijkheid en billijkheid zou volgen dat je niet zomaar voor de eeuwigheid toestemming kunt geven voor gebruik van je beeltenis.

De rechter in die Coolblue zaak ging daar ook wel in mee, maar heeft tegelijkertijd ook oog voor de enorme kosten van het overspuiten van al die busjes. Coolblue had al toegezegd het portret niet meer voor nieuwe uitingen te gebruiken, maar per direct alles moeten verwijderen gaat nogal ver gezien de kosten.

Bij de vraagsteller gaat het om foto’s in de online omgeving, waar zulke kosten niet aan de orde zouden moeten zijn. Dat “de oud-werkgever heeft [] aangegeven dat de website wordt vernieuwd en dat het daardoor nog niet is verwijderd”, is natuurlijk volstrekte onzin.

Arnoud

 

Laadpassen voor elektrische auto’s al jaren gevoelig voor fraude, is dat erg?

Geplaatst op in Ondernemingsvrijheid, Security, Uitingsvrijheid, 19 reacties

Laadpassen voor elektrische auto’s zijn al jaren fraudegevoelig, waardoor het mogelijk is om op kosten van iemand anders de auto op te laden. Dat las ik bij Security.nl, dat zich baseert op eigen onderzoek van cybersecuritybedrijf Vest: vanaf het aanvraagproces voor een pas tot aan het gebruik en betalen voor de dienst gaat het mis, aldus onderzoeker Alexander van Ee.

Zo ongeveer alles dat qua security zou kunnen helpen, blijkt niet aangezet of niet aan controle onderworpen. Je kunt een laadpas aanvragen op andermans naam en bankrekeningnummer, zonder controle. Activatie van de pas blijkt praktisch niet nodig. Klonen van passen is triviaal. De pas praat via een onbeveiligd protocol met de laadpaal. Betalen gaat enkel op basis van uitlezen van het pasnummer, en die zijn eenvoudig te raden (en dus te klonen). Oh, en met een extra stukje software kun je druppelladen: opeenvolgende laadsessies van 59 seconden, die stuk voor stuk gratis zijn omdat pas na 1 minuut wordt afgerekend. Bent u daar nog?

Bij NRC deden ze navraag bij de aanbieders, en die zijn pragmatisch:

De laadpasaanbieders en laadpaaloperators zijn zich bewust van de risico’s, maar achten de kans op misbruik klein. Laadstationexploitant Fastned, dat zelf geen passen verstrekt, zegt „geen noemenswaardige fraudeklachten” te ontvangen.
Onderzoeker Pol Van Aubel, verbonden aan de Nijmeegse Radboud Universiteit verduidelijkt:
Bij veel publieke laadpalen is cameratoezicht, en fraude is strafbaar en op te sporen. Het is immers een trage vorm van diefstal, zegt Van Aubel. „Je staat al snel minstens een kwartier te laden, en bij een tragere lader wel twee uur. Het is niet alsof het een heel lucratieve en risicoloze manier van fraude is.”
Het onderliggende probleem is natuurlijk dat alle passen met alle palen moeten werken. Dat oplossen vereist dus aanpassingen in zowel pas als paal, en dat is behoorlijk duur. Maar zou het juridisch moeten, zoals diverse lezers me vroegen?

Toevallig is bijna een jaar geleden de NIS2-richtlijn aangenomen, die eisen stelt aan de cyberbeveiliging van “kritieke infrastructuur”. Laadpaalinfrastructuur valt daaronder (annex 1, categorie Energie/Elektriciteit) dus die exploitanten (aangenomen dat ze middenbedrijf of groter zijn) moeten de boel op orde hebben. Maar wat betekent dat? Artikel 21 legt het uit zoals alleen een jurist zou doen:

Member States shall ensure that essential and important entities take appropriate and proportionate technical, operational and organisational measures to manage the risks posed to the security of network and information systems which those entities use for their operations or for the provision of their services, and to prevent or minimise the impact of incidents on recipients of their services and on other services.

Oftewel, zorg er voor dat het goed is en dat je de risico’s onder controle hebt. En daar zit hem de kneep: is afwezigheid van cybersecurity een probleem als er geen reële gevallen van misbruik daarvan zijn? Niemand laadt op andermans kosten, gekloonde laadpassen zijn geen ding en gratis druppelladen kan maar dan sta je vele uren bij de paal, tsja wie wil dat nou?

Iets formeler gezegd: een goede cyberbeveiliging is gebaseerd op een risicoafweging. Je neemt de grootte van het risico en de zwaarte van de impact mee, en baseert daar je beleid op. Zelden voorkomende issues met nauwelijks impact kun je in dat beleid prima als restrisico/aanvaardbaar classificeren, met eventueel een potje geld voor dat enkele slachtoffer.

Arnoud

?Casetify nept de hoesjes van Dbrand tot op het gênante af, mag dat?

Geplaatst op in Intellectuele rechten, Ondernemingsvrijheid, 7 reacties

Telefoonhoesjesmaker Casetify zou de Teardown-skins van Dbrand en de bekende YouTube Zack Nelson (beter bekend als JerryRigEverything) van top tot teen hebben gestolen. Dat meldde DutchCowboys onlangs. De skins zijn met veel liefde en moeite gemaakt, dus de boosheid is goed te begrijpen. Maar mag het? Er is in ieder geval al een rechtszaak gestart.

Zack Nelson staat bekend als een ’teardown’ specialist: hij haalt elektronica uit elkaar en laat zien wat er precies in zit. Een samenwerking met hoesjesbedrijf Dbrand leverde dan ook een serie skins oftewel stickers op die precies vertonen wat er eigenlijk in die telefoon zit. Een knap staaltje werk om dat zo realistisch te doen:

Dbrand has to carefully disassemble the devices it wants to make a Teardown design for, whether it’s an iPhone 15, iPhone 14, Google Pixel 8, MacBook Pro, or a Galaxy Z Flip 5. It then scans their internals using a commercial-grade machine and puts the image into editing software. There, it makes numerous tweaks, such as removing screws, ribbon cables, and wires, as well as shifting some of the components around to ensure the design fits on the back of the phone, laptop, or tablet before making the prints.
Juridisch gezien is dat leuk en aardig maar het geeft je géén rechten op dat idee. Ideeën zijn immers vrij, dus als iemand anders ook zulke hoesjes of stickers met binnenwerk wil maken, dan is dat helemaal prima.

Casetify blijkt niet het idee over te nemen maar gewoon de foto gekopieerd te hebben. En niet alleen dat: men rommelde wat in de foto door elementen te verplaatsen, kennelijk om de kopieeractie te verhullen.

Duidelijke zaak, zou je zeggen. Alleen: een foto die een exacte replica wil zijn van het binnenwerk van een telefoon ligt auteursrechtelijk moeilijk. Auteursrecht krijg je op creatieve inbreng, en wie zo letterlijk en authentiek mogelijk de werkelijkheid vastlegt brengt geen creativiteit in. Zo’n rechttoe-rechtaanfoto is dus niet beschermd.

Nelson en Dbrand hebben daar wat trucjes voor toegepast:

Dbrand spotted the many Easter eggs it planted within its own designs on Casetify’s Inside Out products. That includes the “R0807” tag, which alludes to Dbrand’s tagline as a brand run by robots, as well as the JerryRigEverything catchphrase “glass is glass and glass breaks.”
Of “R0807” telt als creatief betwijfel ik, een naam of aanduiding is gewoonlijk geen auteursrechtelijk te beschermen element. Maar zo’n slogan, in combinatie met lettertype, positionering en dergelijke, lijkt me wel degelijk een beschermd element.

Casetify heeft niet gereageerd anders dan te bevestigen dat er een rechtszaak loopt.

Arnoud