Mag mijn bank een voorwaardenwijziging afdwingen via online bankieren?

| AE 9155 | Contracten | 4 reacties

Een lezer vroeg me:

Onlangs logde ik in bij telebankieren van de SNS-bank, en toen kreeg ik een pop-up voorgeschoteld over aangepaste algemene bankvoorwaarden. Daaronder stond: “Ik heb dit hele bericht en de wijzigingen gelezen”. Pas als deze knop wordt geactiveerd kun je je rekening inzien, geld overmaken enzovoorts. Is dat wel rechtsgeldig? Ik voelde me gedwongen akkoord te geven omdat ik een spoedoverboeking moest doen in verband met het einde van het jaar.

Het wijzigen van algemene voorwaarden is in feite niets meer of minder dan een contractswijziging. Een contract mag alleen worden gewijzigd met toestemming van beide partijen. Het is niet echt toestemming te noemen als een van de partijen zo afdwingt dat de ander “akkoord” zegt.

Wat wél mag – en volgens mij wat hier speelt – is dat je in de originele overeenkomst opneemt dat de ene partij die voorwaarden eenzijdig mag wijzigen. Toestemming op voorhand is rechtsgeldig, want die geef je wel vrijwillig. Dus als je in je originele voorwaarden hebt staan dat de SNS Bank deze mag aanpassen, dan mogen ze dat en dan hoeven ze niet meer te doen dan die nieuwe voorwaarden netjes aan je te melden. Volgens mij staat er daarom ook “Ik heb dit bericht & wijzigingen gelezen” en niet “Ik ben akkoord met de wijzigingen”.

Het gaat nogal ver natuurlijk dat iemand op voorhand de voorwaarden aan mag passen. De wet stelt er dan ook een paar grenzen aan, met name dat de gehele inhoud van het contract niet over de kop mag (art. 6:236 sub a BW). En meer algemeen mogen de wijzigingen natuurlijk niet onredelijk bezwarend zijn.

‘Afdwingen’ kan ik dit dus niet noemen.

Als de bank (of een andere dienstverlener met portaal waar je inlogt als klant) wél een wijziging zou afdwingen, dan wordt het interessant. Stel in de oude AV staat niets over mogen wijzigen. Dan kun je natuurlijk wel een verplichte popup tonen, maar die betekent volgens mij heel weinig. Een partij kan niet eenzijdig het contract wijzigen, en dat afgedwongen akkoord lijkt me geen instemming met een wijzigingsverzoek.

Ik aarzel of je dit juridisch “misbruik van omstandigheden” moet noemen (omdat de dienstverlener misbruik maakt van de verplichting tot inloggen) of gewoon “geen rechtshandeling” (omdat de klant niet wil maar moet). Maar legaal lijkt het me niet.

Arnoud

Jaar cel voor hacken en phishing, maar creditcardgegevens kun je niet stelen

| AE 9128 | Strafrecht | 20 reacties

Een man uit Amsterdam heeft vrijdag een celstraf van één jaar gekregen omdat hij verschillende websites heeft gehackt, e-mailadressen heeft gestolen en zich in phishing-e-mails heeft voorgedaan als een creditcardbedrijf. Dat meldde Nu.nl onlangs. Hij had ook creditcardgegevens te pakken gekregen, maar deze heeft hij niet gestolen want dat kan juridisch niet, zo blijkt uit het vonnis.

De man had tussen 2014 en 2016 via diverse phishingmails en -sites zich voorgedaan als creditcardfaciliteerder ICS om zo mensen over te halen hun logingegevens te verstrekken. Op die manier kreeg hij creditcarddata te pakken. Justitie wilde dit aanpakken door hem verduistering (onrechtmatig verwerven van een goed anders dan door diefstal) ten laste te leggen. Op zich niet ondenkbaar, want digitale goederen zoals Runescape-objecten of belminuten zijn te stelen, dus waarom creditcarddata niet?

Nou ja, omdat het verschil tussen die objecten en minuten enerzijds en creditcarddata anderzijds is dat die laatste niet “individualiseerbaar” is. Een belminuut is na een minuut op, en een virtueel zwaard kan worden afgepakt en is dan weg. Een creditcardnummer kan wel worden gekopieerd en gebruikt, maar daarmee is het nummer nog niet op.

Wél wordt hier het phishen van dergelijke gegevens gezien als oplichting. Iets dat vroeger niet kon – toen moest er zaken of geld worden afgetroggeld – maar sinds een paar jaar wel: het aftroggelen van informatie met listige kunstgrepen is ook oplichting. En oplichting is ook een ernstig misdrijf met stevige strafmaxima, dus dat is wel een billijke uitkomst. Ook het scannen en binnendringen van diverse websites (om daar de phishingsites te hosten) wordt strafbaar geacht, gewoon ouderwets computervredebreuk.

Leuk detail nog: bewijs was verkregen uit zijn laptop, die in de slaapkamer was aangetroffen bij een huiszoeking. Op de laptop had een politieagent de programma’s Sendblaster Pro, Gr3eNoX Exploit Scanner, Havij en een phishingwebsite gezien, waarna hij deze in beslag nam. Volgens de verdachte had dat niet gekund, omdat de laptop een screensaver had die de agent dan moet hebben weggeklikt. En dat zou dan onrechtmatig zijn, want bij een huiszoeking mag je niet zomaar in een computer kijken. Hoe dat precies zit met die screensaver wordt niet duidelijk, maar de rechtbank gelooft de agent dat deze de programma’s zag en herkende, waarmee de doorzoeking rechtmatig was.

En oh ja wie nog denkt dat rechtbanken technofoob zijn, moet dit vonnis sowieso even lezen.

Arnoud

Mag je je smartphone uitzetten na het werk?

| AE 9160 | Arbeidsrecht | 21 reacties

In Frankrijk krijgen werknemers per 1 januari het wettelijk recht om hun smartphone buiten werktijd uit te zetten, meldde Nu.nl onlangs. Bedrijven met meer dan vijftig werknemers worden wettelijk verplicht hun werknemers te zeggen wanneer ze hun telefoon kunnen uitzetten. Het doel van deze maatregel is de bereikbaarheidscultuur te doorbreken en te zorgen dat werknemers zich niet verplicht voelen te werken als dat eigenlijk Hoe zit dat bij ons?

De Arbeidstijdenwet (Atw) stelt de absolute ondergrenzen (zoals maximaal 12 uur per dag en 60 uur per week werken). Daarbinnen mag de werkgever zelf bepalen hoe de werktijden worden ingevuld. Dat kan met harde regels (8:30 zit je op je plek en 17:00 mag je weer weg) maar dat is niet verplicht. Je kunt dus binnen de redelijkheid dit samen uitzoeken of de werknemer zelf laten kiezen wanneer hij verschijnt en verdwijnt.

In steeds meer beroepen (zeker in de ICT) is het niet gebruikelijk dat met harde werkuren wordt gewerkt. Hoewel er vaak wel streeftijden worden genoemd, is de werknemer in de praktijk vaak best vrij in hoe hij zijn tijden wil invullen. Die praktijk wordt dan wet: als het normaal is dat je tussendoor even privézaken regelt of af en toe eerder weggaat voor een eigen afspraak, dan is dat kennelijk hoe partijen het willen en dan is dat dus de afspraak.

Dat geldt ook voor werken buiten de 8 uren die in het contract staan. Als het normaal is dat je ’s avonds of op een vrije dag nog even je mail checkt, dan is dat deel van je werk. Daarvan kun je dus niet ineens eenzijdig zeggen, ik ben om 17 uur afgewerkt en tot maandag weer. Wijzigen van hoe het werk wordt uitgevoerd, is iets dat in ieder geval in onderling overleg moet worden afgestemd.

Werknemer en werkgever moeten zich ‘goed’ (redelijk en constructief) naar elkaar opstellen. Het lijkt me dat een goed werkgever er weinig moeite mee zou moeten hebben als een werknemer zegt, het is nu avond maar morgen ben je de eerste. Maar ik snap dat dat niet in alle bedrijfsculturen er zo 1-2-3 even door is. Een wetswijziging kan dan een (hoewel grof) middel zijn om dit af te dwingen.

Hoe werkt (haha) dat bij jullie? Wat gebeurt er als je een mail van je manager niet beantwoordt in dezelfde avond of weekend/vrije dag?

Arnoud

Mag je licentie-incompatibele dependencies meeleveren met je software?

| AE 9144 | Open source, Software | 34 reacties

Een lezer vroeg me: Bij veel opensourcepakketten heb je allerlei extra software nodig, zogeheten dependencies. Soms is deze extra software meegeleverd met het pakket, maar vaak niet. Je moet dan maar hopen dat het via de repository van je Linux-distributie beschikbaar is. Ik had vernomen dat dat soms een juridische keuze is, hoe zit dat?… Lees verder

Moeten we de toestemming niet eens afschaffen in het privacyrecht?

| AE 9153 | Privacy | 37 reacties

Meteen maar even een heilig huisje omver in het nieuwe jaar: moeten we niet eens stoppen met het idee dat toestemming vragen voor privacy-inbreuken een werkbaar idee is? Want allemaal leuk en aardig, maar anno 2017 is het concept toestemming geven verworden tot een volstrekt betekenisloze klik onder verwijzing naar een futloze lap tekst die… Lees verder

Juridische voorspellingen voor 2017 (en terugblik op 2016)

| AE 9151 | Iusmentis | 14 reacties

Op deze eerste (werk-)dag van het nieuwe jaar mijn traditionele slechte voorspellingen, en een terugblik op het afgelopen jaar. Wat voorspelde ik voor 2016? Goed, en dan nu.. wat staat ons in 2016 te wachten? Niemand krijgt een boete of aanmaning wegens overtreding van de wet meldplicht datalekken. Klopt, hoewel er bijna 5.500 datalekken zijn… Lees verder

Fijne feestdagen!

| AE 9146 | Iusmentis | 5 reacties

Iedereen fijne feestdagen en een gelukkig alsmede juridisch correct 2017! Vanwege mijn vakantie sluit ik deze vrijdag af met een feestelijke autoversiering (De directie aanvaardt geen aansprakelijkheid voor boetes onder de Wegenverkeerswet): Natuurlijk komen er volgende week diverse jaaroverzichten! Verzoekjes om interessante statistieken zijn welkom. (Afbeelding: US design patent USD 711,306) Arnoud

Zijn wij aansprakelijk als onze systeembeheerder alle klantdata wist?

| AE 9141 | Aansprakelijkheid, Arbeidsrecht | 17 reacties

Een lezer vroeg me: Wij zijn een klein hostingbedrijf en vroegen ons het volgende af. Stel een van onze systeembeheerders met root toegang besluit op een kwade dag om álle klantdata te wissen, en meteen ook maar de backups. Theoretisch kunnen zij dat, en waarschijnlijk ongemerkt ook. In hoeverre zijn wij dan als bedrijf aansprakelijk… Lees verder

Mag je anno 2016 nog een telefoon verkopen met een 2 jaar oude Android?

| AE 9123 | Beveiliging, Contracten | 21 reacties

Een lezer vroeg me: Wij kochten recent een Kurio telefoon, die wordt geadverteerd als “de veiligste telefoon voor kinderen”. Alleen bleek het ding binnen de kortste keren vol met virussen te staan, en na enig opruimwerk zag ik dat de telefoon Android 4.2.2 draait en dat het toestel dus zo kwetsbaar is als wat voor… Lees verder