aansprakelijk Archives

Moet een auteursrechtspeurhond bewijzen dat ze de rechten hebben?

Geplaatst op 11 januari 20235 januari 2023 in Intellectuele rechten, 44 reacties

Een lezer vroeg me:

Recent kreeg ik een sommatiebrief van een voor mij onbekende club, die zegt dat ze de auteursrechten hebben op een foto die op mijn site staat. Of ik even 1750 euro wil betalen. Maar ik wil op zijn minst eerst weten of zij wel echt die rechten hebben, iedereen kan wel van alles beweren natuurlijk. Sta ik in mijn recht als ik weiger te betalen tot ik overtuigend bewijs heb gezien?

Het komt nog steeds vaak voor dat mensen foto’s van internet plukken zonder te controleren of de licentierechten wel in orde zijn. Het belangrijkste advies blijft dan ook: haal je foto’s van een legitieme fotosite of maak afspraken met de fotograaf. Er zijn echt héél veel fotografen die mooi werk publiceren en (na vragen) het niet erg vinden als je dat als illustratie gebruikt. En ook voor stockbeeld zijn er genoeg zeer betaalbare en zelfs gratis sites.

Maar goed, daar heb je natuurlijk weinig aan op het moment dat er zo’n claimclub in de mail zit. Er zijn er een hoop; beruchte organisaties zijn het Duitse Copytrack en het Nederlandse advocatenkantoor MillerReyBrighton maar er zijn er veel meer. De werkwijze is vaak min of meer dezelfde: men heeft de foto gevonden met een gespecialiseerde zoektool (omgekeerd zoeken, het kan ook via Google Images) en omdat de naam van de site-eigenaar niet in de licentiedatabank staat, volgt er een rekening voor ongelicentieerd gebruik.

In de basis is het natuurlijk simpel: afgezien van citaatrecht en nog een paar dingen mag je andermans foto’s niet gebruiken zonder toestemming. De daardoor ontstane schade moet je vergoeden, en “ik wist het niet” of “ik heb geen kans gekregen de foto snel weg te halen” is géén argument. Je bent per direct aansprakelijk voor auteursrechtinbreuk, en daar zijn geen excuses voor. De discussie gaat dan ook altijd over de hoogte van de vergoeding, want veel van die claimclubs schrijven met een hark: op een of andere prijslijst staat 750 euro voor “gebruik zonder licentie”, er ontbreekt naamsvermelding dus huppa nog eens 750 erbij, er is een hoekje afgeknipt dus verminking bám nog eens 750 en vier uur opsporingskosten à 195 euro maar we maken het af op 1750 euro als u dat binnen 48 uur overmaakt.

Of je dat moet betalen, is natuurlijk zeer de vraag. De rechter zal kijken naar het normale tarief van deze fotograaf (gemiddelde bedragen uit de branche boeien niet, dus kom niet aan met dat je bij iStock voor een tientje “ook zoiets” koopt). Als die normaal inderdaad 750 euro krijgt voor die foto dan is dat kennelijk de schade. In veel gevallen is dat zeer zeker niet zo, ik kan het aantal claimbrieven niet meer bijhouden waarin men normaal voor minder dan honderd euro foto’s verkoopt en nu 500+ vraagt. De beste reactie is dan ook nagaan wat dat normale tarief is, daar een vrijwillige opslag bij rekenen voor het ongemak en dat bedrag per direct en zonder discussie overmaken. Ga alsjeblieft niet met zo’n club in discussie, dat is als modderworstelen met een varkentje.

Menig vraagsteller zit met het punt dat er geen bewijs wordt overlegd. Verder dan duur briefpapier met in essentie “onze cliënt heeft de rechten en dus moet u betalen” komt men normaal niet. Dat is heel frustrerend want inderdaad kan dat betekenen dat iemand zit te liegen en dan 375 euro overgemaakt krijgt omdat zakelijk gezien dat de beste reactie is. Ik moet zeggen dat ik nog geen enkel geval heb gezien (en ik héb me een stapel claimbrieven gehad door de jaren heen) waarin zo’n club niet in haar recht stond, maar uitsluiten kan ik het niet.

Dus navragen, zeker als het niet eens genoemd wordt in de brief, is een logische reactie. Alleen: deze clubs zijn er niet op uit om in een gezond zakelijk gesprek tot een wederzijds acceptabel compromis te komen. Er is dus geen enkel scenario waarin zij zullen zeggen “ach verhip we hebben inderdaad geen akte van overdracht / vertegenwoordiging / procesvolmacht, sorry laat maar zitten die factuur”. De reactie die ik dan zie, is – zeker bij advocaten – niet meer dan een stellige “U mag erop vertrouwen dat wij gelijk hebben”, en dat wordt meestal gevolgd door “En tevens erkent u hiermee de inbreuk want als u een licentie had gehad, had u zelf geweten bij wie”. En omdat het kan gaat het tarief dan ook nog eens omhoog. Dit is dus waarom je niet in discussie moet gaan.

Kortom, ik snap de frustratie en zou ook graag een klap met een forel uitdelen aan zo’n zelfgenoegzame brieventyper, maar als je er zakelijk vanaf wilt dan blijf je bij de basisstrategie: zoek uit wat het normale tarief is, tel daar 25% bij op en maak dat bedrag over. Zonder discussie, zonder te vragen wat ze daarvan vinden en zonder vooraf tegeneisen te stellen (al is het maar dat je een factuur of bewijsje wil). En ga daarna een plan verzinnen waarmee je je oude foto’s vervangt en nieuwe foto’s legaal verkrijgt. Noem het een goed voornemen voor 2023.

Arnoud

Amazon mogelijk aansprakelijk voor nepproducten van verkopers

Geplaatst op 10 januari 202329 december 2022 in Intellectuele rechten, Ondernemingsvrijheid, 19 reacties

Amazon kan aansprakelijk zijn als anderen namaakproducten verkopen op zijn platform, las ik bij RTL Nieuws. Het Europese Hof van Justitie oordeelde namelijk op 22 december dat de alleswebwinkel zich niet kan beroepen op de juridische bescherming voor tussenpersonen. Amazon doet te weinig om duidelijk te maken wanneer ze zelf iets verkoopt en wanneer een partner dat doet. Daarmee kan Amazon zelf aangesproken worden op eventuele merkinbreuk of andere rechtenschendingen.

De zaak was aangebracht door schoenenmerk Louboutin, bekend van de rode zool. En ja, die is als merk gedeponeerd dus andere schoenen met rode zolen hebben een probleem. Desondanks duiken die vaak op bij grote webwinkels waar partners welkom zijn, want vaak opereer je onder de radar en kun je een leuke winst maken door zulke schoenen te verkopen. Vaak heeft het platform ook weinig contactinformatie, en bovendien is het platform zelf niet aansprakelijk zolang ze het aanbod maar weghalen zodra er een klacht komt.

Louboutin was het daar niet mee eens in het geval van Amazon, omdat die wel even iets meer doet dan een prikbord zijn voor andermans advertenties. Zij geven al het aanbod een uniforme vormgeving, plaatsen nadrukkelijk hun eigen logo bovenaan en vertonen productadvertenties op hun site (en elders, zoals in Google-advertenties) zonder duidelijk te melden dat die van partners zijn. Daardoor kun je makkelijk de indruk krijgen dat al het aanbod van Amazon zelf is, was dus het argument.

Het Hof van Justitie ziet daar wel wat in: als consumenten een link leggen tussen het geadverteerde en het platform, dan is eventuele merkinbreuk door dat geadverteerde toe te schrijven aan dat platform. “Buy now genuine replica Louboutin red sole shoes at Amazon.com” roepen in je advertentie en dan zeggen “ja nee kijk wij zijn alleen een neutraal platform dat geïnteresseerden bij elkaar brengt en wat volwassen mensen dan in een 1-op-1 contact afspreken daar staan wij buiten”, dat vind ik juridisch ook niet heel sterk.

Natuurlijk, bij ieder platform staat de naam er wel ergens bij. Maar waar het nu om gaat volgens het Hof is hoe makkelijk je kunt zien dat je bij verkoper ZoolenZo aan het kopen bent dan wel bij Amazon zelf:

51 However, the fact that the operator of an online sales website integrating an online marketplace uses a uniform method of presentation of the offers published on its website, simultaneously displaying its own advertisements and those of the sellers third party and displaying its own renowned distributor logo both on its website and on all of these advertisements, including those relating to products offered by third-party sellers, is likely to make such a clear distinction difficult and thus to give the normally informed and reasonably attentive user the impression that it is the said operator who markets, in his name and for his own account, also the products offered for sale by these third-party sellers.

Uit eigen ervaring weet ik dat je bij Amazon echt wel even moet kijken met wie je zaken doet. In veel gevallen zie je dat alleen met de kleine “Sold by” omschrijving rechts onder de “Add to cart”-knop, zoals hier:

Als je de hele pagina openklikt, dan is de branding van Amazon zelf een stuk aanweziger dan die van de daadwerkelijke verkoper, Hot Chocolate Design. Dus ik zie het argument wel dat mensen hier van de indruk kunnen krijgen dat ze met Amazon zaken doen. Wat de grote letters suggereren, kunnen de kleine lettertjes niet wegnemen.

In Nederland is het grote alleswarenhuis natuurlijk Bol.com. Die doen het toch iets duidelijker. Allereerst zie je in de zoekresultaten al de naam van de verkoper (direct boven de titel, weliswaar klein), daarna zie je net als bij Amazon “Verkoop door” en de bedrijfsnaam en als je dan gaat afrekenen dan wordt die naam nogmaals genoemd. Dat lijkt mij eerlijk gezegd genoeg om dit arrest te kunnen ontwijken.

Arnoud

Welke verantwoordelijkheid heb je als (kleine) forumbeheerder als een draadje ontspoort?

Geplaatst op 27 oktober 202227 oktober 2022 in Ondernemingsvrijheid, Uitingsvrijheid, 20 reacties

In hoeverre handel je onrechtmatig door een forum te faciliteren waarin iemands goede naam zou worden aangetast, die vraag kreeg de rechtbank Overijssel onlangs. Het is een onderwerp dat bij mij vaak langskomt, hoewel het zelden tot een rechtszaak leidt: op een forum – in dit geval over mountainbiking – worden twijfelachtige dingen gezegd over een bedrijf, dat bedrijf laat een advocaat dreigen, en wat moet je dan als beheerder? De beheerder van dit forum wilde duidelijkheid en liet het op een rechtszaak aankomen. Waarbij hij wat mij betreft netjes won: weliswaar waren sommige berichten onrechtmatig, maar meer dan die weg moeten halen gebeurt er niet.

Op de website Mountainbike.nl houdt de gedaagde een forum actief dat “een levendig en onafhankelijk mountainbike-platform” moet bieden. Weliswaar wordt dit door een bedrijf gerund, maar de activiteit zelf wordt gepositioneerd als onafhankelijk en met eigen sponsoring om de boel in de lucht te kunnen houden. Ik zeg dit omdat het nogal uitmaakt of je een groot professioneel forum bent dan wel een hobby of een bij-activiteit van een ander bedrijf.

In januari 2021 werd een topic geopend over H&B Exclusive, een (web)winkel in tweedehands mountainbikes. Op zich niet raar, bespreken van ervaringen met leveranciers is natuurlijk normaal in zo’n community, maar voor (zo te lezen kleine) bedrijven is dit wel altijd een spannende: een negatieve sfeer kan véél invloed hebben op je bedrijfsvoering, ook al is het onzin. Zeker bij grote communities komen dat soort berichten vaak weer langs, en ze beïnvloeden hoe anderen tegen je aan kijken.

Niet zo gek dus dat toen H&B negatieve berichten zag (volgens hen: zij werden zwart gemaakt en ten onrechte beticht van het niet naleven van garantieverplichtingen en het niet uitvoeren van technisch onderhoud), ze meteen in de juridische pen klom en eiste dat berichten werden weggehaald. In eerste instantie haalde het forumbeheer wel enkele berichten weg, maar liet ze het topic als geheel wel staan. Dat vond H&B niet genoeg, vandaar dat men bij de rechter uitkwam. De eis was fors: alle berichten over haar bedrijf offline, het liefst eigenlijk de gehele website(!), domeinnaam door SIDN laten afkoppelen(!?), rectificatie en 15.300 euro schadevergoeding. Eh ja, zou ik ook van schrikken.

De rechter kijkt koeltjes naar de gewraakte berichten, uiteindelijk bleek het concreet om tien mogelijk onrechtmatige uitlatingen te gaan. (Ze staan onderaan in het vonnis.) De eerste vier berichten zijn rechtmatig, want onderbouwd en gebaseerd op eigen ervaringen. Het vijfde bericht wordt wél onrechtmatig verklaard, omdat daar “ene gijsje” zegt dat je beter een winkel mét garantie kunt vinden. Dit terwijl H&B wel degelijk garantie geeft. Dat is dan te kort door de bocht (haha, want mountainbike) en moet dus worden verwijderd. Berichten zes en zeven mogen ook blijven staan. Bericht acht dan weer niet: dit verwijt H&B dat zij liegen over de status van onderdelen (een cassette ‘verre van nieuw’) en ‘[H&B] je op voorhand al willen oplichten’. Na bericht negen goed te keuren, valt ook bericht tien: de niet-onderbouwde opmerking dat H&B niets van zich laat horen als er iets mis blijkt te zijn met een fiets. Terecht merkt de rechter op dat een algemeen verbod op verwijdering van álle berichten over een bedrijf niet kan, omdat je per bericht moet oordelen of het rechtmatig is of niet.

Had het beheer meer moeten doen? Er was een geschiedenis: al in 2020 waren berichten over H&B weggehaald na klachten van het bedrijf, daarna weer nieuwe berichten – dit alles hield “een sfeer in stand die H&B in een kwaad daglicht heeft gesteld”, aldus het bedrijf. Ook hier weer: rustig kijken naar wat er nu concreet ligt.

Aan de orde is daarom alleen nog de vraag of eGate onrechtmatig handelde door de hiervoor onrechtmatig geachte berichten (nummers 5, 8 en 10) niet te verwijderen. In dat kader is van belang dat deze berichten ná 21 juli 2021 zijn geplaatst en dat H&B niet eerder dan bij dagvaarding de verwijdering van deze berichten heeft gevraagd van eGate. Van belang is derhalve of eGate een actieve verwijderingsplicht heeft. De kantonrechter volgt het standpunt van H&B dat daar sprake van zou zijn, niet.

Discussie volgde over de vraag of het forumbeheer – eGate dus – wel of niet beschermd is onder de regels voor tussenpersonen, art. 6:196c BW. Zijn ze direct aansprakelijk of alleen als ze niet adequaat reageren? Dat maakt niet uit, in geen van beide situaties (wel of niet beschermd) heb je immers een actieve plicht om berichten te gaan screenen en verwijderen als ze onrechtmatig lijken te zijn. Althans, bij dit type forum:

Daartoe is van belang dat sprake is van een forum op een algemeen toegankelijke website, waarop in beginsel een ieder die een profiel aanmaakt direct berichten kan plaatsen; dat sprake is van een hobbymatige handelswijze, waarbij eGate geen personeel in dienst heeft om berichten te controleren; en dat eGate snel en adequaat reageert op verzoeken tot verwijdering van geplaatste berichten. De omstandigheden dat er eerder onrechtmatige berichten zijn geplaatst en verwijderd – zoals H&B aanvoert – maken naar het oordeel van de kantonrechter niet dat eGate ten aanzien van H&B wel een actieve rol op zich had moeten nemen om berichten zelfstandig te censureren, mede omdat een groot deel van de door H&B gewraakte berichten niet onrechtmatig zijn gebleken.

Een heleboel factoren, die echter wél van groot belang zijn want ik ken zo nog tientallen ‘kleine’ forums die vrijwel op dezelfde manier opereren én af en toe blaffende advocaten in de inbox hebben. Pas als je forum verschuift naar een grootschalig bedrijfsmatig gerund forum met personeel dat professioneel modereert, kom je dus in een andere categorie. Een goede zaak, wat mij betreft.

Arnoud

Ik heb een pakketje van de buren stukgemaakt, ben ik nu aansprakelijk?

Geplaatst op 24 september 202121 september 2021 in Informatiemaatschappij, 40 reacties

Een lezer vroeg me:

Help! Ik ben zo stom geweest een pakketje voor mijn buren een paar huizen verderop aan te nemen. Natuurlijk zat er iets breekbaars in, natuurlijk heb ik het op z’n kant gezet en natuurlijk sprong de kat er tegenaan waardoor het stuk is (de “krák” van porselein was niet te missen). Ik leef niet zo goed met deze buren, dus hoe groot is mijn probleem nu?

We hebben het al vaker over pakketjes en boze buren gehad, en het blijft een lastige combinatie. Pakketjes niet aannemen tenzij je zéker weet dat je goed zit met je buren blijft mijn devies. Maar goed, je wil vriendelijk zijn, je wist even niet wat te zeggen toen je je eigen pakketje kreeg en “ach mag ik deze ook meteen even afgeven” erbij hoorde: kan gebeuren.

De hoofdregel uit de wet is natuurlijk dat de webwinkel moet zorgen dat het pakket bij de besteller (de buur dus) terecht komt. Dat is nu niet gelukt, dus de buur kan gaan klagen en de webwinkel kan het dan opnieuw sturen. Praktisch gezien zal de winkel zeggen: uw buurman van nummer 7 heeft het pakket, gaat u daar maar langs. Dat is dan geen fijn gesprek, maar ik zie geen juridische claim die de buur van verderop bij de buur van nummer 7 kan leggen.

Iets anders wordt het wanneer de buur bij de winkel meldt dat de buurman van nummer 12 het stukgemaakt heeft. In hun onderlinge relatie verandert dat niets: of het nou de postbode of de buurman was, is immers niet relevant. De webwinkel moet zorgen dat het pakket aankomt. Maar voor de webwinkel kan het interessant zijn om toch eens een aansprakelijkheidsstelling eruit te gooien (afhankelijk van waarde en wat z’n verzekeraar zegt, natuurlijk).

Waar ik dan even mee zit, is welke juridische hoedanigheid je precies hebt als buurman van nummer 12. Voor de hand ligt bewaarneming, je krijgt iets waar je op past totdat de eigenaar het weer wil hebben (art. 7:600 BW):

Bewaarneming is de overeenkomst waarbij de ene partij, de bewaarnemer, zich tegenover de andere partij, de bewaargever, verbindt, een zaak die de bewaargever hem toevertrouwt of zal toevertrouwen, te bewaren en terug te geven.

De bewaarnemer moet bij de bewaring de zorg van een goed bewaarder in acht nemen, staat dan in artikel 7:602. Schendt hij die zorgplicht, dan moet hij de schade vergoeden. Alleen: dit zou impliceren dat je als buurman een contract sluit met de webwinkel. Dat voelt wat gekunsteld, nog los van het feit dat je het artikel niet terug gaat geven aan de webwinkel maar aan de buur. Het past dus niet helemaal bij wat de wet zegt, maar het lijkt er best veel op – de postbode vraagt je namens de afzender om dit pakket aan te nemen zodat de ontvanger het kan ophalen.

In zo’n situatie zou ik dan zeker even met je eigen verzekeraar contact opnemen, want als de webwinkel zich echt meldt met een claim dan is dat een zakelijk geschil over aansprakelijkheid dat een consumentenverzekeraar gewoon kan oppakken. Maar de boze buur heeft niets te claimen bij jou.

Arnoud

Kun je een CISO persoonlijk aansprakelijk stellen voor prutserniveau beveiliging?

Geplaatst op 25 augustus 202120 augustus 2021 in Ondernemingsvrijheid, 14 reacties

Bij het bedrijf Solarwinds, waardoor vorig jaar een enorme cyberaanval mogelijk bleek, is nu de CEO en CISO persoonlijk aangeklaagd door aandeelhouders. Dat las ik bij Secureworld, dankzij Henri Koppen’s Linkedin-discussie. Een CISO persoonlijk aansprakelijk stellen maakt het beroep nu niet bepaald aantrekkelijker, zegt deze terecht. Tegelijkertijd, als het wáár is wat ik lees (wachtwoord: solarwinds123, geen UAC, geen securityteam onder de CISO, geen documentatie) dan snap ik wel dat je die CISO meer wilt verwijten dan “wat jammer dat je gehackt bent”.

Het gaat hier om een rechtszaak door aandeelhouders. Die zagen de koers van hun aandelen omlaag duikelen na de hack, en zij menen dat dat onterecht is omdat zij mochten rekenen op een sterk securitybeleid uitgevoerd door een daadkrachtige CISO. Dat noemen we dan aandelenfraude: mensen misleiden over de kwaliteit van je bedrijf zodat ze je aandelen kopen (of niet verkopen). Everything is securities fraud, elk probleem met je bedrijf is ergens wel te herleiden tot “en daardoor gingen de aandelen ten onrechte omlaag en dat is misleiding”.

Hoe je het bedrijf daarvoor aansprakelijk stelt, dat zie ik wel. Prutswerk in je core business én daarover niet eerlijk zijn, dat is ergens wel misleidend of frauduleus te noemen. Prima. Maar om een bestuurslid persoonlijk aansprakelijk te stellen voor wanprestatie van het bedrijf, daar is wel meer voor nodig zou je zeggen.

En dat is ook zo, zowel in Nederland als in de VS. Bij ons is het criterium kort gezegd dat

in het algemeen, alleen dan kan worden aangenomen dat de bestuurder jegens de schuldeiser van de vennootschap onrechtmatig heeft gehandeld wanneer hem persoonlijk, mede gelet op zijn verplichting tot een behoorlijke taakuitoefening als bedoeld in artikel 2:9 BW, een voldoende ernstig verwijt kan worden gemaakt.

In de praktijk gaat het dan meestal om bestuurders die verplichtingen aangaan waarvan ze weten dat het bedrijf die niet kan dragen, bijvoorbeeld door vlak voor een faillissement nog even dingen te kopen of schuldeisers onder druk zetten om te betalen (wetende dat er dan niet meer geleverd gaat worden vanwege dat faillissement). Dit heet de Beklamel-norm. Daarnaast zijn er meer mogelijkheden, zoals IE-inbreuk of het opzettelijk en willens en wetens aansturen op het schenden van contractuele afspraken:

Van een persoonlijk ernstig verwijt kan ook sprake zijn indien de bestuurder heeft bewerkstelligd of toegelaten dat de vennootschap haar wettelijke of contractuele verplichtingen niet nakomt (zie Hoge Raad 8 december 2006, HR:2006:AZ0758 (Ontvanger/Roelofsen) en Hoge Raad 18 februari 2000, NJ 2000/295 New Holland-arrest).

Hier gaat het echter niet om contractuele tekortkomingen of schendingen van specifieke rechten, maar om het verstrekken van misleidende informatie aan aandeelhouders. Dat ligt een stuk moeilijker:

… aansprakelijkheid van een bestuurder op grond van onbehoorlijk bestuur is een interne aansprakelijkheid jegens de vennootschap en niet tevens een aansprakelijkheid jegens de individuele aandeelhouder. Dit laat echter onverlet dat een aandeelhouder een falende bestuurder zou kunnen aanspreken op grond van onrechtmatige daad.

De eis bij dat laatste is echter dat de bestuurder van plan was die aandeelhouders te benadelen. En dat is nogal lastig te bewijzen als je gewoon in het algemeen zegt “onze security is top” terwijl die bestond uit een wachtwoord “solarwinds123”, nul personeel op security en een Documentatie.pdf van nul bytes.

In de VS is er wellicht meer mogelijk, maar vaak zie je dat zulke claims worden gemaakt puur om het bedrijf meer onder druk te zetten. Als de CISO (en de CEO natuurlijk) hun eigen vermogen onder druk zien staan, dan zal men wellicht sneller aansturen op een schikking vanuit het bedrijf.

Arnoud

Grote kosten gemaakt voor werkgever, heb ik een probleem?

Geplaatst op 30 november 202030 november 2020 in Ondernemingsvrijheid, 18 reacties

“Ik zat dit weekend nog eens te lezen maar kwam er toen achter dat deze api helemaal niet gratis is en dat elke call een paar centen kost. Nu zijn alle calls al gemaakt en heb ik berekend dat er ongeveer $40.000 in rekening gebracht zal worden… oeps”. Dat las ik bij Tweakers. Denk je een leuk testprogrammaatje te hebben gemaakt dat tegen een gratis API van Google aan praat, blijk je een paar cent per call gerekend te krijgen. Leuke rekening voor de werkgever. En leuke discussie natuurlijk, maar diverse mensen mailden me: moet deze persoon Koptelefoontje dit zelf betalen?

‘Koptelefoontje’ was als werknemer aan de slag gegaan om een aantal data zaken voor het werk te verbeteren. Zhij had daarvoor een gratis Google API gevonden, en ingezet in combinatie met een bestaand Google cloud account. Tabel aanmaken, script uitwerken en de boel lekker laten lopen. Voor wie het nu technisch duizelt: 100.000 bedrijfsadressen opvragen bij de KVK om te controleren of de eigen klantadministratie nog op orde is.

Alleen, die API (Google Places) bleek niet gratis maar enkele centen per aanroep. Dus dan zit je achteraf met een rekening van 40.000 dollar, hoewel dat na enig naspeuren ‘slechts’ 15.000 Euro bleek te zijn. Die dus niet goedgekeurd was door de werkgever maar wel binnenkort geïncasseerd zal worden door Google.

Een stevige fout dus, dat is duidelijk. Maar hoe veel pijn gaat dit doen bij de werknemer?

Om met het goede nieuws te beginnen, je hoeft je als werknemer geen zorgen te maken dat jij dit bedrag gekort krijgt op je salaris. Dat kan gewoon niet in het arbeidsrecht. De kosten van fouten bij het werk worden gedragen door de werkgever~~werknemer~~.

Het slechte nieuws is natuurlijk dat (een beetje afhankelijk van de omvang van het bedrijf) een fout van 15.000 euro arbeidsrechtelijk wel een forse is. Ontslag zal er niet in zitten, maar het riekt naar een stukje slecht inschatten van wat je mag en kan op het werk en dat kost je punten op je volgende beoordelingsgesprek. Bij een klein bedrijf kan ik me voorstellen dat je iemands contract dan niet verlengt.

Daar staat wel tegenover dat je ook als werkgever wel enige stappen moet nemen om zulke dingen te voorkomen. Zo kan een organisatie budgetten instellen bij Google’s clouddiensten, die werknemers dan niet kunnen overschrijden. Ook zou je de toegang tot die API’s kunnen beperken of loggen zodat je toezicht hebt op wie wat doet. Dat maakt dat ik het nogal cru zou vinden om dit zonder meer te zien als alleen maar een fout van de werknemer.

Ik kan niet zeggen zelf ooit zo’n dure fout te hebben gemaakt. Enkele duizenden euro’s uitgeven en dan concluderen dat iets niet werkt, dat wel. De verkeerde backup terugzetten op mijn home server, ja dat ook.

Arnoud

Franse politie arresteert café-uitbaters die wifidata niet bewaarden

Geplaatst op 8 oktober 20208 oktober 2020 in Ondernemingsvrijheid, 6 reacties

In de Franse stad Grenoble zijn ten minste vijf uitbaters van cafés en restaurants opgepakt omdat ze een wifinetwerk in hun etablissement aanboden maar de logs niet minstens een jaar bewaarden. Dat meldde Tweakers maandag. Die bewaartermijn staat in de Franse wet, en is opmerkelijk gezien we in Europees verband dit juist hadden verboden. De Franse wet blijkt al sinds 2006 te bestaan maar heeft nooit echt aandacht gekregen, getuige de verbijstering bij de café-eigenaren.

Heel Frans vind ik dan de klacht dat “de informatie zou ook niet aan bod zijn gekomen bij trainingen van de UMIH, de Franse horecavakbond.” Ik weet niet of je in Nederland ver zou komen met het verweer dat je het niet gehad hebt bij je horecadiploma of de inschrijving bij de Kamer van Koophandel. Maar dat terzijde.

De complicatie zit hem er vooral in dat je dus actief data moet vergaren en vastleggen. Wat de meeste ondernemers doen, is gewoon een wifi access point neerzetten op een al dan niet forse internetverbinding, want zo zou iedereen dat doen. Mais non:

Or, les forfaits professionnels des opérateurs fournissent des outils qui permettent d’identifier les clients finaux, de collecter les IP, les historiques… et d’être conformes avec la loi de 2006. C’est d’ailleurs ce qui est fait dans les hôtels, les centres de congrès… Mais ces abonnements sont évidemment bien plus chers que les forfaits grand public.

Bezorgde horecaondernemers in Nederland: dit is een specifieke Franse wet, die geen Nederlands equivalent kent. Er is geen eis bij ons dat je weet wie je wifi gebruikt, laat staan dat je de logs een jaar bewaart zodat Justitie dit kan opvragen. (Je bent ook niet aansprakelijk als mensen je wifi gebruiken, maakt niet uit wat ze ermee uitvreten. En nu ik je toch spreek, kap met die “ik accepteer de voorwaarden”-startpagina’s. Nergens voor nodig.)

Een mogelijke nuance hierbij is dat het Hof van Justitie in 2016 heeft gezegd dat je in staat moet zijn je bezoekers te identificeren wanneer blijkt dat zij auteursrechten hebben geschonden. Daar is sindsdien niets meer over gehoord, en ik heb zelf ook niet het idee dat er nou heel massaal illegaal wordt geüp- dan wel -download via openbare wifi. Dus ik denk dat dit praktisch niet heel relevant is.

Arnoud

Mogen wij een appartementsnetwerk zonder identificatie opzetten?

Geplaatst op 19 december 201613 december 2016 in Ondernemingsvrijheid, 9 reacties

netwerk-verkennen-kijken Een lezer vroeg me:

Wij (een groep netwerk engineers in een appartementencomplex) hebben een eigen netwerk gebouwd en gekoppeld aan internet via één provider. De kosten worden omgeslagen en via de VvE geïncasseerd. We loggen echter niets in verband met privacy. Nu krijgen wij wel eens abusemeldingen maar we weten dus niet om wie het gaat. Moeten we hier nu meer in doen?

Een internettoegangsprovider is in beginsel niet aansprakelijk voor wat er over zijn lijn gaat, ook niet na een abusemelding. De wet (art. 6:196c lid 1 BW) zegt dat je categorisch niet aansprakelijk bent wanneer je als passief doorgeefluik fungeert, dus niet zelf het initiatief neemt voor de informatielevering, niet kiest naar wie het moet en niet selecteert of wijzigt wat er doorgegeven wordt.

Een abusemelding is dus leuk en aardig maar wettelijk ben je als ISP niet verplicht daaraan gehoor te geven. Het is vaak wel handig omdat je anders op allerlei zwarte lijsten komt, maar dat is geen juridisch argument.

Het hiervoor bepaalde staat niet in de weg aan het verkrijgen van een rechterlijk verbod of bevel, zo staat in lid 6 van dat wetsartikel. Een rechter (of toezichthouder) kan dus bepalen dat bepaalde abuse wél moet stoppen. Zo heeft de rechter ooit toegang tot The Pirate Bay verboden (hoewel dat werd teruggedraaid in hoger beroep) en zou de toezichthouder (de ACM) ook bepaalde blokkadebevelen kunnen geven.

Dat laatste geldt dan weer niet voor het soort netwerk als hierboven, want de ACM is alleen bevoegd op te treden bij aanbieders van openbaar internet, zoals Ziggo of Vodafone. Een netwerk waar alleen een beperkte categorie gebruikers bij kan, valt niet onder die definitie. Dat scheelt, want dan geldt ook niet de plicht het netwerk stevig te beveiligen (art. 11.3 Telecomwet) en de vertrouwelijkheid van de communicatie te borgen (art. 11.2 en 11.2a).

Recent bepaalde het Hof van Justitie echter dat ook niet-openbare aanbieders soms wel in beweging moeten komen. In die zaak ging het om een auteursrechtclaim vanwege een download door een bezoeker van een winkel via het winkelwifinetwerk. Het Hof bepaalde dat de winkel niet aansprakelijk was voor die download, omdat de winkel slechts een platform was.

Op grond van dat lid 6 mag een rechter dus een verbod of bevel uitspreken om aan een abuse-situatie een einde te maken. En concreet waar het ging om auteursrechtinbreuk, bepaalde het Hof dat het opnemen van een wachtwoord en het identificeren van ontvangers daarvan een legitiem bevel kan zijn. Op die manier kun je inbreukmakende klanten identificeren (en dat aan eisende rechthebbenden geven) zonder dat je gelijk je hele netwerk zou moeten opheffen of moeilijk moet doen met voorwaarden en zo.

Het is nog niet duidelijk hoe ver die identificatieplicht moet gaan. Maar in de situatie van zo’n appartementencomplex denk ik dat je toch al snel uitkomt bij een koppeling van de NAT-vertaling aan het appartementsnummer. Dat adres zou genoeg moeten zijn voor een rechthebbende om dan een dagvaarding uit te brengen.

Hoe het zit met andere abuse-situaties (bijvoorbeeld een privacyschending of participatie in een ddos-aanval) is nog niet bepaald. Ik denk dat je daar ook al snel bij identificatie van de gebruiker uitkomt, dat is immers het meest geëigende middel om aan die abuse-situatie een einde te maken. Maar wie een andere effectieve oplossing heeft, mag dat ook doen.

Arnoud

Ben ik nog aansprakelijk als ik het IE op mijn software overdraag?

Geplaatst op 14 november 20166 november 2016 in Intellectuele rechten, Ondernemingsvrijheid, 8 reacties

software-disc-cd-dvd-drager Een lezer vroeg me:

Voor een klant heb ik maatwerksoftware ontwikkeld. Zij willen nu het intellectueel eigendom daarop verkrijgen. Op zich prima, alleen wil ik dan geen aansprakelijkheid meer voor fouten. Ik heb er dan immers geen controle meer over. Daar reageerden ze heel verbaasd op. Maar dit is toch geen gekke vraag?

Nee, een gekke vraag is dit niet. Maar ik kan me de verbazing ook wel weer een beetje voorstellen.

Aansprakelijkheid en intellectueel eigendom staan in principe los van elkaar. Aansprakelijk ben je als je een fout maakt in de opdracht, en dat heeft niets te maken met wie eigenaar wordt van de auteursrechten op het resultaat.

De verwarring hier gaat volgens mij over fouten die de opdrachtgever aanbrengt nadat de software klaar is. Wie het auteursrecht verwerft, mag ook zelf gaan knutselen in het geleverde. Maar het is natuurlijk evident dat je de leverancier niet aansprakelijk kunt houden voor je eigen fouten. Dit heeft niets te maken met eigendom op het werk. Als ik een huis laat bouwen, is de aannemer aansprakelijk voor fouten terwijl ik er eigenaar van ben. Hetzelfde gebeurt bij auteursrechten.

Het lijkt me wel verstandig dit even uit te werken in het contract, om bewijsproblematiek te verkleinen. Je zegt dan bijvoorbeeld dat iets alleen een fout is als het ook zit in de code zoals overgedragen. Je hebt dan een manier nodig om vast te leggen exact welke code dat is. Denk aan een hash, een lijst bestandsnamen met datum en grootte of het nummer van een github-repository.

Arnoud