Welke verantwoordelijkheid heb je als (kleine) forumbeheerder als een draadje ontspoort?

| AE 13628 | Ondernemingsvrijheid, Uitingsvrijheid | 20 reacties

WikiImages / Pixabay

In hoeverre handel je onrechtmatig door een forum te faciliteren waarin iemands goede naam zou worden aangetast, die vraag kreeg de rechtbank Overijssel onlangs. Het is een onderwerp dat bij mij vaak langskomt, hoewel het zelden tot een rechtszaak leidt: op een forum – in dit geval over mountainbiking – worden twijfelachtige dingen gezegd over een bedrijf, dat bedrijf laat een advocaat dreigen, en wat moet je dan als beheerder? De beheerder van dit forum wilde duidelijkheid en liet het op een rechtszaak aankomen. Waarbij hij wat mij betreft netjes won: weliswaar waren sommige berichten onrechtmatig, maar meer dan die weg moeten halen gebeurt er niet.

Op de website Mountainbike.nl houdt de gedaagde een forum actief dat “een levendig en onafhankelijk mountainbike-platform” moet bieden. Weliswaar wordt dit door een bedrijf gerund, maar de activiteit zelf wordt gepositioneerd als onafhankelijk en met eigen sponsoring om de boel in de lucht te kunnen houden. Ik zeg dit omdat het nogal uitmaakt of je een groot professioneel forum bent dan wel een hobby of een bij-activiteit van een ander bedrijf.

In januari 2021 werd een topic geopend over H&B Exclusive, een (web)winkel in tweedehands mountainbikes. Op zich niet raar, bespreken van ervaringen met leveranciers is natuurlijk normaal in zo’n community, maar voor (zo te lezen kleine) bedrijven is dit wel altijd een spannende: een negatieve sfeer kan véél invloed hebben op je bedrijfsvoering, ook al is het onzin. Zeker bij grote communities komen dat soort berichten vaak weer langs, en ze beïnvloeden hoe anderen tegen je aan kijken.

Niet zo gek dus dat toen H&B negatieve berichten zag (volgens hen: zij werden zwart gemaakt en ten onrechte beticht van het niet naleven van garantieverplichtingen en het niet uitvoeren van technisch onderhoud), ze meteen in de juridische pen klom en eiste dat berichten werden weggehaald. In eerste instantie haalde het forumbeheer wel enkele berichten weg, maar liet ze het topic als geheel wel staan. Dat vond H&B niet genoeg, vandaar dat men bij de rechter uitkwam. De eis was fors: alle berichten over haar bedrijf offline, het liefst eigenlijk de gehele website(!), domeinnaam door SIDN laten afkoppelen(!?), rectificatie en 15.300 euro schadevergoeding. Eh ja, zou ik ook van schrikken.

De rechter kijkt koeltjes naar de gewraakte berichten, uiteindelijk bleek het concreet om tien mogelijk onrechtmatige uitlatingen te gaan. (Ze staan onderaan in het vonnis.) De eerste vier berichten zijn rechtmatig, want onderbouwd en gebaseerd op eigen ervaringen. Het vijfde bericht wordt wél onrechtmatig verklaard, omdat daar “ene gijsje” zegt dat je beter een winkel mét garantie kunt vinden. Dit terwijl H&B wel degelijk garantie geeft. Dat is dan te kort door de bocht (haha, want mountainbike) en moet dus worden verwijderd. Berichten zes en zeven mogen ook blijven staan. Bericht acht dan weer niet: dit verwijt H&B dat zij liegen over de status van onderdelen (een cassette ‘verre van nieuw’) en ‘[H&B] je op voorhand al willen oplichten’. Na bericht negen goed te keuren, valt ook bericht tien: de niet-onderbouwde opmerking dat H&B niets van zich laat horen als er iets mis blijkt te zijn met een fiets. Terecht merkt de rechter op dat een algemeen verbod op verwijdering van álle berichten over een bedrijf niet kan, omdat je per bericht moet oordelen of het rechtmatig is of niet.

Had het beheer meer moeten doen? Er was een geschiedenis: al in 2020 waren berichten over H&B weggehaald na klachten van het bedrijf, daarna weer nieuwe berichten – dit alles hield “een sfeer in stand die H&B in een kwaad daglicht heeft gesteld”, aldus het bedrijf. Ook hier weer: rustig kijken naar wat er nu concreet ligt.

Aan de orde is daarom alleen nog de vraag of eGate onrechtmatig handelde door de hiervoor onrechtmatig geachte berichten (nummers 5, 8 en 10) niet te verwijderen. In dat kader is van belang dat deze berichten ná 21 juli 2021 zijn geplaatst en dat H&B niet eerder dan bij dagvaarding de verwijdering van deze berichten heeft gevraagd van eGate. Van belang is derhalve of eGate een actieve verwijderingsplicht heeft. De kantonrechter volgt het standpunt van H&B dat daar sprake van zou zijn, niet.
Discussie volgde over de vraag of het forumbeheer – eGate dus – wel of niet beschermd is onder de regels voor tussenpersonen, art. 6:196c BW. Zijn ze direct aansprakelijk of alleen als ze niet adequaat reageren? Dat maakt niet uit, in geen van beide situaties (wel of niet beschermd) heb je immers een actieve plicht om berichten te gaan screenen en verwijderen als ze onrechtmatig lijken te zijn. Althans, bij dit type forum:
Daartoe is van belang dat sprake is van een forum op een algemeen toegankelijke website, waarop in beginsel een ieder die een profiel aanmaakt direct berichten kan plaatsen; dat sprake is van een hobbymatige handelswijze, waarbij eGate geen personeel in dienst heeft om berichten te controleren; en dat eGate snel en adequaat reageert op verzoeken tot verwijdering van geplaatste berichten. De omstandigheden dat er eerder onrechtmatige berichten zijn geplaatst en verwijderd – zoals H&B aanvoert – maken naar het oordeel van de kantonrechter niet dat eGate ten aanzien van H&B wel een actieve rol op zich had moeten nemen om berichten zelfstandig te censureren, mede omdat een groot deel van de door H&B gewraakte berichten niet onrechtmatig zijn gebleken.
Een heleboel factoren, die echter wél van groot belang zijn want ik ken zo nog tientallen ‘kleine’ forums die vrijwel op dezelfde manier opereren én af en toe blaffende advocaten in de inbox hebben. Pas als je forum verschuift naar een grootschalig bedrijfsmatig gerund forum met personeel dat professioneel modereert, kom je dus in een andere categorie. Een goede zaak, wat mij betreft.

Arnoud

Ik heb een pakketje van de buren stukgemaakt, ben ik nu aansprakelijk?

| AE 12923 | Informatiemaatschappij | 39 reacties

Een lezer vroeg me:

Help! Ik ben zo stom geweest een pakketje voor mijn buren een paar huizen verderop aan te nemen. Natuurlijk zat er iets breekbaars in, natuurlijk heb ik het op z’n kant gezet en natuurlijk sprong de kat er tegenaan waardoor het stuk is (de “krák” van porselein was niet te missen). Ik leef niet zo goed met deze buren, dus hoe groot is mijn probleem nu?
We hebben het al vaker over pakketjes en boze buren gehad, en het blijft een lastige combinatie. Pakketjes niet aannemen tenzij je zéker weet dat je goed zit met je buren blijft mijn devies. Maar goed, je wil vriendelijk zijn, je wist even niet wat te zeggen toen je je eigen pakketje kreeg en “ach mag ik deze ook meteen even afgeven” erbij hoorde: kan gebeuren.

De hoofdregel uit de wet is natuurlijk dat de webwinkel moet zorgen dat het pakket bij de besteller (de buur dus) terecht komt. Dat is nu niet gelukt, dus de buur kan gaan klagen en de webwinkel kan het dan opnieuw sturen. Praktisch gezien zal de winkel zeggen: uw buurman van nummer 7 heeft het pakket, gaat u daar maar langs. Dat is dan geen fijn gesprek, maar ik zie geen juridische claim die de buur van verderop bij de buur van nummer 7 kan leggen.

Iets anders wordt het wanneer de buur bij de winkel meldt dat de buurman van nummer 12 het stukgemaakt heeft. In hun onderlinge relatie verandert dat niets: of het nou de postbode of de buurman was, is immers niet relevant. De webwinkel moet zorgen dat het pakket aankomt. Maar voor de webwinkel kan het interessant zijn om toch eens een aansprakelijkheidsstelling eruit te gooien (afhankelijk van waarde en wat z’n verzekeraar zegt, natuurlijk).

Waar ik dan even mee zit, is welke juridische hoedanigheid je precies hebt als buurman van nummer 12. Voor de hand ligt bewaarneming, je krijgt iets waar je op past totdat de eigenaar het weer wil hebben (art. 7:600 BW):

Bewaarneming is de overeenkomst waarbij de ene partij, de bewaarnemer, zich tegenover de andere partij, de bewaargever, verbindt, een zaak die de bewaargever hem toevertrouwt of zal toevertrouwen, te bewaren en terug te geven.
De bewaarnemer moet bij de bewaring de zorg van een goed bewaarder in acht nemen, staat dan in artikel 7:602. Schendt hij die zorgplicht, dan moet hij de schade vergoeden. Alleen: dit zou impliceren dat je als buurman een contract sluit met de webwinkel. Dat voelt wat gekunsteld, nog los van het feit dat je het artikel niet terug gaat geven aan de webwinkel maar aan de buur. Het past dus niet helemaal bij wat de wet zegt, maar het lijkt er best veel op – de postbode vraagt je namens de afzender om dit pakket aan te nemen zodat de ontvanger het kan ophalen.

In zo’n situatie zou ik dan zeker even met je eigen verzekeraar contact opnemen, want als de webwinkel zich echt meldt met een claim dan is dat een zakelijk geschil over aansprakelijkheid dat een consumentenverzekeraar gewoon kan oppakken. Maar de boze buur heeft niets te claimen bij jou.

Arnoud

Kun je een CISO persoonlijk aansprakelijk stellen voor prutserniveau beveiliging?

| AE 12861 | Ondernemingsvrijheid | 14 reacties

Courtany / Pixabay

Bij het bedrijf Solarwinds, waardoor vorig jaar een enorme cyberaanval mogelijk bleek, is nu de CEO en CISO persoonlijk aangeklaagd door aandeelhouders. Dat las ik bij Secureworld, dankzij Henri Koppen’s Linkedin-discussie. Een CISO persoonlijk aansprakelijk stellen maakt het beroep nu niet bepaald aantrekkelijker, zegt deze terecht. Tegelijkertijd, als het wáár is wat ik lees (wachtwoord: solarwinds123, geen UAC, geen securityteam onder de CISO, geen documentatie) dan snap ik wel dat je die CISO meer wilt verwijten dan “wat jammer dat je gehackt bent”.

Het gaat hier om een rechtszaak door aandeelhouders. Die zagen de koers van hun aandelen omlaag duikelen na de hack, en zij menen dat dat onterecht is omdat zij mochten rekenen op een sterk securitybeleid uitgevoerd door een daadkrachtige CISO. Dat noemen we dan aandelenfraude: mensen misleiden over de kwaliteit van je bedrijf zodat ze je aandelen kopen (of niet verkopen). Everything is securities fraud, elk probleem met je bedrijf is ergens wel te herleiden tot “en daardoor gingen de aandelen ten onrechte omlaag en dat is misleiding”.

Hoe je het bedrijf daarvoor aansprakelijk stelt, dat zie ik wel. Prutswerk in je core business én daarover niet eerlijk zijn, dat is ergens wel misleidend of frauduleus te noemen. Prima. Maar om een bestuurslid persoonlijk aansprakelijk te stellen voor wanprestatie van het bedrijf, daar is wel meer voor nodig zou je zeggen.

En dat is ook zo, zowel in Nederland als in de VS. Bij ons is het criterium kort gezegd dat

in het algemeen, alleen dan kan worden aangenomen dat de bestuurder jegens de schuldeiser van de vennootschap onrechtmatig heeft gehandeld wanneer hem persoonlijk, mede gelet op zijn verplichting tot een behoorlijke taakuitoefening als bedoeld in artikel 2:9 BW, een voldoende ernstig verwijt kan worden gemaakt.
In de praktijk gaat het dan meestal om bestuurders die verplichtingen aangaan waarvan ze weten dat het bedrijf die niet kan dragen, bijvoorbeeld door vlak voor een faillissement nog even dingen te kopen of schuldeisers onder druk zetten om te betalen (wetende dat er dan niet meer geleverd gaat worden vanwege dat faillissement). Dit heet de Beklamel-norm. Daarnaast zijn er meer mogelijkheden, zoals IE-inbreuk of het opzettelijk en willens en wetens aansturen op het schenden van contractuele afspraken:
Van een persoonlijk ernstig verwijt kan ook sprake zijn indien de bestuurder heeft bewerkstelligd of toegelaten dat de vennootschap haar wettelijke of contractuele verplichtingen niet nakomt (zie Hoge Raad 8 december 2006, HR:2006:AZ0758 (Ontvanger/Roelofsen) en Hoge Raad 18 februari 2000, NJ 2000/295 New Holland-arrest).
Hier gaat het echter niet om contractuele tekortkomingen of schendingen van specifieke rechten, maar om het verstrekken van misleidende informatie aan aandeelhouders. Dat ligt een stuk moeilijker:
… aansprakelijkheid van een bestuurder op grond van onbehoorlijk bestuur is een interne aansprakelijkheid jegens de vennootschap en niet tevens een aansprakelijkheid jegens de individuele aandeelhouder. Dit laat echter onverlet dat een aandeelhouder een falende bestuurder zou kunnen aanspreken op grond van onrechtmatige daad.
De eis bij dat laatste is echter dat de bestuurder van plan was die aandeelhouders te benadelen. En dat is nogal lastig te bewijzen als je gewoon in het algemeen zegt “onze security is top” terwijl die bestond uit een wachtwoord “solarwinds123”, nul personeel op security en een Documentatie.pdf van nul bytes.

In de VS is er wellicht meer mogelijk, maar vaak zie je dat zulke claims worden gemaakt puur om het bedrijf meer onder druk te zetten. Als de CISO (en de CEO natuurlijk) hun eigen vermogen onder druk zien staan, dan zal men wellicht sneller aansturen op een schikking vanuit het bedrijf.

Arnoud

Franse politie arresteert café-uitbaters die wifidata niet bewaarden

| AE 12244 | Ondernemingsvrijheid | 6 reacties

In de Franse stad Grenoble zijn ten minste vijf uitbaters van cafés en restaurants opgepakt omdat ze een wifinetwerk in hun etablissement aanboden maar de logs niet minstens een jaar bewaarden. Dat meldde Tweakers maandag. Die bewaartermijn staat in de Franse wet, en is opmerkelijk gezien we in Europees verband dit juist hadden verboden. De… Lees verder

Mogen wij een appartementsnetwerk zonder identificatie opzetten?

| AE 9132 | Ondernemingsvrijheid | 9 reacties

Een lezer vroeg me: Wij (een groep netwerk engineers in een appartementencomplex) hebben een eigen netwerk gebouwd en gekoppeld aan internet via één provider. De kosten worden omgeslagen en via de VvE geïncasseerd. We loggen echter niets in verband met privacy. Nu krijgen wij wel eens abusemeldingen maar we weten dus niet om wie het… Lees verder

Ben ik nog aansprakelijk als ik het IE op mijn software overdraag?

| AE 9038 | Intellectuele rechten, Ondernemingsvrijheid | 8 reacties

Een lezer vroeg me: Voor een klant heb ik maatwerksoftware ontwikkeld. Zij willen nu het intellectueel eigendom daarop verkrijgen. Op zich prima, alleen wil ik dan geen aansprakelijkheid meer voor fouten. Ik heb er dan immers geen controle meer over. Daar reageerden ze heel verbaasd op. Maar dit is toch geen gekke vraag? Nee, een… Lees verder