Tag: Aansprakelijkheid

About Aansprakelijkheid

Subscribe Feeds

Ik mag mijn Android-telefoon niet updaten van mijn insuline-app leverancier!

Geplaatst op in Ondernemingsvrijheid, 12 reacties

Een lezer vroeg me:

Een leverancier van een bloedglucose sensor (gebruikt door diabetici) heeft de mogelijkheid om een sensor uit te lezen via een app op een mobiele telefoon. Nu stelt deze leverancier dat, zodra er een update van de softwareversie van de mobiele telefoon beschikbaar is je dient te wachten met updaten tot zij hun app hebben geupdated. Dit om te voorkomen dat, door incompatibiliteit tussen de app en de nieuwe software versie, je meetdata kwijt bent. Op zich logisch, je hebt als diabeet met een reden een sensor en als er incompatibiliteit bestaat zal de app niet kunnen werken. Wie is alleen aansprakelijk als de telefoon besmet/geïnfecteerd/onbruikbaar raakt op het moment dat er wel een nieuwe softwareversie beschikbaar is maar de eindgebruiker deze nog niet geïnstalleerd heeft op verzoek van een app programmeur. Is dit in algemene voorwaarden van de app af te vangen en is dus de (vaak onbekwame eindgebruiker) zelf verantwoordelijk?

Op zich vind ik het heel netjes van die leverancier om zo expliciet te waarschuwen voor mogelijke incompatibiliteit. Het zou erg vervelend zijn als de app net niet goed meer werkte en daardoor gegevens verloren gingen, of nog erger onjuiste metingen worden gedaan.

Daar staat tegenover dat het natuurlijk onveilig kan zijn dat je je smartphone-software (je OS dus) niet kunt updaten, zeker als het gaat om een security update of iets anders kritisch. Het is minstens zo vervelend als er in dat tijdsinterval een of andere malware binnendringt en schade aanricht of gegevens steelt.

De wet zegt helaas niet waar de verantwoordelijkheid ligt bij dit soort zaken. Er is ook geen jurisprudentie over deze interactie tussen risico’s. De hele algemene regel is dat als je als dienstverlener je best doet om problemen te vermijden, je niet aansprakelijk bent als er desondanks eens iets misgaat (voor juristen: de zorgplicht van een goed dienstverlener, art. 7:401 BW).

Vanuit die algemene zorgplicht lijkt het mij dat deze leverancier bovenop de OS-updates moet zitten en moet zorgen dat er zo snel mogelijk een update aan de app komt. Gaat er in het dan nog overblijvende tijdswindow iets mis, dan zie ik niet hoe je de app-leverancier nog een juridisch verwijt kunt maken.

Voor mij weegt zwaar dat het zal gaan om iets dat zelden voorkomt, een korte periode van risico betreft en dat niet ieder gat automatisch grootschalig geëxploiteerd wordt met gevolgen voor de smartphone-eigenaren.

Ik zou wel verwachten dat verlies van data op meerdere manieren voorkomen wordt. Backups van oude datasets zijn toch vrij eenvoudig te maken?

Arnoud

Wie is er aansprakelijk voor een door de browser onthouden internetbankierenwachtwoord?

Geplaatst op in Security, 24 reacties

ING onderzoekt of het mogelijk is zijn Chrome-inlogpagina weer ondersteuning te laten bieden voor het invullen van wachtwoorden met een wachtwoordmanager. Dat meldde Tweakers onlangs. De bank had dit geblokkeerd uit angst dat mensen hun browser dit laten onthouden, zodat een derde zonder veel moeite vanaf die laptop kan internetbankieren met alle gevolgen van dien. Wachtwoordmanagers zijn veiliger, maar werken met dezelfde herkentechniek voor inlogpagina’s. De maatregel gaf dan ook de nodige ophef, waaronder “maar het is toch jouw keuze of je zo onveilig bent”? Ja, maar bij bankieren zijn de regels net even anders.

Hoofdregel uit het recht is dat je aansprakelijk bent voor je eigen keuzes. Dus als jij de sleutels van je pand slordig opbergt, dan kun je dat moeilijk anderen verwijten. En specifiek bij internetdiensten is het dan ook jouw keuze en jouw risico hoe je wachtwoorden kiest, beheert en toegankelijk maakt.

Natuurlijk, wachtwoorden kunnen worden gestolen of afgekeken. Maar hoe moet een internetdienst weten dat iemands login door een ander gebeurde? Behoudens heel concrete aanwijzingen zou ik dat niet weten. En pas bij een hele grote of belangrijke dienst zou ik vinden dat die actief moeten monitoren op ongebruikelijk inloggedrag.

Specifiek bij banken ligt het iets complexer. De wet zegt namelijk dat een bank altijd aansprakelijk is voor beveiligingsincidenten, behalve bij fraude, opzet en grove nalatigheid van de klant (art. 7:529 BW). Bij gewone slordigheid of onoplettendheid van de internetbankierende consument draait de bank dus op voor ongeautoriseerde transacties, met hooguit een eigen risico van 150 euro voor die consument. Per ongeluk of uit gemakzucht kiezen voor het onthouden van je inlogwachtwoord voor bankieren lijkt mij een gevalletje slordigheid en géén grove nalatigheid.

Dit risico komt ook weer terug in de Uniforme Veiligheidsregels van de banksector, die expliciet over beveiligingscodes vermelden:

Schrijf of sla de codes niet op. Of, als het echt niet anders kan, alleen in een voor anderen onherkenbare vorm die alleen door uzelf is te ontcijferen. Bewaar in dit geval de versleutelde informatie niet bij uw bankpas of bij apparatuur waarmee u uw bankzaken regelt;

Ik kan dit niet anders lezen dan dat je je browser geen wachtwoorden mag laten opslaan, maar dat je ook geen wachtwoordmanager mag gebruiken. Die “apparatuur” is immers je laptop of telefoon, en de wachtwoordmanager slaat daar het wachtwoord bij op. Dus wat dat betreft is ING wel consistent.

Tegelijk: een wachtwoordmanager en dan een stevig master password is gewoon de beste manier om jezelf te beveiligen bij online diensten. Dus dit voelt als een best wel fundamenteel dilemma.

Arnoud

Deze ondernemer verhoogde zijn aansprakelijkheid. Wat er toen gebeurde, zal je verbazen.

Geplaatst op in Ondernemingsvrijheid, 8 reacties

Voor veel ondernemers is het een reflex om beperkt aansprakelijk te willen zijn. Aansprakelijkheid kan immers tot grote claims leiden, en dat kan het faillissement van je bedrijf inluiden. Zeker in de ICT, waar het lange tijd erg moeilijk was om je activiteiten te verzekeren. Je ziet dan ook juist in de ICT altijd zeer beperkte aansprakelijkheden, soms zelfs tot nul aan toe. Maar heb je al eens overwogen wat er écht zou gebeuren als je je aansprakelijkheid verhoogde?

Het is natuurlijk goed vanuit risicomanagement om je aansprakelijkheid zo laag mogelijk te zetten. Komt er dan onverhoopt een claim, dan is de impact daarvan beperkt. Maar hoe zou jij je voelen als je ergens een dienst inkoopt (voor een forse prijs) en je leest dat men nergens voor aansprakelijk is, of hooguit voor honderd euro per geval? Precies.

Recent had ik precies deze discussie met een ondernemer die ook zo bezorgd was over zijn aansprakelijkheid. We hebben toen besloten die aansprakelijkheid eens fors omhoog te gooien: geen drie maanden facturen maar 24, en óók gederfde winst en omzetverlies. Daar stond wel een evenzo forse prijsverhoging tegenover. Tot zijn stomme verbazing gingen zijn klanten vrijwel allemaal direct akkoord.

Natuurlijk, hij heeft nu een hoger risico dan eerst. Maar uit de extra omzet was een goede reservering voor eventuele problemen te maken – en hij had nu ook de financiële armslag om een extra investering te doen om zijn software beter te beveiligen en betrouwbaarder te maken. Daarmee verlaag je de kans op het risico behoorlijk. Dit nog los van de vraag hoe een klant in de praktijk bewijst dát hij omzet is misgelopen en dat dat allemaal door jou komt.

En zeker als je het combineert met een goede verzekering (en geloof me, die zijn tegenwoordig echt wel te krijgen tegen een normale prijs), dan is het risico in de praktijk echt een heel eind naar de nul te duwen. Vraag je dus altijd af of je écht bang moet zijn voor risico’s, of (met excuses voor de vreselijke consultanttaal) je het als een kans op meer omzet moet zien.

Arnoud

Hoe aansprakelijk is die Uber-auto voor die dodelijke aanrijding?

Geplaatst op in Innovatie, 60 reacties

Uber stopt in alle steden met zijn testen met zelfrijdende auto’s na een dodelijk ongeval, las ik bij Nu.nl. Een zelfrijdende auto van het bedrijf heeft in Arizona een vrouw aangereden, waarna zij overleed. Uit het voorlopige onderzoek bleek dat de aanrijding waarschijnlijk overmacht was vanwege beperkt zicht, maar het is natuurlijk mogelijk dat uiteindelijk blijkt dat de auto of haar bestuurder toch meer te verwijten valt. En meer algemeen, wat doen we met de aansprakelijkheid van zelfrijdende voertuigen?

Het ongeval van afgelopen maandag lijkt een lastig te voorkomen incident geweest te zijn. Een vrouw stak op een onverwacht moment plotseling over met een fiets waar een hoop tassen aan hingen. De auto remde niet (en bleek iets te hard te rijden). “Het is duidelijk dat het moeilijk was geweest om een aanrijding te voorkomen, afgaand op de manier waarop het slachtoffer uit de schaduw de weg op liep.” Aldus de voorlopige conclusie van de politie.

In die omstandigheden zou denk ik in Nederland voor een gewone auto met bestuurder denk ik toch wel aansprakelijkheid ontstaan. De lat ligt namelijk erg hoog, en je moet altijd rekening houden met onverwachte zaken zoals overstekende personen. Een strafrechtelijke vervolging lijkt me uitgesloten maar de schade zul je (via de verzekering) toch denk ik wel moeten betalen.

Hoe een autonome auto precies in dat plaatje past, is nog niet echt duidelijk. Onze wetgeving kent het concept niet van een auto die zelf rijdt, maar gaat er vanuit dat er altijd een mens het stuur vasthoudt en de pedalen bedient (behalve indien relevante ontheffingen zijn verleend bij gehandicapte bestuurders). Het zou dus geen argument zijn dat de auto zelf besloot te remmen of juist door te rijden.

Ik ben er nog niet uit wat voor wetswijziging nodig zou zijn om dit op te lossen. Het voelt raar dat we een autonome auto aansprakelijkheidstechnisch anders behandelen dan een mensenbestuurde auto. Maar ze hetzelfde behandelen voelt óók gek want de werking is wezenlijk anders.

Misschien moeten we gewoon de hele vraag van aansprakelijkheid loslaten. We eisen dat auto’s zorgvuldig geprogrammeerd zijn maar verklaren auto-ongelukken te allen tijde als overmacht, waarbij de schade wordt betaald uit een fonds waar iedereen verplicht aan meebetaalt. Dan ben je de hele discussie kwijt én is iedereen zeker van zorg en vergoeding bij schade.

Arnoud

‘Dikke problemen’ voor grappenmaker die Trump van Twitter haalde

Geplaatst op in Ondernemingsvrijheid, 14 reacties

Op zijn laatste werkdag haalde een medewerker van Twitter het account van Donald Trump offline, las ik bij RTL. Elf minuten was @realDonaldTrump onbereikbaar voor de 41 miljoen Twittervolgers. Ondanks die beperkte tijd toch pijnlijk natuurlijk, en het zal zeker dan ook gevolgen hebben voor de ex-medewerker. Maar zou Trump zelf ook wat te claimen hebben? Welnee, want -daar gaan we weer- social media accounts zijn geen eigendom, ze bestaan bij de gratie van de welwillendheid van de dienstverlener.

Waarom de medewerker deze actie uithaalde, is nog niet duidelijk hoewel je natuurlijk wel een en ander op je klompen aanvoelt. Wat mij vooral verbaast is dat hij dacht dat het effect zou hebben. Bij zulke bekende/beruchte accounts mag je verwachten dat er snel alarmbellen af gaan, dus het voelde een tikje naïef.

Een arbeidsrechtelijk gevolg zal het zeker hebben. Want ook als je op je laatste dag iets uithaalt, kun je daar gewoon op aangesproken worden. Je kunt zelfs alsnog op staande voet ontslagen worden, wat consequenties heeft voor je uitkering en dergelijke. En een schadeclaim is in theorie ook mogelijk, zeker hier waar het gaat om opzettelijk handelen van de werknemer. Die schade zal lastig te kwantificeren zijn, want ook bij reputatieschade moet er iets worden onderbouwd.

Trump zelf zal weinig te claimen hebben overigens, want de voorwaarden bepalen uiteraard “You understand and agree that the Services are provided to you on an “AS IS” and “AS AVAILABLE” basis.” Oftewel: als hij het niet doet, heb je dikke pech. Ongeacht reden? In principe ja, want Twitter bepaalt hoe haar diensten worden ingericht en geleverd. Zelfs als Twitter had bedacht, we pakken door en láten Trump offline, dan nog had hij geen reden tot klagen gehad. Daarnaast zit je met ook hier de vraag wat de schade is.

Arnoud

Hoe de Supreme Court 20 jaar geleden internet anders dan televisie verklaarde

Geplaatst op in Ondernemingsvrijheid, 11 reacties

Deze week twintig jaar geleden, op 26 juni 1997, verklaarde de Amerikaanse Hoge Raad het internet fundamenteel anders dan radio en televisie. Op die dag deed zij uitspraak in een zaak rond de Communications Decency Act, die internet moest reguleren. De Act verklaarde het illegaal om inhoud te versturen wanneer deze indecent zou zijn en minderjarigen deze konden lezen. Deze regel uit radio- en televisieland bleek op internet in strijd met de vrijheid van meningsuiting. En toen kon internet los.

De CDA was in 1996 de eerste serieuze internetwet. Er werden allerlei regels gesteld, maar de stukken over aansprakelijkheid van providers en het fatsoenlijk niveau van de inhoud bleken het controversieelst. Dat stuk over fatsoen ging vrij ver:

knowingly (A) uses an interactive computer service to send to a specific person or persons under 18 years of age, or (B) uses any interactive computer service to display in a manner available to a person under 18 years of age, any comment, request, suggestion, proposal, image, or other communication that, in context, depicts or describes, in terms patently offensive as measured by contemporary community standards, sexual or excretory activities or organs.

Met name optie (b) was nogal wat. Websites zijn immers voor iedereen toegankelijk, dus ook voor minderjarigen. Dit zou dus betekenen dat iedere website moest filteren op minderjarigen, of (iets werkbaarder) moest zorgen dat er niets op de site zou staan die “offensive” geacht kon worden. Vandaar dat de burgerrechtenbeweging ACLU tegen de wet ten strijde trok.

In de VS staat de vrijheid van meningsuiting op een hoog voetstuk. Men is dan ook erg kritisch tegenover wetgeving die speech reguleert. Deze moet specifiek en gericht zijn, en mag de uitingsvrijheid van volwassen mensen niet nodeloos hinderen. Er is eigenlijk geen wet de afgelopen vijftig, zestig jaar die een dergelijke toets heeft overleefd. En met dat in het achterhoofd verbaast het dan ook niets dat de CDA net zo hard sneuvelde:

The record demonstrates that the growth of the Internet has been and continues to be phenomenal, … As a matter of constitutional tradition, in the absence of evidence to the contrary, we presume that government regulation of the content of speech is more likely to interfere with the free exchange of ideas than to encourage it.

Niet de hele wet ging vervolgens onderuit. Artikel 230 bleef staan – en dat artikel is cruciaal voor het internet zoals dat nu is. Het bepaalt dat platforms zoals internetproviders, forumbeheerders en hosters geen “publishers” zijn in de zin van de wet. Kort gezegd zijn zij dan niet aansprakelijk te houden voor andermans bijdragen, zoals bijvoorbeeld een krant dat wel is voor een ingezonden brief of een televisiezender voor een reclamespotje.

Deze totale niet-aansprakelijkheid (later uitsluitend genuanceerd door de Digital Millennium Copyright Act, DMCA) maakte dat het vrijwel risicoloos werd om een platform of dienst op te zetten waar mensen dingen konden publiceren. Van discussieforum tot informatieve website of dienst, alles mocht en je hoefde niet bang te zijn dat iemand je ging aanklagen. Dat is een mooie stimulans voor ondernemers gebleken om allerlei sites op te zetten.

De downside van die ontwikkeling is dan weer dat er totaal geen inspanning is geweest om de boel een beetje netjes te houden, of zelfs maar op te treden wanneer er klachten over inhoud kwamen (behalve dus auteursrecht, waar notice/takedown al snel algemeen aanvaard werd). Als je daarbij bedenkt dat je óók niet hoefde te registreren wie je gebruikers waren, dan snap je ook een ander deel van internet: totale anarchie in wat er wordt gezegd en niemand die zich daarvoor aansprakelijk houdt. Gebruikers ontraceerbaar en beheerders wettelijk beschermd is laten we zeggen niet zo handig.

Toch denk ik dat in de basis dit model de enige reële optie was voor internet om zo’n succes te worden als het is. Het doorschieten naar die baggerputten met anonieme drek is erg vervelend maar iets dat zichzelf corrigeert (voor een deel) of nu gericht kan worden bestreden met wetgeving die rekening houdt met de kennis van nu. Zo hoort het volgens mij te gaan, je geeft iets eerst de kans zich te ontwikkelen en daarna pas ga je de excessen wettelijk aan banden leggen.

Arnoud

‘Europa vormt obstakel voor verbeteren veiligheid internet-of-things’

Geplaatst op in Ondernemingsvrijheid, 31 reacties

D66-kamerlid Kees Verhoeven vindt dat de EU veel te traag is met het maken van regels voor de veiligheid van internet-of-things-apparaten, las ik Bij Tweakers. Hierdoor zouden we dan zwaar achter de feiten aanlopen wat betreft toezicht op de veiligheid van iot-apparaten. Hear, hear. Want die dingen zijn zo ongeveer al in de doos gehackt en leveren anderen gigantische schade op. Maar omdat de wetgeving niets zegt over ICT-security, komen leveranciers en winkels ermee weg. Alleen: wat gaan we er aan doen?

Het blijft om te huilen, die brakke beveiliging van internet-enabled apparaten zoals camera’s, videorecorders, televisies, thermostaten en ga zo maar door. Slechts weinig fabrikanten leveren updates bij zulke apparaten, en vaak is het apparaat uit de doos zó achterhaald dat het binnen een kwartiertje gehackt is en als botnet-zombie kan worden gehuurd door wie maar een paar cent beschikbaar heeft.

Ik vind dat van de zotte. Je kunt van gewone consumenten niet verwachten dat ze hier wat tegen doen, al is het maar omdat zulke apparaten zelden te updaten zijn. Terwijl de fabrikant op zich prima een goed niveau van veiligheid kan inbouwen. De reden om het niet te doen, is eigenlijk heel simpel: dat kost geld en het levert niets extra’s op bij de klant. En dat is waarom we wetgeving nodig hebben.

Je kunt twee dingen doen. De gebruikelijke juridische manier is een open norm: een product moet adequate productsecurity hebben, anders boete. Het voordeel daarvan is dat je dan als fabrikant zelf kunt invullen wat je gaat doen (met een motivatie waarom dat “adequaat” is), en dat je ook bij veranderingen in de technologie nog steeds een maatstaf hebt. Nadeel is wel, als je geen fatsoenlijke invulling kunt geven dan heb je een groot risico, want op overtreding van die norm staat een boete. “Pas op of je moet een miljoen betalen”, wat moet je daarmee als bedrijf.

Een andere manier is dat je als wetgever concrete normen gaat stellen. Ik weet niet of die er zijn voor ICT-security bij iot-apparaten, wat gelijk al een stevige hobbel zou zijn. Maar zelfs als ze er zijn, dan moet je dus als wetgever elke maand je regels bijstellen omdat er weer iets nieuws bedacht is. En tot die tijd mogen bedrijven niet verder in een nieuwe richting. Dat geeft wel zekerheid, maar echt werkbaar voor de toekomst lijkt het me niet.

Ik denk dat ik zelf tóch voor open normen ben, gekoppeld aan de plicht voor de toezichthouder om richtsnoeren te maken en uitspraken te doen over best practices in de markt: als je dit doet, dan vinden we het prima. De praktijk laat alleen zien dat toezichthouders dat maar in beperkte mate doen. Voor een deel omdat er gewoon nog best weinig is bij ict-innovaties om een duidelijk richtsnoer voor te maken, en voor een deel omdat bedrijven gelijk het richtsnoer als algemeen geldende wettelijke regel opvatten: je zei op pagina 13 dat een sms-bericht geen algemene voorwaarden hoefde te bevatten, dus hoeft mijn app dat ook niet. Hoe dat op te lossen, daar ben ik nog niet over uit. Maar dat er iets moet gebeuren en snel ook, dat staat vast.

Arnoud

Overnemen van een disclaimer als auteursrechtinbreuk

Geplaatst op in Intellectuele rechten, 13 reacties

Kan het overnemen van een “free disclaimer” inbreuk op het auteursrecht van de disclaimermaker zijn? Een recent vonnis stelt die kwestie weer ter discussie (via Menno Weij). Kort gezegd: ja dat is inbreuk, maar de wijze van presenteren maakt dat de schadeclaim fors omlaag gaat.

De disclaimer in kwestie werd overgenomen van www.freedisclaimer.eu. Het is een nogal lange tekst die er erg juridisch uitziet, dus als je dan als ondernemer op zoek bent naar een mooie afschriktekst dan zou je die wellicht willen overnemen. Maar dat mag dus alleen als je de gebruiksvoorwaarden in acht neemt, anders krijg je van de advocaat achter die site een stevige factuur: € 693,67 en enige tijd later € 962,00. Een bedrag waar zelfs menig claimend fotograaf even van opkijkt.

De rechter begint met constateren dat er auteursrecht zit op de disclaimer, want “de gebruikte woorden en opmaak van (de tekst van) de disclaimer is het gevolg van creatieve keuzes.” Dat vind ik wat erg makkelijk, maar goed er is geen verweer tegen gevoerd.

En tsja, als er auteursrecht zit op een tekst dan mag je die niet zomaar overnemen. Ook niet als er geen keiharde knipperende “Auteursrechtelijk beschermd materiaal”-tekst bij staat. Maar hier doet zich wat merkwaardigs voor: de site héét “Free disclaimer”. En de gebruiksvoorwaarden waren niet bepaald eenvoudig te vinden, dus dan wordt het wel een beetje onredelijk om zomaar claims te leggen:

Onder de nadere informatie is de zin (inclusief hyperlink) “Klik hier als u deze disclaimer op uw website wilt gebruiken.” opgenomen. Pas bij het doorklikken op “hier” komt de website van [eiser] in beeld, waar de gebruiksvoorwaarden staan vermeld. De kantonrechter overweegt dat het meer voor de hand ligt dat, als er gebruiksvoorwaarden zijn gekoppeld aan de disclaimer, deze ook op de site worden gepubliceerd waar de disclaimer op staat vermeld. Te meer, nu internet uitnodigt tot het overnemen van informatie, zonder daarbij in acht te nemen dat deze informatie auteursrechtelijk beschermd kan zijn, en nu het webadres van de website impliceert dat de disclaimer zonder nadere voorwaarden mag worden gebruikt. Door deze wijze van publiceren van de disclaimer, en dan met name gelet op het gebruikte webadres en het ontbreken van de gebruiksvoorwaarden op de hoofdsite, wordt er een grote kans op onbedoeld, dan wel onbewust, schadeplichtig gebruik gecreëerd.

Gezien deze situatie vindt de rechter het niet redelijk om de geëiste schadeclaim en advocaatkosten toe te wijzen. Hij beperkt het vonnis dan ook tot 148 euro aan kosten die zijn gemaakt na de eerste ontvangen sommatie, omdat de wederpartij toen niet direct de disclaimer had verwijderd.

Ik blijf het een rare zaak vinden. Disclaimers hebben juridisch geen waarde, dus waarom zou je ze überhaupt aanraden om te gebruiken? En dan ook nog eens geld vragen voor de overname, tegen een bedrag dat geen reële schade vertegenwoordigt. Hoezo mag een eisende advocaat zomaar zijn uurtarief als schade opvoeren, om eens wat te noemen.

Arnoud

Hoe disclaim ik aansprakelijkheid voor mijn gebruikers?

Geplaatst op in Ondernemingsvrijheid, 15 reacties

Een lezer vroeg me:

Heb jij een standaardtekst voor me waarmee ik mijn aansprakelijkheid voor mijn gebruikers even netjes disclaim? Ik run een groot forum en heb geen zin in claims van fotografen en andere grapjassen. Die wil ik bij mijn gebruikers neer kunnen leggen.

Er is geen toverformule waarmee je aansprakelijkheid voor handelen van je gebruikers kunt uitsluiten. Disclaimers (al dan niet via onze generator gemaakt) waarin staat van wel, zijn dus juridisch krachteloos. Aansprakelijkheid is een wettelijk concept, dat niet eenzijdig kan worden aangepast.

Natuurlijk kun je contractueel je aansprakelijkheid beperken, maar dat werkt dan alleen tegen partijen die dat aanvaarden. Tegenover je gebruikers kun je dus zeggen “ik ben niet aansprakelijk voor de gevolgen van dataverlies of downtime”, want die moeten er mee akkoord gaan om op het forum te mogen. Tegenover een fotograaf met een claim wegens auteursrechtinbreuk werkt dat niet.

Er is een juridische oplossing voor deze situatie en die heet de vrijwaring. Wanneer iemand een vrijwaring afgeeft, verklaart hij eventuele juridische geschillen die de gevrijwaarde krijgt, op zich te nemen en uit eigen zak op te lossen. Je kunt dus je gebruiker laten verklaren dat hij je vrijwaart van claims van derden over de inhoud die zij plaatsen. Daarnaast kun je natuurlijk in je voorwaarden opnemen dat je gebruiker die schade volledig moet vergoeden.

Beiden hebben alleen een heel praktisch probleem: als je niet weet wie je gebruiker is, of hij heeft het geld niet, of de incasso is hoger dan de schadeclaim, dan heb je er weinig aan. Naar de klager helpt ook een vrijwaring niet, want een vrijwaring is pas effectief als de rechter je toestaat die ander in vrijwaring te laten opdraven. En dan moet je dus weten wie het is.

Ik kan me moeilijk voorstellen dat er forumgebruikers zijn die bereid zijn hun naam en adres te geven zodat de eigenaar ze aansprakelijk kan stellen of een vrijwaring kan inroepen. Je neemt dus een zeker risico als forum-eigenaar; meer dan goed modereren en snel reageren op klachten zit er niet in.

Arnoud

Kun je als freelancer de aansprakelijkheid voor je werk afschuiven op de opdrachtgever?

Geplaatst op in Intellectuele rechten, Ondernemingsvrijheid, 8 reacties

Een lezer vroeg me:

Sel dat je als freelancer aan een (software)project werkt voor een opdrachtgever, en om de een of andere reden is wat je aan het bouwen bent niet legaal. Misschien niet heel evident maar je ziet wel twijfels. Moet je daar dan nader onderzoek naar doen, juridisch advies inwinnen of kun je dat bij je opdrachtgever neerleggen in bijvoorbeeld de opdrachtbevestiging of algemene voorwaarden?

Dit is zo heel algemeen natuurlijk lastig te zeggen. Je kunt in een zakelijke overeenkomst veel doen, inclusief aansprakelijkheden voor van alles en nog wat verleggen naar je opdrachtgever. Je zult daar wel expliciet over moeten zijn en het is natuurlijk maar de vraag waarom je opdrachtgever daarmee akkoord zou gaan.

Voor mij zou een belangrijke zijn of wat je aan het bouwen bent nooit legaal kan zijn of juist soms. Een goksite kan illegaal zijn, maar als de opdrachtgever keurig een vergunning weet te krijgen, dan is er niets aan de hand. Als de opdrachtgever je vraagt iets te maken om zijn ex permanent te kunnen volgen, dan is de legale optie iets minder goed voorstelbaar.

Ook zou het nogal uitmaken hoe ernstig de illegaliteit is. Als een webwinkelier zijn btw-nummer niet op de site wil (dat is immers ook zijn BSN), dan is dat een wetsovertreding maar dat is van een iets andere orde dan die spyware. Ik zou daar minder moeite mee hebben om in mee te gaan als ontwikkelaar.

Hetzelfde geldt voor de vraag wiens idee het was, die illegale feature. Standaard het btw-nummer weglaten omdat het de klant zijn privacy raakt (het is immers zijn BSN) vind ik heel wat anders dan op klantverzoek en na discussie dat nummer weglaten. Of bij implementatie van iemands analytics geen cookietoestemming vragen omdat de cookiewet idioot is en toch niemand het leest. Dat mag je vinden, maar dat is een beslissing van je klant.

In de security-wereld kennen ze dit probleem al langer: veel security-onderzoek botst tegen de grijze randjes van computervredebreuk aan. Hiervoor is het instrument van de pentest waiver uitgevonden, waarin de opdrachtgever kortweg zegt dat het onderzoek mag en dat hij van iedereen toestemming heeft en je vrijwaart van claims van de hele wereld.

Het belangrijkste lijkt me om in zulke twijfelgevallen vast te leggen wat de zorg is, hoe daarover gesproken is en wat de conclusie was. Dat sluit ook aan bij je zorgplicht als opdrachtnemer (art. 7:400 BW). Als een opdrachtgever willens en wetens een bepaald risico neemt, dan kan hij daarna moeilijk nog een claim bij de ontwikkelaar leggen. Het vergt dus meer dan alleen een zin “alle aansprakelijkheid op het resultaat ligt bij de klant”.

Hebben jullie wel eens een opdracht gehad waarvan je dacht, dit lijkt me niet legaal?

Arnoud