Tag: Aansprakelijkheid

About Aansprakelijkheid

Subscribe Feeds

Waarom gaat die fotograaf achter mij aan en niet mijn gebruiker?

Geplaatst op in Intellectuele rechten, Ondernemingsvrijheid, 29 reacties

groep-claim-geld.jpgEen lezer vroeg me:

Recent kregen wij een claim van een fotograaf vanwege een foto geplaatst door een lid van ons forum. In onze forumvoorwaarden staat duidelijk dat de gebruiker zelf verantwoordelijk is, ook bij schade door dit soort claims. Gebruikers vrijwaren ons van elke vorm van aansprakelijkheid. Maar die fotograaf stelt dat hij daar niets mee te maken heeft. Is dat zo, en wat is dan de waarde van die voorwaarden?

Die fotograaf heeft toch echt een punt. Als een forum iemand anders schade berokkent, dan moet de organisatie achter dat forum die schade vergoeden. Het doet er dan niet toe welke persoon de schade in gang zette. Als het forum medeverantwoordelijk is voor de schade, dan mag je daar je claim leggen als benadeelde partij.

In je gebruiksvoorwaarden kun je van alles zetten, maar voorwaarden zijn contractuele afspraken en dus alleen bindend op partijen die er mee akkoord zijn gegaan. Je forumleden zitten hier dus aan vast, maar een derde zoals zo’n fotograaf niet. Die is geen forumlid dus waarom zou hij zich moeten houden aan voorwaarden die jij aan je leden stelt?

Een veel lastiger vraag is óf het forum wel aansprakelijk is voor auteursrechtclaims wegens foto’s geplaatst door leden. Daar wordt nu vaak heel makkelijk over gedaan: het forum is geen beschermde tussenpersoon dús zijn ze aansprakelijk, klaar. Dat klopt niet volgens mij: je hebt nog altijd de vraag of de forumbeheerders iets fout doen door mensen foto’s te laten publiceren, als daar auteursrechten van derden op zitten. Zonder fout geen onrechtmatige daad.

(Je bent een beschermde tussenpersoon als je je niet inhoudelijk bemoeit met wat mensen plaatsen. Forums modereren – ze kunnen niet anders – dus voldoen ze niet aan die beschermingsregel.)

Het enkele verspreiden van berichten van derden met onrechtmatige inhoud is op zichzelf niet onrechtmatig. In de Wereldomroep-zaak werd een SMS-bericht van een luisteraar voorgelezen. Het Hof Amsterdam oordeelde dat slechts wanneer de Wereldomroep had moeten weten dat het bericht onjuist was, zij aansprakelijk geacht zou kunnen worden. Diezelfde blog citeert een Pretium-zaak waarbij dezelfde norm werd aangelegd. In de Garagetest-zaak zag de rechtbank geen onrechtmatig handelen in het incidenteel laten verschijnen van valse recensies. Deze waren niet eenvoudig kenbaar voor de beheerder. Bovendien konden gerecenseerde garages een weerwoord plaatsen en mochten negatieve recensies alleen worden geplaatst met onderbouwing.

Je zou daaruit dus kunnen concluderen dat wanneer een forum niet weet of had moeten weten dat er auteursrechten van derden op zitten, ze niet aansprakelijk zijn voor schade bij de fotograaf. Alleen: bij auteursrechten werkt dat kennelijk anders – er staat een foto, betaal maar en verhaal het op je leden of zo. Ik heb geen idee waar dat op gebaseerd is in het recht. Het wordt tijd dat een forum hier eens een principezaak van maakt.

Arnoud

Wie stel ik aansprakelijk als de ober mijn telefoon laat vallen?

Geplaatst op in Ondernemingsvrijheid, 26 reacties

waiter-ober-serveren-restaurantEen lezer vroeg me:

Stel je geeft je telefoon aan een ober om een foto te maken van jou en je geliefde tijdens een diner. De ober laat vervolgens per ongeluk de telefoon op de plavuizen vloer vallen, en hij is stuk. Wie moet betalen voor de geleden schade?

Het voor de hand liggende antwoord zou zijn: de ober. Die laat immers het toestel vallen (al dan niet in de soep), en wie een ander (onrechtmatig) schade berokkent, moet deze vergoeden.

Alleen: die ober handelt hier niet als persoon, maar als werknemer van het restaurant waar je op dat moment bent. Hij doet zijn werk, en wie in de uitvoering van zijn werk fouten maakt, is daar niet zelf voor aansprakelijk. Dat is zijn werkgever, het restaurant dus. Die zal de telefoon moeten vergoeden (in de praktijk natuurlijk via hun verzekering, maar dat terzijde).

Ook als het restaurant obers verboden had om gasten te fotograferen met hun telefoons, want een verbod (al dan niet op papier en ondertekend) kan deze wettelijke regeling niet doorkruisen. En inderdaad dat geldt ook voor al die ICT-reglementen die werknemers verbieden X en Y te doen: allemaal leuk en aardig maar er ontstaat geen aansprakelijkheid van de werknemer voor.

Hooguit zou het restaurant nog tegen de gast kunnen zeggen, dit is (mede) uw eigen schuld want het is nu eenmaal algemeen bekend dat telefoons kunnen vallen als een ander die voor het eerst vasthoudt om een foto te maken. Bij zulke domme pech moet u zelf de gevolgen dragen. En dan is het dus maar hopen dat je zelf een goede telefoon- of inboedelverzekering hebt.

Arnoud

Hoe moet Samsung die teruggeroepen Note 7’s vernietigen, qua persoonsgegevens?

Geplaatst op in Ondernemingsvrijheid, Privacy, 14 reacties

samsung-note-7-recallHet is nog altijd onduidelijk wat er gaat gebeuren met de persoonlijke data op de miljoenen Note 7-toestellen die door Samsung zijn teruggeroepen. Dat las ik (dank, Franc) bij Security.nl. De wasmachines, pardon telefoons worden teruggeroepen vanwege ontploffende accus. Vanwege dat ontploffingsgevaar werd geadviseerd het toestel meteen uit te zetten en terug te sturen, zodat de kans groot is dat die toestellen vol met privégegevens teruggezonden worden. Wat nu?

Het verhaal van de ontploffende accus blijft me verbazen. Maar goed, het schijnt te kunnen gebeuren, ook bij toestellen van een marktleider. Een terugroepactie lijkt me dan ook niet meer dan normaal. Dat doen ze bij de toevallig recent ook ontbrandende wasmachines ook. Een nette oplossing voor een vervelend probleem. En juridisch volkomen terecht: Samsung is productaansprakelijk voor de schade die het gevolg is van dergelijke ontploffingen.

Samsung heeft vanwege de aard van het gevaar de consument geadviseerd het toestel meteen uit te zetten en op te sturen. Logisch, maar daardoor staan die toestellen waarschijnlijk nog helemaal vol met privéfotos, chats en dergelijke, maar ook logingegevens en actieve sessies naar allerlei diensten.

In principe is het je eigen verantwoordelijkheid om die dingen te wissen voordat je een toestel instuurt voor een omruilactie, zo staat in het artikel. Maar ik vind dat twijfelachtig worden op het moment dat de fabrikant je daartoe aanspoort. En eigenlijk ook al wanneer het toestel het niet meer goed doet, dan kún je immers niet meer je gegevens wissen. Dus wat mij betreft is het te allen tijde de verantwoordelijkheid van de terugroeper om te zorgen dat de ontvangen toestellen persoonsgegeventechnisch veilig worden behandeld.

Samsung heeft nog niet bekend gemaakt wat ze gaan doen met de naar schatting 2.5 miljoen te retourneren toestellen. Ze allemaal in de shredder duwen kan natuurlijk en is privacytechnisch perfect, maar wát een verspilling van zeldzame metalen en wat dies meer zij zou dat opleveren.

Het andere uiterste is ze allemaal handmatig uit elkaar halen en de materialen recyclen onder wissing/vernietiging van SD kaartjes en interne geheugens. Dat zou ook goed moeten werken maar voelt erg kostbaar. Dat ze tweedehands alsnog op de markt komen lijkt me niet reëel gezien de aard van het probleem: die merknaam lijkt me té besmet. Maar wat dan?

Arnoud

Winkelhouder niet aansprakelijk voor inbreuken via open wifi-netwerk

Geplaatst op in Intellectuele rechten, Ondernemingsvrijheid, 16 reacties

wifi-hotel.pngHet Europese Hof van Justitie heeft in de Mc Fadden-zaak beslist dat een winkelhouder niet aansprakelijk is voor auteursrechtinbreuken die worden begaan via een open wifi-netwerk. Dat meldde Tweakers vorige week donderdag. Wel kan een rechthebbende partij eisen dat een winkel zijn netwerk beschermt met een wachtwoord, omdat je anders het té makkelijk maakt dat langsrijdende grapjassen illegaal downloaden.

Uit het arrest (zaaknr. C?484/14) blijkt dat het ging om een winkel voor de verkoop en verhuur van licht- en geluidsmateriaal. De eigenaar had een draadloos wifi-netwerk opgezet waar bezoekers op konden, waarbij hij geen beveiliging had toegepast om zo klanten van winkels in de omgeving, voorbijgangers en buren op zijn bedrijf te attenderen.

Op zeker moment downloadde iemand een muziekbestand via dat draadloze netwerk uit een illegale bron, waarop Sony de winkelier aansprakelijk stelde voor deze inbreuk op auteursrechten. In Duitsland niet ongebruikelijk: op basis van Duitse rechtspraak inzake indirecte aansprakelijkheid (“Störerhaftung”) was daar een basis voor.

Raar, want in de Europese E-commercerichtlijn uit 2000 staat dat een tussenpersoon die internettoegang biedt, niet aansprakelijk is voor wat er over zijn internetverbinding gebeurt. In Duitsland was de gedachte (als ik het goed begrijp) dat die regels alleen golden voor bedrijven met als hoofddoel het bieden van internettoegang, zeg maar de ‘echte’ providers zoals T-Mobile. Wifi als aardigheidje maakte je geen provider en dus was je gewoon aansprakelijk.

Het Hof van Justitie kreeg vervolgens van de Duitse rechter deze zaak op zijn bordje: hoe zit het nu, ben je als winkel met wifi nu wel of niet een provider en kun je je dan wel of niet op deze regeling beroepen?

Kort gezegd is het antwoord: ja, dat kun je. Ook een gratis wifidienst die niet je hoofdaanbod is, valt onder de regels van de e-commercerichtlijn. Zodra je wifi te gebruiken is door derden, ben je een ‘provider’ en dus niet aansprakelijk voor wat er over je lijn gaat. Er gelden geen andere voorwaarden, zoals of je een contract sluit, of je geld vraagt of wat dan ook.

Een internetprovider hoeft daarbij géén notice/takedown te hanteren of iets dergelijks. Een hoster moet dat wel – die slaat informatie op, en kan die dus weghalen als het moet. Maar een provider geeft alleen maar door en is dus niet gehouden inbreukmakende zaken te blokkeren.

Echter, in de Richtlijn staat dat de provider een concreet verbod opgelegd kan krijgen om specifieke inbreukmakende informatie nog langer door te geven. Een Pirate Bay-verbod (zeg maar) is dus in theorie mogelijk, maar er moeten dan wel zware waarborgen zitten aan dat verbod. Dan krijg je dus gelijk een hele stevige juridische kluif in het afwegen van belangen – informatievrijheid en ondernemingsvrijheid aan de ene kant, auteursrechten aan de andere kant.

Die discussie laat het Hof nu even voor wat het is: er lag een concrete vraag of het wachtwoordbeveiligen van je netwerk redelijk is, en het antwoord is ja. Het opnemen van een wachtwoord op je wifi is eigenlijk maar een hele lichte maatregel die inbreuken door gebruikers (enigszins) kan beperken terwijl het niet echt de toegang tot internet hindert. Die maatregel is dus in principe gerechtvaardigd om te eisen. Dus: geen aansprakelijkheid voor je gasten, mits je je netwerk beveiligt.

Opmerkelijk is wel dat men eist dat je de ontvangers van het wachtwoord kunt identificeren. Gewoon een dagelijks wisselend wachtwoord mag dus niet. Het Hof zegt niet waarom ze dit ook redelijk vinden, en een afweging tegenover de privacy van bezoekers zit er al helemaal niet in. Dat bevreemdt wel heel erg. Vermoedelijk is de gedachte dat rechthebbenden dan die gegevens kunnen vorderen en zo hun recht kunnen handhaven bij de echte inbreukmaker.

Ik ben benieuwd wat dit voor gevolgen heeft. Enerzijds kun je nu zeggen, einde van gratis wifi want dat is te veel gedoe, iedereen identificeren. Anderzijds zie ik het ook wel gebeuren dat rechthebbenden nu afhaken, want je kunt hooguit eisen dat bedrijven een triviale identificatie gaan doen en 90% van de tijd valse gegevens toelaten. Dat is zo veel tijd en moeite om te checken dat je beter ergens anders kunt gaan claimen.

Arnoud

Je bent als bedrijf aansprakelijk voor stiekem geïnstalleerde software door je werknemer

Geplaatst op in Intellectuele rechten, Ondernemingsvrijheid, 28 reacties

camera-laptop-video-chat-gesprekEen werkgever is aansprakelijk voor illegale software geïnstalleerd door een werknemer, en daarbij maakt het niet uit of dat expliciet verboden was door de werkgever. Dat maak ik op uit een recent vonnis (via) van de rechtbank Rotterdam. Er is sprake van zogeheten risico-aansprakelijkheid: ongeacht wat je doet, je draait op voor eventuele inbreuken op auteursrechten door je personeel. Auw.

In deze zaak ging het om het CAD-pakket Solid Edge van Siemens. Het aangeklaagde bedrijf had keurig zeven licenties daarop aangekocht, maar op zeker moment nam een werknemer nog een achtste kopie in gebruik. (Waarom? Tussen de regels door lezend vermoed ik dat de gekochte versies beperkt waren in functionaliteit en de achtste kopie een gekraakte full versie.)

De software had bel-naar-huis functionaliteit, zodat Siemens op de hoogte kwam van de licentieschending en besloot beslag te leggen op de laptop waar die kopie op stond. Iets dat in het Nederlands recht gewoon kan als opmaat naar een rechtszaak, en die kwam er dan ook.

Maar hoe kun je als werkgever aansprakelijk zijn voor zo’n illegale stunt van je werknemer? Nou simpel, dat staat in de wet en wel als risico-aansprakelijkheid (art. 6:170 BW): als het gebeurt, dan ben je aansprakelijk. Dat is je risico als je werkgever bent. Het doet er niet toe of je de werknemer hiertoe had aangezet of het hem juist had verboden. De wet legt de lat heel laag. Het gaat erom of de kans op de fout door de opdracht tot het verrichten van de opgedragen werkzaamheden is vergroot. En daarvan is hier sprake zegt de rechter:

Daarvan is sprake omdat aan de werknemer ‘administrator’-rechten zijn verleend. Weliswaar had dit tot doel dat hij gratis applicaties kon downloaden voor het programmeren van complexe machines, maar hierdoor kreeg hij tevens de mogelijkheid het softwareprogramma op zijn laptop te plaatsen. Dat Maverick Manufacturing zich daarvan bewust was, volgt uit de omstandigheid dat zij op 15 oktober 2015 onmiddellijk heeft geprobeerd het softwareprogramma van de laptop te verwijderen toen zij ermee bekend raakte dat beslag tot afgifte werd gelegd.

Die laatste zin is natuurlijk redelijk dodelijk, maar de eerste vind ik intrigerender. Als je je werknemers toestaat legale software te installeren, dan neem je dus het risico (en de aansprakelijkheid) op je dat ze illegale software erbij zetten. En daar draai jij dan voor op, ook als je expliciet erbij had gezegd dat dit écht niet mag:

Voor het aannemen van aansprakelijkheid in de zin van art. 6:170 BW is niet relevant of werknemers gevolg geven aan een dergelijk verbod. Evenmin is voor het aannemen van aansprakelijkheid relevant dat software gemakkelijk van internet is te downloaden en dat dit buiten het zicht van Maverick Manufacturing heeft plaatsgevonden (…).

Het bedrijf moet dus de schade van Siemens (13.000 euro licentie- en onderhoudskosten en 5.000 opsporingskosten) plus advocaatkosten (een kleine 10.000 euro) vergoeden door deze fout.

Een grote strop die ze onmiddellijk gaan verhalen op die werknemer? Vergeet het maar. Allereerst moet er sprake zijn van opzet of bewuste roekeloosheid (art. 7:661 BW), en dat is een hoge lat. Iets doen dat je expliciet verboden is, voldoet nog niet aan deze eis. Je zult echt moeten bewijzen dat de werknemer dit deed met het oogmerk de werkgever schade te berokkenen.

Ze vanaf nu laten tekenen voor persoonlijke aansprakelijkheid? Ja, leuk geprobeerd maar die kennen we ook al: lid 2 van datzelfde artikel zegt dat dat alleen kan bij schriftelijke afspraak – dus in de arbeidsovereenkomst, niet in een later voorgelegd papiertje of reglement – en alleen voor zaken waar de werknemer voor verzekerd is. En dat is geen mens als het gaat om auteursrechtinbreuk. Desondanks zie ik het wel gebeuren dat de nodige werkgevers nu aansprakelijkheidsbriefjes opstellen voor mensen die administrator-rechten willen, maar die zijn dus volkomen waardeloos.

Arnoud

Moeten we de aansprakelijkheid van autonome auto’s aan advocaten overlaten?

Geplaatst op in Innovatie, Ondernemingsvrijheid, 38 reacties

google-zelfrijdende-autoBergen rechtszaken zijn de belangrijkste hobbels (haha) waar de zelfrijdende auto overheen zal moeten zien te komen, las ik in Slate. Zolang de aansprakelijkheid van eigenaar, passagiers en fabrikant niet duidelijk zijn, zal de adoptie van deze voertuigen onnodig langzaam blijven lopen. Hoe lossen we dat op bij zoiets snel evoluerends als autonome auto’s? Simpel, zegt de auteur: laat dat gewoon aan het aansprakelijheidsrecht over. Dat is daar voor.

In theorie is de vraag simpel te beantwoorden. Hoe regel je aansprakelijkheid voor bepaalde situaties? Simpel, dat zet je in de wet. Die hebben we ook al de nodige: je bent aansprakelijk voor je huisdieren en voor je assistenten. Je bent ook aansprakelijk voor je minderjarige kinderen, maar omdat dat een tikje ongenuanceerd voelde is daar een complexe regel bij gekomen. Maar goed, daar komen we uit. En het is logisch dat de bal daar ligt, want jij bent in staat dat te borgen. Of (bij die dieren) het is gewoon redelijk want er is niemand anders.

Op zeker moment kregen we producten die soms ontploften of anderszins gevaarlijk waren. Dus toen kwam er ook een wet over productveiligheid, die de bal legt bij de fabrikant of importeur daarvan. Natuurlijk gaf die wet enig gesteggel maar het lijkt me niet meer dan logisch dat de bal daar ligt. Een televisie mag niet ontploffen, en de bouwer daarvan heeft alle controle dus die kan veiligheidsmaatregelen nemen.

Logisch allemaal. Maar bij de zelfrijdende auto ligt het iets ingewikkelder. Ja, natuurlijk heeft de fabrikant een grote rol want hij programmeert de AI, plaatst de sensoren en hakt knopen door over hoe te kiezen tussen passagier en medeweggebruikers. Maar de eigenaar/passagier/bestuurder heeft ook enige invloed, die gaat de weg op met het ding en drukt misschien wel op knopjes om het gedrag te beïnvloeden. Of hij zat niet op de noodrem.

Als wetgever kom je daar niet echt uit. Wil je dan toch wetten maken, dan heb je een grote kans dat je de plank misslaat en de innovatie doodreguleert. Plus, een wet invoeren duurt meerdere jaren en wie weet waar we dán zijn met zelfrijdende auto’s en kunstmatig intelligente bestuurders.

Gelukkig is er een alternatief: de rechtspraak. Ik noem dat altijd de juridische exception handler: als het niet geregeld is, dan moet de rechter in vredesnaam maar verzinnen wat in deze situatie het beste past binnen de wet, de redelijkheid en de concrete situatie. Hij kan dan een oordeel doen over die situatie, maar hij kan ook een rechtsregel formuleren die vanaf dan in vergelijkbare situaties van toepassing moet zijn. En het mooie is dat zulke rechtsregels heel specifiek kunnen zijn, en dat ze over een jaar vervangen kunnen worden door een nieuwe uitspraak gebaseerd op de inzichten van dan. Noodwetjes, zo je wilt.

Het is dus helemaal niet zo’n gek idee om de rechtbank te laten oordelen over wat te doen met aansprakelijkheid bij ongevallen waar zelfrijdende auto’s bij betrokken zijn. Het zal in het begin wat zoeken zijn met diverse uitspraken alle kanten op, maar rechters lezen ook elkaars vonnissen en zeker bij uitspraken in hoger beroep ontstaat er dan een zekere lijn waar men op kan varen. En het mooiste is dan nog dat als die lijn goed bevalt, de wetgever hem zo over kan nemen in de Wet van 2020 over Autonome Voertuigen. Of juist iets heel anders kan verzinnen omdat de jurisprudentie laat zien waar de knelpunten zitten.

De auteur doet nog een aanvullend voorstel voor het geval de rechtszaken de pan uit rijzen: in de VS geldt een wettelijke bescherming voor bedrijven die vaccins ontwikkelen. Aangezien onjuist werkende vaccins tot medische claims kunnen leiden, zouden bedrijven daarmee kunnen stoppen om wat veiligers te gaan doen. Dat willen we niet, dus zijn ze in de VS beperkt aansprakelijk voor medische missers in vaccins. Wel is er dan tegelijk een verzekeringsfonds opgericht waar slachtoffers van die missers een vergoeding uit krijgen. Zo corrigeer je voor het maatschappelijk probleem van de slachtoffers, zonder de fabrikanten nodeloos af te schrikken iets nieuws te verzinnen.

Die wettelijke bescherming doet denken aan wat we eind jaren negentig voor tussenpersonen op internet hebben bedacht. Die zijn niet aansprakelijk voor wat er op hun platform gebeurt (waar trouwens nu heisa over is omdat artiesten massaal klagen dat ze niks krijgen van het beschermde Youtube) mits ze maar een notice/takedownsysteem toepassen. Ik roep al jaren dat dit eigenlijk een systeem met dwanglicenties moet worden: Youtube mag niet verboden worden maar moet wel betalen. En dat sluit dan mooi aan bij die vaccin-regeling.

Dat dan maar doen? Fabrikanten mogen zelfrijdende auto’s op de markt brengen, en zijn behoudens grof nalatige fouten niet aansprakelijk voor ongevallen die daarmee gebeuren. Wel storten ze verplicht een bedrag in een verzekeringspot, en slachtoffers van die ongevallen ontvangen daar een uitkering uit.

Arnoud

Is Groupon aansprakelijk voor een deal met nep-SD-kaartjes?

Geplaatst op in Ondernemingsvrijheid, 17 reacties

groupon-sd-kaartDe Consumentenbond waarschuwt Nederlanders om geen gebruik te maken van een aanbieding van Groupon, die over goedkope sd-kaartjes van SanDisk lijkt te gaan. Dat meldde Tweakers vorige week. Diverse tweakers hadden ontdekt dat de kaartjes nep waren (niet van het bekende merk Sandisk, en achterblijvende prestaties) en de Bond is daarop gesprongen. Uiteindelijk heeft Groupon ingegrepen en de deal verwijderd en beloofd “gepaste stappen [te] nemen richting onze klanten.” Maar stel dat dat mis zou gaan, kun je dan wat tegen Groupon of moet je bij de kaartjesboer zijn?

In het verleden (tot medio 2014) was dit nog een knap lastige vraag. Hoewel je de vouchers koopt bij Groupon en daar ook betaalt, stelt het bedrijf zich op het standpunt dat je uiteindelijk zaken doet met hun partner, in dit geval de sdkaartjesleverancier. Logisch, want daardoor valt Groupon er tussenuit als er problemen komen. En weinig dingen zo prettig als er niet tussen zitten als er claims komen.

In juni 2014 is de wet echter gewijzigd. Het consumentenrecht is sterk uitgebreid, en dat zie je onder meer in art. 6:230g lid 3 BW:

Indien een overeenkomst waarop deze afdeling van toepassing is tot stand is gekomen via een andere persoon, handelend in het kader van zijn handels-, bedrijfs-, ambachts- of beroepsactiviteit, die daarbij optreedt namens of voor rekening van een handelaar, kan de consument zich ook jegens die andere persoon beroepen op het in deze afdeling bepaalde.

Groupon is zo’n “andere persoon”: zij hebben als handelsactiviteit het tot stand brengen van overeenkomsten tussen consumenten en andere bedrijven. Groupon treedt daarbij op voor rekening van die ander, en daarmee valt zij onder deze regeling.

Oftewel, je kunt dus wel degelijk een claim bij Groupon indienen voor een correcte naleving van de overeenkomst. Dat betekent dus dat Groupon moet zorgen dat je de kaartjes krijgt die zijn beloofd, want het is heel simpel: de kaartjes zijn niet van het beloofde merk en hebben niet de beloofde functionaliteit. Ik vermoed dat Groupon niet verder zal gaan dan een refund, want praktisch gezien hoe moeten zij aan die kaartjes komen?

Ik ken nog geen enkele zaak waarbij iemand geprobeerd heeft dit artikel in te roepen, dus wat dat betreft blijft het speculeren. Maar het opent wel mogelijkheden.

(Bij algemene advertentieplatforms zoals Marktplaats geldt deze regel niet, die treden volgens mij niet op “namens of voor rekening van” de adverteerder.)

Arnoud

De brakke spullen uit het Internet der Dingen

Geplaatst op in Ondernemingsvrijheid, Security, 26 reacties

webcam-camera-babyDe kwetsbaarheid van “Internet of Things”-dingen is zo gigantisch dat je er maar beter om kunt lachen, las ik bij Ars Technica. Maar eigenlijk is het om te huilen. Men ontdekte dat de IoT-zoekmachine Shodan een zoeksectie had voor kwetsbare webcams, met feeds van van alles en nog wat: voortuinen, achtertuinen, binnentuinen, marijuana-plantages, kinderslaapkamers en ga zo maar door. Hoe kan dat anno 2016 nog zo makkelijk bestaan?

Op brakke beveiliging is niet strafbaar, schreef ik in 2013. Tegenwoordig soms wel: als je persoonsgegevens niet adequaat beveiligt, kun je een boete van maximaal €820.000 opgelegd krijgen. (Bovendien moet je het melden, een aparte nieuwe verplichting). Maar dat gaat over bedrijven die persoonlijke gegevens beheren, niet over bedrijven die apparatuur op de markt brengen. Ik zou niet weten op grond van welk wetsartikel de leverancier van een IP-enabled webcam met fabriekswachtwoord 12345 te beboeten is.

Volgens Ars Technica is de reden hiervoor heel simpel: geld.

Consumers do not perceive value in security and privacy. As a rule, many have not shown a willingness to pay for such things. As a result, webcam manufacturers slash costs to maximize their profit, often on narrow margins. Many webcams now sell for as little as £15 or $20. “The consumers are saying ‘we’re not supposed to know anything about this stuff [cybersecurity],” he said. “The vendors don’t want to lift a finger to help users because it costs them money.”

Ik denk dat het iets subtieler ligt. Mensen geven wel om veiligheid en privacy, maar gaan er vanuit dat een apparaat in een mooi doosje op de plank bij een bekende winkel gewoon veilig is. Auto’s zitten ook netjes op slot, je brood is vers en als een blik tomatensoep ontploft in de koelkast dan verdient dat aandacht in RTL Nieuws om half acht. Dat model van vertrouwen nemen mensen gewoon mee naar digitale apparatuur, ook als die internet-enabled is. Handig joh, dat je op je smartphone de webcam thuis kunt bekijken. Maar het idee dat iedereen dan mee kan kijken omdat hij op een algemeen bekende poort draait en het standaardwachtwoord in de op internet staande handleiding te vinden is, dat speelt niet bij brood of tomatensoep. Dus ook niet bij die webcam.

En nee, het is te makkelijk om dan te zeggen “dan moeten die mensen maar beter nadenken en lezen wat er in de handleiding staat”. Want dat doen mensen niet, en ik vind het ondertussen ook steeds oneerlijker worden om te verwachten dat ze dat wel gaan doen. Ik hoef ook geen handleiding van mijn voordeurslot te lezen – daar staat politiekeurmerk 2 sterren op en de installateur had een keurige blauwe overall aan, dus dat zit wel goed met dat voordeurslot.

Deze bal hoort te liggen bij de leveranciers van deze producten. In Amerika lijkt dat al een beetje door te dringen: Ars Technica citeert een FTC-woordvoerder die zegt “If you don’t have reasonable security then that could be a violation of the FTC Act.” Bij ons vind ik het moeilijk een dergelijke kapstok te verzinnen. Om dit nu onder de conformiteitseis (wettelijke garantie) te schuiven gaat een beetje ver, dat criterium is daar volgens mij niet voor bedoeld.

Ik denk dus dat er echt een wetswijziging voor nodig is om een stok te introduceren om IoT-dingen-produceren te dwingen de veiligheid van hun producten te vergroten. Maar dat gaat een moeizaam proces worden, want het klinkt zo redelijk, dat mensen toch zelf even een handleiding kunnen lezen en een wachtwoord kunnen wijzigen. Maar eh, wees eens eerlijk: wie doet dat bij alle producten in zijn huis?

Arnoud

Ik moet tekenen voor aansprakelijkheid voor datalekken bij ons bedrijf!

Geplaatst op in Ondernemingsvrijheid, Security, 15 reacties

disc-data-weg-bewaren-kruis.jpgEen lezer vroeg me:

In januari komt er een wet tegen datalekken, met hoge boetes. Nu krijgen wij allemaal een verklaring van onze werkgever die we moeten tekenen, waarin staat dat we begrijpen hoe belangrijk dit is voor onze organisatie en dat wij persoonlijk aansprakelijkheid aanvaarden als we nalatig zijn met persoonsgegevens. Moeten wij dit tekenen?

Het klopt dat we vanaf 1 januari een wijziging in de Wet bescherming persoonsgegevens krijgen, die onder meer boetes stelt op inadequate beveiliging en het niet melden van datalekken (ongeacht of die laatste komen door nalatige beveiliging of ondanks alle inspanningen). Daarnaast kunnen (en konden) mensen schadeclaims indienen door gegevensverlies of -diefstal als gevolg van gebrekkige beveiliging.

Die boetes en schadeclaims zijn gericht tegen de verantwoordelijke, tegen het bedrijf dat de persoonsgegevens beheerde dus. Een werknemer is daarbij in beginsel niet meer dan een ‘handje’ van dat bedrijf. Hij opereert daar niet als individu en is daarom ook niet als individu aan te spreken op de schade.

Er zijn in theorie mogelijkheden om als werkgever schade (en boetes) te verhalen op de werknemer die het veroorzaakte. Echter, dat is zeer beperkt. Art. 7:661 BW bepaalt dat de werknemer “niet jegens de werkgever aansprakelijk [is], tenzij de schade een gevolg is van zijn opzet of bewuste roekeloosheid.”

De lat bij die twee opties ligt erg hoog. Je moet echt expliciet van plan zijn je werkgever eens flink schade te gaan berokkenen, of op zijn minst geweten te hebben “wat ik nu doe, gaat een datalek veroorzaken, maar ach boeien, daar heb ik geen last van”. De bewijslast dat jij zo dacht, ligt bij de werkgever, dus ik wens hem veel succes daarmee. Dit rond krijgen is buitengewoon zeldzaam in het arbeidsrecht.

Afwijken van deze regel mag alleen als dat schriftelijk gebeurt én alleen als de werknemer ervoor verzekerd is. En ik weet 100% zeker dat geen consumentenverzekering datalekken dekt. Dus nee, dit gaat hem niet worden.

Nu kun je dus twee dingen doen: (1) tekenen “want het is tegen de wet” of (2) niet tekenen, want “kom nou wat een flauwekul”. Optie 1 zal voor veel mensen toch onprettig voelen, want het stáát er toch maar en het biedt een haakje voor arbeidsconflicten, plus je moet toch een advocaat inschakelen om bovenstaand argument te voeren. Optie 2 is ook vervelend, want dan weiger je iets dat je werkgever heel belangrijk vindt en ook nog eens met een argument waar jij helemaal niet over gaat (JZ is een andere afdeling, immers).

Ik zou zelf denk ik toch voor optie 2 kiezen, maar wel met eerst de route langs Juridische Zaken met een onschuldig ogende vraag of dit wel klopt zo. Dit in de hoop dat die jurist dan zegt, ho stop dit kan niet, zo zijn wij slecht werkgever en dat kan leiden tot hogere ontslagvergoedingen als het ooit misloopt. Is er geen bedrijfsjurist dan misschien via de eigen rechtsbijstandsverzekering. Wil of kan die ook niets betekenen, dan wordt het tijd voor een stevige discussie in de kantine. Of hebben jullie betere tips?

Arnoud

Is een stagiair aansprakelijk voor illegale software tijdens zijn stage?

Geplaatst op in Ondernemingsvrijheid, 37 reacties

you-wouldnt-download-a-car-torrent-mininova.pngEen lezer vroeg me:

Bij mijn stagebedrijf moest ik met Photoshop werken, maar mijn opdrachtgever had geen licenties meer. “Torrent het maar” werd er toen gezegd, ik heb dat gedaan en nu heeft het bedrijf een boete gekregen voor illegale software. Die willen ze nu op mij verhalen! Maar kan dat zomaar?

In theorie is deze vraag simpel: er is opdracht gegeven om die software illegaal te verwerven, dus is het per definitie de werknemer/stagiair niet persoonlijk te verwijten. Als je je werk doet, is de werkgever aansprakelijk. Maar bewijs maar eens dat dit gezegd is.

Wat nu als dat bewijs niet rondkomt, of in het geval de stagiair wel op eigen initiatief die illegale software ging downloaden en gebruiken? Dan wordt het lastiger. Hoofdregel is, een bedrijf is aansprakelijk voor de schade die zijn werknemers en stagiairs aanrichten bij het werk (art. 6:170 BW). Hij mag dit alleen bij uw opzet of grove nalatigheid op de werknemer verhalen (art. 7:661 BW). Deze regels gelden ook voor stagiairs.

Dan wordt dus de vraag, wanneer handel je opzettelijk of grof nalatig? “Opzet” is hier niet het tegendeel van “per ongeluk”. Er is meer nodig dan alleen willen dat je die handeling deed: je moet je ook bewust zijn van de schade die je handelen gaat veroorzaken. En “iedereen wordt toch geacht de wet te kennen” is daarbij niet genoeg. Een hoop mensen weten oprecht niet hoe dat nu zit met legale en illegale software, en dat is een factor die meeweegt bij deze vraag.

Daarbij komt dat je als werkgever of opdrachtgever toch ook een zorgplicht hebt: als je een stagiair iets met Photoshop wilt laten doen, geef je hem een computer met Photoshop, lijkt mij. Op zijn minst zou je een arbeidsrechtelijke wenkbrauw moeten optrekken over hoe die stagiair al die plaatjes bewerkt zonder een van jou afkomstige licentie. Dus als er al iemand nalatig is geweest, dan lijkt het mij die werkgever.

Tegelijk, dom blijft het om software te downloaden van vage torrentsites wanneer je ergens gaat werken. Zeg dan gewoon “dat heb ik niet” of “dat kan ik niet”. Of ben ik nu naïef?

Arnoud