Account Archives - Ius Mentis

Wat als een bedrijf meent dat je ze geld verschuldigd bent, en weigert je account te verwijderen?

Geplaatst op 8 december 20225 december 2022 in Ondernemingsvrijheid, 32 reacties

Via Reddit:

Een bedrijf beweert ten onrechte dat ik hun nog geld verschuldigd ben, en weigert mijn account te verwijderen totdat ik betaald heb. Is er een realistische optie voor mij mijn account en bijbehorenda data te laten verwijderen zonder te betalen? Of is dit een geval van het pad van de minste weerstand (en de meeste tranen) kiezen?

De kern van het probleem is zo te lezen dat de vraagsteller eten had besteld via de app van het bedrijf, maar dat gebeurde bij het verkeerde restaurant. Na vruchteloze discussie startte de vraagsteller een dispuut bij Paypal, waarop hij zijn geld terugkreeg. Nu wil de app-exploitant het account niet verwijderen omdat er volgens hen nog een geldbedrag open staat.

De achterliggende redenering van de app-exploitant lijkt te zijn dat je door die Paypal-actie alleen maar de betaling bij dat bedrijf hebt ongedaan gemaakt (chargeback) maar niet de onderliggende overeenkomst tot levering van voedsel. Want hoezo beslist Paypal of ik een geldig contract heb?

Nou ja, dat beslissen ze omdat dat een aansluitregel is om die betalingsmethode te mogen hanteren. Paypal (en creditcardmaatschappijen ook trouwens) beoordelen claims van consumenten en doen dan een bindende uitspraak die voor beide partijen geldt. Niet alleen over de betaling dus, over de aankoop. Dat kunnen ze, omdat het juridisch prima is als je een private partij een oordeel laat vellen waarvan je vooraf zei dat je ermee akkoord ging (Mr. Visser is er groot mee geworden).

Maar goed, zoals vaker verzucht hier: je recht hebben en je recht krijgen is in het consumentenrecht zeker niet hetzelfde. Want je kunt dit honderd keer aangeven, het account blijft nog steeds staan totdat die 17,95 voor de Pizza XL met cola order #8951 ontvangen is, daar is het systeem heel duidelijk over. En om nou naar de rechter te gaan,, dat is veel duurder dan dit ooit zal opleveren.

Ik herhaal dan maar even de tip om via het Europees Consumenten Centrum (ECC) een klacht in te dienen. Want ik gok zomaar dat dit bedrijf in Luxemburg of Ierland zit, zodat je een snelle en goedkope procedure kunt starten. Zoals een anonieme commenter destijds uitlegde:

Bij internationale geschillen binnen de EU (behalve Denemarken) kun je tot een bedrag van €5000 relatief eenvoudig procederen via een verzoekschriftprocedure (dus geen dagvaarding nodig). Simpelweg door standaard EPGV formulieren in te vullen. Nederlandse consumenten sturen dat naar een Nederlandse rechter die relatief snel overgaat tot een uitspraak nadat de wederpartij in de gelegen is gesteld om te reageren. Dat resulteert in een officiële beschikking met executoriale titel die in het andere land ten uitvoer kan worden gebracht. Er zit dus voor de helderheid ook een risico op verlies en een proceskostenveroordeling in het nadeel van de eiser aan vast.

De enige vraag hier zou voor mij zijn of dit wel via de rechter moet, gezien het gaat om verwijderen van een account. Ik zou dat eerder een AVG kwestie vinden (vergetelheid) hoewel “einde dienstovereenkomst” wel een argument is. Als je het via de AVG speelt dan moet je handhaving door de AP verzoeken (fat chance) of alsnog een gewone procedure bij de rechter beginnen.

Arnoud

Moet je van de AVG een wachtwoordresetoptie bieden?

Geplaatst op 15 september 20226 september 2022 in Security, 20 reacties

Een lezer vroeg me:

Via een kennis kwam ik te weten dat er een datalek inclusief wachtwoorden is geweest bij een site die ik al lang niet meer gebruik. Ik wilde desondanks het wachtwoord wijzigen, maar bleek dat te zijn vergeten. Tot mijn verbazing ontbrak echter de “wachtwoord vergeten” procedure. Is dat niet verplicht onder de AVG?

De AVG eist van iedere dienstverlener dat die persoonsgegevens ‘adequaat’ beschermt tegen onbevoegde toegang, misbruik en datalekken. Daar zit geen harde lijst met eisen aan vast, een verwerkingsverantwoordelijke moet zelf inschatten wat ‘adequaat’ in zijn situatie inhoudt. (Doe je dat niet of niet goed, dan krijg je een boete.)

Deel van adequate beveiliging is ook om kunnen gaan met de gevolgen van datalekken en ander problemen met wachtwoord-beveiligingen. Het kunnen veranderen van wachtwoorden is dus eigenlijk wel een vereiste. Maar hoe je dat implementeert, daar heb je echt nog steeds enige vrijheid in.

Het is logisch en laagdrempelig om een wachtwoord vergeten-optie toe te voegen, dus wat mij betreft is dat een “verplicht tenzij”: dit moet je gewoon hebben, tenzij je uit kunt leggen (en ook uit hébt gelegd in je AVG compliance documentatie*) waarom in jouw situatie zo’n resetmogelijkheid niet opgaat en wat je dan als alternatief hebt bedacht.

Ik zou zelf geen reden kunnen bedenken waarom je zonder een reset-optie wilt werken. Het alternatief is dat mensen de helpdesk moeten benaderen, maar dat duurt langer dan zelf resetten en dat is dan een langere periode waarin accounts kwetsbaar zijn. Er is natuurlijk het risico dat kwaadwillenden andermans account proberen te resetten, maar dat is hooguit overlast en daar zijn op zich ook weer genoeg maatregelen tegen.

Bij de AVG werkt het zo dat als je het niet vooraf bedacht en toegelicht hebt in je schriftelijke documentatie, het niet telt. Zonder documentatie ben je niet compliant, art. 5 lid 2 AVG.

Arnoud

Een Instagram account kun je niet verbeurd verklaren

Geplaatst op 1 juni 202224 mei 2022 in Regulering, 6 reacties

Is een Instagram-account een voorwerp dat vatbaar is voor verbeurdverklaring? Met die retorische vraag opent een persbericht van de Hoge Raad, en naar goed journalistiek gebruik is het antwoord evident: nee. In een strafzaak tegen verkopers van namaakmerkkleding werden onder meer twee Instagram-accounts in beslag genomen, omdat met die accounts mensen werden verlokt om de nepkleding te kopen. Dat kan, maar kun je ze ook daadwerkelijk afpakken oftewel verbeurd verklaren als de eigenaren veroordeeld worden? Als je Runescape-objecten kunt stelen in virtuele werelden, dan moet inbeslagname of verbeurdverklaring ook kunnen, zou je zeggen. Dat liep even anders.

De status in het recht van een account bij een dienstverlener is de laatste tijd wat vaker onderwerp van discussie. Daarbij maakt het nogal uit of je kijkt vanuit het strafrecht of het civiel recht. In dat laatste deel van het recht is een account in principe een stukje dienstverlening, waardoor je bijvoorbeeld toegang tot het account kunt eisen als nabestaande. Maar onderwerp van eigendom is het niet, het is geen ‘zaak’ zoals het wetboek dat definieert.

In het strafrecht kijken ze iets anders tegen die term aan. Naast dat ze het ‘goederen’ noemen (voor programmeurs: strafrecht is Pascal, civielrecht is C#) is het begrip wat breder in te vullen. Al in 1921 werd bijvoorbeeld elektriciteit een goed verklaard, iets dat je kunt stelen om precies te zijn. En in dat roemruchte Runescape arrest uit 2012 werd hetzelfde bepaald voor virtuele goederen. De kerngedachte daar was dat deze dingen geld vertegenwoordigen en uniek zijn, waardoor ze dezelfde bescherming verdienen tegen diefstal en dergelijke als fysieke goederen. Maar dat betekent dus niet automatisch dat ze zaken zijn in de zin van het civiel recht, oftewel dat je er eigendom op kunt claimen.

Als je dingen kunt stelen, kun je ze ook in beslag nemen (art. 94 Rv) als politie in het kader van een strafrechtelijk onderzoek. Dat is ook al vele malen gebeurd met bijvoorbeeld bitcoins, wat ook virtuele goederen zijn natuurlijk. Je kunt dan die goederen gebruiken in een onderzoek, en voorkomen dat de verdachte ze kwijtmaakt of weggeeft. Nog een stap verder is verbeurd verklaren: dat is een straf (art. 33 Strafrecht) die aan de dader van een overtreding of misdrijf kan worden opgelegd, naast eventuele boetes of gevangenisstraf. Kort gezegd, het afpakken van dingen die verkregen zijn door het strafbaar feit of waarmee ze zijn gepleegd (de lijst staat in artikel 33a).

In deze strafzaak werd opgetreden tegen twee houders van Instagram-accounts die daar nepmerkartikelen aanboden, iets dat natuurlijk strafbaar is. Daarom werden ook de accounts offline gehaald, in juridische taal in beslag genomen, en vervolgens dus de eis tot verbeurdverklaring. Maar daar wilde de strafrechter niet in mee:

Anders dan de officier van justitie, en met de raadsman van klager, is de rechtbank van oordeel dat een Instagram account geen voorwerp is in de zin van artikel 94 Sv. Voorts kan een Instagram account niet als een goed worden beschouwd en is tevens geen sprake van een vermogensrecht. De vergelijking die de officier van justitie in dit verband maakt met, zoals zij aangeeft, andere virtuele goederen zoals bitcoins, gaat naar het oordeel van de rechtbank niet op. Bitcoins vertegenwoordigen, net als bijvoorbeeld een bankrekening(nummer), immers een vermogensrecht waar wel beslaglegging als bedoeld in artikel 94 Sv op mogelijk is. Dat geldt naar het oordeel van de rechtbank uitdrukkelijk niet voor een Instagram account. Dat een dergelijk account waarde kan vertegenwoordigen, zoals betoogd is door de officier van justitie, maakt dit niet anders, nu voor een dergelijk account in dat verband geldt dat die waarde afhankelijk is van de gebruiker van dat account, bijvoorbeeld omdat iemand een bepaalde nationale of internationale bekendheid geniet.

De term ‘vermogensrecht’ moet je hier lezen als “iets dat op zichzelf waarde vertegenwoordigt en geschikt is om over te dragen”. Een bitcoin of andere cryptovaluta voldoet aan die omschrijving, een Runescape-zwaard ook, een WoW-account met dikke level 100 Elden Mage Mage waarschijnlijk ook wel. Daar wordt althans geld voor betaald in iets dat lijkt op een vrije markt. Maar bij Instagram accounts is dat niet echt aan de orde. Een dergelijk account is vooral jouw stukje bekendheid op internet, je Insta dat ben jij.

De Hoge Raad bevestigt dat oordeel:

Voor het aannemen van de mogelijkheid van verbeurdverklaring – die ertoe leidt dat de Staat rechthebbende wordt op het betreffende voorwerp – is dus vereist dat het object van inbeslagneming is aan te merken als een zaak of als een vermogensrecht. Zaken zijn volgens artikel 2 van Boek 3 BW voor menselijke beheersing vatbare stoffelijke objecten. Volgens de – niet uitputtende – omschrijving van artikel 6 van Boek 3 BW zijn vermogensrechten rechten die, hetzij afzonderlijk hetzij tezamen met een ander recht, overdraagbaar zijn, of ertoe strekken de rechthebbende stoffelijk voordeel te verschaffen, ofwel verkregen zijn in ruil voor verstrekt of in het vooruitzicht gesteld stoffelijk voordeel (vgl. HR 6 december 2019, ECLI:NL:HR:2019:1909).

Daarmee is het dus niet mogelijk zo’n account verbeurd te verklaren. Begrijpelijk, maar in zoverre een tikje onbevredigend dat de daders na het uitzitten van hun straf weer terug kunnen en met hun nog steeds bestaande populariteit (=achterban, volgers) weer verder kunnen. De enige optie daartegen zou zijn dat de politie Instagram tipt over het vonnis, waarna het bedrijf het account sluit wegens overtreding van de gebruiksvoorwaarden (“trademark infringement, counterfeit, or pirated goods”).

Arnoud

Ik moet mijn paspoort uploaden en voor de camera dansen om mijn game-account op te heffen

Geplaatst op 4 mei 202229 april 2022 in Ondernemingsvrijheid, Privacy, 18 reacties

Een lezer vroeg me:

Een jaar geleden meldde ik me aan bij een game site. Nu wil ik mijn account verwijderen. De helpdesk zegt dat ik dan via een externe partij een foto van mijn ID en een filmpje van mezelf moet aanleveren ter bevestiging van mijn nationaliteit. Dit omdat ze alleen accounts verwijderen in landen waar dat wettelijk verplicht is. Is dit net zo raar als het klinkt?

In Europa is dit heel erg raar, ja. Onder de AVG kwalificeert een account bij een online dienst als een verwerking van persoonsgegevens. Je accountnaam, mogelijk meer personalia, loginggegevens of betalingsinformatie en dergelijke zijn immers allemaal gegevens over jou, ook als ze niet je echte naam hebben.

De AVG geeft je het recht zo’n account te laten verwijderen wanneer de dienstverlening afgelopen is. (Enkele administratieve gegevens mogen ze bewaren, bijvoorbeeld vanuit een fiscale bewaarplicht, maar dat is NIET hetzelfde als het account bevriezen. Het account moet weg, die fiscale gegevens bewaar je maar lekker ergens anders.)

Natuurlijk moet de dienstverlener bij zo’n verzoek om verwijderen vaststellen dat hij met de juiste persoon te maken heeft. Maar je mag daarvoor niet eisen dat iemand diens paspoort laat zien, of via een externe dienst zo’n bewijs van overheidsidentiteit levert. Dat is immers niet nodig: wie in het account kan inloggen, is de persoon om wie het gaat en dus de persoon die een verwijderverzoek mag doen. Klaar.

Helaas zijn er vele dienstverleners die baat hebben bij “al X miljoen mensen spelen bij ons” in de reclame, en daarom verzonnen argumenten er met de haren bij slepen om dit niet te hoeven doen. Dit is een mooi voorbeeld. Er is – ook los van de AVG – geen legitieme reden om een account te laten bestaan als de houder het op wil heffen.

“Wij willen uw paspoort zien want als u Braziliaan bent dan doen wij dit niet” komt bij mij niet door de giecheltoets. Er zijn genoeg manieren om eenvoudig vast te stellen uit welke regio iemand komt. Een GeoIP database bijvoorbeeld, of gewoon het vragen (en dat alleen op verzoek laten wijzigen, hoe vaak emigreren mensen immers) is al een stuk veiliger en goed genoeg.

Arnoud

Als Microsoft je account blokkeert, moeten ze wel bewijs aandragen waarom

Geplaatst op 31 maart 202228 maart 2022 in Ondernemingsvrijheid, Regulering, 6 reacties

Microsoft heeft het e-mail- en OneDrive-account van eisende partij geblokkeerd, las ik bij ITenRecht.nl. Een verhaal dat we vaker hebben gehoord: MS scant uploads tegen een lijst van bekende kinderpornografie, en blokkeert je account wanneer men een match tegenkomt. Ook als het toevallig of onbedoeld was. Een nieuwe uitspraak voegt daar nu een nuance aan toe: MS moet je wel vertellen om welke afbeelding het gaat.

Het vonnis (rechtbank Rotterdam vorige week) leest als een kopie van de vele gevallen waarover in eerdere zaken en de pers is gerapporteerd. De kern is dat MS een dienst genaamd PhotoDNA gebruikt, die foto’s analyseert om op een slimme manier te matchen met een bestand met bekende (door politiediensten als zodanig aangemerkte) kinderporno. Wanneer een upload wordt gematcht, dan gaat je account meteen op slot. En dat kan dus een definitief slot zijn, zo wisten we van die zaak uit 2020.

In deze nieuwe zaak had de houdster van het account haar oude Samsung-telefoon gesynchroniseerd met Onedrive, zo te lezen om de data snel te redden voordat de telefoon het begaf – wat die daarna ook deed. Ergens in die upload zat een bestand dat matchte, en daarop ging het account dus dicht. Maar welk bestand, hoezo dan, zo vroeg zij? Dat mocht MS niet zeggen:

Waarschijnlijk is PhotoDNA getriggerd toen [naam eiseres] haar foto’s die opgeslagen stonden in de Samsung Cloud synchroniseerde met OneDrive. De afbeelding heeft dezelfde hash als een afbeelding in de database, zodat Microsoft er zeker van is dat de afbeelding die is gedetecteerd in het account van [naam eiseres] dezelfde is als de eerder geïdentificeerde afbeelding. Volgens Microsoft is het op grond van de wetgeving van de Verenigde Staten van Amerika (hierna: VS) niet toegestaan om de afbeelding te verstrekken of in het geding te brengen. Het is Microsoft alleen toegestaan om het file path van de afbeelding aan [naam eiseres] te verstrekken, wat zij ook gedaan heeft.

Microsoft wilde niet meer doen dan enkel de bestandsnaam en de daarboven liggende mapstructuur (“file path”) geven, zodat mevrouw het zelf kon opzoeken in haar Samsung Cloud dan wel lokaal. Maar dat ging in dit geval niet:

[eiseres] heeft ter zitting echter toegelicht, wat door Microsoft niet althans onvoldoende is weersproken, dat zij de afbeelding met de door Microsoft verstrekte informatie niet heeft kunnen vinden op haar computer en dat haar oude Samsung S8 telefoon dusdanig kapot is dat die niet meer op te starten is. Gelet hierop is het voor [naam eiseres] naar eigen zeggen nog steeds onduidelijk om welke afbeelding het gaat.

Wie moet er nu gaan zoeken? Microsoft, aldus de rechter, want die stelt dat er iets aan de hand is met een foto. De regels over bewijslevering impliceren dan dat Microsoft moet laten zien welke foto en wat er mis mee is. En dat MS dat niet zou kunnen vanwege (mij ook onbekende) Amerikaanse wetgeving, is dan haar probleem. Omdat MS dit niet kan of wil, is er dus geen geldige grond voor het afsluiten van het account.

Opvallend nog: het is niet heel gebruikelijk dat grote bedrijven een dwangsom tegen zich krijgen als een consument gelijk krijgt. Grote professionele bedrijven houden zich, zo menen rechters, immers keurig aan vonnissen. Maar deze rechter is wat argwanender:

Gelet op de principiële en onbuigzame opstelling van Microsoft en het door haar op zichzelf terecht benadrukte belang van bestrijding van seksuele uitbuiting van minderjarigen ziet de rechtbank onvoldoende reden om hier in de specifieke context van deze zaak zonder meer van uit te gaan en heeft [naam eiseres] een redelijk belang bij het opleggen van een dwangsom als prikkel om dit vonnis na te leven.

De dwangsom wordt gezet op 5000 euro per dag met een maximum van een ton. Ik wil niet meteen Apples opstelling richting dwangsommen erbij slepen maar ik behoud zelf toch enige skepsis of het account nu vrijgegeven wordt. Zeker als ik dan ook lees dat MS op dat moment dan ook begint over dat “zij niet kan uitsluiten dat het account van [naam eiseres] meer schadelijke afbeeldingen bevat”. Daar had je toch PhotoDNA voor?

Arnoud

Microsoft moet van rechter toegang tot Hotmail overledene verschaffen aan erven

Geplaatst op 16 december 202113 december 2021 in Informatiemaatschappij, 27 reacties

Microsoft moet aan nabestaanden van een overleden Nederlander toegang verstrekken tot zijn Hotmail-account, meldde Tweakers onlangs. Het bedrijf maakte zich zorgen om de privacy van de correspondenten en wilde voorkomen dat kwaadwillenden in het account zouden kunnen, wat voor mij een mooie manier is om te zeggen “eigenlijk willen we geen gedoe met nabestaanden”. Maar de rechter zegt nu dat dat gewoon wel moet, en wel op straffe van een stevige dwangsom.

Uit het vonnis blijkt dat het gaat om de ouders en zussen van een man die in juli 2021 overleed. Zij wilden toegang tot zijn Hotmailaccount en zijn OneDrive-account. Kan dat? Een nog niet eerder bij de rechtbank behandelde vraag, maar eentje die deze eisers in keurig juridisch Nederlands inkleden als:

de stelling, daartoe onder verwijzing naar artikel 4:182 BW (saisine), samengevat, dat zij als erfgenamen rechtsopvolgers onder algemene titel van de accounts van hun zoon en broer en de inhoud ervan zijn en dus ook de nieuwe wederpartij van Microsoft met betrekking tot de desbetreffende overeenkomsten.

Saisine is een begrip uit het erfrecht: “de regel dat de erfgenamen in beginsel de positie van de erflater ‘voortzetten’, hoort zowat tot de eerste lessen van iedere cursus erfrecht.” Concreet hier dus: toen deze man overleed, werden zijn erfgenamen (kennelijk ouders en zus) de rechtsopvolger onder het contract met Microsoft waaronder deze de diensten Hotmail en OneDrive aan hem leverde. (Niet eigenaar van het account, accounts bestaan juridisch niet.)

Microsoft reageert geheel zoals ik zou verwachten, namelijk naar Amerikaans recht met de dooddoener (sorry) dat men maar met een gerechtelijk bevel moet komen. In de VS laat je namelijk de rechter verzinnen wat logisch is, ongeacht de juridische kwestie. In Nederland doen we dat anders. Daar vinden we het logisch dat mensen zélf nazoeken hoe de wet zit en dat dan in alle redelijkheid gaan toepassen. In gewone taal: doe normaal, dat account is nu van deze mensen, reset het wachtwoord.

Oké, MS had ook wel juridische argumenten. Allereerst dat saisine niet zou gelden, waar de rechter niet in meegaat – alleen voor “hoogstpersoonlijke” overeenkomsten zoals huur of arbeid is het voortzetten door erfgenamen uitgesloten. En ten tweede zorgen over rechten van derden, namelijk de correspondenten van deze meneer wiens persoonsgegevens dus in de mailbox zitten. Ook dat gaat niet op: alle plichten uit de EULA gelden natuurlijk net zo goed voor de erfgenamen, inclusief dus de plicht om de privacy van anderen niet zomaar te schenden.

(Dan was er nog een verhaal dat Microsoft succesvolle inlogpogingen had gedetecteerd en daaruit concludeerde dat er iets raars aan de hand was. Snap ik niet helemaal, maar de rechter schuift het meteen terzijde.)

De conclusie van de rechter is dan ook rechttoe rechtaan: Microsoft moet toegang verlenen en wel zo snel mogelijk. Niet moeilijk doen, deze mensen zijn juridisch gezien gewoon de eigenaren na het overlijden van de eigenlijke eigenaar. MS krijgt twintig dagen en verbeurt daarna dwangsommen van tienduizend euro per dag. Dat is een fors bedrag, wat voor mij dus de indicatie is dat de rechtbank het handelen van MS als onnodig moeilijk doen zag.)

In de comments zie ik diverse mensen opmerken dat hiermee je ouders dus bijvoorbeeld de liefdesbrieven naar je partner (of je minnaar m/v/x) zouden kunnen zien, of discussie met je therapeut of wat maar zeer privé is en je niet wil dat je erfgenamen zien. Die snap ik, maar is dat anders dan die doos op zolder met je pikante ondergoed en zweepjes of de VHS band met privéopnames? Juridisch gezien niet volgens mij.

Het vonnis is een mooie bevestiging dat het erfrecht gewoon werkt in de digitale omgeving. Wie niet wil dat bepaalde erfgenamen toegang krijgen tot accounts, kan dat regelen bij testament. Of nog simpeler: je wachtwoord ergens in bewaring geven waar een vertrouwd persoon het account in kan en dingen kan wissen of opheffen, als dat is wat je wil.

Arnoud

LinkedIn moet account van Tweede Kamerlid Van Haga terugplaatsen

Geplaatst op 7 oktober 20216 oktober 2021 in Ondernemingsvrijheid, Uitingsvrijheid, 13 reacties

LinkedIn moet het verwijderde profiel van Tweede Kamerlid Wybren van Haga van de rechter binnen drie werkdagen terugplaatsen, meldde de NOS gisteren. Negen specifieke verwijderde berichten hoeven niet te worden teruggezet, en Linkedin hoeft haar handelen niet te rectificeren. Het is voor zover ik weet de eerste keer dat een sociaal medium door de Nederlandse rechter wordt gecorrigeerd bij een accountverwijdering.

Het account van Van Haga werd verwijderd, nadat hij het sterftepercentage van corona volgens LinkedIn had gebagatelliseerd en had gezegd dat mondkapjes niet werken. Dergelijke uitspraken doen denken aan de diverse rechtszaken tegen Youtube, waarbij juist werd bepaald dat zo’n kanaal wél mensen mag weren op grond van haar beleid. Ook als dat tot eenzijdige beeldvorming zou leiden.

Uit het Linkedin-vonnis blijkt een cruciaal verschil: het sociale-medium-met-stropdas had niet of nauwelijks beleid geformuleerd over wanneer accounts worden opgeheven, maar was zo te lezen gebleven bij “ons café, daar is de deur als wij dat zeggen”:

Anders dan andere grote platforms inmiddels hebben gedaan, heeft LinkedIn haar beleid op dit gebied nauwelijks uitgeschreven. Zij heeft volstaan met de enkele mededeling in haar Beleidslijn dat een gebruiker ‘geen content mag delen die volledig ingaat tegen richtlijnen van toonaangevende, wereldwijde gezondheidsorganisaties en overheidsinstellingen voor volksgezondheid’. Die mededeling is weinig informatief. Zij maakt niet duidelijk waar volgens LinkedIn de grens loopt tussen berichten die volledig in strijd zijn met die richtlijnen en berichten die kritische kanttekeningen plaatsen bij die richtlijnen.

Dat je als zakelijk netwerk niet gewend bent aan onzakelijke berichten zoals die van Van Haga, is dan geen excuus. Als iets zó maatschappelijk relevant is en iedereen erover praat, dan heb je als grote professionele partij maar snel beleid te maken voordat je gaat handhaven.

Opmerkelijk is dat de rechter alvast aansluiting zoekt bij de Digital Services Act, een voorstelde Europese Verordening voor regulering van sociale media zoals Linkedin. Dat mag, want je kunt zo’n voorstel zien als hoe de regelgevende wind staat en dat gebruiken om open normen als redelijkheid en billijkheid mee in te vullen. Een van die aankomende regels is dat je mensen uitlegt waarom je een bericht of account weghaalt. En dat ging hier mis:

Die zorgvuldigheid houdt in ieder geval in dat bij iedere verwijdering notificatie aan de gebruiker plaatsvindt, waarbij, afhankelijk van de inhoud van het bericht, ernaar moet worden gestreefd de verwijdering zodanig te motiveren dat de gebruiker uit de beslissing lering kan trekken.

Ook lijkt het erop dat men na de opheffing van een tijdelijke schorsing het een tijdje heeft aangezien met nieuwe berichten die zogezegd tegen de regels zouden zijn, om dan te kunnen zeggen “nu is het genoeg, wegwezen”. Maar ook dat is niet redelijk. Je kunt natuurlijk zeggen “bij tien kleine overtredingen ben je af” maar daarmee mag je niet individuele kleine overtredingen bewust negeren tot je er tien hebt, zodat je van iemand af kunt.

De voorzieningenrechter is wel van oordeel dat “LinkedIn op goede gronden betoogt dat [Kamerlid] ’s misinformatie past in het standaard patroon van Covid-19 gerelateerde misinformatie en als zodanig schadelijk is.” Daarom hoeven de specifieke berichten die apart verwijderd waren, niet te worden teruggezet.

Arnoud

Mag Facebook optreden tegen gemeenten met nepprofielen?

Geplaatst op 16 juli 202113 juli 2021 in Regulering, 21 reacties

Een lezer vroeg me:

In mei leerden we dat diverse gemeenten met nep-profielen actief zijn op sociale netwerken om burgers te volgen. Veel socialmedia hanteren echter een ‘real-name policy’ waarbij in de voorwaarden staat dat je je echte naam moet gebruiken. Hoe zit dat nu juridisch? Is de gemeente dan strafbaar (valsheid in geschrifte), is bewijs om die reden uit te sluiten en mag Facebook de accounts van die ambtenaren blokkeren?

Het maakte nogal wat los toen we in mei erachter kwamen dat gemeenten burgers volgen op sociale media en daarbij zelfs onder nepnamen (niet als opsporingsambtenaar herkenbaar) opereerde. Of dat legaal was, blijft voor mij de vraag. Gemeentes opereren namelijk niet onder het wetboek van strafrecht maar onder de Algemene wet bestuursrecht, en die lijkt meer ruimte te bieden.

Dat gezegd hebbende, natuurlijk overtreedt zo’n gemeente de regels van Facebook als ze een account maken dat niet op de eigen naam van de betreffende werknemer/ambtenaar aangemaakt is. Facebook mag dus dat account sluiten, en hoeft geen rekening te houden met de opsporingsbelangen van de gemeente. De Albert Heijn mag ook een volgauto van de sociale dienst van haar parkeerterrein wegsturen wanneer Janny daar btw fraude komt plegen, pardon boodschappen komt doen met gekregen geld.

Strafbaar is het niet om gebruiksregels te overtreden. Facebook bepaalt niet wat strafbaar is natuurlijk. In theorie zou Facebook de gemeente mogen aanklagen voor wanprestatie (in een civiele procedure dus) en schadevergoeding eisen, maar die schade lijkt me nihil. Want het is geen valsheid in geschrifte om een account op valse naam aan te maken. Voor dat misdrijf gaat het erom dat je iets vervalst dat bedoeld is als bewijsstuk (een diploma, een creditcard, een ondertekend contract), en dat is het account niet.

Als burger kun je hier echter niets mee. Het is iets tussen Facebook en de gemeente wat die dienstverlener doet met de nepaccounts van die ambtenaren. Jij kunt daar zeg maar geen rechten aan ontlenen, en het tast ook de bruikbaarheid van de constateringen (wat jij dus zei of deed op Facebook) in het geheel niet aan.

Arnoud

Mag een website admin mijn username afpakken?

Geplaatst op 28 juni 202120 juni 2021 in Ondernemingsvrijheid, 12 reacties

Bij Tweakers las ik:

Al acht jaar zit ik op een grote commerciële website waar je ook kan reageren, hier ben ik actief en heb ik heel veel berichten gepost en mensen geholpen. Ook heel veel waarde toegevoegd. Nu willen de administrators mijn gebruikersnaam hebben en dreigen met dat als ik dit niet verander, zij dit binnenkort doen. Ik baal hier van, ik vermoed dat de site admin mijn naam wil hebben. Kan dit zomaar?

Praktisch natuurlijk wel: wie gaat er in hemelsnaam procederen over zoiets raars waar ook nog eens geen echt financieel belang bij te bedenken is? Dus het praktische antwoord is: ja, dat kan zomaar.

Maar laten we eens doen alsof je voor financiële bagatels wel naar de internetvrederechter zou kunnen stappen. Want dan wordt het interessant, het is namelijk net iets te makkelijk om te zeggen, hun forum hun regels of “als het in de voorwaarden staat dan mag het”.

De kern is natuurlijk mijn mantra dat online dingen dienstverlening zijn en geen producten. Je account is dus niets, zelfs niet een papieren bioscoopkaartje waarvan je nog kunt zeggen dat het zowel bewijs van toegang tot de dienst (voorstelling) is als een stukje papier dat je eigendom is geworden. Je account is een serie tekens dat wordt gebruikt om toegang aan te vragen en gegevens over jouw gebruik van de dienst bijeen te houden.

De enige zijdelings relevante wet is de AVG: een accountnaam is een persoonsgegeven, omdat deze gekoppeld is aan gegevens over de accounthouder. Of sterker nog: omdat dit een náám is van die betrokkene, en dus een direct identificerend gegeven is. (Het is een misverstand dat de AVG pas geldt als je gegevens kunt herleiden tot een paspoortnaam.) Alleen staat er in de AVG niets over het niet mogen wissen van persoonsgegevens omdat de betrokkene eraan gehecht is. Wissen moet als de gegevens verouderd zijn, wissen mag niet als je belangen nodeloos schaadt, maar geen van die situaties gaat hier op.

Blijven dan alleen de huisregels over? Nee. De wet bevat namelijk een algemene regeling over hoe een contract of overeenkomst. Art. 6:248 BW, lid 1:

Een overeenkomst heeft niet alleen de door partijen overeengekomen rechtsgevolgen, maar ook die welke, naar de aard van de overeenkomst, uit de wet, de gewoonte of de eisen van redelijkheid en billijkheid voortvloeien.

Dingen die je niet afgesproken hebt maar die wel normaal zijn in jouw branche (“gewoonte”) zijn dus gewoon ook afspraak bij jou, bijvoorbeeld. Idem voor wat gewoon redelijk is, dat geldt dan ook voor jou. Daar kun je in principe omheen met een expliciete afspraak, maar daar zit ook weer een grens aan, lid 2:

Een tussen partijen als gevolg van de overeenkomst geldende regel is niet van toepassing, voor zover dit in de gegeven omstandigheden naar maatstaven van redelijkheid en billijkheid onaanvaardbaar zou zijn.

Met ‘onaanvaardbaar’ wil de wetgever aangeven dat het niet alleen maar “raar” of “ongebruikelijk” of zelfs “sterk nadelig voor één partij” is. Het moet echt onacceptabel zijn, echt niet kunnen.

Speciaal bij websitevoorwaarden waarbij gewone mensen (“consumenten”) de klant zijn, geldt nog een extra regel (art. 6:233 sub a BW):

Een beding in algemene voorwaarden is vernietigbaar … a.indien het, gelet op de aard en de overige inhoud van de overeenkomst, de wijze waarop de voorwaarden zijn tot stand gekomen, de wederzijds kenbare belangen van partijen en de overige omstandigheden van het geval, onredelijk bezwarend is voor de wederpartij

(Websitevoorwaarden zijn algemene voorwaarden in de ogen van de wet, of ze nou bij de KVK liggen of niet en ongeacht hoe je ze noemt.) Dit criterium is iets lichter dan het “onaanvaardbaar” uit 6:248 BW, het is goed mogelijk dat een algemene voorwaarde onredelijk bezwarend is terwijl die niet óók naar maatstaven van redelijkheid en billijkheid onaanvaardbaar is. Ook geldt dat een AV meer abstract getoetst wordt, omdat bij art. 6:233 niet staat “in de gegeven omstandigheden”.

Het Europese Hof van Justitie heeft in 2013 een arrest gewezen (Aziz) waar een heel mooi criterium in staat of een beding “onredelijk bezwarend” is (in EU-termen “een oneerlijk beding”):

de nationale rechter [dient] na te gaan of de verkoper redelijkerwijs ervan kon uitgaan dat de consument een dergelijk beding zou aanvaarden indien daarover op eerlijke en billijke wijze afzonderlijk was onderhandeld.

Dan wordt de vraag in dit geval dus: als je als beginnend poster had gesproken over “wat als het beheer het account wil”, was je dan in alle eerlijkheid en goede trouw uitgekomen met “prima, mag je hebben, ook als ik acht jaar postgeschiedenis en goodwill heb opgebouwd”? Dat lijkt me niet heel sterk. Daarmee zou een dergelijke eis dus onredelijk bezwarend zijn, en als lid mag je dat dan naast je neerleggen.

Complicatie is natuurlijk dat een beheerder wel vrij snel in zijn recht staat als deze je account wist inclusief alle bijdragen. Zeker bij een bedrijfsovername is dat geen onlogische stap. Dus dan wordt je account niet overgenomen maar wel weggegooid, een tikje zuur.

Blijft natuurlijk de vraag, waaróm wil het beheer dat? Uit de draad wordt het mij niet duidelijk. De suggestie komt langs dat de naam erg lijkt op die van het forum: “Ik heb Smurf en zij hebben Smurf!, daar komt het op neer.” Ik kan me iets voorstellen bij een beheerder die denkt, waarom heeft deze meneer een naam die 83,3% gelijk is met onze merknaam. Maar als je dat acht jaar laat gaan, dan vind ik dat niet heel sterk meer (en als je het juridisch speelt dan is je merkenclaim ondertussen wel verjaard, art. 3:310 lid 1 BW).

Een andere mogelijkheid kan zijn dat het met de fusie te maken heeft: men wil forums samenvoegen en ontdekt dan meerdere gebruikers met dezelfde naam. Daar smurf, pardon moet je iets mee, maar dan is “Smurf_Oudforum” ook een prima optie lijkt me.

Mogelijk bedoelt het beheer iets anders: men wil niet zozeer de usernaam als wel alle posts die aan die naam hangen. Bij een verkoop is het hebben van alle rechten op alle berichten immers van groot belang. Maar dan had ik verwacht dat dit met een algemeen bericht was medegedeeld, en niet gericht op één specifieke poster. Dus voor mij blijft het een raadsel.

Arnoud

Kan Twitter straffeloos Trump van haar dienst weren?

Geplaatst op 11 januari 202110 januari 2021 in Ondernemingsvrijheid, Uitingsvrijheid, 44 reacties

Twitter heeft de ban op de account van de Amerikaanse president Trump, @realDonaldTrump, een permaban gegeven. Dat meldde heel internet, waaronder Tweakers, afgelopen weekend. Aanleiding voor de aangescherpte handhaving op de account van de president is de bestorming van het Capitool door pro-Trump-demonstranten, op 6 januari. Voor velen riep dit vragen op, met name of dit voor Twitter gevolgen heeft in haar aansprakelijkheid. Het hele punt van die beperkte aansprakelijkheid voor dienstverleners (“Section 230”) was toch dat je niet zou gaan filteren?

De dienst licht haar redenen toe in een uitgebreide blogpost. Ook lijkt mee te hebben gespeeld dat honderden medewerkers hier heel hard om hebben gevraagd, en dat het gevoel was dat het toch al uit was met Trump zodat repercussies vanuit het Witte Huis niet meer te verwachten waren. (En wellicht het idee als mede-samenzweerder voor een gewapende revolutie gezien te worden.)

Maar hoe zit dat dan met die aansprakelijkheid? Volgens de Amerikaanse wet, de fameuze Section 230, is een dienst als Twitter niet aansprakelijk voor wat anderen ermee communiceren:

No provider or user of an interactive computer service shall be treated as the publisher or speaker of any information provided by another information content provider.

Hierna volgt een grote dikke punt. Oftewel: je bent als Twitter gewoon niet aansprakelijk voor wat je mede ‘providers’, je gebruikers dus, aanleveren aan informatie. Niet “mits je neutraal modereert” of “tenzij je je inhoudelijk gaat bemoeien met wat er wel en niet in mag”.

Dat is ook logisch, want het hele punt van Section 230 was om providers (met name hosting en internettoegangsdiensten, maar zeker ook BBS’en, chatdiensten en forums) een zorgvrije toekomst te geven. De wet komt uit een tijd dat een aantal rechtszaken leken te suggereren dat je als hostingprovider of forumdienstverlener wél aansprakelijk was voor wat er gebeurde.

Weliswaar staat er het nodige over modereren en ingrijpen, maar ook die staat er in beschermende zin voor de provider. Er ontstaat géén aansprakelijkheid bij

any action voluntarily taken in good faith to restrict access to or availability of material that the provider or user considers to be obscene, lewd, lascivious, filthy, excessively violent, harassing, or otherwise objectionable, whether or not such material is constitutionally protected;

En let op dat “considers to be… objectionable”: als de provider zélf vindt dat iets niet kan, dan mogen ze dus ingrijpen.

Ik zet dat even in een aparte alinea, want bij veel mensen bestaat de indruk dat dit alleen geldt als de provider neutraal is over waar ze op ingrijpen, of als ze alleen ingrijpen op basis van vooraf gepubliceerd beleid (de infameuze Terms of Service). Dat is dus niet waar. (Ook bij ons niet; art. 6:196c lid 3 BW eist dat je “prompt de nodige maatregelen neemt om de informatie te verwijderen of de toegang daartoe onmogelijk te maken” maar niet dat die neutraal zijn, uit beleid volgen of consistent met eerdere beslissingen zijn.)

Wel is het zo dat je alleen een ‘provider’ bent als je niet “responsible, in whole or in part, for the creation or development” van de betreffende content bent. Maar die uitzonderingssituatie (bij ons equivalent onder het L’Oréal/eBay arrest van het Hof van Justitie) is zeldzaam. Enkel modereren of een account blokkeren valt er zeker weten niet onder.

Het is natuurlijk een hele nobele statement om te maken, dat je als informatiedienst neutraal wil zijn en geen partij wil kiezen. Maar het is echt zwaar overdreven dat je net als een krant of televisiestation behandeld gaat worden (want die zijn immers wél inhoudelijk aansprakelijk voor wat ze publiceren, ook bij ingezonden stukken) wanneer je inconsistent modereert, een politieke bias zou hebben of ingrijpt bij “verheerlijking van geweld”, zoals Twitter het in haar policy noemt – de regel die Trump overtreden heeft, aldus het bedrijf. En de grap is dus: als Twitter víndt dat sprake is van verheerlijking, dan is dat reden genoeg voor ingrijpen.

Natuurlijk kun je je afvragen of het wel wenselijk is dat Twitter zó machtig is, dat ze effectief de president van het machtigste land ter wereld de mond kunnen snoeren. (Negeer even dat als de president de #msm belt voor een persconferentie, ze allemaal integraal uitzenden wat hij zegt.) Maar dat is zeker niet hetzelfde als dat men juridisch verplicht zou zijn om het account actief te houden, ongeacht wat er vanaf dat account wordt gezegd.

Een van de ingewikkeldste vragen vind ik dan, hoe consequent moet Twitter dan zijn. Want dat klinkt natuurlijk leuk maar elke situatie is toch weer anders, zeker door de jaren heen.

Neutraal dan? Dat vind ik ook een erg hoge lat. En vooral: waarom? Dat eisen we van kranten of tv zenders toch ook niet? (Bij toegangsproviders ligt dat anders maar die merken ook weinig van de kleur van de bijdragen van hun klanten.)

Arnoud