Internetrecht door Arnoud Engelfriet

Via Reddit:

Een bedrijf beweert ten onrechte dat ik hun nog geld verschuldigd ben, en weigert mijn account te verwijderen totdat ik betaald heb. Is er een realistische optie voor mij mijn account en bijbehorenda data te laten verwijderen zonder te betalen? Of is dit een geval van het pad van de minste weerstand (en de meeste tranen) kiezen?

De achterliggende redenering van de app-exploitant lijkt te zijn dat je door die Paypal-actie alleen maar de betaling bij dat bedrijf hebt ongedaan gemaakt (chargeback) maar niet de onderliggende overeenkomst tot levering van voedsel. Want hoezo beslist Paypal of ik een geldig contract heb?

Nou ja, dat beslissen ze omdat dat een aansluitregel is om die betalingsmethode te mogen hanteren. Paypal (en creditcardmaatschappijen ook trouwens) beoordelen claims van consumenten en doen dan een bindende uitspraak die voor beide partijen geldt. Niet alleen over de betaling dus, over de aankoop. Dat kunnen ze, omdat het juridisch prima is als je een private partij een oordeel laat vellen waarvan je vooraf zei dat je ermee akkoord ging (Mr. Visser is er groot mee geworden).

Maar goed, zoals vaker verzucht hier: je recht hebben en je recht krijgen is in het consumentenrecht zeker niet hetzelfde. Want je kunt dit honderd keer aangeven, het account blijft nog steeds staan totdat die 17,95 voor de Pizza XL met cola order #8951 ontvangen is, daar is het systeem heel duidelijk over. En om nou naar de rechter te gaan,, dat is veel duurder dan dit ooit zal opleveren.

Ik herhaal dan maar even de tip om via het Europees Consumenten Centrum (ECC) een klacht in te dienen. Want ik gok zomaar dat dit bedrijf in Luxemburg of Ierland zit, zodat je een snelle en goedkope procedure kunt starten. Zoals een anonieme commenter destijds uitlegde:

Bij internationale geschillen binnen de EU (behalve Denemarken) kun je tot een bedrag van €5000 relatief eenvoudig procederen via een verzoekschriftprocedure (dus geen dagvaarding nodig). Simpelweg door standaard EPGV formulieren in te vullen. Nederlandse consumenten sturen dat naar een Nederlandse rechter die relatief snel overgaat tot een uitspraak nadat de wederpartij in de gelegen is gesteld om te reageren. Dat resulteert in een officiële beschikking met executoriale titel die in het andere land ten uitvoer kan worden gebracht. Er zit dus voor de helderheid ook een risico op verlies en een proceskostenveroordeling in het nadeel van de eiser aan vast.

Arnoud

jarmoluk / Pixabay

Een lezer vroeg me:

Via een kennis kwam ik te weten dat er een datalek inclusief wachtwoorden is geweest bij een site die ik al lang niet meer gebruik. Ik wilde desondanks het wachtwoord wijzigen, maar bleek dat te zijn vergeten. Tot mijn verbazing ontbrak echter de “wachtwoord vergeten” procedure. Is dat niet verplicht onder de AVG?

Deel van adequate beveiliging is ook om kunnen gaan met de gevolgen van datalekken en ander problemen met wachtwoord-beveiligingen. Het kunnen veranderen van wachtwoorden is dus eigenlijk wel een vereiste. Maar hoe je dat implementeert, daar heb je echt nog steeds enige vrijheid in.

Het is logisch en laagdrempelig om een wachtwoord vergeten-optie toe te voegen, dus wat mij betreft is dat een “verplicht tenzij”: dit moet je gewoon hebben, tenzij je uit kunt leggen (en ook uit hébt gelegd in je AVG compliance documentatie*) waarom in jouw situatie zo’n resetmogelijkheid niet opgaat en wat je dan als alternatief hebt bedacht.

Ik zou zelf geen reden kunnen bedenken waarom je zonder een reset-optie wilt werken. Het alternatief is dat mensen de helpdesk moeten benaderen, maar dat duurt langer dan zelf resetten en dat is dan een langere periode waarin accounts kwetsbaar zijn. Er is natuurlijk het risico dat kwaadwillenden andermans account proberen te resetten, maar dat is hooguit overlast en daar zijn op zich ook weer genoeg maatregelen tegen.

• Bij de AVG werkt het zo dat als je het niet vooraf bedacht en toegelicht hebt in je schriftelijke documentatie, het niet telt. Zonder documentatie ben je niet compliant, art. 5 lid 2 AVG.

Arnoud

Hollanddesign / Pixabay

Is een Instagram-account een voorwerp dat vatbaar is voor verbeurdverklaring? Met die retorische vraag opent een persbericht van de Hoge Raad, en naar goed journalistiek gebruik is het antwoord evident: nee. In een strafzaak tegen verkopers van namaakmerkkleding werden onder meer twee Instagram-accounts in beslag genomen, omdat met die accounts mensen werden verlokt om de nepkleding te kopen. Dat kan, maar kun je ze ook daadwerkelijk afpakken oftewel verbeurd verklaren als de eigenaren veroordeeld worden? Als je Runescape-objecten kunt stelen in virtuele werelden, dan moet inbeslagname of verbeurdverklaring ook kunnen, zou je zeggen. Dat liep even anders.

De status in het recht van een account bij een dienstverlener is de laatste tijd wat vaker onderwerp van discussie. Daarbij maakt het nogal uit of je kijkt vanuit het strafrecht of het civiel recht. In dat laatste deel van het recht is een account in principe een stukje dienstverlening, waardoor je bijvoorbeeld toegang tot het account kunt eisen als nabestaande. Maar onderwerp van eigendom is het niet, het is geen ‘zaak’ zoals het wetboek dat definieert.

In het strafrecht kijken ze iets anders tegen die term aan. Naast dat ze het ‘goederen’ noemen (voor programmeurs: strafrecht is Pascal, civielrecht is C#) is het begrip wat breder in te vullen. Al in 1921 werd bijvoorbeeld elektriciteit een goed verklaard, iets dat je kunt stelen om precies te zijn. En in dat roemruchte Runescape arrest uit 2012 werd hetzelfde bepaald voor virtuele goederen. De kerngedachte daar was dat deze dingen geld vertegenwoordigen en uniek zijn, waardoor ze dezelfde bescherming verdienen tegen diefstal en dergelijke als fysieke goederen. Maar dat betekent dus niet automatisch dat ze zaken zijn in de zin van het civiel recht, oftewel dat je er eigendom op kunt claimen.

Als je dingen kunt stelen, kun je ze ook in beslag nemen (art. 94 Rv) als politie in het kader van een strafrechtelijk onderzoek. Dat is ook al vele malen gebeurd met bijvoorbeeld bitcoins, wat ook virtuele goederen zijn natuurlijk. Je kunt dan die goederen gebruiken in een onderzoek, en voorkomen dat de verdachte ze kwijtmaakt of weggeeft. Nog een stap verder is verbeurd verklaren: dat is een straf (art. 33 Strafrecht) die aan de dader van een overtreding of misdrijf kan worden opgelegd, naast eventuele boetes of gevangenisstraf. Kort gezegd, het afpakken van dingen die verkregen zijn door het strafbaar feit of waarmee ze zijn gepleegd (de lijst staat in artikel 33a).

In deze strafzaak werd opgetreden tegen twee houders van Instagram-accounts die daar nepmerkartikelen aanboden, iets dat natuurlijk strafbaar is. Daarom werden ook de accounts offline gehaald, in juridische taal in beslag genomen, en vervolgens dus de eis tot verbeurdverklaring. Maar daar wilde de strafrechter niet in mee:

Anders dan de officier van justitie, en met de raadsman van klager, is de rechtbank van oordeel dat een Instagram account geen voorwerp is in de zin van artikel 94 Sv. Voorts kan een Instagram account niet als een goed worden beschouwd en is tevens geen sprake van een vermogensrecht. De vergelijking die de officier van justitie in dit verband maakt met, zoals zij aangeeft, andere virtuele goederen zoals bitcoins, gaat naar het oordeel van de rechtbank niet op. Bitcoins vertegenwoordigen, net als bijvoorbeeld een bankrekening(nummer), immers een vermogensrecht waar wel beslaglegging als bedoeld in artikel 94 Sv op mogelijk is. Dat geldt naar het oordeel van de rechtbank uitdrukkelijk niet voor een Instagram account. Dat een dergelijk account waarde kan vertegenwoordigen, zoals betoogd is door de officier van justitie, maakt dit niet anders, nu voor een dergelijk account in dat verband geldt dat die waarde afhankelijk is van de gebruiker van dat account, bijvoorbeeld omdat iemand een bepaalde nationale of internationale bekendheid geniet.

De Hoge Raad bevestigt dat oordeel:

Voor het aannemen van de mogelijkheid van verbeurdverklaring – die ertoe leidt dat de Staat rechthebbende wordt op het betreffende voorwerp – is dus vereist dat het object van inbeslagneming is aan te merken als een zaak of als een vermogensrecht. Zaken zijn volgens artikel 2 van Boek 3 BW voor menselijke beheersing vatbare stoffelijke objecten. Volgens de – niet uitputtende – omschrijving van artikel 6 van Boek 3 BW zijn vermogensrechten rechten die, hetzij afzonderlijk hetzij tezamen met een ander recht, overdraagbaar zijn, of ertoe strekken de rechthebbende stoffelijk voordeel te verschaffen, ofwel verkregen zijn in ruil voor verstrekt of in het vooruitzicht gesteld stoffelijk voordeel (vgl. HR 6 december 2019, ECLI:NL:HR:2019:1909).

Arnoud

Een lezer vroeg me: Een jaar geleden meldde ik me aan bij een game site. Nu wil ik mijn account verwijderen. De helpdesk zegt dat ik dan via een externe partij een foto van mijn ID en een filmpje van mezelf moet aanleveren ter bevestiging van mijn nationaliteit. Dit omdat ze alleen accounts verwijderen in… Lees verder

Microsoft heeft het e-mail- en OneDrive-account van eisende partij geblokkeerd, las ik bij ITenRecht.nl. Een verhaal dat we vaker hebben gehoord: MS scant uploads tegen een lijst van bekende kinderpornografie, en blokkeert je account wanneer men een match tegenkomt. Ook als het toevallig of onbedoeld was. Een nieuwe uitspraak voegt daar nu een nuance aan toe: MS… Lees verder

Microsoft moet aan nabestaanden van een overleden Nederlander toegang verstrekken tot zijn Hotmail-account, meldde Tweakers onlangs. Het bedrijf maakte zich zorgen om de privacy van de correspondenten en wilde voorkomen dat kwaadwillenden in het account zouden kunnen, wat voor mij een mooie manier is om te zeggen “eigenlijk willen we geen gedoe met nabestaanden”. Maar… Lees verder

LinkedIn moet het verwijderde profiel van Tweede Kamerlid Wybren van Haga van de rechter binnen drie werkdagen terugplaatsen, meldde de NOS gisteren. Negen specifieke verwijderde berichten hoeven niet te worden teruggezet, en Linkedin hoeft haar handelen niet te rectificeren. Het is voor zover ik weet de eerste keer dat een sociaal medium door de Nederlandse… Lees verder

Een lezer vroeg me: In mei leerden we dat diverse gemeenten met nep-profielen actief zijn op sociale netwerken om burgers te volgen. Veel socialmedia hanteren echter een ‘real-name policy’ waarbij in de voorwaarden staat dat je je echte naam moet gebruiken. Hoe zit dat nu juridisch? Is de gemeente dan strafbaar (valsheid in geschrifte), is… Lees verder

Bij Tweakers las ik: Al acht jaar zit ik op een grote commerciële website waar je ook kan reageren, hier ben ik actief en heb ik heel veel berichten gepost en mensen geholpen. Ook heel veel waarde toegevoegd. Nu willen de administrators mijn gebruikersnaam hebben en dreigen met dat als ik dit niet verander, zij… Lees verder

Twitter heeft de ban op de account van de Amerikaanse president Trump, @realDonaldTrump, een permaban gegeven.  Dat meldde heel internet, waaronder Tweakers, afgelopen weekend. Aanleiding voor de aangescherpte handhaving op de account van de president is de bestorming van het Capitool door pro-Trump-demonstranten, op 6 januari. Voor velen riep dit vragen op, met name of… Lees verder