Account Archives - Pagina 3 van 4

Een Twitteraccount kapen via een verlopen domein, hoe legaal is dat?

Geplaatst op 5 april 20173 april 2017 in Intellectuele rechten, 38 reacties

[V]raag me af of het ook niet gewoon strafbaar is (via gekocht domein www reset en account kapen), @ictrecht?

Iets meer achtergrond: het Twitteraccount voor @recensiekoning “keerde terug” met nieuwe eigenaren, waar oude eigenaar Arjan Lubach niet zo blij mee was. Hij had jarenlang een blog onder die naam, maar stopte er in 2014 mee. De domeinnaam is toen op zeker moment kennelijk verlopen, en nu was er iemand anders die deze naam wel wat leek, de domeinnaam registreerde en daarmee een password reset kon doen op het bijbehorende Twitteraccount.

Het lijkt me niet strafbaar om een verlopen domeinnaam te registreren en daar dan een vergelijkbare dienst bij op te gaan zetten. Als een domeinnaam verlopen is, dan mag een ieder die opnieuw registreren. Dat er dan nog bezoekers voor de oude site komen, of dat men zo meelift op de bekendheid van de oude site, lijkt mij niet onrechtmatig. Dit is volgens mij niet anders dan een oud V&D-pand huren en er een warenhuis in beginnen.

Het Twitteraccount kapen is dubieuzer. Als je heel formeel gaat doen, dan wordt hier met een truc toegang verkregen tot dat account: je krijgt een password reset gemaild naar dat domein dat je net geregistreerd had, en vervolgens kun je inloggen op dat account. Dat is dan naar de letter van de wet computervredebreuk.

Ik aarzel hier wel een tikje over, zeker in situaties waarin het Twitteraccount net zo ongebruikt blijkt als de site. Het zou dan niet uit moeten maken dat dat Twitteraccount formeel nog steeds actief is. Dat Twitter accounts niet opruimt en domeinnaamregistries wel, moet niet het verschil zijn tussen computervredebreuk en legaal ergens gaan zitten.

Maar ik kan niet ontkennen dat het account actief ís en dat je het dus overneemt van de oude eigenaar. Hooguit zou je dan kunnen zeggen dat wat Twitter betreft de eigenaar de partij is met dat e-mailadres. Dus door dat domein te gebruiken, ben je ook gerechtigd tot het Twitteraccount. Dan is er geen sprake van computervredebreuk, dat is dan gewoon een nieuw slot plaatsen op het door jou gehuurde pand. Maar ook dat voelt wat geconstrueerd.

Arnoud

Ik wil helemaal geen account op mijn telefoon!

Geplaatst op 21 maart 201618 maart 2016 in Innovatie, 17 reacties

telefoon-smartphone-kinderen-school Een lezer vroeg me:

Veel leveranciers van mobiele telefoons en tablets verplichten gebruikers tegenwoordig om extra diensten af te nemen, ook als je daar helemaal geen behoefte aanhebt. Zo moet je voor het kunnen gebruiken van een mobiele telefoon die het door Google gemaakte Android draait een account aanmaken bij Google – ook als dat apparaat door Samsung, LG of Sony geleverd is. Maar mogen ze die voorwaarde zo stellen? Nergens wordt mij gemeld dat dit een essentieel aspect van de telefoon is!

Vanuit het perspectief van Google is het logisch dat Android-gebruikers een account moeten hebben. Dat account identificeert je bij alle diensten, dus dat is handig voor persoonlijke dienstverlening (en advertenties). Vanuit fabrikantperspectief is Android handig, want dat mag (na certificering) zomaar gratis op een telefoon en dan kun je tientallen diensten als pluspunt bij de verkoop noemen. Maar ik heb inderdaad nog nooit gezien dat er wordt gezegd “Vereist Google-account”.

Europese consumentenwetgeving (bij ons art. 6:230l BW bij winkelverkoop en 6:230m bij internetverkoop) vereist dat de consument voorafgaand aan de koop geïnformeerd wordt over onder meer

de voornaamste kenmerken van de zaken of de diensten, in de mate waarin dit gezien de gebruikte drager en de zaken of diensten passend is;

Je hoeft als winkel dus niet elk detail te melden, maar datgene dat je eigenlijk gewoon wilt weten – het voornaamste – dat moet er zijn. (Daarnaast is het weglaten van belangrijke informatie een oneerlijke handelspraktijk, art. 6:193c BW), maar dan moet er wel een oogmerk van misleiding zijn. Dat lijkt me sterk bij gewone telefoonboeren.)

Is het een voornaam kenmerk, dat account? Me dunkt van wel: zonder account werkt er vrijwel niets (behalve bellen en smsen) dus dat zou wel even genoemd moeten worden. Anderzijds wordt het hebben van zo’n account gezien als een trivialiteit. Bij een nieuwe wasmachine hoeft ook niet te worden gemeld dat er een stekker aan zit die 230 volt nodig heeft, ondanks dat die stekker en die spanning best essentieel is voor een goede werking.

Tegelijkertijd doet een account wel iets meer dan een stekker. Je moet je hele doopceel lichten, of beter gezegd na aanmaken van je account komt je hele doopceel bij Google terecht. Dat gaat nogal ver, privacytechnisch gezien. Dus vanuit dat perspectief zou het wél moeten worden gemeld. “Let op: kan schade toebrengen aan uw privacy”.

Of is het nog veel simpeler: mensen die weten wat Android is, weten ook dat daar een account bij hoort. En je hoeft niet te melden wat de klant redelijkerwijs al weet.

Of nóg simpeler: niemand boeit het dat je een account nodig hebt?

Arnoud

Apple geeft weduwe niet zomaar toegang tot digitale aankopen echtgenoot

Geplaatst op 20 januari 201619 januari 2016 in Ondernemingsvrijheid, 37 reacties

Apple wilde een weduwe geen toegang geven tot het account van haar overleden echtgenoot, las ik in de AutomatiseringGids. Zij zou een “court order” naar Californisch recht nodig hebben. Zonder zo’n bevel zou haar de toegang tot alle gezamenlijk aangekochte apps en andere content worden ontzegd. Maar hela, ze waren toch getrouwd?

Ik heb al vaker geblogd over wat er gebeurt met een account bij een online dienst na overlijden. Erf je dat als nabestaande, verdwijnt het van rechtswege of nog iets anders?

Het probleem: de wet regelt dit niet. Een account wordt gezien als gestolde dienstverlening, zeg maar een bioscoopkaartje of factuur. Leuk dat je het hebt, maar het “is” niets, in ieder geval niet een ding dat je op kunt eisen als erfgenaam. Het beste dat je juridisch kunt proberen, is betogen dat er sprake is van contractsovername door de ervende partij, of dat het contract überhaupt altijd al op beider namen stond omdat je nu eenmaal in gemeenschap van goederen was getrouwd.

Niet dat dat in de praktijk nu echt werkt – het script dat bij Apple de reactie “kom maar terug met een court order” produceerde, is daar bewijs van. Het model van een TOS of EULA sluiten is heel simplistisch: één vrijgezel en volstrekt normaal persoon zat achter de computer met een advocaat achter zit, en deze ging na zorgvuldige afweging van belangen en adequaat juridisch advies akkoord voor zichzelf en niemand anders. Alle vragen en klachten die andersoortige personen veronderstellen, komen in het bakje “wat moeten we hiermee” en dat leidt dan al snel tot reacties als die. En wie gaat er dan naar de rechter voor een proefproces?

Uiteraard werkt klagen op internet wel – Apple “zoekt nu een oplossing” aldus de AG, ik weet niet zeker of dat webcare-blaat is of een werkelijke toezegging maar het is in ieder geval iets.

Het handigste lijkt me om eenvoudigweg wachtwoorden te delen met je partner. Oh nee, dat kan helemaal niet want:

Overigens staat de weigering om accounts van overledenen vrij te geven aan derden expliciet in Apples voorwaarden. Wie deze voorwaarden accepteert gaat ermee akkoord dat zijn account niet overdraagbaar is, ook niet op nabestaanden, dat de rechten erop eindigen met zijn dood en dat alle content verwijderd wordt.

Quatsch. Ze kunnen zo veel opschrijven. Dat wil nog niet zeggen dat het rechtsgeldig is. Ik kan in de situatie van een partner of erfgenaam geen enkel redelijk argument bedenken waarom die niet bij het account zou mogen of waarom de content dan wel mag. Dus dat biedt zeker perspectieven voor wie het bij de rechter zou proberen. Maar ja. (Ben ik te cynisch?)

Arnoud

Moet een president zijn socialemediaaccounts inleveren na zijn ambtstermijn?

Geplaatst op 7 januari 20163 januari 2016 in Informatiemaatschappij, 12 reacties

De Argentijnse president wil haar presidentiële socialemediaaccounts niet inleveren nu ze geen president meer is, las ik bij Vice. De accounts, allemaal iets met @CasaRosadaAR (“roze huis”, de ambtswoning van de president), zijn nu omgezet in een soort van tribute-pagina. De nieuwe president moet nu zijn eigen Twittervolgers en Facebookvrienden gaan werven. Kan dat zomaar?

De status van accounts bij diensten als Facebook en Twitter is juridisch een ingewikkelde. Of nou ja, eigenlijk heel simpel: die dingen hébben geen status want ze zijn niets. Het is gestolde dienstverlening, vergelijkbaar met een bioscoopkaartje of het bonnetje van de stomerij. Als de jas niet van jou is, dan kun je aan het bezit van het bonnetje ook geen rechten ontlenen. Net zo min als je aan het weten van een accountwachtwoord kunt afleiden of je ‘eigenaar’ bent van het account.

Uiteindelijk komt het volgens mij heel basaal neer op een stukje contractenrecht: met wie deed Twitter of Facebook zaken? Was dat de rechtspersoon de Argentijnse Republiek, of de persoon mevrouw Cristina Fernandez de Kirchner privé? Dat eerste geval hebben we volgens mij bij ons: het ministerpresidentsaccount op Twitter bijvoorbeeld is een zuiver functioneel account, beheerd door het Rijk en ingevuld door de Rijkswerknemer de heer Rutte.

Het account @CasaRosadaAR is aangemaakt door mevrouw zelf, maar nadat ze aan de macht kwam. Dat zou je kunnen zien als een slimme stap van een politica, en dus een persoonlijke handeling waardoor het account echt van haar is. Je kunt het ook zien als initiatief tonen door een werknemer, maar daarmee wel als een actie namens de werkgever – de Argentijnse staat dus.

De accountnaam is niet de officiële naam van het ambt of van het land. Dat pleit er enigszins voor om het als privéaccount te zien, maar niet heel sterk: in politieke reportages bij ons hoor je ook wel “uit het Torentje werd gemeld” of uit Amerika “het Witte Huis verklaarde vanochtend”. Dergelijke termen zijn dus te associëren met het werk, en als die associatie er is dan zou ik het geen sterk argument vinden dat het een privé-account is.

Op het account wordt verslag gedaan van werkgerelateerde zaken. Dat suggereert dat mevrouw het toch op zijn minst zag als iets dat met het werk verband houdt, zeker als je dat in combinatie met de accountnaam ziet. Maar zou “PietvandeINGbank” die babbelt over werk dan ook een zakelijk account zijn? Dat gaat me wat ver. Er werden bij @CasaRosadaAR geen zaken gedaan via Twitter, geen webcare of toezeggingen namens de Staat. Maar toegegeven, dat zou ook wel érg onverwacht zijn.

Twitter had het account erkend als officieel. Een verified account krijg je als je een bekend persoon bent die volgens Twitter beroemd genoeg is om deze dienst te krijgen. Na deze controverse heeft Twitter het vinkje weggehaald. Dus Twitter vond kennelijk dat het account beroemd was toen mevrouw president was, maar nu niet meer. Dat wijst erop dat Twitter het linkte aan het werk.

Uiteindelijk komt het neer op een totaalindruk. En die is voor mij: dit was een werkgerelateerd account en had moeten worden ingeleverd. Wat denken jullie?

Arnoud

Een Spotify-account overnemen versus de Wet computercriminaliteit

Geplaatst op 8 oktober 20155 oktober 2015 in Regulering, 15 reacties

Weer een interessante Tweakersdiscussie, ditmaal over een jongen die een Spotify premium account generator gebruikt had dat van een politie-stagiair bleek te zijn. Die wist de jongen te traceren en dreigde met aangifte wegens creditcardfraude. Hoe strafbaar is dat dan, een Spotify-account overnemen?

De agent-in-opleiding noemt art. 232 Strafrecht als basis. Dat artikel stelt strafbaar het vervalsen, manipuleren of namaken van een betaalkaart om daar voordeel uit te trekken. Het namaken van een boekenbon valt hieronder, net als het manipuleren van het saldo op een prepaidkaart.

Hier gaat dat niet op: de inloggende jongen heeft niets gedaan met de creditcard als zodanig. Hij heeft ingelogd op het account van een ander. Daarvoor is primair de computervredebreuk (art. 138ab Strafrecht bedacht: wederrechtelijk binnendringen in een geautomatiseerd werk, zoals een server van Spotify. Daarbij maakt het niet uit of je een technische truc hebt gebruikt of het wachtwoord hebt afgekeken of geraden. Als je er niet mag zijn, heb je binnengedrongen. Zelfs als het wachtwoord gewoon op internet stond (zoals bij het Welkom123-wachtwoord van het LCMS).

Ook is er een artikel over het gebruiken van betaaldiensten zonder daarvoor te betalen (art. 326c Strafrecht), hoewel je je daarbij kunt afvragen of dat ook geldt als er op zich gewoon betaald wordt voor de dienst (hoewel door een ander). Het idee van dit artikel is volgens mij meer het strafbaar stellen van descramblers of gebruik van kraaksoftware voor beveiligde diensten.

In de draad noemt een aantal mensen het diefstal. Dát betwijfel ik heel erg. Weliswaar heeft de HR in het Runescape arrest en het gelijktijdige SMS-bundelarrest bepaald dat je ook virtuele dingen en zelfs creditstegoeden kunt stelen, maar het ging daar om concrete items met waarde die worden verbruikt. Bij Spotify is er niet zoiets. Je kunt niet 1 unit Spotify van iemand verbruiken, zoals je een SMS uit een bundel of een credit verbruikt. Daarom kun je Spotify niet stelen.

Tenzij je zegt: hij heeft het account zélf gestolen. Dan moet je aantonen dat een Spotify-account (naam en wachtwoord) een concreet item is met waarde (het is premium, dus ja), en dat je de macht daarover jezelf kunt toeëigenen (kan, verander het wachtwoord). Alleen zit ik dan nog met het punt van verbruik. Een SMS uit een bundel is verbruik, een Watt elektriciteit is verbruik, maar hoe is inloggen op Spotify ‘verbruik’?

Arnoud

Zijn webwinkels verplicht een klantaccount te verwijderen?

Geplaatst op 19 september 201418 september 2014 in Ondernemingsvrijheid, 11 reacties

Een lezer vroeg me:

Zijn webshops verplicht mijn account (inclusief orderhistorie) te verwijderen indien ik daar als klant om vraag?

Een account bij een site of dienst is een verzameling persoonsgegevens. Ze bevatten immers gegevens die over de eigenaar gaan: contactinformatie, maar ook gegevens over bestellingen en mogelijk ook betaalinformatie.

De Wet bescherming persoonsgegevens bepaalt (art. 36) dat de beheerder (verantwoordelijke) van iemands persoonsgegevens deze moet wissen op verzoek van de betrokken iemand. Tenminste, als die gegevens

feitelijk onjuist zijn, voor het doel of de doeleinden van de verwerking onvolledig of niet ter zake dienend zijn dan wel anderszins in strijd met een wettelijk voorschrift worden verwerkt.

Bij accountgegevens zou het primair gaan om “niet ter zake dienend”, oftewel achterhaald en niet meer relevant vandaag de dag. Wanneer daarvan sprake is, hangt af van het soort account en de reden dat het nog bestaat.

Bij een webshop lijkt het me relevant om oude orders te bewaren zolang ze nog niet geleverd zijn, en maximaal één à twee jaar daarna. Dat is immers hoe lang producten normaliter meegaan, en vanwege het claimen van (wettelijke of vrijwillige) garantie moet je na kunnen gaan wanneer iets gekocht is.

Voor facturen geldt hetzelfde. Daar komt bij dat je die zeven jaar moet bewaren van de Belastingdienst, inclusief de bijkomstige administratie om te bewijzen dat de factuur echt is en te koppelen is aan een specifieke verkoop of dienst.

Je kunt je natuurlijk afvragen waarom je dat in een account zou bewaren dat met wachtwoord vanaf internet toegankelijk is. En dat is een goede vraag, die best kan impliceren dat je dit eigenlijk maar naar een afgeschermde administratie moet verhuizen. Dat je de administratie moet bewaren, impliceert immers niet dat het klantaccount actief moet zijn.

Arnoud

“Verwijderen van uw account kan alleen per brief”

Geplaatst op 24 april 201422 april 2014 in Privacy, 20 reacties

Een lezer vroeg me:

Ik heb een account bij een webwinkel, omdat dat moest toen ik wat wilde bestellen. Nu houd ik niet van rondslingerende oude accounts, dus heb ik gevraagd of ze deze weg willen halen. Als reactie kreeg ik dat ik dan een brief moet sturen met kopie paspoort naar een of andere postbus in Zevenaar. Dat zou conform het privacystatement en de Wet bescherming persoonsgegevens zijn. Klopt dat, mogen ze dat zo eisen?

Een account bij een website valt in principe onder de Wet bescherming persoonsgegevens (de privacywet). Het account is immers een bundel met gegevens die aan éen persoon – de accounthouder – te koppelen zijn. Volgens die wet heb je als betrokkene/eigenaar het recht van inzage, correctie en verwijdering. Je mag bij de dienstverlener opvragen wat ze van je weten, corrigeren wat daarin niet klopt en laten verwijderen wat achterhaald is.

Een eis bij zo’n inzageverzoek is dat de dienstverlener moet nagaan of de vrager echt de eigenaar is van het account. Een brief laten sturen met kopie identiteitsbewijs is een voldoende manier om hieraan te voldoen. Daarom, maar ook omdat een inzageverzoek gedoe is waar veel bedrijven eigenlijk geen zin in hebben, is het gebruikelijk om te eisen dat men een brief stuurt.

Echter, er is bij zulke accounts een nóg simpeler manier: wie kan inloggen op het account, is daar de eigenaar van. Het toevoegen van een “Opheffen account”-knop is dan ook genoeg om aan de wet te voldoen. Wilt u uw account opheffen, druk op de knop. Is het wachtwoord vergeten en het e-mailadres onbereikbaar voor resetmails, dan kan er alsnog gewerkt worden met de noodgreep van brief met identiteitsbewijs.

Persoonlijk zou ik echter zeggen, wie mailt vanaf het adres dat aan het account gekoppeld is, heeft zich ook adequaat geïdentificeerd. Bij het maken van het account vroeg je niet om identificatie, dus waarom zou dat nu bij opheffen ineens wél moeten? In mijn cynische buien denk ik dan wel eens, het opheffen van accounts wil men eigenlijk niet want veel accounts hebben staat goed in je persberichten. Maar dat terzijde.

Specifiek bij forums speelt hierbij een aanverwant probleem: verwijderen van een account kan ook leiden tot verwijderen van de geplaatste berichten. Of dat laatste ook moet, is een lastige.

Arnoud

Mijn ex-ex-werkgever blijft mijn e-mailadres gebruiken

Geplaatst op 15 januari 201412 januari 2014 in Ondernemingsvrijheid, Security, 29 reacties

Een lezer vroeg me:

Een tijdje geleden ben ik van baan veranderd. Omdat mijn vervanger op het moment van mijn vertrek nog geen email/werkaccount had, heb ik mijn accountgegevens achtergelaten, zodat mijn email gelezen kon worden en mijn bestanden ingezien. Nu zijn we bijna 10 weken verder en mijn account wordt nog steeds actief gebruikt (ik kan dit zien omdat ik zelf nog toegang heb) Na meerdere mails of mijn identiteit niet meer gebruikt kon worden, is er niks veranderd. Mag mijn ex-werkgever dit nog zo doen?

Dit voelt niet helemaal netjes, maar harde regels over of dit mag of niet zijn er helaas niet.

Als iemand uit dienst gaat, is het logisch (en verstandig, securitywise) dat diens accounts worden opgeheven. Alleen, om het werk goed over te kunnen nemen is het ook weer logisch dat het mailadres niet meteen verdwijnt. Dan komen mails van klanten gewoon aan en kan de opvolger hierop reageren. Natuurlijk kun je ook het account vervangen door een “X werkt hier niet meer, neem contact op met Y”-bericht maar dat is minder klantvriendelijk.

Een ander punt is toegang tot de mailbox. Dit kan nodig zijn om die mails van klanten op te vangen, of om in oude mails te zoeken wat er in het verleden is gezegd. (Natuurlijk, dat kan ook in een centraal CRM-systeem of ticketsysteem zitten maar niet elk bedrijf heeft dat.) Daar moeten dan regels over worden gemaakt in het ICT-reglement, zodat de werknemer weet hoe en wanneer de werkgever toegang mag krijgen tot de mailbox.

Overigens is het niet verstandig na uitdiensttreding nog in te loggen op je werkmail. Formeel gesproken mag je daar niet meer zijn, zodat je kunt spreken van computervredebreuk. Ja, ook als je wachtwoord nog niet gewijzigd is. En als er bij het weggaan toch al iets van een arbeidsconflict speelt, dan geef je de werkgever zo een flinke stok om je te slaan.

Arnoud

Hyves stopt als sociaal netwerk, maar mogen ze dat wel?

Geplaatst op 5 november 201310 november 2013 in Informatiemaatschappij, 33 reacties

hyves-blijven-opheffen Hyves houdt op te bestaan als sociaal netwerk en gaat zich volledig richten op online gaming, las ik bij Nu.nl. Na het hoogtepunt in 2010 daalde de populariteit van het netwerk snel, en eigenaar TMG vond het kennelijk nu tijd de stekker eruit te trekken en ieders profielen op te heffen. Maar daarmee worden wel alle resterende gebruikers hun Hyvesmogelijkheden ontzegd. Kan dat zomaar?

Hyves biedt tot eind dit jaar de optie om je profieldata te kunnen downloaden. Op Dutch Cowboys las ik over een alternatief dat meteen een digitaal fotoboek erbij componeert. Dat is erg netjes van Hyves, want formeel hoeven ze zoiets niet mogelijk te maken. Einde dienst is einde data; juridisch gezien is data niets dus valt er ook niets op te eisen. Tweakers schreef nog een mooie eulogie trouwens.

Hier en daar hoor ik ook al geluiden over “Hyves mag niet stoppen” of “ik eis dat mijn profiel in de lucht blijft”. Dat kun je vergeten. Hyves is en blijft een privaat initiatief en je kunt van een bedrijf juridisch niet eisen dat ze hun dienstverlening door blijven zetten. Zeker niet als die gratis is.

In 2011 hadden we een vergelijkbare discussie bij de sluiting van het Volkskrantblog. Mensen hadden daar een blog met reputatie, inhoud en lezers opgebouwd en de Volkskrant trok daar zomaar de stekker uit. Ook dat mag, hoe frustrerend het ook is.

Ik zie eerlijk gezegd niet hoe dit anders geregeld zou kunnen worden. Van een bedrijf verlangen dat ze doorgaan met iets verliesgevends is niet redelijk. Ja, misschien als de dienst zó groot is dat mensen echt niet zonder kunnen en er bovendien geen alternatief is. Met die argumenten worden nog wel eens verlieslijdende bus- of treindiensten in de lucht gehouden (een trein in de lucht?), en ook KPN is hier en daar verplicht een verliesgevende vastetelefonieverbinding aan te leggen met een dergelijk argument.

Maar bij een internetdienst zie ik die analogie niet. Er is eigenlijk altijd wel een alternatief, een ander kanaal waar ongeveer hetzelfde kan. Het grootste probleem is het netwerkeffect dat je kwijt bent – mensen die je lazen op Hyves, gaan niet mee naar Facebook en die verliezen je dan uit het oog. Maar dat voelt wat magertjes. En bovendien, als een internetdienst zó essentieel is dat niemand zonder kan, waarom is die dienst dan verliesgevend?

Zouden jullie een internetdienst weten die écht niet uit de lucht mag gaan?

Arnoud

Hoe lang moet een spelaanbieder een account actief houden?

Geplaatst op 25 juni 201323 juni 2013 in Informatiemaatschappij, 10 reacties

Een lezer vroeg me:

Ik bied een online spel aan waarbij je met credits speelattributen kunt kopen. Nu zijn er honderden spelers die al jaren niet meer actief zijn op dit spel. Ik zou graag hun accounts opheffen, al is het maar om de unieke objecten die ze hebben te mogen vrijgeven zodat andere spelers ze weer kunnen aankopen. Mag ik dat?

Normaal zou je zeggen, geen probleem, opheffen zo’n account na X maanden inactiviteit. Maar omdat het hier gaat om een account waar geld aan hangt, ligt het lastiger. Een vordering jegens de exploitant van een dienst verjaart pas na 5 jaar (art. 3:307 BW). Credits kúnnen een kortere vervaltermijn hebben, hoewel niet korter dan één jaar eigenlijk. Maar of die regel ook opgaat voor een aangekocht spelobject durf ik zo niet te zeggen.

Bovendien: we weten dat je kunt stelen in zo’n virtuele wereld. Dus steelt het beheer dan niet van zijn spelers als ze die objecten afpakt? Niet per se. Handelen door het beheer is eigenlijk altijd legaal, het is immers hun spel. Net zoals de KNVB voetbalregels mag stellen zoals “keepers vanaf nu een hoofdbescherming” of “voetbalschoenen mogen niet langer noppen hebben”. Word je als speler op kosten gejaagd door zo’n regelwijziging dan heb je pech.

Natuurlijk moet het wel binnen de spelregels vallen. Het handigste is dus als de spelvoorwaarden (ADV: genereer ze op maat) dit expliciet afdekken. Maar het feit dat iets niet in de voorwaarden staat, betekent niet dat het dús niet mag. De wet (art. 6:248 BW) bepaalt dat naast wat je samen afspreekt, ook datgene dat uit de wet, de gewoonte of de eisen van redelijkheid en billijkheid voortvloeit deel is van je overeenkomst.

Bij de discussie over het nerfen van een duurgekochte tank kwamen we al op dit punt: het kan toch niet de bedoeling zijn dat je als spelaanbieder tot in de eeuwigheid iemands account met objecten moet faciliteren? Juridisch gezien is dat een beroep op de beperkende werking van redelijkheid en billijkheid. Je kunt ook zeggen, iedereen doet dit dus als speler wéét je dat je door je account lang inactief laten je je spullen kunt kwijtraken. Dan volgt het uit de gewoonte; dit is wel iets lastiger te bewijzen want ís dat wel een gewoonte bij betaalspellen?

Wel zou ik verwachten dat je voordat je zo’n account opheft je even de gebruiker benadert. Reageert die niet binnen een redelijke tijd, dan mag je er vanuit gaan dat hij geen interesse meer heeft. Wil hij wél alsnog doorspelen, dan is ingrijpen niet meer gepast.

Arnoud