Mag een accountant zijn klant uit de cloud gooien?

| AE 7971 | Informatiemaatschappij | 12 reacties

archief-opslag-bestanden-filesMag een accountant zijn klant afsluiten van de cloudadministratieomgeving die hij aanbiedt als de klant het contract opzegt? Uit een recente uitspraak (15/232) van de accountantskamer blijkt van niet: per direct afsluiten is in strijd met de gedragsregels voor accountants.

Het begon in deze zaak met een probleempje rond indiening van de jaarrekening. Wat er nu precies misgegaan is, kan ik niet uit de uitspraak halen maar de jaarcijfers lagen te laat bij de KVK en de klant vond dat een reden om op te stappen. Vervolgens bleek direct (één dag later) zijn toegang tot het online pakket (Twinfields) afgesloten te zijn, waardoor alle daarin opgeslagen administratieve gegevens van het bedrijf dus ontoegankelijk werden.

Op zich een begrijpelijke stap van die accountant. Die dienstverlening is er voor klanten, en meneer wil geen klant meer zijn maar per direct weg. En in het algemeen is het zo dat als de overeenkomst tot dienstverlening ophoudt, je de dienstverlening mag staken. Ja, ook bij clouddiensten en accounts. Dat is dienstverlening in een softwarejasje maar daarvoor kent de wet geen aparte regels. Je mag stoppen met diensten leveren, en dus ook met software of data toegankelijk maken zodra het contract is afgelopen.

Bij accountants ligt dat anders, en wel omdat zij gedragsregels hebben die onder meer “het fundamentele beginsel van vakbekwaamheid en zorgvuldigheid” nader uitwerken. Dit beginsel geldt ook na afloop van de dienstverlening. Als accountant moet je nazorg plegen als een klant weg wil, en daaronder valt -blijkens deze uitspraak- dus ook het nog even toegankelijk houden van de data of het verstrekken van een kopie zodat men elders verder kan.

We hebben het al vaker gehad over opvragen van “je” gegevens. Dat gaat hem niet worden, want data zijn geen eigendom volgens de wet. Het is gestolde dienstverlening, meer niet. Daarover merkt de Accountantskamer toch iets opmerkelijks op:

Daarvan uitgaande overweegt de Accountantskamer dat klaagsters recht hadden op ‘teruggave’ van de ingevoerde, nog niet bewerkte digitale gegevens, omdat het hun gegevens waren. Van betrokkene kon dan ook verlangd worden dat hij na de beëindiging van de opdracht met X3 in overleg was getreden over de vorm waarin en de termijn waarop hij deze de gegevens ‘overgedragen’ wilde krijgen, zeker nadat X3 in zijn brief van 22 juli 2014 te kennen had gegeven dat hij niet gebaat was met de prints van “de grootboekkaartjes 2013 en 2014 van de beide administraties”.

Het belang van data-opslag en clouddiensten voor bedrijven wordt alleen maar groter. Het wordt wat mij betreft dan ook de hoogste tijd dat hier wettelijk wat voor geregeld wordt. Je ziet dat al wel een beetje doorschemeren in de jurisprudentie, bijvoorbeeld dit vonnis uit 2012 waarin de rechter een dichtzetten van een softwaresysteem wegens wanbetaling disproportioneel vindt. Terecht. Natuurlijk mag je je dienstverlening opschorten als de wederpartij niet betaalt, maar die maatregel moet wel in verhouding staan tot de wanbetaling. En in gevallen als deze tref je iemand héél erg zwaar, veel zwaarder dan bij bijvoorbeeld een tijdschrift dat je tijdelijk niet opstuurt of een waszak die je een week niet ophaalt.

Arnoud

Mag ik een hosted dienst afsluiten bij wanbetaling?

| AE 5631 | Informatiemaatschappij | 3 reacties

Het lijkt vrij logisch bij een internetdienst: als de klant niet betaalt, dan sluit je de toegang tot de dienst af. Dat is immers het sterkste machtsmiddel dat je hebt. En aangenomen dat de klant die dienst belangrijk vindt (waarom betaalt hij er anders voor), zal hij dan snel alsnog over de brug komen met de achterstallige betalingen. Maar helemaal zonder risico is het niet.

De wet noemt het tijdelijk niet leveren van een dienst bij wanbetaling van de wederpartij ‘opschorten’. In principe ben je vrij in de keuze hoe je wilt opschorten, maar je moet daarbij wel altijd rekening houden met de redelijke belangen van de klant en de hoogte van de wanbetaling. De wet zegt dat “opschorting slechts toegelaten [is], voor zover de tekortkoming haar rechtvaardigt.” Het is niet aan te raden om de gehele dienstverlening naar de klant te staken als deze alleen de BTW op een factuur is vergeten te betalen. E-mail van zijn klanten laten bouncen is zelden verstandig. Uitgaande diensten (verzenden van mail bijvoorbeeld) kun je probleemloos wel gewoon blokkeren.

Ik raad altijd aan om een gefaseerd proces van opschorten te hanteren, en dat ook duidelijk in de voorwaarden op te nemen. Mijn standaardaanpak: eerst gaat de applicatie op read only, een week later worden gewone gebruikersaccounts geblokkeerd en een week daarna wordt de gehele applicatie ontoegankelijk. Door dit vooraf te melden én op een duidelijke en redelijke manier uit te werken, sta je sterk als de klant naar de rechter stapt en claimt dat je niet proportioneel hebt gehandeld.

De periode van opschorting mag je in principe laten lopen tot de klant zijn rekening heeft betaald. De klant moet echter gewoon zijn lopende verplichtingen blijven voldoen. Hij moet dus ook betalen voor de periode dat je de dienstverlening opgeschort hebt. Eventueel kun je ook af- of aansluitingskosten in rekening brengen. Maar ook hier geldt: dit moet wel redelijk zijn in de gegeven omstandigheden. Plus, het bestaan van dergelijke kosten moet in de voorwaarden zijn gemeld.

Opschorten is niet zonder risico: als achteraf blijkt dat dit niet terecht was, moet je de klant schadeloos stellen voor de periode dat de dienst niet te gebruiken was. Verwijzen naar de beperkte aansprakelijkheid uit je algemene voorwaarden gaat je niet helpen. Opschorten valt onder “opzettelijK” handelen en daarvoor mag je nooit je aansprakelijkheid uitsluiten.

Als zelfs opschorting geen zoden aan de dijk zet, zal de volgende stap opzegging van het contract zijn wegens wanprestatie. Ook dit middel moet in redelijke verhouding staan tot de wanbetaling. Maar dit middel is een stuk zwaarder, want je gaat nu onherstelbare dingen doen: het account afkoppelen, de dienst onbereikbaar maken en mogelijk zelfs data wissen.

Lastig is dat hier allemaal weinig over geregeld is in de wet. Data is niets dus als die weg is dan kun je als klant niets eisen. Dat voelt niet helemaal lekker, zeker niet als achteraf blijkt dat de reden voor afsluiting een misverstand of overmacht was. Ook hier dus: zorg voor een duidelijke procedure bij afsluiting en bewaar als het even kan de data totdat je zeker weet dat de klant weg blijft.

Arnoud

Wacht even, afgesloten internetverbinding voor 18-jarige KPN-hacker?

| AE 5625 | Ondernemingsvrijheid, Security | 24 reacties

kpn-afgeslotenDe 18-jarige jongen die vorig jaar KPN-servers heeft gehackt heeft een celstraf van 45 dagen en een taakstraf van 100 uur gekregen, meldde Webwereld. Omdat de jongen exact dat aantal dagen al in voorarrest had gezeten, hoeft hij niet meer de cel in. Het vonnis lijkt niet gepubliceerd, logisch omdat het om een minderjarige gaat (ten tijde van de inbraak). Maar ik werd geïntrigeerd door de opmerking dat zijn internetverbinding afgesloten was door KPN.

Ik las namelijk deze opmerking in het persbericht van het Openbaar Ministerie:

Vanwege ontoelaatbaar internetgedrag was de verdachte in 2010 al door KPN gewaarschuwd. Zijn internetaansluiting is toen enige tijd afgesloten. Dat heeft hem er niet van weerhouden om verder te gaan met het binnendringen in computersystemen tot letterlijk aan het moment van zijn aanhouding.

Dit is opmerkelijk, omdat dat (sinds netneutraliteit) helemaal niet meer mág, iemand afsluiten omdat hij “ontoelaatbaar internetgedrag” vertoont. Nu geldt die wet pas sinds 1 januari jongstleden, en de inbraak was vorig jaar dus echt relevant is dat niet. Maar ik weet dat het nog steeds gebeurt bij diverse providers.

De Telecommunicatiewet (art. 7.6a) is duidelijk: afsluiten van een consument mag alleen op grond van één van deze zes voorwaarden:

  1. op verzoek van de abonnee;
  2. bij een tekortkoming in de nakoming van de betalingsverplichting door de abonnee of faillissement van de abonnee;
  3. bij bedrog in de zin van artikel 3:44 van het Burgerlijk Wetboek door de abonnee;
  4. wanneer de looptijd van de overeenkomst van bepaalde duur tot levering van de internettoegangsdienst afloopt en de overeenkomst met instemming van de abonnee niet wordt verlengd of vernieuwd;
  5. ter uitvoering van een wettelijk voorschrift of rechterlijk bevel; en
  6. bij overmacht en onvoorziene omstandigheden in de zin van artikel 6:258 van het Burgerlijk Wetboek.

De eerste twee lijken me evident. Van ‘bedrog’ is sprake als de consument KPN misleid heeft, bv. door een valse naam op te geven omdat zijn echte op een zwarte lijst staat. Nummer vier is ook weer evident. Nummer zes gaat over situaties waarin de feiten zó zijn gewijzigd dat je onmogelijk nog kunt verlangen van KPN dat ze met je doorgaan.

Nummer vijf klinkt als een grond voor afsluiten wegens abuse, maar is dat niet: het gaat daar over afsluiten als in de wet staat dat dat mag, of als de rechter bepaalt dat het contract opgezegd moet worden. Dat iemand een strafbaar feit pleegt via de internetverbinding, is weliswaar een overtreding van een wetttelijk voorschrift (namelijk art. 138ab Strafrecht, computervredebreuk) maar KPN voert dat wetsartikel niet uit.

KPN mag wél tijdelijk de internetverbinding blokkeren wanneer sprake is van “een inbreuk op de integriteit of veiligheid van het netwerk of de [internettoegangs]dienst” (art. 7.4a Tw), maar de blokakde moet dan noodzakelijk zijn om die inbreuk te beëindigen. Je zou dan kunnen denken aan een computer afsluiten omdat deze een ddos-aanval uitvoert of een virus of worm verspreidt. Maar hoe een hack op een computer van een derde “de integriteit of veiligheid van het netwerk of de [internettoegangs]dienst” in gevaar brengt, ontgaat me. “Abuse on the Net is not the same as abuse of the Net”, was ooit een internetmotto, en volgens mij geldt dat in deze wet nog steeds.

Meer dan een verbinding verbreken omdat er via die verbinding iets illegaals gebeurt, kun je volgens mij niet doen op grond van netneutraliteit. Iemand afsluiten wegens abuse mag dus niet (meer).

Arnoud

Webshop offline na verdenking van oplichting, mag dat?

| AE 2457 | Ondernemingsvrijheid | 18 reacties

De politie doet onderzoek naar Telzone.nl, een webshop die deze maandag live ging met een stuntaanbieding: een iPad met 130 euro korting. Het gaat mogelijk om een oplichterstruc, schreef Webwereld vorige week. Het reclamebureau dat de webshop had gebouwd had aangifte gedaan omdat ze de situatie verdacht vond. Op de site stond onder meer dat… Lees verder

Ziggo hoeft Pirate Bay niet te blokkeren

| AE 2163 | Intellectuele rechten | 75 reacties

Dit betreft een voor Nederland unieke zaak, vindt de kortgedingrechter zelf ook. Kan een internetprovider worden verplicht om een website ontoegankelijk te maken? Nee, vonnist de kortgedingrechter in Den Haag: een dergelijke, verstrekkende, vordering is “naar voorlopig oordeel eenvoudigweg niet toewijsbaar”. BREIN moet individuele abonnees aanklagen als blijkt dat die auteursrechten schenden via Bittorrent. Niet… Lees verder

Achterkamertjespolitiek in Europees Parlement over afsluiten internetgebruikers (gastpost)

Een gastbijdrage van Walter van Holst van stichting Vrijschrift. Aanstaande woensdag staat een amendement op de toekomstige kaderrichtlijn Telecommunicatie op de agenda van het Europees Parlement met betrekking tot het afsluiten van internetgebruikers. Achter deze gortdroge aankondiging zit een lopend gevecht tussen lobbyisten van de media-industrie, de EU-ministerraad en het Europees Parlement over het mogen… Lees verder

Europese illegale downloaders blijven ongestraft (gastpost)

Auteursrechtenorganisaties zitten er maar mee in de maag: het internet. Het publiek kan dankzij dit medium heel gemakkelijk auteursrechtelijk beschermde werken met elkaar uitwisselen. Burgers zien geen enkel moreel bezwaar en dus wordt er op grote schaal gedownload. Dit bemoeilijkt de handhaving omdat voor iedere overtreding apart naar de rechter gegaan moet worden. Frankrijk dacht… Lees verder

Europese ministers wijzen anti-’three strikes’ amendement af

| AE 1353 | Ondernemingsvrijheid | 10 reacties

De Europese telecomministers hebben het amendement van het Europese Parlement tegen de voorgestelde ‘three strikes, you’re out’-regels afgewezen, meldde Tweakers gisteren. Over een verder nogal saai pakket regels voor de telecomsector woedt al een tijdje een verhitte discussie. Europa zou hiermee stiekem een “three strikes”-beleid willen invoeren, waarbij internetproviders hun klanten moeten afsluiten na drie… Lees verder