Mag een webshop je bij registratie akkoord laten gaan met de verkoopvoorwaarden?

| AE 9549 | Contracten, Webwinkels | 8 reacties

Een lezer vroeg me:

Bij een webshop waar ik laatst bestelde, moest ik een account maken. Oké, maar daarbij moest ik ook akkoord gaan met de verkoopvoorwaarden. Daarin bleek te staan dat deze op ieder moment konden wijzigen en dat ik maar bij elke bestelling moest controleren of ik nog akkoord was. Een beetje slinkse truc lijkt me, is dat legaal?

In principe is het legaal om mensen voorafgaand aan het bestellen te vragen een account te maken, en je kunt ze daarbij ook akkoord laten gaan met je verkoopvoorwaarden. Met die constructie valt elke verkoop vanaf dat account vervolgens onder die verkoopvoorwaarden.

Handig voor beide partijen: voor de verkoper want je hoeft het niet steeds te vragen, en voor de koper want die hoeft ze maar één keer te lezen.

De truc van deze webshop doet wat minder gezellig aan. Het lijkt erop dat men zo wil voorkomen dat de klant wijzigingen opmerkt, en dat is natuurlijk een beetje raar. Je kunt zo van alles erin smokkelen, van een kortere betalingstermijn tot boetes of moeilijke klacht- of retourprocedures (bij zakelijke aankopen legaal) en de klant mag niet klagen want gaf een blanco akkoord op de voorwaarden.

Juridisch gezien is dit erg problematisch. Hoofdregel bij het wijzigen van algemene voorwaarden is dat ze dan opnieuw ter hand moeten worden gesteld, net zoals bij de eerste voorwaarden. Stiekem veranderen en “u had gisteren moeten kijken wat er was veranderd” is dus niet legaal. Je moet echt werken met een popup of mailtje dat de wijzigingen aankondigt. Het lijkt mij redelijk als je dan ook even een periode gunt om de voorwaarden te lezen, maar bij een webshop-constructie zou het genoeg zijn om te zeggen “Vanaf uw volgende aankoop gelden onderstaande voorwaarden”.

(Maar Facebook en Twitter doen dat toch ook? Klopt, en dat is ook niet legaal zei Calimero.)

Arnoud

Wat kun je nog als alle leveranciers naar dezelfde voorwaarden gaan?

| AE 9428 | Contracten | 13 reacties

Een lezer vroeg me:

Onlangs meldde mijn energieleverancier me dat ze nieuwe leveringsvoorwaarden hebben per 1 april, en dat ik nu het recht heb om op te zeggen. Alleen: er staat bij dat alle leveranciers diezelfde voorwaarden gaan hanteren, dus naar wie kan ik dan toe? Dit is toch een beetje raar zo?

Het doet inderdaad wat gek aan, die brief:

Juridisch klopt het volgens mij wel. Dienstleveranciers mogen van tijd tot tijd de voorwaarden aanpassen (mits dat in de oude voorwaarden staat), maar ze moeten daarbij wel de consument het recht geven de overeenkomst binnen een maand op te zeggen, zonder afkoopsom.

Alleen, veel zin heeft dat hier niet. Want bij elektriciteit en gas is opzeggen niet aan de orde, je moet overstappen. En als alle andere kandidaten precies dezelfde voorwaarden hanteren, dan schiet je daar dus niets mee op. (Hooguit indirect omdat je daar een mooie welkomstbonus kunt scoren en/of een lager tarief.)

Daar staat tegenover dat deze specifieke voorwaarden in overleg met de Consumentenbond en Vereniging Eigen Huis zijn opgesteld. Je mag er dan denk ik wel op vertrouwen dat ze niet zo eenzijdig zijn als zeg een Facebook. Dus hoewel het gek voelt dat hiermee een wettelijk recht een beetje fictief wordt, denk ik dat het hier wel meevalt.

Een aanverwant punt is nog wel dat dit ook in andere sectoren kan gebeuren. Stel die Facebook en consorten gaan samen zitten en maken ook branchebrede voorwaarden: dit moet je op onze sociale netwerken en dit mogen wij. Dan heb je niet eens meer de reële keuze om van Facebook naar eh Instagram of Snapchat over te stappen. Je zou eigenlijk hopen op concurrentie ook op voorwaarden, maar ik betwijfel of dat erin zit.

Arnoud

Mag een bedrijf zomaar alles in de privacyverklaring zetten?

| AE 9408 | Contracten | 9 reacties

“We may collect, use, transfer, sell and disclose non-personal information for any purpose.” Zomaar een zin uit zomaar een privacyverklaring? Nou nee, deze stond in de Unroll.me verklaring, een handig bedoelde nieuwsbriefafmeldapp die stiekem van taxibedrijf Uber afkomstig bleek. Uber gebruikte de app om te ontdekken wie er met concurrent Lyft reed, om zo het succes van Lyft te kunnen meten. Dat gaf de nodige ophef, omdat mensen dit best wel bespioneren vinden. Maar het stáát er toch gewoon, aldus Uber?

Uit diverse onderzoeken blijkt keer op keer dat mensen privacyverklaringen en algemene voorwaarden niet lezen. (En dat het 200 à 300 uur op een mensenleven zou kosten om dat wél te doen, en dat is dan zónder eventuele wijzigingen). Dat maakt de reactie van Uber (mooi gekarakteriseerd als “Sorry you’re upset”) maatschappelijk gezien wat twijfelachtig. Als je wéét dat mensen een tekst niet lezen, is het niet netjes om te verwijzen naar die tekst als enige rechtvaardiging.

Juridisch gezien klopte het natuurlijk wel, in ieder geval in de VS. Daar geldt: alles mag qua privacy, zolang je het vooraf maar netjes zegt. Privacyverklaringen putten zich daar ook altijd uit in lappen tekst met wat men doet en kan doen, en wijzigen wekelijks omdat ze wat nieuws erbij bedacht hebben.

In Europa mag dat niet zomaar: dingen met persoonsgegevens doen vereisen toestemming (of een rechtvaardiging onder een contract, plus nog wat uitzonderingen), en die kun je niet opeisen in een privacyverklaring of in algemene voorwaarden. Een privacyverklaring legt uit wat er gebeurt áls er toestemming is. Maar de toestemmingsvraag moet op zichzelf duidelijk en specifiek zijn. Dus ook “Ik geef toestemming voor alles uit de privacyverklaring” is niet genoeg.

Het probleem is vooral dat deze praktijken zijn ontstaan vanuit een tijd waar toestemming vragen – of privacyschendingen – een uitzondering was. Natuurlijk, in de jaren zestig ging je ook de openbare ruimte in: het café, de supermarkt en ga zo maar door. Logisch dat de caféeigenaar dan keek wat je deed, en de supermarkteigenaar kon wellicht bedenken dat als veel mensen bier kopen, het handig is de chips er naast te zetten. In die context is “hang even een bordje op als je rare dingen doet” heel begrijpelijk. En omdat het een uitzondering is, valt het op en dan leren mensen er ook weer wat van.

Met toestemming hetzelfde. Volgens mij is nooit voorzien bij het invoeren van wetgeving over persoonsgegevens dat iedereen dagelijks vele malen toestemming zou geven. Elke keer als ik de wettelijke eisen stel, moet ik denken aan het soort informed consent dat je als patiënt moet geven bij een medische behandeling. Duidelijke uitleg, een vrijwillige keuze en specifiek aangeven wat je wel of niet wilt. Bij internet-toestemming krijg je een folder van zes kantjes (met sticker “Let op: kan inhoudelijk afwijken van de werkelijkheid”) en blijken je nieren ineens tracking pixels te bevatten. Dat werkt niet helemaal, om het zachtjes te zeggen.

Alleen: hoe moet het dan wel? Wettelijke regulering, dus keihard opnoemen wat er wel en niet mag, lijkt me te blokkerend voor innovatie. De toezichthouder in abstracto laten oordelen over nieuwe ontwikkelingen? En dan vooraf of achteraf? Daar zie ik ook weer weinig in.

Arnoud

EU eist wijzigingen in voorwaarden Facebook, Twitter en Google+

| AE 9317 | Contracten | 17 reacties

De Europese Commissie eist dat de sociale netwerken Facebook, Twitter en Google+ hun voorwaarden voor Europese gebruikers binnen een maand aanpassen, om consumenten meer rechten te geven en om fraude beter aan te pakken. Dat las ik bij Nu.nl vorige week. Het persbericht van de EU knalt er stevig in: op sociale media hebben mensen… Lees verder

Zeven misverstanden over algemene voorwaarden

| AE 9173 | Contracten | 25 reacties

Vandaag eens geen lezersvraag maar een frustratie waar ik al een tijd mee zit: mensen die denken dat algemene voorwaarden heel speciaal zijn. Ik zet eens wat misverstanden op een rijtje: Algemene voorwaarden zijn verplicht. Onzin. De wet eist nergens dat een ondernemer algemene voorwaarden voert. Het kan handig zijn, omdat je zo standaarddingen alvast… Lees verder

Mag mijn bank een voorwaardenwijziging afdwingen via online bankieren?

| AE 9155 | Contracten | 4 reacties

Een lezer vroeg me: Onlangs logde ik in bij telebankieren van de SNS-bank, en toen kreeg ik een pop-up voorgeschoteld over aangepaste algemene bankvoorwaarden. Daaronder stond: “Ik heb dit hele bericht en de wijzigingen gelezen”. Pas als deze knop wordt geactiveerd kun je je rekening inzien, geld overmaken enzovoorts. Is dat wel rechtsgeldig? Ik voelde… Lees verder

Een wettelijk verbod op antirecensieclausules, is dat nodig?

| AE 9112 | Contracten, Meningsuiting | 15 reacties

Binnenkort wordt het in heel de VS verboden om in je algemene voorwaarden clausules op te nemen die consumenten straffen voor negatieve recensies, las ik bij The Consumerist. Dit naar aanleiding van akkefietjes als deze, waarbij bedrijven in hun algemene voorwaarden een verbod met boete zetten op negatieve uitlatingen. Leuk, hoewel niet echt nodig onder… Lees verder

Mag ik nou wel of niet naar mijn website verwijzen voor mijn algemene voorwaarden?

| AE 9079 | Contracten | 12 reacties

Een lezer vroeg me: Hoe kan ik als ICT-dienstverlener nu het beste mijn algemene voorwaarden melden aan mijn klant? Natuurlijk, ik kan ze bij mijn offertes voegen maar meestal heb ik hele korte informele offertes (gewoon een mailtje) en dat voelt wat overdreven. Of ik vergeet het. Ik zou liever een standaardzin in mijn handtekening… Lees verder

En nu eisen sitevoorwaarden ook al je eerstgeboren kind op

| AE 8802 | Contracten | 7 reacties

Gaan we weer: hee kijk, niemand leest websitevoorwaarden, zelfs als je erin zet dat je je eerstgeboren kind moet afstaan, gaat iedereen blindelings akkoord. Dat las ik bij Ars Technica. Leuk nieuwtje weer, maar wat mij betreft nieuwswaarde nul. Al sinds het begin van internet staat iedere site bol van de gebruiksvoorwaarden. Ergens wel logisch,… Lees verder

Mag ik mijn klanten verplichten SSL/TLS te gebruiken?

| AE 8734 | Beveiliging | 37 reacties

Een lezer vroeg me: Mag ik, als hostingprovider, klanten dwingen om SSL/TLS te gebruiken? Via een aantal scripts is het gehele proces te automatiseren, zodat er tijdens het aanmaken van een account een certificaat wordt aangemaakt (via Let’s Encrypt, dus geen meerkosten) en verbindingen vervolgens over SSL/TLS forceren (mod_rewrite en HSTS header). Ik heb veel… Lees verder