Wat als een bedrijf meent dat je ze geld verschuldigd bent, en weigert je account te verwijderen?

| AE 13731 | Ondernemingsvrijheid | 32 reacties

Via Reddit:

Een bedrijf beweert ten onrechte dat ik hun nog geld verschuldigd ben, en weigert mijn account te verwijderen totdat ik betaald heb. Is er een realistische optie voor mij mijn account en bijbehorenda data te laten verwijderen zonder te betalen? Of is dit een geval van het pad van de minste weerstand (en de meeste tranen) kiezen?
De kern van het probleem is zo te lezen dat de vraagsteller eten had besteld via de app van het bedrijf, maar dat gebeurde bij het verkeerde restaurant. Na vruchteloze discussie startte de vraagsteller een dispuut bij Paypal, waarop hij zijn geld terugkreeg. Nu wil de app-exploitant het account niet verwijderen omdat er volgens hen nog een geldbedrag open staat.

De achterliggende redenering van de app-exploitant lijkt te zijn dat je door die Paypal-actie alleen maar de betaling bij dat bedrijf hebt ongedaan gemaakt (chargeback) maar niet de onderliggende overeenkomst tot levering van voedsel. Want hoezo beslist Paypal of ik een geldig contract heb?

Nou ja, dat beslissen ze omdat dat een aansluitregel is om die betalingsmethode te mogen hanteren. Paypal (en creditcardmaatschappijen ook trouwens) beoordelen claims van consumenten en doen dan een bindende uitspraak die voor beide partijen geldt. Niet alleen over de betaling dus, over de aankoop. Dat kunnen ze, omdat het juridisch prima is als je een private partij een oordeel laat vellen waarvan je vooraf zei dat je ermee akkoord ging (Mr. Visser is er groot mee geworden).

Maar goed, zoals vaker verzucht hier: je recht hebben en je recht krijgen is in het consumentenrecht zeker niet hetzelfde. Want je kunt dit honderd keer aangeven, het account blijft nog steeds staan totdat die 17,95 voor de Pizza XL met cola order #8951 ontvangen is, daar is het systeem heel duidelijk over. En om nou naar de rechter te gaan,, dat is veel duurder dan dit ooit zal opleveren.

Ik herhaal dan maar even de tip om via het Europees Consumenten Centrum (ECC) een klacht in te dienen. Want ik gok zomaar dat dit bedrijf in Luxemburg of Ierland zit, zodat je een snelle en goedkope procedure kunt starten. Zoals een anonieme commenter destijds uitlegde:

Bij internationale geschillen binnen de EU (behalve Denemarken) kun je tot een bedrag van €5000 relatief eenvoudig procederen via een verzoekschriftprocedure (dus geen dagvaarding nodig). Simpelweg door standaard EPGV formulieren in te vullen. Nederlandse consumenten sturen dat naar een Nederlandse rechter die relatief snel overgaat tot een uitspraak nadat de wederpartij in de gelegen is gesteld om te reageren. Dat resulteert in een officiële beschikking met executoriale titel die in het andere land ten uitvoer kan worden gebracht. Er zit dus voor de helderheid ook een risico op verlies en een proceskostenveroordeling in het nadeel van de eiser aan vast.
De enige vraag hier zou voor mij zijn of dit wel via de rechter moet, gezien het gaat om verwijderen van een account. Ik zou dat eerder een AVG kwestie vinden (vergetelheid) hoewel “einde dienstovereenkomst” wel een argument is. Als je het via de AVG speelt dan moet je handhaving door de AP verzoeken (fat chance) of alsnog een gewone procedure bij de rechter beginnen.

Arnoud

Als ik een app met datagevangenis gebruik, is de leverancier dan verantwoordelijke onder de AVG?

| AE 13226 | Ondernemingsvrijheid, Privacy | 6 reacties

Een lezer vroeg me:

Wanneer je data opslaat in een clouddienst, is de exploitant daarvan de verwerkingsverantwoordelijke. Beheer je alles lokaal, dan ben je dat zelf. Tot zo ver duidelijk. Maar wat nu als je de data in een app beheert? De data staat wel lokaal maar zit ‘opgesloten’ in de app, waar de exploitant alle controle over kan uitoefenen. Kun je ze dan onder de AVG sommeren om bijvoorbeeld data-export mogelijk te maken?

Onder de AVG is een verwerkingsverantwoordelijke de partij die beslist voor welke doelen persoonsgegevens worden verwerkt, en met welke middelen. (Een verwerker is een partij die voor een verantwoordelijke een verwerking uitvoert, maar dus niet zelf doel of middelen bepaalt.)

Het klopt dus dat als je data in de cloud opslaat, de partij aan de andere kant (“there is no cloud”) de verantwoordelijke daarvoor is. Soms de verwerker – als jij de uiteindelijke zeggenschap hebt over wat men met die persoonsgegevens mag doen. Dit is minder vaak het geval dan je zou denken.

Omgekeerd, enkel het leveren van middelen maakt je geen verwerkingsverantwoordelijke. Als je dus een lokale applicatie gebruikt en daarin persoonsgegevens verwerkt, heeft de leverancier geen rol onder de AVG. Jij (of je organisatie) bent dan zelf de verwerkingsverantwoordelijke.

De situatie met een app is iets ingewikkelder. De vraagsteller noemt het “opsluiten”, dus de data is niet even uit de app te halen zoals bij desktopapplicaties waar je gewoon databestanden naast het programma hebt staan. En natuurlijk kan een app-leverancier veel makkelijker updates forceren dan een traditionele desktopsoftwareleverancier.

Toch maakt dat hem denk ik niet direct een verwerkingsverantwoordelijke: de appleverancier bepaalt nog steeds niet wat je doet met de app, dat doe jij als gebruiker van de app. Natuurlijk wordt dat anders als er functies ingebouwd zijn die onder controle van de leverancier dingen doen (zoals adresboeken uploaden), maar dan hebben we vaak meteen ook te maken met cloudopslag.

Als verwerkingsverantwoordelijke heb je de plicht te zorgen voor de rechten van de betrokken personen. Dat kan dus betekenen dat je ze een kopie van hun persoonsgegevens moet geven, en correcties moet doorvoeren. Als zo’n app dat niet toestaat, ben jij dus niet AVG compliant. De AVG regelt alleen niet dat jij van je leverancier dan een update kunt eisen waarmee dat wel kan – die zegt, gebruik die app dan maar niet.

Hoe krijg ik security op de kaart bij mijn kinderopvang?

| AE 13099 | Informatiemaatschappij, Privacy | 5 reacties

congerdesign / Pixabay

Een lezer vroeg me:

Onze kinderen gaan naar de kinderopvang. Het bureau gebruikt hiervoor een SaaS-platform van een derde, met daarin dus alle persoonsgegevens (inclusief bsn en benodigde gezondheidsinformatie). Maar meer dan een wachtwoord wordt er niet gebruikt, en je mag zo te zien onbeperkt wachtwoorden proberen. Ik maak me daar grote zorgen over, ik zie dit zo gehackt worden. Wat kan ik doen, zijn er juridische middelen?
Er zijn vele, vele pakketten en diensten als deze. Nu we als maatschappij graag onze zaakjes zo veel mogelijk online willen regelen, is het logisch dat er allerhande portalen, apps en diensten komen waarmee dat kan. En die slaan dan dus al die gegevens op, die vaak wettelijk nodig zijn (zoals bsn bij kinderopvang) of waarzonder men niet kan werken (zoals allergie-gegevens).

Er zijn tegelijk maar weinig wettelijke kaders. De AVG is natuurlijk de bekendste. Deze bepaalt dat zulke gegevens goed beschermd moeten zijn, maar schrijft geen specifieke security-eisen voor. Je moet zelf, op basis van de situatie, de kosten en de te verwachten bedreigingen, een afweging maken om het zo goed mogelijk op orde te maken.

Er is ook geen toezichthouder die preventief je platform komt screenen of een audit komt uitvoeren. Of zelfs maar komt eisen dat jij een audit laat uitvoeren of wat dan ook. Wie het heel treurig wil formuleren, komt dus tot de conclusie dat alles AVG proof is totdat blijkt dat dat niet zo is. Door een hack of datalek dus. Ik word daar inderdaad niet vrolijk van.

En natuurlijk, dan mag de kinderopvang de rommel opruimen en de schade vergoeden. Want ook als ze dit zonder enige kennis van digitale zaken inkopen, zij blijven onder de AVG de verwerkingsverantwoordelijke en zij zijn aansprakelijk voor alles dat er mis gaat. (Op papier kunnen ze dat verhalen op de leverancier, of ze dit in de onderhandelingen van het servicelevelcontract afdwingen blijft natuurlijk giswerk.)

Als je als ouder een vermoedelijk datalek of ander probleem zit, kun je dat natuurlijk aankaarten. Alleen lastig: het bureau kan er niets mee, want die heeft de kennis niet. En de leverancier van het platform is vaak lastig bereikbaar voor de eindklanten, of heeft er weinig belang bij theoretische risico’s snel op te pakken.

Dus veel praktische oplossingen zijn er niet. Specifiek bij kinderopvang is er wellicht nog de route van de oudercommissie, die bij het bureau kan aankaarten dat er zorgen leven en of er wat anders bedacht kan worden. Mijn gevoel is dat bij veel van dergelijke commissies de zorg om digitale veiligheid niet heel hoog is, maar het is het proberen waard.

Arnoud

Kan ik de werkgever aansprakelijk houden voor schade door de 2FA-app?

| AE 12706 | Security | 28 reacties

Een lezer vroeg me: Mijn werkgever heeft het gebruik van tweefactorauthenticatie verplicht gesteld, en gebruikt daarbij de Microsoft Authenticator app. Alleen, wie geen werktelefoon heeft moet deze maar op de privételefoon installeren. Ik maak me zorgen over de rechten die deze app heeft (foto’s, camera, locatie, contactpersonen en ga zo maar door) en bovendien vraag… Lees verder

Facebook moet 3,83 miljoen euro betalen aan ontwikkelaar wegens kopiëren Nearby

| AE 12443 | Intellectuele rechten | 6 reacties

Een Italiaanse rechtbank heeft in hoger beroep bepaald dat Facebook 3,83 miljoen euro moet betalen aan de Italiaanse softwareontwikkelaar Business Competence. Dat las ik bij Tweakers. Een Italiaanse rechtbank vonniste dat de dienst het auteursrecht op een app (genaamd Faround) heeft geschonden door haar eigen concurrerende dienst. Opmerkelijk aspect: dat lijkt met name het geval te… Lees verder

Misschien doet handhaven op informatieplichten wel meer pijn dan op toestemming/belang?

| AE 12135 | Privacy | 32 reacties

Whatsappen met Wopke Hoekstra? Bellen met Kajsa Ollongren of Carola Schouten? Het kan dankzij Lusha, een onlinedienst die mailadressen en telefoonnummers van het internet plukt. Zo opende Trouw onlangs. Met deze vage dienst zijn mobiele telefoonnummers te vinden van vele, vele mensen. En er is een handige browser plugin waarmee je het telefoonnummer meteen ziet… Lees verder

Is het een datalek als een app het bsn van je clipboard uitleest?

| AE 12040 | Privacy | 16 reacties

Via Twitter: Zeg @albertheijn, @Marktplaats en @NUnl. Waarom willen jullie zo graag alles wat ik gekopieerd heb lezen? Inclusief dingen als IBAN nummers, wachtwoorden of persoonsgegevens. Klinkt als iets voor de autoriteit persoonsgegevens. Er blijken nog veel meer apps te zijn die het clipboard uitlezen als je ze activeert. De vraagsteller kwam erachter omdat zijn… Lees verder

Mag ik de hardcoded sleutel van een app gebruiken voor mijn eigen aanroepen?

| AE 11944 | Ondernemingsvrijheid | 36 reacties

Een lezer vroeg me: Ik wil gebruik maken van een online tool vanuit mijn eigen software. Helaas is een zakelijke licentie op die tool veel te duur. Nu zat ik in de bijbehorende app voor consumentengebruik te kijken, en die blijkt met een hardcoded key te authenticeren. Ik kan daarmee dus perfect een aanroep simuleren,… Lees verder

Wat gaan we doen met die corona-app van de overheid?

| AE 11876 | Privacy, Regulering | 30 reacties

De Nederlandse overheid is van plan om twee apps te gebruiken om besmettingen met het coronavirus te traceren. Dat meldde Tweakers eergisteravond. De eerste app “vertelt je of je in de buurt bent geweest van een andere gebruiker, die besmet blijkt te zijn. Je krijgt dan het advies om binnen te blijven en het verzoek… Lees verder