Internetrecht door Arnoud Engelfriet

De Belastingdienst mag de foto’s die langs de snelweg zijn genomen met camera’s die zijn voorzien van automatische nummerplaatherkenning niet gebruiken, oordeelt de Hoge Raad. Dat meldde Tweakers afgelopen vrijdag. Door te datagraaien in de nummerplaatinfo vastgelegd door deze zogeheten ANPR-camera’s kon de Belastingdienst achterhalen dat een aantal zakelijke rijders een onjuiste ritregistratie had opgevoerd. De Hoge Raad acht dit in strijd met de wet: zonder aparte wettelijke regeling mag de overheid niet in databanken met persoonsgegevens grabbelen.

ANPR-camera’s zijn langs de weg aangebrachte camera’s die automatische kentekenherkenning kunnen uitvoeren. Deze worden door het Korps landelijke politiediensten opgehangen om onder meer gestolen auto’s te traceren en te kunnen vangen, of om verdachten of voortvluchtigen te kunnen achtervolgen. Dit is toegestaan onder de Wet politiegegevens, het broertje met platte pet van de Wet bescherming persoonsgegevens.

Function creep is ook de overheid niet vreemd, dus verbaast het niet dat de Belastingdienst zich al snel meldde om ook eens wat informatie over kentekens te achterhalen. Specifiek: ter verificatie van de rittenregistratie van zakelijke rijders, die immers niet meer dan 500 kilometer per jaar privé mogen rijden. Met de ANPR-registraties is na te gaan of de opgegeven privéritten kloppen, waarna bij discrepanties een naheffing kan worden opgelegd. De Belastingdienst kreeg toegang onder een convenant met de KLPD.

Dat mag alleen niet. Persoonsgegevens mogen alleen worden gebruikt voor de doelen waarvoor ze zijn verzameld, en delen met andere organisaties is al helemaal niet de bedoeling. Bij de overheid mag er iets meer, maar daar geldt een harde, duidelijke regel: dan moet in een wet zijn vastgelegd wat men gaat delen en waarom. De reden daarvoor is vrij simpel, dan kan het parlement beslissen of dit een gewenst overheidshandelen is en kan de rechter concreet toetsen of de wet wordt nageleefd.

De Hoge Raad is hier vrij snel klaar: er is geen wet die zegt dat dit mag, dus mag dit niet. Natuurlijk heeft de Belastingdienst altijd een kapstokartikel over het heffen van belasting, het controleren van aangiftes of het verkrijgen van informatie, maar een wet die raakt aan de privacy moet specifiek zijn. En dat zijn kapstokwetten per definitie niet.

Natuurlijk ziet iedereen de bui al hangen dat er dan nu snel een wetje komt om dit te regelen. Dat voelt als een makkelijke truc, maar juridisch gezien klopt het: zo ongeveer alles mág, als het maar expliciet in een wet vastligt.

Arnoud

De Belastingdienst heeft van de afgehandelde modelovereenkomsten voor zelfstandigen bijna de helft afgekeurd. Dat meldde Nu.nl gisteren. Een modelovereenkomst is de vervanger van de Verklaring arbeidsrelatie (VAR). In plaats van dat de Belastingdienst zegt “meneer is zzp’er en geen werknemer” moet je nu het contract overleggen dat je met je klanten hanteert, en dan gaat de Belastingdienst kijken of daar werknemer-achtige bepalingen in zitten. En nee, dat was geen goed idee.

Het probleem van de VAR was dat het lastig controleren is voor de Belastingdienst of iemand écht als zelfstandig ondernemer opereert of toch als werknemer. Dan kun je wel een algemene verklaring afgeven maar daar is dan makkelijk misbruik van te maken. Oké, snap ik.

De oplossing was dan dus dat je je standaardcontract en/of je algemene voorwaarden voorlegde aan de Belastingdienst, die dan keek of er dingen in stonden die een echte ondernemer niet zomaar zou opnemen. Jezelf kunnen laten vervangen bijvoorbeeld, of vrij zijn in hoe je het werk invulde. Een ondernemer zegt immers niet, “ik zit om 9 uur aan je bureau te typen”, maar “het werk is vrijdag om 12 uur af”.

Op zeker moment is er bedacht dat het handig is dat er modelcontracten waren waarmee je kon werken als ondernemer. Die contracten waren dan gescreend en goed bevonden, dus dat werkt een stuk makkelijker. Plak je eigen algemene voorwaarden er eventueel bij en je kunt aan de slag. En dat was een heel slecht idee. (En nee dat zeg ik niet omdat ik zelf modelcontractgeneratoren heb die zzp’ers nu minder interessant vinden.)

Het grote probleem met die modelcontracten is dat er weinig duidelijkheid mee gecreëerd wordt. Je kunt immers op honderd manieren opschrijven dat je jezelf mag laten vervangen, dat je zelf je wijze van belonen bepaalt en werkt als je daar zélf zin in hebt. Bovendien staat elk modelcontract vol met allerlei fiscaal irrelevante bepalingen, van rare aansprakelijkheidsbeperkingen tot willekeurig gekozen levertijden, auteursrechtregelingen en ga zo maar door.

Ik snap er werkelijk niets van waarom dit systeem is gekozen. Als je wilt afdwingen dat zzp’ers werken onder bepaalde regels, dan lijkt het mij veel simpeler om te zeggen: hier zijn de contractuele regels voor de fiscus, copypaste dit (of verwijs naar het Besluit waar je ze in hebt opgesteld) en niets uit je contract mag dat tegenspreken. De rest is dan nog ter vrije bepaling van de ondernemer. Zo moeilijk kan dat toch niet zijn?

Arnoud

Belastingsoftwaremaker Intuit heeft de e-filing van belastingaangiftes via TurboTax tijdelijk stopgezet vanwege vermoedelijke fraude, las ik bij Slashdot. Criminelen zouden de identiteit van derden hebben gestolen en via TurboTax grootschalig valse aangiftes doen. Het bedrijf deed dit nadat de staat Utah 28 zekere fraudegevallen en 8.000 mogelijke fraudegevallen bij hen meldde. Wat voor mij de interessante vraag oproept: is Intuit aansprakelijk voor een frauduleuze belastingaangifte?

In principe is het natuurlijk aan de gebruiker hoe deze de software gebruikt. Als ik een dreigbrief typ in Word, is Microsoft daar niet aansprakelijk voor. Dat is ook logisch: hoe kunnen zij in vredesnaam zien wat ik typ, laat staan daaruit concluderen dat ik iets strafbaars doe? Pas als men zelf routines zou toevoegen waarmee aangezet werd tot strafbare feiten, zou dat anders komen te liggen.

Een verschil is wel dat TurboTax niet alleen een aangifte faciliteert, maar deze ook instuurt. Je aangifte gaat dan naar de servers van Intuit, en wordt vanaf daar aangeleverd aan de belastingdienst. (Bij ons werkt dat geloof ik iets anders: het pakket Elsevier Belasting Aangifte stuurt direct je aangifte naar de Belastingdienst, niet naar een Elsevier-server. Dit voelt ook iets logischer.)

Als je in die rol gaat zitten als bedrijf, dan kun je onder zekere omstandigheden aansprakelijk worden voor wat er door je servers heengaat. Een dienst zoals van Intuit valt onder dezelfde regels voor aansprakelijkheid als die voor internet- en hostingproviders, omdat de wet (art. 6:196c BW) spreekt van een “dienstverlener van de informatiemaatschappij” oftewel een partij die diensten op of via internet levert. Het faciliteren van belastingaangiftes is dat net zo goed als het hosten van informatie.

Het maakt daarbij uit of je alleen informatie doorgeeft (zoals een ISP doet, eventueel met een tijdelijke cache) of dat je informatie opslaat en doorgeeft (zoals een hostingbedrijf doet). De laatste kan namelijk aansprakelijk worden voor de opgeslagen informatie wanneer hij niet ingrijpt na een klacht; dit is waarom elke hoster een notice/takedown-beleid heeft.

Ik kan op de site niet ontdekken of Intuit informatie opslaat of direct doorgeeft, dus dat maakt de vraag een tikje lastig om te beantwoorden. Het meest logisch is dat de informatie meteen doorgegeven wordt, en dan is Intuit niet aansprakelijk voor wat er door haar servers heengaat. Ook niet als ze het een paar minuten vasthoudt. Dat lijkt me ook normaal want wat kún je doen in die situatie, hoe kun je doorgifte van data tegenhouden als je deze niet opslaat?

Als men het lange tijd opslaat, dan zou de vraag worden wanneer zij weet dat een aangifte onmiskenbaar frauduleus is, want dat is de standaard voor aansprakelijkheid bij hosting van opgeslagen informatie. Ik denk dat daar weinig situaties zijn anders dan a) de gebruiker klaagt en b) de Belastingdienst klaagt. Dus dat is relatief makkelijk voor Intuit. Wacht op een klacht van een van beiden en grijp dan in.

In beide gevallen mag de rechter overigens een bevel uitspreken om aan het onrechtmatig handelen een eind te maken. Ook bij internetproviders; wel moet het verbod natuurlijk proportioneel zijn en effectief, iets dat bij de Piratebayblokkades niet bewezen kon worden.

Ik twijfel wel. Móet een partij als Intuit aansprakelijk gehouden worden voor zulke valse aangiftes? Het voelt wat gezocht. Aan de andere kant, ze kiezen er zelf voor om er met hun servers tussen te gaan zitten dus dan zet je jezelf in een positie om in te kunnen grijpen. En als je het kunt, dan zullen er situaties komen waarin je het moet.

Arnoud

Bedrijven mogen iPads aan werknemers verstrekken zonder dat de werkgever daarover loonheffing aan de Belastingdienst hoeft af te dragen, meldde Tweakers vorige week. Dit volgt uit het arrest van het Hof Amsterdam in hoger beroep op de zaak uit 2012 over de vraag of een Ipad een telefoon of computer is. En die vraag is… Lees verder

Een lezer vroeg me: Wij hebben als bedrijf behoorlijk veel data en overwegen dit nu in de cloud op te slaan. Maar mag dat wettelijk gezien of moeten we per se dit zelf in Nederland beheren? Er is geen algemene wet of regel die bepaalt dat een Nederlands bedrijf bedrijfsgegevens in Nederland moet opslaan, of… Lees verder

In de categorie achterdeorenkrabvragen: is een iPad een telefoon of een computer? Ja, dat is een zeer relevante vraag. Tenminste, wanneer je als werkgever je werknemers allemaal een iPad geeft omdat dat zo zakelijk hip en handig is. Want werknemers computers geven mag niet zomaar, dat telt als loon in natura. En in een recent… Lees verder

Natuurlijk wil je voorkomen dat een ander je idee steelt en daarom wil je het beschermen, las ik bij “Goed idee – iDepot”. Maar hoe doe je dat, vraagt de site zich retorisch af. Nou, met een i-Depot natuurlijk. Want als je je idee maar opschrijft op een bierviltje, dan kun je “aantonen dat het… Lees verder

Een lezer vroeg me: Het is wat vroeg, maar ik was al begonnen met mijn belastingaangifte. En nu vroeg ik me ineens af, stel dat ik een zakelijk gekocht tuinmeubel privé gebruik in mijn achtertuin. Dat mag natuurlijk niet van de Belastingdienst, maar er staat een hoog hek om mijn tuin dus knappe inspecteur die… Lees verder

Vele, vele lezers vragen me: Ik heb een geweldig idee voor [iets] en dat wil ik graag beschermen. Ik las dat je het bij de Belastingdienst, het BBIE of de notaris kunt deponeren, dus dat heb ik gedaan. Ben ik nu beschermd of kan ik nog meer doen? Nee, met een depot bij een van… Lees verder

Een hostingprovider hoeft bij vermeende smaad door een klant niet meteen in te grijpen. Tenminste, als hij de feiten niet kent en daarom niet kan inschatten wat er klopt aan het verhaal. Dat blijkt uit een gisteren verschenen vonnis tussen de Staat en hostingprovider IS InterNed Services. En ik heb een leuke aankondiging, helemaal onderaan…. Lees verder