Kan de AP wat doen tegen een bioscoop die geen contant geld wil?

| AE 13156 | Ondernemingsvrijheid | 38 reacties

Een lezer vroeg me:

Ik las dat er een rechtszaak speelt van privacy-activist Michiel Jonker tegen de weigering van de Autoriteit Persoonsgegevens (AP) om handhavend op te treden tegen de weigering van arthouse-bioscoop Focus Filmtheater in Arnhem om contante betaling te accepteren. Hoe kansrijk acht jij deze zaak?
Er spelen hier twee dingen. Allereerst gaat het hier om een zaak tegen de Autoriteit Persoonsgegevens, die dit niet belangrijk genoeg vindt (of niet genoeg redenen ziet) om handhavend tegen op te treden. En ten tweede is het zeer de vraag of die weigering inderdaad in strijd met de AVG is.

Deze rechtszaak gaat dus niet direct om de vraag “mag een bioscoop contant geld weigeren vanwege de AVG”. Die vraag is aan de AP voorgelegd: wilt u de AVG handhaven tegen een bioscoop die dit doet. De AP wilde dat niet, en dan kun je de rechter vragen te verklaren dat de AP dat wel moet doen. (Een beetje zoals je het OM iemand kunt laten vervolgen via de artikel 12-route bij het Gerechtshof Arnhem.)

De rechter beantwoordt dan niet de juridische vraag, maar kijkt of het AP met een goede analyse tot haar besluit (om er niets aan te doen) is gekomen. Dat kan zijn omdat de AP een goed antwoord op de vraag heeft, maar ook omdat ze bijvoorbeeld een goede motivatie hebben gegeven waarom dit geen prioriteit moet krijgen. En in dat geval kom je niet eens meer toe aan de juridische vraag. Een bestuursorgaan als de AP heeft veel ruimte om daarin zelf te beslissen, dus de kans is gewoonlijk groot dat de rechter de AP gelijk geeft in haar weigering tot handhaven.

Uit het nieuwsbericht haal ik dat de AP hier echter inhoudelijke redenen heeft aangevoerd:

Volgens de AP is niemand verplicht om contant geld als wettig betaalmiddel te accepteren. Tevens stelt de toezichthouder dat de bioscoop via haar algemene voorwaarden een “contract” met de bioscoopbezoekers tot stand brengt, waaruit een noodzaak zou voortvloeien om persoonsgegevens van de bioscoopbezoekers te verwerken.
Hier zitten twee juridische argumenten in. Allereerst dus het punt dat er geen wettelijke plicht is om wettige betaalmiddelen te aanvaarden. Dat klopt. De wet zegt alleen dat wie een geldschuld hééft bij iemand, deze heeft voldaan door met een wettig betaalmiddel het bedrag te voldoen.

Achteraf pas zeggen “ik wil die lening giraal terug” is niet mogelijk (voorbeeld). Maar zeg je het bij het aangaan van de afspraak (juridisch: je neemt een betalingsvoorwaarde op in je aanbod) dan is dat prima. Dit is bijvoorbeeld waarom je bij sommige winkels zo’n sticker “Hier alleen pinnen” ziet: dat is een algemene voorwaarde, een betalingsvoorwaarde die voor het sluiten van de koop wordt getoond. Dat is dus bindend. Als je het vooraf zegt, mag je wettige betaalmiddelen geheel weigeren.

Het tweede punt is of je door contant geld te weigeren en pinbetaling te eisen, de AVG overtreedt. Het argument is dan dat je die pinbetaling vraagt om de overeenkomst uit te voeren (art. 6 lid 1 sub b AVG), maar dat de daarmee verwerkte persoonsgegevens boventallig oftewel niet noodzakelijk zijn om die overeenkomst uit te voeren. Er is immers een alternatief, namelijk contant betalen, dat net zo goed mogelijk is. (Het bewijs: je kon al die jaren aan de kassa contant betalen.)

Ik noem dit wel de innovatieparadox: er is nooit een noodzaak om iets nieuws te doen, want het bestaande werkt prima en heeft eigenlijk altijd minder persoonsgegevens nodig. Dat kan in het algemeen niet waar zijn. Je moet dus kijken naar specifiek de situatie rond pinbetaling: waarom wil een bioscoop met alleen pinbetaling werken, en wat doen ze met de gegevens?

Als de reden bijvoorbeeld is (zoals deze bioscoop aangeeft) de zorg om berovingen, en de pingegevens worden direct na de transactie weggegooid, dan zou ik het wel redelijk vinden. Men biedt ook een alternatief, namelijk de bioscoopbon. Ik moet zeggen dat ik dan alleen nog héél algemene tegenargumenten kan bedenken (“het gaat om het principe”) en dat vind ik in concrete situaties nooit erg sterk. Ik denk dus dat ook inhoudelijk de bioscoop erg sterk staat en de zaak dus weinig kansrijk is.

Arnoud

Banken en verzekeraars mogen niet zomaar meewerken aan ransomware-betalingen

| AE 12276 | Ondernemingsvrijheid | 26 reacties

De VS waarschuwen banken en verzekeraars dat ze mogelijk de wet overtreden wanneer ze ransomware-losgeld betalen aan criminelen, las ik bij Trouw onlangs. Allereerst omdat je dan met verdachte transacties te maken hebt (je gaat ineens in bitcoin betalen) en ten tweede omdat je nog wel eens aan partijen in sanctielanden (zoals Noord-Korea, Wannacry) blijkt te betalen, en dat is keihard verboden. Ook in Nederland moeten financiële instellingen betalingen melden die met ransomware te maken hebben. Dat kan nog wel eens knap ingewikkeld worden.

Een tijd geleden schreef ik over wat een instantie moet doen die zijn data of systemen gegijzeld ziet. Als betalen werkelijk de beste optie is (er is geen goede backup, er is urgentie, etc) dan zullen mensen daar toch snel toe geneigd zijn. En ik moet zeggen, ik begrijp dat wel als je slachtoffer bent. Ook al is het zakelijk, het doet echt pijn zo’n datagijzeling.

Daar staat natuurlijk tegenover dat je een crimineel businessmodel in stand houdt, wat maatschappelijk niet wenselijk is. Maar er is geen algemene regel dat je geen losgeld mag betalen, of niet het verdienmodel van criminelen in stand mag houden. Ik zie het echt als een stukje nood, als je dat zelf doet. Doe je het als professioneel ingeschakelde hulppersoon, zoals een cybersecuritybedrijf of verzekeraar, dan wordt dat anders. Dan is het echt een zakelijke keuze dat je criminelen wilt belonen in plaats van strafbare feiten op wilt (laten) sporen, en dan wordt het een heel ander verhaal voor mij.

In Trouw lees ik dat verzekeraars niet direct aan gijzelnemers betalen. Hooguit wordt soms een slachtoffer schadeloos gesteld dat zelf koos voor betaling. Ik denk dat dat nog net door de beugel kan, aangenomen dat er natuurlijk niet aangespoord is om “gewoon te betalen en dan krijg je het van ons vergoed”.

Arnoud

Is achterafbetalen een wettelijk beveiligingsgat?

| AE 10739 | Ondernemingsvrijheid | 53 reacties

Criminelen verkopen duizenden gehackte Nederlandse accounts voor webwinkels, las ik bij Tweakers. Onderzoek van RTL Nieuws had onthuld dat logins voor accounts bij webshops eenvoudig te krijgen zijn in het criminele circuit, zodat je eenvoudig een bestelling kunt plaatsen bij een nieuw adres en daar op achterafbetaling laat leveren. Tegen de tijd dat de accounthouder het doorheeft, ben jij allang weg met het pakket. Volgens de politie zijn er jaarlijks ‘honderden slachtoffers’ van deze vorm van fraude. Wat in de comments de vraag opriep: waarom bieden winkels dan nog achterafbetalen aan?

Nou ja, omdat dat moet van de wet natuurlijk. Artikel 7:26 lid 2 BW bepaalt dat een consumentkoper tot hooguit 50% vooruitbetaling kan worden gedwongen, en internetaankopen tellen nu eenmaal als vooruitbetaling omdat de levering altijd later gebeurt. Je kunt mensen niet zomaar afstand laten doen van dit recht, in ieder geval niet in je algemene voorwaarden of iets dergelijks generieks.

Het probleem is natuurlijk dat deze wijze van afrekenen specifiek in de internetcontext fraudegevoelig is. Stuur het pakket naar adres A, en de factuur later naar B. Tegen de tijd dat B aangesproken wordt op wanbetaling, is het pakket al lang weg bij A. En die heeft dan weer geen idee wie het heeft opgehaald.

Natuurlijk kun je als winkel je hiertegen proberen te wapenen, bijvoorbeeld door geen bestelling van nieuwe klanten te accepteren op achterafbetaling als er een ander afleveradres wordt opgegeven. Maar daarom zijn zulke accounts waardevol: die hebben een koopgeschiedenis en zijn daardoor vertrouwd, dus als daar een keer een ander adres komt, dan is dat prima. En dan gaat het dus mis.

Achteraf betalen is dus een wettelijk recht, maar specifiek bij accounts is er denk ik wel een truc: laat mensen in hun accountinstellingen bepalen dat zij afstand doen van deze optie. Dat mag van de wet (art. 7:6 BW, dit is geen algemene voorwaarde), en zo voorkom je dat je account wordt misbruikt met deze manier. Natuurlijk kan de dief de optie weer aanzetten, maar als je het combineert met “eerst een bestelling naar je huidige adres” dan is de impact te overzien.

Wie weet een betere?

Arnoud

Telt inroepen van PayPal aankoopbescherming als annulering?

| AE 9478 | Ondernemingsvrijheid | 19 reacties

Een lezer vroeg me: Bij een webwinkel had ik wat besteld, en betaald met Paypal. Het object kreeg ik echter maar niet, dus ik heb via PayPal de Aankoopbescherming ingeroepen. De verkoper reageerde echter niet, waardoor ik mijn geld terugkreeg van Paypal. Maar nu eist de verkoper via een incassobureau betaling, en zeggen ze dat… Lees verder

Hoezo mag internetshoppen vanaf 2018 alleen nog met een apart betaalkastje?

| AE 9030 | Ondernemingsvrijheid | 25 reacties

Vanaf 2018 moeten we alle internetaankopen afrekenen met een nieuw ‘pasjeskastje’, omdat de Europese bankentoezichthouder dat veiliger vindt, las ik in de Financiële Telegraaf. De Europese Bank Autoriteit (EBA) heeft nieuwe regels opgesteld voor veilige financiële transacties, en daaruit volgt dat alle transacties boven de 10 euro vanaf eind volgend jaar met een identificatie-apparaatje goedgekeurd… Lees verder

Niet kunnen betalen wegens iDeal-storing is het probleem van de winkelier

| AE 7993 | Ondernemingsvrijheid | 13 reacties

Stel je koopt online een ticket voor een festival dat morgen begint, en iDeal heeft een storing. Wat moet je dan als consument? Nou, niet naar de andere kant van Nederland reizen om contant te betalen. Dat maak ik op uit een recent vonnis van de rechtbank Utrecht. En de ticketverkoper kan ook niet eisen… Lees verder

Hoe bewijs ik dat mijn grootouders niet online gokken?

| AE 6731 | Security | 85 reacties

Een lezer vroeg me: Bij mijn grootouders is ongeveer 5.000 euro van de bankrekening gehaald. Dit is gebeurd via internetbankieren, er zijn credits bij een online casino gekocht via iDeal. Nu zegt de bank dat de transacties zijn gemaakt vanaf hetzelfde IP-adres als altijd. Zij schuiven de schuld dus terug, en mijn grootouders moeten nu… Lees verder

Rechtbank: Bitcoin is geen geld maar slechts ruilmiddel

| AE 6647 | Innovatie | 58 reacties

Bitcoins zijn in Nederland geen geld. En als je bitcoins koopt maar niet geleverd krijgt, kun je de wisselkoerswaarde niet als schade claimen. Dat bepaalde de rechtbank Overijssel vorige week in bij mijn weten de eerste rechtszaak ooit over de cryptovaluta. Uit het vonnis blijkt dat de partijen op 8 augustus 2012 hadden afgesproken dat… Lees verder

Mogen kinderen betalen in sociale games?

| AE 2708 | Informatiemaatschappij | 44 reacties

Via internetspellen als Farmville en Happy Harvest betalen kinderen soms tientallen euro’s voor zaken als het onderhouden van een digitaal tuintje, las ik bij Adformatie. Hoogleraar Jeugd en Media Patti Valkenburg wil paal en perk stellen aan deze praktijk, onder meer door een vernieuwde Kinder- en Jeugdreclamecode. Deze code bevat -voor zover ik kan zien-… Lees verder

Nee, als webwinkel mag je géén vooruitbetaling eisen

| AE 2696 | Ondernemingsvrijheid | 61 reacties

Bij consumentenzaken is het zoeken naar jurisprudentie, want wie gaat er nou procederen over een relatief laag bedrag? Maar dankzij een zekere online fietsenwinkel die het wel vaker op procedures aan laat komen, hebben we er weer eentje bij: een winkel mag niet eisen dat de consument 100% vooruitbetaalt wanneer deze iets wil laten bezorgen…. Lees verder