“Overheid schaadt burgers met principieel ‘nee’ tegen digitale afpersing”

Tumisu / Pixabay

Ransomware, kwaadaardig software waarmee criminelen digitale gegevens gijzelen, is een explosief probleem. Uit principe weigert de overheid afpersers losgeld te betalen. Zo opende een recent Follow The Money-artikel over het lastige dilemma voor slachtoffers van ransomware: als je niet betaalt, worden gestolen gegevens op straat gegooid. Dat kan anderen duperen, denk aan zorgdossiers van patiënten of financiële gegevens van je klanten. Moet je dan maar betalen? Of is dat zelfs verplicht vanuit de AVG?

Het idee achter ransomware was ooit vrij simpel: betaal en je krijgt de sleutel voor je gegevens terug. Dat werkte prima voor consumenten, maar er blijken profijtelijker doelwitten te zijn: bedrijven, grote instellingen en gemeenten. Daar kun je meer halen door niet alleen te dreigen met “anders zijn al je gegevens weg” (want men heeft vast wel iets van backups) maar ook te dreigen met “anders publiceren we je gegevens”. En dat hakt erin: bedrijfsgeheimen op straat, maar ook gevoelige informatie of gegevens waarmee men mensen kan hacken. Dat zet even wat extra druk om te betalen.

Het FTM artikel documenteert het overheidsbeleid: niet betalen, we onderhandelen niet met criminelen. Maar daar is genoeg kritiek op uit te oefenen, getuige twee geciteerde deskundigen:

[Rickey Gevers] De overheid heeft in dit soort gevallen een zorgplicht. Ze moet er gewoon alles aan doen om te voorkomen dat informatie van burgers openbaar wordt.

[Floor Terra] niet betalen ‘een mooi ideaal’. ‘Maar op de lange termijn schrikt die strategie alleen criminelen af als ieder onderdeel van de overheid zich daaraan consequent houdt.

Het is voor mij een heel lastig ethisch dilemma. Vooral omdat voor mij voorop staat dat je slachtoffers van een datalek niet gaat verwijten dat het hun schuld is, en dat ze dan maar moeten betalen. Vaak zit daar de ondertoon in van victim blaming, ja natuurlijk doen die criminelen het maar ja jij deed ook wat fout he. Daar is natuurlijk niemand mee geholpen.

Een zwaarwegend argument is voor mij dat je die criminelen niet kunt vertrouwen, ook niet als je betaalt. Want dan komen ze zes maanden later nog een keer, of je opnieuw wilt betalen anders publiceren ze alsnog. En dan lees ik in het artikel “Als data later uitlekt, of als ze zich niet aan de afspraken houden, betaalt niemand ze meer.” Maar dat geloof ik niet. Er is een sterke druk om te betalen, en maar weinig mensen kunnen écht nagaan hoe betrouwbaar ransomware-groepen nu zijn. Dan kun je geen goede beslissing maken, en “op deze site lazen wij dat deze groep onbetrouwbaar is” is dan niet heel sterk.

Ook wordt wel gesteld dat uit de AVG volgt dat je moet betalen om een datalek te voorkomen. Dit omdat je een beveiligingsplicht hebt, en als betalen van criminelen het datalek tegengaat dan is dat maar de “beveiligingsmaatregel” die je moet nemen. Ik vind dat te makkelijk, en vooral: dit is heel erg victim blaming, mensen vertellen dat ze verplicht zijn te doen wat een dader tegen ze zegt. Dat kan echt niet.

Ondertussen ligt er natuurlijk wel gevoelige informatie van je bedrijf of persoonlijke informatie van je klanten, cliënten of burgers op straat. Dat is buitengewoon ernstig, en dáár moet wat aan gedaan worden. Maar dat kan denk ik alleen de overheid: investeren in fundamenteel aanpakken van ransomware, maar ook het opbouwen van beveiligingsexpertise, het opstellen van kwaliteitseisen, randvoorwaarden voor verzekeraars (alleen cyberverzekering indien bedrijf XYZ gecertificeerd), zulke dingen. Ik denk dat het productiever is daar over na te denken dan mensen te verwijten dat ze niet betalen.

Arnoud

 

Kan de AP wat doen tegen een bioscoop die geen contant geld wil?

Een lezer vroeg me:

Ik las dat er een rechtszaak speelt van privacy-activist Michiel Jonker tegen de weigering van de Autoriteit Persoonsgegevens (AP) om handhavend op te treden tegen de weigering van arthouse-bioscoop Focus Filmtheater in Arnhem om contante betaling te accepteren. Hoe kansrijk acht jij deze zaak?
Er spelen hier twee dingen. Allereerst gaat het hier om een zaak tegen de Autoriteit Persoonsgegevens, die dit niet belangrijk genoeg vindt (of niet genoeg redenen ziet) om handhavend tegen op te treden. En ten tweede is het zeer de vraag of die weigering inderdaad in strijd met de AVG is.

Deze rechtszaak gaat dus niet direct om de vraag “mag een bioscoop contant geld weigeren vanwege de AVG”. Die vraag is aan de AP voorgelegd: wilt u de AVG handhaven tegen een bioscoop die dit doet. De AP wilde dat niet, en dan kun je de rechter vragen te verklaren dat de AP dat wel moet doen. (Een beetje zoals je het OM iemand kunt laten vervolgen via de artikel 12-route bij het Gerechtshof Arnhem.)

De rechter beantwoordt dan niet de juridische vraag, maar kijkt of het AP met een goede analyse tot haar besluit (om er niets aan te doen) is gekomen. Dat kan zijn omdat de AP een goed antwoord op de vraag heeft, maar ook omdat ze bijvoorbeeld een goede motivatie hebben gegeven waarom dit geen prioriteit moet krijgen. En in dat geval kom je niet eens meer toe aan de juridische vraag. Een bestuursorgaan als de AP heeft veel ruimte om daarin zelf te beslissen, dus de kans is gewoonlijk groot dat de rechter de AP gelijk geeft in haar weigering tot handhaven.

Uit het nieuwsbericht haal ik dat de AP hier echter inhoudelijke redenen heeft aangevoerd:

Volgens de AP is niemand verplicht om contant geld als wettig betaalmiddel te accepteren. Tevens stelt de toezichthouder dat de bioscoop via haar algemene voorwaarden een “contract” met de bioscoopbezoekers tot stand brengt, waaruit een noodzaak zou voortvloeien om persoonsgegevens van de bioscoopbezoekers te verwerken.
Hier zitten twee juridische argumenten in. Allereerst dus het punt dat er geen wettelijke plicht is om wettige betaalmiddelen te aanvaarden. Dat klopt. De wet zegt alleen dat wie een geldschuld hééft bij iemand, deze heeft voldaan door met een wettig betaalmiddel het bedrag te voldoen.

Achteraf pas zeggen “ik wil die lening giraal terug” is niet mogelijk (voorbeeld). Maar zeg je het bij het aangaan van de afspraak (juridisch: je neemt een betalingsvoorwaarde op in je aanbod) dan is dat prima. Dit is bijvoorbeeld waarom je bij sommige winkels zo’n sticker “Hier alleen pinnen” ziet: dat is een algemene voorwaarde, een betalingsvoorwaarde die voor het sluiten van de koop wordt getoond. Dat is dus bindend. Als je het vooraf zegt, mag je wettige betaalmiddelen geheel weigeren.

Het tweede punt is of je door contant geld te weigeren en pinbetaling te eisen, de AVG overtreedt. Het argument is dan dat je die pinbetaling vraagt om de overeenkomst uit te voeren (art. 6 lid 1 sub b AVG), maar dat de daarmee verwerkte persoonsgegevens boventallig oftewel niet noodzakelijk zijn om die overeenkomst uit te voeren. Er is immers een alternatief, namelijk contant betalen, dat net zo goed mogelijk is. (Het bewijs: je kon al die jaren aan de kassa contant betalen.)

Ik noem dit wel de innovatieparadox: er is nooit een noodzaak om iets nieuws te doen, want het bestaande werkt prima en heeft eigenlijk altijd minder persoonsgegevens nodig. Dat kan in het algemeen niet waar zijn. Je moet dus kijken naar specifiek de situatie rond pinbetaling: waarom wil een bioscoop met alleen pinbetaling werken, en wat doen ze met de gegevens?

Als de reden bijvoorbeeld is (zoals deze bioscoop aangeeft) de zorg om berovingen, en de pingegevens worden direct na de transactie weggegooid, dan zou ik het wel redelijk vinden. Men biedt ook een alternatief, namelijk de bioscoopbon. Ik moet zeggen dat ik dan alleen nog héél algemene tegenargumenten kan bedenken (“het gaat om het principe”) en dat vind ik in concrete situaties nooit erg sterk. Ik denk dus dat ook inhoudelijk de bioscoop erg sterk staat en de zaak dus weinig kansrijk is.

Arnoud

Banken en verzekeraars mogen niet zomaar meewerken aan ransomware-betalingen

De VS waarschuwen banken en verzekeraars dat ze mogelijk de wet overtreden wanneer ze ransomware-losgeld betalen aan criminelen, las ik bij Trouw onlangs. Allereerst omdat je dan met verdachte transacties te maken hebt (je gaat ineens in bitcoin betalen) en ten tweede omdat je nog wel eens aan partijen in sanctielanden (zoals Noord-Korea, Wannacry) blijkt te betalen, en dat is keihard verboden. Ook in Nederland moeten financiële instellingen betalingen melden die met ransomware te maken hebben. Dat kan nog wel eens knap ingewikkeld worden.

Een tijd geleden schreef ik over wat een instantie moet doen die zijn data of systemen gegijzeld ziet. Als betalen werkelijk de beste optie is (er is geen goede backup, er is urgentie, etc) dan zullen mensen daar toch snel toe geneigd zijn. En ik moet zeggen, ik begrijp dat wel als je slachtoffer bent. Ook al is het zakelijk, het doet echt pijn zo’n datagijzeling.

Daar staat natuurlijk tegenover dat je een crimineel businessmodel in stand houdt, wat maatschappelijk niet wenselijk is. Maar er is geen algemene regel dat je geen losgeld mag betalen, of niet het verdienmodel van criminelen in stand mag houden. Ik zie het echt als een stukje nood, als je dat zelf doet. Doe je het als professioneel ingeschakelde hulppersoon, zoals een cybersecuritybedrijf of verzekeraar, dan wordt dat anders. Dan is het echt een zakelijke keuze dat je criminelen wilt belonen in plaats van strafbare feiten op wilt (laten) sporen, en dan wordt het een heel ander verhaal voor mij.

In Trouw lees ik dat verzekeraars niet direct aan gijzelnemers betalen. Hooguit wordt soms een slachtoffer schadeloos gesteld dat zelf koos voor betaling. Ik denk dat dat nog net door de beugel kan, aangenomen dat er natuurlijk niet aangespoord is om “gewoon te betalen en dan krijg je het van ons vergoed”.

Arnoud

Is achterafbetalen een wettelijk beveiligingsgat?

Criminelen verkopen duizenden gehackte Nederlandse accounts voor webwinkels, las ik bij Tweakers. Onderzoek van RTL Nieuws had onthuld dat logins voor accounts bij webshops eenvoudig te krijgen zijn in het criminele circuit, zodat je eenvoudig een bestelling kunt plaatsen bij een nieuw adres en daar op achterafbetaling laat leveren. Tegen de tijd dat de accounthouder het doorheeft, ben jij allang weg met het pakket. Volgens de politie zijn er jaarlijks ‘honderden slachtoffers’ van deze vorm van fraude. Wat in de comments de vraag opriep: waarom bieden winkels dan nog achterafbetalen aan?

Nou ja, omdat dat moet van de wet natuurlijk. Artikel 7:26 lid 2 BW bepaalt dat een consumentkoper tot hooguit 50% vooruitbetaling kan worden gedwongen, en internetaankopen tellen nu eenmaal als vooruitbetaling omdat de levering altijd later gebeurt. Je kunt mensen niet zomaar afstand laten doen van dit recht, in ieder geval niet in je algemene voorwaarden of iets dergelijks generieks.

Het probleem is natuurlijk dat deze wijze van afrekenen specifiek in de internetcontext fraudegevoelig is. Stuur het pakket naar adres A, en de factuur later naar B. Tegen de tijd dat B aangesproken wordt op wanbetaling, is het pakket al lang weg bij A. En die heeft dan weer geen idee wie het heeft opgehaald.

Natuurlijk kun je als winkel je hiertegen proberen te wapenen, bijvoorbeeld door geen bestelling van nieuwe klanten te accepteren op achterafbetaling als er een ander afleveradres wordt opgegeven. Maar daarom zijn zulke accounts waardevol: die hebben een koopgeschiedenis en zijn daardoor vertrouwd, dus als daar een keer een ander adres komt, dan is dat prima. En dan gaat het dus mis.

Achteraf betalen is dus een wettelijk recht, maar specifiek bij accounts is er denk ik wel een truc: laat mensen in hun accountinstellingen bepalen dat zij afstand doen van deze optie. Dat mag van de wet (art. 7:6 BW, dit is geen algemene voorwaarde), en zo voorkom je dat je account wordt misbruikt met deze manier. Natuurlijk kan de dief de optie weer aanzetten, maar als je het combineert met “eerst een bestelling naar je huidige adres” dan is de impact te overzien.

Wie weet een betere?

Arnoud

Telt inroepen van PayPal aankoopbescherming als annulering?

Een lezer vroeg me:

Bij een webwinkel had ik wat besteld, en betaald met Paypal. Het object kreeg ik echter maar niet, dus ik heb via PayPal de Aankoopbescherming ingeroepen. De verkoper reageerde echter niet, waardoor ik mijn geld terugkreeg van Paypal. Maar nu eist de verkoper via een incassobureau betaling, en zeggen ze dat ik alleen maar een stornering heb gedaan maar dat de overeenkomst nog steeds staat! Hoe zit dat nu?

De Aankoopbescherming van Paypal is een dienst van het betaalbedrijf waarbij je een geschil wegens geen of afwijkende levering kunt aankaarten. Je hebt 180 dagen vanaf de betaaldatum om dat te doen, en Paypal laat de verkoper dan reageren. Komen partijen er zo niet uit, dan kan het geschil omgezet worden naar een claim, wat inhoudelijk vooral betekent dat PayPal zich er dan inhoudelijk mee gaat bemoeien.

Dat bemoeien betekent in feite dat ze dan inhoudelijk beslissen en wel bindend:

Wanneer een geschil in een claim is omgezet, zal PayPal een uiteindelijke beslissing nemen in het voordeel van de koper of van de verkoper. … PayPal behoudt zich het recht voor naar eigen inzicht een beslissing te nemen in het voordeel van koper of verkoper, op basis van criteria die PayPal passend voorkomen. Wanneer PayPal een eindbeslissing neemt in het voordeel van koper of verkoper, dienen beide partijen zich naar deze beslissing te schikken.

Die laatste zin met name lees ik als een bindend besluit, zeg maar net zoals de Rijdende Rechter adviezen geeft waar je je bij neer te leggen hebt. De winkel kan dan dus niet meer alsnog betaling vorderen. Het is dus wezenlijk anders dan enkel je betaling ongedaan maken, zoals bij veel creditcards mogelijk is. Enkel storneren is nog geen annuleren (ontbinden).

Juridisch is het mogelijk om af te spreken dat een derde een geschil gaat oplossen en dat je hangt aan zijn of haar beslissing. Art. 7:900 BW en verder werken deze zogeheten vaststellingsovereenkomst uit. Het is dus toegestaan om dit in algemene voorwaarden af te spreken. Als consument kun je daar onderuit – zo’n algemene voorwaarde staat op de zwarte lijst, tenzij de consument de mogelijkheid krijgt om alsnog naar de gewone rechter te stappen. Maar als bedrijf hang je als dat in de voorwaarden staat.

Het verbaast me wel dat een winkel niet zou merken dat PayPal een geschil had voorgelegd. Heeft iemand als winkelier daar ervaring mee? Krijg j dat te horen of moet je zelf kijken of er nieuwe geschillen zijn?

Arnoud

Hoezo mag internetshoppen vanaf 2018 alleen nog met een apart betaalkastje?

webshop-closed-gesloten-geschlossen.pngVanaf 2018 moeten we alle internetaankopen afrekenen met een nieuw ‘pasjeskastje’, omdat de Europese bankentoezichthouder dat veiliger vindt, las ik in de Financiële Telegraaf. De Europese Bank Autoriteit (EBA) heeft nieuwe regels opgesteld voor veilige financiële transacties, en daaruit volgt dat alle transacties boven de 10 euro vanaf eind volgend jaar met een identificatie-apparaatje goedgekeurd moeten worden. Wacht even, wie is de EBA en hoezo bepalen zij dat?

De Europese Bankenautoriteit (EBA) is belast met het toezicht op de banken in de Europese Unie. Zij is een van de financiële toezichthouders die in 2010 zijn ingesteld naar aanleiding van de economische crisis en de grote begrotingstekorten van een aantal EU-lidstaten.

Eén van de taken van de EBA is invullen van de technische normen uit de Payment Service Richtlijn 2, de voorgestelde Europese regels over financiële transacties en bankieren die als opvolger dient van de wetgeving uit 2007. Deze werd in januari aangenomen en zal vanaf 13 januari 2018 van toepassing zijn.

Recent publiceerde de EBA haar consultation paper over dit onderwerp. Hierin suggereert ze allerlei technische en organisatorische maatregelen om betalen en bankieren veiliger te maken. Het belangrijkste voorstel is om een sterke klantauthenticatie in te voeren met eenmalige codes per transactie, die ook nog eens transactieafhankelijk zijn.

Die sterke authenticatie moet een tweefactorauthenticatie zijn, aldus de consultatie: iets dat je weet (zoals een pincode), en/of iets dat je hebt (zoals een kastje), en/of iets dat je bent (bijvoorbeeld een biometrisch kenmerk). Alleen als twee van die dingen ingevoerd worden, mag de transactie worden uitgevoerd. Op zich is tweefactorauthenticatie verstandig, dus niet gek dat dat hier opduikt.

Wel is het natuurlijk een tikje omslachtig, zeker bij kleine transacties. Vandaar dat men voorstelt een uitzondering in te voeren voor transacties op afstand met een waarde van minder dan 10 euro.

Ik haal echter nergens uit dat er een apart kastje móet komen (maar vind het dan weer wel knap hoe de Telegraaf dat ding dan pasjeskastje noemt en je meteen weet wat ze bedoelen.) De paper signaleert dat er een risico is met tweefactorauthenticatie op bijvoorbeeld een smartphone. Als iemand dat apparaat weet te kraken, dan wordt het mogelijk om een valse transactie uit te voeren. Je onderschept de watjeweet-factor door een neptoetsenbord en je vangt de input van de vingerafdrukscanner op, en hopla.

Een apart kastje voorkomt zulke aanvallen, dus logisch dat dat een oplossing kan zijn. Maar het móet niet:

Where any of the elements of strong customer authentication or the authentication code, is used through a multi-purpose device including, but not limited to, mobiles phones and tablets, the authentication procedure shall provide measures to mitigate the risk of the multi-purpose device being compromised.

Voorbeelden van zulke maatregelen zijn gescheiden trusted execution environments, zodat een hack of malware niet meteen het hele apparaat overneemt.

Dus nee, ik zie nadrukkelijk nergens staan dat er een kastje moet komen. Sterker nog, ik zie nergens überhaupt een aanbeveling voor een apart kastje. Dus tenzij ik iets mis, is dat bericht juridisch onjuist.

Arnoud

Niet kunnen betalen wegens iDeal-storing is het probleem van de winkelier

storingStel je koopt online een ticket voor een festival dat morgen begint, en iDeal heeft een storing. Wat moet je dan als consument? Nou, niet naar de andere kant van Nederland reizen om contant te betalen. Dat maak ik op uit een recent vonnis van de rechtbank Utrecht. En de ticketverkoper kan ook niet eisen dat je alsnog komt betalen.

Een man wilde graag naar het Lief Festival, dat de volgende dag, 1 september 2012, vanaf 12.00 uur plaats zou vinden. Om 19.11 had hij de bestelling er door, er moest alleen nog worden betaald en hij had iDeal gekozen want dan reken je direct af. Helaas lukte het tot vier keer toe niet om de transactie met succes af te ronden (“Een iDEAL-transactie is nog in behandeling, wacht op de automatische statusupdate”). Vervolgens een mail naar de helpdesk, maar geen directe reactie.

(Waarom niet een uurtje wachten, dan annuleren en opnieuw betalen? Nou, omdat volgens de voorwaarden er dan 75% annuleringskosten verschuldigd zouden zijn.)

Enige tijd later kreeg de man een sommatie: de prijs van die tickets was nog niet betaald, en het doet er niet toe dat het festival al geweest was. Volgens de voorwaarden moet er gewoon betaald worden als er niet volgens de voorwaarden is geannuleerd. Bovendien was bij het bedrijf niet bekend dat er een iDealstoring was, dus de betalingsmoeilijkheid was het probleem van de consument.

Ja, je voelt op je klompen aan dat dit een tikje schuurt, maar onderbouw het maar eens juridisch.

De rechter begint met vaststellen dat het op zich terecht is de tickets pas te leveren als er betaald is. Echter, dan moet je als bedrijf wel je betaalmethodes op orde hebben. Zeker als je zelf in de communicatie verwijst naar betalen met iDeal (“Zodra het volledige bedrag d.m.v. IDEAL”). Dan is het jouw probleem als dat betaalmiddel niet werkt.

Ook het geopperde idee “u had moeten bellen of langs moeten komen om te betalen” (vrijdagavond om 19:23 dus even naar Zaandam rijden) wordt snel afgeserveerd:

De stelling van T4U dat [gedaagde] telefonisch contact met haar had kunnen en moeten opnemen en/of had kunnen en moeten verschijnen aan haar kantooradres, maakt het voorgaande ook niet anders, al was het maar omdat [gedaagde] heeft aangevoerd dat hij wel geprobeerd heeft contact op te nemen, maar dat hij T4U niet kon bereiken en T4U daarop wel in het algemeen heeft gesteld dat zij altijd telefonisch bereikbaar is, maar niet heeft onderbouwd dat dit in dit specifieke geval ook zo was.

“Maakt dat niet anders” is rechtersjargon voor “dat hoef ik niet uit te leggen”. Alles bij elkaar zijn we dus snel klaar hiermee: als jij zegt dat mensen via IDeal moeten betalen, en dat lukt niet, dan heb je pech en kun je niet de ticketprijs alsnog opeisen.

Het vonnis eindigt met een typische kronkel die voor veel frustratie bij zzp’ers zorgt: de voor deze zaak gemaakte uren zijn geen schade, zodat meneer geen geld krijgt ondanks dat hij wint. Hij had weliswaar €100 per uur kunnen verdienen door die tijd voor klanten in te zetten, echter:

Zonder nadere toelichting, die ontbreekt, valt immers niet in te zien dat [gedaagde] de gestelde gemiste uren niet op een ander moment alsnog ten behoeve van zijn onderneming heeft benut, althans heeft kunnen benutten.

Meneer wint dus maar krijgt nul euro. En hij kon ook niet naar het Lief festival.

Arnoud

Hoe bewijs ik dat mijn grootouders niet online gokken?

bank-inloggen.pngEen lezer vroeg me:

Bij mijn grootouders is ongeveer 5.000 euro van de bankrekening gehaald. Dit is gebeurd via internetbankieren, er zijn credits bij een online casino gekocht via iDeal. Nu zegt de bank dat de transacties zijn gemaakt vanaf hetzelfde IP-adres als altijd. Zij schuiven de schuld dus terug, en mijn grootouders moeten nu bewijzen dat zij niet gokverslaafd zijn. Is dat niet de omgekeerde wereld?

Het is theoretisch mogelijk maar zeer onwaarschijnlijk dat een derde het IP-adres van dit huis heeft misbruikt. Het kan natuurlijk dat het betreffende draadloze thuisnetwerk niet goed genoeg beveiligd is, maar dat zou alleen verklaren hoe iemand het internet op kon via dat netwerk (en dus met dat IP-adres).

Voor internetbankieren is meer nodig: je hebt bij zo ongeveer alle banken een of ander apparaatje nodig (zie plaatje, de e.dentifier van de ABN Amro) dat werkt met je pinpas. Zonder pinpas zal inloggen op de banksite eenvoudig niet gaan. Kapen van zo’n beveiligde internetverbinding kán natuurlijk maar ik zou dat wel erg knap vinden.

Als het om een aankoop via creditcard is gedaan, dan zou ik wellicht nog denken aan misbruik van gestolen gegevens bij een andere site (zoals een webwinkel). Of Paypal: iemand kan het wachtwoord geraden hebben. Maar het bevreemdt wel dat dan óók het IP-adres van het slachtoffer is misbruikt. Waarom zou een creditcarddief die moeite nemen?

De grote vraag, hoe vervelend ook, is dus of het écht niet mogelijk is dat iemand in het huis dit gedaan heeft. Een huisgenoot, een schoonmaakster, een familielid dat op visite was. Want gezien deze feiten zie ik niet echt een cyber-/hack-verklaring als meest voor de hand liggend.

Hebben jullie nog tips?

Arnoud

Rechtbank: Bitcoin is geen geld maar slechts ruilmiddel

bitcoin-cc-by-sa-flickr-zach-copleyBitcoins zijn in Nederland geen geld. En als je bitcoins koopt maar niet geleverd krijgt, kun je de wisselkoerswaarde niet als schade claimen. Dat bepaalde de rechtbank Overijssel vorige week in bij mijn weten de eerste rechtszaak ooit over de cryptovaluta.

Uit het vonnis blijkt dat de partijen op 8 augustus 2012 hadden afgesproken dat er 2.750 bitcoins zouden worden verkocht tegen een prijs van € 8,05 per bitcoin. Totaal dus € 22.137,50. Maar nadat er was betaald, kreeg de koper slechts 990 bitcoins – waarom blijft enigszins onduidelijk uit het vonnis.

De bitcoinkoper eiste vervolgens schadevergoeding op grond van het feit dat hij door de koersstijging in bitcoins sindsdien een fors bedrag was misgelopen. Dat is op zich een valide claim: art. 6:125 BW bepaalt dat je recht hebt op schade als gevolg van wisselkoerswijzigingen bij een geldtransactie. In dit geval dus een forse schadeclaim omdat de bitcoins behoorlijk in koers gestegen waren sinds de transactiedatum.

Het vereist alleen wel dat bitcoins ‘geld’ zijn. Als je te laat geleverde bananen intussen in prijs zijn gedaald, dan kun je dat niet verhalen met dit wetsartikel. Dus: zijn bitcoins ‘geld’?

Bitcoin is geen wettig betaalmiddel in Nederland, maar de rechtbank prikt meteen even de juridische mythe door dat alleen “wettige betaalmiddelen” geld kunnen zijn zijn. De wet (art. 6:112 BW) spreekt van “gangbaar geld” en daaronder valt meer dan alleen door de Nederlandse Staat uitgegeven geldsoorten. Ook lokale munten die gedoogd worden door de staat, zoals de bekende LETS en noppes, kunnen hieronder vallen.

Ook elektronisch geld is het niet. Hoewel geld zeker elektronisch kan bestaan, is een bitcoinwallet niet hetzelfde als traditioneel elektronisch geld. Dat staat op een bankrekening bij een derde partij, terwijl je bij bitcoin zélf voor je wallet verantwoordelijk bent. En dat maakt juridisch een wereld van verschil.

In 2013 is enige discussie geweest over de status van bitcoin. De minister heeft daarbij de virtuele munt expliciet als niet-geld aangemerkt: het is een ruilhulpmiddel, meer niet. En die opvatting neemt de rechtbank over: bitcoin is geen geld, en bitcoins te laat leveren geeft dus geen wisselkoers-schade.

Gederfde winst dan misschien? Dat is óók een vorm van schade immers. Om die schade vergoed te krijgen, moet dan vast komen te staan dat deze veroorzaakt is door de te late levering. En daar kijk ik even gek op van de rechtbank: men kijkt alleen naar de schade tot het moment van ontbinding (juridisch voor “laat maar, we draaien de boel terug”). De gemiste winst na die datum is geen schade meer. Huh?

Wel moet de verkoper natuurlijk de € 14.168 terugbetalen die hij had gekregen voor de niet-geleverde bitcoins. Ook moet hij wettelijke rente betalen over die aankoopsom.

Een tikje onbevredigende uitkomst van dit geval, maar heel erg verbaasd ben ik niet dat de rechtbank bitcoins geen geld noemt. Jullie wel?

Arnoud

Mogen kinderen betalen in sociale games?

farmville-credits.pngVia internetspellen als Farmville en Happy Harvest betalen kinderen soms tientallen euro’s voor zaken als het onderhouden van een digitaal tuintje, las ik bij Adformatie. Hoogleraar Jeugd en Media Patti Valkenburg wil paal en perk stellen aan deze praktijk, onder meer door een vernieuwde Kinder- en Jeugdreclamecode. Deze code bevat -voor zover ik kan zien- geen enkel artikel dat ziet over in-game purchases.

Zou zo’n artikel er moeten komen? Ik denk het wel, hoewel ik niet verder kom dan “dit moet gewoon niet mogen” en dat zal op iets te veel weerstand stuiten bij de gemiddelde socialemediaspelletjesaanbieder.

De huidige juridische grens biedt niet echt soelaas. In mei blogde ik over ongewenst gekochte Facebookcredits door het kind en of de ouders deze aankoop ongedaan kunnen maken.

Minderjarigen mogen dingen kopen die “gebruikelijk” zijn voor hun leeftijd. Een snoepje bij de Jamin is voor een negenjarige gebruikelijk, een nieuwe fiets niet. Voor een 15-jarige is een fiets of dure broek denk ik weer wel gebruikelijk, er zijn er genoeg die dat doen immers. Als de aankoop niet gebruikelijk is, dan kunnen de ouders deze terugdraaien en de winkel moet dat accepteren.

Bij microtransacties zoals veevoer in Farmville ligt het juridisch lastig: je kunt namelijk goed stellen dat elke transactie een aparte aankoop is en dus juridisch een apart contract. En dan kun je het niet terugdraaien: een kind van negen mag best 10 cent uitgeven aan een spelletje. Dat hij dat dan duizend keer doet, tsja dát valt buiten het bereik van dit wetsartikel.

Je kunt natuurlijk verdedigen dat het kind in feite een aankoop van duizend keer 10 cent oftewel 100 euro doet en dát is niet gebruikelijk voor een kind van negen. Maar dan moet je een constructie opvoeren waaruit blijkt dat er één overeenkomst is waarbij die 100 euro in fragmenten van 10 cent wordt besteed. En volgens mij is die er niet. Wel natuurlijk als je een berg credits vooraf koopt, dan is de aanschaf van die credits 100 euro in één keer.

De vervolgvraag is dan of het ‘gebruikelijk’ is dat een kind van negen 100 euro besteedt aan zulke credits. De hoogte van het bedrag is niet doorslaggevend. Als blijkt dat ‘iedereen’ van die leeftijd dit doet, dan is dat al genoeg om het gebruikelijk te noemen. En ik weet niet hoe veel kinderen er op Farmville zitten en credits kopen, maar dat zullen er toch al aardig wat zijn.

Arnoud