Mag mijn werkgever me persoonlijk aansprakelijk stellen (met boete) op AVG-overtredingen?

Een lezer vroeg me:

Mijn werkgever eist dat ik een addendum op mijn arbeidscontract teken waarin opgenomen is dat ik persoonlijk aansprakelijk ben voor datalekken en niet-naleving van de AVG, inclusief een boetebeding voor 5.000 euro per geval. Ben ik verplicht dit te tekenen? Ik vind het wel héél ver gaan en overweeg serieus ontslag te nemen.

Een werkgever kan in principe niet eisen dat je iets ondertekent, tenzij de handtekening uitsluitend dient als bewijs dat je iets gezien hebt. Een akkoord kan in principe niet worden afgedwongen.

Specifiek bij wijzigingen van een arbeidscontract is er iets meer ruimte, grofweg wanneer de werknemer redelijkerwijs niet zou moeten weigeren. Dat zou kunnen spelen bij een functiewijziging, maar bij een beding als dit lijkt me dat niet op te gaan.

Minstens zo belangrijk is dat het juridisch niet mág, een werknemer persoonlijk aansprakelijk stellen voor niet-naleving van de AVG. Fouten in het werk die leiden tot zo’n niet-naleving zijn gewoon wanprestaties bij het werk, en die komen voor rekening van de werkgever (art. 6:170 BW).

Dit tenzij sprake is van opzet en grove nalatigheid, maar de lat daarvoor ligt zo hoog dat je er bij dit soort dingen vrijwel nooit aan komt. Sommige reglementen vermelden dan ook expliciet “iedere overtreding van de AVG wordt aangemerkt als opzet of grove nalatigheid” maar dat haalt niet eens de bulderlachtoets, laat staan de giecheltoets.

Ook een boete mag niet zomaar. Allereerst moet die boete in het arbeidscontract zelf staan (inclusief uitgewerkte regeling wanneer deze in werking treedt). Boetes in een eenzijdig aangekondigd reglement zijn sowieso niet geldig. Hier wordt de boete formeel in het contract zelf gezet, maar deze contractswijziging is geforceerd en dus ook niet rechtsgeldig.

Daarnaast mag een boete nooit hoger zijn dan een halve dag loon (art. 7:650 lid 5 BW). Met deze bedragen gaat het boetebeding dus sowieso van tafel.(Dit was onzin, dat verbod geldt alleen als je minimumloon verdient. Een hoge boete mag dus wel maar mag natuurlijk niet onredelijk hoog zijn, blauwe lijst algemene voorwaarden.)

Beide constructies zijn juridisch dus niet rechtsgeldig. Je hoeft dus niet te tekenen en dat kan juridisch geen gevolgen hebben. Natuurlijk mag de werkgever wel regels stellen over hoe je AVG-proof moet gaan werken, en mag hij je berispen of in extreme gevallen zelfs ontslaan als je die regels overtreedt. Die regels mag hij eenzijdig stellen, je akkoord als werknemer is daarvoor niet nodig. (Specifiek hier is die handtekening “voor gezien” wel nuttig, dan kun je niet ontkennen dat je wist van de regel.)

Een praktisch probleem blijft natuurlijk hoe je dat aan de werkgever overbrengt, zeker in situaties waarin deze zegt dat het wél moet en dat het wel rechtsgeldig is. Je kunt dan proberen het te escaleren via de vakbond of ondernemingsraad, of samen met collega’s bezwaar maken en kijken of dat meer indruk maakt.

Als men blijft vasthouden, dan zijn er twee opties: 1) je tekent niet, en hoopt dat hij je daar niet op afrekent door bv. een promotie te weigeren, 2) je tekent wel, en als het beding dan wordt ingeroepen dan start je een procedure bij de rechtbank om dat ongedaan te maken. Bij die tweede optie zou ik wel eerst de rechtsbijstandsverzekering vragen of ze dit dekken.

Wat zouden jullie doen?

Arnoud

Dutch Filmworks gaat in oktober illegale downloaders opsporen en laten betalen

Filmdistributeur Dutch Filmworks heeft aangekondigd illegale downloaders van films vanaf oktober op te sporen en te laten betalen via een schikkingsvoorstel. Dat meldde Tweakers vorige week. De filmmaatschappij is al eventjes bezig, onder meer begin deze maand met toestemming van de privacytoezichthouder om IP-adressen aan NAW-gegevens te mogen koppelen van mensen die torrenten. Maar ik blijf erbij: dit is bangmakerij en geen effectieve bestrijding.

Zoals ik begin deze maand al zei, in theorie is het vrij simpel om achter illegale downloaders aan te gaan. Wie op Bittorrent up- of downloadt, zal daarbij immers zijn IP-adres onthullen aan de andere ‘peers’ in het netwerk. Wat je dus doet, is je aansluiten op dat netwerk en doen alsof je het bestand ook wilt hebben. De IP-adressen komen dan als vanzelf binnen. Daarmee kun je dan naar de betreffende internetproviders om NAW-gegevens te eisen, waarna je de betreffende persoon sommeert en aanklaagt.

Maar daar gaan we dan. Allereerst, hoe sterk moet je bewijs zijn dat iemand zat te downloaden? Is dan één registratie van één ontvangen blokje van de film genoeg, of moet deze persoon als seed geregistreerd staan en aantoonbaar jou alle blokken hebben gestuurd?

Ten tweede, wat gaan de providers doen? In de pers roepen die allemaal dat ze natuurlijk geen NAW-gegevens gaan geven zonder gerechtelijk bevel. Dat klinkt stoer, maar je loopt dan wel tegen dat vermaledijde Lycos/Pessers arrest aan dat bepaalt dat je bij evidente inbreuk gewoon die gegevens moet verschaffen. Heel veel kans geef ik ze dus niet. Althans, niet tot 25 mei: vanaf dan treedt de Privacyverordening in werking en die eist gewoon wettelijke regelingen voor dit soort zaken. En een HR-arrest is geen wet. En ik ben benieuwd welke politicus zo’n wet durft voor te stellen.

En ten derde, wat ga je eisen bij de rechter? Want leuk allemaal dat ze in Duitsland 800 euro per film vragen (en 600 per aflevering van een serie), maar ik ben er nog steeds niet achter wat voor schadeberekening daar nu echt achter zit. En wat daar verder ook van zij, in Nederland geldt gewoon de regel dat je je wérkelijke schade vergoed moet krijgen, en dat is hier simpelweg de gemiste verkoopprijs van de film of serie. Dus als iemand meer dan 50 euro per download aan schade onderbouwd krijgt, dan koop ik een hoed en eet ik die op.

Natuurlijk, de proceskosten. De leuke stok om mensen mee te slaan: bij auteursrechtinbreuk moet de verliezer de héle advocaatrekening betalen van de eiser. Dus dan wordt procederen om 50 euro ineens weer de moeite waard als je weet dat je wint (en je wint als DFW want downloaden ís inbreuk, zelfs als de schade maar 1 cent is). Maar in maart bepaalde de Raad voor de Rechtspraak in haar nieuwe indicatietarieven voor IE-zaken dat bij “zeer eenvoudige” zaken deze proceskostenveroordeling niet opgaat. Dat is gewoon liquidatietarief, dus een paar honderd euro hooguit.

En dan nog: die kosten zijn pas aan de orde wanneer het tot een procedure komt. Wie in reactie op een sommatiebrief de aankoopprijs van de DVD overmaakt, heeft volgens mij zonder enige twijfel de schade (meer dan) vergoed die DFW zou hebben geleden.

Dus alles bij elkaar snap ik niet goed wat nu de gedachte achter deze strategie is. Bangmakerij, verder kom ik niet. Want dit gaat rondzingen, DFW gaat boetes opleggen als je iets downloadt, en de taal in die brieven zal natuurlijk ontworpen zijn om je te doen vrezen voor duizenden euro’s aan kosten per klik. En nee, je rechtsbijstandsverzekering dekt het niet (IE-geschillen zijn altijd uitgesloten in consumentenrechtsbijstandsverzekeringen). Ik zou bijna DFW-content gaan downloaden om het op een proefproces aan te laten komen.

Arnoud

Kabinet heeft geen interesse in Nederlandse boetewet sociale media

Het kabinet ziet niks in een nieuwe wet die sociale media beboet bij verspreiding van haatzaaiende berichten, meldde Nu.nl onlangs. Een recent aangenomen Duitse wet zet boetes tot 50 miljoen euro op het doen verspreiden van haatzaaiende, smadelijke of anderszins onrechtmatige inhoud, voor beheerders van social media platforms. Volgens de Nederlandse ministers zou dat weinig toevoegen, en bovendien botsen met de vrijheid van meningsuiting.

Duitsland loopt voorop in het bestrijden van online haatzaaien, discriminatie en dergelijke. Zij zien sociale media als een belangrijke bron van dergelijke informatie, en willen dan ook dat de beheerders daarvan hun verantwoordelijkheid nemen en proactief ingrijpen op dergelijke berichten. In het verleden is veel gesproken over samenwerking, convenanten en dergelijke maar dat mocht niet baten. Vandaar de recente Netzwerkdurchsetzungsgesetz, die verwijdering binnen 24 uur na notificatie vereist op straffe van megaboetes.

Wel moet het evident strafbaar zijn, dus bij twijfel geen boete. En de wet is beperkt tot platforms met meer dan 2 miljoen gebruikers, en geldt niet voor platforms met een wetenschappelijke of journalistieke functie.

Nederland ziet weinig in de wet, en noemt het vooral symbolisch. Uiteindelijk moet iedere klacht toch getoetst bij de rechter, wanneer zo’n boete zou worden opgelegd. Gezien het grote aantal berichten en klachten dat te verwachten is (want het gaat om klachten van bezoekers, niet officiële sommaties van Justitie) is dat niet erg realistisch.

Belangrijker is ook dat er natuurlijk een chilling effect uit kan gaan van zo’n boete. Als platform zou je dan kunnen besluiten gewoon veel minder toe te laten, om te voorkomen dat je ooit in zo’n boetetraject terecht komt. En dat is dan voor Nederland de reden om dit niet te doen.

Ons huidige systeem lijkt goed te werken. Organisaties als het Meldpunt internetdiscriminatie (MiND) beoordelen berichten naar aanleiding van klachten, en verzoeken dan bij de beheerders om weghalen als zij denken dat het illegaal is. Werkt die niet mee, dan kan de organisatie aangifte doen (dat mag immers iedereen, bij vermoede strafbare feiten). In de afgelopen twee jaar is dat drie maal gebeurd. In één geval heeft het OM deze zaak voor de rechter gebracht. Deze zaak loopt nog.

Het lijkt er op dat de meeste bedrijven een aardig effectieve klachtenprocedure hebben, dus ook vanuit dat perspectief zou het weinig toevoegen om boetes te zetten op het niet hebben van een klachtenregeling of uitvoering daarvan.

Arnoud

EU legt Facebook 110 miljoen euro boete op voor misleiding bij overname WhatsApp

De Europese Commissie heeft Facebook een boete van 110 miljoen euro opgelegd voor het geven van misleidende informatie bij de overname van WhatsApp. Dat las ik bij Tweakers. Bij deze overname had Facebook beloofd geen gegevens van hun sociale netwerk te combineren met de dienst van WhatsApp, maar dat gebeurde twee jaar later toch. Vanwege de omvang van de deal was toestemming van de Europese Commissie nodig, en de boete is vanwege het bewust misleiden van de Commissie bij het verstrekken van de gevraagde informatie om de deal in te kunnen schatten. Maar doet 110 miljoen euro eigenlijk wel genoeg pijn?

Het persbericht van de EC legt uit dat de boete niet opgelegd wordt voor het combineren an sich. Dat is wellicht in strijd met privacywetgeving, maar daar moet een lokale privacy-autoriteit (zoals de Ierse Autoriteit Persoonsgegevens) over beslissen. Het gaat om het feit dat Facebook niet duidelijk heeft aangegeven dat ze dit zou gaan doen; sterker nog, ze hebben expliciet gezegd dat dit technisch helemaal niet kón. En twee jaar later kon het toch, iets dat Facebook gewoon wíst toen ze zei van niet. Dat is dus boetewaardig.

De boete van 110 miljoen euro is ongeveer de helft van wat de Commissie op mocht leggen onder de relevante regelgeving. Facebook had meegewerkt en openheid van zaken verschaft, en dat is een grond voor boeteverlaging. Maar wat dan moeilijk te verkroppen is, is dat het verder geen gevolgen lijkt te hebben. De koppeling wordt niet ineens verboden, en de deal wordt al helemaal niet teruggedraaid.

Today’s decision has no impact on the Commission’s October 2014 decision to authorise the transaction under the EU Merger Regulation. Indeed, the clearance decision was based on a number of elements going beyond automated user matching. The Commission at the time also carried out an ‘even if’ assessment that assumed user matching as a possibility. The Commission therefore considers that, albeit relevant, the incorrect or misleading information provided by Facebook did not have an impact on the outcome of the clearance decision.

Oftewel: de beslissing om de overname toe te staan, was niet afhankelijk van een belofte om de gegevens niet te koppelen. Zelfs als Facebook vooraf had gezegd wél te zullen gaan koppelen, dan nog zou het zijn goedgekeurd. Dan kun je achteraf niet meer zeggen als toezichthouder dat de misleidende informatie nu moet leiden tot ongedaanmaking van de deal. Begrijpelijk maar wel frustrerend.

De voornaamste reden om het zelfs dan toe te staan, was overigens dat er genoeg andere partijen zijn die targeted advertenties kunnen faciliteren en profielen opbouwen. Oftewel, uiteindelijk maakte die koppeling toch niets uit qua hoe hard je privacy wordt geschonden.

Arnoud

Natuurlijk komen er boetes op datalekken aan

Een lezer vroeg me:

Sinds 1 januari vorig jaar hebben we een Wet meldplicht datalekken, maar we zijn nu dus een jaar verder en ik heb nog geen boete gezien. Gaat het met deze wet net als met de cookiewet, veel gebrul maar weinig wol?

Dat verwacht ik niet, hoewel ik toegeef dat het allemaal wel wat sneller had gekund. Het lastige aan dit soort boetes is dat er altijd een heel onderzoekstraject aan vooraf gaat, en gezien de aard van de zaak kost dat altijd flink wat tijd.

We hébben eigenlijk al een datalekboete, zij het formeel onder een andere wet. Op 16 januari 2012 had een hacker ingebroken in een onderdeel van het netwerk van KPN. Daarbij kon toegang worden verkregen tot gegevens van abonnees zoals adres, woonplaats, telefoonnummer en bankrekeningnummer. Onderzoek liet zien dat de hackers (17 jaar oud) gebruik maakten van een bekend beveiligingslek. De software van de getroffen KPN-servers bleek niet tijdig van updates te zijn voorzien, een veel voorkomende fout van ICT-dienstverleners.

Na onderzoek besluit de ACM als telecomtoezichthouder in december 2013 een boete op te leggen aan KPN wegens schending van haar beveiligingsverplichtingen. Uit het onderzoeksrapport blijkt dat het geen geavanceerde hack betrof en dat de geconstateerde technische en organisatorische tekortkomingen van basaal niveau waren. Met andere woorden: een relatief eenvoudige zaak. Maar toch was er bijna twee jaar nodig om het onderzoek af te ronden. En daarna volgde nog een hele serie rechtszaken, met de laatste definitieve uitspraak pas in december 2016.

Het is ergens frustrerend dat het zo lang moet duren, maar ik vrees dat dat niet snel zal veranderen bij deze wet. De reden is volgens mij voornamelijk toch de technische complexiteit van de zaak, plus de wens het besluit zo zorgvuldig mogelijk te nemen zodat het bedrijf niet makkelijk in beroep bij de rechter kan gaan.

Ik zou eerlijk gezegd ook niet weten hoe dat anders zou kunnen. Onder de Privacyverordening wordt het misschien makkelijker: die bepaalt dat de verantwoordelijke de bewijslast draagt dat alles netjes wettelijk geregeld is (artikel 5 lid 2, lees maar na). Daarmee is een omgekeerde bewijslast dus te verdedigen. Oftewel, je had een lek, bewijs maar dat je er niets aan kon doen. Maar ook daar word je niet helemaal gelukkig van denk ik.

Arnoud

Lycamobile krijgt boete van 196.000 euro voor te hoge roamingtarieven

lycamobile-sim-prepaid De Nederlandse mobiele provider Lycamobile krijgt een boete van 196.000 euro voor het berekenen van te hoge roamingtarieven in 2011 en 2012. Dat meldde Tweakers. De boete is hoog: 7 procent van de relevante omzet. Want ja, boetes mogen pijn doen.

Lycamobile heeft in een deel van 2011 en 2012 te hoge roamingkosten in rekening gebracht. Klanten die mobiel belden, gebeld werden of sms’jes verzonden in het buitenland betaalden hierdoor te veel. Ook rondde Lycamobile telefoongesprekken verkeerd af. De ACM kwam in actie na signalen daarover van Consuwijzer – dus hee, het werkt, signalen afgeven.

Het probleem was kort gezegd dat je bij Lycamobile gratis beltegoed kreeg bij elke aanschaf van beltegoed (2 minuten halen, 1 betalen, zoiets). Alleen mocht je dat gratis tegoed niet inzetten voor bellen in het buitenland (roaming), maar je kon achteraf niet zien wat je gratis tegoed was – alleen het totale tegoed was zichtbaar. Lycamobile had vervolgens een praktische oplossing bedacht: het roamingtarief voor sms- en beldiensten werd verhoogd met het kortingspercentage dat in de dan geldende actieperiode van kracht was. Hiermee werd bij de afrekening ook een deel van het gratis beltegoed afgewaardeerd. Desondanks kwam je netto boven de maximumtarieven voor roaming uit, vandaar het onderzoek en de boete. Overigens ook voor per minuut afronden en voor te hoge sms-tarieven voor het buitenland.

Uit de boetepublicatie blijkt dat Lycamobile geen serieus bezwaar tegen de boete heeft gemaakt. In ruil voor medewerking én voor het feit dat ze zelf al had geprobeerd de klanten schadeloos te stellen, kreeg ze strafverlaging: dertig procent minder boete dan normaal zou volgen. Desondanks is 7% van je omzet best een hoog bedrag, zeker als je bedenkt dat de winstmarges in de telecombranche eerder 3-5% zullen zijn.

Ik denk dan wel gelijk, wordt het niet eens tijd voor ook zulke boetes bij de cookiewet? Of zou dat minder pijn doen daar, 7% van je advertentie-gerelateerde omzet?

Arnoud

Wanneer is een cc een overtreding van de privacywet (en dus boetewaardig)?

mail-to-cc-bccEen lezer vroeg me:

Recent kreeg ik een aankondiging van een webwinkel. Ik niet alleen, nog 254 andere mensen ook. Ja, exact 254, want ik kon de mailadressen van iedereen zien in het cc: veld. Is dat nu ook een datalek? Wat voor boete staat erop?

Per 1 januari bevat de Wbp een meldplicht datalekken, maar belangrijker: vanaf dat moment mag de Autoriteit Persoonsgegevens (de new, tough Cbp) boetes opleggen voor overtreding van zo ongeveer elke bepaling uit de privacywet. De voor mij belangrijkste bevoegdheid is die van het schenden van je beveiligingsplicht, kort gevolgd door de verwerking zonder grondslag.

Een verwerking zonder grondslag wil zeggen, je doet iets met persoonsgegevens maar je treedt buiten de gegeven toestemming of je kunt geen rechtvaardiging geven onder je dringend eigen belang of onder een overeenkomst die je hebt. En ja, dat kan al zo simpel zijn als het gebruiken van het cc: veld in plaats van bcc: als je meerdere ongerelateerde mensen wilt mailen.

In oktober publiceerde het Cbp concept-beleidsregels over boetes. Deze zijn nog niet definitief maar ik verwacht niet dat ze héél anders gaan worden. In het kort classificeert men overtredingen in drie categorieën (licht, middel, zwaar). Per categorie is er een basisboete en een bandbreedte, en de boete wordt vastgesteld als de basis plus of min ten hoogste de bandbreedte. De exacte hoogte van de plusmin volgt uit het concrete geval.

Het verwerken van gegevens zonder grondslag of het hergebruiken voor niet toegestane doelen valt in categorieën middel of zwaar, zo blijkt uit het concept. Daarmee ligt de boete in beginsel op zijn minst op € 120.000, de ondergrens van de bandbreedte van categorie twee (middel). De omvang van de inbreuk weegt mee, dus hoe meer adressen hoe duurder het wordt.

Een boete kan echter pas opgelegd worden nadat een aanwijzing over de overtreding niet is opgevolgd, of als blijkt dat sprake is van opzettelijk of grof nalatig handelen. Die gaat nog een lastige worden bij cc-foutjes, omdat dat vrijwel altijd onnadenkend gebeurt. Je wilt bcc, je klikt niet goed en je drukt te snel op verzenden. Dat kan ik geen ‘opzet’ noemen. Van grof nalatig, of beter gezegd ‘het gevolg van ernstig verwijtbare nalatigheid’, is sprake

indien de overtreding het gevolg is van grof, aanzienlijk onzorgvuldig, onachtzaam dan wel onoordeelkundig handelen.

Ik denk dat de term ‘grof’ op al die andere kwalificaties slaat, dus grof onzorgvuldig, grof onachtzaam of grof onoordeelkundig. En dat houdt dan in dat je niet zomaar onachtzaam of onzorgvuldig moet zijn geweest maar best wel heel erg. En dán wordt het spannend, want is dit iets dat iedereen zou moeten weten en niet moeten laten gebeuren, of is dit het soort dikkevingerfout dat iedereen kan overkomen en dus ‘gewoon’ onzorgvuldig is?

Arnoud

Brein wil torrentschikking openbreken vanwege crowdfundingactie

geld-varkentje-betalen.jpgEen lid van Kickass Torrents heeft crowdfundingcampagnes opgezet om uploaders DisasterZany en ipod020 te helpen met het betalen van hun schikkingsbedrag aan Brein, meldde Tweakers gisteren. De twee uploaders schikten eind november met de antipiraterijstichting voor niet nader bekend gemaakte bedragen. Tegen Tweakers zegt Breinbaas Kuik “dit muisje krijgt nog een staartje” nu het erop lijkt dat anderen dan de uploaders de schadevergoeding betalen.

Allereerst: wat Brein claimt, is geen boete. Ik snap dat dat lekker bekt, maar het is fout – het is een civielrechtelijke schadevergoeding, niet meer. Dat maakt uit, want boetes worden opgelegd door overheidsinstanties belast met opsporing en bestrijding van strafbare feiten of bestuursrechtelijk verboden gedragingen.

Ten tweede is het bepaald raar om terug te komen op een schikking vanwege het feit dat anderen met de pet rond gaan om de schadevergoeding bij elkaar te brengen. Als je schikt over geleden schade, dan is het daarmee klaar. Je spreekt af dat de ander inderdaad schade heeft berokkend, je bepaalt hoe hoog die schade is en vervolgens wordt vastgelegd dat hij die zal betalen (en meestal ook zich zal onthouden van toekomstige schade, op straffe van een contractuele boete – ja, dat heet dan weer wel boete). Er is geen enkele rechtsregel dat alleen de schadeveroorzakende persoon die schade mag vergoeden.

Een schikking openbreken omdat dit je niet bevalt, zal niet gaan lukken. Je moet wel een buitengewoon hardvochtige rechter zijn wil je dáár in meegaan.

Ik geloof onmiddellijk dat Brein voor een lager bedrag heeft geschikt dan ze zouden doen bij een multimiljonair-uploader. Het is volstrekt normaal om de hoogte van een schikking af te stemmen op de persoon van de dader. Je schikt immers omdat je allebei je kansen voor een rechtszaak inschat en denkt dat je zo netto beter uitkomt. Om dan als schikking €1750 te pakken omdat je bij een rechtszaak mogelijk lager uitkomt, of de dader in schuldsanering valt waardoor je dus niets krijgt, is een reële commerciële overweging.

Alleen: daar mag je dus achteraf niet meer op terugkomen. De vaststellingsovereenkomst is in de wet geregeld (art. 7:900 en verder BW) als overeenkomst om dingen af te sluiten. Wat je op papier zet, dat is het en niets meer of minder. Openbreken kan eigenlijk niet. De lat ligt érg hoog:

Indien gebondenheid aan een beslissing van een partij of van een derde in verband met inhoud of wijze van totstandkoming daarvan in de gegeven omstandigheden naar maatstaven van redelijkheid en billijkheid onaanvaardbaar zou zijn, is die beslissing vernietigbaar.

En dat is een heel stuk hoger dan “hela, gaan andere mensen een beetje met de pet rond, wat krijgen we nou”. Er is immers niets op tegen om met de pet rond te gaan zodat iemand zijn schadevergoeding kan betalen. Dat daaruit blijkt dat mensen het gedrag van deze uploaders eigenlijk helemaal niet onrechtmatig vinden, is vervelend voor het slachtoffer, maar dat maakt het niet “maatschappelijk onaanvaardbaar”

Ook je beroepen op dwaling of andere juridische noodgrepen zal niet snel lukken. Het kan op zich, maar er moet dan wel sprake zijn van actief zwijgen of verkeerd voorlichten door de wederpartij. Dan moet je eerder denken aan valse opgaven over je financiële status. Claimen armlastig te zijn en achteraf een ton op de bank hebben kan reden zijn (maar niet automatisch) om een lage schikking van tafel te krijgen.

Een na de schikking opgestarte crowdfunding kan echter geen geslaagde grond voor dwaling opleveren. Dwaling kan immers nooit gebaseerd zijn op een “uitsluitend toekomstige gebeurtenis” (art. 6:228 BW). Iets dat je pas achteraf ontdekt, is dus je eigen probleem.

Dus nee, ik zie hem niet. Voor toekomstige schikkingen misschien wel; Brein zal zo minder snel geneigd zijn de volgende keer weer voor een laag bedrag te schikken als de uploader stelt krap bij kas te zitten. Maar het lijkt me uitermate sterk dat als je enkel tegen dát punt bezwaar maakt, Brein bij de rechter succes krijgt met een schadeclaim.

Arnoud

Arnoud

Boete voor DMCA-misbruikende tandarts

dmca-removed.pngEen tandarts die het auteursrecht op reviews opeiste, moet $4.766 aan juridische kosten vergoeden aan de patiënt in kwestie. Dat meldde Ars Technica vorige week. De opeisclausule was in strijd met het New Yorks contractenrecht en leverde een vorm van misbruik van omstandigheden op. De rechtbank besliste dan ook in het voordeel van de patiënt.

Het opeisen van auteursrechten op klantreviews is een zeer creatieve truc om iets te kunnen doen aan negatieve reviews. Onder het Amerikaans recht is er namelijk vrij weinig te doen aan een negatieve review: allereerst is de vrijheid van meningsuiting vrijwel absoluut, en daarnaast is een tussenpersoon zoals een reviewsite never nooit niet aansprakelijk voor wat mensen op de site plaatsen. Klagen over reviews heeft dus geen zin. Echter, heb je het auteursrecht op een tekst of foto, dan kun je vrij eenvoudig eisen dat jouw werk wordt weggehaald.

In Europa is notice/takedown (zoals dit heet) iets breder: je kunt over elke vorm van onrechtmatig handelen klagen en de tussenpersoon moet daar dan wat mee. Dus ook bij smaad, privacyschending en andere zaken. Maar ook daar gaat het een stuk sneller als je over auteursrechten klaagt, want bij de andere zaken heb je altijd een belangenafweging en bij auteursrechten maar zelden.

In deze zaak neemt de Amerikaanse rechter de belangen van de patiënt toch mee. Het opeisen van auteursrechten in algemene voorwaarden (wat eigenlijk niet eens kan) doorbreekt de vrijheid van meningsuiting van de patiënt zonder dat daar een héél goede reden voor is. En die was er hier vrij evident niet.

De tandarts in kwestie is inmiddels voortvluchtig, waardoor het incasseren van de boete waarschijnlijk niet zal gaan lukken.

Arnoud

Acht ton boete voor reclamemails wegens ontoereikende toestemming

daisycon-optin-email-spamDe Autoriteit Consument & Markt (ACM, voorheen OPTA) heeft acht ton boete opgelegd aan affiliatenetwerk Daisycon voor haar betrokkenheid bij het op grote schaal versturen van spamberichten. Het bedrijf had tussen oktober 2009 en juli 2011 enkele miljoenen reclamemails verstuurd op basis van de bekende zin “aanbiedingen van dit bedrijf en (geselecteerde) partners”. En de ACM oordeelt nu volstrekt terecht dat die zin zinloos is: opt-in voor mail moet specifiek en dat vereist zeggen wie de partners zijn. De zogeheten coregistratie is niet rechtsgeldig.

Daisycon is een affiliatenetwerk: men bemiddelt tussen adverteerders en websites. Websites die advertenties laten zien, krijgen een vergoeding als er bezoekers of concrete leads naar de adverteerder worden geleid. Naast websites konden ook reclames per mail worden gedaan. Zo werden per mail nieuwsbrieven als als de Nationale Consumenten Enquête rondgestuurd, met daarin advertenties voor Daisycon’s adverteerders.

De ACM oordeelt nu dat die mails ongevraagde commerciële communicatie zijn, oftewel dus spam, waarvoor geen toestemming is gegeven. En nou ja er stond wel een vakje bij (zie boven) waar het woord ’toestemming’ in staat maar daarin werd verwezen naar ‘partners’ en als generieke term is dat onvoldoende.

In het onderzoeksrapport laat de ACM zien dat dit vér gaat. Ook als je wel degelijk partijen noemt, is het niet genoeg: de “en overige partners” wordt Daisycon stevig aangerekend zelfs nu deze niet wordt gebruikt. Bovendien

… nu de gebruikte privacy statements doorgaans geen uitputtende lijst bevatten, maar ook vermelddendat mogelijk andere derdenof niet nader gespecificeerde “partners” of “adverteerders”onderdeel uit maakten van de geselecteerde bedrijven. Hierbij moet worden opgemerkt dat Daisycon heeft verklaard dat zij geen gegevens daadwerkelijk heeft uitgeleverd aan partijendie niet bij naam waren opgenomen in het privacy statement. Dit laat echter onverlet dat het privacy statement niet uitputtend was en derhalve is een dergelijke bepaling onvoldoende specifiek.

Betekent dit nu dat in de vráág zelf de partners genoemd moeten worden? Het is juist dat je niet met een privacystatement kunt volstaan maar als ik een lijst heb met twintig partners dan moet het toch duidelijk zijn als ik zeg “klik hier voor de partners”?

Waar het ook misging, was dat de genoemde partners niet zelf reclame stuurden maar dat deden namens weer anderen. En dan gaat het inderdaad mis: toestemming is partijgebonden en kan niet worden overgedragen, verhuurd of verkocht.

Dat Daisycon de bestanden met mailadressen heeft ingekocht bij anderen, maakt voor de ACM niets uit. Terecht. Ook al staat er in je contract dat de leverancier van alles garandeert, dat is gewoon niet genoeg. Hooguit kun je met zo’n contract de boete dan verhalen op de leverancier. Maar je blijft zelf verantwoordelijk voor gebruik van aangekochte mailadressen.

In sommige gevallen hadden adverteerders in de enquêtes gesponsorde vragen laten opnemen: “Wil je lid worden van ons netwerk van 1900 aangesloten webwinkels”? Dat lijkt specifiek en duidelijk, maar er stond niet bij wie dit dan waren, hoe vaak je de mails zou krijgen en waar dit dan over zou gaan. En oh ja, je kreeg ook mails van dat netwerk als je “nee” had gezegd. Auw.

Ook op het gebied van opt-out ging het mis. Meerdere bij Daisycon aangesloten partijen konden hetzelfde mailadres gebruiken, maar wie zich wilde afmelden kon dat slechts per nieuwsbrief. Er had ook een algemene opt-out moeten zijn voor álle nieuwsbrieven van aangesloten partijen.

Daisycon gaat in hoger beroep dus het is afwachten wat overeind blijft maar mij doet de uitspraak stevig en duidelijk aan. De geschetste praktijken zijn populair bij e-mailmarketeers maar buitengewoon irritant voor ontvangers. Het legt wel de bijl aan de wortel van handel in e-mailadressen, maar misschien moet dat ook maar eens gewoon kappen. (Haha, kappen en wortel.)

Arnoud