Ubisoft schakelt in september online-diensten 15 games uit, mag dat?

| AE 13437 | Ondernemingsvrijheid | 11 reacties

Ubisoft gaat op 1 september de online-diensten van 15 games ontoegankelijk maken, meldde Tweakers zondag. Zeven PC-titels verliezen ook al hun downloadbare content (dlc), zelfs als die al gekocht is. Opvallend is daarbij dat een aantal van deze games momenteel met korting aangeboden wordt, inclusief aanprijzing van hun ‘innovatieve multiplayermodus’ en extra dlc. Je gaat dan dus terug naar enkel single player modus met de basiscontent. Dat roept natuurlijk de vraag op, eh wat krijgen we nou, kan dat zomaar?

Het afsluiten van diensten voor oudere games kan een manier zijn om het bedrijf in korte tijd financieel gezonder en daarmee aantrekkelijker voor een overname te maken, zo sluit het artikel af. En dat is ook niet zo raar, want het in de lucht houden van online games is een dure kwestie met al die servers en bijbehorende infrastructuur. Maar vanuit spelersperspectief is dit wél raar, want je betaalt voor een spel met de belofte van online tegen anderen spelen (én dlc) en die belofte wordt dan eenzijdig ingetrokken.

Mijn cynische opener is dan altijd, welkom in de diensteneconomie. Want zo’n online game is een dienst, en diensten mag je op zeker moment stoppen. Daar hoef je niet eens een reden voor te hebben (zoals dat het onrendabel is), een voldoende lange opzegtermijn en/of een schadevergoeding is juridisch gezien eigenlijk al genoeg.

Maar sinds een tijdje is een online game juridisch gezien wel iets meer dan alleen een dienst. Er is speciale wetgeving in Boek 7 van het Burgerlijk wetboek voor zogeheten overeenkomsten voor de levering van digitale inhoud en digitale diensten tussen handelaren en consumenten. Dat wil zeggen (art. 7:50ab lid 1 sub a BW):

overeenkomsten waarbij de handelaar digitale inhoud of een digitale dienst aan de consument levert of zich ertoe verbindt die te leveren en de consument een prijs of een digitale weergave van waarde betaalt of zich ertoe verbindt die te betalen ongeacht of de digitale inhoud of digitale dienst volgens zijn specificaties is ontwikkeld;
Hierbij geldt een eigen conformiteitsvereiste, art. 7:50ad BW:
De afgeleverde digitale inhoud of digitale dienst moet aan de overeenkomst beantwoorden.
Deze zin kennen we van conformiteit van gewone producten, wat mensen ook wel de “wettelijke garantie” noemen. Het volgende artikel noemt een aantal criteria om te bepalen of een game voldoet:
  • wat betreft de beschrijving, hoeveelheid en kwaliteit, functionaliteit, compatibiliteit, interoperabiliteit en andere kenmerken, voldoen aan de overeenkomst;
  • van updates worden voorzien als bepaald in de overeenkomst;
  • beschikken over de hoeveelheid, kwaliteit en prestatiekenmerken, onder meer met betrekking tot functionaliteit, compatibiliteit, toegankelijkheid, continuïteit en beveiliging, waarover de digitale inhoud of digitale diensten van hetzelfde type gewoonlijk beschikken en die de consument gezien de aard van de digitale inhoud of digitale dienst redelijkerwijs mag verwachten, rekening houdend met publieke mededelingen die zijn gedaan door of namens de handelaar of andere personen in eerdere schakels van de transactieketen, in het bijzonder in reclameboodschappen of op etikettering.
Die laatste is natuurlijk interessant (hoe langer de tekst, hoe meer een jurist er uit kan halen natuurlijk). Want die term continuïteit gaat precies over dit soort situaties: je moet zo’n dienst kunnen afnemen gedurende de tijd die je mag verwachten bij dit soort games, dit platform et cetera. Daar valt dus heel veel over te discussiëren, maar gezien het doel van de achterliggende Europese regels ligt het voor mij voor de hand dat wat Ubisoft van plan is, er voor zorgt dat de games nonconform worden.

Alleen: wat dan? Artikel 7:50ai (haha, hij zei ai; BW) noemt het in mooi juridische taal:

Beantwoordt de afgeleverde digitale inhoud of digitale dienst niet aan de overeenkomst, dan is de consument bevoegd om nakoming te eisen, de prijs te verminderen in evenredigheid met de mate van afwijking van hetgeen is overeengekomen, of de overeenkomst te ontbinden.
Je geld terug is dus een optie, al zullen weinig mensen gaan procederen over deze bedragen – de proceskosten zijn ordegroottes hoger dan de aanschafprijs. Nakoming eisen is interessanter, er is vast een principiële strijder die maatschappelijke gerechtigdheid wil afdwingen. Dan kom je uit bij lid 2:
De consument is bevoegd om nakoming te eisen overeenkomstig lid 1 tenzij dat onmogelijk is of voor de handelaar onevenredige kosten met zich brengt, rekening houdend met alle omstandigheden van het geval, waaronder: a.de waarde die de digitale inhoud of digitale dienst zou hebben wanneer er geen gebrek zou zijn geweest; b.de omvang van het gebrek.
Ubisoft zal bij de online multiplayer variant meteen wijzen op die “onevenredige kosten”, ze zullen vast kunnen aantonen dat gezien het aantal spelers de kosten van de infrastructuur niet redelijk meer zijn. En dat lijkt dus een winnend argument te zijn op grond van de wet.

Afdwingen dat die gekochte dlc gewoon blijft werken lijkt me dan weer niet iets dat “onevenredige kosten” zou moeten kosten. Ik kan niet echt achterhalen waarom dit überhaupt nodig is, het moet te maken hebben met een serverside controle of je nog recht hebt op die dlc lijkt me. Dan zou het uitzetten van die check de simpele oplossing zijn die Ubisoft dan moet maken. Dat is zeker te verdedigen als “herstellen van het gebrek”, maar ook hier zal echt een principezaak nodig zijn bij de rechter om dat af te dwingen.

(De EULA van Ubisoft is hierbij volledig irrelevant gezien art. 7:50ap BW dat bepaalt dat alle bovengenoemde artikelen dwingend recht zijn en dus niet in de overeenkomst uitgesloten mogen worden. En dat Europees recht geldt, volgt weer uit andere Europese regels.)

Arnoud

Is een SaaS dienstverlener vanwege de AVG verplicht escrow op te zetten?

| AE 12330 | Ondernemingsvrijheid, Privacy | 7 reacties

Een lezer vroeg me:

Strekt de AVG zover dat softwarepartijen verplicht zijn – in het kader van beveiligen van de continuiteit – een escrowachtige regeling aan te bieden waarbij software en hosting geborgd zijn na een faillissement of overname?
De AVG verplicht tot adequate maatregelen tot beschikbaar houden van persoonsgegevens zo lang als dat nodig is voor de toegezegde dienstverlening en de rechten van betrokkenen. Er is dus nergens een algemeen lijstje met wat je moet doen of hoe lang, je moet zelf beredeneren (al dan niet in een DPIA) wat er nodig is om aan deze eis te voldoen.

Een partij die een softwaredienst met persoonsgegevens aanbiedt, moet er dus voor zorgen dat die dienst blijft draaien zo lang als nodig. Escrow of een continuïteitsregeling is daarvoor een mogelijk middel. Maar als er andere manieren zijn om de klanten te blijven bedienen, dan is dat ook prima. Een offline backup die in noodgevallen naar de klanten gestuurd kan worden, zou ook kunnen werken.

Bij faillissement zal de dienstverlening gewoonlijk eindigen, hoewel dat niet wil zeggen dat de betrokkenen dan geen rechten meer hebben. Dus formeel zou ik zeggen dat er dan iets van continuïteit moet zijn, hoewel dat praktisch gezien lastig af te dwingen is want de organisatie is dan nou eenmaal failliet en dan houdt het gewoon op.

Het grote probleem met escrow is dat het daadwerkelijk uitvoeren pittig kan zijn: ga er maar aan staan om vanuit een broncodedepot een online dienst weer neer te zetten. Zat de database met gegevens bijvoorbeeld ook in het depot? Hoe oud was die databasedump dan eigenlijk?

Een overname is geen excuus voor welke wijziging in de dienstverlening dan ook. Daar moet de dienst dus gewoon doorlopen en moeten de gegevens gewoon beschikbaar zijn.

Het maakt natuurlijk ook nog uit of het softwarebedrijf een verwerkingsverantwoordelijke is of een verwerker. Als dat laatste het geval is, dan zal de afnemer van de dienst meer stappen moeten nemen om zich tegen uitval van die verwerker te wapenen. Escrow of continuïteit ligt dan meer voor de hand.

Arnoud

Hoe ver gaat mijn zorgplicht als dienstverlener onder de AVG dan eigenlijk?

| AE 10937 | Ondernemingsvrijheid, Privacy | Er zijn nog geen reacties

Een lezer vroeg me:

Recent blogde je over de zorgplicht als ICT-dienstverlener om te beoordelen of een verzoek van je klant AVG-compliant is. Maar hoe ver moet je daar nu precies in gaan? Ik kan toch moeilijk het privacyreglement van mijn klanten gaan evalueren voordat ik ze toegang geef tot een mailbox. Maar enkel “geen zorgen dit is legaal” van de klant is ook weer te weinig, lees ik.

De AVG legt dienstverleners inderdaad een zorgplicht op. Wie als verwerker persoonsgegevens voor zijn klanten beheert, moet daarbij aan de bel trekken als hij een evident niet-toegelaten instructie krijgt van een klant. Dit is in aanvulling op je gewone zorgplicht als dienstverlener om als een “goed dienstverlener” om te gaan met klantgegevens en uitvoering van de opdracht.

Dit gaat niet zo ver dat je iedere theoretische overtreding moet weigeren totdat een volledige privacy impact assessment is uitgevoerd door een onafhankelijke audit-team, maar je zult wel echt meer moeten doen dan uitsluitend afgaan op “onze afdeling Legal zegt dat het mag” in een mailtje van de klant.

Mijn advies is om bij de veel voorkomende situaties een werkproces te definiëren en dat deel van je Service Level Agreement te maken. Al is het maar “Klant dient een reglement omtrent toegang tot personeelsmailboxen te hebben en toegangsverzoeken te motiveren onder verwijzing naar de toepasselijke paragraaf”. Dan krijg je dus twee regels “overnemen mailbox wegens ziekte, artikel 13.5, informeren wn onmogelijk om medische redenen” en dat staat inderdaad in artikel 13.5 als grondslag. En dan is er geen sprake van evidente schending van de AVG.

Natuurlijk kan het zijn dat de werkelijke reden is dat er wordt gesnuffeld in de mailbox om iemand weg te pesten, of dat de werknemer helemaal niet medisch gezien onbereikbaar is. Of dat dit reglement nooit is getoond aan deze werknemer. Maar dergelijke opties zijn te ver weg voor jou als dienstverlener om te testen. Dus met zo’n duidelijke motivatie is het genoeg voor de dienstverlener.

Maak je je desondanks zorgen over misbruik, dan kun je ook gaan nadenken over concreet iets inbouwen in je systeem. Denk aan een alert dat de werknemer bij inlog een melding geeft wie er toegang heeft gehad. Voor de werknemer zou dit geen verrassing moeten zijn, want de werkgever moet hem vertellen dat hij in zijn mailbox is geweest. Is het wel een verrassing, dan kunnen ze dat nu samen op gaan lossen. Ik zou dit wel als feature documenteren zodat het de werkgever niet verrast en hij wanprestatie gaat claimen.

Arnoud