Kan Musk dankzij die Twitter-klokkenluider dan misschien wél van de aankoop af?

Voormalig hoofd beveiliging van Twitter en klokkenluider Peiter Zatko is door Elon Musk gedagvaard, meldde Tweakers vorige week. Een week eerder had Zaitko bij CNN en de Washington Post de alarmklok geluid: Twitter zou ‘een abnormaal hoog aantal beveiligingsincidenten kennen’, de software is hopeloos verouderd en het management heeft geen idéé hoe veel bots er eigenlijk zijn, en het boeit ze ook in het geheel niet. Dat laatste kwam Musk natuurlijk heel goed uit, aangezien die al een tijd op zoek is naar een argument om van zijn aankoop van het socialemediabedrijf af te komen. Vandaar de hoorzitting. Maar maakt het enige kans?

Zoals ik van de zomer schreef, Musk ging Twitter kopen om het spambot-probleem van Twitter te gaan aanpakken. Na de aankoop – zonder due diligence – viel het toch tegen, waarna Musk overal rondtoeterde dat Twitter hem had voorgelogen over het werkelijke aantal bots en dat hij daarom van de koop af wilde. Geen enkel van zijn argumenten heeft tot dusver enig effect bij de rechter gehad. Twitter heeft heel vage en ingekapselde statements gedaan, en daar zit niets leugenachtigs aan.

De signalen van Zatko zijn serieus. Specifiek over bots schetst hij een zeer negatief beeld. Twitter rapporteert naar de SEC toe alleen over de zogeheten mDAU, de monetizable daily active users, oftewel de gebruikers die elke dag inloggen en waar advertenties aan te vertonen zijn. Daarvan is aldus Twitter waarschijnlijk ongeveer min of meer zegge en schrijve maar met een flinke korrel zout en wie het anders ziet heeft wellicht ook gelijk vijf procent een bot (disclaimer: mogelijk klopt die vijf niet / disclaimer^2: niemand weet hoe je fatsoenlijk bots telt). En zan zegt Zatko:

However there are many millions of active accounts that are not considered “mDAU,” either because they are spam spam bots, or because Twitter does not believe it can monetize them. These millions of non-mDAU accounts are part of the median user’s experience on the platform. And for this vast set of non-mDAU active accounts, Musk is correct: Twitter executives have little or no personal incentive to accurately “detect” or measure the prevalence of spam bots.
Oftewel: als je naar het totaal aantal accounts kijkt, dan zijn er veel meer bots. En gewone gebruikers (dus ook de mDAU’s) komen die dagelijks tegen, dat vinden zij hinderlijk. Maar Twitter doet geen enkele moeite die te detecteren of te bestrijden, en stelt de boel vals voor door steeds te hameren op het lage aantal mDAU accounts.

Voor de lopende discussie is dit volkomen irrelevant. Twitter hééft tegen de SEC gezegd dat ongeveer 5% van de mDAU bots lijken te zijn (met al die disclaimers hierboven). Dat ze met vijf minuten meer moeite een beter getal hadden kunnen produceren is leuk, maar daartoe zijn ze niet verplicht. Er is geen erkende metric om het aantal bots op je dienst te tellen, dus als jij de term mDAU introduceert en uitlegt en dan zegt “hier is het 5% en verder weten we het niet, sorry” dan is dat in een SEC filing helemaal in orde. Zatko toont dus niets aan dat onjuist is in de SEC filings.

De verklaringen van Zatko zóuden een beschuldiging van fraude kunnen dekken, en dat kán een grond zijn om het contract op te zeggen. Maar dan moet Zatko wel bewijs hebben dat het bestuur van Twitter verklaringen zoals bij de SEC gedeponeerd bewust valselijk heeft opgesteld. Enkel er een prutswerk van hebben gemaakt, of zelfs bewust de ogen sluiten voor enorme spamproblemen, is niet hetzelfde als fraude. Dit is dan ook hoe Twitters advocaten nee zeggen op Musks laatste poging tot opzegging.

Arnoud

Een laptop met illegale software, is die nonconform eigenlijk? Joh!

Free-Photos / Pixabay

Stel je bestelt bij een klein IT-bedrijf een tweedehands laptop met het verzoek er software voor “tekeningen voor metaalconstructies” op te zetten, zodat je als zzp’er direct kunt gaan werken. Oh ja, en het mag 150 euro kosten. Zou je dan gek opkijken als er op zeker moment claims van de rechthebbende op die software komen, mede omdat de echte versie 6000 euro kost en een phone-home functie heeft? Afgaande op dit arrest komt dat voor, met daarbij dus de vraag of er geleverd is wat er besteld was.

De discussie bij de rechter spitste zich toe op wat er nu besteld was: een laptop geschikt voor AutoCAD Solidworks, een laptop met een trial zodat je kon zien dat die software erop zou werken, een laptop met een illegale (gekraakte) full versie of een geheel legale full versie? Het bedrag van 150 euro maakt dat laatste een tikje onwaarschijnlijk, maar het idee van een trial versie is misschien zo gek gedacht nog niet. Hoewel, de Nederlandse distributeur in de mail:

De enigen die ene trialversie kunnen regelen bij [softwarebedrijf] in NL zijn: [licentiebedrijf] , [naam 1] en [naam 2]. Dit is niet bedoeld voor doorverkoop, maar om te kijken of de software aansluit bij de wensen van de potentiële  klant. (…) Daarnaast zijn wij vanuit [licentiebedrijf] niet op de hoogte dat er een trialversie door [handelsnaam appellant] is geregeld. Dit kan het beste bij [softwarebedrijf] zelf worden gecheckt.
Het [licentiebedrijf] sprak de [handelsnaam appellant] van de laptop vervolgens aan op [illegaal] gebruik, waarna werd geschikt. Dat is dan meteen de reden voor het aanspreken op nonconformiteit natuurlijk, het verhalen van het schikkingsbedrag.

Het Gerechtshof kwam tot de tussenconclusie dat de klant maar moest bewijzen wat er precies besteld was. Als dat een legale versie van Solidworks was, dan zou de leverancier tekort geschoten zijn. Echter, zou dat niet de afspraak zijn geweest, dan waren alle gevolgen voor rekening en risico van de klant. De klant kwam daarop met een getuige, een van zijn werknemers:

Tegen [de leverancier] heb ik gezegd dat ik een laptop zocht met SolidWorks. Ik heb uitdrukkelijk gezegd dat het om SolidWorks ging. [De leverancier] zou gaan kijken of hij dat voor mij kon regelen. Er is op dat moment niet specifiek gesproken over een legale of illegale versie. Er is ook niets gezegd over een trialversie, alleen dat het om SolidWorks ging. [De leverancier] zei dat hij ervoor kon zorgen. Hij zou in eerste instantie kijken of hij aan mijn wensen kon voldoen om een laptop met die software te leveren. Er is bij de aflevering van de laptop nog gesproken over SolidWorks. Hij heeft aan de keukentafel bij mijn schoonouders gedemonstreerd dat er SolidWorks op de laptop zat. Hij heeft laten zien dat het programma er op zat door het programma te openen maar niet laten zien hoe het werkte. Er is niet gesproken over de versie van SolidWorks op het moment van aflevering.
Verder was niet gesproken over de aard van de Software. De klant kende deze niet, maar de software werd aangeraden door een zakenrelatie (een tekenaar) en men had geen idee wat het moest kosten, maar kan het voor 1000 euro?

Meer bewijs was er dus niet. Het Gerechtshof trekt vervolgens zelf de conclusie dat een bedrijf dat vraagt om een laptop met zakelijke software, normaal de bedoeling heeft om daarmee te werken. Dan heb je een legale, volledige versie nodig. Als je zonder nader overleg dus dit bestelt bij een leverancier, dan moet die begrijpen dat de volledige, legaal gekochte software erop moet. Geen trials en al helemaal geen gekraakte/illegale versies.

Natuurlijk kan dat wel eens te duur zijn – de standaardlicentie is 6000 euro. Maar zoiets even uitzoeken is toch echt deel van je zorgplicht als IT-leverancier. Je moet dus even doorvragen, en het is dan prima als je zegt “dit kan niet voor jouw budget want die licentie is zes keer wat jij hebt”. Of “dit gaat niet maar ik kan de open source FreeCAD er wel op zetten”. Of “ik heb een trial erop gezet, want die software kost 6000 euro en ik weet niet of je dat wel wil”. Of “wil je even bijbetalen dan koop ik die licentie voor je”. Maar niet leveren en achteraf zeggen:

Midden September 2017 heb ik een 2e hands laptop voor jou geregeld en geleverd, met daarop de trialversie van [softwareprogramma] . (…) Vanaf begin November 2017 is het gebruik van een niet legitieme software op een IP-adres gelokaliseerd van de gebruiker van de laptop. Dit is ruim anderhalf maand later, ik weet niet wat er in de tussentijd met de laptop is gebeurt en als het daadwerkelijk om de desbetreffende laptop gaat. Ik heb de laptop sinds midden September 2017 niet meer in mijn bezit en ik ben niet verantwoordelijk voor wat er in de tussentijd op de laptop gezet is en ermee gedaan word.
Nonconforme laptop dus, en/of wanprestatie onder de overeenkomst. Dat betekent betalen. Alleen, hoe veel?

De klant had de volledige € 7.500 in rekening gebracht, en het Hof erkent dat dat nu eenmaal de schade is. Dat men voor een echte licentie ook dik 6000 euro had moeten neerleggen, is dan niet relevant: bij een correcte nakoming had de klant niets aan Solidworks of haar distributeur hoeven te betalen. (Hetzij omdat de IT-leverancier de kosten in rekening had gebracht, hetzij omdat deze magischerwijs een licentie voor 1000k had kunnen kopn, hetzij omdat de klant had gezegd “ben je betoeterd, 6000 euro, doe maar FreeCAD”.) Bijgevolg komt die volledige 7500 ook echt voor rekening van de leverancier.

Het bevestigt het beeld van die zorgplicht: niet zelf bedenken wat de klant wil (of niet), maar onderzoeken en navragen. En natuurlijk op papier zetten (al is het maar de e-mail) wat de klant heeft gezegd.

Arnoud

 

Kan een ICT-leverancier bij contractuele ruzie weigeren de wachtwoorden te geven?

Een lezer vroeg me:

Als opdrachtgever zijn we erg ontevreden met een ICT-leverancier. We zeggen op (conform contract), en verzoeken ze de wachtwoorden van alle diensten over te dragen zodat we alles in eigen beheer kunnen nemen. Dit wordt geweigerd omdat er volgens hen nog facturen open staan en een afkoopsom betaald zou moeten worden. Wij betwisten dat. Kunnen wij de wachtwoorden opeisen?
Dat zal echt 100% afhangen van wat in je contract met die leverancier staat. Als er niets staat, dan heb je een enorm probleem als je de wachtwoorden niet hebt en de diensten kritisch zijn voor je bedrijfsvoering.

Er is in de wet niets bijzonders geregeld over toegang tot diensten. Die worden geen eigendom van de klant bijvoorbeeld, in tegenstelling tot zeg de producten die voor je worden gemaakt. Zulke producten zou je nog kunnen opeisen (hoewel eigendomsvoorbehoud et cetera daar het ingewikkeld kan maken) maar het wachtwoord voor een dienst die beheerd wordt door de dienstverlener, dat valt daar zeker niet onder.

Natuurlijk kun je zeggen, het contract met die dienst staat op mijn naam, dus ik wil de toegang tot mijn dienst. Maar dan moet je bij de eigenlijke dienstverlener zijn, de derde partij wiens dienst door jouw ICT-leverancier wordt beheerd. Die zou jou dan een nieuw wachtwoord moeten geven. Of die dat doet, is de vraag; vaak werken die met resellers of dit soort ICT-partners omdat ze niet zelf met de eindklant bezig willen zijn.

Dit is dus waarom je het contractueel moet regelen met die leverancier. Daarbij zit er nog wel één grote angel: als er ruzie ontstaat over het contract, dan kan de leverancier het contract besluiten op te schorten. Dan hoeven ze niets te doen, dus ook niet de afspraak nakomen dat ze je wachtwoord moeten geven. Natuurlijk moet de reden voor die ruzie dan wel kloppen, maar hoe dan ook ben je vele weken verder totdat de rechter in kort geding oordeelt dat de wachtwoorden toch moeten worden gegeven.

Met wachtwoorden is het dus net als met data in het algemeen: vertrouw niet op juridische constructies om erbij te kunnen. Zorg dat je ze gewoon hebt.

Arnoud

Zijn digitale handtekeningen ineens juridisch ongeldig verklaard?

Elektronische handtekening niet voldoende betrouwbaar, kopte ITenRecht onlangs. In een recent vonnis verwees de rechtbank Zeeland-West-Brabant een borgtochtovereenkomst naar de prullenbak, omdat de digitaal geplaatste handtekening niet betrouwbaar was. Daarmee kon niet worden bewezen dat de wederpartij daadwerkelijk deze had getekend, zodat de borgtocht niet kon worden opgeëist. Opmerkelijk, want het hele punt van digitale handtekeningen was nu juist die betrouwbaarheid.

De eisende partij had in 2018 voor zijn bedrijf een geldlening aangevraagd bij Swishfund, waarbij hij persoonlijk zich borg stelde voor de lening. Daarvoor werd een digitaal contract ondertekend, en wel met Adobe Sign dat een heel proces heeft voor tekenen:

Het contract wordt naar het e-mailadres van de aanvrager gestuurd. Alvorens deze het document kan openen en digitaal kan ondertekenen dient hij een verificatiecode in te voeren. Deze code wordt per SMS naar het door de aanvrager opgegeven telefoonnummer gestuurd. Nadat de aanvrager het document heeft geopend kan hij parafen en een handtekening plaatsen door deze te typen, tekenen of door een afbeelding in te voegen. De aanvrager kan zelf kiezen welke van deze methoden hij gebruikt. Wanneer het ondertekenen is afgerond wordt het document door Adobe Sign voorzien van een zegel. Hierdoor kan het document niet meer worden gewijzigd.
In 2019 ging het bedrijf failliet, waarna Swishfund de borgsteller uiteraard aansprak. Die liet de zaak lopen, waardoor hij bij verstek werd veroordeeld tot betaling. Daar kwam hij vervolgens tegen in verzet, met het argument dat hij nooit een rechtsgeldige borgovereenkomst had getekend. Dat is belangrijk, want in art. 7:859 BW staat dat een borgovereenkomst alleen kan worden bewezen met een door de borgsteller ondertekend geschrift. Wat je dus online allemaal zegt of aanvinkt, is dus niet van belang als er geen handtekening onder een (elektronisch of papieren) geschrift staat.

Nou, laat maar zien dan. Swishfund had inderdaad een digitaal ondertekend document, en meende sterk te staan: zij stelde dat de handtekening een gekwalificeerde elektronische handtekening betreft in de zin van artikel 3, onderdeel 12, van de eidas-verordening. Die term wijst op de hoogste en meest veilige vorm van digitaal ondertekenen, namelijk

een geavanceerde elektronische handtekening die is aangemaakt met een gekwalificeerd middel voor het aanmaken van elektronische handtekeningen [dat dus voldoet aan de strengste eisen uit de wet] en die gebaseerd is op een gekwalificeerd certificaat voor elektronische handtekeningen [dus dat is afgegeven door een gekwalificeerde verlener van vertrouwensdiensten, dus eentje die voldoet aan de strengste wettelijke eisen];
Ik vat hier de wet enorm samen. Maar de kern komt erop neer dat je voor zo ongeveer elke component van je handtekeningenproces een wettelijke eis hebt, en dat niet zomaar iedere partij even dergelijke krabbels kan faciliteren. Ik ben vast weer te cynisch als ik zeg dat dat zelden goed gaat; laten we het hier er dan op houden dat Swishfund niets had aangedragen waaruit blijkt dat zij met deze bureaucratische wirwar aan eisen had gewerkt. (Dit soort bewijs vergeten gebeurt opmerkelijk vaak; toevallig las ik gisteren nog een vrij ernstige geval waarin eiser Ziggo überhaupt niet eens een contractstekst had overlegd, laat staan bewijs dat het contract aanvaard was.)

Geen gekwalificeerde handtekening dus. Maar dat is niet perse een ramp, want de wet benoemt expliciet dat dit niet mag betekenen dat er geen geschrift ondertekend is (artikel 25 lid 1 eidas-verordening):

Het rechtsgevolg van een elektronische handtekening en de toelaatbaarheid ervan als bewijsmiddel in gerechtelijke procedures mogen niet worden ontkend louter op grond van het feit dat de handtekening elektronisch is of niet aan de eisen voor gekwalificeerde elektronische handtekeningen voldoet.

Wat je vervolgens doet, is kijken hoe er dan wél een krabbel is gezet en hoe betrouwbaar je dat gezien de omstandigheden mag beschouwen. Een simpel voorbeeld is de krabbel voor ontvangst van een pakketje. Dat is echt alleen maar een tekening met je vinger, vaak zelfs zonder verificatie tegen je identiteitsbewijs of het lijkt op je ‘echte’ handtekening. (Ja, haha of het lijkt, nee precies. En sterker nog, je ‘echte’ handtekening bestaat niet eens.) In de omstandigheden – vastleggen dat het aan de deur is afgegeven – vind ik dat echter een prima betrouwbare handtekening. Rechtsgeldig bewijs dus.

Hier ging het om een overeenkomst tot borgstelling, wat natuurlijk ietsje meer impact heeft dan tekenen voor een pakketje. Daarom kijkt de rechter een stuk strenger naar het proces:

Het enige direct aan [eiser] te relateren document waarover Swishfund beschikt is het kopie van zijn identiteitsbewijs. Vast staat dat er voorafgaand aan het sluiten van de overeenkomsten op geen enkel moment direct persoonlijk contact is geweest tussen Swishfund aan de ene kant en [eiser] aan de andere kant, terwijl ook niet is gebleken dat partijen eerder zaken met elkaar hebben gedaan. Swishfund stelt weliswaar telefonisch te hebben gesproken met [eiser] , maar deze stelling is tegenover de betwisting door [eiser] onvoldoende onderbouwd. Hoewel geen enkele ondertekeningsmethode bestand zal zijn tegen alle mogelijke vormen van misbruik, levert de door Swishfund gevolgde methode een groot risico op van misbruik door personen die de beschikking hebben over de e-mailadressen en de bankgegevens van een vennootschap en over de persoonsgegevens van haar bestuurders.
Oftewel, een oplichter zou vrij eenvoudig een borgtocht kunnen afsluiten als ze die gegevens uit de laatste zin hebben, en de digitale handtekening van Swishfund verandert daar niets aan. Daar had dus meer verificatie tussen moeten zitten, bijvoorbeeld een videogesprek waarbij je foto en persoon vergelijkt en dan de handtekening laat zetten.

Die meer verificatie is waar we de definitie van “geavanceerde digitale handtekening” voor hebben. Daar zit onder meer de eis in dat je “gegevens voor het aanmaken van elektronische handtekeningen die de ondertekenaar, met een hoog vertrouwensniveau, onder zijn uitsluitende controle kan gebruiken” gebruikt. Dat zou hier dan de SMS met code zijn, maar als je alleen een webformulier gebruikt dan weet je natuurlijk niet van wie dat nummer is of zelfs maar dat alleen de aanvrager die telefoon kan lezen. Dat is dus niet genoeg.

Dus kortom, geen superveilige wettelijk gekwalificeerde handtekening, geen unieke middelen voor ondertekening dus ook geen geavanceerde handtekening en gezien de omstandigheden ook geen vrije of eenvoudige digitale handtekening. (IT-ers die laatst zeiden dat ze een training IT-recht bij me willen doen, dit is niveautje op de helft, nog steeds interesse?) Daarmee is het stuk dus niet ondertekend door meneer, en vanwege die wettelijke eis is de borgtocht dus niet bewezen. En zelfs als het geen “particuliere borg” is, dan vindt de rechter het ondertekeningsproces niet betrouwbaar genoeg om desondanks van aanvaarding door meneer te spreken.

Zijn hiermee nu digitale handtekeningen ongeldig verklaard, zoals diverse tipgevers me vroegen. Nee, zeer zeker niet. Het zit hem (zoals zo vaak) in de slechte implementatie. Het proces gaat er te makkelijk vanuit dat je de juiste persoon tegenover je hebt, en dat is specifiek bij deze zware verplichting (een borg van totaal iets van 25k) een onoverkomelijk probleem. Heb je minder ernstige verplichtingen, zoals een arbeidscontract waarbij je weet dat je de juiste persoon tegenover je hebt, dan was deze zelfde technologie en proces helemaal prima geweest.

Arnoud

Gaat GPT-3 het contractenschrijven van ons overnemen? #legaltechtuesday

Opmerkelijk nieuws uit de technologiewereld: de Engelse krant The Guardian had een column gepubliceerd die geheel door een robot geschreven was. Die robot heet GPT-3, en hoewel bleek dat de column wel gewoon eindredactie had ondergaan was de tekst behoorlijk lastig te herkennen als van een robot afkomstig. GPT-3 is geschreven als algemene tekstschrijfdienst, en is daarmee in alle sectoren inzetbaar. Ook de juridische?

GPT-3, oftewel Generative Pre-trained Transformer 3, is een taalvoorspellend neuraal netwerk ontwikkeld door de Californische stichting OpenAI dat is getraind op 500 miljard tokens afkomstig van het gehele internet. In gewone taal: GPT-3 heeft internet in haar geheugen geladen en schrijft nu zinnen gebaseerd op dit onvoorstelbaar grote voorbeeld van alle mogelijke menselijke kennis.

Hiermee kun je de dienst bijvoorbeeld een vraag stellen, waarna deze een antwoord componeert dat griezelig vaak gewoon klopt. Feitelijke vragen over welk onderwerp dan ook blijken geen probleem. Maar het neuraal netwerk kan ook gedichten componeren, al dan niet in de stijl van Shakespeare, en zelfs software schrijven op basis van een omschrijving van wat de software moet doen.

Eerdere modellen in deze trant liepen vaak tegen de lamp doordat ze onzin produceerden, of niet ver van het bronmateriaal af wisten te stappen. Maar GPT-3 ontstijgt haar voorgangers fundamenteel; slechts zelden valt op dat de tekst niet door een mens geschreven is.

Dit riekt naar wat technologen general AI of artificial general intelligence noemen: de hypothetische intelligentie van een machine die de capaciteit heeft om elke intellectuele taak die een mens kan begrijpen of te leren. Als een computer iedere tekst kan schrijven die we nodig hebben, zou je die computer dan intelligent kunnen noemen?

Misschien wel. Daar staat natuurlijk tegenover dat die computer niet écht nadenkt, althans niet op de manier waarop mensen nadenken. Heel oneerbiedig naar haar ontwikkelaars toe zeg je hier dat GPT-3 herschikt en produceert wat zij eerder heeft aangetroffen. Er is geen eigen creatieve inbreng, er is alleen zó veel invoer dat het lijkt op iets nieuws. Dit is iets te kort door de bocht, want GPT-3 kijkt niet alleen maar naar voorbeeldzinnen maar ook naar thema’s en woordgebruik in de breedte. Maar er zit inderdaad nul woord- of zinsbegrip in.

Juristen produceren ook veel teksten, met name natuurlijk in contractenland. Maar ook een dagvaarding is natuurlijk een behoorlijke lap tekst. Met genoeg voorbeelden zou GPT-3 ook in staat moeten zijn om dergelijke teksten te schrijven. Moeten wij daar nu bang voor zijn, gaat deze tekstrobot ook ons werk vervangen?

Nee, dat denk ik niet. En niet omdat het opstellen van dergelijke teksten zo creatief is dat zelfs een met 500 miljard tokens  geladen Artificial Intelligence ze niet kan maken. Nee, juist omdat teksten zo standaard zijn dat dit volgens mij niet eens nodig zou moeten zijn. Waarom elke keer opnieuw dezelfde onderwerpen beschrijven met nieuwe taal? Zelfs een robot zou daar weinig trek in hebben.

Ik heb het al vaker gezegd, maar het blijft de moeite van het herhalen waard: juist door de opkomst van steeds meer van dit soort technologie zal meer standaardisatie ontstaan. Dan hoef je niet meer in detail op te schrijven welke aansprakelijkheid je uitsluit of welke eis je stelt, maar kun je simpelweg verwijzen naar variant X of model Y. En een robot weet dan wat je bedoelt en kan dat gericht aanvullen. Dat is de toekomst van juridische teksten.

Arnoud

Kan ik mijn data van de laptop van mijn opdrachtgever laten wissen?

Een lezer vroeg me:

Ik werk als zzp’er voor een verzekeraar. Tijdens mijn klus (waarbij ik een hoop gegevens moest verzamelen en verwerken) ging mijn laptop stuk, en vanwege de deadline kreeg ik toen een laptop van de opdrachtgever te leen. Daarop mocht ik ook privédata opslaan, dit staat expliciet in de leenovereenkomst. Echter, daarna ontstond ruzie en werd de overeenkomst opgezegd, waarna men van op afstand de laptop vergrendelde!  Nu kan ik niet meer bij de privédata die ik daar mocht opslaan. Bovendien ontdekte ik daarna dat men bepaalde resultaten toch ging gebruiken (ik zie ze terug in publicaties). Mag dat zomaar?
Het is nogal cru, maar ik zou zeggen dat een opdrachtgever inderdaad gerechtigd is de geleende laptop op te eisen als de opdracht ineens eindigt. Dat men deze nu op afstand vergrendelt, is het cyber-equivalent daarvan. Dat je de laptop voor privédoeleinden mocht gebruiken, impliceert voor mij nog niet dat je ook recht had op toegang tot de data na einde opdracht. Zoiets moet expliciet in de overeenkomst opgenomen zijn.

Los daarvan mag de opdrachtgever natuurlijk niet zomaar die data gebruiken, dat mag pas als uit de overeenkomst blijkt dat deze bruikbaar is. Zonder overeenkomst is hij niet bevoegd daarmee te werken. Zeker omdat op die data een databankrecht rust (mag u van me aannemen). Ik zou hem sommeren de data te vernietigen.

Het maakt natuurlijk nogal uit wat de reden is voor de ruzie. Als dat bijvoorbeeld gaat over dat er te veel is gefactureerd, dan zie ik wel hoe de opdrachtgever zou denken dat hij de resultaten mag gebruiken. Maar als de klacht is dat er prutswerk is geleverd, dan is het natuurlijk onzin om vervolgens wél met die data verder te werken.

Arnoud

Hoe bescherm ik mijn idee voordat ik het ga vertellen?

Een lezer vroeg me:

Ik heb een innovatief idee uitgewerkt om contactloos pinbetalen tegen afluisteren en dergelijke te beveiligen. Ik wil dat nu aan een paar banken voor gaan stellen, maar ik wil natuurlijk niet dat ze er met mijn idee vandoor gaan zonder mij te betalen. Hoe doe ik dat het veiligste? Is een i-depot nodig, kan ik een goed geheimhoudingscontract gebruiken of moet ik auteursrecht aanvragen?

Algemeen geldt: als je een idee hebt, dan kunnen en mogen anderen daarmee vandoor. Het is juridisch eigenlijk niet mogelijk een idee te beschermen tegen overname of afkijken, en wie adverteert dat het bij zijn dienst wel zo werkt, is een oplichter.

De enige juridische remedies tegen ongewenst overnemen zijn het idee onder een IE-recht beschermen of een contractuele afspraak te maken. Of beschermen mogelijk is, hangt helemaal af van het soort idee. Een technisch protocol (wat hier lijkt te spelen) kun je met een octrooi oftewel patent beschermen; anderen mogen dat protocol dan niet ook implementeren. Een auteursrecht beschermt tegen kopiëren of namaken van een tekst, foto of video – maar alleen de concrete uitwerking daarvan niet het onderliggende idee.

Een contractuele afspraak doe je meestal met een geheimhoudingscontract oftewel NDA (non-disclosure agreement). Daarin belooft de ontvanger om de verkregen informatie nergens voor te gebruiken, vaak op straffe van een contractuele boete. Het is toegestaan dat je jezelf een beperking oplegt die de wet niet kent, dus zo’n contract is legaal. Alleen: waarom zou je dat tekenen als ontvanger? Welk voordeel haal je eruit?

Ik zou zelf alleen adviseren om met een idee-leverancier in zee te gaan als deze concrete technologie heeft om in licentie te nemen. Dan weet je waar je voor tekent: snelle toegang tot iets dat werkt. Dat scheelt ontwikkelkosten bij jou, dus prima dat dat wat kost. Maar betalen voor enkel een idee dat je zelf nog moet uitwerken? Nee, vergeet het maar.

Een ander probleem met een NDA tekenen is dat je wellicht als ontvanger al met iets dergelijks bezig was. Toevallig las ik recent deze zaak waarin een man de Rabobank had benaderd met een anti-skimming idee. Naast dat er discussie was of überhaupt geheimhouding was overeengekomen, bleek de bank er al geruime tijd zelf mee bezig te zijn. Dan is het natuurlijk wel héél raar om te zeggen dat het jouw idee is.

Arnoud

Een kopie identiteitsbewijs bewijst niet dat je een contract sloot

Leuk als je via internet contracten sluit en mensen kopie identiteitsbewijs laat opsturen, maar het bewijst niets. Dat vonniste de rechtbank Rotterdam onlangs. Telecombedrijf Tele2 dacht zo’n 1800 euro te krijgen van een internetklant wegens niet-betaalde abonnementskosten en restprijs telefoon, maar liep tegen het bekende probleem aan dat iedereen wel via internet een contract kan afsluiten op andermans naam. Het is eigenlijk een wonder dat het zo vaak goed gaat met online contracteren, want als het misgaat dan heb je als bedrijf echt een serieus probleem.

De uitspraak opent als een standaardverhaal. Er was een contract gesloten voor mobiele telefonie met een telefoon op afbetaling, de rekeningen werden niet betaald dus er werd afgesloten en een incasso opgestart om het geld toch te krijgen. Dat komt vaker voor.

Nieuw was dat de abonnee nu stelde het contract nooit aangegaan te zijn. Niet hij, maar zijn ex-partner, zou dat hebben gedaan. Tele2 wees erop dat het webformulier voor het abonnement netjes was ingevuld, dat er een kopie identiteitsbewijs was ontvangen en dat er een cent was geïncasseerd vanaf de bankrekening van de gedaagde. Dat is standaard voor heel veel bedrijven en zou dus bewijs moeten zijn.

Toch niet. Want iedereen kan wel zo’n formulier invullen, dus dat bewijst niets. Sterker nog, in dit geval bleek een adres te zijn ingevuld waar de gedaagde niet woonde, dus welke check Tele2 uitvoert op die informatie is niet geheel duidelijk. Ook de kopie van identiteitsbewijs en bankpas leveren niets op: dat bewijst alleen dat de inzender daarvan die dingen had, niet dat hij de genoemde persoon is. Hetzelfde geldt voor de ene cent: bewijst dat Tele2 de incasso kon doen maar niet dat de eigenaar van die rekening het contract is aangegaan.

Oh ja, en bij de handtekening op het aanvraagformulier stond ook nog eens “i.o.”, waardoor je vrij zeker weet (als jurist dan) dat dit niet door de abonnee zelf getekend is. Het kan natuurlijk, dat je iemand machtigt om namens jou een abonnement af te sluiten, maar het is handig om dan even de machtiging op te vragen. Allemaal niet gebeurd.

Hoe moet het dan wel? Het is natuurlijk erg lastig als je niet bij de persoon zelf bent om vast te stellen met wie je te maken hebt. Alle stukken die je krijgt, zijn mogelijk vervalst of gestolen. Alle personen die je spreekt, kunnen onbekenden zijn die zich voordoen als de abonnee. Toegang tot het GBA heb je niet, dus je weet niet zeker naar welk adres je het contract moet sturen. En elke keer iemand langssturen die een identiteitscheck doet, is ook zo wat.

Ik blijf dus met de conclusie zitten dat e-commerce eigenlijk alleen maar goed gaat omdat de meeste mensen geen oplichters zijn.

Arnoud

Kunnen wij onze niet-tekenende partner toch houden aan de groepssamenwerking?

Een lezer vroeg me:

Al een tijdje onderhandel ik met vijf partijen om tot een samenwerking te komen, waarbij we een opensourcepakket gaan exploiteren onder gezamenlijke winstdeling. Het contract ondertekenen is blijven liggen vanwege de crisis, maar we zijn wel al soort van begonnen. Nu stelt een van de partijen dat hij het eigenlijk toch niet eens is met het contract (lees: de winstdeling) en hij zegt dat hij nergens aan vast zit omdat hij nooit getekend heeft. Is dat zo, en wat kunnen wij nu doen?

Of een overeenkomst gesloten is, hangt in eerste instantie af van wat in de tekst zelf staat. Soms staat er iets van “Deze treedt in werking na de laatste handtekening” en dan is het evident dat de overeenkomst nu nog niet gesloten is omdat er handtekeningen missen.

Minstens zo vaak staat er een aanvangsdatum en is er geen duidelijke reden waarom de handtekeningen gezet moeten worden. Of er staat helemaal niets over wanneer het contract aanvangt. Dan moet je gaan duiden hoe de rest van het contract opgezet is. Wat was het doel van de overeenkomst, en is het daarvoor echt nodig dat dan iedereen moet tekenen? Wat waren, anders gezegd, de bedoelingen van partijen toen ze kozen voor een document waar een krabbel onder zou komen.

In veel gevallen geldt: niet ondertekend hebben is niet hetzelfde als niet akkoord zijn. Ook uit feitelijk handelen kun je akkoord afleiden, bijvoorbeeld omdat die ene partij ze de oprichtingsbijdrage betaald heeft, alvast het afgesproken werk ging doen of op zijn minst inhoudelijk ging discussiëren op de groepsapp waar de samenwerking mee gerund wordt. Dan is het ontbreken van de handtekening geen beletsel meer.

Uitzonderingen zijn natuurlijk mogelijk. Als de partij zich in het onderhandeltraject altijd wat afhoudend had opgesteld, dan kun je nu niet claimen dat hij stilzwijgend er aan vast zat bijvoorbeeld. Of als hij een unieke bijdrage gaat leveren (en dat nog niet gedaan heeft), dan is het ook nogal prematuur.

Maar zoals gezegd, een handtekening is niet verplicht. Juridisch zitten ze er bijvoorbeeld al aan vast als de vertegenwoordiger appt dat ze akkoord zijn en de handtekening nog even laat wachten vanwege coronaperikelen. Je kunt dus prima snel schakelen door aan te dringen op een anders gecommuniceerd akkoord, en later zien hoe je die krabbel gaat krijgen. Want die is eigenlijk nergens voor nodig, behalve je héél bang bent dat je ruzie gaat krijgen over wat er exact afgesproken is.

Arnoud

Kan ik me op overmacht beroepen vanwege het coronavirus?

Menig ondernemer worstelt hoe verder te werken nu het coronavirus de hele maatschappij opschudt. Thuiswerken is het devies, maar lang niet bij alle vormen van ict-dienstverlening is dat een werkbare oplossing. Daardoor komen deadlines in gevaar, komen projecten niet af zoals gewenst of wordt bestelde apparatuur niet geleverd. En dan gaan mensen, alle verhalen over coulant en samen ten spijt, toch eens in de contracten kijken hoe ze die leverancier kunnen aanpakken dan wel de levering uit kunnen stellen. En dan krijg je als jurist dus veelvuldig de vraag, is dit nu overmacht, dat virus?

We spreken van overmacht als zich een situatie voordoet die een contractspartij boven de macht gaat, waardoor zhij niet kan doen wat zhij had beloofd. Dat kan dus voor beide partijen gelden, een leverancier kan wellicht door overmacht niet leveren en een klant kan soms door overmacht niet betalen. In juridische taal (art. 6:75 BW):

Een tekortkoming kan de schuldenaar niet worden toegerekend, indien zij niet is te wijten aan zijn schuld, noch krachtens wet, rechtshandeling of in het verkeer geldende opvattingen voor zijn rekening komt.

Dat “niet zijn schuld” is dus het stukje boven de macht. Maar er staat nóg een belangrijke zinsnede: het moet niet alsnog voor jouw rekening komen. Er zijn dingen die je boven de macht gaan maar die we tóch jouw probleem vinden. Een zieke docent die om 8:35 afbelt bij de cursus die om 9 uur begint, dat is weliswaar overmacht (want aan ziek worden doe je niets) maar als cursusorganisatie moet jij dit probleem toch maar oplossen.

Oplossen betekent in de praktijk meestal dat je moet betalen. Juridisch gezegd, de tekortkoming is jouw schuld en dan ontstaat de plicht tot schadevergoeding. Die cursisten mogen dus hun reiskosten komen declareren, om eens wat te noemen. Mogelijk zelfs de gederfde uren omzet, aangenomen dat ze nu niet alsnog naar hun werk kunnen gaan. En oh ja, de cursuslocatie wil ook graag gewoon de daghuur.

De slimmeriken hadden ondertussen al gezien dat er bij dat “voor zijn rekening” onder meer stond “rechtshandeling”, en dat betekent dat je kunt afspreken wanneer iets wel of niet overmacht is. Een béétje (ICT- of ander) contract heeft dan ook een uitgebreide riedel met een definitie van overmacht plus een serie gebeurtenissen die daar dan wel (of juist niet) onder valt. Die cursusaanbieder kan ziekte gewoon in die lijst zetten en daarmee de reiskostendeclaraties afwijzen.

Punt is wel: het moet nog steeds gaan om een situatie die je boven de macht gaat. Een zzp’er die ziek is, die kan zeggen dat ziekte overmacht is want hij kan nu niet leveren. Dat houdt gewoon op. Maar een bedrijf met 80 programmeurs kan prima doorwerken en een vervanger regelen voor een zieke ontwikkelaar (en nee, “Wim is zo goed in z’n werk dat zijn uitval telt als overmacht” komt niet door de giecheltoets). Ik kwam een keer een datacenter tegen dat in haar AV “brand” als overmachtsituatie had opgenomen; een brandje bij de receptie in de prullenbak levert natuurlijk nog steeds juridisch geen overmacht op.

Bij het coronavirus is dus echt nog de open vraag of het voor jouw bedrijf écht overmacht oplevert. Als je kunt thuiswerken, ook al ben je dan minder productief, dan zou ik niet zeggen dat je in een overmachtsituatie zit. Zou je net vrijdag een nieuw ict-netwerk uitrollen en zitten de printers nog in Wuhan in quarantaine, dan zou ik dat wel overmacht noemen. Daar is even niet zo veel aan te doen. (Tenzij een andere leverancier gewoon wel op tijd die printers kan leveren, ook al is het ietsie duurder.)

Arnoud