Sonos-speakers mogelijk onbruikbaar bij weigeren privacyvoorwaarden

| AE 9622 | Innovatie | 28 reacties

Gebruikers die niet instemmen met de nieuwe privacyvoorwaarden van Sonos, riskeren mogelijk dat hun speakers op termijn niet meer werken. Dat meldde Nu.nl eerder deze week. De speakerfabrikant gaat de apparaten voorzien van stemassistent Alexa van AmazonGoogle, en dat vereist een akkoord op privacyvoorwaarden. Wie dat weigert, kan geen updates meer installeren en zal dus op zeker moment functionaliteit verliezen. Ja, dat krijg je er van als je van een producten- naar een dienstenmaatschappij verschuift.

Voor veel mensen is dit nogal een verrassing: koop je een duur apparaat, en krijg je na een jaar of zo te horen dat er ineens allerlei privacy-dingen aan vast zitten waar je mee akkoord moet gaan als je niet wilt blijven zitten met een dure presse-papier. Maar juridisch klopt het, en niet omdat je bij aankoop maar beter de voorwaarden had moeten lezen: een Sonos is een abonnement, geen productaanschaf.

Natuurlijk, dat ding met stekker is een best wel feitelijk object dus dat koop je. Maar dat ding is op zich voor weinig dingen bruikbaar. Daar heb je een account voor nodig, zodat je bijvoorbeeld radiostations kunt ontvangen, een koppeling met Spotify of andere diensten kunt maken en andere muziekbronnen kunt streamen. En daar zit hem de crux: het zwaartepunt van de transactie om de Sonos te krijgen is die dienstverlening, dus wordt die transactie in principe als dienst gezien.

De wet kent al heel wat decennia regels over dienstverlening. Alleen zijn die geschreven voor situaties waarin mensen (of bedrijven met mensen) die diensten leveren. Denk aan schoonmakers, nannies, bezorgdiensten, vuilophaling, onderhoudscontracten en dergelijke. De regels uit de wet zijn dan ook geschreven om die situaties te reguleren. Zo staat er best goed geregeld wanneer een dienstverlener mag opzeggen of hoe en wanneer hij recht heeft op geld.

Wat niet in de wet staat, is hoe de voorwaarden mogen worden gewijzigd. Daar komen mensen onderling wel uit, was de gedachte. Specifiek bij consumentencontracten staat er een en ander op de zwarte en grijze lijsten voor algemene voorwaarden, om hen te beschermen tegen al te eenzijdige voorwaarden van dienstverleners. Kort gezegd komt het erop neer dat je kosteloos van je contract af kunt als men het zomaar ineens helemaal omgooit.

Dat is heel leuk bij een vuilophaaldienst of een schoonmaker, maar bij een Sonos heb je daar weinig aan. Daar wil je juist niet opzeggen, want dan heb je niets meer aan het apparaat. Je wilt eigenlijk juist dat bij afwijzen van de voorwaarden de huidige diensten geleverd blijven, zodat je in ieder geval kunt genieten van de dienst zoals oorspronkelijk afgenomen. Maar daar biedt de wet geen grondslag voor.

Conformiteit van het apparaat dan? Dat doet ineens niet meer wat je ervan mocht verwachten. Daar twijfel ik dus over. Volgens mij is er nog steeds niets mis met het apparaat. De slechte werking of geschonden verwachtingen zitten hem in de dienst die bij het apparaat hoort, en volgens mij kun je dat niet toerekenen aan het apparaat. (Iets juridischer: ik zie de overeenkomst namelijk niet als een koopovereenkomst, maar als een gemengde koop/dienst-overeenkomst met het zwaartepunt op de dienst.)

Nieuw mantra: Je bent geen eigenaar van je data, alle diensten die je koopt mogen zomaar stoppen of wijzigen en apparaten kunnen zomaar onbruikbaar worden. Leuk man, die informatiemaatschappij.

Arnoud

Ja, als ICT-dienstverlener moet je gewoon backups maken bij je klanten

| AE 9536 | Aansprakelijkheid | 21 reacties

Als ICT-dienstverlener heb je gewoon de plicht om backups te maken alvorens je dingen gaat doen waarbij dataverlies kan optreden. Dat maak ik op uit een recent vonnis over een huisartsenpraktijk waar een aardige database verloren ging door de afwezigheid van die backup. De ICT-dienstverlener krijgt dit voor de voeten geworpen. Wat precies de schade is, moet nog worden bepaald. In ieder geval vallen daar de kosten onder van het inschakelen van een waarnemend huisarts.

Dit is het vervolg op de zaak waar ik in januari over blogde. In het algemeen lijkt het goed af te lopen voor deze IT-leverancier, schreef ik toen. Maar dat valt nu tegen:

De rechtbank heeft al geoordeeld dat tijdsdruk geen goede reden was om van het maken van een back-up (of controle daarvan) af te zien, kort gezegd vanwege het grote belang van [eiseres] c.s. bij haar praktijkgegevens en omdat [gedaagde] haar niet vooraf had gewaarschuwd voor de risico’s (tussenvonnis onder 4.6). Wat [gedaagde] daarover bij akte heeft aangevoerd, doet niets af aan zijn verantwoordelijkheid als deskundig ICT-dienstverlener jegens [eiseres] c.s. [gedaagde] kan zich niet verschuilen achter een beweerd blind uitvoeren van ‘opdrachten’ van [eiseres] c.s. zonder deze te hebben gewaarschuwd voor de daaraan verbonden risico’s.

De rechtbank doet nu einduitspraak. Voorop staat dat je als “redelijk bekwaam en redelijk handelend ICT-dienstverlener” er niet zomaar op mag vertrouwen dat de backup die de klant zelf claimt te hebben, goed genoeg is. In ieder geval niet in situaties waarin het belang van die backup groot is (de administratie van een huisartsenpraktijk) en waarin de documentatie bij upgrade die je gaat uitvoeren expliciet waarschuwt “maak een backup”. Dan moet je écht controleren of deze klopt.

Doe je dat niet, dan hang je:

Indien [gedaagde] niet in staat was om de bestaande back-up te controleren, zoals hij lijkt te stellen (akte onder 34 en 35), had hij een nieuwe back-up moeten (laten) maken (al dan niet op zijn eigen server) en deze moeten controleren. [gedaagde] heeft dit alles niet gedaan en dat is aan te merken als een toerekenbare tekortkoming in de nakoming van haar verplichtingen uit de overeenkomst.

En nee, algemene voorwaarden hadden hier waarschijnlijk niet bij geholpen. De rechtbank laat doorschemeren dat deze tekortkoming volgt uit het verzaken van de zorgplicht die je als dienstverlener hebt. Botweg de aansprakelijkheid voor zulk verzaken uitsluiten gaat gewoon niet, dat is niet redelijk. Je gaat gewoon betalen als je klantdata kwijtmaakt of niet zorgt voor een goede backup.

Mogelijk had een expliciete waiver hier wel geholpen. Dan zeg je als dienstverlener “u, klant, wilt iets héél onverstandigs en u tekent hierbij voor afzien van aansprakelijkheidstelling”. Dat kan, maar het moet wel redelijk zijn. Dus dat in je algemene voorwaarden: vergeet het maar. Een op maat gesneden tekst (“Gezien de bloedspoed bij de klus en de schriftelijke verzekering van KPN dat u een online backup heeft, ziet u af van een backup voordat ik begin”) gaat het denk ik wel redden.

Alleen: de tijd die je daarmee bezig bent, is waarschijnlijk vergelijkbaar met de tijd om gewoon even een backup te maken. Of ik mis iets en backups maken is anno 2017 toch nog heel tijdrovend en ingewikkeld.

(Het wordt wel een beetje de week van dataverlies&backup deze week, maar goed, data ís nu eenmaal de kern van ICT-diensten.)

Arnoud

Wanneer moet je als IT-dienstverlener backups maken bij je klant?

| AE 9207 | Aansprakelijkheid | 14 reacties

Backup, backup, backup. Het mantra voor veel IT-bedrijven en dienstverleners. Zeker als je bij klanten dingen gaat wijzigen of toevoegen, dan maak je altijd eerst een backup. Want als er dan iets misgaat en de klant is zijn data kwijt, dan heb je alsnog iets om op terug te vallen. Een stukje zorgplicht.

In deze zaak

Een IT-bedrijf zou bij een huisartsenpraktijk de Office-infrastructuur komen herzien, waarbij gekozen was voor een simpele backupoplossing met usb-schijven omdat backups via internet veel te traag bleken. Een simpel scriptje dat elke nacht om drie uur een backup maakt, daar kan weinig mis aan gaan toch?

Op zeker moment daarna kwam de leverancier van het medisch pakket Promedico met een nieuwe versie, met in de nieuwsbrief de verstandige aanbeveling ‘Zorg voor een recente back-up.’ Het IT-bedrijf voerde de nieuwe versie door, maar na enige problemen in de werking werd Promedico zelf erbij gehaald en die deden een hernieuwde installatie met dataverlies. Eh oeps. En toen bleken die usb-schijven geen correcte backup te hebben. Dubbel oeps.

Wie is dit nu te verwijten? De huisartsen meenden het IT-bedrijf, maar die kon met zijn offerte (en vooral het afgekeurde stukje van de internetbackupdienst) dat pareren. Als de klant geen backupdienst wil, maar alleen drie usb-schijven, dan houdt het op zeker moment op voor je zorgplicht. Vooral de prijs gaf de doorslag: wie als ondernemer Office-diensten afneemt voor 219 euro per maand, moet weten dat daar geen volledige handjevasthouden-backupdienst bij zal zitten.

Wel had de IT-er een zorgplicht om te kijken of het gebruikte backupscript geen al te rare dingen deed. Daar is eerdere jurisprudentie over: je hebt gewoon een algemene zorgplicht, en daar hoort bij dat je de klant waarschuwt bij dingen die je weet of had moeten weten, of ze dat nu besteld hadden of niet. Maar dat maakt hier niet uit, want het script maakte geen rare fouten. (Wie kan uit het vonnis halen wat de configuratiefout was?)

Maar dan die installatie zonder voorafgaande aparte backup. Sowieso is dat al een best practice, maar als de softwareleverancier dat ook nog eens apart aanraadt, waarom zou je het dan niet doen?

Op zichzelf genomen lag het op de weg van [gedaagde] om als zorgvuldig IT-dienstverlener overeenkomstig het advies in de aanbiedingsbrief van Promedico (zie 2.6.) een back-up te maken alvorens de update te installeren. Een mogelijk aandringen van de zijde van [eiseres] c.s. om de update overdag in plaats van buiten werktijd te installeren, kan geen voldoende reden zijn om dat na te laten, mede gelet op het belang van de gegevens voor de praktijkvoering van [eiseres] c.s., tenzij [gedaagde] vóór de installatie [eiseres] c.s. erop heeft gewezen dat zij (om die reden) geen back-up zou maken. [gedaagde] heeft echter niet aangevoerd dat zij [eiseres] c.s. hierop heeft gewezen.

Iets lastiger ligt het verweer dat zo’n backup zou zijn gemaakt door gewoon dat backupscript even een keertje extra uit te voeren, zodat je dan alsnog een onbruikbare backup zou hebben. Zo backuppen ligt immers meer voor de hand dan apart handmatig uit te zoeken wat te backuppen en dat naar een ander medium te halen.

Het pakket Promedico bleek ook nog een eigen backupfunctie te hebben, en ik vermoed dan ook dat de IT-er geen eigen backup had gemaakt omdat hij er vanuit ging dat Promedico dat wel zou doen. Waarom die backupfunctie niet werkte, blijft even in het midden. Daarom gelast de rechter vervolgonderzoek naar in hoeverre dit nu uiteindelijk verschil had kunnen maken. Maar in het algemeen lijkt het goed af te lopen voor deze IT-leverancier.

Arnoud

Hoe rampzalig zijn de nieuwe btw-regels voor online ondernemers?

| AE 7299 | Contracten, Webwinkels | 89 reacties

Sinds 1 januari gelden er nieuwe regels voor het heffen van btw aan consumenten, als je tenminste geautomatiseerde online diensten of software levert. Kort gezegd: je moet het btw-tarief rekenen dat in het land van de consument geldt voor het soort dienst dat je aan die consument verkoopt. En het is jouw probleem om uit… Lees verder

Zijn mijn workshops annuleerbaar onder de Wet koop op afstand?

| AE 6071 | Contracten, Webwinkels | 2 reacties

Let op: op 13 juni 2014 is de consumentenwetgeving ingrijpend veranderd. De onderstaande blog is daarom mogelijk verouderd. Voor actuele informatie zie Webwinkelrecht.nl. Een lezer vroeg me: Ik organiseer workshops voor creatievelingen en laat mensen via internet boeken. Dat kunnen zowel individuele privépersonen als bedrijven zijn (personeelsuitjes). Maar nu wil iemand de inschrijving annuleren onder… Lees verder