Ubisoft schakelt in september online-diensten 15 games uit, mag dat?

| AE 13437 | Ondernemingsvrijheid | 11 reacties

Ubisoft gaat op 1 september de online-diensten van 15 games ontoegankelijk maken, meldde Tweakers zondag. Zeven PC-titels verliezen ook al hun downloadbare content (dlc), zelfs als die al gekocht is. Opvallend is daarbij dat een aantal van deze games momenteel met korting aangeboden wordt, inclusief aanprijzing van hun ‘innovatieve multiplayermodus’ en extra dlc. Je gaat dan dus terug naar enkel single player modus met de basiscontent. Dat roept natuurlijk de vraag op, eh wat krijgen we nou, kan dat zomaar?

Het afsluiten van diensten voor oudere games kan een manier zijn om het bedrijf in korte tijd financieel gezonder en daarmee aantrekkelijker voor een overname te maken, zo sluit het artikel af. En dat is ook niet zo raar, want het in de lucht houden van online games is een dure kwestie met al die servers en bijbehorende infrastructuur. Maar vanuit spelersperspectief is dit wél raar, want je betaalt voor een spel met de belofte van online tegen anderen spelen (én dlc) en die belofte wordt dan eenzijdig ingetrokken.

Mijn cynische opener is dan altijd, welkom in de diensteneconomie. Want zo’n online game is een dienst, en diensten mag je op zeker moment stoppen. Daar hoef je niet eens een reden voor te hebben (zoals dat het onrendabel is), een voldoende lange opzegtermijn en/of een schadevergoeding is juridisch gezien eigenlijk al genoeg.

Maar sinds een tijdje is een online game juridisch gezien wel iets meer dan alleen een dienst. Er is speciale wetgeving in Boek 7 van het Burgerlijk wetboek voor zogeheten overeenkomsten voor de levering van digitale inhoud en digitale diensten tussen handelaren en consumenten. Dat wil zeggen (art. 7:50ab lid 1 sub a BW):

overeenkomsten waarbij de handelaar digitale inhoud of een digitale dienst aan de consument levert of zich ertoe verbindt die te leveren en de consument een prijs of een digitale weergave van waarde betaalt of zich ertoe verbindt die te betalen ongeacht of de digitale inhoud of digitale dienst volgens zijn specificaties is ontwikkeld;
Hierbij geldt een eigen conformiteitsvereiste, art. 7:50ad BW:
De afgeleverde digitale inhoud of digitale dienst moet aan de overeenkomst beantwoorden.
Deze zin kennen we van conformiteit van gewone producten, wat mensen ook wel de “wettelijke garantie” noemen. Het volgende artikel noemt een aantal criteria om te bepalen of een game voldoet:
  • wat betreft de beschrijving, hoeveelheid en kwaliteit, functionaliteit, compatibiliteit, interoperabiliteit en andere kenmerken, voldoen aan de overeenkomst;
  • van updates worden voorzien als bepaald in de overeenkomst;
  • beschikken over de hoeveelheid, kwaliteit en prestatiekenmerken, onder meer met betrekking tot functionaliteit, compatibiliteit, toegankelijkheid, continuïteit en beveiliging, waarover de digitale inhoud of digitale diensten van hetzelfde type gewoonlijk beschikken en die de consument gezien de aard van de digitale inhoud of digitale dienst redelijkerwijs mag verwachten, rekening houdend met publieke mededelingen die zijn gedaan door of namens de handelaar of andere personen in eerdere schakels van de transactieketen, in het bijzonder in reclameboodschappen of op etikettering.
Die laatste is natuurlijk interessant (hoe langer de tekst, hoe meer een jurist er uit kan halen natuurlijk). Want die term continuïteit gaat precies over dit soort situaties: je moet zo’n dienst kunnen afnemen gedurende de tijd die je mag verwachten bij dit soort games, dit platform et cetera. Daar valt dus heel veel over te discussiëren, maar gezien het doel van de achterliggende Europese regels ligt het voor mij voor de hand dat wat Ubisoft van plan is, er voor zorgt dat de games nonconform worden.

Alleen: wat dan? Artikel 7:50ai (haha, hij zei ai; BW) noemt het in mooi juridische taal:

Beantwoordt de afgeleverde digitale inhoud of digitale dienst niet aan de overeenkomst, dan is de consument bevoegd om nakoming te eisen, de prijs te verminderen in evenredigheid met de mate van afwijking van hetgeen is overeengekomen, of de overeenkomst te ontbinden.
Je geld terug is dus een optie, al zullen weinig mensen gaan procederen over deze bedragen – de proceskosten zijn ordegroottes hoger dan de aanschafprijs. Nakoming eisen is interessanter, er is vast een principiële strijder die maatschappelijke gerechtigdheid wil afdwingen. Dan kom je uit bij lid 2:
De consument is bevoegd om nakoming te eisen overeenkomstig lid 1 tenzij dat onmogelijk is of voor de handelaar onevenredige kosten met zich brengt, rekening houdend met alle omstandigheden van het geval, waaronder: a.de waarde die de digitale inhoud of digitale dienst zou hebben wanneer er geen gebrek zou zijn geweest; b.de omvang van het gebrek.
Ubisoft zal bij de online multiplayer variant meteen wijzen op die “onevenredige kosten”, ze zullen vast kunnen aantonen dat gezien het aantal spelers de kosten van de infrastructuur niet redelijk meer zijn. En dat lijkt dus een winnend argument te zijn op grond van de wet.

Afdwingen dat die gekochte dlc gewoon blijft werken lijkt me dan weer niet iets dat “onevenredige kosten” zou moeten kosten. Ik kan niet echt achterhalen waarom dit überhaupt nodig is, het moet te maken hebben met een serverside controle of je nog recht hebt op die dlc lijkt me. Dan zou het uitzetten van die check de simpele oplossing zijn die Ubisoft dan moet maken. Dat is zeker te verdedigen als “herstellen van het gebrek”, maar ook hier zal echt een principezaak nodig zijn bij de rechter om dat af te dwingen.

(De EULA van Ubisoft is hierbij volledig irrelevant gezien art. 7:50ap BW dat bepaalt dat alle bovengenoemde artikelen dwingend recht zijn en dus niet in de overeenkomst uitgesloten mogen worden. En dat Europees recht geldt, volgt weer uit andere Europese regels.)

Arnoud

Servers van iot-maker Insteon zijn zonder aankondiging offline gehaald, mag dat?

| AE 13293 | Informatiemaatschappij | 12 reacties

khaase / Pixabay

Smarthomeaanbieder Insteon heeft zijn servers offline gehaald, meldde Tweakers onlangs. Het bedrijf heeft dat niet aan klanten laten weten en medewerkers van het bedrijf lijken al hun online aanwezigheid te hebben verwijderd. Vervelend: zit je dan met je slimme huis, maar omdat alle communicatie via Insteon-servers moet gaan, kun je vrijwel niets meer. Gelukkig wordt het mooi weer de komende tijd.

Oké, dat laatste viel mee: je kunt lokaal (dus in huis zelf) alles nog wel bedienen, maar als je vanaf je werk de gordijnen wilt opendoen of de afwas alvast aanzetten, dan gaat dat niet. Maar nog steeds best vervelend dus.

Het is geen technisch probleem, maar een finance issue aldus de site:

In 2019, the onset of the global pandemic brought unforeseen disruption to the market, but the company continued to move forward. … [A] sale was expected to be realized in the March timeframe. Unfortunately, that sale did not materialize. Consequently, the company was assigned to a financial services firm in March to optimize the assets of the company.
In gewoon Nederlands, ja sorry we zijn failliet. En ja, dan houdt het wel een beetje op met je dienstverlening natuurlijk. Want SaaS en clouds, dat is juridisch gewoon dienstverlening met een stekker, en die kan er gewoon uit als er niet meer wordt betaald, als de dienstverlening stopt of als het bedrijf dat doet.

Zeker bij dat laatste is er natuurlijk geen juridisch redmiddel, het bedrijf zal verdwijnen en daarmee ook alle assets waarmee de dienst geleverd zou worden. Maar ook als men zou besluiten om een afgeslankte doorstart te maken, of gewoon deze dienst eruit te gooien om de boel gezond te krijgen, dan houdt het gewoon op. Dit is een gevolg van de gebrekkige regeling in de wet (niet alleen hier, maar ook in de VS) als het gaat om ict-dienstverlening: de regels zijn dezelfde als voor zeg schoonmakers of minstrelen, als ze geen zin meer hebben dan mogen ze stoppen, en jij moet maar een ander zoeken.

Arnoud

 

 

 

Als IT-er heb je een zorgplicht en daar moet je wel wat voor doen

| AE 12005 | Ondernemingsvrijheid | 20 reacties

Ik roep het al een tijd maar zo’n vonnis is toch altijd wel weer leuk: ja, je hebt écht een zorgplicht en dat betekent ook doorvragen en vasthoudend doen als de klant er niet aan wil. Doe je dat niet, en gaat er wat mis, dan hang jij voor de kosten die het bedrijf heeft geleden. Je komt niet weg met “ik heb het voorgesteld maar ze vonden het te duur / ze wilden er niet aan”. Onverstandig handelen op verzoek van de klant maakt je schadeplichtig. En nee, je algemene voorwaarden gaan je niet redden.

Het gaat om een uitspraak uit 2018 die nu pas is gepubliceerd. Een IT-dienstverlener en automatiseerder had aan een administratiekantoor aangeboden om de IT-infrastructuur opnieuw in te richten. Er werd een nieuw netwerk aangelegd en allerlei onderhoud uitgevoerd. Wat me daarbij opvalt, is dat er geen uitgebreide afspraken gemaakt maar op basis van goed vertrouwen tegen een vast tarief (380 euro per maand, ja maand) werd gewerkt.

In 2017 werd het kantoor slachtoffer van ransomware. Zij heeft ervoor gekozen te betalen en zo haar bestanden terug te krijgen, kennelijk de enige manier want er was iets met de backups en daar kom ik zo op. Een cybersecuritybedrijf kwam tot de bevinding dat er een backoffice-account was met een zwak wachtwoord én dat poort 443 open stond zodat je vanaf internet een remote desktop kon starten. In juridische taal: slordigheden.

Ook signaleerde het securitybedrijf dat er geen maatregelen omtrent wachtwoorden waren genomen, dat er niet met VPNs werd gewerkt én er dus geen fatsoenlijke backupvoorziening was. Met name dat laatste: “[Deze aanval] had voorkomen kunnen worden met een op de juiste manier ingeregelde backup.”

Wat was nu het probleem daarmee? Nou ja, er was bij het offertetraject gesproken over een “totaalpakket” aan IT-dienstverlening. Het kantoor stelde nu dat beveiliging daar natuurlijk ook bij hoort, wat in 2017 best wel redelijk was als uitgangspunt. En aangezien die duidelijk was verzaakt, moest het IT-bedrijf de kosten van herstel (de bitcoins) en bereddering (de factuur van het securitybedrijf) komen vergoeden.

Maar het IT-bedrijf wierp daartegen op dat de klant steeds al zijn voorstellen op dat gebied had afgewezen. Zo vond men een firewall te duur, en waren alle backupoplossingen te ingewikkeld – inclusief de oplossing van een externe USB schijf die je dan in het weekend mee naar huis nam. Ook had het personeel kennelijk moeite met stevige wachtwoorden, zodat in arren moede dan maar simpele wachtwoorden werden toegestaan.

Ik zie alle IT-ers nu enigszins schamper lachen; herkenbaar die situatie. En de juristen? Sommigen zijn nog poort 443 aan het googelen maar de rest denkt nu “ja maar je zorgplicht”.

Want ja, je hebt een zorgplicht als IT-leverancier (art. 7:401 BW). Dat wil zeggen dat je moet handelen zoals een ‘goed’ vakgenoot zou doen. Dat is een open norm, en het hangt dus volledig af van de situatie wat dat precies inhoudt. Maar wat het niet inhoudt, is dat als de klant zegt “eh firewall is te duur en wachtwoorden graag alleen letters” dat je dan zegt “oké gaan we doen, wat jij wil”. Het is en blijft jouw verantwoordelijkheid dat er een fatsoenlijke oplossing komt. Kan dat niet, dan moet je de opdracht teruggeven.

Iets specifieker, als de klant je opdraagt het op een ongepaste of onveilige manier te doen, dan zegt art. 7:402 BW:

De opdrachtnemer die op redelijke grond niet bereid is de opdracht volgens de hem gegeven aanwijzingen uit te voeren, kan, zo de opdrachtgever hem niettemin aan die aanwijzingen houdt, de overeenkomst opzeggen wegens gewichtige redenen.

Natuurlijk, klanten kunnen onverstandig en koppig zijn (zowel alle juristen als alle IT-ers glimlachen nu van herkenbaarheid) maar aangezien jij de professional op dit gebied bent, moet jij die klant bij z’n nekvel pakken en zeggen, zo kan het niet wat u wil. We kunnen het zus doen of zo. Je zet dan bijvoorbeeld alle desktop-firewalls dicht of configureert de router zodat er niet op afstand gewerkt kan worden. Wil men dat toch, ja dan is dat meerwerk want dat moet wel veilig.

Zoals de rechter het formuleert:

Gelet op de afspraak dat hij een totaalpakket inclusief beveiliging zou leveren, in combinatie met zijn professionele deskundigheid, kon hij niet volstaan met een enkele waarschuwing en berusten in de keuzes van O’Cliance.

Dit wil natuurlijk niet zeggen dat je tot in lengte van dagen moet blijven ploeteren tegen de wens van de klant in, zonder extra kosten te mogen rekenen omdat je nu eenmaal een vast maandtarief had afgerekend. Je kúnt op zeker punt best zeggen, goed, dit is het en vanaf hier is het jouw risico. Maar dat kan pas als je uitgebreid hebt voorgelicht en gewaarschuwd, wat niet hetzelfde is als “dit lijkt me niet veilig maar oké”. En ook niet als “artikel 14.3 van mijn algemene voorwaarden zegt dat de gevolgen van klantkeuzes voor zijn rekening komen”, zoals sommige IT-ers nog wel lijken te denken.

Op één punt had de IT-er het wel goed gedaan en dat waren die zwakke wachtwoorden. Hij had eerst keurig ingewikkelde wachtwoorden ingesteld, maar de klant had daar moeilijk over gedaan. En pas na diverse rondes discussie én een uitdrukkelijke waarschuwing gaf hij zich gewonnen:

Met betrekking tot deze wachtwoorden staat bovendien vast dat [gedaagde] aanvankelijk complexe wachtwoorden had ingesteld, maar dat hij deze op uitdrukkelijk verzoek van [het administratiekantoor] heeft vereenvoudigd. Op de zitting heeft [betrokkene] hierover verklaard dat hij herhaaldelijk met [gedaagde] over de wachtwoorden heeft gesproken en dat hij zich ervan bewust was dat het gebruik van simpele wachtwoorden risico’s met zich bracht.

Daarom komt een derde van de schade voor eigen risico van de klant. En die schade? Ja, een slordige 15 duizend euro: gederfde omzet door bedrijfsstilstand, de kosten van het onderzoek én de drie bitcoins die nodig waren om de data terug te krijgen. Wellicht dat algemene voorwaarden deze vordering iets hadden kunnen dempen, maar schending van je zorgplicht is een vrij fundamenteel ding dus denk niet dat je wegkomt met enkel dat zinnetje “gederfde omzet komt niet voor vergoeding in aanmerking” of iets dergelijks.

De belangrijkste les voor mij: zorg dat je blijft communiceren met je klant en dat je daarin de risico’s ook écht duidelijk maakt. In taal die de klant snapt, met waarschuwingen die er niet om liegen en blijf aandringen op een bevestiging van de vorm “ik snap de risico’s en ik wil het tóch zo”. Dat doe je in de conversatie, niet verstopt in je voorwaarden en niet met een bulletpoint in je offerte. En die conversatie die log je en je komt erop terug als de situatie rijp lijkt voor verbetering. Dat is hoe een goed IT-er zorgt voor zijn klanten.

Arnoud

Sonos-speakers mogelijk onbruikbaar bij weigeren privacyvoorwaarden

| AE 9622 | Innovatie | 29 reacties

Gebruikers die niet instemmen met de nieuwe privacyvoorwaarden van Sonos, riskeren mogelijk dat hun speakers op termijn niet meer werken. Dat meldde Nu.nl eerder deze week. De speakerfabrikant gaat de apparaten voorzien van stemassistent Alexa van AmazonGoogle, en dat vereist een akkoord op privacyvoorwaarden. Wie dat weigert, kan geen updates meer installeren en zal dus… Lees verder

Ja, als ICT-dienstverlener moet je gewoon backups maken bij je klanten

| AE 9536 | Ondernemingsvrijheid | 21 reacties

Als ICT-dienstverlener heb je gewoon de plicht om backups te maken alvorens je dingen gaat doen waarbij dataverlies kan optreden. Dat maak ik op uit een recent vonnis over een huisartsenpraktijk waar een aardige database verloren ging door de afwezigheid van die backup. De ICT-dienstverlener krijgt dit voor de voeten geworpen. Wat precies de schade… Lees verder

Wanneer moet je als IT-dienstverlener backups maken bij je klant?

| AE 9207 | Ondernemingsvrijheid | 14 reacties

Backup, backup, backup. Het mantra voor veel IT-bedrijven en dienstverleners. Zeker als je bij klanten dingen gaat wijzigen of toevoegen, dan maak je altijd eerst een backup. Want als er dan iets misgaat en de klant is zijn data kwijt, dan heb je alsnog iets om op terug te vallen. Een stukje zorgplicht. In deze… Lees verder

Hoe rampzalig zijn de nieuwe btw-regels voor online ondernemers?

| AE 7299 | Ondernemingsvrijheid | 89 reacties

Sinds 1 januari gelden er nieuwe regels voor het heffen van btw aan consumenten, als je tenminste geautomatiseerde online diensten of software levert. Kort gezegd: je moet het btw-tarief rekenen dat in het land van de consument geldt voor het soort dienst dat je aan die consument verkoopt. En het is jouw probleem om uit… Lees verder

Zijn mijn workshops annuleerbaar onder de Wet koop op afstand?

| AE 6071 | Ondernemingsvrijheid | 2 reacties

Een lezer vroeg me: Ik organiseer workshops voor creatievelingen en laat mensen via internet boeken. Dat kunnen zowel individuele privépersonen als bedrijven zijn (personeelsuitjes). Maar nu wil iemand de inschrijving annuleren onder de Wet koop op afstand. Kan dat zomaar? Ik heb al kosten gemaakt! Ook bij dienstverlening die via internet wordt afgenomen, geldt de… Lees verder