Ubisoft schakelt in september online-diensten 15 games uit, mag dat?

OpenClipart-Vectors / Pixabay

Ubisoft gaat op 1 september de online-diensten van 15 games ontoegankelijk maken, meldde Tweakers zondag. Zeven PC-titels verliezen ook al hun downloadbare content (dlc), zelfs als die al gekocht is. Opvallend is daarbij dat een aantal van deze games momenteel met korting aangeboden wordt, inclusief aanprijzing van hun ‘innovatieve multiplayermodus’ en extra dlc. Je gaat dan dus terug naar enkel single player modus met de basiscontent. Dat roept natuurlijk de vraag op, eh wat krijgen we nou, kan dat zomaar?

Het afsluiten van diensten voor oudere games kan een manier zijn om het bedrijf in korte tijd financieel gezonder en daarmee aantrekkelijker voor een overname te maken, zo sluit het artikel af. En dat is ook niet zo raar, want het in de lucht houden van online games is een dure kwestie met al die servers en bijbehorende infrastructuur. Maar vanuit spelersperspectief is dit wél raar, want je betaalt voor een spel met de belofte van online tegen anderen spelen (én dlc) en die belofte wordt dan eenzijdig ingetrokken.

Mijn cynische opener is dan altijd, welkom in de diensteneconomie. Want zo’n online game is een dienst, en diensten mag je op zeker moment stoppen. Daar hoef je niet eens een reden voor te hebben (zoals dat het onrendabel is), een voldoende lange opzegtermijn en/of een schadevergoeding is juridisch gezien eigenlijk al genoeg.

Maar sinds een tijdje is een online game juridisch gezien wel iets meer dan alleen een dienst. Er is speciale wetgeving in Boek 7 van het Burgerlijk wetboek voor zogeheten overeenkomsten voor de levering van digitale inhoud en digitale diensten tussen handelaren en consumenten. Dat wil zeggen (art. 7:50ab lid 1 sub a BW):

overeenkomsten waarbij de handelaar digitale inhoud of een digitale dienst aan de consument levert of zich ertoe verbindt die te leveren en de consument een prijs of een digitale weergave van waarde betaalt of zich ertoe verbindt die te betalen ongeacht of de digitale inhoud of digitale dienst volgens zijn specificaties is ontwikkeld;
Hierbij geldt een eigen conformiteitsvereiste, art. 7:50ad BW:
De afgeleverde digitale inhoud of digitale dienst moet aan de overeenkomst beantwoorden.
Deze zin kennen we van conformiteit van gewone producten, wat mensen ook wel de “wettelijke garantie” noemen. Het volgende artikel noemt een aantal criteria om te bepalen of een game voldoet:
  • wat betreft de beschrijving, hoeveelheid en kwaliteit, functionaliteit, compatibiliteit, interoperabiliteit en andere kenmerken, voldoen aan de overeenkomst;
  • van updates worden voorzien als bepaald in de overeenkomst;
  • beschikken over de hoeveelheid, kwaliteit en prestatiekenmerken, onder meer met betrekking tot functionaliteit, compatibiliteit, toegankelijkheid, continuïteit en beveiliging, waarover de digitale inhoud of digitale diensten van hetzelfde type gewoonlijk beschikken en die de consument gezien de aard van de digitale inhoud of digitale dienst redelijkerwijs mag verwachten, rekening houdend met publieke mededelingen die zijn gedaan door of namens de handelaar of andere personen in eerdere schakels van de transactieketen, in het bijzonder in reclameboodschappen of op etikettering.
Die laatste is natuurlijk interessant (hoe langer de tekst, hoe meer een jurist er uit kan halen natuurlijk). Want die term continuïteit gaat precies over dit soort situaties: je moet zo’n dienst kunnen afnemen gedurende de tijd die je mag verwachten bij dit soort games, dit platform et cetera. Daar valt dus heel veel over te discussiëren, maar gezien het doel van de achterliggende Europese regels ligt het voor mij voor de hand dat wat Ubisoft van plan is, er voor zorgt dat de games nonconform worden.

Alleen: wat dan? Artikel 7:50ai (haha, hij zei ai; BW) noemt het in mooi juridische taal:

Beantwoordt de afgeleverde digitale inhoud of digitale dienst niet aan de overeenkomst, dan is de consument bevoegd om nakoming te eisen, de prijs te verminderen in evenredigheid met de mate van afwijking van hetgeen is overeengekomen, of de overeenkomst te ontbinden.
Je geld terug is dus een optie, al zullen weinig mensen gaan procederen over deze bedragen – de proceskosten zijn ordegroottes hoger dan de aanschafprijs. Nakoming eisen is interessanter, er is vast een principiële strijder die maatschappelijke gerechtigdheid wil afdwingen. Dan kom je uit bij lid 2:
De consument is bevoegd om nakoming te eisen overeenkomstig lid 1 tenzij dat onmogelijk is of voor de handelaar onevenredige kosten met zich brengt, rekening houdend met alle omstandigheden van het geval, waaronder: a.de waarde die de digitale inhoud of digitale dienst zou hebben wanneer er geen gebrek zou zijn geweest; b.de omvang van het gebrek.
Ubisoft zal bij de online multiplayer variant meteen wijzen op die “onevenredige kosten”, ze zullen vast kunnen aantonen dat gezien het aantal spelers de kosten van de infrastructuur niet redelijk meer zijn. En dat lijkt dus een winnend argument te zijn op grond van de wet.

Afdwingen dat die gekochte dlc gewoon blijft werken lijkt me dan weer niet iets dat “onevenredige kosten” zou moeten kosten. Ik kan niet echt achterhalen waarom dit überhaupt nodig is, het moet te maken hebben met een serverside controle of je nog recht hebt op die dlc lijkt me. Dan zou het uitzetten van die check de simpele oplossing zijn die Ubisoft dan moet maken. Dat is zeker te verdedigen als “herstellen van het gebrek”, maar ook hier zal echt een principezaak nodig zijn bij de rechter om dat af te dwingen.

(De EULA van Ubisoft is hierbij volledig irrelevant gezien art. 7:50ap BW dat bepaalt dat alle bovengenoemde artikelen dwingend recht zijn en dus niet in de overeenkomst uitgesloten mogen worden. En dat Europees recht geldt, volgt weer uit andere Europese regels.)

Arnoud

Servers van iot-maker Insteon zijn zonder aankondiging offline gehaald, mag dat?

khaase / Pixabay

Smarthomeaanbieder Insteon heeft zijn servers offline gehaald, meldde Tweakers onlangs. Het bedrijf heeft dat niet aan klanten laten weten en medewerkers van het bedrijf lijken al hun online aanwezigheid te hebben verwijderd. Vervelend: zit je dan met je slimme huis, maar omdat alle communicatie via Insteon-servers moet gaan, kun je vrijwel niets meer. Gelukkig wordt het mooi weer de komende tijd.

Oké, dat laatste viel mee: je kunt lokaal (dus in huis zelf) alles nog wel bedienen, maar als je vanaf je werk de gordijnen wilt opendoen of de afwas alvast aanzetten, dan gaat dat niet. Maar nog steeds best vervelend dus.

Het is geen technisch probleem, maar een finance issue aldus de site:

In 2019, the onset of the global pandemic brought unforeseen disruption to the market, but the company continued to move forward. … [A] sale was expected to be realized in the March timeframe. Unfortunately, that sale did not materialize. Consequently, the company was assigned to a financial services firm in March to optimize the assets of the company.
In gewoon Nederlands, ja sorry we zijn failliet. En ja, dan houdt het wel een beetje op met je dienstverlening natuurlijk. Want SaaS en clouds, dat is juridisch gewoon dienstverlening met een stekker, en die kan er gewoon uit als er niet meer wordt betaald, als de dienstverlening stopt of als het bedrijf dat doet.

Zeker bij dat laatste is er natuurlijk geen juridisch redmiddel, het bedrijf zal verdwijnen en daarmee ook alle assets waarmee de dienst geleverd zou worden. Maar ook als men zou besluiten om een afgeslankte doorstart te maken, of gewoon deze dienst eruit te gooien om de boel gezond te krijgen, dan houdt het gewoon op. Dit is een gevolg van de gebrekkige regeling in de wet (niet alleen hier, maar ook in de VS) als het gaat om ict-dienstverlening: de regels zijn dezelfde als voor zeg schoonmakers of minstrelen, als ze geen zin meer hebben dan mogen ze stoppen, en jij moet maar een ander zoeken.

Arnoud

 

 

 

Als IT-er heb je een zorgplicht en daar moet je wel wat voor doen

Ik roep het al een tijd maar zo’n vonnis is toch altijd wel weer leuk: ja, je hebt écht een zorgplicht en dat betekent ook doorvragen en vasthoudend doen als de klant er niet aan wil. Doe je dat niet, en gaat er wat mis, dan hang jij voor de kosten die het bedrijf heeft geleden. Je komt niet weg met “ik heb het voorgesteld maar ze vonden het te duur / ze wilden er niet aan”. Onverstandig handelen op verzoek van de klant maakt je schadeplichtig. En nee, je algemene voorwaarden gaan je niet redden.

Het gaat om een uitspraak uit 2018 die nu pas is gepubliceerd. Een IT-dienstverlener en automatiseerder had aan een administratiekantoor aangeboden om de IT-infrastructuur opnieuw in te richten. Er werd een nieuw netwerk aangelegd en allerlei onderhoud uitgevoerd. Wat me daarbij opvalt, is dat er geen uitgebreide afspraken gemaakt maar op basis van goed vertrouwen tegen een vast tarief (380 euro per maand, ja maand) werd gewerkt.

In 2017 werd het kantoor slachtoffer van ransomware. Zij heeft ervoor gekozen te betalen en zo haar bestanden terug te krijgen, kennelijk de enige manier want er was iets met de backups en daar kom ik zo op. Een cybersecuritybedrijf kwam tot de bevinding dat er een backoffice-account was met een zwak wachtwoord én dat poort 443 open stond zodat je vanaf internet een remote desktop kon starten. In juridische taal: slordigheden.

Ook signaleerde het securitybedrijf dat er geen maatregelen omtrent wachtwoorden waren genomen, dat er niet met VPNs werd gewerkt én er dus geen fatsoenlijke backupvoorziening was. Met name dat laatste: “[Deze aanval] had voorkomen kunnen worden met een op de juiste manier ingeregelde backup.”

Wat was nu het probleem daarmee? Nou ja, er was bij het offertetraject gesproken over een “totaalpakket” aan IT-dienstverlening. Het kantoor stelde nu dat beveiliging daar natuurlijk ook bij hoort, wat in 2017 best wel redelijk was als uitgangspunt. En aangezien die duidelijk was verzaakt, moest het IT-bedrijf de kosten van herstel (de bitcoins) en bereddering (de factuur van het securitybedrijf) komen vergoeden.

Maar het IT-bedrijf wierp daartegen op dat de klant steeds al zijn voorstellen op dat gebied had afgewezen. Zo vond men een firewall te duur, en waren alle backupoplossingen te ingewikkeld – inclusief de oplossing van een externe USB schijf die je dan in het weekend mee naar huis nam. Ook had het personeel kennelijk moeite met stevige wachtwoorden, zodat in arren moede dan maar simpele wachtwoorden werden toegestaan.

Ik zie alle IT-ers nu enigszins schamper lachen; herkenbaar die situatie. En de juristen? Sommigen zijn nog poort 443 aan het googelen maar de rest denkt nu “ja maar je zorgplicht”.

Want ja, je hebt een zorgplicht als IT-leverancier (art. 7:401 BW). Dat wil zeggen dat je moet handelen zoals een ‘goed’ vakgenoot zou doen. Dat is een open norm, en het hangt dus volledig af van de situatie wat dat precies inhoudt. Maar wat het niet inhoudt, is dat als de klant zegt “eh firewall is te duur en wachtwoorden graag alleen letters” dat je dan zegt “oké gaan we doen, wat jij wil”. Het is en blijft jouw verantwoordelijkheid dat er een fatsoenlijke oplossing komt. Kan dat niet, dan moet je de opdracht teruggeven.

Iets specifieker, als de klant je opdraagt het op een ongepaste of onveilige manier te doen, dan zegt art. 7:402 BW:

De opdrachtnemer die op redelijke grond niet bereid is de opdracht volgens de hem gegeven aanwijzingen uit te voeren, kan, zo de opdrachtgever hem niettemin aan die aanwijzingen houdt, de overeenkomst opzeggen wegens gewichtige redenen.

Natuurlijk, klanten kunnen onverstandig en koppig zijn (zowel alle juristen als alle IT-ers glimlachen nu van herkenbaarheid) maar aangezien jij de professional op dit gebied bent, moet jij die klant bij z’n nekvel pakken en zeggen, zo kan het niet wat u wil. We kunnen het zus doen of zo. Je zet dan bijvoorbeeld alle desktop-firewalls dicht of configureert de router zodat er niet op afstand gewerkt kan worden. Wil men dat toch, ja dan is dat meerwerk want dat moet wel veilig.

Zoals de rechter het formuleert:

Gelet op de afspraak dat hij een totaalpakket inclusief beveiliging zou leveren, in combinatie met zijn professionele deskundigheid, kon hij niet volstaan met een enkele waarschuwing en berusten in de keuzes van O’Cliance.

Dit wil natuurlijk niet zeggen dat je tot in lengte van dagen moet blijven ploeteren tegen de wens van de klant in, zonder extra kosten te mogen rekenen omdat je nu eenmaal een vast maandtarief had afgerekend. Je kúnt op zeker punt best zeggen, goed, dit is het en vanaf hier is het jouw risico. Maar dat kan pas als je uitgebreid hebt voorgelicht en gewaarschuwd, wat niet hetzelfde is als “dit lijkt me niet veilig maar oké”. En ook niet als “artikel 14.3 van mijn algemene voorwaarden zegt dat de gevolgen van klantkeuzes voor zijn rekening komen”, zoals sommige IT-ers nog wel lijken te denken.

Op één punt had de IT-er het wel goed gedaan en dat waren die zwakke wachtwoorden. Hij had eerst keurig ingewikkelde wachtwoorden ingesteld, maar de klant had daar moeilijk over gedaan. En pas na diverse rondes discussie én een uitdrukkelijke waarschuwing gaf hij zich gewonnen:

Met betrekking tot deze wachtwoorden staat bovendien vast dat [gedaagde] aanvankelijk complexe wachtwoorden had ingesteld, maar dat hij deze op uitdrukkelijk verzoek van [het administratiekantoor] heeft vereenvoudigd. Op de zitting heeft [betrokkene] hierover verklaard dat hij herhaaldelijk met [gedaagde] over de wachtwoorden heeft gesproken en dat hij zich ervan bewust was dat het gebruik van simpele wachtwoorden risico’s met zich bracht.

Daarom komt een derde van de schade voor eigen risico van de klant. En die schade? Ja, een slordige 15 duizend euro: gederfde omzet door bedrijfsstilstand, de kosten van het onderzoek én de drie bitcoins die nodig waren om de data terug te krijgen. Wellicht dat algemene voorwaarden deze vordering iets hadden kunnen dempen, maar schending van je zorgplicht is een vrij fundamenteel ding dus denk niet dat je wegkomt met enkel dat zinnetje “gederfde omzet komt niet voor vergoeding in aanmerking” of iets dergelijks.

De belangrijkste les voor mij: zorg dat je blijft communiceren met je klant en dat je daarin de risico’s ook écht duidelijk maakt. In taal die de klant snapt, met waarschuwingen die er niet om liegen en blijf aandringen op een bevestiging van de vorm “ik snap de risico’s en ik wil het tóch zo”. Dat doe je in de conversatie, niet verstopt in je voorwaarden en niet met een bulletpoint in je offerte. En die conversatie die log je en je komt erop terug als de situatie rijp lijkt voor verbetering. Dat is hoe een goed IT-er zorgt voor zijn klanten.

Arnoud

Sonos-speakers mogelijk onbruikbaar bij weigeren privacyvoorwaarden

Gebruikers die niet instemmen met de nieuwe privacyvoorwaarden van Sonos, riskeren mogelijk dat hun speakers op termijn niet meer werken. Dat meldde Nu.nl eerder deze week. De speakerfabrikant gaat de apparaten voorzien van stemassistent Alexa van AmazonGoogle, en dat vereist een akkoord op privacyvoorwaarden. Wie dat weigert, kan geen updates meer installeren en zal dus op zeker moment functionaliteit verliezen. Ja, dat krijg je er van als je van een producten- naar een dienstenmaatschappij verschuift.

Voor veel mensen is dit nogal een verrassing: koop je een duur apparaat, en krijg je na een jaar of zo te horen dat er ineens allerlei privacy-dingen aan vast zitten waar je mee akkoord moet gaan als je niet wilt blijven zitten met een dure presse-papier. Maar juridisch klopt het, en niet omdat je bij aankoop maar beter de voorwaarden had moeten lezen: een Sonos is een abonnement, geen productaanschaf.

Natuurlijk, dat ding met stekker is een best wel feitelijk object dus dat koop je. Maar dat ding is op zich voor weinig dingen bruikbaar. Daar heb je een account voor nodig, zodat je bijvoorbeeld radiostations kunt ontvangen, een koppeling met Spotify of andere diensten kunt maken en andere muziekbronnen kunt streamen. En daar zit hem de crux: het zwaartepunt van de transactie om de Sonos te krijgen is die dienstverlening, dus wordt die transactie in principe als dienst gezien.

De wet kent al heel wat decennia regels over dienstverlening. Alleen zijn die geschreven voor situaties waarin mensen (of bedrijven met mensen) die diensten leveren. Denk aan schoonmakers, nannies, bezorgdiensten, vuilophaling, onderhoudscontracten en dergelijke. De regels uit de wet zijn dan ook geschreven om die situaties te reguleren. Zo staat er best goed geregeld wanneer een dienstverlener mag opzeggen of hoe en wanneer hij recht heeft op geld.

Wat niet in de wet staat, is hoe de voorwaarden mogen worden gewijzigd. Daar komen mensen onderling wel uit, was de gedachte. Specifiek bij consumentencontracten staat er een en ander op de zwarte en grijze lijsten voor algemene voorwaarden, om hen te beschermen tegen al te eenzijdige voorwaarden van dienstverleners. Kort gezegd komt het erop neer dat je kosteloos van je contract af kunt als men het zomaar ineens helemaal omgooit.

Dat is heel leuk bij een vuilophaaldienst of een schoonmaker, maar bij een Sonos heb je daar weinig aan. Daar wil je juist niet opzeggen, want dan heb je niets meer aan het apparaat. Je wilt eigenlijk juist dat bij afwijzen van de voorwaarden de huidige diensten geleverd blijven, zodat je in ieder geval kunt genieten van de dienst zoals oorspronkelijk afgenomen. Maar daar biedt de wet geen grondslag voor.

Conformiteit van het apparaat dan? Dat doet ineens niet meer wat je ervan mocht verwachten. Daar twijfel ik dus over. Volgens mij is er nog steeds niets mis met het apparaat. De slechte werking of geschonden verwachtingen zitten hem in de dienst die bij het apparaat hoort, en volgens mij kun je dat niet toerekenen aan het apparaat. (Iets juridischer: ik zie de overeenkomst namelijk niet als een koopovereenkomst, maar als een gemengde koop/dienst-overeenkomst met het zwaartepunt op de dienst.)

Nieuw mantra: Je bent geen eigenaar van je data, alle diensten die je koopt mogen zomaar stoppen of wijzigen en apparaten kunnen zomaar onbruikbaar worden. Leuk man, die informatiemaatschappij.

Arnoud

Ja, als ICT-dienstverlener moet je gewoon backups maken bij je klanten

Als ICT-dienstverlener heb je gewoon de plicht om backups te maken alvorens je dingen gaat doen waarbij dataverlies kan optreden. Dat maak ik op uit een recent vonnis over een huisartsenpraktijk waar een aardige database verloren ging door de afwezigheid van die backup. De ICT-dienstverlener krijgt dit voor de voeten geworpen. Wat precies de schade is, moet nog worden bepaald. In ieder geval vallen daar de kosten onder van het inschakelen van een waarnemend huisarts.

Dit is het vervolg op de zaak waar ik in januari over blogde. In het algemeen lijkt het goed af te lopen voor deze IT-leverancier, schreef ik toen. Maar dat valt nu tegen:

De rechtbank heeft al geoordeeld dat tijdsdruk geen goede reden was om van het maken van een back-up (of controle daarvan) af te zien, kort gezegd vanwege het grote belang van [eiseres] c.s. bij haar praktijkgegevens en omdat [gedaagde] haar niet vooraf had gewaarschuwd voor de risico’s (tussenvonnis onder 4.6). Wat [gedaagde] daarover bij akte heeft aangevoerd, doet niets af aan zijn verantwoordelijkheid als deskundig ICT-dienstverlener jegens [eiseres] c.s. [gedaagde] kan zich niet verschuilen achter een beweerd blind uitvoeren van ‘opdrachten’ van [eiseres] c.s. zonder deze te hebben gewaarschuwd voor de daaraan verbonden risico’s.

De rechtbank doet nu einduitspraak. Voorop staat dat je als “redelijk bekwaam en redelijk handelend ICT-dienstverlener” er niet zomaar op mag vertrouwen dat de backup die de klant zelf claimt te hebben, goed genoeg is. In ieder geval niet in situaties waarin het belang van die backup groot is (de administratie van een huisartsenpraktijk) en waarin de documentatie bij upgrade die je gaat uitvoeren expliciet waarschuwt “maak een backup”. Dan moet je écht controleren of deze klopt.

Doe je dat niet, dan hang je:

Indien [gedaagde] niet in staat was om de bestaande back-up te controleren, zoals hij lijkt te stellen (akte onder 34 en 35), had hij een nieuwe back-up moeten (laten) maken (al dan niet op zijn eigen server) en deze moeten controleren. [gedaagde] heeft dit alles niet gedaan en dat is aan te merken als een toerekenbare tekortkoming in de nakoming van haar verplichtingen uit de overeenkomst.

En nee, algemene voorwaarden hadden hier waarschijnlijk niet bij geholpen. De rechtbank laat doorschemeren dat deze tekortkoming volgt uit het verzaken van de zorgplicht die je als dienstverlener hebt. Botweg de aansprakelijkheid voor zulk verzaken uitsluiten gaat gewoon niet, dat is niet redelijk. Je gaat gewoon betalen als je klantdata kwijtmaakt of niet zorgt voor een goede backup.

Mogelijk had een expliciete waiver hier wel geholpen. Dan zeg je als dienstverlener “u, klant, wilt iets héél onverstandigs en u tekent hierbij voor afzien van aansprakelijkheidstelling”. Dat kan, maar het moet wel redelijk zijn. Dus dat in je algemene voorwaarden: vergeet het maar. Een op maat gesneden tekst (“Gezien de bloedspoed bij de klus en de schriftelijke verzekering van KPN dat u een online backup heeft, ziet u af van een backup voordat ik begin”) gaat het denk ik wel redden.

Alleen: de tijd die je daarmee bezig bent, is waarschijnlijk vergelijkbaar met de tijd om gewoon even een backup te maken. Of ik mis iets en backups maken is anno 2017 toch nog heel tijdrovend en ingewikkeld.

(Het wordt wel een beetje de week van dataverlies&backup deze week, maar goed, data ís nu eenmaal de kern van ICT-diensten.)

Arnoud

Wanneer moet je als IT-dienstverlener backups maken bij je klant?

Backup, backup, backup. Het mantra voor veel IT-bedrijven en dienstverleners. Zeker als je bij klanten dingen gaat wijzigen of toevoegen, dan maak je altijd eerst een backup. Want als er dan iets misgaat en de klant is zijn data kwijt, dan heb je alsnog iets om op terug te vallen. Een stukje zorgplicht.

In deze zaak

Een IT-bedrijf zou bij een huisartsenpraktijk de Office-infrastructuur komen herzien, waarbij gekozen was voor een simpele backupoplossing met usb-schijven omdat backups via internet veel te traag bleken. Een simpel scriptje dat elke nacht om drie uur een backup maakt, daar kan weinig mis aan gaan toch?

Op zeker moment daarna kwam de leverancier van het medisch pakket Promedico met een nieuwe versie, met in de nieuwsbrief de verstandige aanbeveling ‘Zorg voor een recente back-up.’ Het IT-bedrijf voerde de nieuwe versie door, maar na enige problemen in de werking werd Promedico zelf erbij gehaald en die deden een hernieuwde installatie met dataverlies. Eh oeps. En toen bleken die usb-schijven geen correcte backup te hebben. Dubbel oeps.

Wie is dit nu te verwijten? De huisartsen meenden het IT-bedrijf, maar die kon met zijn offerte (en vooral het afgekeurde stukje van de internetbackupdienst) dat pareren. Als de klant geen backupdienst wil, maar alleen drie usb-schijven, dan houdt het op zeker moment op voor je zorgplicht. Vooral de prijs gaf de doorslag: wie als ondernemer Office-diensten afneemt voor 219 euro per maand, moet weten dat daar geen volledige handjevasthouden-backupdienst bij zal zitten.

Wel had de IT-er een zorgplicht om te kijken of het gebruikte backupscript geen al te rare dingen deed. Daar is eerdere jurisprudentie over: je hebt gewoon een algemene zorgplicht, en daar hoort bij dat je de klant waarschuwt bij dingen die je weet of had moeten weten, of ze dat nu besteld hadden of niet. Maar dat maakt hier niet uit, want het script maakte geen rare fouten. (Wie kan uit het vonnis halen wat de configuratiefout was?)

Maar dan die installatie zonder voorafgaande aparte backup. Sowieso is dat al een best practice, maar als de softwareleverancier dat ook nog eens apart aanraadt, waarom zou je het dan niet doen?

Op zichzelf genomen lag het op de weg van [gedaagde] om als zorgvuldig IT-dienstverlener overeenkomstig het advies in de aanbiedingsbrief van Promedico (zie 2.6.) een back-up te maken alvorens de update te installeren. Een mogelijk aandringen van de zijde van [eiseres] c.s. om de update overdag in plaats van buiten werktijd te installeren, kan geen voldoende reden zijn om dat na te laten, mede gelet op het belang van de gegevens voor de praktijkvoering van [eiseres] c.s., tenzij [gedaagde] vóór de installatie [eiseres] c.s. erop heeft gewezen dat zij (om die reden) geen back-up zou maken. [gedaagde] heeft echter niet aangevoerd dat zij [eiseres] c.s. hierop heeft gewezen.

Iets lastiger ligt het verweer dat zo’n backup zou zijn gemaakt door gewoon dat backupscript even een keertje extra uit te voeren, zodat je dan alsnog een onbruikbare backup zou hebben. Zo backuppen ligt immers meer voor de hand dan apart handmatig uit te zoeken wat te backuppen en dat naar een ander medium te halen.

Het pakket Promedico bleek ook nog een eigen backupfunctie te hebben, en ik vermoed dan ook dat de IT-er geen eigen backup had gemaakt omdat hij er vanuit ging dat Promedico dat wel zou doen. Waarom die backupfunctie niet werkte, blijft even in het midden. Daarom gelast de rechter vervolgonderzoek naar in hoeverre dit nu uiteindelijk verschil had kunnen maken. Maar in het algemeen lijkt het goed af te lopen voor deze IT-leverancier.

Arnoud

Hoe rampzalig zijn de nieuwe btw-regels voor online ondernemers?

btw-belastingSinds 1 januari gelden er nieuwe regels voor het heffen van btw aan consumenten, als je tenminste geautomatiseerde online diensten of software levert. Kort gezegd: je moet het btw-tarief rekenen dat in het land van de consument geldt voor het soort dienst dat je aan die consument verkoopt. En het is jouw probleem om uit te zoeken welk land dat is. Oh en daarna moet je natuurlijk al die btw afdragen aan de belastingdienst van de betreffende landen. En dat kan nog wel eens behoorlijk vervelend uitpakken, zo blijkt.

De nieuwe btw-regels zijn bedoeld om de btw-ontduiking (pardon, geheel legale bedrijfsstructuuropzetten) van grote internetbedrijven aan te pakken. Je kunt immers niet meer je vestigen in een land met hele lage btw en vanuit daar online diensten leveren aan consumenten in landen met hoge btw. Verkoop je aan Duitse consumenten, dan moet je de Duitse btw rekenen waar je ook gevestigd bent. (Weten wat die btw is? Gebruik deze handige VAT info checker.)

Ondertussen pakt het wel heel vervelend uit voor de vele kleine online ondernemers die bijvoorbeeld e-books of cursussen verkopen aan consumenten. Bij Blueberry Dynamic las ik een uitgebreid verhaal over wat dit voor consequenties voor je bedrijf kan hebben:

Het betekent dat als iemand uit Spanje jouw e-course aanschaft jij moet kunnen bewijzen waar deze persoon zich bevond op het moment van aanschaf en je bent verplicht om de BTW over je e-course te betalen in Spanje. … zelfs als jij eenmalig een e-book van €7,50 (of €0,01 zelfs) verkoopt aan een particulier in Bulgarije dan moet jij over dat product BTW-aangifte doen in Bulgarije. Je bent daar dan geregistreerd en moet je de komende 10 jaar kunnen verantwoorden over deze ene aankoop.

Voor dat afdragen van btw is een oplossing: registreer je bij onze Belastingdienst (de BTW-MOSS, btw-mini one stop shop), waarna die jouw btw-bedragen ontvangt en verdeelt over de belastingdiensten per land. Zo heb je maar één loket waar al je btw heen gaat.

Maar het probleem blijft dat je per afnemer moet weten in welk land hij gevestigd is (als hij consument is), omdat je anders niet weet welk btw-tarief er geldt op je dienstverlening. Oh, en dat je moet nagaan of iemand consument is natuurlijk.

Hoe je nagaat of iemand consument is, is een moeilijke. Je kunt je klanten vragen om een btw-nummer, wie dat invult is per definitie geen consument. Maar dan sluit je wel consumenten uit als klant, en dat schiet ook weer niet op. Mensen laten kiezen tussen “Ik koop als consument/Ik koop zakelijk” (en bij optie 2 een btw nummer vragen) is dan misschien iets praktischer.

Vervolgens moet je nagaan waar iemand gevestigd is. De wet eist hierbij twee bewijsstukken, en de Uitvoeringsverordening noemt negen opties die in ieder geval genoeg zijn:

  1. de gegevens van de afnemer zoals zijn factuuradres;
  2. het internetprotocoladres (IP-adres) van het door de afnemer gebruikte toestel of een andere methode voor het bepalen van de geografische locatie;
  3. bankgegevens zoals de plaats waar de voor de betaling gebruikte bankrekening wordt aangehouden, en het factuuradres van de afnemer bij die bank;
  4. de mobiele landencode (MCC) van het IMSI-nummer dat is opgeslagen op de door de afnemer gebruikte simkaart;
  5. de plaats van de vaste aansluiting in een woning, langs dewelke de dienst aan de afnemer wordt verleend;
  6. in het geval van een afnemer die goederen verkoopt via het internet of een soortgelijk elektronisch netwerk, de initiële plaats van vertrek van het vervoer of de verzending van de door die afnemer verkochte goederen;
  7. in het geval van een afnemer die goederen koopt via het internet of een soortgelijk elektronisch netwerk, de uiteindelijke plaats van aankomst van het vervoer of de verzending van de door die afnemer gekochte goederen;
  8. inschrijvingsgegevens van het door de afnemer gehuurde vervoermiddel, indien dat vervoermiddel moet worden ingeschreven op de plaats waar het wordt gebruikt, en andere soortgelijke gegevens;
  9. overige zakelijk relevante gegevens die de dienstverrichter heeft verkregen.

Volgens mij zou je dus in principe toe moeten kunnen met een IP-adres en het opgegeven factuuradres, mits je aan dat IP-adres kunt zien waar iemand woont. Maar als mensen een VPN gebruiken of in het buitenland op vakantie zijn, dan wordt het alsnog ingewikkeld. Het bewijs hiervan moet overigens tien jaar lang bewaard worden, en beschikbaar zijn voor iedere buitenlandse Belastingdienst die de btw-aangifte wil controleren.

Inderdaad, dat is behoorlijk lastig om rekening mee te houden en ik kan me goed voorstellen dat ondernemers nu denken: ik ga alleen nog in Nederland zaken doen. Het moet me dan wel van het hart dat het bij élke nieuwe wet hetzelfde gaat: in alle tijd voordat de wet van kracht wordt, lijkt het niemand te boeien en zodra de wet van kracht is, barst iedereen los met dat het onwerkbaar is, geen rekening houdt met internet en de moderne tijd en ga zo maar door. Argh. Als iedereen nou wat éérder had geklaagd, hadden we nog wat kunnen doen aan die wet.

Hoe dan ook, er is geen quick fix om aan deze wet te ontkomen. Wie met consumenten in het buitenland zaken doet, moet vaststellen in welk buitenland, de btw-tarieven erbij zoeken en vervolgens de btw afdragen aan de relevante buitenlandse Belastingdienst.

Arnoud

Zijn mijn workshops annuleerbaar onder de Wet koop op afstand?

Een lezer vroeg me:

Ik organiseer workshops voor creatievelingen en laat mensen via internet boeken. Dat kunnen zowel individuele privépersonen als bedrijven zijn (personeelsuitjes). Maar nu wil iemand de inschrijving annuleren onder de Wet koop op afstand. Kan dat zomaar? Ik heb al kosten gemaakt!

Ook bij dienstverlening die via internet wordt afgenomen, geldt de Wet koop op afstand. Het moet dan wel gaan om een boekingssysteem, gewoon per mail een vraag “is er nog plek” binnenkrijgen maakt het m.i. geen dienstenkoop op afstand.

De Wet koop op afstand geldt voor consumenten, particulieren dus. Bij een zakelijke klant bestaat geen recht van annuleren. Daar ben je dus vrij om dat te weigeren, of om het alleen onder zelf gekozen voorwaarden toe te staan.

Bij een consument zul je de annulering moeten weigeren via een van de genoemde uitzonderingsgronden voor diensten. De meest voor de hand liggende is die van ‘vrijetijdsbesteding’ (art. 7:46i lid 3 BW). Dergelijke diensten kunnen niet worden geannuleerd,

indien de dienstverlener zich er bij het sluiten van de overeenkomst toe verplicht, deze diensten te verrichten op een bepaalde datum of tijdens een bepaalde periode.

Dit vereist dus dat bij boeking meteen een datum gekozen is voor de workshop. Een voucher of kadobon voor een workshop met “datum nader te bepalen” is dus annuleerbaar. Terecht denk ik, er is weinig reden om in dat geval geen geld terug te geven.

De wet is hier rechtlijnig: als de uitzondering opgaat, dan mag de consument gewoon niet annuleren. Ook niet als de kosten maar 10% van het betaalde bedrag zijn. Dat biedt dus ruimte voor coulance oftewel een vrijwillige annuleringsregeling. Ik zou dan ook zeggen, neem in je algemene voorwaarden op dat annuleren mag (tot een zeker aantal dagen voor de startdatum) mits tegen vergoeding van bepaalde kosten met bv. een staffel (10% indien minstens 4 weken, 50% bij minstens 2 weken enzovoorts).

Arnoud