Is een belastingsoftwaremaker aansprakelijk voor valse aangiftes?

| AE 7467 | Ondernemingsvrijheid | 19 reacties

turbotax-intuit-softwareBelastingsoftwaremaker Intuit heeft de e-filing van belastingaangiftes via TurboTax tijdelijk stopgezet vanwege vermoedelijke fraude, las ik bij Slashdot. Criminelen zouden de identiteit van derden hebben gestolen en via TurboTax grootschalig valse aangiftes doen. Het bedrijf deed dit nadat de staat Utah 28 zekere fraudegevallen en 8.000 mogelijke fraudegevallen bij hen meldde. Wat voor mij de interessante vraag oproept: is Intuit aansprakelijk voor een frauduleuze belastingaangifte?

In principe is het natuurlijk aan de gebruiker hoe deze de software gebruikt. Als ik een dreigbrief typ in Word, is Microsoft daar niet aansprakelijk voor. Dat is ook logisch: hoe kunnen zij in vredesnaam zien wat ik typ, laat staan daaruit concluderen dat ik iets strafbaars doe? Pas als men zelf routines zou toevoegen waarmee aangezet werd tot strafbare feiten, zou dat anders komen te liggen.

Een verschil is wel dat TurboTax niet alleen een aangifte faciliteert, maar deze ook instuurt. Je aangifte gaat dan naar de servers van Intuit, en wordt vanaf daar aangeleverd aan de belastingdienst. (Bij ons werkt dat geloof ik iets anders: het pakket Elsevier Belasting Aangifte stuurt direct je aangifte naar de Belastingdienst, niet naar een Elsevier-server. Dit voelt ook iets logischer.)

Als je in die rol gaat zitten als bedrijf, dan kun je onder zekere omstandigheden aansprakelijk worden voor wat er door je servers heengaat. Een dienst zoals van Intuit valt onder dezelfde regels voor aansprakelijkheid als die voor internet- en hostingproviders, omdat de wet (art. 6:196c BW) spreekt van een “dienstverlener van de informatiemaatschappij” oftewel een partij die diensten op of via internet levert. Het faciliteren van belastingaangiftes is dat net zo goed als het hosten van informatie.

Het maakt daarbij uit of je alleen informatie doorgeeft (zoals een ISP doet, eventueel met een tijdelijke cache) of dat je informatie opslaat en doorgeeft (zoals een hostingbedrijf doet). De laatste kan namelijk aansprakelijk worden voor de opgeslagen informatie wanneer hij niet ingrijpt na een klacht; dit is waarom elke hoster een notice/takedown-beleid heeft.

Ik kan op de site niet ontdekken of Intuit informatie opslaat of direct doorgeeft, dus dat maakt de vraag een tikje lastig om te beantwoorden. Het meest logisch is dat de informatie meteen doorgegeven wordt, en dan is Intuit niet aansprakelijk voor wat er door haar servers heengaat. Ook niet als ze het een paar minuten vasthoudt. Dat lijkt me ook normaal want wat kún je doen in die situatie, hoe kun je doorgifte van data tegenhouden als je deze niet opslaat?

Als men het lange tijd opslaat, dan zou de vraag worden wanneer zij weet dat een aangifte onmiskenbaar frauduleus is, want dat is de standaard voor aansprakelijkheid bij hosting van opgeslagen informatie. Ik denk dat daar weinig situaties zijn anders dan a) de gebruiker klaagt en b) de Belastingdienst klaagt. Dus dat is relatief makkelijk voor Intuit. Wacht op een klacht van een van beiden en grijp dan in.

In beide gevallen mag de rechter overigens een bevel uitspreken om aan het onrechtmatig handelen een eind te maken. Ook bij internetproviders; wel moet het verbod natuurlijk proportioneel zijn en effectief, iets dat bij de Piratebayblokkades niet bewezen kon worden.

Ik twijfel wel. Móet een partij als Intuit aansprakelijk gehouden worden voor zulke valse aangiftes? Het voelt wat gezocht. Aan de andere kant, ze kiezen er zelf voor om er met hun servers tussen te gaan zitten dus dan zet je jezelf in een positie om in te kunnen grijpen. En als je het kunt, dan zullen er situaties komen waarin je het moet.

Arnoud

Currence gaat misbruik via iDEAL aan banden leggen

| AE 7405 | Ondernemingsvrijheid | 11 reacties

machtiging-incasso-idealToezichthouder Currence gaat misbruik met het betalingssysteem iDeal onmogelijk maken door een nieuwe bepaling in de voorwaarden van het gebruik van het systeem op te nemen.
las ik bij Nu.nl. De nieuwe bepaling verbiedt het gebruik van gegevens van een eenmalige betaling om een automatische incasso op te zetten. U weet wel, van al die vage “gratis proefpakket”-sites die vervolgens in de algemene voorwaarden ineens spreken van “als de proef u bevalt, hoeft u niets te doen en zit u een jaar vast aan een abonnement”.

Vorige week besteedde TROS Radar aandacht aan deze iDeal-grapjes. Mensen worden verlokt een “gratis proefpakket” af te nemen, waarbij dan alleen verzendkosten van een paar euro hoeven te worden betaald. Vervolgens voert de verkoper vrolijk een automatische incasso in op basis van het rekeningnummer et cetera dat uit de iDealbetaling is verkregen.

Het doet een tikje merkwaardig aan dat dit nodig is: zonder inktkrabbel op een plakje dode boom is een incasso niet rechtsgeldig, punt. Maar zoals Radar zegt, het zorgt voor een hoop gedoe als je zelf onrechtmatig afgeschreven bedragen weer terug wil halen. Want het bedrijf gaat dan meteen dreigen met incassomaatregelen omdat je “de voorwaarden hebt geaccepteerd” en dus vast zit aan een betalingsverplichting.

Oké, dat kunnen ze ook onder de nieuwe regels doen, want het feit dat je geen machtiging voor incasso hebt afgegeven, betekent zeer zeker niet dat je niet hoeft te betalen. Het betekent alleen maar dat de winkel niet via incasso de betaling mag incasseren maar met acceptgiro’s en dergelijke moet gaan smijten. Het probleem van de “gratis proef=jaarabonnement” grapjes blijft bestaan.

Is dat rechtsgeldig, een proefpakket dat automatisch een betaald maandelijks abonnement op pakketjes wordt? Er is geen direct relevante regel die dit verbiedt. De Wet Van Dam verbiedt weliswaar het stilzwijgend omzetten van proefabonnementen, maar die wettelijke regel over toezendingen “ter kennismaking” geldt alleen voor kranten en tijdschriften. Niet voor pakketten of productzendingen. Nee, ik weet ook niet waarom.

Je kunt wellicht betogen dat hier sprake is van een oneerlijke handelspraktijk. De wet eist immers dat een handelaar

de prijs, inclusief belastingen, of, als het om een product gaat waarvan de prijs redelijkerwijs niet vooraf kan worden berekend, de manier waarop de prijs wordt berekend …

vermeldt bij het aanbod. Ook alle essentiële productkenmerken en de wijze van betaling en levering moeten duidelijk worden gemeld. De prijs van een abonnement en meer algemeen dát het een abonnement is, lijken me vrij essentieel.

Of, laat ik eens gek doen: het is misleidend om te spreken van een proef-abonnement waar langlopende verplichtingen bij horen. Als ik bij de slager een plakje worst proef, hoef ik ook geen pondje te kopen tenzij ik “jakkes wat vies” zeg, toch? Dus hoezo is het rédelijk dat ik bij een proef van een product wel moet zeggen “stop, dit wil ik niet”? Welk algemeen nut is er gediend met die juridische constructie? Waarom zeggen we niet gewoon dat het omzetten van proefzendingen naar abonnementen voor álles verboden wordt?

Arnoud

Mag een verzekeraar mensen googelen en dan persoonlijk gaan observeren?

| AE 6358 | Ondernemingsvrijheid, Privacy | 41 reacties

feitenonderzoek-google.pngVoor verzekeraars is internet een dankbare bron om dubieuze claims te verifiëren. Weinig dingen zo eenvoudig als even op Facebook kijken of iemand daar poseert met de zonnebril die een week eerder als gestolen opgegeven is, of op Twitter nalezen of een ziek persoon toch naar een feestje is geweest. Al in 2011 werd in de media gemeld dat verzekeraars ook daadwerkelijk dergelijke online controles uitoefenen van claims. Vooral als ze vermoeden dat er fraude in het spel is, kijken ze naar de Facebook- of Hyvespagina van degene die declareert, aldus RTL Nieuws op 7 november 2011. En het gebeurt ook vandaag nog.

In een geruchtmakende zaak in 2012 moest een man een arbeidsongeschiktheidsuitkering van verzekeraar Aegon terugbetalen tot een bedrag van €75.336. De uitkering werd verstrekt na een bedrijfsongeval met als gevolg ernstige fysieke en psychische klachten, zoals niet meer dan 20 minuten te kunnen lopen of zitten. Feitenonderzoek op internet een jaar later liet echter zien dat de man op sportief, zakelijk en sociaal gebied ook na het ongeval nog actief was geweest. Zo kwam hij vijf maal voor in de online uitslagenlijst van de Amstel Curaçao Race (80 kilometer) en werd hij vermeld als succesvol deelnemer een wielertocht van 250 kilometer van Luxemburg naar Valkenswaard. En dat terwijl de man had gezegd “als een zombie op een fiets te zitten” en pijnstillers te moeten slikken. Ook werd hij op online foto’s (met bijschriften) gesignaleerd als vaste supporter en in een krantenartikel omschreven als “vaste chauffeur en psychologisch begeleider” van een lokaal zaalvoetbalteam.

Heel recent speelde hetzelfde punt, maar dan nog een stapje erger: niet alleen internetonderzoek maar ook een persoonlijk onderzoek, oftewel structureel volgen. De vrouw in deze zaak was slachtoffer van een aanrijding door een persoon verzekerd bij Reaal. De conclusie van een neuroloog was dat de vrouw een “whiplash-like injury” had opgelopen, met pijn in de nek, rechterschouder en arm als gevolg. Dit leverde een aantal beperkingen op bij haar werk, hetgeen leidde tot een langdurig reïntegratietraject.

De aanleiding is niet geheel duidelijk, maar op enig moment besloot Reaal een persoonlijk onderzoek naar de vrouw te laten uitvoeren. Dit onderzoek bestond uit een dossieranalyse, deskresearch en uit het volgen, observeren en filmen van de vrouw. De ‘deskresearch’ bestaat uit internetonderzoek – naar ik vermoed googelen op naam van mevrouw, mogelijk aangevuld met andere persoonsgegevens zoals e-mailadressen of telefoonnummers.

Het internetonderzoek riep enkele vraagtekens op:

Uit de informatie van internet is naar voren gekomen dat betrokkene actiever lijkt te zijn dat wat ze heeft verklaard. Zo kan ze bijvoorbeeld meer dan alleen maar e-mails beantwoorden (ze is actief op diverse forums en schrijft blogs), lijkt ze actief (op zoek) te zijn met zaken gerelateerd aan recruitment en lijkt ze een actiever sociaal leven te hebben dan wat ze heeft verklaard.

Het advies op basis van bovenstaande was om over te gaan tot een persoonsgerichte observatie bij wijze van vervolgonderzoek. Deze observatie onthulde dat de vrouw actief is geweest met verschillende activiteiten, waaronder:

  • Het meerdere malen brengen en halen van haar kind naar en van school;
  • <li>Het op verschillende dagen winkelen en spullen kopen in verschillende winkels;</li>
    
    <li>Het aanwezig zijn als een begeleider van schoolkinderen bij een ijsbaan en vermoedelijk ook bij een kinderfeest;</li>
    
    <li>Het sporten in een sportschool; </li>
    
    <li>Betrokkene is daarbij meerdere malen waargenomen terwijl ze gevulde tassen bij zich droeg.</li>
    
    <li>Het in december een week lang afwezig zijn (geen brandend licht in huis, auto onder dik pak sneeuw bedolven), vermoedelijk op vakantie.</li>
    

(Ik noem dit even zo uitgebreid zodat jullie je ook wat onprettig voelen bij het idee van drie maanden lang op deze manier in de gaten gehouden worden.)

“Op geen enkel moment zijn er tijdens de observatie ogenschijnlijk enige fysieke beperkingen bij betrokkene waargenomen”, sluit het rapport af. Hierop werd een medisch advies aangevraagd, dat pleitte tegen het bestaan van de door de vrouw geclaimde klachten. Daarop stapte de vrouw naar de rechter, met onder meer de eis om het persoonlijkonderzoeksrapport als bewijs uit te laten sluiten bij de herbeoordeling van haar arbeidsongeschiktheid.

Hoewel een persoonlijk onderzoek als dit een inbreuk op de privacy oplevert, is het vaste jurisprudentie (Hoge Raad 16 juni 1987, NJ 1988, 850) dat een inbreuk op de privacy op zich geen reden is om bewijs uit te sluiten in civiele procedures. Daarvoor moet de inbreuk “rechtens ontoelaatbaar” zijn, en daarvan is pas sprake als er méér is dan alleen een schending op zich. Een ongeoorloofd inzetten van camera-observatie door een werkgever was in 2001 bij de Hoge Raad geen reden om gebruik van de beelden in een ontslagprocedure bij de kantonrechter te verbieden.

Een bijzondere omstandigheid in deze zaak is dat verzekeraars sinds 1997 werken met de zogeheten Gedragscode Persoonlijk Onderzoek. Deze code geeft de beginselen aan die een verzekeraar in acht moet nemen bij het uitvoeren van een persoonlijk onderzoek. Als centraal beginsel geldt dat een onderzoek als in deze zaak alleen mag worden verricht als voldaan is aan de eisen van proportionaliteit en subsidiariteit.

De rechtbank stelt vast dat niet aan deze eisen is voldaan bij het persoonlijk onderzoek, zodat het rapport wordt uitgesloten van het bewijs. Een verzekeraar die de Gedragscode schendt, behoort niet te worden beloond door het aldus verkregen bewijs te kunnen gebruiken, lijkt hier de gedachte. Afgezien van het rapport is er geen bewijs van fraude of misleiding, zodat een eerder deskundigenrapport leidend wordt verklaard. Partijen moeten nu opnieuw in gesprek om tot een vaststellingsovereenkomst te komen.

Opmerkelijk genoeg rept de rechtbank met geen woord over de toelaatbaarheid van het online onderzoek. De Gedragscode zelf werkt dit ook niet nader uit, tenzij men onder “inwinnen van informatie bij derden” ook het raadplegen van zoekmachines of openbare websites van derden rekent (artikel 7.2). In de hierboven aangehaalde zaak uit 2012 had de rechtbank ook geen moeite met een internetonderzoek naar een verzekerde. Daarmee lijkt het vooralsnog geen praktisch juridisch probleem te zijn om verzekerden te googelen bij claims. Maar hoe ver mag men daarbij gaan?

Arnoud

De nieuwe veiligheidsregels van de banken

| AE 6193 | Ondernemingsvrijheid, Security | 73 reacties

Een lezer vroeg me: De banken hebben nieuwe regels voor internetbankieren opgesteld waar klanten aan moeten voldoen als ze in het geval van fraude hun geld terug willen krijgen. Zo mag er geen illegale software zijn geïnstalleerd, moet de computer up-to-date zijn en moet de rekening regelmatig worden gecontroleerd. Als ik het goed begrijp, dan… Lees verder

Marktplaatsoplichting is geen oplichting???

| AE 5601 | Ondernemingsvrijheid, Regulering | 27 reacties

Het niet leveren van spullen via Marktplaats terwijl daarvoor door slachtoffers wel is betaald, is niet altijd oplichting, las ik bij Webwereld. En dat terwijl de man met voorbedachten rade niet van plan was te leveren. Willens en wetens adverteren en mensen laten betalen terwijl je de spullen niet hebt, lijkt mij vrij evident oplichting… Lees verder

Nieuw op Ius Mentis: Fraude en misbruik van betaalmiddelen

| AE 4633 | Security | 27 reacties

Eindelijk tijd voor weer eens een artikel op mijn site: Fraude en misbruik van betaalmiddelen. Elektronisch betalingsverkeer (zoals creditcard, pinnen of internetbankieren) is kwetsbaar voor allerlei vormen van fraude. Pincodes kunnen worden afgekeken, websites vervalst (“phishing”) en passen kunnen worden gestolen. De wet bepaalt dat de bank in principe hier het risico voor draagt, met… Lees verder

Alweer een nieuwe spooknota: IPV6Register

| AE 2665 | Informatiemaatschappij | 19 reacties

De bedenkers van spookfacturen zitten niet stil: het nieuwste exemplaar is afkomstig van IPV6Register te Rotterdam, las ik bij ISPam. Deze grapjassen versturen faxen met de bekende truc van vragen om correctie van gegevens en dat opvatten als een akkoord voor een dure onzinnige dienst. In dit geval wordt 189 euro gevraagd op een fax… Lees verder

Doorzoeken van een privélaptop mag ook niet zomaar

| AE 2308 | Privacy, Security | 17 reacties

Een curator mag niet zonder meer privélaptops onderzoeken, ondanks dat er mogelijk bewijs van faillissementsfraude op te vinden is. Dat las ik gisteren op Webwereld naar aanleiding van een arrest uit Den Bosch. In deze zaak wilde de curator toegang tot gegevens op de privélaptop van de bedrijfsjurist van een failliet bedrijf, omdat hij vermoedens… Lees verder