Mag een website admin mijn username afpakken?

| AE 12750 | Ondernemingsvrijheid | 12 reacties

Bij Tweakers las ik:

Al acht jaar zit ik op een grote commerciële website waar je ook kan reageren, hier ben ik actief en heb ik heel veel berichten gepost en mensen geholpen. Ook heel veel waarde toegevoegd. Nu willen de administrators mijn gebruikersnaam hebben en dreigen met dat als ik dit niet verander, zij dit binnenkort doen. Ik baal hier van, ik vermoed dat de site admin mijn naam wil hebben. Kan dit zomaar?
Praktisch natuurlijk wel: wie gaat er in hemelsnaam procederen over zoiets raars waar ook nog eens geen echt financieel belang bij te bedenken is? Dus het praktische antwoord is: ja, dat kan zomaar.

Maar laten we eens doen alsof je voor financiële bagatels wel naar de internetvrederechter zou kunnen stappen. Want dan wordt het interessant, het is namelijk net iets te makkelijk om te zeggen, hun forum hun regels of “als het in de voorwaarden staat dan mag het”.

De kern is natuurlijk mijn mantra dat online dingen dienstverlening zijn en geen producten. Je account is dus niets, zelfs niet een papieren bioscoopkaartje waarvan je nog kunt zeggen dat het zowel bewijs van toegang tot de dienst (voorstelling) is als een stukje papier dat je eigendom is geworden. Je account is een serie tekens dat wordt gebruikt om toegang aan te vragen en gegevens over jouw gebruik van de dienst bijeen te houden.

De enige zijdelings relevante wet is de AVG: een accountnaam is een persoonsgegeven, omdat deze gekoppeld is aan gegevens over de accounthouder. Of sterker nog: omdat dit een náám is van die betrokkene, en dus een direct identificerend gegeven is. (Het is een misverstand dat de AVG pas geldt als je gegevens kunt herleiden tot een paspoortnaam.) Alleen staat er in de AVG niets over het niet mogen wissen van persoonsgegevens omdat de betrokkene eraan gehecht is. Wissen moet als de gegevens verouderd zijn, wissen mag niet als je belangen nodeloos schaadt, maar geen van die situaties gaat hier op.

Blijven dan alleen de huisregels over? Nee. De wet bevat namelijk een algemene regeling over hoe een contract of overeenkomst. Art. 6:248 BW, lid 1:

Een overeenkomst heeft niet alleen de door partijen overeengekomen rechtsgevolgen, maar ook die welke, naar de aard van de overeenkomst, uit de wet, de gewoonte of de eisen van redelijkheid en billijkheid voortvloeien.
Dingen die je niet afgesproken hebt maar die wel normaal zijn in jouw branche (“gewoonte”) zijn dus gewoon ook afspraak bij jou, bijvoorbeeld. Idem voor wat gewoon redelijk is, dat geldt dan ook voor jou. Daar kun je in principe omheen met een expliciete afspraak, maar daar zit ook weer een grens aan, lid 2:
Een tussen partijen als gevolg van de overeenkomst geldende regel is niet van toepassing, voor zover dit in de gegeven omstandigheden naar maatstaven van redelijkheid en billijkheid onaanvaardbaar zou zijn.
Met ‘onaanvaardbaar’ wil de wetgever aangeven dat het niet alleen maar “raar” of “ongebruikelijk” of zelfs “sterk nadelig voor één partij” is. Het moet echt onacceptabel zijn, echt niet kunnen.

Speciaal bij websitevoorwaarden waarbij gewone mensen (“consumenten”) de klant zijn, geldt nog een extra regel (art. 6:233 sub a BW):

Een beding in algemene voorwaarden is vernietigbaar … a.indien het, gelet op de aard en de overige inhoud van de overeenkomst, de wijze waarop de voorwaarden zijn tot stand gekomen, de wederzijds kenbare belangen van partijen en de overige omstandigheden van het geval, onredelijk bezwarend is voor de wederpartij
(Websitevoorwaarden zijn algemene voorwaarden in de ogen van de wet, of ze nou bij de KVK liggen of niet en ongeacht hoe je ze noemt.) Dit criterium is iets lichter dan het “onaanvaardbaar” uit 6:248 BW, het is goed mogelijk dat een algemene voorwaarde onredelijk bezwarend is terwijl die niet óók naar maatstaven van redelijkheid en billijkheid onaanvaardbaar is. Ook geldt dat een AV meer abstract getoetst wordt, omdat bij art. 6:233 niet staat “in de gegeven omstandigheden”.

Het Europese Hof van Justitie heeft in 2013 een arrest gewezen (Aziz) waar een heel mooi criterium in staat of een beding “onredelijk bezwarend” is (in EU-termen “een oneerlijk beding”):

de nationale rechter [dient] na te gaan of de verkoper redelijkerwijs ervan kon uitgaan dat de consument een dergelijk beding zou aanvaarden indien daarover op eerlijke en billijke wijze afzonderlijk was onderhandeld.
Dan wordt de vraag in dit geval dus: als je als beginnend poster had gesproken over “wat als het beheer het account wil”, was je dan in alle eerlijkheid en goede trouw uitgekomen met “prima, mag je hebben, ook als ik acht jaar postgeschiedenis en goodwill heb opgebouwd”? Dat lijkt me niet heel sterk. Daarmee zou een dergelijke eis dus onredelijk bezwarend zijn, en als lid mag je dat dan naast je neerleggen.

Complicatie is natuurlijk dat een beheerder wel vrij snel in zijn recht staat als deze je account wist inclusief alle bijdragen. Zeker bij een bedrijfsovername is dat geen onlogische stap. Dus dan wordt je account niet overgenomen maar wel weggegooid, een tikje zuur.

Blijft natuurlijk de vraag, waaróm wil het beheer dat? Uit de draad wordt het mij niet duidelijk. De suggestie komt langs dat de naam erg lijkt op die van het forum: “Ik heb Smurf en zij hebben Smurf!, daar komt het op neer.” Ik kan me iets voorstellen bij een beheerder die denkt, waarom heeft deze meneer een naam die 83,3% gelijk is met onze merknaam. Maar als je dat acht jaar laat gaan, dan vind ik dat niet heel sterk meer (en als je het juridisch speelt dan is je merkenclaim ondertussen wel verjaard, art. 3:310 lid 1 BW).

Een andere mogelijkheid kan zijn dat het met de fusie te maken heeft: men wil forums samenvoegen en ontdekt dan meerdere gebruikers met dezelfde naam. Daar smurf, pardon moet je iets mee, maar dan is “Smurf_Oudforum” ook een prima optie lijkt me.

Mogelijk bedoelt het beheer iets anders: men wil niet zozeer de usernaam als wel alle posts die aan die naam hangen. Bij een verkoop is het hebben van alle rechten op alle berichten immers van groot belang. Maar dan had ik verwacht dat dit met een algemeen bericht was medegedeeld, en niet gericht op één specifieke poster. Dus voor mij blijft het een raadsel.

Arnoud

Mag een apotheek je laten inloggen met je BurgerServiceNummer?

| AE 8371 | Informatiemaatschappij | 23 reacties

bsnEen lezer vroeg me:

Mijn apotheek biedt de mogelijkheid om online herhaalrecepten voor medicatie aan te vragen. Maar dan moet je inloggen met BSN. Dat mag toch helemaal niet?

De regel bij het BSN is eigenlijk simpel: alleen als in een wet staat dat het voor een specifiek doel mag worden gebruikt, is dat toegestaan. Ander gebruik, hoe handig of makkelijk ook, is eenvoudigweg verboden. En ja, hier staan boetes op sinds 1 januari.

Dat een apotheek het BSN mag gebruiken, staat in de Wet gebruik BSN in de zorg. Doel is te waarborgen dat de in het kader van de verlening van zorg te verwerken persoonsgegevens op die cliënt betrekking hebben. Je wilt immers geen medicatie aan de verkeerde persoon meegeven, of per abuis onthullen wat voor aandoening iemand heeft.

Het daaronder hangend Besluit werkt uit dat bij het identificeren van een klant het BSN mag worden gebruikt. Hierbij kan ik echter niet vinden hoe dat moet, en al helemaal niet in het geval de cliënt zich online meldt. Ik vermoed dus dat het niet mag, omdat er geen wettelijke regeling lijkt te zijn die zegt van wel.

Meer algemeen lijkt het me problematisch, omdat het BSN in het algemeen niet bedoeld is als dossiernummer of administratief kenmerk. Een gebruikersnaam valt daar ook onder. Dit wordt ook zo gemeld door de toezichthouder, de Autoriteit Persoonsgegevens:

De gemeente mag uw burgerservicenummer (BSN) niet gebruiken als briefkenmerk of dossiernummer. De gemeente mag u ook niet vragen om standaard uw BSN te vermelden in brieven die u naar de gemeente stuurt. Daarvoor is het BSN niet bedoeld.

En wat voor een gemeente geldt (hoi Beverwijk en Alkmaar) lijkt me voor een apotheek ook te gelden.

Arnoud