Wacht even, nu gaan privacytoezichthouders ook al notice/takedown verzoeken doen?

De Ierse privacytoezichthouder DPC heeft noyb, de organisatie van privacyactivist Max Schrems, een take down request gestuurd waarin wordt verzocht een document te verwijderen. Dat meldde Security.nl vorige week. Het document is het conceptbesluit op noyb’s handhavingsverzoek tegen Facebook, waarin een opmerkelijke interpretatie van de AVG wordt geïntroduceerd die een joekel van een loophole oplevert. De DPC wil deze publicatie offline omdat ze interfereert met het overlegproces om het besluit te finaliseren.

Er is al jaren kritiek op de Ierse privacytoezichthouder omdat het niet zou optreden tegen techbedrijven, die vaak in Ierland hun Europees hoofdkantoor hebben. Iets wat de DPC ontkent. De nieuwe kritiek gaat over de opmerkelijke draai die Facebook op 25 mei 2018 maakte: vanaf toen hoefde niemand meer toestemming te geven onder de AVG voor wat Facebook deed, dat was sindsdien namelijk allemaal een noodzakelijk deel van de dienstverlening en voor verwerkingen die nodig voor een contractsuitvoering zijn, is geen toestemming nodig.

Ik ken werkelijk niemand behalve Facebook die met een serieus gezicht volhoudt dat “als wij in de voorwaarden zetten dat het nodig is, dan is het nodig” een valide interpretatie van de AVG is. Maar goed, nu dus de Ierse toezichthouder ook. Ik snap dus wel dat iemand als Schrems daar een publicatie over doet.

Dat valt juridisch een beetje slecht, want formeel is deze interpretatie van de DPC (disclaimer: er zijn geen aanwijzingen dat Facebook het conceptbesluit heeft voorgekookt of geschreven) slechts een concept, dat nu gedeeld wordt met belanghebbenden en andere toezichthouders, die dan commentaar mogen leveren, waarna er een definitief, openbaar besluit komt. Het is niet heel gebruikelijk dat conceptbesluiten in de pers komen, want er kunnen immers fouten in staan, slordigheden en ga zo maar door. Precies daarom wil je feedback verwerken voor je het besluit oplegt.

In veel procedures zijn dan ook expliciete geheimhoudingsregels opgenomen. De AVG kent die niet, en ook in de Ierse Uitvoeringswet AVG kan ik zoiets niet vinden. De DPC verwijst naar artikel 26 daarvan, maar zo te lezen gaat dat alleen over medewerkers van de DPC. Desondanks is de takedownbrief heel stellig: weg met die publicatie, en wel meteen. Maar wie als cynische jurist leest, komt tot de conclusie dat er veel bangmakerij staat maar géén “op grond van artikel 26 van de wet beveel ik u”. En reken maar dat een jurist die zin opneemt als hij daar aanleiding toe ziet, weinig dingen zo heerlijk als keihard in je recht te staan en met wapperende toga de wederpartij tot de orde te roepen.

De discussie wordt wat complex omdat noyb in de eerdere onderzoeksfase had toegezegd documenten vrijwillig geheim te houden om het onderzoek niet te schaden. De DPC citeert passages van noyb die zonder voorbehoud lijken te zeggen dat men die documenten gewoon, altijd geheim zal houden. noyb stelt daar tegenover dat de volledige toezeggingsmails duidelijk maken dat het alleen ging om de onderzoeksfase, die ondertussen allang is afgerond.

Ondertussen is het mij een raadsel wat de DPC dacht te bereiken nu hun conceptbesluit al wereldnieuws bleek te zijn geworden toen men de boze brief ging sturen.

Arnoud

Nee, geheimhouding bij ethical bug reporting is niet bindend

De researcher die een ernstige bug bij messaging dienst Telegram meldde, heeft afstand gedaan van de $1000 beloning omdat er geheimhouding aan gekoppeld was, las ik bij Ars Technica. Als verantwoordelijk security-onderzoeker had Dmitrii (geen achternaam) deze netjes gemeld. Telegram moedigt dat ook aan, en je kunt zelfs een bug bounty krijgen. Maar het was nog moeilijk genoeg om de aandacht te krijgen, en toen die kwam, zat er een NDA aan vast. Daar hoef je geen genoegen mee te nemen als onderzoeker.

De bug betrof de zogenaamd zelfvernietigende afbeeldingen: deze bleven per abuis in de cache op telefoons staan, ook nadat gemeld was dat deze berichten verwijderd waren. Iets om te melden natuurlijk, maar makkelijk ging dat niet:

But for a simple bug like this, it wasn’t easy to get Telegram’s attention, Dmitrii explained. The researcher contacted Telegram in early March. And after a series of emails and text correspondence between the researcher and Telegram spanning months, the company reached out to Dmitrii in September, finally confirming the existence of the bug and collaborating with the researcher during beta testing. For his efforts, Dmitrii was offered a €1,000 ($1,159) bug bounty reward.
Voor die beloning moest Dmitrii wel een contract tekenen (van acht pagina’s), waarin een eeuwigdurende geheimhoudingsclausule opgenomen was. Wie in het goede gelooft, zal denken dat Telegram een foutje maakte: dit contract was namelijk een standaard consultancy agreement, waarmee Dmitrii als zzp’er zou werken aan het melden van de bug zeg maar. Niet raar om daarin geheimhouding op te nemen, maar wél raar om dat contract als basis te gebruiken voor het afhandelen van een melding.

Wie niet in het goede gelooft, zal concluderen dat Telegram Dmitrii de mond wilde snoeren met een wurgcontract. (Excuses, mijn metaforen botsen soms.) Ik geloof zelf altijd meer in incompetentie: de persoon die de tip van Dmitrii kreeg, had geen idee waar het over ging en pakte toen maar het best passende contract, iemand wil wat voor ons doen en mijn baas zegt dat dat mag, dan is deze persoon dus een ingehuurde consultant.

De les voor de meelezende security researchers, ethical hackers en ander goedwillend volk: je hoeft zulke dingen niet te tekenen, ongeacht wat een bedrijf zegt. Als je ongevraagd een fout opspoort, dan is melden je goed recht maar zeker niet je plicht. Meteen naar buiten met de bug mag ook, het is vooral dat het nétjes is om even zestig dagen te wachten voordat je dat doet zodat de impact bij het bedrijf redelijkerwijs wat gedempt wordt. Natuurlijk zijn hier allemaal weer uitzonderingen op, maar geen van die komen neer op “je hebt toestemming van het bedrijf nodig om te publiceren wat er mis ging”.

Een bedrijf kan op zich een beloning koppelen aan een eeuwigdurende geheimhouding, dat dan weer wel. Want omgekeerd zijn zij niet verplicht om mensen te betalen die ongevraagd bugs komen melden. De enige echte uitzondering daarop zou zijn als er een bug bounty programma is gepubliceerd waarin staat dat je na x dagen mag publiceren, en je dan zo’n eeuwige NDA opgelegd krijgt.

Arnoud

Kun je de stagiair aansprakelijk houden voor 600 te vervangen sloten?

We kennen allemaal het stagiair-excuus: bij de meest uiteenlopende problemen (vaak de beschamende) wordt er dan gauw gezegd dat de stagiair het heeft gedaan. Lekker makkelijk, denk ik dan altijd, het is jóuw stagiair dus daar had je wel even mogen opletten. Maar bij dit Duitse geval weet ik het even niet. Deze stagiair was zo blij met zijn nieuwe werkplek dat hij trots via WhatsApp een foto stuurde naar zijn vrienden. Met de hoofdsleutel (loper) in zijn handen. En is dat een probleem? Eh ja, reageren nu alle securityminded lezers van deze blog: dan kunnen derden die foto gebruiken om de loper na te maken. Eh, echt, reageren nu de overige lezers. Ja, echt. En het ging hier om de hoofdsleutel van de gevangenis van Heidering (Duitsland).

Als je met een beetje recente smartphone een foto maakt, staat die standaard op een enorm aantal megapixels ingesteld. Deel je dat dan via WhatsApp of ander medium, dan gaan al die megapixels mee ook al toont je scherm maar een 13×5 centimeter versie. Maar 8 megapixels is bijvoorbeeld al tot 90×60 centimeter nog perfect op een poster te drukken, en met een béétje pixels dus meer dan een vierkante meter.

Zo’n formaat is méér dan genoeg voor een reproductie in een 3d printer, waar de app KeyMe reclame voor maakt. Of zoals hier met gewoon ouderwets knutselwerk en een blanco sleutel. Menig slotenmaker waarschuwt dan ook tegen het publiceren van zulke foto’s. (Oh ja, ook omdat veel eenvoudige sloten een genummerde sleutel hebben die je gewoon kunt bijbestellen.)

Omdat het hier gaat om de hoofdsleutel van een gevangenis, wil je geen risico lopen. Alle sloten vervangen dus, en dat is een dure grap: volgens experts kost zo’n omvangrijke operatie ongeveer 50.000 euro. Wat ik wel wil geloven, hoewel ik me wel af zit te vragen waarom juist in een gevangenis sleutels worden gebruikt die kennelijk zo makkelijk te kopiëren zijn. Er zijn immers ook beveiligde/gecertificeerde sloten, die bijvoorbeeld een chip van binnen hebben of aan twee kanten aparte patronen hebben. En dan is een foto van één zijde niet genoeg.

Afijn, de juridische vraag was dus of de kosten verhaald kunnen worden. Dat lijkt me sterk. Werknemers – en stagiairs rekenen we voor het gemak daaronder als dat zo uitkomt – zijn in principe namelijk gewoon niet aansprakelijk voor hun fouten, dat is de werkgever. Slechts bij opzet of bewuste roekeloosheid is verhalen mogelijk, en dat is een héle hoge lat. Bewust roekeloos is het juridisch gezien pas als je wist van het risico maar dacht dat de kans aanzienlijk groter was dat er niets zou gebeuren (Pollemans/Hoondert, voor de juristen). De werkgever moet minimaal kunnen aantonen dat objectief gezien de werknemer zich daadwerkelijk bewust moest zijn van het roekeloze karakter (Dieteren/Express).

Dat argument zie ik hier niet opgaan. Weliswaar wordt er dus op allerlei plekken gewaarschuwd voor dit risico, maar ik heb desondanks niet het idee dat ‘men’ in het algemeen dit weet, en dat is zo ongeveer wel wat je nodig hebt. Ik ken iemand die een tijdje de gewoonte had om bij Instagramfoto’s van sleutels bij nieuwe woningen (“Yesss op mezellef”) daar een 3d printje van op te sturen als waarschuwing. Maar dat werd nooit ontvangen als “oh ja da’s waar ook, slordig van me”.

Dit nog even los van het idiote idee dat een stagiair 50.000 euro heeft of dat iemand ermee geholpen is dat een stagiair jarenlang gaat betalen om dit goed te maken.

Arnoud

Hoe bescherm ik mijn idee voordat ik het ga vertellen?

Een lezer vroeg me:

Ik heb een innovatief idee uitgewerkt om contactloos pinbetalen tegen afluisteren en dergelijke te beveiligen. Ik wil dat nu aan een paar banken voor gaan stellen, maar ik wil natuurlijk niet dat ze er met mijn idee vandoor gaan zonder mij te betalen. Hoe doe ik dat het veiligste? Is een i-depot nodig, kan ik een goed geheimhoudingscontract gebruiken of moet ik auteursrecht aanvragen?

Algemeen geldt: als je een idee hebt, dan kunnen en mogen anderen daarmee vandoor. Het is juridisch eigenlijk niet mogelijk een idee te beschermen tegen overname of afkijken, en wie adverteert dat het bij zijn dienst wel zo werkt, is een oplichter.

De enige juridische remedies tegen ongewenst overnemen zijn het idee onder een IE-recht beschermen of een contractuele afspraak te maken. Of beschermen mogelijk is, hangt helemaal af van het soort idee. Een technisch protocol (wat hier lijkt te spelen) kun je met een octrooi oftewel patent beschermen; anderen mogen dat protocol dan niet ook implementeren. Een auteursrecht beschermt tegen kopiëren of namaken van een tekst, foto of video – maar alleen de concrete uitwerking daarvan niet het onderliggende idee.

Een contractuele afspraak doe je meestal met een geheimhoudingscontract oftewel NDA (non-disclosure agreement). Daarin belooft de ontvanger om de verkregen informatie nergens voor te gebruiken, vaak op straffe van een contractuele boete. Het is toegestaan dat je jezelf een beperking oplegt die de wet niet kent, dus zo’n contract is legaal. Alleen: waarom zou je dat tekenen als ontvanger? Welk voordeel haal je eruit?

Ik zou zelf alleen adviseren om met een idee-leverancier in zee te gaan als deze concrete technologie heeft om in licentie te nemen. Dan weet je waar je voor tekent: snelle toegang tot iets dat werkt. Dat scheelt ontwikkelkosten bij jou, dus prima dat dat wat kost. Maar betalen voor enkel een idee dat je zelf nog moet uitwerken? Nee, vergeet het maar.

Een ander probleem met een NDA tekenen is dat je wellicht als ontvanger al met iets dergelijks bezig was. Toevallig las ik recent deze zaak waarin een man de Rabobank had benaderd met een anti-skimming idee. Naast dat er discussie was of überhaupt geheimhouding was overeengekomen, bleek de bank er al geruime tijd zelf mee bezig te zijn. Dan is het natuurlijk wel héél raar om te zeggen dat het jouw idee is.

Arnoud

Onder afwitvlakjes spieken in een PDF bestand kan juridisch problematisch zijn

De gemeente Barneveld mag ‘onzichtbaar’ gemaakte informatie van een grondverwerkingsbedrijf niet gebruiken, las ik bij Security.nl. De rechtbank bepaalde dat hoewel de witte vlakjes in de aangeleverde PDF bestanden met de informatie weg te halen waren, de intentie van het bedrijf was om die informatie niet te geven. Daarom mag de gemeente dat dan ook niet doen.

Het bedrijf kwam in de picture omdat er een partij verontreinigd zand zou zijn gebruikt bij een bouwproject in de gemeente. Een rapport van die strekking kwam op zeker moment in de media terecht, waarna de gemeente een onderzoek instelde. Daarbij werden onder meer twee onafhankelijke bureaus ingeschakeld, die gemengde signalen afgeven (de een: alles schoon; de ander: een lichte verontreiniging maar niet problematisch).

De gemeente wilde toen een stap verder en vroeg om gegevens over de leveranciers, zodat zij de herkomst van de grond nader kon onderzoeken. Dat wilde het bedrijf niet, want dat zou in strijd zijn met de privacywet en bovendien een schending van haar bedrijfsgeheimen (Wet bescherming bedrijfsgeheimen) opleveren. Na enig geharrewar waarbij de gemeente probeerde de provincie de gegevens te laten vorderen, heeft de advocaat van het bedrijf een PDF aangeleverd waarbij bepaalde gegevens wit waren gemaakt met geplakte rechthoekjes in PDF.

Waarop de gemeente doodleuk reageerde:

Dank voor het toesturen van de informatie (…) Daarnaast zagen we bij het openen van de pdf-documenten dat nummers en adressen onzichtbaar waren gemaakt door toepassing van witte vlakjes. Deze witte vlakjes konden gemakkelijk weggehaald worden, waardoor er allerlei informatie beschikbaar kwam.

Waarop de advocaat in de dagvaarding klom en we dus bij de rechter aankwamen. De gemeente stelde daar natuurlijk dat zij wel degelijk die informatie mocht gebruiken, hij was immers aangeleverd. Even op delete drukken bij die vakjes (of select all doen en dan de tekst ergens plakken) is immers een triviale maatregel die geen wetten overtreedt.

De rechtbank ziet dat anders:

Uit het feit dat [eisende partij] bepaalde informatie onzichtbaar hebben gemaakt, moest de gemeente afleiden dat [eisende partij] de betreffende informatie niet aan haar wilden verstrekken, ook al had [eisende partij] daarover eerder (mogelijk) een ander standpunt ingenomen of daarover onduidelijkheid laten bestaan. Van toestemming van de zijde van [eisende partij] voor gebruikmaking van de informatie door de gemeente kan aldus geen sprake zijn.

Bovendien is niet duidelijk geworden op welke grond (haha) de gemeente deze informatie heeft verkregen. Wellicht hadden ze dit kunnen vorderen, maar dat is niet gebeurd. Onder die omstandigheden – en volgens mij ook het feit dat een gemeente net wat zorgvuldiger moet zijn dan een privépersoon – concludeert de rechtbank dan ook dat de informatie niet mag worden gebruikt.

Het voelt ergens wel als een beloning voor incompetentie, maar er zit een sprankje redelijkheid in. Als je nadrukkelijk aangeeft iets niet te willen geven, daarna toch je goede wil toont maar dingen afschermt naar jouw beste kunnen, dan voelt het wel heel wrang om dan een “haha je bent een sukkel” reactie te krijgen en de niet-gewilde informatie triomfantelijk rondgezwaaid te willen. Daar zijn rechters wel gevoelig voor.

Arnoud

Verklap je iets over Koningsdag in Amersfoort? 25.000 euro boete

Mensen die op wat voor manier dan ook betrokken zijn bij de voorbereiding van Koningsdag hebben van de gemeente moeten tekenen voor geheimhouding. Als ze toch iets vertellen over de voorbereidingen, kan dat een boete opleveren van 25.000 euro. Dat las ik en als contractsjurist viel ik van mijn stoel. Zo’n dwangsom mag helemaal niet, zegt een hoogleraar bestuursrecht tegen RTL Nieuws. Nee, en ik zeg erbij dat de clausule sowieso juridisch ongeldig is. Maar het meest bizarre is nog dat de gemeente dit gewoon in een contract zet en mensen dat laat tekenen.

De koninklijke familie komt dit jaar naar Amersfoort, en de gemeente maakt zich kennelijk zorgen dat ambtenaren en vrijwilligers details gaan lekken over wat er gaat gebeuren. Dat kan ik me tot op zekere hoogte voorstellen, dat je de route geheim wilt houden bijvoorbeeld vind ik normaal gezien de veiligheidssituatie. Maar dat wordt – per NDA – dus ook opgelegd aan de ouders van kinderen die een dansvoorstelling gaan doen, want stel dat die zeggen dat het half vier begint dan heb je dus een tipje over de route onthuld.

De NDA is kort en to the point:

Schending van de geheimhoudingsplicht kan aanzienlijke schade toebrengen aan de gemeente Amersfoort. Indien u handelt in strijd met het bepaalde in deze verklaring kan de gemeente Amersfoort zonder dat enige sommatie of ingebrekestelling vereist is, per overtreding een onmiddellijk opeisbare en niet voor matiging of compensatie vatbare boete van € 25.000 (zeggen: vijfentwintig duizend euro) verbeuren.

Hoogleraar Staats- en Bestuursrecht Wim Voermans (Leiden) vindt dit een onzinnige route: bij vrijwel alle informatie waar geheimhouding zinnig voor is, geldt gewoon al het Wetboek van Strafrecht en de Algemene wet bestuursrecht. Die bepalen wanneer informatie vertrouwelijk is (niet perse staatsgeheim, dat is weer een trapje hoger) die je bij uitvoering van overheidstaken of -werkzaamheden onder ogen krijgt. En vooral: die bepalen welke straf daarop staat en hoe dit moet worden bewezen.

Deze NDA clausule doorkruist dat hele proces, wij zien een overtreding pats mogen we even 25 duizend van u vangen? Op die manier omzeil je dus alle strafrechtelijke en bestuursrechtelijke waarborgen, en dat is niet hoe het recht in elkaar steekt. Daarmee is deze contractuele bepaling dus nietig (art. 3:40 BW, de openbare orde).

Ik kan even geen Buzzfeed-kop bedenken (Ook dure gemeentejuristen maken deze contractenblunder?) maar de clausule is ook inhoudelijk fout. Dit gebeurt vaak: men wil de zin “u verbeurt een boete” nog net even wat agressiever laten klinken, en dan krijg je “zonder dat enige sommatie of ingebrekestelling vereist is”, “onmiddellijk opeisbare” en “niet voor matiging of compensatie vatbare boete”.

En het is die laatste die de clausule ongeldig maakt. In de wet rond contractuele boetes staat namelijk (art. 6:94 BW) dat de rechter een opgelegde boete kan matigen indien de billijkheid dit klaarblijkelijk eist. Met die frase “niet voor matiging vatbaar” probeert men dus deze bevoegdheid buiten werking te stellen. En dat mag niet: van lid 1 afwijkende bedingen zijn nietig, zo staat in lid 3. Een boete die zó hard wil blaffen, mag je niet afspreken.

Copypastejuristerij, ongetwijfeld. Maar wat mij betreft minstens zo raar als de staatsrechtelijke botsing.

Arnoud

Hoe een Tweet een voorgenomen overname ongeldig maakte

Een deal van energiebedrijf Eneco met Nigeria ketste af vanwege een tweet, las ik in het Financieele Dagblad. De onderhandelingen over de verkoop mislukten doordat het kopende bedrijf, 3D Hi Tech Systems, een tweet stuurde over de deal voordat deze was beklonken.

Eneco wilde haar Enecogen-energiecentrale verkopen. Uit het vonnis blijkt dat 3D Hi Tech gevonden werd dankzij bemiddeling van de bedrijven ALT en Romar, die de rechtszaak tegen Eneco aanspanden toen die zich terugtrok vanwege de tweet. Zij hadden een potentiële koper uit Nigeria gevonden, 3D Hi Tech dus.

De tweet zelf was relatief onschuldig en -vermoed ik- geplaatst vanuit enthousiasme door de betrokken persoon bij 3D:

Our dynamic MD Engr [vertegenwoordiger 3D HiTech] at eneco Netherlands for the official signing of the MOU [Memorandum of Understanding, toevoeging rechtbank] between 3D Hitech and ENECO [plus drie foto’s van een eerder bezoek]

Voor Eneco was dit toch wel even slikken want er was toch een stevige NDA – sterker nog een ‘Non-circumvention, non-disclosure, confidentiality and working agreement’ – getekend tussen partijen. En dan twitteren over het onderwerp daarvan is dan toch een beetje gek. Het incident was dan ook voor Eneco aanleiding om zich uit de onderhandelingen terug te trekken, ondanks dat de tweet binnen 24 uur weer weggehaald was.

Gevolg was dat ALT en Romar ook geen nieuwe kopers meer hoefden te zoeken, waardoor ze natuurlijk hun aanbrengfee zouden mislopen. Vandaar de rechtszaak: men wilde dat Eneco bij de rechter werd verplicht om door te gaan met onderhandelen, of in ieder geval onder die lopende ‘Non-circumvention, non-disclosure, confidentiality and working agreement’ te blijven zitten tot er een nieuwe zou zijn gevonden.

ALT en Romar stellen dat de tweet, gelet op inhoud en duur van zichtbaarheid daarvan, de afbreking van de onderhandelingen niet rechtvaardigde, maar miskennen daarbij de eigen afweging die Eneco in de gegeven omstandigheden mocht maken. Nu ALT en Romar wisten dat de tweet in strijd was met de geheimhouding mochten zij op dat moment zeker niet meer gerechtvaardigd op het tot stand komen van een overeenkomst vertrouwen.

Ook het mogen zoeken van een nieuwe koper is niet verplicht. Er waren meer redenen waarom de onderhandelingen stroef liepen, en Eneco had dus gewoon goede gronden om er onderuit te kunnen.

Arnoud

Californië neemt antikritiekvoorwaardenwet aan, moeten wij dat ook?

De staat Californië heeft een wet aangenomen die antikritiekbedingen in algemene voorwaarden verbiedt, las ik in de Washington Post. Met zo’n voorwaarde proberen bedrijven te voorkomen dat men negatieve recensies krijgt, die de reputatie en inkomsten van bedrijven behoorlijk kunnen aantasten. Zou zoiets ook in Nederland nodig zijn?

De populariteit van recensiesites is zodanig groot dat je als bedrijf behoorlijk in de problemen kunt komen als je veel negatieve reviews krijgt. Dit zou zelfs zo ver gaan dat gasten allerlei gunsten eisen onder dreiging van een negatieve review. Logisch dus dat bedrijven zoeken naar opties hier wat tegen te doen, en een clausule als “U zult geen negatieve recensies achterlaten zonder onze toestemming” is natuurlijk een mooie.

Een berucht voorbeeld was de actie van KlearGear: wie een review over hen achterliet ergens, moest $3.500 betalen als boete wanneer het bedrijf naar haar mening last had van de review. Ook als de review geplaatst was voordat deze voorwaarde van kracht werd. Na veel kritiek (haha) werd dit geschrapt en het bedrijf heeft nog steeds last van de reputatieschade die dit hen opleverde.

Met de nieuwe wet wordt het per definitie onmogelijk zo’n clausule te handhaven. Heerlijk direct staat er:

A contract or proposed contract for the sale or lease of consumer goods or services may not include a provision waiving the consumer’s right to make any statement regarding the seller or lessor or its employees or agents, or concerning the goods or services.

Wie het toch doet, loopt een risico op $2.500 boete per contract waar het in staat of per poging tot handhaving daarvan.

Wij kennen een dergelijke clausule niet, maar ik denk niet dat het nodig is. Vrijheid van meningsuiting is een grondrecht, en veel grondrechten gelden ook tussen burgers onderling. Horizontale werking, noemen juristen dat. Hoe ver dat gaat, is elke keer weer lastig te zeggen. Zo is het vrij logisch dat het recht op privacy ook geldt als andere burgers je bespieden, maar minder logisch dat een andere burger je niet mag verbieden je mening te uiten.

Een contractuele clausule (of algemene voorwaarde) die neerkomt op “je mag je niet uiten over X of Y” zou een inperking van de vrijheid van meningsuiting opleveren. Of dat mag, hangt af van een afweging of je doel legitiem is en of je niet met mindere middelen (minder strenge afspraken) dat doel had kunnen halen.

Een legaal voorbeeld is een geheimhoudingsovereenkomst. Wie afspreekt dat hij iets geheim zal houden, moet dat doen. Dat dient (meestal) een legitiem doel: je krijgt toegang tot niet-publieke informatie, je mag iets zien of gebruiken dat het publiek nog niet kent of je mag meedoen aan iets geheims. En dan zit er voor de andere partij weinig anders op dan afspraken maken om te zorgen dat jij de informatie lekt.

Een anti-reviewbeding is een stuk minder legitiem. Vooral omdat het niet zozeer gaat om het beschermen van niet-publieke informatie, maar om het beschermen van de reputatie van de wederpartij. En de afspraak wordt ook nog eens verstopt in algemene voorwaarden, in plaats van een specifiek daarvoor geschreven contract dat men apart accordeert. Dat maakt doel en middelen een stuk minder gepast. De rechter kan dan het beding vernietigen wegens strijd met het grondrecht uitingsvrijheid.

Een interessante lijkt me nog als je zegt: je krijgt 50% korting als je belooft geen negatieve uiting te doen, en die 50% eisen we terug als je dat toch doet. Dan kun je kiezen als consument. Wie zou daar boeken of bestellen?

Arnoud

Mag een reparateur zomaar rondkijken in de bestanden op je pc?

Een lezer vroeg me:

Is het een reparateur van een pc toegestaan om in de bestanden op de pc rond te snuffelen? Er kan vertrouwelijke of zelfs beursgevoelige informatie op staan. Maar reparateurs vinden af en toe ook ranzige inhoud die aan de politie wordt gerapporteerd. Dat is dus kennelijk wel toegestaan. Waar liggen de grenzen?

Als je een PC ter reparatie aanbiedt, dan is het logisch dat de reparateur kennis neemt van bepaalde informatie of onderdelen als dat relevant is voor de inhoud.

De wet noemt hier geen expliciete grenzen. De enige relevante grens die ik kan bedenken, is die van de zorgplicht die je in acht moet nemen. In de wet staat dat je moet werken als een goed opdrachtnemer. Een goed opdrachtnemer respecteert de privacy van zijn klant, dus die gaat niet snuffelen in bestanden en kopieert ook geen foto’s uit de map c:\documenten\privé\mijnvrouw\naakt.

Toch kan het gebeuren dat je als opdrachtnemer dingen tegenkomt, bv. omdat ze op het bureaublad staan waar je ze niet kunt missen, of omdat je tijdens bestandsherstel de inhoud langs ziet komen. Daar is dan weinig aan te doen. Wel moet je dan geheimhouding betrachten over wat je ziet.

Zie je iets strafbaars, dan mag je daar aangifte van doen. Dat staat los van die zorgplicht, het recht aangifte te doen als je kennis hebt van een strafbaar feit bestaat altijd.

Aangifte is niet verplicht, behalve bij een beperkte set misdrijven die je zelden tegen zult komen bij pc-herstel. Als reparateur kun je er dus voor kiezen om niets te doen met strafbaar materiaal dat je aantreft. Maar besluit je wel aangifte te doen, dan is er niets dat je tegenhoudt.

Arnoud

Als werknemer op persoonlijke titel een geheimhoudingsovereenkomst tekenen, kan dat?

attachment-bijlage-mail-email-doorsturen-geheim.jpgEen lezer vroeg me:

Ik ben gedetacheerd bij een opdrachtgever (A) die me een geheimhoudingsverklaring liet tekenen. Mijn formele werkgever (B) heeft sinds kort een algemene back-upoplossing, waarmee ook data van opdrachtgever A wordt geback-upt omdat die nu eenmaal op mijn laptop staat. Ben ik nu in overtreding van die geheimhoudingsverklaring?

Het gebeurt vaak dat wanneer men iemand inleent of gedetacheerd krijgt, die persoon een geheimhoudingsverklaring (non-disclosure agreement, NDA) onder de neus schuift. In deze context is dit echter juridisch zinloos.

Een werknemer kán niet op persoonlijke titel dingen tekenen als die dingen werkgerelateerd zijn. Hij handelt dan als werknemer, en daarmee is per definitie de werkgever aansprakelijk en verantwoordelijk voor zijn handelen. De NDA wordt daarmee juridisch gezien geaccordeerd door de werkgever, en voor schendingen is deze dus aansprakelijk en niet de werknemer zelf.

Natuurlijk mag de inlener/opdrachtgever best een waarschuwing geven aan de werknemer over de waarde van bedrijfsgeheimen. Die waarschuwing mag schriftelijk, en hem dit laten tekenen bij wijze van bewijs dat hij het gelezen heeft, is prima. Maar het geeft géén juridische basis om de werknemer persoonlijk aansprakelijk te stellen voor eventueel lekken van vertrouwelijke informatie.

Persoonlijk aansprakelijk stellen van werknemers is buitengewoon moeilijk. De wet eist opzet of grove nalatigheid, en de lat ligt daarbij zo hoog dat je er vrijwel nooit aan komt. Enkel waarschuwen of verbieden is bij lange na niet genoeg. Er moet echt een zeer ernstige beroepsfout zijn gepleegd.

Je kunt dus als werknemer best zo’n NDA tekenen, met in je achterhoofd dat je dat doet namens je werkgever. Maar beter is je werkgever te bellen: mag ik dit tekenen, en zo niet wil jij dan nu even de opdrachtgever uitleggen waarom niet?

Arnoud