Verzin een ICT-contract en win het Handboek ICT-contracten!

handboek-ict-contractenVolgende week verschijnt mijn nieuwste boek: het Handboek ICT-contracten. Het boek is geschreven voor iedereen die regelmatig ICT-contracten moet maken. Welke contracten heb je zoal en wat moet daar nu precies in? En ik geef er tien weg.

Regelmatig krijg ik de vraag of ik een contract voor het een of ander op de plank heb liggen. Ik moet me dan altijd inhouden om niet te reageren met “heb jij nog een nieuwe site voor me op de plank liggen”, maar het onderliggende punt snap ik: het is meestal een kwestie van de juiste clausules op een rijtje zetten. Alleen weten wélke clausules je op een rijtje moet zetten, blijft een uitdaging.

Dit boek (geschreven samen met ICTRecht-collega Steven Ras) zet die clausules op een rijtje, op meer dan 30 rijtjes zelfs. Contracten worden samengesteld en besproken van affiliateovereenkomst tot whitelabel-resellingovereenkomst, en de clausules van aflevering van software tot het Weens koopverdrag dat iedereen afsluit.

Geïnteresseerd? Bekijk de inhoudsopgave of lees deze of deze preview.

En dan nu de weggeefactie: ik geef tien exemplaren weg aan mensen die een ICT-contract weten dat in het handboek genoemd had moeten worden. Roept u maar, wat ontbreekt er? Graag met enige uitleg en als het kan een linkje naar een voorbeeld van zo’n contract. Timestamp op mijn server is beslissend. Kom maar op!

Overigens is het wat mij betreft tijd voor een paar wettelijke standaardcontracten, maar dat zal nog wel even duren.

Arnoud

Talensshop toch in overtreding van merkenrecht Talens

talensshop-grootGebruik van een merk in je domeinnaam blijft een gevaarlijke. Schreef ik in juli vorig jaar nog dat Talensshop.nl mocht als domeinnaam van een verkoper van de verfproducten, blijkt dat nu in hoger beroep toch iets anders te liggen. De totaalindruk van de site (klik op plaatje voor groot) is toch zodanig dat een consument zou kunnen denken dat deze shop iets met Talens zelf te maken heeft, en dat is merkinbreuk. En nee, disclaimers helpen daar niet tegen.

Het is legaal om een merk te gebruiken als je wederverkoper van de merkproducten bent. Ook als je geen officieel dealer bent en ook als je ze bij een smoezelige loods in Polen inkoopt van een opkoper van faillisementsboedels. De enige echte randvoorwaarde is dat de producten legaal in de EU op de markt zijn gebracht door de merkhouder.

Voor veel internethandelaren zit daar een buitenkansje: dan kun je zo’n merk gebruiken in je domeinnaam en daarmee hoog scoren in de zoekmachines, dus meer bezoekers en daarmee ook meer verkoop. En met een beetje slim script kun je voor elk merk een eigen site opzetten – wat ik de Welkom bij merknaam-sites noem, omdat ze altijd openen met generieke teksten als “Welkom bij Talensshop.nl, uw specialist in Talens”.

En hee dat is precies hoe Talensshop opent. Er staat meteen achter “Onafhankelijk dealer van” en bovenaan stond een disclaimer dat “Deze website is geen onderdeel van Royal Talens”.

In eerste instantie had de rechter de site legaal verklaard, onder toetsing aan vier factoren waarbij het belangrijkste was dat Talensshop zichzelf nergens officieel dealer of partner noemde. Het arrest gaat niet specifiek op die factoren in maar zoomt meteen in op die vraag van officieelheid. Als het publiek denkt dat je Talens bent, dan heb je een probleem. En oeps: uit marktonderzoek van Talens bleek dat “55,6% van de respondenten meent dat Talensshop de (officiële) webshop van Talens is, en dat 70,6 tot 91,5% denkt dat Talensshop op een of andere manier verbonden is met Talens”. (Niet-representatief tegenonderzoek: Jullie ook?)

Jezelf “onafhankelijk dealer” noemen vindt het Hof daarbij juist érger: het suggereert dat je een bijzondere band met Talens hebt. Iets waar ik me wel in kan vinden, dealers zijn de geautoriseerde jongens en de shops/tekoop/koopsnel-domeinnamen de handige jongens met een Welkom-bij-merknaam-site.

De disclaimers komen niet door de giecheltoets:

De eerste disclaimer (‘© Artimat. Deze website is geen onderdeel van Royal Talens’) is dermate onderaan de webpagina’s en in klein lettertype geplaatst dat zij door de gemiddelde websitebezoeker niet of zelden zal worden waargenomen. De tweede disclaimer (‘Deze website is geen onderdeel van Royal Talens’), die door [geïntimeerde] na het bestreden vonnis bovenaan de webpagina’s is geplaatst, baat hem evenmin.

Het helpt natuurlijk al niet dat je überhaupt een disclaimer moet toevoegen om te kunnen verdedigen dat je niets te maken hebt met een merk. Een indruk wekken en dan proberen weg te nemen is heel wat anders dan gewoon die indruk niet wekken.

De Talensshop moet de domeinnamen afgeven en € 50.000 aan proceskosten vergoeden (eerste instantie en hoger beroep). Auw.

Arnoud

Gebruikers Google Analytics schenden Nederlandse privacywet

analytics-cookie.pngGebruikers van Google Analytics hebben volgens de wet een aparte bewerkersovereenkomst nodig, maar Google weigert dit, zo las ik bij Webwereld. In een onderzoek van de privacytoezichthouder naar persoonsgegevensverwerkende smart TV’s kwam ook voorbij dat je zo’n overeenkomst moet afsluiten als je met Google Analytics werkt. Niemand doet dat, sterker nog niemand kán dat doen want Google vindt dat er geen sprake is van een privacyschending.

Wanneer je het verwerken van persoonsgegevens uitbesteedt, heet die andere partij een bewerker. De verantwoordelijke bepaalt wat er gaat gebeuren en hoe (doel en middelen), en de bewerker voert dat uit. Dit is geschreven voor situaties waarin je bv. een bedrijf inhuurt om een papieren mailing uit te doen naar je relaties of om een stukje van je dienstverlening uit te kunnen besteden. Maar de definitie past ook prima bij een clouddienst: de cloudgebruiker bepaalt wat er moet gebeuren en kiest de middelen – de clouddienst – en de dienstverlener voert dat simpelweg uit.

De wet schrijft voor dat je verplicht een bewerkersovereenkomst moet sluiten tussen verantwoordelijke en bewerker. Hierin komt te staan wat de bewerker mag doen (en wat vooral niet), welke beveiligingsmaatregelen hij moet nemen en hoe de verantwoordelijke op een en ander toezicht houdt. Dat moet dus ook in de cloud, en daar gaat het al snel mis want geen hond (cloudhond?) die zich daaraan houdt.

Nu zou je zeggen dat een partij als Google dat eenvoudig kan fixen. Maak een standaard bewerkersovereenkomst, zet die naast de gebruikersvoorwaarden (hij mag er niet ín, het moet een aparte overeenkomst zijn) en klaar is Sergey. Maar nee, Googles bedrijfsbeleid is dat Google Analytics geen persoonsgegevens verwerkt en men herkent zich niet in de mening van het Cbp.

Je kunt je afvragen óf er wel persoonsgegevens worden verwerkt met deze dienst. Zoals Webwereld schrijft,

TP Vision gebruikt first party cookies in plaats van third party tracking cookies, verwijdert het laatste octet van alle IP-adressen voordat ze worden opgeslagen, heeft de optie ‘gegevens delen’ in Google Analytics uitstaan en maakt geen gebruik van Google AdWords en AdSense.

Dit is de best practice van hoe je zo privacyvriendelijk mogelijk Google Analytics inzet. Maar nee, aldus het Cbp:

Voor Google zijn deze gegevens op zichzelf persoonsgegevens. De toegepaste maskering van het laatste octet van het IP-adres leidt weliswaar tot verminderde herleidbaarheid (een groep van maximaal 254 verschillende gebruikers), maar er is, door de aanwezigheid van bijkomende gegevens als tijdstip en URL-referrers, gedurende de verzameling van de gegevens door Google, geen onevenredige inspanning nodig om het surfgedrag en appgebruik tot een individuele betrokkene te herleiden.

Het feit dat Google het kán herleiden maakt Analyticsdata dus persoonsgegevens, ook als Google via de uitstaande optie ‘gegevens delen’ belóóft het niet te doen. Tsja. Dan houdt het wel een beetje op inderdaad met dit soort diensten, want herleiden kán vrijwel altijd.

Exit Google Analytics? Nou, dat denk ik niet. Net als met de cookiewet gaat dit massaal genegeerd worden. Het Cbp kan het wel een “waarschuwing aan de hele branche” noemen maar zonder boetes en handhavend optreden is dat geen echt compliance-afdwingende waarschuwing.

Arnoud

De voorintekening voor ons boek “Reclame” is geopend!

Het is ons meest uitgestelde boek ooit: al in 2011 stond het op de site. Maar nu gaat het dan toch echt gebeuren, ons boek Reclame: Deskundig en praktisch advies gaat uitkomen als een echte gebundelde stapel papier. (Ja, het ebook komt ook.) Welke wetten en regels gelden er voor reclame op internet, van spamwetgeving tot cookiegebruik en adverteren op andermans merknaam.

Het boek telt zeven hoofdstukken:

  • Eisen aan reclame-uitingen
  • Promoten van bijzondere producten
  • Gebruik van merken
  • Reclame per mail en telefoon
  • Privacy en profielen
  • Tracking en cookies
  • Recensies en reputatie

Het boek wordt op 24 september 2013 verwacht en kost € 19,95 inclusief BTW. Wie voorintekent, krijgt het boek zonder verzendkosten geleverd.

Teken nu in!

Quizvragen voor wie wil weten of het boek de prijs waard is:

  1. Waarom is deze Burger King-reclame verboden?
  2. Hoe controleer je als slijterijwebwinkel of je koper wel oud genoeg is om alcohol te mogen kopen?
  3. Mag je iemand een nieuwsbrief sturen als ‘ie op je site een gratis IQ-test komt doen en dat adres opgeeft om Magde uitslag te krijgen?
  4. Is het toegestaan jezelf Porschespecialist te noemen als je geen dealer bent?
  5. Mag je in advertenties bij dit sojaproduct een kaasschaaf tonen?

De drie best gemotiveerde antwoorden winnen een gratis exemplaar. Dus kom maar op! 🙂

Arnoud

Een school in de wolken

cloud.jpgRegelmatig krijg ik vragen van scholen van allerlei pluimage die overwegen “iets met de cloud” te gaan doen. Dat varieert van het op Slideshare of Youtube zetten van lesmateriaal tot het delen van teksten via Google Docs tot het compleet migreren van de IT-infrastructuur naar Gmail of Microsoft. En dan komt natuurlijk meteen de vraag: mag dat allemaal wel?

De cloud is leuk, maar juridisch lastig. Allereerst zit je met een probleem van beschikbaarheid: wat als Gmail het een middag niet doet, annuleer je dan je lessen? Natuurlijk, dat kan met een eigen IT-infrastructuur ook maar dan kun je makkelijker iemand bellen om maatregelen te nemen. Of je kunt geld in een SLA steken om dat te voorkomen. Met cloudproviders is dat vaak een stuk moeilijker.

Een groter probleem speelt natuurlijk rond de persoonsgegevens van leerlingen (en hun ouders, en de leerkrachten) die je op die manier in de cloud parkeert. Zeker wanneer die cloud in de VS geparkeerd is (een wolk parkeren? ehm), heb je dan eigenlijk altijd een juridisch probleem. Je kunt niet zomaar als school gegevens naar de VS exporteren, aangezien daar geen goede privacybescherming bestaat. Nee, ook niet met Safe Harbor.

Eigenlijk is de enige optie om met ondubbelzinnige toestemming te werken. Mensen moeten dan vrijwillig en expliciet zeggen “Ja, het is goed dat mijn (kinds) persoonsgegevens op servers in de VS worden opgeslagen”. En de pijn zit hem in dat vrijwillig: je kunt niet halverwege een schooljaar ineens eisen dat men even dat formulier ondertekent. Zeker niet als je bedenkt dat in het basisonderwijs de overeenkomst begint in groep 1 en eindigt in groep 8 – en dus niet per schooljaar opnieuw.

Maar wacht, we hadden toch ook nog de goede uitvoering van die overeenkomst als grond? Ja, dat klopt: zonder toestemming mag je iemands persoonsgegevens verwerken (ook in de VS) als dat noodzakelijk is voor het goed nakomen van een overeenkomst met die persoon. Maar is het noodzakelijk om iemands cijferlijst in Google Docs bij te houden, of de spreekbeurten via Slideshare of Prezi te laten lopen? Volstrekt niet.

Als je een Europese cloudprovider gebruikt, dan is dit allemaal een stuk minder problematisch. Het grootste aandachtspunt dat dan overblijft is de beveiliging natuurlijk. Maar probeer maar eens een Europese cloudprovider te vinden die kan wat Google of Microsoft kunnen.

Arnoud

De Amerikaanse cloud in op basis van Safe Harbor: vergeet het maar

Wie met een Amerikaanse cloudprovider in zee gaat (met de wolken in zee?), kan niet achterover zitten met “Oh ze doen Safe Harbor”. Dat zegt namelijk niets over hoe ze met data omgaan; Safe Harbor regelt alleen het formele puntje dat de data überhaupt Europa uit mag. Dat is wat ik opmaak uit de recente Zienswijze van de privacytoezichthouder, waarin men in algemene zin ingaat op een serie vragen van academische software- en dienstenboer SURFmarket.

Als je met persoonsgegevens werkt, mag je die niet zomaar aan niet-Europeanen geven want die doen er enge dingen mee, zo staat in de wet. De Amerikanen hebben natuurlijk de Safe Harbor-verklaring, waarmee ze beloven zich echt aan de regels te houden. Maar dat gaat écht niet helpen, zo concludeert het College bescherming persoonsgegevens.

Ik moet ook wel eens mijn lachen inhouden als ik vertel hoe Safe Harbor werkt: het is dus écht genoeg dat je als Amerikaanse club zegt “oké ik zal me aan die Europese regels houden”. Zelfcertificering heet dat. Maar goed, die gekke Europeanen willen dat je dat zegt en vooruit dus maar. En wij maar denken dat daarmee de kous af is.

Maar nee: het Safe Harbor raamwerk gaat alleen over het mogen exporteren (doorgeven) van persoonsgegevens. Alles dat daarna gebeurt, moet alsnog apart worden geregeld. Een Amerikaans bedrijf dat bewezen zich houdt aan wat Safe Harbor eist, kan dus nog steeds de Europese privacyregels schenden. Men kan gegevens opslaan zonder adequate beveiliging, of gegevens gebruiken voor andere doelen dan waarvoor ze zijn verkregen. Dat valt buiten de scope van Safe Harbor. Nog even afgezien van de eis dat je een schriftelijk contract moet hebben als je verwerking uitbesteedt, en een accountje bij Google telt niet als “schriftelijk contract”.

Wie dus Amerikaanse bedrijven met data wil laten werken, moet dus zelf aan de bak. En naast dat contract zul je vooral moeten gaan auditten: wat doen die met onze data, beveiligen ze die wel goed en waar gaat de data allemaal nog meer heen? Dat ben je als Europese verantwoordelijke namelijk wettelijk verplicht, en je draait op voor de schade als de Amerikaanse cloudprovider de Europese wet blijkt te schenden.

Gelukkig is er een soort van oplossing: de Third Party Mededeling (TPM). Nee, ik weet ook niet waarom dat half Engels is en ik weet ook niet waar de spaties of koppelstreepjes horen, maar zo heet het kennelijk. (Update 15:15 het heet Third Party Memorandum officieel.) Het Cbp legt uit:

Een TPM is een verklaring van een onafhankelijke externe deskundige, waarin deze een oordeel geeft over de maatregelen die een bewerker heeft getroffen. De TPM wordt opgesteld in opdracht van de bewerker, en wordt verstrekt aan de verantwoordelijken die gebruikmaken van diens diensten. Het doel van het verstrekken van een TPM is om de verantwoordelijken inzicht te bieden in de getroffen maatregelen, zonder dat iedere verantwoordelijke daar zelf onderzoek naar hoeft te (laten) doen.

Zo kan een cloudprovider dus met één TPM laten zien wat hij allemaal doet aan beveiliging en dergelijke, zodat de verantwoordelijke weet dat het wel snor zit met die persoonsgegevens in de Amerikaanse cloud. Een SAS70 verklaring mag het niet meer heten, wat wel jammer is want “ISAE 3402 verklaring” of “SSAE 16 verklaring” bekt toch een stukje minder.

En ja, wat nu. Want zo’n bevinding is mooi, en dat er iets scheef zit is ook wel duidelijk, maar wat gaan we nu in de praktijk concreet doen om dit te verbeteren? Gaan we nu allemaal contractjes sluiten met de Amerikaanse cloudproviders? En wie gaat al die ISAE3402 verklaringen afgeven na het datacenter van Amazon te hebben bezocht?

Arnoud

Talensshop.nl mag als domeinnaam voor wederverkoper van Talens producten

<img src=’https://blog.iusmentis.com/wp-content/uploads/2012/07/talens-shop.voorbeeld.png’ width=150 alt=’Klik voor groot screenshot van Talensshop.nl’ border=0 “style=”border: 1px dotted black” align=’right’/>Eén van de meest voorkomende vragen bij ons kantoor is of een domeinnaam met een merk erin gebruikt mag worden om merkproducten te verkopen. Meestal vindt de merkhouder dat namelijk niet leuk, en krijgt de domeinnaamhouder dan ook al snel blafbrieven die spreken van merk- of handelsnaaminbreuk en verwarring en profiteren van de reputatie. Maar uit een recent vonnis blijkt (wederom) dat er wel degelijk ruimte is voor domeinnamen voor legitieme wederverkoop van producten. Update (20 september) in hoger beroep werd toch wél merkinbreuk aangenomen.

In deze zaak had het merk Talens (verfproducten) een rechtszaak aangespannen tegen een bedrijf dat Talensproducten verkocht op de domeinnaam Talensshop.nl. Talens maakte bezwaar omdat deze shop de indruk zou kunnen wekken dat men direct bij Talens koopt, wat niet zo is. En dan stralen problemen van die winkelier af op het merk.

De rechter oordeelt echter anders. Dit is een bona fide wederverkoper, die bij Talens zelf producten inkoopt en die dan bij de consument aan de man brengt. In die situatie mag je het merk gewoon gebruiken. En of je dat nu als fysieke winkel doet met een plaquette aan de muur met het merk erop, of met een domeinnaam, maakt in principe niet uit.

Eerder hadden we natuurlijk de Yonex-rechtszaak, waarin “yonexbadminton.nl” legaal verklaard werd als doorverwijsadres naar de Yonex-afdeling van een online winkel. De rechter lijkt die niet direct te willen volgen, en pakt in plaats daarvan de uitspraken van de domeinnaamarbitrage bij het WIPO, met name de Louis Latour-uitspraak uit 2012. Deze zet de argumenten voor een legitiem gebruik als wederverkoper op een rijtje, en de rechter neemt dat rijtje over:

  1. Je moet daadwerkelijk de merkproducten verkopen op die site. Dus niet generieke producten of alleen maar advertenties naar weer andere sites. Dit doet de Talensshop.
  2. Je mag geen concurrerende producten aanbieden op een manier die “bait and switch” oplevert: mensen lokken met het merk en dan een concurrent aanbieden. Een merkendomeinnaam verkoopt het merkproduct. En dat was precies wat de Talensshop deed.
  3. De website moet nauwkeurig aangeven wat de relatie is met de merkhouder. Termen in de domeinnaam wegen daarbij zwaar. Een woord als “shop” suggereert iets van officieel zijn, zodat er dan hoge eisen gesteld worden aan de rest van de site om die suggestie te weerspreken. Enerzijds moet je dan alles vermijden dat suggereert “ik ben officieel” en anderzijds moet je waar mogelijk aangeven “ik ben gewoon een verkoper”. De Talensshop had nergens een tekst staan die officialiteit suggereerde, en noemde zich wel “De Nr 1 Talens dealer”. De rechter vond dat genoeg, hoewel ik persoonlijk “dealer” net even anders vind dan “verkoper”.
  4. Je mag niet zó veel domeinnamen met het merk erin registreren dat de merkhouder geen fatsoenlijke domeinnaam meer overhoudt. Dat was hier geen probleem: Talens had Talens.com en Talens.nl al in het bezit en had dus ruimte genoeg om nog een eigen shop te beginnen.
Daarnaast had Talens nog aangevoerd dat de shop gebruik maakte van haar handelsnaam. Dat staat los van of iets van de merkenwet mag of niet. Je mag niet je bedrijfsnaam zo kiezen dat die verwarringwekkend veel lijkt op andermans bedrijfsnaam.

Maar gelukkig voor de shop is ook van handelsnaaminbreuk geen sprake. De shop richt zich op consumenten, terwijl Talens zelf zich alleen op bedrijven richt. En als men in twee verschillende branches opereert, kan van handelsnaaminbreuk geen sprake zijn. Los daarvan, als je (zie item 3 hierboven) duidelijk maakt dat je gewoon een wederverkoper bent dan kan er ook van verwarring of je het bedrijf bent geen sprake zijn.

Een goeie uitspraak wat mij betreft, hoewel het ook eenvoudig de andere kant op had gekund. Ik blijf moeite houden met Welkom-bij-merknaam-sites, want een stemmetje in m’n achterhoofd blijft maar fluisteren dat je je alleen maar merknaamshop.nl noemt omdat je heel hard tegen het merk wilt aanschuren. Maar goed, schuren is dus legaal als je de punten hierboven in aanmerking neemt.

Update (20 september) lees ook het hoger beroep waarin toch wél merkinbreuk werd aangenomen.

Arnoud

Wie moet het eerst retourneren bij koop op afstand

Een lezer vroeg me:

Ik weet dat je als consument het recht hebt om binnen zeven werkdagen je koop te annuleren onder de Wet koop op afstand. Maar in welke volgorde moet dit gebeuren? Mag ik eisen dat mijn geld eerst teruggestort wordt voordat ik het product terugstuur?

Als consument heb je inderdaad het recht om binnen zeven werkdagen na ontvangst het product te retourneren. De eerste werkdag is daarbij de dag nádat je het product hebt gehad. Dit geldt trouwens ook voordat het product is geleverd.

Veel mensen denken dat je binnen deze termijn het product moet terugsturen, maar dat is niet zo. Formeel is sprake van een ontbindingsrecht, en volgens de wet (art. 6:267 BW) oefen je dat uit door de wederpartij te melden “ik ontbind bij deze de overeenkomst”. Je zit dus goed als je binnen die zeven werkdagen de winkel meldt dat je het product terugstuurt, ook al stuur je het product zelf pas ná die zeven werkdagen op. Wel moet je natuurlijk kunnen bewijzen dat de winkel je bericht hierover gehad heeft. Maar het product terugsturen binnen die periode telt ook als mededeling.

De wet (art. 7:46d BW) noemt geen volgorde. Beide partijen moeten -volgens de algemene regels bij ontbinding- alles doen om de koop van hun kant ongedaan te maken. Zo snel mogelijk, en voor de winkel geldt nog de wettelijke grens van terugbetaling binnen dertig dagen (lid 3 van 7:46d BW) van de aankoopsom. Voor de consument staat er geen grens voor de terugzendperiode in de wet.

Het is gebruikelijk dat de consument als eerste het product terugstuurt en dat de winkel daarna het geld terugbetaalt, maar meer dan een gebruik is dat niet. Maar ik zou wel denken dat je iets moet laten weten aan de winkel als jij eerst je geld terug wilt, omdat de winkel vanwege dit gebruik die handelwijze niet zal verwachten. Annuleer in zo’n situatie dus met een brief (of e-mail) waarin je je recht inroept én uitlegt waarom je eerst het geld terug wil.

Arnoud

Gaan we weer: de voorwaarden van Microsoft’s So.cl

socl.pngAls jullie er moe van worden moet je het maar zeggen, maar het blijft me fascineren waar de juristen van internetbedrijven elke keer weer mee komen als er nieuwe diensten worden gelanceerd. Want ja daar moeten voorwaarden bij en laten we het nog maar een keer opnieuw opschrijven, op een net wat andere manier en we streven naar helderheid maar ja het moet ook juridisch kloppen natuurlijk. En we horen het wel of er bezwaren zijn. Meest recente voorbeeld is So.cl van Microsoft, een sociaal netwerk waar zoeken, netwerken en delen van content gecombineerd worden.

Microsofts voorwaarden zijn netjes opgezet, met een duidelijk kopje en dan toch een poging tot leesbaar Engels. ??n een waarschuwing bovenaan:

This contract limits our liability and disclaims warranties for the service to the maximum extent permitted by law. Please read these sections of the contract carefully.

Het meeste is standaard: gedraag je, upload geen porno en schend geen auteursrechten. Let op je account. Oh, en je gaat akkoord met de Bing voorwaarden want wij plakken Bing-zoekresultaten op je pagina.

Opmerkelijk is dat men wél rekening lijkt te hebben gehouden met de brouhaha die andere diensten steeds over zich heenkrijgen als het gaat over auteursrechten van de gebruikers. Er staat standaard in zulke voorwaarden “je blijft eigenaar maar wij mogen alles”, maar Microsoft is er iets beperkter in: men houdt het bij “to the extent necessary to provide the service.” En dat is zoals het hoort.

Een paar dingen zijn op zich ook standaard maar doen wel de wenkbrauwen fronsen:

  • Microsoft may change this contract at any time without notice. If you do not stop using the service, your continued use of the service will be under the changed contract.
  • We may change the service or delete features at any time and for any reason . We may cancel or suspend your service at any time.
  • If you give us feedback, you give Microsoft, without charge, the right to use, share and commercialize your feedback in any way and for any purpose.

Daar is geen woord juridisch aan, zou ik zeggen. Enerzijds schrik je er wel van dat men zó eenzijdig die rechten voorbehoudt, anderzijds is het verfrissend dat men zó duidelijk daarover is. Nu alleen nog mensen zo ver krijgen dat ze niet denken “ach dat zal wel meevallen” maar gaan piepen. Oh sorry, ik was even optimistisch.

Arnoud

Mag Google Analytics nog onder de cookiewet?

analytics-cookie.pngWeinig onderwerpen waar ik zó over platgemaild werd als de vraag “Mag Google Analytics nog als de cookiewet in werking treedt”. Analytics is een handige tool voor webmasters maar het perfide Google maakt er meteen ook gebruikersprofielen mee – én plaatst cookies. Wij hadden ooit een oplossing gevonden voor het profileren (anonimiseer het IP-adres) maar dat levert geen oplossing voor de cookiewet. Ik heb er uitgebreid over zitten peinzen en dacht eerst dat het wel moest kunnen, maar ik loop steeds vast op de tekst van de wet.

Je kunt, aldus Google, met Analytics werken zonder dat deze persoonlijke gegevens opslaat. Allereerst zeg ik daar meteen bij dat Google een geheel eigen definitie heeft van “persoonlijke gegevens”, kort door de bocht moet je naam en je adres erbij staan anders vinden zij het niet persoonlijk. Dat gaat lijnrecht in tegen de Europese privacyregels, die het al “persoonlijk” vinden als je er twee personen mee kunt onderscheiden, ongeacht of je weet welke personen het zijn. Het getal 461 is dus een persoonsgegeven – voor mij, want dat identificeert een klant in mijn klantenbestand (hoi Erik).

Maar zelfs als de Analyticsdata die wordt verzameld compleet geaggregeerd wordt en totaal niet naar individuele users te herleiden is (ok ok maar stél), dan nog helpt ze dat helemaal niets. Want cookie zetten is toestemming vragen, punt. First party, third party, persoonsgebonden of niet; compleet irrelevant. Behalve dus als het cookie strikt noodzakelijk is voor het goed functioneren/leveren van een dienst. De wet wil met één zin zowel cookies als dialers, toolbars en dergelijke meuk afdekken. Vandaar de brede bewoordingen. Een toolbar trackt op zichzelf niets (kan wel) maar het installeren van een toolbar vereist toestemming. En een cookie dus ook.

De standaardvoorbeelden van toestemmingsloze cookies zijn de houd-me-ingelogdcookies en de webwinkelwagentjescookies. Zonder die cookies moet je continu je wachtwoord invullen of kun je niet fatsoenlijk een serie producten in één keer bestellen, dus dat moet gewoon kunnen. Maar iedere meelezende techneut zal nu uitroepen “nou, noodzakelijk, noodzakelijk, dat kan prima op een andere manier hoor”. Maar omdat het de bedoeling is dat dergelijke cookies zonder toestemming gezet moeten worden, mag je “strikt noodzakelijk” dus lezen als “net zo noodzakelijk als een webwinkelwagentjescookie”. Leuk hè, rechten?

Hoe noodzakelijk is een cookie voor Google Analytics? Niet zó noodzakelijk, vond de minister in de Eerste Kamer:

Het gebruik van analytic cookies kan waardevol zijn voor de aanbieder van een dienst van de informatiemaatschappij, maar staat over het algemeen in minder direct verband met het kunnen leveren van de door de gebruiker gevraagde dienst. Dit zal met andere woorden minder snel onder de uitzondering vallen, maar dat zal per geval beoordeeld moeten worden.

Hm. Minder snel. Dus het zóu kunnen.

… voor diensten waarbij wordt ingelogd op een persoonlijk account, kan het noodzakelijk zijn om met gebruik van cookies te controleren of er niet met deze accounts wordt gefraudeerd.

Ook hier: nee, hij bedoelt niet “noodzakelijk” als in “geen andere technische oplossing is mogelijk”. (En nee ik weet ook niet hoe ik met een cookie -clientside info- kan controleren of een client fraudeert.) Waar het om gaat is of het cookie het belang van de gebruiker dient en dan ook alléén diens belang. Bij een houd-me-ingelogd-cookie of een rot-op-met-je-enquête-cookie is dat duidelijk. Maar bij Analytics? Wat heeft de bezoeker aan Analytics?

Iets later:

Wanneer van het gebruik van analytics cookies in een bepaald geval gezegd kan worden dat dit noodzakelijk is voor het goed kunnen functioneren van de door de gebruiker bezochte site, valt dit gebruik van analytics cookies onder de uitzondering in het derde lid van artikel 11.7a.

Soms voel ik me net een oude Griek die het orakel van Delphi moet duiden. Wanneer is aan de uitzondering voldaan? Nou, als aan de eis genoemd in de uitzondering is voldaan dan gaat de uitzondering op. Eh. Ja.

Goed. Welk nut heeft Analytics voor de eindgebruiker? Wat ik van Google lees, gaat alleen over de voordelen van de webmaster. Die krijgt mooie plaatjes met statistieken en kan op allerlei niveaus draaitabellen, filters en meerdere dimensies visualiseren. En ja, dat is leuk maar als eindgebruiker merk je niet of Analytics aan of uit staat. Het Analyticscookie draagt op geen enkele manier bij aan de dienst die de gebruiker afneemt en is ook niet in diens belang.

Ik ontkom dus niet aan de conclusie dat je voor Google Analytics écht toestemming nodig hebt onder de cookiewet. Ja, ook als je de IP-adressen anonimiseert en ook als je geen Adsense draait. Dat dat niet gaat werken, moge duidelijk zijn – maar wishful thinking of roepen dat je er geen last van hebt, is geen juridisch argument.

Arnoud