Tag: Ictrechtblog

About Ictrechtblog

Subscribe Feeds

Mag Twitter gegevens van Europese gebruikers aan Amerikaanse Justitie geven?

Geplaatst op in Ondernemingsvrijheid, Uitingsvrijheid, 10 reacties

twitter-signup.pngTwitter moet persoonsgegevens van drie personen betrokken bij Wikileaks, waaronder de Nederlandse hacker Rop Gonggrijp, aan de Amerikaanse justitie overhandigen. Dat meldde Webwereld vrijdag. Dit in verband met dat het onderzoek naar het openbaren van de legervideo ‘Collateral Murder’.

In principe lijkt dit te mogen. Het privacybeleid van Twitter vermeldt expliciet

Law and Harm: We may preserve or disclose your information if we believe that it is reasonably necessary to comply with a law, regulation or legal request; to protect the safety of any person; to address fraud, security or technical issues; or to protect Twitter’s rights or property.

en in dit geval was er een gerechtelijk bevel, dat zelfs in hoger beroep getoetst en bevestigd werd. Aan de letter van de (Amerikaanse) wet is dus voldaan. In strijd met Europese privacyregels lijkt me dit niet. Hoewel er zeker dubieuze aspecten in met name de USA PATRIOT ACT staan, lijkt het hier volgens dezelfde soort regels te zijn gegaan als bij ons: opsporingsdienst verzoekt rechtbank om toestemming, rechtbank toetst aan de wet en staat toe.

De gebruikte regel (18 USC 2703(d)) is wel erg breed: het bevel mag ook tegen niet-verdachten gericht zijn en meer dan een “redelijke grond” voor de doorzoeking is niet nodig. Dit in tegenstelling tot een huiszoeking, die in de VS “probable cause” vereist, een hogere standaard. Dus als je redelijkerwijs mag denken dat deze twitteraar wellicht iets te maken heeft met een misdrijf, dan kun je zijn naam, adres, e-mailadres, IP-adres etcetera opvragen bij Twitter.

Maar die regel in de VS is strenger dan bij ons: in Nederland mag elke agent, zonder zelfs maar een officier van justitie te hoeven bellen, naam en adresgegevens (plus IP-adres en dergelijke) opvragen van gebruikers van een dienst (art. 126nc en 126na Strafvordering, plus 13.4 Telecomwet). Pas als er gespit gaat worden in mailboxen of meegelezen wordt met chats, is er een officier van Justitie nodig (art. 126nd en 126ne Strafvordering, bij niet heel ernstige misdrijven is de rechter-commissaris nodig).

Wat wel bevreemdt is dat het hier gaat om personen die niet allemaal Amerikanen zijn. Naast onze Rop betreft het ook de IJslandse parlementariër Birgitta Jonsdottir. Zij reageerde woedend:

We have to have the same civil rights online as we have offline. Imagine if the US authorities wanted to do a house search at my home, go through my private papers. There would be a hell of a fight. It’s absolutely unacceptable.

Ik snap het punt maar volgens mij is haar vergelijking niet helemaal juist. Men doorzoekt niet haar huis in IJsland, men doorzoekt in deze analogie haar vakantiebungalow in Californië, of misschien moet ik zeggen haar postbus in Californië. Want het gaat om een Amerikaanse dienst met opgeslagen data in de VS. Het lijkt me dan iets logischer dat de Amerikaanse justitie vindt dat ze daar wat over te zeggen heeft.

Veel zorgelijker vind ik het idee dat we Nederlanders zouden uitleveren op basis van een onderzoek als dit.

Arnoud

Moet je nou toch verplicht in heel Europa leveren?

Geplaatst op in Ondernemingsvrijheid, 12 reacties

grenscontrole-marechaussee-foto-haagedoorn.jpgEen lezer wees me op een opmerking die ik in mei maakte:

@Ward: niemand is verplicht om te leveren aan iemand. Wehkamp kan dus prima weigeren aan niet-Nederlanders te verkopen. (Uitzondering, misschien, als bedrijf een economische machtspositie heeft.) En ook mag je de voorwaarden aanpassen op grond van het woonland van je klant – zolang je dus maar geen dwingend recht uit dat land doorkruist.

Deze uitspraak blijkt niet helemaal (ahem) te kloppen, zo ontdekte de lezer. Want op de site van de Europese Commissie wordt gemeld dat het illegaal is om kopers uit andere EU-landen te weigeren. Ook mag je bezoekersniet te mogen redirecten naar de lokale versie van een webwinkel in een ander EU-land, zelfs niet hun eigen land. Je mag bijvoorbeeld Duitsers dus niet automatisch doorverwijzen naar de Duitse versie van je webwinkel.

De EC is inderdaad nogal stellig:

Internetwinkels in de EU mogen niet weigeren te verkopen aan klanten in een ander EU-land.

Als ik dan even doorklik, dan blijkt dit gebaseerd te zijn op de Dienstenrichtlijn. Deze vermeldt in de overwegingen een uitleg hierover:

Het discriminatieverbod op de interne markt houdt in dat een afnemer, en met name een consument, de toegang tot een aan het publiek aangeboden dienst niet op grond van zijn nationaliteit of verblijfplaats mag worden ontzegd of beperkt, wanneer dat als criterium is opgenomen in de voor het publiek toegankelijke algemene voorwaarden.

In artikel 20 staat dan ook een regel dat voor een afnemer geen discriminerende eisen op grond van zijn nationaliteit of verblijfplaats mag gelden. Een leverancier van zo’n dienst mag die dus niet stellen. Als er objectieve criteria zijn (bijvoorbeeld te hoge leverkosten of technische beperkingen waardoor levering zo goed als onmogelijk is), dan mag leveringsweigering wel. Ook mag men dan hogere prijzen hanteren.

Wat me dan weer wel verbaast, is dat dit een diensten-richtlijn is terwijl de hierboven geciteerde tekst over ‘winkels’, oftewel leveranciers van producten en niet diensten gaat. Ik kan niet vinden waar ook productleveranciers verplicht zijn tot levering binnen de gehele EU. Het zou goed kunnen, het discriminatieverbod is een generiek verbod en op zich dus niet tot dienstverlening beperkt. Maar ik had altijd gedacht dat dit verbod richting de overheid gold, zodat deze niet mogen verbieden dat bedrijven leveren buiten hun eigen land.

Wél echt fout op die pagina is de verwijzing naar “muziek”, want de dienstenrichtlijn sluit expliciet audiovisuele diensten uit. En levering van streaming of downloadable muziek lijkt me toch echt een audiovisuele dienst. Oftewel, Youtube’s irritante “Niet beschikbaar in uw land” is legaal maar TomTom mag niet weigeren haar digitale fileupdatedienst te leveren aan Italiaanse automobilisten.

Arnoud<br/> Foto: Fotoalbum van F.W. Haagedoorn.

Nee, als webwinkel mag je géén vooruitbetaling eisen

Geplaatst op in Ondernemingsvrijheid, 61 reacties

Bij consumentenzaken is het zoeken naar jurisprudentie, want wie gaat er nou procederen over een relatief laag bedrag? Maar dankzij een zekere online fietsenwinkel die het wel vaker op procedures aan laat komen, hebben we er weer eentje bij: een winkel mag niet eisen dat de consument 100% vooruitbetaalt wanneer deze iets wil laten bezorgen.

Een consument had bij deze winkel via internet een Redy freestyler X-ray Booster 20 (dat is een fiets) gekocht voor 159 euro, op zich een gebruikelijke prijs. Na het plaatsen van de bestelling ging er iets mis in de communicatie, want het eerstvolgende ontvangen bericht was een aanmaning tot betaling van het volledige bedrag. De koper reageerde dat hij éérst de fiets wilde, en dan het geld. De winkel wilde eerst het geld en dan de fiets.

De voorwaarden van het bedrijf bepalen:

Betaling dient … of vooraf voor verzending te geschieden, op een door Gebruiker aan te geven wijze in de valuta waarin is gefactureerd, tenzij schriftelijk anders door Gebruiker aangegeven.

en op die grond stapte het bedrijf naar de rechter. Ok, moest dat nu echt, denkt u misschien, maar ik vind het wel handig: nu krijgen we een rechterlijke uitspraak over of dat wel mag, eisen dat mensen vooruit betalen.

Nee, dat mag niet.

De rechter verwijst droogjes naar de wet, artikel 7:26 BW, dat met zoveel woorden bepaalt dat vooruitbetaling van het gehele bedrag niet mag worden geëist. Althans, niet in algemene voorwaarden. Wie expliciet met de winkel afspreekt dat vooruitbetaling ok is, zit daaraan vast. Maar wie alleen in de kleine lettertjes terugvindt dat hij alles vooruit moet betalen, kan met de toverformule “Bij deze vernietig ik uw artikel 6 wegens strijd met dwingend recht” daar van afkomen.

Oh, even voor de duidelijkheid: het is natuurlijk wél legaal om een vooruitbetaaloptie te bieden voor mensen die dat prettig vinden. Zo lang er maar minstens één manier is om achteraf te kunnen betalen.

Natuurlijk is er wel nog steeds een koopcontract, dus de koper zal moeten betalen. Maar dat hoeft hij pas nadat de fiets geleverd is. Wel mag de koper tot en met zeven werkdagen na ontvangst de koop annuleren, zodat hij zijn betaling terug kan krijgen. Hoe dit gaat uitspelen, mag u zelf invullen. En waarom dit bedrijf met zo’n duidelijke wetstekst toch een procedure is gestart, is me een raadsel. Maar dat dacht ik na de TROS Radar-uitzending over het bedrijf ook.

Arnoud

Mag de importeur mij dwingen mijn domeinnaam af te staan?

Geplaatst op in Intellectuele rechten, Ondernemingsvrijheid, 23 reacties

Een lezer vroeg me:

Ik ben officieel dealer van enkele exclusieve badproducten. Sinds kort heb ik een aparte webwinkel daarvoor opgezet, met de merknaam plus het woord “winkel” in de .nl domeinnaam. Nu kreeg ik van de week een brief van de advocaat van de importeur dat ik binnen 48 uur de domeinnaam moet afgeven, omdat dit merkinbreuk zou zijn. Doe ik dat niet, dan zeggen ze mijn dealercontract per direct op! Kan dat zomaar?

Het gebruik van een merk in je domeinnaam mag als wederverkoper. Daarvoor hoef je geen officieel dealer te zijn: ook als je de producten betrekt via parallelle import van binnen de Europese Unie, handel je legaal en mag je de merknaam gebruiken.

Een belangrijke eis is wel dat je geen verwarring sticht over je relatie tot de merkhouder (zoals Just-Eat ooit deed). Het moet volstrekt duidelijk zijn dat je ‘slechts’ een verkoper bent. Ben je dealer, dan mag je dat natuurlijk melden. Als vuistregel adviseer ik daarbij om altijd de eigen naam het meest prominent te tonen: niet “Welkom bij de Grohe Kranenshop” maar “Welkom bij Jansen Installateur, uw Grohe-specialist.”

Of je nu dus dealer bent of niet, je mag de merknaam gebruiken en je mag dan ook domeinnamen gebruiken met de merknaam erin. Alleen, als de importeur op deze manier dwarsligt dan is het lastig. De importeur heeft namelijk géén plicht het contract met de afnemers te verlengen. Hij mag dus deze oneigenlijke eis doorvoeren, net zoals hij de prijzen mag vertienvoudigen als hij daar zin in heeft.

Natuurlijk mag hij niet eenzijdig het huidige contract opzeggen op grond van deze eis. Deze eis staat er niet in, dus is het geen grond voor ontbinding. Maar als hij écht staat op overdracht dan komt uw nieuwe contract in gevaar. Je kunt dan natuurlijk wel terugvallen op parallelle import, maar dan moet je maar net een goedkope bron in het buitenland weten te vinden. Bovendien verlies je als niet-officiële verkoper wel een hoop status.

Arnoud

Mag Facebook je tracken met hun Like-knopje?

Geplaatst op in Privacy, 19 reacties

facebook-dislike-like.pngEen lezer vroeg me:

Op menig website zie je tegenwoordig de Facebook ‘Like’-knopjes. Nu had ik gelezen dat Facebook je daarmee ook trackt als je er niet op drukt, dus ook als je geen lid bent en niet akkoord bent gegaan met hun Terms of Service of privacyverklaring. Mag dat zomaar?

De Facebook ‘Like’-knop bevat inderdaad een trackingcookie dat in alle gevallen wordt gezet, ook als je niet ingelogd bent of zelfs geen Facebook account hebt.

Bij onze Eerste Kamer ligt nu een wetsvoorstel dat gaat eisen dat tracking cookies alleen mogen worden geplaatst met uitdrukkelijke toestemming, en dat zou de Facebook cookies bij de Like-knop dus in strijd met de wet maken. Zaterdag las ik dat in de Duitse deelstaat Sleeswijk-Holstein al een verbod op dit knopje geldt binnen de overheid.

De grote vraag is dan: is Facebook te houden aan die Europese wet? In het verleden heeft de Artikel 29-Werkgroep geconcludeerd dat dat inderdaad het geval is. Uit hun analyse:

De Groep is daarom van mening dat de nationale wetgeving van de lidstaat waar de pc van de gebruiker zich bevindt, van toepassing is op de vraag onder welke voorwaarden de persoonsgegevens van de gebruiker kunnen worden verzameld door cookies op zijn harde schijf te plaatsen.

Dit baseert men op artikel 4 van de privacyrichtlijn, dat bepaalt dat nationaal recht van een lidstaat geldt als

de voor de verwerking verantwoordelijke persoon niet gevestigd is op het grondgebied van de Gemeenschap en voor de verwerking van persoonsgegevens gebruik maakt van al dan niet geautomatiseerde middelen die zich op het grondgebied van genoemde Lid-Staat bevinden, behalve indien deze middelen op het grondgebied van de Europese Gemeenschap slechts voor doorvoer worden gebruikt.

Het plaatsen van cookies is geen ‘doorvoer’, en daarmee is dus aan deze eis voldaan.

Praktisch gezien is het natuurlijk een beetje moeilijk om Facebook te dwingen zich te houden aan Europese regels als ze niet daadwerkelijk actief zijn in Europa. Wie ga je de boete opleggen, en hoe incasseer je die?

Niet verrassend is in de VS al iemand over dit onderwerp aan het procederen. Ik ben heel benieuwd wat voor schikking hieruit komt en of Facebook dan ook daadwerkelijk haar knopje gaat aanpassen. In de tussentijd is het met Adblock blokkeren van het Like-knopje de handigste optie denk ik.

Arnoud<br/> Foto: How to add a DisLike button on facebook in firefox?

Wat moet een provider doen bij een DDoS-aanval op de server van een klant?

Geplaatst op in Ondernemingsvrijheid, Security, 20 reacties

Een lezer vroeg me:

Recent kwam mijn website (een colocated eigen server) onder vuur door een DoS-aanval van buitenaf. Ik heb toen mijn provider gevraagd maatregelen te nemen en met name de IP-adressen te filteren of blokkeren waar de aanval vandaan kwam. Zij weigeren dit echter omdat ze vinden dat ik het beheer moet doen op mijn machine. Ook zeggen ze dat het voor hen ondoenlijk is om maatregelen te nemen. Maar ik neem bij hen toch een dienst af, kan ik ze dan niet verplichten in te grijpen als de dienst niet goed werkt?

De plichten die de provider heeft, volgen primair uit het contract. De vraag is dus wat daar instaat over abuse en filteren. En als er niets staat, moet je uit de aard van het contract afleiden wiens verantwoordelijkheid dit moet zijn. Bij een eigen colocated server ben je als klant zelf verantwoordelijk voor het beheer; de plichten van de provider houden op bij de netwerkstekker. De vraag wordt dan dus, is een DDoS-aanval iets dat de stekker raakt of pas het apparaat waar die stekker in zit?

De klant kan zelf blokkeren op een eigen firewall maar dan zit zijn inkomende netwerkverkeer nog steeds vol. Droppen aan de buitenkant (netwerk van de ISP) is efficiënter, zeker, maar hoe weet de ISP dan welke adressen ze moeten droppen?

Een DDOS aanval zou ik eerder als iets van buitenaf zien, net zoals een hagelstorm. Je kunt het niet voorkomen, je kunt alleen de impact beperken. En dan wordt de vraag dus, wat moet een ISP doen om die impact te beperken. Zij hebben een zorgplicht, net zoals een huisbaas moet zorgen voor een goed dak in een huurhuis. Maar dat houdt ergens op: een hagelstorm met tennisbalformaat hagelstenen die onder een hoek van 45 graden binnenkomt en je kelderruitje eruit gooit, is overmacht. Je kunt dan geen vergoeding van je huisbaas eisen.

Verder speelt altijd de vraag tussen kosten en baten een belangrijke rol. Een dure maatregel tegen een uitzonderlijk probleem is niet billijk en hoeft niet te worden ingevoerd. Een goedkope maatregel tegen een routineprobleem moet er altijd zijn. En daartussen is het grijze gebied waar advocaten zich in thuisvoelen.

Ook speelt mee welke opvattingen er in de markt heersen: als iedereen vindt dat de klant dit moet doen, dan kun jij niet zomaar van de ISP eisen dat hij het oplost. Als de heersende mening is dat de ISP dit moet doen, dan kun je eisen dat jouw provider dat ook gaat doen.

Het is ontzettend moeilijk om iets te doen aan DDoS-aanvallen. Een tijd geleden las ik een uitgebreide review bij Tweakers over de technieken en mogelijkheden om het tegen te gaan. Maar fundamenteel is het nauwelijks op te lossen: er komt een berg verkeer binnen en dat moet je filteren.

Arnoud

Toestemming onder de privacywet

Geplaatst op in Privacy, 25 reacties

yes-toestemming-ja-permission.pngHet gebruik van e-mailadressen en andere persoonlijke gegevens van mensen valt onder de strenge privacywet, de Wet bescherming persoonsgegevens. Deze schrijft voor dat je in principe alleen gebruik mag maken van zulke gegevens als je toestemming hebt. Recent heeft het overlegorgaan van privacywaakhonden, de Artikel 29-Werkgroep een opinie over toestemming gepubliceerd die uitwerkt hoe je toestemming moet krijgen. Hieruit blijkt nog maar eens hoe streng deze regels zijn, en hoe snel je in de fout kunt gaan.

Toestemming is het uitgangspunt, omdat de privacywet is gebaseerd op het idee dat de betrokkene zelf beslist wie wanneer zijn gegevens gebruikt. Gebruik van persoonsgegevens is dus een gunst en geen recht. Dit blijkt ook nog eens uit het feit dat men toestemming op elk moment mag intrekken van de wet.

Steeds meer sites en apps maken gebruik van persoonsgegevens als onderdeel van hun bedrijfsmodel. Spelletjes vragen toegang tot de vriendenlijst of het MSN-account zodat ze zichzelf kunnen promoten. Websites en advertentienetwerken bouwen profielen op zodat ze getargete advertenties kunnen tonen. Dit mag, maar hiervoor is wel apart toestemming nodig.

Het grootste probleem in de praktijk is dat mensen niet goed weten waar ze toestemming voor geven. Hoe veel sites zijn erniet waar men volstaat met “U geeft toestemming voor gebruik voor marketing” of “onze zorgvuldig geselecteerde partners mogen u mailen”, of met “ik aanvaard het privacyreglement” waarna je in tien pagina’s juridisch jargon mag nalezen wat men onder ‘privacy’ verstaat.

Dergelijke vormen van ’toestemming’ vragen zijn expliciet niet genoeg, zegt de Werkgroep nu. Enkel en alleen als de toestemming gebaseerd is op een vrije beslissing, na geïnformeerd te zijn over wat er specifiek gaat gebeuren, is de toestemming rechtsgeldig. Een paar voorbeelden:

  • Het aan hebben staan van Bluetooth is geen toestemming voor het ontvangen van reclameberichten via Bluetooth. Gaat men zelf naar een billboard toe waar staat “Hou je telefoon hier en ontvang onze aanbieding”, dan is dat lopen natuurlijk wel een vorm van toestemming geven.
  • Medewerkers een mailtje sturen met daarin een voorbeeld (preview) van hun vermelding in het smoelenboek op intranet, gevolgd door een duidelijke “ja/nee” knop, levert toestemming op als mensen op “ja” klikken. Als de manager mails rondstuurt dat “nee” klikken “niet op prijs” gesteld wordt of “niet past bij onze professionele opvattingen”, is de toestemming niet meer rechtsgeldig.
  • Een privacystatement linken onderaan elke pagina van een forum met daarin dat je gebruikersinformatie (naam, e-mailadres etcetera) gebruikt kan worden voor marketingdoeleinden is geen manier om toestemming te krijgen. Ook een expliciet akkoord vragen op het privacystatement is niet genoeg – wie gaat de marketing doen en wat voor marketing is dat dan?
  • Een expliciete melding dat je e-mailadres wordt verstrekt aan bedrijven X en Y zodat die je reclame kunnen sturen voor hun producten is wél een vorm van toestemming, mits men maar op dat moment de verstrekking nog kan tegenhouden.

Het laatste item is gebaseerd op een opmerkelijk standpunt van de werkgroep omtrent sociale netwerksites. De werkgroep signaleert namelijk de trend dat zulke sites mensen min of meer dwingen in te stemmen met getargete advertenties als voorwaarde om lid te mogen worden van de site. En dat vindt men niet kunnen:

Considering the importance that some social networks have acquired, some categories of users (such as teenagers) will accept the receipt of behavioural advertising in order to avoid the risk of being partially excluded from social interactions. The user should be put in a position to give free and specific consent to receiving behavioural advertising, independently of his access to the social network service.

De zorg is terecht, maar ik heb wel moeite met deze consequentie. Het zou genoeg moeten zijn om vooraf te horen wat de site van plan is, waarna je kunt besluiten lid te worden of niet. Goed, bij sommige sites heb je vrijwel geen keuze, daar móet je lid van zijn (Facebook als tiener of Linkedin als professional). Heel misschien is het dan verdedigbaar.

Apps die je via die netwerkdienst kunt gebruiken, moeten apart toestemming vragen voor wat zij willen doen. En ook die toestemming moet expliciet en uitgebreid zijn. Niet alleen maar “This app wants to access your account”; nee, welke onderdelen en informatie worden benaderd en wat gebeurt daarmee? Verandert hoe de app werkt, dan moet apart opnieuw toestemming worden gevraagd.

Heeft de app bijvoorbeeld een nieuwe functie om je highscore te twitteren, dan moet apart gevraagd worden of deze geactiveerd mag worden. Ook moeten mensen vooraf zien wat er wordt getwitterd. En als ik dat standpunt hierboven goed begrijp, dan is zelfs te verdedigen dat de gebruiker het activeren van deze functie moet kunnen weigeren zonder gestraft te worden met een niet meer werkende app.

De wet noemt overigens enkele uitzonderingen op de eis van toestemming. Zo mag je gegevens zonder nadere toestemming gebruiken als dat nodig is voor het uitvoeren van een overeenkomst. Je mag dus bijvoorbeeld het adres van een klant aan je vervoerder geven zodat deze de bestelling kan bezorgen. Ook mag je in bijzondere gevallen zonder toestemming iemands gegevens gebruiken als dat noodzakelijk is voor een eigen zwaarwegend doel, én dat doel zwaarder weegt dan de privacy van de betrokkene. Dit is echter meestal niet van toepassing, behalve bij journalistieke publicaties kan ik er eigenlijk geen bedenken..

Arnoud

Alweer een nieuwe spooknota: IPV6Register

Geplaatst op in Informatiemaatschappij, 19 reacties

De bedenkers van spookfacturen zitten niet stil: het nieuwste exemplaar is afkomstig van IPV6Register te Rotterdam, las ik bij ISPam. Deze grapjassen versturen faxen met de bekende truc van vragen om correctie van gegevens en dat opvatten als een akkoord voor een dure onzinnige dienst.

In dit geval wordt 189 euro gevraagd op een fax die eruit ziet als een factuur, met ook nog eens “Ipv6 registratie” als omschrijving. Hoe je een IPv6 registreert, is me volstrekt onduidelijk. En dan komt het: die fijne kleine lettertjes die alles anders maken:

Op grond van de aan ons op basis van deze offerte verleende opdracht welke als factureringsgrondslag dient, leveren wij u de navolgende dienst.

Yeah right. Welke dienst dan wel? Dan moet je wel héél goed lezen:

U ontvangt een inlogcode en wachtwoord waarmee u toegang krijgt tot het ipv6 register hierin vindt u een overzicht van gecertificeerde ipv6 hardware en diensten.

Opmerkelijk genoeg meldt ISPam dat

De kleine letters geven prijs, dat dit een offerte is: “Dit is een aanbieding en geen factuur.”. Verdere actie jegens IPV6Register is dan ook niet mogelijk.

En dat terwijl de nieuwsbron, het Steunpunt Acquisitiefraude, spreekt van “nodig”. Dat is correct – actie is niet nodig, je kunt de fax weggooien.

Maar niet mogelijk? Dat klopt echt niet: wie deze fax invult en retourneert, kan wel degelijk actie ondernemen om die vordering van 189 euro ongedaan te maken. De strekking van de fax is duidelijk: u moet dit bedrag betalen voor registratie van uw IPv6. De kleine lettertjes geven daar een draai aan, maar daarmee kom je echt niet weg bij de rechter.

In een andere zaak met een bijdehand opgemaakte fax was de rechter snel klaar met de kleine lettertjes:

In de fax wordt niet alleen de aandacht getrokken naar de in een kader geplaatste, vetgedrukte nietszeggende tekstgedeelten in normale lettergrootte, terwijl de essentialia klein en niet vet zijn gedrukt, maar ook lijkt de te maken keuze -wel of geen automatische verlenging- te verwijzen naar het telefoongesprek waarin is gevraagd of [gedaagde partij] de gratis vermelding wel of niet tegen betaling wilde voortzetten.

Het Hof Den Haag oordeelde in 2008 dat je niet vastzit aan een contract wanneer zo’n fax alleen in de kleine lettertjes meldt dat sprake is van een aanbod. Ik heb er dan ook geen twijfel over dat je niet hoeft te betalen als je deze fax toch zou tekenen en terugsturen, hoewel het natuurlijk wel een irritant gedoe gaat zijn om dit bedrijf daarvan te overtuigen.

Er loopt een proefproces van MKB Nederland over acquisitiefraude, maar dat zal nog wel even duren.

Arnoud

Het achterhouden van een domeinnaam

Geplaatst op in Intellectuele rechten, 19 reacties

Een regelmatig terugkerend conflict, zo weet ik uit mijn praktijk: een webdesigner maakt een site voor een klant, maar weigert de domeinnaam af te staan. In een recent vonnis oordeelt de rechtbank Almelo dat een ontwerpersbedrijf niet zomaar een domeinnaam kan achterhouden. Zo’n bureau wordt geacht de domeinnaam namens de klant te hebben aangevraagd en niet namens zichzelf, ook als dat niet in de offerte staat.

In deze zaak had de gedaagde een webshop ontworpen en daarbij onder andere de domeinnaam lierenshop.nl laten registreren. Op zeker moment liep die klus uit de hand, hoewel me niet goed duidelijk is wat er nu precies is misgegaan. In ieder geval bleek echter de domeinnaam lieren-shop.nl te worden doorgelinkt naar de website van een concurrent van de opdrachtgever. Dat vond deze niet leuk, en dat leidde dus tot deze rechtszaak.

De eerste vraag voor de rechter is van wie de domeinnaam nu eigenlijk is. Formeel stond deze namelijk op naam van de websiteontwikkelaar en niet de klant, en het contract vermeldde niet expliciet hoe dit geregeld zou moeten worden. De rechter vindt het gezien de omstandigheden duidelijk dat de domeinnaam voor de opdrachtgever is. Er was opdracht tot ontwikkelen van een webshop, en daar hoort een domeinnaam bij.

Dat [eiseres] mogelijk geen expliciete instructie zou hebben gegeven ten aanzien van de inhoud van de webshop en dat [gedaagde] naar eigen zeggen onvoldoende betaald heeft gekregen voor de ontwikkeling en het bijhouden van de webshop, doet daaraan niet af.

Die formulering vind ik een tikje merkwaardig: het is immers toegestaan je eigen verplichtingen op te schorten als de wederpartij niet aan de zijne voldoet. Wanneer je opdrachtgever niet betaalt, hoef je een domeinnaam niet over te zetten ook al is dat contractueel afgesproken. Wel moet natuurlijk vaststaan dát er niet of onvoldoende is betaald. Wellicht dat dat hier de verklaring levert; dat “naar eigen zeggen” laat doorschemeren dat de rechter er niet van overtuigd is dat de opdrachtgever een wanbetaler is.

Ook laat de rechter zwaar meewegen dat de domeinnaam wordt gebruikt om geld te verdienen door de opdrachtgever, en dat de ontwerper dit bedreigt:

De enkele dreiging van [gedaagde] – ook al heeft hij ter zitting gesteld een en ander niet zo bedoeld te hebben – om de website op”zwart te zetten” geeft [eiseres] daartoe reeds voldoende belang. [Eiseres] heeft er immers belang bij om zijn inkomsten uit de webshop te kunnen waarborgen.

Het toont maar weer eens aan hoe belangrijk het is duidelijke afspraken te maken over wie wat maakt en registreert, op welke naam dit komt te staan en wat de opdrachtnemer mag doen als de opdrachtgever niet betaalt.

Er zijn ook webdesignbureaus die standaard domeinnamen op hun eigen naam zetten. Dat heet dan ‘service’ (omdat het beheer dan eenvoudiger is) maar het is natuurlijk een verkapte manier van verplichte winkelnering voor zijn klanten. Die kunnen nu niet meer weg, omdat ze de domeinnaam niet kunnen overzetten. Ze zijn immers geen eigenaar (pardon, houder) omdat volgens de SIDN het webdesignbureau dat is.

Arnoud

Omzeilen van de tegoedbon bij retouren door te bestellen in de webwinkel

Geplaatst op in Ondernemingsvrijheid, 13 reacties

reserveren.pngEen lezer vroeg me:

Als ik een boek koop bij een Selexyz-vestiging, en het wil ruilen, kan ik alleen een tegoedbon krijgen. Als ik onder deze regeling uit wil, zou ik een boek in hun webwinkel) kunnen bestellen, waarbij ik zeg dat ik hem in de winkel wil afhalen. Daarvoor kom ik langs schermpjes zoals “bestelling bevestigen” en “bestelling afgerond”, zodat ik aanneem dat van het hele aanbod en aanvaarding sprake is. Dat betekent dat ik door het laatste knopje in te drukken een overeenkomst heb gesloten. Klopt dat? Dat lijkt me dan een mooie manier om de regels van deze boekhandel te omzeilen.

Ja, dat klopt. Als je een boek koopt via internet, dan geldt de wettelijke regeling van koop op afstand die zegt dat je binnen zeven werkdagen na ontvangst van het boek dit mag retourneren en je geld terug mag eisen. En er is sprake van een koop wanneer je het aanbod aanvaardt, ongeacht het moment van betaling en het moment van levering van het bestelde.

Het enige verweer van Selexyz kan zijn dat je op de site slechts een reservering maakt, maar termen als “bestelling afgerond” lijken me daar onvoldoende voor. Zeker als je ook hebt betaald. De term ‘bestelling’ betekent normaliter “koop” en niet “reservering”.

Wel kan de winkel verlangen dat je de kosten van het terugsturen (de postzegel dus) zelf betaalt. Ik ken geen wettelijke regel of rechtspraak over accepteren van een retour in een baksteenwinkel wanneer je het in een webwinkel hebt gekocht. Het lijkt me dus dat een winkel mag voorschrijven dat je het boek per post moet terugsturen naar de centrale retourafdeling. Zeker wanneer (zoals bij Selexyz) de webwinkel door een andere entiteit wordt gerund dan de baksteenwinkels.

Arnoud