Tag: kvk

About kvk

Subscribe Feeds

Mag je bedrijf “Robert’); DROP TABLE Companies;–” heten?

Geplaatst op in Intellectuele rechten, Ondernemingsvrijheid, 21 reacties

Wie in Engeland zijn bedrijf wil inschrijven bij de Kamer van Koophandel (het Companies House), heeft mogelijk een probleem: je bedrijfsnaam mag geen computer code meer bevatten (via). Jammer dus voor kleine Bobby Tables, die volgens mij ondertussen oud genoeg is om een bedrijf in te mogen schrijven. Maar het roept wel de vraag op: hoe zit dat bij ons?

De opmerking over “Robert’); DROP TABLE Companies;–” komt uit een xkcd strip, waarbij een moeder haar kind dus zo had genoemd. De SQL code in Robert’s voornaam is een triviale exploit die verrassend vaak werkt, en in dit geval ervoor zorgt dat de database waar je in zoekt de tabel met alle company-informatie verwijdert. (Als alles stupide is ingesteld, wat dus redelijk vaak het geval is.) Zijn roepnaam is Bobby Tables, trouwens.

Afijn. Het punt is dus: dit is computercode, en de software van de Companies House kan daar niet mee omgaan en/of kan rare dingen doen. Dus dat is nu een weigeringsgrond geworden voor een Engelse bedrijfsnaam. In Nederland ken ik zo’n regel niet. De regels over handelsnamen zijn vrij simpel en gericht op het doel van handelsnamen: niet misleiden, je niet groter voordoen en geen speciale aanduidingen zoals bv of bank of stichting tenzij je dat bent.

Over gekke tekens zegt de KVK:

Je mag cijfers en de leestekens @ & + en – altijd gebruiken in je bedrijfsnaam, Speciale tekens als () ? ! * # / mag je uitsluitend ter vervanging van een letter of als ‘woordgrap’ gebruiken.
Ik kan niet direct een juridische basis voor deze uitspraak vinden, behalve dan het argument dat het moet gaan om een ‘naam’ en dat namen toch vrij evident bestaan uit letters, cijfers en die leestekens, met hooguit een woordgrap. (Van dit standaardwerk, hoewel grondig, werd ik niet veel wijzer.)

Dat sluit aan bij een indirect gerelateerde zaak uit 2010 bij het Hof van Justitie, waarbij de merknaam “&R&E&I&F&E&N&” werd ingeschreven met als doel voorrang te krijgen bij de .eu domeinnaamopenstelling voor www.reifen.eu. Het Hof bepaalde dat een merkregistratie ongeldig is (kwade trouw) als je niet het oogmerk hebt het merk als zodanig te gebruiken in de markt. Daaruit zou ook voor handelsnamen het argument kunnen volgen dat “Robert’); DROP TABLE Companies;–” niet bedoeld is als handelsnaam maar als truc om de KVK (en data brokers) te pesten.

Engelse slimmeriken ontdekten al een IT-consultant die IFTHENELSE heet, bij de KVK vond ik TRY CATCH, zoeken op // geeft vele resultaten, en toen vond ik ook diverse bedrijven die DROP TABLE heten. Eentje lijkt zelfs van Robert Table te zijn:

Lachi’); DROP TABLE bedrijf;–, Hoofdvestiging KvK 67788106 Vestigingsnr. 000036287172 <snip>
Hier lijkt dus een filter van de KVK minder streng te zijn dan de folder, of dit bedrijf was goed in het overbrengen van de humor van deze bedrijfsnaam.

Wie vindt er nog een bedrijfsnaam die computercode bevat?

Arnoud

Eindelijk! Zzp’ers kunnen straks vestigingsadres afschermen in Handelsregister KVK

Geplaatst op in Ondernemingsvrijheid, 18 reacties

Alle zzp’ers en eenmanszaken kunnen straks altijd hun vestigingsadres volledig laten afschermen in het Handelsregister van de Kamer van Koophandel (KVK). Dat meldde Security.nl vorige week. Minister Adriaansens van Economische Zaken heeft een Kamerbrief hierover naar de Tweede Kamer gestuurd. Het is vele, vele ondernemers (waaronder mijzelf) al jaren een stevige doorn in het oog dat je als zelfstandige je huisadres moet opgeven, helemaal omdat dat óók nog vrijelijk wordt doorverkocht.

Een van mijn eerste gastposts betrof precies dit onderwerp. Ook toen al stond in de publiciteit dat er in KvK-gegevens gehandeld werd. De KvK wist de hartekreet van de gastposter mooi bureaucratisch te pareren:

Het handelsregister is een openbaar register dat door derden geraadpleegd kan worden. Derden die het handelsregister raadplegen kunnen wij niet beletten om die openbare gegevens in hun bestand op te nemen.
Het oorspronkelijke idee van het handelsregister was natuurlijk een betrouwbare plek te hebben waar je bedrijfsinformatie kon vinden. Handig als je officiële brieven naar ze wil sturen, of ze wilt aanklagen of iets in die richting. Want, zo staat in de wet, het adres in het handelsregister is het juiste – als je dat dagvaardt dan zit je goed, ook al is de ondernemer verhuisd.

Aandacht voor privacy was nooit echt een ding. Het handelsregister van de Kamer van Koophandel en Fabrieken is uit 1921. Veel bedrijven hadden een vestiging (los van het woonadres van de directeur), en de zelfstandigen zonder personeel hadden vaak ondernemingen aan huis dus dan is het niet erg als iemand weet waar je huis woont, zeg maar. En voor de meer artistieke beroepen – zoals fotografen of tekstschrijvers – was er heel lang geen inschrijfplicht.

De opkomst van internet en datahandel heeft dit alles fors veranderd, sprak hij met typische juristenclichés. Mensen ontdekten eerder dat er gouden handel in adresgegevens zat dan dat de betrokkenen ontdekten wat voor risico’s dat met zich meebracht. En tegen de tijd dat dat laatste aandacht kreeg, was het al te laat: “wij doen dit al jaren en we verdienen er goud geld mee” is klaarblijkelijk een juridisch argument.

Nu gaat dit toch veranderen door een standaard afscherming, waarbij wel de mogelijkheid open blijft voor deurwaarders, advocaten en vergelijkbaren (de details zijn nog niet duidelijk) om bij een concrete aanleiding de gegevens op te vragen. Het zal wel nog even duren, getuige zinnen als “te komen tot een beleidskader voor integer gebruik van de Handelsregistergegevens voor de samenleving.” Maar toch.

Arnoud

Kamer van Koophandel neemt maatregelen tegen zzp-spam

Geplaatst op in Ondernemingsvrijheid, 8 reacties

De Kamer van Koophandel stopt met het op grote schaal verkopen van kant-en-klare bestanden met adressen, las ik bij de NOS. Dit na aandringen van de Autoriteit Persoonsgegevens, omdat dergelijke handel in persoonsgegevens in strijd is met de AVG. De Kamer van Koophandel biedt al sinds jaar en dag bestanden aan met contactgegevens van ondernemers, waarmee telemarketeers en andere handige jongens snel gerichte reclame kunnen sturen. Een doorn in het oog van veel ondernemers, maar iets dat de KVK altijd rechtvaardigde met een beroep op haar wettelijke taak om gegevens over ondernemingen te verstrekken. Men stopt dan ook niet met de volledige toegang, maar alleen met de laagdrempelige bulkproducten.

Om even een misverstand weg te nemen: gegevens over ondernemers zijn persoonsgegevens, en blijven dat ook als ze in een openbaar register zijn opgenomen voor een wettelijk verplichte registratie. De AVG kent het concept van “publiek domein” of “openbare bron” niet, persoonsgegevens zijn persoonsgegevens als ze over een persoon gaan – en dat is bij een zzp’er of een vof gewoon het geval wanneer je gegevens over deze ondernemer(s) noteert.

De KVK heeft natuurlijk gelijk dat ze van de Handelsregisterwet 2007 een register moeten houden met daarin gegevens van alle ondernemingen in Nederland. Het is verplicht je daar in te schrijven, en vervolgens kan iedereen je daarin zoeken. Doel daarvan is primair dat je na kunt gaan of een bedrijf echt bestaat en wat de authentieke gegevens daarvan zijn.

Een onbedoeld bijeffect was dat bedrijven grote hoeveelheden gegevens gingen opvragen om zo marketingacties te kunnen doen: reclame per post, maar ook telefonische acquisitie en zelfs e-mailreclame. Dat laatste was altijd al een probleem onder de Telecomwet, maar bellen en met name post sturen zijn populair gebleven. Tot ergernis van vele ondernemers. Maar die marketeers riepen dan, het is een openbaar bestand en wij bellen het bedrijf, niet de persoon. Een argument dat dus zeker onder de AVG nu ongeldig is gebleken.

Natuurlijk kun je je afvragen of de wettelijke taak wel zo ver gaat dat je gegevens in bulk moet verkopen voor reclamedoeleinden. Dat mensen recht hebben op inzage of een kopie van iemands gegevens, betekent immers nog niet dat je het makkelijk moet maken om duizenden gegevens tegelijk te verstrekken. Dat standpunt heeft de AP dus ingenomen, zodat de KVK zich nu genoodzaakt ziet om te stoppen met deze handel. (Opvallend vond ik nog dat de KVK vorig jaar zei “Dat doen we al honderd jaar zo”, alsof dat een argument is bij een nieuwe wet.)

Arnoud

Hoe je zonder enige moeite 18 euro per jaar bespaart met je nieuwe algemene voorwaarden

Geplaatst op in Informatiemaatschappij, 6 reacties

Oké, dus je hebt algemene voorwaarden en die heb je laten aanpassen. Je klanten zijn er mopperend mee akkoord gegaan, en je wilt weer verder met waar je eigenlijk plezier in hebt. Dan is er nog één detail, en dat is dat je je voorwaarden nog even bij de Kamer van Koophandel gaat deponeren. Dat staat professioneel en het kost maar 18 euro per document per jaar. Mijn juridisch advies: ophouden daarmee, onmiddellijk.

Een depot van algemene voorwaarden bij de KVK is eigenlijk volstrekt zinloos voor ondernemers. Deze mogelijkheid is er eigenlijk alleen voor grote bedrijven die niet bij iedere transactie de voorwaarden mee kunnen leveren op papier. Denk aan de Albert Heijn of PostNL. Daar kent de wet een uitzondering: die bedrijven mogen volstaan met een depot bij de Kamer van Koophandel. Wel moeten ze de voorwaarden ook op verzoek uitreiken. Probeer het zaterdag eens bij de servicebalie – bij mijn Albert Heijn waren ze overigens vorige week helaas op.

Maar internetondernemers zijn geen Albert Heijn, en bovendien is het voor een ondernemer geen enkele moeite om je voorwaarden mee te sturen met je offerte. Of om ze als klikbare download in het bestelproces op te nemen. Die uitzondering is dus niet van toepassing. Wettelijk gezien gooi je dus 18 euro per jaar in het putje als je dan toch gaat deponeren.

Waarom doen bedrijven het dan toch? Een veelgehoorde verklaring is dat de Kamer van Koophandel het aanraadt op startersdagen. Daar zal ik verder niets over zeggen. Iets logischer is dat het bewijs oplevert van wat er in je voorwaarden stond. De inhoud van de gedeponeerde voorwaarden kan immers niet ter discussie staan, die ligt bij de KVK en die gaan er niet in rommelen. Alleen: het gaat zelden tot nooit over de vraag wat er precies in de voorwaarden stond. Meestal is de vraag wat het betékent dat er staat, en daarbij is een depot niet relevant.

Voorop staat dat de wet eist dat je je voorwaarden meestuurt met je offerte. Als je niet kunt bewijzen dat je dat hebt gedaan, dan zijn je voorwaarden niet van kracht op die offerte. Ongeacht hoe vaak ze bij de KVK liggen. Zorg er dus voor dat je ze bijsluit en dat de klant verklaart ze gehad te hebben.

Arnoud

Mag je met ‘lead forensics’ websitebezoekers opsporen en nabellen?

Geplaatst op in Privacy, 25 reacties

blog-ip-adres.pngEen lezer vroeg me:

Onlang werden wij benaderd door een bedrijf dat “Lead forensics” aanbood. Daarmee kon je heel gedetailleerd (met naam adres en telefoonnummer) zien welke bezoekers er op je site komen, zodat je concreet geïnteresseerden (leads) kon nabellen of mailen als ze direct wat bestelden. Klinkt interessant maar mag dat wel van de privacywet?

Ik had er nog nooit van gehoord, maar Lead Forensics is een dure naam voor het opzoeken van contactgegevens op basis van bezoekersgegevens. Men kan bv. aan een IP-adres zien dat de bezoeker van een bepaald bedrijf afkomstig is, als het bedrijf surft vanaf een IP-range waar de bedrijfsnaam aan gekoppeld is. Vervolgens is het een kwestie van bedrijfsgegevens opvragen bij bijvoorbeeld de Kamer van Koophandel of gewoon de WHOIS en dat tonen.

Uiteraard is een voorwaarde dat de klant afkomstig is van zo’n bedrijfs-IP-adres (Ruud, help, hoe schrijf je dat?). Bij mijn bedrijf is dat niet zo, wij hebben gewoon een generiek UPC IP-adres (upcipadres? argh!) maar bij grote clubs (bv. Philips of Shell) is dat wel zo. Dus daar kan deze technologie nuttige informatie opleveren.

Afijn, dan heb je zo’n IP-adres en dan zoek je de bedrijfsnaam erbij. Daarna gaat men spitten in de KVK of andere openbare bronnen om tot contactgegevens te komen, en dan kun je gaan bellen of mailen om een concreet geïnteresseerde te benaderen met een interessant voorstel. “Dag, ik zag u rondkijken op onze site, met name onze FAQ las u met interesse, en nu heb ik een whitepaper dat alles in één keer beantwoordt, mag ik dat toesturen”. Of zoiets. Ik zou er redelijk van opkijken als ik dat hoorde.

Of dit mag, betwijfel ik. Het combineren is één ding, mensen gaan bellen iets anders. Je mag in Nederland niet ongevraagd mensen commercieel bellen, in ieder geval niet zonder het Bel-me-niet register te raadplegen. Maar dat geldt alleen voor natuurlijke personen, niet voor bedrijven. (Hoewel ik me wel afvraag hoe ver je komt als je een philips.com IP-adres ziet en dan 0900-2021177 gaat bellen om de lead binnen te halen.)

Bedrijven máilen is een groter probleem. Zo’n leadmailtje heeft een duidelijk commercieel oogmerk, en dat stuur je ongevraagd naar een persoon of bedrijf. Dat mag niet van de spamwet (art. 11.7 Telecommunicatiewet) aangezien je geen specifieke toestemming hebt gekregen om dat te doen. Het bezoeken van je website* is niet genoeg om als specifieke toestemming voor reclamemailings te tellen.

(*Off-topic: reclamemailtoestemming is juridisch hetzelfde als cookietoestemming. Iedereen die dus pleit voor “mijn site bezoeken is toestemming voor cookies” pleit dus ook voor “iemands site bezoeken is toestemming voor reclame mailen als men dat in datgrijze balkje erbij zet”.)

Maar oké, als je het enkel gebruikt om te zien welke bedrijven langssurfen en je gaat niemand contacteren, dan is het denk ik legaal. Maar waarom zou je?

Arnoud

Kun je via de privacywet als ondernemer uit Google Maps en Streetview blijven?

Geplaatst op in Privacy, 23 reacties

kaart-streetview-maps-sarphatistraatEen juridisch ondernemer stond met een stichting ingeschreven bij de KVK (ik gok een advocaat met een stichting derdengelden), waarbij zijn persoonsnaam in de stichtingnaam zat en hij zijn eigen huisadres als vestigingsadres had opgegeven. Toen zijn gegevens opdoken in Google Maps, en foto’s van zijn huis in Streetview, diende hij een klacht in. Deze leidde ertoe dat Google een en ander ging blurren, maar dat was niet genoeg voor de ondernemer. Die stapte naar de rechter met een beroep op de Wet bescherming persoonsgegevens: het ging immers om zijn naam in de stichtingnaam.

De rechtbank wees die eis af, met onder meer de opmerkelijke overweging dat een bedrijfsnaam met persoonsnaam geen persoonsgegeven is omdat het dan niet gaat om “een gegeven dat betrekking heeft op die natuurlijke persoon”. En als dat wel zo zou zijn, dan zou Googles grondrecht om een bedrijf te runnen het moeten winnen van het grondrecht van meneer op zijn privacy.

In hoger beroep (via) komt het Hof niet toe aan die gekke overweging. Ergens jammer, want even expliciet opmerken dat dat niet klopt, had ik wel op prijs gesteld. Het is namelijk wél een persoonsgegeven. En de beoordeling moet gaan over die belangenafweging, dat is hoe de Wbp in elkaar zit.

Het Hof constateert dat door het blurren en beperken van de informatie er uitsluitend nog informatie over het huis te vinden is. En dat identificeert niet de eigenaar, want weten hoe een huis eruit ziet zegt niets over de eigenaar daarvan. De informatie moet tot de persoon te herleiden zijn:

Aan dat vereiste is niet voldaan indien na het intypen van (enkel) een adres uitsluitend de locatie van het betreffende adres en wazig gemaakte fotografische afbeeldingen rondom dat adres – zonder dat daarop individuen staan afgebeeld – worden weergegeven, omdat in dat geval uitsluitend gegevens over een object, en geen persoonsgegevens over een individu, worden geopenbaard.

En dat klopt, hoewel het gek aanvoelt. Immers je adres lijkt me vrij evident een persoonsgegeven. Maar het klopt wel dat die link te leggen moet zijn. Enkel een adres zegt nog niets, er moet wel met een redelijke inspanning te achterhalen zijn wie daar woont of eigenaar van is. En dat is hier niet het geval.

Minstens zo gek is de bron van alles. Als je jezelf inschrijft als ondernemer bij de KVK (wat wettelijk verplicht is), dan verkoopt de KVK je gegevens aan allerhande partijen door. Ook aan Google, en die combineert dat handig in haar kaartendienst Maps. Hierbij werkt men nog steeds met een opt-out, en ik heb werkelijk geen idee waarom. Maar het feit dat meneer de opt-out had gebruikt, leidt ertoe dat zijn eis verder wordt afgewezen. Door die opt-out zal Google de gegevens niet meer opnemen.

Arnoud