Kun je aansprakelijk gesteld worden voor bitcoindiefstal door je kinderen?

Een Amerikaan heeft de dieven van 16 bitcoins (destijds 2 ton in Euro’s) gevonden en klaagt nu hun ouders aan, zo meldde Krebs on Security onlangs. De man stak veel tijd in het opsporen van de bitcoindieven, maar wist met het nodige forensisch onderzoek te achterhalen dat twee Britse -destijds- minderjarigen de cryptomunten naar zich toe hadden weten te krijgen. Omdat de ouders niet reageerden op zijn verzoek tot terugbetaling, gaat hij nu over tot een civiele rechtszaak. Wat de vader van een “crypto hackende” dochter me bezorgd deed vragen: loop ik ook dat risico?

Even voor de duidelijkheid, het gaat hier dus niet om aangifte of strafvervolging tegen minderjarigen. Dat kan (in Nederland vanaf 12 jaar) maar dat zou een beslissing van het OM zijn. Het gaat hier om een civiele of burgerlijke zaak: ik heb schade geleden door uw kind, ik wil graag even afrekenen. En nee, dit is geen verzekeringswerk.

De truc die de twee gebruikt zouden hebben, was een crypto wallet app met een achterdeur: wanneer je een bitcoinadres kopieerde naar het Klembord, werd dit vervangen door een sterk gelijkend adres dat beheerd werd door de dieven. Je plakt dat dan in het walletprogramma en alles lijkt te kloppen, maar je geld ben je dus kwijt. Dit is een van de vele vormen van malware, diefstal en oplichting waar cryptogebruikers mee te maken hebben.

De man gooide er flink wat onderzoekscapaciteit tegenaan maar wist ze te vinden;

[The claimant’s] lawsuit lays out how his investigators traced the stolen funds through cryptocurrency exchanges and on to the two youths in the United Kingdom. In addition, they found one of the defendants — just hours after [his] bitcoin was stolen — had posted a message to GitHub asking for help accessing the private key corresponding to the public key of the bitcoin address used by the clipboard-stealing malware.
De leeftijd van de twee wordt niet gegeven, maar het speelde in 2018 en de twee studeren nu aan de universiteit, dus het zal niet om copypastende tienjarigen zijn gegaan. Dat is van belang, want aansprakelijkheid van ouders voor handelen van kinderen ligt een tikje ingewikkeld.

In Nederland trekken we een grens bij veertien jaar. Als een kind van onder die leeftijd iets onrechtmatigs doet, zijn de ouders daarvoor aansprakelijk. (Met als randvoorwaarde dat de vraag wel eerst is of het kind aansprakelijk zou zijn geweest als het meerderjarig was.) Ik heb geen twijfel dat het verspreiden van bitcoinstelende malware onrechtmatig is, of je dat nou doet “voor de lolz” of omdat je nieuwe fidget spinners wilt komen. Dus als die malwarecopypastende tienjarige inderdaad twee ton aan bitcoins had gestolen, dan zijn de ouders aansprakelijk.

Het andere makkelijke geval is de leeftijd zestien tot achttien, dan is alleen het kind aansprakelijk. Het doet er dan niet toe of het kind geen geld heeft en de ouders miljonair zijn. In theorie zouden de ouders aansprakelijk gehouden kunnen worden als blijkt dat ze hun ouderlijke zorgplicht hebben geschonden, maar dat is niet hetzelfde als “je kind stal mijn bitcoins en woonde bij jou thuis”. Het moet dan op zichzelf onrechtmatig zijn geweest dat de ouders niet ingrepen.

Vanaf achttien jaar is het kind meerderjarig en dus geheel als enige aansprakelijk voor zijn of haar fouten. Ook als het kind nog thuis woont en ook als de ouders alles betalen. Er is natuurlijk een ouderlijke zorgplicht tot 21 jaar, maar die betreft levensonderhoud en zorg en niet onrechtmatig handelen.

Als het kind veertien is (maar nog geen zestien) dan ligt het ingewikkelder, en dat komt met name omdat de wet een draak van een taalconstructie hanteert hiervoor:

Voor schade, aan een derde toegebracht door een fout van een kind dat de leeftijd van veertien jaren al wel maar die van zestien jaren nog niet heeft bereikt, is degene die het ouderlijk gezag of de voogdij over het kind uitoefent, aansprakelijk, tenzij hem niet kan worden verweten dat hij de gedraging van het kind niet heeft belet.
Het gaat hier dus om de vraag of je als ouder had moeten ingrijpen. Als je dat niet deed, en dat kan jou worden verweten (de “kom op nou”-toets) dan ben je dus aansprakelijk voor de fouten van je kind. Natuurlijk wederom met de voorvraag of het überhaupt een fout was, wat je kind deed.

In 2009 blogde ik over de ouders van een vijftienjarige die aansprakelijk werden gehouden voor een auteursrechtclaim: de jongen had een fotootje van Cruijff op zijn website gezet en de ouders moesten daarvoor betalen, aldus de fotograaf.  De rechter zag geen reden om aan te nemen dat de ouders hadden moeten ingrijpen:

Het gaat kennelijk om een handige jongen – zoals zoveel kinderen tegenwoordig zeer handig zijn in het omgaan met internet en alles wat met computers te maken heeft – die op deze wijze zijn liefhebberij mede vorm geeft. Dat is tegenwoordig niets bijzonders. Er zijn veel kinderen van (ongeveer) deze leeftijd die een website hebben. Het onderwerp van de site -voetbal- is onschuldig: volstrekt normaal voor een jongen van 15 jaar.
Een verschil met deze zaak zou dus zijn dat het onderwerp van de online activiteit iets minder onschuldig was. Je zou bij rare dingen van je puber eerder geacht worden een en ander te controleren: wat voor rare apps bouw jij, wat zit jij op dat giethub en hoe kom je aan al dat geld voor je nieuwe sneakers?

Met name het moment dat er bizar veel geld in bezit blijkt, zou voor mij het moment zijn dat je als ouders in moet gaan grijpen. De bestolen man uit het Krebs-artikel hanteert als primair argument dat hij de ouders had geïnformeerd en dat ze daarom aansprakelijk zijn omdat ze niets deden om het ongedaan te maken. Dat is in Nederland geen rechtsgeldig argument – het gaat immers om informeren over een reeds gepleegde onrechtmatige daad.

Een slachtoffer van na die brief zou er wellicht wel wat mee kunnen: je wist dat meneer A bestolen was door je zoon, je deed niets en daarna werd ik óók bestolen, dat kan jou dus worden verweten. Blijf je zitten met het feit dat de kinderen in het Verenigd Koninkrijk zitten en de bestolene in Colorado, USA, maar dat thema hebben we al een paar keer recent gehad op deze blog.

Arnoud

Jonge Skype- en Outlook-gebruikers in de problemen door privacywet

Kinderen onder de 16 jaar met een Outlook- of Skype-account hebben een probleem: ze kunnen opeens niet meer inloggen. Dat meldde de NOS vorige week op basis van een PR-meelbal van Microsoft die het afsluiten van minderjarigen in het belang van hun veiligheid noemt. De geciteerde reden – dat moet van de AVG – is de grootste onzin die ik over deze wet in tijden heb gelezen. En ik héb wat onzin over de AVG gelezen.

Het klopt dat er voor kinderen (zestienminnners dus) speciale regels in de AVG staan. Wanneer je namelijk een kind onder de zestien rechtstreeks een internetdienst aanbiedt, en je wilt daarbij toestemming voor gebruik van diens persoonsgegevens, dan moet je die bij de ouders gaan halen. Dat staat in artikel 8 lid 1. En in lid 2 staat dat de aanbieder van zo’n dienst een inspanningsplicht heeft om daadwerkelijk te controleren dat die toestemming er is.

Alleen: het moet gaan om een “rechtstreeks aanbod”, staat er letterlijk. Ik kan dat maar op één manier lezen en dat is dat de dienst zich specifiek op kinderen richt. Een dienst die toevallig ook kinderen toelaat, doet die kinderen weliswaar een aanbod maar geen rechtstreeks aanbod. Als je zegt van wel, dan doet iedere internetdienst te allen tijde een “rechtstreeks” aanbod door een signup formulier te bieden, en dan heeft de frase “rechtstreeks aanbod” geen betekenis. En dat is juridisch een gevalletje delen door nul, dat kan niet waar zijn dat een zinsnede niets betekent. Een wetgever schrijft het niet voor niet zo op.

Daarnaast geldt het alleen voor gebruik van persoonsgegevens met als grondslag toestemming. Ik zou denken dat bij Microsoft die persoonsgegevens (je account, de daaraan gekoppelde gegevens die je opslaat et cetera) onder de grondslag overeenkomst verwerkt worden. Ook daarom zou dit dus gewoon niet van toepassing moeten zijn. Je vraagt niet om toestemming om een dienst te mogen leveren, je sluit een online contract waaronder je een dienst gaat leveren. Dat is wezenlijk wat anders.

Ik snap dus werkelijk niet hoe Microsoft hierbij komt. Je zou kunnen denken dat het een voorzichtige interpretatie is, maar als ik dan “We zijn er ons van bewust dat de vereisten die de AVG met zich meebrengt tijdelijk vervelend kunnen zijn.” lees in dat persbericht dan is mijn eerste gedachte, wordt hier subtiel gelobbyd tegen de werkelijke doelen van de AVG? Is er werkelijk geen andere manier dan een creditcardbetaling?

Het grappige vind ik dan nog dat onder de Wbp (en dus in heel Europa) er wel categorisch altijd toestemming nodig was van ouders om zestienminners internetdiensten te laten gebruiken. De huidige wet kent namelijk géén beperking tot “direct aanbod” of zelfs maar tot internetdiensten. Toestemming geven voor een schoolfoto moet nu dus via de ouders, vanaf 25 mei kan een kind die toestemming zelf geven (tenzij volgens de algemene regel van artikel 1:234 BW die toestemming niet gebruikelijk is voor iemand van die leeftijd). Dus eigenlijk erkent Microsoft dat het al die jaren het fout heeft gedaan?

Arnoud

Mag je onder de AVG nog foto’s van kinderen publiceren?

Een lezer vroeg me:

Klopt het dat je onder de AVG geen foto’s van personen onder de 18 jaar meer herkenbaar op internet mag plaatsen? Daarvoor zou te allen tijde ouderlijke toestemming nodig zijn namelijk.

Nee, dat klopt niet. De regels rond fotogebruik zijn in principe onveranderd onder de AVG, behalve als je foto’s gaat gebruiken op toegangspasjes en dergelijke situaties waarin ze voor identificatie bestemd zijn.

Een foto met een herkenbaar persoon daarop is een persoonsgegeven, en gebruik daarvan valt onder de AVG. Er is een uitzondering voor strikt huishoudelijk en particulier gebruik, maar die gaat niet op als je de foto publiceert of in meer dan familie- en vriendenkring verspreidt. De fotograaf/publicist van zo’n foto moet dus aan de regels voordoen.

Eén van de regels uit de AVG is dat je een grondslag moet hebben. Dat kan toestemming zijn, maar dat is niet de enige grondslag. Ook het uitvoeren van een contract is een grondslag, en hier belangrijker is het eigen gerechtvaardigd belang, namelijk de vrijheid van meningsuiting. Onder dat belang mag je dingen publiceren over mensen, zolang je maar netjes rekening houdt met hun privacy.

Rekening houden met privacy doe je door bij de foto na te gaan of er vervelende, gênante of intieme details op staan en die eventueel te blurren als dat irrelevant is. Je moet daar in ieder geval over nagedacht hebben en kunnen rechtvaardigen waarom je vond dat je die details niet hoefde weg te halen. “Het was op de openbare weg” is daarbij te mager, ik zeg het maar vast.

Het maakt in principe niet uit of de persoon op de foto meerder- of minderjarig is. Dat speelt onder de AVG alleen bij toestemming; als iemand nog geen zestien (dus niet achttien) is, dan is ouderlijke toestemming nodig in plaats van toestemming van hem- of haarzelf. Maar als je een andere grondslag hebt, dan is dit niet relevant. Wel is het zo dat hoe jonger een persoon is, hoe zwaarder zijn of haar privacy zal wegen bij de belangenafweging. Kinderfoto’s zijn zelden nieuwswaardig, dus daar zul je eerder moeten blurren, weglaten of bijsnijden.

Uiteindelijk komt dit neer op grofweg dezelfde afweging als onder het oude portretrecht uit de Auteurswet. Wie daarmee kan werken, kan dus ook onder de AVG netjes foto’s publiceren.

Een nieuw recht onder de AVG is het recht op vergetelheid. Je kunt eisen dat gebruik van je gegevens wordt gestaakt, wanneer dat gebruik achterhaald of irrelevant is. Maar dat recht geldt niet wanneer een publicatie “nodig is voor het uitoefenen van het recht op vrijheid van meningsuiting en informatie”, zo staat in lid 3 van artikel 17 waar dat recht in staat. Als de publicatie op zich dus legitiem is en rekening houdt met privacy, dan kun je ook met het recht van vergetelheid niets daartegen doen.

Arnoud

Ouders klagen Facebook aan om extreme uitgaven kinderen

Facebook wordt in de Verenigde Staten aangeklaagd door ouders van kinderen die zonder toestemming hoge bedragen hebben uitgegeven in spelletjes op het sociale netwerk. Dat meldde Nu.nl vorige week. Het gaat om een massaclaim, geïnitieerd door twee ouders wier kinderen elk zo’n duizend dollar aan creditcardbestedingen hadden gedaan op Facebook.

Kinderen kunnen volgens de wet niet zomaar aankopen doen. De wet (art. 1:234 BW) zegt dat ze handelingsonbekwaam zijn, wat inhoudt dat hun ouders of voogd toestemming moet geven voor alle transacties die zij doen.

Daar is een uitzondering op: als de transactie normaal is voor een kind van die leeftijd, dan wordt de toestemming geacht gegeven te zijn. Je kunt dus een kind van tien niet verbieden zijn zakgeld te verstoken bij de Jamin of Albert Heijn, maar wel bij de fietsenhandelaar.

Vandaag de dag durf ik wel te zeggen dat het normaal is dat kinderen van zeg een jaar of tien, twaalf dingen kopen in online spellen. Daarmee zou een aankoop van een paar euro niet terug te draaien zijn. Bij vele honderden of zelfs duizenden euro’s ligt dat anders, dat is geen bedrag dat een tien-, twaalfjarige normaal heeft dus zo’n aankoop kan door de ouders worden herroepen.

Probleem is alleen dat de aanbieder van zo’n spel snel zal zeggen “hoezo kind, het was uw creditcard dus u heeft zélf die aankopen gedaan”. En een volwassene die een aankoop doet, kan die niet zomaar terugdraaien. Dus hoe bewijs je dat het je kind was?

Je beroepen op de Wet koop op afstand (binnen veertien dagen alles ongedaan maken) is niet heel kansrijk. Het gaat hier om een online dienst die direct geleverd wordt, en zolang je er maar duidelijk op gewezen wordt dat dit zal gebeuren, heb je daarna geen annuleringsrecht meer.

Het blijft een probleem, online uitgaven door minderjarigen. Ik weet het, verantwoordelijkheid van ouders, maar als je ziet in de praktijk dat dat niet wérkt, dan moet je toch iets anders gaan verzinnen. In-app aankopen verbieden dan maar?

Arnoud

Waarom moet je in Nederland 16 zijn om op LinkedIn te mogen?

linkedin-veranderde-voorwaarden.pngLinkedin wil zich meer richten op scholieren en studenten en verlaagt daarom per 12 september de leeftijdsgrens in Nederland van 18 naar 16 jaar, meldde Nu.nl vorige week. Maar die 16 jaar is specifiek voor Nederland: wie de geüpdatete algemene voorwaarden leest, ziet dat 13 jaar het uitgangspunt is en dat Nederland met China als enigen een hogere grens hanteert (China eist 18 jaar). Vanwaar die hogere grens?

LinkedIn legt het zelf niet echt uit, maar ik vermoed (met dank aan Bernard) dat het gaat om de leeftijdsgrens die onze Wet bescherming persoonsgegevens trekt: persoonsgegevens van minderjarigen onder de zestien jaar mogen alleen worden verwerkt met toestemming van hun ouders. Bovendien mogen ouders die toestemming altijd en zonder opgaaf van redenen intrekken. En dat is natuurlijk nogal een gedoe om te krijgen. Dan maar je minimumleeftijd op zestien als sociaal netwerk.

Die grens van zestien jaar is een Nederlandse toevoeging aan de Europese privacyregels. De privacyrichtlijn noemt geen leeftijdsgrens, en ook (bij mijn weten) andere Europese wetgeving harmoniseert niet wanneer iemand meerderjarig is of zelfstandig persoonsgegevens kan laten verwerken. De Privacyverordening die momenteel vanuit Europa is voorgesteld, zal een ondergrens van 13 jaar gaan bevatten specifiek voor informatiediensten.

Het blijft me irriteren dat we in het gewone recht een uitzondering hebben op de toestemmingsregel die niet geldt bij privacy. Is een rechtshandeling “in het maatschappelijk verkeer gebruikelijk” voor personen van die leeftijd, dan mogen de ouders de toestemming niet weigeren (art. 1:234 BW), maar de Wbp doet niet aan ‘gebruikelijk’ – ga je ouders maar vragen.

Je kunt hier als jonge ondernemer (die uiteraard op LinkedIn staat) tegenaan lopen. Als zestien- of zeventienjarige ondernemer is het mogelijk om ‘handlichting’ te krijgen. De rechtbank verklaart je dan meerderjarig zodat je zonder toestemming van je ouders contracten met je klanten kunt sluiten (art. 1:235 BW). Echter, die handlichting kan de Wbp niet passeren (tenzij je zegt dat dit onder “het uitoefenen van een beroep of bedrijf” valt). Maar goed, als je handlichting gaat vragen dan is even toestemming voor LinkedIn bedingen natuurlijk ook vast geen probleem.

Mensen vragen me wel eens waarom ik zo negatief doe over de Wbp. Nou, vanwege dit soort dingen dus. En omdat echt geen hónd zich eraan houdt, waardoor het voor mensen die het wél netjes willen doen hoogst frustrerend is dat zij de enigen lijken te zijn en de concurrent wegkomt met de meest grove overtredingen.

Arnoud

Welke leeftijdsgrens geldt er in Nederland voor internetdiensten?

kinderen-oppassen-bord-verkeersbord-waarschuwing.pngEen lezer vroeg me

Bij veel Amerikaanse sites zie je dat expliciet wordt gezegd dat je minstens dertien jaar moet zijn om de dienst te mogen gebruiken. En bepaalde natuurlijk 18 of zelfs 21. Hoe zit dat bij ons? Welke leeftijdsgrenzen gelden er voor internetdiensten?

Die Amerikaanse grens van 13 jaar is gebaseerd op de COPPA-wet, die kort gezegd erop neerkomt dat je mensen onder de dertien alleen mag toelaten met toestemming van hun ouders. En door simpelweg “You must be at least 13” in de voorwaarden te zetten, denkt men te voldoen aan die wet. Immers geen dertienminner zou ooit liegen over zijn leeftijd, toch?

De grens van 18 of 21 gaat natuurlijk over pornografie. Je mag mensen onder de 18 geen porno laten zien. Bij ons is die grens 16 jaar (art. 240a Sr) en geldt deze ook voor extreem geweld en andere zaken die “schadelijk te achten” zijn voor minderjarigen. Met de Kijkwijzer en PEGI-gameclassificatie wordt hier een praktische invulling aan gegeven. Is een game 16+ dan is het dus strafbaar deze vanaf je site te laten spelen door een zestienminner.

Het equivalent van die 13 jaar is bij ons iets gecompliceerder. Er spelen namelijk twee grenzen: allereerst de handelingsbekwaamheid en ten tweede de Wet bescherming persoonsgegevens.

Een persoon onder de 18 is niet handelingsbekwaam: hij mag niet zelfstandig contracten sluiten of andere rechtshandelingen verrichten. Dit vereist toestemming van de ouders. Echter, er is een uitzondering: is de handeling “in het maatschappelijk verkeer gebruikelijk” voor personen van die leeftijd, dan mogen de ouders de toestemming niet weigeren (art. 1:234 BW). In theorie zou je dus best een site voor kleuters kunnen opzetten, mits je maar kunt hardmaken dat jouw soort dienst ‘gebruikelijk’ is voor kleuters en dat hun ouders daar dus niets over te zeggen hebben.

De Wet bescherming persoonsgegevens fietst hier dwars doorheen: persoonsgegevens van mensen onder de 16 mogen niet verwerkt worden zonder toestemming van hun ouders, punt (art. 5 Wbp). Er is geen vergelijkbare uitzondering voor de situatie dat de verwerking ‘gebruikelijk’ is voor personen van die leeftijd. Je kunt als vijftienjarige dus best een Twitter-account nemen, maar direct daarna houdt het op want je mag geen persoonsgegevens op je profiel zetten zonder toestemming van je ouders.

In de praktijk worden natuurlijk zowel de Nederlandse als de Amerikaanse wetgeving compleet genegeerd door zowel die minderjarigen als hun ouders. De enige situatie waarin dit een punt lijkt te zijn, is wanneer er credits of iets dergelijks worden gekocht. Daarbij speelt nog het probleem dat elke creditsaankoop een aparte transactie is, en hoe ongebruikelijk is het nou dat een kind een euro stukslaat in een spelletje? Dat hij dat tienduizend keer doet met mamma’s creditcard, ja dáár is 1:234 BW niet voor geschreven.

Arnoud

Mijn kind is een hacker, wat nu?

halt-strafEen lezer vroeg me:

Mijn zoon zit in groep 8 van de basisschool en is al een paar jaar heel intensief bezig met computers. Hij is er echt goed in, maar haalt daardoor ook dingen uit die hem in de problemen brengen. Hij hackt het wachtwoord van de docent en zet rare plaatjes in een presentatie, bijvoorbeeld. En nu zitten vriendjes hem te pushen om daarmee door te gaan, bv. door Facebook van klasgenootjes te hacken. Wanneer wordt dat strafbaar, en wat kan ik doen?

Raden of achterhalen van wachtwoorden is eigenlijk altijd strafbaar als computervredebreuk. Deze jongen komt dus echt in problemen terecht als hij hiermee doorgaat. Als hij nog geen twaalf is, dan is hij nu niet strafbaar. Vanaf twaalf jaar begint het strafrecht te lopen, en tot je achttiende val je dan onder het jeugdstrafrecht.

Meestal wordt er bij wetsovertredingen door minderjarigen geprobeerd deze bij bureau HALT een alternatieve straf te laten uitvoeren. Alleen, de regels rond HALT zijn niet geschreven voor computercriminaliteit. Naar HALT mag je (op basis van vrijwilligheid) bij wat ik maar even vandalisme en kleine criminaliteit (winkeldiefstal of oplichting tot € 150 euro) noem. Computervredebreuk staat niet in het Besluit aanwijzing Halt-feiten (ex art. 77e Strafrecht).

Er is een restartikel voor “feiten van geringe ernst” met weinig schade waarbij “een pedagogische benadering” passend is. Met toestemming van de officier van justitie mag dan alsnog een Halt-aanpak worden gekozen. Halt noemt zelf hacken bij digitaal pesten als voorbeeld uit die restcategorie.

Ik heb alleen geen idee wat de gepaste “pedagogische benadering” is bij een twaalfjarige zuivere hacker. Pesten via Hyveshacken is één ding, het smartboard van de school automatisch New Kids Turbo laten vertonen iets heel anders. (En inbreken in het cijfersysteem van je middelbare school nóg weer iets anders.) Wat zouden jullie aanraden? Doe hem op een hackersclub?

Arnoud

Er zitten minderjarigen in mijn spel!

inschrijven-leeftijd.pngEen lezer vroeg me:

In het online spel dat ik speel, zie ik steeds vaker minderjarige deelnemers. Het spel kent volgens mij geen minimum-leeftijd maar vereist wel dat minderjarigen met toestemming van hun ouders spelen. Ik krijg niet de indruk dat die deelnemers die toestemming hebben. Welke verantwoordelijkheid heb ik als volwassen speler tegenover die minderjarige spelers, of tegenover het beheer?

Als deelnemer heb je geen speciale verantwoordelijkheden of plichten als je ontdekt dat andere deelnemers minderjarig zijn. Minderjarigheid is -in het contractenrecht- een kwestie tussen de contractspartijen, de deelnemer en het beheer dus. Als deelnemer heb je niets te maken met die contractuele relatie. Iedere deelnemer heeft een eigen contract met het beheer, en de (on)geldigheid van één contract staat volstrekt los van de andere contracten, en van de relatie tussen die contracthouders onderling.

Het beheer mag eisen dat deelnemers zestien (of achttien) jaar of ouder zijn, en mag redelijke maatregelen invoeren om dit af te dwingen. In de praktijk gaat het meestal goed, omdat je er niets van merkt dat iemand minderjarig is. Een 14-jarige kan ook prima discussiëren op een forum of meedoen aan een spel. Als minderjarigen moeten betalen, dan wordt het lastig. En bij profielen van minderjarigen ligt er ook een probleem: de privacywet verbiedt dat, zonder toestemming van de ouders.

Maar nogmaals, dit is allemaal een probleem tussen de deelnemer (en diens ouders) en het beheer. Heeft het beheer de leeftijd gecontroleerd en toestemming van de ouders gekregen, dan mag een minderjarige probleemloos meedoen. Zijn relatie tot medespelers is dan niet anders dan die van de volwassen spelers. Of je met zo iemand wilt samenspelen, is een andere kwestie, maar dat is meer iets van persoonlijkheid.

Hooguit zou je als medespeler het beheer kunnen tippen: “Weten jullie wel dat persoon X eigenlijk 13 jaar is”. Als het beheer dat nog niet wist, dan kunnen ze met zo’n klacht op onderzoek uitgaan en eventueel persoon X uitsluiten totdat diens ouders zich melden met de goedkeuring. Als het gaat om een site die voor volwassenen bedoeld is (bijvoorbeeld vanwege erotische inhoud, die niet aan zestienminners mag worden getoond), dan lijkt me zo’n tip bijna verplicht, omdat je dan heel theoretisch kunt zeggen dat je anders medeplichtig wordt aan het laten vertonen van erotiek aan zestienminners (art. 240a Strafrecht). Maar dat is echt een extreme uitzondering.

Iets realistischer: je komt een speler tegen met een betaald premiumaccount of met vele dure spullen waarvan je weet dat die met echt geld zijn gekocht. Je ontdekt dat die persoon twaalf is en hij/zij zegt dat zijn ouders er niets van weten. Moet je dan iets doen? Moreel gezien: misschien. Juridisch gezien: nee. Je kúnt hier niets mee, want dit raakt jouw contractuele relatie tot het beheer niet.

Arnoud

Mogen kinderen betalen in sociale games?

farmville-credits.pngVia internetspellen als Farmville en Happy Harvest betalen kinderen soms tientallen euro’s voor zaken als het onderhouden van een digitaal tuintje, las ik bij Adformatie. Hoogleraar Jeugd en Media Patti Valkenburg wil paal en perk stellen aan deze praktijk, onder meer door een vernieuwde Kinder- en Jeugdreclamecode. Deze code bevat -voor zover ik kan zien- geen enkel artikel dat ziet over in-game purchases.

Zou zo’n artikel er moeten komen? Ik denk het wel, hoewel ik niet verder kom dan “dit moet gewoon niet mogen” en dat zal op iets te veel weerstand stuiten bij de gemiddelde socialemediaspelletjesaanbieder.

De huidige juridische grens biedt niet echt soelaas. In mei blogde ik over ongewenst gekochte Facebookcredits door het kind en of de ouders deze aankoop ongedaan kunnen maken.

Minderjarigen mogen dingen kopen die “gebruikelijk” zijn voor hun leeftijd. Een snoepje bij de Jamin is voor een negenjarige gebruikelijk, een nieuwe fiets niet. Voor een 15-jarige is een fiets of dure broek denk ik weer wel gebruikelijk, er zijn er genoeg die dat doen immers. Als de aankoop niet gebruikelijk is, dan kunnen de ouders deze terugdraaien en de winkel moet dat accepteren.

Bij microtransacties zoals veevoer in Farmville ligt het juridisch lastig: je kunt namelijk goed stellen dat elke transactie een aparte aankoop is en dus juridisch een apart contract. En dan kun je het niet terugdraaien: een kind van negen mag best 10 cent uitgeven aan een spelletje. Dat hij dat dan duizend keer doet, tsja dát valt buiten het bereik van dit wetsartikel.

Je kunt natuurlijk verdedigen dat het kind in feite een aankoop van duizend keer 10 cent oftewel 100 euro doet en dát is niet gebruikelijk voor een kind van negen. Maar dan moet je een constructie opvoeren waaruit blijkt dat er één overeenkomst is waarbij die 100 euro in fragmenten van 10 cent wordt besteed. En volgens mij is die er niet. Wel natuurlijk als je een berg credits vooraf koopt, dan is de aanschaf van die credits 100 euro in één keer.

De vervolgvraag is dan of het ‘gebruikelijk’ is dat een kind van negen 100 euro besteedt aan zulke credits. De hoogte van het bedrag is niet doorslaggevend. Als blijkt dat ‘iedereen’ van die leeftijd dit doet, dan is dat al genoeg om het gebruikelijk te noemen. En ik weet niet hoe veel kinderen er op Farmville zitten en credits kopen, maar dat zullen er toch al aardig wat zijn.

Arnoud

Een minderjarige bestelt iets, wat kan ik doen?

Een lezer vroeg me:

Ik bied op internet een spel aan waarbij je moet betalen voor premiumfunctionaliteit. Vorige week kreeg ik een brief van een rechtsbijstandsverzekeraar dat ik een bepaalde dienst moet annuleren, en al het betaalde geld moet teruggeven, omdat een minderjarige de creditcard van zijn vader had gebruikt zonder toestemming. Ik heb het account geblokkeerd, maar moet ik ook geld terugbetalen? Ik heb bij registratie gevraagd of mensen 18+ zijn, en als je dat niet aanvinkt dan kun je geen account aanmaken.

Hoofdregel uit de wet is dat een minderjarige (jonger dan 18 jaar) geen contracten mag afsluiten zonder toestemming van zijn ouders. Uitzondering is als het gaat om producten of diensten die ongebruikelijk zijn voor zijn leeftijd. Een kind van tien mag dus snoep kopen bij de Jamin maar geen fiets bij de fietsenmaker. Op internet mag een tienjarige credits kopen voor Habbo Hotel of ander spelletje, maar geen webhostingpakket. Een vijftienjarige mag wel hostingpakketten afnemen want dat is vrij normaal (mits het een basic pakketje is).

Als de minderjarige iets ongebruikelijks heeft besteld, en de ouders maken bezwaar, dan draait de wederpartij in beginsel voor de kosten op. Hij moet alle aanbetalingen teruggeven en op eigen kosten alles terugdraaien. Er is een uitzondering voor het geval het geleverde de minderjarige tot daadwerkelijk voordeel heeft gestrekt (art. 6:209 BW en 6:276 BW). Hij moet dan de kosten van het geleverde vergoeden.

Plat gezegd: de minderjarige moet werkelijk iets hebben gedaan met hetgeen waarvoor is betaald. Het opnemen van een op zijn bankrekening gestort geldbedrag is een voorbeeld. Het aankopen van goederen in een online spel zou daar m.i. ook kunnen vallen. Credits vind ik een twijfelgeval – daar doe je nog niks mee. Idem voor vooruit betalen van bv. een hostingabonnement.

Soms is een schadeclaim richting de minderjarige mogelijk (Hijma p. 145). Hij moet dan onrechtmatig hebben gehandeld, bijvoorbeeld door opzettelijk te liegen of een vervalst identiteitsbewijs te laten zien. Een “Ja ik ben 18+” vakje moeten aanvinken zou daaraan kunnen voldoen, maar het is nog nooit getest in de praktijk. Essentieel is wel dat het bedrijf íets moet doen op het gebied van leeftijdscontrole. Als het bedrijf niets vraagt, kan de minderjarige niet verweten worden te hebben gelogen over zijn leeftijd immers.

Vanwege het 18+-vakje zou ik dus geneigd zijn te zeggen dat je een vergoeding mag rekenen voor de daadwerkelijk afgenomen diensten, maar niet meer. Heeft hij bijvoorbeeld een jaarabonnement genomen en komt dat na een maand uit, dan mag je 1/12e van het jaarabonnement houden – als hij gebruik heeft gemaakt van de dienst in die maand natuurlijk. Ook kosten die je daadwerkelijk gemaakt hebt bij je eigen leveranciers, mag je als vergoeding opvoeren. Het restant moet dan wel terug.

Arnoud