Internetrecht door Arnoud Engelfriet

stux / Pixabay

Adobe-programma’s als Photoshop, Illustrator en InDesign hebben geen standaard toegang meer tot de meeste kleuren van Pantone, tenzij gebruikers daarvoor een abonnement afnemen. Dat meldde Tweakers onlangs. Wie dat abonnement niet neemt, krijgt zwarte vlakken waar eerst nog kleuren in de Pantone-kleurcoderingen stonden. Het verraste veel mensen, want hoezo kan Pantone auteursrecht claimen op een kleur? Dat kunnen ze ook niet, maar dankzij de wonderen van de cloud kan Pantone dit toch afdwingen.

Het bedrijf Pantone is marktleider in het vaststellen van kleurcoderingen, waarmee ontwerpers op eenduidige manier kunnen aangeven welke kleur bedoeld is. Dat lost bijvoorbeeld het probleem op dat een beeldscherm iets anders toont dan een printer produceert; als het bestand “PMS 012” vermeldt dan zal iedere drukker daar hetzelfde van maken. Een nuttige functie, waar wereldwijd op ingesprongen is en waardoor Pantone nu de dominante partij is in kleurcoderingen.

Het gaat natuurlijk om technische informatie: er zitten 2161 kleuren in het systeem, en van elke kleur is de hoeveelheid cyaan, magenta, geel en zwart vastgelegd. Ook krijgt elke kleur een naam, de Kleur van het Jaar 2022 is nummer 17-3938 en heet Very Peri (“Very Peri displays a spritely, joyous attitude and dynamic presence that encourages courageous creativity and imaginative expression”, aldus de jury).

Goed, leuk, maar is dat genoeg voor een auteursrecht? Ik betwijfel het zeer. Maar als je de hele lijst van 2161 kleuren mét code en naam neemt, dan denk ik dat daar wel een auteursrecht op rust. Wil je dus die hele lijst in je printer (of ontwerpprogramma) dan zul je een licentie moeten nemen. Fair enough, maar dat zou een eenmalig bedrag moeten zijn want het is absurd dat je jaarlijks betaalt voor zo’n lijst terwijl jouw klant het apparaat koopt of de software installeert op zijn desktop en daarvoor ook eenmalig betaalt.

Maar goed, toen kwam de cloud en werd alles anders (geen MLP referentie). Beter gezegd: Toen bedacht Adobe dat het veel leuker is dat je per maand betaalt voor haar tools, in plaats van eenmalig een enórme smak geld. En een paar jaar later dacht Pantone, dat kunnen wij ook. Vandaar dus die eis om maandelijks te betalen voor dat bestandje (en de merknaam), want als iemand zelf al aangeeft dat je per maand kunt betalen dan is als leverancier maandelijks afrekenen natuurlijk net zo logisch.

Heel erg juridisch is dit dus niet, dit is vooral een voorbeeld van hoe de cloud ingezet kan worden om nieuwe bedrijfsmodellen af te dwingen. En om diezelfde reden is er dus niets aan te doen, als je cloudtools gebruikt en de prijs gaat omhoog, dan kun je of betalen of wegwezen.

Arnoud

congerdesign / Pixabay

Een lezer vroeg me:

Onze kinderen gaan naar de kinderopvang. Het bureau gebruikt hiervoor een SaaS-platform van een derde, met daarin dus alle persoonsgegevens (inclusief bsn en benodigde gezondheidsinformatie). Maar meer dan een wachtwoord wordt er niet gebruikt, en je mag zo te zien onbeperkt wachtwoorden proberen. Ik maak me daar grote zorgen over, ik zie dit zo gehackt worden. Wat kan ik doen, zijn er juridische middelen?

Er zijn tegelijk maar weinig wettelijke kaders. De AVG is natuurlijk de bekendste. Deze bepaalt dat zulke gegevens goed beschermd moeten zijn, maar schrijft geen specifieke security-eisen voor. Je moet zelf, op basis van de situatie, de kosten en de te verwachten bedreigingen, een afweging maken om het zo goed mogelijk op orde te maken.

Er is ook geen toezichthouder die preventief je platform komt screenen of een audit komt uitvoeren. Of zelfs maar komt eisen dat jij een audit laat uitvoeren of wat dan ook. Wie het heel treurig wil formuleren, komt dus tot de conclusie dat alles AVG proof is totdat blijkt dat dat niet zo is. Door een hack of datalek dus. Ik word daar inderdaad niet vrolijk van.

En natuurlijk, dan mag de kinderopvang de rommel opruimen en de schade vergoeden. Want ook als ze dit zonder enige kennis van digitale zaken inkopen, zij blijven onder de AVG de verwerkingsverantwoordelijke en zij zijn aansprakelijk voor alles dat er mis gaat. (Op papier kunnen ze dat verhalen op de leverancier, of ze dit in de onderhandelingen van het servicelevelcontract afdwingen blijft natuurlijk giswerk.)

Als je als ouder een vermoedelijk datalek of ander probleem zit, kun je dat natuurlijk aankaarten. Alleen lastig: het bureau kan er niets mee, want die heeft de kennis niet. En de leverancier van het platform is vaak lastig bereikbaar voor de eindklanten, of heeft er weinig belang bij theoretische risico’s snel op te pakken.

Dus veel praktische oplossingen zijn er niet. Specifiek bij kinderopvang is er wellicht nog de route van de oudercommissie, die bij het bureau kan aankaarten dat er zorgen leven en of er wat anders bedacht kan worden. Mijn gevoel is dat bij veel van dergelijke commissies de zorg om digitale veiligheid niet heel hoog is, maar het is het proberen waard.

Arnoud

Een lezer vroeg me:

Ik ben een kleine ondernemer en net gestart met een software-as-a-service dienst. Het voelt nog wat vroeg om harde SLA’s aan klanten aan te bieden, maar waar sta ik als dat niet doe? Aan welke getallen zit ik dat vast, hoe bereken je dat?

Als je geen expliciete afspraken maakt, dan kom je als hoofdregel uit bij wat de wet de redelijkheid en billijkheid noemt. Je ziet dat ook wel in de algemene voorwaarden van SaaS-diensten: Leverancier zal zich inspannen een redelijk niveau van beschikbaarheid te leveren. Dat is genoeg, het enige is natuurlijk dat je dan bij een klagende klant héle lange discussies kunt krijgen over wat een redelijk niveau is en waarom jouw downtime op dinsdagmiddag 14:30 daar wel of niet onder valt.

Aanvullend geldt daarbij de gewoonte (art. 6:248 lid 1 BW), wat je kunt zien als wat gebruikelijk is in de branche waarin je opereert. Als daar een bepaald percentage gebruikelijk is, dan moet jij dat ook leveren. Ik ken alleen niet echt dergelijke gebruiken in welk deel van de software-as-a-service markt, ik zou juist willen zeggen dat de gewoonte is om zonder SLA alleen zo’n “redelijk inspannen” toezegging te doen.

Het is overigens prima om een getalsmatige toezegging te doen zonder een ding van twintig kantjes dat “Service Level Agreement” heet erbij te leveren. Leverancier zal zich inspannen de beschikbaarheid per maand op 98% of meer te houden. En vaak zie je dat het de klanten niet eens gaat om die beschikbaarheid, maar om andere dingen:

• Leverancier zal onderhoud beperken tot de nachtelijke uren en/of het weekend.
• Leverancier zal onderhoud met downtime vooraf aankondigen.
• Leverancier zal Klant continu op de hoogte houden van de voortgang van het wegnemen van het probleem.

Arnoud

Een lezer vroeg me: Zoals heel veel SaaS-diensten bied ik accounts aan voor bedrijfsmatig gebruik: één account per gebruiker, maar gekoppeld via een bedrijfsabonnement. Ben ik nu verwerker voor de gegevens in die accounts? Het valt me inderdaad op dat vele SaaS-dienstverleners denken dat ze verwerker zijn omdat ze persoonsgebonden accounts hebben. Dat is alleen… Lees verder

Een lezer vroeg me: Ik ontwikkel SaaS-oplossingen op maat, op basis van mijn eigen basisapplicatie. Elke keer weer krijg ik discussie met de klant (meestal zijn advocaat, trouwens) dat ze het IE van het maatwerk willen hebben. Als ik dan zeg dat ze daar niets aan hebben, omdat ik de basisapplicatie in beheer heb, dan… Lees verder

Een lezer vroeg me: De dienstverlener van een SaaS administratie-pakket voor de zakelijke markt blokkeert/blacklist de thuisverbinding van een werknemer omdat deze een TOR node draait. De helpdesk weigert dit IP-adres te whitelisten en stelt dat de werknemer zichzelf van de blacklist zal moeten laten verwijderen, wat zou betekenen dat de node offline moet. Mag… Lees verder

Een lezer vroeg me: Wij maken zakelijk gebruik van applicaties en software in de cloud. Mijn vraag is nu echter of je echt met iedere cloud leverancier een bewerkersovereenkomst moet afsluiten? Iedere applicatie verwerkt namelijk op de een of andere manier wel persoonsgegevens, de ene meer dan de ander. In sommige gevallen gaat het enkel… Lees verder

Gaan we weer: hee kijk, niemand leest websitevoorwaarden, zelfs als je erin zet dat je je eerstgeboren kind moet afstaan, gaat iedereen blindelings akkoord. Dat las ik bij Ars Technica. Leuk nieuwtje weer, maar wat mij betreft nieuwswaarde nul. Al sinds het begin van internet staat iedere site bol van de gebruiksvoorwaarden. Ergens wel logisch,… Lees verder

De Europese privacytoezichthouders hebben Amazon’s clouddienst privacytechnisch goedgekeurd, las ik op diverse media. Daarmee zou Amazon Web Services ineens da juridische bomb (oké, The Register) zijn. Het ligt iets subtieler: de contracten waaronder Amazon werkt, zijn voorzien van juridische clausules over export en gebruik van persoonsgegevens door Amazon. En die clausules zijn goedgekeurd, zodat Amazon… Lees verder

Een lezer vroeg me: Wij nemen een clouddienst af waar onze klantdata (contactgegevens en dergelijke) mee beheerd wordt. Maar nu is de clouddienstverlener failliet en de dienst dus uit de lucht. De hostingpartij heeft nog wel een kopie van de data, maar hij wil deze niet afstaan tenzij we fors gaan betalen. De curator wil… Lees verder