Mag een appartementencomplex werken met kentekenherkenning?

| AE 9659 | Privacy | 35 reacties

Een lezer vroeg me:

De vereniging van eigenaren van mijn appartementencomplex wil gaan werken met kentekenherkennning bij de poort. Alleen bewoners en vooraf aangemelde bezoekers kunnen dan nog automatisch naar binnen, de rest moet aanbellen. En van iedere bezoeker worden naam, kenteken en in- en uitrijtijden vastgelegd. Hoe zit dat juridisch?

Het is natuurlijk toegestaan om de toegang tot je complex te reguleren. Alleen wanneer je gaat werken met kentekens, dan loop je tegen de privacywetgeving (nu de Wbp, vanaf 25 mei de AVG) aan. Kentekens worden namelijk gezien als persoonsgegevens, zeker in gevallen wanneer je ze concreet kunt koppelen aan de identiteit van bewoners of bezoekers.

Gelukkig verbiedt de wet niet categorisch het gebruik van persoonsgegevens om de toegang tot een pand of terrein te reguleren. Het mag, maar je bent aan een aantal regels gebonden. De belangrijkste eis is dat je kunt motiveren waarom je voor dit middel hebt gekozen. Kun je niet werken met sleutels en een bel bijvoorbeeld? Is er echt geen andere oplossing?

Daarnaast moet duidelijk zijn uitgewerkt wat er gebeurt met de vastgelegde gegevens. Waarom die, en niet minder? Wie heeft er toegang toe en onder welke voorwaarden? Hoe lang worden ze bewaard, en waarom kan het niet eerder weg. Wat gebeurt er mee? Komen alle kentekens op een bord in de hal, of blijft het bij de portier?

Beveiliging is natuurlijk ook van belang. Hoe worden de gegevens afgeschermd voor ongeautoriseerde toegang, welke logging is ingevoerd en wie heeft daar toegang toe. Afgeleid daarvan, wat gebeurt er met datalekken. Hoe wordt daarop gemonitord en wie gaat een datalek aanmelden en de betrokkenen informeren?

Het is dus vooral een kwestie van zaken goed motiveren en op schrift stellen. Dat reglement is ook nodig, je moet mensen informeren over het waarom en hoe. En het waarom is het belangrijkste.

Arnoud

Duitse rechter ontzegt ouders toegang tot Facebook van overleden tiener

| AE 9465 | Contracten | 22 reacties

Een rechtbank in Duitsland besluit dat de ouders van een overleden tiener geen toegang krijgen tot haar Facebook-account. Dat las ik bij Nu.nl. Het vijftienjarige meisje van wie het account is, overleed in 2012 na aanrijding met een trein. De ouders proberen vast te stellen of het om zelfmoord ging, maar de rechtbank oordeelt nu dat zij geen rechten hebben op het account omdat het hier gaat om persoonsgebonden dienstverlening die eindigt met de dood van de afnemer. Pijnlijk, maar wederom: dat krijg je ervan, van die diensteneconomie.

We denken over dingen als accounts vaak als eigendom, als fysieke dingen. Maar gebruik van Facebook is een dienst, en het account is niet meer dan een bioscoopticket: het bewijst dat je recht hebt op gebruik van die dienst.

Er is geen algemene regel dat een contract eindigt met je dood. Je moet echt per type contract gaan kijken wat de wet daarover zegt. In dit geval komen we dan uit bij de overeenkomst van opdracht, en daarover zegt art. 7:410 BW:

De dood van de opdrachtgever doet de opdracht slechts eindigen, indien dit uit de overeenkomst voortvloeit, en dan eerst vanaf het tijdstip waarop de opdrachtnemer de dood heeft gekend.

In principe loopt een Facebook-dienstcontract dus door tenzij in het contract staat dat het eindigt door overlijden van de gebruiker. Echter, de Facebook TOS, het betreffende contract, zegt niets over die situatie. Er is wel een FAQ daarover maar die noemt alleen de opties van omzetten naar een Memorial pagina of het opheffen van een account.

Dat lijkt me dan leidend: de dienst loopt juridisch dus door na overlijden als je de Memorial-optie hebt gekozen, maar wel binnen de daarop van toepassing zijnde beperkingen. De belangrijkste daarbij is dat niemand meer in kan loggen op het account, dus voor toegang tot berichten en dergelijke is dit niet genoeg. Maar zoals wel vaker gezegd: data is niets, dus ook berichten op Facebook niet. Je hebt geen recht op toegang tot die berichten tenzij contractueel afgesproken.

Dus nee, ik zie geen optie voor deze mensen om (naar Nederlands recht) bij die berichten van hun kind te kunnen. Dit is waar een social media testament (een wachtwoordenboekje met “Te openen in geval van mijn dood”) van belang voor is, maar dat is in de relatie ouder-kind denk ik lastig te realiseren.

Arnoud

De toegangscode van een brandmelder opeisen

| AE 8080 | Contracten | 26 reacties

brandmelderIets dat we steeds vaker gaan zien: je wilt van je installateur of beheerder af, maar die heeft de toegangscodes of wachtwoorden en die wil hij niet zomaar afgeven. Sta je dan in je recht om ze op te eisen? Dat is een juridisch lastige vraag, want zo’n code is niets. Het is immers niet meer dan data. Maar in een recente rechtszaak vond de rechter toch een praktische oplossing.

Uit het vonnis blijkt dat een onderhoudsbureau een onderaannemer had ingehuurd die onder meer de brandmelder had geplaatst in het Rotterdam The Hague Airport Wings Hotel (hierna: “het hotel”, sorry wat een mond vol).

Die melder functioneerde niet naar behoren volgens de klant, maar de onderaannemer was stellig dat er niets aan de hand was. Weliswaar stond permanent het storingslampje aan, maar dat bleek een spookmelding te zijn zonder daadwerkelijke gevolgen. Ook kon een extern bureau geen grote problemen vinden. De rechter ziet dan ook geen problemen met de levering door die onderaannemer, dus die moet gewoon betaald krijgen voor zijn diensten.

Tussen de regels door krijg ik het gevoel dat het bureau klachten kreeg van het hotel omdat het ding maar bleef piepen of moeilijk doen. Zo ging de melder een keer af toen het buiten 45 graden was op een extra zonnige dag, of door douchestoom. Dus dan voelt het als een logische volgende stap om toch van die onderaannemer af te willen.

Met een ander verder gaan mag, ook als er geen echte klachten zijn. Maar nu wordt het ICT-spannend: wil je dat brandmeldsysteem onderhouden, dan heb je een code nodig (hierna: “de code”) en die wilde de onderaannemer niet zomaar afgeven. Na enig aandringen toch wel, maar dan alleen onder de volgende voorwaarden:

acceptatie van de gevolgen van de overdracht van de code aan een andere installateur door [het bureau];
verval van garantie en iedere aansprakelijkheid van [gedaagde1] voor de BMI;
afstand van aansprakelijkheid, korting of verrekening als gevolg van terugzetten code;
finale kwijting ter zake de BMI.

Dit zijn op zich gebruikelijke eisen. Alleen, mág je dat wel stellen als voorwaarde om een toegangscode, hierna: “de code”, te moeten afgeven? Nou nee, want nergens in het contract staat geregeld dat je alleen dan de code hoeft af te geven.

De spanning stijgt: op welke grond houdt de onderaannemer de code nu onder zich? De rechter komt uit bij het retentierecht. Je mag spullen onder je houden die van een ander zijn zolang die ander een afspraak niet nakomt. Alleen, in het contract stond dat het retentierecht niet ingezet mag worden, dus dat kan de onderaannemer vergeten. Code afgeven, einde oefening.

Echter, dit is wel raar, want het retentierecht geldt voor fysieke zaken en een toegangscode is dat niet. Oh pardon, toch wel:

Hierbij wordt opgemerkt dat de voorzieningenrechter de code beschouwt als een zaak als genoemd in artikel 3:290 juncto 3:2 BW, nu de code in deze gelijk te stellen aan een fysieke sleutel.

Dat klopt formeel niet helemaal, maar praktisch gezien wel. En voorzieningenrechters zijn er voor praktische oplossingen. En het is ergens ook wel te verdedigen dat een sleutel een zaak is: hij is voor menselijke beheersing vatbaar, vertegenwoordigt waarde en is in de praktijk uniek/verplaatsbaar. Codes deel je maar in beperkte mate en meestal is er maar een iemand die hem weet (als het goed is, wordt hij na overdracht snel gewijzigd immers). Dus dan klopt het ook formeel.

Arnoud

Mijn hoster heeft mijn data kwijtgemaakt, wat nu?

| AE 6086 | Beveiliging | 23 reacties

Een lezer vroeg me: Ik host mijn website en de nodige bedrijfskritische data op een virtuele server beheerd door een Nederlands hostingbedrijf. Gisteren kreeg ik bericht dat de server offline is, omdat de leverancier van die hoster zijn dienstverlening heeft gestaakt (waarom is me onduidelijk). Nu ben ik dus mijn data kwijt! Kan ik mijn… Lees verder