Moet je weten waar een kortingscode voor bedoeld is?

| AE 7521 | Ondernemingsvrijheid | 22 reacties

alternate-tweakersEen lezer wees me op deze discussie bij Tweakers over een recente kortingsactie van Alternate. Het bedrijf had kortingscodes uitgegeven om de verkoop van drie laptops onder Tweakers-gebruikers te promoten. Maar slimme Tweakers ontdekten al snel dat de code ook werkte bij andere bestellingen. Toen Alternate dat doorkreeg, annuleerde men alle ‘onterechte’ bestellingen direct. Maar mag dat wel?

De promotie van de code verwees duidelijk naar drie specifieke producten. Echter, codes als deze gaan snel rondzingen en informatie over waar ze voor bedoeld zijn, verdwijnt dan ook al snel. En ja, als je dan gewoon iets bestelt “want er was een actie bij Alternate” en de code werkt, dan ga je denken dat je terecht die korting hebt gekregen. Maar hoe eerlijk is dat?

In december hadden we een vergelijbkare discussie over de kortingscode van Teufel, waarbij ook een stukje informatie over waar de korting voor was, was verdwenen. Toen was mijn conclusie: hoe reëel was de kortingscode en waarom mocht je erop vertrouwen dat die code correct en legaal gepubliceerd was?

Misschien was ik daar iets te klassiek-juridisch. Moeten we niet eens af van dat Otto-arrest met z’n vage “redelijkerwijs op vertrouwen” en gewoon zeggen, het is een kwestie van even goed opletten en programmeren? Domheid is niet te disclaimen? Of accepteren we toch nog steeds dat mensen fouten maken en domme ICT-ontwerpbeslissingen maken, wat ze dan oplossen met een geel briefje of disclaimer?

Vroeger kon je volle flessen inleveren bij de statiegeldautomaat, en dan kreeg je toch het statiegeld. Dus dat was makkelijk als het schap met flessen naast de automaat stond. Is dat een “dikke bult” of iets dat je gewoon niet moet doen? En waarom voelt dat veel meer als diefstal dan een kortingscode in een online winkel?

Arnoud

Mag een forum IP-adressen van een klager matchen tegen zijn gebruikers?

| AE 7117 | Security | 11 reacties

blog-ip-adres.pngVia een lezer (dank) vond ik een interessante discussie bij Tweakers: een bedrijf werd besproken op het forum van de techsite, waarna het bedrijf bij het beheer ging klagen dat er hackpogingen werden ondernomen vanuit Tweakers. Waarop het beheer van Tweakers meldde dat personen die zoiets zouden doen, een ban zouden krijgen. Herrie in de tent natuurlijk, onder meer over de vraag of T.net wel mocht kijken naar IP-adressen die door dat bedrijf waren aangeleverd. En waar stond dat dan in de wet?

De pest met internetrecht is dat er bar weinig concrete aanknopingspunten zijn om een onderbouwde uitspraak te kunnen doen. Zo zijn er eigenlijk geen fatsoenlijke rechtsbronnen die over persoonsgegevens in ICT-security gaan, laat staan zo specifiek als wat hier aan de hand is. Je kunt als jurist weinig meer doen dan speculeren, pardon je deskundige mening geven. Dus nou ja, dat doen we dan maar.

Het bedrijf leverde IP-adressen aan van vermeende kwaadwillenden, en Tweakers bekeek of die IP-adressen op dat moment ook in gebruik waren bij ingelogde gebruikers. Dat is een verwerking van persoonsgegevens, omdat het hier immers gaat om IP-adressen van personen (of proxy’s maar dat terzijde).

De Wbp noemt 6 gronden voor verwerking van persoonsgegevens, waarvan normaal de toestemming en de eigen dringende noodzaak de twee meest relevante gronden zijn. (Een derde is de noodzaak in verband met nakoming overeenkomst, bv. een adres geven aan de post omdat je een bestelling wilt versturen.)

Van een eigen dringende noodzaak is sprake als je een eigen belang hebt dat zwaarder weegt dan de privacy, en waarbij de maatregel die je neemt echt absoluut nodig is om dat belang te dienen. Het kan niet een onsje minder en er is geen alternatief. In principe moet je hierbij een opt-out bieden als dat enigszins te doen is.

Op je site IP-adressen loggen om hackpogingen te signaleren, is wat mij betreft een evident voorbeeld. Het kicken of bannen van je gebruikers wegens overtreding van de gebruiksvoorwaarden lijkt me er ook onder vallen, en wellicht is dat wel te rechtvaardigen als gebruik ten behoeve van nakoming overeenkomst. Het bewijzen van wanprestatie vind ik daar wel onder passen.

(Overigens – maar dit is offtopic denk ik – vind ik niet dat “ik heb geen zin meer in je, ga van mijn server” rechtsgeldig is. T.net heeft een overeenkomst met zijn gebruikers en die mag niet zomaar per direct en zonder grond worden opgezegd.)

Specifiek hier zit het punt dat partij A een persoonsgegeven* verstrekt aan B, waarna B daarmee aan de slag gaat. A heeft een noodzaak (loggen/decteren intruders) en B ook (schorsen van wanpresterende gebruikers) maar mag je die noodzaken combineren?

Ik ben geneigd te zeggen van wel. Als T.net een noodzaak heeft om in te grijpen bij hackpogingen waarbij T.net een wezenlijke schakel was, dan mag ze daarbij ook extern aangedragen bewijs hanteren. Het zou wat gek zijn dat T.net zelf bewijs moet vergaren als een derde klaagt “er hackt iemand vanaf jullie site”. Meer algemeen wil het er bij mij niet in dat een op zich legitieme wet een blokkade zou opleveren voor op zich legitiem gedrag. Wat zou het alternatief zijn, dat T.net zijn gebruikers vraagt “jongens mag ik van jullie nagaan wie er crimineel bezig is ja/nee”?

Arnoud