Internetrecht door Arnoud Engelfriet

Techbedrijven als Uber en Lyft hebben een belangrijke overwinning gehaald in de Amerikaanse staat Californië, meldde Nu.nl vorige week. De zogeheten Proposition 22 werd aangenomen, waardoor ride sharing platforms zoals Uber en Lyft uitgezonderd worden van de eerder aangenomen wet om gig economy-hulpjes als werknemer te behandelen. Dat scheelt de platforms 100 miljoen dollar aan kosten, hoewel ze wel minimumtarieven moeten betalen en een toelage voor ziektekosten te betalen, naar rato van de gewerkte uren.

De status van chauffeurs en bezorgers onder de wet is al een paar jaar onderwerp van forse discussie. Hebben we het over bijklussende parttime ondernemers, of juist over werknemers die met slinkse trucs buiten de beschermde arbeidswetgeving worden gehouden? Natuurlijk begonnen al die platforms als “even een centje bijverdienen” voor mensen die dat wilden, maar als je voor je inkomen zo goed als afhankelijk bent van zo’n platform én die clubs dicteren vrij gedetailleerd hoe je moet werken, dan vindt de wet daar wat van.

In Nederland blijft dit een langlopende discussie, maar in Californië pakten ze het wat voortvarender aan: daar werd gewoon een wet aangenomen die zulke hulpkrachten gewoon als werknemer aanmerkt. Klaar, geen discussie meer. Alleen wel gelijk een berg lobbywerk natuurlijk, wat dus leidde tot initiatiefswetsvoorstel 22 (de nummering is arbitrair geloof ik) waarin Uber en Lyft juist een uitzondering bedongen:

(…) an app-based driver is an independent contractor and not an employee or agent with respect to his or her relationship with a network company if the following conditions are met:

Die voorwaarden komen neer op (1) niet voorschrijven op welke tijden je moet werken, (2) niet verplicht elke klus aannemen, (3) niet uitsluitend voor dit ene bedrijf werken en (4) niet verbieden dat men andersoortig werk er naast heeft. Ik denk dat je met zo’n definitie ook in Nederland een heel eind komt, aangezien ook bij ons een werknemer iemand is die tijden voorgeschreven krijgt en moet doen wat de baas zegt (en gewoonlijk ook niet elders mag werken).

Wel weer een opsteker zijn dus die minimumtarieven, maar ook het feit dat het contract niet mag worden opgezegd behalve vanwege redenen die in het contract staan, waarbij er ook nog een appeals proces moet zijn binnen het bedrijf. Ook mogen fooien niet worden opgeëist door het bedrijf.

Arnoud

Uber test een nieuwe functie die passagiers audio laat opnemen wanneer ze zich niet op hun gemak voelen tijdens een rit. Dat las ik bij Tweakers. De opname wordt verstuurd naar Uber, zodat die de opname als bewijs kan dienen mocht dat nietpluisgevoel in verband staan met een daadwerkelijk onrechtmatig handelen. Creatief idee, al is het nog niet duidelijk hoe breed het zal worden ingezet. Maar het riep meteen bij mensen de vraag op of dat wel mag, zo stiekem de conversatie met de chauffeur opnemen enkel omdat jou het niet bevalt.

Bij het opnemen van gesprekken heb je in de praktijk te maken met zowel de AVG als de strafwet. Eerst maar die laatste. In veel landen (waaronder alle Europese landen en de VS) is het strafbaar om gesprekken van anderen op te nemen of stiekem af te luisteren met apparatuur. Iets ingewikkelder wordt het wanneer je zelf gesprekspartner bent. Dan verschilt het nogal per land of dat mag of niet.

In Nederland is de wet duidelijk: het is alleen strafbaar een gesprek op te nemen als je daar geen deelnemer aan bent – en ook niet opdracht van een deelnemer hebt om dat te doen. Maar in bijvoorbeeld Duitsland is het ook strafbaar om je eigen gesprekken op te nemen, tenzij de wederpartij daarmee instemt. (Wikipedia heeft een lijst per land.) Het is me niet duidelijk hoe ‘papier’ die wetten zijn, het voelt nogal cru dat je een slachtoffer van aanranding in de taxi gaat vervolgen wegens illegaal opnemen en de chauffeur vrijuit laat. Ik heb zoals u leest wel hele grote moeite met dit soort wetten, vanwege de bewijsnood die het vaak geeft en de botsing die je (mede daarom) met de vrijheid van informatiegaring krijgt.

De AVG kan ook een rol spelen, maar die is beperkt. Je eigen gesprekken opnemen is een verwerking van persoonsgegevens – van je gesprekspartner immers. Maar wie dat enkel doet om voor zichzelf dat gesprek vast te leggen (als bewijs dat er iets toegezegd is, dat er een bedreiging langskwam of iets dergelijks) die handelt daarmee voor strikt eigen huishoudelijk gebruik. Daarop is de AVG dan in het geheel niet van toepassing. (Zou je die opname gaan publiceren, dan geldt de AVG wel maar kom je wellicht in de journalistieke exceptie terecht.)

Zou de chauffeur deze functie gebruiken, dan wordt dat anders. Weliswaar kan die ook prima behoefte hebben aan een gespreksopname, want ook chauffeurs worden bedreigd, aangerand, uitgescholden of opgelicht (“geef me korting of ik geef je maar één ster”), maar een chauffeur handelt bedrijfsmatig en zijn verwerkingen van persoonsgegevens vallen dan wél gewoon onder de AVG. Hij zou dus op de taxi een sticker moeten doen dat er opnames in de taxi gemaakt worden, en een reglement hebben wat daarmee gebeurt. Ook als het een zzp’er is.

Voor Uber zelf is me nog niet duidelijk hoe het uitpakt. Als ze de opname alleen bewaren ten behoeve van de passagier, dan stellen ze zich op als verwerker en dan lijkt me er verder weinig mis mee. (Ik moet een examenvraag maken over de verplichtingen van een verwerker voor een niet onder de AVG vallende partij voor mijn opleiding senior privacyjurist.) Maar ik krijg het gevoel van dat tekstje dat Uber zélf gaat beslissen wanneer de opname wordt vrijgegeven en waarvoor, en dat zou maken dat ze zelf de verantwoordelijke worden (mogelijk samen met de passagier). In dat geval valt de opname wél onder de AVG en dan moet de app duidelijk aan de chauffeur maken dat er wordt opgenomen.

Arnoud

Taxibedrijf Uber heeft een boete van 600.000 euro gekregen van de Autoriteit Persoonsgegevens. Dat meldde Tweakers eerder deze week. Uber was te laat met het melden van een datalek, dat de gegevens van 174.000 Nederlandse klanten en chauffeurs betrof. De boete is lager dan je onder de AVG zou verwachten, maar dat komt omdat het datalek onder de oude Nederlandse wet werd uitgedeeld. Verrassend daarbij is dat de hostingpartij van Uber eveneens aangesproken wordt, en wel als zelfstandig verantwoordelijke. Dit terwijl gewoonlijk hosters juist als verwerker worden gezien die de data beheren in opdracht van hun klanten.

Het meest opmerkelijke aspect van het lek vond ik nog dat Uber bewust het lek onder de pet hield: de hackers die het datalek hadden gevonden, kregen een ton in dollars betaald om het maar geheim te houden. Dat is nou net niet de bedoeling onder de meldplicht datalekken, vandaar dat de boete relatief hoog uitviel. Terecht, wat mij betreft. Ook in Engeland vielen boetes, mede om die reden.

Wat mogelijk nog een dingetje wordt, is dat in het boetebesluit hostingbedrijf UTI eveneens wordt aangesproken voor het datalek. Dit omdat zij (mede)verantwoordelijke is voor de verwerkingen rondom de hosting van de gegevens, waarbij de beveiliging niet op orde bleek. En dat is raar, want de standaardopvatting is dat hosters slechts verwerkers zijn. Ze handelen in opdracht en doen wat de klant zegt, niet meer en niet minder.

In dit geval ging UTI echter wel verder dan gewoon klassiek hosten. Zo nam het bedrijf zelf beslissingen over de beveiliging en de wijze van opslag. Maar het belangrijkste nog is dat UTI en Uber gezamenlijk besloten wat er precies moest gebeuren. Dat is geen klassieke klant/leverancier relatie maar klinkt meer als een strategisch partnerschap. En dan is het niet zo gek dat er een vermoeden ontstaat dat je samen beslist voor welke doeleinden (en met welke middelen) je persoonsgegevens online zet.

Wat volgens mij de doorslag gaf, is dat UTI ook naar buiten trad als de aanbieder van de Uber-app (haar naam stond er in de appstore bij) en zelfstandig besloot hoe om te gaan met het datalek. Dan positioneer je jezelf wel heel erg in de rol van de eindbeslisser. Dat er dan een verwerkersovereenkomst is die wat anders zegt, helpt dan verder niet meer.

Hosters die nu denken, ik sla data op en beslis hoe deze te beveiligen dus ik ben verantwoordelijke, zo snel gaat het niet. Het blijft een afweging uit de totaliteit van omstandigheden. Een hoster die generieke software heeft voor beheer van gegevens en met zijn klant duidelijk afspreekt waar die aan toe is, zal weinig te vrezen hebben. Ook als je zelf je beveiligingsbeleid opstelt – zorg er voor dat de klant dit mag reviewen en er formeel al dan niet mee akkoord gaan, en je komt al een heel eind.

Beheer je clouddiensten of SaaS en bepaal je dus ook precies wat de software gaat doen, dan geldt deze les voor alles dat je aan de software toevoegt. Een klantendag voor elke nieuwe feature (of een stemmingsronde met unanimiteit) gaat te ver, maar zorg er wel voor dat de klant weet wat hij gaat krijgen en daar wat van kan vinden.

Arnoud

Uber stopt in alle steden met zijn testen met zelfrijdende auto’s na een dodelijk ongeval, las ik bij Nu.nl. Een zelfrijdende auto van het bedrijf heeft in Arizona een vrouw aangereden, waarna zij overleed. Uit het voorlopige onderzoek bleek dat de aanrijding waarschijnlijk overmacht was vanwege beperkt zicht, maar het is natuurlijk mogelijk dat uiteindelijk… Lees verder

Het bedrijf Uber is een taxidienst met een app, geen bemiddelingsplatform. Dat blijkt uit het arrest van het HvJ van 20 december vorig jaar. De uitspraak volgt op vragen uit 2012 van de Spaanse rechter in een zaak aangespannen door een concurrent. Door deze uitspraak is het duidelijk dat de diensten van Uber als iedere… Lees verder

Een lezer vroeg me: Voor mijn werk (een klein ICT-bedrijf, paar jaar oud) moet ik regelmatig naar klanten. Nu heeft de directie gemeld dat we dit via Uber moeten gaan doen om de kosten te drukken. Iedereen moet nu een account bij dat bedrijf nemen, en de kosten mag je wekelijks declareren. Ik ben het… Lees verder

“We may collect, use, transfer, sell and disclose non-personal information for any purpose.” Zomaar een zin uit zomaar een privacyverklaring? Nou nee, deze stond in de Unroll.me verklaring, een handig bedoelde nieuwsbriefafmeldapp die stiekem van taxibedrijf Uber afkomstig bleek. Uber gebruikte de app om te ontdekken wie er met concurrent Lyft reed, om zo het… Lees verder

Een lezer vroeg me: Ik wil een app maken waarbij je dingen selecteert door er doorheen te swipen, net zoals bij Tinder. Mag ik dan zeggen dat ik “de Tinder voor X” ben? Dat is voor iedereen duidelijk en je hoort het ook de hele tijd in reclame en zo. Maar ik gebruik wel hun… Lees verder

Taxidienst Uber moet een voormalig chauffeur een vergoeding betalen van meer dan vierduizend dollar omdat ze volgens de rechter een medewerkers was, en geen zzp’er. Dat las ik bij NRC. De California Labor Commission, de lokale toezichthouder op de arbeidswetgeving in die staat, is eigenlijk geen rechter maar wel bevoegd om zulke uitspraken te doen…. Lees verder

Niet onbeleefd doen tegen je Uber-chauffeur, las ik bij Slashdot: straks geeft hij je een laag cijfer en dan krijg je nooit meer een illegale taxi, pardon een dienst bij een disruptieve innoveerder. En ja dat is een probleem, las ik in de New York Times, dat het voorbeeld noemt van een meneer met onverwacht… Lees verder