Is wifi op de camping standaard of een aparte dienst?

| AE 10511 | Aansprakelijkheid | 17 reacties

Hoort het aanbieden van wifi op de camping aan gasten bij de dienst van verblijf zelf, of is het een aparte dienst? Met die vraag zag de rechtbank Gelderland zich recent geconfronteerd in een belastingzaak. Ja, dit is relevant voor de belasting omdat er verschillende btw-tarieven gelden voor losse diensten bovenop logies en voor de logies zelf. Het maakt daarbij niet uit of je het apart verkoopt, als het immers eigenlijk bij de dienst inbegrepen zit dan moet hetzelfde btw tarief daarop gelden. TL;DR: wifi is een essentieel en niet van vakantieverblijf los te ziene dienst bij een vakantiepark.

De gedaagde in deze zaak exploiteert een vakantiepark met woningen en plekken voor tenten en stacaravans. Wie toegang tot het internet wilde, moest apart betalen en kreeg vervolgens een wificode. In de praktijk bleek zo’n 70 à 80% van de mensen deze code af te nemen, en de eigenaar deed dan ook aangifte btw tegen het lage tarief voor deze aparte dienst. De Belastingdienst zag dat anders, internet is gewoon deel van de dienst van het verblijven in het park en daarom had er gewoon 21% btw op moeten zitten.Update: Pardon, zoals in de comments gezegd: “De belastingdienst vond het een losse dienst en vond dat het daarom belast moest worden met 21% BTW en niet met 6% BTW die over de verhuur van de huisjes werd geheven.”

Niet verbazingwekkend zijn er stapels jurisprudentie over de vraag wanneer iets een los extraatje is en wanneer deel van het origineel. De stand van zaken is kortweg als volgt:

Er is onder meer sprake van één prestatie indien een of meer elementen moeten worden geacht de hoofdprestatie te vormen, terwijl een of meer andere elementen moeten worden beschouwd als een of meer bijkomende prestaties, die het fiscale lot van de hoofdprestatie delen. Een prestatie moet in het bijzonder als bijkomend bij een hoofdprestatie worden beschouwd, wanneer zij voor de klanten geen doel op zich is, maar een middel om optimaal gebruik te kunnen maken van de hoofdprestatie van de dienstverrichter.

Heel gechargeerd is de vraag dus, hoe belangrijk is internet op de camping. Ik vermoed dat een aantal lezers nu gelijk wil roepen dat “je naar de camping gaat voor je rust” of “je hebt toch een 4g dongel bij je”, maar er blijkt zowaar onderzoek te zijn op dit gebied (van de ANWB) waaruit:

blijkt dat 99% van de kampeerders online gaat en 82% zelfs dagelijks. Drie op de vier ondervraagden vinden internet op de camping net zo vanzelfsprekend als een goed elektriciteitsnet.

En dat gaat dan over mensen in tenten, caravans én huisjes. De rechtbank in deze zaak vindt het daarmee nog zwaarder wegen voor huisjeshuurders, omdat die immers meer luxe verwachten dan tentkampeerders.

Naar het oordeel van de rechtbank moet geconcludeerd worden dat wifi inmiddels zo gewoon en algemeen is geworden, en ook in de jaren 2014 en 2015 al was, dat niet gezegd kan worden dat de wifi voor de klant een doel op zich is, zo min als andere bijkomende diensten als stromend water, elektriciteit en een televisie dat zijn. Aannemelijk is dat het ontbreken van de mogelijkheid van wifi zal leiden tot minder boekingen en dat spiegelbeeldig de aanwezigheid van wifi eraan bijdraagt dat optimaal gebruik kan worden gemaakt van het verblijf in de vakantiewoning.

Vanuit die conclusie is het dan ook onvermijdelijk dat de kosten voor wifi onder hetzelfde tarief vallen als het vakantieverblijf zelf. Belastingtechnisch is wifi op vakantie dus essentieel. U mag nu gaan mopperen dat in uw tijd je al blij mocht zijn met stromend water en/of een gat in de grond als wc.

Arnoud

Kan ik wat claimen bij een telefoon met WPA2-kwetsbaarheid?

| AE 9752 | Aansprakelijkheid, Beveiliging | 23 reacties

Een lezer vroeg me: Recent werd de Krack-aanval gepubliceerd.

Deze is met name zeer schadelijk voor tablets en smartphones die Android 6.0 draaien, wat 32% van alle Android apparaten zijn. Als ik nu zo’n apparaat heb, kan ik dan wat claimen bij de verkoper?

De recente attack van Mathy Vanhoef van de KU Leuven en Frank Piessens van imec-DistriNet maakt het mogelijk om de WPA2-beveiliging van wifi-netwerken aan te vallen. Kort gezegd wordt een key reinstallation attack uitgevoerd, waarbij een aanvaller het slachtoffer dezelfde encryptiesleutel laat gebruiken met nonce-waarden die al in het verleden zijn gebruikt.

De aanval gaf veel ophef door het breed gebruik van WPA2, maar met name bij Android 6 is het een probleem: daar kan een aanvaller de client een voorspelbare “all-zero” encryptiesleutel laten gebruiken, waardoor al het verkeer voor de aanvaller eigenlijk onversleuteld is. Heb je dus een telefoon of ander apparaat met Android 6, dan heb je nu een serieus probleem.

Helaas is er nog steeds geen duidelijke wetgeving over de vraag of een apparaat securitytechnisch goed in orde moet zijn. Er zijn wel regels over productveiligheid, maar dat gaat in principe over fysieke veiligheid zoals ontploffingen en giftige stoffen.

De wet is formeel breder: een produkt is gebrekkig, indien het niet de veiligheid biedt die men daarvan mag verwachten, zo staat in art. 6:186 BW. Uiteraard in alle redelijkheid en met de presentatie en te verwachten gebruik van het product in het achterhoofd, plus kijkend naar de stand der techniek van toen het product uitkwam. Is een product dan toch fysiek onveilig, dan is de producent aansprakelijk – en dat is naast de feitelijk producent ook de Europese importeur. Je zou dat in theorie ook kunnen toepassen op ICT-veiligheid, maar het is nog nooit geprobeerd.

Daarnaast is er nog de algemene regel van conformiteit: een product moet aan de redelijkerwijs gewekte verwachtingen voldoen, en zo niet dan moet de winkelier dat gratis oplossen of een vervangend apparaat verzorgen. Je moet dan verdedigen dat een onveilige WPA2-implementatie die verwachtingen schendt. Ik zie dat wel een heel eind: WPA2 werd altijd als de veiligste optie geadverteerd in de media, dus zou je als consument mogen verwachten dat je toestel veilig is als je dat gebruikt.

Dat de aanval zeer geavanceerd is en onverwacht voor iedereen, is daarbij niet relevant. Het risico dat zoiets gebeurt, ligt bij de winkel die het product verkoopt. (En die kan het verhalen op die importeur of fabrikant.)

Het enige tegenargument dat ik kan bedenken is dat je moet weten dat ieder ICT-product tot op zekere hoge onbetrouwbaar is, omdat aanvallen in de toekomst niet uit te sluiten zijn. Dan is het dus niet redelijk om te verwachten dat je apparaat onhackbaar/onkwetsbaar is. Maar ik vind dat argument specifiek bij deze aanval niet opgaan, juist omdat WPA2 als veilig werd geadverteerd.

Amazon-patent moet prijsvergelijken via wifi van winkel tegenhouden

| AE 9493 | Octrooien | 10 reacties

Amazon heeft onlangs goedkeuring ontvangen voor een patent, waarin een methode is beschreven om het vergelijken van prijzen via de wifi-verbinding van fysieke winkels tegen te gaan. Dat meldde Tweakers vorige week. Doel van die methode is te zorgen dat je niet snel online bestelt wat je zojuist in de winkel hebt gezien. Maar het patent noemt ook de optie van een tegenbod door de winkel, wat commercieel iets slimmer lijkt. Denk je dat ze na de ophef over 1-click patenteren iets geleerd hebben, tsja.

Uiteraard wil het weinig zeggen dat een bedrijf ergens patent op krijgt. Dat betekent alleen maar dat de patentverlenende instantie geen bezwaren zag, met name niet ten aanzien van nieuwheid (bestond dit al), inventiviteit (is het meer dan een triviale variatie) en technisch karakter (is dit significant meer dan een wiskundig of economisch principe). Het is zeer zeker geen voornemen of teken dat een bedrijf dit wil doen – en ook geen erkenning dat het iets bijzonders is, wat sommige uitvinders nog wel eens lijken te denken.

Het ligt echter wel in de lijn van Amazons nieuwste tak van sport: het fysiek laten winkelen van mensen, gekoppeld aan een online afrekenproces. Je hoeft zo niet meer langs een kassa, alles gaat via je telefoon behalve het dingen in je mandje leggen. En dit is ook waarom “huh, dan gebruik je toch gewoon je 4g verbinding” niet werkt: het afrekenproces vereist dat je via het lokale wifi-netwerk verbonden bent met Amazon. Daarmee hebben ze je.

Het octrooi is alleen in de VS verleend, dus in Europa hoeven we hier niet voor te vrezen. Het verbaast me sowieso al dat het in de VS is toegekend – mij lijkt dit een vrij duidelijk voorbeeld van een sinds Alice niet meer octrooieerbaar softwarepatent. Uit het verleningsdossier haal ik dat het argument hem erin zat dat een browser wordt bestuurd, en dat dat meer zo zijn dan enkel het idee “ze mogen de prijzen niet zien”. Meh.

Bij Tweakers las ik nog de vraag hoe zich dit zou verhouden tot netneutraliteit. Het is nogal een forse ingreep en direct gericht op commercieel voordeel van de aanbieder. Maar onder de Europese Netneutraliteitsverordening gelden die regels alleen voor aanbieders van openbare internettoegang, en daar vallen winkels met wifi niet onder.

Arnoud

Huh, in alle grote steden word je via je telefoon gevolgd?!

| AE 8725 | Innovatie, Privacy | 53 reacties

Mensen die in grote steden winkelen, worden gevolgd via het wifi- en bluetoothsignaal van hun telefoon. Dat las ik bij RTL Z. Het bedrijf Citytraffic werkt samen met dertig gemeenten, waaronder Amsterdam, Rotterdam en Den Haag, en verzamelt gegevens van winkelend publiek in de stadscentra. Die gegevens worden gehasht en dan zou het geen overtreding… Lees verder

Mag je gratis betaald internetten met een covert channel?

| AE 8598 | Beveiliging, Hacken | 15 reacties

Een lezer vroeg me: Als ik in een hotel wil internetten, moet ik betalen. Maar met tools zoals Iodine of PingTunnel kun je via een oneigenlijke weg alsnog gratis internet op. Is dat computervredebreuk? Van computervredebreuk is sprake als je binnendringt in een computer. Het is strikt gesproken niet nodig dat je een beveiliging omzeilt,… Lees verder

Marriott wil hotspots van gasten in vergaderruimtes blokkeren

| AE 7282 | Netneutraliteit | 12 reacties

De Marriott-keten van hotels is niet van plan eigen wifi-netwerken van gasten te blokkeren, maar “vanwege de veiligheid(!!1!)” wil men wel hotspots van gasten in vergaderruimtes blokkeren. Dat verklaart de keten tegenover de Amerikaanse toezichthouder FCC naar aanleiding van een onderzoek naar haar blokkeerpraktijken een half jaartje terug. Uiteraard heeft die spin op het blokkeerplan… Lees verder

Amerikaans hotel krijgt boete voor blokkeren wifi-hotspots

| AE 7034 | Beveiliging, Netneutraliteit | 14 reacties

Het Marriott Hotel in Nashville heeft een schikking van 600.000 dollar getroffen met de Amerikaanse telecomwaakhond FCC voor het verstoren van de persoonlijke wifi-hotspots van klanten, meldde Nu.nl onlangs. Met deze truc wilde men voorkomen dat huurders van conferentiezalen eigen tijdelijke netwerken zouden aanleggen tegen lagere prijzen dan het hotelnetwerk. Maar de verstoring trof ook… Lees verder

Mag UPC mijn internetverbinding delen via WifiSpots?

| AE 6480 | Innovatie | 65 reacties

Als internetklant van UPC beschikt u over WifiSpots van UPC, juichte de nieuwsbrief van mijn internetprovider onlangs. WifiSpots is UPC’s naam voor een nieuwe dienst waarbij je overal in Nederland gratis draadloos internet krijgt als je in de buurt bent van een andere UPC-modem. Die staan sinds kort standaard de internetverbinding te delen. Weliswaar op… Lees verder