Als werknemers gaan WhatsAppen met elkaar, is dat dan privé of een datalek?

| AE 12371 | Ondernemingsvrijheid, Privacy | 18 reacties

Een lezer vroeg me:

In ons bedrijf zien we dat veel werknemers elkaar ‘op de app’ hebben, ze hebben op hun (vaak zakelijke, maar soms privé) telefoons WhatsApp geïnstalleerd en voegen elkaar toe. Dat is vaak werkoverleg, afstemmen van afspraken en dergelijke, soms ook privégebabbel. Nu is bij één werknemer het WhatsApp account gekaapt en zo heeft de kaper dus de gegevens (en chats) van die collega’s te pakken gekregen. Is dat een datalek en zijn wij daarvoor verantwoordelijk?
Dit is weer zo’n casus die laat zien waarom analogieën niet goed werken bij internetrecht. Want wat is in vredesnaam de analogie hier?

Eerste dat in me opkomt: collega’s die afspreken in het café wellicht. Daar komen ze elkaar tegen, ze wisselen elkaars nummer uit of noteren dingen op het prikbord van het café zodat ze dat kunnen zien. Dat zouden we een privéaangelegenheid noemen, en pas als er serieuze overlast kwam van die collega’s dan zou de werkgever er wellicht wat van kunnen zeggen.

Nee he, is het ook niet. Want die mix van zakelijke en privé communicatiemiddelen die doet het hem wel hier. En daar is niet echt een analogie voor.

Dus dan draai ik hem om, laten we beginnen bij het probleem. Een ongeautoriseerde derde heeft met een technische truc toegang gekregen tot zakelijke chats en contactgegevens van medewerkers van bedrijf X. Dat die mogelijk op privéapparaten lagen, doet er niet toe. Mijn aktetas is ook privé, diefstal van de inhoud daarvan is toch echt een zakelijke aangelegenheid.

Alleen: wie is verantwoordelijk voor die gegevens? Nou ja, dan zou ik dus zeggen net als bij die aktetas – de werkgever dus. Die staat mij toe dat mee naar huis te nemen in mijn eigen tas. Zijn risico. En natuurlijk dat gaat al 100 jaar goed met aktetassen*, maar dat doet niet af aan het principe.

Die lijn doortrekkend krijg je dus: al die gegevens in die WhatsApp accounts zijn zakelijk en de werkgever is daarvoor verantwoordelijk. Dus datalek en dus meldingsplicht vanuit de werkgever.

Alleen voelt dat ook weer zo raar, het is toch míjn telefoon en mijn contactenlijst met daarin toevallig collega’s Daan, Peter en Lisette. Ja, maar niet helemaal: die gegevens heb je via het werk verkregen om het werk beter uit te voeren. Dus toch zakelijk. Of toch niet, kreeg je die werk-06 om zakelijk met ze te bellen of om onzakelijk te chatten? Als ik een pakje op kantoor laat bezorgen, is dat ook geen zakelijke bestelling maar handig gebruik van iets waar ik bij kan.

Uiteindelijk bekijk ik het dan toch maar als een formele kwestie. En formeel zijn die contactgegevens door de werkgever verstrekt voor het werk. Dat de werknemer daarmee van alles privé mag doen, verandert daar niets aan. Ook niet als dat volkomen normaal is, dat privégebruik. Dus is het lekken daarvan een beveiligingsgebrek dat je de werkgever aanrekent. Idem voor de chats, voor zover daar zakelijke informatie in te vinden is.

Anders is dat bij de privénummers die collega’s elkaar geven. Die – en de privéchats – hebben niets met werk te maken en staan er dus los van.

Arnoud * Ik was vandaag jaar oud toen ik doorhad dat een aktetas een aktetas heet omdat je er aktes in vervoert.

Mag ik de hardcoded sleutel van een app gebruiken voor mijn eigen aanroepen?

| AE 11944 | Ondernemingsvrijheid | 36 reacties

Een lezer vroeg me:

Ik wil gebruik maken van een online tool vanuit mijn eigen software. Helaas is een zakelijke licentie op die tool veel te duur. Nu zat ik in de bijbehorende app voor consumentengebruik te kijken, en die blijkt met een hardcoded key te authenticeren. Ik kan daarmee dus perfect een aanroep simuleren, want het http verkeer is ook nog eens onversleuteld. Is dit toegestaan?

Het is in principe de bedoeling dat je aangeboden tools gebruikt zoals ze je aangereikt worden. Dat staat niet letterlijk in de wet maar volgt volgens mij uit wat juristen de redelijkheid en billijkheid noemen. Maar daar staat tegenover dat het dus niet automatisch strafbaar of onrechtmatig is als je iets anders inzet dan de aangeboden tooling.

In het geval van de vraagsteller kun je die app zien als niet meer dan een schil waarmee een server wordt aangeroepen. Ik zie het onrechtmatige niet in het zelf doen van die aanroep. In dit geval wordt er geen account van een ander gebruikt of een achterdeurtje aangeroepen. Alle apps hebben dezelfde sleutel, dus waartegen die sleutel moet beveiligen is me een raadsel.

Ook vraag je op deze manier geen informatie op waar je geen recht op had. Je had exact deze gegevens gekregen als je via de app de informatie op had gevraagd. Van computervredebreuk – ergens binnengaan waar je weet dat je niet mag zijn – kan ik dus niet spreken hier. Wellicht als je de API gaat manipuleren door extra velden te proberen, of counters gaat veranderen buiten de range die de app zelf gebruikt. Dat zou ik dus afraden.

Een complicatie bij deze vraag is dat de aanbieder zakelijke licenties onderscheidt van consumentengebruik met de app. De werkwijze van deze vraagsteller leidt ertoe dat hij onder een consumentenmantel informatie krijgt die hij zakelijk gaat inzetten. Dat zou je kunnen zien als contractbreuk: er staat vast iets in de app-licentie dat de informatie uitsluitend huishoudelijk of privé gebruikt mag worden.

Daar staat voor mij tegenover dat de vraagsteller ook met de app in de hand de informatie had kunnen verkrijgen en dan zakelijk inzetten. Daar doet die app niets tegen. Ik zie de schade niet voor de aanbieder in dat geval, dus waarom zou het dan wél schadelijk zijn als hij dat met een eigen tool doet?

Arnoud

Hoe bewijs ik dat ik als consument iets koop?

| AE 5456 | Ondernemingsvrijheid | 35 reacties

Een lezer vroeg me:

Laatst had ik een internetbestelling op het werk laten bezorgen. Toen ik deze wilde retourneren, weigerde de winkel dat omdat de bestelling zakelijk zou zijn! Maar ik heb hem privé betaald en hij was ook niet voor het werk, mogen zij dit dan toch zo zeggen?

Alleen wanneer je als consument een koop op afstand (internetkoop) doet, heb je recht op een retournering binnen zeven werkdagen. Een bedrijf heeft dit niet – tenzij de algemene voorwaarden van de winkel opzettelijk of per ongeluk vermelden van wel. (Of mogelijk via reflexwerking.)

De bewijslast dát sprake is van een consumentenkoop, ligt bij de consument. Hij moet dus aantonen dat het bedrijf niets met de transactie zelf te maken heeft. En dat is toch lastig als de bedrijfsnaam in het bestelproces opduikt. Koop je als consument “op de zaak” dan is formeel sprake van een zakelijke bestelling. Immers het bedrijf is dan de contractspartij, voor zover de winkel kan zien.

Bij een bestelling op eigen naam maar met adressering het bedrijf maak je het dus twijfelachtig wat de bedoeling was, zeker als je bij “Naam klant” de bedrijfsnaam invult en pas ergens bij “opmerkingen” de tekst “ter attentie van Jan de Vries, kamer 3A” invult. Mijn advies is dan ook om, als dat kan, het privéadres op te geven als klantadres/factuuradres, en dan “afwijkend bezorgadres” te kiezen met daar het bedrijf. Dan is het duidelijk dat je privé koopt en het alleen laat bezorgen.

Arnoud

Geldt de wet koop op afstand ook bij bestellingen “op de zaak”?

| AE 2214 | Ondernemingsvrijheid | 20 reacties

Een lezer vroeg me: Ik heb een serviesset besteld via internet. Na ontvangst viel deze toch tegen (rare kleur geel in plaats van het gebroken wit dat ik verwachtte), dus ik maakte aanspraak op annulering volgens de Wet Koop op Afstand. Maar de winkel weigert dat nu, omdat ik een zakelijke bestelling zou zijn geweest…. Lees verder