Tag: Zakelijk

About Zakelijk

Subscribe Feeds

Als werknemers gaan WhatsAppen met elkaar, is dat dan privé of een datalek?

Geplaatst op in Ondernemingsvrijheid, Privacy, 18 reacties

Een lezer vroeg me:

In ons bedrijf zien we dat veel werknemers elkaar ‘op de app’ hebben, ze hebben op hun (vaak zakelijke, maar soms privé) telefoons WhatsApp geïnstalleerd en voegen elkaar toe. Dat is vaak werkoverleg, afstemmen van afspraken en dergelijke, soms ook privégebabbel. Nu is bij één werknemer het WhatsApp account gekaapt en zo heeft de kaper dus de gegevens (en chats) van die collega’s te pakken gekregen. Is dat een datalek en zijn wij daarvoor verantwoordelijk?
Dit is weer zo’n casus die laat zien waarom analogieën niet goed werken bij internetrecht. Want wat is in vredesnaam de analogie hier?

Eerste dat in me opkomt: collega’s die afspreken in het café wellicht. Daar komen ze elkaar tegen, ze wisselen elkaars nummer uit of noteren dingen op het prikbord van het café zodat ze dat kunnen zien. Dat zouden we een privéaangelegenheid noemen, en pas als er serieuze overlast kwam van die collega’s dan zou de werkgever er wellicht wat van kunnen zeggen.

Nee he, is het ook niet. Want die mix van zakelijke en privé communicatiemiddelen die doet het hem wel hier. En daar is niet echt een analogie voor.

Dus dan draai ik hem om, laten we beginnen bij het probleem. Een ongeautoriseerde derde heeft met een technische truc toegang gekregen tot zakelijke chats en contactgegevens van medewerkers van bedrijf X. Dat die mogelijk op privéapparaten lagen, doet er niet toe. Mijn aktetas is ook privé, diefstal van de inhoud daarvan is toch echt een zakelijke aangelegenheid.

Alleen: wie is verantwoordelijk voor die gegevens? Nou ja, dan zou ik dus zeggen net als bij die aktetas – de werkgever dus. Die staat mij toe dat mee naar huis te nemen in mijn eigen tas. Zijn risico. En natuurlijk dat gaat al 100 jaar goed met aktetassen*, maar dat doet niet af aan het principe.

Die lijn doortrekkend krijg je dus: al die gegevens in die WhatsApp accounts zijn zakelijk en de werkgever is daarvoor verantwoordelijk. Dus datalek en dus meldingsplicht vanuit de werkgever.

Alleen voelt dat ook weer zo raar, het is toch míjn telefoon en mijn contactenlijst met daarin toevallig collega’s Daan, Peter en Lisette. Ja, maar niet helemaal: die gegevens heb je via het werk verkregen om het werk beter uit te voeren. Dus toch zakelijk. Of toch niet, kreeg je die werk-06 om zakelijk met ze te bellen of om onzakelijk te chatten? Als ik een pakje op kantoor laat bezorgen, is dat ook geen zakelijke bestelling maar handig gebruik van iets waar ik bij kan.

Uiteindelijk bekijk ik het dan toch maar als een formele kwestie. En formeel zijn die contactgegevens door de werkgever verstrekt voor het werk. Dat de werknemer daarmee van alles privé mag doen, verandert daar niets aan. Ook niet als dat volkomen normaal is, dat privégebruik. Dus is het lekken daarvan een beveiligingsgebrek dat je de werkgever aanrekent. Idem voor de chats, voor zover daar zakelijke informatie in te vinden is.

Anders is dat bij de privénummers die collega’s elkaar geven. Die – en de privéchats – hebben niets met werk te maken en staan er dus los van.

Arnoud * Ik was vandaag jaar oud toen ik doorhad dat een aktetas een aktetas heet omdat je er aktes in vervoert. 





	


	





	

		
Mag ik de hardcoded sleutel van een app gebruiken voor mijn eigen aanroepen?
			

				Geplaatst op  in  Ondernemingsvrijheid, 36 reacties			

			


	
	

		
Een lezer vroeg me:



    Ik wil gebruik maken van een online tool vanuit mijn eigen software. Helaas is een zakelijke licentie op die tool veel te duur. Nu zat ik in de bijbehorende app voor consumentengebruik te kijken, en die blijkt met een hardcoded key te authenticeren. Ik kan daarmee dus perfect een aanroep simuleren, want het http verkeer is ook nog eens onversleuteld. Is dit toegestaan?



Het is in principe de bedoeling dat je aangeboden tools gebruikt zoals ze je aangereikt worden. Dat staat niet letterlijk in de wet maar volgt volgens mij uit wat juristen de redelijkheid en billijkheid noemen. Maar daar staat tegenover dat het dus niet automatisch strafbaar of onrechtmatig is als je iets anders inzet dan de aangeboden tooling.



In het geval van de vraagsteller kun je die app zien als niet meer dan een schil waarmee een server wordt aangeroepen. Ik zie het onrechtmatige niet in het zelf doen van die aanroep. In dit geval wordt er geen account van een ander gebruikt of een achterdeurtje aangeroepen. Alle apps hebben dezelfde sleutel, dus waartegen die sleutel moet beveiligen is me een raadsel.



Ook vraag je op deze manier geen informatie op waar je geen recht op had. Je had exact deze gegevens gekregen als je via de app de informatie op had gevraagd. Van computervredebreuk – ergens binnengaan waar je weet dat je niet mag zijn – kan ik dus niet spreken hier. Wellicht als je de API gaat manipuleren door extra velden te proberen, of counters gaat veranderen buiten de range die de app zelf gebruikt. Dat zou ik dus afraden.



Een complicatie bij deze vraag is dat de aanbieder zakelijke licenties onderscheidt van consumentengebruik met de app. De werkwijze van deze vraagsteller leidt ertoe dat hij onder een consumentenmantel informatie krijgt die hij zakelijk gaat inzetten. Dat zou je kunnen zien als contractbreuk: er staat vast iets in de app-licentie dat de informatie uitsluitend huishoudelijk of privé gebruikt mag worden.



Daar staat voor mij tegenover dat de vraagsteller ook met de app in de hand de informatie had kunnen verkrijgen en dan zakelijk inzetten. Daar doet die app niets tegen. Ik zie de schade niet voor de aanbieder in dat geval, dus waarom zou het dan wél schadelijk zijn als hij dat met een eigen tool doet?



Arnoud


	


	





	

		
Hoe bewijs ik dat ik als consument iets koop?
			

				Geplaatst op  in  Ondernemingsvrijheid, 35 reacties			

			


	
	

		
Een lezer vroeg me:



Laatst had ik een internetbestelling op het werk laten bezorgen. Toen ik deze wilde retourneren, weigerde de winkel dat omdat de bestelling zakelijk zou zijn! Maar ik heb hem privé betaald en hij was ook niet voor het werk, mogen zij dit dan toch zo zeggen?



Alleen wanneer je als consument een koop op afstand (internetkoop) doet, heb je recht op een retournering binnen zeven werkdagen. Een bedrijf heeft dit niet – tenzij de algemene voorwaarden van de winkel opzettelijk of per ongeluk vermelden van wel. (Of mogelijk via reflexwerking.)



De bewijslast dát sprake is van een consumentenkoop, ligt bij de consument. Hij moet dus aantonen dat het bedrijf niets met de transactie zelf te maken heeft. En dat is toch lastig als de bedrijfsnaam in het bestelproces opduikt. Koop je als consument “op de zaak” dan is formeel sprake van een zakelijke bestelling. Immers het bedrijf is dan de contractspartij, voor zover de winkel kan zien.



Bij een bestelling op eigen naam maar met adressering het bedrijf maak je het dus twijfelachtig wat de bedoeling was, zeker als je bij “Naam klant” de bedrijfsnaam invult en pas ergens bij “opmerkingen” de tekst “ter attentie van Jan de Vries, kamer 3A” invult. Mijn advies is dan ook om, als dat kan, het privéadres op te geven als klantadres/factuuradres, en dan “afwijkend bezorgadres” te kiezen met daar het bedrijf. Dan is het duidelijk dat je privé koopt en het alleen laat bezorgen.



Arnoud


	


	





	

		
Geldt de wet koop op afstand ook bij bestellingen “op de zaak”?
			

				Geplaatst op  in  Ondernemingsvrijheid, 20 reacties			

			


	
	

		
serviesgoed.pngEen lezer vroeg me:



Ik heb een serviesset besteld via internet. Na ontvangst viel deze toch tegen (rare kleur geel in plaats van het gebroken wit dat ik verwachtte), dus ik maakte aanspraak op annulering volgens de Wet Koop op Afstand. Maar de winkel weigert dat nu, omdat ik een zakelijke bestelling zou zijn geweest. Dat klopt niet, ik wilde het servies privé gebruiken. De bestelling was ook op mijn privénaam. Ik had alleen bij facturatie mijn eenmanszaak doorgegeven zodat ik de BTW in mijn bedrijf kon aftrekken. Maar is het daarom al een zakelijke bestelling?



De Wet Koop op Afstand geldt alleen bij consumentenkoop, oftewel een koop tussen een zakelijke verkoper (winkelier) en een consument. Een consument is iemand die per definitie niet handelt vanuit beroep of bedrijf. Iemand die een bestelling plaatst uit naam van een bedrijf, kan zich dus niet beroepen op het consumentenrecht. 



In dit geval lopen zakelijk en privé een beetje door elkaar heen. Daarmee maakt de koper het zichzelf erg lastig. Een bestelling plaatsen vanuit je bedrijf suggereert immers dat het een zakelijke bestelling is, zeker nu het gaat om een zaak (serviesgoed) dat ook prima zakelijk te gebruiken is. Hoe moet de winkelier dan weten dat er alsnog sprake is van een privébestelling?



In het Gruber-arrest (C-464/01, zie ook het artikel van prof. Marco Loos) oordeelde het Europese Hof van Justitie de regel dat



met omstandigheden of elementen waarvan de wederpartij bij de sluiting van de overeenkomst kennis had kunnen hebben moet daarentegen enkel rekening worden gehouden indien de persoon die zich op de hoedanigheid van consument beroept zich aldus heeft gedragen dat bij de wederpartij bij de overeenkomst te goeder trouw de indruk is kunnen ontstaan dat hij voor beroepsdoeleinden handelde. 



Als je als koper dus ervoor zorgt dat de wederpartij mocht denken dat de bestelling zakelijk was, dan kun je geen aanspraak meer maken op de consumentenbescherming. Ook niet als achteraf vast komt te staan dat je wel degelijk puur privé bestelde.



Het Hof meldt daarbij dat zo’n “indruk te goeder trouw” kan ontstaan wanneer je “zonder verdere precisering zaken bestelt die daadwerkelijk voor de uitoefening van zijn beroep kunnen dienen”. Ook als je bij de bestelling zakelijk briefpapier (of een zakelijk e-mailadres, lijkt mij) gebruikt, de goederen op je bedrijfsadres laat bezorgen of de mogelijkheid tot teruggaaf van BTW vermeldt, mag de verkoper denken dat je zakelijk bestelt. Volgens mij is daar in deze vraag duidelijk aan voldaan: een factuur op bedrijfsnaam in verband met BTW-teruggaaf maakt de koop dus zakelijk.



Wellicht dat het anders wordt als je expliciet de verkoper meldt dat je privé koopt maar een factuur wilt voor je bedrijf. Dat is immers een “verdere precisering”. Maar ik blijf dat dubieus vinden: het is óf zakelijk en dan mag je de BTW terugvorderen, óf privé en dan moet je gewoon de BTW betalen.



Arnoud