Maandag gaf ik op het Science Park van de Universiteit van Amsterdam een gastcollege over computervredebreuk, vaak losjes hacken genoemd. Geen gemakkelijke opdracht om aan niet-juristen uit te leggen welke computertechnieken legaal zijn en waar het misgaat. Nu is die vertaalslag wel net onze missie. Hierbij een samenvatting:

Computervredebreuk pleeg je wanneer je binnendringt in een computersysteem of netwerk van een ander en je weet dat je er niet hoort te zijn.

Daarbij is het irrelevant of dat systeem of netwerk beveiligd is. Ook binnendringen in een onbeveiligd netwerk is dus strafbaar als je kon weten dat dat je er niet welkom was.

De wet noemt vier vormen van binnendringen:

1. Het doorbreken van een restrictie
   Denk aan privilege escalation of een buffer overflow.
2. Het plegen van een technische ingreep
   Een voorbeeld hiervan is een SQL injectie.
3. Het gebruik van valse signalen of een valse sleutel
   Denk aan IP spoofen, het uitproberen van andermans wachtwoorden en inloggen op het systeem van je oud-werkgever met je oud wachtwoord.
4. Het aannemen van een valse hoedanigheid
   IP spoofen kan ook hieronder vallen, net als social engineering.

Wie een van deze handelingen verricht, pleegt in ieder geval computervredebreuk. Er zijn echter ook andere vormen van binnendringen die in de wet niet werden opgesomd, maar die evengoed strafbaar zijn omdat je bent binnengedrongen in een computersysteem waar je niet hoorde te zijn.

Er bestaan verschillende technieken (software maar ook hardware) die het binnendringen in een computersysteem vergemakkelijken. Het bezit, gebruik en de verkoop van die hulpmiddelen is ook strafbaar als ze ontworpen zijn voor het plegen van computervredebreuk of als ze er bijzonder geschikt voor zijn. Denk aan een Trojaans paard.

Detectiesoftware als Nessus en Metasploit is legaal zolang deze duidelijk werd ontworpen, gepresenteerd en gebruikt wordt als beveiligingshulpmiddel door systeembeheerders en beveiligingsmedewerkers.

Het binnendringen in een computersysteem zonder verder iets te doen, is dus al voldoende om computervredebreuk te plegen en strafbaar te zijn. Ga je vervolgens ook gegevens kopieren, vernietieen, publiek maken of de gevonden persoonsgegevens vastleggen, dan leidt dat tot strafverzwaring en riskeer je een maximumstraf van vier jaar.

Een inbraak in de computersystemen van Activision, waarbij conceptversies van games werden gekopieerd, leverde de dader zes maanden voorwaardelijke gevangenisstraf en een werkstraf van 240 uur op.

Niet doen dus.. Een gewaarschuwde IT student, hacker, systeembeheerder of beveiliger is er twee waard!

NDA’s worden vaak gebruikt in het onderhandeltraject voor een aan- of verkoop. Ook is het gebruikelijk om een concept, technologie of software pas na ondertekening van een NDA te onthullen zodat de wederpartij deze niet vrijelijk kan gebruiken. Vanwege de vaak grote financiële belangen is een goede NDA essentieel. Omdat mensen vaak opzien tegen de kosten, wordt echter toch vaak gewerkt met een ergens op internet gevonden tekst of een oud document uit een heel andere situatie. Dat kan leiden tot vervelende problemen.

De NDA-generator van ICTRecht voorkomt deze problemen. U stelt zelf uw NDA samen op basis van een aantal vragen over doel, scope, duur en andere aspecten van de samenwerking met de andere partij. U kunt kiezen voor een Nederlandstalige of een Engelstalige tekst.

Na betaling (iDeal of Paypal) van 99 euro krijgt u een Word-document waarmee u zelf aan de slag kunt. Ook kunt u ICTRecht vragen om specifiek maatwerk toe te voegen.

Genereer nu uw NDA!

De hitserie kon pas besteld worden op het moment dat de koper akkoord ging met het feit dat zijn persoonsgegevens doorgespeeld werden:

Tevens geef ik toestemming voor het gebruik van mijn e-mailadres en het/de door mij opgegeven telefoonnummer(s) door Partij X en zorgvuldig door Partij X geselecteerde partners om mij per e-mail, post, telefoon en/of SMS te informeren over interessante acties, prijsvragen, producten of diensten.

Ik vroeg mij direct af wie deze zorgvuldig geselecteerde partners waren en klikte op een duidelijk aanwezige link naar de privacyverklaring van Partij X maar ook daar werden geen specifieke partijen genoemd:

Uitsluitend als jij Partij X daarvoor ondubbelzinnige toestemming hebt gegeven, kan Partij X je elektronische gegevens verstrekken aan derden voor het toesturen van informatie en aanbiedingen over hun producten en diensten.

Dat de persoonsgegevens van de kopers aan derden verstrekt worden is duidelijk, kopers geven hier immers zelf toestemming voor door de bestelling te plaatsen. De vraag is echter of deze toestemming voldoende duidelijk is, en dan specifiek voor het versturen van e-mail. Post kun je weigeren met een sticker op je deur en telefoontjes kun je tegengaan door je in te schrijven in het Bel-me-niet Register. In ieder geval is het alleen verwijzen naar een privacy statement niet voldoende is. Zo is vastgelegd in de Code reclame via e-mail 2012.

Duidelijk is het feit dat kopers van de DVD van Partij X e-mails kunnen ontvangen. Onduidelijk is echter wie de ‘zorgvuldig geselecteerde partners’ zijn. Een soortgelijk geval heeft zich eerder voorgedaan. Door de OPTA werd een boete van € 600.000,- opgelegd onder andere omdat de ‘zorgvuldig geselecteerd partners’ niet voldoende duidelijk werden gemaakt:

Het is voor abonnees onduidelijk van wie zij mailings kunnen ontvangen. Het wordt immers niet duidelijk wie deze partners zijn. Dit zou een te brede en onbepaalde machtiging betekenen die volgens de wetsgeschiedenis niet als een geldige toestemming kan worden aangemerkt.

Het weekblad had, volgens de uitspraak van de OPTA, bij de aanbieding duidelijk moeten vermelden van wie de kopers van de DVD berichten konden ontvangen. Dit had het weekblad bijvoorbeeld kunnen doen door de ‘zorgvuldig door Partij X geselecteerde partners’ aanklikbaar te maken en door te laten linken naar een lijst met deze partners. In dat geval was het voor de DVD kopers voldoende duidelijk geweest van wie zij e-mails konden verwachten.

Je kunt van Jan en alleman mailings verwachten, maar je hebt mooi wel een hitserie voor maar € 1,99 in je ‘legale’ DVD collectie!

Een contract komt tot stand doordat de ene partij (meestal de hoster) een aanbod doet dat de andere partij (de klant dan dus) aanvaardt. De wet schrijft niet voor hoe dat moet: je bent dus vrij in hoe je een aanbod doet en hoe de wederpartij daar “ja” op zegt. Maar je mag nadere regels stellen, zoals dat alleen een formele offerte telt als aanbod of dat een acceptatie schriftelijk moet.

In de hostingbranche zijn er grofweg twee manieren populair om een aanbod te doen: een bestelling via een webshopinterface, of een mailtje met een verzoek om een offerte te maken. Soms zie je ook een hybride vorm: via een webshopinterface kun je je wensen op een rijtje zetten, en daarna kun je deze insturen en krijg je een offerte waar je ja of nee op kunt zeggen.

Greenhost
Greenhost vermeldt twee dingen over aanbod en aanvaarding:

1. Alle aanbiedingen of offertes van Greenhost zijn vrijblijvend, tenzij dit door Greenhost schriftelijk of per e-mail anders vermeldt is.
2. Een overeenkomst komt tot stand als een contract of offerte door Greenhost en de opdrachtgever schriftelijk of per e-mail is geaccepteerd.

Het eerste artikel geeft Greenhost de mogelijkheid om een offerte op elk moment in te trekken, zolang de klant nog niet gereageerd heeft. Uitzondering is als er in de offerte een einddatum staat, dan is de offerte geldig tot die einddatum en is tussentijds intrekken niet meer zomaar mogelijk. Dit is ook hoe de wet werkt, dus dat is prima. (De taalfout “vermeldt” natuurlijk niet.)

Verder eist Greenhost dat men schriftelijk of per mail akkoord geeft. Dat mag. Als een klant dus belt of via de chat zegt akkoord te zijn, is daarmee dus nog geen contract gesloten.

Greenhost werkt in de praktijk met een webshop waar je een pakket samenstelt, en niet met offertes die per mail worden aangeleverd. Wie op de knop “bestellen” drukt bij de webshop, heeft formeel gezien nog geen contract met Greenhost. Pas na de bevestigingsmail dat de bestelling binnengekomen is, zit je eraan vast.

In de praktijk is die mail er binnen een minuut, dus bij Greenhost gaat dit goed. Bedrijven die ook zo’n zin hanteren en handmatig bevestigingen gaan sturen, nemen een risico dat de klant tussentijds annuleert. En dat is dan rechtsgeldig.

ZZPstudio

ZZPstudio vermeldt ook in haar voorwaarden dat offertes vrijblijvend zijn, en dus op elk moment mogen worden ingetrokken, tenzij er expliciet een einddatum voor de geldigheid bij staat. Ze laten de klant vrij in hoe deze accepteert. Dat past bij hoe ZZPstudio werkt: geen webshop waar je een pakket in je mandje doet, maar een maatwerkofferte gebaseerd op de specifieke wensen van de klant.

In de voorwaarden staat nog deze clausule, die je wel vaker ziet:

Deze voorwaarden zijn van toepassing op iedere aanbieding, offerte en overeenkomst tussen ZZPstudio en/of ZZPhost en/of ZZPcms en/of ZZPfacts en/of ZZPmailings, hierna te noemen: “Gebruiker”, en een opdrachtgever/klant/cliënt hierna te noemen: “Opdrachtgever”, waarop Gebruiker deze voorwaarden van toepassing heeft verklaard, voor zover van deze voorwaarden niet door partijen uitdrukkelijk en schriftelijk is afgeweken.

Met andere woorden: de algemene voorwaarden verklaren zichzelf van toepassing op alle offertes en de daaruit voortvloeiende overeenkomsten. Maar dat kán helemaal niet. Als je je voorwaarden van toepassing wilt laten zijn, moet je ze in de offerte noemen (en meesturen). Deze zin kan dus beter in de offerte komen te staan, zoals ZZPstudio al keurig doet.

n+1 Internet Solutions

Het bedrijf n+1 Internet Solutions vermeldt in haar voorwaarden eveneens dat offertes vrijblijvend zijn, maar koppelt er wel een einddatum van 14 dagen aan. Dat is verwarrend, want met een einddatum is een offerte wettelijk namelijk niet zomaar te annuleren.

n+1 heeft nog een belangrijke clausule:

Indien blijkt dat de bij de aanvraag of overeenkomst door Opdrachtgever verstrekte gegevens onjuist waren heeft N+1 Internet Solutions / N+1 IP Networks het recht de prijzen hierover aan te passen.

Dit kan in de praktijk van belang zijn, met name als blijkt dat de klant hele andere dingen van plan is met het account dan hij bij de offerte-aanvraag doorgaf. Maar of je in de praktijk wegkomt met “Ik zie dat jullie een gaming-clan zijn dus bij deze verdubbel ik de prijzen”, is natuurlijk nog maar de vraag.

Ook staat er

Indien Opdrachtgever in zijn opdracht bepalingen of voorwaarden opneemt die afwijken van, of niet voorkomen in, deze voorwaarden zijn deze voor N+1 Internet Solutions / N+1 IP Networks alleen bindend indien en voor zover deze door N+1 Internet Solutions / N+1 IP Networks uitdrukkelijk schriftelijk zijn aanvaard.

Dat is op zichzelf een prima clausule, die duidelijkheid schept over hoe er mag worden afgeweken van de voorwaarden. In de praktijk is het aan te bevelen om ook echt zo te werken. Het liefst door expliciet in de offerte te vermelden “Artikel 3.5 blijft buiten toepassing en in artikel 5.1 wordt ’30 dagen’ vervangen door ’45 dagen’.”

Je kunt natuurlijk ook op verzoek van de klant een wijziging in de voorwaarden zelf doorvoeren, maar dat is na twee jaar lastig weer te reconstrueren. Algemene voorwaarden zijn nu net bedoeld om algemeen te zijn, dus je gaat niet per klant daarin kijken wat er ook alweer stond. Zet dus wijzigingen in de offerte of documenteer ze apart.

Groupon is een bekende site waar je stevige aanbiedingen kunt krijgen voor onder meer restaurants. Zo stevig dat aardig wat ondernemers klagen dat het ze geld kóst. Het idee is namelijk dat de Groupon-aanbiedingen mensen laten kennismaken met het bedrijf waarna ze nog een (paar) keer terugkomen voor een gewone deal. Maar in de praktijk blijkt dat tegen te vallen.

In haar reclames verlokt Groupon ondernemers om zich aan te sluiten met de belofte van “waardevolle nieuwe klanten”, inclusief prachtige statistieken die een gevarieerde demografie beloven. Alleen: die statistieken zijn gebaseerd op het Amerikaanse publiek. Logisch, want Groupon is een Amerikaans bedrijf. Maar het is wél misleidend natuurlijk want Nederland is wezenlijk anders dan Amerika als het aankomt op kortingen en aanbiedingen.

De RCC is een orgaan voor zelfregulering en kan dus geen sancties opleggen. De vraag is dan ook welke gevolgen deze uitspraak heeft. Ondernemers die kunnen aantonen dat ze schade hebben geleden door de Groupon-misleiding kunnen deze claimen bij de rechter, en de uitspraak van de RCC weegt daar zwaar bij de beoordeling of daadwerkelijk sprake is van misleiding.

Maar het grote struikelblok zal zijn om te bewijzen dat er sprake is van schade  die aan Groupon te wijten is. Kun je ooit met zekerheid zeggen dat je had mogen verwachten dat een klant terug zou komen? Of dat je van het Groupon-contract had afgezien als je Nederlandse statistieken had gezien?

Zo af en toe is er een moedige consument die toch via de rechter zijn gelijk haalt, zo ook afgelopen dinsdag. Het ging hierbij om een smartphone welke gekocht was bij een online telefoonwinkel. Na twee weken constateerde de klant echter een barst op het scherm, waarop de klant contact op nam met de verkoper. Op basis van de wettelijke regels is de verkoper immers aansprakelijk en kan de klant herstel en/of vervanging eisen van de verkoper, ongeacht welke regels er in allerlei fabrieksgaranties worden gesteld.

De webwinkel verwees de klant door naar hun vaste reparatiebedrijf, iets waar op zich niets mis mee is. Je kunt dat zien als een service, zolang het maar onder de verantwoordelijkheid van de verkoper gebeurt. Het reparatiebedrijf herstelde echter niet kosteloos, zoals wel zou moeten, maar deed een forse prijsopgave. De klant ging niet akkoord en gaf aan dat op basis van de non-conformiteitsregels uit art. 7:17-7:21 Burgerlijk Wetboek de reparatie kosteloos zou moeten zijn. Uiteraard ging de webwinkel hier niet in mee waarop de klant aangaf de telefoon te laten repareren en vervolgens de kosten op de webwinkel te zullen verhalen. (art. 7:21 lid 6 BW) En zo geschiede bij de Rechtbank Arnhem…

Normaal gesproken geldt in het Burgerlijk Recht: Wie stelt, moet bewijzen. De klant stelt in de hier besproken zaak dat de telefoon al stuk was ten tijde van de aankoop (het gebrek ontstond niet door zijn toedoen) en op basis daarvan zou de webwinkel kosteloos moeten repareren. Normaal gesproken zou de klant dit moeten bewijzen, maar in het consumentenrecht geldt de eerste 6 maanden een zogenaamde omgekeerde bewijslast. Als het gebrek (de barst in het scherm) zich binnen zes maanden na levering heeft geopenbaard, dan wordt vermoed dat het gebrek al bestond ten tijde van de koop. De klant hoeft dan niet aan te tonen dat het gebrek al bestond bij de levering, omdat vermoed! wordt dat dit gebrek al aanwezig was, maar de verkoper moet juist aantonen dat het gebrek dus nog niet bestond. (art. 7:18 lid 2 BW)

Deze uitzondering is een vergaande consumentenbescherming, want hoe toont de verkoper aan dat het gebrek nog niet bestond en het dus de schuld is van de klant zelf?, dat is erg lastig. De koper kan de telefoon bijvoorbeeld hebben laten vallen of op een andere manier hebben beschadigd. Hoewel de webwinkel in deze zaak stelt dat er val- en stootschade is (dit stelt het reparatiebedrijf), is hier echter geen bewijs voor en zolang dit bewijs er niet is, wordt de klant in het gelijk gesteld en dat oordeelde de Rechtbank hier ook.

Er was wellicht nog een escape geweest voor de webwinkel en dat is aantonen dat de aard van het gebrek zich verzet tegen het feit dat het gebrek al bij aflevering bestond. Als overduidelijk is dat een gebrek is ontstaan door toedoen van de klant zelf, geldt de bewijslastomkering niet. De Memorie van Toelichting noemt zichtbare valschade als voorbeeld van zo’n gebrek. De vraag is of een barst in het scherm overduidelijk altijd de schuld van de klant is en alleen door toedoen van de klant kan zijn ontstaan of dat dit ook door een fout in het product zelf kan ontstaan? Dat is de afweging die gemaakt moet worden… ik twijfel…

Wanneer het product binnen 6 maanden na aflevering…lees hier verder op het weblog van Twinkle.

De Wet Van Dam heeft veel veranderd voor dienstverleners die werken op abonnementsbasis. De meeste aandacht ging altijd uit  naar het stilzwijgend verlengen van contracten, maar ook over proefabonnementen vermeldt deze wet het nodige.

Op grond van de Wet Van Dam is het verboden om een kennismakingsabonnement om te zetten in een ‘echt’ abonnement. Elke clausule in algemene voorwaarden die zegt dat dit toch gebeurt, is ongeldig. De dienstverlener moet dus zelf actief er achteraan gaan met een aanbod: vond u het wat, en wilt u dan voor een jaar mee verder?

Lang niet alle bedrijven zijn zich hiervan bewust, zo merk ik uit mijn inbox. Menig consument krijgt nog steeds voorwaarden voorgeschoten van het soort “Als u niets doet, wordt het contract omgezet in een jaarcontract en wordt het jaarbedrag van 259 euro via automatische incasso afgeschreven.” Dat kan écht niet meer!

Het is natuurlijk wel mogelijk om een “gewoon” contract voor bepaalde tijd aan te bieden dat stilzwijgend verlengd wordt. Alleen moet die verlenging maximaal met een maand zijn.

Wat is nu een “kennismakingsabonnement”? Daar noemt de wet geen definitie van. Maar het lijkt me dat zodra er iets van “op proef” of “ter kennismaking” of “vier weken uitproberen” bij staat,  je het een kennismakings- of proefabonnement mag noemen en verlenging dus niet is toegestaan.

De top drie meest geraadpleegde informatie:

1. abonnement of contract opzeggen / stilzwijgende verlenging
2. telemarketing en bel-me-niet register
3. garantie en non conformiteit

Top vijf meldingen bij ConsuWijzer:

1. misleidende en agressieve verkoop, m.n. telefonische werving door o.a. loterijen en goede doelen
2. garantie, m.n. elektronicabranche
3. rekeningen en betalen, m.n. telecom- en energiesector
4. beëindigen en ontbinden overeenkomst, vooral sportscholen, uitgeverijen
5. vragen over nieuwe wetgeving, vooral over de nieuwe regels rondom abonnementen

Top vijf meldingen per sector:

1. telecom, (bel-me-niet en rekeningen)
2. energie (idem)
3. elektronica / witgoed en huishoudelijke apparatuur (m.n. garantiekwesties)
4. kansspelen en loterijen (bel-me-niet)
5. detailhandel wonen (garantiekwesties en levertijd)

Het stuk over garantie staat al op de agenda bij de Consumentenautoriteit, de partij achter Consuwijzer. Ik hoop dat ze nu ook actief gaan toezien op de Wet Van Dam!