Juridische vraag: is Message of the Day wel rechtsgeldig?
Heb jij een uitdagende vraag over beveiliging, recht en privacy, stel hem aan ICT-jurist Arnoud Engelfriet en maak kans op zijn boek
"Security: Deskundig en praktisch juridisch advies".
Vraag: Bij inloggen op onze server krijgt iedereen een "message of the day" (MOTD) te zien. Daarin moet nu op last van onze bedrijfsjurist een tekst komen te staan dat je persoonlijk aansprakelijk bent voor misbruik, dat privégebruik verboden is en dat men je te allen tijde in de gaten mag houden. Is dat juridisch houdbaar? En hoe ver mag je gaan met zo'n banner of motd?
Antwoord: Of je het nu MOTD, banner, disclaimer, terms of service, EULA of wat dan ook noemt, naar Nederlands recht zijn bepalingen die voor meerdere gebruikers hetzelfde zijn "algemene voorwaarden". Algemene voorwaarden zijn immers per definitie (art. 6:231 BW) voorwaarden die bestemd zijn om in meerdere overeenkomsten op gelijke wijze gebruikt te worden.
Algemene voorwaarden zijn snel bindend; ook als je ze niet gelezen hebt en ook als je geen vinkje hebt geplaatst zit je eraan vast als vóór contractsluiting is gemeld dat ze gelden. Het idee hierachter is dat toch geen hond die voorwaarden leest. Maar daar tegenover staat dat je als wederpartij algemene voorwaarden sneller kunt aanvechten dan voorwaarden die wél specifiek onderhandeld zijn. Zodra algemene voorwaarden 'onredelijk bezwarend' zijn, kun je ze vernietigd krijgen. Een motd of banner of EULA is dus in principe rechtsgeldig.
Een motd of banner wordt echter pas ná het inloggen getoond, en dat is dus hoe dan ook te laat. In de meeste gevallen sluit je het contract met de serverbeheerder immers bij registratie en niet bij inloggen. En zelfs áls je bij elke inlog een nieuw contract sluit dan is het te laat om ná het inloggen pas voorwaarden te stellen.
In de context van werknemers die inloggen ligt het iets anders. Een werknemer sluit natuurlijk geen contract met zijn werkgever elke keer als hij inlogt. Meldingen als deze zijn in dat kader dus geen algemene voorwaarden maar moeten onder het kopje "instructies betreffende de arbeid" (art. 7:660 BW) worden gerekend. De werkgever mag zulke instructies geven, mits ze redelijk zijn, maar hij hoeft ze niet apart in een ICT-reglement of het arbeidscontract vast te leggen. En hij mag ze dus ook na het sluiten van het arbeidscontract stellen. Een werkgever kan dus prima via een motd of banner voorwaarden stellen aan het gebruik van de ICT-faciliteiten.
Natuurlijk mogen die voorwaarden op zich niet ingaan tegen de wet, dus een voorwaarde die zomaar de privacy opzij zet kan niet door de beugel. Hiervoor gelden dezelfde regels als bij ICT-reglementen in het algemeen: de privacy staat voorop, en de werkgever mag daar alleen doorheen als dat noodzakelijk is voor een eigen legitiem belang, er geen andere keuze is die de privacy niet of slechts in beperktere mate schendt én de maatregel proportioneel is gezien het doel. Op een bedrijfskritische server alles loggen lijkt me daar net wel in te passen. Persoonlijke aansprakelijkheid is echt volstrekte onzin, je bent als werknemer eigenlijk nooit persoonlijk aansprakelijk (art. 6:170 BW) voor wat je doet met je werknemerspet op. Maar mogelijk staat dat er alleen om mensen schrik aan te jagen.
Arnoud Engelfriet is ICT-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. Hij schreef twee boeken, De wet op internet en Security: Deskundig en praktisch juridisch advies.
je bent als werknemer eigenlijk nooit persoonlijk aansprakelijk (art. 6:170 BW) voor wat je doet met je werknemerspet op. Maar mogelijk staat dat er alleen om mensen schrik aan te jagen.
Gewetensvraag: zit je inderdaad met je werknemerspet op aan de computer, als je iets met dat ding doet dat het belang van de organisatie schaadt? En daarmee bedoel ik ook het ruim interpreteerbare 'onredelijke kosten veroorzaakt' door bijv bandbreedte op te souperen naar streaming websites?
Ben je in dat kader, zeker na het gemeld krijgen van de do's & dont's niet hoofdelijk aansprakelijk?
ik denk dat een vordering vanwege de kosten nog vriendelijker is dan een ontslagprocedure, domweg omdat je je buiten de bedrijfspolicies gedraagt
This is a private system. <$disclaimer here>
Username:
Enzovoorts. Het lijkt me dat dit wel degelijk bindend kan zijn?
Nou een spannende vraag, wat als je in je banners van je mailserver zet dat elk spambericht wat wordt de aanbieder 250 euro kost? Je hebt het keurig in de banner gezet, maar de kans dat spammers het lezen is nihil, want mail wordt over het algemeen niet met de hand verstuurd maar met mailsoftware. Is het dan nog rechtsgeldig?
Voor OpenSSH kun je in de sshd_config een banner instellen die voor het inloggen wordt vertoond.
Banner /etc/my_pre_login_banner
Wij gebruiken een combinatie van deze pre-login banner en de MOTD. De MOTD wordt hoofdzakelijk gebruikt voor meldingen van huishoudelijke aard (waar 't eigenlijk voor bedoelt is).
This is a private system. <$disclaimer here>
Username:
Enzovoorts. Het lijkt me dat dit wel degelijk bindend kan zijn?
Nou een spannende vraag, wat als je in je banners van je mailserver zet dat elk spambericht wat wordt de aanbieder 250 euro kost? Je hebt het keurig in de banner gezet, maar de kans dat spammers het lezen is nihil, want mail wordt over het algemeen niet met de hand verstuurd maar met mailsoftware. Is het dan nog rechtsgeldig?
Het probleem bij wijziging van deze (algemene) voorwaarden is dat ze pas over enige tijd in de toekomst in kunnen gaan. Stel je voor dat je gegevens online staan en de voorwaarden wijzigen. Als je ze niet wilt accepteren, moet je niet inloggen. Maar als je je gegevens wel terug wilt om naar een andere leverancier te gaan, moet je waarschijnlijk wel inloggen.
Dat is volgens mij wel onredelijk bezwarend.
Peter
@SirDice: dank je!
Het lijkt me ook in dat geval nogal moeilijk houdbaar om iemand te houden aan een tekst die hij/zij mogelijk helemaal niet gezien heeft.
Hierin stond onder meer de zin dat ieder misbruik van een account "gesanctioneerd" zou worden. Is het nu komisch of tragisch dat ze nota bene bij Justitie niet weten dat "gesanctioneerd" de betekenis "goedgekeurd" heeft? (http://taaladvies.net/taal/advies/vraag/726/)
Overigens was er naast de [OK]-knop geen [Cancel]-knop om aan te geven dat je het niet met de gebruiksvoorwaarden eens was.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.