Juridische vraag: Moeten ouders betalen voor bestelling die kind via hun smartphone heeft gedaan?
Ict-jurist Arnoud Engelfriet geeft elke week antwoord op een interessante vraag over beveiliging, recht en privacy. Heb jij een vraag? Stuur hem naar juridischevraag@security.nl.
Vraag: Een zesjarig meisje heeft voor 250 dollar Pokémon-artikelen besteld met haar moeders iPhone, las ik in SFgate. Ze ontgrendelde de telefoon door haar moeders duim te gebruiken terwijl die sliep. Zit je daar dan aan vast als ouder, als je kind zo een bestelling plaatst? En zo ja, toont dat dan niet het falen aan van vingerafdrukken voor authenticatie?
Antwoord: Een kind van zes kan niet rechtsgeldig een overeenkomst sluiten met een winkel natuurlijk. Tenzij je zegt dat het normaal is voor zesjarigen om voor 250 dollar aan speelgoed te kopen (art. 1:234 lid 2 BW). Daar verandert het gebruik van moeders duim -of pincode, of lijst met TAN-codes, of portemonnee- niets aan. De ouders kunnen die transactie onder Nederlands recht dus zonder enig probleem terugdraaien.
Lastig wordt het alleen wel als de winkel zegt “Nee, niet het kind maar u de ouder heeft die bestelling geplaatst, het was immers uw telefoon waarmee de betaling werd geautoriseerd”. Bij dit soort bestellingen zal de bestelinformatie immers op naam van de vader of moeder staan, en inderdaad is er een betaalmiddel van de ouder gebruikt. De bal ligt dan bij de ouder in kwestie om te bewijzen dat het niet haar was maar het kind dat op die knop drukte. En dat lijkt me nog knap ingewikkeld.
In het verleden hebben we deze discussie ook gehad bij gebruik van ouderlijke creditcards, of smartphones waar recent de pincode nog was ingevoerd. Juridisch maakt het weinig verschil dat nu een vingerafdruk is gebruikt. De bewijsproblematiek wordt er volgens mij niet wezenlijk anders van. Hoe toon je aan dat je kind jouw duim pakte, dat is hetzelfde als hoe je aantoont dat je kind jouw creditcard overtypte of jouw telefoon gebruikte binnen de 20 minuten voordat de pincode weer gevraagd wordt.
Verschil in de praktijk is natuurlijk wel dat je bij die andere betaalmiddelen iets kunt doen. Je creditcard kan in een afgesloten tas. Je telefoon kun je handmatig vergrendelen. Je TAN-codes kun je op een hoge plank leggen. Maar wat doe je met je duim als je in slaap valt? Dit schijnt sleepjacking te heten, en volgens mij is het nog best lastig om dat probleem met biometrische authenticatie op te lossen.
Arnoud Engelfriet is Ict-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. Hij schreef twee boeken, De wet op internet en Security: Deskundig en praktisch juridisch advies.
Jups, voordat je het weet neemt iemand, terwijl je slaapt, ongevraagd je duim mee, om deze bij een betaal automaat te gebruiken die vingerafdrukken accepteert..... ;)
Daarom moet je 2 factor authenticatie gebruiken.
Een biometrische authenticatie zou nooit op zich zelf moeten staan vind ik.
Er zou in ieder geval de optie geboden moeten worden.
Vingerafdruk en even een symbool tekenen ofzoiets.
Maar ja dat gaat weer ten koste van het gebruiksgemak.
Pokemon speelgoed valt gewoon onder koop op afstand en kun je gewoon binnen 14 dagen zonder opgaaf van reden terugsturen. Veiligsites staan er vol mee met geretourneerde meuk.
Autheniticatie is een combinatie van gebruikersnaam en wachtwoord. Wie ben je en hoe kun je dat bewijzen? Biometrie is daarin gewoon een zinnige factor met een bepaalde sterkte die vooraf bekend is.
als mijn kind snoep neemt zonder te vragen is dat een week geen snoep. maar een keer hoeven toe te passen.
dit kind kan onder mijn hoede dus een jaar geen digitale items meer aanraken. Nog geen klikaanklikuit.
Wat leer je je kind als je als ouder je geld terugkrijgt? ow, volgende keer kan ik dit weer doen.
Plus dat mijn pinpas als voorbeeld een dagelijkse limiet heeft. ook handig als ik at gunpoint gevraagd word verder te gaan met pinnen. Bestaat zoiets niet op een iPhone?
Je krijgt tenslotte ook je centen niet terug als je koter een 0900 nummer belt...
Pokemon speelgoed valt gewoon onder koop op afstand en kun je gewoon binnen 14 dagen zonder opgaaf van reden terugsturen. Veiligsites staan er vol mee met geretourneerde meuk.
Ik denk dat dit virtueel speelgoed is , en waarschijnlijk niet retourneerbaar (net als opwaardeer minuten , die kun je ook niet ruilen ).
Dus dat stuur je gewoon terug ;)
Lastig wordt het alleen wel als de winkel zegt “Nee, niet het kind maar u de ouder heeft die bestelling geplaatst, het was immers uw telefoon waarmee de betaling werd geautoriseerd”.
Waarom hier het Nederlands recht bij halen, want het gebeurde niet in Nederland. En als je er Nederlands recht bij haalt, doe het dan goed. Nu staat dat tweede stuk nergens op, want naar Nederlands recht kan ook de ouder die het zelf besteld heeft de koop binnen 14 dagen terug draaien.
Ik leg mijn vinger er even op... hee er gebeurt niets.
Wat is er aan de hand?
Ik moet me eerst bij die dienst bekend maken naam toenaam creditcard (identifucatie) met een app op de Smartphone.
Daarbij gaat er een proces door (Autenticatie) of ik wel degene ben die ik beweer te zijn user password credit card check etc.
Het password user en alles wordt op de Smartphone opgeslagen zodat de dienst ten alle tijde beschikbaar Is. Als het even kan vol continu zodat je op elk moment een aankoop kan doen. Jouw Smartphone is je persoonlijke identiteit geworden. Dan geef je dat ding zo aan een ander (het kind) om er spelletjes mee te doen (gedeeld gebruik).
Dat de betaaltransactie welke gestart wordt nog bevestigd moet worden Is geen identificatie/autenticatie maar een aparte validatie... are you sure y/n? Iets beter met pin of vinger maar alleen veilig te krijgen door een accorderen door een andere identiteit.
Met Amazons Alexa echo wordt het nieuws gehaald met onbedoelde aankopen.
Eens kijken:
1/ opgeslagen user passwords, identiteit is fysieke smartphone
2/ sessies welke constant open blijven staan
3/ gedeeld gebruik van dezelfde identiteit door meerdere personen
4/ gevoelige transacties waar geen accordering door meerdere identiteiten is afgedwongen.
Elk van de genoemde punten zou een CSO zijn wenkbrauwen doen fronsen. Dit is echter de consumers markt. Gemak staat voorop al weet je niet echt wiens gemak nu het belangrijkst Is.
Van de spelletjes met SMS aankopen kan ik me herinneren dat de verplichte koppeling spel credit met incasso bij de Telco's tot een verbod heeft geleid. De doelgroep met de verleiding maakte het aannemelijk dat betalingen niet gerechtvaardigd waren. Waar ligt hier de glijdende grens waar je overheen kunt gaan?
Waarom hier het Nederlands recht bij halen, want het gebeurde niet in Nederland.
dat hier dan werken".
Ik zeg eigen schuld dikke bult. Wie laat er trouwens zijn 6 jarig kroost onbeheerd ( slapen en waken zijn toch twee uitersten ).
Maar dat zalwel niet strafbaar zijn !
Ik zeg eigen schuld dikke bult. Wie laat er trouwens zijn 6 jarig kroost onbeheerd ( slapen en waken zijn toch twee uitersten ).
Maar dat zalwel niet strafbaar zijn !
Nalatigheid/schade door schuld is zeker strafbaar. Maar voelden mensen zich maar eens aangesproken op hun wangerdrag voor ze dat door juridisch gebrabbel uitgelegd wordt...in deze situatie ligt een analogie met een cijferslot met combinatie ernaast niet bar ver.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.