Op 1 september worden de online-diensten van vijftien Ubisoft-games ontoegankelijk, zo werd onlangs bekend. Het is niet de eerste keer dat zoiets gebeurt, en het zal ook niet de laatste keer zijn. Door de transitie naar de cloud en meer algemeen naar digitale dienstverlening hebben we onszelf als maatschappij aardig in een hoekje geprogrammeerd. Een hoekje waar juridisch weinig over geregeld is.
Arnoud Engelfriet
Mr. ir. Arnoud Engelfriet is ict-jurist, gespecialiseerd in internetrecht. Hij is algemeen directeur bij juridisch adviesbureau ICTRecht en al jaren actief op Tweakers.
It’s just someone else’s computer
De cloud staat als zodanig niet in het wetboek. Ook software as a service is juridisch geen apart geregelde constructie. Dat is op zich niet erg; er zijn namelijk algemene regels over dienstverlening, en dat is wat de cloud of SaaS eigenlijk is. Een bekend gezegde luidt: ‘There is no cloud, it’s just someone else’s computer’. Wat er feitelijk gebeurt, is dat je ergens ruimte of opslag- dan wel rekencapaciteit krijgt. Dat noemen we in juridische zin gewoon dienstverlening, net zoals je de catering van je bedrijf kunt uitbesteden of een schoonmaakster je huis laat schoonmaken.
Wat zegt de wet over diensten? Het belangrijkste is dat een dienstverlener een zorgplicht heeft: hij moet de ‘zorg van een goed opdrachtnemer’ in acht nemen. Wat dat precies inhoudt, is in het algemeen moeilijk te zeggen. Deze zorgplicht is bedoeld als open norm om bij concrete problemen te kunnen toetsen of de dienstverlener netjes heeft gehandeld, of juist niet. Heel algemeen kun je wel zeggen dat een dienstverlener in ieder geval moet doen wat in de branche gebruikelijk is. Als iedereen bijvoorbeeld dagelijks back-ups maakt, kan het in strijd met je zorgplicht zijn om dat niet te doen, tenzij je vooraf héél duidelijk zegt dat je het niet doet.
Een andere belangrijke regel is dat de dienstverlener niet zomaar zijn dienst mag opzeggen. Hij moet er gewichtige redenen voor hebben of het moet gaan om een contract voor onbepaalde tijd, en in dat laatste geval moet hij een voldoende lange opzegtermijn aanbieden voor de klant, zodat die de kans heeft om over te stappen. Dit is echter ‘regelend recht’, zoals het juridisch heet. Dat betekent dat je ervan mag afwijken in je contract. Vrijwel iedere clouddienstverlener doet dat, bijvoorbeeld door te zeggen dat hij iedere maand het contract zonder opgaaf van reden mag opzeggen. Als zakelijke klant zit je daaraan vast, ook als je een jaarcontract had afgesloten. Bij consumenten ligt dit iets ingewikkelder; daarover lees je verderop in dit artikel meer.
Beschikbaarheid van de cloud
Clouddiensten verschillen dus wezenlijk van klassieke software. De software staat op iemand anders’ computer en je moet er via internet bij. Dat vereist een goede beschikbaarheid van de dienst. Klassieke software staat op je eigen computer en is altijd beschikbaar. Natuurlijk is beschikbaarheid via internet niet gegarandeerd; overal kunnen storingen optreden. In ieder geval mag je van een clouddienst verwachten dat hij het doet wanneer jij verbinding weet te leggen met die computer van die iemand anders.
We doen ons best, maar als de dienst het desondanks niet doet, heb je pech
De meeste clouddiensten geven geen garanties hierover. Juridisch gezien zeggen ze niet meer dan een inspanningsverplichting toe: wij doen ons best, maar als de dienst het desondanks niet doet, heb je pech. Dat mag, bij dienstverlening. Doet de dienst het niet, dan moet jij als afnemer aantonen dat de clouddienstverlener niet zijn best heeft gedaan om hem wél te laten werken. Dat is in de praktijk vrijwel onmogelijk.
Wil je meer, dan kom je al snel bij een fors hoger tarief terecht. Met een zogeheten service level agreement (sla) leggen ict-dienstverleners harde afspraken vast over beschikbaarheid, snelheid en de tijd die het herstel van fouten mag kosten, maar daar betaal je als klant natuurlijk wel voor. Voor particulieren is dit dan ook meestal niet interessant. Voor bedrijven soms wel, afhankelijk van hoe bedrijfskritisch de dienst is. Je wilt als bedrijf niet dat je e-mail of klantenadministratie een hele dag niet beschikbaar is, maar dat je als particulier een middag geen nieuwe blogs kunt plaatsen, is misschien wat minder erg.
Eigendom van data
Wie data opslaat bij een online back-updienst of gebruikmaakt van een SaaS-dienst voor bijvoorbeeld de boekhouding of klantenadministratie, zal al snel geneigd zijn te spreken van ‘zijn’ data. Dat is op zich logisch; deze informatie is essentieel voor die betreffende persoon, en als hij hem fysiek ergens had opgeslagen, waren die mappen of papieren ook gewoon zijn eigendom. In de cloud is dat echter wezenlijk anders. Data is niets, juridisch gezien. Je kunt dus niet spreken van eigendom van data, en er is ook geen wettelijke manier om data op te eisen van een dienstverlener.
Dat data niets is, beschouw ik als het grootste juridische probleem binnen het internetrecht. We denken namelijk allemaal dat het anders ligt, omdat SaaS-diensten nu eenmaal zo duidelijk aansluiten bij de klassieke manier van werken. We kunnen altijd bij de data op onze laptops, die is in het gewone spraakgebruik dus ‘van ons’. En die data is essentieel, of het nu bedrijfskritische gegevens zijn of onvervangbare foto’s van je opgroeiende kinderen. Die data moet dus ook van ons zijn. Maar als je hem in de cloud opslaat, heb je er in juridische zin geen zeggenschap meer over.
Bij verlies van data heb je juridisch gezien gewoon dikke pech. Die data is weg en een claim wegensBij verlies van data heb je juridisch gezien gewoon dikke pech
wanprestatie is buitengewoon ingewikkeld. Toon om te beginnen maar eens aan dat de clouddienstverlener zijn best niet heeft gedaan. Daarnaast kan de vraag worden gesteld waarom jij geen back-up van die data had, als hij zo belangrijk voor je is. Het aansprakelijkheidsrecht kent het concept van ‘eigen schuld’ (art. 6:101 BW), waardoor een schadevergoeding kan worden verlaagd. Met dat argument kreeg een consument in 2013 het deksel op de neus toen hij zijn Powerbook had laten repareren en de harde schijf daarna sneuvelde. Hij moest de helft van de schade zelf dragen.
Als de leverancier duidelijk een fout maakt, komt dat anders te liggen. In een vonnis uit 2014 moest KPN verloren clouddata vergoeden. “Hier ging duidelijk iets mis aan onze kant”, had KPN gezegd, maar vervolgens wees het bedrijf de claim tot schadevergoeding af met een beroep op de algemene voorwaarden, waarin inderdaad keurig stond dat men nooit aansprakelijk was voor dataverlies. Let wel, het ging hier om een online back-updienst. Gelukkig prikte de rechter daar doorheen; als data bewaren je dienst is, is verlies van data iets dat gewoon niet mag gebeuren. KPN moest dus betalen voor de uren die nodig waren om al die data opnieuw te produceren.
Het voorgaande laat zien wat de grote beperking is bij schadeclaims wegens dataverlies: je kunt in principe alleen tijd of geld vorderen. Als het gaat om het opnieuw intypen van een heleboel bonnetjes bijvoorbeeld, gaat dat nog wel goed. Het reconstrueren van klantgegevens via mails, adresboeken in telefoons en andere bronnen wil ook nog wel. Maar die onvervangbare foto’s van je kinderen, of meetresultaten van natuurfenomenen die inmiddels zijn verdwenen?
Een oud spreekwoord luidt: beter voorkomen dan genezen. In juridische termen: beter back-uppen dan aansprakelijk stellen. Een back-up maken van clouddata lost het hele probleem van dataverlies op, mits je de back-up netjes ergens bewaart.
Einde van de dienstverlening
Dienstverleners kunnen opzeggen. Dat is niet erg bij een schoonmaker en ook bij een cateraar die ermee wil stoppen, is dat nog te overzien. Bij clouddiensten kan dit echter erg zuur uitpakken. Als die dienstverlener besluit ermee te stoppen, verlies je als klant een stukje functionaliteit waar je op bent gaan rekenen. Je moet dan op stel en sprong overstappen naar een andere dienst. De vraag is of die vergelijkbaar is in functionaliteit en de dienst tegen dezelfde prijs geleverd wordt. Je moet vervolgens maar afwachten of je al je data wel gedownload krijgt bij de oude dienst, en geüpload bij de nieuwe.
Juridisch is er geen onderscheid tussen een clouddienst en andere periodieke of structurele dienstverlening, zoals de postbezorging of de bezorging van de wekelijkse boodschappen. Praktisch gezien heeft een clouddienstverlener echter een veel belangrijker positie, met name omdat de data van de klant bij hem staat en deze alleen met zijn software kan worden bediend. Dat is het hele doel van clouddienstverlening, maar het introduceert wel een valkuil: wat als de dienstverlener er - al dan niet vrijwillig - mee ophoudt? Dit probleem staat bekend als het continuïteitsvraagstuk bij clouddiensten.
Geen escrow, maar continuïteit
De klassieke oplossing voor het probleem van een failliete softwareleverancier was de escrow. Hierbij wordt de broncode van de software in bewaring gegeven bij een derde, met de instructie hem vrij te geven bij gebeurtenissen als faillissement of het staken van de dienst. Zo kan de klant verder met de broncode, als hij dat wil. Dit klinkt erg aantrekkelijk, maar kent behoorlijk wat praktische haken en ogen. De software zal immers regelmatig moeten worden bijgewerkt, en die derde moet verifiëren dat de laatste versie er is, in volledige vorm. Dat kan een dure grap worden. Wie software tien jaar lang in escrow onderhoudt, heeft daarbij waarschijnlijk meer uitgegeven dan de projectprijs voor het volledig opnieuw opbouwen van die software.
Voor clouddiensten werkt escrow echter sowieso eigenlijk niet. Een clouddienst omvat immers meer dan alleen software. De dienst draait in een online omgeving, is gekoppeld met databanken en externe diensten en is via een bepaalde domeinnaam toegankelijk. De broncode van de software achter die dienst is niet genoeg om dat allemaal te reproduceren. Je hebt al die andere informatie ook nodig, je moet een server op internet aansluiten en de domeinnaam overzetten. Zonder speciale kennis - die eigenlijk alleen de clouddienstverlener heeft - is het vrijwel niet te doen dat allemaal te reproduceren.
Een clouddienst moet het dus anders aanpakken. Helaas biedt de wet daar geen expliciete mogelijkheden voor. De dienstverlener moet dus zelf afspraken maken en zaken zo inrichten dat een faillissement of vergelijkbare malheur niet automatisch het einde van de dienst betekent. Zo zou men de klantdata bij een externe stichting kunnen onderbrengen die als doel heeft om bij faillissement een kopie van de data aan de klanten te verschaffen. Deze stichting zou wellicht ook een akkoord met de hostingpartij achter de clouddienstverlener kunnen treffen: wij betalen de rekening nog een paar maanden, laat de servers alstublieft nog even aanstaan. Wat de beste oplossing is, is nu nog lastig te zeggen.
In ieder geval gaat het recht je niet helpen. in het Nebula-arrest van 2006 bepaalde de Hoge Raad dat langetermijncontracten bij faillissement eenzijdig door de curator mogen worden opgezegd. Dit omdat de wederpartijen anders bij het faillissement in een betere positie zouden komen dan die ze volgens de wet zouden moeten hebben. Praktisch gezien betekende dit dat de curator bij een failliete clouddienst de stekker eruit mag trekken, en wel direct. In het Berzona-arrest werd dit licht beperkt: een curator hoeft niet in beweging te komen als het contract dat vereist, maar mag niet actief dingen doen die in strijd zijn met een contract. Hij mag dus weigeren data af te geven, maar niet zomaar een account op slot zetten. Als hij dat toch doet, ben je desondanks alsnog de pineut. Tegen de tijd dat je dit uitgevochten hebt met de curator en de boel weer online staat - als de boedel althans nog niet verkocht is - is je bedrijf failliet.
Continuïteit bij de klant
Het omgekeerde kan ook voorkomen: niet de clouddienstverlener, maar zijn klant wordt getroffen door bedrijfsstremmingen of faillissement. De dienstverlener staat dan in zijn recht om de dienstverlening op te schorten; zijn facturen worden immers niet betaald. Dat raakt dat bedrijf echter wel meteen héél erg zwaar – de clouddienst is niet meer beschikbaar. Pijnlijk bij een online back-up, dodelijk bij een kalender- of e-maildienst.
Hosting- en cloudbedrijven hebben door de aard van hun dienst een ontzettend sterke machtspositie naar hun klanten toe. Zonder de medewerking van hostingbedrijven is soms per direct geen enkele bedrijfsactiviteit meer mogelijk, zoals de rechtbank Rotterdam het in 2015 formuleerde. Dit is op zich niet nieuw: ook de nutsbedrijven die elektriciteit, water en dergelijke leveren, hebben zo’n machtspositie. Voor die partijen is echter wettelijk geregeld wanneer zij tot afsluiting mogen overgaan.
Bij internetdienstverleners bestaat er geen enkele bescherming. Zitten al je klantgegevens in de cloud en schort de dienstverlener de toegang op wegens jouw surseance, dan heb je pech. Een hele enkele keer lukt het bij de rechter om tijdelijke voortzetting van een dienst af te dwingen tegen betaling van een zekere vergoeding. In de Oilily-zaak moest dienstverlener SaaSplaza nog een paar dagen de toegang openzetten tot de online kalender en e-mail, zodat een doorstart niet meteen de nek om werd gedraaid. Een geschorst lid van een franchiseorganisatie kreeg in 2015 nog acht weken toegang tot het centrale facturatiesysteem om lopende zaken af te kunnen wikkelen.
Consumentenrecht
De samenvatting voor de zakelijke afnemer zou dus kunnen zijn: doe het niet, die cloud, doe het gewoon niet. Als je toch moet, maak dan back-ups en houd die in eigen beheer. En oefen een transitie naar een alternatief systeem. Je moet het zelf regelen, de wet gaat je niet helpen.
Bij consumenten ligt dit iets anders. De wet kent immers veel meer bescherming voor deze arme zielige marktpartij die zonder kennis van zaken en zonder mogelijkheid van onderzoek zaken moet doen met grote partijen die eenzijdig voorwaarden opleggen. Er is bijvoorbeeld speciale wetgeving in Boek 7 van het Burgerlijk wetboek voor zogeheten overeenkomsten voor de levering van digitale inhoud en digitale diensten tussen handelaren en consumenten, wat juridische taal is voor een clouddienst.
De definitie uit de wet luidt (art. 7:50ab lid 1 sub a BW):
overeenkomsten waarbij de handelaar digitale inhoud of een digitale dienst aan de consument levert of zich ertoe verbindt die te leveren en de consument een prijs of een digitale weergave van waarde betaalt of zich ertoe verbindt die te betalen ongeacht of de digitale inhoud of digitale dienst volgens zijn specificaties is ontwikkeld.
Dergelijke inhoud of dienst moet aan de overeenkomst beantwoorden, zo formuleert artikel 7:50ad het vervolgens. Die zin kennen we van conformiteit van gewone producten, wat mensen ook wel de ‘wettelijke garantie’ noemen. Het volgende artikel noemt een aantal criteria om te bepalen of een game voldoet:
- wat betreft de beschrijving, hoeveelheid en kwaliteit, functionaliteit, compatibiliteit, interoperabiliteit en andere kenmerken, voldoen aan de overeenkomst;
- van updates worden voorzien als bepaald in de overeenkomst;
- beschikken over de hoeveelheid, kwaliteit en prestatiekenmerken, onder meer met betrekking tot functionaliteit, compatibiliteit, toegankelijkheid, continuïteit en beveiliging, waarover de digitale inhoud of digitale diensten van hetzelfde type gewoonlijk beschikken en die de consument gezien de aard van de digitale inhoud of digitale dienst redelijkerwijs mag verwachten, rekening houdend met publieke mededelingen die zijn gedaan door of namens de handelaar of andere personen in eerdere schakels van de transactieketen, in het bijzonder in reclameboodschappen of op etikettering.
Die laatste is natuurlijk interessant - hoe langer de tekst, hoe meer een jurist eruit kan halen. Die term ‘continuïteit’ gaat precies over dit soort situaties: je moet zo’n dienst kunnen afnemen gedurende de tijd die je mag verwachten bij dit soort games, dit platform, et cetera. Daarmee zijn dienstverleners als Ubisoft dus wel degelijk aan te spreken; door een deel van een game - lees: dienst - uit te schakelen of dlc - lees: inhoud - te verwijderen, voldoet de game niet meer aan wat je mocht verwachten toen je hem kocht. Ubisoft maakt dus dingen non-conform en schendt de zogenoemde wettelijke garantie.
Alleen: wat dan? Artikel 7:50ai BW noemt het in mooie juridische taal:
Beantwoordt de afgeleverde digitale inhoud of digitale dienst niet aan de overeenkomst, dan is de consument bevoegd om nakoming te eisen, de prijs te verminderen in evenredigheid met de mate van afwijking van hetgeen is overeengekomen, of de overeenkomst te ontbinden.
Je geld terug is dus een optie, al zullen weinig mensen gaan procederen over deze bedragen; deJe geld terug is dus een optie, al zullen weinig mensen gaan procederen over deze bedragen
proceskosten zijn ordegroottes hoger dan de aanschafprijs. Maar je wilt eigenlijk dat Ubisoft de dlc terugzet en de server weer aanzet voor de multiplayer-optie. Juridisch noemen we dat herstel of vervanging, meer algemeen heet het gewoon nakoming. Dan kom je uit bij lid 2:
De consument is bevoegd om nakoming te eisen overeenkomstig lid 1 tenzij dat onmogelijk is of voor de handelaar onevenredige kosten met zich brengt, rekening houdend met alle omstandigheden van het geval, waaronder: a.de waarde die de digitale inhoud of digitale dienst zou hebben wanneer er geen gebrek zou zijn geweest; b.de omvang van het gebrek.
Ubisoft zal bij de online multiplayer-variant meteen wijzen op die ‘onevenredige kosten’ en vast kunnen aantonen dat gezien het aantal spelers de kosten van de infrastructuur niet meer redelijk zijn. Dat lijkt op grond van de wet een winnend argument te zijn.
Afdwingen dat die gekochte dlc gewoon blijft werken, lijkt me dan weer niet iets waar ‘onevenredige kosten’ mee zouden zijn gemoeid. Ik kan niet echt achterhalen waarom dit überhaupt nodig is, of je nog recht hebt op die dlc moet te maken hebben met een serverside-controle. Het uitzetten van die check zou de simpele oplossing zijn die Ubisoft dan moet ontwikkelen. Dat is zeker te verdedigen als ‘herstellen van het gebrek’, maar om dat af te dwingen, zal er echt een principezaak bij de rechter nodig zijn. Ik hoop dus dat er in de gamerwereld een principiële strijder is te vinden die sociale gerechtigdheid wil afdwingen.
De eula van Ubisoft is bij bovenstaand verhaal overigens volledig irrelevant, aangezien art. 7:50ap BW bepaalt dat alle bovengenoemde artikelen dwingend recht zijn en dus niet in de overeenkomst uitgesloten mogen worden. Dat Europees recht geldt, volgt weer uit andere Europese regels.