Via Reddit:
Eén van de gebruikers van mijn SaaS voorraadbeheersoftware (ERP) heeft voorraadartikelen gelabeld met termen als wit, blauw, groen en hemelsblauw en hoeveelheden in grammen en kilogrammen. Hun herbevoorradingsmeldingen zijn ingesteld om 3 uur ’s nachts en per locatie is een “heat level” van 1 tot 5. Ze hebben meer dan $2 miljoen aan omzet gegenereerd via mijn SaaS-oplossing van $29 per maand. Dit riekt naar drugshandel. Ben ik wettelijk verplicht hier iets mee te doen?
De hoogst gepluste reactie suggereert dat dit bedrijf kleurpotloden verkoopt, al is onduidelijk wat dan het “heat level” zou zijn. Anderen denken aan het peperniveau van hot sauce. Bij drugshandel zou dat verwijzen naar het risico van politie-aandacht voor je verkooplocatie, en ook daar wordt in grammen verkocht.
In Europa worden SaaS-dienstverleners beschermd door de Digital Services Act (DSA). Deze bepaalt dat hosting providers niet aansprakelijk zijn voor illegale inhoud van klanten. Meestal denken we dan aan uitingsdelicten, maar de wet is zeer algemeen:
“illegale inhoud”: alle informatie die op zichzelf of in verband met een activiteit, waaronder de verkoop van producten of het aanbieden van diensten, indruist tegen het Unierecht of tegen het met het Unierecht in overeenstemming zijnde recht van een lidstaat, ongeacht het precieze voorwerp of de precieze aard van dat recht;
ERP-informatie over drugshandel voldoet aan deze beschrijving, want betreft informatie in verband met verkoop van producten in strijd met nationaal (straf-)recht in de EU.
Artikel 6 DSA zegt dan dat de hosting provider niet aansprakelijk is, mits hij:
- niet daadwerkelijk kennis heeft van de illegale activiteit of illegale inhoud (…) en
- zodra hij dergelijke kennis of dergelijk besef krijgt, prompt handelt om de illegale inhoud te verwijderen of de toegang daartoe onmogelijk te maken.
De uitdaging hier dus is: heeft deze SaaS-aanbieder door zijn gesnuffel in de klantdata “daadwerkelijk kennis” gekregen?
Die kennis moet in ieder geval (overweging 22) specifiek zijn; algemeen weten dat er illegale inhoud tussen kan zitten is niet genoeg. Bij meldingen wordt als criterium gehanteerd (overweging 53) dat er voldoende informatie is
om een zorgvuldige aanbieder van hostingdiensten in staat te stellen zonder een gedetailleerd juridisch onderzoek vast te stellen dat het duidelijk is dat de inhoud illegaal is (…).
Het moet dus ‘duidelijk’ zijn en je moet er geen advocaat of jurist bij hoeven halen om een juridische kwalificatie te doen. De rechtspraak rond de ecommerce richtlijn (voorloper van de DSA) gaat hier niet direct op in, en focust vooral op de vraag of geautomatiseerd scannen leidt tot ‘kennis’ (nee).
Ik zie hoe je met bovenstaande feiten redelijkerwijs zou kunnen denken dat de klant illegale zaken (drugs) aan het verkopen is. Een twijfelgeval daarbij vind ik wel de “heat level” factor. Inderdaad is “heat” een slang term voor “politieaandacht” maar dat is dan net té direct als je verder je productnamen camoufleert met kleuren.
Mijn advies bij deze vraag zou wel zijn om het account tijdelijk te sluiten (suspension) en de klant te verzoeken duidelijkheid te geven over wat ze verkopen. Aanleiding daarvoor zou dan het ongebruikelijk grote data- of opslagverkeer zijn. Het is toegestaan om dan te kijken wat er gebeurt, en als je dan zoiets opvalt dan mag je verduidelijking vragen.
Arnoud
