Met VanMoof is nu voor het eerst een e-bikemaker van de nieuwe generatie failliet. Dat meldde Tweakers onlangs. Een VanMoof-fiets komt met een app en die is afhankelijk van een verbinding met VanMoof-servers. Vanwege het faillissement zullen die wel binnenkort uit gaan. Dat roept dan toch nieuwe juridische vragen op.
“Je fiets blijft functioneren en je kunt blijven fietsen, want we mikken erop om onze app en onze servers online te houden en we willen onze huidige diensten veiligstellen voor de toekomst.” Zo stelt het bedrijf (de curator?) de fietseigenaren gerust die zich nu afvragen hoe dit verder moet. Want het is vrij fundamenteel: je fiets ontgrendel je met de app, er is geen fysieke sleutel of knopje die je als alternatief kunt gebruiken.
Tweakers legt uit:
Ontgrendelen kan in de app zelf, via de app zonder de telefoon aan te raken door dichtbij te zijn en zonder de app. Bij het registreren van de fiets maken de smartphone en de e-bike een bluetoothverbinding, op dezelfde manier als dat gebeurt met draadloze oordopjes of een smartwatch, maar die verbinding is beveiligd met een sleutel die van de server komt. De app maakt af en toe verbinding om die sleutel op te halen. Zonder server is die sleutel niet langer te achterhalen.
Je kunt een backup-code instellen in de app, zodat je zonder serververbinding je fiets kunt ontgrendelen. Alleen: dat werkt zolang de app beschikbaar blijft, en doorverkoop van de fiets wordt onmogelijk want de koper kan de app niet overnemen van jou. Er zijn wel meer oplossingen, maar helemaal zuiver voelen die niet:
Er is een tool, de VanMoof Encryption Key Exporter. Die staat op GitHub, maar de maker heeft inmiddels ook een webapp gemaakt. Wie zijn accountgegevens niet op een server van iemand anders wil hebben, kan een eigen instance maken om dat te voorkomen. Ook de Belgische VanMoof-concurrent Cowboy heeft een app uitbracht om VanMoof-sleutels offline op te slaan.
Het voelt tegelijkertijd wel heel raar om dat soort trucs uit te moeten halen om gewoon je eigendom te kunnen blijven gebruiken. Maar het is een ‘gewoon’ uitvloeisel uit de diensteconomie dat je dit soort dingen kunt krijgen: de fiets is wel van jou, de software (en dienst) niet en die kan gewoon lekker uit.
Zou de curator de server zomaar uit mogen zetten? Vanuit kostenbesparing is dat een logische stap, de hoster van dat systeem wil immers geld voor zijn dienstverlening. Heeft de curator dat niet in de pot, dan kan de hoster de stekker eruit trekken. Dit is het juridische vraagstuk van continuïteit in de cloud, waar al langer over gediscussieerd wordt. Mijn collega Bram legt de standaardarresten uit:
Uitgaande van Berzona leek het er sinds 2014 al op dat een curator niet zomaar een softwarelicentie kan beëindigen, want ‘actief’ wanpresteren mag volgens de Hoge Raad niet. Een belangrijk punt is echter dat het zowel in Nebula als Berzona helemaal niet ging over licenties op software, maar over de huur van onroerend goed. Volgens de meeste juristen zouden voor softwarelicenties dezelfde principes kunnen worden toegepast, maar helemaal zeker was dat niet. Sinds het arrest Credit Suisse uit 2018 is er aan die onzekerheid een eind gekomen. In dat arrest maakte de Hoge Raad expliciet dat de positie van een licentienemer op één lijn kan worden gesteld met die van een huurder.
Een curator mag dus niet actief een dienst opzeggen of beëindigen. Uit kostenoogpunt de hostingovereenkomst opzeggen mag dus bijvoorbeeld niet. Maar er is ook weer geen plicht om de hostingrekening te blijven betalen, zeker niet als er gewoon geen geld is in de boedel om dat te kunnen doen. Dus hoe dan ook is wat er nu gebeurt, een tijdelijke oplossing zonder zekerheid dat je je fiets kunt blijven gebruiken.
Arnoud
