Beschikken over embedded data
Onderzoek voor Nederland Open in Verbinding (NOIV)
1 november 2011
Dr. mr. C.N.J. de Vey Mestdagh Rijksuniversiteit Groningen
Inhoud: 1. Inleiding ..................................................................................................................... 3 1.1. Probleemstelling ................................................................................................. 3 1.2. Vraagstelling ....................................................................................................... 4 1.3. Doelstelling ......................................................................................................... 4 1.4. Onderzoeksmethode en uitvoering ..................................................................... 4 1.5. Gehanteerde definities ........................................................................................ 6 2. Welke partijen hebben welke beschikkingsrechten op embedded data ..................... 9 2.1. Eigendom van embedded data .......................................................................... 10 2.2. Intellectuele eigendomsrechten op embedded data........................................... 11 2.3. Gebruiksrechten op embedded data en meewerkverplichting .......................... 12 2.4. Bescherming van de persoonlijke levenssfeer en van bedrijfsgeheimen .......... 13 3. Casus ........................................................................................................................ 16 3.1. Kopieer- en reproductieapparatuur ................................................................... 16 3.1.1. Bronnen ...................................................................................................... 16 3.1.2. Het systeem en de verwerking van embedded data ................................... 16 3.1.3. Belanghebbenden ....................................................................................... 16 3.1.4. Transparantie en Portabiliteit ..................................................................... 17 3.1.5. Beschikkingsrechten .................................................................................. 17 3.2. Diagnostische en therapeutische apparatuur ..................................................... 18 3.2.1. Bronnen ...................................................................................................... 18 3.2.2. Het systeem en de verwerking van embedded data ................................... 18 3.2.3. Belanghebbenden ....................................................................................... 18 3.2.4. Transparantie en Portabiliteit ..................................................................... 19 3.2.5. Beschikkingsrechten .................................................................................. 19 3.3. Huisvuilpas ....................................................................................................... 21 3.3.1. Bronnen ...................................................................................................... 21 3.3.2. Het systeem en de verwerking van embedded data ................................... 21 3.3.3. Belanghebbenden ....................................................................................... 21 3.3.4. Transparantie en Portabiliteit ..................................................................... 21 3.3.5. Beschikkingsrechten .................................................................................. 22 4. Conclusies en aanbevelingen: Juridische standaarden voor het bevorderen van de transparantie en portabiliteit ........................................................................................ 23 Bijlage 1 Kopieer- en reproductieapparatuur ............................................................... 26 Bijlage 2 Diagnostische en therapeutische apparatuur ................................................ 31 Bijlage 3 Huisvuilpas ................................................................................................... 38 Literatuur & Jurisprudentie .......................................................................................... 45
2
1. Inleiding 1.1. Probleemstelling Het komt vaak voor dat de afnemer van IT systemen en diverse andere belanghebbenden niet de volledige beschikking hebben over de in deze systemen verwerkte gegevens, terwijl dit wel in hun belang zou zijn. Het betreft veelal de elementaire ingevoerde dan wel gemeten gegevens in administratieve systemen, in beslissingsondersteunende systemen, in meet- en regelsystemen en in diagnostische en therapeutische apparatuur. Dit probleem kan worden opgeheven door grotere transparantie (toegankelijkheid van de elementaire gegevens voor de afnemer) en interoperabiliteit (mogelijkheden om de elementaire gegevens in andere IT systemen te gebruiken). Transparantie en interoperabiliteit hebben echter niet alleen voordelen, maar ook nadelen voor bijvoorbeeld de privacybescherming (embedded data betreffen in veel gevallen persoonsgegevens) en in enkele gevallen zelfs voor de veiligheid (transparante systemen kunnen kwetsbaarder zijn voor misbruik). Het beschikken over embedded data is daarom een complex probleem waarin niet alleen de relatie afnemer – leverancier van het desbetreffende IT systeem een rol speelt. Er zijn bij de verwerking van gegevens vaak meer partijen betrokken die belangen bij de verwerkte gegevens hebben. Bijvoorbeeld feitelijke gebruikers van het systeem (de ambtenaar, de burger, de arts, de patiënt, de consument), maar ook indirecte belanghebbenden bij de verzamelde gegevens (beleidsmakers, onderzoekers, financiers). Dit veelvoud van belangen vertaalt zich in een complex juridisch krachtenveld. Hierin speelt bijvoorbeeld niet alleen de directe eigendom van de systemen en de daarin vervatte data een rol (koop, lease, huur etc.), maar ook intellectuele eigendomsrechten (i.c. auteursrecht en databankenrecht), het recht van de subjecten van deze systemen op bescherming van hun persoonlijke levenssfeer en de nodige subjectieve rechten, o.g.v. de overeenkomst tussen afnemer en gebruiker, tussen gebruiker en de personen waarvan de gegevens worden verzameld, tussen de afnemer en diverse andere belanghebbende instellingen (de overheid, de wetenschap, verzekeraars). Ter verduidelijking is hieronder het voorbeeld van de verwerking van gegevens in medische apparatuur in de zorgsector nader omschreven. Voorbeeld zorgsector Voor het goed functioneren van de zorgsector is het noodzakelijk dat gegevens van patiënten voor een groot aantal partijen beschikbaar zijn. De verschillende behandelaars in de keten hebben gegevens nodig voor het uitvoeren van een goede en coherente behandeling. De verzekeraars hebben gegevens nodig voor een economische en efficiënte financiële afhandeling. De wetenschap en de medische industrie hebben gegevens nodig voor het verbeteren van de toegepaste medische methoden en technieken. De overheid heeft gegevens nodig voor haar begrotings- en kwaliteitspolitiek en -beleid. In veel gevallen zijn deze gegevens echter niet zonder meer uitleesbaar. Dit betekent dat het verder verwerken van deze gegevens, bijvoorbeeld voor wetenschappelijk medisch onderzoek, in deze gevallen onmogelijk is, tenzij er aan de leverancier van het IT systeem extra wordt betaald voor ontsluiting. Ook kunnen de gegevens bij overgang naar een nieuwe leverancier verloren raken, omdat ze niet uitleesbaar zijn. Een tijdrovend en niet altijd legaal alternatief is reverse engineering (kraken) van het gegevensformaat (zie 2.2. en 3.2.4. hieronder).
3
De benodigde gegevens zijn in oorsprong hoofdzakelijk van de patiënten afkomstig. Hoewel de patiënten en alle genoemde partijen uiteenlopende belangen hebben bij het verwerven en verwerken van de gegevens, delen zij het belang van een optimale en rechtmatige uitwisseling ervan. De optimale uitwisseling kan onder andere worden bevorderd door het toepassen van open standaarden en open source software waardoor de portabiliteit van gegevens en de interoperabiliteit van de door de verschillende partijen gebruikte systemen kunnen worden verbeterd. De rechtmatigheid van de uitwisseling is daarbij een zeer belangrijke (rand)voorwaarde, die andere belangen zoals die van de privacy van de patiënt, de intellectuele eigendom van de verschillende partijen en de rechtszekerheid dient. Voor de rechtmatigheid van de uitwisseling van patiëntengegevens gelden verschillende juridische regimes die in hun onderlinge samenhang moeten worden beschouwd. Eigendom van (patiënten)gegevens als zakelijk recht (vgl. Boek 5 BW) bestaat slechts onder de zeer uitzonderlijke omstandigheid van de exclusieve beschikking en daar zal in het geval van persoonsgegevens vrijwel nooit sprake van zijn. Intellectuele eigendom van het gebruik van (patiënten)gegevens (auteursrecht, databankenrecht) is (onder voorwaarden) veelal wel mogelijk. Het betreft hier echter persoonsgegevens. Belangrijker zijn daarom de regimes die het gebruiksrecht van persoonsgegevens beperken en het recht van de patiënt om over zijn eigen gegevens te beschikken bepalen. Het gaat hierbij om de dwingende regels van het privacyrecht en de bepalingen in de verschillende overeenkomsten die tussen de eerder genoemde partijen worden gesloten, waarvan de behandelingsovereenkomst en de met de leveranciers van IT gesloten contracten de belangrijkste zijn.
1.2. Vraagstelling Uit de hiervoor beschreven probleemstelling vloeit de volgende vraagstelling voort: 1. Welke partijen hebben welke beschikkingsrechten op embedded data in ITsystemen en 2. Hoe kunnen de belanghebbenden bij deze embedded data optimaal gebruik maken van deze rechten dan wel deze rechten via de leverings- en dienstverleningscontracten van de IT-systemen maximaliseren;
1.3. Doelstelling Het onderzoek moet leiden tot concrete aanbevelingen waarmee in gevallen waarin duidelijk is welke gegevens er precies worden verwerkt en wie precies de feitelijke beschikking over deze gegevens heeft kan worden vastgesteld: 1. Wie wettelijk bevoegd is of via de te sluiten overeenkomsten de bevoegdheid kan verwerven om over deze gegevens te beschikken; 2. Hoe gegeven deze wettelijke bevoegdheden en mogelijke contractuele bevoegdheden de belangen van de verschillende betrokkenen (optimaliseren transparantie, portabiliteit en privacy) het beste kunnen worden gediend.
1.4. Onderzoeksmethode en uitvoering De complexiteit van het probleemveld brengt met zich mee dat een uitsluitend juridisch theoretische (top down) benadering geen afdoende antwoorden op de vraagstelling met zich kan meebrengen. De (mogelijke problemen met) concrete
4
beschikkingsrechten over embedded data zijn daarvoor teveel afhankelijk van concrete casus. Juridisch onderzoek kan wel een antwoord geven op de eerste onderzoeksvraag (welke partijen hebben welke beschikkingsrechten op embedded data in IT-systemen), maar niet zonder meer op de tweede onderzoeksvraag (hoe kan de afnemer van deze systemen (c.q. de overheid) optimaal gebruik maken van deze rechten dan wel deze rechten via de leverings- en dienstverleningscontracten maximaliseren). Hiervoor is onderzoek in de praktijk nodig, omdat het hierbij gaat om het feitelijk optimaliseren van de transparantie en de portabiliteit van de embedded data. Er is daarom gekozen voor een combinatie van juridisch literatuur- en rechtsbronnenonderzoek en een praktijkonderzoek (drie concrete casus) en het abstraheren van de gevonden problemen met beschikkingsrechten naar mogelijke juridische oplossingen in de aanbevelingen. Het onderzoek heeft daarom uit twee delen bestaan. Juridisch onderzoek naar beschikkingsrechten op embedded data en praktijkonderzoek naar drie concrete casus. Op basis van deze twee onderzoeken worden ten slotte aanbevelingen gedaan voor het adequaat regelen van de beschikking over embedded data bij het afsluiten van de overeenkomsten tot levering van de betrokken systemen resp. de daaraan verbonden dienstverlening, waarbij met de verschillende hiervoor genoemde belangen (transparantie, interoperabiliteit, privacy) rekening wordt gehouden. Er zijn vier bijeenkomsten met de opdrachtgever gepland: 1. Bespreking opzet onderzoek (heeft plaatsgevonden op 16 mei 2011) 2. Bespreking voorlopige resultaten van het onderzoek naar de drie casus (heeft plaatsgevonden op 30 augustus 2011) 3. Bespreking concept rapport (heeft plaatsgevonden op 3 oktober 2011) 4. Presentatie eindrapport (op 15 november 2011) De drie casus zijn geselecteerd in overleg met de opdrachtgever. Bij de voorbespreking zijn de volgende mogelijke casus aan de orde gekomen: 1. Onderwijs a. Elo (Progress, Nestor); b. Kopieerapparatuur. 2. Zorg Diagnostische en therapeutische apparatuur. 3. Dienstverlening (lokale) overheid a. Huisvuilpas en afvalverwerking (keten); b. Gas- water en elektriciteit (privaat!); c. Sensors openbare orde en politie; d. OV Chipkaart. Na overleg over de opzet van het onderzoek met de opdrachtgever is begonnen met het juridisch onderzoek en zijn de volgende drie praktijkonderzoeken opgestart: 1. Onderzoek naar embedded data in kopieer- en reproductieapparatuur bij de RUG; 2. Onderzoek naar embedded data in diagnostische en therapeutische apparatuur bij het UMCG; 3. Onderzoek naar embedded data bij het aanbieden van huisvuil met de huisvuilpas in afvalcontainers bij de Gemeente Groningen.
5
Het juridisch onderzoek is op de traditionele manier uitgevoerd door literatuuronderzoek en rechtsbronnenonderzoek (wetgeving en jurisprudentie). De gebruikte literatuur en rechtsbronnen zijn opgenomen in een bijlage. In hoofdstuk twee worden de uitkomsten van dit onderzoek gepresenteerd. Het praktijkonderzoek naar de drie casus is uitgevoerd door het interviewen van een of meer deskundigen die bij het beleid en beheer van de desbetreffende apparatuur betrokken zijn1. Er is daarnaast ook steeds gekeken naar de apparatuur in werking, de bijbehorende documentatie en naar de IT-contracten. In de interviews en uit de documentatie is de volgende informatie verzameld: 1. Systeem (technische informatie over de gebruikte apparatuur en de beveiliging); 2. Het gebruik van en de feitelijke beschikking over embedded data (procesinformatie over het beheer en gebruik van de apparatuur m.b.t. embedded data); 3. Oordeel over de feitelijke en gewenste transparantie en portabiliteit van de embedded data; 4. Contractuele bepalingen over de beschikkingsrechten op de embedded data: a. Eigendom; b. Intellectuele eigendom; c. Gebruiksrechten en meewerkverplichtingen; d. Beperkingen: Bescherming persoonlijke levenssfeer en bedrijfsgeheimen. Een volledige beschrijving van deze informatie is opgenomen in de bijlagen. Onderdelen van deze informatie worden in hoofdstuk drie in de juridische context van het beschikken over embedded data geplaatst. Hierbij worden ook de verschillende betrokken belangen besproken. De conclusies en aanbevelingen in hoofdstuk vier zijn gebaseerd op het juridisch onderzoek (wat is de juridische status van embedded data) en het praktijkonderzoek (hoe wordt er feitelijk met embedded data omgegaan, welke belangen spelen er, hoe zijn deze belangen contractueel afgedekt). De centrale vraag hierbij is of de bestaande regelgeving en praktijk deze belangen adequaat dienen. De aanbevelingen bestaan uit normen voor het adequaat dienen van deze belangen. Hierbij zal ook de vraag worden beantwoord of deze normen het best via wetgeving dan wel via contracten kunnen worden doorgevoerd.
1.5. Gehanteerde definities Embedded data zijn gegevens die worden vastgelegd of gegenereerd bij het gebruiken van IT systemen, maar die niet tot de reguliere uitvoer naar de gebruiker van het systeem zelf behoren en daarom niet per definitie beschikbaar (uitleesbaar en/of interpreteerbaar) zijn voor deze gebruiker.
1
Het praktijkonderzoek is uitgevoerd in samenwerking met drie onderzoekers: Arjan de Jong (kopieeren reproductieapparatuur), Alex Rothuis (diagnostische en therapeutische apparatuur) en Willem de Haas (huisvuilpas).
6
Het kan gaan om data die noodzakelijk zijn voor het functioneren van de IT systemen, bijvoorbeeld gegevens die de gebruiker identificeren, gegevens die de parameters voor verdere verwerking vormen (o.a. de keuze voor bepaalde subroutines bepalen) en om ruwe data die door de sensoren van deze systemen worden geregistreerd of door de procedures van deze systemen worden gegenereerd en vervolgens worden omgezet in voor de gebruiker bruikbare uitvoer, zoals de uitgedraaide kopie bij een kopieermachine of de schermafbeelding van een medische scan. Het kan ook gaan om gegevens die noodzakelijk zijn voor het uitvoeren van taken buiten deze IT systemen, bijvoorbeeld de administratieve gegevens die worden gebruikt voor centrale opslag en de verdere verwerking van gegevens bijvoorbeeld voor back ups of voor beleids- of wetenschappelijke doeleinden. Het kan ten slotte gaan om gegevens die niet noodzakelijk zijn voor het functioneren van de IT systemen zelf of voor de uitvoering van taken buiten deze systemen. Als het in dit laatste geval gaat om persoonsgegevens dan moeten deze op grond van de Wet Bescherming Persoonsgegevens (Wbp) worden verwijderd, tenzij de betrokkene zijn ondubbelzinnige toestemming heeft gegeven. Voor zover er toestemming is of als het niet gaat om persoonsgegevens dan is deze categorie van niet noodzakelijke gegevens per definitie niet relevant voor de continuïteit. Pas als deze gegevens noodzakelijk worden voor het functioneren van de IT systemen of voor de uitvoering van andere taken buiten deze systemen is er sprake van voor dit onderzoek relevante embedded data. Het is overigens van belang om een onderscheid te maken tussen normatieve en technische noodzakelijkheid. Normatieve noodzakelijkheid betekent dat een gegeven op grond van wetgeving of contractueel moet worden opgenomen in een IT systeem. Technische noodzakelijkheid betekent dat het systeem zo is ontworpen dat het niet werkt zonder deze gegevens. Het is deze laatste technische noodzakelijkheid die in combinatie met gebrekkige beschikbaarheid van embedded data continuïteitsproblemen oplevert bij overgang naar andere systemen, omdat een niet technisch noodzakelijk gegeven de continuïteit niet bedreigt. Het is overigens denkbaar dat het gebruiken van deze embedded data in strijd met de wet of een contract plaatsvindt. Het functioneren van een huisvuilregistratiesysteem kan bijvoorbeeld heel goed afhankelijk zijn van gegevens die in strijd met het privacyrecht worden verzameld, bijvoorbeeld omdat ze niet proportioneel zijn in de zin van art. 11 lid 1 van de Wbp. Ook in dat geval is het kunnen beschikken over deze gegevens essentieel voor de continuïteit. De vraag of het systeem normconform moet worden ingericht valt in dit geval grotendeels samen met de vraag welke beperkingen het privacyrecht oplegt aan de continuïteitsbehoefte. Transparantie van embedded data betreft de vraag of deze gegevens voor de afnemer van een IT-systeem en andere belanghebbenden uitleesbaar en interpreteerbaar zijn; Portabiliteit van embedded data betreft de vraag of de gegevens door de afnemer van een IT-systeem overdraagbaar zijn naar andere aanvullende of vervangende ITsystemen. Portabiliteit omvat Interoperabiliteit, d.w.z. het toepasbaar zijn van de functies van deze aanvullende of vervangende IT-systemen op de overdraagbare embedded data. De bescherming van persoonsgegevens speelt hierbij een rol omdat embedded data vaak persoonsgegevens zijn en deze juist redenen kunnen geven om de transparantie en portabiliteit te beperken.
7
Continuïteit: Transparantie en Portabiliteit van embedded data zijn noodzakelijke voorwaarden voor de continuïteit van de processen die door de IT-systemen waarin zij zijn opgenomen worden ondersteund. In geval van overgang naar een nieuw ITsysteem, langdurige technische storingen of afbreuk aan de kant van de leverancier (bijv. door overmacht, wanprestatie, surseance of faillissement) zijn deze garanties voor continuïteit vereist. Continuïteit spreekt niet vanzelf. De wet schrijft deze niet voor. Alleen specifieke contractuele clausules kunnen daarom in de huidige praktijk de continuïteit garanderen. Standaard: Een standaard is een gedragsnorm, die een bepaald (beweerdelijk) doel dient en die een technische implementatie kan (maar niet behoeft) te hebben. In het laatste geval is er sprake van een “technische” standaard. De betrouwbaarheid van standaarden is onder meer sterk afhankelijk van hun bron. Veel standaarden worden vastgesteld in een politiek proces (o.a. al onze wetgeving) of via private overeenkomsten (bijv. bij de toepassing van ISO standaarden). De betrouwbaarheid van standaarden neemt toe als ze gebaseerd zijn op wetenschappelijk onderzoek. Continuïteit is vaak een verwaarloosd aspect in IT contracten. Het is daarom van belang om over standaarden te beschikken die voorschrijven welke bepalingen in IT contracten moeten worden opgenomen om de transparantie en portabiliteit van embedded data te waarborgen.
8
2. Welke partijen hebben welke beschikkingsrechten op embedded data Voor dit onderzoek relevante embedded data zijn in IT systemen aanwezige gegevens die noodzakelijk zijn voor het functioneren van deze IT systemen zelf of voor uitvoering van andere taken, maar die niet tot de reguliere uitvoer naar de gebruiker van het IT systeem zelf behoren en daarom niet per definitie beschikbaar zijn voor deze gebruiker2. Het gaat veelal om gegevens die de gebruiker identificeren en zijn gebruik registreren en ruwe gegevens die worden gebruikt om uitvoer te genereren. In het geval van printers zijn dit bijvoorbeeld de digitale gegevens die gebruikt worden om de gebruiker te identificeren (bijv. i.v.m. autorisatie), om zijn gebruik te registreren (bijv. i.v.m. beheer, onderhoud en doorberekening) en om de gewenste afdrukken te maken. In het geval van medische systemen zijn het de patiënt- en meetgegevens die worden gebruikt om gegevens van patiënten op een bepaalde manier op het scherm te brengen en in het dossier op te slaan. In het geval van de huisvuilpas zijn het de gegevens van de aanbieder en gegevens over de tijdtippen, plaatsen en frequentie van het aanbod. Zolang embedded data vluchtig zijn, d.w.z. alleen verzameld en gebruikt worden voor het actuele proces en dan weer worden gewist, is er niets aan de hand. Zodra deze gegevens worden bewaard ofwel om toekomstige functionaliteit te ondersteunen (bijvoorbeeld om opnieuw dezelfde of gecombineerde uitvoer te genereren) ofwel om administratieve redenen, rijst de vraag wie de beschikkingrechten over deze gegevens hebben. Het belang van een antwoord op deze vraag is gelegen in het voorkomen van afbreukrisico’s (overmacht, wanprestatie, surseance, faillissement van de leverancier etc.) en in het bevorderen van de continuïteit door transparantie en portabiliteit (het kunnen uitlezen van deze gegevens voor toekomstig gebruik in dezelfde of andere IT systemen). Zoals gezegd speelt de privacybescherming hierbij een rol omdat deze juist prohibitief kan zijn voor transparantie en portabiliteit. De beschikkingsrechten ten aanzien van embedded data kunnen zijn gebaseerd op3: 1. 2. 3. 4.
Eigendom van de gegevens en gegevensdragers Intellectuele eigendom van de gegevens Gebruiksrechten ten aanzien van de gegevens Bescherming van de persoonlijke levenssfeer en bedrijfsgeheimen
De eerste drie rechten van eigendom, intellectuele eigendom en gebruik geven de bevoegdheid tot het verwerken van embedded data en tot het beperken van het verwerken van embedded data door anderen. De laatste twee rechten van bescherming van de persoonlijke levenssfeer en bedrijfsgeheimen geven alleen de bevoegdheid om het verwerken van embedded data door anderen te beperken.
2
Er is gekozen voor deze beperking omdat gegevens die niet noodzakelijk zijn voor het functioneren van IT systemen, niet tot problemen in de sfeer van de continuïteit leiden. 3 De wettelijke beschikkingsrechten van overheden in het kader van politie- en justitietaken, fiscaliteit etc. blijven hier buiten beschouwing.
9
In het onderstaande worden in de eerste plaats de beschikkingsrechten op embedded data behandeld. Deze moeten worden onderscheiden van de beschikkingsrechten op de kennis, de software en de hardware die onderdeel uitmaken van een IT-systeem. Deze laatste rechten zijn niet van belang voor de beschikkingsrechten op embedded data, maar wel voor het feitelijk beschikken over embedded data, omdat ze vaak nodig zijn voor hun ontsluiting.
2.1. Eigendom van embedded data In deze paragraaf wordt de vraag beantwoord of embedded data het voorwerp van eigendom kunnen zijn, wat de omvang van het hieruit voortvloeiende beschikkingsrecht is en welke juridische voorzorgsmaatregelen er vereist zijn voor het dienen van de betrokken belangen. Gegevens zijn fysieke kenmerken van fysieke objecten waaraan een waarnemer betekenis kan toekennen. Informatie is de betekenis die een waarnemer aan een gegeven toekent. Gegevens zijn daarom in tegenstelling tot informatie onderdeel van fysieke objecten. Fysieke objecten kunnen voorwerp zijn van eigendom. Gegevens zijn daarom eigendom van de eigenaar van hun drager (het fysieke object waarvan zij kenmerken zijn). Als gegevens (c.q. hun drager) rechtmatig worden overgedragen dan is de nieuwe eigenaar van hun drager tevens eigenaar van de gegevens. Als gegevens worden gedeeld (de drager wordt gekopieerd en overgedragen) dan verkrijgt de eigenaar van de ontvangende drager de eigendom van de kopie van de gegevens. De intellectuele eigendomsrechten van de maker van de oorspronkelijke gegevens kunnen de nieuwe eigenaar van het origineel of van een kopie wel enigszins beperken in de uitoefening zijn eigendomsrecht. Als de gegevens door de nieuwe eigenaar onrechtmatig worden openbaargemaakt of verveelvoudigd kan er sprake zijn van inbreuk op het auteursrecht van de maker. Dit zal echter niet snel het geval zijn (zie 2.2. en 2.3. hier onder). Het voorgaande brengt met zich mee dat niet gedeelde gegevens feitelijk exclusief eigendom zijn van de eigenaar van hun drager c.q. het systeem waarin ze zijn opgeslagen. Dit betekent dat bij overdracht van de eigendom van een IT-systeem in beginsel ook de eigendom van de met behulp van dat systeem door of vanwege de eigenaar van het IT-systeem gegenereerde gegevens bij deze eigenaar, i.c. de afnemer, komt te liggen. In het geval van embedded data betekent dit dat, als de eigendom van een IT-systeem wordt overgedragen aan de afnemer en voor zover deze gegevens niet worden meegeleverd met het IT-systeem, maar worden gegenereerd bij het gebruik, zij eigendom zijn van de afnemer. Praktisch gezien betekent dit dat de eigenaar van de kopieermachine, de eigenaar van het medische apparaat, resp. de eigenaar van het vuilophaalsysteem tevens eigenaar zijn van de daarin gegenereerde embedded data. De beschikkingsrechten die samenhangen met de eigendom van embedded data die voortvloeit uit de eigendom van hun drager kunnen wel worden beperkt door wettelijke of contractuele beschikkingrechten van anderen. Het gaat hierbij bijvoorbeeld om de intellectuele eigendomsrechten van de maker van het format van de data (niet de data zelf!), om rechten op bescherming van de persoonlijke levenssfeer van de personen waarop de gegevens betrekking hebben en de gebruiksen beperkingsrechten die de eigenaar contractueel aan de leverancier heeft gelaten (bijvoorbeeld ten behoeve van het beheer of onderhoud en ten behoeve van de bescherming van bedrijfsgeheimen) of aan derden heeft gegund, bijvoorbeeld door de IT-systemen te verhuren of op een andere wijze in gebruik te geven aan derden. Het is van belang dat in IT contracten expliciet wordt aangegeven dat alle beschikkings10
rechten met de eigendom van het IT-systeem worden overgedragen of heel exact wordt beschreven welke beschikkingsrechten door de leverancier worden voorbehouden. In gevallen waarin niet de volledige beschikkingsrechten worden overgedragen, bijvoorbeeld bepaalde intellectuele eigendomsrechten op kennis, software of hardware worden voorbehouden of bepaalde gebruiksrechten worden voorbehouden (bijv. t.b.v. het beheer of onderhoud) moet de scheidslijn tussen de beschikkingsrechten t.a.v. de embedded data en de voorbehouden beschikkingsrechten heel expliciet worden omschreven. Zodra gegevens rechtmatig gedeeld worden of door derden worden ingevoerd (bijvoorbeeld door de gebruiker van het systeem) is geen sprake meer van exclusieve eigendom en moeten de beschikkingsrechten over de embedded data worden beschouwd vanuit een ander perspectief nl. dat van de intellectuele eigendomrechten (paragraaf 2.2.) of de gebruiksrechten (paragraag 2.3.).
2.2. Intellectuele eigendomsrechten op embedded data In deze paragraaf wordt de vraag beantwoord of embedded data het voorwerp van intellectuele eigendom kunnen zijn, wat de omvang van het hieruit voortvloeiende beschikkingsrecht is en welke juridische voorzorgsmaatregelen er vereist zijn voor het dienen van de betrokken belangen. Zodra gegevens eenmaal gedeeld of zelfs openbaar zijn geworden, wordt ten behoeve van de producent van de gegevens slechts de verzameling en zijn structuur als geheel (databankenrecht) en/of de vormgeving (auteursrecht) beschermd. Het gebruiken van gegevens die in IT-systemen worden gegenereerd kan slechts beperkt worden door intellectuele eigendomsrechten als de beweerde rechthebbende de databank of het werk waarin de gegevens zijn vervat zelf heeft gemaakt of daartoe expliciet opdracht heeft gegeven. Het moet dan in het geval van het databankenrecht bovendien gaan om het opvragen of hergebruiken van een substantieel deel van de in de databank opgeslagen gegevens dan wel om het herhaald en systematisch opvragen of hergebruiken van een deel van de databank in strijd met de normale exploitatie ervan. In het geval van het auteursrecht moet het bovendien gaan om openbaarmaking of verveelvoudiging en om een werk. Een verzameling gegevens voldoet niet aan de werkeis als deze geen eigen oorspronkelijk karakter heeft. In het geval van embedded data is aan deze vereisten niet voldaan. De gegevens worden niet door de leverancier gegenereerd, maar onder de verantwoordelijkheid van (door) de afnemer. Voor zover er sprake is van een databank liggen de rechten daarom volledig bij de afnemer. Wat betreft het auteursrecht op de vorm (het format) van de gegevens geldt dat bij hergebruik van embedded data door de afnemer van het IT systeem geen sprake is van openbaarmaking. Er is bovendien slechts sprake van onrechtmatige openbaarmaking of verveelvoudiging als er geen wettelijk of contractueel gebruiksrecht is dat dit toestaat (en dat is er in veel gevallen wel zie 2.3. hieronder) en de gegevens bovendien met behulp van een werk (software) waarop de leverancier auteursrecht heeft verveelvoudigd worden of met behulp van andere middelen in dezelfde vorm worden verveelvoudigd als waarin ze in het IT systeem zijn opgeslagen. Intellectuele eigendomsrechten van de leverancier op de kennis, software en hardware kunnen daarom slechts indirecte problemen opleveren als daar inbreuk op moet worden gemaakt om de transparantie en portabiliteit van de embedded data te bevorderen. Er moet daarom, in gevallen waarin de intellectuele eigendom door de 11
leverancier wordt voorbehouden, in het IT-contract een expliciete sublicentie worden opgenomen die gebruik van die kennis, software en/of hardware toestaat voor het transparant en portabel maken van de embedded data4. Daarnaast moet voor het geval van afbreuk van de leverancier (wanprestatie, surseance, faillissement etc.) ook een broncodedepot ten behoeve van de leverancier worden gedaan. In veel gevallen is dat nog niet voldoende omdat de embedded data niet met behulp van de geleverde configuratie transparant en portabel kunnen worden gemaakt. Het zelf achterhalen van het format door reverse engineering is in strijd met de auteurswet (art. 45m Auteurswet). Als de gegevens niet uitleesbaar zijn dan moet daarom bedongen worden dat de leverancier deze mogelijkheid toevoegt. Als de gegevens wel uitleesbaar, maar niet interpreteerbaar zijn moet de leverancier het format van de gegevens meeleveren.
2.3. Gebruiksrechten verplichting
op
embedded
data
en meewerk-
In deze paragraaf wordt de vraag beantwoord of embedded data het voorwerp van gebruiksrechten kunnen zijn, wat de omvang van het hieruit voortvloeiende beschikkingsrecht is en welke juridische voorzorgsmaatregelen er vereist zijn voor het dienen van de betrokken belangen. In de gevallen waarin niet de eigendom of intellectuele eigendom van het volledige IT-systeem door de leverancier wordt overgedragen aan de afnemer, maar bijvoorbeeld sprake is van huur of lease en/of een gebruikslicentie rijst de vraag of er een al dan niet exclusief gebruiksrecht op de embedded data bestaat. Op intellectuele eigendomsrechten gebaseerde gebruiksrechten, maar ook zelfstandige gebruiksrechten ten behoeve van de afnemer of andere belanghebbenden kunnen niet alleen bij wet, maar ook bij overeenkomst worden gecreëerd. Als dit niet tot de mogelijkheden behoort is het contractueel bedingen van een verplichting van de leverancier om mee te werken aan het transparant en portabel maken van embedded data een goed alternatief. Het intellectuele eigendomsrecht kent een aantal wettelijke gebruiksrechten op gegevens (bijvoorbeeld de verveelvoudiging van een gegevensverzameling door de rechtmatige gebruiker die noodzakelijk is om toegang te verkrijgen tot en normaal gebruik te maken van de verzameling, art. 24a Aw) die voor de probleemstelling van dit onderzoek minder relevant zijn omdat zij de continuïteit niet beïnvloeden (voor transparantie en portabiliteit is niet verveelvoudiging, maar toegankelijkheid essentieel). In het geval van het databankenrecht en auteursrecht kunnen ook contractuele gebruiksrechten worden gevestigd (een zgn. gebruikslicentie op grond van een gebruiksrechtovereenkomst). Hierboven is al duidelijk geworden dat het intellectuele eigendomsrecht in het geval van embedded data geen toepassing vindt op de data zelf. Hieruit volgt dat er in dat geval ook geen op het intellectuele eigendomsrecht gebaseerde gebruiksrechten op embedded data kunnen bestaan. Er hoeft zoals hierboven is aangegeven slechts op te worden gelet dat er een (sub)licentie wordt bedongen voor het gebruik van de beschermde onderdelen van het IT systeem voor het transparant en portabel maken van de embedded data.
4
Hierbij geldt dat het gebruiken van deze kennis, software en/of hardware om de embedded gegevens uit te lezen auteursrecht vereist, het verder gebruiken van de embedded data echter niet!
12
Zelfstandige (niet op intellectuele eigendomsrechten gebaseerde) gebruiksrechten op embedded data kunnen wel bestaan. Deze gebruiksrechten kunnen wettelijk zijn of bij overeenkomst worden gecreëerd. Wettelijke zelfstandige gebruiksrechten betreffen o.a. de rechten van de overheid tot inzage in gegevens (o.a. strafrecht, belastingrecht) en de rechten van natuurlijke personen op grond van de Wbp (zie hieronder). De wettelijke gebruiksrechten van de overheid zijn in het geval van embedded data niet per se prohibitief voor de continuïteit van hun gebruik en daarom voor dit onderzoek van minder belang. Contractuele zelfstandige gebruiksrechten kunnen bijvoorbeeld onderdeel uitmaken van een lease- of huurovereenkomst of een andere overeenkomst waarbij niet de (intellectuele) eigendom van het IT-systeem wordt overgedragen. Het is ongebruikelijk dat de leverancier van een IT systeem dergelijke gebruiksrechten voorbehoudt5 (dit is overigens anders in het geval van de kennis en de software die onderdeel uitmaken van het IT-systeem, zie onder intellectuele eigendom hierboven). De afnemer dient zich er echter wel van te vergewissen dat een dergelijk gebruiksrecht niet door de leverancier is voorbehouden, al dan niet onder het gelijktijdig afstaan van een beperkt gebruiksrecht (vgl. een sublicentie) aan de afnemer. Het is wel gebruikelijk dat de afnemer van IT-systemen zelf weer gebruiksrechten aan derden afgeeft, bijvoorbeeld aan derden die gebruik maken van die IT-systemen (gebruik o.g.v. huur, lease, als onderdeel van een dienstverleningsovereenkomst of dienstbetrekking of anderszins), aan dienstverleners (beheers- en onderhoudsorganisaties etc.), aan overheden en instellingen om administratieve redenen (bijv. voor statistische doeleinden of aan verzekeraars) en aan de subjecten van deze systemen (de personen waarvan de gegevens worden verzameld), bijvoorbeeld het recht op inzage van de eigen gegevens. In een enkel geval is de leverancier zelf een dergelijke ontvanger van een gebruiksrecht (bijv. als de leverancier een onderhoudsovereenkomst met de afnemer sluit). Ook in deze gevallen moet de afnemer opletten dat er geen exclusieve gebruiksrechten worden gevestigd. Als er geen gebruiksrechten kunnen worden bedongen of deze gebruiksrechten onvoldoende garantie voor continuïteit bieden, bijvoorbeeld omdat het transparant en/of portabel maken van embedded data ingewikkeld of zelfs onmogelijk is, dan is het contractueel vastleggen van een meewerkverplichting van de leverancier een goed alternatief.
2.4. Bescherming van de persoonlijke levenssfeer en van bedrijfsgeheimen In deze paragraaf worden twee veelvoorkomende beperkingen op de in de vorige paragrafen behandelde beschikkingsrechten op embedded data besproken. De wettelijke beperking van bescherming van de persoonlijke levenssfeer en de contractuele beperking van bedrijfsgeheimen. Ook hier wordt de vraag beantwoord welke juridische voorzorgsmaatregelen er vereist zijn voor het dienen van de betrokken belangen. 5
Zie echter de casus betreffende reproductieapparatuur, waarin beheersrechten ten aanzien van alle gegevens bij de leverancier blijven!
13
Als embedded data een geïdentificeerde of identificeerbare natuurlijke persoon betreffen dan is er sprake van persoonsgegevens in de zin van de Wbp (art. 1.a.). De definitie van embedded data als gegevens die noodzakelijk zijn voor het functioneren van IT systemen brengt met zich mee dat er bovendien altijd sprake zal zijn van verwerking van persoonsgegevens in de zin van de Wbp (art. 1.b.). Hier worden slechts de bepalingen uit de Wbp behandeld die mogelijk de continuïteit in de zin van transparantie en portabiliteit van de embedded data beïnvloeden. Het gebruiken van persoonsgegevens voor een ander doel dan waarvoor zij oorspronkelijk vastgelegd zijn is niet toegestaan (artt. 7 en 9 leden 1 en 2 Wbp). Als de embedded persoonsgegevens verzameld zijn in overeenstemming met de Wbp dan is er in beginsel geen juridisch obstakel voor het porteren van deze gegevens naar een ander IT-systeem in dezelfde context en met dezelfde functionaliteit omdat het doel dan hetzelfde blijft. Voor het gebruiken van de embedded data in systemen met een andere (ook uitgebreidere) functionaliteit en derhalve een ander (uitgebreider) doel geldt dit echter niet. Dit kan een ernstig obstakel zijn voor de continuïteit omdat voor elk doel op zichzelf een wettelijke basis moet zijn of toestemming moet worden gevraagd. Dit volgt uit art. 6 Wbp (wetmatige, behoorlijke en zorgvuldige, d.w.z. ook naar de betrokkene toe transparante verwerking), uit art. 8 Wbp (vereiste toestemming betrokkene of verwerking voor gerechtvaardigde doeleinden, w.o. volgens art. 8 sub f een doel dat proportioneel is ten opzichte van de belangen en fundamentele rechten van de betrokkene) en uit art. 11 Wbp (de gegevens moeten gezien de doeleinden waarvoor zij worden verzameld of verwerkt toereikend, ter zake dienend en niet bovenmatig zijn). Bovendien hebben nieuwe (vervangende) IT systemen vrijwel nooit exact dezelfde functionaliteit als de systemen die zij vervangen. Gaat het om bijzondere persoonsgegevens (art. 16 Wbp, o.a. gegevens betreffende de gezondheid) dan gelden nog sterkere beperkingen. In het geval van gegevens betreffende de gezondheid bijvoorbeeld dat de verwerking voor een goede behandeling of verzorging van betrokkenen noodzakelijk is. In het geval van het porteren van embedded data naar een nieuw IT-systeem geldt bovendien dat de verantwoordelijke verplicht is dit aan de betrokkene te melden (informatieplicht artt. 33 en 34 Wbp). De betrokkene heeft vervolgens weer het recht om zich te verzetten tegen verdere verwerking (art. 40-41 Wbp). Het recht op bescherming van de persoonlijke levenssfeer is daarmee niet alleen een beperking op de in de voorgaande paragrafen behandelde beschikkingsrechten, maar ook een beschikkingsrecht op zichzelf, dat de betrokkene kan inroepen tegen de afnemer van het IT systeem. Een zelfstandig probleem is dat de verantwoordelijke (c.q. de afnemer van het IT-systeem) de vertrouwelijkheid en de geheimhouding van de embedded persoonsgegevens moet garanderen (o.a. art 12 Wbp). De eisen van transparantie en portabiliteit kunnen strijden met deze eis. Een andere situatie waarin de afnemer de geheimhouding van de embedded data moet garanderen is als hij zich contractueel verbonden heeft om de bedrijfsgeheimen van de leverancier te bewaren. De embedded data zelf zijn overigens nooit bedrijfsgeheim. Hun structuur of format kan dit echter wel zijn. De verplichting van het bewaren van een bedrijfsgeheim kan onder omstandigheden ook impliciet voortvloeien uit het contract (o.g.v. de Haviltex norm, zie 3.2.4. hieronder). Deze verplichting kan overigens nooit in de weg staan aan de transparantie en portabiliteit van de embedded data, omdat deze in beginsel geen schending van het bedrijfsgeheim met zich meebrengen.
14
In de voorgaande paragrafen is al geconcludeerd dat de wettelijke regeling van (intellectuele) eigendomsrechten en gebruiksrechten op embedded data op zichzelf onvoldoende is om de continuïteit te garanderen. In deze paragraaf blijkt bovendien dat volledige uitoefening van het recht op bescherming van de persoonlijke levenssfeer wel een behoorlijk obstakel voor de continuïteit kan opleveren. Er is daarom een onbalans tussen enerzijds de beschikkingrechten die de continuïteit dienen en anderzijds de beperkingen daarvan m.n. door het privacyrecht. Deze onbalans kan niet worden opgeheven door wetgeving omdat de wetgever6 en de rechter7 er van uitgaan dat het recht op privacy prevaleert boven het recht op (intellectuele) eigendom.
6
Zie hierover onder andere art. 8f van de Wet Bescherming Persoonsgegevens, art. 7f van de Europese Privacyrichtlijn (95/46/EG) en de Resolutie van het Europees Parlement van 10 maart 2010 over transparantie en de stand van zaken bij de ACTA-onderhandelingen, overweging H 7 Zie hierover onder andere het HvJ EG in de zaak Promusicae/Telefonica ( HvJ EG 29/01/2008, zaaknr. C-275/06)
15
3. Casus 3.1. Kopieer- en reproductieapparatuur In dit deelonderzoek is onderzocht hoe de kopieer- en reproductieapparatuur bij de RUG feitelijk functioneert en in het bijzonder welke embedded data hierbij worden gebruikt en hoe de transparantie, de portabiliteit en de beschikkingsrechten contractueel zijn geregeld. De resultaten van dit deelonderzoek zijn neergelegd in een afzonderlijke rapportage (zie bijlage 1). Hier worden alleen de belangrijkste bevindingen geciteerd.
3.1.1. Bronnen: 1. 2. 3. 4.
Interview met Peter van Laarhoven, Projectleider Printbeleid (CIT), RUG Interview met Ronald Jongstra, Beheerder Managed Print Services, Ricoh Raamovereenkomst Ricoh en RUG Algemene Inkoopvoorwaarden RUG
3.1.2. Het systeem en de verwerking van embedded data De kopieer- en reproductieapparatuur bij de RUG ontvangt op twee wijzen embedded data: 1. Handmatig: bij het aanbieden van reproductiejobs moet een code worden ingevoerd, die wordt gekoppeld aan de locatie en het te reproduceren object. Dit leidt tot identificatie (als de code t.b.v. doorberekening wordt gekoppeld aan de gegevens van een individuele medewerker) of identificeerbaarheid als de code aan een object wordt gekoppeld dat persoonsgegevens bevat (dit geldt per definitie voor alle documenten waar persoonsgegevens in voorkomen zoals brieven, rapporten etc.); 2. Digitaal: de reproductiejobs worden aangeboden via het netwerk. Dit leidt per definitie tot identificatie, nl. door koppeling van het ip-nummer van de aanbieder met de job. Er is sprake van embedded data omdat ze worden bewaard en hergebruikt: 1. De gegevens worden gebruikt voor andere administratieve processen; 2. De gegevens blijven voor de gebruiker toegankelijk in het geheugen van de reproductieapparatuur tot ze worden gebruikt voor reproductie; 3. De gegevens blijven niet langer voor de gebruiker toegankelijk in het geheugen van de reproductieapparatuur achter totdat ze worden gewist door de beheerder of worden overschreven.
3.1.3. Belanghebbenden Belanghebbenden zijn in dit geval de afnemer van de apparatuur in verband met de gewenste continuïteit en de gebruikers van de apparatuur in verband met hun recht op privacy (registratie van gebruik en gereproduceerde gegevens). De auteursrechthebbenden op het gereproduceerde materiaal zijn geen directe belanghebbenden. Hun belangen worden afgehandeld via de Stichting reprorecht.
16
3.1.4. Transparantie en Portabiliteit De gegevens zijn na reproductie slechts deels door de oorspronkelijke gebruiker uitleesbaar (alleen jobs waarvoor de objecten door de gebruiker expliciet in het geheugen worden geplaatst). Alle gegevens (dus ook de persoonsgegevens) zijn uitleesbaar door de beheerder, die in dit geval tevens de leverancier is. De afnemer (de RUG) heeft, afgezien van gegevens die t.b.v. administratieve doeleinden aan gekoppelde IT-systemen worden afgestaan, geen directe toegang tot de embedded data. De embedded data worden opgeslagen in het eigen formaat van RICOH. De afnemer is voor het uitlezen en interpreteren ervan afhankelijk van RICOH. De gegevens zijn deels voor de gebruiker uitleesbaar (een mail aan de gebruiker) en deels voor vooraf gekoppelde administratieve systemen van de afnemer. Ze zijn echter niet portabel naar andere systemen. In het contract is wel een bepaling opgenomen dat de leverancier aan de overgang naar systemen van nieuwe leveranciers medewerking moet verlenen. Dit biedt echter onvoldoende garantie voor continuïteit in geval van een groot aantal afbreukrisico’s zoals wanprestatie, overmacht, surseance en faillissement.
3.1.5. Beschikkingsrechten Het grootste deel van de kopieer- en reproductieapparatuur wordt gehuurd van Ricoh. De RUG is daarom geen eigenaar van de apparatuur en evenmin van de embedded data. Het intellectueel eigendomsrecht ten aanzien van het format van de embedded data en de uitleesconfiguratie blijft bij Ricoh. Er is geen broncodedepot gevestigd voor deze configuratie. Er is een contractueel gebruiksrecht gevestigd voor het gebruik van de embedded data door de RUG. Ricoh heeft een meewerkverplichting in geval van beëindiging van de overeenkomst. Voor het geval dat Ricoh niet meer in staat is om mee te werken is echter niets geregeld. Een depot van de voor de continuïteit vereiste beheerskennis (toegangscodes, protocollen) en een (beperkt) recht op voortgezet gebruik van de apparatuur zou in dit geval een oplossing bieden. De privacy van deze systemen is onvoldoende geregeld. Er is geen technische beveiliging tegen het uitlezen van persoonsgegevens door de beheerder (een derde partij!). Er is wel voldoende bescherming tegen het uitlezen van persoonsgegevens door andere gebruikers en derden. Het contract bevat geen nadere bepalingen over dit onderwerp.
17
3.2. Diagnostische en therapeutische apparatuur Het praktijkonderzoek op het gebied van diagnostische en therapeutische apparatuur heeft plaatsgevonden bij het UMCG. Aangezien er op bestuurlijk en ondersteunend niveau geen problemen rond de toegankelijkheid bekend waren en er wel signalen waren dat er bij het wetenschappelijk gebruik van ruwe medische data obstakels werden ervaren, is er ook gesproken met een medisch onderzoeker. De resultaten van dit deelonderzoek zijn neergelegd in een afzonderlijke rapportage (zie bijlage 2). Hier worden alleen de belangrijkste bevindingen geciteerd.
3.2.1. Bronnen 1. 2. 3. 4. 5. 6.
Interview met Ron van den Bosch, hoofd ICT-beleid, UMCG; Interview met heer R. M. Löhr, afdeling Medische techniek, UMCG; Interview met André Linnenbank, medisch onderzoeker, AMC. Standaard Serviceovereenkomst UMCG Gedragscode Internet en E-mailgebruik UMCG Schema’s UMCG infrastructuur
3.2.2. Het systeem en de verwerking van embedded data Er is geen technisch onderzoek gedaan naar een specifiek IT-systeem omdat embedded data in vrijwel alle diagnostische en therapeutische apparatuur van het UMCG voorkomen. De apparatuur waarin embedded data voorkomen is grotendeels gekoppeld aan het centrale informatiesysteem van het UMCG. De embedded data betreffen in deze casus altijd persoonsgegevens (gegevens patiënt, behandelaar, behandeling, meetgegevens van de patiënt). De meetgegevens worden deels lokaal (ruwe gegevens in de apparatuur) en deels centraal (bewerkte uitvoergegevens in het centrale informatiesysteem) opgeslagen.
3.2.3. Belanghebbenden De kring van potentieel belanghebbenden bij embedded data is in het geval van medische apparatuur groot. Wij hebben ons in de interviews geconcentreerd op de afnemers van de apparatuur, de behandelaars, de patiënten en de onderzoekers, omdat andere partijen zoals de overheid (beleid) en de verzekeraars geen direct belang hebben bij de toegankelijkheid van embedded data. De afnemers hebben belang bij continuïteit in geval van overgang naar nieuwe apparatuur als daar embedded data uit de vervangen apparatuur voor nodig zijn. Dit belang is overigens afgeleid van de belangen van behandelaars, patiënten en onderzoekers. De behandelaars en patiënten hebben daarnaast belang bij embedded data als de standaard uitgevoerde gegevens onvoldoende zijn om goede medische zorg te kunnen leveren. Dit is vooralsnog uitzonderlijk, omdat de medische gegevens die voor goede medische zorg nodig zijn vrijwel altijd tot de reguliere uitvoer van de apparatuur behoren en dus niet embedded zijn. Patiënten hebben daarnaast belang bij de toegankelijkheid van embedded data als het gebruik daarvan hun persoonlijke levenssfeer raakt. Dit is vrijwel altijd het geval, omdat de ruwe medische gegevens in de behandelingscontext gekoppeld zijn aan identiteitsgegevens van de patiënten. In het geval van medisch onderzoek ligt dit
18
anders omdat de gegevens dan vrijwel altijd worden geanonimiseerd of met toestemming van de patiënten worden gebruikt. Onderzoekers hebben een zelfstandig belang bij de toegankelijkheid van embedded data omdat de regulier uitgevoerde gegevens vaak niet voldoende gedetailleerd dan wel onvoldoende voor wetenschappelijke onderzoekstechnieken toegankelijk zijn. Zo worden bijvoorbeeld ECG’s regulier grafisch uitgevoerd en slechts geïnterpreteerd voor zover dat voor de behandeling nodig is, terwijl voor het statistisch bewerken van verzamelingen van ECG’s ten behoeve van onderzoek de ruwe gegevens vereist zijn.
3.2.4. Transparantie en Portabiliteit De embedded data zijn voor de beheerders van de apparatuur toegankelijk en worden elk half jaar door het UMCG naar een externe harde schijf gekopieerd. De ruwe gegevens zijn niet direct toegankelijk voor het personeel van het UMCG. Als er echter medische redenen zijn om over deze gegevens te beschikken dan zijn er tot nu toe geen gevallen bekend waarin hiervoor juridische of technische obstakels waren, dan wel als dat wel het geval was hieraan door de leverancier geen medewerking is verleend. Er zijn echter geen standaardclausules in de contracten opgenomen waarmee een dergelijke medewerking kan worden afgedwongen. Het perspectief van de medisch wetenschappelijke onderzoekers toont een ander beeld. Embedded data zijn niet toegankelijk voor onderzoekers om juridische of technische redenen. In gevallen waarin ze wel toegankelijk zijn ze vaak niet interpreteerbaar, omdat de dataformats niet door de leverancier worden beschikbaar gesteld. Deze schijnbare tegenstrijdigheid heeft de volgende verklaring. Onderzoekers zijn zelden geneigd om direct toegang te eisen tot embedded data. Het vertrouwen dat dit lukt is klein omdat er vaak juridische obstakels worden opgeworpen. De praktijk is dat de onderzoekers zelf via reverse engineering het format van de gegevens reconstrueren en deze vervolgens toch gebruiken. Dit is overigens in strijd met de auteurswet (art. 45m Auteurswet)8. Hiervoor moet derhalve een juridische, i.c. contractuele, oplossing worden gevonden. De leverancier dient de embedded data toegankelijk te maken via de geleverde configuratie of het format af te geven voor gebruik door onderzoekers. De ruwe gegevens zijn in de meeste gevallen alleen met medewerking van de leverancier uitleesbaar. Er is wel een clausule in de contracten opgenomen op grond waarvan de leverancier na beëindiging van het contract mee moet werken aan de overgang naar nieuwe apparatuur. De vraag is echter hoever deze verplichting gaat. Dit type clausules is namelijk uiteindelijk altijd toetsbaar aan de Haviltex norm, d.w.z. hun uitleg wordt beperkt door wat partijen redelijkerwijze van elkaar mochten verwachten (HR 13 maart 1981, NJ 1981, 635). Er moeten dus goede medische of economische gronden zijn voor de geëiste mate van medewerking en de inspanningen moeten voor de leverancier niet onevenredig bezwarend zijn. De enige oplossing voor dit probleem is het vooraf volledig specificeren van de medewerking in het contract.
3.2.5. Beschikkingsrechten Het grootste deel van de diagnostische en therapeutische apparatuur wordt in eigendom overgedragen aan het UMCG. De UMCG is daarom eigenaar van de, in dit 8
Vgl. ook Svaz softwarové ochrany v Ministry of Culture of the Czech Republic Case C-393/09, 22 December 2010 (BSA)
19
geval binnen het UMCG gegenereerde en niet extern gedeelde embedded data. Het intellectueel eigendomsrecht ten aanzien van het format van de embedded data en de uitleesconfiguratie blijft bij de leveranciers. Er is wel een broncodedepot gevestigd voor deze configuraties. Er is een contractueel gebruiksrecht gevestigd voor het gebruik van de embedded data door het UMCG. Er is een geheimhoudingsplicht ten aanzien van het format van de embedded data. In geval van afbreuk kunnen de embedded data daarom verder worden gebruikt met behulp van de bestaande configuratie of als deze bestaat met een vergelijkbare configuratie en de software uit het broncode depot. Zijn de embedded data echter niet uitleesbaar en interpreteerbaar onafhankelijk van deze bestaande of vergelijkbare configuraties dan brengt de geheimhoudingsplicht met zich mee dat de continuïteit niet kan worden gegarandeerd. Er is in dat geval nl. geen bevoegdheid om het format van de embedded gegevens zelf te reconstrueren (reverse engineering). Er is bovendien geen standaard meewerkverplichting voor de leveranciers in geval van beëindiging van de overeenkomst. Voor het geval dat de leveranciers niet meer in staat zijn om mee te werken is echter niets standaard geregeld. Een depot van de voor de continuïteit vereiste beheerskennis (toegangscodes, protocollen) en een (beperkt) recht op voortgezet gebruik van de apparatuur zou ook in dit geval een oplossing bieden. Ook in deze casus zijn de embedded persoonsgegevens aan de uitvoerzijde voldoende beschermd. Het centrale informatiesysteem kent afdoende autorisatie en beveiliging. De interface naar lokale apparatuur kent ook voldoende autorisatie en beveiliging, al staat veel apparatuur na de initiële autorisatie langere periodes open (voor meerdere achtereenvolgende behandelingen). De ruwe gegevens zijn ook hier toegankelijk voor de personen die het onderhoud uitvoeren. Aangezien het hier om bijzondere persoonsgegevens gaat (art. 16 Wbp) zal in dit geval niet zomaar grotere transparantie en portabiliteit kunnen worden gerealiseerd. Hiervoor is ofwel een medische reden of expliciete toestemming van de patiënt vereist (zie boven).
20
3.3. Huisvuilpas Het praktijkonderzoek op het gebied van de huisvuilpas heeft plaatsgevonden bij de milieudienst van de gemeente Groningen. De resultaten van dit deelonderzoek zijn neergelegd in een afzonderlijke rapportage (zie bijlage 3). Hier worden alleen de belangrijkste bevindingen geciteerd.
3.3.1. Bronnen Bekijken van het gebruikte IT-systeem (CLEAR: container ledigingen en afvalstoffenregistratie), interviews met coördinator van CLEAR en met de IT afdeling van de Gemeente Groningen en met de leverancier van CLEAR.
3.3.2. Het systeem en de verwerking van embedded data De gemeente Groningen stelt twee typen huisvuilcontainers beschikbaar. De ondergrondse container is toegankelijk met een huisvuilpas en bedient een vooraf bepaalde verzameling panden. De minicontainer (kliko) is voorzien van een RFID en bedient een individueel pand. Het aanbieden van huisvuil bij de ondergrondse container vindt plaats met behulp van een huisvuilpas die de eigenaar/(hoofd)bewoner van een bepaald pand (huishouden) identificeert en alleen toegang geeft tot een aan (o.a.) dat pand toegewezen container. De container leest de identiteitsgegevens van de huisvuilpas in en registreert deze id-gegevens, de tijd, de datum en het aantal aanbiedingen. Deze gegevens worden uitgelezen en via GSM verstuurd naar de server van een bedrijf (Mic-O-Data). De server van dit bedrijf verstuurt vervolgens de gegevens naar de server van de milieudienst van de Gemeente Groningen. De gemeente gebruikt deze gegevens voor twee doeleinden: het bepalen van de vulgraad (t.b.v. de routering van de ophaaldienst) en het opstellen van een blacklist (i.g.v. extreem gebruik van een pas met een bepaald id). Het aanbieden van huisvuil via een minicontainer (kliko) vindt plaats door het vullen van de container en het aanbieden daarvan door het op straat plaatsen. De minicontainer bevat een chip die de aanbieder identificeert. De chip wordt bij het ophalen automatisch geactiveerd en uitgelezen door apparatuur in het voertuig. De gegevens worden tijdelijk opgeslagen op een handheld medium of via GPRS verstuurd naar de server van de milieudienst van de gemeente. De gegevens betreffen het id-nummer van de chip in de minicontainer, de tijd, de datum, de plaats en het aantal aanbiedingen. In andere gemeentes (o.a. Haren) wordt ook het gewicht geregistreerd. Alle hiervoor genoemde gegevens worden vijf jaar bewaard. De gegevens worden uitsluitend gebruikt voor logistieke (routeplanning), controle (fraude, blacklist) en beleidsdoeleinden.
3.3.3. Belanghebbenden De belanghebbenden zijn in deze casus de afnemer in verband met de continuïteit en de gebruiker van de huisvuilpas in verband met het gebruik van persoonsgegevens.
3.3.4. Transparantie en Portabiliteit De verzamelde gegevens zijn niet zichtbaar voor de primaire gebruiker (de aanbieder van het huisvuil). Zij zijn wel volledig zichtbaar voor de secundaire gebruiker (de
21
gemeente via het eigen CLEAR systeem) onder de voorwaarde dat het systeem van Mic-O-Data functioneert. De ruwe gegevens van Mic-O-Data zijn nl. niet uitleesbaar en hebben een eigen Mic-O-Data format. Mic-O-Data bewaart deze gegevens een jaar. Transparantie is van groot belang omdat het niet tijdig ophalen van huisvuil tot grote (gezondheids-, milieu- etc.) problemen kan leiden. Er zijn geen contractuele afspraken over de transparantie gemaakt. De gegevens uit het Mic-O-Data systeem zijn niet portabel. Dit is een acuut probleem in geval van overgang naar een nieuw IT-systeem, langdurige technische storingen of afbreuk aan de kant van de leverancier. Er zijn hierover geen contractuele afspraken gemaakt. Er wordt wel overwogen om een broncodedepot te vestigen. Het eigen database systeem (CLEAR) is wel portabel (een standaard database systeem dat met algemeen beschikbare conversie tools kan worden overgezet). Hiervoor is overigens ook een broncode depot gevestigd.
3.3.5. Beschikkingsrechten In deze casus worden drie verschillende systemen gebruikt (TarDif IRDC, CLEAR en het EngelsHLC systeem, zie bijlage). Deze systemen zijn in eigendom overgedragen aan de gemeente Groningen. De gemeente is derhalve eigenaar van de, in dit geval binnen het de systemen gegenereerde en niet extern gedeelde embedded data. Voorde embedded data zijn open formats en voor de communicatie open protocollen gebruikt. Er is een broncodedepot gevestigd ten behoeve van de gemeente Groningen voor CLEAR, maar (tot verassing van de geïnterviewde) nog niet voor TarDif IRDC. De continuïteit lijkt hiermee redelijk gegarandeerd, m.u.v. het TarDif IRDC totdat het broncodedepot zal zijn gevestigd. Er worden door de gemeente persoonsgegevens verzameld zonder wettelijke basis en zonder toestemming van de betrokkenen. De wettelijke verplichting c.q. bevoegdheid van de gemeente strekt zich wel uit tot het afvoeren van huisvuil en daarbij evt. bestrijden van fraude en bepalen van beleid (bijv. m.b.t. de vereiste capaciteit), maar niet tot het registreren van gegevens met betrekking tot de identiteit van de aanbieder in combinatie met de tijd, datum en het aantal aanbiedingen (en zeker niet m.b.t. het aangeboden gewicht). Het verzamelen van deze gegevens is daarom in strijd met de Wbp. De doeleinden waarvoor de gegevens worden verzameld (tijdig afvoeren, bestrijden van fraude en bepalen van beleid) vereisen slechts registratie van de totale hoeveelheid door geautoriseerde id-nummers aangeboden huisvuil c.q. het aantal mini containers per id-nummer. Het belang van het correct en consequent toepassen van de Wbp in dit geval is groot. Zie bijv. het geval waarin de dienst SoZaWe van een gemeente vroeg om toegang tot de huisvuilgegevens. Het CBP bepaalde in dit geval dat dit onrechtmatig is (CBP 2006). Voor de transparantie en portabiliteit van deze embedded data betekent dit dat burgers hier voor problemen kunnen zorgen omdat zelfs als hierover met de leveranciers van de IT-systemen afdoende afspraken zijn gemaakt individuele burgers zich nog tegen het uitlezen en gebruiken van deze gegevens kunnen verzetten. Een ander probleem is dat de gebruikte RFID technologie fraude (kopiëren van passen en chips) gemakkelijk maakt en in combinatie met GSM resp. GPRS onveilig is. Vgl. de ervaringen met de OV Chipkaart waarin dezelfde technologie wordt gebruikt. Fraude is vooral een economisch probleem voor de overheid, de genoemde onveiligheid raakt daarentegen de burger in andere belangen (het afvagen van GSM en GPRS verkeer maakt het mogelijk om bijv. vast te stellen dat een bepaald huishouden gedurende een bepaalde tijd geen huisvuil aanbiedt).
22
4. Conclusies en aanbevelingen: Juridische standaarden voor het bevorderen van de transparantie en portabiliteit De probleemstelling van dit onderzoek is dat het vaak voorkomt dat de afnemer van IT systemen en diverse andere belanghebbenden niet de volledige beschikking hebben over de in deze systemen verwerkte gegevens, terwijl dit wel in hun belang zou zijn. Het gaat hierbij in het bijzonder om de continuïteit van de processen die door de ITsystemen waarin deze embedded data zijn opgenomen worden ondersteund, maar ook voor de gebruikers van deze systemen (bijv. hun medische behandeling, hun recht op privacy) en voor andere partijen (beleidsmakers, behandelaars, wetenschappers). Uit deze probleemstelling vloeide de volgende vraagstelling voort: 1. Welke partijen hebben welke beschikkingsrechten op embedded data in ITsystemen en 2. Hoe kunnen de belanghebbenden bij deze embedded data optimaal gebruik maken van deze rechten dan wel deze rechten via de leverings- en dienstverleningscontracten van de IT-systemen maximaliseren; Om deze vragen te beantwoorden is onderzoek gedaan naar de beschikkingsrechten op embedded data in de rechtsbronnen, de literatuur en de praktijk. Conclusies juridisch onderzoek Het juridisch onderzoek leidt tot de volgende specifieke conclusies: 1. De bestaande wetgeving op het gebied van eigendom, intellectuele eigendom en bescherming van de persoonlijke levenssfeer levert geen op maat gesneden oplossing voor het probleem van transparantie en portabiliteit van embedded data; 2. De bestaande wetgeving op het gebied van de bescherming van de persoonlijke levenssfeer biedt wel een (theoretische) oplossing voor het probleem van de bescherming van embedded persoonsgegevens; 3. Als de rechthebbenden maximaal gebruik zouden maken van hun recht op bescherming van embedded persoonsgegevens zou overigens blijken dat er een onbalans bestaat tussen de beschikkingsrechten gebaseerd op (intellectuele) eigendom en die gebaseerd op bescherming van de persoonlijke levenssfeer. In dat geval komen de transparantie en portabiliteit in gevaar door het maximaal gebruik van het recht op privacy; 4. De bij transparantie en portabiliteit betrokken belangen zijn divers en vaak strijdig. Fine tuning door middel van contractuele bepalingen is daarom vereist. Nieuwe wetgeving is geen oplossing; 5. De overheid kan bij het oplossen van dit probleem een rol spelen door het (laten) ontwikkelen en beschikbaar stellen van standaarden voor IT contracten en het bevorderen van kennis hierover bij de afnemers van IT systemen en bij andere belanghebbenden en in het bijzonder van kennis bij burgers met betrekking tot de toepassing van het privacyrecht.
23
Conclusies praktijkonderzoek Uit het praktijkonderzoek blijkt dat het in hoofdstuk 1 gesignaleerde probleem reëel is. Embedded data zijn onvoldoende toegankelijk voor de afnemers van IT systemen en andere belanghebbenden. De beschikkingsrechten op deze data zijn over het algemeen onvoldoende (contractueel) geregeld. De wetgeving op het gebied van deze beschikkingrechten (eigendom, intellectuele eigendom en gebruiksrechten) is generiek, d.w.z. is niet toegespitst op de beschikking over embedded data. Aanpassing van deze wetgeving is geen oplossing voor het probleem, omdat de (verhoudingen tussen de) belangen in de verschillende gevallen hiervoor te divers zijn. Voor de beperkingen op deze beschikkingsrechten, in het bijzonder de bescherming van persoonsgegevens, is te weinig aandacht, hoewel de wettelijke regeling hiervan (meer dan) voldoende waarborgen biedt. Als de huidige wettelijke regelingen van enerzijds beschikkingsrechten en anderzijds beperkingen (i.h.b. het privacyrecht) onverkort zouden worden toegepast dan zou er sprake zijn van een onbalans in het voordeel van de privacy. Uit de onderzochte casus komt naar voren dat de belangrijkste oorzaak van het onvoldoende regelen van de beschikkingsrechten en beperkingen hiervan niet is gelegen in een gebrek aan juridische instrumenten (wettelijk of contractueel) of onverschilligheid ten aanzien van de betrokken belangen9, maar in ignorantie. Het bewustzijn van de problematiek en de kennis om deze op te lossen ontbreken. De oplossing ligt dan ook in het verhogen van het bewustzijn door het voorzien in kennis in de vorm van contractuele standaardvoorwaarden, die onderdeel zouden kunnen vormen van uniforme inkoop- en leveringsvoorwaarden (vgl. ARBIT, ICT-OFFICE etc.). Het praktijkonderzoek leidt tot de volgende conclusies: 1. Er is bijzonder weinig bewustzijn van de problematiek rond transparantie en portabiliteit van embedded gegevens bij afnemers van IT-systemen; 2. Contractuele bepalingen rond transparantie en portabiliteit ontbreken in veel gevallen en dat is bij ontstentenis van een specifieke wettelijke regeling voor embedded data problematisch ; 3. Er is te weinig kennis van het privacyrecht bij leveranciers en afnemers. Er worden te veel persoonsgegevens vastgelegd en verwerkt; 4. Interne richtlijnen voor het juist toepassen van het privacyrecht bij het aanschaffen van IT-systemen ontbreken; 5. Als de betrokkenen hierop (1-4) worden gewezen is hen het belang van het nemen van juridische en technische voorzorgsmaatregelen onmiddellijk duidelijk; 6. De praktijk is derhalve rijp voor het gebruiken van contractuele standaarden die de transparantie en de portabiliteit van embedded data bevorderen en voor standaarden die het normconform gebruik van embedded persoonsgegevens bevorderen. Algemene conclusie Uit het juridische en praktijkonderzoek naar beschikkingsrechten op embedded data blijkt dat de juridische maatregelen die de toegang tot embedded data kunnen garanderen op systematische wijze te beschrijven zijn en daarom de basis kunnen vormen van standaarden voor IT-contracten. Hetzelfde geldt voor de mogelijke 9
Er is voldoende draagvlak voor het zoeken naar een oplossing. In het geval van de huisvuilpas werd er bijvoorbeeld op grond van ons onderzoek besloten om de contractuele voorwaarden opnieuw door te nemen en zo nodig uit te breiden.
24
technische uitwerking van deze maatregelen. Ook blijkt in alle drie onderzochte casus het belang van de toegang tot embedded data (in de zin van transparantie en portabiliteit), nadat de afnemers hierop zijn gewezen, te worden erkend, maar blijken de feitelijke juridische voorzorgsmaatregelen en hun technische uitwerking te kort te schieten. Er is geen sprake van een gebrek aan juridische instrumenten en aan belangstelling of aan politieke opportuniteit, maar slechts van een gebrek aan juridisch en technisch inzicht. Het is derhalve niet alleen mogelijk om juridische standaarden (incl. hun technische uitwerking) te formuleren, maar de praktijk is voor de toepassing daarvan ook ontvankelijk. Deze algemene conclusie geeft aanleiding tot de volgende aanbevelingen. Aanbevelingen De aanbevolen standaarden (contractuele standaardvoorwaarden en standaarden voor normconform gedrag) waarvan de contouren op grond van de resultaten van dit onderzoek zichtbaar worden zijn: 1. De exclusiviteit van de beschikkingsrechten op embedded data moet zelfs in het geval van volledige eigendomsoverdracht van het IT systeem contractueel worden vastgelegd; 2. Er moet altijd worden bedongen dat de embedded data feitelijk uitleesbaar (een interface naar de embedded data en een exportfunctie) en interpreteerbaar (een open format of de sleutel voor een closed format) zijn (aan een niet realiseerbaar recht heb je niets): a. Er moet daarom een (sub)licentie worden bedongen voor het uitlezen en porteren van de embedded data met behulp van werken waarop de leverancier intellectuele eigendomsrechten behoud, of b. Er moet medewerking van de leverancier aan het uitlezen of porteren van gegevens worden bedongen; 3. Als de gegevens niet met een onafhankelijk standaard (verkrijgbaar) ITsysteem uitleesbaar en interpreteerbaar zijn dan moet er ook een retentierecht of een broncodedepot worden gevestigd dat in alle gevallen van afbreuk waarin de leverancier niet wil of kan meewerken inroepbaar is; 4. De afnemer moet zich er van bewust zijn dat er wettelijke beperkingen bestaan, zelfs als hij exclusieve beschikkingsrechten heeft verkregen. De belangrijkste beperkingen zijn gebaseerd op het privacyrecht. Het overzetten van transparante en portabele persoonsgegevens naar een nieuw IT-systeem is bijvoorbeeld veelal slechts mogelijk als de verdere verwerking van deze gegevens rechtmatig is en met toestemming van de betrokkene (deze standaard moet daarom of toestemming vooraf voorschrijven dan wel een model voor de toestemming bij overgang); Deze standaarden kunnen worden opgenomen in uniforme inkoop-, leverings- en dienstverleningsvoorwaarden, die in het geval van de overheid als afnemer van IT systemen en leverancier van diensten aan de burger bindend kunnen worden opgelegd.
25
Bijlage 1 Kopieer- en reproductieapparatuur Bronnen - Interview met Peter van Laarhoven, Projectleider Printbeleid (Center for Information Technology CIT) van Universiteit Groningen (10-05-2011) - Interview met Ronald Jongstra, Managed Print Services manager (RICOH) (10-052011) - Raamovereenkomst Ricoh en RUG - Algemene Inkoopvoorwaarden RUG
Systeem Binnen de RUG zijn drie types printers te vinden: multifunctionals, netwerkprinters en kamerprinters. Deze zullen achtereenvolgens behandeld worden. Multifunctionals
Om de kosten terug te dringen is er fors ingezet op het gebruik van grotere multifunctionals. Deze worden geleverd en onderhouden door Ricoh en bieden meer functionaliteit dan gewoon printen. Deze apparatuur heeft extra functionaliteit in de vorm van scannen, faxen en e-mailen. De multifunctionals zijn aan te spreken via het netwerk en zo voor meerdere gebruikers toegankelijk. De multifunctionals van Ricoh draaien op een embedded Linux OS en beschikken over een harde schijf. Deze harde schijf wordt als buffer gebruikt voor printopdrachten. Volgens Ricoh zijn de bestanden op de harde schijf niet direct door derden te benaderen, omdat er een eigen bestandssysteem gebruikt wordt. Ook onderhoudsmonteurs kunnen niet bij de bestanden geraken. Indien een schijf defect raakt, wordt deze door Ricoh vervangen. De ingenomen schijf wordt gewist. Er bestaat een optie om de harde schijf standaard te versleutelen, maar vanwege extra kosten heeft men hier niet voor gekozen. Dit is opvallend te noemen, aangezien uit eis 7.1.12(e) van de aanbesteding blijkt dat encryptie van harde schijven een eis was bij de aanbesteding. De netwerkverbinding van de multifunctionals verloopt via een Virtual Local Area Network (VLAN) verbinding waardoor de printer niet direct toegankelijk is via het internet. Een VLAN werkt als een fysiek afgescheiden LAN, waarbij specifieke poorten van switches niet worden toegewezen aan het algemene RUG netwerk, maar aan virtueel LAN. Hierdoor behoren deze specifieke switchpoorten toe aan dit separate netwerk, waardoor alleen apparaten die zich in hetzelfde VLAN bevinden met elkaar kunnen communiceren. De printers krijgen op het netwerk hun IP-adres automatisch toegewezen door een DHCP server. Omdat er een lokaal IP-bereik gebruikt wordt zijn de netwerkpackets niet routeerbaar, waardoor het onmogelijk wordt om een verbinding via het internet op te zetten. Elk IP-adres dat wordt uitgegeven door de DHCP server is hierbij bovendien gekoppeld aan het MAC adres van de specifieke printer. Hierdoor kunnen andere apparaten en computers geen IPadres krijgen als ze clandestien worden aangesloten op het netwerk. Uiteraard is door middel van MAC cloning het wel mogelijk om het MAC adres na te bootsen. Zo kan het MAC adres van het originele apparaat worden gebruikt om toch verbinding te leggen met het VLAN. Uiteraard kan er maar één apparaat met een specifiek MAC adres actief zijn. Het echte apparaat en imitatieapparaat kunnen daarom niet tegelijkertijd aangesloten zijn.
26
Binnen het VLAN staan naast de printers en de DHCP server nog een Ricoh Monitorserver en een mailserver opgesteld. De monitorserver wordt gebruikt om de Ricoh printers te kunnen controleren. Alleen via een Beveiligde Werkplek (BWP) kan ingelogd worden op de iPrint- en de monitorserver. De mailserver wordt gebruikt voor de mailfunctionaliteit op de multifunctionals. Deze server moet zich binnen het VLAN bevinden, want de multifunctional kan immers geen verbinding maken buiten het VLAN. De mailserver heeft echter, net als de iPrint server, wel een verbinding met het internet. Het printen naar de printers van Ricoh gebeurt net als bij alle andere netwerkprinters via de iPrint client van Novell. Deze is geïnstalleerd op de computer van de gebruiker en communiceert met de Novell Open Enterprise Server op onder andere http://iprint-04.id.rug.nl. Deze server stuurt vervolgens de printopdracht door naar de betreffende printer. De iPrint client van Novell ondersteunt standaard SSL/TLS encryptie voor het verzenden van printopdrachten. Uit onderzoek met het packet capture programma Wireshark blijkt dat de inhoud van een printopdracht niet versleuteld wordt. De naam van de printopdracht, meestal de bestandsnaam van het document, en de gebruikersnaam van de opdrachtgever en de postscript file, die het document bevat, zijn te zien. Aangezien het fysieke netwerk van de universiteit niet makkelijk af te tappen is acht het CIT het niet nodig om versleuteling in te schakelen. Zowel de verbinding tussen computer-printserver als printerserver-printer is in alle gevallen onversleuteld.
Voor het beschermen van ongeoorloofd lezen van geprinte documenten is de ‘locked printing’ functionaliteit ingevoerd. Met deze techniek is het mogelijk voor eindgebruikers om de printopdracht naar de printer te beveiligen met een gebruikersnaam en een wachtwoord. Deze (willekeurige) gebruikersnaam en wachtwoord kunnen op de PC worden ingevoerd voor het verzenden van de opdracht en dienen nogmaals op de console van de printer ingevoerd te worden, voordat het printen wordt gestart. Hiermee wordt voorkomen dat andere gebruikers de prints al afgedrukt aantreffen, waardoor de vertrouwelijkheid in gevaar komt. Locked prints worden na 3 uren automatisch van de machine verwijderd, conform eis 7.2.19 van de aanbesteding. Netwerkprinters Deze kleinere printers zijn evenals de multifunctionals via het netwerk te benaderen en meerdere gebruikers kunnen hier gebruik van maken. Deze apparaten zijn echter in tegenstelling tot de multifunctionals alleen in staat om te printen. Printen naar netwerkprinters gebeurt, net als bij de multifunctionals, via de iPrint client.
27
Het verschil is echter, dat de netwerkprinters niet via een VLAN aangesloten zijn, maar ook direct via hun eigen internet IP-adres te bereiken zijn. Nader onderzoek bracht aan het licht dat een groot aantal printers op deze manier direct bereikbaar zijn. Bovendien is het grootste gedeelte van de netwerkprinters niet beveiligd met een wachtwoord. Hierdoor kunnen derden zonder enige moeite via het internet op de printer inloggen en diens instellingen veranderen en bovendien ook printen. Indien de derde weet waar de printer zich bevindt, dan kan deze zo buiten het factureringssysteem om printopdrachten versturen en vervolgens de afdrukken meenemen. Tevens kunnen printjes op deze manier 'spontaan' bij printers komen te liggen of kunnen printers overstelpt worden met nutteloze printjes. Op deze manier kunnen kwaadwillenden storingen veroorzaken (Denial of Service) en bovendien valse informatie verspreiden. Het CIT bleek niet in staat om de bron van de directe printopdrachten die via het internet verliepen te achterhalen. Bij enkele printers wordt bovendien ook nog een lijst met de titels van de afgedrukte documenten getoond. Een voorbeeld hiervan is “RUG-LETT Offert 042811 115617”. Gevoelige data zou hiermee ter beschikking aan derden kunnen worden gesteld. Na een empirische test bleek dat zo een printer van een functionaris van de Europese Commissie bij de Universiteit gecompromitteerd kon worden, terwijl deze printer juist speciaal geplaatst in een fysiek afgesloten ruimte geplaatst was om zo de vertrouwelijkheid te waarborgen. De reden dat de ‘netwerkprinters’ goed zijn beveiligd ligt in het feit dat deze printers niet onderhouden worden door het CIT. Ze zijn vaak aangeschaft door faculteiten zelf en daarom heeft het CIT geen zeggenschap over het beheer. Omdat deze printers zoveel mogelijk uitgefaseerd worden, wordt er ook niet meer in geïnvesteerd. Kamerprinters Deze kleine printers zijn meestal direct aangesloten aan een computer en worden slechts door één of enkele medewerkers gebruikt. De printers ondersteuning niet het opslaan van gegevens voor later hergebruik. Het is slechts mogelijk om een directe printopdracht te sturen die meteen wordt uitgevoerd.
Proces Met de nieuwe aanbesteding van de printfaciliteiten binnen de RUG is er gekozen voor een nieuw dienstverleningsmodel, managed print services, waarbij een hechtere samenwerking met de leverancier voorop staat. De verantwoordelijkheden voor het goed functioneren van de apparatuur zijn opnieuw vastgesteld en vastgelegd.10 Het CIT is het aanspreekpunt bij vragen of hulp bij problemen bij het functioneren van de printers en multifunctionals. Het Facilitair Bedrijf is verantwoordelijk voor de facturering en het bestelproces. Facility managers van de faculteiten zijn het lokale aanspreekpunt.
10
Aanbestedingsdocument voor de Openbare Europese aanbesteding Afdrukapparatuur en dienstverlening - RUG 0000 2500 349 p. 7.
28
De leverancier (Ricoh) bewaakt op afstand constant de status van de door haar onderhouden apparatuur. De fleet operators worden door Ricoh ingezet om de afdrukapparatuur werkend te houden. Hieronder valt het bijvullen van onder andere papier en toners. Door dit werk uit te besteden aan professionals wordt gehoopt op een lagere storingsgraad, omdat gewone medewerkers veelal weinig technische ervaring hebben met printerstoringen. De fleet operators worden per Blackberry op de hoogte gehouden van storingen en tekorten in supplies. Ze krijgen een bericht met de locatie van de printer en de onderhoudshandeling die uitgevoerd dient te worden. De fleet operators kunnen via een speciale laptop op afstand bekijken wat er aan een printer mankeert. In het verleden was het mogelijk om via internet de status van de printers op te vragen, maar tegenwoordig kan het alleen via de verschafte laptop die aangesloten is op het beveiligde printnetwerk (VLAN). De oude printers die nog niet onder de nieuwe aanbesteding vallen worden zo snel mogelijk vervangen. Het einddoel is om in beginsel alleen nog maar Ricoh printers te hebben.
Oordeel organisatie over gewenste transparantie en portabiliteit Toegang tot de gegevens wordt door de organisatie niet als een probleem ervaren, vanwege het feit dat de opslag in meeste gevallen van tijdelijke aard is. In het geval van printopdrachten wordt de opdracht automatisch uitgevoerd of na 3 uur verwijderd. De multifunctionals, die over uitgebreide opslagfunctionaliteit beschikken, worden in de praktijk niet voor gegevensopslag gebruikt. Transparantie zou wel een probleem kunnen vormen als de gegevensopslag wel wordt gebruikt en er zich vervolgens fouten voordoen. Het is voor de universiteit zelf niet mogelijk om toegang tot de gegevens te krijgen, omdat deze in een specifiek bestandssysteem van Ricoh zijn opgeslagen. Met betrekking tot de portabiliteit zijn er in de aanbesteding eisen opgenomen. Zo is in onder andere in artikels 7.1.20 de eis opgenomen dat de apparatuur met het PDF formaat overweg moeten kunnen. Ook moest de apparatuur in het begin van het aanbestedingstraject nog compatibel zijn met zowel Linux, MacOS en Windows. Deze eis is op een later moment versoepeld en slechts Windows ondersteuning werd vereist, zie artikel 7.20.8 van de aanbesteding. Deze keus voor uitsluitend Windows beperkt de portabiliteit.
Contractuele bepalingen De contracten tussen leverancier en de Universiteit Groningen konden voor dit onderzoek wel worden ingezien, maar niet integraal worden meegeleverd. Eigendom De ingezette apparatuur wordt gehuurd en is derhalve geen eigendom van de RUG. Intellectuele eigendom Volgens artikel 11 van de Algemene Inkoopvoorwaarden Rijksuniversiteit Groningen, die van toepassing zijn op de gesloten overeenkomst, zouden “alle industriële en intellectuele eigendomsrechten op of in verband met zaken of werkwijzen die specifiek voor of in opdracht van opdrachtgever zijn ontworpen en/ of vervaardigd, en van de daarvoor door opdrachtgever of de wederpartij vervaardigde of gebruikte tekeningen, teksten, modellen, handboeken, monsters, hulpmiddelen, berekeningen, software en andere documenten en gegevensdragers” aan de RUG toekomen. Echter, in afwijking hiervan is in artikel 9 van de Raamovereenkomst afgesproken de 29
Intellectuele eigendomsrechten op systeemprogrammatuur bij de leverancier blijven. Indien de leverancier echter specifieke werkzaamheden voor de RUG uitvoert, komt het intellectuele eigendomsrecht wel aan de RUG toe. Gebruiksrechten en meewerkverplichtingen Een bekend probleem bij het migreren naar een nieuwe leverancier is de zogenoemde ‘vendor lock-in’. Hierdoor wordt het voor de afnemer erg lastig en kostbaar om van leverancier te wisselen. In het contract is een artikel (2.4) opgenomen om dit gevaar te ondervangen. “De [leverancier] dient na de beëindiging van de overeenkomst alle medewerking te verlenen bij de overgang naar de nieuwe leverancier(s) en op verzoek van de RUG nog enkele maanden door te gaan met de levering van Afdrukapparatuur en de daarmee samenhangende Dienstverlening. [De leverancier] zal na beëindiging van deze raamovereenkomst zijn volledige medewerking geven bij een overgang naar (een) andere leverancier(s). Dit houdt in dat [de leverancier] binnen maximaal twee maanden na beëindiging van deze raamovereenkomst de levering van Afdrukapparatuur en de daarmee samenhangende Dienstverlening overdraagt aan (een) nieuwe leverancier(s). [De voormalige leverancier] zal gedurende deze tijd nog door leveren en de bijbehorende diensten aanbieden onder de voorwaarden en prijzen van deze overeenkomst synchroon aan de migratie door de nieuwe leverancier(s).” Beperkingen: Bescherming persoonlijke levenssfeer en bedrijfsgeheimen Artikel 12 van de Algemene Inkoopvoorwaarden Rijksuniversiteit Groningen behandeld de aspecten van geheimhouding. In het artikel wordt het volgende gesteld: “Indien de wederpartij voorziet of redelijkerwijze moet voorzien dat hij tekort zal schieten in de nakoming van een of meer van zijn verplichtingen, waaronder begrepen het uitblijven van en/ of gebrekkige en/ of niet tijdige levering, alsmede van elke wijziging van de samenstelling c.q. eigenschappen van de te leveren zaken, is de wederpartij verplicht opdrachtgever daarvan onder opgave van redenen en van de vermoedelijke duur van de vertraging onverwijld en vooraf schriftelijk in kennis te stellen. De wederpartij is, zowel tijdens als na beëindiging van de overeenkomst, verplicht tot geheimhouding van het bestaan van en de inhoud van de overeenkomst en alle van opdrachtgever ontvangen knowhow en gegevens, met dien verstande dat de plicht tot geheimhouding beperkt wordt tot twee jaar na ontvangst van de betreffende informatie. De wederpartij is gerechtigd vertrouwelijke gegevens te gebruiken welke reeds in haar bezit zijn zonder verplichting tot vertrouwelijkheid of onafhankelijk ontwikkeld zijn”. Naast deze bepaling zijn er niet nadere geheimhoudingsclausules opgenomen. Er zijn derhalve geen specifieke afspraken gemaakt over de geheimhouding van gegevens die ter kennisgeving bij de leverancier zijn gekomen bij bijvoorbeeld het uitvoeren van onderhoud aan de apparatuur. Uit het interview bleek dat Ricoh standaard de interne hardeschijven wist van apparaten die voor onderhoud uit bedrijf worden genomen. Dit is echter niet contractueel vastgelegd.
30
Bijlage 2 Diagnostische en therapeutische apparatuur Bronnen - Interview met Ron van den Bosch, Hoofd ICT-beleid UMCG - Interview met heer R. M. Löhr, afdeling Medische techniek, UMCG; - Interview met André Linnenbank, medisch onderzoeker, AMC. - Standaard Serviceovereenkomst UMCG - Gedragscode Internet en E-mailgebruik UMCG - Schema’s UMCG infrastructuur
Systeem Binnen het UMCG draaien veel verschillende systemen met daaromheen een soort applicatieschil. Deze applicatieschil zorgt ervoor dat de verschillende gebruikers toegang krijgen tot de onderdelen van de systemen die zij uit hoofde van hun functie nodig hebben. Onderstaand figuur is een versimpelde versie van de ICT-infrastructuur binnen het UMCG. Een lokaal systeem (een pc, een handheld apparaat of een ander systeem) maakt gebruik van het netwerk om via webservers en communication servers verbinding te maken met de application servers waarop het EPD draait. Via de application servers kan men, indien men daartoe bevoegd is, verbinding maken met database servers. Deze verwijzen naar vindplaatsen van gegevens (waaronder foto’s en tekstbestanden) die opgeslagen zijn op de verschillende opslagpunten binnen het Storage Area Network.
31
In het volgende figuur is te zien dat het UMCG een ICT-architectuur hanteert waarbij er systemen zijn die autonome deelprocessen ondersteunen. Een voorbeeld is een laboratorium. Daar worden steeds weer metingen verricht, soms volgens een complex proces middels bijvoorbeeld productiestraten. De resultaten van zo’n proces kunnen worden opgeslagen in het EPD. Een geautoriseerde persoon kan vervolgens deze resultaten opvragen.
Daarnaast bestaan er generieke systemen, zoals bijvoorbeeld systemen voor facturering (DBC-registratie) of vastleggen van medicatie of het maken van afspraken. Ook deze gegevens kunnen worden opgenomen in het EPD. De ICT-architectuur heeft een presentatielaag en een logiclaag. Deze laatste bepaalt met logische operatoren of de betreffende gebruiker toegang krijgt. Zo wordt er bijvoorbeeld gekeken of er een behandelrelatie met de patiënt is en of het betreffende specialisme van de gebruiker toegang geeft tot de gegevens. De gebruiker ziet echter slechts de presentatielaag met een autorisatiemodule en heeft geen besef van het feit dat er tientallen systemen worden aangesproken om het toegangsniveau te bepalen. Het algemene systeem dat de systemen verbindt, is het EPD. Kort gezegd is het EPD te zien als een verzamelbak met alle relevante informatie vanaf het eerste contact. Toegang is alleen mogelijk indien de gebruiker een behandelrelatie heeft met de patiënt en vanuit zijn aanstelling toegang tot de gegevens mag hebben. In noodgevallen kan dit mechanisme omzeilt worden door een noodknopmechanisme. Deze worden nauwkeurig gelogd en een commissie behandelt en beoordeelt elke noodknopingreep. 32
Proces Het gebruik van het EPD werkt als volgt. De behandelaar selecteert een patiënt. De behandelaar kan zelfs op basis van zijn agenda binnen de polikliniek zijn patiënt kiezen. Hij kan vervolgens zien welke poliklinische contacten er zijn geweest, wat voor een trajecten op dit moment nog lopen en bij welke specialisten, welke afspraken er nog openstaan, wat voor een klinische historie er bekend is en welke nieuwe uitslagen er bekend zijn geworden sinds laatste raadplegen. Naast de medische informatie kan de behandelaar in het EPD ook de correspondentie inzien. Daar staan alle brieven, OK-verslagen en allerlei andere diagnostische verslagen. Ook kan de behandelaar onder het kopje beeldvorming een verslag zien (van bijvoorbeeld een radioloog), inclusief beeldmateriaal. De infrastructuur gaat ervan uit dat er allerlei verschillende database-servers zijn in het systeem. Er is een database-server is voor alleen het lokale systeem (waar alle meetgegevens inzitten), maar ook een database-server voor het EPD-deel (waar enkel de door de hulpverlener als relevant bestempelde plaatjes inzitten). Voor alle kwetsbare onderdelen binnen de infrastructuur geldt een dubbele opslag voor de veiligheid van de gegevens. De gegevensopslag geschiedt tevens op verschillende fysieke locaties. In het EPD wordt er gecontroleerd of er een behandelrelatie is met de patiënt. Is die relatie vastgesteld en is de gebruiker vanuit de zorginstelling gemachtigd om die gegevens te bekijken, dan krijgt de gebruiker toegang tot de specifieke gegevens van de patiënt. Altijd wordt op basis van een specifieke patiënt gegevens opgevraagd. De gegevens zijn zo gekoppeld aan de patiënt en de toegang aan de behandelaars. Tot de lokale systemen (hieronder vallen tevens de systemen die niet aangesloten zijn op het EPD) hebben in principe alleen degenen toegang die daar werkzaam zijn. Zo hebben bijvoorbeeld radiologen slechts toegang tot het radiologiesysteem. Voor toegang tot de systemen ten behoeve van statistiek of wetenschappelijk onderzoek kan in gevallen een speciale bevoegdheid worden gegeven om deze gegevens op te vragen. Het betreft in dit geval echter wel alleen geanonimiseerde gegevens die niet terug te leiden zijn naar de patiënt. Bij onderhoud aan het centrale systeem, kunnen leveranciers niet bij de gegevens. Daar is speciale authenticatie voor nodig. Bij onderhoud aan lokale systemen hebben leveranciers soms toegang tot de gegevens. Het UMCG stelt nauw toe te zien op wat er gebeurt in deze onderhoudssituaties. Dit doet het door – indien mogelijk – toegang te beperken tot de systeemkant (een zogeheten ‘systeem-account’) en niet de gegevenskant. Dat account of dat systeem kan gelogd worden en dan wordt er bijgehouden wat er allemaal gedaan wordt. Ook wordt bewaking uitgevoerd door de afdeling Systeem beheer. Zij kunnen zien wat er gebeurt op de gebruikte systemen. Oordeel organisatie over gewenste transparantie en portabiliteit Wat betreft de transparantie van gegevens zorgt het UMCG er altijd voor dat embedded gegevens ook op eigen opslagsystemen worden opgeslagen en veiliggesteld. Zo wordt voorkomen dat gegevens ontoegankelijk worden in het geval dat een apparaat niet langer functioneert. Het UMCG stelt dan ook dat er geen problemen qua transparantie zijn. Het UMCG probeert zoveel mogelijk systemen aan te schaffen die werken met gegevensverwerking in een gestandaardiseerd formaat. Hierover maakt het UMCG afspraken met haar leveranciers, omdat de lokale systemen gegevens moeten kunnen uitwisselen met het EPD. Het UMCG werkt met het in Amerika ontwikkelde en 33
internationaal breed toegepaste standaard Health Level 7 (HL7). Gegevens die komen uit apparatuur dat meer een meetkarakter heeft, probeert men om te zetten in HL7formaat om zo ervoor te zorgen dat het aansluit bij het EPD. Systemen worden dus ingezet op basis van de vraag of ze een HL7-standaard hanteren qua gegevensverwerking en anders wordt geprobeerd het systeem zo aan te passen dat gegevens kunnen worden omgezet naar een formaat die wel voldoet aan de HL7-standaard. Zo wordt een grote portabiliteit van gegevens gewaarborgd.
Contractuele bepalingen Eigendom De Algemene Inkoopvoorwaarden van het UMCG (AIV) zijn de algemene voorwaarden die het UMCG hanteert bij inkoop van apparatuur. Art. 8 AIV ziet op de eigendom en het risico: ‘de eigendom van de goederen gaat op de instelling over op het moment van levering, tenzij anders overeengekomen. Uitzondering vormen de goederen die worden geleverd op basis van zicht- en proefzendingen en consignatie (8.1).’ In art. 8.2 is verder te lezen dat de instelling bevoegd is te verlangen dat de overdracht van de eigendom van de bestelde goederen en/of de hiervoor bestemde materialen en onderdelen op een eerder tijdstip zal plaatsvinden. De leverancier zal alsdan de goederen en/of de hiervoor bestemde materialen en onderdelen merken als herkenbaar eigendom van de instelling en de instelling vrijwaren voor verlies, beschadiging en uitoefening van rechten door derden. Of onder vrijwaring voor de uitoefening van rechten door derden ook de handhaving van rechten van intellectueel eigendom vallen, wordt uit dit artikel niet duidelijk. Dit kan een rol spelen wanneer de leverancier niet de auteursrechthebbende is van de programmatuur. Wel is dit te vinden in specifiekere bepalingen die gaan over rechten van intellectueel eigendom ( art. 17, 36 en 50 zijn de belangrijkste). Intellectuele eigendom Art. 17 AIV ziet op de industriële en intellectuele eigendom. Hierin staat dat de leverancier ervoor instaat dat voor gebruik en doorverkoop van de door hem ten behoeve van de instelling gekochte of vervaardigde goederen of hulpmiddelen geen inbreuk op zal leveren op octrooirechten, merkrechten, auteursrechten of enige andere rechten van derden. In het tweede lid van dit artikel staat vervolgens dat de leverancier de instelling vrijwaart voor aanspraken die voortvloeien uit een inbreuk op rechten uit het vorige lid. De leverancier moet dan alle schade vergoeden die het gevolg is van enige inbreuk. Voor de overdracht van rechten en verplichtingen aan derden door de leverancier is krachtens art. 18 AIV toestemming vereist van het UMCG. Aan deze toestemming kunnen voorwaarden worden gesteld. De leverancier blijft dan wel verantwoordelijk. In art. 36.3 AIV is te lezen dat de leverancier het UMCG vrijwaart tegen aanspraken van derden terzake van (eventuele) inbreuk op industriële of intellectuele eigendomsrechten van die derden, vergelijkbare aanspraken met betrekking tot knowhow, ongeoorloofde mededelingen e.d. daaronder begrepen, en vergoedt de instelling alle schade die het gevolg is van enige inbreuk. In de AIV zijn tevens een aantal bepalingen over programmatuur opgenomen. Allereerst over maatwerkprogrammatuur. Dit is ‘programmatuur gemaakt in opdracht 34
van de instelling die voldoet aan de in artikel 40 genoemde specificaties’ , aldus art. 31.4 AIV. Van belang is dus dat de programmatuur in opdracht van de instelling wordt gemaakt. In art. 40 AIV staan specifieke voorwaarden die aan de leverancier en het te leveren systeem worden gesteld. Uit art. 36.4 AIV volgt dat alle rechten van intellectuele en industriële eigendom op de in opdracht van de instelling ontwikkelde maatwerkprogrammatuur uitsluitend berust bij de instelling. Dit geldt eveneens voor de broncode van de maatwerkprogrammatuur en de bij de ontwikkeling van de maatwerkprogrammatuur gemaakte technische documentatie. Leverancier mag de broncode uitsluitend gebruiken voor het onderhoud van de maatwerkprogrammatuur die aan de instelling toebehoort, tenzij de instelling schriftelijk toestemming geeft om de broncode voor andere doeleinden te gebruiken. Standaardprogrammatuur is ‘programmatuur die niet in opdracht van de instelling is gemaakt en voldoet aan de in artikel 50 genoemde specificaties’, aldus art. 31.6 AIV. Art. 50 AIV ziet op het te verlenen gebruiksrecht. Uit de Algemene Inkoopvoorwaarden blijkt niets over de (intellectuele) eigendom van gegevens die geproduceerd of opgeslagen worden door de lokale systemen. Bij maatwerksystemen levert dit geen problemen op: alles is in opdracht gemaakt van het UMCG en het systeem is eigendom en intellectueel eigendom van het UMCG. Bij standaardsystemen is het nog maar de vraag of door dit systeem opgeslagen of geproduceerde gegevens (intellectueel) eigendom zijn van het UMCG. Het intellectuele eigendom op standaardsystemen ligt immers bij de leverancier, het UMCG heeft slechts een gebruiksrecht. Gebruiksrechten en meewerkverplichtingen In de eerste zin van art. 36.1 AIV is bepaald dat de leverancier er voor in staat dat het gebruik door de instelling van de in de overeenkomst gespecificeerde maatwerkprogrammatuur met bijbehorende documentatie, respectievelijk het overeengekomen gebruik van standaardprogrammatuur met bijbehorende documentatie, respectievelijk het gebruik van de verkochte apparatuur met bijbehorende documentatie geen inbreuk zal maken op enig industrieel of intellectueel eigendomsrecht of overig recht van derden. De tweede zin bepaalt dat als er toch een industrieel of intellectueel eigendomsrecht op de standaardprogrammatuur, maatwerkprogrammatuur of geleverde apparatuur (incl. bijbehorende documentatie), de leverancier moet zorgen dat de instelling het gebruiksrecht daarvan verkrijgt zonder dat daar voor de instelling extra kosten mee gemoeid zijn. De instelling heeft daarnaast het recht om op kosten van de leverancier het gebruiksrecht rechtstreeks met de derde (= rechthebbende) overeen te komen. Uit art. 36.2 AIV volgt dat de leverancier bepaalde verplichtingen heeft als blijkt dat het UMCG een inbreuk maakt of dreigt te maken op de in art. 36.1 AIV genoemde rechten. Ofwel moet de leverancier het betreffende product vervangen met een gelijkwaardig product dat geen inbreuk maakt op rechten van derden. Ofwel moet de leverancier ervoor zorgen dat het UMCG een gebruiksrecht verkrijgt. Ofwel moet de leverancier de producten zodanig wijzigen dat de inbreuk wordt opgeheven. Dit alles moet wel geschieden in overleg met de instelling en zonder dat de gebruiksmogelijkheden beperkter zijn dan die van de oorspronkelijk te leveren maatwerkprogrammatuur, standaardprogrammatuur of apparatuur. In art. 50 AIV staat dat de leverancier aan de instelling een niet-exclusief en niet-overdraagbaar recht verleent om de in de overeenkomst gespecificeerde standaardprogrammatuur voor de duur van overeenkomst te gebruiken op de in de
35
overeenkomst gespecificeerde apparatuur en programmatuur van de instelling (bedoeld wordt de gegevensverwerkende infrastructuur van de instelling conform art. 31). De leverancier verschaft de instelling de noodzakelijk documentatie waarin de functionaliteit en de gebruiksmogelijkheden van deze standaardprogrammatuur zijn beschreven. Art. 51 AIV verbiedt het UMCG om de standaardprogrammatuur openbaar te maken, te wijzigen, te kopiëren of anderszins te verveelvoudigen of te wijzigen, behalve als dit noodzakelijk is voor het gebruik dat bij de overeenkomst uitdrukkelijk is toegestaan of voor foutcorrectie in de programmatuur. Het UMCG is wel gerechtigd voor beveiligingsdoeleinden één back-up kopie te maken. Art. 55.1 AIV is een escrow-bepaling. Hierin wordt de leverancier verplicht ten behoeve van het UMCG een exemplaar van de broncode van de standaardprogrammatuur in escrow bij een door leverancier aan te wijzen broncodebewaarnemer te deponeren. Het UMCG mag deze broncode slechts gebruiker voor interne en niet-commerciële doeleinden (art. 55.3 AIV) en is verplicht tot geheimhouding met betrekking tot deze broncode(s) (art. 55.4 AIV). Blijkens art. 55.5 AIV komen de kosten voor de escrow-regeling voor rekening van het UMCG. Art. 55.2 geeft het UMCG het recht om van de broncode-bewaarnemer afgifte van alle versies van de broncodes te verlangen, indien en zodra partijen schriftelijk aan de bewaarnemer verklaren dat de overeenkomst op grond van faillissement van leverancier of surseance van betaling door hen is ontbonden. Beperkingen: Bescherming persoonlijke levenssfeer en bedrijfsgeheimen Art. 16 AIV bepaalt dat de leverancier en zijn werknemers een geheimhoudingsplicht hebben met betrekking tot bedrijfsinformatie van de instelling. Uit de overeenkomst blijkt niet of patiëntgegevens hieronder vallen. Wel is dit te beredeneren: de primaire bedrijfsvoering van een ziekenhuis is toch de hulpverlening aan patiënten. Patiëntinformatie is informatie die bij deze bedrijfsvoering gebruikt wordt. Bepalingen betreffende een speciale geheimhoudingsplicht en beveiliging zijn te vinden in art. 32 AIV. Vooral interessant is dat hier gesproken wordt over ‘van de andere partij ontvangen gegevens waarvan men weet of dient te weten dat deze van vertrouwelijk aard zijn.’ Dit soort gegevens moet elke partij geheimhouden, behalve als er een wettelijk plicht tot openbaarmaking is. Verder wordt in dit artikel verboden om informatie en gegevensdragers niet aan derden over te dragen, behalve als er voorafgaande schriftelijke toestemming toe is (van wie wordt niet gespecificeerd), en verstrekking aan personeel alleen plaatsvindt indien het dat nodig is voor het verrichten van de overeengekomen prestaties. Overtreedt men deze regels, dan moet er een boete betaald worden aan de andere partij van €100.000,- per gebeurtenis. Wat betreft de beveiliging staat in art. 32 dat personeel gevraagd kan worden om een verklaring van goed gedrag, dat partijen zich moeten houden aan beveiligingsrichtlijnen van het UMCG en dat in bijgaande specificaties de beveiligingsmaatregelen vastgelegd, welke in verband met de bescherming van de apparatuur en programmatuur en de verwerkte c.q. te verwerkten gegevens dienen te worden genomen. In de Standaard Service Overeenkomst is ook een clausule met betrekking tot bedrijfsgeheimen opgenomen. Artikel 10 stelt dat de partijen “geheimhouding in acht [zullen] nemen ten aanzien van alle bedrijfsinformatie, e.e.a. in de meest ruime zin van het woord bedoeld, die partijen in het kader van de uitvoering van deze Overeenkomst ter beschikking komt en partijen zijn onvoorwaardelijk gehouden
36
zodanige maatregelen te treffen om geheimhouding met betrekking tot al deze gegevens te verzekeren.” Ten slotte werkt het UMCG intern met een algemeen geldende integriteitcode. Deze geld voor het hele UMCG. Deze code gaat in op het veilig werken en het zorgvuldig en vertrouwelijk omgaan met informatie. Elke medewerker heeft een aantal van dit soort regelingen bij de aanstelling meegekregen en daarvoor moeten tekenen.
37
Bijlage 3 Huisvuilpas Bronnen - Interview met R. Bakker, Milieudienst Groningen (26-04-2011) - Telefonisch contact met Dhr. Van Heijst (23-08-2011) - E-mail verkeer met M. Koper van GMT - Milieudienst Groningen, Eindrapportage Project Ondergrondse Containers 2008 (268-2008) - Brochure TarDif IRDC Systeem Mic-O-Data - Milieudienst Groningen, Afvalbeheerplan 2006-2010 - Gemeenteraad Groningen, Raadsvoorstel GR 09 Milieudienst betreffende Minicontainermanagement 2008 - Testimonial Groningen GMT
Systeem In 1999 is in de Groningse gemeenteraad een krediet vastgesteld voor de plaatsing van 600 tot 800 ondergrondse restafvalcontainers, waarmee 43.000 aansluitingen zouden worden bediend.11 In 2008 zijn er in totaal 800 ondergrondse containers geplaatst waar 48.000 adressen hun afval kwijt kunnen.12 Dat betekent dat er gemiddeld 60 huishoudens per ondergrondse container zijn. Deze containers zijn toegankelijk met een pasje dat verstrekt wordt per huishouden. De ondergrondse containers zijn geleverd door VConsyst. Dit is de leverancier van het materiaal zelf. De registratie en de verzending van de gegevens gebeurt door een systeem dat is ontwikkeld door Mic-O-Data en draagt de naam TarDif IRDC. TarDif IRDC-systeem Het TarDif IRDC systeem dat Mic-O-Data levert aan de Milieudienst verzorgt het gedeelte van het uitlezen van de huisvuilpas tot aan het leveren van de data aan de Milieudienst. Het systeem zit ingebouwd in de ondergrondse container. De huisvuilpas die gebruikt wordt is voorzien van een RFID (Radio Frequency Identification) chip en zorgt er zo voor dat de pas uitgelezen kan worden door de kaartlezer van de ondergrondse container. De communicatie tussen de pas en de container gebeurt met een pas die is gebaseerd op de MIFARE technologie.13 Deze zorgt ervoor dat de communicatie beveiligd is. Dezelfde technologie wordt gebruikt in de OV-chipkaart. De huisvuilpas is een Read/Write kaart wat inhoudt dat er gegevens van de kaart gelezen kunnen worden maar dat er ook gegevens op geschreven kunnen worden. De ondergrondse container haalt zijn stroom uit een batterij en is dus niet afhankelijk van het elektriciteitsnet. De spanning hiervan is op afstand uitleesbaar. Het TarDif IRDC systeem in de ondergrondse container communiceert draadloos via het GSM netwerk van Vodafone naar de server van Mic-O-Data. Deze communicatie verloopt via SMS berichten en is ook geschikt voor financiële transacties. Dat houdt in dat de verbinding zeer goed beveiligd is. Alleen vooraf bepaalde mensen hebben toegang tot dit netwerk. 11
Milieudienst Groningen, Eindrapportage Project Ondergrondse Containers 2008, 26-8-2008, p. 1 Milieudienst Groningen, Eindrapportage Project Ondergrondse Containers 2008, 26-8-2008, p. 11 13 nxp.com
(26-06-2011) 12
38
Zodra een pas boven de kaartlezer wordt gehouden komt het systeem in werking en leest de gegevens van de pas. Als de storting is gedaan verstuurt het systeem de gegevens direct via het GSM modem aan boord naar de server van Mic-O-Data. De container verstuurt ook één keer per dag zijn registratiegegevens en ontvangt vervolgens gegevens over de systeeminstellingen en een eventuele update van de black- of whitelist. De server bij Mic-O-Data is via het internet verbonden met de server van de Milieudienst. De Milieudienst kan vervolgens zelf de gegevens updaten met een druk op de knop of op een vooraf ingestelde tijd. Hieronder is het systeem in schema te zien14.
Er zijn verschillende versies van het systeem mogelijk. Er zijn variaties qua registratie, het gebruik van een black- of whitelist, vulgraadmeting en offline of online gebruik (met of zonder GSM modem). De Milieudienst Groningen gebruikt het systeem online en registreert de stortingen. Ze maken gebruik van een blacklist en de vulgraad van de ondergrondse container kan op afstand worden uitgelezen. Dit levert soms het probleem op dat de blacklist zo lang wordt dat het systeem soms lang bezig is met het verwerken hiervan als er een huisvuilpas bij de kaartlezer van een ondergrondse container wordt aangeboden. Als gevolg hiervan wordt regelmatig de blacklist opgeschoond. Er ligt daarom het plan om over te stappen op een whitelist. De gegevens die op de server bij Mic-O-Data staan zijn de gegevens over het welke persoon op een bepaald tijdstip een specifieke ondergrondse container opende. Deze gegevens omvatten echter alleen nog maar transactie- en chipnummers en worden pas later gekoppeld aan personen en adressen. Mic-O-Data heeft met betrekking tot de toegang en bewaartermijn van de gegevens een strikt beleid. Alleen de mensen die voor service en onderhoud noodzakelijkerwijs toegang moeten hebben tot deze gegevens zijn hiervoor geautoriseerd. Omdat er bij Mic-O-Data alleen transactie-
14
Brochure TarDif IRDC Systeem Mic-O-Data
39
chipnummers aanwezig zijn is er geen sprake van toegang tot privacygevoelige informatie. De gegevens worden op de server van Mic-O-Data nog een jaar bewaard nadat er een goede kopie van de gegevens van de server is gehaald door de Milieudienst Groningen. Na dat jaar worden de gegevens volledig van de servers verwijderd. Minicontainer management In de gemeente Groningen werd in 2005 het afvalbeheerplan van 2006-2010 opgemaakt waarin een aanbeveling stond om in de toekomst over te gaan tot het chippen van de minicontainers, ook wel kliko’s genoemd.15 Dit is er na een voorstel van de milieudienst in 2009 en 2010 pas van gekomen.16 In Groningen gebruiken er ruim 34.000 huishoudens een grijze en/of groene container voor het aanbieden van afval. Extra minicontainers konden tegen een extra verhoging van de afvalstoffenheffing worden geleverd. Er werden echter maar 168 extra containers aangevraagd. Ook werden er per jaar 1000 nieuwe containers aangevraagd wegens vermissing of diefstal. Veel mensen gebruikten een extra container zonder hiervoor extra te betalen. Om dit terug te dringen is er voor gekozen een containermanagement systeem op te zetten. Hiervoor worden in alle containers een chip geïmplementeerd. Als gevolg hiervan werden er bijna 3500 minicontainers ingenomen die niet rechtmatig werden gebruikt. Het systeem werkt in principe vrij eenvoudig. Het bedrijf dat het systeem levert is Engels HLC (High Tech Litter Collection). In de minicontainer wordt een chip geplaatst. Dit is een vrij standaard model RFID chip (HiTag S) die naast containermanagement ook ingezet wordt bij de veeteelt en in de fiches van een casino17. Er kunnen op deze chip zowel gegevens geplaatst als van gelezen worden. Op elke chip wordt vervolgens een nummer gezet dat een samenvoeging is van een landcode, gemeentecode, wijkcode en een serienummer. In het overkoepelende systeem, CLEAR, waarin de gegevens worden verwerkt is dit nummer gekoppeld aan het adres dat de container aanbiedt. De voertuigen die de containers komen legen hebben een antenne aan boord die de chips in de container activeert. Als de container wordt geleegd in het voertuig wordt ook de chip uitgelezen en opgeslagen op een handheld medium of een GPRS modem. Zodra het voertuig weer terug is van een route kunnen de opgeslagen gegevens worden uitgelezen. Met deze gegevens is het mogelijk om te kunnen zien welke adressen hun container in welke ophaalroute plaatsten om deze vervolgens efficiënter te kunnen maken. Ook kunnen gestolen containers vrij eenvoudig worden opgespoord en containers zonder chip worden niet geaccepteerd en ingenomen.
Proces Sinds 1997 maakt de Milieudienst Groningen gebruik van het door GMT Europe B.V.18 ontwikkelde CLEAR systeem. CLEAR staat voor Containers Ledigingen En Afvalstoffen Registratie. Dit systeem verzamelt de gegevens van alle afvalregistraties. Dan gaat het over de stortingsgegevens van de ondergrondse containers, de minicontainers, grofvuilmeldingen en stortingen in de grotere vuilstortplaatsen. Hiernaast is het mogelijk om de afvalkalenders op te stellen die alle inwoners van 15
Milieudienst Groningen, Afvalbeheerplan 2006-2010, p. 3 Gemeenteraad Groningen, Raadsvoorstel GR 09 Milieudienst betreffende Minicontainermanagement 2008 17 nxp.com (26-06-2011) 18 Testimonial Groningen GMT 16
40
Groningen elk jaar in de brievenbus krijgen. Het systeem is niet alleen bedoeld om de afvalstoffenheffing voor burgers in te verwerken, maar ook al het bedrijfsafval. Het systeem regelt in principe dus alles van storting tot facturatie. Het systeem is door de overheid gecertificeerd en is daardoor ook geschikt voor het digitaal opleveren van overzichten over de stortingen van gevaarlijk en chemisch afval. De Milieudienst zit op dit moment in een overgang van een systeem wat draait in een ouderwetse omgeving. Dit systeem biedt weinig grafische opties en er moet met het toetsenbord worden gewerkt om van menu naar menu te komen. Er wordt op de achtergrond ook het nieuwe systeem CLEAR.net gebruikt wat veel meer grafische opties biedt en een stuk moderner is. De medewerkers van de Milieudienst zijn zo gewend aan de oude omgeving dat er nog weinig enthousiasme is om over te stappen op het nieuwe systeem. De stortingsgegevens die worden geregistreerd komen via de Mic-O-Data server binnen in het systeem CLEAR. Deze gegevens worden opgeslagen op een server bij de Milieudienst Groningen en zijn via het interne netwerk toegankelijk. Er wordt elke dag een back-up gemaakt op de lokale server maar ook op een plek buiten het gebouw van de Milieudienst Groningen om ervoor te zorgen dat ingeval van brand of andere dergelijke problemen alle gegevens veilig bewaard blijven of bij een storing kunnen worden hersteld. De toegang tot de server en het systeem CLEAR waarin de stortingsgegevens te raadplegen zijn is beperkt tot de medewerkers die beslissingen moeten maken op basis van deze gegevens. Dit is geregeld door middel van beveiliging met gebruikersnaam en wachtwoord om in het systeem te komen. Iedere medewerker met toegang heeft zijn eigen inloggegevens. Ook zijn alle computers zo ingesteld dat ze al vrij snel op de schermbeveiliging met paswoord springen als er tijdelijk niets met de computer gebeurd. Het gaat hier niet alleen om medewerkers van de Milieudienst Groningen die zorgen voor de afhandeling van de afvalstoffenheffing, maar ook degenen die de routes plannen voor het ophalen van de minicontainers en de medewerkers die meldingen van grofvuil verwerken. Ook bij de grotere vuilstortplaatsen hebben de loketmedewerkers toegang tot het systeem om te kijken hoe vaak iemand al gestort heeft in dat jaar. Omdat alle gegevens per adres zichtbaar zijn in het systeem CLEAR is het niet zo dat de verschillende gegevens van elkaar gescheiden zijn. Een medewerker die de telefoon aanneemt om een grofvuilmelding te verwerken heeft ook toegang tot de gegevens over het aantal stortingen in een ondergrondse container met behulp van de huisvuilpas.
Oordeel organisatie over gewenste transparantie en portabiliteit CLEAR CLEAR is het systeem waarin alle gegevens terechtkomen van de dagelijkse activiteiten van de Milieudienst Groningen. Ook de planning wordt hierin gemaakt. Het is dan ook van groot belang dat het systeem beschikbaar en toegankelijk is. Het systeem is zeer transparant te noemen. De gegevens die erin worden opgeslagen en verwerkt zijn direct inzichtelijk en compleet. Ingeval van wanprestatie, faillissement of anderen problemen heeft de Milieudienst afspraken gemaakt met GMT over het deponeren van de software bij Softwareborg. Dit is een stichting die is opgezet door samenwerkende notarissen.19 Softwareborg 19
Softwareborg.nl <www.softwareborg.nl> (23-09-2011)
41
biedt oplossingen op het gebied van escrow. Als de eerder genoemde problemen optreden dan kan de Milieudienst de beschikking krijgen over de broncode van CLEAR. Uit contact met GMT bleek dat het daarna ook mogelijk is om de gegevens in het systeem te transporteren voor gebruik in een ander software pakket.20 Op het gebied van transparantie en portabiliteit lijkt het systeem CLEAR prima in orde. TarDif IRDC De gegevens die in het systeem CLEAR opgeslagen worden zijn zeer transparant. Deze gegevens komen voornamelijk voort uit het TarDif IRDC systeem. De gegevens waar het om gaat zijn voornamelijk de stortingsgegevens die door het openmaken van de container met de huisvuilpas worden gegenereerd. Er is een verschil in transparantie, omdat de gegevens die voortkomen uit het TarDif IRDC systeem pas later in CLEAR aan een naam en adres worden gekoppeld. De ruwe stortingsgegevens worden hiervoor van de server van Mic-O-Data gehaald. Deze ruwe stortingsgegevens zijn dus niet direct herleidbaar naar personen omdat het gaat om transacties en chipnummers. TarDif IRDC is een systeem wat aansluit op meerdere in de markt gebruikte systemen. Mochten er met dat systeem problemen zijn dan kan het TarDif systeem zonder al teveel problemen worden gekoppeld aan een andere softwareoplossing. Er hoeft zelfs weinig te worden aangepast. Er wordt namelijk gebruik gemaakt van een open standaard voor de communicatie tussen het TarDif IRDC systeem en het overkoepelende systeem dat hierop aansluit. Het is dus mogelijk dat er ingeval van problemen een ander systeem als CLEAR kan worden ingevoerd als overkoepelend systeem. Op dit punt is de portabiliteit van het systeem goed te noemen. Het systeem dat in de ondergrondse container zelf zit is door Mic-O-Data zelf geproduceerd en wordt ook onderhouden door dit bedrijf. De stortingsgegevens die door het systeem worden geregistreerd gaan ook eerst naar de server van Mic-O-Data om vervolgens te worden verstuurd naar de Milieudienst Groningen. De Milieudienst Groningen is daarom erg afhankelijk van de service en continuïteit van Mic-O-Data.21 Mic-O-Data zegt over het systeem zelf dat de meeste onderdelen die in de ondergrondse container zijn verwerkt, zoals de kaartlezer, het slot en de batterij ook door andere fabrikanten van soortgelijke IT systemen kan worden gebruikt. Het gedeelte dat voor de datacommunicatie zorgt, is op dit moment echter maatwerk geweest en zal niet gemakkelijk kunnen worden overgezet. ‘Hoewel deze datacommunicatie conform de eisen van open standaarden is gemaakt zal dit toch enige moeite kosten’, zo verklaart Mic-O-Data. Ook zijn er op dit moment geen afspraken gemaakt tussen de Milieudienst en Mic-O-Data zoals deze bij CLEAR gemaakt zijn. Er ligt op dit moment dus geen broncode klaar bij Softwareborg mocht Mic-O-Data failliet gaan of ingeval van andere dergelijke problemen. De Milieudienst reageerde geschrokken op deze bevinding. Er zou zelfs sprake zijn van een doemscenario als het systeem uit de lucht zou zijn. De containers gaan niet meer open, er komt ontzettend veel rotzooi op straat. Of de containers moeten allemaal opengezet worden met als gevolg dat ze al gauw vol zijn zonder dat de Milieudienst Groningen weet wanneer ze moeten worden opgehaald. Als gevolg hiervan is de 20 21
E-mail verkeer M. Koper van GMT Telefonisch contact met Dhr. Van Heijst, 23-08-2011
42
gemeente met Mic-O-Data om de tafel gaan zitten om hier nadere afspraken over te maken. Het TarDif IRDC systeem is prima aan te sluiten op een ander overkoepelend systeem, maar is zelf minder portabel omdat een gedeelte van het systeem maatwerk betreft. De informatie die wordt verzameld met de chips in de minicontainer hebben zoals eerder gezegd een doel om ervoor te zorgen dat iedereen het juiste aantal containers in bezit heeft en om ervoor te zorgen dat de afhaalroutes efficiënt kunnen worden gepland. De informatie op de chip zelf bestaat uit een nummer en wordt net als bij het TarDif IRDC systeem pas later gekoppeld aan een persoon en adres. Hoewel het wel mogelijk is om informatie op de chip te schrijven, gebeurt dit niet tijdens het ophalen van het huisvuil. De informatie die wel wordt verzameld is tijdelijk op een handheld opslagmedium of wordt verstuurd via GPRS. Dit is afhankelijke van het voertuig. Zodra de gegevens in CLEAR worden aangeboden zijn de gegevens gekoppeld aan de natuurlijke persoon. De chips zijn volgens Engels HLC door meerdere fabrikanten van voertuiguitrustingen uit te lezen. Hiernaast zal het geen probleem zijn om informatie van de chips te gebruiken in combinatie met andere softwareoplossingen. Engels HLC levert en installeert alleen de chips en deze zijn uit te lezen door meerdere in de markt gebruikte systemen en softwarepakketten. Er zijn daarom ook geen afspraken gemaakt in het contract over problemen als faillissement of wanprestatie. De Milieudienst Groningen is namelijk in zulke gevallen niet afhankelijk van de service van Engels HLC.
Contractuele bepalingen De contracten tussen leverancier en de gemeente konden voor dit onderzoek wel worden ingezien, maar niet integraal worden meegeleverd. Eigendom Er zijn geen eigendomsbepalingen over de embedded gegevens opgenomen in de contracten. Intellectuele eigendom Wat betreft de intellectuele eigendomsrechten op de broncode van de software hebben zowel CLEAR als Mic-O-Data afspraken gemaakt met stichting Software Borg. Bij deze stichting wordt broncode van hardware en software ondergebracht, zodat in geval van faillissement de broncodes voor de klanten beschikbaar blijven. Hierdoor kan de dienstverlening gecontinueerd worden. Mic-O-Data en CLEAR bieden afnemers de mogelijkheid aan om gebruik te maken van dit escrow mechanisme. De Milieudienst Groningen was nog niet op de hoogte van deze escrow mogelijkheid voor Mic-O-Data en wil graag in de toekomst hier wel gebruik van gaan maken. Gebruiksrechten en meewerkverplichtingen De gemeente maakt gebruik van de diensten van Mic-O-Data voor het in eerste instantie opslaan van de gegevens. Vervolgens worden die gegevens naar de server van de milieudienst verstuurd.
43
Het Tardif IRDC systeem hoeft niet te worden aangepast indien de Milieudienst Groningen besluit over te stappen naar een ander software pakket. Voor het ophalen en versturen van data van en naar de IRDC systemen is een protocol dat "open" is. Dat betekent dat andere softwareleveranciers dit protocol zonder restricties kunnen gebruiken. In de recent vastgelegde "open standaard" door de commissie Stosag (www.stosag.nl) is een vergelijkbare manier van communiceren afgesproken (SOAP en XML). De indeling van de boodschappen is anders, maar de techniek en uitvoering is identiek. Op dit moment is op basis van het huidige protocol al met meerdere software leveranciers een koppeling tot stand gebracht, onder andere: CLEAR, AfvalRis, Ci-web, PieterBas, Prevent. Beperkingen: Bescherming persoonlijke levenssfeer en bedrijfsgeheimen De gegevens van het Mic-O-Data systeem worden een jaar lang op diens server bewaard. Deze gegevens zijn niet herleidbaar tot een natuurlijk persoon, omdat alleen het transactienummer en chipnummer wordt geregistreerd. Slechts de gemeente kan dit herleiden naar de betreffende persoon. De stortingsgegevens worden door de Milieudienst Groningen vijf jaar lang bewaard. De reden die hiervoor wordt gegeven is dat dit nodig is voor logistieke doeleinden en beleidsmatige vraagstukken.22
22
De Rooij en Hazewinkel, Vragen aan de gemeenteraad Groningen, 30-10-2009, p. 2 en 3
44
Literatuur & Jurisprudentie Literatuur Blok 2010 P.H. Blok (red.), Overeenkomsten inzake informatietechnologie, SDU 2010 Bruins 2010 A. Bruins, ‘Reëel recht in een virtuele wereld’, Mr. 2010-1. Vindplaats: www.meesterindetaal.nl/inc/download_window.php?id=98 Bygrave 2002 L. A. Bygrave, Data Protection Law: Approaching its Rationale, Logic and Limits, Den Haag: Kluwer Law International 2002 (information law series IVIR). De Cock Buning 1998 M. de Cock Buning, Auteursrecht en informatietechnologie (diss.), Amsterdam: Otto Cramwinckel 1998. De Cock Buning 2009 M. de Cock Buning, De juridische status van ruwe data; een wegwijzer voor de onderzoekspraktijk, publicatie opgesteld voor CIER & Stichting SURF, 2009. Vindplaats: http://www.surf.nl/publicaties. Elkin-Koren & Weinstock Netanel 2002 N. Elkin-Koren & N.l Weinstock Netanel, The Commodification of Information, Den Haag: Kluwer Law International 2002 (information law series IVIR). Franken, Kaspersen & De Wild 2004 H. Franken, H.W.K. Kaspersen en A.H. de Wild, Recht en Computer, Deventer: Kluwer 2004. Hugenholtz 1989 P.B. Hugenholtz, Auteursrecht op informatie: auteursrechtelijke bescherming van feitelijke gegeven s en gegevensverzamelingen in Nederland, de Verenigde Staten en West-Duitsland, Deventer: Kluwer 1989. Kleve 2004 P. Kleve, Juridische Iconen in het informatietijdperk, Deventer: Kluwer 2004. Vindplaats: http://repub.eur.nl/res/pub/1297/ Kuner 2009 C. Kuner, ‘An international legal framework for data protection: Issues and prospects’, Computer Law & Security Review July 2009, p. 307-317.
45
Kuhlman 2010 J. Kuhlman, ‘Echt voor het recht? Bescherming van virtuele objecten technisch en privaatrechtelijk beschouwd’, Masterscriptie Universiteit Utrecht, 2010. Vindplaats: http://njblog.nl/wp-content/uploads/2010/12/Scriptie-JoostKuhlmann.pdf Lagemaat, Boonk & Briët 2006 A.C. Lagemaat, M.L. Boonk, M. Briët, ‘Vermogensrechterlijke aspecten’, in: Lodder 2006, p. 21-40. Lodder 2006 A.R. Lodder (red.), Recht in een virtuele wereld, Juridische aspecten van massive multiplayer online role playing games (MMORPG), Den Haag: Elsevier Juridisch 2006. Vindplaats: cli.vu/pubdirectory/273/manuscript.pdf Neppelenbroek 2006 E.D.C. Neppelenbroek, ‘De verkrijging van de eigendom van elektronische bestanden over internet’, NJB 2006-10 p. 560-566. Purtova 2009 N. Purtova, ‘Property rights in personal data: Learning from the American discourse’, Computer Law & Security Review November 2009, p. 507-521. Van der Steur 2003 J.C. van der Steur, Grenzen van rechtsobjecten: een onderzoek naar de grenzen van objecten van eigendomsrechten en intellectuele eigendomsrechten, Deventer: Kluwer 2003. Stevens & Koops 2009 L. Stevens & E.J. Koops, ‘Opzet op de harde schijf: criteria voor opzettelijk bezit van digitale kinderporno’, DD 2009, 51, p. 669-696. Verkade 1988 D.W.F. Verkade, ‘Gegevensbescherming en privaatrecht’, in: Gegevensbescherming (Handelingen Nederlandse Juristen-vereniging 1988-1), Zwolle: W.E.J. Tjeenk Willink 1988.
Jurisprudentie CBP, 12 juli 2006, z2005-1447 HR 24 februari 2006, NJ 2007, 37 (Technip/Goossens) HR 13 maart 1981, NJ 1981, 635 (Haviltex) Hof ’s-Gravenhage 4 juni 1992, Computerrecht 1993, 252. Hof Arnhem 1 juni 2010, LJN BM6320. Vz. Hof Arnhem 3 mei 2011, LJN BQ5240. Pres. Rb. ’s-Gravenhage 24 oktober 1997, Computerrecht 1998, 72. Pres. Rb. Almelo 23 december 1999, Computerrecht 2000, 81
46
